STM32MP中的安全域(Secure World)到底是什么

原创 已于 2025-11-26 16:00:57 修改 · 633 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#stm32 #安全 #嵌入式硬件 #单片机 #物联网 #iot

于 2025-11-26 15:55:43 首次发布

一、什么是“安全域”?

安全域(Security Domain / Security World)
是 ARM 架构(从 Cortex-A 以后到 Cortex-M33)在硬件级别上
把整个系统分成两块相互隔离的世界:

  • Secure World(安全世界)

  • Non-secure World(普通世界)

两边的 CPU、内存、外设访问权限都由硬件强制区分。

二、为什么要分安全域?

目的是防止系统被入侵后“一锅端”。

举个例子:

以前所有代码都跑在一个环境里,
如果应用程序被攻击者利用漏洞提权,
他就能直接访问加密密钥、固件升级接口、存储分区……
结果:整机安全性全失。

现在通过 TrustZone 安全域分离

  • 安全世界(Secure World):保存敏感数据和安全服务(加密、签名、密钥管理、固件更新验证)。

  • 普通世界(Non-secure World):跑 Linux、Android、应用程序、UI 等。

  • 两者通过 受控接口(SMC / Secure Call)通信。

就像两个房间:一个普通办公室,一个保险库,中间只有一扇受控门。

三、硬件是怎么实现的?

Cortex-A (ARMv8-A) 上:

有两个执行状态:

  • Secure ELx(安全执行级)

  • Non-secure ELx

CPU 在硬件里有一个状态位 SCR.NS(Non-secure bit)
→ 控制当前是在安全世界还是普通世界。

有专门的指令 SMC(Secure Monitor Call)
→ Linux/Android 只能通过这个调用安全世界的服务(例如访问密钥、签名验证)。

安全世界的 OS 通常是 OP-TEE (Open Portable Trusted Execution Environment)
TF-A (BL31) 启动。

Cortex-M33 (ARMv8-M) 上:

同样有两个内存与外设访问域:

  • Secure

  • Non-secure

通过两个硬件单元控制:

  • SAU (Security Attribution Unit)

  • IDAU (Implementation Defined Attribution Unit)

它们决定哪块内存属于安全域,哪块属于非安全域。
CPU 会自动阻止 Non-secure 世界访问 Secure 区域。

安全世界运行 TF-M (Trusted Firmware-M)
Non-secure 世界运行普通应用或 FreeRTOS。

四、软件栈上的安全域分层

层级角色跑在安全域?说明
BootROMSecure芯片上电后第一段安全代码
TF-A / TF-MSecureARM 官方安全固件框架
OP-TEESecure安全世界操作系统 (A 系列)
U-Boot / Linux / AndroidNon-secure普通系统与应用
应用程序Non-secure用户空间

五、通俗理解

把整个芯片想成一栋楼:

区域比喻权限
Secure World保密机房(有金库)只有安保系统能进
Non-secure World办公区员工自由进出
TrustZone 门安全网关控制从办公区到机房的访问

六、STM32MP 平台的安全域实践

平台安全域在哪安全 OS
STM32MP1Cortex-A7 上的 OP-TEEOP-TEE
STM32MP2 (A-first)同上,A35 Secure EL1OP-TEE
STM32MP2 (M-first)M33 Secure WorldTF-M

所以:

  • MP1 / MP2 A-first 模式 → Secure World 在 A 核;

  • MP2 M-first 模式 → Secure World 在 M33 上。

七、总结

「安全域」是 ARM 硬件层面把系统分为 Secure(安全世界)Non-secure(普通世界)
使得只有受信任的固件/代码能访问敏感资源。

 A 系列用 TrustZone-A + OP-TEE + TF-A
 M 系列用 TrustZone-M + TF-M

换句话说:

有了“安全域”,
Linux 再也不是系统里最信任的那一层 ——
真正的安全根在 TF-A / TF-M + Secure World 里。

(三)正点原子STM32MP135移植——optee移植
qq_42697289的博客
10-04 1854
基于正点原子STM32MP135开发板,移植ST官方optee源码
STM32MP157C-DK2 开机测试
professionalmcu的专栏
09-18 7096
开发板选择 stm32mpu wiki的General Books使用了两款STM32MP1开发板作为演示讲解,STM32MP157x-EV1和STM32MP157C-DK2,由于STM32MP1是比较新的东西,自己对Linux开发也不熟,为了避免在学习过程中遇到遇到过多的问题,所以选择购买和教程一致的开发板。STM32MP157x-EV1在某宝上就可以买到,价格3500左右,对我来说价...
STM32MP2 启动链中的 Device Tree继承关系
devicegate的博客
11-21 741
本文概述了STM32MP2启动流程中设备树(DT)的继承关系。启动过程分为三个阶段:1) BootROM从存储设备加载TF-A镜像;2) TF-A(EL3)使用fdts/.dts初始化DDR/电源/安全区,并传递DT给U-Boot;3) U-Boot(EL2/1)通过arch/arm/dts/.dts配置启动参数,可能修改Linux DT后传递给内核;4) Linux(EL1)使用arch/arm64/boot/dts/st/*.dts加载驱动和系统配置。三个阶段的DT文件格式相同但功能递进,形成完整的设备
【正点原子STM32MP157 可信任固件TF-A学习篇】(1) TF-A 概述
qq_54050349的博客
12-06 665
本文主要介绍了ARM可信任固件TF-A的运行框架及其在设备安全启动中的作用。TF-A通过链式鉴权机制确保启动过程中各阶段固件的安全性,防止恶意篡改。文章首先阐述了设备安全的重要性,包括手机和物联网设备的安全需求,并详细说明了STM32MP1处理器如何利用ECDSA算法进行安全启动验证。随后,概述了TF-A的五个启动阶段(bl1-bl33)及其功能划分,分析了ARMv7和ARMv8架构的权限等级差异,指出TF-A主要在EL3级别运行以提供安全监控。最后通过流程图展示了TF-A从bl1到bl33的链式启动流程,
stm32中Linux系统移植
m0_74295972的博客
06-08 2306
done //命令。从官网下载 https://mirrors.edge.kernel.org/pub/linux/kernel/v5.x/ linux-5.4.31.tar.xz 2》芯片原厂 高通,三星,MTK,海思,RK,全志等。//这个目录下的操作~/fsmpla/kerner/linux-stm32mp-5.4.31-r0/linux-5.4.31///这个目录下的操作~/fsmpla/kerner/linux-stm32mp-5.4.31-r0/linux-5.4.31/
【正点原子MP157连载】 第七章 TF-A初探-摘自【正点原子】【正点原子】STM32MP1嵌入式Linux驱动开发指南V1.7
weixin_55796564的博客
01-21 1425
1)实验平台:正点原子STM32MP157开发板 2)购买链接:https://item.taobao.com/item.htm?&id=629270721801 3)全套实验源码+手册+视频下载地址:http://www.openedv.com/thread-318813-1-1.html 4)正点原子官方B站:https://space.bilibili.com/394620890 5)正点原子STM32MP157技术交流群:691905614 第七章 TF-A初探 前面我们简单了解了一下什么
【正点原子MP157连载】 第六章 TF-A 使用-摘自【正点原子】【正点原子】STM32MP1嵌入式Linux驱动开发指南V1.7
weixin_55796564的博客
01-21 1901
1)实验平台:正点原子STM32MP157开发板 2)购买链接:https://item.taobao.com/item.htm?&id=629270721801 3)全套实验源码+手册+视频下载地址:http://www.openedv.com/thread-318813-1-1.html 4)正点原子官方B站:https://space.bilibili.com/394620890 5)正点原子STM32MP157技术交流群:691905614 第六章 TF-A 使用 在上一章已经学会了如何搭
STM32MP157系统移植(TF-A,U-Boot,Linux)
zzssdd2的博客
02-11 6623
作者:zzssdd2 E-mail:zzssdd2@foxmail.com 〇 环境搭建 主机系统:Ubuntu 20.04.3 LTS MPU型号:STM32MP157DAA1 参考官方板:STM32MP157D-EV1(STM32MP157D-ED1) STM32MP1 Developer Package SDK : STM32MP15-Ecosystem-v2.1.0 release STM32MP1 Developer Package SOURCES : STM32MP15-Ecosystem.
