比特流的身份验证不同于其他分区。FSBL 可完整包含在 OCM 内,从而在器件内部进行身份验证和解密。对于比特流,由于文件大小过大,无法完整包含在器件内,必须使用外部存储器。使用外部存储器会造成难以维持安全性,因为攻击者可能有权访问此外部存储器。请求对比特流进行身份验证时,Bootgen 会将整个比特流分割为多个 8 MB 块,并为每个块提供身份验证证书。如果比特流大小并非 8 MB 的倍数,那么最后一个块包含剩余比特流数据。同时启用身份验证和加密时,首先在比特流上执行加密,然后 Bootgen 会将已加密的数据分割为多个块,并为每个块提供身份验证证书。
图 1. 使用外部存储器执行比特流身份验证
