（微电子学与固体电子学专业论文）基于sep4020的安全金融终端的设计与实现.pdf

t h ed e si g n 烈ga n di m p l e m e n t a t i o n o ft h es e c u r ef i n a n c i a lt e r m n 町a l b a s e do nt h es e p 4 0 2 0p r o c e ss o r at h e s i ss u b m i t t e dt o s o u t h e a s tu n i v e r s i t y f o rt h ea c a d e m i cd e g r e eo fm a s t e ro fe n g i n e e r i n g b y k a n gy i n g t a o 一一 s u p e r v i s e d b u p e r v l s e d 。b y p r o f e s s o rh uc h e n s c h o o lo fe l e c t r o n i cs c i e n c ea n de n g i n e e r i n g so u t h e a s tu n i v e r s i t y m a y 2 0 10 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知， 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 研一名：趣眺丛 晕孕闭 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印件和电子文 档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除 在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括以电子信息形式刊登) 论文的全部 内容或中、英文摘要等部分内容。论文的公布( 包括以电子信息形式刊登) 授权东南大学研究生院办理。 躲辫翩躲理脚蝴m 摘要 摘要 随着银行卡交易在银行业务中扮演越来越重要的角色，市场亟需大量的自助服务终端类产品。 同时，互联网的开放性给基于网络的金融终端的数据传输带来了诸多隐患，如何在银行现有网络基 础上设计安全以及成本低廉的自助终端，成为迫切需要解决的问题。 本文根据市场需求，利用s e p 4 0 2 0 微处理器，基于l i n u x 操作系统设计与实现了能安全可靠的 进行各种金融交易操作的安全金融终端。首先，本文在分析银行交易流程以及用户需求的基础上， 提出系统总体功能定义和系统总体方案设计，终端包括核心处理模块、网络传输模块、安全控制模 块和交互模块四大部分。其次，本文根据功能定义和总体设计方案，进行终端硬件设计。最后，进 行终端系统软件设计，其中论述了l i n u x 操作系统向s e p 4 0 2 0 微处理器平台的移植，并在此基础上 设计了网络传输模块、安全控制模块、刷卡器模块、l c d 显示模块、串口以及键盘等模块的软件。 在系统的设计流程中，安全性被贯穿于始终，利用销售点终端安全存取模块( p u r c h a s es e c u r e a c c e s s m o d u l e ，p s a m ) 对数据的传输进行数据加密、报文鉴别以及实体鉴别等安全控制；同时在分析数 据包在l i n u x 网络协议栈处理流程的基础上设计了利用n e t f i l t e r 进行基于i p 地址的数据包过滤模块。 在对安全金融终端进行的全面测试中，硬件系统和软件系统准确运行，为上层应用程序提供了 有力的支撑，有效的保证了终端系统的安全性。 关键词：安全金融终端，s e p 4 0 2 0 ，l i n u x ，p s a m ，数据加密 a b s t r a e t a b s t r a c t b a n kc a r dt r a d ep l a y sam o r ea n dm o r ei m p o r t a n tr o l ei nt h eb a n ks e r v i c e sa n dt h e r ei sag r e a td e m a n df o rt h es e l s e r v i c et e r m i n a l a n dt h e r ea r eal o to fh i d d e nd e f e c t si nt h ed a t at r a n s m i s s i o no ft h ef i - n a n c i a lt e r m i n a lb a s e do nt h ei n t e m e tb e c a u s eo ft h eo p e n n e s so ft h