了解PSA還需知道的這些架構規范文件

PSA架構規范包括一系列彼此關(guān)聯(lián)的文件，如下所列：

? 設備安全模型 – 基礎的信任模型和模式

? 可信設備初始化 – 初始安全設備編程和配置要求

? 可信基礎系統架構 [TBSA-M] – v8-M的硬件平臺要求

? 可信啟動(dòng)與固件更新

? PSA固件框架M [PSA FF] – 受限物聯(lián)網(wǎng)平臺安全處理環(huán)境（SPE）的固件接口定義

? PSA可信功能 – SPE內標準可信設備的定義

設備安全模型

設備安全模型（DSM）定義了在生態(tài)系統內設計和部署 PSA兼容可信設備的總體安全架構。它是其他PSA規范的頂層文件，為它們規定了通用語(yǔ)言、高階魯棒性規則和模型。

DSM的基礎是威脅模型和安全分析針對使用案例提出的建議。雖然DSM與使用案例無(wú)關(guān)，但其最初側重于幾個(gè)選定的物聯(lián)網(wǎng)使用案例。

DSM 包括三個(gè)主要方面：

（1）信任根和相關(guān)安全服務(wù)

（2）根秘密及其存儲、保護和初始化

（3）設備生命周期及其對信任根的影響

可信設備初始化

只有在根秘密和設備固件在安全生產(chǎn)過(guò)程的背景下初始化時(shí)，安全和信任模型才有效。 生產(chǎn)過(guò)程延伸到設備管理，以便向服務(wù)提供商和設備所有者分配設備屬性和固件更新等。

這是一份資料性文件，它指出并討論了對基礎架構和通用框架的一般需求，以促進(jìn)設備安全架構中的這些過(guò)程并以及它們對信任根的依賴(lài)性。配置實(shí)際的工廠(chǎng)供應和設備管理架構應當由行業(yè)利益相關(guān)方負責，或者使用類(lèi)似 Arm Mbed Cloud 的設備來(lái)完成。

可信基礎系統架構（TBSA）

Armv8-M的Arm可信基礎系統架構（TBSA-M）是一系列SoC硬件要求。它適用于基于 Armv8-M的設計，有助于研發(fā)更安全的設備。TBSA-M文件也能為計劃使用Armv7-M架構實(shí)施安全設計的硅芯片制造商提供參考。

TBSA-M包含圍繞Armv8-M處理單元（PE）進(jìn)行系統設計時(shí)適用的最佳實(shí)踐安全原則。這些原則為設計和集成下列植根于硬件的功能特點(diǎn)提供支持：

● 信任根

● 受保護的密鑰庫

● 可信和不可信軟件組件的隔離

● 安全的固件更新機制

● 生命周期管理機制和安全的調試

● 高熵隨機數發(fā)生器；它對可靠的密碼必不可少

● 密碼編譯加速器，其作用是為適當的安全功能保持實(shí)時(shí)功能性

固件框架（PSA-FF）實(shí)現最好能在TBSA-M兼容設計的頂層進(jìn)行，以便實(shí)現安全關(guān)鍵功能性和數據與應用固件數據隔離的安全處理環(huán)境。這樣可以提高設備的可信度，即便出現可能被利用的軟件漏洞。

可信啟動(dòng)與固件更新

可信啟動(dòng)和固件更新規定了確保MCU啟動(dòng)的完整性所必須滿(mǎn)足的系統和固件技術(shù)要求。規范包括以下內容：

● 經(jīng)過(guò)驗證的啟動(dòng)過(guò)程以建立安全運行時(shí)服務(wù)

● 安全的固件更新代理

● 固件更新的認證和授權說(shuō)明，包含密碼證書(shū)和設備密鑰

● 有助于實(shí)現健壯性的建議和最佳實(shí)踐說(shuō)明

規范的范圍與A系列客戶(hù)端設備的可信主板引導要求（TBBR）類(lèi)似。

固件框架（PSA-FF）

固件框架（FF）基于設備安全模型的要求，規定了用于在受限物聯(lián)網(wǎng)設備中隔離可信功能的標準接口和框架?？蚣芴峁?/p>

● 為可信和不可信固件描述隔離運行環(huán)境（分區）的架構

● 描述各個(gè)分區的功能和資源的標準模型

● 用于向其他分區請求服務(wù)的安全 IPC 接口

● 描述分區如何彼此進(jìn)行互動(dòng)的模型，以及硬件和固件框架實(shí)施本身

該規范能夠實(shí)現安全固件功能性的開(kāi)發(fā)，可復用于符合固件框架實(shí)施的不同設備。

PSA 固件框架概況

1、安全分區與隔離

平臺安全架構固件框架（PSA-FF）定義了三個(gè)許可的固件運行隔離層級。這樣可以允許在高度受限的設備中減少隔離。與此同時(shí)，還能在擁有充足的資源的平臺上增加安全性和魯棒性，并且為安全功能提供一致的固件接口。

PSA-FF將系統內的執行劃分為兩個(gè)分區——非安全處理環(huán)境（NSPE）和安全處理環(huán)境（SPE）。NSPE包含應用固件、操作系統內核和庫，通?？刂浦?zhù)大部分輸入/輸出外圍設備。SPE包含安全固件和硬件資源，與 NSPE固件和非安全硬件資源隔離。

PSA-FF將SPE進(jìn)一步劃分為安全分區管理器（SPM）和安全分區。安全分區為安全功能提供執行環(huán)境。SPM運用隔離邏輯來(lái)分隔不同的分區，由平臺硬件使用主側和/或從側過(guò)濾器執行。例如，安全屬性單元（SAU）和存儲保護單元（MPU）可以在新的 Armv8-M平臺中使用。其他平臺可以使用其他機制來(lái)提供類(lèi)似的分區隔離。

2、安全IPC

固件框架定義了基于安全會(huì )話(huà)的IPC機制，可以讓彼此隔離的分區中的固件進(jìn)行互動(dòng)。具體說(shuō)來(lái)，IPC框架讓一個(gè)分區內的固件可以通過(guò)標準接口向另一分區內的固件請求服務(wù)。API要求由分區之間的框架來(lái)復制消息，進(jìn)而消除直接共享內存帶來(lái)的脆弱性風(fēng)險。

3、安全功能

PSA-FF 將安全性功能顯示為一系列安全功能。每一項安全功能都是安全分區中實(shí)施的一系列相關(guān)安全操作。每一個(gè)安全分區能夠支持多項安全功能。

不同的芯片合作伙伴可以為標準安全功能（SF）提供他們自己的插件實(shí)現。固件框架通過(guò)預定義的API和調用語(yǔ)義將SF實(shí)施抽離。芯片和其他合作伙伴也可以定義他們自己的安全功能實(shí)現，以便提供針對平臺的服務(wù)或更高水平的安全服務(wù)。

有關(guān)固件框架的更多詳情見(jiàn) PSA 固件框架-M [PSA-FF] 規范。

可信功能

有些安全功能提供信任根服務(wù)（例如身份認證），或者是信任根的使能（例如加密操作）；這些安全功能被稱(chēng)為“可信功能”?？尚殴δ艿臉藴式涌趯⒂蒔SA定義，例如：

● 安全認證

● 安全存儲/數據封裝

● 加密操作

● RNG 和安全時(shí)間服務(wù)

● 安全的固件更新