密钥的安全存储与使用
• 安全通信、用户数据加密存储等都离不开密钥，密钥安全存储与使用是嵌入式系统中常见的安全功能需求之一
• MCU上对于密钥的保护通常会从几个方面着眼
• 调试端口访问
    • 避免通过调试端口获取密钥，通常通过调试端口保护机制来实现
• 软件代码访问
     • 禁止任意软件直接读取密钥，避免由于软件漏洞可能带来的密钥被恶意代码获取的风险，可以通过隔离机制来实现
• 运行期间对密钥使用的保护
   • 如果加解密操作通过软件实现，那么软件隔离机制是方法之一
   • 如果加解密操作可以通过硬件单元完成，那么让密钥只能由硬件直接操作而不允许CPU/DMA访问也是一种有效的方法

STM32H7新特性提供基于片上Flash的安全存储
• 调试端口连接可控
        • 在RDP0条件下也可实现对调试端口的保护：上电调试接口即不可连接（类似RDP2的效果）
        • 比RDP2更灵活：可以由用户代码控制调试端口访问权限，实现安全调试，并保留修改选项字节的可能性
• PCROP区域阻断D-Bus访问，防止程序窃取敏感数据
• 用户片上Flash进一步隔离
       • 保护根密钥不被木马程序盗取
• CRYP的KEY寄存器具有只写属性
       • 普通代码可以使用它对存储在普通区域的敏感数据密文做解密操作，但是无法拿到密钥本身




STM32H7 硬件安全特性与机制
• 支持 “安全用户存储区” 的STM32H7系列
• 安全STM32H7的 启动路径
• 安全STM32H7的 “安全用户存储区”
• 安全STM32H7的 安全调试
• CRYP模块密钥寄存器具有只写(WO)特性



完整版请查看：附件