消費性物聯網安全標準應運而生

作者 : Rich Quinnell,EDN

越來越明確的一個發展趨勢是,即使是針對消費市場的物聯網設計,或者只是為了保持用戶訊息的私密性,也將需要安全功能。即使還不清楚需要包括哪些類型的安全功能,但是,現在,歐洲電信標準協會的新興標準正在為消費性物聯網設計定義安全要求的基準。

越來越明確的一個發展趨勢是,即使是針對消費市場的物聯網(IoT)設計,或者只是為了保持用戶訊息的私密性,也將需要安全功能。即使還不清楚需要包括哪些類型的安全功能,但是,現在,歐洲電信標準協會(ETSI)的新興標準正在為消費性物聯網設計定義安全要求的基準。

ETSI最近發佈了其標準ETSI EN 303 645 V2.1.0 (2020-04)的最終草案——消費性物聯網的網路安全:基準要求(ETSI EN 303 645 V2.1.0 (2020-04) – Cyber Security for Consumer Internet of Things: Baseline Requirements)。這使它可望最終獲得批准,並於今年晚些時候公佈。該標準規定了消費性物聯網設備及其與關聯服務的互動中應提供的高階安全性和資料保護規定,它的範圍專門限於消費類設備,但是不限於服務,也不打算應用於非消費類應用程式,例如醫療保健或製造業。但是,都包括家庭自動化、連線的電器和玩具、連線的媒體、健身追蹤器等。

該標準確認其規定的適用性取決於應用,因此將大多數定義為非強制性。 它還要求開發人員記錄為什麼未實行任何建議的理由,以便其他利益相關者可以確定,該標準規定是否獲得適當且正確地應用。因此,即使大部分是可選的,該標準的規定也確實建立了一個明確的安全基準,設計可以被實現且消費者可以期待它。

無論設備的複雜程度如何,都可以應用此基準。如圖1所示的簡單甚至受限制的設備,可能在電源,電池壽命、處理能力或物理訪問方面受到限制,或者功能有限、記憶體有限或網路頻寬受限。在這種情況下,該設備可能需要其他設備的支持,例如集線器(hub)、基地台或配套裝置。 如此一來,即使僅設備本身可能無法滿足要求,但整個系統仍將符合安全標準。

圖1 沒有資源可滿足安全標準所有部分的簡單物聯網設備仍可透過與支援裝置配對來實現。(資料來源:ETSI)

當然,本文還將介紹更複雜的設備,這些設備本身可以提供滿足安全標準所需的所有資源。例如,圖2中所示的參考架構顯示了智慧揚聲器中可用的資源,它很容易實現所有標準的安全性規定。

圖2 複雜的物聯網設備(例如智慧揚聲器)將具有實現標準安全條款所需的所有資源。(資料來源:ETSI)

該標準為消費性物聯網定義了大約十三項基本的網路安全規定,開發人員應遵循這些規定。包括以下:

  • 無通用默認密碼:在出廠默認值以外的任何其他操作狀態下,密碼(使用時)必須是用戶定義或設備唯一的。
  • 實施一種方法來管理漏洞報告:開發人員必須公開發佈漏洞披露政策。
  • 持續進行軟體更新:開發人員應計劃在裝置使用壽命內為其提供及時的安全更新。
  • 安全儲存敏感的安全參數:安全參數(例如密碼和加密密鑰)保存在永久性儲存中的文件必須安全。
  • 通訊安全:最佳實踐密碼必不可少且應該可更新。
  • 最小化暴露出的攻擊面:這包括禁用未使用的網路和邏輯介面,在可能的情況下隱藏除錯介面,以及其他類似的注意事項。
  • 確保軟體完整性:提供安全的引導操作並辨識未經授權的軟體更改。
  • 確保個人資料的安全性:對個人數據使用加密技術,並告知用戶該設備的感知能力。
  • 使系統具備抗故障能力:適應網絡連接的漏失,並且從斷電中完全恢復。
  • 檢查系統遠端資料:應檢查設備收集的任何遠端數據(例如使用情況統計訊息和測量結果)是否存在安全異常。
  • 讓用戶可輕鬆刪除使用者資料:這旨在簡化從操作或所有權轉讓中刪除裝置的過程。
  • 簡化設備的安裝和維護:幫助用戶設置裝置以進行安全操作。
  • 驗證輸入資料:立用接收格式錯誤的數據或程式碼,確保系統不會被破壞。

這些準則只是消費性物聯網安全性的起點,並非旨在解決所有安全性挑戰,也無法防禦長時間或複雜的攻擊但是它們確實提供了堅實的基礎功能,可以抵禦針對基礎設計弱點的基本攻擊,並且這種能力遠超出許多當前的消費類裝置所聲稱的範圍。

ETSI標準一旦被正式接受,將很可能成為未來物聯網裝置設計的「大籌碼」。現在是時候讓開發人員開始熟悉該標準,並制定計劃以實現該標準制定的方針了。

(參考原文:Security standard for consumer IoT emerges,by Rich Quinnell,EDN Taiwan Anthea Chuang編譯)

 

 

掃描或點擊QR Code立即加入 “EETimes技術論壇” Line 群組 !

 EET-Line技術論壇-QR

發表評論