华为Atlas 500安全技术白皮书.docx
《华为Atlas 500安全技术白皮书.docx》由会员分享,可在线阅读,更多相关《华为Atlas 500安全技术白皮书.docx(12页珍藏版)》请在冰豆网上搜索。
华为Atlas500安全技术白皮书
华为Atlas500
安全技术白皮书
前言
概述
本文档详细地描述了华为Atlas500智能小站(以下简称Atlas500)支持的安全技术。
读者对象
本文档主要适用于以下工程师:
l华为售前工程师
l渠道伙伴售前工程师
符号约定
在本文中可能出现下列标志,它们所代表的含义如下。
符号
说明
用于警示紧急的危险情形,若不避免,将会导致人员死亡或严重的人身伤害。
用于警示潜在的危险情形,若不避免,可能会导致人员死亡或严重的人身伤害。
用于警示潜在的危险情形,若不避免,可能会导致中度或轻微的人身伤害。
用于传递设备或环境安全警示信息,若不避免,可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。
“注意”不涉及人身伤害。
用于突出重要/关键信息、最佳实践和小窍门等。
“说明”不是安全警示信息,不涉及人身、设备及环境伤害。
1简介
Atlas500主要面向边缘场景实现视频、图片的智能化分析能力,同时集成一定的通用计算能力、存储能力,以及灵活的网络接入能力。
应用领域覆盖交通、电力、安防、工业制造等各种行业,可以部署在街边柜、商场、超市、派出所等环境复杂的场所。
Atlas500产品支持与云端服务器连接,实现云边协同。
例如,从云端下载镜像自动部署,并将处理后的结果上传到云端保存。
图1-1Atlas500网络拓扑
Atlas500在边缘应用场景面临的安全威胁主要归结为以下两类:
l业务软件系统的安全威胁。
业务软件系统主要包含用户安装的软件,其安全性依赖于用户提供的软件,如主机进程和容器服务等。
安全威胁的影响,除了影响业务软件自身,还可能影响到整个系统。
l管理软件系统的安全威胁。
管理软件系统包含硬件管理与系统管理,其安全性依赖于Atlas500的固件。
安全威胁的影响,涉及到整个系统能否正常、可靠的工作。
本文讨论的主要是管理软件系统的安全性,即Atlas500系统自身提供的操作与管理接口,及其自身固件的安全性,不涉及第三方提供的业务软件的安全性。
Atlas500管理软件系统面临的主要安全风险:
l外部入侵者利用系统自身存在的漏洞或缺陷,获得管理控制权,从事非法操作。
l外部入侵者盗取管理员帐号,进入系统盗取用户存储的视频、图片等私有数据。
l内部非法者利用自身的权限通过系统漏洞获取更高控制权,从事非法操作。
l用户安装的第三方软件进行越权操作,获取超出运行自身业务需要的关键资源。
2安全架构
Atlas500的端到端安全架构采用三层三面的架构模型,该架构针对每一层每一面的安全威胁和攻击进行分析,提供了相应的技术防护措施。
本文后续章节将逐一进行详细分析。
Atlas500的安全架构如下图所示:
图2-1Atlas500的安全架构
3安全设计
3.1帐号安全
3.2认证管理
3.3证书管理
3.4会话管理
3.5安全协议
3.6数据保护
3.7密钥管理
3.8系统加固
3.9安全启动
3.10日志审计
3.11资源隔离
3.12权限控制
3.1帐号安全
Atlas500支持Web、Redfish、WebSocket等管理接口,并提供了统一的用户管理功能。
只支持1个外部可登录用户,不支持增加、删除用户。
帐号安全措施包括:
密码复杂度检查、密码有效期和帐号防暴力破解。
l密码复杂度检查:
对用户配置的密码的复杂度进行校验,避免用户设置过于简单的密码。
密码复杂度要求:
–长度至少为8个字符。
–至少包含“小写字母(a-z)、大写字母(A-Z)、数字(0-9)、特殊字符”中的任意3种
–不能是用户名或用户名的倒序。
