ESAM加密認(rèn)證模塊知識分享

1、Good is good, but better carries it.精益求精，善益求善。ESAM加密認(rèn)證模塊-嵌入式加密認(rèn)證模塊ESAM1、HYPERLINKl基本概念基本概念2、HYPERLINKl硬件平臺硬件平臺3、HYPERLINKlTIMECOSTimeCOS操作系統(tǒng)4、HYPERLINKl參數(shù)技術(shù)參數(shù)5、HYPERLINKl應(yīng)用領(lǐng)域應(yīng)用領(lǐng)域6、HYPERLINKl標(biāo)準(zhǔn)ISO及行業(yè)標(biāo)準(zhǔn)1、基本概念ESAM（EmbeddedSecureAccessModule）嵌入式加密認(rèn)證模塊，采用專用的智能卡芯片模塊封裝（DIP、SOP或COB形式），操作系統(tǒng)采用握奇公司自主知識產(chǎn)權(quán)的TimeC

2、OS嵌入式安全操作系統(tǒng)，除了具有防檢測、抗攻擊、自毀等硬件特性外，還具有安全的文件密鑰管理，完善的安全機(jī)制、標(biāo)準(zhǔn)的加解密運(yùn)算功能等特性，ESAM最主要的應(yīng)用模式是嵌入到其他專用或通用設(shè)備中，除了可作為設(shè)備的唯一標(biāo)識（每個(gè)模塊具有全球唯一的序列號碼），提供安全的硬件平臺以存儲密鑰和重要數(shù)據(jù)外，還可以利用內(nèi)置算法完成數(shù)據(jù)的加密解密、雙向身份認(rèn)證、訪問權(quán)限控制、通信線路保護(hù)、臨時(shí)過程密鑰導(dǎo)出等多種功能?？蓮V泛應(yīng)用于需要加密或身份認(rèn)證功能的智能設(shè)備中。2、硬件平臺采用德國億恒科技公司（Infineon原西門子半導(dǎo)體）的保密控制器系列產(chǎn)品SLE44CXX系列或SLE66CXX系列芯片作為硬件平臺，安全性

3、能達(dá)到國際ITSECE4級標(biāo)準(zhǔn)，具有防檢測，抗攻擊，自毀等特性。1）SLE66CX160S芯片原理圖ESAMOtherNVMRNGEEPROMPROMROMInterruptCLKRSTI/OSecurity+SleepLogicCPU*RNG-隨機(jī)數(shù)發(fā)生器ACE-超級加密處理器ACEROMXRAMRAMCPU+SL保護(hù)EEPROM區(qū)的數(shù)據(jù)安全，防止外部非法的接入和攻擊.RAM操作系統(tǒng)用來存儲命令參數(shù)、應(yīng)答、安全狀態(tài)和過程工作密鑰.ROM存儲芯片操作系統(tǒng)COS（ChipOperationSystem）.EEPROM以文件的形式存儲數(shù)據(jù)和密鑰,條件滿足的情況下允許讀寫和更改.2）硬件安全性1）高

4、端安全智能卡專用微處理器硬件平臺(ITSECE4級)2）ROM和EEPROM安全3）真正的隨機(jī)數(shù)發(fā)生器RNG4）DES加速器及RSA協(xié)處理器5）高頻/低頻以及高壓/低壓檢測6）數(shù)據(jù)加密及地址串?dāng)_7）防DPA/SPA攻擊3）模塊俯視圖及管腳分配（SLE44系列2K字節(jié)是DIP8封裝，SLE44系列8K字節(jié)是SOP8封裝，SLE66系列是SOP16封裝）管腳號分配管腳號分配1地(GND)5空(NC)2空(NC)6時(shí)鐘(CLK)3輸入/輸出(I/O)7復(fù)位(RST)4空(NC)8電源電壓(VCC)3、TimeCOS芯片操作系統(tǒng)COS（ChipOperationSystem）即芯片操作系統(tǒng)，就象計(jì)算機(jī)

