微控制器安全起動 (Secure Boot) 的軟硬件整合作法 – 以NuMicro M2351系列為例

Secure Bootloader 是一段被寫在 Mask ROM 內無法被存取和更改的可開機程序代碼。系統經由配置區設定為從 Secure Bootloader 啟動后，便會啟動 Secure Boot 驗證機制，對存放在Flash Memory安全區域內的程序代碼做開發者身分認證和代碼完整性的驗證。當 Secure 區域代碼通過 Secure Boot 驗證后，系統才會跳至 Secure 區域內執行被驗證過的受保護代碼，例如下圖所示。

如果下一階段的啟動代碼沒通過 Secure Boot 驗證的檢測，此時 Secure Bootloader 會執行USB/UART1 command 模式，等待接收并處理從 Secure ISPTool USB/UART1 接口送進來的 command。

另外在 Secure Bootloader 內有開放部分的 API，讓程序開發人員可以直接使用這些已經在Secure Bootloader 代碼內有提供的功能。

本文將以M2351為范例介紹Secure Bootloader 和整個 M2351 內存之間的關系開始，之后會說明如何配置啟動 Secure Bootloader、Secure Bootloader 工作頻率、如何啟動 Secure Boot 驗證以及Secure Boot 驗證時必要的配置和驗證流程。最后會介紹 USB/UART1 command 模式的功能和特性。

位置和屬性

Secure Bootloader 代碼被預寫在 32KB Mask ROM 內，位置落在 0x0080_0000 ~ 0x0080_7FFF 間的 Secure 區域內，并被配置為 Execute-only memory (XOM) 屬性，因此這段代碼是無法被更改以及存取的。另外在 Secure Bootloader 運行過程中，會需要用到位于 0x2000_C000 至 0x2000_FFFF 共 16KB 的 Secure 內存。

起始開機區選擇

M2351 User Configuration Block 是可以配置和系統啟動選項相關的配置區塊。在芯片上電后，CPU 執行任何代碼之前，可以預先執行照配置區內所設定的動作。

因此透過更改配置區內 CBS (CONFIG0[7]) 和 MBS (CONFIG0[5]) 的設定，便可決定 M2351 在上電后的起始開機區域為何。

如要規劃從 Secure Bootloader 啟動開機，則只需將 MBS 配置為 0 后再做系統重置即可。否則系統起始開機區會由 CBS 的設定值來決定從 APROM 或 LDROM 啟動。

Bootloader 工作頻率

當起始開機區運行在 Secure Bootloader 時，系統的工作頻率會切換為 48MHz。

如為有支持 USB 功能的芯片型號時，Secure Bootloader 啟動后會先檢測外部 HXT-12MHz 頻率誤差是否有小于 6% 后，再決定系統工作頻率的時鐘源。如外部 HXT-12MHz 頻率誤差小于 6%，則優先以此 HXT-12MHz 來產生 PLL-48MHz 的時鐘源，并將此 PLL-48MHz 當作系統工作頻率和 USB 裝置的工作時鐘源。

如果芯片沒有支持 USB 功能，或是外部 HXT-12MHz 頻率誤差過大，則會轉換成以內部 HIRC-12MHz 當作 PLL-48MHz 的時鐘源，來當作是系統工作頻率或是 USB 裝置的工作時鐘源。

啟動 Secure Boot 驗證

系統從 Secure Bootloader 啟動后，可以開啟 Secure Boot 驗證的機制。這目的主要是驗證下一階段要被執行的 Secure 代碼是否有通過代碼開發者身分認證和代碼完整性的驗證。如果要啟動 Secure Boot 驗證，除了設定從 Secure Bootloader 開機外，還需透過設置 Secure Region Lock 或者是 All Region Lock 來對系統的 Secure 區域做保護。

在 Secure 區域沒有受到保護的情況下，Secure Bootloader 啟動后是不會執行 Secure Boot 驗證機制的。此時系統將會跳到 Secure Bootloader 內的 USB/UART1 command 模式，等待接收并處理 USB/UART1 command，而不會跳到其他區域內的代碼作執行。

當啟動 Secure Boot 驗證下一階段要被執行的 Secure 區域代碼無誤后，Secure Bootloader 將會參照配置區內 CBS (CONFIG0[7]) 的設定值來決定 CPU重啟之后是要執行 Secure APROM 或是 Secure LDROM 內的代碼。

如果 Secure Boot 驗證過程中有錯誤產生，則系統也一樣會跳到 Secure Bootloader內 的USB/UART1 command模式，等待接收并處理 USB/UART1 command。

下面表格為 MBS、SCRLOCK、ARLOCK、CBS 和系統起始開機區的關系表：

Secure Boot 配置說明

前面章節大致說明了如何將系統配置從 M2351 Secure Bootloader 啟動，并開啟 Secure Boot驗證的功能。

下面的子章節將說明執行 Secure Boot 驗證時的必要配置。

SBK – Secure Boot Key

Secure Boot Key (SBK) 是一把對被 Secure Boot 驗證的 Secure 區域代碼 SHA-256 Hash 值做加密的 AES 加密安全密鑰。

