□郭 凱 緱步清

探索基于軟件Keyladder的NB-IoT產(chǎn)品安全啟動升級，主要是針對窄帶物聯(lián)網(wǎng)(NB-IoT)的3GPP LTE R13版本標(biāo)準(zhǔn)體系，基于物聯(lián)網(wǎng)發(fā)展對網(wǎng)絡(luò)安全以及軟件升級啟動和合法性校驗(yàn)的要求，開發(fā)與設(shè)計新的基于NB-IoT終端的安全啟動和升級方法，確保窄帶物聯(lián)網(wǎng)技術(shù)(NB-IoT)的安全啟動和升級。本文基于軟件Keyladder的性能，針對NB-IOT技術(shù)與產(chǎn)品運(yùn)行的安全與風(fēng)險現(xiàn)狀，闡述如何在軟件Keyladder上實(shí)現(xiàn)NB-IoT產(chǎn)品安全啟動升級。

一、系統(tǒng)模塊設(shè)計

現(xiàn)階段的NB-IoT產(chǎn)品安全性不強(qiáng)，實(shí)施強(qiáng)調(diào)細(xì)化NB-IoT軟件啟動機(jī)制，科學(xué)設(shè)置安全校驗(yàn)法這套解決方案，可以使用高中低的配置和自適應(yīng)性，解決當(dāng)下物聯(lián)網(wǎng)產(chǎn)品安全啟動與校驗(yàn)升級存在的安全問題?；谲浖﨣eyladder實(shí)現(xiàn)NB-IoT產(chǎn)品的安全啟動升級，是利用軟件實(shí)現(xiàn)的Keyladder作為NB-IoT終端的啟動加密方式，按照信息安全分割執(zhí)行程度，將原有的啟動機(jī)制細(xì)化成APP1和APP2，根據(jù)內(nèi)存資源由原來的軟件裁剪出來的APP1，在Flash執(zhí)行，App2在內(nèi)存執(zhí)行用來做簽名校驗(yàn)[1]。將終端軟件分割成兩段，裁剪出從Flash直接啟動的APP1，與安全相關(guān)需要解密在內(nèi)存里執(zhí)行的APP2，并提供一種根據(jù)產(chǎn)品性能可配置的安全校驗(yàn)方法，確保終端產(chǎn)品的安全性和防抄版的能力。具體過程如下。

(一)切割程序，組建小模塊。利用軟件Keyladder實(shí)現(xiàn)信息的多級加解密，然后使用程序編譯文件，將啟動程序切割成從Flash執(zhí)行的APP1、在內(nèi)存中實(shí)現(xiàn)信息加密與執(zhí)行的APP2。

(二)設(shè)置信息模塊。信息模塊主要是包含了APP1和APP2在Flash的地址和長度信息、數(shù)據(jù)塊描述區(qū)地址和長度信息、安全配置模塊地址和長度信息，完善組件信息模塊，是要為確保信息的完整性。

(三)提高模塊的安全性。在APP1與APP2中配置安全模塊，使用加解密算法配置(AES、TDES、RSA等)、完整性校驗(yàn)算法配置(SHA、MD5、CRC等)，使用軟件Keyladder實(shí)現(xiàn)設(shè)備版本信息、配置版本信息的多級加密，保護(hù)產(chǎn)品信息。

(四)設(shè)置數(shù)據(jù)塊描述區(qū)。數(shù)據(jù)塊描述區(qū)的設(shè)定，在于將升級數(shù)據(jù)進(jìn)行分組與加密標(biāo)識，通過數(shù)據(jù)塊分組數(shù)、數(shù)據(jù)塊加密標(biāo)識以及對應(yīng)采用的加密算法標(biāo)識和數(shù)據(jù)加密key，標(biāo)識數(shù)據(jù)塊校驗(yàn)標(biāo)識，使用校驗(yàn)算法[3]。

(五)設(shè)置打包工具。采用程序打包工具對APP1與APP2內(nèi)的數(shù)據(jù)與程序進(jìn)行打包處理，按照百分比配置APP1的校驗(yàn)算法配置和確定APP1的校驗(yàn)比例；配置APP2的加密算法和確定APP2的加密比例，APP2的校驗(yàn)算法配置和APP2的校驗(yàn)比例(按百分比計)，確保軟件Keyladder的加密使用，確保解密數(shù)據(jù)塊描述區(qū)和安全配置模塊的root key的使用。

二、啟動流程設(shè)計

比對常規(guī)的程序啟動，基于軟件Keyladder的NB-IoT產(chǎn)品設(shè)計中，通過數(shù)據(jù)描述區(qū)的加密和校驗(yàn)百分比，解密對應(yīng)的數(shù)據(jù)，完成啟動合法性校驗(yàn)，完成APP1與APP2的配合運(yùn)行。具體環(huán)節(jié)如下。第一，上電啟動后初始化芯片；第二，用根密鑰解密組件信息，解析獲取APP1、APP2、安全配置、數(shù)據(jù)塊描述區(qū)在flash中存儲地址、大??；第三，根據(jù)組件信息中提取的安全策略地址和大小，用根密鑰解密安全配置數(shù)據(jù)，解析獲取本地安全配置版本，產(chǎn)品ID，支持的加密和校驗(yàn)方式等；第四，根據(jù)組件信息中提取數(shù)據(jù)塊描述區(qū)地址和大小，用root key解密數(shù)據(jù)塊描述區(qū)后，獲取APP1及APP2的分組數(shù)、各組加密方式、校驗(yàn)方式、加密密鑰、各組校驗(yàn)值等；第五，解析數(shù)據(jù)，先解析APP1分組數(shù)據(jù)，由APP1校驗(yàn)進(jìn)行校驗(yàn)。先用設(shè)備ID解密APP2，然后并根據(jù)數(shù)據(jù)塊描述區(qū)的校驗(yàn)比例配置進(jìn)行逐塊校驗(yàn)，校驗(yàn)成功后將APP2加載到指定內(nèi)存地址進(jìn)行校驗(yàn)與啟動操作；第六，如果APP1或是APP2數(shù)據(jù)校驗(yàn)失敗則復(fù)位重啟；第七，APP1和APP2的簽名校驗(yàn)都成功，則跳轉(zhuǎn)到APP1，程序開始從APP1 flash地址執(zhí)行，根據(jù)裁剪信息加載內(nèi)存中的APP2。

三、升級流程設(shè)計

基于軟件Keyladder的NB-IoT產(chǎn)品安全升級的方案，是通過打包工具將配置好校驗(yàn)加密比例的APP1和APP2以及用RootKey加密的安全配置信息、數(shù)據(jù)描述區(qū)等數(shù)據(jù)打包成一個升級文件，再對整個升級分解做RSA和SHA的數(shù)字簽名計算，確保升級軟件的合法性和完整性，具體環(huán)節(jié)如下：第一，將打包的升級軟件通過NB-IoT的私有協(xié)議下載到本機(jī)的OTA臨時存放區(qū)后，設(shè)置升級標(biāo)志重啟。第二，程序啟動后從OTA臨時存放區(qū)獲取升級數(shù)據(jù)，并用根密鑰解密數(shù)據(jù)頭信息，獲取打包數(shù)據(jù)的大小、簽名，然后用BOOT模塊的公鑰對整個升級數(shù)據(jù)做簽名校驗(yàn)。第三，RootKey解密組件信息，數(shù)據(jù)塊描述區(qū)，以及安全配置信息；解析組件信息，獲取APP1、APP2、安全策略、數(shù)據(jù)塊描述區(qū)在flash中存儲地址、大?。唤馕霭踩呗?，獲取安全策略版本、產(chǎn)品ID、支持加密方式、支持校驗(yàn)方式，跟本地安全策略進(jìn)行對比，檢查版本是否增加，產(chǎn)品ID是否匹配，加密校驗(yàn)方式是否匹配；解析數(shù)據(jù)塊描述區(qū)，獲取APP1及APP2的分組數(shù)、各組加密方式、校驗(yàn)方式、加密密鑰、各組校驗(yàn)值等。第四，校驗(yàn)APP1和APP2的合法性和完整性，根據(jù)設(shè)備ID信息二次加密APP2，將所有數(shù)據(jù)按組件信息的地址升級Flash的指定區(qū)域。第五，完成升級后復(fù)位重啟跳轉(zhuǎn)到啟動流程。

四、結(jié)語

綜上所述，針對目前的NB-IOT軟件終端，要確保軟件的安全校驗(yàn)，第一種，將終端軟件切割成兩段，將安全啟動程序分割成以flash直接啟動的APP1；第二種是進(jìn)行加密內(nèi)存、執(zhí)行安全操作的APP2，利用兩種App特點(diǎn)與功能，設(shè)計產(chǎn)品性能的安全校驗(yàn)方法，以提高終端產(chǎn)品的安全性與防抄版能力，實(shí)現(xiàn)產(chǎn)品安全升級。