帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
運用軟硬體整合成效保護網路設備安全
 

【作者: 英飛凌科技提供】   2021年06月15日 星期二

瀏覽人次:【7680】

為滿足當今商業、工業和政府網路的信任度與安全性要求,本文敘述英飛凌和Mocana如何整合可信賴平台模組硬體和軟體,並採用TCG技術,進而實現保護網路設備的安全性,以及接下來所需展開的相關步驟。


電腦、伺服器及其操作人員一度是攻擊者的主要目標。如今,由於網路連線性和對網路的依賴性不斷增強,網路設備進而成為常見的網路攻擊目標。因此, 那些不受保護的路由器、交換機、防火牆、閘道和無線連接點便成為了攻擊者的目標。


可信賴運算組織(TCG)在《使用TCG技術保護網路設備安全指南》中,介紹架構師和設計人員對這些設備進行保護的方法[1]。儘管這份TCG檔提供了理論依據,但要實現這種保護,還需要付出更多的努力。英飛凌的OPTIGA 可信賴平台模組(TPM)硬體和Mocana TrustPoint 軟體採用TCG檔中介紹的技術,實現了增強版的保護,旨在保護網路設備的安全性。本文敘述為滿足當今商業、工業和政府網路的信任度與安全性要求,接下來所需展開的步驟。


可信賴標準

可信賴運算組織由運算、網路、軟體和其他安全專家組成,近二十年來致力於開發開放性標準。其初始標準是基於一個被稱為「可信賴平台模組(TPM)」的硬體元素。TPM提供了基於硬體的信任根,比單純的軟體方法更具抗攻擊性。如今,隨著最新的TPM 2.0規範的推出,TPM已支持五種不同的形式,其中最常見的是專用硬體式安全晶片。


TPM 和網路設備

TCG TPM 2.0 於2016年發佈,現已成為國際標準(ISO / IEC 11889)。得益於英飛凌等領先的半導體供應商提供了符合 TCG規範的TPM,製造商和用戶可以在電腦、存放裝置(自加密驅動器)、雲端服務和網路(包括網路設備)中實現這種信任。所有TPM都支持相同的基本命令集,儘管或多或少都存在一些差別。


OPTIGA TPM

英飛凌根據客戶需求,提供了具有各種介面、溫度範圍和各個版本的TPM。這些專用產品最與眾不同的一點是,它們能夠滿足消費者、工業和汽車設備等不同應用的需求。另外,它們在品質水準、使用壽命和溫度範圍上各有不同,旨在滿足目標應用的特殊要求。


對於構建網路設備的人們來說,擴大溫度範圍和延長產品的使用壽命特別重要,這是因為搭設在戶外的路由器或其他網路設備可能會面對極端的溫度,而更換它們又可能會造成問題。


此外,所有 OPTIGA TPM 均經過TPM測試套件的測試,旨在實現高度相容的操作和互通性。英飛凌OPTIGA TPM已通過國際通用準則評估保證級(CC EAL)4+認證。它包括6 KB用戶可瀏覽的非易失性記憶體,以及橢圓曲線加密演算法(ECC-256)和RSA2K加密演算法,其私密金鑰存儲在安全的硬體中。如圖1所示,英飛凌還提供了具有其他安全功能的OPTIGA產品,包括Trust B、E、X和P,旨在滿足各種系統信任要求。



圖1 : 英飛凌針對網路、伺服器和聯網設備的不同應用,推出了各種OPTIGA 微控制器(MCU)。(註:TRX 表示通訊功能)
圖1 : 英飛凌針對網路、伺服器和聯網設備的不同應用,推出了各種OPTIGA 微控制器(MCU)。(註:TRX 表示通訊功能)

英飛凌TPM的另一個不同之處,在於其擁有直接參與TCG規範設計的專家支援、由訓練有素的支援工程師組成的全球網路,以及十多個不同的技術合作夥伴(Mocana為其中之一)。那些在印度、台灣及在全球其他地區開展工程活動的客戶,將能通過本地專家解決可能發生的問題,其中英飛凌負責硬體方面,Mocana則負責處理軟體方面的問題。


