STM32 MCU内建多种安全功能，为设备信息安全打造坚固的平台，在这个平台的基础上进而可以运行可信的进程以及密码学操作。STM32 MCU底层硬件具备的安全能力能够覆盖存储访问保护、代码/系统隔离、启动入口限定、防篡改检测、密码学算法加速等多方面的安全需求，例如：


身份识别：UID, OTP

9 M1 S0 F( {+ E4 r# ]
" ?# H0 r/ `# F* b0 k3 c存储访问保护/软件IP保护：RDP（读保护），WRP（写保护），PCROP（专有代码保护），OTFDEC（On-The-Fly Decryption实时解密模块）
- o" h' K" A4 c
+ Z! ?/ W2 ~4 _; B$ d* j
代码/系统隔离：MPU，Firewall（防火墙），TrustZone，Secure User Memory（安全用户存储区）
# A) C* t0 @7 {  Q* ?) K9 t
; C; `' J3 Z* b$ p
7 Z! n' Z+ A3 ~. R启动入口限定：RDP2，BOOTLOCK（启动锁定）
% ]  ?& N: }; ^8 b
% Z; }# c( G+ U" }7 [3 _' G  @
防篡改检测：Anti-Tamper


密码学算法硬件：AES，HASH，PKA，TRNG

芯片硬件安全功能结合软件能够实现更多应用层的安全功能，例如安全启动，安全更新，安全存储，安全通信，可信执行环境等等。
: ~' v  X! A% @9 i5 v
这次我们将手把手教你如何基于防火墙和PCROP在STM32L0上实现关键数据和代码保护。

6 T5 n8 i( {5 B; r. d1 X  gSTM32L现有5大子系列，STM32L0、STM32L1、STM32L4/STM32L4+和刚刚宣布量产的STM32L5，为低功耗应用提供了完整的解决方案。
! y" x  ^0 I4 s
2 q6 V) U& z# L0 LSTM32L0系列是意法半导体的入门级32位超低功耗MCU产品组合，旨在实现卓越的低功耗水平。由此产生了真正的超低功耗MCU，125℃时的功耗为世界最低。ARM® Cortex®-M0+内核与STM32超低功耗特性的独有结合，使STM32L0非常适合电池供电或供电来自能量收集的应用。

STM32L0和STM32L4系列的硬件除了通常的RDP、WRP，还带有Firewall和PCROP硬件安全特性。使用STM32的security硬件模块(Firewall和PCROP)实现对关键数据(密钥)的保护:应用代码可以使用加解密功能，但是无法拿到密钥。本方案提供了在STM32L073（STM32L073-Nucleo）上的参考实现，以及相应测试代码。
9 C: j/ x, R3 z) L2 A) }$ I3 v4 J7 m0 M  p
4 b, a0 e' b1 Y; B: H) e方案包的内容包括：
6 }; i6 I! {0 L. S, D  S" y0 M

三个IDE下的示例工程：IAR，MDK，STM32CubeIDE


- m0 q# d6 |, G4 t& n方案介绍文档
) S. w5 Q; w5 n* V

脚本工具(生成秘钥相关文件)
6 {; l; o, J7 X5 F8 k( B
9 @7 h7 a" e4 C# J. }1 l( [

PCROP私有代码保护

5 ~0 a! Y: N- S5 O. n4 CPCROP提供了一个额外层次的代码保护，PCROP可以设置内部Flash的指定区域成为只能执行的代码区域，该区域无法被读取（作为数据），修改或擦除，也就是说无论是通过调试器还是芯片运行的代码（包括运行在PCROP区域内部的代码本身）都无法读取PCROP保护区域的指令，而且，即使在RDP0的状态下，PCROP所保护的区域也无法通过调试器进行数据读取。

! C4 d; @/ U( N' H( hPCROP的常见用途是联合开发，对部分软件IP进行保护，受保护部分的代码不能被二次开发用户读出或修改，但是其中的函数API可以被调用。PCROP同时也可以成为对数据进行某种程度保护的手段，这时候，需要将被保护的数据转换成一段指令，只有执行该段指令之后，数据才会被恢复到寄存器或者RAM当中。

