探索SE050 Plug & Trust安全元件：物聯(lián)網(wǎng)安全的理想解決方案

在物聯(lián)網(wǎng)（IoT）飛速發(fā)展的今天，安全問題日益凸顯。設(shè)備之間的通信、數(shù)據(jù)的存儲(chǔ)和傳輸都面臨著各種潛在的威脅。NXP的SE050 Plug & Trust安全元件為物聯(lián)網(wǎng)系統(tǒng)提供了強(qiáng)大的安全保障，是一款值得深入研究的產(chǎn)品。

文件下載：SE050C2HQ1/Z01SDZ.pdf

一、SE050概述

SE050是一款即插即用的物聯(lián)網(wǎng)安全元件解決方案，它在集成電路（IC）層面提供信任根，使物聯(lián)網(wǎng)系統(tǒng)從開箱即用就具備先進(jìn)的端到云安全能力。SE050能夠安全地存儲(chǔ)和配置憑證，并執(zhí)行加密操作，以實(shí)現(xiàn)安全關(guān)鍵通信和控制功能。它適用于多種物聯(lián)網(wǎng)安全用例，如與公共/私有云的安全連接、設(shè)備到設(shè)備的認(rèn)證以及傳感器數(shù)據(jù)的保護(hù)。

1.1 應(yīng)用場景

SE050的應(yīng)用場景廣泛，涵蓋了多個(gè)領(lǐng)域：

• 云連接：實(shí)現(xiàn)與公共/私有云、邊緣計(jì)算平臺(tái)和基礎(chǔ)設(shè)施的安全連接。
• 設(shè)備認(rèn)證：支持設(shè)備到設(shè)備的認(rèn)證，確保設(shè)備之間的通信安全。
• 數(shù)據(jù)保護(hù)：提供安全的數(shù)據(jù)保護(hù)，包括傳感器數(shù)據(jù)的加密和存儲(chǔ)。
• 其他應(yīng)用：如安全調(diào)試支持、安全CL/MIFARE/Wi-Fi交互、區(qū)塊鏈設(shè)備ID、安全密鑰存儲(chǔ)、安全憑證配置、生態(tài)系統(tǒng)保護(hù)、Qi 1.3無線充電認(rèn)證以及支持Matter標(biāo)準(zhǔn)等。

1.2 目標(biāo)應(yīng)用

SE050的目標(biāo)應(yīng)用包括智能工業(yè)、智能家居、智能城市和智能供應(yīng)鏈等領(lǐng)域。它作為物聯(lián)網(wǎng)系統(tǒng)的一部分，作為輔助安全設(shè)備連接到主控制器，通過I2C接口進(jìn)行通信。

1.3 命名規(guī)則

SE050的商業(yè)名稱遵循特定的格式：SE05yagddd/Zrrff。每個(gè)字母都有特定的含義，例如“y”表示JCOP版本，“a”表示小應(yīng)用程序配置，“g”表示溫度范圍，“ddd”表示交付類型，“Zrrff”是NXP內(nèi)部代碼，用于識(shí)別個(gè)別配置。

二、SE050的特性與優(yōu)勢

2.1 關(guān)鍵優(yōu)勢

• 快速設(shè)計(jì)：提供完整的產(chǎn)品支持包，實(shí)現(xiàn)快速輕松的設(shè)計(jì)。
• 易于集成：可與不同的MCU和MPU平臺(tái)以及多種操作系統(tǒng)（如Linux、RTOS、Windows、Android等）輕松集成。
• 交鑰匙解決方案：無需編寫安全代碼，即可實(shí)現(xiàn)系統(tǒng)級(jí)安全。
• 安全憑證注入：在IC層面提供信任根，確保安全的憑證注入。
• 零接觸連接：實(shí)現(xiàn)與公共和私有云的安全、零接觸連接。
• 端到端安全：提供從傳感器到云的真正端到端安全。
• 示例代碼：為每個(gè)關(guān)鍵用例提供現(xiàn)成的示例代碼。

2.2 關(guān)鍵特性

• 安全架構(gòu)：基于NXP的Integral Security Architecture 3.0?，提供高效的安全保護(hù)，通過Common Criteria EAL6+認(rèn)證。
• 自主運(yùn)行：基于集成的JavaCard操作系統(tǒng)和小應(yīng)用程序自主運(yùn)行，內(nèi)存內(nèi)容與主機(jī)系統(tǒng)完全隔離。
• 加密算法支持：支持RSA和ECC非對(duì)稱加密算法、AES和DES對(duì)稱加密算法，以及多種哈希和密鑰派生函數(shù)。
• 防護(hù)機(jī)制：具備多重邏輯和物理保護(hù)層，包括金屬屏蔽、端到端加密、內(nèi)存加密和篡改檢測，有效抵御高級(jí)攻擊。
• 溫度范圍：適用于工業(yè)應(yīng)用的擴(kuò)展溫度范圍（-40 °C至+105 °C）。
• 小尺寸封裝：采用3x3 mm的HX2QFN20封裝，節(jié)省空間。
• 接口豐富：支持標(biāo)準(zhǔn)的I2C接口（高速模式3.4 Mbps和快速模式400 kbps），以及專用的CL無線接口。
• 安全存儲(chǔ)：提供高達(dá)50 kB的安全用戶閃存，用于安全數(shù)據(jù)或密鑰存儲(chǔ)。
• 協(xié)議支持：支持SCP03協(xié)議，實(shí)現(xiàn)主機(jī)與安全元件的安全綁定。
• 隨機(jī)數(shù)生成：提供符合NIST SP800-90B的真隨機(jī)數(shù)生成器（TRNG）和符合NIST SP800-90A的確定性隨機(jī)數(shù)生成器（DRBG）。
• 安全消息通道：支持小應(yīng)用程序級(jí)別的安全消息通道，實(shí)現(xiàn)多租戶生態(tài)系統(tǒng)中的端到端加密通信。

2.3 詳細(xì)特性

SE050的詳細(xì)特性涵蓋了安全認(rèn)證、標(biāo)準(zhǔn)支持、加密算法、用戶內(nèi)存、接口等多個(gè)方面。例如，它具有CC EAL6+和FIPS 140-2 L3安全認(rèn)證，支持JavaCard 3.0.5和GlobalPlatform 2.3.1標(biāo)準(zhǔn)，提供多種加密算法和密鑰派生函數(shù)，用戶內(nèi)存可達(dá)50 kB，具備多種接口和電源節(jié)省模式等。

三、功能描述

3.1 功能框圖

SE050使用I2C作為通信接口，其命令通過Smartcard (T=1) over (I^{2} C)協(xié)議進(jìn)行封裝。為了簡化產(chǎn)品使用，提供了一個(gè)主機(jī)庫，用于抽象SE050命令和協(xié)議封裝。SE050的物聯(lián)網(wǎng)小應(yīng)用程序具有通用文件系統(tǒng)，能夠安全地存儲(chǔ)安全對(duì)象和相關(guān)的權(quán)限管理。

3.1.1 隨機(jī)數(shù)生成器

SE050的物聯(lián)網(wǎng)小應(yīng)用程序使用符合AIS20的偽隨機(jī)數(shù)生成器（PRNG）提供隨機(jī)數(shù)，該生成器由符合AIS31的真隨機(jī)數(shù)生成器（TRNG）初始化。

3.1.2 支持的安全對(duì)象類型

SE050支持多種安全對(duì)象類型，包括對(duì)稱密鑰（AES、3DES）、ECC密鑰、RSA密鑰、HMAC密鑰、二進(jìn)制文件、用戶ID、計(jì)數(shù)器和哈希擴(kuò)展寄存器等。

3.1.3 訪問控制

每個(gè)安全對(duì)象可以關(guān)聯(lián)特定的訪問控制策略，提供多種認(rèn)證選項(xiàng)，如基于用戶ID的認(rèn)證、基于對(duì)稱密鑰的安全消息認(rèn)證和基于非對(duì)稱密鑰的安全消息認(rèn)證。

3.1.4 會(huì)話和多線程

SE050的物聯(lián)網(wǎng)小應(yīng)用程序支持多線程和多租戶用例，提供2個(gè)同時(shí)會(huì)話和1個(gè)默認(rèn)會(huì)話。

3.1.5 認(rèn)證和信任配置

SE050小應(yīng)用程序帶有一組信任配置的根憑證，允許設(shè)備所有者安全地認(rèn)證所有生成的安全密鑰。客戶還可以定義自己的認(rèn)證密鑰。

3.1.6 應(yīng)用支持

SE050的物聯(lián)網(wǎng)小應(yīng)用程序具有內(nèi)置的加密功能，支持多種特定用例，如MIFARE SAM功能、Wi-Fi密碼保護(hù)、基于ECC和RSA密鑰的云連接、安全傳感器讀取、遠(yuǎn)程認(rèn)證和信任配置以及平臺(tái)配置寄存器等。

3.2 憑證存儲(chǔ)與內(nèi)存

SE050內(nèi)的所有憑證和安全對(duì)象存儲(chǔ)在動(dòng)態(tài)文件結(jié)構(gòu)中，用戶可以通過文件標(biāo)識(shí)符訪問對(duì)象。還可以創(chuàng)建臨時(shí)對(duì)象，用于安全地存儲(chǔ)密鑰。

3.3 預(yù)配置的“易用性”配置

部分SE050變體提供預(yù)配置選項(xiàng)，方便開發(fā)和現(xiàn)場使用，客戶可以在SE050中預(yù)注入主要用例所需的密鑰。

3.4 啟動(dòng)行為

SE050在施加電源電壓或射頻場時(shí)啟動(dòng)，啟動(dòng)時(shí)會(huì)檢查可用的接口，選擇一個(gè)接口接收命令。

四、通信接口

4.1 I2C接口

SE050具有一個(gè)支持目標(biāo)模式的I2C接口和一個(gè)支持控制器模式的I2C接口。I2C目標(biāo)接口是主要通信接口，支持高達(dá)3.4 MHz的高速模式，默認(rèn)目標(biāo)地址為0x48。I2C控制器接口用于與目標(biāo)設(shè)備進(jìn)行安全讀寫，最大SCL時(shí)鐘速率為400 kHz。

4.1.1 支持的I2C頻率

I2C目標(biāo)接口在啟用時(shí)鐘拉伸時(shí)支持高達(dá)3.4 MHz的SCL時(shí)鐘，禁用時(shí)鐘拉伸時(shí)最大支持1.0 MHz。I2C控制器接口支持最大400 kHz的SCL時(shí)鐘頻率。

4.2 ISO7816和ISO14443接口

SE050還支持ISO7816和ISO14443-A智能卡接口，分別支持SmartCard協(xié)議(T=0)和(T=1)以及協(xié)議(T=CL)，支持56 pF的諧振輸入電容。

五、電源節(jié)省模式

SE050提供兩種電源節(jié)省模式：電源關(guān)閉模式（保留狀態(tài)）和深度電源關(guān)閉模式（不保留狀態(tài)）。電源關(guān)閉模式通過(T=1) over (I^{2} C)協(xié)議的“APDU會(huì)話結(jié)束請(qǐng)求”激活，通過(I^{2} C underline S D A^{2})的下降沿退出。深度電源關(guān)閉模式通過將使能引腳（ENA）拉低激活，將ENA拉高退出。

六、訂購信息

6.1 訂購選項(xiàng)

文檔提供了SE050的訂購信息，包括不同變體的型號(hào)和可訂購的部件編號(hào)，以及開發(fā)套件的相關(guān)信息。

6.2 訂購樣品

可以通過NXP網(wǎng)站使用“直接購買”按鈕訂購SE050樣品，NXP最多可免費(fèi)提供五件，大量訂購需商業(yè)訂購。

6.3 配置

每個(gè)SE050變體的詳細(xì)配置和啟用功能信息可在NXP的應(yīng)用筆記中找到。

七、引腳信息

SE050采用HX2QFN20封裝，文檔詳細(xì)介紹了引腳配置和引腳描述。中心焊盤建議接地以提高散熱性能。

八、封裝與標(biāo)記

SE050采用3x3 mm x 0.32 mm、間距為0.4 mm的HX2QFN20封裝。標(biāo)記代碼包含產(chǎn)品類型、批次代碼、組裝中心、年份和周等信息。

九、包裝信息

SE050產(chǎn)品以卷帶包裝形式提供，每卷包含3000個(gè)單元。

十、電氣和時(shí)序特性

文檔詳細(xì)介紹了SE050的電氣和時(shí)序特性，包括靜態(tài)（DC）和動(dòng)態(tài)（AC）參數(shù)，如輸入/輸出特性、I2C接口特性、電源消耗、非易失性存儲(chǔ)器時(shí)序特性等。

十一、限制值和推薦操作條件

SE050的限制值和推薦操作條件明確，包括電源電壓、輸入電壓、輸入/輸出電流、靜電放電電壓、總功耗和存儲(chǔ)溫度等。推薦的操作電源電壓范圍為1.62 V至3.6 V。

十二、特性

12.1 DC特性

詳細(xì)描述了輸入/輸出接口（IO1/IO2）、I2C接口和電源消耗的DC特性，包括輸入電壓、輸入電流、輸出電壓和輸出電流等參數(shù)。

12.2 AC特性

介紹了非易失性存儲(chǔ)器的時(shí)序特性、I2C接口和其他接口的AC特性，如輸入/輸出上升/下降時(shí)間、時(shí)鐘頻率、電源關(guān)閉和喚醒時(shí)間等。

12.3 I2C總線時(shí)序

定義了I2C總線的時(shí)序參數(shù)，包括數(shù)據(jù)保持時(shí)間等。

12.4 EMC/EMI

SE050符合IEC 61967-4的EMC和EMI抗性標(biāo)準(zhǔn)。

十三、縮寫與參考

文檔提供了一系列縮寫的解釋，方便讀者理解相關(guān)術(shù)語。同時(shí)，列出了多個(gè)參考文檔，可在NXP網(wǎng)站上獲取。

十四、修訂歷史與法律信息

文檔包含修訂歷史，記錄了不同版本的更新內(nèi)容。法律信息部分包括數(shù)據(jù)單狀態(tài)、定義、免責(zé)聲明、許可證、商標(biāo)等內(nèi)容，提醒讀者注意相關(guān)法律規(guī)定和產(chǎn)品使用限制。

SE050 Plug & Trust安全元件為物聯(lián)網(wǎng)系統(tǒng)提供了全面的安全解決方案，其豐富的特性和廣泛的應(yīng)用場景使其成為物聯(lián)網(wǎng)安全領(lǐng)域的有力選擇。電子工程師在設(shè)計(jì)物聯(lián)網(wǎng)設(shè)備時(shí)，可以充分考慮SE050的優(yōu)勢，為設(shè)備的安全保駕護(hù)航。你在實(shí)際應(yīng)用中是否遇到過類似的安全元件？你認(rèn)為SE050在哪些方面還可以進(jìn)一步優(yōu)化？歡迎在評(píng)論區(qū)分享你的看法。