恩智浦使用MCUXpresso SEC工具和智能卡實(shí)現安全制造

開(kāi)發(fā)邊緣連接技術(shù)的原始設備制造商（OEM）需要考慮其軟件知識產(chǎn)權以及作為安全產(chǎn)品提供商的聲譽(yù)。經(jīng)濟高效的生產(chǎn)往往會(huì )與保護云端所用的知識產(chǎn)權和器件認證直接沖突。恩智浦認為永遠不能犧牲安全性，并提供了具有新的智能卡可信配置（Smart Card Trust Provisioning）功能的解決方案。

安全是恩智浦的核心。我們不僅希望我們器件或軟件的每個(gè)元件都是安全的，還希望使每個(gè)客戶(hù)制造的產(chǎn)品都是安全的。即使制造場(chǎng)所本身不能提供強有力的安全保障，但有了高度安全的技術(shù)，制造流程也應該是安全無(wú)虞的。借助全新的智能卡可信配置解決方案，恩智浦推出了各種功能，支持OEM保護其知識產(chǎn)權及其收入。此解決方案利用我們的智能卡和MCUXpresso安全指配工具（SEC），為客戶(hù)提供了一種管理其制造流程信任根的方法。此外，此解決方案還能保證客戶(hù)用于識別OEM產(chǎn)品及其軟件知識產(chǎn)權的保密信息（密鑰和憑證）受到了保護。這是一款經(jīng)濟高效、安全可靠的解決方案，適用于各種規模的客戶(hù)，并利用恩智浦高度安全的SmartMX微控制器（MCU）來(lái)實(shí)施智能卡本身，這項技術(shù)多年來(lái)一直為高安全性應用提供支持。

許多客戶(hù)花費數月或數年為其最終產(chǎn)品開(kāi)發(fā)軟件，包括認證和知識產(chǎn)權，這些是客戶(hù)最寶貴的資產(chǎn)。智能卡可信配置解決方案支持將安全認證和知識產(chǎn)權從客戶(hù)駐地部署到委托工廠(chǎng)。我們的MCU在ROM中內置了安全啟動(dòng)功能，可確保只運行簽名的鏡像。MCU還包括基于物理不可克隆函數（PUF）技術(shù)的安全閃存和器件唯一密鑰生成功能?？蛻?hù)認證和知識產(chǎn)權在其可信開(kāi)發(fā)場(chǎng)所使用MCUXpresso SEC工具進(jìn)行簽名和加密，只能由恩智浦正版器件進(jìn)行驗證和解密。

認證，例如客戶(hù)應用中使用的密鑰，可在密封之前被安全地存儲在智能卡中，以防篡改。這樣，智能卡就像硬件安全模塊（HSM）一樣成為安全的基本元件。然后，這些認證可以安全地傳輸到客戶(hù)終端產(chǎn)品內部的目標器件，而不會(huì )暴露在合同制造商（CM）工廠(chǎng)。使用SEC工具，只有具有相應內置恩智浦證書(shū)的正版器件才能配備客戶(hù)的密鑰，并使用客戶(hù)簽名的軟件進(jìn)行編程。即使是從運行SEC工具的主機到客戶(hù)目標系統的最后一步，在指配和編程期間，該計算機與恩智浦MCU之間的安全鏈路也會(huì )受到保護。

CM工廠(chǎng)的生產(chǎn)過(guò)剩也可能是許多原始設備制造商關(guān)注的問(wèn)題。智能卡可信配置解決方案提供了基本的生產(chǎn)管理功能（即生產(chǎn)限制控制）來(lái)解決這一問(wèn)題?？蛻?hù)獲得SEC工具時(shí)可以對智能卡進(jìn)行個(gè)性化設置并限制生產(chǎn)數量，同時(shí)為其CM創(chuàng )建生產(chǎn)包以用于制造其產(chǎn)品。一旦到達工廠(chǎng)，執行器件配置的SEC工具就會(huì )與智能卡通信，安全清點(diǎn)制造產(chǎn)品的數量，防止任何試圖超過(guò)預設限值的行為。SEC工具在生產(chǎn)流程結束時(shí)生成工廠(chǎng)審核日志，供CM返回客戶(hù)現場(chǎng)進(jìn)行審核。

智能卡可信配置流程圖

在每個(gè)安全的邊緣連接應用中，每個(gè)器件都需要唯一的身份才能進(jìn)行云注冊。恩智浦從設計微控制器開(kāi)始就構建了配置流程，并在制造流程將加密密鑰和數字證書(shū)注入工廠(chǎng)的這些設備中，以供在客戶(hù)的制造流程中使用。我們的客戶(hù)可以生成自己的器件唯一證書(shū)，并采用SEC工具替換（或撤銷(xiāo)）默認的恩智浦器件證書(shū)，從而使用智能卡生成證書(shū)并保護。這樣，他們能夠在出廠(chǎng)指配期間獲得器件的所有權，并使用SEC工具生成的審核日志來(lái)獲取生成的器件證書(shū)。然后，這些器件證書(shū)可用于上傳給服務(wù)提供商，以便在器件注冊時(shí)使用。

智能卡配置解決方案取代了傳統的、更昂貴的HSM和第三方設備編程服務(wù)。我們使客戶(hù)能夠充分利用恩智浦MCU的高級安全功能來(lái)保護他們的重要資產(chǎn)。我們的客戶(hù)通過(guò)購買(mǎi)高性?xún)r(jià)比的智能卡和使用免費的MCUXpresso SEC工具，可以準備安全的鏡像來(lái)保護他們的知識產(chǎn)權、管理密鑰和執行設備指配。由于沒(méi)有最低訂單量和對生產(chǎn)數量的完全控制，智能卡配置解決方案使所有人都負擔得起安全制造。

作者：

Stella Or

恩智浦半導體邊緣處理業(yè)務(wù)部生態(tài)體系安全高級產(chǎn)品經(jīng)理

Stella Or在香港理工大學(xué)獲得軟件技術(shù)理學(xué)碩士學(xué)位。Stella在半導體行業(yè)有20多年的經(jīng)驗，一直專(zhuān)注于物聯(lián)網(wǎng)和金融應用的嵌入式安全解決方案，擔任過(guò)多個(gè)職位，包括產(chǎn)品定義和業(yè)務(wù)開(kāi)發(fā)。目前，Stella負責恩智浦生態(tài)體系安全解決方案的市場(chǎng)戰略和路線(xiàn)圖規劃，其中包括針對MCU和MPU的安全配置、遠程設備管理和運行時(shí)安全。