物联网时代，因为要联网就牵涉到一个重要的问题

本文就带你认识STM32Trust，以及在STM32上支持的一种SMI技术。

1STM32Trust介绍
8 D* A9 f; N5 W& QSTM32Trust是基于STM32，在带有STSAFE安全组件的微处理器，提供了一种强大的多级策略来增强产品设计时的安全性。
7 V6 h8 m2 x  f' WSTM32Trust是一套STM32解决方案（可以理解为是STM32的一套工具），提供完整的代码保护和执行保护工具套件。
' d% v+ [4 @* z; z4 w" y6 ISTM32Trust提供了12种安全功能，如下图：

12种功能大概可以分为 代码保护 和 执行保护 两大类：
' I- \( j/ W( G' f9 A+ j" g) L0 i
% ]0 w1 N& n3 k, M! X

1.代码保护
STM32Trust.CodeProtection一套解决方案，以确保烧写STM32时，客户代码的机密性和完整性。
! ^! D9 V+ _- P! w  C: W某些STM32 单片机型号已嵌入硬件安全保护功能，还额外实现了篡改检测、防火墙代码隔离机制和Arm TrustZone®技术，来保护最敏感的代码。
  V/ E2 N! G* Y/ z3 V0 s7 T代码保护方案支持的STM32列表：

$ v! `( [$ _5 ]" W5 m3 l
几个概念：
①SBSFU：Secure Boot and Secure Firmware Update，安全启动和安全固件更新。
②CRYPTOLIB：cryptographic firmware library，加密固件库。
& i! \/ z/ L. x& O③SFI：Secure Firmware Installation，安全固件安装解决方案。
2.执行保护
6 t1 m4 Q7 v7 e设备成为商业产品就易成为受攻击的目标，需要对信息安全攻击具有免疫力。因而需要采取信息安全防护措施，以确保固件IP受到保护，机密凭证和数据受应用程序保护，而不会被破坏。
1 F8 y9 G+ E4 t执行保护方案支持的STM32列表：




, [- @! i- j. [9 t# N

2STM32Trust代码保护

从上面可以看得出来，官方针对STM32做了多种代码保护方案，这里挑选几个进行讲述。

代码保护包含：
3 M( z8 B4 y, g" B

• X-CUBE-SBSFU解决方案
• X-CUBE-CRYPTOLIB解决方案
• SFI安全固件安装解决方案
• STM32CubeProgrammer
• STM32HSM
• FASTROM编程服务
  
  , d0 k5 L2 H5 y/ v. ^. H- ?7 A0 v

# y0 i; [) M5 W5 X7 x1.X-CUBE-SBSFU解决方案SBSFU：
Secure Boot and Secure Firmware Update，安全启动和安全固件更新。
: {0 x; ]$ k+ d9 q6 m" U

X-CUBE-SBSFU安全启动和安全固件更新解决方案允许使用新固件版本更新STM32微控制器内置程序，增加新功能并纠正潜在问题。更新过程以安全的方式执行，以防止未经授权的更新和对机密设备上数据的访问。

3 A7 q% h+ _9 ^) X0 G% Q. s
SBSFU主要体现安全启动和安全固件更新：
3 a/ T( v8 Y5 o6 k) n: J
4 c3 t0 |1 P% A) d安全启动是不可变的代码，通常在系统重置后执行，该代码检查STM32静态保护，激活STM32运行时保护，然后在每次执行之前验证用户应用程序代码的真实性和完整性，以确保无效或恶意代码无法运行。
安全固件更新应用程序通过具有Ymodem协议的UART接口接收固件映像，检查其真实性，并在安装代码之前检查代码的完整性。
SBSFU主要特征：
1 y  Q$ g5 w  b! [- Q0 s①安全启动以在执行之前检查固件映像。
②具有防回滚和部分映像更新功能的安全固件更新，用于无线或本地固件映像更新。
' a; O& u2 g7 \/ g/ d2 h1 P* i③通过PKCS＃11 API提供加密服务的安全密钥管理服务。
④独立的STM32系统解决方案示例，展示了STM32保护的最佳用法，可保护资产免遭未经授权的外部或内部访问。
⑤结合STM32和STSAFE-A100系统解决方案示例，展示了用于安全身份验证服务和安全数据存储的硬件安全元素保护。
- m' t  L0 l' n7 d; {
7 f; F+ [! @3 g# P2.X-CUBE-CRYPTOLIB解决方案
8 g4 p/ g  {1 S  wCRYPTOLIB：cryptographic firmware library，加密固件库。

