tag 标签: 安全

相关帖子
相关博文
  • 热度 2
    2019-10-12 15:04
    386 次阅读|
    1 个评论
    虚拟世界的真实威胁-漏洞检测工具初探
    漏洞检测,您到位了吗? APP开发过程中,信息资产与风险管理,是相当重要的一环,但其实很多公司都没有专业的测试人员,出于利润,大部分公司把时间和金钱都用在对APP的开发上,缺少了完整的测试检测环节,从而导致APP上线后问题不断,目前常见的使用平台为Kali Linux,其中包含多种类型工具供用户使用,但我们也不局限于此平台,仍可使用其他工具使测试更加完整。 工具 功能 Kali Linux 针对网页与APP进行信息收集、 模拟漏洞攻击和漏洞分析 ApacheBench 网页与APP压力测试 Nessus 针对系统进行漏洞分析 表一:测试工具及功能 测试平台 Kali Linux 图一:Kali Linux图标 系统自带工具集 Kali Linux系统最顶层是十四种安全工具分类,每一个分类有不同的测试工具,以下介绍其中三种类型,分别为信息收集、压力测试、漏洞分析。 图二:Kali Linux十四种安全工具分类 信息收集 在渗透测试中,我们需要尽可能收集多一些目标的信息,因为资产探测和信息收集决定了你发现安全漏洞的机率有多大。如何最大化的去收集目标范围,尽可能的收集到子域名及相关域名的信息,这对我们下一步的漏洞测试显得尤为重要,以下介绍信息收集的实际范例。 用例一:登录帐户密码的暴力破解 I. 需要知道的信息 需要破解的主机名或是IP和URL 区分是https & http 登入成功和失败时返回信息的区别 II. 使用工具 KaliLinux 中信息收集的dnsenum,和密码攻击中的Hydra III. 操作步骤 先使用dnsenum得到目标的IP地址 图三:获取目标IP地址 Hydra的指令 Hydra –l 用户名 –p密码字典 –t线程-vV –ipssh 图四:获取账号及密码 得到账户名称:root 密码:584520 I. 解决方法 A. 动态登入 需限制登入时间以及登入账号的次数,例如:短信内标注有效时长为5min,实际有效时长却约为30min,对获取动态密码次数做了限制,但未对密码暴力破解做任何防护,防止暴力破解密码的方式。 B. 静态登入 需要使用Session去认证登入者的身份,通常在用户完成身份认证后,存下用户数据,接着产生一组对应的id,这个id必须为独特的,所以会使用uuid的机制处理。 C. 双重验证 现在也有使用双重认证的方式去保护使用者的账户安全,像是登入Google账户,就可以设定登入之后,Google会发送一条短信,其中有另外的登入密码,也可选择语音的方式得知登入密码,更加保护了帐户安全 D. 禁止密码输入频率过高的请求 当同一来源的密码输入出错次数超过一定的值,立即通过邮件或者短信等方式通知系统管理员 压力测试 压力测试在大型系统的设计和开发中非常重要,压力测试可以帮助我们发现系统的效能且评估系统能力,且进行针对性的效能优化,也可以帮助我们验证系统的稳定性和可靠性。除了Kali Linux以外,还有以下常见工具: 图五:ApacheBench图标 ApacheBench的测试,可以轻易的模拟 1,000以上 使用者的同时联机(concurrent users) 测试,输出的测试结果也相当清楚。并且不局限于linux操作系统,可以在Windows上安装,以下为压力测试实际范例: 用例二:压力测试 I.使用工具 ApacheBench II.操作步骤 先到Apache的文件夹位置,执行ab.exe,语法为ab –n 100 –c 10 {url} 图六:压力测试执行ab.exe 得到测试结果 图七:压力测试测试结果 字段讲解如下: Server Software: WEB主机的操作系统与版本(若web主机设定关闭此信息则无) Server Hostname: WEB主机的IP地址(Hostname) Server Port: WEB主机的连接阜(Port) Document Path: 测试网址的路径部分 Document Length: 测试网页响应的网页大小 Concurrency Level: 同时进行压力测试的人数 Time taken for tests: 本次压力测试所花费的秒数 Complete requests: 完成的要求数(Requests) Failed requests: 失败的要求数(Requests) Write errors: 写入失败的数量 Total transferred: 本次压力测试的总数据传输量(包括HTTP Header的数据也计算在内) HTML transferred: 本次压力测试的总数据传输量(仅计算回传HTML的数据) Requests per second: 平均每秒可响应多少要求 Time per request: 平均每个要求所花费的时间(单位:毫秒) Time per request: 平均每个要求所花费的时间,跨所有同时联机数的平均值(单位:毫秒) Transfer rate: 从ab到Web Server之间的网络传输速度 漏洞分析 漏洞分析是指在代码中迅速定位漏洞,弄清攻击原理,准确地估计潜在的漏洞利用方式和风险等级的过程。我们将使用Nessus这项工具,这套工具能够帮助系统管理者搜寻系统主机的漏洞所在,用户可自行撰写攻击测试程序,且让系统管理者对系统主机进行错误的更正和防护,以避免被入侵者攻击,以下为弱点扫描流程 图八:弱点扫描流程 以下为漏洞分析的实际范例 用例三、扫描本机漏洞 I. 使用工具 Nessus II.操作步骤 图(一)为开始界面 图九:Nessus开始界面 Nessus基本流程为(1)登录,(2)创建或配置策略,(3)运行扫描,(4)分析结果,根据扫描要求,选择配置策略,也就是可以在目标上执行的漏洞测试,Nessus提供的扫描模板。 图十:Nessus扫描模板 建立策略 名称为Local Vulnerability Assessment 目标为本机地址: 192.168.18.149 图十一:Nessus建立策略 启动屏幕 图十二:Nessus启动屏幕 启动屏幕 扫描结果 图十三:扫描结果 点选本机的漏洞情况,可以查看详细漏洞信息,并且会提供解决方法 图十四:漏洞情况 漏洞描述为:远程主机受远程桌面协议(RDP)中的远程执行代码漏洞影响。未经身份验证的远程攻击者可以通过一系列特制请求来利用此漏洞来执行任意的代码,也可汇出一份PDF档,提供解决方法 安全风险一站式测试方案 针对信息安全、网页和APP,可提供以下测试方案: 1. 资料安全检查 检视内部作业提供改善建议,提升资料安全防护能力 2. 漏洞侦测分析 WEB主机或系统做安全扫描,提供结果并协助修正 3. 压力测试 WEB压力测试,在同一时间能有多少人在线,检视WEB的负载能力 测试常见问题,一对一解析 1. 渗透测试有标准流程吗? 