物聯網(IoT)目前是日常生活中的現況。從公用程式基礎設施、工業控制應用程式、醫療設備到智慧家電、運動手環以及單車共享服務,更遑論智慧型手機與聯網車輛,現今的物聯網應用在日常生活中已無所不在。
物聯網(IoT)目前是日常生活中的現況。從公用程式基礎設施、工業控制應用程式、醫療設備到智慧家電、運動手環以及單車共享服務,更遑論智慧型手機與聯網車輛,現今的物聯網應用在日常生活中已無所不在。
物聯網快速成長 連線帶來重大漏洞
物聯網帶來的經濟影響力以兆為單位,而物聯網裝置的數量則是以十億為單位。根據Gartner市場分析師報告,2017年已有超過50億個聯網裝置,預計2020年數量將超過120億。為了支援如此快速的擴展,產業供應商正快速擴充自有的私有雲端產品,而各家網際網路巨擘,包括Alibaba、Amazon Web Services、Google、IBM及Microsoft皆在建構自有的雲端服務。
而令人擔憂的是,聯網裝置容易成為未經授權網路存取、惡意控制裝置或者竊取物聯網蒐集資料等攻擊的目標。逐漸增加的物聯網生態系統複雜性使這些危險更加嚴重,因為裝置由多家廠商推出,而產品的安全層級各不相同,可能導致意外的漏洞、未預期的結果以及不安全的操作等。
舉例來說,任何類型的物聯網聯網設備,無論是空壓機、洗衣機或是客用車,都可藉由不安全的方式從遠端控制或開機操作。此外,管理能源與水槽的智慧電網若遭到竄改或不當存取,便會對人體健康與社群安全帶來嚴重威脅。刻意造成傷害或竊取資訊的人會以非常快的速度利用弱點,並持續發展取得存取權限、入侵系統與擷取資料的新方法,其所造成的結果將會具有破壞性(表1)。
表1 物聯網機會與風險
潛在復原成本高昂
光是在過去兩年,網路犯罪造成的經濟損害便高達數兆美元。即使是妨礙操作但未成功取得敏感資料的有限惡意軟體攻擊,都會讓組織面臨數億美元的業務損失、聲譽受損、暫時性應急方案、產品召回、公關問題以及長期修復等代價。若牽涉到個人傷害或其他類型的責任,還可能須要支付法律費用。其他情況(例如與勒索軟體相關)的代價還可能擴及終端使用者。
2015年Fiat Chrysler所採用的聯網汽車軟體被一位安全研究人員發現了安全漏洞,並將結果發表於Wired雜誌上,該品牌也因此召回140萬輛汽車。在實際道路駕駛示範中,研究人員可控制Jeep Cherokee車款的車載電腦。其能夠遠端控制車輛的車速、煞車,甚至在某些情況下還能控制車輛的方向盤。雖然這項發現並未與任何意外有直接關聯,而召回可能受影響的車輛也只是預防性措施,但是Fiat Chrysler仍因執行召回與維修的成本、對Jeep品牌的傷害以及可能發生的法律責任等,付出了高額代價。
物聯網裝置須持續保護
連線到網路時,物聯網安全不僅只是保護裝置。在物聯網生態系統中幾乎每個環節,以及在任何物聯網裝置的使用壽命期間,都有許多遭竄改或濫用的機會存在,從設計生產,到產品在供應鏈中運輸的方式、子元件整合的方式、裝置分銷、部署甚至廢棄的過程都包含在內。
在工廠或供應鏈中,IC與裝置都可能遭到惡意軟體入侵、偽造、金鑰擷取及建立安全後門等危害。
在投入運用後,IC與裝置便更容易受到各式各樣的邏輯攻擊,包括惡意軟體入侵、未經授權的連線、未加密資料竊取以及惡意軟體更新,還有與竄改或逆向工程相關的實體攻擊。
