STM32CubeL5 TFM 應用程序入門

目錄預覽

1 概述

2 文檔和開源軟件資源

3 STM32Cube 概述

4 Arm可信固件-M（TF-M）簡介

5 安全啟動和安全固件更新服務

（PSA 不可變 RoT）

6 運行時安全服務

7 保護措施和安全策略

8軟件包說明

9 硬件和軟件環(huán)境設置

10 安裝過程

11 逐步執(zhí)行

12 集成商角色描述

1.概述

本文檔描述如何入門 STM32CubeL5 TFM（Arm Cortex-M 的可信固件）應用程序，該應用程序作為 STM32CubeL5 固件包組成部分提供。STM32CubeL5 TFM 應用程序提供一個可信根解決方案（包括安全啟動和安全固件更新功能，在執(zhí)行應用程序之前使用），還提供一組安全服務，這些服務與非安全應用程序隔離，但可由非安全應用程序在運行時使用。

STM32CubeL5 TFM 應用程序基于已移植到 STM32L5 系列微控制器（以下統(tǒng)稱 STM32L5）上的開源 TF-M 參考實現(xiàn)，目的是利用 STM32L5 的硬件安全特性，例如：

? Arm Cortex-M33 TrustZone 和存儲器保護單元（MPU）

? TrustZone-aware 外設

? 內存保護（HDP、WRP）

? 增強生命周期方案

STM32CubeL5 TFM 應用程序在基于 Arm Cortex?M 處理器的 STM32L5 系列 32 位微控制器上運行。

2.文檔和開源軟件資源

下面的資源是公開的，可以從意法半導體的網站 www.st.com 或第三方網站上獲得。

3.STM32Cube概述

STM32Cube 源自意法半導體，旨在通過減少開發(fā)工作量、時間和成本，明顯提高設計人員的生產率。STM32Cube 涵蓋整個 STM32 產品系列。STM32Cube 包括：

? 一套用戶友好的軟件開發(fā)工具，覆蓋從概念到實現(xiàn)的整個項目開發(fā)過程，其中包括：

– 圖形軟件配置工具 STM32CubeMX，可通過圖形向導自動生成初始化 C 代碼

– STM32CubeIDE，一種集外設配置、代碼生成、代碼編譯和調試功能于一體的開發(fā)工具

– STM32CubeProgrammer

（STM32CubeProg），圖形版本和命令行版本中可用的編程工具

– STM32CubeMonitor-Power

（STM32CubeMonPwr），測量并幫助優(yōu)化 MCU 功耗的監(jiān)控工具

? STM32Cube MCU & MPU 包，針對于每個微控制器和微處理器系列的綜合嵌入式軟件平臺（例如，STM32L5 系列的 STM32CubeL5），它包括：

– STM32Cube 硬件抽象層（HAL），確保在 STM32 各個產品之間實現(xiàn)最大限度的可移植性– STM32Cube 底層 API，通過硬件提供高度用戶控制，確保最佳性能和內存開銷

– 一組一致的中間件組件，如 FAT 文件系統(tǒng)、RTOS、USB 主機和設備、TCP/IP、觸摸感應庫、以及圖形

– 嵌入式軟件實用工具以及全套外設和應用實例

? STM32Cube 擴展包，包含的嵌入式軟件組件為 STM32Cube MCU 和 MPU 包的功能補充了：

– 中間件擴展和應用層– 在特定的意法半導體開發(fā)板上運行的實現(xiàn)案

4.Arm可信固件-M（TF-M）簡介

[TF-M] （可信固件-M）是 Arm 驅動的開源軟件框架，在 Cortex-M33（TrustZone）內核上提供 PSA 標準的參考實現(xiàn)：

? PSA 不可變 RoT（可信根）：不可變的“安全啟動&安全固件更新”應用程序（命名為 TFM_SBSFU_Boot）在任一復位后執(zhí)行。該應用程序基于[MCUboot]開源軟件

? PSA 可更新 RoT：“安全”應用程序（名為 TFM_Appli/安全）實現(xiàn)了一組隔離在安全/特權環(huán)境中的安全服務，非安全應用程序可以通過 PSA API 在非安全應用程序運行期間調用這些服務：

– 安全存儲服務：TF-M 安全存儲（SST）服務實現(xiàn) PSA 保護的存儲 API，允許數(shù)據加密并將結果寫入可能不可信的存儲中。作為參考，SST 服務采用了基于 AEAD 加密策略的 AES-GCM 算法，保護數(shù)據的完整性和真實性。

– 內部可信存儲服務：TF-M 內部可信存儲（ITS）服務實現(xiàn) PSA 內部可信存儲 API，允許在微控制器內置的 Flash 存儲器區(qū)域中寫入數(shù)據，該區(qū)域將通過硬件安全保護機制與非安全或非特權應用程序隔離。

– 密碼服務：TF-M 密碼服務實現(xiàn)了 PSA 密碼 API，允許應用程序使用密碼原語，如對稱和非對稱密碼、哈希、消息認證碼（MAC）和關聯(lián)數(shù)據的認證密碼（AEAD）。它基于[MbedCrypto]開源軟件

– 初始認證服務：TF-M 初始認證服務允許應用程序在驗證過程中向驗證實體證明設備身份。初始認證服務可以根據請求創(chuàng)建一個令牌，其中包含特定于設備的固定數(shù)據集。

? 應用程序可更新 RoT：隔離在安全/非特權環(huán)境中的第三方安全服務（在 TFM_Appli/安全應用程序中實現(xiàn)），可以由非安全應用程序在非安全應用程序運行期間調用：

本文檔為大家詳細地描述了如何入門 STM32CubeL5 TFM（Arm Cortex-M 的可信固件）應用程序。