物聯(lián)網(wǎng)技術(shù)從最開(kāi)始的概念性技術(shù)，如今已經(jīng)在日常生活中被廣泛應(yīng)用，如電表預(yù)付費(fèi)、智能門(mén)禁管理等。Maxim對(duì)加密產(chǎn)品的研究擁有超過(guò)20年的歷史經(jīng)驗(yàn)，本文主要介紹了Maxim Deep cover NFC產(chǎn)品的加密算法、安全器件認(rèn)證和產(chǎn)品應(yīng)用案例等。

SHA-256算法簡(jiǎn)介

SHA- 256安全散列算法發(fā)布于2002年FIPS PUB 180-2，主要特點(diǎn)是：1、防碰撞，即難以找出兩個(gè)不同的輸入數(shù)據(jù)源對(duì)應(yīng)同一組MAC碼;2、“雪崩效應(yīng)”，即輸入數(shù)據(jù)源即使發(fā)生一位變化，其算法結(jié)果 MAC會(huì)發(fā)生巨大變化。除此以外，SHA-256還滿足加密算法基本要求：不可逆算法，即由已知的算法推斷出結(jié)果無(wú)法使用的密碼;算法公開(kāi)標(biāo)準(zhǔn)便于廣泛使 用和第三方算法進(jìn)行安全評(píng)估;采用重聚算法攻擊密碼很困難;算法計(jì)算式需要適度的資源和時(shí)間，不占用系統(tǒng)過(guò)多的資源。

SHA-256算法的計(jì)算模型

圖 1是SHA-256算法的計(jì)算模型，參與SHA-256運(yùn)算的數(shù)據(jù)源包括512位的輸入數(shù)據(jù)源、256位密碼、64位的安全認(rèn)證器件、全球唯一的ROM ID、主機(jī)端產(chǎn)生的隨機(jī)數(shù)以及SHA-256安全認(rèn)證器件一方ROM中儲(chǔ)存的常量填充。SHA-256算法的結(jié)果為256位的MAC(Message Authentication Code)碼，MAC碼是主機(jī)端和從機(jī)端進(jìn)行認(rèn)證時(shí)需要比對(duì)的結(jié)果。

圖1 SHA-256算法的計(jì)算模型

如何使用Deep Cover 安全認(rèn)證器件

圖2顯示的是主機(jī)認(rèn)證SHA-256從機(jī)器件的身份合法性的流程，如圖所示，第一步主機(jī)調(diào)出密鑰，然后主機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)，同時(shí)送給主機(jī)的SHA-256 引 擎和從機(jī)的SHA-256引擎。從機(jī)的SHA-256引擎調(diào)用安全一方ROM的密鑰以及常量填充進(jìn)行SHA-256運(yùn)算，得出一個(gè)256位的MAC值。隨 后主機(jī)讀取從機(jī)一方ROM的常量填充進(jìn)行SHA-256運(yùn)算，也得出一個(gè)256位的MAC值。最后比對(duì)主機(jī)端和從機(jī)端運(yùn)算得到的256位MAC碼值是否一 致，如果一致表示從機(jī)合法，不一致則表示從機(jī)不合法。

圖2 主機(jī)認(rèn)證SHA-256從機(jī)器件的身份合法性

Maxim 的Deep cover安全認(rèn)證器件除了主機(jī)端可以認(rèn)證從機(jī)端身份，從機(jī)端也可以認(rèn)證主機(jī)端身份，這樣可以防止安全認(rèn)證器件中的數(shù)據(jù)被非法修改，實(shí)現(xiàn)的方法是設(shè)置 Maxim的Deep cover器件為授權(quán)寫(xiě)保護(hù)模式。SHA-256器件認(rèn)證主機(jī)身份，僅知曉器件密碼并提供匹配的MAC碼，才能改寫(xiě)EEPROM存儲(chǔ)器數(shù)據(jù)。

圖3 SHA-256 EEPROM安全存儲(chǔ)器

SHA- 256運(yùn)算的核心在于密鑰，Maxim的Deep cover安全器件都支持兩種密碼方式。一種是公鑰，就是系統(tǒng)定義相同的256bits器件密碼，優(yōu)點(diǎn)是計(jì)算簡(jiǎn)單，但是器件密碼就是系統(tǒng)密碼，一旦泄露， 整個(gè)系統(tǒng)的安全性就會(huì)崩潰。最好的方法就是用戶設(shè)置基于系統(tǒng)的公共密碼和器件的唯一ID，為每個(gè)器件加載唯一256bits的密碼。既使單個(gè)器件密碼泄 露，整個(gè)系統(tǒng)依然是安全的。每個(gè)器件具有唯一的ID，因而對(duì)應(yīng)不同的密碼。