當IC與裝置退役或從服務中除名時,任何儲存在主機板上的使用記錄、個人資訊或登入憑證都會形成實體與邏輯竄改的目標,遭到試用與存取這些資料。
雖然目前的新聞報導傾向於點出脆弱裝置安全遭利用(例如,未加密連線或不可靠的存取控制),以及分散式阻斷服務(DDoS)攻擊等原因造成的傷害,但仍有許多不同類型的破壞,且類型持續增加中。舉例而言,遠端、可擴展攻擊現在可以在實體硬體層級擷取資訊,或者實際修改記憶體內容,這些情況在不久前都還僅限於本機攻擊(表2)。
表2 物聯網攻擊類型與運作方式
強勁防禦本身具有價值
2014年,研究人員發現在OpenSSL密碼程式庫中有一種特別危險的程式錯誤Heartbleed,這項錯誤可讓遠端攻擊者繞過侵入偵測程式,在不留下痕跡的情況下取得機密資訊,包括私密金鑰、登入資訊、密碼、信用卡號、電子郵件與即時訊息等。OpenSSL的核心開發人員忽略了這項錯誤,在將近兩年的時間都沒有偵測到此項漏洞,造成Heartbleed可能出現在三分之二的網際網路伺服器中。OpenSSL社群迅速提出了修正,但是在所有已投入運作中的嵌入式系統上安裝此修正,是項嚴峻的挑戰。
可能仍有尚未更新此修正的物聯網部署存在。還有其他原因可解釋物聯網安全從更廣泛的角度來看是關於建置的問題,以及為何正確保護物聯網裝置所使用的私密資料會具有重要性。
與能源及化學品生成和分布有關的通訊網路,都是潛在的破壞目標。ISA/IEC 62443標準系列定義以電子方式建置安全的工業自動化及控制系統(IACS)程序,是為保護這些網路而設計。遵循標準能夠確保網路安全成為智慧電網發展及操作中不可或缺的重要結構。
全天候運轉是許多物聯網應用的重要一環,但在智慧城市及工業4.0中更是不可或缺的元素。無論是智慧公用電網、工廠中的精密機械、供應鏈中的自動化或者智慧都市交通工具,皆採用設計完善的系統架構(採用業界標準方法,提供強大驗證、有效的資料保護及精確的指令控制),能夠提供保護能力,以最小化因裝置安全而造成停機時間的可能性。在獲得正確保護的情況下,物聯網全程的生命週期都會受到保護,並有效防護資料、提升生產力、提供操作防禦力並保護使用者。
處理與使用者有關的資訊、個人偏好與行為或者購買習慣的物聯網部署,都需要保護這些私人資訊。截至2018年5月為止,在歐盟內營運的實體都必須遵循一般資料保護規範(GDPR),其中指定自歐盟居民蒐集之資料的管理、保護及處理方式。GDPR對於保護資料蒐集提供有效準則,即使在歐盟以外的部署也適用,因其中說明保護隱私的數項重要要求。GDPR獲得支持後也促使歐盟網路與資訊安全局(ENISA)提出針對安全規範的基本要求,其中包含對於測試及認證的建議。
惡意程式碼與網路攻擊會以醫療裝置及IT網路為目標,進而妨礙醫療系統,使人們的生命處於危險中。此外,由裝置蒐集的病患醫療記錄及任何健康相關資訊都應保有機密性。近期發布的UL 2900-1標準涵蓋可聯網產品中的軟體網路安全,呼籲針對醫療裝置進行評估與測試,在美國也成為食品與藥物管理局(FDA)的指導模型。
保護始於矽晶片層級安全
正因為有多種可用以傷害物聯網的方法,聯網裝置更需要全面性的保護措施。在矽晶片層級加強保護是為裝置增加必要防禦能力的最佳方法之一(圖1)。
圖1 基於矽晶片的安全解決方案
裝置核心:矽晶片
