「組込みlinux」の今 - 毎月約50,000人が利用する「aps-web」 … · 2018-08-21 ·...

公開Copyright Cybertrust Japan Co., Ltd. All rights reserved.

Linux ディストリビューターが語る

「組込みLinux」の今

サイバートラスト株式会社

伊東達雄

2018年7月27日

Version 1.2


2

今回のイチオシ

この夏、組込みLinuxで抑えておきたいポイントは？

1

2

3

組込み向けLinux、保守は大丈夫？超長期サポートを実現するための取組み

リアルタイム処理はしたい、でもネットワークやリッチなGUIも実現したい。LinuxとRTOSの”イイトコ”取りを実現するOpenAMP

そのセキュリティ処理、ほんとに安全？TrustZoneを活用したOP-Teeでデバイスのセキュリティを確保する。


3

サイバートラスト社紹介


4

新生サイバートラスト：ソフトバンクグループと合併

● 認証局

● IoT脆弱性診断

● Linux Distributor● 組込み用Linux

ミラクル・リナックス株式会社

サイバートラスト株式会社

東証1部上場

東証1部上場

ソフトバンクグループソフトバンク・テクノロジーグループ

合併


5

サイバートラスト：事業領域

国内電子認証局の運用

Linux/OSS の専門性電子認証の専門性

専用機器・組込み開発

ITインフラを支えるLinux提供

グローバル標準

組込みLinux

IoT 電子認証

IoT 事業開発・グローバル協業

認証・セキュリティ事業 IoT事業 Linux/OSS事業

サイバートラストの認証事業とミラクル・リナックスの組込みLinux 事業の組み合わせで

IoT 時代のデファクトスタンダードへ


6

OSS事業のコアコンピタンスと製品

専用OS領域従来型サーバ領域 Linux開発

● 独自カーネル● ネットワーク● マルチアーキテクチャ● FastBoot

コアコンピタンス：OS技術、Linuxディストロ技術、エンタープライズサポート技術ビジネスセグメント：コアコンピタンスを差別化に活用できるエリア、クラウド領域と組込み（車載）領域に注力

サーバOS/クラウド基盤

● カーネル● ドライバ作成、解析● 障害解析、対応

統合監視.統合運用

● HW,SWアプライアンス● クラスタ対応● 仮想化、DB、HW監視

テンプレート提供● 他社、OSSを含む複合環境

の統合HAPI(*1)

LinuxOS

Linux

組込Linux

デジタル・サイネージ

● 映像再生特化OS● HWアプライアンス● 個別開発対応● リアルタイム性能強化● ブラウザ技術

映像系ソリューション

IVI,IoT　デバイス制御コア・コンピタンス

OS技術コミュニティ連携サポート技術

(*1)Hatohol Arm Programming Interface:外部連係通信機能

システムバックアップ

● VMWare、仮想環境や固有

のファイルシステムも完全

バックアップ

● 最新機器への対応

● 長期間サポート

インフラソリューション


7

MIRACLE LINUX採用実績

ファクトリーオートメーション

通信・交換機

鉄道/航空

オートモーティブ


8

サイバートラストとARMのシナジー

❏ 組込みLinuxでの協業❏ ヘテロマルチコア環境の活用❏ IoTセキュリティに注力：TrustZone


9


10

みらくるちゃん

● オープンで明るく元気● 葉っぱとペンギンが

モチーフ● Linuxの妖精で人間とLinux

が仲良くなれるようにがんばっているよ


11

とらすとちゃん

● しっかり者のおねえさん● 鍵やスーツ、裁判官が

モチーフ● 信頼と認証の女神でみんな

が安心・安全に暮らせるように世界を支えているんだ


12

かーねるくん

● Asianuxのカーネルがからうまれ

たLinuxの妖精

● みらくるちゃんの子分なんだ！

● みらくるちゃんと一緒に人間とLinuxが仲良くなれるようにがんばっているよ


13


14

組込みソリューション【EMConnect】

EMTee

EMDuo

EMLinux

同一SoC上でLinux/RTOS同時実行を実現

豊富な実績を持つ国産組込み向けLinux OS

Armの機能を使った組込み向けセキュアOS

商用組込みLinux、SecureOS、Linux/RTOS共存、Web GUI

次世代の組込み業界ニーズに応えるソリューション群

EMBrowser

HMIとして利用できる、

HTML5インターフェース

EMConnectシリーズ

TrustZone

EMLinuxRTOS

EMTee Cortex-A53Cortex-R5

Cortex-A53Cortex-R5

EMBrowser

EMDuo

長期サポート(CIP)