en e t d e s i g n i n gs e c u r ea n di n e x p e n s i v e s e l s e r v i c et e r m i n a lb a s e do ne x s i t i n gb a n kn e t w o r ki si nc r i t i c a ln e e d t h et h e s i si st od e s i g nas e l s e r v i c et e r m i n a ln a m e ds e c u r ef i n a n c i a lt e r m i n a lb a s e do ns e p 4 0 2 0a n d l i n u xo p e r a t i n gs y s t e m ，w h i c ho p e r a t e sr e l i a b l y f i r s t l y , a c c o r d i n gt ot h en e e do ft h em a r k e t , t od e f i n et h e o v e r a l ls y s t e mf u n c t i o na n dt od e s i g nt h eo v e r a i ls o l u t i o n ；t h et e r m i n a li sm a d eu po ff o u rm o d u l e s ：t h e c o r ep r o c e s s i n gm o d u l e ，t h ed a t at r a n s m i s s i o nm o d u l e ，t h es e c u r i t yc o n t r o lm o d u l ea n dt h eh u m a n - s y s t e m i n t e r a c t i o nm o d u l e s e c o n d l y , t od e s i g nt h eh a r d w a r em o d u l e so ft h es y s t e mb a s e do no v e r a l ld e f i n i - t i o n f i n a l l y , t op o r tt h el i n u xk e m e lo ns e p 4 0 2 0a n dt oa c c o m p l i s ht h es o f t w a r eo ft h es y s t e mm o d u l e s s u c ha sc a r dr e a d e r , p s a m ( p u r c h a s es e c u r ea c c c s sm o d u l e ) c a r d n e t w o r kc a r d a n dl c dt om a k es u r et h e t e r m i n a lo p e r a t e sr e l i a b l y t h es e c u r i t yr u n st h r o u g ht h ed e s i g n i n go ft h es y s t e m ，a n dt h ep s a mm o d u l ei s u s e dt oi m p l e m e n td a t ae n c r y p t i o n ，m e s s a g ea u t h e n t i c a t i o na n de n t i t ya u t h e n t i c a t i o n ，a n dt od e s i g nt h e m e s s a g ef i t e r i n gm o d u l eb a s e di pu s i n gn e t f i t e r t h eh a r d w a r es y s t e ma n ds o f t w a r es y s t e mw o r kp e r f e c t l yi nt h et e s to ft e r m i n a la n ds u p p o r tt h ea p - p l i c a t i o ns o f t w a r ea n ds e c u r et h et r a d eo f t h et e r m i n a le f f e c t i v e l y k e y w o r d s ：s e c u r ef i n a c i a lt e r m i n a l ，s e p 4 0 2 0 ，l i n u x ，p s a m ，d a t ae n c r y p t i o n i i 目录 目录 摘要i a 。