Arm中国

文章数:441 被阅读:383176

账号入驻

专家答疑,Arm TrustZone, CryptoCell以及CryptoIsland到底什么关系?

2019-11-07
    阅读数:
Q

Arm TrustZone,CryptoCell,以及CryptoIsland分别什么定位,区别是什么?

这个问题,小伙伴们是否也同样有疑惑?近日,Arm中国工程师Ethan Zhang在极术社区为我们进行了详细解答,一起来学习下吧。


TrustZone是Arm架构的一个安全扩展,现在Armv7-A、Armv8-A,以及Armv8-M都是支持的,实现CPU时可以选择是否实现这个安全扩展。现在Arm设计的所有的Cortex-A,以及所有的Armv8-M的CPU都是实现了这个安全扩展。


 

当客户设计SoC时如果用带TrustZone的CPU,也可选择是否使能TrustZone。但是使用带TrustZone的CPU,并不是就意味着SoC就支持TrustZone,因为TrustZone是个系统级别的安全方案,包括硬件和软件。那么即使硬件上支持了TrustZone,也需要软件来配合,例如国内外有很多Secure OS,Secure Service公司提供专业服务。那么一个SoC如果要支持TrustZone,硬件上主要包含了三部分:CPUTrustZone System IPTrustZone Security IP


现在所有的Cortex-A的CPU,和所有Armv8-M的CPU都是实现TrustZone安全扩展的;除了CPU以外,还需要有System IP的支持,例如Bus,GIC,SMMU, Coresight,TZASC等,如果选用Arm的IP都是天生支持的,如果是自己实现的话,需要考虑实现安全扩展。



Security IP也是TrustZone系统中非常重要的一部分,其中CryptoCell就是其中一个Security IP,也通过FIPS认证。CryptoCell 有两个系列,分别是CryptoCell 700系列和CryptoCell 300系列,CryptoCell 700系列主要是针对高性能的安全产品,一般与Cortex-A CPU配合使用,CryptoCell 300系列主要是针对低功耗的产品,一般与Cortex-M的产品配合使用。



这个要特别强调的CryptoCell不是Crypto Engine,而是一个综合安全IP。CryptoCell的定位是支持TrustZone,并且符合Arm TBSA,TBBR,TZMP的安全设计要求,也是目前市场上支持TrustZone最完善的Security IP。CryptoCell 支持常用的加解密算法,它能够与Arm Secure debug完美结合来管理SoC的不同调试权限,并支持TRNG,秘钥存储和管理,key provisioning来简化产线流程,支持生命周期管理限制不同的状态的访问权限,也支持防回滚攻击,具备安全的timer,同时提供secure lib集成到客户方案来实现secure boot和secure update等功能。CryptoCell有非常完善的生态,已经与很多主流的Secure OS进行了集成,大大简化开发流程并提高效率,运用到非常多的领域。当然如果SoC不使能用TrustZone,也可以使用CryptoCell。


CryptoIsland是2017年Arm发布的另外一个Security IP系列,跟CryptoCell有非常大的不同,CryptoCell可以认为SoC里面一个Slave,由CPU来调用才能工作。CryptoIsland可以认为是Subsystem,包含了一个可以防物理攻击的Secure CPU,有单独Bus,单独的timer,ROM,SRAM,甚至可以把CryptoCell312集成到Cryptoisland内部提供安全服务,隔离程度更高,通过后端防护,可以达到CC EAL4+,配合TrustZone可以支持更高安全要求的应用,例如支付、交通卡、SIM、Strongbox,eID等应用,已经被一些想引导安全大厂所采用,提供高安全应用和服务。



总结来说,TrustZone是系统安全方案,CrytoCell是这个TrustZone系统安全的重要的部分,CryptoIsland是针对高安全的应用需求,配合TrustZone系统提供高附加值安全服务。安全不复杂,只要能发现问题,总能够想办法去解决,难点在于不知道潜在的安全需求对系统有哪些安全要求。Arm提供TrustZone,CryptoCell,CrytoIsland就是简化安全需求分析和架构定义,让大家可以更聚焦于高附加值的服务。

想要了解更多,戳“阅读原文”来极术社区与专家互动。


最新有关arm_china的文章

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: TI培训

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved