WDC10 Livre blanc sur la sécurité - InstaShowTM
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Table des matières Introduction ........................................................................................................................... 3 Le système InstaShowTM ......................................................................................................... 3 La configuration d'InstaShowTM ................................................................................................................. 3 Introduction à l'interface physique du système et au micrologiciel .......................................................... 4 InstaShowTM est un système de sécurité forte ........................................................................ 5 Système de module de consommation d'énergie ..................................................................................... 5 Système de modules vidéo et audio .......................................................................................................... 5 Système de codage et décodage vidéo et audio........................................................................................ 6 Système de module de transmission sans fil ............................................................................................. 6 Système de module réseau étendu/réseau local ...................................................................................... 6 Système de module de gestion de l'interface utilisateur Web .................................................................. 7 Système de module lumineux.................................................................................................................... 7 Système de module EMI/ESD..................................................................................................................... 7 Système de module PCB ............................................................................................................................ 7 Auto-déclaration ecoFACTS de BenQ ......................................................................................................... 7 Protection du flux de diffusion ............................................................................................... 8 Architecture du système InstaShowTM ....................................................................................................... 8 Architecture du réseau InstaShowTM ......................................................................................................... 9 Conclusion ........................................................................................................................... 12 2 Mars 2018
Introduction InstaShowTM est une solution d'affichage commercial de nouvelle génération, dont le code est WDC10. Ce produit est principalement caractérisé par une haute définition, plug-and-play, aucun logiciel pilote et une sécurité configurable. Pour une solution d'affichage commercial de nouvelle génération, une méthode de connexion sans fil est utilisée pour remplacer une connexion filaire traditionnelle, et un mécanisme de sécurité est ajouté à ce chemin de diffusion sans fil pour fournir une méthode de transmission sans fil sécurisée. Étant donné que l'interface d'imagerie InstaShowTM est une interface multimédia haute définition (HDMI), si un périphérique sur un client prend en charge la sortie HDMI, il n'est pas nécessaire de s'inquiéter de la nécessité d'exécuter un logiciel supplémentaire. De cette manière, il empêche les attaques de logiciels malveillants ou les menaces, et peut garantir que les clients et les utilisateurs d'InstaShowTM sont protégés. C'est pourquoi nous sommes préoccupés par la sécurité, et la protection de la diffusion des données est l'un de nos principaux critères de conception. Ce livre blanc se concentre sur la sécurité, y compris les détails de l'architecture et le contrôle technique pour InstaShowTM. Le système InstaShowTM BenQ a sorti fin 2014 le WDP01, le produit de transmission audio et vidéo sans fil de première génération, suivi de la sortie d'InstaShowTM (WDC10), le système d'affichage de transmission d'image sans fil commercial de première génération, fin 2015. La sortie d'InstaShowTM offre un nouveau concept de transmission d'image sans fil sur le marché. La configuration d'InstaShowTM Deux capacités principales sont implémentées pour le produit InstaShowTM. Pour la première capacité, tout le monde est autorisé à partager le contenu en cliquant simplement sur le bouton sur InstaShow Button pour présenter un contenu sur l'écran d'accueil. Pour la deuxième capacité, le contenu de l'écran d'accueil est basculé vers un contenu d'un autre partageur rapidement et facilement sans attendre l'installation du système. Le produit InstaShowTM comprend : Host : C'est le cœur de tout le système et également l'équipement de réception, qui peut établir des connexions sans fil avec 16 Button simultanément, et est principalement responsable de recevoir les données de diffusion fournies par Button ainsi que d'assurer que la vidéo et l'audio sont affichés sur l'appareil d'affichage correctement. Le personnel informatique d'une entreprise peut ajouter Host à un domaine d'entreprise via un port réseau. 3 Mars 2018
