IoT Security MCUs 应用在新兴物联网装置设计上的重要性分析
近年来物联网 (Internet of Things) 的蓬勃发展,有关物联网的议题如雨后春笋般浮上台面,这当中有关资安的议题正是被广泛讨论的其中一项。虽然资安问题看起来非常庞大与复杂,但实际上有些做法与规范可以参考过去的互联网经验,并以其为基础进而发展成完善的管理机制;笔者认为要实现完整的物联网安全要考虑的是一个从端到端 (end-to-end) 的整体系统问题,本篇文章将以一份出自于瑞典皇家理工学院(瑞典语:Kungliga Tekniska högskolan,缩写为KTH)公开的专业报告[1],题目为:Potential Security Risks in Google Nest Indoor Camera(中文参考翻译:Google Nest Indoor Camera潜在的资安威胁)所整理出来的威胁模式为例来说明如何实现IoT Security的功能以协助连网装置能够避免大部分已被分类出来的物联网安全弱点,并赋能以微控制器为主的设计主体能够实现物联网装置的应用安全。
OWASP (Open Web Application Security Project)
在前面提到的该份报告,基本上是参照了开源社群的项目OWASP的整理所定义出的连网应用所面临的一些资安威胁项目,这些项目都是开源社群长期累积出来并且还有进行分类的汇整,文中谈到了OWASP Top 10 2017 [2] (2017版本项目和2021有些许不同,本文采用2021版本用词),也提到了业界存在的一些分析连网装置可能遭受的资安威胁所采用与评估方法,例如:Weave[3]: 一个通讯协议用以支持符合低功耗、具使用功能弹性和提供连网安全解决方案的做法; S.T.R.I.D.E[4]: 一项由微软的工程师所提出预先针对资通讯产品可能遭受到的资安威胁项目; DREAD[5]: 一种风险程度分类方法,主要是针对当分析出系统有资安漏洞后,对有心利用这些漏洞所可能造成的损害程度做分类。若以连网装置为中心来看,例如皇家理工学院的报告所提到的Google Nest Indoor Camera,其真正有关联整理出来的有三项:Cryptographic Failures、Injection、Identification and Authentication Failures。笔者将会根据报告所列出的攻击方法与所提到资安评估方法做出详细的对照说明,可以当作一个连网装置在产品设计时间时的一种资通安全保障的评估参考方法。另特别申明,笔者并不针对该报告后半部所述的测试结果予以评论,毕竟并没有照着该报告进行相同的测试,但其所提出的资安评估方法是适合用于分析采用MCU或MPU开发出的连网装置的安全功能是否能提供物联网产品所能提供的应用必须要提供的资安保障方法,可拿来当作于连网产品设计规划阶段的预先系统资安风险评估工具,详如表一的说明。
表一:物联网产品资安问题分析表
建立物联网产品潜在资安威胁分析模型
在表一的说明内容里,看似有非常多的项目,但我们可以进一步的说明想要阐述的分析行为如下图。
图一:连网装置资安威胁分析模型范例
依威胁分析的结果或是在列出可能的攻击方法后选定产品可行采用的MCU/ MPU
当根据图一所示的资安威胁分析模型对所欲制作的产品或是已完成的产品进行分析时,可以预先了解到所欲设计生产的连网产品必须要事先防范的资安问题,或者是进行装置原型设计完成后的渗透测试分析。在这过程中,产品的主控芯片,不管是MCU (微控制器) 或MPU (微处理器) ,无疑是电子技术部份的核心考虑,本文提出的方法,可以让读者有一个简单的产品潜在资安威胁分析依循,除非产品本身已被要求必须进认证实验室拿到确定的认证,这个方法不失为一个资安威胁评估参考方法。再者,可以利用这方法,做为挑选MCU或MPU解决方案的依据。新唐由M2351、M2354所开展出的IoT Security特色功能的产品,通过依循Arm与主流业界生态公司支持的Arm PSA认证,在产品设计时间就终端连网装置开发客户预先设想到产品应用的场景需要的安全功能,并附上相关的配套软件服务,可以大幅减低产品开发商在资安议题上的负担,是市场上最佳的的物联网装置开发可采用的解决方案之一。
References
[1] http://kth.diva-portal.org/smash/record.jsf?pid=diva2%3A1464437&dswid=-8855
[2] (2017) Top 10 web application security risks. [Online] website: https://owasp.org/www-project-top-ten/
[3] OpenWeave. (2018) What is weave. [Online] website:
https://openweave.io/guides/weave-primer
[4] L. Kohnfelder and P. Garg, “The threats to our products,” 1999.
[5] J. Meierm, A. Mackman, M. Dunner, S. Vasireddy, R. Escamilla,
and A. Murukan, Improving Web Application Security: Threats and
Countermeasures. Microsoft Press, 2003, ch. 3.
编辑:zzy 最后修改时间:2021-12-27
