设计下一代满足PCI PTS 3.0标准支付终端.doc

设计下一代满足PCI PTS 3.0标准支付终端摘要：金融终端已经成为支付产品公司提供的一种新型交付服务手段。金融终端不再限于简单的读卡机，而是逐步成为能够处理交易、管理库存、操作商业运营的复杂计算设备。这一角色转变的显著标志是针对终端定义的一个新术语：从销售终端（POS）设备更改为交互终端（POI）系统。POI系统必须具备快速通信能力，使用更加便捷（例如，可以连接USB、以太网、WiFi或Bluetooth），支持多应用的相互协调并可处理复杂的卡交易（支付卡、忠诚卡等）。 关键词：PCI PTS 3.0；MAXQ1850；双芯片；金融终端；安全认证 DOI: 10.3969/j.issn.1005-5517.2012.4.016 终端安全性 POI与消费类(CE）设备的主要差别在于安全性。EMV卡的全球化开发意味着系统所要面临的威胁也是全球性的。由业内重要的支付产品公司联手创立的支付卡产业安全标准委员会(PCI SSC）——包括美国的Express、JCB、MasterCard和Visa——旨在规范整个产业的安全标准。PCI PTS 3.0已于2011年4月替代PCI PED 2.1标准，随着安全等级不断提升，终端厂商将面临更加严峻的设计挑战。 安全架构综述 目前，市场上的支付终端主要采用三种不同类型的架构。 安全管理器 最通用的架构之一是采用安全管理器，为通用微控制器(μC）增添安全功能。安全管理器能够有效保护敏感凭证、侦测物力或环境篡改事件(例如：改变温度或电压）。外部传感器输入允许连接安全防护罩、PCB防护网和篡改传感器(图1）。 Maxim的DS3600等安全管理器引入了受专利保护的无痕迹存储器架构，利用片上NV SRAM存储加密密钥。电池备份存储器能够消除氧化应力在存储器留下的痕迹，防止对受应力作用的存储器单元的残余数据进行无源侦测。一旦检测到入侵操作，将立即、彻底地擦除NV SRM的内容。这些安全管理器还提供随机数发生器等其它安全服务，通过通用微控制器(μC）进行系统维护和运行控制，包括加密服务和敏感接口控制。 双芯片架构(双控制器） 第二种方案是采用通用μC和安全配套芯片把计算与安全功能分隔开(图2）。通用μC执行所有与安全性无关的任务，而安全协处理器包含了另一μC，作为报警系统执行加密计算、控制敏感接口。 通过专用的控制接口连接两个μC，以避免敏感信息的泄漏。这种架构非常适合现代POI设计，这类产品大多在商用化方案的基础上使设计满足PCI PTS要求。终端设计人员可以选择通用μC单独完成系统的功能性、连通性任务以及计算功能；安全μC则用于处理所有安全保护操作，例如：PIN和密钥管理、电池备份存储器、篡改侦测、加密计算等。这款μC的选择只需要单纯考虑如何满足PCI PTS安全性认证的要求，因此可以选择预先通过认证的商用化解决方案。 图3 大多数小尺寸终端架构采用的单片μC包括了所有必要的安全功能。 图4 支付终端中，由安全μC控制的传感器保护”安全岛” 安全配套芯片 MAXQ1850即为该系列产品的代表器件，这款32位安全μC设计用作任何通用μC的配套芯片。按照芯片安全评估报告的陈述，MAXQ1850能够满足最严格的PCI PTS标准要求： 连接到电池备份存储器的篡改响应传感器提供物力篡改保护，一旦检测到篡改事件立即执行擦除操作 强大的保护功能能够在发生故障和环境干扰(脉冲干扰、极端温度等）状况下提供可靠保护 嵌入式存储器用来保存敏感资源(例如：密钥和固件） 裸片防护网用于保护嵌入式存储器 安全加密功能支持所有算法(旁道攻击对策） 高度安全的随机数发生器用于产生密钥 直接控制敏感外设(例如：智能卡、键盘和显示器） 以上列出了MAXQ1850所满足的关键安全特性和设计要求，其高性能RISC核、较少的引脚数量以及所集成的关键电路使其非常适合POI系统设计，其中包括超小尺寸的便携设备。从图2可以看出，采用双芯片架构，MAXQ1850能够有效简化POI设计。 智能卡接口的I/O选择机制允许通过一个接口管理双卡，通过SPI?接口控制智能卡接口芯片(DS8024）。 利用GPIO作为片选，智能卡接口和LCD可以共用SPI端口。 级联MAX7317 SPI至GPIO转换器，简化GPIO/SPI端口的配置管理，用于访问并行外设。 USB链路连接安全μC和通用μC，通过安全应用编程接口API连接。 集成的安全μC 第三种方法，也是随着PCI PED认证的普及而被广泛用于安全金融终端的方法，即选择融合高集成度、高性能μC的单芯片架构(图3）。与通用