安全認證為後疫情時代把關IoT裝置安全

作者 : Winbond Electronics

GlobalPlatform日前攜手華邦電子、Arm與工研院首度在台灣舉辦IoT Security and Certification Schemes Workshop,分享IoT產業在後疫情時代的新機會與資安挑戰、安全技術與設計趨勢,以及如何透過安全評估與認證,協助製造商佈署可信任的IoT方案…

隨著COVID-19疫情蔓延全球各地,「1.5公尺經濟」創造了各種零接觸的數位服務、線上學習、遠距工作以及電子商務等新機會;另一方面,卻也成為駭客藉機發動網路攻擊的最佳時機。特別是值此連網裝置蓬勃發展的「物聯網」(IoT) 時代,越來越多攸關網路安全的問題浮出檯面,製造商如何確保其IoT裝置免於與日俱增加的威脅和法規考驗?台灣科技產業又該如何因應資安漏洞頻繁出現的風險與挑戰?

在全球各地展會紛紛改為線上舉行的疫情期間,致力於數位服務和設備相關國際安全標準的非營利機構GlobalPlatform攜手華邦電子 (Winbond)、Arm與工研院 (ITRI) 首度在台灣舉辦‘IoT Security and Certifications Schemes Workshop’國際研討會,巧妙地結合虛擬與現場的互動方式,邀請業界安全專家「跨國」分享IoT產業在後疫情時代的新機會與資安挑戰、安全元件的技術與安全設計趨勢,以及如何透過安全評估與認證方式,協助製造商在其垂直產業中佈署可信任的IoT解決方案。

為了守護IoT時代的安全性,成立逾20年的非營利技術組織GlobalPlatform執行總監Kevin Gillick在一開場的專題演說時介紹,GlobalPlatform致力於發展標準化架構與規範來支持協作和開放的生態系統,讓不同產業都可以在確保安全的同時部署並管理數位服務和連網裝置。

「安全部署IoT裝置與服務的關鍵在於保護數位服務、認證安全元件,以及確保數位服務的遠端管理安全。」他進一步解釋:「保護數位服務是IoT領域獲得信任的關鍵。在此信任的基礎上,還必須要有獨立的第三方實驗室來認證這些技術,確認是否具備應有的功能,以及不存在任何已知的安全漏洞等。而一旦在遠端部署數位服務與裝置,重點就在於確保可為其進行安全管理,並經由製造商實現安全的遠端更新。」

為了創建完全協作和開放的生態系統,GlobalPlatform提供支援多項數位服務管理的技術、認證與市場策略,包括IoTopia安全架構以及可信任執行環境 (TEE) 與裝置信任架構 (DTA) 等規範,期望協助服務供應商和裝置製造商就技術與商用化合作,推動IoT裝置與服務的安全與標準化,進而加速裝置上市並降低成本。

實現安全的連網裝置設計

  1. 硬體RoT:建立CoT的基礎

為了打造安全的IoT系統,從最底層的半導體晶片到電子元件、閘道器連接上雲端到軟體應用,必須層層嚴格把關,導入實體安全、晶片安全、安全開機與裝置認證。因此,在實際設計時啟用信任根 (Root of Trust;RoT),並確保安全地執行空中傳輸下載 (OTA) 更新和身份驗證,才能防範對於IoT裝置的攻擊。

從物聯網安全的角度來看,從最底層的半導體晶片到電子元件、閘道器連接上雲端到軟體應用,每一層都存在遭受攻擊的可能性,但也有其對應的元件與解決方案。(來源:Winbond Electronics)

「唯有具備可靠RoT的硬體安全,才是抵禦駭客攻擊最根本的方法,」GlobalPlatform安全任務組主席兼意法半導體 (ST) 資深研發工程師Olivier Van Nieuwenhuyze解釋,RoT普遍用於業界涉及安全的服務部署,它主要由運算引擎、程式碼 (資料與密鑰) 組成於同一平台且提供至少一種安全服務,其尺寸也盡可能地精簡以限制可能遭受攻擊的表面。一個平台提供唯一的RoT,而且必須適用於認證。

