設(shè)計(jì)下一代滿足PCI PTS 3.0標(biāo)準(zhǔn)的支付終端

摘要：金融終端已經(jīng)成為支付產(chǎn)品公司提供的一種新型交付服務(wù)手段。金融終端不再限于簡(jiǎn)單的讀卡機(jī)，而是逐步成為能夠處理交易、管理庫存、操作商業(yè)運(yùn)營的復(fù)雜計(jì)算設(shè)備。這一角色轉(zhuǎn)變的顯著標(biāo)志是針對(duì)終端定義的一個(gè)新術(shù)語：從銷售終端（POS）設(shè)備更改為交互終端（POI）系統(tǒng)。POI系統(tǒng)必須具備快速通信能力，使用更加便捷（例如，可以連接USB、以太網(wǎng)、WiFi或Bluetooth），支持多應(yīng)用的相互協(xié)調(diào)并可處理復(fù)雜的卡交易（支付卡、忠誠卡等）。

關(guān)鍵詞：PCI PTS 3.0；MAXQ1850；雙芯片；金融終端；安全認(rèn)證

DOI: 10.3969/j.issn.1005-5517.2012.4.016

終端安全性

POI與消費(fèi)類(CE）設(shè)備的主要差別在于安全性。EMV卡的全球化開發(fā)意味著系統(tǒng)所要面臨的威脅也是全球性的。由業(yè)內(nèi)重要的支付產(chǎn)品公司聯(lián)手創(chuàng)立的支付卡產(chǎn)業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC）——包括美國的Express、JCB、MasterCard和Visa——旨在規(guī)范整個(gè)產(chǎn)業(yè)的安全標(biāo)準(zhǔn)。PCI PTS 3.0已于2011年4月替代PCI PED 2.1標(biāo)準(zhǔn)，隨著安全等級(jí)不斷提升，終端廠商將面臨更加嚴(yán)峻的設(shè)計(jì)挑戰(zhàn)。

安全架構(gòu)綜述

目前，市場(chǎng)上的支付終端主要采用三種不同類型的架構(gòu)。

安全管理器

最通用的架構(gòu)之一是采用安全管理器，為通用微控制器(μC）增添安全功能。安全管理器能夠有效保護(hù)敏感憑證、偵測(cè)物力或環(huán)境篡改事件(例如：改變溫度或電壓）。外部傳感器輸入允許連接安全防護(hù)罩、PCB防護(hù)網(wǎng)和篡改傳感器(圖1）。

Maxim的DS3600等安全管理器引入了受專利保護(hù)的無痕跡存儲(chǔ)器架構(gòu)，利用片上NV SRAM存儲(chǔ)加密密鑰。電池備份存儲(chǔ)器能夠消除氧化應(yīng)力在存儲(chǔ)器留下的痕跡，防止對(duì)受應(yīng)力作用的存儲(chǔ)器單元的殘余數(shù)據(jù)進(jìn)行無源偵測(cè)。一旦檢測(cè)到入侵操作，將立即、徹底地擦除NV SRM的內(nèi)容。這些安全管理器還提供隨機(jī)數(shù)發(fā)生器等其它安全服務(wù)，通過通用微控制器(μC）進(jìn)行系統(tǒng)維護(hù)和運(yùn)行控制，包括加密服務(wù)和敏感接口控制。

雙芯片架構(gòu)(雙控制器）

第二種方案是采用通用μC和安全配套芯片把計(jì)算與安全功能分隔開(圖2）。通用μC執(zhí)行所有與安全性無關(guān)的任務(wù)，而安全協(xié)處理器包含了另一μC，作為報(bào)警系統(tǒng)執(zhí)行加密計(jì)算、控制敏感接口。

通過專用的控制接口連接兩個(gè)μC，以避免敏感信息的泄漏。這種架構(gòu)非常適合現(xiàn)代POI設(shè)計(jì)，這類產(chǎn)品大多在商用化方案的基礎(chǔ)上使設(shè)計(jì)滿足PCI PTS要求。終端設(shè)計(jì)人員可以選擇通用μC單獨(dú)完成系統(tǒng)的功能性、連通性任務(wù)以及計(jì)算功能；安全μC則用于處理所有安全保護(hù)操作，例如：PIN和密鑰管理、電池備份存儲(chǔ)器、篡改偵測(cè)、加密計(jì)算等。這款μC的選擇只需要單純考慮如何滿足PCI PTS安全性認(rèn)證的要求，因此可以選擇預(yù)先通過認(rèn)證的商用化解決方案。

圖3 大多數(shù)小尺寸終端架構(gòu)采用的單片μC包括了所有必要的安全功能。

圖4 支付終端中，由安全μC控制的傳感器保護(hù)\"安全島\"

