PSA架構(gòu)規(guī)范關(guān)聯(lián)的文件詳細(xì)解析

PSA架構(gòu)規(guī)范包括一系列彼此關(guān)聯(lián)的文件，如下所列：

?設(shè)備安全模型 – 基礎(chǔ)的信任模型和模式

?可信設(shè)備初始化 – 初始安全設(shè)備編程和配置要求

?可信基礎(chǔ)系統(tǒng)架構(gòu) [TBSA-M] – v8-M的硬件平臺要求

?可信啟動與固件更新

?PSA固件框架M [PSA FF] – 受限物聯(lián)網(wǎng)平臺安全處理環(huán)境（SPE）的固件接口定義

?PSA可信功能 – SPE內(nèi)標(biāo)準(zhǔn)可信設(shè)備的定義

設(shè)備安全模型（DSM）定義了在生態(tài)系統(tǒng)內(nèi)設(shè)計(jì)和部署 PSA兼容可信設(shè)備的總體安全架構(gòu)。它是其他PSA規(guī)范的頂層文件，為它們規(guī)定了通用語言、高階魯棒性規(guī)則和模型。

DSM的基礎(chǔ)是威脅模型和安全分析針對使用案例提出的建議。雖然DSM與使用案例無關(guān)，但其最初側(cè)重于幾個選定的物聯(lián)網(wǎng)使用案例。

DSM 包括三個主要方面：

1. 信任根和相關(guān)安全服務(wù)

2. 根秘密及其存儲、保護(hù)和初始化

3. 設(shè)備生命周期及其對信任根的影響

只有在根秘密和設(shè)備固件在安全生產(chǎn)過程的背景下初始化時(shí)，安全和信任模型才有效。生產(chǎn)過程延伸到設(shè)備管理，以便向服務(wù)提供商和設(shè)備所有者分配設(shè)備屬性和固件更新等。

這是一份資料性文件，它指出并討論了對基礎(chǔ)架構(gòu)和通用框架的一般需求，以促進(jìn)設(shè)備安全架構(gòu)中的這些過程并以及它們對信任根的依賴性。配置實(shí)際的工廠供應(yīng)和設(shè)備管理架構(gòu)應(yīng)當(dāng)由行業(yè)利益相關(guān)方負(fù)責(zé)，或者使用類似 Arm Mbed Cloud 的設(shè)備來完成。

Armv8-M的Arm可信基礎(chǔ)系統(tǒng)架構(gòu)（TBSA-M）是一系列SoC硬件要求。它適用于基于 Armv8-M的設(shè)計(jì)，有助于研發(fā)更安全的設(shè)備。TBSA-M文件也能為計(jì)劃使用Armv7-M架構(gòu)實(shí)施安全設(shè)計(jì)的硅芯片制造商提供參考。

TBSA-M包含圍繞Armv8-M處理單元（PE）進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)適用的最佳實(shí)踐安全原則。這些原則為設(shè)計(jì)和集成下列植根于硬件的功能特點(diǎn)提供支持：

• 信任根

• 受保護(hù)的密鑰庫

• 可信和不可信軟件組件的隔離

• 安全的固件更新機(jī)制

• 生命周期管理機(jī)制和安全的調(diào)試

• 高熵隨機(jī)數(shù)發(fā)生器；它對可靠的密碼必不可少

• 密碼編譯加速器，其作用是為適當(dāng)?shù)陌踩δ鼙３謱?shí)時(shí)功能性

固件框架（PSA-FF）實(shí)現(xiàn)最好能在TBSA-M兼容設(shè)計(jì)的頂層進(jìn)行，以便實(shí)現(xiàn)安全關(guān)鍵功能性和數(shù)據(jù)與應(yīng)用固件數(shù)據(jù)隔離的安全處理環(huán)境。這樣可以提高設(shè)備的可信度，即便出現(xiàn)可能被利用的軟件漏洞。

可信啟動和固件更新規(guī)定了確保MCU啟動的完整性所必須滿足的系統(tǒng)和固件技術(shù)要求。規(guī)范包括以下內(nèi)容：

• 經(jīng)過驗(yàn)證的啟動過程以建立安全運(yùn)行時(shí)服務(wù)

