EdgeLock 硬件级防护落地，米尔MYD‑LMX9X V2.0.0 引入安全系统

米尔电子正式发布 MYD-LMX9X 平台 V2.0.0 软件版本。本次升级以系统安全为核心，集成 EdgeLock® Secure Enclave 硬件信任根，完整实现安全启动 (AHAB) 、安全存储、安全 OTA 升级三位一体防护体系。同时 Yocto、U-Boot、Kernel 版本全面跃进，为工业物联网、车载及高安全设备提供坚实物料基础。

米尔基于NXP i.MX93开发板

新版本引入一键编译安全系统、A/B 分区原子升级、SPDX SBOM 软件物料清单等关键能力，开发者可快速构建具备信任链校验、加密存储、远程安全更新的产品级固件。

一、核心组件版本升级

二、U-Boot · 安全启动 (AHAB)

基于 i.MX93 EdgeLock Secure Enclave 架构，完整实现 Advanced High Assurance Boot (AHAB) 信任链：

不可变信任根 – 从 ELE ROM 开始，逐级验证 ELE 固件、SPL、U-Boot、ATF 镜像签名
镜像容器化签名 – 支持多容器签名 (ELE FW + 用户容器)，通过 CST 工具生成 SRK Table 并固化到 OTP fuses
OEM Closed 模式 – 烧录 SRK Hash 后关闭生命周期，禁止任何未签名镜像启动
回滚保护 – 防版本回退，确保设备仅运行经过授权的可信固件

三、Linux Kernel 6.12.49 · 性能与安全并重

Kernel 启动时间优化：标准显示版本 ≤1 秒 (从 Kernel 入口到 rootfs init 就绪)，无显示纯计算配置 Kernel 启动时间低至 0.6 毫秒 —— 极速响应，适用于实时性苛刻场景。

整体系统启动时间 (上电 → Linux 控制台) 约 10 秒，满足工业设备快速部署需求。

dm-crypt + TEE 加密盘存储：集成 trusted key + OP-TEE 硬件派生密钥，支持块设备透明加密 (AES-CBC 硬件加速)
OP-TEE 安全存储 (REE-FS / RPMB)：支持 GlobalPlatform 标准持久化对象 API，TA 数据自动加密防篡改
安全存储密钥派生体系：基于硬件唯一密钥 (HUK) 完整落地 SSK→TSK→FEK 派生，确保设备级隔离

四、Yocto 5.2 · 安全构建一键化

基于 Walnascar 版本重新设计构建流，显著降低安全功能集成门槛：

一键编译安全系统

在 machine 配置中开启 secure-boot DISTRO_FEATURE，执行 bitbake myir-image-emmc 即可自动生成：

带 AHAB 签名的完整镜像 (flash.bin, os_cntr_signed.bin)
SRK Table 与 SRK Hash (用于烧写 efuse)
签名工具链 (CST) 及 PKI 树预置

A/B 双分区 / 单分区灵活编译

通过 DUAL_ROOTFS = "_dual" 局部配置，支持单分区(标准)或双分区(安全升级)镜像生成；双分区镜像内置 SWUpdate 兼容升级逻辑，并配合 U-Boot 环境变量实现自动回滚。

SPDX SBOM 软件物料清单

每次构建自动生成 SPDX SBOM 文件，完整记录所有软件包版本、许可证和依赖关系，满足 IEC 62443、ISO 21434 以及海外市场合规审计需求。

Secure Boot (AHAB)
Secure Storage (REE-FS / dm-crypt)
Secure OTA (SWUpdate + A/B)
SPDX SBOM
一键安全编译
A/B 原子升级+回滚

五、安全存储 · 硬件级机密保护

基于 i.MX93 EdgeLock Enclave 硬件唯一密钥 (HUK) 构建多层加密存储体系：

REE-FS (OP-TEE 标准文件加密)：TA 调用 GP 接口写入数据，由 TEE 自动加密并存储至 Linux 文件系统，密钥由 HUK + TA UUID 派生，不同 TA 之间安全隔离。
dm-crypt 全盘加密：通过 dm-crypt + trusted key 实现块设备层透明加密，密钥由 TEE 保护，抗物理拆机读取。支持 eMMC、SD 卡或 loop 设备加密。
RPMB 防回滚存储 (可选)：利用 eMMC 的 RPMB 分区存储关键计数器及证书，防止重放攻击。

六、安全升级 · 抗变砖机制

V2.0.0 引入生产级安全 OTA 方案，结合 SWUpdate 与 A/B 分区，实现无人值守可靠升级：