0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內(nèi)不再提示

如何根據(jù) ISA/IEC 安全標準確保工業(yè)物聯(lián)網(wǎng)設計的安全

海闊天空的專欄 ? 來源:Jacob Beningo ? 作者:Jacob Beningo ? 2024-02-13 17:09 ? 次閱讀

作者:Jacob Beningo

投稿人:DigiKey 北美編輯

工業(yè)設備正在迅速與物聯(lián)網(wǎng) (IoT) 互連,以提高效率、安全和遠程監(jiān)控能力。然而,由于工業(yè)物聯(lián)網(wǎng) (IIoT) 設備的高價值,往往成為黑客的主要攻擊目標。因此,工業(yè)設備設計者必須按照行業(yè)標準實施其安全解決方案。工業(yè)設備也必須通過最新技術(shù)不斷地升級安全解決方案,以保護其設備的數(shù)據(jù)資產(chǎn),又不會削弱安全性,增加開發(fā)成本。

本文將討論工業(yè)安全標準和方法,如 IEC 62443 和 SESIP。然后,探討 IIoT 設計者如何通過 [NXP Semiconductors] 的工業(yè)安全方法,利用 EdgeLock Assurance 微控制器和安全元件來滿足這些規(guī)范。

什么是 IEC 62443?

IEC 62443 是由 ISA99 委員會制定并由國際電工委員會 (IEC) 批準的一系列標準。該標準制定了一個靈活的安全框架,可幫助開發(fā)人員減少工業(yè)自動化控制系統(tǒng)的安全漏洞。IEC 62443 分為四個主要部分,涵蓋組件、系統(tǒng)、政策和程序以及一般性規(guī)范(圖 1)。

IIoT 設備可使用 IEC 62443 標準的圖(點擊放大)。圖 1:IIoT 設備可使用 IEC 62443 標準。該標準定義了一個靈活的框架來減少安全漏洞。(圖片來源:IEC)

雖然 IEC 62443 的每個領域都會對 IIoT 設備開發(fā)者有所幫助,但定義產(chǎn)品開發(fā)要求和組件安全要求的兩個部分是:

  • IEC 62443-4-1:產(chǎn)品安全開發(fā)生命周期要求
  • IEC 62443-4-2:工業(yè)自動化和控制系統(tǒng)的安全:IACS 部件的技術(shù)安全要求

IEC 62443-4-1 為開發(fā)者提供了安全產(chǎn)品開發(fā)的流程要求,并定義了安全產(chǎn)品開發(fā)的生命周期。該生命周期包括安全要求定義、安全設計、安全實施、驗證和確認、缺陷管理、補丁管理和產(chǎn)品報廢。

IEC 62443-4-2 規(guī)定了設備構(gòu)成組件的技術(shù)安全要求,如網(wǎng)絡組件、主機組件和軟件應用。該標準規(guī)定了安全能力,使組件在沒有補償性應對措施的輔助下能夠減輕特定安全級別的威脅。

什么是 SESIP?

SESIP 是物聯(lián)網(wǎng)平臺方法的安全評估標準。該標準為評估所連接產(chǎn)品的安全性提供了一種常見的優(yōu)化方法,能夠應對不斷發(fā)展的物聯(lián)網(wǎng)生態(tài)系統(tǒng)的特定合規(guī)性、安全性、隱私性和可擴展性挑戰(zhàn)。

SESIP 的主要特點如下:

  • 提供一種靈活高效的安全評估方法,致力于解決物聯(lián)網(wǎng)生態(tài)系統(tǒng)的復雜性問題
  • 提供一種可用于不同認證計劃的、公認的常見方法,以此來推動一致性
  • 提供一種可與其他評估方法相匹配并符合各種標準和法規(guī)的方法,為物聯(lián)網(wǎng)利益相關者減少復雜性、成本和上市時間
  • 通過組合已認證部件并在不同的評估中重復使用認證,來促進設備認證
  • 確立一種靈活、一致的方法,讓物聯(lián)網(wǎng)開發(fā)者能夠展示其物聯(lián)網(wǎng)產(chǎn)品的安全能力,服務提供商能夠選擇符合其安全需求的產(chǎn)品

