引言

X-CUBE-SBSFU安全启动和安全固件更新解决方案允许使用新固件版本更新STM32微控制器内置程序、添加新功能并更正潜在问题。更新过程以安全方式执行，以防止未经授权的更新以及访问设备上的机密数据。
. X+ K& ?& y9 D# c# A2 j0 n- M% H* U安全启动（可信根服务）是一种不可变代码，总是在系统复位后执行。它检查STM32静态保护、激活STM32运行时保护措施，然后在每次执行前验证应用程序代码的真实性和完整性，以确保无效或恶意代码不能运行。
! L: ?/ v/ G# i- a4 E& m安全固件更新应用程序通过使用Ymodem协议的UART接口接收固件镜像。它会在安装代码之前检查其真实性和完整性。固件更新可更新整个固件镜像，或者部分镜像。示例代码可灵活配置，可配置使用对你或非对称加密方案，采用明文或密文方案。工程以两种方案提供：
$ E, d6 n& l  b2 ~2 x2 Q• 单插槽配置，以使固件镜像尺寸最大化
• 双插槽配置，以确保安全镜像安装，并启用物联网器件中常用的OTA固件更新功能。
对于具有多个固件（如协议栈、中间件和用户应用程序）的复杂系统，固件镜像配置最多可扩展到三个固件镜像。
安全密钥管理服务通过PKCS #11 API（基于KEY ID的API）向用户应用程序提供加密服务，这些API在受保护和隔离的环境中执行。用户应用程序密钥存储在受保护和隔离的环境中，以便进行安全更新：真实性检查、数据解密和数据完整性检查。
STSAFE-A110是一种防篡改安全元件（通过硬件通用标准EAL5+认证），用于托管X509证书和密钥，并在安全启动和安全固件更新过程中执行用于固件镜像身份确认的验证。
X-CUBE-SBSFU用户手册（UM2262）讲解X-CUBE-SBSFU入门知识并详细介绍SBSFU功能。该应用笔记描述了如何调整X-CUBE-SBSFU并将其与用户应用程序集成；它回答了诸如以下问题：
8 {; I  H* C& H5 ^; i• 如何将X-CUBE-SBSFU移植到另一块板？
& g: p# j7 `& W) v• 如何根据用户的需求微调X-CUBE-SBSFU配置？
• 如何生成新的固件加密密钥？
/ B7 @; R5 l. `) ]( o5 ]8 T8 |& Z3 u- |• 如何调试X-CUBE-SBSFU？
5 ^: H5 g1 u- f$ S9 Q• 如何调整SBSFU？
• 如何调整用户的应用程序？
注： 在该应用笔记中，使用IAR嵌入式Workbench® IDE作为示例，为项目配置提供指南。安全启动和安全固件更新应用程序被称为SBSFU。
& z$ G" _1 x+ k" q  G1 |) c注： 在名称为1_Image 的示例中对单插槽配置进行了演示。
       在名为2_Images 的示例中对双插槽配置进行了演示。
: [6 i/ {+ R! I
7 W) @8 M: O7 W$ z% G% y  ?* A1 概述
9 N4 V' x' Q6 v' `表 1和表 2给出了相关缩略语和术语的定义，帮助您更好地理解本文档。




