メインコンテンツに移動

RXファミリのソフトウェアの歴史と今後の展望 #9 -Design IoT latest provisioning scheme with RX MCU--

画像
Hiroki Ishiguro
石黒 裕紀
主幹技師
掲載: 2023年5月31日

前回に引き続き、IoT機器の設計手法に関する情報をお届けします。

IoT機器の低消費化、小型化が求められています。このため、第7回では低消費なMCU、セルラーモデムが必要であることを解説し、第8回ではMCU搭載のセキュリティIPを活用しTLS暗号通信を安全化・高速化する手法を解説しました。

実際にこのシステムを市場で数千、数万台、ときには数百万台規模で量産・稼働させるためには、これらを個体識別できるデータを個体毎に保持(具体的にはMCU内蔵のフラッシュメモリや、MCU外部にI2Cバス接続されたEEPROM等の記憶媒体)する必要があります。

大量生産を行う製品に対し1台ずつ個別にこれらのデータを書き込むことは、大量生産時の工場運営コストが増加するという課題に直面することになります。

そこでAWS社はMCUに搭載するOS: FreeRTOSの一機能として「フリートプロビジョニング」を準備し、ルネサスはその機能を取り込んだリファレンス実装を開発しました。

フリートプロビジョニング: https://www.freertos.org/iot-fleet-provisioning/index.html

解説ブログ(日本語のみ): https://aws.amazon.com/jp/blogs/news/manage-credential-with-fleet-provisioning-in-mass-production/

ルネサスのリファレンス実装: https://github.com/renesas/iot-reference-rx

現在開発は最終フェーズで、AWSと日々協議しながらより使いやすい状態で頒布できるよう、GitHub上でAWSと共同でコードの整理を行っています。

リファレンス実装は、RX72N Envision KitやCK-RX65N等の標準的なルネサス製ボードで動作し、スマートコンフィグレータを用いることでパートナー製ボードやお客様作成の専用ボードでも動作させることができます。

今回ご紹介するフリートプロビジョニングを用いることで下図のように生産効率の大幅向上が見込めます。

Without Fleet Provisioning

「key injection * N in individually」の工程が必要です。
この工程ではMCU個別に生成された鍵データ/証明書データをMCU1個ずつに対して追記していく必要があり、生産工程に多大な負荷がかかります。特殊な書き込み工程を設計することで生産効率は上げられる可能性はありますが、その場合でも設計費用や特殊な書き込み工程の運用コストが増大します。 

画像
Without Fleet Provisioning

With Fleet Provisioning

「key injection * N in individually」の工程が不要です。
代わりに、製品組み立て後の「assemble * M」の工程で製品が持つインターネット接続機能を用いて製品がAWSと通信を行い、MCU内部で乱数値から自動生成された鍵データをアップロードし、証明書データをダウンロード、自己追記を全自動で行うことができます。従来通りのファームウェア書き込み工程と、製品組み立て工程に無理なく組み込むことができ、生産工程の負荷および設計費用を大幅に低減することができます。 

画像
With Fleet Provisioning

工場の生産効率はお客様の大きな関心事であると考えています。フリートプロビジョニングでは生産効率向上に寄与できますが、さらに、デバイス毎に異なる鍵/証明書情報を工場に送信しなくてよいというセキュリティ面のメリットもあります。開発者として、フリートプロビジョニングの真のメリットはセキュリティ面の向上だと考えています。さらに今回ご紹介したメカニズムのうち、「assemble * M」の工程でAWSと通信を行い鍵/証明書をAWSから転送してもらうシーンにおいて、細かくみるとデバイス内部で生成した鍵が読み取り可能なフラッシュメモリ等に格納されているウィークポイントが存在します。将来RXファミリ内蔵のセキュリティIP(Trusted Secure IP)を用いることで、鍵ペア自体をそのセキュリティIP内部で生成することで、鍵がMCU外部に露出するリスクを低減できます。これにより秘密鍵を製品ライフサイクル全体を通じて常にセキュリティIP内部でのみ運用することすら可能となります。
(さらに細かい点として、ファームウェアに埋め込まれるクレーム鍵/証明書もリスクの温床ですが、これも同じくセキュリティIPで保護可能です)
このようにRXファミリでは秘匿すべき情報を完全に保護することで、生産効率をも改善出来る
ソリューションを実現し、提供していきます。この方式を世に広めていくことでエンドユーザが安心してIoT機器を活用していただける環境づくりを進めてまいります。

改めてこのあたりの機能を体験可能なRXファミリのクラウドソリューション、およびセキュリティソリューションをまとめたリンクを紹介します。参考にしていただけますと幸いです。

RXファミリ クラウドソリューション

RXファミリ セキュリティ

この記事をシェアする