Embed Size (px)
Citation preview
1
IoT資安技術說明
中華電信研究院
資安所
2018/08/15
2
前言
IoT 資安議題
IoT資安研發技術
IoT終端設備資安防護之實作介紹
3
前言
前10個最易受攻擊的IoT標的
國際IoT安全對策
GSMA IoT Security Guideline
IoT 資安議題
IoT資安研發技術
IoT終端設備資安防護之實作介紹
4
1. 工業設備
2. 智慧汽車
3. IP 視訊設備
4. 政府安全設備
5. 智慧電網
6. 智慧建築
7. 智慧城市
8. 醫療設備
9. 航空運輸
10. 電子零售
http://www.ioti.com/security/10-most-vulnerable-iot-security-targets
Jul 27, 2016
5
2017年8月美國參議院提出物聯網網路安全改善法案(Internet of Things Cybersecurity Improvement Act of 2017) 希望藉由聯邦政府的採購力量,讓製造商自主在IoT產品中建立包括:裝
置提供漏洞修補機制、不得使用固定密碼及含有任何已知漏洞等基本網際安全措施
2016年11月美國國土安全部發表《保護物聯網安全策略準則》 呼籲廠商重視IoT產品安全,建議以安全為優先原則, 在IoT裝置設計階段
就應考量安全問題、改善安全更新 與漏洞管理機制、建立可靠產品安全機制、推動IoT生 態體系的透明化等。督促業者從IoT產品的開發、生產 、導入到使用都能確保安全性
2016年5月國際電腦安全協會(ICSA Labs)發表物聯網裝置的安全測試專案 全球第一個IoT安全驗證計畫,測試IoT裝置的六大元件,包括:警報/記
錄、加密、認證、通訊、實體安全性及平台安全性,通過認證的裝置將可取得ICSA Labs的標誌,而更重要的是,就算已取得認證,也必須在裝置生命週期內定期檢驗,以持續改善裝置的安全性
6
平台應用服務 終端生態系統 網路運營商
物聯網安全指南
v2, 2017/10
主要倡導發展安全物聯網服務的方法,意在確保整個服務週期實施最佳安全實踐
GSMA, Groupe Speciale Mobile Association 係由電信業者組成協會
7
前言
IoT 資安議題
IoT 資安議題
IoT資安風險概況
IoT資安研發技術
IoT終端設備資安防護之實作介紹
8
殭屍網路Mirai造成多起大規模DDoS攻擊事件,最高攻擊流量甚至超過1Tbps,超越過去10年來DDoS攻擊最高流量紀錄
利用 IPCAM、CCTV、DVR 等 IoT 終端設備進行 DDoS 攻擊
2017/10迄今,觀察到多種殭屍網路Mirai的變型,包含IoT Reaper / IOTroop, Satori, Okiru, Masuta, PureMasuta, OMG, …
IoT 資安由傳統資安議題延伸到IoT終端設備
IoT資安的威脅並不只有在傳統的伺服器、PC 與網路設備。資安威脅延伸到IoT終端設備上
傳統的伺服器、PC 與網路設備之資安議題,已有成熟的防範措施與規範
IoT 終端設備的安全性為開發廠商、系統整合商與使用者需要處理的首要議題
傳統資安議題
Application Layer (IoT 應用)
Service Layer (IoT大平台)
Network and Connection Layer (網路傳輸)
IoT終端設備
新的資安議題
9
User
APP
IoT Platform
Gateway
Device
IoT System
Wi-Fi, ZigBee, Bluetooth, Wired
Fixed, WiFi, 3G/4G/5G
Fixed, WiFi, 3G/4G/5G
Fixed
不足的身分認證與授權 不安全的網路服務 隱私考量 不安全的雲端介面 安全設定不足 不安全的軟體/韌體 實體安全不足
不安全的網路介面 不足的身分認證與授權 隱私考量 安全設定不足 不安全的軟體/韌體
缺乏傳輸加密保護 不安全的行動介面
TAICS IPCAM 資安標準 (國內) 實體安全 系統安全 通訊安全 身分鑑別與授權機制安全 隱私保護
傳統資安風險
1.不安全的網路介面 2.不足的身分認證與授權 3.不安全的網路服務 5.隱私考量 8.安全設定不足 9.不安全的軟體/韌體 10.實體安全不足
OWASP IoT TOP10
(2014)
新資安風險
10
前言
IoT 資安議題
IoT資安研發技術
IoT資安研發規劃
