zynq7000程序加密(一)

最新推荐文章于 2025-06-15 18:25:10 发布
转载 最新推荐文章于 2025-06-15 18:25:10 发布 · 2.2k 阅读 · 8
文章标签:

#加密

本文详细介绍了Xilinx Zynq平台上的三种加密方案:AES对称加密、RSA非对称认证结合AES对称加密及数据证书。探讨了在Windows和Ubuntu环境下使用Vivado和SDx进行开发,以及利用JTAG仿真器烧写密码到EFUSE或BBRAM的具体步骤。文章还分享了使用openssl生成秘钥的过程,以及在Zynq中实现RSA身份验证的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转至:https://blog.youkuaiyun.com/luo_xian_neng/article/details/83150657

 

参考资料:
应用笔记6391:不是加密专家也可实现安全认证; 来自 <https://www.maximintegrated.com/cn/app-notes/index.mvp/id/6391>

对称加密和非对称加密的详细说明;   来自 <https://blog.youkuaiyun.com/poison_biti/article/details/75897005>

Xilinx Zynq-7000如何保护客户的知识产权;  来自 <http://xilinx.eetop.cn/viewnews-1393>

ZYNQ U-BOOT 鉴权和解密方法(authentication和decryption); 来自 <https://blog.youkuaiyun.com/cph77777/article/details/79708982>

Xilinx Zynq-7000系列安全配置策略;               来自 <http://xilinx.eetrend.com/d6-xilinx/article/2015-07/8834.html>

使用 openssl 生成证书(含openssl详解);   来自 <https://blog.youkuaiyun.com/gengxiaoming7/article/details/78505107>

 参考数据手册:  ug585.pdf   ug821.pdf    xapp1175.pdf   ug1025.pdf

 
主要内容:
xilinx的加密方案有3种:

1.  AES对称加密;

2.  RSA非对称认证 + AES对称加密;

3.  数据证书;

 

开发环境:
 windows 7 x64   +  vivado2017.4  +  SDX2017.4

vmware12中(ubuntu16.04.3    +  vivado2017.4   +  SDX2017.4)

 

1.  AES对称加密;
制作boot.bin文件时,指定的key file不存在时,工具会自动生成该密码文件,并用该密码文件加密boot.bin文件。

BOOT.BIN 文件 偏移地址0x028的信息内容如下

• 0xA5C3C5A3 : 用EFUSE保存密码;

• 0x3A5C3C5A :用BBRAM保存密码;

• other.                 :非加密文件;

注意:1. 器件名part name : xc7z020 和芯片一致(第1次时指定)。

            2.  测试时可以指定用BBRAM存放密码,可以重复烧写; 生产时需要指定EFUSE(OTP的只能烧写一次);

 

2.  RSA非对称认证 + AES对称加密:
Zynq中的RSA身份验证使用的是初级秘钥和次级秘钥。初级秘钥对次级秘钥进行身份验证。次级秘钥验证分区。在Bootgen

调试模式下,用户只在BIF中提供私钥。在ubuntu中运行openssl命令产生秘钥(可以用apt命令安装openssl秘钥工具)。

产生初级秘钥:

openssl产生私钥:                       openssl    genrsa         -out   psk.pem    2048

从私钥生成对应的公钥:             openssl  rsa   -pubout   -in   psk.pem     -out   ppk.pub

产生次级秘钥:

openssl产生私钥:                       openssl   genrsa          -out   ssk.pem     2048

从私钥生成对应的公钥:             openssl   rsa   -pubout   -in   ssk.pem    -out   spk.pub

 

采用AES + RES私钥生成加密的boot.bin文件:

鼠标点击“edit”按钮,  设置encryption,  autherntication

3.  烧写密码:
在vivado中用JTAG仿真器烧写密码到EFUSE(或BBRAM)。 上电前需要修改板子的跳线,设置为JTAG启动模式,只有在jtag启动模式才能烧写密码。

vivado中可以查看器件名 "xc7z020", boot.bin加密文件制作时需要指定该器件名

步骤1:  鼠标右击,      选择“program eFUSE...”  烧写efuse,  或者 “program  BBR  key ...”烧写BBRAM.

