本應(yīng)用筆記利用基于MAXQ1850的雙芯片架構(gòu)的優(yōu)勢(shì),探討了高度安全的支付終端設(shè)計(jì),,分析了生產(chǎn)廠(chǎng)商在面臨PCI-PED PTS產(chǎn)品認(rèn)證時(shí)的弱點(diǎn),。
新終端、新趨勢(shì)
金融終端已經(jīng)成為支付產(chǎn)品公司提供的一種新型交付服務(wù)手段,。金融終端不再限于簡(jiǎn)單的讀卡機(jī),,而是逐步成為能夠處理交易,、管理庫(kù)存,、操作商業(yè)運(yùn)營(yíng)的復(fù)雜計(jì)算設(shè)備。這一角色轉(zhuǎn)變的顯著標(biāo)志是針對(duì)終端定義的一個(gè)新術(shù)語(yǔ):從銷(xiāo)售終端(POS)設(shè)備更改為交互終端(POI)系統(tǒng),。POI系統(tǒng)必須具備快速通信能力,,使用更加便捷(例如,可以連接USB,、以太網(wǎng),、WiFi®或Bluetooth®),支持多應(yīng)用的相互協(xié)調(diào)并可處理復(fù)雜的卡交易(支付卡,、忠誠(chéng)卡等),。
另外,使用條件也發(fā)生了變化,。有時(shí),,POI必須工作在潮濕環(huán)境、室外或室內(nèi),。這些設(shè)備多數(shù)情況下要求采用人性化便攜式設(shè)計(jì),,并滿(mǎn)足經(jīng)銷(xiāo)商對(duì)時(shí)尚外觀的需求。由于相關(guān)技術(shù)的融合與重復(fù)利用,,使得終端產(chǎn)品隨處可見(jiàn),,例如:智能電話(huà)、筆記本電腦,、游戲機(jī)控制臺(tái)等?,F(xiàn)代POI設(shè)備引入了類(lèi)似的美學(xué)設(shè)計(jì),采用色彩豐富的顯示技術(shù)、復(fù)雜的觸摸屏接口并提供便利的連通性,,可以方便地集成到信息系統(tǒng)內(nèi),。硬件技術(shù)的深入開(kāi)發(fā)也帶動(dòng)了軟件設(shè)計(jì)的重復(fù)利用,從商用化操作系統(tǒng)到軟件棧,,可以直接提取硬件電路,。總而言之,,軟件的重復(fù)利用有助于加快開(kāi)發(fā)速度,、降低產(chǎn)品失效風(fēng)險(xiǎn),以更低的R&D成本將產(chǎn)品快速推向市場(chǎng),。
終端安全性
POI與消費(fèi)類(lèi)(CE)設(shè)備的主要差別在于安全性,。EMV卡的全球化開(kāi)發(fā)意味著系統(tǒng)所要面臨的威脅也是全球性的。如不采取適當(dāng)對(duì)策,,則有可能在瞬間遭受來(lái)自世界不同區(qū)域的攻擊,。另一方面,由于高投資(開(kāi)發(fā)工具,、時(shí)間等花費(fèi))帶來(lái)的巨額回報(bào),,犯罪團(tuán)伙會(huì)不惜代價(jià)地實(shí)施攻擊行為,由此可見(jiàn),,設(shè)備安全性的最大威脅來(lái)自于這些犯罪團(tuán)伙,。
當(dāng)前金融終端的互操作性、通信接口以及高級(jí)服務(wù)都已成為攻擊者的“敲門(mén)磚”,。由業(yè)內(nèi)重要的支付產(chǎn)品公司聯(lián)手創(chuàng)立的支付卡產(chǎn)業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)—包括美國(guó)的Express,、JCB、MasterCard和Visa—旨在規(guī)范整個(gè)產(chǎn)業(yè)的安全標(biāo)準(zhǔn),。
PCI SSC開(kāi)發(fā)的PCI PIN交易安全(PCI PTS)標(biāo)準(zhǔn)定義了金融終端安全性的要求,。前期的PCI PIN輸入設(shè)備(PCI PED)標(biāo)準(zhǔn)(PCI PTS)主要關(guān)注應(yīng)對(duì)物力和邏輯攻擊,這些攻擊行為試圖從POI提取PIN碼和加密密鑰,。根據(jù)現(xiàn)場(chǎng)經(jīng)驗(yàn)和試驗(yàn)室研究,,PCI PTS歸納了針對(duì)各種攻擊(物力篡改、環(huán)境更改,、軟件接口攻擊,、密碼分析破解攻擊、政策威脅)的安全防護(hù)機(jī)制,。PCI PTS旨在保護(hù)終端內(nèi)部或智能卡連接通道普通格式的PIN碼,。
物理機(jī)制要求在入侵者打開(kāi)終端、插入PIN記錄裝置,,防止數(shù)據(jù)在PIN輸入或發(fā)送端被捕獲,,并可阻止對(duì)終端操作的修改。邏輯上需要防止入侵者修改讀卡器、控制終端的運(yùn)行程序,,從而達(dá)到他們恢復(fù),、記錄或發(fā)送PIN碼及其它敏感數(shù)據(jù)的目的。
其它要求包括磁條數(shù)據(jù)的有效保護(hù),。PCI PTS的每項(xiàng)要求對(duì)應(yīng)于特定的攻擊類(lèi)別,,與對(duì)抗等級(jí)有關(guān),通常用16至35范圍的數(shù)字表示,。為了達(dá)到設(shè)計(jì)目標(biāo),,支付終端必須能夠?qū)⒃馐艽鄹牡娘L(fēng)險(xiǎn)(所謂的篡改值)降至最低。
按照ITSEC聯(lián)合實(shí)驗(yàn)室聲明(JIL)對(duì)智能卡的規(guī)定,,攻擊值方案基于所了解的相關(guān)知識(shí),、攻擊持續(xù)時(shí)間、攻擊者的資源和專(zhuān)業(yè)技術(shù),。對(duì)每種抗攻擊能力劃分成幾個(gè)等級(jí)進(jìn)行評(píng)測(cè),,每個(gè)等級(jí)有相應(yīng)的額定值??紤]一種攻擊形式時(shí),,可以由衡量每種類(lèi)型的攻擊強(qiáng)度值的加和表示。例如,,文件類(lèi)保護(hù)包括三個(gè)等級(jí):公開(kāi),、受限、加密,。如果一個(gè)受限文件受到攻擊,該等級(jí)的攻擊值(受限文件)需要增加到攻擊求和中,。
抗攻擊能力評(píng)估需要在具備資質(zhì)的實(shí)驗(yàn)室進(jìn)行,,最終是否獲得批準(zhǔn)的決定權(quán)由PCI PTS成員掌控。由于攻擊者可以接觸到支付終端設(shè)備,,PCI PTS特別規(guī)定了能夠抵抗各種威脅,、保護(hù)卡持有人敏感數(shù)據(jù)的安全等級(jí)。PCI PTS并不提供相應(yīng)的解決方案,,需要制造商想方設(shè)法滿(mǎn)足這些條件的要求,。PCI PTS 3.1已于2012年3月替代PCI PED 2.1標(biāo)準(zhǔn),隨著安全等級(jí)不斷提升,,終端廠(chǎng)商將面臨更加嚴(yán)峻的設(shè)計(jì)挑戰(zhàn),。
PCI PTS 3.x
PCI對(duì)支付終端的安全要求發(fā)生了重要改進(jìn),加強(qiáng)了對(duì)最新攻擊威脅的防御,。另外,,其新方案的提出也促進(jìn)了模塊化開(kāi)發(fā),用于簡(jiǎn)化生產(chǎn)。這一演變的標(biāo)志是將PIN輸入裝置(PED)變更為POI裝置,,反映出使用端的變化,。終端裝置與之前一樣需要執(zhí)行金融交易,但現(xiàn)在需要執(zhí)行更多任務(wù),,新需求也說(shuō)明生產(chǎn)廠(chǎng)商已經(jīng)考慮了PCI SSC這種擴(kuò)展能力,。
從整個(gè)過(guò)程看,認(rèn)證過(guò)程已經(jīng)簡(jiǎn)化為對(duì)包含所有類(lèi)型裝置(POS,、EPP,、自動(dòng)售貨機(jī)、售貨亭)的一次性評(píng)估,,分為兩個(gè)強(qiáng)制評(píng)估模塊:設(shè)備的核心要求和集成要求,。另外還有兩個(gè)新的評(píng)估模塊供廠(chǎng)商選擇。
