航芯:電子產品如何硬剛「盜版」這些知識速來了解
發(fā)布時間:2024-04-09
前言
嵌入式應用無處不在,從消費電子到工業(yè)控制�,讓智能化生活觸手可及�。然而����,在便利的背后,安全威脅也在不斷增加�����,針對電子設備的安全攻擊事件層出不窮��。因此�,如何保護設備不被入侵或篡改始終是一項關鍵設計挑戰(zhàn)。
「多場景下的安全認證需求」
在多樣化的應用場景中�,安全認證是確保每一次通信都安全可靠的關鍵要素。
電路防抄板:提升產品被仿制的難度
為避免產品一經上市,就被同行“模仿”讓努力都付之東流�����,甚至失去市場份額��。安全認證芯片能在版權保護中發(fā)揮關鍵作用���,有效防范反向工程攻擊�,避免被未授權的第三方拷貝程序和仿冒�。
電子配件認證:杜絕偽造守護品質安全
因假冒偽劣配件而不斷引發(fā)的安全事故,將危及設備功能和用戶安全����,從而損害品牌價值。安全認證芯片可用于驗證配件真?zhèn)?,確保僅授權的正品配件得以使用。適用于智能設備電池�、打印機墨盒、電子煙煙彈����、濾水器和凈水器、可穿戴設備����、電動工具等應用�。
醫(yī)療耗材認證:配套產品的質量管控
針對醫(yī)療耗材���,安全認證芯片可用于存儲傳感器的關鍵醫(yī)療參數(shù)����,確保耗材能精準校準到儀器����。且可用于驗證配件真?zhèn)?����,防止使用未經授權的耗材���。適用于血氧監(jiān)護儀���、心電監(jiān)護儀、B超探頭��、便攜式呼吸機等應用����。
汽車配件認證:保障汽車零部件安全
針對汽車配件��,安全認證芯片可嵌入任何有被偽造風險的汽車外圍設備����,用于識別和校準汽車配件�����,通過驗證汽車組件確保車輛安全性和可靠性��。適用于汽車攝像頭�����、傳感器�、電動汽車電池、前燈模塊����、車載香氛等應用。
工業(yè)設備安全:讓智能化與安全并行
在工業(yè)自動化中�,安全認證芯片用于確保機器和傳感器的數(shù)據(jù)傳輸不被篡改和偽造,防止因外部攻擊引發(fā)的信息泄露和系統(tǒng)崩潰等問題�����。
芯品推薦:航芯ACL16_A系列
針對以上應用,航芯推出了一款專為設備認證設計的安全芯片ACL16_A系列����。這款芯片集成了多項安全特性,實現(xiàn)數(shù)據(jù)加密和安全認證的雙重功能���,能夠輕松應對各種復雜的設備認證挑戰(zhàn)�。采用1-Wire單總線通信�,實現(xiàn)簡化設計和高效傳輸����,大幅提升認證速度。更為精巧的LGA4封裝設計顯著減少了空間占用�����,為設計人員在產品布局上提供了更大的靈活性���。而且設計人員無需具備深厚的安全加密知識��,也能輕松地將ACL16_A系列芯片嵌入到產品中����,實現(xiàn)快速開發(fā)和高效安全認證。
「兩種算法滿足多樣化安全認證需求」
對稱加密算法:滿足基礎級安全需求
ACL16_AHM系列是一款基于對稱加密算法的安全認證芯片��。采用1-Wire單總線通信���,集成了HMAC和SHA-256算法引擎��、FIPS/NIST兼容真隨機數(shù)發(fā)生器�、128-byte安全EEPROM用戶存儲區(qū)���、20位僅遞減計數(shù)器和唯一的64位ROM識別碼�����。
ACL16_AHM:HMAC實現(xiàn)安全認證
ACL16_AHM基于對稱加密算法����,即加密和解密使用相同的共享密鑰�����。而HMAC利用對稱加密�����,可以實現(xiàn)“認證”和“檢測篡改”這兩個功能。
HMAC實現(xiàn)安全認證的過程
