引言

本用戶手冊(cè)介紹了如何開(kāi)始使用X-CUBE-SBSFU STM32Cube擴(kuò)展包。

X-CUBE-SBSFU安全啟動(dòng)和安全固件更新解決方案使STM32微控制器內(nèi)部固件可升級(jí)到新版本，添加新功能，和糾正潛在問(wèn)題。升級(jí)過(guò)程是以安全的方式進(jìn)行，以防未經(jīng)授權(quán)的更新，并阻止訪問(wèn)設(shè)備上的機(jī)密數(shù)據(jù)。

安全啟動(dòng)（可信根服務(wù)）是一種不可變代碼，總是在系統(tǒng)復(fù)位后執(zhí)行，它檢查STM32靜態(tài)保護(hù)、激活STM32運(yùn)行時(shí)保護(hù)、然后在每次執(zhí)行前驗(yàn)證應(yīng)用程序代碼的真實(shí)性和完整性，以確保無(wú)效或惡意代碼無(wú)法運(yùn)行。

安全固件更新應(yīng)用通過(guò)使用Ymodem協(xié)議的UART接口接收固件映像，檢查其真實(shí)性，并在安裝代碼之前檢查其完整性。固件更新可更新整個(gè)固件鏡像，或者部分鏡像。單槽示例適用于固件映像最小化的情況，而雙槽示例則適用于確保映像安全安裝的情況，且也適用于IoT設(shè)備中常用的無(wú)線固件更新功能。對(duì)于復(fù)雜系統(tǒng)，固件映像配置可擴(kuò)展至最多三個(gè)映像。示例代碼可靈活配置，可配置使用對(duì)你或非對(duì)稱加密方案，采用明文或密文方案。

安全密鑰管理服務(wù)（KMS）通過(guò)PKCS #11 API（基于KEY ID的API）向用戶應(yīng)用程序提供加密服務(wù)，這些API在受保護(hù)和隔離的環(huán)境中執(zhí)行。用戶應(yīng)用程序密鑰存儲(chǔ)在受保護(hù)和隔離的環(huán)境中，以便進(jìn)行安全更新：真實(shí)性檢查、數(shù)據(jù)解密和數(shù)據(jù)完整性檢查。

STSAFE-A110是一種防篡改安全元件（通過(guò)硬件通用標(biāo)準(zhǔn)EAL5+認(rèn)證），用于托管X509證書(shū)和密鑰，并在安全啟動(dòng)和安全固件更新過(guò)程中執(zhí)行用于固件鏡像身份確認(rèn)的驗(yàn)證。

X-CUBE-SBSFU基于STM32Cube軟件技術(shù)，易于在不同STM32微控制器之間移植。它以參考代碼的形式提供，演示了STM32安全保護(hù)措施的最佳使用方式。

X-CUBE-SBSFU歸類為ECCN 5D002

目錄預(yù)覽

1.概述

2.STM32Cube概述

3.安全啟動(dòng)和安全固件升級(jí)（SBSFU）

4.密鑰管理服務(wù)(KMS)

5.保護(hù)措施和安全策略

6.軟件包說(shuō)明

7.硬件和軟件環(huán)境設(shè)置

8.逐步執(zhí)行

9.了解啟動(dòng)時(shí)的最后執(zhí)行狀態(tài)消息

X-CUBE-SBSFU擴(kuò)展包附帶在STM32F4系列、STM32F7系列、STM32G0系列、STM32G4系列、STM32H7系列、STM32L0系列、STM32L1系列、STM32L4系列、STM32L4+系列和STM32WB系列產(chǎn)品上運(yùn)行的示例。

此外，還為STM32L4+系列提供了一個(gè)結(jié)合了STM32微控制器和STSAFE-A110的示例。X-CUBE-SBSFU以獨(dú)立STM32系統(tǒng)解決方案示例的參考代碼的形式提供，這些示例演示了用來(lái)保護(hù)資產(chǎn)免遭未授權(quán)外部和內(nèi)部訪問(wèn)的STM32保護(hù)措施的最佳使用方式。

X-CUBE SBSFU還提供了一個(gè)結(jié)合了STM32和STSAFE-A110的系統(tǒng)解決方案示例，演示了面向安全身份驗(yàn)證服務(wù)和安全數(shù)據(jù)存儲(chǔ)的硬件安全元件保護(hù)。X-CUBE-SBSFU是OEM根據(jù)其產(chǎn)品的安全要求級(jí)別開(kāi)發(fā)安全啟動(dòng)和安全固件更新的起點(diǎn)。X-CUBE-SBSFU安全啟動(dòng)和安全固件更新擴(kuò)展包可在基于Arm(a) Cortex-M處理器的STM3232位微控制器上運(yùn)行。

STM32Cube是什么？

STM32Cube源自意法半導(dǎo)體，旨在通過(guò)減少開(kāi)發(fā)工作量、時(shí)間和成本，明顯提高設(shè)計(jì)人員的生產(chǎn)率。STM32Cube涵蓋整個(gè)STM32產(chǎn)品系列。STM32Cube 包括：

? 一套用戶友好的軟件開(kāi)發(fā)工具，覆蓋從概念到實(shí)現(xiàn)的整個(gè)項(xiàng)目開(kāi)發(fā)過(guò)程，其中包括：

– 圖形軟件配置工具STM32CubeMX，可通過(guò)圖形向?qū)ё詣?dòng)生成初始化C代碼

– STM32CubeIDE，一種集外設(shè)配置、代碼生成、代碼編譯和調(diào)試功能于一體的開(kāi)發(fā)工具

– STM32CubeProgrammer（STM32CubeProg），圖形版本和命令行版本中可用的編程工具

– STM32CubeMonitor（STM32CubeMonitor、STM32CubeMonPwr、STM32CubeMonRF)和STM32CubeMonUCPD）是功能強(qiáng)大的監(jiān)控工具，用于實(shí)時(shí)微調(diào)STM32應(yīng)用的行為和性能。

? STM32Cube MCU和MPU包，特定于每個(gè)微控制器和微處理器系列的綜合嵌入式軟件平臺(tái)（如用于STM32L4系列和STM32L4+系列的STM32CubeL4），其中包含：

– STM32Cube硬件抽象層（HAL），確保在STM32各個(gè)產(chǎn)品之間實(shí)現(xiàn)最大限度的可移植性– STM32Cube底層API，通過(guò)硬件提供高度用戶控制，確保最佳性能和內(nèi)存開(kāi)銷

– 一組一致的中間件組件，如FAT文件系統(tǒng)、RTOS、OpenBootloader、USB主機(jī)、USB設(shè)備、TCP/IP、觸摸感應(yīng)庫(kù)，以及圖形庫(kù)

– 包含的軟件覆蓋了全套外設(shè)以及對(duì)應(yīng)可用的示例

? STM32Cube擴(kuò)展包，包含的軟件組件是STM32Cube MCU和MPU包的功能補(bǔ)充：

– 中間件擴(kuò)展和應(yīng)用層

– 在特定的意法半導(dǎo)體開(kāi)發(fā)板上運(yùn)行的實(shí)現(xiàn)案例

軟件如何補(bǔ)充STM32Cube？

該軟件基于STM32CubeHAL，即STM32微控制器的硬件抽象層。此軟件包通過(guò)提供以下中間件組件擴(kuò)展STM32Cube：

? 用于管理所有關(guān)鍵數(shù)據(jù)和操作（如訪問(wèn)固件加密密鑰的加密操作等）的安全引擎

? 通過(guò)PKCS #11 API提供密碼服務(wù)的密鑰管理服務(wù)

? 用于管理硬件安全元件特性的STSAFE-A

軟件包包含有不同的示例應(yīng)用程序，可提供完整的SBSFU解決方案：

? SE_CoreBin應(yīng)用程序：提供包含所有“可信”代碼的二進(jìn)制文件。

? 安全啟動(dòng)和安全固件升級(jí)（SBSFU）應(yīng)用程序：

– 安全啟動(dòng)（可信根）

– 本地下載通過(guò)串口

– 固件安裝管理

? 用戶應(yīng)用程序：

– 在雙插槽操作模式下下載新固件– 提供了測(cè)試保護(hù)機(jī)制的示例

– 提供了使用KMS API的示例示例應(yīng)用提供了雙插槽和單插槽操作模式，并且可以配置為不同加密方案。

注：在名稱為1_Image 的示例中對(duì)單插槽配置進(jìn)行了演示。在名為2_Images 的示例中對(duì)雙插槽配置進(jìn)行了演示。

本用戶手冊(cè)介紹了軟件包的典型用法：

? 基于NUCLEO-L476RG板

? 示例應(yīng)用在雙插槽模式下運(yùn)行，并配置了非對(duì)稱身份驗(yàn)證和對(duì)稱固件加密有關(guān)配置選項(xiàng)和單槽操作模式的更多信息，請(qǐng)參閱本文檔的附錄。

注：STM32L4系列和STM32L4+系列提供KMS功能，所提供示例基于B-L475E-IOT01A和B-L4S5I IOT01A板。

注：STM32L4+系列提供STSAFE-A110功能，所提供示例基于B-L4S5I-IOT01A板。

3.1 產(chǎn)品安全介紹

現(xiàn)場(chǎng)部署的設(shè)備在不受信任的環(huán)境中運(yùn)行，因此會(huì)受到威脅和攻擊。為了減輕受攻擊風(fēng)險(xiǎn)，我們的目標(biāo)是只在設(shè)備上運(yùn)行可靠的固件。已連接的設(shè)備時(shí)常需要更新固件映像以修復(fù)錯(cuò)誤，或引入新功能或?qū)Σ?，否則極易遭受攻擊。其后果可能是破壞性的，如固件克隆、惡意軟件下載或設(shè)備損壞。因此必須設(shè)計(jì)出一套安全的解決方案來(lái)保護(hù)敏感數(shù)據(jù)（甚至可能是固件本身）和關(guān)鍵操作。

典型的對(duì)策基于加密技術(shù)（帶有相關(guān)密鑰）和內(nèi)存保護(hù)：

? 密碼可確保固件傳輸期間的完整性（確保數(shù)據(jù)未被破壞）、身份驗(yàn)證（確保某個(gè)實(shí)體確實(shí)符合其聲明）以及機(jī)密性（確保只有經(jīng)過(guò)授權(quán)的用戶才能讀取敏感數(shù)據(jù)）。

? 內(nèi)存保護(hù)機(jī)制可以防止外部攻擊（例如，通過(guò)JTAG物理訪問(wèn)設(shè)備）以及來(lái)自內(nèi)部其它進(jìn)程的攻擊。以下章節(jié)介紹實(shí)現(xiàn)機(jī)密性、完整性和身份驗(yàn)證服務(wù)的解決方案，以解決IoT終端節(jié)點(diǎn)設(shè)備最常見(jiàn)的威脅。

3.2 安全啟動(dòng)

安全啟動(dòng)（SB）確保所執(zhí)行的用戶應(yīng)用程序映像的完整性和真實(shí)性：使用密碼檢查，防止運(yùn)行未經(jīng)授權(quán)或惡意修改的軟件。

安全啟動(dòng)過(guò)程實(shí)現(xiàn)可信根（參見(jiàn)圖 1）：從該可信組件（1）開(kāi)始，其他每個(gè)組件在其執(zhí)行之前（3）都要經(jīng)過(guò)認(rèn)證（2）。對(duì)完整性進(jìn)行驗(yàn)證，以確保即將執(zhí)行的映像未被破壞或惡意修改。可靠性檢查旨在驗(yàn)證固件映像是來(lái)自可信且已知的源，以防止未經(jīng)授權(quán)的實(shí)體安裝及執(zhí)行代碼。