引言

越來越多的系統要求為傳統的非安全外設和耗材添加認證功能。典型的系統驅動認證包括：安全存儲、基于證書的認證，或是外設、配件或耗材的質詢-響應或OEM認證。認證可確保產品的可靠性和質量，從而避免假冒產品的出現。

什么是認證？

認證是一個旨在確認兩個或多個實體之間身份真實性的過程。在單向認證中，僅有一方向另一方證明其身份。而在雙向認證中，雙方互相向對方證明身份。最常見的認證方式是密碼。密碼的主要問題在于使用時會被暴露，容易遭到窺探。

1883年，佛蘭芒語言學家Auguste Kerckhoffs在深入研究密碼學歷史后，發表了一篇開創性的軍事密碼學論文。他主張，安全性不應建立在晦澀性之上，而應依賴于密鑰的強度。這樣一來，即便系統遭到入侵，也只需更換密鑰，而不必替換整個系統。

一種經過驗證的基于對稱密鑰的認證方法如圖1所示：一個密鑰和待認證的數據（“消息”）作為輸入，用來計算消息認證碼，即MAC。然后將MAC附加到消息上，并在請求時發送。消息的接收者執行相同的計算，并將其版本的MAC與隨消息接收的MAC進行比較。如果兩個MAC一致，則消息是可信的。然而，這一基礎模型存在一個安全隱患：一旦靜態消息和MAC被截獲，攻擊者便可實施重放攻擊，讓接收方誤以為消息是來自合法發送者。

圖1 MAC計算模型

為了證明MAC發起方（例如某個系統配件）的真實性，接收方（例如配件所連接的主機系統）生成一個隨機數，并將其作為質詢發送給發起方。然后，MAC發起方必須基于密鑰、消息和質詢計算一個新的MAC，并將其發送回接收方。如果發起方能夠為任何質詢生成有效的MAC，就基本可以確認其擁有密鑰，身份真實可信。圖2顯示了這種質詢-響應認證流程及相關的數據元素。

圖2 質詢-響應認證數據流

在密碼學中，根據一條消息生成固定長度消息認證碼的算法稱為單向哈希函數。“單向”意味著在數學層面上，要從固定長度的輸出MAC推斷出通常更大的輸入消息（包括密鑰）是不可行的。

FIPS SHA-2和SHA-3是由美國國家標準與技術研究院(NIST)開發的兩種單向哈希算法，已經過嚴格審查并獲得國際認證。NIST網站已公開這些算法背后的數學原理。這些算法具有如下特征：1)不可逆性——在計算上不可能推導出與MAC對應的輸入；2)抗碰撞性——幾乎不可能找到兩個不同的輸入消息能產生相同的MAC；3)高雪崩效應——輸入的任何變化都會導致MAC結果發生顯著變化。出于上述原因，并考慮到算法經過國際審查，ADI公司選擇將SHA-2和SHA-3用于旗下安全認證器的質詢-響應認證。

低成本安全認證——系統實現方案

得益于1-Wire?接口，DS28E16等安全認證器可以輕松添加到任何具備數字處理能力的系統中，例如微控制器(μC)。在最簡單的情形中，只需要一個備用微控制器端口引腳和一個用于1-Wire線路的上拉電阻，如圖3所示。然而，這種方法有一個潛在風險：它使用的是非安全微控制器，攻擊者可以通過分析該微控制器來理解和破壞其安全機制。

或者，如圖4所示，可以使用集成1-Wire控制器接口的IC（如DS2477 SHA-256協處理器）來操作和控制DS28E16。雖然DS28E16支持僅采用微控制器的操作方案，但DS2477能帶來以下優勢：1)將SHA-256計算任務從主微控制器轉移出去，減輕其負擔；2)確保系統SHA-256密鑰的存儲高度安全；3)將1-Wire波形生成任務從主微控制器轉移出去，減輕其負擔。

圖3 基本應用示例

圖4 使用協處理器來增強安全性

防止偽造

有些系統采用可更換的傳感器、外設、模塊或耗材，常會成為未經授權的售后服務公司的目標。偽造的替換件可能會引入安全隱患，降低應用質量，而且通常會對OEM解決方案產生負面影響。若將安全認證引入解決方案中，主機系統就能檢驗傳感器或模塊的真實性，并在檢測到偽造品時根據特定應用采取相應的措施。如圖5所示，可在系統與相連外設之間執行質詢-響應序列來確認真實性。

圖5 使用質詢-響應序列來檢驗真實性

嵌入式硬件/軟件許可管理

參考設計在授權給第三方廠商進行生產時，必須建立保護機制，防止知識產權被濫用。同時，出于收益管理的需要，還必須對參考設計的使用次數進行追蹤與核實。預編程的SHA-256認證器（交付第三方制造商之前已內置密鑰、用戶存儲器和設置），例如DS28E25，能夠輕松應對諸如此類的需求。作為上電自檢的一部分，參考設計（圖6）利用DS28E25來執行認證序列。只有擁有有效密鑰（僅由授權公司和參考設計設備本身掌握）的DS28E25，才能成功返回有效的MAC。如果檢測到無效MAC，參考設計的處理器將根據特定應用采取相應的措施。這種方法還有一項優勢，就是能夠通過存儲在安全DS28E25存儲器中的設置，選擇性地許可和啟用參考設計的特性與功能。（有關此概念的更多信息，請參見軟特性管理部分。）

擁有有效密鑰的DS28E25或其他安全認證器通過以下兩種安全方法之一提供給被許可方或第三方制造商：1)由參考設計許可方預編程，或2)由ADI公司根據許可方的輸入預編程，然后交付給第三方制造商。無論采用何種方式，發送給被許可方或制造商的設備數量是已知的，且可用于核實許可費用。

圖6 參考設計認證

驗證硬件真實性

當驗證硬件真實性時，需要考慮兩種情況（圖7）：

1)克隆的電路板，具有完全相同的μC固件或FPGA配置

2)克隆的系統主機，例如圖7所示的基于SHA-3的DS28E50

圖7 硬件認證示例

在第一種情況下，固件或FPGA嘗試對克隆的電路板進行認證。為使認證成功，克隆設備的制造商必須將密鑰加載到安全認證器中，以便將數據寫入用戶EEPROM。雖然這可能會使數據看似正確，但加載的密鑰在這個系統中是無效的。鑒于更改固件或FPGA的復雜性，而且需要與主機保持兼容，因此固件或FPGA配置必須與原始版本完全一致。如果電路板在上電階段對DS28E50執行質詢-響應認證，則DS28E50生成的MAC將會與固件或FPGA計算的MAC不同。MAC不一致是電路板不可信的有力證據。所以，系統通過對電路板執行質詢-響應序列就可檢測到克隆，并根據特定應用采取相應的措施。

在第二種情況下，電路板對主機系統進行認證。電路板可通過以下步驟驗證主機的真實性：

1.生成一個質詢，讓DS28E50計算一個質詢-響應認證MAC。

2. 將相同的MAC計算輸入數據（當然密鑰除外）發送到網絡主機。主機隨后根據該數據及其自己的密鑰，計算并返回一個質詢-響應認證MAC。

如果兩個MAC一致，則電路板可以認定主機可信。

軟特性管理

電子系統的大小不一，從手持設備到占據多個機架的大型裝置，多種多樣。設備越大，開發成本越高。為了控制成本，設計上傾向于使用有限種類的小型子系統（板卡）來構建大型系統。在實際應用中，并非子系統的所有特性都是必要的。相比在硬件上移除這些特性，保留電路板設計并通過控制軟件來禁用部分特性是更具成本效益的做法。然而，這種策略也帶來了新問題：一些精明的客戶若需多個全功能系統，只需要僅購買一個全功能單元和多個減配單元。然后通過復制軟件，使減配單元也能表現得如同全功能單元一樣，但所需支付的價格更低。這最終會使系統供應商的利益受損。

在每個子系統的電路板上部署ADI公司的SHA-256設備（如DS28E25安全認證器），可有效防止此類不當做法，保護系統供應商的利益。除了執行質詢-響應認證外，DS28E25還能將各種配置設置存儲在其用戶的EEPROM中。正如在數據安全部分所述，這些數據受到保護，未經授權無法更改，系統供應商因此享有完全控制權。系統設計人員可以酌情選擇以位圖或編碼字的形式存儲配置設置。

安全認證設備概述

通用設備架構

設備中的SHA引擎可以根據要執行的操作，以三種方式之一運行。無論何種情況，引擎都會接收輸入數據并計算MAC結果。對于每類操作，根據MAC結果的目標用途，SHA引擎的輸入數據會有所差異。基于對稱密鑰的安全系統的基本要求是，對于任何SHA操作，主機必須知道或能夠計算出待認證的附屬設備中存儲的密鑰。

注：鑒于安全認證產品的安全性和應用敏感性，本文不討論設備細節。簽署保密協議(NDA)后可獲取完整版的設備數據手冊，其中會提供這方面的信息。

質詢-響應認證MAC

SHA-2或SHA-3安全認證器的主要用途是質詢-響應認證。主機發送一個隨機質詢，并指示附屬設備根據質詢、密鑰、用戶內存和其他數據（這些數據共同構成“消息”）計算MAC響應（圖8）。

圖8 質詢-響應認證MAC的數據流

計算完成后，附屬設備將其MAC發送給主機進行驗證。主機隨后使用有效的密鑰和附屬設備所用的消息數據再次計算MAC。如果它和從附屬設備接收到的MAC一致，就可以確認該設備是可信的，因為只有正品配件才能正確響應質詢-響應序列。質詢必須基于隨機數據，這一點至關重要。如果質詢永遠不變，就會為重放攻擊提供可乘之機：攻擊者可以重放之前截獲的有效靜態MAC，替代由真實配件即時計算的MAC，從而繞過認證機制。

數據安全

除了證明真實性外，我們還希望知道附屬設備中存儲的數據是否可信。基于這一考量，安全認證器中的EEPROM寫入權限受到嚴格限制，以防止數據被篡改。

將數據從輸入緩沖區復制到EEPROM或控制寄存器之前，附屬設備會要求主機提供有效的寫訪問認證MAC以證明其真實性。附屬設備根據其輸入緩沖存儲器中的新數據、其密鑰和其他數據計算此MAC，如圖9所示。

真實的主機知道或能夠計算密鑰，并能夠生成有效的寫訪問MAC。附屬設備在復制存儲命令期間接收到來自主機的MAC時，會將其與自己的計算結果進行比較。只有當兩個MAC一致時，數據才會從輸入緩沖區傳輸到EEPROM中的目標位置。當然，即使MAC正確，被設定為寫保護的存儲頁面也是無法修改的。

圖9 寫訪問認證MAC的數據流

密鑰保護

ADI公司安全認證器的架構允許將密鑰直接加載到設備中。密鑰受讀取保護機制的保障，必要時還可啟用寫入保護，以徹底禁止其被修改。只要在設備生產現場的初次安裝期間確保對密鑰的訪問是安全且受控的，該保護機制就能有效發揮作用。

有多種方式可提高密鑰的質量：

1)讓附屬設備計算其密鑰。

2)讓附屬設備分多個階段在不同地點計算其密鑰。

3)在密鑰計算中通過納入唯一的設備ID號來創建設備專屬的密鑰。

4)或者方式2和3的組合。

如果每個安全認證器獨立計算其密鑰，則只有密鑰的組成要素是已知的，而密鑰本身永遠不會暴露。如果密鑰分多個階段在不同地點計算，則各地點僅知曉該密鑰的局部信息。這種方式可以有效控制對“最終密鑰”的知情范圍。如果密鑰是設備專屬的，則主機需要執行額外的計算步驟，但在這種情況下，即便設備密鑰被意外泄露，潛在損害也會非常小。如果密鑰分多個階段計算且是設備專屬的，則可以實現盡可能高的保密性。然而，主機同配件一樣，也需要在不同地點設置，以防止系統保密性被破壞。

如果要求安全認證器計算密鑰，則它會使用SHA引擎和設備專屬的數據項來計算MAC，如圖10所示。然后，它會使用MAC結果推導出新的密鑰。

圖10 新密鑰計算的數據流

結語

借助ADI公司的安全認證解決方案，系統開發商能夠有效防范配件或子系統的仿冒風險。此外，防篡改用戶存儲器提供了安全的方法來啟用或禁用系統的選配功能。一顆小巧而強大的硅芯片，可能成為撬動企業利潤增長的關鍵。

參考文獻

[1]G. F. O. f. I. S. (BSI)，“A Study on Hardware Attacks against Microcontrollers”，17 03 2023。[線上資料]。網址：

https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/HardwareAttacks/Hardware-Attacks-Microcontroller.html。[2024年5月28日訪問]。

[2]S. S. a. C. W. Franck Courbon，“Reverse Engineering Flash EEPROM Memories Using Scanning Electron Microscopy”，CARDIS 2016: Smart Card Research and Advanced Applications，2016年。

[3]Limited Results，“Nuvoton M2351 MKROM”，2020年1月12日。[線上資料]。網址：https://limitedresults.com/2020/01/nuvoton-m2351-mkrom-armv8-m-trustzone/。[2024年5月31日訪問]。

[4]K. H. P. B. Jean-Fran?cois Lalande，“Software countermeasures for control flow integrity of smart card C codes”，第19屆歐洲計算機安全研究研討會，波蘭弗羅茨瓦夫，2014年。

[5]J. Fruhlinger，“Threat modeling explained: A process for anticipating cyber attacks”，CSO，2020年4月。[線上資料]。網址：https://www.csoonline.com/article/569225/threat-modelingexplained-a-process-for-anticipating-cyber-attacks.html。[2024年7月25日訪問]。