2 p. A" |7 @6 sPCROP主要防止来自CPU、DMA以及通过调试端口的数据访问；PCROP主要保护用户片上Flash的一段区域(由选项字节设置区域范围，保护上电即生效)。其保护机制是PCROP区域仅能被指令访问，不允许数据访问(包括DMA 、调试访问) 。

8 w1 w4 A6 G$ z! c/ n0 E主要用途包括：
  h' A9 O( |, l5 R1 F

常用于保护关键代码，只可被执行，不能被读出(dump)
防止内部攻击:注入恶意程序读取关键代码
防止外部攻击:来自调试端口的读取
! C; b/ o; T" K. S也可用于保护“代码化的” 关键常数数据
需要先将关键常数转换成代码
/ L* o' g8 Q( H0 y6 sCPU执行这段代码，会把关键数据恢复到SRAM或者寄存器中，这段SRAM再 使用STM32的其他存储和执行保护模块，比如Firewall保护，防止恢复出来的 关键数据被用户代码直接读取;或者寄存器本身是WO属性

, K1 b5 [: A7 X' M

Firewall防火墙

$ V6 O5 P5 {+ y: H" O( q使用Firewall防火墙硬件IP，可以在片上Flash和RAM中隔离出一块隔离区，该隔离区具有唯一的入口，只有从该入口进入后防火墙隔离区域内的代码和数据才能够被执行和访问，从防火墙保护区域跳转出去之前也必须进行关闭操作才能够允许跳转，也就是说函数只能从设计允许的出口退出，除此之外的任意的调用、访问和跳转都会引发系统复位。
8 z/ f4 s) n5 F' q! J0 f
通过防火墙提供的隔离功能，部分关键的软件功能和数据可以放置于防火墙隔离区内，防火墙外的应用程序只能够通过防火墙提供的唯一入口函数调用防火墙内部的功能，而无法直接看到其中的代码或者数据，起到将关键操作与系统其它部分的软件隔离开的作用。

) @7 a* x. ^) X1 n防火墙的功能是系统运行后动态开启的，而不是来自OptionByte的静态设置，但是防火墙一旦使能，则在当前的Power Cycle始终有效，且不能被禁止，直到下一次复位。

  H+ \8 a, O3 }" O, J9 ?具有防火墙功能的STM32系列包括STM32L0和STM32L4。

6 _% [8 V& |' P# _) ]5 e) y- c防火墙主要用于防护CPU，DMA，保护用户片上Flash、片上EEPROM 和 片上SRAM上的指定区域(防火墙里的区域)。
$ h. ~- h: W  [9 S
" S3 w8 z5 \0 _# c
保护机制：
( T( a5 w1 i5 u' p0 N4 i
/ @2 f! x4 ^: {7 q; }/ @7 Q) a
防火墙里的代码、数据不能被墙外的代码直接访问

0 j( o. F" E! N" a% \
必须走固定入口(Call Gate)进入墙里再访问


出去(跳转到防火墙以外的代码)之前必须置位寄存器


否则产生系统复位

- l2 T" w  W# N
, j$ b' V6 Y" G（对中断的影响: 进墙之前，应用需要关中断；出墙之后，应用需要开中断）
2 j: }9 F; b6 w
& Y, S* [4 `1 d
由寄存器设置范围并使能，即上电缺省没有保护

& w. U  _9 f8 N; Q1 _
一旦防火墙使能，保护生效直到下一次系统复位

使用PCROP和防火墙保护关键数据和操作: 密钥及使用密钥的加解密操作


加解密函数放在防火墙(Firewall)的Code segment

" d7 R$ b6 g0 R( `, s( G3 c6 J
终端客户的密钥代码化后，放在PCROP区域里，该区域也是防火墙的一部分；执行密钥代码把密钥数据恢复到也由防火墙保护的SRAM中

4 J2 F  L$ m) Z+ ^9 [+ Y
墙外的用户代码要调用加解密函数，必须走固定的地址进入(防火墙Call Gate)，并以参数的形式指定调用具体的加解密函数
+ j' D8 v" w  L* f2 s
5 F; c1 O/ V( j5 [
4 K' D: }9 U( G7 {9 h墙内的加解密函数调用同在墙内的密钥代码，从而把密钥数据恢复到SRAM中，供加解密函数使用
+ F8 l0 ?! ]  E5 V: V; `9 R: U

