昌吉网站建设电话,设计网站的结构时,做网站哪家服务器好,wordpress html5视频播放插件1.1 课程架构介绍#xff1a;STM32H5信息安全特性概览
1. 概述
开发者在打造嵌入式系统时#xff0c;安全和性能是产品开发设计的考量重点。为实现这一目标#xff0c;ST推出了STM32H5系列#xff0c;该系列作为微控制器新标杆面向工业应用市场#xff0c;将为用户带来更…1.1 课程架构介绍STM32H5信息安全特性概览
1. 概述
开发者在打造嵌入式系统时安全和性能是产品开发设计的考量重点。为实现这一目标ST推出了STM32H5系列该系列作为微控制器新标杆面向工业应用市场将为用户带来更强劲性能和安全性提供更多设计自由加快产品上市。
STM32H5系列可提供从安全硬件到完整解决方案的丰富资源用户可根据需要选择。
STM32H5带来更加出色的安全机制例如配备永久信任根iRoT 和可更新可信根uRoT的双级可信根。
STM32H5还加入了生命周期管理基于认证的调试等新功能这些新功能可帮助开发人员更好地在现场管理调试设备。使用STM32H5系列工程师可以在不影响安全性的情况下重新打开调试功能从而为其他现场工作提供便利。有了全新STM32H5系列的硬件和软件功能安全性将更加实用。
由ST开发和维护的全新的可信执行环境解决方案——安全管理器可简化开发人员的工作流程且不受开发人员专业能力的限制极大地降低了信息安全功能的开发门槛。
STM32推出《STM32H5信息安全培训课程》https://c.51diantang.com/columndetail?id154aaa87d2634480ad9ad5aff3ead364下面是我自己在学习过程中总结的笔记也算留下点记忆给平淡的生活留下点痕迹 2. 嵌入式设备信息安全 嵌入式设别信息安全的典型需求
调试访问控制与设备生命周期管理保护调试端口管理各阶段设备资源的访问安全启动与安全升级保证应用固件完整可信来源可靠软件IP与存储器保护保护代码与数据的机密性防止未经授权的访问加解密引擎与随机数发生器用于身份认证数据加密安全通信等安全存储实现敏感数据和密钥的安全存储和使用关键代码隔离与可信执行环境保护复杂系统敏感代码和冠军外设相关操作。
3. STM32 H5 安全特性总览 存储保护防止未授权保护OTPHDP隐藏保护WRP写保护MPUOTFDec外部Flash实时解密Product State调试端口保护Active Tamper动态放拆机保护。 加解密带硬件安全防护带侧信通道攻击防御的SAESPKAAESSHATRNGOTFDecHUK硬件唯一密钥NIST-CAVP认证的Cryptolib。 安全启动与系统验证产品生命周期管理多级Flash启动保护ST-iROT / OEM-iROT安全启动方案带认证的调试Debug Authentication。 代码隔离与安全存储存储与动态执行保护7个隔离保护区Arm TrustZone 系统级隔离技术专用的安全存储区HUK硬件唯一密钥。 交钥匙安全服务解决方案STM32 Trust TEE Secure Manager安全管理器Easy registration to clouds servers多方软件IP保护预集成第三方PKI生命周期管理永久信任根。
通过上述的介绍客户可以根据自己不同的使用场景来匹配不同的方案如果在信息安全方面没有经验可以直接使用ST的交钥匙的安全服务解决方案。
目前主导的两种的信息安全认证一个是ARM的PSA的level3Global platform的认证同样也是Level3.
4. STM32H5 安全特性 vs. 使用场景 软件IP保护
Product State管理芯片访问权限Debug Authentication安全调试HDPWRP保护Flash上的代码和数据OTFDEC保护外部Flash
安全启动/升级
ST-iROT安全启动的BootROM不需要开发硬件出厂自带安全启动的方案OEM-iROT源代码方式可以交由OEM任意修改的安全启动方案。
实现安全通信
硬件加解密单元X-Cube-Cryptolib如果不带硬件加密单元可以使用软件加密的算法库X-Cube-Cryptolib。
存储机密数据
SAESHUK存储私钥和云端交互的密钥用SAESHUK实现存储秘密数据的时候一机一密OBK安全存储区Flash和Ram数据的隔离TrustZoneFlash和Ram数据的隔离
可信执行环境与安全服务
TrustZoneTF-M开源的软件方案Secure Manager ST提供的安全方案
5. 如何选择使用STM32H5的安全特性和解决方案 使用场景 场景1
保护自己产品的软件IP不希望被抄袭使用Product State功能Lock住保护固件的时候还希望保留调试功能可以使用Debug Authentication安全调试的功能通过调试的时候安全认证后开启调试功能内部FLash不够用还希望外挂Flash上并且不想在和外置Flash通信的数据明文发送可以使用OTFDEC的功能。
场景2
安全启动安全升级等需求希望能够使用芯片上固化的BootRom不希望自己开发代码可以选择STM32H57x系列芯片的ST-iROT的安全启动方案。如果发现ST提供的ST-iROT不能满足自己的安全启动方案可以使用OEM-iROT方案可以使用官方提供的源代码实现定制化的设计安全启动和安全升级。有自己的BootLoader希望在这个基础上开发信任根的功能可以利用安全相关的硬件Boot_LOCKHDP/HDPLWRPOBK等来实现安全启动等技术要求。
场景3
实现安全通信如果使用的是不带硬件Crypto型号可以使用X-Cube-Cryptolibmbedtls。如果需要同时实现通信安全和硬件加速或硬件安全防护可以使用带Crypto型号用SAESPKAAESHASHRNG等硬件加密模块。如果需要安全存储设备密钥等机密数据联云等可以用OBK的专用存储区SAESHUB这种一机一密来存储机密数据可以用到TrustZone的隔离保护对于关键数据只允许关键的代码操作。
场景4
需要保护关键代码和外设控制本身自己精通TrustZone技术-直接自己开发TrustZone应用希望有TEE架构和内建的安全服务有开发能力有定制化修改的需求- TF-M希望有无需开发的安全启动TEE安全服务可以使用ST官方生成的二进制文件应用于STM32H57x系列芯片- Secure Manager。
