隨著系統(tǒng)安全日益成為嵌入式計(jì)算行業(yè)的焦點(diǎn)，至尊工程解決方案（X-ES）通過(guò)為客戶提供交鑰匙安全啟動(dòng)軟件包來(lái)應(yīng)對(duì)，該軟件包可用于恩智浦QorIQ和X-ES基于LayeScape處理器的硬件。

安全啟動(dòng)軟件由 X-ES 針對(duì)目標(biāo)處理器板預(yù)先定制，通過(guò)提供簡(jiǎn)化、易于開(kāi)發(fā)人員使用的實(shí)現(xiàn)包來(lái)加快開(kāi)發(fā)速度。配置后，安全啟動(dòng)是處理器驗(yàn)證系統(tǒng)映像是否受信任且可安全啟動(dòng)的過(guò)程。

恩智浦信任架構(gòu)提供安全保證

安全啟動(dòng)是恩智浦信任架構(gòu)的一個(gè)子集，是可信系統(tǒng)保證僅啟動(dòng)和執(zhí)行真實(shí)代碼的初始點(diǎn)。安全啟動(dòng)可以與信任架構(gòu)的其他組件一起使用，以提供全面、安全的軟件計(jì)算解決方案。信任體系結(jié)構(gòu)還包括內(nèi)存訪問(wèn)控制/強(qiáng)分區(qū)、持久存儲(chǔ)、安全狀態(tài)監(jiān)視、主密鑰、安全違規(guī)檢測(cè)和安全調(diào)試。所有信任架構(gòu)功能都支持X-ES的基于恩智浦QorIQ P系列、T系列和層景處理器的硬件。

安全啟動(dòng)可防止執(zhí)行不真實(shí)的代碼

安全啟動(dòng)提供對(duì)軟件有效性的硬件檢查，以確定可啟動(dòng)映像是否受信任。安全啟動(dòng)進(jìn)行這種區(qū)分的能力使其能夠防止 CPU 運(yùn)行不受信任的代碼，檢測(cè)和拒絕修改的安全配置值和設(shè)備機(jī)密，允許受信任的代碼在處理器處于安全狀態(tài)時(shí)使用特定于設(shè)備的一次性可編程主密鑰 （OTPMK），并防止從設(shè)備中提取敏感值。

為了使安全啟動(dòng)能夠正確驗(yàn)證代碼是否真實(shí)且可信，開(kāi)發(fā)人員必須首先對(duì)代碼進(jìn)行數(shù)字簽名。這是通過(guò)生成 RSA 公鑰和私鑰對(duì)來(lái)實(shí)現(xiàn)的，以啟用安全啟動(dòng)序列哈希檢查，以區(qū)分真實(shí)、受信任的代碼和不真實(shí)的代碼。X-ES通過(guò)提供恩智浦代碼簽名工具以及改進(jìn)的U-Boot引導(dǎo)加載程序，大大簡(jiǎn)化了客戶的這一過(guò)程，該引導(dǎo)加載程序增加了驗(yàn)證為X-ES處理器板簽名的映像的功能。開(kāi)發(fā)人員不依賴于恩智浦或X-ES進(jìn)行代碼簽名，并且能夠使用X-ES提供的軟件工具包自行完成此操作。

使用 X-ES 修改的安全啟動(dòng)軟件的另一個(gè)重要優(yōu)點(diǎn)是，開(kāi)發(fā)人員不需要對(duì)硬件有高度的熟悉程度即可開(kāi)始開(kāi)發(fā)，因?yàn)樘囟ㄓ谠O(shè)備的安全啟動(dòng)自定義已經(jīng)完成。

多種配置，滿足特定安全要求

X-ES 的安全引導(dǎo)軟件包支持客戶選擇單片映像（包括作為單個(gè)軟件包簽名的引導(dǎo)加載程序、操作系統(tǒng)和應(yīng)用程序），或選擇信任鏈，其中內(nèi)部安全引導(dǎo)代碼 （ISBC） 驗(yàn)證引導(dǎo)加載程序，引導(dǎo)加載程序驗(yàn)證操作系統(tǒng)，操作系統(tǒng)在允許系統(tǒng)軟件執(zhí)行代碼之前按順序驗(yàn)證應(yīng)用程序。雖然整體式映像僅使用單個(gè)數(shù)字簽名，但信任鏈能夠支持驗(yàn)證的每個(gè)階段的唯一 RSA 公鑰和私鑰對(duì)。

通過(guò)使用保密的信任鏈（支持啟動(dòng)到加密映像）進(jìn)一步強(qiáng)化系統(tǒng)和啟動(dòng)安全性。在此啟動(dòng)過(guò)程中，ISBC（內(nèi)部安全啟動(dòng)代碼）驗(yàn)證 X-ES U-Boot 代碼，然后后跟一個(gè)啟動(dòng)腳本，該腳本運(yùn)行以解封/解密操作系統(tǒng)映像，然后允許啟動(dòng)腳本將控制權(quán)傳遞給操作系統(tǒng)。

X-ES 業(yè)界領(lǐng)先的嵌入式硬件支持安全啟動(dòng)

X-ES提供業(yè)界領(lǐng)先的加固型嵌入式計(jì)算板卡，支持恩智浦QorIQ P系列、T系列和LayerScape處理器，每個(gè)處理器都設(shè)計(jì)有值得信賴的子系統(tǒng)，可在各種應(yīng)用中提供安全保證。

基于X-ES NXP處理器的主板目前提供九種COTS和行業(yè)標(biāo)準(zhǔn)外形規(guī)格，支持將安全啟動(dòng)與客戶選擇的操作系統(tǒng)（包括Linux、風(fēng)河VxWorks或綠山完整性）配對(duì)。在安全啟動(dòng)的支持下，這些處理器板能夠在受信任的環(huán)境中進(jìn)行高性能計(jì)算，提供無(wú)與倫比的可靠性和確認(rèn)，即只有受信任的OEM代碼在執(zhí)行。

審核編輯：郭婷