服务器上怎么做网站,盲盒小程序加盟,学计算机能做什么工作,编辑wordpress代码AG351.SELINUXSElinux 是一个强制访问控制系统,它为每个进程与文件都打上一个安全上下文标签,而 selinux 通过这个标签对系统访问控制进行管理。2.针对车载产品对于启动安全、平台运行安全、通信安全三个主要领域有着特 殊 很 高 的 要 求 , 为 此 Quectel 结 合 了 Qualcomm 给…AG351.SELINUXSElinux 是一个强制访问控制系统,它为每个进程与文件都打上一个安全上下文标签,而 selinux 通过这个标签对系统访问控制进行管理。2.针对车载产品对于启动安全、平台运行安全、通信安全三个主要领域有着特 殊 很 高 的 要 求 , 为 此 Quectel 结 合 了 Qualcomm 给 出 的 secureboot 、QSEE/TrustZone安全机制以及Linux系统的DM-verity、SELinux和openSSL等组合方式实现从启动到客户进程安全稳定运行防止出现盗窃取、篡改客户信息和文件等重要信息。实时更新各层安全漏洞通信安全基于iptabel(针对客户特定的应用场景实现各种复杂安全路由策略)Openssl(定时完善安全漏洞、协助客户开发)实现安全可靠的网络通信。平台安全基于QSEE/TZSELinux等机制实现linux系统资源文件保护程序安装和执行网路安全。QUECTEL 提供动态灵活的分区和文件系统机制,从而增加文件的存储安全以及FLASH 寿命QSEE/TZ TrustZone 提供一个可信程序执行环境(TEE)(包括内存安全、外设访问安全等),保证你的代码运行时不能被别人窥探到。固件保护跟文件系统只读、备份还原机制、可定制化分区启动安全基于QC-Secboot(内核安全启动/镜像签名)DM-Verity(文件系统安全校验实现启动文件验证标签、文件系统安全)硬件调试接口关闭本地通信接口关闭等(关闭jtag、fastboot、adb、串口、usb口)。(启动流程校验、优化、规范化)A7平台安全机制A7安全启动1.安全引导系统在启动过程的每个阶段添加加密检查。设备执行的软件镜像必须经过安全校验。这种额外的检测能够防止非法串改的软件在设备上运行。安全引导通过hardware fuses识别被标记的启动镜像签名工具2.每个阶段启动一个镜像被之前一个镜像检测ROMCODE是最先信任启动的每个阶段授权下一个阶段ROMCODE-bootloader-ARM TrustZone-每个镜像通过其功能建立设备安全性3.使能安全启动ROMCODE 和bootloader(1) 将默认的key改变成用户使用的key在目录SOURCE_DIR/sbu/keys/使用命令$ openssl genrsa –aes256 -out key.pem 2048(2) When prompted about the pass-phase for RSA key, put pass-phase inpassphrase.txtinthe same directory.(3)Get user public key HASH and HASH ZERO bits count by the command tool:$ python3SOURCE_DIR/sbu/src/secure_boot_utils/sbu_main/primary_key_hash_creator.py SOURCE_DIR/sbu/keys/rsakey.pem ../keys/passphase.txt LSHA256_TRUNC(4)Write public key HASH and zero bit count into OTP.使能安全启动需要以下相关配置Secure boot configurations0xB[7:0]Number of bit 0 in User Public Key HASH0x10 – 0x13[31:0]User Public Key HASHROMCODEBootloader in signed formatCsrvisor、kernelload and verifiesBootloader loads andverifies TrustEnvironment withSHA256 digest.SHA and RSASHA and RSA | RSA4.引导加载签名格式RSA 密匙证书和镜像签名证书签名格式为SHA256M3安全启动1.对启动镜像进行安全校验。安全性一、安全特征1.平台安全启动校验A7、M3、Kalimba Audio(音频处理器)生命周期状态通过控制对设备的产生和管理决定设备的安全能力客户机密安全配置(密匙和证书)安全调试RMA mode :快速诊断由于缺陷而返回的设备2.内容保护cortexA7 TrustZone、SRAM、DRAM等3.安全对硬件单元的访问控制的配置寄存器的防火墙保护分区的NOC映射4.第三方应用的执行A7提供资源(TEE)允许执行第三方应用程序同时保留平台的完整性、安全性、内容保护性、安全性等特点。