datasheet

为确保万亿物联网安全,Arm正在下着一盘大棋

2019-07-11来源: EEWORLD关键字:Arm  PSA  IoT  物联网  安全

2017年10月,Arm针对物联网安全推出PSA(Platform Security Architecture)平台安全架构,以保护未来万亿个联网设备的安全为愿景。

Arm 新兴事业部总监Rob Coombs近日在北京举行的Arm PSA安全架构技术研讨会上说道:“目前有全球有80亿的物联网设备,随着物联网产业的蓬勃发展, 3年之后,预计物联网设备会从到80亿达到240亿,在未来6年内,在芯片、软件以及产品设备领域,物联网都有一个非常大的商机。Arm认为随着物联网、5G还有AI技术的快速发展,全球第五波计算时代将迎来很大的机遇,Arm的愿景是在2035年实现1万亿个物联网设备。”


图片.png

Arm 新兴事业部总监Rob Coombs


物联网安全刻不容缓

随着物联网的发展,近年来所部署的连接设备也与日俱增,这促使针对物联网的攻击数量急剧上升。这些攻击凸显了一个非常现实的需求:为互联设备的整个价值链提供更有效的安全措施。这个价值链包括了如能源设施、车联网等基础设施,也包括网络摄像头和智能照明等低成本设备。安全漏洞为物联网互联设备带来诸多问题。机密信息泄露、个人数据被盗、联网系统失控以及关键基础设施停工,所有这些都是高风险领域。

物联网服务的快速发展基于种类丰富越来越多的设备联网,例如传感器、传动装置或是网关等。但是,这些设备并非全部都具有高价值和高规格,其中有很大一部分都是小型的低成本设备。尽管如此,经常会发生的一些备受瞩目的攻击事件已经表明,即便是低成本的设备也必须确保安全,因为它们很可能成为黑客攻击大型系统的入口。总而言之,物联网上连接资产数量正在增加,黑客的攻击面也随之扩大。因此,需要更强大、可扩展的防御系统。

Rob表示,如今手机已经是非常安全的联网产品了,最重要原因在于以下几点:手机品牌商的重视、芯片供应商只有几个、有限的操作系统厂商和OTA升级服务商、拥有基于“安全组件”的安全架构,通过高质量的开源软件实现生态系统以及OEM对芯片供应商和OS供应商方案的了解等。


图片.png
然而物联网市场是一个严重“碎片化”的市场,从芯片供应商到OEM,从开源软件到OTA,均是如此。

但Rob同时认为,物联网是个比移动市场规模大许多倍的市场,因此尽管有许多难处,但Arm一直在承诺给市场带来更好的安全性。


图片.png

针对物联网领域的碎片化,很难有一种行之有效且全面的安全防护机制。


PSA认证填补产业空白

平台安全架构是一个由威胁模型、安全分析、以及硬件和固件架构规范组成的整体。PSA 提供了一个基于行业最佳实践的框架,通过它可以在硬件和固件层面实现一致的安全设计。它为制造更安全的设备提供了通用规则和更加经济的方法。


在PSA刚刚推出时,Arm给出了框架的三部分内容,如下:

1.分析:根据潜在的攻击风险,梳理具体的设备安全需求。

2.架构:Arm提供了硬件和固件相关文档,包含设计安全设备的所必需的安全需求。

3.实施:Arm提供了运行组安全区域的开源参考固件代码。TF-M是符合PSA规范,支持Cortex-M系列CPU设备的固件代码。

4.认证:

2019年2月份开始,Arm启动了PSA的第四阶段,就是PSA的认证。这是PSA框架中最新的部分,是Arm与Brightsight、中国信息通信研究院泰尔终端实验室、Riscure和UL等独立安全测试实验室,以及咨询机构Prove&Run联合推出的认证项目,以支持基于平台安全架构(PSA)框架的安全物联网解决方案的大规模部署。通过独立安全测试,PSA认证项目可帮助物联网解决方案开发商和设备制造商对来自种类繁多的物联网设备的数据,建立安全性和真实性。


