根據定義,物聯網(IoT)是由分散式裝置所形成的生態系統,而這些裝置需透過通訊基礎架構來互聯。雖然此基礎架構可以設為私有,但通常業者會利用開放的網際網路來建置。因此,當這些廣泛分布且低成本的裝置與網路/雲端應用結合在一起,會使IoT生態系統很容易受到各種安全威脅,進而造成通訊或功能失效,或是更嚴重的風險。
為了避免這些威脅,必須確保生態系統中實體和數位資產受到妥善的保護。換言之,IoT裝置需內建強韌的安全特性,才能形成信任、控制以及完整性的安全鏈基礎,而且此安全鏈必須能在系統的完整生命週期中保護整個IoT生態系統。
保護IoT裝置五大關鍵
就無線通訊晶片及模組供應商的角度而言,在晶片中建置安全元件,亦即信任根(Root of Trust, RoT)是實現安全IoT生態系統的起點。而在考慮如何保護IoT裝置時,業者首先需考慮以下五個關鍵議題:
1.建立唯一裝置身分
IoT生態系統中能夠產生資料或執行命令的任何裝置都必須擁有唯一且無法複製的身分。這些獨特的身分將構成所有其他安全功能的基礎。
2.控制裝置資源存取
IoT裝置通常被安裝在不受控制的環境中,這使得它們容易受到攻擊。駭客可能會存取裝置中的未加密資料、上傳惡意軟體、侵入裝置以執行分散式阻斷服務攻擊。也就是說,確保裝置資源,包括CPU、記憶體和連接都非常重要,讓它們只能用來執行被指定的任務。
3.保護資料完整性
保護資料至關重要,才能確保隱私、保密性,並滿足一般資料保護規範(如GDPR),以及特定的產業規則,如美國健康資訊隱私規則(HIPAA)。
4.安全決策制定
IoT裝置和生態系統必須能依賴有效的輸入資料,才能制定正確的決策。決策應在安全的環境中執行,使其不受篡改和智慧財產權竊盜的威脅。
5.驗證命令
能夠驗證發送到IoT裝置的任何命令,如注射胰島素、開啟/關閉閥門、踩煞車等,是否來自合法來源非常重要。
然而,僅保護IoT裝置,仍不足以實現整體的安全IoT生態系統,除非在開發和部署IoT裝置時,業者能採取更敏捷的安全方法來與其搭配。為此,業者必須清楚掌握其裝置目前以及未來可能面臨的所有威脅,才能建立和維持必要的安全流程。
信任根作為安全物聯網基礎
在開發IoT裝置時,必須納入安全設計考量,並且把安全功能內建在其中。例如廠商u-blox幾年前曾提出IoT安全性的五大支柱(Five Pillars of Security),並將其應用在所有u-blox的無線模組產品中。
這五大支柱包括:安全開機、安全韌體更新(FOTA)、傳輸層安全性、實體介面與API層級安全性、以及能夠防禦軟體攻擊的堅固性。其中,安全開機是安全防衛的起點,它確保只有通過驗證的韌體才能在模組上執行,之後才能再談到其它層次的安全性,包括韌體更新、傳輸層、介面與API等。
實現安全開機的關鍵,在於建立一個安全的起始點,也就是安全的信任根。一旦建立了安全的信任根源,就可以構成從裝置一直到應用程式與雲端的信任鏈基礎。因此,信任根是保證所有安全功能的要素。無論IoT裝置進行資料傳輸或產生數據,甚至業者要檢測裝置是否已被駭客入侵,信任根都不可或缺,透過結合硬體和軟體實現安全功能。
安全元件建構信任根
信任根的建構涉及多項需求,其中主要包括:
・執行一或多個通過驗證的加密功能。
・防止被任意篡改。
・安全CPU必須執行安全的軟體/韌體。來自外部的程式碼必須先經過驗證,才能在安全CPU上執行。另一種方式是,透過使用只能由信任根存取的專用ROM來建置。
・針對需要可靠時間測量的應用,還須包含一個安全時脈。
・須確保儲存安全性。
・成功完成認證和密鑰交換協定後,必須能取得安全通訊。
・SoC的啟動和運作期間可以使用安全監視,以確保元件以及元件之間的互動正常執行。若偵測到有任何插入惡意指令的意圖,信任根都會向主機發出通知。
・無論執行什麼軟體,信任根都必須運作正常,以避免受到軟體攻擊。
