OnBoard™ IoT Security / 工厂设备身份配置（Provisioning） —

部署模式

三种部署方式
同一种架构

如今，所有烧录模型基本都沿着三种路径展开：云中心化、工厂中心化，或芯片厂商预烧录。它们分别在运营规模、控制能力与生命周期连续性之间做出不同取舍 —— 但本质上，都是同一套底层架构部署在不同的位置。

01 方案

云中心化部署

控制与执行均位于服务提供商边界内。
密钥托管在云端，每一次烧录操作都依赖与服务提供商的实时连接。生产连续性因此受制于云服务可用性与网络稳定性。

取舍：以集中化扩展能力，换取生产线脆弱性。

02 方案

工厂部署式 PKI 服务

PKI 基础设施复制部署到各工厂站点。
每个制造站点都需要独立运行自己的烧录基础设施，这意味着重复的安全仪式（Ceremony）、本地运营能力要求，以及工厂侧对敏感资产的保管责任。

取舍：以工厂自主性，换取运营一致性挑战。

03 方案

芯片厂商预烧录

烧录在芯片离开晶圆厂之前完成。
安全资产在芯片制造阶段即被写入，使安全更新与凭证变更演变为供应链事件，而生命周期运营责任仍然保留在 OEM 一侧。

取舍：以工厂简化，换取生命周期灵活性受限。

三种部署方式。同一种架构。问题并不在于系统部署在哪里 —— 而在于被部署的究竟是什么样的架构。

安全烧录架构

云端决策，边缘执行
记录闭环全流程

生产授权在云端生成，在 EdgeHSM 硬件内部本地执行，并最终回传为运营记录。跨越组织边界传递的是经过签名、具备边界控制且可撤销的授权 —— 而非密钥材料本身。

01 授权

云端授权

OEM 基于版本、工厂、配额与有效期生成生产授权，并将其直接下发至目标 EdgeHSM。

02 执行

边缘执行

EdgeHSM 在本地执行烧录 —— 包括派生密钥、签发证书以及注入凭证，同时通过硬件强制配额与有效期机制维持运营控制。

03 记录

运营记录

每台完成烧录的设备都会生成一条生产记录 —— 包括设备身份、固件版本、工厂、产线与时间戳，并在连接恢复后自动同步。

生命周期运营

Secure Debug 默认锁定
经授权后方可解锁

工厂并不完美。设备在整个生命周期中都可能需要返修、诊断、更新与故障分析。安全调试（Secure Debug）必须在需要时可用 —— 但只能在 OEM 授权下启用，仅限特定设备，并且绝不能成为长期存在的后门。

默认状态

默认锁定，无共享密钥

设备在完成安全烧录后，Secure Debug 默认处于禁用状态，且不会在芯片硬件安全模型之外暴露任何永久性恢复路径。

授权解锁

逐设备授权

OEM 授权的调试会话会基于与烧录凭证相同的授权模型进行逐设备验证。每一次解锁都会限定设备范围、操作范围以及有效时间窗口。

预嵌入资产

同一可信烧录通道

一旦获得授权，设备即可通过与烧录阶段相同的运营信任通道完成重新刷写、重新烧录与故障分析 —— 全程无需暴露明文密钥。

一次安全烧录，即可为设备整个生命周期建立运营信任基础。

安全烧录技术栈

面向安全烧录的运营基础设施

基于授权的安全烧录需要云端授权、工厂边缘执行以及产线编排之间的协同基础设施。OBIS 提供预集成的一体化运营技术栈。

01 · 硬件信任锚点

EdgeHSM

部署在工厂边缘侧、通过 CC EAL 5+ 认证的硬件设备。密码运算、配额控制、签名以及密钥派生均完全在硬件边界内部执行。

02 · 安全烧录编排

工厂服务（Factory Service）

负责协调云端授权、烧录工位、MES 集成以及跨工厂运营的设备级生产记录。

03 · 安全烧录执行

Programming Station 客户端

运行于本地烧录工位，同时由云端统一部署与更新。运营遥测数据会自动同步，以便集中化审查与管理。

04 · 参考集成

芯片参考设计

面向常见 MCU、MPU 与安全元件系列的参考集成方案，可适配 OEM 特定产品与生产环境，而不会将安全烧录流程锁定在某一家芯片厂商生态中。

立即开始

这不是一次采购周期的选择
而是一项架构决策

OEM 今天所选择的运营信任架构，将决定未来十年其联网产品能否以安全、可扩展的方式完成安全烧录、更新与全生命周期治理。

工厂本身无需被信任

三种部署方式同一种架构