探秘SE050 Plug & Trust Secure Element：物聯網安全的守護者

在物聯網（IoT）蓬勃發展的今天，安全問題成為了制約其進一步發展的關鍵因素。NXP推出的SE050 Plug & Trust Secure Element，為物聯網系統提供了強大的安全保障。今天，我們就來深入了解一下這款產品。

文件下載：SE050A1HQ1/Z01SGZ.pdf

一、SE050簡介

SE050是一款即插即用的物聯網安全元件解決方案，它在集成電路（IC）層面提供了信任根，使物聯網系統從一開始就具備了先進的邊緣到云端的安全能力。它能夠安全地存儲和配置憑證，并執行加密操作，以實現安全關鍵的通信和控制功能。

1.1 使用場景

• 云連接：可實現與公共/私有云、邊緣計算平臺和基礎設施的安全連接。
• 設備認證：支持設備到設備的認證，確保設備之間的通信安全。
• 數據保護：對傳感器數據等進行安全保護，防止數據泄露。
• 其他應用：還包括安全調試支持、安全CL/MIFARE/Wi-Fi交互、區塊鏈設備ID、安全密鑰存儲、安全憑證配置以及生態系統保護等。

1.2 目標應用

SE050適用于多個領域，如智能工業、智能家居、智能城市和智能供應鏈等。

1.3 命名規則

SE050的商業名稱格式為SE05yagddd/Zrrff，每個字母都有特定的含義，例如“y”代表JCOP版本，“a”代表Applet配置，“g”代表溫度范圍等。

二、SE050的特性與優勢

2.1 關鍵優勢

• 快速設計：提供完整的產品支持包，實現快速且輕松的設計。
• 易于集成：可與不同的MCU和MPU平臺以及多種操作系統（如Linux、RTOS、Windows、Android等）輕松集成。
• 交鑰匙解決方案：無需編寫安全代碼，即可實現系統級安全。
• 安全注入：在IC層面實現安全憑證注入，提供信任根。
• 零接觸連接：實現與公共和私有云的安全、零接觸連接。
• 端到端安全：提供從傳感器到云端的真正端到端安全。
• 示例代碼：為每個關鍵用例提供現成的示例代碼。

2.2 關鍵特性

• 安全架構：基于NXP的Integral Security Architecture 3.0?，提供高效的安全保護，通過Common Criteria EAL6+認證。
• 先進技術：采用先進的40 nm硅鑄造技術。
• 認證平臺：CC EAL 6+和SESIP4認證的硬件和操作系統，支持全加密通信和安全生命周期管理；FIPS 140 - 2認證平臺，操作系統和小應用程序安全級別為3，硬件物理安全級別為4。
• 攻擊防護：有效抵御高級攻擊，包括功率分析和各種故障攻擊，具備多重邏輯和物理保護層。
• 加密算法：支持RSA和ECC非對稱加密算法，以及AES和DES對稱加密算法，還支持多種AES模式和HMAC、CMAC、SHA等操作。
• 溫度范圍：可選擴展溫度范圍（-40 °C至 +105 °C），適用于工業應用。
• 小封裝：采用小尺寸的HX2QFN20封裝（3x3 mm）。
• 接口豐富：標準物理接口包括I2C目標（高速模式，3.4 Mbps）和I2C控制器（快速模式，400 kbps），還有專用的CL無線接口。
• 安全存儲：提供高達50 kB的安全用戶閃存，用于安全數據或密鑰存儲。
• 協議支持：支持SCP03協議和小應用程序級安全消息通道，實現安全綁定和端到端加密通信。

2.3 詳細特性

三、功能描述

3.1 功能框圖

SE050使用I2C作為通信接口，其命令通過Smartcard (T = 1) over I2C協議封裝。為了簡化產品使用，提供了一個主機庫，支持多種平臺，可從SE050網站下載完整的源代碼。

3.1.1 隨機數生成器

SE050 IoT Applet使用符合AIS20的偽隨機數生成器（PRNG）提供隨機數，該PRNG由符合AIS31類PTG.2的真隨機數生成器（TRNG）初始化，并根據NIST SP800 - 90A實現。

3.1.2 支持的安全對象類型

SE050的文件系統中支持多種安全對象類型，包括對稱密鑰（AES、3DES）、ECC密鑰、RSA密鑰、HMAC密鑰、二進制文件、用戶ID、計數器和哈希擴展寄存器等。

3.1.3 訪問控制

每個安全對象都可以關聯特定的訪問控制策略，提供多種認證選項，如基于用戶ID的認證、基于對稱密鑰的安全消息認證和基于非對稱密鑰的安全消息認證。

3.1.4 會話和多線程

SE050 IoT applet支持2個同時會話，適用于需要多線程和多租戶用例的生態系統，還提供一個默認會話用于單租戶用例。

3.1.5 認證和信任配置

SE050 applet帶有一組信任配置的根憑證，允許設備所有者安全地認證所有生成的安全密鑰，客戶還可以定義自己的認證密鑰。

3.1.6 應用支持

SE050 IoT applet內置了一些加密功能，以簡化特定用例的部署，如MIFARE SAM功能、Wi-Fi密碼保護、基于ECC和RSA密鑰的云連接、使用I2C控制器的安全傳感器讀取、遠程認證和信任配置以及平臺配置寄存器等。

3.2 憑證存儲與內存

SE050內的所有憑證和安全對象都存儲在動態文件結構中，用戶在創建對象時需要關聯一個文件標識符，以便后續訪問。還可以創建瞬態對象，用于在遠程內存系統中安全存儲密鑰。

3.3 預配置“易用性”配置

一些通用的SE050變體提供預配置，方便在開發階段和實際應用中使用，客戶可以在SE050中預先注入主要用例所需的所有密鑰。

3.4 啟動行為

當在引腳 (V{in}) 、 (V{CC}) 施加指定范圍內的電源電壓，或在天線引腳LA、LB施加符合ISO/IEC 14443的射頻場時，IC啟動。啟動時，IC會按順序檢查可用的接口，選擇一個接口接收命令進行處理，如需切換接口，需要重置IC。

四、通信接口

4.1 I2C接口

SE050有一個支持目標模式的I2C接口和一個支持控制器模式的I2C接口。I2C目標接口是主要通信接口，支持高達3.4 MHz的時鐘頻率（高速模式），默認目標地址為0x48。I2C控制器接口用于與需要安全讀寫的目標設備通信，最大SCL時鐘速率為400 kHz。

4.2 ISO7816和ISO14443接口

SE050還支持ISO7816和ISO14443 - A智能卡接口，ISO7816接口支持 (T = 0) 和 (T = 1) 協議，ISO14443接口使用 (T = CL) 協議，支持56 pF的諧振輸入電容，還支持一個額外的GPIO引腳IO2。

五、電源節省模式

SE050提供兩種電源節省模式：掉電模式（保留狀態）和深度掉電模式（不保留狀態）。掉電模式通過 (T = 1) over I2C協議接收“APDU會話結束請求”進入，通過 (I2C_SDA) 的下降沿觸發外部中斷退出；深度掉電模式通過將使能引腳ENA拉低激活，將ENA拉高退出。

六、訂購信息

6.1 訂購選項

SE050提供多種訂購選項，包括不同的變體和開發套件，具體信息可參考文檔中的表格。

6.2 樣品訂購

可以通過nxp.com網站上SE050產品信息頁面的“Buy Direct”按鈕訂購樣品，NXP最多可免費提供五件樣品，大量訂購需商業訂購。

6.3 配置

關于SE050的詳細配置和可用變體信息，可參考NXP的單獨應用筆記。

七、引腳信息

SE050采用HX2QFN20封裝，引腳功能包括ISO14443天線連接、I2C數據和時鐘、電源輸入和輸出、復位輸入等。中心焊盤建議連接到地以進行散熱。

八、封裝與標記

SE050采用3 mm x 3 mm x 0.32 mm的HX2QFN20封裝，間距為0.4 mm。標記代碼根據類型編號有特定的格式。

九、包裝信息

SE050產品采用卷帶包裝，每卷包含3000個單元。

十、電氣和時序特性

SE050的電氣接口特性符合NXP IC規格，包括靜態（DC）和動態（AC）參數。

十一、限制值和推薦工作條件

SE050的限制值包括電源電壓、輸入電壓、輸入和輸出電流、靜電放電電壓等，推薦工作條件包括電源電壓、輸入電壓、場強和環境溫度等。

SE050 Plug & Trust Secure Element憑借其強大的安全功能、豐富的接口和易于集成的特點，為物聯網系統提供了可靠的安全保障。在實際應用中，電子工程師可以根據具體需求選擇合適的SE050變體，并合理配置其功能，以實現最佳的安全性能。你在使用SE050或其他安全元件時遇到過哪些問題呢？歡迎在評論區分享你的經驗和見解。