5、的DOS一樣，是ESAM加密認(rèn)證模塊芯片內(nèi)部CPU的操作系統(tǒng)，是ESAM加密認(rèn)證模塊的核心。該操作系統(tǒng)針對不同的應(yīng)用具有不同的版本，主要有普通DES、3DES算法的PBOC版本，具有RSA算法的PK系列版本，以及雙界面應(yīng)用的DI版本，還可根據(jù)用戶的需要增加不同的算法和功能，可廣泛適用于各種IC卡表、金融終端、通信終端、交通收費(fèi)終端、機(jī)頂盒等終端設(shè)備中，可作為身份的標(biāo)識進(jìn)行身份認(rèn)證，也可以作為安全的平臺存儲各種安全密鑰和關(guān)鍵數(shù)據(jù)，以及產(chǎn)生隨機(jī)數(shù)，進(jìn)行加解密運(yùn)算等，可以幫助終端設(shè)備實(shí)現(xiàn)很多安全功能。TimeCos已經(jīng)在多種硬件芯片上實(shí)現(xiàn)，包括西門子SLE44/66系列，三星KS88C92008，菲

6、立浦P83C864等。TimeCOS的結(jié)構(gòu)TimeCOS由傳輸管理、文件管理、安全體系、命令解釋四個(gè)功能模塊組成傳輸管理支持ISO7816標(biāo)準(zhǔn)T=0和T=1通信協(xié)議.文件管理將用戶數(shù)據(jù)以文件的形式存儲在EEPROM中，保證訪問文件時(shí)快速性和數(shù)據(jù)安全性.安全體系操作系統(tǒng)的核心部分,包括卡的驗(yàn)證與核實(shí)和對文件訪問時(shí)的權(quán)限控制機(jī)制.命令解釋根據(jù)接收到的命令檢查各項(xiàng)參數(shù)是否正確，執(zhí)行相應(yīng)的操作，命令類型。TimeCOS的特點(diǎn)：符合ISO7816、PBOC等國際標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；支持層次化文件結(jié)構(gòu)，可建立三級目錄，適合一卡多用的要求；支持二進(jìn)制、定長記錄、變長記錄、循環(huán)記錄、錢包記錄等多種文件類型；支持T

7、=0（字符傳輸，默認(rèn)方式）和T=1（塊傳輸）通訊協(xié)議并可以相互轉(zhuǎn)換；支持標(biāo)準(zhǔn)DES和三重DES算法，根據(jù)密鑰程度自動(dòng)選擇算法；支持包括明文、加密、加密及MAC三種方式的文件和密鑰操作通信線路保護(hù)；多種通信速率可選：缺省值9.6kbps，可選19.2kbps、38.4kbps、76.8kbps；多種EEPROM容量可選：推薦2k字節(jié)，可選4k、8k、16k、32k字節(jié)；具有主密鑰加密工作方式，能夠?qū)τ脩艨ǖ姆稚⑼獠空J(rèn)證密鑰進(jìn)行認(rèn)證；支持明文、加密、加密及MAC三種密鑰安裝和密鑰更新方式；可以根據(jù)用戶特殊需求，刪除、增加或修改某些特定功能并可定制新功能；3）軟件的安全性1）中國人民銀行認(rèn)證2）軟件

8、版權(quán)登記3）軟件產(chǎn)品認(rèn)證4）商密委認(rèn)證5）3000萬片發(fā)行量6）4年多的使用實(shí)踐檢驗(yàn)典型認(rèn)證方式ESAM外部認(rèn)證流程（基于隨機(jī)數(shù)理論的典型認(rèn)證方式）設(shè)備用戶卡(ESAM)Mkey.key.取用戶卡序列號計(jì)算用戶卡認(rèn)證密鑰送序列號SerNokey=DES(SerNo,Mkey)取隨機(jī)數(shù)計(jì)算隨機(jī)認(rèn)證碼送隨機(jī)數(shù)RNDRZM=DES(RND,key)送RZM作外部認(rèn)證內(nèi)部計(jì)算認(rèn)證碼RZM=DES(RND,key)比較RZM?=RZM,若相等則認(rèn)證成功,否則不成功。送認(rèn)上述key是密藏在用戶卡內(nèi)的一個(gè)外部認(rèn)證密鑰，Mkey是密藏在ESAM內(nèi)的一個(gè)種子密鑰，即由Mkey和用戶卡序列號可推導(dǎo)出key。在上述

9、的認(rèn)證過程中，ESAM和用戶卡之間的信道只傳遞卡序列號和隨機(jī)碼，其他操作都是在ESAM和用戶卡內(nèi)部進(jìn)行，外界無法得到任何密鑰信息，避免通過信道偵聽密鑰的企圖。4、技術(shù)參數(shù)硬件技術(shù)性能參數(shù)技術(shù)指標(biāo)SLE44CxxSLE66Cxx三星KS88SC92008菲立浦P83C864CPU8位保密控制器8/16位保密控制器8位保密控制器8位保密控制器程序空間ROM17K32K32K20KRAM256字節(jié)256字節(jié)256字節(jié)256字節(jié)EEPROM512字節(jié)/1K/2K/4K/8K/16K時(shí)鐘頻率1-5MHZ可選，缺省為3.57MHZEEPROM壽命可檫寫500,000次檫寫時(shí)間檫寫1/2/4/8/16字節(jié)需