步骤2:   选择密码文件

步骤3:   设置控制参数   

         选择不能读取aes, 则上图不能显示密码;   选择不加密/加密都能启动, 则不加密的boot.BIN也可以启动。

步骤4:   烧写并保存配置文件, 下次烧写可以用保存的配置文件。

步骤5:  显示信息,点击“finish”开始烧写密码

坑爹的问题:
烧写密码到efuse时出现如下错误:   

INFO: [Labtools 27-3384] Exported eFUSE settings to file: E:/04.Share/sdk2017/encrypt/export_3A1206B4032A3867.nkz

ERROR: [Labtools 27-3277] jsn-DLC9LP-00000000000000 cable is not supported for EFUSE programming. Please use a Xilinx PCUSB2 DLC10 or approved Digilent cable

要用正版的jtag仿真器吗? ?? 我用的是盗版的。正版好贵呀!!!!

正版JTAG仿真器能够正确烧写eFUSE,烧写信息如下:

reate_hw_bitstream -hw_device [get_hw_devices xc7z020_1] -nky {E:/04.Share/sdk2017/encrypt/aes.nky}

program_hw_devices -key {efuse} -disable_program_rsa -efuse_export_file {E:/04.Share/sdk2017/encrypt/export_2A1206B4032A3A2F.nkz} -force -user_efuse {0} -control_efuse {408} [get_hw_devices xc7z020_1]

INFO: [Labtools 27-3384] Exported eFUSE settings to file: E:/04.Share/sdk2017/encrypt/export_2A1206B4032A3A2F.nkz

INFO: [Labtools 27-3395] Device eFUSE successfully programmed.

CRITICAL WARNING: [Labtoolstcl 44-657] Encrypted bitstreams must be programmed through a non-JTAG secure boot flow.

Resolution: For more information, see app note XAPP1175.

refresh_hw_device [lindex [get_hw_devices xc7z020_1] 0]
 

