如何根据 ISA/IEC 安全标准确保工业物联网设计的安全

作者：Jacob Beningo

投稿人：DigiKey 北美编辑

工业设备正在迅速与物联网 (IoT) 互连，以提高效率、安全和远程监控能力。然而，由于工业物联网 (IIoT) 设备的高价值，往往成为黑客的主要攻击目标。因此，工业设备设计者必须按照行业标准实施其安全解决方案。工业设备也必须通过最新技术不断地升级安全解决方案，以保护其设备的数据资产，又不会削弱安全性，增加开发成本。

本文将讨论工业安全标准和方法，如 IEC 62443 和 SESIP。然后，探讨 IIoT 设计者如何通过 [NXP Semiconductors] 的工业安全方法，利用 EdgeLock Assurance 微控制器和安全元件来满足这些规范。

什么是 IEC 62443？

IEC 62443 是由 ISA99 委员会制定并由国际电工委员会 (IEC) 批准的一系列标准。该标准制定了一个灵活的安全框架，可帮助开发人员减少工业自动化和控制系统的安全漏洞。IEC 62443 分为四个主要部分，涵盖组件、系统、政策和程序以及一般性规范（图 1）。

图 1：IIoT 设备可使用 IEC 62443 标准。该标准定义了一个灵活的框架来减少安全漏洞。（图片来源：IEC）

虽然 IEC 62443 的每个领域都会对 IIoT 设备开发者有所帮助，但定义产品开发要求和组件安全要求的两个部分是：

• IEC 62443-4-1：产品安全开发生命周期要求
• IEC 62443-4-2：工业自动化和控制系统的安全：IACS 部件的技术安全要求

IEC 62443-4-1 为开发者提供了安全产品开发的流程要求，并定义了安全产品开发的生命周期。该生命周期包括安全要求定义、安全设计、安全实施、验证和确认、缺陷管理、补丁管理和产品报废。

IEC 62443-4-2 规定了设备构成组件的技术安全要求，如网络组件、主机组件和软件应用。该标准规定了安全能力，使组件在没有补偿性应对措施的辅助下能够减轻特定安全级别的威胁。

什么是 SESIP？

SESIP 是物联网平台方法的安全评估标准。该标准为评估所连接产品的安全性提供了一种常见的优化方法，能够应对不断发展的物联网生态系统的特定合规性、安全性、隐私性和可扩展性挑战。

SESIP 的主要特点如下：

• 提供一种灵活高效的安全评估方法，致力于解决物联网生态系统的复杂性问题
• 提供一种可用于不同认证计划的、公认的常见方法，以此来推动一致性
• 提供一种可与其他评估方法相匹配并符合各种标准和法规的方法，为物联网利益相关者减少复杂性、成本和上市时间
• 通过组合已认证部件并在不同的评估中重复使用认证，来促进设备认证
• 确立一种灵活、一致的方法，让物联网开发者能够展示其物联网产品的安全能力，服务提供商能够选择符合其安全需求的产品

EdgeLock Assurance：总体安全方法

为了帮助 IIoT 开发者满足设备安全需求，NXP 创建了一种称为 EdgeLock Assurance 的整体安全方法。EdgeLock Assurance 适用于 NXP 的产品线，旨在满足 IEC 62443-4-1 等行业安全标准。图 2 中强调的安全方法结合了成熟的流程和验证评估，可帮助设计者、开发者满足安全要求——从产品概念到发布。

图 2：EdgeLock Assurance 应用于 NXP 的产品线，可满足行业安全标准并简化安全开发周期。（图片来源： NXP）

EdgeLock Assurance 有助于确保设备具有抗攻击性，通过审查和评估来遵循安全设计，符合行业标准，获得 EAL3 及以上标准或 SESIP L2 及以上标准的认证。此外，NXP 的一些微控制器和安全元件解决方案可帮助工业设计者简化安全解决方案，并确保其满足这种总体安全方法。