「信任鏈」(Chain of Trust;CoT) 則是在模組到模組之間執行相同的RoT服務。Van Nieuwenhuyze指出,硬體RoT可作為裝置建立CoT的基礎與管道,從而有助於為裝置進行安全的驗證、認證與加密。

為了推動安全的裝置信任機制,打造基於安全元件的連網裝置,GlobalPlatform的標準化安全元件技術可提供安全的服務,源基安全元件的RoT適用於CoT的每一層,包括根機制、裝置OS與應用層,有效保護裝置與數位服務。

  1. 安全元件邁向整合:SE/eSE/iSE

因應服務供應商為其價值鏈提供更多付費服務 (premium services) 以及跨不同垂直領域的應用需求,針對IoT裝置的實體安全保護,越來越多的主流設計開始導入安全晶片 (Secure Element;SE)。Arm物聯網平台事業處商務拓展資深總監姜新雨解釋,這些安全晶片主要採用蘋果 (Apple) 最初為產品提供額外保護所使用的防篡改獨立環境——Secure Enclave架構。

姜新雨介紹,「晶片上的安全區域可根據不同的應用分別映射到REE、TEE與SE這三個安全執行環境。其中,SE處理最高安全等級的應用和任務,例如認證裝置連接至行動網路的Secure ID,或是讓手機得以進行行動支付與交易等。」

隨著科技產業邁向更高度整合之路,越來越多的高階裝置開始內建獨立的安全晶片,另一新趨勢則是將安全晶片整合於SoC中成為整合型安全晶片 (iSE)。SE/iSE主要用於保護裝置的實體安全,例如防側信道攻擊、電壓或時脈的攻擊、竊取對稱密鑰,或是透過工具篡改晶片等等更先進的攻擊手法。

姜新雨預期,在未來的IoT世界,現在用於手機中的SIM卡即將消失,取而代之的是嵌入式SIM (eSIM) 或整合式SIM (iSIM)。「iSIM由於整合至SoC,其佔位面積僅原本eSIM的5%或更小,同時還節省了物流以及更換SIM卡等相關成本。此外,iSIM/eSIM還支援遠端配置 (remote provisioning),透過OTA更新電子設定檔,提升了週期管理效率。」

iSIM整合了SE、RF與MCU於一個安全SoC中,佔位面積eSIM更小,但安全性不打折(來源:Arm

那麼晶片業者如何證明其支援iSIM功能的晶片是安全的?姜新雨介紹,業界一般採用「複合式評估」(composite evaluation) 來認證iSIM,以確保從晶片、韌體和SIM OS的完整平台安全。「首先,IC必須通過諸如『共同準則』 (Common Criteria;CC) PP-0084 EAL4+ 防篡改等安全功能要求。無論是獨立SE或iSE都要通過安全認證,經認證的晶片、韌體以及SIM OS還必須通過PP-0089等認證,讓服務供應商確認產品安全無虞。」

Arm為此提供整合SE、Cellular和微控制器 (MCU) 的iSIM解決方案,包括Cortex-M、SecureEnclave IP或CryptoIsland IP以及Kigen SIM OS,期望協助客戶打造支援iSM IoT的安全SoC。

傳統的塑膠SIM卡開始朝向嵌入式安全元件 (eSE)、整合式安全元件 (iSE) 過渡。(來源:GlobalPlatform

GlobalPlatform也為iSE量身打造了兩種規格:Virtual Primary Platform (VPP) 與Open Firmware Loader (OFL)。GlobalPlatform SE委員會主席Karl Eglof HARTEL介紹,VPP是一種與外界通訊的虛擬環境,用於執行在整合平台上的OS,而OFL則用於載入 (影像) ,並確保只有經認證的實體才能提供載入TLE的影像。

