OpenEdv-开源电子网

 找回密码
 立即注册
正点原子全套STM32/Linux/FPGA开发资料,上千讲STM32视频教程免费下载...
查看: 4160|回复: 0

freertos实时内核实用指南_Arm与FreeRTOS如何保障IoT的安全性

[复制链接]

221

主题

221

帖子

0

精华

高级会员

Rank: 4

积分
762
金钱
762
注册时间
2021-5-18
在线时间
28 小时
发表于 2021-6-3 13:30:44 | 显示全部楼层 |阅读模式
微控制器的安全性一直是一项挑战,部分原因是缺乏硬件强制的安全域。创建两个安全域通常需要两个微处理器,每个微处理器都有一个单独的内存保护单元(MPU)。与Armv8-M架构一起引入的Arm TrustZone在单个Cortex-M处理器上启用了两个安全处理环境(请参阅Using FreeRTOS on Armv8-M Microcontrollers)。一旦区分了单独的安全和非安全处理环境,您应该如何处理它们呢?

Trusted Firmware-M
安全固件Trusted Firmware-M(TF-M)为ARMv8-M架构(例如,Cortex-M55、Cortex-M33和Cortex-M23处理器)和双核Cortex-M设备实施安全处理环境(SPE)。它是符合PSA认证指南的PSA参考实施,使芯片、实时操作系统和设备能够通过PSA认证。作为在安全固件开放治理社区项目托管的BSD-3条款许可下分发的开放源码项目,它受多种基于Cortex-M的微控制器支持,例如恩智浦LPC55S69、ST STM32L5和Cypress PSoC 64。FreeRTOS使用TF-M获得了PSA功能API认证。

TF-M提供一套安全服务--加密、认证和安全存储。它还通过基于mcuboot的第二阶段引导加载程序提供安全引导,用于验证运行时映像和平台更新。非安全处理环境(NSPE)中的应用程序和库可以通过一组标准化的PSA功能API来利用这些安全服务。在ARMv8-M设备上,TF-M使用ARM TrustZone技术隔离NSPE和安全处理环境(SPE)代码和数据。在Cortex-M设备上运行的应用程序可以利用TF-M服务来确保与边缘网关和物联网云服务的安全连接。它还保护平台上的关键安全资产,如敏感数据、密钥和证书。

ae3f44360b420c9e9e6b73ab7563b252.jpg
TF-M已完成与FreeRTOS的初步集成。这使在Cortex-M设备上运行FreeRTOS的应用程序能够通过PSA功能API利用TF-M提供的安全服务。集成已在Arm Musca-B1参考平台上进行了验证,并有望在带有TF-M的多个Cortex-M平台上使用。

与FreeRTOS内核集成
如下图所示,FreeRTOS内核在NSPE中运行,而TF-M在SPE中运行。FreeRTOS任务可以通过PSA功能API利用任何TF-M安全服务(例如,加密,安全存储和证明)。非安全调度程序将PSA功能API调用从任务转发到TF-M。在Github上可以找到示例集成。NSPE可以使用提供不同级别的安全性和隔离性的IPC或函数调用机制与TF-M通信。FreeRTOS可以根据应用需求使用这些机制中的任何一种与TF-M进行通信。
ec0e4b0527387628819024c5b624a8ee.jpg

与PKCS#11集成
FreeRTOS的参考物联网集成提供了各种库和API,例如安全套接字,TLS,OTA代理和PKCS#11(公钥密码标准11),以提高应用程序的安全性。

PKCS#11FreeRTOS中使用API​​来执行TLS客户端身份验证,并将TLS客户端证书和私钥导入设备。PKCS#11已使用thin shim与TF-M集成,并在Arm Musca-B1参考平台上进行了验证。在集成中,PKCS#11 API通过填充程序调用适当的PSA功能安全存储API或加密API。这样可确保密钥和证书受到保护,并且加密操作在TF-M的SPE中安全地执行,并且与非安全处理环境中的内核,库和应用程序隔离。密钥和证书分别安全地存储在芯片存储和外部闪存中。这是通过TF-M的内部可信存储(ITS)和受保护的存储(PS)服务来启用的。TLS客户端身份验证期间的签名是由TF-M的Crypto服务执行的。可以找到如下图所示的Arm Musca-B1参考平台上的示例集成这里还有自述文件。PSA Functional API Shim可在FreeRTOS项目的psa文件夹下找到,允许启用TF-M的平台使用此垫片层。
05a3d7bcde8304e289e5db0b6fd7570f.jpg

表1显示了FreeRTOS中使用的PKCS#11 API和在提供密钥和证书以及TLS客户端认证期间调用的PSA功能API的映射。

e5388b82ef81ddec8d9208717c67c6a9.png
原文链接:https://www.yunduoketang.com/article/zxjy11.html

05a3d7bcde8304e289e5db0b6fd7570f.jpg
正点原子逻辑分析仪DL16劲爆上市
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则



关闭

原子哥极力推荐上一条 /2 下一条

正点原子公众号

QQ|手机版|OpenEdv-开源电子网 ( 粤ICP备12000418号-1 )

GMT+8, 2024-11-22 16:25

Powered by OpenEdv-开源电子网

© 2001-2030 OpenEdv-开源电子网

快速回复 返回顶部 返回列表