AURIX™ TC3xx基于以太网的OTA研究与实现

admin 2022年11月23日22:54:47安全新闻评论7 views5947字阅读19分49秒阅读模式

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯


什么是OTA

AURIX™ TC3xx基于以太网的OTA研究与实现

OTA:Over-the-Air Technology,即空中下载技术。


OTA升级:通过OTA方式实现固件或软件的升级。通过无线通信方式实现软件升级,都可以叫OTA升级,比如无线以太网/蓝牙等。



HSM:Hardware Security Module 模块保证刷写的安全可靠。



OTA 系统功能示意如图1所示:

AURIX™ TC3xx基于以太网的OTA研究与实现

图1 系统功能示意图



几种常见的OTA实现方式比较及优势分析


在进行SOTA更新时,需要把旧的应用程序擦除,把新的应用程序写入。常规的实现方式需要分别开发BootLoader程序和APP程序,MCU上电先运行BootLoader,BootLoader根据情况选择是否跳转到APP和是否进行程序更新。具体来说有以下几种方式:


1

方案一

BootLoader中内置通讯协议栈,更新时,先向MCU发送指令使其跳转到BootLoader,之后先擦除旧APP,在接收新APP的同时直接将其写入Flash的APP运行地址处。该方案的优点是不需要额外的Flash暂存数据,缺点是BootLoader代码更复杂,且如果数据传输发生中断,旧的APP将不能被恢复。该方案更适合Flash容量较小的MCU。

2

方案二

更新程序时,由APP接收更新数据并暂存于Flash,再将APP更新标志位置位;MCU重启时,BootLoader检查更新标志位,如有效,则擦除旧的APP,再将暂存于Flash的新APP数据写入APP运行地址处。该方案的优点是更新数据的接收由APP完成,BootLoader不需要通讯协议栈,代码量更小,且数据传输中断时,原有APP不损坏。缺点是需要额外的Flash空间暂存更新数据。

3

方案三

在Flash中划分出两块相同大小的区域,分为A区和B区,都用来存放APP,但同一时间下只有一个区的APP是有效的,分别设置一个标志位标识其有效性。初始状态下先将APP写入A区,更新的时候,将新的APP写入B区,再把A区的APP擦除,同时更新两个区的有效性标志位状态。BootLoader中判断哪个区的APP有效,就跳转到哪个区运行。这种方法不需要重复拷贝APP数据,但最大的一个缺陷是AB区的APP程序运行地址不同,需要分别编译,从而使得可应用性大大降低。


注释:同时也可以将方案一和方案二相结合,即先采用方案一在BootLoader程序中内置通讯协议栈,更新时,先向MCU发送指令使其跳转到BootLoader。之后接收更新数据的时候,采用方案二的方法,先将数据暂存于Flash,待数据全部接收完成后再擦除旧的APP,写入新的APP。结合方案一和方案二的优点,且能在没有APP或APP损坏的状态下实现程序更新。缺点是BootLoader代码量更大,Flash空间占用更大。


英飞凌AURIX™ TC3xx实现上述SOTA方案拓扑图,如图2 所示:


AURIX™ TC3xx基于以太网的OTA研究与实现

图2  TC3xx实现SOTA方案常见拓扑图


经过上面的分析,可以看到几种常见方案都有其优缺点。但对于TC3xx这一类的MCU来说,Flash容量通常都很大,足够用,所以通常可以先把APP暂存下来再进行更新,防止数据传输中断导致APP不可用。


同时AURIX™ TC3xx也支持AB SWAP功能。以方案三为例:TC3xx系列如果使能SOTA功能,它的AB Bank Flash物理地址支持两种不同物理地址映射到同一个逻辑地址方式(MCU自动从两种物理地址映射一个虚拟地址),从而使得APP编译时不需要区分AB区,使用相同的逻辑地址即可,从而避免了方案三的硬伤,为我们提供了一种最佳的SOTA方案。接下来,我们将以方案三作为基础,结合实例详细讲解使用英飞凌AURIX™ TC3xx如何实现更优的SOTA。


推荐的OTA实现方式详解


TC3xx的Flash地址映射方式


首先, TC33x和TC33xED不支持AB SWAP功能,其他TC3xx设备都能够通过AB SWAP功能实现SOTA软件更新。


TC3xx 如果使能了AB SWAP功能,Flash大小实际能用的最少减半,TC3xx各系列AB SWAP能力如图3所示。


AURIX™ TC3xx基于以太网的OTA研究与实现

图3  TC3xx支持AB SWAP功能芯片系列及映射关系


启用SOTA功能时,通过将PFLASH拆分为两A和B两个Bank的能力,其中一组可以读取和执行BANK组,而另一组可以写入新代码。因此虽然单个物理PFLASH Bank中不支持同时读写(RWW)功能,但是通过AB分组支持未使用的BANK组提供安全可靠地对数据执行写入和擦除操作的能力来实现SOTA功能。


举例TC387 AB SWAP特性


为了方便理解英飞凌TC3xx  SOTA 功能,我们以TC387为例进行分析。TC387 PFLASH 10M空间映射关系,使能了AB  SWAP后,实际使用大小为4M,如图4所示:


AURIX™ TC3xx基于以太网的OTA研究与实现

图4 TC387 PFLASH 映射关系以及可用PFLASH大小


TC387的4M PFlash地址空间无论是A Bank还是B Bank, 对于用户来说,统一为虚拟地址0X80000000-0x803FFFFF 4M地址空间。但是刷写过程中, A bank实际操作物理地址0X80000000-0x803FFFFF 4M空间,B Bank 实际操作物理地址0X8060 0000-0x80AF FFFF 4M空间。


注意,如果使能了AB SWAP功能,TC3xx PFLASH就没有所谓Local PFLASH和Global PFLASH概念,统一理解为Global PFLASH。CPU访问PFLASH由之前的CPUx可以通过Local总线访问本PFLASHx提高访问速度,变为CPUx访问PFLASH只能通过Global总线从而稍微增加了CPU访问PFLASH时间。具体参考图5所示。


AURIX™ TC3xx基于以太网的OTA研究与实现

图5  SOTA功能使能后只能通过Global总线访问PFLASH


TC3xx的SOTA功能描述


当TC387 SOTA功能激活时,PFLash被划分为两部分A Bank和B Bank,一部分用来存储读取可执行代码(active bank),另一部分可用来写入(inactive bank)即刷写。当APP更新完毕后,两个部分互换,即切换上面两种地址映射方式。在标准模式下使用PF0-1作为active bank,后文称作组A,在Alternate模式下使用PF2-3作为active bank,后文称作组B,就可以实现第二章节所述方案三,且能写入完全相同的APP程序,以相同的地址(逻辑地址)进行运行。


需要注意的是,所有NVM操作都是通过DMU使用PFLASH的物理系统地址执行的,也就是说,NVM操作总是使用标准的地址映射,而不管选择使用哪种地址映射。“NVM操作”是一个术语,用于任何针对FLASH的命令,如程序、擦除等,但不包括读取代码。有关SOTA地址映射的参数在Flash中的UCB(User Configuration Block)中进行配置,在UCB中配置后,只有当下次MCU复位的时候才会更新配置,后文会有详细解释。


TC3xx的SOTA功能实现详解


实现SOTA功能所需关注配置项


英飞凌AURIX™ TC3xx实现SOTA功能主要需要配置如图6所示:


AURIX™ TC3xx基于以太网的OTA研究与实现

图6 SOTA功能所需关注配置项


1

SOTA模式使能UCB_OTP.PROCONTP.SWAPEN,该参数决定是否开启SOTA模式,在寄存器Tuning Protection Configuration中的SWAPEN进行配置,对应UCB定义如下:


使能AB SWAP功能的UCB定义(UCB32-39是ORIG, 40-47 COPY,建议全部都需要配置,内容可以一样。)如下:


AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现

2

配置UCB_SWAP_ORIG/UCB_SWAP_COPY中的UCB_SWAP_ORIG_MARKERLx/UCB_SWAP_COPY_MARKERLx,激活下一次reset需要运行的标准(0x00000055)还是备选(0x000000AA)地址。在寄存器SCU_SWAPCTRL中,可以查看当前激活的是标准还是备选地址。


我们参考下面关于SOTA功能实现的UCB,内容定义:


AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现

AURIX™ TC3xx基于以太网的OTA研究与实现

3

同1描述UCB块,只要使能了SOTA就会自动禁止CPU通过本地总线访问PFLASH功能,红色方框中寄存器值自动为1,即禁止。


AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现


SOTA功能实现时SWAP配置及流程


SOTA功能应用时:分系统刚启动时SWAP配置和系统运行时SWAP配置。


系统启动时SWAP配置:


如果SOTA功能使能,那么代码生成的文件至少需要刷进Active Bank。为了信息安全,建议通过UCB_PFLASH设置相应的sectors读写保护。


起始地址需要在UCB_BMHD配置好。


如果当前选择的是标准地址,那么0x00000055H需要写入UCB_SWAP的MARKERL0.SWAP这个域。然后通过把MARKERL0.SWAP的地址写入MARKERH0.ADDR予以确认;同时,将CONFIRMATIONL0.CODE的地址写入CONFIRMATIONH0.ADDR;同时,将57B5327FH写入57B5327FH予以确认。


