TrustZone是怎样保护片上代码的机密性的?
stm32l5基于cortex-m33 内核,其内核基于armv8-m架构,自带有trustzone安全技术,从内核到整个芯片系统,实现了安全区域和非安全区域之间的有效隔离。在调试端口保护方面,trustzone 和 rdp(读保护)的配合,同样可以实现灵活的调试端口访问控制,有效阻断来自调试端口对片上代码的窥探。
trustzone 保护片上代码的机密性
调试端口连接可控
在rdp1或者rdp0.5条件下,如果芯片使用了trustzone上电调试接口就不可连接(具有类似rdp2的效果)
比rdp2更灵活,可以由用户代码控制后续调试端口访问权限,实现安全调试,并保留修改选项字节的可能性
用户片上flash进一步隔离
安全闪存区域不能被非安全世界任意访问
非安全世界不能访问安全世界的数据
非安全世界不能访问安全世界的外设
非安全世界访问安全世界的函数,需要按照一定规则,不可随意调用
trustzone 助力代码保护示例
资源在“安全世界”和“非安全世界”之间的分配
示例菜单和测试功能
示例运行注意事项
资源的分配
上电运行安全世界代码,做资源分配
安全世界:
关键操作,关键数据
配合读保护,可以阻断调试端口连接
非安全世界:
人机交互
可以使能调试端口,但是无法访问到安全世界的关键数据和外设
调试端口的连接控制rdp=0
读保护级别为0(芯片缺省状态)
芯片复位可被调试端口连接
运行示例
调试端口的连接控制rdp=0.5
读保护级别为0.5
硬件保证:cpu处于安全状态时,调试无法连接;包括复位时,运行安全代码时
软件操作:安全代码在跳转到非安全区域之前,关闭调试端口
保护效果
cpu运行在非安全区域时,缺省调试无法连接;可通过身份认证来使能对非安全代码的调试
带身份认证的调试使能
基于“挑战-应答”模型
芯片产生随机序列,合法用户持有匹配私钥对随机序列的签名,才能被芯片使用其存储在安全世界里的对应公钥验签成功
例程运行注意事项
rdp0.5时,s代码自动关闭调试端口。使用stm32cubeprogrammer hotplug也无法连接;ide下载ns代码也不会成功;需要用户通过菜单打开调试端口,之后stm32cubeprogramer才能连接成功,ide下载也才能成功。
rdp非0时,片上flash中如果没有可以跑到非安全状态的有效代码,调试端口不再可连 除非改变启动方式,从系统bl启动(系统bl的代码是一定可以跑到非安全状态的) 需要确保可以从系统bl启动(选项字节中的启动控制:nswboot0)
【q】为何例程没有提供rdp回退的菜单? 【a】trustzone使能时,rdp回退只能由调试接口或者系统bl完成 例程通过硬件和软件两方面一起作用,实现了对非安全代码的可控调试 硬件:读保护级别不为零+tz使能 复位时+ 运行在安全代码区域时,调试不可连接 软件:安全区代码在跳转到非安全区代码之前,软件关闭调试端口 菜单【1】、【2】:测试作用,不会集成到产品中 菜单【d】:即使通过通信端口在非安全区注入恶意代码来调用打开调试端口的功能,由于不知道签名所需要的私钥,验证无法通过,不能打开调试端口 。
网络总体规划设计
湖南先进传感与信息技术创新研究院:在微纳近红外探测器领域取得重要研究进展
中国经济“高质量”发展 上达电子“高效率”运营
ds18b20系统结构框图和接线
专注边缘AI的耐能智能获得新一轮投资
TrustZone是怎样保护片上代码的机密性的?
