實戰(zhàn)CRC校驗?|?固件如何校驗自身完整性？

時間：2021-08-19 15:23:48

關(guān)鍵字： CRC 固件

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]來源：公眾號【魚鷹談單片機】作者：魚鷹OspreyID??：emOsprey在一些比較嚴格的行業(yè)里面，不是說你的程序能完成必要功能就可以，還需要添加一些額外的功能，比如最常見的看門狗功能，它可以在程序死機時完成重啟，但也僅僅如此而已。很多異常它是無法檢查的，比如程序偶然跑飛，ra...

來源：公眾號【魚鷹談單片機】作者：魚鷹Osprey

ID ??：emOsprey

在一些比較嚴格的行業(yè)里面，不是說你的程序能完成必要功能就可以，還需要添加一些額外的功能，比如最常見的看門狗功能，它可以在程序死機時完成重啟，但也僅僅如此而已。很多異常它是無法檢查的，比如程序偶然跑飛，ram 異常、flash異常等其他問題，只有程序hardfault或者其他嚴重問題導致程無法喂狗時才能起作用。所以有些產(chǎn)品為了保障安全，會增加安規(guī)代碼，保證程序能夠正常運行（UL/CSA/IEC 60730-1/60335-1 B類認證）。

自檢內(nèi)容

MCU 安全檢查一般包括以下幾個方面：

1、CPU 自測（寄存器測試）
2、系統(tǒng)時鐘頻率測量（保證時鐘正常工作，不快也不慢，GD 芯片在短路晶振后，程序暫停運行，無法檢查，但是 ST 芯片會自動切換到內(nèi)部時鐘，可以由程序檢查這種異常）
3、RAM 自檢
4、FLASH 存儲器完整性檢查
5、獨立看門狗、窗口看門狗檢查
6、安全相關(guān)變量檢查
7、中斷檢查
8、I/O 口檢查
9、棧檢查
10、程序流程控制
11、AD 口檢查

你會發(fā)現(xiàn)真要完成這份安規(guī)代碼，難度不是一般的大，不過一般芯片廠商會提供相關(guān)參考例程和相關(guān)文檔，但不是說有了這些資料就完全沒有問題了。

比如 ST 提供了一個參考例子，但是它使用的 HAL 庫（事實上它還有標準庫，當時不知道），如果原本程序用的標準庫，那么就需要進行移植，這個工作量也不是一般大（首先要能理解程序，才能進行正確移植，而里面的邏輯還是很復雜的）。如果你不想移植，還有一個辦法是使用 lib 庫，就是將相關(guān)功能打包成一個庫，雖然程序會大一些（畢竟很多底層代碼和原來的重復了），但確實是比較簡單的方法（前提是 flash 夠大）。

魚鷹走的是第一條路，移植，并且將相關(guān)的底層代碼提供了接口，這樣不管是用標準庫還是 HAL 庫，只要自己實現(xiàn)這這些特定的接口即可完成。

另外，參考例子只是實現(xiàn)了一個最基本的功能，在真正的產(chǎn)品不一定能適用。比如你的程序負載大，而里面為了測量時鐘頻率，幾百微秒時間就要進入一次中斷（即使是分頻后），如果剛好在中斷產(chǎn)生時，其他程序禁用了中斷，運行這些代碼有可能就會出現(xiàn)問題，很容易錯過中斷而導致復位。

在我一開始移植的時候就是如此，在一個簡單的程序里面可以正常運行很長時間，但是移植到產(chǎn)品工程里面，時不時出現(xiàn)時鐘檢查不通過的時候，導致程序不停重啟，最終魚鷹通過 DMA 傳輸的方式解決了這個問題，再也不會因為時鐘檢查不通過導致重啟了。

