STM32Trust
STM32Trust提供稳健的多层次策略,基于我们得到 STSAFE 安全元件加持的STM32微控制器和微处理器增强新产品设计中的安全性。
STM32Trust作为安全框架整合了我们的专业知识、生态系统,以及安全服务。该解决方案可为开发人员提供完整的工具集,以保护其重要的设计资产(如软件IP和数据),并确保安全连接和系统完整性。
STM32Trust通过一组12种安全功能提供来自意法半导体和第三方的硬件、软件和设计服务,符合主要物联网认证方案的要求。
为确保一流的安全性,意法半导体提供基于PSA和SESIP认证的MCU和MPU及其相关安全功能。
该保障级别允许设计人员使用可靠的安全框架构建其应用,并满足其预定义的安全保障级别(如PCI、UL-2900、IEC 62443、ETSI EN 303 645、FIPS-140-2等)的要求。
为增强安全保障级别,STM32Trust也支持 STSAFE产品系列 的安全元件。STSAFE产品组合通过了EAL5+通用标准认证,为安全连接提供多种设备,这对云通信、安全存储和验证以及系统完整性都至关重要。
STM32Trust由意法半导体携手合作伙伴和客户共同开发,根植于多种资产保护用例和所需安全功能,如下所示。但是,使用STM32Trust框架之前,必须基于威胁分析结果对安全模型进行深入分析。
下面重点介绍了阐述STM32Trust如何应对关键安全需求的三个示例。
- 关键要求
- 在生产过程中不会出现固件窃取
- 制造商不会出现生产过剩的情况
- 确保固件不会为公司未拥有的设备编程
- 在现场不会出现固件窃取
- 在现场检测攻击
您需要的安全功能
- 安全制造
- 软件IP保护
- 安全安装和更新
- 硅设备生命周期
- 异常情况处理
- 审计和记录
- 关键要求
- 确保固件更新目标仅限于您的设备
- 随时了解产品状态
- 确保完整地执行更新并执行真实性检查
- 在设备上运行的固件的真实性
您需要的安全功能
- 识别 认证 证明
- 安全安装和更新
- 安全启动
- 关键要求
- 每个设备均显示唯一身份
- 验证单个设备
- 验证设备的访问权限
- 安全设备通信
- 确保即使在制造阶段也不会泄漏身份和访问
您需要的安全功能
- 识别 认证 证明
- 加密引擎
- 安全存储与安装制造(安全个性化)
STM32Trust提供12种安全功能与服务,以匹配资产保护用例并提供正确的安全保证级别

1. 安全启动
能够确保在设备内部运行的应用的真实性与完整性
2. 安全安装/更新
安装或更新固件,并在编程前对完整性和真实性进行初步检查
3. 安全存储
能够安全地存储数据或密钥等机密,并能以隐秘的方式对其进行访问
4. 隔离
隔离应用程序中的可信部分和非可信部分
5. 异常情况处理
能够检测异常情况(包括硬件和软件)并作出适当的决定(如删除秘密数据)
6. 加密引擎
能够处理加密算法(如安全保证级别所推荐)
7. 审计/记录
以不变的方式持续追踪安全事件
8. 识别/验证/证明
设备和/或软件包的唯一标识,能够从设备内部或外部检测其真实性
9. 硅设备生命周期
通过限制路径控制状态以安全保护硅器件资产
10. 软件IP保护
能够保护整个软件包或其一部分,防止外部或内部读取。可以采用多租户模式
11. 安全制造
在具有生产过剩控制的不安全环境中进行初始设备配置。潜在安全个性化
12. 应用生命周期
定义不可更改的增量状态以安全保护应用程序状态和资产
下面列出了一些示例,并提供附加产品文档,以提供更精确的描述和可用性信息:RDP(读保护)、WRP(写保护)、 PcRoP (专有代码和读出保护)、MPU(内存保护单元)、HDP(隐藏保护)、OTP区、OTFDEC(实时加密)、CRC(*循环冗余校验)、*信任区、防火墙、防篡改机制、 加密加速器与库, RNG(随机数生成器)、唯一ID、SSP(安全密钥配置)、 TF-M (可信固件管理)、 TF-A (面向Arm Cortex-A的可信固件)、 OPTEE (开放可移植可信执行环境)、UBE(唯一启动项)、FSBL(第一阶段引导加载程序)、 SBSFU (安全启动与安全固件更新)、SFI(安全固件安装)等。此外,还将介绍固件与工具服务。
固件与软件工具
Secure Boot and Secure Firmware Update (SBSFU)
安全启动可确保在设备上运行的应用固件的完整性与真实性。
安全固件更新使您可以认证和验证所需字段更新的完整性。
意法半导体在STM32微控制器和微处理器X-CUBE-SBSFU上提供作为参考源代码的两种不同的实现,实施SBSFU机制:
- 该解决方案展示了如何设置全部STM32存储器保护机制,以将安全启动与固件更新功能与主应用隔离。其中还包括意法半导体的安全元件STSAFE的参考实现,该元件可最大限度地提高最终应用的安全级别。STM32L4实现也提供安全存储。
- TFM_SBSFU在装有TF-M(可信固件M)的设备上实现相同的机制,并随STM32Cube包一起提供
产品编号 | 状态 | 类型 |
X-CUBE-SBSFU | 已量产 | 嵌入式软件 |
STM32CubeL5 | 已量产 | 嵌入式软件 |
STM32CubeU5 | 已量产 | 嵌入式软件 |
可信固件M (TFM)
可信固件M软件实现是面向Cortex-M ARMv7-M和Armv8-M的 平台安全架构(PSA) 的参考实现。
TF-M是包含在STM32Cube MCU包中的开源软件项目,它为STM32微控制器提供:
- 支持Armv8-M上的PSA级别1和级别2隔离的安全固件;
- 安全固件向非安全侧暴露的接口。
- 带非安全应用示例的安全固件模型。
- 在安全环境中运行的安全服务包括:
- 安全存储服务
- 认证
- 加密服务
- 审计记录
产品编号 | 状态 | 类型 |
STM32CubeL5 | 已量产 | 嵌入式软件 |
STM32CubeU5 | 已量产 | 嵌入式软件 |
可信固件‑A
可信固件A通常缩写为TF-A,是Arm提供的安全世界软件解决方案的参考实现。它最初专为Armv8-A平台而设计,经意法半导体改造后将用于Armv7-A平台。Arm正在转移可信固件项目,以将其作为Linaro的开源项目来管理。
使用 可信启动链时,将其用作STM32 MPU平台上的第一阶段启动加载程序(FSBL)。
其代码为BSD-3-Clause许可证下的开源代码,可在Github上找到,并具有可信固件A实现的更新文档。
可信固件A也通过各种Arm接口标准实现了安全监控:
- 电源状态协调接口(PSCI)
- 可信板启动要求(TBBR)
- SMC调用惯例
- 系统控制与管理接口
更多信息详见 STM32MP1 MPU wiki 页面.
