openwrt使用sysupgrade升级的时候，只会对固件的头部image进行校验是否合法，不会校验固件的完整性，所以当固件只有头部正常其他地方被破坏修改后，这个固件就是危险的，一旦升级就会出现变砖的情况。

为了验证固件的完整性和合法性，可以有两种方式进行保护。

• 添加一个校验文件，跟固件打包在一起
• 在原有的固件前面/后面追加校验信息

方式1：压缩、解压校验升级

1.压缩

在编译生成sysupgrade.bin之后，计算该固件的md5sum/sha256sum，然后将校验值和固件的型号model、版本version等信息写入校验文件中，内容如下：

check_file

md5sum:63be2932ff52dfb99ece030338b51ec6
model:ZHAAA
version:1.0.0

所以升级包会有两个文件

sysupgrade.bin
check_file

2.解压校验

使用sysupgrade升级的时候，先将压缩包解压，然后判断型号model是否一致、判断固件的md5sum是否一致，一致则可以走正常升级写入逻辑。

方式2：签名、验签升级

使用上面的方式有一个明显的弊端，会占用两份内存，下载下来的压缩包是一个包、解压后又要占用内存。

所以可以把校验信息直接追加到固件里面，在写入flash的时候，把校验信息剥离掉即可。

1 签名过程

需要先写一套签名工具，比如我这边的zsign。

在openwrt编译的最后会调用./target/linux/mtk/image/Makefile里面的BuildFirmware函数，内容如下

# u-boot: 512K
# config: 512K
# factory: 256K
# firmware: 32MB
# kpanic: 512K
# bdinfo: 512K
# reserve: 512K
# opt: ~
define BuildFirmware/zrNAND
        @mkdir -p $(BIN_DIR)/$(2)/$(ROM_PREFIX)
        $(call MkImageLzma,$(2),$(3),$(5))
        $(call Sysupgrade/KRuImage,$(1),$(2),$(4),128k)
        $(eval BUILD_TIME:= $(shell cat $(TARGET_DIR)/etc/zihome_build_time))
        $(eval DEST_PREFIX := $(BIN_DIR)/$(2)/$(ROM_PREFIX)/$(2)-$(ROM_PREFIX)_$(BUILD_TIME))
        $(CP) $(call sysupname,$(1),$(2)) $(DEST_PREFIX)-sysupgrade.bin; \
        if [ -f "$(BIN_DIR)/$(2)-uboot.bin" ]; then \
                $(CP) $(BIN_DIR)/$(2)-uboot.bin $(DEST_PREFIX)-uboot.bin; \
                if [ -f $(TOPDIR)/zkeys/rom-keys/zihome.key -a $(TOPDIR)/zkeys/rom-keys/zihome.crt ]; then \
                        (dd if=$(DEST_PREFIX)-uboot.bin bs=524288 conv=sync;) >$(DEST_PREFIX)-uboot-pad.bin; \
                        $(STAGING_DIR_HOST)/bin/zsign -b $(DEST_PREFIX)-uboot-pad.bin -s $(DEST_PREFIX)-sysupgrade.bin -o $(DEST_PREFIX)-sign -k $(TOPDIR)/zkeys/rom-keys/zihome.key;\
                        (dd if=$(DEST_PREFIX)-uboot-pad.bin bs=524288 conv=sync; dd if=$(DEST_PREFIX)-sign) >$(DEST_PREFIX)-uboot-sign.bin; \
                        (dd if=$(DEST_PREFIX)-uboot-sign.bin bs=1310720 conv=sync; dd if=$(DEST_PREFIX)-sysupgrade.bin ) >$(DEST_PREFIX)-flash.bin; \
                        $(STAGING_DIR_HOST)/bin/mt7621-nand-ecc e 2048 64 $(DEST_PREFIX)-flash.bin $(DEST_PREFIX)-factory.bin >/dev/null 2>&1; \
                        rm -rf $(DEST_PREFIX)-sysupgrade.bin; \
                        rm -rf $(DEST_PREFIX)-uboot-pad.bin $(DEST_PREFIX)-uboot-sign.bin $(DEST_PREFIX)-sign $(DEST_PREFIX)-uboot.bin; \
                else \
                        (dd if=$(DEST_PREFIX)-uboot.bin bs=1310720 conv=sync; dd if=$(DEST_PREFIX)-sysupgrade.bin ) >$(DEST_PREFIX)-flash.bin; \
                fi; \
        fi;

        $(call DebugRoot/prepare,$(DEST_PREFIX)-debug-root.tar.gz)
endef

• 使用zsign -b $(DEST_PREFIX)-uboot-pad.bin -s $(DEST_PREFIX)-sysupgrade.bin -o $(DEST_PREFIX)-sign -k $(TOPDIR)/zkeys/rom-keys/zihome.key生产签名文件
• 把签名文件追加到uboot分区(512K)之后
• 把sysupgrade文件追加到firmware分区(512+512+256=1280K)开始处，得到flash.bin固件
• 使用mt7621-nand-ecc命令将flash固件转换成factory固件(NAND FLASH特有，需要追加oob信息)

上面的命令用到zsign生成签名后生成最后的固件$(DEST_PREFIX)-flash.bin和$(DEST_PREFIX)-factory.bin

2.固件验签

1 验签过程

对应的需要写一套验签工具，比如我这边的zcheck。

当sysupgrade的时候，先使用zcheck进行校验是否正常。

./lib/upgrade/platform.sh:40: zcheck -b "$board" -R -o 0x80000 -f "$1" >>$UPGRADE_LOG_FILE 2>&1

如果正常的话，写入flash的时候会跳过前面1280K，只读取后面sysupgrade的信息进行写入。

# skip 1280K
get_image "$1" | dd bs=2k skip=640 conv=sync 2>/dev/null | mtd write - "${PART_NAME:-image}" >>$UPGRADE_LOG_FILE 2>&1