华为Atlas 500安全技术白皮书.docx

1、华为Atlas 500安全技术白皮书华为 Atlas 500安全技术白皮书前言概述本文档详细地描述了华为Atlas 500智能小站（以下简称Atlas 500）支持的安全技术。读者对象本文档主要适用于以下工程师：l 华为售前工程师l 渠道伙伴售前工程师符号约定在本文中可能出现下列标志，它们所代表的含义如下。符号说明用于警示紧急的危险情形，若不避免，将会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致中度或轻微的人身伤害。用于传递设备或环境安全警示信息，若不避免，可能会导致设备损坏、数据丢失、设备性能

2、降低或其它不可预知的结果。“注意”不涉及人身伤害。用于突出重要/关键信息、最佳实践和小窍门等。“说明”不是安全警示信息，不涉及人身、设备及环境伤害。 1简介Atlas 500主要面向边缘场景实现视频、图片的智能化分析能力，同时集成一定的通用计算能力、存储能力，以及灵活的网络接入能力。应用领域覆盖交通、电力、安防、工业制造等各种行业，可以部署在街边柜、商场、超市、派出所等环境复杂的场所。Atlas 500产品支持与云端服务器连接，实现云边协同。例如，从云端下载镜像自动部署，并将处理后的结果上传到云端保存。图 1-1 Atlas 500 网络拓扑Atlas 500在边缘应用场景面临的安全威胁主要归

3、结为以下两类：l 业务软件系统的安全威胁。业务软件系统主要包含用户安装的软件，其安全性依赖于用户提供的软件，如主机进程和容器服务等。安全威胁的影响，除了影响业务软件自身，还可能影响到整个系统。l 管理软件系统的安全威胁。管理软件系统包含硬件管理与系统管理，其安全性依赖于Atlas 500的固件。安全威胁的影响，涉及到整个系统能否正常、可靠的工作。本文讨论的主要是管理软件系统的安全性，即Atlas 500系统自身提供的操作与管理接口，及其自身固件的安全性，不涉及第三方提供的业务软件的安全性。Atlas 500管理软件系统面临的主要安全风险：l 外部入侵者利用系统自身存在的漏洞或缺陷，获得管理控制

4、权，从事非法操作。l 外部入侵者盗取管理员帐号，进入系统盗取用户存储的视频、图片等私有数据。l 内部非法者利用自身的权限通过系统漏洞获取更高控制权，从事非法操作。l 用户安装的第三方软件进行越权操作，获取超出运行自身业务需要的关键资源。 2安全架构Atlas 500的端到端安全架构采用三层三面的架构模型，该架构针对每一层每一面的安全威胁和攻击进行分析，提供了相应的技术防护措施。本文后续章节将逐一进行详细分析。Atlas 500的安全架构如下图所示：图 2-1 Atlas 500 的安全架构 3安全设计3.1 帐号安全3.2 认证管理3.3 证书管理3.4 会话管理3.5 安全协议3.6 数据保

5、护3.7 密钥管理3.8 系统加固3.9 安全启动3.10 日志审计3.11 资源隔离3.12 权限控制3.1 帐号安全Atlas 500支持Web、Redfish、WebSocket等管理接口，并提供了统一的用户管理功能。只支持1个外部可登录用户，不支持增加、删除用户。帐号安全措施包括：密码复杂度检查、密码有效期和帐号防暴力破解。l 密码复杂度检查：对用户配置的密码的复杂度进行校验，避免用户设置过于简单 的密码。密码复杂度要求： 长度至少为8个字符。 至少包含“小写字母（a-z）、大写字母（A-Z）、数字（0-9）、特殊字符” 中的任意3种 不能是用户名或用户名的倒序。 不能修改为过去5次使

6、用过的旧口令。 口令不能使用字典词汇。l 密码有效期：支持用户密码有效期检查（默认30天有效期），密码达到有效期后必须修改新密码才能登陆；密码有效期小于10天时，系统会提示用户修改密码。l 账号防暴力破解：账号支持基于用户连续多次登录失败锁定。 登录失败锁定：当用户连续输入错误密码的次数超过设置的错误次数（默认5 次）时，该用户被锁定。用户被锁定后，在锁定时长（默认300秒）内不能继续登录，需要等待系统自动解锁。3.2 认证管理用户通过Web、CLI访问时需要进行认证，支持“用户名 + 密码”的认证方式。认证通过后才能进行设备的管理配置和信息查询等操作。3.3 证书管理证书是指SSL证书，在建

7、立Web HTTPS连接时使用，用于证明Web站点的身份。证书管理就是指对SSL证书的各种管理操作，包括查看当前证书信息（证书的使用者、颁发者、有效期、序列号）、生成CSR文件、导入由CSR生成的签名证书、导入自定义证书，证书格式只支持X.509格式。Atlas 500的SSL证书默认使用自签名SSL证书，证书的签名算法使用SHA256 RSA（2048位）。从安全考虑，客户也可以导入自己的证书来替换系统中默认的自定义证书，Atlas 500支持两种替换自签名证书的方法：l 使用Atlas 500生成的证书：a. 登录到Atlas 500的Web，修改证书使用者信息。b. 生成CSR。c. 导

8、出CSR。d. 将CSR提交给CA机构。e. CA机构生成cercrtpem格式签名证书。f. 将签名证书导入。 说明签名证书必须与CSR配套，即：签名证书必须是通过该CSR申请的，否则导入证书失败。g. 重启系统生效。l 使用用户提供的证书：a. 用户生成自定义证书或直接从CA购买证书。b. 登录到Atlas 500的Web，将自定义证书或购买的证书导入到Atlas 500。c. 重启系统生效。3.4 会话管理l 会话生成会话标识使用安全随机数生成，禁止同一个用户同时建立多个会话。l 会话销毁有两种方式终止会话：3.5 安全协议 超时终止：对于Web、SSH等长连接会话实现了静默超时断连机制