目前有越來越多聯網裝置都是複雜的系統,牽涉到在不同抽象層運作的硬體、韌體與軟體。每一層都仰賴底下一層的元件與操作來執行。舉例來說,使用者介面須要信任作業系統,而作業系統則須要信任韌體,韌體須要信任在矽晶片層運作的硬體電路。這便會形成安全的階層結構,並需要強健的基礎才能完成結構的建置。
這種安全階層結構的起始點被稱為信任根,也就是支援抽象層的基礎。信任根擁有值得信賴的固有特性。能夠以高度信心來信任這項基礎,相信它不會帶來風險。正確的信任根能夠創造穩固的安全基礎。如果在散沙上用磚塊打造一道牆,它的不穩定性可想而知;同理,電子系統也不能缺少堅固的信任根做為安全基礎。
矽晶片是信任根的理想來源。程式碼、儲存於記憶體中的資料、作業系統和使用者介面,相對較容易遭到修改或破壞,而矽晶片中實體隔離的程式和資料,或是無法竄改的矽晶片中安全儲存的程式和資料,則極為穩定,而且可防變更(圖2)。
圖2 信任根為物聯網安全結構的基礎
安全就是認真做好每一個細節。在建置過程中,任何地方即使只是犯了最微小的錯誤,最後都可能會造成弱點,讓整體的設計產生風險。有效的安全解決方案,是嚴格開發流程的成果,此等流程具有明確定義的設計規則、多次重複進行仔細的審查,並且完全掌控設計中所涉及的多個子元件。
發展安全也需要系統層級的思維,以描繪出更為完整的風險概況,並可從多層的管控策略和驗證程序,來強化防禦。此外,隨著消費者和服務供應商尋求更有力的保證,來確保物聯網產品獲得充分保護,讓第三方來進行評估,以證明建置的項目符合安全主張,也變得越來越重要。
隨插即信任方案簡化設計流程
產業開始體認到,最有效的安全解決方案應提供簡單性,且須能讓使用者安心。而半導體產業正在重新審視物聯網安全,並且為開發人員創造新的方法,來加強保護,同時簡化設計流程。
自物聯網誕生以來,採用矽晶片的安全解決方案就一直是物聯網的一部分,而半導體產業目前也持續以這項開創性的成果為基礎,進一步改良演算法與物聯網架構。如同「隨插即用」的方式簡化了早期電腦安裝的設定,「隨插即信任」的方法,同樣也簡化了在現今的物聯網裝置中,建置強大安全機制的工作。
獨立安全IC晶片,其設計可提供安全、自給式的環境,用來預備和執行必要的驗證工作,以在物聯網中安全運作。這些IC晶片旨在建立屏障,以將重要的安全流程和物聯網應用軟體及其相關的複雜性隔離開來,讓流程可以在受到保護的「沙盒」環境中執行。
透過安全金鑰的銀行級防護機制,運用超過一百種軟硬體的對策,來因應廣泛的攻擊情境,保護這個隔離的環境。半導體晶片業者將安全的非揮發性記憶體整合到IC晶片中,因此可以安全傳輸和管理金鑰,同時透過在安全的製造環境中嵌入矽晶片,提供專用的金鑰管理流程。
因此,從裝置製造出來到除役,安全憑證全程受到保護。已上傳資料的來源可以信任、即時自動化系統所使用指令的來源能夠視為可靠,而任何透過裝置交換的私密資訊,在傳送時會一直受到保護。通訊會保持真確和機密性,資料也會維持不變、完整無缺。
保護連線的安全
連線能力是物聯網運作的基本要素,如果要安全將物聯網裝置整合到網路、基礎設施或雲端中的服務,企業首先要做的就是保護憑證(用來確保連線的完整性),並且維持資料的機密性。因此,晶片也提供隔離憑證的保護機制,如此,防護連線的作業就會與系統的其他部分保持分隔。這種做法的成果,就是提供更強大、更穩健的方式,來保護連線功能。
