隨著物聯網(IoT)的迅速擴展,設備安全性已成近年關注焦點,不應再是額外的選項,應是需要成為必備,這些聯網設備的身分驗證亦是重要一環,而這幾年來,隨著新世代網路身分識別FIDO標準崛起,在2019年我們即關注到該技術計畫擴展於IoT領域的應用,如今,這項IoT設備身分識別逐漸成形。
近期,我們看到紅帽釋出RHEL 8.6與9.0版,當中強調將聚焦邊緣管理,新增加支援FIDO Device Onboard(FDO)安全標準規範,期望能簡化邊緣安裝程序,減少現場或遠端集中部署的管理負擔,以及提供更好的安全管理方式。顯然,這FDO標準在2022年應用有逐漸擴張的趨勢,值得關注。
什麼是FDO?這是FIDO聯盟在2021年4月,針對物聯網設備所公布的IoT開放標準協定,名為FIDO Device Onboard(FDO),裡面定義簡易與安全的身分識別方式,IoT裝置無論連至雲端或企業內部網路的後端管理平臺,均可適用這樣的驗證方式。目前,FDO標準規範在今年4月19日已發布1.1版。
FIDO聯盟期望這樣的協定,能夠支援大規模部署IoT設備的需求,幫助企業因應安全、成本、時間,以及管理複雜度等層面的挑戰。
FDO標準抵定不到一年,已有系統業者開始宣布支援
隨著這項標準成形,近期我們看到產業間已有不少行動。舉例來說,以晶片業者來看,去年國內晶片安全業者熵碼科技(PUFsecurity),運用其PUF解決方案,即宣布提供PUFiot裝置ID,幫助產品業者打造符合FDO標準的產品;以系統業者來看,在今年4月14日,紅帽釋出Fedora Linux 37時,支援FDO是一大主打特色,為物聯網與邊緣裝置提供更好的安全使用方式,5月紅帽也宣布RHEL 8.6與9.0版將支援FDO標準,甚至還在5月底發布影片專門介紹FDO。
特別的是,在4月底舉行的漢諾威工業展上,Google與Intel在展示智慧工廠新邊緣運算概念時,也示範使用FDO將電腦加入Anthos平臺。
整體來看,FDO的推動,這不僅是IoT裝置安裝流程的自動化,也可視為解決目前企業IT與OT領域物聯網部署安全的第一步。儘管FDO標準推出還不到一年,但從上述廠商紛紛支援的消息來看,也反映整個IT產業對於FDO標準的積極程度。
今年5月24日,在Red Hat Enterprise Linux官方YouTube頻道上,特別針對v9.0與v8.6版本所新支援的FIDO Device Onboard(FDO)標準規範做介紹。
在今年5月27日Google介紹了與Intel合作展示的智慧工廠新邊緣運算概念,在結合Intel的Edge Insights for Industrial(EII)平臺、Intel NUC、Google Anthos之下,也示範使用FIDO Device Onboard(FDO)實現零接觸裝置註冊。
可因應大規模IoT布署需求,讓裝置註冊安全又有效率
關於FDO的運作方式,FIDO聯盟是以原有FIDO網路身分識別標準為基礎,擴展至IoT裝置應用,因此,FDO的驗證方式同樣以硬體裝置為主,使用非對稱公鑰加密技術,特別是採行untrusted installer的方法,解決物聯網裝置註冊(onboarding)所帶來的各種安全問題。
畢竟,傳統物聯網設備的部署,除了實體的裝置安裝,還需要密碼憑證的設置,使設備能夠安全連至後端管理平臺,但這樣的流程過去普遍由人工手動操作完成,往往不夠簡便、耗時且不安全。
具體而言,所謂的裝置註冊(Device onboarding),指以將包含金鑰的機密資料及配置資料的設定安裝過程,使設備能與物聯網平臺安全地連接與互動。基本上,物聯網平臺就是設備擁有者用來管理裝置的系統,包括修補安全漏洞、安裝或更新軟體、檢視感測器資料,以及與執行器互動。
