引言
5 w8 I# l6 `! Q3 f7 d5 V2 e5 U本用户手册介绍了如何开始使用X-CUBE-SBSFU STM32Cube扩展包。$ z+ J0 S9 U( M
X-CUBE-SBSFU安全启动和安全固件更新解决方案使STM32微控制器内部固件可升级到新版本,添加新功能,和纠正潜在问题。升级过程是以安全的方式进行,以防未经授权的更新,并阻止访问设备上的机密数据。
2 m: ~* h$ U& w$ T安全启动(可信根服务)是一种不可变代码,总是在系统复位后执行,它检查STM32静态保护、激活STM32运行时保护、然后在每次执行前验证应用程序代码的真实性和完整性,以确保无效或恶意代码无法运行。
2 y Q( r5 v6 k6 A) p2 z) Q7 ~安全固件更新应用通过使用Ymodem协议的UART接口接收固件映像,检查其真实性,并在安装代码之前检查其完整性。固件更新可更新整个固件镜像,或者部分镜像。单槽示例适用于固件映像最小化的情况,而双槽示例则适用于确保映像安全安装的情况,且也适用于IoT设备中常用的无线固件更新功能。对于复杂系统,固件映像配置可扩展至最多三个映像。示例代码可灵活配置,可配置使用对你或非对称加密方案,采用明文或密文方案。安全密钥管理服务(KMS)通过PKCS #11 API(基于KEY ID的API)向用户应用程序提供加密服务,这些API在受保护和隔离的环境中执行。用户应用程序密钥存储在受保护和隔离的环境中,以便进行安全更新:真实性检查、数据解密和数据完整性检查。
. |8 C4 z5 F% K4 F, vSTSAFE-A110是一种防篡改安全元件(通过硬件通用标准EAL5+认证),用于托管X509证书和密钥,并在安全启动和安全固件更新过程中执行用于固件镜像身份确认的验证。1 f) O, J# ` }3 P& n# l, V7 U
X-CUBE-SBSFU基于STM32Cube软件技术,易于在不同STM32微控制器之间移植。它以参考代码的形式提供,演示了STM32安全保护措施的最佳使用方式。
# H: }* Z( V2 L' X$ {/ p+ EX-CUBE-SBSFU归类为ECCN 5D002。
( Y6 k$ j% E. w4 q$ p, E( {8 J2 ]' O( O( i- h* o
1 概述2 d: H. ?, E! Y" ?! W' ^
X-CUBE-SBSFU扩展包附带在STM32F4系列、STM32F7系列、STM32G0系列、STM32G4系列、STM32H7系列、STM32L0系列、STM32L1系列、STM32L4系列、STM32L4+系列和STM32WB系列产品上运行的示例。此外,还为STM32L4+系列提供了一个结合了STM32微控制器和STSAFE-A110的示例。
5 s. b% F8 i; H. e9 C% Z, M" wX-CUBE-SBSFU以独立STM32系统解决方案示例的参考代码的形式提供,这些示例演示了用来保护资产免遭未授权外部和内部访问的STM32保护措施的最佳使用方式。X-CUBESBSFU还提供了一个结合了STM32和STSAFE-A110的系统解决方案示例,演示了面向安全身份验证服务和安全数据存储的硬件安全元件保护。. V/ }1 _6 V, e
X-CUBE-SBSFU是OEM根据其产品的安全要求级别开发安全启动和安全固件更新的起点。" P$ W0 ?/ Y: N5 F5 J7 r/ V2 [
X-CUBE-SBSFU安全启动和安全固件更新扩展包可在基于Arm®(a) Cortex®-M处理器的STM3232位微控制器上运行。! ]( o/ [- D( U, v2 X
1.1术语和定义
# U( c7 X, L0 \9 B1 E表 1给出了相关的缩略语定义,帮助您更好地理解本文档。
% q& k1 F( l! k# D) W5 ?
