隨著系統安全日益成為嵌入式計算行業的焦點，至尊工程解決方案（X-ES）通過為客戶提供交鑰匙安全啟動軟件包來應對，該軟件包可用于恩智浦QorIQ和X-ES基于LayeScape處理器的硬件。

安全啟動軟件由 X-ES 針對目標處理器板預先定制，通過提供簡化、易于開發人員使用的實現包來加快開發速度。配置后，安全啟動是處理器驗證系統映像是否受信任且可安全啟動的過程。

恩智浦信任架構提供安全保證

安全啟動是恩智浦信任架構的一個子集，是可信系統保證僅啟動和執行真實代碼的初始點。安全啟動可以與信任架構的其他組件一起使用，以提供全面、安全的軟件計算解決方案。信任體系結構還包括內存訪問控制/強分區、持久存儲、安全狀態監視、主密鑰、安全違規檢測和安全調試。所有信任架構功能都支持X-ES的基于恩智浦QorIQ P系列、T系列和層景處理器的硬件。

安全啟動可防止執行不真實的代碼

安全啟動提供對軟件有效性的硬件檢查，以確定可啟動映像是否受信任。安全啟動進行這種區分的能力使其能夠防止 CPU 運行不受信任的代碼，檢測和拒絕修改的安全配置值和設備機密，允許受信任的代碼在處理器處于安全狀態時使用特定于設備的一次性可編程主密鑰 （OTPMK），并防止從設備中提取敏感值。

為了使安全啟動能夠正確驗證代碼是否真實且可信，開發人員必須首先對代碼進行數字簽名。這是通過生成 RSA 公鑰和私鑰對來實現的，以啟用安全啟動序列哈希檢查，以區分真實、受信任的代碼和不真實的代碼。X-ES通過提供恩智浦代碼簽名工具以及改進的U-Boot引導加載程序，大大簡化了客戶的這一過程，該引導加載程序增加了驗證為X-ES處理器板簽名的映像的功能。開發人員不依賴于恩智浦或X-ES進行代碼簽名，并且能夠使用X-ES提供的軟件工具包自行完成此操作。

使用 X-ES 修改的安全啟動軟件的另一個重要優點是，開發人員不需要對硬件有高度的熟悉程度即可開始開發，因為特定于設備的安全啟動自定義已經完成。

多種配置，滿足特定安全要求

X-ES 的安全引導軟件包支持客戶選擇單片映像（包括作為單個軟件包簽名的引導加載程序、操作系統和應用程序），或選擇信任鏈，其中內部安全引導代碼 （ISBC） 驗證引導加載程序，引導加載程序驗證操作系統，操作系統在允許系統軟件執行代碼之前按順序驗證應用程序。雖然整體式映像僅使用單個數字簽名，但信任鏈能夠支持驗證的每個階段的唯一 RSA 公鑰和私鑰對。

通過使用保密的信任鏈（支持啟動到加密映像）進一步強化系統和啟動安全性。在此啟動過程中，ISBC（內部安全啟動代碼）驗證 X-ES U-Boot 代碼，然后后跟一個啟動腳本，該腳本運行以解封/解密操作系統映像，然后允許啟動腳本將控制權傳遞給操作系統。

X-ES 業界領先的嵌入式硬件支持安全啟動

X-ES提供業界領先的加固型嵌入式計算板卡，支持恩智浦QorIQ P系列、T系列和LayerScape處理器，每個處理器都設計有值得信賴的子系統，可在各種應用中提供安全保證。

基于X-ES NXP處理器的主板目前提供九種COTS和行業標準外形規格，支持將安全啟動與客戶選擇的操作系統（包括Linux、風河VxWorks或綠山完整性）配對。在安全啟動的支持下，這些處理器板能夠在受信任的環境中進行高性能計算，提供無與倫比的可靠性和確認，即只有受信任的OEM代碼在執行。

審核編輯：郭婷