SHA-256主/從安全認(rèn)證系統(tǒng)工作原理

數(shù)據(jù)保護(hù)（安全認(rèn)證寫操作）

除有效性驗證以外，多數(shù)系統(tǒng)還需要確保安全認(rèn)證器中儲存的數(shù)據(jù)可信。出于這一考慮，可對安全認(rèn)證器中的部分或全部EEPROM進(jìn)行“安全保護(hù)”。如果激活安全保護(hù)，在執(zhí)行存儲器寫操作時，要求主機(jī)向安全認(rèn)證器提供主機(jī)安全認(rèn)證MAC，證明自身的有效性。

主機(jī)安全認(rèn)證MAC是利用新的存儲器數(shù)據(jù)、已有存儲器數(shù)據(jù)、安全認(rèn)證器的唯一密鑰以及ROM ID、附加數(shù)據(jù)計算得到的。安全認(rèn)證器使用自身的密鑰按照相同方式計算一個MAC.

合法主機(jī)重建安全認(rèn)證器的密鑰，能夠生成有效的寫保護(hù)MAC.接收到來自主機(jī)的MAC時，安全認(rèn)證器將其與自身的計算結(jié)果進(jìn)行比較。只有兩個MAC相匹配時，才允許將數(shù)據(jù)寫入EEPROM.即使MAC正確，也不能更改受寫保護(hù)的用戶存儲區(qū)域（圖4）。

密鑰保護(hù)

安全認(rèn)證器的密鑰和協(xié)處理器的主密鑰通過硬件設(shè)計進(jìn)行讀保護(hù)。如果需要，密鑰可采取寫保護(hù)，防止利用已知密鑰代替未知密鑰來篡改安全認(rèn)證器的存儲數(shù)據(jù)。綁定數(shù)據(jù)一般儲存在協(xié)處理器的存儲器內(nèi)，應(yīng)在安裝之后進(jìn)行讀保護(hù)。只要在受信任的生產(chǎn)環(huán)境下針對應(yīng)用設(shè)置協(xié)處理器和安全認(rèn)證器，這種級別的保護(hù)就非常有效。

DeepCover

DeepCover技術(shù)提供強(qiáng)大、經(jīng)濟(jì)的保護(hù)方案，可防止試圖偵測密鑰的芯片級攻擊。DeepCover技術(shù)包括多種監(jiān)測芯片級篡改事件的有源電路，采用先進(jìn)的芯片級布線、布局技術(shù)，以及專利技術(shù)，有效抵御各種攻擊性操作。

雙向安全認(rèn)證

上述系統(tǒng)的密鑰認(rèn)證支持質(zhì)詢-應(yīng)答安全認(rèn)證和寫保護(hù)操作（主機(jī)安全認(rèn)證）。整個用戶存儲器可用于質(zhì)詢-應(yīng)答安全認(rèn)證，雙向安全認(rèn)證適用于儲存安全數(shù)據(jù)（安全認(rèn)證寫操作）的存儲器區(qū)域。

總結(jié)

SHA-256的密鑰、質(zhì)詢和MAC均為256位，相對于原來的SHA-1安全認(rèn)證方案有了顯著改進(jìn)。本文介紹了最新的安全認(rèn)證系統(tǒng)，該系統(tǒng)對主機(jī)系統(tǒng)（具有1-Wire主機(jī)的SHA-256協(xié)處理器）與傳感器/外設(shè)模塊（1-Wire SHA-256安全認(rèn)證器）的匹配性進(jìn)行驗證。協(xié)處理器內(nèi)部的1-Wire主機(jī)代替主機(jī)執(zhí)行實時1-Wire通信。提供三種存儲器配置的DeepCover 1-WireSHA-256安全認(rèn)證器，采用3.3V和1.8V供電，也可選擇采用3.3V和1.8V供電的協(xié)處理器/主機(jī)，支持三種安全認(rèn)證器件。SHA-256安全認(rèn)證的實施方案比以往任何時候都簡單。