兼顧裝置身分/機密性/完整性　信任根晶片把關物聯網安全

還好過去幾十年來持續開發用於其他領域的各種安全技術，可以應用在物聯網領域。前述技術備受肯定，能夠提供高效且符合成本效益的保護功能，同時仍可持續創新。

許多物聯網領域的開發人員本身並不是安全專家，而是製造、汽車、家電或其他領域的專家。開發人員需要將安全功能納入產品之中，不過安全功能也必須符合其自身領域的需求。因此安全解決方案商會與物聯網相關的許多領域合作，協助確保從一開始就打造強大且適當的安全功能，在安全的前提下建構產品及服務，將能保護所有人重視的安全、可靠度及隱私等各種價值。

資料聯網可能潛藏危機

物聯網可能是21世紀最重要的技術趨勢，這項技術讓數十億個電子感測器及控制元件互相連結，並與網際網路連線，不但可提升效率及便利性，更讓全世界所有人都享有更精采的生活型態。物聯網影響力無所不在，不論是工廠、辦公大樓、零售門市、大眾運輸系統、聯網汽車，乃至於住家，都在物聯網的影響範圍內。

不過就和歷史上的科技進展一樣，物聯網也有危險的一面。以下提出在不久的將來可能發生的情境之一。

以下假設一個虛構情境：Maria Solano今天過得並不順利。通勤交通流量異常龐大，導致她上班遲到15分鐘。她早上休息時聽到一則新聞報導，其中提到區域交通協調系統因為電腦當機，導致交通號誌無法同步。她在午餐時感到沮喪，因為無法登入家中連線到網際網路的視訊監視器，查看自己的雙胞胎小孩過得如何。她打電話聯絡保母，保母表示自己聽到監視器發出怪聲，所以決定最好關閉監視器。她立刻打電話給自己的先生(家中非正式的IT專家)，詢問可能的原因為何。

結果工廠這邊問題更多。現場的自動化塗裝生產線開始隨機啟動及停止塗裝設備，導致必須停止生產線，造成龐大損失。Maria整個下午都在與生產經理及IT主管找出問題，結果發現其中遭植入惡意軟體。沒有人能夠百分百確定，但似乎是熟悉網路的人更改了生產線控制指令。

Maria傍晚開車回家(還好號誌系統沒出問題)，結果晚間新聞報導表示先前的交通系統當機其實是惡作劇，由於參與其中的青少年之一感到不安，因此向當地警局舉報。當她回家時，先生正忙著將小孩的影像監視器裝箱，因為他發現監視器存在未回報的軟體後門，遭到駭客侵入，而指引如何侵入連線的說明可在網路上自由取得。雖然Maria的先生相信可以找到更安全的替代品，但他還是要先多做一點功課瞭解情況。

以上情形真的可能發生嗎？本文接下來將探討前述簡短情境所描述的一切，如何已在現實生活發生。同時也將探討業界是否有能力使用現今深獲肯定的各種方法，管理及盡量降低前述風險，以保護其他先進技術系統。

本文將概述各項可能使用的技術，以打造值得信賴的裝置和系統。其中說明各種需求及可用技術，以保護物聯網的實體基礎設施，例如裝置(或事物)、儲存資訊及管理應用程式的伺服器，以及將系統連結在一起的網路。這樣一來安全的實體基礎設施便可成功實作各種原則保護個人隱私，以及物聯網所收集和使用的資料。

物聯網效益體現於各項應用場域

什麼是物聯網？簡單來說，物聯網結合了聯網事物及智慧服務，從汽車、衣物到工廠機器等一切事物都能聯網。未來五年的聯網裝置數量，預期會以每年15~20%的速率成長，每年營收成長高達數兆美元，而且幾乎觸及所有市場。

物聯網的效益非常龐大，但也伴隨風險。對工廠、住家、城市及交通運輸進行遠端的智慧監控及控制，確實可以提升效率及安全性，但這類強大工具同樣也可能遭到不良分子濫用，試圖破壞關鍵公共基礎設施或個人及私人系統，造成各種危險後果及慘重損失。 本文首先要介紹物聯網的效益。物聯網在過去幾年於現實世界部署後，不但節省相當可觀的成本，也展現各種令人興奮的契機，協助進一步加強經濟績效，同時讓日常生活更加便利安全(表1)。

