本應(yīng)用筆記討論了如何設(shè)計(jì)增強(qiáng)型且安全的支付終端。我們揭示了制造商在PCI-PED PTS認(rèn)證方面面臨的陷阱，并解釋了如何使用基于DeepCover安全微控制器（MAXQ1850）的雙芯片架構(gòu)來(lái)解決這些問(wèn)題。

基于卡的交易正在飆升，110年全球超過(guò)2009億。這種擴(kuò)張有幾個(gè)原因。越來(lái)越多的全球支付方案保證了廣泛的接受，可用的技術(shù)和標(biāo)準(zhǔn)化工作使商家的交易更加可靠、方便和廉價(jià)。然而，也許基于卡的交易成功的最重要因素是持卡人對(duì)支付系統(tǒng)的信心不斷增強(qiáng)——從最初的購(gòu)買(mǎi)到借記卡，等等。

新終端，新趨勢(shì)

金融終端已成為支付產(chǎn)品公司提供一系列新服務(wù)的工具。終端不再是簡(jiǎn)單的讀卡機(jī)。它們已成為能夠執(zhí)行事務(wù)、管理庫(kù)存和運(yùn)行業(yè)務(wù)應(yīng)用程序的復(fù)雜計(jì)算設(shè)備。用于描述終端的新術(shù)語(yǔ)清楚地表明了這種不斷變化的角色：以前稱為銷(xiāo)售點(diǎn)（POS）設(shè)備，現(xiàn)在稱為交互點(diǎn)（POI）系統(tǒng)。POI 系統(tǒng)現(xiàn)在必須更快、更輕松地進(jìn)行通信（例如，使用 USB、以太網(wǎng)、Wi-Fi 或藍(lán)牙）。它們必須支持多個(gè)并發(fā)應(yīng)用程序并處理多種卡類型（支付卡、會(huì)員卡等）。

使用條件也發(fā)生了變化。POI有時(shí)必須在潮濕的環(huán)境中運(yùn)行，無(wú)論是外部還是內(nèi)部。它們通常便于攜帶且符合人體工程學(xué)，具有視覺(jué)吸引力的外形，可與商家的形象相得益彰。對(duì)可用技術(shù)的廣泛重用使終端的外觀和感覺(jué)就像我們熟悉的日常設(shè)備，例如智能手機(jī)、筆記本電腦和游戲機(jī)?，F(xiàn)代 POI 采用類似的設(shè)計(jì)美學(xué)，具有豐富的彩色顯示屏，使用復(fù)雜的觸摸屏界面，并提供便于集成到信息系統(tǒng)中的連接功能。充分利用這些硬件技術(shù)還可以實(shí)現(xiàn)軟件重用，從現(xiàn)成的操作系統(tǒng)到允許硬件層抽象的軟件堆棧。一般來(lái)說(shuō)，軟件重用可以加快開(kāi)發(fā)速度，降低驗(yàn)證風(fēng)險(xiǎn)，并以更低的研發(fā)成本加快上市時(shí)間。

終端安全

POI終端和消費(fèi)電子（CE）設(shè)備之間的主要區(qū)別在于需要高級(jí)別的安全性。EMV* 卡的全球部署意味著全球威脅。如果沒(méi)有適當(dāng)?shù)膶?duì)策，可以在全球范圍內(nèi)快速執(zhí)行攻擊。此外，進(jìn)行攻擊所產(chǎn)生的費(fèi)用（在工具、花費(fèi)的時(shí)間等方面）可能會(huì)更高，因?yàn)橥顿Y回報(bào)率更高。因此，對(duì)安全的最大威脅現(xiàn)在被認(rèn)為是犯罪集團(tuán)。

當(dāng)今復(fù)雜的金融終端提供的交互功能、多種通信接口和高級(jí)服務(wù)都為攻擊者打開(kāi)了大門(mén)。作為對(duì)策，已經(jīng)作出協(xié)調(diào)努力，使這些高級(jí)服務(wù)適應(yīng)抵御攻擊所需的安全級(jí)別。支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì) （PCI SSC） 由主要的支付產(chǎn)品公司（美國(guó)運(yùn)通、JCB、萬(wàn)事達(dá)卡和維薩）創(chuàng)立，旨在標(biāo)準(zhǔn)化整個(gè)行業(yè)的安全工作。

