摘要

當(dāng)今時(shí)代，身份盜用和偽造身份證件日益猖獗，確認(rèn)身份的真實(shí)性變得至關(guān)重要。這不僅適用于個(gè)人，對(duì)電子產(chǎn)品也同樣適用。幾乎所有設(shè)備制造商都需要保護(hù)自己的產(chǎn)品，以防假冒零部件通過(guò)售后渠道流入OEM供應(yīng)鏈。安全認(rèn)證是一種強(qiáng)大的電子解決方案，它不僅能應(yīng)對(duì)此類威脅，還能為最終產(chǎn)品帶來(lái)其他有用特色。

本應(yīng)用筆記闡述了“認(rèn)證”（又稱身份驗(yàn)證）的概念，重點(diǎn)介紹了ADI公司的解決方案，通過(guò)安全認(rèn)證器可滿足以下應(yīng)用需求：知識(shí)產(chǎn)權(quán)保護(hù)、嵌入式硬件/軟件許可管理、安全軟特性和狀態(tài)設(shè)置、防篡改數(shù)據(jù)存儲(chǔ)。

引言

越來(lái)越多的系統(tǒng)要求為傳統(tǒng)的非安全外設(shè)和耗材添加認(rèn)證功能。典型的系統(tǒng)驅(qū)動(dòng)認(rèn)證包括：安全存儲(chǔ)、基于證書(shū)的認(rèn)證，或是外設(shè)、配件或耗材的質(zhì)詢-響應(yīng)或OEM認(rèn)證。認(rèn)證可確保產(chǎn)品的可靠性和質(zhì)量，從而避免假冒產(chǎn)品的出現(xiàn)。

什么是認(rèn)證？

認(rèn)證是一個(gè)旨在確認(rèn)兩個(gè)或多個(gè)實(shí)體之間身份真實(shí)性的過(guò)程。在單向認(rèn)證中，僅有一方向另一方證明其身份。而在雙向認(rèn)證中，雙方互相向?qū)Ψ阶C明身份。最常見(jiàn)的認(rèn)證方式是密碼。密碼的主要問(wèn)題在于使用時(shí)會(huì)被暴露，容易遭到窺探。

1883年，佛蘭芒語(yǔ)言學(xué)家Auguste Kerckhoffs在深入研究密碼學(xué)歷史后，發(fā)表了一篇開(kāi)創(chuàng)性的軍事密碼學(xué)論文。他主張，安全性不應(yīng)建立在晦澀性之上，而應(yīng)依賴于密鑰的強(qiáng)度。這樣一來(lái)，即便系統(tǒng)遭到入侵，也只需更換密鑰，而不必替換整個(gè)系統(tǒng)。

一種經(jīng)過(guò)驗(yàn)證的基于對(duì)稱密鑰的認(rèn)證方法如圖1所示：一個(gè)密鑰和待認(rèn)證的數(shù)據(jù)（“消息”）作為輸入，用來(lái)計(jì)算消息認(rèn)證碼，即MAC。然后將MAC附加到消息上，并在請(qǐng)求時(shí)發(fā)送。消息的接收者執(zhí)行相同的計(jì)算，并將其版本的MAC與隨消息接收的MAC進(jìn)行比較。如果兩個(gè)MAC一致，則消息是可信的。然而，這一基礎(chǔ)模型存在一個(gè)安全隱患：一旦靜態(tài)消息和MAC被截獲，攻擊者便可實(shí)施重放攻擊，讓接收方誤以為消息是來(lái)自合法發(fā)送者。

圖1.MAC計(jì)算模型

為了證明MAC發(fā)起方（例如某個(gè)系統(tǒng)配件）的真實(shí)性，接收方（例如配件所連接的主機(jī)系統(tǒng)）生成一個(gè)隨機(jī)數(shù)，并將其作為質(zhì)詢發(fā)送給發(fā)起方。然后，MAC發(fā)起方必須基于密鑰、消息和質(zhì)詢計(jì)算一個(gè)新的MAC，并將其發(fā)送回接收方。如果發(fā)起方能夠?yàn)槿魏钨|(zhì)詢生成有效的MAC，就基本可以確認(rèn)其擁有密鑰，身份真實(shí)可信。圖2顯示了這種質(zhì)詢-響應(yīng)認(rèn)證流程及相關(guān)的數(shù)據(jù)元素。

