STM32F103RB的 Bootloader軟件安全設計方案

1 篡改攻擊風(fēng)險研究
1．1 研究的意義
嵌入式系統產(chǎn)品的開(kāi)發(fā)往往成本高、開(kāi)發(fā)周期長(cháng)，一旦產(chǎn)品中的嵌入式軟件被抄襲或盜竊都將給廠(chǎng)商帶來(lái)巨大的損失。隨著(zhù)嵌入式處理器設計技術(shù)的發(fā)展，對片內Flash中的代碼保護也日漸完善。芯片在保護狀態(tài)下，可以完全禁止通過(guò)調試接口或SRAM中運行的程序讀取Flash內容，但產(chǎn)品階段保存在Flash中的代碼運行時(shí)對自身的讀取是允許的，如果非法使用者通過(guò)特殊手段篡改了Flash中的部分代碼為非法讀取程序，并使之在Flash中成功運行，將使產(chǎn)品代碼發(fā)生部分泄漏，這就是產(chǎn)品面臨的篡改攻擊風(fēng)險。針對這一風(fēng)險的研究在實(shí)際應用中顯得十分重要。
ST公司推出的STM32系列微處理器采用ARM新一代Cortex-M3內核，其中增強型的STM32F103RB具有72 MHz主頻、20 KB片內SRAM、128 KB片內Flash以及豐富的接口資源，可以很好地滿(mǎn)足廣泛的嵌入式產(chǎn)品的應用需求。較低的芯片價(jià)格和簡(jiǎn)單的開(kāi)發(fā)方式使之應用前景非常廣闊，對該芯片上代碼的安全研究也具有深遠意義。
1．2 風(fēng)險研究
Bootloader引導應用程序結構的嵌入式軟件可以滿(mǎn)足產(chǎn)品功能升級和維護的需求，在實(shí)際應用中被廠(chǎng)商普遍采用。Bootloader程序是在系統上電復位后在Flash中首先執行的一小段代碼，其基本功能模塊如圖1所示。

對于具有Bootloader引導應用程序結構的嵌入式軟件，Bootloacler部分和應用程序是相對獨立的。產(chǎn)品有了升級版本后，用戶(hù)可以得到產(chǎn)品和升級程序包。在對產(chǎn)品的篡改攻擊中，一旦Bootloader代碼泄漏，非法使用者通過(guò)升級模式更新應用程序部分，將可以復制產(chǎn)品的全部軟件代碼，這就使得產(chǎn)品被抄襲的潛在風(fēng)險急劇增大。在STM32F103RB上進(jìn)行的實(shí)驗也證明了抄襲的可能性。

2 基于STM32F103RB芯片的風(fēng)險驗證
STM32F103RB芯片對片內Flash的保護通過(guò)特殊位置的Option Bytes讀寫(xiě)保護控制字實(shí)現。讀、寫(xiě)保護有效時(shí)將禁止調試接口和SRAM中運行的程序對Flash讀、寫(xiě)操作。芯片特殊設計為：去除讀保護時(shí)，首先整片擦除片內Flash，從而銷(xiāo)毀產(chǎn)品軟件代碼；寫(xiě)保護的去除并不影響Flash中代碼的完整性；讀保護有效時(shí)，Flash的前3片區寫(xiě)保護自動(dòng)有效，防止中斷向量表被非法修改。
實(shí)驗在STM32F103RB的開(kāi)發(fā)板上進(jìn)行，在前3片區寫(xiě)入Bootloader程序代碼后，利用升級程序包將應用程序下載至應用程序片區。檢驗程序功能正常后置芯片讀保護和所有片區寫(xiě)保護有效，從而得到產(chǎn)品階段的芯片。對芯片的篡改攻擊風(fēng)險驗證實(shí)驗流程如圖2所示。

用于篡改攻擊的軟件包括非法讀取Flash內容并通過(guò)串口輸出的程序和用于跳轉到非法讀取程序的指針。篡改攻擊的實(shí)現原理是芯片的讀、寫(xiě)保護只包括主Flash區域，對Option Bytes區域的擦除操作可以去除無(wú)自動(dòng)寫(xiě)保護片區的寫(xiě)保護狀態(tài)，而讀保護仍然有效。在SRAM中運行的程序可以使芯片轉變?yōu)榇a完整而應用程序區域無(wú)寫(xiě)保護的狀態(tài)。一般情況下，產(chǎn)品為了保持升級的空間，軟件沒(méi)有占據整個(gè)Flash空間且采取自頂向下的順序擺放。為了最大程度保持原有應用程序，實(shí)驗中將非法讀取程序寫(xiě)入Flash的尾部片區，并將用于跳轉至非法程序的指針自底向上遍歷Flash地址嘗試應用程序的入口地址。
實(shí)驗的結果通過(guò)PC端接收到非法讀取程序輸出的代碼數據驗證，讀取的過(guò)程是芯片上電復位后自Flash起始地址啟動(dòng)執行口，Bootloader在運行模式下將跳轉至應用程序入口地址執行。在非法跳轉指針移動(dòng)過(guò)程中，應用程序入口地址被跳轉指針覆蓋時(shí)，非法讀取程序將得到執行機會(huì )。所進(jìn)行的實(shí)驗結果如圖3所示。