图片.png

正如Arm官方所说,“我们很难知道产品或设备的鲁棒性有多强,或者安全测试有多彻底,这使得很难决定选择哪种产品或设备。许多物联网产品没有独立的评估,这可能导致对互联网设备及数据的不可信。这正是PSA认证所要解决的挑战:对物联网设备进行有效的安全测试,克服阻碍物联网增长的巨大障碍。PSA认证为使用PSA架构和PSA信任根(RSA-RoT)的芯片、软件和设备提供评估方案。它将有助于解决产业链的碎片化,并简化芯片供应商、操作系统、中间件开发者、OEM和系统集成商的市场化流程。

PSA认证项目提供了一种简单、全面的安全测试方法。该认证由两部分组成:多级安全稳健性方案和专为开发人员设计的API测试套件。安全测试由第三方实验室评估,独立检查物联网平台的通用部分,包括PSA信任根(信任根是完整性和机密性的根本)、实时操作系统(RTOS)和设备本身。

Rob表示,PSA的可信根是一切的基础,因此PSA的第一阶段就锁定了芯片伙伴。芯片厂商的出货量大,而且有能力也有意愿为安全功能付出成本,这样对产业链下游来说,他们要承担的时间或认证成本会相对比较少。有了这样一个很好的基础之后,接下来就会开始进行RTOS、OEM、设备厂商甚至云服务提供商进行PSA的相关认证。

图片.png
从底层芯片开始,到设备、数据以及处理,只有最基础的单元实现安全性,才有可能向上层实现更好的安全性。

PSA认证项目通过三个渐进安全层级保证,为其应用场景获取所需的安全性。例如,部署在露天环境的温度传感器所需的安全稳健性(级别1),可能与部署在家庭环境(级别2)或工业厂房(级别3)的不同。测试之后,所有通过PSA认证的设备将获得电子签署的报告卡(证明凭证),用于确定所能达到安全级别,为企业和云服务供应商做出基于风险的决策提供依据。

在物联网安全领域,Arm一直在努力


除了一直以来针对实时安全性(safety)所推出的Cortex-R处理器之外,2016年,Arm针对物联网安全(Security)领域还推出了Cortex-M23/M33 处理器,基于Arm公司最新的ARMv8-M架构,相比上一代Cortex-M0/0+、Cortex-M3、Cortex-M4和Cortex-M7等ARMv7-M架构,新架构引入了TrustZone技术。通过在整个处理器系统中创建独立的可信和非可信态,TrustZone能够确保数据、固件和外设的安全性。


在TrustZone技术中,有一个称作Cryptocell的硬件加密/加速技术。2015年7月,ARM公司收购了以色列物联网安全网络专家Sansa(该公司的前身是Discretix),获得了Cryptocell技术。ARM将Cryptocell与ARM原有的TrustZone安全技术整合在一起,使得系统的安全性得到最大程度的提升。


也就是说,TrustZone将系统划分为安全世界和非安全世界两部分。非安全核仅能访问非安全世界的资源,而安全核能访问所有资源。Cryptocell属于硬件加密/加速技术,对于追求硬件性能的系统,TrustZone Cryptocell技术可以在有限的功率预算下获得突出的系统性能。(以上摘自EECHINA)


如今,随着几家芯片公司推出Cortex-M23/33处理器,并且开源的Trusted Firmware 软件支持PSA functional API也已完成,Arm的PSA认证得以顺利进行。今年2月份第一批PSA一级认证已经完成,预计四季度推出2级安全认证。

Rob表示,在PSA一级认证中,实验室只需要花一天的时间就可以完成问卷认证的部分,所以如果芯片公司严格按照PSA框架要求,那么一级认证会非常容易。

PSA的三级认证预计2020年完成,“希望它可以覆盖智能手机上的可信执行环境和安全等级,可以保护指纹识别还有移动支付等的应用。”Rob说道。

Arm下大力度建设PSA认证平台

Rob表示,PSA的出发点是满足最基础层的安全需求,尽管物联网是碎片化的,但不同的物联网可以拥有共通的安全的要求,所以希望PSA能够涵盖80%的物联网的应用。在满足基本安全要求之后,也会和一些垂直行业的相关的认证组织沟通合作,比如工业或者是医疗应用领域,看如何让他们参考PSA的认证。

Rob也强调,PSA是一个开放的平台,也可以用非Arm的处理器架构的产品来进行PSA认证。目前PSA认证正在在朝向标准化的方向走,今后会有认证领域的专业经理人,以及有计划跟一个全球化标准组织(Global Platform)合作,让整个PSA变成一个标准化的平台,以协会方式、以更独立、更开放的方式来运作。