物聯網風險不容輕忽

物聯網所具備的風險，就和任何聯網電腦系統一樣。不過由於物聯網會影響眾多不同場域，並負責控制實體基礎設施及服務，讓風險效應因此放大。

成功攻擊物聯網裝置或系統，將對實體及網路世界造成影響，對使用者、裝置製造商及服務供應商產生的衝擊不容小覷。攻擊事件可能暴露機密資訊，例如私人使用者資料、專業知識、智慧財產及製程情報。此外攻擊也可能中斷營運、損及業務永續性，甚至危及公司的品牌形象、成功及存續(圖1)。

為何需要安全功能

政策制定者主要關心的物聯網風險焦點，就是保護公眾安全及隱私。控制著工業及公共基礎設施的聯網系統，必須受到保護以避免意外及惡意攻擊。個人在日常生活中由物聯網裝置監控的個人資訊，或是在使用這類裝置監控自身資產時的相關個人資訊，也必須受到保護避免意外曝光或刻意竊取濫用。

自動化的交通管理系統能夠改善交通流量，並管理排放及節省燃油成本，因此普遍成為市政當局部署物聯網的初步專案。不過初期實作未能運用基本的系統安全原則，因而成為開放的攻擊目標。由密西根大學(University of Michigan)學生組成的白帽駭客團隊，在2014年實際控制了真實的聯網交通號誌系統，並能在遠端變更號誌狀態(紅燈、綠燈、黃燈)。結果發現系統的原廠預設設定完全沒有變更，而且網路指令並未加密。

德國聯邦資訊安全辦公室(German Federal Office for Information Security)在2014年12月報告一起軋鋼廠的網路攻擊事件。不明攻擊者一開始先滲透進入軋鋼廠的辦公室電腦網路，然後入侵工業控制網路造成高爐無法正常停機，導致「重大損失」。雖然這項成功的攻擊行為仍有許多細節並不明朗，但是採用類似自動化系統的公司，現在很可能都正密切檢驗安全指導及實務。

烏克蘭的公用事業公司，則在2015年12月底報告第一起這類攻擊事件，而這起事件造成客戶無電可用；至少有一家烏克蘭配電公司的八萬名以上客戶，無法取得電力達數小時之久。雖然停電原因仍在調查中，但攻擊行為似乎採取三種不同策略，以取得公用事業內部系統的控制權，顯示這是涉及高度規畫的攻擊事件。

就在各界趕忙在住家監控及安全領域採用物聯網技術時，似乎忘記了安全設計原則尚未跟上腳步。根據安全研究人員在2015年夏季所做的漏洞研究，發現在測試的聯網嬰兒監視器中，有1/9存在嚴重的安全瑕疵。研究人員表示每個攝影機都存在後門，能夠讓入侵者存取。其他的安全瑕疵包括使用預設密碼、可輕易存取的控制台網站，以及欠缺使用加密功能。駭客甚至建立網站，為好奇的偷窺者列出成千上萬不安全的網路攝影機。

日常裝置連線網際網路所產生風險的最後一個例子，則是由矽谷研究人員在2014年初提出的報告。研究人員在為期一個月的垃圾訊息研究中，發現垃圾電子郵件竟源自智慧家電，包括遭駭用於傳送垃圾郵件的冰箱。對此，不能也不應期望消費者瞭解及維持聯網家電的安全狀態。在設計使用物聯網的家電及其他裝置時，必須遵循適用於整個產品生命週期的安全規範。

管理及降低風險

與物聯網有關的風險類型各不相同，需視應用而定(意即智慧家庭、工業4.0、聯網汽車、資通技術等等)，不過攻擊各種系統的手法則大致相同。竊聽攻擊的目標是探索資訊(可能用於日後攻擊)，其他攻擊則牽涉破壞或假冒伺服器以傳送惡意指令，或由裝置注入錯誤資訊，以便造成有害反應或隱藏實體攻擊(圖2)。

顯然竊聽攻擊的後果各不相同，需視物聯網應用而定。隱私遭到侵犯可能對個人造成更嚴重的悲慘後果。如果是工業間諜攻擊，就可能竊取智慧財產，或是為了未來攻擊工廠或其他作業而事先準備。注入假指令可能讓家庭成員不勝其擾、造成公司商業損失，或嚴重破壞關鍵基礎設施。反過來看，如果讓裝置在網路注入假訊息，則可輕鬆造成負面後果。

前面曾經說過物聯網風險類似其他聯網技術，因此保護數位系統的適當安全應變措施均已說明示範。雖然並沒有單一解決方案能夠因應物聯網安全需求，但許多不同應用情境之間採用的方式都存在共同點。在各種情況下，安全目標是預防未授權讀取、複製及分析數位資訊，並避免受保護系統直接受到操控。有各式各樣的技術可以達成前述目標，其中包括僅使用軟體的方法，乃至於利用硬體型的強大安全功能，專門設計用於抵抗不良分子最惡質的攻擊行為，避免被取得各種機密資源。

