航芯:電子產品如何硬剛「盜版」這些知識速來了解
發布時間:2024-04-09
前言
嵌入(ru)式應用無處不(bu)在,從消費電(dian)子(zi)到(dao)工(gong)業控制,讓(rang)智(zhi)能化生活觸手可及。然(ran)而(er),在便利(li)的背后,安全(quan)威脅也在不(bu)斷增加,針(zhen)對(dui)電(dian)子(zi)設備(bei)的安全(quan)攻擊事件層出不(bu)窮。因(yin)此,如何(he)保護設備(bei)不(bu)被入(ru)侵(qin)或篡改(g��ai)始終是一項關鍵設計挑戰。
「多場(chang)景下的(de)安全認(ren)證需求」
在多(duo)樣化的應用場景中,安全(quan)認證是確(que)保每一次(ci)通信都安全(qua������n)可(ke)靠的關(guan)鍵(jian)要素(su)。
電路防抄板:提升(sheng)產品被仿(fang)制的(de)難度
為(wei)避免(mian)產品一經(jing)上市(shi),就被同行“模仿”讓(rang)努力(li����)都付(fu)之東流,甚至失去市(shi)場份額。安(an)全認證芯片能在版權(quan)保護(hu)中(zhong)發揮關鍵作(zuo)用,有效防范(fan)反向工程(cheng)攻擊,避免(mian)被未授權(quan)的(de)第(di)三方拷貝程(cheng)序和仿冒。
電子(zi)配(pei)件認證:杜絕偽造守護品質(zhi)安全
因假冒(mao)偽(wei)劣配件而(er)不(bu)斷引(yin)發的(de)安(an)(an)全事�������故,將危及設(she)備(bei)功能和(he)用(yong)(yong)(yong)戶安(an)(an)全,從而(er)損害(hai)品牌價值。安(an)(an)全認(ren)證芯片(pian)可(ke)(ke)用(yong)(yong)(yong)于(yu)(yu)驗證配件真偽(wei),確(que)保僅(jin)授權的(de)正(zheng)品配件得以使用(yong)(yong)(yong)。適(shi)用(yong)(yong)(yong)于(yu)(yu)智能設(she)備(bei)電池、打印機墨盒(he)、電子煙煙彈、濾(lv)水器和(he)凈水器、������可(ke)(ke)穿戴設(she)備(bei)、電動工具等應用(yong)(yong)(yong)。
醫療耗材認證:配套產品的質(zhi)量(liang)管(guan)控
針對醫療耗材(cai),安全認證芯片可用(yong)于(yu)存儲(chu)傳感器的關鍵醫療參數,確(que)保耗材(cai)能精準校準到(dao)儀器。且可用(yo������ng)于(yu)驗證配(pei)件真偽,防止�����使用(yong)未(wei)經授權的耗材(cai)。適用(yong)于(yu)血(xue)氧監護(hu)儀、心電監護(hu)儀、B超探(tan)頭、便攜式呼吸(xi)機等應用(yong)。
汽車(������che)配(pei)件(jian)認證:保(bao)障汽車(che)零部(bu)件(jian)安全(quan)
針對汽(qi)(qi)車配(pei)(pei)件(jian),安(an)全認證(zheng)芯(xin)片可嵌入任何有被(bei)偽造風(feng)險的汽(qi)(qi)車外圍設備,用于識別(bie)和(he)校準汽(qi)������(qi)車配(pei)(pei)件(jian),通過驗證(zheng)汽(qi)(qi)車組件(jian�����)確(que)保車輛(liang)安(an)全性和(he)可靠性。適用于汽(qi)(qi)車攝(she)像(xiang)頭(tou)、傳感(gan)器、電動汽(qi)(qi)車電池、前(qian)燈(deng)模塊、車載香氛等(deng)應用。
工業設(she)備安(an)全:讓(rang)智能化(hua)與安(an)全并行
在工業(ye)自動(dong)化中,安全認證(zheng)芯片用于確保(bao)機器和(he)(he)������傳感器的數據傳輸不(bu)被篡改和(he)(he)偽造,防止因外部攻擊引發的信息泄(xie)露和(he)(he)系統崩潰等問(wen)題。
