物聯(lián)網(wǎng)技術從最開始的概念性技術，如今已經(jīng)在日常生活中被廣泛應用，如電表預付費、智能門禁管理等。Maxim對加密產(chǎn)品的研究擁有超過20年的歷史經(jīng)驗，本文主要介紹了Maxim Deep cover NFC產(chǎn)品的加密算法、安全器件認證和產(chǎn)品應用案例等。

SHA-256算法簡介

SHA- 256安全散列算法發(fā)布于2002年FIPS PUB 180-2，主要特點是：1、防碰撞，即難以找出兩個不同的輸入數(shù)據(jù)源對應同一組MAC碼;2、“雪崩效應”，即輸入數(shù)據(jù)源即使發(fā)生一位變化，其算法結果 MAC會發(fā)生巨大變化。除此以外，SHA-256還滿足加密算法基本要求：不可逆算法，即由已知的算法推斷出結果無法使用的密碼;算法公開標準便于廣泛使 用和第三方算法進行安全評估;采用重聚算法攻擊密碼很困難;算法計算式需要適度的資源和時間，不占用系統(tǒng)過多的資源。

SHA-256算法的計算模型

圖 1是SHA-256算法的計算模型，參與SHA-256運算的數(shù)據(jù)源包括512位的輸入數(shù)據(jù)源、256位密碼、64位的安全認證器件、全球唯一的ROM ID、主機端產(chǎn)生的隨機數(shù)以及SHA-256安全認證器件一方ROM中儲存的常量填充。SHA-256算法的結果為256位的MAC(Message Authentication Code)碼，MAC碼是主機端和從機端進行認證時需要比對的結果。

圖1 SHA-256算法的計算模型

如何使用Deep Cover 安全認證器件

圖2顯示的是主機認證SHA-256從機器件的身份合法性的流程，如圖所示，第一步主機調出密鑰，然后主機產(chǎn)生一個隨機數(shù)，同時送給主機的SHA-256 引 擎和從機的SHA-256引擎。從機的SHA-256引擎調用安全一方ROM的密鑰以及常量填充進行SHA-256運算，得出一個256位的MAC值。隨 后主機讀取從機一方ROM的常量填充進行SHA-256運算，也得出一個256位的MAC值。最后比對主機端和從機端運算得到的256位MAC碼值是否一 致，如果一致表示從機合法，不一致則表示從機不合法。

圖2 主機認證SHA-256從機器件的身份合法性

Maxim 的Deep cover安全認證器件除了主機端可以認證從機端身份，從機端也可以認證主機端身份，這樣可以防止安全認證器件中的數(shù)據(jù)被非法修改，實現(xiàn)的方法是設置 Maxim的Deep cover器件為授權寫保護模式。SHA-256器件認證主機身份，僅知曉器件密碼并提供匹配的MAC碼，才能改寫EEPROM存儲器數(shù)據(jù)。

圖3 SHA-256 EEPROM安全存儲器

SHA- 256運算的核心在于密鑰，Maxim的Deep cover安全器件都支持兩種密碼方式。一種是公鑰，就是系統(tǒng)定義相同的256bits器件密碼，優(yōu)點是計算簡單，但是器件密碼就是系統(tǒng)密碼，一旦泄露， 整個系統(tǒng)的安全性就會崩潰。最好的方法就是用戶設置基于系統(tǒng)的公共密碼和器件的唯一ID，為每個器件加載唯一256bits的密碼。既使單個器件密碼泄 露，整個系統(tǒng)依然是安全的。每個器件具有唯一的ID，因而對應不同的密碼。

在實際應用中，我們給系統(tǒng)定義一個主密碼。唯一密碼由兩個系統(tǒng) 生成，其中一個是系統(tǒng)主密碼，另一個是器件唯一的64位ROM ID號，可以由SHA-256算法或者用戶自定義的密碼算法算出密碼。由于器件唯一的64位ROM ID號參與了運算，因此加載到器件中的密碼都不相同。在應用中，如果其中一個器件密碼泄露，這個密碼在其他器件上都無法操作。如何為Maxim Deep cover安全認證器件加載唯一密碼的流程圖見圖4。

圖4 Maxim Deep cover安全認證器件加載唯一密碼的流程

圖5 Maxim Deep cover 安全認證器件應用電路

Maxim NFC/RFID產(chǎn)品技術特點和應用

MAXIM加密產(chǎn)品的應用領域包括消費類電子中的智能手機、GPS導航、平板電腦等，電信及數(shù)據(jù)通信、醫(yī)療設備、工業(yè)控制設備和其他行業(yè)應用中的門禁控制、預付費家用表等。

NFC主要由讀卡器和標簽組成，架構如圖5所示。Maxim NFC產(chǎn)品目前所涉及的范圍包括讀卡器MAX66300和標簽產(chǎn)品，根據(jù)技術特點和通信距離的不同，標簽產(chǎn)品分為有源、無源和半有源三類。Maxim的標簽產(chǎn)品是無源標簽，也就意味著標簽在工作中不需要電源的支持，所有工作中需要的能量都是通過外部獲取。NFC/RFID產(chǎn)品見表1。

表1 NFC/RFID產(chǎn)品列表

圖6 NFC技術構成

MAX66240內部結構包括256位的安全認證模塊、ISO15693的協(xié)議棧以及射頻模擬前端，所有用戶只需接上天線就可以正常使用。

圖7 MAX66240的內部結構

MAX66242集合了無線NFC/RFID接口與I2C接口的高級標簽，內置經(jīng)過驗證的SHA-256加密引擎提供基于密鑰的對稱質詢-響應認證，用于數(shù)據(jù)下載。設計人員能夠在主機主電源不工作的情況下，也能夠從便攜設備收集關鍵的系統(tǒng)數(shù)據(jù)。

圖8 MAX66242內部結構圖

圖9 MAX66300內部結構圖

Maxim NFC/RFID典型應用

Maxim NFC產(chǎn)品主要應用于打印機墨盒、track pad(PC機觸控板)、揚聲器等。如何將現(xiàn)場采集的數(shù)據(jù)發(fā)送至云端服務器，我們可以采用工業(yè)以太網(wǎng)、WiFi、藍牙等技術。利用Maxim NFC產(chǎn)品為現(xiàn)場設備提供低廉、高效通訊鏈路，連于云端服務器。

圖10 利用NFC實現(xiàn)鏈路通訊

傳統(tǒng)的付費流程復雜又耗費時間，利用Maxim NFC產(chǎn)品設計的電表預付費管理系統(tǒng)方便省時。而且預付費管理還可以通過手機讀取統(tǒng)計每月的費用，授權唯一密碼提高用戶的信息安全。

圖11 電表預付費管理系統(tǒng)

總結

MAXIM的加密IC在硬件和軟件上實現(xiàn)了雙保險。硬件上Deep cover技術保證了數(shù)據(jù)流的絕對安全;軟件上SHA-256算法是公開的、高度安全地算法，而且目前還沒有破解的方案。SHA-256安全認證模塊，可以實現(xiàn)數(shù)據(jù)加密、身份識別等應用。