-
-
- 銷售咨詢:
- TEL:021-6125 9080
[email protected] -
前言
嵌入式應(yīng)用無(wú)處不在,從消費(fèi)電子到工業(yè)控制,,讓智能化生活觸手可及,。然而,在便利的背后,,安全威脅也在不斷增加,,針對(duì)電子設(shè)備的安全攻擊事件層出不窮。因此,,如何保護(hù)設(shè)備不被入侵或篡改始終是一項(xiàng)關(guān)鍵設(shè)計(jì)挑戰(zhàn),。
「多場(chǎng)景下的安全認(rèn)證需求」
在多樣化的應(yīng)用場(chǎng)景中,安全認(rèn)證是確保每一次通信都安全可靠的關(guān)鍵要素,。
電路防抄板:提升產(chǎn)品被仿制的難度
為避免產(chǎn)品一經(jīng)上市,,就被同行“模仿”讓努力都付之東流,甚至失去市場(chǎng)份額,。安全認(rèn)證芯片能在版權(quán)保護(hù)中發(fā)揮關(guān)鍵作用,,有效防范反向工程攻擊,避免被未授權(quán)的第三方拷貝程序和仿冒,。
電子配件認(rèn)證:杜絕偽造守護(hù)品質(zhì)安全
因假冒偽劣配件而不斷引發(fā)的安全事故,,將危及設(shè)備功能和用戶安全,從而損害品牌價(jià)值,。安全認(rèn)證芯片可用于驗(yàn)證配件真?zhèn)?,確保僅授權(quán)的正品配件得以使用。適用于智能設(shè)備電池,、打印機(jī)墨盒,、電子煙煙彈、濾水器和凈水器,、可穿戴設(shè)備,、電動(dòng)工具等應(yīng)用,。
醫(yī)療耗材認(rèn)證:配套產(chǎn)品的質(zhì)量管控
針對(duì)醫(yī)療耗材,安全認(rèn)證芯片可用于存儲(chǔ)傳感器的關(guān)鍵醫(yī)療參數(shù),,確保耗材能精準(zhǔn)校準(zhǔn)到儀器,。且可用于驗(yàn)證配件真?zhèn)危乐故褂梦唇?jīng)授權(quán)的耗材,。適用于血氧監(jiān)護(hù)儀,、心電監(jiān)護(hù)儀、B超探頭,、便攜式呼吸機(jī)等應(yīng)用,。
汽車配件認(rèn)證:保障汽車零部件安全
針對(duì)汽車配件,安全認(rèn)證芯片可嵌入任何有被偽造風(fēng)險(xiǎn)的汽車外圍設(shè)備,,用于識(shí)別和校準(zhǔn)汽車配件,,通過(guò)驗(yàn)證汽車組件確保車輛安全性和可靠性。適用于汽車攝像頭,、傳感器,、電動(dòng)汽車電池、前燈模塊,、車載香氛等應(yīng)用,。
工業(yè)設(shè)備安全:讓智能化與安全并行
在工業(yè)自動(dòng)化中,安全認(rèn)證芯片用于確保機(jī)器和傳感器的數(shù)據(jù)傳輸不被篡改和偽造,,防止因外部攻擊引發(fā)的信息泄露和系統(tǒng)崩潰等問(wèn)題,。
芯品推薦:航芯ACL16_A系列
針對(duì)以上應(yīng)用,航芯推出了一款專為設(shè)備認(rèn)證設(shè)計(jì)的安全芯片ACL16_A系列,。這款芯片集成了多項(xiàng)安全特性,,實(shí)現(xiàn)數(shù)據(jù)加密和安全認(rèn)證的雙重功能,能夠輕松應(yīng)對(duì)各種復(fù)雜的設(shè)備認(rèn)證挑戰(zhàn),。采用1-Wire單總線通信,,實(shí)現(xiàn)簡(jiǎn)化設(shè)計(jì)和高效傳輸,大幅提升認(rèn)證速度,。更為精巧的LGA4封裝設(shè)計(jì)顯著減少了空間占用,,為設(shè)計(jì)人員在產(chǎn)品布局上提供了更大的靈活性。而且設(shè)計(jì)人員無(wú)需具備深厚的安全加密知識(shí),,也能輕松地將ACL16_A系列芯片嵌入到產(chǎn)品中,,實(shí)現(xiàn)快速開發(fā)和高效安全認(rèn)證。
「兩種算法滿足多樣化安全認(rèn)證需求」
對(duì)稱加密算法:滿足基礎(chǔ)級(jí)安全需求
ACL16_AHM系列是一款基于對(duì)稱加密算法的安全認(rèn)證芯片,。采用1-Wire單總線通信,,集成了HMAC和SHA-256算法引擎、FIPS/NIST兼容真隨機(jī)數(shù)發(fā)生器,、128-byte安全EEPROM用戶存儲(chǔ)區(qū),、20位僅遞減計(jì)數(shù)器和唯一的64位ROM識(shí)別碼,。
ACL16_AHM:HMAC實(shí)現(xiàn)安全認(rèn)證
ACL16_AHM基于對(duì)稱加密算法,即加密和解密使用相同的共享密鑰,。而HMAC利用對(duì)稱加密,,可以實(shí)現(xiàn)“認(rèn)證”和“檢測(cè)篡改”這兩個(gè)功能。
HMAC實(shí)現(xiàn)安全認(rèn)證的過(guò)程
由主機(jī)向認(rèn)證器件發(fā)送一個(gè)隨機(jī)數(shù)挑戰(zhàn),。認(rèn)證器件用共享密鑰加密隨機(jī)數(shù),,并使用SHA-256對(duì)加密結(jié)果進(jìn)行HASH運(yùn)算,生成一個(gè)哈希值作為簽名,,并將運(yùn)算結(jié)果發(fā)送給主機(jī),。主機(jī)執(zhí)行相同的運(yùn)算并對(duì)結(jié)果進(jìn)行比較,如運(yùn)算結(jié)果相同,,則認(rèn)為認(rèn)證器件是一個(gè)合法設(shè)備,。ACL16_AHM系列HMAC認(rèn)證的運(yùn)算時(shí)間約5ms。
ACL16_AHM:性能優(yōu)勢(shì)和適用場(chǎng)景
HMAC-SHA256算法使用了哈希函數(shù),,其計(jì)算效率高,,對(duì)系統(tǒng)性能的影響較小,,適用于對(duì)認(rèn)證應(yīng)答實(shí)時(shí)性要求高,,而主機(jī)設(shè)備性能要求不高的應(yīng)用場(chǎng)景,可以在降低成本的同時(shí)實(shí)現(xiàn)安全認(rèn)證的需求,。
非對(duì)稱加密算法:滿足進(jìn)階級(jí)安全需求
ACL16_AEC系列是一款基于非對(duì)稱加密算法的安全認(rèn)證芯片,。采用1-Wire單總線通信,集成了ECDSA和SHA-256算法引擎,、FIPS/NIST兼容真隨機(jī)數(shù)發(fā)生器,、1KB安全EEPROM存儲(chǔ)區(qū)、20位僅遞減計(jì)數(shù)器和唯一的64位ROM識(shí)別碼,。
ACL16_AEC:ECDSA實(shí)現(xiàn)安全認(rèn)證
ACL16_AEC基于非對(duì)稱加密算法,,即加密和解密使用不同的密鑰:公鑰和私鑰。公鑰用于加密數(shù)據(jù)或驗(yàn)證數(shù)字簽名,,可對(duì)外界公開,;私鑰用于解密數(shù)據(jù)或創(chuàng)建數(shù)字簽名,僅所有者知道,。并且,,密鑰將經(jīng)過(guò)證書授權(quán)中心簽發(fā)數(shù)字證書,明確了密鑰所有者的身份信息,。
所以,,ECDSA利用非對(duì)稱加密,既可以實(shí)現(xiàn)“認(rèn)證”和“檢測(cè)篡改”的功能,,還可以驗(yàn)證密鑰所有者的身份,,具有更好的防止偽造能力,。
ECDSA實(shí)現(xiàn)安全認(rèn)證的過(guò)程
由主機(jī)向認(rèn)證器件發(fā)送一個(gè)隨機(jī)數(shù)挑戰(zhàn)。而認(rèn)證器件根據(jù)隨機(jī)數(shù)和私鑰,,使用ECDSA計(jì)算數(shù)字簽名,,并將運(yùn)算結(jié)果發(fā)送給主機(jī)。主機(jī)使用公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證,。如果結(jié)果一致,,則認(rèn)為認(rèn)證器件是一個(gè)合法設(shè)備。ACL16_AEC系列ECDSA的運(yùn)算時(shí)間約250ms,。
ACL16_AEC:性能優(yōu)勢(shì)和適用場(chǎng)景
ECDSA-SHA256算法結(jié)合了橢圓曲線密碼學(xué)和SHA-256的強(qiáng)安全性,,加密強(qiáng)度要高于HMAC;相較RSA算法,,ECDSA用更短的密鑰長(zhǎng)度,,實(shí)現(xiàn)更高的安全性,對(duì)存儲(chǔ)空間和傳輸帶寬占用較少,。適用于對(duì)安全性要求高,,且主機(jī)設(shè)備具備高性能的移動(dòng)設(shè)備和嵌入式系統(tǒng)。
「密鑰安全存儲(chǔ)難題:航芯有什么高招」
面對(duì)不斷進(jìn)化的安全攻擊手段,,密鑰存儲(chǔ)的安全性成為了薄弱環(huán)節(jié),。所以,從密鑰的「誕生」到經(jīng)歷千萬(wàn)次的運(yùn)算「功成身退」,,航芯將層層把關(guān)每道安全防線,,守護(hù)產(chǎn)品在全生命周期的功能安全。接下來(lái),,我們將深入解讀航芯ACL16_A芯片所具備的一系列強(qiáng)大的安全特性,。
密鑰的安全生成:實(shí)現(xiàn)長(zhǎng)效密鑰保護(hù)
ACL16_AHM密鑰的生成:采用對(duì)稱算法體系,使用共享密鑰,。密鑰可以通過(guò)真隨機(jī)數(shù)發(fā)生器創(chuàng)建或支持客戶定制,。通過(guò)具有高度安全和保密性的生產(chǎn)環(huán)節(jié),以密文方式從外部寫入芯片中,。
ACL16_AEC密鑰的生成:采用非對(duì)稱算法體系,,使用「公私鑰對(duì)」。密鑰通過(guò)芯片內(nèi)置的真隨機(jī)數(shù)發(fā)生器和ECDSA硬件算法引擎,,自主創(chuàng)建 1 組密鑰,,或支持外部寫入,通過(guò)證書鏈便于管理,,使密鑰分發(fā)更安全,。通常私鑰是固定的,但每次應(yīng)用時(shí)都會(huì)加入隨機(jī)數(shù),,所以外部看到的密鑰是在變化的,。
密鑰的生命周期與安全性:航芯安全芯片存儲(chǔ)壽命至少10年,,而密鑰在全生命周期內(nèi)都是有效的。在使用的過(guò)程中,,雖然密鑰是固定的,,但每次認(rèn)證質(zhì)詢的隨機(jī)數(shù)不同,所以無(wú)法通過(guò)模擬單總線上的數(shù)據(jù)進(jìn)行破解,。
安全存儲(chǔ)功能:敏感信息的堅(jiān)實(shí)盾牌
加密存儲(chǔ):安全EEPROM存儲(chǔ)區(qū)上的數(shù)據(jù)采用加密存儲(chǔ),,并且存儲(chǔ)地址使用串?dāng)_,從而使得數(shù)據(jù)在物理層面上不易被直接讀取或解碼,。
權(quán)限管理:存儲(chǔ)器是可配置的,,用于儲(chǔ)存用戶數(shù)據(jù)、密鑰,、控制寄存器,、認(rèn)證證書等。存儲(chǔ)器分為32頁(yè),,每頁(yè)32字節(jié),,每個(gè)存儲(chǔ)頁(yè)面都可以配置特定的訪問(wèn)規(guī)則,如允許讀寫,、只讀或需要驗(yàn)證后才能訪問(wèn),,確保只有經(jīng)過(guò)授權(quán)的操作才能對(duì)特定頁(yè)面進(jìn)行讀寫,從而實(shí)現(xiàn)了對(duì)敏感數(shù)據(jù)的精確控制,。例如,,可根據(jù)實(shí)際應(yīng)用設(shè)定密鑰的訪問(wèn)權(quán)限,實(shí)現(xiàn)配置不同安全等級(jí)的密鑰,。
指令控制:指令集包括ROM和Function兩大部分,它定義了處理器可以執(zhí)行的操作,,包括對(duì)存儲(chǔ)器的訪問(wèn)和控制,。通過(guò)指令集可以實(shí)現(xiàn)對(duì)存儲(chǔ)器的加密、訪問(wèn)權(quán)限驗(yàn)證,、數(shù)據(jù)完整性校驗(yàn)等安全措施,。例如,當(dāng)密鑰被配置為不可讀出后,,可通過(guò)命令獲得對(duì)應(yīng)的公鑰來(lái)實(shí)現(xiàn)驗(yàn)證功能,。
固件IP保護(hù):該功能支持安全啟動(dòng)和安全更新,為設(shè)備提供了一個(gè)可信任的運(yùn)行環(huán)境,。通過(guò)在PCB上放置安全芯片,,固件運(yùn)行時(shí)驗(yàn)證安全芯片是否有正確的密鑰,即使固件被復(fù)制也會(huì)因?yàn)闆]有密鑰而無(wú)法運(yùn)行,,以此來(lái)實(shí)現(xiàn)對(duì)代碼的保護(hù),。
可靠的反制措施:防御多種安全攻擊
通過(guò)在密鑰參與運(yùn)算時(shí)引入真隨機(jī)數(shù)掩碼技術(shù),,有效掩蓋了在加解密和簽名驗(yàn)證過(guò)程中因數(shù)據(jù)運(yùn)算引起的功耗泄露,有效防御DPA/SPA攻擊,;通過(guò)監(jiān)測(cè)電壓,、溫度和電磁場(chǎng)等關(guān)鍵參數(shù),確保硬件在安全的環(huán)境中運(yùn)行,,任何超出正常范圍的波動(dòng)都可能觸發(fā)警報(bào),,促使系統(tǒng)采取保護(hù)措施,有效抵御DFA錯(cuò)誤注入攻擊,。
賦予芯片身份標(biāo)識(shí):確保精準(zhǔn)識(shí)別與安全
128位唯一序列號(hào) (UID):該序列號(hào)綁定了芯片出廠的LOT/WAFER ID和坐標(biāo)等,。該序列號(hào)唯一且不可復(fù)制,不支持讀出,。開發(fā)者可將應(yīng)用程序與該芯片的序列號(hào)綁定,,這樣可以使每個(gè)下載應(yīng)用程序的芯片不可被復(fù)制。
64位唯一ROM識(shí)別碼 (ROM ID):每個(gè)芯片都有唯一且不能更改的64位ROM地址碼,,該地址碼由工廠光刻寫入芯片,,為每個(gè)芯片提供了一個(gè)不可篡改的身份標(biāo)識(shí),防止身份偽造和非法復(fù)制,。
「1-Wire單總線:簡(jiǎn)化設(shè)計(jì)和高效傳輸」
1-Wire單總線使用1-Wire和GND兩根線,,借助芯片內(nèi)部二極管和外置電容器件,將1-Wire總線上的方波信號(hào)轉(zhuǎn)換成直流電源信號(hào),,為從機(jī)的硬件系統(tǒng)提供電源輸入,,實(shí)現(xiàn)主機(jī)與一個(gè)或多個(gè)設(shè)備之間的通信,可提供穩(wěn)定可靠的數(shù)據(jù)傳輸,,同時(shí)簡(jiǎn)化系統(tǒng)設(shè)計(jì),,降低生產(chǎn)和維護(hù)成本,因此成為許多產(chǎn)品設(shè)計(jì)中的優(yōu)選通信方案,。
ACL16_A系列:1-Wire硬件特點(diǎn)
? 1-Wire通信支持最大62.5kbps的高速模式
? 工作電壓:1.75V-3.63V
? 工作溫度:-40℃至+85℃
? 4引腳LGA封裝 (1.22mm*1.22mm*0.35mm)
? 50uA(Typical) StandBy模式
? 2uA(Typical) PoweOff模式
? ESD:±8KV(HBM)
