11. 安全性和TrustZone

本章目錄

1. 什么是TrustZone，它有什么作用？

2. 安全環(huán)境和非安全環(huán)境的劃分

3. 器件生命周期管理

4. TrustZone用例

11.4 TrustZone用例

現(xiàn)在我們已經(jīng)了解了什么是TrustZone、它是如何幫助實(shí)現(xiàn)數(shù)據(jù)和知識(shí)產(chǎn)權(quán)（IP）保護(hù)的、瑞薩實(shí)施該技術(shù)可以帶來(lái)哪些好處，以及安全和非安全環(huán)境的劃分情況如何，接下來(lái)介紹一些具體用例。本章的以下部分將介紹TrustZone如何協(xié)助保護(hù)IP、支持法律相關(guān)代碼的隔離，以及保證信任根（RoT）的安全。

11.4.1 預(yù)燒寫(xiě)算法的IP保護(hù)

如果應(yīng)用程序必須訪(fǎng)問(wèn)受到防篡改保護(hù)的功能算法，那么對(duì)安全算法與其余代碼分別進(jìn)行開(kāi)發(fā)的可能性，將為客戶(hù)帶來(lái)巨大的利益。算法的設(shè)計(jì)人員將首先使用e² studio中的項(xiàng)目和FSP配置器創(chuàng)建定義好應(yīng)用程序編程接口（API）的安全項(xiàng)目，編寫(xiě)算法，并使用任何可用的調(diào)試接口對(duì)其進(jìn)行調(diào)試。然后，如果需要，可以將其燒寫(xiě)到微控制器中，如有必要，還可以通過(guò)禁用已使用的閃存區(qū)塊的編程或擦除功能來(lái)對(duì)其進(jìn)行保護(hù)。安全項(xiàng)目將自動(dòng)配置TrustZone。在將預(yù)燒寫(xiě)的器件交給應(yīng)用開(kāi)發(fā)人員之前，安全團(tuán)隊(duì)會(huì)將生命周期狀態(tài)設(shè)置為非安全軟件開(kāi)發(fā)（NSECSD），以使調(diào)試器或閃存編程器無(wú)法讀取該算法。

然后，應(yīng)用程序編寫(xiě)人員將在e² studio中創(chuàng)建一個(gè)非安全項(xiàng)目，編寫(xiě)其應(yīng)用程序并使用任何調(diào)試接口對(duì)其進(jìn)行調(diào)試。他們的應(yīng)用程序可以順利地調(diào)用任何安全項(xiàng)目的已公開(kāi)API。完成后，將最終代碼燒錄到微控制器中，禁用所用閃存區(qū)塊的編程或擦除功能，并將器件生命周期狀態(tài)設(shè)置為已部署（DPL）、調(diào)試鎖定（LCK_DBG）或引導(dǎo)鎖定（LCK_BOOT）?，F(xiàn)在，整個(gè)裝置都受到保護(hù)，可以隨時(shí)發(fā)給客戶(hù)。

TrustZone在此提供的最大優(yōu)勢(shì)是其可以防止算法濫用（無(wú)論是否有意），并允許將應(yīng)用程序設(shè)計(jì)劃分為安全和非安全方。但是，如果安全算法中存在缺陷，需要糾正，該怎么辦？在圖11-9中可以看到，如果安全開(kāi)發(fā)人員未禁用擦除功能，則可以通過(guò)擦除受保護(hù)的算法回到SSD狀態(tài)。這可最大限度減少預(yù)燒寫(xiě)器件的報(bào)廢率。

11.4.2 智能電表中法律相關(guān)代碼的代碼分離

歐洲的智能電表規(guī)范定義了法律相關(guān)代碼，該代碼已通過(guò)認(rèn)證。該代碼必須與電表的其他部分隔離。目前，大多數(shù)客戶(hù)通過(guò)使用兩個(gè)微控制器來(lái)進(jìn)行物理隔離。這樣做費(fèi)用高昂，但可簡(jiǎn)化認(rèn)證。

另一種方法是在使用支持TrustZone的單片機(jī)上對(duì)法律相關(guān)代碼、數(shù)據(jù)和外設(shè)以及應(yīng)用代碼進(jìn)行邏輯分隔，如用于顯示的代碼或DLMS/Cosem（設(shè)備語(yǔ)言消息規(guī)范/能源計(jì)量的配套規(guī)范）。這樣一來(lái)，TrustZone將提供可驗(yàn)證的隔離，并防止單個(gè)器件上的代碼濫用和損壞。

11.4.3 保護(hù)信任根

正如第11.1章的說(shuō)明，信任根（RoT）奠定了整個(gè)產(chǎn)品的安全基礎(chǔ)，因此必須得到保護(hù)。所有更高級(jí)別的安全都建立在RoT之上，RoT可提供經(jīng)過(guò)身份驗(yàn)證的固件更新和安全通信。此外，RoT能夠從更高級(jí)別的安全故障中恢復(fù)，但是，如果RoT遭到破壞，則以它為基礎(chǔ)的任何內(nèi)容都將不再安全。

這意味著所有出廠密鑰、器件身份、任何校驗(yàn)和、閃存映像驗(yàn)證、加密服務(wù)、密鑰和證書(shū)以及敏感數(shù)據(jù)都應(yīng)保存在安全的環(huán)境中。其他所有內(nèi)容，例如主應(yīng)用程序、用戶(hù)接口、接口協(xié)議的不安全元素、服務(wù)以及其他內(nèi)容，都應(yīng)放置在非安全環(huán)境中。為了盡可能減小安全環(huán)境的攻擊面，應(yīng)將整個(gè)應(yīng)用程序中盡可能多的內(nèi)容放置在非安全環(huán)境中。

本章要點(diǎn)：

• TrustZone簡(jiǎn)化了安全和非安全環(huán)境的分隔。

• Renesas的TrustZone實(shí)現(xiàn)確保在啟動(dòng)時(shí)沒(méi)有安全漏洞。

• 有兩個(gè)不同的項(xiàng)目必不可少：一個(gè)是安全項(xiàng)目，另一個(gè)是非安全項(xiàng)目。

• 非安全可調(diào)用分區(qū)允許通過(guò)保護(hù)函數(shù)調(diào)用安全區(qū)域的內(nèi)容。

• 生命周期管理有助于在不同團(tuán)隊(duì)之間拆分開(kāi)發(fā)流程。