伴隨著信息化的發(fā)展，安全，越來越成為人們關(guān)注的重點(diǎn)。對(duì)于芯片來說，安全主要分為三個(gè)部分，安全加密啟動(dòng)、保護(hù)用戶機(jī)密和防攻擊機(jī)制。

安全加密啟動(dòng)是芯片是否正常工作的重中之重。原理其實(shí)很好理解，就是需要將啟動(dòng)鏡像進(jìn)行加密或簽名，然后使用開發(fā)板的ROM程序進(jìn)行解密或驗(yàn)簽，再引導(dǎo)啟動(dòng)源鏡像。

通常，這個(gè)過程我們內(nèi)部工程師會(huì)借助一些恩智浦開發(fā)的小工具來完成。例如，blhost，elftosb，cst，等（在恩智浦官網(wǎng)都可以下載到）。這些工具適合一些資深開發(fā)者使用，通過編寫B(tài)ash腳本進(jìn)行集成，需要一定的編程基礎(chǔ)。

這些操作相對(duì)復(fù)雜，大多沒有GUI，如果第一次接觸會(huì)比較頭疼。為了方便客戶調(diào)試及使用，恩智浦首先將這些工具集合在一起，借助Python開發(fā)了一個(gè)可以直接使用大部分小工具的軟件——Secure Provisioning SDK（SPSDK：Introduction — SPSDK documentation）。

該工具最大的好處就是可以直接通過pip安裝，Python環(huán)境也相對(duì)來說比較容易上手。

為了再簡(jiǎn)化操作流程，恩智浦又基于SPSDK和上述小工具開發(fā)了一個(gè)GUI安全啟動(dòng)操作軟件——MCUXpresso Secure Provisioning Tool（SEC：MCUXpresso Secure Provisioning Tool | NXP Semiconductors）。

下面對(duì)這個(gè)軟件進(jìn)行一個(gè)簡(jiǎn)要的介紹。

最小安裝需求

? Microsoft（R） Windows（R） 10 （64-bit）

? Mac OS X （11.6 Big Sur）

? Ubuntu 22.04 LTS 64 bit， 安裝 GNOME 和 OpenSSL 1.1.1f 31 ［3月 2020］

? 4 GB RAM

? 分辨率 1366 x 768

安裝流程（Windows）

SEC軟件可以直接在恩智浦官網(wǎng)下載，支持Windows、Mac和Linux平臺(tái)。下載Windows安裝包后雙擊打開。

圖1 SEC工具安裝界面

默認(rèn)安裝路徑為C： xpMCUX_Provi_v5。軟件創(chuàng)建的默認(rèn)工作空間位于C:Users “user name” 文件夾中。

使用界面

SEC 提供簡(jiǎn)單且友好的用戶界面。如果有選項(xiàng)不可用，則顯示為灰色。

主界面為生成啟動(dòng)鏡像界面，可以選擇源鏡像和SRK（Super Root Key）。如果生成鏡像的準(zhǔn)備工作還未完成，左上角的“Build image”旁會(huì)顯示紅色的“X”。如果完成，則為下圖所示的綠色“√”。

此時(shí)，可以單擊右下角的”Build image”生成啟動(dòng)鏡像。“OTP configuration”可以獲取當(dāng)前連接芯片的fuse信息。“IEE encryption”可以配置需要保護(hù)的區(qū)域和密鑰。

圖2 SEC工具生成鏡像界面

燒寫鏡像界面列出了燒寫所需的文件，都是自動(dòng)生成。可以通過“Start flashloader”測(cè)試芯片是否能正常啟動(dòng)flashloader。點(diǎn)擊右下角“Write image”燒寫鏡像到選定flash中。關(guān)于Flash的設(shè)置可以在工具欄中“Edit”進(jìn)行配置。

圖3 SEC工具燒寫鏡像界面

PKI密鑰樹管理界面可以生成X509 v3標(biāo)準(zhǔn)的密鑰對(duì)和證書。保存在工作空間目錄的keys和crts中。目前只支持RSA，ECC會(huì)在V6版本進(jìn)行支持。

圖4 SEC工具PKI密鑰樹管理界面

命令行操作

此外，對(duì)于習(xí)慣使用指令操作的用戶，SEC工具還提供了命令行操作的選項(xiàng)。運(yùn)行c:/nxp/MCUX_Provi_v5/bin/securep.exe -h查看操作支持。

對(duì)于SEC工具的更詳細(xì)的操作和使用請(qǐng)查看C： xpMCUX_Provi_v5MCUXpresso Secure Provisioning Tool.pdf

審核編輯 ：李倩