芯品(pin)推(tui)薦:航芯ACL16_A系列
針對(dui)以上應用,航芯(xin)推出了(le)(le)一款專為設(she)(she)(she)備認(ren)(ren)證(zheng)(zheng)設(she)(she)(she)計的(de)安(an)全(quan)(quan)芯(xin)片ACL16_A系列(lie)。這款芯(xin)片集成了(le)(le)多項(xiang)安(an)全(quan)(quan)特(te)性(xing)(xing),實(shi)現(xian)數據(ju)加密和安(an)全(quan)(quan)認(ren)(ren)證(zheng)(zheng)的(de)雙重功能(neng),能(neng)夠輕松(song)(song)應對(dui)各種(zhong)復(fu)雜的(de)設(she)(she)(she)備認(ren)(ren)證(zheng)(zheng)挑戰。采用1-Wire單總(zong)線通(tong)信,實(shi)現(xian)簡化設(she)(she)(she)計和高效傳輸,大幅(fu)提升認(ren)(ren)證(zheng)(zheng)速(su)度。更為精巧的(de)LGA4封裝設(she)(she)(she)計顯(xian)著減少(shao)了(le)(le)空間占用,為設(she)(she)(she)計人員在(zai)產(chan)品布局(ju)上提供了(le)(le)更大的(de)靈活性(xing)(xing)。而且(qie)設(she)(she)(she)計人員無�������需具(ju)備深厚的(de)安(an)全(quan)(quan)加密知識,也能(neng)輕松(song)(song)地將ACL16_A系列(lie)芯(xin)片嵌入(ru)到產(chan)品中,實(shi)現(xian)快速(su)開發和高效安(an)全(quan)(quan)認(ren)(ren)證(zheng)(zheng)。
「兩種(zhong)算法滿足多樣化安全認證需求(qiu)」
對稱加密算法:滿足基礎級安全需求
ACL16_AHM系(xi)列是一(yi)(yi)款基(ji)于對(dui)稱加密算法(fa)的安全(quan)認(re������n)證芯片。采用1-Wire單總(zong)線通信,集成了(le)HMAC和SHA-256算法(fa)引擎、FIPS/NIST兼(jian)容真隨機數發生器、128-byte安全(quan)EEPROM用戶存儲區、20位僅遞減計數器和唯一(y�����i)(yi)的64位ROM識(shi)別碼。
ACL16_AHM:HMAC實現安全認證
ACL16_AHM基于對稱加密算法,即加密和解密使用(yong)相同的(de�����)共享密鑰。而(er)HMAC利用��������(yong)對稱加密,可以實現(xian)“認(ren)證”和“檢測篡改”這(zhe)兩個功能。
HMAC實現安全認證的(de)過程
由主機向認證器件發送一個隨機數挑戰。認證器件用共享密鑰加密隨機數,并使用SHA-256對加密結果進行HASH運算,生成一個哈希值作為簽名,并將運算結果發送給主機。主機執行相同的運算并對結果進行比較,如運算結果相同,則認為認證器件是一個合法設備。ACL16_AHM系列HMAC認證的運算時間約5ms。
ACL16_AHM:性(xing)能(neng)優(you)勢和適用場景
HMAC-SHA256算法使(shi)用(yong)了(le)哈希函(han)數(shu),其(qi)計(ji)算效率(lv)高(gao),對(dui)系統(tong)性能(neng)(neng)的影響(xiang)較小,適用(yong)于對(dui)認證(zheng)應(ying)答實時性要求高(gao),而主機設(she)備性能(neng)(neng)要求不高(gao)的應(ying)�������用(yong)場景(j�����ing),可以在降低成本的同時實現安全認證(zheng)的需求。
非對稱加(jia)密(mi)算(suan)法(fa):滿足進(jin)階級安全需求