15

組込み技術の取組み～長期サポートとCIP～


16

IoT機器に関連する政府の動向

【改正民法2020年4月施行】

● IoT機器も5年間はセキュリティパッチ供給が定常化へ

【米議会2017年8月上院提出】

● 国が調達する重要IoT機器はアップデート可能であること

【総務省2017年9月実施】

● 脆弱なIoT機器を調査し、メーカ―と所有者と情報共有

【総務省2017年10月公開】

● IoTセキュリティ総合対策

■ IoT機器のICチップに電子署名

■ 適合品への認定プログラム案あり

ソフトウェア・アップデートとRoot of Trustがセキュリティ対策の基本

SW Updateが必須機能へ（OTA：Over-the Air）

鍵管理が標準へ（Root of Trust）


17

長期サポート体制：OSSコミュニティ及びSoCメーカーとの連携

ソース管理システム

OS

Sコ

ミュ

ニテ

ィ

MIRACLE LINUXAsianux

お客様専用Linuxお客様専用Linuxお客様専用Linux

Embeded MIRACLE

　　　自動ビルドシステム

　　　自動テストシステム

SoC

メー

カー

お客様

コミッターエンジニア

パッチ投稿機能のバックポート

HWの問題のエスカレーション

BSPも含むLinux/OSSに関するお問い合わせ

● サイバートラストが長期サポートできる理由○ 15年間維持しているエンタープライズLinux MIRACLE LINUX／Asinauxの実績○ MIRACLE LINUX や様々なお客様のカスタマイズLinuxを共通化し一括管理システム○ SoCメーカーとのアライアンスで、KernelとHWの境界問題もサイバートラストが1stで対応


18

• Linux Foundation傘下のオープンソースプロジェクトとして2016年4月設立– ファウンダー：東芝、日立、シーメンス、

Codethink、Plathome– その後、ルネサス、Moxa、CTJが参加

• CIPの目的– 社会インフラ構築のためのソフトブロックとして

超長期で使用・実装可能なIndustrialグレードのオープンソースベースレイヤを提供

– Upstreamコミュニティと密に協業– 新たなLinux Distroをつくるものではない

CIP（Civil Infrastructure Platform）

Platinum Members

Silver Members

CIP参加企業


交通運輸エネルギー産業その他

鉄道オートメーション

車両制御

自動改札

発電

タービン制御

産業オートメーション

産業用通信

ＣＮＣビルオートメーション

健康管理

放送

19

OSSJ 2018 “Civil Infrastructure Platform: 2 Years Experience of Industrial-grade Open Source Base

Layer Development and Its Future” (Yoshitake Kobayashi, Toshiba Corporation) をベースに改版


活動スコープU

ser

spac

eKe

rnel

sp

ace

Linux Kernel

App container infrastructure (mid-term)

App Framework(optionally, mid-term)

Middleware/Libraries

Safe & SecureUpdate

Monitoring

Domain Specific communication(e.g. OPC UA)

Shared config. & logging

Real-time supportReal-time /

safe virtualization

Tools

Concepts

Build environment(e.g. bitbake, dpkg)

Test automation

Tracing & reporting tools

Configurationmanagement

Device management(update, download)

Functional safetyarchitecture/strategy, including compliancew/ standards (e.g., NERC CIP, IEC61508)

Long-term supportStrategy: security patchmanagement

Standardization collaborative effort with others

License clearing

Export Control Classification

デバイス上のソフトスタック製品開発／メンテナンス

Application life-cycle management

Security

Multimedia

Super Long Term Supported Kernel (STLS)1

3

2

CIP Core Packages4 41

4

Open Source Summit Japan 2018 20

1

2

3

4

4

4

1

OSSJ 2018 “Civil Infrastructure Platform: 2 Years Experience of Industrial-grade Open Source Base

Layer Development and Its Future” (Yoshitake Kobayashi, Toshiba Corporation) から引用


21

CIPが使用するLTSバージョン

OSSJ 2018 “Civil Infrastructure Platform: 2 Years Experience of Industrial-grade Open Source Base Layer Development and Its Future”

(Yoshitake Kobayashi, Toshiba Corporation) から抜粋・追加

❏ 最新のLTSバージョンは 4.14❏ 現行のCIPカーネルは 4.4 をベース❏ 時期CIPカーネルは、4.20 ベースになる可能性大

OSSJ 2018 “Using Linux for Long Term - Community Status and the Way We Go” (Tsugikazu Shibata, NEC) から引用・加筆


22

CIPと他のプロジェクトとの関係

● CTJはCIPに参画し、コミュニティと連携した超長期サポート体制を確立します● CIPでは各OSSコミュニティの成果と連携し、社会インフラ向けベースレイヤーのLinuxを提供● CIPはReal-Time Linuxプロジェクトのゴールドメンバーとして連携

