论文部分内容阅读
摘要:金融终端已经成为支付产品公司提供的一种新型交付服务手段。金融终端不再限于简单的读卡机,而是逐步成为能够处理交易、管理库存、操作商业运营的复杂计算设备。这一角色转变的显著标志是针对终端定义的一个新术语:从销售终端(POS)设备更改为交互终端(POI)系统。POI系统必须具备快速通信能力,使用更加便捷(例如,可以连接USB、以太网、WiFi或Bluetooth),支持多应用的相互协调并可处理复杂的卡交易(支付卡、忠诚卡等)。
关键词:PCI PTS 3.0;MAXQ1850;双芯片;金融终端;安全认证
DOI: 10.3969/j.issn.1005-5517.2012.4.016
终端安全性
POI与消费类(CE)设备的主要差别在于安全性。EMV卡的全球化开发意味着系统所要面临的威胁也是全球性的。由业内重要的支付产品公司联手创立的支付卡产业安全标准委员会(PCI SSC)——包括美国的Express、JCB、MasterCard和Visa——旨在规范整个产业的安全标准。PCI PTS 3.0已于2011年4月替代PCI PED 2.1标准,随着安全等级不断提升,终端厂商将面临更加严峻的设计挑战。
安全架构综述
目前,市场上的支付终端主要采用三种不同类型的架构。
安全管理器
最通用的架构之一是采用安全管理器,为通用微控制器(μC)增添安全功能。安全管理器能够有效保护敏感凭证、侦测物力或环境篡改事件(例如:改变温度或电压)。外部传感器输入允许连接安全防护罩、PCB防护网和篡改传感器(图1)。
Maxim的DS3600等安全管理器引入了受专利保护的无痕迹存储器架构,利用片上NV SRAM存储加密密钥。电池备份存储器能够消除氧化应力在存储器留下的痕迹,防止对受应力作用的存储器单元的残余数据进行无源侦测。一旦检测到入侵操作,将立即、彻底地擦除NV SRM的内容。这些安全管理器还提供随机数发生器等其它安全服务,通过通用微控制器(μC)进行系统维护和运行控制,包括加密服务和敏感接口控制。
双芯片架构(双控制器)
第二种方案是采用通用μC和安全配套芯片把计算与安全功能分隔开(图2)。通用μC执行所有与安全性无关的任务,而安全协处理器包含了另一μC,作为报警系统执行加密计算、控制敏感接口。
通过专用的控制接口连接两个μC,以避免敏感信息的泄漏。这种架构非常适合现代POI设计,这类产品大多在商用化方案的基础上使设计满足PCI PTS要求。终端设计人员可以选择通用μC单独完成系统的功能性、连通性任务以及计算功能;安全μC则用于处理所有安全保护操作,例如:PIN和密钥管理、电池备份存储器、篡改侦测、加密计算等。这款μC的选择只需要单纯考虑如何满足PCI PTS安全性认证的要求,因此可以选择预先通过认证的商用化解决方案。
图3 大多数小尺寸终端架构采用的单片μC包括了所有必要的安全功能。
图4 支付终端中,由安全μC控制的传感器保护"安全岛"
安全配套芯片
MAXQ1850即为该系列产品的代表器件,这款32位安全μC设计用作任何通用μC的配套芯片。按照芯片安全评估报告的陈述,MAXQ1850能够满足最严格的PCI PTS标准要求:
连接到电池备份存储器的篡改响应传感器提供物力篡改保护,一旦检测到篡改事件立即执行擦除操作
强大的保护功能能够在发生故障和环境干扰(脉冲干扰、极端温度等)状况下提供可靠保护
嵌入式存储器用来保存敏感资源(例如:密钥和固件)
裸片防护网用于保护嵌入式存储器
安全加密功能支持所有算法(旁道攻击对策)
高度安全的随机数发生器用于产生密钥
直接控制敏感外设(例如:智能卡、键盘和显示器)
以上列出了MAXQ1850所满足的关键安全特性和设计要求,其高性能RISC核、较少的引脚数量以及所集成的关键电路使其非常适合POI系统设计,其中包括超小尺寸的便携设备。从图2可以看出,采用双芯片架构,MAXQ1850能够有效简化POI设计。
