中文
注册
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
在线提单
论坛求助
鲲鹏小智

创建CA、TA、RSA工程

CA工程:运行在业务执行环境的应用程序工程。

TA工程:运行在可信执行环境的应用程序工程。

RSA工程:包含CA、TA工程,基于RSA加解密、签名工程。

操作步骤

  1. 单击左侧树快捷功能区按钮,或者单击应用开发区域右侧的按钮,打开“鲲鹏应用工程”页面,如图1所示。
    图1 鲲鹏应用工程
  2. 单击“安全计算应用”,打开“安全计算应用”页面,如图2所示。
    图2 安全计算应用
  3. 单击“TEE GP应用”,打开“TEE GP应用”页面,在左侧工程类别中选择“模板工程”,然后选择CA工程、TA工程或RSA工程,并进行其他参数配置,如图3所示。
    图3 创建TEE GP应用工程

    创建CA工程无签名私钥、Config二进制配置项。

  4. 单击“下一步”,选择是否配置目标节点,配置时需要输入目标节点的IP地址、SSH端口、用户名、密码和存放目录;选择不配置目标节点将默认暂不部署SDK。如图4所示。
    图4 配置目标节点

    用户在配置目标节点时,必须注意,需是运行在物理机上,ARM架构下的openEuler 20.03 LTS SP1、UOS 20 SP1或CentOS 7.6操作系统,并且拥有管理员权限的目标节点。

  5. 选择是否在创建工程时同时部署SDK,选择“是”在部署时可选择不同的部署方式,比如在线部署、离线部署如图5所示。参数配置完成后,单击“创建工程”,创建RSA工程。
    图5 部署SDK
    表1 TEE GP应用工程配置参数说明

    参数

    说明

    工程类别

    工程类别可选:

    • 模板工程
      • CA工程
      • TA工程
      • RSA工程
      • 机密数据保存
      • 匿名投票
      • 证书签发
    • 空工程
      说明:
      • CA工程运行在REE侧环境下,TA工程运行在TEE侧环境下,RSA工程基于CA、TA工程进行安全通信。
      • 机密数据保存工程包含CA、TA工程, 使用TEE安全存储接口保存机密数据
      • 匿名投票工程包含CA、TA工程,基于RSA和AES加密。
      • 证书签发工程包含CA、TA工程,基于RSA、SM2算法进行证书签发。

      使用依赖:

      1. 确保已安装kunpeng-sc(机密数据保存工程、匿名投票工程还需确保安装 kunpeng-sc-devel,证书签发工程还需确保安装机密计算SDK和kunpeng-sc-devel。)
      2. 确保tzdriver正常加载,执行lsmod | grep tzdriver
      3. 确保守护进程正常启动,执行ps -ef| grep teecd

    工程名称

    默认生成一个工程名称。格式为“xxx_ProjectN”,可修改。

    创建工程的名称。

    说明:
    • N为递增的数字,从1开始。
    • 工程名称只能由字母、数字、“.”、“-”、“+”、“()”和“_”组成,长度为1~64个字符且不能以“.”开头。

    工程位置

    默认生成一个工程位置,格式为“C:\Users\username\KunpengProject”,可修改。

    创建工程的存储路径。

    (可选)签名私钥

    导入签名私钥文件

    (可选)Config二进制

    导入Config二进制文件

    是否配置目标节点

    选择“是”配置目标节点。

    选择“否”不配置目标节点。

    IP地址

    允许进行操作的目标节点IP。

    SSH端口

    目标节点的SSH端口号

    用户名

    允许进行操作的目标节点账户

    密码

    目标节点用户名密码。

    存放目录

    目标节点存放目录

    说明:

    工具会读写存放目录下的内容,避免造成用户内容丢失,建议使用空目录。

    创建工程时同时部署SDK

    选择“是”部署SDK。

    选择“否”不部署SDK。

    部署SDK

    选择SDK部署方式。

    • 在线部署
      • kunpeng-sc
      • kunpeng-sc-devel
    • 离线部署
      • kunpeng-sc
      • kunpeng-sc-devel
        说明:

        选择在线部署方式,服务器必须能连接外网,若隔离网络环境下就需要通过代理方式访问外网,具体请参照配置代理

        选择离线部署方式,将从本地导入SDK,可前往下载地址去下载SDK到本地并上传。

  6. 单击“创建工程”后,弹出提示框,确认是否打开TrustZone功能开关,若已打开开关,请勾选“已打开”,单击“确认”按钮,如图6所示。
    图6 TrustZone功能开关
  7. 工程创建过程中,会去验证右侧安全计算应用开发框架中的模块内容,若在验证页面中单击“终止配置”,在弹框中确认终止,将会终止当前验证过程,在弹框中取消终止,将会返回验证页面,继续进行验证,验证成功后右侧模块内容显示为绿色,验证失败显示为红色。
    图7 终止配置
    图8 验证结果成功
    图9 验证结果失败
    • 若参数配置失败,请检查网络连接等并且重新配置。
    • 若选择的是在线部署SDK方式验证失败,单击“重试”重新验证;若选择的是离线部署SDK方式验证失败,单击“重试”重新验证,或者单击“重新选择并上传”,打开对话框。重新上传SDK并验证。
  8. RSA工程创建成功后,单击“打开工程”,可直接在本窗口打开工程。
    图10 查看RSA工程
  9. 创建成功后的工程可使用编译调试工具进行编译调试。但根据创建工程时选择的工程类别不同,进行编译调试时,需要再进一步操作。
    • 创建的是CA工程,可以直接编译调试。
    • 创建的是TA工程,需要和CA工程配合使用,详细参考TA工程文件下中的README文件。
      图11 TA_README
    • 创建的是RSA工程,则需要TA、CA配合使用,详细参考RSA工程文件夹中的README文件。
      图12 RSA_README

      RSA工程编译完成后需参考“运行安全计算应用工程指导”,将编译生成的文件拷贝至指定目录。