85、PSA Certified：物联网安全的全面解决方案

PSA Certified：物联网安全的全面解决方案

1. 威胁模型与安全分析（TMSA）

TMSA适用于最常见的物联网应用。目前，可用的TMSA文档有：
- Asset Tracker TMSA
- Smart Water Meter TMSA
- Network Camera TMSA

这些文档使用的术语与行业标准（如通用标准）保持一致。以TMSA为起点，可以定义安全目标和详细的安全功能要求（SFRs）。虽然现有的TMSA文档不能涵盖所有物联网应用，但对于想要为自己的物联网项目创建TMSA的系统设计师来说，它们是很好的起点。

2. PSA认证的四个阶段

PSA认证通过四个阶段来满足物联网产品的安全需求，具体如下：
| 阶段 | 描述 |
| — | — |
| 分析（Analysis） | 定义安全目标和详细的安全功能要求，可参考TMSA文档。 |
| 架构（Architect） | 定义满足第一阶段确定的安全要求所需的架构。 |
| 实施（Implement） | 实施安全系统，包括开发安全软件。 |
| 认证（Certify） | 对产品的安全能力进行独立评估和认证。 |

2.1 架构阶段（Architect）

架构阶段需要定义满足第一阶段确定的安全要求的架构，涉及一系列规范，涵盖多个主题：
- 安全模型（PSA - SM） ：详细说明了所有产品安全设计的顶级要求，概述了具有已知安全属性的产品设计的关键目标，还为PSA认证提供了重要术语和方法。
- “适用于Armv6 - M、Armv7 - M和Armv8 - M的PSA可信基础系统架构”（TBSA - M） ：基于Arm Cortex® - M处理器的微控制器和SoC硬件设计的规范文档。
- 可信引导和固件更新（PSA - TBFU） ：涵盖固件引导和更新的系统和固件要求的规范。
- 适用于M的PSA固件框架（PSA - FF - M） ：基于Cortex - M的产品上安全应用的标准编程环境和基本信任根（RoT）的规范。
- 适用于A的PSA固件框架（PSA - FF - A） ：基于Cortex - A的产品上安全应用的标准编程环境和基本信任根（RoT）的规范。

对于旨在获得PSA功能API认证的产品，所使用的软件框架需要遵循PSA - FF - M/A中定义的要求。

2.2 实施阶段（Implement）

实施安全系统的第三阶段是实际的实施过程。实施安全软件需要大量知识，软件开发人员除了要了解处理器的安全特性外，还需要了解密码学等专业主题，例如各种软件攻击形式以及如何防止它们发生。

基于PSA功能API，安全固件为底层信任根硬件和安全特性提供了一致的接口。这些API分为三个领域：
- PSA功能API，供RTOS和软件开发人员使用。
- PSA固件框架API，供安全专家使用。
- TBSA API，供硅制造商使用。

由于大多数连接设备的固件框架具有共性，Arm提供了一个名为Trusted Firmware - M（TF - M）的PSA固件框架的开源参考实现。它提供了PSA固件框架API和PSA功能API的源代码。TF - M还提供硬件抽象层（HAL）API，虽然它们与TBSA API不同，但涵盖了TBSA规范要求的功能。

TF - M专为Arm Cortex - M处理器设计，可与具有TrustZone安全隔离功能的Armv8 - M处理器一起使用，也可用于多个Cortex - M处理器的系统，利用处理器之间的隔离来提供安全功能。为了帮助安全软件开发人员测试移植到他们设计中的Trusted Firmware - M软件，TF - M附带了一个API测试套件。总体而言，TF - M的推出使整个物联网生态系统的安全变得更加容易，并为安全认证开辟了道路。

2.3 认证阶段（Certify）

认证阶段使产品的安全能力能够以切实的方式进行衡量。PSA认证的认证阶段是由七个创始人开发和维护的独立评估和认证方案（https://www.psacertified.org/what - is - psa - certified/founding - members/）。通过PSA认证方案，带来了以下好处：
- 为物联网行业提供统一标准 ：物联网行业有了一个共同的定义，可以用来展示其物联网产品的安全能力。此前，公司通过强调个别功能来描述产品的安全能力，这可能会产生误导，因为无法给出整体情况。PSA认证方案通过根据更广泛的安全目标评估安全能力解决了这个问题。
- 方便消费者识别安全产品 ：购买联网电子产品的消费者有了一种简单的方法来识别安全产品。由于PSA认证已被电子行业的许多方采用和支持，未来它可能成为购买电子产品的组织的产品要求。
- 推动法规和安全标准的统一 ：如今有多个区域指南（如欧洲的ETSI 303645、美国的NIST 8259和SB - 327）。PSA认证正在积极使认证与这些方案保持一致，以减少碎片化。

