版本 1: 2022 年 3 月 安全连接设备的基本属性 PSA Certified 的 10 个安全目标和 Microsoft 的高安全设备的 7 个属性 Rob Smart，Arm（PSA 认证的联合创始人）高级首席安全架构师和来自微软的贡献 本文档由 PSA Certified 和 Microsoft 编写，旨在说明 PSA Certified 10 安全目标和 Microsoft 的高安全设备的七个属性的共同目标。 它非常适合希望根据两个关键行业参 与者的专业知识从高层次了解连接设备安全所必需的内容的人。 我们将介绍的主要内容是： • Microsoft 和 PSA Certified 确定基本安全要求的观点和动机。 • 概述 Microsoft 的高安全设备的七项属性和 PSA 认证的 10 项安全目标。 • 看似不同的属性和目标，实际上有很多共同点。 我们进入了数字化转型时代，几乎每个行业都在采用技术，以前所未有的规模实现新的效率、 产品和服务。这种数字化转型的核心是连接设备、收集和解释数据以及提供智能业务或服务 洞察力的能力。然而，在保护支撑企业基本价值的设备方面投资不足，使消费者和企业都面 临严重的安全风险。 最终，数字化转型将由数据驱动：真实、可信的数据比以往任何时候都重要。从每个传感器 和执行器收集的少量数据必须是可信的，因为它累积成为驱动大规模新转型数字服务的大数 据。可信数据和可信服务只有由具有健全安全原则的设备生成，才能真正成为可能并实现规 模化。 随着物联网开始发展，Arm 和领先的安全评估实验室率先推出了 PSA Certified [1]，一种旨 在与生态系统建立基线安全要求的合作伙伴关系。这是基于 PSA 认证的 10 个安全目标， 每个连接的设备在与互联网交互之前都应满足这些目标。这些可以通过纳入信任根 (RoT) 来实现，他们推动了 PSA-RoT 的定义。目标是高级抽象自 Arm 在保护设备方面的长期经 验，以及针对常见连接设备用例的特定威胁建模和安全分析。 同时，微软注意到高昂的开发成本和维护通常限制了在连接设备生态系统中采用强安全性。 每一个设备，无论是连接的恒温器还是连接在工厂车间的设备，都是攻击的潜在目标，因此 需要高完整性的安全。通过广泛的研究和测试，Microsoft 确定了至少应存在于所有被认为 是高安全设备的七个属性。该研究的结果记录在“高安全设备的七个属性”文 [2] 中。 PSA 认证的 10 个安全目标和 Microsoft 的七项属性都旨在推动物联网设备生态系统中基 础安全的采用。在本白皮书中，我们使用 PSA 认证和高安全设备的七种特性论文中的材料 对两者进行了描述，以进行高层次比较以及我们对它们的异同的看法。 最终，号召行动非常简单：安全是每个人的责任，我们需要团结起来推进物联网的安全。 微软高安全设备的七个特性是什么？ 以下摘自高安全设备的七个属性（第 2 版），© 2020 Microsoft Corporation，以及在本文 其余部分中使用的对其的引用，均经许可使用。这些摘录是“按原文”提供的。这些摘录中表 达的信息和观点，包括 URL 和其他互联网网站引用，可能会更改，恕不另行通知。您自行 承担使用的风险。某些示例可能仅用于说明并且是虚构的。没有真正的关联是有意或推断的。 本文档不向您提供任何 Microsoft 产品中任何知识产权的任何合法权利。 微软进行了广泛的研究和测试，以了解连接设备的安全基线要求。由此产生的证据为“高安 全设备的七个属性”一文中提供了信息。该文详细介绍了在每个被认为是高安全的设备中发 现的七个属性，形成了通常添加额外安全措施的安全基础。这七个属性应被视为每个连接设 备中安全性的必需基线。对于丢失的任何资产，业主或客户需要实施其他方式来补偿。例如， 安全事件可能需要在没有可更新安全性的情况下断开设备并召回或手动修补它们 [3]。 高安全设备的七大属性 您的设备是高安全的还是仅具有一些安全功能？ 硬件信任根 您的设备的身份和软件完整性是否受硬件保护？ 纵深防御 即使某些安全机制被破坏了，您的设备是否仍然受到保护 小型可信计算基础 您设备的安全执行代码是否受到保护不受应用程序代码中 bug 影响？ 动态隔间 部署后您的设备的安全性能否提高？ 无密码身份验证 您的设备是否对自身进行身份验证？ 错误报告 您的设备是否报告错误以让您了解现场情况？ 可更新安全 您的设备软件会自动更新吗？  高安全设备具有硬件信任根。 设备的私有身份密钥受硬件保护，设备软件的完整性 通过硬件验证，并且硬件包含针对侧信道攻击的物理防护。与软件不同，硬件具有作为设备 安全基础所需的两个重要属性。首先，单一用途的硬件难以被攻击者重复用于非预期的操作。 其次，硬件可以检测和缓解物理攻击；例如，在硬件中很容易实现对复位引脚进行脉冲测试 以防止毛刺攻击。当用于保护机密和完整性时，硬件提供了坚实的基础 可以安全可靠地实现丰富的软件功能的信任。  高安全的设备具有纵深防御。 在高安全的设备中，对每一类威胁都应用了多种缓解措施。在设备中 如果只有一层防御，例如大多数基于 RTOS 的设备，即使是设计或实现中的一个错误也足 以导致灾难性的妥协。由于新威胁通常是完全出乎意料的，因此在实践中，拥有多种对策通 常会成为安全设备和受损设备之间的区别。  