账号:
密码:
智动化 / 文章 /

晶片/软体/制程保障物联网
安全性解决方案
[作者 Joseph Byrne等人]   2017年09月13日 星期三 浏览人次: [5257]


随着物联网范围不断扩大,甚至将企业、工业和公营事业应用涵盖在内,物联网安全性不足的风险也随之高涨。但想要扩展,甚至为社会带来好处前,势必得先保障物联网的安全。否则,风险过高,相关产业也不会贸然投入。


基於安全性问题不断升温,美国国土安全部(DHS)为解决物联网安全性的挑战,在2016年11月列出了以下六大原则:


·於设计阶段整合安全性


·加强安全性更新与弱点管理


·以经过实证的安全性做法为基础


·依潜在冲击决定安全措施的优先顺序


·提升物联网透明性


·连线时小心谨慎


上述原则是相当实用的架构,能让OEM厂商及使用者认识处理器及搭配软体所实作的信任架构。以先前多个产品世代为例,可信任架构能帮助设计师打造出更安全的物联网装置,使用者也能从连网系统中获得众多好处。


路由器可遏止恶意入侵

整体产业显然未将安全性整合至设计阶段,2016年的大规模攻击事件,就是利用连网装置的硬体接线预设密码和开放式网路服务。遭入侵不只是因为装置安全性不足,更是因为物联网内没有其馀的减缓措施。


位在区域网路或网际网路边缘的路由器,尤其适合用来遏止这类恶意行为,此种做法将物联网的保全工作托付给ISP,因此难以顺利推行,即使ISP不是物联网攻击的目标,却也间接受到波及。随着越来越多物联网转移到成本更高的无线连结,ISP也许会更乐意加强其边际安全性。


对网路设备公司和处理器供应商而言,此类安全性做法早已司空见惯,像是依封包的资料开始部分过滤封包, 或是套用深层封包检验(DPI),甚至是使用IPsec或SSL,多是利用这些通讯协定的验证机制来保护其传输的资料。视处理器效能及网路速度而定,也许能加快这些功能的运作。


另一种偏离这类安全性做法的方式,则是使用者/实体行为分析(UEBA)。此技术进一步延伸经常用来追踪端点及其通讯的DPI,以及基本的启发式技巧,利用机器学习方式,从监控封包的巨量资料集合中学习,来找出异常的网路流量,判断是否为失控的物联网装置、资料外泄,或内贼引发的金融诈骗事件。从客户的现场端,UEBA可透过通用型处理器在软体内实作,未来则能卸载到专用的机器学习处理器。


责任感较强的物联网开发人员会在设计阶段实作安全性,但他们必须改用不同的方式来选择处理器,必须将安全性,特别是平台安全性,视为选择元件时的首要条件。


除了网路安全性功能,处理器实作平台信任功能,进一步延伸ARM CPU的基本可信赖执行环境(TEE)功能。此类平台信任方法能在装置整个使用寿命期间提供安全保护,包括装置的制造、投入运行、运作、更新和除役等阶段,还有从开机到关机的整个循环。


如此一来,设计人员便能打造出可保护自身完整性的系统,依美国国土安全部的建言,也就是使用「整合安全性功能,以强化装置本身保护能力与完整性的硬体」。


安全性更新与弱点管理

毫无疑问地,安全性更新与弱点管理同样是物联网产业的弱项。对一般使用者而言,安全性与自身最主要的关联在於:装置或资料控制权会被骇客夺走吗?


虽然智慧型手机在这方面跟物联网装置一样脆弱,但智慧型手机已不断加强其安全性。FBI在2016年曾费劲心力想要从iPhone撷取资料,但Apple让FBI的任务难上加难。


然而,Apple采用的技术,装置与物联网基础架构的开发人员同样也能取得。可信赖平台确保只有OEM签核的程式码可启动装置。此外,还能保护程式码区块及储存於装置内的资料,为OEM提供建构区块,限制能於装置执行的程式码,就像iPhone只能执行通过Apple审核的程式码,并透过其应用程式商店下载。


从理想层面来看,物联网装置应以可信赖平台为基础,且出货时须为零弱点。然而实际上,所有装置都包含错误,而多数都能透过软体修正。经由可信赖平台,搭配安全布建与更新工具,即使韧体存在过多错误,也能利用储存在晶片内的特殊加密金钥来进行更新。其做法是安装新的韧体与金钥,同时使旧金钥失效,如此骇客便无法将装置回复为先前有效的韧体映像档。


在安全性更新与弱点管理这个议题下,国土安全部提出一个模糊但引人发想的建议:拟定停产策略。装置是否应在使用一段时间或收到OEM的讯号後自我除役?这种做法当然可行,只要使用前面提到的安全开机或更新程序:OEM可在厂内设定装置程式,让装置於特定时间後停机,或是推送更新,命令装置自我终结。


