RM新时代网站-首页

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

無需成為密碼學(xué)專家即可實(shí)施安全身份驗(yàn)證

星星科技指導(dǎo)員 ? 來源:ADI ? 作者:ADI ? 2023-01-23 16:33 ? 次閱讀

身份驗(yàn)證很重要。得益于現(xiàn)有的基于硅的解決方案,我們可以啟用身份驗(yàn)證,而無需成為密碼學(xué)實(shí)施方面的專家。

介紹

數(shù)字安全是當(dāng)今電子設(shè)計(jì)中最廣為人知的話題之一。當(dāng)工程師考慮安全性時(shí),加密可能是第一個(gè)想到的詞,只有少數(shù)工程師會(huì)想到身份驗(yàn)證。然而,身份驗(yàn)證是安全設(shè)備或交易的基本功能。

考慮家庭銀行業(yè)務(wù)方面的身份驗(yàn)證。顯然,您希望對(duì)余額和帳號(hào)等機(jī)密信息進(jìn)行加密。當(dāng)您的互聯(lián)網(wǎng)瀏覽器顯示帶有 https:// 的綠色鎖時(shí),就會(huì)發(fā)生這種情況。也就是說,互聯(lián)網(wǎng)瀏覽器在建立安全連接時(shí)首先檢查的是銀行網(wǎng)站是否真實(shí);換句話說,它對(duì)銀行網(wǎng)站進(jìn)行身份驗(yàn)證。如果沒有身份驗(yàn)證,您可能會(huì)將登錄名和密碼信息發(fā)送到模擬站點(diǎn),這確實(shí)是非常有害的,因?yàn)檫@些憑據(jù)可以進(jìn)一步重復(fù)使用,代表毫無戒心的銀行賬戶持有人運(yùn)行任何類型的未經(jīng)授權(quán)的交易。安全的互聯(lián)網(wǎng)瀏覽通常通過TLS / SSL協(xié)議實(shí)現(xiàn),除了加密之外,該協(xié)議還確保了真實(shí)性和機(jī)密性。

身份驗(yàn)證對(duì)于物聯(lián)網(wǎng)IoT) 應(yīng)用程序也很重要:不受信任的端點(diǎn)可能會(huì)使整個(gè)基礎(chǔ)架構(gòu)面臨風(fēng)險(xiǎn)。讓我們考慮連接到配電系統(tǒng)的智能電表。攻擊者破壞電網(wǎng)的一種簡(jiǎn)單方法是將病毒或惡意軟件加載到智能電表中。然后,受感染的電表可以向基礎(chǔ)設(shè)施發(fā)送虛假消息,反映功耗與實(shí)際功耗大不相同,這反過來會(huì)導(dǎo)致電網(wǎng)變得不平衡。如果電網(wǎng)超報(bào),將導(dǎo)致看似多余的電力轉(zhuǎn)移到其他地方,但如果電網(wǎng)漏報(bào),則會(huì)導(dǎo)致電力激增;在最壞的情況下,攻擊可能會(huì)通過破壞電網(wǎng)平衡來引發(fā)全面停電。為了避免這種情況,必須驗(yàn)證儀表的硬件及其固件是否為正品。驗(yàn)證固件的過程稱為安全啟動(dòng)。

實(shí)現(xiàn)有效的身份驗(yàn)證方法

現(xiàn)在我們了解了它的重要性,讓我們討論如何實(shí)現(xiàn)身份驗(yàn)證。最簡(jiǎn)單的身份驗(yàn)證方法是使用密碼。在我們的智能電表示例中,設(shè)備可以向電網(wǎng)控制系統(tǒng)發(fā)送密碼。服務(wù)器將驗(yàn)證密碼,然后授權(quán)進(jìn)一步的交易。雖然這種方法很容易理解,但它并不是迄今為止最好的方法。攻擊者可以輕松監(jiān)視通信,記錄密碼,并重復(fù)使用它來驗(yàn)證非正版設(shè)備。因此,我們認(rèn)為基于密碼的身份驗(yàn)證較弱。

在數(shù)字世界中執(zhí)行身份驗(yàn)證的更好方法是質(zhì)詢-響應(yīng)方法。讓我們看一下質(zhì)詢-響應(yīng)方法的兩種形式:一種基于對(duì)稱密碼,另一種基于非對(duì)稱密碼。