PCI SSC開(kāi)發(fā)了一項(xiàng)稱為PIN交易安全（PCI PTS）的標(biāo)準(zhǔn)，以定義金融終端安全的要求。PCI PTS 以前稱為 PCI PIN 輸入設(shè)備 （PCI PED） 標(biāo)準(zhǔn)，可解決試圖從 POI 系統(tǒng)中提取 PIN 碼和加密密鑰的物理和邏輯攻擊。基于現(xiàn)場(chǎng)經(jīng)驗(yàn)和實(shí)驗(yàn)室研究，PCI PTS 概述了每種攻擊的安全機(jī)制：物理篡改、環(huán)境修改、軟件接口攻擊、密碼分析攻擊以及對(duì)制造商設(shè)置的安全策略的威脅（密鑰管理、版本控制系統(tǒng)、組織和安全管理）。PCI PTS 努力保護(hù) PIN 碼，只要它們?cè)诮K端內(nèi)或通向智能卡的路徑上是純文本格式。

物理要求阻止攻擊者打開(kāi)終端并插入PIN記錄設(shè)備，防止在輸入或傳輸PIN時(shí)捕獲電磁發(fā)射，或修改終端的行為。邏輯要求可防止攻擊者修改讀卡器并控制終端上運(yùn)行的應(yīng)用程序，以檢索、記錄或傳輸 PIN 碼和其他敏感數(shù)據(jù)。

附加要求保護(hù)磁條（磁條）數(shù)據(jù)。每個(gè) PCI PTS 要求都對(duì)應(yīng)于特定類別的攻擊，并與所需的最低抵抗級(jí)別相關(guān)聯(lián)，該級(jí)別由 16 到 35 之間的數(shù)值表示。為了通過(guò)指定的要求，支付終端必須表現(xiàn)出與最小攻擊潛力相稱的阻力，也稱為攻擊值。

這種攻擊值方法的靈感來(lái)自 ITSEC 的智能卡聯(lián)合解釋庫(kù)，并基于目標(biāo)知識(shí)、攻擊持續(xù)時(shí)間以及攻擊者的資源和專業(yè)知識(shí)。這些類別中的每一個(gè)都包括多個(gè)級(jí)別，每個(gè)級(jí)別都被評(píng)為特定值。在考慮攻擊時(shí)，每個(gè)類別的值的總和表征攻擊值。例如，文檔類別包括三個(gè)級(jí)別：公共、受限和機(jī)密。如果特定事件涉及對(duì)受限文檔的攻擊，則該級(jí)別（受限文檔）的值將添加到攻擊總和中。

對(duì)每個(gè)要求的抵抗力的估計(jì)由認(rèn)可的安全實(shí)驗(yàn)室執(zhí)行，有關(guān)批準(zhǔn)（例如終端）的最終決定仍由PCI PTS成員決定。由于攻擊者可以訪問(wèn)支付終端，因此PCI PTS指定了針對(duì)敏感持卡人數(shù)據(jù)受到許多威脅的保護(hù)級(jí)別。PCI PTS 不提供針對(duì)此類暴露的解決方案，因此由制造商決定如何滿足安全要求。由于PCI PED 2.1的安全要求已被PCI PTS 3.1（截至2012年<>月）所取代，終端制造商將面臨更多挑戰(zhàn)。

PCI PTS 3.x

支付終端的PCI安全要求包含重要的改進(jìn)，并已得到加強(qiáng)以抵御最新的威脅?；蛘?，其新方法促進(jìn)了模塊化開(kāi)發(fā)，可以簡(jiǎn)化制造業(yè)務(wù)。這種演變表現(xiàn)為術(shù)語(yǔ)從PIN輸入設(shè)備（PED）到POI設(shè)備的變化，這反映了使用的變化。終端像以前一樣執(zhí)行金融交易，但現(xiàn)在它們的功能遠(yuǎn)不止于此，新術(shù)語(yǔ)向制造商表明PCI SSC已考慮這種功能擴(kuò)展。

從流程的角度來(lái)看，認(rèn)證已經(jīng)簡(jiǎn)化為提出涵蓋所有類別設(shè)備（POS，EPP，自動(dòng)售貨機(jī)，信息亭）的單一評(píng)估，組織為兩個(gè)強(qiáng)制性評(píng)估模塊：設(shè)備核心要求和設(shè)備集成要求。還提出了兩個(gè)新的可選評(píng)價(jià)模塊。

