Arm攜手生態系協助落實最佳IoT安全實務與PSA Certified

Arm台灣總裁曾志光。Arm

隨著IoT裝置的廣泛應用，以及層出不窮的連網攻擊事件發生，現今消費者與各國政府對於IoT安全性的重視更勝以往。面對持續的網路安全威脅，如何以更具成本效益的方式確保完整的產品安全性，已成為科技產業亟需克服的挑戰。

有鑑於此，Arm日前舉辦了2024年Arm在台灣的首場的實體活動─ Arm運算安全高峰論壇，內容涵蓋最新IoT法規與資安標準、Arm安全解決方案，以及Arm生態系夥伴的精彩使用案例等各個面向，完整探討IoT安全性從IP、晶片到系統的最佳實踐，獲得現場學員的熱烈回應。

Arm台灣總裁曾志光在開幕致詞時表示，由於IoT裝置與手機中內含個人與企業的重要資料，如何安全地儲存、處理與傳輸資料已是業界必須克服的重要議題。論壇中並邀請政府與業界夥伴參與，充分展現Arm積極與生態系共同因應資安問題的決心。

貴賓數位發展部數位產業署平臺經濟組組長林青嶔受邀致詞表示，因應AIoT新興應用服務的發展，政府透過各項政策支持國內IC業者與新創公司投入相關晶片與應用開發。非常樂見Arm與台灣業者合作，共同開發AIoT關鍵晶片與應用，進而對台灣產業有所助益。

台灣資通訊安全驗證體系介紹

資策會資安科技研究所副主任高傳凱博士表示，資策會從2016年起從人才培育、測試場域及標準制定等面向，並基於標準、認證及國際接軌等策略布局資安驗證體系，已發布了7項標準，成為國家標準。其中最主要的是IPCAM標準，包含韌體加密、DoS保護、資料洩漏保護、實體強化安全、無預設密碼等多項安全功能規範。

此外，2023年也發布了門禁系統的六項國家網路安全標準。至於在IoT資安標章與認證方面，將針對Arm PSA與SESIP（IoT平台安全評估標準），進行標準的調和與國際對接，預計2024年將成立國際標準調和工作小組，共同討論台灣IoT標準的制訂。

IoT 安全的挑戰與需求

Arm亞太區IoT市場行銷資深經理Allen Huang表示，據統計，2021年網路犯罪造成的損失高達6兆美元，IoT裝置平均每個月遭受5400次攻擊。預計2025年全球將有超過750億台的連網IoT裝置，倘若輕忽連網安全性，將可能帶來重大損失。

Allen表示，Arm發展安全技術已超過20年，從2000年推出SecureCore處理器開始，一直致力於各項安全技術的開發，包括TrustZone、Trusted Firmware，以及2017年推出的PSA Certified（平台安全架構），到2022年推出的機密運算（Confidential Compute） Armv9等。

有鑑於數據安全成為IoT的顯學，Arm亦將其TrustZone、Trusted Firmware擴展到Cortex-M產品線，對安全的重視從硬體延伸到軟體，並針對IoT的各種不同新標準提出PSA Certified，協助業者作為依循的共同標準。Arm安全生態系統的建構，將促進業界的共同合作，落實全面安全性。

Arm主任應用工程師Blade Lin針對支援Armv8-M的TrustZone與TF-M技術做了詳盡介紹，說明如何為小型、嵌入式應用帶來完整的安全性。

在Arm架構上實現安全運算目標

Arm首席應用工程師Charlie Hsu表示，隨著IoT的快速發展，使安全性已從「Nice-to-have」轉變成「Must-have」。Arm在其推出的全面運算解決方案 （Total Compute Solutions） 中，便開發了多項增強安全技術，並強調系統級安全性。

在控制流（control flow）完整性方面，由於返回導向（ROP）與跳轉導向（JOP）編程，是兩種常見的攻擊方法。對此，Arm提供PAC（指標驗證碼）和 BTI（分支目標識別）兩種方式來因應。

其中，PAC是透過確認位址在使用前沒有遭到修改，以達成阻礙 ROP 的目的；而是BTI是透過把「分支」限制在原先鎖定的位址，以便在不同的分支間提供更堅強的安全保障，來阻礙 JOP 攻擊。這兩種技術都是針對強化軟體的可靠性而設計，在記憶體安全性方面，則是有MTE（記憶體擴充標籤）的防護方式，可有效減少記憶體安全違反與記憶體損壞的嚴重安全錯誤，大幅減少被攻擊的機會。

Charlie Hsu還介紹了Secure-EL2 隔離技術以及Arm CCA（機密運算架構）中正在開發的Realms技術，將能進一步提升運算安全性。最後針對汽車市場，Arm將支援ISO/SAE 21434標準，協助業者實現從IP、晶片到系統的汽車安全等級設計。

以PSA Certified為即將實施的安全法規做好準備

Arm平台安全架構業務開發總監Anurag Gupta在演講中介紹 PSA Certified是一個全球業界標準機構，旨在提供獨立的IoT安全性評估。做法上是希望能推動業界從上游設計階段就導入安全性的「Security by Design」概念，自推出後目前全球已共有192項PSA Certified認證產品。Anurag Gupta強調，PSA Certified是獨立於平台的，我們要做的是為SoC定義信任根（RoT），以確保裝置最根本的安全性。

為了解釋RoT的運作方式，Arm安全總監暨PSA Certified主席Rob Coombs以PC架構來比較，「在PC中，會有x86處理器，以及BIOS和TPM晶片，以提供重要的運算與硬體安全功能。但對消費裝置來說，基於成本與空間的限制，無法採用多晶片設計，因此把硬體安全功能，亦即PSA RoT設計在單一晶片中，目前已有愈來愈多的Arm-based晶片以及軟體支援此設計方式，為各種消費性與IoT裝置提供完整安全性。」