Zynq FPGA 固件加密,安全启动
weixin_40374201的博客
11-15 6620
Zynq 安全启动 安全启动主要为了防止以下事件发生 防止外人读取NVM 固件进行逆向。 防止固件内容进行篡改。 1.Zynq 加密简介 1.1 公钥和私钥 加密的密钥与解密的密钥不相同 使用私钥加密的内容,只能通过公钥来解密 使用公钥加密的内容,只能通过私钥来解密 公钥,可以对外给任何人的加密和解密密码,公开的,可以任何人访问 私钥,私钥是定要严格保护的,通过私钥可以生成公钥,但是从公钥可以认为是永远无法推导出私钥的。 1.2 Zynq 相关密钥 AES 256-bit key AES(Ad
Zynq的启动过程及加密
曾立文的博客
06-18 5166
ZYNQ7000器件是ARM和FPGA合在起的单芯片解决方案,又是以ARM为中心的解决方案,FPGA只是作为ARM的个可编程的外设部分;系统首先启动的是ARM处理器,FPGA是在ARM处理器的控制下进行选择加载;本文首先对ZYNQ7000器件的启动过程做些了解和分析,然后着重分析应用中怎样对设计进行加密保护,因为在现代系统设计中越来越注重对设计的保护,这是为了防止产品在投放市场后出现有人抄袭我们的设计;在设计保护方面ZYNQ7000器件已经提供了套解决方案,我们需要研究并加以应用到产品中去。 本文的
ZYNQ 7000系列PS端裸机学习日志(1)——从经典HelloWorld入门PS开发工作流
最新发布
m0_55845774的博客
06-15 802
在开始之前想要叨叨两句:主播在本科期间学习过些嵌入式的皮毛,包括stm32等等微控制器的裸机开发到最简单的Linux嵌入式系统开发以及最简单的FPGA开发等等,然而这切都停留在表面,仅仅只是为了完成些既定的功能要素或者是课程需要,对于其核心内部原理基本上概不知,到研究生学习阶段,开始接触了正儿八经的FPGA开发后才开始意识到这些看似平常简单的开发表面下其实大有学问。可以看到,UART的RX和TX在BANK500上的MIO14和15引脚上,于是对应在设置页面中配置MIO对应的引脚为UART。
zynq7000程序加密()
luo_xian_neng的博客
10-24 1633
参考资料:   ZYNQ U-BOOT 鉴权和解密方法(authentication和decryption)  来自 &lt;https://blog.youkuaiyun.com/cph77777/article/details/79708982&gt;   主要内容: uboot中下载加密的PL文件;   开发环境:  windows 7 x64   +  vivado2017.4  +  ...
Xilinx zynq zynqmp FPGA加密配置文件
黑客三遍猪
02-26 2129
参考 ZYNQ U-BOOT 鉴权和解密方法(authentication和decryption) zynq7000程序加密() zynq7000程序加密() 加密
zynq实现二层网络加密转发
Herok
11-23 3239
二层网络加密转发是加密端将所有二层网络数据实现加密,然后发送出去,接收端接收到数据后解密,然后以二层报文发送出去。常规的网络加密仅仅局限于网络应用数据加密,对底层的ARP(IP地址到MAC地址的解析,可通过ARP广播包寻找MAC地址),ICMP(ping命令),IP(TCP和UDP的下层)包通通实现加密传输。
ZYNQ7000 参考技术手册
04-03
本文档主要基于《ZYNQ7000 SoC Technical Reference ManualUG585 (v1.14) June 30, 2023》这官方技术参考手册,对 ZYNQ7000 的关键特性进行详细介绍。 #### 二、重要章节概览 ##### 第章:介绍 - **概述**:...
ug585-Zynq-7000-TRM
06-09
《Zynq-7000 SoC 技术参考手册 UG585》是Xilinx公司为开发者提供的份详细的技术文档,主要针对Zynq-7000系列系统级芯片(SoC)的软件部分进行深入阐述。这份手册是v1.12.2版本,发布日期为2018年7月1日,是开发者...
ZYNQ7000全可编程SoC中的EMMC应用技术研究-论文
05-22
ZYNQ7000全可编程SoC(System on Chip)是Xilinx公司推出的款集成型片上系统,它融合了处理器核心和可编程逻辑技术,是嵌入式系统设计的先进平台。这款SoC内置ARM双核Cortex-A9处理器和Xilinx的FPGA逻辑单元,允许...
Xilinx Zynq-7000 RSA Authentication过程
月出皎兮。 佼人僚兮。 舒窈纠兮。 劳心悄兮。
11-28 2085
简介 本文只是简单记录下zynq-7000采用RSA校验时的大概流程。阅读需要具备RSA,Signature, Certificate等相关概念基础。 签名产生和校验过程 RSA是非对称加密算法。在这里,我们使用Private Key来签名,用Public Key来校验(实际上Public key也可以对content进行加密,然后再用Private Key来解密还原content)。回顾签名的产...
