萬物互聯的概念逐漸深入到了各個領域，如何安全地讓設備接入網絡也成為了一個挑戰。同時，設備的功能也愈發復雜，越來越多的設備具備了“邊緣計算”的算力和能力，MCU上承載的算法（例如AI/電機/傳感器融合等）也越來越多，保護運行于MCU上固件的知識產權也愈發重要。

追本溯源：安全應從生產源頭開始

也正因為如此，我們需要全鏈路的安全。從源頭上，保證MCU被安全地配置，在工廠生產時，密鑰和固件被安全地注入芯片。與此同時，設備的附加值越高，越需要考慮設備的固件不會被意外流出。

越來越多的公司專注于研發，并將生產委托給第三方工廠，因此有時也需要保證工廠不會違規進行超額的生產。如果不考慮這些問題，公司花費高額代價和投入建立的技術壁壘，很有可能會變成全行業眾人皆知的“經典參考方案”。

NXP基于智能卡的安全生產方案

為了解決這些問題，NXP推出了基于智能卡的安全生產方案。

恩智浦智能卡可信生產是為原始設備制造商（OEM）管理其與簽訂合同的制造商（CM）的生產過程而提供的安全方案。通過免費的MCUXpresso Secure Provisioning Tool (SEC) 圖形化工具和恩智浦提供的智能卡，OEM的機密信息和知識產權在其生產過程中被加密保護并安全地轉移到恩智浦的MCU上。智能卡基于恩智浦的高安全SmartMX控制器，在高安全性應用中被廣泛使用。

基于此方案，OEM可以在智能卡中配置并鎖定生產限額，防止CM進行超額生產，由SEC工具在智能卡配合下生成的工廠審計日志使OEM能夠審查配置的設備數量。設備的證書被生成并傳遞給OEM，設備啟用時可使用此證書完成設備在云端云服務的注冊。

基于智能卡的安全生產流程如下圖所示：

下面進行分項講解：

第一步

OEM需要準備OEM的密鑰和準備燒錄的固件。NXP將會提供用于安全置備的固件（以SB2格式加密保護）和NXP_PROD_DevAttest_CA_PUK證書。

第二步

通過SEC工具寫恩智浦智能卡，OEM將定制化數據（如生產數量限制和OEM密鑰）配置進智能卡中。OEM使用SEC工具，生成經過簽名/加密的OEM固件。所有這些資料都被包裝成一個OEM量產資料包。一般來說，OEM量產包應包含定制化數據的智能卡、經過簽名/加密的OEM固件和恩智浦提供的置備固件。

第三步

OEM將包含定制化后的智能卡和量產資料包發給與其簽訂合同的制造商（CM)。

第四步

CM使用OEM定制化配置后的智能卡，并通過SEC工具，將NXP提供的置備固件加載到目標設備上。

第五步

智能卡向目標設備發送一個挑戰（challenge），用于驗證目標設備的真實性。

第六步

目標設備對挑戰（challenge）做簽名響應（response），智能卡將會根據NXP_PROD_DevAttest_CA_PUK證書對響應（response）進行驗證。

第七步

驗證通過后，智能卡生成會話密鑰（session keys）和OEM證書。然后，它與目標設備交換會話密鑰，建立加密通道，并傳輸OEM證書和OEM密鑰。此時，OEM設備證書從現在起取代了NXP_PROD_DevAttest_CA_PUK證書。因此， OEM擁有該設備的所有權。

第八步

復位目標設備。然后，經過簽名/加密的OEM固件被傳輸到目標設備上。目標設備將會進行固件的燒寫。

第九步

所有生產都已完成，CM將審計日志和智能卡送回至OEM。OEM可以分析審計日志，并可以根據需求，選擇性地從日志中提取設備證書，上傳到云服務提供商（如AWS、微軟Azure等）。

從上述流程可以看出，每一顆芯片的生產和燒錄，都必須通過智能卡進行。智能卡可以記錄已生產的數量，并將判斷是否超出了OEM預設的生產數量的限制。一旦超過限制，生產過程將無法進行，因此CM無法進行超出限額的額外的設備生產。

這從技術上，限制了CM的行為。并且，CM拿到的量產資料包中的固件，全部都是被NXP Secure Binary格式加密保護的，原始的固件不會從OEM流出，因此也不會泄露OEM的知識產權。整個過程中需要的密鑰也都被智能卡妥善管理，為應用的密鑰管理體系打下了堅實的基礎。

看起來這是一個復雜的過程，但實際，基于圖形化的SEC工具，僅需花費幾分鐘，就可以完成所有操作。并且，SEC工具還支持量產模式，方便工廠產線的操作人員簡化操作，只需通過簡單的鼠標點擊，就可以完成生產。

安全生產的低成本解決方案

基于智能卡的安全生產解決方案補足了安全生產的低成本解決方案，是傳統更昂貴的HSM和第三方芯片燒寫服務的有益補充。我們使客戶能夠充分利用恩智浦MCU的先進安全功能來保護其重要資產。

通過購買高性價比的智能卡和使用免費的MCUXpresso SEC工具，我們的客戶可以準備安全的固件來保護他們的知識產權，管理密鑰和執行設備置備。智能卡解決方案沒有最低訂購量，并可完全控制生產數量，因此，安全制造成為能負擔得起的選項。

目前，此方案支持LPC55Sxx (LPC55S6x、LPC55S2x、LPC55S1x、LPC55S0x) 設備，NXP官網提供了基于智能卡的安全生產方案的視頻教程。可以與當地NXP的銷售/FAE聯系，來獲取智能卡和更多信息。

（本文轉載自「恩智浦MCU加油站」公眾號，作者為恩智浦應用技術工程師劉豪）

?