為IoT注入資安思維:尚承科技從「晶片內部」做起,提供韌體加密與保護服務

2020.04.07 by
林芷圓
為IoT注入資安思維:尚承科技從「晶片內部」做起,提供韌體加密與保護服務
賀大新攝影
尚承科技於2014年成立,目標解決物聯網裝置衍生的資安危機,防止客戶的智慧財產權被竊取、被山寨,同時也降低物聯網裝置被入侵的機率。

物聯網(IoT ,Internet of Thing)是現今日常應用十分廣泛的技術,未來世界朝 5G 時代推進,預測將有更多元的物聯網裝置應用出現,包括生產製造、金融、能源、醫療、日常生活、家居、智慧城市、車聯網等,在無處不聯網的時代到來後,人們的生活將大規模被 IoT 包圍。但於此同時,萬物聯網所衍生出的資安問題,變得更顯而易見了。

全球最大的微處理器IP廠商安謀(ARM)預測 2035 年將有超過一兆個物聯網裝置,而這些裝置因為相互連網,將有可能衍生一連串嚴重的資安問題,如「資料外洩」、「遭惡意攻擊」、「裝置遭駭入抄襲、山寨」。由於 IoT 裝置會仔細搜集與使用者及其環境相關的數據,包括影像、聲音、個人資料等,但因沒有妥善保管、導致駭客入侵,其損失將會不計其數;另一方面,當有相當大數量的物聯網裝置交互作用,此種複雜性雖可以使裝置功能更加多元、方便,但被駭入時所造成的傷害也會更大。

尚承科技(ECOLUX)從2014年成立以來,目標都是解決「物聯網裝置所造成的資安危機」。創辦人暨執行長賴育承(Steve)分享,每一個物聯網產品皆具有完整的生命週期,從設計、開發階段,到後期由半導體廠商將物聯網製造、量產、部屬、使用與更新,過程中存在很多風險。

「ECOLUX提供物聯網全生命週期方案,防止客戶的智慧財產權被竊取、被山寨,同時也降低物聯網裝置被入侵的機率。」Steve 解釋,物聯網防範安全的技術門檻很高,但市場需求確實存在,「找出IC設計流程中所有步驟相對應的解決方案,融入現有的產業鏈當中,進而解決電子產業的人力欠乏與時間成本。」

電子產業產品易被「山寨」?ECOLUX提出三項解決方案

單就2018年,被山寨的IoT裝置約有3000萬台,這筆統計數據每年又以倍數成長。Steve解釋,電子產品通常內建MCU(Micro Control Unit,微控制器)與韌體,前者容易取得,後者則容易被山寨。

「山寨」使得電子產品的生命周期大幅縮短,並不利於整個產業鏈的發展,但應該如何解決?

Steve提出:「第一種可能是增加與MCU相關的安全硬體,另一個就是將韌體加密。」但以現階段技術來說,韌體加密的可行性比較高,「我們會在前面階段收取顧問費、替代開發費,後面則針對每一個經申請的IC,收取權利金。」

目前ECOLUX提供三項產品服務:

  1. FEPS (Firmware Encryption & Protection Service,韌體加密與保護服務):讓客戶的產品不被山寨,同時降低被入侵的風險。

  2. SOTA (Secure Over-The Air Update Service,韌體安全更新服務):確保韌體更新過程中不被駭客入侵,進而避免惡意程式入侵韌體、內部資訊遭偷竊。

  3. DIMS(Device Identity & Management Service,裝置身份與管理服務):連接各種裝置必須先經過身分驗證,換言之,裝置內部必須有「憑證」。然而,申請憑證需有「憑證中心」,一般製造商不太可能自行營運憑證中心、發證方、置入安全晶片等相關技術或設備。Steve提出,ECOLUX建立自家的憑證中心,如此有兩個好處,一是替客戶節省成本,另一是能夠彈性幫客戶媒合其他憑證中心。

「『憑證』是我們的解決方法之一,從晶片內部解決資安問題;在安全傳輸過程中,我們提供銀行等級的加密技術,將其應用於保護軟體、加密韌體。」Steve補充。

編按:韌體(Firmware)是介於硬體和軟體之間的一種程式指令或資料。
產品FEPS提供的物聯網全生命週期方案。
尚承科技

至於為何多數企業不考慮培植自家的資安團隊,Steve提出三點看法:「撇除合適人才難找的因素,首先,公司每年了不起就開發一個新的IC,如果養一個團隊就會變成固定人力成本,這並不划算;第二,很多客戶都必須面臨『上市時間』的壓力,無心應付其他(人力、時間等)成本;第三,產品從開發階段已經有安全風險,像是代工廠的品質如何保證?當韌體更新已經脫離公司內部,雲端的安全性又該如何確保?」

