11月14日-15日��,2017全球家庭互聯(lián)網(wǎng)大會(GFIC)在上海舉行��,會議吸引了500+企業(yè)����、3000+專業(yè)聽眾參與���。在15日的GFIC亞太物聯(lián)網(wǎng)峰會上���,ARM 嵌入式市場經(jīng)理楊瑞先生發(fā)表了題為《Arm 基于TrustZone 的物聯(lián)網(wǎng)安全》的演講,現(xiàn)場楊瑞先生從技術演進的角度對ARM公司物聯(lián)網(wǎng)市場的規(guī)劃進行了闡述�����,并對今后的產(chǎn)品規(guī)劃進行了介紹�。
ARM 嵌入式市場經(jīng)理楊瑞
物聯(lián)網(wǎng)安全將是重要議題
楊瑞表示,在市場上�����,安全問題是最重要的�,安全是今后物聯(lián)網(wǎng)一個很重要的議題。ARM把安全分了4大塊����,并找能夠做的一些事情�����。第一個最容易能夠想到的是一個通訊的安全����,通訊安全其實很簡單�,這里有一個物理安全,就是銀行卡這些東西�,就是防止別人破壞你的芯片,這個不在我們的討論之內(nèi)��。另一個是生命周期的安全���,比如蘋果手機經(jīng)常去做運維����,有的時候失敗了就想辦法據(jù)刷��,把它從新版本刷回老版本就可以用了���,這個其實是生命周期的漏洞����,主要是針對產(chǎn)品從工廠出廠一直到產(chǎn)品報廢的過程�。
還有就是軟件安全,主要是指芯片里面運行的一些功能跟系統(tǒng)�����,如果被黑客給截取了之后可以拿到你的權限����,或者是拿到你的一些數(shù)據(jù)資源、系統(tǒng)之類的做一些破壞的動作���,ARM目的主要針對生命周期安全�����、通信安全跟軟件安全����,從CPU上面做了一些規(guī)劃��。
楊瑞提到�����,ARM要實現(xiàn)的目的是要讓所有的產(chǎn)品分成兩個部分,一個是所謂紅色的危險的�,就是非信任的,綠色的就是安全可信任的�����。這個里面包含第一個就是安全應用啟動的這一塊�����,里面還有硬件�����、軟件�、存儲系統(tǒng)等東西。
第二個就是有IP保護��,也有硬件或者軟件�����,還有把自己資產(chǎn)的東西保護起來����,防止被破戒���。第三個就是認證的一些東西,要把它給規(guī)范起來���。ARM在原來的IP上做了一個升級,這里左邊的M0+和M0�����、M3��、M4這些是整體的加起來���,是一個安全的芯片運行環(huán)境的技術��。這個是做了隔離���、分區(qū)、訪問的控制����,去實現(xiàn)用戶可信賴的一個軟件、應驗,在這個地方運行用戶可信賴的東西�����,來達到安全的目的�。
芯片與軟件上的安全架構
楊瑞同時也表示, 芯片這一塊是不一樣的��,新的架構里面新的設計分兩個東西�����,CPU是一個����,總線會分條安全總線跟非安全總線,外設也分兩大類�����,存儲也分兩大類����,由用戶去指定外設、存儲跟系統(tǒng)的東西是放在安全區(qū)域還是非安全區(qū)域的���。
軟件開發(fā)也會變���,現(xiàn)在有一些MPU去做一些簡單的隔離�,軟件到下面會分成4大塊����,有一部分放在非可信賴區(qū)域,可信賴區(qū)域里面包含著你的管理庫的東西��,包括一些算法的東西��,會分散化���,軟件開發(fā)會變成這樣。
今年年底到明年之后����,基于安全技術可以看到一些新的合作伙伴推出產(chǎn)品。做芯片的公司�,基本上主流的芯片已經(jīng)陸續(xù)授權了,明年將會慢慢有一些區(qū)域����,軟件跟安全套件的公司,或者是安全系統(tǒng)的公司推出的產(chǎn)品。
還有一個軟件��,ARM也對軟件做了一個框架���,定義了平臺安全的架構��,類似于是安卓這樣的一個框架����,定義完這個框架之后�,有芯片廠家或者是軟件公司根據(jù)這個框架去填一些內(nèi)容,然后達到一個安全的目的���,框架建成嗯之PSA���,第一個是提供SPE,就是安全的操作處理環(huán)境����,所有的東西都運行在這個SPE里面。
安全的系統(tǒng)有幾個方面�����,安全里面放一些密鑰,還有安全等級比較高的操作�。全系列里面包括R系列、A系列等等��,ARM都有PSA的架構����。PSA主要的就是一些接口,比如說在安全和非安全區(qū)域�����,你在分區(qū)里面會有安全分區(qū)的API����,在硬件管理跟平臺這一塊���,會有一些其他的API在里面����,ARM都定義好API�����,芯片廠家把這個功能給放上去,從而達到一個安全的環(huán)境�。
ARM解決方案
此外,ARM本身有一套解決的方案���,就是怎么用這個PSA�,楊瑞先生舉例說:“比如說在軟件上面的話像OS跟應用放在了非安全的區(qū)域��,但是你的社會管理���、密鑰放到了安全區(qū)域�,然后通過分區(qū)的API把它分成了兩大區(qū)�����,兩個的顏色會不一樣的����,像中間的那個技術,就是把硬件跟BOOT之間做了一個連接�����,這一套大概在名面的Q1做出來���。”
然后PSA的ARM方面����,PSA的實踐是ARM自己實踐的,所以它的實踐變得比較豐富一點���?����?偟膩碇v包含了幾個東西���,第一個是分區(qū)管理,就是下面綠色的那一塊����,主要做一個安全的分割��,隔離的管理以及房屋之間的管理���,不同安全區(qū)域的管理�����,還有就是跟硬件相關的�,把它放在這個里面,達到一個安全的關系還有IOT產(chǎn)品的功能��。
楊瑞表示�,等級可以分成三級,第一級是最簡單的��,用ARM的PSA分成安全區(qū)域和非安全區(qū)域就可以了�����,第二級稍微復雜一點�����,在安全區(qū)里面會分成個部分�����,第三級是級別最高的��,楊瑞說道:“你在安全區(qū)域里面把任何的部分根據(jù)你的功能單獨分區(qū)�����,這里有一個什么好處呢?第三級應用的話比如說軟件開發(fā)本身就有漏洞�,這個漏洞被黑客找到了之后,他只能拿到區(qū)里面的內(nèi)容�,區(qū)域外面的內(nèi)容是沒有辦法訪問的,所以對你的保護就更上了一個層級�,這個就是ARM在明年開始就會給大家提供的一個免費的、不用外面再花芯片的安全解決方案��。”
在最后�,楊瑞表示,目前ARM跟國家工信部搞物聯(lián)網(wǎng)安全的人都在討論���,基于這個軟件跟硬件的框架平臺怎么去做一個物聯(lián)網(wǎng)安全的標準起草��。
