ZHCAC19 January   2023 MSPM0G1105 , MSPM0G1106 , MSPM0G1107 , MSPM0G1505 , MSPM0G1506 , MSPM0G1507 , MSPM0G3105 , MSPM0G3106 , MSPM0G3107 , MSPM0G3505 , MSPM0G3506 , MSPM0G3507 , MSPM0L1105 , MSPM0L1106 , MSPM0L1303 , MSPM0L1304 , MSPM0L1305 , MSPM0L1306 , MSPM0L1343 , MSPM0L1344 , MSPM0L1345 , MSPM0L1346

 

  1.   摘要
  2.   商标
  3. 1引言
    1. 1.1 网络安全目标
    2. 1.2 平台信息安全机制
  4. 2器件安全模型
    1. 2.1 启动时的初始条件
    2. 2.2 引导配置例程 (BCR)
    3. 2.3 引导加载程序 (BSL)
    4. 2.4 启动流程
    5. 2.5 用户指定的安全策略
      1. 2.5.1 引导配置例程 (BCR) 安全策略
        1. 2.5.1.1 串行线调试相关策略
          1. 2.5.1.1.1 SWD 安全级别 0
          2. 2.5.1.1.2 SWD 安全级别 1
          3. 2.5.1.1.3 SWD 安全级别 2
        2. 2.5.1.2 引导加载程序 (BSL) 启用/禁用策略
        3. 2.5.1.3 闪存保护和完整性相关策略
          1. 2.5.1.3.1 锁定应用 (MAIN) 闪存
          2. 2.5.1.3.2 锁定配置 (NONMAIN) 闪存
          3. 2.5.1.3.3 验证应用 (MAIN) 闪存的完整性
      2. 2.5.2 引导加载程序 (BSL) 安全策略
        1. 2.5.2.1 BSL 访问密码
        2. 2.5.2.2 BSL 读取策略
        3. 2.5.2.3 BSL 安全警报策略
      3. 2.5.3 配置数据错误抵抗
        1. 2.5.3.1 由 CRC 支持的配置数据
        2. 2.5.3.2 16 位关键字段模式匹配
  5. 3安全启动
    1. 3.1 安全启动身份验证流程
    2. 3.2 非对称与对称安全启动
  6. 4加解密加速
    1. 4.1 硬件 AES 加速
      1. 4.1.1 概述
      2. 4.1.2 AES 性能
    2. 4.2 硬件真随机数发生器 (TRNG)
  7. 5器件标识
  8. 6总结
  9. 7参考文献
  10. 8修订历史记录
  11.   A 各子系列提供的信息安全机制

2.5.3.1 由 CRC 支持的配置数据

NONMAIN 存储器中的 BCR 配置数据和 BSL 配置数据结构各自包含一个 CRC32 值,该值对应于相应结构的 CRC32 摘要。在器件启动过程中,BCR 将计算数据结构的 CRC 摘要,并将其与存储的 CRC 值进行比较,确认匹配后才会信任并使用这些结构中包含的数据。

BCR 配置 CRC 故障处理

如果 BCR 配置数据(包含 SWD 策略、BSL 启用/禁用策略以及闪存保护和完整性检查策略)在启动期间未能通过 CRC 检查,则会产生灾难性的启动错误并施加以下限制:

  • 错误原因将作为引导诊断记录在 CFG-AP 中
  • BSL 将不会被调用,即使它配置为要启用
  • 用户应用程序不会启动
  • 应用程序调试访问不会启用
  • 如果启用了或使用密码启用了,则会执行待处理的 SWD 恢复出厂设置命令
  • 如果已启用,则会执行待处理的 TI 失效分析流程条目
  • 启动过程将最多重试 3 次
    • 如果第 2 次或第 3 次尝试通过,器件将正常启动
    • 如果第 3 次尝试仍未通过,则在下一次 BOR 或 POR 之前不会再进行启动尝试

此 CRC 校验的好处是,在启动过程中可以明确地检测配置数据中是否存在任何位翻转,例如静态写保护配置(安全启动的支柱)。故障处理程序会明确阻止 BSL 和用户应用程序运行,唯一受支持的选项(SWD 恢复出厂设置和 TI FA)受 16 位模式匹配字段保护。

BSL 配置 CRC 故障处理

如果 BSL 配置数据(包含 BSL 密码和 BSL 策略)在 BSL 调用期间未通过 CRC 检查,则会导致灾难性的启动错误并施加以下限制:

  • 错误原因作为引导诊断记录在 CFG-AP 中
  • BSL 不会被调用,即使它配置为要启用
  • 用户应用程序不会启动
  • 应用程序调试访问不会启用
  • 启动过程最多会重试 3 次
    • 如果第 2 次或第 3 次尝试通过,器件将正常启动
    • 如果第 3 次尝试仍未通过,则在下一次 BOR 或 POR 之前不会再进行启动尝试

此 CRC 校验的好处是,在调用过程中可以明确地检测 BSL 配置数据中是否存在任何位翻转。故障处理程序会阻止 BSL 使用可能导致安全性丧失的无效数据启动。

TI 出厂修整数据 CRC 故障处理

除了用户指定的配置数据外,如果 TI 出厂修整在启动期间未能通过 CRC 检查,也会导致灾难性的启动错误并具有以下限制:

  • 错误原因将作为引导诊断记录在 CFG-AP 中
  • BSL 将不会被调用,即使它配置为要启用
  • 用户应用程序不会启动
  • 应用程序调试访问不会启用
  • 如果已启用,则会执行待处理的 TI 失效分析流程条目
  • 启动过程将最多重试 3 次
    • 如果第 2 次或第 3 次尝试通过,器件将正常启动
    • 如果第 3 次尝试仍未通过,则在下一次 BOR 或 POR 之前不会再进行启动尝试