  1. 通過認證的NVM才算安全

從白色家電、連網汽車到基礎設施等裝置,以及從裝置、閘道器到雲端等越來越多的應用,對於連網安全的要求均來自於資訊儲存裝置的安全元件,而這正是安全記憶體發揮作用之處。

「非揮發性記憶體 (NVM) 掌握了IoT平台的關鍵。」華邦電子表示,NVM儲存著密鑰與用戶資料,同時掌握著韌體與軟體、IP、演算法以及ML訓練資料等程式碼。一旦駭客攻擊了其中一個NVM就可能導致無法挽回的嚴重破壞。

因此,確保NVM的安全至關重要。華邦電子強調,「唯有確保NVM的安全性,才能保護重要資料與密鑰的機密性、軟體以及IP的完整性,打造彈性化的系統架構 (復原錯誤與攻擊),從而節省長期的維護成本 」

那麼要如何確保NVM是安全的?華邦電子分享,「如果未經認證,供應商宣稱的安全並不是真的安全。產業樣貌隨時在改變,因此必須透過專業知識和技術來分析安全和弱點,並經由同儕審查特性、架構、設計和實作。使用真正安全的NVM就跟為應用挑選適用的NVM一樣重要。唯有透過認證才能確定哪一個NVM是可信任的。」 華邦電子並建議採用多層式認證 (multi-tier certification) 機制,如SESIP、CC EAL 5+等,可在未來更新至更高層級安全時加以擴展,以減輕並保障在IoT的投資。

華邦電子是台灣少數取得安全認證的供應商之一,也是第一家NVM產品通過 EAL 5+等級認證的利基型記憶體供應商。這是因為華邦電子在開出產品功能清單之前就先定義好安全的目標了,並且同步投入產品生命週期、設計過程與基礎設施。此外,華邦電子也積極參與各種安全產業組織,為產業貢獻專業技術與經驗。 華邦電子至今已取得W76S CC EAL5+W75F CC EAL5+等CC認證,以及W76S EMVCoW76S CFNR等金融認證成果。

  1. 白名單原則:實現IoT安全的第一步

針對IoT安全這一類固定功能的裝置,工研院資通所所長闕志克認為,採用「白名單」(whitelisting) 原則,是實現IoT安全的第一步。「白名單原則定義了一個裝置應該有的行為,除此之外的任何行為都不容許。」在設計時採用這種白名單作為統一的原則,能夠嚴格控管在裝置上允許執行的所有行為。

闕志克解釋,「白名單原則即所謂的‘Principle of Least Privilege’,它只開放可完成工作的最低權限,不容許除此之外的其他動作或行為。例如所謂的『安全設計』(security by design),以及企業為了避免員工自帶裝置 (BYOD) 造成資產受影響而採取的虛擬行動基礎架構 (Virtual Mobility Infrastructure;VMI),都是建立在這個原則的基礎上。」

透過白名單原則、微切分以及VMI等途徑,阻斷惡意程式攻擊(來源:TIRI

因此,即使裝置中存在弱點或不慎下載了惡意程式 (Malware),只要不在白名單中就無法落實執行,就算允許程式執行後也可以阻擋這些惡意攻擊。或者搭配「微切分」(Micro-Sementation),根據應用的安全防護等級要求來劃分「安全區」;最後還可以透過VMI途徑,進一步確認連接伺服器的對象以及允許執行的裝置或程式。

工研院為此開發了應用程式白名單 (Application whitelisting) 解決方案,可支援Linux、Windows、X86以及Arm等不同的軟體平台,並可自動更新白名單。

安全認證把關IoT裝置安全

為了打造安全和開放的IoT生態系統,GlobalPlatform透過多項標準化技術架構和認證安全硬體/韌體組合 (即安全元件) 來保護數位服務,並確保IoT裝置的安全性足以防禦威脅。

