ZHCAC19 January   2023 MSPM0G1105 , MSPM0G1106 , MSPM0G1107 , MSPM0G1505 , MSPM0G1506 , MSPM0G1507 , MSPM0G3105 , MSPM0G3106 , MSPM0G3107 , MSPM0G3505 , MSPM0G3506 , MSPM0G3507 , MSPM0L1105 , MSPM0L1106 , MSPM0L1303 , MSPM0L1304 , MSPM0L1305 , MSPM0L1306 , MSPM0L1343 , MSPM0L1344 , MSPM0L1345 , MSPM0L1346

 

  1.   摘要
  2.   商标
  3. 1引言
    1. 1.1 网络安全目标
    2. 1.2 平台信息安全机制
  4. 2器件安全模型
    1. 2.1 启动时的初始条件
    2. 2.2 引导配置例程 (BCR)
    3. 2.3 引导加载程序 (BSL)
    4. 2.4 启动流程
    5. 2.5 用户指定的安全策略
      1. 2.5.1 引导配置例程 (BCR) 安全策略
        1. 2.5.1.1 串行线调试相关策略
          1. 2.5.1.1.1 SWD 安全级别 0
          2. 2.5.1.1.2 SWD 安全级别 1
          3. 2.5.1.1.3 SWD 安全级别 2
        2. 2.5.1.2 引导加载程序 (BSL) 启用/禁用策略
        3. 2.5.1.3 闪存保护和完整性相关策略
          1. 2.5.1.3.1 锁定应用 (MAIN) 闪存
          2. 2.5.1.3.2 锁定配置 (NONMAIN) 闪存
          3. 2.5.1.3.3 验证应用 (MAIN) 闪存的完整性
      2. 2.5.2 引导加载程序 (BSL) 安全策略
        1. 2.5.2.1 BSL 访问密码
        2. 2.5.2.2 BSL 读取策略
        3. 2.5.2.3 BSL 安全警报策略
      3. 2.5.3 配置数据错误抵抗
        1. 2.5.3.1 由 CRC 支持的配置数据
        2. 2.5.3.2 16 位关键字段模式匹配
  5. 3安全启动
    1. 3.1 安全启动身份验证流程
    2. 3.2 非对称与对称安全启动
  6. 4加解密加速
    1. 4.1 硬件 AES 加速
      1. 4.1.1 概述
      2. 4.1.2 AES 性能
    2. 4.2 硬件真随机数发生器 (TRNG)
  7. 5器件标识
  8. 6总结
  9. 7参考文献
  10. 8修订历史记录
  11.   A 各子系列提供的信息安全机制
2.5.1.1.2 SWD 安全级别 1

SWD 安全级别 1 允许自定义安全配置。物理调试端口 (SW-DP) 保持启用状态,并且每个功能(应用调试、批量擦除命令、恢复出厂设置命令和 TI 失效分析)都可以单独启用、禁用或(在某些情况下)通过密码身份验证启用,从而提供相当大的灵活性来根据特定用例定制器件行为。

何时使用此状态

级别 1 非常适合受限的原型设计/开发场景以及大规模生产场景,在这些场景中,需要保留某些 SWD 功能(例如恢复出厂设置和 TI 失效分析),同时禁用其他功能(例如应用调试)。表 2-2 中给出了级别 1 自定义配置的常见示例。

表 2-2 级别 1 配置示例
级别 1 场景 配置
应用调试 批量擦除 恢复出厂设置 TI FA
这种场景使用用户指定的密码限制了调试访问,但保留了恢复出厂设置和 TI 失效分析。此配置允许进行现场调试(使用密码),另外还允许通过恢复出厂设置来将器件恢复到默认的“级别 0”状态。 EN(具有密码) DIS EN EN
此场景不允许进行调试。它允许恢复出厂设置,但只能通过用户指定的密码来使用。这提供了一种在现场访问器件的方法,方法是在密码已知时清除 MAIN 存储器内容并将器件恢复到“级别 0”状态。重要的是,即使恢复出厂设置密码被泄露,攻击者也无法读取 MAIN 闪存中的专有信息。 DIS DIS EN(具有密码) EN
此场景不允许调试,也不允许 TI 失效分析。这可防止 TI 在器件上执行恢复出厂设置和进一步的 FA 活动,除非用户在将器件返回 TI 进行 FA 之前使用自己指定的密码执行恢复出厂设置。 DIS DIS EN(具有密码) DIS
注: 对于大多数标准生产用例,建议使用级别 1 配置。对于不需要安全启动的应用,TI 建议在生产中使用级别 1,同时保持启用恢复出厂设置(使用密码)和 TI 失效分析。在此类配置中,用户(使用密码)或 TI(通过失效分析返回流程)或许能在器件配置后将器件恢复到限制性较低的状态。在需要最大安全启动保证的用例中,可以使用限制性较高的级别 1 或级别 2 进行生产,但需要权衡的是,器件在配置后可能无法恢复到限制性较低的状态。

何时不应使用此状态

如果需要对器件进行完全访问,则不应在原型设计期间使用级别 1;在这种情况下,应使用级别 0。

级别 1 也不应用于需要最高限制状态且不启用 SWD 功能的大规模生产场景;在这种情况下,应改为使用级别 2,因为它直接禁用整个 SWD 物理接口,并更大限度地减少误配置的可能性。

注: 如果器件配置为禁用应用调试和恢复出厂设置,则用户要恢复对器件的调试访问,唯一方法是用户应用代码提供了一种机制,可将 NONMAIN 配置更改为限制性较低的状态。如果 NONMAIN 通过静态写保护锁定,则状态不可逆,用户无法重新获得调试访问。