網(wǎng)絡安全嵌入應用中的BOOTLOADER*

龔昌平，譙通旭，張福健

（中國電子科技集團公司第三十研究所，四川 成都 610041）

網(wǎng)絡安全嵌入應用中的BOOTLOADER*

龔昌平，譙通旭，張福健

（中國電子科技集團公司第三十研究所，四川 成都 610041）

Bootloader是網(wǎng)絡安全嵌入軟件開發(fā)實現(xiàn)的第一步，也是最重要的一步，直接影響應用程序在設備加電后是否能夠正常加載運行，也影響設備從加電到正常運行間的時間，影響用戶的體驗。因此，討論Bootloader的基本屬性，并通過一個簡單的實例詳細描述引導加載過程，同時就如何滿足現(xiàn)場升級、在應用編程（IAP）等方面的應用需求進行闡述，以助于網(wǎng)絡安全嵌入式系統(tǒng)開發(fā)人員尤其是初學者深刻理解Bootloader。

網(wǎng)絡安全；嵌入式應用；引導加載器；現(xiàn)場升級；IAP

0　引 言

所謂Bootloader，即引導加載器，是網(wǎng)絡安全嵌入式系統(tǒng)中最先被運行的一小段程序。通過這小段程序初始化硬件設備，建立內(nèi)存空間映射圖，從而將系統(tǒng)的軟硬件環(huán)境帶到一個合適狀態(tài)，以便為最終調(diào)用應用程序準備好軟硬件環(huán)境。

常言道，“萬事開頭難”。編寫網(wǎng)絡安全嵌入式應用軟件也是如此。一些網(wǎng)絡安全嵌入式應用開發(fā)者，尤其是初學者，常常對其中的Bootloader感到困惑不解，更不用說如何編寫。因為網(wǎng)絡安全嵌入系統(tǒng)的Bootloader涉及底層硬件操作細節(jié)，所以編寫一個合適的Bootloader是一項具有挑戰(zhàn)性的任務。本文將以TI公司的DSP芯片為例，介紹編寫B(tài)ootloader的一些實現(xiàn)細節(jié)。

1　Bootloader的基本屬性

在具體闡述Bootloader的基本屬性前，先了解系統(tǒng)的引導過程［1-2］。以TI公司的C6000 DSP的ROM Boot方式為例，如圖1所示，DSP的引導過程如下：（1）上電復位后，CPU暫停運轉，其他部分則開始工作，此時EMIF的CE1空間自動配置為8/16/32位異步存儲器接口，并且CE1空間讀/寫時序自動配置為最大，然后通過DMA（或EDMA）方式將外部CE1空間的數(shù)據(jù)讀入到內(nèi)部程序空間地址0處，讀入數(shù)據(jù)的多少因芯片而異（C641x，C671x讀取1 kB，C620x讀取64 kB）。（2）CPU開始運轉，并執(zhí)行內(nèi)部程序空間地址0處的程序，先將外部應用程序數(shù)據(jù)讀入到DSP程序空間相應地址，然后跳轉到應用程序運行。

圖1　TI DSP引導過程

第一步由芯片自動完成，第二步由用戶完成。用戶編寫相應的C程序（C620x，容量64 kB，可以用C實現(xiàn)）或匯編程序（C641x，C671x，容量1 kB，只能用匯編實現(xiàn)），實現(xiàn)二級引導，即應用程序的裝載。

第二步通常也就是Bootloader要實現(xiàn)的目標。

在一個典型的網(wǎng)絡安全嵌入式開發(fā)環(huán)境中，目標硬件通過一個硬件仿真器與主機連接［3］。通常，還會有類似TI的CCS調(diào)試器，用于將程序加載到目標存儲器并執(zhí)行。用戶還可根據(jù)需要設置斷點，以及其他諸如跟蹤、剖析等事務。這些都使得開發(fā)者很容易快速實現(xiàn)和調(diào)試新的應用案例。

如果一個應用由C實現(xiàn)，并在非嵌入式開發(fā)環(huán)境中運行，程序看起來像是從主函數(shù)main開始執(zhí)行，程序的加載和初始化過程則隱藏在表象背后?？梢?，將把用戶的注意力從底層的系統(tǒng)寄存器初始化、堆棧的初始化、數(shù)據(jù)的初始化轉移到上層應用程序代碼，向用戶提供一個友好的用戶界面，將僅僅是調(diào)試器而非開發(fā)者的事情。