更進一步來看,FDO就是在設備製造過程中即確定裝置的所有權,之後的裝置註冊過程,則可視為裝置所有權的轉移或授予。同時,自動化亦是FDO簡化相關驗證程序的一大關鍵,能讓一個物聯網裝置在不修改本身韌體與組態的情況下,能夠安全連入到不同的IoT平臺。
FIDO聯盟指出,2022年FDO有兩大推動目標,一是促進整個產業採用FDO,包括終端用戶、專業設備代工(OEM)、原廠設計代工(ODM),以及晶片合作夥伴來共同推動;二是推出FDO認證計畫,包括功能性的認證與互動測試,以及安全認證測試。
在2022年4月19發布的FIDO Device Onboard Specification 1.1中,完整說明了這項裝置連入標準的規範,並圖解FDO的傳輸介面。(圖片來源/FIDO聯盟)
今年FIDO FDO標準邁入1.1版,規範文件中以圖像化方式說明協定的運作方式。(圖片來源/FIDO聯盟)
在FIDO聯盟簡介FDO的一場簡報中,說明FDO運作的6大步驟。(圖片來源/FIDO聯盟)
從裝置出廠就具備身分驗證安全設計,FDO標準將為諸多產業帶來助益,並解決物聯網、邊緣運算的關鍵需求
整體而言,在FIDO的FDO標準之下,設備製造的初期即安裝軟體並使用安全金鑰,裝置購買者從製造商獲得裝置並取得安全金鑰時,就能安全、快速且簡便地將產品布署到物聯網平臺,完成註冊並確保設備身分。
我們可以如何看待FDO標準的發展?在2021年4月20日標準發布之際,FIDO聯盟執行董事兼行銷長(CMO)Andrew Shikiar曾說過,FDO標準的發布,將讓企業更體認到物聯網的巨大潛力,並且可謂製造、零售、醫療保健、運輸、物流等領域,帶來極大助益。
對於FDO標準的發展,身為Intel物聯網部門工業控制與自動化總經理,也是FIDO聯盟IoT技術小組聯合主席的Richard Kerslake,他特別以家中買了一臺新的印表機來對比舉例,指出這樣的裝置只要透過USB線與電腦相連接,等待幾分鐘後,驅動程式已經自動安裝完成,這種隨插即用的體驗,與大多數IoT裝置的部分有很大的不同。因為這些IoT設備的布署是耗時、昂貴且不安全。如今,他們不僅加入FIDO聯盟,並且一同催生FDO標準,希望透過新的方法,解決這項產業界所共同面對的挑戰,
也有人認為FDO將是一項革命性的標準,例如,英國電信集團(BT Group)研究經理與物聯網架構師Mohammad Zoualfaghari提出他的看法,指出FDO零接觸註冊(Zero touch onboarding)將可解決解決物聯網、邊緣運算與5G行業的關鍵需求,幫助擴展安全與自動化,從製造商到消費者安全,以及從設備到邊緣,邊緣到雲端。
同時,我們也詢問國內這方面的專家,希望了解更多FDO的發展趨勢。
工研院資通所副所長黃維中表示,過去十幾年來,其實產業間一直都有在發展這樣的技術,簡化裝置出廠到後續啟用的流程,像是前幾年,Intel就有提出Secure Device Onboard(SDO),讓IoT裝置能在目標裝置管理與雲端分析平臺順利上線,只是以往缺乏一個統合的標準,而現在的FDO做到了。事實上,Intel本身也是FIDO聯盟Board Level會員,FDO標準規範即是基於Intel SDO技術而發展,因為Intel也是FIDO SDO工作組的主席與重要的貢獻者之一。。
除了系統平臺支援FDO,裝置支援FDO也會是關鍵。要讓裝置出廠的內部構件符合FDO,近年新興的物理不可仿製功能(Physically Unclonable Function,PUF),是近年受看好的技術之一。對此,熵碼科技資安技術經理莊愷莘表示,PUF的最大好處,就是可以讓每個裝置的金鑰都是獨一無二,不像傳統作法要將金鑰燒錄到裝置,需要特殊設備與安全環境,相對而言,PUF可以不用這樣的機制,就能建構獨特的金鑰。
熱門新聞
2024-12-03
2024-11-20
2024-11-29