通過(guò)SHA-256主/從身份驗(yàn)證系統(tǒng)實(shí)現(xiàn)更高的安全性

DS28C22是一款帶有IC接口的DeepCover安全認(rèn)證器，采用SHA-256算法進(jìn)行雙向認(rèn)證。其他功能，包括 3Kb 用戶 EEPROM 陣列、多種存儲(chǔ)器保護(hù)方法和高級(jí)物理安全性，相結(jié)合，可提供經(jīng)濟(jì)高效的終極 IP 保護(hù)、克隆預(yù)防和身份驗(yàn)證。本文檔介紹該器件的工作原理、其特殊功能及其典型應(yīng)用環(huán)境。

介紹

10多年來(lái)，SHA-1認(rèn)證被用于有效保護(hù)知識(shí)產(chǎn)權(quán)（IP）免受假冒和非法復(fù)制。但是現(xiàn)在，隨著計(jì)算機(jī)技術(shù)信息處理的進(jìn)步，客戶希望獲得更高級(jí)別的安全性。

如今，新的安全身份驗(yàn)證器和配套的安全協(xié)處理器實(shí)現(xiàn)了SHA-256身份驗(yàn)證。這項(xiàng)新技術(shù)提供了先進(jìn)的物理安全性，可提供無(wú)與倫比的低成本 IP 保護(hù)、克隆防護(hù)和外圍認(rèn)證。本文介紹基于 SHA-256 的安全系統(tǒng)的一般后勤工作，并討論身份驗(yàn)證系統(tǒng)使用的雙向身份驗(yàn)證功能。

安全的身份驗(yàn)證系統(tǒng)

實(shí)施安全認(rèn)證系統(tǒng)需要將主機(jī)系統(tǒng)與傳感器/外設(shè)模塊連接起來(lái)。圖1所示的系統(tǒng)由一個(gè)SHA-256安全認(rèn)證器和一個(gè)SHA-256安全協(xié)處理器組成。主機(jī)通過(guò)行業(yè)標(biāo)準(zhǔn) I 與身份驗(yàn)證器和協(xié)處理器通信2C總線。

<

圖1.實(shí)施 SHA-256 安全認(rèn)證系統(tǒng)。該系統(tǒng)采用深蓋DS2465 SHA-256安全協(xié)處理器和深蓋? DS28C22安全認(rèn)證器。

SHA-256 安全認(rèn)證器

此系統(tǒng)中的 SHA-256 安全身份驗(yàn)證器支持 256 位的質(zhì)詢大小，并使用 256 位密鑰。圖 1 中的身份驗(yàn)證器是 I2具有唯一 64 位 ROM ID 的 C 從站，用作身份驗(yàn)證計(jì)算的基本數(shù)據(jù)元素。系統(tǒng)設(shè)計(jì)人員可以將 3Kb 用戶 EEPROM 劃分為具有開(kāi)放（未受保護(hù)）訪問(wèn)的區(qū)域、主設(shè)備必須對(duì)自身進(jìn)行身份驗(yàn)證才能進(jìn)行寫(xiě)入訪問(wèn)的區(qū)域以及讀寫(xiě)訪問(wèn)涉及數(shù)據(jù)加密的區(qū)域。加密可以與身份驗(yàn)證相結(jié)合，以進(jìn)一步提高數(shù)據(jù)安全性。表 1 顯示了可用的保護(hù)模式。

SHA-256 安全協(xié)處理器

圖 256 中的 SHA-1 安全協(xié)處理器使主機(jī)處理器無(wú)需執(zhí)行 SHA-256 計(jì)算。更重要的是，安全協(xié)處理器嵌入了受保護(hù)的存儲(chǔ)器，可以安全地存儲(chǔ)主密鑰。留出額外的內(nèi)存來(lái)存儲(chǔ)和保護(hù)用于計(jì)算唯一從屬機(jī)密的其他數(shù)據(jù)元素。從主機(jī)的角度來(lái)看，SHA-256安全協(xié)處理器顯示為256字節(jié)讀/寫(xiě)存儲(chǔ)器，其中某些區(qū)域（數(shù)據(jù)元素）被分配用于特殊用途。

安全物流

基于 SHA 的安全性依賴于從開(kāi)放數(shù)據(jù)和密鑰計(jì)算的消息身份驗(yàn)證代碼 （MAC）。為了驗(yàn)證真實(shí)性，雙方，即主機(jī)或協(xié)處理器和身份驗(yàn)證器，必須知道機(jī)密，該秘密永遠(yuǎn)不會(huì)暴露。此外，為了獲得最大的安全性，每個(gè)身份驗(yàn)證器中的密鑰必須是唯一的。這樣，如果單個(gè)身份驗(yàn)證器的機(jī)密受到損害，整個(gè)系統(tǒng)的安全性不會(huì)受到影響。

