芯片“防火墙”，谈谈MCU的信息安全特性

电子发烧友网报道（文/周凯扬）随着IoT设备与云端的连接数的不断增加，芯片的安全性开始成为困扰厂商的挑战之一。况且如今各国监管机构也开始对IoT设备的信息安全性进行严厉的考察，如何保证IoT设备在安全性上有所保障，就成了设计者必须解决的问题之一。
 
我们以意法半导体MCU为例，作为目前出货量最大的MCU厂家之一，ST在芯片安全特性上做出了不少努力，也经历了多次迭代。比如最新基于M33的一系列MCU，就借助TrustZone等技术实现了不少新的安全特性。
 
SBSFU
 
各种加密手段固然可以保证在认证、保密上的安全性，但这还不足以称为滴水不漏。为了进一步保护某些关键活动和敏感数据，使得资产免受未授权外部或内部访问，还得在安全启动和固件更新上下功夫，所以意法半导体引入了SBSFU。
 
安全启动是启动或重置时用于验证引导文件的程序，从而在启动阶段杜绝针对固件展开的攻击。除此之外，固件更新同样会给攻击者留出可乘之机，所以做到安全固件更新的目的就是为了防止远程修改系统的攻击。
 
对于基于ArmV6、V7内核的MCU，ST推出了基于软件包的X-CUBE-SBSFU实现方式，客户可以参考这一开源免费的方案来定制开发。SBSFU的安全启动可以在执行前检查固件映像包，同时为OTA或本地的安全固件更新提供了防回滚和部分更新的能力。
 
而在基于Armv8-M或V8.1-M的Cortex-M33、Cortex-M23、Cortex-M55等处理器核心上，Arm借助TrustZone技术，推出了TF-M的软硬件结合参考实现方式，为安全启动、固件更新提供了一个可信环境。STM32L5和U5这两大CM33核心MCU，就基于该方案实现了TF-M SBSFU的Root Of Trust实现方式。
 
STM32Trust TEE-SM
 
而在最新的STM32H5上，意法半导体与另一大嵌入式安全设计厂商ProvenRun合作设计了STM32Trust TEE Secure Manager（STM32Trust TEE-SM），这也是ST的首个可信执行环境方案，从系统层级解决认证的问题。
 
STM32Trust TEE-SM将以可下载软件包的形式提供给客户，包括二进制、库文件、代码实现和文档等，同时STM32CubeMX还会提供可配置选项。与ST以前仅仅提供源码的方式不同，如今客户通过安全管理器可以自动搭建iRoT，并实现安全存储、加密和认证之类的安全特性。
 
哪怕是在TrustZone环境中不可信的部分，也可以借助ST提供的安全管理器访问套件（SMAK）打造使用安全管理器服务的应用。同时，在iRoT的助力下，设计者可以将密钥和证书存储在STM32H5中，从而将嵌入式系统与云服务器注册绑定，而不再需要外部密钥，从而免去了额外的外部硬件安全模块。
 
目前将在6月发布的STM32Trust TEE-SM安全管理首发仅支持STM32H5，不过ST表示未来会不断兼容其他的STM32 MCU。
 
小结
 
作为广大IoT设备的核心，MCU的安全特性在今天看来已经是与高性能、低功耗并驾齐驱的需求了，提供一个更加敏捷简化的安全开发流程，无疑可以缩短IoT设备的TTM，尤其是某些关键任务领域的IoT设备，诸如智慧城市、智能交通、工业控制和智能电网等。随着越来越多集成TrustZone技术的MCU慢慢普及，IoT设备的信息安全性也将再度达到新的高度。