11. 安全性和TrustZone

本章目錄

1. 什么是TrustZone，它有什么作用？

2. 安全環(huán)境和非安全環(huán)境的劃分

3. 器件生命周期管理

4. TrustZone用例

11.4 TrustZone用例

現(xiàn)在我們已經(jīng)了解了什么是TrustZone、它是如何幫助實現(xiàn)數(shù)據(jù)和知識產(chǎn)權(quán)（IP）保護的、瑞薩實施該技術(shù)可以帶來哪些好處，以及安全和非安全環(huán)境的劃分情況如何，接下來介紹一些具體用例。本章的以下部分將介紹TrustZone如何協(xié)助保護IP、支持法律相關(guān)代碼的隔離，以及保證信任根（RoT）的安全。

11.4.1 預(yù)燒寫算法的IP保護

如果應(yīng)用程序必須訪問受到防篡改保護的功能算法，那么對安全算法與其余代碼分別進行開發(fā)的可能性，將為客戶帶來巨大的利益。算法的設(shè)計人員將首先使用e² studio中的項目和FSP配置器創(chuàng)建定義好應(yīng)用程序編程接口（API）的安全項目，編寫算法，并使用任何可用的調(diào)試接口對其進行調(diào)試。然后，如果需要，可以將其燒寫到微控制器中，如有必要，還可以通過禁用已使用的閃存區(qū)塊的編程或擦除功能來對其進行保護。安全項目將自動配置TrustZone。在將預(yù)燒寫的器件交給應(yīng)用開發(fā)人員之前，安全團隊會將生命周期狀態(tài)設(shè)置為非安全軟件開發(fā)（NSECSD），以使調(diào)試器或閃存編程器無法讀取該算法。

然后，應(yīng)用程序編寫人員將在e² studio中創(chuàng)建一個非安全項目，編寫其應(yīng)用程序并使用任何調(diào)試接口對其進行調(diào)試。他們的應(yīng)用程序可以順利地調(diào)用任何安全項目的已公開API。完成后，將最終代碼燒錄到微控制器中，禁用所用閃存區(qū)塊的編程或擦除功能，并將器件生命周期狀態(tài)設(shè)置為已部署（DPL）、調(diào)試鎖定（LCK_DBG）或引導(dǎo)鎖定（LCK_BOOT）。現(xiàn)在，整個裝置都受到保護，可以隨時發(fā)給客戶。

TrustZone在此提供的最大優(yōu)勢是其可以防止算法濫用（無論是否有意），并允許將應(yīng)用程序設(shè)計劃分為安全和非安全方。但是，如果安全算法中存在缺陷，需要糾正，該怎么辦？在圖11-9中可以看到，如果安全開發(fā)人員未禁用擦除功能，則可以通過擦除受保護的算法回到SSD狀態(tài)。這可最大限度減少預(yù)燒寫器件的報廢率。

11.4.2 智能電表中法律相關(guān)代碼的代碼分離

歐洲的智能電表規(guī)范定義了法律相關(guān)代碼，該代碼已通過認(rèn)證。該代碼必須與電表的其他部分隔離。目前，大多數(shù)客戶通過使用兩個微控制器來進行物理隔離。這樣做費用高昂，但可簡化認(rèn)證。

另一種方法是在使用支持TrustZone的單片機上對法律相關(guān)代碼、數(shù)據(jù)和外設(shè)以及應(yīng)用代碼進行邏輯分隔，如用于顯示的代碼或DLMS/Cosem（設(shè)備語言消息規(guī)范/能源計量的配套規(guī)范）。這樣一來，TrustZone將提供可驗證的隔離，并防止單個器件上的代碼濫用和損壞。

11.4.3 保護信任根

正如第11.1章的說明，信任根（RoT）奠定了整個產(chǎn)品的安全基礎(chǔ)，因此必須得到保護。所有更高級別的安全都建立在RoT之上，RoT可提供經(jīng)過身份驗證的固件更新和安全通信。此外，RoT能夠從更高級別的安全故障中恢復(fù)，但是，如果RoT遭到破壞，則以它為基礎(chǔ)的任何內(nèi)容都將不再安全。

這意味著所有出廠密鑰、器件身份、任何校驗和、閃存映像驗證、加密服務(wù)、密鑰和證書以及敏感數(shù)據(jù)都應(yīng)保存在安全的環(huán)境中。其他所有內(nèi)容，例如主應(yīng)用程序、用戶接口、接口協(xié)議的不安全元素、服務(wù)以及其他內(nèi)容，都應(yīng)放置在非安全環(huán)境中。為了盡可能減小安全環(huán)境的攻擊面，應(yīng)將整個應(yīng)用程序中盡可能多的內(nèi)容放置在非安全環(huán)境中。

本章要點：

• TrustZone簡化了安全和非安全環(huán)境的分隔。

• Renesas的TrustZone實現(xiàn)確保在啟動時沒有安全漏洞。

• 有兩個不同的項目必不可少：一個是安全項目，另一個是非安全項目。

• 非安全可調(diào)用分區(qū)允許通過保護函數(shù)調(diào)用安全區(qū)域的內(nèi)容。

• 生命周期管理有助于在不同團隊之間拆分開發(fā)流程。