探秘SE050 Plug & Trust Secure Element：物联网安全的守护者

在物联网（IoT）蓬勃发展的今天，安全问题成为了制约其进一步发展的关键因素。NXP推出的SE050 Plug & Trust Secure Element，为物联网系统提供了强大的安全保障。今天，我们就来深入了解一下这款产品。

文件下载：SE050A1HQ1/Z01SGZ.pdf

一、SE050简介

SE050是一款即插即用的物联网安全元件解决方案，它在集成电路（IC）层面提供了信任根，使物联网系统从一开始就具备了先进的边缘到云端的安全能力。它能够安全地存储和配置凭证，并执行加密操作，以实现安全关键的通信和控制功能。

1.1 使用场景

• 云连接：可实现与公共/私有云、边缘计算平台和基础设施的安全连接。
• 设备认证：支持设备到设备的认证，确保设备之间的通信安全。
• 数据保护：对传感器数据等进行安全保护，防止数据泄露。
• 其他应用：还包括安全调试支持、安全CL/MIFARE/Wi-Fi交互、区块链设备ID、安全密钥存储、安全凭证配置以及生态系统保护等。

1.2 目标应用

SE050适用于多个领域，如智能工业、智能家居、智能城市和智能供应链等。

1.3 命名规则

SE050的商业名称格式为SE05yagddd/Zrrff，每个字母都有特定的含义，例如“y”代表JCOP版本，“a”代表Applet配置，“g”代表温度范围等。

二、SE050的特性与优势

2.1 关键优势

• 快速设计：提供完整的产品支持包，实现快速且轻松的设计。
• 易于集成：可与不同的MCU和MPU平台以及多种操作系统（如Linux、RTOS、Windows、Android等）轻松集成。
• 交钥匙解决方案：无需编写安全代码，即可实现系统级安全。
• 安全注入：在IC层面实现安全凭证注入，提供信任根。
• 零接触连接：实现与公共和私有云的安全、零接触连接。
• 端到端安全：提供从传感器到云端的真正端到端安全。
• 示例代码：为每个关键用例提供现成的示例代码。

2.2 关键特性

• 安全架构：基于NXP的Integral Security Architecture 3.0™，提供高效的安全保护，通过Common Criteria EAL6+认证。
• 先进技术：采用先进的40 nm硅铸造技术。
• 认证平台：CC EAL 6+和SESIP4认证的硬件和操作系统，支持全加密通信和安全生命周期管理；FIPS 140 - 2认证平台，操作系统和小应用程序安全级别为3，硬件物理安全级别为4。
• 攻击防护：有效抵御高级攻击，包括功率分析和各种故障攻击，具备多重逻辑和物理保护层。
• 加密算法：支持RSA和ECC非对称加密算法，以及AES和DES对称加密算法，还支持多种AES模式和HMAC、CMAC、SHA等操作。
• 温度范围：可选扩展温度范围（-40 °C至 +105 °C），适用于工业应用。
• 小封装：采用小尺寸的HX2QFN20封装（3x3 mm）。
• 接口丰富：标准物理接口包括I²C目标（高速模式，3.4 Mbps）和I²C控制器（快速模式，400 kbps），还有专用的CL无线接口。
• 安全存储：提供高达50 kB的安全用户闪存，用于安全数据或密钥存储。
• 协议支持：支持SCP03协议和小应用程序级安全消息通道，实现安全绑定和端到端加密通信。

2.3 详细特性

SE050的详细特性涵盖了多个方面，包括安全认证、JavaCard版本、全球平台规范版本、加密算法、用户内存、接口、电源节省模式、温度范围和封装等。具体信息如下表所示：	类别	子类别	值
标准	安全认证	CC EAL6+ (HW + JCOP), FIPS 140 - 2 L3, SESIP4
	JavaCard版本	3.0.5
	全球平台规范版本	GP 2.3.1
密码学	ECC	ECDSA, ECDH, ECDHE, ECDAA, EdDSA
	MAC	HMAC, 安全HMAC, CMAC
	哈希	SHA - 1, SHA - 224, SHA - 256, SHA - 384, SHA - 512
	密钥派生	HKDF, PBKDF2, PRF (TLS - PSK), MIFARE - AES - KDF
	AES	AES (128, 192, 256)
	AES模式	CBC, ECB, CTR
	3DES	2K, 3K
	RSA	RSA密码用于加密/解密（最高4096位）
	加密曲线	ECC NIST (192至521位), Brainpool (160至512位), Twisted Edwards Ed25519 / Montgomery Curve25519, Koblitz (192至256位), Barreto - Naehrig Curve 256位
用户内存		50 kB
内存可靠性		高达1亿次写入周期 / 25年
接口	I²C目标	高速模式（3.4 Mbps）
	I²C控制器	快速模式（400 kbit/s）
	非接触式	ISO14443 - A PICC
电源节省模式	掉电模式（保留状态）	< 500µA
	深度掉电模式（不保留状态）	< 5 µA
温度	标准	-25 - 85 °C
	扩展	-40 - +105 °C
封装	塑料QFN	3x3 mm (HX2QFN20)

