引言
' ^9 c% B% I5 I& V' G+ ?' F2 V) w本应用笔记介绍了 STM32 微控制器的安全基础知识。
+ P& d0 ^' D3 s+ n4 W2 n微控制器中的安全性涵盖了几个方面，其中包括固件知识产权保护、设备私有数据保护以及服务执行保证。
) b) V1 q* z; q# r3 N, Y在物联网的背景下，安全性更加重要。大量联网器件成为了攻击者的主要目标，一些远程攻击通过器件通信通道的弱点对其进行攻击。对于物联网，信息安全的要求从机密性和身份认证扩展到了通信渠道，这些通信渠道往往要求加密。
* C+ E8 C' F6 [! x本文档旨在通过对不同攻击类型采取对策来帮助构建安全系统。
4 ~' B3 |/ a7 [* C! q6 S/ r8 m! A# L在第一部分，在快速概述不同类型的威胁之后，会提供一些典型的攻击示例，以展示攻击者如何利用嵌入式系统中的不同弱点。
! [4 e. k/ N$ `6 E8 P5 \) q; x3 s3 U接下来的几节重点介绍了保护系统免受这些攻击的一套硬件和软件防护。
8 [4 y4 h9 i) Z% s1 n最后几节列出了 STM32 系列中可用的所有安全功能，并提供了用于构建安全系统的指南。

+ q" a  f0 v1 a: ~

; y# G) K7 V9 F0 \# K# ^
* D# S6 _% q) i, }0 T1 概述
下表提供了本文所用的缩略词及其意义的非详尽列表。
表 2. 词汇表

1 W# V- \) j- n

1 I# j# @. q! g$ a# q
! N8 M$ p' E7 Y* e
4 q% I$ V; e4 R4 ?" v术语
9 h2 v) q6 [  s" x4 }; O, E
参考文档
; p! \2 C) i$ R. S& m5 N各器件的参考手册详细介绍了可用的安全特性以及存储器保护实现的信息。
每个 Arm® Cortex®版本均提供有编程手册，可用于说明 MPU（内存保护单元）：
6 ?! I' b. p) [. |$ F5 f• STM32L5 系列 Cortex®-M33+ 编程手册（PM0264）。
! h  ~/ _+ J3 _* U/ q+ n0 [& N• STM32F7 系列和 STM32H7 系列 Cortex®-M7 处理器编程手册（PM0253）
• STM32F3 系列、STM32F4 系列、STM32L4 系列和 STM32L4+系列 Cortex®-M4 编程手册（PM0214）
7 V% L3 ^) J& p# J" \• STM32F10xxx/20xxx/21xxx/L1xxxx Cortex®-M3 编程手册（PM0056）
• STM32L0 系列和 STM32G0 系列 Cortex®-M0+编程手册（PM0223）
有关某些安全特性的详细说明，请参考以下用户手册和应用笔记（可从 www.st.com 获取）：
# j  L) q2 D9 B• 用户手册 UM1924“STM32 加密库”：介绍了 STM32 加密库的 API；随附 X‑CUBE‑CRYPTOLIB 扩展包。
• 用户手册 UM2262 “X-CUBE-SBSFU STM32Cube 扩展包入门”：介绍了 ST 的 SB（安全启动）和 SFU（安全固件更新）解决方案；随附 X‑CUBE‑SBSFU 扩展包。
• 应用笔记 AN4246、AN4701、AN4758、AN4968“STM32xx 微控制器上专有代码读出保护”：说明如何为STM32L1、F4、L4 和 F7 系列分别设置和使用 PCROP 固件；随附 X‑CUBE‑PCROP 扩展包。
• 应用笔记 AN4838“STM32 MCU 中内存保护单元（MPU）的管理”：介绍了如何在 STM32 产品中管理 MPU。
8 ~5 t9 {2 v% O8 |! ?8 h; {• 应用笔记 AN5185“STM32WB ST 固件升级服务”

提示
Arm 是 Arm Limited（或其子公司）在美国和/或其他地区的注册商标。
- Rev 4
2 概述
2.1 安全保护的目的
为何需要采取保护措施
微控制器中的安全性是指保护内置的固件、数据以及系统功能。而对于数据保护有需求的场合，尤其是密钥和个人数据最为重要。
固件代码也是重要的资产。如果攻击者能够访问二进制代码，便可对程序进行逆向工程，尝试找到其它漏洞，绕过许可和软件限制。攻击者可以复制任何自定义算法，甚至可以使用它来刷新硬件的克隆。即使是开源软件，也有必要证明代码的真实性，而且并未被恶意固件替代。
考虑到系统层面的保护，如环境，包含气体，火灾或侵蚀，检测报警或监控摄像头，拒绝报务攻击（DoS 攻击）是另一种主要威胁。系统功能须具有稳健、可靠的特性。
6 [7 a' c, n. k( m即使安全要求增加了系统的复杂性，也不得低估其地位。如今，越来越多的技术熟练的攻击者将基于微控制器构建的系统做为潜在目标，希望以此实现经济获益。这些收益可能会非常高，特别是在攻击可大规模传播（比如在 IoT环境中）的情况下。即使系统无法达到完全安全，也可以提高攻击的成本。
事实上，IoT 或智能设备已提高了对安全的要求。互联设备可远程访问，因此对黑客来说极具吸引力。这个连接性本身可能为攻击提供了一个基于协议弱点的入口。一旦成功实施攻击后，一台被破解的设备会破坏整个网络的完整性（请参见下图）。


" N+ Q6 R! t& P3 C( c4 Y& M

, x! |: O. ]7 t/ i8 t# f
/ p& K8 @: m" K& ^设备什么需要被保护
安全不能局限于特定的目标或资产。如果代码二进制文件一旦被公开，则很难保护数据，对应攻击行为和保护机制很难被区分。但是对资产和风险进行汇总仍然非常有用。
& b' t3 a! G$ |. D! f下表介绍的是被攻击者当做目标的部分资产列表。
5 p3 P: s0 |/ u8 x$ H- }


* C' B$ {& @& r4 I/ B% S+ ^ 目标
( e; g$ F- ?6 Q. ?/ g, n( Q资产
! n* _& }! q$ H弱点、威胁和攻击
- j7 s# N* s* z, U/ c保护机制需要处理不同的威胁。目的在于消除攻击中可能利用的弱点。第 3 节 攻击类型中概括介绍了主要攻击类型（从基本攻击到最高级的攻击）。
下面介绍有关安全的三要素：
% L: Y! f; r/ D) ~6 o/ U6 x' ~• 资产：需要保护的内容
$ X0 O) u1 M4 S& h/ |/ z7 V$ u• 威胁：需要保护器件/用户免于的内容
• 弱点：保护机制中存在的漏洞或缺陷
2 }% M( a; f! z$ w3 P7 ^' w; F' d7 ~. A总而言之，攻击是指一种利用系统漏洞访问资产的实现。
$ O8 W% T  ~; |3 R/ z: ~1 H
2 O) V% e/ R/ U* D( L; e
( F) r' T  b2 @" H完整版请查看：附件