工業物聯網 (IIoT) 領域的制造商正在使用加密模塊來部署安全協議和算法，以保護數據并防止邊緣設備及其連接網絡遭受未授權訪問。

制造商可以從許多加密模塊中進行選擇，但他們普遍認為符合最新聯邦信息處理標準 (FIPS) 的模塊非常值得信賴。因為FIPS標準由美國國家標準與技術研究院 (NIST) 制定和維護，這些標準定義了信息技術 (IT) 產品中加密模塊的最低安全要求，涵蓋與模塊設計和實施相關的11個領域。

FIPS符合ISO/IEC19790:2012 (E) 標準，該標準指定了4個安全級別，用于多種應用環境，并涵蓋了模塊的設計、實現和部署。

標記為符合FIPS標準的加密模塊已經過聯邦認可實驗室的嚴格審查，并獲得了加密模塊驗證計劃 (CVMP) 證書。在美國和加拿大，任何接受聯邦資助的機構或組織，以及與聯邦政府合作的私營組織，必須使用符合FIPS標準的解決方案。FIPS標準也被全球私營部門用作采購指南，并作為許多受監管行業在全球市場上遵循合規要求的依據。

由于FIPS標準受到廣泛的信任和尊重，許多IIoT供應商現在優先確保其整體IIoT設備及其設計中嵌入的安全子組件符合FIPS標準。

過渡到新一代標準

FIPS標準會定期修訂，以應對新的和新興的威脅。多年來，FIPS 140-2一直是主流標準，但現在140-2正在被FIPS 140-3所取代。

針對FIPS 140-2的CMVP測試的截止日期為2021年9月22日。CMVP證書的有效期為五年，這意味著所有當前的FIPS 140-2驗證將于2026年9月21日或之前失效。

NIST計算機安全資源中心 (CSRC) 提供了一個可搜索的CMVP驗證列表，使開發人員、采購代理和其他參與IIoT部署的人員可以輕松查看特定CMVP證書的狀態。

CMVP驗證可以標記為“revoked”（已撤銷）或“historical”(已過期)。根據CSRC網站，如果驗證證書標記為“revoked”（已撤銷），則“模塊驗證不再有效，不能作為符合140標準的依據”。如果驗證證書被標記為“historical”(已過期)，則“聯邦機構不應將其包含在新系統中，但可以用于舊型號系統”。有關“revoked”（已撤銷）和“historical”(已過期) 狀態之間的區別的詳細介紹，請訪問CMVP網站。

由于對FIPS 140-2的支持即將結束，建議制造商盡快獲得FIPS 140-3認證。過渡到最新的FIPS認證有助于產品保持最新狀態，提供更好的保護，并避免解決方案被標記為“revoked”（已撤銷）或“historical”(已過期)。

FIPS 140-3與140-2的區別

已經獲得FIPS 140-2認證的產品升級到FIPS 140-3相對比較容易，因為這兩個版本的大部分要求是相同的。但也存在一些變更值得注意。

首先，FIPS 140-3引入了非侵入性物理要求作為可選項。這包括針對側通道攻擊的防護指南，側通道攻擊是指在應用程序執行過程中利用系統物理信息泄漏進行攻擊。

FIPS 140-3還對關鍵安全參數 (CSP) 提出了更嚴格的清零要求。換句話說，140-3改進了永久擦除或銷毀安全數據 (例如密鑰、密碼、PIN及其它執行加密功能的信息) 的流程，以應對這些數據被披露或修改的情況。CSP清零有助于防止與加密相關的數據被恢復，從而保護模塊、整個系統及其信息的安全。

FIPS 140-3的另一個重要改進是引入了SP 800-140Br1等機制，支持對FIPS文檔和報告的各個方面進行自動化。這是CMVP為進一步自動化FIPS測試流程所做的努力之一，目的是減少認證時間。然而，認證流程仍需數月才能完成，因此建議制造商現在就開始申請FIPS 140-3認證。

恩智浦深耕FIPS認證安全領域

作為嵌入式應用安全連接解決方案的實力供應商，以及智能手機、銀行卡和護照安全解決方案的值得信賴的提供商，恩智浦在安全認證方面有著悠久的歷史，不僅涵蓋通用標準，也包括FIPS標準。事實上，我們十多年前就開始提供FIPS認證的產品，并隨著FIPS標準的發展不斷更新。

