基于MAXQ1850的雙芯片架構的支付終端設計(一)

　　新終端、新趨勢

　　金融終端已經成為支付產品公司提供的一種新型交付服務手段。金融終端不再限于簡單的讀卡機，而是逐步成為能夠處理交易、管理庫存、操作商業運營的復雜計算設備。這一角色轉變的顯著標志是針對終端定義的一個新術語：從銷售終端(POS)設備更改為交互終端(POI)系統。POI系統必須具備快速通信能力，使用更加便捷(例如，可以連接USB、以太網、WiFi?或Bluetooth?)，支持多應用的相互協調并可處理復雜的卡交易(支付卡、忠誠卡等)。

　　另外，使用條件也發生了變化。有時，POI必須工作在潮濕環境、室外或室內。這些設備多數情況下要求采用人性化便攜式設計，并滿足經銷商對時尚外觀的需求。由于相關技術的融合與重復利用，使得終端產品隨處可見，例如：智能電話、筆記本電腦、游戲機控制臺等。現代POI設備引入了類似的美學設計，采用色彩豐富的顯示技術、復雜的觸摸屏接口并提供便利的連通性，可以方便地集成到信息系統內。硬件技術的深入開發也帶動了軟件設計的重復利用，從商用化操作系統到軟件棧，可以直接提取硬件電路。總而言之，軟件的重復利用有助于加快開發速度、降低產品失效風險，以更低的RD成本將產品快速推向市場。

　　終端安全性

　　POI與消費類(CE)設備的主要差別在于安全性。EMV卡的全球化開發意味著系統所要面臨的威脅也是全球性的。如不采取適當對策，則有可能在瞬間遭受來自世界不同區域的攻擊。另一方面，由于高投資(開發工具、時間等花費)帶來的巨額回報，犯罪團伙會不惜代價地實施攻擊行為，由此可見，設備安全性的最大威脅來自于這些犯罪團伙。

　　當前金融終端的互操作性、通信接口以及高級服務都已成為攻擊者的“敲門磚”。由業內重要的支付產品公司聯手創立的支付卡產業安全標準委員會(PCI SSC)—包括美國的Express、JCB、MasterCard和Visa—旨在規范整個產業的安全標準。

　　PCI SSC開發的PCI PIN交易安全(PCI PTS)標準定義了金融終端安全性的要求。前期的PCI PIN輸入設備(PCI PED)標準(PCI PTS)主要關注應對物力和邏輯攻擊，這些攻擊行為試圖從POI提取PIN碼和加密密鑰。根據現場經驗和試驗室研究，PCI PTS歸納了針對各種攻擊(物力篡改、環境更改、軟件接口攻擊、密碼分析破解攻擊、政策威脅)的安全防護機制。PCI PTS旨在保護終端內部或智能卡連接通道普通格式的PIN碼。

　　物理機制要求在入侵者打開終端、插入PIN記錄裝置，防止數據在PIN輸入或發送端被捕獲，并可阻止對終端操作的修改。邏輯上需要防止入侵者修改讀卡器、控制終端的運行程序，從而達到他們恢復、記錄或發送PIN碼及其它敏感數據的目的。

　　其它要求包括磁條數據的有效保護。PCI PTS的每項要求對應于特定的攻擊類別，與對抗等級有關，通常用16至35范圍的數字表示。為了達到設計目標，支付終端必須能夠將遭受篡改的風險(所謂的篡改值)降至最低。

　　按照ITSEC聯合實驗室聲明(JIL)對智能卡的規定，攻擊值方案基于所了解的相關知識、攻擊持續時間、攻擊者的資源和專業技術。對每種抗攻擊能力劃分成幾個等級進行評測，每個等級有相應的額定值。考慮一種攻擊形式時，可以由衡量每種類型的攻擊強度值的加和表示。例如，文件類保護包括三個等級：公開、受限、加密。如果一個受限文件受到攻擊，該等級的攻擊值(受限文件)需要增加到攻擊求和中。

　　抗攻擊能力評估需要在具備資質的實驗室進行，最終是否獲得批準的決定權由PCI PTS成員掌控。由于攻擊者可以接觸到支付終端設備，PCI PTS特別規定了能夠抵抗各種威脅、保護卡持有人敏感數據的安全等級。PCI PTS并不提供相應的解決方案，需要制造商想方設法滿足這些條件的要求。PCI PTS 3.1已于2012年3月替代PCI PED 2.1標準，隨著安全等級不斷提升，終端廠商將面臨更加嚴峻的設計挑戰。

