如何为长期 CRA 合规建立安全的硬件基础

针对含数字元素的产品，欧盟 (EU)《网络弹性法案》(CRA) 已在根本上将网络安全从事后考虑转变为核心架构关切。随着 2027 年全面实施监管的开始，开发人员必须了解其在此法规下的责任。随后，他们可以选择适当的处理硬件，以便在嵌入式产品的整个生命周期内履行这些责任。正确的硬件将支持实现“安全设计”架构，例如通过空中下载 (OTA) 更新来支持持续的漏洞管理。

本文简要概述了 CRA 的要求，并探讨了安全飞地技术如何作为隔离敏感数据和管理硬件信任根 (RoT) 以确保设备完整性的基础。然后介绍了 NXP Semiconductors 的单片机 (MCU) 和应用处理器，它们可以作为构建符合 CRA 要求的解决方案的基础，并演示了一个实际应用案例。

网络安全责任正在发生变化

根据 CRA，制造商对确保合规性承担全部法律责任。简而言之，CRA 要求制造商：

• 保护设备免遭篡改，确保首次启动时软件的完整性
• 提供至少五年的支持期（如果产品预期寿命更短，则以产品预期寿命为准），期间需进行持续的漏洞管理和定期的安全更新。
• 在十年内，或在更长的支持期内，保持更新的可用性并提供最新的技术文档。
• 在产品上市时提供指定的支持终止日期。
• 在 24 小时内将正被积极利用的安全漏洞报告给国家计算机安全事件响应小组 (CSIRT) 和欧盟网络安全局 (ENISA)，并在 72 小时内提交详细报告，在 14 天内提交最终报告。
• 为 CRA 下“重要”（I 类和 II 类）和“关键”类别的专业产品提供第三方认证。
• 签署正式的符合性声明 (DoC)，允许制造商使用欧洲合格产品 (CE) 标志进入欧盟市场。

CRA 强制性实践的核心是承诺确保和维护设备完整性，这始于为每个产品建立安全的硬件基础。虽然 CRA 没有定义具体的框架，但安全飞地技术为设计人员提供了一种可靠的方式来履行这一强制性承诺。

安全飞地技术如何支持固件验证

安全飞地（图 1）通常包含在一个更大的片上系统 (SoC) 内，它是一个安全的硬件子系统，用于生成、存储和管理软件验证资产（如加密密钥），并为系统提供硬件信任根 (RoT)。通过将这些资源与设备的其余部分隔离，开发人员可以防止未经授权的访问。然后，整个系统就可以通过安全启动过程来防范未经授权的软件运行。

图 1：安全飞地建立了硬件 RoT，启动过程的每个阶段都可以根据该 RoT 验证其真实性，从而确保系统的完整性。（图片来源：Brandon Lewis）

启动在安全飞地内开始，RoT 在安全固件启动的每个阶段验证签名，核实安全子系统未被破坏。如果出现不匹配，启动过程将停止，因为 RoT 无法验证启动序列的完整性。这是防止主系统被篡改的第一阶段。

在随后的每个启动阶段，安全飞地都会使用锚定在硬件 RoT 中的公钥验证签名。验证可确保只执行经过制造商签名的真实代码。因此，如果在任何阶段验证失败，主系统要么中止启动，要么以有限的功能运行，从而隔离潜在的威胁。

由于长期的 CRA 合规性还要求在产品的整个生命周期内定期更新，因此安全启动对于验证每个补丁的真实性至关重要。对于 OTA 更新来说尤其如此，因为它们通常是自动安装的。安全飞地为安全启动信任链提供了一个基础要素。因此，开发人员可以从包含此子系统的精密硬件组件中受益。

一款支持“安全设计”的高性能 MCU

在构建符合 CRA 标准的产品时，NXP 的 MCX N 系列 MCU（图 2）提供了一个专用的安全子系统，以及一个双 Arm® Cortex®-M33 架构，其中集成了用于边缘 AI 处理的神经处理单元 (NPU)。其低功耗运行能力可低至 57 微安/兆赫 (µA/MHz)，在电池供电型设计中可实现较长的工作寿命，额外的省电模式可将电流消耗降至 2 µA。

NXP EdgeLock 安全子系统充当了安全飞地。除了防止硬件攻击的故障和篡改检测模块外，EdgeLock 子系统还具有多项维护软件完整性的措施，包括：

• 调试验证器，防止未经授权的访问
• 公钥加密 (PKC)，包括用于加密的 AES-256 和 ECC-256 模块、用于加密散列的 SHA-512 模块以及用于低延迟块加密的 PRINCE 模块
• 基于 SRAM 的物理不可克隆函数 (PUF)，用于生成设备唯一标识符和推导密钥，以支持不可变硬件 RoT

