面向配件生態(tài)系統(tǒng)和一次性用品應(yīng)用的高性價比 安全身份驗證解決方案

Microchip Technology Inc.

安全及計算產(chǎn)品部

市場經(jīng)理

Xavier Bignalet

如果您對單個配件的身份驗證、規(guī)范化電子配件生態(tài)系統(tǒng)的構(gòu)建或一次性用品的假冒偽劣處理感興趣，歡迎閱讀本篇博文。我們將介紹最新推出的高性價比安全身份驗證IC?？纯此鼈兲峁┝四男┌踩匦詠韼椭鷮?shí)現(xiàn)反威脅模型。

面向一次性用品和配件生態(tài)系統(tǒng)的成本優(yōu)化型安全身份驗證 IC

不知您是否有注意到，其實(shí)我們每天都在經(jīng)歷著各種安全身份驗證過程。例如，當(dāng)您發(fā)送電子郵件、將手機(jī)插入充電器或打印文檔時，后臺都有在進(jìn)行身份驗證。

本篇博文將介紹我們新推出的高性價比安全身份驗證 IC 提供了哪些有價值的安全特性來幫助您的威脅模型達(dá)成目標(biāo)。

為什么需要對配件/一次性用品進(jìn)行身份驗證？

對于一次性用品和配件生態(tài)系統(tǒng)而言，身份驗證之所以至關(guān)重要，有幾點(diǎn)原因值得注意。第一點(diǎn)是安全性——盡管系統(tǒng)組件有時可能會運(yùn)行比較危險的功能，但身份驗證可以證明系統(tǒng)是正品，確保安全工作。第二點(diǎn)是互操作性。生態(tài)系統(tǒng)之所以能夠正常工作離不開內(nèi)部各組件之間的相互通信。鑒于此，非常需要通過身份驗證來對生態(tài)系統(tǒng)進(jìn)行控制。這樣一來，無論您的系統(tǒng)內(nèi)的各個組件采用自家品牌還是第三方產(chǎn)品，都能夠保證為用戶提供一致的使用體驗。近年來，假冒偽劣產(chǎn)品呈現(xiàn)不斷上升的勢頭，亟需加強(qiáng)防范，系統(tǒng)中需要引入驗證機(jī)制，這是第三點(diǎn)。第四點(diǎn)是上面提到的用戶體驗。您可以通過固件中的 IP 為每位用戶提供一如既往的獨(dú)特體驗。以上四點(diǎn)對于您的收入保護(hù)和品牌聲譽(yù)將有著深遠(yuǎn)的影響。

配件/一次性用品的細(xì)分市場

配件/一次性用品技術(shù)覆蓋多個細(xì)分市場。在醫(yī)療細(xì)分市場，這類產(chǎn)品包括線纜、呼吸管、傳感器、墨盒和貼片等。在消費(fèi)者細(xì)分市場，這類產(chǎn)品包括化妝品、電子煙和印刷產(chǎn)品，以及香薰和 Qi? 1.3 無線充電，后兩項也是汽車細(xì)分市場的常見產(chǎn)品。在汽車細(xì)分市場，這類產(chǎn)品還包括原始設(shè)備制造商（OEM）或第三方電子卡和電動車電池。在工業(yè)細(xì)分市場，這類產(chǎn)品包括第三方配件、維護(hù)服務(wù)和 OEM 生態(tài)系統(tǒng)控制。在電動車細(xì)分市場，這類產(chǎn)品包括電動自行車電子卡、電池更換和電池身份驗證。在數(shù)據(jù)中心細(xì)分市場，這類產(chǎn)品包括與 OEM 或第三方卡身份驗證相關(guān)的技術(shù)，用于對制造環(huán)節(jié)進(jìn)行加密控制。配件/一次性用品生態(tài)系統(tǒng)真可謂無處不在，我們必須針對所有細(xì)分市場的產(chǎn)品提供身份驗證解決方案。

高級產(chǎn)品組合

我們的身份驗證產(chǎn)品組合中包含多款高級安全產(chǎn)品。在我們的硅產(chǎn)品中，我們提供了CryptoAuthentication?（ATECC608）器件、CryptoAutomotive?（TA100）安全 IC、可信平臺模塊（TPM）（ATTPM20P）和平臺可信根。對于引導(dǎo)流程，我們提供了可信平臺，其中包括Trust&GO、TrustFLEX 和 TrustCUSTOM。通過這三個安全元件，您可以利用我們的Microchip 安全配置服務(wù)來選擇所需的安全身份驗證 IC、想要配置的憑據(jù)，以及最適合您需求的最小起訂量（MOQ）。該平臺將全程陪伴您完成從原型設(shè)計到生產(chǎn)的整個過程。

安全身份驗證的工作原理

安全身份驗證 IC 可用作任何單片機(jī)（MCU）的配套器件。其作用類似于一個保管機(jī)密信息的保險庫。

機(jī)密信息（密鑰、證書和數(shù)據(jù)）在 Microchip 安全工廠內(nèi)生產(chǎn)器件期間被配置到器件的安全邊界內(nèi)。這些機(jī)密信息受保護(hù)，不會暴露，并由 Microchip 的安全配置過程進(jìn)行管理。

圖 1：安全身份驗證過程

主機(jī) MCU 向即將托管機(jī)密信息密鑰并擁有加密引擎的安全身份驗證 IC 發(fā)送隨機(jī)質(zhì)詢。隨機(jī)質(zhì)詢與密鑰一起饋入加密引擎中以創(chuàng)建響應(yīng)。

