01前言
本文档通过一个动手实验, 详细演示了如何在 STM32H563 上运行一个 OEMiROT 的功能. 旨在针对那些 OEM 想自己实现一个基于 STM32H563 上的 iROT 功能而又不知如何开始的开发者.

02准备工作


) y6 h/ h. ^4 E. \8 R8 I
4 @" |7 m4 L: ^* d# ?
, c3 N0 n7 C) r, F! b# d2 X软件包 : STM32Cube_FW_H5_V1.1.0
% {) y( c) P+ G6 M. y

' f! m# y% _( E+ o* y, f$ `) L工具:
• STM32CubeProgrammer v2.14.0
8 l# {9 g0 ?$ y$ Z• Tera Term 串口终端显示
• Trust Package Creator(安装 STM32CubeProgrammer 时一并安装, 注意勾选)


IDE: STM32CubeIDE v1.13.0

03烧录 OEMiROT 固件并运行
3.1. 脚本环境配置板编程基础
本动手实验基于 STM32CubeH5 固件包, 此包必须位于一个没有中文且没有空格的路径下, 于是我们将此包拷贝到 C:\workspace 目录, 在此包路径 \STM32Cube_FW_H5_V1.1.0\Projects\NUCLEO-H563ZI\ROT_Provisioning 目录下有一个 env.bat 文件, 用文本编辑器(如记事本)打开此文件:

: }4 @9 p3 }1 U. [
4 x* |; s' x; Y. h

4 ?; {: \3 H2 n% u" {
% g# p6 E2 U2 t# `7 t1 J检查上面两行, STM32CubeProgrammer_CLI.exe, 以及 STM32TrustedPackageCreator_CLI.exe 这两个工具的安装路径是否跟你电脑中的安装路径符 合, 如果不符, 则需要进行相应的修改.

3.2. 运行 OEMiROT 预配置(provisioning)脚本
" g/ e1 q/ a; d
再进入到 cube 包下的目录 STM32Cube_FW_H5_V1.1.0\Projects\NUCLEOH563ZI\ROT_Provisioning\OEMiROT 目录下, 有一个名为 provisioning.bat 的脚本, 双击运行它:



8 p8 I, a, A' w- O" }/ w. n/ l
5 B! D" B' `% U! N$ Q: `  _如上图, 系统会自动打开一个 DOS 命令终端窗口, 在此动手实验过程中, 如无特别说明, 此窗口将一直保持, 我们将通过此窗口的提示信息进行每一步的操作.
+ k3 x) x) e2 O8 |  |

如上图, 信息提示我们打开TrustedPackageCreator 工具, 生成 OEMiROT_Config.obk 文件.

3.3. 生成 OEMiROT_Config.obk
7 l  S1 O0 ~: {打开 TrustedPackageCreator 工具:
; M, {' |+ i, {) p% ^
, k' z% d9 T+ n! n4 |7 E! I
1 W# c6 Z) n3 E6 \$ }% G* W

' |1 e# M2 q- m1 o& x* E9 C7 a
3 [+ A4 B+ N& c) T" }0 `( W: Q如上图, 在最左边 ①处点击 “H5”, 然后在②处选项”OBKey”, 接下来在③处选择STM32Cube_FW_H5_V1.1.0\Projects\NUCLEO-H563ZI\ROT_Provisioning\OEMiROT\Config 目录下的 OEMiRoT_Config.xml 文件, 此文件为生成 OEMiROT 对应 obk 文件的配置文档. 然后下面会显示 3 个密钥对, 从上到下分别为 :
• OEMiRoT_Authentication_S.pem: Secure APP 对应的认证密钥(使用公钥)
• OEMiRoT_Authentication_NS.pem: Non Secure APP 对应的认证密钥(使用公钥)
• OEMiRoT_Encryption.pem : Secure APP+Non Secure APP 固件加密密钥对应的解包密钥(使用私钥)


这三个密钥其实都是成对的, 即公钥私钥对. 位于 Keys 目录下. STM32CubeH5 包下已经自带了默认的密钥对, 如果你不想使用默认的, 则可以点击上图中的4中的 “Regenerate” 重新生成这三个密钥对. 一旦重新生成, 则需要注意保存这三个密钥对.

