测试DFU时候,会生成并下载Bootloader Settings文件,以设置应用程序有效性,本文介绍Bootloader Settings文件的技术细节。

1. 基本信息

Bootloader Setting Page是指Bootloader工程开辟的一段Flash空间,其中保存了固件镜像的信息和DFU进度信息,这些信息称为Bootloader Settings。为了表述方便,Bootloader Settings Page或Bootloader Settings都简称为Settings。

对于nRF52系列芯片,Settings的位置如下图

nRF52832芯片的Flash大小为512 kB(0x0008 0000),Settings位于最顶端(0x0007 F000 – 0x0008 0000),大小为1 Page(4 kB)。

知道了Settings的位置,即可通过nrfjprog --readcode flash.hex读出芯片Flash数据,然后定位到0x0007 F000处读取Settings内容。

在Settings的下方是MBR Param Storage,它的长度也是4 kB,地址为:0x0007 E000 – 0x0007 F000。这块区域用于存放Settings的备份。

infocenter上得知,Bootloader Settings信息包含以下内容:

  • current firmware – size, CRC-32
  • pending firmware – size, CRC-32
  • progress of the firmware update
  • progress of the firmware activation
  • current firmware versions (application and bootloader)
  • transport-specific data

正常执行DFU升级过程中,Bootloader接收固件镜像并会自动计算这些信息,然后写入Flash。

也可以利用固件镜像app.hex手动生成Settings文件(settings.hex),命令如下:

nrfutil settings generate --family NRF52 --no-backup --application app.hex --application-version 0x01 --bootloader-version 0x01 --bl-settings-version 0x02 settings.hex

–no-backup表示不使用备份区域,对于SDK 12.0 ~ SDK 15.0,应该使用该参数以实现兼容性,对于SDK 15.1以上版本,应该忽略该参数。如果不使用该参数,则会在MBR Param Storage区域内保存Settings Page的副本,生成的settings.hex中能够看到0x7E000 – 0x7F000 的内容与0x7F000 – 0x80000的内容相同。如果使用该参数,则不保存备份副本,settings.hex中也没有0x7E000 – 0x7F000的内容。

–bl-settings-version只有两个可选项:0x01和0x02。对于SDK 12.3 ~ SDK 15.2,应该使用0x01,对于SDK 15.3应该使用0x02。如果使用0x02,会在Settings信息中引入 boot_validataion_crc等信息,这些额外的数据导致两个版本不兼容。具体差异其实很简单,打开bl_dfu_sett.py文件,找到BLDFUSettingsStructV2 与 BLDFUSettingsStructV1的类定义,一看便知。

更多的内容请参考官方文档:https://github.com/nordicsemiconductor/pc-nrfutil。

使用以下命令查看Settings.hex的内容:

nrfutil settings display settings.hex

Settings.hex 的内容形式如下:

Bootloader DFU Settings:
* File:                     settings.hex
* Family:                   nRF52
* Start Address:            0x0007E000
* CRC:                      0x740EFA00
* Settings Version:         0x00000002 (2)
* App Version:              0x00000001 (1)
* Bootloader Version:       0x00000001 (1)
* Bank Layout:              0x00000000
* Current Bank:             0x00000000
* Application Size:         0x0000EC84 (60548 bytes)
* Application CRC:          0x9B8FC175
* Bank0 Bank Code:          0x00000001
* Softdevice Size:          0x00000000 (0 bytes)
* Boot Validation CRC:      0xD0E62C99
* SD Boot Validation Type:  0x00000000 (0)
* App Boot Validation Type: 0x00000001 (1)

用文本工具打开Settings.hex文件,其内容如下:

