工業(yè)物聯(lián)網(wǎng) (IIoT) 領(lǐng)域的制造商正在使用加密模塊來部署安全協(xié)議和算法，以保護數(shù)據(jù)并防止邊緣設(shè)備及其連接網(wǎng)絡(luò)遭受未授權(quán)訪問。

制造商可以從許多加密模塊中進行選擇，但他們普遍認為符合最新聯(lián)邦信息處理標準 (FIPS) 的模塊非常值得信賴。因為FIPS標準由美國國家標準與技術(shù)研究院 (NIST) 制定和維護，這些標準定義了信息技術(shù) (IT) 產(chǎn)品中加密模塊的最低安全要求，涵蓋與模塊設(shè)計和實施相關(guān)的11個領(lǐng)域。

FIPS符合ISO/IEC19790:2012 (E) 標準，該標準指定了4個安全級別，用于多種應(yīng)用環(huán)境，并涵蓋了模塊的設(shè)計、實現(xiàn)和部署。

標記為符合FIPS標準的加密模塊已經(jīng)過聯(lián)邦認可實驗室的嚴格審查，并獲得了加密模塊驗證計劃 (CVMP) 證書。在美國和加拿大，任何接受聯(lián)邦資助的機構(gòu)或組織，以及與聯(lián)邦政府合作的私營組織，必須使用符合FIPS標準的解決方案。FIPS標準也被全球私營部門用作采購指南，并作為許多受監(jiān)管行業(yè)在全球市場上遵循合規(guī)要求的依據(jù)。

由于FIPS標準受到廣泛的信任和尊重，許多IIoT供應(yīng)商現(xiàn)在優(yōu)先確保其整體IIoT設(shè)備及其設(shè)計中嵌入的安全子組件符合FIPS標準。

過渡到新一代標準

FIPS標準會定期修訂，以應(yīng)對新的和新興的威脅。多年來，F(xiàn)IPS 140-2一直是主流標準，但現(xiàn)在140-2正在被FIPS 140-3所取代。

針對FIPS 140-2的CMVP測試的截止日期為2021年9月22日。CMVP證書的有效期為五年，這意味著所有當前的FIPS 140-2驗證將于2026年9月21日或之前失效。

NIST計算機安全資源中心 (CSRC) 提供了一個可搜索的CMVP驗證列表，使開發(fā)人員、采購代理和其他參與IIoT部署的人員可以輕松查看特定CMVP證書的狀態(tài)。

CMVP驗證可以標記為“revoked”（已撤銷）或“historical”(已過期)。根據(jù)CSRC網(wǎng)站，如果驗證證書標記為“revoked”（已撤銷），則“模塊驗證不再有效，不能作為符合140標準的依據(jù)”。如果驗證證書被標記為“historical”(已過期)，則“聯(lián)邦機構(gòu)不應(yīng)將其包含在新系統(tǒng)中，但可以用于舊型號系統(tǒng)”。有關(guān)“revoked”（已撤銷）和“historical”(已過期) 狀態(tài)之間的區(qū)別的詳細介紹，請訪問CMVP網(wǎng)站。

由于對FIPS 140-2的支持即將結(jié)束，建議制造商盡快獲得FIPS 140-3認證。過渡到最新的FIPS認證有助于產(chǎn)品保持最新狀態(tài)，提供更好的保護，并避免解決方案被標記為“revoked”（已撤銷）或“historical”(已過期)。

FIPS 140-3與140-2的區(qū)別

已經(jīng)獲得FIPS 140-2認證的產(chǎn)品升級到FIPS 140-3相對比較容易，因為這兩個版本的大部分要求是相同的。但也存在一些變更值得注意。

首先，F(xiàn)IPS 140-3引入了非侵入性物理要求作為可選項。這包括針對側(cè)通道攻擊的防護指南，側(cè)通道攻擊是指在應(yīng)用程序執(zhí)行過程中利用系統(tǒng)物理信息泄漏進行攻擊。

FIPS 140-3還對關(guān)鍵安全參數(shù) (CSP) 提出了更嚴格的清零要求。換句話說，140-3改進了永久擦除或銷毀安全數(shù)據(jù) (例如密鑰、密碼、PIN及其它執(zhí)行加密功能的信息) 的流程，以應(yīng)對這些數(shù)據(jù)被披露或修改的情況。CSP清零有助于防止與加密相關(guān)的數(shù)據(jù)被恢復(fù)，從而保護模塊、整個系統(tǒng)及其信息的安全。

FIPS 140-3的另一個重要改進是引入了SP 800-140Br1等機制，支持對FIPS文檔和報告的各個方面進行自動化。這是CMVP為進一步自動化FIPS測試流程所做的努力之一，目的是減少認證時間。然而，認證流程仍需數(shù)月才能完成，因此建議制造商現(xiàn)在就開始申請FIPS 140-3認證。

恩智浦深耕FIPS認證安全領(lǐng)域

作為嵌入式應(yīng)用安全連接解決方案的實力供應(yīng)商，以及智能手機、銀行卡和護照安全解決方案的值得信賴的提供商，恩智浦在安全認證方面有著悠久的歷史，不僅涵蓋通用標準，也包括FIPS標準。事實上，我們十多年前就開始提供FIPS認證的產(chǎn)品，并隨著FIPS標準的發(fā)展不斷更新。

