STM32L5进阶课程系列 10.DMA，兼顾传输灵活性和TZ架构下的安全性

只看该作者 · 2023-11-27 15:55

欢迎大家继续关注STM32L5的进阶课程，今天介绍STM32L5上的DMA，它有别于以往历代STM32产品的DMA，能为TrustZone应用提供安全而灵活的支持。

从STM32H7开始，后面的产品，G0、G4、WB，到现在的L5，DMA作为控制和传输通道，和DMA请求模块分开了，后者叫做DMAMUX。

DMA和DMAMUX，都是TZ aware的外设，它们都是以【通道】为单位，对自己内部的资源进行划分，有些通道划分给安全应用使用，有些通道划分给非安全应用使用。DMA作为AHB总线主设备，它还要负责管理发出到AHB总线上的transaction上的安全属性。这些都是L5上的DMA，新增的安全功能。这一集，我们就来展开介绍和讨论。

STM32L5上有两个DMA控制器，DMA1和DMA2，各支持8个传输通道。之所以说DMA控制器是TZ aware的外设，是因为DMA控制器把它自己的资源，以“通道” 为单位做了划分：每个通道，不是在安全世界，就是在非安全世界，由该通道的配置寄存器决定。芯片复位后的缺省状态，每个通道都是在非安全世界。

分配给安全世界的通道，它的寄存器大部分就只能由安全代码访问；每个通道还可以设置成特权通道，那么这些寄存器就只能由特权级别下的代码访问了，进一步提高使用系统资源的安全性。分配给安全世界的通道，它可以在AHB总线上，发出secure的transaction，也可以发出Non secure的transaction。后面我们有例程来展现这种灵活的用法，大家可以体会。

通道的安全属性，和特权属性确定下来之后，通道本身的意义，和以往的DMA控制器是一样的，根据该通道的传输请求，来把数据从源地址，按照一定的数据宽度，搬移到或者说传输到目标地址。传输，可以由外设的某个事件发起，或者由软件触发。

外设发起一个DMA请求给到DMA控制器。DMA控制器，根据这个请求所对应的通道的优先级，来决定是否响应这个请求。如果确定响应，就发回给外设一个应答。外设一旦收到应答信息，就释放请求信号线。DMA控制器看到外设释放了请求信号，也就释放应答信号线。

哪个外设，或者什么事件，发出一个DMA请求，给到DMA控制器的哪个通道，这是和DMAMUX模块一起来完成的。

DMA控制器的安全规则，需要从两个角度来理解。一个是它作为AHB主设备，负责往AHB总线发出transaction；一个是它作为AHB从设备，被内核来配置寄存器。

一个通道负责传输或者搬移数据，需要从源地址发起一次读请求，再向目的地址发起一次写请求。也就是说，一次DMA搬移，是由一读、一写，两个transaction组成的。那么这两个transaction上携带的安全属性，由什么来决定呢？大家不妨先回忆一下CPU内核发出的transaction，它通过了IDAU/SAU的第一级检查，来到AHB总线上，这个transaction的安全属性是由什么来决定的？无论是取指访问还是数据访问，已经成行的transaction的安全属性，都取决于目标地址，在IDAU/SAU看来的安全性。

回过头来，DMA控制器里没有IDAU/SAU来帮它审查，当通过【通道配置寄存器】里的SECM位域，把该通道配置成安全通道后，它所负责的传输，它发出的一读、一写，两个transaction的安全属性，分别由该通道配置寄存器里【SSec】和【DSec】来决定。也就是说用户通过设置这两个位域来决定。

当DMA控制器里的某条通道被【SecM位域】配置成安全通道，该通道的对应寄存器，对non secure的代码访问，就有了诸多限制。

比如，Non secure代码要读取安全通道的寄存器时，只能有效读到【SecM】和【Priv】位域，意思什么状态的代码，都可以知道该通道的安全属性和特权级别。但是读取其他位域，就是RAZ，read as zero了。甚至读取有些寄存器的时候，还会触发“非法访问”事件。这是列举了一些non secure代码的读访问限制。对于写访问，首先写操作肯定是无效的，而且还会触发“非法访问”事件。

