下一代汽車(chē)照明電源

保密通信的實(shí)質(zhì)是保護(hù)密鑰,較長(zhǎng)的密鑰在一定程度上能夠防止通過(guò)強(qiáng)硬的計(jì)算技術(shù)破解代碼,但這種保護(hù)措施無(wú)法滿足同樣重要的物理安全性的要求。為了從根本上解決物理安全性問(wèn)題,必須考慮幾個(gè)問(wèn)題,包括:產(chǎn)生隨機(jī)密鑰的物理機(jī)制,防止在認(rèn)證代理之間傳送密鑰時(shí)被隱秘地電子攔截,防止被秘密進(jìn)行物理和機(jī)械偵測(cè)的安全密鑰存儲(chǔ)方法。

Maxim的DS36xx系列安全監(jiān)視器從封裝設(shè)計(jì)到外部傳感器接口,直至內(nèi)部電路體系結(jié)構(gòu)采用了一系列的獨(dú)特功能,為軍品電子設(shè)計(jì)工程師提供了所需要的全部功能。器件具備這些特性后,更容易達(dá)到傳統(tǒng)的和新興的便攜式軍品的計(jì)算以及通信安全標(biāo)準(zhǔn)的要求。因此,這些器件具有強(qiáng)大的應(yīng)用潛力,如圖1所示。

圖1. DS36xx器件適合多種現(xiàn)在和未來(lái)軍事以及國(guó)家保密通信功能,包括保密通信和客戶認(rèn)證

電子數(shù)據(jù)的安全性要求
在聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)中,美國(guó)政府規(guī)定了密碼模塊必須符合嚴(yán)格的(尚未分級(jí))應(yīng)用要求。該標(biāo)準(zhǔn)由國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)出版,F(xiàn)IPS 140-2標(biāo)準(zhǔn)有四個(gè)基本級(jí)別:
第1安全級(jí):無(wú)物理安全機(jī)制要求(只實(shí)現(xiàn)NIST標(biāo)準(zhǔn)化密碼算法)
第2安全級(jí):篡改存跡物理安全
第3安全級(jí):防篡改物理安全
第4安全級(jí):物理安全提供保護(hù)層
對(duì)于要求高級(jí)別安全性的軍事通信應(yīng)用,設(shè)計(jì)必須符合國(guó)家安全局(NSA) 1類認(rèn)證標(biāo)準(zhǔn)。經(jīng)過(guò)NSA認(rèn)證的設(shè)備用于加密機(jī)密的美國(guó)政府信息。認(rèn)證過(guò)程非常嚴(yán)格,包括以下項(xiàng)目的測(cè)試和分析:
密碼安全
功能安全
防篡改
發(fā)射安全
產(chǎn)品生產(chǎn)和分銷的安全性
必須符合這些標(biāo)準(zhǔn)的一種常見(jiàn)設(shè)備是工作在作戰(zhàn)信息網(wǎng)絡(luò)戰(zhàn)術(shù)(WIN-T)系統(tǒng)中的通信設(shè)備,這一戰(zhàn)術(shù)通信協(xié)議用于戰(zhàn)爭(zhēng)前線。WIN-T支持多種數(shù)據(jù)、語(yǔ)音和視頻功能。該網(wǎng)絡(luò)提供可靠的移動(dòng)寬帶通信支持,使戰(zhàn)士能夠始終保持暢通的連接。WIN-T采用通用的通信技術(shù),例如無(wú)線局域網(wǎng)(WLAN)、以太網(wǎng)協(xié)議傳輸語(yǔ)音(VoIP),以及第三代蜂窩/衛(wèi)星通信技術(shù)等。WIN-T連接作戰(zhàn)地面區(qū)域的戰(zhàn)士與國(guó)防部(DoD)全球網(wǎng)的指揮官之間的通信。

任何軍事設(shè)備,WIN-T信息安全性非常重要。WIN-T的體系結(jié)構(gòu)必須允許經(jīng)過(guò)認(rèn)證的用戶自由訪問(wèn)網(wǎng)絡(luò),同時(shí)也要能夠監(jiān)測(cè)并拒絕非法攻擊。同樣,必須從一開(kāi)始就內(nèi)置WIN-T安全功能,而不是事后加入安全保護(hù)。這種方法保證了語(yǔ)音和數(shù)據(jù)在網(wǎng)絡(luò)上的安全保密傳輸。