由主機向認證器件發(fā)送一個隨機數(shù)挑戰(zhàn)����。認證器件用共享密鑰加密隨機數(shù),并使用SHA-256對加密結果進行HASH運算�,生成一個哈希值作為簽名,并將運算結果發(fā)送給主機���。主機執(zhí)行相同的運算并對結果進行比較����,如運算結果相同�����,則認為認證器件是一個合法設備�。ACL16_AHM系列HMAC認證的運算時間約5ms��。
ACL16_AHM:性能優(yōu)勢和適用場景
HMAC-SHA256算法使用了哈希函數(shù)�,其計算效率高,對系統(tǒng)性能的影響較小�����,適用于對認證應答實時性要求高,而主機設備性能要求不高的應用場景�����,可以在降低成本的同時實現(xiàn)安全認證的需求���。
非對稱加密算法:滿足進階級安全需求
ACL16_AEC系列是一款基于非對稱加密算法的安全認證芯片���。采用1-Wire單總線通信,集成了ECDSA和SHA-256算法引擎��、FIPS/NIST兼容真隨機數(shù)發(fā)生器�、1KB安全EEPROM存儲區(qū)、20位僅遞減計數(shù)器和唯一的64位ROM識別碼��。
ACL16_AEC:ECDSA實現(xiàn)安全認證
ACL16_AEC基于非對稱加密算法��,即加密和解密使用不同的密鑰:公鑰和私鑰���。公鑰用于加密數(shù)據(jù)或驗證數(shù)字簽名���,可對外界公開�����;私鑰用于解密數(shù)據(jù)或創(chuàng)建數(shù)字簽名���,僅所有者知道。并且�,密鑰將經過證書授權中心簽發(fā)數(shù)字證書,明確了密鑰所有者的身份信息��。
所以���,ECDSA利用非對稱加密����,既可以實現(xiàn)“認證”和“檢測篡改”的功能���,還可以驗證密鑰所有者的身份,具有更好的防止偽造能力�����。
ECDSA實現(xiàn)安全認證的過程
由主機向認證器件發(fā)送一個隨機數(shù)挑戰(zhàn)。而認證器件根據(jù)隨機數(shù)和私鑰��,使用ECDSA計算數(shù)字簽名�,并將運算結果發(fā)送給主機。主機使用公鑰對數(shù)字簽名進行驗證�。如果結果一致,則認為認證器件是一個合法設備�����。ACL16_AEC系列ECDSA的運算時間約250ms����。
ACL16_AEC:性能優(yōu)勢和適用場景
ECDSA-SHA256算法結合了橢圓曲線密碼學和SHA-256的強安全性,加密強度要高于HMAC�����;相較RSA算法��,ECDSA用更短的密鑰長度�����,實現(xiàn)更高的安全性��,對存儲空間和傳輸帶寬占用較少。適用于對安全性要求高�����,且主機設備具備高性能的移動設備和嵌入式系統(tǒng)����。
「密鑰安全存儲難題:航芯有什么高招」
面對不斷進化的安全攻擊手段,密鑰存儲的安全性成為了薄弱環(huán)節(jié)���。所以����,從密鑰的「誕生」到經歷千萬次的運算「功成身退」�,航芯將層層把關每道安全防線,守護產品在全生命周期的功能安全����。接下來,我們將深入解讀航芯ACL16_A芯片所具備的一系列強大的安全特性�����。
密鑰的安全生成:實現(xiàn)長效密鑰保護
ACL16_AHM密鑰的生成:采用對稱算法體系��,使用共享密鑰�。密鑰可以通過真隨機數(shù)發(fā)生器創(chuàng)建或支持客戶定制。通過具有高度安全和保密性的生產環(huán)節(jié)����,以密文方式從外部寫入芯片中。
ACL16_AEC密鑰的生成:采用非對稱算法體系�,使用「公私鑰對」。密鑰通過芯片內置的真隨機數(shù)發(fā)生器和ECDSA硬件算法引擎�,自主創(chuàng)建 1 組密鑰,或支持外部寫入�,通過證書鏈便于管理,使密鑰分發(fā)更安全�。通常私鑰是固定的,但每次應用時都會加入隨機數(shù)�����,所以外部看到的密鑰是在變化的��。
