利用高級(jí)RPMB實(shí)現(xiàn)更快、更安全的UFS 4.0身份驗(yàn)證

在 5G 世界中，快速安全的連接非常重要。JEDEC 通用閃存 （UFS） 4.0 版有助于確保在我們的日常設(shè)備中實(shí)現(xiàn)這一點(diǎn)。作為附加的安全元素，UFS 設(shè)備中包含重放保護(hù)內(nèi)存塊 （RPMB），作為安全存儲(chǔ)加密數(shù)據(jù)的一種方式，只能通過身份驗(yàn)證訪問。

RPMB 以經(jīng)過身份驗(yàn)證和重放保護(hù)的方式存儲(chǔ)信息，該過程只能在對(duì)身份驗(yàn)證密鑰進(jìn)行編程后執(zhí)行。UFS 設(shè)備具有包含多個(gè) RPMB 區(qū)域的 RPMB 邏輯單元;每個(gè)區(qū)域都有自己唯一的身份驗(yàn)證密鑰。當(dāng)使用 HMAC SHA-256 算法將密鑰與消息（數(shù)據(jù)）一起作為輸入來計(jì)算消息身份驗(yàn)證代碼 （MAC） 時(shí)，此身份驗(yàn)證密鑰有助于訪問 RPMB 區(qū)域。在本博客中，我們將討論高級(jí) RPMB 的身份驗(yàn)證編程流程如何比以前的版本更高效。

回顧舊的RPMB流程

在 RPMB 中執(zhí)行身份驗(yàn)證密鑰編程需要先發(fā)送請(qǐng)求，然后發(fā)送結(jié)果讀取請(qǐng)求。然后，身份驗(yàn)證密鑰編程的響應(yīng)將作為結(jié)果讀取響應(yīng)接收。

舊版本的 RPMB 需要傳輸許多命令來編程用于 MAC 計(jì)算的身份驗(yàn)證密鑰，然后將 RPMB 字段傳輸?shù)矫總€(gè)命令的數(shù)據(jù)塊中。提醒一下，舊版 RPMB 流程中涉及的步驟如下：

身份驗(yàn)證密鑰編程請(qǐng)求 – 通過發(fā)出安全協(xié)議輸出命令 UPIU 來啟動(dòng)帶有“0001h”請(qǐng)求消息的密鑰發(fā)送。

讀取請(qǐng)求的結(jié)果 – 通過使用安全協(xié)議輸出命令 UPIU 將請(qǐng)求消息類型發(fā)送為“0005h”來確保身份驗(yàn)證密鑰編程的驗(yàn)證過程。

讀取響應(yīng)結(jié)果 – 主機(jī)在結(jié)果字段中檢索響應(yīng)消息類型為“0100h”的身份驗(yàn)證密鑰編程的結(jié)果。結(jié)果字段指示身份驗(yàn)證是否成功完成，或者在寫入數(shù)據(jù)時(shí)失敗或身份驗(yàn)證密鑰尚未編程時(shí)標(biāo)記。根據(jù)結(jié)果，主機(jī)可以處理即將到來的 RPMB 進(jìn)程，也可以嘗試再次對(duì)身份驗(yàn)證密鑰進(jìn)行編程。

為了消除舊RPMB流程中涉及的許多步驟，UFS 4.0配備了高級(jí)RPMB，這是一種利用命令和響應(yīng)UPIU中額外標(biāo)頭段（EHS）字段的簡單高效流程。

為什么我應(yīng)該改用高級(jí) RPMB？

在高級(jí) RPMB 中，身份驗(yàn)證密鑰編程是通過單個(gè)安全協(xié)議輸出命令和 EHS 字段的幫助完成的。

UFS 4.0 具有新的 EHS 功能，該功能已針對(duì)高級(jí) RPMB 和供應(yīng)商特定用途添加。讓我們看看事務(wù) UPIU 如何結(jié)合 EHS 來傳達(dá) RPMB 字段。

在 EHS 標(biāo)頭中，主機(jī)需要將 EHS 類型指定為 01h，用于訪問高級(jí) RPMB，將 EHS 長度指定為 02h，用于在事務(wù) UPIU 本身中發(fā)送高級(jí) RPMB 字段。在高級(jí) RPMB 流程中，我們只需要執(zhí)行以下步驟即可實(shí)現(xiàn)身份驗(yàn)證密鑰編程：

安全協(xié)議輸出命令 UPIU（帶 EHS 字段）– 這為請(qǐng)求消息類型為 0001h 的身份驗(yàn)證密鑰提供。

響應(yīng) UPIU（帶 EHS 字段）– 這將提供響應(yīng)消息類型為 0100h 的結(jié)果。因此，結(jié)果字段指示身份驗(yàn)證是否成功。

UFS 4.0 的發(fā)布提供了對(duì)這種增強(qiáng)的高級(jí) RPMB 過程的訪問，與舊的 RPMB 過程相比，允許高效、簡單、快速的身份驗(yàn)證編程流程。

審核編輯：郭婷