设计满足PCI PTS 3.x要求的下一代支付终端

本应用笔记讨论了如何设计增强型且安全的支付终端。我们揭示了制造商在PCI-PED PTS认证方面面临的陷阱，并解释了如何使用基于DeepCover安全微控制器（MAXQ1850）的双芯片架构来解决这些问题。

基于卡的交易正在飙升，110年全球超过2009亿。这种扩张有几个原因。越来越多的全球支付方案保证了广泛的接受，可用的技术和标准化工作使商家的交易更加可靠、方便和廉价。然而，也许基于卡的交易成功的最重要因素是持卡人对支付系统的信心不断增强——从最初的购买到借记卡，等等。

新终端，新趋势

金融终端已成为支付产品公司提供一系列新服务的工具。终端不再是简单的读卡机。它们已成为能够执行事务、管理库存和运行业务应用程序的复杂计算设备。用于描述终端的新术语清楚地表明了这种不断变化的角色：以前称为销售点（POS）设备，现在称为交互点（POI）系统。POI 系统现在必须更快、更轻松地进行通信（例如，使用 USB、以太网、Wi-Fi 或蓝牙）。它们必须支持多个并发应用程序并处理多种卡类型（支付卡、会员卡等）。

使用条件也发生了变化。POI有时必须在潮湿的环境中运行，无论是外部还是内部。它们通常便于携带且符合人体工程学，具有视觉吸引力的外形，可与商家的形象相得益彰。对可用技术的广泛重用使终端的外观和感觉就像我们熟悉的日常设备，例如智能手机、笔记本电脑和游戏机。现代 POI 采用类似的设计美学，具有丰富的彩色显示屏，使用复杂的触摸屏界面，并提供便于集成到信息系统中的连接功能。充分利用这些硬件技术还可以实现软件重用，从现成的操作系统到允许硬件层抽象的软件堆栈。一般来说，软件重用可以加快开发速度，降低验证风险，并以更低的研发成本加快上市时间。

终端安全

POI终端和消费电子（CE）设备之间的主要区别在于需要高级别的安全性。EMV* 卡的全球部署意味着全球威胁。如果没有适当的对策，可以在全球范围内快速执行攻击。此外，进行攻击所产生的费用（在工具、花费的时间等方面）可能会更高，因为投资回报率更高。因此，对安全的最大威胁现在被认为是犯罪集团。

当今复杂的金融终端提供的交互功能、多种通信接口和高级服务都为攻击者打开了大门。作为对策，已经作出协调努力，使这些高级服务适应抵御攻击所需的安全级别。支付卡行业安全标准委员会 （PCI SSC） 由主要的支付产品公司（美国运通、JCB、万事达卡和维萨）创立，旨在标准化整个行业的安全工作。

PCI SSC开发了一项称为PIN交易安全（PCI PTS）的标准，以定义金融终端安全的要求。PCI PTS 以前称为 PCI PIN 输入设备 （PCI PED） 标准，可解决试图从 POI 系统中提取 PIN 码和加密密钥的物理和逻辑攻击。基于现场经验和实验室研究，PCI PTS 概述了每种攻击的安全机制：物理篡改、环境修改、软件接口攻击、密码分析攻击以及对制造商设置的安全策略的威胁（密钥管理、版本控制系统、组织和安全管理）。PCI PTS 努力保护 PIN 码，只要它们在终端内或通向智能卡的路径上是纯文本格式。

物理要求阻止攻击者打开终端并插入PIN记录设备，防止在输入或传输PIN时捕获电磁发射，或修改终端的行为。逻辑要求可防止攻击者修改读卡器并控制终端上运行的应用程序，以检索、记录或传输 PIN 码和其他敏感数据。

附加要求保护磁条（磁条）数据。每个 PCI PTS 要求都对应于特定类别的攻击，并与所需的最低抵抗级别相关联，该级别由 16 到 35 之间的数值表示。为了通过指定的要求，支付终端必须表现出与最小攻击潜力相称的阻力，也称为攻击值。

这种攻击值方法的灵感来自 ITSEC 的智能卡联合解释库，并基于目标知识、攻击持续时间以及攻击者的资源和专业知识。这些类别中的每一个都包括多个级别，每个级别都被评为特定值。在考虑攻击时，每个类别的值的总和表征攻击值。例如，文档类别包括三个级别：公共、受限和机密。如果特定事件涉及对受限文档的攻击，则该级别（受限文档）的值将添加到攻击总和中。

对每个要求的抵抗力的估计由认可的安全实验室执行，有关批准（例如终端）的最终决定仍由PCI PTS成员决定。由于攻击者可以访问支付终端，因此PCI PTS指定了针对敏感持卡人数据受到许多威胁的保护级别。PCI PTS 不提供针对此类暴露的解决方案，因此由制造商决定如何满足安全要求。由于PCI PED 2.1的安全要求已被PCI PTS 3.1（截至2012年<>月）所取代，终端制造商将面临更多挑战。

