作者：華北區(qū) EP 工程師Brian Wang ，華北區(qū) C2000 工程師Young Hu

一、功能描述：

CSM加密是C2000系列芯片最基礎(chǔ)的加密方式，也是在前代產(chǎn)品(如F2803x/F2806x)中廣泛采用的加密方式。在最新的28004x、2837x等芯片中增加了雙碼安全模塊（DCSM），該功能支持將芯片中的memory劃為兩個(gè)獨(dú)立區(qū)域，并設(shè)置各自獨(dú)立的的128位CSM密碼。該功能可以阻止未授權(quán)人員訪問加密內(nèi)容，進(jìn)而有效防止您的代碼被重復(fù)或逆向編譯；與此同時(shí)，需要維護(hù)與升級(jí)的代碼可以存儲(chǔ)于另一個(gè)獨(dú)立區(qū)域內(nèi)，并授權(quán)給相關(guān)人員使用。合理運(yùn)用此功能，可以進(jìn)一步地提高產(chǎn)品的安全性以及易用性。

二、功能使用：

2.1 芯片存儲(chǔ)的分區(qū)設(shè)置

下面以Control Suite中TMS320F28377S的 blinky_with_DCSM工程為例，講解DCSM模塊的用法：

首先必須明確，雖然DCSM模塊中設(shè)計(jì)了相關(guān)機(jī)制允許用戶反復(fù)設(shè)置和使用該功能，但對(duì)于DCSM模塊的不當(dāng)操作仍然可能鎖死芯片，因此建議您在工程開發(fā)的末尾階段再進(jìn)行DCSM模塊的相關(guān)設(shè)置和操作。

為了充分發(fā)揮雙碼安全模塊的作用，需要根據(jù)工程需要對(duì)MCU中的資源進(jìn)行分區(qū)配置。通過配置GRABRAMx/GRABSECTx寄存器，按需求將RAM/FLASH分別劃入不同的Zone中，從而實(shí)現(xiàn)用兩套獨(dú)立密碼對(duì)不同區(qū)域分別進(jìn)行安全管理。

圖1 GRABRAMx/GRABSECTx寄存器設(shè)置

以工程blinky_with_DCSM為例，假如我們想要將FLASH A 分配至Zone1進(jìn)行保護(hù)，F(xiàn)LASH B分配至Zone2進(jìn)行保護(hù)。參考手冊(cè)中關(guān)于Zx_GRABSECTR Register及Zx_GRABSECTR Register，需要對(duì)DCSM_Zx_ZoneSelectBlock.asm進(jìn)行如下修改。將Zone 1GRABSECT中FLASH A對(duì)應(yīng)的[1:0]位改為01或10；將Zone 2 GRABSECT中FLASH B對(duì)應(yīng)的[3:2]位改為01或10；特別需要注意的是，由于.asm中一個(gè)section是按位寫入的，因此在對(duì).asm文件進(jìn)行修改時(shí)，必須以section為單位進(jìn)行修改，即便有reserve的部分也需要將注釋刪掉進(jìn)行編譯，否則寫入時(shí)只會(huì)按位寫入已編譯的內(nèi)容，發(fā)生錯(cuò)位，難以修改。

2.2分區(qū)的基本設(shè)置

在完成了對(duì)要保護(hù)存儲(chǔ)的分區(qū)之后，我們需要了解如何給兩個(gè)區(qū)域設(shè)置不同的密碼。

對(duì)于兩個(gè)保護(hù)Zone，每個(gè)都有一個(gè)專屬的OTP Block，以對(duì)各Zone進(jìn)行安全設(shè)置，具體包含的資源及作用如下：

為了能夠讓用戶多次使用該功能、設(shè)置不同的密碼，如圖2，28004x系列MCU在USERS OTP中設(shè)置了多個(gè)存儲(chǔ)密碼及相關(guān)信息的位置（ZoneSelect Block），用戶可以通過LINKPOINTER自由選擇當(dāng)前使用哪一個(gè)Zone Select Block。

LINKPOINTER與Zone Select Block 對(duì)應(yīng)關(guān)系如圖3所示。作為一種校驗(yàn)措施三個(gè)LINKERPOINTER的值設(shè)為相同，若LINKERPOINTER1/2/3值不相同，則LINKPOINTER的值將被置為全1，系統(tǒng)將默認(rèn)選擇Zone-Select Block 1（0x20）。此外，由于Zx-LINKERPOINTER位于OTP區(qū)域，因此該寄存器的各位只能由1寫成0，而不能逆向操作。因此，只有Zx-LINKPOINTER的值從“全F”寫起，并在每次重新設(shè)置時(shí)按照下表順序逐位寫0，才能夠充分利用到OTP中的所有Zone-Select Block。

圖2 Zonex OTP Flash

圖3 Zx-LINKPOINTER與Zone Select Block對(duì)應(yīng)關(guān)系

以工程blinky_with_DCSM為例，假如是第一次使用DCSM功能，為了充分利用所有Blocks，選取Zone_Select Block0作為當(dāng)前使用的Block，在DCSM_Zx_ZoneSelectBlock.asm中保證Z1-LINKPOINTER值為全F，此時(shí)選取的Zone_Select Block起始地址為0x70820。

