在萬物聯網的趨勢下,物聯網(IoT)終端推陳出新,許多產品為擴增功能而聯網,更有許多應運而生的新物聯網終端,而越低階的終端節點,因為軟硬體架構簡單,很可能成為物聯網安全漏洞。安全一直是物聯網產業發展的重點議題,若在整個網路最不起眼的位置出現破口,也有可能危害整個網路的安全性,從晶片本身的安全性到軟體的漏洞,以及量產過後的聯網使用,都必須避免駭客入侵或者遭到抄襲,物聯網產品整個生命週期皆與資安息息相關。
隨物聯網技術日趨成熟,物聯網終端產品的研發,在高階產品中預設安全機制日益普遍,但入門型的產品在成本考量之下安全機制通常較為缺乏。尚承科技(Ecolux)希望透過簡易有效的安全軟體技術,協助系統產品開發商強化入門物聯網產品的安全,包括使用公開金鑰(Public Key Infrastructure, PKI)與軟體空中更新(Over the Air, OTA)。
軟體/韌體安全防護待補足
屬於嵌入式裝置的物聯網終端產品,常使用微處理器(MCU)進行設計,高階32bit的MCU多已導入安全性設計架構,不過在終端設計時,通常需要依照功能需求設計軟體,尚承科技創辦人暨執行長賴育承表示,晶片廠商可以為其產品設計安全架構,但並不會支援軟體的安全性設計,軟體及韌體的存在才能發揮晶片的價值。系統開發商也不見得自有資安團隊可以開發軟體與韌體的資安防護,使得產品的生命週期容易暴露在資安保障不完整的風險中。
針對保護聯網產品的生命週期,賴育承指出,部分應用需要透過認證機制,經安全系統量產後,終端產品藉由公開金鑰基礎建設憑證技術,確保只有經過系統認證金鑰的裝置才能聯網。最後,聯網消費性電子產品更新時所採用的OTA技術,能避免更新過程中遭到惡意程式植入,或者重要資料遭竊。然而現行的OTA更新的韌體傳輸過程使用明碼,尚承則透演算法為韌體加密,強化韌體更新的安全性。
IoT資安服務普及化
看準上升中的IoT資安需求,以及主流晶片廠商較少提供軟體的資安協助,且購買晶片配套的技術支援無法多樣化貼合終端產品的應用,尚承針對低階硬體架構與系統產品發展出低成本、易使用的資訊安全方案,形成獨到的商業模式。
在終端產品需求方面,以公共廁紙機與家用咖啡機為例。公共場所提供廁所擦手紙的機器,若是聯網蒐集每日或每人的用量,即可從中分析使用者需求並降低成本。賴育承提到,假設辦公室該樓層每人每次皆使用兩張擦手紙,可推測可能一張無法將手擦乾。若公司請擦手紙廠商改為生產紙質較厚的產品,或許可以創造紙巾整體用量減少但單價提高的結果,為公司與廠商創造雙贏。而家用咖啡機若具備聯網功能,則可用於更新廠商提供的軟體,優化咖啡機的使用體驗。前述兩項終端應用場景相距甚遠,卻都需要資安保障,以免裝置成為所聯網路中的資訊漏洞,造成其他重要資訊外流等疑慮,因此客製化且彈性的資訊安全服務成為要角,提供不同聯網裝置所需防護。
細究尚承資安服務方案另一特色,低成本、容易開發且客戶具信任感才是技術研發完成過後,資安普及的關鍵。賴育承說,若要放在成本只有幾毛錢美金的晶片上,資安服務的價格勢必得低於晶片,客戶才會願意買單。再者,尚承降低IC資安技術的使用門檻,客戶只需要團隊中一般的工程師,即可採用相關方案,確保產品製造與聯網過程的安全。信任感方面結合業務拓展策略,創業初期尚承積極參與展會,同時取得專利與國際大廠的認證,並在晶片廠商拜訪客戶時一併提出自家的軟體資安服務,與客戶打下穩固的信任基礎。
回顧產業環境與創業歷程,台灣的晶片生產技術已為IoT產業創造良好的環境,加上許多國際廠商肯定台灣的製造品質,賴育承因而選擇在台灣創立半導體的資訊安全公司,並且推出完整保護產品生命週期的商業模式。近期尚承除持續拓展全球市場,同時正在研究防入侵的安全防護技術,以提供更完整的IoT資安方案。