b s t r a c t i i 目录i i i 第一章绪论l 1 1 论文的背景及其意义l 1 2 论文的主要工作2 1 3 论文的结构2 第二章安全金融终端的总体规范3 2 1 安全金融终端的功能分析3 2 2 安全金融终端硬件模块设计分析一3 2 3 安全金融终端安全性一4 2 4 本章小结7 第三章安全金融终端硬件设计8 3 1 系统硬件架构8 3 2 终端核心处理模块硬件设计8 3 3 终端网络模块硬件设计14 3 4 终端安全模块硬件设计1 6 3 5 终端交互模块硬件设计1 6 3 6 本章小结1 8 第四章安全金融终端软件设计19 4 1s e p 4 0 2 0 安全金融终端的软件架构1 9 4 2 终端操作系统定制i ，i n u x 内核移植。2 0 4 3 终端网络模块软件设计2 3 4 4 终端安全模块软件设计3 2 4 5 终端刷卡器模块软件设计3 7 4 6 本章小结3 9 第五章测试结果与分析4 0 5 1 刷卡器模块的测试4 0 5 2p s a m 卡安全模块测试4 1 5 3 网络模块的测试4 2 5 4 与同类产品比较4 3 5 5 硬件平台和样机4 3 5 6 本章小结4 5 第六章总结与展望4 6 j 目谢4 7 参考文献4 8 在校期间发表论文清单5 0 i i i 第一章绪论 1 1 论文的背景及其意义 第一章绪论 自1 9 8 6 年国内发行第一张银行卡以来，中国的银行卡业发展迅速。截至2 0 0 8 年底我国银行卡 发卡量突破1 7 亿张，其迅猛的发展势头让人刮目相看。银行卡作为银行签发给持卡人的电子信用凭 证，具有转账结算、储蓄、汇兑和消费信贷等几大功能。随着银行卡联网通用的深入，能够受理银 行卡的终端机具，以及特约商户将会不断增多，银行卡的交易种类以及交易的平台将会不断发展完 善，使用银行卡的便捷性将会越发凸显。利用金融终端，用户只需要携带银行卡即可以轻松进行交 易，极大的方便了消费者的日常生活圳。 虽然经过2 0 余年的发展，中国银行卡业取得了突飞猛进的发展，银行卡消费在社会商品交易中 的比例也增长明显，但是这一比例只在上海、深圳、北京以及广州等城市接近发达国家水平，而在 中小城市的比例仍然很低。虽然银行卡持有率非常高，但是利用率很低，有很大比例的死卡，究其 原冈，用卡环境不完善是主要原因。现阶段的主要问题包括：首先，消费高峰时通讯中断率高或者 刷卡速度缓慢；其次，特约商户数量比较少，分布不均衡，使得众多客户仍然需要使用现金消费， 目前相当部分终端集中于沿海以及其他大城市，中西部厂“大地区终端较少；此外，终端在繁华商业 区比较集中，而在其他场所密度明显偏低。再一方面，行业内利益分配不均衡造成市场发展缓慢。 另外，部分特约商户受卡不积极或者选择性受卡，不完全履行义务或者优惠条款，人员操作不熟练 的现象仍然比较普遍，即发卡行与特约商户合作交流不足。这些现状不仅会挫伤持卡人的刷卡消费 意愿，也直接影响着行业的利润和发展。发卡行、商户、收单行、中间机构和银联等产业成员内部 的利益分配不均衡是造成上述问题的主要原因。现有体制在分配上偏向于发旨行，而收单方及市场 建设者利益分配比率过低，难以体现对先期投入的合理补偿p 剖。 为了改变银行卡利用率低的现状，金融机构加大了改善用卡环境的力度，投入大量财力引进金 融终端类设备，并制订了各种政策，鼓励用户使用银行卡进行交易，产生了明显的效果，利用银行 卡进行消费的观念越来越被用户接受，但是传统的金融终端类设备，体积庞大，成本高昂，一定程 度了抑制了这一良好势头。 另一方面，安全可靠的金融终端能有效地减少客户在银行内服务的等待时间、提高服务准确性， 最大限度地提高效率，使客户在自助的的状态下享受优质的个性化服务，极大的提高了金融终端安 装机构的市场竞争力。 传统的金融终端基于个人电脑和w i n d o w s 操作系统，个人电脑较高的成本以及w i n d o w s 操作系统的自身安全性的不足，都成为传统金融终端类产品推广的障碍。市场急需一款成本较低而 且安全性高的金融终端的出现【7 垲j 。 传统金融终端网络方案是“系统中心服务器主机、中心支行路由器、县支行路由器、支行网点 前置机、多用户卡、终端”或者是“中心服务器主机、中心路由器、终端服务器、终端”相互组合 的网络结构。而目前国内一些银行采用的新型金融终端网络方案是“中心服务器主机、中心路由终 端服务器、网点路由器、普通终端”组合的结构，它将全部的业务逻辑控制安装在中心服务器主机 上，普通远程终端或者本地普通终端通过网络与应用服务器上的数据连接，中心服务器处理网点端 对数据库的请求。根据业务需要，可以扩展到更高级别的数据中心，集中统一管理全国数据，提供 强大的可扩充性。 