Lorsque Host devient l'un des équipements du domaine de l'entreprise, l'interface Web fournie par Host peut permettre au personnel informatique de surveiller l'état d'InstaShowTM à distance. Même si Host devient l'un des équipements de domaine dans un réseau local, le personnel de surveillance ne peut toujours pas obtenir le contenu des données en continu par intrusion ou menace. Button : C'est l'appareil de transmission de tout le système. Le câble USB est principalement responsable de l'alimentation du système, et le câble HDMI est destiné à la réception de données vidéo et audio au format HDMI, comme ordinateurs portables, PS4, lecteurs Blu-ray/DVD, etc. En cliquant sur le bouton sur InstaShow Button, cela compressera les signaux de diffusion HDMI en tant que codes vidéo et audio, qui sont immédiatement envoyés au périphérique d'affichage connecté au côté Host via Wi-Fi. LAN Introduction à l'interface physique du système et au micrologiciel Le système d'exploitation pour InstaShowTM Host et Button est un système d'exploitation Linux embarqué. Le système d'exploitation Linux agit comme . Accès au chargeur de démarrage . Accès CLI Linux Les E/S physiques de Host incluent : .DÉL Contrôle GPIO .Bouton(s) Recherche GPIO .Ethernet : Interface utilisateur Web API REST Communication avec le client 4 Mars 2018
.Wi-Fi : Interface utilisateur Web Communication avec le client .Micro USB Alimentation .HDMI Sortie vidéo / audio Les E/S physiques de Button incluent : .DÉL Contrôle GPIO .Bouton(s) Recherche GPIO .Wi-Fi : Communication avec Host .USB : Alimentation .HDMI Entrée vidéo / audio InstaShowTM est un système de sécurité forte Pour le produit InstaShowTM, les concepteurs de systèmes et les ingénieurs R&D ont fourni un certain nombre de solutions pour la menace et la sécurité de la transmission sans fil, des modules qui éliminent les menaces de sécurité par modularisation du système, ainsi que plusieurs améliorations de modules pour aboutir à l'architecture InstaShowTM. Système de module de consommation d'énergie Le système d'alimentation pour Button et Host d'InstaShowTM utilise une conversion 5 V cc à 3,3 V cc comme tension d'alimentation principale du système. Selon la loi de conservation d'énergie, le courant d'alimentation est augmenté en réduisant la tension, de sorte qu'une faible puissance est suffisante pour prendre en charge le fonctionnement de l'ensemble du système. Le système de module de consommation d'énergie passe 20.000 heures de vérification de l'alimentation MTBF à long terme et Host est conforme au règlement (CE) n° 107/2009. Système de modules vidéo et audio L'interface source de InstaShowTM vidéo et audio est HDMI. HDMI est une interface de transmission d'image et de son entièrement numérique, pouvant transmettre des signaux audio et vidéo non compressés. HDMI peut transmettre des signaux audio et vidéo simultanément et est protégée par la réglementation HDCP. La 5 Mars 2018
source d'entrée ou de sortie HDMI pour le système InstaShowTM est conforme aux réglementations pour les certifications HDMI 1.4b et HDCP 1.4b. Les périphériques de Source et Puits prennent en charge HDMI 1.4b / HDCP 1.4b, tous deux compatibles avec InstaShowTM. Le numéro de certification obtenu pour InstaShowTM est ATCTW-16031 (Host), ATCTW-16032 (Button). Système de codage et décodage vidéo et audio L'interface HDMI est pour les signaux audio et vidéo non compressés. La quantité de données pour les signaux audio et vidéo non compressés 1080p à 60 Hz est énorme. Si la transmission sans fil est utilisée pour cette grande quantité de données en continu sans compression, une bande passante considérable sera inévitablement occupée. Afin de résoudre un tel dilemme, InstaShowTM importe des méthodes de codage et de décodage vidéo et audio pour compresser la bande passante requise pour la vidéo et l'audio à 40 Mb/s. En outre, les ingénieurs R&D se consacrent à l'équilibre entre qualité audio et vidéo et utilisation de la bande passante de transmission, et importent des techniques de codage dynamique pour ajuster dynamiquement le taux de compression en fonction de la qualité de la bande passante sans fil. Système de module de transmission sans fil Le protocole de transmission Wi-Fi pour InstaShowTM est 802.11ac avec le mode de chiffrement WPA2 AES 128 bits, et WPA2 est la meilleure technologie de chiffrement pour la connexion Wi-Fi à ce stade. Cependant, l'existence de vulnérabilités pour WPA2 est signalée récemment : "Un