面向配件生態系統和一次性用品應用的高性價比 安全身份驗證解決方案

Microchip Technology Inc.

安全及計算產品部

市場經理

Xavier Bignalet

如果您對單個配件的身份驗證、規范化電子配件生態系統的構建或一次性用品的假冒偽劣處理感興趣，歡迎閱讀本篇博文。我們將介紹最新推出的高性價比安全身份驗證IC?？纯此鼈兲峁┝四男┌踩匦詠韼椭鷮崿F反威脅模型。

面向一次性用品和配件生態系統的成本優化型安全身份驗證 IC

不知您是否有注意到，其實我們每天都在經歷著各種安全身份驗證過程。例如，當您發送電子郵件、將手機插入充電器或打印文檔時，后臺都有在進行身份驗證。

本篇博文將介紹我們新推出的高性價比安全身份驗證 IC 提供了哪些有價值的安全特性來幫助您的威脅模型達成目標。

為什么需要對配件/一次性用品進行身份驗證？

對于一次性用品和配件生態系統而言，身份驗證之所以至關重要，有幾點原因值得注意。第一點是安全性——盡管系統組件有時可能會運行比較危險的功能，但身份驗證可以證明系統是正品，確保安全工作。第二點是互操作性。生態系統之所以能夠正常工作離不開內部各組件之間的相互通信。鑒于此，非常需要通過身份驗證來對生態系統進行控制。這樣一來，無論您的系統內的各個組件采用自家品牌還是第三方產品，都能夠保證為用戶提供一致的使用體驗。近年來，假冒偽劣產品呈現不斷上升的勢頭，亟需加強防范，系統中需要引入驗證機制，這是第三點。第四點是上面提到的用戶體驗。您可以通過固件中的 IP 為每位用戶提供一如既往的獨特體驗。以上四點對于您的收入保護和品牌聲譽將有著深遠的影響。

配件/一次性用品的細分市場

配件/一次性用品技術覆蓋多個細分市場。在醫療細分市場，這類產品包括線纜、呼吸管、傳感器、墨盒和貼片等。在消費者細分市場，這類產品包括化妝品、電子煙和印刷產品，以及香薰和 Qi? 1.3 無線充電，后兩項也是汽車細分市場的常見產品。在汽車細分市場，這類產品還包括原始設備制造商（OEM）或第三方電子卡和電動車電池。在工業細分市場，這類產品包括第三方配件、維護服務和 OEM 生態系統控制。在電動車細分市場，這類產品包括電動自行車電子卡、電池更換和電池身份驗證。在數據中心細分市場，這類產品包括與 OEM 或第三方卡身份驗證相關的技術，用于對制造環節進行加密控制。配件/一次性用品生態系統真可謂無處不在，我們必須針對所有細分市場的產品提供身份驗證解決方案。

高級產品組合

我們的身份驗證產品組合中包含多款高級安全產品。在我們的硅產品中，我們提供了CryptoAuthentication?（ATECC608）器件、CryptoAutomotive?（TA100）安全 IC、可信平臺模塊（TPM）（ATTPM20P）和平臺可信根。對于引導流程，我們提供了可信平臺，其中包括Trust&GO、TrustFLEX 和 TrustCUSTOM。通過這三個安全元件，您可以利用我們的Microchip 安全配置服務來選擇所需的安全身份驗證 IC、想要配置的憑據，以及最適合您需求的最小起訂量（MOQ）。該平臺將全程陪伴您完成從原型設計到生產的整個過程。

安全身份驗證的工作原理

安全身份驗證 IC 可用作任何單片機（MCU）的配套器件。其作用類似于一個保管機密信息的保險庫。

機密信息（密鑰、證書和數據）在 Microchip 安全工廠內生產器件期間被配置到器件的安全邊界內。這些機密信息受保護，不會暴露，并由 Microchip 的安全配置過程進行管理。

圖 1：安全身份驗證過程

主機 MCU 向即將托管機密信息密鑰并擁有加密引擎的安全身份驗證 IC 發送隨機質詢。隨機質詢與密鑰一起饋入加密引擎中以創建響應。

不斷擴充的產品組合

圖 2：Microchip 產品組合

我們的產品組合最近迎來了幾款新的解決方案。在汽車市場，我們推出了 TA010。對于配件和一次性用品，請查看我們新推出的 ECC204 以及 SHA104/SHA105、SHA106 和ECC206。

這些新器件旨在提供最小可行性的加密加速器，同時保持較小的存儲器空間，從而優化成本。因此，上述器件僅支持 ECDSA 簽名和 HMAC/SHA256 等算法。如需更完備的加速器，請查看 TA100 和 ATECC608 器件。

對稱身份驗證

對稱身份驗證是最簡單的一種身份驗證，主機只需要一個機密信息密鑰就可以對客戶端（一次性用品/配件）進行身份驗證。

圖 3：對稱身份驗證的基本原理

我們將采用通俗易懂的方式進行解釋。以大腦傳感器和主機為例。兩側都配有安全系統，左側為 SHA105，右側為SHA104。主機向傳感器發送質詢，以運行 SHA256 算法來創建摘要或響應。兩側都使用對稱密鑰。配件/一次性用品所作出的響應隨后返回主機進行比較，確保兩個響應完全相同才能接收來自傳感器的信息。

此外，使用對稱密鑰多樣化可以更好地實現這一目標。因為每個配件/一次性用品都有惟一的對稱密鑰，這有效降低了偽造每個密鑰和暴露整個系統的風險。

非對稱身份驗證

非對稱身份驗證（也稱為公鑰加密）使用兩種類型的密鑰（公鑰/私鑰對）進行身份驗證。

圖 4：非對稱身份驗證

在這種情況下，我們可以假設客戶與設備之間已經建立了認證（例如，類似于 Qi1.3 標準認證），然后現在我們來看一下在嵌入式系統中，質詢響應是如何發生的。主機中有簽名人公鑰，配件中有設備公鑰和簽名。簽名是通過私鑰對隨機質詢執行的 ECDSA簽名操作的輸出。設備公鑰通過簽名人公鑰進行驗證，設備公鑰本身用于驗證簽名。之后，系統可以繼續執行其操作并接受進一步的信息。

圖 5：使用根公鑰的非對稱身份驗證

這種情況稍微復雜一些，因為我們現在添加了一個根公鑰或 OEM 公鑰。我們需要驗證每個階段的公鑰，從簽名人公鑰（通過根公鑰驗證）到設備公鑰（通過簽名人公鑰驗證），并且需要驗證簽名是否合法。一旦系統確認簽名正確，即可進入下一步。

寄生電源：從 3 引腳縮減為 2 引腳

當封裝中的引腳數受限時，寄生電源至關重要。我們在器件前面添加了一個集成電容，它能夠儲存足夠的電能來運行身份驗證計算并提供相關的響應。該電容使得從 3 引腳縮減為 2 引腳成為可能。一個引腳用作數據和電源引腳，即用于通信和供電；另一個引腳用作接地引腳。引腳數量得到縮減后，便無需在一次性用品中使用 PCB，從而降低系統級成本并簡化實現。

安全密鑰配置服務

Microchip 工廠配有硬件安全模塊（HSM），我們客戶的設備都是在此進行加密操作。我們可以大量承接不同客戶的項目，并為其配置密鑰以及其他需要保密的數據?？尚牌脚_將為您提供可用選項的概覽。

可信平臺設計套件

我們的 DM320118 是幫助您入門的基礎工具包，因為它可以與可信平臺設計套件（TPDS）和其他軟件工具搭配使用。務必要選用適合您的附加板。另外，我們還提供插座附加板。使用 TPDS 可以訪問有關對稱/非對稱身份驗證以及 Qi 1.3 的用例教程。此外，TPDS 還提供 C 代碼示例，精選安全身份驗證 IC 的配置器，以及在 Microchip 安全配置服務中完成引導流程所需的實用程序。

結語

我們的產品組合始終致力于讓您更輕松地進行安全身份驗證，使用簡單的工具集進行快速開發，以及利用電子商務商店簡化流程。我們的產品適合大眾市場，支持低MoQ，包括與 CryptoAuthLib 無關的配置和架構。

如需深入了解安全身份驗證，請一定要觀看我們的 2023 設計周會議。如需了解更多信息，請訪問我們的安全身份驗證網頁。