简介在Easy-EAI生态的商业化落地中核心算法模型如.rknn权重文件和业务代码的知识产权保护是诸多客户的刚需。本文将介绍一种基于设备唯一序列号CPU Serial的“一机一码”加密方案。这套机制能够有效防止软件和AI模型被恶意拷贝为你的嵌入式产品穿上第一层防弹衣但因加密算法种类非常繁多本文只是适合该产品的其中一种方案。一、理论分析1. 核心加密逻辑从串码到密钥单纯在代码里做 if (serial f175...)的明文比对是非常脆弱的防君子不防小人极易被逆向破解。完整的安全方案读取获取当前设备的 CPU Serial。加盐Salt与哈希将 Serial 与开发者自定义的一段隐秘字符串Salt拼接通过 SHA-256 算法计算出不可逆的摘要将此摘要作为对称加密的动态密钥Key。加解密执行利用该动态密钥结合 AES-256 等算法在程序启动时动态解密核心授权文件License或模型文件。2. 底层架构延伸从 Linux 系统层面读取 /proc/cpuinfo是兼顾效率与通用性的解法。但如果你对安全性有极致要求Rockchip 芯片底层其实提供了更硬核的支持OTP (One-Time Programmable) 存储芯片内部的一块物理熔断存储区。数据一旦写入便无法篡改通常用于存放 Secure Boot 的公钥 Hash 或设备的“根密钥”。硬件 Crypto 引擎自带硬件加密模块支持 AES/RSA 等算法的硬件级加速不占用 CPU 算力。工程取舍OTP 烧写不可逆对产线管理要求极高而本文的“系统节点 Serial 软件级混淆”方案则是在开发部署效率与安全防护之间最平衡的最佳实践。二、功能实现为了方便大家在开发板上直接复现将创建一个名为 easy-eai-auth 的工程目录。请在你的板端的工作目录下执行以下操作。1. 工程目录结构预览首先创建工程文件夹并进入mkdir /userdata/easy-eai-auth cd /userdata/easy-eai-auth我们最终的目录结构如下easy-eai-auth/ ├── hw_auth.h # 核心函数声明与宏定义 ├── hw_auth.c # 序列号读取与密钥生成的具体实现 ├── main.c # 业务层的调用演示 └── build.sh # 一键编译脚本2. 核心代码编写文件一hw_auth.h (头文件配置)统一管理跨文件的函数声明和关键的“盐值”。#ifndef __HW_AUTH_H__ #define __HW_AUTH_H__ #include stddef.h /* * 【核心配置】定义私有盐值 (Salt)。 * 警告实际生产项目中千万不要像这样将明文字符串直接写在代码里 * 建议将字符串拆分成多个字符数组分布在不同文件中或在运行时通过复杂逻辑动态拼接 * 以防止黑客通过 strings 命令或静态反汇编轻易提取出该盐值。 */ #define PRIVATE_SALT Easy-EAI_Rockchip_RV1126B_Secret_2026 #ifdef __cplusplus extern C { // 确保在 C 编译器下依然使用 C 语言的符号命名规则避免链接失败 #endif // 获取 CPU 序列号 int get_cpu_serial(char *serial_out, size_t max_len); // 根据序列号与盐值生成 32 字节的 AES 密钥 void generate_aes_key(const char *serial, unsigned char *aes_key); #ifdef __cplusplus } #endif #endif // __HW_AUTH_H__文件二hw_auth.c (核心逻辑实现)处理与 Linux 底层 /proc/cpuinfo 节点的交互以及 OpenSSL 哈希生成。#include stdio.h #include string.h #include openssl/sha.h #include hw_auth.h /* * 函数说明读取并解析 /proc/cpuinfo 获取硬件序列号 * 底层逻辑/proc/cpuinfo 并不是真实硬盘上的文件而是内核在内存中实时生成的硬件快照。 * 返回值成功返回 0并将序列号写入 serial_out失败返回 -1。 */ int get_cpu_serial(char *serial_out, size_t max_len) { FILE *fp fopen(/proc/cpuinfo, r); if (!fp) { perror(Failed to open /proc/cpuinfo); return -1; } char line[256]; const char *target Serial; // 使用 fgets 逐行读取相比 fscanf 更安全可有效防止缓冲区溢出 while (fgets(line, sizeof(line), fp)) { // 匹配以 Serial 开头的特征行 if (strncmp(line, target, strlen(target)) 0) { char *colon strchr(line, :); if (colon) { // 核心解析提取冒号后的内容。 // %s 中的空格会让 sscanf 自动跳过冒号和串码之间的前导空格和制表符 sscanf(colon 1, %s, serial_out); fclose(fp); return 0; } } } fclose(fp); return -1; } /* * 函数说明基于硬件序列号生成 AES 密钥 * 底层逻辑利用 SHA-256 的不可逆性和雪崩效应将“明文串码”“内部盐值”彻底打碎 * 映射为一段 256-bit (32 Byte) 的无规律二进制流作为最高强度的对称密钥。 */ void generate_aes_key(const char *serial, unsigned char *aes_key) { char combined_str[512]; // 步骤1拼接明文 Serial 和 Salt snprintf(combined_str, sizeof(combined_str), %s_%s, serial, PRIVATE_SALT); // 步骤2初始化 SHA-256 上下文状态机 SHA256_CTX sha256; SHA256_Init(sha256); // 步骤3喂入数据进行运算 (Update 允许分多次喂入庞大数据这里我们一次喂完) SHA256_Update(sha256, combined_str, strlen(combined_str)); // 步骤4提取最终的 32 字节哈希值到 aes_key 数组中 SHA256_Final(aes_key, sha256); }文件三main.c 主函数引入 OpenSSL 的EVP接口在内存中完成数据的 AES-256-CBC 加密与解密闭环。#include stdio.h #include string.h #include openssl/sha.h #include openssl/evp.h #include hw_auth.h /* * 初始向量 (Initialization Vector, IV) * 在 AES-CBC (密码分组链接) 模式下相同的明文块加密出的密文会不同这依赖于 IV。 * 规范做法每次加密应随机生成 16 字节 IV并将其与密文拼接存放在一起。解密时提取使用。 * 为降低 Demo 复杂度此处采用硬编码的固定 IV。 */ unsigned char aes_iv[16] {0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08, 0x09, 0x0A, 0x0B, 0x0C, 0x0D, 0x0E, 0x0F, 0x10}; /* * AES-256-CBC 解密包装函数 * 相比于底层的 AES_xxx 接口EVP 接口的优势在于它会自动处理数据尾部的 Padding(填充)。 */ int aes_decrypt(const unsigned char *ciphertext, int ciphertext_len, const unsigned char *key, unsigned char *plaintext) { EVP_CIPHER_CTX *ctx EVP_CIPHER_CTX_new(); int len; int plaintext_len; // 初始化指定使用 aes_256_cbc 算法并载入动态生成的 key 和 IV EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL, key, aes_iv); // 核心解密处理绝大部分数据块 EVP_DecryptUpdate(ctx, plaintext, len, ciphertext, ciphertext_len); plaintext_len len; // 尾部处理处理最后由于对齐要求而填充的废弃字节 EVP_DecryptFinal_ex(ctx, plaintext len, len); plaintext_len len; EVP_CIPHER_CTX_free(ctx); return plaintext_len; } // AES-256-CBC 加密包装函数 (逻辑与解密对称) int aes_encrypt(const unsigned char *plaintext, int plaintext_len, const unsigned char *key, unsigned char *ciphertext) { EVP_CIPHER_CTX *ctx EVP_CIPHER_CTX_new(); int len; int ciphertext_len; EVP_EncryptInit_ex(ctx, EVP_aes_256_cbc(), NULL, key, aes_iv); EVP_EncryptUpdate(ctx, ciphertext, len, plaintext, plaintext_len); ciphertext_len len; EVP_EncryptFinal_ex(ctx, ciphertext len, len); ciphertext_len len; EVP_CIPHER_CTX_free(ctx); return ciphertext_len; } int main() { char serial[64] {0}; unsigned char aes_key[SHA256_DIGEST_LENGTH]; // SHA256 固定输出 32 字节 printf(--- Easy-EAI Hardware Binding Crypto Demo ---\n); // 1. 