当前位置: CompoTech China > 专题 > 专题报道 >
 

5G 智能边缘肩负重任,嵌入式系统的信息安全怎解?

本文作者:任苙萍       点击: 2020-07-15 15:36
前言:
5G 时代正式来临!但众所期盼的高带宽、低延迟,恐将对物联网 (IoT) 连接更具破坏力,网络实时检测迫在眉睫。5G 数据中心需支持自动化和云技术,让内容服务供货商 (CSP) 可通过加值服务做配置和管理,为用户 IoT 设备提供在线安全保护,或由用户自行控管帐户中的 IoT 设备访问权限。然而,5G 从集中式网络过渡到软件定义网络 (SDN) 的过程,由于少了居中的网络监控检查点,将使网络漏洞更加复杂;所幸,虚拟网络的"安全即服务"(SaaS) 平台可让用户远程获取安装或更新,运营商亦可用机器学习识别、消除各种应用程序威胁。
 
ResearchAndMarkets 预估到 2025 年,全球 5G 安全市场总额将达 65 亿美元,"基础设施安全"是营收贡献最高的分众市场,达 25.6 亿美元,而"通信安全"是增长最快者,年复合成长率 (CAGR) 为 49.2%。5G 的另一个重要标记是边缘计算 (Edge Computing),结合物联网、云台和边缘计算,保护在容器 (Container)中运行的设备、应用程序和微服务的安全需求变得更加重要,而公钥基础结构 (PKI) 是有效且具有成本效益的方式,例如,以某种方式将身份绑定到密钥、对某些内容进行身份验证。这几年,"私有路由 PKI"的需求正在激增。
 
Arm"PSA":为物联网奠定平台安全架构
多数组织希望藉此明确限定谁能获得凭证并控制设备,造成导入更多依"产品线"为单位的信任根 (RoT) 碎片。因为物联网制造商并不想让旗下设备与用户其他 IoT 设备在相同的信任根上验证身份;反之,多数用户也倾向将不同设备予以适度区隔。着眼于物联网碎片化特性,在边缘设备市占甚高的安谋 (Arm) 于 2017 年发表首个通用框架——平台安全架构 (PSA),意在为万物联网奠定信赖基础,让 Arm-based 产品能在共同的安全基础上互通,由分析、规划 (设计)、执行和认证四阶段组成,可提供具代表性的物联网威胁模式及安全性分析。
 
 
PSA 让硬件与固件规格皆可建构在关键安全原则的基础上。特别一提的是:PSA 不受操作系统种类限制,可支持 Arm 旗下所有实时操作系统 (RTOS) 和 Arm Mbed OS 物联网操作系统,以及软件厂商伙伴的操作系统。其中,运行时间的三组 PSA API,可确保跨设备硬件信任根实现跨应用程序 (互操作性),包括 RTOS 和软件开发人员的 PSA 功能 API、安全专家的 PSA 固件框架 API,以及芯片制造商的 TBSA API。Arm 还为其安全 IP 系列产品新增两项组件:
 Arm TrustZone CryptoIsland:在芯片内部运行的智能卡层级安全机制,CryptoIsland-300 为第一代解决方案,锁定需要高层级分析与安全性的应用,包括低功耗广域网 (LPWA)、存储及车用等;
 Arm CoreSight SDC-600 安全除错管道:SDC-600 整合一个专属的验证机制用来除错存取,支持完整除错功能且不损及系统安全,在物联网设备的各个生命周期阶段皆适用。
 
Arm 随后在 2018 年推出首套 PSA 威胁模型与安全分析 (TMSA) 文件——考虑哪些资产该受到保护?推测可能遭遇到的威胁?面向一些热门物联网设备 (如:智能水表、网络摄影机、资产追踪设备) 发表新 TMSA 范本以及开源参考实作固件"Trusted Firmware-M"(支持 Cortex-A 应用处理器),从基础架构到部署建置皆包罗在内;Arm 并设立项目软件开发团队,专门负责适合连结 MCU 的安全处理环境 (Secure Processing Environment, SPE)。解决了基本的信息安全结构问题,"合规性"是另一挑战,尤其是面临区域性法规的歧异。
 
GlobalPlatform SESIP:助力"合规性"认证
由安全数字服务和设备标准行业协会 GlobalPlatform 发布的"物联网平台安全评估计划"(SESIP) 定义了可信赖评估 IoT 平台安全性和终端设备安全性的独立认证标准,在提供合规性框架方面处于领先地位,涵盖许多最佳实践准则和法规要求,包括:美国 NISTIR 8259 建议、欧盟 EN303645 标准、英国针对消费者物联网的法规建议安全性,以及俄勒冈和加利福尼亚 (SL-327) 物联网安全和数据收集法律,让最终用户可循设备的独立审核安全声明作为选购依据,设备开发人员亦可借助预先认证的组件,经济高效地满足安全要求并加速上市。
 
