保护MCU固件知识产权：NXP基于智能卡的低成本安全生产方案

万物互联的概念逐渐深入到了各个领域，如何安全地让设备接入网络也成为了一个挑战。同时，设备的功能也愈发复杂，越来越多的设备具备了“边缘计算”的算力和能力，MCU上承载的算法（例如AI/电机/传感器融合等）也越来越多，保护运行于MCU上固件的知识产权也愈发重要。

追本溯源：安全应从生产源头开始

也正因为如此，我们需要全链路的安全。从源头上，保证MCU被安全地配置，在工厂生产时，密钥和固件被安全地注入芯片。与此同时，设备的附加值越高，越需要考虑设备的固件不会被意外流出。

越来越多的公司专注于研发，并将生产委托给第三方工厂，因此有时也需要保证工厂不会违规进行超额的生产。如果不考虑这些问题，公司花费高额代价和投入建立的技术壁垒，很有可能会变成全行业众人皆知的“经典参考方案”。

NXP基于智能卡的安全生产方案

为了解决这些问题，NXP推出了基于智能卡的安全生产方案。

恩智浦智能卡可信生产是为原始设备制造商（OEM）管理其与签订合同的制造商（CM）的生产过程而提供的安全方案。通过免费的MCUXpresso Secure Provisioning Tool (SEC) 图形化工具和恩智浦提供的智能卡，OEM的机密信息和知识产权在其生产过程中被加密保护并安全地转移到恩智浦的MCU上。智能卡基于恩智浦的高安全SmartMX控制器，在高安全性应用中被广泛使用。

基于此方案，OEM可以在智能卡中配置并锁定生产限额，防止CM进行超额生产，由SEC工具在智能卡配合下生成的工厂审计日志使OEM能够审查配置的设备数量。设备的证书被生成并传递给OEM，设备启用时可使用此证书完成设备在云端云服务的注册。

基于智能卡的安全生产流程如下图所示：

下面进行分项讲解：

第一步

OEM需要准备OEM的密钥和准备烧录的固件。NXP将会提供用于安全置备的固件（以SB2格式加密保护）和NXP_PROD_DevAttest_CA_PUK证书。

第二步

通过SEC工具写恩智浦智能卡，OEM将定制化数据（如生产数量限制和OEM密钥）配置进智能卡中。OEM使用SEC工具，生成经过签名/加密的OEM固件。所有这些资料都被包装成一个OEM量产资料包。一般来说，OEM量产包应包含定制化数据的智能卡、经过签名/加密的OEM固件和恩智浦提供的置备固件。

第三步

OEM将包含定制化后的智能卡和量产资料包发给与其签订合同的制造商（CM)。

第四步

CM使用OEM定制化配置后的智能卡，并通过SEC工具，将NXP提供的置备固件加载到目标设备上。

第五步

智能卡向目标设备发送一个挑战（challenge），用于验证目标设备的真实性。

第六步

目标设备对挑战（challenge）做签名响应（response），智能卡将会根据NXP_PROD_DevAttest_CA_PUK证书对响应（response）进行验证。

第七步

验证通过后，智能卡生成会话密钥（session keys）和OEM证书。然后，它与目标设备交换会话密钥，建立加密通道，并传输OEM证书和OEM密钥。此时，OEM设备证书从现在起取代了NXP_PROD_DevAttest_CA_PUK证书。因此， OEM拥有该设备的所有权。

第八步

复位目标设备。然后，经过签名/加密的OEM固件被传输到目标设备上。目标设备将会进行固件的烧写。

第九步

所有生产都已完成，CM将审计日志和智能卡送回至OEM。OEM可以分析审计日志，并可以根据需求，选择性地从日志中提取设备证书，上传到云服务提供商（如AWS、微软Azure等）。

从上述流程可以看出，每一颗芯片的生产和烧录，都必须通过智能卡进行。智能卡可以记录已生产的数量，并将判断是否超出了OEM预设的生产数量的限制。一旦超过限制，生产过程将无法进行，因此CM无法进行超出限额的额外的设备生产。

这从技术上，限制了CM的行为。并且，CM拿到的量产资料包中的固件，全部都是被NXP Secure Binary格式加密保护的，原始的固件不会从OEM流出，因此也不会泄露OEM的知识产权。整个过程中需要的密钥也都被智能卡妥善管理，为应用的密钥管理体系打下了坚实的基础。

看起来这是一个复杂的过程，但实际，基于图形化的SEC工具，仅需花费几分钟，就可以完成所有操作。并且，SEC工具还支持量产模式，方便工厂产线的操作人员简化操作，只需通过简单的鼠标点击，就可以完成生产。

安全生产的低成本解决方案

基于智能卡的安全生产解决方案补足了安全生产的低成本解决方案，是传统更昂贵的HSM和第三方芯片烧写服务的有益补充。我们使客户能够充分利用恩智浦MCU的先进安全功能来保护其重要资产。

通过购买高性价比的智能卡和使用免费的MCUXpresso SEC工具，我们的客户可以准备安全的固件来保护他们的知识产权，管理密钥和执行设备置备。智能卡解决方案没有最低订购量，并可完全控制生产数量，因此，安全制造成为能负担得起的选项。

目前，此方案支持LPC55Sxx (LPC55S6x、LPC55S2x、LPC55S1x、LPC55S0x) 设备，NXP官网提供了基于智能卡的安全生产方案的视频教程。可以与当地NXP的销售/FAE联系，来获取智能卡和更多信息。

（本文转载自「恩智浦MCU加油站」公众号，作者为恩智浦应用技术工程师刘豪）