● LTS (4.4)をターゲットにしたカーネルサポート

● RealTime サポート● 必要に応じLinus Treeからバッ

クポート

● ユーザランドはDebian LTSを使用

● Debian スポンサー

Collaboration

● 主要なパッケージに対するセキュリティアップデート

● ソース、パッチ管理● アップストリーム● 厳密なOSSライセンスチェック● Linuxカーネルパッケージ協調

KernelCI

CI/Test


23

CIP活動に参加するには？

最新情報は以下から入手可能：• CIP Mailing list: [email protected]

他のリソース• CIP Web site: https://www.cip-project.org• CIP Blog: https://www.cip-project.org/blog • CIPをカバーする記事: https://www.cip-project.org/news/in-the-news • CIP Wiki: https://wiki.linuxfoundation.org/civilinfrastructureplatform/

CIPソースコード • CIP GitLab: http://www.gitlab.com/cip-project• CIP kernel:

git://git.kernel.org/pub/scm/linux/kernel/git/bwh/linux-cip.git

Linux Foundationから入手（2018.7.17）

mailto:[email protected]

https://www.cip-project.org/

https://www.cip-project.org/blog

https://www.cip-project.org/news/in-the-news

https://wiki.linuxfoundation.org/civilinfrastructureplatform/

http://www.gitlab.com/cip-project


24

組込み技術の取組み～LinuxとRTOS共存～


25

Cortex-A Cortex-A Cortex-M

Linux RTOS

RPMsgy RPMsgyOpenAMP

EMDuo：LinuxとRTOSの共存アーキテクチャ

・Linux：　- クラウド連携　- OSS資産の活用・RTOS：　- リアルタイム性能担保　- 既存資産の活用

Cortex-M

Wifiドライバデバイス制御

■ ひとつのSoCでコアごとにRTOSとLinuxを同時に実行■ ARMが提唱するヘテロコア環境の実現■ RTOSのリアルタイム性とLinuxの開発効率の両方メリットを享受


26

RTOSでリアルタイム処理をしながらLinuxでネットワーク接続やグラフィック処理が可能です

Linuxを使いたい理由

ネットワーク接続ユーザインターフェース

Cortex-A75

Linux

RPMsg

LTE、Wifi

RTOS

デバイス

Cortex-A55

RPMsgOpenAMP

Cortex-A75

LinuxRPMsg

RTOS

Cortex-A55

RPMsgOpenAMP

アニメーション効果３次元効果、など

CLICK!!

H.264エンコード動画

GUI


27

EMDuo/OpenAMP性能

● EMDuo RPMsg転送性能○ RTOSからLinuxにrpmsg_sendで100バイト転送

○ 処理時間■ RTOS（rpmsg_send処理） 117μs■ Linux（callback受信処理） 18μs

● OpenAMP上でのTCP/IP実装の課題（TCP/IP over rpmsg OpenAMP with Udoo Neo）○ ARM SoC上のCortex-A9 とCortex-M4でrpmsg上にTCP/IPの通信を実装

■ 512バイト（デフォルト）を使用

○ iperf （ネットワーク機器向けベンチマーク）では、約700Kbit/s■ TCP/IP MTU（1500バイト）とのミスマッチによるオーバヘッドと推定

● 大容量通信に向けた対応○ 最大バッファサイズの調整（ RPMsg使用）

○ 共有メモリによるゼロコピー通信（ RPMsgは通知で使用）

ハードウェア RTOS側ソフトウェア（バージョン） Linux側ソフトウェア（バージョン）

・ZYNQ 7020（最大 866MHz）

　Dual ARM Cortex-A9 コア

・FreeRTOS（9.01）

・libopenamp(1.3)・libmetal(1.4)

・Linuxカーネル(4.9.0 (+xilinx patch)・libmetal(v2017.10)・OpenAMP(v2017.10)

性能値は参考情報です。

http://allthingsembedded.blogspot.jp/2016/02/tcpip-over-rpmsg-with-udoo-neo-finally.html


28

Linuxのリアルタイム性能向上

● ターゲット : Rasberry Pi 3 (32bit)● OS: Raspbian 9● カーネルバージョン : 4.14.33と4.14.34-rt27(PREEMPT_RT適用カー

ネル)● 測定方法

○ VanillaカーネルとPREEMPT_RT適用カーネルで cyclictestを使って性能を測定

○ cyclictest・nanosleepを定期的に繰り返し、スリープから起きる　理想的な時刻と実際に起きた時刻の差分を計算する・cyclictest -p 90 -m -c 0 -i 200 -n -v 100 -q -l 5000

