1、STM32信息安全層疊架構
隨著物聯網以及智能化產品的不斷湧現,信息安全問題也日漸受到關注。信息安全是一個全系統需要統一考慮的問題,在提供服務的雲端、通信管道、邊緣及中斷節點都需要部署完整的安全策略,即使是節點設備也不應該因為資源和處理能力有限而成為整個系統信息安全的薄弱環節。STM32 MCU從產品底層硬件的安全能力,中間件的提供的密碼學引擎,到對接應用程序的安全方案與服務等,提供了完整的生態系統,助力打造設備端的信息安全,實現適合不同應用場景和行業需求的安全功能。
底層硬件:硬件安全功能
STM32 MCU內建多種安全功能,為設備信息安全打造了堅固的平臺,在這個平臺的基礎上進而可以運行可信的進程以及密碼學操作。
STM32 MCU底層硬件具備的安全能力能夠覆蓋存儲訪問保護、代碼/系統隔離、啟動入口限定、防篡改檢測、密碼學算法加速等多方面的安全需求,例如:
- 身份識別:UID, OTP
- 存儲訪問保護/軟件IP保護:RDP(讀保護),WRP(寫保護),PCROP(專有代碼保護),OTFDEC(On-The-Fly Decryption實時解密模塊)
- 代碼/系統隔離:MPU,Firewall(防火牆),TrustZone,Secure User Memory(安全用戶存儲區)
- 啟動入口限定:RDP2,BOOTLOCK(啟動鎖定)
- 防篡改檢測:Anti-Tamper
- 密碼學算法硬件:AES,HASH,PKA,TRNG
芯片硬件安全功能結合軟件能夠實現更多應用層次的安全功能,例如安全啟動,安全更新,安全存儲,安全通信,可信執行環境等等。
中間件層:密碼學工具
密碼學是保護關鍵信息的保密性,完整性和認證的重要工具,STM32提供密碼學算法庫X-CUBE-CRYPTOLIB軟件包,滿足應用軟件設計中對密碼學算法的需求。
STM32 密碼學算法庫包含兩大類實現,一類是完全基於固件實現的版本,支持所有STM32產品系列,另一類是基於Crypto硬件加速器的版本,支持所有帶有Crypto硬件外設的STM32產品。
Cryptolib軟件包下載鏈接:https://www.st.com/x-cube-cryptolib
安全方案與服務
安全啟動與固件更新參考實現(SBSFU)
安全啟動建立信息安全信任根,確保設備每次復位後所執行的應用代碼的完整性和真實性。
安全固件更新能夠幫助設備構建一個可以持續演進的系統,在安全可控的前提下進行設備版本更新,以便針對新的攻擊增加對應的安全防護措施、更正原有錯誤和添加新功能。
STM32提供安全啟動與安全固件更新的參考實現,該實現充分利用了STM32 MCU的各種硬件安全功能,並且支持眾多產品系列,能夠完整覆蓋既往的產品系列(例如F4,F7,L1,L0,L4)以及較新的產品系列(例如G0,G4,H7,WB等),並將持續增加對後續新產品的支持。
SBSFU軟件包下載鏈接https://www.st.com/x-cube-sbsfu
安全生產解決方案(SFI)
設備的固件一方面是軟件IP,另一方面也是設備能夠正確執行各種應用功能的重要基礎,其安全性在設備的整個生命週期都應當受到關注。
存儲器訪問保護及IP保護能夠防止設備出廠後固件從調試端口被非法獲取,安全啟動能夠保證設備使用中固件的完整性與真實性,安全固件更新則保護了更新過程中的固件安全。
而設備生產階段也是一個需要考慮的環節,STM32的安全固件安裝(SFI)想要解決的就是如何在設備生產工廠保護固件安全性的問題,一方面保護生產程中固件的機密性和完整性,另一方面還能夠控制固件燒錄的次數,防止過量生產的情況。
安全固件安裝(SFI)解決方案提供的資源包括:
- 固件加密打包工具(STM32TrustedPackageCreator):用於加密固件
- 硬件安全模塊HSM:用於保存固件加密密鑰和產生燒錄時的授權License
- PC端燒錄工具(STM32CubeProgrammer):配合HSM實現安全燒錄過程
- SFI相關的說明和使用文檔
2、STM32信息安全相關培訓資源
線上課程培訓
STM32信息安全
從智能鎖談STM32安全技術
線下技術培訓資料
STM32安全技術培訓
