STM32信息安全硬件特性

1、STM32硬件安全特性概览

STM32 MCU底层硬件具备的安全特性能够覆盖存储访问保护、代码/系统隔离、启动入口限定、防篡改检测、密码学算法加速、身份识别等多方面的安全需求，例如：

• 身份识别：UID, OTP
• 存储访问保护/软件IP保护：RDP（读保护），WRP（写保护），PCROP（专有代码保护），OTFDEC（On-The-Fly Decryption实时解密模块）
• 代码/系统隔离：MPU，Firewall（防火墙），TrustZone，Secure User Memory（安全用户存储区）
• 启动入口限定：RDP2，BOOTLOCK（启动锁定）
• 防篡改检测：Anti-Tamper
• 密码学算法硬件：AES，HASH，PKA，TRNG

芯片硬件安全功能结合软件能够实现更多应用层次的安全功能，例如安全启动，安全更新，安全存储，安全通信，可信执行环境等等。

1.1 身份识别

Unique ID芯片唯一标识：STM32全系列产品都带有UID，出厂时已经烧写在STM32芯片的系统Flash区域，UID的长度为96bit，作为芯片的唯一标识号。

UID的常见用途：

• 基于UID通过某种算法生成搭载该芯片的产品的唯一序列号
• 基于UID进行密钥派生：芯片的参考手册有专门章节描述，请参考Device electronic signature章节
• OTP一次性写入区域：STM32 MCU的多数系列都带有OTP区域，例如F2，F4，L4，F7，H7，G0，G4，WB，L5等等（OTP区域的支持以及大小要看具体产品型号）。

OTP的常见用途：

• 一次性写入产品标识信息，写入后无法变更；
• 一次性写入不可变更数据，例如安全启动用于验证应用合法性的公钥信息

OTP的操作方式请参考芯片的参考手册 Embedded Flash memory (FLASH)章节的相关描述。

1.2 存储保护/软件IP保护

WRP 内部Flash写保护

WRP能够保护片内Flash指定区域的内容不被意外地或者恶意地修改或擦除，STM32全系列产品都带有写保护功能。

根据产品系列的不同，WRP的配置方式略有不同，L4、G0、G4、WB、L5系列可以设置受保护的起始和末尾Page，其它系列可以独立设置需要保护的Page/Sector。

WRP结合RDP2可以使得一段片上Flash成为相当于ROM的区域，该区域代码或数据将具有不可改变特性。

RDP读保护

RDP读保护所保护的对象包括内部Flash，选项字节，内部SRAM（如SRAM2），OTP区域，Backup后备域RAM及寄存器等。除F1外，其他所有STM32系列产品都具有RDP功能。

RDP具有0、1、2三个级别，L5还增加了一个0.5级别，出厂时芯片的RDP级别缺省为0，即完全开放没有保护；RDP设置为级别1时，调试端口虽然可以连接，但是对于受保护的各个区域（Flash，RAM，Backup RAM/register）等等，已经无法通过调试端口访问，即使从system bootloader启动或者从RAM运行的代码也无法访问那些区域，RDP1状态下选项字节仍旧可以修改，因而可以回退到RDP0，但是该操作会触发全片Flash擦除；RDP2状态则会完全关闭调试端口，并且无法回退到RDP1或者RDP0。

L5是基于CM33内核带有TrustZone的产品系列，对应也增加了一个RDP0.5级别，RDP0.5状态能够锁定Secure区域的访问，但依旧允许Non-Secure区域的存储访问以及调试，给TrustZone环境下的开发带来更多灵活性。

RDP1/2可以提供基本的代码和IP保护功能，防止设备出厂后被非法从调试端口获取。

PCROP私有代码保护

PCROP提供了一个额外层次的代码保护，PCROP可以设置内部Flash的指定区域成为只能执行的代码区域，该区域无法被读取（作为数据），修改或擦除，也就是说无论是通过调试器还是芯片运行的代码（包括运行在PCROP区域内部的代码本身）都无法读取PCROP保护区域的指令，而且，即使在RDP0的状态下，PCROP所保护的区域也无法通过调试器进行数据读取。

PCROP的常见用途是联合开发，对部分软件IP进行保护，受保护部分的代码不能被二次开发用户读出或修改，但是其中的函数API可以被调用。PCROP同时也可以成为对数据进行某种程度保护的手段，这时候，需要将被保护的数据转换成一段指令，只有执行该段指令之后，数据才会被恢复到寄存器或者RAM当中。

