基于MAXQ1850的雙芯片架構的支付終端

本應用筆記利用基于MAXQ1850的雙芯片架構的優(yōu)勢，探討了高度安全的支付終端設計，分析了生產(chǎn)廠(chǎng)商在面臨PCI-PED PTS產(chǎn)品認證時(shí)的弱點(diǎn)。

新終端、新趨勢

金融終端已經(jīng)成為支付產(chǎn)品公司提供的一種新型交付服務(wù)手段。金融終端不再限于簡(jiǎn)單的讀卡機，而是逐步成為能夠處理交易、管理庫存、操作商業(yè)運營(yíng)的復雜計算設備。這一角色轉變的顯著(zhù)標志是針對終端定義的一個(gè)新術(shù)語(yǔ)：從銷(xiāo)售終端(POS)設備更改為交互終端(POI)系統。POI系統必須具備快速通信能力，使用更加便捷(例如，可以連接USB、以太網(wǎng)、WiFi®或Bluetooth®)，支持多應用的相互協(xié)調并可處理復雜的卡交易(支付卡、忠誠卡等)。

另外，使用條件也發(fā)生了變化。有時(shí)，POI必須工作在潮濕環(huán)境、室外或室內。這些設備多數情況下要求采用人性化便攜式設計，并滿(mǎn)足經(jīng)銷(xiāo)商對時(shí)尚外觀(guān)的需求。由于相關(guān)技術(shù)的融合與重復利用，使得終端產(chǎn)品隨處可見(jiàn)，例如：智能電話(huà)、筆記本電腦、游戲機控制臺等?，F代POI設備引入了類(lèi)似的美學(xué)設計，采用色彩豐富的顯示技術(shù)、復雜的觸摸屏接口并提供便利的連通性，可以方便地集成到信息系統內。硬件技術(shù)的深入開(kāi)發(fā)也帶動(dòng)了軟件設計的重復利用，從商用化操作系統到軟件棧，可以直接提取硬件電路?？偠灾?，軟件的重復利用有助于加快開(kāi)發(fā)速度、降低產(chǎn)品失效風(fēng)險，以更低的RD成本將產(chǎn)品快速推向市場(chǎng)。

終端安全性

POI與消費類(lèi)(CE)設備的主要差別在于安全性。EMV卡的全球化開(kāi)發(fā)意味著(zhù)系統所要面臨的威脅也是全球性的。如不采取適當對策，則有可能在瞬間遭受來(lái)自世界不同區域的攻擊。另一方面，由于高投資(開(kāi)發(fā)工具、時(shí)間等花費)帶來(lái)的巨額回報，犯罪團伙會(huì )不惜代價(jià)地實(shí)施攻擊行為，由此可見(jiàn)，設備安全性的最大威脅來(lái)自于這些犯罪團伙。

當前金融終端的互操作性、通信接口以及高級服務(wù)都已成為攻擊者的“敲門(mén)磚”。由業(yè)內重要的支付產(chǎn)品公司聯(lián)手創(chuàng )立的支付卡產(chǎn)業(yè)安全標準委員會(huì )(PCI SSC)—包括美國的Express、JCB、MasterCard和Visa—旨在規范整個(gè)產(chǎn)業(yè)的安全標準。

PCI SSC開(kāi)發(fā)的PCI PIN交易安全(PCI PTS)標準定義了金融終端安全性的要求。前期的PCI PIN輸入設備(PCI PED)標準(PCI PTS)主要關(guān)注應對物力和邏輯攻擊，這些攻擊行為試圖從POI提取PIN碼和加密密鑰。根據現場(chǎng)經(jīng)驗和試驗室研究，PCI PTS歸納了針對各種攻擊(物力篡改、環(huán)境更改、軟件接口攻擊、密碼分析破解攻擊、政策威脅)的安全防護機制。PCI PTS旨在保護終端內部或智能卡連接通道普通格式的PIN碼。

物理機制要求在入侵者打開(kāi)終端、插入PIN記錄裝置，防止數據在PIN輸入或發(fā)送端被捕獲，并可阻止對終端操作的修改。邏輯上需要防止入侵者修改讀卡器、控制終端的運行程序，從而達到他們恢復、記錄或發(fā)送PIN碼及其它敏感數據的目的。

其它要求包括磁條數據的有效保護。PCI PTS的每項要求對應于特定的攻擊類(lèi)別，與對抗等級有關(guān)，通常用16至35范圍的數字表示。為了達到設計目標，支付終端必須能夠將遭受篡改的風(fēng)險(所謂的篡改值)降至最低。

