提高智慧電錶全生命週期的隱私性與安全性

作者 : Mohit Kedia,Arm物聯網服務事業群產品經理

在智慧電錶運作的生命週期中,安全威脅可能以多種形式出現。公共事業單位如何確保智慧電錶資料安全與隱私?

物聯網(IoT)業務正以驚人的速度成長。預計到2035年全球將會有1兆台IoT設備,遠端控制設備和獲取有價值資料見解的能力,正在推動我們朝著這個目標前進,這將帶來比今天多幾個數量級的資料。智慧電錶產業是目前連網設備數大幅成長的產業之一。IHS Market預測,相比於2018年只有90億美元的支出,智慧電錶基礎建設(AMI)到2023年將增加至130億美元。相對地,取暖、照明與自來水等供應公司都可以從中獲益,如自動讀取電錶、更精準的計費、遠端連線與斷線等,所花費的資源都比之前要少很多。

但這種空前的成長為網路犯罪創造了一個持續擴大的攻擊面,他們攻擊這些連網基礎設施、入侵並從中竊取個人或企業資訊。例如,駭客在2016年12月利用Crash Override惡意軟體攻擊了烏克蘭的發電網,使30個變電站停機,造成基輔市大範圍停電,讓這座城市的供電量降至原本的五分之一。

在智慧電錶的運作生命週期中,安全威脅可能以多種形式出現。公共事業單位必須考慮許多因素,並針對不同的攻擊類型預先準備,以確保客戶受到充分保護。例如,側通道攻擊(side-channel attack)透過相關功效分析(CPA)來探測與分析資料的消耗,確定取得進入基礎設施的憑證。能源供應商與OEM需要採取措施確保從設備到雲端的安全性,他們也必須能對韌體進行無線OTA更新,以確保設備在生命週期中具有可靠性。那麼,公共事業單位如何確保他們的智慧電錶保障各方資料安全與隱私?

一種重要客戶資料是個人身份辨識資訊(PII),它存於電錶內;這表示智慧電錶的安全性與個人隱私有直接關聯。公共事業單位可以利用這些資料預測能源的需求、配置需求回應,並針對能源消耗提供建議。這些資料必須依據一定的規範,如歐盟的GDPR,透過可靠的方式進行存取與管理。此類政策的實施需要一個可信任資料的基礎,並將安全性注入資料搜集、資料分析與設備本身中。這需要設備裡具備信任根(ROT)、以鑒別為基礎的接入,以及靜態儲存與資料中轉的加密。

IoT平台確保智慧電錶兼具安全性和隱私性的六種方式

對智慧電錶安全性與資料隱私的保護需要貫穿設備的整個生命週期,從製造、開始啟用到日常使用(圖1)。得益於Arm Pelion IoT平台,設備生命週期內的必要支援已經與平台的設備管理與存取控制能力完成整合。以下闡述了IoT平台應對設備的生命週期內安全性需求的六種方式,這對保護使用者隱私權來說至關重要。

20200109TA31P1
圖1 安全的設備生命週期範例。(圖片來源:Arm Pelion IoT平台)

方式一:在工廠生產預配置階段為大規模智慧電錶部署保證信任根

負責製造智慧電錶的生產設施需要在可擴展性和彈性之間取得平衡,以確保設備值得信賴,從而為電錶的現場使用提供安全的基礎。信任根構成了安全域內一系列的功能,且受到智慧電錶作業系統的信任。把憑證輸入單一的設備可以降低此類風險,但如何把這個流程擴大到數百萬設備的規模,這是在效率與安全之間取得平衡的關鍵。考慮到公共事業企業本身並非製造商、常把生產外包給OEM後,如何將信任轉交給工廠本身更值得關切。因此,要如何讓協力廠商的工廠變得可以信任?