PCROP相关资源：

DB2641：STM32Cube的专有代码读保护(PCROP)软件扩展

AN4701：STM32F4系列微控制器的专有代码读取保护

AN4758：STM32L4系列微控制器的专有代码读取保护

AN4968：STM32F72xxx和STM32F73xxx微控制器的专有代码读出保护（PCROP）

AN4246：STM32L1 微控制器的专有代码读取保护

专有代码保护 (PCROP) STM32Cube软件扩展包 X-CUBE-PCROP

WRP，RDP，PCROP的操作方式请参考芯片的参考手册 FLASH memory protection 章节的相关描述。

WRP，RDP，PCROP能够对代码、数据等提供基本的保护，如果希望这种保护具有更多的灵活性，包括考虑芯片内运行的软件本身对敏感数据、代码的访问控制等，则可以进一步使用代码和系统隔离机制，参见代码/系统隔离部分的介绍

OTFDEC（On-The-Fly Decryption）实时解密

OTFDEC功能是STM32L5具有的新功能，用于保护放置于外部SPI Flash上的代码和数据，代码和数据都可以首先经过AES加密后以密文的形式存储于外部SPI Flash，从而防止由于数据代码明文存放于外部Flash而带来的安全风险。系统运行时可以通过OTFDEC模块对存储于外部SPI FLASH上的代码和数据进行实时解密，该解密过程对CPU透明。

详细的使用方法详见芯片参考手册OTFDEC章节的相关描述。

1.3 代码/系统隔离

MPU存储器保护单元

MPU是Cortex-M内核具备的功能，可以通过定义不同的Region（区域）设置不同地址范围的属性和CPU访问权限，例如某个地址范围是否允许执行，是否允许读或写，是否允许特权模式访问以及用户模式访问。通过合理配置和使用MPU可以实现对系统资源和代码的隔离，例如可以将Flash的某个区域的访问权限设置为只允许特权模式读访问，但不能执行，配合代码的特权和用户模式转换，达到部分代码能够访问该资源，其余代码无直接法访问该资源的目的。

除F0系列外，其它STM32系列都带有MPU单元。更详细的内容可以参考 AN4838。

AN4838：STM32 MCU 的存储器保护单元 (MPU)

Firewall防火墙

使用Firewall防火墙硬件IP，可以在片上Flash和RAM中隔离出一块隔离区，该隔离区具有唯一的入口，只有从该入口进入后防火墙隔离区域内的代码和数据才能够被执行和访问，从防火墙保护区域跳转出去之前也必须进行关闭操作才能够允许跳转，也就是说函数只能从设计允许的出口退出，除此之外的任意的调用、访问和跳转都会引发系统复位。通过防火墙提供的隔离功能，部分关键的软件功能和数据可以放置于防火墙隔离区内，防火墙外的应用程序只能够通过防火墙提供的唯一入口函数调用防火墙内部的功能，而无法直接看到其中的代码或者数据，起到将关键操作与系统其它部分的软件隔离开的作用。

防火墙的功能是系统运行后动态开启的，而不是来自OptionByte的静态设置，但是防火墙一旦使能，则在当前的Power Cycle始终有效，且不能被禁止，直到下一次复位。

具有防火墙功能的STM32系列包括STM32L0和STM32L4。

TrustZone

STM32L5是第一个基于CM33内核带有TrustZone的STM32MCU产品系列，V8-M TrustZone及其在STM32L5上的系统级的实现提供了更加完整和灵活隔离功能。CPU的运行区分安全和非安全状态，存放在Flash, RAM上的代码和数据被分配到安全和非安全区，允许CPU安全或者非安全状态下的访问，除此之外，系统的各个外设以及CPU之外的Bus Master也都能够被分配到安全和非安全区，这样就意味着安全区所管理的不仅仅只有代码和数据，还可以包含关键外设及其对应的中断等等。基于TrustZone提供的隔离功能，可以在MCU上实现可信执行环境，关键代码与操作置于可信执行环境内，避免系统的关键资源因为应用软件可能带有的脆弱性而受到攻击。

关于V8M-TZ的具体细节，可以参考ARM相关的文档；STM32L5的TZ系统架构等可以参考STM32L5的参考手册，以及相关应用笔记。

AN5421：STM32L5系列微控制器和TrustZone?开发入门

AN5347：STM32L5 系列 TrustZone? 功能

Secure User Memory安全用户存储区

安全用户存储区是STM32 MCU内部Flash上的一块特殊存储区域，该区域在上电复位后可以访问，软件可以通设置寄存器打开对该区域的保护功能，一旦保护打开，该区域则变得完全不可访问，这种保护在整个Power Cycle都有效，直到下一次复位。受保护的安全存储区的大小位置可以通过芯片的Option Byte进行设置，属于静态设置，上电自动生效，不需要软件进行配置；保护的打开可以通过软件动态使能。安全存储区域的一个典型用法是将每次上电只运行一次的代码和数据放在该区域，例如安全启动的代码，一但跳转到应用程序区域，则安全启动代码以及该阶段使用的Flash上的数据（例如密钥）变得完全不可见，可以使得启动代码与应用程序完全隔离开，避免应用程序访问任何启动阶段使用的敏感代码与数据。这个功能可以用于实现DICE机制。