:020000040007F3
:10F0000000FA0E7402000000010000000100000080
:10F01000000000000000000084EC000075C18F9B20
:10F0200001000000000000000000000000000000DF
:10F0300000000000000000000000000000000000D0
:10F0400000000000000000000000000000000000C0
:10F0500000000000000000000000000000000000B0
:10F0600000000000000000000000000000000000A0
:10F070000000000000000000000000000000000090
:10F080000000000000000000000000000000000080
:10F090000000000000000000000000000000000070
:10F0A0000000000000000000000000000000000060
:10F0B0000000000000000000000000000000000050
:10F0C0000000000000000000000000000000000040
:10F0D0000000000000000000000000000000000030
:10F0E0000000000000000000000000000000000020
:10F0F0000000000000000000000000000000000010
:10F1000000000000000000000000000000000000FF
:10F1100000000000000000000000000000000000EF
:10F1200000000000000000000000000000000000DF
:10F1300000000000000000000000000000000000CF
:10F1400000000000000000000000000000000000BF
:10F1500000000000000000000000000000000000AF
:10F16000000000000000000000000000000000009F
:10F17000000000000000000000000000000000008F
:10F18000000000000000000000000000000000007F
:10F19000000000000000000000000000000000006F
:10F1A000000000000000000000000000000000005F
:10F1B000000000000000000000000000000000004F
:10F1C000000000000000000000000000000000003F
:10F1D000000000000000000000000000000000002F
:10F1E000000000000000000000000000000000001F
:10F1F000000000000000000000000000000000000F
:10F2000000000000000000000000000000000000FE
:10F2100000000000000000000000000000000000EE
:10F2200000000000000000000000000000000000DE
:10F2300000000000000000000000000000000000CE
:10F2400000000000000000000000000000000000BE
:10F25000000000000000000000000000992CE6D033
:10F26000000000000000000000000000000000009E
:10F27000000000000000000000000000000000008E
:10F28000000000000000000000000000000000007E
:10F29000000000000000000000000000000000006E
:10F2A000000175C18F9B00000000000000000000FD
:10F2B000000000000000000000000000000000004E
:10F2C000000000000000000000000000000000003E
:10F2D000000000000000000000000000000000002E
:10F2E000000000000000000000000000000000001E
:10F2F000000000000000000000000000000000000E
:10F3000000000000000000000000000000000000FD
:10F3100000000000000000000000000000000000ED
:03F32000000000EA
:00000001FF

Intel hex文件的格式解析请参考:https://en.wikipedia.org/wiki/Intel_HEX 。

第一行为地址偏移,偏移量为0x0007,所以第二行的实际地址为0x0007 F000,这正是Settings的Flash起始地址。

倒数第二行为数据末尾行,可知数据总量为0xF322 + 1 = 803,即Settings.hex 的有效数据总数是803。

有效数据的排列顺序根据BLDFUSettingsStructV2 的定义而来, BLDFUSettingsStructV2 的内容如下:

    def __init__(self, settings_address):
        self.bytes_count = 803 # Entire settings page
        self.crc                  = settings_address + 0x0
        self.sett_ver             = settings_address + 0x4
        self.app_ver              = settings_address + 0x8
        self.bl_ver               = settings_address + 0xC
        self.bank_layout          = settings_address + 0x10
        self.bank_current         = settings_address + 0x14
        self.bank0_img_sz         = settings_address + 0x18
        self.bank0_img_crc        = settings_address + 0x1C
        self.bank0_bank_code      = settings_address + 0x20
        self.sd_sz                = settings_address + 0x34
        self.init_cmd             = settings_address + 0x5C

        self.boot_validataion_crc = settings_address + 0x25C
        self.sd_validation_type   = settings_address + 0x260
        self.sd_validation_bytes  = settings_address + 0x261
        self.app_validation_type  = settings_address + 0x2A1
        self.app_validation_bytes = settings_address + 0x2A2

        self.last_addr            = settings_address + 0x322

首先看到bytes_count=803,这与上面的计算一致。

第一个字段为CRC,本文中CRC为0x740EFA00,换成Little Endian后为
00 FA 0E 74。紧挨着下一个字段的偏移地址为4,所以本字段大小为4字节。

第二个字段为Sett_ver,本文中该值为1,通过下个字段的偏移量得知Sett_ver长度也是4。

以此类推,可以分析大多数字段。

找到sd_sz,该字段与上一字段之间差距为20字节,并不是bank0_bank_code长度是20字节,而是这之间还填充了两个字段:bank1 {img_sz, img_crc, bank_code}和write_offset,二者共16字节,加上bank0_bank_code 所占4字节,共20字节。

bank1与write_offset定义在Bootloader工程中的nrf_dfu_bytes.h -> nrf_dfu_settings_t结构体中。

打开nrf_dfu_settings_t的定义:

typedef struct
{
    uint32_t            crc;
    uint32_t            settings_version;
    uint32_t            app_version;
    uint32_t            bootloader_version;
    uint32_t            bank_layout;
    uint32_t            bank_current;
    nrf_dfu_bank_t      bank_0;
    nrf_dfu_bank_t      bank_1;
    uint32_t            write_offset;
    uint32_t            sd_size;
    dfu_progress_t      progress;
    uint32_t            enter_buttonless_dfu;
    uint8_t             init_command[INIT_COMMAND_MAX_SIZE];
    uint32_t            boot_validation_crc;
    boot_validation_t   boot_validation_softdevice;
    boot_validation_t   boot_validation_app;
    boot_validation_t   boot_validation_bootloader;
    nrf_dfu_peer_data_t peer_data;
    nrf_dfu_adv_name_t  adv_name;
} nrf_dfu_settings_t;

