esam嵌入式加密认证模块介绍

生命是永恒不断的创造，因为在它内部蕴含着过剩的精力，它不断流溢，越出时间和空间的界限，它不停地追求，以形形色色的自我表现的形式表现出来。泰戈尔嵌 入 式 加 密 认 证 模 块ESAM1、基本概念 2、硬件平台3、TimeCOS 操作系统4、技术参数5、应用领域6、ISO及行业标准1、基本概念ESAM （Embedded Secure Access Module）嵌入式加密认证模块，采用专用的智能卡芯片模块封装（DIP、SOP或COB形式），操作系统采用握奇公司自主知识产权的TimeCOS嵌入式安全操作系统，除了具有防检测、抗攻击、自毁等硬件特性外，还具有安全的文件密钥管理，完善的安全机制、标准的加解密运算功能等特性，ESAM最主要的应用模式是嵌入到其他专用或通用设备中，除了可作为设备的唯一标识（每个模块具有全球唯一的序列号码），提供安全的硬件平台以存储密钥和重要数据外，还可以利用内置算法完成数据的加密解密、双向身份认证、访问权限控制、通信线路保护、临时过程密钥导出等多种功能。可广泛应用于需要加密或身份认证功能的智能设备中。2、硬件平台采用德国亿恒科技公司（Infineon原西门子半导体）的保密控制器系列产品SLE44CXX 系列或SLE66CXX 系列芯片作为硬件平台，安全性能达到国际ITSEC E4级标准，具有防检测，抗攻击，自毁等特性。1）SLE66CX160S 芯片原理图ESAMOther NVMRNGEEPROMPROMROMInterruptCLKRSTI/O Security + Sleep LogicCPU * RNG-随机数发生器 ACE-超级加密处理器ACEROMXRAMRAM CPU+SL 保护 EEPROM 区的数据安全，防止外部非法的接入和攻击.RAM 操作系统用来存储命令参数、应答、安全状态和过程工作密钥.ROM 存储芯片操作系统COS （Chip Operation System）.EEPROM 以文件的形式存储数据和密钥,条件满足的情况下允许读写和更改. 2）硬件安全性1）高端安全智能卡专用微处理器硬件平台 (ITSEC E4级)2）ROM 和 EEPROM 安全3）真正的随机数发生器 RNG4）DES 加速器及RSA协处理器5）高频/低频以及高压/低压检测6）数据加密及地址串扰7）防DPA/SPA攻击3）模块俯视图及管脚分配（SLE44系列2K字节是DIP8封装，SLE44系列8K字节是SOP8封装，SLE66系列是SOP16封装） 管脚号 分配管脚号 分配1地 (GND)5空(NC)2空(NC)6时钟(CLK)3输入/输出 (I/O)7复位(RST)4空(NC)8电源电压(VCC)3、TimeCOS 芯片操作系统 COS（Chip Operation System）即芯片操作系统，就象计算机的DOS一样，是ESAM加密认证模块芯片内部 CPU 的操作系统，是ESAM加密认证模块的核心。该操作系统针对不同的应用具有不同的版本，主要有普通DES、3DES算法的PBOC版本，具有RSA算法的PK系列版本，以及双界面应用的DI版本，还可根据用户的需要增加不同的算法和功能，可广泛适用于各种IC卡表、金融终端、通信终端、交通收费终端、机顶盒等终端设备中，可作为身份的标识进行身份认证，也可以作为安全的平台存储各种安全密钥和关键数据，以及产生随机数，进行加解密运算等，可以帮助终端设备实现很多安全功能。 TimeCos已经在多种硬件芯片上实现，包括西门子SLE44/66系列，三星KS88C92008， 菲立浦P83C864等。1） TimeCOS 的结构TimeCOS 由传输管理、文件管理、安全体系、命令解释四个功能模块组成传输管理 支持 ISO7816标准 T=0 和 T=1 通信协议.文件管理 将用户数据以文件的形式存储在EEPROM中，保证访问文件时快速性和数据安全性.安全体系 操作系统的核心部分, 包括卡的验证与核实和对文件访问时的权限控制机制.命令解释 根据接收到的命令检查各项参数是否正确，执行相应的操作，命令类型。 