STM32加密库软件包（X-CUBE-CRYPTOLIB）基于STM32Cube体系结构软件包，并包括一组基于固件实现的加密算法，可以在所有STM32微控制器中使用。

5 X4 t$ \$ ~: P2 u2 ~1 w( P3.SFI安全固件安装解决方案
SFI：Secure Firmware Installation，安全固件安装解决方案。
SFI安全固件安装解决方案可用于STM32L4和STM32H7单片机，并且很快将扩展到其他STM32平台， 为设备的首次编程提供保护。
: U# v& H5 G' e2 N3 [该解决方案提供一套完整的工具集，包含用于加密OEM二进制文件的软件（Trusted Package Creator），用于安全烧写STM32的软件（CUBE Programmer），以及用于将OEM机密凭证安全地交付给芯片烧录厂家的STM32HSM。

% f7 h/ b/ U! s/ T9 k" c1 ~/ X4.STM32CubeProgrammer
7 w1 G0 y- V9 N  S4 Y" U/ s

2 Y7 K- r; O+ D# C( s' _
: t% ]# M$ S8 _6 |

这是一个大家熟知的对STM32编程的免费工具，包含STM32TrustedPackage Creator工具，通过该工具可以为支持SFI功能的STM32生成SFI和SMI加密映像。

SFI映像的格式是由ST定义的固件加密格式，它使用AES算法将Elf、Hex、Bin或Srec格式的固件转换为SFI格式的加密和认证固件。

SFI映像由一个头部区域和多个其他区域组成，这些区域通常为连续固件区域，最后一个区域为配置区域，其中包含SFI完成时需要设置的选项字节值。

* L$ n4 ]; u. u5.STM32HSM
STM32HSM-V1硬件安全模块（HSM）用于确保STM32产品的编程安全，并避免在合同制造商的住所制造假冒产品。

SFI功能允许将客户固件安全地加载到嵌入了安全引导程序的STM32产品中。
定义固件加密密钥并对其固件进行加密后，原始设备制造商（OEM）将加密密钥存储到一个或多个STM32HSM-V1 HSM，并使用STM32CubeProgrammer和STM32 Trusted Package Creator设置授权的SFI操作数（计数器值）软件工具。合同制造商必须利用STM32HSM-V1 HSM将加密的固件加载到STM32设备：每个HSM仅允许OEM定义数量的编程操作，然后不可撤销地将其停用。

, ]/ |% }: z$ ~" TSTM32HSM-V1主要特征：
①正版固件标识（固件标识符）
, f* l! s" P: n; x/ [②识别具有安全固件安装（SFI）功能的STM32产品
③管理与支持的STM32产品关联的ST公钥
2 D% \# A% z/ K9 H2 r: c) S1 }3 B④使用客户定义的固件加密密钥生成许可证
0 I; E" _/ O( V) a/ Z0 K⑤安全计数器，可生成预定义数量的许可证
- Q! b. |! b; |( ?: B3 W7 l⑥直接支持STM32CubeProgrammer软件（STM32CubeProg），包括STM32 Trusted Package Creator工具。

- G( {5 ?/ j8 z5 ]2 u& M& L$ L6.FASTROM编程服务
* p/ g5 e5 `1 L  Y) z; ^! O5 UFASTROM：Factory Advanced Service Technique Read Only Memory。什么意思？MCU出厂时就把程序给你写进去。
MCU是预编程了客户代码和选项字节的Flash工艺MCU器件，FASTROM MCU可提高大批量(10,000+)编程效率，相比ROM，具有交期更短、并允许对器件重新编程的优势。
3STM32Trust执行保护

STM32Trust.ExecutionProtection是一组STM32功能，用于确保所有者代码运行期的适当隔离、正确执行和易用性，以保证所收集数据的机密性和真实性。STM32提供不同的架构和隔离方案用于实现执行保护。

执行保护包含：

• 调试
• 安全启动
• MPU
• 双核架构
• TrustZone
• 防火墙
  
  ) e9 C- U+ k: x; i
  ! h! r$ X. N4 f" ]. ~% e- K

执行保护的内容不难理解，下面引用官方的内容。
$ @0 l, ~# S: U/ j; a! p

1.调试

通过调试端口可从外部访问所有设备资源。调试端口用于应用程序开发，是攻击者对设备进行攻击时可能会最先利用的薄弱环节。为确保用户代码的机密性和真实性，应锁定STM32调试功能。