墙外的代码不能直接调用墙内的加解密函数，也不能直接读写墙内的数据，否则系统复位

% l: f2 ~. J. W3 o( E+ S1 i" R保护方案图解
) v4 b, V; G' H" ]3 r4 X

# b. \! ^+ f0 t- w( f: s" i- X. H  t允许的访问:
1 Y% A+ r0 Y; e* K
" q& |4 k+ M5 R8 f* J; t* n/ h. S
墙外代码通过callgate进入墙内，调用墙内代码
7 |5 w0 U5 Y. K* o

墙内代码执行也在墙内的PCROP区域
5 Z" O' W" ?5 u7 s
' Y$ f+ n9 }0 b4 }: w
墙内代码读写墙内的数据
, b, [* e& C4 q" L9 m
0 K- N" b2 G4 K非法的访问:
$ {( r  q" d, F

墙外代码企图直接调用墙内代码
7 ?* L! M$ X7 W0 R( F4 ^* M
. h8 x/ z' w) G( O
墙内代码读写墙的PCROP区域

! u* Y, N6 Q# f% k
( y, ^% G. H: U墙外代码企图直接读写墙内数据
4 P) F8 `$ @4 `' S1 e7 F. \* v! s

和不使用PCROP和防火墙的普通方案比较：
8 p9 x8 s9 H# `8 J2 @+ i2 H$ \
; P# F  L* o0 g9 G' @6 F: i4 D
未使用PCROP、FW功能的方案
! C# p: h/ _# p- g' ^5 V, ?3 o9 u# H$ f
) H' B+ p7 ~1 B; B2 H. o' ?$ c
密钥数据未受保护
- k# {" D& P8 j6 ?) L/ ]% q4 J5 L
" ^* E1 Z, I7 D# }, i; d
内部攻击，注入的恶意程序可以直接读取
8 v4 q8 ?) s% o  f! d2 q- T
  i6 Z7 c1 r) N5 F5 M( f! l  i& b
6 V4 m( T" A% }8 F! H/ X# U  U外部攻击，通过调试probe可以读取(没有 RDP的情况下)
. b, P! {3 S! A

7 R& }4 k) W& k5 @1 |' p
% P* M' N6 b8 |3 J* x2 [9 o
本方案
1 K; y3 F' m7 C3 ~

% E* N" s( J" a" H4 c' X3 w密钥数据被PCROP和Fire wall双重保护
- f' M$ {7 }6 x7 Z& L3 H8 N

4 R9 M1 y1 Z) {' V5 t加解密功能被Fire wall保护
# r3 H1 m; J8 o$ d* T, j
& Q) X( @: q  u  {/ S- n& E6 g. f
, [8 D/ W8 g& u+ y& a6 S墙外代码可以使用加解密功能，但得不到密钥数据

, x; D/ u& D; L9 ^  a
3 Q5 d* C$ f4 D( ?  O

STM32L0上的密钥保护方案示例

STM32L0的PCROP

" ^! s$ D( ~) M% _STM32L0的Firewall
7 X, c- X" q: `- ?; o

STM32L0上的密钥保护Demo(1)

STM32L0上的密钥保护Demo(2)

" r9 z" R0 Q, T3 [6 ^0 T. oSTM32L0上的密钥保护Demo(3)
% p. q$ c' l( f# P8 R$ g

墙外代码合法调用墙内代码:走Callgate进入
0 C+ G' e  ?; ]' d

外部代码访问墙里的代码，进入callgate之前需要关中断，退出后开中断
+ F" `/ N* N( p) T8 o' X

6 R* s8 ~: }5 y; Z- s, ySE_EnterSecureMode&SE_ExitSecureMode
3 ], {  Y! `4 b: X  j! S给函数指针赋值 fp=...CALL_GATE_FUNCTIOIN_ADDR +1 = 0x0800 0505