目前支持安全存储区功能的STM32产品系列包括G0，G4，H7，L5。

安全用户存储区的使用请参考芯片参考手册相关章节的描述

• STM32G0、G4：Embedded Flash memory (FLASH)章节有关Securable memory area的描述
• STM32L5: Embedded Flash memory (FLASH) 章节有关HDP（Hide Protect）的描述
• STM32H7: Embedded Flash memory (FLASH) 章节有关Secure access mode章节的描述。

1.4 启动入口限定

• 唯一启动地址功能可以用于安全启动的实现，保证每次启动时总是运行安全启动代码，安全启动代码对系统和后续代码的校验无法被绕过。唯一启动入口的实现在不同的STM32系列上不尽相同。
• STM32G0、G4系列具有Boot_Lock启动入口锁定功能，G0/G4设置Boot Lock+RDP1将使得芯片只能从用户Flash地址启动，且调试端口无法连接，类似于RDP2的效果；
• STM32L5也带有BootLock功能，一旦设置Boot Lock选项，则系统总是从SECBOOTADDR配置的安全区Flash地址启动，且该设置无法被取消；
• STM32H7带有Security安全功能的系列，当Security功能被使能的时候，系统将总是从RSS（Root Security Service）启动，配合安全用户存储区以及BOOTADDR配置，可以锁定用户代码总是从安全用户存储区的代码地址开始运行；
• STM32 F系列及L0、L4、WB系列可以通过设置RDP2确保每次启动总是从内部Flash地址开始执行

关于STM32的各个系列的启动模式，详见芯片参考手册相关章节的描述。

1.5 Anti-Tamper防篡改检测

Anti-Tamper的目的是检测电路板级别的物理攻击，并且在检测到入侵事件时自动清除敏感数据。Anti-Tamper包括静态检测和动态检测（STM32L5支持动态检测），配合电路板上的布线和开关一起使用，用于检查是否出现非法打开设备外壳的情况。静态检测针对防篡改引脚的电平或边沿变化，动态检测则使用成对的检测管脚，输出管脚会持续输出随机序列，输入管脚将检查收到的序列与输出的序列是否匹配，相比静态检测更难被绕过。除了防篡改引脚，异常检测的范围还包括对时钟频率，温度以及电压的监测，任何的异常都将自动引发（存储于后备域寄存器或RAM的）敏感数据的擦除，并触发相应的中断，由应用程序作进一步处理，例如保存异常检测事件，用作后续的审计等。

1.6 Crypto密码学单元

密码学相关的功能单元包括TRNG真随机数发生器，AES、CRYP加解密引擎，HASH加速器，PKA公钥算法加速器。

• TRNG模块在除F0，F1，F3，L1外的其他系列产品上都有支持，真随机数发生器能够产生符合随机性要求的随机数，作为密码学操作、加密通信等的基础；
• STM32 MCU中的对称密钥算法加速器硬件有两种，AES或者CRYP引擎，CRYP引擎包含AES及DES/TDES算法，除F0，F1，F3以外，其它的系列均带有AES或者CRPT引擎（具体请参见具体型号的相关文档），支持加解密、各种Chaining Mode以及秘钥派生等算法；
• HASH处理模块能够进行SHA-1，SHA-224，SHA-256以及HMAC操作，带有HASH硬件模块的系列包括F2，F4，F7，L4，L5，H7；
• PKA公钥算法加速器主要提供公钥算法（RSA，DH，ECC）相关的密码学运算功能，无需其它软硬件的参与额外的运算。PKA模块能够大幅度提高公钥算法相关密码学运算的速度，释放CPU的运算资源，并降低运算所需要的功耗。目前带有PKA公钥算法加速器的系列包括WB和L5。

密码学单元的具体使用方法，请参考芯片参考手册AES，CRYP，HASH，TRNG，PKA相关章节的描述。

2、STM32信息安全相关培训资源

线上课程培训

STM32信息安全

从智能锁谈STM32安全技术

线下技术培训资料

STM32软硬件安全技术培训

STM32加解密技术