面向配件生態(tài)系統和一次性用品應用的高性?xún)r(jià)比 安全身份驗證解決方案

Microchip Technology Inc.

安全及計算產(chǎn)品部

市場(chǎng)經(jīng)理

Xavier Bignalet

如果您對單個(gè)配件的身份驗證、規范化電子配件生態(tài)系統的構建或一次性用品的假冒偽劣處理感興趣，歡迎閱讀本篇博文。我們將介紹最新推出的高性?xún)r(jià)比安全身份驗證IC?？纯此鼈兲峁┝四男┌踩匦詠?lái)幫助您實(shí)現反威脅模型。

面向一次性用品和配件生態(tài)系統的成本優(yōu)化型安全身份驗證 IC

不知您是否有注意到，其實(shí)我們每天都在經(jīng)歷著(zhù)各種安全身份驗證過(guò)程。例如，當您發(fā)送電子郵件、將手機插入充電器或打印文檔時(shí)，后臺都有在進(jìn)行身份驗證。

本篇博文將介紹我們新推出的高性?xún)r(jià)比安全身份驗證 IC 提供了哪些有價(jià)值的安全特性來(lái)幫助您的威脅模型達成目標。

為什么需要對配件/一次性用品進(jìn)行身份驗證？

對于一次性用品和配件生態(tài)系統而言，身份驗證之所以至關(guān)重要，有幾點(diǎn)原因值得注意。第一點(diǎn)是安全性——盡管系統組件有時(shí)可能會(huì )運行比較危險的功能，但身份驗證可以證明系統是正品，確保安全工作。第二點(diǎn)是互操作性。生態(tài)系統之所以能夠正常工作離不開(kāi)內部各組件之間的相互通信。鑒于此，非常需要通過(guò)身份驗證來(lái)對生態(tài)系統進(jìn)行控制。這樣一來(lái)，無(wú)論您的系統內的各個(gè)組件采用自家品牌還是第三方產(chǎn)品，都能夠保證為用戶(hù)提供一致的使用體驗。近年來(lái)，假冒偽劣產(chǎn)品呈現不斷上升的勢頭，亟需加強防范，系統中需要引入驗證機制，這是第三點(diǎn)。第四點(diǎn)是上面提到的用戶(hù)體驗。您可以通過(guò)固件中的 IP 為每位用戶(hù)提供一如既往的獨特體驗。以上四點(diǎn)對于您的收入保護和品牌聲譽(yù)將有著(zhù)深遠的影響。

配件/一次性用品的細分市場(chǎng)

配件/一次性用品技術(shù)覆蓋多個(gè)細分市場(chǎng)。在醫療細分市場(chǎng)，這類(lèi)產(chǎn)品包括線(xiàn)纜、呼吸管、傳感器、墨盒和貼片等。在消費者細分市場(chǎng)，這類(lèi)產(chǎn)品包括化妝品、電子煙和印刷產(chǎn)品，以及香薰和 Qi? 1.3 無(wú)線(xiàn)充電，后兩項也是汽車(chē)細分市場(chǎng)的常見(jiàn)產(chǎn)品。在汽車(chē)細分市場(chǎng)，這類(lèi)產(chǎn)品還包括原始設備制造商（OEM）或第三方電子卡和電動(dòng)車(chē)電池。在工業(yè)細分市場(chǎng)，這類(lèi)產(chǎn)品包括第三方配件、維護服務(wù)和 OEM 生態(tài)系統控制。在電動(dòng)車(chē)細分市場(chǎng)，這類(lèi)產(chǎn)品包括電動(dòng)自行車(chē)電子卡、電池更換和電池身份驗證。在數據中心細分市場(chǎng)，這類(lèi)產(chǎn)品包括與 OEM 或第三方卡身份驗證相關(guān)的技術(shù)，用于對制造環(huán)節進(jìn)行加密控制。配件/一次性用品生態(tài)系統真可謂無(wú)處不在，我們必須針對所有細分市場(chǎng)的產(chǎn)品提供身份驗證解決方案。

高級產(chǎn)品組合

我們的身份驗證產(chǎn)品組合中包含多款高級安全產(chǎn)品。在我們的硅產(chǎn)品中，我們提供了CryptoAuthentication?（ATECC608）器件、CryptoAutomotive?（TA100）安全 IC、可信平臺模塊（TPM）（ATTPM20P）和平臺可信根。對于引導流程，我們提供了可信平臺，其中包括Trust&GO、TrustFLEX 和 TrustCUSTOM。通過(guò)這三個(gè)安全元件，您可以利用我們的Microchip 安全配置服務(wù)來(lái)選擇所需的安全身份驗證 IC、想要配置的憑據，以及最適合您需求的最小起訂量（MOQ）。該平臺將全程陪伴您完成從原型設計到生產(chǎn)的整個(gè)過(guò)程。

安全身份驗證的工作原理

安全身份驗證 IC 可用作任何單片機（MCU）的配套器件。其作用類(lèi)似于一個(gè)保管機密信息的保險庫。

機密信息（密鑰、證書(shū)和數據）在 Microchip 安全工廠(chǎng)內生產(chǎn)器件期間被配置到器件的安全邊界內。這些機密信息受保護，不會(huì )暴露，并由 Microchip 的安全配置過(guò)程進(jìn)行管理。

圖 1：安全身份驗證過(guò)程

主機 MCU 向即將托管機密信息密鑰并擁有加密引擎的安全身份驗證 IC 發(fā)送隨機質(zhì)詢(xún)。隨機質(zhì)詢(xún)與密鑰一起饋入加密引擎中以創(chuàng )建響應。

不斷擴充的產(chǎn)品組合

圖 2：Microchip 產(chǎn)品組合

我們的產(chǎn)品組合最近迎來(lái)了幾款新的解決方案。在汽車(chē)市場(chǎng)，我們推出了 TA010。對于配件和一次性用品，請查看我們新推出的 ECC204 以及 SHA104/SHA105、SHA106 和ECC206。

這些新器件旨在提供最小可行性的加密加速器，同時(shí)保持較小的存儲器空間，從而優(yōu)化成本。因此，上述器件僅支持 ECDSA 簽名和 HMAC/SHA256 等算法。如需更完備的加速器，請查看 TA100 和 ATECC608 器件。

對稱(chēng)身份驗證

對稱(chēng)身份驗證是最簡(jiǎn)單的一種身份驗證，主機只需要一個(gè)機密信息密鑰就可以對客戶(hù)端（一次性用品/配件）進(jìn)行身份驗證。

圖 3：對稱(chēng)身份驗證的基本原理

我們將采用通俗易懂的方式進(jìn)行解釋。以大腦傳感器和主機為例。兩側都配有安全系統，左側為 SHA105，右側為SHA104。主機向傳感器發(fā)送質(zhì)詢(xún)，以運行 SHA256 算法來(lái)創(chuàng )建摘要或響應。兩側都使用對稱(chēng)密鑰。配件/一次性用品所作出的響應隨后返回主機進(jìn)行比較，確保兩個(gè)響應完全相同才能接收來(lái)自傳感器的信息。

此外，使用對稱(chēng)密鑰多樣化可以更好地實(shí)現這一目標。因為每個(gè)配件/一次性用品都有惟一的對稱(chēng)密鑰，這有效降低了偽造每個(gè)密鑰和暴露整個(gè)系統的風(fēng)險。

非對稱(chēng)身份驗證

非對稱(chēng)身份驗證（也稱(chēng)為公鑰加密）使用兩種類(lèi)型的密鑰（公鑰/私鑰對）進(jìn)行身份驗證。

圖 4：非對稱(chēng)身份驗證

在這種情況下，我們可以假設客戶(hù)與設備之間已經(jīng)建立了認證（例如，類(lèi)似于 Qi1.3 標準認證），然后現在我們來(lái)看一下在嵌入式系統中，質(zhì)詢(xún)響應是如何發(fā)生的。主機中有簽名人公鑰，配件中有設備公鑰和簽名。簽名是通過(guò)私鑰對隨機質(zhì)詢(xún)執行的 ECDSA簽名操作的輸出。設備公鑰通過(guò)簽名人公鑰進(jìn)行驗證，設備公鑰本身用于驗證簽名。之后，系統可以繼續執行其操作并接受進(jìn)一步的信息。

圖 5：使用根公鑰的非對稱(chēng)身份驗證

這種情況稍微復雜一些，因為我們現在添加了一個(gè)根公鑰或 OEM 公鑰。我們需要驗證每個(gè)階段的公鑰，從簽名人公鑰（通過(guò)根公鑰驗證）到設備公鑰（通過(guò)簽名人公鑰驗證），并且需要驗證簽名是否合法。一旦系統確認簽名正確，即可進(jìn)入下一步。

寄生電源：從 3 引腳縮減為 2 引腳

當封裝中的引腳數受限時(shí)，寄生電源至關(guān)重要。我們在器件前面添加了一個(gè)集成電容，它能夠儲存足夠的電能來(lái)運行身份驗證計算并提供相關(guān)的響應。該電容使得從 3 引腳縮減為 2 引腳成為可能。一個(gè)引腳用作數據和電源引腳，即用于通信和供電；另一個(gè)引腳用作接地引腳。引腳數量得到縮減后，便無(wú)需在一次性用品中使用 PCB，從而降低系統級成本并簡(jiǎn)化實(shí)現。

安全密鑰配置服務(wù)

Microchip 工廠(chǎng)配有硬件安全模塊（HSM），我們客戶(hù)的設備都是在此進(jìn)行加密操作。我們可以大量承接不同客戶(hù)的項目，并為其配置密鑰以及其他需要保密的數據?？尚牌脚_將為您提供可用選項的概覽。

可信平臺設計套件

我們的 DM320118 是幫助您入門(mén)的基礎工具包，因為它可以與可信平臺設計套件（TPDS）和其他軟件工具搭配使用。務(wù)必要選用適合您的附加板。另外，我們還提供插座附加板。使用 TPDS 可以訪(fǎng)問(wèn)有關(guān)對稱(chēng)/非對稱(chēng)身份驗證以及 Qi 1.3 的用例教程。此外，TPDS 還提供 C 代碼示例，精選安全身份驗證 IC 的配置器，以及在 Microchip 安全配置服務(wù)中完成引導流程所需的實(shí)用程序。

結語(yǔ)

我們的產(chǎn)品組合始終致力于讓您更輕松地進(jìn)行安全身份驗證，使用簡(jiǎn)單的工具集進(jìn)行快速開(kāi)發(fā)，以及利用電子商務(wù)商店簡(jiǎn)化流程。我們的產(chǎn)品適合大眾市場(chǎng)，支持低MoQ，包括與 CryptoAuthLib 無(wú)關(guān)的配置和架構。

如需深入了解安全身份驗證，請一定要觀(guān)看我們的 2023 設計周會(huì )議。如需了解更多信息，請訪(fǎng)問(wèn)我們的安全身份驗證網(wǎng)頁(yè)。