物聯網安全的理念是:發展安全需要紀律並注重細節,為實現此等理念,晶片在設計階段時就須考量整個裝置生命週期、預測相關的威脅,並建立多層面運作的完整防護機制,來確保安全、可靠的運作。
裝置來源須經過認證
來源可疑的產品可能會含有內建的後門,讓攻擊者在日後使用,而且可能造成系統故障、實體損壞或甚至人員受傷,影響產品的可靠性。而半導體晶片業者提供的裝置來源解決方案,可讓物聯網裝置在生命週期中的任何時點,確認其真實性。在裝置的整個生命週期期間,或甚至在裝置除役之後,來源資料皆可維持其私密性,讓駭客少了一個方法來將這些資訊用於他途。
安全OTA更新
用無線方式來提供韌體,也就是所謂的「無線」或OTA更新,可用來將功能升級和更新安全功能,但這項流程必須小心進行,以避免產生風險。基於矽晶片的安全解決方案,可透過在現場安全地部署可信任的資料儲存庫(和韌體存取與驗證相關的資料),提供便利的方式來保護OTA更新。這項機制支援對程式碼的存取控制,也支援對程式碼來源與完整性的驗證(尤其是在舊型或資源受限的平台上),並可防止韌體回復。
強化邊緣安全
強化邊緣安全須進行大量處理器運算的複雜物聯網裝置(包括工業機器人、新的消費者裝置和日益增加的自駕車),其到來正在將裝置本身的處理功能從雲端轉移到網路的邊緣。邊緣運算可防止雲端連線資料不堪重負,並可藉由減少延遲,來實現更快速的操作,尤其是在即時系統中。此等運算也可大幅提升效率和隱私性,因為只須上傳去掉敏感細節的彙總資訊。
而安全IC晶片的目的就在於保護邊緣裝置。在不連線到雲端的獨立環境中,IC晶片會安全管理與其他節點的互動,而如果須要進行外部連線,IC晶片也會管理這些互動。而目前市面上已有許多半導體業者推出安全IC晶片解決方案,如恩智浦(NXP)的晶片解決方案即提供必要的機制,來防止未經授權的存取和保護資料,也提供預先內建的功能,藉此簡化布建流程。
簡化連線步驟
安全IC晶片可以包含必要的金鑰,來讓裝置安全連線到公有雲或私有雲,進而簡化連線流程。預先整合的晶片內建應用程式,已經包含安全存取所需的必要安全程式碼,因此只需要三個步驟來建立連線:
1. 將安全IC晶片置於電路板上。
2. 上傳認證機構核發的認證,或是在「雲端儀表板」上選擇「裝置辨識器」。
3. 開啟物聯網裝置的電源後,將會自動、安全地啟用裝置。
零接觸金鑰管理
產生安全存取所需的金鑰和憑證,是一項相對複雜的程序,而且如果未能正確完成這項程序,可能會造成漏洞。手動布建本身容易產生錯誤,在需要更多裝置時也難以調整規模。此外,為確保金鑰的安全,嵌入金鑰的作業應在受信任的環境、具備安全功能(例如嚴密控管的存取、仔細的人員過濾,以及可防護網路攻擊和憑證盜竊的安全IT系統)的設施中進行。因此,安全信任布建服務須建置於晶片層級,用以順利啟用物聯網裝置,而且能夠分擔OEM的擁有成本和金鑰管理複雜性。透過與程式設計中心合作,這類的安全解決方案可支援任何規模的物聯網部署。此外,也可對連線至相同服務的多個第三方OEM裝置進行布建,而不須與服務供應商協調金鑰的共用。
快速完成整合
藉由提供與連線功能堆疊的整合,以及主要使用案例的範例程式碼、詳盡的應用程式說明,和適用於i.MX和Kinetis微控制器(MCU)的相容開發套件,來啟動設計流程。除錯版本和對於範例應用程式的輕鬆存取,簡化最終的系統整合。