# W- V; j* P# S' z6 i
9 K1 d6 t. M9 s" D- }" p4 b
1 O7 W3 w2 P3 A% [) s2 }$ p: P4 @6 H4 W9 N& _+ }$ v
0 H8 m8 u1 z: u) \& O+ q
4 T7 m3 Y* T, h W% i
6 w2 c( x: O. k9 k! j; O4 e2 u
1.2 参考
$ f: q) U) l$ S* i意法半导体的相关文档% k. P4 @5 Q6 W! M( q
如需详细信息,请与意法半导体联系。
7 i0 P9 x- U8 }4 H, v9 `' K; V1. 应用笔记X-CUBE-SBSFU STM32Cube扩展包集成指南(AN5056)2 Y+ U3 J4 C9 f$ O
2. 应用笔记STM32微控制器安全入门(AN5156)0 q# L9 f5 E9 G7 Z
3. STM32CubeProgrammer软件描述用户手册(UM2237) \ r) r2 A% Q- V) z
4. 认证、最先进的外设安全措施以及IoT设备数据手册(DS12911); x9 O$ U* }# E
其他文档
6 _. H( f% Q+ }/ B: I3 W4 t3 S5. PKCS #11密码令牌接口基本规范版本2.40 + 勘误表" y5 C: P" O$ ^3 E% W2 ^7 l F: N
! C6 z4 c* d5 N& q s
3 H0 E# t; |; d9 a+ S8 B& D
2 STM32Cube 概述4 T, H* b1 ~2 e& d/ p
STM32Cube是什么?0 O: U: U; I6 ?) t) Y5 X, v
STM32Cube源自意法半导体,旨在通过减少开发工作量、时间和成本,明显提高设计人员的生产率。STM32Cube涵盖整个STM32产品系列。0 e) n9 J W, G( u
STM32Cube 包括:
9 q( `8 B$ E+ \4 O' G2 R8 D• 一套用户友好的软件开发工具,覆盖从概念到实现的整个项目开发过程,其中包括:+ Y7 O7 _. ]0 k2 ^- |4 ~3 H
– 图形软件配置工具STM32CubeMX,可通过图形向导自动生成初始化C代码1 w1 _- T7 {/ {, B
– STM32CubeIDE,一种集外设配置、代码生成、代码编译和调试功能于一体的开发工具5 N4 L# o4 \9 k! A9 z
– STM32CubeProgrammer(STM32CubeProg),图形版本和命令行版本中可用的编程工具* {2 K, E e5 O, |. g# \8 _9 L
– STM32CubeMonitor(STM32CubeMonitor、STM32CubeMonPwr、STM32CubeMonRF和STM32CubeMonUCPD)是功能强大的监控工具,用于实时微调STM32应用的行为和性能
$ c* Y) V/ `3 B: g4 v- W• STM32Cube MCU和MPU包,特定于每个微控制器和微处理器系列的综合嵌入式软件平台(如用于STM32L4系列和STM32L4+系列的STM32CubeL4),其中包含:
' O# t& U$ r. W6 w9 }4 f/ }5 z% d: ]– STM32Cube硬件抽象层(HAL),确保在STM32各个产品之间实现最大限度的可移植性9 C* t' n( ~* c/ e
– STM32Cube底层API,通过硬件提供高度用户控制,确保最佳性能和内存开销
. r. c; |) ]; g: Y+ l– 一组一致的中间件组件,如FAT文件系统、RTOS、OpenBootloader、USB主机、USB设备、TCP/IP、触摸感应库,以及图形库# O C, f" U# X' b6 S
– 包含的软件覆盖了全套外设以及对应可用的示例
6 r4 n L9 u. C$ Z& r• STM32Cube扩展包,包含的软件组件是STM32Cube MCU和MPU包的功能补充:; l0 o2 O. q# e' f0 w
– 中间件扩展和应用层
( K% s* f* d: r. q" ~% B– 在特定的意法半导体开发板上运行的实现案例
5 I: c+ C1 p8 _, S0 {; G
: `2 a5 Z# r. ~* N此软件如何补充STM32Cube?& [5 ]2 c2 H4 z7 e) U" I
该软件基于STM32CubeHAL,即STM32微控制器的硬件抽象层。此软件包通过提供以下中间件组件扩展STM32Cube:
3 n& c5 K2 @3 V• 用于管理所有关键数据和操作(如访问固件加密密钥的加密操作等)的安全引擎
# N0 g1 C6 _, D5 u! n4 u; T$ n4 g• 通过PKCS #11 API提供密码服务的密钥管理服务% ~3 z X5 `$ P
• 用于管理硬件安全元件特性的STSAFE-A4 W, }. P$ @. N% H9 X
