面向配件生态系统和一次性用品应用的高性价比 安全身份验证解决方案

Microchip Technology Inc.

安全及计算产品部

市场经理

Xavier Bignalet

如果您对单个配件的身份验证、规范化电子配件生态系统的构建或一次性用品的假冒伪劣处理感兴趣，欢迎阅读本篇博文。我们将介绍最新推出的高性价比安全身份验证IC。看看它们提供了哪些安全特性来帮助您实现反威胁模型。

面向一次性用品和配件生态系统的成本优化型安全身份验证 IC

不知您是否有注意到，其实我们每天都在经历着各种安全身份验证过程。例如，当您发送电子邮件、将手机插入充电器或打印文档时，后台都有在进行身份验证。

本篇博文将介绍我们新推出的高性价比安全身份验证 IC 提供了哪些有价值的安全特性来帮助您的威胁模型达成目标。

为什么需要对配件/一次性用品进行身份验证？

对于一次性用品和配件生态系统而言，身份验证之所以至关重要，有几点原因值得注意。第一点是安全性——尽管系统组件有时可能会运行比较危险的功能，但身份验证可以证明系统是正品，确保安全工作。第二点是互操作性。生态系统之所以能够正常工作离不开内部各组件之间的相互通信。鉴于此，非常需要通过身份验证来对生态系统进行控制。这样一来，无论您的系统内的各个组件采用自家品牌还是第三方产品，都能够保证为用户提供一致的使用体验。近年来，假冒伪劣产品呈现不断上升的势头，亟需加强防范，系统中需要引入验证机制，这是第三点。第四点是上面提到的用户体验。您可以通过固件中的 IP 为每位用户提供一如既往的独特体验。以上四点对于您的收入保护和品牌声誉将有着深远的影响。

配件/一次性用品的细分市场

配件/一次性用品技术覆盖多个细分市场。在医疗细分市场，这类产品包括线缆、呼吸管、传感器、墨盒和贴片等。在消费者细分市场，这类产品包括化妆品、电子烟和印刷产品，以及香薰和 Qi® 1.3 无线充电，后两项也是汽车细分市场的常见产品。在汽车细分市场，这类产品还包括原始设备制造商（OEM）或第三方电子卡和电动车电池。在工业细分市场，这类产品包括第三方配件、维护服务和 OEM 生态系统控制。在电动车细分市场，这类产品包括电动自行车电子卡、电池更换和电池身份验证。在数据中心细分市场，这类产品包括与 OEM 或第三方卡身份验证相关的技术，用于对制造环节进行加密控制。配件/一次性用品生态系统真可谓无处不在，我们必须针对所有细分市场的产品提供身份验证解决方案。

高级产品组合

我们的身份验证产品组合中包含多款高级安全产品。在我们的硅产品中，我们提供了CryptoAuthentication™（ATECC608）器件、CryptoAutomotive™（TA100）安全 IC、可信平台模块（TPM）（ATTPM20P）和平台可信根。对于引导流程，我们提供了可信平台，其中包括Trust&GO、TrustFLEX 和 TrustCUSTOM。通过这三个安全元件，您可以利用我们的Microchip 安全配置服务来选择所需的安全身份验证 IC、想要配置的凭据，以及最适合您需求的最小起订量（MOQ）。该平台将全程陪伴您完成从原型设计到生产的整个过程。

安全身份验证的工作原理

安全身份验证 IC 可用作任何单片机（MCU）的配套器件。其作用类似于一个保管机密信息的保险库。

机密信息（密钥、证书和数据）在 Microchip 安全工厂内生产器件期间被配置到器件的安全边界内。这些机密信息受保护，不会暴露，并由 Microchip 的安全配置过程进行管理。

图 1：安全身份验证过程

主机 MCU 向即将托管机密信息密钥并拥有加密引擎的安全身份验证 IC 发送随机质询。随机质询与密钥一起馈入加密引擎中以创建响应。

不断扩充的产品组合

图 2：Microchip 产品组合

我们的产品组合最近迎来了几款新的解决方案。在汽车市场，我们推出了 TA010。对于配件和一次性用品，请查看我们新推出的 ECC204 以及 SHA104/SHA105、SHA106 和ECC206。

