STMCU-管管
发布时间:2025-2-26 11:12
|
01 前言* f5 K! d, e, x0 k7 d, d0 r % |5 w4 m* e& x" R. M STM32H5引入一个新的名词OBK。OBK是Option byte key的意思,本意用来存储密钥,也可以用来存储数据。传统STM32开发与量产需要考虑应用程序以及选项字节,对于STM32H5,则还需要考虑OBK。本文在STM32H5官方文档的基础上带领读者进一步认识一下OBK。 S1 @% }: Y, | 021 l. J! _% ^2 q% M; F4 ^ OBK存储区的几个疑问 2.1. OBK是STM32H5系列都有的吗?7 C& L+ N; W Z$ p- L! n& u 并不是所有的STM32H5系列都存在OBK。在STM32H503上相应的DA【调试认证】功能是借助OTP来完成的,也就是说,STM32H503并没有OBK。 2.2. OBK区是使用STM32H5必需的吗?$ v7 Y: @4 q5 Q p V6 q 如果用户开发STM32H5应用,是否可以不使用OBK?可以。$ x4 N$ m$ y2 Z- F4 r% [ STM32H5引入了新的芯片生命周期概念,其Open状态类似于传统STM32的读保护RDP 0级别。如果你的产品从来没考虑过读保护RDP,那么意味着你过去使用STM32都是在默认级别读保护RDP0。在这种需求下,产品量产时只需要关心应用程序和选项字节,不需要理会生命周期概念,自然也不需理会OBK。 另外,如果用户希望在产品发布后SWD/JTAG都不能被访问,那么只需要将STM32H5设置成Close或者Lock状态,也不用理睬OBK。 2.3. 不使用OBK区会不会是一种技术上的浪费? 如果在用户Flash使用已经紧张的情况下,不使用OBK确实是一种浪费。OBK总的大小有8K之多,可以写入任何数据。如果用户Flash空间紧张,即使不考虑任何安全保护的需求,理论上也可以考虑使用OBK。不过OBK的读写受到OBK存储区规则的限制,尽管有8K这么大,是否可以完全使用这8K,依赖于特定的应用需求是否和OBK-HDPL规则相匹配。 2.4. 什么情况下一定需要使用OBK区? STM32H5的优势之一是引入芯片生命周期管理,例如支持将产品状态设置到Close状态。在Close状态,除非用户能提供相应的密码和证书作为凭证进行DA认证,否则通过SWD/JTAG不能访问应用代码,也意味着代码得到了外部访问保护。在这种情况下,若需要使用OBK存储DA认证的相关的信息,这个时候OBK就必须使用。 换句话说,你是否在脱离Open/Provisioning状态后还希望通过SWD/JTAG访问 STM32H5,则建议使用OBK区。 03/ o7 y$ X* X8 R7 Y OBK文件- n# O3 m- k) I 3.1. OBK 文件的格式 OBK存储区既可以用来存放密钥也可以存放数据,即OBK的内容可以和应用有关。也就是说OBK不仅仅可以用来做DA认证,也可以作为应用程序的数据区。如果OBK用来做DA认证,则OBK的格式要符合DA认证的要求;如果OBK用来做应用程序的数据区,则OBK的格式要符合应用程序的要求。而应用程序需求千差万别。因此,OBK烧录时,并没有定义它的内容符合什么样的要求,而只关心三个方面:6 {: E2 M7 W9 ^" F$ F& U ....uint32_t.destAddress:烧在哪个地址 ....uint32_t.OBKeySize:大小是多大 ....uint32_t.doEncryption:存储在MCU中是否需要加密 上位机的OBK文件相比较OBK存储区的实际内容就多了一个头部,头部的内容就是以上三项。头部信息的存在是为了告诉烧录程序,如何处理OBK文件中的payload负荷,头部信息本身在OBK存储区中并不存在。 OBK文件中的payload负荷如果没有在头部指定加密的情况下,可以和存储区中的相应位置的数据一一对应。如果在头部指定加密,相应的STM32H5支持硬件加密,那么OBK文件依然是明文,但是OBK存储区则是密文。' p1 W9 W* I- G/ g5 V/ O9 h& N 这也说明,对于OBK烧录工具,不管是证书,密码,还是数据,都会一样被处理。. Z1 y1 `% R8 ^ 3.2. OBK 文件生成的方法; c9 Q8 T: t* @ STM32 Trusted Package Creator可以用来生成DA以及应用需要的OBK文件。