網絡安全的實施

BG Networks一種新的基于圖形用戶界面的軟件自動化工具和互補的嵌入式安全軟件架構，旨在使物聯網網絡安全變得容易。

BG網絡安全自動化工具（SAT）使嵌入式工程師能夠高效且有效地開發網絡安全代碼，而無需網絡安全背景。借助此工具，工程師可以輕松提高安全功能，提高工作效率，并縮短利用硬件平臺內置安全功能所需的時間。

當與 SAT 一起使用時，BG 網絡的嵌入式安全軟件架構 （ESSA） 是 Linux 的腳本、配方、配置和文檔的集合，可增強物聯網設備的網絡安全，包括安全啟動、加密、身份驗證和安全軟件更新。ESSA 使工程師能夠擴展硬件信任根，以保護 U-Boot、Linux 內核和根文件系統中的應用程序。

無處不在的物聯網安全 - 一種理念，而不是事后的想法

BG Networks的使命是確保每個連接的嵌入式設備都具有保護物聯網網絡免受網絡攻擊所需的網絡安全。我們認為，簡化大規模為物聯網設備添加網絡安全的任務是可行的。我們的目標是通過使嵌入式工程師快速、簡單和無縫地實現網絡安全，消除阻礙嵌入式工程師參與網絡安全的障礙。

BG Networks SAT和ESSA通過為嵌入式工程師提供易于使用且省時的工具，無需大量培訓或昂貴的咨詢即可實施復雜的安全協議，從而解決了實施網絡安全的挑戰。

利用硅內功能和開源軟件實現一流安全性

利用公開可用的加密技術并利用硬件中固有的網絡安全功能是BG Networks理念的其他租戶。當許多可用選項提供高級別的安全性并可以縮短實施時間時，為什么要重新發明輪子？

為了在不影響性能或功能的情況下提供強大的網絡安全，我們的自動化工具利用：

硅內加密加速器和安全存儲器

來自開源和可信賴合作伙伴的無線 （OTA） 軟件更新解決方案

安全特性

硅內加密安全特性，可提高效率

處理器半導體公司不斷改進嵌入式微處理器和微控制器的網絡安全功能。這些“硅內”功能非常安全，因為它們建立在硬件信任根之上，將密鑰存儲在安全內存中，可以監控安全狀態，并基于 ARM 的 TrustZone 建立受信任的執行環境。

與純軟件方法相比，BG Networks SAT通過直接配置處理器并向工程師的軟件添加必要的代碼/密鑰/簽名來利用這些固有的安全功能。這種使用硅內硬件的方法可產生高度安全的軟件，具有高水平的加密數據吞吐量，而不會犧牲功耗或內核處理器MIPS。

無線 （OTA） 軟件更新，提高安全性

沒有一個系統是100%安全的。部署后，肯定會發現安全漏洞，因此軟件更新至關重要。物聯網設備在現場后發現的漏洞可以使用OTA軟件更新進行補救。對于大型設備群，即使它們是遠程的，也可以快速且經濟高效地關閉安全風險。

BG網絡利用開源OTA更新軟件，并與行業領先的公司合作提供完整的解決方案。BG Networks的嵌入式安全軟件架構集成了 Mender.io，這是一個開源的端到端強大且安全的OTA軟件更新管理器，易于使用并使用同類最佳的安全技術。

利用 Linux 安全功能實現更強大的功能

Linux 內核具有內置的安全功能，可用于擴展硬件信任根。內核提供的設備映射器 （DM） 框架支持用于驗證、確認完整性和加密存儲在塊存儲器中的應用程序代碼的安全功能。BG網絡的ESSA利用這些Linux安全功能來加密根，其中包含Mender的客戶端軟件，并在啟動期間進行身份驗證。

BG 網絡衛星和電子學習安全協議的特點

BG Networks的安全自動化工具和嵌入式安全軟件架構相結合，支持從引導加載程序到應用軟件的安全性，如下圖所示。

SAT支持恩智浦 I.MX 6和 I.MX 8M系列處理器的以下網絡安全功能：

使用實時操作系統或 Linux 對裸機上的系統進行經過身份驗證和加密的引導

為 RSA 數字簽名生成公鑰和私鑰

支持高達 4096 位的密鑰，可抵御量子計算攻擊

使用 RSA 簽名對應用程序二進制文件進行簽名

基于硬件加速器的 SHA-256 哈希，用于對公鑰進行身份驗證

生成長度達 256 位的 AES 密鑰

基于加速器的 AES-CCM 加密，適用于存儲在閃存中的可啟動代碼

使用存儲在ROM中的恩智浦不可變高保證啟動（HAB）代碼

供應鏈安全，防止灰色市場和假冒設備制造

保護無人值守、USB、JTAG 輸入/輸出接口

通過 USB 或 UART 接口將安全二進制文件下載到閃存。

處理器鎖定

ESSA是基于Linux的，當與SAT結合使用時，將支持：

硬件信任根擴展到 Linux 根和軟件應用層。

配置 Linux 設備映射程序 （DM） 加密功能。

使用加密算法和 HMAC-SHA256 加密算法。

基于曼德的 OTA 軟件更新支持。

曼德安全功能包括：

使用 RSA 簽名和 JSON 網絡令牌 （JWT） 進行客戶端-服務器身份驗證

通過加密通道 （HTTPS） 發送的軟件更新

使用 RSA 簽名進行身份驗證的軟件更新

創建安全代碼的步驟概述

要使用這些工具保護您的 Linux 軟件，起點是 ESSA。使用基于約克托的 ESSA 文件構建軟件。這將構建一個映像，該映像將集成 Mender 以執行 OTA 軟件更新。集成將創建一個 Yocto 項目映像，其中包括可在初始預配期間切換到設備存儲的磁盤映像，并包含一個包含 Mender 可以無線部署到的文件系統映像文件的工件。下一步是使用 SAT。通過回答一系列問題，將生成密鑰，U-boot將被加密和簽名，Linux內核將被簽名。然后，SAT 用于將代碼下載到閃存、保護 I/O 接口并鎖定處理器。這將導致代碼以加密形式存儲在閃存中，在啟動時將對其進行身份驗證和完整性檢查，并且可以使用Mender通過網絡接口進行更新。

審核編輯：郭婷