–不能修改为过去5次使用过的旧口令。
–口令不能使用字典词汇。
l密码有效期:
支持用户密码有效期检查(默认30天有效期),密码达到有效期后必须修改新密码才能登陆;密码有效期小于10天时,系统会提示用户修改密码。
l账号防暴力破解:
账号支持基于用户连续多次登录失败锁定。
–登录失败锁定:
当用户连续输入错误密码的次数超过设置的错误次数(默认5次)时,该用户被锁定。
用户被锁定后,在锁定时长(默认300秒)内不能继续登录,需要等待系统自动解锁。
3.2认证管理
用户通过Web、CLI访问时需要进行认证,支持“用户名+密码”的认证方式。
认证通过后才能进行设备的管理配置和信息查询等操作。
3.3证书管理
证书是指SSL证书,在建立WebHTTPS连接时使用,用于证明Web站点的身份。
证书管理就是指对SSL证书的各种管理操作,包括查看当前证书信息(证书的使用者、颁发者、有效期、序列号)、生成CSR文件、导入由CSR生成的签名证书、导入自定义证书,证书格式只支持X.509格式。
Atlas500的SSL证书默认使用自签名SSL证书,证书的签名算法使用SHA256RSA
(2048位)。
从安全考虑,客户也可以导入自己的证书来替换系统中默认的自定义证书,Atlas500支持两种替换自签名证书的方法:
l使用Atlas500生成的证书:
a.登录到Atlas500的Web,修改证书使用者信息。
b.生成CSR。
c.导出CSR。
d.将CSR提交给CA机构。
e.CA机构生成cer\crt\pem格式签名证书。
f.将签名证书导入。
说明
签名证书必须与CSR配套,即:
签名证书必须是通过该CSR申请的,否则导入证书失败。
g.重启系统生效。
l使用用户提供的证书:
a.用户生成自定义证书或直接从CA购买证书。
b.登录到Atlas500的Web,将自定义证书或购买的证书导入到Atlas500。
c.重启系统生效。
3.4会话管理
l会话生成
会话标识使用安全随机数生成,禁止同一个用户同时建立多个会话。
l会话销毁
有两种方式终止会话:
3.5安全协议
–
超时终止:
对于Web、SSH等长连接会话实现了静默超时断连机制,超过超时时间没有操作则会自动断开会话。
–手动终止:
用户主动发起请求终止当前会话。
另外,管理员可以主动终止其它会话。
外部接入访问默认使用SSH、HTTPS方式,传输通道通过使用安全协议进行加密。
不安全协议HTTP默认关闭。
各种安全传输协议的特性如下:
lSSH
–支持用户密码认证。
–支持SSHV2。
lHTTPS
–默认开启TLS1.2。
–支持安全的加密算法AES_128_CBC_SHA256、AES_256_CBC_SHA256。
3.6数据保护
Atlas500涉及密码、密钥的所有敏感数据都进行了加密保护,防止敏感信息泄露。
Atlas500支持升级包的加密和签名保护,防止升级包内容被破解和篡改,保证升级包的机密性和完整性。
除了加密保护,Atlas500对Linuxshell进行了封装,用户通过SSH登录后无法直接访问文件系统中的文件,防止文件被破坏及文件信息泄露。
Atlas500支持对关键数据文件进行备份及计算并保存文件校验和,并提供了文件校验失败的备份恢复机制,防止因系统异常掉电导致的数据文件破坏,保护数据文件的可用性和完整性。
3.7密钥管理
Atlas500密钥管理采用“根密钥+工作密钥”的“两层密钥管理结构”,根密钥用来对工作密钥进行加密,工作密钥对被保护数据进行加密。
密钥管理如下图所示:
l密钥生成:
根密钥由安全随机数生成。
工作密钥使用安全随机数生成。
l密钥使用:
密钥用途单一,每个密钥只用于一种用途。
l密钥存储:
根密钥分成多个组件分开保存,进行权限控制。
工作密钥使用根密钥加密后保存。
l密钥更新:
支持手动更新,执行更新密钥的命令,系统会随机生产新的密钥,旧密钥会被销毁。
