《深入探讨智能无线连接装置通讯安全》微控产品系统设计二部 部经理 张纹硕
甚么是无线连接装置
举凡两个不同的物理装置间,可以进行联机,无论是实体连接线或是透过无线电波讯号联机,都可称之为联机装置,而如果是透过无线的方式来连接装置,那么就可以称之为无线联机装置。
近年来无线通信技术的发达,愈来愈多的装置都强调无线存取技术,小到常见的无线键盘、鼠标,简报笔,大到无线电话机、无线摄影机,无线开关,智能插座,智能电表等等,在各种不方便连接实体线路的领域,都可以发现无线联机设备,大大提升了人们生活的便利,与减低装置的设置、维护成本。
为什么无线连接装置之间的通讯需要安全
由于整个系统运行,仰赖于各个联机装置的功能,所以除了要能够确保每个装置的正常运作外,也要确保装置与装置间的沟通能够顺畅。同样的,要确保整个系统运作的安全性,除了装置本身要受到良好的保护外,装置与装置间的沟通,也要确保其安全性,如此才能确保装置与装置间的信任关系,从而能够保证整个系统的安全性。尤其对无线传输而言,因为无线电波会有散射在整个空间中的问题,更容易被第三者听取到装置之间的通讯内容,也更容易被第三方绑架双方的通讯,注入恶意的控制讯号与信息,进而影响到整个系统的安全性。因此在享受无线便利的同时,还需要注意系统的安全问题,才能真正无后顾之忧的享受科技带来便利性。
Figure 1. 联机装置系统的安全
联机装置系统的安全性问题
通常一个装置的核心,是由微控制器所构成,而传统微控制器对于系统的安全性保护,局限在于微控制器本身的防护,禁止非授权的内存存取与非授权的系统除错。然而这样的保护机制,在联机架构的装置上并不够安全,因为装置与装置之间的沟通,暴露在微控制器的外部,不可避免地更容易受到攻击,例如无线键盘鼠标系统中,USB Dongle 当作主系统,以键盘、鼠标为其子系统,Dongle 与键盘、鼠标间,以无线讯号做连接,当用户使用键盘鼠标输入数据到个人计算机时,键盘鼠标的信息,就会透过无线讯号,暴露在整个空间中,暴露出来的无线通信,除了可能泄漏出主从装置交换的讯息外,也可能成为被利用来进一步攻击个人计算机的路径。
那么应该要如何做才能防护这样的攻击呢?首先我们必须确认系统中的每一个部份都是可信任的,也就是可信任的装置跟可信任的通讯传输。
可信任的装置
由于大多数的装置都以微控制器为核心,因此我们将各个装置看作一颗独立的微控制器,那么问题就变成,如何保证微控制器所运行的韧体是可信任的,并且这韧体还必须有强健的体质,没有可利用的漏洞来破坏其可信任的性质,而且储存在装置内的数据,是无法被外部窃取的,最后是当系统漏洞真的被发现时,能够透过方便且安全的韧体更新的方式将其修正。
如果整个系统对物理存取的防护能力不足,那么只需一次的物理性存取,即可透过这个漏洞取得通讯加密所使用的密钥 (AES Key),那么将来就可以使用这把密钥来透过无线讯号来侵入系统。
可信任的通讯
可信任的通讯,代表对通讯双方的身分必须要有充分的验证,且通讯过程中的信息应该要足够安全的加密,以保障信息不被窃取。
例如无线装置间如果有配对机制,并在配对时决定将来装置与装置间传输所使用的加密密钥,如果配对机制不够安全,一旦装置配对时的无线通信,被侧录的话,就可以根据侧录的资料,知道加密所使用的密钥,从而用以解密之后装置间的所有加密通讯,进而用其侵入系统
新唐为无线联机装置提供的保护技术
NuMicro M2351是新唐科技针对安全应用领域,开发出来微控制器,除了传统微控制器该有的功能外,更加入 NuSMP (Nuvoton Secure Microcontroller Platform) 技术,提供了一系列的安全功能,提供各种安全机制,这当中包括了有 Root of Trust 技术、TrustZone 保护技术、Read-While-Write 韧体更新技术、签章验证技术、密钥交换技术与通讯加密技术。
针对无线联机中,装置本身的安全问题,除了传统微控制器的内存与除错保护机制,用以阻绝刻录、除错等硬件入侵接口,NuSMP 还提供了 RoT (Root of Trust)、与 TrustZone 的保护机制。
其中 RoT 技术可用来保护韧体的可信任性,让非授权的韧体无法在微控制器内执行。RoT 技术利用微控制器自带的ROM可信任代码,对内部韧体进行包括了签章验证、哈希验证、身分验证等认证机制,其保护使用了 ECC 256 bits 算法,这相当于 RSA 3072 bits 的高安全标准。
而 TrustZone 技术,则可用来加强微控制器对外部路径的隔绝,其原理为将装置的机密核心与对外联机的部分,利用安全区与非安全区的硬件隔绝技术,将其划分开来,例如装置需要透个无线通信,来跟其他装置沟通,透过 TrustZone 技术,可以将装置的机密核心放置于安全区,而无线通信的部分,则放置于非安全区,据此,任何透过外部通讯界面侵入的攻击,都将被限制在非安全区内,进一步确保装置机密核心的安全与可信任性。
当系统的漏洞被发现后,一个安全的系统必须要能够有效率地进行修补,然而以实际产品而言,这必须要以不影响到原有功能的前提下来进行,Read-While-Write 韧体更新技术就是一个能够让系统一面正常工作,同时又能够一面下载修正韧体的功能,并在新的韧体通过签章验证、哈希验证与身分验证后,允许其成为新的系统韧体。
在通讯安全部分,主要有两个部分要克服, 一个是身分认证的问题,另一个是通讯加密。身分认证的问题,NuSMP 提供了 ECC 非对称加密的方式,可要求联机装置提供合法的签章,以供验证其装置的身分 (使用 ECDSA 技术)。至于通讯加密的部分,在签章验证成功之后,联机装置双方,将取得对方的公钥,并据此产生只有双方知道的共享密钥 (使用 ECDH 技术),利用这把密钥可以用其当作是 AES 256 bits 加密密钥,可用来保护双方的初始通讯,并据此重新产生随机产生出一把新的、次次都不一样,只有双方才知道的共享密钥,之后的数据就可以用这把随机共享密钥来加密,并视需求,随时可以重新再产生新的加密共享密钥。除了安全本身,为了避免进行验证与加密,影响到链接建立与传输的速度,NuSMP 提供了硬件的 ECC 与 AES 加解密加速器,让整个系统的效率,并不会因为安全性的增加而有太大影响。
结论
NuMicro M2351是因应万物联网时代所需的微控制器,对所有用其开发出来的产品,希望提供各种便利性之外,也保障安全性,使用户能够享受到无后顾之忧的便利产品。为此,M2351除了具备传统微控制器稳定、功能强大,使用简单的特性外,还引入了NuSMP提高系统安全所需的各种技术,在层层的防护下,让终端产品可以更安全。所有的安全技术都有完整的文件与范例,让设计一个安全的产品,变得跟开发微控制器其它应用一样方便快速。
|