　　PCI PTS 3.x

　　PCI對支付終端的安全要求發生了重要改進，加強了對最新攻擊威脅的防御。另外，其新方案的提出也促進了模塊化開發，用于簡化生產。這一演變的標志是將PIN輸入裝置(PED)變更為POI裝置，反映出使用端的變化。終端裝置與之前一樣需要執行金融交易，但現在需要執行更多任務，新需求也說明生產廠商已經考慮了PCI SSC這種擴展能力。

　　從整個過程看，認證過程已經簡化為對包含所有類型裝置(POS、EPP、自動售貨機、售貨亭)的一次性評估，分為兩個強制評估模塊：設備的核心要求和集成要求。另外還有兩個新的評估模塊供廠商選擇。

　　為確保安全性，根據現場反饋對具體要求進行了少許修改和加強。一些關鍵要求已經使其攻擊值從1點增加到2點，尤其是與物理攻擊(鍵盤、磁條和卡槽)相關的攻擊。攻擊成本值介于16至35 (PCI PED 2.1標準下為14至35)。此外，現在通過指定請求的規則更嚴格。較早的標準只要求攻擊準備和攻擊開發值之和等于一個最小值;現在，攻擊開發值本身必須具有一個最小值(攻擊準備為識別階段，攻擊者在此期間研究問題、設計方法，以及測試設備。在開發階段，攻擊者進入公共場所，并實際進行數據盜取)。

　　其它新要求明確針對新POI架構和服務。舉例說明，要求B17考慮在同一終端上運行多項應用的情況，這完全反應了現代終端的軟件架構。另一個例子是新可選評估模塊的創建：開發協議(Open Protocol)模塊處理開放/公共網絡上的安全問題，通常解決來自于通過IP連接的終端安全事項，類似于PC日常面臨的攻擊威脅。安全讀取與數據交換(SRED)模塊規定對終端內持卡人賬戶數據的保護要求。表1列出了大多數關鍵的安全要求，以及對設計高效率、高性價比終端的功能性要求。

　　控制安全方案的成本

　　終端廠商為了滿足嚴格的安全標準，在設計功能強大、外觀時尚的POI設備時面臨巨大挑戰。終端廠商自己開發并維護安全設備可能付出巨額代價，因為這將要求終端廠商專門建立一支專家團隊，從而占據相當大的RD資源。這也成為新生力量進入安全市場的巨大障礙，但它并不代表現有廠商擁有多么明顯的競爭優勢，畢竟支付終端的所有安全認證條件都是強制性規定。

　　標準化為專業廠商的安全模塊創造了巨大商機。由于認證標準是統一的，終端廠商可以選擇商用化的安全方案以滿足安全認證標準的要求。與自主開發安全方案相比，這些模塊化設計具有幾項顯著優勢。

　　它們能夠減輕終端制造商的設計負擔，只需關注系統增值功能。安全性雖然不是設備的特殊功能，但卻是對終端產品最基本的標準化要求。通過與安全產品供應商合作，終端廠商能夠將主要精力放在金融終端市場的增值服務上。

　　高性價比設計允許開發更加復雜的安全機制。由于多個用戶共同分攤RD成本，使得高科技開發資源不會形成一家獨占的局面。隨著對安全產品復雜性要求的提高，這些降低設計成本的因素也愈加重要。由此可見，金融終端市場也依賴于能夠提出有效應對措施、專業的安全產品供應商。

　　利用獲得批準的模塊降低風險、加速POI認證。對商用化方案進行安全評估并獲得PCI PTS批復，模塊供應商能夠降低終端設計人員的開發風險。從而簡化安全系統集成，加快通過終端認證的步伐。

　　目前，市場上的支付終端主要采用三種不同類型的架構，以不同形式提供安全接入服務，資產保護和其它功能集成在終端內，表1列出了相關需求。

　　安全管理器

　　最通用的架構之一是采用安全管理器，為通用微控制器(μp;C)增添安全功能。安全管理器能夠有效保護敏感憑證、偵測物力或環境篡改事件(例如：改變溫度或電壓)。外部傳感器輸入允許連接安全防護罩、PCB防護網和篡改傳感器(圖1)。

　　圖1. 基于安全管理器IC的支付終端

　　Maxim的DS3600等安全管理器引入了受專利保護的無痕跡存儲器架構，利用片上NV SRAM存儲加密密鑰。電池備份存儲器能夠消除氧化應力在存儲器留下的痕跡，防止對受應力作用的存儲器單元的殘余數據進行無源偵測。一旦檢測到入侵操作，將立即、徹底地擦除NV S