從安全角度來(lái)看，根據(jù)現(xiàn)場(chǎng)的反饋，對(duì)要求進(jìn)行了略微修改和加強(qiáng)。主要要求的攻擊值從一點(diǎn)增加到兩點(diǎn)，特別是與物理篡改（鍵盤(pán)、磁條和卡槽）相關(guān)的攻擊值。攻擊成本值現(xiàn)在介于 16 到 35 之間（PCI PED 14.35 為 2 到 1）。此外，通過(guò)給定要求的規(guī)則現(xiàn)在更加嚴(yán)格。舊標(biāo)準(zhǔn)僅要求攻擊準(zhǔn)備值和攻擊漏洞利用值的總和等于最小數(shù)量;現(xiàn)在，攻擊漏洞利用值本身必須具有最小值。（準(zhǔn)備是攻擊者研究問(wèn)題、設(shè)計(jì)方法并測(cè)試其設(shè)備的識(shí)別階段。在利用階段，攻擊者前往公共場(chǎng)所并實(shí)際嘗試竊取數(shù)據(jù)。

其他新要求明確涉及新的 POI 架構(gòu)和服務(wù)。例如，需求B17考慮了托管在同一終端上的多個(gè)應(yīng)用程序的上下文，這充分反映了現(xiàn)代終端的軟件架構(gòu)。另一個(gè)例子是創(chuàng)建新的可選評(píng)估模塊：開(kāi)放協(xié)議模塊處理開(kāi)放/公共網(wǎng)絡(luò)上的安全性，通常解決來(lái)自IP連接終端的安全問(wèn)題，類似于PC每天面臨的威脅。數(shù)據(jù)安全讀取和交換 （SRED） 模塊定義了保護(hù)終端內(nèi)持卡人賬戶數(shù)據(jù)的要求。表 1 列出了最苛刻的安全要求，以及高效、經(jīng)濟(jì)高效的終端設(shè)計(jì)的功能要求。

管理安全措施的費(fèi)用

終端制造商面臨著設(shè)計(jì)滿足嚴(yán)格安全要求的強(qiáng)大、時(shí)尚的 POI 的挑戰(zhàn)。然而，在內(nèi)部開(kāi)發(fā)和維護(hù)安全專業(yè)知識(shí)是一項(xiàng)昂貴的苦差事，需要專門(mén)的專家團(tuán)隊(duì)和大量的研發(fā)資源。這種負(fù)擔(dān)對(duì)新來(lái)者構(gòu)成了巨大的進(jìn)入壁壘，但它并沒(méi)有為成熟的制造商提供競(jìng)爭(zhēng)優(yōu)勢(shì)。畢竟，安全認(rèn)證對(duì)所有支付終端都是強(qiáng)制性的。

因此，標(biāo)準(zhǔn)化為專業(yè)商業(yè)供應(yīng)商的安全模塊創(chuàng)造了一個(gè)市場(chǎng)。由于認(rèn)證不是一個(gè)差異化功能，制造商可以自由使用現(xiàn)成的安全產(chǎn)品來(lái)滿足認(rèn)證要求。與內(nèi)部開(kāi)發(fā)的產(chǎn)品相比，這些產(chǎn)品具有多種優(yōu)勢(shì)。

它們使終端制造商能夠?qū)Ｗ⒂谠鲋倒δ?。安全性不是一個(gè)專門(mén)的功能，而是所有終端的標(biāo)準(zhǔn)和基本要求。通過(guò)與安全供應(yīng)商建立合作伙伴關(guān)系，制造商能夠?qū)Ｗ⒂跒槠浣鹑诮K端增加價(jià)值。

成本效率的提高允許開(kāi)發(fā)復(fù)雜的安全機(jī)制。由于研發(fā)成本由多個(gè)客戶分擔(dān)，因此安全產(chǎn)品制造商能夠開(kāi)發(fā)單個(gè)終端制造商無(wú)法企及的先進(jìn)技術(shù)。先進(jìn)技術(shù)通過(guò)促進(jìn)更深層次的集成，使安全機(jī)制更加高效。隨著安全要求變得更加復(fù)雜，這種規(guī)模經(jīng)濟(jì)變得越來(lái)越重要。事實(shí)上，我們需要具有專業(yè)知識(shí)的專業(yè)安全供應(yīng)商來(lái)提出有效的對(duì)策。

