NXP基于智能卡的安全生產(chǎn)方案

NXP安全生產(chǎn)方案

為了解決這些問(wèn)題，NXP推出了基于智能卡的安全生產(chǎn)方案。

恩智浦智能卡可信生產(chǎn)是為原始設(shè)備制造商（OEM）管理其與簽訂合同的制造商（CM）的生產(chǎn)過(guò)程而提供的安全方案。通過(guò)免費(fèi)的MCUXpresso Secure Provisioning Tool (SEC)圖形化工具和恩智浦提供的智能卡，OEM的機(jī)密信息和知識(shí)產(chǎn)權(quán)在其生產(chǎn)過(guò)程中被加密保護(hù)并安全地轉(zhuǎn)移到恩智浦的MCU上。智能卡基于恩智浦的高安全SmartMX控制器，在高安全性應(yīng)用中被廣泛使用。

基于此方案，OEM可以在智能卡中配置并鎖定生產(chǎn)限額，防止CM進(jìn)行超額生產(chǎn)，由SEC工具在智能卡配合下生成的工廠審計(jì)日志使OEM能夠?qū)彶榕渲玫脑O(shè)備數(shù)量。設(shè)備的證書被生成并傳遞給OEM，設(shè)備啟用時(shí)可使用此證書完成設(shè)備在云端云服務(wù)的注冊(cè)。

第一步：OEM需要準(zhǔn)備OEM的密鑰和準(zhǔn)備燒錄的固件。NXP將會(huì)提供用于安全置備的固件（以SB2格式加密保護(hù)）和NXP_PROD_DevAttest_CA_PUK證書。

第二步：通過(guò)SEC工具寫恩智浦智能卡，OEM將定制化數(shù)據(jù)（如生產(chǎn)數(shù)量限制和OEM密鑰）配置進(jìn)智能卡中。OEM使用SEC工具，生成經(jīng)過(guò)簽名/加密的OEM固件。所有這些資料都被包裝成一個(gè)OEM量產(chǎn)資料包。一般來(lái)說(shuō)，OEM量產(chǎn)包應(yīng)包含定制化數(shù)據(jù)的智能卡、經(jīng)過(guò)簽名/加密的OEM固件和恩智浦提供的置備固件。

第三步：OEM將包含定制化后的智能卡和量產(chǎn)資料包發(fā)給與其簽訂合同的制造商（CM)。

第四步：CM使用OEM定制化配置后的智能卡，并通過(guò)SEC工具，將NXP提供的置備固件加載到目標(biāo)設(shè)備上。

第五步：智能卡向目標(biāo)設(shè)備發(fā)送一個(gè)挑戰(zhàn)（challenge），用于驗(yàn)證目標(biāo)設(shè)備的真實(shí)性。

第六步：目標(biāo)設(shè)備對(duì)挑戰(zhàn)（challenge）做簽名響應(yīng)（response），智能卡將會(huì)根據(jù)NXP_PROD_DevAttest_CA_PUK證書對(duì)響應(yīng)（response）進(jìn)行驗(yàn)證。

第七步：驗(yàn)證通過(guò)后，智能卡生成會(huì)話密鑰（session keys）和OEM證書。然后，它與目標(biāo)設(shè)備交換會(huì)話密鑰，建立加密通道，并傳輸OEM證書和OEM密鑰。此時(shí)，OEM設(shè)備證書從現(xiàn)在起取代了NXP_PROD_DevAttest_CA_PUK證書。因此， OEM擁有該設(shè)備的所有權(quán)。

第八步：復(fù)位目標(biāo)設(shè)備。然后，經(jīng)過(guò)簽名/加密的OEM固件被傳輸?shù)侥繕?biāo)設(shè)備上。目標(biāo)設(shè)備將會(huì)進(jìn)行固件的燒寫。

第九步：所有生產(chǎn)都已完成，CM將審計(jì)日志和智能卡送回至OEM。OEM可以分析審計(jì)日志，并可以根據(jù)需求，選擇性地從日志中提取設(shè)備證書，上傳到云服務(wù)提供商（如AWS、微軟Azure等）。

從上述流程可以看出，每一顆芯片的生產(chǎn)和燒錄，都必須通過(guò)智能卡進(jìn)行。智能卡可以記錄已生產(chǎn)的數(shù)量，并將判斷是否超出了OEM預(yù)設(shè)的生產(chǎn)數(shù)量的限制。一旦超過(guò)限制，生產(chǎn)過(guò)程將無(wú)法進(jìn)行，因此CM無(wú)法進(jìn)行超出限額的額外的設(shè)備生產(chǎn)。這從技術(shù)上，限制了CM的行為。并且，CM拿到的量產(chǎn)資料包中的固件，全部都是被NXPSecure Binary格式加密保護(hù)的，原始的固件不會(huì)從OEM流出，因此也不會(huì)泄露OEM的知識(shí)產(chǎn)權(quán)。整個(gè)過(guò)程中需要的密鑰也都被智能卡妥善管理，為應(yīng)用的密鑰管理體系打下了堅(jiān)實(shí)的基礎(chǔ)。

看起來(lái)這是一個(gè)復(fù)雜的過(guò)程，但實(shí)際，基于圖形化的SEC工具，僅需花費(fèi)幾分鐘，就可以完成所有操作。并且，SEC工具還支持量產(chǎn)模式，方便工廠產(chǎn)線的操作人員簡(jiǎn)化操作，只需通過(guò)簡(jiǎn)單的鼠標(biāo)點(diǎn)擊，就可以完成生產(chǎn)。

小結(jié)

目前，此方案支持LPC55Sxx(LPC55S6x,LPC55S2x,LPC55S1x,LPC55S0x)設(shè)備，NXP官網(wǎng)提供了基于智能卡的安全生產(chǎn)方案的視頻教程。可以與當(dāng)?shù)豊XP的銷售/FAE聯(lián)系，來(lái)獲取智能卡和更多信息。

END

更多恩智浦AI-IoT市場(chǎng)和產(chǎn)品信息，邀您同時(shí)關(guān)注“NXP客?！蔽⑿殴娞?hào)

NXP客棧

恩智浦致力于打造安全的連接和基礎(chǔ)設(shè)施解決方案，為智慧生活保駕護(hù)航。

長(zhǎng)按二維碼，關(guān)注我們

恩智浦MCU加油站

這是由恩智浦官方運(yùn)營(yíng)的公眾號(hào)，著重為您推薦恩智浦MCU的產(chǎn)品信息、開(kāi)發(fā)技巧、教程文檔、培訓(xùn)課程等內(nèi)容。

長(zhǎng)按二維碼，關(guān)注我們