前言

嵌入式應用無處不在，從消費電子到工業(yè)控制，讓智能化生活觸手可及。然而，在便利的背后，安全威脅也在不斷增加，針對電子設備的安全攻擊事件層出不窮。因此，如何保護設備不被入侵或篡改始終是一項關鍵設計挑戰(zhàn)。

「多場景下的安全認證需求」

在多樣化的應用場景中，安全認證是確保每一次通信都安全可靠的關鍵要素。

電路防抄板：提升產品被仿制的難度

為避免產品一經上市，就被同行“模仿”讓努力都付之東流，甚至失去市場份額。安全認證芯片能在版權保護中發(fā)揮關鍵作用，有效防范反向工程攻擊，避免被未授權的第三方拷貝程序和仿冒。

電子配件認證：杜絕偽造守護品質安全

因假冒偽劣配件而不斷引發(fā)的安全事故，將危及設備功能和用戶安全，從而損害品牌價值。安全認證芯片可用于驗證配件真?zhèn)?，確保僅授權的正品配件得以使用。適用于智能設備電池、打印機墨盒、電子煙煙彈、濾水器和凈水器、可穿戴設備、電動工具等應用。

醫(yī)療耗材認證：配套產品的質量管控

針對醫(yī)療耗材，安全認證芯片可用于存儲傳感器的關鍵醫(yī)療參數，確保耗材能精準校準到儀器。且可用于驗證配件真?zhèn)?，防止使用未經授權的耗材。適用于血氧監(jiān)護儀、心電監(jiān)護儀、B超探頭、便攜式呼吸機等應用。

汽車配件認證：保障汽車零部件安全

針對汽車配件，安全認證芯片可嵌入任何有被偽造風險的汽車外圍設備，用于識別和校準汽車配件，通過驗證汽車組件確保車輛安全性和可靠性。適用于汽車攝像頭、傳感器、電動汽車電池、前燈模塊、車載香氛等應用。

工業(yè)設備安全：讓智能化與安全并行

在工業(yè)自動化中，安全認證芯片用于確保機器和傳感器的數據傳輸不被篡改和偽造，防止因外部攻擊引發(fā)的信息泄露和系統崩潰等問題。

芯品推薦：航芯ACL16_A系列

針對以上應用，航芯推出了一款專為設備認證設計的安全芯片ACL16_A系列。這款芯片集成了多項安全特性，實現數據加密和安全認證的雙重功能，能夠輕松應對各種復雜的設備認證挑戰(zhàn)。采用1-Wire單總線通信，實現簡化設計和高效傳輸，大幅提升認證速度。更為精巧的LGA4封裝設計顯著減少了空間占用，為設計人員在產品布局上提供了更大的靈活性。而且設計人員無需具備深厚的安全加密知識，也能輕松地將ACL16_A系列芯片嵌入到產品中，實現快速開發(fā)和高效安全認證。

「兩種算法滿足多樣化安全認證需求」

對稱加密算法：滿足基礎級安全需求

ACL16_AHM系列是一款基于對稱加密算法的安全認證芯片。采用1-Wire單總線通信，集成了HMAC和SHA-256算法引擎、FIPS/NIST兼容真隨機數發(fā)生器、128-byte安全EEPROM用戶存儲區(qū)、20位僅遞減計數器和唯一的64位ROM識別碼。

ACL16_AHM：HMAC實現安全認證

ACL16_AHM基于對稱加密算法，即加密和解密使用相同的共享密鑰。而HMAC利用對稱加密，可以實現“認證”和“檢測篡改”這兩個功能。

HMAC實現安全認證的過程

由主機向認證器件發(fā)送一個隨機數挑戰(zhàn)。認證器件用共享密鑰加密隨機數，并使用SHA-256對加密結果進行HASH運算，生成一個哈希值作為簽名，并將運算結果發(fā)送給主機。主機執(zhí)行相同的運算并對結果進行比較，如運算結果相同，則認為認證器件是一個合法設備。ACL16_AHM系列HMAC認證的運算時間約5ms。

ACL16_AHM：性能優(yōu)勢和適用場景

HMAC-SHA256算法使用了哈希函數，其計算效率高，對系統性能的影響較小，適用于對認證應答實時性要求高，而主機設備性能要求不高的應用場景，可以在降低成本的同時實現安全認證的需求。

非對稱加密算法：滿足進階級安全需求

ACL16_AEC系列是一款基于非對稱加密算法的安全認證芯片。采用1-Wire單總線通信，集成了ECDSA和SHA-256算法引擎、FIPS/NIST兼容真隨機數發(fā)生器、1KB安全EEPROM存儲區(qū)、20位僅遞減計數器和唯一的64位ROM識別碼。

ACL16_AEC：ECDSA實現安全認證

ACL16_AEC基于非對稱加密算法，即加密和解密使用不同的密鑰：公鑰和私鑰。公鑰用于加密數據或驗證數字簽名，可對外界公開；私鑰用于解密數據或創(chuàng)建數字簽名，僅所有者知道。并且，密鑰將經過證書授權中心簽發(fā)數字證書，明確了密鑰所有者的身份信息。

所以，ECDSA利用非對稱加密，既可以實現“認證”和“檢測篡改”的功能，還可以驗證密鑰所有者的身份，具有更好的防止偽造能力。

ECDSA實現安全認證的過程

由主機向認證器件發(fā)送一個隨機數挑戰(zhàn)。而認證器件根據隨機數和私鑰，使用ECDSA計算數字簽名，并將運算結果發(fā)送給主機。主機使用公鑰對數字簽名進行驗證。如果結果一致，則認為認證器件是一個合法設備。ACL16_AEC系列ECDSA的運算時間約250ms。

