常用的Bootloader安全機制的設(shè)計

不管是玩單片機還是嵌入式linux，基本上都會接觸到bootloader，所以bootloader程序也是一個關(guān)鍵的組件，進行硬件初始化，應(yīng)用程序的合法性、完成性檢測、升級功能等等都與其息息相關(guān)。

像一些在ram運行的應(yīng)用程序，或者是一些運行內(nèi)存比較小的MCU等等，它需要保證從外部存儲器中讀取的應(yīng)用程序是可信的，不能拿過來就執(zhí)行，那往往是不安全的，特別是為了防止惡意程序的注入和攻擊，在Bootloader程序中實現(xiàn)一定的安全機制就非常有必要了~

今天就大致聊聊，一些常用的Bootloader安全機制的設(shè)計：

1

進行image校驗

image校驗我們也常叫鏡像校驗，Bootloader程序可以對從外部存儲器中讀取的應(yīng)用程序鏡像進行校驗，以確保其完整性和正確性，常見的鏡像校驗方式包括CRC、哈希值等。 當(dāng)然你如果想簡單一點使用求和檢驗也是可行的，將應(yīng)用程序鏡像中每個字節(jié)的值相加，得到一個校驗和。Bootloader程序?qū)⒂嬎愕玫降男ｒ灪团c預(yù)先存儲在應(yīng)用程序鏡像中的校驗和進行比較，如果兩者相等，說明應(yīng)用程序鏡像沒有被篡改，校驗和的優(yōu)點是計算簡單，缺點當(dāng)然就是校驗?zāi)芰τ邢蓿资芄簟?而相比求和校驗，CRC等是一種更加可靠和安全的校驗方式，它可以檢測出更多的錯誤，并且不易受攻擊。

在STM32中，CRC校驗可以使用硬件或軟件實現(xiàn)。硬件CRC校驗可以使用STM32的CRC模塊，直接對應(yīng)用程序鏡像進行校驗，速度快、精度高。軟件CRC校驗則需要Bootloader程序自行實現(xiàn)CRC算法，速度較慢，但也可以得到較好的校驗效果。 如果校驗通過，則可以加載應(yīng)用程序鏡像；如果校驗失敗，則應(yīng)該拒絕加載應(yīng)用程序鏡像，并給出相應(yīng)的提示。 鏡像校驗是可以保證從外部存儲器中讀取的應(yīng)用程序是可信的，避免惡意程序的注入和攻擊。如果鏡像校驗失敗，Bootloader程序可以拒絕加載應(yīng)用程序鏡像，避免惡意程序的注入。

2

簽名認(rèn)證

簽名認(rèn)證并不是一個加密和解密的過程，它是一種數(shù)字簽名技術(shù)。 數(shù)字簽名是一種用于確保電子文檔的完整性和認(rèn)證性的技術(shù)，它使用密鑰對（公鑰和私鑰）來生成和驗證簽名。

數(shù)字簽名的過程如下：

1、生成簽名：文檔的發(fā)送者使用私鑰對文檔進行哈希運算，然后使用私鑰對哈希值進行加密，生成簽名。

2、驗證簽名：文檔的接收者使用公鑰對簽名進行解密，得到哈希值，然后對文檔進行哈希運算，得到另一個哈希值。接收者比較這兩個哈希值，如果相等，則說明文檔沒有被篡改，并且簽名是可信的。 ?

需要注意的是，數(shù)字簽名技術(shù)依賴于密鑰對的安全性，私鑰需要妥善保管，防止泄露和丟失，公鑰需要預(yù)置在Bootloader程序中，確保其可信和安全。 簽名認(rèn)證需要使用一組密鑰對，包括私鑰和公鑰。開發(fā)者使用私鑰對應(yīng)用程序進行簽名，Bootloader程序使用公鑰進行認(rèn)證。如果簽名認(rèn)證失敗，Bootloader程序可以拒絕加載應(yīng)用程序鏡像。

3

內(nèi)存保護

在STM32的Bootloader中，內(nèi)存保護是一種重要的安全機制，可以保護Bootloader程序和其他重要的代碼和數(shù)據(jù)不被應(yīng)用程序覆蓋、修改或篡改。 內(nèi)存保護通常使用硬件或軟件實現(xiàn)。在STM32中，硬件內(nèi)存保護可以使用CPU的內(nèi)存保護單元（MPU）實現(xiàn)，軟件內(nèi)存保護可以使用內(nèi)存管理單元（MMU）或軟件實現(xiàn)的保護機制，具體使用哪種需要看資源情況。

硬件內(nèi)存保護

可以將MCU的內(nèi)存空間劃分為若干個區(qū)域，并為每個區(qū)域配置不同的訪問權(quán)限。Bootloader程序可以將應(yīng)用程序加載到特定的區(qū)域中，防止應(yīng)用程序覆蓋或修改Bootloader程序和其他重要的代碼和數(shù)據(jù)。硬件內(nèi)存保護的優(yōu)點是速度快、可靠性高，缺點是配置復(fù)雜，需要占用一定的硬件資源。

軟件內(nèi)存保護

可以使用MMU或軟件實現(xiàn)的保護機制，但一般有MMU單元的都屬于微處理器了，而微控制器。MMU是一種硬件單元，用于將虛擬地址映射到物理地址，并可以配置不同的訪問權(quán)限。軟件實現(xiàn)的保護機制可以在Bootloader程序中實現(xiàn)一些保護代碼，用于檢測和防止應(yīng)用程序的篡改和攻擊。軟件內(nèi)存保護的優(yōu)點是靈活性高，缺點是速度較慢，可靠性較低。 內(nèi)存保護可以保護Bootloader程序和其他重要的代碼和數(shù)據(jù)不被應(yīng)用程序覆蓋、修改或篡改。在實現(xiàn)內(nèi)存保護時，需要注意區(qū)域劃分、加載位置、訪問權(quán)限、保護代碼等方面的問題。

4

使用只讀存儲器

只讀存儲器（ROM）通常是一種非易失性存儲器，具有讀取快、安全可靠、不易受攻擊等優(yōu)點。 將Bootloader程序放在只讀存儲器中，可以保證Bootloader程序的完整性和安全性，防止惡意程序的注入和攻擊。只讀存儲器也可以是MCU的Flash、ROM等。

5

最后

值得注意的是，Bootloader程序的安全機制應(yīng)該根據(jù)實際的應(yīng)用場景和需求進行設(shè)計和實現(xiàn)。 安全機制的增加會增加系統(tǒng)的復(fù)雜性和開發(fā)成本，因此應(yīng)該在安全性和可用性之間進行權(quán)衡。

編輯：黃飛

?