有的,请参考下列三个由几个开源组织制定的渗透测试标准流程 OWASP (Open Web Application Security Project) OSSTMM (Open Source Security Testing Methodology Manual) PTES ( Penetration Testing Execution Standard ) 2. 渗透测试执行完毕后就完全没有问题了吗? 由于黑客攻击手法层出不穷,即使系统不进行任何更动,也难以保证未来不会被新的方式入侵,因此仍建议客户定期执行测试。 3. 渗透测试与弱点扫描的差异? 渗透测试是以人工方式模拟黑客的思维,针对系统做攻击测试,比较考验测试人员本身的经验以及知识,弱点扫描则是使用自动化工具对系统进行检测,找出所有已知的风险。 百佳泰安全风险检测服务阻挡虚拟世界的威胁 在虚拟世界中,安全漏洞风险无处不在,百佳泰能够模拟黑客攻击的手段对各类系统进行安全检测,并评估其风险,提供解决方案。在产品、APP及网页上市前,针对其使用特性及用户情景,提出客制化的安全风险检测,透过全面性、多样性的测试方式及测试手法,替您的产品、APP及网页做资安把关。除此之外,百佳泰亦有针对物联网装置的检测服务,可点阅: 物联网无线应用之安全风险: 您的智能装置真的安全吗? 避免装置被破解,导致数据被窃取等隐患问题。
  • 热度 3
    2019-10-12 13:59
    1040 次阅读|
    0 个评论
    随着传统实体汽车钥匙日渐式微,各大车厂也已开始配置无钥匙进入系统(Keyless Entry System)、数字钥匙(Digital Key),无钥匙与数字钥匙带给车主更便利的车用体验,然而,伴随而来的却是前所未有的风险。百佳泰结合深厚的信息安全与RF验证能力,能够针对无钥匙与数字钥匙提供相对应的验证测试,确保多功能汽车钥匙的安全性,进而维护车主的人身与财产安全。 车门门锁与引擎发动的第一道关卡 晋级的无钥匙进入与数字钥匙 随着近年来汽车行业的蓬勃快速发展,早期用来开启车门与发动引擎的传统实体汽车钥匙日渐式微,各大车厂也已开始配置无钥匙进入系统(Keyless Entry System),甚至开发数字钥匙(Digital Key)技术,车主仅须透过手机下载数字钥匙便能开锁。无钥匙与数字钥匙除了带给车主更便利的车用体验,另可以避免实体钥匙容易复制、车锁被撬开等被盗情况。 什么是无钥匙进入系统 无钥匙进入系统顾名思义就是不需要使用到实体钥匙,目前Keyless Entry可简单略分为二: 1. PKE (被动无钥匙进入和启动) 为Passive Keyless Entry的缩写,车主不用做任何动作,只需随身携带遥控钥匙(key fob)靠近车门约一公尺距离内,汽车无钥匙进入系统便可自动侦测车主身上的遥控钥匙(key fob)以进行身分识别,验证成功便可自动打开车门。 2. RKE (远程无钥匙进入) 为Remote Keyless Entry的缩写,车主可以在距离车子几公尺处、透过遥控器来开锁,遥控器会发送RF信号给车子并解锁,RKE通常都是使用免费的无线信号频段,例如北美区域使用315MHz,欧洲或其他地区的车子则会用434MHz或868MHz。 无钥匙进入系统 Keyless Entry System带来无限便利 伴随而来的却是未知风险 无钥匙带给车主前所未有的便利性,伴随而来的却是未知风险。德国独立权威研究机构-全德汽车俱乐部联盟ADAC (www.adac.de) 于2019年公布对各大车厂进行车用无钥匙进入安全性实测,总计237款车型,测试结果显示,仅三台车的无钥匙进入具备安全性,分别为2018年出厂的路虎发现、路虎揽胜以及2018年捷豹i-Pace。 另外99%的车用无钥匙都不及格,包含2017年的奥迪A8,2018年的宝马 X4 xDrive 30i,2018年的东风思域,2017年的雷克萨斯 CT200,2018年的梅赛德斯A 200 AMG,2018年的沃尔沃XC60等。这些未能通过测试的车子,信号能够轻易被破解而被解锁,提供窃贼绝佳下手机会,导致车主面临车子失窃状况。 就算是锁了车门,车子还是会被偷? 现今偷车贼今非昔比,能够运用智能型犯罪透过信号桥接的攻击(如下图),两名窃贼只需准备随手可得的信号传送器与放大器,侧录系统端与传感器端信号,透过两端进行双向沟通协议而轻易开锁。 数字钥匙 Digital Key 无锁无具便利性最高 然而安全性仍堪忧 有鉴于各车厂在无钥匙进入系统(Keyless Entry)的设计不同,安全性等级大不相同,车联网联盟 (Car Connectivity Consortium;CCC) 在2018年发布的数字密钥规范1.0 (Digital Key 1.0),车主不需要携带遥控钥匙,只要将数字钥匙下载到智能型手机或智能装置上,就能远程解锁或锁上汽车,甚至还能启动引擎,而且这套系统能利用 NFC 的距离限制,以及直接连接到装置上的安全组件,确保 数字密钥规范1.0(Digital Key 1.0) 拥有最高安全等级。 数字钥匙(Digital Key)带来更多潜在危机 数字钥匙(Digital Key)需要载体,例如智能型手机、智能装置等,黑客可以透过Root的权限(意即最高权限)安装恶意软件,读取或修改载体上的数据,或是控制载体与车子之间的无线传输,并使用同上述无钥匙进入的黑客手法中继攻击 (Relay Attack)。 多功能车钥匙检测对象 · 无钥匙进入: 车厂、模块厂 · 数字钥匙 : 因数字钥匙技术牵涉层面更广,从手机APP到云端,皆是黑客觊觎的入侵对象,因此,手机厂、数字钥匙 APP开发者、云端服务业者,皆是安全防护检测的对象。 多功能车钥匙检测服务 尽在百佳泰 针对新款车钥匙的RF信号质量、干扰等问题,深耕无线领域多年的百佳泰,能够够提供RF信号量测(有效信号范围),干扰测试等。针对上述安全防护问题,提供相对应的固件破解分析;尤其在数字钥匙方面,百佳泰能够提供专业的生物识别破解例如指纹识别,以及手机APP安全性验证等。基于APP与不同手机硬件版本兼容性问题,百佳泰定期采购装置,遍布全球五大洲,装置总数近万,能够针对您数字钥匙的软硬件整合、APP开发提供兼容性测试服务。 注1: 在手机APP安全性验证方面,除了提供国际知名开放式Web应用程序安全项目OWASP(The Open Web Application SecurityProject)归纳的前十大网络安全风险(OWASP Top 10);百佳泰亦能够根据您的目标市场,执行该市场相对应的测试项目,例如: 中国市场将参考中国工业与信息化部发布的YD/T 2407-2013移动智能终端安全能力测试方法;欧洲市场将参考欧洲网络与信息安全局(ENISA)发布的智能手机手机开发者安全开发指引(SSGAD: SmartphoneSecure Development Guidelines for App Developers);日本市场将参考日本智能型手机安全论坛(JSSEC Forum: Japan Smartphone Security Forum);美国市场:将参考美国国家标准与技术研究院(NIST)发布的NIST SP800-163移动应用App安全审核( Vetting the Security of Mobile Applications)。
