網(wǎng)絡(luò)安全的實(shí)施
BG Networks一種新的基于圖形用戶界面的軟件自動(dòng)化工具和互補(bǔ)的嵌入式安全軟件架構(gòu),旨在使物聯(lián)網(wǎng)網(wǎng)絡(luò)安全變得容易。
BG網(wǎng)絡(luò)安全自動(dòng)化工具(SAT)使嵌入式工程師能夠高效且有效地開發(fā)網(wǎng)絡(luò)安全代碼,而無需網(wǎng)絡(luò)安全背景。借助此工具,工程師可以輕松提高安全功能,提高工作效率,并縮短利用硬件平臺(tái)內(nèi)置安全功能所需的時(shí)間。
當(dāng)與 SAT 一起使用時(shí),BG 網(wǎng)絡(luò)的嵌入式安全軟件架構(gòu) (ESSA) 是 Linux 的腳本、配方、配置和文檔的集合,可增強(qiáng)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全,包括安全啟動(dòng)、加密、身份驗(yàn)證和安全軟件更新。ESSA 使工程師能夠擴(kuò)展硬件信任根,以保護(hù) U-Boot、Linux 內(nèi)核和根文件系統(tǒng)中的應(yīng)用程序。
無處不在的物聯(lián)網(wǎng)安全 - 一種理念,而不是事后的想法
BG Networks的使命是確保每個(gè)連接的嵌入式設(shè)備都具有保護(hù)物聯(lián)網(wǎng)網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊所需的網(wǎng)絡(luò)安全。我們認(rèn)為,簡(jiǎn)化大規(guī)模為物聯(lián)網(wǎng)設(shè)備添加網(wǎng)絡(luò)安全的任務(wù)是可行的。我們的目標(biāo)是通過使嵌入式工程師快速、簡(jiǎn)單和無縫地實(shí)現(xiàn)網(wǎng)絡(luò)安全,消除阻礙嵌入式工程師參與網(wǎng)絡(luò)安全的障礙。
BG Networks SAT和ESSA通過為嵌入式工程師提供易于使用且省時(shí)的工具,無需大量培訓(xùn)或昂貴的咨詢即可實(shí)施復(fù)雜的安全協(xié)議,從而解決了實(shí)施網(wǎng)絡(luò)安全的挑戰(zhàn)。
利用硅內(nèi)功能和開源軟件實(shí)現(xiàn)一流安全性
利用公開可用的加密技術(shù)并利用硬件中固有的網(wǎng)絡(luò)安全功能是BG Networks理念的其他租戶。當(dāng)許多可用選項(xiàng)提供高級(jí)別的安全性并可以縮短實(shí)施時(shí)間時(shí),為什么要重新發(fā)明輪子?
為了在不影響性能或功能的情況下提供強(qiáng)大的網(wǎng)絡(luò)安全,我們的自動(dòng)化工具利用:
硅內(nèi)加密加速器和安全存儲(chǔ)器
來自開源和可信賴合作伙伴的無線 (OTA) 軟件更新解決方案
安全特性
硅內(nèi)加密安全特性,可提高效率
處理器半導(dǎo)體公司不斷改進(jìn)嵌入式微處理器和微控制器的網(wǎng)絡(luò)安全功能。這些“硅內(nèi)”功能非常安全,因?yàn)樗鼈兘⒃谟布湃胃希瑢⒚荑€存儲(chǔ)在安全內(nèi)存中,可以監(jiān)控安全狀態(tài),并基于 ARM 的 TrustZone 建立受信任的執(zhí)行環(huán)境。
與純軟件方法相比,BG Networks SAT通過直接配置處理器并向工程師的軟件添加必要的代碼/密鑰/簽名來利用這些固有的安全功能。這種使用硅內(nèi)硬件的方法可產(chǎn)生高度安全的軟件,具有高水平的加密數(shù)據(jù)吞吐量,而不會(huì)犧牲功耗或內(nèi)核處理器MIPS。
無線 (OTA) 軟件更新,提高安全性
沒有一個(gè)系統(tǒng)是100%安全的。部署后,肯定會(huì)發(fā)現(xiàn)安全漏洞,因此軟件更新至關(guān)重要。物聯(lián)網(wǎng)設(shè)備在現(xiàn)場(chǎng)后發(fā)現(xiàn)的漏洞可以使用OTA軟件更新進(jìn)行補(bǔ)救。對(duì)于大型設(shè)備群,即使它們是遠(yuǎn)程的,也可以快速且經(jīng)濟(jì)高效地關(guān)閉安全風(fēng)險(xiǎn)。