这些新器件旨在提供最小可行性的加密加速器，同时保持较小的存储器空间，从而优化成本。因此，上述器件仅支持 ECDSA 签名和 HMAC/SHA256 等算法。如需更完备的加速器，请查看 TA100 和 ATECC608 器件。

对称身份验证

对称身份验证是最简单的一种身份验证，主机只需要一个机密信息密钥就可以对客户端（一次性用品/配件）进行身份验证。

图 3：对称身份验证的基本原理

我们将采用通俗易懂的方式进行解释。以大脑传感器和主机为例。两侧都配有安全系统，左侧为 SHA105，右侧为SHA104。主机向传感器发送质询，以运行 SHA256 算法来创建摘要或响应。两侧都使用对称密钥。配件/一次性用品所作出的响应随后返回主机进行比较，确保两个响应完全相同才能接收来自传感器的信息。

此外，使用对称密钥多样化可以更好地实现这一目标。因为每个配件/一次性用品都有惟一的对称密钥，这有效降低了伪造每个密钥和暴露整个系统的风险。

非对称身份验证

非对称身份验证（也称为公钥加密）使用两种类型的密钥（公钥/私钥对）进行身份验证。

图 4：非对称身份验证

在这种情况下，我们可以假设客户与设备之间已经建立了认证（例如，类似于 Qi1.3 标准认证），然后现在我们来看一下在嵌入式系统中，质询响应是如何发生的。主机中有签名人公钥，配件中有设备公钥和签名。签名是通过私钥对随机质询执行的 ECDSA签名操作的输出。设备公钥通过签名人公钥进行验证，设备公钥本身用于验证签名。之后，系统可以继续执行其操作并接受进一步的信息。

图 5：使用根公钥的非对称身份验证

这种情况稍微复杂一些，因为我们现在添加了一个根公钥或 OEM 公钥。我们需要验证每个阶段的公钥，从签名人公钥（通过根公钥验证）到设备公钥（通过签名人公钥验证），并且需要验证签名是否合法。一旦系统确认签名正确，即可进入下一步。

寄生电源：从 3 引脚缩减为 2 引脚

当封装中的引脚数受限时，寄生电源至关重要。我们在器件前面添加了一个集成电容，它能够储存足够的电能来运行身份验证计算并提供相关的响应。该电容使得从 3 引脚缩减为 2 引脚成为可能。一个引脚用作数据和电源引脚，即用于通信和供电；另一个引脚用作接地引脚。引脚数量得到缩减后，便无需在一次性用品中使用 PCB，从而降低系统级成本并简化实现。

安全密钥配置服务

Microchip 工厂配有硬件安全模块（HSM），我们客户的设备都是在此进行加密操作。我们可以大量承接不同客户的项目，并为其配置密钥以及其他需要保密的数据。可信平台将为您提供可用选项的概览。

可信平台设计套件

我们的 DM320118 是帮助您入门的基础工具包，因为它可以与可信平台设计套件（TPDS）和其他软件工具搭配使用。务必要选用适合您的附加板。另外，我们还提供插座附加板。使用 TPDS 可以访问有关对称/非对称身份验证以及 Qi 1.3 的用例教程。此外，TPDS 还提供 C 代码示例，精选安全身份验证 IC 的配置器，以及在 Microchip 安全配置服务中完成引导流程所需的实用程序。

结语

我们的产品组合始终致力于让您更轻松地进行安全身份验证，使用简单的工具集进行快速开发，以及利用电子商务商店简化流程。我们的产品适合大众市场，支持低MoQ，包括与 CryptoAuthLib 无关的配置和架构。

如需深入了解安全身份验证，请一定要观看我们的 2023 设计周会议。如需了解更多信息，请访问我们的安全身份验证网页。