PSA平台安全架构简介

1．导言
　　物联网（IoT）转型的进程正如火如荼，并有可能改变企业和消费者体验。互联网的这个新阶段能否取得成功，很大程度上取决于数十亿各种互联设备的信任和安全性能。企业需要依靠来自边缘计算的数据才能做出商业决策，而消费者需要确保他们的互联家居和数字生活不会被黑客攻击。近期的攻击和安全研究表明，在极端情况下，设计不佳的连接设备有可能被攻陷并导致互联网基础架构的关键部件被破坏，甚至影响到我们的安全。因此，我们需要能够应对这些威胁并且适用于各种成本点的设备安全。平台安全架构（PSA）的使命就是克服这一挑战。它能够服务于任何设计合理的 Arm 处理器，包括低成本微控制器。
　　安全并非可有可无
　　Arm宣布将推出平台安全架构（PSA）和配套的开源软件计划Trusted Firmware-M。该项目能够提供由硬件支持的可扩展安全性，可应用于成本从低到高的各类设备。其目的是通过共享的最佳实践方法提高整个生态系统的安全性。为此，我们需要转变安全经济学，降低实施强大安全措施的风险、成本、低层次碎片化和复杂性。
　　基于微控制器（MCU）的设备数量急速增长将导致：
　　数十亿种物联网设备和嵌入式连接设备设计，全部基于各种 Arm 解决方案
　　种类繁杂的使用案例和安全健壮性要求
　　来自多家供应商的系统组件集成：硬件、软件和固件
　　各种组件的多样化实施
　　不同项目之间可能无法复用的集成工作
　　本白皮书概述了全新架构——PSA。这种架构将为日益增加的基于MCU的连接设备奠定基于硬件和固件的安全基础。PSA不限定CPU架构，但以基于MCU的设备为优先服务对象，同时也可应用于全面可信执行环境（TEE）太过庞大、太过复杂的其他平台。
　　运行 Linux 等复杂操作系统、Arm TrustZone® 等现有基于硬件的安全产品以及可信执行环境（TEE）的 Arm 应用处理器（即Cortex-A系列）也同样适用。
　　1.1 行业挑战
　　行业面临如下挑战：
　　1.在设备的整个生命周期内实施安全可能代价不菲
　　2.安全设备很难实现规模化管理
　　3.行业对传感器和执行器接收和发送的数据缺乏信心，因此无法全面发掘物联网的经济效益
　　1.2 Arm 对更安全物联网的愿景
　　Arm的安全愿景侧重于三个主要领域：
　　1.转变安全经济学
　　设备的整个生命周期都应当提供用户负担得起的安全性。
　　2.实现规模化安全性
　　物联网的云运营商需要相应的设施来安全、有效地管理海量设备，无论何种设备类型和芯片类型。
　　3.整个价值链的安全
　　物联网的一个主要优点就在于它生成和交换的数据，以及从这些数据中分析提取的信息。企业必须能够判断数据的可靠性，进而实现整个生态系统共享的经济效益。
　　1.3 IP支持
　　Arm现有的安全产品和技术能够帮助移动和上网本市场的硅芯片合作伙伴提高安全性和质量并加快产品的上市速度。Arm现有的安全产品包括：
　　Armv8-A等包含TrustZone的Cortex-A系列
　　Arm可信固件（针对Cortex-A系列），一种开源参考实施，包括可信启动和TEE加载组件
　　将TrustZone引入微控制器市场的Armv8-M架构
　　Arm SecurCore，防篡改处理器系列
　　TrustZone CryptoCell，提供平台级安全服务的安全模块
　　TrustZone CryptoIsland，高度集成式安全子系统，旨在提供片上智能卡级别的安全性
　　Arm Mbed IoT Device Platform，提供相应的操作系统、云服务、工具和开发者生态系统，以实现基于标准的商业物联网解决方案的规模化开发和部署。
　　接下来我们将介绍平台安全架构，为制造更安全连接设备提供方法。
　　2．平台安全架构
　　2.1 目标
　　平台安全架构（PSA）是一个由威胁模型、安全分析以及硬件和固件规范组成的整体。它与开源参考实施共同帮助您在最低的安全层面为所有互联设备实现统一的安全设计。PSA吸收并整合了整个行业的最佳实践。它的服务对象是整个物联网生态系统，从芯片设计师和设备开发者到云和网络基础架构提供商以及软件供应商。
　　PSA 提供了一种无需自行开发所有元件就能构建安全系统的方法。Arm是这个生态系统的领导者，其目标是保护整个互联世界。
　　下列目标概述了确保数十亿设备安全的框架：
　　简化按照安全标准评估物联网设备的过程
　　促进重复利用、提高互操作性和最大程度减少API碎片，进而降低生态系统合作伙伴开发软件的成本和复杂性
　　利用PSA提供的原始资源实现设备安全模型，进而降低SoC设计者的成本和复杂性
　　为了实现上述目标，下列要求必须得到满足：
　　为认证/评估基于Arm的SoC或设备建立基础
　　定义核心安全功能
　　定义沙箱安全模型
　　为第三方软件提供商实施的安全功能定义框架
　　定义基础物联网安全硬件平台
　　为物联网提供健壮的开源参考实施（类似于上网本和移动市场的Arm可信固件）
　　2.2 构建模块
　　PSA 由三个部分组成：
　　1.威胁模型和安全分析，来自各种典型的物联网使用案例
　　2.架构的固件和硬件规范
　　3.固件架构规范的开源参考实施
　　PSA的基础是设备的威胁模型，它们将安全要求延伸至其他各大构件，如图1所示。威胁模型与CPU架构无关，而另外两大构件的作用是为统一的实施提供支持。
　　三大构件之间的关系如图 1 所示。
　　
　　图 1 – PSA 的组成
　　2.3 威胁模型与安全分析
　　设计安全系统时，我们需要结合关键问题进行风险分析并建立威胁模型。这些关键问题包括：
　　我们要保护的资产
　　潜在的威胁
　　潜在攻击的范围和强度
　　潜在攻击者的类型以及攻击方式
　　通过这些研究可以确定安全目标，随后制定减轻此类威胁的安全功能要求。
　　Arm 对相关的物联网使用案例和情境进行了分析。通过分析得出普遍适用的安全原则，然后用它来指导架构规范文件的制定。
　　Arm 使用英语语言保护范围（PP）方法来为评估目标（TOE）制定一系列安全功能要求（SFR）。每一个轮廓都考虑了功能描述、TOE 和必要的安全要求。这些文件要让并非安全专家的工程师能够使用。
　　各种PSA架构规范描述的硬件和软件安全构件提供了满足威胁模型所凸显的安全要求所需的原语。