程序如何检查自身完整性?
扫描二维码
随时随地手机看文章
来源 | 鱼鹰谈单片机
在一些比较严格的行业里面,不是说你的程序能完成必要功能就可以,还需要添加一些额外的功能,比如最常见的看门狗功能,它可以在程序死机时完成重启,但也仅仅如此而已。很多异常它是无法检查的,比如程序偶然跑飞,ram 异常、flash异常等其他问题,只有程序hardfault或者其他严重问题导致程无法喂狗时才能起作用。所以有些产品为了保障安全,会增加安规代码,保证程序能够正常运行(UL/CSA/IEC 60730-1/60335-1 B类认证)。
自检内容
MCU 安全检查一般包括以下几个方面:1、CPU 自测(寄存器测试)2、系统时钟频率测量(保证时钟正常工作,不快也不慢,GD 芯片在短路晶振后,程序暂停运行,无法检查,但是 ST 芯片会自动切换到内部时钟,可以由程序检查这种异常)
3、RAM 自检
4、FLASH 存储器完整性检查
5、独立看门狗、窗口看门狗检查
6、安全相关变量检查
7、中断检查
8、I/O 口检查
9、栈检查
10、程序流程控制
11、AD 口检查你会发现真要完成这份安规代码,难度不是一般的大,不过一般芯片厂商会提供相关参考例程和相关文档,但不是说有了这些资料就完全没有问题了。比如 ST 提供了一个参考例子,但是它使用的 HAL 库(事实上它还有标准库,当时不知道),如果原本程序用的标准库,那么就需要进行移植,这个工作量也不是一般大(首先要能理解程序,才能进行正确移植,而里面的逻辑还是很复杂的)。如果你不想移植,还有一个办法是使用 lib 库,就是将相关功能打包成一个库,虽然程序会大一些(毕竟很多底层代码和原来的重复了),但确实是比较简单的方法(前提是 flash 够大)。鱼鹰走的是第一条路,移植,并且将相关的底层代码提供了接口,这样不管是用标准库还是 HAL 库,只要自己实现这这些特定的接口即可完成。另外,参考例子只是实现了一个最基本的功能,在真正的产品不一定能适用。比如你的程序负载大,而里面为了测量时钟频率,几百微秒时间就要进入一次中断(即使是分频后),如果刚好在中断产生时,其他程序禁用了中断,运行这些代码有可能就会出现问题,很容易错过中断而导致复位。在我一开始移植的时候就是如此,在一个简单的程序里面可以正常运行很长时间,但是移植到产品工程里面,时不时出现时钟检查不通过的时候,导致程序不停重启,最终鱼鹰通过 DMA 传输的方式解决了这个问题,再也不会因为时钟检查不通过导致重启了。另外一个难点是对 .sct (分散加载)文件的理解,这个会在后面介绍。
安规相关的内容实在是太多,要写的话可以写成一个系列了,如果各位道友感兴趣的话,多多转发支持一下鱼鹰,如果效果不错,鱼鹰会考虑完成后续的其它部分。(这里有一份比较全面但简单一些的参考文章可以看看 http://news.eeworld.com.cn/mp/STM32/a80041.jspx,只介绍如何做,没怎么介绍为什么这么做)
资料
ST 相关资料可以查看以下内容(www.st.com,下载时需要注册邮箱才行,鱼鹰公众号后台提供了部分资料,可自行领取)《AN4435 应用笔记》中文版,《AN277》(ROM Self-Test)STM8-SafeCLASSB
https://www.st.com/en/embedded-software/stm8-safeclassb.htmlSTM32-CLASSB-SPL(基于标准外设库)
https://www.st.com/en/embedded-software/stm32-classb-spl.html#tools-softwareX-CUBE-CLASSB(基于HAL库)
https://www.st.com/en/embedded-software/x-cube-classb.html(不同版本有不同芯片,比如 2.2.0 版本的是 Fx 相关的,2.3.0 是H7、G0 相关的)当然国产芯片也一般会提供例程。
本篇笔记只介绍其中一个内容,即 FLASH 检查,换句话说就是程序完整性检查。
FLASH 检查
我们以比较复杂的 boot app rtos ,开发环境 keil 、stm32f103 为例介绍相关知识。一般 boot 和 app 部分是用不同工程管理的,所以 app 部分代码只能检查自身的完整性,而不能检查 boot 部分。并且 app 的 flash 区也不是完全检查的,有一小部分是也没法检查的,但这并不影响它的功能(既然已经跳转到 app 里面了,那么 boot 部分 flash 即使在运行时有问题也不影响功能,而如果变量初始值的flash有问题就是关键变量检查的问题了)。现在就是如何检查的问题了。
如何检查 | 基本原理
