為設(shè)計(jì)選擇正確的安全身份驗(yàn)證方法

任何關(guān)心其客戶、品牌和聲譽(yù)的知名公司都希望保護(hù)其產(chǎn)品不被復(fù)制或克隆。然而，假冒電子產(chǎn)品繼續(xù)存在，每年給行業(yè)造成數(shù)十億美元的損失。例如，據(jù)估計(jì)，灰色市場(chǎng)吞噬了電子元件市場(chǎng)總收入的 8% 左右。

不幸的是，沒(méi)有一種神奇的解決方案可以提供持久、無(wú)懈可擊的安全性。但是，當(dāng)邪惡勢(shì)力努力保持領(lǐng)先于他們的威懾力量時(shí)，那些遵守法律的人在他們自己的武器庫(kù)中擁有身份驗(yàn)證技術(shù)。

當(dāng)然，有不同級(jí)別的有效身份驗(yàn)證。以打印機(jī)墨盒為例。為了驗(yàn)證它的真實(shí)性，墨盒可以發(fā)送一個(gè)密碼。但是這種方法的缺點(diǎn)是中間人可以在密碼被傳輸時(shí)捕獲并重新使用它。質(zhì)詢-響應(yīng)身份驗(yàn)證，其中墨盒可以證明它知道一個(gè)秘密而不泄露它，提供了一個(gè)更好的選擇。

有兩種不同的加密算法類型需要考慮：對(duì)稱密鑰（或秘密密鑰）和非對(duì)稱密鑰（或公鑰）。讓我們仔細(xì)看看每種類型。

雙向認(rèn)證的對(duì)稱密鑰

對(duì)稱密鑰具有以下特征：

主機(jī)和從機(jī)必須使用相同的密鑰進(jìn)行操作

必須保護(hù)機(jī)密免受雙方的泄露攻擊

支持雙向身份驗(yàn)證

對(duì)于可比較的安全級(jí)別，算法復(fù)雜度更低，計(jì)算時(shí)間更短

對(duì)稱密鑰認(rèn)證的一個(gè)例子可以使用從輸入數(shù)據(jù)計(jì)算的消息摘要連同對(duì)稱密鑰并利用安全散列算法 （SHA-x） 來(lái)實(shí)現(xiàn)。SHA-x 加密哈希函數(shù)由美國(guó)國(guó)家安全局 （NSA） 設(shè)計(jì)，是在數(shù)字?jǐn)?shù)據(jù)上運(yùn)行的計(jì)算復(fù)雜的數(shù)學(xué)運(yùn)算。您可以通過(guò)將計(jì)算的哈希值與已知和預(yù)期的哈希值1進(jìn)行比較來(lái)確定數(shù)據(jù)完整性。 密碼散列特性是不可逆的，因此在計(jì)算上無(wú)法確定對(duì)應(yīng)于消息認(rèn)證碼 （MAC） 的輸入。它們還具有抗沖突性，因此要找到一個(gè)以上產(chǎn)生給定 MAC 的輸入消息是不切實(shí)際的。更重要的是，它們具有很高的雪崩效應(yīng)，因此輸入的任何變化都會(huì)導(dǎo)致 MAC 結(jié)果發(fā)生顯著變化。因此，SHA-x 已被證明對(duì)于安全身份驗(yàn)證和小型摘要加密非常有效。圖 1 提供了使用基于 FIPS 180 的 SHA-256 身份驗(yàn)證算法的對(duì)稱密鑰加密解決方案的示例。

消息摘要是在從機(jī)端根據(jù)共享密鑰和來(lái)自主機(jī)的數(shù)據(jù)計(jì)算的。

圖 1：Maxim 的 DS28C22 DeepCover 安全驗(yàn)證器通過(guò)雙向質(zhì)詢和響應(yīng) SHA-256 驗(yàn)證和加密保護(hù)嵌入式設(shè)計(jì)、外設(shè)和傳感器。

非對(duì)稱密鑰降低了密鑰管理的復(fù)雜性

非對(duì)稱密鑰具有以下特點(diǎn)：

主機(jī)使用公鑰操作，而從機(jī)有相應(yīng)的私鑰

必須保護(hù)私鑰，但不需要保護(hù)公鑰不被泄露

僅支持從屬設(shè)備的身份驗(yàn)證

對(duì)于可比較的安全級(jí)別，算法復(fù)雜性增加，計(jì)算時(shí)間更長(zhǎng)

使用橢圓曲線數(shù)字簽名算法 （ECDSA） 計(jì)算的數(shù)字簽名可以實(shí)現(xiàn)非對(duì)稱密鑰認(rèn)證的示例（數(shù)字簽名算法 （DSA） 和 RSA-DSA 是其他示例。）ECDSA 使用橢圓曲線加密，其中比特密鑰的大小在強(qiáng)度方面相當(dāng)于對(duì)稱密碼大小的兩倍（256 位 ECDSA 與 128 位 AES 一樣安全）。使用 ECDSA，公鑰僅用于驗(yàn)證；無(wú)需保護(hù)公鑰免受偽造者或黑客的侵害。保護(hù)私鑰至關(guān)重要。對(duì)于很難甚至不可能保護(hù)主機(jī)密鑰的系統(tǒng)，ECDSA 非對(duì)稱身份驗(yàn)證提供了非常強(qiáng)大的安全性。如果您使用多個(gè)合同制造商，或者如果您將產(chǎn)品許可給您的客戶，這也是理想的選擇。

圖 2：Maxim 的 DS28E35 DeepCover Secure Authenticator 為各種應(yīng)用提供加密強(qiáng)大的身份驗(yàn)證安全性，包括醫(yī)療傳感器、工業(yè)可編程邏輯控制器 （PLC） 模塊和消費(fèi)類設(shè)備。

在線工具幫助您選擇認(rèn)證解決方案

那么您如何決定在您的設(shè)計(jì)中使用哪種身份驗(yàn)證方法呢？Maxim 提供簡(jiǎn)單的在線身份驗(yàn)證顧問(wèn)工具，幫助您根據(jù)最終應(yīng)用選擇正確的安全身份驗(yàn)證解決方案。Maxim 的DeepCover Secure Authenticators提供從數(shù)字 ID 到加密強(qiáng)身份驗(yàn)證的高級(jí)物理安全性，提供低成本的 IP 保護(hù)、克隆預(yù)防和外圍設(shè)備身份驗(yàn)證。

審核編輯：郭婷