使用硬件AES引擎保護(hù)關(guān)鍵數(shù)據(jù)

本應(yīng)用筆記描述了MAX36025 DeepCover?防篡改反應(yīng)加密節(jié)點(diǎn)控制器如何實(shí)現(xiàn)有效的物理篡改保護(hù)，幫助設(shè)計(jì)人員克服當(dāng)前和下一代系統(tǒng)中的安全挑戰(zhàn)。

所有終端設(shè)備類別的安全要求都在迅速提高。這種趨勢(shì)，加上軟件病毒的風(fēng)險(xiǎn)，導(dǎo)致硬件安全實(shí)施的流行程度越來(lái)越高。因此，設(shè)計(jì)人員在當(dāng)前和下一代系統(tǒng)中面臨許多安全問(wèn)題，包括如何安全地加密數(shù)據(jù)和保護(hù)加密密鑰。

為了使任何安全解決方案有效，必須實(shí)施物理篡改保護(hù)，因?yàn)榧词故亲顝?fù)雜的安全微處理器、現(xiàn)場(chǎng)可編程門陣列 （FPGA）、智能卡和其他安全組件也容易受到某些攻擊場(chǎng)景的影響。這種威脅需要在系統(tǒng)關(guān)閉時(shí)維護(hù)一些有源電路，以檢測(cè)旨在提取關(guān)鍵信息的潛在攻擊。為此，安全設(shè)備必須消耗低功耗并與多個(gè)傳感器接口以檢測(cè)威脅。這些設(shè)備還需要在包含敏感內(nèi)容的電路周圍創(chuàng)建安全邊界。此外，如果安全組件可以保護(hù)加密密鑰以及安全地加密數(shù)據(jù)，則可以為系統(tǒng)提供更高級(jí)別的保護(hù)，并緩解設(shè)計(jì)人員當(dāng)前面臨的一些問(wèn)題。

MAX36025 DeepCover?防篡改反應(yīng)式加密節(jié)點(diǎn)控制器正是這樣做的。它將加密密鑰存儲(chǔ)在獲得專利的*無(wú)印記存儲(chǔ)器 （1KB） 中，通過(guò)監(jiān)控物理篡改來(lái)保護(hù)密鑰，并在兩個(gè)硬件高級(jí)加密標(biāo)準(zhǔn) （AES） 引擎中加密和解密數(shù)據(jù)。MAX36025采用現(xiàn)有Maxim安全管理器的安全屬性，提供安全存儲(chǔ)器來(lái)存儲(chǔ)關(guān)鍵信息，還具有認(rèn)證網(wǎng)關(guān)，通過(guò)發(fā)送質(zhì)詢響應(yīng)，首先對(duì)任何試圖與其通信的處理器進(jìn)行認(rèn)證。當(dāng)兩個(gè)已知密鑰在微處理器和設(shè)備之間成功交換時(shí)，身份驗(yàn)證過(guò)程通過(guò)加密的 I2C 接口進(jìn)行。已知密鑰加載到MAX36025的安全位置。如果身份驗(yàn)證未成功進(jìn)行，設(shè)備將不允許訪問(wèn)內(nèi)部安全存儲(chǔ)器。身份驗(yàn)證成功后，可以將加密密鑰加載到非印記安全內(nèi)存中。此外，還可以設(shè)置篡改參數(shù)以及通過(guò)兩個(gè) AES 引擎進(jìn)行數(shù)據(jù)路由。

AES 引擎可以在許多場(chǎng)景中運(yùn)行（參見(jiàn)圖 1 到 圖 3），以 9Mbps 的吞吐率加密、解密或同時(shí)加密和解密關(guān)鍵數(shù)據(jù)。AES 引擎通過(guò)兩個(gè)獨(dú)立的雙向 SPI 接口訪問(wèn)。此外，串行閃存接口可以將大量加密數(shù)據(jù)存儲(chǔ)到外部串行閃存中。這允許用戶將數(shù)據(jù)安全地存儲(chǔ)在標(biāo)準(zhǔn)串行閃存中。

MAX36025是新發(fā)布的安全管理器，可以更輕松地在系統(tǒng)中實(shí)現(xiàn)AES加密。作為基于狀態(tài)機(jī)的器件，MAX36025不需要代碼**即可與其通信，從而縮短了設(shè)計(jì)時(shí)間。該器件在市場(chǎng)上是獨(dú)一無(wú)二的，因?yàn)樗鼘⒂布嗀ES引擎與一組強(qiáng)大的安全功能相結(jié)合，包括獲得專利的非印記存儲(chǔ)器。

圖1.使用一個(gè) AES 引擎加密數(shù)據(jù)。

圖2.使用兩個(gè) AES 引擎加密數(shù)據(jù)。

圖3.將加密數(shù)據(jù)存儲(chǔ)在外部串行閃存中。

審核編輯：郭婷