我們也是首批獲得NIST加密算法驗證計劃 (CAVP) 認證的非商業(yè)測試實驗室之一，這意味著我們有權(quán)對NIST批準或推薦的加密算法及其各個組件進行驗證測試。

FIPS認證的安全芯片

自2021年以來，我們的EdgeLock SE050系列安全芯片已經(jīng)通過了通用標準 (CC) EAL 6+和FIPS 140-2 3級安全認證，能夠在包括工業(yè)在內(nèi)的廣泛物聯(lián)網(wǎng)應(yīng)用中提供強有力的保護?，F(xiàn)在，即將向FIPS 140-3過渡，因此我們推出了EdgeLock SE052F，這是一款通過通用標準(CC) EAL 6+和FIPS 140-3標準認證的安全芯片。

EdgeLock SE052F是恩智浦首款通過FIPS 140-3認證的安全芯片。具體而言，它的操作系統(tǒng)和小程序獲得了FIPS 140-3 3級加密模塊認證，而硬件物理安全則通過了更高的4級加密模塊認證。

FIPS和CC EAL認證的預(yù)驗證意味著開發(fā)人員在交付新產(chǎn)品時可以節(jié)省時間、精力和成本。如果使用嵌入式FIPS認證模塊 (如SE052) 來執(zhí)行產(chǎn)品中的所有加密操作，則不需要在產(chǎn)品級別單獨進行FIPS認證。

EdgeLock SE052F還支持基于NIST和Brainpool曲線的加密功能，如ECDSA和ECDH/E，以及最高4K的RSA(包括密鑰生成)和經(jīng)過身份驗證的AES加密模式CCM/GCM。

EdgeLock SE052F的成功用例

作為恩智浦首款通過FIPS 140-3 L3認證的IIoT硬件安全芯片，EdgeLock SE052F將安全性與易用性相結(jié)合，極大地簡化了安全且具有差異化優(yōu)勢的工業(yè)物聯(lián)網(wǎng)設(shè)備的開發(fā)與交付流程。

2024年8月，網(wǎng)絡(luò)物理安全產(chǎn)品的優(yōu)秀企業(yè)Axis Communications推出了AXIS Q1809-LE槍式攝像頭，這是該公司首款基于EdgeLock SE052F并提供FIPS 140-3認證的網(wǎng)絡(luò)安全設(shè)備。

Axis首席技術(shù)官Johan Paulsson介紹了該公司選擇EdgeLock SE052F的原因，他表示：“這使我們能夠在物理安全行業(yè)突破邊緣設(shè)備安全的極限?！?展望未來，為了改善客戶的網(wǎng)絡(luò)安全狀況，Axis將繼續(xù)擴大其FIPS 140-3認證設(shè)備的范圍，將EdgeLock SE052F嵌入自己所有即將推出的網(wǎng)絡(luò)產(chǎn)品中，包括攝像頭、門禁、對講機和音頻產(chǎn)品。

Axis Communications推出其首款基于EdgeLock SE052F、符合FIPS 140-3標準的網(wǎng)絡(luò)安全設(shè)備

展望未來

隨著全球安全需求的不斷提升，IIoT部署對FIPS認證的要求也日益增多，我們預(yù)計越來越多的客戶將通過遵守NIST的FIPS 140-3標準來滿足這些監(jiān)管要求，同時展示他們先進的安全技術(shù)。

EdgeLock SE052F是一款專為物聯(lián)網(wǎng)安全運營設(shè)計的即用型平臺，它具備強大的加密功能，是恩智浦首款通過FIPS 140-3最新版本認證的加密模塊，提供開箱即用的FIPS合規(guī)性。作為全包式解決方案，它極大地簡化了安全且具有差異化優(yōu)勢的物聯(lián)網(wǎng)設(shè)備的交付過程。

了解有關(guān)恩智浦IIoT安全技術(shù)如何支持FIPS 140-3認證的更多信息，請訪問EdgeLock SE052F頁面>>

本文作者

Giuseppe Guagliardo，恩智浦半導(dǎo)體公司的產(chǎn)品經(jīng)理。作為工業(yè)物聯(lián)網(wǎng)和NFC安全團隊的一員，他正推動恩智浦面向工業(yè)物聯(lián)網(wǎng)產(chǎn)品的安全芯片的發(fā)展，使安全性更易獲得。他與客戶合作，讓他們了解安全威脅和網(wǎng)絡(luò)安全發(fā)展趨勢，并幫助實現(xiàn)安全的工業(yè)物聯(lián)網(wǎng)解決方案。Giuseppe在系統(tǒng)工程領(lǐng)域擁有豐富的經(jīng)驗，主要研究物聯(lián)網(wǎng)、邊緣和云架構(gòu)、標準化及網(wǎng)絡(luò)安全。

本文作者

Marc Ireland，作為高級首席安全認證專家，Marc擁有超過15年的FIPS 140安全標準工作經(jīng)驗，推動恩智浦北美安全認證戰(zhàn)略，致力于將經(jīng)過認證的恩智浦物聯(lián)網(wǎng)解決方案推向市場。

本文作者

Antje Schuetz，憑借在半導(dǎo)體市場超過20年的經(jīng)驗，Antje利用對安全和大眾市場的了解，將恩智浦安全芯片解決方案推向工業(yè)和智慧城市市場。