PCI PTS 3.x

支付终端的PCI安全要求包含重要的改进，并已得到加强以抵御最新的威胁。或者，其新方法促进了模块化开发，可以简化制造业务。这种演变表现为术语从PIN输入设备（PED）到POI设备的变化，这反映了使用的变化。终端像以前一样执行金融交易，但现在它们的功能远不止于此，新术语向制造商表明PCI SSC已考虑这种功能扩展。

从流程的角度来看，认证已经简化为提出涵盖所有类别设备（POS，EPP，自动售货机，信息亭）的单一评估，组织为两个强制性评估模块：设备核心要求和设备集成要求。还提出了两个新的可选评价模块。

从安全角度来看，根据现场的反馈，对要求进行了略微修改和加强。主要要求的攻击值从一点增加到两点，特别是与物理篡改（键盘、磁条和卡槽）相关的攻击值。攻击成本值现在介于 16 到 35 之间（PCI PED 14.35 为 2 到 1）。此外，通过给定要求的规则现在更加严格。旧标准仅要求攻击准备值和攻击漏洞利用值的总和等于最小数量;现在，攻击漏洞利用值本身必须具有最小值。（准备是攻击者研究问题、设计方法并测试其设备的识别阶段。在利用阶段，攻击者前往公共场所并实际尝试窃取数据。

其他新要求明确涉及新的 POI 架构和服务。例如，需求B17考虑了托管在同一终端上的多个应用程序的上下文，这充分反映了现代终端的软件架构。另一个例子是创建新的可选评估模块：开放协议模块处理开放/公共网络上的安全性，通常解决来自IP连接终端的安全问题，类似于PC每天面临的威胁。数据安全读取和交换 （SRED） 模块定义了保护终端内持卡人账户数据的要求。表 1 列出了最苛刻的安全要求，以及高效、经济高效的终端设计的功能要求。

管理安全措施的费用

终端制造商面临着设计满足严格安全要求的强大、时尚的 POI 的挑战。然而，在内部开发和维护安全专业知识是一项昂贵的苦差事，需要专门的专家团队和大量的研发资源。这种负担对新来者构成了巨大的进入壁垒，但它并没有为成熟的制造商提供竞争优势。毕竟，安全认证对所有支付终端都是强制性的。

因此，标准化为专业商业供应商的安全模块创造了一个市场。由于认证不是一个差异化功能，制造商可以自由使用现成的安全产品来满足认证要求。与内部开发的产品相比，这些产品具有多种优势。

它们使终端制造商能够专注于增值功能。安全性不是一个专门的功能，而是所有终端的标准和基本要求。通过与安全供应商建立合作伙伴关系，制造商能够专注于为其金融终端增加价值。

成本效率的提高允许开发复杂的安全机制。由于研发成本由多个客户分担，因此安全产品制造商能够开发单个终端制造商无法企及的先进技术。先进技术通过促进更深层次的集成，使安全机制更加高效。随着安全要求变得更加复杂，这种规模经济变得越来越重要。事实上，我们需要具有专业知识的专业安全供应商来提出有效的对策。

使用经批准的模块可降低风险并加快 POI 认证。通过对现成的安全产品进行安全评估并获得PCI PTS批准，模块制造商降低了终端设计人员的开发风险。这种互补性工作简化了安全集成并加快了终端认证。

安全体系结构概述

三种主要架构管理着当今的支付终端。它们的不同之处在于访问安全服务的方式、资产与终端中的其他功能集成以及满足要求的方式（见表 1）。

安全经理

第一个终端架构使用安全管理器为通用μC增加安全性。安全管理器保护敏感凭据并检测物理或环境篡改（例如，温度或电压的变化）。它还通过提供外部传感器输入来保证密钥存储的保护，从而允许连接安全盖、PCB 网格和篡改传感器（图 1）。

图1.这种支付终端架构基于安全管理器 IC。

Maxim的DeepCover安全管理器（DS3600）等安全管理器采用获得专利的非印记存储器架构，将加密密钥存储在片上非易失性（NV）SRAM中。这种电池备份的存储器消除了由于氧化物应力而导致的存储器印记问题，从而防止黑客被动检测受压存储器单元中的数据残留物的可能性。当检测到入侵时，芯片会立即完全擦除NV SRAM内容。可以在这些安全管理器上找到其他安全服务，例如随机数生成。所有剩余的服务和功能均由通用微控制器（μC）执行，包括加密服务和敏感接口控制。®

双芯片架构（两个微控制器）

第二种方法是在通用μC和安全配套芯片之间分配计算和安全功能（图2）。通用μC执行所有与安全无关的任务，而安全协处理器（还包含一个μC）控制每个敏感接口，执行加密计算，并充当报警系统。

