色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

基于ECDSA的身份驗證重新定義了安全傳感器卡

星星科技指導員 ? 來源:ADI ? 作者:ADI ? 2023-01-05 10:43 ? 次閱讀

工業控制系統無處不在,是社會基礎設施不可或缺的一部分,例如我們的電力和水務設施,以及我們的石油/天然氣、化工、管道和運輸系統。毫不奇怪,鑒于世界上每天都有暴力和破壞報道,這些分布式控制系統DCS)或監督控制和數據采集(SCADA)系統的安全性變得越來越重要。對這些DCS的攻擊可能比對計算機系統的攻擊更具災難性,因為DCS和物理工廠對我們的福祉和日常生活有直接和直接的影響。最近的安全措施僅旨在保護系統及其相關網絡的機密性、完整性和可用性。一個關鍵領域被忽視了太久:傳感器卡或現場IO模塊。

自從幾年前發現Stuxnet蠕蟲以來,1我們對關鍵基礎設施和控制它們的DCS系統的安全性變得更加關注和警惕。雖然Stuxnet的故事有很多活動部分,但眾所周知,蠕蟲是通過USB拇指驅動器傳播的。2因此,工業系統的架構師現在必須采取更深入的安全措施來保護他們的系統。都好...但是,最近的安全措施僅旨在保護系統及其相關網絡的機密性,完整性和可用性。一個關鍵領域被忽視了太久:傳感器卡或現場IO模塊。

本應用筆記討論了DCS底層傳感器卡的安全性。使用安全認證器(如此處用作示例的基于DeepCover DS28E35和DS2475 ECDSA)的IC等方法可以保護傳感器卡。最后,雖然我們將在本應用筆記中大致討論DCS系統,但讀者應該知道SCADA系統也總是隱含的。此外,術語“傳感器卡”是指所有現場設備、IO模塊和智能傳感器。?

傳感器卡的作用

傳感器卡對于監視和控制DCS和SCADA系統至關重要。圖1顯示了典型DCS/SCADA系統的架構。系統的底層是傳感器卡,用于監控并向系統操作員發出警報。監控的典型功能包括溫度、濕度、運動、液位、水流量、煙霧、門活動、電源故障、電流和丙烷罐狀態。

poYBAGO2OUmAfDREAAE6rAWS5_A423.png?imgver=1

圖1.典型的DCS/SCADA系統架構,顯示底層傳感器,代表漏洞點。

我們大多數人都同意,通過傳感器卡大規模利用這些DCS系統只是時間問題。雖然通常不被認為是潛在的攻擊平臺,但許多人認為傳感器卡應該是。與其他系統單元相比,服務技術人員更頻繁地升級或更換傳感器卡。使用標準通信接口協議的一個優點是,服務技術人員可以在其DCS系統上使用來自多個供應商的傳感器更換卡。在這里,多個來源的好處可能成為責任,脆弱性。

不幸的是,在大多數情況下,沒有有效的方法來確保替換的傳感器卡沒有被欺騙、克隆或偽造。但是有一種方法可以糾正這個問題:在傳感器卡上添加一個安全的認證IC。這個附加組件完善了一個有效的安全系統,該系統將每個傳感器卡認證到DCS/SCADA網絡的最高控制級別。橢圓曲線數字簽名算法 (ECDSA) 等非對稱簽名方案有利于此類身份驗證目的。

ECDSA 加密保護傳感器卡

消費者一次性用品通常會受到各種復雜的芯片級方法的攻擊,這些方法試圖提取安全數據、反轉設備設置或中斷操作以危害系統安全性或只是克隆它。工業傳感器卡是一個類似的,通常易受攻擊的目標,某些未經授權和惡意的人可以訪問。為了提供最經濟實惠的保護,防止不可避免的惡意攻擊,安全系統的安全IC(如DS28E35)必須采用專有的管芯級物理技術、電路和加密方法來保護私鑰(Pr)密鑰、控制信號和其他敏感數據。

橢圓曲線數字簽名算法(ECDSA)是一種高效且安全的加密算法技術。橢圓曲線允許數論和代數幾何的數學構造。曲線具有豐富的結構,可用于密碼學。

最佳的 ECDSA 實現將使用基于公鑰的安全性3以及證書基礎結構以及用于身份驗證的數字簽名。在這種情況下,可編程邏輯控制器PLC) 首先驗證傳感器卡的證書,以確保它是該特定生態系統的合法成員。然后,PLC 執行數字簽名交換,以確認傳感器卡已授權用于該系統。