  • 热度 2
    2019-6-26 14:10
    447 次阅读|
    0 个评论
    ​ 生物识别技术在近十年已逐渐发展出多达10种面向,例如日常生活中普遍可见的指纹识别(fingerprint)、或科幻电影中常出现的视网膜识别(retina)与虹膜识别(iris)、再到近两年火热的脸部识别(face recognition)与声纹识别(voice pattern)等。这些技术已逐渐化身为人们的分身,成为我们独一无二的最佳「代言人」,让我们不必再为传统式的长串密码逐一记忆,以及忧于近年来频繁的网络钓鱼攻击造成的密码破解、窃取等风险,用户逐渐以生物特征识别代替长串密码。 我们每天其实无时无刻都离不开「代言人」,尤以常见的指纹为例,早上起床时先解锁手机看邮件看新闻、到了公司使用指纹打卡、午餐时使用指纹解锁移动支付APP、开车前用指纹对车门解锁、进家门前使用指纹智能门锁等,这一系列的小动作着实改变了以往的使用习惯。 另一方面,指纹的应用也有助于提升政府机关的办事效率。例如出国时常使用指纹作为出入境记录,可节省人力查验资源与省去大排长龙的等待时间,亦或是在国内外,刑警用嫌犯遗留的指纹来加速对嫌犯的身份确认。 然而,我们的「代言人」也常会因为不法人士的窃取,例如复制装置上的指纹痕迹便可轻易制作出相同的指纹膜,造成个人资料、企业机密外泄,轻则造成财产上的损失,重则可能危及人生安全等问题。随着愈来愈多智能手机搭载指纹识别技术,整体市场规模不断提升,指纹识别将会更全面性地影响一般消费者日常生活,百佳泰因此投入相当的人力与时间,做了一系列实验来探讨指纹识别在安全性、可用性以及便利性上会碰到的一些状况。 图说:指纹识别技术的安全隐患 业界 vs. 百佳泰检测专家 在业界,对于生物识别认证具有一定规模的国际标准化组织-线上快速身份验证联盟(FIDO,Fast Identity Online),针对指纹,虹膜,人声等生物特征制订出三大开放认证标准机制: § 误识率 (False Accept Rate,FAR):在指纹识别验证,意指不正确的指纹被装置成功接收的出错概率 § 拒识率 (False Reject Rate,FRR):在指纹识别验证,意指正确的指纹被装置拒绝的出错概率 § 冒牌攻击(Impostor Attack Presentation Match Rate,IAPMR) FIDO联盟要求以「无密码」身份验证取代传统输入密码验证,采用更可靠、更安全的验证方式,结合装置端与在线的身分验证,让使用者可透过多种识别方式在FIDO平台达到便利快速的安全身份验证,降低对传统密码的过度依赖性。 身为检测专家的百佳泰亦认同FIDO联盟无密码认证的重要性及未来性,然而,无密码身份验证技术因需考虑到用户各式的生物特征以及不同的使用行为,具备一定的验证困难度。因此,百佳泰提出了相对应的生物识别验证,以确保装置在使用上的便利性及安全性是符合使用者需求。接下来,请跟着我们的实验一同探讨指纹识别到底会存在哪些问题吧! 百佳泰动手实测指纹传感器 目前时下各厂牌手机与笔记本电脑普遍使用的是电容式识别及屏下光学识别技术,百佳泰搜集了含有这两种识别技术的 10款手机与4款笔电 ,进行一连串的指纹实测,首先简单介绍电容式指纹识别和屏下光学识别技术。 § 电容式识别 :包含手机与笔记本电脑上的指纹识别。指纹模块透过人体手指的电荷变化、温度、压力进行扫描,因其技术成熟、价格低廉、及易于安装等因素成为目前主流厂商首选。 § 屏下光学识别 :将指纹识别模块安装在屏幕下,透过OLED显示器发射出的蓝绿光将指纹纹路照亮并记录生物特征后,再透过光线反射穿透屏幕传回至指纹识别模块进行解锁。目前逐渐被用于全屏幕装置中,但因价格与技术门坎稍高,较为不普遍。 日常生活的便利性 你的装置能在任何角度、方向顺心解锁吗? 当使用者将手指放置于桌上的手机进行解锁时,偶尔会发现手机无反应或解锁不成功提示信息。 为了确保指纹识别功能可随时随地正常使用,我们透过不同使用者,并以常见的两种使用习惯来测试指纹模块是否能够精准解锁。 1. 对着装置进行连续按压的登入动作 2. 从不同方向对着装置进行按压登入 图说:各品牌手机与笔电均能达到近九成的指纹识别解锁率 从实验结果中得知,不管是光学的屏下指纹识别或传统的电容式指纹识别都能达到九成以上的解锁成功率,因此可推断出解锁技术不论在重复登入功能、角度或方向上已趋于成熟,也满足使用者对于解锁方便性的期待。 日常生活的便利与安全性的两难 用户的直观体验往往决定了产品的成败关键!然而,为了便利性而牺牲安全性值得吗? 当用户兴奋地启动刚买到的新手机,却被复杂的注册指纹步骤搞的晕头转向;或是手指对准装置的解锁器,却需要长时间解读指纹造成装置无法快速解锁的情况。 经由百佳泰实测分析,发现 指纹注册次数、解锁反应时间 往往是用户最关心的问题。透过结果显示,屏下光学识别要求较多的指纹按压次数(平均需20次),远远大于电容式识别的按压次数,平均在12次左右(仅少数两款需8次的指纹按压便能完成注册)。 另一方面,我们做了关于指纹传感器的起始时间实验。从数据得知,无论是屏下光学式或电容式传感器,装置的平均解锁时间都能维持在816毫秒(ms)左右;等同于用户仅需花费不到眨一次眼的时间,便能快速解锁。此外,在这项实验里,其中一款电容式手机的解锁反应时间更仅花费262毫秒就能解锁,表现相当优异。 然而,「注册次数少」与「解锁反应时间快」真的为衡量指纹识别的最佳搭配指标吗?由于各厂牌有各自开发的算法,在数据结果呈现也不尽相同。倘若厂商为求便利而减少注册次数、提升反应时间,极可能将用户置于在不安全的加密环境中,让不法人士将有迹可循,造成机密外泄/财产损失等问题。 因此,为了提供良好的用户体验,好让使用者提高便利性的同时也能享有安全性,厂商该如何让指纹解锁在这双面刃做出完美平衡,将是厂商的一大课题之一。透过百佳泰的验证测试,可协助您找出装置注册次数与解锁反应时间的最佳平均值,避免因繁杂的注册次数或过长的解锁时间造成使用者的困扰、或接收客诉等问题。 日常生活的便捷性 干扰PK赛,谁才是阻挠消费者方便使用的干扰之王? 以下两种情况是否有似曾相识的感觉。 § 才刚洗完手,家人突然来电,尝试对手机进行解锁,却怎么也解不开,最后电话接不到,手机也被弄得湿湿的。 § 妈妈打算善加利用手机食谱APP烧出一道好菜,本以为油腻的手会无法解锁,却发现油腻腻的手指也能让手机轻松解锁! 针对上述情境,百佳泰特别选择了日常生活中消费者最常见接触使用的三种介质: 液体、油脂、粉末 (其中每个介质又包含了两种不同的产品),来检视各种介质对一般民众的影响。 图说:百佳泰针对常见的六种物质模拟常见的场景进行实验 在下图结果中我们发现,电容式传感器(蓝色圆柱)在这六种媒介上有着40%以上的解锁率,为三种传感器中表现最出色的;反之,藉由屏下指纹解锁的光学式传感器(橘色圆柱)除了在护手霜的实验勇夺第一之外,在其他介质方面普遍都容易受到干扰。