基于MAXQ1850的双芯片架构的支付终端设计(1)
- UID
- 1023166
- 性别
- 男
- 来自
- 燕山大学
|
基于MAXQ1850的双芯片架构的支付终端设计(1)
本应用笔记利用基于MAXQ1850的双芯片架构的优势,探讨了高度安全的支付终端设计,分析了生产厂商在面临PCI-PED PTS产品认证时的弱点。
新终端、新趋势
金融终端已经成为支付产品公司提供的一种新型交付服务手段。金融终端不再限于简单的读卡机,而是逐步成为能够处理交易、管理库存、操作商业运营的复杂计算设备。这一角色转变的显著标志是针对终端定义的一个新术语:从销售终端(POS)设备更改为交互终端(POI)系统。POI系统必须具备快速通信能力,使用更加便捷(例如,可以连接USB、以太网、WiFi®或Bluetooth®),支持多应用的相互协调并可处理复杂的卡交易(支付卡、忠诚卡等)。
另外,使用条件也发生了变化。有时,POI必须工作在潮湿环境、室外或室内。这些设备多数情况下要求采用人性化便携式设计,并满足经销商对时尚外观的需求。由于相关技术的融合与重复利用,使得终端产品随处可见,例如:智能电话、笔记本电脑、游戏机控制台等。现代POI设备引入了类似的美学设计,采用色彩丰富的显示技术、复杂的触摸屏接口并提供便利的连通性,可以方便地集成到信息系统内。硬件技术的深入开发也带动了软件设计的重复利用,从商用化操作系统到软件栈,可以直接提取硬件电路。总而言之,软件的重复利用有助于加快开发速度、降低产品失效风险,以更低的R&D成本将产品快速推向市场。
终端安全性
POI与消费类(CE)设备的主要差别在于安全性。EMV卡的全球化开发意味着系统所要面临的威胁也是全球性的。如不采取适当对策,则有可能在瞬间遭受来自世界不同区域的攻击。另一方面,由于高投资(开发工具、时间等花费)带来的巨额回报,犯罪团伙会不惜代价地实施攻击行为,由此可见,设备安全性的最大威胁来自于这些犯罪团伙。
当前金融终端的互操作性、通信接口以及高级服务都已成为攻击者的“敲门砖”。由业内重要的支付产品公司联手创立的支付卡产业安全标准委员会(PCI SSC)—包括美国的Express、JCB、MasterCard和Visa—旨在规范整个产业的安全标准。
PCI SSC开发的PCI PIN交易安全(PCI PTS)标准定义了金融终端安全性的要求。前期的PCI PIN输入设备(PCI PED)标准(PCI PTS)主要关注应对物力和逻辑攻击,这些攻击行为试图从POI提取PIN码和加密密钥。根据现场经验和试验室研究,PCI PTS归纳了针对各种攻击(物力篡改、环境更改、软件接口攻击、密码分析破解攻击、政策威胁)的安全防护机制。PCI PTS旨在保护终端内部或智能卡连接通道普通格式的PIN码。
物理机制要求在入侵者打开终端、插入PIN记录装置,防止数据在PIN输入或发送端被捕获,并可阻止对终端操作的修改。逻辑上需要防止入侵者修改读卡器、控制终端的运行程序,从而达到他们恢复、记录或发送PIN码及其它敏感数据的目的。
其它要求包括磁条数据的有效保护。PCI PTS的每项要求对应于特定的攻击类别,与对抗等级有关,通常用16至35范围的数字表示。为了达到设计目标,支付终端必须能够将遭受篡改的风险(所谓的篡改值)降至最低。
按照ITSEC联合实验室声明(JIL)对智能卡的规定,攻击值方案基于所了解的相关知识、攻击持续时间、攻击者的资源和专业技术。对每种抗攻击能力划分成几个等级进行评测,每个等级有相应的额定值。考虑一种攻击形式时,可以由衡量每种类型的攻击强度值的加和表示。例如,文件类保护包括三个等级:公开、受限、加密。如果一个受限文件受到攻击,该等级的攻击值(受限文件)需要增加到攻击求和中。
