微控制器安全起動 (Secure Boot) 的軟硬體整合作法 – 以NuMicro M2351系列為例

Post Reply
User avatar
NuvotonMarcom
Posts: 227
Joined: 10 Sep 2018, 17:23

04 May 2022, 21:36

Secure Bootloader 是一段被寫在 Mask ROM 內無法被存取和更改的可開機程式碼。系統經由配置區設定為從 Secure Bootloader 啟動後,便會啟動 Secure Boot 驗證機制,對存放在Flash Memory安全區域內的程式碼做開發者身分認證和代碼完整性的驗證。當 Secure 區域代碼通過 Secure Boot 驗證後,系統才會跳至 Secure 區域內執行被驗證過的受保護代碼,例如下圖所示。
1. trusted executing environment.png
1. trusted executing environment.png (12.63 KiB) Viewed 7652 times
如果下一階段的啟動代碼沒通過 Secure Boot 驗證的檢測,此時 Secure Bootloader 會執行USB/UART1 command 模式,等待接收並處理從 Secure ISPTool USB/UART1 介面送進來的 command。
另外在 Secure Bootloader 內有開放部分的 API,讓程式開發人員可以直接使用這些已經在Secure Bootloader 代碼內有提供的功能。
2. Secure Bootloader.png
2. Secure Bootloader.png (18.32 KiB) Viewed 7652 times
本文將以M2351為範例介紹Secure Bootloader 和整個 M2351 內存之間的關係開始,之後會說明如何配置啟動 Secure Bootloader、Secure Bootloader 工作頻率、如何啟動 Secure Boot 驗證以及Secure Boot 驗證時必要的配置和驗證流程。最後會介紹 USB/UART1 command 模式的功能和特性。
1.1 位置和屬性
Secure Bootloader 代碼被預寫在 32KB Mask ROM 內,位置落在 0x0080_0000 ~ 0x0080_7FFF 間的 Secure 區域內,並被配置為 Execute-only memory (XOM) 屬性,因此這段代碼是無法被更改以及存取的。另外在 Secure Bootloader 運行過程中,會需要用到位於 0x2000_C000 至 0x2000_FFFF 共 16KB 的 Secure 記憶體。
3. Secure Bootloader位置和屬性.png
3. Secure Bootloader位置和屬性.png (20.24 KiB) Viewed 7652 times
1.2 起始開機區選擇
M2351 User Configuration Block 是可以配置和系統啟動選項相關的配置區塊。在芯片上電後,CPU 執行任何代碼之前,可以預先執行照配置區內所設定的動作。
因此透過更改配置區內 CBS (CONFIG0[7]) 和 MBS (CONFIG0[5]) 的設定,便可決定 M2351 在上電後的起始開機區域為何。
如要規劃從 Secure Bootloader 啟動開機,則只需將 MBS 配置為 0 後再做系統重置即可。否則系統起始開機區會由 CBS 的設定值來決定從 APROM 或 LDROM 啟動。
4. 起始開機區選擇.png
4. 起始開機區選擇.png (14.05 KiB) Viewed 7652 times
1.3 Bootloader 工作頻率
當起始開機區運行在 Secure Bootloader 時,系統的工作頻率會切換為 48MHz。
如為有支持 USB 功能的芯片型號時,Secure Bootloader 啟動後會先檢測外部 HXT-12MHz 頻率誤差是否有小於 6% 後,再決定系統工作頻率的時鐘源。如外部 HXT-12MHz 頻率誤差小於 6%,則優先以此 HXT-12MHz 來產生 PLL-48MHz 的時鐘源,並將此 PLL-48MHz 當作系統工作頻率和 USB 裝置的工作時鐘源。
如果芯片沒有支持 USB 功能,或是外部 HXT-12MHz 頻率誤差過大,則會轉換成以內部 HIRC-12MHz 當作 PLL-48MHz 的時鐘源,來當作是系統工作頻率或是 USB 裝置的工作時鐘源。
1.4 啟動 Secure Boot 驗證
系統從 Secure Bootloader 啟動後,可以開啟 Secure Boot 驗證的機制。這目的主要是驗證下一階段要被執行的 Secure 代碼是否有通過代碼開發者身分認證和代碼完整性的驗證。如果要啟動 Secure Boot 驗證,除了設定從 Secure Bootloader 開機外,還需透過設置 Secure Region Lock 或者是 All Region Lock 來對系統的 Secure 區域做保護。
在 Secure 區域沒有受到保護的情況下,Secure Bootloader 啟動後是不會執行 Secure Boot 驗證機制的。此時系統將會跳到 Secure Bootloader 內的 USB/UART1 command 模式,等待接收並處理 USB/UART1 command,而不會跳到其他區域內的代碼作執行。
當啟動 Secure Boot 驗證下一階段要被執行的 Secure 區域代碼無誤後,Secure Bootloader 將會參照配置區內 CBS (CONFIG0[7]) 的設定值來決定 CPU重啟之後是要執行 Secure APROM 或是 Secure LDROM 內的代碼。
如果 Secure Boot 驗證過程中有錯誤產生,則系統也一樣會跳到 Secure Bootloader內 的USB/UART1 command模式,等待接收並處理 USB/UART1 command。

下面表格為 MBS、SCRLOCK、ARLOCK、CBS 和系統起始開機區的關係表:
5. MBS、SCRLOCK、ARLOCK、CBS.png
5. MBS、SCRLOCK、ARLOCK、CBS.png (29.53 KiB) Viewed 7652 times
1.5 Secure Boot 配置說明
前面章節大致說明了如何將系統配置從 M2351 Secure Bootloader 啟動,並開啟 Secure Boot驗證的功能。
下面的子章節將說明執行 Secure Boot 驗證時的必要配置。

