实战CRC校验 | 固件如何校验自身完整性?
作者:鱼鹰Osprey
自检内容
MCU 安全检查一般包括以下几个方面:
1、CPU 自测(寄存器测试)
2、系统时钟频率测量(保证时钟正常工作,不快也不慢,GD 芯片在短路晶振后,程序暂停运行,无法检查,但是 ST 芯片会自动切换到内部时钟,可以由程序检查这种异常)
3、RAM 自检
4、FLASH 存储器完整性检查
5、独立看门狗、窗口看门狗检查
6、安全相关变量检查
7、中断检查
8、I/O 口检查
9、栈检查
10、程序流程控制
11、AD 口检查
你会发现真要完成这份安规代码,难度不是一般的大,不过一般芯片厂商会提供相关参考例程和相关文档,但不是说有了这些资料就完全没有问题了。
比如 ST 提供了一个参考例子,但是它使用的 HAL 库(事实上它还有标准库,当时不知道),如果原本程序用的标准库,那么就需要进行移植,这个工作量也不是一般大(首先要能理解程序,才能进行正确移植,而里面的逻辑还是很复杂的)。如果你不想移植,还有一个办法是使用 lib 库,就是将相关功能打包成一个库,虽然程序会大一些(毕竟很多底层代码和原来的重复了),但确实是比较简单的方法(前提是 flash 够大)。
鱼鹰走的是第一条路,移植,并且将相关的底层代码提供了接口,这样不管是用标准库还是 HAL 库,只要自己实现这这些特定的接口即可完成。
另外,参考例子只是实现了一个最基本的功能,在真正的产品不一定能适用。比如你的程序负载大,而里面为了测量时钟频率,几百微秒时间就要进入一次中断(即使是分频后),如果刚好在中断产生时,其他程序禁用了中断,运行这些代码有可能就会出现问题,很容易错过中断而导致复位。
在我一开始移植的时候就是如此,在一个简单的程序里面可以正常运行很长时间,但是移植到产品工程里面,时不时出现时钟检查不通过的时候,导致程序不停重启,最终鱼鹰通过 DMA 传输的方式解决了这个问题,再也不会因为时钟检查不通过导致重启了。
另外一个难点是对 .sct (分散加载)文件的理解,这个会在后面介绍。
安规相关的内容实在是太多,要写的话可以写成一个系列了,如果各位道友感兴趣的话,多多转发支持一下鱼鹰,如果效果不错,鱼鹰会考虑完成后续的其它部分。(这里有一份比较全面但简单一些的参考文章可以看看 http://news.eeworld.com.cn/mp/STM32/a80041.jspx,只介绍如何做,没怎么介绍为什么这么做)
资料
ST 相关资料可以查看以下内容(www.st.com,下载时需要注册邮箱才行,鱼鹰公众号后台提供了部分资料,可自行领取)
《AN4435 应用笔记》中文版,《AN277》(ROM Self-Test)
STM8-SafeCLASSB
https://www.st.com/en/embedded-software/stm8-safeclassb.html
STM32-CLASSB-SPL(基于标准外设库)
https://www.st.com/en/embedded-software/stm32-classb-spl.html#tools-software
X-CUBE-CLASSB(基于HAL库)
https://www.st.com/en/embedded-software/x-cube-classb.html(不同版本有不同芯片,比如 2.2.0 版本的是 Fx 相关的,2.3.0 是H7、G0 相关的)
当然国产芯片也一般会提供例程。
本篇笔记只介绍其中一个内容,即 FLASH 检查,换句话说就是程序完整性检查。
FLASH 检查
我们以比较复杂的 boot + app + rtos ,开发环境 keil 、stm32f103 为例介绍相关知识。
一般 boot 和 app 部分是用不同工程管理的,所以 app 部分代码只能检查自身的完整性,而不能检查 boot 部分。
并且 app 的 flash 区也不是完全检查的,有一小部分是也没法检查的,但这并不影响它的功能(既然已经跳转到 app 里面了,那么 boot 部分 flash 即使在运行时有问题也不影响功能,而如果变量初始值的flash有问题就是关键变量检查的问题了)。
现在就是如何检查的问题了。
如何检查 | 基本原理
校验手段有很多,比如 和校验、MD5 校验、CRC 校验,这里我们使用 CRC,因为一般芯片内部会内置该外设硬件计算(如果没有,可以纯 CPU 计算)。
然后我们需要了解完整性检查的基本原理。
所谓程序完整性检查,就是在下载代码前,先用工具把要校验的部分通过计算公式计算出一个值,保存在某个地方(flash),然后程序在运行的时候,自己也去读取要校验的 flash 部分,通过同样的计算公式计算出一个值,然后将这个值和保存在 flash 里面的值进行比较,就可以看出代码是否存在异常了,有异常及时处理,没有异常就继续重新检查。
而检查分成两个步骤:
1、开机时,一次性完成所有计算,保证运行前完整。
2、正常运行时,定时计算,每次计算一个小块,当计算完最后一块时才比较结果,成功就重新继续计算,失败则终止程序运行,周而往复(计算需要较长的时间,分时计算可以不影响程序正常功能),这样可以保证程序在运行时也能检查 FLASH 的完整性,防止 FLASH 运行过程中破坏掉。
现在有个问题,CRC 保存在何处才是合适的?