抗攻击能力评估需要在具备资质的实验室进行,最终是否获得批准的决定权由PCI PTS成员掌控。由于攻击者可以接触到支付终端设备,PCI PTS特别规定了能够抵抗各种威胁、保护卡持有人敏感数据的安全等级。PCI PTS并不提供相应的解决方案,需要制造商想方设法满足这些条件的要求。PCI PTS 3.1已于2012年3月替代PCI PED 2.1标准,随着安全等级不断提升,终端厂商将面临更加严峻的设计挑战。
PCI PTS 3.x
PCI对支付终端的安全要求发生了重要改进,加强了对最新攻击威胁的防御。另外,其新方案的提出也促进了模块化开发,用于简化生产。这一演变的标志是将PIN输入装置(PED)变更为POI装置,反映出使用端的变化。终端装置与之前一样需要执行金融交易,但现在需要执行更多任务,新需求也说明生产厂商已经考虑了PCI SSC这种扩展能力。
从整个过程看,认证过程已经简化为对包含所有类型装置(POS、EPP、自动售货机、售货亭)的一次性评估,分为两个强制评估模块:设备的核心要求和集成要求。另外还有两个新的评估模块供厂商选择。
为确保安全性,根据现场反馈对具体要求进行了少许修改和加强。一些关键要求已经使其攻击值从1点增加到2点,尤其是与物理攻击(键盘、磁条和卡槽)相关的攻击。攻击成本值介于16至35 (PCI PED 2.1标准下为14至35)。此外,现在通过指定请求的规则更严格。较早的标准只要求攻击准备和攻击开发值之和等于一个最小值;现在,攻击开发值本身必须具有一个最小值(攻击准备为识别阶段,攻击者在此期间研究问题、设计方法,以及测试设备。在开发阶段,攻击者进入公共场所,并实际进行数据盗取)。
其它新要求明确针对新POI架构和服务。举例说明,要求B17考虑在同一终端上运行多项应用的情况,这完全反应了现代终端的软件架构。另一个例子是新可选评估模块的创建:开发协议(Open Protocol)模块处理开放/公共网络上的安全问题,通常解决来自于通过IP连接的终端安全事项,类似于PC日常面临的攻击威胁。安全读取与数据交换(SRED)模块规定对终端内持卡人账户数据的保护要求。表1列出了大多数关键的安全要求,以及对设计高效率、高性价比终端的功能性要求。
控制安全方案的成本
终端厂商为了满足严格的安全标准,在设计功能强大、外观时尚的POI设备时面临巨大挑战。终端厂商自己开发并维护安全设备可能付出巨额代价,因为这将要求终端厂商专门建立一支专家团队,从而占据相当大的R&D资源。这也成为新生力量进入安全市场的巨大障碍,但它并不代表现有厂商拥有多么明显的竞争优势,毕竟支付终端的所有安全认证条件都是强制性规定。
标准化为专业厂商的安全模块创造了巨大商机。由于认证标准是统一的,终端厂商可以选择商用化的安全方案以满足安全认证标准的要求。与自主开发安全方案相比,这些模块化设计具有几项显著优势。
它们能够减轻终端制造商的设计负担,只需关注系统增值功能。安全性虽然不是设备的特殊功能,但却是对终端产品最基本的标准化要求。通过与安全产品供应商合作,终端厂商能够将主要精力放在金融终端市场的增值服务上。
高性价比设计允许开发更加复杂的安全机制。由于多个用户共同分摊R&D成本,使得高科技开发资源不会形成一家独占的局面。随着对安全产品复杂性要求的提高,这些降低设计成本的因素也愈加重要。由此可见,金融终端市场也依赖于能够提出有效应对措施、专业的安全产品供应商。
