芯科Secure Vault笔记

已于 2022-04-04 18:37:59 修改
阅读量1k 收藏 1
点赞数 2
文章标签: 单片机
于 2022-04-04 17:02:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42860989/article/details/123955911
版权

安全性目标:
消息安全的目标是保证消息完整性、机密性和数据新鲜度。

  • 消息完整性(integrity)意味着接收者可以确定接收到的消息是由网络中的安全节点发送的,并且该消息没有被篡改。网络外的无线电发射器发送的消息将被识别为假消息。
  • 数据新鲜度(Freshness)意味着该消息是最近发送的。
  • 机密性(Confidentiality)意味着只有网络中的安全节点才能读取消息的实际内容。

安全攻击的种类:中断(Interruption),截取(Interception),修改(Modification),伪造(Fabrication)。
在这里插入图片描述
Secure Vault™ :
Secure Vault™是一套可以应对物联网威胁的安全功能套件。具体来说,Secure Vault™技术有以下三个作用:

  • 防范可升级的本地和远程软件攻击
  • 防御本地硬件攻击
  • 通过试图在指定时间内使用精密设备侵犯安全功能的第三方实验室的测试
    在这里插入图片描述

Secure Vault™的主要特点:

  • 安全密钥管理(Secure Key Management):
    密钥必须保密以维护安全架构。每次启动芯片时通过一个"物理不可克隆函数(PUF: Physically Unclonable Function)"生成唯一的数字指纹值。PUF对安全密钥存储中的所有密钥进行加密,应用程序可以在密钥保密的同时处理这些密钥。

  • 使用RTSL安全启动(Secure Boot with Root of Trust Secure Loader):
    根信任和安全引导程序(RTSL:Root of trust and Secure Loader)是一个具有身份验证的多阶段引导加载程序,在每个阶段都使用我们的不可改变的硬件根信任进行检查。

  • 防止固件倒退(Anti-Rollback Prevention):
    安全启动还能够防止网络犯罪分子试图将MCU固件倒退到具有安全漏洞的早期版本的回退攻击。

  • 安全认证(Secure Attestation):
    Secure Vault 可以提供“安全身份”,使用该身份,您可以在产品生命周期内的任何时间执行安全认证。

  • 防篡改(Anti-Tamper):
    物理篡改可能获得隐藏在你的解决方案中的密钥和数据的访问。篡改攻击来自单个或多个向量。 常见的攻击包括电压干扰、磁干扰和强制温度调节。防篡改是防止黑客执行本地攻击的一种非常有效的方法。 防篡改提供对外部篡改信号的快速硬件检测,从而允许设备快速分析并做出升级反应直至设备变砖。

  • 差分功率分析对策(Differential Power Analysis Countermeasures):
    差分功率分析(DPA)是一种称为边信道攻击的黑盒攻击,它是一种从算术上研究芯片杂散辐射并导出加密密钥的方法。

  • 带锁定/解锁机制的安全调试(Secure Debug with Lock/Unlock):
    微控制器的调试端口提供了对代码和数据的完全访问权限。如果未锁定调试端口,调试端口将构成重大安全漏洞。如果设备出厂后锁定调试端口,那么制造商在设备出现故障时无法对设备进行故障排除。芯科科技的微控制器设备提供调试锁定机制和安全的调试解锁功能,以便更轻松地进行故障分析 (FA) 活动。

  • 真实的随机数产生器(TRNG):
    因为伪随机数生成器(PRNG)使用预定义的算法生成随机数,较容易出现漏洞。Silicon Labs 创建了一个真随机数生成器硬件外围设备,可生成秘密的高熵数据。

  • 安全链路(Secure Link):
    通信产品一般通过串口连接到主机MCU。 安全链路提供了对主机处理器(Host MCU)和网络协处理器 (NCP) 之间的链路进行加密的选项。

安全引擎(Secure Engine):
安全引擎(Secure Engine)也叫安全元素(Secure Element),是一个防篡改组件,用于安全地存储敏感数据和密钥以及执行加密功能和安全服务。
安全引擎可以是基于硬件的,也可以是虚拟的(基于软件的)。
HSE-硬件安全引擎(Hardware Secure Engine)
VSE-虚拟安全引擎(Virtual Secure Engine)
SE-安全引擎(Secure Engine)
在这里插入图片描述
Secure Vault Mid 包含两个主要安全功能:

  • 安全引导:初始引导阶段从不可变存储器(ROM)执行和代码在被授权执行之前经过身份验证的过程。
  • 安全调试访问控制:安全调试访问控制:能够锁定对调试端口的访问以确保操作安全,并在认证实体需要访问时可以安全地解锁它们。

Secure Vault High 提供的额外安全选项:

  • 安全密钥存储:通过只有HSE-SVH知道的根密钥来包装或加密"加密密钥"以便保护"加密密钥"。
  • 防篡改保护:一个用于保护设备免受篡改攻击的可配置的模块。
  • 设备身份验证:使用安全设备身份证书和数字签名来验证通信设备的来源或目标的功能。

安全引擎的功能:
在这里插入图片描述
参考资料:
https://www.silabs.com/security

CSDN博客仅作为本人工作学习之余的笔记使用,无任何商业目的,如果侵犯了你的隐私或权益,请随时联系作者,本人将及时删除相关内容

Eagle115
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
汽车信息安全--SHE中的密钥管理(一)
认真搞搞汽车MCU
02-05 904
随着智能网联汽车的盛行,汽车内部遭受黑客攻击的可能性与日俱增。为了防范和缓解网络攻击,硬件信任锚(Hardware Trust Anchors)越来越多的被用到汽车控制器领域;所谓HTA,就是提供了一种基于硬件安全机制的隔离环境,可以有效保护安全敏感数据、为应用控制算法提供各种密码服务。大家最为熟悉的HTA就是HSM。英飞凌:Aurix HSM / SHE+瑞萨:Intelligent Cryptographic Unit(ICU)飞思卡尔称呼)
Silicon Labs新型Secure Vault技术重新定义IoT设备安全
mahuahu的博客
03-19 346
-集成的安全功能保护可连接产品、数据和知识产权抵御新兴的威胁- 中国,北京 - 2020年3月9日 - Silicon Labs (亦称“芯科科技”,NASDAQ:SLAB)宣布推出Secure Vault技术,先进的安全功能新套件旨在帮助可连接设备制造商应对物联网(IoT)不断升级的安全威胁和监管压力。Silicon Labs的Wireless Gecko Series 2平台通过将一流的安全...
Trustzone/TEE/系统安全开发速成班
02-28
# 课程背景2021年ARM又推出了ARMv9架构,系统软件架构也在悄无声息地发生变化。在这种架构中,强调的是隔离技术,包括资源的隔离、运行时隔离,特权操作系统的权限也变得越来越小…不管您是什么领域,ARM服务器、汽车电子、手机或者是其它设备终端,安全都是其中的一个重要环节。我们常说的安全一般是只网络安全/业务安全/App安全,这些安全依赖的正是操作系统安全,操作系统安全所依赖的就是安全架构技术,在该安全架构中,首当要学习的就是Trustzone/TEE技术。只有设备安全/操作系统安全/APP安全/网络安全/服务器安全整个一条链都安全了,那么你的业务才算得上的安全.不管您是做什么的,您做不做安全或虚拟化,掌握整个系统软件架构也是一件必要的事情。您只有掌握了安全架构,你才具有全局的视野,才能进行全局的软件设计,才称得上架构师。安全不仅仅是架构安全,安全还是一种生态,安全还产生一类标准。安全出现在产品声明周期的任何一个角落,它可能零碎地出现在硬件中、零碎地出现在软件代码中。如果你不了解安全,你可能无法进行优秀的产品设计,你甚至无法去正确的阅读代码。# 课程介绍(1) 讲解ARM最新硬件架构(ARM Core、ARM Architecture)、SOC架构(2) 讲解最新的Trustzone安全架构、TEE架构、Secureboot等(3) 讲解软件组件:TF-A(ATF)、optee_os、Linux Kernel、CA/TA应用程序等,及其交互模型、设计模型(4) 多系统交互代码导读、安全论证实践、CA/TA示例实践、安全业务设计实践(5) 我们学习的是全部硬件、全部系统,软硬结合,或者是大系统的软硬件融合# 课程收益1、安全不再神秘,能cover住全局2、熟悉ARM Architecture架构知识3、熟悉SOC架构知识4、熟悉主流的系统软件框架5、知道多系统之间是如何交互的,也能够进行系统级的设计6、深入了解当前的系统安全架构以及未来安全架构趋势7、熟悉基础的安全业务设计方法8、熟悉系统的启动流程、Secureboot等9、知道Linux Kernel在大系统中的位置,以及与其它系统交互的方法10、熟悉各类标准和规范11、学习资料的获取方法 # 课程大纲《Trustzone/TEE/系统安全开发速成班》 --当前48节课/19小时说明: 本视频会持续更新,购买时请以课程目录为主。本EXCEL一个月更新一次。