随着智慧家庭与物联网 (IoT) 挂勾,网络资安自然越发备受关注。谁都不想这个高度私领域被外人一览无疑,更遑论可能因此损伤人身和财产。在汽车电子与大功率控制 (包括汽车动力系统) 表现不俗的英飞凌 (Infineon),投入智能卡与安全领域已 25 年,安全控制器的全球出货量逾 200 亿颗,亦是移动 M2M 通信的先驱。英飞凌智能卡与保密芯片业务事业处经理田沛灏细数他们在的标竿里程碑:2014 年每十张发行的支付卡中,有四张是采用英飞凌安全芯片;全球有高达 75% 人口所持有的法定官方证照,皆是由英飞凌芯片驱动。
照片人物:英飞凌智能卡与保密芯片业务事业处经理田沛灏
嵌入式安全设计需求日盛
如今,英飞凌在认证、可信赖平台模块 (TPM) 和移动安全市场堪称数一数二;每两台便携式商务计算机,就有一台配备英飞凌的 TPM。田沛灏表示,除了遵循 ISO 标准、用于支付/移动通信/证照/交通/付费电视系统卡的开放式规格安全控制芯片,因应市场变化,英飞凌 10 年前开始发展多元通信接口的"嵌入式安全"产品,包括智能家庭应用;不过,嵌入式设计只是其中一个选项,采用标准 OPTIGA 安全芯片/TPM、NFC 卷标以及 M2M 安全通信模块亦是可行方案,端视用户对安全功能的期待与规划。
图1:英飞凌在智能家庭应用的全方位解决方案
资料来源:英飞凌
英飞凌认为,智慧家庭根本特性是"基于网络及其储存数据执行动作",包括:记录并分析数据、实时监控和预警、远程控制以及远程更新等,须分别从服务器、网络和设备三个层次来为资安把关。首先,位于最上层的服务器可能因发送错误指令导致触发意外事件,将非公开数据发送给非法接受方;网络传输数据或指令有被窃听的风险,因而泄露关于基础设施运行的信息;最终设备可能被注入伪造数据、扰乱控制过程而做出危险或不当反应,或被用于掩盖物理攻击。"可惜,目前许多 IoT 并未正确选用对的安全机制",田沛灏据实以告。
图2:英飞凌主张,智慧家庭应分为服务器、网络和设备三个层次来看
资料来源:英飞凌
她进一步点明,智能化有助提升产品获利,可从发展新功能/服务、节能减碳与客制化着手;而在琳琅满目的智慧家庭设备中,"作为中继站的网关 (Gateway) 最该优先实施高规安全措施,至少能为内、外网建立基础防线"。田沛灏强调,智慧家庭的资安不容小觑;这不仅可能让家电设备曝露在全天候被操控的风险中,导致产品过热、经济损失,亦会减少电器设备的使用寿命。若居家网络监控摄影机数据被偷窥、窃取或篡改盗用、家庭成员作息被不良人士了如指掌,后果将不堪设想!一旦公共能源设施被骇,更可能惨遭时基操纵而导致技术和社会问题。
MCU 外挂安全引擎,硬件安防较稳固
"换个角度,开发者或设备制造商只要多花一些心思在建立安全防护网上,包括:可靠度、隐私与安防,则可捍卫产品价值和研发机密,利于在竞争中脱颖而出、保障收益来源,同时增进质量、降低善后成本并拉长产品在市场上的活跃期间;甚至透过为产品加值、实现和创造新的业务模式而获得超额利润",田沛灏说。那么,怎样的安全防护才合格?她指出,常见的安防措施有以下几大面向:认证、密钥建立和管理、平台完整性、储存数据保护、安全更新、安全通信、审计以及产品生命周期管理,尤以前两项最为关键,软、硬件各有必须留意的重点。
田沛灏举例,早期磁条式金融卡只要一刷,就能获得确切而完整的数据,容易被侧录;但后来进化到新型芯片卡,因为内嵌微控制器 (MCU) 会以算法加密保护数据,且感应时只负责确认卡片阅读机的合法性、不会告知具体细节,阻绝被窃听的机会,这正是为何改采芯片认证的缘故。其次,密钥管理有"对称式"和"非对称式"两种,前者加、解密都是用同一把钥匙,如:DES、Triple DES、AES……;后者则是将加、解密看作两把钥匙,且公钥 (public key) 最好集中保管在服务器、取代放在芯片卡,必须与永远存在本机的私钥 (private key) 比对成功才能动作。
不难理解,非对称式密钥安防等级相对较高。如果比对不上,收受方便无法进行后续动作,且该次传送的数据可设定自我销毁;但缺点是那个如同"超级保险箱"的服务器,身价着实不斐。她并透露,欧洲因将电力能源视为国有资产,智能电表至少会以芯片卡做安防;但台湾的电表走的是 AES 对称式密钥,保全概念仍有待加强。田沛灏直言,以 MCU 外挂安全引擎的硬件实现方式,安防功能自然较为坚固;但基于性价比考虑,MCU 加软件算法、以固件方式呈现也不失为一种解方,而将凭证与经过认证的安全平台绑定,将安全认证个人化。
OPTIGA 提供不同级别的安全机制
随着 Amazon、Google 和 Apple 三大阵营招数尽出,时下开发者能运用的资源远较以往丰沛许多,安防水平又是如何?田沛灏分析,Apple 素来坚持走自己的路、拥有特定支持者,对安防有较严谨的规范;Google 开始投入做硬设备,有 OpenSSL 等明确的安全规范定义,仍不免传出新并购 Nest 恒温控制器被破解的消息;而近年因 AWS 限定期间免费云端服务以及丰富开发工具包而迅速扩张势力的 Amazon,则以弹性与灵活度吸引意在速成者,但安全防护不具强制性,开发者须自行评估补强,而英飞凌 OPTIGA 系列可满足不同安防需求。
田沛灏介绍,OPTIGA 现阶段有四大产品线:入门款 Trust 仅供简易认证,内置凭证密钥,用户可省下密钥管理费用,又可避免先前有监视器业者因爆出漏洞、造成固件被植入木马的连环惨剧;Trust E 具备公钥基础建设 (PKI) 认证,采用椭圆曲线加密技术预先编程;Trust P 可产生并安全储存加密密钥,做单向及双向验证,防止恶意软件攻击并控制存取,以保护软件更新的安全性;最高阶的 TPM 版本是基于"可信任运算集团"(TCG) 国际标准的独立安全芯片,藉由在硬件内建置进阶加密算法,有效保护嵌入式系统的完整性与可靠性。
OPTIGA TPM 芯片已获嵌入式系统安全专业厂商 Mocana 整合至该公司 Security of Things Platform 标准功能,安全密钥、凭证和密码皆被存储在独立于主处理器之外的 TPM 芯片,有效抵御黑客攻击、保护核心智财。"即使账号与密码都比对无误,但平台仍有可能是假冒的!若误导终端使用者错连假平台登录数据或更新程序,可谓后患无穷;而每个 TPM 的凭证都不同,就算极其不幸某一个设备遭到破解,也只限于那一个,不会祸及在外流通的成千上万同类产品",田沛灏最后如此提醒并总结。
图3:英飞凌 OPTIGA 系列为智能家庭提供基础信任解决方案
资料来源:英飞凌
英飞凌日前与中国合作伙伴在北京成立"智慧家庭联网安全开放实验室",成员包括:美的智慧家居、华为消费者事业群、腾讯科技以及隶属于中国工业和信息化部的中国电子技术标准化研究所;作为唯一外资企业的英飞凌,未来在智能家电、乃至于搭载完整操作系统与用户接口的运算装置,如:网关、控制或娱乐系统,会有什么突破式进展?能否在飞快成长的中国智慧家居市场抢得先机?姑且拭目以待。