另外一個難點是對 .sct （分散加載）文件的理解，這個會在后面介紹。

安規(guī)相關(guān)的內(nèi)容實在是太多，要寫的話可以寫成一個系列了，如果各位道友感興趣的話，多多轉(zhuǎn)發(fā)支持一下魚鷹，如果效果不錯，魚鷹會考慮完成后續(xù)的其它部分。（這里有一份比較全面但簡單一些的參考文章可以看看 http://news.eeworld.com.cn/mp/STM32/a80041.jspx，只介紹如何做，沒怎么介紹為什么這么做）

資料

ST 相關(guān)資料可以查看以下內(nèi)容（www.st.com，下載時需要注冊郵箱才行，魚鷹公眾號后臺提供了部分資料，可自行領取）

《AN4435 應用筆記》中文版，《AN277》（ROM Self-Test）
STM8-SafeCLASSB
https://www.st.com/en/embedded-software/stm8-safeclassb.html

STM32-CLASSB-SPL(基于標準外設庫)
https://www.st.com/en/embedded-software/stm32-classb-spl.html#tools-software

X-CUBE-CLASSB(基于HAL庫)
https://www.st.com/en/embedded-software/x-cube-classb.html（不同版本有不同芯片，比如 2.2.0 版本的是 Fx 相關(guān)的，2.3.0 是H7、G0 相關(guān)的）

當然國產(chǎn)芯片也一般會提供例程。

本篇筆記只介紹其中一個內(nèi)容，即 FLASH 檢查，換句話說就是程序完整性檢查。

FLASH 檢查

我們以比較復雜的 boot app rtos ，開發(fā)環(huán)境 keil 、stm32f103 為例介紹相關(guān)知識。

一般 boot 和 app 部分是用不同工程管理的，所以 app 部分代碼只能檢查自身的完整性，而不能檢查 boot 部分。

并且 app 的 flash 區(qū)也不是完全檢查的，有一小部分是也沒法檢查的，但這并不影響它的功能（既然已經(jīng)跳轉(zhuǎn)到 app 里面了，那么 boot 部分 flash 即使在運行時有問題也不影響功能，而如果變量初始值的flash有問題就是關(guān)鍵變量檢查的問題了）。

現(xiàn)在就是如何檢查的問題了。

如何檢查 | 基本原理

校驗手段有很多，比如和校驗、MD5 校驗、CRC 校驗，這里我們使用 CRC，因為一般芯片內(nèi)部會內(nèi)置該外設硬件計算（如果沒有，可以純 CPU 計算）。

然后我們需要了解完整性檢查的基本原理。

所謂程序完整性檢查，就是在下載代碼前，先用工具把要校驗的部分通過計算公式計算出一個值，保存在某個地方（flash），然后程序在運行的時候，自己也去讀取要校驗的 flash 部分，通過同樣的計算公式計算出一個值，然后將這個值和保存在 flash 里面的值進行比較，就可以看出代碼是否存在異常了，有異常及時處理，沒有異常就繼續(xù)重新檢查。

而檢查分成兩個步驟：

1、開機時，一次性完成所有計算，保證運行前完整。

2、正常運行時，定時計算，每次計算一個小塊，當計算完最后一塊時才比較結(jié)果，成功就重新繼續(xù)計算，失敗則終止程序運行，周而往復（計算需要較長的時間，分時計算可以不影響程序正常功能），這樣可以保證程序在運行時也能檢查 FLASH 的完整性，防止 FLASH 運行過程中破壞掉。

現(xiàn)在有個問題，CRC 保存在何處才是合適的？

隨便保存在一個地方肯定是不行的。假設這個位置在要校驗代碼部分的里面，那么當工具計算這個值時，又會篡改掉校驗部分里面的數(shù)據(jù)（因為你把 CRC 值放到里面了），那么你的程序校驗時，肯定不通過，因為你讀了一個被改變的 CRC 值。所以這個值一定要放在代碼的最后面才行。

另外前面說過，運行時會一小塊一小塊，所以要保證你的 CRC 值存放位置應該在小塊大小的邊界位置上。比如一次計算 16 字節(jié)，那你存放的位置應該是 16 的倍數(shù)才是正常的。

