5G 時代正式來臨!但眾所期盼的高帶寬、低延遲,恐將對物聯網 (IoT) 連接更具破壞力,網絡實時檢測迫在眉睫。5G 數據中心需支持自動化和云技術,讓內容服務供貨商 (CSP) 可通過加值服務做配置和管理,為用戶 IoT 設備提供在線安全保護,或由用戶自行控管帳戶中的 IoT 設備訪問權限。然而,5G 從集中式網絡過渡到軟件定義網絡 (SDN) 的過程,由于少了居中的網絡監控檢查點,將使網絡漏洞更加復雜;所幸,虛擬網絡的"安全即服務"(SaaS) 平臺可讓用戶遠程獲取安裝或更新,運營商亦可用機器學習識別、消除各種應用程序威脅。
ResearchAndMarkets 預估到 2025 年,全球 5G 安全市場總額將達 65 億美元,"基礎設施安全"是營收貢獻最高的分眾市場,達 25.6 億美元,而"通信安全"是增長最快者,年復合成長率 (CAGR) 為 49.2%。5G 的另一個重要標記是邊緣計算 (Edge Computing),結合物聯網、云臺和邊緣計算,保護在容器 (Container)中運行的設備、應用程序和微服務的安全需求變得更加重要,而公鑰基礎結構 (PKI) 是有效且具有成本效益的方式,例如,以某種方式將身份綁定到密鑰、對某些內容進行身份驗證。這幾年,"私有路由 PKI"的需求正在激增。
Arm"PSA":為物聯網奠定平臺安全架構
多數組織希望藉此明確限定誰能獲得憑證并控制設備,造成導入更多依"產品線"為單位的信任根 (RoT) 碎片。因為物聯網制造商并不想讓旗下設備與用戶其他 IoT 設備在相同的信任根上驗證身份;反之,多數用戶也傾向將不同設備予以適度區隔。著眼于物聯網碎片化特性,在邊緣設備市占甚高的安謀 (Arm) 于 2017 年發表首個通用框架——平臺安全架構 (PSA),意在為萬物聯網奠定信賴基礎,讓 Arm-based 產品能在共同的安全基礎上互通,由分析、規劃 (設計)、執行和認證四階段組成,可提供具代表性的物聯網威脅模式及安全性分析。
多數組織希望藉此明確限定誰能獲得憑證并控制設備,造成導入更多依"產品線"為單位的信任根 (RoT) 碎片。因為物聯網制造商并不想讓旗下設備與用戶其他 IoT 設備在相同的信任根上驗證身份;反之,多數用戶也傾向將不同設備予以適度區隔。著眼于物聯網碎片化特性,在邊緣設備市占甚高的安謀 (Arm) 于 2017 年發表首個通用框架——平臺安全架構 (PSA),意在為萬物聯網奠定信賴基礎,讓 Arm-based 產品能在共同的安全基礎上互通,由分析、規劃 (設計)、執行和認證四階段組成,可提供具代表性的物聯網威脅模式及安全性分析。
圖1:Arm PSA 四大階段
資料來源:https://developer.arm.com/architectures/security-architectures/platform-security-architecture;筆者整理
資料來源:https://developer.arm.com/architectures/security-architectures/platform-security-architecture;筆者整理
PSA 讓硬件與固件規格皆可建構在關鍵安全原則的基礎上。特別一提的是:PSA 不受操作系統種類限制,可支持 Arm 旗下所有實時操作系統 (RTOS) 和 Arm Mbed OS 物聯網操作系統,以及軟件廠商伙伴的操作系統。其中,運行時間的三組 PSA API,可確保跨設備硬件信任根實現跨應用程序 (互操作性),包括 RTOS 和軟件開發人員的 PSA 功能 API、安全專家的 PSA 固件框架 API,以及芯片制造商的 TBSA API。Arm 還為其安全 IP 系列產品新增兩項組件:
? Arm TrustZone CryptoIsland:在芯片內部運行的智能卡層級安全機制,CryptoIsland-300 為第一代解決方案,鎖定需要高層級分析與安全性的應用,包括低功耗廣域網 (LPWA)、存儲及車用等;
? Arm CoreSight SDC-600 安全除錯管道:SDC-600 整合一個專屬的驗證機制用來除錯存取,支持完整除錯功能且不損及系統安全,在物聯網設備的各個生命周期階段皆適用。
? Arm TrustZone CryptoIsland:在芯片內部運行的智能卡層級安全機制,CryptoIsland-300 為第一代解決方案,鎖定需要高層級分析與安全性的應用,包括低功耗廣域網 (LPWA)、存儲及車用等;
? Arm CoreSight SDC-600 安全除錯管道:SDC-600 整合一個專屬的驗證機制用來除錯存取,支持完整除錯功能且不損及系統安全,在物聯網設備的各個生命周期階段皆適用。
Arm 隨后在 2018 年推出首套 PSA 威脅模型與安全分析 (TMSA) 文件——考慮哪些資產該受到保護?推測可能遭遇到的威脅?面向一些熱門物聯網設備 (如:智能水表、網絡攝影機、資產追蹤設備) 發表新 TMSA 范本以及開源參考實作固件"Trusted Firmware-M"(支持 Cortex-A 應用處理器),從基礎架構到部署建置皆包羅在內;Arm 并設立項目軟件開發團隊,專門負責適合連結 MCU 的安全處理環境 (Secure Processing Environment, SPE)。解決了基本的信息安全結構問題,"合規性"是另一挑戰,尤其是面臨區域性法規的歧異。
GlobalPlatform SESIP:助力"合規性"認證
由安全數字服務和設備標準行業協會 GlobalPlatform 發布的"物聯網平臺安全評估計劃"(SESIP) 定義了可信賴評估 IoT 平臺安全性和終端設備安全性的獨立認證標準,在提供合規性框架方面處于領先地位,涵蓋許多最佳實踐準則和法規要求,包括:美國 NISTIR 8259 建議、歐盟 EN303645 標準、英國針對消費者物聯網的法規建議安全性,以及俄勒岡和加利福尼亞 (SL-327) 物聯網安全和數據收集法律,讓最終用戶可循設備的獨立審核安全聲明作為選購依據,設備開發人員亦可借助預先認證的組件,經濟高效地滿足安全要求并加速上市。
由安全數字服務和設備標準行業協會 GlobalPlatform 發布的"物聯網平臺安全評估計劃"(SESIP) 定義了可信賴評估 IoT 平臺安全性和終端設備安全性的獨立認證標準,在提供合規性框架方面處于領先地位,涵蓋許多最佳實踐準則和法規要求,包括:美國 NISTIR 8259 建議、歐盟 EN303645 標準、英國針對消費者物聯網的法規建議安全性,以及俄勒岡和加利福尼亞 (SL-327) 物聯網安全和數據收集法律,讓最終用戶可循設備的獨立審核安全聲明作為選購依據,設備開發人員亦可借助預先認證的組件,經濟高效地滿足安全要求并加速上市。
這將有助運營商采購、保險并提高對供貨商安全聲明的可見性以管理網絡風險。SESIP 旨在對單個物聯網平臺組件進行認證,提供安全功能及其抵御實體、邏輯和軟件攻擊能力的認證。SESIP 平臺歸 TrustCB 所有,它也是 Arm PSA 的主要合作伙伴,差別在于:Arm 在硬件級別具有很高的規范性,而 SESIP 更偏重于動態認證。RISC-V International 亦與 GlobalPlatform 攜手為物聯網設備 IC 和 SoC 的開發制訂開放標準,包括在受信任的執行環境 (TEE) 中執行程序的處理器。2019 年,與 GlobalPlatform 兼容的 TEE 發貨數量較前一年增加 50%。
經由統一規范、已知硬件漏洞信息交換以及克服這些漏洞所需的功能,使上述合作雙方可更新每個組織的各自技術文檔和框架,以滿足不斷發展的安全要求。預計短期到中期的示例將集中于 TEE 的應用程序編程接口、微控制器 (MCU) 的保護配置文件和相應的安全性增強,更有利于協作式開源硬件開發。恩智浦 (NXP) 去年同時獲得 SESIP 與 Arm PSA 認證,產品線涵蓋 MCU、應用處理器 (AP) 和交叉處理器 (兼具 AP 性能、MCU 低功耗與實時操作特性)。NXP 表示,如此可將敏感的數據資產與用戶的應用程序予以隔離。
NXP:坐擁 PSA 和 SESIP 認證,亦不缺席國際信息安全標準制訂
基于 ROM 的安全啟動過程、利用安全存儲設備的密鑰創建硬件信任根的好處是:從硬件引導程序、建立信任鏈、加載程序、操作系統到應用程序軟件的整個軟件堆棧,每步皆經過嚴謹身份驗證;有數款交叉處理器和 MCU 還集成了 SRAM 的物理不可克隆功能 (PUF)。使用 SRAM 固有自然變化生成"按需密鑰"及"可信賴計算群組"(TCG) 定義的設備身份組合引擎 (DICE) 安全標準,可增強 PKI 或非對稱加密的安全性。憑借這些安全設計,NXP 嵌入式處理器可達到或超過 PSA 和 SESIP 一級標準,部分系列甚至可達二級。
基于 ROM 的安全啟動過程、利用安全存儲設備的密鑰創建硬件信任根的好處是:從硬件引導程序、建立信任鏈、加載程序、操作系統到應用程序軟件的整個軟件堆棧,每步皆經過嚴謹身份驗證;有數款交叉處理器和 MCU 還集成了 SRAM 的物理不可克隆功能 (PUF)。使用 SRAM 固有自然變化生成"按需密鑰"及"可信賴計算群組"(TCG) 定義的設備身份組合引擎 (DICE) 安全標準,可增強 PKI 或非對稱加密的安全性。憑借這些安全設計,NXP 嵌入式處理器可達到或超過 PSA 和 SESIP 一級標準,部分系列甚至可達二級。
不只坐擁 PSA 和 SESIP 認證,NXP 還與世界各國政府和國際機構建立聯系,對于協調安全預期、認證、要求和法規幫助匪淺——例如,NXP 已與《信任憲章》中的歐洲網絡安全組織 (ECSO) 等物聯網主要參與者以及歐盟網絡與信息安全局 (ENISA) 密切合作;同時,積極參與 ISO、FIDO、GlobalPlatform 和 NFC 論壇等標準化組織,以促進安全互操作性。針對關鍵應用,NXP 亦通過 ISO/IEC 15408-1 ...3 等全球安全通用標準和 CC (Common Criteria) EAL 6+ 認證 (注:CC EAL 是目前最全面的評價準則,共分為七級)。
順帶一提,NXP 日前發布升級版 MIFARE DESFire EV3 IC 產品 (掃描范圍更大、交易速度更快),其軟、硬件支持開放式加密算法,也已通過 CC EAL 5+ 認證;它還具有交易定時器可減輕中間人攻擊 (MITM),并利用唯一"安全獨特 NFC"(Secure Unique NFC, SUN) 信息傳遞功能,為每次點擊生成唯一的身份驗證信息,然后將該信息發送到服務器進行驗證以防止非法復制。DESFire EV3 將集成到 NXP 的 MIFARE 2GO 云服務中,基于 MIFARE 產品的數字化憑證及 NXP 生態系統簡化行動/穿戴設備的集成工作,協助推展非接觸式交易。
圖3:設計上的安全性取決于——完整性、機密性、真實性與可用性,須將它們組合到系統中以提供端到端的安全性,應對潛在攻擊并兼顧成本及安全效益
資料來源:https://www.nxp.com.cn/docs/en/white-paper/NXP-FROM-IOT-TO-IOTRUST-WP.pdf
資料來源:https://www.nxp.com.cn/docs/en/white-paper/NXP-FROM-IOT-TO-IOTRUST-WP.pdf
WISeKey:邊緣設備智能提高,攻擊面隨之增加
瑞士網絡安全公司 WISeKey 相信協同物聯網、人工智能 (AI)、數據分析、連通性和數字認證工作,可實現早期預警系統 (EWS)。例如,城市、政府和企業可創建一個全球傳感器網絡,將個人行為與匿名數字身份結合,檢測病毒傳播;但這將需要在全球范圍內進行標準化、安全性、信任、規劃和實施,并強調隱私,擬藉由以下步驟達陣:1.發行包括真實性數字證書的存儲設備;2.加密反映至少一個與物理對象唯一相關的特征信息;3.使用網絡電腦,必要時檢查數字真實性憑證的有效性;4.與驗證或認證機構合作,實時驗證數字真實性憑證狀態。
WISeKey 生態系的數字身份正在讓半導體安裝呈現指數級增長:安全芯片增長到 16 億個、RoT 增長到 50 億套。WISeKey OISTE RoT 是 TCG 的一組功能,RoT 充當單獨的計算引擎、控制嵌入它的 PC 或移動設備的 TCG 平臺密碼處理器。RoT 與區塊鏈 (Blockchain) 的結合產生了一個新的 Trust 協議,允許區塊鏈擴展具有嵌入式安全性的可信交易,確保使用 RoT 信任的密鑰對提交到區塊鏈的每個交易做數字簽名,并結合垂直信任流程由信譽良好的第三受信任方通過區塊鏈提供的固有分布式信任進行驗證。
物聯網增加了網絡攻擊風險,隨著邊緣設備智能提高,攻擊面也會增加。這種雙重信任模型解決了互聯網最大挑戰之一:彌合當前零散的信任域,包括許多政府使用的現有、不兼容的國家 RoT。一個具體應用是 WISeID,它使用身份的可信分布式賬本技術存儲對象和人員身份,并為連接的對象提供數字證書識別、身份驗證和驗證的能力,上述微服務費將藉由 WISeID 令牌收取。在美國,WISeKey 的芯片使用獨特的安全憑證 ID 和 SSH 加密密鑰來保護和認證超過 5,000 萬個路由器。這項技術還用于閉路電視 (CCTV)、數字視頻錄像機 (DVR) 和衛星天線。
IoT 設備芯片設計必須一開始就嵌入安全性,RoT 也必須嵌入連接的設備中;WISeKey 生態系統已擴展到智能卡、智能城市、無人機、防偽、智能照明、服務器、移動電話等。WISeKey 在 IoT 邊緣擁有獨特優勢:VaultIC Secure Elements 可保護大數據,使用 AI 分析,可幫助工業應用檢測網絡安全攻擊或在設備發生故障前預知。WISeKey 一系列通過經 Common Criteria 認證的防篡改微處理器,可實現對敏感資產的安全存儲和使用,并在現場唯一標識、認證和保護設備;其數字身份可通過本地 Webtrust 認證的 PKI 或作為云服務進行有效管理。
圖4:IoT 擴展方便且可執行許多破壞性的應用程序,卻也為黑客遠程控制設備、攔截/操縱數據、篡改路由器/服務器,甚至控制應用程序大開方便之門
資料來源:https://www.wisekey.com/solutions/iot-connected-devices/iot-security/
資料來源:https://www.wisekey.com/solutions/iot-connected-devices/iot-security/