乍一看，似乎不可能滿足這些要求。但是，有一個(gè)簡(jiǎn)單的解決方案：從已知的“成分”中計(jì)算密鑰，并將其安裝到受信任/受控的制造環(huán)境中的安全身份驗(yàn)證器中。獨(dú)特秘密的成分是主秘密;綁定數(shù)據(jù);部分秘密;安全身份驗(yàn)證器的 ROM ID;和填充/格式（“其他數(shù)據(jù)”）。圖 2 說(shuō)明了該過(guò)程。盡管成分在某個(gè)時(shí)間點(diǎn)公開(kāi)，例如，在受信任的制造環(huán)境中，但計(jì)算的機(jī)密永遠(yuǎn)不會(huì)公開(kāi)，并且始終保持隱藏狀態(tài)。

圖2.創(chuàng)建唯一的機(jī)密。

出于安全和存儲(chǔ)空間原因，系統(tǒng)中所有安全存儲(chǔ)器的唯一機(jī)密不能存儲(chǔ)在安全協(xié)處理器或主機(jī)中。相反，協(xié)處理器僅將主密鑰和綁定數(shù)據(jù)存儲(chǔ)在受保護(hù)的內(nèi)存部分中。部分機(jī)密是一個(gè)系統(tǒng)常量，可以在主機(jī)處理器的固件中編碼并公開(kāi)通信。讀取身份驗(yàn)證器的 ROM ID 后，協(xié)處理器可以計(jì)算出唯一的密鑰，如圖 2 所示。由于身份驗(yàn)證器和協(xié)處理器現(xiàn)在共享唯一的密鑰，系統(tǒng)已準(zhǔn)備好運(yùn)行。

質(zhì)詢和響應(yīng)身份驗(yàn)證

安全身份驗(yàn)證器的主要目的是提供證據(jù)，證明它所附加到的對(duì)象是真實(shí)的?；趯?duì)稱密鑰的身份驗(yàn)證使用密鑰和待身份驗(yàn)證的數(shù)據(jù)（消息）作為輸入來(lái)計(jì)算 MAC。主機(jī)使用預(yù)期的密鑰和相同的消息數(shù)據(jù)執(zhí)行相同的計(jì)算;然后，它將 MAC 版本與從安全身份驗(yàn)證器接收的版本進(jìn)行比較。如果兩個(gè) MAC 結(jié)果相同，則安全身份驗(yàn)證器是系統(tǒng)的一部分。

在此 SHA-256 身份驗(yàn)證系統(tǒng)中，消息是存儲(chǔ)在安全身份驗(yàn)證器中的主機(jī)質(zhì)詢和數(shù)據(jù)元素的組合。至關(guān)重要的是，挑戰(zhàn)必須基于隨機(jī)數(shù)據(jù)。永不改變的挑戰(zhàn)為使用記錄和重放的有效靜態(tài) MAC 而不是即時(shí)計(jì)算的 MAC 重放攻擊打開(kāi)了大門(mén)。

安全身份驗(yàn)證器從質(zhì)詢中計(jì)算 MAC;它的秘密;內(nèi)存數(shù)據(jù);以及共同構(gòu)成消息的其他數(shù)據(jù)（圖 3）。如果安全身份驗(yàn)證器可以為任何質(zhì)詢生成有效的 MAC，則可以安全地假設(shè)它知道密鑰，因此可以認(rèn)為它是真實(shí)的。

圖3.計(jì)算質(zhì)詢和響應(yīng)身份驗(yàn)證 MAC。

數(shù)據(jù)安全（經(jīng)過(guò)身份驗(yàn)證的寫(xiě)入）

除了證明真實(shí)性之外，非常希望知道存儲(chǔ)在安全身份驗(yàn)證器中的數(shù)據(jù)是可信的。為此，安全認(rèn)證器中的部分或全部EEPROM可以受到認(rèn)證保護(hù)。激活身份驗(yàn)證保護(hù)后，內(nèi)存寫(xiě)入訪問(wèn)要求主機(jī)通過(guò)向安全身份驗(yàn)證器提供主機(jī)身份驗(yàn)證 MAC 來(lái)證明其真實(shí)性（圖 4）。