中華IoT Security 解決方案
IoT大平台 On-Site CA 與憑證安裝
IoT終端資安防護說明
硬體Secure Element元件架構
Secure Element 可提升IoT安全
IoT終端設備資安防護之實作介紹
11
IoT應用
• 使用資安偵測、資安防護、資安檢測等三項資安功能,建構出IoT環境整體安全,以提昇本公司IoT服務的競爭力
• 提供PKI資安雙向認證技術、IoT裝置資安防護技術,
以確保IoT通訊環境的安全
• 導入認證機制、安全加密通道、身份存取控制、資
料儲存與管理、重要程式之開機合法性檢驗,與白
名單機制等等
資安防護
• 對IoT裝置、IoT大平台、IoT應用提出對應的檢測方
案,提前發現安全漏洞與提高IoT生態系統的安全性
• 主要檢測項目有主機安全、應用程式安全、資料庫
安全、網路安全、IoT裝置安全
資安檢測
• 建置IoT資安監控中心,提供事件鑑識分析,讓駭客
行蹤無所遁形
• 以日誌、流量及行為三大面向,進行完整全方位資
安監控
資安偵測
3G/4G/Wi-Fi/ NB-IoT Network
IoT大平台
IoT裝置
資安 防護
資安 檢測
資安 偵測
Internet/intranet
12
User
APP
IoT智慧聯網平台
Secure Gateway (包含Secure Element)
Device/Sensor
IoT System
ZigBee,
Bluetooth,
Wired
Fixed, Wi-Fi,
3G/4G/5G
Fixed, Wi-Fi,
3G/4G/5G
Fixed
Internet
Intranet
巨量資料APT解決方案EyeQuila
Series
裝置資安監控與分析
(Embedded Linux…)
資安監控中心
TLS VPN
TLS VPN
客製化加密 (較低階終端)
IP白名單 開機合法性檢驗 帳戶安全性管理
客製化PKI模組
PKI憑證
TLS模組
驗證模組
IoT On-Site CA
發行憑證(CA)
元件登錄認證(RA)
線上查核身份(VA)
• PKI雙向認證技術 • TLS 資料傳輸加密技術
北向介面
南向介面
13
Gateway/
Device #1
Manager
IoT智慧聯網平台
Internet
Gateway/
Device #2
Manager
Internet
MQTT/TCP
MQTT/TLS HTTPS
C++/ATOP Java/x86
② Request 憑證
& Download
⑤ Verify 憑證
④ Install 憑證與
Private Key
Register Authority
Certification Authority
Validation Authority
元件登錄認證
發行憑證
線上查核身分
IoT PKI 服務
①登錄註冊
IoT 服務平台建置 On-Site CA 之IoT PKI服務,提供簡易流程服務
③ Download
憑證 & Private Key
SDK for TLS & Authentication
PKI Lib
提供PKI資安雙向認證與TLS VPN連線技術,以達到裝置的合法性確認與資料安全傳輸
提供硬體HiKey或是Secure Element元件,進行金鑰與憑證的安全儲存,可防止設備被偽造、韌體被篡改
On-Site CA
14
提供設備資安防護功能,防止設備被攻擊,例如防止設備非法連線、防止重要程式被破壞/修改、提升密碼強度
資安防護技術 白名單檢驗
重要程式之開機合法性檢驗
終端設備之使用者帳戶安全性管理
PAM通行碼管制功能
IoT 終端設備
Secure Element
資安防護技術 • 白名單檢驗(防火牆) • 重要程式之開機合法性檢驗
• 終端設備之使用者帳戶安全性管理
• PAM通行碼管制功能
15
Support RSA 2048 & ECC 256 bit asymmetric cryptography key length
Unique asymmetric key pair per chip
AES 128, 192 and 256 bits Session key generation algorithm
Support SHA2 hash algorithm
Support CA Certificate
Crypto Library for Secure Applet
Support Device Authenticate