TCG 網路設備指南

憑藉TCG TPM 2.0規範提供的硬體基礎,TCG的網路設備小組制定《使用TCG技術保護網路設備安全指南》,旨在應對由不受保護的路由器、交換機、防火牆、閘道和無線接入點所構成的迅速蔓延的網路威脅。該規範定義了主要應用示例,包括瀏覽、身份和完整性證明(即健康檢查)以及其他八個應用示例,並說明與其相應的工作方法。此外,該指南確定了構建模組,並就用例提出技術建議,針對各個用例的實現方法提供詳細資訊。


Mocana 解決方案

本文提及的Mocana 解決方案,包括TrustPoint 設備安全軟體堆疊和 TrustCenter 設備安全服務:Mocana TrustPoint 設備安全軟體和TrustCenter安全管理平台根據TCG網路設備指南文件定義的通用體系結構,利用TPM內建的密碼功能,提供網路設備的保護工具。Mocana TrustPoint支援TCG TPM 2.0規範,可為開發人員提供原始程式碼、二進位檔案、示例代碼以及一組簡單的應用程式設計發展介面(API),使他們能夠利用TPM功能來制定可信賴的解決方案。Mocana端點安全軟體具有以下主要功能,可支援TPM 2.0:


‧ 整合TPM金鑰的Mocana傳輸協定棧(傳輸層安全性(TLS),安全外殼(SSH)和網際網路協議安全性(IPsec))


‧ 在本地(裸機)平台上運行的應用程式可以通過本地執行模式使用TPM


‧ 在容器(例如Docker或LXC)或虛擬機器(VM)環境中運行的應用程式可以通過遠端執行模式瀏覽TPM


‧ 支援認證可遷移金鑰(CMK)功能,以遷移TPM金鑰


‧ 支持帶有TPM quote的平台證明


‧ 支援符合TCG的硬體、韌體甚至虛擬TPM


如圖 2所示,從基於硬體或韌體的TPM信任根派生的受信任設備標識為符合NIST 800-63B驗證器保證等級(AAL)3(即此類驗證器保證的最高級別)的數位身份驗證提供了身份證明。此外,此驗證級別還支持通過CMS證書管理(CMC)和安全傳輸註冊(EST)的機密擁有證明。與Mocana TrustCenter服務相整合後,便能基於多因素可信資訊自動進行安全的設備註冊。



圖2 : Mocana’s TrustCenter 平台和TrustPoint 設備軟體簡化了諸多TPM 功能的應用。
圖2 : Mocana’s TrustCenter 平台和TrustPoint 設備軟體簡化了諸多TPM 功能的應用。

網路設備漏洞

出於多種原因考慮,人們需要利用可信硬體,對路由器和其他網路設備進行更加安全的保護。讓人驚訝的是,一些設備製造商已使用Mocana軟體並且設備具備TPM,卻沒能發揮出該軟體的優勢。就此,對問題及其解決方案有了更好的理解後,應該可以改變這一點。由於各種各樣的原因,現有的很多網路設備本身並不可信。


從記錄顯示,有不少設備在抵達客戶所在地時已經受損—供應鏈的某個環節出了問題。其原因包括:設備在運輸途中遭到篡改、為仿冒品或灰色市場(假冒)產品,抑或是被轉售並已被感染的設備。據報導,市面上有無數的假冒路由器和其他無法辨別真偽的設備[2]。對此,憑藉TPM,使用者就能認證產品的真實性,並辨別已裝韌體和硬體的版本。