為確保安全性,,根據(jù)現(xiàn)場(chǎng)反饋對(duì)具體要求進(jìn)行了少許修改和加強(qiáng),。一些關(guān)鍵要求已經(jīng)使其攻擊值從1點(diǎn)增加到2點(diǎn),尤其是與物理攻擊(鍵盤(pán),、磁條和卡槽)相關(guān)的攻擊,。攻擊成本值介于16至35 (PCI PED 2.1標(biāo)準(zhǔn)下為14至35)。此外,,現(xiàn)在通過(guò)指定請(qǐng)求的規(guī)則更嚴(yán)格,。較早的標(biāo)準(zhǔn)只要求攻擊準(zhǔn)備和攻擊開(kāi)發(fā)值之和等于一個(gè)最小值;現(xiàn)在,攻擊開(kāi)發(fā)值本身必須具有一個(gè)最小值(攻擊準(zhǔn)備為識(shí)別階段,,攻擊者在此期間研究問(wèn)題,、設(shè)計(jì)方法,以及測(cè)試設(shè)備,。在開(kāi)發(fā)階段,,攻擊者進(jìn)入公共場(chǎng)所,并實(shí)際進(jìn)行數(shù)據(jù)盜取),。
其它新要求明確針對(duì)新POI架構(gòu)和服務(wù),。舉例說(shuō)明,要求B17考慮在同一終端上運(yùn)行多項(xiàng)應(yīng)用的情況,,這完全反應(yīng)了現(xiàn)代終端的軟件架構(gòu),。另一個(gè)例子是新可選評(píng)估模塊的創(chuàng)建:開(kāi)發(fā)協(xié)議(Open Protocol)模塊處理開(kāi)放/公共網(wǎng)絡(luò)上的安全問(wèn)題,通常解決來(lái)自于通過(guò)IP連接的終端安全事項(xiàng),,類(lèi)似于PC日常面臨的攻擊威脅,。安全讀取與數(shù)據(jù)交換(SRED)模塊規(guī)定對(duì)終端內(nèi)持卡人賬戶(hù)數(shù)據(jù)的保護(hù)要求。表1列出了大多數(shù)關(guān)鍵的安全要求,,以及對(duì)設(shè)計(jì)高效率,、高性?xún)r(jià)比終端的功能性要求,。
控制安全方案的成本
終端廠(chǎng)商為了滿(mǎn)足嚴(yán)格的安全標(biāo)準(zhǔn),在設(shè)計(jì)功能強(qiáng)大,、外觀時(shí)尚的POI設(shè)備時(shí)面臨巨大挑戰(zhàn),。終端廠(chǎng)商自己開(kāi)發(fā)并維護(hù)安全設(shè)備可能付出巨額代價(jià),因?yàn)檫@將要求終端廠(chǎng)商專(zhuān)門(mén)建立一支專(zhuān)家團(tuán)隊(duì),,從而占據(jù)相當(dāng)大的R&D資源,。這也成為新生力量進(jìn)入安全市場(chǎng)的巨大障礙,但它并不代表現(xiàn)有廠(chǎng)商擁有多么明顯的競(jìng)爭(zhēng)優(yōu)勢(shì),,畢竟支付終端的所有安全認(rèn)證條件都是強(qiáng)制性規(guī)定,。
標(biāo)準(zhǔn)化為專(zhuān)業(yè)廠(chǎng)商的安全模塊創(chuàng)造了巨大商機(jī)。由于認(rèn)證標(biāo)準(zhǔn)是統(tǒng)一的,,終端廠(chǎng)商可以選擇商用化的安全方案以滿(mǎn)足安全認(rèn)證標(biāo)準(zhǔn)的要求,。與自主開(kāi)發(fā)安全方案相比,這些模塊化設(shè)計(jì)具有幾項(xiàng)顯著優(yōu)勢(shì),。
它們能夠減輕終端制造商的設(shè)計(jì)負(fù)擔(dān),,只需關(guān)注系統(tǒng)增值功能。安全性雖然不是設(shè)備的特殊功能,,但卻是對(duì)終端產(chǎn)品最基本的標(biāo)準(zhǔn)化要求,。通過(guò)與安全產(chǎn)品供應(yīng)商合作,終端廠(chǎng)商能夠?qū)⒅饕Ψ旁诮鹑诮K端市場(chǎng)的增值服務(wù)上,。