attaquant dans la gamme sans fil du réseau Wi-Fi peut exploiter ces vulnérabilités grâce à des Attaques de réinstallation de clé (KRACK). Selon le rapport de recherche sur les KRACK fourni par Mathy Vanhoef, l'attaque est ciblée sur le mécanisme de prise de contact à 4 voies de WPA2 pour l'équipement client (par exemple, ordinateurs portables, Smartphones ou tablettes, etc.), au lieu d'utiliser la station de base." Pour plus d'informations sur les KRACK, cliquez sur ce lien : https://www.krackattacks.com Host d'InstaShowTM est une station de base et Button est un équipement client. Bien que Button soit affilié à l'équipement client, le système Button est un système fermé, de sorte que les menaces externes ne peuvent pas résider et attaquer le système via une interface HDMI ou une interface USB purement destinée à l'alimentation. Le système de module de transmission sans fil passe également les certifications des règlements de sécurité RF de divers pays, tels que CE (EN 301 893), FCC (47 CFR FCC partie 15.407), NCC (NCC LP0002), TELEC (ARIB STD-T71) et ainsi de suite. Système de module réseau étendu/réseau local InstaShowTM est un schéma d'affichage commercial sans fil local fermé, et Host ne peut pas accéder au réseau étendu. Lorsque le port réseau étendu de Host est connecté à un routeur d'entreprise, le routeur d'entreprise fournit à Host un accès à Internet. Cependant, tout équipement sans fil, tel qu'un Smartphone ou un ordinateur portable, qui se connecte au SSID de Host, ne peut accéder aux informations d'Internet via Host, de sorte que les pirates externes ne peuvent pas s'introduire dans l'équipement sans fil sur un client par Host. Le module réseau étendu/réseau local d'InstaShowTM est fourni principalement aux utilisateurs pour configurer le système. L'interface de configuration est l'interface utilisateur Web. 6 Mars 2018
Système de module de gestion de l'interface utilisateur Web InstaShowTM peut gérer l'interface utilisateur Web. L'interface utilisateur Web peut interroger l'état du système, les paramètres Wi-Fi, les mises à jour du système, etc. Un appareil d'un utilisateur peut se connecter au SSID de Host via Wi-Fi ou se connecter à Host via le réseau local. L'utilisateur doit fournir un compte et un mot de passe pour se connecter à la page d'accueil de l'interface utilisateur Web. Système de module lumineux InstaShowTM fournit un système d'indication convivial. Un indicateur lumineux est l'approche rapide la plus directe pour InstaShowTM. L'anneau lumineux sur un bouton affiche l'état actuel du système intuitivement. Les concepteurs du système et les ingénieurs R&D utilisent des moyens spéciaux pour adoucir les sources de lumière ponctuelles, qui ne stimulent pas la vision, de sorte que l'utilisateur se sente à l'aise pour lire l'état. Système de module EMI/ESD InstaShowTM peut empêcher les attaques de piratage réseau. En outre, les ingénieurs respectent les réglementations de sécurité pour les produits. InstaShowTM est conforme aux réglementations EN55032 et EN55024. Système de module PCB InstaShowTM est également dédié à la prévention des substances dangereuses et de la pollution de l'environnement, de sorte que le PCB réponde au processus sans plomb, sans halogène et respectueux de l'environnement pour les circuits imprimés. Il y a un mécanisme de contrôle globalement planifié, allant du contrôle des matières premières, du processus de préparation des matériaux à l'inspection après vente et à la vérification des stocks. Auto-déclaration ecoFACTS de BenQ Depuis 2011, les étiquettes vertes ecoFACT ont été ajoutées sur tous les produits de BenQ, qui indiquent clairement les designs écologiques et les matériaux verts utilisés par les produits BenQ. Pour développer des produits verts respectueux de l'environnement, BenQ dynamise tous ses produits en promouvant activement la politique verte, au lieu de rendre les produits conformes aux réglementations vertes passivement ! InstaShowTM adhère à la réglementation ecoFACTS, indiquant que le meilleur effort a été fait pour le remplacement des substances dangereuses, la sélection des matériaux, la conception de l'emballage, la conception d'économie d'énergie et d'autres aspects. 7 Mars 2018
