分析mtk工具展讯写key unisoc npi security user guidesimba v5.1

1、UNISOC NPI Security User Guide版本: 5.1日期: 2019-07-251本文件所含数据和信息都属于紫光展锐及紫光展锐，紫光展锐保留所有相关权利。当您接受这份文件时，即表示您同意此份文件内含信息，且同意在未获得紫光展锐同意前，不使用或、整个或部分文件。紫光展锐在事先通知的情况下，对本文件做任何修改。紫光展锐对本文件所含数据和信息不做任何保证，在任何情况下，紫光展锐均不负责任何与文件相关的直接或间接的、任何或损失。2前言文档说明本文档主要针对展锐平台安全部署使用方法的指导说明。阅读对象本文档适用于研发测试和产线测试技术。内容介绍本文档包括七个章节，分别为：第一章：概

2、述第二章：测试环境第三章：SecurityServer 配置说明第四章：ROTPK 部署第五章：Attestation Keybox 部署第六章：IFAA 部署第七章：SOTER 部署第八章：FAQ文档约定本文档采用下面醒目标志来表示在操作过程中应该特别注意的地方。注意：提醒操作中应注意的事项。说明：说明比较重要的事项。- 3 -目录概述. - 6 -测试环境. - 7 -硬件要求 . - 7 -软件要求 . - 7 -安全部署前提条件. - 7 -产线安全部署流程. - 8 -产线安全部署C/S 架构. - 9 -Server 与 Client 配置说明. - 10 -Server UI 界

3、面说明. - 10 -运行SecurityServer. - 12 -Client 配置说明. - 13 -ROTPK 部署 . - 14 -配置SecurityServer 写ROTPK. - 14 -产线Client 部署 ROTPK. - 15 -检查SecureBoot 标志位. - 16 -Attestation KeyBox 部署. - 17 -分配Devices ID 并申请 KeyBox. - 17 -SecureToolBox 转换 Keybox 源文件 . - 19 -配置SecurityServer 写Attestation KeyBox. - 21 -产线Client

4、部署 Attestation KeyBox . - 22 -检查Attestation KeyBox 标志位. - 23 -IFAA 部署 . - 24 -接入 IFAA 平台. - 24 -配置SecurityServer 写 IFAA Key . - 25 -产线Client 部署 IFAA . - 26 -检查 IFAA 标志位及 Key Hash. - 27 -SOTER 部署. - 29 -MySQL 数据库的使用. - 30 -安装 MySQL 数据库. - 30 -导入SQL 表文件. - 31 -配置SecurityServer 写SOTER Key. - 33 -2.12.2

5、7.17.2- 4 -产线Client 部署 SOTER. - 34 -上传设备信息至服务器. - 35 -检查SOTER 标志位. - 37 -FAQ . - 38 -安装 MySQL 的常见问题 . - 38 -安全部署常见疑问及解答. - 38 -ROTPK 否可以重复部署？ . - 38 -Secrure Bit 未置位，进行安全部署会有什么问题？. - 38 -IFAA/SOTER/Keybox 写在那里，是否可以重复写入？ . - 38 -8.18.2维修更

6、换EMMC/BB，是否需要重新部署？. - 38 -更换重新模组是否需要重新进行部署. - 39 -是否需要重新进行部署. - 39 -8.3产线部署常见问题及解决方案. - 39 -未写 HUK. - 39 -初始化 RPMB key 错误. - 40 -初始化 image version error. - 40 -GTS testRsa/EcAttestation chain fail . - 41 -如何通过暗码显示 keybox 是否已经写入. - 41 -如何取消写 Keybox 时检查 DeviceID 关键字 . - 42 -单机版安全部署方案说明. - 42 -常见Error

7、Code . - 45 -安全部署Command ID 对应的操作. - 46 -附录 Revision History. - 47 -8.78.8- 5 -概述执行环境（TEE，Trusted Execution Environment） 是 Global Platform（GP）提出的概念。针对移动设备的开放环境，安全问题也越来越受到关注，不仅仅是终端用户，还包括服务提供者，移动运营商，以及厂商。TEE 是与设备上的Rich OS（通常是 Android 等）并存的运行环境，并且给 Rich OS 提供安全服务。支持TEE 功能在产线需要做安全部署。产线进行安全部署时，首

