航芯:電子產(chǎn)品如何硬剛「盜版」這些知識速來(lái)了解
發(fā)布時(shí)間:2024-04-09
前言
嵌入式應用無(wú)處不在�,從消費電子到工業(yè)控制�����,讓智能化生活觸手可及�����。然而����,在便利的背后��,安全威脅也在不斷增加���,針對電子設備的安全攻擊事件層出不窮�。因此�,如何保護設備不被入侵或篡改始終是一項關(guān)鍵設計挑戰����。
「多場(chǎng)景下的安全認證需求」
在多樣化的應用場(chǎng)景中�����,安全認證是確保每一次通信都安全可靠的關(guān)鍵要素�����。
電路防抄板:提升產(chǎn)品被仿制的難度
為避免產(chǎn)品一經(jīng)上市�,就被同行“模仿”讓努力都付之東流�,甚至失去市場(chǎng)份額��。安全認證芯片能在版權保護中發(fā)揮關(guān)鍵作用�����,有效防范反向工程攻擊�����,避免被未授權的第三方拷貝程序和仿冒���。
電子配件認證:杜絕偽造守護品質(zhì)安全
因假冒偽劣配件而不斷引發(fā)的安全事故����,將危及設備功能和用戶(hù)安全��,從而損害品牌價(jià)值��。安全認證芯片可用于驗證配件真偽����,確保僅授權的正品配件得以使用�。適用于智能設備電池��、打印機墨盒��、電子煙煙彈���、濾水器和凈水器�����、可穿戴設備���、電動(dòng)工具等應用�����。
醫療耗材認證:配套產(chǎn)品的質(zhì)量管控
針對醫療耗材��,安全認證芯片可用于存儲傳感器的關(guān)鍵醫療參數�����,確保耗材能精準校準到儀器�����。且可用于驗證配件真偽�,防止使用未經(jīng)授權的耗材�����。適用于血氧監護儀�、心電監護儀�、B超探頭���、便攜式呼吸機等應用�����。
汽車(chē)配件認證:保障汽車(chē)零部件安全
針對汽車(chē)配件����,安全認證芯片可嵌入任何有被偽造風(fēng)險的汽車(chē)外圍設備���,用于識別和校準汽車(chē)配件��,通過(guò)驗證汽車(chē)組件確保車(chē)輛安全性和可靠性����。適用于汽車(chē)攝像頭����、傳感器����、電動(dòng)汽車(chē)電池�����、前燈模塊����、車(chē)載香氛等應用����。
工業(yè)設備安全:讓智能化與安全并行
在工業(yè)自動(dòng)化中��,安全認證芯片用于確保機器和傳感器的數據傳輸不被篡改和偽造����,防止因外部攻擊引發(fā)的信息泄露和系統崩潰等問(wèn)題�����。
芯品推薦:航芯ACL16_A系列
針對以上應用�,航芯推出了一款專(zhuān)為設備認證設計的安全芯片ACL16_A系列��。這款芯片集成了多項安全特性�����,實(shí)現數據加密和安全認證的雙重功能���,能夠輕松應對各種復雜的設備認證挑戰�����。采用1-Wire單總線(xiàn)通信�����,實(shí)現簡(jiǎn)化設計和高效傳輸���,大幅提升認證速度�。更為精巧的LGA4封裝設計顯著(zhù)減少了空間占用�,為設計人員在產(chǎn)品布局上提供了更大的靈活性�。而且設計人員無(wú)需具備深厚的安全加密知識�����,也能輕松地將ACL16_A系列芯片嵌入到產(chǎn)品中�,實(shí)現快速開(kāi)發(fā)和高效安全認證�����。
「兩種算法滿(mǎn)足多樣化安全認證需求」
對稱(chēng)加密算法:滿(mǎn)足基礎級安全需求
ACL16_AHM系列是一款基于對稱(chēng)加密算法的安全認證芯片��。采用1-Wire單總線(xiàn)通信��,集成了HMAC和SHA-256算法引擎��、FIPS/NIST兼容真隨機數發(fā)生器�����、128-byte安全EEPROM用戶(hù)存儲區�、20位僅遞減計數器和唯一的64位ROM識別碼��。
ACL16_AHM:HMAC實(shí)現安全認證
ACL16_AHM基于對稱(chēng)加密算法���,即加密和解密使用相同的共享密鑰���。而HMAC利用對稱(chēng)加密��,可以實(shí)現“認證”和“檢測篡改”這兩個(gè)功能����。
HMAC實(shí)現安全認證的過(guò)程
