一種確保安全的非接觸智能卡安全控制器

　　然而，對于攻擊者提取采用復雜算法的完備密鑰來說，采用“不同的錯誤攻擊(DFA)”在某些情況下只對某種單一的錯誤運算有效。

　　有各種誘導未知錯誤的方法，包括改變電源、電磁感應、用可見光或輻射性材料來照射智能卡的表面、或者改變溫度等。上述中的某些方法可以用很低成本的設備來實現，從而成為業余攻擊者的理想選擇。

　　雖然在安全控制器的數據資料中都給出了針對上述這些攻擊的反制措施，但只有通過實際測試才能證明這些措施是否真正有效。由于這些反制措施的性能變化范圍高達幾個數量級，故通過獨立的*估和驗證來檢查其安全等級是極其重要的。在芯片被批準用于身份證或電子護照之前，必須經受大量的安全測試。不過，對于不同國家的不同身份證系統來說，這些安全測試的標準也是不一樣的。

　　針對錯誤誘導式攻擊的概念的實現必須從不同的觀點上來看，必須構建一個嚴格的相互合作機制。英飛凌公司先進的芯片卡控制器的安全理念建立在以下三個方面：

　　1. 防止錯誤誘導；

　　2. 監測錯誤誘導條件；

　　3. 各種抵御安全控制器錯誤行為的措施。

　　過濾電源和輸入信號作為第一道屏障，利用快速反應穩定器來阻止給定范圍的電壓突變。同樣，某些有關時鐘電源的不規則行為也被阻止。例如，如果安全控制器受到僅用一般的規則是無法抵御的非常高的電壓的攻擊，傳感器就被用作為第二道屏障的一部分。如果傳感器監測到環境參數的臨界值，就會觸發告警，芯片就會設置到安全狀態。電壓傳感器用來檢查電源，時鐘傳感器檢查頻率的不規則行為，而溫度和光傳感器則檢查光和溫度攻擊。由于光攻擊可以通過芯片的背面來實現，該光傳感器對于器件兩面的攻擊都有效。第三道屏障是從安全控制器內核本身建立的。通過硬件和軟件的相結合形成了有效的第三道屏障。這里，硬件與軟件的相結合是至關重要的，因為在某些情況下，純軟件措施的本身就是錯誤攻擊的對象。

　　圖2：物理攻擊；顯示保密信號的探針。