机密计算

如何配置TrustZone功能开关？

鲲鹏BoostKit机密计算TrustZone套件是面向有机密数据保护需求场景而提供的特性，即只有特定需求的用户才需要。如果默认开启功能，这意味着有部分资源被保留而浪费。因此BIOS提供了TrustZone的功能开关，由管理员根据实际需求情况决定是否使用该功能。

需要注意的是，关闭此功能并不意味着旁路或绕过某些安全机制，它只是TrustZone的功能开关，关闭之后TrustZone功能将不再生效，部署在平台之上的相关组件也都将不可用，但不会导致系统不可用，或削弱即有的安全机制。

具体配置方法请参见：https://www.hikunpeng.com/document/detail/zh/kunpengcctrustzone/fg-tz/kunpengtrustzone_20_0002.html

如何获取iTrustee？

鲲鹏BoostKit机密计算是基于TrustZone技术的TEE方案，TrustZone是一种基于ARM标准架构进行的安全扩展，新引入了一个额外的可信执行环境即TEE（Trusted Execution Environment），而原有的执行环境相对于TEE则被称为REE（Rich Execution Environment）。这两个环境从芯片架构上进行了隔离，确保运行在TEE内的应用的安全可信，解决用户的“数据在使用中”的安全问题。

鲲鹏BoostKit机密计算套件中的核心组件“可信操作系统”（Trusted OS）采用的是华为自研的iTrustee，相关软件获取地址如下：

https://www.hikunpeng.com/zh/developer/download?title=%E6%9C%BA%E5%AF%86%E8%AE%A1%E7%AE%97&subTitle=TrustZone

安装和使用指导：https://www.hikunpeng.com/document/detail/zh/kunpengcctrustzone/fg-tz/kunpengtrustzone_20_0002.html

运行teecd后，tlogcat采集不到官方文档所描述的log信息

该问题应该是由于tzdriver没插入，执行teecd后，teecd退出了，tlogcat显示日志为空。可按照《机密计算TrustZone 特性指南》中“搭建TA和CA应用运行环境--搭建步骤”章节，插入tzdriver后，启动teecd，再通过tlogcat查看tee日志。

使用insmod tzdriver加载驱动后，为什么tzdriver卸载不掉

使能TrustZone套件功能，需要加载tzdriver，但是tzdriver成功加载后，不支持卸载。如果需要卸载tzdriver，需要服务器完全重启。

SEC驱动BoostKit-teeos_1.3.1.SPC1.zip是需要下载，还是默认TEEOS就已经继承了不用下载？

SEC驱动直接包含在BoostKit-teeos_1.3.1.SPC1.zip里，且BoostKit-teeos_1.3.1.SPC1.zip需要在华为技术支持网站申请后下载。如无法申请，可联系华为方项目负责人或客户对应接口人处理。SEC驱动下载后，可参考《机密计算TrustZone 特性指南》中“部署SEC驱动”操作指导进行加载。

麒麟信安操作系统（基于openEuler开发的发布版本）如何开启可信启动？

目前只有Euler OS支持可信启动。您可以联系openEuler开源社区的技术人员，咨询基于openEuler开发的发布版本是否能开启安全启动，以及如何开启的相关问题。

如何申请TrustZone套件TA开发者证书？

某客户是系统发行版厂商，单独申请一个开发者证书的话可能不够，所以需要申请一个二级证书导入，后续自己编译的TA用二级证书签名。这个二级证书又该如何申请呢？

该二级证书可直接通过邮件向华为项目负责人或客户对接人进行申请。PGP加密邮件非必须，可以不采用PGP加密邮件。具体申请要求请参见《机密计算TrustZone 特性指南》中“调测环境TA应用开发者证书申请”章节内容。

如何获取机密计算TrustZone应用测试源码和二进制？

鲲鹏BoostKit机密计算TrustZone目前并不提供编译好的二进制，但会提供针对Python应用、Java应用的编译和部署指导，如有需求，请联系华为项目负责人或客户对接人获取。

机密计算TrustZone套件如何与鲲鹏服务器结合使用？

普通鲲鹏服务器默认不带有机密计算TrustZone完整套件，需要在购买鲲鹏服务器时明确带有TEE功能，购买后自带License和TEEOS ，一次性购买，License永久有效。支持TEE功能的服务器会在出厂阶段完成TrustZone套件预置安装。

如需使用机密计算TrustZone套件，需购买服务器时明确指定带TEE属性，查看服务器是否支持可参考《机密计算TrustZone 特性指南》中“检查TrustZone套件”相关内容。

包含“kunpeng_sec_drv.sec”SEC驱动的TEE OS 1.5.0版本的固件包如何下载？

TEE OS hpm固件包中包含kunpeng_sec_drv.sec，可至资源下载中心选择对应的固件包版本进行下载，具体路径如下：

“鲲鹏社区 > 开发者 > 开发资源 > 资源下载 > 鲲鹏 > BoostKit > 机密计算 > TrustZone”，路径链接：https://www.hikunpeng.com/zh/developer/download?title=%E6%9C%BA%E5%AF%86%E8%AE%A1%E7%AE%97&subTitle=TrustZone。

如何查看TEE OS版本及状态？

• 方法一：通过tlogcat -v命令查看。详细信息请参见《鲲鹏BoostKit机密计算TrustZone套件 特性指南》中机密OS升级。
  

  • 完成TrustZone环境搭建，即可通过tlogcat -v命令查询iTrustee OS或机密OS版本，无需额外安装tlogcat。
  • 如tlogcat无法查看，需要确认iTrustee OS或机密OS是否正常安装。
• 方法二：通过tee-check检测工具查看，详细信息请参见《鲲鹏BoostKit机密计算TrustZone套件 特性指南》中搭建步骤。基本步骤如下：
  1. 安装机密OS。
  2. 安装tee-check检测工具。
  3. 执行/vendor/bin/tee-check进行查看。
• 方法三：在服务器iBMC首页查看，查看步骤如下：
  1. 登录服务器iBMC首页。
  2. 查看TEE OS固件版本号。

     

如何查看设备TrustZone License是否过期？

登录服务器的iBMC查看TrustZone License信息，操作步骤如下，详细信息请参见《鲲鹏BoostKit机密计算TrustZone套件 特性指南》中环境要求。

1. 登录iBMC，在首页依次单击“iBMC管理 > 许可证管理”。
2. 查看License加载情况及截止日期。

如何检测服务器是否支持TEE？

登录服务器BIOS，检测服务器是否支持TEE，步骤如下。详细信息请参见《鲲鹏BoostKit机密计算TrustZone套件 特性指南》中环境要求。

1. 登录服务器BIOS。
2. 依次选择“Advanced > TEE Config”查看TEE配置选项及OEMKEY安装状态。

   如果显示“TEE OEMKEY”处于“Install”状态，则该服务器已预置鲲鹏TrustZone套件。可通过配置“Support TEE”使能鲲鹏服务器TrustZone功能。