作者

鄭文灝

IAR中國(guó)現(xiàn)場(chǎng)應(yīng)用工程師

陳光愛

英飛凌汽車電子事業(yè)部大中華區(qū)首席現(xiàn)場(chǎng)應(yīng)用工程師

本文得到了英飛凌中國(guó)區(qū)的大力支持，特別感謝英飛凌汽車電子事業(yè)部大中華區(qū)首席現(xiàn)場(chǎng)應(yīng)用工程師陳光愛在技術(shù)指導(dǎo)和專業(yè)意見方面給予的寶貴幫助。

隨著汽車電子系統(tǒng)變得越來越智能，對(duì)功能安全（Safety）的要求越來越高，同時(shí)信息安全（Security）也越來越被關(guān)注，安全調(diào)試（Secure Debug）機(jī)制已成為一個(gè)重要的信息安全特性。Infineon TRAVEO T2G系列MCU在滿足高性能需求的同時(shí)，集成了完整的硬件安全特性，包括生命周期管理、安全啟動(dòng)（Secure Boot）、硬件加密引擎以及調(diào)試端口訪問控制（安全調(diào)試）等。這些機(jī)制協(xié)同作用，可有效防止未經(jīng)授權(quán)的訪問與代碼數(shù)據(jù)篡改。

本文主要介紹如何在IAR Embedded Workbench for Arm中實(shí)現(xiàn)Infineon TRAVEO T2G的安全調(diào)試。

01Infineon TRAVEO T2G生命周期管理

設(shè)備生命周期是 TRAVEO T2G MCU 安全機(jī)制中的核心環(huán)節(jié)。其各個(gè)階段按照嚴(yán)格的、不可逆的流程推進(jìn)，并通過電子保險(xiǎn)絲（eFuse）實(shí)現(xiàn)狀態(tài)切換（將保險(xiǎn)絲位從“1”永久熔斷為“0”）。這種機(jī)制確保了生命周期一旦進(jìn)入新的階段便無(wú)法回退，從而能夠根據(jù)客戶需求，可靠地對(duì)設(shè)備內(nèi)部的數(shù)據(jù)與代碼實(shí)施不同層級(jí)的保護(hù)。

TRAVEO T2G MCU 生命周期共分NORMAL_PROVISIONED, SECURE, SECURE_WITH_DEBUG, RMA（Return Material Authorization）, CORRUPTED 5個(gè)階段，如下兩圖展示的是生命周期的切換順序，以及對(duì)應(yīng)的保護(hù)狀態(tài)（NORMAL, SECURE, DEAD）。

02調(diào)試端口訪問控制機(jī)制

CYT2B7x 調(diào)試架構(gòu)簡(jiǎn)介

CYT2B7x 的物理調(diào)試接口支持 JTAG接口和SWD接口，內(nèi)接的Arm 調(diào)試端口（DAP）有三組訪問端口（access port），分別為SYSTEM-AP（AP0），CM0-AP（AP1），CM4-AP（AP2）。其中，CM0-AP用于訪問CM0+，CM4-AP用于訪問CM4，SYSTEM-AP用于訪問System ROM table，以及AHB總線上的組件資源。

用戶可以通過編寫程序通過CPUSS_AP_CTL寄存器可單獨(dú)設(shè)置3個(gè)AP端口的調(diào)試器訪問權(quán)限。

調(diào)試端口控制策略

調(diào)試端口控制（Access restriction）共分為4種：Normal, Normal Dead, Secure, Secure Dead。下圖是調(diào)試端口控制（Access restriction）與生命周期（Lifecycle stage）、保護(hù)狀態(tài)（Protection state）的關(guān)系，以及Boot階段從哪組配置字（SFlash或者eFuse）獲取調(diào)試端口訪問權(quán)限配置，并由Boot代碼寫入到CPUSS_AP_CTL寄存器中。

