月产百万台 Matter 设备，零密钥泄露

1. 客户背景

一家领先的欧洲 Matter OEM，在全球 50 多个市场拥有 400 多家零售门店。该公司既是 Matter 设备制造商，也是 VID 范围的产品认证机构（VID Scoped PAA），负责管理 Matter 设备认证信任链顶层的根 CA。

生产部署规模：

客户于 2025 年启动 Matter 商业化生产，并于 2026 年 1 月推出首批产品。2026 年期间，其月产量已突破一百万台设备，并仍在持续增长，同时还有更多产品正在开发中。

2. 为什么这很难

该 OEM 的安全团队提出了两个不可妥协的要求：

• 任何私钥或对称密钥都绝不能以明文形式出现在工厂环境中 —— 包括设备烧录站、系统内存或数据传输过程中。
• 设备私钥必须在设备内部生成，并且永不导出。

这些原则本身很明确，但要在大规模生产环境中真正落地实施，却并不容易。挑战不仅在于保护 OEM 的签名基础设施，更在于如何在一个分布式制造环境中，保障整个设备密钥注入与身份配置（provisioning）流程的安全性：

这种复杂的组合情况迫使团队不得不评估业界常见的三种标准方案，并最终全部予以否决。

3. 为什么传统方案并不适用

团队评估了三种行业内常见的标准方案。这些方案在某些环境下能够发挥作用，但都无法满足该客户的实际需求。

3.1 芯片厂商 pre-provisioning

每家芯片厂商都采用不同的密钥注入格式、流程以及交付周期。而客户的产品组合覆盖了四家芯片供应商、共 21 款产品，这使得整体运维流程难以实现标准化和规模化。

此外，这种模式的能力边界仅停留在芯片制造阶段。对于后续生产后的运维需求，例如：

• 凭证轮换（credential rotation）
• 重新配置（reprovisioning）
• OEM 自主控制的设备认证（attestation）流程

都缺乏可行的实施路径。

3.2 云端 PKI 服务

基于云的设备安全配置依赖于制造过程中稳定、实时的网络连接。但在泰国、越南和中国的工厂之间，跨境网络连接稳定性并不一致。任何一次网络中断，都可能同时影响多个工厂正在进行的生产批次。此外，该方案默认 ODM 工厂团队能够自行集成并维护安全配置系统。但大多数团队并不具备内部密码学或 PKI 相关专业能力。

3.3 每工厂部署 PKI + HSM

这一方案最终被证明在运营层面不可行。每增加一个新产品、新 SoC 平台，或新的安全配置流程，OEM 安全团队都需要亲自前往工厂现场，执行新的密钥注入仪式（key injection ceremony）。这也意味着，需要将敏感密钥基础设施的日常运维控制权，交给 ODM 运营的工厂团队。

问题不只是一次性的部署成本，而是会形成一个长期循环：

• 大量人工操作
• 持续性的跨国差旅
• 以及对加密资产控制力的下降

4. 重新定义问题

SNOWBALL 是通过一家 ODM 合作伙伴以及一家芯片供应商的独立推荐进入该项目的。SNOWBALL 提出的并不仅仅是一个更好的 PKI 服务，或更好的工厂 HSM。问题的核心并不在工具本身，而在于整个运营模式。

传统三种方案都基于同一个默认假设：决定某个加密操作是否被允许的系统，必须同时在同一个地方执行该操作。

而 OnBoard™ IoT Security (OBIS) 将这两项职责进行了分离。

• OEM 在云端保持控制权
• 工厂只负责本地执行

该平台由以下部分组成：

• 用于 OEM 管理与治理的云端门户
• 部署在 ODM 工厂的 Factory Service 软件
• 产线上的烧录站软件
• 部署在工厂内部、作为信任根的 EdgeHSM 设备

OEM 负责授权操作，工厂只能执行已被授权的操作。

5. 为什么这个架构能够真正落地

5.1 OEM 始终保持集中控制

所有工厂操作——包括：

• 签发 Matter DAC 证书
• 配置 OTA 密钥
• 开启 Secure Debug
• 烧录固件

都必须获得 OEM 签发的授权。每个授权都会严格限定：

• 产品版本
• 工厂
• 生产数量
• 时间窗口

工厂无法超出这些边界进行操作。

5.2 EdgeHSM 在本地强制执行策略

每个工厂都部署了一台基于 EAL5+ 安全芯片构建的 EdgeHSM 设备。

EdgeHSM 会在允许任何配置操作之前验证授权。任何超出授权范围的请求都会被自动拒绝。

所有敏感加密材料始终处于硬件安全边界内部：

• 设备私钥在 SoC 内部生成
• 私钥永远不会离开设备
• 只有 CSR（证书签名请求）会被发送出去用于签发证书
• OEM 签名密钥始终保存在 HSM 内部

任何工厂操作员、ODM 合作方或生产系统，都不会接触到明文私钥。

5.3 即使云端中断，生产仍可继续

当授权包被下发至 EdgeHSM 后，工厂可以在授权有效期内离线运行。制造过程不依赖持续的云连接。即使跨境网络出现故障：

• 正在进行的生产批次仍可继续
• 多个授权可并行运行
• 审计日志会在网络恢复后自动同步

5.4 ODM 负责部署，而不是自行开发

OBIS 作为完整系统交付。ODM 团队只需要安装：

• Factory Service
• EdgeHSM
• 烧录站软件

而不需要自行构建定制化的安全配置基础设施。这也是新工厂能够在数天内上线，而不是耗费数月的关键原因。

6. 工作流程

6.1 OEM 定义产品

OEM 在 OBIS 中创建产品，配置所需的加密资产，并定义制造规则，例如：最大允许生产数量。随后，ODM 会被邀请加入该产品工作区。

6.2 ODM 准备产品版本

ODM 上传经过 OEM 批准的 Secure Boot 密钥签名的固件，并配置：

• 工厂数据
• 配网参数（commissioning parameters）
• 芯片安全设置

生成的 Product Version 会成为一个可复现的生产快照。

6.3 OEM 批准生产

OEM 审核并批准 Product Version，并将其锁定为授权生产基线。

6.4 ODM 创建生产批次

ODM 创建与以下信息绑定的生产批次：

• 指定工厂
• 生产数量
• 生产时间窗口

工厂可以随着时间创建多个批次，但累计产量永远不能超过 OEM 设定的总额度。

6.5 设备在产线上完成配置

加密后的 Production Batch 会被下发至 EdgeHSM。烧录站在 EdgeHSM 的控制下执行设备身份配置（provisioning）：

• 在芯片内部生成密钥
• 签发证书
• 自动写入设备记录

6.6 生产记录自动同步回 OEM

生产与审计记录会在几分钟内同步回云端门户。OEM 安全团队可以通过统一仪表板监控所有工厂的生产状态。

6.7 Secure Debug 返修无需暴露密钥

当返修设备需要重新开启 Secure Debug 时，系统可以在 OEM 已批准的授权范围内直接完成操作。EdgeHSM 会在硬件内部完成相关加密操作，并始终将认证密钥保留在硬件安全边界内。整个过程无需人工处理密钥，也无需额外升级审批流程。

7. 权衡与取舍

任何系统都不可能完全没有运营成本。该 OEM 也接受了若干现实层面的权衡与取舍：

8. 成果

9. 了解更多

• 了解 OBIS 如何支持欧盟《网络韧性法案》（EU Cyber Resilience Act）合规要求
• 阅读支撑该部署模型的 OBIS 架构深度解析
• 申请 OBIS 在生产环境中的技术演示与讲解
• 预约交流，探讨如何在大规模分布式 IoT 制造环境中实现安全保障