这将有助运营商采购、保险并提高对供货商安全声明的可见性以管理网络风险。SESIP 旨在对单个物联网平台组件进行认证,提供安全功能及其抵御实体、逻辑和软件攻击能力的认证。SESIP 平台归 TrustCB 所有,它也是 Arm PSA 的主要合作伙伴,差别在于:Arm 在硬件级别具有很高的规范性,而 SESIP 更偏重于动态认证。RISC-V International 亦与 GlobalPlatform 携手为物联网设备 IC 和 SoC 的开发制订开放标准,包括在受信任的执行环境 (TEE) 中执行程序的处理器。2019 年,与 GlobalPlatform 兼容的 TEE 发货数量较前一年增加 50%。
 
图2:SESIP 五个保证级别、标记和定义
资料来源:https://trustcb.com/iot/sesip/;笔者整理
 
经由统一规范、已知硬件漏洞信息交换以及克服这些漏洞所需的功能,使上述合作双方可更新每个组织的各自技术文档和框架,以满足不断发展的安全要求。预计短期到中期的示例将集中于 TEE 的应用程序编程接口、微控制器 (MCU) 的保护配置文件和相应的安全性增强,更有利于协作式开源硬件开发。恩智浦 (NXP) 去年同时获得 SESIP 与 Arm PSA 认证,产品线涵盖 MCU、应用处理器 (AP) 和交叉处理器 (兼具 AP 性能、MCU 低功耗与实时操作特性)。NXP 表示,如此可将敏感的数据资产与用户的应用程序予以隔离。
 
NXP:坐拥 PSA 和 SESIP 认证,亦不缺席国际信息安全标准制订
基于 ROM 的安全启动过程、利用安全存储设备的密钥创建硬件信任根的好处是:从硬件引导程序、建立信任链、加载程序、操作系统到应用程序软件的整个软件堆栈,每步皆经过严谨身份验证;有数款交叉处理器和 MCU 还集成了 SRAM 的物理不可克隆功能 (PUF)。使用 SRAM 固有自然变化生成"按需密钥"及"可信赖计算群组"(TCG) 定义的设备身份组合引擎 (DICE) 安全标准,可增强 PKI 或非对称加密的安全性。凭借这些安全设计,NXP 嵌入式处理器可达到或超过 PSA 和 SESIP 一级标准,部分系列甚至可达二级。
 
不只坐拥 PSA 和 SESIP 认证,NXP 还与世界各国政府和国际机构建立联系,对于协调安全预期、认证、要求和法规帮助匪浅——例如,NXP 已与《信任宪章》中的欧洲网络安全组织 (ECSO) 等物联网主要参与者以及欧盟网络与信息安全局 (ENISA) 密切合作;同时,积极参与 ISO、FIDO、GlobalPlatform 和 NFC 论坛等标准化组织,以促进安全互操作性。针对关键应用,NXP 亦通过 ISO/IEC 15408-1 ...3 等全球安全通用标准和 CC (Common Criteria) EAL 6+ 认证 (注:CC EAL 是目前最全面的评价准则,共分为七级)。
 
顺带一提,NXP 日前发布升级版 MIFARE DESFire EV3 IC 产品 (扫描范围更大、交易速度更快),其软、硬件支持开放式加密算法,也已通过 CC EAL 5+ 认证;它还具有交易定时器可减轻中间人攻击 (MITM),并利用唯一"安全独特 NFC"(Secure Unique NFC, SUN) 信息传递功能,为每次点击生成唯一的身份验证信息,然后将该信息发送到服务器进行验证以防止非法复制。DESFire EV3 将集成到 NXP 的 MIFARE 2GO 云服务中,基于 MIFARE 产品的数字化凭证及 NXP 生态系统简化行动/穿戴设备的集成工作,协助推展非接触式交易。
 
图3:设计上的安全性取决于——完整性、机密性、真实性与可用性,须将它们组合到系统中以提供端到端的安全性,应对潜在攻击并兼顾成本及安全效益
资料来源:https://www.nxp.com.cn/docs/en/white-paper/NXP-FROM-IOT-TO-IOTRUST-WP.pdf
 
WISeKey:边缘设备智能提高,攻击面随之增加
瑞士网络安全公司 WISeKey 相信协同物联网、人工智能 (AI)、数据分析、连通性和数字认证工作,可实现早期预警系统 (EWS)。例如,城市、政府和企业可创建一个全球传感器网络,将个人行为与匿名数字身份结合,检测病毒传播;但这将需要在全球范围内进行标准化、安全性、信任、规划和实施,并强调隐私,拟藉由以下步骤达阵:1.发行包括真实性数字证书的存储设备;2.加密反映至少一个与物理对象唯一相关的特征信息;3.使用网络电脑,必要时检查数字真实性凭证的有效性;4.与验证或认证机构合作,实时验证数字真实性凭证状态。
 
WISeKey 生态系的数字身份正在让半导体安装呈现指数级增长:安全芯片增长到 16 亿个、RoT 增长到 50 亿套。WISeKey OISTE RoT 是 TCG 的一组功能,RoT 充当单独的计算引擎、控制嵌入它的 PC 或移动设备的 TCG 平台密码处理器。RoT 与区块链 (Blockchain) 的结合产生了一个新的 Trust 协议,允许区块链扩展具有嵌入式安全性的可信交易,确保使用 RoT 信任的密钥对提交到区块链的每个交易做数字签名,并结合垂直信任流程由信誉良好的第三受信任方通过区块链提供的固有分布式信任进行验证。
 
