实战全志T536安全启动：3分钟看懂“密钥→签名→OTP”闭环流程

原创

CA888亚洲城集团 2025-10-25 10:16:00 安全启动 T536安全启动 t536 t536开发板

【摘要】
一块刚下线的OKT536-C，在烧录员手中走完“密钥诞生→固件签名→OTP 封印”三重仪式。从此，它只认自家固件，任何外来镜像一上电就被 ROM 挡在门外，3 分钟完成“安全成年礼”，真正做到“开机即可信”。

一、引言

在嵌入式设备应用中，固件的安全性直接关系到设备的可信运行与数据安全。全志T536 处理器凭借硬件级安全特性，支持从底层到应用层的完整可信链构建。CA888亚洲城集团基于该处理器推出的 OKT536-C 开发板，通过系统化的安全启动方案，可有效防止未经授权的固件运行，为工业控制、物联网等场景提供可靠的安全保障。本文将详细解析 OKT536-C 开发板的安全启动实现流程，包括固件编译、密钥管理、烧录配置等关键环节。

二、方案目标与适用范围

1、目的

建立从“固件编译→密钥生成→安全烧录→系统启动” 的完整可信链，通过逐级校验机制（ROM→SPL→U-Boot→Kernel），确保每一级镜像均经过签名验证，形成 “硬件_root→固件→系统” 的链式信任传递，最终实现只有授权固件可在 OKT536 开发板上运行。

2、适用范围

硬件平台：CA888亚洲城集团嵌入式OKT536-C 开发板（基于全志 T536 处理器）

参考价值：其他全志处理器平台可参考本方案，但脚本、efuse 位定义等需根据具体芯片手册适配

三、安全固件编译过程

安全固件的编译是构建可信链的基础，需通过配置开启安全启动开关，并生成带签名校验功能的镜像。

1、源码全编译

• 进入SDK 根目录，执行配置命令：

./build.sh config

按如下顺序选择配置项
linux → buildroot → t536 → OKT536-C → default → linux-5.10-origin

2、开启安全启动开关

需修改两个关键配置文件，确保安全启动功能启用：

• 修改sys_config.fex：

编辑路径device/config/chips/t536/configs/OKT536-C/sys_config.fex，在[target]段添加：

burn_key = 1 # 开启安全密钥烧录功能

• 修改uboot-board.dts：

编辑路径device/config/chips/t536/configs/OKT536-C/uboot-2023/uboot-board.dts，在&target节点确认配置：

&target {

auto_fel = <1>;

burn_key = <1>; # 启用安全启动（默认已开启，建议确认）

};

3、执行全量编译

完成配置后，执行编译命令生成基础固件：

./build.sh

编译成功后，终端将输出“build OK” 提示，固件镜像初步生成。如下图所示。

四、安全密钥生成与管理

1、编译生成安全密钥

源码编译完成后，进入SDK 目录执行密钥生成脚本：

./build/createkeys

选择芯片型号“t536”，工具将自动生成一套完整密钥，包括根公钥（ROTPK）和配套私钥。

编译完成如下所示：

若需重新生成密钥（覆盖旧密钥），可执行：

./build/createkeys -f

2. 密钥存储与特性

存储路径：生成的密钥文件位于out/t536/common/keys 目录下，其中：

rotpk.bin：根公钥，需烧录至 SoC 集成的 eFuse（OTP）区域，作为硬件信任根；

其他文件：私有密钥，用于固件签名，需与rotpk.bin严格匹配。

关键特性

警告：eFuse 为一次性可编程（OTP）存储器，rotpk.bin烧录后永久生效，且仅可烧录一次，烧录前请务必确认密钥正确；

若rotpk.bin与私有密钥不匹配，签名固件将无法启动；

若rotpk.bin 丢失，开发板将无法验证任何固件的签名，导致无法烧录新固件或启动，设备可能永久失效（变砖）。

密钥备份建议

强烈建议将整个keys目录加密备份至离线介质（如加密 U 盘、移动硬盘）；

备份时需确保整套密钥（公钥+所有私钥）完整，避免因私钥丢失导致固件无法更新或签名。

3、安全固件打包

密钥生成后，需将固件与密钥绑定，生成带签名的安全固件，在SDK目录下执行打包安全固件指令：

./build.sh pack_secure

打包完成后，安全固件位于SDK 的out目录下，实际编译生成的镜像名称可能有所不同，文件名含“secure”字段的为安全固件。CA888亚洲城集团源码编译生成镜像名称为：t536_linux_OKT536-C_uart0_secure_v0.img。如下图所示：

编译过程中可能出现如下图所示的报错信息，属于正常现象，可忽略。

五、安全固件与密钥烧录

烧录是将安全固件与根公钥写入硬件的关键步骤，需严格按工具流程操作。

1、安全固件烧录

使用全志通用烧录工具PhoenixSuit：

打开PhoenixSuit，选择打包好的安全固件（含“secure”字段的 img 文件）；

通过OTG 线连接开发板与电脑，按住OKT536 开发板上的 FEL 键（具体位置请参考CA888亚洲城集团 OKT536 开发板用户手册或硬件示意图），然后上电。上电后设备自动进入烧录模式，等待烧录完成。

