IoT 工業4.0 信任根 M2M RoT 智慧城市 智慧家庭 嵌入式系統

兼顧裝置身分/機密性/完整性 信任根晶片把關物聯網安全

2021-03-10
物聯網(IoT)的興起創造龐大商機,創新企業可藉此提供各種產品及服務協助提升工業效率、加強交通運輸安全,並讓日常生活更加便利豐富。不過雖然有這麼多好處,但風險也不小。對工廠、住家、城市及汽車進行遠端的智慧監控及控制,確實可以提升效率及便利性,但這類強大工具同樣也可能遭到不良分子濫用,試圖破壞關鍵基礎設施造成各種危險後果及慘重損失。至於在個人方面,物聯網有可能暴露人們的住家及個人資訊,落入惡意人士或罪犯手上。

 

還好過去幾十年來持續開發用於其他領域的各種安全技術,可以應用在物聯網領域。前述技術備受肯定,能夠提供高效且符合成本效益的保護功能,同時仍可持續創新。

許多物聯網領域的開發人員本身並不是安全專家,而是製造、汽車、家電或其他領域的專家。開發人員需要將安全功能納入產品之中,不過安全功能也必須符合其自身領域的需求。因此安全解決方案商會與物聯網相關的許多領域合作,協助確保從一開始就打造強大且適當的安全功能,在安全的前提下建構產品及服務,將能保護所有人重視的安全、可靠度及隱私等各種價值。

資料聯網可能潛藏危機

物聯網可能是21世紀最重要的技術趨勢,這項技術讓數十億個電子感測器及控制元件互相連結,並與網際網路連線,不但可提升效率及便利性,更讓全世界所有人都享有更精采的生活型態。物聯網影響力無所不在,不論是工廠、辦公大樓、零售門市、大眾運輸系統、聯網汽車,乃至於住家,都在物聯網的影響範圍內。

不過就和歷史上的科技進展一樣,物聯網也有危險的一面。以下提出在不久的將來可能發生的情境之一。

以下假設一個虛構情境:Maria Solano今天過得並不順利。通勤交通流量異常龐大,導致她上班遲到15分鐘。她早上休息時聽到一則新聞報導,其中提到區域交通協調系統因為電腦當機,導致交通號誌無法同步。她在午餐時感到沮喪,因為無法登入家中連線到網際網路的視訊監視器,查看自己的雙胞胎小孩過得如何。她打電話聯絡保母,保母表示自己聽到監視器發出怪聲,所以決定最好關閉監視器。她立刻打電話給自己的先生(家中非正式的IT專家),詢問可能的原因為何。

結果工廠這邊問題更多。現場的自動化塗裝生產線開始隨機啟動及停止塗裝設備,導致必須停止生產線,造成龐大損失。Maria整個下午都在與生產經理及IT主管找出問題,結果發現其中遭植入惡意軟體。沒有人能夠百分百確定,但似乎是熟悉網路的人更改了生產線控制指令。

Maria傍晚開車回家(還好號誌系統沒出問題),結果晚間新聞報導表示先前的交通系統當機其實是惡作劇,由於參與其中的青少年之一感到不安,因此向當地警局舉報。當她回家時,先生正忙著將小孩的影像監視器裝箱,因為他發現監視器存在未回報的軟體後門,遭到駭客侵入,而指引如何侵入連線的說明可在網路上自由取得。雖然Maria的先生相信可以找到更安全的替代品,但他還是要先多做一點功課瞭解情況。

以上情形真的可能發生嗎?本文接下來將探討前述簡短情境所描述的一切,如何已在現實生活發生。同時也將探討業界是否有能力使用現今深獲肯定的各種方法,管理及盡量降低前述風險,以保護其他先進技術系統。

本文將概述各項可能使用的技術,以打造值得信賴的裝置和系統。其中說明各種需求及可用技術,以保護物聯網的實體基礎設施,例如裝置(或事物)、儲存資訊及管理應用程式的伺服器,以及將系統連結在一起的網路。這樣一來安全的實體基礎設施便可成功實作各種原則保護個人隱私,以及物聯網所收集和使用的資料。

物聯網效益體現於各項應用場域

什麼是物聯網?簡單來說,物聯網結合了聯網事物及智慧服務,從汽車、衣物到工廠機器等一切事物都能聯網。未來五年的聯網裝置數量,預期會以每年15~20%的速率成長,每年營收成長高達數兆美元,而且幾乎觸及所有市場。

物聯網的效益非常龐大,但也伴隨風險。對工廠、住家、城市及交通運輸進行遠端的智慧監控及控制,確實可以提升效率及安全性,但這類強大工具同樣也可能遭到不良分子濫用,試圖破壞關鍵公共基礎設施或個人及私人系統,造成各種危險後果及慘重損失。 本文首先要介紹物聯網的效益。物聯網在過去幾年於現實世界部署後,不但節省相當可觀的成本,也展現各種令人興奮的契機,協助進一步加強經濟績效,同時讓日常生活更加便利安全(表1)。

物聯網風險不容輕忽

物聯網所具備的風險,就和任何聯網電腦系統一樣。不過由於物聯網會影響眾多不同場域,並負責控制實體基礎設施及服務,讓風險效應因此放大。

成功攻擊物聯網裝置或系統,將對實體及網路世界造成影響,對使用者、裝置製造商及服務供應商產生的衝擊不容小覷。攻擊事件可能暴露機密資訊,例如私人使用者資料、專業知識、智慧財產及製程情報。此外攻擊也可能中斷營運、損及業務永續性,甚至危及公司的品牌形象、成功及存續(圖1)。

圖1  聯網裝置或系統一旦遭受攻擊,將深深影響企業及個人。

為何需要安全功能

政策制定者主要關心的物聯網風險焦點,就是保護公眾安全及隱私。控制著工業及公共基礎設施的聯網系統,必須受到保護以避免意外及惡意攻擊。個人在日常生活中由物聯網裝置監控的個人資訊,或是在使用這類裝置監控自身資產時的相關個人資訊,也必須受到保護避免意外曝光或刻意竊取濫用。

自動化的交通管理系統能夠改善交通流量,並管理排放及節省燃油成本,因此普遍成為市政當局部署物聯網的初步專案。不過初期實作未能運用基本的系統安全原則,因而成為開放的攻擊目標。由密西根大學(University of Michigan)學生組成的白帽駭客團隊,在2014年實際控制了真實的聯網交通號誌系統,並能在遠端變更號誌狀態(紅燈、綠燈、黃燈)。結果發現系統的原廠預設設定完全沒有變更,而且網路指令並未加密。

德國聯邦資訊安全辦公室(German Federal Office for Information Security)在2014年12月報告一起軋鋼廠的網路攻擊事件。不明攻擊者一開始先滲透進入軋鋼廠的辦公室電腦網路,然後入侵工業控制網路造成高爐無法正常停機,導致「重大損失」。雖然這項成功的攻擊行為仍有許多細節並不明朗,但是採用類似自動化系統的公司,現在很可能都正密切檢驗安全指導及實務。

烏克蘭的公用事業公司,則在2015年12月底報告第一起這類攻擊事件,而這起事件造成客戶無電可用;至少有一家烏克蘭配電公司的八萬名以上客戶,無法取得電力達數小時之久。雖然停電原因仍在調查中,但攻擊行為似乎採取三種不同策略,以取得公用事業內部系統的控制權,顯示這是涉及高度規畫的攻擊事件。

就在各界趕忙在住家監控及安全領域採用物聯網技術時,似乎忘記了安全設計原則尚未跟上腳步。根據安全研究人員在2015年夏季所做的漏洞研究,發現在測試的聯網嬰兒監視器中,有1/9存在嚴重的安全瑕疵。研究人員表示每個攝影機都存在後門,能夠讓入侵者存取。其他的安全瑕疵包括使用預設密碼、可輕易存取的控制台網站,以及欠缺使用加密功能。駭客甚至建立網站,為好奇的偷窺者列出成千上萬不安全的網路攝影機。

日常裝置連線網際網路所產生風險的最後一個例子,則是由矽谷研究人員在2014年初提出的報告。研究人員在為期一個月的垃圾訊息研究中,發現垃圾電子郵件竟源自智慧家電,包括遭駭用於傳送垃圾郵件的冰箱。對此,不能也不應期望消費者瞭解及維持聯網家電的安全狀態。在設計使用物聯網的家電及其他裝置時,必須遵循適用於整個產品生命週期的安全規範。

管理及降低風險

與物聯網有關的風險類型各不相同,需視應用而定(意即智慧家庭、工業4.0、聯網汽車、資通技術等等),不過攻擊各種系統的手法則大致相同。竊聽攻擊的目標是探索資訊(可能用於日後攻擊),其他攻擊則牽涉破壞或假冒伺服器以傳送惡意指令,或由裝置注入錯誤資訊,以便造成有害反應或隱藏實體攻擊(圖2)。

圖2  物聯網的安全威脅

顯然竊聽攻擊的後果各不相同,需視物聯網應用而定。隱私遭到侵犯可能對個人造成更嚴重的悲慘後果。如果是工業間諜攻擊,就可能竊取智慧財產,或是為了未來攻擊工廠或其他作業而事先準備。注入假指令可能讓家庭成員不勝其擾、造成公司商業損失,或嚴重破壞關鍵基礎設施。反過來看,如果讓裝置在網路注入假訊息,則可輕鬆造成負面後果。

