Skip to main content

數位招牌加裝攝影機平添安全風險

相關研究明確指出動態數位招牌可以增加銷量。 數位招牌的顯示面積寬大、擁有 4K 鮮明色彩,還能與使用者互動,因此非常吸睛。 但是只要任何一台裝置連線至網際網路,安全疑慮就會變成最主要的考量。 系統「遭駭」的下場各式各樣,從單純造成困擾,到企業資料大量外洩。

有些數位招牌採用的商業模式包含廣告營收。 廣告商需要確信他們的廣告內容能正確地顯示。 舉例來說,如果廣告商導入了觀眾偵測功能,他們就需要確定其偵測演算法不會受到未經授權的程式修改,導致廣告曝光次數計算錯誤。

許多伺服器廠商,包括 Kontron 都喜歡在數位招牌的設計中採用三層式架構。 如圖 1 所示,三層式架構分為應用程式層、作業系統 (OS) 層,以及包含 BIOS 的韌體層。

圖 1. Kontron 為數位招牌的 BIOS 層、作業系統層及應用程式層整合了安全防護功能。

Kontron 的安全開機/信任開機 (Secure/Trusted Boot) 方法可以提供安全的韌體更新和受保護的開機機制,賦予從頭到腳的層層防護。 這種機制需經過加密的可信任平台模組 (TPM) 來處理,這是硬體的國際標準,目前版本為 2.0。 而這項技術能確保只有經過簽章和驗證的程式才能於開機過程中執行。 未經授權和潛藏危害的程式碼,包括對 BIOS 或作業系統載入程式做出不必要變更的程式碼,在這一層就會被剔除出去。

再往上一層就是作業系統層,本文設計圖例採用的是 Windows 10 物聯網作業系統。 Kontron 目前對 Windows 10 物聯網長期服務分支 (LTSB) 這個主流作業系統提供了安全版本,也就是特地為數位招牌等物聯網環境所開發的另一種版本。 此一版本包含作業系統本身和保護資料的安全機制。 這是經過安全開機 (Secure Boot)、BitLocker、裝置防護 (Device Guard) 及憑證防護 (Credential Guard) 等功能的整合才能達到的安全機制。

最後到了應用程式層,Kontron 憑藉自家 APPROTECT 安全解決方案,將軟體架構、整合式安全晶片及 TPM 2.0 結合起來,發揮全方位保護作用。 APPROTECT 能以反向工程幾乎無法破解的方式為應用程式的原始程式碼加密。 整合式安全晶片會持續查看應用程式加密狀況,確保只有預期的裝置才能執行該應用程式。 於此同時系統還能監控並保護此層的完整性,防止他人執行被惡意操作的應用程式。

SMARC 模組加裝 CSI 功能

透過現成的處理程序和安全解決方案來打造並保護數位招牌解決方案,可讓招牌開發人員專心透過優良的招牌應用創造價值。 搭載 Intel Atom® E3900 處理器系列的 Kontron SMARC-sXAL 模組就是一例。 SMARC 是一種開放標準的外型規格,市場目標與知名的 COM Express 模組標準有重疊之處。 SMARC 可藉由一或多個 MIPI-CSI 介面來增加攝影機支援,讓以視覺處理為主的數位招牌能實現商業模式。

Intel Atom E3900 包含可增強應用程式防護力的各式安全功能:它能支援 AES 指示,增進加密和解密演算法的執行速度,還能提供 Intel® 身分辨識保護技術 (Intel® Identity Protection Technology)。 這項技術能在應用程式中內建安全性權證,用來驗證用戶端系統的身分。 Atom E3900 為了強化以軟體為基礎的安全性,還支援數位亂數產生器,當作軟體演算法的種子使用。

攝影機序列介面 (CSI) 是 MIPI 聯盟所開發的一種規格,此規格能定義攝影機和主機處理器之間的介面。 此介面能達到 1080p、4K、8K 及更高畫質的影格解析度,並能取得每秒 240 影格及更高影格速率的穩定影像。 此外 CSI 還能支援感測器融合技術,讓攝影機影像能與環境光線、紅外線、陀螺儀、動作偵測/人員偵測、加速度計及 MEMS 感測器建立連繫。

三層式安全防護

SMARC-sXAL 能在 BIOS/UEFI 層支援安全開機/信任開機方式。 這個 Intel 功能會建立一套信任機制,信任層次較高的應用程式便能安全無虞地執行。 SMARC-sXAL 執行的 Windows 10 物聯網,是專門為物聯網雲端應用程式所開發的安全作業系統。 為了增強對應用程式的信任,Kontron 模組採用名為 AppProtect 的技術,以硬體加密方式來提供防盜版保護和反向工程保護。 當系統遭到未經授權的程式碼入侵,AppProtect 便會拒絕執行應用程式,藉此保護螢幕和攝影機的安全。 本文的三層式安全防護如圖 1 所示。

奠定安全防護的基礎

對抗攻擊的最佳方式,就得在應用程式執行的層層階段採取安全防護支援,從信任開機到加速加密都要面面俱到。 為數位招牌加裝攝影機就會多出額外的潛在攻擊點,不過只要在 BIOS/UEFI、作業系統及應用程式軟體中採取安全措施,就能幫助數位招牌因應這些風險。