、|
!_
一个人总要走陌生的路,看陌生的风景,听陌生的歌,然后在某个不经意的瞬间,你会发现,原本费尽心机想要忘记的事情真的就这么忘记了..
嵌 入 式 加 密 认 证 模 块
ESAM
1、基本概念
2、硬件平台
3、TimeCOS 操作系统
4、技术参数
5、应用领域
6、ISO及行业标准
1、基本概念
ESAM (Embedded Secure Access Module)嵌入式加密认证模块,采用专用的智能卡芯片模块封装(DIP、SOP或COB形式),操作系统采用握奇公司自主知识产权的TimeCOS嵌入式安全操作系统,除了具有防检测、抗攻击、自毁等硬件特性外,还具有安全的文件密钥管理,完善的安全机制、标准的加解密运算功能等特性,ESAM最主要的应用模式是嵌入到其他专用或通用设备中,除了可作为设备的唯一标识(每个模块具有全球唯一的序列号码),提供安全的硬件平台以存储密钥和重要数据外,还可以利用内置算法完成数据的加密解密、双向身份认证、访问权限控制、通信线路保护、临时过程密钥导出等多种功能。可广泛应用于需要加密或身份认证功能的智能设备中。
2、硬件平台
采用德国亿恒科技公司(Infineon原西门子半导体)的保密控制器系列产品SLE44CXX 系列或SLE66CXX 系列芯片作为硬件平台,安全性能达到国际ITSEC E4级标准,具有防检测,抗攻击,自毁等特性。
1)SLE66CX160S 芯片原理图
* RNG-随机数发生器
ACE-超级加密处理器
CPU+SL 保护 EEPROM 区的数据安全,防止外部非法的接入和攻击.
RAM 操作系统用来存储命令参数、应答、安全状态和过程工作密钥.
ROM 存储芯片操作系统COS (Chip Operation System).
EEPROM 以文件的形式存储数据和密钥,条件满足的情况下允许读写和更改.
2)硬件安全性
1)高端安全智能卡专用微处理器硬件平台 (ITSEC E4级)
2)ROM 和 EEPROM 安全
3)真正的随机数发生器 RNG
4)DES 加速器及RSA协处理器
5)高频/低频以及高压/低压检测
6)数据加密及地址串扰
7)防DPA/SPA攻击
3)模块俯视图及管脚分配(SLE44系列2K字节是DIP8封装,SLE44系列8K字节是SOP8封装,SLE66系列是SOP16封装)
3、TimeCOS 芯片操作系统
COS(Chip Operation System)即芯片操作系统,就象计算机的DOS一样,是ESAM加密认证模块芯片内部 CPU 的操作系统,是ESAM加密认证模块的核心。该操作系统针对不同的应用具有不同的版本,主要有普通DES、3DES算法的PBOC版本,具有RSA算法的PK系列版本,以及双界面应用的DI版本,还可根据用户的需要增加不同的算法和功能,可广泛适用于各种IC卡表、金融终端、通信终端、交通收费终端、机顶盒等终端设备中,可作为身份的标识进行身份认证,也可以作为安全的平台存储各种安全密钥和关键数据,以及产生随机数,进行加解密运算等,可以帮助终端设备实现很多安全功能。
TimeCos已经在多种硬件芯片上实现,包括西门子SLE44/66系列,三星KS88C92008, 菲立浦P83C864等。
1) TimeCOS 的结构
TimeCOS 由传输管理、文件管理、安全体系、命令解释四个功能模块组成
传输管理 — 支持 ISO7816标准 T=0 和 T=1 通信协议.
文件管理 — 将用户数据以文件的形式存储在EEPROM中,保证访问文件时快速性和数据安全性.
安全体系 — 操作系统的核心部分, 包括卡的验证与核实和对文件访问时的权限控制机制.