东南大学硕士学位论文 1 2 论文的主要工作 论文的主要工作包括以下几个方面： 1 ) 首先，本文在分析银行交易流程以及用户需求的基础上，提出系统总体功能定义和系统总体 方案设计，终端包括核心处理模块、网络传输模块、安全控制模块和交互模块四大部分； 2 ) 其次本文根据功能定义和总体设计方案，进行终端硬件设计，分别论述了存储器、网络传输 模块、安全控制模块和交互模块的硬件设计； 3 ) 最后，进行了终端系统软件设计，其中论述了l i n u x 操作系统向s e p 4 0 2 0 微处理器平台的 移植，并在此基础上设计了网络传输模块、p s a m 安全控制模块、刷卡器模块、l c d 显示模块、串 口以及键盘等模块的软件。其中重点实现p s a m 卡加密芯片、刷卡器驱动和网卡驱动，完成终端安 全性设计，提供对上层应用程序的可靠支撑：在系统的设计流程中，安全性被贯穿于始终，利用p s a m 安全控制模块对数据的传输进行数据加密、报文鉴别以及实体鉴别等安全控制；同时在分析数据包 在l i n u x 网络协议栈处理流程的基础上设计了利用n e t f i l t e r 进行基于i p 地址的数据包过滤模块。 1 3 论文的结构 论文一共分为六章： 第一章：介绍了论文的背景、论文的主要工作以及论文的主要结构； 第二章：安全金融终端的功能特性分析和总体架构的提出；首先，分析了基于网络的金融终端 存在的安全风险；其次根据系统需要，完成系统总体功能定义，终端包括核心处理模块、交互模块、 网络传输模块和安全模块；最后，分析了终端的安全性需求，涉及到的相关算法以及l i n u x 内核网 络协议栈的安全机制； 第三章：在系统总体架构和功能定义的基础上，进行硬件设计，分别论述了存储器模块、网络 传输模块、安全控制模块、l c d 屏和刷卡器模块的硬什设计； 第四章：在系统硬件基础上，进行安全金融终端的软件设计；首先，进行了安全金融终端操作 系统的定制，将l i n u x 操作系统移植到了系统上；其次，进行了网络模块的软件设计，并设计了基 于源i p 地址的数据包过滤模块；最后分别设计了安全模块和刷卡器模块的软件；提供了对上层应片j 程序的支撑，保证系统运行安全、可靠； 第五章：进行系统的测试与分析； 第六章：课题的总结与展望。 2 2 1 安全金融终端的功能分析 随着经济的迅速发展，银行业务增速迅猛，传统的银行柜台式服务等待时间长、人工服务出错 几率高等不足日益明显，市场急需大量自助终端类产品满足不断增长的客户需求，缓解银行服务压 力，为客户提供方便、快捷、准确优质的服务。本课题涉及的安全金融终端即是一款能较好满足市 场需要、成本低廉、安全可靠的产品i 叽1 0 j 。 为了实现用户与银行服务器交互，安全金融终端需要有网络通信功能，将用户交易的数据通过 银行专用网络传递到银行服务器进行处理。 另一方面，网络是一个开放的、无控制机构的，黑客经常会入侵网络中的计算机系统，或者窃 取机密数据和盗用特权，或者破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。同时，网络 的数据传输是基于t c p i p 通信协议的，由于在设计之初过分强调其开发性和便利性，未着重考虑其 安全性，因此网络协议中存在严重的安全漏洞，协议缺乏使传输过程中的信息不被窃取的安全性， 造成系统有被黑客直接攻击的风险。总言之，数据通过网络传输，存在着诸多安全隐患。而安全金 融终端传输的数据，涉及到用户和银行的机密的信息，旦被盗用、篡改，将给金融机构和个人造 成重大损失，影响社会稳定和经济秩序。因此，安全性是对金融终端的最关键的需求【l 卜埋j 。 综上所述，安全金融终端需要满足的两大核心要求是网络通信功能和保证数据安全、可靠的传 输。 金融终端与银行交互的关系如图2 1 所示： 下行数据 趴 金融终端 2接入前置机 1卜 银行服务器 v 上行数据 图2 1 安全金融终端与银行服务器的交互 2 2 安全金融终端硬件模块设计分析 核心处理模块：核心处理模块包括主处理器和存储器。金融终端需要处理用户数据输入、网络 数据包的收发、数据加密等任务，为了合理调度各项任务、提供网络协议，并利于功能扩展，系统 的核心处理器要能很好的支持比较流行的嵌入式操作系统，与8 位、1 6 位微处理器相比，3 2 位的微 处理器更能满足上述要求，另一方面，3 2 位的微处理器提供功能更为丰富的接口以及数量更多的引 3 东南大学硕士学位论文 脚，拥有更快的系统速度。因此，本终端选择了提供网络协议栈的l i n u x 操作系统和自主研发的基 于a r m 7 2 0 t 的s e p 4 0 2 0 微处理器，a r m 7 2 0 t 内核包含m m u ，能很好的支持l i n u x 操作系统l l 弘1 6 j 。 同时，随着新的应用功能不断添加和系统不断得到扩展，相应的操作系统代码、驱动程序代码、文 件系统代码以及应用程序代码的体积越来越大，微处理器自带的片上存储器的容量明显不能满足需 要，这就需要系统引入s d r a m 、n a n df l a s h 、n o rf l a s h 等外部存储器。