前面曾經說過物聯網風險類似其他聯網技術,因此保護數位系統的適當安全應變措施均已說明示範。雖然並沒有單一解決方案能夠因應物聯網安全需求,但許多不同應用情境之間採用的方式都存在共同點。在各種情況下,安全目標是預防未授權讀取、複製及分析數位資訊,並避免受保護系統直接受到操控。有各式各樣的技術可以達成前述目標,其中包括僅使用軟體的方法,乃至於利用硬體型的強大安全功能,專門設計用於抵抗不良分子最惡質的攻擊行為,避免被取得各種機密資源。

評估風險

物聯網安全應以風險型方法加以評估,其中會隨著系統或系統所含資訊的整體風險增加,而提升應用的保護層級。具備擴充能力的安全實作,可設計將較為簡易且成本較低的裝置隔離在網路邊緣,並於關鍵點建構更高層級的安全性,以保護各個裝置。

風險分析也會考量整體聯網系統的安全性,以及將會或可能與前述系統連線之眾多裝置的安全性。裝置與通訊網路連結時,每個連結裝置都代表攻擊面。即使是透過有線或無線連結控制的簡單智慧燈泡,也可能成為騷擾或嚴重攻擊物聯網系統的入口。

安全方案供應商如英飛凌(Infineon)與客戶都瞭解到,如果只使用軟體保護系統對抗惡意攻擊,會讓個別裝置及更廣大的聯網系統處於風險之中。硬體安全性提供關鍵的保護層,適用於眾多構成物聯網裝置的風險層級。這項關鍵層級是以「信任根」作為核心概念,其中會有一個設置電腦晶片的安全區域,在其中提供記憶體與處理環境,並與其餘系統隔離。信任根受到防護抵擋惡意攻擊,並藉此為其保護的其他電腦系統作業層級提供安全性。

物聯網安全最佳實務

物聯網安全有三項核心概念:機密性、身分及完整性。以上三項概念可利用下列問題表示—敏感資料的傳輸及儲存是否受到保護?物聯網系統元件(裝置、伺服器等)是否與其主張的功能相符,或遭受數位偽裝?元件是否遭到入侵或感染?

信任根是正面解答以上問題的最佳方式。信任根是一種強化的安全晶片,用於對抗攻擊,並整合至物聯網裝置、網路或伺服器之中。視預定應用而定,晶片可提供不同的保護層級,滿足圖3所示部分或所有的硬體安全角色需求。

圖3  晶片型硬體安全角色

物聯網系統中風險層級最低的部分,可能是無法編程設定的末端節點;該節點只負責將感測器資料轉送至閘道或本機伺服器,以便在其中驗證來源,並將輸入納入作業資料之中。即使是這樣的風險層級,也可使用低成本的驗證晶片,搭配預先編程的單一身分,提供在整個裝置生命週期中驗證身分的方法;這也有助於預防複製裝置在網路邊緣擴散的問題。如果需要加密傳輸資料,或是裝置可能轉售或重新設定,就要考慮額外使用受保護的金鑰及憑證儲存設備。

裝置與伺服器之間流通的資料和指令應充分加密,以對抗竊聽及注入假指令等攻擊行為。這需要兩端都具備密碼運算能力,並可擴充以因應風險層級需求。

即使在最低的功能層級,硬體式安全也使用密碼機制保護機密資料。密碼演算法可利用一般的MCU加以實作,不過建議裝置本身至少要具備基本的防竄改能力及密碼功能。如信用卡使用的晶片早已廣泛實作這類保護措施,這類晶片可保護自己,甚至能夠在偵測到發生竄改事件時,自動清除自身的記憶體。

物聯網安全可受益於全方位的防護方法,讓系統中使用的每個裝置在完整生命週期都安全無虞。對於使用大量低成本裝置的系統,安全硬體供應鏈可提供支援,由晶片製造商直接將晶片出貨至組裝點。晶片具備預先編程的身分之後,就能在開啟時透過「無線」方式自行註冊。如果各個裝置都在中央控制點配備安全金鑰,就能更輕鬆防禦以對抗入侵及破壞行動。

物聯網安全解決方案因應各領域需求打造

前述所有技術(防竄改電路、驗證及加密)都已用於其他系統,不過尚未成為物聯網固定考量採用的項目。本文認為硬體式安全的各種效益,例如更優異的效能、更高的安全性(包括防竄改)及安全分割(保護對抗作業系統及應用程式碼的錯誤)等特色,可作為在物聯網使用此項技術的論據。

嵌入式系統安全性可由英飛凌OPTIGA產品系列提供,其中由可信賴平台模組構成功能豐富的標準化安全解決方案;此外還有OPTIGATrust系列提供統包或可編程解決方案;也有各種安全的行動無線網路M2M通訊產品可用於工業及汽車應用。

(本文作者為英飛凌技術行銷部門資深首席工程師)

 

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!