EdgeLock Assurance:總體安全方法

為了幫助 IIoT 開發(fā)者滿足設備安全需求,NXP 創(chuàng)建了一種稱為 EdgeLock Assurance 的整體安全方法。EdgeLock Assurance 適用于 NXP 的產(chǎn)品線,旨在滿足 IEC 62443-4-1 等行業(yè)安全標準。圖 2 中強調(diào)的安全方法結(jié)合了成熟的流程和驗證評估,可幫助設計者、開發(fā)者滿足安全要求——從產(chǎn)品概念到發(fā)布。

EdgeLock Assurance 適用于 NXP 的產(chǎn)品線圖 2:EdgeLock Assurance 應用于 NXP 的產(chǎn)品線,可滿足行業(yè)安全標準并簡化安全開發(fā)周期。(圖片來源: NXP)

EdgeLock Assurance 有助于確保設備具有抗攻擊性,通過審查和評估來遵循安全設計,符合行業(yè)標準,獲得 EAL3 及以上標準或 SESIP L2 及以上標準的認證。此外,NXP 的一些微控制器和安全元件解決方案可幫助工業(yè)設計者簡化安全解決方案,并確保其滿足這種總體安全方法。

用于 IIoT 的 EdgeLock Assurance 微控制器

目前有幾個不同的 NXP 零件系列被列入 EdgeLock Assurance 計劃。這些零件包括 [LPC5500]和 [i.MX RT1170]。

LPC5500 系列采用 [Arm?]Cortex?-M33 處理器,運行速度高達 100 MHz。此外,這些零件利用 Cortex-M33 基于硬件的安全功能(如 TrustZone),為可信軟件提供硬件隔離,以及內(nèi)存保護單元 (MPU) 和 CASPER 加密協(xié)處理器,從而為特定的非對稱加密算法實現(xiàn)硬件加速。LPC5500 系列還支持 SRAM 物理不可克隆函數(shù) (PUF),用于信任根配置。圖 3 所示為 LPC5500 的其他特征。

NXP LPC5500 利用 Arm Cortex-M33 和 TrustZone 的圖(點擊放大)圖 3:LPC5500 利用帶有 TrustZone 的 Arm Cortex-M33 可安全地執(zhí)行軟件和應用以及進行各種安全增強。(圖片來源: NXP)

i.MX RT1170 是一款跨界的微控制器,突破了微控制器處理能力的極限。這款器件由兩個微控制器內(nèi)核組成;一個 1 GHz Arm Cortex-M7 和一個 400MHz Arm Cortex-M4。此外,RT1170 具有先進的安全功能,如安全啟動、高性能加密、在線加密引擎和即時 AES 解密。RT1170 的通用功能如圖 4 所示。

NXP i.MX RT1170 采用了高性能 Arm Cortex-M7 和 Cortex-M4 內(nèi)核的圖(點擊放大)。圖 4:i.MX RT1170 采用了高性能 Arm Cortex-M7 和 Cortex-M4 內(nèi)核,具有先進的安全功能,為 IIoT 設備提供了安全解決方案。(圖片來源: NXP)

為了幫助開發(fā)者啟動項目,NXP 提供了幾種不同的開發(fā)板,用來測試高性能零件,以確定這些零件是否適合具體應用需求。例如,[MIMXRT1170-EVK] 評估套件含一塊板,該板上有各種板載存儲器、傳感器和連接部件,使開發(fā)者能夠快速制作工業(yè)設備原型。然后,開發(fā)者可以利用 NXP 的 [MCUXpresso]軟件包和工具來探索這一系列微控制器所具有的安全解決方案和功能。

NXP 安全元件

除了使用 EdgeLock Assurance 微控制器外,IIoT 設計者還可能需要考慮使用諸如 [SE050]之類的安全元件。安全元件是一種即用型 IC 級信任根,可使 IIoT 系統(tǒng)具有開箱即用的邊緣到云的能力。

