作者/ 范麗芳 大唐微電子技術有限公司(北京 100094)

摘要：目前指紋識別技術已經逐步成為手機的標配功能，通過指紋可以完成身份認證和支付類功能，為人們提供了極大的生活便利。但是考慮到目前指紋算法處理能力和安全保護措施還存在不少技術問題和安全隱患，因此，大唐微電子結合自身優(yōu)勢，自主完成了高性能的指紋算法處理芯片DMT-FAC-CG4Q的研發(fā)，該芯片能夠提供支持國密加解密協(xié)處理器，為高安全可控應用提供了硬件基礎。

引言

　　目前指紋解決方案中大多使用指紋軟算法形式，即指紋算法在普通MCU芯片中運行，該方案安全性較差，指紋處理過程容易被入侵，指紋特征數(shù)據(jù)容易被竊取，比對結果可能被偽造，無法保證指紋算法存儲安全，指紋特征數(shù)據(jù)存儲安全和指紋數(shù)據(jù)傳輸安全，采用指紋算法安全處理芯片，將指紋算法加載到專用芯片中，并通過安全防護進行保護，可保證存儲及傳輸安全。

　　現(xiàn)在指紋手機基本都存在安全問題，2013年，Moto部分手機TrustZone內核被破解，可解鎖Bootloader，加載任意系統(tǒng);2015年4月，三星GalaxyS5攻擊者root其內核后，可直接訪問指紋設備獲取指紋，通過指紋冒充用戶。主要是因為目前手機中使用TEE存儲敏感安全數(shù)據(jù)，TEE的存儲安全性不夠，無法保證關鍵數(shù)據(jù)的安全;TEE防御物理攻擊能力較差，在外部內存中的數(shù)據(jù)和代碼可能被篡改;TEE實現(xiàn)可能存在漏洞，代碼越來越多，導致bug數(shù)量增多，多種TEE系統(tǒng)并存，導致實現(xiàn)越來越復雜。所以當前TEE還無法達到SE的安全級別。

1 安全防護技術

　　指紋算法安全處理芯片提供可信的運行環(huán)境、可信的存儲環(huán)境、安全的傳輸接口;采用多種安全防護技術：1)物理安全防護：采用頂層金屬覆蓋，主動防剝離探測技術;采用Active fuse，提供對芯片測試態(tài)的保護;布局上對關鍵信號線特殊處理，防止物理探測。2)系統(tǒng)安全防護：采用存儲器訪問控制技術，存儲器加密及總線加擾技術，時鐘加擾技術，隨機數(shù)在線檢測技術，芯片關鍵數(shù)據(jù)管理技術等。3)算法安全防護：支持國際和國密算法，采用隱藏技術和掩碼技術，保證算法安全。4)環(huán)境安全防護：采用電壓檢測器、頻率檢測器、溫度檢測器、電源Glitch檢測器、光檢測器、時鐘毛刺過濾器、真隨機數(shù)發(fā)生器等。

　　通過多種安全防護技術，可防御入侵式攻擊(探針、強制、操控、逆向工程等)、信息泄露攻擊(旁路攻擊、時序分析、功率/電磁縫隙)、故障攻擊(電壓毛刺、光攻擊、對加密算法的差分故障攻擊等)、組合攻擊(功率分析+光攻擊+逆向攻擊等)等多種攻擊方式，保證數(shù)據(jù)存儲和傳輸?shù)陌踩?/p>

　　基于我司獨有的高安全防護技術，大唐電信旗下大唐微電子推出了高安全指紋算法安全處理芯片DMT-FAC-CG4Q。

2 大唐指紋算法安全處理芯片DMT-FAC-CG4Q

　　DMT-FAC-CG4Q 指紋算法安全處理芯片采用高安全、高性能、低功耗的 CPU 內核，是一款集成了國際常用加密算法和國密安全算法的多應用芯片，內部集成獨立的安全協(xié)處理器，運用多種芯片安全技術，達到 EAL4+、國密安全芯片等要求。同時，獨立的安全協(xié)處理器可為敏感數(shù)據(jù)的處理提供安全的運行環(huán)境及存儲環(huán)境，可應用于高安全指紋識別及金融支付等領域。DMT-FAC-CG4Q芯片框圖如圖1所示。

