ARMv8-M中的TrustZone如何保护代码的安全？

• 调试端口连接可控

  在RDP1或者RDP0.5条件下，如果芯片使用了TrustZone上电调试接口就不可连接（具有类似RDP2的效果）
  

  比RDP2更灵活，可以由用户代码控制后续调试端口访问权限，实现安全调试，并保留修改选项字节的可能性

• 用户片上Flash进一步隔离

  安全闪存区域不能被非安全世界任意访问

  非安全世界不能访问安全世界的数据

  非安全世界不能访问安全世界的外设

  非安全世界访问安全世界的函数，需要按照一定规则，不可随意调用

  
  

• 资源在“安全世界”和“非安全世界”之间的分配

• 示例菜单和测试功能

• 示例运行注意事项

• 上电运行安全世界代码，做资源分配

• 安全世界：

  关键操作，关键数据

  配合读保护，可以阻断调试端口连接

• 非安全世界：

  人机交互

  可以使能调试端口，但是无法访问到安全世界的关键数据和外设

• 读保护级别为0（芯片缺省状态）

  芯片复位可被调试端口连接

• 读保护级别为0.5

  硬件保证：CPU处于安全状态时，调试无法连接；包括复位时，运行安全代码时

  软件操作：安全代码在跳转到非安全区域之前，关闭调试端口

• 保护效果

  CPU运行在非安全区域时，缺省调试无法连接；可通过身份认证来使能对非安全代码的调试

• 基于“挑战-应答”模型

  芯片产生随机序列，合法用户持有匹配私钥对随机序列的签名，才能被芯片使用其存储在安全世界里的对应公钥验签成功

  
  

• RDP0.5时，S代码自动关闭调试端口。使用STM32CUbeProgrammer hotplug也无法连接；IDE下载NS代码也不会成功；需要用户通过菜单打开调试端口，之后STM32Cubeprogramer才能连接成功，IDE下载也才能成功。
• RDP非0时，片上Flash中如果没有可以跑到非安全状态的有效代码，调试端口不再可连
  除非改变启动方式，从系统BL启动（系统BL的代码是一定可以跑到非安全状态的）
  需要确保可以从系统BL启动（选项字节中的启动控制：nSWBOOT0）
• 【Q】为何例程没有提供RDP回退的菜单？
  【A】TrustZone使能时，RDP回退只能由调试接口或者系统BL完成
  例程通过硬件和软件两方面一起作用，实现了对非安全代码的可控调试
  硬件：读保护级别不为零+TZ使能\r复位时+ 运行在安全代码区域时，调试不可连接
  软件：安全区代码在跳转到非安全区代码之前，软件关闭调试端口
  菜单【1】、【2】：测试作用，不会集成到产品中
  菜单【D】：即使通过通信端口在非安全区注入恶意代码来调用打开调试端口的功能，由于不知道签名所需要的私钥，验证无法通过，不能打开调试端口
  
  

1.报名啦！构建安全的嵌入式系统--从FreeRTOS到SAFERTOS线上课程

2.2021年第6期《单片机与嵌入式系统应用》电子刊新鲜出炉！

3.华为官方通知：鸿蒙不再属于华为！

4.妙用MCU中SystemReset不复位的通用寄存器！

5.单片机就那点资源，为啥那么多人想用RTOS？

6.儿童节之际回忆痴迷技术的大学时光！

免责声明：本文系网络转载，版权归原作者所有。如涉及作品版权问题，请与我们联系，我们将根据您提供的版权证明材料确认版权并支付稿酬或者删除内容。