secure boot 和FIT Image是前段時間接觸到的,其實早就該總結(jié)下了,奈何懶癌犯了,拖了好久才寫出來。
之前也有人問我,工作后最大的感受是什么?我的回答是:“快速學(xué)習(xí)”。
就嵌入式來講,大多數(shù)應(yīng)屆生在校期間可能都沒做過完整的項目,僅憑在校期間學(xué)習(xí)的內(nèi)容很難勝任公司的要求。
就底層驅(qū)動來講,雖然我之前也學(xué)習(xí)過韋東山老師的上s3c2440的課程,但是到了公司才發(fā)現(xiàn),這些內(nèi)容其實都已經(jīng)過時了。
但并不是說這些內(nèi)容都沒有必要去學(xué)習(xí)了。在學(xué)習(xí)的過程中,認(rèn)為最重要的是培養(yǎng)我們的自學(xué)能力。
很多初學(xué)者在剛開始學(xué)習(xí)時,可能就敗在了搭建環(huán)境上。搭建環(huán)境時遇到問題不知道怎么辦?
我們?nèi)粘i_發(fā)中遇到的90%的問題,在網(wǎng)上都有人遇到過,也有相應(yīng)的解決辦法。學(xué)會利用bing,google,stackoverflow等搜索工具是一項很重要的技能。
如果遇到了網(wǎng)上沒有的問題怎么辦?軟件問題要先搞清楚原理,再去看代碼邏輯。硬件問題看官方手冊。像Linux kernel,ARM等都提供了完善的手冊,大部分問題在手冊中都有相應(yīng)說明。
好了,扯遠了。下面回歸正題。
本文主要介紹了FIT Image起源,制作方法,its的語法結(jié)構(gòu),bootm 啟動FIT Image的方式。
本文這篇文章是對后面介紹的secure boot做鋪墊。ARMv8 secure boot一種實現(xiàn)的方式就是利用了FIT Image的特性。
zImage,uImage, Legacy uImage 和 FIT uImage
內(nèi)核經(jīng)過編譯后,會生成一個elf的可執(zhí)行程序,叫vmlinux,這個就是原始的未經(jīng)任何處理加工的原版內(nèi)核elf文件。不過,最終燒寫在嵌入式設(shè)備上的并不是這個文件。而是經(jīng)過objcopy工具加工后的專門用于燒錄的鏡像格式Image。
原則上Image就可以直接被燒錄到Flash上進行啟動執(zhí)行,但linux的內(nèi)核開發(fā)者覺得Image還是太大了,因此對Image進行了壓縮,并且在Image壓縮后的文件的前端附加了一部分解壓縮代碼,構(gòu)成了一個壓縮格式的鏡像文件就叫zImage。
解壓的時候,通過zImage鏡像頭部的解壓縮代碼進行自解壓,然后執(zhí)行解壓出來的內(nèi)核鏡像。
Uboot要正確啟動Linux內(nèi)核,就需要知道內(nèi)核的一些信息,比如鏡像的類型(kernel image,dtb,ramdisk image),鏡像在內(nèi)存的位置,鏡像的鏈接地址,鏡像文件是否有壓縮等等。
Uboot為了拿到這些信息,發(fā)明了一種內(nèi)核格式叫uImage,也叫Legacy uImage。uImage是由zImage加工得到的,uboot中有一個工具mkimage,該工具會給zImage加一個64字節(jié)的header,將啟動內(nèi)核所需的信息存儲在header中。uboot啟動后,從header中讀取所需的信息,按照指示,進行相應(yīng)的動作即可。
header格式可以參考:include/image.h。mkimage源碼在tools/mkimage
FIT image的來源
有了Legacy uImage后,為什么又搞出來一個FIT uImage呢?