8、先会根据硬件的 HUK(HardwareUnique Key)绑定并初始化 EMMC 的RPMB 分区，用于提供安全；然后根据需求将 IFAA Key、SOTERKey 或者Keybox 写入该RPMB 分区，用来提供安全服务。RPMB（Replay Protected Memory Block）分区是 eMMC 中的一个具有安全特性的分区，写入数据到eMMC 的 RPMB 分区时，会校验数据的，只有指定的 Host 才能够写入，同时在读数据时，也提供了签名机制，保证 Host到的数据是RPMB 内部数据，而不是者的数据。在使用 RPMB 分区前，必须进行初始化（只能被初始化一次）：先根据 B

9、BHUK 生成一个唯一的256 bits 的 Secure Key，写到 EMMC 的 OTP 区域，这样实现了间的绑定；同时 Host 在安全区域中（例如：TEE）也会保留该 Secure Key；展锐 Secure Provisioning（安全部署）方案目前支持写 ROTPK(即 SecureBoot 功能)、写 IFAA Key、SOTER Key 以及 Attestation Keybox 等功能，各项功能相对，可以在不同站位分别进行部署，也可以在同一站位进行部署。- 6 -测试环境2.1硬件要求表 2-12.2软件要求表 2-22.3安全部署前提条件要求：Ø确保在出货前就

10、要完成写 HUK，否则会影响进行安全部署。ATE 阶段 Enable Secure BitATE 阶段写入Secure Efuse 的 HUK（HardWare Unique Key）图 2-1Ø 软件版本要求：软件需要做相应签名，支持 TEE 相关功能。- 7 -软件版本要求操作系统Win7、Win10SPRD USB 驱动版本 31MySQL（按需选择） 及以上版本FrameWork.Net FreameWork 4.0硬件基本要求PU：i5 及以上内存：4G 及以上连接线USB电源需提供稳定电压输出：使用精密电源或普通直流电源加展锐稳压板2.4产线

11、安全部署流程产线安全部署一般是在写 IMEI 的站位进行的，做完安全部署之后，需要在下一站位检查安全部署各项标志位是否正常，如下图所示：StartEnd图 2-2- 8 -2.5产线安全部署C/S 架构安全部署采用 C/S 架构，支持一台 Server 部署多台客户端；产线架构如下图所示： Security Server：整个安全部署生产流程的发起方及管理方。 产线 Client 工具：Simba 和WriteIMEI 工具都支持安全部署，本文档主要介绍 Simba 工具。安全部署过程中，产线 Client工具作用是透传 Security Server 的数据，是Security Server

12、 与通信“桥梁”。数据库（仅部署 SOTER 时需要）：SOTER 部署时生成的 Key，并上传到服务器。说明：除 SOTER 部署仍需要依赖 MySQL 数据库外，其他如写 ROTPK/IFAA/Keybox 不再依赖1.MySQL 数据库，很大程度上简化了产线部署流程。2.在进行试产或者验证时，产线 Client 工具、 Security Server 以及数据库可以使用同一台 PC；在进行量产时建议Server 和 Client在不同 PC 上。- 9 -Server 与 Client 配置说明SecurityServer 是安全部署流程的发起和管理方，安全部署需要执行那些操作都是在 S

13、ercurityServer端进行配置的：在 SecurityServer 的配置文件或者设置界面中配置需要执行的操作，如写 ROTPK、Keybox、IFAA Key、SOTER Key 等功能，该章节仅介绍Server 的一般配置方法，具体配置参考相应章节介绍。客户端（如 Simba 工具）的作用是将 SecurityServer 数据透传给待部署的设备。3.1Server UI 界面说明为了便于操作，SecurityServer 现已支持UI 界面的操作，可直接在 Server 的设置界面中进行配置：开启 Server 后，双击任务栏 Server 的图标或者右键选择 Setting 项

14、，进入设置界面，如下图所示，在该页面进行 Server 的配置：Security 设置界面说明如下：Ø Server Port：设置 Server 端的 Port需与客户端工具配置一致，一般使用默认的端即可。- 10 -Ø Project：选择或者新增 Project：目前不支持直接删除 Project，如果需要删除，可在 SecureOperations.ini 配置文件中进行删除（注意：先关闭 Server，然后在配置文件中进行删除）。支持新增 Project：修改一个已有 Project 名称，会新建 Projec（t 注意：配置好后要点击 OK 按钮保存）。

