伴隨著信息化的發展，安全，越來越成為人們關注的重點。對于芯片來說，安全主要分為三個部分，安全加密啟動、保護用戶機密和防攻擊機制。

安全加密啟動是芯片是否正常工作的重中之重。原理其實很好理解，就是需要將啟動鏡像進行加密或簽名，然后使用開發板的ROM程序進行解密或驗簽，再引導啟動源鏡像。

通常，這個過程我們內部工程師會借助一些恩智浦開發的小工具來完成。例如，blhost，elftosb，cst，等（在恩智浦官網都可以下載到）。這些工具適合一些資深開發者使用，通過編寫Bash腳本進行集成，需要一定的編程基礎。

這些操作相對復雜，大多沒有GUI，如果第一次接觸會比較頭疼。為了方便客戶調試及使用，恩智浦首先將這些工具集合在一起，借助Python開發了一個可以直接使用大部分小工具的軟件——Secure Provisioning SDK（SPSDK：Introduction — SPSDK documentation）。

該工具最大的好處就是可以直接通過pip安裝，Python環境也相對來說比較容易上手。

為了再簡化操作流程，恩智浦又基于SPSDK和上述小工具開發了一個GUI安全啟動操作軟件——MCUXpresso Secure Provisioning Tool（SEC：MCUXpresso Secure Provisioning Tool | NXP Semiconductors）。

下面對這個軟件進行一個簡要的介紹。

最小安裝需求

? Microsoft（R） Windows（R） 10 （64-bit）

? Mac OS X （11.6 Big Sur）

? Ubuntu 22.04 LTS 64 bit， 安裝 GNOME 和 OpenSSL 1.1.1f 31 ［3月 2020］

? 4 GB RAM

? 分辨率 1366 x 768

安裝流程（Windows）

SEC軟件可以直接在恩智浦官網下載，支持Windows、Mac和Linux平臺。下載Windows安裝包后雙擊打開。

圖1 SEC工具安裝界面

默認安裝路徑為C： xpMCUX_Provi_v5。軟件創建的默認工作空間位于C:Users “user name” 文件夾中。

使用界面

SEC 提供簡單且友好的用戶界面。如果有選項不可用，則顯示為灰色。

主界面為生成啟動鏡像界面，可以選擇源鏡像和SRK（Super Root Key）。如果生成鏡像的準備工作還未完成，左上角的“Build image”旁會顯示紅色的“X”。如果完成，則為下圖所示的綠色“√”。

此時，可以單擊右下角的”Build image”生成啟動鏡像。“OTP configuration”可以獲取當前連接芯片的fuse信息。“IEE encryption”可以配置需要保護的區域和密鑰。

圖2 SEC工具生成鏡像界面

燒寫鏡像界面列出了燒寫所需的文件，都是自動生成。可以通過“Start flashloader”測試芯片是否能正常啟動flashloader。點擊右下角“Write image”燒寫鏡像到選定flash中。關于Flash的設置可以在工具欄中“Edit”進行配置。

圖3 SEC工具燒寫鏡像界面

PKI密鑰樹管理界面可以生成X509 v3標準的密鑰對和證書。保存在工作空間目錄的keys和crts中。目前只支持RSA，ECC會在V6版本進行支持。

圖4 SEC工具PKI密鑰樹管理界面

命令行操作

此外，對于習慣使用指令操作的用戶，SEC工具還提供了命令行操作的選項。運行c:/nxp/MCUX_Provi_v5/bin/securep.exe -h查看操作支持。

對于SEC工具的更詳細的操作和使用請查看C： xpMCUX_Provi_v5MCUXpresso Secure Provisioning Tool.pdf

審核編輯 ：李倩