STM32F103RB的 Bootloader軟件安全設計方案

發(fā)布時(shí)間:2010-1-14 10:59    發(fā)布者:李寬
關(guān)鍵詞: bootloader , 安全設計 , 軟件
引言

隨著(zhù)嵌入式系統產(chǎn)品的發(fā)展,其功能趨向系統化、復雜化,不同場(chǎng)合和具體應用對產(chǎn)品的升級維護提出了更多的需求。廠(chǎng)商針對這一問(wèn)題普遍采用。Bootloader引導應用程序結構的嵌入式軟件,在產(chǎn)品升級和維護過(guò)程中只需提供升級程序包由Bootloader在升級模式下更新產(chǎn)品的應用程序,即可快捷地實(shí)現產(chǎn)品升級。

一直以來(lái),嵌入式軟件的安全和知識產(chǎn)權保護是廠(chǎng)商面對市場(chǎng)競爭著(zhù)重關(guān)心的焦點(diǎn)。嵌入式系統處理器的有限硬件資源和高效率要求使得其難以應用復雜和大運算量的加密算法,對代碼的保護更多依賴(lài)于硬件,這往往具有很多潛在的安全隱患。本文就.Bootloader引導應用程序結構的軟件在STM32F103RB芯片上應用時(shí),遭到篡改攻擊后所面臨的代碼泄漏風(fēng)險進(jìn)行研究和驗證,并提出了改進(jìn)Bootloader的安全設計方案,加強代碼的安全性。

1 篡改攻擊風(fēng)險研究

1.1 研究的意義

嵌入式系統產(chǎn)品的開(kāi)發(fā)往往成本高、開(kāi)發(fā)周期長(cháng),一旦產(chǎn)品中的嵌入式軟件被抄襲或盜竊都將給廠(chǎng)商帶來(lái)巨大的損失。隨著(zhù)嵌入式處理器設計技術(shù)的發(fā)展,對片內Flash中的代碼保護也日漸完善。芯片在保護狀態(tài)下,可以完全禁止通過(guò)調試接口或SRAM中運行的程序讀取Flash內容,但產(chǎn)品階段保存在 Flash中的代碼運行時(shí)對自身的讀取是允許的,如果非法使用者通過(guò)特殊手段篡改了Flash中的部分代碼為非法讀取程序,并使之在Flash中成功運行,將使產(chǎn)品代碼發(fā)生部分泄漏,這就是產(chǎn)品面臨的篡改攻擊風(fēng)險。針對這一風(fēng)險的研究在實(shí)際應用中顯得十分重要。

ST公司推出的STM32系列微處理器采用ARM新一代Cortex-M3內核,其中增強型的STM32F103RB具有72 MHz主頻、20 KB片內SRAM、128 KB片內Flash以及豐富的接口資源,可以很好地滿(mǎn)足廣泛的嵌入式產(chǎn)品的應用需求。較低的芯片價(jià)格和簡(jiǎn)單的開(kāi)發(fā)方式使之應用前景非常廣闊,對該芯片上代碼的安全研究也具有深遠意義。

1.2 風(fēng)險研究

Bootloader引導應用程序結構的嵌入式軟件可以滿(mǎn)足產(chǎn)品功能升級和維護的需求,在實(shí)際應用中被廠(chǎng)商普遍采用。Bootloader程序是在系統上電復位后在Flash中首先執行的一小段代碼,其基本功能模塊如圖1所示。



對于具有Bootloader引導應用程序結構的嵌入式軟件,Bootloacler部分和應用程序是相對獨立的。產(chǎn)品有了升級版本后,用戶(hù)可以得到產(chǎn)品和升級程序包。在對產(chǎn)品的篡改攻擊中,一旦Bootloader代碼泄漏,非法使用者通過(guò)升級模式更新應用程序部分,將可以復制產(chǎn)品的全部軟件代碼,這就使得產(chǎn)品被抄襲的潛在風(fēng)險急劇增大。在STM32F103RB上進(jìn)行的實(shí)驗也證明了抄襲的可能性。

