1.4 ARM安全参考架构(PSA Certified)_arm psa
目录
1.4.1 PSA Certified概述
ARM Platform Security Architecture (PSA) Certified 是一套完整的物联网安全框架认证体系,旨在为各类设备提供标准化的安全基础。该架构包含:
-
三大核心组件:
- PSA规范文档:威胁模型、安全分析API等
- 开源参考实现:Trusted Firmware-M/A等
- 多级认证体系:从Level 1到Level 3的认证流程
-
关键设计原则:
- 硬件隔离机制(TrustZone)
- 安全启动链
- 最小权限原则
- 可验证的安全生命周期
1.4.2 PSA认证级别详解
1.4.3 PSA与TF-A的关系
TF-A作为PSA认证的参考实现之一,提供:
-
标准化接口实现:
- 符合PSA Firmware Framework API规范
- 预集成加密服务接口(PSA Crypto API)
-
认证加速支持:
// 示例:PSA Crypto API调用psa_status_t status = psa_crypto_init();psa_key_handle_t key_handle;psa_key_attributes_t attributes = PSA_KEY_ATTRIBUTES_INIT; -
安全功能组件:
- 符合PSA-RoT要求的可信启动
- 安全存储服务实现
- 硬件隔离执行环境
1.4.4 PSA安全模型实现
信任根(RoT)架构
#mermaid-svg-d79Pwnvj3B4uAGxH {font-family:\"trebuchet ms\",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-d79Pwnvj3B4uAGxH .error-icon{fill:#552222;}#mermaid-svg-d79Pwnvj3B4uAGxH .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-d79Pwnvj3B4uAGxH .edge-thickness-normal{stroke-width:2px;}#mermaid-svg-d79Pwnvj3B4uAGxH .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-d79Pwnvj3B4uAGxH .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-d79Pwnvj3B4uAGxH .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-d79Pwnvj3B4uAGxH .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-d79Pwnvj3B4uAGxH .marker{fill:#333333;stroke:#333333;}#mermaid-svg-d79Pwnvj3B4uAGxH .marker.cross{stroke:#333333;}#mermaid-svg-d79Pwnvj3B4uAGxH svg{font-family:\"trebuchet ms\",verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-d79Pwnvj3B4uAGxH .label{font-family:\"trebuchet ms\",verdana,arial,sans-serif;color:#333;}#mermaid-svg-d79Pwnvj3B4uAGxH .cluster-label text{fill:#333;}#mermaid-svg-d79Pwnvj3B4uAGxH .cluster-label span{color:#333;}#mermaid-svg-d79Pwnvj3B4uAGxH .label text,#mermaid-svg-d79Pwnvj3B4uAGxH span{fill:#333;color:#333;}#mermaid-svg-d79Pwnvj3B4uAGxH .node rect,#mermaid-svg-d79Pwnvj3B4uAGxH .node circle,#mermaid-svg-d79Pwnvj3B4uAGxH .node ellipse,#mermaid-svg-d79Pwnvj3B4uAGxH .node polygon,#mermaid-svg-d79Pwnvj3B4uAGxH .node path{fill:#ECECFF;stroke:#9370DB;stroke-width:1px;}#mermaid-svg-d79Pwnvj3B4uAGxH .node .label{text-align:center;}#mermaid-svg-d79Pwnvj3B4uAGxH .node.clickable{cursor:pointer;}#mermaid-svg-d79Pwnvj3B4uAGxH .arrowheadPath{fill:#333333;}#mermaid-svg-d79Pwnvj3B4uAGxH .edgePath .path{stroke:#333333;stroke-width:2.0px;}#mermaid-svg-d79Pwnvj3B4uAGxH .flowchart-link{stroke:#333333;fill:none;}#mermaid-svg-d79Pwnvj3B4uAGxH .edgeLabel{background-color:#e8e8e8;text-align:center;}#mermaid-svg-d79Pwnvj3B4uAGxH .edgeLabel rect{opacity:0.5;background-color:#e8e8e8;fill:#e8e8e8;}#mermaid-svg-d79Pwnvj3B4uAGxH .cluster rect{fill:#ffffde;stroke:#aaaa33;stroke-width:1px;}#mermaid-svg-d79Pwnvj3B4uAGxH .cluster text{fill:#333;}#mermaid-svg-d79Pwnvj3B4uAGxH .cluster span{color:#333;}#mermaid-svg-d79Pwnvj3B4uAGxH div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:\"trebuchet ms\",verdana,arial,sans-serif;font-size:12px;background:hsl(80, 100%, 96.2745098039%);border:1px solid #aaaa33;border-radius:2px;pointer-events:none;z-index:100;}#mermaid-svg-d79Pwnvj3B4uAGxH :root{--mermaid-font-family:\"trebuchet ms\",verdana,arial,sans-serif;} 测量 验证 验证 保护 HW RoT BL1 BL2 BL31/BL32 Rich OS
关键安全服务:
-
安全生命周期管理:
- 设备状态机(从制造到退役)
- 安全固件更新机制
-
安全审计功能:
- 安全事件日志记录
- 运行时完整性监测
-
防御措施:
- 侧信道攻击防护
- 时序攻击缓解
1.4.5 认证流程实践
典型PSA认证实施步骤:
- 威胁模型分析(使用PSA Threat Model模板)
- 安全需求映射(覆盖10大安全目标)
- 证据收集:
- 代码覆盖率报告
- 静态分析结果(如MISRA-C合规)
- 实验室测试:
- 加密算法验证(如CAVP)
- 物理攻击测试(Level 3)
1.4.6 典型应用案例
- Cortex-M系列:通过TF-M实现PSA Level 2认证
- 服务器SoC:基于TF-A的机密计算解决方案
- 汽车电子:符合ISO/SAE 21434的安全启动实现
行业趋势:截至2023年,已有超过35家芯片厂商通过PSA Certified认证,覆盖超过15亿台设备。
参考资料
- ARM官方文档《PSA Certified Security Goals》
- 《PSA Firmware Framework v1.1》规范
- Linaro发布的《TF-A PSA合规指南》
- 中国CC EAL4+与PSA Level 3互认白皮书