言下之意,消费者在使用屏下光学式模块装置之际,遇上较差的用户体验机率最高,这是厂商在模块的设计上则需克服的能力。 此外,在六种介质测试中我们发现,在厨房容易碰到的面粉,或是运动员使用的滑石粉,则是电容式模块的干扰之王,解锁率极低;肥皂水不管对电容式、光学式甚至是笔电触控的传感器都呈现较低解锁率;而橄榄油除了对光学式产生较大影响外,对于电容式装置基本都能顺利解锁。介质测试结果除了可提供模块厂商做参考,另更可以提供给手机品牌商,作为挑选模块厂商的依据。 日常生活的方便性 贴心设计:指纹模块能包容你的缺陷! 每个人手上的指纹都不一定呈现完整状态,有时会因先天或外伤等因素造成指纹缺陷,这让不少消费者担心自身的指纹状况会直接影响解锁成功率。针对此问题,百佳泰深刻了解唯有透过日常真实使用情境模拟才可确切检测并反应出真正的问题点。从实验结果得知,尽管指纹或多或少的被遮蔽了,装置依然能被顺利解锁;然而,如指纹被遮蔽超过一半时,屏下光学识别较不能容易辨别,从而让解锁失败。 这项测试结果对于使用者来说无非是件可喜之事,使用者日后无需为手指上的小缺陷或是小疤痕是否能让装置解锁烦恼,因为相较于本文中列出的其他问题,指纹缺陷对于装置解锁的影响可说是微乎其微。 日常生活的安全性 指纹盗取好Easy,你的身份被复制了吗? 不带钱包出门的生活方式已逐渐被大众接受,许多人喜欢在日常生活中使用指纹透过移动支付APP消费。然而,当使用者暂时将手机放置于桌面时,不法人士可能藉此复制装置上所残留的指纹!轻则财产损失,重则你的身份可能被使用在非法途径中。 在前三项实验中,我们研究了真实指纹对于传感器的敏锐度及辨识度。然而,现今还是有不法人士透过 指纹复制 的诈骗手法来窃取对方的财产。对于这类层出不穷的诈骗手法,我们应当如何防范? 百佳泰透过市面上容易取得的材料,以可塑性白胶为基底再搭配其他物质加工出4种不同类型的指纹模型,实验这4种指纹模型是否能成功破解传感器。 图说:百佳泰实验四种不同材质的指纹模型进行破解 图说:4种材质指纹模型破解情況 透过上述实验结果,新技术的屏下指纹光学识别在复制指膜上风险最大,除了材料3因材质问题所制作出的指纹纹路不明显,无法对所有的传感器进行破解,其他3种材料皆可轻易对屏下指纹光学识别破解。 在制造商们尚未提升传感器辨别假指纹的功能时,消费者如购买带有屏下指纹识别的装置,则要多注意屏幕上的指纹是否有定期擦除,如稍加不留意,不法人士便可窃取指纹,让自己的人身财产处在高危的风险中。换句话说,如厂商能提升传感器对于假指纹的辨识度,便能作为产品的营销利器,兹以证明自家产品安全性优于市面其他产品。 百佳泰指纹识别测试为您找出装置的弱点 市面上存在着各式各样的指纹破解法,使用者只要稍加不留心,个人信息很可能就落入到他人手中!在提升安全性的同时,厂商亦须将使用便利性纳入考虑。本篇文章以屏下光学式、电容式指纹识别为例,研究使用者在日常生活中可能遇到的问题以及该如何防范。根据百佳泰多年测试经验,能针对客户需求,省去选择机种时间并快速找出装置上指纹传感器的弱点,逐一提供解决方案。 在FIDO强调装置与在线进行身份识别结合的同时,百佳泰也致力于帮助用户能摆脱传统先记忆、再输入密码的方式来进行身份验证,朝向无密码时代。当前端装置身分识别技术不断推陈出新,我们亦将会持续导入其他生物识别的测试,例如超音波屏下指纹识别等,为您装置上的传感器进行身份验证机制的把关!
  • 热度 14
    2018-9-28 11:04
    7568 次阅读|
    9 个评论
    山竹来了的时候,在家里抗击台风的同时,微信里面的谣言也是满天飞。其中议论纷纷的一条就是:有空调经销商提醒,台风天气不要使用空调,以免空调外机散热风机逆转,引起电流相撞烧机。 然后就有记者问格力了,格力技术人员回应称,该问题主要有两种情况, “ 一是如果空调没开,逆变器全部关断,风机正转或反转产生的电压都给短路了,没有问题;二是如果空调开着,风机被歪风吹得正转,就是与我们控制的同方向,相当于负载很轻不存在问题 ” 。技术人员同时指出,如果外风把风机吹得反转(克服了我们的驱动力矩),格力空调机组会保护停机。针对部分特殊用户,比如家里已经浸水的,空调等电器已经浸泡在水里了,则建议给所有电器断电以保证安全。据悉,格力空调在设计与测试时,做过整机防台风实验。 于是,台风天开空调就变成安全的了?! 我不知道谁得出的这样奇葩的结论,如果实验过就表示安全的话,那天下太平了。 当然,谣言肯定是谣言,逆转不会烧机,也没有电流相撞的说法,如果认真学过初中物理的话。格力所谓的技术人员的回复其实是在扯淡,把散热风扇的驱动和压缩机的驱动混为一谈,所以,其实格力自己也制造了一个谣言。 室外机有两个电机,一个是压缩机,一个是散热风扇(如下面图,来源于网络);压缩机现在多数是 IPM 驱动的直流无刷电机,交流整成直流,升压到 400V 左右,再逆变成可控的交流(七八年没做驱动器了,如果没记错的话是这样)。压缩机是台风吹不到的。而无论什么机子,散热风扇都是直接 220V 驱动的普通电机。也就是说散热风扇没有逆变,也没有所谓的反转保护停机,顶多就有个可控硅控速。如果反转或者堵转了,要么烧机(启动电容)要么烧保险咯。 所以,格力的技术人员,也制造了一个谣言。 再往下说,针对这个辟谣,我就提出四点问题: 1、格力说他们的不会有问题,别的品牌为什么没说话,别的品牌会不会出问题?!会不会有别的问题? 奇怪的地方就在这里,只有格力辟谣了,别的空调都没说话,是不是只有格力有保证,别的牌子都是“杂牌”?还是说,这玩意就是个通用标准,大家都一样?!别的牌子不屑于辟谣?一辟谣,反而变成了格力的软文。 强降雨的时候,炸机不会,烧机、漏电的概率却是很大的,为什么格力不说? 2、格力说做过抗台风实验,几级台风, 15 级扛得住不?多角度强降雨扛得住不?防水等级是 IPx5 还是 IPx8 ? 简单翻了一下国标 GB/T 14294-2008 ,并没有针对台风的测试要求,但是对室外机的耐候性能有要求,对室外机喷淋是有测试要求,最多是 IPx5 的水平,实际上根据 GB4208 只要求到 IPx4 的水平。从这方面来说,格力做的抗台风实验有可能是自主测试。一般由于适用环境的要求,室外机肯定对风、雨等因素有防护,台风是不是扛得住,国标中没明确要求的时候,我觉得有待商榷。再者百年一遇的情况,厂家会去设计吗?应该是不会的,这又不是特种设备。格力到底怎么测试的没有细说,有所保留。 3、是否是永久有效? 做过产品设计的都知道浴盆曲线,产品的失效率是随着使用时间、使用强度的增加而不断增加,出厂合格不代表你买到的就是合格的;刚开始合格,不代表两三年后或者十年后还是合格。一般空调 5 年左右就建议检修更换了,十年基本上寿命极限,这时候很大的概率会失效。那么对于老空调,还能安全吗?对于故障空调,能确保会保护吗? 如上表,假如某公司用了 10 台空调做了连续 1000 个小时的加速试验,一个都没坏,那么 9 成概率在 10 年的时候会坏掉 60% 。所以,时间越久,我们的空调越危险。