摘要:目前指紋識別技術(shù)已經(jīng)逐步成為手機的標配功能,通過(guò)指紋可以完成身份認證和支付類(lèi)功能,為人們提供了極大的生活便利。但是考慮到目前指紋算法處理能力和安全保護措施還存在不少技術(shù)問(wèn)題和安全隱患,因此大唐微電子結合自身優(yōu)勢自主完成了高性能的指紋算法處理芯片DMT-FAC-CG4Q能夠提供支持國密加解密協(xié)處理器,為高安全可控應用提供了硬件基礎。
應用現狀
目前指紋解決方案中大都使用指紋軟算法形式,即指紋算法在普通MCU芯片中運行,該方案安全性較差,指紋處理過(guò)程容易被入侵,指紋特征數據容易被竊取,比對結果可能被偽造,無(wú)法保證指紋算法存儲安全,指紋特征數據存儲安全和指紋數據傳輸安全,采用指紋算法安全處理芯片,將指紋算法加載到專(zhuān)用芯片中,并通過(guò)安全防護進(jìn)行保護,可保證存儲及傳輸安全。 現在指紋手機基本都存在安全問(wèn)題,2013年,Moto部分手機TrustZone內核被破解,可解鎖Bootloader,加載任意系統;2015年4月三星GalaxyS5攻擊者root內核后,可直接訪(fǎng)問(wèn)指紋設備獲取指紋,通過(guò)指紋冒充用戶(hù)。主要是因為目前手機中使用TEE存儲敏感安全數據,TEE的存儲安全性不夠,無(wú)法保證關(guān)鍵數據的安全;TEE防御物理攻擊能力較差,在外部?jì)却嬷械臄祿痛a可能被篡改;TEE實(shí)現可能存在漏洞,代碼越來(lái)越多導致bug數量增多,多種TEE系統并存,導致實(shí)現越來(lái)越復雜。所以當前TEE還無(wú)法達到SE的安全級別。
安全防護技術(shù)
指紋算法安全處理芯片提供可信的運行環(huán)境、可信的存儲環(huán)境、安全的傳輸接口;采用多種安全防護技術(shù):(一)物理安全防護:采用頂層金屬覆蓋,主動(dòng)防剝離探測技術(shù);采用Active fuse,提供對芯片測試態(tài)的保護;布局上對關(guān)鍵信號線(xiàn)特殊處理,防止物理探測。(二)系統安全防護:采用存儲器訪(fǎng)問(wèn)控制技術(shù),存儲器加密及總線(xiàn)加擾技術(shù),時(shí)鐘加擾技術(shù),隨機數在線(xiàn)檢測技術(shù),芯片關(guān)鍵數據管理技術(shù)等。(三)算法安全防護:支持國際和國密算法,采用隱藏技術(shù)和掩碼技術(shù),保證算法安全。(四)環(huán)境安全防護:采用電壓檢測器、頻率檢測器、溫度檢測器、電源Glitch檢測器、光檢測器、時(shí)鐘毛刺過(guò)濾器、真隨機數發(fā)生器等。
通過(guò)多種安全防護技術(shù),可防御入侵式攻擊(探針、強制、操控、逆向工程等)、信息泄露攻擊(旁路攻擊、時(shí)序分析、功率/電磁縫隙)、故障攻擊(電壓毛刺、光攻擊、對加密算法的差分故障攻擊等)、組合攻擊(功率分析+光攻擊+逆向攻擊等)等多種攻擊方式,保證數據存儲和傳輸的安全。
基于我司獨有的高安全防護技術(shù),大唐電信旗下大唐微電子推出了高安全指紋算法安全處理芯片DMT-FAC-CG4Q.