而在一個網(wǎng)絡安全嵌入應用開發(fā)環(huán)境中，程序通常從C環(huán)境的程序入口點開始執(zhí)行。程序入口點，TI的文檔通常稱為c_int00，實現(xiàn)堆棧、系統(tǒng)寄存器和數(shù)據(jù)存儲器的初始化后，跳轉到main［4］。由于與特定處理器相關的復位入口點（復位矢量）將觸發(fā)c_int00，故開發(fā)者通常會對c_int00作特殊處理。

Bootloader形式多樣，圖2展示了一個典型的網(wǎng)絡安全嵌入式C應用中的Bootloader。在這個例子中，RESET矢量跳轉到C環(huán)境入口函數(shù)c_int00，并在此進行堆棧和系統(tǒng)寄存器的初始化。此外，在運行前需初始化的C變量也從.cinit段復制到.bss段相應的位置［5］。最后，調(diào)用main（）函數(shù)。在這個簡單的例子中，Bootloader包括RESET復位矢量和c_int00，并假定Bootloader和應用程序都是從同一個非易失存儲器開始執(zhí)行。在一個稍微復雜的系統(tǒng)中，Bootloader在調(diào)用main（）前或許還會將應用程序復制到快速易失存儲器。

圖2　一個簡單的Bootloader

更復雜的Bootloader或許還會實現(xiàn)諸如系統(tǒng)診斷、調(diào)試功能、現(xiàn)場更新等。其中，系統(tǒng)診斷包括存儲器測試、外設測試、程序完整性校驗等。Bootloader也可能會包含簡單的調(diào)試功能模塊，它通常集成在用戶監(jiān)控程序模塊中。Bootloader還可能會處理現(xiàn)場更新程序、從外部存儲器下載應用程序等。如果擔心自己的產(chǎn)品被逆向工程，為保護自己的知識產(chǎn)權，用戶還可以在Bootloader中集成加密、解密代碼的功能。為了節(jié)約寶貴的存儲器資源，也可以選擇在Bootloader中進行資源壓縮、解壓縮。甚至為了以后方便資源管理，還可以集成文件系統(tǒng)。

2　應用實例

讓我們來看看一個包含上述所有基本屬性的Bootloader。這個例子同樣也會將應用程序從慢速非易失性存儲器復制到快速易失性存儲器，以加快應用程序的執(zhí)行速度。

這里以TI的DSP為例，目標處理器是TI的TMS320C6205 DSP。它使用分離的程序和數(shù)據(jù)存儲器，即典型的哈佛結構［6-8］。在這個簡單的系統(tǒng)中，外部存儲器是位于CE1空間的慢速FLASH，內(nèi)含Bootloader和應用程序的拷貝。引導方式選擇C6205的ROM Boot方式，存儲器映射選擇Memory Map 1，即地址0處于片內(nèi)空間，這也是網(wǎng)絡安全嵌入式應用中的首選應用方式。實際上，TI在后續(xù)C6000芯片的設計中，完全摒棄了存儲器映射方式的選擇，直接將地址0x00000000定位于片內(nèi)（例如C6416）。

應用程序代碼用C語言編寫。此例中，修改TI C6205 DSP的庫函數(shù)c_int00，以此作為Bootloader，并完成以下功能：初始化堆棧；設置寄存器；從.cinit中初始化數(shù)據(jù)，將應用程序從慢速的外部FLASH復制到快速的程序RAM（片內(nèi)或片外），然后跳轉到main（）函數(shù)［9］。