2 基于STM32F103RB芯片的風(fēng)險驗證

STM32F103RB芯片對片內Flash的保護通過(guò)特殊位置的Option Bytes讀寫(xiě)保護控制字實(shí)現。讀、寫(xiě)保護有效時(shí)將禁止調試接口和SRAM中運行的程序對Flash讀、寫(xiě)操作。芯片特殊設計為:去除讀保護時(shí),首先整片擦除片內Flash,從而銷(xiāo)毀產(chǎn)品軟件代碼;寫(xiě)保護的去除并不影響Flash中代碼的完整性;讀保護有效時(shí),Flash的前3片區寫(xiě)保護自動(dòng)有效,防止中斷向量表被非法修改。

實(shí)驗在STM32F103RB的開(kāi)發(fā)板上進(jìn)行,在前3片區寫(xiě)入Bootloader程序代碼后,利用升級程序包將應用程序下載至應用程序片區。檢驗程序功能正常后置芯片讀保護和所有片區寫(xiě)保護有效,從而得到產(chǎn)品階段的芯片。對芯片的篡改攻擊風(fēng)險驗證實(shí)驗流程如圖2所示。



用于篡改攻擊的軟件包括非法讀取Flash內容并通過(guò)串口輸出的程序和用于跳轉到非法讀取程序的指針。篡改攻擊的實(shí)現原理是芯片的讀、寫(xiě)保護只包括主Flash區域,對Option Bytes區域的擦除操作可以去除無(wú)自動(dòng)寫(xiě)保護片區的寫(xiě)保護狀態(tài),而讀保護仍然有效。在SRAM中運行的程序可以使芯片轉變?yōu)榇a完整而應用程序區域無(wú)寫(xiě)保護的狀態(tài)。一般情況下,產(chǎn)品為了保持升級的空間,軟件沒(méi)有占據整個(gè)Flash空間且采取自頂向下的順序擺放。為了最大程度保持原有應用程序,實(shí)驗中將非法讀取程序寫(xiě)入Flash的尾部片區,并將用于跳轉至非法程序的指針自底向上遍歷Flash地址嘗試應用程序的入口地址。

實(shí)驗的結果通過(guò)PC端接收到非法讀取程序輸出的代碼數據驗證,讀取的過(guò)程是芯片上電復位后自Flash起始地址啟動(dòng)執行口,Bootloader在運行模式下將跳轉至應用程序入口地址執行。在非法跳轉指針移動(dòng)過(guò)程中,應用程序入口地址被跳轉指針覆蓋時(shí),非法讀取程序將得到執行機會(huì )。所進(jìn)行的實(shí)驗結果如圖3所示。



通過(guò)實(shí)驗,驗證了當部分應用程序內容被修改時(shí),Bootloader可以正常進(jìn)入運行模式,在放置的跳轉指針嘗試至應用程序函數入口地址時(shí),程序可以跳轉至非法讀取程序執行讀取命令,得到Bootloader程序和被部分修改的應用程序代碼。復制到新的芯片中后運行啟動(dòng)Bootloader升級模式,將升級程序下載升級程序包覆蓋應用程序區域,就得到了完整的Bootloader程序和應用程序代碼。

3 雙重完整性檢驗安全方案設計與驗證

實(shí)際應用中,Bootloader引導應用程序結構的軟件在STM32F103RB芯片上使用時(shí),廠(chǎng)商可以通過(guò)改進(jìn)Boot-loader的設計,最大程度地避免這種篡改應用程序方式帶來(lái)的代碼被抄襲的風(fēng)險。由于芯片讀保護有效時(shí),前3片區的自動(dòng)寫(xiě)保護可以保證中斷向量表不被篡改,從而B(niǎo)ootloader在Flash地址啟動(dòng)時(shí)首先執行。

