IoT Security MCUs 應用在新興物聯網裝置設計上的重要性分析

作者：來源: 發(fā)布時間：2021-12-27 瀏覽：9

近年來物聯網 (Internet of Things) 的蓬勃發(fā)展，有關物聯網的議題如雨后春筍般浮上臺面，這當中有關資安的議題正是被廣泛討論的其中一項。雖然資安問題看起來非常龐大與復雜，但實際上有些做法與規(guī)范可以參考過去的互聯網經驗，并以其為基礎進而發(fā)展成完善的管理機制；筆者認為要實現完整的物聯網安全要考慮的是一個從端到端 (end-to-end) 的整體系統問題，本篇文章將以一份出自于瑞典皇家理工學院（瑞典語：Kungliga Tekniska högskolan，縮寫為KTH）公開的專業(yè)報告[1]，題目為：Potential Security Risks in Google Nest Indoor Camera（中文參考翻譯：Google Nest Indoor Camera潛在的資安威脅）所整理出來的威脅模式為例來說明如何實現IoT Security的功能以協助連網裝置能夠避免大部分已被分類出來的物聯網安全弱點，并賦能以微控制器為主的設計主體能夠實現物聯網裝置的應用安全。

OWASP (Open Web Application Security Project)

在前面提到的該份報告，基本上是參照了開源社群的項目OWASP的整理所定義出的連網應用所面臨的一些資安威脅項目，這些項目都是開源社群長期累積出來并且還有進行分類的匯整，文中談到了OWASP Top 10 2017 [2] (2017版本項目和2021有些許不同，本文采用2021版本用詞)，也提到了業(yè)界存在的一些分析連網裝置可能遭受的資安威脅所采用與評估方法，例如：Weave[3]: 一個通訊協議用以支持符合低功耗、具使用功能彈性和提供連網安全解決方案的做法; S.T.R.I.D.E[4]: 一項由微軟的工程師所提出預先針對資通訊產品可能遭受到的資安威脅項目; DREAD[5]: 一種風險程度分類方法，主要是針對當分析出系統有資安漏洞后，對有心利用這些漏洞所可能造成的損害程度做分類。若以連網裝置為中心來看，例如皇家理工學院的報告所提到的Google Nest Indoor Camera，其真正有關聯整理出來的有三項：Cryptographic Failures、Injection、Identification and Authentication Failures。筆者將會根據報告所列出的攻擊方法與所提到資安評估方法做出詳細的對照說明，可以當作一個連網裝置在產品設計時間時的一種資通安全保障的評估參考方法。另特別申明，筆者并不針對該報告后半部所述的測試結果予以評論，畢竟并沒有照著該報告進行相同的測試，但其所提出的資安評估方法是適合用于分析采用MCU或MPU開發(fā)出的連網裝置的安全功能是否能提供物聯網產品所能提供的應用必須要提供的資安保障方法，可拿來當作于連網產品設計規(guī)劃階段的預先系統資安風險評估工具，詳如表一的說明。

表一：物聯網產品資安問題分析表

建立物聯網產品潛在資安威脅分析模型

在表一的說明內容里，看似有非常多的項目，但我們可以進一步的說明想要闡述的分析行為如下圖。

圖一：連網裝置資安威脅分析模型范例

依威脅分析的結果或是在列出可能的攻擊方法后選定產品可行采用的MCU/ MPU

當根據圖一所示的資安威脅分析模型對所欲制作的產品或是已完成的產品進行分析時，可以預先了解到所欲設計生產的連網產品必須要事先防范的資安問題，或者是進行裝置原型設計完成后的滲透測試分析。在這過程中，產品的主控芯片，不管是MCU (微控制器) 或MPU (微處理器) ，無疑是電子技術部份的核心考慮，本文提出的方法，可以讓讀者有一個簡單的產品潛在資安威脅分析依循，除非產品本身已被要求必須進認證實驗室拿到確定的認證，這個方法不失為一個資安威脅評估參考方法。再者，可以利用這方法，做為挑選MCU或MPU解決方案的依據。新唐由M2351、M2354所開展出的IoT Security特色功能的產品，通過依循Arm與主流業(yè)界生態(tài)公司支持的Arm PSA認證，在產品設計時間就終端連網裝置開發(fā)客戶預先設想到產品應用的場景需要的安全功能，并附上相關的配套軟件服務，可以大幅減低產品開發(fā)商在資安議題上的負擔，是市場上最佳的的物聯網裝置開發(fā)可采用的解決方案之一。

References

[1] http://kth.diva-portal.org/smash/record.jsf?pid=diva2%3A1464437&dswid=-8855

[2] (2017) Top 10 web application security risks. [Online] website: https://owasp.org/www-project-top-ten/

[3] OpenWeave. (2018) What is weave. [Online] website:

https://openweave.io/guides/weave-primer

[4] L. Kohnfelder and P. Garg, “The threats to our products,” 1999.

[5] J. Meierm, A. Mackman, M. Dunner, S. Vasireddy, R. Escamilla,

and A. Murukan, Improving Web Application Security: Threats and

Countermeasures. Microsoft Press, 2003, ch. 3.

編輯：zzy 最后修改時間：2021-12-27

日本高清不卡中文字幕-一起草草视频在线观看-亚洲精品一区二区三区色-国产亚洲精品免费视频

IoT Security MCUs 應用在新興物聯網裝置設計上的重要性分析

相關文章

熱銷產品