基于AES与RSA的STM32H7安全启动实现详解

基于AES与RSA的STM32H7安全启动实现详解

在物联网安全威胁不断上升的背景下，固件安全启动作为设备可信运行的基石，其重要性日益凸显。本文以STM32H7系列微控制器为例，深入解析基于AES-256加密与RSA-2048签名的安全启动流程，并结合代码实例说明关键实现步骤。

安全启动系统架构概述

安全启动机制通常包括三个主要阶段，确保固件加载过程中的完整性与真实性：

• BootROM阶段：MCU内部的只读存储器验证一级引导加载程序（BL1）的签名。
• BL1阶段：解密并验证二级引导程序（BL2）的加密密钥包。
• BL2阶段：完成对应用程序固件的解密后，跳转至主程序执行。

Flash加密实现方法

AES加密流程

通过OpenSSL工具链生成256位AES密钥，并用于加密固件内容，具体操作如下：

openssl rand -hex 32 > aes_key.binopenssl enc -aes-256-cbc -in app.bin -out app.enc -K $(cat aes_key.bin) -iv $(openssl rand -hex 16 | head -c 16) -nopad

MCU侧解密代码示例

在BL2阶段，使用STM32H7的硬件AES加速器进行解密处理，以下是相关代码片段：

void AES_Decrypt_Firmware(uint8_t *encrypted_fw, uint8_t *decrypted_fw, uint32_t size) {    AES_HandleTypeDef haes;    haes.Instance = AES;    haes.Init.DataType = AES_DATATYPE_8B;    haes.Init.KeySize = AES_KEYSIZE_256B;    haes.Init.pKey = (uint8_t *)AES_KEY; // 从安全存储中获取密钥    HAL_AES_Init(&haes);    for (uint32_t i = 0; i < size; i += 16) {        HAL_AES_Decrypt(&haes, encrypted_fw + i, 16, decrypted_fw + i, HAL_MAX_DELAY);    }}

签名验证机制详解

固件签名生成流程

采用RSA-2048算法对固件的哈希值进行签名，以下是签名生成的命令：

openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048openssl rsa -in private_key.pem -pubout -out public_key.pemsha256sum app.bin | awk '{print $1}' > hash.txtopenssl dgst -sha256 -sign private_key.pem -out signature.bin app.bin

MCU侧签名验证实现

BL1阶段对BL2的签名进行验证，以下为签名验证的代码实现：

int Verify_Firmware_Signature(uint8_t *firmware, uint32_t size, uint8_t *signature) {    CRC_HandleTypeDef hcrc;    uint8_t hash[32];    uint8_t public_key[256] = { /* 从OTP加载的公钥 */ };    hcrc.Instance = CRC;    HAL_CRCEx_Init(&hcrc);    HAL_CRC_Calculate(&hcrc, firmware, size, hash);    mbedtls_rsa_context rsa;    mbedtls_rsa_init(&rsa, MBEDTLS_RSA_PKCS_V15, 0);    mbedtls_rsa_import_raw(&rsa, public_key, 256, NULL, 0, NULL, 0, NULL, 0);    int ret = mbedtls_rsa_pkcs1_verify(&rsa, NULL, NULL, MBEDTLS_MD_SHA256, 32, hash, signature);    mbedtls_rsa_free(&rsa);    return (ret == 0) ? 1 : 0;}

安全增强措施

• 密钥保护：AES密钥存储于MCU的OTP（一次性编程）存储区域，RSA私钥则在HSM（硬件安全模块）中生成并严格保密。
• 版本控制与防回滚：通过在固件头中嵌入版本号，BL1拒绝执行早于当前版本的固件。
• 调试接口防护：通过熔丝位永久禁用JTAG/SWD接口，防止调试过程中的未授权访问。

实际应用与性能表现

在某款智能电表项目中部署该安全启动机制后，测试结果如下：

• 固件加密耗时：2.3ms（主频为480MHz）
• 签名验证耗时：15ms（RSA-2048）
• 成功防御攻击类型：
• 版本回滚攻击（通过版本号检测）
• 固件中间人替换攻击（依赖签名验证）
• 内存窥探攻击（通过AES实时解密机制）

未来发展方向

随着后量子密码学（PQC）标准逐渐成熟，建议逐步引入如CRYSTALS-Kyber等抗量子算法。同时，结合可信执行环境（TEE）构建多层防护体系，以应对不断演变的恶意攻击手段。