CN112231709B - 一种带远程升级功能的系统安全设计方法 - Google Patents

Abstract

本发明涉及一种带远程升级功能的系统安全设计方法，包括：生成两个带AES加密及RSA认证的镜像文件；系统上电,进行硬复位；在系统运行系统正常工作镜像前先进行RSA认证，若通过认证则系统正常运行，否则，系统进入安全锁定状态，启动失败，返回第二步等待重新上电复位；将待升级镜像写入Flash，待升级镜像会将存储在Flash低地址空间的原系统正常工作镜像覆盖掉,根据AES密钥存储方式，系统选择相应的复位方式后返回步骤第三步，第三步至第五步如此循环往复形成双镜像循环切换。本发明采用远程升级方式，能将系统的升级时间缩短至半分钟左右，且省掉了设备拆卸及接线时间；本发明在保证了产品安全的同时，又能带来产品系统升级维护的高效性。

Description

一种带远程升级功能的系统安全设计方法

技术领域

本发明涉及嵌入式系统技术领域，尤其是一种带远程升级功能的系统安全设计方法。

背景技术

传统的嵌入式系统配置方式包括JTAG模式、SPI Flash模式等，这些方式受专用下载器和下载线缆的限制，只适用于短距离的“点对点”下载。随着嵌入式系统使用领域和场景的复杂化，在诸如高山、辐射环境等人无法直接接近的地方，采用传统的系统配置方式灵活性差。

在产品越来越网络化、智能化的时代，产品安全的意义变得越来越重要，在产品投入市场后，面对激烈的市场竞争环境，设计师要着重考虑如何能提高产品自身的安全等级：产品的核心技术及系统架构不被竞争对手窃取，产品的功能不被网络黑客恶意篡改。在产品中加入安全功能这一需求变得越来越大，越来越有价值。

当前，针对一款产品，常见的攻击手段有：

1、产品克隆：竞争对手先从市场上购买样机，通过复制PCB板、购买元器件、复制产品系统固件等手段搭建出一套能完成原产品所有预定功能的新产品。由于无研发成本，竞争对手可以通过低价销售手段来损害产品设计者的利益。

2、增加恶意代码：如果整体或部分替换掉Flash上的软件，或者让系统运行竞争对手/黑客自己开发的恶意代码，有可能可以获取到系统的关键信息，更甚者可以破坏产品的正常功能从而给产品设计者带来多方面的重大损失。

发明内容

本发明的目的在于提供一种基于xilinx zynq SOC软硬件协同平台，对产品镜像文件采用AES加密及RSA认证手段,对JTAG调试端口进行动态管理，采用双镜像循环切换机制，通过网络实现加密镜像的远程安全升级功能的带远程升级功能的系统安全设计方法。

为实现上述目的，本发明采用了以下技术方案：一种带远程升级功能的系统安全设计方法，该方法包括下列顺序的步骤：

(1a)用bootgen工具生成两个带AES加密及RSA认证的镜像文件，其中一个为系统正常工作镜像，另一个为系统远程更新镜像；

(1b)系统上电,进行硬复位；

(1c)系统正常工作镜像存储在Flash低地址空间，在系统运行系统正常工作镜像前先进行RSA认证，若通过认证则系统正常运行，否则，系统进入安全锁定状态，启动失败，返回步骤(1b)等待重新上电复位；

(1d)系统工作于系统正常工作镜像，在系统正常工作期间，根据调试需求对JTAG调试端口进行动态管理；当需要进行系统远程升级时，由上位机控制中心通过网络发出远程升级指令，系统经更新multiboot寄存器并复位后，再次进行RSA认证，若通过认证则运行存储于Flash高地址空间的系统远程更新镜像，否则，系统进入安全锁定状态，启动失败，回到步骤(1b)等待重新上电复位；