過(guò)去,系統(tǒng)設(shè)計(jì)的主要目標(biāo)是快速部署,而安全功能則通過(guò)在現(xiàn)場(chǎng)更新實(shí)現(xiàn)。導(dǎo)致這種方式的主要原因是人們通常認(rèn)為內(nèi)置安全功能非常昂貴,有可能拖延計(jì)劃。然而,目前的軍事通信設(shè)備都要求從一開(kāi)始就具備高級(jí)安全功能,提高通用性和連通能力,符合FIPS 140-2、NSA和WIN-T的要求。在其他軍事應(yīng)用中,安全和防入侵也逐漸成為關(guān)鍵因素。例如,MESHnet Firewall最近開(kāi)發(fā)的General Dynamics®和Secure Computing®已經(jīng)用于作戰(zhàn)車(chē)輛。

綜上所述,新一代軍事通信系統(tǒng)或組件如果不能首先滿足應(yīng)用標(biāo)準(zhǔn),就不能投入使用。特別是,目前要求軍事通信設(shè)備至少要符合FIPS 140-2第3和第4安全等級(jí)。而且,在更高級(jí)的應(yīng)用中,設(shè)計(jì)工程師還必須遵照NSA 1類以及最新實(shí)施的WIN-T規(guī)范。通常情況下,軍事應(yīng)用至少需要符合FIPS 140-2的第3安全級(jí)認(rèn)證。


滿足安全性要求
對(duì)于系統(tǒng)設(shè)計(jì)人員而言,達(dá)到美國(guó)政府頒布的安全要求是一項(xiàng)艱巨任務(wù)。隨著對(duì)系統(tǒng)構(gòu)成潛在威脅的因素不斷增加,安全性標(biāo)準(zhǔn)也隨之變化,隨著時(shí)間的推移安全性的要求也更加苛刻。

為了跟上安全標(biāo)準(zhǔn)的變化,設(shè)計(jì)人員需要解決很多棘手問(wèn)題,因?yàn)樵O(shè)計(jì)過(guò)程必須考慮安全等級(jí)的要求,以及所設(shè)計(jì)的安全設(shè)備的最終目的等。例如,只對(duì)密鑰重新加密不會(huì)明顯提高密鑰的安全性,因?yàn)橐呀?jīng)有成熟技術(shù)能夠竊取密鑰。因此,需要組合使用幾種不同方法來(lái)保證密鑰的安全性,包括增強(qiáng)物理安全性等。

設(shè)計(jì)符合FIPS 140-2 (第3和第4安全級(jí))、NSA 1類或WIN-T要求的安全軍事系統(tǒng)時(shí),重要的是采用具有全面防篡改技術(shù)的器件,在主電源失效時(shí)這些器件也能發(fā)揮效用。Maxim的DS36xx系列產(chǎn)品,例如,圖2所示的DS3600,即使在電池供電時(shí)仍然能夠主動(dòng)探測(cè)篡改侵入,提供了保證密鑰和關(guān)鍵數(shù)據(jù)安全的集成方案(在主電源失效時(shí)會(huì)立即響應(yīng),確保工作的順暢)。不論是否有電源供電,片內(nèi)電源監(jiān)測(cè)器以及電池開(kāi)關(guān)保證了所有篡改監(jiān)測(cè)機(jī)制始終保持有效的工作。器件持續(xù)檢測(cè)主電源—當(dāng)它降到下限門(mén)限值時(shí),立即自動(dòng)切換到外部備用電池,保持內(nèi)部和外部保護(hù)電路繼續(xù)工作。這樣,設(shè)備主電源失效時(shí),不會(huì)中斷防篡改探測(cè)。


圖2. DS3600安全監(jiān)測(cè)器同時(shí)利用監(jiān)測(cè)功能和安全機(jī)制來(lái)偵測(cè)篡改,保護(hù)備用電池供電的易失存儲(chǔ)器的內(nèi)容,例如,內(nèi)部存儲(chǔ)的密鑰及其他存儲(chǔ)在外部SRAM中的敏感數(shù)據(jù)

為達(dá)到FIPS 140-2 (第3和第4安全級(jí))以及NSA 1類和WIN-T規(guī)范的要求,防篡改偵測(cè)器件應(yīng)該允許設(shè)計(jì)人員加入他們自己的外部傳感器,這樣,可以在存儲(chǔ)受保護(hù)數(shù)據(jù)的器件周?chē)峁┍Wo(hù)層,即安全邊界。通過(guò)在DS36xx系列附加外部傳感器,系統(tǒng)設(shè)計(jì)人員具備了獨(dú)特而又靈活的方法來(lái)加入應(yīng)用安全層,從而滿足了政府部門(mén)頒布的各種標(biāo)準(zhǔn)要求。

