本應用筆記描述了MAX36025 DeepCover?防篡改反應加密節(jié)點控制器如何實現(xiàn)有效的物理篡改保護，幫助設計人員克服當前和下一代系統(tǒng)中的安全挑戰(zhàn)。

所有終端設備類別的安全要求都在迅速提高。這種趨勢，加上軟件病毒的風險，導致硬件安全實施的流行程度越來越高。因此，設計人員在當前和下一代系統(tǒng)中面臨許多安全問題，包括如何安全地加密數(shù)據(jù)和保護加密密鑰。

為了使任何安全解決方案有效，必須實施物理篡改保護，因為即使是最復雜的安全微處理器、現(xiàn)場可編程門陣列 （FPGA）、智能卡和其他安全組件也容易受到某些攻擊場景的影響。這種威脅需要在系統(tǒng)關閉時維護一些有源電路，以檢測旨在提取關鍵信息的潛在攻擊。為此，安全設備必須消耗低功耗并與多個傳感器接口以檢測威脅。這些設備還需要在包含敏感內容的電路周圍創(chuàng)建安全邊界。此外，如果安全組件可以保護加密密鑰以及安全地加密數(shù)據(jù)，則可以為系統(tǒng)提供更高級別的保護，并緩解設計人員當前面臨的一些問題。

MAX36025 DeepCover?防篡改反應式加密節(jié)點控制器正是這樣做的。它將加密密鑰存儲在獲得專利的*無印記存儲器 （1KB） 中，通過監(jiān)控物理篡改來保護密鑰，并在兩個硬件高級加密標準 （AES） 引擎中加密和解密數(shù)據(jù)。MAX36025采用現(xiàn)有Maxim安全管理器的安全屬性，提供安全存儲器來存儲關鍵信息，還具有認證網關，通過發(fā)送質詢響應，首先對任何試圖與其通信的處理器進行認證。當兩個已知密鑰在微處理器和設備之間成功交換時，身份驗證過程通過加密的 I2C 接口進行。已知密鑰加載到MAX36025的安全位置。如果身份驗證未成功進行，設備將不允許訪問內部安全存儲器。身份驗證成功后，可以將加密密鑰加載到非印記安全內存中。此外，還可以設置篡改參數(shù)以及通過兩個 AES 引擎進行數(shù)據(jù)路由。

AES 引擎可以在許多場景中運行（參見圖 1 到 圖 3），以 9Mbps 的吞吐率加密、解密或同時加密和解密關鍵數(shù)據(jù)。AES 引擎通過兩個獨立的雙向 SPI 接口訪問。此外，串行閃存接口可以將大量加密數(shù)據(jù)存儲到外部串行閃存中。這允許用戶將數(shù)據(jù)安全地存儲在標準串行閃存中。

MAX36025是新發(fā)布的安全管理器，可以更輕松地在系統(tǒng)中實現(xiàn)AES加密。作為基于狀態(tài)機的器件，MAX36025不需要代碼**即可與其通信，從而縮短了設計時間。該器件在市場上是獨一無二的，因為它將硬件AES引擎與一組強大的安全功能相結合，包括獲得專利的非印記存儲器。

圖1.使用一個 AES 引擎加密數(shù)據(jù)。

圖2.使用兩個 AES 引擎加密數(shù)據(jù)。

圖3.將加密數(shù)據(jù)存儲在外部串行閃存中。

審核編輯：郭婷