Secure Thingz 是 IAR Systems Group 旗下公司，也是ST 合作伙伴計劃的成員，最近宣布了一種使用與我們的安全固件安裝 （SFI）兼容的 IAR Embedded Workbench 和 STM32 MCU 來實施其安全部署解決方案的簡單方法。更準確地說，該解決方案是Embedded Trust 和 C-Trust安全開發工具的一部分。它目前可與STM32H7配合使用，并將支持STM32L5微控制器等。該解決方案與眾不同，因為它只是作為 IAR Embedded Workbench 的擴展。因此，即使是沒有資源或專業知識來創建自定義解決方案的團隊也可以享受安全的環境。我們還舉辦了一場3 月 18 日與 Secure Thingz 舉行的網絡研討會，幫助工程師了解和實施這項技術。因此，我們認為深入了解 Secure Thingz 為此次活動提供的服務非常重要。

保護引導加載程序變得越來越必要

保護知識產權是公司本身的根本，它可以保護用戶免受黑客攻擊。傳統上，OEM 加載加密應用程序，該應用程序只能由 MCU 及其引導加載程序解密。但是，引導加載程序本身并未加密，這可能會使設備受到攻擊。安全固件安裝通過啟用加密引導加載程序來補救這種情況。 例如，對 STM32 MCU 進行編程的 OEM 會將開發人員的整個加密環境推送到內部閃存上。得益于一系列優化、身份驗證、完整性檢查和保證機密性的措施，ST 的安全固件安裝 （SFI） 將安全地解密和安裝代碼。隨著公司對安全問題越來越敏感，保護固件編程正在成為許多行業的事實標準。

ST 的 SFI 是名為 STM32Trust 的更大計劃的一部分。后者將安全啟動、SFI 和安全固件更新等安全功能集于一身。因此，開發人員可以找到軟件、文檔等的中央資源中心。因此，希望實施自定義解決方案的團隊將找到示例代碼、密碼庫等。然而，盡管有 STM32Trust 這樣的舉措，但并不是每個開發人員都有時間了解這些工具的工作原理。有些人確實歡迎更直接和預配置的安裝。例如，許多初創公司有共同的安全需求，但手頭的專家很少。因此，Secure Thingz 直接從 IAR Embedded Workbench 提供 Secure Deploy，以幫助開發人員節省時間和資源。因此，讓我們看看開發人員如何利用這個解決方案。

保護 Thingz 和 IAR

嵌入式信任和 C-Trust

尋找交鑰匙解決方案的開發人員必須經常在嚴格的限制下工作。如果團隊沒有時間和資源來定制他們的安全上下文實施，他們也沒有時間使用無數的軟件解決方案。因此，Secure Thingz 的吸引力在于它能夠在 IAR Embedded Workbench 中提供一切。開發人員可以通過在 Embedded Trust 和 C-Trust 中使用 IDE 的擴展工具，立即開始他們的安全工作流程。Embedded Trust支持從安全上下文生成到安全包生產的完整工作流程，包括安全啟動管理器創建和應用程序開發。C-信托通過專注于整個產品開發周期的應用階段和原型設計，提供嵌入式信任功能的子集。

安全生產包和安全桌面配置器

上述所有開發工具都將幫助生成一個現成的安全啟動管理器 （SBM），STM32 MCU 在啟動時啟動該管理器。SBM 將固件提交給一系列控制和驗證。如果所有測試都清除，則應用程序啟動。因此，鑒于引導管理器的敏感性，開發人員可以將其放入安全生產包中，這是一個發送到生產設施的加密容器。此外，Secure Thingz 和 IAR Systems 提供Secure Deploy 平臺，該平臺可導入 Secure Production Package 并在生產過程中安全保存。Secure Thingz 還提供Secure Desktop Provisioner （SPD） 工具。 它由操作員 UI 控制，用于桌面原型設計和有限的生產運行。OEM 還可以將 Secure Deploy 集成到全自動量產機器中，而無需運行專用的用戶界面。兩種實現都使用相同的安全生產包，并在編程（供應）期間與目標設備交互。

保護 Thingz 和 STM32

使用 SFI 在 STM32 上安全部署

在某些情況下，開發人員可能會發現實施安全啟動管理器很困難。Secure Thingz 處理所有固有的復雜性，以極大地促進開發。例如，ST 合作伙伴使用 STM32 SFI 機制將 SBM 和應用程序傳輸到目標 MCU 中的安全存儲區。然而，整個過程發生在幕后，只需要開發人員點擊幾下。在 C-Trust 中，用戶只需在 Secure Boot Manager 配置期間勾選復選框即可選擇 STM32 Secure Firmware Installation （SFI）。同樣，在 IAR Embedded Workbench 中創建和加密用于生產的包需要幾個步驟。

實施安全固件安裝變得更加簡單。工程師不再需要額外的工具，從而大大簡化了他們的工作流程。安全配置支持 STM32 SFI 的設備所需的所有信息都包含在安全生產包中。因此，在生產環境中使用 STM32 的 SFI 不需要操作員或自動化機器的額外說明。

審核編輯：郭婷