(1e)系统工作于系统远程更新镜像，将待升级镜像写入Flash，待升级镜像会将存储在Flash低地址空间的原系统正常工作镜像覆盖掉,根据AES密钥存储方式，系统选择相应的复位方式后返回步骤(1c)，步骤(1c)至步骤(1e)如此循环往复形成双镜像循环切换。

在步骤(1a)中，所述带AES加密及RSA认证的镜像文件，其密钥及镜像文件的生成步骤为：

(2a)根据BIF文件的描述，用bootgen工具分别生成AES密钥、RSA密钥及hash ofPPK；

(2b)新建密钥驱动工程，以使能RSA认证功能，并将步骤(2a)生成的hash of PPK写入PS eFUSE中；

(2c)生成带AES加密及RSA认证功能的镜像文件，并写入QSPI Flash中；

(2d)往PL eFUSE或BBRAM中写入AES密钥。

在步骤(1e)中，所述双镜像循环切换具体是指：

系统正常工作镜像和系统远程更新镜像通过网络传输模块及reboot复位重启模块实现循环切换，其中网络传输模块用于接收上位机控制中心发来的升级指令及待更新镜像文件，reboot复位重启模块用于实现multiboot寄存器值的更新，并在此之后向系统发出复位指令；

当AES密钥存储在PL eFUSE中时，为防止系统复位后进入安全锁定状态，镜像切换时发出的系统复位指令为硬复位指令；当AES密钥存储在BBRAM中时，镜像切换时发出的系统复位指令为软复位指令；

系统中的QSPI Flash用于存储系统镜像文件及系统数据，采用数据压缩技术对加载PL的bitstream文件进行压缩以减小最终的镜像文件大小。

在步骤(1d)中，所述对JTAG调试端口进行动态管理具体是指：

每次系统上电安全启动后，JTAG端口默认是禁止的，此时无法对系统进行配置、读写等操作；当需要对系统进行调试时，通过按键开关触发GPIO中断，在中断处理函数中包含密码确认模块，只有当密码一致时才能使能JTAG端口；调试结束后，可通过另一个按键开关触发另一个GPIO中断以禁止JTAG端口。

由上述技术方案可知，本发明的有益效果为：第一，增强了产品的安全性，不会因为恶意代码的植入导致产品系统功能不正常，进而带来不可估量的经济损失，也不会轻易被竞争对手窃取技术；第二，产品系统远程升级安全可靠，维护灵活高效，同时还能节约大量人力、物力及时间成本；传统的嵌入式系统升级方式，使用专用的加载电缆连接上位机进行升级，只适用于短距离的“点对点”式升级，扣除升级时设备的拆卸及重新接线时间，升级一次固件所耗时间需2至3分钟；本发明采用远程升级方式，能将系统的升级时间缩短至半分钟左右，且省掉了设备拆卸及接线时间；第三，本发明在保证了产品安全的同时，又能带来产品系统升级维护的高效性。

附图说明

图1为系统安全启动流程图；

图2为带AES加密及RSA认证的安全镜像生成流程图；

图3为BBRAM外接电池电路图；

图4为双镜像文件在QSPI Flash中的存储分布图。

具体实施方式

如图1所示，一种带远程升级功能的系统安全设计方法，该方法包括下列顺序的步骤：

(1a)用bootgen工具生成两个带AES加密及RSA认证的镜像文件，其中一个为系统正常工作镜像，另一个为系统远程更新镜像；

(1b)系统上电,进行硬复位；这里的系统是指产品开发者为实现产品功能所设计的系统；

(1c)系统正常工作镜像存储在Flash低地址空间，在系统运行系统正常工作镜像前先进行RSA认证，若通过认证则系统正常运行，否则，系统进入安全锁定状态，启动失败，返回步骤(1b)等待重新上电复位；