所以，CRC 存放位置存在這兩個限制。

另外，如何提前計算好 CRC 的值呢？IAR 內(nèi)置該功能，而 KEIL 我們可以借助強大的開源工具 SRecord《功能強大的 HEX 開源轉(zhuǎn)換工具，你值得擁有》（一轉(zhuǎn)眼，這篇文章差不多鴿了四個多月了）幫助我們計算。

基本知識都了解的差不多了，接下來就是如何操作的問題。

實操

1、固定 CRC 位置。

我們可以在啟動文件的最后加入以下代碼（END 前）

這里默認是 0x3D334398，但會在后續(xù)修改成正確的 CRC 值

;*******************************************************************************; User Checksum - must be placed at the end of memory;******************************************************************************* AREA CHECKSUM, DATA, READONLY, ALIGN=6 EXPORT __Check_Sum

; Alignement here must correspond to the size of tested block at FLASH run time test (16 words ~ 64 bytes)!!! ALIGN

__Check_Sum DCD 0x3D334398; ; Check sum computed externaly這里保證了 __Check_Sum 的地址是 2 ^ 6 大小對齊，所以你的計算小塊可以這個大小，當然也可以小一些，比如 2 ^ 5 等。這樣就可以將檢查部分分成固定的小塊，不會多，也不會少，剛剛好（必須）。

那么如何將這個地址固定在代碼最后呢？這個時候就需要我們的 .sct 文件發(fā)揮作用了（ClassB_stm32F10x.sct）。

ER_IROM1 0x08000000 0x10000 { ; load address = execution address *.o (RESET, First) *(InRoot$$Sections) .ANY ( RO) *.o (CHECKSUM, Last) ;放置在最后 }我們用了 Last 將其放置在代碼的最后部分，你想把它放置在 bin 文件最后面？暫時魚鷹還沒想到怎么做，有知道的道友可以告訴魚鷹（通過 sct 的方式）。

2、CRC 計算腳本
在 windows 叫批處理，.bat ，我們可以在參考例程中找到。crc_gen_keil.bat

我們需要需改三個位置

第一個是你的計算工具的路徑，里面應該要有計算工具。

第二個就是你的工程名字，我們通過下面位置確定（魚鷹用的 Main）：

最后是工程路徑。一般在 Objects 文件夾里面，而 map 文件一般在 Listings 文件夾里面。

說白了，這些變量就是為了讓腳本能夠找到 map、hex 文件和工具。但一般默認工程，這兩個文件可能不在一個文件夾里面，所以我們可以對例子中的批處理文件 crc_gen_keil.bat 進行適當修改。

map 文件的作用是為了讓腳本能夠搜索到 __Check_Sum 的地址，然后就可以計算 CRC 并修改 HEX 里面這個值了。

另外還有新增了一個變量 HEX_ADRR，當我們的計算位置不是從 0x08000000 開始時（比如 app 起始地址在 0x08009000），我們就可以修改這個變量值。還有我們希望在計算完并修改 CRC 后可以自己生成 bin 文件方便我們更新固件，還需要加入轉(zhuǎn)化成 bin 的命令。

其中為了下載修改（CRC）后的 HEX 文件，我們還需要簡單修改一下，用于判斷工具是否存在，不存在，直接刪除 hex 和 axf 文件（防止下載未修改的文件）。
%xxx% 類似腳本中的 $xxx

if not exist %SREC_PATH% ( echo %SREC_PATH% is not exit, exit echo ----------------------------------------del %INPUT_HEX% -- %AXF_FILE% --------------- del %INPUT_HEX% %AXF_FILE% exit)

這樣可以保證，一定能夠正確下載 HEX 文件，而不是下載默認的 axf 文件。
否則，下載的默認 axf 文件會因為 CRC 未修改，程序?qū)⒉粩嘀貑?/span>。
完整的修改（可以自行對比官方例程文件）：