在Linus Torvalds 看來,內(nèi)核中arch/arm/mach-xxx充斥著大量的垃圾代碼。因為內(nèi)核并不關(guān)心板級細節(jié),比如板上的platform設(shè)備、resource、i2c_board_info、spi_board_info等等。大家有興趣可以看下s3c2410的板級目錄,代碼量在數(shù)萬行。
因此,ARM社區(qū)引入了Device Tree,使用Device Tree后,許多硬件的細節(jié)可以直接透過它傳遞給Linux,而不再需要在kernel中進行大量的冗余編碼。
為了更好的支持單個固件的通用性,Uboot也需要對這種uImage固件進行支持。FIT uImage中加入多個dtb文件 和ramdisk文件,當(dāng)然如果需要的話,同樣可以支持多個kernel文件。
內(nèi)核中的FDT全程為flattened device tree,F(xiàn)IT全稱叫flattened image tree。FIT利用了Device Tree Source files(DTS)的語法,生成的Image文件也和dtb文件類似(稱作itb)。
這樣的目的就是能夠使同一個uImage能夠在Uboot中選擇特定的kernel/dtb和ramdisk進行啟動了,達成一個uImage可以通用多個板型的目的。
制作FIT Image
制作FIT Image需要用到兩個工具,mkimage和的dtc。dtc要導(dǎo)入到環(huán)境變量$PATH中,mkimage會調(diào)用dtc。
mkimage的輸入為 image source file,它定義了啟動過程中image的各種屬性,擴展名為.its。its只是描述了Image的屬性,實際的Image data 是在uImage中,具體路徑由its指定。
	
如下是kernel 的its文件,后面會介紹各項內(nèi)容的含義。
/* *SimpleU-BootuImagesourcefilecontainingasinglekernel */ /dts-v1/; /{ description="SimpleimagewithsingleLinuxkernel"; #address-cells=<1>; images{ kernel@1{ description="VanillaLinuxkernel"; data=/incbin/("./vmlinux.bin.gz");#Imagedata具體路徑 type="kernel"; arch="ppc"; os="linux"; compression="gzip"; load=<00000000>; entry=<00000000>; hash@1{ algo="crc32"; }; hash@2{ algo="sha1"; }; }; }; configurations{ default="config@1"; config@1{ description="BootLinuxkernel"; kernel="kernel@1"; }; }; };
mkimage的輸出是一個后綴為.itb的二進制文件,包含了所有需要的數(shù)據(jù)(kernel,dtb,ramdisk)。itb文件制作好之后,就可以直接加載到嵌入式設(shè)備上,通過bootm命令啟動。
總結(jié)下制作FIT Image的4個必要文件:
mkimage,
dtc
its(image source file (*.its))
image data file(s)。
its語法結(jié)構(gòu)
uImage Tree 的根節(jié)點結(jié)構(gòu)
/oimage-tree
|-description="imagedescription"
|-timestamp=<12399321>
|-#address-cells=<1>
|
oimages
||
|oimage@1{...}
|oimage@2{...}
|...
|
oconfigurations
|-default="conf@1"
|
oconf@1{...}
oconf@2{...}
...
description:描述uImage的文本。
timestamp:修改Image鏡像的時間,由mkimage工具自動生成。在security boot中,timestamp不同也會被認(rèn)為是不同的Image。
images:子鏡像,如kernel Image,ramdisk Image。
configurations:配置項節(jié)點,可以將不同類型的二進制文件,根據(jù)不同的場景,組合起來,形成一個個的配置項。u-boot在boot的時候,以配置項為單位加載、執(zhí)行,這樣就可以根據(jù)不同的場景,方便的選擇不同的配置。
'/images' node
該節(jié)點中描述了Image鏡像必要的信息.
oimage@1 |-description="componentsub-imagedescription" |-data=/incbin/("path/to/data/file.bin") |-type="sub-imagetypename" |-arch="ARCHname" |-os="OSname" |-compression="compressionname" |-load=<00000000> |-entry=<00000000> | ohash@1{...} ohash@2{...} ...