對(duì)稱密碼認(rèn)證

基于對(duì)稱加密的身份驗(yàn)證依賴于共享密鑰。主機(jī)和要進(jìn)行身份驗(yàn)證的設(shè)備擁有相同的密鑰號(hào)碼。主機(jī)向設(shè)備發(fā)送一個(gè)隨機(jī)數(shù),即質(zhì)詢。設(shè)備計(jì)算數(shù)字簽名作為密鑰和質(zhì)詢的函數(shù),并將其發(fā)送回主機(jī)。然后,主機(jī)運(yùn)行相同的計(jì)算并比較結(jié)果。如果兩個(gè)計(jì)算匹配,則設(shè)備經(jīng)過身份驗(yàn)證(圖 1)。為了確保結(jié)果無法被模仿,必須使用具有足夠數(shù)學(xué)屬性的函數(shù)。例如,如果沒有強(qiáng)制計(jì)算結(jié)果,則無法檢索機(jī)密。安全哈希函數(shù)(如 SHA-256)支持這些要求。對(duì)于質(zhì)詢-響應(yīng)方法,設(shè)備在不泄露秘密的情況下證明它知道秘密。即使攻擊者攔截了通信,攻擊者仍然無法訪問共享密鑰。

poYBAGO74bGABj69AABXI9tYMr4078.png

圖1.基于對(duì)稱加密的身份驗(yàn)證依賴于主機(jī)和設(shè)備之間共享的密鑰編號(hào)。

非對(duì)稱加密身份驗(yàn)證

基于非對(duì)稱加密的身份驗(yàn)證依賴于兩個(gè)密鑰:私鑰和公鑰。私鑰只有要進(jìn)行身份驗(yàn)證的設(shè)備知道,而公鑰可以透露給任何愿意對(duì)設(shè)備進(jìn)行身份驗(yàn)證的實(shí)體。與前面討論的方法一樣,主機(jī)向設(shè)備發(fā)送質(zhì)詢。設(shè)備根據(jù)質(zhì)詢和私鑰計(jì)算簽名,并將其發(fā)送回主機(jī)(圖 2)。但在這里,主機(jī)使用公鑰來驗(yàn)證簽名。同樣重要的是,用于計(jì)算簽名的函數(shù)具有某些數(shù)學(xué)屬性。非對(duì)稱方案最常用的函數(shù)是 RSA 和 ECDSA。在這里,該設(shè)備也證明它知道一個(gè)秘密,私鑰,而不透露它。

pYYBAGO74aqAd4xIAABl_I-IH4M575.png

圖2.非對(duì)稱密鑰身份驗(yàn)證依賴于公鑰和私鑰。

為什么安全IC有利于身份驗(yàn)證

質(zhì)詢-響應(yīng)身份驗(yàn)證始終需要對(duì)對(duì)象進(jìn)行身份驗(yàn)證才能保存機(jī)密。在對(duì)稱加密中,這是主機(jī)和設(shè)備之間的共享密鑰。對(duì)于非對(duì)稱加密,這是私鑰。無論如何,當(dāng)泄露機(jī)密時(shí),質(zhì)詢-響應(yīng)身份驗(yàn)證帶來的安全性會(huì)中斷。這就是安全I(xiàn)C可以提供幫助的地方。安全I(xiàn)C的一個(gè)基本特性是提供對(duì)密鑰和機(jī)密的強(qiáng)大保護(hù)。

Maxim提供三系列支持身份驗(yàn)證的解決方案:

認(rèn)證 IC:這些是可配置但功能固定的設(shè)備,可提供最經(jīng)濟(jì)實(shí)惠的方式來實(shí)現(xiàn)質(zhì)詢-響應(yīng)身份驗(yàn)證,以及一組緊湊的加密操作。

安全微控制器除了支持質(zhì)詢-響應(yīng)身份驗(yàn)證外,這些設(shè)備還提供一整套加密功能,包括加密。

低功耗微控制器:雖然這些產(chǎn)品并非專門針對(duì)安全性,但它們具有啟用強(qiáng)身份驗(yàn)證所需的所有構(gòu)建塊。

認(rèn)證集成電路

在身份驗(yàn)證 IC 中,基于 SHA-256 的產(chǎn)品支持使用共享密鑰進(jìn)行身份驗(yàn)證(圖 3),而基于 ECDSA 的 IC 使用私鑰/公鑰對(duì)(圖 4)。除加密引擎外,這些產(chǎn)品還具有板載EEPROM存儲(chǔ)器。此存儲(chǔ)器是可配置的,可用于存儲(chǔ)經(jīng)過身份驗(yàn)證的用戶數(shù)據(jù),例如傳感器的校準(zhǔn)信息。

