前言

伴隨工業(yè)和物聯(lián)網(wǎng)的發(fā)展，IIOT設(shè)備的功能越來越多，設(shè)備上運(yùn)行的軟件附加值也越來越高，設(shè)備也能采集和產(chǎn)生很多敏感的數(shù)據(jù)，設(shè)備端的安全也因此變得尤為重要。生產(chǎn)過程的安全管控，是設(shè)備全生命周期可信的基礎(chǔ)環(huán)節(jié)。為了解決產(chǎn)線燒錄環(huán)節(jié)密鑰明文傳輸引發(fā)憑證泄露以及供應(yīng)鏈管理缺失造成惡意代碼植入等問題。

NXP根據(jù)不同的場景，提供了多種安全生產(chǎn)解決方案：Device HSM(是指利用芯片內(nèi)部的EdgeLock Subsystem生成用于量產(chǎn)的加密Secure Binary文件)；Smart Card TrustProvisioning；EdgeLock 2GO。

之前，已經(jīng)介紹了NXP的Smart Card Trust Provisioning方案，請(qǐng)參考NXP基于智能卡的安全生產(chǎn)方案。這篇文章將簡要介紹NXP的EdgeLock 2Go的安全生產(chǎn)方案，并討論 “Device provisioning via proxy”流程。在這種情況下，MCUXpresso Secure Provisioning Tool (MCUXpresso SECTool)是用于配置 MCU 的“代理”。

EdgeLock 2GO

EdgeLock 2GO 是由恩智浦運(yùn)營的全面管理云平臺(tái)，可提供安全配置服務(wù)，方便部署和維護(hù)使用恩智浦支持產(chǎn)品的物聯(lián)網(wǎng)設(shè)備。該服務(wù)允許您創(chuàng)建和管理安全對(duì)象，如對(duì)稱密鑰、密鑰對(duì)和證書，然后將其安全地配置到您的恩智浦 MCU 或 MPU 等設(shè)備中。 通過 EdgeLock 2GO 創(chuàng)建的安全對(duì)象和證書可用于多種用例，包括數(shù)據(jù)加密或解密以及訪問控制。

EdgeLock 2GO 將密鑰和證書管理的復(fù)雜性抽象化。EdgeLock 2GO 的安全性依賴于信任根，這些信任根在芯片制造過程中注入芯片。通過這些信任根，EdgeLock 2GO 可以配置設(shè)備，并為設(shè)備配置特定的證書和密鑰。從服務(wù)直接到設(shè)備的整個(gè)過程都是端到端加密的，因此不需要在生產(chǎn)線上采用特殊的安全措施來處理證書。

通過使用EdgeLock 2GO，安全對(duì)象在生產(chǎn)的全程都以加密的形式流轉(zhuǎn)，能保證密鑰和知識(shí)產(chǎn)權(quán)的安全；并且由于基于UUID，工廠無法使用假冒芯片進(jìn)行生產(chǎn)，只能對(duì)真正的 NXP 芯片進(jìn)行編程（使用 UUID 驗(yàn)證），工廠也不能超量生產(chǎn)，EdgeLock 2GO服務(wù)器會(huì)記錄生產(chǎn)情況，從而登記產(chǎn)品數(shù)量。

EdgeLock 2GO provisioningviaproxy

EdgeLock 2GO 是一種靈活的服務(wù)，可根據(jù)您的調(diào)配需求和調(diào)配地點(diǎn)以不同方式使用。下圖顯示了適用于恩智浦 MCU 和 MPU 的 EdgeLock 2GO provisioning via proxy配置方法和流程。

步驟1：OEM 通過 EdgeLock 2GO 網(wǎng)站或 API 配置安全對(duì)象。

步驟2：在設(shè)備生產(chǎn)時(shí)，MCUXpresso SEC Tool將讀出設(shè)備 UUID（逐個(gè)或批量），并通過 API 將 UUID 或 UUID 列表發(fā)送到 EdgeLock 2GO。

步驟3：EdgeLock 2GO 生成在步驟一中配置的安全對(duì)象，并使用 EdgeLock 2GO 信任根進(jìn)行加密。EdgeLock 2GO將加密后的安全對(duì)象傳輸?shù)街鳈C(jī)。

步驟4：主機(jī)將加密的安全對(duì)象加載到設(shè)備上，EdgeLock2GO 配置固件(Edgelock 2GO trust provisioning firmware，按照SB3格式的加密固件)將加密憑證傳遞給MCU的EdgeLock Subsystem，以進(jìn)行解密，安全對(duì)象將被燒寫到OTP Fuse/IFR或flash。

而實(shí)際操作上，只有步驟一需要OEM用戶手動(dòng)進(jìn)行配置，剩余步驟，將會(huì)在同工廠中由MCUXpresso SEC Tool執(zhí)行，操作人員僅需簡單點(diǎn)擊圖形界面的幾個(gè)按鈕即可完成。更詳細(xì)的操作步驟，請(qǐng)登錄Edgelock 2GO網(wǎng)站，查看相應(yīng)的文檔。（AN13255 EdgeLock 2GO Quick start guide; AN14544: EdgeLock2GO Services for MPU and MCU）

小結(jié)

恩智浦的 EdgeLock 2GO 服務(wù)使設(shè)備廠商無需建立和維護(hù)設(shè)備配置基礎(chǔ)設(shè)施，而這是一項(xiàng)昂貴而復(fù)雜的工作。對(duì)于部署經(jīng) Matter 或 Qi 無線充電認(rèn)證設(shè)備的 OEM 廠商而言，這項(xiàng)工作尤其具有挑戰(zhàn)性，因?yàn)槌蔀榻?jīng) Matter 或 Qi 認(rèn)證的驗(yàn)證證書提供商是一項(xiàng)更為艱巨的任務(wù)。此外，啟用基礎(chǔ)設(shè)施以支持持續(xù)的證書管理和安全更新也增加了設(shè)備配置的成本，并增加了維護(hù)安全部署的復(fù)雜性。 設(shè)備制造商可以通過使用恩智浦的全套 EdgeLock 2GO 服務(wù)進(jìn)行憑證管理，從而避免所有這些問題。恩智浦是物聯(lián)網(wǎng)安全領(lǐng)域公認(rèn)的領(lǐng)導(dǎo)者，也是少數(shù)幾家不僅能為各種物聯(lián)網(wǎng)用例提供全面設(shè)備配置服務(wù)的半導(dǎo)體制造商之一，同時(shí)還是Matter和Qi證書的完全授權(quán)提供商。我們的EdgeLock2GO 云服務(wù)為設(shè)備原始設(shè)備制造商提供了一種安全、簡單、靈活的方式，在設(shè)備從制造到部署和報(bào)廢的整個(gè)生命周期內(nèi)提供和管理設(shè)備證書。

EdgeLock 2GO 是安全的，因?yàn)樗枚髦瞧值陌踩A(chǔ)架構(gòu)和基于硬件的設(shè)備根提供端到端保護(hù)；EdgeLock 2GO也易于使用，因?yàn)樵O(shè)備 OEM 無需為其制造場所創(chuàng)建安全基礎(chǔ)架構(gòu)。EdgeLock 2GO 還具有靈活性，因?yàn)樗嫒?PKI 和物聯(lián)網(wǎng)服務(wù)，并完全符合 Matter 和 Qi 等流行標(biāo)準(zhǔn)。