description:子鏡像的文本描述,可以隨便寫。
type:子鏡像的類型,比如standalone,kernel,ramdisk,firmware等等。
data:包含該節(jié)點二進制文件的路徑。
compression:壓縮方式,比如none,gzip,bzip2。
os:操作系統(tǒng)的名稱,如solaris,uboot,qnx等。
arch:平臺架構(gòu),如arm,mips,i386等。
entry:二進制文件入口地址,即鏈接地址。
load:二進制文件的加載位置。
hash@1:鏡像使用的校驗算法,如sha256,crc32等。
Hash nodes
ohash@1 |-algo="hashorchecksumalgorithmname" |-value=[hashorchecksumvalue]
algo:算法名稱,如crc32,md5,sha256等。
value:算法校驗值,即algo計算后的數(shù)值。
'/configurations' node
oconfigurations
|-default="defaultconfigurationsub-nodeunitname"
|
oconfig@1{...}
oconfig@2{...}
...
default:默認(rèn)的子節(jié)點的配置
config@1: 該配置具體使用那些kernel Image,ramdisk Image等。
Configuration nodes
oconfig@1 |-description="configurationdescription" |-kernel="kernelsub-nodeunitname" |-ramdisk="ramdisksub-nodeunitname" |-fdt="fdtsub-nodeunit-name"[,"fdtoverlaysub-nodeunit-name",...] |-fpga="fpgasub-nodeunit-name" |-loadables="loadablessub-nodeunit-name"
description:該配置的名稱。
kernel:鏡像類型為kernel的單元的名稱。
ramdisk:鏡像類型為ramdisk的單元的名稱。
fdt:鏡像類型為fdt的單元的名稱。
loadables:額外的可加載的二進制文件的列表,U-Boot將在給定的起始地址加載每個二進制文件。
舉例
如下是一個有多種kernels, ramdisks and FDT blobs鏡像多套配置的its文件。它包含了3種配置,每種配置使用了不同的kernel、ramdisk和fdt,默認(rèn)配置項由“default”指定,當(dāng)然也可以在運行時指定。
/*
*U-BootuImagesourcefilewithmultiplekernels,ramdisksandFDTblobs
*/
/dts-v1/;
/{
description="Variouskernels,ramdisksandFDTblobs";
#address-cells=<1>;
images{
kernel@1{
description="vanilla-2.6.23";
data=/incbin/("./vmlinux.bin.gz");
type="kernel";
arch="ppc";
os="linux";
compression="gzip";
load=<00000000>;
entry=<00000000>;
hash@1{
algo="md5";
};
hash@2{
algo="sha1";
};
};
kernel@2{
description="2.6.23-denx";
data=/incbin/("./2.6.23-denx.bin.gz");
type="kernel";
arch="ppc";
os="linux";
compression="gzip";
load=<00000000>;
entry=<00000000>;
hash@1{
algo="sha1";
};
};
kernel@3{
description="2.4.25-denx";
data=/incbin/("./2.4.25-denx.bin.gz");
type="kernel";
arch="ppc";
os="linux";
compression="gzip";
load=<00000000>;
entry=<00000000>;
hash@1{
algo="md5";
};
};
ramdisk@1{
description="eldk-4.2-ramdisk";
data=/incbin/("./eldk-4.2-ramdisk");
type="ramdisk";
arch="ppc";
os="linux";
compression="gzip";
load=<00000000>;
entry=<00000000>;
hash@1{
algo="sha1";
};
};
ramdisk@2{
description="eldk-3.1-ramdisk";
data=/incbin/("./eldk-3.1-ramdisk");
type="ramdisk";
arch="ppc";
os="linux";
compression="gzip";
load=<00000000>;
entry=<00000000>;
hash@1{
algo="crc32";
};
};
fdt@1{
description="tqm5200-fdt";
data=/incbin/("./tqm5200.dtb");
type="flat_dt";
arch="ppc";
compression="none";
hash@1{
algo="crc32";
};
};
fdt@2{
description="tqm5200s-fdt";
data=/incbin/("./tqm5200s.dtb");
type="flat_dt";
arch="ppc";
compression="none";
load=<00700000>;
hash@1{
algo="sha1";
};
};
};
configurations{
default="config@1";
config@1{
description="tqm5200vanilla-2.6.23configuration";
