目前越來(lái)越多的微控器(MCU)應(yīng)用需要使用到復(fù)雜的算法及中間件解決方案(middlewaresolution)，因此，如何保護(hù)軟件方案商開(kāi)發(fā)出來(lái)的核心算法等知識(shí)產(chǎn)權(quán)代碼(IP-Code)，便成為微控制器應(yīng)用中一項(xiàng)很重要的課題。因?yàn)檫@一重要的需求，AT32WB415系列提供了安全庫(kù)區(qū)(SLIB)的功能，以防止重要的IP-Code被終端用戶的程序做修改或讀取，進(jìn)而達(dá)到保護(hù)的目的。本文檔將詳細(xì)闡述AT32WB415系列安全庫(kù)區(qū)的應(yīng)用原理和軟件使用方法。

應(yīng)用原理

安全庫(kù)區(qū)的應(yīng)用原理

• 設(shè)定以密碼保護(hù)指定范圍的程序區(qū)(即安全庫(kù)區(qū))，軟件方案商可將核心算法存放到此區(qū)域，以達(dá)到保護(hù)的功能，其余空白程序區(qū)可以提供給終端商客戶進(jìn)行二次開(kāi)發(fā)。
• 安全庫(kù)區(qū)劃分為指令安全庫(kù)區(qū)(SLIB_INSTRUCTION)及數(shù)據(jù)安全庫(kù)區(qū)(SLIB_DATA)，并可選擇部分或是整個(gè)安全庫(kù)區(qū)存放指令，但不支持整個(gè)安全庫(kù)區(qū)存放數(shù)據(jù)。
• 指令安全庫(kù)區(qū)(SLIB_INSTRUCTION)內(nèi)的程序代碼僅能被MCU透過(guò)I-Code總線抓取指令(僅能被執(zhí)行)，不能透過(guò)D-Code總線以讀取數(shù)據(jù)的方式讀取(包含ISP/ICP調(diào)適模式以及從內(nèi)部RAM啟動(dòng)的程序)，以讀取數(shù)據(jù)的方式去訪問(wèn)SLIB_INSTRUCTION時(shí)，讀到的數(shù)值全都是0xFF。
• 數(shù)據(jù)安全庫(kù)區(qū)(SLIB_DATA)的數(shù)據(jù)僅能透過(guò)D-Code總線讀取，不能寫(xiě)入。
• 安全庫(kù)區(qū)的程序代碼及數(shù)據(jù)，除非輸入正確的密碼，否則無(wú)法被擦除。在密碼不正確時(shí)，對(duì)安全庫(kù)區(qū)執(zhí)行寫(xiě)入或擦除，將會(huì)在FLASH_STS寄存器的EPPERR位置"1"提出警告。
• 終端用戶執(zhí)行主閃存的整片擦除時(shí)，安全庫(kù)區(qū)的程序代碼及數(shù)據(jù)不會(huì)被擦除。
• 當(dāng)安全庫(kù)區(qū)的保護(hù)功能被啟動(dòng)后，可以透過(guò)在SLIB_PWD_CLR寄存器寫(xiě)入先前設(shè)置的密碼來(lái)解除保護(hù)功能。解除安全庫(kù)區(qū)的保護(hù)時(shí)，芯片將會(huì)執(zhí)行主閃存的整片擦除(包含安全庫(kù)區(qū)的內(nèi)容)。因此即使軟件方案商設(shè)置的密碼被泄漏，也不會(huì)有程序代碼外泄的疑慮。

下圖是包含安全庫(kù)區(qū)的主閃存區(qū)映射示意圖，安全庫(kù)區(qū)的程序代碼可以很容易地被終端用戶調(diào)用并執(zhí)行, 但不能直接被讀取，因而達(dá)到保護(hù)的功能。圖1. 帶有安全庫(kù)區(qū)的主閃存區(qū)映射

安全庫(kù)區(qū)的范圍大小是以扇區(qū)(sector)為單位做設(shè)定，每一扇區(qū)的大小以實(shí)際MCU型號(hào)為準(zhǔn)。表1是AT32WB415系列各型號(hào)的主閃存大小、每扇區(qū)大小及可設(shè)置范圍。另外啟動(dòng)程序代碼區(qū)開(kāi)啟了主存擴(kuò)展功能后，整個(gè)18KB區(qū)域也是可以作為安全庫(kù)區(qū)。表1. AT32WB415各型號(hào)閃存大小總表