為防止供應鏈受損,美國對聯邦和非聯邦系統與組織發佈了供應鏈安全性指南[3-4]。這些文件通常針對的是電腦設備,不過,也涵蓋有關路由器、防火牆和入侵檢測系統的特定資訊,以防這些系統受損。一旦投入使用,這類攻擊通常會針對路由器、交換機和防火牆(通常是企業網路中受信任的元件)發起,旨在破壞其韌體完整性,這些攻擊可能導致它們無法安全地傳輸資料。而一旦這些韌體受損,攻擊者便可趁虛而入,闖入各種敏感對話和資料通訊的中間。不僅僅是竊聽,入侵者還可以在不被發現的情況下更改對話。


例如,筆記型電腦啟動時,它會與動態主機設定通訊協定(DHCP)伺服器進行通訊,以獲取其網際網路協議(IP)地址和網域名稱系統(DNS)伺服器位址,然後嘗試與網路上的其他電腦連接,來下載韌體和軟體更新,或是瀏覽電子郵件。如果聯網路由器或交換機遭到破壞,攻擊者便能將這些查詢重新定向到自己的伺服器上的電腦,並充當中間人。而他們還可以傳遞惡意訊息來接管電腦,並安裝按鍵記錄器或其他類型的惡意軟體。威脅遠遠不止這些。當今複雜的船舶、潛艇、岸上或飛機系統可能出現大量的切換和路由。因此,政府機構不僅需要關注假冒中間人的攻擊,還要擔心這些系統可能在關鍵時刻遭到破壞。


此外,商業企業和工業組織也是常見的攻擊目標。對安全、國家經濟安全、國家公共衛生和安全至關重要的16個關鍵基礎設施都有可能遭受這種威脅[5]。如今的工業控制系統通常基於乙太網或傳統網路(如Modbus)上的傳輸控制協議/網際網路協定(TCP/IP),但仍然在使用交換機和路由器。未能得到適當保護的舊設備是最大的問題所在。


攻擊交換機或路由器是一種複雜的攻擊方法,可悄無聲息地攻擊工業控制系統(ICS)或相關電源。一些較大的ICS和電源製造商發現,他們的系統已經徹底被其他產品破壞,這些產品看似相同、甚至難以從視覺和電氣角度區分。只有對平台功能進行深入分析,才能發現可能造成嚴重破壞的惡意程式碼。


ICS和電源通常被看作是工業網路安全的一環,一旦它們處於邊緣狀態,便可損壞或停用工業網路的功能,遭到非法瀏覽,從而導致典型的控制系統故障。


保護網路設備

TCG的網路設備指南解決了上述及其他問題。本文介紹11種不同的應用示例:


‧ 設備身份識別*


‧ 安全的零接觸配置


‧ 機密保護


‧ 配置資料保護


‧ 遠端設備管理*


‧ 軟體清單


‧ 網路設備的完整性證明(健康檢查)*


‧ 複合網路設備


‧ 完整性保護日誌


‧ 熵產


‧ 取消配置


本文僅重點介紹部分關鍵應用示例,亦即上文標註的星號內容。


設備身份識別

英飛凌和Mocana攜手合作,共同利用TPM技術處理設備身份識別和其他用例問題,從而提供與獲取和使用背書密鑰創建信任鏈相關的存儲與操作機制。圖3顯示網路設備的金鑰和憑證。圖中的三層身份識別,一層用於 TPM、一層用於平台(IDevID),還有一層用於本地身份識別(LDevID),旨在用於確認設備是否正確製造、是否安裝在特定位置/設施,是否獲得了所有人的授權。



圖3 : TPM 保護網路設備中的金鑰和憑證
圖3 : TPM 保護網路設備中的金鑰和憑證

首先,在TPM內,英飛凌在每個OPTIGA TPM 內都安裝了背書金鑰(EK)和EK證書。英飛凌出廠的每個OPTIGA TPM都有一個單獨的背書私密金鑰、一個單獨的背書公開金鑰和一個由英飛凌簽署的個人EK證書,因此,可按照這一信任鏈來確認TPM是否有效。