圖2.質(zhì)詢-響應(yīng)認(rèn)證數(shù)據(jù)流

在密碼學(xué)中，根據(jù)一條消息生成固定長(zhǎng)度消息認(rèn)證碼的算法稱為單向哈希函數(shù)。“單向”意味著在數(shù)學(xué)層面上，要從固定長(zhǎng)度的輸出MAC推斷出通常更大的輸入消息（包括密鑰）是不可行的。

FIPS SHA-2和SHA-3是由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)開(kāi)發(fā)的兩種單向哈希算法，已經(jīng)過(guò)嚴(yán)格審查并獲得國(guó)際認(rèn)證。NIST網(wǎng)站已公開(kāi)這些算法背后的數(shù)學(xué)原理。這些算法具有如下特征：1)不可逆性——在計(jì)算上不可能推導(dǎo)出與MAC對(duì)應(yīng)的輸入；2)抗碰撞性——幾乎不可能找到兩個(gè)不同的輸入消息能產(chǎn)生相同的MAC；3)高雪崩效應(yīng)——輸入的任何變化都會(huì)導(dǎo)致MAC結(jié)果發(fā)生顯著變化。出于上述原因，并考慮到算法經(jīng)過(guò)國(guó)際審查，ADI公司選擇將SHA-2和SHA-3用于旗下安全認(rèn)證器的質(zhì)詢-響應(yīng)認(rèn)證。

低成本安全認(rèn)證——系統(tǒng)實(shí)現(xiàn)方案

得益于1-Wire®接口，DS28E16等安全認(rèn)證器可以輕松添加到任何具備數(shù)字處理能力的系統(tǒng)中，例如微控制器(μC)。在最簡(jiǎn)單的情形中，只需要一個(gè)備用微控制器端口引腳和一個(gè)用于1-Wire線路的上拉電阻，如圖3所示。然而，這種方法有一個(gè)潛在風(fēng)險(xiǎn)：它使用的是非安全微控制器，攻擊者可以通過(guò)分析該微控制器來(lái)理解和破壞其安全機(jī)制。

或者，如圖4所示，可以使用集成1-Wire控制器接口的IC（如DS2477 SHA-256協(xié)處理器）來(lái)操作和控制DS28E16。雖然DS28E16支持僅采用微控制器的操作方案，但DS2477能帶來(lái)以下優(yōu)勢(shì)：1)將SHA-256計(jì)算任務(wù)從主微控制器轉(zhuǎn)移出去，減輕其負(fù)擔(dān)；2)確保系統(tǒng)SHA-256密鑰的存儲(chǔ)高度安全；3)將1-Wire波形生成任務(wù)從主微控制器轉(zhuǎn)移出去，減輕其負(fù)擔(dān)。

圖3.基本應(yīng)用示例

圖4.使用協(xié)處理器來(lái)增強(qiáng)安全性

防止偽造

有些系統(tǒng)采用可更換的傳感器、外設(shè)、模塊或耗材，常會(huì)成為未經(jīng)授權(quán)的售后服務(wù)公司的目標(biāo)。偽造的替換件可能會(huì)引入安全隱患，降低應(yīng)用質(zhì)量，而且通常會(huì)對(duì)OEM解決方案產(chǎn)生負(fù)面影響。若將安全認(rèn)證引入解決方案中，主機(jī)系統(tǒng)就能檢驗(yàn)傳感器或模塊的真實(shí)性，并在檢測(cè)到偽造品時(shí)根據(jù)特定應(yīng)用采取相應(yīng)的措施。如圖5所示，可在系統(tǒng)與相連外設(shè)之間執(zhí)行質(zhì)詢-響應(yīng)序列來(lái)確認(rèn)真實(shí)性。