透過管理與IoT平台,引導程式和LwM2M伺服器進行交叉引用的憑證授權(CA)來注入安全憑證。IoT平台供應商提供的工具為CA的配置提供線性過程,可確保只有擁有CA簽署的憑證與公開金鑰的電錶設備,才能在設備與設備管理平台間建立連接。

一旦CA完成組態配置並將其連接到製造商的帳戶,工廠生產線就可以批量配置設備了。這一程式包括五個階段:

·注入軟體映射;

·產生設備金鑰(圖2)、憑證與配置參數;

·在生產線上利用工廠工具在把生成的金鑰、憑證與相關配置參數注入設備;

·利用設備內的金鑰配置管理器與工廠配置器用戶端(FCC)的API進行資訊驗證;

·完成首次配置程式並禁止生產影像中的FCC程式碼,以確保供應後無法再度存取。

20200109TA31P2
圖2 安全工廠首次配置案例。(圖片來源:Arm Pelion IoT平台)

方式二:啟用時與供電網的可靠連接

如前所述,生產智慧電錶的OEM離終端使用者的需求往往只差一步,這意味著首次配置的過程常需要足夠的靈活性以滿足現有的過程。例如,有些用戶選擇在將其金鑰和憑證綁定到工廠配置器實用程式(FCU)之前,在內部創建它們。FCU位於工廠生產線內,與製造商的工廠工具一起使用,以配置設備參數並為其注入憑證,而這些憑證會驗證智慧電錶的維運參數;或者,有些廠家會選擇直接注入設備。儘管前者是比較有效率的方式,但兩種方法同樣安全。

由於OEM在製造時並不知道智慧電錶會部署於何處,也不知道與電錶相關聯的帳戶,因此確保最後設備與電網的安全連線極為必要。因此,製造商與公共事業單位會利用包含設備註冊名單的預先共用金鑰(PSKs)。此過程將驗證唯一ID,以將憑證與特定設備管理帳戶中的註冊資訊進行匹配,然後將設備分配給該帳戶。僅當設備ID與公用事業供應商的IoT門戶中上載的
ID匹配時,才會確認完成。

PSK為設備和IoT平台提供了一個公共金鑰,該金鑰已安全地配置到設備中,構成了最基本的安全等級。它之所以被認為是最基本的,是因為製造過程中,存在製造過程中傳遞給智慧電錶的憑據,以及儲存在伺服器上的憑據機密列表可能受到破壞的風險,從而使數百萬個電錶和使用者的資料暴露無遺。

公開金鑰基礎架構(PKI)是種更安全的方法。PKI被用作在設備與IoT平台間,並添加了一層非對稱密碼,它將加密過的簽名綁定到對電錶進行身份驗證的協力廠商。使用此協力廠商是一種更安全的身份驗證方式,因為憑據僅在設備本身上生成。

任何優秀的IoT合作夥伴在為OEM提供這一水準靈活性的同時,維持安全性是需要考慮的重點,並在啟動程式階段確保唯一的身份。互動是透過加密傳輸層安全性(TLS)通訊與引導伺服器進行的資料傳輸的一部分,這是一種防止竊聽、篡改或偽造消息的方法。

方式三:安全的通訊

AMI的推出可協助公共事業企業實現監控、計費、連接與斷線的自動化。它是智慧電錶、通訊網路與資料管理系統的結晶,可實現供應商與客戶之間的雙向通訊。由低頻寬連接的低功率、遠端功能促進了附加的通訊層,讓公共事業服務供應商產生額外的風險。因此,設備與IoT平台之間的通訊,然後再到公用事業供應商的Web應用程式,都透��使用標準的TLS獲得保全。

TLS是一種加密協議,可在可能不受信任的網路上提供端到端的通訊安全性,並廣泛用於IoT設備與雲端的通訊(圖3)。使用TLS透過安全通訊通道進行通訊的基本步驟,包括初始化SSL/TLS上下文、執行SSL/TLS交握,並在智慧電錶與雲端之間建立安全連接、在智慧電錶與雲端間傳送/接收資料,以及通知對端連線即將關閉。

20200109TA31P3
圖3 晶片到雲端的TLS加密案例。(圖片來源:Arm Pelion IoT平台)

這個業界標準的方法不但充當加密協議,而且消除了對繁瑣和不安全密碼的需求。出示簽章憑證的行為為公用事業供應商的帳戶提供了經過驗證的唯一設備ID,從而無需其他形式的身份驗證。透過使用設備語言消息規範(DLMS),儀錶的通訊使用安全套件1的DLMS進行,該套件基於PKI進行身份驗證和金鑰協商,並使用AES-GCM-128進行身份驗證加密。

