建構IoT處處安全的環節 智慧應用 影音
蔡司
參數科技

建構IoT處處安全的環節

  • 魏淑芳

InsideSecure大中華區總經理郭大瑋。
InsideSecure大中華區總經理郭大瑋。

法商穎設科技(InsideSecure)有限公司大中華區總經理郭大瑋,介紹成立於1996年的穎設科技為法國上市公司,總部在法國普羅旺斯(Aix en Provence),在英國、芬蘭、荷蘭、美國、南韓、日本、台灣與大陸等地都有研發團隊或營銷據點。

公司設立之初主要以NFC技術為主,隨時間演進在2010年購併Atmel SmartCard IC部門、2012年購併Apple Embedded Security Solution 部門、並於2014年初購併Metaforic,建構了嵌入式系統從端到雲(client to cloud)每個環節的安全保障方案,在全球有數百家重量級客戶。

郭大瑋指出過去手機丟失只是擔心裡頭通訊錄回復麻煩,現在掉手機大家可能寢食難安,因為裡面有公司郵件、財務報表、產品訊息與電子支付等機密訊息。雖Android 5.0提供內建儲存全卡加密保護,卻無法涵蓋如microSD卡。預估到2020年全球有超過260億個聯網IoT裝置,涵蓋車聯網、消費性電子、工控、農業、政府金融、智慧城市、醫療照護等領域,都需要安全防護。

郭大瑋簡述編碼學(Cryptography)有關身份驗證(Authentication)、數據加密(Encryption)與資料完整度檢查(HASH for Data Integrity Check),加密又分對稱密鑰加密(Symmetric-key encryption,如DES、3DES、AES)與非對稱?公私鑰加密(Public-key encryption,如RSA、ECC)等,各有其優劣與應用領域。

曾有一份HP的調研報告提及全球70%的IoT裝置都有安全性漏洞,市調機構預測IoT安全防護市場在2020年將成長到28.9億美元。若以裝置存取的輕易度為縱軸、破解成本為橫軸,系統層破解成本最低,系統內的PCBA、連接組件的裝置模組層(Board/Device level)較高,最難破解的則屬晶片層(Chip level)的入侵,故廠商必須視哪個層級需安全保護,不單僅考量成本或該裝置的價值,還要考量被入侵後的後果(Consequence)來決定採取哪種解決方案來滿足其安全需求。

郭大瑋指出完整安全架構需涵蓋從裝置功能、傳輸、儲存到聯網存取4個面向來考慮,InsideSecure提供VaultIP & Secure Boot SW、Packet Engine IP or QuickSec SW、VaultIP & Secure Storage SW與Vault IP & Authentication SW,還有從裝置到雲端各連通環節的安全防護。

他也探討從純軟體、軟硬兼施(軟體+專用安全晶片)與軟體+內建SecurityIP 的SOC等種種可能實現方式及成本與效能效益差異,以及從Layer5 SSL、Layer3的IP Sec到Layer2級通訊實體層一一舉例說明。並以數據中心數據異地備援應用為例,對於數據吞吐要求高於400Gbps的高效率封包分類,並行處理與高速安全加解密和如何以MacSec來實現於會中詳細說明。

InsideSecure的QuickSec VPN、MatrixDAR、SafeZone FIPS加解密模組與函式庫,其中MatrixSSL僅需IOT裝置29KB Flash/4KB RAM資源即可運作,較開源的OpenSSL需800KB Flash/80KB RAM相比,前者大幅降低對系統資源的要求從而大幅降低系統BOM Cost,與無虞的售後技術支援,讓使用廠商免於安全漏洞發生時成為開源技術支援的孤兒。

郭大瑋舉例指出在頻寬60Mbps下載500MB檔案做比較,完全無保護的裝置以300MHz CPU運作下負載率10%、功耗30mW,純軟體防護的裝置以1200MHz CPU運作負載率飆到75%、功耗1200mW,採用InsideSecure EIP-197 Packet Engine的裝置僅需600MHz CPU運作且負載僅25%、功耗110mW,有效降低功耗且在效能?安全防護成本取得平衡。

郭大瑋總結InsideSecure的全方位防護方案,涵蓋從系統層(手機、路由器、網路設施、資料中心)、模組層(各驅動程式?網路堆疊板卡)到晶片層(HW IP)的軟體?模組?硬體IP(RTL/FPGA VHDL),且均通過美國官方機構NIST ( National Institution of Standard and Technology) FIPS 140-2密碼學安全認證,對於採用InsideSecure相關FIPS認證過安全解決方案的廠商可大幅縮短FIPS認證時程,讓產品快速上市。同時在DRM內容保護與應用程式與移動支付安全方面,亦有相關端到端之安全解決方案,可滿足客戶各式安全需求。