按照ITSEC聯(lián)合實(shí)驗室聲明(JIL)對智能卡的規定，攻擊值方案基于所了解的相關(guān)知識、攻擊持續時(shí)間、攻擊者的資源和專(zhuān)業(yè)技術(shù)。對每種抗攻擊能力劃分成幾個(gè)等級進(jìn)行評測，每個(gè)等級有相應的額定值?？紤]一種攻擊形式時(shí)，可以由衡量每種類(lèi)型的攻擊強度值的加和表示。例如，文件類(lèi)保護包括三個(gè)等級：公開(kāi)、受限、加密。如果一個(gè)受限文件受到攻擊，該等級的攻擊值(受限文件)需要增加到攻擊求和中。

抗攻擊能力評估需要在具備資質(zhì)的實(shí)驗室進(jìn)行，最終是否獲得批準的決定權由PCI PTS成員掌控。由于攻擊者可以接觸到支付終端設備，PCI PTS特別規定了能夠抵抗各種威脅、保護卡持有人敏感數據的安全等級。PCI PTS并不提供相應的解決方案，需要制造商想方設法滿(mǎn)足這些條件的要求。PCI PTS 3.1已于2012年3月替代PCI PED 2.1標準，隨著(zhù)安全等級不斷提升，終端廠(chǎng)商將面臨更加嚴峻的設計挑戰。

PCI PTS 3.x

PCI對支付終端的安全要求發(fā)生了重要改進(jìn)，加強了對最新攻擊威脅的防御。另外，其新方案的提出也促進(jìn)了模塊化開(kāi)發(fā)，用于簡(jiǎn)化生產(chǎn)。這一演變的標志是將PIN輸入裝置(PED)變更為POI裝置，反映出使用端的變化。終端裝置與之前一樣需要執行金融交易，但現在需要執行更多任務(wù)，新需求也說(shuō)明生產(chǎn)廠(chǎng)商已經(jīng)考慮了PCI SSC這種擴展能力。

從整個(gè)過(guò)程看，認證過(guò)程已經(jīng)簡(jiǎn)化為對包含所有類(lèi)型裝置(POS、EPP、自動(dòng)售貨機、售貨亭)的一次性評估，分為兩個(gè)強制評估模塊：設備的核心要求和集成要求。另外還有兩個(gè)新的評估模塊供廠(chǎng)商選擇。

為確保安全性，根據現場(chǎng)反饋對具體要求進(jìn)行了少許修改和加強。一些關(guān)鍵要求已經(jīng)使其攻擊值從1點(diǎn)增加到2點(diǎn)，尤其是與物理攻擊(鍵盤(pán)、磁條和卡槽)相關(guān)的攻擊。攻擊成本值介于16至35 (PCI PED 2.1標準下為14至35)。此外，現在通過(guò)指定請求的規則更嚴格。較早的標準只要求攻擊準備和攻擊開(kāi)發(fā)值之和等于一個(gè)最小值;現在，攻擊開(kāi)發(fā)值本身必須具有一個(gè)最小值(攻擊準備為識別階段，攻擊者在此期間研究問(wèn)題、設計方法，以及測試設備。在開(kāi)發(fā)階段，攻擊者進(jìn)入公共場(chǎng)所，并實(shí)際進(jìn)行數據盜取)。

其它新要求明確針對新POI架構和服務(wù)。舉例說(shuō)明，要求B17考慮在同一終端上運行多項應用的情況，這完全反應了現代終端的軟件架構。另一個(gè)例子是新可選評估模塊的創(chuàng )建：開(kāi)發(fā)協(xié)議(Open Protocol)模塊處理開(kāi)放/公共網(wǎng)絡(luò )上的安全問(wèn)題，通常解決來(lái)自于通過(guò)IP連接的終端安全事項，類(lèi)似于PC日常面臨的攻擊威脅。安全讀取與數據交換(SRED)模塊規定對終端內持卡人賬戶(hù)數據的保護要求。表1列出了大多數關(guān)鍵的安全要求，以及對設計高效率、高性?xún)r(jià)比終端的功能性要求。

控制安全方案的成本

終端廠(chǎng)商為了滿(mǎn)足嚴格的安全標準，在設計功能強大、外觀(guān)時(shí)尚的POI設備時(shí)面臨巨大挑戰。終端廠(chǎng)商自己開(kāi)發(fā)并維護安全設備可能付出巨額代價(jià)，因為這將要求終端廠(chǎng)商專(zhuān)門(mén)建立一支專(zhuān)家團隊，從而占據相當大的RD資源。這也成為新生力量進(jìn)入安全市場(chǎng)的巨大障礙，但它并不代表現有廠(chǎng)商擁有多么明顯的競爭優(yōu)勢，畢竟支付終端的所有安全認證條件都是強制性規定。

