把很多行動裝置串聯,堪稱十分方便,但也可以想像,若遭攀藤摸瓜,非常危險。為了保障安全,ARM, Intercede, Solacia, Symantec等科技廠商攜手合作,共同開發「OTrP開放信任協定」(Open Trust Protocol)為連網裝置建立電子商務等級的安全標準。
防毒軟體重要廠商賽門鐵克(Symantec)估計2015年每天約有100萬起網路攻擊事件。調研機構Gartner亦指出,物聯網(IoT)擴大了攻擊面,安全已成為開發任何聯網裝置時的首要考量。任何投入物聯網的廠商,面臨了一個關鍵難題,那就是,除非將安全敏感軟體提升至電子商務等級的安全標準,否則數十億台的連網裝置可能面臨風險,損失難以估計。
為此, ARM, Intercede, Solacia 和 Symantec等科技廠商,聯手針對數十億台裝置跨產業互連所衍生的安全挑戰進行評估,產業別包括工業、家庭、醫療和交通等。結論是,除非建立系統級信任根(root of trust),否則任何一個系統都可能遭受損害。於是這些廠商共同開發「開放信任協定」(Open Trust Protocol,OTrP),使用經過大型銀行實證的技術,以及智慧型手機和平板電腦等消費市場裝置的敏感資料應用程式,將安全架構與可信任程式管理(trusted code management)結合起來。
ARM安全系統副總裁Marc Canel表示:「在網路互連時代,建立所有裝置和服務供應商之間的信任機制刻不容緩。電信商必須信任與他們的系統互連的裝置,OTrP可以簡單的方式實現;它結合了電子商務信任架構與高層次協定,可輕易與任何既有的平台整合。」
其他加入OTrP合作夥伴協議(Joint Stakeholder Agreement)的會員還包括Beanpod、Sequitur Labs、Sprint、Thundersoft、Trustkernel和Verimatrix。
OTrP是高層次管理協定,搭配安全解決方案執行,例如可保護行動運算裝置免受惡意攻擊的ARM TrustZone信任執行環境。該協定即日起於IETF website開放下載,設計人員可立即展開原型設計和測試。
該協定為開放式互通標準打先鋒,無需集中式資料庫,只要重覆使用既有的電子商務安全架構即可管理信任軟體。該管理協定用於公鑰基礎架構 (Key Infrastructure, PKI) 和基於認證機構的信任基礎架構 (Certificate Authority-based trust architectures),因此服務供應商、應用程式開發商以及OEM廠商可以使用自己的金鑰來認證和管理信任軟體和資產。OTrP是高層次的簡易協定,可輕易與既有的信任執行環境或RAS加密微控制器平台進行整合。
OTrP以IETF資訊規格(informational)公佈,後續將由標準制訂組織持續研發,使之成為可以大量普及的互通標準。
多家公司都為該項合作,發表證言。OTPA秘書長暨未來長Lubna Dajani:「連網服務的信任鏈必須建立在人和裝置皆擁有強大的數位身份,以確保資料和應用在開放和互通下保有完整性。OTrP的發佈是一個大躍進,讓產業透過基礎的合作即可有效率的運作,把競爭的焦點專注在創造價值上。」
Intercede數位信任專門小組執行長Richard Parris:「公佈OTrP成為可供審閱的IETF資訊規格文件,是提供行動和IoT連網裝置從晶片到服務通用數位信任的重要一步。它讓網路營運商和應用開發商可以基於互通性、政策和預算等考量,選擇硬體安全模組和加密金鑰供應商,而且只需一個共同的平台,即可管理各種五花八門的裝置。」
Solacia 執行長SangJin Park:「為可信任應用打造OTrP生態圈至關緊要,可確保跨市場之間商業運作的彈性。我們致力於讓整個安全產業採用開放標準,並且推出SecriTEE來實現此一目標,透過廣泛部署ARM TrustZone技術,讓行動安全機制更普及。」
Sprint技術副總裁Dr. Ron Marquardt:「身為無線通訊營運商,提供安全可靠的通訊和資料生態系統是我們至高無上的使命。隨著全球連網裝置和行動應用持續成長,安全將成為更棘手的問題。OTrP為日益升高的挑戰提供一帖強效良方,透過它的靈活性為服務生態圈提供和維持系統級的信任根。」
賽門鐵克IoT安全部門資深總監Brian Witten:「新科技通常伴隨更多的安全威脅,物聯網和智慧行動科技正朝百花齊放的應用邁進。當務之急是要制訂一套開放協定減緩威脅,並加速硬體支持的安全機制普及化,讓內建加密金鑰獲得充分的保護。」