高性?xún)r(jià)比設(shè)計(jì)允許開(kāi)發(fā)更加復(fù)雜的安全機(jī)制,。由于多個(gè)用戶(hù)共同分?jǐn)俁&D成本,使得高科技開(kāi)發(fā)資源不會(huì)形成一家獨(dú)占的局面,。隨著對(duì)安全產(chǎn)品復(fù)雜性要求的提高,,這些降低設(shè)計(jì)成本的因素也愈加重要。由此可見(jiàn),,金融終端市場(chǎng)也依賴(lài)于能夠提出有效應(yīng)對(duì)措施,、專(zhuān)業(yè)的安全產(chǎn)品供應(yīng)商。
利用獲得批準(zhǔn)的模塊降低風(fēng)險(xiǎn),、加速POI認(rèn)證。對(duì)商用化方案進(jìn)行安全評(píng)估并獲得PCI PTS批復(fù),,模塊供應(yīng)商能夠降低終端設(shè)計(jì)人員的開(kāi)發(fā)風(fēng)險(xiǎn),。從而簡(jiǎn)化安全系統(tǒng)集成,加快通過(guò)終端認(rèn)證的步伐,。
安全架構(gòu)綜述
目前,,市場(chǎng)上的支付終端主要采用三種不同類(lèi)型的架構(gòu),以不同形式提供安全接入服務(wù),,資產(chǎn)保護(hù)和其它功能集成在終端內(nèi),,表1列出了相關(guān)需求,。
安全管理器
最通用的架構(gòu)之一是采用安全管理器,為通用微控制器(µp;C)增添安全功能,。安全管理器能夠有效保護(hù)敏感憑證,、偵測(cè)物力或環(huán)境篡改事件(例如:改變溫度或電壓)。外部傳感器輸入允許連接安全防護(hù)罩,、PCB防護(hù)網(wǎng)和篡改傳感器(圖1),。
圖1. 基于安全管理器IC的支付終端
Maxim的DS3600等安全管理器引入了受專(zhuān)利保護(hù)的無(wú)痕跡存儲(chǔ)器架構(gòu),利用片上NV SRAM存儲(chǔ)加密密鑰,。電池備份存儲(chǔ)器能夠消除氧化應(yīng)力在存儲(chǔ)器留下的痕跡,,防止對(duì)受應(yīng)力作用的存儲(chǔ)器單元的殘余數(shù)據(jù)進(jìn)行無(wú)源偵測(cè)。一旦檢測(cè)到入侵操作,,將立即,、徹底地擦除NV SRAM的內(nèi)容。這些安全管理器還提供隨機(jī)數(shù)發(fā)生器等其它安全服務(wù),,通過(guò)通用微控制器(µC)進(jìn)行系統(tǒng)維護(hù)和運(yùn)行控制,,包括加密服務(wù)和敏感接口控制。
雙芯片架構(gòu)(雙控制器)
第二種方案是采用通用µC和安全配套芯片把計(jì)算與安全功能分隔開(kāi)(圖2),。通用µC執(zhí)行所有與安全性無(wú)關(guān)的任務(wù),,而安全協(xié)處理器包含了另一µC,作為報(bào)警系統(tǒng)執(zhí)行加密計(jì)算,、控制敏感接口,。
圖2. 由通用µC和專(zhuān)用安全µC構(gòu)成的雙芯片架構(gòu)
通過(guò)專(zhuān)用的控制接口連接兩個(gè)µC,以避免敏感信息的泄漏,。這種架構(gòu)非常適合現(xiàn)代POI設(shè)計(jì),,這類(lèi)產(chǎn)品大多在商用化方案的基礎(chǔ)上使設(shè)計(jì)滿(mǎn)足PCI PTS要求。終端設(shè)計(jì)人員可以選擇通用µC單獨(dú)完成系統(tǒng)的功能性,、連通性任務(wù)以及計(jì)算功能;安全µC則用于處理所有安全保護(hù)操作,,例如:PIN和密鑰管理、電池備份存儲(chǔ)器,、篡改偵測(cè),、加密計(jì)算等。這款μC的選擇只需要單純考慮如何滿(mǎn)足PCI PTS安全性認(rèn)證的要求,,因此可以選擇預(yù)先通過(guò)認(rèn)證的商用化解決方案,。
安全配套芯片
MAXQ1850即為該系列產(chǎn)品的代表器件,這款32位安全µC設(shè)計(jì)用作任何通用µC的配套芯片,。按照芯片安全評(píng)估報(bào)告的陳述,,MAXQ1850能夠滿(mǎn)足最嚴(yán)格的PCI PTS標(biāo)準(zhǔn)要求:
連接到電池備份存儲(chǔ)器的篡改響應(yīng)傳感器提供物力篡改保護(hù),一旦檢測(cè)到篡改事件立即執(zhí)行擦除操作
強(qiáng)大的保護(hù)功能能夠在發(fā)生故障和環(huán)境干擾(脈沖干擾,、極端溫度等)狀況下提供可靠保護(hù)
嵌入式存儲(chǔ)器用來(lái)保存敏感資源(例如:密鑰和固件)
裸片防護(hù)網(wǎng)用于保護(hù)嵌入式存儲(chǔ)器
安全加密功能支持所有算法(旁道攻擊對(duì)策)
高度安全的隨機(jī)數(shù)發(fā)生器用于產(chǎn)生密鑰
直接控制敏感外設(shè)(例如:智能卡,、鍵盤(pán)和顯示器)
表1列出了MAXQ1850所滿(mǎn)足的關(guān)鍵安全特性和設(shè)計(jì)要求,,其高性能RISC核、較少的引腳數(shù)量以及所集成的關(guān)鍵電路使其非常適合POI系統(tǒng)設(shè)計(jì),,其中包括超小尺寸的便攜設(shè)備,。從圖2可以看出,采用雙芯片架構(gòu),,MAXQ1850能夠有效簡(jiǎn)化POI設(shè)計(jì),。
智能卡接口的I/O選擇機(jī)制允許通過(guò)一個(gè)接口管理雙卡,通過(guò)SPI™接口控制智能卡接口芯片(DS8024),。
利用GPIO作為片選,,智能卡接口和LCD可以共用SPI端口。
級(jí)聯(lián)MAX7317 SPI至GPIO轉(zhuǎn)換器,,簡(jiǎn)化GPIO/SPI端口的配置管理,,用于訪(fǎng)問(wèn)并行外設(shè)。
USB鏈路連接安全µC和通用µC,,通過(guò)安全應(yīng)用編程接口API連接,。
集成的安全µC
第三種方法,也是隨著PCI PED認(rèn)證的普及而被廣泛用于安全金融終端的方法,,即選擇融合高集成度,、高性能µC的單芯片架構(gòu)(圖3)。與通用微控制器一樣,,這些µC采用了最新的半導(dǎo)體制造工藝;具有多種通信接口,,例如USB、SPI和智能卡;并且支持功能豐富的操作系統(tǒng),,例如Linux® OS,。這些微控制器嵌入了高速現(xiàn)代處理器,能夠管理大容量外部存儲(chǔ)器,,例如NOR和NAND閃存,,以及各種各樣的RAM。
圖3. 大多數(shù)小尺寸終端架構(gòu)采用的單片µC包括了所有必要的安全功能,。
與安全管理器一樣,這些器件嵌入了安全NV SRAM和篡改/監(jiān)測(cè)傳感器,。與配套芯片一樣,,這些器件運(yùn)行安全加密算法,例如3DES,、AES和RSA,抵御功率差分析(DPA)和簡(jiǎn)單的功率分析(SPA),。高集成度設(shè)計(jì)在安全保護(hù)能力和材料清單(BOM)均具備強(qiáng)大優(yōu)勢(shì),。
安全機(jī)制集成在硅片內(nèi),,能夠?qū)ζ溥M(jìn)行攻擊手段將非常復(fù)雜。集成保證了啟動(dòng)的完整信任鏈,,也適用于處理緊急事件和報(bào)警—報(bào)警信號(hào)不會(huì)被切斷,。由于電路功能已經(jīng)集成在一個(gè)芯片中,所以降低了鏈路缺陷造成的不良風(fēng)險(xiǎn),。使用集成的外部存儲(chǔ)器加密引擎時(shí),,無(wú)需額外的安全防護(hù)。
這種高集成度設(shè)計(jì)也有益于軟件的安全保護(hù),,因?yàn)榘踩珯C(jī)制依賴(lài)于強(qiáng)大的硬件功能和標(biāo)準(zhǔn)化機(jī)制,,例如,存儲(chǔ)器管理單元(MMU),。注意,,在單芯片方案中由軟件區(qū)分敏感數(shù)據(jù)和非敏感數(shù)據(jù),雙芯片架構(gòu)中則由硬件電路實(shí)現(xiàn),。軟件以三種形式劃分?jǐn)?shù)據(jù)的安全等級(jí),,各有優(yōu)缺點(diǎn)。第一種方法是采用“管理程序”,,將敏感和非敏感數(shù)據(jù)分配到獨(dú)立的存儲(chǔ)單元;第二種方法則利用操作系統(tǒng),,例如Linux,直接進(jìn)行劃分;第三種方法利用Java®軟件或Java類(lèi)虛擬器處理獨(dú)立的安全程序,。
