BG基于圖形用戶界面的嵌入式安全軟件架構(gòu)

網(wǎng)絡(luò)安全的實施

BG Networks一種新的基于圖形用戶界面的軟件自動化工具和互補的嵌入式安全軟件架構(gòu)，旨在使物聯(lián)網(wǎng)網(wǎng)絡(luò)安全變得容易。

BG網(wǎng)絡(luò)安全自動化工具（SAT）使嵌入式工程師能夠高效且有效地開發(fā)網(wǎng)絡(luò)安全代碼，而無需網(wǎng)絡(luò)安全背景。借助此工具，工程師可以輕松提高安全功能，提高工作效率，并縮短利用硬件平臺內(nèi)置安全功能所需的時間。

當(dāng)與 SAT 一起使用時，BG 網(wǎng)絡(luò)的嵌入式安全軟件架構(gòu) （ESSA） 是 Linux 的腳本、配方、配置和文檔的集合，可增強物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全，包括安全啟動、加密、身份驗證和安全軟件更新。ESSA 使工程師能夠擴展硬件信任根，以保護(hù) U-Boot、Linux 內(nèi)核和根文件系統(tǒng)中的應(yīng)用程序。

無處不在的物聯(lián)網(wǎng)安全 - 一種理念，而不是事后的想法

BG Networks的使命是確保每個連接的嵌入式設(shè)備都具有保護(hù)物聯(lián)網(wǎng)網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊所需的網(wǎng)絡(luò)安全。我們認(rèn)為，簡化大規(guī)模為物聯(lián)網(wǎng)設(shè)備添加網(wǎng)絡(luò)安全的任務(wù)是可行的。我們的目標(biāo)是通過使嵌入式工程師快速、簡單和無縫地實現(xiàn)網(wǎng)絡(luò)安全，消除阻礙嵌入式工程師參與網(wǎng)絡(luò)安全的障礙。

BG Networks SAT和ESSA通過為嵌入式工程師提供易于使用且省時的工具，無需大量培訓(xùn)或昂貴的咨詢即可實施復(fù)雜的安全協(xié)議，從而解決了實施網(wǎng)絡(luò)安全的挑戰(zhàn)。

利用硅內(nèi)功能和開源軟件實現(xiàn)一流安全性

利用公開可用的加密技術(shù)并利用硬件中固有的網(wǎng)絡(luò)安全功能是BG Networks理念的其他租戶。當(dāng)許多可用選項提供高級別的安全性并可以縮短實施時間時，為什么要重新發(fā)明輪子？

為了在不影響性能或功能的情況下提供強大的網(wǎng)絡(luò)安全，我們的自動化工具利用：

硅內(nèi)加密加速器和安全存儲器

來自開源和可信賴合作伙伴的無線 （OTA） 軟件更新解決方案

安全特性

硅內(nèi)加密安全特性，可提高效率

處理器半導(dǎo)體公司不斷改進(jìn)嵌入式微處理器和微控制器的網(wǎng)絡(luò)安全功能。這些“硅內(nèi)”功能非常安全，因為它們建立在硬件信任根之上，將密鑰存儲在安全內(nèi)存中，可以監(jiān)控安全狀態(tài)，并基于 ARM 的 TrustZone 建立受信任的執(zhí)行環(huán)境。

與純軟件方法相比，BG Networks SAT通過直接配置處理器并向工程師的軟件添加必要的代碼/密鑰/簽名來利用這些固有的安全功能。這種使用硅內(nèi)硬件的方法可產(chǎn)生高度安全的軟件，具有高水平的加密數(shù)據(jù)吞吐量，而不會犧牲功耗或內(nèi)核處理器MIPS。

無線 （OTA） 軟件更新，提高安全性

沒有一個系統(tǒng)是100%安全的。部署后，肯定會發(fā)現(xiàn)安全漏洞，因此軟件更新至關(guān)重要。物聯(lián)網(wǎng)設(shè)備在現(xiàn)場后發(fā)現(xiàn)的漏洞可以使用OTA軟件更新進(jìn)行補救。對于大型設(shè)備群，即使它們是遠(yuǎn)程的，也可以快速且經(jīng)濟(jì)高效地關(guān)閉安全風(fēng)險。

