芯耀
与非AI
242
随着智能硬件(如智能家居传感器、工业控制模块)与 IT 产品(如服务器、终端安全设备)的普及,网络安全已从可选功能变成必备门槛——小到用户隐私数据泄露,大到工业系统被入侵,安全漏洞造成的损失往往超出技术范畴,而合规认证正是帮开发者规避这类风险的技术指南针。它不仅是产品进入市场的通行证,更能从源头规范开发流程,减少后期整改成本。
今天我们就聚焦当前行业内最核心的五大网络安全认证体系,拆解它们的特性、合规要求,以及开发者在实际开发中该如何落地——过程中也会结合我们在国密标准领域的经验,给大家补充一些适配国内场景的实用建议。
SESIP(物联网平台安全评估标准)
首先从物联网(IoT)场景说起,现在市面上的智能门锁、温湿度传感器、智能摄像头等,几乎都绕不开 SESIP 认证。它的核心定位是专为物联网设备设计的标准化安全评估框架,由全球移动通信系统协会(GSMA)主导制定,最大的特点是模块化+场景化——不会用一套标准要求所有设备,而是根据设备的功能(比如是否联网、是否存储敏感数据)和应用场景(消费级 vs 工业级),拆分出不同的安全评估模块,开发者可以按需选择,避免过度评估浪费成本。
1.核心特性
覆盖全链路:从设备的硬件安全(如芯片防篡改)、软件安全(如固件加密)到通信安全(如蓝牙/WiFi 数据传输加密),再到云端交互安全(如设备与平台的身份认证),都有明确的评估维度。
适配多协议:不管设备用的是蓝牙、Zigbee 还是 NB-IoT,SESIP 都有对应的通信安全评估模块,不用再为不同无线协议单独做认证。
2.合规核心要求
开发者要满足 SESIP 合规,关键要做好三点:
数据最小化+加密:只收集设备运行必需的数据,且所有敏感数据(如用户的门锁密码、摄像头拍摄的画面)必须用符合国际标准的算法(如 AES-256)加密存储和传输;
身份唯一认证:每台设备必须有唯一的身份标识(比如设备序列号+加密证书),避免被伪造或冒名接入平台;
漏洞可修复:设备必须支持安全的固件升级(比如我们之前聊过的 OTA DFU,需具备固件校验、回滚能力),确保发现漏洞后能及时修复,且升级过程中不会被注入恶意代码。
3.开发落地建议
很多开发者容易在后期补合规时踩坑,其实 SESIP 的关键是早期融入设计。比如开发一款智能摄像头时,在选型阶段就要考虑芯片是否支持硬件加密(减少软件加密的性能损耗),在固件开发时就要预留 OTA 升级的安全接口(比如用 RSA 算法对固件签名,防止被篡改),而不是等产品快量产了才想起做认证——那时再改硬件或重构软件,成本会翻好几倍。
PSA(平台安全架构)
如果说 SESIP 针对的是具体设备,那 PSA(由 ARM 主导的平台安全架构)就是针对设备底层的芯片与软件平台——它的核心目标是解决不同厂商的安全方案不兼容的问题,比如 A 厂商的安全芯片和 B 厂商的操作系统无法对接,导致开发者重复开发。PSA 就像一套安全通用语,让芯片、操作系统、应用层的安全功能能无缝衔接。
1.核心特性
分层架构清晰:PSA 把安全架构分成三层:最底层是可信根(Root of Trust),比如芯片内的安全存储区,用来存放最核心的密钥;中间层是安全服务层,提供加密、认证等标准化接口;最上层是应用层,开发者直接调用接口就能实现安全功能,不用再自己写底层代码。
跨平台兼容:不管是 ARM 架构的芯片,还是其他架构的平台,只要遵循 PSA 标准,就能互相兼容——比如开发者基于 PSA 架构开发的安全应用,既能跑在智能手机芯片上,也能跑在智能手表的芯片上。
2.合规核心要求
PSA 合规的关键是建立可信执行环境,具体要满足:
可信根不可篡改:芯片必须有独立的安全硬件区域(比如安全单元 SE),用来存储可信根密钥,且这个区域物理上防篡改(比如拆芯片就会触发密钥销毁);
安全隔离:系统要能把安全任务(如指纹验证、密钥生成)和普通任务(如 APP 运行、视频播放)隔离开,避免普通任务被攻击后影响安全任务;
接口标准化:开发者调用安全功能时,必须用 PSA 定义的标准接口,不能自定义接口——这样不同厂商的产品对接时,不用再适配接口,直接调用即可。