在實(shí)際應(yīng)用中，我們給系統(tǒng)定義一個(gè)主密碼。唯一密碼由兩個(gè)系統(tǒng) 生成，其中一個(gè)是系統(tǒng)主密碼，另一個(gè)是器件唯一的64位ROM ID號(hào)，可以由SHA-256算法或者用戶自定義的密碼算法算出密碼。由于器件唯一的64位ROM ID號(hào)參與了運(yùn)算，因此加載到器件中的密碼都不相同。在應(yīng)用中，如果其中一個(gè)器件密碼泄露，這個(gè)密碼在其他器件上都無(wú)法操作。如何為Maxim Deep cover安全認(rèn)證器件加載唯一密碼的流程圖見(jiàn)圖4。

圖4 Maxim Deep cover安全認(rèn)證器件加載唯一密碼的流程

圖5 Maxim Deep cover 安全認(rèn)證器件應(yīng)用電路

Maxim NFC/RFID產(chǎn)品技術(shù)特點(diǎn)和應(yīng)用

MAXIM加密產(chǎn)品的應(yīng)用領(lǐng)域包括消費(fèi)類(lèi)電子中的智能手機(jī)、GPS導(dǎo)航、平板電腦等，電信及數(shù)據(jù)通信、醫(yī)療設(shè)備、工業(yè)控制設(shè)備和其他行業(yè)應(yīng)用中的門(mén)禁控制、預(yù)付費(fèi)家用表等。

NFC主要由讀卡器和標(biāo)簽組成，架構(gòu)如圖5所示。Maxim NFC產(chǎn)品目前所涉及的范圍包括讀卡器MAX66300和標(biāo)簽產(chǎn)品，根據(jù)技術(shù)特點(diǎn)和通信距離的不同，標(biāo)簽產(chǎn)品分為有源、無(wú)源和半有源三類(lèi)。Maxim的標(biāo)簽產(chǎn)品是無(wú)源標(biāo)簽，也就意味著標(biāo)簽在工作中不需要電源的支持，所有工作中需要的能量都是通過(guò)外部獲取。NFC/RFID產(chǎn)品見(jiàn)表1。

表1 NFC/RFID產(chǎn)品列表

圖6 NFC技術(shù)構(gòu)成

MAX66240內(nèi)部結(jié)構(gòu)包括256位的安全認(rèn)證模塊、ISO15693的協(xié)議棧以及射頻模擬前端，所有用戶只需接上天線就可以正常使用。

圖7 MAX66240的內(nèi)部結(jié)構(gòu)

MAX66242集合了無(wú)線NFC/RFID接口與I2C接口的高級(jí)標(biāo)簽，內(nèi)置經(jīng)過(guò)驗(yàn)證的SHA-256加密引擎提供基于密鑰的對(duì)稱質(zhì)詢-響應(yīng)認(rèn)證，用于數(shù)據(jù)下載。設(shè)計(jì)人員能夠在主機(jī)主電源不工作的情況下，也能夠從便攜設(shè)備收集關(guān)鍵的系統(tǒng)數(shù)據(jù)。

圖8 MAX66242內(nèi)部結(jié)構(gòu)圖

圖9 MAX66300內(nèi)部結(jié)構(gòu)圖

Maxim NFC/RFID典型應(yīng)用

Maxim NFC產(chǎn)品主要應(yīng)用于打印機(jī)墨盒、track pad(PC機(jī)觸控板)、揚(yáng)聲器等。如何將現(xiàn)場(chǎng)采集的數(shù)據(jù)發(fā)送至云端服務(wù)器，我們可以采用工業(yè)以太網(wǎng)、WiFi、藍(lán)牙等技術(shù)。利用Maxim NFC產(chǎn)品為現(xiàn)場(chǎng)設(shè)備提供低廉、高效通訊鏈路，連于云端服務(wù)器。

圖10 利用NFC實(shí)現(xiàn)鏈路通訊

傳統(tǒng)的付費(fèi)流程復(fù)雜又耗費(fèi)時(shí)間，利用Maxim NFC產(chǎn)品設(shè)計(jì)的電表預(yù)付費(fèi)管理系統(tǒng)方便省時(shí)。而且預(yù)付費(fèi)管理還可以通過(guò)手機(jī)讀取統(tǒng)計(jì)每月的費(fèi)用，授權(quán)唯一密碼提高用戶的信息安全。

圖11 電表預(yù)付費(fèi)管理系統(tǒng)

總結(jié)

MAXIM的加密IC在硬件和軟件上實(shí)現(xiàn)了雙保險(xiǎn)。硬件上Deep cover技術(shù)保證了數(shù)據(jù)流的絕對(duì)安全;軟件上SHA-256算法是公開(kāi)的、高度安全地算法，而且目前還沒(méi)有破解的方案。SHA-256安全認(rèn)證模塊，可以實(shí)現(xiàn)數(shù)據(jù)加密、身份識(shí)別等應(yīng)用。