如何啟動(dòng)安全庫(kù)區(qū)保護(hù)

默認(rèn)狀態(tài)下，安全庫(kù)區(qū)設(shè)定寄存器始終是不可讀且被寫(xiě)保護(hù)。要想對(duì)安全庫(kù)區(qū)設(shè)定寄存器進(jìn)行寫(xiě)操作，首先要對(duì)安全庫(kù)區(qū)設(shè)定寄存器解鎖，對(duì)SLIB_UNLOCK寄存器寫(xiě)入解鎖0xA35F6D24值，通過(guò)查看SLIB_MISC_STS寄存器的SLIB_ULKF位確認(rèn)解鎖成功，隨后便允許對(duì)安全庫(kù)區(qū)設(shè)定寄存器寫(xiě)入設(shè)定值。啟動(dòng)主閃存安全庫(kù)區(qū)的步驟如下：

• 檢查FLASH_STS寄存器的OBF位，以確認(rèn)沒(méi)有其他正在進(jìn)行的閃存操作；
• 對(duì)SLIB_UNLOCK寄存器寫(xiě)入0xA35F6D24，以進(jìn)行安全庫(kù)區(qū)解鎖；
• 檢查SLIB_MISC_STS寄存器的SLIB_ULKF位，以確認(rèn)解鎖成功；
• 在SLIB_SET_RANGE寄存器設(shè)定要保護(hù)的區(qū)域，包含指令區(qū)與數(shù)據(jù)區(qū)的地址；
• 等待OBF位變?yōu)椤?’；
• 在SLIB_SET_PWD寄存器設(shè)定安全區(qū)域密碼；
• 等待OBF位變?yōu)椤?’；
• 燒錄將存入安全庫(kù)區(qū)的代碼；
• 進(jìn)行系統(tǒng)復(fù)位，重裝載安全庫(kù)區(qū)設(shè)定字；
• 讀出SLIB_STS0/STS1寄存器用于判斷安全庫(kù)區(qū)設(shè)定結(jié)果。

注意事項(xiàng):

• 只可在主閃存中設(shè)置安全庫(kù)區(qū)，實(shí)際可設(shè)置范圍參見(jiàn)表1；
• 啟動(dòng)程序代碼區(qū)中設(shè)置安全庫(kù)區(qū)(需開(kāi)啟AP模式)，設(shè)置范圍為整個(gè)啟動(dòng)程序代碼區(qū)；
• 主閃存和啟動(dòng)程序代碼區(qū)，安全庫(kù)區(qū)只能設(shè)置其中一個(gè)，不可同時(shí)設(shè)置；
• 安全庫(kù)區(qū)代碼必須以扇區(qū)為單位進(jìn)行燒錄，且起始地址必須與主閃存地址對(duì)齊；
• 中斷向量表是數(shù)據(jù)型態(tài)且通常會(huì)被放置在閃存的第一扇區(qū)(扇區(qū)0)內(nèi)，請(qǐng)勿將閃存的第一扇區(qū)設(shè)定為安全庫(kù)區(qū)；
• 要被安全庫(kù)區(qū)保護(hù)的程序代碼，不可放置在閃存的前4KB內(nèi)；

關(guān)于安全庫(kù)區(qū)設(shè)定寄存器的詳細(xì)說(shuō)明，請(qǐng)參閱AT32WB415系列技術(shù)手冊(cè)。啟動(dòng)安全庫(kù)區(qū)的程序可參考安全庫(kù)區(qū)應(yīng)用范例project_l0中位于main.c中的slib_enable()函數(shù)。亦可使用雅特力的ICP或ISP刻錄工具做設(shè)定，后面章節(jié)將會(huì)有詳細(xì)的說(shuō)明。

如何解除安全庫(kù)區(qū)保護(hù)

當(dāng)安全庫(kù)區(qū)的保護(hù)功能被啟動(dòng)后，可以透過(guò)在SLIB_PWD_CLR寄存器寫(xiě)入先前設(shè)置的密碼來(lái)解除保護(hù)功能。解除安全庫(kù)區(qū)的保護(hù)時(shí)，芯片將會(huì)執(zhí)行主閃存的整片擦除(包含安全庫(kù)區(qū)的內(nèi)容)。解除主閃存安全庫(kù)區(qū)的步驟如下:

• 檢查FLASH_STS寄存器的OBF位，以確認(rèn)沒(méi)有其他正在進(jìn)行的編程操作；
• 在SLIB_PWD_CLR寄存器寫(xiě)入先前設(shè)置的安全區(qū)域密碼；
• 進(jìn)行系統(tǒng)復(fù)位，重裝載安全庫(kù)區(qū)設(shè)定字；
• 讀出SLIB_STS0寄存器用于判斷安全庫(kù)區(qū)設(shè)定結(jié)果。

編排及執(zhí)行安全庫(kù)區(qū)的程序

如前面章節(jié)所提到，在指令安全庫(kù)區(qū)(SLIB_INSTRUCTION)內(nèi)的的程序代碼可以被MCU經(jīng)由I-Code總線抓取，但不能經(jīng)由D-Code總線以讀取數(shù)據(jù)的方式去讀出，這樣的保護(hù)是全面性的，也就是說(shuō)在指令安全庫(kù)區(qū)之內(nèi)的程序代碼，也不能讀取同樣被放置在指令安全庫(kù)區(qū)之內(nèi)的數(shù)據(jù)，例如C程序代碼常被編譯成的文字池(literal pool)、分支表(branch table)或常數(shù)(constant)等之類(lèi)當(dāng)指令被執(zhí)行時(shí)會(huì)經(jīng)由D-Code總線去讀取的數(shù)據(jù)。這代表指令安全庫(kù)區(qū)之內(nèi)只能放置指令，不能放置任何數(shù)據(jù)。因此用戶在編排要放置在指令安全庫(kù)區(qū)之內(nèi)的程序代碼時(shí)，必須配置編譯程序(compiler)的設(shè)定去產(chǎn)生只執(zhí)行(execute-only)的代碼以避免上述那些型態(tài)的數(shù)據(jù)產(chǎn)生。圖2及圖3是一般常見(jiàn)的文字池跟分支表的例子:switch()是C程序中常用的跳轉(zhuǎn)指令，此例子中的sclk_source變量是去讀取CRM_CFG寄存器，圖2可看到編譯出來(lái)的匯編代碼(assembly code)“LDR R7, [PC, #288]”，會(huì)用程序計(jì)數(shù)器(program counter, PC)間接尋址的方式去取得CRM_CFG寄存器的地址，而CRM_CFG的地址會(huì)被以常數(shù)的方式存放在鄰近的指令區(qū)(也在指令安全庫(kù)區(qū)之內(nèi))，因此執(zhí)行switch()指令時(shí)就會(huì)發(fā)生數(shù)據(jù)的讀取。如果指令安全庫(kù)區(qū)內(nèi)有這類(lèi)的程序代碼，在執(zhí)行的時(shí)候就會(huì)產(chǎn)生錯(cuò)誤。AN0127第三章的范例程序?qū)?huì)說(shuō)明如何設(shè)定編譯程序的配置來(lái)避免這樣的問(wèn)題。圖2. 文字池例子(1)圖3. 文字池例子(2)

一、不可將中斷向量表設(shè)置為安全庫(kù)區(qū)

中斷向量表包含每個(gè)中斷處理程序的入口點(diǎn)地址，由MCU通過(guò)D-Code總線讀取。通常，中斷向量表位于主閃存第一扇區(qū)(sector 0)的起始地址0x08000000，因此在設(shè)置指令安全庫(kù)區(qū)時(shí)，必須遵守以下的規(guī)則：

• 不可將主閃存的第一扇區(qū)設(shè)置為安全庫(kù)區(qū)
• 要被安全庫(kù)區(qū)保護(hù)的程序代碼，不可放置在閃存的第一扇區(qū)內(nèi)