其中s d r a m 这样 的易失性存储器速度快、容量小，适合用于程序执行；而f l a s h 存储器容量大、速度慢，适合用于 大块代码数据和其他数据的存储。 交互模块：安全金融终端需要采集用户信息并向用户反馈银行服务器处理的结果，因此本系统 需要包含刷卡器、键盘、串口打印机和液晶显示屏。这些外围设备作为终端的输入和输出设备。其 中键盘是终端必须配置的输出设备，用来接收用户的按键性输入，包括输入用户个人密码、选择交 易菜单以及输入交易金额等内容；刷卡器模块用米读取用户的磁卡或者存折；液晶显示屏用于向用 户反馈交易内容和交易状态包括显示交易菜单和交易成功与否；串口打印机是用于交易结束后，打 印交易凭证。本模块关系着向用户提供服务的优质程度，操作便捷的交互模块有利于吸引用户，使 本终端有较强的竞争力。 网络通信模块：如前文所述，将用户的数据以及用户的操作通过网络传递至银行服务器并将处 理结果反馈给用户，是金融终端最关键的功能之一。本模块接入以太网，通过l i n u x 操作系统提供 的t c p i p 协议栈与银行服务器通信。 安全控制模块：主要通过p s a m 卡加密芯片对终端交易进行安全控制，保证用户和银行服务器 之间数据网络通信的安全性。主要方法为包括对传输数据进行加密保证数据保密性、对数据进行报 文鉴别码计算保证数据完整性以及使用终端i d 号对终端进行实体鉴别。 2 3 安全金融终端安全性 安全金融终端的安全性主要通过利用安全控制模块进行数据加密、报文鉴别、实体鉴别实现， 同时利用l i n u x 内核协议栈安全机制中的n e f f i l t e r 模块进行基于i p 地址的数据包过滤增强安全性。 2 3 1l i n u x 内核网络协议栈安全机制 l i n u x 安全模块l s m 是l i n u x 内核的一个轻量级通用访问控制框架。一方面l i n u x 内核现有的 安全机制是不足够的，另一方面现存的安全增强系统又各自为战并且雉以使用，在这种情况下产生 了l i n u x 安全模块l s m 。l s m 使得各种不同的安全访问控制模型能够以l i n u x 可加载内核模块的形 式实现出来，用户可以根据其需求选择适合的安全模块加载到l i n u x 内核中，从而大大提高了l i n u x 安全访问控制机制的灵活性和易用性。目前已经有很多著名的增强访问控制系统移植到l i n u x 安全 模块l s m 上实现，包括c a p a b i l i t i e s ，安全增强l i n u x ( s e l i n u x ) ，域和类型增强( d t e ) ，以及 l i n u x 入侵检测系统( l i d s ) 等等。并且不会在安全性方面带来明显的损失，也不会带来额外的系 统开销【1 7 2 们。 l i n u x 内核协议栈内，使用l s m 的网络安全通用框架n e t f i l t e r 来实现我们的安全功能。n e t f i l t e r 是l i n u x 内核的一个子系统，它可以通过在内核的网络代码中使用各种钩子实现数据包过滤、网络 地址转换和连接跟踪等网络欺骗。这些钩子可以设置在内核代码段，或者静态编译进内核，或者作 为作为一个可动态加载卸载的模块。 n e r f i l t e r 是嵌入内核i p 协议栈的一系列调用入口，设置在报文处理的路径上。网络报文按照来 源和去向，可以分为三类：流入的、流经的和流出的，其中流入的和流经的需要经过路由才能区分， 而流经的和流出的报文则需要进行投递。流经的报文还有一个f o r w a r d 的过程，即从一个网络接 口卡转到另一个网络接口卡。n e f f i l t e r 根据网络报文的流向，在以下几个点插入钩子处理过程： n fi pp r er o u t i n g ：这个钩子点位于数据包完成完整性校验之后、进行路由选择之前。 4 第一二章安伞金融终端的总体规范 n fi pl o c a l 烈：当流入的数据包目的主机为本机时，并进行完路由选择之后，数据包 要经过这个点的钩子函数处理。 n fi pf o r w a r d ：如果流入的数据包目的主机不为本机，需要从一个网络接口卡转到另 一个网络接口卡，需要经过本钩子。 n fi pl o c a lo u t ：本地进程的数据做流出路由之前被本钩子的钩子函数处理。 n fi pp o s tr o u t i n g ：流出的数据经过路由之后上线之前经过此点。 数据包流经各钩子的示意图如图2 - 2 ： 图2 - 2n e t f i l t e r 示意图 n e t f i l t e r 框架为多种协议提供了一套类似的钩子( h o o k ) ，用一个二维数组s t r u c tl i s th e a d n f 时f维数组结构存储，一维为协议族，二维为上面提到的各个_ h o o k s n p r o t o m a x h o o k s - 调用入口。