NXP RW61x安全启动实战:从SB3.1镜像生成到OTP熔丝配置全解析
1. 项目概述与安全启动核心价值
在物联网和边缘计算设备遍地开花的今天,设备固件被篡改、植入后门的风险与日俱增。想象一下,一个部署在工厂车间的智能网关,如果其启动代码被恶意替换,可能导致整个生产线停摆甚至发生安全事故。这正是“安全启动”技术要解决的核心问题——确保设备每次上电时,最先执行的那段代码是可信的、未经篡改的。这不仅仅是软件层面的校验,更是从芯片硬件层面构筑的第一道防线。
NXP的RW61x系列无线微控制器,作为面向智能家居、工业物联网的高集成度芯片,其安全启动机制设计得相当完备。它基于Secure Binary v3.1(简称SB3.1)镜像格式和一次性可编程熔丝,构建了一套从镜像生成、签名验证到硬件锁定的完整信任链。对于开发者而言,理解并正确配置这套机制,是将产品安全从“纸上谈兵”落到“硬件实处”的关键一步。很多团队在初次接触时,容易在证书链配置、OTP熔丝烧写等环节踩坑,导致设备变砖或安全机制未能生效。本文将结合我处理RW61x安全启动项目的实际经验,手把手带你走通从生成SB3.1镜像到完成OTP配置的全流程,并重点分享那些官方文档可能一笔带过,但却至关重要的实操细节和避坑指南。
2. 安全启动与SB3.1镜像核心原理拆解
在深入命令行操作之前,我们必须先厘清RW61x安全启动的底层逻辑。这绝非简单的“加个签名”,而是一套环环相扣的信任体系。
2.1 信任链的构建:从硬件根密钥到应用镜像
RW61x的安全启动信任链始于芯片内部不可更改的硬件资源——OTP熔丝。其中最核心的是根密钥表哈希。你可以把它理解为一个“信任锚点”或“家族印章”。芯片出厂时,这个区域是空的,需要由产品制造商(OEM)来烧录。你生成的4对ECC密钥(比如P-256)的公钥,会经过一系列哈希计算,最终得到一个256位或384位的摘要值,这就是ROTKH。一旦烧入OTP,它就成为芯片判断“谁是自己人”的唯一标准。
接下来是证书块。它包含了由上述根密钥签名的证书,用于验证下一个层级的密钥——即实际为你的应用程序镜像签名的镜像签名密钥。这个过程形成了一个证书链:硬件信任根密钥 -> 证书块中的证书 -> 镜像签名密钥 -> 你的应用程序SB3.1镜像。ROM代码在启动时,会逐级验证这个链条,任何一环校验失败,启动过程都会中止。
2.2 SB3.1镜像:不只是个“容器”
SB3.1镜像远不止是一个携带了签名的二进制文件包。它是一个结构化的安全容器,其清单部分包含了丰富的元数据:
- 固件版本号:用于实现防回滚攻击。OTP中有一个单调递增的计数器,SB3.1镜像中也有一个版本号。ROM会检查,只有镜像版本号大于或等于OTP中的计数器值,镜像才会被加载。这防止了攻击者用旧版本(可能存在已知漏洞)的固件替换新版本。
- 加密密钥:可以对镜像中的部分或全部数据进行加密,保护知识产权和运行时数据。
- 命令序列:这是SB3.1的强大之处。它允许你在镜像中定义一系列ROM可执行的命令,例如擦除Flash、加载数据到指定内存地址、配置外部存储器等。这意味着你可以在一个镜像中完成复杂的启动前初始化工作。
2.3 OTP熔丝:安全的“硬开关”
OTP熔丝是安全策略的硬件执行单元。除了存储ROTKH,还有一些关键位决定了芯片的安全状态:
- SECURE_BOOT_EN:这是总开关。设置为
2‘b1x后,芯片将只启动经过ECDSA签名验证的镜像,明文镜像将被拒绝。 - Life-Cycle State:芯片的生命周期状态,如开发、量产、现场等。不同状态会启用或禁用调试接口,是产品从研发转向量产的关键控制点。
- 密钥用法控制:可以精细控制每个根密钥槽的用途,例如某个密钥只能用于调试证书签名,另一个只能用于生产镜像签名,实现职责分离。
核心心得:安全启动配置是一个“先软后硬”的过程。务必先在影子寄存器中充分测试所有配置,确认系统能正常启动后,再烧写OTP。因为OTP一旦写入,就无法回退。影子寄存器是RAM中的一块区域,模拟了OTP的行为,让你能在不破坏芯片的情况下进行安全启动的全流程沙盒测试。
3. 工具链准备与环境搭建
工欲善其事,必先利其器。NXP为安全启动提供了一套名为SPSDK的工具链,它是我们所有操作的基础。
3.1 SPSDK安装与关键组件
推荐使用Python的pip包管理器进行安装,这样可以方便地管理版本和依赖。
pip install spsdk安装完成后,我们主要会用到以下两个核心工具:
nxpimage:用于生成和操作安全镜像,包括SB3.1镜像的创建、证书块生成等。blhost:用于与处于ISP模式的芯片进行通信,执行如固件下载、内存读写、熔丝编程等底层操作。shadowregs:用于读写和配置影子寄存器,是OTP烧写前的“安全沙盒”。nxpdevscan:用于扫描通过USB或UART连接到主机的NXP设备,获取其连接路径。