多合一集成減少了所需的芯片數(shù)量,,縮小PCB面積,允許使用更靈活的外形規(guī)格,,從而簡(jiǎn)化了終端設(shè)計(jì),。另外,由于只需要單個(gè)工具鏈,、僅支持一個(gè)µC核,,有助于加快開(kāi)發(fā)進(jìn)程。Maxim提供各種高集成度,、16至32位安全µC,,工作速率高達(dá)200MHz。
選擇安全µC時(shí),,應(yīng)該選擇能提供PCI PTS實(shí)驗(yàn)室出具的安全評(píng)估報(bào)告的微控制器,。該報(bào)告證明經(jīng)過(guò)了完整實(shí)驗(yàn)室測(cè)試,測(cè)試結(jié)論表明了芯片廠(chǎng)家的專(zhuān)業(yè)水平,,以及安全芯片所能達(dá)到的水平,。第二項(xiàng)考慮是終端設(shè)計(jì)的難易程度。簡(jiǎn)單程度既依賴(lài)于µC特性,,又依賴(lài)于廠(chǎng)家支持團(tuán)隊(duì)的力量,。您應(yīng)該尋求集成了關(guān)鍵功能的µC,,例如存儲(chǔ)器、時(shí)間記錄和防篡改監(jiān)測(cè),,因?yàn)檫@種高集成度簡(jiǎn)化了PCB布線(xiàn),,以更小尺寸支持關(guān)鍵的安全特性。Maxim加入了PCI SSC組織,,并堅(jiān)持以最先進(jìn)的安全µC服務(wù)于PCI SSC市場(chǎng),。
采用ARM926™內(nèi)核的高性能、32位安全微控制器MAX32590 (“JIBE”)就是一款這樣的µC,。器件的低功耗特性能夠在400MHz時(shí)提供卓越的性能,。安全特性包括:具有瞬間擦除能力的2KB安全存儲(chǔ)器、安全實(shí)時(shí)時(shí)鐘(RTC),、以及檢測(cè)任何入侵的內(nèi)部環(huán)境動(dòng)態(tài)監(jiān)測(cè)傳感器,。易失和非易失外部存儲(chǔ)器(如:NAND、NOR和LPDDR)由新一代強(qiáng)大的AES-128加密/數(shù)據(jù)完整性驗(yàn)證功能完全保護(hù),。所提供的配套軟件包括:預(yù)認(rèn)證POI參考設(shè)計(jì),、安全Linux OS、加密庫(kù),、EMV L1庫(kù)和PCI PTS幫助工具,。
通過(guò)PCI PTS 3.x認(rèn)證的參考設(shè)計(jì)
Maxim的參考設(shè)計(jì)(USIPOS)能夠幫助構(gòu)建高度可靠的終端產(chǎn)品,確保通過(guò)PCI評(píng)估,。通過(guò)PCI PTS 3.x測(cè)試的參考設(shè)計(jì)為您的終端提供最便捷的渠道,,使其順利通過(guò)認(rèn)證。USIPOS參考設(shè)計(jì)的關(guān)鍵特性包括:無(wú)網(wǎng)格架構(gòu),、獲得PCI PTS 3.x批準(zhǔn),,提供經(jīng)過(guò)優(yōu)化的硬件BOM、安全的Linux OS和EMV L1及加密庫(kù)文件和硬件/軟件設(shè)計(jì)指南,。從Maxim的設(shè)計(jì)方案,、電路布局和BOM入手,定制設(shè)計(jì)并集成到您的設(shè)備中,,從而以最低的風(fēng)險(xiǎn)和成本將您的產(chǎn)品快速推向市場(chǎng),。
安全島