它与上面的 BLDFUSettingsStructV2 基本对应。

观察init_command,它是一个数组,数组长度为512!init_command 的内容请参考上一篇文章“弄懂Init Packet”。

再观察BLDFUSettingsStructV2的init_cmd与boot_validataion_crc的偏移量,二者之差恰好等于512。

后面四个字段与Validation有关,通常不专门设置。值得注意的是,默认情况下,app_validation_type=1,app_validation_bytes=bank0_img_crc,所以在hex文件中看到了一个75C18F9B。

至此,我们完整的分析了Settings.hex 的内容细节。

Bootloader启动时候,会检查Settings中以下信息:

  • bank0_bank_code
  • bank0_img_crc

如果二者都正确,则执行跳转进入Application,否则驻留在Bootloader中执行DFU。

(完)

Nordic Secure DFU拥有签名(Signature)机制,制作升级包时会生成Init Packet,它记录了待升级文件的元信息(Meta)及其数字签名。

在执行Secure DFU过程中,主机程序先发送Init Packet,签名验证通过后再发送Firmware Image,以保证固件的合法性。

1. 基本信息

使用pc-nrfutil生成升级压缩包的命令为:

nrfutil pkg generate --application app.hex --application-version 0x01 --hw-version 52 --sd-req 0xB6 --key-file private_key.pem dfu_pkg.zip

解压dfu_pkg.zip,可以看到三个文件:

  • app.bin
  • app.dat
  • manifest.json

manifest.json是清单文件,记录了dfu_pkg.zip中包含哪些文件。 app.bin是app.hex去掉地址信息后的二进制文件。 app.dat就是Init Packet的二进制形态。

infocenter上得知,Init Packet中包含以下内容:

  • Image type & size & hash (APP, BTL, SD or combination)
  • Version of FW/HW
  • sd_req
  • Signature type & bytes

通过pc-nrfutil命令可以查看这些信息内容:

nrfutil pkg display dfu_pkg.zip

内容截取如下:

$ nrfutil pkg display dfu_pkg.zip

DFU Package: <dfu_pkg.zip>:
|
|- Image count: 1
|
|- Image #0:
   |- Type: application
   |- Image file: app.bin
   |- Init packet file: app.dat
      |
      |- op_code: INIT
      |- signature_type: ECDSA_P256_SHA256
      |- signature (little-endian): 1e6011c9f3787641d920bd0d9f7c41b42f9c05fd9673552c626921f99512f616169533bd9d9c0d4d00a4ba626890d7ab4efbf1d8962afe7bafb96c89dd186fc5
      |
      |- fw_version: 0x00000001 (1)
      |- hw_version 0x00000034 (52)
      |- sd_req: 0xB6
      |- type: APPLICATION
      |- sd_size: 0
      |- bl_size: 0
      |- app_size: 60548
      |
      |- hash_type: SHA256
      |- hash (little-endian): 2a23069c597cd72a15c2a0a24a1a09bbdbbbcab7fa1b68de119a871436d84cc2
      |
      |- boot_validation_type: ['VALIDATE_GENERATED_CRC']
      |- boot_validation_signature (little-endian): ['']
      |
      |- is_debug: False

其中,Hash是对app.bin文件执行的hash结果。

下载openssl命令行工具,在cmd中执行openssl dgst -sha256 app.bin,可获得app.bin文件的hash值。注意,openssl工具获得的hash是big-endian,而nrfutil显示的hash是little-endia,二者数据顺序相反,数据内容相同。

Signature不是根据app.bin文件生成的签名!对于相同的app.hex,每次执行命令生成的签名都不相同。

wikimedia.org的这张图描绘了数字签名校验过程:

数字签名验证过程需要两个步骤:

  1. 使用原始数据文件的Hash值和私钥,生成数字签名。
  2. 对方收到数据明文后,计算Hash值(hash-1)。根据数字签名和公钥生成Hash值(hash-2)。比较二者,如果相等则签名验证通过。

Init Packet将固件镜像的元信息和Hash值放在一起形成结构体,取名为Init Command,再将Init Command序列化(Serialize)成二进制数据,Signature是根据Init Command的二进制数据内容生成的数字签名。

(我希望能够通过openssl模拟生成Signature,然后再对Hash进行验证,但是一直未能操作成功。)

