跳到主要内容
版本:Next

3.4.1.2:STM32H5安全设置

1.准备工作

1.1软件与硬件

  • 软件:Power Writer 1.4.0.5 [Build:2025-09-02 18:06:05]
  • 硬件:PW200 ifVer:1.01.44,PW300 ifVer:1.01.44,PWX1 ifVer:1.00.38, 其中任意一个设备。

(以上版本以及之后的版本均支持,如有调整,后续文档会做相应更新)

1.2OBKey file与bin文件

OBKey file 由STM32 Trusted Package Creator 基于 XML 模板生成。

  • DA_Config.obk
  • STiROT_Config.obk(可选)
  • STiROT_Data.obk(可选)
  • board_password.bin(STM32H503)
  • data_soc_mask.bin(STM32H503)

1.3证书与私钥

以根证书为例

  • cert_root.b64
  • Key_1_root.pem

1.4密码文件

  • password.bin

2.功能入口

PowerWriter® 对厂家特定功能的支持,均使用插件模式,可以支持任意厂家要求的特定的功能,进入方法和其他品牌的支持方法一致,在选择好芯片之后,如在工具栏的最右侧出现一个插件支持图标,则当前所选的芯片有插件支持功能,如下所示:

image-20240229205759622

在选择 STM32H5 系列的芯片之后,在工具栏右侧出现一个 扩展功能按钮,定义为 厂商特定插件功能 ,通过点击此按钮进入到STM32H5 安全扩展界面,选择芯片后,【插件】按钮位于顶部菜单栏的最右端。 插件入口

插件划分为两部分:PROV OBKey 文件添加区,DA 密码或证书与私钥文件添加区。 插件布局说明

3.安全功能配置

点击"开启配置功能"按钮,将启动安全功能配置功能,首先添加调试认证使用到的obk文件,可根据需要添加更多数据文件。

安全功能配置支持*.obk文件方式(STM32H56/STM32H57),和密码形式(STM32H50),插件自动根据当前的芯片选择合适的模式,如选择芯片为STM32H50系列,除可设置密码外,可导出用于解锁芯片用的 PASSWORD.bin 文件用于回归,详见安全功能回归

3.1STM32H503 文件添加(可选)

STM32H503 采用将数据写入OTP的方式。需要手动输入地址,STM32H503 OTP起始地址0x08FF F000。 勾选 【开启配置功能】后,点击【添加数据文件】选择bin文件,然后设定数据的开始地址。 H503OTP数据

3.2OBKey文件添加(可选)

勾选 【开启配置功能】后,添加OBKey文件。 添加OBKey文件

4.安全功能回归

点击"开启认证功能"按钮,将启动安全功回归功能(对芯片进行调试认证,以便分析或者解锁芯片),安全功能回归配置支持*.bin 文件方式(Trust Zone 禁用),和证书形式(Trust Zone 使能)。

4.1密码形式回归,导入bin 文件(可选)

勾选【开启认证功能】后,选中【证书认证(TrustZone使能)】, 添加文件。 添加密码文件

4.2证书与私钥文件添加(可选)

证书形式导入 b64文件 以及 PEM key文件。勾选【开启认证功能】后,选中【证书认证(TrustZone使能)】, 添加文件。 添加证书与私钥

提示

  • STM32H50x系列 只支持密码形式,STM32H56x,STM32H57x 支持密码和证书两种形式(支持开启trust zone 不支持证书方式的调试认证(DA))。

    安全启动相关

    • 若启用 OEMiROT 功能,需按 OEMiROT_Boot.bin 文件规范配置选项字节,避免程序启动失败。
    • 若启用 STiROT 功能,请正确配置以下选项字节以确保程序正常安装与启动:
      • Flash Secure Watermark
      • SRAM2 ECC
      • SRAM2 Reset
      • 设置TZEN = 0xB4 (使能TrustZone)
      • BOOT_UBE = 0xC3 (选择ST-iROT启动)

  • 扩展功能目前仅支持 离线模式 使用。

  • 上位机与烧录器不检查TZEN配置与添加的OBKey文件是否正确。

  • 功能依赖

    安全功能配置 :仅当 选项字节 - 字节1(PRODUCT STATE) 为非Open(0xED)时,添加的配置文件(.obk)写入芯片OBKey区域。

    安全功能回退 :当芯片无法被连接或选项字节恢复默认时,烧录器使用此功能下添加的文件进行全回退(Full regression),目前仅支持全回退

提示
1. 当芯片无法正常连接,烧录器尝试进行全回退。若用户没有启用DA功能或没有添加正确的证书和私钥,返回错误,连接失败或DA认证失败。
2. 使用时BOOT引脚需要保持下拉,NRST引脚与烧录器RST引脚连接。
3. 烧录后程序无法运行时,需要检查下选项字节设置是否正确。
警告

使用前请验证用于回退的文件与配置文件完全匹配,由用户错误配置导致的损失,需用户自行承担。