1 如何根据 ISA/IEC 安全标准确保工业物联网设计的安全-德赢Vwin官网 网
0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何根据 ISA/IEC 安全标准确保工业物联网设计的安全

海阔天空的专栏 来源:Jacob Beningo 作者:Jacob Beningo 2024-02-13 17:09 次阅读

作者:Jacob Beningo

投稿人:DigiKey 北美编辑

工业设备正在迅速与物联网 (IoT) 互连,以提高效率、安全和远程监控能力。然而,由于工业物联网 (IIoT) 设备的高价值,往往成为黑客的主要攻击目标。因此,工业设备设计者必须按照行业标准实施其安全解决方案。工业设备也必须通过最新技术不断地升级安全解决方案,以保护其设备的数据资产,又不会削弱安全性,增加开发成本。

本文将讨论工业安全标准和方法,如 IEC 62443 和 SESIP。然后,探讨 IIoT 设计者如何通过 [NXP Semiconductors] 的工业安全方法,利用 EdgeLock Assurance 微控制器和安全元件来满足这些规范。

什么是 IEC 62443?

IEC 62443 是由 ISA99 委员会制定并由国际电工委员会 (IEC) 批准的一系列标准。该标准制定了一个灵活的安全框架,可帮助开发人员减少工业自动化控制系统的安全漏洞。IEC 62443 分为四个主要部分,涵盖组件、系统、政策和程序以及一般性规范(图 1)。

IIoT 设备可使用 IEC 62443 标准的图(点击放大)。图 1:IIoT 设备可使用 IEC 62443 标准。该标准定义了一个灵活的框架来减少安全漏洞。(图片来源:IEC)

虽然 IEC 62443 的每个领域都会对 IIoT 设备开发者有所帮助,但定义产品开发要求和组件安全要求的两个部分是:

  • IEC 62443-4-1:产品安全开发生命周期要求
  • IEC 62443-4-2:工业自动化和控制系统的安全:IACS 部件的技术安全要求

IEC 62443-4-1 为开发者提供了安全产品开发的流程要求,并定义了安全产品开发的生命周期。该生命周期包括安全要求定义、安全设计、安全实施、验证和确认、缺陷管理、补丁管理和产品报废。

IEC 62443-4-2 规定了设备构成组件的技术安全要求,如网络组件、主机组件和软件应用。该标准规定了安全能力,使组件在没有补偿性应对措施的辅助下能够减轻特定安全级别的威胁。

什么是 SESIP?

SESIP 是物联网平台方法的安全评估标准。该标准为评估所连接产品的安全性提供了一种常见的优化方法,能够应对不断发展的物联网生态系统的特定合规性、安全性、隐私性和可扩展性挑战。

SESIP 的主要特点如下:

  • 提供一种灵活高效的安全评估方法,致力于解决物联网生态系统的复杂性问题
  • 提供一种可用于不同认证计划的、公认的常见方法,以此来推动一致性
  • 提供一种可与其他评估方法相匹配并符合各种标准和法规的方法,为物联网利益相关者减少复杂性、成本和上市时间
  • 通过组合已认证部件并在不同的评估中重复使用认证,来促进设备认证
  • 确立一种灵活、一致的方法,让物联网开发者能够展示其物联网产品的安全能力,服务提供商能够选择符合其安全需求的产品

EdgeLock Assurance:总体安全方法

为了帮助 IIoT 开发者满足设备安全需求,NXP 创建了一种称为 EdgeLock Assurance 的整体安全方法。EdgeLock Assurance 适用于 NXP 的产品线,旨在满足 IEC 62443-4-1 等行业安全标准。图 2 中强调的安全方法结合了成熟的流程和验证评估,可帮助设计者、开发者满足安全要求——从产品概念到发布。

EdgeLock Assurance 适用于 NXP 的产品线图 2:EdgeLock Assurance 应用于 NXP 的产品线,可满足行业安全标准并简化安全开发周期。(图片来源: NXP)

EdgeLock Assurance 有助于确保设备具有抗攻击性,通过审查和评估来遵循安全设计,符合行业标准,获得 EAL3 及以上标准或 SESIP L2 及以上标准的认证。此外,NXP 的一些微控制器和安全元件解决方案可帮助工业设计者简化安全解决方案,并确保其满足这种总体安全方法。