Protection du flux de diffusion Grâce à l'analyse des menaces de la modélisation du système, la sécurité du système peut être divisée en piratage externe et gestion de la protection interne. Indépendamment de la menace, son but n'est rien d'autre que la destruction et le vol. InstaShowTM est un système d'affichage de transmission de réseau sans fil. Le système de réseau d'InstaShowTM ne peut pas accéder au réseau externe et peut éviter l'invasion de pirates externes. L'interface de transmission vidéo et audio InstaShowTM est basée sur HDMI, et la prise en charge logicielle n'est pas requise pour le chemin de diffusion vidéo et audio. La plus grande menace à la sécurité dans une entreprise est le logiciel. InstaShowTM n'a pas d'exigence logicielle qui pourrait inquiéter une entreprise, et peut répondre au besoin d'une entreprise qui nécessite un partage d'écran sans fil par plusieurs utilisateurs. Architecture du système InstaShowTM Pour le flux de fonctionnement d'InstaShowTM, Button reçoit les signaux de diffusion vidéo et audio de l'appareil Source HDMI, et transmet le signal vidéo et audio à Host sans fil, puis transmet le signal vidéo et audio à l'équipement Puits via HDMI. Selon la procédure du processus, l'architecture du système InstaShowTM est catégorisée en : (1) Décodage du signal HDMI (2) Compression du signal vidéo et audio (3) Flux vidéo et audio avec chiffrement sur Wi-Fi (4) Décompression du signal vidéo et audio (5) Codage du signal HDMI 8 Mars 2018
Support/interface de transmission Remarque Flux Source HDMI Connexion HDMI Ordinateur portable, PS4 ou lecteur BD/DVD ↓ Câble HDMI HDCP 1.4b ou non (selon le contenu) 1. Décodage HDCP ou non Button Connexion HDMI 2. Codage vidéo et audio 3. Codage à double chiffrement ↓ Wi-Fi 802.11ac WPA2 PSK AES 128 InstaShowTM 1. Décodage à double chiffrement Host Connexion HDMI 2. Décodage vidéo et audio 3. Décodage HDCP ↓ Câble HDMI HDCP 1.4b ou non (selon le contenu) Puits HDMI Connexion HDMI Affichage Architecture du réseau InstaShowTM Pour InstaShowTM, dans le flux d'opérations, l'architecture du système doit respecter la confidentialité, l'intégrité et la disponibilité pour garantir la sécurité du système. La transmission peut être divisée en transmissions filaire et sans fil. La connexion filaire est avantageuse d'une immunité élevée aux interférences. Un espace environnemental avec communication sans fil peut être souvent interféré avec des ondes électromagnétiques intentionnelles ou non intentionnelles. InstaShowTM, qui est un système de transmission sans fil permettant au système de fonctionner normalement en réduisant les interférences électromagnétiques, est très applicable à la conférence ou à l'environnement domestique. L'architecture du système de transmission InstaShowTM peut être divisée en couche physique, couche réseau et couche applicative, dont l'architecture et le fonctionnement seront expliqués plus tard. 9 Mars 2018
1. Couche physique Les interfaces physiques prises en charge par InstaShowTM incluent USB/micro USB, HDMI et Ethernet. Le problème de sécurité avec l'impact le plus direct dans un système est l'interface physique. Un intrus peut utiliser l'interface pour effectuer une interprétation du micrologiciel par ingénierie inverse, ainsi que pour charger un logiciel malveillant sur l'équipement. L'interface physique de l'équipement du système de protection a la même importance que les autres couches de protection du système. USB : Il fournit une alimentation de 5 V/0,9 A pour Button simplement sans fournir de mécanismes d'échange de données unidirectionnels et bidirectionnels. Micro USB : Il fournit une alimentation de 5 V/1,5 A pour Host sans fournir de mécanismes d'échange de données unidirectionnels et bidirectionnels. HDMI : Entrée et sortie pour la transmission vidéo et audio, prenant en charge la protection HDCP. Ethernet : Les paramètres de connexion de l'interface utilisateur Web sont fournis et la mise à jour du micrologiciel ne prend pas en charge la fonction Internet. Le mécanisme de vérification pour les transmissions de Host et Button n'est pas effectué via la fonction d'interface ci-dessus. Les pirates ne peuvent pas voler toutes les données et tous les paramètres partagés par Host et le Button via l'interface physique. Pour la procédure de mise à niveau du micrologiciel, l'intégrité du format et la signature du micrologiciel seront vérifiées, sinon la procédure de mise à niveau n'est pas prise en charge. Une autre interface cachée du système est Wi-Fi, qui a un contrôle de sécurité intégral. Dans ce système, le Wi-Fi de Host fournit à Button une vérification entrante et une transmission vidéo et audio. Des contrôles supplémentaires pour l'authentification, la confidentialité et l'intégrité sont requis pour que d'autres appareils puissent accéder à la couche d'application de Host. 2. Couche réseau Le système de réseau d'InstaShowTM peut être divisé en réseau étendu et réseau local. La méthode pour le réseau étendu est de connecter le serveur réseau via l'interface Ethernet. InstaShowTM ne peut pas accéder à Internet via ce serveur réseau, mais permet uniquement à l'administrateur réseau du système de contrôler entièrement le système dans la couche application via le serveur Web d'entreprise et le mécanisme d'authentification. Le système de réseau et les autres contrôles d'accès pour InstaShowTM sont des réseaux locaux virtuels indépendants, séparés du réseau de données d'entreprise. Le réseau local établit une connexion locale avec Button ou d'autres appareils Wi-Fi en utilisant le Wi-Fi. Le mécanisme de protection du Wi-Fi repose sur la norme de sécurité IEEE 802.11i qui fournit à WPA2-PSK une authentification par clé pré-partagée (PSK). Le chiffrement WPA2-PSK garantit la confidentialité et l'intégrité de toutes les données sur un canal sans fil. Le mode de chiffrement utilise AES avec une clé de 128 bits avec une longueur de caractère supérieure à 8 et inférieure à 63. L'intégrité est obtenue en utilisant le protocole CBC-MAC en mode compteur (CCMP) et une méthode de vérification appelée MIC (Vérification de l'intégrité des messages). Le mot de passe WPA2-PSK et le SSID sont utilisés, les deux peuvent être configurés par l'administrateur sur l'interface réseau de Host. 10 Mars 2018