ACL16_AEC系列是一(yi)款(kuan)基于非對(dui)�����稱加密算法(fa)的(de)安(an��������)全(quan)認證芯片。采用(yong)1-Wire單總線(xian)通信,集成了ECDSA和SHA-256算法(fa)引擎、FIPS/NIST兼容真(zhen)隨機(ji)數發生器、1KB安(an)全(quan)EEPROM存儲區、20位僅遞減計數器和唯一(yi)的(de)64位ROM識別(bie)碼。
ACL16_AEC:ECDSA實現安全認證
ACL16_AEC基于非對稱加(jia)密(mi)算(suan)法(fa),即加(jia)密(mi)和解密(mi)使用不同的密(mi)鑰:公鑰和私鑰。公鑰用于加(jia)密(mi)數(shu)據(ju)或驗證(zheng)(zheng)數(shu)字(zi)簽名,可對外(wai)界(jie)公開;私鑰用于解密(mi)數(������shu)據(ju)或創(chuang)建數(shu)字(zi)簽名,僅所(suo)有者知������道。并且,密(mi)鑰將經過證(zheng)(zheng)書(shu)授權中心簽發數(shu)字(zi)證(zheng)(zheng)書(shu),明(ming)確了密(mi)鑰所(suo)有者的身份信息。
所以(yi),ECDSA利用(yong)非對(dui)稱(c������heng)加密,既可以(yi)實現“認證(zheng)”和“檢(jian)測篡改”的功能,還可以(yi)驗證(zheng)密鑰所有(you)者(zhe)的身份,具有(you)更好的防止偽造能力。
ECDSA實現安全(quan)認證的(de)過(guo)程
由主(zhu)機向認證(zheng)器(qi)件(jian)發送(song)一個(ge)(ge)隨(sui)機數(shu)挑戰。而(er)認證(zheng)器(qi)件(jian)根據隨(sui)機數(shu)和私鑰,使用(yong)ECDSA計算數(shu)字簽名(ming),并將運算結果(guo)發送(song)給主(zhu)機。主(zhu)機使用(yong)公鑰對(dui)數(shu)字簽名(ming)進行(xing)驗證(zheng)。如果(guo)結果(guo)一致,則(ze)認為(wei)����認證(zheng)器(qi)件(jian)是一個(ge)(ge)合法設備。ACL16_AEC系列(lie)ECDSA的運算時(shi)間約(yue)250ms。
ACL16_AEC:性能優勢和適用場景(jing)
ECDSA-SHA256算法結合(he)了橢(tuo)圓曲線密碼學和SHA-256的(de)(de)強安(an)全(quan)性(xing),加密強度要高于����HMAC;相較RSA算法,ECDSA用更短的(de)(de)密鑰長度,實現(xian)更高的(de)(de)安(an)全(quan)性(xing),對(dui)存(cun)儲(chu)空間和傳(chuan)輸帶������寬占用較少。適用于對(dui)安(an)全(quan)性(xing)要求高,且主機設備(bei)具備(bei)高性(xing)能(neng)的(de)(de)移動設備(bei)和嵌入式系統(tong)。
「密鑰安全存儲難題:航芯有什么高招」
面(mian)對不斷進化的(de)安全攻擊手(shou)段,密鑰存儲(chu)的(de)安全性成為(wei)了薄弱(ruo)環節(jie)。所以,從(cong)密鑰的(de)「誕生(sheng)(sheng)」到經歷千萬次的(de)運算「功成身退」,航(hang)芯將(jiang)層層把關每道安全防(fang)線,守護產品在全生(sheng)(sheng)命(ming)周(zhou)期的(de)功能安全。接下來,我(wo)們將(jiang)深入(ru)����解(jie)讀航(hang)芯ACL16_A芯片所具備(bei)的(de)一系列(lie)強大(da)的(de)安全特(te)性。
密鑰的(de)安(an)全生成:實現長效密鑰保護
ACL16_AHM密(mi)(mi)鑰的(de)生成:采用對(dui)稱算(suan)法(fa)體系,使用共(gong)享密(mi)(mi)鑰。密(mi)(mi)鑰可以通過真隨機數發生器(qi)創建或支(zhi)持(chi)������客戶(hu)定制。通過具有高度安全(quan)和保密(mi)(mi)性(xing)的(de)生產環(huan)節,以密(mi)(mi)文方(fang)式從(cong)外部寫入芯(xin)片中(zhong)。