10、5.28/5.31/5.38/5.52/5.8毫秒數(shù)據(jù)保存時(shí)間10年工作電壓2.7-5.5V,缺省為5V工作電流小于10mA省電模式當(dāng)TimeCOS等待接受命令時(shí)處于休眠狀態(tài),最大電流100微安溫度-25+70攝氏度通訊方式異步串行單雙工通訊速率接觸模式下支持9600bps,19200bps,38400bps,76800bps,缺省為9600bps非接觸模式下為106Kbps通信協(xié)議接觸模式下支持T=0,T=1可選,缺省為T=0非接觸模式下:三星KS88SC92008支持ISO14443TypeB菲立浦P83C864支持ISO14443TypeAAPDU長度APDU的最大長度為183字節(jié)Tim

11、eCOS技術(shù)性能參數(shù)以下參數(shù)的測試條件為：接觸模式、工作時(shí)鐘3.57MHZT=0協(xié)議、波特率為9600bps，參數(shù)本身只包括命令或運(yùn)算的執(zhí)行時(shí)間，而不包括通訊時(shí)間。時(shí)間單位為ms。技術(shù)指標(biāo)SLE44系列芯片SLE66系列芯片三星KS88SC92008菲立浦P83C864TripleDES時(shí)間37160.20.2SHA算法時(shí)間147ms/64bytes73ms/64bytesRSA簽名時(shí)間96RSA認(rèn)證時(shí)間18RSA加密時(shí)間21RSA解密時(shí)間268FAC簽名時(shí)間95ms/32bytes5、應(yīng)用領(lǐng)域計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展給人類的生活方式帶來了巨大的變革，信息技術(shù)給人們帶來方便、快捷的同時(shí)也帶

12、來了很多安全隱患，越來越多的信息、系統(tǒng)、設(shè)備需要安全技術(shù)，安全設(shè)備的保護(hù)，面對巨大的市場需求，ESAM加密認(rèn)證模塊應(yīng)運(yùn)而生。ESAM的安全特性決定了它具有廣泛的應(yīng)用領(lǐng)域，凡是需要保密、加密、身份認(rèn)證、防偽等涉及到數(shù)據(jù)安全的領(lǐng)域，都可以使用ESAM模塊，ESAM可以用來幫助保護(hù)您的財(cái)產(chǎn)和利益，幫助您確認(rèn)身份、識別真?zhèn)?，幫助您的系統(tǒng)和設(shè)備安全運(yùn)行、幫助您的軟件或設(shè)備防止剽竊和盜版，成為您的數(shù)據(jù)保護(hù)神。握奇智能公司現(xiàn)已成功地將ESAM模塊應(yīng)用到：智能卡表：智能卡電表、水表、燃?xì)獗?、熱力表等；通信設(shè)備：加密Modem、安全路由器、加密傳真機(jī)；金融設(shè)備：加密密碼鍵盤、金融POS機(jī)、支付密碼器、銀行密碼箱；稅控設(shè)備：稅控出租車計(jì)價(jià)器、稅控加油機(jī)、稅控收款機(jī)；交通收費(fèi)：停車咪表、公共汽車自助收費(fèi)終端設(shè)備、車載路橋自動(dòng)收費(fèi)終端設(shè)備；條件接收：電視機(jī)頂盒（STB）、PC接收卡，其他加解擾前端或終端設(shè)備；信息家電：智能卡收費(fèi)空調(diào)、網(wǎng)絡(luò)電視及冰箱等家用產(chǎn)品。產(chǎn)品防偽：軟件產(chǎn)權(quán)保護(hù)、OEM集成電路生產(chǎn)控制相信還有很多涉及數(shù)據(jù)安全的領(lǐng)域，ESAM也能夠發(fā)揮作用，滿足您的各種安全需要。握奇智能公司具有數(shù)據(jù)安全領(lǐng)域領(lǐng)先的技術(shù)，我們能夠?yàn)槟漠a(chǎn)品開發(fā)提供最底層的接口數(shù)據(jù)，包括MCS51系列、