評估風險

物聯網安全應以風險型方法加以評估，其中會隨著系統或系統所含資訊的整體風險增加，而提升應用的保護層級。具備擴充能力的安全實作，可設計將較為簡易且成本較低的裝置隔離在網路邊緣，並於關鍵點建構更高層級的安全性，以保護各個裝置。

風險分析也會考量整體聯網系統的安全性，以及將會或可能與前述系統連線之眾多裝置的安全性。裝置與通訊網路連結時，每個連結裝置都代表攻擊面。即使是透過有線或無線連結控制的簡單智慧燈泡，也可能成為騷擾或嚴重攻擊物聯網系統的入口。

安全方案供應商如英飛凌(Infineon)與客戶都瞭解到，如果只使用軟體保護系統對抗惡意攻擊，會讓個別裝置及更廣大的聯網系統處於風險之中。硬體安全性提供關鍵的保護層，適用於眾多構成物聯網裝置的風險層級。這項關鍵層級是以「信任根」作為核心概念，其中會有一個設置電腦晶片的安全區域，在其中提供記憶體與處理環境，並與其餘系統隔離。信任根受到防護抵擋惡意攻擊，並藉此為其保護的其他電腦系統作業層級提供安全性。

物聯網安全最佳實務

物聯網安全有三項核心概念：機密性、身分及完整性。以上三項概念可利用下列問題表示—敏感資料的傳輸及儲存是否受到保護？物聯網系統元件(裝置、伺服器等)是否與其主張的功能相符，或遭受數位偽裝？元件是否遭到入侵或感染？

信任根是正面解答以上問題的最佳方式。信任根是一種強化的安全晶片，用於對抗攻擊，並整合至物聯網裝置、網路或伺服器之中。視預定應用而定，晶片可提供不同的保護層級，滿足圖3所示部分或所有的硬體安全角色需求。

物聯網系統中風險層級最低的部分，可能是無法編程設定的末端節點；該節點只負責將感測器資料轉送至閘道或本機伺服器，以便在其中驗證來源，並將輸入納入作業資料之中。即使是這樣的風險層級，也可使用低成本的驗證晶片，搭配預先編程的單一身分，提供在整個裝置生命週期中驗證身分的方法；這也有助於預防複製裝置在網路邊緣擴散的問題。如果需要加密傳輸資料，或是裝置可能轉售或重新設定，就要考慮額外使用受保護的金鑰及憑證儲存設備。

裝置與伺服器之間流通的資料和指令應充分加密，以對抗竊聽及注入假指令等攻擊行為。這需要兩端都具備密碼運算能力，並可擴充以因應風險層級需求。

即使在最低的功能層級，硬體式安全也使用密碼機制保護機密資料。密碼演算法可利用一般的MCU加以實作，不過建議裝置本身至少要具備基本的防竄改能力及密碼功能。如信用卡使用的晶片早已廣泛實作這類保護措施，這類晶片可保護自己，甚至能夠在偵測到發生竄改事件時，自動清除自身的記憶體。

物聯網安全可受益於全方位的防護方法，讓系統中使用的每個裝置在完整生命週期都安全無虞。對於使用大量低成本裝置的系統，安全硬體供應鏈可提供支援，由晶片製造商直接將晶片出貨至組裝點。晶片具備預先編程的身分之後，就能在開啟時透過「無線」方式自行註冊。如果各個裝置都在中央控制點配備安全金鑰，就能更輕鬆防禦以對抗入侵及破壞行動。

物聯網安全解決方案因應各領域需求打造

前述所有技術(防竄改電路、驗證及加密)都已用於其他系統，不過尚未成為物聯網固定考量採用的項目。本文認為硬體式安全的各種效益，例如更優異的效能、更高的安全性(包括防竄改)及安全分割(保護對抗作業系統及應用程式碼的錯誤)等特色，可作為在物聯網使用此項技術的論據。

嵌入式系統安全性可由英飛凌OPTIGA產品系列提供，其中由可信賴平台模組構成功能豐富的標準化安全解決方案；此外還有OPTIGATrust系列提供統包或可編程解決方案；也有各種安全的行動無線網路M2M通訊產品可用於工業及汽車應用。

(本文作者為英飛凌技術行銷部門資深首席工程師)