ZYNQ U-BOOT 鉴权和解密方法(authentication和decryption)
嵌入式系统项目分享
03-27 3197
ZYNQ U-BOOT 鉴权和解密方法3162412793@qq.com技术交流QQ群:691976956 ZYNQ 支持最新的 2018.01 的U-BOOT,且支持命令行下对bitstream/images 进行authenticate 和 decrypt。 http://www.denx.de/wiki/U-Boot/SourceCode zynqaes 和 zynqrsa 命令组合使用,可...
vertex系列芯片和zynq系列芯片结构的异同_不可修复的芯片:Xilinx 7系列FPGA 比特流加密的全面突破(三)...
weixin_39633171的博客
11-29 1148
本文承接:不可修复的芯片:Xilinx 7系列FPGA 比特流加密的全面突破()不可修复的芯片:Xilinx 7系列FPGA 比特流加密的全面突破()5对策以及防御技术在本节中,我们讨论两种可能的对策和四种防御技术。我们将对策定义为防御当前7系列设备的技术(例如硬件开发人员可以使用的技术),将防御技术定义为需要更新芯片的措施(例如Xilinx等平台公司可以提供的技术)。请注意,我们的...
XILINX FPGA加密方案
yaofengyaofeng的专栏
04-24 5970
Xilinx每个FPGA都有个独特的ID,也就是DeviceDNA,在FPGA芯片生产的时候就已经写死在芯片的eFUSE寄存器中,因为使用的是熔断技术所以具有不可修改的属性。7系列在加载加密后的bit流时,会根据用户设置的密钥通过片上的 AES解密逻辑进行 AES解密,从而还原得到器件可以识别的未加密bit流。如上图所示,这种加密方式需要应用到Xilinx FPGA的multi-boot特性,因此,flash中存在两份程序份为负责加密运算的Golden程序,而另份则为包含了解密运算的主程序
efuse 加密文件 linux,Xilinx FPGA bit 文件加密
weixin_42298382的博客
05-15 1328
大侠好,欢迎来到FPGA技术江湖,江湖偌大,相见即是缘分。大侠可以关注FPGA技术江湖,在“闯荡江湖”、"行侠仗义"栏里获取其他感兴趣的资源,或者起煮酒言欢。今天给大侠带来Xilinx FPGA bit 文件加密设计,话不多说,上货。当你的项目终于做完了,到了发布的关键节点,为了防止自己的心血被别人利用,最好对产品进行bit加密。首先咱们来了解加密的优点,xilinx的V6和7全系列FPGA...
efuse 加密文件 linux,开发者分享 | EFuse AES 密钥验证步骤
weixin_29031057的博客
05-15 1049
EFuse 具备次性可编程特性,即只要使用特定密钥将“熔丝 (FUSE)”熔断,就无法再使用任何其他密钥对其进行编程。EFuse 广泛适用于各种量产器件,在本文中我们将为大家演示个典型情境,即客户希望向第三方供应商提供采用 AES 编程的 FPGA 的情境。曾经出现过这样的问题,用户以错误方式对错误的 EFuse 密钥进行编程,导致加密比特流编程失败。在此情境中,我们无法将 EFuse 复原,...
2021-03-13
u010256887的博客
03-13 1626
、使用Petalinux定制Linux系统 1.1 建立petalinux和Vivado工作环境 source /tools/Xilinx/petalinux/settings.sh  //sptl source /tools/Xilinx/Vivado/2019.2/settings64.sh //svvd echo $PETALINUX  //验证petalinux工作环境已经设置 1.2 建立新的petalinux工程 petalinux-create --type project --
Zynq-FPGA / ARM程序固化到Qspi/sd卡步骤
分不清
08-06 2896
注意: 1、如果你只是固话PL端的逻辑在zynq这个芯片上是不行的。因为PL端的FPGA程序固话,必须要PS端的配合,生成BIN文件。 2、如果你就是想吧zynq当做FPGA用的话,生成的执行文件比较小的话,可以下载到FPGA的自己偏上的flash里面。(该方法没有试过) 接下来介绍下正常的程序固话流程。 1、在vivado建立工程生成bit流(该工程必须在zynq核上勾选qspi,以及根据是实际使用的环境配置ddr) 2、打开sdk创建个fsbl引导文件,其实就是创建个fsbl工程。直接使用模板就可
使用vivado加密用户ip
风释雪
04-16 6760