校验手段有很多,比如 和校验、MD5 校验、CRC 校验,这里我们使用 CRC,因为一般芯片内部会内置该外设硬件计算(如果没有,可以纯 CPU 计算)。然后我们需要了解完整性检查的基本原理。所谓程序完整性检查,就是在下载代码前,先用工具把要校验的部分通过计算公式计算出一个值,保存在某个地方(flash),然后程序在运行的时候,自己也去读取要校验的 flash 部分,通过同样的计算公式计算出一个值,然后将这个值和保存在 flash 里面的值进行比较,就可以看出代码是否存在异常了,有异常及时处理,没有异常就继续重新检查。而检查分成两个步骤:1、开机时,一次性完成所有计算,保证运行前完整。2、正常运行时,定时计算,每次计算一个小块,当计算完最后一块时才比较结果,成功就重新继续计算,失败则终止程序运行,周而往复(计算需要较长的时间,分时计算可以不影响程序正常功能),这样可以保证程序在运行时也能检查 FLASH 的完整性,防止 FLASH 运行过程中破坏掉。现在有个问题,CRC 保存在何处才是合适的?随便保存在一个地方肯定是不行的。假设这个位置在要校验代码部分的里面,那么当工具计算这个值时,又会篡改掉校验部分里面的数据(因为你把 CRC 值放到里面了),那么你的程序校验时,肯定不通过,因为你读了一个被改变的 CRC 值。所以这个值一定要放在代码的最后面才行。另外前面说过,运行时会一小块一小块,所以要保证你的 CRC 值存放位置应该在小块大小的边界位置上。比如一次计算 16 字节,那你存放的位置应该是 16 的倍数才是正常的。所以,CRC 存放位置存在这两个限制。另外,如何提前计算好 CRC 的值呢?IAR 内置该功能,而 KEIL 我们可以借助强大的开源工具 SRecord《功能强大的 HEX 开源转换工具,你值得拥有》(一转眼,这篇文章差不多鸽了四个多月了)帮助我们计算。基本知识都了解的差不多了,接下来就是如何操作的问题。实操
1、固定 CRC 位置。我们可以在启动文件的最后加入以下代码(END 前)这里默认是 0x3D334398,但会在后续修改成正确的 CRC 值;*******************************************************************************
; User Checksum - must be placed at the end of memory
;*******************************************************************************
AREA CHECKSUM, DATA, READONLY, ALIGN=6
EXPORT __Check_Sum
; Alignement here must correspond to the size of tested block at FLASH run time test (16 words ~ 64 bytes)!!!
ALIGN
__Check_Sum DCD 0x3D334398; ; Check sum computed externaly
这里保证了 __Check_Sum 的地址是 2 ^ 6 大小对齐,所以你的计算小块可以这个大小,当然也可以小一些,比如 2 ^ 5 等。这样就可以将检查部分分成固定的小块,不会多,也不会少,刚刚好(必须)。那么如何将这个地址固定在代码最后呢?这个时候就需要我们的 .sct 文件发挥作用了(ClassB_stm32F10x.sct)。ER_IROM1 0x08000000 0x10000 { ; load address = execution address
*.o (RESET, First)
*(InRoot$$Sections)
.ANY ( RO)
*.o (CHECKSUM, Last) ;放置在最后
}
我们用了 Last 将其放置在代码的最后部分,你想把它放置在 bin 文件最后面?暂时鱼鹰还没想到怎么做,有知道的道友可以告诉鱼鹰(通过 sct 的方式)。2、CRC 计算脚本在 windows 叫批处理,.bat ,我们可以在参考例程中找到。crc_gen_keil.bat我们需要需改三个位置
第一个是你的计算工具的路径,里面应该要有计算工具。
第二个就是你的工程名字,我们通过下面位置确定(鱼鹰用的 Main):
最后是工程路径。一般在 Objects 文件夹里面,而 map 文件一般在 Listings 文件夹里面。说白了,这些变量就是为了让脚本能够找到 map、hex 文件和工具。但一般默认工程,这两个文件可能不在一个文件夹里面,所以我们可以对例子中的批处理文件 crc_gen_keil.bat 进行适当修改。
map 文件的作用是为了让脚本能够搜索到 __Check_Sum 的地址,然后就可以计算 CRC 并修改 HEX 里面这个值了。另外还有新增了一个变量 HEX_ADRR,当我们的计算位置不是从 0x08000000 开始时(比如 app 起始地址在 0x08009000),我们就可以修改这个变量值。还有我们希望在计算完并修改 CRC 后可以自己生成 bin 文件方便我们更新固件,还需要加入转化成 bin 的命令。其中为了下载修改(CRC)后的 HEX 文件,我们还需要简单修改一下,用于判断工具是否存在,不存在,直接删除 hex 和 axf 文件(防止下载未修改的文件)。
%xxx% 类似脚本中的 $xxx
if not exist %SREC_PATH% (
echo %SREC_PATH% is not exit, exit
echo ----------------------------------------del %INPUT_HEX% -- %AXF_FILE% ---------------
del %INPUT_HEX% %AXF_FILE%
exit
)
这样可以保证,一定能够正确下载 HEX 文件,而不是下载默认的 axf 文件。否则,下载的默认 axf 文件会因为 CRC 未修改,程序将不断重启。
完整的修改(可以自行对比官方例程文件):
@echo off
ECHO Computing CRC
ECHO -------------------------------------