15、6; Deploy Item Configuration：配置部署项根据需求，在该区域勾选需要执行的操作，SystemInit、SystemClose、DeployEnd 由 Server自动添加，界面上未显示，不需要用户自己添加：/初始化RPMB 分区, Server 默认配置该项，无需修改SystemInit/写 ROTPK 到 Efuse；SetROTPK/获取 ROTPK Hash 值；GetROTPK/Attestation keybox：写入 Keybox 到RPMB 分区；SetKeyBox/IFAA：写 IFAA Key 到RPMB 分区；SetIfaaKeyGetSoterA

16、TTK/SOTER：生成密钥对，写入并上传公钥到数据库；SystemClose/关闭 CA，Server自动添加，无需修改/断开与客户端连接，Server自动添加，无需修改DeployEnd-如勾选了 SetKeyBox、SetIfaaKey 选项，必须设置 Keybox、IFAA Key 文件的路径：右键相应选项的Property 栏，选择 Keybox 或 IFAA Key 文件。- SystemInit、SystemClose、DeployEnd 三个选项是必选项，每个 Project 都会自动添加该选项，不需要用户自己添加。Ø MySQL Configuration：配置 M

17、ySQL 数据库仅 SOTER 部署需要使用MySQL 数据库。该配置项默认不可用，仅当勾选了 GetSoterATTK 项时，才需配置 MySQL。配置方法详见SOTER 部署相关章节。- 11 -3.2运行SecurityServer在进行部署前，需先开启Server，安全部署过程中需保证 Server 处于正常运行状态。Ø 双击 SecurityServer.exe 运行 SecurityServer，在任务栏中找到 Server 程序图标，右键 SecurityServer图标选择 Setting 项（或者直接双击 SecurityServer 图标）进入设置界面，如下图所示

18、：Ø 根据实际需求，在设置界面进行配置，选择或新建 Project，点击 OK 按钮保存后启动 Server，Server正常启动后会出现下图所示信息提示：如果启动失败也会弹出提示信息，图标变为灰色，如下图所示，图 3-4- 12 -查看Server 版本信息：右键 SecurityServer 图标选择 About 选项查看当前版本号，如下图所示，在该页面右击鼠标可直达 SecurityServer.exe 所在文件夹。3.3Client 配置说明在 Server 端配置好安全部署需要执行的操作后，还需配置 Client 与 Server 的连接，最终通过 Client 工具（如

19、Simba 工具）来完成部署，下面以 Simba 为例简单说明如何建立与Server 的连接：选择相应的 Seq，在 SecruityDeployClient 的常用页面中配置如下图所示：需要设置 Server IP 和Server Port：Server IP=/设置 SecurityServer 的 IP 地址， 表示本机/与 SecurityServer 中 port 设置一致，默认不需要修改Server Port=39998- 13 -ROTPK 部署ROTPK 全称 Root of Trust Public Key Hash，是根据硬件的 ID 来

20、生成的一组 KeyHash 值。产线部署ROTPK 会将该 KeyHash 写入Efuse 中，写ROTPK 成功后即开启 SecureBoot 功能，支持 TEE 环境则采用安全部署写ROTPK 的方式开启SecureBoot 功能；安全部署写ROTPK 是在TEE 环境中去完成写Efuse，更加安全且易于拓展。4.1配置SecurityServer 写ROTPKØ 在 SecurityServer 端配置安全部署需要执行的操作：双击任务栏 Server 的图标或者右键选择 Setting 项，进入设置界面，、SetROTPK 选项（其他测项按照实际需求进行勾选），如下图所示：&#

21、216; 然后点击 Ok 保存并启动 Server，并确保 Server 正常运行。说明：1.Server Port 一般不需要修改，在客户端配置一样的 Port 即可；2.可新建或者修改现有 Project，点击 OK 按钮保存并启动Server。- 14 -4.2产线Client 部署 ROTPK按照上一节说明，配置好SecurityServer 并正常启动后，配置客户端与Server 端建立连接，使用客户端工具进行部署：1.加载Seq 文件：打开 Simba 工具，加载BinProjectProvisionInfo_WriteX.seq 文件，勾选 EnterMode、SecurityD

22、eployClinet 等选项：2.与 SecurityServer 建立连接：在 SecurityDeployClient 常用页面设置 Server IP 和Server Port，如下所示：Server IP=/设置 SecurityServer 的 IP 地址， 表示本机/与 SecurityServer 中 port 设置一致，默认不需要修改Server Port=399983.产线部署：点击工具开始按钮，进试，测试成功界面如下图所示：图 4-3- 15 -4.3检查SecureBoot 标志位部署结束后可使用 Simba 工具检查 SecreuB