@echo offECHO Computing CRCECHO -------------------------------------REM Batch script for generating CRC in KEIL projectREM Must be placed at MDK-ARM folder (project folder)

REM Path configurationSET SREC_PATH=C:\SRECSET MAP_NAME=STM3210C_EVALSET MAP_PATH=STM3210C_EVALSET TARGET_NAME=STM3210C_EVALSET TARGET_PATH=STM3210C_EVALSET BYTE_SWAP=1SET COMPARE_HEX=1SET CRC_ADDR_FROM_MAP=1REM Not used when CRC_ADDR_FROM_MAP=1SET CRC_ADDR=0x08007ce0

REM Derived configurationSET HEX_ADRR=0x08000000SET MAP_FILE=%MAP_PATH%\%MAP_NAME%.mapSET AXF_FILE=%TARGET_PATH%\%MAP_NAME%.axfSET INPUT_HEX=%TARGET_PATH%\%TARGET_NAME%.hexSET OUTPUT_HEX=%TARGET_PATH%\%TARGET_NAME%_CRC.hexSET OUTPUT_BIN=.\%TARGET_NAME%_CRC.binSET TMP_FILE=crc_tmp_file.txt

if not exist %SREC_PATH%\srec_cat.exe ( echo %SREC_PATH% is not exit, exit echo ----------------------------------------del %INPUT_HEX% -- %AXF_FILE% --------------- del %INPUT_HEX% %AXF_FILE% exit)

IF NOT "%CRC_ADDR_FROM_MAP%"=="1" goto:end_of_map_extractionREM Extract CRC address from MAP fileREM -----------------------------------------------------------REM Load line with checksum location to crc_search variableECHO Extracting CRC address from MAP fileFINDSTR /R /C:"^ *CHECKSUM" %MAP_FILE%>%TMP_FILE%SET /p crc_search=<%TMP_FILE%DEL %TMP_FILE%REM remove '(' character and string after, which causes errorsfor /f "tokens=1 delims=(" %%a in ("%crc_search%") do set crc_search=%%aREM remove CHECKSUM string from variableSET crc_search=%crc_search:CHECKSUM=%REM get first word at line, which should be CRC address in HEX formatfor /f "tokens=1 delims= " %%a in ("%crc_search%") do set CRC_ADDR=%%aREM -----------------------------------------------------------REM End of CRC address extraction:end_of_map_extraction

REM Compute CRC and store it to new HEX fileECHO CRC address: %CRC_ADDR%if "%BYTE_SWAP%"=="1" (REM ECHO to see what is going onECHO %SREC_PATH%\srec_cat.exe ^ %INPUT_HEX% -intel ^ -crop %HEX_ADRR% %CRC_ADDR% ^ -byte_swap 4 ^ -stm32-b-e %CRC_ADDR% ^ -byte_swap 4 ^ -o %TMP_FILE% -intel %SREC_PATH%\srec_cat.exe ^ %INPUT_HEX% -intel ^ -crop %HEX_ADRR% %CRC_ADDR% ^ -byte_swap 4 ^ -stm32-b-e %CRC_ADDR% ^ -byte_swap 4 ^ -o %TMP_FILE% -intel ) else (REM ECHO to see what is going onECHO %SREC_PATH%\srec_cat.exe ^ %INPUT_HEX% -intel ^ -crop %HEX_ADRR% %CRC_ADDR% ^ -stm32-l-e %CRC_ADDR% ^ -o %TMP_FILE% -intel%SREC_PATH%\srec_cat.exe ^ %INPUT_HEX% -intel ^ -crop %HEX_ADRR% %CRC_ADDR% ^ -stm32-l-e %CRC_ADDR% ^ -o %TMP_FILE% -intel)ECHO %SREC_PATH%\srec_cat.exe ^ %INPUT_HEX% -intel -exclude -within %TMP_FILE% -intel ^ %TMP_FILE% -intel ^ -o %OUTPUT_HEX% -intel%SREC_PATH%\srec_cat.exe ^ %INPUT_HEX% -intel -exclude -within %TMP_FILE% -intel ^ %TMP_FILE% -intel ^ -o %OUTPUT_HEX% -intelREM Delete temporary fileDEL %TMP_FILE%ECHO Modified HEX file with CRC stored at %OUTPUT_HEX%