(1d)系统工作于系统正常工作镜像，在系统正常工作期间，根据调试需求对JTAG调试端口进行动态管理，这使得在增强产品安全性，保护用户的设计不被窃取和和非法篡改的同时，为设计师调试提供最大的灵活度；当需要进行系统远程升级时，由上位机控制中心通过网络发出远程升级指令，系统经更新multiboot寄存器并复位后，再次进行RSA认证，若通过认证则运行存储于Flash高地址空间的系统远程更新镜像，否则，系统进入安全锁定状态，启动失败，回到步骤(1b)等待重新上电复位；

(1e)系统工作于系统远程更新镜像，将待升级镜像写入Flash，待升级镜像会将存储在Flash低地址空间的原系统正常工作镜像覆盖掉,根据AES密钥存储方式，系统选择相应的复位方式后返回步骤(1c)，步骤(1c)至步骤(1e)如此循环往复形成双镜像循环切换。

如图2所示，在步骤(1a)中，所述带AES加密及RSA认证的镜像文件，其密钥及镜像文件的生成步骤为：

(2a)根据BIF文件的描述，用bootgen工具分别生成AES密钥、RSA密钥及hash ofPPK；BIF文件可用于设定镜像文件包含哪些partition，每个partition的属性，以及生成密钥；

(2b)新建密钥驱动工程，以使能RSA认证功能，并将步骤(2a)生成的hash of PPK写入PS eFUSE中；

(2c)生成带AES加密及RSA认证功能的镜像文件，并写入QSPI Flash中；

(2d)往PL eFUSE或BBRAM中写入AES密钥。

如图4所示，在步骤(1e)中，所述双镜像循环切换具体是指：

系统正常工作镜像和系统远程更新镜像通过网络传输模块及reboot复位重启模块实现循环切换，其中网络传输模块用于接收上位机控制中心发来的升级指令及待更新镜像文件，reboot复位重启模块用于实现multiboot寄存器值的更新，并在此之后向系统发出复位指令；

当AES密钥存储在PL eFUSE中时，为防止系统复位后进入安全锁定状态，镜像切换时发出的系统复位指令为硬复位指令；当AES密钥存储在BBRAM中时，镜像切换时发出的系统复位指令为软复位指令；

系统中的QSPI Flash用于存储系统镜像文件及系统数据，空间大小有限。为尽量节约QSPI Flash的空间，可用数据压缩技术对加载PL的bitstream文件进行压缩以减小最终的镜像文件大小。

在步骤(1d)中，所述对JTAG调试端口进行动态管理具体是指：

JTAG调试端口在嵌入式系统中一般用于加载程序及系统调试用，竞争对手/黑客可通过JTAG口窃取产品技术或篡改产品功能；同时，对设计师而言，JTAG端口能方便其进行系统调试。因此，在产品的不同阶段，应对JTAG调试端口进行动态管理。

在产品定型，正式发布后，可以烧写eFUSE的JTAG链禁止位来永久性地关闭JTAG端口，该方法从物理上截断了竞争对手的窥视途径，但同时也给设计者自己带来了调试的不方便。

当产品处于研发调试阶段时，在系统安全启动后可根据实际情况对JTAG端口进行使能/禁止。

每次系统上电安全启动后，JTAG端口默认是禁止的，此时无法对系统进行配置、读写等操作；当需要对系统进行调试时，通过按键开关触发GPIO中断，在中断处理函数中包含密码确认模块，只有当密码一致时才能使能JTAG端口；调试结束后，可通过另一个按键开关触发另一个GPIO中断以禁止JTAG端口，在这里，按键开关是指系统硬件处理板上的按键开关。

以下结合图1至4对本发明作进一步的说明。

实施例一

基于xilinx zynq的SOC平台自带AES-256硬件解密引擎和HMAC硬件代码认证引擎，支持安全启动方式，可以保护用户的设计不被窃取和使用。其中，HMAC硬件代码认证引擎在内层保护用户设计不被非法篡改，保证用户设计的完整性；AES-256硬件解密引擎在外层保护用户设计不被反向工程，不被拷贝，不被分析破解。RSA用户认证则保证由合法组织提供的程序才能启动设备，以确保设备工作在设定的情景中，任何非法程序或对合法程序的篡改都无法让设备工作。

