進入物聯網(IoT)時代,聯網裝置海量成長,同時帶來資訊安全隱患,針對IoT產業破碎化以及攻擊威脅日增的現狀,意法半導體(ST)、IAR Systems、晶心科技、熵碼科技、Arm等廠商分享了IoT的安全隱患與解決之道,並透過軟/硬體的安全性設計,加強物聯網裝置生命週期的安全性。
ST資安晶片方案應對IoT挑戰
物聯網的節點數不斷成長,網路攻擊事件更為頻繁,意法半導體產品行銷經理閻欣怡表示,物聯網訊息處理流程大致為蒐集、傳輸、分析資料,都是最容易產生資安風險的環節。尤其行動/蜂巢式網路近年不僅跨入消費性領域,也逐漸朝向IoT、工業與車用市場發展,為提供完整的安全性,ST以具備安全功能的MCU為核心,透過M2M eSIM與STSAFE解決方案來應對未來場域中的安全議題,SIM卡部分則具備基本的插卡式SIM與嵌入式的eSIM。
實體晶片SoC解決方案部分,閻欣怡指出,STSAFE安全晶片解決方案系列依特性不同,分成STSAFE-A、STSAFE-J與STSAFE-TPM三種,STSAFE-A是功能特別優化以符合IoT的使用情境;STSAFE-J則支援Java平台讓編程更為彈性;STSAFE-TPM則是符合TCG標準的產品,可適配大多系統安全應用之需求。而針對車輛電氣化的風潮,汽車聯網亦是當前重要的發展趨勢,ST也鎖定乘客安全與資料安全兩個面向發展STSAFE-V解決方案,滿足數位鑰匙、車門管理與車內資安需求。
全流程嵌入式安全軟體防護
嵌入式系統安全風險,隨著產品聯網化而日益升高,從產品開發設計到量產的過程中都可能產生資安漏洞,IAR Systems FAE技術經理蔡本中表示,越早階段進行補救成本越低,這也是業界疾呼要早期導入安全設計的原因。
蔡本中強調,透過IAR Systems的嵌入式安全解決方案可以達成節省設計成本、時間成本並讓安全變得簡單三大效益。IAR支援多家MCU廠商的元件,可以因應不同的產品開發需求;而且無需自行建立安全研發團隊,直接使用符合安全實作規範的程式碼,進行產品IP的保護;最後,使用IAR的工具,提供由開發階段到最終量產階段完整的安全保護。
IoT安全數位轉型刻不容緩
萬物聯網時代來臨,資訊安全隱患與挑戰也日益提升,因此自上游設計階段就要導入安全性的「Security by Design」概念越來越被重視,從IP、IC設計到終端產品與運作維護都要導入安全設計,Arm則透過PSA Certified平台安全架構與認證全面強化產品的安全性設計。
Arm在2017年首次提出物聯網安全性框架PSA Certified,為一框架及獨立的第三方評估方案,以建立適當的裝置安全性等級。Arm首席應用工程師張維良(圖1)指出,該公司認為PSA Certified是實現安全的數位轉型。創造該框架的用意,在於確保一開始便將安全性納入裝置的設計中並達成存取、啟動、更新、防止回溯、隔離、跨越隔離互動、儲存、信任服務、身分認證與生命週期的安全性等十大目標。
展望未來,張維良說,Arm將持續推動開源API安全性倡議PARSEC,其概念化已完成是一個正式的雲原生運算協會的沙盒專案,並與包括Fedora、OpenSuse與Yocto Linux等作業系統完成整合。同時推動PSA Certified與產業的標準相容,好處是在產品開發過程中可以簡化多個標準的複雜性內容,只要專注完成PSA Certified的認證就同時符合多個安全協定要求。
RISC-V開放架構安全設計不馬虎
開放架構RISC-V近年持續在IoT市場迭有斬獲,晶心科技資深技術經理陳本奇(圖2)提到,使用RISC-V架構的晶片持續成長,包括行動裝置、AIoT/自動化、儲存、5G、資料中心等應用都可以發現該架構的身影。以運算力來區分,從算力30MOPS的智慧IoT裝置,如無線耳機,到超過100TOPS的資料中心,RISC-V架構都可以勝任。
RISC-V的資訊安全採用可信賴執行環境(Trusted Execution Environment, TEE)將安全關鍵元素與系統其餘部分隔離,為其提供重要的安全保障。陳本奇說明,在TEE環境下,將帶來資料保密性(Data Confidentiality)、資料完整性(Data Integrity)、程式碼完整性(Code Integrity),也就是資料與程式碼不能被輕易修改或存取。晶心本身在處理器架構上,於底層的硬體與Bootloader上強化安全性,如安全監控、安全除錯、安全開機、韌體加密、安全儲存、信任根、加密硬體等。
晶片指紋重塑晶片硬體信任根
物理不可改變功能(Physically Unclonable Function, PUF)可以視為晶片指紋,熵碼科技副總經理楊青松(圖3)說,PUF是晶片在生產過程中產生的結構性差異,並將這樣的差異蒐集起來變成獨一無二的特徵,是晶片內部產生的唯一的密鑰,具有唯一身分(Unique Identity, UID),再透過演算法產生根密鑰(Hardware Unique Key, HUK)可以協助晶片執行各項安全功能。
而在晶片設計時,硬體安全需求包括:安全的儲存、高品質的亂數產生器(True Random Number Generator, TRNG)、認證的加密協同處理器(Certified Crypto Coprocessor)與認證的安全架構。而硬體信任根需要透過安全的架構設計,包括信任根、硬體、韌體、作業系統到應用,都需要安全讓整個流程都導入安全設計並驗證安全性。最後,在整個晶片生命週期中,例如韌體更新與操作時,晶片指紋可以有效強化安全性,阻絕未經授權的變更及存取。