探秘SE050 Plug & Trust Secure Element：物聯(lián)網(wǎng)安全的守護(hù)者

在物聯(lián)網(wǎng)（IoT）蓬勃發(fā)展的今天，安全問(wèn)題成為了制約其進(jìn)一步發(fā)展的關(guān)鍵因素。NXP推出的SE050 Plug & Trust Secure Element，為物聯(lián)網(wǎng)系統(tǒng)提供了強(qiáng)大的安全保障。今天，我們就來(lái)深入了解一下這款產(chǎn)品。

文件下載：SE050A1HQ1/Z01SGZ.pdf

一、SE050簡(jiǎn)介

SE050是一款即插即用的物聯(lián)網(wǎng)安全元件解決方案，它在集成電路（IC）層面提供了信任根，使物聯(lián)網(wǎng)系統(tǒng)從一開(kāi)始就具備了先進(jìn)的邊緣到云端的安全能力。它能夠安全地存儲(chǔ)和配置憑證，并執(zhí)行加密操作，以實(shí)現(xiàn)安全關(guān)鍵的通信和控制功能。

1.1 使用場(chǎng)景

• 云連接：可實(shí)現(xiàn)與公共/私有云、邊緣計(jì)算平臺(tái)和基礎(chǔ)設(shè)施的安全連接。
• 設(shè)備認(rèn)證：支持設(shè)備到設(shè)備的認(rèn)證，確保設(shè)備之間的通信安全。
• 數(shù)據(jù)保護(hù)：對(duì)傳感器數(shù)據(jù)等進(jìn)行安全保護(hù)，防止數(shù)據(jù)泄露。
• 其他應(yīng)用：還包括安全調(diào)試支持、安全CL/MIFARE/Wi-Fi交互、區(qū)塊鏈設(shè)備ID、安全密鑰存儲(chǔ)、安全憑證配置以及生態(tài)系統(tǒng)保護(hù)等。

1.2 目標(biāo)應(yīng)用

SE050適用于多個(gè)領(lǐng)域，如智能工業(yè)、智能家居、智能城市和智能供應(yīng)鏈等。

1.3 命名規(guī)則

SE050的商業(yè)名稱(chēng)格式為SE05yagddd/Zrrff，每個(gè)字母都有特定的含義，例如“y”代表JCOP版本，“a”代表Applet配置，“g”代表溫度范圍等。

二、SE050的特性與優(yōu)勢(shì)

2.1 關(guān)鍵優(yōu)勢(shì)

• 快速設(shè)計(jì)：提供完整的產(chǎn)品支持包，實(shí)現(xiàn)快速且輕松的設(shè)計(jì)。
• 易于集成：可與不同的MCU和MPU平臺(tái)以及多種操作系統(tǒng)（如Linux、RTOS、Windows、Android等）輕松集成。
• 交鑰匙解決方案：無(wú)需編寫(xiě)安全代碼，即可實(shí)現(xiàn)系統(tǒng)級(jí)安全。
• 安全注入：在IC層面實(shí)現(xiàn)安全憑證注入，提供信任根。
• 零接觸連接：實(shí)現(xiàn)與公共和私有云的安全、零接觸連接。
• 端到端安全：提供從傳感器到云端的真正端到端安全。
• 示例代碼：為每個(gè)關(guān)鍵用例提供現(xiàn)成的示例代碼。

2.2 關(guān)鍵特性

• 安全架構(gòu)：基于NXP的Integral Security Architecture 3.0?，提供高效的安全保護(hù)，通過(guò)Common Criteria EAL6+認(rèn)證。
• 先進(jìn)技術(shù)：采用先進(jìn)的40 nm硅鑄造技術(shù)。
• 認(rèn)證平臺(tái)：CC EAL 6+和SESIP4認(rèn)證的硬件和操作系統(tǒng)，支持全加密通信和安全生命周期管理；FIPS 140 - 2認(rèn)證平臺(tái)，操作系統(tǒng)和小應(yīng)用程序安全級(jí)別為3，硬件物理安全級(jí)別為4。
• 攻擊防護(hù)：有效抵御高級(jí)攻擊，包括功率分析和各種故障攻擊，具備多重邏輯和物理保護(hù)層。
• 加密算法：支持RSA和ECC非對(duì)稱(chēng)加密算法，以及AES和DES對(duì)稱(chēng)加密算法，還支持多種AES模式和HMAC、CMAC、SHA等操作。
• 溫度范圍：可選擴(kuò)展溫度范圍（-40 °C至 +105 °C），適用于工業(yè)應(yīng)用。
• 小封裝：采用小尺寸的HX2QFN20封裝（3x3 mm）。
• 接口豐富：標(biāo)準(zhǔn)物理接口包括I2C目標(biāo)（高速模式，3.4 Mbps）和I2C控制器（快速模式，400 kbps），還有專(zhuān)用的CL無(wú)線(xiàn)接口。
• 安全存儲(chǔ)：提供高達(dá)50 kB的安全用戶(hù)閃存，用于安全數(shù)據(jù)或密鑰存儲(chǔ)。
• 協(xié)議支持：支持SCP03協(xié)議和小應(yīng)用程序級(jí)安全消息通道，實(shí)現(xiàn)安全綁定和端到端加密通信。

