英飞凌 TC3XX单片机HSM内核开发-Secure Boot(四)

最新推荐文章于 2024-08-01 13:39:44 发布

美好生活丶

最新推荐文章于 2024-08-01 13:39:44 发布

阅读量567

点赞数 10

分类专栏： HSM内核开发_SecureBoot 文章标签： autosar 汽车电子 HSM 信息安全 Cyber Security 英飞凌

本文链接：https://blog.csdn.net/qq_36750998/article/details/140801336

版权

7 篇文章 0 订阅

订阅专栏

硬件安全模块（HSM）是 AURIX 控制器系列的一个可选外设模块。HSM 主要用于以下应用：

HSM 的功能提升了 AURIX系列微控制器的安全性，为各种关键应用提供了强大的保护机制。
在这里插入图片描述

HSM 核心基于 ARMv7-M 架构，支持两种操作模式：线程模式（Thread）和处理程序模式（Handler）。

线程模式（Thread Mode）：这是 HSM 启动时的默认模式，处理大多数应用程序代码。在退出 BOS（Boot Operating System）后，处理器会以线程特权模式执行。
处理程序模式（Handler Mode）：用于处理中断和异常，具有更高的优先级和权限。

在处理器的控制寄存器（CONTROL register）中，可以配置线程模式的特权级别，将其更改为非特权模式。

内存保护单元（MPU）负责强制执行特权规则、分离进程，并执行内存访问规则。MPU 的主要用途包括：

在与 HSM 一起使用时，MPU 存在一些限制：

地址范围限制：ARMv7-M 架构中，地址范围 A000 0000H - FFFF FFFFH 被设置为“不可执行”（Execute Never，XN）。MPU 无法更改此设置。因此，代码必须从 HSM 的内部 SRAM 或 AURIX 的缓存内存范围中运行。
位带别名区域限制：设置为位带别名区域的 MPU 区域会被忽略。应使用相应的本地 RAM 地址范围。
MPU 配置位限制：MPU 区域的 C（可缓存）、S（可共享）位以及 TEX（传输扩展）位字段被忽略，即没有功能。因此，只能配置 B（缓冲区）位和 XN 位。
重叠保护区域：支持重叠保护区域，并按区域优先级升序排列，即区域编号 7 具有最高优先级。

桥接模块的主要目的是将硬件安全模块（HSM）子系统连接到 TriCore（主机）并启用两个系统之间的通信。所有 HSM 和主机之间的交互都通过桥接模块进行。

通信同步：桥接模块包括特殊功能寄存器（SFRs），这些寄存器允许主机和 HSM 之间的通信同步。这包括两侧的中断生成。
访问限制：主机系统对 HSM 资源的访问是有限的。当 HSM 不处于调试模式或内存测试时，主机无法访问所有内部 HSM 内存和外设。一些 HSM 桥接寄存器（如通信寄存器）对主机是可访问的。
HSM 完全访问：HSM 对桥接的 TriCore（主机）侧具有完全访问权限，以及对其自身内存空间的访问。
时钟频率控制：桥接模块允许独立于主机控制 HSM 的时钟频率（尽管它只能将 SPB 频率进行分频），并提供识别和处理系统特定错误（如总线故障、访问违规和 ECC 错误）的手段。
数据访问模式：桥接模块支持单次访问和突发模式访问（4x32 位突发）。HSM 的突发访问内存范围为 0000 0000H - 9FFF FFFFH。地址范围 0000 0000H - DFFF FFFFH 通过缓存以 16 字节粒度访问。对于主机可以在后续访问中更改的数据，HSM 需要使用 64KB 窗口直接访问主机内存，从而绕过 HSM 缓存（或在操作之前清理缓存）。