支持python的开发板子_分享 | STM32MP157ADK1开发板评测
weixin_35959366的博客
11-27 692
原文作者:21ic论坛网友:zhanzr21ST公司的产品虽然本身就很丰富, 但是最有人气, 对市场影响力最大的当然是Cortex-M系列. 从几K Flash的Cortex-M0系列到高性能的Cortex-M7系列, 还穿插着无线系列,低功耗系列, 外挂SPI Flash作为Code空间的跨界系列, 几乎都是相应市场上的佼佼者。作为蓝蝴蝶粉的一员, 我也总结过STM32脱颖而出的原因:...
STM32MP135移植教程:TF-A源码第二章详解
标题《STM32MP135 - ST官方源码移植》第二章:TF-A源码移植教程主要聚焦于STM32MP135这款ST(意法半导体)微处理器的TF-A(Trusted Firmware-A)源码移植过程。TF-A是ARM提供的一款开源固件,用于实现ARM架构处理器...
STM32MP153C/F 数据手册:高性能双核 Cortex 处理器详解
此外,该芯片还通过 Arm TrustZone 技术实现了安全世界(Secure World)与非安全世界(Non-Secure World)的隔离,使得敏感操作可以在安全环境中运行,而常规任务则运行在非安全环境中。 在物理安全方面,芯片还...
如何在STM32MP157上验证OPTEE的安全隔离机制?
03-21
好的,我现在需要帮助用户了解如何在STM32MP157平台上测试和验证OP-TEE的安全隔离机制。首先,我得回忆一下OP-TEE的作用和相关技术。根据引用[2],OP-TEE主要负责执行敏感操作,比如加密解密、密钥管理、安全存储等...
STM32安全启动流程
11-25
在支持TrustZone的STM32系列(如STM32MP1)中,BootROM会初始化安全世界(Secure World)和非安全世界(Non-secure World)。安全世界负责运行可信代码(如安全监控程序),而非安全世界处理用户应用。BootROM将...
STM32F4 vs STM32U5安全能力全面对比:含TLS硬件加速支持的5项指标分析
# STM32安全架构演进与核心差异 在智能家居设备日益复杂的今天,确保无线连接的稳定性已成为一大设计挑战。然而,这仅仅是冰山一角——当设备接入云端、承载用户隐私甚至控制关键基础设施时,**安全问题便从“加分...
STM32外设基地址与寄存器偏移地址的深度解析
最新发布
d111111111d的博客
12-22 746
摘要:本文深入解析STM32嵌入式开发中的地址映射机制,重点阐述外设基地址与寄存器偏移地址的关系。通过分析4GB地址空间划分,详细介绍了AHB/APB总线外设的地址计算方法(基地址+偏移地址),并以GPIO和USART为例演示了地址计算过程。文章还讲解了结构体映射技术、位带操作等高级应用,提供了地址验证和调试技巧。最后总结了最佳实践,强调应使用厂商提供的头文件定义而非硬编码地址,并针对不同芯片系列给出了处理建议。这些知识是理解STM32底层开发和优化代码性能的基础。
STM32 CuberIDE 中断
bai545936的博客
12-19 186
当特定事件(如外部信号、定时器溢出、数据接收完成等)触发中断时,处理器暂停当前任务,跳转到对应的ISR执行处理逻辑,完成后恢复原任务。运行以上代码后发现LED_RED延时亮灭可以实现,而LED_GREEN 按下KEY1按键实现亮灭无法实现。打开Core文件 找到Src下的stm32f1xx_it.c 在void EXTI15_10_IRQHandler(void)函数里写入命令。实现LED_RED延时亮灭,LED_GREEN 按下KEY1按键实现亮灭。至此通过外部中断实现按键控制LED的函数就完成了。
5.8W25Q64 实验(下)-嵌入式铁头山羊STM32笔记
lzy0214的博客
12-18 716
主要实现了按键控制 LED 翻转,然后 LED 状态存进 W25Q64。整个实验相对简单,主要理解 FLASH 存储器存储数据的思路,在后面对于工业参数的存取、恢复出厂设置、IAP 升级都有一定应用。
STM32 驱动五线四相步进电机(28BYJ-48+ULN2003)教程
送外卖的工程师
12-17 1774
本文详细介绍了使用STM32F103C8T6单片机驱动28BYJ-48五线四相步进电机的方法。通过ULN2003驱动模块实现电机控制,采用HAL库开发,提供完整的硬件接线方案和软件代码实现。重点讲解了八拍驱动方式,实现正转、反转、调速和定角度控制功能。文中包含硬件连接示意图、STM32CubeMX配置步骤、核心驱动代码及常见问题解决方案。该方案适用于智能小车、云台等嵌入式项目,具有接线简单、代码可复用等特点,特别适合初学者学习步进电机控制技术。
STM32 启动文件
xingzhemengyou1的博客
12-18 710
STM32的启动文件是连接硬件复位与C语言应用程序的桥梁。它严格遵循Cortex-M内核的启动规范,通过设置堆栈、建立中断向量表、执行必要的硬件初始化,最终将控制权平稳地交给用户的main()函数。无论是使用MDK还是GCC工具链,理解其原理和内容,对于调试启动问题、优化内存布局以及进行高级应用(如IAP)都至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值