但是如果厂家能够保证 1000 台耐久测试 1000 小时不坏一个,那么会坏掉的比例降低到不到 1% 。这是可靠性测试的理论参考计算值。可是,厂家一方面不会提供这么多样品测试,另一方面也不会设计到这么长的寿命。 4、打雷了怎么办? 台风天气不光是暴雨,还可能有雷雨,虽然台风登陆的地方几乎不会出现雷电,这是天气对流的特性导致,水量大电荷不会累积,但是台风边缘却是会出现强烈的雷雨天气(所以打雷了就 9 成不会有台风登陆) . 如果说台风来了,格力说没事,边缘地区也用了空调,结果遭受雷击损坏怎么办?自认倒霉吗 我记得我刚毕业的时候,厂子里来消防官兵做防火讲座,当时提到充电器在插座上要及时拔下来或者断电,有一个专门做充电器 IC 的工程师不屑一顾:你懂什么,里面就有电子开关的,不用的时候会直接断电!搞的那个消防兵满脸通红,喃喃不得语。但是实际生活中,未及时断电导致充电器起火的事情比比皆是。从这方面来说,很多时候技术人员也会犯傻,也会过于相信自己的产品,而作为消费者来说,把安全留给厂家的信誉来保证不如自己主动关电来得可靠。 即便空调完全合格,谁又能保证安装师傅不出错?室外机被台风吹飞的新闻比比皆是,机子都飞了,再强的保护措施又有何用? 综上所述,如果你买的是格力合格的新机子,你愿意相信格力技术员的话,你敢开就开。如果你的机子用了两三年,如果不幸你买的不是格力,如果你的台风是百年一遇,如果……你觉得把安全交给一个电器可信吗? 虽然 iphone Xs 防水等级牛到了 ip68 ,但是官方建议仍然是不要泡在水里。虽然你的空调可以一定程度防护台风、但是在极端环境下,最好是断水断电断气,从源头杜绝危险的发生,才是最可靠的,不要给自己有任何受损的机会。 另外,奉劝那些“靠谱”的记者或者技术员,报忧才是厚道。
  • 热度 1
    2014-12-16 09:52
    338 次阅读|
    0 个评论
       机械设备一般使用一段时间了就需要清洗的,如果有灰尘油渍等污染就可能会影响到工作的效率,电磁除铁器在生活中是用来去除物料中的铁杂质,保证了输送系统中的研磨机、破碎机等机械设备安全正常工作,同时也可有效地防止因大、长铁件划裂输送皮带等事故的发生,也可显著地提高原料的品位。今天小编来给大家介绍下电磁除铁器的清洗方法。   1、自动化程度高。能自动判断清洗周期、自动清洗、自动处理污水是电磁除铁器发展的趋势。   2、结构简单。为安装使用、清洗方便,设备结构应容易装拆及内部检查清洗。   3、电磁除铁器的磁源或吸磁介质表面光滑干净,清洗后表面没有积泥。   4、节能、环保。清洗过程中,清洗时间短,消耗清洗水少,环境污染小。   5、排铁要彻底。在电磁除铁器排铁通道的设计中,必须使清洗后的污水彻底的从机器中排出,不能使污水中的杂质沉淀在通道中,而影响电磁除铁器除铁效果。   广州市威恒电子有限公司:http://www.waytop-ele.com/
相关资源
  • 所需E币: 2
    时间: 2020-5-20 18:04
    大小: 2.48MB
    上传者: samewell2020
    5G安全白皮书19年5月.pdf
  • 所需E币: 5
    时间: 2020-5-20 18:07
    大小: 1.08MB
    上传者: samewell2020
    LTE-V2X安全技术白皮书.pdf
  • 所需E币: 0
    时间: 2020-5-9 17:53
    大小: 212.31KB
    上传者: 指的是在下
    Kubernetes集群安全 
  • 所需E币: 1
    时间: 2020-5-9 17:53
    大小: 310.56KB
    上传者: 指的是在下
    Kubernetes集群安全 
  • 所需E币: 0
    时间: 2020-5-9 17:53
    大小: 416.53KB
    上传者: 指的是在下
    Kubernetes集群安全 
  • 所需E币: 1
    时间: 2020-5-9 17:53
    大小: 164.07KB
    上传者: 指的是在下
    Kubernetes集群安全
  • 所需E币: 5
    时间: 2020-5-9 11:09
    大小: 2.83MB
    上传者: htwdb_865194793
    主要对过程控制的实施应用案例
  • 所需E币: 3
    时间: 2019-12-31 16:44
    大小: 309.98KB
    上传者: 二不过三
    评估当今生活中高能源环境电压和电流对设备和人员的严重损伤,如果不采取适当的预防措施。特定的瞬间,电涌和人们的常见错误带来的风险,而随后就要采取一些安全措施,并使用一些测试设备对电压和电流进行测量。在任何情况允许的时候,工作于断矩电路时,要遵循适当的闭锁保护措施。如果你不得不在带电电路下工作,遵循如下步骤可改进你的测量操作,并降低可产生的危险。人身安全的注意事项关注你手头的工作技术应用文章评估当今生活中高能源环境电压和电流对设备和人员的严重损伤,如果不采取适当的预防措施。特定的瞬间,电涌和人们的常见错误带来的风险,而随后就要采取一些安全措施,并使用一些测试设备对电压和电流进行测量。在任何情况允许的时候,工作于断矩电路时,要遵循适当的闭锁保护措施。如果你不得不在带电电路下工作,遵循如下步骤可改进你的测量操作,并降低可产生的危险。准备步骤1.在采取任何测量工作前,评估工作环境。2.不要单人在危险区域内工作。3.佩戴适当的人身防护装备当在凹槽或较深的测量环境时,请使用探针延长器和探针灯来照明。(PPE),遵守NFPA70E规范和本单位的人员安全标准。5.使用最少外露金属的探针,例避免在光线不足的区域作业。如如12(4mm)金属探针。果你选择在光线不足区域工作,4.确保你的测试仪表符合测试6.除非你必须使用双手进行测请打开测试仪器的背光灯,使显环境的等级要求。量,否则保持一只手在口袋……
  • 所需E币: 3
    时间: 2019-12-25 06:11
    大小: 319.27KB
    上传者: 16245458_qq.com
    利用安全存储器实现FPGA设计安全解决方案白皮书利用安全存储器实现FPGA设计安全解决方案引言由于很容易捕获到配置比特流,并进行复制,因此,FPGA设计很难防范设计窃取。和窃取知识产权(IP)相比,几乎不可能从比特流中提取出IP,但是却能从FPGA中克隆整个设计。为了保护配置比特流,有的FPGA现在能够对比特流进行加密。然而,对于不具备嵌入式比特流加密手段来加密配置比特流的FPGA而言,需要在生产过程中增加步骤对FPGA中的密钥进行编程,因此提高了成本。对于大批量应用,使用安全辅助芯片的性价比会更高一些。本文档提供解决方案来帮助保护FPGA设计不被克隆。利用“识别、朋友或者敌人(IFF)”设计安全方法,在FPGA中和安全存储器中的哈希计算结果匹配之前,这一方案禁用FPGA中的设计,因此,即使捕获到了配置数据比特流,设计也是安全的。在这一解决方案中,安全存储器是FPGA的安全辅助芯片。设计实现在IFF概念中,采用了安全辅助器件来计算哈希算法。Dallas半导体公司的安全存储器DS28E01结合了1024位EEPROM和符合ISO/IEC10118-3安全哈希算法(SHA-1)的“挑战-响应”认证安全方法。DS28E01是1线接口器件,因此,这一解决方案只需要一个FPGAI/O引脚。安全存储器需要采用上拉电阻和1线I/O引脚连接(关于DS28E01电气规范,请联系Dallas半导体公司)。图1所示为采用了I……
