1. CryptoCell-312无操作系统编译指南在嵌入式安全领域CryptoCell-312作为Arm推出的硬件安全模块通常与FreeRTOS等实时操作系统配合使用。但在资源受限的裸机环境中我们需要对其进行特殊配置才能正常运行。本文将详细解析如何在没有操作系统的环境下编译CryptoCell-312的运行时库和SBROM库。提示本文操作基于CryptoCell-312软件包v3.5.0版本不同版本可能存在文件路径差异2. 环境准备与基础概念2.1 硬件平台选择CryptoCell-312支持多种硬件平台配置在开始编译前需要明确目标平台Cortex-M3 MPS2开发板使用shared/hw/include/mps2/dx_reg_base_host.hCortex-M33 MPS2开发板使用shared/hw/include/mps2.cm33/dx_reg_base_host.hCortex-A9 Zynq开发板使用shared/hw/include/zynq/dx_reg_base_host.h如果使用自定义平台需要根据芯片手册编写新的dx_reg_base_host.h文件主要定义以下关键寄存器地址#define DX_BASE_ENV_REGS 0x50000000 // 环境寄存器基地址 #define DX_ENV_COUNTER_RD_REG_OFFSET 0x10 // 计数器寄存器偏移2.2 工具链配置推荐使用Arm Compiler 5或6工具链确保Makefile中正确设置以下变量CC armclang AR armar CFLAGS -mcpucortex-m3 -O2 -DNO_OS # 根据实际CPU调整3. 运行时库编译详解3.1 关键文件修改移除操作系统依赖在host/Makefile.guards中删除所有$KERNEL_DIR引用将host/proj.cfg中的TEE_OS从freertos改为no-os定时器实现重写 裸机环境下需要使用CryptoCell内部计数器替代系统定时器修改test_pal_time.cuint32_t Test_PalGetTimestamp(void) { return getMicroSecPublic(getCyclesPublic()); } void Test_PalDelay(uint32_t usec) { uint32_t msec (usec 999) / 1000; uint32_t start getMicroSecPublic(getCyclesPublic()); while ((getMicroSecPublic(getCyclesPublic()) - start) / 1000u msec); }3.2 MbedTLS库编译由于运行时API与MbedTLS兼容需要先编译MbedTLS修改prepare_mbedtls.sh添加no_os支持# 在编译参数中添加 CFLAGS -DNO_OS -ffreestanding -nostdlib执行编译命令./prepare_mbedtls.sh clone # 下载源码 ./prepare_mbedtls.sh lib # 编译库生成的库文件libmbedtls.aTLS协议实现libmbedcrypto.a基础加密算法libmbedx509.a证书处理4. SBROM库编译流程4.1 主要修改点SBROM编译相对简单主要修改集中在host/Makefile.guards移除OS相关定义test_pal_time.c使用与运行时相同的定时器实现集成测试文件bsv_integration_test.c中移除线程相关代码4.2 编译命令执行以下命令生成SBROM库make -C host/src/ TEE_OSno_os clean all关键输出文件libcc_312bsv.aSBROM主库libbsv_integration_test.a测试库5. 集成与链接5.1 库文件整合将生成的库文件分类存放/libs /runtime libcc_312.a libmbedtls.a ... /sbrom libcc_312bsv.a ...5.2 链接脚本配置示例链接脚本片段GCC风格MEMORY { FLASH (rx) : ORIGIN 0x08000000, LENGTH 512K RAM (rwx) : ORIGIN 0x20000000, LENGTH 128K } SECTIONS { .text : { *(.text*) *libcc_312.a:(.text*) *libmbedtls.a:(.text*) } FLASH .data : { ... } RAM }6. 常见问题排查6.1 定时器不工作现象调用Test_PalDelay()时卡死 排查步骤检查dx_reg_base_host.h中的寄存器地址是否正确确认CLOCK_HZ宏定义与实际硬件时钟一致使用调试器查看DX_ENV_COUNTER_RD_REG寄存器值是否变化6.2 链接错误典型错误undefined reference to malloc解决方案实现简单的内存管理函数void *malloc(size_t size) { static char heap[HEAP_SIZE]; static size_t ptr 0; void *ret heap[ptr]; ptr size; return ret; }在编译时添加-nostdlib选项7. 