Arm? TrustZone? STM32 微控制器的安全啟動和安全固件更新解決方案概述

本應用筆記描述如何在基于 Arm? Cortex??M33 處理器的 Arm? TrustZone? STM32 微控制器上獲得安全啟動和安全固件更新流程解決方案。該應用筆記還提供此解決方案與 X-CUBE-SBSFU 解決方案的頂層比較結果，后者適用于基于 Arm? Cortex??M0、Cortex??M3、Cortex??M4、或 Cortex??M7 處理器的非 TrustZone?STM32 微控制器。它還為安全啟動和安全固件更新流程解決方案提供頂層集成指南。

對于 Arm? TrustZone? STM32 微控制器，安全啟動和安全固件更新流程解決方案在相應的 STM32Cube MCU 包中提供。與 XCUBE-SBSFU STM32Cube 擴展包中提出的解決方案不同，該解決方案基于開源 TF?M（可信固件面向 Arm? Cortex??M）參考實現。

本應用筆記適用于所有 TrustZone? STM32 微控制器（參考表 1）。然而，本文檔中將 STM32L5 系列作為示例。

STM32Cube MCU 包中可用的基于 TF?M 的應用可能會不同，具體取決于 TrustZone?STM32 微控制器。參照公認的 Arm?TrustZone? STM32 微控制器（參見第 2 節(jié) 參考）的 TFM 應用（TF?M 的完整實現）的用戶手冊，獲取對解決方案的精確描述。

在本應用筆記中，術語 X-CUBE-SBSFU 指的是 X-CUBE-SBSFU STM32Cube 擴展包中可用的安全啟動和安全固件更新流程解決方案，而術語 SBSFU 指的是 Arm?TrustZone?STM32 微控制器 STM32Cube MCU 軟件包中可用的安全啟動和安全固件更新流程解決方案（STM32CubeL5 用作示例）。

Arm? 可信固件?M （TF?M）簡介

TF?M （參照[TF?M]）是 Arm Limited 驅動的開源軟件框架，在 Arm? Cortex?-M33 (TrustZone?)處理器上提供了PSA 標準的參考實現：

• PSA 不可變 RoT（信任根）：在任何復位后執(zhí)行的不可變“安全啟動和安全固件更新流程”應用程序。該應用程序基于 MCUboot 開源軟件（參照[MCUboot]）。

• PSA 可更新 RoT：“安全”應用程序實現了一組隔離在安全/特權環(huán)境中的安全服務，非安全應用程序可以通過PSA API 在非安全應用程序運行時期中調用這些服務（參照[PSA_API]）：

–安全存儲服務：TF?M 安全存儲（SST）服務實現 PSA 保護的存儲 API，允許數據加密并將結果寫入可能不可信的存儲中。SST 服務采用基于 AEAD 加密策略的 AES-GCM 作為參考，保護數據的完整性和真實性。

–內部可信存儲服務：TF?M 內部可信存儲（ITS）服務實現 PSA 內部可信存儲，API 允許在微控制器內置的閃存區(qū)域中寫入數據，該區(qū)域將通過硬件安全保護機制與非安全或非特權應用程序隔離。

–加密服務：TF?M 加密服務實現了 PSA 加密 API，允許應用程序使用密碼學原語，如對稱和非對稱密碼、哈希、信息驗證碼（MAC）和帶關聯數據的認證加密（AEAD）。它基于 mbed-crypto 開源軟件（參照[mbed-crypto]）。

–初始認證服務：TF?M 初始認證服務允許應用程序在驗證過程中向驗證實體證明設備身份。初始認證服務可以根據請求創(chuàng)建一個令牌，其中包含特定于設備的固定數據集。

• 應用程序可更新 RoT：隔離在安全/非特權環(huán)境中的第三方安全服務，可以由非安全應用程序在非安全應用程序運行時期中調用。