VeKey身份硬件之所以具有超強的安全性能，首先要歸功于其內(nèi)置的ARM SC300處理器。該處理器配備有嵌套矢量中斷控制器、喚醒中斷控制器、內(nèi)存保護單元、AHB-Lite、數(shù)據(jù)觀測斷點（Data Watchpoint）、斷點單元及JTAG接口，在支持Burst傳輸、單邊操作、芯片內(nèi)部測試、ITM跟蹤調(diào)試、ETM跟蹤調(diào)試及串行網(wǎng)絡(luò)調(diào)試等功能的同時，自帶防側(cè)信道攻擊、防故障注入和防探測功能，提供更強大的安全性能。

SC300架構(gòu)圖

SC300處理器基于Cortex-M3處理器開發(fā)，并在其中融入ARM SecurCore處理器的安全特性，集成易用、高效的Thumb-2指令集，得以成倍提升功耗效率和性能，在更小的空間集成更多的功能，高速處理多接口任務(wù)。該種型號處理器廣泛應(yīng)用于Secure Element之中，幫助SE芯片實現(xiàn)遠超普通芯片的安全防護表現(xiàn)。

芯片模塊劃分

攻防有道，讓威脅無處遁形

加入配備有SC300處理器的SE芯片，讓VeKey能夠高效應(yīng)對各種攻擊威脅，提供普通硬件難以媲美的安全防護。下面，我們將對常見的攻擊手段及VeKey的安全防護能力加以介紹。

目前，設(shè)備面臨的威脅主要可以分為物理攻擊和軟件攻擊兩大類。

物理攻擊：

物理攻擊手段主要包括三種，即：

· 非侵入式攻擊

· 侵入式攻擊

· 半侵入式攻擊

非侵入式攻擊又稱為側(cè)信道攻擊，此種攻擊的特點在于不會破壞芯片封裝及芯片結(jié)構(gòu)。通過誘導(dǎo)秘密信息泄漏或?qū)π孤┑碾妷汗?、電磁輻射等信息進行統(tǒng)計分析獲取秘鑰。常見的非侵入式攻擊方式包括：

· 能量攻擊分析（DPA）

· 直接能量分析（SPA）

· 電磁分析（EMA）

· 射頻分析（RFA）

非侵入式攻擊

由于該種攻擊不會對芯片造成破壞，用戶無從知曉設(shè)備是否已遭到攻擊，也就無法及時采取補救措施，所以非侵入式攻擊是目前威脅最大的攻擊方式。

侵入式攻擊通過去除芯片封裝、改變芯片結(jié)構(gòu)實現(xiàn)干擾安全模塊正常工作、破壞芯片安全防護功能的目的，從而獲取敏感信息。在進行侵入式攻擊時，黑客需要蝕刻或切割金屬層，再通過探查芯片、FIB及電鏡掃描，直接探測或修改電路，從而竊取敏感信息。

侵入式攻擊需要使用化學(xué)試劑、高分辨率光學(xué)顯微鏡、激光切割系統(tǒng)、微探針平臺、示波器、信號發(fā)生器、掃描電鏡、FIB設(shè)備等專業(yè)設(shè)備，成本高昂。

半侵入式攻擊又被成為故障注入攻擊，是介于前兩者之間的一種技術(shù)，該種攻擊方式需要去除芯片封裝，但不會改變芯片內(nèi)部結(jié)構(gòu)。

故障注入攻擊

故障注入攻擊通過激光注入（LASER）、時鐘毛刺、電壓毛刺或紫外線在芯片工作過程中注入故障信號，從而改變芯片內(nèi)部程序的運行流程，使芯片產(chǎn)生包括跳過PIN碼驗證在內(nèi)的錯誤輸出結(jié)果，進而竊取敏感信息。

軟件攻擊

軟件攻擊是目前最常見的攻擊方式，黑客通過利用軟件漏洞對設(shè)備發(fā)起攻擊，竊取資料。

從芯片到應(yīng)用，端到端全方位防護

為了應(yīng)對這兩類威脅，唯鏈VeKey配備了從芯片到應(yīng)用的端到端全方位安全防護方案。

芯片端：

· 采用ARM SecurCore SC300 CPU，自帶防側(cè)信道攻擊、防故障注入和防探測等功能，廣泛應(yīng)用于銀行、政府機構(gòu)、交通行業(yè)等。

· 采用MPU（memory protection unit）限制內(nèi)存、flash等的訪問權(quán)限，對于加密區(qū)域或者敏感區(qū)域，采用MPU保護，應(yīng)用層或者外界無法訪問受保護的區(qū)域，只有授權(quán)的代碼才能訪問。

· 環(huán)境安全防護：采用電壓檢測器、頻率檢測器、溫度檢測器、電源Glitch檢測器、光檢測器、時鐘毛刺過濾器、真隨機數(shù)發(fā)生器等，在檢測到對應(yīng)的事件發(fā)生時，可以自定義需要采取的行為。

· 采用AcTIve fuse，提供對芯片測試態(tài)的保護；布局上對關(guān)鍵信號線特殊處理，防止物理探測。

封裝端：

· 頂層金屬覆蓋，采用主動防剝離探測技術(shù)，使得金屬覆蓋在被剝離時能被檢測到并主動清除芯片內(nèi)資料。

· 芯片采用金屬覆蓋，有效屏蔽芯片運行中產(chǎn)生的電磁脈沖，防止電磁泄漏，從根本上杜絕電磁分析的可能性。

系統(tǒng)端：

加密算法采用隱藏技術(shù)，消除密碼設(shè)備的能量消耗與設(shè)備所執(zhí)行的操作和所處理的中間值之間的相關(guān)性。

· 時間維度的隱藏

· 幅度維度的隱藏

加密算法同時還支持掩碼技術(shù)，能夠隨機化密碼設(shè)備所處理的中間值，使其能量消耗不依賴于設(shè)備所執(zhí)行的密碼算法的中間值。

· 對輸入的明文和密鑰掩碼

· 對算法中間數(shù)據(jù)掩碼

應(yīng)用端：

· 系統(tǒng)應(yīng)用到的敏感數(shù)據(jù)，包括私鑰、密碼等都加密保存，每臺設(shè)備的加密密碼都不同，且保存采用混淆機制。

· 關(guān)閉調(diào)試接口及其他的接口，防止外部通過這些接口進行注入。

· 遠程身份認證。

作為企業(yè)級安全身份硬件解決方案，VeKey以ARM SC300安全處理器內(nèi)核為基礎(chǔ)，結(jié)合專門針對區(qū)塊鏈應(yīng)用場景開發(fā)的固件和算法，在兼顧效率、操作簡便性的同時，能夠提供銀行級別的安全防護，輕松應(yīng)對多種不同類型的攻擊，免去用戶的后顧之憂。

本期內(nèi)容主要對VeKey的安全特性進行了簡要解析，未來，我們還將介紹VeKey現(xiàn)有的應(yīng)用場景，包括：

· 鏈上生態(tài)治理：數(shù)字低碳生態(tài)，第三方權(quán)威認證機構(gòu)DNV GL使用VeKey完成參數(shù)修改、數(shù)據(jù)審核、積分發(fā)放等工作。

· 鏈上KYC審核：應(yīng)用于VeVID，用于識別、確認以及審查系統(tǒng)內(nèi)的參與者，賦予其唯一的鏈上身份。

· 數(shù)字資產(chǎn)管理：門限簽名解決方案，通過密鑰分散實現(xiàn)私鑰拆分，完善數(shù)字資產(chǎn)管理體系。