由主機向認證器件發(fā)送一個(gè)隨機數挑戰���。認證器件用共享密鑰加密隨機數��,并使用SHA-256對加密結果進(jìn)行HASH運算��,生成一個(gè)哈希值作為簽名��,并將運算結果發(fā)送給主機����。主機執行相同的運算并對結果進(jìn)行比較���,如運算結果相同��,則認為認證器件是一個(gè)合法設備��。ACL16_AHM系列HMAC認證的運算時(shí)間約5ms��。
ACL16_AHM:性能優(yōu)勢和適用場(chǎng)景
HMAC-SHA256算法使用了哈希函數�����,其計算效率高����,對系統性能的影響較小�,適用于對認證應答實(shí)時(shí)性要求高�����,而主機設備性能要求不高的應用場(chǎng)景�����,可以在降低成本的同時(shí)實(shí)現安全認證的需求�。
非對稱(chēng)加密算法:滿(mǎn)足進(jìn)階級安全需求
ACL16_AEC系列是一款基于非對稱(chēng)加密算法的安全認證芯片����。采用1-Wire單總線(xiàn)通信����,集成了ECDSA和SHA-256算法引擎����、FIPS/NIST兼容真隨機數發(fā)生器�����、1KB安全EEPROM存儲區����、20位僅遞減計數器和唯一的64位ROM識別碼�����。
ACL16_AEC:ECDSA實(shí)現安全認證
ACL16_AEC基于非對稱(chēng)加密算法���,即加密和解密使用不同的密鑰:公鑰和私鑰���。公鑰用于加密數據或驗證數字簽名�,可對外界公開(kāi)�;私鑰用于解密數據或創(chuàng )建數字簽名����,僅所有者知道�。并且��,密鑰將經(jīng)過(guò)證書(shū)授權中心簽發(fā)數字證書(shū)�,明確了密鑰所有者的身份信息���。
所以��,ECDSA利用非對稱(chēng)加密�����,既可以實(shí)現“認證”和“檢測篡改”的功能��,還可以驗證密鑰所有者的身份��,具有更好的防止偽造能力��。
ECDSA實(shí)現安全認證的過(guò)程
由主機向認證器件發(fā)送一個(gè)隨機數挑戰�。而認證器件根據隨機數和私鑰��,使用ECDSA計算數字簽名���,并將運算結果發(fā)送給主機��。主機使用公鑰對數字簽名進(jìn)行驗證�����。如果結果一致����,則認為認證器件是一個(gè)合法設備��。ACL16_AEC系列ECDSA的運算時(shí)間約250ms�����。
ACL16_AEC:性能優(yōu)勢和適用場(chǎng)景
ECDSA-SHA256算法結合了橢圓曲線(xiàn)密碼學(xué)和SHA-256的強安全性����,加密強度要高于HMAC�;相較RSA算法�,ECDSA用更短的密鑰長(cháng)度�,實(shí)現更高的安全性��,對存儲空間和傳輸帶寬占用較少��。適用于對安全性要求高���,且主機設備具備高性能的移動(dòng)設備和嵌入式系統�����。
「密鑰安全存儲難題:航芯有什么高招」
面對不斷進(jìn)化的安全攻擊手段���,密鑰存儲的安全性成為了薄弱環(huán)節�����。所以���,從密鑰的「誕生」到經(jīng)歷千萬(wàn)次的運算「功成身退」����,航芯將層層把關(guān)每道安全防線(xiàn)����,守護產(chǎn)品在全生命周期的功能安全��。接下來(lái)��,我們將深入解讀航芯ACL16_A芯片所具備的一系列強大的安全特性���。
密鑰的安全生成:實(shí)現長(cháng)效密鑰保護
ACL16_AHM密鑰的生成:采用對稱(chēng)算法體系�,使用共享密鑰���。密鑰可以通過(guò)真隨機數發(fā)生器創(chuàng )建或支持客戶(hù)定制�����。通過(guò)具有高度安全和保密性的生產(chǎn)環(huán)節�����,以密文方式從外部寫(xiě)入芯片中����。
ACL16_AEC密鑰的生成:采用非對稱(chēng)算法體系����,使用「公私鑰對」�。密鑰通過(guò)芯片內置的真隨機數發(fā)生器和ECDSA硬件算法引擎�����,自主創(chuàng )建 1 組密鑰��,或支持外部寫(xiě)入��,通過(guò)證書(shū)鏈便于管理����,使密鑰分發(fā)更安全���。通常私鑰是固定的��,但每次應用時(shí)都會(huì )加入隨機數�����,所以外部看到的密鑰是在變化的�����。