PSA认证方案包含以下关键领域：
- PSA功能API认证 ：通过API测试套件检查软件是否正确实现了PSA软件接口。
- PSA认证的三个渐进级别 ：提供了三个渐进的保证和健壮性测试级别，使设备制造商能够选择适合其应用的第三方解决方案和/或认证级别。

认证过程由独立测试实验室处理，参与测试的实验室列表可在https://www.psacertified.org/getting - certified/evaluation - labs/查询。独立认证机构确保基于测试实验室的评估质量。已获得PSA认证的产品列表可在https://www.psacertified.org/certified - products/查询。

3. PSA认证安全评估级别

3.1 概述

如果不对设备或系统的安全能力进行正式评估，应用程序的一些安全需求可能会被忽视。有许多案例表明，白帽黑客和安全研究人员通过道德方式展示了入侵设备的方法，以揭示其漏洞并鼓励安全改进，但也有许多黑客出于恶意目的对联网产品发动攻击的案例。

为了降低犯罪攻击的可能性，必须提高物联网设备的安全标准。PSA认证通过创建适合物联网市场的安全评估方案，并与行业内的许多合作伙伴合作，确保安全评估公平、独立地进行，以满足物联网行业的需求。

不同的联网产品有不同的安全需求，例如，连接到电网基础设施的智能电表与芯片中包含少量数据的低成本电子玩具的安全需求完全不同。为了满足众多产品的安全要求，PSA认证定义了三个安全级别，这些级别的定义基于系统的安全能力以及所部署的软件架构。需要注意的是，并非所有PSA认证安全评估级别都适用于每个物联网解决方案。

IoT解决方案	适用级别	含义
硅设备	1、2和3	芯片供应商能够展示其设备的安全级别及其与PSA - RoT标准匹配时的能力。具有PSA认证级别1 - 3评估的硅产品意味着产品的安全性已经过独立评估，OEM可以依赖测试结果，从而减少测试工作。
实时操作系统（RTOS）	1	适用于集成了PSA功能API的RTOS。营销此类RTOS的RTOS供应商完成PSA认证级别1问卷，表明他们遵守了10个安全目标和行业最佳实践。
产品/设备	1	开发联网产品/设备的产品制造商完成PSA认证级别1的“文档和声明”问卷，然后由测试实验室检查，以确认他们遵循了安全模型目标和行业最佳实践。

一旦测试实验室评估芯片、操作系统或设备通过评估，将提供数字证书以及唯一的数字证书编号（使用国际商品编号EAN - 13）。根据PSA认证的建议，EAN - 13参考号在芯片的证明令牌中用作“硬件版本声明”，使第三方（如服务提供商）能够识别PSA - RoT，并将芯片或设备与PSA - RoT的认证级别相关联。2020年初，PSA认证级别2进入市场，PSA认证级别3预计在当年晚些时候推出。

3.2 PSA认证级别1

PSA认证级别1是PSA认证安全认证的最低级别。在PSA认证级别1系统中，硬件必须支持：
- PSA信任根（PSA - RoT） 。
- 安全域资源的隔离 ：防止正常应用程序访问这些资源。例如，使用Cortex - M23或Cortex - M33处理器时，系统设计可以基于“适用于Armv6 - M、Armv7 - M和Armv8 - M的PSA可信基础系统架构”（TBSA - M）中的建议，这些建议规定了实现隔离和其他安全措施所需的硬件要求。

软件架构利用硬件的隔离能力来保护安全软件，使其免受在非安全世界中运行的正常应用程序的影响。例如，使用基于Cortex - M23或Cortex - M33的微控制器时，可以使用TrustZone安全扩展来保护PSA - RoT的完整性（隔离类型1）。可选地，设备还可以在安全世界内进行额外的隔离，例如采用隔离类型2或更高的隔离方式。

PSA认证级别1为物联网产品（如微控制器、RTOS和物联网产品）的安全最佳实践提供了独立保证。要获得产品的PSA认证级别1，供应商需要通过完成一份包含一系列关键安全问题的问卷进行自我评估，然后由实验室进行审核，这两个步骤确保产品是基于安全设计开发的。通过PSA认证级别1的产品将获得一个质量标识（标志），表明它具有基本的安全能力，包括PSA - RoT。产品开发人员可以依靠这些能力来构建满足常见物联网安全要求的联网设备，前提是产品设计得当。

