1.如何编译OpenWrt
2.OP-TEE之安全存储

如何编译OpenWrt

       ã€€Openwrt 官方正式的发行版是已编译好了的映像文件（后缀名bin或trx、trx2），此映像文件可从Openwrt官方网站的下载页面中轻松获取到，连接地址为 OpenWrt官方网站。这些编译好的映像文件是基于默认的配置设置，且只针对受支持的平台或设备的。因此，为什么要打造一个自己的映像文件，理由有以下四点：

       æ‚¨æƒ³æ‹¥æœ‰ä¸€ä¸ªä¸ªæ€§åŒ–的配置OpenWrt（彰显个性，在朋友圈子里显摆显摆，开个玩笑）；

       æ‚¨æƒ³åœ¨å®žéªŒæ€§çš„平台上测试OpenWrt；

       æ‚¨å‚与测试或参与开发OpenWrt的工作；

       æˆ–者，最简单的目的就是为了保持自己的Openwrt为最新版本；

        　若想实现上述目的，其实很简单，按下述文字即可成功编译出一个您的Openwrt来。

       å‡†å¤‡å·¥ä½œ

        在开始编译Openwrt之前需要您做些准备工作；与其他编译过程一样，类似的编译工具和编译环境是必不可少的：

        一个构建OpenWrt映像的系统平台，简单说就是准备一个操作系统（比如Ubuntu、Debian等）；

        确保安装了所需的依赖关系库， （在debian系统中就是安装各种需要的软件包）

        OpenWrt源代码副本

        首先， 开机登陆到支持编译Openwrt的操作系统（废话了）。实体机或者虚拟机(Vmware 或者 Qemu)里的操作系统都行，这里推荐使用Linux系统。 bsd和mac osx系统也可以编，但不推荐，且未验证是否可编译成功。下文假定您使用的是Debian操作系统，使用 apt-get 来管理包. 替代的选择是 Ubuntu (分支 Kubuntu,码分 Xubuntu 等即可)。

        第二步, 就是安装所需要的各种软件包, 包括编译器,解压工具,特定的库等. 这些工作可以简单的通过键入以下命令 (通常需要root 或者是 sudo 权限)，以root权限安装下列软件包(可能并不完整，会有提示，提示缺少即装就可以了）:

        位(x)请执行下列命令:

       # apt-get install build-essential asciidoc binutils bzip2 gawk gettext \

        git libncurses5-dev libz-dev patch unzip zlib1g-dev

        位(x_)请执行下列命令（多装了哪些库或软件包呢？请您仔细看一看哦）:

       # apt-get install build-essential asciidoc binutils bzip2 gawk gettext \

        git libncurses5-dev libz-dev patch unzip zlib1g-dev ia-libs \

        libgcc1 libc6-dev-i

        参考 本列表中 所列的编译环境所需要软件包或库。

        某些依赖的为库或软件包也许操作系统中已经安装过，此时apt-get会作出提示（提示您忽略或重新安装的），别紧张，放轻松些，编译Openwrt不会像编译DD－WRT那样难的（至少本人是体会到了编译DD－WRT的难）。

        最后下载一份完整的 Openwrt 源码到编译环境中。关于Openwrt的源代码下载，途径有二，一是通过 svn ，一是通过 git，建议使用 svn ，因为Openwrt主要以 svn 来维护Openwrt系统的版本。另外，请注意Openwrt中不同的分支版本，一个是用得较多的开发快照，俗称 trunk，二是稳定版，俗称 backfire。

       å®‰è£…Subversion

        若你想通过svn下载源代码,你需安装 Subversion。Subversion,或称SVN, 是OpenWrt的project中用来控制版本的系统,它非常类似的 CVS的界面和使用条款。 执行下述命令即可安装SVN，很容易的：

       # apt-get install subversion

        Subversion安装完毕，通过SVN命令可获取得到一份OpenWrt纯净源代码。您还得创建一个目录以便存放获取得到的Openwrt源代码，要获取源代码你还得输入subversion命令来获取 (svn里这种操作称之为'check out') 。命令很简单的，继续看下去就能见到了，别着急，耐心点儿。