系统安全策略是：对镜像文件中的所有partitions(包括FSBL工程，PLbitstream,PS elf application)及系统参数都进行AES加密及RSA认证处理。在产品最终定型后，可永久性地关闭JTAG调试端口；在产品处于研发阶段时，在保证产品安全的前提下，可动态地使能/禁止JTAG端口。

AES加密的关键是AES密钥的保护，xilinx zynq平台提供了两种AES密钥存储方式，BBRAM和PL eFUSE，其特点如下：

(1)BBRAM存储：BBRAM存储方式支持反复编程，但掉电后BBRAM中内容会丢失。因此，在使用BBRAM存储AES密钥时，需对硬件电路进行改动。如图3所示，在FPGA的VCC_BATT管脚上外接可充电的纽扣电池，确保系统掉电时BBRAM中的内容不会丢失。当系统正常工作时，由VCC_1V8对BBRAM供电，同时对纽扣电池进行充电。当系统掉电时，VCC_BATT需要的电流很小(nA级别)，可由纽扣电池对其进行供电。

(2)PL eFUSE存储：PL eFUSE熔丝存储方式仅支持一次可编程，掉电内容不丢失，只能物理破解。

系统远程升级中采用的是双镜像循环切换机制，在两个镜像间进行切换时，须对系统进行复位操作。当AES密钥存储于PL eFUSE中时，软复位会使系统进入安全锁定状态而无法正常工作。此时，要使系统完成升级后仍能正常启动，在远程更新镜像中，可在向flash中写完新的系统镜像，准备复位系统以切换工作镜像前，通过控制一个GPIO来触发硬复位，这样系统远程升级后也能正常启动。

RSA用户认证是对程序合法性进行认证的一种手段，只有由合法组织提供的程序才能启动设备，任何非法程序或对合法程序的篡改都无法让设备工作，其特征是：

RSA是一种非对称加密技术，采用2组公私钥，1组固定，1组可更换，以此来确保更高的安全性。两组密钥分别为PPK(Primary Public Key)、PSK(Primary Secret Key)和SPK(Secondary Public Key)、SSK(Secondary Secret Key)。

RSA认证中的密钥存储在PS eFUSE中，只能写一次，且RSA认证功能一旦使能了就不能再关闭了；

RSA认证包括签名及认证两个过程，签名结束产生一个证书，该证书附在需认证镜像后面，与其一起存入NVM非易失存储器中，签名过程如下：

(1)将PPK和SPK明文存入证书中；

(2)用PSK对SPK进行签名，得到的SPK签名存入证书中；

(3)用SSK对需认证镜像进行签名，得到的镜像签名存入证书中；

(4)将证书附在需认证镜像后；

(5)对PPK进行hash后写入eFUSE中。

RSA认证过程分三个步骤进行，只有三个步骤都通过认证，才会最后跳转去执行镜像程序。三个步骤如下：

(1)认证PPK：从证书中读取PPK并计算出PPK的hash，计为hash1。将hash1和eFUSE中的PPK hash进行比较，一致则认为该阶段认证通过，否则认证失败；

(2)认证SPK：从证书中读取SPK并计算SPK的hash，计为hash1；用PPK来解密SPK签名，得到SPK的hash，计为hash2；hash1和hash2进行比较，一致则认为该阶段认证通过，否则认证失败；

(3)镜像认证：读取镜像并计算其hash，计为hash1；用SPK来解密镜像的签名，得到镜像的hash，计为hash2；hash1和hash2进行比较，一致则镜像认证通过，否则失败。

如果设备采用的是QSPI Flash启动方式，当系统用到RSA认证时，系统镜像存储在flash中的起始地址必须为32KB的整数倍而不能是0，否则程序将无法正常启动。可以在往QSPI Flash中写入镜像文件时指定写入的起始地址。