我们借用这张胶片来说明被配置了安全属性的DMA通道，如何管理一次数据传输所需的两个transaction。

这是一个安全的通道，我们用绿色的圈表示。在DMA传输请求的触发下，它先发起一个读操作，就是箭头指向它的两条线，如果Ssec=1，表示从源地址过来的读访问是安全transaction，即左边绿色的这条；如果Ssec=0，表示从源地址过来的读访问是非安全的transaction，就是红色这条输入箭头。

接下来写到目标地址的写操作，同样，根据Dsec=1或者0，可以是安全写访问，或者非安全的写访问，由一绿一红两个出去的箭头线表示。

无论是安全的transaction还是非安全的transaction，当它们要target到具体的物理区域，比如Flash、SRAM、外设寄存器，都要遵守数据访问在TZ环境下的访问规则，受到来自GTZC的审查，或者物理区域所在控制器的审查，如果它是TrustZone aware的话。’具体来说就是，安全的数据传输transaction，可以访问安全存储区，安全外设，非安全外设；而非安全的数据传输transaction，只能访问到非安全存储区，和非安全外设。

如果通道被配置成了非安全，这也是芯片复位后的缺省状态，一次数据搬移所需要发起的一读一写两个数据传输transaction就只能都是非安全的了。

从寄存器角度，当SecM=0， Ssec和Dsec都会强制处于清零状态。非安全的transaction只能触碰到非安全的存储区和非安全的外设。

由此可知，当需要在安全世界和非安全世界之间进行自动数据搬移，该DMA通道必须要是安全的通道。

只看该作者 · 2023-11-27 15:55

我们先来看一个STM32CubeL5固件包里预编译好的例子。这个例子是基于TZ环境下，因此有安全应用和非安全应用两个工程。安全世界里定义了三个数组，是下图右边的绿框部分；非安全世界定义了两个数组，是下图左边红框部分。例程使用了4个DMA通道，来对数据进行依次搬移，形成了一个数据流的链路，把5个数组挨个串了起来。

绿框表示的安全世界数组，都在安全存储区上，因此要能碰到这些地方的DMA通道，必须是安全通道。所以CH1、CH2、CH3都是安全通道。CH4负责非安全世界里的两个数组间的数据搬移，非安全通道即可。我们来看表格的前三行，CH1、CH2‘和CH3，它们都是安全通道，但是各自的Ssec和Dsec并不相同。

通道1，负责安全世界里两个数组间的搬移，Ssec和Dsec都是1，发起的是安全transaction。

通道2和通道3，负责安全存储区和非安全存储区之间的数据搬移，方向不一样而已。片上Flash和片上SRAM，在缺省模式下，是严格遵循TZ访问规则，即安全的地址只能被secure transaction触碰，非安全的地址只能被non secure transaction触碰。所以通道2和通道3的SSec和DSec，必须做相同安全属性的配置。‘

那么我们现在就来看一下STM32CubeL5软件包里基于Nucleo板子上的一个现现成的例子，在TrustZone环境下使用DMA做存储区之间的数据搬移。主要就是看看，在安全世界和非安全世界之间，如何使用DMA做数据搬移，在安全性方面要注意哪些问题。我们会着重考察例程里的通道2和通道3。

基于刚才这个参考例程，如果我们把通道2的一个参数：DSEC从Non secure改到Secure会怎样？

我们知道，通道2负载把安全世界里的数据搬移到非安全世界。它的下半场，write transaction，要触碰到非安全世界的SRAM，这个aDST_Buffer1是在非安全应用的堆栈空间，因此是位于片上SRAM的非安全区域。按照我们多次强调的，非安全SRAM区域只能被非安全transaction触碰。那么预测通道2的传输不会成功。我们把代码修改一下，运行一下看看。

那么第二个问题来了，如果DSEC就是设置成secure的情况下，怎能让这次DMA传输成功完成呢？我们来看看STM32L5 参考手册上的这一段话。它位于GTZC这一章的illegal access definition，非法访问的定义，这个章节里。

我们再看来看另外一个TrustZone环境下的DMA使用例程。

这里不再是M2M传输，而是更贴近实际应用的一个场景。通常加解密模块，Hash模块这些和密码学操作相关的硬件我们都把它们分配在安全世界，使得只有安全世界的代码才可以直接访问，利用TrustZone的先天具有的“硬件隔离”机制，对敏感的模块进行保护。而用户的业务应用通常运行在非安全世界。当需要对非安全世界的一段话或者一个消息进行Hash计算，就需要把这个非安全区域的消息，一个word一个word地送到Hash模块的DIN寄存器