二、安全庫(kù)區(qū)代碼與用戶區(qū)代碼的關(guān)聯(lián)性

受安全庫(kù)區(qū)保護(hù)的程序代碼(IP-code)可以從位于用戶代碼區(qū)(安全庫(kù)區(qū)之外的區(qū)域)的函數(shù)庫(kù)中調(diào)用函數(shù)。在這種情形下，IP-Code將會(huì)包含這些函數(shù)的地址，允許PC（程序計(jì)數(shù)器）在執(zhí)行IP-Code時(shí)跳轉(zhuǎn)到這些函數(shù)。一旦安全庫(kù)區(qū)被啟動(dòng)，這些函數(shù)的地址就不能被改變，此時(shí)，這些位于用戶代碼區(qū)的函數(shù)的地址就必須固定下來(lái)，否則PC將跳轉(zhuǎn)到錯(cuò)誤的地址而無(wú)法正常工作。因此在設(shè)置安全庫(kù)區(qū)的時(shí)候，應(yīng)該將所有與IP-Code相關(guān)聯(lián)的函數(shù)都一起編排到安全庫(kù)區(qū)之內(nèi)以避免此情況發(fā)生。下圖顯示出一個(gè)被保護(hù)的函數(shù)Function_A()調(diào)用到用戶區(qū)內(nèi)的函數(shù)Function_B()的例子。圖4. 安全庫(kù)區(qū)的函數(shù)調(diào)用用戶區(qū)函數(shù)的例子

此外，另一個(gè)最常見(jiàn)的情形就是使用到C語(yǔ)言的標(biāo)準(zhǔn)函式庫(kù)，例如memset()及memcpy()這類(lèi)函數(shù)。如果IP-Code跟用戶區(qū)代碼都有調(diào)用到這類(lèi)函數(shù)，就會(huì)有上述問(wèn)題的困擾。列舉兩種常用的解決方法：1) 將其編譯到安全庫(kù)區(qū)范圍內(nèi)，具體如何實(shí)現(xiàn)可以查看keil或IAR的相關(guān)文檔。2) 避免在IP-Code內(nèi)使用C的標(biāo)準(zhǔn)函式庫(kù)，若非要使用，就必須將用到的函數(shù)改寫(xiě)為其他名稱，以下是一個(gè)范例，在IP-Code中寫(xiě)一個(gè)my_memset()函數(shù)取代原先的memset()。圖5. 自定義函數(shù)范例

三、軟件浮點(diǎn)運(yùn)算庫(kù)的使用與編排

由于AT32WB415沒(méi)有硬件符點(diǎn)運(yùn)算單元(FPU)，所以項(xiàng)目中如有符點(diǎn)數(shù)運(yùn)算，Keil或IAR編譯程序就會(huì)使用ARM提供的軟件浮點(diǎn)運(yùn)算庫(kù)函數(shù)。但因?yàn)檐浖↑c(diǎn)運(yùn)算庫(kù)函數(shù)是已經(jīng)編譯過(guò)的代碼，無(wú)法做修改，且其中有些函數(shù)內(nèi)會(huì)有如同前面章節(jié)提到的文字池格式的代碼，所以不能將浮點(diǎn)運(yùn)算庫(kù)函數(shù)一起編排到SLIB_CODE保護(hù)區(qū)之內(nèi)，必須放到安全庫(kù)區(qū)之外。如下圖中Keil浮點(diǎn)運(yùn)算庫(kù)中的除法函數(shù)，就有文字池格式的匯編代碼。圖6. 除法函數(shù)匯編代碼

當(dāng)sLib啟用后，sLib保護(hù)區(qū)內(nèi)的全部?jī)?nèi)容就不能被改動(dòng)，所以SLIB_CODE調(diào)用到的每個(gè)浮點(diǎn)運(yùn)算庫(kù)函數(shù)的地址也就不能被改變。第三章的范例將會(huì)說(shuō)明如何將使用到的浮點(diǎn)運(yùn)算庫(kù)函數(shù)，編排到SLIB-CODE保護(hù)區(qū)外且固定地址的區(qū)域，在啟用SLIB保護(hù)之后，讓SLIB-CODE保護(hù)區(qū)內(nèi)的程序可以正確無(wú)誤的調(diào)用。Keil軟件浮點(diǎn)運(yùn)算庫(kù)的詳細(xì)說(shuō)明，可參考安裝目錄下的ARM DUI0378G文檔《ARMCompiler v5.06 for μVision ARM C and C++ Libraries and Floating-Point SupportUser Guide》。IAR軟件浮點(diǎn)運(yùn)算庫(kù)的詳細(xì)說(shuō)明，可參考安裝目錄下的EWARM_DevelopmentGuide文檔《IAR C/C++ Development Guide》的PREBUILT RUNTIME LIBRARIES章節(jié)。