Path: EDNTaiwan電子技術設計 >> 設計中心 >> 消費性電子 >> 提升物聯網邊緣節點安全性和成本效益
消費性電子 Share print

提升物聯網邊緣節點安全性和成本效益

2015年12月07日  | Eustace Asanghanwa, Ronald Ih, Nicolas Schieli

Share this page with your friends

想像一下,你的另一半收到了一束署名是你的鮮花,但實際上並不是你送的;然後你們發現自己的信用卡資訊被盜,現在面臨著詐欺指控。那束鮮花上的便條上簡單地寫著「快樂」兩個字,表達的卻是騙子此時此刻的心情。


這是一個真實的故事。全球各地的零售店都發生過個資外洩事件,包括美國著名的零售商Home Depot和Target。Target資料洩露,是因為一個外形美觀的恆溫器;這個連結雲端系統的恆溫器是一個簡單的節點設備,遭到了遠端入侵。


現在假設你是曾經遭遇駭客攻擊的零售商,有業者正在向你推薦一款更加美觀的恆溫器,他們想和你合作銷售這款產品,並讓該產品連結你的雲端設備;你可能有興趣與他們合作,他們卻告訴你該產品沒有內建安全機制,畢竟那只是一款恆溫器、能出什麼問題?


但你已經吃過虧了,你知道會發生什麼事情;因此你會拒絕這筆生意,那家恆溫器廠商也會得到一個教訓 ─未將安全性植入產品雖然能節省成本,但很可能讓該產品賣不出去。


這使得邊緣節點(edge node)成為物聯網(IoT)最大的弱點,因為我們很容易將它們視為對駭客來說毫無價值的孤立嵌入式系統;尤其是考量到成本在家用市場非常關鍵,廠商往往會把握每一個節省成本的機會。


但安全性是不可忽略的,所有邊緣節點都必須和網路中的任何節點一樣,確保其安全性。


安全性兩步驟

安全性包含很多元件,它們都涉及憑證以及其他擁有已建立信任鏈並依賴唯一的裝置私密金鑰(從中產生一個公共金鑰)的可信任物件(trusted artifact)之交換。在一個邊緣節點上實施一個安全性原則包含兩個步驟:配置(provisioning)和功能驗證(commissioning)。


配置是為原始裝置分配一個以安全性為目的之標識,包括載入一個獨特的私密金鑰以及最終使用所需的任何其他憑證或物件;配置使元件具備合法性並值得信任。


配置良好的裝置中固有之可信度,源於一個「可信根(root of trust)」,它支撐著信任鏈中的所有實體。可信根可以由任何人生成,而且非常重要的是,它會得到無條件的信任;因此,為了使這種信任可靠,買家和網路管理者應該知道其根源。


一家知名但聲譽岌岌可危的大公司可以創建自己的可信根,而一家小型的初創或創客機構卻很有可能做不到;這並不是因為小公司不值得信賴,而是因為它們沒有名氣,必須找到其他人為它們擔保。


這就是像Verisign那樣的憑證授權機構(Certificate Authorities,CA)證書管理機構存在的原因;它們的職責就是獲得信任並為其他公司擔保。因此,大公司可以簽署自己的金鑰,小公司也能擁有由一家CA簽署的金鑰。


配置的目的就是讓裝置做好被使用的準備,但它卻讓裝置處於一種通用狀態;而功能驗證(或稱「取得所有權」)是第二個安全步驟,在購買裝置後實施。此項工作是讓完成預先配置的裝置接入一個網路,通常涉及某個網路提供商的帳戶以及驗證步驟,比如透過手機提供的密碼。這個步驟能將裝置從通用轉變為與特定網路中的特定使用者相關聯的裝置。


配置工作在裝置(或零組件)製造期間或測試期間完成,而功能驗證則是由網路提供商和終端使用者來管理。功能驗證的成功與否取決於配置是否合理,傳統的配置技術會帶來高昂的成本,並遺留安全性漏洞。


配置問題

配置一台裝置的最低要求是一個經過簽署的金鑰;這個金鑰最終將需要在功能驗證期間得到某個網路的認可和接受。配置是在一個硬體安全模組(HSM)的協助下完成的,該模組負責在一個可查找的流程中保護金鑰的載入。


配置時不能使用任意金鑰,否則製造商就可輕鬆製造出多於訂購數量的裝置(即「過度製造」),並在灰色市場中出售多餘的裝置;為了防止這種情況出現,製造過程必須對所有金鑰進行分配。接受某個裝置的網路必須確認該裝置是合法的,因此該網路必須知道製造期間分配哪些金鑰,只有這些金鑰才被允許接入網路。


這意味著必須對金鑰資料庫進行維護;該資料庫構建於裝置製造期間,供網路營運商用於在裝置功能驗證期間驗證金鑰。維護和管理這個資料庫不僅麻煩,而且會增加成本。更糟糕的是,它還成為網路中的一個受攻擊點;如果該資料庫遭到入侵,所有金鑰都將外洩。