安全配套芯片

MAXQ1850即為該系列產(chǎn)品的代表器件，這款32位安全μC設(shè)計(jì)用作任何通用μC的配套芯片。按照芯片安全評(píng)估報(bào)告的陳述，MAXQ1850能夠滿足最嚴(yán)格的PCI PTS標(biāo)準(zhǔn)要求：

連接到電池備份存儲(chǔ)器的篡改響應(yīng)傳感器提供物力篡改保護(hù)，一旦檢測(cè)到篡改事件立即執(zhí)行擦除操作

強(qiáng)大的保護(hù)功能能夠在發(fā)生故障和環(huán)境干擾(脈沖干擾、極端溫度等）狀況下提供可靠保護(hù)

嵌入式存儲(chǔ)器用來保存敏感資源(例如：密鑰和固件）

裸片防護(hù)網(wǎng)用于保護(hù)嵌入式存儲(chǔ)器

安全加密功能支持所有算法(旁道攻擊對(duì)策）

高度安全的隨機(jī)數(shù)發(fā)生器用于產(chǎn)生密鑰

直接控制敏感外設(shè)(例如：智能卡、鍵盤和顯示器）

以上列出了MAXQ1850所滿足的關(guān)鍵安全特性和設(shè)計(jì)要求，其高性能RISC核、較少的引腳數(shù)量以及所集成的關(guān)鍵電路使其非常適合POI系統(tǒng)設(shè)計(jì)，其中包括超小尺寸的便攜設(shè)備。從圖2可以看出，采用雙芯片架構(gòu)，MAXQ1850能夠有效簡(jiǎn)化POI設(shè)計(jì)。

智能卡接口的I/O選擇機(jī)制允許通過一個(gè)接口管理雙卡，通過SPI?接口控制智能卡接口芯片(DS8024）。

利用GPIO作為片選，智能卡接口和LCD可以共用SPI端口。

級(jí)聯(lián)MAX7317 SPI至GPIO轉(zhuǎn)換器，簡(jiǎn)化GPIO/SPI端口的配置管理，用于訪問并行外設(shè)。

USB鏈路連接安全μC和通用μC，通過安全應(yīng)用編程接口API連接。

集成的安全μC

第三種方法，也是隨著PCI PED認(rèn)證的普及而被廣泛用于安全金融終端的方法，即選擇融合高集成度、高性能μC的單芯片架構(gòu)(圖3）。與通用微控制器一樣，這些μC采用了最新的半導(dǎo)體制造工藝；具有多種通信接口，例如USB、SPI和智能卡；并且支持功能豐富的操作系統(tǒng)，例如Linux? OS。這些微控制器嵌入了高速現(xiàn)代處理器，能夠管理大容量外部存儲(chǔ)器，例如NOR和NAND閃存，以及各種各樣的RM。

與安全管理器一樣，這些器件嵌入了安全NV SRAM和篡改/監(jiān)測(cè)傳感器。與配套芯片一樣，這些器件運(yùn)行安全加密算法，例如3DES、AES和RSA，抵御功率差分析(DPA）和簡(jiǎn)單的功率分析(SPA）。高集成度設(shè)計(jì)在安全保護(hù)能力和材料清單(BOM）均具備強(qiáng)大優(yōu)勢(shì)。

安全機(jī)制集成在硅片內(nèi)，能夠?qū)ζ溥M(jìn)行攻擊的手段將非常復(fù)雜。集成保證了啟動(dòng)的完整信任鏈，也適用于處理緊急事件和報(bào)警——報(bào)警信號(hào)不會(huì)被切斷。由于電路功能已經(jīng)集成在一個(gè)芯片中，所以降低了鏈路缺陷造成的不良風(fēng)險(xiǎn)。使用集成的外部存儲(chǔ)器加密引擎時(shí)，無需額外的安全防護(hù)。

圖5 USIPOS參考設(shè)計(jì)框圖，包括所提供的各種功能

這種高集成度設(shè)計(jì)也有益于軟件的安全保護(hù)，因?yàn)榘踩珯C(jī)制依賴于強(qiáng)大的硬件功能和標(biāo)準(zhǔn)化機(jī)制，例如，存儲(chǔ)器管理單元(MMU）。注意，在單芯片方案中由軟件區(qū)分敏感數(shù)據(jù)和非敏感數(shù)據(jù)，雙芯片架構(gòu)中則由硬件電路實(shí)現(xiàn)。軟件以三種形式劃分?jǐn)?shù)據(jù)的安全等級(jí)，各有優(yōu)缺點(diǎn)。第一種方法是采用“管理程序”，將敏感和非敏感數(shù)據(jù)分配到獨(dú)立的存儲(chǔ)單元；第二種方法則利用操作系統(tǒng)，例如Linux，直接進(jìn)行劃分；第三種方法利用Java?軟件或Java類虛擬器處理獨(dú)立的安全程序。

