【TF-M】Platform Security Architecture (PSA)框架学习

最新推荐文章于 2023-03-29 08:00:00 发布
最新推荐文章于 2023-03-29 08:00:00 发布
阅读量7.1k 收藏 13
点赞数
分类专栏: TF-M
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42878531/article/details/124091993
版权

PSA框架 安全分区 RoT服务 物联网安全 隔离等级
关键词由CSDN通过智能技术生成

PSA框架

PSA架构是ARM推出的保障物联网设备安全的安全框架。

软件架构

下图是从PSA官方文档截取的软件架构图。其按照功能分为安全分区(secure partition)、安全分区管理器(secure partition manager)、RoT service、secure IPC等
在这里插入图片描述

secure partition

在SPE中,RoT服务需要一个执行环境来提供对资源的访问、对自己的代码和数据的保护,以及与系统中的其他组件进行交互的机制。在PSA固件框架,一个安全分区就是这个执行环境。每个安全分区是单个执行线程,是最小的隔离单元。如果实现了最强的隔离级别,则每个安全分区都与其他安全分区隔离。每个安全分区可以托管一个或多个RoT服务。
简单的讲就是安全分区是具体安全服务的载体,提供对应的安全服务,比如TFM里的crypto就是一个安全分区,其提供一个 PSA Rot服务。其由SPM管理与调度。

Secure Partition Manager

安全分区管理器(SPM)是特权最高的固件,它提供基本的安全服务来保护PSA的信任根,并使隔离的固件组件能够通信。SPM还负责管理安全分区线程的调度。
在这里插入图片描述
其管理安全分区,使用IPC机制使其能够与NSPE通信,也能与其他安全分区通信。上图描述了SPM如何管理分区通信。安全分区通过特定PSA APIs与各模块通信。

RoT services

安全功能由PSA作为RoT服务集合公开。每个RoT Service都是一组相关的安全功能,例如,可能有一个用于对称加密操作的RoT Service,还有一个用于生成随机数的RoT Service。RoT service分为PSA RoT service(PRoT默认有三个,分别是crypto、secure storage、Attestation)和Application RoT Service(ARoT)。
简单的说就是每个partition提供一个或多个RoT service,而这些service就是具体的安全服务。

secure IPC

IPC框架是一个基于连接的客户机和服务器模型,它为调用客户机提供远程调用能力。客户端可以在NSPE中,也可以在安全分区中。服务器实现了一个RoT服务安全分区。安全IPC是基于会话的,请求总是通过客户机和RoT之间的连接发送的服务。IPC消息传递基于请求-响应模型。在这个模型中,客户端被客户端请求阻塞,直到RoT服务响应为止。这允许在非安全应用程序固件中使用简单或不使用调度逻辑的较小系统上高效实现

隔离等级

PSA针对不同设备的安全性、性能、成本提出了三个级别的隔离。
在这里插入图片描述

level 1

将SPE与NSPE隔离开,NSPE不能访问SPE的资源,需要由PSA client API访问特定的服务。
SPE和NSPE之间有一个隔离边界,如下图。
在这里插入图片描述

level 2

level 2在level 1的基础上引入了PSA RoT和Application RoT隔离边界。如下图。将PROT与AROT隔离开。这两类服务不能访问各自的资源。需要由PSA API访问对方的服务。
在这里插入图片描述

level 3

level 3在level 1和2的基础上引入了对每个安全分区之间的隔离边界。如下图。实现对所有安全分区的隔离,其是最高级别的隔离
在这里插入图片描述

08-Isolation using virtualization in the Secure World_Whitepaper
baron-周贺贺-代码改变世界ctw
10-07 1446
目录1 Introduction2 Background3 Today’s challenges in the Secure world3.1. Trusted application ecosystem challenges3.2. Integration of code from multiple vendors in the Secure world3.3. The principle of least privilege3.4. Required solution4 Virtualization i
ATF的接口引导大全(持续完善修订格式)
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
03-07 483
Porting Trusted Firmware-A (TF-A) to a new platform involves making some mandatory and optional modifications for both the cold and warm boot paths. Modifications consist of:The platform-specific functions and variables are declared in . The firmware provi
ARM系列之ARM 平台安全架构PSA 浅析
ZP1015
10-31 1万+
ARM系列之RM 平台安全架构PSA 浅析 1、背景2、PSA安全认证2.1 什么是PSA?2.2、功能性 API 认证2.3 PSA安全认证(待完善)3、专用的开源安全固件代码 1、背景 在互联网飞速发展过程中,安全问题始终贯穿其中。在这场安全保卫战中,科技公司肩上的责任早已不再局限于提供产品与服务那么简单。 对于从端到云的整个产业价值链,arm生态系统所肩负的责任就是确保日益多样化的互联设备能够基于通用的安全基础。 arm已成为是诸多电子产品必不可少的配置,从骁龙旗舰级SoC再到苹果A11,arm芯片的
Arm的平台安全架构(PSA)干货介绍 来自Arm Tech Symposia 讨论实录精要
yyaannnnnnnn的博客
03-29 645
导语: 在互联网飞速发展过程中,安全问题始终贯穿其中。在这场安全保卫战中,科技公司肩上的责任早已不再局限于提供产品与服务那么简单。 对于从端到云的整个产业价值链,arm生态系统所肩负的责任就是确保日益多样化的互联设备能够基于通用的安全基础。 arm已成为是诸多电子产品必不可少的配置,从骁龙旗舰级SoC再到苹果A11,arm芯片的安全性变得尤为重要。“2035年全球一万亿设备互联”的宏伟愿景,是arm公司的下一阶段目标,在此之前其先要为万物互联奠定一个可信的基础,因此其宣布推出首个行业通用框架
ARM 物联网平台安全架构(PSA)
tugouxp的专栏
03-27 1722
源码: https://git.trustedfirmware.org/TF-M/trusted-firmware-m.git/ IoT高速发展的今天,大量的IoT设备使用了Arm M-profile为核心的芯片。我们会接触到越来越多的IoT设备,一个问题油然而生:数量如此巨大的IoT设备的安全性如何?目前针对IoT安全的技术和标准可谓千姿百态,除了必要的硬件安全技术,与之配套的安全软件也是必不可少的一部分。今天我们要介绍的是基于Arm M-profile的可信固件Trusted Firmware -
Arm的平台安全架构(PSA)干货介绍——来自Arm Tech Symposia 讨论实录精要
cpongo10的博客~
11-12 624
导语:在互联网飞速发展过程中,安全问题始终贯穿其中。在这场安全保卫战中,科技公司肩上的责任早已不再局限于提供产品与服务那么简单。对于从端到云的整个产业价值链,arm生态系...
TF-M】Trusted Firmware-M TF-M 固件学习【三】安全服务处理流程
qq_42878531的博客
04-11 1348
TF-M安全服务处理流程 本篇讲解安全服务是如何在TF-M里处理的,基于TF-Mv1.5版本。IPC模型 流程图 安全服务处理依赖于TF-M实现的IPC机制。基于连接响应的服务器与客户端模型。 由psa_connect → psa_call → psa_close的过程 psa_connect 请求服务的发起 一次服务的发起依赖于客户端调用PSA client APIs里的psa_connect函数开始。psa_connect传入参数SID。带入SG头进入SPE环境。TF-M里运行的SPM负责处理此连接
TF-M】Trusted Firmware-M TF-M 固件学习【一】安全分区调用流程
热门推荐
qq_42878531的博客
03-23 1万+
TF-M调用流程 TF-M是以ARM_v8_M的TrustZone架构开发的安全固件,采用PSA架构,实现各种安全服务 partition runtime model: IPC model:类似线程,分区中有一个等待信号的线程,客户端的调用信息将被SPM转换为消息,向分区发送信号,找到对应的分区,分区完成服务后将结果返回给客户端 优点:更好的隔离,数据在本地缓冲区中处理;可以处理多个服务的访问。因为可以将服务访问转换为消息,让分区逐个处理消息中的服务访问。 SFN model:类似调用库函数,类似由安全分区
trusted-firmware-m.zip
02-29
ARM Platform Security Architecture (PSA) 提供了一套全面的安全框架,旨在帮助开发者构建更安全的物联网设备。PSA TFM,即Trust Firmware-M,是ARM为Cortex-M微控制器系列提供的一个关键组件,它实现了PSA规范的...
STM32CubeL5 TFM 应用程序入门.pdf
09-22
TF-M是一个针对Cortex-M处理器的安全框架,旨在支持Arm PSAPlatform Security Architecture)平台安全架构。TF-M提供了安全启动服务,确保系统在复位后总是执行不可变的代码,该代码会验证STM32静态保护,激活运行...
AN5447中文 基于Arm TrustZone STM32 微控制器的安全启动和安全固件更新解决方案概述
最新发布
09-09
开发者可以参考如AN5156(STM32微控制器安全简介)、UM2262(X-CUBE-SBSFU入门)、UM2671(STM32CubeL5 TFM应用入门)等文档,以及Arm的PSAPlatform Security Architecture)开发者API和开源的TF-M项目。...
TF-M】Trusted Firmware-M TF-M固件学习【二】TF-M软件架构
qq_42878531的博客
04-11 2112
TF-M 软件框架 TF-M是基于PSA架构开发的安全固件,本文基于v1.5v版本。下图是官方的图,详细的TF-M功能。 简要的框图如下: 其核心就是PSA架构,SPM管理分区线程、IPC等机制。分区通过分区线程的形式运行,并提供一种或多种服务。NSPE运行着RTOS,在RTOS上运行着task,task需要用到安全相关服务时,可以调用PSA client APIs请求安全服务,通过IPC机制由SPM通知并调度对应分区线程运行,执行此次的服务请求。然后返回结果给client。 partition 在上面
TF-M PSA Interface
言京的博客
08-01 710
PSA Interface PSA接口完成从NS的client到secure服务的调用。 //in psa_client.c __attribute__((naked)) uint32_t psa_framework_version(void) { __ASM volatile("SVC %0 \n" "BX LR \n" : : "I" (TFM_SVC_PSA_FRAMEWORK
使用M1芯片的Macbook开发TF-M
weixin_47569031的博客
03-04 1904
首发极术社区 作者:大伟 如对Arm相关技术感兴趣,欢迎私信aijishu20加入技术微信群。 基于Arm架构的M1芯片的Macbook 20年果粉圈最大的新闻应该就是Apple推出第一款基于Arm架构的自研SoC M1,并且装备在了自己的Macbook,Mac Mini产品上。 具体的评测,大家可以参考这篇文章 笔者有幸拿到了一台M1版本的Macbook Air。尝试了搭建TF-M的开发环境,非常顺利。所以把相关步骤和注意事项分享给大家。 编译TF-M的前期准备 最重要的问题应该就是编译TF-M所需的.
PSA架构之安全模型1.0(DEN0079)之2:概述
LynnZhang的博客
02-06 1814
概述 PSA概述 平台安全架构(PSA)从整体上考虑设备的安全性:安全必须在硬件和软件两个层面解决——仅仅是单纯的硬件安全是不够的。 前提: 大多数的物联网设备都包含多来源、复杂代码。 不论是恶意或者意外,复杂代码想要证明其没有任何错误都是很困难甚至是不可行的,即使有良好的设计过程。 被破坏的软件也会破坏硬件——即使底层硬件保护的信任根没有被直接破坏,被破坏的软件依旧可以充分利用硬...
PSA架构之安全模型1.0(DEN0079)之1:摘要
LynnZhang的博客
02-06 983
近期在看PSA相关材料,一边看一边根据自己的理解翻译,也会动态添加一些内容,水平有限,请用审视的眼光看待相关文章。 摘要 综述 本文档为PSA架构部分(官方共提供四部分,架构为第二部分)的整体描述文档,主要...
ARM系列之ARM 平台安全架构PSA 固件框架
ZP1015
11-30 1964
ARM系列之ARM 平台安全架构PSA 固件框架 1 Introduction1.1 Scope 1 Introduction Arm的平台安全体系结构(PSA)是一套完整的体系结构,包括: 威胁模型 安全分析 硬件和固件架构规范 开源固件参考实施 独立评估和认证方案——PSA认证。 PSA提供了一个基于行业最佳实践的配方,使安全性在两个方面都得到一致的设计硬件和固件级别。 PSA固件框架规范定义了标准编程环境和固件,用于在设备的信任根内实现和访问安全服务的接口。安全的编程环境和应用程序编程接口(API
MongoDB-副本集PSA架构搭建配置手册
小葱的博客
09-19 876
1    安装配置 ------------------------------------------------------------------------------------ 机器准备: •    系统:Red Hat Enterprise Linux Server release 7.3 (Maipo) •    MongoDB版本:mongodb-linux-x86_64-...
ARM的PSA总结
nofywf的博客
05-15 2216
    由于工作原因,目前接触了ARM的PSA架构。初次写文章,如有错误多多包含。具体的架构还是需要查看官方手册,在这里不多说。    ARM的PSA架构分为A系列和M系列,目前还没接触R系列的PSA架构。A系列处理器,使用的是公司自研的芯片,用了开源的安全OS(OPTEE),开源github链接:https://github.com/OP-TEE。    A系列的硬件架构:4A53       ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值