作者:Jacob Beningo
投稿人:DigiKey 北美编辑
工业设备正在迅速与物联网 (IoT) 互连,以提高效率、安全和远程监控能力。然而,由于工业物联网 (IIoT) 设备的高价值,往往成为黑客的主要攻击目标。因此,工业设备设计者必须按照行业标准实施其安全解决方案。工业设备也必须通过最新技术不断地升级安全解决方案,以保护其设备的数据资产,又不会削弱安全性,增加开发成本。
本文将讨论工业安全标准和方法,如 IEC 62443 和 SESIP。然后,探讨 IIoT 设计者如何通过 [NXP Semiconductors] 的工业安全方法,利用 EdgeLock Assurance 微控制器和安全元件来满足这些规范。
IEC 62443 是由 ISA99 委员会制定并由国际电工委员会 (IEC) 批准的一系列标准。该标准制定了一个灵活的安全框架,可帮助开发人员减少工业自动化和控制系统的安全漏洞。IEC 62443 分为四个主要部分,涵盖组件、系统、政策和程序以及一般性规范(图 1)。
图 1:IIoT 设备可使用 IEC 62443 标准。该标准定义了一个灵活的框架来减少安全漏洞。(图片来源:IEC)
虽然 IEC 62443 的每个领域都会对 IIoT 设备开发者有所帮助,但定义产品开发要求和组件安全要求的两个部分是:
IEC 62443-4-1 为开发者提供了安全产品开发的流程要求,并定义了安全产品开发的生命周期。该生命周期包括安全要求定义、安全设计、安全实施、验证和确认、缺陷管理、补丁管理和产品报废。
IEC 62443-4-2 规定了设备构成组件的技术安全要求,如网络组件、主机组件和软件应用。该标准规定了安全能力,使组件在没有补偿性应对措施的辅助下能够减轻特定安全级别的威胁。
SESIP 是物联网平台方法的安全评估标准。该标准为评估所连接产品的安全性提供了一种常见的优化方法,能够应对不断发展的物联网生态系统的特定合规性、安全性、隐私性和可扩展性挑战。
SESIP 的主要特点如下:
为了帮助 IIoT 开发者满足设备安全需求,NXP 创建了一种称为 EdgeLock Assurance 的整体安全方法。EdgeLock Assurance 适用于 NXP 的产品线,旨在满足 IEC 62443-4-1 等行业安全标准。图 2 中强调的安全方法结合了成熟的流程和验证评估,可帮助设计者、开发者满足安全要求——从产品概念到发布。
图 2:EdgeLock Assurance 应用于 NXP 的产品线,可满足行业安全标准并简化安全开发周期。(图片来源: NXP)
EdgeLock Assurance 有助于确保设备具有抗攻击性,通过审查和评估来遵循安全设计,符合行业标准,获得 EAL3 及以上标准或 SESIP L2 及以上标准的认证。此外,NXP 的一些微控制器和安全元件解决方案可帮助工业设计者简化安全解决方案,并确保其满足这种总体安全方法。
目前有几个不同的 NXP 零件系列被列入 EdgeLock Assurance 计划。这些零件包括 [LPC5500]和 [i.MX RT1170]。
LPC5500 系列采用 [Arm®]Cortex®-M33 处理器,运行速度高达 100 MHz。此外,这些零件利用 Cortex-M33 基于硬件的安全功能(如 TrustZone),为可信软件提供硬件隔离,以及内存保护单元 (MPU) 和 CASPER 加密协处理器,从而为特定的非对称加密算法实现硬件加速。LPC5500 系列还支持 SRAM 物理不可克隆函数 (PUF),用于信任根配置。图 3 所示为 LPC5500 的其他特征。
图 3:LPC5500 利用带有 TrustZone 的 Arm Cortex-M33 可安全地执行软件和应用以及进行各种安全增强。(图片来源: NXP)
i.MX RT1170 是一款跨界的微控制器,突破了微控制器处理能力的极限。这款器件由两个微控制器内核组成;一个 1 GHz Arm Cortex-M7 和一个 400MHz Arm Cortex-M4。此外,RT1170 具有先进的安全功能,如安全启动、高性能加密、在线加密引擎和即时 AES 解密。RT1170 的通用功能如图 4 所示。
图 4:i.MX RT1170 采用了高性能 Arm Cortex-M7 和 Cortex-M4 内核,具有先进的安全功能,为 IIoT 设备提供了安全解决方案。(图片来源: NXP)
为了帮助开发者启动项目,NXP 提供了几种不同的开发板,用来测试高性能零件,以确定这些零件是否适合具体应用需求。例如,[MIMXRT1170-EVK] 评估套件含一块板,该板上有各种板载存储器、传感器和连接部件,使开发者能够快速制作工业设备原型。然后,开发者可以利用 NXP 的 [MCUXpresso]软件包和工具来探索这一系列微控制器所具有的安全解决方案和功能。
除了使用 EdgeLock Assurance 微控制器外,IIoT 设计者还可能需要考虑使用诸如 [SE050]之类的安全元件。安全元件是一种即用型 IC 级信任根,可使 IIoT 系统具有开箱即用的边缘到云的能力。
使用 SE050,设计者可以安全地存储和配置凭证,并为安全关键型通信和控制功能执行加密操作,如与公共/私有云的安全连接、设备对设备的认证以及敏感型传感器数据的保护。此外,SE050 还配有 Java 卡操作系统和一个针对物联网安全用例进行了优化的小应用程序。
以下图 5 所示为一个应用实例。在该示例中,安全传感器通过安全 I²C 接口与 SE050 连接。主 MCU/MPU 通过目标 I²C 接口与 SE050 进行通信。SE050 物联网 APPLET 可以通过 NFC 设备阅读器进行设置和读取,以便设备进行配置。SE050 分离并保护传感器执行器的数据。
图 5:使用 SE050 安全元件,设计者可以安全地存储和配置凭证,并为安全关键型通信和控制执行加密操作。(图片来源: NXP)
确保 IIoT 设备安全无小事。对于设备来讲,每天都面临着各种截然不同的威胁。如果开发人者不小心,确保设计的安全性可能会非常耗时。以下是开发者应牢记的几个“技巧和窍门”,这有助于对物联网应用进行低功耗优化,例如:
IIoT 设备为工业应用带来了新的能力和特性,提高了效率、安全和远程监控能力。然而,这些系统的最大威胁来自于黑客试图利用的安全漏洞。如图所示,在 NXP 提供的 EdgeLock Assurance 微控制器和安全元件上实现诸如 IEC 62443 和 SESIP 等新的标准、认证和方法,这有助于保护 IIoT 设计。
全部0条评论
快来发表一下你的评论吧 !