该软件包包含有不同的示例应用程序,可提供完整的SBSFU解决方案:
0 V# l5 ~% j% I1 v4 j5 Z) r• SE_CoreBin应用程序:提供包含所有“可信”代码的二进制文件。
6 i7 j- I9 W1 q, J! T, J! r• 安全启动和安全固件升级(SBSFU)应用程序:7 V [1 K# |" B3 o1 g9 k( {
– 安全启动(可信根)
3 Q- H6 m& l: A; I0 d' B– 本地下载通过串口
1 d$ b% M' J/ v0 N9 z– 固件安装管理
. W6 [% [7 P$ [$ u! Y• 用户应用程序:
$ a& s; r2 Q- Z7 p. o% m. X+ ]$ ?– 在双插槽操作模式下下载新固件
* S1 a8 b8 X. ^– 提供了测试保护机制的示例
|! i4 k6 c: `) S3 H# D: A– 提供了使用KMS API的示例; P* \5 U$ D- P+ Q- g* C0 q1 H* N
示例应用提供了双插槽和单插槽操作模式,并且可以配置为不同加密方案。; o, l7 \1 f& Q; c8 R0 j
注: 在名称为1_Image 的示例中对单插槽配置进行了演示。# E& z9 {5 m3 E# ^0 s6 Z
在名为2_Images 的示例中对双插槽配置进行了演示。/ _8 x, U2 i0 c9 S# |
本用户手册介绍了软件包的典型用法:
8 y, K3 Z# Z3 T, Z. ^3 i• 基于NUCLEO-L476RG板6 a9 ]6 N" C7 g( x8 T
• 示例应用在双插槽模式下运行,并配置了非对称身份验证和对称固件加密 t8 ~2 }5 @/ }+ z
有关配置选项和单槽操作模式的更多信息,请参阅本文档的附录。" |4 g4 r1 R/ q+ M( r; [* s
注: STM32L4系列和STM32L4+系列提供KMS功能,所提供示例基于B-L475E-IOT01A和B-L4S5IIOT01A板。* X+ i3 Q$ _; z
注: STM32L4+系列提供STSAFE-A110功能,所提供示例基于B-L4S5I-IOT01A板。) B$ ?$ u6 s6 N- m4 C+ C) S+ J
. ]( K" m! {, }3 安全启动和安全固件升级(SBSFU)2 g% j2 i5 L( G3 H( W' W. m/ z- C
3.1 产品安全介绍
* \& L( e) \; s. j现场部署的设备在不受信任的环境中运行,因此会受到威胁和攻击。为了减轻受攻击风险,我们的目标是只在设备上运行可靠的固件。已连接的设备时常需要更新固件映像以修复错误,或引入新功能或对策,否则极易遭受攻击。& e% e u4 R0 N5 r
其后果可能是破坏性的,如固件克隆、恶意软件下载或设备损坏。因此必须设计出一套安全的解决方案来保护敏感数据(甚至可能是固件本身)和关键操作。7 @6 I7 P2 Z7 ~
典型的对策基于加密技术(带有相关密钥)和内存保护:
c3 V, k& B; i9 W; v X2 B• 密码可确保固件传输期间的完整性(确保数据未被破坏)、身份验证(确保某个实体确实符合其声明)以及机密性(确保只有经过授权的用户才能读取敏感数据)。
* t# A& Y0 @2 h1 B- A0 W$ a) `6 h• 内存保护机制可以防止外部攻击(例如,通过JTAG物理访问设备)以及来自内部其它进程的攻击。& G7 x. Z0 f2 A& m
以下章节介绍实现机密性、完整性和身份验证服务的解决方案,以解决IoT终端节点设备最常见的威胁。1 Y( d. ]& s* }+ [" t1 O0 T
0 z, k& S/ D, I3 k$ Y! ?( S1 ] x3.2 安全启动
! M. z4 T0 y0 E0 b7 y/ z安全启动(SB)确保所执行的用户应用程序映像的完整性和真实性:使用密码检查,防止运行未经授权或恶意修改的软件。安全启动过程实现可信根(参见图 1):从该可信组件(1)开始,其他每个组件在其执行之前(3)都要经过认证(2)。' S* l- C) x7 O/ z+ c
对完整性进行验证,以确保即将执行的映像未被破坏或恶意修改。$ o; l2 S; ^+ g2 |
可靠性检查旨在验证固件映像是来自可信且已知的源,以防止未经授权的实体安装及执行代码。4 l5 O1 H$ f9 V+ f: V7 _
' c, U3 Q% w6 _9 p w+ v6 ~+ x- }6 }1 D8 `1 n3 I3 c% n, q
完整版请查看:附件
; |0 F5 C! ^# a! B6 |2 I, z: h* M+ A" b" L; x& y& k
' S# V) c9 l3 z' N# T: ?2 A0 `( ]+ |* K7 T! v- B& D
|
.png)