● -p: プロセスプライオリティ● -i: インターバル● -l: 測定回数● -n: nanosleep

リアルタイムパッチによって、応答時間半減、

応答最大最小値５分の１に短縮

Preempt Real Time Patch性能性能測定条件

リアルタイムパッチ

通常カーネル

レイテンシー（μs）

個数

　通常カーネル

　Preempt RT Patch

最小値：29us、最大値：150us、平均値：39us　最大最小差：121us最小値：14us、最大値：39us、平均値：18us　最大最小差：25us


29

LinuxとRTOSの比較

Linux RTOS起動時間秒オーダー

・Linux高速起動ソリューション（ FastBoot）で、　数十秒の立ち上がり時間を一桁秒に短縮可能

ミリ秒オーダー

応答性数十マイクロ～ミリ秒オーダー

・Preempt Real Time Patchで割込み応答性、応答　時間の揺らぎを大幅改善

マイクロ秒オーダー

・最悪応答時間の保証

フットプリント 16MB以上

・アプリケーションに依存※

数百KB以上

・アプリケーションに依存

プログラミングモデルタイムシェアリング（他動式）

・マルチプロセス・マルチスレッド・同期型（Wait）・非同期型（Callback）待合せ・豊富なパッケージ（ Richアプリケーション作成）

FCFS/優先度方式等（自律式）

・同期型（Wait）待合せ・Critical Section最小化・厳選されたパッケージによるリアルタイム　アプリケーション作成

※EMBrowser動作時、512MB以上使用


30

全4回の連載でLinux移行の疑問を解消

RTOSから組込みLinuxへの移行支援

掲載から3年が経過した今も

「ITRON」や「VxWorks」などの

ユーザにが参考にしている。

◎第1回：リアルタイムOSからLinuxへ◎第2回：組込みOSの比較と選択◎第3回：組込みLinux導入の注意点 ◎第4回：組込みLinuxのトラブルと

　　ディストリビューションの必要性

これからLinuxに移行を考えている人を支援する目的で、組込みLinuxとRTOSの違いやLinux選定の注意点などを、４回の連載に分けて解説。

https://www.miraclelinux.com/product-service/total-embedded/point


31

組込み技術の取組み～TrustZoneとOP-TEE～


32

TrustZone：EMTee (OP-TEE商用版)Arm TrustZoneを利用：証明書の管理や暗号化、DRM処理などの

秘匿性の高い処理をSecure Worldで実行し、Normal Worldから隔離

Kernel

GlobalPlatform TEE Client API

GlobalPlatform TEE Internal API

TEE core

【 Normal World 】Linux

【 Secure World 】OP-TEE

Arm® TrustZone®-enabled chipset

Secure Monitor

HAL

DRM SW更新機器証明

optee_core

TrustedApplicationID


33

● IoT機器に埋め込まれた電子証明書は、Secure World内でのみアクセスできるようにすることで、電子署名の改ざん、なりすましを防止

● IoT機器からクラウドに送達する情報に電子署名を行うことで、IoT機器の真正性を担保

● IoT機器情報取得例1. IoT機器からクラウドにアクセス2. クラウド上のIoT機器管理サービスからIoT機

器に問い合わせ3. Normal WorldのアプリからSecure Worldの

電子署名アプリに機器IDを依頼4. 機器IDの電子署名（サイン、暗号化）を行い、

Normal Worldのアプリに返却5. Normal WorldアプリからIoT機器管理サービ

スに機器IDを送付

電子証明書をSecure Worldに格納することで、

IoT機器証明の信頼度をより一層高めることができます

EMTee活用例

①

電子署名

④

　　　　　Arm TrustZone-enabled Chip

Linux/Android

opteecore

Secure WorldNormal World

ATF Uboot

Secure Storage

optee client

opteelinuxdriver

アプリ

セキュア通信

④

IoT機器管理サービス

⑤ ③

デバイス

ID

⑤

①

②


34

まとめ

この夏、組込みLinuxで抑えておきたいポイントは？

1

2

3

組込み向けLinux、保守は大丈夫？超長期サポートを実現するための取組み

リアルタイム処理はしたい、でもネットワークやリッチなGUIも実現したい。LinuxとRTOSの”イイトコ”取りを実現するOpenAMP

そのセキュリティ処理、ほんとに安全？TrustZoneを活用したOP-Teeでデバイスのセキュリティを確保する。

組込みLinuxに強い！サイバートラスト株式会社


36

Appendix


37

セキュアOTA

セキュアOTAは弊社の電子認証と紐づけたところに特長あり

IoTデバイス

開発製造時

● デバイス専用のOSやアプリ向けウイルス対策の組み込み

● 証明書の組み込み

● 検証済みLinuxの提供

出荷

更新ファイルのアップロード

安全な更新を提供

組込みLinux電子認証

IoTデバイス開発企業

OTA


信頼とともに

ソフトバンク・テクノロジーグループ

ソフトバンク・テクノロジーエムソリューションズフォントワークス環サイバートラストモードツーアソラテックリデン

「組込みlinux」の今 - 毎月約50,000人が利用する「aps-web」 … · 2018-08-21 ·...

Documents