以下是MCU復(fù)位后的boot階段，配置調(diào)試端口訪問權(quán)限的流程。

以下是eFuse中的Secure Access Restrictions 和 Secure Dead Access Restrictions 配置字。

下表顯示了 SFLASH Row 13 配置字。Normal Access Restrictions 和 Normal Dead Access Restrictions 分別存儲(chǔ)在 SFLASH Row 13 配置字（0x17001A00~0x17001BFF）的第一個(gè)字（0x17001A00）和第二個(gè)字（0x17001A04）中。

AP_CTL_ M0/M4/SYS_ DISABLE 定義了 M0/M4/SYS 調(diào)試端口 (DAP) 的調(diào)試器訪問權(quán)限。根據(jù) AP_CTL_ M0/M4/SYS_ DISABLE 提供的配置字信息，Boot 代碼向 CPUSS_AP_CTL.CM0/CM4/SYS_ENABLE 和 CPUSS_AP_CTL.CM0/CM4/SYS_ DISABLE 位寫入對(duì)應(yīng)的值，如下表所示：

03安全調(diào)試示例

示例簡(jiǎn)介

本示例來自于“AN228680 – Secure system configuration in TRAVEO T2G family”應(yīng)用手冊(cè)的“16.1.1 Debug access port authentication”

軟硬件環(huán)境：IAR Embedded Workbench for Arm 9.70.1 + KitProg3 CMSIS-DAP 硬件調(diào)試器 + Infineon CYT2B7x MCU

生命周期配置為NORMAL_PROVISIONED

SFlash Row 13 配置字Normal Access Restrictions為AP_CTL_CM0 / CM4 / SYS -> 01 – Temporary Disable

CM0+ 程序來自于sdl_additional_code_examples_v8.3.0和T2G_Sample_Driver_Library_8.3.0，負(fù)責(zé)配置Sflash調(diào)試端口配置字，確保MCU上電后，CM0+和CM4調(diào)試端口關(guān)閉，僅打開SYS-AP端口，以便硬件調(diào)試器訪問調(diào)試解鎖認(rèn)證數(shù)據(jù)區(qū)域。 CM0+程序還負(fù)責(zé)MCU側(cè)的CM4調(diào)試端口解鎖流程。

通過IAR Embedded Workbench for Arm C-SPY調(diào)試腳本與CYT2B7x CM0+程序進(jìn)行調(diào)試端口解鎖流程交互。

調(diào)試端口加鎖

由CM0+軟件工程將Normal Access Restrictions 配置字布局到SFlash Row 13區(qū)域，下載CM0+軟件工程時(shí)，相應(yīng)的配置字就會(huì)寫入到SFlash區(qū)域。

Normal Access Restrictions 配置：

o AP_CTL_M0_DISABLE: 01 - Temporary Disable

o AP_CTL_M4_DISABLE: 01 - Temporary Disable

o AP_CTL_SYS_DISABLE: 01 - Temporary Disable

128 位調(diào)試解鎖密鑰（key0 - key3）存儲(chǔ)在Work Flash中（地址 = 0x14012000）。

調(diào)試端口解鎖流程

下圖為調(diào)試端口解鎖流程圖，其中：

CM0+側(cè)：

Boot代碼設(shè)置所有調(diào)試端口CM0/CM4/SYSTEM關(guān)閉（取決于 SFLASH）

CM0+程序打開SWD/JTAG引腳，并打開SYSTEM_DAP端口（下圖步驟4-6）

CM0+程序等待IPC中斷

當(dāng)中斷到來時(shí)，通過SRAM_SCRATCH地址檢查128 位密鑰值，如果與Work Flash中（地址 = 0x14012000）中的預(yù)設(shè)密鑰值匹配正確，則開啟調(diào)試端口AP_CTL （下圖步驟10-17）