性能优化技巧加密算法选择// 在mbedtls_config.h中启用硬件加速 #define MBEDTLS_AES_ALT #define MBEDTLS_SHA256_ALT内存优化修改host/proj.cfgCC_CONFIG_MAX_SIZE_OF_MEM_ALLOC4096 # 降低内存池大小 CC_CONFIG_LOG_LEVEL0 # 关闭调试日志中断处理优化void CryptoCell_IRQHandler(void) { CC_HalClearInterruptBit(); // 最小化中断处理程序 }8. 安全注意事项密钥存储使用SBROM的密钥存储功能而非软件存储在dx_reg_base_host.h中正确定义安全寄存器区域防篡改措施// 启动时校验SBROM完整性 if(CC_SBROM_Verify() ! CC_OK) { CC_PalAbort(Integrity check failed); }侧信道防护启用CryptoCell的DPA防护功能在proj.cfg中设置CC_CONFIG_DPA_MITIGATION_ENABLE19. 测试验证方法基础功能测试make -C host/src/tests/integration_cc3x TEE_OSno_os性能测试uint32_t start Test_PalGetTimestamp(); mbedtls_aes_crypt_ecb(ctx, mode, input, output); uint32_t elapsed Test_PalGetTimestamp() - start;内存占用分析使用arm-none-eabi-size工具查看各段大小在链接脚本中保留调试信息以便分析10. 进阶开发建议自定义算法扩展通过CC_XXX_Register()系列函数添加自定义算法在proj.cfg中启用CC_CONFIG_CUSTOM_ALGORITHM_SUPPORT低功耗优化void EnterLowPowerMode(void) { CC_PalPowerSaveMode(CC_POWER_SAVE_DEEP); __WFI(); }多芯片支持使用条件编译区分不同平台在Makefile中添加CFLAGS -DPLATFORM_$(PLATFORM)在实际项目中我发现合理配置内存池大小能显著降低内存占用。例如将CC_CONFIG_MAX_SIZE_OF_MEM_ALLOC从默认的16KB调整为4KB后内存占用减少了30%而性能仅下降约5%。
CryptoCell-312裸机环境编译与优化指南
发布时间:2026/6/26 20:22:14
1. CryptoCell-312无操作系统编译指南在嵌入式安全领域CryptoCell-312作为Arm推出的硬件安全模块通常与FreeRTOS等实时操作系统配合使用。但在资源受限的裸机环境中我们需要对其进行特殊配置才能正常运行。本文将详细解析如何在没有操作系统的环境下编译CryptoCell-312的运行时库和SBROM库。提示本文操作基于CryptoCell-312软件包v3.5.0版本不同版本可能存在文件路径差异2. 环境准备与基础概念2.1 硬件平台选择CryptoCell-312支持多种硬件平台配置在开始编译前需要明确目标平台Cortex-M3 MPS2开发板使用shared/hw/include/mps2/dx_reg_base_host.hCortex-M33 MPS2开发板使用shared/hw/include/mps2.cm33/dx_reg_base_host.hCortex-A9 Zynq开发板使用shared/hw/include/zynq/dx_reg_base_host.h如果使用自定义平台需要根据芯片手册编写新的dx_reg_base_host.h文件主要定义以下关键寄存器地址#define DX_BASE_ENV_REGS 0x50000000 // 环境寄存器基地址 #define DX_ENV_COUNTER_RD_REG_OFFSET 0x10 // 计数器寄存器偏移2.2 工具链配置推荐使用Arm Compiler 5或6工具链确保Makefile中正确设置以下变量CC armclang AR armar CFLAGS -mcpucortex-m3 -O2 -DNO_OS # 根据实际CPU调整3. 运行时库编译详解3.1 关键文件修改移除操作系统依赖在host/Makefile.guards中删除所有$KERNEL_DIR引用将host/proj.cfg中的TEE_OS从freertos改为no-os定时器实现重写 裸机环境下需要使用CryptoCell内部计数器替代系统定时器修改test_pal_time.cuint32_t Test_PalGetTimestamp(void) { return getMicroSecPublic(getCyclesPublic()); } void Test_PalDelay(uint32_t usec) { uint32_t msec (usec 999) / 1000; uint32_t start getMicroSecPublic(getCyclesPublic()); while ((getMicroSecPublic(getCyclesPublic()) - start) / 1000u msec); }3.2 MbedTLS库编译由于运行时API与MbedTLS兼容需要先编译MbedTLS修改prepare_mbedtls.sh添加no_os支持# 在编译参数中添加 CFLAGS -DNO_OS -ffreestanding -nostdlib执行编译命令./prepare_mbedtls.sh clone # 下载源码 ./prepare_mbedtls.sh lib # 编译库生成的库文件libmbedtls.aTLS协议实现libmbedcrypto.a基础加密算法libmbedx509.a证书处理4. SBROM库编译流程4.1 主要修改点SBROM编译相对简单主要修改集中在host/Makefile.guards移除OS相关定义test_pal_time.c使用与运行时相同的定时器实现集成测试文件bsv_integration_test.c中移除线程相关代码4.2 编译命令执行以下命令生成SBROM库make -C host/src/ TEE_OSno_os clean all关键输出文件libcc_312bsv.aSBROM主库libbsv_integration_test.a测试库5. 集成与链接5.1 库文件整合将生成的库文件分类存放/libs /runtime libcc_312.a libmbedtls.a ... /sbrom libcc_312bsv.a ...5.2 链接脚本配置示例链接脚本片段GCC风格MEMORY { FLASH (rx) : ORIGIN 0x08000000, LENGTH 512K RAM (rwx) : ORIGIN 0x20000000, LENGTH 128K } SECTIONS { .text : { *(.text*) *libcc_312.a:(.text*) *libmbedtls.a:(.text*) } FLASH .data : { ... } RAM }6. 常见问题排查6.1 定时器不工作现象调用Test_PalDelay()时卡死 排查步骤检查dx_reg_base_host.h中的寄存器地址是否正确确认CLOCK_HZ宏定义与实际硬件时钟一致使用调试器查看DX_ENV_COUNTER_RD_REG寄存器值是否变化6.2 链接错误典型错误undefined reference to malloc解决方案实现简单的内存管理函数void *malloc(size_t size) { static char heap[HEAP_SIZE]; static size_t ptr 0; void *ret heap[ptr]; ptr size; return ret; }在编译时添加-nostdlib选项7. 性能优化技巧加密算法选择// 在mbedtls_config.h中启用硬件加速 #define MBEDTLS_AES_ALT #define MBEDTLS_SHA256_ALT内存优化修改host/proj.cfgCC_CONFIG_MAX_SIZE_OF_MEM_ALLOC4096 # 降低内存池大小 CC_CONFIG_LOG_LEVEL0 # 关闭调试日志中断处理优化void CryptoCell_IRQHandler(void) { CC_HalClearInterruptBit(); // 最小化中断处理程序 }8. 安全注意事项密钥存储使用SBROM的密钥存储功能而非软件存储在dx_reg_base_host.h中正确定义安全寄存器区域防篡改措施// 启动时校验SBROM完整性 if(CC_SBROM_Verify() ! CC_OK) { CC_PalAbort(Integrity check failed); }侧信道防护启用CryptoCell的DPA防护功能在proj.cfg中设置CC_CONFIG_DPA_MITIGATION_ENABLE19. 测试验证方法基础功能测试make -C host/src/tests/integration_cc3x TEE_OSno_os性能测试uint32_t start Test_PalGetTimestamp(); mbedtls_aes_crypt_ecb(ctx, mode, input, output); uint32_t elapsed Test_PalGetTimestamp() - start;内存占用分析使用arm-none-eabi-size工具查看各段大小在链接脚本中保留调试信息以便分析10. 进阶开发建议自定义算法扩展通过CC_XXX_Register()系列函数添加自定义算法在proj.cfg中启用CC_CONFIG_CUSTOM_ALGORITHM_SUPPORT低功耗优化void EnterLowPowerMode(void) { CC_PalPowerSaveMode(CC_POWER_SAVE_DEEP); __WFI(); }多芯片支持使用条件编译区分不同平台在Makefile中添加CFLAGS -DPLATFORM_$(PLATFORM)在实际项目中我发现合理配置内存池大小能显著降低内存占用。例如将CC_CONFIG_MAX_SIZE_OF_MEM_ALLOC从默认的16KB调整为4KB后内存占用减少了30%而性能仅下降约5%。
)
)