命令解释 — 根据接收到的命令检查各项参数是否正确,执行相应的操作,命令类型。
2) TimeCOS 的特点:
● 符合ISO7816、PBOC等国际标准和行业标准; ● 支持层次化文件结构,可建立三级目录,适合一卡多用的要求; ● 支持二进制、定长记录、变长记录、循环记录、钱包记录等多种文件类型; ● 支持T=0(字符传输,默认方式)和T=1(块传输)通讯协议并可以相互转换; ● 支持标准DES和三重DES算法,根据密钥程度自动选择算法; ● 支持包括明文、加密、加密及MAC三种方式的文件和密钥操作通信线路保护; ● 多种通信速率可选:缺省值9.6kbps,可选19.2kbps、38.4kbps、76.8kbps; ● 多种EEPROM容量可选:推荐2k字节,可选4k、8k、16k、32k字节; ● 具有主密钥加密工作方式,能够对用户卡的分散外部认证密钥进行认证; ● 支持明文、加密、加密及MAC三种密钥安装和密钥更新方式; ● 可以根据用户特殊需求,删除、增加或修改某些特定功能并可定制新功能; 3)软件的安全性
1)中国人民银行认证
2)软件版权登记
3)软件产品认证
4)商密委认证
5)3000万片发行量
6)4年多的使用实践检验
4) 典型认证方式
ESAM外部认证流程(基于随机数理论的典型认证方式)
设备 用户卡
(ESAM)
Mkey. key.
取用户卡序列号
计算用户卡认证密钥 送序列号SerNo
key’=DES(SerNo,Mkey)
取随机数
计算随机认证码 送随机数RND
RZM’=DES(RND,key’)
送RZM’作外部认证 内部计算认证码 RZM=DES(RND,key)
比较RZM?=RZM’,
若相等则认证成功, 否则不成功。
送认
上述key是密藏在用户卡内的一个外部认证密钥,Mkey是密藏在ESAM内的一个种子密钥,即由Mkey和用户卡序列号可推导出key。
在上述的认证过程中,ESAM和用户卡之间的信道只传递卡序列号和随机码,其他操作都是在ESAM
和用户卡内部进行,外界无法得到任何密钥信息,避免通过信道侦听密钥的企图。
4、技术参数
1) 硬件技术性能参数
2) TimeCOS 技术性能参数
以下参数的测试条件为:接触模式、 工作时钟3.57MHZ T=0协议、波特率为9600bps,
参数本身只包括命令或运算的执行时间,而不包括通讯时间。时间单位为ms。
5、应用领域
计算机技术和互联网的飞速发展给人类的生活方式带来了巨大的变革,信息技术给人们带来方便、快捷的同时也带来了很多安全隐患,越来越多的信息、系统、设备需要安全技术,安全设备的保护,面对巨大的市场需求,ESAM加密认证模块应运而生。ESAM的安全特性决定了它具有广泛的应用领域,凡是需要保密、加密、身份认证、防伪等涉及到数据安全的领域,都可以使用ESAM模块,ESAM 可以用来帮助保护您的财产和利益,帮助您确认身份、识别真伪,帮助您的系统和设备安全运行、帮助您的软件或设备防止剽窃和盗版,成为您的数据保护神。
握奇智能公司现已成功地将ESAM 模块应用到:
智能卡表:智能卡电表、水表、燃气表、热力表等;
通信设备:加密Modem、安全路由器、加密传真机;
金融设备:加密密码键盘、金融POS机、支付密码器、银行密码箱;
税控设备:税控出租车计价器、税控加油机、税控收款机;
交通收费:停车咪表、公共汽车自助收费终端设备、车载路桥自动收费终端设备;
条件接收:电视机顶盒(STB)、PC接收卡,其他加解扰前端或终端设备;
信息家电:智能卡收费空调、网络电视及冰箱等家用产品。
产品防伪:软件产权保护、OEM集成电路生产控制
相信还有很多涉及数据安全的领域,ESAM也能够发挥作用,满足您的各种安全需要。
握奇智能公司具有数据安全领域领先的技术,我们能够为您的产品开发提供最底层的接口数据,包括MCS51系列、ST62系列、PIC62系列、NEC78KO系列等单片机产品与ESAM模块之间通讯协议和典型应用程序(由上述 四种专用单片机之一汇编语言编制)及接口电路原理图。
6、ISO及相关行业标准
握奇智能公司自主知识产权的ESAM 模块符合ISO7816系列标准和PBOC -中国人民银行IC卡行业标准,符合《中国金融集成电路(IC)卡规范》,并于2001年6月通过了国家密码委员会的认证。目前在国内销量已超过1000万片。
本文来源:https://www.2haoxitong.net/k/doc/f9a7a96a25c52cc58bd6bed8.html
文档为doc格式