REM Compare input HEX file with output HEX fileif "%COMPARE_HEX%"=="1" (ECHO Comparing %INPUT_HEX% with %OUTPUT_HEX%%SREC_PATH%\srec_cmp.exe ^ %INPUT_HEX% -intel %OUTPUT_HEX% -intel -v)

del %INPUT_HEX%

ECHO %SREC_PATH%\srec_cat.exe ^ %OUTPUT_HEX% -intel -offset -%HEX_ADRR% -o %OUTPUT_BIN% -binary%SREC_PATH%\srec_cat.exe ^ %OUTPUT_HEX% -intel -offset -%HEX_ADRR% -o %OUTPUT_BIN% -binary

ECHO -------------------------------------3、 CRC 計算部分代碼（摘自官方例程）
完整計算

分小塊計算

需要注意的是，每次全部檢查完之后得復位一下 CRC 外設，否則會繼續(xù)用之前的結(jié)果繼續(xù)計算。

4、工程配置
準備好前面的內(nèi)容后，即可進行工程配置。
生成 HEX

使用 debug 按鈕時下載的文件：
crc_load.ini （需要根據(jù)自己的工程自行修改）

特別注意里面的雙反斜杠，沒有它，將找不到正確路徑。這里以工程文件（.uvprojx）所在路徑為相對路徑。

使用 load 按鈕時下載配置：

不然你下載（點擊 load）的時候，就會下載默認的 axf 文件，而 axf 里面的 CRC 值也是默認的，并沒有被修改，所以這一步也是必須的。

使用修改的分散加載文件，這可以保證我們的 CRC 存放位置在代碼最后面。

最后一步，當編譯完成后，讓工具幫我們自動計算 CRC 值，并將值修改到 HEX 文件里面。

添加我們前面的批處理文件：

這樣所有的工程配置就完成了。

效果

我們可以看看效果。

首先，我們并沒有添加工具，我們可以看到，腳本自動退出了，并且刪除了 hex 文件和 axf 文件，這樣就不會下載錯誤的 HEX 文件了（點擊下載會發(fā)現(xiàn)找不到 axf 文件）。

當我們在 C 盤添加工具后編譯：

從這里我們可以得到幾點信息：
1、計算范圍 0x08000000 ~ 0x08007640。
2、CRC 存放位置在 0x08007640，四個字節(jié)
3、可以使用 srec_cmp.exe 比較兩個 HEX 文件的區(qū)別（修改前和修改后）。這里的區(qū)別在 0x08007640 ~ 0x8007643。
4、生成的 bin 文件和 hex 文件相對存放路徑。

大功告成！

工具命令解釋

現(xiàn)在我們可以從這里了解到三個命令。

C:\SREC\srec_cat.exe???STM3210C_EVAL\STM3210C_EVAL.hex?-intel???-crop?0x08000000?0x08007640???-byte_swap?4???-stm32-b-e?0x08007640???-byte_swap?4???-o?crc_tmp_file.txt?-intel

這個命令用于截取 0x08000000~0x08007640 的內(nèi)容并計算 CRC 值，并且在 0x08007640 位置處寫入 CRC 值。0x08007640 由 map 文件得出，即 __Check_Sum 的地址。

C:\SREC\srec_cat.exe STM3210C_EVAL\STM3210C_EVAL.hex -intel -exclude -within crc_tmp_file.txt -intel   crc_tmp_file.txt -intel -o STM3210C_EVAL\STM3210C_EVAL_CRC.hex -intel