23、oot 标志位，确认部署是否 Pass：1.加载 Seq 文件：打开 Simba 工具，加载BinProjectProvisionInfo_CheckX.seq 文件，勾选 EnterModeCheckSecurityDeploy 等选项，CheckSecurityDeploy 常用页面中勾选 CheckSecureBoot 选项：2.返回到测试页面，点击工具开始按钮进试，测试 Pass 界面如下图所示：- 16 -图 4-5图 4-4Attestation KeyBox 部署Attestation key 在 Android7.0(Nougat)被添加，Android8.0(Oreo)开始强

24、制。所有的 Android 8.0 (Oreo)后续的全部设备都需要添加，并且必须拥有硬件支持的Keystore。包括 Android 8.1 (Go Edition)所有 GMS认证设备都需要，目前 GTS 也已经强制测试。请求Keybox并Keybox申请Keybox部署图 5-1分配Devices ID 并申请KeyBox5.1Attestation Key 在产线部署前需从APFE 申请 Keybox，并在生产线将申请到的 keybox 文件部署到每一台终端。Device ID 是由 OEM 进行指定分配，对应唯一的硬件设备，OEM 通过 Device ID 向申请Keybox，获取的

25、 KeyBox 文件，KeyBox 文件中包含 DeviceID 信息。图 5-2说明：1.2.一般可将 SN 作为 DeviceID 来申请 Keybox，因为 SN 也对应着唯一的硬件设备；用 SN 作为 DeviceID 申请 Keybox，并不意味着 DeviceID 与 SN 绑定，在产线部署时只要保证每个硬件写入一个唯一的 Keybox 就可以。- 17 -Keybox文件转换（产线预置）产线部署上传CTS测试结果到APFE设备通过CTS为了避免误将其他项目的 Keybox 文件到当前项目中，展锐平台方案增加了检查预设关键字功能；用于申请 Keybox 的 Device ID 必须

26、包含软件预设的关键字。展锐 Attestation Keybox 部署方案在写入前会检查当前 keybox 文件中的 DeviceID 是否与软件预设值匹配，如果不匹配则无法写入Android 8.1 软件预设关键字：ro.keybox.id.valueAndroid 9.0 软件预设关键字；ro.vendor.keybox.id.value下面以 SC7731E Andrioid 9.0 项目为例设置方法如下：在编译 pac 时，在 device/sprd/pike2/sp7731e_1h10/sp7731e_1h10_native.mk 文件中配置需要检索的字段，如下所示：#add for

27、 keybox prop valuePRODUCT_PROPERTY_OVERRIDES += ro.vendor.keybox.id.value=SPRD在写入 KeyBox 前会检查Keybox 中的 DeviesID 是否与软件预设关键字一致，如果不一致则无法写入。说明：1.软件预设关键字大小写敏感，为 keybox 文件中DeviceID 字段中固定不变子串2.展锐方案默认是在device/sprd/*/common/security_feature.mk 文件里面配置这个属性的，针对所有 board 都生效，客户在配置keybox 属性的时候，需要在各自的 board 里面合理配置该

28、属性- 18 -5.2SecureToolBox 转换Keybox 源文件从APFE 申请到 Keybox 源文件后，在生产前需要通过展锐转换工具将从申请到Keybox 源文件转换成适合部署的.db 文件，即 SecurityServer 目录BinToolBox下的 SecureToolBox.exe工具。打开SecureToolBox.exe 工具，在Attestation Keybox 页面，选择 keybox 源文件和目标文件路径，点击 Extract，将 Keybox 源文件转换成适合产线部署使用的 db 文件，如下图所示：转换成功后，工具提示 Splited keybox succ

29、essfully，并在目标路径下会生成目标 db 文件，如下图所示。图 5-4注意：1.Attestation KeyBox 必须在Attesation Keybox页面进行转换2.若 Keybox 源文件较大，可能需要花费一定时间，请耐心等待- 19 -SecureToolBox 分割 Keybox db 文件一般地，从谷歌申请到的Keybox 源文件包含 keybox 的数量比较多，可能实际生产并不需要将所有的keybox 都保存到同一个 db 文件中。SecrureToolBox.exe 工具另外还提供了一个比较实用的功能：分割Keybox db 文件的功能，支持从一个比较大的 Keyb

30、ox db 文件中分割出指定数量的 keybox 到另一个 db 文件中。打开SecureToolBox 工具，切换到 SplitKeyboxDb 页面，选择需要分割的 Keybox db 文件和输出文件，如下图所示：keyBoxDatabase File：选择需要分割的 db 文件（不能直接指定为 keybox 源文件）Split To：指定分割出 keybox的db 文件Split Number：指定分割的数量Total Number：显示当前 db 文件中 keybox 的数量。- 20 -5.3配置SecurityServer 写 Attestation KeyBox将从谷歌申请的ke

31、ybox 源文件转换成适合产线部署的 db 文件后，在 SecuritySever 中指定Keybox 文件路径，部署时会将指定的Keybox 写到RPMB 分区：Ø 在 SecurityServer 端配置安全部署需要执行的操作：双击任务栏 Server 的图标或者右键选择Setting 项，进入设置界面，勾选 SetKeyBox 选项（其他测项按照实际需求进行勾选），如下图所示：配置 Keybox db 文件路径：右键相应选项的 Property 栏，选择 Keybox 文件Ø然后点击 Ok 保存并启动 Server，并确保 Server 正常运行。Ø说明：1

32、.Server Port 一般不需要修改，在客户端配置一样的 Port 即可；2.可新建或者修改现有 Project，点击 OK 按钮保存并启动Server。3.根据谷歌的要求，一个硬件对应一个 Keybox，故 Keybox 写成功后，会将已写过的 Keybox 从当前 db 文件中删除- 21 -5.4产线 Client 部署 Attestation KeyBox按照上一节说明，配置好SecurityServer 并正常启动后，配置客户端与Server 端建立连接，使用客户端工具进行部署：1.加载Seq 文件：打开 Simba 工具，加载BinProjectProvisionInfo_Wr

33、iteX.seq 文件，勾选 EnterMode、SecurityDeployClinet 等选项：2.与 SecurityServer 建立连接：在 SecurityDeployClient 常用页面设置 Server IP 和Server Port，如下所示：Server IP=/设置 SecurityServer 的 IP 地址， 表示本机/与 SecurityServer 中 port 设置一致，默认不需要修改Server Port=399983.产线部署：点击工具开始按钮，进试，测试成功界面如下图所示，同时工具界面会显示当前Keybox db 文件

34、中的 Keybox 使用情况。图 5-8- 22 -5.5检查 Attestation KeyBox 标志位部署结束后使用 Simba 工具检查 Attestation KeyBox 标志位是否Pass：1.加载 Seq 文件：打开 Simba 工具，加载BinProjectProvisionInfo_CheckX.seq 文件，勾选EnterModeCheckSecurityDeploy 等选项，CheckSecurityDeploy 常用页面中勾选 CheckAtestKeybox 选项：2.返回到测试页面，点击工具开始按钮进试，测试 Pass 界面如下图所示：- 23 -IFAA 部署互

35、联网金融认证(IFAA)、是阿里主导的一种移动支付认证方式，基于公钥校验体系，能够强有力的防范行为。如果需要接入 IFAA 平台，则需要进行 IFAA 认证及产线部署。6.1接入IFAA 平台IFAA 官网：h/获取加入 IFAA 的流程说明，也可参阅相IFAA 终端厂商接入流程.docx。首先使用SecurityServer 中 ToolBox 目录下的 SecureToolBox.exe 工具生成设备密钥，如下图所：然后将 Public Key 上传至IFAA 服务器 h/。说明：1. SecureToolBox 生成的 IFAA Public Key 上传至 IFAA 服务器、IFAA

36、Key Pair 用于产线部署；2. SecureToolBox 每次生成的密钥对文件都不一同，生成的公钥及密钥对文件需要妥善保管。3. IFAA 采用一型一密，相同型号的只需要生成一次密钥对文件就可以了。- 24 -6.2配置SecurityServer 写IFAA Key产线 IFAA 部署时将指定的 IFAA Key Pair 文件写入到的 RPMB 分区，在 SecurityServer 中配置IFAA Key Pair 的文件路径Ø 在 SecurityServer 端配置安全部署需要执行的操作：双击任务栏 Server 的图标或者右键选择Setting 项，进入设置界面，