3.3 PSA认证级别2

PSA认证级别2针对硅设备，旨在增加额外的安全健壮性，使设备更好地抵御可扩展的远程软件攻击。与级别1相比，达到PSA认证级别2的额外要求如下：
- 每个设备在PSA - RoT中具有唯一的加密密钥 。
- 安全固件内的额外安全功能 ：PSA信任根（PSA - RoT）受到保护，防止被应用程序信任根访问。例如，在PSA认证级别2中，Trusted Firmware - M使用安全MPU来隔离安全非特权分区，阻止它们访问安全特权代码，这被称为隔离类型2。

要获得PSA认证级别2状态，芯片必须通过安全实验室进行的一系列渗透测试，这通常需要不到一个月的时间。评估还涵盖了PSA认证级别2 PSA - RoT保护轮廓中概述的安全功能要求（可通过https://www.psacertified.org/development - resources/下载）。

在某些情况下，硬件平台开发人员在使用现场可编程门阵列或测试芯片时，可能需要展示其解决方案的安全能力。此时，应使用PSA认证级别2就绪方案进行预认证评估，该方案可展示硬件原型的安全能力，并为后续的完整PSA认证评估铺平道路。PSA认证级别2和PSA认证级别2就绪方案的质量标识有所不同。可选地，设备还可以设计为在安全世界内进行额外的隔离，例如在安全软件中采用隔离类型3的安排，但截至2020年5月，Trusted Firmware - M尚不支持隔离类型3。

3.4 PSA认证级别3

与PSA认证级别2类似，PSA认证级别3也针对硅设备。除了PSA认证级别2所需的安全要求外，目标为PSA认证级别3的设备还需要具备一系列防止物理攻击的保护措施（即防篡改功能）。目前，PSA认证级别3仍在开发中。

4. PSA功能API认证

除了PSA认证的安全级别外，物联网解决方案供应商还可以通过PSA功能API认证来认证其产品。PSA功能API为软件开发人员提供了访问安全功能的途径，通过获得PSA功能API认证，可以证明其软件与PSA功能API规范兼容。要获得此认证，软件解决方案必须通过一组软件测试，以检查所实现软件的正确性，测试过程有相应的测试套件可用，更多关于测试套件的信息可访问https://www.psacertified.org/getting - certified/functional - api - certification/。需要注意的是，PSA功能API认证并不意味着系统/设备具有安全能力或健壮性，只有PSA认证级别1 - 3才能证明这一点。

5. PSA的重要性

PSA为安全需求、线程模型和安全能力定义了一种通用语言，具有以下特点：
- 整体安全方法 ：采用整体的安全方法，有多个配置文件来满足不同应用的需求。
- 处理器架构无关 ：PSA活动（如PSA认证和PSA功能API的设计）不限于Arm产品。
- 独立性 ：PSA认证评估由独立的安全实验室进行。
- 开放性 ：规范可以免费下载，参考实现（如Trusted Firmware - M）是开源项目。PSA认证由七个创始人管理，规范由具有安全专业知识的生态系统合作伙伴共同创建。
- 灵活性 ：PSA方法允许系统设计师根据自己的特定应用需求定义威胁模型和安全分析（TMSA）文档，并选择适合目标市场的PSA安全级别。
- 解决信任根挑战 ：当设备连接到服务（如云服务）时，服务提供商可以通过实体证明令牌（内置的“成绩单”，使设备能够进行一组经过加密签名的声明）获得所连接设备的“信任证据”。

由于各种PSA活动以及Arm与其安全合作伙伴的共同努力，物联网行业现在更容易在其物联网产品和解决方案中实现更好的安全。除了参考固件和架构规范外，PSA资源（如TMSA和安全模型文档）使产品设计师能够了解如何最好地满足物联网设备的安全要求。

通过PSA认证，行业现在有了一个独立的“安全标准”来量化物联网安全。尽管解决物联网安全挑战具有挑战性和复杂性，但PSA项目正在获得动力并取得良好进展。许多现代物联网微控制器产品和RTOS已经获得了PSA认证级别1，许多硅合作伙伴已经获得了PSA认证级别2。产品制造商（如OEM）可以通过考虑芯片的PSA认证级别来决定使用哪种硅产品。选择经过PSA认证的硅产品，不仅可以降低使用存在安全漏洞芯片的风险，还能展示其对安全的承诺。