ISO 7816, SPI, SWP & USB Interface
OTA Provision Control module for Secure Application & SIM Profile
Secure Chip
& Storage
Embedded OS
Crypto Resource
SPI, SWP… Interface
16
Secure Element 從軟體安全提升到硬體安全 Software
17
前言
IoT 資安議題
IoT資安研發技術
IoT終端設備資安防護之實作介紹
IoT終端設備資安防護說明
概述
特色
用法
與IoT大平台之關聯
18
IoT終端設備資安防護說明
本技術
屬IoT大平台上之裝置連網管理(平台核心)相關服務
可透過IoT大平台上之南向介面、裝置連網管理模組與北向介面等,提供IoT裝置終端資安防護應用
19
概述APP
IoT智慧聯網平台
終端設備 (Gateway)
Sensor
Internet
IoT On-Site CA
發行憑證(CA)
元件登錄認證(RA)
以IoT大平台與終端
設備間之PKI資安
雙向認證技術,提
供終端設備資安防
護,確保IoT通訊環
境之整體安全
線上查核身份(VA)
TLS VPN
TLS VPN 資安防護SDK 白名單檢驗 重要程式之開機合法性檢驗
網路防火牆
客製化加密 (較低階終端)
PKI憑證 TLS模組 認證模組
Fixed, Wi-Fi, 3G/4G/5G
ZigBee, Bluetooth, Wired
PKI憑證 TLS模組 認證模組
Secure Element
USER
PKI:Public Key Infrastructure TLS: Transport Layer Security
HiKey
Secure Element
20
特色
建立PKI雙向認證技術與TLS連線,以達到裝置的合法性確認,與保證兩個設備間通訊的保密性和資料完整性
設備安裝資安防護功能,可以防止設備被攻擊,例如設備無法正常提供服務,重要資料被竊取、破壞/修改,重要程式被破壞/修改
Internet
Sensor
Internet
改善前: Internet 資料未加密,駭客可以竊取機密、攻擊設備
終端設備 (Gateway)
IoT智慧聯網平台
IoT智慧聯網平台
Sensor
終端設備 (Gateway)
資安防護SDK
改善後: Internet 資料已加密,駭客無法竊取機密、攻擊設備
21
用法 樹莓派整合HiKey之PKI雙向認證技術
與TLS 連線
1. 安裝樹莓派之雙向認證SDK
2. 於 IoT 大 平 台 申 請 PKI 憑 證 , 並 下 載 儲 存 至
HiKey
3. 樹莓派之加密傳輸程式,會使用HiKey中的PKI
憑證,來進行資料加密及建立TLS連線
4. IoT大平台接收到裝置的憑證與加密資料,會
呼叫CA Server確認憑證合法性,來完成雙向
認證服務,再進行資料解密
5. 拔除HiKey,IoT大平台不允許樹莓派上傳資料
高安全的資安防護功能
6. 安裝樹莓派之資安防護SDK
7. 樹莓派設備發現IP白名單與重要程式被竄改時,
會即時傳送警示信息到 IoT大平台與e-mail客
戶,提供客戶即時知道警示發生
IoT智慧聯網平台
樹莓派Gateway
TLS/雙向認證
元件登錄認證
發行憑證
線上查核身份
On-Site CA Server
2
憑證
3
4
缺少憑證則 無法上傳資料
WEB Server
5
雙向認證SDK
資安防護SDK
1
6
平台之專案
7
加密傳輸程式 TLS Agent
HiKey
22
與IoT大平台之關聯 使用IoT大平台之資源
取得IoT大平台資源方式
資源分類 名稱 如何取得
文件 資安PKI雙向認證服務使用說明
IoT大平台網站開發者中心-資安PKI服務說明 https://iot.cht.com.tw/iot/developer/case
程式 資安防護SDK/範例程式
IoT大平台網站開發者中心-資安防護SDK說明 https://iot.cht.com.tw/iot/developer/case
利用IoT大平台下載合法的憑證
利用 DMP 設備連網管理功能,將終端設備資料上傳至平台儲存
利用IoT大平台提供的認證與安全連線模組,進行PKI雙向認證與TLS VPN連線
23
www.cht.com.tw
1. 本報告內含本院蒐集整理的資料與本公司營業秘密,請謹慎使用。非經許可,請勿外洩給公司以外人員。
2. 本報告內資料均有時效性,同仁引用時請註明出處與日期。