接下來,利用平台製造商的憑據來證明指定TPM已安裝在特定類型的路由器或交換機中,有時可能還有序列號。這些憑據包括初始認證金鑰(IAK)和初始設備標識(IDevID)。將設備交付給客戶時,管理員可以選擇安裝公司憑證,如本地設備標識(LDevID)、本地認證金鑰(LAK)和相應的證書。


借助這些證書和憑證,客戶可以輕鬆地驗證該路由器或交換機是否來自特定的供應商、是否為特定的型號以及序號,以及實際採購的設備是否可用於客戶特定設施,若是,則可信。反之,如果是來自同一供應商的二手產品,歷史記錄不明,則不具備可信任基礎。根據TCG規範,結合三層身份識別(TPM、平台和本地所有者/營運商)來提供信任鏈和監管鏈,可讓使用者對設備的來源充滿信心。


使用獨特的方法為設備建立身份,還能解決其他問題,例如許多聯網設備都使用了過時的用戶名和密碼驗證技術。實際上,許多設備都帶有預設的預設使用者名和密碼。考慮到這些預設資訊是用於管理配置的,因此有時消除它們十分困難。而建立唯一的加密身份則可實現所有連接的相互認證和安全通訊。


雖然提供這些憑證看似簡單,但實作起來通常卻不容易,這主要是因為對憑證授權(CA)或硬體安全模組(HSM)提供的傳統證書工具並不瞭解,也不容易使用。而Mocana軟體可實現的原因,在於利用TPM 2.0廣泛的金鑰生成和金鑰操作,支援儲存和簽署層次結構以及RSA和ECC金鑰。此外,它還可以利用TPM生成的密鑰對來提供數位憑證,從而確定容器、應用程式、資料和通訊的完整性。


解決其他身份問題

在信任鏈中,所有權轉移是一個挑戰。比如,有一家公司將組裝好的一台全新設備出售給另一家公司,然後該公司將其安裝到最終產品(如飛機)中,後者安裝在底板上,機身上提供證書—這些全都是所有權轉移。當前,仍然沒有一種無需證書或加密簽名和背書,就能有效驗證這些元素之間轉移的方法。而設備身份驗證金鑰和證書可以應對這種情況。


網路設備與個人電腦相反,使用者無需使用設備運行時代表使用者的唯一金鑰和憑據。網路設備本身就具有一個或多個身份,可驗證其他設備,而沒有設定專門的操作用戶。不過,即便沒有鍵盤使用者的概念,也存在許多用例,即在信任流中利用附加證書來實現特殊功能,例如報告分析、實現唯讀功能以及在本地平台將唯讀與讀寫分離。它們可以是多層的,比如一組用戶能夠更新韌體,另一組用戶能夠更新操作環境、第三組用戶能夠更新某些應用程式空間功能或配置功能。


信任鏈中還有其他使用多層證書的情況,旨在為平台的整體信任度增加可觀的價值。在這種情況下,平台將對外部用戶進行身份驗證。對此,外部用戶的金鑰並不是握手的一部分,而是外部用戶或管理員的證書。這也說明了圖3所顯示的才是最重要的憑證。這些憑證允許平台向他人自證身份或向他人進行證明,而非平台用於驗證外部各方的憑證。


遠端設備管理

網路設備通常通過命令列、圖形化使用者介面(GUI)或軟體定義網路(SDN)等自動化方法進行遠端系統管理。其中,身份驗證和安全通訊是最基本的安全要求。值得慶幸的是,Mocana 軟體和英飛凌TPM 硬體不但可以使用主流的傳輸層安全性(TLS)協定,還可以使用安全外殼(SSH)、網際網路協定安全性(IPsec)以及其他協定來設置安全通訊。通過Mocana軟體創建的會話將使用平台的設備身份識別功能進行身份驗證,甚至進行加密。


一旦實現了設備身份驗證和安全通訊,就可以通過安全協定對設備進行遠端系統管理。另外,還有很多其他安全操作可供執行,比如驗證設備是否為假冒品、是否應當安裝在此位置以及是否已被篡改。