圖4.經(jīng)過(guò)身份驗(yàn)證的寫(xiě)入訪問(wèn)（主機(jī)身份驗(yàn)證 MAC）。

主機(jī)身份驗(yàn)證 MAC 是根據(jù)新的內(nèi)存數(shù)據(jù)計(jì)算的;現(xiàn)有的內(nèi)存數(shù)據(jù);安全身份驗(yàn)證器的唯一密鑰和 ROM ID;以及共同構(gòu)成消息的其他數(shù)據(jù)。安全身份驗(yàn)證器以相同的方式計(jì)算 MAC。

真實(shí)主機(jī)已重新創(chuàng)建安全身份驗(yàn)證器的密鑰，并且可以生成有效的寫(xiě)入訪問(wèn) MAC。從主機(jī)接收 MAC 時(shí)，安全身份驗(yàn)證器會(huì)將其與自己的結(jié)果進(jìn)行比較。僅當(dāng)兩個(gè) MAC 匹配時(shí)，數(shù)據(jù)才會(huì)寫(xiě)入 EEPROM。即使 MAC 正確，也無(wú)法修改寫(xiě)保護(hù)的用戶內(nèi)存區(qū)域。

數(shù)據(jù)安全（加密讀寫(xiě)）

DS256C28安全認(rèn)證器不同于一般的SHA-22認(rèn)證器，在SHA-<>認(rèn)證器中，密碼永遠(yuǎn)不會(huì)暴露，因此在存儲(chǔ)器讀寫(xiě)訪問(wèn)期間，DS<>C<>安全認(rèn)證器甚至不會(huì)暴露其存儲(chǔ)器數(shù)據(jù)。這種增強(qiáng)的保護(hù)是通過(guò)傳輸過(guò)程中的數(shù)據(jù)加密來(lái)實(shí)現(xiàn)的。在芯片內(nèi)部，數(shù)據(jù)以明文形式存儲(chǔ)，以用于身份驗(yàn)證目的。

寫(xiě)訪問(wèn)加密使用從主機(jī)提供的加密種子計(jì)算的一次性墊 （OTP）;安全身份驗(yàn)證器的機(jī)密;身份驗(yàn)證器ROM ID的一部分;和其他數(shù)據(jù)（填充、格式和數(shù)據(jù)地址相關(guān)數(shù)據(jù)）。如圖 5 所示，這些數(shù)據(jù)元素形成一條消息，該消息根據(jù) SHA-256 算法進(jìn)行處理。生成的郵件身份驗(yàn)證代碼是 OTP。主機(jī)將新內(nèi)存數(shù)據(jù)與 OTP 中的相應(yīng)數(shù)據(jù)進(jìn)行 XOR 運(yùn)算，然后再將其發(fā)送到身份驗(yàn)證器。身份驗(yàn)證器再次執(zhí)行異或，恢復(fù)原始數(shù)據(jù)，然后將其編程到用戶EEPROM。主機(jī)提供加密種子，該種子應(yīng)為隨機(jī)數(shù)。這樣，即使主機(jī)一遍又一遍地將相同的數(shù)據(jù)寫(xiě)入竊聽(tīng)我的人2C總線，加密的數(shù)據(jù)總是看起來(lái)不同。

圖5.加密的寫(xiě)入訪問(wèn)。

讀取訪問(wèn)加密與寫(xiě)入訪問(wèn)加密最相似。盡管消息的數(shù)據(jù)元素本質(zhì)上是相同的，但“其他數(shù)據(jù)”存在差異，導(dǎo)致讀取訪問(wèn) OTP 與寫(xiě)入訪問(wèn) OTP 不同，即使其他成分相同。如圖 6 所示，安全身份驗(yàn)證器從用戶存儲(chǔ)器中獲取數(shù)據(jù)，使用 OTP 對(duì)其進(jìn)行 XOR 運(yùn)算，并使主機(jī)可以訪問(wèn)讀取數(shù)據(jù)。然后，主機(jī)使用其 OTP 版本執(zhí)行 XOR。如果主機(jī)可以計(jì)算安全身份驗(yàn)證器的密鑰和用于加密的 OTP，則 XOR 步驟將成功解密數(shù)據(jù)。同樣，主機(jī)提供加密種子，該種子應(yīng)為隨機(jī)數(shù)?，F(xiàn)在，即使主機(jī)重復(fù)讀取相同的數(shù)據(jù)給竊聽(tīng)的人2C總線，數(shù)據(jù)看起來(lái)總是不同的。