  • 所需E币: 5
    时间: 2020-1-5 21:39
    大小: 390.54KB
    上传者: 16245458_qq.com
    一方面,设计工程师不想在系统中增加电流隔离;另一方面,为了满足国内或国际安全法规要求,他们不得不这样做。增加电流隔离的弊端是隔离直接放在数据路径中,会导致延迟并使系统变慢。此外还会增加功耗、尺寸和成本。这些折中令人遗憾。多年来,设计工程师使用光耦合器,勉强应对这些缺点,但一种新型电流隔离器——数字隔离器已经上市,缓解了这些不利影响。利用数字隔离器可以实现尺寸更小、能效更高、更具性价比、性能更高的设计。然而,安全标准并未同步跟进,给数字隔离器带来了困惑和不确定性:它们是否像电流隔离一样安全?它们是否满足安全法规要求?技术文章MS-2423.了解隔离要求:标准的复杂性数字隔离器的安全可靠性系统级标准旨在处理环境条件与系统使用条件的差异。例作者:DavidKrakauer,ADI公司iCoupler隔离产品线经理如,家用电器的要求不同于医院用病人监护仪或工厂中电一方面,设计工程师不想在系统中增加电流隔离;另一方机驱动器的要求。它们常常通过引用电流隔离器特定的器面,为了满足国内或国际安全法规要求,他们不得不这样件级标准来说明隔离安全性。有三种标准值得注意:做……
  • 所需E币: 4
    时间: 2019-12-24 23:25
    大小: 166.98KB
    上传者: givh79_163.com
    摘要:本文描述了如何利用安全存储器来完成身份识别功能,以实现对FPGA设计的保护。在完成身份识别特性的同时,还可实现软功能管理和电路板识别(IFF)功能。本文所涉及的FPGA均来自Xilinx,Inc.。利用1-Wire接口的SHA-1安全存储器实现XilinxFPGA的识别及防拷贝机制BernhardLinke,首席技术专家Dec26,2006摘要:本文描述了如何利用安全存储器来完成身份识别功能,以实现对FPGA设计的保护。在完成身份识别特性的同时,还可实现软功能管理和电路板识别(IFF)功能。本文所涉及的FPGA均来自Xilinx,Inc.。动机开发电子产品,包括嵌入式FPGA的配置代码,其成本是相当高的。因此应当防止未经授权的机构对这些设计和配置进行拷贝,以保护设计者的知识产权。有很多种方法能实现这样的保护功能。如在XilinxVirtex-II和Virtex-4这类的高端FPGA中,支持对配置数据流的加密操作。这样仅当FPGA中含有相同的密钥时,这些数据流才可以工作。但是这种加密的方法对更为广泛的、对成本很敏感的应用场合来说不甚合适。因此,这里利用另一种可行的身份识别法来防止意外拷贝。这种方法对所有FPGA家族都适用,包括低端的XilinxSpartan-3和Spartan-6FPGA。前提在身份识别的概念中,要求FPGA的设计者实现与一个安全存储器通讯的功能以进行认证工作。图1是实现该设计的一个简化原理图。图1.Maxim的1-Wire存储器件为FPGA提供安全控制和保护的简化框图安全存储芯片需满足下列要求:包含用于芯片内部操作的密钥,该密钥对外界不可见。包含一个唯一的不可改变的识别号。可用该识别号来计算一个与设备绑定的密钥。能够进行包含密钥、随机数(用做质询机制)、唯一识别号及附加数据(常数)在内的HASH运算。为了满足应用所需的安全性,该HASH算法应满足:不可逆―要使从一个HASH结果逆推出与之相关的输入数据在……
  • 所需E币: 3
    时间: 2019-12-24 23:19
    大小: 452.05KB
    上传者: 二不过三
    作者:PhilipGiordano当今的嵌入式系统常常处理应用代码(IP)和数据等敏感信息,因此安全是其设计的一个主要关注因素。为了确立一个合理的基础来判断建议的安全系统是否足以御敌或是防卫过当,就必须识别所察觉到的安全威胁。这意味着我们需要弄清对手有哪些,他们有什么样的能力,他们的目标是什么?我们要保护什么,我们要防范谁的威胁或什么威胁?世界上并没有一个包打天下的解决方案,也没有百分之百安全的安全系统。然而,安全系统不必是完美无缺的解决方案,也不需要全然牢不可破以至于失去应用价值。安全系统只要足够安全即可,也就是在它所保护的数据的预期有效时间内,它能够抵御可能的敌人进攻即可。嵌入式系统“多大程度的许多设计师都会犯同一个错误,确和了解可能遇到的真正威胁,在设计安全系统时没有首先明以及这些威胁会给他们的终端产品带来的重大风险。相反,他们教条地把各类安全技术堆在安全才算安全”一起,并希望能获得很高的安全性。这样做代价高昂,没有系统能防御所有的安全威胁,在设计中囊括那些没有必要的技术作者:PhilipGiordano和防御没有实际威胁的风险毫无意义。当今的嵌入式系统常常处理应用代码(IP)和数据等敏感信息,威胁建模――价值意味着风险因此安全是其设计的一个主要关注因素。为了确立一个合理的……
  • 所需E币: 5
    时间: 2019-12-24 23:02
    大小: 423.69KB
    上传者: 16245458_qq.com
    摘要:本文的目的是让1-Wire®软件开发人员熟悉DS1963SiButton®安全SHA应用中的API。在两个主要的开发包:Java™1-WireAPI和1-Wire公用程序包中均可得到这个API。本文既可以作为设计新的安全系统的应用指南,也有助于深入理解各种开发包配备的演示系统。应用笔记156DS1963SSHA1-WireAPI用户指南www.maxim-ic.com.cn1.0绪论本文的目的是让1-Wire软件开发人员熟悉安全SHA应用中的API。在两个主要的开发包:JavaTM1-WireAPI和1-Wire公用程序包中均可得到这个API。本文既可以作为用各种API设计新的安全系统的应用指南,也有助于深入理解各种开发包配备的演示系统。本文假定用户对SHAiButton硬件和iButton采用的1-Wire协议有了基本理解。DS1963S(SHAiButton)数据资料可从网站(www.maxim-ic.com.cn)下载,还可以从网上获得详述eCash(电子支付系统)签名证书结构的应用笔记[AN151,MaximDigitalMonetaryCertificates]、用于安全系统的高层协议[AN157,SHAiButtonAPI概述]、SHA-1概述[AN1201,1-WireSHA-1概述]、以及适合于存储器件的文件系统的实现[AN114,1-WireFileStructure]。在任何一个货币SHA应用中,协处理器和用户令牌(usertoken)是两个主要组成部分。协处理器是一个初始化后的DS1963S,用于验证用户令牌是否为系统成员、确认用户的证书。用户令牌是装载货币证书、并识别系统用户的DS1963S(或类似的1-Wire器件)。对于每一个API,本文将简要介绍其初始化协处理器……