图 2：除了符合 CRA 的 EdgeLock 安全子系统外，NXP MCX N94x MCU 还具有多种接口，可满足多种应用需求。（图片来源：NXP ）

为了提供额外保护，MCX N94x MCU 还具有用于安全执行环境的 Arm TrustZone 功能，以及带防篡改引脚以保护基于时间的安全机制的实时时钟 (RTC)。此外，它还配备了安全的直接内存访问 (DMA) 控制器、内存保护单元 (MPU) 和纠错码 (ECC) RAM，以防止内存攻击。MCX N94x MCU 提供两种型号，允许开发人员根据特定应用扩展内存需求：MCXN946VDFT 在 184 引脚 VFBGA 封装中集成了 1 兆字节 (Mb) 闪存和 352 千字节 (Kb) 的 SRAM，而 MCXN947VDFT 在 172 引脚 HDQFP 封装中集成了 2 Mb 闪存和 512 Kb SRAM。

除了安全和内存功能外，MCX N94x MCU 还提供了数字和模拟 I/O、人机界面 (HMI) 和电机控制子系统。结合 -40°C 至 +125°C 的工作温度范围，这些特性支持多种符合 CRA 要求的产品设计，包括工业自动化设备、智能家电、电动工具和医疗设备等。

使用 MCX N94x MCU 开发应用时，FRDM-MCXN947 评估板（图 3）提供了一个有效的切入点。它具有丰富的连接选项，包括以太网和 USB Type-C 端口以及扩展针座，能够使用熟悉的工具快速进行应用开发。NXP 还提供扩展板中心和应用代码中心等资源，支持团队选择兼容硬件并使用 MCUXpresso 编程。

图 3：FRDM-MCXN947 评估板可实现符合 CRA 标准系统的快速原型开发。（图片来源：NXP）

用于嵌入式 Linux 应用的 NXP EdgeLock

NXP 还在其 i.MX 93 系列（图 4）高能效应用处理器中加入了 EdgeLock 安全飞地。这些 MCU 提供了一系列与 MCX N94x MCU 类似的高性能外设，同时结合了一个 Cortex-M33 内核和两个支持 Linux 的 Arm Cortex-A55 应用内核。

图 4：i.MX 93 应用处理器将 EdgeLock 与一个 Cortex-M33 和两个 Cortex-A55 内核结合在一起，为嵌入式 Linux 系统提供了一个安全的基础。（图片来源：NXP Semiconductors）

与 MCX N94x MCU 一样，i.MX 93 应用处理器的 EdgeLock 安全飞地包含了篡改检测和加密模块。不过仍提供专用的安全时钟（用于防止基于时间的攻击）和 eFuse 密钥存储服务于硬件 RoT。同样，实时子系统内的 ECC RAM 和 MPU 也能够为更宽的系统内存提供保护。Cortex-A 和 Cortex-M 内核都具有用于安全软件分区的 Arm TrustZone 功能，并得到可信资源域控制器 (TRDC) 的进一步支持。

除了生产适用于商用、汽车和工业温度范围的 i.MX 93 器件外，NXP 还为各种应用提供可扩展的计算选项。例如，MIMX9351DVVXMAB 配备了运行频率高达 1.7 千兆赫 (GHz) 的单个 Cortex-A55 内核和一个 NPU，可支持智能家居中枢等高性能边缘 AI 应用。相比之下，MIMX9302DVVXDAB 提供两个运行频率高达 900 MHz 的 Cortex-A55 内核，省去了可选的 NPU，使其成为适合数字信息亭和多摄像头安防系统的通用计算解决方案。这些资源还提供其他排列组合。

为了加速 i.MX 93 应用处理器的开发，MCIMX93-QSB 评估板（图 5）配备了多个物理连接器，用于编程、联网和系统扩展。其中包括以太网和 USB Type-C 端口、扩展针座和一个 M.2 Key-E 插槽。该电路板受 i.MX 软件和开发工具支持。

图 5：MCIMX93-QSB 评估板和支持软件可加速 i.MX 93 应用开发。（图片来源：NXP Semiconductors）

为了进一步加强设备的安全性，与 CRA 的支持期承诺保持一致，NXP 的 EdgeLock 2GO 云服务可在设备的整个生命周期内为开发人员提供安全的 OTA 更新、代码签名以及证书和密钥管理。通过原生集成到受 EdgeLock 保护的设备中，它完善了支持长期 CRA 合规性的全面安全策略基础。

结语

欧盟的 CRA 在未来多年将一直影响着数字产品的开发，但开发人员现在就需要了解它，才能在最终期限到来时满足合规性要求。在设计符合 CRA 标准的产品时，使用诸如 NXP 的 MCX N94x MCU 和 i.MX 93 应用处理器之类设备，通过 EdgeLock 安全飞地和额外的硬件安全措施，就可以实现坚实的硬件安全基础。借助 EdgeLock 2GO，开发团队可以在这个不断演变的监管环境中，进一步加强他们对长期 CRA 合规和“安全设计”产品的承诺。