威刚存储安全技术研讨会 强化5G与AIoT数据存取安全
- 尤嘉禾
-
5G与AIoT成各垂直应用产业近年来最火红的议题,透过5G的高速传输与AIoT的绵密数据采撷与分析,全球各产业将开始产生全新商业模式。新科技除了带来智能化商机,网安问题也将随之而来;尤其是5G与AIoT都将成为企业营运的核心架构,一旦系统出现漏洞,将有可能造成庞大损失。为协助系统厂商与企业用户了解目前工控系统的网安解决方案,威刚科技特于8月30日举办「存储安全技术研讨会」,除了分享威刚的产品技术外,也邀请到威腾电子(WDC) 、慧荣科技(SMI)、联芸科技(Maxiotek)、北京忆芯科技(Starblaze)等业界夥伴,从不同角度介绍目前的数据网安趋势。
威刚科技副总经理周震西在致词时指出,过去工控系统对设备数据的管理本就相当重视,近年来5G与AIoT的启动,让此重要性更加提升。威刚科技长年深耕工控存储,除了硬件规格的齐备,网安防护也是重点之一。而随着工控系统逐渐将应用触角延伸至各领域,威刚科技近期积极强化设备网安的软件研发能量,提供客户效能与安全兼具的存储解决方案。
NAND Flash应用层面快速扩大
对于储存技术的发展现况,威腾电子技术产品行销处长林哲仲在「NAND Flash与工控产业应用的结合」演讲中指出,相较于过去2G、3G、4G等无线通讯技术多以一般民众的通讯为主,5G的应用层面将扩大到如交通、医疗、制造等领域;也因此现在各国政府对5G发展的态度与过去截然不同:美国政府就将其视为战略性政策,国内大陆政府也希望透过5G的布局一举超车,而除了中美两大国,欧洲各国与日、韩,乃至于印度与东南亚国家,动作也都十分积极。
林哲仲进一步表示,5G与AIoT在未来城市的应用将十分广泛。他以交通系统为例,5G与AIoT将使路上的车辆、灯号得以连结,并与不同领域的产业系统整合,让交通更为便利。像是民众发生事故时,就可以透过手机连结医院系统的连结叫救护车,除了可以从手机上看到救护车的位置外,救护车也可与路上的交通灯号连结,沿路改变灯号,让救护车尽速抵达。同时而医院系统也可与救护车连结,将病患信息从车上先行传回急诊室。在信息的无缝接轨之下,病患抵达时医师就可立即接手救治。
救护车的案例只是5G和AIoT应用的一例,但由此就可看出,未来智能化系统所产生的数据将会有多庞大?过去几年各类型设备与系统的主流容量,已从GB升级到TB;而在物联网时代,此一数据量将呈几何成长。根据CISCO的预测,2025年全球联网设备将有41.6亿个,这些设备所产生的数据量将高达79.4 ZB,而这些数据不仅多,而且类别庞杂且分散,面对此情势,企业就必须思考本身的数据策略为何。
林哲仲表示,NAND Flash现在已是各电子产品的主流储存技术,在5G与AIoT时代,其重要性将进一步攀升。也因此NAND Flash的品质将决定设备甚至是系统效益的关键,必须可以在恶劣环境中稳定运作,并可因不同系统需求而有对应的网安机制,让设备的效益与安全不会相互抵触,将系统效能最佳化。
SSD加密技术机制完备
要让产品的效能与安全并重,就必须了解目前的网安标准。慧荣科技协理黄士德在「SSD加密技术的发展与应用」演讲中指出,加密技术对工控产品的重要性越来越高,设备供应上就必须证明自家产品是安全、可信赖的。而目前的网安机制共有Password口令保护、TCG OPAL安全协定与Firmware认证等3种。
Password口令保护是目前最常见的保护机制,为了防止有心人士在设备内部找到口令并轻易破解,现在口令的设置都不采用明码,而以Hash (杂凑)方式编码。而Hash值有几个特色,首先是不可逆还原,也就是无法透过反推破解;其次是所产生的Digest长度固定,方便设备储存与后续处理;最后是一对一对应,不会有两组一样的Hash值。对于Hash,慧荣科技的控制芯片已通过NIST SP800-108规范,根据不同Hash储存口令,确保口令的安全性。