智能卡接口的I/O选择机制允许通过一个接口管理双卡,通过SPI?接口控制智能卡接口芯片(DS8024)。
利用GPIO作为片选,智能卡接口和LCD可以共用SPI端口。
级联MAX7317 SPI至GPIO转换器,简化GPIO/SPI端口的配置管理,用于访问并行外设。
USB链路连接安全μC和通用μC,通过安全应用编程接口API连接。
集成的安全μC
第三种方法,也是随着PCI PED认证的普及而被广泛用于安全金融终端的方法,即选择融合高集成度、高性能μC的单芯片架构(图3)。与通用微控制器一样,这些μC采用了最新的半导体制造工艺;具有多种通信接口,例如USB、SPI和智能卡;并且支持功能丰富的操作系统,例如Linux? OS。这些微控制器嵌入了高速现代处理器,能够管理大容量外部存储器,例如NOR和NAND闪存,以及各种各样的RM。
与安全管理器一样,这些器件嵌入了安全NV SRAM和篡改/监测传感器。与配套芯片一样,这些器件运行安全加密算法,例如3DES、AES和RSA,抵御功率差分析(DPA)和简单的功率分析(SPA)。高集成度设计在安全保护能力和材料清单(BOM)均具备强大优势。
安全机制集成在硅片内,能够对其进行攻击的手段将非常复杂。集成保证了启动的完整信任链,也适用于处理紧急事件和报警——报警信号不会被切断。由于电路功能已经集成在一个芯片中,所以降低了链路缺陷造成的不良风险。使用集成的外部存储器加密引擎时,无需额外的安全防护。
图5 USIPOS参考设计框图,包括所提供的各种功能
这种高集成度设计也有益于软件的安全保护,因为安全机制依赖于强大的硬件功能和标准化机制,例如,存储器管理单元(MMU)。注意,在单芯片方案中由软件区分敏感数据和非敏感数据,双芯片架构中则由硬件电路实现。软件以三种形式划分数据的安全等级,各有优缺点。第一种方法是采用“管理程序”,将敏感和非敏感数据分配到独立的存储单元;第二种方法则利用操作系统,例如Linux,直接进行划分;第三种方法利用Java?软件或Java类虚拟器处理独立的安全程序。
多合一集成减少了所需的芯片数量,缩小PCB面积,允许使用更灵活的外形规格,从而简化了终端设计。另外,由于只需要单个工具链、仅支持一个μC核,有助于加快开发进程。Maxim提供各种高集成度、16至32位安全μC,工作速率高达200MHz。
选择安全μC时,应该选择能提供PCI PTS实验室出具的安全评估报告的微控制器。该报告证明经过了完整实验室测试,测试结论表明了芯片厂家的专业水平,以及安全芯片所能达到的水平。第二项考虑是终端设计的难易程度。简单程度既依赖于μC特性,又依赖于厂家支持团队的力量。您应该寻求集成了关键功能的μC,例如存储器、时间记录和防篡改监测,因为这种高集成度简化了PCB布线,以更小尺寸支持关键的安全特性。Maxim加入了PCI SSC组织,并坚持以最先进的安全μC服务于PCI SSC市场。
Maxim的USIP? Professional (USIP PRO)高性能32位μC就是一款这样的安全器件,为新一代高可信度器件提供互操作能力以及高度安全、高性价比环境。USIP PRO平台完全符合EMV?和PCI PED标准,基于MIPS技术最安全的32位RISC数据核(MIPS32? 4KSd?核)。这种低功耗处理器核提供了卓越的性能(1.35MIPS/MHz),同时增加了专用指令,通过加速加密运算、增强安全功能,提高了系统完整性。这些安全功能包括:具有瞬间擦除能力的安全存储器、安全实时时钟(RTC),以及检测任何入侵的内部环境监测传感器。外部存储器由拥有专利的AES-128加密/解密引擎完全保护。借助完备的USIP PRO相关软件和硬件,可有效缩短PCI PTS认证时间。包括预认证POI参考设计、Linux OS、加密库、EMV L1库、生产编程工具和PCI PTS帮助工具。