7 ~9 w5 V1 m7 j+ H
  K0 S; a; o( T$ h8 i, Z接下来就要生成 OEMiROT 对应的 obk 文件了, 在右边的输出路径下, 选择一个路径, 比如Binary 目录. 最后点击生成. 则将在 Binary 目录下生成 OEMiRoT_Config.obk 文件.

3.4. 生成 DA 对应的 obk 文件
回到脚本终端窗口, 输入回车键 :
& h( y1 o7 k6 p8 y- L7 f


& ]8 l& r: @% P; W' J$ M1 @6 `! i! E

如上图, 提示你通过 TPC 工具生成 DA_Config.obk 文件. 有关如何生成 DA_Config.obk 文件,之前已有其它文档讲述, 且 STM32CubeH5 包下STM32Cube_FW_H5_V1.1.0\Projects\NUCLEO-H563ZI\ROT_Provisioning\DA\Binary 此目录中已经有现存的 DA 对应的 obk 文件, 其对应的私钥和证书分别位于上一级目录下的 Keys 目录和 Certificates 目录下, 这些文件均可直接使用, 所以这里不再重复讲述它们的生成过程.
/ |5 _0 M$ U* ]  L, }& m7 N* C# G
+ c0 ?( k; K2 J
9 \* q& _! ~" O. \: P( W直接按下回车键..

3.5. 编译 OEMiROT_Boot 工程
: g0 b$ R' S! H7 ]


0 T: I, N3 M/ w. d9 A9 y

5 x9 |3 p! i: E+ ^. R; I如上图, 提示用户打开 OEMiROT_Boot 工程并编译.
# U# F" K" y$ |

5 o9 X% T8 h' W& v于是用 STM32CubeIDE 打开工程, 路径为: STM32Cube_FW_H5_V1.1.0\Projects\NUCLEO-H563ZI\Applications\ROT\OEMiROT_Boot\STM32CubeIDE 目录下, 编译过后,会在工程下的 Binary 目录下生成 OEMiROT_Boot.bin 文件.

2 @3 E  G0 d& r' ~6 |
再回到终端窗口按下回车键…
. U/ g/ k' r0 Y6 \2 `0 F
( i& o6 E/ H4 L7 w4 E2 p* E6 j3.6. 编译 OEMiROT_Appli_TrustZone 工程

' \: f! U6 {& A9 {用 STM32CubeIDE 打开工程: STM32Cube_FW_H5_V1.1.0\Projects\NUCLEO-H563ZI\Applications\ROT\OEMiROT_Appli_TrustZone\STM32CubeIDE

* i* R3 Z0 K3 V3 ?8 U8 j( P
! g% ?4 \! u' q. A7 h( W此工程下有两个子工程 :
4 P7 E; p) J& M. H. D


  e  V& F0 Q1 e* Y0 @& D9 `3 `: s
/ p- D1 D# X3 n7 I* N如上图所示, 先编译 Secure 工程, 再编译 NonSecure 工程. 编译通过后, postbuild 脚本会在Binary 目录下生成原始 bin 文件和加密后的固件.
' K8 ^' F+ T2 S" }- i
4 V, S: h4 i' l/ A


. p6 B$ X; j8 D( j  j" v" O
原始 bin 文件是用来初始安装的, 而加密后的固件是用来做升级的. 加密和签名过程正是postbuild 脚本来实现的, 其对应的固件加密密钥是此次编译过程中脚本随机产生的密钥. 此密钥会通过 3.3 节中所产生的 OEMiRoT_Encryption.pem 对应的公钥来进行打包并放入 header 中.而签名所用的私钥并正是 3.3 节中所产生的 OEMiRoT_Authentication_S.pem 私钥, 它对应Secure 工程签名, OEMiRoT_Authentication_NS.pem 则对应 Non Secure 工程签名.

