基于J-Link实现STM32H5安全编程——Trustzone模式实现

基于J-Link实现STM32H5安全编程（https://mp.weixin.qq.com/s/EqzvgZY5Dc3bb98uaXGTOw）介绍了在禁用TrustZone时，如何通过J-Link实现STM32H5控制调试端口的安全锁定或回归打开。

J-Link从v8.12e版本开始，支持启用TrustZone时，使用加密（证书）实现STM32H5回归和打开调试端口。

调试认证原理是使用JTAG专用接入点（ap0）与芯片通信，通过ARM定义的安全协议ARM PSA ADAC V1.0实现认证调试访问控制。

STM32H563/573在启用TrustZone时，调试身份验证过程如下：

STM32H5安全产品生命周期管理基于J-Link软件包安装目录\ProgramFiles\SEGGER\JLink_V812g\Script\PCode_DevPro_ST_STM32H5.pex脚本文件实现。

在STM32H563/562/573和STM32H523/533设备上，使用选项字节(option bytes)存储配置的(provisioned)数据，每次回退后都必须进行预配置(Provisioning)。

基于NUCLEO-H563ZI开发板，使用J-Link实现Trustzone使能状态下的生命周期管理

1、查看设备状态

2、设置产品状态为Provisioning

3、写入obk文件

对于启用加密的设备，必须在.xml配置文件中使用1选项生成* .obk文件（*.obk文件使用STM32 Trusted Package Creator工具生成，该文件用于配置条件，以触发产品状态从PROVISIONNED/CLOSED到OPEN的回退。在STM32Cube_FW_H5_V1.0.0\Projects\NUCLEO-H563ZI\ROT_Provisioning\DA\Binary示例中提供了一个默认文件DA_Config.obk）。

4、将产品状态更改为closed，关闭对调试接口的访问

5、在使能TrustZone时，通过证书执行回退操作

DevPro工具目前已全面支持STM32H5安全生命周期管理以及STM32U0 Options Bytes 编程，更多DevPro的使用可以参考https://kb.segger.com/ST_STM32H5_Security_Product_Lifecycle。

麦克泰技术代理SEGGER全线产品，具有丰富的软件开发与调试工具使用方面的知识和经验，关于J-Link编程器的更多信息，欢迎咨询info@bmrtech.com。