ESAM加密認證模塊知識分享

1、Good is good, but better carries it.精益求精，善益求善。ESAM加密認證模塊-嵌入式加密認證模塊ESAM1、HYPERLINKl基本概念基本概念2、HYPERLINKl硬件平臺硬件平臺3、HYPERLINKlTIMECOSTimeCOS操作系統(tǒng)4、HYPERLINKl參數(shù)技術(shù)參數(shù)5、HYPERLINKl應(yīng)用領(lǐng)域應(yīng)用領(lǐng)域6、HYPERLINKl標準ISO及行業(yè)標準1、基本概念ESAM（EmbeddedSecureAccessModule）嵌入式加密認證模塊，采用專用的智能卡芯片模塊封裝（DIP、SOP或COB形式），操作系統(tǒng)采用握奇公司自主知識產(chǎn)權(quán)的TimeC

2、OS嵌入式安全操作系統(tǒng)，除了具有防檢測、抗攻擊、自毀等硬件特性外，還具有安全的文件密鑰管理，完善的安全機制、標準的加解密運算功能等特性，ESAM最主要的應(yīng)用模式是嵌入到其他專用或通用設(shè)備中，除了可作為設(shè)備的唯一標識（每個模塊具有全球唯一的序列號碼），提供安全的硬件平臺以存儲密鑰和重要數(shù)據(jù)外，還可以利用內(nèi)置算法完成數(shù)據(jù)的加密解密、雙向身份認證、訪問權(quán)限控制、通信線路保護、臨時過程密鑰導出等多種功能?？蓮V泛應(yīng)用于需要加密或身份認證功能的智能設(shè)備中。2、硬件平臺采用德國億恒科技公司（Infineon原西門子半導體）的保密控制器系列產(chǎn)品SLE44CXX系列或SLE66CXX系列芯片作為硬件平臺，安全性

3、能達到國際ITSECE4級標準，具有防檢測，抗攻擊，自毀等特性。1）SLE66CX160S芯片原理圖ESAMOtherNVMRNGEEPROMPROMROMInterruptCLKRSTI/OSecurity+SleepLogicCPU*RNG-隨機數(shù)發(fā)生器ACE-超級加密處理器ACEROMXRAMRAMCPU+SL保護EEPROM區(qū)的數(shù)據(jù)安全，防止外部非法的接入和攻擊.RAM操作系統(tǒng)用來存儲命令參數(shù)、應(yīng)答、安全狀態(tài)和過程工作密鑰.ROM存儲芯片操作系統(tǒng)COS（ChipOperationSystem）.EEPROM以文件的形式存儲數(shù)據(jù)和密鑰,條件滿足的情況下允許讀寫和更改.2）硬件安全性1）高

4、端安全智能卡專用微處理器硬件平臺(ITSECE4級)2）ROM和EEPROM安全3）真正的隨機數(shù)發(fā)生器RNG4）DES加速器及RSA協(xié)處理器5）高頻/低頻以及高壓/低壓檢測6）數(shù)據(jù)加密及地址串擾7）防DPA/SPA攻擊3）模塊俯視圖及管腳分配（SLE44系列2K字節(jié)是DIP8封裝，SLE44系列8K字節(jié)是SOP8封裝，SLE66系列是SOP16封裝）管腳號分配管腳號分配1地(GND)5空(NC)2空(NC)6時鐘(CLK)3輸入/輸出(I/O)7復位(RST)4空(NC)8電源電壓(VCC)3、TimeCOS芯片操作系統(tǒng)COS（ChipOperationSystem）即芯片操作系統(tǒng)，就象計算機