3.开发落地建议
对开发者来说,PSA 最大的价值是降低安全开发门槛。比如开发一款需要指纹支付功能的智能手表,不用自己从零开发指纹加密、密钥存储的逻辑,只要选择符合 PSA 认证的芯片,然后调用 PSA 的指纹认证接口和密钥存储接口即可——既节省开发时间,又能确保安全功能的可靠性。
EU RED(无线设备指令)
如果你的产品是带无线功能的(比如蓝牙音箱、WiFi 路由器、4G 工业网关),且计划出口欧盟,那 EU RED(欧盟无线设备指令)是绕不开的合规要求——它本质是欧盟对无线设备的准入管理,核心关注两点:无线通信的安全性和电磁兼容性(EMC),前者防止无线信号被劫持、数据被监听,后者避免设备干扰其他无线设备(比如路由器干扰电视信号)。
1.核心特性
聚焦无线功能:只针对带无线发射/接收功能的设备,不管是短距离无线(蓝牙、Zigbee)还是长距离无线(4G、5G),都在 RED 的管控范围内;
强监管性:产品必须通过欧盟公告机构(如 SGS、TÜV)的测试,拿到 CE 认证后才能在欧盟市场销售,且上市后还可能被抽查,不合格会被召回。
2.合规核心要求
RED 的安全合规要求,主要集中在无线通信环节:
无线信号加密:设备的无线通信必须用加密协议(比如蓝牙用 AES-CCM,WiFi 用 WPA3),不能用明文传输——比如蓝牙音箱传输音乐数据时,必须加密,防止别人监听后窃取音乐文件(虽然音乐不是敏感数据,但 RED 要求所有无线数据都需加密);
身份验证:无线设备接入网络时,必须有身份验证机制(比如 WiFi 的密码验证、蓝牙的配对码验证),防止未授权设备接入(比如别人的手机随意连接你的蓝牙音箱);
电磁兼容(EMC):设备的电磁辐射必须符合欧盟 EN 标准,不能干扰其他设备——比如路由器的电磁辐射不能影响旁边的电脑、电视,否则会被判定为不合格。
3.开发落地建议
开发者在应对 RED 时,最容易踩坑的是无线模块选型。建议大家在选型阶段就选择已经通过 RED 认证的无线模块(比如蓝牙模块、WiFi 模块),这样整机测试时,只需测试模块与整机的兼容性,不用再单独测试无线功能的安全性和 EMC——能大幅缩短认证周期。
IEC62443(工业网络安全标准)
工业场景(比如工厂的 PLC 控制器、电网的监控设备、化工的传感器)和消费级场景不同,一旦被攻击,可能导致停产、设备损坏甚至安全事故,所以 IEC62443(工业网络安全标准)的要求会更严格——它不是只关注单个设备的安全,而是覆盖从设备到系统、从开发到运维的全生命周期安全。
1.核心特性
分层防护:把工业系统分成“现场设备层”(如传感器、执行器)、“控制层”(如 PLC、DCS)、“监控层”(如监控服务器)、“企业层”(如 ERP 系统),每个层级都有对应的安全要求,形成纵深防护;
全生命周期覆盖:从设备的设计、生产、部署,到运行、维护、报废,每个阶段都有安全要求——比如设计阶段要做安全风险评估,运行阶段要做安全事件监控,报废阶段要销毁设备内的敏感数据。
2.合规核心要求
IEC62443 的合规重点是防入侵、防篡改、可追溯:
多级访问控制:不同角色的人员(如操作工、工程师、管理员)对设备的权限不同——比如操作工只能启动/停止设备,不能修改设备参数;工程师能修改参数,但不能删除安全日志;
数据完整性校验:设备之间传输的控制指令(如“打开阀门”“停止电机”)必须有完整性校验(比如用 HMAC 算法),防止指令被篡改(比如把“停止电机”改成“启动电机”);
安全事件可追溯:设备必须记录所有安全事件(如“未授权人员尝试登录”“参数被修改”),日志至少保存 6 个月,且不能被删除或篡改——方便事故发生后溯源。
3.开发落地建议
工业设备的开发者要注意,IEC62443 的合规不能只靠加密,而是要融入工业场景的特性。比如开发一款工厂用的 PLC 控制器,在设计时就要:
1. 预留安全日志存储区,且这个区域只能写不能删(除非有管理员授权);
2. 设计权限分级模块,支持通过 USB 或加密通信的方式给不同人员分配权限;
3. 在控制指令传输时,除了加密,还要增加指令重放防护(比如给每个指令加时间戳,防止攻击者重复发送旧指令)。
FIPS140-3(联邦信息处理标准)
如果你的产品涉及敏感数据加密(比如金融设备的密码加密、政府终端的文件加密、军工设备的通信加密),那 FIPS140-3(美国联邦信息处理标准)就是国际上最权威的加密模块认证——它不关注整个产品,只聚焦加密模块(比如芯片内的加密单元、软件中的加密算法库),通过后意味着你的加密模块达到了政府级安全水平,能用于处理敏感信息。
1.核心特性
分级认证:把加密模块的安全等级分成 4 级(Level 1 到 Level 4),Level 1 是基础级(软件加密即可),Level 4 是最高级(硬件防物理攻击,比如防侧信道攻击、防拆毁),开发者可以根据产品的安全需求选择对应的等级;
算法严格合规:只认可经过 NIST(美国国家标准与技术研究院)认证的加密算法,比如 AES、RSA、ECC,近年来也逐步认可国密算法(如 SM2、SM4)——我们团队参与的 ISO/IEC 14888-3:2018 标准(国密 SM9 的国际标准),就已被 NIST 纳入认可范围。
2.合规核心要求
FIPS140-3 的合规要求非常细致,核心围绕加密模块的安全性:
算法合规:加密模块使用的算法必须是 NIST 认可的,且算法实现不能有漏洞(比如 AES 算法的轮函数实现错误,会导致加密失效);
密钥管理:密钥的生成、存储、使用、销毁必须符合规范——比如密钥不能明文存储,必须存在硬件安全区;密钥销毁时要彻底覆盖,不能留下残留;
物理安全:根据安全等级不同,物理安全要求也不同——Level 3 以上的模块,必须具备物理防篡改能力(比如拆模块时触发密钥销毁),Level 4 还要防侧信道攻击(比如通过电流、电磁辐射窃取密钥)。
3.开发落地建议
对开发者来说,FIPS140-3 的难点在于算法实现的准确性和密钥管理的规范性。建议大家:
优先选用预认证模块:直接选择已经通过 FIPS140-3 认证的加密芯片或算法库,比如我们团队开发的安全芯片就通过了 FIPS140-3 Level 3 认证,开发者直接集成就能满足要求,不用自己再做算法实现和测试;
重视密钥生命周期管理:不要只关注密钥的生成和使用,还要考虑销毁环节——比如开发一款金融 POS 机,在 POS 机报废时,必须通过加密指令触发密钥销毁,且销毁后无法恢复,这也是 FIPS140-3 的重点检查项。
这里也要提一下国密适配:我们在推动 FIPS140-3 认可国密算法的过程中,已经完成了 SM2、SM4 算法的 FIPS 兼容性测试,开发者在使用这些国密算法时,不用再担心不符合 FIPS140-3 的要求,这对需要同时满足国内国密标准和国际 FIPS 标准的企业来说,是很大的便利。
最后给大家一个简单的认证选择方式:
做物联网设备(如智能家电):优先过 SESIP+PSA,覆盖设备和平台的安全;
做无线设备且出口欧盟:必须过 EU RED,同时建议搭配 PSA(确保底层安全);
做工业设备(如 PLC、工业网关):重点过 IEC62443,敏感数据加密部分可过 FIPS140-3;
做金融/政府场景设备(如 POS 机、政务终端):必须过 FIPS140-3,同时要满足国密标准(SM2/SM9)。
珈港科技团队作为国密 SM2、SM9 标准的核心贡献者,后续也会持续输出更多标准解读+开发实战的内容,帮大家少走合规弯路,让安全开发更简单。如果大家在开发过程中有具体的合规问题,也欢迎在评论区交流——安全不止靠单一环节的工作,需要整个行业共同努力。
关于珈港
珈港科技是科创板首批上市、国际领先的红外芯片企业睿创微纳旗下的安全芯片专业子公司,是国密 SM2 算法的第一发明人单位。
珈港科技总部位于山东烟台,在武汉、北京和深圳设有全资子公司。 依托国际一流水平的片上资产保护、密码算法和安全认证技术,珈港科技自主研发了一系列的安全 MCU、安全 SoC、物联网操作系统及云中间件等产品,为国内外客户提供先进的智能家居、工业控制和物联网解决方案。