密鑰的生命周期與安全性:航芯安全芯片存儲壽命至少10年����,而密鑰在全生命周期內都是有效的�����。在使用的過(guò)程中�,雖然密鑰是固定的�����,但每次認證質(zhì)詢(xún)的隨機數不同���,所以無(wú)法通過(guò)模擬單總線(xiàn)上的數據進(jìn)行破解�����。
安全存儲功能:敏感信息的堅實(shí)盾牌
加密存儲:安全EEPROM存儲區上的數據采用加密存儲�,并且存儲地址使用串擾����,從而使得數據在物理層面上不易被直接讀取或解碼��。
權限管理:存儲器是可配置的�,用于儲存用戶(hù)數據����、密鑰����、控制寄存器��、認證證書(shū)等�����。存儲器分為32頁(yè)����,每頁(yè)32字節��,每個(gè)存儲頁(yè)面都可以配置特定的訪(fǎng)問(wèn)規則�����,如允許讀寫(xiě)�����、只讀或需要驗證后才能訪(fǎng)問(wèn)���,確保只有經(jīng)過(guò)授權的操作才能對特定頁(yè)面進(jìn)行讀寫(xiě)�����,從而實(shí)現了對敏感數據的精確控制��。例如���,可根據實(shí)際應用設定密鑰的訪(fǎng)問(wèn)權限��,實(shí)現配置不同安全等級的密鑰����。
指令控制:指令集包括ROM和Function兩大部分��,它定義了處理器可以執行的操作�����,包括對存儲器的訪(fǎng)問(wèn)和控制�����。通過(guò)指令集可以實(shí)現對存儲器的加密��、訪(fǎng)問(wèn)權限驗證���、數據完整性校驗等安全措施�。例如����,當密鑰被配置為不可讀出后����,可通過(guò)命令獲得對應的公鑰來(lái)實(shí)現驗證功能����。
固件IP保護:該功能支持安全啟動(dòng)和安全更新�����,為設備提供了一個(gè)可信任的運行環(huán)境���。通過(guò)在PCB上放置安全芯片�����,固件運行時(shí)驗證安全芯片是否有正確的密鑰��,即使固件被復制也會(huì )因為沒(méi)有密鑰而無(wú)法運行�����,以此來(lái)實(shí)現對代碼的保護��。
可靠的反制措施:防御多種安全攻擊
通過(guò)在密鑰參與運算時(shí)引入真隨機數掩碼技術(shù)���,有效掩蓋了在加解密和簽名驗證過(guò)程中因數據運算引起的功耗泄露��,有效防御DPA/SPA攻擊����;通過(guò)監測電壓�����、溫度和電磁場(chǎng)等關(guān)鍵參數�����,確保硬件在安全的環(huán)境中運行����,任何超出正常范圍的波動(dòng)都可能觸發(fā)警報�����,促使系統采取保護措施��,有效抵御DFA錯誤注入攻擊�。
賦予芯片身份標識:確保精準識別與安全
128位唯一序列號 (UID):該序列號綁定了芯片出廠(chǎng)的LOT/WAFER ID和坐標等�。該序列號唯一且不可復制����,不支持讀出��。開(kāi)發(fā)者可將應用程序與該芯片的序列號綁定�,這樣可以使每個(gè)下載應用程序的芯片不可被復制����。
64位唯一ROM識別碼 (ROM ID):每個(gè)芯片都有唯一且不能更改的64位ROM地址碼���,該地址碼由工廠(chǎng)光刻寫(xiě)入芯片���,為每個(gè)芯片提供了一個(gè)不可篡改的身份標識�����,防止身份偽造和非法復制���。
「1-Wire單總線(xiàn):簡(jiǎn)化設計和高效傳輸」
1-Wire單總線(xiàn)使用1-Wire和GND兩根線(xiàn)���,借助芯片內部二極管和外置電容器件�,將1-Wire總線(xiàn)上的方波信號轉換成直流電源信號�,為從機的硬件系統提供電源輸入�,實(shí)現主機與一個(gè)或多個(gè)設備之間的通信�����,可提供穩定可靠的數據傳輸��,同時(shí)簡(jiǎn)化系統設計���,降低生產(chǎn)和維護成本���,因此成為許多產(chǎn)品設計中的優(yōu)選通信方案���。
ACL16_A系列:1-Wire硬件特點(diǎn)
? 1-Wire通信支持最大62.5kbps的高速模式
? 工作電壓:1.75V-3.63V
? 工作溫度:-40℃至+85℃
? 4引腳LGA封裝 (1.22mm*1.22mm*0.35mm)
? 50uA(Typical) StandBy模式
? 2uA(Typical) PoweOff模式
? ESD:±8KV(HBM)