用于 IIoT 的 EdgeLock Assurance 微控制器

目前有几个不同的 NXP 零件系列被列入 EdgeLock Assurance 计划。这些零件包括 [LPC5500]和 [i.MX RT1170]。

LPC5500 系列采用 [Arm®]Cortex®-M33 处理器,运行速度高达 100 MHz。此外,这些零件利用 Cortex-M33 基于硬件的安全功能(如 TrustZone),为可信软件提供硬件隔离,以及内存保护单元 (MPU) 和 CASPER 加密协处理器,从而为特定的非对称加密算法实现硬件加速。LPC5500 系列还支持 SRAM 物理不可克隆函数 (PUF),用于信任根配置。图 3 所示为 LPC5500 的其他特征。

NXP LPC5500 利用 Arm Cortex-M33 和 TrustZone 的图(点击放大)图 3:LPC5500 利用带有 TrustZone 的 Arm Cortex-M33 可安全地执行软件和应用以及进行各种安全增强。(图片来源: NXP)

i.MX RT1170 是一款跨界的微控制器,突破了微控制器处理能力的极限。这款器件由两个微控制器内核组成;一个 1 GHz Arm Cortex-M7 和一个 400MHz Arm Cortex-M4。此外,RT1170 具有先进的安全功能,如安全启动、高性能加密、在线加密引擎和即时 AES 解密。RT1170 的通用功能如图 4 所示。

NXP i.MX RT1170 采用了高性能 Arm Cortex-M7 和 Cortex-M4 内核的图(点击放大)。图 4:i.MX RT1170 采用了高性能 Arm Cortex-M7 和 Cortex-M4 内核,具有先进的安全功能,为 IIoT 设备提供了安全解决方案。(图片来源: NXP)

为了帮助开发者启动项目,NXP 提供了几种不同的开发板,用来测试高性能零件,以确定这些零件是否适合具体应用需求。例如,[MIMXRT1170-EVK] 评估套件含一块板,该板上有各种板载存储器、传感器和连接部件,使开发者能够快速制作工业设备原型。然后,开发者可以利用 NXP 的 [MCUXpresso]软件包和工具来探索这一系列微控制器所具有的安全解决方案和功能。

NXP 安全元件

除了使用 EdgeLock Assurance 微控制器外,IIoT 设计者还可能需要考虑使用诸如 [SE050]之类的安全元件。安全元件是一种即用型 IC 级信任根,可使 IIoT 系统具有开箱即用的边缘到云的能力。

使用 SE050,设计者可以安全地存储和配置凭证,并为安全关键型通信和控制功能执行加密操作,如与公共/私有云的安全连接、设备对设备的认证以及敏感型传感器数据的保护。此外,SE050 还配有 Java 卡操作系统和一个针对物联网安全用例进行了优化的小应用程序。

以下图 5 所示为一个应用实例。在该示例中,安全传感器通过安全 I²C 接口与 SE050 连接。主 MCU/MPU 通过目标 I²C 接口与 SE050 进行通信。SE050 物联网 APPLET 可以通过 NFC 设备阅读器进行设置和读取,以便设备进行配置。SE050 分离并保护传感器执行器的数据。

NXP SE050 安全元件的图图 5:使用 SE050 安全元件,设计者可以安全地存储和配置凭证,并为安全关键型通信和控制执行加密操作。(图片来源: NXP)

IIoT 应用的技巧和窍门

确保 IIoT 设备安全无小事。对于设备来讲,每天都面临着各种截然不同的威胁。如果开发人者不小心,确保设计的安全性可能会非常耗时。以下是开发者应牢记的几个“技巧和窍门”,这有助于对物联网应用进行低功耗优化,例如:

  • 在设计中使用为符合 IEC 62443 和 SESIP 标准而开发的微控制器和组件。
  • 对于节能型物联网设备,可以考虑使用一个使用 TrustZone 的单微控制器内核,如 LPC5500 系列。
  • 对于需要高计算性能的物联网设备,可使用 i.MX RT1170 之类的交叉微控制器进行研究。
  • 利用安全元件作为辅助安全设备,简化配置并确保云通信安全。
  • 使用开发板对各种安全解决方案和选项进行实验。许多开发板都包括与微控制器连接的安全元件,可以用来尽早地完成安全解决方案。

