# 从 Qualcomm TEE 启用设备配置 配置 Qualcomm TEE 对于维护管理敏感数据和运行受信任应用程序的设备的安全性、合规性、性能和灵活性至关重要。可以使用设备配置 (devcfg) 框架调整 Qualcomm TEE 配置,该框架提供了一种集中的方式来管理和调整特定于设备的设置。 ## 前提条件 > > > - [在设备上构建并编译软件](https://docs.qualcomm.com/bundle/publicresource/topics/80-70022-254/build_addn_info.html)。 > - [在 Permissive 模式下启用安全 shell (SSH) 以安全地访问您的主机设备](https://docs.qualcomm.com/bundle/publicresource/topics/80-70022-254/how_to.html#use-ssh)。 ## 从 TrustZone 编译 devcfg 镜像 1. 通过内置的 `devcfg.mbn` XML 文件选择 TrustZone 提供的配置选项。例如,`trustzone_images/ssg/securemsm/trustzone/qsee/mink/oem/config//oem_config.xml`。 2. 使用命令从 TZ.XF.5.29.1 编译 devcfg 镜像。 cd trustzone_images/build/ms python3 build_all.py -b TZ.XF.5.0 CHIPSET= --cfg=build_config_deploy_.xml Copy to clipboard 此步骤将在 `trustzone_images/build/ms/bin/` 处生成 `devcfg.mbn` 镜像。使用以下编译风格和命令。 > > > 编译风格 > > > > > > > > > Tab QCS5430/QCS6490 > > Tab IQ-9075/IQ-9100 > > Tab IQ-8275/IQ-8300 > > Tab IQ-615 > > > > EACAANAA > > Copy to clipboard > > > > MAKAANAA > > Copy to clipboard > > > > FAQAANAA > > Copy to clipboard > > > > GABAANAA > > Copy to clipboard > > > > 编译命令 > > > > > > > > > Tab QCS5430/QCS6490 > > Tab IQ-9075/IQ-9100 > > Tab IQ-8275/IQ-8300 > > Tab IQ-615 > > > > python3 trustzone_images/build/ms/build_all.py CHIPSET=kodiak devcfg > > Copy to clipboard > > > > python3 trustzone_images/build/ms/build_all.py CHIPSET=lemans devcfg > > Copy to clipboard > > > > python3 trustzone_images/build/ms/build_all.py CHIPSET=monaco devcfg > > Copy to clipboard > > > > python3 trustzone_images/build/ms/build_all.py CHIPSET=talos devcfg > > Copy to clipboard Note 使用以下 devcfg 文件: <devcfg> 为 > > > - `devcfg` QCS6490 > - 适用于 IQ-9100 的 `devcfg_iot` Important 默认情况下不会生成 devcfg\_iot.mbn 文件。请应用以下更改以编译 devcfg\_iot.mbn。 > > > trustzone_images/build/ms/build_config_deploy_lemans.xml > @@ -60,9 +60,12 @@ > > > > + > + > + > Copy to clipboard ## 使用配置参数定制设备 使用下表列出的配置参数根据需要定制设备。 | 配置参数 | 说明 | | --- | --- | | `OEM_pil_secure_app_load_region_size` | 定制 TA 大小。 | | `OEM_pil_subsys_load_region_start` | 配置用于在默认内存映射发生任何更改时定制 PIL 负载起始地址。 | | `OEM_pil_subsys_load_region_size` | 配置用于在默认内存映射发生任何更改时定制 PIL 大小。 | | `OEM_enable_app_fatal_err` | 当特定 TA 崩溃时,强制 TrustZone 系统发生致命错误。与 `OEM_crash_ta_name` 一起使用。 | | `OEM_crash_ta_name` | 将条目替换为预期崩溃的 TA 名称和安全内核预期崩溃的 TA。 | | `OEM_sec_wdog_bark_time` | 更改设备安全看门狗 bark 时间的默认配置。 | | `OEM_sec_wdog_bite_time` | 更改设备安全看门狗 bite 时间的默认配置。 | | `OEM_tz_log_level` | 设置 TrustZone 日志级别:

  • 致命:0


  • 错误:1


  • 调试:2


| ## 启用基于 RPMB 的 SFS 防回滚保护 要启用或禁用基于 RPMB 的 SFS 防回滚保护,请使用以下配置参数和 XML 文件。 ### 配置参数 `cmnlib_gppo_rpmb_enablement`,可以设置为 Enabled 或 Disabled,其中默认值为 Enabled,并且只能在需要时更改。 ### XML 文件位置 `trustzone_images/ssg/securemsm/trustzone/qsee/mink/oem/config/common/cmnlib_oem_config.xml` ## 后续步骤 - 要启用安全启动并确保只有受信任的应用程序在设备上运行,请参阅[启用安全启动](https://docs.qualcomm.com/doc/80-70022-11SC/topic/enable-secure-boot.html#enable-secure-boot)。 - 要启用安全启动,必须​熔断 QFPROM 熔丝。这是一个一次性、不可逆的过程,可永久设置这些值。如需了解更多信息,请参阅[设置 QFPROM 熔丝](https://docs.qualcomm.com/doc/80-70022-11SC/topic/appendix-fuse-configurations.html#appendix-fuse-configurations)。 Last Published: Apr 14, 2026 [Previous Topic 配置安全服务](https://docs.qualcomm.com/bundle/publicresource/80-70022-11SC/topics/configure.md) [Next Topic 启用安全启动](https://docs.qualcomm.com/bundle/publicresource/80-70022-11SC/topics/enable-secure-boot.md)