在不久前結束的第四屆世界互聯網大會上，Arm平臺安全架構（PSA）入選“世界先進科技成果”發布。《平臺安全架構概述》白皮書重磅分享，一起更深入的了解PSA。

導言

物聯網（IoT）轉型的進程正如火如荼，并有可能改變企業和消費者體驗，其能否取得成功，很大程度上取決于數十億互聯設備的信任和安全性能。企業需要依靠來自邊緣計算的數據做出商業決策，而消費者需要確保他們的智能設備不被黑客攻擊。近期的攻擊和安全研究表明，設計不佳的連接設備有可能被攻陷并導致互聯網基礎架構的關鍵部件被破壞，甚至影響到我們的安全。因此，我們需要能夠應對這些威脅并且基于成本考慮設備的安全，平臺安全架構（PSA）的使命就是克服這一挑戰，服務于任何設計合理的 Arm 處理器，包括低成本微控制器。

安全并非可有可無

Arm宣布將推出平臺安全架構（PSA）和配套的開源軟件計劃Trusted Firmware-M。該項目能夠提供由硬件支持的可擴展安全性，可應用于成本從低到高的各類設備。其目的是通過共享的最佳實踐方法提高整個生態系統的安全性。為此，我們需要轉變安全經濟學，降低實施強大安全措施的風險、成本、低層次碎片化和復雜性。

基于微控制器（MCU）的設備數量急速增長將導致：

數十億種物聯網設備和嵌入式連接設備設計，全部基于各種 Arm 解決方案

種類繁雜的使用案例和安全健壯性要求

來自多家供應商的系統組件集成：硬件、軟件和固件

各種組件的多樣化實施

不同項目之間可能無法復用的集成工作

本白皮書概述了全新架構——PSA，這種架構將為日益增加的基于MCU的連接設備奠定基于硬件和固件的安全基礎。PSA不限定CPU架構，但以基于MCU的設備為優先服務對象，同時也可應用于全面可信執行環境（TEE）太過龐大、復雜的其他平臺。

運行 Linux 等復雜操作系統、Arm TrustZone? 等現有基于硬件的安全產品以及可信執行環境（TEE）的 Arm 應用處理器（即Cortex-A系列）也同樣適用。

1.1 行業挑戰

行業面臨如下挑戰：

在設備的整個生命周期內實施安全可能代價不菲

安全設備很難實現規模化管理

行業對傳感器和執行器接收和發送的數據缺乏信心，因此無法全面發掘物聯網的經濟效益

1.2 對更安全物聯網的愿景

Arm的安全愿景側重于三個主要領域：

轉變安全經濟學

設備的整個生命周期都應當提供用戶負擔得起的安全性。

實現規模化安全性

物聯網的云運營商需要相應的設施來安全、有效地管理海量設備，無論何種設備類型和芯片類型。

整個價值鏈的安全

物聯網的一個主要優點就在于它生成和交換的數據，以及從這些數據中分析提取的信息。企業必須能夠判斷數據的可靠性，進而實現整個生態系統共享的經濟效益。

1.3 IP支持

Arm現有的安全產品和技術能夠幫助移動和上網本市場的硅芯片合作伙伴提高安全性和質量并加快產品的上市速度。Arm現有的安全產品包括：

Armv8-A等包含TrustZone的Cortex-A系列

Arm可信固件（針對Cortex-A系列），一種開源參考實施，包括可信啟動和TEE加載組件

將TrustZone引入微控制器市場的Armv8-M架構

Arm SecurCore，防篡改處理器系列

TrustZone CryptoCell，提供平臺級安全服務的安全模塊

TrustZone CryptoIsland，高度集成式安全子系統，旨在提供片上智能卡級別的安全性

Arm Mbed IoT Device Platform，提供相應的操作系統、云服務、工具和開發者生態系統，以實現基于標準的商業物聯網解決方案的規模化開發和部署。

平臺安全架構
2.1 目標

平臺安全架構（PSA）是一個由威脅模型、安全分析以及硬件和固件規范組成的整體。它與開源參考實施共同幫助您在最低的安全層面為所有互聯設備實現統一的安全設計。PSA吸收并整合了整個行業的最佳實踐。它的服務對象是整個物聯網生態系統，從芯片設計師和設備開發者到云和網絡基礎架構提供商以及軟件供應商。

