GlobalPlatform推動物聯網資安標準串聯全球供應鏈
- 林稼弘
-
GlobalPlatform攜手華邦電子、Arm與工研院,在台灣舉辦有史以來該組織的第一次技術研討會,這是一場穿插於現場演講者與透過視訊同步簡報的線上演講者的虛實並列研討會,充分顯示疫情時代的新常態與轉變,GlobalPlatform執行總監Kevin Gillick對於物聯網安全有兩個重要的提醒,首先,資訊安全不是事後才想到的事,因為涵蓋規模巨大的電子裝置與使用場域,所以需要步步為營,第二,要證明產品安全的最好的辦法,就是取得安全認證,經過慎密的驗證步驟取得的證明,才能有利於品牌的長久經營,保障消費者的權益。
Arm物聯網平台事業處商務拓展資深總監姜新雨先生聚焦於iSIM技術所展現的物聯網使用範例,由於大量使用NB-IoT或是其他LPWAN技術的物聯網裝置,應用於包括智慧城市與智慧電網等日常民生應用的場域,這些物聯網裝置需要使用SIM來連接電信商的無線網路,這個已經使用25年的SIM卡,一部分逐步演進轉換成更小體積、直接焊在裝置上的主機板的e-SIM技術。
Arm則推動iSIM的架構,就是直接整合在通訊SoC晶片裡面,具備更精簡、省成本、省功率,但是安全保護功能不打折的強力特性,依照市場研究公司的調查,未來有超過40%的物聯網裝置即將切入iSIM的技術,市場應用價值非常驚人。
Arm藉由提供運算核心並搭配Kigen作業系統做為iSIM技術的主要架構,至於資訊安全的驗證方案(Scheme),目前GSMA是採用Composite的做法,晶片跟韌體本身要通過BSI-CC-PP-0084的認證,認證過的晶片平台搭配SIM作業系統再通過BSI-CC-PP-0089安全規範就可以成為電信商所認可的安全機制,生態系統的整合已經就緒。
工研院雙管齊下 白名單、VMI技術阻絕惡意程式攻擊
工研院資訊與通訊研究所所長闕志克博士表示,近來企業與公部門因為惡意程式的侵擾,而付出沉重的代價。從資訊安全事件中,也可瞭解軟體程式的漏洞與弱點是防不勝防,所以不同於過往建立黑名單、以防毒軟體的方式抓壞人,應改採用應用程式白名單,也就是「只認好人」的策略。系統僅能執行名單上之程式,其他惡意程式經由什麼媒介、手段侵入,在它被啟動時即會遭到系統阻擋,使惡意攻擊無法得逞,這就是白名單的基本概念。
同時,觀察近年資安事件的發生,許多是因員工「自攜設備(Bring Your Own Device;BYOD)」無意間帶入惡意程式到公司內網系統所致。為解決BYOD所衍生的資安問題,可透過虛擬行動桌面服務技術(Virtual Mobile Infrastructure;VMI),手機就是遙控器,即可在雲端執行撥電話、播放文件影音等串流,或客製化App等業務,不僅方便企業員工在雲端使用內網資源,透過雲端作業也能提高公司內網的掌握等,降低資安風險。
整體來看,若從基礎根本防禦惡意程式,應在產品設備等加裝應用程式白名單,尤其是固定功能的設備,如ATM、設備機台等;若從應用端則可透過虛擬行動桌面服務技術(VMI)來防禦。最重要的是,企業資安的防禦,得先清楚劃分「安全區」,有系統的逐步規範,就能降低資安風險的擴散。
華邦電子提供資訊安全驗證的非揮發記憶體產品線
華邦電子表示,依據統計,目前約有58億個物聯網裝置連結網路服務,但卻有超過57%的裝置被評估為具有軟體弱點等安全性的疑慮。有鑑於此,越來越多嵌入式系統進入物聯網應用時,會將安全元件(SE)設計於安全儲存裝置內,以避免遭到駭客攻擊與惡意軟體的嚴重威脅。隨著裝置製造商採用越來越多的數據密集型的運算功能,如生物特徵辨識、更複雜的加密形式等令駭客更難破解等技術,都將推動系統內使用安全資料儲存功能與運算負載日益增加的需求,華邦電子因而推出TrustME系列安全快閃記憶體產品。
此系列產品線具備認證與驗證的安全系統設計,包含加密、身分驗證、金鑰儲存、防篡改功能與抗重放攻擊的功能。此外,為了符合電子支付應用系統的安全需求,華邦安全快閃記憶體已通過符合共同準則 (Common Criteria) EAL5+ (VAN.5) 安全等級認證,同時取得PSA Certified Level 2 Ready認證。
