芯片“防火墻”，談談MCU的信息安全特性

電子發燒友網報道（文/周凱揚）隨著IoT設備與云端的連接數的不斷增加，芯片的安全性開始成為困擾廠商的挑戰之一。況且如今各國監管機構也開始對IoT設備的信息安全性進行嚴厲的考察，如何保證IoT設備在安全性上有所保障，就成了設計者必須解決的問題之一。

我們以意法半導體MCU為例，作為目前出貨量最大的MCU廠家之一，ST在芯片安全特性上做出了不少努力，也經歷了多次迭代。比如最新基于M33的一系列MCU，就借助TrustZone等技術實現了不少新的安全特性。

SBSFU

各種加密手段固然可以保證在認證、保密上的安全性，但這還不足以稱為滴水不漏。為了進一步保護某些關鍵活動和敏感數據，使得資產免受未授權外部或內部訪問，還得在安全啟動和固件更新上下功夫，所以意法半導體引入了SBSFU。

安全啟動是啟動或重置時用于驗證引導文件的程序，從而在啟動階段杜絕針對固件展開的攻擊。除此之外，固件更新同樣會給攻擊者留出可乘之機，所以做到安全固件更新的目的就是為了防止遠程修改系統的攻擊。

對于基于ArmV6、V7內核的MCU，ST推出了基于軟件包的X-CUBE-SBSFU實現方式，客戶可以參考這一開源免費的方案來定制開發。SBSFU的安全啟動可以在執行前檢查固件映像包，同時為OTA或本地的安全固件更新提供了防回滾和部分更新的能力。

而在基于Armv8-M或V8.1-M的Cortex-M33、Cortex-M23、Cortex-M55等處理器核心上，Arm借助TrustZone技術，推出了TF-M的軟硬件結合參考實現方式，為安全啟動、固件更新提供了一個可信環境。STM32L5和U5這兩大CM33核心MCU，就基于該方案實現了TF-M SBSFU的Root Of Trust實現方式。

STM32Trust TEE-SM

而在最新的STM32H5上，意法半導體與另一大嵌入式安全設計廠商ProvenRun合作設計了STM32Trust TEE Secure Manager（STM32Trust TEE-SM），這也是ST的首個可信執行環境方案，從系統層級解決認證的問題。

STM32Trust TEE-SM將以可下載軟件包的形式提供給客戶，包括二進制、庫文件、代碼實現和文檔等，同時STM32CubeMX還會提供可配置選項。與ST以前僅僅提供源碼的方式不同，如今客戶通過安全管理器可以自動搭建iRoT，并實現安全存儲、加密和認證之類的安全特性。

哪怕是在TrustZone環境中不可信的部分，也可以借助ST提供的安全管理器訪問套件（SMAK）打造使用安全管理器服務的應用。同時，在iRoT的助力下，設計者可以將密鑰和證書存儲在STM32H5中，從而將嵌入式系統與云服務器注冊綁定，而不再需要外部密鑰，從而免去了額外的外部硬件安全模塊。

目前將在6月發布的STM32Trust TEE-SM安全管理首發僅支持STM32H5，不過ST表示未來會不斷兼容其他的STM32 MCU。

小結

作為廣大IoT設備的核心，MCU的安全特性在今天看來已經是與高性能、低功耗并駕齊驅的需求了，提供一個更加敏捷簡化的安全開發流程，無疑可以縮短IoT設備的TTM，尤其是某些關鍵任務領域的IoT設備，諸如智慧城市、智能交通、工業控制和智能電網等。隨著越來越多集成TrustZone技術的MCU慢慢普及，IoT設備的信息安全性也將再度達到新的高度。