通过PCI PTS 3.0认证的参考设计
Maxim的参考设计(USIPOS)能够帮助构建高度可靠的终端产品,确保通过PCI评估。通过PCI PTS 3.0测试的参考设计为您的终端提供最便捷的渠道,使其顺利通过认证。USIPOS参考设计的关键特性包括:无网格架构、获得PCI PTS 3.0批准,提供经过优化的硬件BOM、安全的Linux OS和EMV L1及加密库文件和硬件/软件设计指南。从Maxim的设计方案、电路布局和BOM入手,定制设计并集成到您的设备中,从而以最低的风险和成本将您的产品快速推向市场。
安全岛
除安全芯片及其管理的资产外,其它资产,例如PIN,也是攻击目标。作为预防措施,利用安全芯片外部的传感器提供保护,防止对终端设备的物理篡改。由此构建的安全机制既高效,又容易集成,并且任何报警都会立即触发擦除安全存储器。这些传感器往往监测的是片外环境,监测电路可以很好地保证其它物理区域的安全——例如,PIN所处的区域。最后,终端制造商必须具备足够的技能和知识,正确管理报警检测机制。由安全芯片管理报警的传播和相应的操作。
对于PIN和持卡人账户数据等文本数据可通过键盘、磁条和智能卡获取。因此,除了安全芯片本身采取措施外,这三个区域都需要各自的安全保护措施。资产管理数据只能暴露在这些设施以内,这也是我们称其为“安全岛”的原因(图4)。
基于商用化安全芯片的设计思路,有些厂商建议此类安全区域也采用商用化设计方案。最完备的解决方案是集成安全智能卡槽,例如C&K安全智能卡槽和磁条加密头,例如磁阻芯片组。这些产品与上述安全芯片具有相同优势——集成化设计,安全性高,降低风险和成本。
商用化终极方案
将上述商用化安全措施完全集成到单个参考设计中将对该行业的发展做出重大贡献——有助于简化终端制造商的产品开发、认证和生产(图5)。安全是制造商面临的主要问题,所以评估参考设计会增强其信心,节省资源,并降低了开发风险。它还以高效、高性价比设计兼容大多数苛刻的安全要求(PCI PTS)。
软件和应用
终端由硬件组成,但相关软件(不仅限于PIN输入操作)在近几年已经扩展到各种应用服务。有些设备提供忠诚度测试及其它相关业务的应用,复杂的软件架构也是图形界面、多接口(以太网、USB、GPRS连接)、EMV支持以及非接触卡不可缺少的工具。强大的安全防护措施使得软件设计更加复杂:终端设计必须极具吸引力,而安全应用决不允许泄露敏感数据,操作系统必须支持应用之间的通信,加密服务不得泄露密匙。商用化软件还能够为终端带来众多利益,包括节省开发时间和帮助最终产品通过认证。
作为一个示例,Maxim提议的安全Linux操作系统可用于USIP PRO平台,完全满足PCI PTS安全软件要求,简化开发过程并降低制造商的认证风险。可以获取完整的Linux版本,还有助于改善终端开发,包括图形界面、外设驱动和通信栈。
结论
以上讨论的三种架构都可以构建强大的支付终端,提供高度可靠的安全性。本文涉及的IC均为经过验证的商用化器件,可提高安全性,方便集成,并降低功耗。无论是直接设计,还是与商用化安全岛配合使用,或者完全嵌入安全、经过验证的参考设计,这些IC均可加快产品的上市时间,降低风险。制造商可采用更多软件完善终端设计,帮助他们节省时间,使其能够专注于自身核心技术的开发。
参考文献:
[1] Financial Terminals Product Guide[DB].Maxim Integrated Products
[2] MAXQ1850数据资料[DB].Maxim Integrated Products
[3] Product Reliability Report for MAXQ1850[R].Maxim Integrated Products,2010-02-09
[4] USIP数据资料[DB].Maxim Integrated Products
