随着5G、物联网等持续发展，资讯及网络安全对於工业自动化及控制系统（IACS）有着至关重要的考虑。下文将会简介IEC62443工业安全标准，以及Microchip如何助您设计出符合此安全规范的产品。

关於ISA/IEC 62443

ISA/IEC 62443是一份长达800页关於工业安全的统合文件，包含各种标准，技术规格与技术报告。这些文件於

2007年由国际自动化学会（ISA）发布，其目的为提供安全标准以应用於工业自动化及控制系统，後来该标准亦被国际电工委员会（IEC）所采纳，故有ISA 62443和IEC 62443两种版本。

ISA/IEC 62443 的内容架构

在整个工业自动化的架构中，ISA/IEC 62443定义了3种角色，分别为资产拥有者（Asset Owner）、系统整合者 （System Integrator）和产品供应者（Product Supplier）。ISA/IEC 62443的14份标准文件被归属为4个章节，分别为：一般（General）、政策与程序（Policies and Procedures）、系统（System）和元件（Component）。当中不同的角色应该叁照不同的章节进行运作。

产品供应者如何遵从IEC62443

对产品供应者（Product Supplier）而言，ISA/IEC 62443的第4章节所规范的元件标准（Component）最为相关，元件标准的章节中包含了2份标准文件，分别为：IEC62443-4-1和IEC62443-4-2。

· IEC62443-4-1：安全产品开发周期需求（Secure Product Development Lifecycle Requirements）

该标准依据不同的安全成熟等级（Maturity Levels）在产品开发中定义了一系列需要实践的项目（Practices）

· IEC62443-4-2：工业自动化控制系统的技术安全需求（Technical Security Requirements for IACS Components）

该标准依据不同的安全等级（Security Levels）为其所开发的产品定义一系列的基础需求（Foundational Requirements）

如何设计产品以符合ISA/IEC 62443-4-2的规范

本文希??为各位读者简化 200页的 IEC62443-4-2，并让大家了解如何搭配Microchip的IC去设计符合该规范的产品。

前文所述ISA/IEC 62443定义了3种角色，而IEC62443-4-2主要是想满足资产拥有者在安全等级上的需求。所谓的安全等级，IEC62443-4-2将其分成5级（0-4），同时条列了具体的描述做为定义：

而且为了让产品供应者在设计产品时有具体的设计条件去符合所谓的安全等级，IEC 62443-4-2定义了7种基础需求，而每个基础需求皆有条列具体的细项进行说明，该些细项分为元件需求（CRs）和进阶需求（REs），能够对应到不同的安全等级，工程师在产品设计前必须先审视这些基础需求及其细项。

依据上表定义，基础需求1（FR1）主要是在定义装置的身分识别与认证（IAC），为了具体描述这种类别的安全需求，IEC 62443-4-2定义了若干个元件需求（CR1.x）与进阶需求（RE1.x.x）来阐述细项。

以下表为例作说明，在基础需求1的第7项元件需求（CR1.7）中定义了透过密码作装置身分认证的强度需求，另外再搭配2个进阶需求（RE1.7.1和RE1.7.2）分别定义密码的产生与其使用时限在人类使用者和全部使用者上的规范 。产品供应者在设计产品时叁考该表即可了解对於不同的5种安全等级的需求，这3项需求项目（CR1.7、RE1.7.1和RE1.7.2）是否需要列入产品设计当中。

· 如果设计的规格无法满足CR1.7，则代表该设计的安全等级只有0

· 如果设计的规格只满足CR1.7但不满足RE1.7.1和RE1.7.2，则代表该设计之安全等级为2

· 如果设计的规格能满足CR1.7 与RE1.7.1但不满足RE1.7.2，则代表该设计之安全等级为3

搭配使用Microchip的安全元件以符合ISA/IEC 62443-4-2

以下列出了Microchip的ATECC608B/CEC1712/CEC1736能提供的密码学硬体引擎规格，这些规格将能对应到上述元件需求（CR）与进阶需求（RE）的规范，也就是说产品供应者能搭配Microchip的元件进行产品设计以期符合IEC62443-4-2上的规范。

以下列出4点做进一步说明如何选用Microchip的产品帮助取得IEC62443-4-2认证：

1.密码学的应用

在IEC62443-4-2里定义得很清楚，所有的安全规范都是以应用的形式作条列，而非密码学演算法本身，也就是说，产品设计必须搭配各项密码学演算法去符合各个需要的元件需求与进阶需求。的确现今坊间已存在各种高速运算晶片，对於密码学演算法的计算应该不成问题，但若是能搭配ATECC608B进行各项密码学演算法，其高速的硬体加速引擎和超低睡眠功耗（30 nA）对产品而言可提供更长的装置运作时间与密码保护时间（如上述RE1.7.1与RE1.7.2）。

关於Microchip安全元件的相关资料请叁考以下连结：

https://www.microchip.com/en-us/products/security/security-ics/cryptoauthentication-family

2.信任根（Root of Trust，RoT）

基於IEC62443-4-2元件需求（CR3.12），其明列产品供应者需要针对发行的装置程式码提供证书签章并且透过信任根对该程式码的内容不变性（Integrity）进行认证。Microchip提供CEC1712/CEC1736晶片可扮演独立的信任根，搭配运作於设备当中即可对现有的程式码在开机前进行验证把关，并在程式码有问题时将程式码回复为安全版本。CEC1736可更进一步地在程式运作当下扮演监督的职责。

关於Microchip信任根模组的相关资料，请叁考下方连结：

https://www.microchip.com/en-us/products/security/prot

3. JIL High等级之密钥保护

基於第1点说明，密码学演算法在IEC62443-4-2的规范下是必要的，但所有的演算法都是基於密钥，也就是说就算现有的设备对於各种密码学算法的运算都不成问题，但如果没有办法妥善的保护密钥，所有的密码学演算法都相当於没有任何保护作用，完全没有安全性可言。Microchip提供的一系列安全元件能对存放於内的密钥提供如同金库般强而有力的保护。针对密钥保护能力的验证，ATECC608已通过安全共通准则的密钥储存保护测试，并取得最高等级评分（JIL High）。以拥有相同密钥保护能力的晶片来说，选择ATECC608拥有相当高的性价比。

更多关於ATECC608 JIL High的说明请叁考：

https://www.microchip.com/en-us/products/security/trust-platform/trustflex/trustflex-aws-iot-authentication/aws-iot-greengrass-atecc608b

4.密钥烧录保护

密钥的保护既然很重要，则密钥的烧录一定也是一个需要被重视的环节。如果烧录密钥时没有特定的保护方式防止外泄，则烧录完成後，保密IC再怎麽有铜墙铁壁的保护都没有用，漏洞在一开始就已经存在。这是在IEC62443-4-1当中即有规范到的部分。针对一系列ATECC608/ CEC1712/ CEC1736等安全晶片，Microchip皆能提供无人工厂（HSM）的保密烧录服务，大家可在此了解Microchip Trust Platform相关运作：

https://www.microchip.com/en-us/products/security/trust-platform

本文作者为：Microchip主任应用工程师 颜睿余