使用經(jīng)批準(zhǔn)的模塊可降低風(fēng)險(xiǎn)并加快 POI 認(rèn)證。通過(guò)對(duì)現(xiàn)成的安全產(chǎn)品進(jìn)行安全評(píng)估并獲得PCI PTS批準(zhǔn)，模塊制造商降低了終端設(shè)計(jì)人員的開(kāi)發(fā)風(fēng)險(xiǎn)。這種互補(bǔ)性工作簡(jiǎn)化了安全集成并加快了終端認(rèn)證。

安全體系結(jié)構(gòu)概述

三種主要架構(gòu)管理著當(dāng)今的支付終端。它們的不同之處在于訪問(wèn)安全服務(wù)的方式、資產(chǎn)與終端中的其他功能集成以及滿足要求的方式（見(jiàn)表 1）。

安全經(jīng)理

第一個(gè)終端架構(gòu)使用安全管理器為通用μC增加安全性。安全管理器保護(hù)敏感憑據(jù)并檢測(cè)物理或環(huán)境篡改（例如，溫度或電壓的變化）。它還通過(guò)提供外部傳感器輸入來(lái)保證密鑰存儲(chǔ)的保護(hù)，從而允許連接安全蓋、PCB 網(wǎng)格和篡改傳感器（圖 1）。

圖1.這種支付終端架構(gòu)基于安全管理器 IC。

Maxim的DeepCover安全管理器（DS3600）等安全管理器采用獲得專利的非印記存儲(chǔ)器架構(gòu)，將加密密鑰存儲(chǔ)在片上非易失性（NV）SRAM中。這種電池備份的存儲(chǔ)器消除了由于氧化物應(yīng)力而導(dǎo)致的存儲(chǔ)器印記問(wèn)題，從而防止黑客被動(dòng)檢測(cè)受壓存儲(chǔ)器單元中的數(shù)據(jù)殘留物的可能性。當(dāng)檢測(cè)到入侵時(shí)，芯片會(huì)立即完全擦除NV SRAM內(nèi)容。可以在這些安全管理器上找到其他安全服務(wù)，例如隨機(jī)數(shù)生成。所有剩余的服務(wù)和功能均由通用微控制器（μC）執(zhí)行，包括加密服務(wù)和敏感接口控制。?

雙芯片架構(gòu)（兩個(gè)微控制器）

第二種方法是在通用μC和安全配套芯片之間分配計(jì)算和安全功能（圖2）。通用μC執(zhí)行所有與安全無(wú)關(guān)的任務(wù)，而安全協(xié)處理器（還包含一個(gè)μC）控制每個(gè)敏感接口，執(zhí)行加密計(jì)算，并充當(dāng)報(bào)警系統(tǒng)。

圖2.雙芯片架構(gòu)將通用μC與安全μC相結(jié)合。

兩個(gè)μC之間的接口經(jīng)過(guò)專門(mén)控制，以防止敏感信息泄漏。這種架構(gòu)特別適合使用現(xiàn)成產(chǎn)品來(lái)滿足PCI PTS要求的現(xiàn)代POI設(shè)計(jì)。您可以僅根據(jù)性能、連接性和計(jì)算能力等功能標(biāo)準(zhǔn)選擇通用μC，并讓安全μC處理所有安全功能，例如PIN和密鑰管理、存儲(chǔ)器備用電池、篡改檢測(cè)和加密計(jì)算。通過(guò)允許使用預(yù)先批準(zhǔn)的現(xiàn)成器件，您可以完全根據(jù)實(shí)現(xiàn)PCI PTS安全認(rèn)證的要求選擇此μC。

安全伴侶芯片

其中一種芯片，即32位DeepCover安全微控制器（MAXQ1850），設(shè)計(jì)用于任何通用μC的配套器件。它滿足了最嚴(yán)格的PCI PTS要求，如其安全評(píng)估報(bào)告所示：

物理防篡改保護(hù)由連接到電池備份存儲(chǔ)器的篡改響應(yīng)傳感器提供，篡改后會(huì)立即擦除

針對(duì)故障和環(huán)境擾動(dòng)（毛刺、極端溫度等）提供強(qiáng)大保護(hù)

由嵌入式存儲(chǔ)器托管的敏感資產(chǎn)（密鑰和固件）

嵌入式存儲(chǔ)器的芯片屏蔽保護(hù)

