PSA平臺(tái)安全架構(gòu)簡介

1．導(dǎo)言
　　物聯(lián)網(wǎng)（IoT）轉(zhuǎn)型的進(jìn)程正如火如荼，并有可能改變企業(yè)和消費(fèi)者體驗(yàn)。互聯(lián)網(wǎng)的這個(gè)新階段能否取得成功，很大程度上取決于數(shù)十億各種互聯(lián)設(shè)備的信任和安全性能。企業(yè)需要依靠來自邊緣計(jì)算的數(shù)據(jù)才能做出商業(yè)決策，而消費(fèi)者需要確保他們的互聯(lián)家居和數(shù)字生活不會(huì)被黑客攻擊。近期的攻擊和安全研究表明，在極端情況下，設(shè)計(jì)不佳的連接設(shè)備有可能被攻陷并導(dǎo)致互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的關(guān)鍵部件被破壞，甚至影響到我們的安全。因此，我們需要能夠應(yīng)對(duì)這些威脅并且適用于各種成本點(diǎn)的設(shè)備安全。平臺(tái)安全架構(gòu)（PSA）的使命就是克服這一挑戰(zhàn)。它能夠服務(wù)于任何設(shè)計(jì)合理的 Arm 處理器，包括低成本微控制器。
　　安全并非可有可無
　　Arm宣布將推出平臺(tái)安全架構(gòu)（PSA）和配套的開源軟件計(jì)劃Trusted Firmware-M。該項(xiàng)目能夠提供由硬件支持的可擴(kuò)展安全性，可應(yīng)用于成本從低到高的各類設(shè)備。其目的是通過共享的最佳實(shí)踐方法提高整個(gè)生態(tài)系統(tǒng)的安全性。為此，我們需要轉(zhuǎn)變安全經(jīng)濟(jì)學(xué)，降低實(shí)施強(qiáng)大安全措施的風(fēng)險(xiǎn)、成本、低層次碎片化和復(fù)雜性。
　　基于微控制器（MCU）的設(shè)備數(shù)量急速增長將導(dǎo)致：
　　數(shù)十億種物聯(lián)網(wǎng)設(shè)備和嵌入式連接設(shè)備設(shè)計(jì)，全部基于各種 Arm 解決方案
　　種類繁雜的使用案例和安全健壯性要求
　　來自多家供應(yīng)商的系統(tǒng)組件集成：硬件、軟件和固件
　　各種組件的多樣化實(shí)施
　　不同項(xiàng)目之間可能無法復(fù)用的集成工作
　　本白皮書概述了全新架構(gòu)——PSA。這種架構(gòu)將為日益增加的基于MCU的連接設(shè)備奠定基于硬件和固件的安全基礎(chǔ)。PSA不限定CPU架構(gòu)，但以基于MCU的設(shè)備為優(yōu)先服務(wù)對(duì)象，同時(shí)也可應(yīng)用于全面可信執(zhí)行環(huán)境（TEE）太過龐大、太過復(fù)雜的其他平臺(tái)。
　　運(yùn)行 Linux 等復(fù)雜操作系統(tǒng)、Arm TrustZone? 等現(xiàn)有基于硬件的安全產(chǎn)品以及可信執(zhí)行環(huán)境（TEE）的 Arm 應(yīng)用處理器（即Cortex-A系列）也同樣適用。
　　1.1 行業(yè)挑戰(zhàn)
　　行業(yè)面臨如下挑戰(zhàn)：
　　1.在設(shè)備的整個(gè)生命周期內(nèi)實(shí)施安全可能代價(jià)不菲
　　2.安全設(shè)備很難實(shí)現(xiàn)規(guī)模化管理
　　3.行業(yè)對(duì)傳感器和執(zhí)行器接收和發(fā)送的數(shù)據(jù)缺乏信心，因此無法全面發(fā)掘物聯(lián)網(wǎng)的經(jīng)濟(jì)效益
　　1.2 Arm 對(duì)更安全物聯(lián)網(wǎng)的愿景
　　Arm的安全愿景側(cè)重于三個(gè)主要領(lǐng)域：
　　1.轉(zhuǎn)變安全經(jīng)濟(jì)學(xué)
　　設(shè)備的整個(gè)生命周期都應(yīng)當(dāng)提供用戶負(fù)擔(dān)得起的安全性。
　　2.實(shí)現(xiàn)規(guī)?；踩?br /> 　　物聯(lián)網(wǎng)的云運(yùn)營商需要相應(yīng)的設(shè)施來安全、有效地管理海量設(shè)備，無論何種設(shè)備類型和芯片類型。
　　3.整個(gè)價(jià)值鏈的安全
　　物聯(lián)網(wǎng)的一個(gè)主要優(yōu)點(diǎn)就在于它生成和交換的數(shù)據(jù)，以及從這些數(shù)據(jù)中分析提取的信息。企業(yè)必須能夠判斷數(shù)據(jù)的可靠性，進(jìn)而實(shí)現(xiàn)整個(gè)生態(tài)系統(tǒng)共享的經(jīng)濟(jì)效益。
　　1.3 IP支持
　　Arm現(xiàn)有的安全產(chǎn)品和技術(shù)能夠幫助移動(dòng)和上網(wǎng)本市場的硅芯片合作伙伴提高安全性和質(zhì)量并加快產(chǎn)品的上市速度。Arm現(xiàn)有的安全產(chǎn)品包括：