類似地，如果后續(xù)工程需要對(duì)密碼以及分區(qū)情況進(jìn)行修改，我們可以啟用Zone_Select Block1，將LINKERPOINTER的最后一位寫0，對(duì)應(yīng)的修改如下：

此時(shí)需要注意還需要將CMD文件中對(duì)應(yīng)Zone Select Block地址的內(nèi)容進(jìn)行修改，保證寫入的Flash地址與當(dāng)前的Zone Select Block正確對(duì)應(yīng)。

最后在SECTIONS中將要寫入?yún)^(qū)域?qū)?yīng)處的type=DSECT 刪除，否則FLASH寫入不會(huì)進(jìn)行。

特別需要注意的是：由于以上涉及到的寄存器都位于OTP（One-Time Programmable）FLASH中，不能進(jìn)行反復(fù)更改，因此建議在開發(fā)后期代碼以及內(nèi)存分配確定之后，再進(jìn)行相關(guān)的設(shè)置。

2.3 加密功能及其使用

在完成了對(duì)MCU中memory的分區(qū)以及Zone Select Block位置的設(shè)置后，下面來看DCSM所支持的幾種加密模功能：

1）CSM密碼加密與解密：

CSM加密是DCSM加密的基礎(chǔ)，在完成對(duì)MCU 存儲(chǔ)的分區(qū)之后，需要為分區(qū)設(shè)置各自的密碼才能使能加密功能。密碼寄存器Zx-CSMPSWD0/1/2/3位于各自的OTP的Zone Select Block中，具體位置由該區(qū)域的LINKPOINTER決定。對(duì)于2837x系列，當(dāng)Zx-CSMPSWD0/1/2/3的值為默認(rèn)值1，該區(qū)域處于解鎖狀態(tài)。當(dāng)寄存器值為全0，該區(qū)域會(huì)被鎖死，因此用戶不應(yīng)當(dāng)使用全0密碼。

以工程blinky_with_DCSM為例，要設(shè)置Zone1的密碼，我們需要在DCSM_Zx_ZoneSelectBlock.asm中將Zx-CSMPSWDx寄存器改為想要設(shè)置的密碼：

同樣需要在CMD中對(duì)相應(yīng)的dcsm_zsel_zx 的sections 進(jìn)行修改，刪除type=DSECT，對(duì)FLASH的操作才能夠進(jìn)行。這樣就完成了Zonex 密碼的設(shè)置工作。

進(jìn)行加密后，通過仿真器讀取Zone 1 OTP Flash結(jié)果如下：

圖3 加密后的OTP區(qū)域

可以看到此時(shí)Zone 1 OTP Flash中除了 CSMPSWDx寄存器中的密碼，其它部分均進(jìn)行了加密操作。之所以采用這樣的設(shè)計(jì)，是為了在開發(fā)初期開發(fā)者可以利用這一特性隨時(shí)查看CSM，避免因?yàn)槊艽a遺忘或者寫入操作造成芯片被鎖死。對(duì)于密碼區(qū)域的加密需要通過Password Lock 功能進(jìn)行，將在后文進(jìn)行進(jìn)一步描述。

此時(shí)，如果試圖通過仿真器讀取加密區(qū)域Flash B，可以看到Flash區(qū)域也進(jìn)行了加密(返回全0)：

圖3 未加密的Flash（左）與加密后的Flash(右)

要對(duì)CSM進(jìn)行解密，需要經(jīng)過Password match flow(PMF)流程，程序?qū)膬蓚€(gè)Zone讀取CSM PWL并與寫入CSMKEYx寄存器的密碼進(jìn)行比對(duì)，若密碼完全一致，則為該區(qū)域解密，否則解密失敗。

圖4 Password Match Flow 流程圖

解密操作可以通過幾種方法進(jìn)行，首先可以在debug界面單擊tools -> on chip flash -> 在對(duì)應(yīng)位置處輸入密碼，點(diǎn)擊Unlock:

圖5在On chip flash中進(jìn)行密碼匹配

也可以在.gel文件中找到寫入csmkey寄存器的代碼段，并自行修改密碼：

另外，也可以通過在芯片內(nèi)部執(zhí)行一段解密程序完成解密操作，具體代碼可參照.gel文件。

以blinky_with_DCSM為例，如果把代碼段寫入FLASH A，并將FLASH A劃入Zone1設(shè)置密碼保護(hù)。在正確輸入密碼時(shí)，燒錄操作可以正常進(jìn)行。

而在不輸入正確密碼時(shí)，會(huì)出現(xiàn)解鎖失敗的提示，燒錄也會(huì)報(bào)錯(cuò)。

圖6 未解鎖狀態(tài)下進(jìn)行燒錄報(bào)錯(cuò)