华为AI音箱更新升级 将支持微软小冰
一加5最新消息:先别着急买小米6,一加5曝光6月中旬发布
存储器国家队豪言:2020年追上世界领先技术
pcb layout中信号完整性的信号延迟(delay)
什么是电机传感器控制
腾讯与壳牌润滑油达成战略合作,共同致力中国汽车后市场加快数字化转型
如何用代码在excel插入图片
无线上网我有新招!利用小灵通无线上网
2nm芯片有多强 2nm芯片是极限吗
新思科技将以350亿美元收购Ansys
PUR点胶加工已经成为电子保护和组装的首选
全志式发布了无线MCU系列芯片XR871
基于SoPC的嵌入式系统设计方法阐述
三星电子金基南预计今年全球芯片需求仍将增长 并计划大规模生产使用5纳米节点的芯片
trustzone 保护片上代码的机密性
调试端口连接可控
在rdp1或者rdp0.5条件下,如果芯片使用了trustzone上电调试接口就不可连接(具有类似rdp2的效果)
比rdp2更灵活,可以由用户代码控制后续调试端口访问权限,实现安全调试,并保留修改选项字节的可能性
用户片上flash进一步隔离
安全闪存区域不能被非安全世界任意访问
非安全世界不能访问安全世界的数据
非安全世界不能访问安全世界的外设
非安全世界访问安全世界的函数,需要按照一定规则,不可随意调用
trustzone 助力代码保护示例
资源在“安全世界”和“非安全世界”之间的分配
示例菜单和测试功能
示例运行注意事项
资源的分配
上电运行安全世界代码,做资源分配
安全世界:
关键操作,关键数据
配合读保护,可以阻断调试端口连接
非安全世界:
人机交互
可以使能调试端口,但是无法访问到安全世界的关键数据和外设
调试端口的连接控制rdp=0
读保护级别为0(芯片缺省状态)
芯片复位可被调试端口连接
运行示例
调试端口的连接控制rdp=0.5
读保护级别为0.5
硬件保证:cpu处于安全状态时,调试无法连接;包括复位时,运行安全代码时
软件操作:安全代码在跳转到非安全区域之前,关闭调试端口
保护效果
cpu运行在非安全区域时,缺省调试无法连接;可通过身份认证来使能对非安全代码的调试
带身份认证的调试使能
基于“挑战-应答”模型
芯片产生随机序列,合法用户持有匹配私钥对随机序列的签名,才能被芯片使用其存储在安全世界里的对应公钥验签成功
例程运行注意事项
rdp0.5时,s代码自动关闭调试端口。使用stm32cubeprogrammer hotplug也无法连接;ide下载ns代码也不会成功;需要用户通过菜单打开调试端口,之后stm32cubeprogramer才能连接成功,ide下载也才能成功。
rdp非0时,片上flash中如果没有可以跑到非安全状态的有效代码,调试端口不再可连 除非改变启动方式,从系统bl启动(系统bl的代码是一定可以跑到非安全状态的) 需要确保可以从系统bl启动(选项字节中的启动控制:nswboot0)
【q】为何例程没有提供rdp回退的菜单? 【a】trustzone使能时,rdp回退只能由调试接口或者系统bl完成 例程通过硬件和软件两方面一起作用,实现了对非安全代码的可控调试 硬件:读保护级别不为零+tz使能 复位时+ 运行在安全代码区域时,调试不可连接 软件:安全区代码在跳转到非安全区代码之前,软件关闭调试端口 菜单【1】、【2】:测试作用,不会集成到产品中 菜单【d】:即使通过通信端口在非安全区注入恶意代码来调用打开调试端口的功能,由于不知道签名所需要的私钥,验证无法通过,不能打开调试端口 。
网络总体规划设计
湖南先进传感与信息技术创新研究院:在微纳近红外探测器领域取得重要研究进展
中国经济“高质量”发展 上达电子“高效率”运营
ds18b20系统结构框图和接线
专注边缘AI的耐能智能获得新一轮投资
TrustZone是怎样保护片上代码的机密性的?
华为AI音箱更新升级 将支持微软小冰
一加5最新消息:先别着急买小米6,一加5曝光6月中旬发布
存储器国家队豪言:2020年追上世界领先技术
pcb layout中信号完整性的信号延迟(delay)
什么是电机传感器控制
腾讯与壳牌润滑油达成战略合作,共同致力中国汽车后市场加快数字化转型
如何用代码在excel插入图片
无线上网我有新招!利用小灵通无线上网
2nm芯片有多强 2nm芯片是极限吗
新思科技将以350亿美元收购Ansys
PUR点胶加工已经成为电子保护和组装的首选
全志式发布了无线MCU系列芯片XR871
基于SoPC的嵌入式系统设计方法阐述
三星电子金基南预计今年全球芯片需求仍将增长 并计划大规模生产使用5纳米节点的芯片