基于 SHA-256 的產(chǎn)品是最經(jīng)濟(jì)實(shí)惠的解決方案。雖然它們啟用相互身份驗(yàn)證,但共享密鑰的分發(fā)需要一些預(yù)防措施,以便在設(shè)備制造和設(shè)置期間不會(huì)公開密鑰。這個(gè)秘密可以在Maxim工廠進(jìn)行編程,以規(guī)避這一缺點(diǎn)。

poYBAGO74aOAAMFQAABbDBNFGBc896.png

圖3.SHA-256 安全身份驗(yàn)證基于共享密鑰。

Maxim的DS28E15/DS28E22/DS28E25 IC基于SHA-256技術(shù),內(nèi)部存儲(chǔ)器大小不同。由于主機(jī)端和器件端存儲(chǔ)相同的密鑰,因此建議在主機(jī)端使用DS2465等協(xié)處理器

基于非對(duì)稱加密的產(chǎn)品(如DS28C36和DS28E35)提供了更靈活的方案,因?yàn)椴恍枰Wo(hù)密鑰防止主機(jī)端泄露。然而,為了減輕公鑰數(shù)學(xué)運(yùn)算的負(fù)擔(dān)并提供額外的安全操作,可以使用DS2476(DS28C36的配套IC)等主機(jī)側(cè)協(xié)處理器來簡(jiǎn)化系統(tǒng)方案的開發(fā)。

pYYBAGO74Z2AWNCXAABdPk20Kog671.png

圖4.基于 ECDSA 的身份驗(yàn)證依賴于私鑰/公鑰對(duì)。

支持對(duì)稱和非對(duì)稱加密的安全微控制器

Maxim提供安全的微控制器,從MAX32590(ARM9工作頻率為384MHz)應(yīng)用級(jí)處理器(可運(yùn)行Linux等高級(jí)操作系統(tǒng))到小尺寸協(xié)處理器(如MAX32555或MAXQ1061)。

這些微控制器支持用于數(shù)字簽名和身份驗(yàn)證的對(duì)稱和非對(duì)稱加密以及加密算法。它們具有用于 SHA、RSA、ECDSA 和 AES 的硬件加速器,以及一個(gè)完整的加密庫,提供符合標(biāo)準(zhǔn)的交鑰匙 API。它們具有內(nèi)置的安全啟動(dòng)功能,因此始終保證固件的真實(shí)性。由于其全面的加密功能集,它們可以處理多種身份驗(yàn)證方案。

MAXQ1061為協(xié)處理器,不僅支持認(rèn)證,還處理TLS/SSL標(biāo)準(zhǔn)IP安全通信協(xié)議中最關(guān)鍵的步驟。在芯片內(nèi)處理TLS協(xié)議可提高安全級(jí)別,并將主處理器從計(jì)算密集型任務(wù)中卸載出來。這對(duì)于資源受限的嵌入式系統(tǒng)非常有價(jià)值。

低功耗微控制器

MAX32626等低功耗微控制器面向可穿戴設(shè)備,因此不是“以安全為中心”的IC。然而,隨著攻擊變得越來越頻繁,該產(chǎn)品在設(shè)計(jì)時(shí)考慮到了未來的安全挑戰(zhàn)。因此,MAX32626具有支持認(rèn)證的硬件信任保護(hù)單元以及用于加密和內(nèi)置安全啟動(dòng)的硬件AES。

審核編輯:郭婷

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 微控制器
    +關(guān)注

    關(guān)注

    48

    文章

    7542

    瀏覽量

    151316
  • 處理器
    +關(guān)注

    關(guān)注

    68

    文章

    19259

    瀏覽量

    229651
  • 智能電表
    +關(guān)注

    關(guān)注

    25

    文章

    933

    瀏覽量

    109026
收藏 人收藏

    評(píng)論

    相關(guān)推薦

    無線身份驗(yàn)證的門禁控制系統(tǒng)設(shè)計(jì)方案

    的網(wǎng)絡(luò),可提供身份驗(yàn)證傳輸框架,實(shí)現(xiàn)安全產(chǎn)品和服務(wù)的交付。它是一種用于創(chuàng)建、交付和管理安全身份驗(yàn)證的綜合性框架。簡(jiǎn)單來說,該基礎(chǔ)架構(gòu)是一個(gè)中央安全庫,通過
    發(fā)表于 11-05 11:11