• 安全的固件更新代理

• 固件更新的認(rèn)證和授權(quán)說明，包含密碼證書和設(shè)備密鑰

• 有助于實(shí)現(xiàn)健壯性的建議和最佳實(shí)踐說明

規(guī)范的范圍與A系列客戶端設(shè)備的可信主板引導(dǎo)要求（TBBR）類似。

固件框架（FF）基于設(shè)備安全模型的要求，規(guī)定了用于在受限物聯(lián)網(wǎng)設(shè)備中隔離可信功能的標(biāo)準(zhǔn)接口和框架?？蚣芴峁?/p>

• 為可信和不可信固件描述隔離運(yùn)行環(huán)境（分區(qū)）的架構(gòu)

• 描述各個分區(qū)的功能和資源的標(biāo)準(zhǔn)模型

• 用于向其他分區(qū)請求服務(wù)的安全 IPC 接口

• 描述分區(qū)如何彼此進(jìn)行互動的模型，以及硬件和固件框架實(shí)施本身

該規(guī)范能夠?qū)崿F(xiàn)安全固件功能性的開發(fā)，可復(fù)用于符合固件框架實(shí)施的不同設(shè)備。

PSA 固件框架概況

安全分區(qū)與隔離

平臺安全架構(gòu)固件框架（PSA-FF）定義了三個許可的固件運(yùn)行隔離層級。這樣可以允許在高度受限的設(shè)備中減少隔離。與此同時(shí)，還能在擁有充足的資源的平臺上增加安全性和魯棒性，并且為安全功能提供一致的固件接口。

PSA-FF將系統(tǒng)內(nèi)的執(zhí)行劃分為兩個分區(qū)——非安全處理環(huán)境（NSPE）和安全處理環(huán)境（SPE）。NSPE包含應(yīng)用固件、操作系統(tǒng)內(nèi)核和庫，通?？刂浦蟛糠州斎?輸出外圍設(shè)備。SPE包含安全固件和硬件資源，與 NSPE固件和非安全硬件資源隔離。

PSA-FF將SPE進(jìn)一步劃分為安全分區(qū)管理器（SPM）和安全分區(qū)。安全分區(qū)為安全功能提供執(zhí)行環(huán)境。SPM運(yùn)用隔離邏輯來分隔不同的分區(qū)，由平臺硬件使用主側(cè)和/或從側(cè)過濾器執(zhí)行。例如，安全屬性單元（SAU）和存儲保護(hù)單元（MPU）可以在新的 Armv8-M平臺中使用。其他平臺可以使用其他機(jī)制來提供類似的分區(qū)隔離。

安全I(xiàn)PC

固件框架定義了基于安全會話的IPC機(jī)制，可以讓彼此隔離的分區(qū)中的固件進(jìn)行互動。具體說來，IPC框架讓一個分區(qū)內(nèi)的固件可以通過標(biāo)準(zhǔn)接口向另一分區(qū)內(nèi)的固件請求服務(wù)。API要求由分區(qū)之間的框架來復(fù)制消息，進(jìn)而消除直接共享內(nèi)存帶來的脆弱性風(fēng)險(xiǎn)。

安全功能

PSA-FF 將安全性功能顯示為一系列安全功能。每一項(xiàng)安全功能都是安全分區(qū)中實(shí)施的一系列相關(guān)安全操作。每一個安全分區(qū)能夠支持多項(xiàng)安全功能。

不同的芯片合作伙伴可以為標(biāo)準(zhǔn)安全功能（SF）提供他們自己的插件實(shí)現(xiàn)。固件框架通過預(yù)定義的API和調(diào)用語義將SF實(shí)施抽離。芯片和其他合作伙伴也可以定義他們自己的安全功能實(shí)現(xiàn)，以便提供針對平臺的服務(wù)或更高水平的安全服務(wù)。

有關(guān)固件框架的更多詳情見 PSA 固件框架-M [PSA-FF] 規(guī)范。

有些安全功能提供信任根服務(wù)（例如身份認(rèn)證），或者是信任根的使能（例如加密操作）；這些安全功能被稱為“可信功能”?？尚殴δ艿臉?biāo)準(zhǔn)接口將由PSA定義，例如：

• 安全認(rèn)證

• 安全存儲/數(shù)據(jù)封裝

• 加密操作

• RNG 和安全時(shí)間服務(wù)

• 安全的固件更新