5、的DOS一樣，是ESAM加密認證模塊芯片內(nèi)部CPU的操作系統(tǒng)，是ESAM加密認證模塊的核心。該操作系統(tǒng)針對不同的應(yīng)用具有不同的版本，主要有普通DES、3DES算法的PBOC版本，具有RSA算法的PK系列版本，以及雙界面應(yīng)用的DI版本，還可根據(jù)用戶的需要增加不同的算法和功能，可廣泛適用于各種IC卡表、金融終端、通信終端、交通收費終端、機頂盒等終端設(shè)備中，可作為身份的標識進行身份認證，也可以作為安全的平臺存儲各種安全密鑰和關(guān)鍵數(shù)據(jù)，以及產(chǎn)生隨機數(shù)，進行加解密運算等，可以幫助終端設(shè)備實現(xiàn)很多安全功能。TimeCos已經(jīng)在多種硬件芯片上實現(xiàn)，包括西門子SLE44/66系列，三星KS88C92008，菲

6、立浦P83C864等。TimeCOS的結(jié)構(gòu)TimeCOS由傳輸管理、文件管理、安全體系、命令解釋四個功能模塊組成傳輸管理支持ISO7816標準T=0和T=1通信協(xié)議.文件管理將用戶數(shù)據(jù)以文件的形式存儲在EEPROM中，保證訪問文件時快速性和數(shù)據(jù)安全性.安全體系操作系統(tǒng)的核心部分,包括卡的驗證與核實和對文件訪問時的權(quán)限控制機制.命令解釋根據(jù)接收到的命令檢查各項參數(shù)是否正確，執(zhí)行相應(yīng)的操作，命令類型。TimeCOS的特點：符合ISO7816、PBOC等國際標準和行業(yè)標準；支持層次化文件結(jié)構(gòu)，可建立三級目錄，適合一卡多用的要求；支持二進制、定長記錄、變長記錄、循環(huán)記錄、錢包記錄等多種文件類型；支持T

7、=0（字符傳輸，默認方式）和T=1（塊傳輸）通訊協(xié)議并可以相互轉(zhuǎn)換；支持標準DES和三重DES算法，根據(jù)密鑰程度自動選擇算法；支持包括明文、加密、加密及MAC三種方式的文件和密鑰操作通信線路保護；多種通信速率可選：缺省值9.6kbps，可選19.2kbps、38.4kbps、76.8kbps；多種EEPROM容量可選：推薦2k字節(jié)，可選4k、8k、16k、32k字節(jié)；具有主密鑰加密工作方式，能夠?qū)τ脩艨ǖ姆稚⑼獠空J證密鑰進行認證；支持明文、加密、加密及MAC三種密鑰安裝和密鑰更新方式；可以根據(jù)用戶特殊需求，刪除、增加或修改某些特定功能并可定制新功能；3）軟件的安全性1）中國人民銀行認證2）軟件

8、版權(quán)登記3）軟件產(chǎn)品認證4）商密委認證5）3000萬片發(fā)行量6）4年多的使用實踐檢驗典型認證方式ESAM外部認證流程（基于隨機數(shù)理論的典型認證方式）設(shè)備用戶卡(ESAM)Mkey.key.取用戶卡序列號計算用戶卡認證密鑰送序列號SerNokey=DES(SerNo,Mkey)取隨機數(shù)計算隨機認證碼送隨機數(shù)RNDRZM=DES(RND,key)送RZM作外部認證內(nèi)部計算認證碼RZM=DES(RND,key)比較RZM?=RZM,若相等則認證成功,否則不成功。送認上述key是密藏在用戶卡內(nèi)的一個外部認證密鑰，Mkey是密藏在ESAM內(nèi)的一個種子密鑰，即由Mkey和用戶卡序列號可推導出key。在上述

9、的認證過程中，ESAM和用戶卡之間的信道只傳遞卡序列號和隨機碼，其他操作都是在ESAM和用戶卡內(nèi)部進行，外界無法得到任何密鑰信息，避免通過信道偵聽密鑰的企圖。4、技術(shù)參數(shù)硬件技術(shù)性能參數(shù)技術(shù)指標SLE44CxxSLE66Cxx三星KS88SC92008菲立浦P83C864CPU8位保密控制器8/16位保密控制器8位保密控制器8位保密控制器程序空間ROM17K32K32K20KRAM256字節(jié)256字節(jié)256字節(jié)256字節(jié)EEPROM512字節(jié)/1K/2K/4K/8K/16K時鐘頻率1-5MHZ可選，缺省為3.57MHZEEPROM壽命可檫寫500,000次檫寫時間檫寫1/2/4/8/16字節(jié)需

