下一代汽車照明電源
保密通信的實(shí)質(zhì)是保護(hù)密鑰,較長的密鑰在一定程度上能夠防止通過強(qiáng)硬的計(jì)算技術(shù)破解代碼,但這種保護(hù)措施無法滿足同樣重要的物理安全性的要求。為了從根本上解決物理安全性問題,必須考慮幾個(gè)問題,包括:產(chǎn)生隨機(jī)密鑰的物理機(jī)制,防止在認(rèn)證代理之間傳送密鑰時(shí)被隱秘地電子攔截,防止被秘密進(jìn)行物理和機(jī)械偵測的安全密鑰存儲方法。
Maxim的DS36xx系列安全監(jiān)視器從封裝設(shè)計(jì)到外部傳感器接口,直至內(nèi)部電路體系結(jié)構(gòu)采用了一系列的獨(dú)特功能,為軍品電子設(shè)計(jì)工程師提供了所需要的全部功能。器件具備這些特性后,更容易達(dá)到傳統(tǒng)的和新興的便攜式軍品的計(jì)算以及通信安全標(biāo)準(zhǔn)的要求。因此,這些器件具有強(qiáng)大的應(yīng)用潛力,如圖1所示。
圖1. DS36xx器件適合多種現(xiàn)在和未來軍事以及國家保密通信功能,包括保密通信和客戶認(rèn)證
電子數(shù)據(jù)的安全性要求
在聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)中,美國政府規(guī)定了密碼模塊必須符合嚴(yán)格的(尚未分級)應(yīng)用要求。該標(biāo)準(zhǔn)由國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)出版,F(xiàn)IPS 140-2標(biāo)準(zhǔn)有四個(gè)基本級別:
第1安全級:無物理安全機(jī)制要求(只實(shí)現(xiàn)NIST標(biāo)準(zhǔn)化密碼算法)
第2安全級:篡改存跡物理安全
第3安全級:防篡改物理安全
第4安全級:物理安全提供保護(hù)層
對于要求高級別安全性的軍事通信應(yīng)用,設(shè)計(jì)必須符合國家安全局(NSA) 1類認(rèn)證標(biāo)準(zhǔn)。經(jīng)過NSA認(rèn)證的設(shè)備用于加密機(jī)密的美國政府信息。認(rèn)證過程非常嚴(yán)格,包括以下項(xiàng)目的測試和分析:
密碼安全
功能安全
防篡改
發(fā)射安全
產(chǎn)品生產(chǎn)和分銷的安全性
必須符合這些標(biāo)準(zhǔn)的一種常見設(shè)備是工作在作戰(zhàn)信息網(wǎng)絡(luò)戰(zhàn)術(shù)(WIN-T)系統(tǒng)中的通信設(shè)備,這一戰(zhàn)術(shù)通信協(xié)議用于戰(zhàn)爭前線。WIN-T支持多種數(shù)據(jù)、語音和視頻功能。該網(wǎng)絡(luò)提供可靠的移動(dòng)寬帶通信支持,使戰(zhàn)士能夠始終保持暢通的連接。WIN-T采用通用的通信技術(shù),例如無線局域網(wǎng)(WLAN)、以太網(wǎng)協(xié)議傳輸語音(VoIP),以及第三代蜂窩/衛(wèi)星通信技術(shù)等。WIN-T連接作戰(zhàn)地面區(qū)域的戰(zhàn)士與國防部(DoD)全球網(wǎng)的指揮官之間的通信。
任何軍事設(shè)備,WIN-T信息安全性非常重要。WIN-T的體系結(jié)構(gòu)必須允許經(jīng)過認(rèn)證的用戶自由訪問網(wǎng)絡(luò),同時(shí)也要能夠監(jiān)測并拒絕非法攻擊。同樣,必須從一開始就內(nèi)置WIN-T安全功能,而不是事后加入安全保護(hù)。這種方法保證了語音和數(shù)據(jù)在網(wǎng)絡(luò)上的安全保密傳輸。