IAR Embedded Workbench for Arm C-SPY調(diào)試平臺(tái)側(cè)：

通過SYSTEM_DAP（DAP端口號(hào)0）（下圖步驟7,8）將值寫入指定地址

通過IPC寄存器生成中斷 （下圖步驟9）

等待 CM0+ 側(cè)通過AP_CTL打開CM0+和CM4的調(diào)試端口 （下圖步驟18）

IAR Embedded Workbench for Arm進(jìn)行CYT2B7x MCU CM4工程安全調(diào)試流程

1. 準(zhǔn)備工作

CM0+軟件示例工程已經(jīng)成功下載到CYT2B7x MCU中。

任一個(gè)CM4軟件示例工程。

2. 配置硬件調(diào)試器，本示例使用KitProg3 CMSIS-DAP 硬件調(diào)試器（如左下圖配置），用戶也可以使用I-jet硬件調(diào)試器（如右下圖配置）

3. 在Debugger選項(xiàng)中，按下圖格式輸入密鑰，本示例正確密鑰為0x00112233445566778899AABBCCDDEEFF。

* MCU側(cè)，密鑰已由CM0+工程預(yù)先下載保存在Work Flash中。

4. 啟動(dòng)調(diào)試后，在連接內(nèi)核時(shí)，會(huì)調(diào)用C-SPY調(diào)試腳本的函數(shù)_ExecDeviceCoreConnect() -> TVII_CheckDAP()&TVII_IsAPEnabled(1) ->TVII_Unlock()，將密鑰寫入相應(yīng)的寄存器。

5. TVII_Unlock()函數(shù)在執(zhí)行完密鑰寫入后，通過TVII_WaitForResponse()函數(shù)來檢查認(rèn)證結(jié)果狀態(tài)字，來判斷DAP調(diào)試端口是否認(rèn)證成功（如果認(rèn)證成功，CM0+側(cè)程序會(huì)修改狀態(tài)字0x55000000變?yōu)?xAA000000，狀態(tài)字位于0x08002700地址）。密鑰匹配成功后，調(diào)試器成功連接CM4調(diào)試端口。

6. 在Debugger選項(xiàng)中，如果輸入不正確的密鑰0x22112233445566778899AABBCCDDEEFF。本示例正確密鑰為0x00112233445566778899AABBCCDDEEFF。

7. TVII_Unlock()函數(shù)在執(zhí)行完密鑰寫入后，通過TVII_WaitForResponse()函數(shù)來檢查認(rèn)證結(jié)果狀態(tài)字，來判斷DAP調(diào)試端口是否認(rèn)證成功。由于輸入密鑰錯(cuò)誤，調(diào)試器連接CM4內(nèi)核失敗，退出調(diào)試界面。

04總結(jié)

本文以Infineon TRAVEO T2G CYT2B7x為例介紹了如何在IAR Embedded Workbench for Arm中實(shí)現(xiàn)TRAVEO T2G的安全調(diào)試。TRAVEO T2G的調(diào)試端口解鎖流程由CM0+控制，因此用戶也可以根據(jù)項(xiàng)目需求重新設(shè)計(jì)CM0+程序代碼來進(jìn)行調(diào)試端口解鎖流程（比如：基于加密認(rèn)證算法的身份認(rèn)證機(jī)制來解鎖），IAR Embedded Workbench for Arm C-SPY調(diào)試腳本也完全可以適配實(shí)現(xiàn)用戶的自定義調(diào)試端口解鎖流程。

其他TRAVEO T2G型號(hào)的 MCU 也有相似的安全調(diào)試機(jī)制， 如有任何問題或需求，歡迎聯(lián)系IAR中國(guó)獲取更多詳細(xì)信息。

參考資料：

1. TRAVEO T2G Automotive MCU body controller entry architecture technical reference manual

2. Infineon an228680 secure system configuration in TRAVEO T2G family

3. Infineon TRAVEO T2G boot training

4. Infineon TRAVEO T2G device security training

5. Infineon TRAVEO T2G program and debug interface training

6. Configure Normal (Dead) Access Restriction on TRAVEO T2G MCU

7. IAR Embedded Workbench for Arm C-SPY Debugging Guide