结语

IIoT 设备为工业应用带来了新的能力和特性,提高了效率、安全和远程监控能力。然而,这些系统的最大威胁来自于黑客试图利用的安全漏洞。如图所示,在 NXP 提供的 EdgeLock Assurance 微控制器和安全元件上实现诸如 IEC 62443 和 SESIP 等新的标准、认证和方法,这有助于保护 IIoT 设计。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 微控制器
    +关注

    关注

    48

    文章

    7542

    浏览量

    151306
  • 物联网
    +关注

    关注

    2909

    文章

    44557

    浏览量

    372740
  • IEC
    IEC
    +关注

    关注

    2

    文章

    200

    浏览量

    28885
  • IIoT
    +关注

    关注

    3

    文章

    231

    浏览量

    26076
收藏 人收藏

    评论

    相关推荐

    联网时代百亿设备大爆发 世界安全该如何守护?

    联网主要应用于车联网、智慧制造、智能家居、可穿戴设备等十大领域,如下表所示。这十个领域根据客户市场不同,又可为产业
    发表于 12-10 14:34

    直击联网安全问题:机智云与斗象科技建物联网安全实验室

    的研究成果和联网安全态势报告,解决当下联网安全问题频出但具体统计分析不足的现状,并给出有效解
    发表于 12-30 14:25

    如何保障联网设备安全

    通过FIPS认证的硬件加密引擎,支持工业标准算法。安全MCU集成了先进的加密和物理保护机制,以最高安全等级应对旁道攻击、物力篡改和逆向工程,同时安全
    发表于 09-07 10:36

    联网安全那些事,你知多少?

    。一、联网安全问题日益突出在当前万互联的时代下,全球联网业务迅猛发展,而我国又处于引领地位
    发表于 10-29 14:51

    联网面临的安全问题

    作者:朱红儒 齐旻鹏来源:中国移动通信有限公司研究院联网面对的安全问题根据联网自身的特点,
    发表于 07-19 06:56

    平台安全架构对联网安全的影响

    随着联网(IoT)的发展,近年来所部署的连接设备也与日俱增,这促使针对联网的攻击数量急剧上升。这些攻击凸显了一个非常现实的需求:为互联设备的整个价值链提供更有效的
    发表于 07-22 07:41

    工业联网的现况如何

    会有很大的发展空间。另外,数据安全问题一直是联网应用的痛点,在工业联网领域同样是亟待解决的问
    发表于 09-19 09:05

    联网成信息安全“重灾区” 

    ,Gartner预测全球联网安全支出将在2018年达到15亿美元,比2017年的12亿美元增长28%,预计2021年联网
    发表于 02-14 15:41

    联网通信安全需求如何实现

    摘要算法,应用开发单位可以根据实际情况调用加密函数,设置密钥以构建无线侧安全体系。严密的安全机制使得该技术可在
    发表于 06-05 20:24

    联网安全的守则

    了解联网安全的八大守则
    发表于 01-22 06:13

    联网时代如何才能确保SoC的安全

    安全的片上系统需要的关键功能是什么?联网时代如何才能确保SoC的安全
    发表于 05-20 06:51

    如何构建安全联网架构

    构建基于 MCU 安全联网系统《中国电子报》(2019 MCU 专题)2019年11月8日中国软件行业协会嵌入式系统分会 何小庆面对增长迅速、应用碎片化的
    发表于 11-03 06:36

    联网智慧电梯如何监测电梯安全

    电梯行业快速发展的今天,电梯维保服务人员的短缺和电梯数量的与日俱增使电梯维保业不堪重荷,维保乏力,安全事故频发,行业问题更加凸显,保障电梯安全一直以来都是困扰世界各国的难题。随着联网
    发表于 12-16 14:01

    详解LoRa是如何确保联网安全与如何实践的?

    确保联网(IoT)部署的功能安全和信息安全不仅是选择正确的协议的问题,它还依赖于实施过程以及最佳实践和行业
    的头像 发表于 03-16 16:37 2827次阅读

    一分钟讲透:什么是工业网络安全IEC 62443标准?该如何快速实现?

    防护体系?这是整个行业必须认真回答的问题。 工业网络安全 IEC 62443 标准正是在这样的背景下应运而生的。IEC 62443是一系列
    的头像 发表于 06-09 08:10 1507次阅读