將安全融入連網設備開發設計中

Intel IoT安全包含安全啟動、身分保護、硬體ID與認證等技術。Intel

根據研究統計，到了2020年全球連網設備預計將高達500億個。從智慧城市、智慧工廠到智慧家庭，從工作場所、馬路上的汽車到居家環境無處不存在感測器，各種連網裝置讓工作更有效率、生活更便利，卻也帶來更多安全的隱憂，因為只要設備能上網，就可能遭受到攻擊。

想像一下，汽車車門可被人從遠端解鎖、車載資通訊系統提供錯誤導航訊息、家中門禁系統暴露出主人何時不在家的訊息，甚至有人透過網路攝影機對熟睡中的寶寶鬼吼鬼叫…。這些都不是假設情境，而是已被研究人員發表或被報導的事實。如果連網設備不安全，將對我們生活以及人身安全帶來災難。影響不只如此，員工可能配帶著被駭的智慧手環到辦公室，而工廠的大樓管理系統也可能遭駭客控制，物聯網對企業造成的衝擊也不小。

資安廠商Websense去(2014)年底發表的2015網路安全預測中指出，針對物聯網的攻擊將鎖定企業用戶，尤其是製造業及工廠環境。駭客可能先藉由控制某個連網設備再轉向內部網路竊取機密資訊。且連網設備使用新的通訊協定，惡意程式可能以新的方式隱蔽惡意行為，企業要有能力過濾掉雜訊才能找出真正威脅。

構築層層安全的架構

許多調查都顯示，資料外洩、隱私安全疑慮是阻礙物聯網發展的挑戰之一，也會影響消費者對連網設備的採用。然而物聯網的安全並不容易實現，以物聯網架構來看，從前端感知層設備、網路通訊層、雲端平台到手機App等各層面都可能成為入侵的管道，因此物聯網的安全防護必須夠全面。礙於篇幅，本文先從物聯網終端設備與通訊層探討相關安全機制。

物聯網系統安全不是靠單一防護機制就能全部涵蓋，可以從以下面向著手，構築層層安全機制，分別是安全啟動、安全更新、資料加密、設備認證、傳輸加密、防火牆、入侵偵測與防禦、與安全管理系統整合、設備防竄改偵測，以及滲透測試等。

1.安全啟動(Secure boot)：透過微控制器等硬體廠商的支援，開機時就檢查軟體、韌體是否含有數位簽章，確保只載入原始軟體，防止遭駭客安裝惡意程式破壞系統。

2.安全更新：必須能確保連網裝置可進行修補程式的更新，並且以安全的方式進行，例如上述安全啟動所言，更新的程式碼需經過數位簽章驗證才執行。

3.存取控制與加密：存取控制讓連網設備可控制誰有能力存取或執行設備上的資料與檔案。儲存中的資料需要加密，傳輸中的也需要，以避免遭未經授權存取。

4.身分認證：與設備進行溝通時都需經過認證，不管是授權存取資料或觸動設備，以確保資料傳送？接收對象(包含人或機器)是正確真實的。可透過X.509或Kerberos認證通訊協定，或使用OpenPAM(Pluggable Authentication Modules)模組。

5.傳輸加密：從設備傳送出去或接收進來的資料都需經過加密，可透過SSL、SSH等安全協定。但需注意某些過時的加密機制已不夠安全，或近期傳出SSL/TLS協定有漏洞，需即時更新修補程式。

6.防火牆過濾網路攻擊：透過嵌入式防火牆可限制設備只跟已知的或信任的機器溝通，並能阻擋常見的封包流量攻擊、緩衝區溢位攻擊以及針對通訊協定的攻擊。

7.入侵偵測與安全監控：設備必須要能偵測並記錄異常、失敗的登入行為及潛在的惡意活動。

8.嵌入式資安管理：與資安管理系統整合，可以讓設備的資安政策更新到最新，以防止已知的威脅攻擊。

9.設備防竄改的偵測：在一些新的處理器或開發板上都已涵蓋此項功能，一旦有不肖份子在實體環境破壞設備的密封設計嘗試竄改系統，就會發出通知。

10.程式碼安全檢測與滲透測試：從產品設計階段就進行程式碼檢測，並將安全測試加入測試循環中，最後在產品發表前，透過第三方以攻擊者角度對產品進行滲透測試，嘗試找出漏洞，並在上市前完成修復。

上述1~9功能在一些即時作業系統(RTOS)上都已有涵蓋，而各家也有不同特色，下面舉例說明。而第10關於安全檢測，一些知名企業已開始雇用資安專家協助找出產品問題，如GE醫療就有安全顧問協助監看醫療設備的產品開發生命週期，而電動車大廠Tesla也找了知名白帽駭客協助進行弱點測試，並大舉招募資安專家中。

各家物聯網安全防護特色

許多晶片廠以及RTOS廠商都呼籲應在產品設計階段就融入安全，Intel在收購Windriver以及McAfee之後，強調有安全啟動，以及白名單機制只執行信任的程式碼在設備上運作，也有安全監控與日誌回傳的功能，而其設備身分認證功能則透過在硬體上的EPID(Enhanced Privacy ID)技術來實現，同時EPID也可維持設備身分的匿名性。比較特別的是，已經可以使用Intel Security(McAfee)的安全管理平台ePO來管理閘道器上的設備、軟體以及資料，並讓IT與OT在同個平台上彙集控管。

而ARM在物聯網作業系統mbed OS上也已有資料彙集分析、韌體更新等功能，在今年2月購併嵌入式安全傳輸協議(TLS)技術廠商OffSpark後，這套加密技術可讓mbed OS補強傳輸安全與資料加密，預計在2015年底將整合到mbed OS上。

Lynx Software在新版即時作業系統LynxOS 7中強調其安全功能包含自主存取控制(Discretionary Access Control)、日誌稽核、身分認證以及加密等，比較特別的是其Quotas功能可用來限制CPU、記憶體或磁碟的使用量，以避免讓駭客耗盡資源受到如DDoS(分散式阻斷服務)攻擊。此外，以分離核心技術開發的虛擬化平台LynxSecure，可同時保護嵌入式與IT系統安全。

此外，Blackberry旗下子公司QNX的即時作業系統QNX Neutrino，則強調其專注在對安全性有高度要求的汽車、醫療設備、國防與自動化控制等領域。而Blackberry另一項利器則是日前另一家子公司Certicom，發表針對連網設備的PKI簽章代管服務，可為設備製造商提供設備的身分認證同時進行資料加密。

Green Hill的子公司Integrity Security Services推出端到端的安全解決方案，其Integrity RTOS也是採用分離核心架構技術，聲稱可防止前陣子美國零售業POS系統遭記憶體擷取程式竊取信用卡個資的攻擊。也提供軟體式防竄改偵測、傳輸加密，並透過特製的裝置生命週期管理系統(Device lifecycle management system)，以一個金鑰管理架構來保護全公司的加密設備。

Ubuntu針對物聯網的作業系統Snappy Ubuntu Core也強調平台的安全性與升級能力。他們對使用Snappy及在認證平台上開發的設備製造商推出一個計畫，讓製造商可以免費持續收到安全更新，Ubuntu設備也可以自動快速更新系統弱點。

安全不應該是事後亡羊補牢。就如同美國聯邦貿易委員會主席Edith Ramirez在今年的消費電子展(CES)發表的演說也指出，未來人類生活的各種資訊都會被連網設備給搜集、傳輸、儲存，因此科技公司應致力將資訊安全保護機制融入新科技裝置設計中；將使用者的資料搜集降到最少；並將個資搜集的允許權交回到使用者手中。