Linux ディストリビューターが語る
「組込みLinux」の今
サイバートラスト株式会社
伊東達雄
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
2
今回のイチオシ
この夏、組込みLinuxで抑えておきたいポイントは?
1
2
3
組込み向けLinux、保守は大丈夫?
超長期サポートを実現するための取組み
リアルタイム処理はしたい、でもネットワークやリッチなGUIも実現したい。
LinuxとRTOSの”イイトコ”取りを実現するOpenAMP
そのセキュリティ処理、ほんとに安全?
TrustZoneを活用したOP-Teeでデバイスのセキュリティを確保する。
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
4
新生サイバートラスト:ソフトバンクグループと合併
● 認証局
● IoT脆弱性診断
● Linux Distributor
● 組込み用Linux
ミラクル・リナックス
株式会社
サイバートラスト
株式会社
東証1部上場
東証1部上場
ソフトバンク グループ
ソフトバンク・テクノロジー グループ
合併
サイバートラスト:事業領域
国内電子認証局の運用
Linux/OSS の専門性
電子認証の専門性
ITインフラを支えるLinux提供
組込みLinux
IoT 電子認証
認証・セキュリティ事業
IoT事業
Linux/OSS事業
サイバートラストの認証事業とミラクル・リナックスの組込みLinux 事業の組み合わせで
IoT 時代のデファクトスタンダードへ
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
6
OSS事業のコアコンピタンスと 製品
専用OS領域
従来型サーバ領域
Linux開発
●
独自カーネル
●
ネットワーク
●
マルチアーキテクチャ
●
FastBoot
コアコンピタンス:OS技術、Linuxディストロ技術、エンタープライズサポート技術
ビジネスセグメント:コアコンピタンスを差別化に活用できるエリア、クラウド領域と組込み(車載)領域に注力
サーバOS/クラウド基盤
●
カーネル
●
ドライバ作成、解析
●
障害解析、対応
統合監視.統合運用
●
HW,SWアプライアンス
●
クラスタ対応
●
仮想化、DB、HW監視
テンプレート提供
●
他社、OSSを含む複合環境
の統合HAPI(*1)
Linux
OS
Linux
組込
Linux
デジタル・サイネージ
●
映像再生特化OS
●
HWアプライアンス
●
個別開発対応
●
リアルタイム性能強化
●
ブラウザ技術
映像系
ソリューション
IVI,IoT デバイス制御
コア・コンピタンス
OS技術
コミュニティ連携
サポート技術
(*1)Hatohol Arm Programming Interface:外部連係通信機能
システムバックアップ
●
VMWare、仮想環境や固有
のファイルシステムも完全
バックアップ
●
最新機器への対応
●
長期間サポート
インフラ
ソリューション
MIRACLE LINUX採用実績
ファクトリーオートメーション
通信・交換機
鉄道/航空
オートモーティブ
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
8
サイバートラストとARMのシナジー
❏ 組込みLinuxでの協業
❏ ヘテロマルチコア環境の活用
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
10
み
ら
く
る
ちゃん
● オープンで明るく元気
● 葉っぱとペンギンが
モチーフ
● Linuxの
妖精
で人間とLinux
が仲良くなれるようにがん
ばっているよ
と
ら
す
と
ちゃん
● しっかり者のおねえさん
● 鍵やスーツ、裁判官が
モチーフ
● 信頼と認証の
女神
でみんな
が安心・安全に暮らせるよう
に世界を支えているんだ
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
12
かーねる
くん
● Asianuxのカーネルがからうまれ
たLinuxの
妖精
● みらくるちゃんの
子分
なんだ!
● みらくるちゃんと一緒に人間と
Linuxが仲良くなれるようにがん
ばっているよ
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
14
組込みソリューション【EMConnect】
EMTee
EMDuo
EMLinux
同一SoC上でLinux/RTOS同時実行を実現
豊富な実績を持つ国産組込み向けLinux OS
Armの機能を使った組込み向けセキュアOS
商用組込みLinux、SecureOS、Linux/RTOS共存、Web GUI
次世代の組込み業界ニーズに応えるソリューション群
EMBrowser
HMIとして利用できる、
HTML5インターフェース
EMConnectシリーズ
TrustZone
EMLinux
RTOS
EMTee
Cortex-A53
Cortex-R5
Cortex-A53
Cortex-R5
EMBrowser
EMDuo
長期サポート(CIP)
組込み技術の取組み
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
16
IoT機器に関連する政府の動向
【改正民法2020年4月施行】
●
IoT機器も5年間はセキュリティパッチ供給が定常化へ
【米議会2017年8月上院提出】
●
国が調達する重要IoT機器はアップデート可能であること
【総務省2017年9月実施】
●
脆弱なIoT機器を調査し、メーカ―と所有者と情報共有
【総務省2017年10月公開】
●
IoTセキュリティ総合対策
■
IoT機器のICチップに電子署名
■
適合品への認定プログラム案あり
ソフトウェア・アップデートとRoot of Trustがセキュリティ対策の基本
SW Updateが必須機能へ
(OTA:Over-the Air)
鍵管理が標準へ
(Root of Trust)
長期サポート体制:OSSコミュニティ及びSoCメーカーとの連携
ソース管理システム
OSS
コミュニティ
MIRACLE LINUX
Asianux
お客様専用Linux
お客様専用Linux
お客様専用Linux
Embeded MIRACLE
SoC
メーカー
コミッター エンジニア
パッチ投稿
機能のバックポート
HWの問題の
エスカレーション
●
サイバートラストが長期サポートできる理由
○
15年間維持しているエンタープライズLinux MIRACLE LINUX/Asinauxの実績
○
MIRACLE LINUX や様々なお客様のカスタマイズLinuxを共通化し一括管理システム
○
SoCメーカーとのアライアンスで、KernelとHWの境界問題もサイバートラストが1stで対応
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
18
• Linux Foundation傘下のオープンソースプロジェクトとして2016年4月設立
– ファウンダー:
東芝、日立、シーメンス、
Codethink、Plathome
– その後、ルネサス、Moxa、CTJが参加
• CIPの目的
– 社会インフラ構築のためのソフトブロックとして
超長期で使用・実装可能なIndustrialグレードの
オープンソースベースレイヤを提供
– Upstreamコミュニティと密に協業
– 新たなLinux Distroをつくるものではない
CIP(Civil Infrastructure Platform)
Platinum Members
Silver Members
交通運輸
エネルギー
産業
その他
鉄道オートメーション
車両制御
発電
産業オートメーション
CNC
ビルオートメーション
健康管理
OSSJ 2018 “Civil Infrastructure Platform: 2 Years
Experience of Industrial-grade Open Source Base
Layer Development and Its Future” (Yoshitake
Kobayashi, Toshiba Corporation) をベースに改版
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
活動スコープ
User space
Kernel space
Linux Kernel
App container
infrastructure (mid-term)
App Framework
(optionally, mid-term)
Middleware/Libraries
Safe & Secure
Update
Monitoring
Domain Specific communication
(e.g. OPC UA)
Shared config.
& logging
Real-time support
Real-time /
safe virtualization
Tool
s
Concepts
Build environment
(e.g. bitbake, dpkg)
Test automation
Tracing & reporting
tools
Configuration
management
Device management
(update, download)
Functional safety
architecture/strategy,
including compliance
w/ standards (e.g., NERC
CIP, IEC61508)
Long-term support
Strategy:
security patch
management
Standardization
collaborative effort with
others
License clearing
Export Control
Classification
デバイス上のソフトスタック
製品開発/メンテナンス
Application
life-cycle management
Security
Multimedia
Super Long Term Supported Kernel (STLS)
1
3
2
CIP Core Packages
4
4
1
4
Open Source Summit Japan 2018
20
1
2
3
4
4
4
1
OSSJ 2018 “Civil Infrastructure Platform: 2 Years
Experience of Industrial-grade Open Source Base
Layer Development and Its Future” (Yoshitake
CIPが使用するLTSバージョン
OSSJ 2018 “
Using Linux for Long Term -
Community Status and the Way We Go”
(Tsugikazu Shibata, NEC
) から引用・加筆
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
22
CIPと他のプロジェクトとの関係
●
CTJはCIPに参画し、コミュニティと連携した超長期サポート体制を確立します
● CIPでは各OSSコミュニティの成果と連携し、社会インフラ向けベースレイヤーのLinuxを提供
● CIPはReal-Time Linuxプロジェクトのゴールドメンバーとして連携
●
LTS (4.4)をターゲットにしたカー
ネルサポート
●
RealTime サポート
●
必要に応じLinus Treeからバッ
クポート
●
ユーザランドはDebian LTSを
使用
●
Debian スポンサー
Collaboration
●
主要なパッケージに対する
セキュリティアップデート
●
ソース、パッチ管理
●
アップストリーム
●
厳密なOSSライセンスチェック
●
Linuxカーネルパッケージ協調
KernelCI
CI/Test
CIP活動に参加するには?
最新情報は以下から入手可能:
• CIP Mailing list:
cip-dev@lists.cip-project.org
他のリソース
• CIP Web site:
https://www.cip-project.org
• CIP Blog:
https://www.cip-project.org/blog
• CIPをカバーする記事:
https://www.cip-project.org/news/in-the-news
• CIP Wiki:
https://wiki.linuxfoundation.org/civilinfrastructureplatform/
CIPソースコード
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
24
組込み技術の取組み
Linux
RTOS
OpenAMP
EMDuo:LinuxとRTOSの共存アーキテクチャ
・Linux:
- クラウド連携
- OSS資産の活用
・RTOS:
- リアルタイム性能担保
- 既存資産の活用
Wifiドライバ
デバイス制御
■ ひとつのSoCでコアごとにRTOSとLinuxを同時に実行
■ ARMが提唱するヘテロコア環境の実現
■ RTOSのリアルタイム性とLinuxの開発効率の両方メリットを享受
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
26
RTOSでリアルタイム処理をしながら
Linuxでネットワーク接続やグラフィック処理が可能です
Linuxを使いたい理由
ネットワーク接続
ユーザインターフェース
Cortex-A75
Linux
RPMsg
LTE、Wifi
RTOS
デバイス
Cortex-A55
RPMsg
OpenAMP
Cortex-A75
Linux
RPMsg
RTOS
Cortex-A55
RPMsg
OpenAMP
アニメーション効果
3次元効果、など
CLICK
!!
H.264エンコード
動画
GUI
EMDuo/OpenAMP性能
●
EMDuo RPMsg転送性能
○
RTOSからLinuxにrpmsg_sendで100バイト転送
○
処理時間
■
RTOS(rpmsg_send処理)
117μs
■
Linux(callback受信処理)
18μs
●
OpenAMP上でのTCP/IP実装の課題(
TCP/IP over rpmsg OpenAMP with Udoo Neo
)
○
ARM SoC上のCortex-A9 とCortex-M4でrpmsg上にTCP/IPの通信を実装
■
512バイト(デフォルト)を使用
○
iperf (ネットワーク機器向けベンチマーク)では、 約700Kbit/s
ハードウェア
RTOS側ソフトウェア(バージョン)
Linux側ソフトウェア(バージョン)
・ZYNQ 7020(最大 866MHz)
Dual ARM Cortex-A9 コア
・FreeRTOS(9.01)
・libopenamp(1.3)
・libmetal(1.4)
・Linuxカーネル(4.9.0 (+xilinx patch)
・libmetal(v2017.10)
・OpenAMP(v2017.10)
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
28
Linuxのリアルタイム性能向上
●
ターゲット: Rasberry Pi 3 (32bit)
●
OS: Raspbian 9
●
カーネルバージョン : 4.14.33と4.14.34-rt27(PREEMPT_RT適用カー
ネル)
●
測定方法
○
Vanillaカーネルと PREEMPT_RT適用カーネルで cyclictestを
使って性能を測定
○
cyclictest
・nanosleepを定期的に繰り返し、スリープから起きる
理想的な時刻と実際に起きた時刻の差分を計算する
・cyclictest -p 90 -m -c 0 -i 200 -n -v 100 -q -l 5000
●
-p: プロセスプライオリティ
●
-i: インターバル
●
-l: 測定回数
●
-n: nanosleep
リアルタイムパッチによって、応答時間半減、
応答最大最小値5分の1に短縮
Preempt Real Time Patch性能
性能測定条件
リアルタイムパッチ
通常カーネル
レイテンシー( μs)
個数
通常カーネル
Preempt RT Patch
最小値:29us、最大値:150us、平均値:39us 最大最小差:121us
最小値:14us、最大値:39us、 平均値:18us 最大最小差:25us
LinuxとRTOSの比較
Linux
RTOS
起動時間
秒オーダー
・Linux高速起動ソリューション( FastBoot)で、
数十秒の立ち上がり時間を一桁秒に短縮可能
ミリ秒オーダー
応答性
数十マイクロ~ミリ秒オーダー
・Preempt Real Time Patchで割込み応答性、 応答
時間の揺らぎ を大幅改善
マイクロ秒オーダー
・最悪応答時間の保証
フットプリント
16MB以上
・アプリケーションに依存※
数百KB以上
・アプリケーションに依存
プログラミングモデル
タイムシェアリング(他動式)
FCFS/優先度方式等(自律式)
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
30
全4回の連載で
Linux移行の疑問を解消
RTOSから組込みLinuxへの移行支援
掲載から3年が経過した今も
「ITRON」や「VxWorks」などの
ユーザにが参考にしている。
◎第1回:リアルタイム OSからLinuxへ
◎第2回:組込みOSの比較と選択
◎第3回:組込みLinux導入の注意点
◎第4回:組込みLinuxのトラブルと
ディストリビューションの必要性
これからLinuxに移行を考えている
人を支援する目的で、組込み
LinuxとRTOSの違いやLinux選定
の注意点などを、4回の連載に分
けて解説。
https://www.miraclelinux.com/product-service/total-embedded/point
組込み技術の取組み
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
32
TrustZone:EMTee (OP-TEE商用版)
Arm TrustZoneを利用:証明書の管理や暗号化、DRM処理などの
秘匿性の高い処理をSecure Worldで実行し、Normal Worldから隔離
Kernel
GlobalPlatform
TEE Client API
GlobalPlatform
TEE Internal API
TEE core
【 Normal World 】
Linux
【 Secure World 】
OP-TEE
Arm® TrustZone®-enabled chipset
Secure
Monitor
HAL
DRM
SW更新
機器証明
optee_core
Trusted
Application
ID
●
IoT機器に埋め込まれた電子証明書は、Secure
World内でのみアクセスできるようにすることで、
電子署名の改ざん、なりすましを防止
●
IoT機器からクラウドに送達する情報に電子署名
を行うことで、IoT機器の真正性を担保
●
IoT機器情報取得例
1.
IoT機器からクラウドにアクセス
2.
クラウド上のIoT機器管理サービスからIoT機
器に問い合わせ
3.
Normal WorldのアプリからSecure Worldの
電子署名アプリに機器IDを依頼
電子証明書をSecure Worldに格納することで、
IoT機器証明の信頼度をより一層高める
ことができます
EMTee活用例
①
電子署名
④
Arm TrustZone-enabled Chip
Linux/
Android
optee
core
Secure World
Normal World
ATF
Uboot
Secure
Storage
optee
client
optee
linuxdriver
アプリ
セキュア
通信
④
⑤
③
デバイス
ID
①
②
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
34
まとめ
この夏、組込みLinuxで抑えておきたいポイントは?
1
2
3
組込み向けLinux、保守は大丈夫?
超長期サポートを実現するための取組み
リアルタイム処理はしたい、でもネットワークやリッチなGUIも実現したい。
LinuxとRTOSの”イイトコ”取りを実現するOpenAMP
そのセキュリティ処理、ほんとに安全?
TrustZoneを活用したOP-Teeでデバイスのセキュリティを確保する。
組込みLinuxに強い!サイバートラスト株式会社
アツい!
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
36
セキュアOTA
セキュアOTAは弊社の電子認証と紐づけたところに特長あり
開発製造時
●
デバイス専用のOSやアプリ向け
ウイルス対策の組み込み
●
証明書の組み込み
●
検証済みLinuxの提供
更新ファイルのアップロード
安全な
更新を提供
組込みLinux
電子認証
IoTデバイス
開発企業
OTA
公開
Copyright Cybertrust Japan Co., Ltd. All rights reserved.
