安全设备/系统
如何让您的设计满足
网络安全需求
近年来,物联网的发展日趋快速,消费者与企业也采用越来越多的物联网设备,但这也使得物联网设备成为黑客攻击的目标,如何解决物联网设备的安全问题,成为消费者与企业所关注的议题。本文将为您介绍目前物联网应用所面临的挑战,以及相关的法律规范,并为您介绍艾睿电子与意法半导体(ST Microelectronics)的相关解决方案。
缺乏网络安全所造成的物联网挑战
依据统计数据显示,当前物联网技术所面对的挑战,主要来自物联网设备开发商急于开发未得到适当保护的物联网产品,其次则是缺乏数据分析专家,使得企业无法从物联网中受益。此外,市面上有太多容易受到攻击的物联网产品,加上消费者几乎不爱去更新固件,都使得物联网的安全性备受挑战。
目前经常传出黑客利用物联网漏洞暴露用户账户的消息,这些用户数据经常沦为诈骗集团用来欺骗消费者钱财的基本信息,此外也有一些物联网设备被黑客侵入,泄漏用户的隐私,通过被侵入的摄像机,使用者的生活随意被外人浏览,活像生活在“楚门的世界”。
由于物联网设备会传输和处理大量数据,这些数据可能包含敏感信息。因此,保障物联网系统的安全性和用户隐私成为一个关键挑战,恶意攻击、数据泄露和未经授权的访问都是需要应对的风险。
缺乏网络安全可能导致一系列严重的问题,涉及个人、组织和整个社会,其中包括数据泄露、金融损失、商业信誉损失、基础设施威胁、勒索软件、国家安全威胁等,为了应对这些问题,组织和个人都应该加强网络安全措施,包括定期更新软件、使用强大的密码、实施多重身份验证、定期进行安全审查和培训员工提高安全意识等,以避免代价高昂的数据和智慧财产(IP)泄露,以及造成企业的声誉受损、上市时间变慢,甚至导致诉讼和罚款。此外,政府应该推动相应的法规和政策,鼓励和监督企业和组织加强其网络安全体系。
不同国家推出监管措施来增强网络安全
目前有许多网络安全规范与标准,它们旨在提供组织和业界确保信息安全性的指导原则。不同的国家地区也各自制定相关的网络安全规范,其中包括由欧盟主导的ETSI EN 303 645、美国主导的UL 2900-1标准,也有一些物联网设备的认证单位,像是CTIA与IoXt等。
其中由欧洲电信标准协会(ETSI)推出的EN 303 645,是第一个适用于全球消费性物联网设备的网络安全标准,其对消费性物联网的基准要求,旨在将技术和组织措施结合起来,实现网络安全的良好实践,包括了13个网络安全方面和数据保护方面,共33条强制规定和35条件建议性规定。
ETSI EN 303645在硬件方面要求安全地存储敏感的安全参数、安全通信、最大限度地减少暴露的攻击面、确保软件完整性,在软件/固件方面,要求不使用通用的默认密码、确保个人资料安全、使系统能够应对中断、验证输入数据,在公司政策方面,则要求实施一种管理漏洞报告的方法、保持软件更新、检查系统远程数据、让用户可以轻松地删除用户数据、让安装和维护变得简单、清楚解释收集了哪些个人资料以及收集的目的,以确保物联网设备符合所需的安全规范。
满足网络安全法规和标准的PSA认证
想要确保物联网产品合规,可以进行PSA认证。PSA认证是专为物联网设备设计的安全认证计划,它是由领先的半导体和软件设计公司Arm与其他行业合作伙伴合作发起。PSA认证的主要目标是建立一个全球认可的框架,来评估和认证物联网设备的安全性。该计划提供了一套安全指南、评估标准和测试方法,以确保物联网设备满足最低安全要求。
PSA认证为物联网设备定义了全面的安全框架,该框架涵盖了各种安全方面,包括设备身份、安全启动、安全通信、固件更新和加密。它提供了一种标准化方法来解决物联网设备整个生命周期中的安全挑战。该计划包括由认可实验室进行的独立安全评估,这些评估根据PSA认证的安全要求,评估物联网设备的安全功能和实施,这些评估的独立性,增加了经过认证的设备安全声明的可信度和信心。
PSA认证会根据物联网设备的安全能力提供不同级别的认证,认证级别范围从1级(基础)到3级(高级),每个级别都代表安全保障级别的不断提高。组织可以根据其特定的安全需求和物联网设备的预期用途,来选择适当的认证级别。