方式四:信任更新來源

在現場更新設備,是成功部署智慧電錶的關鍵,而其中某些設備可能會運作超過20年。在此期間,OTA更新可以為最終用戶和公共事業服務提供者的後期部署提供額外的功能,包括修復漏洞,以及延長設備的使用年限。遠端更新也是防止最新威脅或新發現漏洞的有效手段,而無需在現場手動進行繁瑣的操作和付出高昂的代價。

相反,如果未驗證更新本身,那麼更新設備以管理免受最新威脅的保護行為可能會帶來自身的風險。

在建議更新時,設備必須針對韌體作出重大的判斷。例如,更新是否值得信賴,同時是否可適用於設備?要驗證韌體升級影像是否受到信任,其中的一種方式就是使用中繼資料(一般被稱為manifest清單檔),對清單進行數位簽章,以在執行任何操作之前驗證更新本身的完整性。韌體的作者擁有用於提供更新的端到端驗證的金鑰,韌體清單的創作和簽名可確保僅將受信任的更新(具有可驗證的信任鏈更新)應用於正確的設備。

創造清單檔最簡單的方式,是使用清單工具;該工具可以在PC創建、簽名和上載清單,並測試整個端到端更新流程。

方式五:安全、機密的更新

正如OTA是保障設備生命週期安全性的關鍵,安全性本身則是成功的OTA更新的關鍵。IoT平台部署的韌體安全更新會與傳輸協定分離,這意味著傳輸網路被視為不可信任。透過獲得更新檔封包,創建更新請求,然後將該更新安全地部署到連接的設備上,可以促進大規模的安全更新。

設備管理終端等待更新的通知,然後驗證安裝封包、應用更新,並在更新失敗時,將設備回復到原始的狀態。此外,個別的設備在活動過程中,也可針對可疑的行為進行監控。

回滾保護可防止儀錶被惡意回滾到較舊的、更易受攻擊的韌體版本,並且僅當關聯的韌體清單是更高版本時,更新才能繼續進行。可以降級到以前的電錶版本,但需要經過身份驗證的服務營運商授權。

方式六:現場憑證管理

在某些場景下,公用事業單位可能希望阻止已部署的智慧電錶連接到雲端。例如,當智慧電錶的完整性遭到破壞,並且憑證受到破壞,則公用事業單位暫停受破壞的設備對於確保更廣泛的AMI生態系統的整體安全至關重要。公用事業供應商還希望確保可以為現場部署的智慧電錶續訂憑證,如果智慧電錶的現有憑證即將過期,則需要續訂憑證,並且一旦過期,智慧電錶將無法線上連接服務。

設備憑證的更新過程涉及IoT設備管理平台,例如Pelion設備管理平台及其設備管理用戶端。此五階段過程通常涉及以下內容:

·從設備管理門戶或智慧電錶調用設備管理API;

·智慧電錶產生新的金鑰,依據既有憑證生成憑證請求指令(CSR),並把CSR傳送至Device Management平台;

·Device Management平台將憑證CSR發送至協力廠商憑證授權機構(CA)進行憑證簽署;

·內部的設備管理CA簽署LwM2M憑證,然後把它們送回至Device Management平台;

·然後Device Management平台將簽名的憑證發送回現場的智慧電錶。

公用事業單位正在利用智慧電錶所帶來的效率和額外的收入機會,並透過IoT使之成為可能。但需要注意的是,這種增長的速度和規模為網路罪犯帶來了巨大的機會,隨著每個設備的部署與每次更新,設備的攻擊面都會變大。一個有效的IoT設備管理平台可以協助建立安全的基礎,穩固電錶的運作生命,以便促進更簡便且易於擴展的部署,並且確保公共事業單位及其客戶都能受到保護。

(參考原文: Enhancing Privacy and Security in the Smart-Meter Life Cycle,by Mohit Kedia)

本文同步刊登於EE Times Taiwan 2020年1月號雜誌

掃描或點擊QR Code立即加入 “EETimes技術論壇” Line 群組 !

 EET-Line技術論壇-QR

發表評論