ECDSA 基于密鑰的公共加密認證器非常有效地執行這些安全程序,而且毫不費力。但是,并非每個安全身份驗證器都可以執行此任務。應用需要一個ECDSA安全IC,如DS28E35 DeepCover認證器,它實現了基于FIPS 186的ECDSA公鑰加密認證方法。該安全認證器具有1Kb用戶可編程EEPROM陣列以及用于公鑰和證書的存儲空間。它還具有一個僅遞減計數器、一個私鑰-公鑰對生成器、一個硬件隨機數生成器 (RNG) 和存儲器,可以劃分為開放訪問區域(例如,未受保護)和 EEPROM 具有讀或寫保護的區域。

ECDSA 涉及有限域上的橢圓曲線運算,這是一個數學密集型運算。當認證器IC位于傳感器卡上時,PLC還必須能夠計算數字簽名。這種能力的代價是PLC主機微控制器的計算復雜性要高得多,而計算時間通常是稀缺資源。配套協處理器ICDS2475位于PLC模塊上的主機微控制器附近,以減輕ECDSA計算的負擔。協處理器不需要任何秘密數據。DS28E35安全認證器和DS2475協處理器的功能框圖如圖2所示。

poYBAGO2OUqAQ6KwAABrTaeF6Aw041.png?imgver=1

pYYBAGO2OUuAI1WlAAB4Gq5Y2aU689.png?imgver=1

圖2.DS28E35安全認證器的功能框圖提供經濟實惠的橢圓曲線公鑰認證安全性,以保護傳感器卡。DS2475協處理器可卸載主機ECDSA計算。

在此配置中,協處理器實現高速 ECDSA 引擎,用于公鑰簽名驗證,該引擎也基于 NIST FIPS 186。身份驗證器和協處理器使用曲線 P-192 和 NIST FIPS 180 SHA-256 引擎實現其公鑰簽名,以將輸入數據設置為各自的 ECDSA 計算引擎。上電時,PLC現在可以驗證身份驗證器的證書,從而將傳感器卡識別為生態系統的一部分。然后,PLC 確認存儲在身份驗證器內的公鑰有效。圖 3 顯示了這種 PLC 到傳感器模塊互連。IO-Link 通信協議連接兩個子系統,但該協議可以是當今存在的眾多協議中的任何一個。?

pYYBAGO2OU2AJRLQAABIkQc2090191.png?imgver=1

圖3.安全傳感器卡/模塊認證設置采用嵌入傳感器卡的DS28E35 DeepCover安全認證器,并通過1-Wire接口微處理器通信。DS2475 ECDSA安全協處理器位于PLC模塊上,用于實現公鑰簽名過程。?

ECDSA 質詢和響應身份驗證

在最簡單的形式中,ECDSA質詢和響應身份驗證原則是一種安全的握手方案,其中PLC提出問題(即質詢),傳感器卡必須提供有效的答案(即響應)才能進行身份驗證。首先,PLC模塊必須首先通過驗證其證書來檢查以確保傳感器卡是生態系統的一部分。(我們將在本應用筆記中省略此步驟。收到PLC的質詢后,傳感器卡的響應是有效的數字簽名。如果 PLC 無法驗證返回的簽名,這意味著傳感器卡得到的答案是錯誤的,那么 PLC 將拒絕傳感器卡,因為系統未經授權(不真實)。這種拒絕可能僅僅意味著該特定傳感器卡提供的數據(例如,其系統報警點)將全部被拒絕,并且可能不會發送到系統操作員的鏈上,以確保有問題的數據不會影響未來的系統控制決策。

這種ECDSA認證方案的主要組成部分包括256位隨機質詢、傳感器卡的認證器(即DS28E35)、ROM ID、RNG、私鑰和其他一些數據元素。密鑰對(公共/專用)可以在DS28E35外部生成并加載,也可以在IC內部計算。當密鑰對在DS28E35內部生成時,私鑰永遠不會被讀取或從器件中移除。但是,當使用外部密鑰對生成器時,需要一個強大的密鑰管理方案來防止私鑰被泄露。

安裝傳感器卡并通電后,PLC 和傳感器卡之間將立即發生以下事件序列。ECDSA 質詢和響應身份驗證事務序列如圖 4 所示,如下所示:

PLC 讀取傳感器卡的 ROM ID、公鑰 (Pu) 密鑰、頁面數據等。

傳感器卡發送請求的數據

PLC 生成并向傳感器卡發送隨機質詢。

傳感器卡的認證器(DS28E35)計算PLC提供的質詢的ECDSA簽名。對質詢、頁面數據、ROM ID 和其他一些數據元素進行哈希處理,以獲取消息身份驗證代碼 (MAC)。然后將MAC與私鑰(Pr)和隨機數一起輸入ECDSA引擎,以創建ECDSA簽名。

