大唐微電子自主研發(fā)指紋算法處理芯片 提供支持國(guó)密加解密協(xié)處理器
目前指紋識(shí)別技術(shù)已經(jīng)逐步成為手機(jī)的標(biāo)配功能,通過(guò)指紋可以完成身份認(rèn)證和支付類功能,為人們提供了極大的生活便利。但是考慮到目前指紋算法處理能力和安全保護(hù)措施還存在不少技術(shù)問(wèn)題和安全隱患,因此大唐微電子結(jié)合自身優(yōu)勢(shì)自主完成了高性能的指紋算法處理芯片DMT-FAC-CG4Q能夠提供支持國(guó)密加解密協(xié)處理器,為高安全可控應(yīng)用提供了硬件基礎(chǔ)。
應(yīng)用現(xiàn)狀目前指紋解決方案中大都使用指紋軟算法形式,即指紋算法在普通MCU芯片中運(yùn)行,該方案安全性較差,指紋處理過(guò)程容易被入侵,指紋特征數(shù)據(jù)容易被竊取,比對(duì)結(jié)果可能被偽造,無(wú)法保證指紋算法存儲(chǔ)安全,指紋特征數(shù)據(jù)存儲(chǔ)安全和指紋數(shù)據(jù)傳輸安全,采用指紋算法安全處理芯片,將指紋算法加載到專用芯片中,并通過(guò)安全防護(hù)進(jìn)行保護(hù),可保證存儲(chǔ)及傳輸安全。 現(xiàn)在指紋手機(jī)基本都存在安全問(wèn)題,2013年,Moto部分手機(jī)TrustZone內(nèi)核被破解,可解鎖Bootloader,加載任意系統(tǒng);2015年4月三星GalaxyS5攻擊者root內(nèi)核后,可直接訪問(wèn)指紋設(shè)備獲取指紋,通過(guò)指紋冒充用戶。主要是因?yàn)槟壳笆謾C(jī)中使用TEE存儲(chǔ)敏感安全數(shù)據(jù),TEE的存儲(chǔ)安全性不夠,無(wú)法保證關(guān)鍵數(shù)據(jù)的安全;TEE防御物理攻擊能力較差,在外部?jī)?nèi)存中的數(shù)據(jù)和代碼可能被篡改;TEE實(shí)現(xiàn)可能存在漏洞,代碼越來(lái)越多導(dǎo)致bug數(shù)量增多,多種TEE系統(tǒng)并存,導(dǎo)致實(shí)現(xiàn)越來(lái)越復(fù)雜。所以當(dāng)前TEE還無(wú)法達(dá)到SE的安全級(jí)別。
安全防護(hù)技術(shù)指紋算法安全處理芯片提供可信的運(yùn)行環(huán)境、可信的存儲(chǔ)環(huán)境、安全的傳輸接口;采用多種安全防護(hù)技術(shù):(一)物理安全防護(hù):采用頂層金屬覆蓋,主動(dòng)防剝離探測(cè)技術(shù);采用AcTIve fuse,提供對(duì)芯片測(cè)試態(tài)的保護(hù);布局上對(duì)關(guān)鍵信號(hào)線特殊處理,防止物理探測(cè)。(二)系統(tǒng)安全防護(hù):采用存儲(chǔ)器訪問(wèn)控制技術(shù),存儲(chǔ)器加密及總線加擾技術(shù),時(shí)鐘加擾技術(shù),隨機(jī)數(shù)在線檢測(cè)技術(shù),芯片關(guān)鍵數(shù)據(jù)管理技術(shù)等。(三)算法安全防護(hù):支持國(guó)際和國(guó)密算法,采用隱藏技術(shù)和掩碼技術(shù),保證算法安全。(四)環(huán)境安全防護(hù):采用電壓檢測(cè)器、頻率檢測(cè)器、溫度檢測(cè)器、電源Glitch檢測(cè)器、光檢測(cè)器、時(shí)鐘毛刺過(guò)濾器、真隨機(jī)數(shù)發(fā)生器等。
通過(guò)多種安全防護(hù)技術(shù),可防御入侵式攻擊(探針、強(qiáng)制、操控、逆向工程等)、信息泄露攻擊(旁路攻擊、時(shí)序分析、功率/電磁縫隙)、故障攻擊(電壓毛刺、光攻擊、對(duì)加密算法的差分故障攻擊等)、組合攻擊(功率分析+光攻擊+逆向攻擊等)等多種攻擊方式,保證數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩?/p>
基于我司獨(dú)有的高安全防護(hù)技術(shù),大唐電信旗下大唐微電子推出了高安全指紋算法安全處理芯片DMT-FAC-CG4Q.