每个希望嵌入n e t f i l t c r 中的模块都可以为多个协议族的多个调用点注册多个钩子函数 ( h o o k ) ，这些钩子函数将形成一条函数指针链，每次协议栈代码执行到n f 函数时(有hook() 多个时机) ，都会依次启动所有这些函数，处理参数所指定的协议栈内容。 每个注册的钩子函数经过处理后都将返同下列值之一，告知n e t f i l t e r 核心代码处理结果，以便 对报文采取相应的动作： n fa c c e p t ：告诉n e t f i i t e r 到目前为止，这个数据包仍然可以被接受，应该将它移到网络 堆栈的下一层。 n fd r o p ：数据包被丢弃，并且所有为本数据包分配的资源都将被释放。 5 东南大学硕十学位论文 n fs t o l e n ：本返回码提示n e t f i l t e r 忘掉这个数据包。也就是说钩子函数会在这里对这个 数据包进行完全的处理，而n e t f i l t e r 就应该放弃任何对它的处理了。然而这并不意味着为 该数据包申请的所有资源都要释放掉。这个数据包和它各自的s kb u f f 结构体依然有效，只 是钩子函数从n e t i i l t e r 夺取了对这个数据包的掌控权。 n f ：将报文入队，通常交由用户程序处理。queue n fr e p e a t ：再次调用这个钩子函数，为避免程序陷入死循环，应慎用此返回码。 实现过滤的核心问题是如何截获所有的l p 数据包，n e t f i l t e r 是为驱动程序处理网络数据包和特 定网络功能所设计的。因此，要实现对数据包的过滤，关键是利用n e t f i l t e r 机制米建立网络设备驱 动程序，这样工作在内核模式的设备驱动程序就可以在网络层或网络层以下获取进出系统的所有的 数据包，从而达到截获所有网络数据的目的。i p 协议栈是l i n u x 操作系统的主要组成部分，n e t f i i t e r 与i p 协议栈是密切结合在一起的【2 卜2 2 j 。 2 3 2 数据传输安全性需求 数据传输的安全性包括以下几个方面 2 3 - 2 4 1 ： 报文的保密性：报文的保密性是指对于金融终端和银行服务器而肓，期望保持机密；用户和银 行服务器之间传输的数据只对预定的接收方有意义，对于所有的其他人，报文都是无意义的。 安全终端和银行间需要进行传输的原始报文为明文，明文需要使用对应的加密算法进行加密， 加密产生的密文在网络上进行传递；攻击者即使可截取在信道中传输的数据也无法解密为明文； 在数据加密的过程中，需要一个称为密钥的数值或者数值集参与运算； 报文完整性：报文的完整性是指数据到达接收方时必须与发送时保持一致；在传输过程中不能 发生意外的或者恶意的改变；对于安全金融终端涉及到的货币交易，完整性至关重要；例如， 如果请求的金额由一千元被恶意修改为一万元，将产生灾难性后果； 报文鉴别：数据传输过程中接收方需要确认发送者的身份，而不是未发送该报文的冒充者；报 文的鉴别和报文完整性的保证使用报文鉴别码( m e s s a g ea u t h e n t i c a t i o nc o d e ，m a c ) 实现；报文鉴别 码使用密钥散列函数生成，数据的发送方使片j 与数据接收方之间的对称密钥和密钥散列函数生 成报文鉴别码，然后发送方将原报文与此报文鉴别码一起发送给接收者；接收方接收到报文与 报文鉴别码后，将报文与报文鉴别码分离，之后利用对称密钥对报文应用同一密钥散列函数获 得新的m a c ，并与接收到的报文鉴别码比较，如果相同，则报文鉴别码没有被修改，同时确 认发送方确实是指定的发送方； 不可否认性：接收方必须能够证明报文来自特定的发送方；发送方无法否认它确实发送过的报 文；不可否认性证明的责任由接收方证明，如当终端要求银行将资金从一个账户转到另一个帐 户，银行必须拥有客户确实请求转账的证据； 实体鉴别：用户在访问系统资源之前必须核实身份。实体鉴别与报文鉴别不同；报文鉴别不提 供实时性，实体鉴别为实时性。当用户请求实体鉴别时，系统鉴别之前，没有实际的报文通信； 在鉴别过程中，用户需要在线并参与其中。只有用户被鉴别后，双方方可进行通信。另一方面， 报文鉴别只简单鉴别一个报文，对每一个新报文都要重新鉴别，而实体鉴别则在一次会话期间 证实证实申请者身份。 综上所述，安全金融终端需要提供功能保证数据的保密性，防止数据被窃听分析；保证数据传 输的完整性，防止数据在传输过程中损坏或者被篡改；鉴别报文米源为指定发送者等。 2 3 3 安全性算法 对称密钥算法【2 5 。2 7 】 对称密钥算法，是指在数据加密和解密的过程中，数据发送方和接收方使用相同的密钥。发送 方使用该公共密钥和加密算法对明文数据进行加密，接收方使用相同的密钥和相应的解密算法对密 文进行解密。现代的普遍加密算法为迭代加密，在加密过程中包含了多次迭代，每次迭代是由简单 加密算法生成的复杂加密算法。