账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
软硬合击 打造物联网安全环境
从应用服务切入 才是核心观念

【作者: 姚嘉洋】2016年09月12日 星期一

浏览人次:【11552】


就技术层面来看,我们可以将物联网安全视为一个独立系统,它的表现关系到整体系统的运作能否顺利无虞,所以这两三年,已有不少业者对于物联网安全提出各自的解决方案,来满足市场需求。另一方面,物联网涵盖的范围极广,每个垂直市场或是应用场景所需要的安全机制各有差异,从应用或是服务层次来思考物联网安全系统的建置,也是另一个思考的方向。


物联网产品类型多 攻击手法五花八门

大体上,物联网安全已经可以被区分为资讯安全(Security)与功能安全(Safety)的情况下,不论是软体或是硬体供应商对此一领域的解读或是相关领的发展,也各自有着不同的见解。


近年来,ARM除了不断推出新款的处理器核心IP外,也不断推广物联网安全的重要性,ARM应用工程师林懿伟表示,功能安全现阶段的讨论相对较少,但如果是谈到车用领域,就另当别论,再者,目前已经有个人的重要或是私密资料传递或是储存或是简要的控制功能等,都会与物联网有密切的关系,所以现阶段,物联网的讨论仍会偏重资讯安全为主。



图1 : ARM应用工程师林懿伟(摄影:姚嘉洋)
图1 : ARM应用工程师林懿伟(摄影:姚嘉洋)

林懿伟谈到,物联网的产品类型相当多元,就发展上来看,大多也都是沿袭智慧型手机的发展脉络而衍生出来。若从物联网的资料所在区域来说,可以分成终端装置(Client)、资讯传输(Communication)到后端的伺服器(Server)等三大面向,不论是在终端装置或是后端的伺服器,其资讯安全系统的建置都需要软硬体的互相搭配,就ARM的观察,来自软体方面的攻击的较多。


明导国际嵌入式系统大中华暨南亚区区域经理徐志亮指出,综观资讯安全的发展,大致上是以Linux阵营的发展最为全面与完整,但物联网开始发展后,由于ARM的Cortex-M架构本身没办法执行Linux作业系统,所以在安全性上便显得薄弱许多,而众多以开源架构为主的RealTime OS(RTOS)在安全性上仍有不少疑虑,而明导将Linux领域常见的资讯安全主要功能都移植到自家的RTOS,Nucleus。Nucleus本身就具备SSL(Secure Sockets Layer),同时也支援ARM的Cortex-M架构,补强了在该领域的诸多不足之处。


明导国际软体架构师刘家荣表示,设想一种情境,假设你的智慧型手机被偷的情况下,就资讯安全领域上,骇客窃取资料的方式大略上有几种方式,一种是直接破解密码,第二种是直接取得硬体的快闪记忆体的资料,第三种则是将系统既有的BIOS直接换掉,再来取得资料。以第三种方式来说,恰巧ARM所提供的TrustZone硬体架构,配合Trusted Boot软体,便能避免第三种的情况发生。


徐志亮进一步谈到,ARM的TrustZone本身就有API(应用程式介面)能与Nucleus连结,其架构本身的特色,就是工程师可以自行布局,划分哪些软硬体区域能被隐藏不被发现,当然,这些隐藏区域是可以看到其他的未隐藏区域。刘家荣也补充说明透露,即便骇客从记忆体下手,也绝对看不到这些隐藏区域在哪,简单讲,就是「完全看不见」的意思。此外,Nucleus除了支援Cortex-M处理器核心外,它也能建置在如Android这类智慧型手机的作业系统上,以强化安全等级。



图2 : 左为明导国际软体架构师刘家荣;右为明导国际嵌入式系统大中华暨南亚区区域经理徐志亮(摄影:姚嘉洋)
图2 : 左为明导国际软体架构师刘家荣;右为明导国际嵌入式系统大中华暨南亚区区域经理徐志亮(摄影:姚嘉洋)

以ARM现有的方案来说,除了硬体层面的TrustZone,从软体层面切入,ARM可以提供mbed OS,因应终端装置与传递路径的资讯安全,至于在伺服器端,ARM在未来将会提供对应的方案,但详细的产品名称与细节,林懿伟则暂时不愿多谈。


强化安全机制方向一致 厂商间也有竞合关系

从应用服务或是商业模式切入的话,安全机制的导入,有助于强化竞争门槛以及应用服务的深化,从这角度下手,软硬体之间的搭配,就显得相当重要了。

但是,从终端装置来看,ARM已经提供了mbed OS方案,在软体面大幅补强了资讯安全的不足,对于明导或是第三方软体等合作伙伴,确实也产生了一定的竞合关系,林懿伟表示,软体方案的选择上,端视客户的需求来决定,他也同意,如明导的Nucleus在市场上有相当高的能见度,所以在安全防护能力的表现上也就相当的出色。但他也提醒,资讯安全软体的原罪就是在于,即便防护能力再如何的完善,多少还是会有漏洞存在,所以软体供应商就必须不断地就漏洞本身进行修补。因此就软体供应商来说,另一个评估的标准就在于,漏洞出现后,业者如何快速补强?以及伤害造成之后的应变能力,不过,他也强调,事前的预防总比事后的补救来得好。