過去,系統(tǒng)設(shè)計(jì)的主要目標(biāo)是快速部署,而安全功能則通過在現(xiàn)場更新實(shí)現(xiàn)。導(dǎo)致這種方式的主要原因是人們通常認(rèn)為內(nèi)置安全功能非常昂貴,有可能拖延計(jì)劃。然而,目前的軍事通信設(shè)備都要求從一開始就具備高級安全功能,提高通用性和連通能力,符合FIPS 140-2、NSA和WIN-T的要求。在其他軍事應(yīng)用中,安全和防入侵也逐漸成為關(guān)鍵因素。例如,MESHnet Firewall最近開發(fā)的General Dynamics®和Secure Computing®已經(jīng)用于作戰(zhàn)車輛。
綜上所述,新一代軍事通信系統(tǒng)或組件如果不能首先滿足應(yīng)用標(biāo)準(zhǔn),就不能投入使用。特別是,目前要求軍事通信設(shè)備至少要符合FIPS 140-2第3和第4安全等級。而且,在更高級的應(yīng)用中,設(shè)計(jì)工程師還必須遵照NSA 1類以及最新實(shí)施的WIN-T規(guī)范。通常情況下,軍事應(yīng)用至少需要符合FIPS 140-2的第3安全級認(rèn)證。
滿足安全性要求
對于系統(tǒng)設(shè)計(jì)人員而言,達(dá)到美國政府頒布的安全要求是一項(xiàng)艱巨任務(wù)。隨著對系統(tǒng)構(gòu)成潛在威脅的因素不斷增加,安全性標(biāo)準(zhǔn)也隨之變化,隨著時(shí)間的推移安全性的要求也更加苛刻。
為了跟上安全標(biāo)準(zhǔn)的變化,設(shè)計(jì)人員需要解決很多棘手問題,因?yàn)樵O(shè)計(jì)過程必須考慮安全等級的要求,以及所設(shè)計(jì)的安全設(shè)備的最終目的等。例如,只對密鑰重新加密不會明顯提高密鑰的安全性,因?yàn)橐呀?jīng)有成熟技術(shù)能夠竊取密鑰。因此,需要組合使用幾種不同方法來保證密鑰的安全性,包括增強(qiáng)物理安全性等。
設(shè)計(jì)符合FIPS 140-2 (第3和第4安全級)、NSA 1類或WIN-T要求的安全軍事系統(tǒng)時(shí),重要的是采用具有全面防篡改技術(shù)的器件,在主電源失效時(shí)這些器件也能發(fā)揮效用。Maxim的DS36xx系列產(chǎn)品,例如,圖2所示的DS3600,即使在電池供電時(shí)仍然能夠主動(dòng)探測篡改侵入,提供了保證密鑰和關(guān)鍵數(shù)據(jù)安全的集成方案(在主電源失效時(shí)會立即響應(yīng),確保工作的順暢)。不論是否有電源供電,片內(nèi)電源監(jiān)測器以及電池開關(guān)保證了所有篡改監(jiān)測機(jī)制始終保持有效的工作。器件持續(xù)檢測主電源—當(dāng)它降到下限門限值時(shí),立即自動(dòng)切換到外部備用電池,保持內(nèi)部和外部保護(hù)電路繼續(xù)工作。這樣,設(shè)備主電源失效時(shí),不會中斷防篡改探測。
圖2. DS3600安全監(jiān)測器同時(shí)利用監(jiān)測功能和安全機(jī)制來偵測篡改,保護(hù)備用電池供電的易失存儲器的內(nèi)容,例如,內(nèi)部存儲的密鑰及其他存儲在外部SRAM中的敏感數(shù)據(jù)
為達(dá)到FIPS 140-2 (第3和第4安全級)以及NSA 1類和WIN-T規(guī)范的要求,防篡改偵測器件應(yīng)該允許設(shè)計(jì)人員加入他們自己的外部傳感器,這樣,可以在存儲受保護(hù)數(shù)據(jù)的器件周圍提供保護(hù)層,即安全邊界。通過在DS36xx系列附加外部傳感器,系統(tǒng)設(shè)計(jì)人員具備了獨(dú)特而又靈活的方法來加入應(yīng)用安全層,從而滿足了政府部門頒布的各種標(biāo)準(zhǔn)要求。
為滿足各種政府標(biāo)準(zhǔn)的要求,DS36xx安全監(jiān)測器可以同時(shí)監(jiān)視模擬供電電壓、數(shù)字信號以及阻性網(wǎng)絡(luò)保護(hù)傳感器網(wǎng)格等。此外,所有DS36xx器件都提供芯片級球柵陣列(CSBGA)封裝(參見圖3)。通過嚴(yán)格限制對安裝器件引腳的訪問,這些封裝還提供了控制保護(hù)和數(shù)據(jù)信號的另一層無源物理安全保護(hù)。
圖3. 器件安裝到電路板后,DS36xx系列的CSBGA封裝限制對I/O信號的訪問,從而提供了無源保護(hù)層
內(nèi)部安全性
DS36xx器件還包括其他的保護(hù)層,實(shí)現(xiàn)內(nèi)部篡改偵測機(jī)制。這些內(nèi)部偵測機(jī)制提高了器件和外部防篡改探測傳感器定制配置的接口能力。內(nèi)部防篡改偵測機(jī)制包括一個(gè)片內(nèi)溫度傳感器、開封監(jiān)測器、電源監(jiān)測器、電池監(jiān)測器以及振蕩器監(jiān)測器,提供連續(xù)的防篡改偵測。監(jiān)測功能始終保持工作,特別是在采用電池供電時(shí)。
對于外部安全機(jī)制,當(dāng)達(dá)到用戶定義或工廠設(shè)置的門限時(shí),內(nèi)部保護(hù)機(jī)制被觸發(fā)。例如,為滿足NSA等必須具備的認(rèn)證體,以及FIPS和WIN-T等標(biāo)準(zhǔn),設(shè)計(jì)人員可以使用內(nèi)部溫度傳感器監(jiān)測基底溫度。一旦達(dá)到溫度門限的上限和下限,器件啟動(dòng)防篡改響應(yīng)。
除了測量瞬時(shí)溫度之外,DS36xx還提供其他的溫度檢測功能。特別是,速率變化探測器對基底溫度變化速率的監(jiān)測。溫度的快速增加或降低都會觸發(fā)器件的防篡改響應(yīng),提供額外保護(hù),防止更高級別的加密數(shù)據(jù)恢復(fù)技術(shù)的入侵。
從受保護(hù)的SRAM中恢復(fù)數(shù)據(jù)的一條途徑是在器件斷電前加入液氮,這種方法將沒有供電的SRAM數(shù)據(jù)的保持時(shí)間延長到毫秒級。然而,DS36xx系列的溫度監(jiān)測功能可以判斷出這一篡改事件,在低溫存儲器保持功能起作用之前,器件就會擦除其內(nèi)部存儲器。存儲器采用硬件連接,高速擦除功能在不到100ns的時(shí)間內(nèi)即可清零整個(gè)存儲陣列。其他的篡改事件(例如,互鎖底部)或向器件的I²C/SPI™兼容接口直接發(fā)送命令也能夠觸發(fā)這一功能。
DS36xx器件還具備一項(xiàng)專有技術(shù)—無印跡密鑰存儲器†。無印跡密鑰存儲器解決了SRAM存儲單元氧化層電荷累積或耗盡(取決于所存儲的數(shù)據(jù))導(dǎo)致的安全問題。長期存儲在這類傳統(tǒng)存儲單元中的數(shù)據(jù)隨著時(shí)間的變化產(chǎn)生氧化層應(yīng)變,在存儲位置留下了數(shù)據(jù)記憶。即使清除這些單元后,也可以讀出數(shù)據(jù)。
而新開發(fā)的非記憶密鑰存儲技術(shù)避免了氧化應(yīng)變現(xiàn)象。該技術(shù)改進(jìn)了器件的普通電池供電SRAM存儲器。因此,當(dāng)探測到篡改事件或者通過命令直接清除存儲器后,整個(gè)存儲器都被清除,不會留下可能恢復(fù)的數(shù)據(jù)痕跡。軍用和政府機(jī)構(gòu)的應(yīng)用產(chǎn)品設(shè)計(jì)人員利用這一功能,可以開發(fā)獨(dú)特而且非常安全的存儲高度敏感密鑰的產(chǎn)品。
篡改事件響應(yīng)
DS36xx器件不斷監(jiān)視上述所有篡改入侵事件,偵測到篡改后,通過內(nèi)部或外部防篡改機(jī)制立即做出防篡改響應(yīng)。偵測篡改事件從識別篡改源開始,在導(dǎo)致篡改事件的狀態(tài)清除之前,將一直鎖定篡改事件。然后,才會復(fù)位篡改事件。表1列出了DS36xx器件在篡改響應(yīng)期間的措施步驟。