為滿足各種政府標(biāo)準(zhǔn)的要求,DS36xx安全監(jiān)測(cè)器可以同時(shí)監(jiān)視模擬供電電壓、數(shù)字信號(hào)以及阻性網(wǎng)絡(luò)保護(hù)傳感器網(wǎng)格等。此外,所有DS36xx器件都提供芯片級(jí)球柵陣列(CSBGA)封裝(參見(jiàn)圖3)。通過(guò)嚴(yán)格限制對(duì)安裝器件引腳的訪問(wèn),這些封裝還提供了控制保護(hù)和數(shù)據(jù)信號(hào)的另一層無(wú)源物理安全保護(hù)。


圖3. 器件安裝到電路板后,DS36xx系列的CSBGA封裝限制對(duì)I/O信號(hào)的訪問(wèn),從而提供了無(wú)源保護(hù)層


內(nèi)部安全性
DS36xx器件還包括其他的保護(hù)層,實(shí)現(xiàn)內(nèi)部篡改偵測(cè)機(jī)制。這些內(nèi)部偵測(cè)機(jī)制提高了器件和外部防篡改探測(cè)傳感器定制配置的接口能力。內(nèi)部防篡改偵測(cè)機(jī)制包括一個(gè)片內(nèi)溫度傳感器、開(kāi)封監(jiān)測(cè)器、電源監(jiān)測(cè)器、電池監(jiān)測(cè)器以及振蕩器監(jiān)測(cè)器,提供連續(xù)的防篡改偵測(cè)。監(jiān)測(cè)功能始終保持工作,特別是在采用電池供電時(shí)。

對(duì)于外部安全機(jī)制,當(dāng)達(dá)到用戶定義或工廠設(shè)置的門(mén)限時(shí),內(nèi)部保護(hù)機(jī)制被觸發(fā)。例如,為滿足NSA等必須具備的認(rèn)證體,以及FIPS和WIN-T等標(biāo)準(zhǔn),設(shè)計(jì)人員可以使用內(nèi)部溫度傳感器監(jiān)測(cè)基底溫度。一旦達(dá)到溫度門(mén)限的上限和下限,器件啟動(dòng)防篡改響應(yīng)。

除了測(cè)量瞬時(shí)溫度之外,DS36xx還提供其他的溫度檢測(cè)功能。特別是,速率變化探測(cè)器對(duì)基底溫度變化速率的監(jiān)測(cè)。溫度的快速增加或降低都會(huì)觸發(fā)器件的防篡改響應(yīng),提供額外保護(hù),防止更高級(jí)別的加密數(shù)據(jù)恢復(fù)技術(shù)的入侵。

從受保護(hù)的SRAM中恢復(fù)數(shù)據(jù)的一條途徑是在器件斷電前加入液氮,這種方法將沒(méi)有供電的SRAM數(shù)據(jù)的保持時(shí)間延長(zhǎng)到毫秒級(jí)。然而,DS36xx系列的溫度監(jiān)測(cè)功能可以判斷出這一篡改事件,在低溫存儲(chǔ)器保持功能起作用之前,器件就會(huì)擦除其內(nèi)部存儲(chǔ)器。存儲(chǔ)器采用硬件連接,高速擦除功能在不到100ns的時(shí)間內(nèi)即可清零整個(gè)存儲(chǔ)陣列。其他的篡改事件(例如,互鎖底部)或向器件的I²C/SPI™兼容接口直接發(fā)送命令也能夠觸發(fā)這一功能。

DS36xx器件還具備一項(xiàng)專有技術(shù)—無(wú)印跡密鑰存儲(chǔ)器†。無(wú)印跡密鑰存儲(chǔ)器解決了SRAM存儲(chǔ)單元氧化層電荷累積或耗盡(取決于所存儲(chǔ)的數(shù)據(jù))導(dǎo)致的安全問(wèn)題。長(zhǎng)期存儲(chǔ)在這類傳統(tǒng)存儲(chǔ)單元中的數(shù)據(jù)隨著時(shí)間的變化產(chǎn)生氧化層應(yīng)變,在存儲(chǔ)位置留下了數(shù)據(jù)記憶。即使清除這些單元后,也可以讀出數(shù)據(jù)。