目前,PSA认证项目已经得到了众多领先的芯片和物联网平台供应商的青睐。其中包括众多芯片厂商,赛普拉斯、Microchip、Nordic Semiconductor、新唐科技、恩智浦、意法半导体和Silicon Labs,同时也包括ZAYA、利尔达、Arm MBed等OS。

针对芯片而言,目前通过PSA认证的绝大部分产品都采用了M23/M33处理器架构,但赛普拉斯PSoC64采用的是Cortex-M4F内核,同样通过了认证。Rob表示,PSA认证的标准主要是看安全功能是否满足,PSoC 64安全MCU器件就提供隔离式信任根,具有真正证明和配置服务。此外,随着越来越多的物联网设备采用Cortex-A处理器,未来PSA认证也会增加这一部分的认证。

Arm专门为PSA认证设立了一个网站,https://www.psacertified.org/,.org也代表着未来该认证将以组织的形式开展,有关认证的标准、流程、产品等都可以从中查询。


生态系统共同支撑PSA认证

众所周知,Arm在生态系统平台化建设方面一直属于业界领先水平,PSA认证同样如此。PSA主要面向物联网芯片及底层信任根及可信固件方面作安全认证,为满足不同垂直应用通用的安全需求提供认证的基线安全平台环境,所以需要越来越多企业参与进来。

十几年前Rob在Arm移动设备业务部门工作,因此经常会来中国,也非常了解中国市场,但这是他第一次在中国推荐PSA认证项目。“中国有很多OEM或方案商有意愿参与PSA认证,我们也建设了一个本地化团队负责产业链上下游的安全问题探讨,共同推动PSA项目的引入和发展。”

实际上,目前PSA认证还没有OEM们通过,但Arm已经做好准备随时欢迎这些厂商通过一级认证。“除此之外,中国有一些OEM商用的自己的软硬件平台,我们也会支持这类用户。”Rob补充道。

为了更好地建设生态系统,Arm在中国、北美及欧洲都选择了大型的认证实验室,可覆盖不同区域,同时这些实验室一直也是Arm的合作伙伴,在移动设备的可信执行环境相关测试中都有着广泛经验,Rob也期待着这些合作伙伴在物联网领域也可以继续保持密切合作。

图片.png
我们从PSA安全架构技术研讨会的安排来看,参与厂商包括了独立测试机构、芯片厂商、OS厂商、终端方案商、咨询公司和云厂商,都来给PSA认证站台。

泰尔实验室詹鹏翼表示,目前物联网存在着OTA安全风险 、通信数据安全风险,认证环节安全风险、设备安全风险等诸多问题,在泰尔实验室进行的物联网设备攻击实验中,智能门锁很轻易就被破解,包括一次性截获密码、OTA攻击、物理干扰等方式都可以实现破解。为此,詹鹏翼表示,物联网设备的安全测试需要全面的软硬件测试,包括安全启动故障注入、密钥暴力破解、侧信道密钥恢复、随机数测试等硬件层面测试,以及包括固件刷写、API模糊测试、回滚测试等软件层面。

作为国内官方测试机构,泰尔实验室也是目前国内唯一PSA授权实验室,包括Nordic、新唐和Arm China等,都是泰尔实验室帮助完成的PSA一级认证。


图片.png

中国信通院泰尔实验室所总结的物联网设备安全问题


Brightsight张凯帆表示,Brightsight是和Arm合作最多的实验室,目前已经通过PSA一级认证的26个产品中,有20个是和Brightsight合作,包括NXP、Microchip、利尔达、ST等。张凯帆说道:“物联网是碎片化市场,终端厂商没有足够的安全能力,只能依靠别的厂商方案,没有一个评判标准,对于终端厂商选择方案时,缺乏相应的参考,最后可能只能依靠价格而定,PSA认证可以很好地解决这一问题。所以我也认为Arm是维护物联网安全的重要推动力。”

张凯帆解释道,PSA的认证是“堆”上去的,比如利尔达的OS,就是采用了STM32的芯片进行认证,但利尔达可以复用ST的各种认证。“使用拿到PSA认证的芯片,相对会更容易通过验证。”