晶片業者能夠成功建置PSA Certified RoT的原因之一是，Arm擁有豐富的開放源韌體建置。在MCU領域，有TF（Trusted Firmware）-M，針對MPU，則有OP-TEE。因此，不管是MCU或高階的應用處理器，都能執行可信任的安全應用。

Anurag補充說，目前大多數全球領先的晶片業者與軟體平台均已採用PSA Certified，並延伸到OEM製造商，橫跨消費性、汽車、工業、醫療等各種垂直市場。根據2023年安全報告，法規遵循成為重要考量。基於此一趨勢，已將最新法規，包括EU CRA、EU RED和UK PSTI等，納入PSA Certified中。此外，PSA Certified也可與ioXt、Matter和 DLC等業界標準接軌，協助OEM業者以最具成本效益的方式，兼顧標準與法規的遵循性。

業界夥伴聯發科技、意法半導體、研華科技分享使用案例

聯發科技物聯網事業部產品經理高信揚介紹了聯發科技針對IoT應用開發的Genio系列產品，鎖定智慧家庭、智慧零售、工業／醫療HMI及 嵌入式工業應用等各種市場。由於這些應用對於資料安全、安全防護都有較高的要求，特別在零售／支付方面，因此須回到根本的SoC層級，來實現其硬體安全性。

Genio產品重視資料安全性，採用Arm TrustZone和OP-TEE技術，並支援RSA 3K/4K加密、UNR 155/156汽車資安規範。此外，由於IoT市場需要證明產品安全性，不同於手機採用專屬安全技術，因此，Genio產品也已獲得PSA Certified認證，同時利用PSA Certified API有助於為應用程式開發帶來更佳的便利性。

意法半導體亞太區技術行銷專案經理王柏雄表示，複雜度、高成本與上市時程是客戶在開發安全功能時常面臨的挑戰。尤其是，安全性的定義不清楚，也影響其選擇最佳方案。對此，意法半導體為其STM32系列微控制器提供了STM32Trust技術，協助客戶克服這些挑戰。

STM32Trust是以SESIP和PSA Certified作為兩大基礎，以安全硬體、信任根、認證與法規、以及軟體與服務等四個面向，來確保安全性，共提供12項安全功能。以2024年新推出的高效能微控制器STM32H5為例，具備「STM32Trust TEE Secure Manager」（安全管理器），可省去開發者自行撰寫安全程式碼的過程，讓客戶能專注於應用程式的開發，顯著縮短產品上市時程。

研華科技 嵌入式平台事業群產品經理汪嘉翔介紹該公司推出的一系列基於Arm架構的創新產品與安全解決方案。他表示，模組化電腦（computer-on-module） 是為眾多嵌入式應用提供運算功能的重要元素，在目前最廣泛採用的SMARC和COM Express兩種規格之外，為了因應IoT小型化模組的趨勢，已有新的OSM （Open Standard Module） 格式興起，共有四種尺寸，最小僅15x30mm，最大到 45x45mm。

研華針對OSM產品線，2024年將推出ROM-2860，採用高通QCS6490八核心處理器，其中內建NPU，把高效能運算帶到IoT應用，並支援Ubuntu和Windows 11作業系統。研華將提供各種Design-in服務，協助客戶進行設計，並強化Arm-based產品的軟體開發支援。由於工業應用對於安全的要求更為重視，此系列產品除已通過PSA Certified認證，亦符合IEC 62443標準，已部署於包括除草機器人、智慧停車表等多項應用中。

深度對談：業界如何攜手簡化安全產品的開發？

論壇最後，特地以「業界如何攜手簡化安全產品的開發？」為題舉行座談會，由Rob Coombs擔任主持人，與談人包括研華科技嵌入式平台事業群資深協理李易承、瑞薩電子業務協理卓正民、熵碼科技市場行銷副總經理鍾承霖，以及Arm平台安全架構業務開發總監Anurag Gupta，針對OEM業者面臨的挑戰以及如何實現安全設計等議題，進行了廣泛的討論。

李易承指出，隨著美國、歐盟制定網路安全法律，對台灣業者來說，做好準備是必要的。然而OEM業者的挑戰在於很難從頭開始進行安全設計，可善用PSA Certified，協助業者節省取得相關安全認證的時間。

卓正民表示，安全性應該是端到端的，否則無法確保其安全完整性。基於此點，業界必須合作，從IP、晶片、軟體、系統等各層級著手，共同努力遵循各種即將到來的安全法規。

鍾承霖表示，要推動安全產業的快速成長，必須擁有共通語言。PSA Certified扮演了絕佳的平台角色，讓業界都能夠遵循。此外，他強調硬體安全的重要性，這是所有安全的基礎，業者須能供必要的資源，讓安全設計的開發更為簡易。

Anurag Gupta表示，面對碎片化的各種安全標準與法規，要協助產業克服此議題，必須有一個共通的平台，PSA Certified便是其中之一，對於解決安全標準的碎片化問題，將能有很大助益。

Rob Coombs最後總結說，安全是產業的共同挑戰，沒有單一業者能夠克服此問題，透過業界合作，以及像PSA Certified這樣的共通平台，將能為安全產業的發展帶來希望。

Arm生態系是運算安全性的先驅，Arm CPU 及系統架構無所不在，採用Arm架構有助於減少碎片化、降低成本並提高安全性。請點此了解Arm架構安全性功能。