本例子的鏈接命令文件如下［10］：

開始兩行分別定義堆、?？臻g的大小為16 kB、32 kB。接下來，MEMORY偽指令分配存儲空間。這里，把片內(nèi)程序空間（共64 kB）分為4個部分：IPRAM_VECT（中斷矢量），IPRAM_BOOT（RTS庫中的boot代碼），IPRAM_RTSL（本程序中用到的RTS庫代碼）和IPRAM（其余運行于片內(nèi)的程序）；把CE1空間分為FLASH0～FLASH5六部分：片內(nèi)程序、保留、片外程序、.cinit段、.const段、.switch段；接下來，SRAM_P則定義了片外程序的運行空間，而IDRAM則是64 k字節(jié)的片內(nèi)數(shù)據(jù)空間，所有的全局變量、局部變量、常數(shù)等均在此空間內(nèi)。偽指令SECTIONS將程序中用到的各個段分配至MEMORY定義的相應區(qū)域內(nèi)，從而完成所有段的映射。開始于CE1空間（FLASH0）的首0x200字節(jié)存放的是中斷矢量表，上電時將被搬移至IPRAM_VECT區(qū)域。FLASH0的其余部分以及FLASH1～FLASH5則包含c_int00和C程序的拷貝，上電時將被搬移到IPRAM_BOOT、IPRAM_RTSL、IPRAM、SRAM_P，隨后應用程序開始運行。最后，IDRAM中包含堆棧和C變量，存于C6000的片內(nèi)RAM中。需要注意的是，這些變量和堆棧也是由c_int00負責初始化的。

在鏈接命令文件中，應特別注意LOAD和RUN的使用。當編譯C或匯編源文件時，生成的目標文件總是可重定位的。因此，在鏈接前是不知道絕對地址的［11-14］。一個目標文件可以臨時加載到存儲器的任何區(qū)域，但在運行前必須拷貝到RUN運行時的絕對地址處，否則程序的運行不可預知。LOAD

用于說明程序存儲在哪，但并不說明程序的運行地址。RUN

則說明程序的運行地址，也被鏈接器用于地址解析。如果程序的加載地址和運行地址不同，程序在運行前應從加載地址拷貝到運行地址。通常程序的運行地址和加載地址相同，但在這個特定的例子中，由于應用程序在運行前必須從慢速存儲器搬移到快速存儲器，因此這兩個地址必定不同，而程序拷貝工作由Bootloader來完成。

對于中斷矢量表，復位矢量只是簡單跳轉到c_int00入口函數(shù)，不處理其他中斷：

這個修改后的c_int00函數(shù)必須首先初始化堆棧和需要初始化的DSP寄存器，然后把應用程序從FLASH拷貝到片外程序RAM，使用.cinit表初始化數(shù)據(jù)項，最后調(diào)用main（）函數(shù)。

注意，應盡量把對速度要求較高的程序段放在片內(nèi)，同時把堆棧、變量也放在片內(nèi)，以加快程序的運行速度。

在編寫鏈接命令文件時，要注意程序和數(shù)據(jù)的地址空間安排。通常，數(shù)據(jù)區(qū)域不能存放程序，反之亦然。正如本例的鏈接命令文件，C6205的數(shù)據(jù)空間和程序空間并不重疊。

3　思路拓展

幾乎TI所有的DSP都內(nèi)置有基于ROM的Bootloader，用于將程序代碼從片外拷貝到DSP的程序空間。代碼加載接口靈活多樣，可使用McBSP、SPI、HPI、I/O、GPIO和并行存儲器接口等［15］。使用GPIO非常方便、通用、靈活，但缺點是速度較慢且獨占CPU。HPI和并行存儲器接口的速度較快，但靈活性稍差。激活Bootloader的機制因器件而異，但所有的器件通常都會有“檢測外部處理器引腳的數(shù)字狀態(tài)”“外部并行數(shù)據(jù)接口”“I/O總線上某個特殊數(shù)字序列”等常規(guī)機制。

在大多數(shù)網(wǎng)絡安全嵌入式環(huán)境中，Bootloader必須具備魯棒性，在某些情況下甚至只許成功，不能失敗。一個好的設計思路就是像圖3那樣，將Bootloader分成幾個獨立的扇區(qū)［10］。由于可塊引導FLASH的每個扇區(qū)能夠單獨鎖定，因此非常適合這種場合。

引導扇區(qū)包含中斷矢量表和引導代碼，出廠時被編程到非易失性存儲器。加載器分為兩個扇區(qū)：主加載器扇區(qū)和二級加載器扇區(qū)。每個扇區(qū)均有CRC校驗值。出廠時，設備默認配置為主加載器。

圖3　多級引導扇區(qū)（魯棒性）

二級加載器扇區(qū)出廠時為保留空間，無初始化數(shù)據(jù)。如果設備需要新的加載器（即加載程序），將由主加載器寫到二級加載器扇區(qū)。應用程序扇區(qū)包含應用程序代碼，將由主加載器或二級加載器現(xiàn)場加載至非易失性存儲空間（即現(xiàn)場更新）。