三、功能描述

3.1 功能框图

SE050使用I²C作为通信接口，其命令通过Smartcard (T = 1) over I²C协议封装。为了简化产品使用，提供了一个主机库，支持多种平台，可从SE050网站下载完整的源代码。

3.1.1 随机数生成器

SE050 IoT Applet使用符合AIS20的伪随机数生成器（PRNG）提供随机数，该PRNG由符合AIS31类PTG.2的真随机数生成器（TRNG）初始化，并根据NIST SP800 - 90A实现。

3.1.2 支持的安全对象类型

SE050的文件系统中支持多种安全对象类型，包括对称密钥（AES、3DES）、ECC密钥、RSA密钥、HMAC密钥、二进制文件、用户ID、计数器和哈希扩展寄存器等。

3.1.3 访问控制

每个安全对象都可以关联特定的访问控制策略，提供多种认证选项，如基于用户ID的认证、基于对称密钥的安全消息认证和基于非对称密钥的安全消息认证。

3.1.4 会话和多线程

SE050 IoT applet支持2个同时会话，适用于需要多线程和多租户用例的生态系统，还提供一个默认会话用于单租户用例。

3.1.5 认证和信任配置

SE050 applet带有一组信任配置的根凭证，允许设备所有者安全地认证所有生成的安全密钥，客户还可以定义自己的认证密钥。

3.1.6 应用支持

SE050 IoT applet内置了一些加密功能，以简化特定用例的部署，如MIFARE SAM功能、Wi-Fi密码保护、基于ECC和RSA密钥的云连接、使用I²C控制器的安全传感器读取、远程认证和信任配置以及平台配置寄存器等。

3.2 凭证存储与内存

SE050内的所有凭证和安全对象都存储在动态文件结构中，用户在创建对象时需要关联一个文件标识符，以便后续访问。还可以创建瞬态对象，用于在远程内存系统中安全存储密钥。

3.3 预配置“易用性”配置

一些通用的SE050变体提供预配置，方便在开发阶段和实际应用中使用，客户可以在SE050中预先注入主要用例所需的所有密钥。

3.4 启动行为

当在引脚 (V{in}) 、 (V{CC}) 施加指定范围内的电源电压，或在天线引脚LA、LB施加符合ISO/IEC 14443的射频场时，IC启动。启动时，IC会按顺序检查可用的接口，选择一个接口接收命令进行处理，如需切换接口，需要重置IC。

四、通信接口

4.1 I²C接口

SE050有一个支持目标模式的I²C接口和一个支持控制器模式的I²C接口。I²C目标接口是主要通信接口，支持高达3.4 MHz的时钟频率（高速模式），默认目标地址为0x48。I²C控制器接口用于与需要安全读写的目标设备通信，最大SCL时钟速率为400 kHz。

4.2 ISO7816和ISO14443接口

SE050还支持ISO7816和ISO14443 - A智能卡接口，ISO7816接口支持 (T = 0) 和 (T = 1) 协议，ISO14443接口使用 (T = CL) 协议，支持56 pF的谐振输入电容，还支持一个额外的GPIO引脚IO2。

五、电源节省模式

SE050提供两种电源节省模式：掉电模式（保留状态）和深度掉电模式（不保留状态）。掉电模式通过 (T = 1) over I²C协议接收“APDU会话结束请求”进入，通过 (I²C_SDA) 的下降沿触发外部中断退出；深度掉电模式通过将使能引脚ENA拉低激活，将ENA拉高退出。

六、订购信息

6.1 订购选项

SE050提供多种订购选项，包括不同的变体和开发套件，具体信息可参考文档中的表格。

6.2 样品订购

可以通过nxp.com网站上SE050产品信息页面的“Buy Direct”按钮订购样品，NXP最多可免费提供五件样品，大量订购需商业订购。

6.3 配置

关于SE050的详细配置和可用变体信息，可参考NXP的单独应用笔记。

七、引脚信息

SE050采用HX2QFN20封装，引脚功能包括ISO14443天线连接、I²C数据和时钟、电源输入和输出、复位输入等。中心焊盘建议连接到地以进行散热。

八、封装与标记

SE050采用3 mm x 3 mm x 0.32 mm的HX2QFN20封装，间距为0.4 mm。标记代码根据类型编号有特定的格式。

九、包装信息

SE050产品采用卷带包装，每卷包含3000个单元。

十、电气和时序特性

SE050的电气接口特性符合NXP IC规格，包括静态（DC）和动态（AC）参数。

十一、限制值和推荐工作条件

SE050的限制值包括电源电压、输入电压、输入和输出电流、静电放电电压等，推荐工作条件包括电源电压、输入电压、场强和环境温度等。

SE050 Plug & Trust Secure Element凭借其强大的安全功能、丰富的接口和易于集成的特点，为物联网系统提供了可靠的安全保障。在实际应用中，电子工程师可以根据具体需求选择合适的SE050变体，并合理配置其功能，以实现最佳的安全性能。你在使用SE050或其他安全元件时遇到过哪些问题呢？欢迎在评论区分享你的经验和见解。