对物联网产品制造商来说,通过PSA认证可使厂商的物联网设备构成系统信任链中的信任锚,由于法规还在不断发展和强化,新设计必须面向未来,满足欧洲、北美、亚太地区的要求,并可基于业界的最佳实践来开发产品。
依据最近对芯片供应商进行的一项调查显示,客户开发安全产品的第一大障碍是缺乏内部安全专业知识,由于最终客户对此有要求,因此产品制造商需要建立/开发值得信赖的产品,并降低产品开发时的风险和压力。
PSA认证包括由认可实验室进行的独立安全评估,这些评估根据PSA认证的安全要求评估物联网设备的安全功能和实施。通过进行这些评估,组织可以获得对其设备安全功能的客观评估,从而证明其符合法规和标准。
PSA认证符合现有的网络安全法规和标准,例如欧盟的网络安全法案和英国的消费者物联网安全实践准则。通过遵守PSA认证制定的安全原则和要求,组织可以确保遵守这些法规并展示其对安全的承诺,并与客户、合作伙伴和监管机构建立信任。它提供了一种结构化方法来满足物联网设备特定的网络安全法规和标准,使组织能够更有效地应对物联网安全要求的复杂环境。
只要获得PSA认证,便代表符合业界法规,PSA认证正在积极配合即将到来的法规和标准,包括EN 303 645、NIST 8259A、SB-327、UK DCMS、ENISA (WIP)、IEC 62443 4-2、CSA-311等,并可与UL、ioXt、SESIP、DLC、Amazon Alexa、Munich RE、Matter等组织达成协作和实现重用。
艾睿电子和PSA认证协助推进您的设计
PSA认证框架的步骤包括分析安全需求、架构安全设计、创建设计、验证安全设计。面向OEM的PSA认证1级的物联网安全框架,具有10个特色目标,包括唯一识别、安全生命周期、验证、安全启动、安全更新、防回滚、隔离、相互作用、安全存储、加密/可信服务,为经过独立实验室验证的物联网安全评估提供途径。
艾睿电子正在与PSA认证的1级认证应用合作,OEM可以将其用作互联安全设计的基础。OEM可以采用参考设计,对其IP进行分层,并通过加速认证流程来完成完整的应用,这使他们能够更自信、更快速、安全地成功地将产品推向市场。
PSA认证与艾睿电子将可帮助最终客户,专为物联网打造独特的安全协作方案,包括可为整个生态系统释放新的商业机会、提供内建安全性的端对端解决方案、满足关键标准和法规、降低开发安全功能的投入成本、扩展管理供应链和物流业务,并可通过第三方认证以获得保证。
艾睿电子推出了STM32U5安全嵌入式开发套件,其中包括支持TrustZone、WiFi 和蓝牙连接,以及支持多种传感器,结合STM推出的STM32U5微控制器,内置超低功耗的Arm Cortex-M33内核,这组安全开发套件有助于集成安全性,这对于物联网开发人员来说是一项极其复杂的任务。艾睿电子的参考设计适用于安全嵌入式应用,并已通过PSA 1级认证,可与Amazon Web Services(AWS)和Microsoft Azure认证等领先云提供商无缝协作。
另一方面,Silicon Labs推出了Secure Vault平台,包含了一整套业界前沿的先进安全功能,可解决不断升级的物联网威胁,并可降低物联网生态系统安全漏洞风险,减少知识产权泄露风险或伪造造成的收入损失。Secure Vault技术可防止可扩展的本地和远程软件攻击,并防御本地硬件攻击。
Secure Vault的主要功能包括安全密钥管理、防回滚保护、防篡改、带锁定/解锁的安全调试、安全链路、RTSL安全启动、安全认证、差分功率分析(DPA)对策、真随机数发生器(TRNG)等。此外,Secure Vault在EFR32FG23B和EFR32MG21B上已获得了PSA 3级认证,将可加快客户的产品开发流程。
结语
随着物联网应用的普及,物联网设备的安全性也备受到重视,通过PSA认证的物联网设备,也代表着该产品能够符合物联网安全规范的要求,将可提升该产品的附加价值,提高消费者的信任度与采购意愿。艾睿电子与PSA认证组织合作,将可协助物联网设备开发商进行产品的PSA认证,并提供相关的解决方案来加快产品的开发速度,将是物联网产品开发商的最佳合作伙伴。
审核编辑:黄飞
全部0条评论
快来发表一下你的评论吧 !