图3 : TrustZone架构能够划分出设计者打算要隐藏的区域,这包含软硬体与资料在内。 (Source:ARM)
图3 : TrustZone架构能够划分出设计者打算要隐藏的区域,这包含软硬体与资料在内。 (Source:ARM)

相较于ARM与明导之间的竞合关系,英飞凌与ARM的竞合关系就显得缓和许多。英飞凌智能卡与保密晶片业务事业处经理田沛灏谈到,英飞凌在安全方案上的作法与ARM相同,也是以硬体为基础,像是英飞凌旗下的SIL 97,就是专属于安全应用的MCU,从英飞凌的官方网站中,SIL 97是取得ARM的SecurCore SC300的授权再加以优化而成的方案。田沛灏也透露,ARM的TrustZone架构虽然是因应安全应用,但并没有导入TPM(Trust Platform Module)技术,英飞凌的TPM方案恰好可以与TrustZone互补。


从应用层面切入 安全机制导入好处多

延续TPM的论述,田沛灏以车联网为例,汽车业者若要实现V2X概念,势必就要与电信业者合作,就技术上就必须要有SIM卡的导入,透过这种方式,电信商与汽车之间,彼此才有办法确保对方的身份是否正确,过了这道基本门槛后,V2X的应用才有办法实现。田沛灏也表示,导入资讯安全机制,对于应用服务来说,反倒能增加许多想像空间。由于各个连网技术与车用电系统的更新速度不一而足,因此采用模组化的方式来组建整车系统,已渐渐成为车用电子市场的发展方向。一旦每个次系统模组都需要更新或是维护其功能,系统的身份辨识就成了第一道关卡,TPM的导入就成了必要的作法。


车用次系统模组导入TPM的好处在于,车厂各系统的可靠度与整体服务能够进一步提升,车厂所开发的智慧财产也能得到有效的保护,一言以蔽之,就可以提高竞争门槛。同样的,像是智慧工厂、智慧家庭以及资通讯设备,在导入资讯安全功能的情况下,也能得到智财权的保护、提升竞争门槛以及打开全新的商业服务或是应用等。



图4 : 以智慧工厂为例,任何一笔的资料或是控制指令都是十分重要的,如何受其完善保护,确保在管理与升级没问题,成了重要关键。 (Source:http://www.dfki.de/)
图4 : 以智慧工厂为例,任何一笔的资料或是控制指令都是十分重要的,如何受其完善保护,确保在管理与升级没问题,成了重要关键。 (Source:http://www.dfki.de/)

田沛灏认为,资讯安全的导入,必须从商业模式与应用服务下手,进一步回推到系统设计该如何因应,所以整体的运作流程与逻辑的推导如何与安全机制结合,才是整体系统运作的重要关键,没有十分完善的安全环境,就无法推动业者所打造的应用服务或是商业模式。就目前英飞凌所合作的客户或是伙伴来看,现阶段还是以B2B的类型,安全机制较受到市场的重视。而为了能让客户能在安全机制上,能更有完善的保护,英飞凌也开始寻求软体方案业者,希望能建构一个完整的生态系统,搭配英飞凌的晶片,以系统级方案的方式提供给客户,当然,英飞凌也会视客户的种类与需求,介绍合适的软体伙伴,此一生态系统计画于2014年年底推动,名为ISPN( Infineon Security Partner Network)。现阶段,英飞凌正努力寻找更多的安全软体业者一同参与这个计画。


结论

安全系统的建置与其他功能系统相同,同样都需要软硬体的搭配,才能算是达到打造该系统的第一步,只是,如何搭配,业者又该如何建置,这必须把商业模式或是应用服务一并纳入考量,并作整体规划,才是安全机制建置的核心观念。当然,我们也要认知到,物联网安全对于产业未来发展的重要性,从这一点出发,物联网才能有更多的可能性。


**刊头图片来源(Source:actnowtraining.files.wordpress.com)


相关文章
采用DSC和MCU确保嵌入式系统安全
低功耗MCU释放物联网潜力 加速智慧家庭成形
模具T零量产 - 从偶然到必然
AI赋能智慧边缘 行动运算处理器的时代革命
以「熄灯制造」心法实现全面自动化生产
comments powered by Disqus
相关讨论
  相关新闻
» Embedded World 2024:德承全面展示Edge AI运算解决方案
» 帆宣与隹世达合组「达宣智慧」公司 启动智慧医疗引擎
» 台湾三丰携手SAP 转型上云 巩固量测仪器市场优势
» Satellite 2024:仁宝携手耀登与富宇翔展示全新卫星通信解决方案
» 圆展与新光保全合作打造远距照护服务


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83J9P4N9ASTACUK1
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw