新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設計應用 > 基于MAXQ1850的雙芯片架構的支付終端

基于MAXQ1850的雙芯片架構的支付終端

作者: 時間:2012-06-13 來源:網(wǎng)絡 收藏

本應用筆記利用的雙的優(yōu)勢,探討了高度安全的設計,分析了生產(chǎn)廠商在面臨PCI-PED PTS產(chǎn)品認證時的弱點。

本文引用地址:http://butianyuan.cn/article/148905.htm

、新趨勢

金融已經(jīng)成為產(chǎn)品公司提供的一種新型交付服務手段。金融終端不再限于簡單的讀卡機,而是逐步成為能夠處理交易、管理庫存、操作商業(yè)運營的復雜計算設備。這一角色轉(zhuǎn)變的顯著標志是針對終端定義的一個新術語:從銷售終端(POS)設備更改為交互終端(POI)系統(tǒng)。POI系統(tǒng)必須具備快速通信能力,使用更加便捷(例如,可以連接USB、以太網(wǎng)、WiFi®或Bluetooth®),支持多應用的相互協(xié)調(diào)并可處理復雜的卡交易(卡、忠誠卡等)。

另外,使用條件也發(fā)生了變化。有時,POI必須工作在潮濕環(huán)境、室外或室內(nèi)。這些設備多數(shù)情況下要求采用人性化便攜式設計,并滿足經(jīng)銷商對時尚外觀的需求。由于相關技術的融合與重復利用,使得終端產(chǎn)品隨處可見,例如:智能電話、筆記本電腦、游戲機控制臺等。現(xiàn)代POI設備引入了類似的美學設計,采用色彩豐富的顯示技術、復雜的觸摸屏接口并提供便利的連通性,可以方便地集成到信息系統(tǒng)內(nèi)。硬件技術的深入開發(fā)也帶動了軟件設計的重復利用,從商用化操作系統(tǒng)到軟件棧,可以直接提取硬件電路??偠灾?,軟件的重復利用有助于加快開發(fā)速度、降低產(chǎn)品失效風險,以更低的RD成本將產(chǎn)品快速推向市場。

終端安全性

POI與消費類(CE)設備的主要差別在于安全性。EMV卡的全球化開發(fā)意味著系統(tǒng)所要面臨的威脅也是全球性的。如不采取適當對策,則有可能在瞬間遭受來自世界不同區(qū)域的攻擊。另一方面,由于高投資(開發(fā)工具、時間等花費)帶來的巨額回報,犯罪團伙會不惜代價地實施攻擊行為,由此可見,設備安全性的最大威脅來自于這些犯罪團伙。

當前金融終端的互操作性、通信接口以及高級服務都已成為攻擊者的“敲門磚”。由業(yè)內(nèi)重要的支付產(chǎn)品公司聯(lián)手創(chuàng)立的支付卡產(chǎn)業(yè)安全標準委員會(PCI SSC)—包括美國的Express、JCB、MasterCard和Visa—旨在規(guī)范整個產(chǎn)業(yè)的安全標準。

PCI SSC開發(fā)的PCI PIN交易安全(PCI PTS)標準定義了金融終端安全性的要求。前期的PCI PIN輸入設備(PCI PED)標準(PCI PTS)主要關注應對物力和邏輯攻擊,這些攻擊行為試圖從POI提取PIN碼和加密密鑰。根據(jù)現(xiàn)場經(jīng)驗和試驗室研究,PCI PTS歸納了針對各種攻擊(物力篡改、環(huán)境更改、軟件接口攻擊、密碼分析破解攻擊、政策威脅)的安全防護機制。PCI PTS旨在保護終端內(nèi)部或智能卡連接通道普通格式的PIN碼。

物理機制要求在入侵者打開終端、插入PIN記錄裝置,防止數(shù)據(jù)在PIN輸入或發(fā)送端被捕獲,并可阻止對終端操作的修改。邏輯上需要防止入侵者修改讀卡器、控制終端的運行程序,從而達到他們恢復、記錄或發(fā)送PIN碼及其它敏感數(shù)據(jù)的目的。

其它要求包括磁條數(shù)據(jù)的有效保護。PCI PTS的每項要求對應于特定的攻擊類別,與對抗等級有關,通常用16至35范圍的數(shù)字表示。為了達到設計目標,支付終端必須能夠?qū)⒃馐艽鄹牡娘L險(所謂的篡改值)降至最低。