综上，本发明提出了一种带远程升级功能的系统安全设计方法，该方法基于xilinx zynq SOC软硬件协同平台，对产品镜像文件采用AES加密及RSA认证手段,对JTAG调试端口进行动态管理的安全设计方法，在增强产品安全性，保护用户的设计不被窃取和和非法篡改的同时，为设计师调试提供最大的灵活度；采用双镜像循环切换机制，通过网络实现了加密镜像的远程安全升级功能。该方法在保证产品安全的同时，也带来了产品系统升级维护的灵活、高效。

Claims (4)

1.一种带远程升级功能的系统安全设计方法，其特征在于：该方法包括下列顺序的步骤：

(1a)用bootgen工具生成两个带AES加密及RSA认证的镜像文件，其中一个为系统正常工作镜像，另一个为系统远程更新镜像；

(1b)系统上电,进行硬复位；

(1c)系统正常工作镜像存储在Flash低地址空间，在系统运行系统正常工作镜像前先进行RSA认证，若通过认证则系统正常运行，否则，系统进入安全锁定状态，启动失败，返回步骤(1b)等待重新上电复位；

(1d)系统工作于系统正常工作镜像，在系统正常工作期间，根据调试需求对JTAG调试端口进行动态管理；当需要进行系统远程升级时，由上位机控制中心通过网络发出远程升级指令，系统经更新multiboot寄存器并复位后，再次进行RSA认证，若通过认证则运行存储于Flash高地址空间的系统远程更新镜像，否则，系统进入安全锁定状态，启动失败，回到步骤(1b)等待重新上电复位；

(1e)系统工作于系统远程更新镜像，将待升级镜像写入Flash，待升级镜像会将存储在Flash低地址空间的原系统正常工作镜像覆盖掉,根据AES密钥存储方式，系统选择相应的复位方式后返回步骤(1c)，步骤(1c)至步骤(1e)如此循环往复形成双镜像循环切换。

2.根据权利要求1所述的带远程升级功能的系统安全设计方法，其特征在于：在步骤(1a)中，所述带AES加密及RSA认证的镜像文件，其密钥及镜像文件的生成步骤为：

(2a)根据BIF文件的描述，用bootgen工具分别生成AES密钥、RSA密钥及hash of PPK；

(2b)新建密钥驱动工程，以使能RSA认证功能，并将步骤(2a)生成的hash of PPK写入PS eFUSE中；

(2c)生成带AES加密及RSA认证功能的镜像文件，并写入QSPI Flash中；

(2d)往PL eFUSE或BBRAM中写入AES密钥。

3.根据权利要求1所述的带远程升级功能的系统安全设计方法，其特征在于：在步骤(1e)中，所述双镜像循环切换具体是指：

系统正常工作镜像和系统远程更新镜像通过网络传输模块及reboot复位重启模块实现循环切换，其中网络传输模块用于接收上位机控制中心发来的升级指令及待更新镜像文件，reboot复位重启模块用于实现multiboot寄存器值的更新，并在此之后向系统发出复位指令；

当AES密钥存储在PL eFUSE中时，为防止系统复位后进入安全锁定状态，镜像切换时发出的系统复位指令为硬复位指令；当AES密钥存储在BBRAM中时，镜像切换时发出的系统复位指令为软复位指令；

系统中的QSPI Flash用于存储系统镜像文件及系统数据，采用数据压缩技术对加载PL的bitstream文件进行压缩以减小最终的镜像文件大小。

4.根据权利要求1所述的带远程升级功能的系统安全设计方法，其特征在于：在步骤(1d)中，所述对JTAG调试端口进行动态管理具体是指：

每次系统上电安全启动后，JTAG端口默认是禁止的，此时无法对系统进行配置、读写等操作；当需要对系统进行调试时，通过按键开关触发GPIO中断，在中断处理函数中包含密码确认模块，只有当密码一致时才能使能JTAG端口；调试结束后，可通过另一个按键开关触发另一个GPIO中断以禁止JTAG端口。

Images