2.安全启动

如X-CUBE-SBSFU软件包中所示，安全启动在每次复位时执行，检查STM32平台配置的完整性，并验证每个嵌入式固件的签名，以确保其真实性。

8 D) y' W$ ~( N1 R& S

3.MPU

存储器保护单元机制可保护进程，防止不同进程间的相互访问，并允许这些进程独立运行。MPU所带来的软件隔离效果可确保各个进程彼此之间的代码和数据安全性。STM32提供受多种操作系统支持的MPU解决方案。

7 ?+ j* o( e7 r5 z, [' y$ k

4.双核架构

双核架构允许两个应用程序在同一MCU设备中同时运行，两者通过内核ID隔离。

! q; K' n. m4 C8 |* g* l& C

5.TrustZone

TrustZone是一套完整的硬件机制，用来定义和隔离两个主要的应用程序区：一个是所谓的可信区（用于保护关键应用程序及其相关资源），另一个是不可信区，运行主应用程序。

3 {7 b. |* L2 a3 Z0 K) O

6.防火墙

防火墙是一种硬件保护外设，它控制着总线访问，并过滤对代码区（闪存）、非易失性数据区域（SRAM）以及易失性数据区域（闪存）这三个特殊区域的访问。它允许用户轻松地将关键代码的执行与主应用程序分开。

4固件和软件工具

1.安全启动和安全固件更新（SBSFU）

当应用程序代码被转移到引导存储器或在现场更新时，它们最容易受到攻击。
安全启动和安全固件更新是用于安全固件和升级的一组软件，可确保以安全的方式执行更新过程，以防止未经授权的更新和对机密设备上数据的访问。
ST提供了两种不同的实现作为STM32微控制器上的参考源代码：
1.X-CUBE-SBSFU：实现了SBSFU机制，并展示了如何设置所有STM32内存保护机制，以将安全启动和固件更新功能与主应用程序隔离。
2.TFM_SBSFU：在TFM（Trusted Firmware-M）随附的设备上实现相同的机制，并在STM32Cube软件包中提供有。

; F' z0 v: r, {  M' Z2.TFM

所包含的Trusted Firmware-M软件实现旨在为Cortex-M、ARMv7-M和Armv8-M的平台安全体系结构（PSA）的参考实现。TFM是一个开源软件项目，为STM32微控制器提供：

a.安全固件，在Armv8-M上支持PSA 1级和2级隔离；

b.安全固件向非安全侧公开的接口。

c.具有非安全应用示例的安全fw模型。

d.在安全环境中运行的安全服务：

• 安全存储服务
• 证明书
• 加密服务
• 审核日志
• ····
  
  5 H9 D. f- W" \7 N3 J
  & ?8 R+ j/ ~/ e% p9 l

5SMI

SMI：Secure Module Install，安全模块安装。

ST在2019年基于STM32H7推出首款兼容SMI的STM32，那就是。

安全固件安装（SFI）现在是一种相对流行的技术，它使系统制造商能够将其固件的加密版本发送给OEM。
由于仅在MCU内部对代码进行解密，因此开发人员可以降低IP盗用的风险。同样，OEM可以提供重要的保证，而无需投资大型机器或技术，因为它们唯一需要的是STM32CubeProgrammer和HSM智能卡，其中包含安全证书，可以将固件安全地安装到MCU上。
, m4 k$ f8 b  [, R
, U- p. v* I/ Q) D关于SMI
4 B# J. O9 ~6 [2 }" LSMI与其他常规模块一样，运行在MCU上的应用程序也调用该模块，但是系统制造商无法访问源代码，从而大大降低了IP盗用的可能性。
5 M1 V- [% z) kSMI和SFI流程：

细心的读者会注意到SMI流程与SFI相同，但是开发人员不加密整个固件，而是加密模块。此外，SFI和SMI进程使用不同的HSM卡。一个智能卡不能存储所有凭据，但是出于明显的安全原因，每个固件和模块都必须使用其卡。

+ ~% r7 \, T4 ^. U* P8 {, Z! K

与SFI不同，SMI需要编译器支持唯一扩展，免费的STM32CubeIDE已经兼容，并且它的最新更新刚刚带来了对STM32H7的支持，使其成为专业人士和发烧友的绝佳工具。同样，Keil和iAR也兼容，并且我们正在与其他IDE制造商合作以确保提供尽可能广泛的支持。

最后，针对安全问题，不但MCU厂商在自己芯片上下功夫，很多软件工具也在考虑安全的问题：

7 X2 a- v' y3 h7 c4 j6 w$ N4 K

好了，本文就写到这里，希望本文能让你对STM32Trust有进一步的认识。

转载自：strongerHuang
/ @& a* C5 E* A9 v% d

% e, |- @- N6 w3 m' E" ~