多合一集成減少了所需的芯片數(shù)量，縮小PCB面積，允許使用更靈活的外形規(guī)格，從而簡(jiǎn)化了終端設(shè)計(jì)。另外，由于只需要單個(gè)工具鏈、僅支持一個(gè)μC核，有助于加快開發(fā)進(jìn)程。Maxim提供各種高集成度、16至32位安全μC，工作速率高達(dá)200MHz。

選擇安全μC時(shí)，應(yīng)該選擇能提供PCI PTS實(shí)驗(yàn)室出具的安全評(píng)估報(bào)告的微控制器。該報(bào)告證明經(jīng)過了完整實(shí)驗(yàn)室測(cè)試，測(cè)試結(jié)論表明了芯片廠家的專業(yè)水平，以及安全芯片所能達(dá)到的水平。第二項(xiàng)考慮是終端設(shè)計(jì)的難易程度。簡(jiǎn)單程度既依賴于μC特性，又依賴于廠家支持團(tuán)隊(duì)的力量。您應(yīng)該尋求集成了關(guān)鍵功能的μC，例如存儲(chǔ)器、時(shí)間記錄和防篡改監(jiān)測(cè)，因?yàn)檫@種高集成度簡(jiǎn)化了PCB布線，以更小尺寸支持關(guān)鍵的安全特性。Maxim加入了PCI SSC組織，并堅(jiān)持以最先進(jìn)的安全μC服務(wù)于PCI SSC市場(chǎng)。

Maxim的USIP? Professional (USIP PRO）高性能32位μC就是一款這樣的安全器件，為新一代高可信度器件提供互操作能力以及高度安全、高性價(jià)比環(huán)境。USIP PRO平臺(tái)完全符合EMV?和PCI PED標(biāo)準(zhǔn)，基于MIPS技術(shù)最安全的32位RISC數(shù)據(jù)核(MIPS32? 4KSd?核）。這種低功耗處理器核提供了卓越的性能(1.35MIPS/MHz），同時(shí)增加了專用指令，通過加速加密運(yùn)算、增強(qiáng)安全功能，提高了系統(tǒng)完整性。這些安全功能包括：具有瞬間擦除能力的安全存儲(chǔ)器、安全實(shí)時(shí)時(shí)鐘(RTC），以及檢測(cè)任何入侵的內(nèi)部環(huán)境監(jiān)測(cè)傳感器。外部存儲(chǔ)器由擁有專利的AES-128加密/解密引擎完全保護(hù)。借助完備的USIP PRO相關(guān)軟件和硬件，可有效縮短PCI PTS認(rèn)證時(shí)間。包括預(yù)認(rèn)證POI參考設(shè)計(jì)、Linux OS、加密庫、EMV L1庫、生產(chǎn)編程工具和PCI PTS幫助工具。

通過PCI PTS 3.0認(rèn)證的參考設(shè)計(jì)

Maxim的參考設(shè)計(jì)(USIPOS）能夠幫助構(gòu)建高度可靠的終端產(chǎn)品，確保通過PCI評(píng)估。通過PCI PTS 3.0測(cè)試的參考設(shè)計(jì)為您的終端提供最便捷的渠道，使其順利通過認(rèn)證。USIPOS參考設(shè)計(jì)的關(guān)鍵特性包括：無網(wǎng)格架構(gòu)、獲得PCI PTS 3.0批準(zhǔn)，提供經(jīng)過優(yōu)化的硬件BOM、安全的Linux OS和EMV L1及加密庫文件和硬件/軟件設(shè)計(jì)指南。從Maxim的設(shè)計(jì)方案、電路布局和BOM入手，定制設(shè)計(jì)并集成到您的設(shè)備中，從而以最低的風(fēng)險(xiǎn)和成本將您的產(chǎn)品快速推向市場(chǎng)。

安全島

除安全芯片及其管理的資產(chǎn)外，其它資產(chǎn)，例如PIN，也是攻擊目標(biāo)。作為預(yù)防措施，利用安全芯片外部的傳感器提供保護(hù)，防止對(duì)終端設(shè)備的物理篡改。由此構(gòu)建的安全機(jī)制既高效，又容易集成，并且任何報(bào)警都會(huì)立即觸發(fā)擦除安全存儲(chǔ)器。這些傳感器往往監(jiān)測(cè)的是片外環(huán)境，監(jiān)測(cè)電路可以很好地保證其它物理區(qū)域的安全——例如，PIN所處的區(qū)域。最后，終端制造商必須具備足夠的技能和知識(shí)，正確管理報(bào)警檢測(cè)機(jī)制。由安全芯片管理報(bào)警的傳播和相應(yīng)的操作。