       ç¼–译流程

        编译专属于您的设备的特定Openwrt固件以一下五个步骤：

        通过Subversion命令获得源代码；

        更新(或安装) package feeds〔package feeds无法确切翻译，待译吧）；

        创建一个默认配置以检查编译环境是否搭建好了 (假如需要的话)；

        用Menuconfig来配置即将编译生成的固件映像文件的配置项；

        最后开始编译固件；

       ä¸‹è½½æºä»£ç 

        最后，下载一份完整的OpenWrt源代码。你可选择：

        下载稳定发行版，或

        下载开发版 (俗称"trunk"版)。

       ä½¿ç”¨å‘行版的源码

        截止本文时, Openwrt公开发行的稳定版为 OpenWrt . "backfire"。此版本是最稳定的，但也许不包括最新更新的补丁或最新编写的出的新功能。

        下述代码即举例说明了通过svn从brandkfire获得backfire源代码（此版本意思是从trunk分支的补丁也在backfire版本中了，即包含修复补丁）：

       # mkdir OpenWrt/

       # cd OpenWrt/

       # svn co svn://svn.openwrt.org/openwrt/branches/backfire

       æ³¨è§£: 上述svn命令将在当前目录创建一个 OpenWrt/backfire/ 子目录，此目录包含此命令获取到的源代码。

        您也可以通过下述命令，下载不含修复补丁的backfire的原版源码：

       # svn co svn://svn.openwrt.org/openwrt/tags/backfire_.

       ä½¿ç”¨å¼€å‘版源代码

        当前的开发版本分支(trunk)已包含最新的实验补丁。此分支或许还突破了Openwrt原来所不支持的硬件设备的限制哦，惊喜的同时也有风险存在。因此，编译trunk版，慎之～

       # mkdir OpenWrt/

       # cd OpenWrt/

       # svn co svn://svn.openwrt.org/openwrt/trunk/

        更多详细资料详见： binations might break the build process, so it can take some experimentation before the expected result is reached. Added to this, the OpenWrt developers are themselves only maintaining a smaller set of packages – which includes all default packages – but, the feeds-script makes it very simple to handle a locally maintained set of packages and integrate them in the build-process.

        假如你需要LuCI, 要到Administration 菜单里,在LuCI组件的子菜单下, 并选择: luci-admin-core, luci-admin-full, and luci-admin-mini组件包。

        假如你不需要PPP,你可到Network菜单下取消对它的选择，以便编译时不包含此组件。

        Menuconfig用法: 确保这些组件包是以 '*'星号标记而不是 'M'标记。

        如果你是以星号 '*'标记该组件包, 则该组件包将编译进最终生成的OpenWrt固件中。

        如果你仅以 'M'标记该组件包, 则该组件包将不会编译进最终生成的OpenWrt固件中。

        The final step before the process of compiling the intended image(s) is to exit 'menuconfig' – this also includes the option to save a specific configuration or load an already existing, and pre-configured, version.

        Exit and save.

       Source Mirrors

        The 'Build system settings' include some efficient options for changing package locations which makes it easy to handle a local package set:

        Local mirror for source packages

        Download folder

        In the case of the first option, you simply enter a full URL to the web or ftp server on which the package sources are hosted. Download folder would in the same way be the path to a local folder on the build system (or network). If you have a web/ftp-server hosting the tarballs, the OpenWrt build system will try this one before trying to download from the location(s) mentioned in the Makefiles . Similar if a local 'download folder', residing on the build system, has been specified. The 'Kernel modules' option is required if you need specific (non-standard) drivers and so forth – this would typically be things like modules for USB or particular network interface drivers etc.

       ç¼–译固件

        万事具备，只欠东风,通过下面简单的make命令来编译:

       # make

       åœ¨å¤šæ ¸ç”µè„‘中编译

        具有多核CPU处理器的电脑进行编译，使用下述参数可令编译过程加速。 常规用法为 <您cpu处理器的数目 + 1> – 例如使用3进程来编译 (即双核CPU), 命令及参数如下:

       # make -j 3

       åŽå°ç¼–译

        若你在这个系统内编译OpenWrt的同时还处理其他，可以让闲置的I/O及CPU来在后台编译固件 (双核CPU):

       # ionice -c 3 nice -n make -j 2

       ç¼–译简单的基本的软件包

        当你为OpenWrt开发或打包软件包,编译简单的基本的软件包可以很轻易地编译该软件包 (例如， 软件包cups):

