下一代汽車照明電源

保密通信的實質(zhì)是保護密鑰,較長的密鑰在一定程度上能夠防止通過強硬的計算技術(shù)破解代碼,但這種保護措施無法滿足同樣重要的物理安全性的要求。為了從根本上解決物理安全性問題,必須考慮幾個問題,包括:產(chǎn)生隨機密鑰的物理機制,防止在認證代理之間傳送密鑰時被隱秘地電子攔截,防止被秘密進行物理和機械偵測的安全密鑰存儲方法。

Maxim的DS36xx系列安全監(jiān)視器從封裝設(shè)計到外部傳感器接口,直至內(nèi)部電路體系結(jié)構(gòu)采用了一系列的獨特功能,為軍品電子設(shè)計工程師提供了所需要的全部功能。器件具備這些特性后,更容易達到傳統(tǒng)的和新興的便攜式軍品的計算以及通信安全標準的要求。因此,這些器件具有強大的應(yīng)用潛力,如圖1所示。

圖1. DS36xx器件適合多種現(xiàn)在和未來軍事以及國家保密通信功能,包括保密通信和客戶認證

電子數(shù)據(jù)的安全性要求
在聯(lián)邦信息處理標準(FIPS)中,美國政府規(guī)定了密碼模塊必須符合嚴格的(尚未分級)應(yīng)用要求。該標準由國家標準和技術(shù)研究所(NIST)出版,F(xiàn)IPS 140-2標準有四個基本級別:
第1安全級:無物理安全機制要求(只實現(xiàn)NIST標準化密碼算法)
第2安全級:篡改存跡物理安全
第3安全級:防篡改物理安全
第4安全級:物理安全提供保護層
對于要求高級別安全性的軍事通信應(yīng)用,設(shè)計必須符合國家安全局(NSA) 1類認證標準。經(jīng)過NSA認證的設(shè)備用于加密機密的美國政府信息。認證過程非常嚴格,包括以下項目的測試和分析:
密碼安全
功能安全
防篡改
發(fā)射安全
產(chǎn)品生產(chǎn)和分銷的安全性
必須符合這些標準的一種常見設(shè)備是工作在作戰(zhàn)信息網(wǎng)絡(luò)戰(zhàn)術(shù)(WIN-T)系統(tǒng)中的通信設(shè)備,這一戰(zhàn)術(shù)通信協(xié)議用于戰(zhàn)爭前線。WIN-T支持多種數(shù)據(jù)、語音和視頻功能。該網(wǎng)絡(luò)提供可靠的移動寬帶通信支持,使戰(zhàn)士能夠始終保持暢通的連接。WIN-T采用通用的通信技術(shù),例如無線局域網(wǎng)(WLAN)、以太網(wǎng)協(xié)議傳輸語音(VoIP),以及第三代蜂窩/衛(wèi)星通信技術(shù)等。WIN-T連接作戰(zhàn)地面區(qū)域的戰(zhàn)士與國防部(DoD)全球網(wǎng)的指揮官之間的通信。

任何軍事設(shè)備,WIN-T信息安全性非常重要。WIN-T的體系結(jié)構(gòu)必須允許經(jīng)過認證的用戶自由訪問網(wǎng)絡(luò),同時也要能夠監(jiān)測并拒絕非法攻擊。同樣,必須從一開始就內(nèi)置WIN-T安全功能,而不是事后加入安全保護。這種方法保證了語音和數(shù)據(jù)在網(wǎng)絡(luò)上的安全保密傳輸。

過去,系統(tǒng)設(shè)計的主要目標是快速部署,而安全功能則通過在現(xiàn)場更新實現(xiàn)。導(dǎo)致這種方式的主要原因是人們通常認為內(nèi)置安全功能非常昂貴,有可能拖延計劃。然而,目前的軍事通信設(shè)備都要求從一開始就具備高級安全功能,提高通用性和連通能力,符合FIPS 140-2、NSA和WIN-T的要求。在其他軍事應(yīng)用中,安全和防入侵也逐漸成為關(guān)鍵因素。例如,MESHnet Firewall最近開發(fā)的General Dynamics®和Secure Computing®已經(jīng)用于作戰(zhàn)車輛。

綜上所述,新一代軍事通信系統(tǒng)或組件如果不能首先滿足應(yīng)用標準,就不能投入使用。特別是,目前要求軍事通信設(shè)備至少要符合FIPS 140-2第3和第4安全等級。而且,在更高級的應(yīng)用中,設(shè)計工程師還必須遵照NSA 1類以及最新實施的WIN-T規(guī)范。通常情況下,軍事應(yīng)用至少需要符合FIPS 140-2的第3安全級認證。


