威剛存儲安全技術研討會 強化5G與AIoT資料存取安全
- 尤嘉禾
-
5G與AIoT成各垂直應用產業近年來最火紅的議題,透過5G的高速傳輸與AIoT的綿密數據採擷與分析,全球各產業將開始產生全新商業模式。新科技除了帶來智慧化商機,資安問題也將隨之而來;尤其是5G與AIoT都將成為企業營運的核心架構,一旦系統出現漏洞,將有可能造成龐大損失。為協助系統廠商與企業用戶了解目前工控系統的資安解決方案,威剛科技特於8月30日舉辦「存儲安全技術研討會」,除了分享威剛的產品技術外,也邀請到威騰電子(WDC) 、慧榮科技(SMI)、聯芸科技(Maxiotek)、北京憶芯科技(Starblaze)等業界夥伴,從不同角度介紹目前的數據資安趨勢。
威剛科技副總經理周震西在致詞時指出,過去工控系統對設備數據的管理本就相當重視,近年來5G與AIoT的啟動,讓此重要性更加提升。威剛科技長年深耕工控存儲,除了硬體規格的齊備,資安防護也是重點之一。而隨著工控系統逐漸將應用觸角延伸至各領域,威剛科技近期積極強化設備資安的軟體研發能量,提供客戶效能與安全兼具的存儲解決方案。
NAND Flash應用層面快速擴大
對於儲存技術的發展現況,威騰電子技術產品行銷處長林哲仲在「NAND Flash與工控產業應用的結合」演講中指出,相較於過去2G、3G、4G等無線通訊技術多以一般民眾的通訊為主,5G的應用層面將擴大到如交通、醫療、製造等領域;也因此現在各國政府對5G發展的態度與過去截然不同:美國政府就將其視為戰略性政策,中國大陸政府也希望透過5G的布局一舉超車,而除了中美兩大國,歐洲各國與日、韓,乃至於印度與東南亞國家,動作也都十分積極。
林哲仲進一步表示,5G與AIoT在未來城市的應用將十分廣泛。他以交通系統為例,5G與AIoT將使路上的車輛、燈號得以連結,並與不同領域的產業系統整合,讓交通更為便利。像是民眾發生事故時,就可以透過手機連結醫院系統的連結叫救護車,除了可以從手機上看到救護車的位置外,救護車也可與路上的交通燈號連結,沿路改變燈號,讓救護車儘速抵達。同時而醫院系統也可與救護車連結,將病患資訊從車上先行傳回急診室。在資訊的無縫接軌之下,病患抵達時醫師就可立即接手救治。
救護車的案例只是5G和AIoT應用的一例,但由此就可看出,未來智慧化系統所產生的數據將會有多龐大?過去幾年各類型設備與系統的主流容量,已從GB升級到TB;而在物聯網時代,此一數據量將呈幾何成長。根據CISCO的預測,2025年全球聯網設備將有41.6億個,這些設備所產生的數據量將高達79.4 ZB,而這些數據不僅多,而且類別龐雜且分散,面對此情勢,企業就必須思考本身的數據策略為何。
林哲仲表示,NAND Flash現在已是各電子產品的主流儲存技術,在5G與AIoT時代,其重要性將進一步攀升。也因此NAND Flash的品質將決定設備甚至是系統效益的關鍵,必須可以在惡劣環境中穩定運作,並可因不同系統需求而有對應的資安機制,讓設備的效益與安全不會相互牴觸,將系統效能最佳化。
SSD加密技術機制完備
要讓產品的效能與安全並重,就必須了解目前的資安標準。慧榮科技協理黃士德在「SSD加密技術的發展與應用」演講中指出,加密技術對工控產品的重要性越來越高,設備供應上就必須證明自家產品是安全、可信賴的。而目前的資安機制共有Password密碼保護、TCG OPAL安全協定與Firmware認證等3種。
Password密碼保護是目前最常見的保護機制,為了防止有心人士在設備內部找到密碼並輕易破解,現在密碼的設置都不採用明碼,而以Hash (雜湊)方式編碼。而Hash值有幾個特色,首先是不可逆還原,也就是無法透過反推破解;其次是所產生的Digest長度固定,方便設備儲存與後續處理;最後是一對一對應,不會有兩組一樣的Hash值。對於Hash,慧榮科技的控制晶片已通過NIST SP800-108規範,根據不同Hash儲存密碼,確保密碼的安全性。