SBK安全密鑰有效長度為 256-bits，只能被寫入一次，無法被讀出

如要更新此SBK安全密鑰，只能做全芯片擦除后再做更新的操作

一定要有配置過SBK，后續的Secure Boot驗證流程才可能會成功

IB – Information Block

Information Block (IB) 為一塊被寫在 Secure APROM 后面的數據區塊。

區塊內容記錄著被 Secure Boot 驗證的受保護代碼存放位置，以及一組 256-bits 的數字檢查碼。此 256-bits 數字檢查碼為受保護代碼的 SHA-256 Hash 值再使用 Secure Boot Key (SBK) 做 AES-256 加密后的結果。

IB被記錄在 Secure APROM 最后的 144 bytes

最多可配置 6 組受Secure Boot驗證的代碼區域,

IB內容內有一組checksum數據，可讓Secure Bootloaer判斷這組IB數據的正確性

如果沒有正確的IB數據區塊，Secure Bootloader將不會執行 Secure Boot驗證流程

Secure Region Lock

當系統安全屬性有被配置為開啟 Secure 區域保護時，Secure Bootloader 才會執行Secure Boot 驗證。此時系統內的 Secure 區域代碼將不能經由 ICE 界面被存取。

將SCRLOCK[7:0] 或是 ARLOCK[7:0] 任一組配置區改為非 0x5A后，Secure 區域代碼將無法被 ICE 界面存取

只能做全芯片擦除后才可以解除Secure區域的保護

在沒有開啟Secure區域保護的系統里， Secure Bootloader將不會執行 Secure Boot驗證流程

Secure Boot 驗證流程

下列步驟會說明 Secure Bootloader 執行 Secure Boot 驗證的流程。

判斷是否有開啟 Secure 區域保護功能

判斷是否有正確的IB 區塊

依據 IB區塊內的資料，判斷要被保護代碼的SHA-256 Hash值是否正確

如果代碼的SHA-256 Hash值比對正確，CPU將會跳去執行這段代碼。如果Hash值比對錯誤，則Secure Bootloader會進入USB/UART1 command模式，等待接收并處理 USB/UART1 command。

下列流程圖將說明 Secure Bootloader啟動后執行 Secure Boot 驗證到最終執行 Trusted Boot Code 的過程，以及在 Secure Boot 驗證過程中出現錯誤時的處理方式。

USB/UART1 Command 模式說明

M2351 Secure Bootloader 除了可執行 Secure Boot 驗證外，另一個功能為進入 USB/UART1 command 模式做代碼的更新和配置區的設定。

透過 PC 端的 Nuvoton NuMicro? Secure ISPTool 即可和 Secure Bootloader 內的 USB/UART1 command 模式做傳輸。

本章節將會對 USB/UART1 command 模式做基本的介紹。

USB 界面

在 M2351 Secure Bootloader 提供的 USB command 模式內，用戶無需做任何事先的配置，只要透過 USB 線和 PC 端的 Secure ISPTool 做連接后即可正常工作。

UART1 界面

在使用 M2351 Secure Bootloader 提供的 UART1 command 模式前，則需將目前芯片 UART1 的腳位和 PC 串口做連接，之后便可和 Secure ISPTool 做正常聯機。

可透過更改配置區CONFIG3[2:0] 來決定 UART1 command模式的腳位：

000：UART1_TXD (PB.7)，UART1_RXD (PB.6)

001：UART1_TXD (PA.9)，UART1_RXD (PA.8)

010：UART1_TXD (PF.0)， UART1_RXD (PF.1)

011：UART1_TXD (PB.3)，UART1_RXD (PB.2)

Others：UART1_TXD (PA.3)，UART1_RXD (PA.2)

UART1/USB Command 流程

下列流程圖說明在 Secure Bootloader 程序內的 UART1/USB Command 模式和 PC 端的 Secure ISPTool 聯機后的主要處理流程。

以上透過 M2351 Secure Boot 驗證的程序為例，詳細解釋系統開發商如何確保必須要受到保護的開機代碼沒有被更改，意即可以確認系統啟動后的行為都在程序開發者的規劃內，進而可以達到數據不被竊取的目的。另由于M2351系列為帶TrustZone功能，對Non-secure 程序開發者而言，另可以使用 Secure Bootloader 提供的 Non-secure callable API 來實現對 Non-secure 內存的讀寫和其他配置區的設定。不需要 Secure 程序開發者額外提供這些應用的 API 給 Non-secure 程序開發者使用。

而終端產品的應用可能是沒有預留 ICE 腳位的。此時如果有需要做代碼的更新，即可以執行 Secure Bootloader Non-secure callable API 所提供的 USB/UART1 command模式和 PC 端的Nuvoton NuMicro? Secure ISPTool 來實現代碼的更新。

歡迎關注新唐的產品官網以獲取更多的訊息，我們也會繼續介紹M2354系列的安全啟動做法。

來源：新唐MCU
免責聲明：本文為轉載文章，轉載此文目的在于傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題，請聯系小編進行處理

審核編輯 黃宇