遠端證明

使用遠端證明,設備將能實證本身正在運行的軟體,以便從遠端方進行驗證。如圖4所示,Mocana的端點安全軟體和英飛凌的TPM實現一個遠端「審核人」服務,來確定設備或設備(平台)上運行的容器化應用程式的完整性可信等級。遠程證明過程如下:使用加密雜湊值測量設備上的軟體。然後這些測量被擴展至TPM的平台配置暫存器(PCR),並在此安全儲存。遠端方希望獲得證明時,它便會將向設備發送質詢。設備上的軟體將此質詢發送給TPM,TPM會產生一個「引用(Quote)」,即質詢和當前PCR值的副本,且由TPM持有的證明身份金鑰(AIK)簽名。隨後,引用、受信任的CA頒發的AIK證書及提供設備載入軟體的完整性日誌將一起被發回服務器。接著,審核人會驗證這些內容,以確定能否接受設備上的軟體。在本地證明方面,可使用一個被稱作「sealing」的技術進行,並且可以以相同方式驗證設備配置。



圖4 : 憑藉TPM 2.0遠程證明,Mocana 端點安全軟體實現了容器化應用程式的可信度。
圖4 : 憑藉TPM 2.0遠程證明,Mocana 端點安全軟體實現了容器化應用程式的可信度。

兼具安全性和信任度

由於不受保護的網路設備為攻擊者提供了新目標,因此,防止這類攻擊是資訊技術(IT)、網路和安全專家以及企業管理層的工作重點。


無動於衷會帶來嚴重的後果。英飛凌和Mocana的共同努力,讓標準化保護的實現變得更簡單。英飛凌的OPTIGA TPM MCU 為網路、伺服器和聯網設備帶來新的硬體安全性,通過它與Mocana的TrustPoint 設備安全軟體和TrustCenter 安全管理平台互相結合,所得到的工具能夠發揮TPM的內建加密功能,以及直接提供的在地硬體和軟體支援,從而實現重要的網路設備保護。


基於可信計算組織標準,英飛凌和Mocana提供易於實施的信任和安全解決方案,可以直接處理網路安全威脅;從而幫助各個企業和基礎設施免遭持續且難以察覺的感染和抵禦各種攻擊。


(本文作者Steve Hanna為英飛淩科技數位安全解決方案資深主管,Dean Weber為Mocana技術長)


參考資料


[1] https://trustedcomputinggroup.org/resource/tcg-guidance-securing-network-equipment/


[2] https://www.infoworld.com/article/2653167/fbi-worried-as-dod-sold-counterfeit-cisco-gear.html


[3] SP 800-161,聯邦資訊系統和組織供應鏈風險管理指南


https://csrc.nist.gov/publications/detail/sp/800-161/final


[4] SP 800-171 版本1 非聯邦資訊系統和組織的受控非機密資訊的保護


https://csrc.nist.gov/publications/detail/sp/800-171/rev-1/final


[5] https://www.dhs.gov/critical-infrastructure-sectors


相關文章
意法半導體的邊緣AI永續發展策略:超越MEMS迎接真正挑戰
為嵌入式系統注入澎湃動力 開啟高效能新紀元
以雷達感測器大幅提高智慧家庭的能源效率
為綠氫製造確保高效率且穩定的直流電流
嵌入式系統的創新:RTOS與MCU的協同運作
comments powered by Disqus
相關討論
  相關新聞
» 大同智能與台電聯手布局減碳 啟用冬山超高壓變電所儲能系統
» 台達能源「以大帶小」 攜手供應鏈夥伴低碳轉型
» 英飛凌攜手Stellantis力推下一代汽車電力架構
» 筑波科技攜手UR推動協作機器人自動化整合測試成效
» 鼎新數智更名攜6大GAI助理亮相 提供一體化軟硬體交付服務


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.217.224.165
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw