UM2851 STM32CubeU5 TFM 應(yīng)用程序入門

本文檔描述如何入門 STM32CubeU5 TFM（Arm? Cortex?-M 的可信固件）應(yīng)用程序，該應(yīng)用程序作為 STM32CubeU5 軟件包組成部分提供。

STM32CubeU5 TFM 應(yīng)用程序提供了包含安全啟動(dòng)和安全固件更新功能的可信根解決方案。該解決方案在執(zhí)行應(yīng)用程序之前使用，提供一組安全服務(wù)，這些服務(wù)與非安全應(yīng)用程序相互隔離但可以在運(yùn)行時(shí)間被非安全應(yīng)用程序使用。STM32CubeU5 TFM應(yīng)用程序基于已移植到 STM32U5 系列微控制器（以下統(tǒng)稱為 STM32U5）上的開源 TF?M 參考實(shí)現(xiàn)，目的是利用 STM32U5 的硬件安全特性，例如：

• Arm? Cortex??M33 TrustZone?和存儲(chǔ)器保護(hù)單元（MPU）
• TrustZone?感知外設(shè)

• 存儲(chǔ)器保護(hù) (HDP, WRP)

• 增強(qiáng)生命周期方案 (RDP)

另外，添加一個(gè)安全元件（STSAFE-A110 微控制器（以下統(tǒng)稱為 STSAFE））可增強(qiáng)安全性。

安全服務(wù)是一種可升級(jí)的代碼，提供了一組服務(wù)，非安全應(yīng)用程序可以在運(yùn)行時(shí)間使用這些服務(wù)，這些服務(wù)管理著與非安全應(yīng)用程序相隔離的關(guān)鍵資產(chǎn)。非安全應(yīng)用程序不能直接訪問任何關(guān)鍵資產(chǎn)，但可以調(diào)用使用關(guān)鍵資產(chǎn)的安全服務(wù)：

• 安全啟動(dòng) （可信根服務(wù)）是不可變代碼段，總是在系統(tǒng)復(fù)位后執(zhí)行。在每次執(zhí)行前，它檢查 STM32U5 靜態(tài)保護(hù)，激活STM32U5 運(yùn)行時(shí)間保護(hù)，然后驗(yàn)證所安裝固件的真實(shí)性和完整性。以此確保無(wú)效或惡意代碼無(wú)法運(yùn)行。

• 安全固件更新應(yīng)用程序是一種不可變代碼，它檢測(cè)可用的新固件映像，檢查其真實(shí)性，并在安裝代碼之前檢查其完整性?？蓪?duì)整個(gè)固件映像執(zhí)行固件更新，包括固件映像的安全和非安全部分。或者，也可單獨(dú)對(duì)固件映像的安全部分和/或非安全部分執(zhí)行更新。在覆蓋模式或交換模式下也可執(zhí)行固件更新?？梢悦魑幕蚣用苄问浇邮展碳?。

安全服務(wù)是實(shí)現(xiàn)了一組服務(wù)的可升級(jí)代碼，這些服務(wù)管理著與非安全應(yīng)用程序相隔離的關(guān)鍵資產(chǎn)。這意味著非安全應(yīng)用程序不能直接訪問任何關(guān)鍵資產(chǎn)，而只能調(diào)用使用關(guān)鍵資產(chǎn)的安全服務(wù)：

• 密碼：基于不透明密鑰 API 的安全密碼服務(wù)

• 受保護(hù)存儲(chǔ)：保護(hù)數(shù)據(jù)的機(jī)密性/真實(shí)性/完整性

• 內(nèi)部可信存儲(chǔ)：保護(hù)內(nèi)部 Flash 存儲(chǔ)器中數(shù)據(jù)的機(jī)密性/真實(shí)性/完整性（為微控制器實(shí)現(xiàn)的最安全的存儲(chǔ)空間）

• 認(rèn)證：通過實(shí)體認(rèn)證令牌證明產(chǎn)品身份

本文檔中的 TFM 應(yīng)用程序是[TF-M]的完整實(shí)現(xiàn)。第二個(gè)僅實(shí)現(xiàn)[TF-M]安全啟動(dòng)和安全固件更新功能的應(yīng)用程序名為STM32CubeU5 SBSFU，也可以在 STM32CubeU5 MCU軟件包中獲得。