随便保存在一个地方肯定是不行的。假设这个位置在要校验代码部分的里面,那么当工具计算这个值时,又会篡改掉校验部分里面的数据(因为你把 CRC 值放到里面了),那么你的程序校验时,肯定不通过,因为你读了一个被改变的 CRC 值。所以这个值一定要放在代码的最后面才行。
另外前面说过,运行时会一小块一小块,所以要保证你的 CRC 值存放位置应该在小块大小的边界位置上。比如一次计算 16 字节,那你存放的位置应该是 16 的倍数才是正常的。
所以,CRC 存放位置存在这两个限制。
另外,如何提前计算好 CRC 的值呢?IAR 内置该功能,而 KEIL 我们可以借助强大的开源工具 SRecord《功能强大的 HEX 开源转换工具,你值得拥有》(一转眼,这篇文章差不多鸽了四个多月了)帮助我们计算。
基本知识都了解的差不多了,接下来就是如何操作的问题。
实操
1、固定 CRC 位置。
我们可以在启动文件的最后加入以下代码(END 前)
这里默认是 0x3D334398,但会在后续修改成正确的 CRC 值
;*******************************************************************************
; User Checksum - must be placed at the end of memory
;*******************************************************************************
AREA CHECKSUM, DATA, READONLY, ALIGN=6
EXPORT __Check_Sum
; Alignement here must correspond to the size of tested block at FLASH run time test (16 words ~ 64 bytes)!!!
ALIGN
__Check_Sum DCD 0x3D334398; ; Check sum computed externaly
这里保证了 __Check_Sum 的地址是 2 ^ 6 大小对齐,所以你的计算小块可以这个大小,当然也可以小一些,比如 2 ^ 5 等。这样就可以将检查部分分成固定的小块,不会多,也不会少,刚刚好(必须)。
那么如何将这个地址固定在代码最后呢?这个时候就需要我们的 .sct 文件发挥作用了(ClassB_stm32F10x.sct)。
ER_IROM1 0x08000000 0x10000 { ; load address = execution address
*.o (RESET, +First)
*(InRoot$$Sections)
.ANY (+RO)
*.o (CHECKSUM, +Last) ;放置在最后
}
我们用了 +Last 将其放置在代码的最后部分,你想把它放置在 bin 文件最后面?暂时鱼鹰还没想到怎么做,有知道的道友可以告诉鱼鹰(通过 sct 的方式)。
2、CRC 计算脚本
在 windows 叫批处理,.bat ,我们可以在参考例程中找到。crc_gen_keil.bat
我们需要需改三个位置
第一个是你的计算工具的路径,里面应该要有计算工具。
第二个就是你的工程名字,我们通过下面位置确定(鱼鹰用的 Main):
最后是工程路径。一般在 Objects 文件夹里面,而 map 文件一般在 Listings 文件夹里面。
说白了,这些变量就是为了让脚本能够找到 map、hex 文件和工具。但一般默认工程,这两个文件可能不在一个文件夹里面,所以我们可以对例子中的批处理文件 crc_gen_keil.bat 进行适当修改。
map 文件的作用是为了让脚本能够搜索到 __Check_Sum 的地址,然后就可以计算 CRC 并修改 HEX 里面这个值了。
另外还有新增了一个变量 HEX_ADRR,当我们的计算位置不是从 0x08000000 开始时(比如 app 起始地址在 0x08009000),我们就可以修改这个变量值。还有我们希望在计算完并修改 CRC 后可以自己生成 bin 文件方便我们更新固件,还需要加入转化成 bin 的命令。
其中为了下载修改(CRC)后的 HEX 文件,我们还需要简单修改一下,用于判断工具是否存在,不存在,直接删除 hex 和 axf 文件(防止下载未修改的文件)。
%xxx% 类似脚本中的 $xxx
if not exist %SREC_PATH% ( echo %SREC_PATH% is not exit, exit echo ----------------------------------------del %INPUT_HEX% -- %AXF_FILE% --------------- del %INPUT_HEX% %AXF_FILE% exit)
这样可以保证,一定能够正确下载 HEX 文件,而不是下载默认的 axf 文件。
否则,下载的默认 axf 文件会因为 CRC 未修改,程序将不断重启。
完整的修改(可以自行对比官方例程文件):
@echo off
ECHO Computing CRC
ECHO -------------------------------------
REM Batch script for generating CRC in KEIL project
REM Must be placed at MDK-ARM folder (project folder)