PLC 讀取數字簽名并使用公鑰進行驗證。PLC的安全協處理器(DS2475)使用相同的項目,包括相同的存儲器數據、ROM ID和數據元素來計算相同的MAC。驗證是通過饋送(一部分)收到的簽名、MAC 和公鑰來完成的。

如果存在簽名匹配(如果私鑰和公鑰真正相關),則傳感器卡將進行身份驗證。這實質上意味著傳感器卡是正品,然后PLC將接受來自它的所有測量數據。但是,如果無法驗證簽名,則傳感器被視為假的、仿冒的、克隆的或偽造的。

poYBAGO2OU6ADFk-AAClM8Uw_FE159.png?imgver=1

圖4.ECDSA 質詢和響應身份驗證事務序列。一個簡單的示例假定證書驗證之前已完成。

結論

DCS或SCADA是一個高度復雜的系統,需要保護。僅僅驗證DCS/SCADA系統的服務器、存儲和通信是否安全,在今天是不夠的。端點(本應用筆記中討論的傳感器卡)也必須受到保護,以免易受攻擊或使整個系統易受攻擊。從本質上講,安全架構設計和實現應將傳感器卡視為威脅,直到它們都通過網絡進行身份驗證。這里進入ECDSA質詢和響應身份驗證,這是保護知識產權(IP)免受假冒和非法復制,保護研發投資以及保護系統組件的非常有效的方法。

今天有一個簡單的ECDSA實現,它使用基于公鑰的加密身份驗證器。本應用筆記中的示例器件為DS28E35安全認證器和DS2475協處理器。經過驗證的ECDSA安全性將確保任何克隆的,未經授權的傳感器卡都無法進入系統,也不會向控制系統操作員發送虛假信息。因此,安全的身份驗證器和協處理器可防止系統運行中斷、生產力損失以及所有相關成本。根據DCS/SCADA的應用,具有強大ECDSA加密技術的安全認證器和協處理器甚至可以挽救生命。

審核編輯:郭婷

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 傳感器
    +關注

    關注

    2550

    文章

    51041

    瀏覽量

    753100
  • 控制系統
    +關注

    關注

    41

    文章

    6605

    瀏覽量

    110578
  • 計算機
    +關注

    關注

    19

    文章

    7488

    瀏覽量

    87859
收藏 人收藏

    評論

    相關推薦

    無線身份驗證的門禁控制系統設計方案

    1 概述  隨著人們的移動性與日俱增,對身份驗證安全性及可靠性的新需求應運而生,推動虛擬身份驗證取代密鑰卡門禁。為了應付無間斷連接及完全分布式智能設備的爆炸式增長所帶來的挑戰,有必要制定一種
    發表于 11-05 11:11

    facexx人臉識別身份驗證迎來新技術革新

    安全。有AI身份驗證的技術人員,通過率將會更高,而且企業的資源也可以得到最優化,更重要的是辦公安全也可以得到一個更大的保障,在節省人力物力的過程當中也可以讓辦公場景更高效,更
    發表于 12-19 15:06

    Vivado和SDK身份驗證錯誤

    時,我們在安裝的這一點上都有相同的錯誤。用戶ID和密碼驗證登錄但無法安裝。想法?是否存在已關閉的身份驗證服務?以上來自于谷歌翻譯以下為原文When trying to run
    發表于 01-02 14:55

    PN5180無法使用mifare classic進行身份驗證怎么解決?

    ....ok 2. Anticollision CL1.....ok 3. 選擇......ok 4. 驗證....錯誤當我發送身份驗證命令時,我得到 0x02(等待響應超時(
    發表于 03-23 08:46

    什么是身份驗證和授權

    什么是身份驗證和授權 根據RFC2828(Internet Security Glossary,May2000),驗證是“校驗被或向某系統實體聲明的身份的過程”。此處的關鍵字
    發表于 04-03 16:03 ?5741次閱讀

    什么是詢問握手身份驗證協議

    什么是詢問握手身份驗證協議 CHAP(詢問握手身份驗證協議)是用于遠程登錄的身份驗證協議,通過三次握手周期性的校驗對端的身份,在初始鏈
    發表于 04-03 16:06 ?2674次閱讀

    什么是密碼身份驗證協議

    什么是密碼身份驗證協議 PAP是一種身份驗證協議,是一種最不安全身份證協議,是一種當客戶端不支持其它身份認證協議時才被用來
    發表于 04-03 16:07 ?1602次閱讀

    新型傳感標簽重新定義RFID標簽

    隨著應用場景的不斷深化和增多,RFID標簽在工藝技術和產品形態上都有新的迭代變化。總體而言,超高頻RFID技術發展主要有三個方向:定位、加密和傳感器集成。對此,可以毫不夸張地說,新型傳感標簽
    發表于 01-13 16:32 ?1379次閱讀