它的输入是xml文件,可通过图形界面或者文本进行编辑。对于没有在图形界面上显示的配置项目,可通过编辑xml让它在图形界面上显示,也可以直接编辑XML,然后再加载XML来进行OBK生成。 生成基于密码的DA OBK界面如下。注意,这里输入的密码会被Hash放入OBK文件中,也就是说从OBK文件是无从得知用于DA的密码是什么。因为DA认证也需要后期主机输入凭证对MCU进行解锁,这个界面也同时会生成password.bin。password.bin内容则包含密码明文。非开发阶段,用户要注意对password.bin的保密。% }. ~* H% n( S% W- C/ j 
OBK烧录方法 4.1. 使用RSSLIB3 e( u( e, p9 g/ x1 j' G+ z STM32H5提供RSSLIB支持OBK烧录。最典型的用法存在于STM32CubeProgrammer中,它使用运行在MCU上的RSSLIB的函数进行OBK的烧录。 在Product state为Provisioning时,烧录OBK的界面如下: t7 r# Q8 ]/ T/ F* ~7 i 
对于STM32H563等产品,它们不支持硬件加密OBK,这个时候在其他状态烧录OBK,是可行的。 选择Nucleo-H563ZI开发板,选择Open状态。打开STM32CubeProgrammer,这个时候,选择同样的OBK烧录操作,我们会得到如下警告,告知我们OBK无法进行烧录。 
STM32_Programmer_CLI.exe -c port=swd mode=hotplug -sdp & ?4 m- K6 N; \# @ DA_ConfigWithPassword.obk' a' O$ C; h* ~2 F: \ h 这个时候我们可以停留在或者退出bootloader模式,使用STM32CubeProgrammer,我们可以看到OBK区域已经被成功烧录。 
不过,如果你没有拉高boot0管教,即使你使用STM32CubeProgrammer命令行进行烧录,也会给你返回失败的log。+ T) `, g+ \/ F 
STM32提供了HAL库,让MCU用户可以在应用程序里对OBK使用寄存器进行读写。STM32Cube软件包提供了相应的例程,举个例子:) r& {' C2 P% j# A! I, q
值得注意的是,当在支持OBK加密的STM32H5系列上,Open状态使用例程进行OBK得到的结果并不正确,原因在于Open状态会导致和产品发布状态例如Closed的密钥不一致。/ ]' F: j V% h5 }( \ 这个例程也可以用来理解OBK-HDPL的概念。+ c) _# Y8 O6 M+ p1 ~ 同样,使用寄存器直接编程,在Open状态进行OBK烧录具有OBK明文确认的优势。& V9 O( u+ K( x/ M - f; n; Z! q {* G3 R) R 05 小结 / n2 q6 m7 R4 w6 V 通过本文,希望用户在STM32H5正式文档的基础进一步了解,OBK的用处, OBK与OBK文件的差异,OBK的生成工具,OBK的烧录方法,适合STM32H5的用户在实践中进行参考。 
LAT1429_进一步认识STM32H5_OBK_v1.0.pdf
(848.01 KB, 下载次数: 0)
|
STM32电路知识学习
兔哥的初代M33【002】-H503Nucleo 内部flash操作
优雅至极!STM32H5咖啡机,高级GUI与安全功能之双响炮
STM32H503生成带dead time的互补PWM
实战经验 | STM32H5 USBD Classic驱动 CDC移植
NUCLEO-H563ZI刷入Micropython固件并点亮LED灯
基于STM32H5的DA之初体验经验分享(带 Trust Zone)
【免费申请】高性能和低成本双Buff加持的NUCLEO H533RE,等你来!
【NUCLEO-H533RE评测】使用双存储区Flash 在不关闭系统的状态下,实现OTA
【NUCLEO-H533RE评测】高性能-全频,硬件加速在电机控制相关应用的速度对比。
微信公众号
手机版
感谢管管大大,普及OBK的知识。