REM Path configuration
SET SREC_PATH=C:\SREC
SET MAP_NAME=STM3210C_EVAL
SET MAP_PATH=STM3210C_EVAL
SET TARGET_NAME=STM3210C_EVAL
SET TARGET_PATH=STM3210C_EVAL
SET BYTE_SWAP=1
SET COMPARE_HEX=1
SET CRC_ADDR_FROM_MAP=1
REM Not used when CRC_ADDR_FROM_MAP=1
SET CRC_ADDR=0x08007ce0
REM Derived configuration
SET HEX_ADRR=0x08000000
SET MAP_FILE=%MAP_PATH%\%MAP_NAME%.map
SET AXF_FILE=%TARGET_PATH%\%MAP_NAME%.axf
SET INPUT_HEX=%TARGET_PATH%\%TARGET_NAME%.hex
SET OUTPUT_HEX=%TARGET_PATH%\%TARGET_NAME%_CRC.hex
SET OUTPUT_BIN=.\%TARGET_NAME%_CRC.bin
SET TMP_FILE=crc_tmp_file.txt
if not exist %SREC_PATH%\srec_cat.exe (
echo %SREC_PATH% is not exit, exit
echo ----------------------------------------del %INPUT_HEX% -- %AXF_FILE% ---------------
del %INPUT_HEX% %AXF_FILE%
exit
)
IF NOT '%CRC_ADDR_FROM_MAP%'=='1' goto:end_of_map_extraction
REM Extract CRC address from MAP file
REM -----------------------------------------------------------
REM Load line with checksum location to crc_search variable
ECHO Extracting CRC address from MAP file
FINDSTR /R /C:'^ *CHECKSUM' %MAP_FILE%>%TMP_FILE%
SET /p crc_search=<%TMP_FILE%
DEL %TMP_FILE%
REM remove '(' character and string after, which causes errors
for /f 'tokens=1 delims=(' %%a in ('%crc_search%') do set crc_search=%%a
REM remove CHECKSUM string from variable
SET crc_search=%crc_search:CHECKSUM=%
REM get first word at line, which should be CRC address in HEX format
for /f 'tokens=1 delims= ' %%a in ('%crc_search%') do set CRC_ADDR=%%a
REM -----------------------------------------------------------
REM End of CRC address extraction
:end_of_map_extraction
REM Compute CRC and store it to new HEX file
ECHO CRC address: %CRC_ADDR%
if '%BYTE_SWAP%'=='1' (
REM ECHO to see what is going on
ECHO %SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel ^
-crop %HEX_ADRR% %CRC_ADDR% ^
-byte_swap 4 ^
-stm32-b-e %CRC_ADDR% ^
-byte_swap 4 ^
-o %TMP_FILE% -intel
%SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel ^
-crop %HEX_ADRR% %CRC_ADDR% ^
-byte_swap 4 ^
-stm32-b-e %CRC_ADDR% ^
-byte_swap 4 ^
-o %TMP_FILE% -intel
) else (
REM ECHO to see what is going on
ECHO %SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel ^
-crop %HEX_ADRR% %CRC_ADDR% ^
-stm32-l-e %CRC_ADDR% ^
-o %TMP_FILE% -intel
%SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel ^