10、5.28/5.31/5.38/5.52/5.8毫秒數(shù)據(jù)保存時間10年工作電壓2.7-5.5V,缺省為5V工作電流小于10mA省電模式當TimeCOS等待接受命令時處于休眠狀態(tài),最大電流100微安溫度-25+70攝氏度通訊方式異步串行單雙工通訊速率接觸模式下支持9600bps,19200bps,38400bps,76800bps,缺省為9600bps非接觸模式下為106Kbps通信協(xié)議接觸模式下支持T=0,T=1可選,缺省為T=0非接觸模式下:三星KS88SC92008支持ISO14443TypeB菲立浦P83C864支持ISO14443TypeAAPDU長度APDU的最大長度為183字節(jié)Tim

11、eCOS技術(shù)性能參數(shù)以下參數(shù)的測試條件為：接觸模式、工作時鐘3.57MHZT=0協(xié)議、波特率為9600bps，參數(shù)本身只包括命令或運算的執(zhí)行時間，而不包括通訊時間。時間單位為ms。技術(shù)指標SLE44系列芯片SLE66系列芯片三星KS88SC92008菲立浦P83C864TripleDES時間37160.20.2SHA算法時間147ms/64bytes73ms/64bytesRSA簽名時間96RSA認證時間18RSA加密時間21RSA解密時間268FAC簽名時間95ms/32bytes5、應(yīng)用領(lǐng)域計算機技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展給人類的生活方式帶來了巨大的變革，信息技術(shù)給人們帶來方便、快捷的同時也帶

12、來了很多安全隱患，越來越多的信息、系統(tǒng)、設(shè)備需要安全技術(shù)，安全設(shè)備的保護，面對巨大的市場需求，ESAM加密認證模塊應(yīng)運而生。ESAM的安全特性決定了它具有廣泛的應(yīng)用領(lǐng)域，凡是需要保密、加密、身份認證、防偽等涉及到數(shù)據(jù)安全的領(lǐng)域，都可以使用ESAM模塊，ESAM可以用來幫助保護您的財產(chǎn)和利益，幫助您確認身份、識別真?zhèn)?，幫助您的系統(tǒng)和設(shè)備安全運行、幫助您的軟件或設(shè)備防止剽竊和盜版，成為您的數(shù)據(jù)保護神。握奇智能公司現(xiàn)已成功地將ESAM模塊應(yīng)用到：智能卡表：智能卡電表、水表、燃氣表、熱力表等；通信設(shè)備：加密Modem、安全路由器、加密傳真機；金融設(shè)備：加密密碼鍵盤、金融POS機、支付密碼器、銀行密碼箱；稅控設(shè)備：稅控出租車計價器、稅控加油機、稅控收款機；交通收費：停車咪表、公共汽車自助收費終端設(shè)備、車載路橋自動收費終端設(shè)備；條件接收：電視機頂盒（STB）、PC接收卡，其他加解擾前端或終端設(shè)備；信息家電：智能卡收費空調(diào)、網(wǎng)絡(luò)電視及冰箱等家用產(chǎn)品。產(chǎn)品防偽：軟件產(chǎn)權(quán)保護、OEM集成電路生產(chǎn)控制相信還有很多涉及數(shù)據(jù)安全的領(lǐng)域，ESAM也能夠發(fā)揮作用，滿足您的各種安全需要。握奇智能公司具有數(shù)據(jù)安全領(lǐng)域領(lǐng)先的技術(shù)，我們能夠為您的產(chǎn)品開發(fā)提供最底層的接口數(shù)據(jù)，包括MCS51系列、