利用获得批准的模块降低风险、加速POI认证。对商用化方案进行安全评估并获得PCI PTS批复,模块供应商能够降低终端设计人员的开发风险。从而简化安全系统集成,加快通过终端认证的步伐。
MAXQ1850中文资料,pdf datasheet:http://www.elecfans.com/soft/78/223/2009/2009061932097.html安全架构综述
目前,市场上的支付终端主要采用三种不同类型的架构,以不同形式提供安全接入服务,资产保护和其它功能集成在终端内,表1列出了相关需求。
安全管理器
最通用的架构之一是采用安全管理器,为通用微控制器(μp;C)增添安全功能。安全管理器能够有效保护敏感凭证、侦测物力或环境篡改事件(例如:改变温度或电压)。外部传感器输入允许连接安全防护罩、PCB防护网和篡改传感器(图1)。
图1. 基于安全管理器IC的支付终端
Maxim的DS3600等安全管理器引入了受专利保护的无痕迹存储器架构,利用片上NV SRAM存储加密密钥。电池备份存储器能够消除氧化应力在存储器留下的痕迹,防止对受应力作用的存储器单元的残余数据进行无源侦测。一旦检测到入侵操作,将立即、彻底地擦除NV SRAM的内容。这些安全管理器还提供随机数发生器等其它安全服务,通过通用微控制器(μC)进行系统维护和运行控制,包括加密服务和敏感接口控制。
双芯片架构(双控制器)
第二种方案是采用通用μC和安全配套芯片把计算与安全功能分隔开(图2)。通用μC执行所有与安全性无关的任务,而安全协处理器包含了另一μC,作为报警系统执行加密计算、控制敏感接口。
图2. 由通用μC和专用安全μC构成的双芯片架构
通过专用的控制接口连接两个μC,以避免敏感信息的泄漏。这种架构非常适合现代POI设计,这类产品大多在商用化方案的基础上使设计满足PCI PTS要求。终端设计人员可以选择通用μC单独完成系统的功能性、连通性任务以及计算功能;安全μC则用于处理所有安全保护操作,例如:PIN和密钥管理、电池备份存储器、篡改侦测、加密计算等。这款μC的选择只需要单纯考虑如何满足PCI PTS安全性认证的要求,因此可以选择预先通过认证的商用化解决方案。
安全配套芯片
MAXQ1850即为该系列产品的代表器件,这款32位安全μC设计用作任何通用μC的配套芯片。按照芯片安全评估报告的陈述,MAXQ1850能够满足最严格的PCI PTS标准要求:
连接到电池备份存储器的篡改响应传感器提供物力篡改保护,一旦检测到篡改事件立即执行擦除操作
强大的保护功能能够在发生故障和环境干扰(脉冲干扰、极端温度等)状况下提供可靠保护
嵌入式存储器用来保存敏感资源(例如:密钥和固件)
裸片防护网用于保护嵌入式存储器
安全加密功能支持所有算法(旁道攻击对策)
高度安全的随机数发生器用于产生密钥
直接控制敏感外设(例如:智能卡、键盘和显示器)
表1列出了MAXQ1850所满足的关键安全特性和设计要求,其高性能RISC核、较少的引脚数量以及所集成的关键电路使其非常适合POI系统设计,其中包括超小尺寸的便携设备。从图2可以看出,采用双芯片架构,MAXQ1850能够有效简化POI设计。
智能卡接口的I/O选择机制允许通过一个接口管理双卡,通过SPI™接口控制智能卡接口芯片(DS8024)。
利用GPIO作为片选,智能卡接口和LCD可以共用SPI端口。
级联MAX7317 SPI至GPIO转换器,简化GPIO/SPI端口的配置管理,用于访问并行外设。
USB链路连接安全μC和通用μC,通过安全应用编程接口API连接。 |
|
|
|
|
|