按照ITSEC聯(lián)合實驗室聲明(JIL)對智能卡的規(guī)定,攻擊值方案所了解的相關知識、攻擊持續(xù)時間、攻擊者的資源和專業(yè)技術。對每種抗攻擊能力劃分成幾個等級進行評測,每個等級有相應的額定值??紤]一種攻擊形式時,可以由衡量每種類型的攻擊強度值的加和表示。例如,文件類保護包括三個等級:公開、受限、加密。如果一個受限文件受到攻擊,該等級的攻擊值(受限文件)需要增加到攻擊求和中。

抗攻擊能力評估需要在具備資質(zhì)的實驗室進行,最終是否獲得批準的決定權由PCI PTS成員掌控。由于攻擊者可以接觸到支付終端設備,PCI PTS特別規(guī)定了能夠抵抗各種威脅、保護卡持有人敏感數(shù)據(jù)的安全等級。PCI PTS并不提供相應的解決方案,需要制造商想方設法滿足這些條件的要求。PCI PTS 3.1已于2012年3月替代PCI PED 2.1標準,隨著安全等級不斷提升,終端廠商將面臨更加嚴峻的設計挑戰(zhàn)。

PCI PTS 3.x

PCI對支付終端的安全要求發(fā)生了重要改進,加強了對最新攻擊威脅的防御。另外,其新方案的提出也促進了模塊化開發(fā),用于簡化生產(chǎn)。這一演變的標志是將PIN輸入裝置(PED)變更為POI裝置,反映出使用端的變化。終端裝置與之前一樣需要執(zhí)行金融交易,但現(xiàn)在需要執(zhí)行更多任務,新需求也說明生產(chǎn)廠商已經(jīng)考慮了PCI SSC這種擴展能力。

從整個過程看,認證過程已經(jīng)簡化為對包含所有類型裝置(POS、EPP、自動售貨機、售貨亭)的一次性評估,分為兩個強制評估模塊:設備的核心要求和集成要求。另外還有兩個新的評估模塊供廠商選擇。

為確保安全性,根據(jù)現(xiàn)場反饋對具體要求進行了少許修改和加強。一些關鍵要求已經(jīng)使其攻擊值從1點增加到2點,尤其是與物理攻擊(鍵盤、磁條和卡槽)相關的攻擊。攻擊成本值介于16至35 (PCI PED 2.1標準下為14至35)。此外,現(xiàn)在通過指定請求的規(guī)則更嚴格。較早的標準只要求攻擊準備和攻擊開發(fā)值之和等于一個最小值;現(xiàn)在,攻擊開發(fā)值本身必須具有一個最小值(攻擊準備為識別階段,攻擊者在此期間研究問題、設計方法,以及測試設備。在開發(fā)階段,攻擊者進入公共場所,并實際進行數(shù)據(jù)盜取)。

其它新要求明確針對新POI和服務。舉例說明,要求B17考慮在同一終端上運行多項應用的情況,這完全反應了現(xiàn)代終端的軟件。另一個例子是新可選評估模塊的創(chuàng)建:開發(fā)協(xié)議(Open Protocol)模塊處理開放/公共網(wǎng)絡上的安全問題,通常解決來自于通過IP連接的終端安全事項,類似于PC日常面臨的攻擊威脅。安全讀取與數(shù)據(jù)交換(SRED)模塊規(guī)定對終端內(nèi)持卡人賬戶數(shù)據(jù)的保護要求。表1列出了大多數(shù)關鍵的安全要求,以及對設計高效率、高性價比終端的功能性要求。

控制安全方案的成本

終端廠商為了滿足嚴格的安全標準,在設計功能強大、外觀時尚的POI設備時面臨巨大挑戰(zhàn)。終端廠商自己開發(fā)并維護安全設備可能付出巨額代價,因為這將要求終端廠商專門建立一支專家團隊,從而占據(jù)相當大的RD資源。這也成為新生力量進入安全市場的巨大障礙,但它并不代表現(xiàn)有廠商擁有多么明顯的競爭優(yōu)勢,畢竟支付終端的所有安全認證條件都是強制性規(guī)定。

標準化為專業(yè)廠商的安全模塊創(chuàng)造了巨大商機。由于認證標準是統(tǒng)一的,終端廠商可以選擇商用化的安全方案以滿足安全認證標準的要求。與自主開發(fā)安全方案相比,這些模塊化設計具有幾項顯著優(yōu)勢。

它們能夠減輕終端制造商的設計負擔,只需關注系統(tǒng)增值功能。安全性雖然不是設備的特殊功能,但卻是對終端產(chǎn)品最基本的標準化要求。通過與安全產(chǎn)品供應商合作,終端廠商能夠?qū)⒅饕Ψ旁诮鹑诮K端市場的增值服務上。

高性價比設計允許開發(fā)更加復雜的安全機制。由于多個用戶共同分攤RD成本,使得高科技開發(fā)資源不會形成一家獨占的局面。隨著對安全產(chǎn)品復雜性要求的提高,這些降低設計成本的因素也愈加重要。由此可見,金融終端市場也依賴于能夠提出有效應對措施、專業(yè)的安全產(chǎn)品供應商。

利用獲得批準的模塊降低風險、加速POI認證。對商用化方案進行安全評估并獲得PCI PTS批復,模塊供應商能夠降低終端設計人員的開發(fā)風險。從而簡化安全系統(tǒng)集成,加快通過終端認證的步伐。

安全架構綜述

目前,市場上的支付終端主要采用三種不同類型的架構,以不同形式提供安全接入服務,資產(chǎn)保護和其它功能集成在終端內(nèi),表1列出了相關需求。

安全管理器

最通用的架構之一是采用安全管理器,為通用微控制器(µp;C)增添安全功能。安全管理器能夠有效保護敏感憑證、偵測物力或環(huán)境篡改事件(例如:改變溫度或電壓)。外部傳感器輸入允許連接安全防護罩、PCB防護網(wǎng)和篡改傳感器(圖1)。

圖1. 基于安全管理器IC的支付終端

圖1. 安全管理器IC的支付終端

Maxim的DS3600等安全管理器引入了受專利保護的無痕跡存儲器架構,利用片上NV SRAM存儲加密密鑰。電池備份存儲器能夠消除氧化應力在存儲器留下的痕跡,防止對受應力作用的存儲器單元的殘余數(shù)據(jù)進行無源偵測。一旦檢測到入侵操作,將立即、徹底地擦除NV SRAM的內(nèi)容。這些安全管理器還提供隨機數(shù)發(fā)生器等其它安全服務,通過通用微控制器(µC)進行系統(tǒng)維護和運行控制,包括加密服務和敏感接口控制。

架構(雙控制器)

第二種方案是采用通用µC和安全配套把計算與安全功能分隔開(圖2)。通用µC執(zhí)行所有與安全性無關的任務,而安全協(xié)處理器包含了另一µC,作為報警系統(tǒng)執(zhí)行加密計算、控制敏感接口。

圖2. 由通用?C和專用安全?C構成的雙芯片架構

圖2. 由通用µC和專用安全µC構成的雙芯片架構

通過專用的控制接口連接兩個µC,以避免敏感信息的泄漏。這種架構非常適合現(xiàn)代POI設計,這類產(chǎn)品大多在商用化方案的基礎上使設計滿足PCI PTS要求。終端設計人員可以選擇通用µC單獨完成系統(tǒng)的功能性、連通性任務以及計算功能;安全µC則用于處理所有安全保護操作,例如:PIN和密鑰管理、電池備份存儲器、篡改偵測、加密計算等。這款μC的選擇只需要單純考慮如何滿足PCI PTS安全性認證的要求,因此可以選擇預先通過認證的商用化解決方案。

安全配套芯片

即為該系列產(chǎn)品的代表器件,這款32位安全µC設計用作任何通用µC的配套芯片。按照芯片安全評估報告的陳述,能夠滿足最嚴格的PCI PTS標準要求:

連接到電池備份存儲器的篡改響應傳感器提供物力篡改保護,一旦檢測到篡改事件立即執(zhí)行擦除操作

強大的保護功能能夠在發(fā)生故障和環(huán)境干擾(脈沖干擾、極端溫度等)狀況下提供可靠保護

嵌入式存儲器用來保存敏感資源(例如:密鑰和固件)

裸片防護網(wǎng)用于保護嵌入式存儲器

安全加密功能支持所有算法(旁道攻擊對策)

高度安全的隨機數(shù)發(fā)生器用于產(chǎn)生密鑰

直接控制敏感外設(例如:智能卡、鍵盤和顯示器)


上一頁 1 2 下一頁

評論


相關推薦

技術專區(qū)

關閉