高安全的设备具有小的可信计算基础。 可信计算基 (TCB) 是“安全性所依赖的少量软件和硬件，我们将其与大量可以在不影响安全 性的情况下行为不端的软件区分开来”。在一个设备内，用于不同操作的 TCB 可能不同。例 如，用于保护静态数据的 TCB 可能包括硬件信任根、用于加密和解密的软件以及用于密封 和解封加密密钥的软件。另一方面，用于安全通信的 TCB 也可能包括 TLS 实现。任何操 作的 TCB 都应尽可能小，以最大限度地减少暴露给攻击面，并减少错误或功能被重新利用 以规避安全保护的可能性。应保护 TCB 代码免受非关键设备代码的影响，以确保其正确操 作，即使其他代码受到损害。安全性较低的设备通常没有隔离的 TCB - 这些设备中的安全 代码与设备代码的其余部分在同一个区域中执行，结果是设备代码中任何地方的一个错误都 可能导致灾难性的全系统妥协。  高安全的设备提供动态隔间。 在计算设备中，网络安全隔间是硬件强制边界，可防止一个软件隔间中的破坏或缺陷传播到 设备的其他软件隔间。隔间引入了额外的保护边界，以创建额外的纵深防御层。动态隔间允 许在设备的整个部署生命周期内引入新的边界，以提高安全性以应对不断升级的安全威胁。  高安全的设备使用无密码身份验证。 在与其他本地设备和云服务通信时，无密码身份验证（例如证书）用于证明相互身份验证的 身份。证书或其他无密码身份验证令牌是使用秘密私钥签名的身份和授权证明，并且可以根 据已知公钥进行验证。与基于共享机密的密码或其他身份验证机制不同，由硬件信任根支持 的无密码身份验证机制不能被窃取、伪造或以其他方式用于验证冒名顶替者。  高安全的设备具有在线错误报告。 当安全设备发生错误时，会自动收集错误报告并及时发送到错误分析系统。在最好的情况下， 错误是由于对极其罕见的事件序列的编程不足。在最坏的情况下，该错误是由攻击者在设备 上探测新的攻击向量引起的。无论哪种情况，错误分析系统都会关联整个设备群中的错误报 告，以便自动诊断错误。有了足够大的报告基础，即使是极其罕见的错误情况也可以被诊断 和纠正，并且可以在新的攻击向量被广泛利用之前识别和隔离它们。错误报告可在一系列高 安全的设备中启用全球“免疫系统”。如果没有自动在线错误报告，设备制造商对于现场遇到 的设备错误一无所知，对新出现的攻击可能措手不及  高安全设备具有可更新的安全性。 具有可更新安全的设备可以自动更新到更安全的状态，即使在设备受到威胁之后也是如此。 可更新的安全性是必要的，因为随着攻击者发现新的攻击向量并创建新的攻击方法和工具， 安全威胁会不断演变和升级。 为了应对新出现的威胁，必须定期更新设备安全性。 在极端 情况下，当设备软件的隔间和层受到零日漏洞攻击的影响时，较低层必须重建和更新设备更 高级别的安全性。 远程证明和回滚保护保证，一旦更新，设备不能恢复到已知的易受攻击 状态。 没有可更新安全性的设备是一场等待发生的危机。 PSA 认证的 10 个安全目标是什么？ 右侧的 PSA 认证安全目标提供了一种高级抽象方式来考虑保护和建立对连接设备的信任 的基本功能。 基于整个行业的最佳安全实践，这套目标广泛适用于供应链中的不同实体， 从芯片设计人员、软件开发人员和设备供应商到云和网络基础设施提供商。 抽象允许根据 需要应用这些目标，例如，应用于最终用户连接的设备、硬件组件、软件组件或服务。 在 描述目标时，术语设备用于表示任何级别的任何实体必须是安全和值得信赖的。应该注意尽 管重点是本地或互联网连接的设备，但许多方面与保护未连接的设备有关。 PSA 认证平台安全模型概述了 10 个目标： 唯一标识 防回滚 隔离 认证 交互 安全启动 安全存储 安全更新 密码和可信服务 1. 唯一标识：为了与特定设备交互，唯一标识身份应该分配给设备，并且这个身份应该是 可证明的。 此身份有助于与设备进行可信交互，例如交换数据和管理设备。 2. 安全生命周期：设备应支持依赖于软件版本、运行时状态、硬件配置、调试端口状态和 产品生命周期阶段的安全生命周期。 安全生命周期的每个安全状态都应该是可证明的， 并且可能会影响对设备的访问。 3. 证明：应通过证明提供设备属性的证据，包括设备的身份和安全生命周期状态。 设备 标识和证明数据应该是使用受信任第三方的设备验证过程的一部分 4. 安全启动：为确保只能在设备上执行授权软件，需要安全启动和安全加载过程。 应该 检测和防止未经授权的引导代码。 如果软件不能破坏设备，未经授权的软件可能被允 许使用。 5. 安全更新：为设备提供安全或功能更新时，只能在设备上更新真实合法的固件。 可以 在下载时执行身份验证，但是必须通过安全启动授权更新的执行。 6. 防回滚：防止回滚到以前的软件版本对于确保无法恢复以前版本的代码至关重要。 只 有在获得授权时，才可以出于恢复目的进行回滚。 7. 隔离：隔离旨在防止一项服务损害其他服务。 这是通过将可信服务与其他可信服务、 更低信任服务和不受信任的服务隔离开来完成的。 8. 交互：设备应支持跨隔离边界的交互，以使隔离的服务能够正常工作。 接口不得让系 统受到损害。 可能需要对数据保密。 应考虑设备内部以及设备与外部世界之间的交互。 9. 安全存储：为防止私有数据在受信任的服务或设备之外被克隆或泄露，必须对其进行唯 一绑定。 私有数据的机密性和完整性通常