ACL16_AEC密(mi)鑰(yao)(yao)的(de)生(sheng)成(cheng):采用非對稱算(suan)法體系(xi),使用「公私鑰(yao)(yao)對」。密(mi)鑰(yao)(yao)通(tong)過芯片內置的(de)真(zhen)隨����機數(shu)發生(sheng)器和(he)ECDSA硬件算(suan)法引擎,自(zi)主(zhu)創(chuang)建 1 組密(mi)鑰(yao)(yao),或支(zhi)持外部寫入(ru),通(tong)�������過證書(shu)鏈便(bian)于(yu)管理,使密(mi)鑰(yao)(yao)分發更安全。通(tong)常私鑰(yao)(yao)是固(gu)定的(de),但每次(ci)應用時都(dou)會加入(ru)隨機數(shu),所以外部看到的(de)密(mi)鑰(yao)(yao)是在(zai)變化的(de)。
密鑰(yao)的(de)生命周期(qi)與安(an)全性:航芯安(an�������)全芯片存儲(chu)壽命至少10年,而(er)密鑰(yao)在全生命周期(qi)內都是有效的(de)。在使(shi)用(yong)的(de)過程(cheng)中(zhong),雖(sui)然密鑰(y������ao)是固定(ding)的(de),但每次認(ren)證質詢的(de)隨機數不同,所(suo)以無法通過模擬單(dan)總線上的(de)數據進(jin)行(xing)破(po)解。
安全存儲功(gong)能:敏感(gan)信息的堅實盾(dun)牌(pai)
加密存儲:安全EEPROM存儲區(qu)上(shang)的數據采(�����cai)用(yong)加密存儲,并且(qie)存儲地址使(shi)用(y����ong)串擾,從(cong)而使(shi)得數據在(zai)物(wu)理層面上(shang)不易(yi)被直接讀取或解碼。
權(quan)限管理(li):存(cun)(cun)儲(chu)器是(shi)可配置(zhi)的(de),用于儲(chu)存(cun)(cun)用戶數據、密鑰、控(kong)制寄存(cun)(cun)器、認證(zheng)(zheng)證(zheng)(zheng)書等(deng)。存(cun)(cun)儲(chu)器分為32頁(ye),每(mei)頁(ye)32字節,��������每(mei)個存(cun)(cun)儲(chu)頁(ye)面都可以配置(zhi)特定(ding)的(de)訪問(wen)(wen)規則,如允許讀寫、只(zhi)讀或需要驗證(zheng)(zheng)后才(cai)能(neng)訪問(wen)(wen),確保只(zhi)有經過授權(quan)的(de)操作才(cai)能(neng)對(dui)特定(ding)頁(ye)面進行讀寫,從(cong)而實(shi)(shi)現(xian)了對(dui)敏感數據的(de)精(jing)確控(kong)制。例如,可根據實(shi)(shi)際應用設(she)定(ding)密鑰的(de)訪問(wen)(wen)權(quan)限,實(shi)(shi)現(xian)配置(zhi)不同安全等(deng)級的(de)密鑰。
指令(�����ling)控(kong)制(zhi):指令(ling)集包括ROM和(he)Function兩(liang)大部分,它定(ding)義了處理(li)器可(ke)(ke)以執(zhi)行的操作,包括對(dui)存(cun)(cun)儲(chu)器的訪(fang)問(wen)(wen)和(he)控(kong)制(zhi)。通過指令(ling)集可(ke)(ke)以實(shi)(shi)現對(dui)存(cun)(cun)儲(chu)器的加(jia)密、訪(fang)問(wen)(wen)權限驗(yan)(yan)(yan)證、數(shu)�������據完整(zheng)性校驗(yan)(yan)(yan)等安全措施。例如,當密鑰(yao)被配置為不可(ke)(ke)讀出后,可(ke)(ke)通過命令(ling)獲(huo)得對(dui)應的公鑰(yao)來實(shi)(shi)現驗(yan)(yan)(yan)證功能。
