采用閃存的微控制器在代碼發(fā)布中的代碼保護

裝載程序使用數據包，數據包有數據頭和校驗和以驗證傳輸。如果數據包傳輸到了控制器并且校驗和是正確的，則裝載程序把它交給解碼引擎(如果它是加密的)。在加密數據的內部有另外一個密碼校驗和，這給解密引擎一個驗證密碼信息的手段。它將首先應用通用碼并測試校驗和，如果失敗，則利用來自串行數字的唯一密碼重試。如果再次失敗，則告訴裝載程序固件對這個設備無效。這也可防止代碼被未經授權的篡改和意外損壞。

如果解密引擎成功地解碼數據, 它將把數據交給在閃存中對實際閃存塊進行編程的程序例程。當然，對于不同產家，這個程序是不同的，在后面的設計實例中將給出COP8的程序。這個程序保留了一個128字節(jié)的RAM用于更新閃存。當然，這塊RAM在裝載程序完成后可以存放應用程序的數據。

設計實例

圖3是一個具備解密功能的固件裝載程序的流程圖。裝載程序使用在編程器和系統(tǒng)模擬程序中廣泛使用的修改版Intel HEX數據格式。這將使應用程序現有架構支持標準并易于使用。裝載固件程序用COP8匯編語言編寫，以簡少代碼，并利用器件全部的閃存特性。

簡單來說，Intel HEX格式是一種用ASCII編碼表示的數據記錄格式，用于向設備的存儲器編程對象代碼或數據。該格式由下列字段組成：使用ASCII字符0x3A或者即“:”記錄起始字段、長度范圍為0x00-0xFF的數據長度字段(兩個ASCII字符)、偏移字段、記錄類型字段、信息或數據字段以及校驗和字段。每個字段都由標準的可打印ASCII字符表示。例如，“10”代表十六進制0x10或者十進制16，可表示長度字段。實際上它的編碼是0x31、0x30，這是“0” 和“1” 的ASCII碼。因為內容是可打印的ASCII字符，能被文本編輯器查看，所以需要加密。

表里包括了標準的Intel HEX格式記錄類型。注意該標準只定義了6種記錄類型。為利用現有的結構，裝載程序采用Intel HEX 格式，并指定加密數據為一種新的記錄類型。記錄類型0x10將被用于代表加密數據，這是不能變的。

代碼裝載程序也需要一個流程控制方法，以保證在下一個記錄裝載之前，寫閃存的周期已經完成。在大多數的情況下，應用程序會產生可分成16個字節(jié)一組的文件，以方使閱讀。通常閃存是以128或256字節(jié)進行分塊，因此必須有一個裝載程序的命令要求從主機來的數據允許可變記錄大小。裝載程序必須能處理256字節(jié)的數據，因為按照標準，這是最大的記錄大小。表的底部顯示了本例中新擴展的記錄類型。因為COP8系列器件只有16位地址，無法執(zhí)行記錄類型0x02到0x05。對于具備更大閃存的處理器，例如CR16，它能直接訪問16M字節(jié)的內存，就需要有擴展線性地址的記錄類型。

觀察圖3中的流程圖，重新設置后的第一個任務是檢驗閃存的內容。這是通過讀取各個128字節(jié)的頁面(除了位于閃存頂部的自舉驗證代碼和裝載程序代碼)來完成的。只驗證應用程序的代碼這使計算校驗和非常容易。但如果需要，它也可以包括檢測裝載程序部件。當通過校驗和檢查，控制就被向量轉移到應用程序固件的入口。入口保持不變非常重要。如果它發(fā)生了移動，裝載程序會把向量轉到一個不正確的入口，并可能出現崩潰。另外，裝載程序可以從代碼中讀出進入向量，把向量壓入堆棧并返回，以迫使從那個地址開始執(zhí)行。這個方案允許入口點可變。

如果校檢和失敗，裝載程序將保持控制并不斷地往主機發(fā)送信號，用硬件設計實現的任何手段開始裝載。裝載程序也可以控制用戶接口通知這種狀態(tài)。在調試系統(tǒng)時，一個表示“固件裝載” 的簡單的LED燈非常有用。

裝載程序將持續(xù)地向主機請求記錄，直到主機通過EOF記錄表明沒有記錄了。檢測到的0x10類型記錄 將被送到解碼引擎，并適當解碼數據。這使得實際向閃存寫數據的代碼，既可以操作加密數據，也可操作對未加密數據。對開發(fā)和內部測試來說，未加密的數據通路很有價值。當收到EOF記錄后，所有新固件數據都被寫入閃存。然后，裝載程序把控制交還給自舉測試，以驗證新代碼未被破壞。

如上所述，現場可更新設備可以在不曝露IP的情況下得到實現。使用一個簡單的密碼, 制造商的固件就能得到保護，客戶可以在世界各地能夠訪問因特網的地方更新他們的設備。