STM32WL LoRa无线系统芯片如何保证MCU安全?

1 MCU安全的意识需要培育

今天物联网设备面临的安全问题和以往有很多不同，因此，ST 加强了安全方面的投资。2015 前后，ST 的安全芯片和MCU（微控制器）平台同属于一个大部门，因为当时发现黑客已经不止攻击高安全性应用，如银行卡、身份证等，而是已经逐渐扩展到大众层面。例如，四五年前已有智能家居的智能音箱、智能视频被攻破的现象，很多客户逐渐发现安全隐患的威胁可能使整个网络瘫痪，甚至有一些厂商被黑客挟持勒索。

传统MCU 已经有了一定的安全能力，遗憾的是有很多嵌入式开发者不太注重安全问题，或者没有相关的知识和能力去提升安全性，所以在过去四五年中，ST在逐步培育这块市场和教育客户。

由于物联网碎片设备的应用越来越广泛，人们并不知道黑客会从哪个最弱的环节进入，所以格外提升MCU 的安全性。

2 STM32WL LoRa无线系统芯片如何保证安全

2020 年底，ST 推出面向大众市场的STM32WL LoRa 无线系统芯片系列产品，其中的WL5 采用了双核形态，在M4 核之外，又增加了M0+ 核，好处是可在同样系统中升级一些更需要高安全性的应用，即对客户在安全升级方面有很大的帮助；此外，还增加了先进的安全特性。

图1 STM32WL的安防与防护

具体讲，STM32WL 是基于传统STM32 平台做的一些升级。实际上，现有STM32 上已经有了应有的安全防护，如图1，黑色字体描述现有STM32 产品线上都有的安全设施，如电源监控、闪存保护、时钟安全、入侵监视、软件IP 等，这些都是现有STM32支持的功能。

在此基础上，双核可提供更高的安全功能，包括M4 和M0+ 安全的硬件隔离，安全启动代码保护等。而且，在增加这些更高安全的双核硬件版本时，ST 的客户群可以迅速从现有平台升级，引导开发者快速地把安全理念植入在其产品的设计框架中。

对开发者来说，双核特别强调4 个主要特性：数据加密、安全下载、固件保护和身份验证。这4 个主要安全特性是ST 在过去十几年与开发者互动时，在产品安全设计开发中精选出来的，被认为是解决开发者痛点的主要关键。

1） 数据加密

数据加密推动了安全密钥管理服务KMS 系统，也就是说在芯片中提供了一个特殊的安全域可以存储密钥，以管理系统中不同应用的使用，还可以处理特权，在过去传统通用MCU 中是没有这个功能的。

2） 固件IP 保护

我们的客户群里有很多用户是开发硬件方面的固件来执行芯片上的应用，有很多客户非常担心他们的产品和固件里的IP 被盗取、攻破，被黑客窃取。所以在WL5 里有一个安全启动（可信根），让他们比较放心地去使用、保护固件，其中有一些特定域，只有这些应用在这些固件内存里通过身份验证过后，才可以执行。

3）安全固件的安装与更新

在执行过程中，越来越多的物联网设备各式各样的升级需求一定会持续发生，即用户可能在这个过程中要做代码的更新、固件的更新，在目前环境下这样做非常困难，而且也比较耗时、耗力、耗资源。很多设备一上市，就很难做固件升级，增加了整个生态维护的难度。

为此，WL5 有2 个特点：①嵌入式安全固件安装（SFI）；② SBSFU，即在此基础上给了一个可定义的现场更新，可执行安全的平台升级。除了这2 个固件，ST 还提供参考代码来支持用户更加快速的使用，让他们能更好地去实现这个功能。

4） 加密/ 密码

这几个基础必须嵌入在具有较强安全的密码和加密模块里，例如ST 有一个比较强的硬件加密协处理器，能增加数字签名，保证现有MCU 在资源有限的条件下也能达到加密的功能和能力。

说到最重要的现有客户，在做应用开发固件升级时，他们知道有关安全启动和信任链，而信任链的构思不是最新的，但真正在MCU 上执行是近几年的事。在芯片上需要有一个机制，让这些芯片在一开始执行或在复位时必须执行一个安全启动。在安全启动机制下，芯片会自己检查是否芯片上的寄存器或外设被篡改过。在这些措施下，会通过第2 步骤去认证这些应用程序是否允许认证它的合法性，如果这些都正常，那么这款应用才可以在特定域里开始应用，这将大大减少可破坏性或出错，或者让黑客有机会去截取或让整个系统崩溃掉。所以信任根在安全构思中是一个极重要的环节。ST 还在不断地培育开发者、工程师，更快地去提升他们的安全理念。

由于ST 有了双核的推动，在保持最大灵活性时，这些应用优势，如SFI、SBSFU 还有KMS，可以将应用的优势发挥出来。以前没办法或比较困难，或需要很高费用、能力才能实现的功能，现在开发者可以更加方便、更加容易地实现。

下面五点对任何物联网设备都非常重要：①开发者需要有灵活性实现不同等级的安全，因为设备本身所保护的数据程度不同，不可能花费很高的费用只用非常初级的安全功能来保护它；②有关IP 的保护，当越来越多的开发者在他们的中间件或固件中实现不同功能、性能时，这些IP 的保护将非常重要，以便有较有好的方法保护他们的知识产权。接下来3 个是有关设备的可复制性、可攻击性、可信赖性的升级，也是未来物联网设备所必须要具备的功能，这些都会很完善、很容易提供给开发者。

3 MCU全生命周期的安全管理

在整个芯片研发过程中，安全生命周期包含在芯片的设计、流片、测试，以及芯片给开发者后的测试工具，如果一旦受到攻击，它会进行复位，或到某一程度将闪存上的代码全部擦除掉，这是目前ST MCU 能够进行处理的方面。

在后面的生命周期，最重的环节是自我毁灭。在安全芯片中可以有这个功能，但是在传统的MCU 里还没有类似的功能，这取决于开发者是否要把这一点植入到他们的研发或生命周期管理中。

4 安全有多种途径

既然Arm TrustZone 很好， 为何STM32WL LoRa无线系统芯片没有用到TrustZone 呢？

实际上，TrustZone 概念一开始是Arm 提出来的，是实现安全功能最基本的代码隔离或安全性隔离的思路。在过去十几年里，TrustZone 已经在不同的安全芯片里得到了认可，很多厂商把TrustZoneSTM32 通用MCU 过去用的是M 核， 是不带TrustZone 的，所以在Cortex-M 的基础上，如果要实现类似TrustZone——硬件上物理隔离的话，要采取另外的手段，就是基于双核的设计理念，把TrustZone 的理念（并不是TrustZone 本身）植入到传统通用MCU 里。

由此可见，要实现安全方法有很多，TrustZone 只是其中的一种。此外，还有防火墙、专有代码读保护（PCROP），以及唯一启动入口、BootLock 等，还有用户安全存储区等。STM32 有一系列安全相关的硬件，结合双核，其他不是双核的也有这样的功能，能够实现或满足客户要求的安全级别。
    责任编辑:tzh

芯片系统安全性黑客

免责声明：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。