安全验证调试步骤总结（基于SEC工具实现）

小恩GG

安全验证调试步骤总结（基于SEC工具实现）

1. 背景

先前已发布过安全验证调试的方法文档。随着SEC工具版本更新，现在通过SEC工具实现安全验证调试更加便捷。本次DFAE培训以MCXN947为例介绍了具体步骤，本文将流程总结为清晰的操作步骤，并附有操作视频。

2. 安全验证调试流程

完整流程如下：

​​1）OEM部署板子​​：包括启用secure boot、debug authentication和life cycle配置，完成后将板子发送给终端客户。
​​2）终端客户反馈问题​​：客户在使用中发现问题，要求现场技术（FT）调试。
​​3）FT申请调试证书​​：生成密钥对并发送给OEM。
​​4）OEM生成证书​​：生成调试证书并发送给FT。
​​5）FT启用调试​​：使用证书打开调试端口（不断电情况下持续有效）。

3. 具体步骤

3.1 OEM启用安全认证调试

在产品开发完成后，可关闭调试端口防止恶意篡改。为支持现场调试，需通过SEC工具启用安全认证调试功能

1)将FRDM-MCXN947进入ISP模式。
2)在SEC工具中为MCXN947创建工作空间并连接开发板。
3)选择Boot模式为Plain signed。
4)导入镜像文件。


5)切换到PKI Management视图。
6)点击Generate keys...生成安全调试所需的密钥。


7)切换到Build image视图，选择步骤6)生成的密钥对之一，生成随机数。


8)点击OTP/CMPA/CFPA configuration配置CMPA和CFPA区域：


- SEC_BOOT_EN选择ESDSA_SIGNED/0b11（或点击Fix自动配置）
- 以下参数均配置为0xFFBF0040：
    DCFG_CC_SOCU_PIN
    DCFG_CC_SOCU_DFLT
    DCFG_CC_SOCU_NS_PIN
    DCFG_CC_SOCU_NS_DFLT
- CFPA_LC_STATE配置为IN_FIELD/0xF


）
9）返回Build image视图编译。
10）切换到Write image视图，点击Write image完成部署。

3.2 现场技术人员（FT）申请调试证书

当需要调试客户返回的设备时：

• 联系OEM获取ROT密钥类型和长度。
• 在SEC工具中创建MCXN947工作空间，进入PKI Management视图。
• 点击Generate keys...生成调试密钥（需与ROT密钥类型/长度相同）。
  

    4. 点击Create debug certificate request生成证书申请：
      - 指定UUID限制证书使用范围（设为0则通用）
      - 开发周期中可通过UART/USB读取设备UUID

   5.将证书请求文件发送给OEM。

3.3 OEM生成调试证书

OEM操作步骤：

• 新建/打开MCXN947工作空间，进入PKI Management视图。
• 点击Generate debug certificate。
• 选择收到的证书请求文件。
• 使用ROT密钥对证书签名。
• 点击“OK”，证书生成完成。
  

- 证书默认保存至<workspace>/debug_auth/debug_auth_cert.dc
- 同时生成包含证书和说明文件的ZIP包

3.4 FT打开调试端口

FT收到证书后的操作：

• 新建/打开MCXN947工作空间，进入PKI  Management视图。
• 点击Open debug port...。
• 导入OEM提供的证书。
• 导入3.2步骤生成的调试密钥。
• 连接FRDM-MCXN947开发板。
• 点击OK开始验证：
  
  
  
  
  - 成功显示Success: Open debug port即可调试
  - 认证为单次有效（断电后需重新认证）
  
  

4 总结

​​通过SEC工具实现的安全验证调试流程，构建了从OEM安全部署到现场技术调试的完整闭环。该方案既保障了产品安全防护（通过密钥认证和单次有效机制），又为现场问题诊断提供了可控的调试通道。

阅读全文