获取硬件序列号并生成专属密钥 if (get_cpu_serial(serial, sizeof(serial)) ! 0) { printf([-] Error: Could not read hardware serial. Exiting...\n); return -1; } generate_aes_key(serial, aes_key); printf([] Hardware Key generated for Serial: %s\n, serial); // 应用层实战演示 // 模拟核心资产在实际项目中这通常是你读入内存的 .rknn 模型二进制流 unsigned char *secret_asset (unsigned char *)EASY-EAI-PREMIUM-LICENSE-VALID; int asset_len strlen((char *)secret_asset); // 分配密文和解密后明文的缓冲区 (比原资产大一些用于容纳 AES 块对齐产生的填充字节) unsigned char ciphertext[128] {0}; unsigned char decryptedtext[128] {0}; // 2. 模拟发行阶段用硬件密钥加密资产 // (实际产线中这一步通常在独立的烧录工具上提前完成下发到板子里的直接是密文) int ciphertext_len aes_encrypt(secret_asset, asset_len, aes_key, ciphertext); printf(\n[*] Encrypting Core Asset...\n); printf( Ciphertext (Hex): ); for(int i 0; i ciphertext_len; i) printf(%02x, ciphertext[i]); printf(\n); // 3. 模拟设备运行阶段程序启动时利用当面板子的硬件密钥解密资产 printf(\n[*] Decrypting with Hardware Key...\n); int decryptedtext_len aes_decrypt(ciphertext, ciphertext_len, aes_key, decryptedtext); decryptedtext[decryptedtext_len] \0; // 补充结束符方便后续按字符串打印 // 4. 业务校验逻辑 // 这里的验证非常关键如果在一台错误的设备上运行aes_key 就错了解密出来的就会是一堆乱码 if (strncmp((char *)decryptedtext, (char *)secret_asset, asset_len) 0) { printf([] Decryption SUCCESS! Secret payload: %s\n, decryptedtext); printf([] Program can continue to load AI models...\n); } else { printf([-] Decryption FAILED! Data corruption or unauthorized hardware.\n); return -1; } // 【极其重要的安全收尾】离开作用域前立刻将内存中的敏感明文和密钥擦除为 0 // 防止被黑客通过内存 Dump (如通过 /proc/kcore 或 GDB 附加) 将密钥捞走 memset(aes_key, 0, sizeof(aes_key)); memset(decryptedtext, 0, sizeof(decryptedtext)); return 0; }备注文件四build.sh (编译脚本)由于使用了 OpenSSL 库编译时必须动态链接 -lcrypto。#!/bin/bash # 注意若为 Ubuntu 宿主机给 RV1126 交叉编译请将 gcc 替换为实际的交叉编译器链 # 例如 CCarm-linux-gnueabihf-gcc CCgcc echo Compiling Easy-EAI hardware auth demo... $CC main.c hw_auth.c -o hw_bind_demo -lcrypto if [ $? -eq 0 ]; then echo Build success! Executable generated: ./hw_bind_demo else echo Build failed. Please ensure libssl-dev is installed. fi3. 