在每次迭代中使用的密钥由称为迭代密钥的通用密钥生成。即当加 6 第二苹安全金融终端的总体规范 密算法有n 次迭代，则密钥生成器生成n 个密钥k i 、k 2 、k n ，其中k 1 在第一次迭代使用， k 2 在第二次迭代中使用，以此类推。目前广泛使用的对称加密算法之一为数据加密标准( d a t ae n - c r y p t i o ns t a n d a r d 。d e s ) 。该加密算法是由i b m 公司设计，被美国政府接受作为非军事和非机密用途 的加密算法，密钥长度为6 4 位。d e s 加密算法使用两个换位模块和1 6 个迭代加密模块，其中1 6 个迭代加密算法采用相同的概念，但是每个迭代模块使用由通用的源密钥生成的不同密钥。为了加 长密钥，提高安全性，又发展出了3 d e s 加密算法，在使用三个密钥的3 d e s 加密算法中，密钥长 度为1 6 8 位。d e s 算法广泛应用在p o s 机、磁条卡以及自动柜员机等领域，用来实现敏感数据的加 密，比如数据包传输过程的m a c 校验以及持卡用户个人密码的加密传输等。 非对称密钥算法m 非对称加密算法也称为公钥加密算法，是指在数据的加密和解密过程中包含私钥和公钥两个密 钥，接收方保存私钥，而公钥被公开发布，发送方使用公钥对发送的数据包进行加密，接收方接收 到报文后，用私钥进行解密。最常用的公钥加密算法是r s a 算法，它是以三个发明人的名字命名的， 与传统的对称密钥算法有着本质的区别。该算法使用两个足够大的素数与被加密原文相乘产生的积 进行数据的加密和解密。这两个素数无论选用其中哪一个与被加密的明文相乘( 模乘) ，即对明文进 行加密，均可由另外一个素数进行相乘进行解密。如果想利用该乘积求出另一个素数，需要进行大 数分解质因子，分解一个大数的质因子是一个困难的工作，如果选用足够大的素数，这种求解几乎 是不可能的。 公私钥密钥对的用法是，当数据发送方向接收方发送数据时，发送者用接收者的公钥对明文进 行加密，接收方接收到密文后，用自己保存的私钥进行解密，因为其他实体不能拥有私钥，所以不 能解密数据，即数据通信时使用公钥进行加密和私钥用于解密：而当进行签名时，使用私钥进行加 密而公钥进行解密，即发送方向接收方签发文件时，发送方用自己保存的私钥加密文件传送给接收 方，接收方用发送方的公钥进行解密。 哈希算法【2 9 j 哈希( h a s h ) 算法也称为单向散列运算，即对原文进行数字摘要，将运算结果称为哈希值，也 称为数字摘要。哈希值有固定的长度，逆向运算是不可能的，同样的明文数据哈希值是相同并且唯 一的，明文的任何变化都会使哈希值相应产生变化，而不同的明文哈希值不同。数字签名是用私钥 对数字摘要进行加密，使用公钥进行解密和验证。 2 。4 本章小结 本章首先分析了传统银行柜台交易面临的问题，以及与之相对的金融终端自助服务的优势。然 后分析了基于网络传输的金融终端面临的安全挑战。然后综合用户的功能需求，提出了安全金融终 端的设计规范，安全金融终端包括核心处理模块、交互模块、网络通信模块和安全控制模块。最后 分析了l i n u x 内核网络协议栈的安全机制、安全金融终端数据传输的安全性需求以及安全涉及的相 关算法。 7 东南大学硕士学位论文 第三章安全金融终端硬件设计 本章在分析安全金融终端硬件架构的基础上，具体论述了终端存储器模块、网络模块、安全模 块和交互模块的硬件设计。 3 1 系统硬件架构 根据文章之前章节对安全金融终端功能的分析，系统的硬件模块结构图如图3 1 ： 图3 1安全金融终端硬件模块结构图 如图3 1 所示，核心处理模块包括主处理器和存储器，其中系统以s e p 4 0 2 0 微处理器为核心， 全面控制协调各模块的运作；右侧的存储器包括s d r a m 、n a n df l a s h 和n o rf l a s h ，分别用 来存放系统的启动代码、操作系统代码、文件系统代码、应用程序代码以及进行程序的执行。网卡 模块负责终端与银行服务器之间的数据交换。p s a m 卡为系统安全模块，为终端的数据传输进行安 全控制，包括实现数据加密以及m a c 计算等功能。人机交互模块中刷卡器读取用户磁卡数据，键 盘接受用户按键操作，l c d 屏为用户显示菜单以及进行各种操作提示，系统同时需要通过串口打印 凭条，并需要j t a g 进行调试。 3 2 终端核心处理模块硬件设计 3 - 2 1 终端主处理器 安全金融终端以s e p 4 0 2 0 微处理器为核心，外围配置存储器、网络处理模块、安全控制模块以 8 第三苹安全金融终端硬件设计 及液晶屏和刷卡器等组成的人机交互模块。主处理器负责协调各便件模块工作，同时主处理器负责 处理终端系统内的数据和产生的各种指令。 s e p 4 0 2 0 微处理器是完全自主设计，内嵌a s i xc o r e ( 3 2 位r s i c 内核，兼容a r m 7 2 0 t ，带 8 k b 指令数据c a c h e 和全功能m m u ) ，采用冯诺依曼结构p 们。 