使用 SE050,設計者可以安全地存儲和配置憑證,并為安全關鍵型通信和控制功能執(zhí)行加密操作,如與公共/私有云的安全連接、設備對設備的認證以及敏感型傳感器數(shù)據(jù)的保護。此外,SE050 還配有 Java 卡操作系統(tǒng)和一個針對物聯(lián)網(wǎng)安全用例進行了優(yōu)化的小應用程序。

以下圖 5 所示為一個應用實例。在該示例中,安全傳感器通過安全 I2C 接口與 SE050 連接。主 MCU/MPU 通過目標 I2C 接口與 SE050 進行通信。SE050 物聯(lián)網(wǎng) APPLET 可以通過 NFC 設備閱讀器進行設置和讀取,以便設備進行配置。SE050 分離并保護傳感器執(zhí)行器的數(shù)據(jù)。

NXP SE050 安全元件的圖圖 5:使用 SE050 安全元件,設計者可以安全地存儲和配置憑證,并為安全關鍵型通信和控制執(zhí)行加密操作。(圖片來源: NXP)

IIoT 應用的技巧和竅門

確保 IIoT 設備安全無小事。對于設備來講,每天都面臨著各種截然不同的威脅。如果開發(fā)人者不小心,確保設計的安全性可能會非常耗時。以下是開發(fā)者應牢記的幾個“技巧和竅門”,這有助于對物聯(lián)網(wǎng)應用進行低功耗優(yōu)化,例如:

  • 在設計中使用為符合 IEC 62443 和 SESIP 標準而開發(fā)的微控制器和組件。
  • 對于節(jié)能型物聯(lián)網(wǎng)設備,可以考慮使用一個使用 TrustZone 的單微控制器內(nèi)核,如 LPC5500 系列。
  • 對于需要高計算性能的物聯(lián)網(wǎng)設備,可使用 i.MX RT1170 之類的交叉微控制器進行研究。
  • 利用安全元件作為輔助安全設備,簡化配置并確保云通信安全。
  • 使用開發(fā)板對各種安全解決方案和選項進行實驗。許多開發(fā)板都包括與微控制器連接的安全元件,可以用來盡早地完成安全解決方案。

結(jié)語

IIoT 設備為工業(yè)應用帶來了新的能力和特性,提高了效率、安全和遠程監(jiān)控能力。然而,這些系統(tǒng)的最大威脅來自于黑客試圖利用的安全漏洞。如圖所示,在 NXP 提供的 EdgeLock Assurance 微控制器和安全元件上實現(xiàn)諸如 IEC 62443 和 SESIP 等新的標準、認證和方法,這有助于保護 IIoT 設計。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 微控制器
    +關注

    關注

    48

    文章

    7552

    瀏覽量

    151422
  • 物聯(lián)網(wǎng)

    關注

    2909

    文章

    44635

    瀏覽量

    373353
  • IEC
    IEC
    +關注

    關注

    2

    文章

    200

    瀏覽量

    28893
  • IIoT
    +關注

    關注

    3

    文章

    231

    瀏覽量

    26079
收藏 人收藏

    評論

    相關推薦

    聯(lián)網(wǎng)時代百億設備大爆發(fā) 世界安全該如何守護?

    ,聯(lián)網(wǎng)主要應用于車聯(lián)網(wǎng)、智慧制造、智能家居、可穿戴設備等十大領域,如下表所示。這十個領域根據(jù)客戶市場不同,又可為產(chǎn)業(yè)
    發(fā)表于 12-10 14:34

    直擊聯(lián)網(wǎng)安全問題:機智云與斗象科技建物聯(lián)網(wǎng)安全實驗室

    的研究成果和聯(lián)網(wǎng)安全態(tài)勢報告,解決當下聯(lián)網(wǎng)安全問題頻出但具體統(tǒng)計分析不足的現(xiàn)狀,并給出有效解
    發(fā)表于 12-30 14:25

    如何保障聯(lián)網(wǎng)設備安全

    通過FIPS認證的硬件加密引擎,支持工業(yè)標準算法。安全MCU集成了先進的加密和物理保護機制,以最高安全等級應對旁道攻擊、物力篡改和逆向工程,同時安全
    發(fā)表于 09-07 10:36

    聯(lián)網(wǎng)安全那些事,你知多少?