    為設計選擇正確的安全身份驗證方法

      當然,有不同級別的有效身份驗證。以打印機墨盒為例。為了驗證它的真實性,墨盒可以發送一個密碼。但是這種方法的缺點是中間人可以在密碼被傳輸時捕獲并重新使用它。質詢-響應身份驗證,其中墨
    的頭像 發表于 05-24 10:11 ?1290次閱讀
    為設計選擇正確的<b class='flag-5'>安全身份驗證</b>方法

    PCB身份驗證

    電子發燒友網站提供《PCB身份驗證.zip》資料免費下載
    發表于 07-22 10:09 ?2次下載
    PCB<b class='flag-5'>身份驗證</b><b class='flag-5'>器</b>

    基于 ECDSA身份驗證重新定義安全傳感器

    發表于 11-17 08:22 ?0次下載
    基于 <b class='flag-5'>ECDSA</b> 的<b class='flag-5'>身份驗證</b><b class='flag-5'>重新定義</b><b class='flag-5'>了</b><b class='flag-5'>安全傳感器</b><b class='flag-5'>卡</b>

    安全哈希算法的基礎知識,如何使用算法進行身份驗證

    本應用筆記介紹安全哈希算法(SHA)的基礎知識,并討論該算法的變體。然后簡要介紹了如何使用算法進行身份驗證,包括哈希消息身份驗證代碼 (
    的頭像 發表于 12-21 15:37 ?2498次閱讀
    <b class='flag-5'>安全</b>哈希算法的基礎知識,如何使用算法進行<b class='flag-5'>身份驗證</b>

    通過質詢和響應身份驗證實現安全訪問控制

    本應用筆記回顧門禁控制的關鍵:機械、磁性、接觸式、RFID。它描述質詢和響應身份驗證(質詢、機密和消息身份驗證代碼或 MAC)以及 SHA-1 算法的重要作用。最后,本文解釋
    的頭像 發表于 01-29 15:58 ?1233次閱讀
    通過質詢和響應<b class='flag-5'>身份驗證</b>實現<b class='flag-5'>安全</b>訪問控制

    基于DS28S60的雙向身份驗證示例

    本應用筆記詳細介紹DS28S60與Jupyter筆記本配合使用進行雙向認證的基本應用。它使用分步方法來演練設置設備和所有相關軟件,創建用于通過 ECDHE 密鑰交換加密數據的共享密鑰,使用 AES-GCM 加密和解密數據,以及通過 ECDSA 簽名生成和
    的頭像 發表于 02-17 11:32 ?640次閱讀

    使用DeepCover安全身份驗證保護您的FPGA系統

    本應用筆記介紹設計人員如何保護其 Xilinx FPGA 實現、保護 IP 并防止附加外設偽造。設計人員可以使用本應用筆記中描述的參考設計之一來實現這種安全性。這些設計在FPGA和DeepCover安全身份驗證
    的頭像 發表于 02-20 11:07 ?1156次閱讀
    使用DeepCover<b class='flag-5'>安全身份驗證</b><b class='flag-5'>器</b>保護您的FPGA系統
    主站蜘蛛池模板: 老师在讲桌下边h边讲课| 国产精品99久久免费黑人人妻| 欧美乱妇狂野欧美在线视频| 搞基福利社| 野花视频在线观看免费最新动漫| 欧美乱子YELLOWVIDEO| 嫩草影院永久在线一二三四| 精品动漫国产亚洲AV在线观看| 绑着男军人的扒开内裤| 在线播放一区二区精品产| 日本ccc三级| 美女在线永久免费网站| 九色PORNY真实丨首页| 国产精品日本无码久久一老A | 全黄H全肉禁乱公| 偷拍精品视频一区二区三区| 欧美人与动牲交ZOOZ特| 宿舍BL 纯肉各种PLAY H| 亚洲伊人国产| 亚洲日产2020乱码草莓毕| 网红主播 国产精品 开放90后| 青柠在线观看免费完整版| 美女强奷到抽搐在线播放| 手机在线观看mv网址| 欧美日韩一区二区三区四区| 午夜精品久久久久久影视riav| 爽a中文字幕一区| 最近的中文字幕2019国语| 97草碰在线视频免费| 16女下面流水不遮图免费观看| 在线观看日本污污ww网站| 成人免费小视频| 美女扒开腿让男人桶个爽| 高H各种PLAY全肉NP| 伊人久久精品99热超碰| 欧美日韩精品久久久免费观看 | 久草在在线免视频在线观看| 国产露脸A片国语露对白| 含羞草在线| 麻豆精品2021最新| 一区二区三区高清视频|