[5] Point of Interaction (POI) Modular Security Requirements v3.1 [S]. PCI Security Standards Council,2011
关键词:PCI PTS 3.0;MAXQ1850;双芯片;金融终端;安全认证
DOI: 10.3969/j.issn.1005-5517.2012.4.016
终端安全性
POI与消费类(CE)设备的主要差别在于安全性。EMV卡的全球化开发意味着系统所要面临的威胁也是全球性的。由业内重要的支付产品公司联手创立的支付卡产业安全标准委员会(PCI SSC)——包括美国的Express、JCB、MasterCard和Visa——旨在规范整个产业的安全标准。PCI PTS 3.0已于2011年4月替代PCI PED 2.1标准,随着安全等级不断提升,终端厂商将面临更加严峻的设计挑战。
安全架构综述
目前,市场上的支付终端主要采用三种不同类型的架构。
安全管理器
最通用的架构之一是采用安全管理器,为通用微控制器(μC)增添安全功能。安全管理器能够有效保护敏感凭证、侦测物力或环境篡改事件(例如:改变温度或电压)。外部传感器输入允许连接安全防护罩、PCB防护网和篡改传感器(图1)。
Maxim的DS3600等安全管理器引入了受专利保护的无痕迹存储器架构,利用片上NV SRAM存储加密密钥。电池备份存储器能够消除氧化应力在存储器留下的痕迹,防止对受应力作用的存储器单元的残余数据进行无源侦测。一旦检测到入侵操作,将立即、彻底地擦除NV SRM的内容。这些安全管理器还提供随机数发生器等其它安全服务,通过通用微控制器(μC)进行系统维护和运行控制,包括加密服务和敏感接口控制。
双芯片架构(双控制器)
第二种方案是采用通用μC和安全配套芯片把计算与安全功能分隔开(图2)。通用μC执行所有与安全性无关的任务,而安全协处理器包含了另一μC,作为报警系统执行加密计算、控制敏感接口。
通过专用的控制接口连接两个μC,以避免敏感信息的泄漏。这种架构非常适合现代POI设计,这类产品大多在商用化方案的基础上使设计满足PCI PTS要求。终端设计人员可以选择通用μC单独完成系统的功能性、连通性任务以及计算功能;安全μC则用于处理所有安全保护操作,例如:PIN和密钥管理、电池备份存储器、篡改侦测、加密计算等。这款μC的选择只需要单纯考虑如何满足PCI PTS安全性认证的要求,因此可以选择预先通过认证的商用化解决方案。
图3 大多数小尺寸终端架构采用的单片μC包括了所有必要的安全功能。
图4 支付终端中,由安全μC控制的传感器保护"安全岛"
安全配套芯片
MAXQ1850即为该系列产品的代表器件,这款32位安全μC设计用作任何通用μC的配套芯片。按照芯片安全评估报告的陈述,MAXQ1850能够满足最严格的PCI PTS标准要求:
连接到电池备份存储器的篡改响应传感器提供物力篡改保护,一旦检测到篡改事件立即执行擦除操作
强大的保护功能能够在发生故障和环境干扰(脉冲干扰、极端温度等)状况下提供可靠保护
嵌入式存储器用来保存敏感资源(例如:密钥和固件)
裸片防护网用于保护嵌入式存储器
安全加密功能支持所有算法(旁道攻击对策)
高度安全的随机数发生器用于产生密钥
直接控制敏感外设(例如:智能卡、键盘和显示器)
以上列出了MAXQ1850所满足的关键安全特性和设计要求,其高性能RISC核、较少的引脚数量以及所集成的关键电路使其非常适合POI系统设计,其中包括超小尺寸的便携设备。从图2可以看出,采用双芯片架构,MAXQ1850能够有效简化POI设计。
智能卡接口的I/O选择机制允许通过一个接口管理双卡,通过SPI?接口控制智能卡接口芯片(DS8024)。
利用GPIO作为片选,智能卡接口和LCD可以共用SPI端口。