重复使用经过实证的安全性做法

大部分的技术供应商,一向鼓励客户善加利用整合至产品内的各项安全功能,亦即「以经过实证的安全性做法为基础」。透过大量的文件记录和客户支援服务,OEM将能妥善利用这些功能。


另外,需要自订功能的客户也能利用谘询服务,相关厂商亦协助进行系统验证,确认系统符合DHS、NIST和开放网路软体安全计画(Open Web Application Security Project)等组织所建议的最隹实务。


技术供应商皆认为善加利用处理器平台的信任功能,应是物联网设计人员的首要之务,有监於其影响力之大。只要能防止未经授权的程式码执行,许多弱点便会消失。


透明性:透明性可让物联网相关产业准确评估可信赖度。物联网系统使用者必须了解潜藏在系统内的弱点,而开发人员则必须了解软硬体元件的潜在弱点。即使是没有已知弱点可供检视的情况下,取得对安全性开发流程的能见度,亦有助於正确评估风险。


DHS报告对透明性的讨论主要着重於物联网的供应链,并特别点出仰赖低成本、容易取得的软硬体解决方案的风险。技术供应商在物联网装置的供应链中扮演关键连结角色,可协助OEM提升透明性。在产品使用寿命初期,定义安全制造模式,能让OEM毋需依赖保密机制,即可载入已签核的程式码。


透过此模式将独特唯一的ID与Salt烧入每一块晶片,再将这些资讯提供给OEM及其ODM外包制造商,如图一所示。OEM会产生自己的Salt,技术供应商并不会知道OEM的秘密,而OEM将之托付给供应商的处理器来保护。毕竟,拥有透明性,并不表示得分享所有资讯。



图一 : 安全分散式制造模式提供透明化的安全性。
图一 : 安全分散式制造模式提供透明化的安全性。

对ODM来说,处理器可在Slat上自行产生一组独特唯一的公有-私人金钥组。晶片可以输出公有金钥,但无法输出私人金钥。OEM可利用公有金钥签核程式码,再交由ODM烧入装置。


一到现场使用後,处理器会让装置在开机时验证程式码,并向OEM查证,确保装置未被复制。同样的机制也适用於安全韧体更新与装置除役。总结来说,处理器能让装置在整个使用寿命期间保持透明性与完整性。


同时,技术供应商亦明确载明处理器的安全宣告,包括哪些功能超出安全范围,如此,物联网相关产业便能评估其可信赖度。


谨慎连线 确保物联网装置不受骇

物联网产业另一项缺失,就是未小心谨慎地将装置连接到网际网路。很明显地,设备遭骇可说就是装置未正确连接所导致,因为这些装置最常发生意外存取。谁能想到,Target的信用卡终端机竟能经由营造服务公司远端存取?谁能想到,客户保全摄影机上的网际网路Telnet连接埠会暴露於风险之中?


如先前所述,客户现场端或网际网路边缘的路由器正好位居绝隹的位置,适合用来监控流量、设立网路防火墙、侦测入侵,还有分析使用者/实体的行为。如图二所示,路由器可作为物联网装置的安全代理,设计更为出色或拥有更多功能的路由器,甚至可代替装置执行一些工作。



图二 : 谨慎的连线示意图:安全闸道有助於保护终端节点
图二 : 谨慎的连线示意图:安全闸道有助於保护终端节点

路由器及设计更优异且不受局限的物联网装置也可部署SSL或IPsec,以用来进行验证、拒绝未授权的网路装置连线。


保护物联网安全的工具随手可得,是否要采用全取决於OEM,另外网路设备公司和ISP也需要提供更高一层的安全性,帮助较无相关措施的OEM防止装置遭骇。


(本文作者Joseph Byrne、Ravi Malhotra、Geoff Waters任职於恩智浦半导体)


相关文章
物联网时代来了 系统整合备受重视
协助型机器人大举进攻食品包装市场
智慧型照明已在商用市场逐渐普及
乙太网路在自动化产业中的应用(一)工业乙太网路解决方案的应用
研华携手AWS网路服务 加速建置智慧工厂
comments powered by Disqus
  相关新闻
» 工研院传授创业心法 未来独角兽正崛起
» NVIDIA 携手 Arrow Electronics 推出全新Jetson Xavier AI 电脑
» 爱立信与裕民航运共同打造船队安全管理系统
» 产品、平台及服务整合创新 打造完整医护生态系
» Google 5.5亿美元投资京东 将在全球各地合作开发零售解决方案
  相关产品
» 是德科技Ixia部门在私有云环境中提供虚拟工作负载的完整可视度
» 研华推出 BLE/WiFi 和 SmartMesh WLAN IoT 无线解决方案
» 研华推出 BLE/WiFi 和 SmartMesh WLAN IoT 无线解决方案
» Aruba推出SD-WAN、LAN与安全性整合方案
» Ayla Networks升级物联网平台的无线模组及物联网应用开发功能