SHA-256主/從安全認(rèn)證系統(tǒng)工作原理

數(shù)據(jù)保護(hù)（安全認(rèn)證寫操作）

除有效性驗(yàn)證以外，多數(shù)系統(tǒng)還需要確保安全認(rèn)證器中儲(chǔ)存的數(shù)據(jù)可信。出于這一考慮，可對(duì)安全認(rèn)證器中的部分或全部EEPROM進(jìn)行“安全保護(hù)”。如果激活安全保護(hù)，在執(zhí)行存儲(chǔ)器寫操作時(shí)，要求主機(jī)向安全認(rèn)證器提供主機(jī)安全認(rèn)證MAC，證明自身的有效性。

主機(jī)安全認(rèn)證MAC是利用新的存儲(chǔ)器數(shù)據(jù)、已有存儲(chǔ)器數(shù)據(jù)、安全認(rèn)證器的唯一密鑰以及ROM ID、附加數(shù)據(jù)計(jì)算得到的。安全認(rèn)證器使用自身的密鑰按照相同方式計(jì)算一個(gè)MAC.

合法主機(jī)重建安全認(rèn)證器的密鑰，能夠生成有效的寫保護(hù)MAC.接收到來自主機(jī)的MAC時(shí)，安全認(rèn)證器將其與自身的計(jì)算結(jié)果進(jìn)行比較。只有兩個(gè)MAC相匹配時(shí)，才允許將數(shù)據(jù)寫入EEPROM.即使MAC正確，也不能更改受寫保護(hù)的用戶存儲(chǔ)區(qū)域（圖4）。

密鑰保護(hù)

安全認(rèn)證器的密鑰和協(xié)處理器的主密鑰通過硬件設(shè)計(jì)進(jìn)行讀保護(hù)。如果需要，密鑰可采取寫保護(hù)，防止利用已知密鑰代替未知密鑰來篡改安全認(rèn)證器的存儲(chǔ)數(shù)據(jù)。綁定數(shù)據(jù)一般儲(chǔ)存在協(xié)處理器的存儲(chǔ)器內(nèi)，應(yīng)在安裝之后進(jìn)行讀保護(hù)。只要在受信任的生產(chǎn)環(huán)境下針對(duì)應(yīng)用設(shè)置協(xié)處理器和安全認(rèn)證器，這種級(jí)別的保護(hù)就非常有效。

DeepCover

DeepCover技術(shù)提供強(qiáng)大、經(jīng)濟(jì)的保護(hù)方案，可防止試圖偵測(cè)密鑰的芯片級(jí)攻擊。DeepCover技術(shù)包括多種監(jiān)測(cè)芯片級(jí)篡改事件的有源電路，采用先進(jìn)的芯片級(jí)布線、布局技術(shù)，以及專利技術(shù)，有效抵御各種攻擊性操作。

雙向安全認(rèn)證

上述系統(tǒng)的密鑰認(rèn)證支持質(zhì)詢-應(yīng)答安全認(rèn)證和寫保護(hù)操作（主機(jī)安全認(rèn)證）。整個(gè)用戶存儲(chǔ)器可用于質(zhì)詢-應(yīng)答安全認(rèn)證，雙向安全認(rèn)證適用于儲(chǔ)存安全數(shù)據(jù)（安全認(rèn)證寫操作）的存儲(chǔ)器區(qū)域。

總結(jié)

SHA-256的密鑰、質(zhì)詢和MAC均為256位，相對(duì)于原來的SHA-1安全認(rèn)證方案有了顯著改進(jìn)。本文介紹了最新的安全認(rèn)證系統(tǒng)，該系統(tǒng)對(duì)主機(jī)系統(tǒng)（具有1-Wire主機(jī)的SHA-256協(xié)處理器）與傳感器/外設(shè)模塊（1-Wire SHA-256安全認(rèn)證器）的匹配性進(jìn)行驗(yàn)證。協(xié)處理器內(nèi)部的1-Wire主機(jī)代替主機(jī)執(zhí)行實(shí)時(shí)1-Wire通信。提供三種存儲(chǔ)器配置的DeepCover 1-WireSHA-256安全認(rèn)證器，采用3.3V和1.8V供電，也可選擇采用3.3V和1.8V供電的協(xié)處理器/主機(jī)，支持三種安全認(rèn)證器件。SHA-256安全認(rèn)證的實(shí)施方案比以往任何時(shí)候都簡(jiǎn)單。