系統(tǒng)復位時，引導扇區(qū)進行冗余檢測、硬件特定的系統(tǒng)初始化。引導扇區(qū)基于CRC完整性校驗來確定激活哪個加載器，每個加載器扇區(qū)都存儲有CRC校驗值。首先檢驗主加載扇區(qū)的完整性校驗，若校驗通過，則使用主加載扇區(qū)；若校驗未通過，轉為校驗二級加載扇區(qū)的校驗值，若校驗通過，使用二級加載扇區(qū)。然后，選擇的加載器扇區(qū)負責應用程序的完整性校驗，將應用程序加載到易失性存儲器，并跳轉到應用程序的入口點。

軟件是否可在線更新成為衡量設備升級靈活性的重要指標。應用編程（IAP）是指當固件駐留在系統(tǒng)中時，可將固件寫至非易失性存儲器。常用的方法是，首先加載設備加載程序到非易失性目標存儲器，隨后就由設備加載程序負責下載外部應用程序，并將其編程到目標系統(tǒng)的非易失存儲器。TI的許多DSP都內(nèi)置有基于ROM的Bootloader，利用這個內(nèi)置的Bootloader將很容易實現(xiàn)上述目標。通常的思路如下：（1）完成系統(tǒng)初始化；（2）選擇檢測程序更新條件。有四種方式對程序更新進行檢測：

方式1：設置定時器。時限未到，可以進行程序更新；時限到，則檢查應用程序標志，如果有應用程序且校驗和正確，則跳轉到應用程序執(zhí)行；否則重置定時器，開始新一輪檢測。（前提條件：有硬件定時器）

伊泰普水電站當時初步選定的單機容量為700 MW，對其向上取700的倍數(shù)，分別得到12 600 MW和14 000 MW。所以伊泰普水電站的初期(1991年)裝機容量為12 600 MW，并預留了擴建2臺700 MW機組的機坑。到2007年伊泰普水電站總裝機容量從12 600 MW增加到14 000 MW，年發(fā)電量為900億kW·h。該數(shù)據(jù)與表2中數(shù)據(jù)基本一致，驗證了該方法的可靠性。

方式2：檢測外部按鍵是否按下。如果按鍵按下，執(zhí)行程序更新；否則，檢查應用程序標志，如果有應用程序且校驗和正確，則跳轉到應用程序執(zhí)行，否則重新檢測按鍵，開始新一輪檢測。（前提條件：有按鍵）

方式3：方式1和方式2的綜合，設置定時器。時限未到，循環(huán)檢測按鍵是否有效，并進行程序更新；時限到，則檢查應用程序標志，如果有應用程序且校驗和正確，則跳轉到應用程序執(zhí)行；否則重置定時器，開始新一輪檢測。（前提條件：按鍵+定時器）

方式4：在主循環(huán)中設置一個變量進行計數(shù)。每循環(huán)一次變量加1，計數(shù)值未到，可進行程序更新；計數(shù)值到，則檢查應用程序標志，如果有應用程序且校驗和正確，則跳轉到應用程序執(zhí)行；否則計數(shù)值清0，開始新一輪檢測。

上述過程結束后，如果有應用程序，Bootloader將把程序的控制權交給應用程序。考慮到片內(nèi)RAM資源有限、用戶習慣且程序編寫方便，通常我們把Bootloader和應用程序的入口地址都安排在地址0處。因此，在任意時刻，有且僅有一個程序處于執(zhí)行狀態(tài)。

Bootloader如何將應用程序搬移到地址0并運行？需要搬移全部應用程序嗎？以TI的C6000芯片為例，先使用芯片內(nèi)置的DMA/EDMA完成固定長度的程序代碼搬移（C641x，C671x：1KB，C620x：64KB-Len），隨后由剛才搬移的程序?qū)⒂嘞碌某绦虼a搬移至合適地址。切記，完成DMA/EDMA程序搬移的這段程序（假設長度為Len）的地址空間，不能與被其搬移的程序地址空間重疊，否則程序的執(zhí)行行為不可預知。