    Vivado和SDK身份驗(yàn)證錯(cuò)誤

    嘗試運(yùn)行SDK或Vivado的安裝程序時(shí),出現(xiàn)“身份驗(yàn)證錯(cuò)誤:發(fā)生了未知異常。請(qǐng)驗(yàn)證您的用戶ID和密碼,然后重試”我可以登錄該站點(diǎn),另一位同事可以登錄該站點(diǎn)。我們可以下載安裝程序,但是當(dāng)我們嘗試安裝
    發(fā)表于 01-02 14:55

    什么是密碼學(xué)中的DES

    得不提一個(gè)東西——密碼學(xué)(是不是聽起來頭皮發(fā)麻心跳加速),穩(wěn)住穩(wěn)住,老司機(jī)上線帶你學(xué)。今天給大家say&see什么是密碼學(xué)中的DES。簡(jiǎn)介?DES:****English Name...
    發(fā)表于 07-22 07:16

    物聯(lián)網(wǎng)安全機(jī)制密碼學(xué)基礎(chǔ)

    Chp9 物聯(lián)網(wǎng)安全機(jī)制密碼學(xué)基礎(chǔ)(1)加密模型密碼是通信雙方按照約定的法則進(jìn)行信息變換的一種手段。依照這些信息變換法則,變明文為密文,稱為加密變換;變密文為明文,稱為解密變換。信息稱為明文,明文
    發(fā)表于 07-22 06:31

    什么是密碼身份驗(yàn)證協(xié)議

    什么是密碼身份驗(yàn)證協(xié)議 PAP是一種身份驗(yàn)證協(xié)議,是一種最不安全身份證協(xié)議,是一種當(dāng)客戶端不支持其它
    發(fā)表于 04-03 16:07 ?1602次閱讀

    Nuggets與物信鏈合作,用區(qū)塊鏈技術(shù)為物聯(lián)網(wǎng)提供安全身份驗(yàn)證

    通過運(yùn)用區(qū)塊鏈技術(shù),Nuggets讓消費(fèi)者重新獲得對(duì)其個(gè)人數(shù)據(jù)的掌控權(quán),在無需分享個(gè)人數(shù)據(jù)的前提下,即可輕松便捷地完成支付和身份驗(yàn)證過程。
    發(fā)表于 08-12 10:12 ?1839次閱讀

    區(qū)塊鏈的底層技術(shù)是密碼學(xué)

    密碼學(xué)是區(qū)塊鏈的底層技術(shù),沒有密碼學(xué)就沒有區(qū)塊鏈,沒有密碼學(xué)支撐的區(qū)塊鏈不可能安全
    發(fā)表于 11-22 11:22 ?2087次閱讀

    區(qū)塊鏈密碼學(xué)的基礎(chǔ)內(nèi)容介紹

    密碼學(xué)是數(shù)學(xué)和計(jì)算機(jī)科學(xué)的分支,同時(shí)其原理大量涉及信息論。密碼學(xué)不只關(guān)注信息保密問題,還同時(shí)涉及信息完整性驗(yàn)證(消息驗(yàn)證碼)、信息發(fā)布的不可抵賴性(數(shù)字簽名)、以及在分布式計(jì)算中產(chǎn)生的
    發(fā)表于 05-08 10:33 ?1208次閱讀

    為設(shè)計(jì)選擇正確的安全身份驗(yàn)證方法

      當(dāng)然,有不同級(jí)別的有效身份驗(yàn)證。以打印機(jī)墨盒為例。為了驗(yàn)證它的真實(shí)性,墨盒可以發(fā)送一個(gè)密碼。但是這種方法的缺點(diǎn)是中間人可以在密碼被傳輸時(shí)捕獲并重新使用它。質(zhì)詢-響應(yīng)
    的頭像 發(fā)表于 05-24 10:11 ?1288次閱讀
    為設(shè)計(jì)選擇正確的<b class='flag-5'>安全身份驗(yàn)證</b>方法