3.2 密钥对生成与管理
安全启动的基础是密码学密钥。RW61x支持ECC P-256和P-384曲线。我们以更常用的P-256为例。你需要准备至少一对根密钥和一对镜像签名密钥。切勿使用在线生成器或将私钥明文存储在代码仓库中。
使用OpenSSL命令行工具生成密钥对:
# 生成一根密钥的ECC私钥(P-256) openssl ecparam -name prime256v1 -genkey -noout -out root_private_key_0.pem # 从私钥中提取公钥 openssl ec -in root_private_key_0.pem -pubout -out root_public_key_0.pem # 生成镜像签名密钥对 openssl ecparam -name prime256v1 -genkey -noout -out isk_private_key.pem openssl ec -in isk_private_key.pem -pubout -out isk_public_key.pem你需要生成4对根密钥(对应ROTKH的4个槽位),即使你计划只使用其中一个。这是NXP安全架构的要求,旨在提供密钥轮换和吊销的能力。
实操陷阱:密钥文件的命名和存放路径要有清晰的规划。建议建立一个专门的
keys/目录,并使用有意义的文件名,如root_key_0_secp256r1.pem、isk_signing_key.pem。在后续复杂的YAML配置中,清晰的路径能避免很多“文件找不到”的错误。
3.3 开发板连接与ISP模式进入
要让blhost与芯片对话,芯片必须进入ISP模式。RW61x通常通过上电时的特定引脚电平来决定启动模式。
- 硬件连接:将开发板的UART串口(通常是UART0)通过USB转串口模块连接到电脑。同时连接调试器(如J-Link)用于
shadowregs操作。 - 设置ISP引脚:参考开发板原理图,找到
ISP0、ISP1等引脚。要让芯片从UART进入ISP模式,通常需要将ISP0拉低,ISP1拉高(具体请查阅芯片数据手册的Boot Mode章节)。有些开发板有专门的跳帽或按钮来设置。 - 上电或复位:在设置好ISP引脚的状态后,给开发板上电或按下复位键。
- 验证连接:打开设备管理器(Windows)或使用
ls /dev/tty*命令(Linux/macOS),查看是否识别到新的串口设备(如COM22或/dev/ttyUSB0)。
使用nxpdevscan工具可以自动发现设备:
nxpdevscan如果使用UART,输出会显示类似uart:COM22,115200的信息;如果使用USB-HID模式,则会显示VID和PID(如0x1fc9,0x0020)。记下这个连接参数,后续blhost命令会用到。
4. SB3.1镜像生成全流程详解
有了密钥和工具,我们就可以开始制作安全的“交付物”——SB3.1镜像了。这个过程可以细化为四个步骤:生成模板、编辑配置、生成镜像、加载测试。
4.1 步骤一:生成配置模板
首先,我们需要一个针对RW61x的SB3.1镜像描述文件模板。nxpimage工具可以帮我们生成一个结构化的YAML文件。
nxpimage sb31 get-template -f rw61x -o sb3_app_template.yaml这个命令会生成一个名为sb3_app_template.yaml的文件。打开它,你会看到一个包含大量注释的配置文件骨架。这些注释非常重要,它们解释了每个字段的含义和可选值。
4.2 步骤二:深度解析与配置YAML文件
这是最关键也最容易出错的一步。我们不能只是机械地填写,而要理解每个配置项背后的意图。下面我们拆解一个核心配置示例:
# =============================== Secure Binary v3.1 Configuration template for rw61x. ======================= # == Basic Settings == firmwareVersion: 1 # 【关键】固件版本号,用于防回滚。必须大于OTP中TZ_SW_Version的值。 family: rw61x # 【固定】芯片家族,必须为rw61x。 containerOutputFile: app_secure.sb # 【输出】最终生成的SB3.1文件名。 # == Image Signing Settings == signPrivateKey: ../keys/isk_private_key.pem # 【条件必填】镜像签名私钥路径。 # signProvider: type=file;file_path=../keys/isk_private_key.pem # 另一种指定私钥的方式,与上一行二选一。 # == Certificate Block V2.1 == certBlock: cert_block.yaml # 【必填】指向证书块配置文件或二进制文件。这里我们指向另一个YAML配置文件。 # == Secure Binary v3.1 Settings == containerKeyBlobEncryptionKey: cust_mk_sk.txt # 【可选】容器密钥加密密钥文件路径。如果镜像需要加密,此处提供密钥。 isNxpContainer: false # 【通常为false】是否为NXP内部容器格式,用户应用保持false。 kdkAccessRights: 0 # 【可选】密钥派生密钥访问权限,一般设为0。 containerConfigurationWord: 0 # 【可选】容器配置字,RW61x通常保持0。 description: "MyApp_V1.0" # 【可选】镜像描述,会被写入清单。 # == Secure Binary v3.1 Commands Settings == commands: # 【核心】定义ROM在加载镜像前后执行的一系列命令。 - erase: # 命令1:擦除Flash。 address: '0x08000000' # 起始地址:内部Flash起始地址。 size: '0x100000' # 擦除大小:1MB,根据你的Flash实际大小调整。 memoryId: '0x00' # 内存ID:0x00代表内部Flash。 - load: # 命令2:加载数据到RAM(例如配置参数)。 address: '0x20001000' # 目标地址:RAM地址。 values: '0xC0000008' # 要加载的32位数值,以逗号分隔。这里是一个示例配置值。 - configureMemory: # 命令3:配置外部存储器(如QSPI Flash)。 configAddress: '0x20001000' # 配置数据所在的RAM地址(即上一步load命令的地址)。 memoryId: '0x09' # 内存ID:0x09代表通过FlexSPI接口的串行NOR Flash。 - load: # 命令4:加载主应用程序到Flash。 address: '0x08010000' # 目标地址:应用程序在Flash中的起始地址(避开Bootloader区域)。 file: app_signed.bin # 【关键】你的已签名应用程序二进制文件路径。重点解析与避坑指南:
certBlock配置:这个字段通常指向另一个YAML文件(cert_block.yaml),该文件定义了证书链。你需要使用nxpimage工具生成它,命令类似于:nxpimage cert-block get-template -f rw61x -o cert_block_template.yaml然后在该模板中填入你的根证书公钥、镜像签名证书等信息。确保这里使用的根公钥与你计划烧录到OTP的ROTKH所对应的私钥一致,否则签名验证会失败。
commands序列:命令的执行顺序就是ROM的执行顺序。一个典型的流程是:erase->load(配置数据到RAM)->configureMemory->load(主程序)。memoryId必须正确:0x00是内部Flash,0x09是外部FlexSPI NOR Flash。地址必须对齐到相应存储器的扇区/页边界。app_signed.bin的来源:这个文件是你的应用程序编译链接后,经过签名处理的二进制文件。通常你需要先用elftosb或MCUXpresso Secure Provisioning工具,将你的.elf或.axf文件与签名证书一起打包成这个已签名的.bin文件。不要直接使用原始的.bin文件。
4.3 步骤三:生成SB3.1镜像
配置好YAML文件后(假设我们保存为sb3_app_config.yaml),生成镜像就很简单了:
nxpimage sb31 export -c sb3_app_config.yaml如果一切顺利,你会在当前目录下得到app_secure.sb文件。这个文件就是最终的安全启动镜像,它包含了你的应用程序、签名、证书链以及初始化命令。
4.4 步骤四:通过ISP模式加载测试
在烧写OTP之前,我们必须先测试这个SB3.1镜像是否能被芯片正确加载和执行。这需要让芯片进入ISP模式。
进入UART ISP模式:如前所述,设置ISP引脚并复位开发板。
使用blhost加载镜像:
blhost.exe -p COM22,115200 -t 60000 -- receive-sb-file app_secure.sb-p COM22,115200:指定串口和波特率。-t 60000:设置超时时间为60秒。-- receive-sb-file:命令ROM接收SB文件。
观察输出:如果返回
Response status = 0 (0x0) Success.,并且你看到类似Loading SB3.1 file...、Executing commands...等进度信息,最后显示成功,则说明镜像格式正确,签名有效(前提是芯片OTP尚未锁定安全启动,或处于开发状态)。此时,你可以复位芯片,让它从新的镜像地址启动,验证功能是否正常。
关键检查点:如果加载失败,
blhost通常会返回错误码。常见错误有:
- 0x1002 (kStatus_InvalidArgument):命令参数错误,检查YAML语法和地址。
- 0x1003 (kStatus_SecurityViolation):安全校验失败。检查签名密钥与证书链是否匹配,或芯片是否已进入安全状态但镜像未正确签名。
- 0x2001 (kStatus_FlashSizeError):擦除或编程的地址/大小超出了存储器范围。
5. OTP熔丝配置:从影子寄存器测试到永久烧写
OTP烧写是“开弓没有回头箭”的操作。我们必须通过影子寄存器进行充分的沙盒测试。
5.1 理解关键OTP熔丝位
在动手之前,再次确认几个关键熔丝的含义,它们定义在BOOT_CFG0和BOOT_CFG3等寄存器中:
| 熔丝位/字段 | 所在寄存器 | 值 | 含义与影响 |
|---|---|---|---|
| SECURE_BOOT_EN | BOOT_CFG0[21:20] | 2‘b00 | 启动明文镜像(仅CRC校验) |
| 2‘b1x | 启动仅ECDSA签名镜像(启用安全启动) | ||
| PRIMARY_BOOT_SOURCE | BOOT_CFG0[1:0] | 2‘b00 | 从内部Flash启动 |
| 2‘b01 | 从外部FlexSPI NOR启动 | ||
| LIFE_CYCLE_STATE | 独立寄存器 | 0x0303 | 开发状态,调试接口开放 |
| 0x0F0F | 现场状态,调试接口关闭,安全策略完全生效 | ||
| RoTKx_Usage | BOOT_CFG3 | 3‘b000 | 密钥可用于调试、镜像签名、固件更新等所有用途 |
| 3‘b111 | 密钥槽未使用(吊销) |
5.2 使用ShadowRegs进行沙盒测试
影子寄存器测试允许我们在不触碰真实OTP的情况下,模拟安全启动的完整环境。
保存当前配置:首先备份芯片当前的影子寄存器状态。
shadowregs -i jlink -f rw61x saveconfig -o current_config.yml-i jlink指定使用J-Link调试器接口。创建测试配置:编辑一个新的YAML文件(如
test_secure_boot.yml),填入你计划烧写的安全启动配置。ROTKH的值必须与你生成证书块时使用的根密钥哈希完全一致。description: device: rw61x author: YourName registers: BOOT_CFG0: value: '0x180001' # 示例:使能安全启动,主启动源为内部Flash BOOT_CFG3: value: '0x0' # 所有根密钥槽可用 LIFE_CYCLE_STATE: value: '0xF0F' # 模拟现场状态 (0x0F0F) RKTH0: value: '0x3C9CEDB9' # 你的ROTKH第0-3字节 RKTH1: value: '0x759A35B1' # 你的ROTKH第4-7字节 ... # 继续填写RKTH2到RKTH11如何获取ROTKH?ROTKH是你4个根公钥的哈希值。可以使用SPSDK中的
nxpimage工具来生成。你需要一个包含4个根公钥的配置文件,然后运行命令计算哈希。切勿手动计算或猜测。加载测试配置并复位:
shadowregs -i jlink -f rw61x loadconfig -c test_secure_boot.yml shadowregs -i jlink -f rw61x reset复位后,芯片会使用影子寄存器中的配置来模拟OTP已烧写的状态进行启动。
验证启动结果:
- 成功:如果你的SB3.1镜像配置正确(签名密钥与ROTKH匹配),芯片应该能正常从Flash启动你的应用程序。你可以通过串口日志或LED指示灯来确认。
- 失败:如果芯片无法启动(比如卡住或不断复位),说明配置有问题。最常见的原因是ROTKH不匹配或SECURE_BOOT_EN使能了但镜像未签名。此时,你需要重新连接调试器,用
