智东西（公众号：zhidxcom）
文 | 心缘

智东西7月9日消息，今日，Arm PSA技术架构研讨会在北京举行。

Arm是全球领先的半导体IP提供商，全球70%的物联网（IoT）芯片都在使用Arm架构。随着物联网设备迅速发展，物联网设备爆炸式增长，其安全隐患问题也日益引发广泛的关注。

在本次活动上，Arm详细介绍了其针对物联网设备安全问题提出的平台安全架构PSA（Platform Security Architecture），并携手信通院泰尔实验室等合作伙伴共同探讨围绕物联网设备存在的风险问题和解决方案。

活动结束后，智东西等媒体对Arm新兴事业部总监Rob Coombs进行采访。Rob Coombs表示，PSA认证不仅限于Arm架构，同样也适用于非Arm架构的物联网芯片，一级安全认证只需一天就能完成，首批芯片供应商的二级安全认证预计第四季度完成，三级安全认证明年定义完成。

▲Arm新兴事业部总监Rob Coombs

一、平台安全体系结构的四个阶段

从芯片、设备、网络、云到应用，物联网的每一个环节都涉及到安全防范问题。等产品受到攻击时再补救往往是来不及的，要规避安全风险，需在产品设计阶段就开始着手。

为了确保日益多样化的互联设备拥有通用的安全基础，Arm于2017年推出平台安全架构PSA，它提供了一个通用规则，用于降低开发成本、时间和风险，实现成本可控、易实施、低风险的物联网安全基础。

PSA分为四个关键阶段：分析、架构、实施和认证。

（1）分析：根据潜在攻击风险，梳理具体的设备安全需求。这一阶段鼓励OEM厂商根据产品使用场景做尝试。

（2）架构：Arm提供硬件和固件相关文档，包括设计安全设备所必需的安全需求。这一阶段主要供芯片设计厂商花时间去学习和了解相关规格。

（3）实施：Arm提供运行在安全区域的开源参考固件代码。PSA架构规范包含一系列彼此关联的文件，其中TF-M（Trusted Firmware-M）是符合PSA规范、支持Cortex-M系列CPU设备的固件代码。芯片厂商可将源代码移植到自己的平台，总计大概花几周的时间。

（4）认证：提供基于安全实验室评估的三个安全级别。通常只需花1天时间就能完成实验室检查问卷，从开始准备申请到发证共计1周时间。

二、PSA认证：安全认证+功能API认证

产品或设备的鲁棒性很难得知，也就是说，人们很难界定如何抵御哪些攻击，或者安全测试有多彻底。许多物联网产品没有独立的评估，这可能导致被对互联网设备及其数据不可信。

而PSA认证要解决的挑战，正是对物联网设备进行有效的安全测试。

今年2月，Arm宣布与Brightsight、泰尔实验室、Prove&Run、RIscure和UL联合推出PSA认证项目（PSA Certified）。

该认证是一项独立的测试和认证计划，旨在建立对物联网设备的信任，并实现基于PSA框架的安全物联网解决方案的大规模部署。

通过PSA认证的企业，相当于拿到证明自己产品足够安全的保证书，而且PSA认证提供的测试方法既简单又全面，还获得了很好的政府需求支持。

PSA认证包含两部分：

（1）三个安全级别认证

PSA提供三个安全级别认证，以满足不同场景的安全需求，可为芯片、RTOS供应商和设备制造商进行认证。

（2）功能API认证

PSA功能API认证确保正确实现PSA API，帮助建立可信的硬件及软件服务的统一接口。

设备制造商、RTOS供应商和芯片供应商可以运行测试用例，检查其实现是否兼容API及安全功能。

所有设备需要一个信任的基础来构建安全功能，这被称为信任根（RoT）。PSA认证将PSA信任根（PSA-RoT）视为设备的可信根，提供一些列预置的安全功能。

PSA-RoT由可信硬件和可信固件组成，设备从不可更改的引导代码进行引导，目前包含加密、认证、安全启动和安全存储四种安全服务。

PSA认证为PSA架构和PSA信任根（RSA-RoT）的芯片、软件和设备提供评估方案，有助于解决产业链碎片化问题，并简化市场化流程。

三、三个安全认证级别

PSA认证的安全认证包括三个级别。

1、一级：稳健性级别

该认证满足基本安全要求，确保RoT、OS和设备的安全模型目标，符合通用行业及政府物联网安全规范。

这些安全要求不会影响生命安全，也不涉及重大信息泄露危机。

一级认证的门槛相对较低，开发者只需填写实验室检查问卷，交由PSA认证授权的安全实验室审核，审核通过后便可获得安全认证证书。

2、二级：测试实验室评估

PSA安全认证二级基于实验室PSA-RoT防软件攻击和“轻量级”硬件攻击评估，比如防止车载系统被网络黑客攻击。

它主要通过实验室评估和白盒测试进行认证，测试实验室评估大约需要一个月。

3、三级：更多测试项

目前PSA安全认证三级还在开发阶段，预计在明年定义完成。该认证可防御额外的大量软件和硬件攻击，主要针对工业等涉及高安全级别数据信息的应用场景。

实验室根据更高级别的保护轮廓（PP）要求进行测试，包含更多测试项，能防御更复杂的攻击方式。

四、功能API认证

Arm发布PSA developer API，为运行在普通区域的实时操作系统提供接口，供RTOS服务使用，是芯片公司或OEM公司实现信任根服务的抽象接口。

Developer API提供标准接口，以便在不同安全平台上实现，使得软件开发人员可专注于产品功能和缩短上市时间，而无需研究不同平台或芯片间复杂的安全特性和健壮性。