滿足安全性要求
對于系統(tǒng)設(shè)計人員而言,達到美國政府頒布的安全要求是一項艱巨任務(wù)。隨著對系統(tǒng)構(gòu)成潛在威脅的因素不斷增加,安全性標準也隨之變化,隨著時間的推移安全性的要求也更加苛刻。

為了跟上安全標準的變化,設(shè)計人員需要解決很多棘手問題,因為設(shè)計過程必須考慮安全等級的要求,以及所設(shè)計的安全設(shè)備的最終目的等。例如,只對密鑰重新加密不會明顯提高密鑰的安全性,因為已經(jīng)有成熟技術(shù)能夠竊取密鑰。因此,需要組合使用幾種不同方法來保證密鑰的安全性,包括增強物理安全性等。

設(shè)計符合FIPS 140-2 (第3和第4安全級)、NSA 1類或WIN-T要求的安全軍事系統(tǒng)時,重要的是采用具有全面防篡改技術(shù)的器件,在主電源失效時這些器件也能發(fā)揮效用。Maxim的DS36xx系列產(chǎn)品,例如,圖2所示的DS3600,即使在電池供電時仍然能夠主動探測篡改侵入,提供了保證密鑰和關(guān)鍵數(shù)據(jù)安全的集成方案(在主電源失效時會立即響應(yīng),確保工作的順暢)。不論是否有電源供電,片內(nèi)電源監(jiān)測器以及電池開關(guān)保證了所有篡改監(jiān)測機制始終保持有效的工作。器件持續(xù)檢測主電源—當它降到下限門限值時,立即自動切換到外部備用電池,保持內(nèi)部和外部保護電路繼續(xù)工作。這樣,設(shè)備主電源失效時,不會中斷防篡改探測。


圖2. DS3600安全監(jiān)測器同時利用監(jiān)測功能和安全機制來偵測篡改,保護備用電池供電的易失存儲器的內(nèi)容,例如,內(nèi)部存儲的密鑰及其他存儲在外部SRAM中的敏感數(shù)據(jù)

為達到FIPS 140-2 (第3和第4安全級)以及NSA 1類和WIN-T規(guī)范的要求,防篡改偵測器件應(yīng)該允許設(shè)計人員加入他們自己的外部傳感器,這樣,可以在存儲受保護數(shù)據(jù)的器件周圍提供保護層,即安全邊界。通過在DS36xx系列附加外部傳感器,系統(tǒng)設(shè)計人員具備了獨特而又靈活的方法來加入應(yīng)用安全層,從而滿足了政府部門頒布的各種標準要求。

為滿足各種政府標準的要求,DS36xx安全監(jiān)測器可以同時監(jiān)視模擬供電電壓、數(shù)字信號以及阻性網(wǎng)絡(luò)保護傳感器網(wǎng)格等。此外,所有DS36xx器件都提供芯片級球柵陣列(CSBGA)封裝(參見圖3)。通過嚴格限制對安裝器件引腳的訪問,這些封裝還提供了控制保護和數(shù)據(jù)信號的另一層無源物理安全保護。


圖3. 器件安裝到電路板后,DS36xx系列的CSBGA封裝限制對I/O信號的訪問,從而提供了無源保護層


內(nèi)部安全性
DS36xx器件還包括其他的保護層,實現(xiàn)內(nèi)部篡改偵測機制。這些內(nèi)部偵測機制提高了器件和外部防篡改探測傳感器定制配置的接口能力。內(nèi)部防篡改偵測機制包括一個片內(nèi)溫度傳感器、開封監(jiān)測器、電源監(jiān)測器、電池監(jiān)測器以及振蕩器監(jiān)測器,提供連續(xù)的防篡改偵測。監(jiān)測功能始終保持工作,特別是在采用電池供電時。

對于外部安全機制,當達到用戶定義或工廠設(shè)置的門限時,內(nèi)部保護機制被觸發(fā)。例如,為滿足NSA等必須具備的認證體,以及FIPS和WIN-T等標準,設(shè)計人員可以使用內(nèi)部溫度傳感器監(jiān)測基底溫度。一旦達到溫度門限的上限和下限,器件啟動防篡改響應(yīng)。

除了測量瞬時溫度之外,DS36xx還提供其他的溫度檢測功能。特別是,速率變化探測器對基底溫度變化速率的監(jiān)測。溫度的快速增加或降低都會觸發(fā)器件的防篡改響應(yīng),提供額外保護,防止更高級別的加密數(shù)據(jù)恢復(fù)技術(shù)的入侵。

從受保護的SRAM中恢復(fù)數(shù)據(jù)的一條途徑是在器件斷電前加入液氮,這種方法將沒有供電的SRAM數(shù)據(jù)的保持時間延長到毫秒級。然而,DS36xx系列的溫度監(jiān)測功能可以判斷出這一篡改事件,在低溫存儲器保持功能起作用之前,器件就會擦除其內(nèi)部存儲器。存儲器采用硬件連接,高速擦除功能在不到100ns的時間內(nèi)即可清零整個存儲陣列。其他的篡改事件(例如,互鎖底部)或向器件的I²C/SPI™兼容接口直接發(fā)送命令也能夠觸發(fā)這一功能。