PSA 提供了一種無需自行開發所有元件就能構建安全系統的方法。Arm是這個生態系統的領導者，其目標是保護整個互聯世界。

下列目標概述了確保數十億設備安全的框架：

簡化按照安全標準評估物聯網設備的過程

促進重復利用、提高互操作性和最大程度減少API碎片，進而降低生態系統合作伙伴開發軟件的成本和復雜性

利用PSA提供的原始資源實現設備安全模型，進而降低SoC設計者的成本和復雜性

為了實現上述目標，下列要求必須得到滿足：

為認證/評估基于Arm的SoC或設備建立基礎

定義核心安全功能

定義沙箱安全模型

為第三方軟件提供商實施的安全功能定義框架

定義基礎物聯網安全硬件平臺

為物聯網提供健壯的開源參考實施（類似于上網本和移動市場的Arm可信固件）

2.2 構建模塊

PSA 由三個部分組成：

威脅模型和安全分析，來自各種典型的物聯網使用案例

架構的固件和硬件規范

固件架構規范的開源參考實施

PSA的基礎是設備的威脅模型，它們將安全要求延伸至其他各大構件，如圖 1所示。威脅模型與CPU架構無關，而另外兩大構件的作用是為統一的實施提供支持。

PSA 的三大構件組成

2.3 威脅模型與安全分析

設計安全系統時，我們需要結合關鍵問題進行風險分析并建立威脅模型。這些關鍵問題包括：

我們要保護的資產

潛在的威脅

潛在攻擊的范圍和強度

潛在攻擊者的類型以及攻擊方式

通過這些研究可以確定安全目標，隨后制定減輕此類威脅的安全功能要求。Arm 對相關的物聯網使用案例和情境進行了分析。通過分析得出普遍適用的安全原則，然后用它來指導架構規范文件的制定。

Arm 使用英語語言保護范圍(PP)方法來為評估目標（TOE）制定一系列安全功能要求（SFR）。每一個輪廓都考慮了功能描述、TOE 和必要的安全要求。這些文件要讓并非安全專家的工程師能夠使用。

各種PSA架構規范描述的硬件和軟件安全構件提供了滿足威脅模型所凸顯的安全要求所需的原語。

一個儀表的高層次安全分析示例

2.4 架構規范文件

PSA架構規范包括一系列彼此關聯的文件，點擊此處可以了解更多。

2.5 Trusted Firmware-M（TF-M）參考實現

Trusted Firmware-M是一個開源計劃，其作用是為基于M系列平臺的物聯網設備提供 PSA 固件規范的參考實現。TF-M 將公開托管在 GitHub 上，與目前針對 Cortex-A 驅動的移動和翻蓋設備的 A 計劃 Arm Trusted Firmware 類似。其他生態系統合作伙伴可能提供其他實現。

TF-M將在 Armv8-M主線（Cortex M33）上處理PSA固件運行隔離層級1，并將為更高層級的隔離類型提供更多支持。其他內核將在今后進行處理。

初始版本旨在提供：

SSE-200的受限PSA運行隔離層級1的實施（Arm Musca-A1 測試芯片主板）

操作系統支持

- 初始版本主要針對Mbed操作系統

- RTX 被用于原型創建工作，發布時將提供有限支持

啟動加載程序，為安全和非安全鏡像提供認證啟動

基于cmake和GNU工具鏈的跨平臺構建系統

從一開始就支持的GCC和ARMCLANG編譯器

固件更新例子

2.6 生態系統使能

下面是開發中的生態系統使能支持工具：

Arm Cortex-M原型系統（MPS2和MPS3）以及Arm Musca-A1測試芯片主板，用于實現開發

Trusted Firmware-M：Armv8-M 平臺安全架構的開源參考實施

Mbed操作系統：基于MCU的物聯網設備的開源平臺操作系統，針對所有Arm Cortex-M目標提供PSA的優化實施

Arm KEIL開發系統，用于安全和非安全的軟件開發、調試和驗證

豐富的工具支持

安全評估與兼容性

兼容性有兩根軸：

1. 功能性

2. 魯棒性

功能性兼容指的是硬件和固件規范得到滿足，例如使用了正確的硬件組件并實現了預期的API功能。僅靠功能性兼容并不能得出滿足設備總體安全性要求的結論，還需要魯棒性這根軸。Arm將為功能性硬件要求提供驗證套件，Arm也可能為固件規范提供驗證套件。

威脅模型和安全分析構成魯棒性兼容的基礎，Arm正積極與合作伙伴共同確定評估價值鏈安全魯棒性的最佳方法，從硅芯片制造商到管理設備的物聯網云公司。不只是Arm的物聯網安全性產品，所有根據PSA開發的產品也都將受益于Arm技術的基線安全魯棒性。

總結

平臺安全架構（PSA）轉變了連接設備的安全經濟學。PSA將行業最佳實踐匯總成一整套架構文件、安全分析和要求，并提供開源參考固件實現。

Arm的持續投入將在整個生態系統內實現解決方案的持續發展、改進和采用。我們將推出多種與PSA協同的硬件安全解決方案，以提供必要的安全魯棒性。例如，PSA將與多種Arm微控制器和系統IP協同工作，包括 Arm TrustZone CryptoCell。

通過減少低級別安全碎片，Arm旨在建立服務于所有人的安全生態系統，包括芯片合作伙伴、OEM、平臺所有者、服務提供商、消費者和更廣大的開發者群體。我們邀請 Arm 生態系統在PSA和Trusted Firmware-M的基礎上開展并擴大我們的工作。

在2017年第四季度Arm為NDA合作伙伴提供開源計劃的有限訪問權限，全面訪問將在2018年初開放。