2） TimeCOS 的特点： 符合ISO7816、PBOC等国际标准和行业标准； 支持层次化文件结构，可建立三级目录，适合一卡多用的要求； 支持二进制、定长记录、变长记录、循环记录、钱包记录等多种文件类型； 支持T=0（字符传输，默认方式）和T=1（块传输）通讯协议并可以相互转换； 支持标准DES和三重DES算法，根据密钥程度自动选择算法； 支持包括明文、加密、加密及MAC三种方式的文件和密钥操作通信线路保护； 多种通信速率可选：缺省值9.6kbps，可选19.2kbps、38.4kbps、76.8kbps； 多种EEPROM容量可选：推荐2k字节，可选4k、8k、16k、32k字节； 具有主密钥加密工作方式，能够对用户卡的分散外部认证密钥进行认证； 支持明文、加密、加密及MAC三种密钥安装和密钥更新方式； 可以根据用户特殊需求，删除、增加或修改某些特定功能并可定制新功能； 3）软件的安全性1）中国人民银行认证2）软件版权登记3）软件产品认证4）商密委认证 5）3000万片发行量6）4年多的使用实践检验4） 典型认证方式 ESAM外部认证流程（基于随机数理论的典型认证方式）设备 用户卡 (ESAM) Mkey. key. 取用户卡序列号 计算用户卡认证密钥 送序列号SerNokey=DES(SerNo,Mkey) 取随机数计算随机认证码 送随机数RND RZM=DES(RND,key) 送RZM作外部认证 内部计算认证码 RZM=DES(RND,key) 比较RZM?=RZM, 若相等则认证成功, 否则不成功。 送认 上述key是密藏在用户卡内的一个外部认证密钥，Mkey是密藏在ESAM内的一个种子密钥，即由Mkey和用户卡序列号可推导出key。在上述的认证过程中，ESAM和用户卡之间的信道只传递卡序列号和随机码，其他操作都是在ESAM和用户卡内部进行，外界无法得到任何密钥信息，避免通过信道侦听密钥的企图。4、技术参数1） 硬件技术性能参数技术指标SLE44CxxSLE66Cxx三 星KS88SC92008菲 立 浦P83C864CPU 8位保密控制器8/16位保密控制器8位保密控制器8位保密控制器程序空间ROM17K32K32K20KRAM256字节256字节256字节256字节EEPROM512字节/1K/2K/4K/8K/16K时钟频率1-5MHZ 可选 ，缺省为3.57MHZEEPROM 寿命可檫写500,000次檫写时间檫写1/2/4/8/16 字节需 5.28/5.31/5.38/5.52/5.8 毫秒数据保存时间10年工作电压2.7-5.5V , 缺省为5V工作电流小于10 mA省电模式当TimeCOS 等待接受命令时处于休眠状态,最大电流100微安温 度-25 +70摄氏度通讯方式异步串行单双工通讯速率接触模式下支持9600bps,19200bps,38400bps,76800bps,缺省为9600bps非接触模式下为106K bps通信协议接触模式下支持T=0,T=1可选,缺省为T=0非接触模式下: 三星KS88SC92008支持ISO14443 TypeB 菲立浦P83C864支持ISO14443 TypeAAPDU长度APDU的最大长度为183字节2） TimeCOS 技术性能参数以下参数的测试条件为：接触模式、 工作时钟3.57MHZ T=0协议、波特率为9600bps，参数本身只包括命令或运算的执行时间，而不包括通讯时间。时间单位为ms。技术指标SLE44系列芯片SLE66系列芯片三星KS88SC92008菲立浦P83C864TripleDES 时间 37160.20.2SHA 算法时间147ms/64 bytes73ms/64 bytesRSA 签名时间96RSA 认证时间18RSA 加密时间21RSA 解密时间 268FAC 签名时间95ms/32 bytes 5、应用领域 计算机技术和互联网的飞速发展给人类的生活方式带来了巨大的变革，信息技术给人们带来方便、快捷的同时也带来了很多安全隐患，越来越多的信息、系统、设备需要安全技术，安全设备的保护，面对巨大的市场需求，ESAM加密认证模块应运而生。ESAM的安全特性决定了它具有广泛的应用领域，凡是需要保密、加密、身份认证、防伪等涉及到数据安全的领域，都可以使用ESAM模块，ESAM 可以用来帮助保护您的财产和利益，帮助您确认身份、识别真伪，帮助您的系统和设备安全运行、帮助您的软件或设备防止剽窃和盗版，成为您的数据保护神。握奇智能公司现已成功地将ESAM 模块应用到：智能卡表：智能卡电表、水表、燃气表、热力表等；通信设备：加密Modem、安全路由器、加密传真机；金融设备：加密密码键盘、金融POS机、支付密码器、银行密码箱；税控设备：税控出租车计价器、税控加油机、税控收款机；交通收费：停车咪表、公共汽车自助收费终端设备、车载路桥自动收费终端设备；条件接收：电视机顶盒（STB）、PC接收卡，其他加解扰前端或终端设备；信息家电：智能卡收费空调、网络电视及冰箱等家用产品。产品防伪：软件产权保护、OEM集成电路生产控制相信还有很多涉及数据安全的领域，ESAM也能够发挥作用，满足您的各种安全需要。 握奇智能公司具有数据安全领域领先的技术，我们能够为您的产品开发提供最底层的接口数据，包括MCS51系