因此,為了協助企業在不用建置自家團隊、不改變製造流程的情況下解決資安問題,團隊提供具效率且相對划算的解決方案,「基本上,我們收到一個新的IC,他們只需要2~3天就能符合所有安全需求。」執行長提到,再者,從設備製造的源頭做起,建立整個cycle的安全,無論是韌體保護、韌體更新、晶片製造、產品交付,尚承科技都有能力做好安全防護工作。

不被創投青睞?換個方式突破瓶頸

回憶剛成立 ECOLUX 所面臨的第一個挑戰是募資困難,Steve 分享:「在2017年,我與近上百位的投資人晤談,但題目太新穎、沒有人聽過,投資人也許因為不熟悉產業細節,對我的創業提案不感興趣;直至2018年我遇見奇景光電Himax吳炳昇董事長,他也是工研院出身,很親切地詢問我細節,正巧!他當時也在進行AIot相關計畫,後來也成為我們的天使投資人。」

幸運地抓住機會,但 Steve 也同時反省自己的創業方向,認為當時貿然找投資人是不對的,應該要先找合作夥伴、找人幫ECOLUX推薦,證明這個創業題目具有市場價值。於是,創辦人毅然決然地停止募資,轉而透過人脈、參加國外展會等方式找尋合作夥伴,包含全球第三大MCU供應商Microchip、安全晶片供應商Infineon、NXP與奇景光電Himax。

「我們自詡為IoT最佳合作夥伴。」Steve自信說道,團隊的其中一項產品-FEPS通過ARM平台安全架構(Platform Security Architecture)的認證,成為台灣首家、唯一能夠直接協助其IP終端客戶打造軟體保護措施的公司;另一方面,國內IC設計領導廠商的新一代安全相關晶片,裡頭的安全機制,也是由ECOLUX設計提供。不僅如此,團隊亦參與OCF(OPEN CONNECTIVITY FOUNDATION),加入時間大約一年多,且在重大議案擁有表決權。

二次創業:過去的每一步都是關鍵

「我在工研院待了將近10年,於產業鏈的歷練夠久,當中跨足非常多領域,從純軟體研發、微機電研發、一直到IC的領域。」離開工研院後,Steve第一次創業,當時進入代理觸控晶片與指紋辨識模組的供應商,指派到深圳,而後卻發現公司被詐騙、面臨經營危機,「當時只有兩條路選擇,要不繼續代理,或讓團隊就地解散。我選擇第一條路,第一年當然賠慘了,但我覺得人生就是不斷學習、然後成長,能力就會提升到另一個階段。」隔年公司創造利潤,他果斷將公司賣給夥伴、回到台灣。

43歲二次創業、成立ECOLUX,「我真正想做的是以半導體基礎、但核心是軟體的事業,實現AIoT Security made effortless。」問及創業心得,除了享受問題被解決的成就感,Steve幽默回應:「想要弄死一個人就叫他去創業。」

尚承科技(ECOLUX)今年預計啟動A輪募資新台幣6000萬元,並以台灣公司為募資主體,於4月底前完成募資。

創辦人暨執行長賴育承(Steve)
賀大新攝影

創業快問快答

Q:創業至今,做得最好的三件事為何?

  1. 帶領尚承科技成為全球前三大安全晶片供應商的安全設計合作夥伴。

  2. 產品及服務正式上線至今不到一年,客戶數已突破100家。

  3. 競爭對手做不到的事,尚承科技做到了!

Q:最常被客戶或投資人問起的事情?您會如何回應?

「為什麼尚承科技可以獲得這麼多國際大公司的認可?」

A:「我們知道物聯網產業的痛點,並解決產業的安全問題。」

Q:長遠來看,公司想成為一家何種類型的公司?下一步的目標是什麼?你們如何完成?

  1. 需要物聯網安全就想到尚承!

  2. 未來5年創造10億營收。

  3. 透過與合作夥伴的緊密合作、共創雙贏。

團隊資訊

公司名稱:尚承科技股份有限公司
成立時間:2014/3/24
產品名稱:韌體加密與保護服務、韌體安全更新服務、裝置身份與管理服務
上線時間:2019/3/1
團隊人數:16名
官方網站Facebook新創資料庫

每日精選科技圈重要消息