11月14日-15日�����,2017全球家庭互聯(lián)網(wǎng)大會(huì)(GFIC)在上海舉行��,會(huì)議吸引了500+企業(yè)�����、3000+專業(yè)聽眾參與���。在15日的GFIC亞太物聯(lián)網(wǎng)峰會(huì)上����,ARM 嵌入式市場(chǎng)經(jīng)理楊瑞先生發(fā)表了題為《Arm 基于TrustZone 的物聯(lián)網(wǎng)安全》的演講����,現(xiàn)場(chǎng)楊瑞先生從技術(shù)演進(jìn)的角度對(duì)ARM公司物聯(lián)網(wǎng)市場(chǎng)的規(guī)劃進(jìn)行了闡述,并對(duì)今后的產(chǎn)品規(guī)劃進(jìn)行了介紹����。
ARM 嵌入式市場(chǎng)經(jīng)理?xiàng)钊?/span>
物聯(lián)網(wǎng)安全將是重要議題
楊瑞表示,在市場(chǎng)上���,安全問(wèn)題是最重要的���,安全是今后物聯(lián)網(wǎng)一個(gè)很重要的議題。ARM把安全分了4大塊��,并找能夠做的一些事情�。第一個(gè)最容易能夠想到的是一個(gè)通訊的安全,通訊安全其實(shí)很簡(jiǎn)單���,這里有一個(gè)物理安全����,就是銀行卡這些東西,就是防止別人破壞你的芯片�����,這個(gè)不在我們的討論之內(nèi)�����。另一個(gè)是生命周期的安全�����,比如蘋果手機(jī)經(jīng)常去做運(yùn)維��,有的時(shí)候失敗了就想辦法據(jù)刷����,把它從新版本刷回老版本就可以用了,這個(gè)其實(shí)是生命周期的漏洞�,主要是針對(duì)產(chǎn)品從工廠出廠一直到產(chǎn)品報(bào)廢的過(guò)程。
還有就是軟件安全���,主要是指芯片里面運(yùn)行的一些功能跟系統(tǒng)�����,如果被黑客給截取了之后可以拿到你的權(quán)限�����,或者是拿到你的一些數(shù)據(jù)資源�����、系統(tǒng)之類的做一些破壞的動(dòng)作�����,ARM目的主要針對(duì)生命周期安全��、通信安全跟軟件安全�����,從CPU上面做了一些規(guī)劃����。
楊瑞提到�,ARM要實(shí)現(xiàn)的目的是要讓所有的產(chǎn)品分成兩個(gè)部分����,一個(gè)是所謂紅色的危險(xiǎn)的��,就是非信任的�,綠色的就是安全可信任的。這個(gè)里面包含第一個(gè)就是安全應(yīng)用啟動(dòng)的這一塊�,里面還有硬件、軟件����、存儲(chǔ)系統(tǒng)等東西。
第二個(gè)就是有IP保護(hù)���,也有硬件或者軟件�����,還有把自己資產(chǎn)的東西保護(hù)起來(lái)�����,防止被破戒�����。第三個(gè)就是認(rèn)證的一些東西�����,要把它給規(guī)范起來(lái)�����。ARM在原來(lái)的IP上做了一個(gè)升級(jí)���,這里左邊的M0+和M0、M3�、M4這些是整體的加起來(lái),是一個(gè)安全的芯片運(yùn)行環(huán)境的技術(shù)��。這個(gè)是做了隔離�、分區(qū)、訪問(wèn)的控制���,去實(shí)現(xiàn)用戶可信賴的一個(gè)軟件�、應(yīng)驗(yàn)��,在這個(gè)地方運(yùn)行用戶可信賴的東西���,來(lái)達(dá)到安全的目的�。
芯片與軟件上的安全架構(gòu)
楊瑞同時(shí)也表示, 芯片這一塊是不一樣的��,新的架構(gòu)里面新的設(shè)計(jì)分兩個(gè)東西�,CPU是一個(gè),總線會(huì)分條安全總線跟非安全總線�,外設(shè)也分兩大類,存儲(chǔ)也分兩大類��,由用戶去指定外設(shè)�����、存儲(chǔ)跟系統(tǒng)的東西是放在安全區(qū)域還是非安全區(qū)域的�。
軟件開發(fā)也會(huì)變,現(xiàn)在有一些MPU去做一些簡(jiǎn)單的隔離�,軟件到下面會(huì)分成4大塊,有一部分放在非可信賴區(qū)域�����,可信賴區(qū)域里面包含著你的管理庫(kù)的東西�����,包括一些算法的東西,會(huì)分散化���,軟件開發(fā)會(huì)變成這樣���。