3.7. 手动生成加密且签名的映像文件(可选)
% B+ v3 k2 t7 E8 Q7 j. k除了通过 postbuild 脚本来自动生成固件加密且签名的映像文件外, 你也可以通过手动的方式来生成它.如下图, 我们可通过 TPC 手动将原始 bin 文件加密且签名.
$ |) I$ p' \, \; i" B
# Q3 Q$ [) N: R: n" S8 Z7 ?, }
* U% H8 S: \5 }+ R" M- Q/ X7 n
2 P+ P8 g0 K2 |9 W2 y1 ?
* j/ V) k  l. v& O, k2 G5 [5 J6 X7 O
2 I2 |+ O- l1 `& ^2 p1 s如上图, 打开 TPC, 左边①处选择 “H5”, 然后在②处选择”Image Gen”, 在③处输入配置文件 : STM32Cube_FW_H5_V1.1.0\Projects\NUCLEO-H563ZI\ROT_Provisioning\OEMiROT\Images\ OEMiROT_S_Code_Image.xml. 然后在Firmware area size 处保持默认的 0x6000, version :1.0.0, Firmware binary input file 处导入S App 生成的明文固件映像. Image Out File 处即可生成的加密且签名的固件。加密的密钥是随机的, 它通过打包进 header 中, 如之前描述. 这就是手动生成加密且签名的固件映像方法. 由于App 工程的 postbuild 脚本会自动完成, 所以, 这一步骤并不是必须的.


此外需要注意地是, 在 STM32Cube_FW_H5_V1.1.0\Projects\NUCLEO-H563ZI\ROT_Provisioning\OEMiROT\Images 目录下还有其它几个用来手动生成加密签名映像的配置文件, 如下图所示 :
2 q1 j% U; U3 L! A  U* w

% h3 A# T. S" a9 v; p7 v
' A+ _- B# j8 e$ d0 h% e
通过这几个文件名, 顾名思义, 分别对应着 Secure App 的固件, 数据, NonSecure App 的固件,数据映像, 如果需要手动生成这四种加密且签名的映像文件, 则通过 TPC 手动导入对应的 xml配置文件. 在 Firmware binary input file 输入原始 bin 文件, 在 Image Out File 处输入导出文件, 然后点击 Generate Image, 生成最终的加密且签名的映像文件(如rot_tz_s_app_enc_sign.hex, 或者 rot_tz_ns_app_enc_sign.hex).
+ e! h/ \& [' B! R, R( g; B8 h
3.8. 生成加密签名的数据映像(可选)
回到终端窗口按下回车键, 如下所示 :
, j9 L1 A# y8 h. h% l



6 A; }( z% [* u' W. X! D1 N
+ c$ A6 d* t% ~  B& {4 w提示我们通过 TPC 手动生成加密数据映像. 工程中默认是未定义任何 Data image 的(flash_layout.h 头文件):



- @0 W8 z4 I2 I9 o% X# r5 u
' R% B" h3 I/ }9 o4 G) h3 O0 U9 i* |因此, 此步骤默认我们是可以跳过. 如果工程中此宏修改成 1, 则需要手动通过 TPC 来生成加密的数据映像. 方法类似于 3.6 节的手动生成环节, 只不过配置文件换成 xxx_Data_Image.xml.
" P2 k' _6 }3 X7 V4 B
  P2 ?% Z+ o8 X7 Y: e& I6 p
4 B5 t* {/ Q2 k& q& m3 g! D这一步骤, 我们直接在终端窗口中按下回车键…
+ m8 P: H$ m: Z; c

  b5 C, ~+ w( S* G( m
: I+ d$ b/ @7 J: J1 q

接下来再次提示生成 NS APP 对应的 Data Image, 同理, 在工程中默认宏中是没有配置的, 因此直接按下回车键…

3.9. 预配置(provisioning)
. v- k( y4 B: X( r! J



& H- j) r1 L) u
/ B6 P7 ?% G6 I0 L2 ^在做预配置之前, 提示你是否已将 BOOT0 引脚拉低. 确认 NUCLEO-H563ZI 板上的 BOOT0引脚没有连到 VDD(CN4 的 BOT0 引脚未接任何东西即可). 确认后按下回车键…