圖5.使用質(zhì)詢-響應(yīng)序列來(lái)檢驗(yàn)真實(shí)性

嵌入式硬件/軟件許可管理

參考設(shè)計(jì)在授權(quán)給第三方廠商進(jìn)行生產(chǎn)時(shí)，必須建立保護(hù)機(jī)制，防止知識(shí)產(chǎn)權(quán)被濫用。同時(shí)，出于收益管理的需要，還必須對(duì)參考設(shè)計(jì)的使用次數(shù)進(jìn)行追蹤與核實(shí)。預(yù)編程的SHA-256認(rèn)證器（交付第三方制造商之前已內(nèi)置密鑰、用戶存儲(chǔ)器和設(shè)置），例如DS28E25，能夠輕松應(yīng)對(duì)諸如此類的需求。作為上電自檢的一部分，參考設(shè)計(jì)（圖6）利用DS28E25來(lái)執(zhí)行認(rèn)證序列。只有擁有有效密鑰（僅由授權(quán)公司和參考設(shè)計(jì)設(shè)備本身掌握）的DS28E25，才能成功返回有效的MAC。如果檢測(cè)到無(wú)效MAC，參考設(shè)計(jì)的處理器將根據(jù)特定應(yīng)用采取相應(yīng)的措施。這種方法還有一項(xiàng)優(yōu)勢(shì)，就是能夠通過(guò)存儲(chǔ)在安全DS28E25存儲(chǔ)器中的設(shè)置，選擇性地許可和啟用參考設(shè)計(jì)的特性與功能。（有關(guān)此概念的更多信息，請(qǐng)參見(jiàn)軟特性管理部分。）

擁有有效密鑰的DS28E25或其他安全認(rèn)證器通過(guò)以下兩種安全方法之一提供給被許可方或第三方制造商：1)由參考設(shè)計(jì)許可方預(yù)編程，或2)由ADI公司根據(jù)許可方的輸入預(yù)編程，然后交付給第三方制造商。無(wú)論采用何種方式，發(fā)送給被許可方或制造商的設(shè)備數(shù)量是已知的，且可用于核實(shí)許可費(fèi)用。

圖6.參考設(shè)計(jì)認(rèn)證

驗(yàn)證硬件真實(shí)性

當(dāng)驗(yàn)證硬件真實(shí)性時(shí)，需要考慮兩種情況（圖7）：

克隆的電路板，具有完全相同的μC固件或FPGA配置

克隆的系統(tǒng)主機(jī)，例如圖7所示的基于SHA-3的DS28E50

圖7.硬件認(rèn)證示例

在第一種情況下，固件或FPGA嘗試對(duì)克隆的電路板進(jìn)行認(rèn)證。為使認(rèn)證成功，克隆設(shè)備的制造商必須將密鑰加載到安全認(rèn)證器中，以便將數(shù)據(jù)寫(xiě)入用戶EEPROM。雖然這可能會(huì)使數(shù)據(jù)看似正確，但加載的密鑰在這個(gè)系統(tǒng)中是無(wú)效的。鑒于更改固件或FPGA的復(fù)雜性，而且需要與主機(jī)保持兼容，因此固件或FPGA配置必須與原始版本完全一致。如果電路板在上電階段對(duì)DS28E50執(zhí)行質(zhì)詢-響應(yīng)認(rèn)證，則DS28E50生成的MAC將會(huì)與固件或FPGA計(jì)算的MAC不同。MAC不一致是電路板不可信的有力證據(jù)。所以，系統(tǒng)通過(guò)對(duì)電路板執(zhí)行質(zhì)詢-響應(yīng)序列就可檢測(cè)到克隆，并根據(jù)特定應(yīng)用采取相應(yīng)的措施。

在第二種情況下，電路板對(duì)主機(jī)系統(tǒng)進(jìn)行認(rèn)證。電路板可通過(guò)以下步驟驗(yàn)證主機(jī)的真實(shí)性：

生成一個(gè)質(zhì)詢，讓DS28E50計(jì)算一個(gè)質(zhì)詢-響應(yīng)認(rèn)證MAC。

將相同的MAC計(jì)算輸入數(shù)據(jù)（當(dāng)然密鑰除外）發(fā)送到網(wǎng)絡(luò)主機(jī)。主機(jī)隨后根據(jù)該數(shù)據(jù)及其自己的密鑰，計(jì)算并返回一個(gè)質(zhì)詢-響應(yīng)認(rèn)證MAC。

