【培训课件】程序代码保护和授权管理解决方案

2019/9/151程序代码保护和授权管理解决方案TheSolutionstoIPProtection&LicenseManagementDallasSemiconductor/Maxim2019/9/152讨论主题DallasSemiconductor/Maxim简介Dallas的IP保护和授权解决方案实现该方案的硬件接口设计实现该方案的软件设计应用领域和产品总结附录A、B、C、D2019/9/153DallasSemiconductor/Maxim简介创建于1983年,现有员工超过9300人2006财年产值过20亿美元现有4800个产品,80%为Dallas/Maxim专有产品涵盖精密的线性模拟、高频混合和特殊用途的数字集成电路市值规模达100亿美元，资产30亿美元，是世界上最具价值的四个半导体公司之一2019/9/154Dallas的IP保护和授权解决方案Dallas的1-Wire产品线提供三种安全等级的IP保护和授权管理解决方案：简单的、低成本ID解决方案DS2411/DS2401---唯一的、工厂激光刻度的64位ROMID码DS2417---唯一的64位ROMID码，外加32位RTC实时时钟低成本、高性能的ID+存储器解决方案DS2431---唯一的、工厂激光刻度的64位ROMID码，外加128个字节的EEPROM存储器更高安全性、基于SHA-1安全散列算法的解决方案DS28E01---唯一的64位ROMID、最长320位的密钥长度、受SHA-1保护的128个字节EEPROM、内置SHA-1算法DS2460----I2C接口、唯一的64位ROMID码、112个字节通用EEPROM、内置SHA-1处理器2019/9/155Dallas的IP保护和授权解决方案---简单的、低成本的ID解决方案DS2401/DS2411的主要特性：提供全球唯一的、不可更改的64位ROMID码仅需一条双向数字I/O线！遵循Dallas标准的1-Wire通信协议，通信速率支持16Kbps的标准速率或140Kbps的高速模式1.5V至5.25V工作电压、最大1uA的待机电流（DS2411）多种封装可选：3-pinTO-92&SOT23,6-pinTSOC,CSP2019/9/156Dallas的IP保护和授权解决方案---简单的、低成本的ID解决方案DS2417的主要特性：提供全球唯一的、不可更改的64位ROMID码遵循Dallas标准的1-Wire通信协议200nA工作电流、2.5V至5.5V工作电压32位秒计数RTC，精度2分/月@25℃可编程定时中断输出6-pinTSOC封装（4mmx3.7mm)2019/9/157Dallas的IP保护和授权解决方案---简单的、低成本的ID解决方案简单的、低成本ID解决方案的安全措施：64位ID码的唯一性由软件识别认可的ID码范围–Dallas供货时将提供每盘ID器件的ID范围–要求用户软件在程序存储器中建立所有认可ID范围的列表，以便软件升级时兼容以前的硬件版本用户定制ID码–Dallas为用户提供定制的ID码产品，其中包含一个12位特定的用户号码，定制格式见附录–软件只需识别定制ID码中的12位用户号，简化了软件操作更加隐蔽的软件陷阱1-WIRE标准通信速率应用于开机或实时合法性认证高速通信模式应用于长时间间隔(如1~6个月时间)的合法性认证,以设置更为隐蔽的软件陷阱2019/9/158Dallas的IP保护和授权解决方案---简单的、低成本的ID解决方案当系统包括EEPROM或flash存储器时，可通过算法提高器件认证的安全性。例如开辟flash存储器的一个扇区，如64或128字节，作为设备/系统合法性的认证数据区。具体可以这样处理，即基于不可更改的64-bitROMID、部分flash存储器数据和用户自定义的密钥，通过加密安全算法生成一定长度的认证信息码，并将此认证信息存储在flash存储器内，以便主机进行数据的完整性和器件合法性的认证。2019/9/159Dallas的IP保护和授权解决方案---低成本、高性能的ID+EEPROM存储器解决方案DS2431主要特性:全球唯一的、不可更改的64位ROMID码遵循标准的1-WIRE通信协议支持15.6K/111Kbps两种通信速率I/O寄生供电方式，无须额外电源输入（I/O上拉电源范围2.8V至5.25V）4个32字节的EEPROM存储器页，可分别设置为写保护或OTP模式8个字节写数据暂存器15kVESD保护2-pinSFN、6-pinTSOC、CSP、TO-92封装2019/9/1510Dallas的IP保护和授权解决方案---低成本、高性能的ID+EEPROM存储器解决方案低成本、高性能的ID+EEPROM存储器的安全措施继承了简单的、低成本ID解决方案的安全措施全球唯一的、不可更改的64-bitROMID码–由软件识别认可的ID码范围–用户定制ID码更加隐蔽的软件陷阱通过用户定义的加密算法或公开算法提高系统应用的安全性基于不可更改的64-bitROMID、部分EEPROM存储器数据和用户自定义的密钥，通过加密安全算法生成一定长度的认证信息码，并将此认证信息存储在器件内，以便主机进行数据的完整性和器件合法性的认证2019/9/1511Dallas的IP保护和授权解决方案---低成本、高性能的ID+EEPROM存储器解决方案低成本、高性能的ID+EEPROM存储器解决方案的计算模型用户自定义密钥（64位或更长）64位ROMID32字节或更多的EEPROM数据20字节或更长的认证信息码DS2431用户定义的加密安全算法或公开的加密安全算法，如SHA-1或3-DES，生成一定长度的认证信息2019/9/1512Dallas的IP保护和授权解决方案---更高安全性、基于SHA-1安全散列算法的解决方案1-WireSHA-1算法存储器DS28E01-100的主要特性：提供全球唯一的、不可更改的64-bitROMID码1024-bitEEPROM存储器，可分别设置为写保护或OTP模式，其中第3页存储器可设为读保护模式64位至320位密码长度可选内置快速（1ms)的SHA-1引擎，计算生成160位的信息认证码（MAC），提供安全的数据读写操作基于64位ROMID和自动密码生成机制，可以为每个器件生成唯一的密码，进一步提高应用的安全性5个字节的随机质询码和响应机制，避免非法的数据复现ISO/IEC10118-3标准的安全散列算法SHA-1为不可逆运算，即无法由数据源和MAC码推出隐含的密码，提供了目前更为安全、更低成本的安全数据存储和身份认证方案。