BG網(wǎng)絡(luò)利用開源OTA更新軟件，并與行業(yè)領(lǐng)先的公司合作提供完整的解決方案。BG Networks的嵌入式安全軟件架構(gòu)集成了 Mender.io，這是一個開源的端到端強大且安全的OTA軟件更新管理器，易于使用并使用同類最佳的安全技術(shù)。

利用 Linux 安全功能實現(xiàn)更強大的功能

Linux 內(nèi)核具有內(nèi)置的安全功能，可用于擴展硬件信任根。內(nèi)核提供的設(shè)備映射器 （DM） 框架支持用于驗證、確認(rèn)完整性和加密存儲在塊存儲器中的應(yīng)用程序代碼的安全功能。BG網(wǎng)絡(luò)的ESSA利用這些Linux安全功能來加密根，其中包含Mender的客戶端軟件，并在啟動期間進(jìn)行身份驗證。

BG 網(wǎng)絡(luò)衛(wèi)星和電子學(xué)習(xí)安全協(xié)議的特點

BG Networks的安全自動化工具和嵌入式安全軟件架構(gòu)相結(jié)合，支持從引導(dǎo)加載程序到應(yīng)用軟件的安全性，如下圖所示。

SAT支持恩智浦 I.MX 6和 I.MX 8M系列處理器的以下網(wǎng)絡(luò)安全功能：

使用實時操作系統(tǒng)或 Linux 對裸機上的系統(tǒng)進(jìn)行經(jīng)過身份驗證和加密的引導(dǎo)

為 RSA 數(shù)字簽名生成公鑰和私鑰

支持高達(dá) 4096 位的密鑰，可抵御量子計算攻擊

使用 RSA 簽名對應(yīng)用程序二進(jìn)制文件進(jìn)行簽名

基于硬件加速器的 SHA-256 哈希，用于對公鑰進(jìn)行身份驗證

生成長度達(dá) 256 位的 AES 密鑰

基于加速器的 AES-CCM 加密，適用于存儲在閃存中的可啟動代碼

使用存儲在ROM中的恩智浦不可變高保證啟動（HAB）代碼

供應(yīng)鏈安全，防止灰色市場和假冒設(shè)備制造

保護(hù)無人值守、USB、JTAG 輸入/輸出接口

通過 USB 或 UART 接口將安全二進(jìn)制文件下載到閃存。

處理器鎖定

ESSA是基于Linux的，當(dāng)與SAT結(jié)合使用時，將支持：

硬件信任根擴展到 Linux 根和軟件應(yīng)用層。

配置 Linux 設(shè)備映射程序 （DM） 加密功能。

使用加密算法和 HMAC-SHA256 加密算法。

基于曼德的 OTA 軟件更新支持。

曼德安全功能包括：

使用 RSA 簽名和 JSON 網(wǎng)絡(luò)令牌 （JWT） 進(jìn)行客戶端-服務(wù)器身份驗證

通過加密通道 （HTTPS） 發(fā)送的軟件更新

使用 RSA 簽名進(jìn)行身份驗證的軟件更新

創(chuàng)建安全代碼的步驟概述

要使用這些工具保護(hù)您的 Linux 軟件，起點是 ESSA。使用基于約克托的 ESSA 文件構(gòu)建軟件。這將構(gòu)建一個映像，該映像將集成 Mender 以執(zhí)行 OTA 軟件更新。集成將創(chuàng)建一個 Yocto 項目映像，其中包括可在初始預(yù)配期間切換到設(shè)備存儲的磁盤映像，并包含一個包含 Mender 可以無線部署到的文件系統(tǒng)映像文件的工件。下一步是使用 SAT。通過回答一系列問題，將生成密鑰，U-boot將被加密和簽名，Linux內(nèi)核將被簽名。然后，SAT 用于將代碼下載到閃存、保護(hù) I/O 接口并鎖定處理器。這將導(dǎo)致代碼以加密形式存儲在閃存中，在啟動時將對其進(jìn)行身份驗證和完整性檢查，并且可以使用Mender通過網(wǎng)絡(luò)接口進(jìn)行更新。

審核編輯：郭婷