编译与执行演示在确保 4 个文件都在 /userdata/easy-eai-auth 目录下后在终端依次执行以下命令1赋予编译脚本可执行权限chmod x build.sh2执行编译./build.sh3运行生成的二进制可执行文件./hw_bind_demo总结通过/proc/cpuinfo 获取Serial 哈希加盐生成密钥 AES 动态解密核心资产的流程我们以极低的开发成本实现了一套可靠的硬件绑定机制。不要在代码中写 if (check_license() true) 这样的返回布尔值的校验逻辑黑客只需修改汇编代码中的一个跳转指令如将 BNE 改为 BEQ就能彻底绕过防线。让“数据强耦合”必须让验证逻辑参与到核心数据的解密中去一旦Serial不对解密出来的.rknn模型就是一堆乱码程序直接崩溃退出这才是嵌入式加密设计的精髓。【附录核心密码学概念】对于平时专注于底层驱动或 AI 算法的工程师如果对上文提及的安全术语感到陌生可以通过以下类比快速建立概念概念通俗解释核心特性哈希 (Hash / 散列)数据界的“绞肉机”。无论你放入一本 10MB 的书还是一个短句它都会吐出一段固定长度如 32 字节的乱码。不可逆你无法从肉馅还原出整块肉并且具备“雪崩效应”原文哪怕只改动一个标点符号输出的哈希值也会面目全非。加盐 (Salt)为了防止黑客用预先计算好的“哈希对照表”彩虹表暴力撞库我们在原文如硬件 Serial送入哈希函数前强行拼接一段只有开发者知道的“私有字符串”也就是这把盐。即使两台设备碰巧序列号相似因为“盐”的存在它们生成的最终密钥也无法被轻易猜测。SHA-256 (Secure Hash Algorithm 256-bit)由美国国家安全局 (NSA) 设计的一种极其强悍的哈希算法。不管输入多长必定输出 256 位32 字节的结果。这是目前工业界最常用的摘要算法在本文中被用来充当从“字符串”到“标准化二进制密钥”的转换器。AES-256 (Advanced Encryption Standard)目前全球公认最安全、使用最广的“对称加密”算法。“对称”意味着你用什么钥匙锁门加密就得用相同的钥匙开门解密。256 代表它使用 256-bit32 字节的密钥进行加解密。破解它的难度目前只停留在理论层面以人类现有的计算机算力直到宇宙毁灭也无法靠暴力枚举破解 256 位密钥。本文中这段最关键的密钥正是由设备序列号通过 SHA-256 动态生成的。
“一机一码”安全加密方案
发布时间:2026/6/11 16:22:03
简介在Easy-EAI生态的商业化落地中核心算法模型如.rknn权重文件和业务代码的知识产权保护是诸多客户的刚需。本文将介绍一种基于设备唯一序列号CPU Serial的“一机一码”加密方案。这套机制能够有效防止软件和AI模型被恶意拷贝为你的嵌入式产品穿上第一层防弹衣但因加密算法种类非常繁多本文只是适合该产品的其中一种方案。一、理论分析1. 核心加密逻辑从串码到密钥单纯在代码里做 if (serial f175...)的明文比对是非常脆弱的防君子不防小人极易被逆向破解。完整的安全方案读取获取当前设备的 CPU Serial。加盐Salt与哈希将 Serial 与开发者自定义的一段隐秘字符串Salt拼接通过 SHA-256 算法计算出不可逆的摘要将此摘要作为对称加密的动态密钥Key。加解密执行利用该动态密钥结合 AES-256 等算法在程序启动时动态解密核心授权文件License或模型文件。2. 底层架构延伸从 Linux 系统层面读取 /proc/cpuinfo是兼顾效率与通用性的解法。但如果你对安全性有极致要求Rockchip 芯片底层其实提供了更硬核的支持OTP (One-Time Programmable) 存储芯片内部的一块物理熔断存储区。数据一旦写入便无法篡改通常用于存放 Secure Boot 的公钥 Hash 或设备的“根密钥”。硬件 Crypto 引擎自带硬件加密模块支持 AES/RSA 等算法的硬件级加速不占用 CPU 算力。工程取舍OTP 烧写不可逆对产线管理要求极高而本文的“系统节点 Serial 软件级混淆”方案则是在开发部署效率与安全防护之间最平衡的最佳实践。二、功能实现为了方便大家在开发板上直接复现将创建一个名为 easy-eai-auth 的工程目录。请在你的板端的工作目录下执行以下操作。1. 工程目录结构预览首先创建工程文件夹并进入mkdir /userdata/easy-eai-auth cd /userdata/easy-eai-auth我们最终的目录结构如下easy-eai-auth/ ├── hw_auth.h # 核心函数声明与宏定义 ├── hw_auth.c # 序列号读取与密钥生成的具体实现 ├── main.c # 业务层的调用演示 └── build.sh # 一键编译脚本2. 核心代码编写文件一hw_auth.h (头文件配置)统一管理跨文件的函数声明和关键的“盐值”。#ifndef __HW_AUTH_H__ #define __HW_AUTH_H__ #include stddef.h /* * 【核心配置】定义私有盐值 (Salt)。 * 警告实际生产项目中千万不要像这样将明文字符串直接写在代码里 * 建议将字符串拆分成多个字符数组分布在不同文件中或在运行时通过复杂逻辑动态拼接 * 以防止黑客通过 strings 命令或静态反汇编轻易提取出该盐值。 */ #define PRIVATE_SALT Easy-EAI_Rockchip_RV1126B_Secret_2026 #ifdef __cplusplus extern C { // 确保在 C 编译器下依然使用 C 语言的符号命名规则避免链接失败 #endif // 获取 CPU 序列号 int get_cpu_serial(char *serial_out, size_t max_len); // 根据序列号与盐值生成 32 字节的 AES 密钥 void generate_aes_key(const char *serial, unsigned char *aes_key); #ifdef __cplusplus } #endif #endif // __HW_AUTH_H__文件二hw_auth.c (核心逻辑实现)处理与 Linux 底层 /proc/cpuinfo 节点的交互以及 OpenSSL 哈希生成。#include stdio.h #include string.h #include openssl/sha.h #include hw_auth.h /* * 函数说明读取并解析 /proc/cpuinfo 获取硬件序列号 * 底层逻辑/proc/cpuinfo 并不是真实硬盘上的文件而是内核在内存中实时生成的硬件快照。 * 返回值成功返回 0并将序列号写入 serial_out失败返回 -1。 */ int get_cpu_serial(char *serial_out, size_t max_len) { FILE *fp fopen(/proc/cpuinfo, r); if (!fp) { perror(Failed to open /proc/cpuinfo); return -1; } char line[256]; const char *target Serial; // 使用 fgets 逐行读取相比 fscanf 更安全可有效防止缓冲区溢出 while (fgets(line, sizeof(line), fp)) { // 匹配以 Serial 开头的特征行 if (strncmp(line, target, strlen(target)) 0) { char *colon strchr(line, :); if (colon) { // 核心解析提取冒号后的内容。 // %s 中的空格会让 sscanf 自动跳过冒号和串码之间的前导空格和制表符 sscanf(colon 1, %s, serial_out); fclose(fp); return 0; } } } fclose(fp); return -1; } /* * 函数说明基于硬件序列号生成 AES 密钥 * 底层逻辑利用 SHA-256 的不可逆性和雪崩效应将“明文串码”“内部盐值”彻底打碎 * 映射为一段 256-bit (32 Byte) 的无规律二进制流作为最高强度的对称密钥。 */ void generate_aes_key(const char *serial, unsigned char *aes_key) { char combined_str[512]; // 步骤1拼接明文 Serial 和 Salt snprintf(combined_str, sizeof(combined_str), %s_%s, serial, PRIVATE_SALT); // 步骤2初始化 SHA-256 上下文状态机 SHA256_CTX sha256; SHA256_Init(sha256); // 步骤3喂入数据进行运算 (Update 允许分多次喂入庞大数据这里我们一次喂完) SHA256_Update(sha256, combined_str, strlen(combined_str)); // 步骤4提取最终的 32 字节哈希值到 aes_key 数组中 SHA256_Final(aes_key, sha256); }文件三main.c 主函数引入 OpenSSL 的EVP接口在内存中完成数据的 AES-256-CBC 加密与解密闭环。#include stdio.h #include string.h #include openssl/sha.h #include openssl/evp.h #include hw_auth.h /* * 初始向量 (Initialization Vector, IV) * 在 AES-CBC (密码分组链接) 模式下相同的明文块加密出的密文会不同这依赖于 IV。 * 规范做法每次加密应随机生成 16 字节 IV并将其与密文拼接存放在一起。解密时提取使用。 * 为降低 Demo 复杂度此处采用硬编码的固定 IV。 */ unsigned char aes_iv[16] {0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08, 0x09, 0x0A, 0x0B, 0x0C, 0x0D, 0x0E, 0x0F, 0x10}; /* * AES-256-CBC 解密包装函数 * 相比于底层的 AES_xxx 接口EVP 接口的优势在于它会自动处理数据尾部的 Padding(填充)。 */ int aes_decrypt(const unsigned char *ciphertext, int ciphertext_len, const unsigned char *key, unsigned char *plaintext) { EVP_CIPHER_CTX *ctx EVP_CIPHER_CTX_new(); int len; int plaintext_len; // 初始化指定使用 aes_256_cbc 算法并载入动态生成的 key 和 IV EVP_DecryptInit_ex(ctx, EVP_aes_256_cbc(), NULL, key, aes_iv); // 核心解密处理绝大部分数据块 EVP_DecryptUpdate(ctx, plaintext, len, ciphertext, ciphertext_len); plaintext_len len; // 尾部处理处理最后由于对齐要求而填充的废弃字节 EVP_DecryptFinal_ex(ctx, plaintext len, len); plaintext_len len; EVP_CIPHER_CTX_free(ctx); return plaintext_len; } // AES-256-CBC 加密包装函数 (逻辑与解密对称) int aes_encrypt(const unsigned char *plaintext, int plaintext_len, const unsigned char *key, unsigned char *ciphertext) { EVP_CIPHER_CTX *ctx EVP_CIPHER_CTX_new(); int len; int ciphertext_len; EVP_EncryptInit_ex(ctx, EVP_aes_256_cbc(), NULL, key, aes_iv); EVP_EncryptUpdate(ctx, ciphertext, len, plaintext, plaintext_len); ciphertext_len len; EVP_EncryptFinal_ex(ctx, ciphertext len, len); ciphertext_len len; EVP_CIPHER_CTX_free(ctx); return ciphertext_len; } int main() { char serial[64] {0}; unsigned char aes_key[SHA256_DIGEST_LENGTH]; // SHA256 固定输出 32 字节 printf(--- Easy-EAI Hardware Binding Crypto Demo ---\n); // 1. 获取硬件序列号并生成专属密钥 if (get_cpu_serial(serial, sizeof(serial)) ! 0) { printf([-] Error: Could not read hardware serial. Exiting...\n); return -1; } generate_aes_key(serial, aes_key); printf([] Hardware Key generated for Serial: %s\n, serial); // 应用层实战演示 // 模拟核心资产在实际项目中这通常是你读入内存的 .rknn 模型二进制流 unsigned char *secret_asset (unsigned char *)EASY-EAI-PREMIUM-LICENSE-VALID; int asset_len strlen((char *)secret_asset); // 分配密文和解密后明文的缓冲区 (比原资产大一些用于容纳 AES 块对齐产生的填充字节) unsigned char ciphertext[128] {0}; unsigned char decryptedtext[128] {0}; // 2. 模拟发行阶段用硬件密钥加密资产 // (实际产线中这一步通常在独立的烧录工具上提前完成下发到板子里的直接是密文) int ciphertext_len aes_encrypt(secret_asset, asset_len, aes_key, ciphertext); printf(\n[*] Encrypting Core Asset...\n); printf( Ciphertext (Hex): ); for(int i 0; i ciphertext_len; i) printf(%02x, ciphertext[i]); printf(\n); // 3. 模拟设备运行阶段程序启动时利用当面板子的硬件密钥解密资产 printf(\n[*] Decrypting with Hardware Key...