而新開(kāi)發(fā)的非記憶密鑰存儲(chǔ)技術(shù)避免了氧化應(yīng)變現(xiàn)象。該技術(shù)改進(jìn)了器件的普通電池供電SRAM存儲(chǔ)器。因此,當(dāng)探測(cè)到篡改事件或者通過(guò)命令直接清除存儲(chǔ)器后,整個(gè)存儲(chǔ)器都被清除,不會(huì)留下可能恢復(fù)的數(shù)據(jù)痕跡。軍用和政府機(jī)構(gòu)的應(yīng)用產(chǎn)品設(shè)計(jì)人員利用這一功能,可以開(kāi)發(fā)獨(dú)特而且非常安全的存儲(chǔ)高度敏感密鑰的產(chǎn)品。


篡改事件響應(yīng)
DS36xx器件不斷監(jiān)視上述所有篡改入侵事件,偵測(cè)到篡改后,通過(guò)內(nèi)部或外部防篡改機(jī)制立即做出防篡改響應(yīng)。偵測(cè)篡改事件從識(shí)別篡改源開(kāi)始,在導(dǎo)致篡改事件的狀態(tài)清除之前,將一直鎖定篡改事件。然后,才會(huì)復(fù)位篡改事件。表1列出了DS36xx器件在篡改響應(yīng)期間的措施步驟。

表1. DS36xx器件探測(cè)到篡改事件時(shí)采取的措施步驟 Step Action
1 The internal encryption key is immediately, completely, and actively erased (if applicable).
2 The external RAM is erased (if applicable).
3 The tamper-latch registers record the state of the tamper input sources.
4 The tamper output asserts to alert the system processor.
5 The tamper-event time-stamp register records the time of the tamper event.


支持高度安全的軍事應(yīng)用
不但保護(hù)存儲(chǔ)密鑰需要采用物理安全措施,實(shí)際密鑰的生成也需要物理安全性。即用于生成數(shù)字密鑰的方法必須保證不會(huì)非法復(fù)制密鑰,不論是采用相同設(shè)備(這違背了DS36xx系列的安全數(shù)據(jù)存儲(chǔ)目的),還是完全復(fù)制設(shè)備。

DS36xx器件的隨機(jī)數(shù)發(fā)生器(RNG)采用確定性偽隨機(jī)算法,使用芯片自帶的兩個(gè)隨機(jī)源產(chǎn)生種子。這一函數(shù)提供了連續(xù)比特流,主機(jī)CPU對(duì)其進(jìn)行后處理,形成認(rèn)證軟件RNG函數(shù)種子。而且,每一DS36xx安全監(jiān)測(cè)器含有工廠預(yù)設(shè)的唯一芯片序列號(hào),可通過(guò)I/O端口讀取該序列號(hào)。芯片序列號(hào)為用戶提供了獨(dú)特的識(shí)別每個(gè)最終產(chǎn)品的途徑。

此外,最新的DS36xx器件還可以根據(jù)篡改類型擦除某些特殊存儲(chǔ)單元。這一功能被稱為擦除等級(jí)(參見(jiàn)表2器件),適用于整個(gè)設(shè)備保持完整性的應(yīng)用。即在發(fā)生了篡改后,雖然不能使用全部功能,但還可以在一定程度上繼續(xù)使用該器件。通信設(shè)備既屬于此類應(yīng)用,例如安全軍事通信設(shè)備,即使出現(xiàn)了篡改事件,設(shè)備也必須具有一定的工作能力。

除了高級(jí)數(shù)據(jù)安全功能外,很多國(guó)防應(yīng)用還要求承受較寬的工作和存儲(chǔ)溫度范圍。雖然DS36xx器件主要用于在普通工作環(huán)境中提供較高的安全功能,該系列中某些最新的產(chǎn)品也支持較寬的工作溫度范圍,達(dá)到整個(gè)軍品級(jí)溫度范圍(DS36xx為-55°C至+95°C,而軍品級(jí)范圍是-55°C至+125°C)。


結(jié)論
如表2所示,DS36xx系列安全監(jiān)視器具有多種功能,使系統(tǒng)能夠產(chǎn)生并存儲(chǔ)密鑰,監(jiān)視篡改事件,偵測(cè)到篡改事件后,主動(dòng)徹底地破壞密鑰。此外,利用DS36xx器件提供的外部輸入功能,系統(tǒng)設(shè)計(jì)人員可以在應(yīng)用中增加更多的安全保護(hù)層,以滿足FIPS、NSA和WIN-T頒布的要求。


【上一個(gè)】 智能照明系統(tǒng)的簡(jiǎn)單原理應(yīng)用 【下一個(gè)】 新的電源鐵氧體磁心及其應(yīng)用


 ^ 下一代汽車(chē)照明電源