如何验证硬件是否合法

Question

我们正在研制一种传感器，它将收集数据，并将其传递给智能手机，然后智能手机将数据存储在数据库中。我需要能够验证硬件是合法的，这样存储在数据库中的数据也是合法的。

我目前的想法是在硬件上存储一个秘密密钥，当硬件第一次连接时，这个密钥就会被加密和发送。如果身份验证失败，将拒绝下列数据。

是否有对硬件进行身份验证的标准，以防止恶意硬件模拟真实设备？

Answer 1

这听起来像是公钥密码的工作。对来自这些设备的消息进行签名，其值为嵌入的私钥。然后在移动应用程序和他们向其报告的服务器上进行验证。

我建议：

1. 在每个硬件传感器中嵌入一个唯一的私钥。
2. 通过设备从私有证书颁发机构(您创建的证书颁发机构)提供证书。
3. 将CA的公钥放在手机应用程序中。
4. 使用传感器中的私钥对每个数据事件进行签名，包括传感器的标识和日期/时间，以及每个事件中的唯一标识符(以防止重放攻击)。还包括带有事件的证书。
5. 使用签名和证书，手机应用程序可以验证事件来自合法的传感器，而不需要篡改事件。
6. 应用程序将整个event+signature+certificate传递给您的中央服务器，中央服务器可以使用唯一的ID和日期/时间来验证事件是否被复制。

你还需要考虑你的攻击者:他们是只看手机应用程序，还是会试图颠覆你的传感器。他们能否在签署前改变读数(例如，温度计上的吹风机:-)