所有必需算法的安全加密實(shí)現(xiàn)（側(cè)信道對(duì)策）

用于生成密鑰的安全隨機(jī)源

直接控制敏感的外圍設(shè)備（例如，智能卡、鍵盤(pán)和顯示器）

MAXQ1850滿足表1中的關(guān)鍵安全性和設(shè)計(jì)要求。其高性能RISC內(nèi)核、低引腳數(shù)和關(guān)鍵模塊的集成使其非常適合各種POI系統(tǒng)，包括具有超小尺寸的便攜式設(shè)備。圖2所示為MAXQ1850如何簡(jiǎn)化采用雙芯片架構(gòu)的POI設(shè)計(jì)。

智能卡接口上的I/O選擇機(jī)制允許系統(tǒng)僅使用一個(gè)接口管理兩張卡，而智能卡接口芯片（DS8024）則通過(guò)SPI端口進(jìn)行控制。

SPI 端口在智能卡接口和 LCD 之間共享，使用 GPIO 作為片選。

級(jí)聯(lián)SPI至GPIO轉(zhuǎn)換器（MAX7317）簡(jiǎn)化了可重新配置的GPIO/SPI端口的管理，以便并行訪問(wèn)外設(shè)。此配置使用 GPIO 作為磁條讀取器、鍵盤(pán)等的芯片選擇。

USB 鏈路連接安全 μC 和通用 μC，以便通過(guò)安全應(yīng)用編程接口 （API） 進(jìn)行接口。

集成安全微C

自PCI PED認(rèn)證出現(xiàn)以來(lái)，第三種方法廣泛用于保護(hù)金融終端，方法是選擇包含高度集成、高性能安全μC的單芯片架構(gòu)（圖3）。與通用微控制器一樣，這些μC采用最新的半導(dǎo)體技術(shù)制造;具有多種通信接口，如USB、SPI和智能卡;并且能夠運(yùn)行功能豐富的操作系統(tǒng)，例如 Linux 操作系統(tǒng)。它們嵌入了以高頻運(yùn)行的現(xiàn)代處理器，并且能夠管理大型外部存儲(chǔ)器，例如NOR和NAND閃存以及各種RAM。?

圖3.最緊湊的端子架構(gòu)集成了單個(gè)μC，其中包括所有必要的安全措施。

與安全管理器一樣，這些設(shè)備嵌入了安全的NV SRAM和篡改/監(jiān)控傳感器。與配套芯片一樣，它們運(yùn)行安全的加密算法，如3DES、AES和RSA，這些算法可以抵抗差分功率分析（DPA）和簡(jiǎn)單功耗分析（SPA）。這種高度集成在安全方面和物料清單 （BOM） 方面都提供了許多好處。

安全機(jī)制集成在硅級(jí)，其規(guī)模只能是復(fù)雜的攻擊。集成保證了啟動(dòng)的完整信任鏈，也適用于緊急情況和警報(bào)情況 - 警報(bào)信號(hào)不會(huì)被切斷。由于關(guān)鍵功能已經(jīng)聚集在芯片中，因此降低了由于引入薄弱環(huán)節(jié)而導(dǎo)致集成不良的設(shè)計(jì)風(fēng)險(xiǎn)。在使用集成的動(dòng)態(tài)外部存儲(chǔ)器加密引擎時(shí)，它還避免了對(duì)額外安全外殼的需求。

軟件安全性也受益于這種集成，因?yàn)榘踩珯C(jī)制依賴于硬件密集型標(biāo)準(zhǔn)化機(jī)制，例如內(nèi)存管理單元 （MMU）。請(qǐng)注意，敏感和非敏感應(yīng)用程序之間的分離在單芯片方法的軟件級(jí)別執(zhí)行，但在雙芯片架構(gòu)的硬件級(jí)別執(zhí)行。軟件分離目前以三種不同的方式實(shí)現(xiàn)，其中沒(méi)有一種是排他性的。第一種使用“虛擬機(jī)監(jiān)控程序”，將安全和不安全的應(yīng)用程序拆分到單獨(dú)的容器中。第二個(gè)使用操作系統(tǒng)，如Linux，它直接拆分應(yīng)用程序，第三個(gè)使用Java軟件或類似Java的虛擬機(jī)來(lái)處理單獨(dú)的安全小程序。?