若该文为原创文章,未经允许不得转载 风释雪 QQ:627833006 E-mail:hn.cy@foxmail.com 优快云博客地址:https://blog.youkuaiyun.com/weixin_46718879 Gitee:https://gitee.com/abnerwork 目录1. 概述2. 工具3. 流程3.1.明确目标源3.2 更改官方IP核的生成方式3.3 设置属性3.4.工程综...
zynq7000启动模式
03-12
<think>好的,用户想了解Zynq7000系列FPGA的启动模式。我需要结合用户提供的引用内容,特别是引用[1],来详细回答这个问题。 首先,用户提到的引用[1]已经指出Zynq在无JTAG模式下是通过PS端的ARM核来配置PS和PL部分的,且不支持从PL端直接启动。这点是核心,必须在回答中强调。 接下来,我需要整理Zynq7000启动模式的基本流程。启动过程通常分为几个阶段:上电复位、BootROM执行、FSBL加载、PL配置(可选)、应用程序执行。要分步骤解释每个阶段的作用,特别是PS和PL的关系。 然后,启动模式的分类。根据文档,常见的启动模式包括JTAG、Quad-SPI、NAND、SD卡等。需要详细说明每种模式的特点和应用场景,比如JTAG用于调试,SD卡用于量产等。同时要指出Zynq必须通过PS启动,PL配置由PS处理,这与传统FPGA不同,这点用户可能容易混淆,需要明确区分。 此外,启动模式的选择是通过MIO引脚配置的,可能需要解释如何通过硬件设置这些引脚的状态来选择不同的启动源。这部分需要简明扼要,避免过于技术化,但要让用户明白配置方法。 用户提供的引用中还提到了DDR内存控制器和GPIO,虽然问题不直接相关,但可能在启动过程中涉及到DDR初始化或GPIO配置,不过暂时不需要深入,除非用户后续提问。 最后,生成相关问题需要考虑用户可能的后续需求,比如启动失败的原因、如何配置FSBL、不同启动模式的优缺点比较等,这样能帮助用户进步学习。 需要确保回答结构清晰,分点说明启动模式和流程,同时引用[1]的内容要自然地融入解释中,比如在说明PL配置时引用。注意使用中文,LaTeX格式正确,行内公式用$...$,独立公式用$$...$$,但这个问题可能涉及较少公式,更多是流程描述,所以可能不需要太多数学表达式,但如果有时间相关的计算或配置地址,可能需要使用,例如寄存器地址用$0x12345678$表示。 检查是否有遗漏点,比如安全启动、多阶段启动流程中的细节,但根据引用内容,可能信息有限,需基于现有引用作答,不添加未提及的推测内容。 现在组织语言,确保符合用户要求的结构,先回答启动模式详解,再相关问题。</think>### Zynq7000系列FPGA启动模式详解 Zynq7000系列芯片的启动模式与传统FPGA有本质区别,其核心特点是**必须通过处理系统(PS)完成芯片配置**,不支持直接从可编程逻辑(PL)端启动[^1]。以下是启动模式的关键解析: #### 1. 启动流程框架 Zynq7000的启动过程分为四个主要阶段: 1. **上电复位(POR)** 硬件自动初始化PS端处理器,检测启动模式引脚(MIO[5:0])的状态。 2. **BootROM执行** - 片上BootROM代码加载至OCM(On-Chip Memory) - 根据MIO引脚配置选择启动源(如QSPI、SD卡等) - 验证并加载第阶段引导程序(FSBL) 3. **FSBL(First Stage Bootloader)加载** ```c // FSBL示例代码片段(初始化DDR控制器) Xil_Out32(DDR_CTRL_BASEADDR + 0x014, 0x00000001); // 使能DDR时钟[^4] ``` - 配置PS端外设(如DDR控制器、GPIO[^2]) - 可选加载PL端比特流文件(.bit) 4. **应用程序执行** 跳转到用户程序(如裸机程序或操作系统) #### 2. 启动模式分类 | 模式 | 配置引脚(MIO[5:0]) | 典型应用场景 | |---------------|---------------------|--------------------| | JTAG模式 | 000000 | 调试阶段 | | Quad-SPI Flash | 001010 | 固化程序存储 | | SD卡启动 | 001110 | 快速量产部署 | | NAND Flash | 010010 | 大容量存储需求 | **关键差异点**:与传统7系列FPGA相比,Zynq7000的PL配置完全依赖PS端处理器完成,PL比特流文件需通过FSBL或用户程序加载。 #### 3. 特殊模式解析 - **安全启动模式** 通过RSA或AES加密验证引导程序,防止未授权代码执行。 - **多阶段启动** 支持从不同存储介质分阶段加载程序(如先加载PL配置,再加载应用程序)。 $$ T_{boot} = T_{BootROM} + T_{FSBL} + T_{PL\ config} $$ 其中$T_{PL\ config}$的耗时与比特流大小成正比,典型值为100ms量级。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值