1.5.1 SBK – Secure Boot Key
Secure Boot Key (SBK) 是一把對被 Secure Boot 驗證的 Secure 區域代碼 SHA-256 Hash 值做加密的 AES 加密安全金鑰。
 SBK安全金鑰有效長度為 256-bits,只能被寫入一次,無法被讀出
 如要更新此SBK安全金鑰,只能做全芯片擦除後再做更新的操作
一定要有配置過SBK,後續的Secure Boot驗證流程才可能會成功
1.5.2 IB – Information Block
Information Block (IB) 為一塊被寫在 Secure APROM 後面的資料區塊。
區塊內容記錄著被 Secure Boot 驗證的受保護代碼存放位置,以及一組 256-bits 的數位檢查碼。此 256-bits 數位檢查碼為受保護代碼的 SHA-256 Hash 值再使用 Secure Boot Key (SBK) 做 AES-256 加密後的結果。
 IB被記錄在 Secure APROM 最後的 144 bytes
 最多可配置 6 組受Secure Boot驗證的代碼區域,
 IB內容內有一組checksum資料,可讓Secure Bootloaer判斷這組IB資料的正確性
如果沒有正確的IB資料區塊, Secure Bootloader將不會執行 Secure Boot驗證流程
1.5.3 Secure Region Lock
當系統安全屬性有被配置為開啟 Secure 區域保護時,Secure Bootloader 才會執行Secure Boot 驗證。此時系統內的 Secure 區域代碼將不能經由 ICE 介面被存取。
 將SCRLOCK[7:0] 或是 ARLOCK[7:0] 任一組配置區改為非 0x5A後,Secure 區域代碼將無法被 ICE 介面存取
 只能做全芯片擦除後才可以解除Secure區域的保護
 在沒有開啟Secure區域保護的系統裡, Secure Bootloader將不會執行 Secure Boot驗證流程

1.6 Secure Boot 驗證流程
下列步驟會說明 Secure Bootloader 執行 Secure Boot 驗證的流程。
1. 判斷是否有開啟 Secure 區域保護功能
2. 判斷是否有正確的IB 區塊
3. 依據 IB區塊內的資料,判斷要被保護代碼的SHA-256 Hash值是否正確
4. 如果代碼的SHA-256 Hash值比對正確,CPU將會跳去執行這段代碼。如果Hash值比對錯誤,則Secure Bootloader會進入USB/UART1 command模式,等待接收並處理 USB/UART1 command。

下列流程圖將說明 Secure Bootloader啟動後執行 Secure Boot 驗證到最終執行 Trusted Boot Code 的過程,以及在 Secure Boot 驗證過程中出現錯誤時的處理方式。
6. 流程圖.png
6. 流程圖.png (19.9 KiB) Viewed 7652 times


1.7 USB/UART1 Command 模式說明
M2351 Secure Bootloader 除了可執行 Secure Boot 驗證外,另一個功能為進入 USB/UART1 command 模式作代碼的更新和配置區的設定。
透過 PC 端的 Nuvoton NuMicro® Secure ISPTool 即可和 Secure Bootloader 內的 USB/UART1 command 模式做傳輸。
本章節將會對 USB/UART1 command 模式做基本的介紹。

1.7.1 USB 介面
在 M2351 Secure Bootloader 提供的 USB command 模式內,使用者無需做任何事先的配置,只要透過 USB 線和 PC 端的 Secure ISPTool 做連接後即可正常工作。

1.7.2 UART1 介面
在使用 M2351 Secure Bootloader 提供的 UART1 command 模式前,則需將目前芯片 UART1 的腳位和 PC 串口做連接,之後便可和 Secure ISPTool 做正常連線。
 可透過更改配置區CONFIG3[2:0] 來決定 UART1 command模式的腳位:
 000:UART1_TXD (PB.7),UART1_RXD (PB.6)
 001:UART1_TXD (PA.9),UART1_RXD (PA.8)
 010:UART1_TXD (PF.0), UART1_RXD (PF.1)
 011:UART1_TXD (PB.3),UART1_RXD (PB.2)
Others:UART1_TXD (PA.3),UART1_RXD (PA.2)
1.7.3 UART1/USB Command 流程
下列流程圖說明在 Secure Bootloader 程序內的 UART1/USB Command 模式和 PC 端的 Secure ISPTool 連線後的主要處理流程。
7. 流程圖.png
7. 流程圖.png (23.48 KiB) Viewed 7652 times

以上透過 M2351 Secure Boot 驗證的程序為例,詳細解釋系統開發商如何確保必須要受到保護的開機代碼沒有被更改,意即可以確認系統啟動後的行為都在程式開發者的規劃內,進而可以達到資料不被竊取的目的。另由於M2351系列為帶TrustZone功能,對Non-secure 程式開發者而言,另可以使用 Secure Bootloader 提供的 Non-secure callable API 來實現對 Non-secure 內存的讀寫和其他配置區的設定。不需要 Secure 程式開發者額外提供這些應用的 API 給 Non-secure 程式開發者使用。
而終端產品的應用可能是沒有預留 ICE 腳位的。此時如果有需要做代碼的更新,即可以執行 Secure Bootloader Non-secure callable API 所提供的 USB/UART1 command模式和 PC 端的Nuvoton NuMicro® Secure ISPTool 來實現代碼的更新。
歡迎關注新唐的產品官網以獲取更多的訊息,我們也會賡續介紹M2354系列的安全啟動做法。
[資源]
Nuvoton M235x Series
https://www.nuvoton.com/products/microc ... 51-series/
https://www.nuvoton.com/products/microc ... 54-series/
Top
Post Reply

Return to “Tech Blog”



  • Information

  • Who is online

    Users browsing this forum: No registered users and 8 guests