PSA平臺安全架構簡介

1．導言
　　物聯(lián)網（IoT）轉型的進程正如火如荼，并有可能改變企業(yè)和消費者體驗?；ヂ?lián)網的這個新階段能否取得成功，很大程度上取決于數(shù)十億各種互聯(lián)設備的信任和安全性能。企業(yè)需要依靠來自邊緣計算的數(shù)據才能做出商業(yè)決策，而消費者需要確保他們的互聯(lián)家居和數(shù)字生活不會被黑客攻擊。近期的攻擊和安全研究表明，在極端情況下，設計不佳的連接設備有可能被攻陷并導致互聯(lián)網基礎架構的關鍵部件被破壞，甚至影響到我們的安全。因此，我們需要能夠應對這些威脅并且適用于各種成本點的設備安全。平臺安全架構（PSA）的使命就是克服這一挑戰(zhàn)。它能夠服務于任何設計合理的 Arm 處理器，包括低成本微控制器。
　　安全并非可有可無
　　Arm宣布將推出平臺安全架構（PSA）和配套的開源軟件計劃Trusted Firmware-M。該項目能夠提供由硬件支持的可擴展安全性，可應用于成本從低到高的各類設備。其目的是通過共享的最佳實踐方法提高整個生態(tài)系統(tǒng)的安全性。為此，我們需要轉變安全經濟學，降低實施強大安全措施的風險、成本、低層次碎片化和復雜性。
　　基于微控制器（MCU）的設備數(shù)量急速增長將導致：
　　數(shù)十億種物聯(lián)網設備和嵌入式連接設備設計，全部基于各種 Arm 解決方案
　　種類繁雜的使用案例和安全健壯性要求
　　來自多家供應商的系統(tǒng)組件集成：硬件、軟件和固件
　　各種組件的多樣化實施
　　不同項目之間可能無法復用的集成工作
　　本白皮書概述了全新架構——PSA。這種架構將為日益增加的基于MCU的連接設備奠定基于硬件和固件的安全基礎。PSA不限定CPU架構，但以基于MCU的設備為優(yōu)先服務對象，同時也可應用于全面可信執(zhí)行環(huán)境（TEE）太過龐大、太過復雜的其他平臺。
　　運行 Linux 等復雜操作系統(tǒng)、Arm TrustZone? 等現(xiàn)有基于硬件的安全產品以及可信執(zhí)行環(huán)境（TEE）的 Arm 應用處理器（即Cortex-A系列）也同樣適用。
　　1.1 行業(yè)挑戰(zhàn)
　　行業(yè)面臨如下挑戰(zhàn)：
　　1.在設備的整個生命周期內實施安全可能代價不菲
　　2.安全設備很難實現(xiàn)規(guī)?；芾?br /> 　　3.行業(yè)對傳感器和執(zhí)行器接收和發(fā)送的數(shù)據缺乏信心，因此無法全面發(fā)掘物聯(lián)網的經濟效益
　　1.2 Arm 對更安全物聯(lián)網的愿景
　　Arm的安全愿景側重于三個主要領域：
　　1.轉變安全經濟學
　　設備的整個生命周期都應當提供用戶負擔得起的安全性。
　　2.實現(xiàn)規(guī)模化安全性
　　物聯(lián)網的云運營商需要相應的設施來安全、有效地管理海量設備，無論何種設備類型和芯片類型。
　　3.整個價值鏈的安全
　　物聯(lián)網的一個主要優(yōu)點就在于它生成和交換的數(shù)據，以及從這些數(shù)據中分析提取的信息。企業(yè)必須能夠判斷數(shù)據的可靠性，進而實現(xiàn)整個生態(tài)系統(tǒng)共享的經濟效益。
　　1.3 IP支持
　　Arm現(xiàn)有的安全產品和技術能夠幫助移動和上網本市場的硅芯片合作伙伴提高安全性和質量并加快產品的上市速度。Arm現(xiàn)有的安全產品包括：
　　Armv8-A等包含TrustZone的Cortex-A系列