在一些網(wǎng)絡安全嵌入式系統(tǒng)中，非易失存儲器的容量可能比易失存儲器的容量小得多。針對此種情況，可在Bootloader中集成信源編碼（即壓縮、解壓縮）：代碼先經(jīng)壓縮，然后存放到FLASH上；使用前解壓縮FLASH上的代碼，再加載到程序RAM空間并運行。此外，如果用戶希望保護自己的知識產(chǎn)權，防止競爭對手COPY技術成果，在Bootloader中可增加加密、解密功能。

4　結 語

本文概要介紹Bootloader的方方面面，并以TMS320C6205為例，對怎樣為網(wǎng)絡安全嵌入式應用寫一個Bootloader進行詳細闡述，希望對網(wǎng)絡安全嵌入式系統(tǒng)開發(fā)人員尤其是初學者有所幫助。

［1］ TI.TMS320C620x/C670x DSP Boot Modes and Configuration Reference Guide［J］.Application Note，2003，1（01）：1-23.

［2］ TI.TMS320C6414，TMS320C6415，TMS320C6416 Fixed-point Digital Signal Processors［J］.Application Note，2005，1（01）：75.

［3］ TI.TMS320C6000 Assembly Language Tools User's Guide［J］.Application Note，2006，1（01）：61-125.

［4］ TI.TMS320C6000 Optimizing C Compiler User's Guide［J］.Application Note，2011，1（01）：183-243.

［5］ TI.TMS320C6000 CPU and Instruction Set Reference Guide［J］.Application Note，2000，1（01）：644-670.

［6］ TI.TMS320C6000 Peripherals Reference Guide ［J］. Application Note，2006，1（01）：1-11.

［7］ TI.TMS320C62x/C67x Programmer's Guide ［J］. Application Note，2011，1（01）：421-432.

［8］ TI.TMS320C6000 DSP Enhanced Direct Memory Access（EDMA） Controller Reference Guide［J］.Application Note，2005，1（01）：117-163.

［9］ TI.TMS320C620x/C670x DSP Program and Data Memory Controller/Direct Memory Access （DMA） Controller Reference Guide［J］.Application Note，2004，1（01）：11-37.

［10］ Stanford Hudson.Embedded Apps Need Boot-loaders Too［J］.Embedded Edge，2002，3（02）：20-26.

［11］ TI.TMS320C54x DSP Reference Set Volume 1：CPU and Peripherals［J］.Application Note，1999，1（01）：60-89.

［12］ TI.TMS320C54x DSP Reference Set，Volume 2：Mnemonic Instruction［J］.Application Note，1998，2（01）：45-116.

［13］ TI.TMS320C54x DSP Reference Set Volume 3：Algebraic Instruction Set［J］.Application Note，1998，3（01）：332-344.

［14］ TI.TMS320C54x DSP Reference Set Volume 4：Applications Guide［J］.Application Note，1996，4（01）：165-185.

［15］ TI.TMS320C54x DSP Reference Set Volume 5：Enhanced Peripherals［J］.Application Note，1999，5（01）：125-181.

龔昌平（1972—），男，碩士，工程師，主要研究方向為信息安全與通信保密；

譙通旭（1963—），男，學士，高級工程師，主要研究方向為密碼學；

張福?。?989—），男，碩士，工程師，主要研究方向為信息安全與通信保密。

Bootloader in Embedded Application of Network Security

GONG Chang-ping， QIAO Tong-xu， ZHANG Fu-jian
（No.30 Institute of China Electronics Technology Group Corporation， Chengdu Sichuan 610041， China）

The design and implementation of Bootloader is the first and most important step， in a embedded environment of network security， this directly influences program loading and running of the devices after power-on， and also affects boot time of the devices and thus the user's experiences. This article discusses some basic properties of Bootloader， describes in detail the Bootloader process via a simple example， and makes an elaborate interpretation of how to satisfy such application demands as field upgrade and IAP（In-Application Programming）. All this could help the developer of network security embedded system， especially the beginner， deeply understand Bootloader.

network security； embedded application； Bootloader； field upgrade； IAP

TN918.1

A

1002-0802（2016）-10-1392-05

10.3969/j.issn.1002-0802.2016.10.024

2016-06-19；

2016-09-24

data：2016-06-19；Revised data：2016-09-24