REM Batch script for generating CRC in KEIL project
REM Must be placed at MDK-ARM folder (project folder)
REM Path configuration
SET SREC_PATH=C:\SREC
SET MAP_NAME=STM3210C_EVAL
SET MAP_PATH=STM3210C_EVAL
SET TARGET_NAME=STM3210C_EVAL
SET TARGET_PATH=STM3210C_EVAL
SET BYTE_SWAP=1
SET COMPARE_HEX=1
SET CRC_ADDR_FROM_MAP=1
REM Not used when CRC_ADDR_FROM_MAP=1
SET CRC_ADDR=0x08007ce0
REM Derived configuration
SET HEX_ADRR=0x08000000
SET MAP_FILE=%MAP_PATH%\%MAP_NAME%.map
SET AXF_FILE=%TARGET_PATH%\%MAP_NAME%.axf
SET INPUT_HEX=%TARGET_PATH%\%TARGET_NAME%.hex
SET OUTPUT_HEX=%TARGET_PATH%\%TARGET_NAME%_CRC.hex
SET OUTPUT_BIN=.\%TARGET_NAME%_CRC.bin
SET TMP_FILE=crc_tmp_file.txt
if not exist %SREC_PATH%\srec_cat.exe (
echo %SREC_PATH% is not exit, exit
echo ----------------------------------------del %INPUT_HEX% -- %AXF_FILE% ---------------
del %INPUT_HEX% %AXF_FILE%
exit
)
IF NOT "%CRC_ADDR_FROM_MAP%"=="1" goto:end_of_map_extraction
REM Extract CRC address from MAP file
REM -----------------------------------------------------------
REM Load line with checksum location to crc_search variable
ECHO Extracting CRC address from MAP file
FINDSTR /R /C:"^ *CHECKSUM" %MAP_FILE%>%TMP_FILE%
SET /p crc_search=<%TMP_FILE%
DEL %TMP_FILE%
REM remove '(' character and string after, which causes errors
for /f "tokens=1 delims=(" %%a in ("%crc_search%") do set crc_search=%%a
REM remove CHECKSUM string from variable
SET crc_search=%crc_search:CHECKSUM=%
REM get first word at line, which should be CRC address in HEX format
for /f "tokens=1 delims= " %%a in ("%crc_search%") do set CRC_ADDR=%%a
REM -----------------------------------------------------------
REM End of CRC address extraction
:end_of_map_extraction
REM Compute CRC and store it to new HEX file
ECHO CRC address: %CRC_ADDR%
if "%BYTE_SWAP%"=="1" (
REM ECHO to see what is going on
ECHO %SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel ^
-crop %HEX_ADRR% %CRC_ADDR% ^
-byte_swap 4 ^
-stm32-b-e %CRC_ADDR% ^
-byte_swap 4 ^
-o %TMP_FILE% -intel
%SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel ^
-crop %HEX_ADRR% %CRC_ADDR% ^
-byte_swap 4 ^
-stm32-b-e %CRC_ADDR% ^
-byte_swap 4 ^
-o %TMP_FILE% -intel
) else (
REM ECHO to see what is going on
ECHO %SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel ^
-crop %HEX_ADRR% %CRC_ADDR% ^
-stm32-l-e %CRC_ADDR% ^
-o %TMP_FILE% -intel
%SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel ^
-crop %HEX_ADRR% %CRC_ADDR% ^
-stm32-l-e %CRC_ADDR% ^
-o %TMP_FILE% -intel
)
ECHO %SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel -exclude -within %TMP_FILE% -intel ^
%TMP_FILE% -intel ^
-o %OUTPUT_HEX% -intel
%SREC_PATH%\srec_cat.exe ^
%INPUT_HEX% -intel -exclude -within %TMP_FILE% -intel ^
%TMP_FILE% -intel ^
-o %OUTPUT_HEX% -intel
REM Delete temporary file
DEL %TMP_FILE%
ECHO Modified HEX file with CRC stored at %OUTPUT_HEX%
REM Compare input HEX file with output HEX file
if "%COMPARE_HEX%"=="1" (
ECHO Comparing %INPUT_HEX% with %OUTPUT_HEX%
%SREC_PATH%\srec_cmp.exe ^
%INPUT_HEX% -intel %OUTPUT_HEX% -intel -v
)
del %INPUT_HEX%
ECHO %SREC_PATH%\srec_cat.exe ^
%OUTPUT_HEX% -intel -offset -%HEX_ADRR% -o %OUTPUT_BIN% -binary
%SREC_PATH%\srec_cat.exe ^
%OUTPUT_HEX% -intel -offset -%HEX_ADRR% -o %OUTPUT_BIN% -binary
ECHO -------------------------------------
3、 CRC 计算部分代码(摘自官方例程)完整计算
分小块计算
需要注意的是,每次全部检查完之后得复位一下 CRC 外设,否则会继续用之前的结果继续计算。4、工程配置
准备好前面的内容后,即可进行工程配置。
生成 HEX
使用 debug 按钮时下载的文件:
crc_load.ini (需要根据自己的工程自行修改)
特别注意里面的双反斜杠,没有它,将找不到正确路径。这里以工程文件(.uvprojx)所在路径为相对路径。
使用 load 按钮时下载配置:
不然你下载(点击 load)的时候,就会下载默认的 axf 文件,而 axf 里面的 CRC 值也是默认的,并没有被修改,所以这一步也是必须的。使用修改的分散加载文件,这可以保证我们的 CRC 存放位置在代码最后面。
最后一步,当编译完成后,让工具帮我们自动计算 CRC 值,并将值修改到 HEX 文件里面。添加我们前面的批处理文件:
这样所有的工程配置就完成了。
效果
我们可以看看效果。首先,我们并没有添加工具,我们可以看到,脚本自动退出了,并且删除了 hex 文件和 axf 文件,这样就不会下载错误的 HEX 文件了(点击下载会发现找不到 axf 文件)。当我们在 C 盘添加工具后编译:
从这里我们可以得到几点信息:
1、计算范围 0x08000000 ~ 0x08007640。
2、CRC 存放位置在 0x08007640,四个字节
3、可以使用 srec_cmp.exe 比较两个 HEX 文件的区别(修改前和修改后)。这里的区别在 0x08007640 ~ 0x8007643。
4、生成的 bin 文件和 hex 文件相对存放路径。
大功告成!
工具命令解释
现在我们可以从这里了解到三个命令。C:\SREC\srec_cat.exe STM3210C_EVAL\STM3210C_EVAL.hex -intel -crop 0x08000000 0x08007640 -byte_swap 4 -stm32-b-e 0x08007640 -byte_swap 4 -o crc_tmp_file.txt -intel
这个命令用于截取 0x08000000~0x08007640 的内容并计算 CRC 值,并且在 0x08007640 位置处写入 CRC 值。0x08007640 由 map 文件得出,即 __Check_Sum 的地址。C:\SREC\srec_cat.exe STM3210C_EVAL\STM3210C_EVAL.hex -intel -exclude -within crc_tmp_file.txt -intel crc_tmp_file.txt -intel -o STM3210C_EVAL\STM3210C_EVAL_CRC.hex -intel
该命令用于将两个 HEX 文件合并,如果以 crc_tmp_file.txt 文件为基准,即同一个地址的值如果不同,则保留 crc_tmp_file.txt 里面的(里面有正确的 CRC),-intel 代表 HEX 文件类型。C:\SREC\srec_cmp.exe STM3210C_EVAL\STM3210C_EVAL.hex -intel STM3210C_EVAL\STM3210C_EVAL_CRC.hex -intel -v
终于搞定啦,可以放下这个了。