开放可移植可信执行环境(OPTEE)
OPTEE是可信执行环境(TEE)的一种,是使用TrustZone技术在采用Arm Cortex-A内核的微处理器上运行的非安全Linux内核的配套软件解决方案。OPTEE API由其所属的GlobalPlatform API规范来定义。
OP-TEE的主要设计目标为:
- 隔离:TEE提供与非安全操作系统的隔离,并使用底层硬件支持来使加载的可信应用程序(TA)彼此不受影响
- 小尺寸:TEE应保持足够小,以便驻留在基于Arm的系统的适量片上存储器中
- 可移植性:TEE兼容不同的架构和可用硬件,并支持各种设置,如多客户端操作服务和TEE。
- OP-TEE作为OpenSTLinux发行包的一部分提供,可用于STM32微处理器。
产品编号 | 状态 | 类型 |
STM32MP1Dev | 已量产 | 嵌入式软件 |
STM32MP1Distrib | 已量产 | 嵌入式软件 |
加密库
意法半导体为STM32微控制器提供多种加密库,以满足实际用例的需求:
- X-CUBE-CRYPTOLIB:此ECCN 5D002分类软件解决方案基于STM32Cube包架构,并包括一组基于固件实现的加密算法。可立即用于所有STM32微控制器。
- TF-M加密:加密服务,在TF-M参考代码中提供。
- 抗DPA加密库:意法半导体提供加密算法的抗DPA实现。在某些特定产品编号上按需提供。请联系您最近的销售办事处。
产品编号 | 状态 | 类型 |
X-CUBE-CRYPTOLIB | 已量产 | 嵌入式软件 |
STM32CubeL5 | 已量产 | 嵌入式软件 |
STM32CubeU5 | 已量产 | 嵌入式软件 |
安全固件安装(SFI)
安全固件安装解决方案,适用于STM32L4、STM32H7、STM32L5和STM32U5微控制器。该解决方案即将扩展到其他STM32平台,首次对设备编程时提供保护。
该解决方案提供完整的工具集,其中包括用于加密OEM库的Trusted Package Creator软件包、用于安全地刷写STM32的STM32CubeProgrammer,以及用于将OEM凭证转移给编程合作伙伴的STM32HSM。

在固件开发和验证后,设计人员可以使用Trusted Package Creator软件安全地加密二进制文件,并将其证书存储在专用智能卡中,如硬件安全模块STM32HSM中。
然后,可以实现STM32CubeProgrammer或SFI推荐的合作伙伴编程工具,以在不可信的环境中(如EMS生产线中)安全地对STM32 MCU进行编程。
STM32CubeProgrammer
STM32CubeProgrammer包括STM32TrustedPackage Creator工具,此工具可用于为嵌入SFI的STM32器件生成SFI和SMI加密映像。它可由CLI和GUI模式免费提供。
SFI格式是意法半导体创建的固件加密格式。它使用AES算法将Elf、Hex、Bin或Srec格式的固件解决方案转换为SFI格式的加密和验证固件。SFI固件映像由头文件和几个区域组成。这些区域通常为连续固件区域。最后一个区域为配置区,其中包含SFI完成时要编程的选项字节值。
产品编号 | 说明 |
STM32CubeProg | 用于STM32产品编程的STM32CubeProgrammer软件 |
STM32HSM
STM32硬件安全模块用于在制造过程中保护STM32产品的编程,以避免产品伪造。
产品编号 | 状态 | 类型 |
STM32HSM-V1 | 已量产 | 开发工具 |
STM32HSM-V2 | 已量产 | 开发工具 |
X-CUBE-PCROP固件
X-CUBE-PCROP固件的目标为展示PCROP保护功能在STM32F4、STM32F7和STM32L4 MCU上的实际用途。
产品编号 | 状态 |
X-CUBE-PCROP | 已量产 |
安全保证与认证
认证 | 现已上市 | ||||
![]() | Arm PSA
| Arm PSA 级别1 | Arm PSA 级别1
符合Arm PSA API规定
| Arm PSA 级别1
| |
![]() | SESIP
| SESIP 级别1
| SESIP 级别1 | ||
![]() ![]() ![]() ![]() CC EAL5+ | CC EAL5+
| FIPS-140-2
| TCG
| GSMA
| |
评估 | 现已上市 | ||||
![]() | PCI POS 销售终端应用 |
|