虽然Hash大幅提升了设备安全,不过黄士德指出,如果口令设置不当仍有机会被攻破,最常见就是123456、qwerty、111111这类型易猜数字,或是具有意义的生日、身份证字号等有意义的数字。
至于TCG OPAL安全协定,则是提供多用户在不同LBA中有不同权限。TCG OPAL安全协定大多是应用于有高度数据机敏性要求,但有多位使用者的系统,像是金融、国防等。TCG OPAL可让1位管理者加上7位使用者依使用需求而设定不同权限,让系统兼具效益、安全与弹性。为了确保旗下产品TCG OPAL安全协定的可用性,慧荣科技汇集微软、赛门铁克、McAfee、ULINK、WINMAGIC等市面上大型厂商的网安平台,并在这些平台测试自身产品,目前都已成功通过。
若要进一步确保产品安全,避免产品被植入木马,黄士德建议可透过公钥与私钥的Firmware认证方式:公钥与私钥的搭配,可以在设备内部形成电子签章机制,其作法是以私钥加密、公钥解密,而公钥必须是经过设备厂商或企业本身认证过才能解开,除了正确钥匙之外,没有其他开锁方式,如此一来就可降低口令被破解的风险。
国内大陆商密环境已然严谨
除了技术面,符合市场规范也是网安的重要环节。在研讨会中,联芸科技技术处长陈国光特别以「国内商密环境」为题,介绍目前国内大陆市场对设备口令的要求。陈国光指出,随着物联网设备数量的增加,口令产品在市场中将会越来越重要;而在国内大陆销售的口令产品,必须通过国密局的认证,因此销售与生产供应两端必须紧密配合,方能创造双赢局面。
国内大陆的设备口令管理单位为「国家口令管理局」,负责拟订口令工作发展规划、管理加密产品市场、指导口令专业教育和口令学术交流。其中口令工作发展规划的拟定,包括起草及解释口令工作法规、订定口令相关规范标准。加密产品市场的管理则有管理口令产品相关生产、设备(销售)单位、测试及颁发证书、查处口令失泄密事件和违法违规研制、使用口令行为与负责有关口令的涉外事宜。
陈国光指出,在国内大陆,所有口令产品都必须通过国密局的认证才可销售。而截至2019年8月底,国密局的商用口令产品目录共有1444项,其中包括POS口令应用系统、安全芯片(SED主控芯片)与智能口令钥匙。
在市场上,国密局负责管理口令产品销售与口令产品生产两类厂商,销售厂商必须取得贩售许可,其许可证效期为3年,所贩售的口令产品需在国密局的商用口令产品目录中,并每年回报市场状况给国密局。口令产品生产商包括设备制造商、系统/模块厂设计商,与芯片/IP供应商3类。设备制造商除了必须取得取得贩售许可证外,还要有生产许可证,其效期为3年。而口令产品生产商的所有生产设备及流程也都必须符合国密局规范及国内大陆法规。
至于系统/模块设计商(也包括模块厂),除了产品本身须符合国内大陆法规外,口令产品也须通过认证,其许可证效期为5年。所有的产品都须采用国密局指定的演算法,并通过国密局的测试。芯片/IP供应商要取得口令芯片类认证,许可证效期5年,设计及开发流程需取得国密局的认可、使用的演算法须通过国密局的算法认证,并通过国密局的测试。
陈国光表示,在国内大陆市场发展,系统必须与芯片厂商携手:联芸科技旗下的SATA SSD控制芯片SSX1901已取得国密产品证书,正协助客户进行通用产品认证。另一款PCIe界面的SSD控制芯片则正申请加密芯片产品认证中,未来也将协助客户进行认证,并开发认证流程所需软件,提供给客户使用。
国内大陆国密演算法迎头赶上
远从国内大陆而来的北京忆芯科技研发副总黄好城,进一步介绍了国内大陆国密的技术与应用。黄好城先介绍北京忆芯科技,该公司成立于2015年11月,目前近110名员工,旗下已有各种解决方案,其安全芯片已有高速与高安全存储专利。另外,以全软件定义的SSD控制器储存方案,则可在高效能、高兼容性/可扩展性之间实现最佳均衡。其全球首创多核同构SSD控制器架构,可同时确保证数据处理的实时性、一致性及共享性。
