CTIA物聯網網路安全驗證方案測試與認證要求介紹
隨著5G (第五代行動通訊技術)已陸續在各個國家正式商轉,其高速傳輸速率與同時允許大量物聯網產品連接之優勢將帶動整體物聯網產品產業蓬勃發展。但如何確保整個聯網架構中之每個聯網設備的資訊安全則是接下來全世界的共同挑戰。
有鑒於此,美國無線通訊協會(Cellular Telecommunications Industry Association,以下稱CTIA)於2018年10月針對物聯網產品發布「物聯網產品網路安全驗證方案(IoT Cybersecurity Certification Program)」,以確保物聯網產品能具備基本資安防護能力。CTIA成立於1984年,總部位於華盛頓特區,屬美國聯邦層級之非營利性會員組織,會員主要組成為美國電信營運商、手機製造商、行動應用App開發商、內容創造公司、測試驗證業者等,其主要業務為支持美國無線通訊產業發展。目前共有8個驗證方案運行,皆為自願性驗證。經CTIA統計,美國每年的無線通訊產值約4,750億美元,佔全美GDP的2.6%,在CTIA架構下運行的這些驗證方案,扮演推動美國無線通訊產業發展的關鍵性角色。
在「物聯網產品網路安全驗證方案(IoT Cybersecurity Certification Program)」的制度下,設計有測試實驗室(CTIA Authorized Test Lab,以下稱CATL),物聯網產品則須經由CATL依據CTIA制定之測試標準進行測試後,再由業者檢附測試報告和技術文件向CTIA申請驗證後就可獲證。若要申請成為CATL,相關步驟如下:
圖一 申請成為測試實驗室(CATL)流程
目前「物聯網產品網路安全驗證方案」中對應的測試方法為CTIA Cybersecurity Certification Test Plan for IoT Devices,最新版本為1.0.1版。測試方法依IoT設備安全元素(Security Elements)之複雜性(Complexity)、精密性(Sophistication)及可管理性(Manageability),由低到高定義三個層級(Level 1~3),依據不同層級對應不同的測試項目(見表一),業者可自行選擇等級進行測試。要特別注意的是,若產品的軟體、硬體或韌體改變時,須完全重新測試。
| 測試項目 | Level 1 | Level 2 | Level 3 |
|---|---|---|---|
| Terms of service & privacy policy | V | V | |
| Password management | V | V | V |
| Authentication | V | V | |
| Access controls | V | ||
| Patch management | V | V | V |
| Software upgrades | V | V | V |
| Audit log | V | V | |
| Encryption of data in transit | V | ||
| Multi-factor authentication | V | ||
| Remote deactivation | V | ||
| Secure boot | V | ||
| Threat monitoring | V | ||
| IoT device identity | V | ||
| Digital signature validation | V | ||
| Encryption of data at rest | V | ||
| Tamper Evidence | V | ||
| Design-in feature | V |
表一 CTIA Cybersecurity Certification Test Plan for IoT Devices(1.0.1版)測試項目
財團法人全國認證基金會(Taiwan Accreditation Foundation;以下簡稱 TAF)現為國內唯一符合國際標準ISO/IEC 17011要求,以及簽署國際實驗室認證聯盟(International Laboratory Accreditation Cooperation;簡稱ILAC)國際相互承認協議及國際認證論壇(International Accreditation Forum;簡稱IAF)多邊相互承認協議之認證機構。同時,為滿足國內測試實驗室之需求,TAF於2011年已與CTIA簽署合作備忘錄(MOU),TAF認可實驗室可完全被CTIA所接受,而無須重複評鑑。除本文之物聯網產品發布網路安全驗證方案外,國內實驗室亦有申請其他CTIA驗證方案,如電池安全測試及無線射頻(Over-The-Air, OTA)測試等。
臺灣是物聯網設備的生產重鎮,TAF配合國內業者需求,已透過專家會議發展評鑑技術要求,協助國內實驗室通過認證,進而取得相關資格。TAF與CTIA於2011年4月18日完成簽署合作備忘錄,通過TAF依國際標準ISO/IEC 17025及CTIA評鑑要求的實驗室,實驗室將獲得一張註明有能力執行CTIA測試活動之認證證書。至2020年8月為止,CTIA在物聯網產品發布網路安全驗證方案上僅認可12家實驗室(CATLs),絕大多數位於美國當地,亞洲則僅有一家取得TAF認證後被CTIA接受且位於臺灣之實驗室。展望未來,TAF將持續關注國際趨勢,期能協助台灣產業業者產品能縮短產品測試時程,順利進入國際市場。
CTIA小辭典
無線通訊協會CTIA(Cellular Telecommunications Industry Association) 成立於1984年,是國際知名的非營利性會員制組織,其業務領域涉足所有的無線通訊行業,包括手機、個人通訊設備、加強型專用無線電接收裝置等。CTIA可提供廣泛的系統性服務,以協助業者完成複雜的無線設備檢查與評估工作,其業務範圍還包括主辦相關電信設備展覽、測試設備驗證、通訊產品驗證等。CTIA授權的測試實驗室(CTIA Authorized Test Lab,CATL)可為通訊產品提供包括產品特性,電池安全、藍芽相容、聽力輔助相容與Wi-Fi 相容等測試服務。根據CTIA制定的標準,該實驗室亦可進行系統、子系統及製造廠的評估工作。詳細資訊請參考相關連結。