shadowregs加载回原始的current_config.yml并复位,芯片就会恢复。
测试调试接口(可选):在模拟现场状态后,你可以尝试进行调试认证,验证调试端口是否按预期被禁用,以及你的调试认证证书是否有效。
5.3 生成并执行OTP烧写脚本
经过影子寄存器反复测试,确保万无一失后,就可以生成真正的烧写脚本了。
shadowregs -i jlink -f rw61x fuses-script -c final_otp_config.yml -o program_otp.bat这个命令会生成一个批处理脚本(Windows)或Shell脚本(Linux/macOS),其中包含一系列blhost命令,每一条命令对应烧写一个OTP字。
关键修改:生成的脚本默认可能使用jlink接口。但烧写OTP通常要求芯片处于ISP模式。因此,你需要手动编辑这个脚本,将所有的blhost命令连接参数从-u(USB)或-i jlink改为通过UART的ISP模式,例如:
REM 将类似这样的行 REM blhost.exe -u "0x1fc9,0x0020" -t 5000 efuse-program-once 0xf 0x00180001 REM 修改为 blhost.exe -p COM22,115200 -t 60000 efuse-program-once 0xf 0x00180001执行烧写:
- 确保开发板已进入UART ISP模式。
- 在命令行中执行脚本:
call program_otp.bat(Windows)或./program_otp.sh。 - 屏住呼吸,仔细观察。每条命令都应返回
Success。烧写过程不可中断。
终极警告:OTP熔丝烧写是不可逆的。特别是
LIFE_CYCLE_STATE从开发状态变为现场状态后,调试接口将被永久关闭(除非通过复杂的调试认证流程)。因此,务必在烧写前:
- 确认ROTKH值100%正确。
- 确认已生成并测试好能在该ROTKH下成功启动的SB3.1镜像。
- 最好在烧写前,备份最终的配置YAML文件和生成的SB3.1镜像。
6. 外部存储器支持与Flash驱动配置
许多RW61x应用需要将程序或数据存放在外部QSPI NOR Flash中。要让ROM在安全启动时能正确访问外部Flash,必须对其进行配置。
6.1 理解Memory ID与配置流程
RW61x ROM通过一个预定义的Memory ID来识别不同的存储设备。对于FlexSPI接口的串行NOR Flash,其ID是0x09。配置过程分为两步:
- 将一个配置字(例如
0xC0100007)写入芯片的RAM中某个地址(如0x2000F000)。 - 通过
configure-memory命令,告诉ROM去该RAM地址读取配置,并应用到指定的Memory ID上。
6.2 配置字解析与实战示例
配置字0xC0100007是一个32位的值,每一位都有特定含义,用于覆盖ROM自动检测(SFDP)的结果或提供额外参数。以0xC0100007为例(适用于支持DDR模式的Flash,如MX25U51245G):
- 最高字节
0xC0:tag和option_size字段,固定值,表示这是一个有效的配置选项。 - 次高字节
0x10:包含device_type、query_pad、cmd_pad等。0x10表示使用DDR指令读取设备信息,并使用4条数据线(Quad模式)。 - 低两字节
0x0007:max_freq字段。0x07对应133 MHz(查表14可得)。
实操命令序列:
# 1. 将配置字写入RAM blhost.exe -p COM22,115200 -t 60000 fill-memory 0x2000F000 4 0xC0100007 # 2. 配置Memory ID 0x09 (外部FlexSPI NOR) blhost.exe -p COM22,115200 -t 60000 configure-memory 0x09 0x2000F000 # 3. 验证配置 blhost.exe -p COM22,115200 -t 60000 -- get-property 0x19 0x9第3条命令会返回外部存储器的属性,如起始地址、总大小、页大小、扇区大小等。确认这些信息与你使用的Flash芯片数据手册一致。
6.3 将配置集成到SB3.1镜像
为了让设备上电后能自动配置外部Flash,你需要将上述fill-memory和configure-memory命令集成到SB3.1的commands序列中,正如第4.2节YAML示例所示。这样,ROM在加载主程序前,就会先执行这些配置命令,确保后续对0x08000000(外部Flash映射地址)的擦除和编程操作能够成功。
避坑点:不同品牌、型号的Flash芯片,其最佳工作模式(SDR/DDR)、时钟频率、 dummy cycle数可能不同。0xC0100007只是一个示例。最稳妥的方式是查阅Flash芯片的JEDEC SFDP表,并参考NXP应用笔记AN13813中的表格,选择或计算合适的配置字。如果配置不当,可能导致数据读写错误,设备无法启动。
7. 常见问题排查与调试心得实录
即使按照指南操作,也难免会遇到问题。下面是我在实际项目中总结的一些典型问题及其排查思路。
7.1 镜像加载失败问题排查表
| 问题现象 | blhost错误码/提示 | 可能原因 | 排查步骤 |
|---|---|---|---|
| SB3.1文件接收失败 | kStatus_Fail/ 无具体码 | 1. 芯片未进入ISP模式。 2. 串口波特率/端口错误。 3. 镜像文件路径错误或损坏。 | 1. 用nxpdevscan确认设备连接。2. 检查 -p参数。3. 尝试发送一个简单命令如 get-property 1测试连通性。 |
| 安全校验失败 | kStatus_SecurityViolation(0x1003) | 1. OTP已启用安全启动,但镜像未签名或签名无效。 2. 证书链中的根公钥与OTP中的ROTKH不匹配。 3. 镜像版本号低于OTP中的单调计数器值。 | 1. 确认镜像是否由正确的私钥签名。 2.仔细核对ROTKH。使用 nxpimage工具重新计算并对比。3. 检查 firmwareVersion和OTP中的TZ_SW_Version。 |
| 内存访问错误 | kStatus_FlashSizeError(0x2001) 或kStatus_InvalidArgument(0x1002) | 1.erase或load命令的地址/大小超出存储器范围或未对齐。2. memoryId指定错误。3. 外部Flash未正确配置。 | 1. 核对芯片内存映射图,确认地址有效。 2. 确保 memoryId正确(内部Flash:0x00, 外部FlexSPI NOR:0x09)。3. 先单独执行 configure-memory命令测试外部Flash。 |
| 命令执行超时 | 超时无响应 | 1. 外部Flash配置参数错误,导致芯片在擦除/编程时挂起。 2. 加载的文件过大,超过超时时间。 | 1. 检查Flash配置字,尤其是时钟频率是否超出Flash支持范围。 2. 增加 blhost的-t超时参数值。 |
7.2 OTP烧写后的“救砖”可能性
这是一个沉重但必须面对的话题。如果OTP烧写错误(特别是ROTKH错误),导致合法的镜像也无法通过验证,芯片似乎“变砖”了。但仍有以下途径可以尝试:
- ISP模式依然有效:只要没有烧写禁用ISP模式的熔丝,你仍然可以通过ISP模式与ROM通信。这意味着你可以继续通过
blhost发送命令,加载新的、签名正确的SB3.1镜像。前提是你能生成一个用正确的、与OTP中ROTKH匹配的根密钥签名的镜像。如果私钥丢失,此路不通。 - 调试认证:即使生命周期状态变为现场模式,调试端口被禁用,NXP也提供了调试认证流程。这需要你预先准备一个调试证书,并使用一个调试认证密钥进行签名。在芯片进入现场模式后,可以通过特定的认证协议,临时重新打开调试端口。但这需要额外的密钥管理和证书准备,流程更为复杂。
- 联系NXP支持:对于极端情况,可以联系NXP官方技术支持。某些芯片可能留有工厂后门或提供RMA服务,但这通常不是标准解决方案。
核心建议:备份、备份、再备份!在烧写OTP前,永久安全地保存好你的根密钥对和镜像签名密钥对。一旦ROTKH烧入,这些密钥就与芯片的命运绑定在一起了。
7.3 开发与量产流程建议
- 开发阶段:保持
LIFE_CYCLE_STATE为开发状态,SECURE_BOOT_EN可以暂时不使能,先专注于功能开发。使用影子寄存器频繁测试安全启动配置。 - 测试阶段:在实验室环境中,烧写一个测试用的ROTKH,并启用安全启动,进行完整的集成测试和渗透测试。
- 预量产:生成最终的正式根密钥对和镜像签名密钥对。在少量设备上烧写正式的OTP配置(包括现场生命周期状态),进行小批量试产验证。
- 量产:使用自动化脚本和编程器,将正式的SB3.1镜像和OTP配置烧写到每一片芯片中。确保产线环境的安全,防止密钥泄露。
安全启动不是产品开发的最后一道工序,而应该贯穿于整个开发和部署周期。从第一行代码开始,就考虑签名和验证,才能构建起真正可信的嵌入式系统。RW61x提供的这套硬件安全机制非常强大,但它的有效性完全依赖于开发者是否正确、严谨地使用了它。希望这篇指南能帮助你避开陷阱,顺利构建起产品的安全基石。
