《STM32H7R/S信息安全线上课程》学习笔记

[复制链接]

BEEE 发布时间：2025-8-21 22:34

文章
文章封面:
文章简介:	《STM32H7R/S信息安全线上课程》学习笔记 : 遇到的问题、原理的理解、课程中重点内容整理、实践经验、课程建议等

1.0 课程介绍与STM32H7R/S 信息安全特性和资源概览

1 信息安全特性概览

• 简要介绍STM32H7RS系列的主要安全特性和资源

• 对比传统的STM32H7系列和新的STM32H5系列的异同

• 关于安全认证信息和其他安全相关资源的获取

2 调试端口保护与安全调试

• 新的芯片生命周期管理机制Product state

• 带认证的产品状态回退和安全调试

• 通过用户软件代码进行调试使能或产品状态回退

3 存储器保护

• WRP写保护

• HDP与HDPL多级隐藏保护

• MCE外部Memory实时加解密

4 密码学硬件

• 对称算法AES/SAES、非对称算法加速器PKA

• 硬件哈希算法加速器，随机数发生器RNG

• 与传统STM32H7系列和新的STM32H5系列的异同

5 安全存储

• OBK存储区（与STM32H5 obk区域的异同）

• SAES 与硬件密钥➔ HUK, BHK, AHK

• 使用硬件密钥的技巧：DHUK，BHK，AHK

6 安全启动与安全升级

• 源代码形式提供的安全启动方案：OEMiROT

• 安全启动BootROM：ST-iROT

• 第二级安全启动Bootloader：OEMuROT

1 STM32H7R/S 信息安全特性和资源概览

存储器保护 : 防止未授权访问

新增 OTP和HDP, WRP, MPU

新增外部Flash/RAM实时加解密 MCE

新增带认证的安全调试Debug Authentication

新增动态防拆机检测

加解密 : 带硬件安全防护

新增带侧信道攻击防御的SAES, PKA AES, SHA, TRNG, 支持外部存储器加解密MCE1/2/3,

新增 HUK硬件唯一密钥

新增 NIST - CAVP certified CryptoLib可用在所有STM32系列

安全启动与系统验证 : 产品生命周期管理

新增多级代码执行保护

新增 OEM-iROT/ST-iROT安全启动方案

采用新的 芯片生命周期管理（Product State）

隔离与存储保护 : for runtime protection

新增 3个隔离保护区（HDP/HDPL）

新增 4个外部存储加解密区（MCE）

新增并兼具硬件密钥功能 专用的安全存储区OBK区，用户可自定义密钥 AHK/HUK

关于PSA和SESIP认证信息

STM32H7Sxx系列的SESIP认证

STM32H7Sxx系列的PSA认证

STM32H7RS系列主要信息安全特性比较

安全启动/安全升级：

ST-iROT 安全启动：STM32H7Sx、STM32H573有此功能，但是STM32H7Rx、STM32H7没有此功能。
OEM-iROT 开源可修改安全启动：STM32H7Sx、STM32H573、STM32H7Rx、STM32H7 (以前：X-CUBE-SBSFU软件包)有此功能。

调试保护：

基于密码的回退：STM32H7Rx、STM32H7Sx、STM32H573有此功能，但是STM32H7没有此功能。
带认证的调试：STM32H7Rx、STM32H7Sx、STM32H573有此功能，但是STM32H7没有此功能。

加解密：

对称加密算法：STM32H7(AES + DES/TDES)、STM32H7Sx（AES + SAES）、STM32H573（AES + SAES）有此功能，但是STM32H7Rx没有此功能。
PKA ：STM32H7Rx(ECC verif only)、STM32H7Sx、STM32H573有此功能，但是STM32H7没有此功能。
HASH ：STM32H7、STM32H7Rx、STM32H7Sx、STM32H573都有此功能。
TRNG ：STM32H7、STM32H7Rx、STM32H7Sx、STM32H573都有此功能。
外部存储器加解密：STM32H7(OTFDEC 7Bx/73x)、STM32H7Sx(MCE)、STM32H573(OTFDEC)有此功能，但是STM32H7Rx没有此功能。
X-CUBE-CRYPTOLIB ：STM32H7、STM32H7Rx、STM32H7Sx、STM32H573都有此功能。

隔离保护：