9、，超过超时时间没有操作则会自动断开会话。 手动终止：用户主动发起请求终止当前会话。另外，管理员可以主动终止其它会话。外部接入访问默认使用SSH、HTTPS方式，传输通道通过使用安全协议进行加密。不安全协议HTTP默认关闭。各种安全传输协议的特性如下：l SSH 支持用户密码认证。 支持SSH V2。l HTTPS 默认开启TLS1.2。 支持安全的加密算法AES_128_CBC_SHA256、AES_256_CBC_SHA256。3.6 数据保护Atlas 500涉及密码、密钥的所有敏感数据都进行了加密保护，防止敏感信息泄露。Atlas 500支持升级包的加密和签名保护，防止升级包内容被破解和

10、篡改，保证升级包的机密性和完整性。除了加密保护，Atlas 500对Linux shell进行了封装，用户通过SSH登录后无法直接访问文件系统中的文件，防止文件被破坏及文件信息泄露。Atlas 500支持对关键数据文件进行备份及计算并保存文件校验和，并提供了文件校验失败的备份恢复机制，防止因系统异常掉电导致的数据文件破坏，保护数据文件的可用性和完整性。3.7 密钥管理Atlas 500密钥管理采用“根密钥 + 工作密钥”的“两层密钥管理结构”，根密钥用来对工作密钥进行加密，工作密钥对被保护数据进行加密。密钥管理如下图所示：l 密钥生成：根密钥由安全随机数生成。工作密钥使用安全随机数生成。l 密

11、钥使用：密钥用途单一，每个密钥只用于一种用途。l 密钥存储：根密钥分成多个组件分开保存，进行权限控制。工作密钥使用根密钥加密后保存。l 密钥更新：支持手动更新，执行更新密钥的命令，系统会随机生产新的密钥，旧密钥会被销毁。3.8 系统加固系统最小化安装，Atlas 500对嵌入式Linux系统进行裁剪，只安装系统必须的组件，不使用的组件和命令都被删除。对Linux shell命令行进行了封装加固，屏蔽了一些Linux系统命令，只能执行白名单定义的命令，降低攻击风险。对系统中SSH、Restful等服务端进行安全配置加固，只支持安全的算法，不安全的协议和端口默认关闭。3.9 安全启动安全启动原理安

12、全启动（Secure Boot）是一种结合数字签名技术，来实现系统启动阶段代码完整性验证的方法。在上一级程序度量下一级程序的时候，不仅仅采用哈希进行度量，而且结合数字签名方法对下一级代码的完整性进行验证，如果下一级代码不能通过数字签名的完整性校验验证，则系统不能正常启动。从而保证启动的下一级代码是没有被篡改过的完整的代码。Atlas 500 安全启动方案对发布的固件进行数字签名，在CPU的OTP中烧写可信根，系统启动时对启动的固件进行签名校验。校验通过才加载固件进行下一步启动，从而保证了启动的代码是没有被篡改过的。3.10 日志审计Atlas 500支持日志审计，日志信息中包含用户名、用户IP

13、地址、操作时间、操作内容等信息。Atlas 500日志保存在Flash文件系统中，当日志文件达到指定大小后会自动进行日志文件备份。3.11 资源隔离Atlas 500允许用户对每个部署的容器服务设置相应的资源限额，如CPU资源限额、内存资源限额。Atlas 500支持以挂载卷的方式将数据导入容器，容器独享挂载卷的内容。3.12 权限控制Atlas 500系统内部创建了不可登录的普通用户帐号，专门用于运行容器。用户安装的容器软件，至多只有普通用户的权限，可以防止容器软件异常行为危害系统安全。 4安全技术发展趋势随着边缘计算应用的发展，以及客户对安全的要求越来越高，我们在边缘安全技术上将持续改进，

14、在以下方面进行探索：l 针对第三方软件包的安装行为进行安全加固，例如检测安装包中是否存在恶意行为。l 增强容器间的隔离性，保证业务运行的独立性和数据的安全性。l 可信启动，支持对软件启动全过程进行度量。 A附录A.1 总结华为致力于提供业界最好的产品和服务以满足客户的需求。我们非常重视网络安全， 已经投入了很多资源去提升和改善我们公司、业界同行以及其他各方的能力，为产品提供安全保障。华为在内部还建立了独立的网络安全实验室及安全测试团队，对产品进行网络安全专项测试；同时华为积极、持续地参与ITU-T、3GPP、IETF等国际电信标准组织中的安全标准制定，加入FIRST（应急事件及安全团队论坛）等

15、安全组织，并通过和主流安全厂商紧密合作，为行业的健康发展作出自己的贡献，努力保障全球客户的网络安全。华为成立了监控、受理产品安全漏洞的专门组织PSIRT（产品安全事件应急响应团队），华为希望安全研究人员、行业组织、政府组织和供应商主动与华为PSIRT联系， 报告潜在的华为产品的安全漏洞或安全问题。华为PSIRT E-mail邮箱：mailto:PSIRT注：1. 华为面向全球发布了网络安全白皮书网络安全透视：21世纪的技术与安全一场艰难的联姻。该白皮书由华为全球网络安全官约翰.萨福克（JohnSuffolk） 撰写，详细参见如下链接： documents/attachments/hw_187368.pdf2. 关于华为PSIRT的详细说明请查看如下链接：https:/www.huawei.c