在以安全為導向的物聯網時代,透過保護可信賴啟動執行技術與韌體更新的數據代碼的儲存解決方案,將可強化平台安全架構建置的穩健性。在此基礎架構下,華邦提供各類符合驗證的安全儲存解決方案,如TrustME安全快閃記憶體系列產品功能包含設計階段的安全性(Security by Design)、不可更改的信任根(Immutable Root of Trust)、可信賴啟動(Trusted Boot)、韌體機密性與完整性、可信賴元件的工廠初始化,和安全韌體更新以支援更高儲存容量需求的應用,預期能滿足物聯網世代對於安全性、認證機制與彈性解決方案持續攀升的需求。
GlobalPlatform的IoTopia安全框架
GlobalPlatform在這次技術研討會中邀請主要的技術委員會的主席與幹部介紹核心的技術發展的介紹,首先是Russ Gyurek先生聚焦於IoTopia,這是一個針對物聯網安全所設立的跨產業的安全框架,旨在於提供設計階段的安全性(Secure By Design)標準、裝置意圖、安全部署(Secure Onboarding)與物聯網裝置生命週期管理(Device Lifecycle Management)的四大骨幹,IoTopia的基礎框架是依標準為依歸的,並可以成為跨產業的互通使用。
GlobalPlatform的Secure Element標準
安全元件(SE)是物聯網的資訊安全的保障的核心,GlobalPlatform的安全設計的概念,採取SE、TEE與REE得三個等級的軟體執行環境,以阻止軟體攻擊的序列,其中SE是保護系統的實體資料的安全防線,保護如信號頻率、加密金鑰等駭客啟動物理攻擊所需要攫取的重要項目,Karl EglofHartel先生簡介安全晶片的設計組成SE的硬體防護架構的基礎,同步也著墨iSIM的發展成為建立安全可信的裝置以連接電信網路的設計。
GlobalPlatform的TEE標準
關於可信賴可信賴執行環境(TEE)的簡報由Christophe Colas擔任,TEE上執行軟體特定程式以保護敏感資料免受開放式執行環境(REE)和其他環境的軟體所影響,為這樣才能確保物聯網系統的安全的連接,TEE使用專屬API規格與介面,並在TEE管理框架(TEE Management Framework) 與開放信任協議(OtrP)啟動安全管理機制。特別值得一提的是,考慮物聯網裝置巨量連接的特性,在驗證上採用Common Criteria國際認證ISO標準ISO/IEC 15408。會場來賓特別詢問關於GlobalPlatform的RISC-V架構的TEE規格的進度,Colas指出目前預計2021年可以正式完成。
GlobalPlatform的TPS系統標準
可信賴平台服務(TPS)主題是由Jeremy O’Donoghue主持簡報,TPS藉由信任鏈(Chain of Trust)機制,組合從信任根(RoT)一直到應用端或雲端服務所啟動的安全性機制的基礎,主要用來確保巨量安全性裝置與群組,可以使用TPS的框架提供可信賴的安全服務,將來自不同市場的服務提供者和應用開發人員,能夠更輕鬆地將其產品中安全的連結在一起。
產品認證的標準
由於物聯網服務牽涉多個環節與系統的部署,為了強調安全可信的重要性,TPS框架下開啟一連串的產品認證的標準,這包括由Rob Coombs講述的Platform Security Architecture (PSA)架構,以及Gil Bernabeu談到廣泛的物聯網裝置的連接,應對到當中的安全性疑慮與對策,還有就是包含到IT與傳統OT網路連接時的因應,由於各國政府對於資訊安全相關的法規的制定,速度變得又快又多,這也造成產品認證機制的同步調整,目前GlobalPlatform旗下的物聯網規格涵蓋到全球約8成的資安規範項目,所以採用GlobalPlatform的安全規範的客觀性與公正性有了相當的口碑。
再者,為了讓產業界針對物聯網裝置安全驗證標準可以達到一致化,並簡化認證流程、降低成本,並幫助終端產品可以掌握上市最佳時程,所以GlobalPlatform由Carlos Serratos講述Security Evaluation Standard for IoT Platforms(SESIP)的認證方法,其定義的產品認證與測試的方法可以兼顧大量檢驗與高複雜度的裝置的檢測方法,形成最佳化的產品檢測與認證機制,GlobalPlatform旗下技術委員會與會員將持續為資安標準與安全產品認證繼續努力,以加速資安產業之發展與國際連結。