UCB_ OTP一次性刷写保护以设置所需的OTP、WOP和标定保护。请注意,任何受OTP或WOP保护的扇区都不能使用新映像重新编程。


如果使能了HSM,主核代码和HSM代码需要同时刷入到AB bank的PFLASH S0-S39。


任何受OTP保护的HSM扇区都不能使用新映像重新编程。


最后,由于SWAPEN是在UCB_OTP里面设置的,所以要在下一个重启后SOTA的使能才有效。具体流程,参考图7所示:


AURIX™ TC3xx基于以太网的OTA研究与实现

图7 系统刚启动时SWAP配置及流程


系统运行时SWAP配置:


下面是程序正在运行时,需要实现软件SWAP到新程序的配置流程。


为了可以正确切换到新程序中,首先新的程序需要刷到对应的非激活的PFLASH Bank,如果非激活的BANK中对应的sectors使能了读写保护,那么刷写之前要先解保护。


切记:由于NVM特性,PFLASH 和DFLASH不能同时操作。因此,在应用程序中运行的EEPROM驱动程序和执行BOOT刷写之间需要进行一些协调。确保要写入的新程序所用的的PFLASH正确无误。例如:如果在PFLASH的SOTA重新编程/擦除期间出现硬故障,可以使用替换逻辑扇区功能(有关更多详细信息,请参阅DMU章节)。此功能允许用户使用“替换逻辑扇区”命令序列将故障逻辑扇区映射到冗余扇区。


由于UCB刷写次数的限制(100次),我们可以通过16 个SWAP配置依次使用来增加SWAP的次数(100*16=1600次)。方式流程如下图8所示:


注意:上一次用过的配置,CONFIRMATIONL(x-1) ) 和CONFIRMATIONH(x-1) 全写为1。

增加SWAP次数,可以通过UCB_SWAP_ORIG/UCB_SWAP_COPY配置如下寄存器:


AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现
AURIX™ TC3xx基于以太网的OTA研究与实现


增加SWAP次数方法流程如图8所示:


AURIX™ TC3xx基于以太网的OTA研究与实现

图8 增加SWAP次数方法流程


新的配置写好后,选择下一次要激活的程序,等下一次重启即运行新刷写的程序。详细流程如图9所示:

AURIX™ TC3xx基于以太网的OTA研究与实现

图9 系统运行时SWAP配置


总结

TC3xx  SWAP特性实现OTA功能后,特别注意以下五点:


  1. Flash大小实际能用的最少减半,详情参考图3。

  2. CPU访问Flash只能通过Global总线从而稍微增加了访问时间,参考图5。详细参数请查相应的数据手册。

  3. PFLASH的prefetch功能被禁止,同样会稍微影响整个系统的性能。

  4. 功能安全方面:Active Bank 的safety_endinit保护依旧存在,但是Inactive Bank的safety_endinit保护无效。

  5. 信息安全方面:Active Bank 和Inactive Bank同样受信息安全相关寄存器的保护。


至此,TC3xx  SWAP特性实现SOTA功能的配置和流程介绍完毕。


AURIX™ TC3xx基于以太网的OTA研究与实现

参考文献

https://mp.weixin.qq.com/s/QJlYSE4GpiPrVDJPZV_llQ

https://mp.weixin.qq.com/s/aOEhgbWbq7ywtxgAtze-YQ

https://mp.weixin.qq.com/s/taPZs75uq27AJ-FPW3Qhcw

https://mp.weixin.qq.com/s/1-roms6w0MUs3mxIfJLimQ

https://mp.weixin.qq.com/s/UMPV65JyjpUh3VW7gzuSFg

https://mp.weixin.qq.com/s/6oYEodXxaoXAxZcJSxlNpw

https://mp.weixin.qq.com/s/0hjCbkO_SVmFSQh66U9i5Q

https://mp.weixin.qq.com/s/hbAs50BTQMu1teVBSaVLVQ

https://mp.weixin.qq.com/s/a8b1hKZY-v7FPUiOBsd5WQ

AURIXTC3XX_um_part1_v2.0.pdf

AURIXTC3XX_um_part2_v2.0.pdf

WISS 2023 第四届世界物联网安全及数据安全治理峰会火热报名中 , 欢迎报名

AURIX™ TC3xx基于以太网的OTA研究与实现

更多文章

智能网联汽车信息安全综述

华为蔡建永:智能网联汽车的数字安全和功能安全挑战与思考

汽车数据合规要点

车载以太网技术发展与测试方法

车载以太网防火墙设计

SOA:整车架构下一代的升级方向

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员


END

AURIX™ TC3xx基于以太网的OTA研究与实现

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

 

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。


扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

AURIX™ TC3xx基于以太网的OTA研究与实现


谈思实验室,为汽车科技赋能,推动产业创新发展!

原文始发于微信公众号(谈思实验室):AURIX™ TC3xx基于以太网的OTA研究与实现

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月23日22:54:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  AURIX™ TC3xx基于以太网的OTA研究与实现 http://cn-sec.com/archives/1424066.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: