账号:
密码:
CTIMES / 文章 /   
想要防范伪冒?为设计选用合适安全验证方法
 

【作者: Christine Young】2017年07月04日 星期二

浏览人次:【16295】
  


任何关心顾客、品牌、以及商誉的知名企业都想要保护自己产品,以防遭到复制或仿冒。尽管如此,伪冒电子商品依然层出不穷,每年造成业界数十亿美元的损失。举例来说,据估计未经商标拥有者授权的灰色市场(gray market),每年就吞掉全球电子元件约8%的营收比重。


不幸的是,现今还没有神奇妙方能提供持久且坚不可摧的安全性。各种邪恶力量想方设法攻破防线,所幸正义一方手中还有各种验证技术予以抗衡。


身分验证有分许多等级。以印表机墨水匣/碳粉匣为例,系统若要监别墨水匣/碳粉匣是否为原厂,可要求墨水匣/碳粉匣送出密码以进行验证。但这种作法的缺点是可能有人居中拦截传输中的密码,然後重复使用该密码。挑战-回应式的验证机制(Challenge-response authentication),在墨水匣/碳粉匣里面存放机密讯息而且不会外泄,这种机制会是比较好的选项。


这方面有两种不同的密码演算法供大家考量评估:对称式密钥(或私密金钥)以及非对称式密钥(或公开金钥)。以下详细分析两种密钥。


供双向验证的对称式密钥

对称式密钥有以下特性:


· 主机端与从属端必须使用相同机密金钥执行加密/解密


· 主从两端都必须妥善保护机密金钥不容外泄


· 能支援双向验证


· 以相近的安全等级来做比较,这种密码的演算法复杂度较低,所需的运算时间也比较短


使用对称式密钥进行验证,其中一个例子就是根据一个对称式密钥,对输入资料的讯息摘要套用安全杂凑演算法(SHA-x)进行监别。美国国家安全局(NSA)设计的SHA-x密码杂凑函数涉及极复杂的运算,对数位资料进行繁复的数学验算。只要拿运算出的杂凑值和预期的杂凑值两相比对,就能判断资料的完整性。由於密码杂凑具有不可逆的特性,因此无法用运算的手段,从输入资料找到相对应的讯息监别码(MAC)。


另外,它还具有防碰撞能力(collision-resistant),在实务上找不到两个讯息会产生相同的MAC。此外它更具有产生雪崩效应(high avalanche effect )的特性,只要输入资料有任何异动,都会让最终产生的MAC产生大幅的改变。因此SHA-x对於安全验证以及小量摘要讯息的加密很用效。图一显示一个对称式密钥加密解决方案,采用符合FIPS 180数位签章标准的SHA-256验证演算法。


从属端可根据公用密码以及主机端传来的资料,对讯息摘要内容进行运算。



图一 : Maxim的DS28C22 DeepCover Secure Authenticator能保护各种嵌入式设计、周边、以及感测器,利用双向的挑战-回应SHA-256验证与加密机制提供坚实的防护。
图一 : Maxim的DS28C22 DeepCover Secure Authenticator能保护各种嵌入式设计、周边、以及感测器,利用双向的挑战-回应SHA-256验证与加密机制提供坚实的防护。

非对称密钥降低密钥管理的复杂度

非对称密码具有以下的特性:


· 主机端使用公开金钥,而从属端则用相对应的私密金钥


· 私密金钥必须受保护,但不须保护公开金钥免於外泄


· 只有从属端能进行验证


· 就相近的安全等级相比较,这种验证法的演算法复杂度较高,需要的运算时间也比较长


非对称式密钥验证其中一个例子,就是使用椭圆曲线数位签章演算法(ECDSA)对数位签章进行运算。(其他例子还包括数位签章演算法(DSA)以及RSA-DSA)。ECDSA采用椭圆曲线密码学,金钥的位元长度和防护强度成正比,等於对称式加密法的位元长度乘以二(256位元ECDSA和128位元AES一样安全)。使用ECDSA,公开金钥只用在验证上; 无须保护公开金钥避免遭受伪冒或破解。重点只在保护私密金钥。


对於一些系统而言,要保护主机端的密钥极为困难,甚至根本办不到,ECDSA非对称验证法能为它们提供高防护力的安全性。如果您与多家制造商合作,或将自己产品授权给客户,这种验证法会是理想的选择。图2显示一个符合FIPS 186数位签章标准的ECDSA引擎,能用来建置非对称式加密功能。


图二 : Maxim的DS28E35 DeepCover Secure Authenticator能为各种类型的应用提供高防护力的密码验证机制,其中包括医学感测器、工业可程式逻辑控制器(PLC)模组、以及各种消费装置。
图二 : Maxim的DS28E35 DeepCover Secure Authenticator能为各种类型的应用提供高防护力的密码验证机制,其中包括医学感测器、工业可程式逻辑控制器(PLC)模组、以及各种消费装置。

线上工具帮你挑选验证解决方案

你决定好要为设计产品采用哪一种验证方法了吗? Maxim提供一个简单的线上验证顾问工具,帮你根据终端应用挑选适合的安全验证解决方案。先进物理安全防护机制方面,从数位ID凭证一直涵盖到高防护力的密码验证机制。Maxim的DeepCover Secure Authenticators提供低成本的IP保护功、防范复制、以及周边验证等功能。


(本文作者Christine Young任职於Maxim Integrated资深行销经理)


叁考资料

1.资料来源: https://en.wikipedia.org/wiki/SHA-2


相关文章
实现真正的数位I/O
为什麽骇客迫不急待地想进入您的汽车
您的家庭可能越来越智慧—但防骇客的安全性又如何呢?
工业物联网离不开嵌入式安全性
新世代控制器现身
comments powered by Disqus
相关讨论
  相关新闻
» 抢攻云端市场 零壹科技旗下羽升国际展示四大云端服务
» 西门子叁加「台北101智慧趋势展」 运用虚拟实境与数位建筑模型
» 抢攻智慧办公商机 震旦办公云八大解决方案提升管理效率
» 2018医疗电子与器材国际高峰论坛登场
» 2018台北国际电子产业科技展暨AIoT Taiwan联展登场
  相关产品
» IBM 与 NVIDIA 携手为资料科学家拓展开源机器学习工具
» Fortinet安全织网扩大支援微软Azure云端平台
» 群晖科技推出首款 Mesh Router MR2200ac
» Hortonworks、IBM与红帽协力推动工作负载容器化
» Hitachi Vantara 协助客户管理与保护多云环境中的资料

AD