如果兩個(gè)MAC一致，則電路板可以認(rèn)定主機(jī)可信。

軟特性管理

電子系統(tǒng)的大小不一，從手持設(shè)備到占據(jù)多個(gè)機(jī)架的大型裝置，多種多樣。設(shè)備越大，開(kāi)發(fā)成本越高。為了控制成本，設(shè)計(jì)上傾向于使用有限種類的小型子系統(tǒng)（板卡）來(lái)構(gòu)建大型系統(tǒng)。在實(shí)際應(yīng)用中，并非子系統(tǒng)的所有特性都是必要的。相比在硬件上移除這些特性，保留電路板設(shè)計(jì)并通過(guò)控制軟件來(lái)禁用部分特性是更具成本效益的做法。然而，這種策略也帶來(lái)了新問(wèn)題：一些精明的客戶若需多個(gè)全功能系統(tǒng)，只需要僅購(gòu)買(mǎi)一個(gè)全功能單元和多個(gè)減配單元。然后通過(guò)復(fù)制軟件，使減配單元也能表現(xiàn)得如同全功能單元一樣，但所需支付的價(jià)格更低。這最終會(huì)使系統(tǒng)供應(yīng)商的利益受損。

在每個(gè)子系統(tǒng)的電路板上部署ADI公司的SHA-256設(shè)備（如DS28E25安全認(rèn)證器），可有效防止此類不當(dāng)做法，保護(hù)系統(tǒng)供應(yīng)商的利益。除了執(zhí)行質(zhì)詢-響應(yīng)認(rèn)證外，DS28E25還能將各種配置設(shè)置存儲(chǔ)在其用戶的EEPROM中。正如在數(shù)據(jù)安全部分所述，這些數(shù)據(jù)受到保護(hù)，未經(jīng)授權(quán)無(wú)法更改，系統(tǒng)供應(yīng)商因此享有完全控制權(quán)。系統(tǒng)設(shè)計(jì)人員可以酌情選擇以位圖或編碼字的形式存儲(chǔ)配置設(shè)置。

安全認(rèn)證設(shè)備概述

通用設(shè)備架構(gòu)

設(shè)備中的SHA引擎可以根據(jù)要執(zhí)行的操作，以三種方式之一運(yùn)行。無(wú)論何種情況，引擎都會(huì)接收輸入數(shù)據(jù)并計(jì)算MAC結(jié)果。對(duì)于每類操作，根據(jù)MAC結(jié)果的目標(biāo)用途，SHA引擎的輸入數(shù)據(jù)會(huì)有所差異?；趯?duì)稱密鑰的安全系統(tǒng)的基本要求是，對(duì)于任何SHA操作，主機(jī)必須知道或能夠計(jì)算出待認(rèn)證的附屬設(shè)備中存儲(chǔ)的密鑰。

注：鑒于安全認(rèn)證產(chǎn)品的安全性和應(yīng)用敏感性，本文不討論設(shè)備細(xì)節(jié)。簽署保密協(xié)議(NDA)后可獲取完整版的設(shè)備數(shù)據(jù)手冊(cè)，其中會(huì)提供這方面的信息。

質(zhì)詢-響應(yīng)認(rèn)證MAC

SHA-2或SHA-3安全認(rèn)證器的主要用途是質(zhì)詢-響應(yīng)認(rèn)證。主機(jī)發(fā)送一個(gè)隨機(jī)質(zhì)詢，并指示附屬設(shè)備根據(jù)質(zhì)詢、密鑰、用戶內(nèi)存和其他數(shù)據(jù)（這些數(shù)據(jù)共同構(gòu)成“消息”）計(jì)算MAC響應(yīng)（圖8）。

圖8.質(zhì)詢-響應(yīng)認(rèn)證MAC的數(shù)據(jù)流

計(jì)算完成后，附屬設(shè)備將其MAC發(fā)送給主機(jī)進(jìn)行驗(yàn)證。主機(jī)隨后使用有效的密鑰和附屬設(shè)備所用的消息數(shù)據(jù)再次計(jì)算MAC。如果它和從附屬設(shè)備接收到的MAC一致，就可以確認(rèn)該設(shè)備是可信的，因?yàn)橹挥姓放浼拍苷_響應(yīng)質(zhì)詢-響應(yīng)序列。質(zhì)詢必須基于隨機(jī)數(shù)據(jù)，這一點(diǎn)至關(guān)重要。如果質(zhì)詢永遠(yuǎn)不變，就會(huì)為重放攻擊提供可乘之機(jī)：攻擊者可以重放之前截獲的有效靜態(tài)MAC，替代由真實(shí)配件即時(shí)計(jì)算的MAC，從而繞過(guò)認(rèn)證機(jī)制。

數(shù)據(jù)安全

除了證明真實(shí)性外，我們還希望知道附屬設(shè)備中存儲(chǔ)的數(shù)據(jù)是否可信?；谶@一考量，安全認(rèn)證器中的EEPROM寫(xiě)入權(quán)限受到嚴(yán)格限制，以防止數(shù)據(jù)被篡改。

將數(shù)據(jù)從輸入緩沖區(qū)復(fù)制到EEPROM或控制寄存器之前，附屬設(shè)備會(huì)要求主機(jī)提供有效的寫(xiě)訪問(wèn)認(rèn)證MAC以證明其真實(shí)性。附屬設(shè)備根據(jù)其輸入緩沖存儲(chǔ)器中的新數(shù)據(jù)、其密鑰和其他數(shù)據(jù)計(jì)算此MAC，如圖9所示。

真實(shí)的主機(jī)知道或能夠計(jì)算密鑰，并能夠生成有效的寫(xiě)訪問(wèn)MAC。附屬設(shè)備在復(fù)制存儲(chǔ)命令期間接收到來(lái)自主機(jī)的MAC時(shí)，會(huì)將其與自己的計(jì)算結(jié)果進(jìn)行比較。只有當(dāng)兩個(gè)MAC一致時(shí)，數(shù)據(jù)才會(huì)從輸入緩沖區(qū)傳輸?shù)紼EPROM中的目標(biāo)位置。當(dāng)然，即使MAC正確，被設(shè)定為寫(xiě)保護(hù)的存儲(chǔ)頁(yè)面也是無(wú)法修改的。

圖9.寫(xiě)訪問(wèn)認(rèn)證MAC的數(shù)據(jù)流

密鑰保護(hù)

ADI公司安全認(rèn)證器的架構(gòu)允許將密鑰直接加載到設(shè)備中。密鑰受讀取保護(hù)機(jī)制的保障，必要時(shí)還可啟用寫(xiě)入保護(hù)，以徹底禁止其被修改。只要在設(shè)備生產(chǎn)現(xiàn)場(chǎng)的初次安裝期間確保對(duì)密鑰的訪問(wèn)是安全且受控的，該保護(hù)機(jī)制就能有效發(fā)揮作用。

有多種方式可提高密鑰的質(zhì)量：

讓附屬設(shè)備計(jì)算其密鑰。

讓附屬設(shè)備分多個(gè)階段在不同地點(diǎn)計(jì)算其密鑰。

在密鑰計(jì)算中通過(guò)納入唯一的設(shè)備ID號(hào)來(lái)創(chuàng)建設(shè)備專屬的密鑰。

或者方式2和3的組合。

如果每個(gè)安全認(rèn)證器獨(dú)立計(jì)算其密鑰，則只有密鑰的組成要素是已知的，而密鑰本身永遠(yuǎn)不會(huì)暴露。如果密鑰分多個(gè)階段在不同地點(diǎn)計(jì)算，則各地點(diǎn)僅知曉該密鑰的局部信息。這種方式可以有效控制對(duì)“最終密鑰”的知情范圍。如果密鑰是設(shè)備專屬的，則主機(jī)需要執(zhí)行額外的計(jì)算步驟，但在這種情況下，即便設(shè)備密鑰被意外泄露，潛在損害也會(huì)非常小。如果密鑰分多個(gè)階段計(jì)算且是設(shè)備專屬的，則可以實(shí)現(xiàn)盡可能高的保密性。然而，主機(jī)同配件一樣，也需要在不同地點(diǎn)設(shè)置，以防止系統(tǒng)保密性被破壞。

如果要求安全認(rèn)證器計(jì)算密鑰，則它會(huì)使用SHA引擎和設(shè)備專屬的數(shù)據(jù)項(xiàng)來(lái)計(jì)算MAC，如圖10所示。然后，它會(huì)使用MAC結(jié)果推導(dǎo)出新的密鑰。

圖10.新密鑰計(jì)算的數(shù)據(jù)流

結(jié)語(yǔ)

借助ADI公司的安全認(rèn)證解決方案，系統(tǒng)開(kāi)發(fā)商能夠有效防范配件或子系統(tǒng)的仿冒風(fēng)險(xiǎn)。此外，防篡改用戶存儲(chǔ)器提供了安全的方法來(lái)啟用或禁用系統(tǒng)的選配功能。一顆小巧而強(qiáng)大的硅芯片，可能成為撬動(dòng)企業(yè)利潤(rùn)增長(zhǎng)的關(guān)鍵。