但张凯帆也强调,PSA只是一个普适平台,终端产品很难用PSA来取代工信部的种种安全要求,但基础性的要求都可以通过PSA来满足。


紫光展锐高级总监余庆华介绍了紫光展锐在云、边缘侧、终端侧的全面安全战略布局。紫光展锐基于双核Arm Cortex-M33开发出的双频WiFi 5芯片,实现了可信操作分区和安全的外围设备,具有安全启动和存储密钥保护和证明。余庆华表示,这将是一款聪明且安全的路由器,在整个生命周期内都有保护,最终结束阶段也不会泄密,同时这也将是一款聪明的路由器,包括整个家庭安全控制,AI相关推理策略都可以执行。

意法半导体Christophe Mani介绍了ST通用微处理器在安全上的布局,他表示ST一直将安全视为通用MCU最基础的要素之一,也对PSA认证给予了肯定。同时,他透露目前ST正在进行PSA第二级认证,安全等级与EAL2相当,总计需要25天左右时间。

新唐科技技术副总监曾经翔表示,过去对MCU厂商来说安全考量就是保护代码,而随着物联网时代的到来,破解入侵手段更多,给安全防护技术带来了全新的要求。


图片.png

物联网时代MCU与传统时代相比,需要增加更多安全方面的功能。


曾经翔说道,目前MCU做起来门槛很低,包括Arm等公司提供内核,使得很多厂商都进入到这一领域,但MCU依然是一个差异化的竞争市场,产品依然会有具体的细分差异化,这主要体现在:1,架构设计,包括摆放IP位置,性能与功耗的权衡等;2,模拟IP,以前MCU主要是卖Flash和RAM,但现在大多数MCU都集成更多的模拟外设,同时模拟IP不容易买到,需要自己的核心开发团队;3,低功耗设计;4,软件与开发工具;5,安全,包括安全存储,安全执行以及安全连接。

新唐科技的M2351成为业界首颗以Cortex-M23内核通过PSA 一级认证的安全物联网微控制器,预计2019年完成二级认证。正因为具有高安全性,这款产品可与指纹识别模块一起用在身份认证U盘上,实现双安全机制FIDO认证。或者用在安全通讯模块、物联网门锁等对安全级别有要求的场合。

曾经翔总结道,Armv8-M架构让MCU的安全再升级,而PSA为物联网MCU带来了一个可以依循的安全标准,尽管如此,安全MCU的市场仍需要持续的推广和教育,让产业链对物联网安全产生足够的重视。

关键字:Arm  PSA  IoT  物联网  安全

编辑:冀凯 引用地址:http://news.eeworld.com.cn/IoT/ic467386.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:联发科技AI合作伙伴大会召开 共同推进全产业AIoT发展
下一篇:苹果将在浦东开启设计开发加速器

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

Arm Pelion物联网平台落地,率先选择了中国联通

今年二月的巴塞罗那国际移动通讯展上,Arm与中国联通签署了Pelion合作项目,首次公开了双方合作计划。不到半年时间之后,2019年7月18日双方共同对外召开了物联网平台部署成功发布会,标志着双方基于Arm Pelion设备管理平台和Mbed OS操作系统所打造的全新物联网平台正式在中国落地。据悉,目前该平台已吸引包括海尔数字科技、天正电气、暨联牧科、鲁邦通在内的多家合作伙伴加入。Pelion物联网平台部署成功发布会,左为Arm高级副总裁兼物联网云服务总经理Hima Mukkamala,右为中国联通物联网有限责任公司总经理陈晓天双方的合作契机无论是Arm还是中国联通,都将物联网当做公司未来发展重点。“Arm是全球领先的技术型公司
发表于 2019-07-22
Arm Pelion物联网平台落地,率先选择了中国联通

2019 Arm人工智能开发者全球峰会圆满举办

2019 第二届Arm人工智能开发者全球峰会今天在上海圆满举办。今年的峰会以“共塑AI精彩未来” (Together, making AI different) 为主题,由上海市徐汇区政府指导,Arm中国及Arm人工智能生态联盟 (AIEC) 联合主办,并得到了多家全球及中国人工智能产业领导企业的大力支持。今年的峰会共吸引了超过一千名国内人工智能软硬件开发者的踊跃报名,再次刷新了第一届峰会创下的Arm中国历年活动报名人数之最的记录。 在今天上午举行的峰会主论坛上,来自Arm中国、Google、百度、微软-仪电人工智能创新院的技术专家和与会开发者分享了各自团队在AI开发领域的最新成就,为开发者展示了Arm人工智能生态
发表于 2019-07-19