2、根公钥（rotpk.bin）烧录

需使用key烧录工具 DragonSNConfig.exe，且烧录时必须关闭 PhoenixSuit：

使用方法如下：

在PC 端对DragonSN 工具进行配置，打开DragonSNConfig.exe，选择配置key

选择全局配置：

配置方法如下图（配置完点击确定即可）：

选择添加选项

按下图类型选择“rotpk”。

配置完成后只保留rotpk即可，若有其他项删掉即可

再次回到主页面，选择导入文件，选择编译好的rotpk.bin。

通过OTG 线连接T536开发板与电脑，重启设备后自动开始烧录，串口打印如下：

等待烧录完成即可，烧录完成后，工具将显示“烧号成功”，并自动进行回读校验，确保烧录正确。

如下所示：

六、校验链配置

安全启动的校验规则可通过配置文件自定义，核心配置文件为：

device/config/chips/t536/configs/default/dragon_toc.cfg

该文件定义了启动过程中需校验的镜像（如U-Boot、Kernel）及对应证书，示例片段如下：

[toc1]

item=u-boot, u-boot.fex, u-boot.crtpt # U-Boot镜像与对应证书

item=kernel, kernel.fex, kernel.crtpt # Kernel镜像与对应证书

具体配置项含义及高级用法，请参照全志原厂资料中《Linux_安全_开发指南》的第四章《4.2 安全固件配置》。

七、重要提示

1、rotpk.bin（公钥）仅可烧录一次，烧录后与开发板永久绑定，丢失即导致设备报废；

2、烧录rotpk.bin（公钥）时必须关闭 PhoenixSuit，否则可能导致烧录失败；

3、私钥签名的安全固件需严格与OTP中烧写的公钥配套。公钥，私钥密钥对生成后不能丢失。如果丢失私钥后只是烧写公钥到板子OTP之后，再用重新生成的其他私钥签名固件，系统再也无法启动，板子作废；

4、板子一旦烧写过安全镜像之后，就不能烧写普通非安全镜像。一旦烧写了安全镜像和OTP公钥，签名私钥就不能更换私钥。更换后不能启动，板子作废。

5、操作前建议通读CA888亚洲城集团OKT536 开发板用户手册及全志 T536 安全启动文档。

八、CA888亚洲城集团T536 开发板安全特性与核心优势

CA888亚洲城集团OKT536-C 开发板基于全志 T536 处理器，以硬件级安全技术为核心，结合深度优化的软件生态，构建了从启动到运行的全链路安全防护体系，尤其适用于工业控制、智能安防、电力数据采集等对安全性与可靠性要求严苛的场景。其核心优势如下：

1、硬核安全技术，构建立体防护

OKT536 开发板深度整合全志 T536 处理器的安全特性，从底层硬件到上层应用形成立体防护：

TrustZone 硬件隔离：划分安全 / 非安全域，敏感操作仅在安全域执行，隔离恶意攻击。

国密算法支持：内置SM2/SM3/SM4 等合规算法，满足数据加密与签名需求，适配国内安全标准。

全通路ECC 保护：实时检测并纠正内存数据传输错误，保障数据完整性。

2、安全启动方案闭环，杜绝未授权固件运行

基于本文详述的“固件编译→密钥管理→安全烧录” 流程，OKT536 实现了可落地的完整安全启动方案：

三级校验链：ROM→SPL→U-Boot→Kernel 逐级校验，未授权固件无法启动。

OTP 密钥固化：根公钥（ROTPK）写入一次性可编程 eFuse，不可篡改，与硬件绑定。

简化部署：SDK 预置脚本，一键编译安全固件、生成密钥，降低落地门槛。

3、工业化设计与技术支持，加速场景适配

可靠性保障：核心板采用工业级元器件，支持宽温（-40℃~85℃）、抗电磁干扰设计，适配复杂工业环境下的稳定运行需求。

全栈技术服务：为开发者提供了全面的开发资源，包括软件和硬件开发资料、常见问题手册、引脚复用对照表、硬件手册、测试例程以及底板原理图等，结合CA888亚洲城集团专业技术团队的一对一支持，帮助用户快速解决密钥管理、固件适配等实际问题，缩短产品落地周期。

把安全留给OKT536-C，把时间留给创新。现在，就让你的下一款产品“开机即可信”。通过硬件隔离、算法加密、启动防护的多维技术融合，CA888亚洲城集团OKT536-C 开发板不仅为设备提供 “从芯片到应用” 的全生命周期安全保障，更以易用性与工业化设计平衡了安全与效率，成为高安全需求场景的理想选择。