　　Arm可信固件（針對Cortex-A系列），一種開源參考實施，包括可信啟動和TEE加載組件
　　將TrustZone引入微控制器市場的Armv8-M架構
　　Arm SecurCore，防篡改處理器系列
　　TrustZone CryptoCell，提供平臺級安全服務的安全模塊
　　TrustZone CryptoIsland，高度集成式安全子系統(tǒng)，旨在提供片上智能卡級別的安全性
　　Arm Mbed IoT Device Platform，提供相應的操作系統(tǒng)、云服務、工具和開發(fā)者生態(tài)系統(tǒng)，以實現(xiàn)基于標準的商業(yè)物聯(lián)網解決方案的規(guī)模化開發(fā)和部署。
　　接下來我們將介紹平臺安全架構，為制造更安全連接設備提供方法。
　　2．平臺安全架構
　　2.1 目標
　　平臺安全架構（PSA）是一個由威脅模型、安全分析以及硬件和固件規(guī)范組成的整體。它與開源參考實施共同幫助您在最低的安全層面為所有互聯(lián)設備實現(xiàn)統(tǒng)一的安全設計。PSA吸收并整合了整個行業(yè)的最佳實踐。它的服務對象是整個物聯(lián)網生態(tài)系統(tǒng)，從芯片設計師和設備開發(fā)者到云和網絡基礎架構提供商以及軟件供應商。
　　PSA 提供了一種無需自行開發(fā)所有元件就能構建安全系統(tǒng)的方法。Arm是這個生態(tài)系統(tǒng)的領導者，其目標是保護整個互聯(lián)世界。
　　下列目標概述了確保數(shù)十億設備安全的框架：
　　簡化按照安全標準評估物聯(lián)網設備的過程
　　促進重復利用、提高互操作性和最大程度減少API碎片，進而降低生態(tài)系統(tǒng)合作伙伴開發(fā)軟件的成本和復雜性
　　利用PSA提供的原始資源實現(xiàn)設備安全模型，進而降低SoC設計者的成本和復雜性
　　為了實現(xiàn)上述目標，下列要求必須得到滿足：
　　為認證/評估基于Arm的SoC或設備建立基礎
　　定義核心安全功能
　　定義沙箱安全模型
　　為第三方軟件提供商實施的安全功能定義框架
　　定義基礎物聯(lián)網安全硬件平臺
　　為物聯(lián)網提供健壯的開源參考實施（類似于上網本和移動市場的Arm可信固件）
　　2.2 構建模塊
　　PSA 由三個部分組成：
　　1.威脅模型和安全分析，來自各種典型的物聯(lián)網使用案例
　　2.架構的固件和硬件規(guī)范
　　3.固件架構規(guī)范的開源參考實施
　　PSA的基礎是設備的威脅模型，它們將安全要求延伸至其他各大構件，如圖1所示。威脅模型與CPU架構無關，而另外兩大構件的作用是為統(tǒng)一的實施提供支持。
　　三大構件之間的關系如圖 1 所示。
　　
　　圖 1 – PSA 的組成
　　2.3 威脅模型與安全分析
　　設計安全系統(tǒng)時，我們需要結合關鍵問題進行風險分析并建立威脅模型。這些關鍵問題包括：
　　我們要保護的資產
　　潛在的威脅
　　潛在攻擊的范圍和強度
　　潛在攻擊者的類型以及攻擊方式
　　通過這些研究可以確定安全目標，隨后制定減輕此類威脅的安全功能要求。
　　Arm 對相關的物聯(lián)網使用案例和情境進行了分析。通過分析得出普遍適用的安全原則，然后用它來指導架構規(guī)范文件的制定。
　　Arm 使用英語語言保護范圍（PP）方法來為評估目標（TOE）制定一系列安全功能要求（SFR）。每一個輪廓都考慮了功能描述、TOE 和必要的安全要求。這些文件要讓并非安全專家的工程師能夠使用。
　　各種PSA架構規(guī)范描述的硬件和軟件安全構件提供了滿足威脅模型所凸顯的安全要求所需的原語。