　　Armv8-A等包含TrustZone的Cortex-A系列
　　Arm可信固件（針對(duì)Cortex-A系列），一種開源參考實(shí)施，包括可信啟動(dòng)和TEE加載組件
　　將TrustZone引入微控制器市場的Armv8-M架構(gòu)
　　Arm SecurCore，防篡改處理器系列
　　TrustZone CryptoCell，提供平臺(tái)級(jí)安全服務(wù)的安全模塊
　　TrustZone CryptoIsland，高度集成式安全子系統(tǒng)，旨在提供片上智能卡級(jí)別的安全性
　　Arm Mbed IoT Device Platform，提供相應(yīng)的操作系統(tǒng)、云服務(wù)、工具和開發(fā)者生態(tài)系統(tǒng)，以實(shí)現(xiàn)基于標(biāo)準(zhǔn)的商業(yè)物聯(lián)網(wǎng)解決方案的規(guī)?；_發(fā)和部署。
　　接下來我們將介紹平臺(tái)安全架構(gòu)，為制造更安全連接設(shè)備提供方法。
　　2．平臺(tái)安全架構(gòu)
　　2.1 目標(biāo)
　　平臺(tái)安全架構(gòu)（PSA）是一個(gè)由威脅模型、安全分析以及硬件和固件規(guī)范組成的整體。它與開源參考實(shí)施共同幫助您在最低的安全層面為所有互聯(lián)設(shè)備實(shí)現(xiàn)統(tǒng)一的安全設(shè)計(jì)。PSA吸收并整合了整個(gè)行業(yè)的最佳實(shí)踐。它的服務(wù)對(duì)象是整個(gè)物聯(lián)網(wǎng)生態(tài)系統(tǒng)，從芯片設(shè)計(jì)師和設(shè)備開發(fā)者到云和網(wǎng)絡(luò)基礎(chǔ)架構(gòu)提供商以及軟件供應(yīng)商。
　　PSA 提供了一種無需自行開發(fā)所有元件就能構(gòu)建安全系統(tǒng)的方法。Arm是這個(gè)生態(tài)系統(tǒng)的領(lǐng)導(dǎo)者，其目標(biāo)是保護(hù)整個(gè)互聯(lián)世界。
　　下列目標(biāo)概述了確保數(shù)十億設(shè)備安全的框架：
　　簡化按照安全標(biāo)準(zhǔn)評(píng)估物聯(lián)網(wǎng)設(shè)備的過程
　　促進(jìn)重復(fù)利用、提高互操作性和最大程度減少API碎片，進(jìn)而降低生態(tài)系統(tǒng)合作伙伴開發(fā)軟件的成本和復(fù)雜性
　　利用PSA提供的原始資源實(shí)現(xiàn)設(shè)備安全模型，進(jìn)而降低SoC設(shè)計(jì)者的成本和復(fù)雜性
　　為了實(shí)現(xiàn)上述目標(biāo)，下列要求必須得到滿足：
　　為認(rèn)證/評(píng)估基于Arm的SoC或設(shè)備建立基礎(chǔ)
　　定義核心安全功能
　　定義沙箱安全模型
　　為第三方軟件提供商實(shí)施的安全功能定義框架
　　定義基礎(chǔ)物聯(lián)網(wǎng)安全硬件平臺(tái)
　　為物聯(lián)網(wǎng)提供健壯的開源參考實(shí)施（類似于上網(wǎng)本和移動(dòng)市場的Arm可信固件）
　　2.2 構(gòu)建模塊
　　PSA 由三個(gè)部分組成：
　　1.威脅模型和安全分析，來自各種典型的物聯(lián)網(wǎng)使用案例
　　2.架構(gòu)的固件和硬件規(guī)范
　　3.固件架構(gòu)規(guī)范的開源參考實(shí)施
　　PSA的基礎(chǔ)是設(shè)備的威脅模型，它們將安全要求延伸至其他各大構(gòu)件，如圖1所示。威脅模型與CPU架構(gòu)無關(guān)，而另外兩大構(gòu)件的作用是為統(tǒng)一的實(shí)施提供支持。
　　三大構(gòu)件之間的關(guān)系如圖 1 所示。
　　
　　圖 1 – PSA 的組成
　　2.3 威脅模型與安全分析
　　設(shè)計(jì)安全系統(tǒng)時(shí)，我們需要結(jié)合關(guān)鍵問題進(jìn)行風(fēng)險(xiǎn)分析并建立威脅模型。這些關(guān)鍵問題包括：
　　我們要保護(hù)的資產(chǎn)
　　潛在的威脅
　　潛在攻擊的范圍和強(qiáng)度
　　潛在攻擊者的類型以及攻擊方式
　　通過這些研究可以確定安全目標(biāo)，隨后制定減輕此類威脅的安全功能要求。
　　Arm 對(duì)相關(guān)的物聯(lián)網(wǎng)使用案例和情境進(jìn)行了分析。通過分析得出普遍適用的安全原則，然后用它來指導(dǎo)架構(gòu)規(guī)范文件的制定。
　　Arm 使用英語語言保護(hù)范圍（PP）方法來為評(píng)估目標(biāo)（TOE）制定一系列安全功能要求（SFR）。每一個(gè)輪廓都考慮了功能描述、TOE 和必要的安全要求。這些文件要讓并非安全專家的工程師能夠使用。
　　各種PSA架構(gòu)規(guī)范描述的硬件和軟件安全構(gòu)件提供了滿足威脅模型所凸顯的安全要求所需的原語。