對(duì)于PIN和持卡人賬戶數(shù)據(jù)等文本數(shù)據(jù)可通過鍵盤、磁條和智能卡獲取。因此，除了安全芯片本身采取措施外，這三個(gè)區(qū)域都需要各自的安全保護(hù)措施。資產(chǎn)管理數(shù)據(jù)只能暴露在這些設(shè)施以內(nèi)，這也是我們稱其為“安全島”的原因(圖4）。

基于商用化安全芯片的設(shè)計(jì)思路，有些廠商建議此類安全區(qū)域也采用商用化設(shè)計(jì)方案。最完備的解決方案是集成安全智能卡槽，例如CK安全智能卡槽和磁條加密頭，例如磁阻芯片組。這些產(chǎn)品與上述安全芯片具有相同優(yōu)勢(shì)——集成化設(shè)計(jì)，安全性高，降低風(fēng)險(xiǎn)和成本。

商用化終極方案

將上述商用化安全措施完全集成到單個(gè)參考設(shè)計(jì)中將對(duì)該行業(yè)的發(fā)展做出重大貢獻(xiàn)——有助于簡(jiǎn)化終端制造商的產(chǎn)品開發(fā)、認(rèn)證和生產(chǎn)(圖5）。安全是制造商面臨的主要問題，所以評(píng)估參考設(shè)計(jì)會(huì)增強(qiáng)其信心，節(jié)省資源，并降低了開發(fā)風(fēng)險(xiǎn)。它還以高效、高性價(jià)比設(shè)計(jì)兼容大多數(shù)苛刻的安全要求(PCI PTS)。

軟件和應(yīng)用

終端由硬件組成，但相關(guān)軟件(不僅限于PIN輸入操作)在近幾年已經(jīng)擴(kuò)展到各種應(yīng)用服務(wù)。有些設(shè)備提供忠誠度測(cè)試及其它相關(guān)業(yè)務(wù)的應(yīng)用，復(fù)雜的軟件架構(gòu)也是圖形界面、多接口(以太網(wǎng)、USB、GPRS連接）、EMV支持以及非接觸卡不可缺少的工具。強(qiáng)大的安全防護(hù)措施使得軟件設(shè)計(jì)更加復(fù)雜：終端設(shè)計(jì)必須極具吸引力，而安全應(yīng)用決不允許泄露敏感數(shù)據(jù)，操作系統(tǒng)必須支持應(yīng)用之間的通信，加密服務(wù)不得泄露密匙。商用化軟件還能夠?yàn)榻K端帶來眾多利益，包括節(jié)省開發(fā)時(shí)間和幫助最終產(chǎn)品通過認(rèn)證。

作為一個(gè)示例，Maxim提議的安全Linux操作系統(tǒng)可用于USIP PRO平臺(tái)，完全滿足PCI PTS安全軟件要求，簡(jiǎn)化開發(fā)過程并降低制造商的認(rèn)證風(fēng)險(xiǎn)。可以獲取完整的Linux版本，還有助于改善終端開發(fā)，包括圖形界面、外設(shè)驅(qū)動(dòng)和通信棧。

結(jié)論

以上討論的三種架構(gòu)都可以構(gòu)建強(qiáng)大的支付終端，提供高度可靠的安全性。本文涉及的IC均為經(jīng)過驗(yàn)證的商用化器件，可提高安全性，方便集成，并降低功耗。無論是直接設(shè)計(jì)，還是與商用化安全島配合使用，或者完全嵌入安全、經(jīng)過驗(yàn)證的參考設(shè)計(jì)，這些IC均可加快產(chǎn)品的上市時(shí)間，降低風(fēng)險(xiǎn)。制造商可采用更多軟件完善終端設(shè)計(jì)，幫助他們節(jié)省時(shí)間，使其能夠?qū)Ｗ⒂谧陨砗诵募夹g(shù)的開發(fā)。

參考文獻(xiàn)：

[1] Financial Terminals Product Guide[DB].Maxim Integrated Products

[2] MAXQ1850數(shù)據(jù)資料[DB].Maxim Integrated Products

[3] Product Reliability Report for MAXQ1850[R].Maxim Integrated Products，2010-02-09

[4] USIP數(shù)據(jù)資料[DB].Maxim Integrated Products

[5] Point of Interaction (POI) Modular Security Requirements v3.1 [S]. PCI Security Standards Council，2011