ACL16_AEC：性能優(yōu)勢和適用場景

ECDSA-SHA256算法結合了橢圓曲線密碼學和SHA-256的強安全性，加密強度要高于HMAC；相較RSA算法，ECDSA用更短的密鑰長度，實現更高的安全性，對存儲空間和傳輸帶寬占用較少。適用于對安全性要求高，且主機設備具備高性能的移動設備和嵌入式系統。

「密鑰安全存儲難題：航芯有什么高招」

面對不斷進化的安全攻擊手段，密鑰存儲的安全性成為了薄弱環(huán)節(jié)。所以，從密鑰的「誕生」到經歷千萬次的運算「功成身退」，航芯將層層把關每道安全防線，守護產品在全生命周期的功能安全。接下來，我們將深入解讀航芯ACL16_A芯片所具備的一系列強大的安全特性。

密鑰的安全生成：實現長效密鑰保護

ACL16_AHM密鑰的生成：采用對稱算法體系，使用共享密鑰。密鑰可以通過真隨機數發(fā)生器創(chuàng)建或支持客戶定制。通過具有高度安全和保密性的生產環(huán)節(jié)，以密文方式從外部寫入芯片中。

ACL16_AEC密鑰的生成：采用非對稱算法體系，使用「公私鑰對」。密鑰通過芯片內置的真隨機數發(fā)生器和ECDSA硬件算法引擎，自主創(chuàng)建 1 組密鑰，或支持外部寫入，通過證書鏈便于管理，使密鑰分發(fā)更安全。通常私鑰是固定的，但每次應用時都會加入隨機數，所以外部看到的密鑰是在變化的。

密鑰的生命周期與安全性：航芯安全芯片存儲壽命至少10年，而密鑰在全生命周期內都是有效的。在使用的過程中，雖然密鑰是固定的，但每次認證質詢的隨機數不同，所以無法通過模擬單總線上的數據進行破解。

安全存儲功能：敏感信息的堅實盾牌

加密存儲：安全EEPROM存儲區(qū)上的數據采用加密存儲，并且存儲地址使用串擾，從而使得數據在物理層面上不易被直接讀取或解碼。

權限管理：存儲器是可配置的，用于儲存用戶數據、密鑰、控制寄存器、認證證書等。存儲器分為32頁，每頁32字節(jié)，每個存儲頁面都可以配置特定的訪問規(guī)則，如允許讀寫、只讀或需要驗證后才能訪問，確保只有經過授權的操作才能對特定頁面進行讀寫，從而實現了對敏感數據的精確控制。例如，可根據實際應用設定密鑰的訪問權限，實現配置不同安全等級的密鑰。

指令控制：指令集包括ROM和Function兩大部分，它定義了處理器可以執(zhí)行的操作，包括對存儲器的訪問和控制。通過指令集可以實現對存儲器的加密、訪問權限驗證、數據完整性校驗等安全措施。例如，當密鑰被配置為不可讀出后，可通過命令獲得對應的公鑰來實現驗證功能。

固件IP保護：該功能支持安全啟動和安全更新，為設備提供了一個可信任的運行環(huán)境。通過在PCB上放置安全芯片，固件運行時驗證安全芯片是否有正確的密鑰，即使固件被復制也會因為沒有密鑰而無法運行，以此來實現對代碼的保護。

可靠的反制措施：防御多種安全攻擊

通過在密鑰參與運算時引入真隨機數掩碼技術，有效掩蓋了在加解密和簽名驗證過程中因數據運算引起的功耗泄露，有效防御DPA/SPA攻擊；通過監(jiān)測電壓、溫度和電磁場等關鍵參數，確保硬件在安全的環(huán)境中運行，任何超出正常范圍的波動都可能觸發(fā)警報，促使系統采取保護措施，有效抵御DFA錯誤注入攻擊。

賦予芯片身份標識：確保精準識別與安全

128位唯一序列號 (UID)：該序列號綁定了芯片出廠的LOT/WAFER ID和坐標等。該序列號唯一且不可復制，不支持讀出。開發(fā)者可將應用程序與該芯片的序列號綁定，這樣可以使每個下載應用程序的芯片不可被復制。

64位唯一ROM識別碼 (ROM ID)：每個芯片都有唯一且不能更改的64位ROM地址碼，該地址碼由工廠光刻寫入芯片，為每個芯片提供了一個不可篡改的身份標識，防止身份偽造和非法復制。

「1-Wire單總線：簡化設計和高效傳輸」

1-Wire單總線使用1-Wire和GND兩根線，借助芯片內部二極管和外置電容器件，將1-Wire總線上的方波信號轉換成直流電源信號，為從機的硬件系統提供電源輸入，實現主機與一個或多個設備之間的通信，可提供穩(wěn)定可靠的數據傳輸，同時簡化系統設計，降低生產和維護成本，因此成為許多產品設計中的優(yōu)選通信方案。

ACL16_A系列：1-Wire硬件特點

? 1-Wire通信支持最大62.5kbps的高速模式

? 工作電壓：1.75V-3.63V

? 工作溫度：-40℃至+85℃

? 4引腳LGA封裝 (1.22mm*1.22mm*0.35mm)

? 50uA(Typical) StandBy模式

? 2uA(Typical) PoweOff模式

? ESD：±8KV(HBM)

審核編輯 黃宇