作为一个嵌入式软件攻城狮,提起库首先会想到静态库和动态库。静态库一般以.a为后缀,动态库以.so为后缀(Win系统.DLL)。
库类型 | 说明 |
---|---|
静态库 | 将库中的函数编译进可执行文件,优点是不需要外部库的依赖,缺点是文件会比较大,一旦需要更新就必须重新编译 |
动态库 | 动态库中的函数没有编译到可执行文件中,当执行到相关函数时才会被调用,优点是可执行文件小,动态库的改变不影响应用程序,升级比较方便 |
而作为一个单片机软件攻城狮,也会经常用到各种静态库,常见的C库有stdio,stdlib,string,time等,第三方库也有CMSIS_DSP_Library,mbedtls,60730等等。为什么要使用这些库呢?个人认为可能有以下几个原因:
系统解耦,可以减少软件模块之间的耦合,使软件结构更清晰。
加速编译,有些库源码有非常多的源文件,如果使用源码编译会大大增加编译时间。
保护知识产权,限定产品的使用范围。比如NXP提供的电机算法库rtcesl当然希望它运行在自己品牌的MCU。
MCU从产品实用角度上看,也是有动态库的需求,比如下面几种场景:
有些产品形态要求MCU的固件分为安全域和非安全域,安全域的逻辑一旦经过认证就无法进行升级,而非安全域的逻辑可以通过bootloader进行远程或本地的升级。比如新规电表,计量部分属于安全域不可更新,而其他固件则可以进行更新
有些软件/算法公司并不提供实际的硬件产品,和终端客户的合作模式如果按件收费,除非每个产品必须联网认证,就像我们所用的Windows系统激活,否则很难把控。比较好的做法是,将算法编译成二进制烧入芯片中,向终端客户提供芯片。
有些产品经常需要更新固件,受限于通讯速率,Flash大小的问题,希望可更新的固件越小越好。比如内置蓝牙的MCU,其协议栈往往在100KB左右,如果通过源码或者静态库的方式编译,则升级的时候就必须将协议栈也一并升级,即使协议栈本身没有任何修改,由于升级的固件比较大,所需要的更新时间也会非常长。如果通过动态库的方式提供协议栈,就没有这个问题。同时,如果客户要求产品的固件能回退,则Flash必须能放两份固件,如果应用代码超过20K,则最终固件很容易超过128K(APP+BLE),如果使用静态库,则选型时必须使用超过256K的产品(APP+BLE)x2,而动态库则可以使用256K以内的产品(APPx2+BLE)。用过Nordic蓝牙MCU的应该都懂。
今天我们就专门研究下如何在MCU上实现动态库的制作和加载。
首先我们先回忆下如何制作静态库,第三方的或者自己写的静态库,一般由三部分组成:
Item | Description |
---|---|
静态库源码及工程 | 实现软件/算法,编译输出选择Library |
编译后生成的.a/.lib | 编译器将源码编译为库文件,用于提供用户程序调用 |
库函数相关.h头文件 | 用户通过.h文件获取库函数接口 |
在MCU中制作的动态库则需要如下几部分内容:
Item | Description |
---|---|
源码及工程 | 实现软件/算法,编译输出选择应用程序 |
编译后生成.bin/.hex | 编译器将源码编译为二进制固件 |
库函数指针列表 | 用户通过结构体获取库函数接口 |
至于具体如何实现,现在以之前介绍的开源PLC为例:
规划内存,将MCU内部的Flash/RAM分出一部分留给库,具体做法需要修改链接文件中的相关地址
Flash
0x0000 ~ 0x1000 | Bootloader | 4K |
---|---|---|
0x1000 ~ 0x9000 | APP | 32K |
0xA400 ~ 0x29000 | Library | 126K |
0x29000 ~ 0x2A000 | plc_rte_sec | 1K |
RAM
0x1FFFC000~0x1FFFCFFF | APP | 4K |
---|---|---|
0x20000000 ~ 0x20000FFF | Shared | 4K |
0x20001000 ~ 0x20003FFF | Library | 44K |
定义函数指针列表结构体,用于提供给用户程序调用:
typedef struct
{
void (*get_time)(IEC_TIME *);
void (*set_timer)(unsigned long long,unsigned long long);
int (*check_retain_buf)(void);
void (*invalidate_retain_buf)(void);
void (*validate_retain_buf)(void);
void (*retain)(unsigned int,unsigned int,void *);
void (*remind)(unsigned int,unsigned int,void *);
void (*init_dio)();
void (*get_input)();
void (*set_output)();
/*************用户可以添加自己的RTE程序************************/
void (*usr_init)();
void (*usr_main)();
}
plc_rte_abi_t;
初始化结构体,并实现函数原型:
__root const plc_rte_abi_t plc_glue_rte @".plc_rte_sec" =
{
.get_time = PLC_GetTime,
.set_timer = PLC_SetTimer,
.check_retain_buf = plc_backup_check,
.invalidate_retain_buf = plc_backup_invalidate,
.validate_retain_buf = plc_backup_validate,
.retain = plc_backup_retain,
.remind = plc_backup_remind,
.init_dio = plc_init_dio,
.get_input = plc_get_input,
.set_output = plc_set_output,
/*************用户可以添加自己的RTE程序************************/
.usr_init = plc_user_init,
.usr_main = plc_user_main
};
void plc_set_output()
{
DO1_OUT = g_u8OutputData[0] & 0x01;
DO2_OUT = (g_u8OutputData[0] >> 1) & 0x01;
DO3_OUT = (g_u8OutputData[0] >> 2) & 0x01;
DO4_OUT = (g_u8OutputData[0] >> 3) & 0x01;
}
修改链接文件,将函数指针列表放到固定地址
place at address mem: 0x29000 { readonly section .plc_rte_sec };
编译并下载到MCU中
生成动态库后,用户只需要知道函数指针列表的地址和结构体列表即可。使用过程如下:
在用户工程中定义相同的结构体,并从固定地址中加载到
#define PLC_RTE_BASE 0x29000
plc_rte_abi_t *plc_curr_rte = (plc_rte_abi_t *)PLC_RTE_BASE;
通过函数指针执行相应代码即可
plc_curr_rte->init_dio();
plc_curr_rte->usr_init();
针对动态库的应用场景2,简单的卖芯片也只是防君子不防小人,因为终端客户可以通过JTAG/SWD把动态库读出来,有些芯片虽然支持禁用JTAG/SWD使能ISP的方式下载,但用户还是可以通过指针+地址的方式将库从芯片中读取出来,之后找芯片原厂克隆,针对这种攻击,普通的MCU往往是无力应付的,大部分的软件/算法公司是通过绑定加密芯片的方式来进行保护,但是除非加密芯片中有算法逻辑,否则这种保护也是徒劳的,因为不管是动态库,还是静态库,攻击者都可以通过反汇编看到关键的跳转点,从而bypass验证过程。
难道真的就没有更好的防守么?目前知道有两种方案:
NXP Kinetis系列产品在Flash中添加了FAC(Flash Access Control)功能,可以保证在可配置区域内只能被执行,而无法通过指针方式,DMA,JTAG/SWD,Ezport等接口获取
ARM Cortex-M33内核以及支持了TrustZone,可以将动态库放置在Secure区域,并设置NSC访问接口,具体做法和FAC类似