雖然Hash大幅提升了設備安全,不過黃士德指出,如果密碼設置不當仍有機會被攻破,最常見就是123456、qwerty、111111這類型易猜數字,或是具有意義的生日、身分證字號等有意義的數字。
至於TCG OPAL安全協定,則是提供多用戶在不同LBA中有不同權限。TCG OPAL安全協定大多是應用於有高度資料機敏性要求,但有多位使用者的系統,像是金融、國防等。TCG OPAL可讓1位管理者加上7位使用者依使用需求而設定不同權限,讓系統兼具效益、安全與彈性。為了確保旗下產品TCG OPAL安全協定的可用性,慧榮科技匯集微軟、賽門鐵克、McAfee、ULINK、WINMAGIC等市面上大型廠商的資安平台,並在這些平台測試自身產品,目前都已成功通過。
若要進一步確保產品安全,避免產品被植入木馬,黃士德建議可透過公鑰與私鑰的Firmware認證方式:公鑰與私鑰的搭配,可以在設備內部形成電子簽章機制,其作法是以私鑰加密、公鑰解密,而公鑰必須是經過設備廠商或企業本身認證過才能解開,除了正確鑰匙之外,沒有其他開鎖方式,如此一來就可降低密碼被破解的風險。
中國大陸商密環境已然嚴謹
除了技術面,符合市場規範也是資安的重要環節。在研討會中,聯芸科技技術處長陳國光特別以「中國商密環境」為題,介紹目前中國大陸市場對設備密碼的要求。陳國光指出,隨著物聯網設備數量的增加,密碼產品在市場中將會越來越重要;而在中國大陸銷售的密碼產品,必須通過國密局的認證,因此銷售與生產供應兩端必須緊密配合,方能創造雙贏局面。
中國大陸的設備密碼管理單位為「國家密碼管理局」,負責擬訂密碼工作發展規劃、管理加密產品市場、指導密碼專業教育和密碼學術交流。其中密碼工作發展規劃的擬定,包括起草及解釋密碼工作法規、訂定密碼相關規範標準。加密產品市場的管理則有管理密碼產品相關生產、設備(銷售)單位、測試及頒發證書、查處密碼失洩密事件和違法違規研製、使用密碼行為與負責有關密碼的涉外事宜。
陳國光指出,在中國大陸,所有密碼產品都必須通過國密局的認證才可銷售。而截至2019年8月底,國密局的商用密碼產品目錄共有1444項,其中包括POS密碼應用系統、安全晶片(SED主控晶片)與智能密碼鑰匙。
在市場上,國密局負責管理密碼產品銷售與密碼產品生產兩類廠商,銷售廠商必須取得販售許可,其許可證效期為3年,所販售的密碼產品需在國密局的商用密碼產品目錄中,並每年回報市場狀況給國密局。密碼產品生產商包括設備製造商、系統/模組廠設計商,與晶片/IP供應商3類。設備製造商除了必須取得取得販售許可證外,還要有生產許可證,其效期為3年。而密碼產品生產商的所有生產設備及流程也都必須符合國密局規範及中國大陸法規。
至於系統/模組設計商(也包括模組廠),除了產品本身須符合中國大陸法規外,密碼產品也須通過認證,其許可證效期為5年。所有的產品都須採用國密局指定的演算法,並通過國密局的測試。晶片/IP供應商要取得密碼晶片類認證,許可證效期5年,設計及開發流程需取得國密局的認可、使用的演算法須通過國密局的算法認證,並通過國密局的測試。
陳國光表示,在中國大陸市場發展,系統必須與晶片廠商攜手:聯芸科技旗下的SATA SSD控制晶片SSX1901已取得國密產品證書,正協助客戶進行通用產品認證。另一款PCIe介面的SSD控制晶片則正申請加密晶片產品認證中,未來也將協助客戶進行認證,並開發認證流程所需軟體,提供給客戶使用。
中國大陸國密演算法迎頭趕上
遠從中國大陸而來的北京憶芯科技研發副總黃好城,進一步介紹了中國大陸國密的技術與應用。黃好城先介紹北京憶芯科技,該公司成立於2015年11月,目前近110名員工,旗下已有各種解決方案,其安全晶片已有高速與高安全存儲專利。另外,以全軟體定義的SSD控制器儲存方案,則可在高效能、高相容性/可擴展性之間實現最佳均衡。其全球首創多核同構SSD控制器架構,可同時確保證資料處理的即時性、一致性及共用性。