37、勾选 SetIfaaKey 选项（其他测项按照实际需求进行勾选），如下图所示：配置 IFAA Key 文件路径：右键相应选项的 Property 栏，选择 IFAA Key 文件Ø然后点击 Ok 保存并启动 Server，并确保 Server 正常运行。Ø说明：1.Server Port 一般不需要修改，在客户端配置一样的 Port 即可；2.可新建或者修改现有 Project，点击 OK 按钮保存并启动Server。3.IFAA Key Pair 即由SecureToolBox 工具生成的 IFAA Key Pair 文件- 25 -6.3产线Client 部署 IFAA

38、按照上一节说明，配置好SecurityServer 并正常启动后，配置客户端与Server 端建立连接，使用客户端工具进行部署：1.加载Seq 文件：打开 Simba 工具，加载BinProjectProvisionInfo_WriteX.seq 文件，勾选 EnterMode、SecurityDeployClinet 等选项：2.与 SecurityServer 建立连接：在 SecurityDeployClient 常用页面设置 Server IP 和Server Port，如下所示：Server IP=/设置 SecurityServer 的 IP 地址，127.0.0

39、.1 表示本机/与 SecurityServer 中 port 设置一致，默认不需要修改Server Port=399983.产线部署：点击工具开始按钮，进试，测试成功界面如下图所示：图 6-4- 26 -6.4检查IFAA 标志位及Key Hash部署结束后使用 Simba 工具检查 IFAA 标志位是否 Pass：1.加载 Seq 文件：打开 Simba 工具，加载BinProjectProvisionInfo_CheckX.seq 文件，勾选Enter ModeCheckSecurityDeploy 等选项，CheckSecurityDeploy 常用页面中勾选 CheckIFAA En

40、able选项：2.如果CheckSecurityDeploy 常用页面设置IFAAKey 的值，除检查 IFAA 标志位外，则会检查写入里的 IFAA Key 的 Hash 值是正确，如下所示：图 6-6- 27 -可使用 SecurityServer 中BinToolBoxSecureToolBox.exe 工具可IFAA Key 的 Hash 值：切换到PriHash 页面，导入密钥文件计算获得，如下图所示：3.返回到测试页面，点击工具开始按钮进试，测试 Pass 界面如下图所示：- 28 -SOTER 部署SOTER，即腾讯生物认证平台，如需接入 SOTER 平台进行TENcent SO

41、TER 认证，则需要进行 SOTER产线部署。先SOTER 合作官网：weco，按平台指引账号。关于 SOTER 开发及接入详细流程请参阅SOTER 开发接入流程.docx及SOTER 终端厂商接入流程.docx产线SOTER 部署采用一机一密，需要使用 MySQL 数据库。部署时由硬件生成一对公私钥，将私钥写入RPMB 分区，公钥上传至 MySQL 数据库，部署完之后再将 MySQL 数据库的内容上传到SOTER服务器。说明：1. 产线部署采用的是C/S 架构，OEM 应该将部署服务器（数据库信息配置在服务器端），产线站位客户端通过 socket 与服务器进行交互，不应将服务器应用跟客户端应

42、用放在同一台PC 上运行的方式2. 关于数据加固部分，ODM产线运维可以定期对数据库内容进行备份，防止数据丢失。- 29 -7.1MySQL 数据库的使用SOTER 部署必须要使用 MySQL 数据库外用来储存硬件生成的 Key，并将上传至服务器。安装 MySQL 数据库推荐 MySQL 版本： 以上版本运行 MYSQL 安装文件，安装 MySQL 数据库，安装过程中注意以下事项：Ø 电脑设置为管理员权限Ø 需启用 TCP/IP 连接（Enable TCP/IP Networking, Port Number:3306）Ø 设置 MySQL Roo

43、tØ 点击 Add User，建立 MySQL 账号（Host 栏位选择”All Host (%)”项）- 30 -导入 SQL 表文件MySQL 安装完之后，需要建立数据库，并导入指定的数据库表结构文件（即SQL 文件，在SecurityServer目录BinToolBoxSQL 下的 itrust.sql 文件）为了方便数据库管理，建议安装 Navicat 数据库管理工具，下面以 Navicat 工具示例如何导入 SQL 表结构文件（也可以使用其他 SQL 管理工具导入文件）：1.打开 Navicat 工具，新建连接，输入连接名、主机 IP（本机可直接输入 localhost）、用户名及（MySQL 服务端设置的用户名及），完成后进行连接测试，连接成功后点击确定2.新建数据库，并导入 SQL 文件：Ø 新建数据库：右键上一步建立的连接，点击“新建数据库”，数据库