此外,雖然這個過程能夠防止過度製造,卻不能避免複製(cloning);複製是指使用一個金鑰製造出多台裝置,其中只有一台在合法市場出售,裝置的複製品則在灰色市場銷售。


小公司需要透過CA取得經簽署的金鑰,這會增加每個裝置的BOM成本。而且,大公司能夠透過大量訂單降低元件或系統的HSM成本,但僅配置較少裝置的小公司卻面臨著巨大的成本問題。


圖1 傳統上,裝置或系統在大量測試儀或少量HSM上進行配置;金鑰記錄於一個資料庫中,與功能驗證期間連結的進行協商。
圖1 傳統上,裝置或系統在大量測試儀或少量HSM上進行配置;金鑰記錄於一個資料庫中,與功能驗證期間連結的進行協商。

如果金鑰儲存在邊緣節點設備的快閃記憶體中,那些意志堅定的駭客就有可能找到並破解這個金鑰。這雖然不是配置過程本身造成的結果,卻凸顯了傳統配置方法的缺點;為了因應以上挑戰,一種新的配置方法已經出現,它能夠以更低的成本帶來更高的安全性。


成本更低、安全性更高的配置方法

這種新的配置方法基於最新的晶片,後者唯一的目的就是扮演像是金鑰、憑證或其他安全保密方法的可信任守護者角色;此類晶片以一個私密金鑰進行配置(理想的情況是內部生成該金鑰),但這個金鑰永遠不會被晶片洩露出去。實際上,當需要一個金鑰時,元件將生成一個公共金鑰或其他安全物件,從私密金鑰衍生,卻不同於私密金鑰。


首先,這能夠防止複製;此類系統中的金鑰由一顆單獨的晶片控制,而不是由快閃記憶體等商用晶片控制。如果需要製造1,000台系統,那麼就將不多不少地提供1,000顆安全晶片,不會為複製版本留下任何多餘的晶片。


這些裝置還能儲存憑證等安全元件,而且還能以一種不透明的方式提供金鑰與憑證的生成和儲存以及認證支援,從而減輕系統處理器的負擔。


可信任平台模組(TPM)就是支援這些安全功能的典型硬體範例,但是基於TPM的裝置通常不能滿足市場對物聯網邊緣節點的低成本需求。


Atmel ATECC508是一個低成本的例子。與Atmel的TPM元件一樣,該元件在配置期間被觸發時在內部創建自己的私密金鑰,這個私密金鑰不能被任何人讀取,從而讓複製變得完全不可能。這還意味著不需要任何資料庫,從而節省了維護時間和精力,並且消除了資料庫這個安全風險。


如果元件較多,Atmel可以在測試服務期間預先配置這些元件;此外,系統製造商還可以使用它們的測試儀進行配置。如果元件較少,Atmel提供一套工具組,讓系統設計公司可用以配置原型裝置和內部首次運作的裝置;這節省了採購HSM的成本。該工具組可讓用戶選擇自我簽署,或者取得單個CA憑證,將其用作每台裝置的信任鏈基礎,這樣就不必再為每台裝置購買單獨的憑證。


圖2 大量裝置可以在測試期間透過Atmel這樣的元件製造商或授權組裝廠預先配置;少量裝置可以使用Atmel的工具組進行配置,無需購買HSM。
圖2 大量裝置可以在測試期間透過Atmel這樣的元件製造商或授權組裝廠預先配置;少量裝置可以使用Atmel的工具組進行配置,無需購買HSM。

使用專用安全晶片有助於消除安全性漏洞,並降低配置成本;它可以透過消除複製和金鑰資料庫這個駭客攻擊目標,從而提高安全性。不需維護金鑰資料庫,也不需為每台裝置個購買一個金鑰,因此能降低成本。


更高的安全性和更低的成本,這一組合使得廠商更加願意並更能負擔得起為物聯網邊緣節點增添安全性。考量到邊緣節點日益受到嚴格的審查─尤其是來自網路管理者,這種安全性將成為所有邊緣節點實現大量銷售以及物聯網不斷拓展的必要條件。





想要免費接收更多的技術設計資訊嗎?

馬上訂閱《電子技術設計》郵件速遞,透過郵箱輕鬆接收最新的設計理念和產品新聞。

為確保您的資訊安全,請輸入右方顯示的代碼.

啟動您的訂閱申請

我們已給您的註冊郵箱發送了確認信,請點擊信中的連結啟動您的訂閱申請。

這將有助於我們很好地保護您的個人隱私同時確保您能成功接收郵件。


添加新評論
遊客 (您目前以遊客身份發表,請 登入 | 註冊)
*驗證碼:

新聞 | 產品 | 設計實例