级联MAX7317 SPI至GPIO转换器,简化GPIO/SPI端口的配置管理,用于访问并行外设。
USB链路连接安全μC和通用μC,通过安全应用编程接口API连接。
集成的安全μC
第三种方法,也是随着PCI PED认证的普及而被广泛用于安全金融终端的方法,即选择融合高集成度、高性能μC的单芯片架构(图3)。与通用微控制器一样,这些μC采用了最新的半导体制造工艺;具有多种通信接口,例如USB、SPI和智能卡;并且支持功能丰富的操作系统,例如Linux? OS。这些微控制器嵌入了高速现代处理器,能够管理大容量外部存储器,例如NOR和NAND闪存,以及各种各样的RM。
与安全管理器一样,这些器件嵌入了安全NV SRAM和篡改/监测传感器。与配套芯片一样,这些器件运行安全加密算法,例如3DES、AES和RSA,抵御功率差分析(DPA)和简单的功率分析(SPA)。高集成度设计在安全保护能力和材料清单(BOM)均具备强大优势。
安全机制集成在硅片内,能够对其进行攻击的手段将非常复杂。集成保证了启动的完整信任链,也适用于处理紧急事件和报警——报警信号不会被切断。由于电路功能已经集成在一个芯片中,所以降低了链路缺陷造成的不良风险。使用集成的外部存储器加密引擎时,无需额外的安全防护。
图5 USIPOS参考设计框图,包括所提供的各种功能
这种高集成度设计也有益于软件的安全保护,因为安全机制依赖于强大的硬件功能和标准化机制,例如,存储器管理单元(MMU)。注意,在单芯片方案中由软件区分敏感数据和非敏感数据,双芯片架构中则由硬件电路实现。软件以三种形式划分数据的安全等级,各有优缺点。第一种方法是采用“管理程序”,将敏感和非敏感数据分配到独立的存储单元;第二种方法则利用操作系统,例如Linux,直接进行划分;第三种方法利用Java?软件或Java类虚拟器处理独立的安全程序。
多合一集成减少了所需的芯片数量,缩小PCB面积,允许使用更灵活的外形规格,从而简化了终端设计。另外,由于只需要单个工具链、仅支持一个μC核,有助于加快开发进程。Maxim提供各种高集成度、16至32位安全μC,工作速率高达200MHz。
选择安全μC时,应该选择能提供PCI PTS实验室出具的安全评估报告的微控制器。该报告证明经过了完整实验室测试,测试结论表明了芯片厂家的专业水平,以及安全芯片所能达到的水平。第二项考虑是终端设计的难易程度。简单程度既依赖于μC特性,又依赖于厂家支持团队的力量。您应该寻求集成了关键功能的μC,例如存储器、时间记录和防篡改监测,因为这种高集成度简化了PCB布线,以更小尺寸支持关键的安全特性。Maxim加入了PCI SSC组织,并坚持以最先进的安全μC服务于PCI SSC市场。
Maxim的USIP? Professional (USIP PRO)高性能32位μC就是一款这样的安全器件,为新一代高可信度器件提供互操作能力以及高度安全、高性价比环境。USIP PRO平台完全符合EMV?和PCI PED标准,基于MIPS技术最安全的32位RISC数据核(MIPS32? 4KSd?核)。这种低功耗处理器核提供了卓越的性能(1.35MIPS/MHz),同时增加了专用指令,通过加速加密运算、增强安全功能,提高了系统完整性。这些安全功能包括:具有瞬间擦除能力的安全存储器、安全实时时钟(RTC),以及检测任何入侵的内部环境监测传感器。外部存储器由拥有专利的AES-128加密/解密引擎完全保护。借助完备的USIP PRO相关软件和硬件,可有效缩短PCI PTS认证时间。包括预认证POI参考设计、Linux OS、加密库、EMV L1库、生产编程工具和PCI PTS帮助工具。
通过PCI PTS 3.0认证的参考设计
Maxim的参考设计(USIPOS)能够帮助构建高度可靠的终端产品,确保通过PCI评估。通过PCI PTS 3.0测试的参考设计为您的终端提供最便捷的渠道,使其顺利通过认证。USIPOS参考设计的关键特性包括:无网格架构、获得PCI PTS 3.0批准,提供经过优化的硬件BOM、安全的Linux OS和EMV L1及加密库文件和硬件/软件设计指南。从Maxim的设计方案、电路布局和BOM入手,定制设计并集成到您的设备中,从而以最低的风险和成本将您的产品快速推向市场。
安全岛
除安全芯片及其管理的资产外,其它资产,例如PIN,也是攻击目标。作为预防措施,利用安全芯片外部的传感器提供保护,防止对终端设备的物理篡改。由此构建的安全机制既高效,又容易集成,并且任何报警都会立即触发擦除安全存储器。这些传感器往往监测的是片外环境,监测电路可以很好地保证其它物理区域的安全——例如,PIN所处的区域。最后,终端制造商必须具备足够的技能和知识,正确管理报警检测机制。由安全芯片管理报警的传播和相应的操作。
对于PIN和持卡人账户数据等文本数据可通过键盘、磁条和智能卡获取。因此,除了安全芯片本身采取措施外,这三个区域都需要各自的安全保护措施。资产管理数据只能暴露在这些设施以内,这也是我们称其为“安全岛”的原因(图4)。
基于商用化安全芯片的设计思路,有些厂商建议此类安全区域也采用商用化设计方案。最完备的解决方案是集成安全智能卡槽,例如C&K安全智能卡槽和磁条加密头,例如磁阻芯片组。这些产品与上述安全芯片具有相同优势——集成化设计,安全性高,降低风险和成本。
商用化终极方案
将上述商用化安全措施完全集成到单个参考设计中将对该行业的发展做出重大贡献——有助于简化终端制造商的产品开发、认证和生产(图5)。安全是制造商面临的主要问题,所以评估参考设计会增强其信心,节省资源,并降低了开发风险。它还以高效、高性价比设计兼容大多数苛刻的安全要求(PCI PTS)。
软件和应用
终端由硬件组成,但相关软件(不仅限于PIN输入操作)在近几年已经扩展到各种应用服务。有些设备提供忠诚度测试及其它相关业务的应用,复杂的软件架构也是图形界面、多接口(以太网、USB、GPRS连接)、EMV支持以及非接触卡不可缺少的工具。强大的安全防护措施使得软件设计更加复杂:终端设计必须极具吸引力,而安全应用决不允许泄露敏感数据,操作系统必须支持应用之间的通信,加密服务不得泄露密匙。商用化软件还能够为终端带来众多利益,包括节省开发时间和帮助最终产品通过认证。
作为一个示例,Maxim提议的安全Linux操作系统可用于USIP PRO平台,完全满足PCI PTS安全软件要求,简化开发过程并降低制造商的认证风险。可以获取完整的Linux版本,还有助于改善终端开发,包括图形界面、外设驱动和通信栈。
结论
以上讨论的三种架构都可以构建强大的支付终端,提供高度可靠的安全性。本文涉及的IC均为经过验证的商用化器件,可提高安全性,方便集成,并降低功耗。无论是直接设计,还是与商用化安全岛配合使用,或者完全嵌入安全、经过验证的参考设计,这些IC均可加快产品的上市时间,降低风险。制造商可采用更多软件完善终端设计,帮助他们节省时间,使其能够专注于自身核心技术的开发。
参考文献:
[1] Financial Terminals Product Guide[DB].Maxim Integrated Products
[2] MAXQ1850数据资料[DB].Maxim Integrated Products
[3] Product Reliability Report for MAXQ1850[R].Maxim Integrated Products,2010-02-09
[4] USIP数据资料[DB].Maxim Integrated Products
[5] Point of Interaction (POI) Modular Security Requirements v3.1 [S]. PCI Security Standards Council,2011