-crop %HEX_ADRR% %CRC_ADDR% ^
-stm32-l-e %CRC_ADDR% ^
-o %TMP_FILE% -intel
)
ECHO %SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel -exclude -within %TMP_FILE% -intel ^
%TMP_FILE% -intel ^
-o %OUTPUT_HEX% -intel
%SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel -exclude -within %TMP_FILE% -intel ^
%TMP_FILE% -intel ^
-o %OUTPUT_HEX% -intel
REM Delete temporary file
DEL %TMP_FILE%
ECHO Modified HEX file with CRC stored at %OUTPUT_HEX%
REM Compare input HEX file with output HEX file
if '%COMPARE_HEX%'=='1' (
ECHO Comparing %INPUT_HEX% with %OUTPUT_HEX%
%SREC_PATH%\srec_cmp.exe ^
%INPUT_HEX% -intel %OUTPUT_HEX% -intel -v
)
del %INPUT_HEX%
ECHO %SREC_PATH%\srec_cat.exe ^
%OUTPUT_HEX% -intel -offset -%HEX_ADRR% -o %OUTPUT_BIN% -binary
%SREC_PATH%\srec_cat.exe ^
%OUTPUT_HEX% -intel -offset -%HEX_ADRR% -o %OUTPUT_BIN% -binary
ECHO -------------------------------------
3、 CRC 计算部分代码(摘自官方例程)
完整计算
分小块计算
需要注意的是,每次全部检查完之后得复位一下 CRC 外设,否则会继续用之前的结果继续计算。
4、工程配置
准备好前面的内容后,即可进行工程配置。
生成 HEX
使用 debug 按钮时下载的文件:
crc_load.ini (需要根据自己的工程自行修改)
特别注意里面的双反斜杠,没有它,将找不到正确路径。这里以工程文件(.uvprojx)所在路径为相对路径。
使用 load 按钮时下载配置:
不然你下载(点击 load)的时候,就会下载默认的 axf 文件,而 axf 里面的 CRC 值也是默认的,并没有被修改,所以这一步也是必须的。
使用修改的分散加载文件,这可以保证我们的 CRC 存放位置在代码最后面。
最后一步,当编译完成后,让工具帮我们自动计算 CRC 值,并将值修改到 HEX 文件里面。
添加我们前面的批处理文件:
这样所有的工程配置就完成了。
效果
我们可以看看效果。
首先,我们并没有添加工具,我们可以看到,脚本自动退出了,并且删除了 hex 文件和 axf 文件,这样就不会下载错误的 HEX 文件了(点击下载会发现找不到 axf 文件)。
当我们在 C 盘添加工具后编译:
从这里我们可以得到几点信息:
1、计算范围 0x08000000 ~ 0x08007640。
2、CRC 存放位置在 0x08007640,四个字节
3、可以使用 srec_cmp.exe 比较两个 HEX 文件的区别(修改前和修改后)。这里的区别在 0x08007640 ~ 0x8007643。
4、生成的 bin 文件和 hex 文件相对存放路径。
大功告成!
工具命令解释
现在我们可以从这里了解到三个命令。
C:\SREC\srec_cat.exe STM3210C_EVAL\STM3210C_EVAL.hex -intel -crop 0x08000000 0x08007640 -byte_swap 4 -stm32-b-e 0x08007640 -byte_swap 4 -o crc_tmp_file.txt -intel
这个命令用于截取 0x08000000~0x08007640 的内容并计算 CRC 值,并且在 0x08007640 位置处写入 CRC 值。0x08007640 由 map 文件得出,即 __Check_Sum 的地址。
C:\SREC\srec_cat.exe STM3210C_EVAL\STM3210C_EVAL.hex -intel -exclude -within crc_tmp_file.txt -intel crc_tmp_file.txt -intel -o STM3210C_EVAL\STM3210C_EVAL_CRC.hex -intel
该命令用于将两个 HEX 文件合并,如果以 crc_tmp_file.txt 文件为基准,即同一个地址的值如果不同,则保留 crc_tmp_file.txt 里面的(里面有正确的 CRC),-intel 代表 HEX 文件类型。
C:\SREC\srec_cmp.exe STM3210C_EVAL\STM3210C_EVAL.hex -intel STM3210C_EVAL\STM3210C_EVAL_CRC.hex -intel -v
终于搞定啦,可以放下这个了。