6. Trusted Firmware - M（TF - M）项目

6.1 关于TF - M项目

TF - M是一个开源项目，由各方的安全专家开发，用于覆盖平台安全架构（PSA）的实施阶段。它旨在满足常见的安全需求，并在基于Cortex - M的微控制器设备上运行。TF - M项目代码经过开发和测试，达到了生产质量水平，物联网行业可以使用这些代码快速采用PSA原则，加快产品上市时间。

Trusted Firmware由一个开源治理社区项目托管，包含Cortex - M和Cortex - A的可信固件。Trusted Firmware项目的链接为https://www.trustedfirmware.org 。TF - M的技术方向由技术指导委员会监督。除了Armv8 - M处理器外，TF - M还可以与Armv6 - M和Armv7 - M处理器配合使用，但使用这些处理器时，系统必须包含多个处理器，以分离安全和非安全处理环境。任何人都可以加入Trusted Firmware项目并做出贡献，参与方式是访问Trusted Firmware网站并订阅以下邮件列表：https://lists.trustedfirmware.org/mailman/listinfo/tf - m。TF - M项目的源代码托管在Trusted Firmware Git仓库中，链接为https://git.trustedfirmware.org/trusted - firmware - m.git/。

6.2 使用TF - M的软件执行环境

TF - M专为具有PSA信任根（PSA - RoT）能力的Cortex - M处理器系统设计，可以与以下任意一种情况配合使用：
- 实现了TrustZone的Armv8 - M处理器。
- 多处理器Cortex - M系统，利用处理器之间的分离作为软件隔离的基础。

在基于TrustZone的Armv8 - M处理器系统中使用TF - M时，软件执行环境分为安全和非安全处理环境。安全引导、TF - M核心以及多个安全分区在安全世界中执行，应用程序和RTOS在正常应用环境（即非安全世界）中运行。RTOS与安全软件之间的交互对于促进上下文切换是必需的，这一功能已集成到TF - M中，并得到了许多支持Armv8 - M架构的RTOS的支持。

TF - M分为TF - M核心和多个分区，这种安排允许安全MPU将安全分区（非特权）与TF - M核心（特权）隔离开来。由于有多个安全分区，安全MPU的配置需要进行管理，这由安全分区管理器（SPM）负责，它处理MPU设置（安全隔离）和调度（即安全库的上下文切换）。

PSA功能API（包括用于密码学、证明等的API）位于可信分区中，还有用于外部接口API的安全分区，如受保护存储的API以及适用的其他第三方API。TF - M中的这种软件分区安排确保了关键数据和代码得到保护。TF - M还包括一个硬件抽象层（HAL），以便将其移植到新的硬件平台，但由于这个特定的HAL无法被非安全应用程序访问，因此它不属于PSA功能API的一部分。

综上所述，PSA认证及其相关技术（如TF - M）为物联网行业提供了全面的安全解决方案，从安全需求分析到最终的认证，各个环节紧密配合，帮助物联网产品提高安全性能，满足不同应用场景的安全需求。随着物联网的不断发展，PSA认证有望在保障物联网安全方面发挥越来越重要的作用。

PSA Certified：物联网安全的全面解决方案

7. TF - M的优势与应用案例

7.1 TF - M的优势

TF - M作为开源项目，为物联网安全带来了诸多优势，具体如下：
- 易于集成 ：TF - M提供了标准化的接口和框架，使得开发人员能够轻松地将其集成到现有的Cortex - M处理器系统中，无需进行大量的代码修改和适配工作。
- 安全可靠 ：基于PSA架构，TF - M实现了严格的安全隔离和访问控制机制，确保关键的安全代码和数据不被非法访问和篡改，有效提高了系统的安全性。
- 可扩展性 ：TF - M的模块化设计允许开发人员根据具体需求添加或删除安全分区，从而灵活地扩展系统的安全功能。
- 社区支持 ：作为开源项目，TF - M拥有庞大的开发者社区，开发者可以在社区中分享经验、交流问题，获取最新的技术支持和更新。

7.2 应用案例

以下是TF - M在不同物联网场景中的应用案例：
| 应用场景 | 应用方式 | 优势体现 |
| — | — | — |
| 智能家居 | 在智能家居设备中，如智能门锁、智能摄像头等，TF - M可以确保设备的安全启动和运行，保护用户的隐私数据不被泄露。 | 提高设备安全性，增强用户信任。 |
| 工业物联网 | 在工业控制系统中，TF - M可以防止恶意软件的攻击，保障工业生产的连续性和稳定性。 | 降低工业生产风险，提高生产效率。 |
| 车联网 | 在汽车电子系统中，TF - M可以保障车辆的通信安全和控制安全，防止车辆被黑客攻击。 | 提升行车安全性，保障驾乘人员生命安全。 |