2. 二进制文件

将结构化的数据序列化,Nordic Secure DFU选择了Protocol Buffer的嵌入式方案nano-pb。在许多场景下,Protocol Buffer简写为ProtoBuf或pb。

Protocol Buffer解决了不同平台序列化数据的互通性。比如pc-nrfutil是一个Python工具,它所生成的Init Packet要能够被C语言程序读取,那么二者应遵守相同的约定,包括数据类型定义、数据存储形式、复杂数据描述等。

Protocol Buffer定义了这样一套约定,以*.proto文件保存。不同平台的程序只要使用相同的Protocol Buffer文件,它们之间的序列化数据即可被正确解析。

Init Packet使用了dfu-cc.proto作为格式规范,pc-nrfutil的文件路径为:https://github.com/NordicSemiconductor/pc-nrfutil/blob/master/nordicsemi/dfu/dfu-cc.proto ,Bootloader所使用的dfu-cc.proto路径为:<sdk>\components\libraries\bootloader\dfu\dfu-cc.proto,它们的内容基本一致。

打开dfu-cc.proto文件,定位到文件底部:

// Parent packet type
message Packet {
    optional Command        command         = 1;
    optional SignedCommand  signed_command  = 2;
}

它就是Init Packet的数据原型。

message Packet相当于C语言中的结构体,optional关键字表示该项可以不存在,数字1和2表示该成员在结构体中的位置序号,称为field_num。

Command和SignedCommand本身也是message,所以它们是嵌套结构体。在文件中,也可以找到它们的结构体定义。

在文件中找到Init Command:

// Commands data
message InitCommand {
    optional uint32             fw_version      = 1;
    optional uint32             hw_version      = 2;
    repeated uint32             sd_req          = 3 [packed = true];
    optional FwType             type            = 4;

    optional uint32             sd_size         = 5;
    optional uint32             bl_size         = 6;
    optional uint32             app_size        = 7;

    optional Hash               hash            = 8;

    optional bool               is_debug        = 9 [default = false];
    repeated BootValidation     boot_validation = 10;
}

它就是上面提到的生成Signature用的Init Command。它也是Init Packet的核心内容。

现在我们知道了Init Packet其实就是dfu-cc.proto文件中的变量所包含的信息。

那么它是如何变成app.dat的呢?

Protocol Buffer定义message的构成形式为:<field_num><wire_type>[length]<data_content>

  • field_num是结构体成员序号
  • wire_type是个枚举值,它仅有几种选项,在下面给出
  • length为可选值,如果数据长度不可预先确定,则它存在,否则不存在
  • data_content为数据内容,它使用”Base 128 Varints”数据表示法

根据Protocol Buffer官方文档,可选的wire_type为:

TypeMeaningUsed for
0Varintint32, int64, uint32, uint64, sint32, sint64, bool, enum
164-bitfixed64, sfixed64, double
2Length-delimitedstring, bytes, embedded messages, packed repeated fields
3Start groupgroups (deprecated)
4End groupgroups (deprecated)
532-bitfixed32, sfixed32, float

wire_type仅有6种,可以用3个比特表示。规范中,<field_num>占5 bit,<wire_type>占3 bit,二者共同占用1字节。

Base 128 Varints实现了数据自身携带数据长度信息,如果一个字节的首位比特(msb)为1,表示还有后续字节,如果msb=0,表示这是最后一个字节。比如 0xCC33: 1100 1100 0011 0011,由于第一字节的msb=1,第二字节msb=0,说明它是个双字节数。

计算数据实际值的算法为:(1)去掉各字节的msb,(2)逆序全部字节,(3)合并。那么0xCC33的实际值为:

  1. 去msb:100 1100 011 0011
  2. 逆序:011 0011 100 1100
  3. 合并:0001 1001 1100 1100 = 0x19CC

更详细的规则请阅读官方文档:https://developers.google.com/protocol-buffers/docs/encoding

下面开始分析app.dat的文件内容。

使用十六进制工具打开app.dat。我将其十六进制内容复制到Excel表中方便查看,如下:

[1A] 12 指示signed_command,field_num=2,wire_type=2。

[1B – 1C] 8A 01指示Length=138。138正好是D1-E18之间的数据总数。 由于signed_command本身是个message,后面的数据是它的内容。

[3H] 38 指示app_size。

[4A – 4C] 84 D9 03 指示app_size=60548,根据“Base 128 Varints”算法可以获得该结果。

图中绿色表示数组型数据,蓝色表示长度,橙色表示<field_num>+<wire_type>。

第一个绿色色块[5B – 9A] 指示Hash值,第二个绿色色块[10F – 18E] 指示签名。

使用Protocol Buffer编译器protoc.exe可以将dfu-cc.proto编译成各种平台适用的结构体定义。

对于Nordic SDK的dfu-cc.proto,编译它可以生成dfu-cc.pb.c和dfu-cc.pb.h,后者实现了相同的结构体,但是遵守C语言的规范。 比如dfu-cc.proto文件中的message Packet{}编译后在dfu-cc.pb.h中变成如下形式:

typedef struct {
    bool has_command;
    dfu_command_t command;
    bool has_signed_command;
    dfu_signed_command_t signed_command;
/* @@protoc_insertion_point(struct:dfu_packet_t) */
} dfu_packet_t;

3. 解析过程

执行Secure DFU时候,主机先发送Init Packet,再发送固件镜像。

发送过程如下图:

主机依次执行:

  • Select Request
  • Create Request
  • Write Request
  • Get CRC Requset
  • Execute Request

打开secure_bootloader工程,找到nrf_dfu_req_handler.c,会看到以下函数:

  • on_cmd_obj_select_request
  • on_cmd_obj_create_request
  • on_cmd_obj_write_request
  • on_cmd_obj_crc_request
  • on_cmd_obj_execute_request

它们与上述Request对应,当主机向从机发出Request,从机程序则进入相应的函数中执行。

Init Packet的数据内容在Write Request中发送,如果使用了长包(MTU=247),那么一次即可发送完毕。

执行on_cmd_obj_execute_request时,追踪代码可以找到stored_init_cmd_decode函数,该函数使用pb_decode将二进制数据序列解析成proto文件定义的形式,并保存在mp_init结构体中。

mp_init的结构体定义在dfu-cc.pb.c/h中,它正是上面提到的利用dfu-cc.proto编译生成的C语言代码文件。

参考链接

Protocol Buffer中文介绍: http://bigdata.51cto.com/art/201805/574782.htm

Base 128 Varints中文介绍:https://www.jianshu.com/p/814a5dd86561

(完)

前面几篇都在介绍Secure DFU,而在SDK 12之前版本的DFU,没有签名,称为Legacy DFU。

Secure DFU是由Legacy DFU发展而来,前面介绍的大多数概念都适用于Legacy DFU,本文做一些补充介绍。

(1)类型

总结一下DFU的类型:

DFU类型 SDK版本 特点
Secure DFU SDK 12.x + 带签名校验,Flash占用大,工具支持完善
Legacy DFU SDK 11.x – 不带签名,Flash占用小,得找很老的工具
Open DFU SDK 15.x + 仅适用于USB接口,不适用于BLE

如果使用SDK 11.x,Legacy DFU是一个自然的选择。如果使用较新的SDK,只能选择Secure DFU。

(2)升级包

Legacy DFU生成升级包需要使用nrfutil v0.3版本,而不能使用新版本(新版本已经到达3.x)。

下载安装Master Control Panel(PC版)可以在其安装目录下找到nrfutil v0.3,下载地址为:链接

nrfutil v0.3的命令行参数与新版本不一样,生成升级包的命令为:

nrfutil dfu genpkg --application app.hex dfu_app.zip

有了升级包就可以利用新版的nrfutil或nRF connect APP进行DFU。

(3)Bootloader Settings

Legacy DFU的Bootloader Settings结构比较简单,仅有一个Flag指示应用程序的有效性。

nrfutil v0.3不能生成bl_settings.hex,新版本的nrfutil生成的bl_settings.hex与Legacy DFU不兼容。

Bootloader Settings中的Flag地址是确定的,因此可以利用nrfjprog向该Flash地址写1,手动修改Flag,命令为:

nrfjprog --family NRF51 --memwr 0x3FC00 --val 1

其中0x3FC00是Bootloader Settings的储存地址,而Flag位于该地址的首字节。

同样,如果通过DFU方式升级固件,Bootloader会自动生成和维护Bootloader Settings。

(4)对比

与Secure DFU相比,Legacy DFU有一些特别的地方:

  • Bootloader占用Flash为12 kB,Secure DFU占24 kB
  • Bootloader中MTU Size只支持23,无法利用BLE 4.2的特性
  • SDK提供了ble_app_hrs_with_dfu作为DFU示例,没有一个专门的DFU示例
  • DFU服务不需要检测Bootloader,可以脱离Bootloader运行,当然跳转时会出错
  • 待续……

 

(完)