透過和雲端供應商的合作,半導體廠商也能夠提供更完備的安全解決方案,涵蓋從邊緣到雲端的範圍。這類預先整合的解決方案是專門設計用來與特定的雲端供應商搭配運作,可將複雜性降到最低、縮短安全物聯網裝置的開發時間,並在整個延伸生態系統的範圍提供保護。
物聯網安全應用案例
物聯網安全不只是一件事,而且不會有兩個物聯網部署完全相同。這也是為什麼,安全解決方案必須超越裝置運作的範圍,針對各種類型的物聯網生態系統,來實現物聯網生命週期中每個階段的安全。物聯網產品組合須結合高品質的處理功能,與先進的連線能力和強大的安全,使之成為物聯網部署的「一站式服務」。
此外,做為安全解決方案的供應商,也須提供涵蓋廣泛產業的解決方案,和其他生態系統的主要廠商建立了長期關係,包括第三方開發商、OEM、系統整合商和服務供應商。而晶片商(如恩智浦)所提出的安全解決方案,旨在保護這些廠商提供給生態系統的項目,運用從每項新挑戰所獲得的經驗,來為現今的物聯網量身打造解決方案(圖3)。
圖3 物聯網安全解決方案設計時須將產品生命週期納入考量。
目前市面上已有許多物聯網安全解決方案的應用實例,其中也有許多業者採用矽晶片式安全解決方案,包括從智慧城市和智慧能源,到家庭自動化、個人生活照護、工業4.0和智慧行動力(包含車載資通訊)。以下為恩智浦矽晶片式解決方案的應用範例,顯示物聯網的部署如何運用矽晶片解決方案,保護連線功能和保持資料的私密性。
智慧鎖保護智慧家庭存取控制
Mul-T-Lock是高度安全鎖和存取控制解決方案的全球供應商,該公司所提供的 ENTR智慧鎖解決方案,可讓使用者藉由智慧型手機、指紋、個人密碼或遙控器打開家中的大門。屋主可隨時產生和撤銷金鑰,來控管存取,而且即便遺失了憑證,也可以取消存取。其中,即用低功率的安全解決方案,保護了這個由電池供電的系統,該方案支援透過安全通道的低功耗藍牙(BLE)連線,因此可在離線環境中,使用行動裝置來建立信任機制。
智慧能源閘道認證智慧城市安全
在此案例中,恩智浦與智慧電表閘道的供應商合作(包括Dr. Neuhaus Telekommunikation和Power Plus Communication),共同開發安全解決方案,提供符合德國聯邦資訊安全局BSI所發布安全保護配置文件(Security Protection Profile)準則的安全解決方案。嵌入式安全模組的設計,可針對能源和服務供應商所呈報的消費者電表資料,提供安全存取所需的保護機制,以及符合隱私權的量測資料傳輸。安裝此模組可讓部署做好遵循GDPR的準備。
安全/零接觸布建公用事業服務計量讀表
英國智慧電網基礎設施多年推出計畫的一部分,將包含超過一億個裝置,透過住宅通訊集線器、瓦斯表與電表以及家用顯示器的共同運作,來實現最佳化的能源管理。這項計畫透過安全連線功能晶片組,來保護基礎設施的重要部分,這些晶片組為國家資料通訊中心,提供了經過驗證的零接觸布建集線器和電表(圖4)。
圖4 目前已有電表事業導入矽晶片安全解決方案
而此一結合安全與簡單性的解決方案也受到肯定,在2014年歐洲與英國智慧電表峰會(Smart Metering Europe and UK Summit of 2014)獲得了業界的表揚。這也顯示簡單快速的安裝亦是物聯網安全解決方案的關鍵,因為安裝作業所花費的時間成本相當昂貴。
(本文作者為恩智浦半導體資深副總裁暨物聯網及安全領域技術長)