    基礎(chǔ)密碼學(xué)的概念介紹

    密碼學(xué)和信息安全在如今的互聯(lián)網(wǎng)行業(yè)當(dāng)中非常重要,相關(guān)的理論知識(shí)和算法也在計(jì)算機(jī)系統(tǒng)的方方面面都被用到。雖然我們不一定會(huì)從事安全相關(guān)的工作,但對(duì)密碼學(xué)以及信息
    的頭像 發(fā)表于 08-10 14:32 ?1487次閱讀

    無需成為密碼學(xué)專家即可實(shí)施安全身份驗(yàn)證

    發(fā)表于 11-16 22:30 ?0次下載
    <b class='flag-5'>無需</b><b class='flag-5'>成為</b><b class='flag-5'>密碼學(xué)</b><b class='flag-5'>專家</b><b class='flag-5'>即可</b><b class='flag-5'>實(shí)施</b><b class='flag-5'>安全身份驗(yàn)證</b>

    使用DeepCover安全身份驗(yàn)證器保護(hù)您的FPGA系統(tǒng)

    本應(yīng)用筆記介紹了設(shè)計(jì)人員如何保護(hù)其 Xilinx FPGA 實(shí)現(xiàn)、保護(hù) IP 并防止附加外設(shè)偽造。設(shè)計(jì)人員可以使用本應(yīng)用筆記中描述的參考設(shè)計(jì)之一來實(shí)現(xiàn)這種安全性。這些設(shè)計(jì)在FPGA和DeepCover安全身份驗(yàn)證器之間實(shí)現(xiàn)了SHA-256或ECDSA質(zhì)詢和響應(yīng)
    的頭像 發(fā)表于 02-20 11:07 ?1153次閱讀
    使用DeepCover<b class='flag-5'>安全身份驗(yàn)證</b>器保護(hù)您的FPGA系統(tǒng)

    無需成為密碼學(xué)專家即可實(shí)施安全身份驗(yàn)證

    身份驗(yàn)證對(duì)于物聯(lián)網(wǎng) (IoT) 應(yīng)用程序也很重要:不受信任的端點(diǎn)可能會(huì)使整個(gè)基礎(chǔ)架構(gòu)面臨風(fēng)險(xiǎn)。讓我們考慮連接到配電系統(tǒng)的智能電表。攻擊者破壞電網(wǎng)的一種簡(jiǎn)單方法是將病毒或惡意軟件加載到智能電表中。然后,受感染的電表可以向基礎(chǔ)設(shè)施發(fā)送虛假消息,反映功耗與實(shí)際功耗大不相同,這反過來會(huì)導(dǎo)致電網(wǎng)變得不平衡。
    的頭像 發(fā)表于 06-26 15:34 ?443次閱讀
    <b class='flag-5'>無需</b><b class='flag-5'>成為</b><b class='flag-5'>密碼學(xué)</b><b class='flag-5'>專家</b><b class='flag-5'>即可</b><b class='flag-5'>實(shí)施</b><b class='flag-5'>安全身份驗(yàn)證</b>

    是什么讓密碼學(xué)更容易?安全認(rèn)證器和協(xié)處理器

    密碼學(xué)提供了針對(duì)安全威脅的強(qiáng)大保護(hù),但并非每個(gè)嵌入式設(shè)計(jì)人員都是密碼學(xué)專家。為了給產(chǎn)品開發(fā)工程師提供一條快速了解該主題基礎(chǔ)知識(shí)的途徑,我們創(chuàng)建了一本
    的頭像 發(fā)表于 06-27 17:24 ?740次閱讀
    是什么讓<b class='flag-5'>密碼學(xué)</b>更容易?<b class='flag-5'>安全</b>認(rèn)證器和協(xié)處理器

    芯科科技領(lǐng)先提供CBAP解決方案支持基于證書的身份驗(yàn)證和配對(duì)

    ? “基于證書的身份驗(yàn)證和配對(duì)(CBAP)”有助于簡(jiǎn)化低功耗藍(lán)牙(BluetoothLE)設(shè)備的身份驗(yàn)證和配對(duì)過程。它具有內(nèi)置的安全功能,無需使用二維碼、
    的頭像 發(fā)表于 06-04 11:35 ?684次閱讀
    RM新时代网站-首页