一體化集成通過(guò)減少所需的芯片數(shù)量、減少 PCB 尺寸并允許使用更具吸引力的外形尺寸來(lái)簡(jiǎn)化端子設(shè)計(jì)。它還通過(guò)只需要一個(gè)工具鏈并支持一個(gè)μC內(nèi)核來(lái)加快開(kāi)發(fā)速度。在其他供應(yīng)商中，Maxim提供各種高度集成的16至32位安全μC，工作時(shí)鐘速度高達(dá)200MHz。

選擇安全μC時(shí)，應(yīng)選擇PCI PTS實(shí)驗(yàn)室執(zhí)行的安全評(píng)估報(bào)告附帶的μC。該報(bào)告提供了完成完整實(shí)驗(yàn)室測(cè)試的信心，其中結(jié)果揭示了芯片供應(yīng)商的專業(yè)知識(shí)水平和安全芯片獲得的安全級(jí)別。第二個(gè)考慮因素是端子設(shè)計(jì)中集成的相對(duì)容易性。這種易用性取決于μC特性和供應(yīng)商支持團(tuán)隊(duì)的實(shí)力。您應(yīng)該尋找集成關(guān)鍵功能模塊（如存儲(chǔ)器、計(jì)時(shí)和篡改傳感器）的μC，因?yàn)檫@種集成簡(jiǎn)化了PCB布線，同時(shí)以較小的尺寸支持關(guān)鍵安全功能。Maxim加入了PCI SSC組織，致力于為PCI SSC市場(chǎng)提供最先進(jìn)的安全μC。

其中一種μC是DeepCover安全微控制器（MAX32590）“JIBE”，這是一款安全且功能強(qiáng)大的32位微控制器，使用ARM926?核心。這款低功耗器件在 400MHz 頻率下提供卓越的性能。其安全功能包括具有即時(shí)擦除功能的 2KB 安全存儲(chǔ)器、安全實(shí)時(shí)時(shí)鐘 （RTC） 和可檢測(cè)任何入侵的內(nèi)置環(huán)境動(dòng)態(tài)傳感器。易失性和非易失性外部存儲(chǔ)器（如 NAND、NOR 和 LPDDR）受到新型強(qiáng)大 AES-128 加密/完整性引擎的全面保護(hù)。相關(guān)的軟件產(chǎn)品包括預(yù)先批準(zhǔn)的 POI 參考設(shè)計(jì)、安全的 Linux 操作系統(tǒng)、加密庫(kù)、EMV L1 庫(kù)和 PCI PTS 輔助。

參考設(shè)計(jì)已通過(guò) PCI PTS 3.x 認(rèn)證

Maxim的參考設(shè)計(jì)（USIPOS）允許您構(gòu)建終端，并確信其能夠通過(guò)PCI評(píng)估;PCI PTS 3.x 認(rèn)證為您的終端認(rèn)證提供了一條快速途徑。USIPOS 參考設(shè)計(jì)的主要功能包括無(wú)網(wǎng)狀架構(gòu)、PCI PTS 3.x 認(rèn)證、BOM 優(yōu)化硬件和安全的 Linux 操作系統(tǒng)，以及 EMV L1 和加密庫(kù)以及硬件/軟件指南。您可以從Maxim設(shè)計(jì)、布局和BOM開(kāi)始，然后根據(jù)您的外殼定制設(shè)計(jì)，從而更快地將成品推向市場(chǎng)，同時(shí)降低風(fēng)險(xiǎn)和費(fèi)用。

安全島

除了安全芯片及其處理的資產(chǎn)之外，其他資產(chǎn)（如 PIN）也可能成為攻擊的目標(biāo)。作為預(yù)防措施，安全芯片外部的傳感器用于在終端級(jí)別提供防止物理篡改的保護(hù)。由此產(chǎn)生的安全機(jī)制非常有效且集成良好，因此任何警報(bào)都會(huì)觸發(fā)立即擦除安全內(nèi)存。即便如此，這些傳感器通常還是在片外進(jìn)行監(jiān)控，監(jiān)控電路也可以保護(hù)其他物理區(qū)域，即暴露PIN等資產(chǎn)的區(qū)域。為此，終端制造商必須運(yùn)用技能和知識(shí)來(lái)正確實(shí)施警報(bào)檢測(cè)機(jī)制。報(bào)警傳播和后果由安全芯片管理。

