前言

伴隨工業和物聯網的發展，IIOT設備的功能越來越多，設備上運行的軟件附加值也越來越高，設備也能采集和產生很多敏感的數據，設備端的安全也因此變得尤為重要。生產過程的安全管控，是設備全生命周期可信的基礎環節。為了解決產線燒錄環節密鑰明文傳輸引發憑證泄露以及供應鏈管理缺失造成惡意代碼植入等問題。

NXP根據不同的場景，提供了多種安全生產解決方案：Device HSM(是指利用芯片內部的EdgeLock Subsystem生成用于量產的加密Secure Binary文件)；Smart Card TrustProvisioning；EdgeLock 2GO。

之前，已經介紹了NXP的Smart Card Trust Provisioning方案，請參考NXP基于智能卡的安全生產方案。這篇文章將簡要介紹NXP的EdgeLock 2Go的安全生產方案，并討論 “Device provisioning via proxy”流程。在這種情況下，MCUXpresso Secure Provisioning Tool (MCUXpresso SECTool)是用于配置 MCU 的“代理”。

EdgeLock 2GO

EdgeLock 2GO 是由恩智浦運營的全面管理云平臺，可提供安全配置服務，方便部署和維護使用恩智浦支持產品的物聯網設備。該服務允許您創建和管理安全對象，如對稱密鑰、密鑰對和證書，然后將其安全地配置到您的恩智浦 MCU 或 MPU 等設備中。 通過 EdgeLock 2GO 創建的安全對象和證書可用于多種用例，包括數據加密或解密以及訪問控制。

EdgeLock 2GO 將密鑰和證書管理的復雜性抽象化。EdgeLock 2GO 的安全性依賴于信任根，這些信任根在芯片制造過程中注入芯片。通過這些信任根，EdgeLock 2GO 可以配置設備，并為設備配置特定的證書和密鑰。從服務直接到設備的整個過程都是端到端加密的，因此不需要在生產線上采用特殊的安全措施來處理證書。

通過使用EdgeLock 2GO，安全對象在生產的全程都以加密的形式流轉，能保證密鑰和知識產權的安全；并且由于基于UUID，工廠無法使用假冒芯片進行生產，只能對真正的 NXP 芯片進行編程（使用 UUID 驗證），工廠也不能超量生產，EdgeLock 2GO服務器會記錄生產情況，從而登記產品數量。

EdgeLock 2GO provisioningviaproxy

EdgeLock 2GO 是一種靈活的服務，可根據您的調配需求和調配地點以不同方式使用。下圖顯示了適用于恩智浦 MCU 和 MPU 的 EdgeLock 2GO provisioning via proxy配置方法和流程。

步驟1：OEM 通過 EdgeLock 2GO 網站或 API 配置安全對象。

步驟2：在設備生產時，MCUXpresso SEC Tool將讀出設備 UUID（逐個或批量），并通過 API 將 UUID 或 UUID 列表發送到 EdgeLock 2GO。

步驟3：EdgeLock 2GO 生成在步驟一中配置的安全對象，并使用 EdgeLock 2GO 信任根進行加密。EdgeLock 2GO將加密后的安全對象傳輸到主機。

步驟4：主機將加密的安全對象加載到設備上，EdgeLock2GO 配置固件(Edgelock 2GO trust provisioning firmware，按照SB3格式的加密固件)將加密憑證傳遞給MCU的EdgeLock Subsystem，以進行解密，安全對象將被燒寫到OTP Fuse/IFR或flash。

而實際操作上，只有步驟一需要OEM用戶手動進行配置，剩余步驟，將會在同工廠中由MCUXpresso SEC Tool執行，操作人員僅需簡單點擊圖形界面的幾個按鈕即可完成。更詳細的操作步驟，請登錄Edgelock 2GO網站，查看相應的文檔。（AN13255 EdgeLock 2GO Quick start guide; AN14544: EdgeLock2GO Services for MPU and MCU）

小結

恩智浦的 EdgeLock 2GO 服務使設備廠商無需建立和維護設備配置基礎設施，而這是一項昂貴而復雜的工作。對于部署經 Matter 或 Qi 無線充電認證設備的 OEM 廠商而言，這項工作尤其具有挑戰性，因為成為經 Matter 或 Qi 認證的驗證證書提供商是一項更為艱巨的任務。此外，啟用基礎設施以支持持續的證書管理和安全更新也增加了設備配置的成本，并增加了維護安全部署的復雜性。 設備制造商可以通過使用恩智浦的全套 EdgeLock 2GO 服務進行憑證管理，從而避免所有這些問題。恩智浦是物聯網安全領域公認的領導者，也是少數幾家不僅能為各種物聯網用例提供全面設備配置服務的半導體制造商之一，同時還是Matter和Qi證書的完全授權提供商。我們的EdgeLock2GO 云服務為設備原始設備制造商提供了一種安全、簡單、靈活的方式，在設備從制造到部署和報廢的整個生命周期內提供和管理設備證書。

EdgeLock 2GO 是安全的，因為它利用恩智浦的安全基礎架構和基于硬件的設備根提供端到端保護；EdgeLock 2GO也易于使用，因為設備 OEM 無需為其制造場所創建安全基礎架構。EdgeLock 2GO 還具有靈活性，因為它兼容 PKI 和物聯網服務，并完全符合 Matter 和 Qi 等流行標準。