應用嵌入式芯片構建網絡安全設備的設計方案

　　另外，除了直接的加密保護之外，DS5250能將其安全保護延伸到整個系統。DS5250具有一個自毀輸入引腳，可以連到用戶定義的外部入侵傳感器上。激活后，這個引腳會導致擦除微控制器的內部加密密鑰和存儲器工作。這樣一來，加入安全協處理器可以使DS5250的入侵檢測能力擴展至通用處理器，從而當入侵或攻擊者企圖對通用處理器進行訪問時，可保證系統會不起作用。這就是簡單的自毀輸入設計，使得系統在對付增加入侵防護方面變得非常靈敏易用。

　　與此同時，為了增加保護功能可以使用如下多種傳感器：其一，光傳感器，當外殼打開時，殼體內的簡單光學傳感器能檢測到光，并觸發防入侵響應。其二，接觸傳感器，到當外殼打開時會切斷導電墨水引線的復雜設計。其三，運動／傾斜傳感器，它可檢測外殼運動是具有入侵或攻擊企圖。這就是說DS5250可支持多種外部入侵傳感器，以檢測所有穿透外殼并獲取信息的企圖。

　　金融終端網絡安全設備方案

　　下面我們對如何使用安全高速微控制器作為安全協處理器構建一個金融終端網絡安全設備構建做分析說明。

　　在一個中央操作系統的控制下，此應用驅動許多外圍設備。應用必須在一個加密通信信道上使用公開密鑰基礎設施(Pki)進行機密信息通信。此應用要求保護終端的私有密鑰、網絡上其它設備的公開密鑰，以及PIN碼和口令。

　　通用微控制器的主要功能是執行高級別的操作系統。該處理器實現的系統功能包括：復雜的圖形顯示，與外圍設備如掃描儀、打印機和鍵盤進行通信等。處理器和安全微控制器間使用通用的串行協議，如簡單(RX／TX)異步UART、SPI或SCI通信，這就大大減少了微控制器結構間的兼容性問題。

　　在此應用中，系統采用了DS5250作為安全協處理器。該安全協處理器負責完成安全通信和保護重要信息，如加密密鑰、PIN碼和口令不被竊取。這是通過將重要信息存儲在3DES加密，并由電池備份的SRAM中實現的。內部SRAM提供最強的數據安全性，因其受到最強有力的保護。加密和其它安全特性在微控制器和它的存儲器周圍構建了一個加密邊界。

　　使其在遭到破壞時會立即破壞數據。

　　該存儲器的加密密鑰由DS5250自身存儲，并通過一個復雜的電壓／探針／溫度傳感器陣列對探測和其它物理攻擊提供保護。由于外部程序和數據存儲器是加密的，所以它和內部的SRAM都包含在加密邊界以內。

　　系統與網絡通過3DES加密通信進行接口，并由安全協處理器的用戶訪問DES引擎實現。這就為金融交易信息提供了一個安全通信信道，應用軟件決定了通信格式，因此它可以和幾乎任何的網絡靈活地聯接。

　　由上可以看出，從理論與實踐上應用嵌入式芯片構建金融終端網絡安全設備并基于密鑰和解密算法的方案，解決了如何使用高速安全微處理器作為安全協處理器來保護口令、PIN碼、加密密鑰，以及其它重要數據的普遍問題，該高速安全微處理器采用了3DES總線加密算法、精巧的防入侵優傳感器和電池備份 SRAM，對其外部程序存儲器加密，使得竊賊無法破解處理器的操作和敏感數據，構建了一個金融終端安全系統及其保護寶貴知識產權的加密邊界。而一個可由用戶配置的外部防入侵傳感器，還可以保護所有系統組件，允許系統設計者將安全范圍延伸至應用外殼。

　　通過將嵌入式系統分割成非安全和安全功能模塊，從中可以發現，向已有設計中增加安全協處理器，能夠在不需要新設計基本結構的情況下提高系統的安全性。其安全協處理器為重要數據如加密密鑰、PIN碼和口令充當了一個幾乎無法滲透的屏障。