基于MAXQ1850的雙芯片架構的支付終端設計

　　第三種方法，也是隨著(zhù)PCI PED認證的普及而被廣泛用于安全金融終端的方法，即選擇融合高集成度、高性能μC的單芯片架構(圖3)。與通用微控制器一樣，這些μC采用了最新的半導體制造工藝;具有多種通信接口，例如USB、SPI和智能卡;并且支持功能豐富的操作系統，例如Linux? OS。這些微控制器嵌入了高速現代處理器，能夠管理大容量外部存儲器，例如NOR和NAND閃存，以及各種各樣的RAM。

　　圖3. 大多數小尺寸終端架構采用的單片μC包括了所有必要的安全功能。

　　與安全管理器一樣，這些器件嵌入了安全NV SRAM和篡改/監測傳感器。與配套芯片一樣，這些器件運行安全加密算法，例如3DES、AES和RSA，抵御功率差分析(DPA)和簡(jiǎn)單的功率分析(SPA)。高集成度設計在安全保護能力和材料清單(BOM)均具備強大優(yōu)勢。

　　安全機制集成在硅片內，能夠對其進(jìn)行攻擊手段將非常復雜。集成保證了啟動(dòng)的完整信任鏈，也適用于處理緊急事件和報警—報警信號不會(huì )被切斷。由于電路功能已經(jīng)集成在一個(gè)芯片中，所以降低了鏈路缺陷造成的不良風(fēng)險。使用集成的外部存儲器加密引擎時(shí)，無(wú)需額外的安全防護。

　　這種高集成度設計也有益于軟件的安全保護，因為安全機制依賴(lài)于強大的硬件功能和標準化機制，例如，存儲器管理單元(MMU)。注意，在單芯片方案中由軟件區分敏感數據和非敏感數據，雙芯片架構中則由硬件電路實(shí)現。軟件以三種形式劃分數據的安全等級，各有優(yōu)缺點(diǎn)。第一種方法是采用“管理程序”，將敏感和非敏感數據分配到獨立的存儲單元;第二種方法則利用操作系統，例如Linux，直接進(jìn)行劃分;第三種方法利用Java?軟件或Java類(lèi)虛擬器處理獨立的安全程序。

　　多合一集成減少了所需的芯片數量，縮小PCB面積，允許使用更靈活的外形規格，從而簡(jiǎn)化了終端設計。另外，由于只需要單個(gè)工具鏈、僅支持一個(gè)μC核，有助于加快開(kāi)發(fā)進(jìn)程。Maxim提供各種高集成度、16至32位安全μC，工作速率高達200MHz。

　　選擇安全μC時(shí)，應該選擇能提供PCI PTS實(shí)驗室出具的安全評估報告的微控制器。該報告證明經(jīng)過(guò)了完整實(shí)驗室測試，測試結論表明了芯片廠(chǎng)家的專(zhuān)業(yè)水平，以及安全芯片所能達到的水平。第二項考慮是終端設計的難易程度。簡(jiǎn)單程度既依賴(lài)于μC特性，又依賴(lài)于廠(chǎng)家支持團隊的力量。您應該尋求集成了關(guān)鍵功能的μC，例如存儲器、時(shí)間記錄和防篡改監測，因為這種高集成度簡(jiǎn)化了PCB布線(xiàn)，以更小尺寸支持關(guān)鍵的安全特性。Maxim加入了PCI SSC組織，并堅持以最先進(jìn)的安全μC服務(wù)于PCI SSC市場(chǎng)。

　　采用ARM926?內核的高性能、32位安全微控制器MAX32590 (“JIBE”)就是一款這樣的μC。器件的低功耗特性能夠在400MHz時(shí)提供卓越的性能。安全特性包括：具有瞬間擦除能力的2KB安全存儲器、安全實(shí)時(shí)時(shí)鐘(RTC)、以及檢測任何入侵的內部環(huán)境動(dòng)態(tài)監測傳感器。易失和非易失外部存儲器(如：NAND、NOR和LPDDR)由新一代強大的AES-128加密/數據完整性驗證功能完全保護。所提供的配套軟件包括：預認證POI參考設計、安全Linux OS、加密庫、EMV L1庫和PCI PTS幫助工具。