  1. IoTopia架構標準化IoT安全性

「IoT 安全是一場持續戰!(IoT Security is a Constant Battle)」GlobalPlatform IoTopia委員會主席Russ Gyurek指出,儘管全球IoT安全攻擊的新聞頻傳,但事實是,我們無法完全遏止或減輕這些持續發生的資安攻擊,駭客無所不在。「但我們可以做到的是一旦受攻擊後,將傷害程度降至最低,而不至於讓病毒滲透整個網路或造成全面破壞。」

GlobalPlatform為此提出了一個通用架構——IoTopia,以標準化IoT裝置與服務的安全設計、認證、部署和管理。Gyurek介紹IoTopia架構包括四大支柱:

  • 設計安全 (Security by Design):超越最佳實踐的功能和特性,定義如何搭配使用安全元件、API以及安全設計的參數與現有標準。
  • 設備意圖 (Device Intent):IoTopia利用IETF的製造商使用說明 (MUD) 和統一資源識別碼 (URI),有效管理裝置的授權和網路存取。
  • 自主、可擴展的啟動IoT裝置 (Autonomous, Scalable Onboarding for IoT Devices):IoTopia提供標準化的開放安全裝置啟動流程,以簡化網路管理。
  • 裝置生命週期管理 (Device Lifestyle Management):根據國際法規管理裝置的整個生命週期,包括服務的更新和維護。

IoTopia標準化架構的四大支柱。(來源:GlobalPlatform

Gyurek表示,IoTopia提供的是一個標準化、開放且可執行的架構,有助於在裝置設計之初嵌入安全功能,並可因應安全的需求變化而擴展,不僅可為IoT生態系統帶來信任基礎,還能確保降低裝置的成本。

  1. 可信任執行環境 (TEE)

可信執行環境 (Trusted Execution Environment;TEE) 是GlobalPlatform提出的概念,這是一個為裝置提供安全性並與其OS並存的執行環境。

可信任執行環境 (TEE) 架構。(來源:GlobalPlatform

Global Platform TEE委員會主席兼Trustonic企業專案與授權資深副總裁Christophe Colas介紹,Global Platform將TEE定義為連網裝置上主晶片的安全區域,以實現可信任運算 (TCB) 基礎,可提供更高的硬體安全,而無需額外的物料成本 (BOM)。提供隔離的安全執行授權軟體,即實現端對端安全的可信任應用,滿足大多數應用的安全需求。

GlobalPlatform TEE規範並不受限於特定架構 (architecture-agnostic),專注於滿足隔離和安全信任的目標,而非硬體如何實現。RISC-V架構即利用了GlobalPlatform TEE規範來保護硬體安全區域。

此外,Colas表示,TEE廣泛應用於目前的行動裝置、連網汽車、智慧城市與行動支付等IoT領域,確保供應鏈隱私、雲端數位服務和IP保護的安全,每年約有超過10億個搭載相容Global Platform TEE的安全設計出貨,而且正持續成長。

  1. 可信任平台服務 (TPS)

GlobalPlatform並針對IoT提出「可信任平台服務」(Trusted Platform Services;TPS),讓IoT服務供應商能夠決定裝置用途以及如何配置,並根據裝置需求選擇安全的環境。

以可信任平台服務 (TPS) 確保數位服務安全。(來源:GlobalPlatform

GlobalPlatform TPS委員會主席兼高通 (Qualcomm) 安全系統部工程總監Jeremy O’Donoghue介紹,開放的TPS規範提供認證,以確保與現有產品與技術的互通性,以及實施時的安全特性。

TPS允許存取安全元件 (如SE和TEE) 提供的平台服務機制,透過RoT確保安全元件支援安全裝置的可靠性,其目的在於協助不同領域的服務供應商和應用開發人員輕鬆地將其設計中安全元件所提供的安全技術鏈接在一起。

  1. 平台安全架構 (PSA)

Arm在與生態系合作夥伴的強大合作基礎上,也於2017年推出了一項平台安全架構 (Platform Security Architecture;PSA),期望為萬物互連奠定可信基礎。去年,Arm並與業界多家獨立安全測試實驗室以及諮詢機構聯手推出PSA Certified認證計劃,以支援大規模部署基於PSA架構的安全IoT解決方案。

Arm安全行銷總監Rob Coombs在會中介紹,PSA認證計劃的目標在於推動數位轉型,「致力於實現基於PSA-RoT的晶片、裝置與平台,它提供了3個安全級的認證,讓裝置製造商得以根據產品的安全需求選擇相應的晶片和軟體。」

PSA-RoT晶片架構。(來源:Arm

PSA以基於硬體的RoT為基礎 (PSA-RoT),Coombs指出,目前晶片供應商打造新安全元件PSA-RoT的態勢正持續增加,至今約有超過40款PSA認證產品。PSA具有四個關鍵要素,包括分析、架構、實施和認證,可讓晶片供應商、系統商、及 OEM廠商為其產品加入安全認證,並透過PSA多層級認證,確保產品的安全等級與安全認證。

 為IoT平台最佳化的安全評估標準 (SESIP)

據Brightsight策略、政策與宣導資深總監Carlos Serratos指出,在未來十年內預計將有1兆個IoT產品部署,其中只有4%的IoT產品具備足夠的安全性,迅速增加的數量及其連網複雜度,將對於傳統的安全評估流程帶來了新的挑戰。

IoT產品由多個元件組成,這些元件由多個參與者開發,加上眾多不同的法規和認證架構,為IoT供應商、開發人員和服務供應商憑添更高的複雜度。為了因應IoT生態系統不斷發展中的複雜性和挑戰,業界需要一種彈性化、高效率的安全評估方法來推動IoT認證計劃之間的一致性。

針對新一代連網裝置的安全評估,GlobalPlatform創建了IoT平台的安全評估標準 (Security Evaluation Standard for IoT Platforms;SESIP),支援IoT裝置製造商和認證機構以SESIP建立自家的IoT裝置安全認證方案。

Serratos表示,SESIP是一項基於共同準則 (CC) 的安全評估方法,專用於為IoT連網裝置提供固定的安全功能需求 (SFR) 組合,以滿足IoT生態系統在不斷發展中所面臨的合規性、安全性、隱私和擴展性等挑戰。

SESIP安全評估架構專為重複使用 (reuse) 而設計。(來源:GlobalPlatform

GlobalPlatform總監Gil Bernabeu並進一步從IoT監管及法規觀點強調,裝置製造商有責任確保其IoT連網裝置是安全的,必須能夠免於網路攻擊。他介紹了兩項法規,一是美國加州自今年起生效的IoT裝置安全法規,要求製造商必須為每一台在加州銷售的連網裝置配置安全性。英國的法規則要求連接上網的每一台裝置都必須提供唯一密碼,而且不能重置為出廠設定。此外,製造商還必須公開緊急聯絡方式,以及明定商店或線上安全更新的最短時間範圍。

然而,Bernabeu指出,各國相關法規與監管持續變化,截至今年7月就有歐洲電信標準協會 (ETSI)、國家標準技術研究院 (NIST)、新加坡資通訊媒體發展管理局 (IMDA)、蜂巢式電信產業協會 (CTIA)、GSMA、開放互連基金會 (OCF) 以及W3C等分別提出多種安全建議、架構與最佳實踐準則。但IoT裝置製造商並非安全專家,又該何去何從?

儘管不同的垂直市場各有其安全要求,但Bernabeu表示,事實上大約有80%的要求是一樣的。透過GlobalPlatform支援6個SESIP功能組的需求矩陣,包括鑑定與認證、產品生命週期、安全通訊以及加密功能、合規與抵禦更多攻擊等功能,就能夠涵蓋目前大約80%的規範要求,協助加速IoT裝置的部署。

掃描或點擊QR Code立即加入 “EETimes技術論壇” Line 群組 !

 EET-Line技術論壇-QR

發表評論