其Star NVMe技术,拥有全球最高的1.0M+ IOPS效能,且可透过软件更新支持NVMe的标准演进。在低功耗方面,北京忆芯是全球少有掌握LDPC 技术并将之应用到SSD中的公司,其Star LDPC技术可在高效能前提下,产生拥有业界最低功耗。此外,北京忆芯自主研发Star Flash技术高效且灵活,可透过软件更新支持所有主流供应商的2D/3D NAND Flash。
对于国内大陆的国密技术发展,黄好城指出,国内大陆口令演算法研制跟国际口令演算法研制水准相当,但口令产业特别是应用方面差距还是非常大。现在所使用的大陆本土口令演算法(国密演算法)是由国家口令局认定的大陆本土商用口令演算法,其口令体系起步晚于美国,但可借鉴经验。
目前国密演算法共有7种,SM1、SM4、SM7与ZUC属于对称加密演算法,SM2、SM9为非对称加密演算法,至于SM3则是摘要演算法。在这7种演算法中,黄好城特别介绍了SM2、SM3与SM4等3种,其中SM2为公开金钥口令演算法,运算结构为特殊可逆模幂运算,运算复杂度为亚指数级,安全性难度则基于离散对数问题ECDLP数学难题。SM3杂凑演算法是国内大陆自主设计的口令杂凑演算法,2004年由国内科学院士王小云首次破解MD5、HAVAL-128、RIPEMD-128,并设计了SM3函数;至于SM4演算法则可加密保护静态储存和传输通道中的数据。
威刚科技深耕SSD安全技术
为因应全球的数据安全趋势,威刚科技长年投入SSD安全技术发展。威刚科技工控产品研发处处长袁国华在「SSD安全技术应用」演讲中指出,智能城市透过新一代的信息科技,连结我们生活中的所有物件,形成有效的互动,让人们有更好的工作效率和生活品质。而物联网是实现智能城市的重要基础,在物联网架构中,各类物件必须随时随地相连,进而产生隐私及数据安全的问题,因此如何做好数据保护已是重要课题。
目前工控应用的领域中,对数据保护最重视的为博弈、军事与自动化生产等三大产业。博弈设备必须做好数据保护,尤其是应用软件的保护,以避免被黑客破解,造成赔率大增的巨额损失。军事数据不再使用时,必须确保真正销毁,让机密数据不会外泄。自动化则是确保产线MES系统的数据安全,让产线不会中断。
在从储存元件的网安技术类型来看,为防止重要数据被有心人士窃取,需以加密方式防止数据被窃取或窜改,同时还要杜绝重要数据因储存元件不稳定而遗失的情况。现在威刚科技已可因应系统需求而有快速抹除、安全抹除、销毁与物理烧毁等4种不同类型的数据抹除技术,其SSD Toolbox “Security Erase”,可在ATA命令下执行Secure Erase,快速清理存储在SSD内的数据,将SSD恢复到初始的品质,除了让无效的数据完全清除,不会外泄,也可以让SSD的效能完全恢复到初始状态。
在数据加密方面,威刚则有AES、TCG Opal与SM2/SM3/SM4两种类型,其自我加密碟 (SED)为硬件AES加密系统,在数据写入即加密,数据读出即解密。TCG Opal自我加密碟则为系统区域,包括了虚拟开机磁区与使用者数据区域。另外,威刚还提供Thermal Throttling(温度调节)技术,可确保SSD在安全的温度范围内运作;以及PLP(断电保护)机制,能防止因突然断电而造成数据遗失;对SSD的稳定度都有显着帮助。
袁国华最后指出,提升数据安全是非常重要的措施,如果事先采用有安全防护的SSD,则可大幅降低数据遗失或外泄的风险。目前威刚科技已有全方位的SSD保护机制,可强化物联网架构的安全性,成为工业设备与系统厂商的最佳后盾。(本文由尤嘉禾整理报导)
