瑞薩RA產(chǎn)品家族初學(xué)者指南-第11章（4）

11. 安全性和TrustZone

本章目錄

1. 什么是TrustZone，它有什么作用？

2. 安全環(huán)境和非安全環(huán)境的劃分

3. 器件生命周期管理

4. TrustZone用例

11.4 TrustZone用例

現(xiàn)在我們已經(jīng)了解了什么是TrustZone、它是如何幫助實(shí)現(xiàn)數(shù)據(jù)和知識產(chǎn)權(quán)（IP）保護(hù)的、瑞薩實(shí)施該技術(shù)可以帶來哪些好處，以及安全和非安全環(huán)境的劃分情況如何，接下來介紹一些具體用例。本章的以下部分將介紹TrustZone如何協(xié)助保護(hù)IP、支持法律相關(guān)代碼的隔離，以及保證信任根（RoT）的安全。

11.4.1 預(yù)燒寫算法的IP保護(hù)

如果應(yīng)用程序必須訪問受到防篡改保護(hù)的功能算法，那么對安全算法與其余代碼分別進(jìn)行開發(fā)的可能性，將為客戶帶來巨大的利益。算法的設(shè)計人員將首先使用e² studio中的項(xiàng)目和FSP配置器創(chuàng)建定義好應(yīng)用程序編程接口（API）的安全項(xiàng)目，編寫算法，并使用任何可用的調(diào)試接口對其進(jìn)行調(diào)試。然后，如果需要，可以將其燒寫到微控制器中，如有必要，還可以通過禁用已使用的閃存區(qū)塊的編程或擦除功能來對其進(jìn)行保護(hù)。安全項(xiàng)目將自動配置TrustZone。在將預(yù)燒寫的器件交給應(yīng)用開發(fā)人員之前，安全團(tuán)隊會將生命周期狀態(tài)設(shè)置為非安全軟件開發(fā)（NSECSD），以使調(diào)試器或閃存編程器無法讀取該算法。

然后，應(yīng)用程序編寫人員將在e² studio中創(chuàng)建一個非安全項(xiàng)目，編寫其應(yīng)用程序并使用任何調(diào)試接口對其進(jìn)行調(diào)試。他們的應(yīng)用程序可以順利地調(diào)用任何安全項(xiàng)目的已公開API。完成后，將最終代碼燒錄到微控制器中，禁用所用閃存區(qū)塊的編程或擦除功能，并將器件生命周期狀態(tài)設(shè)置為已部署（DPL）、調(diào)試鎖定（LCK_DBG）或引導(dǎo)鎖定（LCK_BOOT）?，F(xiàn)在，整個裝置都受到保護(hù)，可以隨時發(fā)給客戶。

TrustZone在此提供的最大優(yōu)勢是其可以防止算法濫用（無論是否有意），并允許將應(yīng)用程序設(shè)計劃分為安全和非安全方。但是，如果安全算法中存在缺陷，需要糾正，該怎么辦？在圖11-9中可以看到，如果安全開發(fā)人員未禁用擦除功能，則可以通過擦除受保護(hù)的算法回到SSD狀態(tài)。這可最大限度減少預(yù)燒寫器件的報廢率。

11.4.2 智能電表中法律相關(guān)代碼的代碼分離

歐洲的智能電表規(guī)范定義了法律相關(guān)代碼，該代碼已通過認(rèn)證。該代碼必須與電表的其他部分隔離。目前，大多數(shù)客戶通過使用兩個微控制器來進(jìn)行物理隔離。這樣做費(fèi)用高昂，但可簡化認(rèn)證。

另一種方法是在使用支持TrustZone的單片機(jī)上對法律相關(guān)代碼、數(shù)據(jù)和外設(shè)以及應(yīng)用代碼進(jìn)行邏輯分隔，如用于顯示的代碼或DLMS/Cosem（設(shè)備語言消息規(guī)范/能源計量的配套規(guī)范）。這樣一來，TrustZone將提供可驗(yàn)證的隔離，并防止單個器件上的代碼濫用和損壞。

11.4.3 保護(hù)信任根

正如第11.1章的說明，信任根（RoT）奠定了整個產(chǎn)品的安全基礎(chǔ)，因此必須得到保護(hù)。所有更高級別的安全都建立在RoT之上，RoT可提供經(jīng)過身份驗(yàn)證的固件更新和安全通信。此外，RoT能夠從更高級別的安全故障中恢復(fù)，但是，如果RoT遭到破壞，則以它為基礎(chǔ)的任何內(nèi)容都將不再安全。

這意味著所有出廠密鑰、器件身份、任何校驗(yàn)和、閃存映像驗(yàn)證、加密服務(wù)、密鑰和證書以及敏感數(shù)據(jù)都應(yīng)保存在安全的環(huán)境中。其他所有內(nèi)容，例如主應(yīng)用程序、用戶接口、接口協(xié)議的不安全元素、服務(wù)以及其他內(nèi)容，都應(yīng)放置在非安全環(huán)境中。為了盡可能減小安全環(huán)境的攻擊面，應(yīng)將整個應(yīng)用程序中盡可能多的內(nèi)容放置在非安全環(huán)境中。

本章要點(diǎn)：

• TrustZone簡化了安全和非安全環(huán)境的分隔。

• Renesas的TrustZone實(shí)現(xiàn)確保在啟動時沒有安全漏洞。

• 有兩個不同的項(xiàng)目必不可少：一個是安全項(xiàng)目，另一個是非安全項(xiàng)目。

• 非安全可調(diào)用分區(qū)允許通過保護(hù)函數(shù)調(diào)用安全區(qū)域的內(nèi)容。

• 生命周期管理有助于在不同團(tuán)隊之間拆分開發(fā)流程。