从Mac换芯看国内ARM架构芯片应用前景

近期一条关于苹果公司挖走ARM首席架构师的新闻,又将Mac换芯战略带入大家视野。Mac系列笔记本和台式电脑现在使用的是X86架构,具体来讲使用的是Intel的Core系列和Xeon系列,和大多数Windows系统的PC使用的是同一类型的CPU。其实Mac在苹果公司成立的四十多年里已经经历了两次重要的换芯。第一次是1994年至1996年从Macintosh 128K芯片转向摩托罗拉的PowerPC架构芯片;第二次是2005年由乔布斯主导的将Mac所用摩托罗拉芯片转向Intel芯片。给一个出货量如此巨大的电脑产品更换底层的芯片架构,从来都不是一件容易的事,这需要对整个软件生态进行重构,最困难的是,重构的结果不能对开发者和用户造成影响
发表于 2019-07-19
从Mac换芯看国内ARM架构芯片应用前景

Arm联手中国联通完善中国物联网生态发展

Arm宣布与中国联通旗下联通物联网有限责任公司(以下简称“物联网公司”)的合作取得了最新进展,Arm已成功部署基于Arm Pelion设备管理平台与Mbed OS操作系统所打造的全新物联网平台,加速推进和完善中国物联网生态发展。Arm预测,到2035年,从受限设备到全功能终端节点或网关等物联网设备数量将达到1万亿台,所有设备都将需要安全的远程管理。为此,Arm推出Pelion物联网平台,整合设备管理、连接管理、数据管理功能,加上专为物联网设计的Mbed OS操作系统,支持任意设备进行灵活的云端部署,进一步消除物联网复杂性与碎片化的阻碍。 Arm于今年二月巴塞罗那MWC上首次公开与中国联通物联网的深度
发表于 2019-07-18
Arm联手中国联通完善中国物联网生态发展

力推万亿智能互联技术浪潮,Arm中国“极术社区”正式发布

在上海举行的2019第二届Arm人工智能开发者全球峰会上,Arm中国正式发布了由其发起的“极术AIoT开发者社区”(www.aijishu.com)。该社区由Arm中国携手中国领先的中文技术交流平台思否(SegmentFault)以及Arm中国生态重要合作伙伴开放智能机器(OPEN AI LAb)和移知科技,专门为中国AIoT开发者搭建,旨在为广大的软硬件开发者提供一个自由交流的平台和答疑解惑的渠道,借助强大的Arm全球及中国生态系统资源,助力中国开发者轻松的进入AIoT领域,将更多创意和创新付诸实践,积极应对下一波万亿智能互联技术浪潮所代表的巨大的市场机遇。         
发表于 2019-07-18
力推万亿智能互联技术浪潮,Arm中国“极术社区”正式发布

上海高校研究生脑洞打开,“Arm杯”刮起创新风暴

7月12日,“兆易创新杯”第十四届中国研究生电子设计竞赛“Arm杯”上海赛区在上海理工大学军工路校区体育馆正式拉开帷幕,来自上海16所高校的一千多名同学带着300多项最新电子设计作品和商业计划书参与本次角逐。当天下午2点,虽然比赛还未正式开幕,但所有团队都已准备就绪,等待着众人的审视与评委的指导。 中国研究生电子设计竞赛是由教育部学位与研究生教育发展中心、全国工程专业学位研究生教育指导委员会、中国电子学会联合主办的研究生学科竞赛、是学位中心主办的“中国研究生创新实践系列大赛”主题赛事之一。本届大赛上海赛区由教育部学位与研究生教育发展中心,中国电子学会和全国工程专业学位研究生教育指导委员会主办,上海理工大学党委研究生工作部
发表于 2019-07-17
上海高校研究生脑洞打开,“Arm杯”刮起创新风暴

小广播

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2019 EEWORLD.com.cn, Inc. All rights reserved