图2.双芯片架构将通用μC与安全μC相结合。

两个μC之间的接口经过专门控制，以防止敏感信息泄漏。这种架构特别适合使用现成产品来满足PCI PTS要求的现代POI设计。您可以仅根据性能、连接性和计算能力等功能标准选择通用μC，并让安全μC处理所有安全功能，例如PIN和密钥管理、存储器备用电池、篡改检测和加密计算。通过允许使用预先批准的现成器件，您可以完全根据实现PCI PTS安全认证的要求选择此μC。

安全伴侣芯片

其中一种芯片，即32位DeepCover安全微控制器（MAXQ1850），设计用于任何通用μC的配套器件。它满足了最严格的PCI PTS要求，如其安全评估报告所示：

物理防篡改保护由连接到电池备份存储器的篡改响应传感器提供，篡改后会立即擦除

针对故障和环境扰动（毛刺、极端温度等）提供强大保护

由嵌入式存储器托管的敏感资产（密钥和固件）

嵌入式存储器的芯片屏蔽保护

所有必需算法的安全加密实现（侧信道对策）

用于生成密钥的安全随机源

直接控制敏感的外围设备（例如，智能卡、键盘和显示器）

MAXQ1850满足表1中的关键安全性和设计要求。其高性能RISC内核、低引脚数和关键模块的集成使其非常适合各种POI系统，包括具有超小尺寸的便携式设备。图2所示为MAXQ1850如何简化采用双芯片架构的POI设计。

智能卡接口上的I/O选择机制允许系统仅使用一个接口管理两张卡，而智能卡接口芯片（DS8024）则通过SPI端口进行控制。

SPI 端口在智能卡接口和 LCD 之间共享，使用 GPIO 作为片选。

级联SPI至GPIO转换器（MAX7317）简化了可重新配置的GPIO/SPI端口的管理，以便并行访问外设。此配置使用 GPIO 作为磁条读取器、键盘等的芯片选择。

USB 链路连接安全 μC 和通用 μC，以便通过安全应用编程接口 （API） 进行接口。

集成安全微C

自PCI PED认证出现以来，第三种方法广泛用于保护金融终端，方法是选择包含高度集成、高性能安全μC的单芯片架构（图3）。与通用微控制器一样，这些μC采用最新的半导体技术制造;具有多种通信接口，如USB、SPI和智能卡;并且能够运行功能丰富的操作系统，例如 Linux 操作系统。它们嵌入了以高频运行的现代处理器，并且能够管理大型外部存储器，例如NOR和NAND闪存以及各种RAM。®

图3.最紧凑的端子架构集成了单个μC，其中包括所有必要的安全措施。

与安全管理器一样，这些设备嵌入了安全的NV SRAM和篡改/监控传感器。与配套芯片一样，它们运行安全的加密算法，如3DES、AES和RSA，这些算法可以抵抗差分功率分析（DPA）和简单功耗分析（SPA）。这种高度集成在安全方面和物料清单 （BOM） 方面都提供了许多好处。

安全机制集成在硅级，其规模只能是复杂的攻击。集成保证了启动的完整信任链，也适用于紧急情况和警报情况 - 警报信号不会被切断。由于关键功能已经聚集在芯片中，因此降低了由于引入薄弱环节而导致集成不良的设计风险。在使用集成的动态外部存储器加密引擎时，它还避免了对额外安全外壳的需求。

软件安全性也受益于这种集成，因为安全机制依赖于硬件密集型标准化机制，例如内存管理单元 （MMU）。请注意，敏感和非敏感应用程序之间的分离在单芯片方法的软件级别执行，但在双芯片架构的硬件级别执行。软件分离目前以三种不同的方式实现，其中没有一种是排他性的。第一种使用“虚拟机监控程序”，将安全和不安全的应用程序拆分到单独的容器中。第二个使用操作系统，如Linux，它直接拆分应用程序，第三个使用Java软件或类似Java的虚拟机来处理单独的安全小程序。®

一体化集成通过减少所需的芯片数量、减少 PCB 尺寸并允许使用更具吸引力的外形尺寸来简化端子设计。它还通过只需要一个工具链并支持一个μC内核来加快开发速度。在其他供应商中，Maxim提供各种高度集成的16至32位安全μC，工作时钟速度高达200MHz。

选择安全μC时，应选择PCI PTS实验室执行的安全评估报告附带的μC。该报告提供了完成完整实验室测试的信心，其中结果揭示了芯片供应商的专业知识水平和安全芯片获得的安全级别。第二个考虑因素是端子设计中集成的相对容易性。这种易用性取决于μC特性和供应商支持团队的实力。您应该寻找集成关键功能模块（如存储器、计时和篡改传感器）的μC，因为这种集成简化了PCB布线，同时以较小的尺寸支持关键安全功能。Maxim加入了PCI SSC组织，致力于为PCI SSC市场提供最先进的安全μC。

