将安全融入联网设备开发设计中

Intel IoT安全包含安全启动、身份保护、硬件ID与认证等技术。Intel

根据研究统计，到了2020年全球联网设备预计将高达500亿个。从智能城市、智能工厂到智能家庭，从工作场所、马路上的汽车到居家环境无处不存在传感器，各种联网装置让工作更有效率、生活更便利，却也带来更多安全的隐忧，因为只要设备能上网，就可能遭受到攻击。

想像一下，汽车车门可被人从线上解锁、车载资通讯系统提供错误导航信息、家中门禁系统暴露出主人何时不在家的信息，甚至有人透过网络摄影机对熟睡中的宝宝鬼吼鬼叫…。这些都不是假设情境，而是已被研究人员发表或被报导的事实。如果联网设备不安全，将对我们生活以及人身安全带来灾难。影响不只如此，员工可能配带着被骇的智能手环到办公室，而工厂的大楼管理系统也可能遭黑客控制，物联网对企业造成的冲击也不小。

网安厂商Websense去(2014)年底发表的2015网络安全预测中指出，针对物联网的攻击将锁定企业用户，尤其是制造业及工厂环境。黑客可能先藉由控制某个联网设备再转向内部网络窃取机密信息。且联网设备使用新的通讯协定，恶意程序可能以新的方式隐蔽恶意行为，企业要有能力过滤掉杂讯才能找出真正威胁。

构筑层层安全的架构

许多调查都显示，数据外泄、隐私安全疑虑是阻碍物联网发展的挑战之一，也会影响消费者对联网设备的采用。然而物联网的安全并不容易实现，以物联网架构来看，从前端感知层设备、网络通讯层、云端平台到手机App等各层面都可能成为入侵的管道，因此物联网的安全防护必须够全面。碍于篇幅，本文先从物联网终端设备与通讯层探讨相关安全机制。

物联网系统安全不是靠单一防护机制就能全部涵盖，可以从以下面向着手，构筑层层安全机制，分别是安全启动、安全更新、数据加密、设备认证、传输加密、防火墙、入侵侦测与防御、与安全管理系统整合、设备防窜改侦测，以及渗透测试等。

1.安全启动(Secure boot)：透过微控制器等硬件厂商的支持，开机时就检查软件、韧体是否含有数码签章，确保只加载原始软件，防止遭黑客安装恶意程序破坏系统。

2.安全更新：必须能确保联网装置可进行修补程序的更新，并且以安全的方式进行，例如上述安全启动所言，更新的程序码需经过数码签章验证才执行。

3.存取控制与加密：存取控制让联网设备可控制谁有能力存取或执行设备上的数据与档案。储存中的数据需要加密，传输中的也需要，以避免遭未经授权存取。

4.身份认证：与设备进行沟通时都需经过认证，不管是授权存取数据或触动设备，以确保数据传送？接收对象(包含人或机器)是正确真实的。可透过X.509或Kerberos认证通讯协定，或使用OpenPAM(Pluggable Authentication Modules)模块。

5.传输加密：从设备传送出去或接收进来的数据都需经过加密，可透过SSL、SSH等安全协定。但需注意某些过时的加密机制已不够安全，或近期传出SSL/TLS协定有漏洞，需实时更新修补程序。

6.防火墙过滤网络攻击：透过嵌入式防火墙可限制设备只跟已知的或信任的机器沟通，并能阻挡常见的封包流量攻击、缓冲区溢位攻击以及针对通讯协定的攻击。

7.入侵侦测与安全监控：设备必须要能侦测并记录异常、失败的登入行为及潜在的恶意活动。

8.嵌入式网安管理：与网安管理系统整合，可以让设备的网安政策更新到最新，以防止已知的威胁攻击。

9.设备防窜改的侦测：在一些新的处理器或开发板上都已涵盖此项功能，一旦有不肖份子在实体环境破坏设备的密封设计尝试窜改系统，就会发出通知。

10.程序码安全检测与渗透测试：从产品设计阶段就进行程序码检测，并将安全测试加入测试循环中，最后在产品发表前，透过第三方以攻击者角度对产品进行渗透测试，尝试找出漏洞，并在上市前完成修复。

上述1~9功能在一些实时操作系统(RTOS)上都已有涵盖，而各家也有不同特色，下面举例说明。而第10关于安全检测，一些知名企业已开始雇用网安专家协助找出产品问题，如GE医疗就有安全顾问协助监看医疗设备的产品开发生命周期，而电动车大厂Tesla也找了知名白帽黑客协助进行弱点测试，并大举招募网安专家中。

各家物联网安全防护特色

许多芯片厂以及RTOS厂商都呼吁应在产品设计阶段就融入安全，Intel在收购Windriver以及McAfee之后，强调有安全启动，以及白名单机制只执行信任的程序码在设备上运作，也有安全监控与日志回传的功能，而其设备身份认证功能则透过在硬件上的EPID(Enhanced Privacy ID)技术来实现，同时EPID也可维持设备身份的匿名性。比较特别的是，已经可以使用Intel Security(McAfee)的安全管理平台ePO来管理闸道器上的设备、软件以及数据，并让IT与OT在同个平台上汇集控管。

而ARM在物联网操作系统mbed OS上也已有数据汇集分析、韧体更新等功能，在今年2月购并嵌入式安全传输协议(TLS)技术厂商OffSpark后，这套加密技术可让mbed OS补强传输安全与数据加密，预计在2015年底将整合到mbed OS上。

Lynx Software在新版实时操作系统LynxOS 7中强调其安全功能包含自主存取控制(Discretionary Access Control)、日志稽核、身份认证以及加密等，比较特别的是其Quotas功能可用来限制CPU、存储器或磁碟的使用量，以避免让黑客耗尽资源受到如DDoS(分散式阻断服务)攻击。此外，以分离核心技术开发的虚拟化平台LynxSecure，可同时保护嵌入式与IT系统安全。

此外，Blackberry旗下子公司QNX的实时操作系统QNX Neutrino，则强调其专注在对安全性有高度要求的汽车、医疗设备、国防与自动化控制等领域。而Blackberry另一项利器则是日前另一家子公司Certicom，发表针对联网设备的PKI签章代管服务，可为设备制造商提供设备的身份认证同时进行数据加密。

Green Hill的子公司Integrity Security Services推出端到端的安全解决方案，其Integrity RTOS也是采用分离核心架构技术，声称可防止前阵子美国零售业POS系统遭存储器撷取程序窃取信用卡个资的攻击。也提供软件式防窜改侦测、传输加密，并透过特制的装置生命周期管理系统(Device lifecycle management system)，以一个金钥管理架构来保护全公司的加密设备。

Ubuntu针对物联网的操作系统Snappy Ubuntu Core也强调平台的安全性与升级能力。他们对使用Snappy及在认证平台上开发的设备制造商推出一个计划，让制造商可以免费持续收到安全更新，Ubuntu设备也可以自动快速更新系统弱点。

安全不应该是事后亡羊补牢。就如同美国联邦贸易委员会主席Edith Ramirez在今年的消费电子展(CES)发表的演说也指出，未来人类生活的各种信息都会被联网设备给搜集、传输、储存，因此科技公司应致力将信息安全保护机制融入新科技装置设计中；将使用者的数据搜集降到最少；并将个资搜集的允许权交回到使用者手中。