圖6.加密讀取訪問(wèn)。

安全性（經(jīng)過(guò)身份驗(yàn)證的加密寫(xiě)入）

加密寫(xiě)入不會(huì)阻止不知道安全身份驗(yàn)證器密鑰的主機(jī)處理器寫(xiě)入內(nèi)存。但是，實(shí)際寫(xiě)入內(nèi)存的數(shù)據(jù)將毫無(wú)用處。誠(chéng)然，人們可能會(huì)惡意磨損內(nèi)存，并以這種方式損害身份驗(yàn)證器。為了防止這種情況發(fā)生，為加密設(shè)置的內(nèi)存區(qū)域應(yīng)在初始寫(xiě)入后進(jìn)行寫(xiě)保護(hù)，或者保護(hù)身份驗(yàn)證以允許更改。然后，只有真實(shí)的主機(jī)才能修改內(nèi)存數(shù)據(jù)。

經(jīng)過(guò)身份驗(yàn)證的加密寫(xiě)入訪問(wèn)包括兩個(gè)步驟。第一步，主機(jī)加密新數(shù)據(jù)，如圖 5 所示，然后將其發(fā)送到安全身份驗(yàn)證器。在第二步中，主機(jī)計(jì)算寫(xiě)身份驗(yàn)證 MAC，如圖 4 所示，然后將其發(fā)送到安全身份驗(yàn)證器。與未加密的經(jīng)過(guò)身份驗(yàn)證的寫(xiě)入相比，MAC 現(xiàn)在根據(jù)現(xiàn)有的解密內(nèi)存數(shù)據(jù)和加密的新內(nèi)存數(shù)據(jù)進(jìn)行計(jì)算。

秘密保護(hù)

安全認(rèn)證器的密鑰和安全協(xié)處理器的主密鑰由硬件設(shè)計(jì)進(jìn)行讀取保護(hù)。如果需要，可以對(duì)機(jī)密進(jìn)行寫(xiě)保護(hù)，從而通過(guò)將未知機(jī)密替換為已知機(jī)密來(lái)防止篡改身份驗(yàn)證器的數(shù)據(jù)。安裝后，綁定數(shù)據(jù)（通常存儲(chǔ)在協(xié)處理器的存儲(chǔ)器中）應(yīng)受到讀取保護(hù)。只要在受信任的生產(chǎn)站點(diǎn)為應(yīng)用程序設(shè)置協(xié)處理器和身份驗(yàn)證器，此級(jí)別的保護(hù)就有效。

深度掩護(hù)終極安全性

Maxim Integrated部署的DeepCover技術(shù)提供了最強(qiáng)大的經(jīng)濟(jì)保護(hù)，可抵御任何試圖發(fā)現(xiàn)密鑰的芯片級(jí)攻擊。DeepCover技術(shù)包括大量用于主動(dòng)監(jiān)控芯片級(jí)篡改事件的電路、先進(jìn)的芯片布線和布局技術(shù)，以及用于應(yīng)對(duì)攻擊者復(fù)雜功能的其他專有方法。

雙向身份驗(yàn)證

示例系統(tǒng)中的安全身份驗(yàn)證器支持質(zhì)詢和響應(yīng)身份驗(yàn)證以及經(jīng)過(guò)身份驗(yàn)證的寫(xiě)入（主機(jī)身份驗(yàn)證）。整個(gè)用戶存儲(chǔ)器可用于質(zhì)詢和響應(yīng)身份驗(yàn)證。雙向身份驗(yàn)證適用于為安全數(shù)據(jù)存儲(chǔ)（經(jīng)過(guò)身份驗(yàn)證的寫(xiě)入）配置的內(nèi)存區(qū)域。數(shù)據(jù)加密不會(huì)妨礙質(zhì)詢和響應(yīng)身份驗(yàn)證。身份驗(yàn)證 MAC 始終根據(jù)用戶 EEPROM 中的未加密數(shù)據(jù)計(jì)算。

總結(jié)

SHA-256 的機(jī)密、質(zhì)詢和 MAC 大小分別為 256 位，是對(duì)舊版 SHA-1 身份驗(yàn)證的重大改進(jìn)。本文介紹了一種現(xiàn)代的安全身份驗(yàn)證系統(tǒng)，該系統(tǒng)將主機(jī)系統(tǒng)（帶 SHA-256 安全協(xié)處理器的主控制器）與傳感器/外設(shè)模塊（SHA-256 安全身份驗(yàn)證器）相匹配。SHA-256 的安全性從未如此簡(jiǎn)單。

審核編輯：郭婷