如上图, 这此过程中, 脚本会自动烧录 boot, S APP, NS APP 三个 bin 文件, 以及配置 option bytes, 接下来提示你输入芯片最终的 product state, 这里我们输入”CLOSED”…(千万别设置为 LOCKED 状态!)


. m7 X3 E8 W; V


如上图所示, 在此过程中, 脚本会先将芯片的 product state 切换到 provisioning 状态, 然后再做预配置, 这里会预配置 OEMiROT 的 obk 文件,以及 DA 的 obk 文件, 然后最终将芯片的product state 设置为你上一步输入的最终芯片状态. 最后系统提供已完成. 到这一步, 脚本的整个流程结束. 接下来, 我们验证下烧录后的芯片是否工作正常.

- ]- B. W0 Z5 S/ E5 h! K, L) c3.10.检查程序运行状态
打开 Tera Term, 设置串口波特率为 115200 bps, 然后复位板子, 查看打印信息…

$ |7 D$ {/ i/ e$ M6 k6 B7 K

9 P+ Y$ ~2 j; A: K/ M/ U
如上图所示, 当打印信息显示 User App #A 时, 表示 NS APP 已经运行成功, 所有程序运行结果均正常!

04固件更新
7 i1 i! l8 S* N3 b: e$ q接下来, 我们将演示通过 NS APP 触发程序跳转到内置的 bootloader 中, 并通过串口下载新的加密固件, 复位后并安装它.

4.1. 修改代码, 并重新编译工程
: T- K1 ?$ }/ I打开 NS APP 的工程, 在 main.c 文件中将 NS APP 的版本号从 “A”改成”B”:

/ L$ _# q* f& b& k, _! J! ^6 c

4 J/ I; c2 B& p/ U

! ?' Y. @. F# T1 L然后重新编译 NS APP 工程.


+ ~# U% \; Q8 w: ^Postbuild 脚本将重新生成 S APP 和 NS APP 的加密固件 :


# g3 u" a6 H2 O, b* F% Z
) K4 o+ t' I. _$ M4 U

) t" M9 W8 f4 }: j/ Y如上图所示, 这四个文件均将重新生成.
: |4 W/ B6 Z/ s8 W. R

接下来我们将升级 APP 固件.
& x2 b0 Q' t2 M1 m* O! A
; z3 {' p  u# }5 m
; L4 F2 Q$ _: Y7 G4.2. 跳转到 loader 程序

: ]' P/ p3 }6 e在串口终端中我们输入”1”:


6 {% X9 V5 `9 X6 {# {

' ^1 i1 b# ~( [" Y' {如上图所示, 输入 1 后, 程序跳转到芯片内置的 bootloader 中.

" G* R( Q1 v) G9 X, B. H
# j& J/ P" Y9 k" B6 x: `1 o断开 Tera Term 的串口连接 :


0 H: |2 G+ v7 v2 \
5 l! N/ ^9 Q8 [9 v5 ?  ^" c1 O" B
4.3. 通过 STM32CubeProgrammer 下载新固件
打开 STM32CubeProgrammer, 并通过串口模式连接芯片:
! {# M- X1 x; u5 ]


* [# ?$ Z0 J1 G! m
) r9 ]! z2 e' d1 O7 K将新生成 NS APP 的加密后的固件 rot_tz_ns_app_enc_sign.hex 拖入到STM32CubeProgrammer 中 :
: e4 M0 s5 U2 ^
& o  M5 S4 o& e1 r6 Q% @