BG網(wǎng)絡(luò)利用開源OTA更新軟件,并與行業(yè)領(lǐng)先的公司合作提供完整的解決方案。BG Networks的嵌入式安全軟件架構(gòu)集成了 Mender.io,這是一個(gè)開源的端到端強(qiáng)大且安全的OTA軟件更新管理器,易于使用并使用同類最佳的安全技術(shù)。
利用 Linux 安全功能實(shí)現(xiàn)更強(qiáng)大的功能
Linux 內(nèi)核具有內(nèi)置的安全功能,可用于擴(kuò)展硬件信任根。內(nèi)核提供的設(shè)備映射器 (DM) 框架支持用于驗(yàn)證、確認(rèn)完整性和加密存儲(chǔ)在塊存儲(chǔ)器中的應(yīng)用程序代碼的安全功能。BG網(wǎng)絡(luò)的ESSA利用這些Linux安全功能來加密根,其中包含Mender的客戶端軟件,并在啟動(dòng)期間進(jìn)行身份驗(yàn)證。
BG 網(wǎng)絡(luò)衛(wèi)星和電子學(xué)習(xí)安全協(xié)議的特點(diǎn)
BG Networks的安全自動(dòng)化工具和嵌入式安全軟件架構(gòu)相結(jié)合,支持從引導(dǎo)加載程序到應(yīng)用軟件的安全性,如下圖所示。
SAT支持恩智浦 I.MX 6和 I.MX 8M系列處理器的以下網(wǎng)絡(luò)安全功能:
使用實(shí)時(shí)操作系統(tǒng)或 Linux 對(duì)裸機(jī)上的系統(tǒng)進(jìn)行經(jīng)過身份驗(yàn)證和加密的引導(dǎo)
為 RSA 數(shù)字簽名生成公鑰和私鑰
支持高達(dá) 4096 位的密鑰,可抵御量子計(jì)算攻擊
使用 RSA 簽名對(duì)應(yīng)用程序二進(jìn)制文件進(jìn)行簽名
基于硬件加速器的 SHA-256 哈希,用于對(duì)公鑰進(jìn)行身份驗(yàn)證
生成長(zhǎng)度達(dá) 256 位的 AES 密鑰
基于加速器的 AES-CCM 加密,適用于存儲(chǔ)在閃存中的可啟動(dòng)代碼
使用存儲(chǔ)在ROM中的恩智浦不可變高保證啟動(dòng)(HAB)代碼
供應(yīng)鏈安全,防止灰色市場(chǎng)和假冒設(shè)備制造
通過 USB 或 UART 接口將安全二進(jìn)制文件下載到閃存。
處理器鎖定
ESSA是基于Linux的,當(dāng)與SAT結(jié)合使用時(shí),將支持:
硬件信任根擴(kuò)展到 Linux 根和軟件應(yīng)用層。
配置 Linux 設(shè)備映射程序 (DM) 加密功能。
使用加密算法和 HMAC-SHA256 加密算法。
基于曼德的 OTA 軟件更新支持。
曼德安全功能包括:
使用 RSA 簽名和 JSON 網(wǎng)絡(luò)令牌 (JWT) 進(jìn)行客戶端-服務(wù)器身份驗(yàn)證
通過加密通道 (HTTPS) 發(fā)送的軟件更新
使用 RSA 簽名進(jìn)行身份驗(yàn)證的軟件更新
創(chuàng)建安全代碼的步驟概述
要使用這些工具保護(hù)您的 Linux 軟件,起點(diǎn)是 ESSA。使用基于約克托的 ESSA 文件構(gòu)建軟件。這將構(gòu)建一個(gè)映像,該映像將集成 Mender 以執(zhí)行 OTA 軟件更新。集成將創(chuàng)建一個(gè) Yocto 項(xiàng)目映像,其中包括可在初始預(yù)配期間切換到設(shè)備存儲(chǔ)的磁盤映像,并包含一個(gè)包含 Mender 可以無線部署到的文件系統(tǒng)映像文件的工件。下一步是使用 SAT。通過回答一系列問題,將生成密鑰,U-boot將被加密和簽名,Linux內(nèi)核將被簽名。然后,SAT 用于將代碼下載到閃存、保護(hù) I/O 接口并鎖定處理器。這將導(dǎo)致代碼以加密形式存儲(chǔ)在閃存中,在啟動(dòng)時(shí)將對(duì)其進(jìn)行身份驗(yàn)證和完整性檢查,并且可以使用Mender通過網(wǎng)絡(luò)接口進(jìn)行更新。
審核編輯:郭婷
-
嵌入式
+關(guān)注
關(guān)注
5069文章
19021瀏覽量
303378 -
存儲(chǔ)器
+關(guān)注
關(guān)注
38文章
7453瀏覽量
163608 -
Linux
+關(guān)注
關(guān)注
87文章
11230瀏覽量
208934
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論