章节编号课程时常第一章基础和简介1课程介绍 8:332ARM和SOC的架构简介60:13第二章软硬件基础3armv8/armv9基础概念26:204ARMv8/ARMv9的Trustzone技术77:565ARMv7的Trustzone技术8:376安全架构及其未来趋势(FF-A/SPM/CCA)6:417ARMv9 CCA机密计算框架底层核心原理简介20:448ARMv9 RME安全扩展详解61:299ATF Quick Start0161:2710Optee Quick Start49:3411系统软件Quick Start21:0412Secureboot原理深度讲解60:2813Android AVB的介绍26:0914TZC400详解17:5615TZC400代码导读之ATF13:4416RPMB详解30:0617RPMB代码导读之optee14:0318efuse详解12:1919Anti-Rollback的介绍11:33第三章软件架构20TEE的组件介绍67:5921TEE的RPC反向调用31:1422TEE的调度模型21:3223各类标准和规范22:17第四章软件架构(高级)24多系统之间的管理模型(ABI/标准)10:3025多系统之间的调度12:2126多系统之间的中断(不含虚拟化)61:4727多系统之间的中断(虚拟化)6:5728再谈多系统之间的调度(多核多线程)10:3129其它(内存管理/PSCI...)10:12第五章安全应用开发基础30安全应用开发基础5:3731TEE环境:qemu_V8环境的使用4:2032TEE环境:编写一个CA和TA程序11:0433TEE环境:编写漂亮的文档4:1434TEE环境:搭建阅读代码神器opengrok3:2635TEE环境(必看):使用集成好的qemu_v8镜像程序20:2936[CA/TA开发]CA到TA的通信9:1837[CA/TA开发]CA到TA的传参27:1638[CA/TA开发]TEE中的存储系统20:5739[CA/TA开发]TEE中的密码学系统简介12:3740[CA/TA开发]TEE中的密码学系统简介-数字摘要Hash等33:2141[CA/TA开发]TEE中的密码学系统简介-对称密码学算法AES等12:2042[CA/TA开发]TEE中的密码学系统简介-消息摘要算法HMAC等15:4843[CA/TA开发]TEE中的密码学系统简介-非对称密码学算法RSA等7:33第六章安全业务设计高级44Gatekeeper的介绍29:3245keymaster/keymint/keystore/keystore213:2746生物认证(指纹/人脸)13:5747DRM的介绍21:3748TUI的介绍17:03总计时统计(分钟)1128:12 说明:本课程会持续更新…
硬件安全模块 (HSM)、硬件安全引擎 (HSE) 和安全硬件扩展 (SHE)的区别
最新发布
Karka_的博客
06-29 906
在汽车行业中,硬件安全模块 (HSM)、硬件安全引擎 (HSE) 和安全硬件扩展 (SHE)的概念在确保关键系统和敏感数据的安全性和完整性方面发挥着关键作用。虽然这些技术的共同目标是增强安全性,但它们的应用和功能却存在显着差异。本文旨在探讨汽车行业背景下的HSM、HSE 和 SHE 之间的区别,阐明它们的具体实施和优势。
Vault配置中心产品调研实施方案
代码基地
03-17 1230
Hashicorp Vault是一个密码/证书集中式管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制以及详细的日志审计功能,解决了管理机密数据的问题。Vault提供了对数据库账号密码、外部服务的API秘钥、证书、通信凭证等机密数据的安全存储(key/value)和控制。它能处理key的续租、撤销、审计等功能。通过API访问可以获取到加密保存的密码、ssh key、X.509的certs等。身份验证:数据的访问都有严格的访问控制。加密存储。
【嵌入式】IoT Security: Anti-Rollback
欢迎光临
04-25 1593
参考:https://www.silabs.com/security/anti-rollback Adversaries may have knowledge of a security flaw found in an older firmware version and attempt to take advantage of it. The adversary attempts to load previously signed to re-open a closed security flaw.
Vault实施文档.doc
02-21
Vault实施文档 Vault实施文档是NetBackup的一个组件,用于提供自动化的备份和恢复功能。下面是Vault实施文档的重要知识点: 一、VAULT 的安装与配置 Vault功能在安装NBU Server时已经安装,不需要单独安装,只...
vault:我的黑曜石笔记
