欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 新闻 > 国际 > STM32 BootLoader 刷新项目 (八) 读取Flash保护ROP-0x54

STM32 BootLoader 刷新项目 (八) 读取Flash保护ROP-0x54

2024/11/14 12:43:15 来源:https://blog.csdn.net/qq_35057766/article/details/143612253  浏览:    关键词:STM32 BootLoader 刷新项目 (八) 读取Flash保护ROP-0x54

STM32 BootLoader 刷新项目 (八) 读取Flash保护ROP-0x54

下面我们来介绍一下BootLoader一上电对芯片Option Byte操作的过程,Option Byte可以配置的功能包括**Read protection (RDP) **读出保护级别,**BOR级别(Brown-out Reset)**设置电压阈值,看门狗配置Flash写保护

在当今竞争激烈的市场中,软件供应商们正致力于开发具有自主知识产权的软件产品,尤其是那些在嵌入式系统中扮演关键角色的中间件产品。这些产品不仅需要具备高性能和稳定性,还需要确保其知识产权得到充分保护,以防止非法复制和滥用。随着基于微处理器的嵌入式产品对知识产权保护的需求日益增长,保护这些核心资产已成为供应商们的首要任务。

为了应对这一挑战,STM32系列微控制器(MCU)提供了一系列的安全特性,以帮助保护产品的知识产权。以下是STM32 MCU在知识产权保护方面的一些关键特性:

  1. Read Protection (RDP):这是一种全面的芯片级保护机制,可以防止未经授权的读取操作。RDP能够限制对整个芯片的访问,包括Flash存储器、SRAM以及其他关键寄存器,确保只有授权的用户能够访问这些资源。

  2. Write Protection:为了防止意外或恶意的擦除和编程操作,STM32 MCU提供了写保护功能。这项功能可以锁定Flash存储器的特定区域,防止未授权的写入,从而保护固件和配置数据不被篡改。

  3. Proprietary Code Read Out Protection (PCROP):这是一种更为精细的保护机制,专门设计用来保护存储在Flash中的专有代码。与RDP不同,PCROP允许对Flash的特定区域进行读写保护,而不是整个芯片。这样,供应商可以保护包含关键算法和知识产权的代码段,同时仍然允许其他区域的代码进行正常的读写操作,便于进行后续的二次开发和维护。

PCROP的引入为STM32 MCU的用户带来了更多的灵活性和安全性。通过将关键代码放置在受PCROP保护的区域,供应商可以确保这些代码不会被轻易读取或复制,从而保护其知识产权不受侵犯。此外,PCROP还支持对代码的执行,这意味着受保护的代码可以被执行,但无法被读取或修改,这为嵌入式系统的安全性提供了额外的保障。

ST公司在其多个STM32产品系列中都集成了PCROP功能,包括但不限于STM32L1、STM32F4、STM32L4、STM32F7和STM32H7等。这些产品线的广泛支持表明了ST公司对于知识产权保护的重视,以及其在提供安全解决方案方面的承诺。

为了充分利用这些保护机制,软件供应商需要在设计和开发过程中采取相应的措施。这包括在编译和编程阶段正确配置RDP和PCROP,以及在产品发布前进行彻底的安全测试。通过这些努力,供应商可以确保他们的产品在面对日益复杂的安全威胁时,仍然能够保持其知识产权的安全和完整。

image-20241107071829974

1. Option Byte介绍

STM32F407的Option Byte是STM32微控制器内部Flash中的一块特殊区域,用于存放一些配置信息。这些配置信息在每次上电复位时通过Option Byte Loader (OBL)读取,并写入到Flash的5个寄存器中,从而影响微控制器的行为。以下是STM32F407 Option Byte的一些详细介绍:

  1. Option Byte区域位置:Option Byte位于STM32内部Flash的0x1FFF 7800地址处。

  2. Option Byte的作用机制:每次上电复位时,微控制器会自动读取Option Byte区域的配置,并将其加载到特定的寄存器中,从而影响系统的行为。

  3. Option Byte的配置内容:Option Byte可以配置的项目包括:

    • 读出保护级别(RDP):可以设置不同的读出保护级别,以保护程序不被非法读取或篡改。
    • BOR级别(Brown-out Reset):设置电压阈值,当电源电压下降到该阈值以下时,微控制器会自动复位。
    • 看门狗配置:可以选择硬件看门狗或软件看门狗,并配置看门狗的行为。
    • IWDG和WWDG的启动模式:配置看门狗在sleep/stop/standby模式下是否关闭。
    • Flash写保护:可以设置Flash的写保护区域,防止非法写入。
  4. 编程Option Byte:编程Option Byte需要谨慎,因为一旦写入,更改较为困难。通常需要使用STM32的HAL库函数或直接操作Flash寄存器来完成。

  5. Option Byte的安全性:Option Byte提供了一种保护机制,可以锁定微控制器,防止未授权的读取和写入,这对于保护知识产权和系统安全非常重要。

  6. RDP的回归:如果需要从较高的读出保护级别降低到较低级别,会触发一次全Flash的擦除,因此在实施RDP回归功能时需要特别注意。

以上是STM32F407 Option Byte的一些基本介绍和配置信息,具体的配置方法和细节可以参考STM32F407的官方参考手册。

image-20241105212018459image-20241105212129080

2. ROP 读保护Read protection

STM32F407的Option Byte中的RDP(Read-out Protection)是用于保护微控制器内部Flash存储器不被非法读取的一种安全特性。以下是RDP的详细介绍:

  1. RDP保护级别

    • Level 0(无保护):RDP设置为0xAA时,没有启用读出保护。这是默认的设置,允许对内部Flash和备份SRAM的完整访问权限,包括通过调试接口的访问。
    • Level 1(使能读写保护):除了内部Flash自举的情况外,任何尝试从外部访问内部Flash和备份SRAM的操作都被禁止,包括使用调试器或从内部SRAM自举时的读写和擦除操作。如果需要从Level 1降级到Level 0,需要将RDP重新设置为0xAA,但这会导致内部Flash和备份SRAM的内容被自动擦除,因此原Flash中的代码会丢失。
    • Level 2(禁止调试):这是最高级别的读保护,一旦设置,无法再降级。它会永久禁止用于调试的JTAG接口,相当于物理熔断。设置为0xCC时,启用Level 2保护。
  2. RDP的配置和修改

    • 要修改RDP的值,需要通过编程Option Byte来实现。这通常涉及到擦除Option Byte区域,然后写入新的RDP值。需要注意的是,一旦RDP被设置为非0xAA的值,就启用了读保护,此时无法通过调试接口访问内部Flash和备份SRAM。
    • 在降级RDP级别时,从Level 1降到Level 0会导致内部Flash和备份SRAM的内容被擦除,因此这是一个不可逆的过程,需要谨慎操作。
  3. RDP的安全性

    • RDP提供了一种防止未经授权的代码读取和复制的机制,这对于保护知识产权和系统安全至关重要。在产品发布时,启用RDP可以防止竞争对手或恶意用户通过读取Flash内容来复制或篡改程序。
  4. RDP的注意事项

    • 在编程Option Byte后,需要重启微控制器以使新的RDP设置生效。一旦RDP被设置为Level 1或Level 2,就无法再通过调试接口进行访问,除非降级到Level 0,但这样做会丢失所有内部Flash的内容。

image-20241105212554571

剩下还有STM32的其他Option Byte介绍,由于和本篇文章的内容不相关,后续大家可以自己阅读芯片手册。

3. 命令0x54介绍

在本篇文章,我们的主要是介绍0x54的命令,这个命令主要是读取STM32目前flash的保护等级。

通过上位机发送6 Byte的数据,其中第1 Byte为整个数据的长度,第2Byte为指令码,第3-6 Byte为前2个Byte的CRC校验值。上位机通过串口UART发送给下位机,下位机回复RDP 读保护的状态。

image-20241106075654092

下面是整个程序执行读取RDP命令的流程图:

BootLoader_Flow_RDP_0x54

4. 程序设计

下面我们来进行程序设计,下面是读取上位机指令,并解析指令的过程,通过switch case判断执行哪种命令。

void  bootloader_uart_read_data(void)
{uint8_t rcv_len=0;printmsg_Host("BL_DEBUG_MSG: Receive CMD\n\r");while (1){HAL_GPIO_WritePin(LED2_GPIO_Port, LED2_Pin, GPIO_PIN_RESET);memset(bl_rx_buffer, 0, 200);//here we will read and decode the commands coming from host//first read only one byte from the host , which is the "length" field of the command packetHAL_UART_Receive(C_UART,bl_rx_buffer,1,HAL_MAX_DELAY);rcv_len= bl_rx_buffer[0];HAL_UART_Receive(C_UART,&bl_rx_buffer[1],rcv_len,HAL_MAX_DELAY);switch(bl_rx_buffer[1]){case BL_GET_VER:bootloader_handle_getver_cmd(bl_rx_buffer);break;case BL_GET_HELP:bootloader_handle_gethelp_cmd(bl_rx_buffer);break;case BL_GET_CID:bootloader_handle_getcid_cmd(bl_rx_buffer);break;case BL_GET_RDP_STATUS:bootloader_handle_getrdp_cmd(bl_rx_buffer);break;default:printmsg("BL_DEBUG_MSG:Invalid command code received from host \n");break;}}
}

下面是过去rdp保护的函数,如果CRC校验正确,则进入到get_flash_rdp_level()的函数,获取RDP的Level。

/*Helper function to handle BL_GET_RDP_STATUS command */
void bootloader_handle_getrdp_cmd(uint8_t *pBuffer)
{uint8_t rdp_level = 0x00;printmsg("BL_DEBUG_MSG:bootloader_handle_getrdp_cmd\n");//Total length of the command packetuint32_t command_packet_len = bl_rx_buffer[0] + 1 ;//extract the CRC32 sent by the Hostuint32_t host_crc = *((uint32_t * ) (bl_rx_buffer + command_packet_len - 4) ) ;if (! bootloader_verify_crc(&bl_rx_buffer[0], command_packet_len-4, host_crc)){printmsg("BL_DEBUG_MSG:checksum success !!\n");bootloader_send_ack(pBuffer[0], 1);rdp_level = get_flash_rdp_level();printmsg("BL_DEBUG_MSG:RDP level: %d %#x\n",rdp_level,rdp_level);bootloader_uart_write_data(&rdp_level, 1);}else{printmsg("BL_DEBUG_MSG:checksum fail !!\n");bootloader_send_nack();}
}

下面是读取Option Byte的0x1FFFC000地址的高八位,其为RDP Level的等级。

/*This function reads the RDP ( Read protection option byte) value*For more info refer "Table 9. Description of the option bytes" in stm32f446xx RM*/
uint8_t get_flash_rdp_level(void)
{uint8_t rdp_status=0;volatile uint32_t *pOB_addr = (uint32_t*) 0x1FFFC000;rdp_status =  (uint8_t)(*pOB_addr >> 8) ;return rdp_status;
}

5. 实操演练

下面是上位机的命令菜单,上位机链接下位机的串口号,即可进入命令界面:

image-20240713104433991

在上位机中输入命令4,即为获取RDP状态命令0x54,MCU根据读取Option Byte中0x1FFF C000地址中的值,来告诉上位机当前读保护处于什么状态,由下图可以看出,当前状态为0xAA,处于为保护状态。

image-20241107080747434

5. 系列文章

STM32 BootLoader 刷新项目 (一) STM32CubeMX UART串口通信工程搭建

STM32 BootLoader 刷新项目 (二) 方案介绍

STM32 BootLoader 刷新项目 (三) 程序框架搭建及刷新演示

STM32 BootLoader 刷新项目 (四) 通信协议

STM32 BootLoader 刷新项目 (五) 获取软件版本号-命令0x51

STM32 BootLoader 刷新项目 (六) 获取帮助-命令0x52

STM32 BootLoader 刷新项目 (七) 获取芯片ID-0x53

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com