我們啟動STM32H7的安全軟件安裝 （SFI） 功能，并在 STM32 微控制器上啟動安全模塊安裝 （SMI）。當時，利用這些新的硬件安全功能所必需的一些軟件解決方案需要更加完善。既然它們已準備好迎接黃金時段，我們決定看看 SMI，看看是什么讓 SFI 在 STM32H7 上獨一無二，因為新型號代表了我們最新的旗艦安全 MCU。此外，我們還參加了Arm TechCon 2019，并希望突出推動這些設(shè)備的一些創(chuàng)新。

SFI 和 SBSFU：安全系統(tǒng)在其生命周期各個階段的基礎(chǔ)

安全固件安裝 （SFI） 現(xiàn)在是一種相對流行的技術(shù)，它使系統(tǒng)制造商能夠?qū)⑵涔碳募用馨姹景l(fā)送給 OEM。由于代碼只能在 MCU 內(nèi)部解密，因此開發(fā)人員可以降低 IP 被盜的風險。同樣，OEM 可以在不投資主要機器或技術(shù)的情況下提供重大保證，因為他們唯一需要的是STM32CubeProgrammer和 HSM 智能卡，其中包含能夠?qū)⒐碳踩惭b到微控制器上的安全憑證。一旦產(chǎn)品到達最終用戶手中，開發(fā)人員就可以從安全啟動和安全固件升級 （SBSFU）中受益以保護他們免受攻擊。安全啟動檢查啟動加載程序簽名以確保黑客沒有插入惡意代碼，而安全固件升級允許制造商修補漏洞并修復潛在錯誤以增強客戶體驗。

任何關(guān)于 STM32H7 微控制器安全特性的討論都必須首先說明新的 SMI 特性僅適用于 STM32H750、STM32H753、STM32H755 或 STM32757 部件號。就像其他 STM32 上的 SFI 或安全啟動和安全固件更新 （SBSFU） 一樣，工程師需要具有加密內(nèi)核和其他特定硬件機制的 MCU。集成這些新 STM32H7 的 Nucleo、Discovery 和評估板已經(jīng)上市，這將極大地幫助測試和部署這些功能。所有這些技術(shù)也屬于STM32Trust，這是我們專注于軟硬件解決方案的倡議，并且都經(jīng)過第三方實驗室的審核，以確保其穩(wěn)健性和有效性。 因此，今天標志著一個象征性的發(fā)布，但這也是我們希望提高嵌入式系統(tǒng)安全性以保護最終用戶、系統(tǒng)供應(yīng)商和模塊制造商的愿望的延續(xù)。

STM32H7 和 SMI：它是什么以及為什么它很重要？

STM32H7 是我們第一個受益于 SMI 的 MCU 系列，它使第三方模塊制造商能夠加密他們的二進制文件。MCU上運行的應(yīng)用程序調(diào)用模塊，就像任何其他常規(guī)模塊一樣，但系統(tǒng)制造商無法訪問源代碼，這大大降低了IP被盜的可能性。很多時候，開發(fā)系統(tǒng)固件的公司會購買第三方模塊來添加功能，而無需從頭開始開發(fā)。模塊制造商現(xiàn)在可以為 STM32H7 開發(fā)代碼，然后使用 STM32CubeProgrammer 的 Trusted Package Creator 對二進制文件進行加密。然后他們將加密憑證存儲在硬件安全模塊智能卡中他們運送給 OEM，后者將在使用 STM32CubeProgrammer 將加密模塊加載到 MCU 時使用它。

細心的讀者會注意到，SMI 過程與 SFI 相同，但開發(fā)人員不是加密整個固件，而是加密一個模塊。此外，SFI 和 SMI 流程使用不同的 HSM 卡。一張智能卡無法存儲所有憑據(jù)，但出于明顯的安全原因，每個固件和模塊都必須使用其卡。此外，與 SFI 不同，SMI 需要編譯器支持獨特的擴展。我們的STM32CubeIDE，集成 STM32CubeMX 的免費 IDE，已經(jīng)兼容，并且其最近的更新剛剛帶來了對 STM32H7 的支持，使其成為專業(yè)人士和愛好者的絕佳工具。Keil 和 iAR 也兼容，我們正在與其他 IDE 制造商合作，以確保盡可能廣泛的支持。此外，我們已經(jīng)與一些希望利用這一新功能的模塊制造商合作，一旦他們?yōu)楣姕蕚浜盟麄兊慕鉀Q方案，我們將對其進行推廣。

STM32H7 上的 SFI 和 SBSFU：哪些具體實現(xiàn)使它們更加強大

就像他們的前輩一樣，帶有加密內(nèi)核的新 STM32H7 也兼容安全固件安裝以及安全啟動和安全固件更新。然而，最新的 MCU 是獨一無二的，因為它們的 SMI 和 SFI 代碼都在安全的系統(tǒng)內(nèi)存中。在其他設(shè)備上，例如 STM32L4，SFI 位于用戶內(nèi)存中，因為該組件沒有 STM32H7 擁有的所有安全空間。我們用特殊的鎖保護STM32L4內(nèi)部的代碼，一旦OEM使用SFI安裝固件，系統(tǒng)會自動刪除該機制，以確保用戶應(yīng)用程序可以使用更多的內(nèi)存。另一方面，STM32H7 將 SMI 和 SFI 代碼存儲在用戶無法訪問的系統(tǒng)內(nèi)存中，并且代碼在設(shè)備的整個生命周期內(nèi)都保留在該內(nèi)存中。

與 STM32WB、STM32G0 和 STM32G4 一樣，STM32H7 的 SBSFU 集成了讀取保護級別 2 （RDPL2），可保護閃存、備份寄存器和 SRAM 內(nèi)容免受任何外部訪問，同時永久禁用 JTAG/SWD 接口。一旦激活，RDPL2 就不可逆轉(zhuǎn)，保護開發(fā)人員免受被遺忘的調(diào)試后門的影響，即使該設(shè)備在 ST 工廠時也是如此。傳統(tǒng)上，如果用戶執(zhí)行系統(tǒng)復位，僅使用讀取保護級別 1 的 STM32 器件會打開其 RAM 以進行 JTAG 訪問。但是，STM32H7 禁止此類訪問，即使在 RDPL1 中也是如此。同樣，當從 RDPL1 切換到 RDPL0（不再提供保護）時，STM32H7 保持其專有代碼讀取保護 （PCROP） 處于活動狀態(tài)。

審核編輯：郭婷