2 N; z8 I5 W4 `% t0 H+ J0 F6 I: d
0 |6 p5 t5 H6 P' E" M( F4 [( y
如上图点击下载.

# q" I) R2 S* k( V
/ Q) D; Y+ x. P' b) O同样的, 也可以将 S APP 的加密固件 rot_tz_s_app_enc_sign.hex 拖入STM32CubeProgrammer 中并下载 :

5 x) L) \) p; I- J/ |# [
$ G$ |0 Z  e6 T* _: Y& s7 w0 U

; Y( S  ^7 y! a) o( K- ^
下载成功后, 断开 STM32CubeProgrammer 的串口连接, 并使 Tera Term 重新连接串口 , 然后再重启 NUCLEO-H563ZI 板, 于是可以看到如下打印信息 :
$ I% g4 V) B3 ?, H' S! z) P
; t8 @$ ?0 S8 M+ u& Y
7 v& A4 S/ [2 o6 C) G" t


0 p/ ~* |; E* D+ n7 B* Q/ \如上图所示, NS APP 的版本打印信息从 “A”已经改成”B”了, 这说明固件(加密且签名的)已经更新成功.
7 \4 s  l; F5 v2 L
' L% x- a' W9 m+ Z% ^05还原
5.1. DA 回退
打开 STM32CubeProgrammer, 采用 ST-Link 模式, 在未连接的情况下,在左边选择盾牌图标, 然后再选择”DA”选项卡, 再点 Discover 按键….
9 S9 W9 ]) u7 l7 Y

% |$ r# O! P. T+ T" V+ ]

界面变成如下所示 :

: |! |) L) K- K4 g, j


+ L6 A  n( o* I3 i
8 D8 A6 b/ v- l- _% V如上图所示, 第一个红框内输入 DA 私钥文件 :
3 c9 I8 E3 V7 O( w

STM32Cube_FW_H5_V1.1.0\Projects\NUCLEO-H563ZI\ROT_Provisioning\DA\Keys\key_1_root.pem,
3 I/ c6 P$ B0 e$ q/ Z

第二个红模式内输入证书 : STM32Cube_FW_H5_V1.1.0\Projects\NUCLEO-H563ZI\ROT_Provisioning\DA\Certificates\ cert_root.b64


5 X, C# T+ P  J7 b2 R$ g- L  W然后击点 continue 按键, 然后界面变成如下所示 :

: C+ n0 \  T7 M

8 R" s! |: r* `/ R: i7 R2 L

2 p' a" }; ~# g; Q; O- M1 u如上图所示, 在左边选择”Full Regression”, 然后再点击 Execute 按键…
0 _# y! `" [5 W% O. x1 n
* ~9 I2 w* b' `0 _  O2 E+ C* e* Z
# p( k8 B$ p8 Q" d% i# X. O  r
! ]' ?$ ?5 e0 I8 z4 Q* V. |+ d8 R

然后如上图所示, DA 回退成功. 此时,查看 option bytes 值 , product state 已经变成Open(0xED), TZEN 依然使能(TZEN=0xB4) :
  u  g% F+ J$ T. _' V

3 ^, i+ w3 K6 `7 a
1 w. ~* r1 s( K! r

5.2. 关闭 trustzone
9 ~6 w0 t, w& J4 I; E: a" G如果需要也可以将 TZEN 关闭(TZEN=0xC3, 可直接修改, 这点与U5必须伴随 RDP回退操作不同), 这样芯片就完成恢复成原始状态了.


' V( Y! k3 A# E) |# B# }! @
* W" q% X7 u% J4 ?1 t% v" e! K8 G- q
/ {* R# O% L7 M+ h3 Y# X% u7 `. [! k
  n0 ~' N/ v/ T. J' @& x) c: K转载自： STM32单片机
如有侵权请联系删除
3 d* {9 T0 r( Y" S
" `& D, i: l- |; |/ g9 O

值得收藏