我們也是首批獲得NIST加密算法驗證計劃 (CAVP) 認證的非商業測試實驗室之一，這意味著我們有權對NIST批準或推薦的加密算法及其各個組件進行驗證測試。

FIPS認證的安全芯片

自2021年以來，我們的EdgeLock SE050系列安全芯片已經通過了通用標準 (CC) EAL 6+和FIPS 140-2 3級安全認證，能夠在包括工業在內的廣泛物聯網應用中提供強有力的保護。現在，即將向FIPS 140-3過渡，因此我們推出了EdgeLock SE052F，這是一款通過通用標準(CC) EAL 6+和FIPS 140-3標準認證的安全芯片。

EdgeLock SE052F是恩智浦首款通過FIPS 140-3認證的安全芯片。具體而言，它的操作系統和小程序獲得了FIPS 140-3 3級加密模塊認證，而硬件物理安全則通過了更高的4級加密模塊認證。

FIPS和CC EAL認證的預驗證意味著開發人員在交付新產品時可以節省時間、精力和成本。如果使用嵌入式FIPS認證模塊 (如SE052) 來執行產品中的所有加密操作，則不需要在產品級別單獨進行FIPS認證。

EdgeLock SE052F還支持基于NIST和Brainpool曲線的加密功能，如ECDSA和ECDH/E，以及最高4K的RSA(包括密鑰生成)和經過身份驗證的AES加密模式CCM/GCM。

EdgeLock SE052F的成功用例

作為恩智浦首款通過FIPS 140-3 L3認證的IIoT硬件安全芯片，EdgeLock SE052F將安全性與易用性相結合，極大地簡化了安全且具有差異化優勢的工業物聯網設備的開發與交付流程。

2024年8月，網絡物理安全產品的優秀企業Axis Communications推出了AXIS Q1809-LE槍式攝像頭，這是該公司首款基于EdgeLock SE052F并提供FIPS 140-3認證的網絡安全設備。

Axis首席技術官Johan Paulsson介紹了該公司選擇EdgeLock SE052F的原因，他表示：“這使我們能夠在物理安全行業突破邊緣設備安全的極限。” 展望未來，為了改善客戶的網絡安全狀況，Axis將繼續擴大其FIPS 140-3認證設備的范圍，將EdgeLock SE052F嵌入自己所有即將推出的網絡產品中，包括攝像頭、門禁、對講機和音頻產品。

Axis Communications推出其首款基于EdgeLock SE052F、符合FIPS 140-3標準的網絡安全設備

展望未來

隨著全球安全需求的不斷提升，IIoT部署對FIPS認證的要求也日益增多，我們預計越來越多的客戶將通過遵守NIST的FIPS 140-3標準來滿足這些監管要求，同時展示他們先進的安全技術。

EdgeLock SE052F是一款專為物聯網安全運營設計的即用型平臺，它具備強大的加密功能，是恩智浦首款通過FIPS 140-3最新版本認證的加密模塊，提供開箱即用的FIPS合規性。作為全包式解決方案，它極大地簡化了安全且具有差異化優勢的物聯網設備的交付過程。

了解有關恩智浦IIoT安全技術如何支持FIPS 140-3認證的更多信息，請訪問EdgeLock SE052F頁面>>

本文作者

Giuseppe Guagliardo，恩智浦半導體公司的產品經理。作為工業物聯網和NFC安全團隊的一員，他正推動恩智浦面向工業物聯網產品的安全芯片的發展，使安全性更易獲得。他與客戶合作，讓他們了解安全威脅和網絡安全發展趨勢，并幫助實現安全的工業物聯網解決方案。Giuseppe在系統工程領域擁有豐富的經驗，主要研究物聯網、邊緣和云架構、標準化及網絡安全。

本文作者

Marc Ireland，作為高級首席安全認證專家，Marc擁有超過15年的FIPS 140安全標準工作經驗，推動恩智浦北美安全認證戰略，致力于將經過認證的恩智浦物聯網解決方案推向市場。

本文作者

Antje Schuetz，憑借在半導體市場超過20年的經驗，Antje利用對安全和大眾市場的了解，將恩智浦安全芯片解決方案推向工業和智慧城市市場。