3.8系统加固
系统最小化安装,Atlas500对嵌入式Linux系统进行裁剪,只安装系统必须的组件,不使用的组件和命令都被删除。
对Linuxshell命令行进行了封装加固,屏蔽了一些Linux系统命令,只能执行白名单定义的命令,降低攻击风险。
对系统中SSH、Restful等服务端进行安全配置加固,只支持安全的算法,不安全的协议和端口默认关闭。
3.9安全启动
安全启动原理
安全启动(SecureBoot)是一种结合数字签名技术,来实现系统启动阶段代码完整性验证的方法。
在上一级程序度量下一级程序的时候,不仅仅采用哈希进行度量,而且结合数字签名方法对下一级代码的完整性进行验证,如果下一级代码不能通过数字签名的完整性校验验证,则系统不能正常启动。
从而保证启动的下一级代码是没有被篡改过的完整的代码。
Atlas500安全启动方案
对发布的固件进行数字签名,在CPU的OTP中烧写可信根,系统启动时对启动的固件进行签名校验。
校验通过才加载固件进行下一步启动,从而保证了启动的代码是没有被篡改过的。
3.10日志审计
Atlas500支持日志审计,日志信息中包含用户名、用户IP地址、操作时间、操作内容等信息。
Atlas500日志保存在Flash文件系统中,当日志文件达到指定大小后会自动进行日志文件备份。
3.11资源隔离
Atlas500允许用户对每个部署的容器服务设置相应的资源限额,如CPU资源限额、内存资源限额。
Atlas500支持以挂载卷的方式将数据导入容器,容器独享挂载卷的内容。
3.12权限控制
Atlas500系统内部创建了不可登录的普通用户帐号,专门用于运行容器。
用户安装的容器软件,至多只有普通用户的权限,可以防止容器软件异常行为危害系统安全。
4安全技术发展趋势
随着边缘计算应用的发展,以及客户对安全的要求越来越高,我们在边缘安全技术上将持续改进,在以下方面进行探索:
l针对第三方软件包的安装行为进行安全加固,例如检测安装包中是否存在恶意行为。
l增强容器间的隔离性,保证业务运行的独立性和数据的安全性。
l可信启动,支持对软件启动全过程进行度量。
A附录
A.1总结
华为致力于提供业界最好的产品和服务以满足客户的需求。
我们非常重视网络安全,已经投入了很多资源去提升和改善我们公司、业界同行以及其他各方的能力,为产品提供安全保障。
华为在内部还建立了独立的网络安全实验室及安全测试团队,对产品进行网络安全专项测试;同时华为积极、持续地参与ITU-T、3GPP、IETF等国际电信标准组织中的安全标准制定,加入FIRST(应急事件及安全团队论坛)等安全组织,并通过和主流安全厂商紧密合作,为行业的健康发展作出自己的贡献,努力保障全球客户的网络安全。
华为成立了监控、受理产品安全漏洞的专门组织PSIRT(产品安全事件应急响应团
队),华为希望安全研究人员、行业组织、政府组织和供应商主动与华为PSIRT联系,报告潜在的华为产品的安全漏洞或安全问题。
华为PSIRTE-mail邮箱:
mailto:
PSIRT@
注:
1.华为面向全球发布了网络安全白皮书——《网络安全透视:
21世纪的技术与安全
—一场艰难的联姻》。
该白皮书由华为全球网络安全官约翰.萨福克(John
Suffolk)撰写,详细参见如下链接:
documents/attachments/hw_187368.pdf
2.关于华为PSIRT的详细说明请查看如下链接:
about-huawei-psirt
A.2缩略语
C
CA
CertificateAuthority
电子认证服务机构
CSR
CertificateSigningRequest
认证签名请求
I
IoT
InternetofThings
物联网
O
OTP
OneTimeProgrammable
一次性可编程
S
SSH
SecureShell
安全外壳协议
升级会员 