产品安全认证机构UL与产业组织MIPI Alliance正各自为推动更安全的物联网(IoT)而尽力;UL期望能在今年底公布物联网网关安全标准,以及一套消费性物联网产品的软件安全性的最佳实践范例,此外其目标是在明年首度发起针对物联网硬件安全性的行动。
至于MIPI Alliance则是呼吁厂商们加入一个新成立的物联网安全性工作小组,并计划在今年针对横跨汽车、手机与物联网设备等采用MIPI互连的系统,发表安全性架构草案。
然而有部分产业专家认为,目前关于物联网安全性的行动远远不够;如美国哈佛(Harvard)大学讲师、安全专家Bruce Schneier,在去年11月美国发生大规模Mirai网络袭击之后的一场国会听证会上表示:“法规是必须、重要而复杂的,也会来临;我们不能等到一切已经太晚、无法承担忽视这些问题之后果的那时候。”
Schneier认为,消费者通常不会愿意为了安全而花更多钱,但:“政府能强制物联网设备制造商遵守最低限度的安全标准,要求他们保障设备的安全性,就算消费者不在乎;政府机关可以要求制造商负起责任…细节需要谨慎思考,但无论是哪一种方法,都应该要提高设备若不安全可能带来的成本,让厂商有花钱保障设备安全性的动机。”
事实上,目前只有两家厂商已经取得第一版UL 2900网络安全标准认证,此标准是UL在2016年4月发布;不过UL表示,还有更多产品目前正准备通过认证程序。
UL的安全性首席工程师Ken Modeste表示:“有部份产业已经相当成熟,有专门的网络安全团队能快速反应;但其他厂商如创新消费性物联网业者却还不够成熟,可能只有一个人在负责因应安全性问题并寻找指导原则。”
在此同时,UL也将2900标准扩展至包括各种访问控制、大楼自动化等设备;目前有10家厂商正参与拟定UL的消费性物联网最佳实作准则,以及物联网网关规格细节,预期在近期可以公布。Modeste表示,UL认为建立安全性标准是一个长期性任务,需要花费许多年时间才能建立因应大多数网络安全风险的框架,虽然不是万灵丹,但能做为一个基础。
而Modeste也指出:“对硬件安全性的需求变得越来越普遍,因此我们的目标是在明年中展开相关行动;我们在支付终端以及汽车应用方面已经有一些硬件计划,目标是找到一个方法因应所有的硬件。”
UL的硬件安全性计划可能是尝试建立一个针对设备如何使用密码以及密钥来储存、存取数据的认证程序;Modeste表示:“我们欢迎与相关领域的厂商们合作,”他并指出需要包括汽车、FPGA与微控制器等领域的硬件专家共襄盛举。
MIPI发起成立物联网安全性工作小组
MIPI Alliance最近公开呼吁业界厂商加入一个新的安全性工作小组,目前小组成员已经包括Qualcomm、Robert Bosch、STMicroelectronics与Synopsys等大厂。
该工作小组的目标是在今年底之前,开发一个概述布署MIPI互连之安全性目标与威胁模式的框架;正在探索的领域包括端点身分识别(endpoint identity)、感测与生物特征数据,以及针对汽车、可穿戴设备与销售终端设备等产品的受保护内容。
MIPI之安全性工作小组主席Enrico Carrieri接受EE Times电子邮件采访时表示,该小组并不打算着墨诸如加密算法等规格,因为不同市场都有不同的、相互竞争的需求;小组的工作成果将会与现有MIPI兼容性测试整合。
除了MIPI之外还有许多单位在尝试推动物联网安全性,如美国国家标准技术研究所(National Institute for Standards and Technology)正在与产业顾问合作,在在线教育工程师如何采用ISO/IEC 27002/27019、NIST IR 7628与IEC 62443-3-3等标准。
在英国,一场于2015年5月举行的物联网安全性高峰会上,研究人员破解了Enigma密码机并协助成立了物联网安全性基金会(IoT Security Foundation,IoTSF);目前该组织成员包括ARM、华为(Huawei)、IBM、Infineon、Intel、NXP与Vodaphone等大厂,并与来自南美、澳洲等地的专业人员连结。
ARM Design Start致力于设计最安全的物联网SoC
IoTSF的目标是成为最佳实践的信息交换中心,能提供成员简易、快速使用并经常指向外部资源;该组织在去年12月发布了第一套最佳实践准则,并正在探索如何与UL、TUV Rheinland等机构合作建立认证程序的方法。
另一个IoTSF的工作小组正在尝试定义自我认证标准,还有其他人正在打造物联网安全性的轮廓,并寻求补救现有设备以及在发现漏洞时提出报告的方法;有一位小组领导人最近在EE Times美国版网站上留言,表示:“物联网安全性是一个邪恶的挑战,没有通用的解决方案而且是比纯粹技术性需求更广大的问题。”
此外如笔者先前的文章所提到,Cloud Security Alliance有一个物联网工作小组正在定义最佳实践,不过看来并没有建立认证程序的计划;工业因特网联盟(Industrial Internet Consortium)则于去年发表了一套安全性框架,但不着墨消费性物联网领域。
Online Trust Alliance已经发表第二版的物联网信任框架(IoT Trust Framework);在今年稍早,AT&T、IBM、Nokia等厂商则是成立了 IoT Cybersecurity Alliance,是另一个关于物联网安全性的资源。
编译:Judith Cheng
本文为《电子工程专辑》原创,版权所有,谢绝转载
关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。