该函数指针带两个参数，发起调用
6 w1 N9 H# n8 l2 m5 Y

, @% Z- N0 A2 q' {8 h% c
. f+ F2 e; O" E3 W墙内代码可以随意调用墙内代码、数据
) X7 ?8 D; @2 _9 U( d4 w

& D) ?. g7 Q& j' [2 J
STM32L0上的密钥保护Demo(4)

5 I) s( m. A. _9 q" E; P+ X墙外代码的非法访问，被识别和阻止

) y$ z* C4 }  D# }应用key的生成和烧录

例程Setup

% w4 c! x' r4 `: f* J. Y% ]
·解压缩例程包
·下载X-Cube-Cryptolib软件包(https://www.st.com/x-cube-cryptolib)，将软件包中FW库 L0对应目录下的Middlewares文件夹拷贝到例程包对应位置(参见下面左图)
·使用你熟悉的IDE，分别打开Boot和App两个工程，编译后分别下载
·使用STM32CubeProgrammer把例程包里的密钥文件烧写到0x08004000(参见下面右图)
·使用STM32CubeProgrammer设置0x08004000开始的4KB区域为PCROP保护
1 g3 }* @1 L/ r# r  ]1 Y3 _. `$ p·STM32L0上，闪存扇区的“写保护”和“PCROP保护”都由WRPOT控制
·当WRPMOD=1，WRPOT=0，表示对应扇区被PCROP
+ R' M+ H7 A" r" x·勾选WRPMOD;除了WRPOT4之外，其他WRPOTx都勾选上
# ~8 S( U6 u* |5 r8 ]% k, D·打开串口调试助手
* O- C. Y8 i, C# U6 i( G/ ~/ r4 t115200，8 bit数据位，1 bit停止位;无校验位，无流控
·STM32L073-Nucleo板:按复位键，运行
) J# _: ?' A8 v

! [/ ^- y; m! V1 c. c. r% K$ p
6 F" X. B1 j; t; u, m测试案例(1)
1 W- j5 o0 b7 d& D. U+ }: y
* ^4 `3 c$ P7 i" L
  S9 G0 L5 ?4 Q: D1 i代码化KEY未烧录或已擦除：使用hardcode的缺省Key


BL不会设置和使能防火墙


( o/ O- P7 ?- G) N1 n; N( X用户未使能PCROP

# e( T- ~$ l" D( n' T/ Z
case 2: 读取墙内数据 → OK
case 3: 写墙内数据 → OK
case 4:直接调用敏感代码 → 执行0指令码， hard fault
* h; J, _+ e# z4 D: G5 B) ~case 5:直接读取敏感数据 → OK
* I; ?+ W- x; icase 6:合法调用加密函数 → 加密失败
case 7:合法调用解密函数 → 解密失败
4 a; Z' m# }/ v# |' K7 }$ m1 f8 J

5 \. n$ N1 z# K

! x6 G/ c4 x) S5 D* D( {

* H- u) w6 U: W6 K" D测试案例(2)
7 o; E6 R  ~; d+ o

7 u5 b4 J* B' q* @

8 |: F" F: b2 O( f/ B8 r% B/ K* }: A& z

0 b" U2 F; F* Y7 w! u

IDE相关的链接文件

) h- O2 p* ~: b
( Q; V0 ^. ?: t+ i; s存储区域分配及其Layout

把函数放到指定地址
+ \) p1 I) L/ X: ~. {* Q" s' a

+ l% M0 p; f% k7 |: a" `' Q8 M1 t; i
通过链接文件实现期望的存储区分配- Boot工程，IAR环境下的 linker.icf 文件
2 m" N! y3 e4 f* r- Z- p

通过链接文件实现期望的存储区分配—— Boot工程，MDK环境下的 linker.sct 文件

4 j. o5 ]! |) P. w3 a
通过链接文件实现期望的存储区分配 ——Boot工程，STM32CubeIDE环境下的 linker.ld文件
( F, t6 M9 s7 X' A# U

# V% L$ A/ m+ j% T
通过链接文件实现期望的存储区分配 Boot工程，STM32CubeIDE环境下的 linker.ld文件

7 f& k5 F4 ?; O, L- C" s
/ m/ U3 P( ^; {9 x% P9 M% _