安全对Bambu Lab来说非常重要,我们在服务的每个层面上都优先考虑安全,从云服务到APP、硬件和固件安全。
在这篇文章中,我们将深入探讨我们如何确保客户的3D打印机的安全,并解释我们为防范潜在威胁而采取的措施。
¶ Bambu Handy的APP应用安全
总的来说,这个安全架构提供了一个强大的、分层的方法来保护用户数据和APP应用免受安全威胁。通过结合代码加密、虚拟机执行、HTTPS通信和云安全,APP应用被保护免受各种类型的攻击,如数据盗窃、代码篡改和敏感数据的拦截。
这些敏感数据,如用户偏好、配置数据和点数据,被加密(转换为秘密代码),以确保它不能被未经授权的个人或程序访问。
¶ Bambu Handy App许可:
- 手机 - 用于的APP安全和风险验证
- 存储 - 用于为客户支持上传账户内容、头像或其他媒体
- 相机 - 用于视频录制和扫描二维码
- 位置 - 用于设备配对的目的
- 通知 - 用于推送通知
- 互联网 - 用于实现网络通信和设备配对目的
- 蓝牙 - 用于设备配对
¶ 设备安全
Bambu Lab打印机在出厂时禁用了JTAG、串行和USB端口,以避免攻击者通过调试接口获取和修改固件的风险。
对于启动过程中的每一步,固件都经过加密和签名,以确保其完整性和保密性,只有在验证和解密之后才能运行。
可以通过远程系统更新提供错误修复和漏洞补丁。每一个更新包在发布前都要进行签名和加密,以保证代码的完整性,打印机在更新前总是会验证更新包的签名。
这些设备安全功能有助于防止恶意软件在Bambu Lab打印机上的安装和执行,确保打印机软件的可靠性。
¶ 数据安全
用户可以通过SD卡导出打印机诊断和设备日志。这些日志被用来定位、分析和评估系统故障的原因。当日志被导出时,所有的信息都用AES算法加密,以确保数据的保密性和安全性。
¶ 通信安全
与云服务的连接可以通过支持WPA个人和WPA2个人认证和加密的Wi-Fi连接完成。
WPA2对每个连接进行认证,并提供128位AES加密,以帮助确保在空中发送的数据的保密性。WPA2是一个常用的加密协议,确保用户数据在通过Wi-Fi网络连接发送和接收通信时始终受到保护。
Bambu Lab P1系列支持蓝牙低功耗(BLE),用于通过Handy应用程序进行打印机网络配置和绑定,它利用AES-CMAC和P-256椭圆曲线,同时还使用AES-CCM协议来确保安全配对。
局域网模式也可以用在Bambu Lab打印机上,使打印机在不需要云端通信的情况下也能发挥作用。对打印机的控制是通过本地部署的控制协议和部署在打印机内部的MQTT服务器进行的。
为了实现安全通信,MQTT服务器支持访问代码认证和使用TLS进行通信数据加密。使用相同的协议也可以查看实时视频。
使用FTPS和TLS加密进行安全文件传输,可以实现文件上传和下载。
¶ 物联网安全
为了提供打印机的远程控制功能,Bambu Lab采用物联网服务,包括设备登录、设备信息同步、固件/软件更新、用户设备绑定、远程打印、切片参数管理、云切片、故障检测等功能。
每个设备都有一个独特的内置128位ID和密码,这些都是在工厂随机生成的。当设备执行绑定动作时,通信是通过HTTPS API完成的,以便从服务器获得验证。
打印机可以通过以下3种方式连接到一个用户账户:
- 扫描打印机上显示的二维码
- 通过SSDP信息,通过局域网连接到打印机
- 通过蓝牙连接进行连接
这三种连接方式都使用安全的认证方法,如HTTPS和TLS。
3D模型可以使用局域网网络连接发送到打印机,如果有稳定的互联网连接,也可以通过我们的云服务发送到打印机。
当文件通过我们的云服务发送到打印机时,.3mf文件会通过HTTPS安全通道发送到一个临时的私人存储位置。上传的文件包含有效期和相关的认证签名,并且只能用于上传,以最大限度地保证数据安全。
文件上传到云端后,打印机从MQTT打印命令中获得打印文件地址,下载到本地,并在开始打印过程前对其进行解析。
当涉及到视频流服务时,云连接作为一个安全中介,验证请求并向Bambu Handy和Studio提供流。视频流和文件传输都有TLS加密保护。
¶ 云安全
Bambu Lab为用户提供各种云服务,丰富产品功能,按照安全设计和隐私设计的原则开发,充分保护用户数据安全,严格遵守隐私合规的法律要求。
为了保护用户账户,Bambu Lab实施了多种登录保护措施,以检测异常登录、碰撞攻击或恶意注册等恶意行为。账户还支持与第三方账户的绑定,使用OAuth2.0协议,确保Bambu Lab账户的相关信息不被传递给第三方。
账户注册和登录请求使用HTTPS加密传输,而登录和密码信息则使用PBKDF2加密保存。
谈到云计算服务所使用的基础设施,Bambu Lab为海外客户将其服务托管在亚马逊AWS,为中国客户托管在阿里云。AWS通过了ISO 270001/27017/27018,SOC2认证,而阿里云则通过了ISO 27001认证,并通过了CSA Start认证和SOC 2独立审计。
为了确保云服务的安全性,网络请求在到达后端服务之前将通过多种安全保护机制,包括Web应用防火墙(WAF)、DDoS保护、HTTPS保护等。
服务器端的运营和维护由 Bambu Lab 的专业运营团队负责。该团队遵循 Amazon AWS 和阿里云推荐的资源管理和授权管理最佳实践,遵循 Need-to-Know 和最小授权原则。
在服务器端执行的所有权限和操作均受到严格的标准操作规程 (SOP) 的限制,并具有控制和审计机制。