  • 所需E币: 4
    时间: 2019-12-24 22:55
    大小: 294.64KB
    上传者: rdg1993
    关键词:1-wire,iButton,ibuttons,SHA-1,安全散列算法,加密系统,MAC,安全,质询响应,置信令牌,电子钱包,安全通信,签名加密,认证加密,写页计数器,签名,e-cash,ec1-WireSHA-1概述Jul20,2004摘要:讨论数据安全性时常常比较关注加密方式,而更有说服力、更有价值的方法则是认证。本文介绍了一种直接针对硬件、数据和用户的认证技术,本文对采用该项技术的1-Wire安全散列算法1(SHA-1)器件进行了概要描述,并在文章的最后还给出了其他资料、工具包、实例作为参考,以方便后续的研究和开发。简介安全性是所有数字领域都普遍考虑的一个问题。当大家讨论数据安全性时通常关注的是加密方式,而更有说服力、更有价值的方法则是认证。由于所有的信息和通信都可归结为1和0,因此合法性和认证便成为问题关键所在。本文介绍了一种直接针对硬件、数据和用户的认证技术,本文对采用该项技术的1-Wire安全散列算法1(SHA-1:SecureHashAlgorithm1)器件进行了概要描述,并在文章的最后还给出了大量的其他类型的文件、工具包、实例作为参考,以方便后续的研究和开发(专用术语、命令和代码将用斜体字表示,常用术语请参考应用笔记1099:“WhitePaper4:Glossaryof1-WireSHA-1Terms”。)散列散列是信息的提炼,通常其长度要比信息小得多,且为一个固定长度。加密性强的散列一定是不可逆的,这就意味着通过散列结果,无法推出任何部分的原始信息。任何输入信息的变化,哪怕仅一位,都将导致散列结果的明显变化。,这称之为雪崩效应。散列还应该是防冲突的,即找不出具有相同散列结果的两条信息。具有这些特性的散列结果就可以用于验证信息是否被修改。MACMAC(信息认证代码)就是一个散列结果,其中部分输入信息是密码,只有知道这个密码的参与者才能再次计算和验证MAC码的合法性。MAC的产生参见图1。图1.MAC的产生通过这种方法,系统的参与……
  • 所需E币: 5
    时间: 2019-12-24 22:55
    大小: 170.67KB
    上传者: 978461154_qq
    摘要:本文介绍了SHA-1器件可能受到的攻击,以及如何利用SHA-1器件本身特点或推荐的方案来防止可能遭受的攻击,说明了1-Wire®及iButton®SHA-1器件的安全性。对于各种类型的服务应用(包括访问控制和电子钱包)来说,1-Wire器件的数据和硬件认证是关键所在。1-Wire/iButtonSHA-1器件是移动式令牌,可以基于随机质询使用加密性能完善的散列算法生成信息认证代码(MAC),因此,是上述服务应用的理想选择。为什么1-WireSHA-1器件是安全的?Dec23,2005摘要:本文介绍了SHA-1器件可能受到的攻击,以及如何利用SHA-1器件本身特点或推荐的方案来防止可能遭受的攻击,说明了1-Wire及iButtonSHA-1器件的安全性。对于各种类型的服务应用(包括访问控制和电子钱包)来说,1-Wire器件的数据和硬件认证是关键所在。1-Wire/iButtonSHA-1器件是移动式令牌,可以基于随机质询使用加密性能完善的散列算法生成信息认证代码(MAC),因此,是上述服务应用的理想选择。引言在阅读本文之前,请先回顾白皮书8:1-WireSHA-1概述。该文中也介绍了一些作为电子支付(eCash)令牌的1-WireSHA-1器件。本文介绍了1-Wire器件可能受到的攻击,以及如何利用1-Wire器件本身特点或推荐的方案来防止可能遭受的攻击(为清晰起见,专用术语、命令或代码以斜体字表示)。术语汇编见白皮书4:Glossaryof1-WireSHA-1Terms。攻击什么是攻击?攻击是所有恶意破坏并意图欺骗系统的行为。其动机因提供的不同服务而异。在电子支付系统(如自动售货机)中,其动机也许是免费小吃。如果攻击针对的是一个顶级机密实验室的访问控制,动机也许完全不同。以下攻击方式大致按难度由简单到困难排列。所有这些攻击均假设攻击者均具有合法用户令牌(即服务的一部分)的访问,这意味着设定了正确的认证密码并且器件中的数据是合法的。复制攻击复制攻击通过把合法的服务数据从一个器件(是服务的一部分)复制到另一个器件(也许是,也可能不是服务的一部分)来实现。如果安装了正确的认证密码,则器件是服务的一部分。这种攻击的目的是获取一个合法令牌,并据之生成另一个,如此便生成了两个合法令牌。这样……
  • 所需E币: 4
    时间: 2019-12-24 22:54
    大小: 201.28KB
    上传者: quw431979_163.com
    摘要:本应用笔记主要介绍了iButton®。讨论了iButton的基本知识:定义、构成及部分应用。本文阐述了系统如何通过其1-Wire®接口与iButton进行通信。还论述了iButton的类型、iButton的坚固性、保证唯一的64位序列号,以及可提供的iButton附件。什么是iButton?BrianHindman,高级软件开发工程师Oct05,2006摘要:本应用笔记主要介绍了iButton。讨论了iButton的基本知识:定义、构成及部分应用。本文阐述了系统如何通过其1-Wire接口与iButton进行通信。还论述了iButton的类型、iButton的坚固性、保证唯一的64位序列号,以及可提供的iButton附件。引言iButton是一个封装在16mm厚的不锈钢外壳内的计算机芯片。由于其采用独特的坚固外壳,可以将最新信息随人或目标物体携带到任何地方。实际上由于钢制的iButton外壳足够坚固,可承受室内或室外的各种苛刻环境,使得iButton几乎可以安装在任何地方。iButton十分的小巧轻便,可以附着在钥匙链、戒指环、手表或其他个人物品上,非常适合在日常生活中控制诸如建筑物及计算机、资产管理以及各种数据记录的访问权限。iButton的组成外壳和金属扣环iButton利用其不锈钢‘外壳’作为电子通信接口,每个外壳都具有一个数据触点,称作“盒盖”,以及一个接地触点,称作“盒底”。这些触点都被连接至内部硅片。盒盖是外壳的顶部;盒底则由外壳的边缘和底部组成,包括一个便于按钮附着在其他任何物件的凸缘。这两个触点由聚丙烯扣环隔离。1-Wire接口……
  • 所需E币: 5
    时间: 2019-12-24 22:53
