基于恩智浦Edgelock 2Go的安全生产方案

前言

伴随工业和物联网的发展，IIOT设备的功能越来越多，设备上运行的软件附加值也越来越高，设备也能采集和产生很多敏感的数据，设备端的安全也因此变得尤为重要。生产过程的安全管控，是设备全生命周期可信的基础环节。为了解决产线烧录环节密钥明文传输引发凭证泄露以及供应链管理缺失造成恶意代码植入等问题。

NXP根据不同的场景，提供了多种安全生产解决方案：Device HSM(是指利用芯片内部的EdgeLock Subsystem生成用于量产的加密Secure Binary文件)；Smart Card TrustProvisioning；EdgeLock 2GO。

之前，已经介绍了NXP的Smart Card Trust Provisioning方案，请参考NXP基于智能卡的安全生产方案。这篇文章将简要介绍NXP的EdgeLock 2Go的安全生产方案，并讨论 “Device provisioning via proxy”流程。在这种情况下，MCUXpresso Secure Provisioning Tool (MCUXpresso SECTool)是用于配置 MCU 的“代理”。

EdgeLock 2GO

EdgeLock 2GO 是由恩智浦运营的全面管理云平台，可提供安全配置服务，方便部署和维护使用恩智浦支持产品的物联网设备。该服务允许您创建和管理安全对象，如对称密钥、密钥对和证书，然后将其安全地配置到您的恩智浦 MCU 或 MPU 等设备中。 通过 EdgeLock 2GO 创建的安全对象和证书可用于多种用例，包括数据加密或解密以及访问控制。

EdgeLock 2GO 将密钥和证书管理的复杂性抽象化。EdgeLock 2GO 的安全性依赖于信任根，这些信任根在芯片制造过程中注入芯片。通过这些信任根，EdgeLock 2GO 可以配置设备，并为设备配置特定的证书和密钥。从服务直接到设备的整个过程都是端到端加密的，因此不需要在生产线上采用特殊的安全措施来处理证书。

通过使用EdgeLock 2GO，安全对象在生产的全程都以加密的形式流转，能保证密钥和知识产权的安全；并且由于基于UUID，工厂无法使用假冒芯片进行生产，只能对真正的 NXP 芯片进行编程（使用 UUID 验证），工厂也不能超量生产，EdgeLock 2GO服务器会记录生产情况，从而登记产品数量。

EdgeLock 2GO provisioningviaproxy

EdgeLock 2GO 是一种灵活的服务，可根据您的调配需求和调配地点以不同方式使用。下图显示了适用于恩智浦 MCU 和 MPU 的 EdgeLock 2GO provisioning via proxy配置方法和流程。

步骤1：OEM 通过 EdgeLock 2GO 网站或 API 配置安全对象。

步骤2：在设备生产时，MCUXpresso SEC Tool将读出设备 UUID（逐个或批量），并通过 API 将 UUID 或 UUID 列表发送到 EdgeLock 2GO。

步骤3：EdgeLock 2GO 生成在步骤一中配置的安全对象，并使用 EdgeLock 2GO 信任根进行加密。EdgeLock 2GO将加密后的安全对象传输到主机。

步骤4：主机将加密的安全对象加载到设备上，EdgeLock2GO 配置固件(Edgelock 2GO trust provisioning firmware，按照SB3格式的加密固件)将加密凭证传递给MCU的EdgeLock Subsystem，以进行解密，安全对象将被烧写到OTP Fuse/IFR或flash。

而实际操作上，只有步骤一需要OEM用户手动进行配置，剩余步骤，将会在同工厂中由MCUXpresso SEC Tool执行，操作人员仅需简单点击图形界面的几个按钮即可完成。更详细的操作步骤，请登录Edgelock 2GO网站，查看相应的文档。（AN13255 EdgeLock 2GO Quick start guide; AN14544: EdgeLock2GO Services for MPU and MCU）

小结

恩智浦的 EdgeLock 2GO 服务使设备厂商无需建立和维护设备配置基础设施，而这是一项昂贵而复杂的工作。对于部署经 Matter 或 Qi 无线充电认证设备的 OEM 厂商而言，这项工作尤其具有挑战性，因为成为经 Matter 或 Qi 认证的验证证书提供商是一项更为艰巨的任务。此外，启用基础设施以支持持续的证书管理和安全更新也增加了设备配置的成本，并增加了维护安全部署的复杂性。 设备制造商可以通过使用恩智浦的全套 EdgeLock 2GO 服务进行凭证管理，从而避免所有这些问题。恩智浦是物联网安全领域公认的领导者，也是少数几家不仅能为各种物联网用例提供全面设备配置服务的半导体制造商之一，同时还是Matter和Qi证书的完全授权提供商。我们的EdgeLock2GO 云服务为设备原始设备制造商提供了一种安全、简单、灵活的方式，在设备从制造到部署和报废的整个生命周期内提供和管理设备证书。

EdgeLock 2GO 是安全的，因为它利用恩智浦的安全基础架构和基于硬件的设备根提供端到端保护；EdgeLock 2GO也易于使用，因为设备 OEM 无需为其制造场所创建安全基础架构。EdgeLock 2GO 还具有灵活性，因为它兼容 PKI 和物联网服务，并完全符合 Matter 和 Qi 等流行标准。