03-15
在IT行业中,尤其是在个人知识管理和信息整理领域,"Vault"经常指的是加密存储工具或知识库管理系统,而"黑曜石笔记库"可能是指一个特定的笔记应用或组织方式,利用黑曜石(Obsidian)这款流行的知识图谱构建工具。...
openmediavault
07-17
NAS openmediavault 6.0.24 OMV
vault:PHP HashiCorp Vault客户端
04-04
金库PHP8 HashiCorp Vault客户端安装composer require cubequence/vault示范代码<?phprequire './vendor/autoload.php' ;// ...
global platform secure element access control 规范
11-08
global platform secure element access control 规范
redhad环境android源码编译,启动流程  |  Android 开源项目  |  Android Open Source Project...
weixin_32462499的博客
05-26 579
建议的设备启动流程如下所示:图 1. 启动时验证流程适用于 A/B 设备的流程如果设备使用的是 A/B 系统,则启动流程略有不同。必须先使用启动控件 HAL 将要启动的槽位标记为 SUCCESSFUL,然后再更新回滚保护 (Rollback Protection) 元数据。如果平台更新失败(未标记 SUCCESSFUL),A/B 堆栈便会回退至仍具有先前 Android 版本的其他槽位。不过,如果...
NXP应用随记(八):S32K3XX的HSE学习记录(HSE\MU\UTEST\IVT\A,B SWAP)
梦想技术家
05-31 2270
HSE,即硬件安全引擎(Hardware Security Engine),是NXP S32K312微控制器(MCU)中的一个功能,它提供了一系列的安全特性,包括加密、安全启动和密钥存储等。这些功能旨在增强汽车电子系统的信息安全,符合ISO26262标准,达到ASIL D安全等级。具体来说,S32K312的HSE支持AES-128/192/256加密、RSA、ECC等加密算法,以及侧通道保护,确保了数据传输和存储的安全性。
移动安全领域 SE(Secure Element)
baron-周贺贺-代码改变世界ctw
08-20 995
SE(Secure Element)为安全模块,是一台微型计算机,通过安全芯片和芯片操作系统(COS)实现数据安全存储、加解密运算等功能。SE可封装成各种形式,常见的有智能卡和嵌入式安全模块(eSE)等。针对NFC终端产品开发的嵌入式安全模块(eSE)产品,采用满足CCEAL5+安全等级要求的智能安全芯片, 内置安全操作系统,满足终端的安全密钥存储、数据加密服务等需求。可广泛应用于金融、移动支付、城市交通、医疗、零售等领域,既能保护线上支付的安全,又能配合NFC作为线下支付的钱包使用。
Android 9.0 SecureElementService 初始化流程分析
hello_gson的专栏
07-11 8580
1. 相关名词解释 NFC Near Field Communication,近场通信,一种基于13.56 MHz 的短距离通信技术。 NFCC NFC Controller,NFC 控制器,负责 NFC 无线信号的调制解调 SE Secure Element,安全芯片,拥有独立的内...
S32K系列MCU学习介绍
让学习成为一种习惯
04-24 1945
通过翻阅资料,对S32K3系列有了一个初步的认识,接下来就是对各个外设模块的学习,以及S32 Design Studio开发环境的使用。主要参考官方的示例以及使用文档。
Android 13中的 Open Mobile API
开发以大橘为重
11-17 5269
SE 也就是 Secure Element,译为 “安全元素” 主要应用场景在 手机手表交通卡、门禁、虚拟钱包、虚拟SIM卡,以及其他身份认证的且对安全级别有一定要求的业务。
聊一聊可信执行环境
云水木石
04-30 3572
可信执行环境(TrustedExecution Environment, TEE)是一个与智能设备安全相关的话题。在开展这个话题之前,先看一个经济学上的话题:某个汽车公司生产的一款汽车,设...
Java调用Vault API实战指南
"白皮书:用Java调用Vault API" 这篇教程详细介绍了如何使用Java语言调用Autodesk Vault 5.0的编程接口。Vault API是通过符合Web服务互操作性(WS-I)标准的Web服务提供的,允许开发者进行深入的集成和扩展。本教程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值