DS36xx器件還具備一項專有技術(shù)—無印跡密鑰存儲器†。無印跡密鑰存儲器解決了SRAM存儲單元氧化層電荷累積或耗盡(取決于所存儲的數(shù)據(jù))導(dǎo)致的安全問題。長期存儲在這類傳統(tǒng)存儲單元中的數(shù)據(jù)隨著時間的變化產(chǎn)生氧化層應(yīng)變,在存儲位置留下了數(shù)據(jù)記憶。即使清除這些單元后,也可以讀出數(shù)據(jù)。

而新開發(fā)的非記憶密鑰存儲技術(shù)避免了氧化應(yīng)變現(xiàn)象。該技術(shù)改進了器件的普通電池供電SRAM存儲器。因此,當探測到篡改事件或者通過命令直接清除存儲器后,整個存儲器都被清除,不會留下可能恢復(fù)的數(shù)據(jù)痕跡。軍用和政府機構(gòu)的應(yīng)用產(chǎn)品設(shè)計人員利用這一功能,可以開發(fā)獨特而且非常安全的存儲高度敏感密鑰的產(chǎn)品。


篡改事件響應(yīng)
DS36xx器件不斷監(jiān)視上述所有篡改入侵事件,偵測到篡改后,通過內(nèi)部或外部防篡改機制立即做出防篡改響應(yīng)。偵測篡改事件從識別篡改源開始,在導(dǎo)致篡改事件的狀態(tài)清除之前,將一直鎖定篡改事件。然后,才會復(fù)位篡改事件。表1列出了DS36xx器件在篡改響應(yīng)期間的措施步驟。

表1. DS36xx器件探測到篡改事件時采取的措施步驟 Step Action
1 The internal encryption key is immediately, completely, and actively erased (if applicable).
2 The external RAM is erased (if applicable).
3 The tamper-latch registers record the state of the tamper input sources.
4 The tamper output asserts to alert the system processor.
5 The tamper-event time-stamp register records the time of the tamper event.


支持高度安全的軍事應(yīng)用
不但保護存儲密鑰需要采用物理安全措施,實際密鑰的生成也需要物理安全性。即用于生成數(shù)字密鑰的方法必須保證不會非法復(fù)制密鑰,不論是采用相同設(shè)備(這違背了DS36xx系列的安全數(shù)據(jù)存儲目的),還是完全復(fù)制設(shè)備。

DS36xx器件的隨機數(shù)發(fā)生器(RNG)采用確定性偽隨機算法,使用芯片自帶的兩個隨機源產(chǎn)生種子。這一函數(shù)提供了連續(xù)比特流,主機CPU對其進行后處理,形成認證軟件RNG函數(shù)種子。而且,每一DS36xx安全監(jiān)測器含有工廠預(yù)設(shè)的唯一芯片序列號,可通過I/O端口讀取該序列號。芯片序列號為用戶提供了獨特的識別每個最終產(chǎn)品的途徑。

此外,最新的DS36xx器件還可以根據(jù)篡改類型擦除某些特殊存儲單元。這一功能被稱為擦除等級(參見表2器件),適用于整個設(shè)備保持完整性的應(yīng)用。即在發(fā)生了篡改后,雖然不能使用全部功能,但還可以在一定程度上繼續(xù)使用該器件。通信設(shè)備既屬于此類應(yīng)用,例如安全軍事通信設(shè)備,即使出現(xiàn)了篡改事件,設(shè)備也必須具有一定的工作能力。

除了高級數(shù)據(jù)安全功能外,很多國防應(yīng)用還要求承受較寬的工作和存儲溫度范圍。雖然DS36xx器件主要用于在普通工作環(huán)境中提供較高的安全功能,該系列中某些最新的產(chǎn)品也支持較寬的工作溫度范圍,達到整個軍品級溫度范圍(DS36xx為-55°C至+95°C,而軍品級范圍是-55°C至+125°C)。


結(jié)論
如表2所示,DS36xx系列安全監(jiān)視器具有多種功能,使系統(tǒng)能夠產(chǎn)生并存儲密鑰,監(jiān)視篡改事件,偵測到篡改事件后,主動徹底地破壞密鑰。此外,利用DS36xx器件提供的外部輸入功能,系統(tǒng)設(shè)計人員可以在應(yīng)用中增加更多的安全保護層,以滿足FIPS、NSA和WIN-T頒布的要求。


【上一個】 智能照明系統(tǒng)的簡單原理應(yīng)用 【下一個】 新的電源鐵氧體磁心及其應(yīng)用


 ^ 下一代汽車照明電源