可通過(guò)鍵盤(pán)、磁條信號(hào)和智能卡插槽訪問(wèn) PIN 和持卡人帳戶數(shù)據(jù)等純文本資產(chǎn)。因此，除了安全芯片本身采用的那些措施外，這三個(gè)領(lǐng)域還需要自己的安全措施。資產(chǎn)僅暴露在這些區(qū)域內(nèi)，這就是為什么它們被稱為“安全孤島”（圖 4）。

圖4.由安全μC控制的傳感器保護(hù)支付終端中的“安全孤島”。

使用與現(xiàn)成安全芯片相同的方法，一些公司現(xiàn)在正在為其中一些安全區(qū)域提出現(xiàn)成的設(shè)計(jì)。最完整的解決方案是集成的安全智能卡插槽（如 C&K 安全智能卡插槽）和磁性加密頭（如磁芯片組）。這些產(chǎn)品具有與上述安全芯片相同的優(yōu)勢(shì)——集成、提高安全性、降低風(fēng)險(xiǎn)和降低成本。

終極現(xiàn)成解決方案

將上述所有現(xiàn)成的安全措施完全集成到單個(gè)參考設(shè)計(jì)中是一項(xiàng)重要成就，它簡(jiǎn)化了終端制造商的產(chǎn)品開(kāi)發(fā)、認(rèn)證和制造（圖 5）。安全性是制造商面臨的主要問(wèn)題，因此經(jīng)過(guò)評(píng)估的參考設(shè)計(jì)可以帶來(lái)信心、節(jié)省資源并限制故障風(fēng)險(xiǎn)。它還以高效且具有成本效益的方式證明了符合最苛刻的安全要求（PCI PTS）。

圖 5.JIBEPOS參考設(shè)計(jì)的框圖顯示了它提供的各種功能。

軟件和應(yīng)用程序

終端由硬件組成，但相關(guān)軟件（不再局限于PIN輸入操作）近年來(lái)已擴(kuò)展到各種應(yīng)用。忠誠(chéng)度和其他與服務(wù)相關(guān)的應(yīng)用程序可以在設(shè)備上找到，并且需要復(fù)雜的軟件架構(gòu)來(lái)適應(yīng)圖形界面、多種接口（以太網(wǎng)、USB、GPRS 連接）、EMV 支持和非接觸式卡。強(qiáng)大的安全措施也給軟件設(shè)計(jì)帶來(lái)了復(fù)雜性：終端必須具有吸引力，但安全應(yīng)用程序不得泄露敏感數(shù)據(jù)，操作系統(tǒng)必須控制應(yīng)用程序之間的通信，加密服務(wù)不得暴露密鑰。盡管如此，現(xiàn)成的軟件通過(guò)節(jié)省開(kāi)發(fā)時(shí)間和幫助驗(yàn)證最終產(chǎn)品，為終端制造商帶來(lái)了許多好處。

例如，由Maxim提出的Secure Linux操作系統(tǒng)可用于DeepCover安全微控制器（USIP）和DeepCover安全微控制器（MAX32590）“JIBE”平臺(tái)，通過(guò)完全符合PCI PTS安全軟件要求，簡(jiǎn)化了開(kāi)發(fā)并限制了制造商的認(rèn)證風(fēng)險(xiǎn)。作為完整的 Linux 產(chǎn)品，它還可以訪問(wèn)該社區(qū)開(kāi)發(fā)的改進(jìn)，包括圖形界面、外圍驅(qū)動(dòng)程序和通信堆棧。

結(jié)論

上述三種架構(gòu)中的任何一種都可以在不犧牲安全性的情況下產(chǎn)生增強(qiáng)的支付終端。上述IC是經(jīng)過(guò)驗(yàn)證的現(xiàn)成器件，可提高安全性、簡(jiǎn)化集成并降低功耗。無(wú)論是直接使用，還是與現(xiàn)成的安全孤島結(jié)合使用，還是完全嵌入到安全且經(jīng)過(guò)驗(yàn)證的參考設(shè)計(jì)中，它們都能縮短上市時(shí)間并限制認(rèn)證失敗的風(fēng)險(xiǎn)。制造商可以使用其他軟件來(lái)完成解決方案，使他們能夠節(jié)省時(shí)間、限制風(fēng)險(xiǎn)并專注于他們的核心技能。

審核編輯：郭婷