基于AT91SO100的密码键盘安全解决方案.docVIP

基于AT91SO100的密码键盘安全解决方案 　　【摘要】随着银行卡保有量的增多和刷卡消费的日益盛行，密码键盘作为个人密码的输入终端，其安全性备受关注。本文基于ATMEL的AS91SO100芯片，提出一种符合PCI PED认证安要求的密码键盘安全解决方案，从根本上避免了用户程序非法访问敏感数据的问题，提升了终端设备的安全性。 　　【关键词】密码键盘：PIC PED;支付安全 　　随着银行卡的普及应用和支付环境的改善，刷卡消费在我国经济和人民生活中正发挥着越来越重要的作用，2013年我国银行卡跨行交易金额达32.3万亿元，同比增长48%。在耀眼的数字背后，个人密码的安全越发不容忽视，而密码键盘（PED）作为个人密码的输入终端也备受关注。VISA和MASTERCARD两大国际信用卡商联合推出PCI（Payment Card Industry）PED认证，以确保用户在线上和离线交易时密码输入的安全，国内银行业也把符合PCI认证作为新采购密码键盘的必须要求。本文基于AT91SO100安全芯片，针对PCI PED认证，就密码键盘的软件设计如何保护数据安全提出应对之道。 　　1.存储结构 　　ATMEL的AT91SO100芯片基于ARM?32-bit SecureCore?SC100 CPU内核，适用于卡付款终端等高安全性系统。AT91SO系列具有MPU单元，可以在CPU的特权模式（Privileded modes）以及用户模式（User mode）下分别对存储单元的读写访问权限进行设置。如果用户程序访问未授权的空间，将产生异常中断。为更符合PCI PED的数据安全标准，密码键盘的存储单元访问权限做如下划分： 　　（1）ROM区包含ATMEL提供的算法库和驱动库，只允许特权模式读访问，用户模式没有任何访问权限，这样可以避免用户程序通过直接地址跳转，运行ROM区的库函数。 　　（2）EEPROM区作为程序代码空间以及静态数据存储空间，分为系统级（OS Code）和用户级（User Code）两部分。特权模式对两部分都有读写权限，而用户模式仅对用户级空间有读权限。密码键盘可将敏感数据存储在系统级空间，保证用户模式下敏感数据的安全。 　　（3）Peripherals（寄存器）空间仅特权模式具有读写访问权限，用户模式无法访问，这就限制了用户模式对系统进行任何硬件级别的操作，自行编写硬件驱动也是无法运行的。 　　（4）RAM空间同样分为系统级（OS RAM）和用户级（User RAM）空间，特权模式拥有读写访问权限，用户模式只拥有对用户级空间的读写权限。密码键盘同样可以把临时敏感数据存储在系统级空间。 　　（5）RAM AdvX空间是CPU内部硬件算法器所需的专用内存空间，同样只允许特权模式下对其进行读写访问。 　　表1 密码键盘存储空间权限划分 　　存储区 特权模式 用户模式 　　读 写 读 写 　　ROM √ × × × 　　EEPROM-OS Code √ √ × × 　　EEPROM-User Code √ √ √ × 　　Peripherals（寄存器） √ √ × × 　　RAM-OS RAM √ √ × × 　　RAM-User RAM √ √ √ √ 　　RAM AdvX √ √ × × 　　2.软件架构 　　密码键盘的系统软件架构分为三层：ISP层，BIOS层，用户层。如图1所示，其中ISP层和BIOS层是系统级代码，存放在系统级代码空间;用户层是用户级代码，存放在用户级代码空间。各层代码提供功能描述如下： 　　（1）ISP层代码提供系统在线（串口）下载功能，包括ISP自我更新、BIOS更新、用户程序更新以及相应的密钥管理等功能。作为最小运行系统，只包含串口和EEPROM烧写驱动，另外还包括系统启动boot代码、MPU存储单元访问控制设置、初始化BIOS中断向量表等内容。ISP工作在特权模式的系统态下，ISP启动结束后将跳转到用户程序入口地址，并且会在跳转前将运行态切换到用户态。 　　（2）BIOS层代码实际上是一个函数库，包含各中断处理函数、硬件设备驱动以及提供给用户程序调用的API函数。其中提供给应用程序调用的API函数需要基于安全方面的考虑，不能将敏感信息通过API函数接口泄漏给应用层。 　　（3）用户层代码是用户编写的应用程序，可以调用BIOS层的API函数。主要包括密码键盘命令接口的解析等。 　　BIOS层本身不能独立运行，通过BIOS中断向量表将中断处理函数挂载到ISP最小系统。API函数包含所有涉及到系统信息安全的操作，用户程序调用API的方式是通过软中断触发进入监控态，由软中断处理程序分解应用层入口API的ID号调用不同的API函数。 　　图1 软件层次