涵蓋三層聯網/六向防禦    微控制器要讓IoT「安」啦

物聯網讓生活更加便利與人性化，該風潮將帶動所有的終端裝置連網，在這些數以十億計的物聯網終端中，卻可能暗藏風險！由於物聯網讓龐大的數據資訊變成開放性資料，可能會引發大規模的資安危機，因此物聯網本身的安全可靠性便是抵禦駭客的關鍵之一，特別是聯網裝置中的關鍵元件微控制器(MCU)，如何為終端使用者隱私資料與連線安全提供保障，將被視為物聯網發展中最需要被關注的重點之一。 

無所不連的物聯網，將網路應用提升到另一個境界，便利性大幅提升。然而，網路便利的苦果也隨之而來：2017年4月美國德州達拉斯市官員稱，由於電腦駭客入侵，達拉斯156個緊急警報系統在夜裡鳴叫了90分鐘左右，最後透過工程師手動關閉警報器無線電系統和中繼器。 

另外，轟動一時的台灣銀行提款機盜領案，羅馬尼亞盜領集團先在歐洲義大利、法國、丹麥等國家的自動提款機裝設側錄設備，趁被害人提款時，側錄卡片上磁條的內碼，再將內碼寫入俗稱「白卡」的提款卡內，配合盜錄取得的密碼，再來台以病毒入侵第一銀行ATM系統，讓ATM設定歸零(Reset)以自動吐鈔。 

圖1 工研院IEK分析師范哲豪說明，2017年是物聯網概念轉變成實際應用的一年。

駭客攻擊固然讓人心生畏懼，但物聯網的發展確實帶來許多效益，工研院IEK分析師范哲豪(圖1)舉例說明，英國M42智慧交通系統，縮短了25%通行時間，車禍減少50%；西班牙巴塞隆納智慧路燈每年節能30%；卡達首都杜哈智慧水控制系統，增進防漏效率40%∼50%。因此，儘管網路安全事件發生的頻率、規模、危害可能將不斷提升，全球還是積極朝物聯網邁進，只是若物聯網要發展得好，網路安全必不可少。 

物聯網MCU結合通訊與安全 

物聯網的規模包山包海，連結數量也是數以十億計，如何確保網路安全？以物聯網的網路架構來說，包括終端節點(Node)、閘道器(Gateway)、伺服器(Server)，所以安全防範應該從這三個架構中著手，建立完整的防護機制，而運算控制元件如微控制器正是這三個架構中都普遍存在的元件，因此MCU在物聯網應用中，對於安全的要求也水漲船高。 

物聯網的應用無所不在，范哲豪認為，2017年是物聯網概念轉變成實際應用的一年，不過這些應用近兩年都還是呈現破碎化的發展，物聯網為MCU帶來許多新的商機與挑戰，安全應該就是其中最重要的部分。過去許多MCU裝置獨立存在，並不需要聯網的功能，最明顯的轉變就是過去部分應用需要搭配通訊功能，所以有廠商特別提供一類通訊MCU的產品；而部分應用則有高度安全需求，所以另有一類產品稱做安全MCU，特別提供給像智慧卡這類安全敏感度高的產品應用。 

圖2 TI半導體行銷與應用嵌入式系統總監詹勳琪指出，該公司新架構在單晶片上有兩個物理隔離的執行環境。

但在物聯網時代，幾乎所有的物聯網應用，都同時需要通訊與安全，因此物聯網應用MCU，越來越強調必須同時具備這兩項功能。像德州儀器(TI)就在其無線MCU的產品線中推出強化安全性的架構，該公司半導體行銷與應用嵌入式系統總監詹勳琪(圖2)指出，新架構在單晶片上擁有兩個物理隔離的執行環境，強化了安全儲存、複製保護、安全啟動和網路安全等嵌入式安全特性。 

物聯網安全挑戰日益嚴峻 

一般而言，物聯網安全威脅不外乎兩大層面，一是裝置中的資料被竊取，另一個是網路被入侵。常見的網路攻擊則包括：監聽攻擊-透過監聽程式(Sniffer)，竊聽透過網路傳送的未加密資訊再加以竊取；阻斷服務攻擊-利用這種攻擊來封鎖或阻慢對某些網路或設備的使用；金鑰淪陷攻擊-就是竊取加密通訊的金鑰，被用於解譯加密過的資料；密碼攻擊-通常是入侵網路或連到特定網路的設備，主要是經由猜測或竊取密碼；中間人攻擊-即是第三者竊走雙方或設備間傳輸的資料。 

嵌入式應用在安全上有六個方面的需求，范哲豪解釋，包括使用者認證、可信任服務、安全通訊、安全內容管理、安全網路訪問、防範實體侵入。所以廠商在設計IC時，通常也會針對這些需求提供相應的安全機制。詹勳琪進一步說明，更深入區隔安全的概念又可分為：Security與Safety，兩者雖然中文都叫做安全，但是Security比較接近事前的預防、防止入侵，而Safety比較屬於事後的處置，如資料遭竊後的抹寫機制。 

網路的攻擊大都是透過安全漏洞來進行，物聯網的連結較過去更多，更容易出現成為攻擊目標的漏洞，所以無論在節點、閘道器或伺服器都需要設下更完善的保護，才可以確保安全。因此ARM特別將過去只搭載於Cortex-A系列處理器的TrustZone，整合到新的v8-M架構中，讓未來MCU的設計也能因應物聯網的發展，強化安全機制。 

v8-M從架構上確保安全 

從架構上就進行防護可以讓整個物聯網更加安全，TrustZone的概念(圖3)就是在IP內部就分成兩個區域，ARM應用工程師陳建嘉(圖4)說明，Secure World負責儲存比較敏感的資料，Non-secure World則處理一般運算資訊，透過安全性單元(Security Attribute Unit, SAU)將兩個區域的資源取用或運算完全區隔，甚至連其中運作的OS也有兩套，利用硬體的方式進行加速，又分成Supervisor與User兩個模式，與Secure World與Non-secure World合起來有四個操作模式。 

圖3 ARM TrustZone的概念

圖4 ARM應用工程師陳建嘉表示，v8-M架構中Secure World負責儲存比較敏感的資料。

過去MCU廠商為了某些安全性需求高的應用，會特別使用一顆單獨的安全晶片，透過獨立的兩顆晶片確保運作安全性，採用v8-M架構之後就可以使用同一個IP核心，更便於導入安全性設計。一般來說，v8-M架構相較v7-M架構效能可以提升15%，同樣運算能力的晶片大小可以縮小15∼25%。更詳盡的設計技巧，將在後續另篇文章有完整的說明與介紹。 

物聯網的應用在未來幾年會呈現百花齊放的發展，由各個不同領域的應用，從市場需求高，技術瓶頸低的層面開始發展，由點、線、面的方式逐漸形成完整的物聯網架構，所以在導入的初期就加入安全機制是比較妥善的做法。然而除了共同的機制之外，廠商也須投入發展自身獨特的安全技術，以提供客戶更上一層樓的防護。 

面對安全需求不斷提升，近年高科技領域整併的過程中，以安全技術或產品為收購標的的案例也很多，范哲豪舉例說，ARM於2015年7月收購Sansa Security、Cryptosoft 2016年4月收購Device Authority、NNG 2016年4月收購Arilou Information Security Technologies、Harman 2016年3月收購TowerSec Automotive Cyber Security、BlackBerry 2009年2月與2014年12月收購Certicom和Secusmart、亞馬遜2015年3月收購2lemetry、Ping Identity於2016年8月取得UnboundID，都突顯了安全性的重要。