固件(jian)IP保(bao)護:該(gai)功能支持安(an)(an)全(quan)啟動和安(an)(an)全(quan)更(geng)新(xin),為設備提(ti)供了(le)一(yi)個可信(xin)任(ren)的(de)運(yun)行(xing)環境。通過在PCB上放置(zhi)安(an)(an)全(quan)芯片,固件(jian)運(yun)行(xing)時驗證安(an)(an)全(quan)芯片是否有(you)正確的(de)密鑰,即使固件(jian)被(bei)復制也(ye)會因(yin)為沒有(you)密鑰而無法運(yun)行(xi������ng),以此(ci)來實現對代碼的(de)保(bao)護。
可靠的(de)反制措施(shi):防御多種安全(quan)攻(gong)擊
通過在(zai)密鑰參與(yu)運算時引入真隨機數掩碼技術,有效掩蓋(gai)了在(zai)加解密和(he)簽名驗證過程中因數據運算引起的(de)功耗(hao)泄露,有效防(fang)御(yu)DPA/SPA攻(gong)擊;通過監(jian)測電壓(ya)、溫度和(he)電磁(ci)場(�����chang)等關鍵參數,確保(bao)硬件(jian)在(zai)安全的(de)環(huan)境(jing)中運行,任何超出正常范(fan)圍的(�������de)波(bo)動都可(ke)能觸發警報,促使(shi)系統采取(qu)保(bao)護措施,有效抵御(yu)DFA錯誤注入攻(gong)擊。
賦予芯片身份標識(shi):確保精準識(shi)別與(yu)安全
128位唯一(yi)序列號(hao) (UID):該序列號(hao)綁定了芯片(pian)出廠的LOT/WAFER ID和坐標等。該序列號(hao)唯一(yi)且不(bu)可(ke)復制(zhi),不(bu)支持讀出。開發者(zhe)可(ke)將應用(yong)程序與該芯片(pian)的序列號(hao)綁定,�������這樣(yang)可(ke)以使每個(ge)下載應用(yong)程序的芯片(pian)不(bu)可(ke)被復制(zhi)。
64位唯一ROM識(shi)別碼(ma) (ROM ID):每(mei)個芯片都有唯一且不(bu)能更改的64位ROM地址碼(ma),該地址碼(ma)由工廠光刻寫入芯片,為(wei)每(mei)個芯片提供了一個不(bu)可篡改的身(shen)份標識(shi),防止(zhi)身(������shen)份偽造和非法復制。
「1-Wire單總線:簡化(hua)設計和高效傳輸」
1�������-Wire單總線(xian)使用(yong)1-Wire和GND兩根(gen)������線(xian),借助(zhu)芯片內(nei)部二(er)極管(guan)和外置(zhi)電容器(qi)件,將1-Wire總線(xian)上的(de)(de)(de)(de)方波(bo)信(xin)(xin)號(hao)轉換(huan)成直流電源(yuan)信(xin)(xin)號(hao),為從(cong)機的(de)(de)(de)(de)硬件系(xi)(xi)統提供(gong)電源(yuan)輸(shu)入,實(shi)現主機與一個或多個設備之間的(de)(de)(de)(de)通(tong)信(xin)(xin),可(ke)提供(gong)穩定(ding)可(ke)靠的(de)(de)(de)(de)數據(ju)傳輸(shu),同時簡化(hua)系(xi)(xi)統設計,降低生產和維(wei)護成本,因此(ci)成為許多產品設計中的(de)(de)(de)(de)優選通(tong)信(xin)(xin)方案(an)。
ACL16_A系(xi)列:1-Wire硬件特點
? 1-Wire通(tong)信支持最大62.5kbps的高速模式(shi)
? 工作(zuo)電壓:1.75V-3.63V
? 工作溫度:-40℃至+85℃
? 4引腳LGA封裝 (1.22mm*1.22mm*0.35mm)
? 50uA(Typical) StandBy模式
? 2uA(Typical) PoweOff模式
? ESD:±8KV(HBM)