8. PSA认证与其他安全标准的比较

为了更好地理解PSA认证的特点和优势，将其与其他常见的安全标准进行比较：
| 安全标准 | 适用范围 | 认证方式 | 特点 |
| — | — | — | — |
| PSA认证 | 物联网设备和系统 | 独立评估和认证，包括多个安全级别和功能API认证 | 全面覆盖物联网安全需求，灵活性高，与多种处理器架构兼容。 |
| ETSI 303645 | 欧洲物联网设备 | 遵循特定的安全规范和要求进行评估 | 具有地区针对性，强调物联网设备的安全性和隐私保护。 |
| NIST 8259 | 美国相关系统 | 基于NIST的安全框架进行评估 | 注重系统的安全性和风险管理，提供了详细的安全指南。 |
| SB - 327 | 美国物联网设备 | 符合特定的安全标准和要求 | 对物联网设备的安全性能有明确的规定。 |

通过比较可以看出，PSA认证具有更广泛的适用性和更高的灵活性，能够满足不同地区、不同类型物联网产品的安全需求。

9. PSA认证的未来发展趋势

随着物联网技术的不断发展和普及，PSA认证也将呈现出以下发展趋势：
- 认证级别细化 ：为了满足不同行业和应用场景的安全需求，PSA认证可能会进一步细化认证级别，提供更加精准的安全评估。
- 与新兴技术融合 ：随着人工智能、区块链等新兴技术在物联网中的应用，PSA认证可能会与这些技术相结合，提供更加智能化、可信化的安全解决方案。
- 国际标准统一 ：为了减少不同地区安全标准的差异，PSA认证可能会与其他国际安全标准进行协调和统一，推动全球物联网安全标准的一体化。
- 应用领域拓展 ：除了现有的物联网领域，PSA认证可能会拓展到更多的领域，如医疗物联网、能源物联网等，为这些领域的安全发展提供保障。

10. 企业如何实施PSA认证

企业若想实施PSA认证，可以按照以下步骤进行：
1. 需求分析 ：企业首先需要对自身的物联网产品和业务需求进行全面分析，确定所需的安全级别和功能要求。例如，对于涉及用户隐私数据的产品，可能需要更高的安全级别认证。
2. 架构设计 ：根据需求分析的结果，设计符合PSA认证要求的系统架构。这包括选择合适的处理器、操作系统和软件框架，确保系统具备必要的安全特性。
3. 开发与集成 ：在架构设计的基础上，进行软件和硬件的开发工作，并将TF - M等安全框架集成到系统中。开发过程中要严格遵循PSA认证的规范和要求。
4. 内部测试 ：在提交认证之前，企业需要进行内部测试，确保系统满足PSA认证的各项要求。测试内容包括安全功能测试、性能测试等。
5. 提交认证申请 ：完成内部测试后，企业可以向指定的测试实验室提交认证申请，并提供相关的文档和测试报告。
6. 认证评估 ：测试实验室将对企业提交的申请进行评估，包括对系统的安全性、功能完整性等方面进行检查。评估过程可能包括现场检查、代码审查等环节。
7. 获得认证 ：如果系统通过了测试实验室的评估，企业将获得PSA认证证书，证明其产品具备相应的安全能力。

11. 总结

PSA认证为物联网行业提供了一套全面、系统的安全解决方案，通过TMSA分析、架构设计、实施和认证等阶段，确保物联网产品具备可靠的安全性能。TF - M作为PSA架构的重要实现，为物联网设备的安全运行提供了有力支持。

PSA认证具有诸多优势，如定义了通用语言、采用整体安全方法、处理器架构无关、独立评估、开放规范等，能够满足不同物联网产品的安全需求。同时，PSA认证的不同级别和功能API认证为企业提供了灵活的选择，使企业能够根据自身产品的特点和市场需求选择合适的认证级别。

随着物联网的快速发展，PSA认证将在保障物联网安全方面发挥越来越重要的作用。企业应积极参与PSA认证，提升自身产品的安全竞争力，为用户提供更加安全可靠的物联网产品和服务。

下面是PSA认证实施流程的mermaid流程图：

graph LR
    A[需求分析] --> B[架构设计]
    B --> C[开发与集成]
    C --> D[内部测试]
    D --> E[提交认证申请]
    E --> F[认证评估]
    F --> G{是否通过评估}
    G -- 是 --> H[获得认证]
    G -- 否 --> C

通过以上流程，企业可以有条不紊地实施PSA认证，提高产品的安全性能，满足市场对物联网安全的需求。