kernel="kernel@1";
ramdisk="ramdisk@1";
fdt="fdt@1";
};
config@2{
description="tqm5200sdenx-2.6.23configuration";
kernel="kernel@2";
ramdisk="ramdisk@1";
fdt="fdt@2";
};
config@3{
description="tqm5200sdenx-2.4.25configuration";
kernel="kernel@3";
ramdisk="ramdisk@2";
};
};
};
FIT Image的編譯和啟動
在服務(wù)器上,可以使用mkimage工具制作 FIT Image。
如下是kernel_fdt.its,下面將使用該文件制作itb。
/*
*SimpleU-BootuImagesourcefilecontainingasinglekernelandFDTblob
*/
/dts-v1/;
/{
description="SimpleimagewithsingleLinuxkernelandFDTblob";
#address-cells=<1>;
images{
kernel@1{
description="VanillaLinuxkernel";
data=/incbin/("./vmlinux.bin.gz");
type="kernel";
arch="ppc";
os="linux";
compression="gzip";
load=<00000000>;
entry=<00000000>;
hash@1{
algo="crc32";
};
hash@2{
algo="sha1";
};
};
fdt@1{
description="FlattenedDeviceTreeblob";
data=/incbin/("./target.dtb");
type="flat_dt";
arch="ppc";
compression="none";
hash@1{
algo="crc32";
};
hash@2{
algo="sha1";
};
};
};
configurations{
default="conf@1";
conf@1{
description="BootLinuxkernelwithFDTblob";
kernel="kernel@1";
fdt="fdt@1";
};
};
};
$mkimage-fkernel_fdt.itskernel_fdt.itb DTC:dts->dtbonfile"kernel_fdt.its" $ $mkimage-lkernel_fdt.itb FITdescription:SimpleimagewithsingleLinuxkernelandFDTblob Created:TueMar1116222008 Image0(kernel@1) Description:VanillaLinuxkernel Type:KernelImage Compression:gzipcompressed DataSize:1092037Bytes=1066.44kB=1.04MB Architecture:PowerPC OS:Linux LoadAddress:0x00000000 EntryPoint:0x00000000 Hashalgo:crc32 Hashvalue:2c0cc807 Hashalgo:sha1 Hashvalue:264b59935470e42c418744f83935d44cdf59a3bb Image1(fdt@1) Description:FlattenedDeviceTreeblob Type:FlatDeviceTree Compression:uncompressed DataSize:16384Bytes=16.00kB=0.02MB Architecture:PowerPC Hashalgo:crc32 Hashvalue:0d655d71 Hashalgo:sha1 Hashvalue:25ab4e15cd4b8a5144610394560d9c318ce52def DefaultConfiguration:'conf@1' Configuration0(conf@1) Description:BootLinuxkernelwithFDTblob Kernel:kernel@1 FDT:fdt@1
在當(dāng)前目錄下就可以找到kernel_fdt.itb,itb文件就可以加載到設(shè)備上啟動。
>tftp900000/path/to/tftp/location/kernel_fdt.itb UsingFECdevice TFTPfromserver192.168.1.1;ourIPaddressis192.168.160.5 Filename'/path/to/tftp/location/kernel_fdt.itb'. Loadaddress:0x900000 Loading:################################################################# ########### done Bytestransferred=1109776(10ef10hex) =>iminfo ##CheckingImageat00900000... FITimagefound FITdescription:SimpleimagewithsingleLinuxkernelandFDTblob Created:2008-03-111522UTC Image0(kernel@1) Description:VanillaLinuxkernel Type:KernelImage Compression:gzipcompressed DataStart:0x009000ec DataSize:1092037Bytes=1MB Architecture:PowerPC OS:Linux LoadAddress:0x00000000 EntryPoint:0x00000000 Hashalgo:crc32 Hashvalue:2c0cc807 Hashalgo:sha1 Hashvalue:264b59935470e42c418744f83935d44cdf59a3bb Image1(fdt@1) Description:FlattenedDeviceTreeblob Type:FlatDeviceTree Compression:uncompressed DataStart:0x00a0abdc DataSize:16384Bytes=16kB Architecture:PowerPC Hashalgo:crc32 Hashvalue:0d655d71 Hashalgo:sha1 Hashvalue:25ab4e15cd4b8a5144610394560d9c318ce52def DefaultConfiguration:'conf@1' Configuration0(conf@1) Description:BootLinuxkernelwithFDTblob Kernel:kernel@1 FDT:fdt@1 =>bootm ##BootingkernelfromFITImageat00900000... Using'conf@1'configuration Trying'kernel@1'kernelsubimage Description:VanillaLinuxkernel Type:KernelImage Compression:gzipcompressed DataStart:0x009000ec DataSize:1092037Bytes=1MB Architecture:PowerPC OS:Linux LoadAddress:0x00000000 EntryPoint:0x00000000 Hashalgo:crc32 Hashvalue:2c0cc807 Hashalgo:sha1 Hashvalue:264b59935470e42c418744f83935d44cdf59a3bb VerifyingHashIntegrity...crc32+sha1+OK UncompressingKernelImage...OK ##FlattenedDeviceTreefromFITImageat00900000 Using'conf@1'configuration Trying'fdt@1'FDTblobsubimage Description:FlattenedDeviceTreeblob Type:FlatDeviceTree Compression:uncompressed DataStart:0x00a0abdc DataSize:16384Bytes=16kB Architecture:PowerPC Hashalgo:crc32 Hashvalue:0d655d71 Hashalgo:sha1 Hashvalue:25ab4e15cd4b8a5144610394560d9c318ce52def VerifyingHashIntegrity...crc32+sha1+OK Bootingusingthefdtblobat0xa0abdc LoadingDeviceTreeto007fc000,end007fffff...OK [0.000000]Usinglite5200machinedescription [0.000000]Linuxversion2.6.24-rc6-gaebecdfc(m8@hekate)(gccversion4.0.0(DENXELDK4.14.0.0))#1SatJan121548CET2008
bootm啟動不同的配置
對于FIT Image,bootm有多種啟動方式。
1.bootm2.bootm[ ]: 3.bootm[ ]# [# ]: [ ]: 5.bootm[ ]: [ ]: [ ]: 6.bootm[ ]: [ ]: 7.bootm[ ]: -[ ]: 8.bootm[ ]: - 
對于有多種鏡像,多套配置的itb,都是以configurations 中default 指定的配置啟動。
bootm200000
也可以手動指定使用那套配置
bootm200000#cfg@1
也可以手動搭配不同的鏡像節(jié)點啟動
bootm200000:kernel@1800000:ramdisk@2 bootm200000:kernel@1800000:ramdisk@1800000:fdt@1 bootm200000:kernel@2200000:ramdisk@2600000 bootm200000:kernel@2-200000:fdt@1
如果bootm的時候不指定地址,則會使用CONFIG_SYS_LOAD_ADDR配置的地址。
總結(jié)
本文對FIT Image作了簡單的介紹,更詳細的內(nèi)容可以參考官方文檔。后面有時間會動手制作一個FIT Image在板子上跑下。
FIT Image可以兼容于多種板子,而無需重新進行編譯燒寫。對于有多個kernel節(jié)點或者fdt節(jié)點等等,兼容性更強。同時,可以有多種configurations,來對kernel、fdt、ramdisk來進行組合。
- 
                                Linux
                                +關(guān)注關(guān)注 88文章 11581瀏覽量 217154
- 
                                軟件
                                +關(guān)注關(guān)注 69文章 5256瀏覽量 90480
- 
                                代碼
                                +關(guān)注關(guān)注 30文章 4925瀏覽量 72476
原文標(biāo)題:secure boot (一)FIT Image
文章出處:【微信號:嵌入式與Linux那些事,微信公眾號:嵌入式與Linux那些事】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
 
           
        
 
         FIT Image起源及制作方法
FIT Image起源及制作方法 
                 
  
     
            
             
             
                 
             工商網(wǎng)監(jiān)
工商網(wǎng)監(jiān)
        
評論