　　● 32bit CPU,內核主頻達100MHz以上存儲器，512KBFlash，144KBSRAM;

　　● 通訊接口

　　USB2.0，支持FullSpeed和HighSpeed速率，

　　ISO7816/SPI/UART/I2C/NandFlash Control;

　　● 信息安全模塊

　　DES/3DES/AES/EC/RSA(4096bit)/SHA-1/SM1/SM2/SM3/SM4/SSF33;

　　● 功耗控制

　　四種芯片休眠模式——淺休眠、半休眠、深休眠、全芯片休眠;

　　● 安全防護

　　獨立的硬件安全處理模塊，芯片內部數(shù)據(jù)總線動態(tài)加解擾，高/低電壓探測器，高/低頻率探測器，高/低溫度探測器，SPA/DPA抗攻擊設計，已獲得國密二級、銀聯(lián)芯片安全認證、國內 EAL4+。

3 二代身份證指紋核驗解決方案

　　二代身份證加載指紋后，在二代證讀寫機具中需要加入指紋模塊，實現(xiàn)人、證一致性比對，解決實名制核驗問題。指紋屬于敏感保密數(shù)據(jù)，需要安全運行環(huán)境和存儲環(huán)境，大唐微電子指紋核驗解決方案，可保證數(shù)據(jù)安全，其實現(xiàn)框圖如圖2所示。

　　● 高安全ARM SC300內核的MCU、內嵌多重安全防護機制，可抵抗多種形式攻擊;

　　● 符合公安部一所檢測標準的指紋比對算法;

　　● 支持192*192、208*288、256*360多種尺寸的傳感器;

　　● 保證指紋算法、指紋數(shù)據(jù)的安全存儲及傳輸。

4 手機終端加密應用解決方案

　　目前手機中，指紋算法在TEE中運行，指紋特征數(shù)據(jù)在TEE中存儲，容易被攻擊和篡改，而且指紋算法在TEE中運行，移植較復雜，開發(fā)周期較長。如果指紋算法在單獨的、環(huán)境較簡單的、高安全的SE環(huán)境中運行，可以保證算法運行安全和指紋數(shù)據(jù)安全，且開發(fā)簡單，容易實現(xiàn)，其實現(xiàn)框圖如圖3所示。

　　● 支持SPI接口，兼容主流SENSOR;

　　● 提供運行安全及存儲安全，保證算法發(fā)行安全，保證識別結果輸出安全;

　　● DMT-FAC-CG4Q接口較全，可同時作為Sensor Hub使用;

　　● 可同時作為加密芯片使用，實現(xiàn)語音、數(shù)據(jù)等加密。

5 結束語

　　隨著指紋識別技術應用越來越廣泛，越來越被大眾所接受，在金融、公安、機場、教育、智能化樓宇、PC電腦、移動終端等領域，指紋識別應用場景越來越多，指紋作為身份的象征，其安全性不言而喻，提供高安全的解決方案，對人身財產安全有重要的作用。

參考文獻：

　　[1]Ted Marena,Jenny Yao.物聯(lián)網中的硬件安全性[J].電子產世界,2016(9):19-20.

　　[2]王金旺.銀行卡換芯工程提速，“中國芯”漸行漸近[J].電子產世界,2016(10):23-24.

　　[3]曾楠,周芝梅,趙東艷,等.基于Cortex-M3的北斗二代基帶芯片設計[J].電子產世界,2016(11):59-61.

本文來源于《電子產品世界》2017年第1期第72頁，歡迎您寫論文時引用，并注明出處。