今年年底到明年之后,基于安全技術(shù)可以看到一些新的合作伙伴推出產(chǎn)品��。做芯片的公司��,基本上主流的芯片已經(jīng)陸續(xù)授權(quán)了�����,明年將會(huì)慢慢有一些區(qū)域�,軟件跟安全套件的公司����,或者是安全系統(tǒng)的公司推出的產(chǎn)品。
還有一個(gè)軟件��,ARM也對(duì)軟件做了一個(gè)框架����,定義了平臺(tái)安全的架構(gòu)����,類似于是安卓這樣的一個(gè)框架��,定義完這個(gè)框架之后�,有芯片廠家或者是軟件公司根據(jù)這個(gè)框架去填一些內(nèi)容,然后達(dá)到一個(gè)安全的目的�����,框架建成嗯之PSA���,第一個(gè)是提供SPE�,就是安全的操作處理環(huán)境�,所有的東西都運(yùn)行在這個(gè)SPE里面。
安全的系統(tǒng)有幾個(gè)方面��,安全里面放一些密鑰����,還有安全等級(jí)比較高的操作。全系列里面包括R系列���、A系列等等��,ARM都有PSA的架構(gòu)����。PSA主要的就是一些接口,比如說(shuō)在安全和非安全區(qū)域����,你在分區(qū)里面會(huì)有安全分區(qū)的API,在硬件管理跟平臺(tái)這一塊�����,會(huì)有一些其他的API在里面���,ARM都定義好API,芯片廠家把這個(gè)功能給放上去���,從而達(dá)到一個(gè)安全的環(huán)境�����。
ARM解決方案
此外���,ARM本身有一套解決的方案��,就是怎么用這個(gè)PSA�����,楊瑞先生舉例說(shuō):“比如說(shuō)在軟件上面的話像OS跟應(yīng)用放在了非安全的區(qū)域�����,但是你的社會(huì)管理����、密鑰放到了安全區(qū)域�,然后通過(guò)分區(qū)的API把它分成了兩大區(qū),兩個(gè)的顏色會(huì)不一樣的����,像中間的那個(gè)技術(shù),就是把硬件跟BOOT之間做了一個(gè)連接���,這一套大概在名面的Q1做出來(lái)���。”
然后PSA的ARM方面����,PSA的實(shí)踐是ARM自己實(shí)踐的���,所以它的實(shí)踐變得比較豐富一點(diǎn)�?����?偟膩?lái)講包含了幾個(gè)東西����,第一個(gè)是分區(qū)管理,就是下面綠色的那一塊���,主要做一個(gè)安全的分割�,隔離的管理以及房屋之間的管理����,不同安全區(qū)域的管理��,還有就是跟硬件相關(guān)的���,把它放在這個(gè)里面�����,達(dá)到一個(gè)安全的關(guān)系還有IOT產(chǎn)品的功能����。
楊瑞表示,等級(jí)可以分成三級(jí)���,第一級(jí)是最簡(jiǎn)單的���,用ARM的PSA分成安全區(qū)域和非安全區(qū)域就可以了,第二級(jí)稍微復(fù)雜一點(diǎn)���,在安全區(qū)里面會(huì)分成個(gè)部分�����,第三級(jí)是級(jí)別最高的��,楊瑞說(shuō)道:“你在安全區(qū)域里面把任何的部分根據(jù)你的功能單獨(dú)分區(qū)�,這里有一個(gè)什么好處呢�?第三級(jí)應(yīng)用的話比如說(shuō)軟件開發(fā)本身就有漏洞���,這個(gè)漏洞被黑客找到了之后,他只能拿到區(qū)里面的內(nèi)容�,區(qū)域外面的內(nèi)容是沒有辦法訪問(wèn)的,所以對(duì)你的保護(hù)就更上了一個(gè)層級(jí)�,這個(gè)就是ARM在明年開始就會(huì)給大家提供的一個(gè)免費(fèi)的、不用外面再花芯片的安全解決方案�����。”
在最后�,楊瑞表示,目前ARM跟國(guó)家工信部搞物聯(lián)網(wǎng)安全的人都在討論��,基于這個(gè)軟件跟硬件的框架平臺(tái)怎么去做一個(gè)物聯(lián)網(wǎng)安全的標(biāo)準(zhǔn)起草���。
微信掃一掃