       # make package/cups/compile V=

        一个在Feeds里的软件包大约是这样子的:

       # make package/feeds/packages/ndyndns/compile V=

       ç¼–译错误

        如果因某种不知道的原因而编译失败,下面有种简单的方法来得知编译到底错在哪里了:

       # make V= 2>&1 |tee build.log |grep -i error

        上述编译命令意为：V参数，将出错信息保存在build.log，生成输出完整详细的副本（with stdout piped to stderr），只有在屏幕上显示的错误。

        举例说明:

       # ionice -c 3 nice -n make -j 2 V= CONFIG_DEBUG_SECTION_MISMATCH=y 2>&1 \

        |tee build.log |egrep -i '(warn|error)'

        The above saves a full verbose copy of the build output (with stdout piped to stderr) in build.log and outputs only warnings and errors while building using only background resources on a dual core CPU.

       ä¸€é”®ç¼–译

        即使用脚本来编译Openwrt固件。许多朋友编译Openwrt是用的脚本来编译的，详见: https://forum.openwrt.org/viewtopic.php?id=

       ç”Ÿæˆçš„固件在哪

        编译成功后所生成的固件文件位于bin目录下，可用如下命令查看：

       # cd bin/

       # ls */

       æ¸…理

        编译OpneWrt时你可能需要一个清洁干净的编译环境。 以下操作有利用编译工作:

       æ¸…洁

        清洁trunk/ 目录，在编译过程中使用“make clean”命令即可。 此命令将删除bin目录和build_dir目录下的所有文件及文件夹。

       ## See CAUTION below

       # make clean

OP-TEE之安全存储

       OP-TEE：守护数据安全的加密宝箱

       在信息化时代，数据安全的码分重要性不言而喻。OP-TEE，码分作为开放源代码的码分genromfs.c源码可信执行环境(TEE)解决方案，其核心使命就是码分确保静态敏感数据在存储过程中的机密性和完整性。它借助硬件可信根，码分为这些关键信息提供了坚实的码分保护屏障。

安全存储的码分必要性

       安全存储不仅仅是存储数据那么简单，它就像一道加密的码分盾牌，保护着那些核心的码分、不能被随意访问的码分springboot 源码编译信息。OP-TEE通过区分REE（用户态）和TEE（可信态），码分确保即使在REE侧内存或安全存储设备中，码分数据也受到严密加密和签名策略的码分保护，从而抵御潜在的码分安全威胁。

OP-TEE的phpi源码app安全存储策略

       OP-TEE的加密策略分为两大类：REE文件系统方案和RPMB安全存储。两者相辅相成，为用户提供多重防护。REE文件系统是默认方案，通过配置CFG_REE_FS=y启用，而RPMB则利用eMMC设备的数组clone源码特定区域，通过配置CFG_RPMB_FS=y来增强安全性。

REE文件系统方案

       REE文件系统安全架构设计巧妙，TA通过调用内部API和系统服务，加密数据后通过tee-supplicant存储到Linux文件系统中，如/data/tee/目录。buck电路源码密钥管理模块负责数据加密和密钥的生成，包括SSK（设备级密钥）、TSK（TA级密钥）和FEK（文件加密密钥）的管理。

RPMB安全存储方案

       RPMB方案则更为直接，通过tee-supplicant与eMMC控制器交互，使用一次性编程的密钥进行数据加密和写入。OP-TEE配置CFG_RPMB_WRITE_KEY和CFG_RPMB_TESTKEY能决定是否由系统自身进行密钥编程，确保在生产环境下的安全性。

使用指南

       要启用安全存储，需在配置文件中分别设置REE文件系统和RPMB的开关。对于REE文件系统，需要芯片平台提供的tee_opt_get_hw_unique_key和tee_opt_get_die_id接口；对于RPMB，还需配置密钥编程选项。

实践与验证

       为了验证OP-TEE的安全存储功能，开发者可以参考xtest中的regression_.c和storage.c系列接口进行测试，文件系统安全存储方案的性能可以通过命令xtest -t benchmark 进行基准测试。

       OP-TEE的安全存储解决方案，凭借其细致的架构设计和灵活的配置选项，为数据存储提供了强大的安全保障，是现代应用中守护隐私与安全的得力助手。