5.软件许可与版本控制二、安全资源1.Trusted Execution Environment(TEES)TrustZone extensions、DRAM 、SPRAM、regitsters、crypto engines、OTP 、ROMcode.etc2.微型控制子系统(MCS)cortex M3Network on chipSHA-256 engineROM code.3.常供电区域TEES MCS4.IPC内部处理器通信机制带安全机制5.安全DMA大多数DMA通道可配置成安全模式和非安全模式三、生命周期状态(LCS)芯片制造、设备制造、安全、安全禁用。四、认证启动cortex M3、cortex A7五、安全子系统平台安全由安全子系统硬件支持六、MCS 安全MCS安全包括SH-256和AES-128加密硬件控制器。七、配置TEE1.内存防火墙SPRAM、DRAM防火墙用于设置针对特定发起方的内存缓冲区并可以提供不同的访问。对于不同的发起人和不同权限的读/写访问的缓冲区的权限。2.寄存器防火墙寄存器防火墙可以被配置为保护块(地址范围)免受特定CPU发起人其他非在任何情况下CPU发起人都无法访问寄存器。3.KAS、ARM和cortex M3 安全通信传输4.NoC安全边带信号八、配置IPC安全安全配置应该使用NFWW边带管理器根据安全要求划分这些。九、DMA控制器每个DMA控制器(除DMAC1由NOC目标防火墙(NTFW)保护)根据相关联的安全状态每个DMAC信道可以被配置为安全或非安全的。十、安全性安全性是通过在ARM CORTEX-A7(CA7)和ARM CORTEX-M3(CM3)之间划分单元来实现的。十一、调试ARM使用术语“安全调试”这意味着CaleSee硬件可以生成安全事务。调试与安全相关的项。安全调试还涉及安全设备的调试。十二、供应供应是引入OEM特定机密(例如DRM密钥)和完整性关键数据(例如证书)的行为再进入系统十三、区域返回操作/RMA车载安全机制一、硬件安全1.主板安全(主板上调试接口、测试点安全评估)2.存储安全(敏感器件标识、存储器件安全评估)3.总线安全(can总线安全协议)4.无线模块安全二、软件安全1.代码逻辑安全2.日志输出安全3.运行数据安全4.通信安全(4G、wifi、蓝牙等)5.业务逻辑安全6.启动安全7.权限控制8.更新安全9.操作系统安全10.应用安全(应用系统和应用程序的安全)11.可修复安全12.固件安全(存储安全、启动安全、升级安全)13.系统安全加固和漏洞利用缓解(1)开启随机数生成开关(CONFIG_ARCH_RANDOM)、选择对应随机数生成硬件平台(CONFIG_HW_RANDOM)(2)开启审计支持(CONFIG_AUDIT)、支持对系统调用审计(CONFIG_AUDITSYSCALL)(3)开启SYNcookie以应对拒绝服务攻击(CONFIG_SYN_COOKIES)(4)开启栈溢出保护(CONFIG_CC_STACKPROTECTOR)(5)开启内核只读数据不可写(CONFIG_DEBUG_RODATA)(6)约束root权限对/dev/mem访问权限(CONFIG_STRICT_DEVMEM)(7)关闭/proc/kcore内存映射(CONFIG_PROC_KCORE)(8)开机系统内核日志访问控制(CONFIG_SECUITY_DMESG_RESTRICT)(9)开启内存也可执行权限检查(CONFIG_PAX_NOEXEC)(10)开启内存权限检查(CONFIG_PAX_MPROTECT)(11)开启地址空间布局随机化(CONFIG_PAX_ASLR)(12)开启内核栈布局随机化(CONFIG_PAX_RANDKSTACK)开启用户控件栈布局随机化(CONFIG_PAX_RANDUSTACK)(13)开机映射空间布局随机化(CONFIG_PAX_RANDMMAP)(14)开启/proc目录安全加固(CONFIG_GRKERNSEC_PROC)(15)开启/proc目录用户隔离(CONFIG_GRKERNSEC_PROC_USER)(16)开启/proc目录用户组隔离(CONFIG_GRKERNSEC_PROC_GROUP)(17)阻止非root用户访问设备信息(CONFIG_GRKERNSEC_PROC_ADD)(18)阻止查看其它用户LINK信息(CONFIG_GRKERNSEC_LINK)(19)阻止用户向其他用户管道进行写入(CONFIG_GRKERNSEC_FIFO)(20)CHRROOT安全策略加固(CONFIG_GRKERNSEC_CHROOT)(21)开启可执行文件与脚本白名单配置(CONFIG_GRKERNSEC_TPE)(22)自主访问控制(访问权限控制USER-GROUP-OTHER、Linux Capability机制、安卓权限机制)(23)强制访问控制(SELINUX、APPArmor、基于linux内核系统模块)三、移动app应用安全(应用系统和应用程序的安全)身份认证、会话管理、敏感数据存储传输、组件安全、常见安全漏洞、不安全运行环境。四、云平台TSP