X-CUBE-SBSFU安全启动和安全固件更新扩展包可在基于Arm®(a) Cortex®-M处理器的STM32 32位微控制器上运行。

! {& H4 N  d* m% L+ |- L* K
8 x0 J0 z) ^0 ~; t& I. m* W% f3.移植X-CUBE-SBSFU到另一块板上
+ l  N/ B1 r- `0 P9 B* T5 L+ LX-CUBE-SBSFU补充了STM32Cube™软件技术，使不同STM32微控制器之间更易移植。它附带一组在给定的STM32板上实现的示例，可作为有用的起点将X-CUBE-SBSFU移植到另一块STM32板。本文档中将NUCLEO-L476RG和NUCLEO-L432KC板作为示例。
: F4 s2 s( }2 @
- @" s0 h) R1 o6 T) w- j3.1 硬件适配
需要进行一些更改，以使X-CUBE-SBSFU适应另一块板：
1. GPIO配置，用于与主机PC进行UART通信（在sfu_low_level.h文件中）
! W) J  R6 t6 }5 a2. Flash配置：NUCLEO-L432KC 给出了单存储区Flash接口的例子，而NUCLEO-L476RG则基于双存储区（在sfu_low_level.c文件中）
$ D! P; b0 t1 ~. r3 R1 i% F3. 按钮配置：NUCLEO-L476RG给出了基于按钮的例子，而NUCLEO-L432KC使用GPIO模拟虚拟按钮（在app_hw.h文件中）
4. Tamper GPIO引脚配置（在sfu_low_level_security.h文件中）
5. DAP - 调试端口配置（在sfu_low_level_security.h文件中）
3 _7 w4 _2 ^3 B+ ^* M, ]) e6. I2C总线配置，用于与STSAFE-A110进行通信（在B-L4S5I-IOT01A\Applications\2_Images_STSAFE\2_Images_SECoreBin的stsafea_service_interface.c文件中）。图 1显示SBSFU项目结构，以及期望移植更改的文件位置。

# v5 n, Q$ f8 q6 b# x5 `* r' ]

6 X  S1 [. s' t! M; G' V
# c) a% D5 t. V3 _
3.2 内存映射定义
正如X-CUBE-SBSFU用户手册（参见[10]）中所强调，一个关键因素是器件闪存内所有元素的布局：
- J2 K( Z3 y8 C! Q$ @$ H• 安全引擎：受保护的环境，以管理所有关键数据和操作。
• SBSFU：安全启动和安全固件更新流程
• 活动插槽：该插槽包含了活动固件（带固件的固件头文件）
& n( q5 w6 O+ ]; J! O• 下载插槽：此插槽用于存储下载的固件（带加密固件的固件头文件），以便在下次重启时安装
1 R# R! L6 ]' ]: p) j2 |! @• 交换区：用来在安装过程中交换活动插槽和下载插槽的内容的Flash存储区
" J0 z4 }2 G2 D2 Y% Z图 2通过NUCLEO-L476RG示例讲解闪存映射。
- ?+ E$ C3 g7 P! o9 ]( a3 g

7 J3 i: q6 h  k
' t) M  t6 R$ M; j
6 r8 ~- ^; m) R: G; H
% z. J: c* E: b: b3 N5 l三个项目（SECoreBin、SBSFU、UserApp）共享的链接器文件定义在Linker_Common文件夹中分组，如图 3中所示：
• mapping_fwimg.icf:包含固件镜像定义，比如活动插槽、下载插槽以及交换区
/ T5 [- z/ I6 \9 D• Mapping_sbsfu.icf：contains：包含SBSFU定义，例如SE_Code_region、SE_Key_region、以及SE_IF_region
• Mapping_export.h：从mapping_sbsfu.icf和mapping_fwimg.icf：从mapping_sbsfu.icf和mapping_fwimg.icf 导出符号到SBSFU应用程序
当添加更多代码后，每个区域可能要做相应的扩展，或者转移到另一个位置，这些都是允许的，只要最终的设置满足应用的安全需求。
6 k5 N- A8 W1 |# d' l5 L8 e
: V7 C6 g, }6 f+ X8 y
4 P/ s) f- I$ G, t* a

# v' d( s4 \! c3 C( r3 b
安全外设配置（RDP、WRP、PCROP、FWALL、安全用户存储区（如果当前型号拥有））是基于SBSFU链接符号自动计算的；但是MPU配置不一样，因为存在以下约束：
% o  O0 u' ~9 r2 a! q• 每个MPU区域的基址必须是MPU区域大小的倍数。
& J+ j3 [3 }6 S$ m8 p• 每个MPU区域可以划分为8个子区域，以调整大小。
1 A8 N4 i3 b4 G+ @" R! S7 c; S图 4中说明了具有MPU隔离的映射约束。
5 }& h/ I8 D7 u4 l1 {

8 H6 E) r1 m+ S

4 d# e3 X0 |4 }1 R- m! E
另一个典型用例是激活插槽区域的MPU配置，以授权执行用户应用程序。图 5演示如何遵守NUCLEO-L073RZ上的MPU约束
: [" m. T( y! q2 U' A
2 Z  Y1 \1 r8 L) W2 N" L: }
2 I; X0 O% I' T' u. l9 v8 H* N+ s

完整版请查看：附件

不错