其计算运算方法和计算模型见附录D2.8V~5.25V的工作电压，6-PINTSOC封装2019/9/1513Dallas的IP保护和授权解决方案---更高安全性、基于SHA-1安全散列算法的解决方案SHA-1协处理器DS2460的主要特性：提供全球唯一的、不可更改的64-bitROMID3组64位密码112个字节用户EEPROM，最多支持8个字节一次写入100Kbps至400kbps的I2C串行接口内置快速（1ms)的SHA-1引擎，计算生成160位的信息认证码（MAC）2.7V至5.5V的工作电压8-PINSO封装2019/9/1514Dallas的IP保护和授权解决方案---更高安全性、基于SHA-1安全散列算法的解决方案更高安全性、基于SHA-1安全散列算法器件的安全措施继承前两种解决方案的安全措施器件所提供的安全措施1-Wire接口的DS28E01-100和I2C接口的DS2460的安全共性：–器件包含用户所加载的密钥，其它用户无法读出和破解–SHA-1算法的不可逆性，即无法从认证信息码求解出器件所使用的密钥–器件自身的唯一的64位ROMID可作为生成器件密钥的部分数据，为各个器件生成唯一的密码，不致于由于碰巧破解了某个器件的密钥，使整个系统应用的安全性失效，由此提高了系统应用的安全性1-Wire接口的DS28E01-100的额外安全性：–5个字节的随机质询码，避免非法数据复现–最长320位密钥长度（可以将第3个存储器页256位设置为读保护模式，从而将64位密钥增加至320位）–存储器数据受SHA-1算法保护，仅在生成了所需的认证信息码时才可以改写对应的存储器数据I2C接口的DS2460的额外安全性：–3组64位密钥，支持最多3级64位密钥的SHA-1安全认证,如开机认证,条件触发认证,长时间软件陷阱等–主机最多可输入47个字节的随机数，以生成随机的160位认证信息码2019/9/1515Dallas的IP保护和授权解决方案---更高安全性、基于SHA-1安全散列算法的解决方案SHA-1算法的计算模型64位密钥EEPROM数据或其它输入数据源5个字节随机数SHA-1计算引擎输出160位信息认证码（MAC）2019/9/1516Dallas的IP保护和授权解决方案---更高安全性、基于SHA-1安全散列算法的解决方案SHA-1的随机质询-响应机制2019/9/1517实现该方案的硬件接口设计1-Wire的硬件接口单个微处理器的双向I/O口DS1WM（集成于FPGA，提供VHDL或Verilog语言源代码）UART模拟实现1-WIRE接口集成的1-Wire主机I2C至1-WIRE主机：DS2482-100UART至1-WIRE主机：DS2480BUSB至1-WIRE主机：DS24902019/9/1518实现该方案的硬件接口设计---单个微处理器的双向I/O口最简单的1-WIRE接口电路I/O具有漏极开路输出或弱上拉输出位通信时隙内禁止中断,避免破坏严格定时的位时隙适合于开机认证或允许暂时关闭中断服务程序的系统2019/9/1519实现该方案的软件设计1-Wire接口的基本程序C51for1-WIRE利用UART模拟实现1-WIRE接口SHA-1算法的源程序一个基于SHA-1应用的完整打印耗材认证工程文件集成1-Wire主机控制器的驱动程序1-WIRE软件资源指南更多软件下载地址：应用领域和产品IP保护/授权管理外置flash程序存储器的系统,如ARM,DSP,Xscale等打印机/复印机耗材（墨盒、硒鼓）医疗设备的附件ID电池组IDDRM10MP3/MP4/PMP播放器DVB-C/S/TPOS电源适配器ID2019/9/1521附录A：1-Wire产品特性及类型1-wire单总线简介不同于2线I2C或3线SPI的串行接口，仅靠1条I/O线完成串行数据通信在1条I/O线上，实现数据、时钟和电源的同时传输，最大可能地减少了电气和机械连线RXDTXD5uA(typ)1-WIREGNDPARASITEPOWERCIRCUITDEVICEFUNCTIONINTERNALVDD2019/9/1522附录A：1-Wire产品特性及类型所有1-Wire器件遵循标准的1-Wire®协议每个1-Wire器件内部激光刻度全球唯一的64位ROMID码包含256个产品家族，每个家族系列最大数目可达一千八百万亿（248）,用之不竭16kbps或140kbps的数据传输速率采用CRC-8或CRC-16循环冗余码校验，保证更可靠的串行通信0418276521000089家族代码唯一的系列号校验码64-bitROMID码定义DeviceSpecificFunctions64bitROM附录A：1-Wire产品类型#1-WireNetInterface(ROM)LayerReadROMSearchROMMatchROMSkipROMDeviceSpecificLayerDescriptionDS24011-WireNetDe