\n); int decryptedtext_len aes_decrypt(ciphertext, ciphertext_len, aes_key, decryptedtext); decryptedtext[decryptedtext_len] \0; // 补充结束符方便后续按字符串打印 // 4. 业务校验逻辑 // 这里的验证非常关键如果在一台错误的设备上运行aes_key 就错了解密出来的就会是一堆乱码 if (strncmp((char *)decryptedtext, (char *)secret_asset, asset_len) 0) { printf([] Decryption SUCCESS! Secret payload: %s\n, decryptedtext); printf([] Program can continue to load AI models...\n); } else { printf([-] Decryption FAILED! Data corruption or unauthorized hardware.\n); return -1; } // 【极其重要的安全收尾】离开作用域前立刻将内存中的敏感明文和密钥擦除为 0 // 防止被黑客通过内存 Dump (如通过 /proc/kcore 或 GDB 附加) 将密钥捞走 memset(aes_key, 0, sizeof(aes_key)); memset(decryptedtext, 0, sizeof(decryptedtext)); return 0; }备注文件四build.sh (编译脚本)由于使用了 OpenSSL 库编译时必须动态链接 -lcrypto。#!/bin/bash # 注意若为 Ubuntu 宿主机给 RV1126 交叉编译请将 gcc 替换为实际的交叉编译器链 # 例如 CCarm-linux-gnueabihf-gcc CCgcc echo Compiling Easy-EAI hardware auth demo... $CC main.c hw_auth.c -o hw_bind_demo -lcrypto if [ $? -eq 0 ]; then echo Build success! Executable generated: ./hw_bind_demo else echo Build failed. Please ensure libssl-dev is installed. fi3. 编译与执行演示在确保 4 个文件都在 /userdata/easy-eai-auth 目录下后在终端依次执行以下命令1赋予编译脚本可执行权限chmod x build.sh2执行编译./build.sh3运行生成的二进制可执行文件./hw_bind_demo总结通过/proc/cpuinfo 获取Serial 哈希加盐生成密钥 AES 动态解密核心资产的流程我们以极低的开发成本实现了一套可靠的硬件绑定机制。不要在代码中写 if (check_license() true) 这样的返回布尔值的校验逻辑黑客只需修改汇编代码中的一个跳转指令如将 BNE 改为 BEQ就能彻底绕过防线。让“数据强耦合”必须让验证逻辑参与到核心数据的解密中去一旦Serial不对解密出来的.rknn模型就是一堆乱码程序直接崩溃退出这才是嵌入式加密设计的精髓。【附录核心密码学概念】对于平时专注于底层驱动或 AI 算法的工程师如果对上文提及的安全术语感到陌生可以通过以下类比快速建立概念概念通俗解释核心特性哈希 (Hash / 散列)数据界的“绞肉机”。无论你放入一本 10MB 的书还是一个短句它都会吐出一段固定长度如 32 字节的乱码。不可逆你无法从肉馅还原出整块肉并且具备“雪崩效应”原文哪怕只改动一个标点符号输出的哈希值也会面目全非。加盐 (Salt)为了防止黑客用预先计算好的“哈希对照表”彩虹表暴力撞库我们在原文如硬件 Serial送入哈希函数前强行拼接一段只有开发者知道的“私有字符串”也就是这把盐。即使两台设备碰巧序列号相似因为“盐”的存在它们生成的最终密钥也无法被轻易猜测。SHA-256 (Secure Hash Algorithm 256-bit)由美国国家安全局 (NSA) 设计的一种极其强悍的哈希算法。不管输入多长必定输出 256 位32 字节的结果。这是目前工业界最常用的摘要算法在本文中被用来充当从“字符串”到“标准化二进制密钥”的转换器。AES-256 (Advanced Encryption Standard)目前全球公认最安全、使用最广的“对称加密”算法。“对称”意味着你用什么钥匙锁门加密就得用相同的钥匙开门解密。256 代表它使用 256-bit32 字节的密钥进行加解密。破解它的难度目前只停留在理论层面以人类现有的计算机算力直到宇宙毁灭也无法靠暴力枚举破解 256 位密钥。本文中这段最关键的密钥正是由设备序列号通过 SHA-256 动态生成的。
)
)
:Compose 中的动画 —— 从简单过渡到复杂交互引言:动画让应用活起来在之前的教程中,我们零散地使用过动画:点击按钮的缩放效果、列表项进入的淡入淡出)