Microchip:無論規模大小,皆應建置嵌入式安全防護
根據《Fortinet 威脅態勢報告》顯示,去年全球 12 件大漏洞、有半數是瞄準 IoT 設備而來;而物聯網網絡安全的未來,在于強大的"嵌入式保護"。微芯科技 (Microchip) 亦認為,攻擊數量將持續增長,且越來越多的事物被連接將導致漏洞持續增加,所以需要在設計之初,就為嵌入式系統的所有層級考慮安全措施,包括:設備存儲、通信硬件和協議、節點 (Node)、網關 (Gatewaay)、設備管理系統和云計算等。值得留意的是,他們強調:所有類型的系統都需要安全性,但不一定需要相同類型的安全性;定義產品的安全類別,將可更好地評估。
根據《Fortinet 威脅態勢報告》顯示,去年全球 12 件大漏洞、有半數是瞄準 IoT 設備而來;而物聯網網絡安全的未來,在于強大的"嵌入式保護"。微芯科技 (Microchip) 亦認為,攻擊數量將持續增長,且越來越多的事物被連接將導致漏洞持續增加,所以需要在設計之初,就為嵌入式系統的所有層級考慮安全措施,包括:設備存儲、通信硬件和協議、節點 (Node)、網關 (Gatewaay)、設備管理系統和云計算等。值得留意的是,他們強調:所有類型的系統都需要安全性,但不一定需要相同類型的安全性;定義產品的安全類別,將可更好地評估。
這將確定重大威脅及可采取的保護設計安全措施。Microchip 說明,RoT 在受信任的嵌入式系統中可得到保護,作為保護應用程序的基礎——以密鑰驗證身份。如果密鑰被欺騙,則未經授權或惡意用戶可順勢控制系統交易,后患無窮,故應從最初就正確實現對嵌入式系統的信任。為避免創建偷窺/竊取密鑰的后門,需將加密原始功能和身份驗證密鑰都存儲在設計的安全容器中,Microchip 可配置的安全組件能發揮關鍵作用,且可與任何微控制器或微處理器 (MPU) 搭配使用;基于硬件的密碼加速器,還可顯著減少運行時間和功耗。
這些設備中還嵌入了高質量的隨機數生成器和 EEPROM 的安全密鑰存儲。此外,還有防篡改和旁路 (bypass) 信道攻擊保護,阻止對嵌入式系統憑證的訪問。篡改通常有一個目標:以任何可能的方式提取密鑰,最直接的方式是探查芯片以查找存儲密鑰的憑證;而旁路攻擊是非侵入式、不會直接探查電路,乃依賴電路運行時從電路泄漏的信息,涉及電源/電磁輻射 (EMI) 分析、定時總線監控、暫寄器、高速緩存 (cache) 或隨機存取內存 (RAM) 攻擊。除了供身份驗證的密鑰和憑證之安全容器,Microchip 還為不同規模大小的設備提供安全配置。
其 CryptoAuthentication 系列的信任平臺是一項三層服務,允許預先配置或完全自定義的安全元素,以及硬件安全存儲,有效防止密鑰被未經授權的用戶隱藏,應對各種規模項目的安全認證。惟有安全地在設備中配置密鑰,才能確保制造商在整個設備現場部署期間或整個生命周期內,都不會曝露密鑰。結合 Trust Platform,可在物聯網節點提供安全的身份驗證、耗材系統的防偽、附件身份驗證和智財權 (IP) 保護,以驗證任何系統的固件。當然還有最決絕的作法是:將解密密鑰刻錄到 OTP (一次性編程) 自制芯片、安裝固件并驗證后再使用。
如此一來,這些密鑰將永遠無法重新編程;據此創建的受信任平臺模塊,會將最終用戶的設備應用程序與網絡以物理形式切分,或是以安全啟動模式,先在安全操作系統的啟動映像中驗證簽名后,再在網絡接口執行操作系統,將其與芯片組和解密密鑰隔離。要不然,就是將設備與主網從根本上拆開;可能的話,將它們與外網完全隔離或另設獨立區域網以縮小攻擊面。