　　通過(guò)PCI PTS 3.x認證的參考設計

　　Maxim的參考設計(USIPOS)能夠幫助構建高度可靠的終端產(chǎn)品，確保通過(guò)PCI評估。通過(guò)PCI PTS 3.x測試的參考設計為您的終端提供最便捷的渠道，使其順利通過(guò)認證。USIPOS參考設計的關(guān)鍵特性包括：無(wú)網(wǎng)格架構、獲得PCI PTS 3.x批準，提供經(jīng)過(guò)優(yōu)化的硬件BOM、安全的Linux OS和EMV L1及加密庫文件和硬件/軟件設計指南。從Maxim的設計方案、電路布局和BOM入手，定制設計并集成到您的設備中，從而以最低的風(fēng)險和成本將您的產(chǎn)品快速推向市場(chǎng)。

　　安全島

　　除安全芯片及其管理的資產(chǎn)外，其它資產(chǎn)，例如PIN，也是攻擊目標。作為預防措施，利用安全芯片外部的傳感器提供保護，防止對終端設備的物理篡改。由此構建的安全機制既高效，又容易集成，并且任何報警都會(huì )立即觸發(fā)擦除安全存儲器。這些傳感器往往監測的是片外環(huán)境，監測電路可以很好地保證其它物理區域的安全—例如，PIN所處的區域。最后，終端制造商必須具備足夠的技能和知識，正確管理報警檢測機制。由安全芯片管理報警的傳播和相應的操作。

　　對于PIN和持卡人賬戶(hù)數據等文本數據可通過(guò)鍵盤(pán)、磁條和智能卡獲取。因此，除了安全芯片本身采取措施外，這三個(gè)區域都需要各自的安全保護措施。資產(chǎn)管理數據只能暴露在這些設施以?xún)?，這也是我們稱(chēng)其為“安全島”的原因(圖4)。

　　圖4. 支付終端中，由安全μC控制的傳感器保護"安全島"

　　基于商用化安全芯片的設計思路，有些廠(chǎng)商建議此類(lèi)安全區域也采用商用化設計方案。最完備的解決方案是集成安全智能卡槽，例如CK安全智能卡槽和磁條加密頭，例如磁阻芯片組。這些產(chǎn)品與上述安全芯片具有相同優(yōu)勢—集成化設計，安全性高，降低風(fēng)險和成本。

商用化終極方案

　　將上述商用化安全措施完全集成到單個(gè)參考設計中將對該行業(yè)的發(fā)展做出重大貢獻—有助于簡(jiǎn)化終端制造商的產(chǎn)品開(kāi)發(fā)、認證和生產(chǎn)(圖5)。安全是制造商面臨的主要問(wèn)題，所以評估參考設計會(huì )增強其信心，節省資源，并降低了開(kāi)發(fā)風(fēng)險。它還以高效、高性?xún)r(jià)比設計兼容大多數苛刻的安全要求(PCI PTS)。

　　圖5. JIBEPOS參考設計框圖，包括所提供的各種功能

　　軟件和應用

　　終端由硬件組成，但相關(guān)軟件(不僅限于PIN輸入操作)在近幾年已經(jīng)擴展到各種應用服務(wù)。有些設備提供忠誠度測試及其它相關(guān)業(yè)務(wù)的應用，復雜的軟件架構也是圖形界面、多接口(以太網(wǎng)、USB、GPRS連接)、EMV支持以及非接觸卡不可缺少的工具。強大的安全防護措施使得軟件設計更加復雜：終端設計必須極具吸引力，而安全應用決不允許泄露敏感數據，操作系統必須支持應用之間的通信，加密服務(wù)不得泄露密匙。商用化軟件還能夠為終端帶來(lái)眾多利益，包括節省開(kāi)發(fā)時(shí)間和幫助最終產(chǎn)品通過(guò)認證。

　　作為一個(gè)示例，Maxim提議的安全Linux操作系統可用于USIP和JIBE平臺，完全滿(mǎn)足PCI PTS安全軟件要求，簡(jiǎn)化開(kāi)發(fā)過(guò)程并降低制造商的認證風(fēng)險?？梢垣@取完整的Linux版本，還有助于改善終端開(kāi)發(fā)，包括圖形界面、外設驅動(dòng)和通信棧。

　　結論

　　以上討論的三種架構都可以構建強大的支付終端，提供高度可靠的安全性。本文涉及的IC均為經(jīng)過(guò)驗證的商用化器件，可提高安全性，方便集成，并降低功耗。