2.3 詳細(xì)特性

三、功能描述

3.1 功能框圖

SE050使用I2C作為通信接口，其命令通過(guò)Smartcard (T = 1) over I2C協(xié)議封裝。為了簡(jiǎn)化產(chǎn)品使用，提供了一個(gè)主機(jī)庫(kù)，支持多種平臺(tái)，可從SE050網(wǎng)站下載完整的源代碼。

3.1.1 隨機(jī)數(shù)生成器

SE050 IoT Applet使用符合AIS20的偽隨機(jī)數(shù)生成器（PRNG）提供隨機(jī)數(shù)，該P(yáng)RNG由符合AIS31類(lèi)PTG.2的真隨機(jī)數(shù)生成器（TRNG）初始化，并根據(jù)NIST SP800 - 90A實(shí)現(xiàn)。

3.1.2 支持的安全對(duì)象類(lèi)型

SE050的文件系統(tǒng)中支持多種安全對(duì)象類(lèi)型，包括對(duì)稱(chēng)密鑰（AES、3DES）、ECC密鑰、RSA密鑰、HMAC密鑰、二進(jìn)制文件、用戶(hù)ID、計(jì)數(shù)器和哈希擴(kuò)展寄存器等。

3.1.3 訪(fǎng)問(wèn)控制

每個(gè)安全對(duì)象都可以關(guān)聯(lián)特定的訪(fǎng)問(wèn)控制策略，提供多種認(rèn)證選項(xiàng)，如基于用戶(hù)ID的認(rèn)證、基于對(duì)稱(chēng)密鑰的安全消息認(rèn)證和基于非對(duì)稱(chēng)密鑰的安全消息認(rèn)證。

3.1.4 會(huì)話(huà)和多線(xiàn)程

SE050 IoT applet支持2個(gè)同時(shí)會(huì)話(huà)，適用于需要多線(xiàn)程和多租戶(hù)用例的生態(tài)系統(tǒng)，還提供一個(gè)默認(rèn)會(huì)話(huà)用于單租戶(hù)用例。

3.1.5 認(rèn)證和信任配置

SE050 applet帶有一組信任配置的根憑證，允許設(shè)備所有者安全地認(rèn)證所有生成的安全密鑰，客戶(hù)還可以定義自己的認(rèn)證密鑰。

3.1.6 應(yīng)用支持

SE050 IoT applet內(nèi)置了一些加密功能，以簡(jiǎn)化特定用例的部署，如MIFARE SAM功能、Wi-Fi密碼保護(hù)、基于ECC和RSA密鑰的云連接、使用I2C控制器的安全傳感器讀取、遠(yuǎn)程認(rèn)證和信任配置以及平臺(tái)配置寄存器等。

3.2 憑證存儲(chǔ)與內(nèi)存

SE050內(nèi)的所有憑證和安全對(duì)象都存儲(chǔ)在動(dòng)態(tài)文件結(jié)構(gòu)中，用戶(hù)在創(chuàng)建對(duì)象時(shí)需要關(guān)聯(lián)一個(gè)文件標(biāo)識(shí)符，以便后續(xù)訪(fǎng)問(wèn)。還可以創(chuàng)建瞬態(tài)對(duì)象，用于在遠(yuǎn)程內(nèi)存系統(tǒng)中安全存儲(chǔ)密鑰。

3.3 預(yù)配置“易用性”配置

一些通用的SE050變體提供預(yù)配置，方便在開(kāi)發(fā)階段和實(shí)際應(yīng)用中使用，客戶(hù)可以在SE050中預(yù)先注入主要用例所需的所有密鑰。

3.4 啟動(dòng)行為

當(dāng)在引腳 (V{in}) 、 (V{CC}) 施加指定范圍內(nèi)的電源電壓，或在天線(xiàn)引腳LA、LB施加符合ISO/IEC 14443的射頻場(chǎng)時(shí)，IC啟動(dòng)。啟動(dòng)時(shí)，IC會(huì)按順序檢查可用的接口，選擇一個(gè)接口接收命令進(jìn)行處理，如需切換接口，需要重置IC。

四、通信接口

4.1 I2C接口

SE050有一個(gè)支持目標(biāo)模式的I2C接口和一個(gè)支持控制器模式的I2C接口。I2C目標(biāo)接口是主要通信接口，支持高達(dá)3.4 MHz的時(shí)鐘頻率（高速模式），默認(rèn)目標(biāo)地址為0x48。I2C控制器接口用于與需要安全讀寫(xiě)的目標(biāo)設(shè)備通信，最大SCL時(shí)鐘速率為400 kHz。

4.2 ISO7816和ISO14443接口

SE050還支持ISO7816和ISO14443 - A智能卡接口，ISO7816接口支持 (T = 0) 和 (T = 1) 協(xié)議，ISO14443接口使用 (T = CL) 協(xié)議，支持56 pF的諧振輸入電容，還支持一個(gè)額外的GPIO引腳IO2。

五、電源節(jié)省模式

SE050提供兩種電源節(jié)省模式：掉電模式（保留狀態(tài)）和深度掉電模式（不保留狀態(tài)）。掉電模式通過(guò) (T = 1) over I2C協(xié)議接收“APDU會(huì)話(huà)結(jié)束請(qǐng)求”進(jìn)入，通過(guò) (I2C_SDA) 的下降沿觸發(fā)外部中斷退出；深度掉電模式通過(guò)將使能引腳ENA拉低激活，將ENA拉高退出。

六、訂購(gòu)信息

6.1 訂購(gòu)選項(xiàng)

SE050提供多種訂購(gòu)選項(xiàng)，包括不同的變體和開(kāi)發(fā)套件，具體信息可參考文檔中的表格。

6.2 樣品訂購(gòu)

可以通過(guò)nxp.com網(wǎng)站上SE050產(chǎn)品信息頁(yè)面的“Buy Direct”按鈕訂購(gòu)樣品，NXP最多可免費(fèi)提供五件樣品，大量訂購(gòu)需商業(yè)訂購(gòu)。

6.3 配置

關(guān)于SE050的詳細(xì)配置和可用變體信息，可參考NXP的單獨(dú)應(yīng)用筆記。

七、引腳信息

SE050采用HX2QFN20封裝，引腳功能包括ISO14443天線(xiàn)連接、I2C數(shù)據(jù)和時(shí)鐘、電源輸入和輸出、復(fù)位輸入等。中心焊盤(pán)建議連接到地以進(jìn)行散熱。

八、封裝與標(biāo)記

SE050采用3 mm x 3 mm x 0.32 mm的HX2QFN20封裝，間距為0.4 mm。標(biāo)記代碼根據(jù)類(lèi)型編號(hào)有特定的格式。

九、包裝信息

SE050產(chǎn)品采用卷帶包裝，每卷包含3000個(gè)單元。

十、電氣和時(shí)序特性

SE050的電氣接口特性符合NXP IC規(guī)格，包括靜態(tài)（DC）和動(dòng)態(tài)（AC）參數(shù)。

十一、限制值和推薦工作條件

SE050的限制值包括電源電壓、輸入電壓、輸入和輸出電流、靜電放電電壓等，推薦工作條件包括電源電壓、輸入電壓、場(chǎng)強(qiáng)和環(huán)境溫度等。

SE050 Plug & Trust Secure Element憑借其強(qiáng)大的安全功能、豐富的接口和易于集成的特點(diǎn)，為物聯(lián)網(wǎng)系統(tǒng)提供了可靠的安全保障。在實(shí)際應(yīng)用中，電子工程師可以根據(jù)具體需求選擇合適的SE050變體，并合理配置其功能，以實(shí)現(xiàn)最佳的安全性能。你在使用SE050或其他安全元件時(shí)遇到過(guò)哪些問(wèn)題呢？歡迎在評(píng)論區(qū)分享你的經(jīng)驗(yàn)和見(jiàn)解。