其Star NVMe技術,擁有全球最高的1.0M+ IOPS效能,且可透過軟體更新支援NVMe的標準演進。在低功耗方面,北京憶芯是全球少有掌握LDPC 技術並將之應用到SSD中的公司,其Star LDPC技術可在高效能前提下,產生擁有業界最低功耗。此外,北京憶芯自主研發Star Flash技術高效且靈活,可透過軟體更新支援所有主流供應商的2D/3D NAND Flash。
對於中國大陸的國密技術發展,黃好城指出,中國大陸密碼演算法研製跟國際密碼演算法研製水準相當,但密碼產業特別是應用方面差距還是非常大。現在所使用的大陸本土密碼演算法(國密演算法)是由國家密碼局認定的大陸本土商用密碼演算法,其密碼體系起步晚於美國,但可借鑒經驗。
目前國密演算法共有7種,SM1、SM4、SM7與ZUC屬於對稱加密演算法,SM2、SM9為非對稱加密演算法,至於SM3則是摘要演算法。在這7種演算法中,黃好城特別介紹了SM2、SM3與SM4等3種,其中SM2為公開金鑰密碼演算法,運算結構為特殊可逆模冪運算,運算複雜度為亞指數級,安全性難度則基於離散對數問題ECDLP數學難題。SM3雜湊演算法是中國大陸自主設計的密碼雜湊演算法,2004年由中國科學院士王小雲首次破解MD5、HAVAL-128、RIPEMD-128,並設計了SM3函數;至於SM4演算法則可加密保護靜態儲存和傳輸通道中的資料。
威剛科技深耕SSD安全技術
為因應全球的資料安全趨勢,威剛科技長年投入SSD安全技術發展。威剛科技工控產品研發處處長袁國華在「SSD安全技術應用」演講中指出,智慧城市透過新一代的資訊科技,連結我們生活中的所有物件,形成有效的互動,讓人們有更好的工作效率和生活品質。而物聯網是實現智慧城市的重要基礎,在物聯網架構中,各類物件必須隨時隨地相連,進而產生隱私及資料安全的問題,因此如何做好資料保護已是重要課題。
目前工控應用的領域中,對資料保護最重視的為博弈、軍事與自動化生產等三大產業。博弈設備必須做好資料保護,尤其是應用軟體的保護,以避免被駭客破解,造成賠率大增的巨額損失。軍事資料不再使用時,必須確保真正銷毀,讓機密資料不會外洩。自動化則是確保產線MES系統的資料安全,讓產線不會中斷。
在從儲存元件的資安技術類型來看,為防止重要資料被有心人士竊取,需以加密方式防止資料被竊取或竄改,同時還要杜絕重要資料因儲存元件不穩定而遺失的情況。現在威剛科技已可因應系統需求而有快速抹除、安全抹除、銷毀與物理燒毀等4種不同類型的資料抹除技術,其SSD Toolbox “Security Erase”,可在ATA命令下執行Secure Erase,快速清理存儲在SSD內的資料,將SSD恢復到初始的品質,除了讓無效的資料完全清除,不會外洩,也可以讓SSD的效能完全恢復到初始狀態。
在資料加密方面,威剛則有AES、TCG Opal與SM2/SM3/SM4兩種類型,其自我加密碟 (SED)為硬體AES加密系統,在資料寫入即加密,資料讀出即解密。TCG Opal自我加密碟則為系統區域,包括了虛擬開機磁區與使用者資料區域。另外,威剛還提供Thermal Throttling(溫度調節)技術,可確保SSD在安全的溫度範圍內運作;以及PLP(斷電保護)機制,能防止因突然斷電而造成資料遺失;對SSD的穩定度都有顯著幫助。
袁國華最後指出,提升資料安全是非常重要的措施,如果事先採用有安全防護的SSD,則可大幅降低資料遺失或外洩的風險。目前威剛科技已有全方位的SSD保護機制,可強化物聯網架構的安全性,成為工業設備與系統廠商的最佳後盾。(本文由尤嘉禾整理報導)