安全元件可被視為信任根實體建置的一種形式,它能夠執行諸如加密、解密、隨機數字產生和驗證等功能。此外,安全元件也必須非常強韌,可以抵抗實體攻擊,並且不能被讀取或複製。透過編程和個人化設計,安全元件具有唯一的ID和密鑰,因此可與主機處理器介接。在裝置中內建信任根的最安全方式,是將其置於一個基於硬體的安全元件中。
以u-blox為例,作為無線通訊與連接解決方案的供應商,選擇在無線通訊晶片中內建安全元件功能,以作為IoT裝置的信任根,因為無線通訊晶片是所有IoT裝置所不可或缺的。而新推出的SARA-R5系列產品是一款多頻段的LTE-M/NB-IoT蜂巢式模組,鎖定低功耗廣域網路(LPWAN)市場。它實現信任根的方式,是提供一個預享密鑰(PSK)管理系統。在加密過程中,PSK會在利用安全通道的兩方之間共享。此密鑰的特性是由使用它的系統來決定。PSK必須是符碼夠長且隨機的,才能確保安全,因為太短或可預測的預享密鑰很容易被破解。同時,管理員必須定期更新PSK,以維持較高的安全性。
密鑰管理系統會把密鑰存放在硬體信任根之中,並能在有需要時,在伺服器端推導出相同的密鑰。密鑰的存取只能透過非直接方式進行,並由應用程式層級的權限和政策來管理。因此,SARA-R5模組適合內建於用來傳輸關鍵和機密資訊的裝置。歸功於分離式、基於硬體的安全元件,以及輕量型預享密鑰管理系統,提供IoT應用所需的先進安全性,並包含資料加密、解密、防複製以及安全的晶片到通訊功能。
此外,為了進一步強化IoT生態系統的安全性,SARA-R5系列中建置了由GSM協會(GSMA)提出的安全端到端通訊用的IoT SIM小程式(IoT SAFE)建議,並在軟體維護版本中包含支援IoT SAFE的建置指南。IoT SAFE建議由GSM協會於2019年12月發布,可協助IoT裝置製造商和服務供應商利用SIM卡作為強固、可擴展的硬體信任根,以保護IoT數據通訊。使得與應用程式雲端/伺服器安全建立(D)TLS會話(Session)更容易,進而簡化配置和管理數百萬台IoT裝置的流程。
攜手策略夥伴 開發IoT安全平台
另一方面,IoT安全性的實現不單取決於晶片/模組的設計,而是所有生態系統夥伴需共同解決的問題。因此u-blox近來建立的一項策略性夥伴關係,與瑞士的數位安全與數位版權管理供應商Kudelski合作。Kudelski的安全方案已廣泛內建於全球各地的電視機上盒中,以確保內容供應商提供的內容不會被竊取或入侵,每年保護的內容營收高達數十億美元,因此擁有非常深厚的安全專業技術。此外,Kudelski對於大規模建置安全方案具豐富經驗,對IoT應用來說至關重要。
Kudelski提供的IoT安全平台中,已內建u-blox產品,作為建立信任、控制與完整性的安全鏈的基礎,以鏈結到裝置、資料、IoT平台與應用程式。協助使用者利用簡單的API來管理、控制所有重要的IoT安全資產。此安全平台包含三個主要組成:基於軟體或硬體的信任根、裝置中的安全客戶端程式、以及雲端的安全伺服器。而IoT裝置與安全伺服器的通訊,是透過以下方式來保護:
・利用內建於裝置中的信任根來作為所有安全功能的基礎。
・u-blox/Kudelski支援三種型態的信任根:安全元件(晶片)、SIM卡、以及在可信賴執行環境中的軟體信任根。
・安全客戶端程式庫整合裝置韌體和應用程式,客戶可充分運用所有的安全功能。
針對IoT裝置的布署,由於其中涉及了許多的輸入/輸出點以及現場中許多的既有裝置,再加上需與不同網路層,包括區域網路、蜂巢式網路和網際網路服務供應商等的伺服器交換資料,這些連接點都有可能成為整體系統的安全缺口。因此,如何提供端到端的安全性,已變得日益重要。透過此建置為使用者提供了一個端到端的安全流程,可協助設計、測試與建置一個安全架構,以供IoT裝置使用。同時,使用者還能建立並管理各種數位及實體資產,以因應既有與演進中的安全威脅。
(本文作者為u-blox服務/安全部門主管)