除安全芯片及其管理的資產(chǎn)外,其它資產(chǎn),,例如PIN,,也是攻擊目標(biāo)。作為預(yù)防措施,,利用安全芯片外部的傳感器提供保護(hù),,防止對(duì)終端設(shè)備的物理篡改。由此構(gòu)建的安全機(jī)制既高效,又容易集成,,并且任何報(bào)警都會(huì)立即觸發(fā)擦除安全存儲(chǔ)器,。這些傳感器往往監(jiān)測(cè)的是片外環(huán)境,監(jiān)測(cè)電路可以很好地保證其它物理區(qū)域的安全—例如,,PIN所處的區(qū)域。最后,,終端制造商必須具備足夠的技能和知識(shí),,正確管理報(bào)警檢測(cè)機(jī)制。由安全芯片管理報(bào)警的傳播和相應(yīng)的操作,。
對(duì)于PIN和持卡人賬戶(hù)數(shù)據(jù)等文本數(shù)據(jù)可通過(guò)鍵盤(pán),、磁條和智能卡獲取。因此,,除了安全芯片本身采取措施外,,這三個(gè)區(qū)域都需要各自的安全保護(hù)措施。資產(chǎn)管理數(shù)據(jù)只能暴露在這些設(shè)施以?xún)?nèi),,這也是我們稱(chēng)其為“安全島”的原因(圖4),。
圖4. 支付終端中,,由安全µC控制的傳感器保護(hù)"安全島"
基于商用化安全芯片的設(shè)計(jì)思路,,有些廠(chǎng)商建議此類(lèi)安全區(qū)域也采用商用化設(shè)計(jì)方案。最完備的解決方案是集成安全智能卡槽,,例如C&K安全智能卡槽和磁條加密頭,,例如磁阻芯片組。這些產(chǎn)品與上述安全芯片具有相同優(yōu)勢(shì)—集成化設(shè)計(jì),,安全性高,,降低風(fēng)險(xiǎn)和成本。
商用化終極方案
將上述商用化安全措施完全集成到單個(gè)參考設(shè)計(jì)中將對(duì)該行業(yè)的發(fā)展做出重大貢獻(xiàn)—有助于簡(jiǎn)化終端制造商的產(chǎn)品開(kāi)發(fā),、認(rèn)證和生產(chǎn)(圖5),。安全是制造商面臨的主要問(wèn)題,所以評(píng)估參考設(shè)計(jì)會(huì)增強(qiáng)其信心,,節(jié)省資源,,并降低了開(kāi)發(fā)風(fēng)險(xiǎn)。它還以高效,、高性?xún)r(jià)比設(shè)計(jì)兼容大多數(shù)苛刻的安全要求(PCI PTS),。
圖5. JIBEPOS參考設(shè)計(jì)框圖,,包括所提供的各種功能
軟件和應(yīng)用
終端由硬件組成,,但相關(guān)軟件(不僅限于PIN輸入操作)在近幾年已經(jīng)擴(kuò)展到各種應(yīng)用服務(wù)。有些設(shè)備提供忠誠(chéng)度測(cè)試及其它相關(guān)業(yè)務(wù)的應(yīng)用,復(fù)雜的軟件架構(gòu)也是圖形界面,、多接口(以太網(wǎng),、USB、GPRS連接),、EMV支持以及非接觸卡不可缺少的工具,。強(qiáng)大的安全防護(hù)措施使得軟件設(shè)計(jì)更加復(fù)雜:終端設(shè)計(jì)必須極具吸引力,而安全應(yīng)用決不允許泄露敏感數(shù)據(jù),,操作系統(tǒng)必須支持應(yīng)用之間的通信,,加密服務(wù)不得泄露密匙。商用化軟件還能夠?yàn)榻K端帶來(lái)眾多利益,,包括節(jié)省開(kāi)發(fā)時(shí)間和幫助最終產(chǎn)品通過(guò)認(rèn)證,。
作為一個(gè)示例,Maxim提議的安全Linux操作系統(tǒng)可用于USIP和JIBE平臺(tái),,完全滿(mǎn)足PCI PTS安全軟件要求,,簡(jiǎn)化開(kāi)發(fā)過(guò)程并降低制造商的認(rèn)證風(fēng)險(xiǎn)??梢垣@取完整的Linux版本,,還有助于改善終端開(kāi)發(fā),包括圖形界面,、外設(shè)驅(qū)動(dòng)和通信棧,。
結(jié)論
以上討論的三種架構(gòu)都可以構(gòu)建強(qiáng)大的支付終端,提供高度可靠的安全性,。本文涉及的IC均為經(jīng)過(guò)驗(yàn)證的商用化器件,,可提高安全性,方便集成,,并降低功耗,。