物联网增加了网络攻击风险,随着边缘设备智能提高,攻击面也会增加。这种双重信任模型解决了互联网最大挑战之一:弥合当前零散的信任域,包括许多政府使用的现有、不兼容的国家 RoT。一个具体应用是 WISeID,它使用身份的可信分布式账本技术存储对象和人员身份,并为连接的对象提供数字证书识别、身份验证和验证的能力,上述微服务费将藉由 WISeID 令牌收取。在美国,WISeKey 的芯片使用独特的安全凭证 ID 和 SSH 加密密钥来保护和认证超过 5,000 万个路由器。这项技术还用于闭路电视 (CCTV)、数字视频录像机 (DVR) 和卫星天线。
 
IoT 设备芯片设计必须一开始就嵌入安全性,RoT 也必须嵌入连接的设备中;WISeKey 生态系统已扩展到智能卡、智能城市、无人机、防伪、智能照明、服务器、移动电话等。WISeKey 在 IoT 边缘拥有独特优势:VaultIC Secure Elements 可保护大数据,使用 AI 分析,可帮助工业应用检测网络安全攻击或在设备发生故障前预知。WISeKey 一系列通过经 Common Criteria 认证的防篡改微处理器,可实现对敏感资产的安全存储和使用,并在现场唯一标识、认证和保护设备;其数字身份可通过本地 Webtrust 认证的 PKI 或作为云服务进行有效管理。
 
图4:IoT 扩展方便且可执行许多破坏性的应用程序,却也为黑客远程控制设备、拦截/操纵数据、篡改路由器/服务器,甚至控制应用程序大开方便之门
资料来源:https://www.wisekey.com/solutions/iot-connected-devices/iot-security/
 
Microchip:无论规模大小,皆应建置嵌入式安全防护
根据《Fortinet 威胁态势报告》显示,去年全球 12 件大漏洞、有半数是瞄准 IoT 设备而来;而物联网网络安全的未来,在于强大的"嵌入式保护"。微芯科技 (Microchip) 亦认为,攻击数量将持续增长,且越来越多的事物被连接将导致漏洞持续增加,所以需要在设计之初,就为嵌入式系统的所有层级考虑安全措施,包括:设备存储、通信硬件和协议、节点 (Node)、网关 (Gatewaay)、设备管理系统和云计算等。值得留意的是,他们强调:所有类型的系统都需要安全性,但不一定需要相同类型的安全性;定义产品的安全类别,将可更好地评估。
 
这将确定重大威胁及可采取的保护设计安全措施。Microchip 说明,RoT 在受信任的嵌入式系统中可得到保护,作为保护应用程序的基础——以密钥验证身份。如果密钥被欺骗,则未经授权或恶意用户可顺势控制系统交易,后患无穷,故应从最初就正确实现对嵌入式系统的信任。为避免创建偷窥/窃取密钥的后门,需将加密原始功能和身份验证密钥都存储在设计的安全容器中,Microchip 可配置的安全组件能发挥关键作用,且可与任何微控制器或微处理器 (MPU) 搭配使用;基于硬件的密码加速器,还可显著减少运行时间和功耗。
 
这些设备中还嵌入了高质量的随机数生成器和 EEPROM 的安全密钥存储。此外,还有防篡改和旁路 (bypass) 信道攻击保护,阻止对嵌入式系统凭证的访问。篡改通常有一个目标:以任何可能的方式提取密钥,最直接的方式是探查芯片以查找存储密钥的凭证;而旁路攻击是非侵入式、不会直接探查电路,乃依赖电路运行时从电路泄漏的信息,涉及电源/电磁辐射 (EMI) 分析、定时总线监控、暂寄器、高速缓存 (cache) 或随机存取内存 (RAM) 攻击。除了供身份验证的密钥和凭证之安全容器,Microchip 还为不同规模大小的设备提供安全配置。
 
其 CryptoAuthentication 系列的信任平台是一项三层服务,允许预先配置或完全自定义的安全元素,以及硬件安全存储,有效防止密钥被未经授权的用户隐藏,应对各种规模项目的安全认证。惟有安全地在设备中配置密钥,才能确保制造商在整个设备现场部署期间或整个生命周期内,都不会曝露密钥。结合 Trust Platform,可在物联网节点提供安全的身份验证、耗材系统的防伪、附件身份验证和智财权 (IP) 保护,以验证任何系统的固件。当然还有最决绝的作法是:将解密密钥刻录到 OTP (一次性编程) 自制芯片、安装固件并验证后再使用。
 
如此一来,这些密钥将永远无法重新编程;据此创建的受信任平台模块,会将最终用户的设备应用程序与网络以物理形式切分,或是以安全启动模式,先在安全操作系统的启动映像中验证签名后,再在网络接口执行操作系统,将其与芯片组和解密密钥隔离。要不然,就是将设备与主网从根本上拆开;可能的话,将它们与外网完全隔离或另设独立区域网以缩小攻击面。