STM32F103RB的 Bootloader軟件安全設(shè)計(jì)方案

通過實(shí)驗(yàn)，驗(yàn)證了當(dāng)部分應(yīng)用程序內(nèi)容被修改時(shí)，Bootloader可以正常進(jìn)入運(yùn)行模式，在放置的跳轉(zhuǎn)指針嘗試至應(yīng)用程序函數(shù)入口地址時(shí)，程序可以跳轉(zhuǎn)至非法讀取程序執(zhí)行讀取命令，得到Bootloader程序和被部分修改的應(yīng)用程序代碼。復(fù)制到新的芯片中后運(yùn)行啟動(dòng)Bootloader升級(jí)模式，將升級(jí)程序下載升級(jí)程序包覆蓋應(yīng)用程序區(qū)域，就得到了完整的Bootloader程序和應(yīng)用程序代碼。

3 雙重完整性檢驗(yàn)安全方案設(shè)計(jì)與驗(yàn)證
實(shí)際應(yīng)用中，Bootloader引導(dǎo)應(yīng)用程序結(jié)構(gòu)的軟件在STM32F103RB芯片上使用時(shí)，廠商可以通過改進(jìn)Boot-loader的設(shè)計(jì)，最大程度地避免這種篡改應(yīng)用程序方式帶來的代碼被抄襲的風(fēng)險(xiǎn)。由于芯片讀保護(hù)有效時(shí)，前3片區(qū)的自動(dòng)寫保護(hù)可以保證中斷向量表不被篡改，從而Bootloader在Flash地址啟動(dòng)時(shí)首先執(zhí)行。
在更新應(yīng)用程序的過程中，除了升級(jí)程序包采用加密、方式由Bootloader在升級(jí)模式下將內(nèi)容解密后寫入應(yīng)用程序區(qū)域外，Bootloader運(yùn)行模式下確認(rèn)Flash中的內(nèi)容為完整的合法程序和阻止非法程序的運(yùn)行是安全設(shè)計(jì)方案的出發(fā)點(diǎn)。下面介紹的是采用雙重完整性檢驗(yàn)的方案提高代碼安全性的方法：
①由于STM32F103RB芯片的Falsh的寫操作需要對(duì)片區(qū)擦除后進(jìn)行，可以在各片區(qū)的特定地址內(nèi)依次放置廠商設(shè)定的1～2字節(jié)偽隨機(jī)碼，組成密碼序列。在非法讀取程序或跳轉(zhuǎn)指針寫入時(shí)，對(duì)片區(qū)擦除過程將破壞偽隨機(jī)碼而不能重新寫回，導(dǎo)致密碼序列的破壞。
②CRC檢驗(yàn)是較為常見的一種數(shù)據(jù)傳輸檢錯(cuò)方式，隨著技術(shù)的發(fā)展，已經(jīng)出現(xiàn)了能夠適用于嵌入式系統(tǒng)有限資源的快速算法。將應(yīng)用程序代碼區(qū)域的CRC檢驗(yàn)值在升級(jí)程序時(shí)保存在Flash中的約定位置。對(duì)應(yīng)用程序代碼的非法修改將使CRC檢驗(yàn)值改變。
加入了雙重完整性檢驗(yàn)方案的Bootloader功能模塊流程如圖4所示。

方案的設(shè)計(jì)可以使芯片上電復(fù)位后，自Flash起始地址運(yùn)行的Bootloader及時(shí)發(fā)現(xiàn)篡改攻擊造成的改變，并防止非法代碼得到執(zhí)行機(jī)會(huì)。在安全設(shè)計(jì)方案驗(yàn)證實(shí)驗(yàn)中，設(shè)計(jì)Bootloader在運(yùn)行模式下驗(yàn)證密碼序列的完整性，并將應(yīng)用程序區(qū)域的CRC檢驗(yàn)值與保存在約定位置中初始檢驗(yàn)值比較，從而驗(yàn)證Flash內(nèi)容未被篡改。在驗(yàn)證失敗時(shí)，輸出驗(yàn)證失敗信息和當(dāng)前的CRC檢驗(yàn)值后進(jìn)入死循環(huán)，而不再啟動(dòng)應(yīng)用程序。
對(duì)方案的驗(yàn)證實(shí)驗(yàn)采用在應(yīng)用程序片區(qū)的末尾寫入偽隨機(jī)碼序列和32位CRC檢驗(yàn)算法，依次對(duì)Flash的4～128 片區(qū)單獨(dú)進(jìn)行擦除后寫入非法代碼進(jìn)行驗(yàn)證，均得到圖5所示的驗(yàn)證失敗信息。

實(shí)際測(cè)試中，對(duì)不同片區(qū)的篡改操作得到不同的CRC檢驗(yàn)值與合法應(yīng)用程序CRC檢驗(yàn)值互不相同。雙重完整性檢驗(yàn)方案在STM32F103RB芯片上運(yùn)行帶來的時(shí)間開銷約為80ms，也能夠被產(chǎn)品啟動(dòng)過程所接受。在廠商進(jìn)行產(chǎn)品開發(fā)時(shí)，可以進(jìn)一步設(shè)計(jì)Bootloader驗(yàn)證失敗時(shí)進(jìn)入自毀程序，通過修改讀保護(hù)狀態(tài)使芯片被整片擦除，從而銷毀所有代碼，提高代碼的安全性。

結(jié) 語(yǔ)
嵌入式系統(tǒng)是硬件與軟件高度結(jié)合的技術(shù)應(yīng)用，通過對(duì)STM32F103RB芯片上進(jìn)行Bootloader引導(dǎo)應(yīng)用程序結(jié)構(gòu)軟件開發(fā)時(shí)的篡改攻擊風(fēng)險(xiǎn)驗(yàn)證，可以看到嵌入式產(chǎn)品被抄襲風(fēng)險(xiǎn)的嚴(yán)峻性。在實(shí)際應(yīng)用中，嵌入式系統(tǒng)設(shè)計(jì)應(yīng)當(dāng)結(jié)合軟件結(jié)構(gòu)的特點(diǎn)和硬件提供的保護(hù)特性，靈活使用不同的保護(hù)方式，有效地提高程序的安全性，達(dá)到最大程度地對(duì)廠商代碼和知識(shí)產(chǎn)權(quán)的保護(hù)。