表1. DS36xx器件探測到篡改事件時(shí)采取的措施步驟 Step Action
1 The internal encryption key is immediately, completely, and actively erased (if applicable).
2 The external RAM is erased (if applicable).
3 The tamper-latch registers record the state of the tamper input sources.
4 The tamper output asserts to alert the system processor.
5 The tamper-event time-stamp register records the time of the tamper event.
支持高度安全的軍事應(yīng)用
不但保護(hù)存儲密鑰需要采用物理安全措施,實(shí)際密鑰的生成也需要物理安全性。即用于生成數(shù)字密鑰的方法必須保證不會非法復(fù)制密鑰,不論是采用相同設(shè)備(這違背了DS36xx系列的安全數(shù)據(jù)存儲目的),還是完全復(fù)制設(shè)備。
DS36xx器件的隨機(jī)數(shù)發(fā)生器(RNG)采用確定性偽隨機(jī)算法,使用芯片自帶的兩個(gè)隨機(jī)源產(chǎn)生種子。這一函數(shù)提供了連續(xù)比特流,主機(jī)CPU對其進(jìn)行后處理,形成認(rèn)證軟件RNG函數(shù)種子。而且,每一DS36xx安全監(jiān)測器含有工廠預(yù)設(shè)的唯一芯片序列號,可通過I/O端口讀取該序列號。芯片序列號為用戶提供了獨(dú)特的識別每個(gè)最終產(chǎn)品的途徑。
此外,最新的DS36xx器件還可以根據(jù)篡改類型擦除某些特殊存儲單元。這一功能被稱為擦除等級(參見表2器件),適用于整個(gè)設(shè)備保持完整性的應(yīng)用。即在發(fā)生了篡改后,雖然不能使用全部功能,但還可以在一定程度上繼續(xù)使用該器件。通信設(shè)備既屬于此類應(yīng)用,例如安全軍事通信設(shè)備,即使出現(xiàn)了篡改事件,設(shè)備也必須具有一定的工作能力。
除了高級數(shù)據(jù)安全功能外,很多國防應(yīng)用還要求承受較寬的工作和存儲溫度范圍。雖然DS36xx器件主要用于在普通工作環(huán)境中提供較高的安全功能,該系列中某些最新的產(chǎn)品也支持較寬的工作溫度范圍,達(dá)到整個(gè)軍品級溫度范圍(DS36xx為-55°C至+95°C,而軍品級范圍是-55°C至+125°C)。
結(jié)論
如表2所示,DS36xx系列安全監(jiān)視器具有多種功能,使系統(tǒng)能夠產(chǎn)生并存儲密鑰,監(jiān)視篡改事件,偵測到篡改事件后,主動(dòng)徹底地破壞密鑰。此外,利用DS36xx器件提供的外部輸入功能,系統(tǒng)設(shè)計(jì)人員可以在應(yīng)用中增加更多的安全保護(hù)層,以滿足FIPS、NSA和WIN-T頒布的要求。
| 【上一個(gè)】 智能照明系統(tǒng)的簡單原理應(yīng)用 | 【下一個(gè)】 新的電源鐵氧體磁心及其應(yīng)用 |
| ^ 下一代汽車照明電源 |