    大小: 186.25KB
    上传者: rdg1993
    摘要:DS1991L多密钥iButton是由Maxim的6英寸晶圆厂生产,该晶圆厂的生产工艺已过时,且不再使用。DS1991L所提供的密码保护已不再是数据安全领域的新技术。Maxim已开发出安全级别高于DS1991L而且成本更低的替代方案。因此,为了降低旧设备升级到新的生产工艺时的开发成本,Maxim启动了最后一次采购DS1991L的流程,并鼓励所有DS1991L用户在现有库存用完之前,将产品移植到更新、更安全的iButton器件。本应用笔记讨论了替代现有DS1991L应用的三种选择。每种替代方案都具有更好的性能。DS1991L多密钥iButton替代方案BernhardLinke,首席技术专家Sep06,2009摘要:DS1991L多密钥iButton是由Maxim的6英寸晶圆厂生产,该晶圆厂的生产工艺已过时,且不再使用。DS1991L所提供的密码保护已不再是数据安全领域的新技术。Maxim已开发出安全级别高于DS1991L而且成本更低的替代方案。因此,为了降低旧设备升级到新的生产工艺时的开发成本,Maxim启动了最后一次采购DS1991L的流程,并鼓励所有DS1991L用户在现有库存用完之前,将产品移植到更新、更安全的iButton器件。本应用笔记讨论了替代现有DS1991L应用的三种选择。每种替代方案都具有更好的性能。DS1991L概述及背景资料密码保护不再属于先进技术。基于密码保护的系统其最大缺陷是通过窃听通信可以最终破译密码。由于DS1991L不提供任何写保护功能,恶意攻击者可以很容易篡改密钥信息(标识、密码、数据),从而造成器件在应用中失效。具有质询-响应认证功能以及对应用数据加密的器件成为更安全、性价比更高的替代方案。在DS1991L应用中,1-Wire主机必须知道如何识别相关密钥,必须知道对应的密码。使用DS1991L之前,必须安装识别码、密码和密钥数据。在此之后,器件可以进行现场操作,经常需要读取密钥数据、更换密钥。该器件优势之一是内置电池的NVSRAM技术,即便主机(读写头)掉电,也能保证从暂存器到加密数据区域的复制过程不受影响。DS1991L替代方案三款iButton可用来替代DS1991L。这三款器件是DS1977、DS1961S和DS1963S。表1列出了这三款器件与DS1991L以及各自特性比较。DS1977与DS1991L类似,采用密码保护功能……
  • 所需E币: 3
    时间: 2019-12-24 10:30
    大小: 452.05KB
    上传者: 微风DS
    当今的嵌入式系统常常处理应用代码(IP)和数据等敏感信息,因此安全是其设计的一个主要关注因素。为了确立一个合理的基础来判断建议的安全系统是否足以御敌或是防卫过当,就必须识别所察觉到的安全威胁。这意味着我们需要弄清对手有哪些,他们有什么样的能力,他们的目标是什么?我们要保护什么,我们要防范谁的威胁或什么威胁?世界上并没有一个包打天下的解决方案,也没有百分之百安全的安全系统。然而,安全系统不必是完美无缺的解决方案,也不需要全然牢不可破以至于失去应用价值。安全系统只要足够安全即可,也就是在它所保护的数据的预期有效时间内,它能够抵御可能的敌人进攻即可。嵌入式系统“多大程度的许多设计师都会犯同一个错误,确和了解可能遇到的真正威胁,在设计安全系统时没有首先明以及这些威胁会给他们的终端产品带来的重大风险。相反,他们教条地把各类安全技术堆在安全才算安全”一起,并希望能获得很高的安全性。这样做代价高昂,没有系统能防御所有的安全威胁,在设计中囊括那些没有必要的技术作者:PhilipGiordano和防御没有实际威胁的风险毫无意义。当今的嵌入式系统常常处理应用代码(IP)和数据等敏感信息,威胁建模――价值意味着风险因此安全是其设计的一个主要关注因素。为了确立一个合理的……
  • 所需E币: 3
    时间: 2019-12-24 09:33
    大小: 1.2MB
    上传者: quw431979_163.com
    为您演示加密仅仅是整个嵌入式系统安全保护的工具之一,有必要认识到系统安全保护仅仅依靠加密这一种方法是远远不够的:就像如果丢失了房屋大门的钥匙,即便是世界上最安全的房屋也会变得不再安全。我们还将讨论生命周期安全性的概念——识别需要保护的资产、定义此类资产易遭受的威胁、采用相应工具为资产提供整个生命周期内的安全保护。安全基础2:嵌入式系统的生命周期安全保护GideonTsang2013年12月18日课程目标本课程结束后,您将能够:>理解密码不是安全,而是安全应用的一个生命攸关组件>理解生命周期安全的概念>理解威胁识别和分析的基本方法>理解用于保证嵌入式器件生命周期安全的基本工具和技术2MaximIntegrated.CompanyConfidential议程1为什么加密!=安全2生命周期安全3资产和威胁4案例分析及工具3MaximIntegrated.CompanyConfidential议程1为什么加密!=安全2生命周期安全3资产和威胁4案例分析及工具4MaximIntegrated.CompanyConfidential三个安全支柱安全不仅仅是保密(或加密)安全认……
  • 所需E币: 4
    时间: 2020-1-9 14:43
    大小: 893.45KB
    上传者: 二不过三
    電源設備安全標准SEPTEMBER25,2001CLASS2POWERUNITS-UL13101UL1310ISB1-55989-589-6CLASS2电源设备安全标准CLASS2POWERUNITSCreatedbyKINGSTREETPage1of1PDFcreatedwithFinePrintpdfFactorytrialversionwww.pdffactory.comSEPTEMBER25,2001CLASS2POWERUNITS-UL13102目录序文1.范围2.语汇3.组件4.总类装配5.机械集成6.外壳7.抗锈蚀8.开关9.保护装置10.组件11.线圈绝缘12.输入连接13.输出连接14.带电零件的可触性15.带电零件16.消除应变17.内部配线18.电路分隔19.绝缘材料20.印制电路板21.接地措施22.空间设计性能测试23.一般要求24.漏电测试25.暴露在潮湿环境下的漏电测试及耐压测试26.最大输出电压测试27.最大输入测试28.输出电流及电力测试29.防过载装置的校准测试30.全载输出电流测试31.正常温度测试32.耐压测试33.防过热和过载保护装置的耐久力测试34.重复耐压测试35.开关及操控装置的负载及耐久力测试36.次级开关的过载测试37.工作测试38.不正常测试39.绝缘材料测试40.消除应变测试40A.后推力消除测试41.直接插入铜脚固定测试CreatedbyKINGSTREETPage2of2PDFcreatedwithFinePrintpdfFactorytrialversionwww.pdffactory.comSEPTEM……
广告