密鑰的生命周期與安全性:航芯安全芯片存儲壽命至少10年����,而密鑰在全生命周期內都是有效的。在使用的過程中�,雖然密鑰是固定的���,但每次認證質詢的隨機數(shù)不同,所以無法通過模擬單總線上的數(shù)據(jù)進行破解�。
安全存儲功能:敏感信息的堅實盾牌
加密存儲:安全EEPROM存儲區(qū)上的數(shù)據(jù)采用加密存儲,并且存儲地址使用串擾���,從而使得數(shù)據(jù)在物理層面上不易被直接讀取或解碼�����。
權限管理:存儲器是可配置的�,用于儲存用戶數(shù)據(jù)�����、密鑰�、控制寄存器、認證證書等���。存儲器分為32頁�����,每頁32字節(jié)���,每個存儲頁面都可以配置特定的訪問規(guī)則�,如允許讀寫��、只讀或需要驗證后才能訪問��,確保只有經過授權的操作才能對特定頁面進行讀寫���,從而實現(xiàn)了對敏感數(shù)據(jù)的精確控制。例如��,可根據(jù)實際應用設定密鑰的訪問權限��,實現(xiàn)配置不同安全等級的密鑰���。
指令控制:指令集包括ROM和Function兩大部分�����,它定義了處理器可以執(zhí)行的操作�����,包括對存儲器的訪問和控制����。通過指令集可以實現(xiàn)對存儲器的加密、訪問權限驗證�、數(shù)據(jù)完整性校驗等安全措施。例如�,當密鑰被配置為不可讀出后,可通過命令獲得對應的公鑰來實現(xiàn)驗證功能����。
固件IP保護:該功能支持安全啟動和安全更新,為設備提供了一個可信任的運行環(huán)境�����。通過在PCB上放置安全芯片����,固件運行時驗證安全芯片是否有正確的密鑰,即使固件被復制也會因為沒有密鑰而無法運行�����,以此來實現(xiàn)對代碼的保護�����。
可靠的反制措施:防御多種安全攻擊
通過在密鑰參與運算時引入真隨機數(shù)掩碼技術,有效掩蓋了在加解密和簽名驗證過程中因數(shù)據(jù)運算引起的功耗泄露���,有效防御DPA/SPA攻擊�����;通過監(jiān)測電壓、溫度和電磁場等關鍵參數(shù)��,確保硬件在安全的環(huán)境中運行��,任何超出正常范圍的波動都可能觸發(fā)警報���,促使系統(tǒng)采取保護措施��,有效抵御DFA錯誤注入攻擊���。
賦予芯片身份標識:確保精準識別與安全
128位唯一序列號 (UID):該序列號綁定了芯片出廠的LOT/WAFER ID和坐標等。該序列號唯一且不可復制��,不支持讀出�����。開發(fā)者可將應用程序與該芯片的序列號綁定,這樣可以使每個下載應用程序的芯片不可被復制���。
64位唯一ROM識別碼 (ROM ID):每個芯片都有唯一且不能更改的64位ROM地址碼���,該地址碼由工廠光刻寫入芯片,為每個芯片提供了一個不可篡改的身份標識����,防止身份偽造和非法復制。
「1-Wire單總線:簡化設計和高效傳輸」
1-Wire單總線使用1-Wire和GND兩根線�,借助芯片內部二極管和外置電容器件,將1-Wire總線上的方波信號轉換成直流電源信號�,為從機的硬件系統(tǒng)提供電源輸入,實現(xiàn)主機與一個或多個設備之間的通信���,可提供穩(wěn)定可靠的數(shù)據(jù)傳輸���,同時簡化系統(tǒng)設計,降低生產和維護成本����,因此成為許多產品設計中的優(yōu)選通信方案。
ACL16_A系列:1-Wire硬件特點
? 1-Wire通信支持最大62.5kbps的高速模式
? 工作電壓:1.75V-3.63V
? 工作溫度:-40℃至+85℃
? 4引腳LGA封裝 (1.22mm*1.22mm*0.35mm)
? 50uA(Typical) StandBy模式
? 2uA(Typical) PoweOff模式
? ESD:±8KV(HBM)