大唐指紋算法安全處理芯片DMT-FAC-CG4QDMT-FAC-CG4Q 指紋算法安全處理芯片采用高安全、高性能、低功耗的 CPU 內(nèi)核,是一款集成了國(guó)際常用加密算法和國(guó)密安全算法的多應(yīng)用芯片,內(nèi)部集成獨(dú)立的安全協(xié)處理器,運(yùn)用多種芯片安全技術(shù),達(dá)到 EAL4+、國(guó)密安全芯片等要求。同時(shí),獨(dú)立的安全協(xié)處理器可為敏感數(shù)據(jù)的處理提供安全的運(yùn)行環(huán)境及存儲(chǔ)環(huán)境,可應(yīng)用于高安全指紋識(shí)別及金融支付等領(lǐng)域。
圖1 DMT-FAC-CG4Q芯片框圖
ØCPU 處理器內(nèi)核ARMSC300 內(nèi)核主頻 100MHz高性能、高安全、低功耗
Ø存儲(chǔ)器
512KBFlash,144KBSRAM,4KB 加解密 RAM
Ø通訊接口
USB2.0,支持 FullSpeed和HighSpeed 速率
ISO7816,支持 T=0 和 T=1,一個(gè)主從可配,一個(gè)主,共 2 個(gè)。
SPI,主/從可配,共三個(gè),12M 以上
UART,最高速率 115200bps ?
I2C,主/從可配,支持三種速率
NFC,16位數(shù)據(jù)接口
Ø信息安全模塊
DES/3DES/AES/EC/RSA(4096bit)/SHA-1/SM1/SM2/SM3/SM4/SSF33
Ø功耗控制
四種芯片休眠模式——淺休眠、半休眠、深休眠、全芯片休眠
Ø安全防護(hù)
獨(dú)立的硬件安全處理模塊;
支持SM1/SM2/SM3/SM4國(guó)密算法;
支持DES/RSA/SHA1等國(guó)際算法;
支持加密FLASH及加密RAM;
總體架構(gòu)符合SmartSA_32安全架構(gòu)要求;
芯片完整性物理版圖保護(hù);
CPU內(nèi)部支持核心模式和用戶模式兩級(jí)安全保護(hù)機(jī)制;
芯片內(nèi)部數(shù)據(jù)總線動(dòng)態(tài)加解擾;
存儲(chǔ)器保護(hù)單元MPU實(shí)現(xiàn)細(xì)粒度/可配置的各項(xiàng)地址檢查;
ISO7816接口時(shí)鐘干擾濾波;
高/低電壓探測(cè)器;
高/低頻率探測(cè)器;
高/低溫度探測(cè)器;
SPA/DPA抗攻擊設(shè)計(jì);
異常工作狀態(tài)檢測(cè);
已獲得國(guó)密二級(jí)、銀聯(lián)芯片安全認(rèn)證、國(guó)內(nèi) EAL4+;
高安全指紋應(yīng)用方案: 1、二代身份證指紋核驗(yàn)解決方案二代身份證加載指紋后,在二代證讀寫(xiě)機(jī)具中需要加入指紋模塊,實(shí)現(xiàn)人、證一致性比對(duì),解決實(shí)名制核驗(yàn)問(wèn)題。指紋屬于敏感保密數(shù)據(jù),需要安全運(yùn)行環(huán)境和存儲(chǔ)環(huán)境,大唐微電子指紋核驗(yàn)解決方案,可保證數(shù)據(jù)安全。
Ø高安全ARM SC300內(nèi)核的MCU、內(nèi)嵌多重安全防護(hù)機(jī)制,可抵抗多種形式攻擊;
Ø符合公安部一所檢測(cè)標(biāo)準(zhǔn)的指紋比對(duì)算法;
Ø支持192*192、208*288、256*360多種尺寸的傳感器;
Ø保證指紋算法、指紋數(shù)據(jù)的安全存儲(chǔ)及傳輸。
2、手機(jī)終端加密應(yīng)用解決方案:目前手機(jī)中,指紋算法在TEE中運(yùn)行,指紋特征數(shù)據(jù)在TEE中存儲(chǔ),容易被攻擊和篡改,而且指紋算法在TEE中運(yùn)行,移植較復(fù)雜,開(kāi)發(fā)周期較長(zhǎng)。如果指紋算法在單獨(dú)的,環(huán)境較簡(jiǎn)單的、高安全的SE環(huán)境中運(yùn)行,可以保證算法運(yùn)行安全和指紋數(shù)據(jù)安全,且開(kāi)發(fā)簡(jiǎn)單,容易實(shí)現(xiàn)。
Ø支持SPI接口,兼容主流SENSOR;
Ø提供運(yùn)行安全及存儲(chǔ)安全;保證算法發(fā)行安全;保證識(shí)別結(jié)果輸出安全;
ØDMT-FAC-CG4Q接口較全,可同時(shí)作為Sensor Hub使用。
Ø可同時(shí)作為加密芯片使用,實(shí)現(xiàn)語(yǔ)音、數(shù)據(jù)等加密。
結(jié)束語(yǔ)隨著指紋識(shí)別技術(shù)應(yīng)用越來(lái)越廣泛,越來(lái)越被大眾所接受,在金融、公安、機(jī)場(chǎng)、教育、智能化樓宇、PC電腦、移動(dòng)終端等領(lǐng)域,指紋識(shí)別應(yīng)用場(chǎng)景越來(lái)越多,指紋作為身份的象征,其安全性不言而喻,提供高安全的解決方案,對(duì)人身財(cái)產(chǎn)安全有重要的作用。