其中一种μC是DeepCover安全微控制器（MAX32590）“JIBE”，这是一款安全且功能强大的32位微控制器，使用ARM926™核心。这款低功耗器件在 400MHz 频率下提供卓越的性能。其安全功能包括具有即时擦除功能的 2KB 安全存储器、安全实时时钟 （RTC） 和可检测任何入侵的内置环境动态传感器。易失性和非易失性外部存储器（如 NAND、NOR 和 LPDDR）受到新型强大 AES-128 加密/完整性引擎的全面保护。相关的软件产品包括预先批准的 POI 参考设计、安全的 Linux 操作系统、加密库、EMV L1 库和 PCI PTS 辅助。

参考设计已通过 PCI PTS 3.x 认证

Maxim的参考设计（USIPOS）允许您构建终端，并确信其能够通过PCI评估;PCI PTS 3.x 认证为您的终端认证提供了一条快速途径。USIPOS 参考设计的主要功能包括无网状架构、PCI PTS 3.x 认证、BOM 优化硬件和安全的 Linux 操作系统，以及 EMV L1 和加密库以及硬件/软件指南。您可以从Maxim设计、布局和BOM开始，然后根据您的外壳定制设计，从而更快地将成品推向市场，同时降低风险和费用。

安全岛

除了安全芯片及其处理的资产之外，其他资产（如 PIN）也可能成为攻击的目标。作为预防措施，安全芯片外部的传感器用于在终端级别提供防止物理篡改的保护。由此产生的安全机制非常有效且集成良好，因此任何警报都会触发立即擦除安全内存。即便如此，这些传感器通常还是在片外进行监控，监控电路也可以保护其他物理区域，即暴露PIN等资产的区域。为此，终端制造商必须运用技能和知识来正确实施警报检测机制。报警传播和后果由安全芯片管理。

可通过键盘、磁条信号和智能卡插槽访问 PIN 和持卡人帐户数据等纯文本资产。因此，除了安全芯片本身采用的那些措施外，这三个领域还需要自己的安全措施。资产仅暴露在这些区域内，这就是为什么它们被称为“安全孤岛”（图 4）。

图4.由安全μC控制的传感器保护支付终端中的“安全孤岛”。

使用与现成安全芯片相同的方法，一些公司现在正在为其中一些安全区域提出现成的设计。最完整的解决方案是集成的安全智能卡插槽（如 C&K 安全智能卡插槽）和磁性加密头（如磁芯片组）。这些产品具有与上述安全芯片相同的优势——集成、提高安全性、降低风险和降低成本。

终极现成解决方案

将上述所有现成的安全措施完全集成到单个参考设计中是一项重要成就，它简化了终端制造商的产品开发、认证和制造（图 5）。安全性是制造商面临的主要问题，因此经过评估的参考设计可以带来信心、节省资源并限制故障风险。它还以高效且具有成本效益的方式证明了符合最苛刻的安全要求（PCI PTS）。

图 5.JIBEPOS参考设计的框图显示了它提供的各种功能。

软件和应用程序

终端由硬件组成，但相关软件（不再局限于PIN输入操作）近年来已扩展到各种应用。忠诚度和其他与服务相关的应用程序可以在设备上找到，并且需要复杂的软件架构来适应图形界面、多种接口（以太网、USB、GPRS 连接）、EMV 支持和非接触式卡。强大的安全措施也给软件设计带来了复杂性：终端必须具有吸引力，但安全应用程序不得泄露敏感数据，操作系统必须控制应用程序之间的通信，加密服务不得暴露密钥。尽管如此，现成的软件通过节省开发时间和帮助验证最终产品，为终端制造商带来了许多好处。

例如，由Maxim提出的Secure Linux操作系统可用于DeepCover安全微控制器（USIP）和DeepCover安全微控制器（MAX32590）“JIBE”平台，通过完全符合PCI PTS安全软件要求，简化了开发并限制了制造商的认证风险。作为完整的 Linux 产品，它还可以访问该社区开发的改进，包括图形界面、外围驱动程序和通信堆栈。

结论

上述三种架构中的任何一种都可以在不牺牲安全性的情况下产生增强的支付终端。上述IC是经过验证的现成器件，可提高安全性、简化集成并降低功耗。无论是直接使用，还是与现成的安全孤岛结合使用，还是完全嵌入到安全且经过验证的参考设计中，它们都能缩短上市时间并限制认证失败的风险。制造商可以使用其他软件来完成解决方案，使他们能够节省时间、限制风险并专注于他们的核心技能。

审核编辑：郭婷