NOTE:特別需要注意的是，在使用280049系列芯片時(shí)，與傳統(tǒng)C2000系列芯片不同，其ZxOTP_CSMPSWD1寄存中寫入的默認(rèn)密碼不是全“1”。由于OTP寄存器的特殊性，只能在默認(rèn)設(shè)置的基礎(chǔ)上將1改成0，否則可能發(fā)生FLASH寫入錯(cuò)誤。

圖8 28004x CSMPWSD1默認(rèn)密碼表（部分）

2）仿真代碼保密邏輯 Emulation Code Security Logic(ECSL)

在CSM的基礎(chǔ)上，芯片利用CSM密碼的后64位設(shè)計(jì)了仿真加密邏輯。如果試圖在加密代碼中Halt就會(huì)觸發(fā)該保護(hù)，斷開仿真連接。用戶需要在CSMKEY(0/1)中寫入正確的64位密碼才能啟用仿真，但此時(shí)并不會(huì)解鎖CSM保護(hù)，對(duì)CSMKEY(0/1)的寫入方法可以參考上一條。

圖8 在加密代碼中Halt觸發(fā)仿真保護(hù)

特別注意，在debug一個(gè)加密MCU時(shí)，仿真器需要一些時(shí)間控制CPU，但此時(shí)CPU可能已經(jīng)運(yùn)行并觸發(fā)ECSL保護(hù)導(dǎo)致斷連。要解決此問題，請(qǐng)使用Wait Boot Mode boot選項(xiàng)，在此模式中，CPU會(huì)運(yùn)行在一個(gè)循環(huán)中而不進(jìn)入應(yīng)用程序，從而避免觸發(fā)保護(hù)。具體設(shè)置方法請(qǐng)參考技術(shù)手冊(cè)Boot Rom部分，Launchpad可以通過撥動(dòng)相應(yīng)的開關(guān)進(jìn)入此模式。

3）CPU加密邏輯 CPU Secure Logic(CPUSL)

CPU加密邏輯可以防止未授權(quán)者通過Watch Window讀取CPU寄存器，在程序指針指向保護(hù)區(qū)域時(shí)，所有對(duì)于CPU寄存器的訪問都被禁止（程序指針除外）。在此情況下，最好不要對(duì)CPU寄存器進(jìn)行寫入。另外，如果CSM被解鎖，此外，CPUSL也將被關(guān)閉。

圖8 加密代碼運(yùn)行過程中CPU Registers不可見

4）僅執(zhí)行保護(hù) Execute-Only Protection

對(duì)于存儲(chǔ)關(guān)鍵數(shù)據(jù)的RAM或FLASH，TI提供了Execute-Only Protection。當(dāng)該邏輯啟用，任何對(duì)該區(qū)域數(shù)據(jù)的讀取都將被禁止。例如如果試圖使用另一個(gè)加密區(qū)域中的代碼對(duì)Execute-Only Protection加密區(qū)域中的代碼進(jìn)行復(fù)制、讀取等操作都將被禁止。通過寫入EXEONLYSECT以及EXEONLYRAM寄存器對(duì)應(yīng)位的值，可以啟用該功能。

5）密碼鎖 Password Lock

如前文所述，若只采用CSM加密，可以通過Memory Browser發(fā)現(xiàn)此時(shí)對(duì)應(yīng)CSM密碼的位置并沒有進(jìn)行加密。在開發(fā)完成后，開發(fā)者需要通過Password Lock功能對(duì)此區(qū)域進(jìn)行加密，以防他人讀取密碼并進(jìn)行解密。啟用該保護(hù)的方法是向?qū)?yīng)區(qū)域的PSWDLOCK寄存器0：3位寫入0xF以外的值。

圖9 未開啟Password Lock時(shí)的ZSB0寄存器值

以blinky_with_DCSM為例，要設(shè)置Zonex的密碼，需要在DCSM_Zx_ZoneSelectBlock.asm中將Zx-PSWDLOCK[3:0]該為非全1，并在CMD中刪去相應(yīng)部分的.DSECT：

圖10開啟Password Lock時(shí)的ZSB0寄存器值

至此，我們就完成了DCSM中各種安全功能的介紹和設(shè)置，特別注意，由于PSWDLOCK等寄存器并不位于Zone Select Block當(dāng)中，因此只能進(jìn)行一次寫入，不能進(jìn)行更改，因此應(yīng)該在程序開發(fā)后期再加此類保護(hù)。

三、小結(jié)

DCSM加密相較于傳統(tǒng)的CSM加密具有更完善的保密措施和更靈活的使用方法。雙密碼的引入允許用戶用不同密碼管理不同部分的代碼，為產(chǎn)品的代碼安全以及后期的升級(jí)維護(hù)都帶來了極大的便利。本實(shí)例以2837x系列芯片為對(duì)象，描述了DCSM模塊常見的使用方法。28004x系列芯片僅在DCSM OTP區(qū)域的數(shù)量和使用方法上與2837x略有不用，也可參照此說明進(jìn)行相應(yīng)操作。

另外部分C2000芯片也可以使用Unique ID作為種子進(jìn)行進(jìn)一步的加密，具體方法不在此展開。