不斷擴(kuò)充的產(chǎn)品組合

圖 2：Microchip 產(chǎn)品組合

我們的產(chǎn)品組合最近迎來了幾款新的解決方案。在汽車市場，我們推出了 TA010。對于配件和一次性用品，請查看我們新推出的 ECC204 以及 SHA104/SHA105、SHA106 和ECC206。

這些新器件旨在提供最小可行性的加密加速器，同時保持較小的存儲器空間，從而優(yōu)化成本。因此，上述器件僅支持 ECDSA 簽名和 HMAC/SHA256 等算法。如需更完備的加速器，請查看 TA100 和 ATECC608 器件。

對稱身份驗證

對稱身份驗證是最簡單的一種身份驗證，主機(jī)只需要一個機(jī)密信息密鑰就可以對客戶端（一次性用品/配件）進(jìn)行身份驗證。

圖 3：對稱身份驗證的基本原理

我們將采用通俗易懂的方式進(jìn)行解釋。以大腦傳感器和主機(jī)為例。兩側(cè)都配有安全系統(tǒng)，左側(cè)為 SHA105，右側(cè)為SHA104。主機(jī)向傳感器發(fā)送質(zhì)詢，以運(yùn)行 SHA256 算法來創(chuàng)建摘要或響應(yīng)。兩側(cè)都使用對稱密鑰。配件/一次性用品所作出的響應(yīng)隨后返回主機(jī)進(jìn)行比較，確保兩個響應(yīng)完全相同才能接收來自傳感器的信息。

此外，使用對稱密鑰多樣化可以更好地實(shí)現(xiàn)這一目標(biāo)。因為每個配件/一次性用品都有惟一的對稱密鑰，這有效降低了偽造每個密鑰和暴露整個系統(tǒng)的風(fēng)險。

非對稱身份驗證

非對稱身份驗證（也稱為公鑰加密）使用兩種類型的密鑰（公鑰/私鑰對）進(jìn)行身份驗證。

圖 4：非對稱身份驗證

在這種情況下，我們可以假設(shè)客戶與設(shè)備之間已經(jīng)建立了認(rèn)證（例如，類似于 Qi1.3 標(biāo)準(zhǔn)認(rèn)證），然后現(xiàn)在我們來看一下在嵌入式系統(tǒng)中，質(zhì)詢響應(yīng)是如何發(fā)生的。主機(jī)中有簽名人公鑰，配件中有設(shè)備公鑰和簽名。簽名是通過私鑰對隨機(jī)質(zhì)詢執(zhí)行的 ECDSA簽名操作的輸出。設(shè)備公鑰通過簽名人公鑰進(jìn)行驗證，設(shè)備公鑰本身用于驗證簽名。之后，系統(tǒng)可以繼續(xù)執(zhí)行其操作并接受進(jìn)一步的信息。

圖 5：使用根公鑰的非對稱身份驗證

這種情況稍微復(fù)雜一些，因為我們現(xiàn)在添加了一個根公鑰或 OEM 公鑰。我們需要驗證每個階段的公鑰，從簽名人公鑰（通過根公鑰驗證）到設(shè)備公鑰（通過簽名人公鑰驗證），并且需要驗證簽名是否合法。一旦系統(tǒng)確認(rèn)簽名正確，即可進(jìn)入下一步。

寄生電源：從 3 引腳縮減為 2 引腳

當(dāng)封裝中的引腳數(shù)受限時，寄生電源至關(guān)重要。我們在器件前面添加了一個集成電容，它能夠儲存足夠的電能來運(yùn)行身份驗證計算并提供相關(guān)的響應(yīng)。該電容使得從 3 引腳縮減為 2 引腳成為可能。一個引腳用作數(shù)據(jù)和電源引腳，即用于通信和供電；另一個引腳用作接地引腳。引腳數(shù)量得到縮減后，便無需在一次性用品中使用 PCB，從而降低系統(tǒng)級成本并簡化實(shí)現(xiàn)。

安全密鑰配置服務(wù)

Microchip 工廠配有硬件安全模塊（HSM），我們客戶的設(shè)備都是在此進(jìn)行加密操作。我們可以大量承接不同客戶的項目，并為其配置密鑰以及其他需要保密的數(shù)據(jù)。可信平臺將為您提供可用選項的概覽。

可信平臺設(shè)計套件

我們的 DM320118 是幫助您入門的基礎(chǔ)工具包，因為它可以與可信平臺設(shè)計套件（TPDS）和其他軟件工具搭配使用。務(wù)必要選用適合您的附加板。另外，我們還提供插座附加板。使用 TPDS 可以訪問有關(guān)對稱/非對稱身份驗證以及 Qi 1.3 的用例教程。此外，TPDS 還提供 C 代碼示例，精選安全身份驗證 IC 的配置器，以及在 Microchip 安全配置服務(wù)中完成引導(dǎo)流程所需的實(shí)用程序。

結(jié)語

我們的產(chǎn)品組合始終致力于讓您更輕松地進(jìn)行安全身份驗證，使用簡單的工具集進(jìn)行快速開發(fā)，以及利用電子商務(wù)商店簡化流程。我們的產(chǎn)品適合大眾市場，支持低MoQ，包括與 CryptoAuthLib 無關(guān)的配置和架構(gòu)。

如需深入了解安全身份驗證，請一定要觀看我們的 2023 設(shè)計周會議。如需了解更多信息，請訪問我們的安全身份驗證網(wǎng)頁。