3. Couche d'application Le système d'exploitation central de Host et Button d'InstaShowTM est le système d'exploitation Linux. Cette couche d'application fournit la configuration du système, la gestion de l'association sans fil, la gestion des performances de la communication et du réseau de transmission à l'écran sans fil, la conversion du format vidéo et audio et le décodage/codage vidéo et audio. Gestion de l'association sans fil : Avant le fonctionnement complet du système, Host et Button doivent établir une connexion Wi-Fi. La connexion réseau est établie au niveau de la couche TLS (sécurité de la couche de transport) au niveau du réseau. Lorsque l'authentification est créée côté Host, Button doit être identifié pour savoir si le code de vérification de sécurité de InstaShowTM correspond. Une fois la connexion établie entre les deux côtés, Host a encore besoin d'une étape de vérification de Button supplémentaire (adresse MAC). Gestion des performances de la communication et du réseau de transmission à l'écran sans fil : Le contenu de la transmission de l'écran sans fil passe par UDP (protocole de datagramme utilisateur) parce que UDP n'a pas besoin d'établir une connexion comme une prise de contact en trois étapes, de sorte que la communication est très efficace. Dans le diagramme d'architecture de trame UDP, un client ne requiert que deux étapes (socket et sendto) pour lancer une requête, alors que le serveur ne requiert que trois étapes pour recevoir des messages (socket, bind, recvfrom) du client. Conversion de formats vidéo et audio et décodage/codage de formats vidéo et audio : La conversion des données de flux vidéo et audio est un élément important dans InstaShowTM. La quantité de données HDMI avec une compression sans perte 1080p est d'environ 6 Go. InstaShowTM ne peut pas atteindre la quantité de transmission de 6 Go en utilisant 802.11ac. En ce qui concerne les quatre étapes pour le format vidéo et audio - conversion, compression, décompression et récupération du format vidéo et audio, le système peut fonctionner de manière fluide avec une excellente qualité d'image grâce à un processeur de base haute performance, un ajustement dynamique du taux de compression vidéo et audio, en liaison avec le réseau de transmission d'écran sans fil et la gestion des performances de communication. 11 Mars 2018
Configuration système : La configuration du système pour InstaShowTM utilise une interface Web pour assurer la connexion d'authentification avec Host via le service HTTP uniquement. HTTP effectue la transmission avec le navigateur de l'appareil via le texte brut directement et effectue une conversation interactive dans un mode général (non sécurisé). Par conséquent, le contenu sur Internet peut être intercepté par des personnes malintentionnées. C'est une vulnérabilité qui doit être améliorée dans ce système. La connexion de l'interface Web est liée à une session à cookie qui reste active jusqu'à la déconnexion ou l'expiration. Niveau de sécurité : Trois niveaux de sécurité sont utilisés pour InstaShowTM. Les niveaux de sécurité sont divisés en fonction du nombre de protections fonctionnelles fournies. Cela est décrit comme suit Niveau 1, . L'authentification d'identité et le mot de passe requis pour la connexion de Button au Wi-Fi de Host . Le compte et le mot de passe requis pour la connexion à l'interface utilisateur Web (HTTP) Niveau 2, . La connexion peut être établie uniquement si l'adresse Mac de Button est dans la liste de Host. . Verrouillage de l'écran lors de la configuration de l'interface utilisateur Web Niveau 3, . Pas d'accès à l'interface utilisateur Web via le Wi-Fi Conclusion La conception d'InstaShowTM est basée sur toutes les solutions matérielles, plug-and-play, aucun logiciel exécuté et rien à apprendre. Nous pensons qu'InstaShowTM peut fournir un certain degré de protection des données, de maintenance environnementale et des produits conviviaux, et ne promet aucune implémentation de portes dérobées ou de transmission cachée. BenQ continuera à investir dans notre plateforme, vous permettant de bénéficier de nos produits de manière sécurisée et transparente. 12 Mars 2018
Vous pouvez aussi lire