在更新應用程序的過(guò)程中,除了升級程序包采用加密、方式由Bootloader在升級模式下將內容解密后寫(xiě)入應用程序區域外,Bootloader運行模式下確認Flash中的內容為完整的合法程序和阻止非法程序的運行是安全設計方案的出發(fā)點(diǎn)。下面介紹的是采用雙重完整性檢驗的方案提高代碼安全性的方法:

①由于STM32F103RB芯片的Falsh的寫(xiě)操作需要對片區擦除后進(jìn)行,可以在各片區的特定地址內依次放置廠(chǎng)商設定的1~2字節偽隨機碼,組成密碼序列。在非法讀取程序或跳轉指針寫(xiě)入時(shí),對片區擦除過(guò)程將破壞偽隨機碼而不能重新寫(xiě)回,導致密碼序列的破壞。

②CRC檢驗是較為常見(jiàn)的一種數據傳輸檢錯方式,隨著(zhù)技術(shù)的發(fā)展,已經(jīng)出現了能夠適用于嵌入式系統有限資源的快速算法。將應用程序代碼區域的CRC檢驗值在升級程序時(shí)保存在Flash中的約定位置。對應用程序代碼的非法修改將使CRC檢驗值改變。

加入了雙重完整性檢驗方案的Bootloader功能模塊流程如圖4所示。



方案的設計可以使芯片上電復位后,自Flash起始地址運行的Bootloader及時(shí)發(fā)現篡改攻擊造成的改變,并防止非法代碼得到執行機會(huì )。在安全設計方案驗證實(shí)驗中,設計Bootloader在運行模式下驗證密碼序列的完整性,并將應用程序區域的CRC檢驗值與保存在約定位置中初始檢驗值比較,從而驗證Flash內容未被篡改。在驗證失敗時(shí),輸出驗證失敗信息和當前的CRC檢驗值后進(jìn)入死循環(huán),而不再啟動(dòng)應用程序。

對方案的驗證實(shí)驗采用在應用程序片區的末尾寫(xiě)入偽隨機碼序列和32位CRC檢驗算法,依次對Flash的4~128 片區單獨進(jìn)行擦除后寫(xiě)入非法代碼進(jìn)行驗證,均得到圖5所示的驗證失敗信息。



實(shí)際測試中,對不同片區的篡改操作得到不同的CRC檢驗值與合法應用程序CRC檢驗值互不相同。雙重完整性檢驗方案在STM32F103RB芯片上運行帶來(lái)的時(shí)間開(kāi)銷(xiāo)約為80ms,也能夠被產(chǎn)品啟動(dòng)過(guò)程所接受。在廠(chǎng)商進(jìn)行產(chǎn)品開(kāi)發(fā)時(shí),可以進(jìn)一步設計Bootloader驗證失敗時(shí)進(jìn)入自毀程序,通過(guò)修改讀保護狀態(tài)使芯片被整片擦除,從而銷(xiāo)毀所有代碼,提高代碼的安全性。

結語(yǔ)

嵌入式系統是硬件與軟件高度結合的技術(shù)應用,通過(guò)對STM32F103RB芯片上進(jìn)行Bootloader引導應用程序結構軟件開(kāi)發(fā)時(shí)的篡改攻擊風(fēng)險驗證,可以看到嵌入式產(chǎn)品被抄襲風(fēng)險的嚴峻性。在實(shí)際應用中,嵌入式系統設計應當結合軟件結構的特點(diǎn)和硬件提供的保護特性,靈活使用不同的保護方式,有效地提高程序的安全性,達到最大程度地對廠(chǎng)商代碼和知識產(chǎn)權的保護。

作者:深圳大學(xué) 林郭安 黃強 許文煥 來(lái)源:《單片機與嵌入式系》 2009(9)
本文地址:http://selenalain.com/thread-7649-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
yuazhang 發(fā)表于 2012-6-5 13:34:55
安全性越來(lái)越重要了
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页