。计算完成后，摘要值从Hash模块的HR寄存器组读出。非安全世界的应用，要启动一次填充Hash模块输入FIFO的DMA传输，必须也调用Secure API。例子里使用DMA2控制器的通道7来负责搬移。那么它的上半程，读操作应该是一个non secure的transaction，所以SSEC为非安全；而后半程的写操作，必须是一个secure的transaction。

了解了例程的用途，我们来看一下代码实现时需要的注意事项。

最后我们看一下DMAMUX。

DMA控制器负责在它的各个通道上进行数据传输，而提出传输请求这件事是由另外一个模块DMAMUX负责的。从胶片中的功能框图，可以看到DMAMUX的主体是右边的Request multiplexer，请求复用开关。这里面有16个独立的通道，分别连到DMA1和DMA2的对应输入通道。DMAMUX也是TZ aware的外设，和DMA控制器一样，每条通道要么被分配在安全世界，要么被分配到非安全世界。DMAMUX里通道的安全属性，由对应的DMA通道来决定。

DMAMUX每条通道的请求多路复用开关，它的输入有94条线可供选择。其中，90条来自外设事件，比如ADC，4条来自内部请求产生器。而内部产生器的触发输入又有22条，覆盖16条EXTI信号线、DMAMUX模块本身产生的事件，以及三个LPTIM的输出。这23条信号，位于框图的左下角，和框图左边90条外设信号，对于DMA传输请求复用开关的意义都是一样的，来自这些源头的事件，可以触发一次DMA主导的数据搬移。这23条信号线，还可以用来同步DMA传输请求的输出。

这些参数都可以在STM32CubeMX的图形界面中配置。需要强调，用户容易搞混淆的有一点：DMA传输的请求信号来源，和DMA请求传输的源地址和目的地址，是完全独立的。比如说我可以在在外部中断EXTI13的触发下，让DMA把数据从ADC1搬移到SRAM的数组里。这种使用场景，外部中断EXTI13就是DMA请求的信号源，需要DMAMUX来配置。而ADC1的DR数据寄存器和SRAM数组的地址，则是在DMA控制器对应通道的通道寄存器里配置。这些概念和使用方法和以往不带TrustZone安全特性的STM32 DMA和DMAMUX是一样的，这里不再累述。

关于STM32L5上DMA在TZ环境下的特点和使用注意事项，这一集就讲解完毕。

同步模式下，检测到了同步信号的边沿时，若有pending的request就会N次导到输出；

如果那个时刻，没有pending的request，后面来的request，不予理会，这个新的request，要到下次同步信号边沿到来时才处理；

同步模式下，没有检测到同步信号的边沿，即使有DMA请求输入，也不会导到输出

非同步模式下，有DMA请求就导到输出，只是每N次就会有一个事件产生

同步信号会可能产生overrun错误及中断；触发信号也可能产生overrun错误及中断；

由于DMAMUX按照通道来划分S和NS的资源，因此像状态寄存器、标志清零寄存器中，还有S和NS的位域混合在一起。

安全通道上的overrun 中断和非安全通道上的overrun中断，在NVIC输入上是两条不同的input line；在向量表中也是两个相邻的entry

只看该作者 · 2024-7-21 07:29

模块电源选购灌封材料的时候，需要注意导热系数要能达到电子部件散热的需求，不过粘接能力不太强

只看该作者 · 2024-7-21 08:32

A、B组分先分别用手动或机械进行充分搅拌，让A、B灌封料充分融合

只看该作者 · 2024-7-21 09:25

可能击穿开关器件，

只看该作者 · 2024-7-21 10:28

如果想要让它正常工作且不会损坏

只看该作者 · 2024-7-21 11:31

前模块电源灌封时用的最多的是加成型有机灌封硅胶

只看该作者 · 2024-7-21 13:27

电阻属于一个普通的元件

只看该作者 · 2024-7-21 14:30

并且考虑到TVS相同的尺寸

只看该作者 · 2024-7-21 16:26

当异常过压消失，恢复至高阻态

只看该作者 · 2024-7-21 17:29

微控制器、数字信号控制器和处理器都具有内部的ESD钳位二极管

只看该作者 · 2024-7-21 19:25

ESD电压一般超过导通电压