0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

无需成为密码学专家即可实施安全身份验证

星星科技指导员 来源:ADI 作者:ADI 2023-01-23 16:33 次阅读

身份验证很重要。得益于现有的基于硅的解决方案,我们可以启用身份验证,而无需成为密码学实施方面的专家。

介绍

数字安全是当今电子设计中最广为人知的话题之一。当工程师考虑安全性时,加密可能是第一个想到的词,只有少数工程师会想到身份验证。然而,身份验证是安全设备或交易的基本功能。

考虑家庭银行业务方面的身份验证。显然,您希望对余额和帐号等机密信息进行加密。当您的互联网浏览器显示带有 https:// 的绿色锁时,就会发生这种情况。也就是说,互联网浏览器在建立安全连接时首先检查的是银行网站是否真实;换句话说,它对银行网站进行身份验证。如果没有身份验证,您可能会将登录名和密码信息发送到模拟站点,这确实是非常有害的,因为这些凭据可以进一步重复使用,代表毫无戒心的银行账户持有人运行任何类型的未经授权的交易。安全的互联网浏览通常通过TLS / SSL协议实现,除了加密之外,该协议还确保了真实性和机密性。

身份验证对于物联网IoT) 应用程序也很重要:不受信任的端点可能会使整个基础架构面临风险。让我们考虑连接到配电系统的智能电表。攻击者破坏电网的一种简单方法是将病毒或恶意软件加载到智能电表中。然后,受感染的电表可以向基础设施发送虚假消息,反映功耗与实际功耗大不相同,这反过来会导致电网变得不平衡。如果电网超报,将导致看似多余的电力转移到其他地方,但如果电网漏报,则会导致电力激增;在最坏的情况下,攻击可能会通过破坏电网平衡来引发全面停电。为了避免这种情况,必须验证仪表的硬件及其固件是否为正品。验证固件的过程称为安全启动。

实现有效的身份验证方法

现在我们了解了它的重要性,让我们讨论如何实现身份验证。最简单的身份验证方法是使用密码。在我们的智能电表示例中,设备可以向电网控制系统发送密码。服务器将验证密码,然后授权进一步的交易。虽然这种方法很容易理解,但它并不是迄今为止最好的方法。攻击者可以轻松监视通信,记录密码,并重复使用它来验证非正版设备。因此,我们认为基于密码的身份验证较弱。

在数字世界中执行身份验证的更好方法是质询-响应方法。让我们看一下质询-响应方法的两种形式:一种基于对称密码,另一种基于非对称密码。

对称密码认证

基于对称加密的身份验证依赖于共享密钥。主机和要进行身份验证的设备拥有相同的密钥号码。主机向设备发送一个随机数,即质询。设备计算数字签名作为密钥和质询的函数,并将其发送回主机。然后,主机运行相同的计算并比较结果。如果两个计算匹配,则设备经过身份验证(图 1)。为了确保结果无法被模仿,必须使用具有足够数学属性的函数。例如,如果没有强制计算结果,则无法检索机密。安全哈希函数(如 SHA-256)支持这些要求。对于质询-响应方法,设备在不泄露秘密的情况下证明它知道秘密。即使攻击者拦截了通信,攻击者仍然无法访问共享密钥。

poYBAGO74bGABj69AABXI9tYMr4078.png

图1.基于对称加密的身份验证依赖于主机和设备之间共享的密钥编号。

非对称加密身份验证

基于非对称加密的身份验证依赖于两个密钥:私钥和公钥。私钥只有要进行身份验证的设备知道,而公钥可以透露给任何愿意对设备进行身份验证的实体。与前面讨论的方法一样,主机向设备发送质询。设备根据质询和私钥计算签名,并将其发送回主机(图 2)。但在这里,主机使用公钥来验证签名。同样重要的是,用于计算签名的函数具有某些数学属性。非对称方案最常用的函数是 RSA 和 ECDSA。在这里,该设备也证明它知道一个秘密,私钥,而不透露它。

pYYBAGO74aqAd4xIAABl_I-IH4M575.png

图2.非对称密钥身份验证依赖于公钥和私钥。

为什么安全IC有利于身份验证

质询-响应身份验证始终需要对对象进行身份验证才能保存机密。在对称加密中,这是主机和设备之间的共享密钥。对于非对称加密,这是私钥。无论如何,当泄露机密时,质询-响应身份验证带来的安全性会中断。这就是安全IC可以提供帮助的地方。安全IC的一个基本特性是提供对密钥和机密的强大保护。

Maxim提供三系列支持身份验证的解决方案:

认证 IC:这些是可配置但功能固定的设备,可提供最经济实惠的方式来实现质询-响应身份验证,以及一组紧凑的加密操作。

安全微控制器除了支持质询-响应身份验证外,这些设备还提供一整套加密功能,包括加密。

低功耗微控制器:虽然这些产品并非专门针对安全性,但它们具有启用强身份验证所需的所有构建块。

认证集成电路

在身份验证 IC 中,基于 SHA-256 的产品支持使用共享密钥进行身份验证(图 3),而基于 ECDSA 的 IC 使用私钥/公钥对(图 4)。除加密引擎外,这些产品还具有板载EEPROM存储器。此存储器是可配置的,可用于存储经过身份验证的用户数据,例如传感器的校准信息。

基于 SHA-256 的产品是最经济实惠的解决方案。虽然它们启用相互身份验证,但共享密钥的分发需要一些预防措施,以便在设备制造和设置期间不会公开密钥。这个秘密可以在Maxim工厂进行编程,以规避这一缺点。

poYBAGO74aOAAMFQAABbDBNFGBc896.png

图3.SHA-256 安全身份验证基于共享密钥。

Maxim的DS28E15/DS28E22/DS28E25 IC基于SHA-256技术,内部存储器大小不同。由于主机端和器件端存储相同的密钥,因此建议在主机端使用DS2465等协处理器

基于非对称加密的产品(如DS28C36和DS28E35)提供了更灵活的方案,因为不需要保护密钥防止主机端泄露。然而,为了减轻公钥数学运算的负担并提供额外的安全操作,可以使用DS2476(DS28C36的配套IC)等主机侧协处理器来简化系统方案的开发。

pYYBAGO74Z2AWNCXAABdPk20Kog671.png

图4.基于 ECDSA 的身份验证依赖于私钥/公钥对。

支持对称和非对称加密的安全微控制器

Maxim提供安全的微控制器,从MAX32590(ARM9工作频率为384MHz)应用级处理器(可运行Linux等高级操作系统)到小尺寸协处理器(如MAX32555或MAXQ1061)。

这些微控制器支持用于数字签名和身份验证的对称和非对称加密以及加密算法。它们具有用于 SHA、RSA、ECDSA 和 AES 的硬件加速器,以及一个完整的加密库,提供符合标准的交钥匙 API。它们具有内置的安全启动功能,因此始终保证固件的真实性。由于其全面的加密功能集,它们可以处理多种身份验证方案。

MAXQ1061为协处理器,不仅支持认证,还处理TLS/SSL标准IP安全通信协议中最关键的步骤。在芯片内处理TLS协议可提高安全级别,并将主处理器从计算密集型任务中卸载出来。这对于资源受限的嵌入式系统非常有价值。

低功耗微控制器

MAX32626等低功耗微控制器面向可穿戴设备,因此不是“以安全为中心”的IC。然而,随着攻击变得越来越频繁,该产品在设计时考虑到了未来的安全挑战。因此,MAX32626具有支持认证的硬件信任保护单元以及用于加密和内置安全启动的硬件AES。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 微控制器
    +关注

    关注

    48

    文章

    7423

    浏览量

    150789
  • 处理器
    +关注

    关注

    68

    文章

    19083

    浏览量

    228733
  • 智能电表
    +关注

    关注

    25

    文章

    924

    浏览量

    108744
收藏 人收藏

    评论

    相关推荐

    无线身份验证的门禁控制系统设计方案

    的网络,可提供身份验证传输框架,实现安全产品和服务的交付。它是一种用于创建、交付和管理安全身份验证的综合性框架。简单来说,该基础架构是一个中央安全库,通过
    发表于 11-05 11:11

    Vivado和SDK身份验证错误

    尝试运行SDK或Vivado的安装程序时,出现“身份验证错误:发生了未知异常。请验证您的用户ID和密码,然后重试”我可以登录该站点,另一位同事可以登录该站点。我们可以下载安装程序,但是当我们尝试安装
    发表于 01-02 14:55

    什么是密码学中的DES

    得不提一个东西——密码学(是不是听起来头皮发麻心跳加速),稳住稳住,老司机上线带你。今天给大家say&see什么是密码学中的DES。简介 DES:****English Name...
    发表于 07-22 07:16

    物联网安全机制密码学基础

    Chp9 物联网安全机制密码学基础(1)加密模型密码是通信双方按照约定的法则进行信息变换的一种手段。依照这些信息变换法则,变明文为密文,称为加密变换;变密文为明文,称为解密变换。信息称为明文,明文
    发表于 07-22 06:31

    什么是密码身份验证协议

    什么是密码身份验证协议 PAP是一种身份验证协议,是一种最不安全身份证协议,是一种当客户端不支持其它
    发表于 04-03 16:07 1591次阅读

    Nuggets与物信链合作,用区块链技术为物联网提供安全身份验证

    通过运用区块链技术,Nuggets让消费者重新获得对其个人数据的掌控权,在无需分享个人数据的前提下,即可轻松便捷地完成支付和身份验证过程。
    发表于 08-12 10:12 1822次阅读

    区块链的底层技术是密码学

    密码学是区块链的底层技术,没有密码学就没有区块链,没有密码学支撑的区块链不可能安全
    发表于 11-22 11:22 2067次阅读

    区块链密码学的基础内容介绍

    密码学是数学和计算机科学的分支,同时其原理大量涉及信息论。密码学不只关注信息保密问题,还同时涉及信息完整性验证(消息验证码)、信息发布的不可抵赖性(数字签名)、以及在分布式计算中产生的
    发表于 05-08 10:33 1179次阅读

    为设计选择正确的安全身份验证方法

      当然,有不同级别的有效身份验证。以打印机墨盒为例。为了验证它的真实性,墨盒可以发送一个密码。但是这种方法的缺点是中间人可以在密码被传输时捕获并重新使用它。质询-响应
    的头像 发表于 05-24 10:11 1239次阅读
    为设计选择正确的<b class='flag-5'>安全身份验证</b>方法

    基础密码学的概念介绍

    密码学和信息安全在如今的互联网行业当中非常重要,相关的理论知识和算法也在计算机系统的方方面面都被用到。虽然我们不一定会从事安全相关的工作,但对密码学以及信息
    的头像 发表于 08-10 14:32 1420次阅读

    无需成为密码学专家即可实施安全身份验证

    发表于 11-16 22:30 0次下载
    <b class='flag-5'>无需</b><b class='flag-5'>成为</b><b class='flag-5'>密码学</b><b class='flag-5'>专家</b><b class='flag-5'>即可</b><b class='flag-5'>实施</b><b class='flag-5'>安全身份验证</b>

    使用DeepCover安全身份验证器保护您的FPGA系统

    本应用笔记介绍了设计人员如何保护其 Xilinx FPGA 实现、保护 IP 并防止附加外设伪造。设计人员可以使用本应用笔记中描述的参考设计之一来实现这种安全性。这些设计在FPGA和DeepCover安全身份验证器之间实现了SHA-256或ECDSA质询和响应
    的头像 发表于 02-20 11:07 1063次阅读
    使用DeepCover<b class='flag-5'>安全身份验证</b>器保护您的FPGA系统

    无需成为密码学专家即可实施安全身份验证

    身份验证对于物联网 (IoT) 应用程序也很重要:不受信任的端点可能会使整个基础架构面临风险。让我们考虑连接到配电系统的智能电表。攻击者破坏电网的一种简单方法是将病毒或恶意软件加载到智能电表中。然后,受感染的电表可以向基础设施发送虚假消息,反映功耗与实际功耗大不相同,这反过来会导致电网变得不平衡。
    的头像 发表于 06-26 15:34 423次阅读
    <b class='flag-5'>无需</b><b class='flag-5'>成为</b><b class='flag-5'>密码学</b><b class='flag-5'>专家</b><b class='flag-5'>即可</b><b class='flag-5'>实施</b><b class='flag-5'>安全身份验证</b>

    是什么让密码学更容易?安全认证器和协处理器

    密码学提供了针对安全威胁的强大保护,但并非每个嵌入式设计人员都是密码学专家。为了给产品开发工程师提供一条快速了解该主题基础知识的途径,我们创建了一本
    的头像 发表于 06-27 17:24 694次阅读
    是什么让<b class='flag-5'>密码学</b>更容易?<b class='flag-5'>安全</b>认证器和协处理器

    芯科科技领先提供CBAP解决方案支持基于证书的身份验证和配对

      “基于证书的身份验证和配对(CBAP)”有助于简化低功耗蓝牙(BluetoothLE)设备的身份验证和配对过程。它具有内置的安全功能,无需使用二维码、
    的头像 发表于 06-04 11:35 648次阅读