大唐指紋算法安全處理芯片DMT-FAC-CG4Q
DMT-FAC-CG4Q 指紋算法安全處理芯片采用高安全、高性能、低功耗的 CPU 內核,是一款集成了國際常用加密算法和國密安全算法的多應用芯片,內部集成獨立的安全協(xié)處理器,運用多種芯片安全技術(shù),達到 EAL4+、國密安全芯片等要求。同時(shí),獨立的安全協(xié)處理器可為敏感數據的處理提供安全的運行環(huán)境及存儲環(huán)境,可應用于高安全指紋識別及金融支付等領(lǐng)域。
圖1 DMT-FAC-CG4Q芯片框圖
· CPU 處理器內核ARMSC300 內核主頻 100MHz高性能、高安全、低功耗
· 存儲器
512KBFlash,144KBSRAM,4KB 加解密 RAM
· 通訊接口
USB2.0,支持 FullSpeed和HighSpeed 速率
ISO7816,支持 T=0 和 T=1,一個(gè)主從可配,一個(gè)主,共 2 個(gè)。
SPI,主/從可配,共三個(gè),12M 以上
UART,最高速率 115200bps ?
I2C,主/從可配,支持三種速率
NFC,16位數據接口
· 信息安全模塊
DES/3DES/AES/EC/RSA(4096bit)/SHA-1/SM1/SM2/SM3/SM4/SSF33
· 功耗控制
四種芯片休眠模式——淺休眠、半休眠、深休眠、全芯片休眠
· 安全防護
獨立的硬件安全處理模塊;
支持SM1/SM2/SM3/SM4國密算法;
支持DES/RSA/SHA1等國際算法;
支持加密FLASH及加密RAM;
總體架構符合SmartSA_32安全架構要求;
芯片完整性物理版圖保護;
CPU內部支持核心模式和用戶(hù)模式兩級安全保護機制;
芯片內部數據總線(xiàn)動(dòng)態(tài)加解擾;
存儲器保護單元MPU實(shí)現細粒度/可配置的各項地址檢查;
ISO7816接口時(shí)鐘干擾濾波;
高/低電壓探測器;
高/低頻率探測器;
高/低溫度探測器;
SPA/DPA抗攻擊設計;
異常工作狀態(tài)檢測;
已獲得國密二級、銀聯(lián)芯片安全認證、國內 EAL4+;
高安全指紋應用方案:
1、二代身份證指紋核驗解決方案
二代身份證加載指紋后,在二代證讀寫(xiě)機具中需要加入指紋模塊,實(shí)現人、證一致性比對,解決實(shí)名制核驗問(wèn)題。指紋屬于敏感保密數據,需要安全運行環(huán)境和存儲環(huán)境,大唐微電子指紋核驗解決方案,可保證數據安全。
· 高安全ARM SC300內核的MCU、內嵌多重安全防護機制,可抵抗多種形式攻擊;
· 符合公安部一所檢測標準的指紋比對算法;
· 支持192*192、208*288、256*360多種尺寸的傳感器;
· 保證指紋算法、指紋數據的安全存儲及傳輸。
2、手機終端加密應用解決方案:
目前手機中,指紋算法在TEE中運行,指紋特征數據在TEE中存儲,容易被攻擊和篡改,而且指紋算法在TEE中運行,移植較復雜,開(kāi)發(fā)周期較長(cháng)。如果指紋算法在單獨的,環(huán)境較簡(jiǎn)單的、高安全的SE環(huán)境中運行,可以保證算法運行安全和指紋數據安全,且開(kāi)發(fā)簡(jiǎn)單,容易實(shí)現。
· 支持SPI接口,兼容主流SENSOR;
· 提供運行安全及存儲安全;保證算法發(fā)行安全;保證識別結果輸出安全;
· DMT-FAC-CG4Q接口較全,可同時(shí)作為Sensor Hub使用。
· 可同時(shí)作為加密芯片使用,實(shí)現語(yǔ)音、數據等加密。
結束語(yǔ)
隨著(zhù)指紋識別技術(shù)應用越來(lái)越廣泛,越來(lái)越被大眾所接受,在金融、公安、機場(chǎng)、教育、智能化樓宇、PC電腦、移動(dòng)終端等領(lǐng)域,指紋識別應用場(chǎng)景越來(lái)越多,指紋作為身份的象征,其安全性不言而喻,提供高安全的解決方案,對人身財產(chǎn)安全有重要的作用。