    。一、聯(lián)網(wǎng)安全問題日益突出在當前萬互聯(lián)的時代下,全球聯(lián)網(wǎng)業(yè)務迅猛發(fā)展,而我國又處于引領地位
    發(fā)表于 10-29 14:51

    聯(lián)網(wǎng)面臨的安全問題

    作者:朱紅儒 齊旻鵬來源:中國移動通信有限公司研究院聯(lián)網(wǎng)面對的安全問題根據(jù)聯(lián)網(wǎng)自身的特點,
    發(fā)表于 07-19 06:56

    平臺安全架構(gòu)對聯(lián)網(wǎng)安全的影響

    隨著聯(lián)網(wǎng)(IoT)的發(fā)展,近年來所部署的連接設備也與日俱增,這促使針對聯(lián)網(wǎng)的攻擊數(shù)量急劇上升。這些攻擊凸顯了一個非?,F(xiàn)實的需求:為互聯(lián)設備的整個價值鏈提供更有效的
    發(fā)表于 07-22 07:41

    工業(yè)聯(lián)網(wǎng)的現(xiàn)況如何

    會有很大的發(fā)展空間。另外,數(shù)據(jù)安全問題一直是聯(lián)網(wǎng)應用的痛點,在工業(yè)聯(lián)網(wǎng)領域同樣是亟待解決的問
    發(fā)表于 09-19 09:05

    聯(lián)網(wǎng)成信息安全“重災區(qū)” 

    ,Gartner預測全球聯(lián)網(wǎng)安全支出將在2018年達到15億美元,比2017年的12億美元增長28%,預計2021年聯(lián)網(wǎng)
    發(fā)表于 02-14 15:41

    聯(lián)網(wǎng)通信安全需求如何實現(xiàn)

    摘要算法,應用開發(fā)單位可以根據(jù)實際情況調(diào)用加密函數(shù),設置密鑰以構(gòu)建無線側(cè)安全體系。嚴密的安全機制使得該技術(shù)可在
    發(fā)表于 06-05 20:24

    聯(lián)網(wǎng)安全的守則

    了解聯(lián)網(wǎng)安全的八大守則
    發(fā)表于 01-22 06:13

    聯(lián)網(wǎng)時代如何才能確保SoC的安全?

    安全的片上系統(tǒng)需要的關鍵功能是什么?聯(lián)網(wǎng)時代如何才能確保SoC的安全?
    發(fā)表于 05-20 06:51

    如何構(gòu)建安全聯(lián)網(wǎng)架構(gòu)

    構(gòu)建基于 MCU 安全聯(lián)網(wǎng)系統(tǒng)《中國電子報》(2019 MCU 專題)2019年11月8日中國軟件行業(yè)協(xié)會嵌入式系統(tǒng)分會 何小慶面對增長迅速、應用碎片化的
    發(fā)表于 11-03 06:36

    聯(lián)網(wǎng)智慧電梯如何監(jiān)測電梯安全

    電梯行業(yè)快速發(fā)展的今天,電梯維保服務人員的短缺和電梯數(shù)量的與日俱增使電梯維保業(yè)不堪重荷,維保乏力,安全事故頻發(fā),行業(yè)問題更加凸顯,保障電梯安全一直以來都是困擾世界各國的難題。隨著聯(lián)網(wǎng)
    發(fā)表于 12-16 14:01

    詳解LoRa是如何確保聯(lián)網(wǎng)安全與如何實踐的?

    確保聯(lián)網(wǎng)(IoT)部署的功能安全和信息安全不僅是選擇正確的協(xié)議的問題,它還依賴于實施過程以及最佳實踐和行業(yè)
    的頭像 發(fā)表于 03-16 16:37 ?2829次閱讀

    一分鐘講透:什么是工業(yè)網(wǎng)絡安全IEC 62443標準?該如何快速實現(xiàn)?

    防護體系?這是整個行業(yè)必須認真回答的問題。 工業(yè)網(wǎng)絡安全 IEC 62443 標準正是在這樣的背景下應運而生的。IEC 62443是一系列
    的頭像 發(fā)表于 06-09 08:10 ?1535次閱讀