EdgeLock® Assurance:值得信赖的安全性
在每个端点保护敏感信息需要可以信赖的智能信息安全。恩智浦EdgeLock Assurance保障计划旨在满足行业标准,遵循经过验证的信息安全开发流程和验证评估,涵盖从产品概念到产品推出的各个环节。
EdgeLock®安全区域和加密加速器
基于硬件的安全保障,支持可选的加密加速功能。
为保护和隔离对设备运行至关重要的安全功能,我们在许多最新一代MCU、MPU及跨界处理器中配备了名为“EdgeLock安全区域”的专用安全单元。该单元与SoC其余部分物理隔离,拥有独立的CPU内核与存储器。它能保护SoC完整性,防止应用内核直接访问敏感数据,并为关键的敏感安全功能的执行提供增强隔离,其提供的额外保护层超越了标准可信执行环境(TEE)。
EdgeLock安全区域是处理平台安全信任锚
- 系统中的信任根(隔离)
- 存储机密信息(密钥)与平台完整性凭证
- 推动并监测SoC完整性
- 独立于在应用内核运行的操作系统
- 与应用内核类型无关
- 可通过开源协议栈使用
加速工业与消费物联网的安全部署
EdgeLock安全区域助力OEM厂商简化和优化工业及消费物联网产品的安全部署,从而进入受监管市场并构建弹性。
| 优势 | 详细信息 |
|---|---|
| 关键安全功能 | 支持广泛的基本安全功能,包括安全启动、设备验证、身份验证、安全调试、安全固件更新、安全连接、设备生命周期管理、数据保护、软件(IP)保护等。 |
| 增强型设备保护 | 独立于应用内核与存储器运行的专用安全单元,基于物理隔离提供更高程度的独立性,为关键敏感安全功能带来更强安全保障。 |
| 更多的片上资源 | 将加密运算分流至专用安全单元,可释放应用内核与存储器的资源,简化时间和性能敏感型应用的设计。 |
| 加速认证 | 基于芯片的信任根有助于符合工业物联网标准与法规(如IEC 62443、美国网络信任标志、欧盟《网络弹性法案》),并简化认证维护工作。 |
| 简化生命周期维护 | EdgeLock 2GO云服务支持对信任根凭证进行安全更新,无需企业自建和维护密钥管理基础设施。 |
| 安全制造 | 通过安全软件与凭证安装增强对非可信生产环境中供应链的控制(即使对于无闪存处理器也同样适用)。 |
| 降低开发成本 | 芯片级安全功能,减少了对设备级保护机制的需求,例如需要访问控制的安保设施、监控系统、告警,或用于检测设备/外壳是否被篡改的防拆封条及涂层。 |
具备两种能力配置的可扩展安全方案
EdgeLock安全区域提供核心版(Core)与高级版(Advanced)两种配置规格,旨在为我们的边缘处理产品组合提供可扩展的安全方案。核心版为资源受限的轻量级设备提供基础安全保障。针对更强大的边缘处理平台,高级版则提供增强功能。此方法确保了安全部署可针对多样化的物联网设备进行优化扩展。
| 特性 | 核心版(Core) | 高级版(Advanced) |
|---|---|---|
| 加密服务,TRNG | ||
| 安全密钥存储 | ||
| 设备唯一身份标识与密钥 | ||
| 设备认证 | ||
| 安全连接 | ||
| 密钥管理OTA (EdgeLock 2GO) | 可选* | |
| Enclave固件/加密算法可更新 | 可选* | |
| 运行时设备保护 | - | |
| 通常集成于 |
(资源受限及轻量级设备) |
|
| 支持的设备 |
EdgeLock加密加速器
EdgeLock安全区域旨在通过物理隔离环境来保护机密数据及平台完整性凭证,但部分应用场景还需要极高带宽或超低延迟的加密与身份验证。该区域包含专用的加密协处理器,但这些引擎针对安全执行而非运行速度进行了优化。
对于工业TSN网络、高速移动通信或其他数据密集型边缘工作负载等应用场景,EdgeLock加密加速器通过提供应用级加密性能,对安全区域形成补充,且不会暴露或危及安全区域内部锚定的机密信息。
下文概述了特定恩智浦MCU和MPU上所集成的EdgeLock加密加速器。
| 加速器类型 | 说明¹ | 可升级 | 集成密钥存储 | 密钥注入封装机制 | 典型用例 (非详尽清单) |
|---|---|---|---|---|---|
| EdgeLock加速器(CAAM) | 支持扩展加密功能的加速器系列,涵盖RSA、ECC、AES和SHA-1/2、(3)DES。部分型号还包含协议卸载功能。 | - | TLS、IPsec | ||
| EdgeLock加速器(V2X) | 为高速ECDSA身份验证而优化的加速器,支持SHE/Evita (汽车用) | 汽车V2X,快速启动 | |||
| EdgeLock加速器(Prime) | 为高速ECDSA身份验证、AES和SHA-2而优化的多引擎加速器 | 时间敏感网络(TSN)、快速启动、磁盘加密、TLS、网络、IPsec、DRM、V2X | |||
| EdgeLock加速器(PKC) | 用于RSA和ECC运算的数学协处理器 | (主处理器软件) | - | - | TLS、IPsec、Matter |
| EdgeLock加速器(Casper) | 用于RSA和ECC运算的数学协处理器 | (主处理器软件) | - | - | TLS |
| EdgeLock加速器(SGI) | 集成AES、HMAC/CMAC及SHA-2运算加速的硬件引擎 | - | 快速启动(基于AES),面向大容量存储的密钥封装 | ||
| EdgeLock加速器(HASH-CRYPT) | 加速器AES 、SHA-1和SHA256 | - | - | - | 安全启动,TLS |
| EdgeLock加速器(DCP) | 加速器AES-128/SHA256 | - | - | 快速启动、磁盘加密与TLS |
安全连接至我们的EdgeLock 2GO平台
恩智浦EdgeLock安全区域原生集成了EdgeLock 2GO密钥管理平台,这意味着OEM厂商可借助我们的服务,在设备生命周期的每个阶段(从生产制造到报废)安全地添加、移除和更新密钥与数字证书。设备即使售出并投入使用后,也能持续满足不断发展的安全法规要求,且无需企业自建和维护内部密钥管理基础设施。该集成功能已在或将在配备EdgeLock安全区域的大多数MPU和MCU上提供。
文档
|
了解《网络弹性法案》如何重塑产品安全预期,以及恩智浦如何以可扩展的、合规就绪解决方案赋能制造商,使其胸有成竹地迎接这一全新的监管时代。 |
|||
|
探索恩智浦如何提供可扩展、模块化的安全解决方案,以增强弹性与合规性,并提供实用的部署方案以及强大的监管支持。 |
|||
|
符合IEC 62443标准对于进入工业和医疗市场日益重要。了解恩智浦如何提供可扩展的安全解决方案,以满足各种需求并实现弹性。 |
|||
|
了解EdgeLock安全区域如何通过物理隔离提供基于硅片的信任锚,从而为互联设备实现弹性、合规与安全的生命周期管理。 |
|||
|
在全球安全监管持续收紧的背景下,了解关键要求变得至关重要。探索恩智浦如何助力简化合规工作,并全面提升设备及软件层面的产品安全。 |