物聯網安全系列之「終端安全」

在深入思考物聯網環境中的諸多安全性隱患後，結合物聯網設備在軟硬體環境、計算能力等方面的複雜性，海康威視設計的以視頻為核心的物聯網解決方案，力求打造出全新的安全架構，建立多維度的安全體系，充分保障終端安全、數據安全、應用安全、系統與網路安全以及安全合規。本系列分五個部分詳細介紹了安全技術和功能如何在海康威視物聯網解決方案平台中得以實現。

終端安全旨在確保設備的所有核心組件都能為軟體和硬體提供安全保護。海康威視設備的硬體和軟體實現了緊密集成，可確保系統的每個組件均獲得信任，並對系統進行整體驗證。從初始啟動到軟體更新，每個步驟都經過分析和審查。

安全啟動

安全啟動是終端安全的基石。

安全啟動的代碼固化在晶元內部，防止啟動流程被改動。設備啟動後，處理器會立即執行只讀內存（稱為 Boot ROM）中的代碼。Boot ROM代碼包含根CA公鑰，該公鑰用於驗證底層引導載入程序是否經過簽名，以決定是否允許其載入。啟動過程每個步驟包含的組件都經加密簽名以確保其完整性，只有在驗證信任後，每個步驟才能繼續。安全啟動鏈有助於確保底層的軟體未被篡改。

軟體更新

海康威視會定期發布軟體更新以解決新出現的安全性問題，並提供全新功能；此類更新會同時提供給所有受支持的設備。用戶會在設備上和客戶端軟體中看到固件更新通知，我們鼓勵用戶儘快應用最新的固件進行安全性修正。

設備端獲取軟體更新信息的傳輸過程採用HTTPS通信機制，有效保證固件更新包的數據保密性和完整性，防止固件包的數據泄露、篡改。海康威視在設備固件更新包中攜帶校驗碼，用於設備對固件更新包的發送源進行校驗，保證該固件更新包是來自合法的海康威視升級伺服器。

為避免設備降級為缺少最新安全性更新的早期版本，海康威視採用了防降級機制。如果可以將設備降級，攻擊者一旦有了設備的控制權，便會安裝早期版本的固件，並利用舊版本中未修復的漏洞來進行破壞。

安全晶元

為保證設備的安全，海康威視選用高性能安全晶元實現硬體級的高強度安全，同時支持設備安全啟動，對軟體和固件的啟動、升級進行簽名，保護數據完整性。

Trustzone是ARM在處理器中提供的安全技術，為設計具有高度安全性的嵌入式系統提供基礎。Trustzone將硬體和軟體資源劃分為兩個執行環境：安全環境（Secure world）和普通環境（Normal world）。通過硬體邏輯進行物理隔離，把敏感資源和機密資源放到安全環境中，降低其受到攻擊的可能性。

在物聯網設備上，速度和性能至關重要。加密操作非常複雜，如果在設計和實施時未考慮這兩個重要因素，可能會帶來一些體驗或性能方面的問題。海康威視設備晶元配備了專用的加密引擎，支持國際演算法和國密演算法，可以實現高效的數據加密。晶元自帶硬體真隨機數生成器，確保設備中的密鑰、隨機數據等具有較高的隨機性。

關於海康威視

海康威視是以視頻為核心的物聯網解決方案和數據運營服務提供商，是全球視頻監控數字化、網路化、高清智能化的見證者、踐行者和重要推動者, 面向全球提供安防、可視化管理與大數據服務。海康擁有視音頻編解碼、視頻圖像處理、視音頻數據存儲等核心技術，及雲計算、大數據、深度學習等前瞻技術，針對公安、交通、司法、文教衛、金融、能源和智能樓宇等眾多行業提供專業的細分產品、IVM智能可視化管理解決方案和大數據服務。在視頻監控行業之外，海康威視基於視頻技術，將業務延伸到智能家居、工業自動化和汽車電子等行業，為持續發展打開新的空間。

THE END

GIF

視頻監控安全

長按下方二維碼關注我們

只做最全的

視頻監控安全資訊

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！