芯科Secure Vault笔记

93 阅读 0 评论 62 点赞

我是靠谱客的博主悦耳画笔，最近开发中收集的这篇文章主要介绍芯科Secure Vault笔记，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

安全性目标：
消息安全的目标是保证消息完整性、机密性和数据新鲜度。

消息完整性(integrity)意味着接收者可以确定接收到的消息是由网络中的安全节点发送的，并且该消息没有被篡改。网络外的无线电发射器发送的消息将被识别为假消息。
数据新鲜度(Freshness)意味着该消息是最近发送的。
机密性(Confidentiality)意味着只有网络中的安全节点才能读取消息的实际内容。

安全攻击的种类：中断(Interruption)，截取(Interception)，修改(Modification)，伪造(Fabrication)。
在这里插入图片描述
Secure Vault™ ：
Secure Vault™是一套可以应对物联网威胁的安全功能套件。具体来说，Secure Vault™技术有以下三个作用：

防范可升级的本地和远程软件攻击
防御本地硬件攻击
通过试图在指定时间内使用精密设备侵犯安全功能的第三方实验室的测试

Secure Vault™的主要特点：

安全密钥管理(Secure Key Management)：
密钥必须保密以维护安全架构。每次启动芯片时通过一个"物理不可克隆函数(PUF: Physically Unclonable Function)"生成唯一的数字指纹值。PUF对安全密钥存储中的所有密钥进行加密，应用程序可以在密钥保密的同时处理这些密钥。
使用RTSL安全启动(Secure Boot with Root of Trust Secure Loader)：
根信任和安全引导程序(RTSL:Root of trust and Secure Loader)是一个具有身份验证的多阶段引导加载程序，在每个阶段都使用我们的不可改变的硬件根信任进行检查。
防止固件倒退(Anti-Rollback Prevention)：
安全启动还能够防止网络犯罪分子试图将MCU固件倒退到具有安全漏洞的早期版本的回退攻击。
安全认证(Secure Attestation)：
Secure Vault 可以提供“安全身份”，使用该身份，您可以在产品生命周期内的任何时间执行安全认证。
防篡改(Anti-Tamper)：
物理篡改可能获得隐藏在你的解决方案中的密钥和数据的访问。篡改攻击来自单个或多个向量。常见的攻击包括电压干扰、磁干扰和强制温度调节。防篡改是防止黑客执行本地攻击的一种非常有效的方法。防篡改提供对外部篡改信号的快速硬件检测，从而允许设备快速分析并做出升级反应直至设备变砖。
差分功率分析对策(Differential Power Analysis Countermeasures)：
差分功率分析(DPA)是一种称为边信道攻击的黑盒攻击，它是一种从算术上研究芯片杂散辐射并导出加密密钥的方法。
带锁定/解锁机制的安全调试(Secure Debug with Lock/Unlock)：
微控制器的调试端口提供了对代码和数据的完全访问权限。如果未锁定调试端口，调试端口将构成重大安全漏洞。如果设备出厂后锁定调试端口，那么制造商在设备出现故障时无法对设备进行故障排除。芯科科技的微控制器设备提供调试锁定机制和安全的调试解锁功能，以便更轻松地进行故障分析 (FA) 活动。
真实的随机数产生器(TRNG)：
因为伪随机数生成器(PRNG)使用预定义的算法生成随机数，较容易出现漏洞。Silicon Labs 创建了一个真随机数生成器硬件外围设备，可生成秘密的高熵数据。
安全链路(Secure Link)：
通信产品一般通过串口连接到主机MCU。安全链路提供了对主机处理器(Host MCU)和网络协处理器 (NCP) 之间的链路进行加密的选项。

安全引擎(Secure Engine)：
安全引擎(Secure Engine)也叫安全元素(Secure Element)，是一个防篡改组件，用于安全地存储敏感数据和密钥以及执行加密功能和安全服务。
安全引擎可以是基于硬件的，也可以是虚拟的(基于软件的)。
HSE-硬件安全引擎(Hardware Secure Engine)
VSE-虚拟安全引擎(Virtual Secure Engine)
SE-安全引擎(Secure Engine)
在这里插入图片描述
Secure Vault Mid 包含两个主要安全功能：