对于安全金融终端系统最关键的控制接口包括以下三部分： 1 )s e p 4 0 2 0 微处理器存储器管理模块 在本文的硬件设计部分，将对安全金融终端存储器模块的设计进行论述，本节简要介绍s e p 4 0 2 0 微处理器的存储器模块的各种特性。 s e p 4 0 2 0 微处理器的存储器接口( e m i ) 的特性包括： 支持s r a m s d r a m n o rf l a s h n a n df l a s h 存储器； s r a m 存储器接口支持8 1 6 位，s d i 认m 仅支持1 6 位； 零地址片选c s a 只支持1 6 位数据接口； 六个片选，其片选实地址可配置； 四个片选( c s a ，c s b ，c s c ，c s d ) 支持s r a m n o rf l a s h ，每个片选最大支持1 6 mb y t e s 地址空间； 两个片选( c s e ，c s f ) 支持s r a m s d r a m n o rf l a s h ，该片选最大支持的s d r a m 为 6 4 mb y t e s ： 支持j e d e c 标准的s d r a m ；s d r a m 行地址宽度和列地址宽度可配置，行地址范同1 1 到1 3 位，列地址范围8 1 1 位；b a n k 地址位置可配，可以配置成r o w 地址的高位，也可以 配置成r o w 地址的低位；s d r a m 自刷新时间可配置，每次刷新的行数可配置； 支持j e d e c 标准的n a n df l a s h ；独立n a n df l a s h 片选，支持8 位n a n df l a s h ， 地址支持3 级、4 级和5 级；支持硬件e c c 纠错，1 位纠错，多位报错，软件e c c 可以由 用户自主定义，最多支持1 6 b y t e s 的e c c 校验，硬件e c c 可配置为开启或关闭；n a n d f l a s h 时序参数可配置，默认为最大可配参数；支持单个p a g e 的操作，即每次读写都是 一个p a g e ，支持三种命令( 全页，半页，校验位) 。 2 )s e p 4 0 2 0 微处理器以太网控制接口 安全金融终端关键模块之一为网络模块，交易数据通过网络交互于终端和银行服务器之间。 s e p 4 0 2 0 处理器包括以太网控制接口，能有效控制网络数据的交换。 s e p 4 0 2 0 微处理器的m a c 控制器与a m b a a h b 总线连接，支持1 0 1 0 0 m b p s 以太网的应用， 同时需要外接一个p h y 芯片组成完整的以太网应用方案。 s e p 4 0 2 0 微处理器m a c 控制器功能特性： 兼容i e e e 8 0 2 3 、i e e e 8 0 2 3 u 规范。 支持半双工、全双工模式，支持硬件流控。 支持超短帧丢弃，支持超长帧自动截取。 支持地址过滤和网络监听。 仅支持a m b a 规范2 0 。a h bm a s t e r 接口和a h bs l a v e 接口。 s e p 4 0 2 0 微处理器的媒体访问控制器通过对数据包的封装，包括传输前的帧组装和在帧接收后 的分析和接收后的检测；媒介访问控制，包括帧传输初始化和帧传输失败的恢复来实现链路层的功 能。 m a c 控制器支持全双工、半双工模式下的1 0 m b p s 和1 0 0 m b p s 自适应传输，同时支持独立 地址、多地址和广播地址的地址模式，可配置实现数据帧和控制帧的接收和响应。当系统有 数据需要发送时，首先通过a h b 总线将发送数据传递给m a c 控制器，m a c 控制器按照以 太网帧的格式打包主要是加上p r e a m b l e 、s f d 和c r c 校验，然后按照相关协议以n i b b l e ( 半字节) 的格式将数据发送给p h y ，p h y 在收到数据后转换成模拟差分信号传送到以太网 络。而当m a c 控制器收到从p h y 来的数据后，先检查目的地址和本机地址是否匹配，如果 匹配，将数据接收到f i f o ，如果不匹配，数据帧将被丢弃。最后还要检测数据的c r c 是否 9 东南大学硕士学位论文 正确。 3 1s e p 4 0 2 0 智能卡控制器 安全金融终端需要p s a m 卡对数据传输进行安全控制，s e p 4 0 2 0 微处理器包含智能卡控制器， 控制处理器与p s a m 卡的通信。 s e p 4 0 2 0 微处理器的智能卡控制器用来与带触点的符合智能卡标准的异步集成电路卡进行通 信。支持标准的3 3 v 智能卡，l o 电压兼容5 v 。该控制器具有以下特性： 兼容l s 0 7 8 1 6 协议。 - 支持t = 0 异步字符传输模式和t