11. 安全性和TrustZone

本章目錄

1. 什么是TrustZone，它有什么作用？

2. 安全環境和非安全環境的劃分

3. 器件生命周期管理

4. TrustZone用例

11.4 TrustZone用例

現在我們已經了解了什么是TrustZone、它是如何幫助實現數據和知識產權（IP）保護的、瑞薩實施該技術可以帶來哪些好處，以及安全和非安全環境的劃分情況如何，接下來介紹一些具體用例。本章的以下部分將介紹TrustZone如何協助保護IP、支持法律相關代碼的隔離，以及保證信任根（RoT）的安全。

11.4.1 預燒寫算法的IP保護

如果應用程序必須訪問受到防篡改保護的功能算法，那么對安全算法與其余代碼分別進行開發的可能性，將為客戶帶來巨大的利益。算法的設計人員將首先使用e² studio中的項目和FSP配置器創建定義好應用程序編程接口（API）的安全項目，編寫算法，并使用任何可用的調試接口對其進行調試。然后，如果需要，可以將其燒寫到微控制器中，如有必要，還可以通過禁用已使用的閃存區塊的編程或擦除功能來對其進行保護。安全項目將自動配置TrustZone。在將預燒寫的器件交給應用開發人員之前，安全團隊會將生命周期狀態設置為非安全軟件開發（NSECSD），以使調試器或閃存編程器無法讀取該算法。

然后，應用程序編寫人員將在e² studio中創建一個非安全項目，編寫其應用程序并使用任何調試接口對其進行調試。他們的應用程序可以順利地調用任何安全項目的已公開API。完成后，將最終代碼燒錄到微控制器中，禁用所用閃存區塊的編程或擦除功能，并將器件生命周期狀態設置為已部署（DPL）、調試鎖定（LCK_DBG）或引導鎖定（LCK_BOOT）。現在，整個裝置都受到保護，可以隨時發給客戶。

TrustZone在此提供的最大優勢是其可以防止算法濫用（無論是否有意），并允許將應用程序設計劃分為安全和非安全方。但是，如果安全算法中存在缺陷，需要糾正，該怎么辦？在圖11-9中可以看到，如果安全開發人員未禁用擦除功能，則可以通過擦除受保護的算法回到SSD狀態。這可最大限度減少預燒寫器件的報廢率。

11.4.2 智能電表中法律相關代碼的代碼分離

歐洲的智能電表規范定義了法律相關代碼，該代碼已通過認證。該代碼必須與電表的其他部分隔離。目前，大多數客戶通過使用兩個微控制器來進行物理隔離。這樣做費用高昂，但可簡化認證。

另一種方法是在使用支持TrustZone的單片機上對法律相關代碼、數據和外設以及應用代碼進行邏輯分隔，如用于顯示的代碼或DLMS/Cosem（設備語言消息規范/能源計量的配套規范）。這樣一來，TrustZone將提供可驗證的隔離，并防止單個器件上的代碼濫用和損壞。

11.4.3 保護信任根

正如第11.1章的說明，信任根（RoT）奠定了整個產品的安全基礎，因此必須得到保護。所有更高級別的安全都建立在RoT之上，RoT可提供經過身份驗證的固件更新和安全通信。此外，RoT能夠從更高級別的安全故障中恢復，但是，如果RoT遭到破壞，則以它為基礎的任何內容都將不再安全。

這意味著所有出廠密鑰、器件身份、任何校驗和、閃存映像驗證、加密服務、密鑰和證書以及敏感數據都應保存在安全的環境中。其他所有內容，例如主應用程序、用戶接口、接口協議的不安全元素、服務以及其他內容，都應放置在非安全環境中。為了盡可能減小安全環境的攻擊面，應將整個應用程序中盡可能多的內容放置在非安全環境中。

本章要點：

• TrustZone簡化了安全和非安全環境的分隔。

• Renesas的TrustZone實現確保在啟動時沒有安全漏洞。

• 有兩個不同的項目必不可少：一個是安全項目，另一個是非安全項目。

• 非安全可調用分區允許通過保護函數調用安全區域的內容。

• 生命周期管理有助于在不同團隊之間拆分開發流程。