標準化為專(zhuān)業(yè)廠(chǎng)商的安全模塊創(chuàng )造了巨大商機。由于認證標準是統一的，終端廠(chǎng)商可以選擇商用化的安全方案以滿(mǎn)足安全認證標準的要求。與自主開(kāi)發(fā)安全方案相比，這些模塊化設計具有幾項顯著(zhù)優(yōu)勢。

它們能夠減輕終端制造商的設計負擔，只需關(guān)注系統增值功能。安全性雖然不是設備的特殊功能，但卻是對終端產(chǎn)品最基本的標準化要求。通過(guò)與安全產(chǎn)品供應商合作，終端廠(chǎng)商能夠將主要精力放在金融終端市場(chǎng)的增值服務(wù)上。

高性?xún)r(jià)比設計允許開(kāi)發(fā)更加復雜的安全機制。由于多個(gè)用戶(hù)共同分攤RD成本，使得高科技開(kāi)發(fā)資源不會(huì )形成一家獨占的局面。隨著(zhù)對安全產(chǎn)品復雜性要求的提高，這些降低設計成本的因素也愈加重要。由此可見(jiàn)，金融終端市場(chǎng)也依賴(lài)于能夠提出有效應對措施、專(zhuān)業(yè)的安全產(chǎn)品供應商。

利用獲得批準的模塊降低風(fēng)險、加速POI認證。對商用化方案進(jìn)行安全評估并獲得PCI PTS批復，模塊供應商能夠降低終端設計人員的開(kāi)發(fā)風(fēng)險。從而簡(jiǎn)化安全系統集成，加快通過(guò)終端認證的步伐。

安全架構綜述

目前，市場(chǎng)上的支付終端主要采用三種不同類(lèi)型的架構，以不同形式提供安全接入服務(wù)，資產(chǎn)保護和其它功能集成在終端內，表1列出了相關(guān)需求。

安全管理器

最通用的架構之一是采用安全管理器，為通用微控制器(µp;C)增添安全功能。安全管理器能夠有效保護敏感憑證、偵測物力或環(huán)境篡改事件(例如：改變溫度或電壓)。外部傳感器輸入允許連接安全防護罩、PCB防護網(wǎng)和篡改傳感器(圖1)。

圖1. 基于安全管理器IC的支付終端

Maxim的DS3600等安全管理器引入了受專(zhuān)利保護的無(wú)痕跡存儲器架構，利用片上NV SRAM存儲加密密鑰。電池備份存儲器能夠消除氧化應力在存儲器留下的痕跡，防止對受應力作用的存儲器單元的殘余數據進(jìn)行無(wú)源偵測。一旦檢測到入侵操作，將立即、徹底地擦除NV SRAM的內容。這些安全管理器還提供隨機數發(fā)生器等其它安全服務(wù)，通過(guò)通用微控制器(µC)進(jìn)行系統維護和運行控制，包括加密服務(wù)和敏感接口控制。

雙芯片架構(雙控制器)

第二種方案是采用通用µC和安全配套芯片把計算與安全功能分隔開(kāi)(圖2)。通用µC執行所有與安全性無(wú)關(guān)的任務(wù)，而安全協(xié)處理器包含了另一µC，作為報警系統執行加密計算、控制敏感接口。

圖2. 由通用µC和專(zhuān)用安全µC構成的雙芯片架構

通過(guò)專(zhuān)用的控制接口連接兩個(gè)µC，以避免敏感信息的泄漏。這種架構非常適合現代POI設計，這類(lèi)產(chǎn)品大多在商用化方案的基礎上使設計滿(mǎn)足PCI PTS要求。終端設計人員可以選擇通用µC單獨完成系統的功能性、連通性任務(wù)以及計算功能;安全µC則用于處理所有安全保護操作，例如：PIN和密鑰管理、電池備份存儲器、篡改偵測、加密計算等。這款μC的選擇只需要單純考慮如何滿(mǎn)足PCI PTS安全性認證的要求，因此可以選擇預先通過(guò)認證的商用化解決方案。

安全配套芯片

MAXQ1850即為該系列產(chǎn)品的代表器件，這款32位安全µC設計用作任何通用µC的配套芯片。按照芯片安全評估報告的陳述，MAXQ1850能夠滿(mǎn)足最嚴格的PCI PTS標準要求：

連接到電池備份存儲器的篡改響應傳感器提供物力篡改保護，一旦檢測到篡改事件立即執行擦除操作

強大的保護功能能夠在發(fā)生故障和環(huán)境干擾(脈沖干擾、極端溫度等)狀況下提供可靠保護

嵌入式存儲器用來(lái)保存敏感資源(例如：密鑰和固件)

裸片防護網(wǎng)用于保護嵌入式存儲器

安全加密功能支持所有算法(旁道攻擊對策)

高度安全的隨機數發(fā)生器用于產(chǎn)生密鑰

直接控制敏感外設(例如：智能卡、鍵盤(pán)和顯示器)