物聯網應用已然成為科技產業中不可或缺的一環,各類中長程的無線連網技術如雨後春筍般出現,但相對的,也衍生資安方面的技術議題需要探討。觀察目前物聯網的資安事件,絕大多數的攻擊從大量節點設備或與後端平台的連線弱點著手,因此如何確保兩端訊息的可信度與完整性,成為物聯網安全機制的設計重點之一。
在這個萬物連接的城市裡, 你確定每個設備都能提供足夠的資訊安全保護嗎?
晶片功能是與市場需求緊密連結的,趕不上時間的產品要賠掉的成本會很高,市場需求一旦出現,如何迅速佔領市場是很重要的,與快速搶到市場佔有率並大幅增加營收的成功率息息相關。要贏得消費者,在這個需求快速變化的市場上,產品更新換代時間點抓緊很重要,產品可以預先考慮功能的新趨勢,進入市場越早,贏得的利潤時間越長,獲取總利潤也就越多。
TLS (Transport Layer Security,傳輸層安全性)
- 是更新、更安全的 SSL 版本。我們仍將安全性憑證稱為 SSL,因為這是較常用的詞彙,不過當您透過DigiCert購買 SSL 時,您所購買的其實是最新的 TLS 憑證及 ECC、RSA 或 DSA 的加密選項
CC(Common Criteria,共同準則)
- 是針對資訊相關硬體及軟體等產品的安全評估認證標準,可提供用戶一個共通的安全性參考。
EAL (Evaluation Assurance Level, 評估保障等級)
- 以數值方式來針對評估的深度以及嚴謹性進行評比。每一個EAL會對應一系列的安全保障需求(SAR),這些安全保障需求包括了產品完全開發的過程,有一定的嚴謹性。共同準則中列有七個等級,其中的EAL 1是最基礎的(不論檢測或是評估費用都較低),EAL 7最嚴格(費用高且檢測時間長)
TCG (Trusted Computing Group,可信運算組織)
- TCG是一個非營利組織,致力於定義並推廣世界共通的標準規範,其推動在計算和通信系統中廣泛使用基於硬體安全模組支持下的可信計算平台,並制定了包括多種安全產品(如TPM)的規範或架構,以提高整體的安全性。
FIPS (Federal Information Processing Standards,美國聯邦資訊處理標準)
- 聯邦資訊處理標準 (FIPS) 發佈140-2 是一種美國政府標準,可定義資訊技術產品中的加密模組最低安全性需求, FIPS 140-2 的安全性需求涵蓋11個與加密模組設計及實施相關的區域。 NIST Information 技術實驗室會運作相關的程式,以驗證模組中的 FIPS 核准的加密演算法
意法半導體所推出的STSAFE-A110資安晶片為”保障安全”而生,資安防護等級為EAL5+,支援目前市場上使用率高的ECC及AES演算法,並進一步為了滿足客戶的資安需求,提供晶片的個人化服務。STSAFE-A110於ST自有並通過安全認證的工廠量產,在出廠前燒錄並內建在該晶片中的憑證;若客戶欲使用安全連接AWS或Azure並大量自動化註冊設備的功能,ST也可以為客戶燒錄AWS及Azure相容的憑證。選用通過高安全認證並提供個人化服務的STSAFE-A110,客戶在量產時可無後顧之憂,不用擔心金鑰保存、外包或代工廠燒錄是否安全的疑慮。STSTAFE-A110 可幫助客戶從生產環節到產品功能,達到全方位的高強度資安防護。
STSAFE-A110特點:
- 使用在安全認證工廠內燒錄的憑證進行身份驗證
- 安全通道建立 (TLS)
- 安全的數據儲存
- 簽名驗證
- CC EAL5+ 通用標準安全認證
How to easily integrate strong authentication using STSAFE-A110
Discover the STSAFE Family
A scalable offer for secure and certified authentication
STSAFE-A110應用案例?
安全監控的應用逐漸廣泛,無論是城市中的公共空間或企業大樓、工廠廠房,都不難見到運作中的攝影機。過去安全監控攝影機多為封閉式系統,隨著網路時代的來臨,IP攝影機逐漸成為主流,相較以往封閉式架構安全監控系統,IP攝影機可透過連網機制賦予影像更多應用範圍,業者也可經由網路設計快速提升管理效益。不過在強化效益的同時,IP攝影機也因為連網功能讓有心人士有機可乘,在此態勢下,IP攝影機的安全問題就浮上檯面。 網路安全監控系統的資安設計過去一直被忽視,也因此在駭客眼中,此一漏洞百出的系統成為最易入侵的選擇。
尤其是IP攝影機,不僅位於無人看管的戶外,且系統未有相關防範措施,被駭的機率大幅升高,舉例來說,前幾年出現某國的大量IP攝影機成為駭客DDoS(阻斷攻擊)的跳板而不自知。就在被駭事件不斷出現後,市場開始意識到IP攝影機資安的重要性。 要強化IP攝影機的資安防護機制,可導入ST的STSAFE-A110。此晶片具備先進的標準認證的安全保護功能,可為用戶安全載入與雲服務業者相容之證書的服務,能夠使用戶確保只有如IP攝影機之類的授權連網裝置,連上線上服務,並可自動大量註冊裝置到提供此服務的雲端,為用戶節省生產及初始化所需的程序並解決潛在的安全問題。
近年來物聯網快速普及,物聯網不僅運作節點數量更多、設置地點更廣泛,運算架構也更多元,在此態勢下,要打造出高安全等級系統的難度相當高,ST所推出的STSAFE-TPM系列晶片,客戶可輕易的為其產品部署標準化可信賴平台。
STSAFE-TPM設計出能夠儲存系統驗證所需的金鑰等安全資料,並採用經過市場檢驗的資料安全方法,例如防篡改、記憶體保護和資料監視防禦,藉此符合可信賴運算組織(TCG) TPM 1.2和TPM 2.0 Protection Profiles、安全評估共同準則EAL4+等級(CC EAL4+)和美國聯邦資訊處理標準(FIPS)140-2等業界公認的安全標準。
STSAFE- TPM特點:
- 與Raspberry Pi®相容的擴充板
- 使用者可於Linux作業系統進行整合測試
- 可達到確保資料完整性、防偽、確認設備驗證、訊息簽名,以及進行安全更新等功能
- 可快速打造高度安全的物聯網系統,也讓產品更具市場競爭力
STSAFE-TPM應用案例?
觀察目前物聯網的資安事件,除了從攻擊大量節點設備或與雲端的連線弱點著手外,對於如閘道器、路由器、交換器等網通設備內的安全架構設計,也逐漸成為廠商在設計階段的關注焦點之一;確保網通設備內的系統安全,也是在整個物聯網安全機制中不可或缺的一環。絕大多的網通設備都是基於Linux的作業系統架構,ST提供使用者與Raspberry Pi®相容的擴充板,讓使用者更易於Linux作業系統進行整合測試。
STSAFE-TPM解決方案經由相關軟體元件的整合後,可達到確保資料完整性、與防偽、確認設備驗證、訊息簽名,以及進行安全更新等功能。透過STSAFE-TPM的完善機制,使用者可快速打造高度安全的物聯網系統,也讓產品更具市場競爭力。 如果你正在用Amazon Web Services™ , 可以將 AWS™ IoT Greengrass 集成到一個 Raspberry Pi® 3B+ 與 ST33TPHF2XSPI 或 ST33TPHF2XI2C 可信平台模組 (TPM) 2.0 設備 以增加競爭力。
ST33TPHF2XSPI 與 ST33TPHF2XI2C TPM 功能:
(與ST33TPHF2XSPI合併, 其為同款晶片, 僅有通訊介面差異)
- 支援SPI或I2C介面
- 屏蔽和環境傳感器
- 監測環境參數(功率)
- 硬件和軟件保護,防止故障注入
- 基於Flash的可信平台模組 (TPM)
- 符合可信計算組 (TCG) 可信平台模組(TPM) 規範2.0, Level 00, Revision 159 和 TCG PC Client specifications 1.05 rev.14
- 符合 FIPS 的 RNG,建立在符合 SP800-90A 及AIS-20的DRBG 與符合 SP800-90A及AIS-31 的真隨機數發生器 (TRNG) 上
- 韌體加載容錯程序,可在加載過程中斷時保持 TPM 完全正常運行(自我恢復)
- 符合 SP800-193 的保護、檢測和恢復要求
- 目標認證:
- 根據TPM 2.0 Protection Profile(AVA_VAN.5,抗高潛在攻擊)的CC EAL4+認證
- FIPS 140-2 2 級(物理安全級別 3)
- TCG認證