用于 IIoT 的 EdgeLock Assurance 微控制器

目前有几个不同的 NXP 零件系列被列入 EdgeLock Assurance 计划。这些零件包括 [LPC5500]和 [i.MX RT1170]。

LPC5500 系列采用 [Arm®]Cortex®-M33 处理器，运行速度高达 100 MHz。此外，这些零件利用 Cortex-M33 基于硬件的安全功能（如 TrustZone），为可信软件提供硬件隔离，以及内存保护单元 (MPU) 和 CASPER 加密协处理器，从而为特定的非对称加密算法实现硬件加速。LPC5500 系列还支持 SRAM 物理不可克隆函数 (PUF)，用于信任根配置。图 3 所示为 LPC5500 的其他特征。

图 3：LPC5500 利用带有 TrustZone 的 Arm Cortex-M33 可安全地执行软件和应用以及进行各种安全增强。（图片来源： NXP）

i.MX RT1170 是一款跨界的微控制器，突破了微控制器处理能力的极限。这款器件由两个微控制器内核组成；一个 1 GHz Arm Cortex-M7 和一个 400MHz Arm Cortex-M4。此外，RT1170 具有先进的安全功能，如安全启动、高性能加密、在线加密引擎和即时 AES 解密。RT1170 的通用功能如图 4 所示。

图 4：i.MX RT1170 采用了高性能 Arm Cortex-M7 和 Cortex-M4 内核，具有先进的安全功能，为 IIoT 设备提供了安全解决方案。（图片来源： NXP）

为了帮助开发者启动项目，NXP 提供了几种不同的开发板，用来测试高性能零件，以确定这些零件是否适合具体应用需求。例如，[MIMXRT1170-EVK] 评估套件含一块板，该板上有各种板载存储器、传感器和连接部件，使开发者能够快速制作工业设备原型。然后，开发者可以利用 NXP 的 [MCUXpresso]软件包和工具来探索这一系列微控制器所具有的安全解决方案和功能。

NXP 安全元件

除了使用 EdgeLock Assurance 微控制器外，IIoT 设计者还可能需要考虑使用诸如 [SE050]之类的安全元件。安全元件是一种即用型 IC 级信任根，可使 IIoT 系统具有开箱即用的边缘到云的能力。

使用 SE050，设计者可以安全地存储和配置凭证，并为安全关键型通信和控制功能执行加密操作，如与公共/私有云的安全连接、设备对设备的认证以及敏感型传感器数据的保护。此外，SE050 还配有 Java 卡操作系统和一个针对物联网安全用例进行了优化的小应用程序。

以下图 5 所示为一个应用实例。在该示例中，安全传感器通过安全 I²C 接口与 SE050 连接。主 MCU/MPU 通过目标 I²C 接口与 SE050 进行通信。SE050 物联网 APPLET 可以通过 NFC 设备阅读器进行设置和读取，以便设备进行配置。SE050 分离并保护传感器执行器的数据。

图 5：使用 SE050 安全元件，设计者可以安全地存储和配置凭证，并为安全关键型通信和控制执行加密操作。（图片来源： NXP）

IIoT 应用的技巧和窍门

确保 IIoT 设备安全无小事。对于设备来讲，每天都面临着各种截然不同的威胁。如果开发人者不小心，确保设计的安全性可能会非常耗时。以下是开发者应牢记的几个“技巧和窍门”，这有助于对物联网应用进行低功耗优化，例如：

• 在设计中使用为符合 IEC 62443 和 SESIP 标准而开发的微控制器和组件。
• 对于节能型物联网设备，可以考虑使用一个使用 TrustZone 的单微控制器内核，如 LPC5500 系列。
• 对于需要高计算性能的物联网设备，可使用 i.MX RT1170 之类的交叉微控制器进行研究。
• 利用安全元件作为辅助安全设备，简化配置并确保云通信安全。
• 使用开发板对各种安全解决方案和选项进行实验。许多开发板都包括与微控制器连接的安全元件，可以用来尽早地完成安全解决方案。

结语

IIoT 设备为工业应用带来了新的能力和特性，提高了效率、安全和远程监控能力。然而，这些系统的最大威胁来自于黑客试图利用的安全漏洞。如图所示，在 NXP 提供的 EdgeLock Assurance 微控制器和安全元件上实现诸如 IEC 62443 和 SESIP 等新的标准、认证和方法，这有助于保护 IIoT 设计。