為設(shè)計選擇正確的安全身份驗證方法

任何關(guān)心其客戶、品牌和聲譽的知名公司都希望保護其產(chǎn)品不被復(fù)制或克隆。然而，假冒電子產(chǎn)品繼續(xù)存在，每年給行業(yè)造成數(shù)十億美元的損失。例如，據(jù)估計，灰色市場吞噬了電子元件市場總收入的 8% 左右。

不幸的是，沒有一種神奇的解決方案可以提供持久、無懈可擊的安全性。但是，當(dāng)邪惡勢力努力保持領(lǐng)先于他們的威懾力量時，那些遵守法律的人在他們自己的武器庫中擁有身份驗證技術(shù)。

當(dāng)然，有不同級別的有效身份驗證。以打印機墨盒為例。為了驗證它的真實性，墨盒可以發(fā)送一個密碼。但是這種方法的缺點是中間人可以在密碼被傳輸時捕獲并重新使用它。質(zhì)詢-響應(yīng)身份驗證，其中墨盒可以證明它知道一個秘密而不泄露它，提供了一個更好的選擇。

有兩種不同的加密算法類型需要考慮：對稱密鑰（或秘密密鑰）和非對稱密鑰（或公鑰）。讓我們仔細(xì)看看每種類型。

雙向認(rèn)證的對稱密鑰

對稱密鑰具有以下特征：

主機和從機必須使用相同的密鑰進行操作

必須保護機密免受雙方的泄露攻擊

支持雙向身份驗證

對于可比較的安全級別，算法復(fù)雜度更低，計算時間更短

對稱密鑰認(rèn)證的一個例子可以使用從輸入數(shù)據(jù)計算的消息摘要連同對稱密鑰并利用安全散列算法 （SHA-x） 來實現(xiàn)。SHA-x 加密哈希函數(shù)由美國國家安全局 （NSA） 設(shè)計，是在數(shù)字?jǐn)?shù)據(jù)上運行的計算復(fù)雜的數(shù)學(xué)運算。您可以通過將計算的哈希值與已知和預(yù)期的哈希值1進行比較來確定數(shù)據(jù)完整性。 密碼散列特性是不可逆的，因此在計算上無法確定對應(yīng)于消息認(rèn)證碼 （MAC） 的輸入。它們還具有抗沖突性，因此要找到一個以上產(chǎn)生給定 MAC 的輸入消息是不切實際的。更重要的是，它們具有很高的雪崩效應(yīng)，因此輸入的任何變化都會導(dǎo)致 MAC 結(jié)果發(fā)生顯著變化。因此，SHA-x 已被證明對于安全身份驗證和小型摘要加密非常有效。圖 1 提供了使用基于 FIPS 180 的 SHA-256 身份驗證算法的對稱密鑰加密解決方案的示例。

消息摘要是在從機端根據(jù)共享密鑰和來自主機的數(shù)據(jù)計算的。

圖 1：Maxim 的 DS28C22 DeepCover 安全驗證器通過雙向質(zhì)詢和響應(yīng) SHA-256 驗證和加密保護嵌入式設(shè)計、外設(shè)和傳感器。

非對稱密鑰降低了密鑰管理的復(fù)雜性

非對稱密鑰具有以下特點：

主機使用公鑰操作，而從機有相應(yīng)的私鑰

必須保護私鑰，但不需要保護公鑰不被泄露

僅支持從屬設(shè)備的身份驗證

對于可比較的安全級別，算法復(fù)雜性增加，計算時間更長

使用橢圓曲線數(shù)字簽名算法 （ECDSA） 計算的數(shù)字簽名可以實現(xiàn)非對稱密鑰認(rèn)證的示例（數(shù)字簽名算法 （DSA） 和 RSA-DSA 是其他示例。）ECDSA 使用橢圓曲線加密，其中比特密鑰的大小在強度方面相當(dāng)于對稱密碼大小的兩倍（256 位 ECDSA 與 128 位 AES 一樣安全）。使用 ECDSA，公鑰僅用于驗證；無需保護公鑰免受偽造者或黑客的侵害。保護私鑰至關(guān)重要。對于很難甚至不可能保護主機密鑰的系統(tǒng)，ECDSA 非對稱身份驗證提供了非常強大的安全性。如果您使用多個合同制造商，或者如果您將產(chǎn)品許可給您的客戶，這也是理想的選擇。

圖 2：Maxim 的 DS28E35 DeepCover Secure Authenticator 為各種應(yīng)用提供加密強大的身份驗證安全性，包括醫(yī)療傳感器、工業(yè)可編程邏輯控制器 （PLC） 模塊和消費類設(shè)備。

在線工具幫助您選擇認(rèn)證解決方案

那么您如何決定在您的設(shè)計中使用哪種身份驗證方法呢？Maxim 提供簡單的在線身份驗證顧問工具，幫助您根據(jù)最終應(yīng)用選擇正確的安全身份驗證解決方案。Maxim 的DeepCover Secure Authenticators提供從數(shù)字 ID 到加密強身份驗證的高級物理安全性，提供低成本的 IP 保護、克隆預(yù)防和外圍設(shè)備身份驗證。

審核編輯：郭婷