功能API认证使用API测试套件来检查developer API的一致性，使用API测试用例来做测试，API测试用例可确保developer API的实现符合PSA规范。

五、PSA认证适用非Arm芯片，一级安全认证只需一天

活动期间，Arm新兴事业部总监Rob Coombs接受智东西等媒体的采访。

Rob表示，PSA是非常开放的，不仅限于Arm架构，同样也适用于非Arm架构的物联网芯片。未来PSA认证会向更标准化的方向发展，以后会设立专业经理人来处理标准化相关事宜。

目前PSA认证的三个安全认证级别，芯片厂商、RTOS厂商、OEM厂商等都能过一级认证，但二级、三级认证目前只有芯片厂商可以通过。

由于PSA的可信根是PSA-RoT，需从基础芯片开始，因此PSA认证第一阶段锁定在芯片伙伴，目前大部分通过认证的都是芯片公司。在此基础上，RTOS厂商、设备厂商以及软件和应用程序开发人员也会陆续参与PSA认证计划。

PSA认证一级安全认证只需一天时间，属于轻量级认证，这种方式使得厂商们可以低成本的完成认证，结合开源固件设备，立即就可以上手。芯片厂商相对更有能力承担更高安全级别的成本，而下游方案商承担的成本相对较少。

当被问及RSA认证的有效期，Rob称，目前每个认证都标有发证日期，主要是让使用者自行判断认证是否从发证日期到现在依然使用。其官网目前的计划是三年后将相关文件从网站上移除。

伴随着物联网应用快速迭代与更新，PSA认证会根据物联网设备市场在安全方面的进展，每半年或一年根据市场进展更新规范文件。

另外，量子计算等面向未来的前沿科技拥有更强的计算能力，需要更强的加密算法，PSA提供的加密库资料库中的算法也会随之做相应更新。

在实验室的选择上，Rob提到，与Arm合作的几家实验室都有移动装置相关测试经验，信通院泰尔实验室主要面向中国，其他三家实验室则分别面向欧洲和美国 。

据Rob观察，中国市场对安全认证的接受度很高，很多中国品牌厂商或方案解决商有意愿参加PSA认证。Arm在中国有本地化的团队和生态链上下游厂商共同研讨安全问题。

Rob也谈到下一步计划，第一批芯片供应商的PSA认证的二级安全认证将在第四季度完成。他表示，PSA认证已与标准组织GlobalPlatform合作，将对PSA认证的信任贯穿到整个物联网生态。另外，PSA热证也会持续跟踪各地区对物联网安全的需求，每年更新相关文件。

六、互联网设备安全问题与测试

中国信通院泰尔实验室是目前国内唯一的PSA授权实验室，已帮助Nordic、Nuvoton和arm中国等合作伙伴完成PSA level 1认证，他们也正在和几家厂商进行PSA level 2认证。

物联网设备在云、管、端均存在安全风险，比如在设备端，可能遇到本地物理破坏、传感器数据泄露与欺骗、敏感信息泄露、固件篡改和伪造等问题，通信方面则可能遇到控制指令被篡改、被重放以及敏感泄露等问题。

NB-IoT设备进网时主要存在两类安全问题：一是数据传输未加密，二是固件存在刷写风险。

比如密码锁，如果受到安全工具，一次性密码数据可被篡改，而且有限期和使用次数都可以被篡改。

通信安全能力要求具备完整性校验和失败处理能力，可以完成数据加密和密钥管理，还需能防止数据包或报文的重排或重放，并能远程校验设备是否处于可信状态。

安全启动与固件安全更新方面，要求ROM区域执行BootLoader代码，具有不可更改的存储区，并支持非对称机密算法和随机数生成。

总之，物联网设备需要具备五大安全能力：安全存储，物理攻击的防御能力，安全启动与安全更新，加密算法支持，真随机数发生器。

结语：期待更多物联网厂商参与安全认证

中国物联网发展正在进入快车道，规模化落地应用正在加速铺开，与此同时也带来了更为普遍的信息安全威胁，对统一物联网安全认证体系的需求也更加迫切。

如今物联网领域的信息安全认证刚刚起步，需要更多物联网上下游厂商积极参与到RSA认证等安全认证，助力完善安全标准的制定和防护体系的构建，保障物联网产业持续健康稳定的发展。