利用安全处理器和多协议接口简化智能卡设计
文章出处:http://www.singbon.com 作者:Frank Taylor 人气: 发表时间:2011年09月27日
智能卡在今天快节奏的经济生活中已经无处不在,它将逐步代替以磁条贮存帐户信息的付费卡。智能卡通常制作成衣服口袋大小的卡片,与标准的信用卡类似,上面嵌入集成电路,一般是非易失存贮器或带有非易失存贮器的安全处理器。智能卡上面还嵌入了多个电子触点,通过这些电子触点可以与内部存贮器或处理器通信。
智能卡的核心在于嵌入式微控制器对数据的处理和加密功能,处理能力增强了安全性。由于智能卡的成本较高,与IC卡接口需要更新相关的基础设备,从而减缓了由磁卡向智能卡转变的过程。然而,随着对安全性要求的提高,特别是当手机和PDA存放了更多数据时,对IC卡及其它存贮介质(如SD、miniSD、microSD等)的需求也不断提高。手机里的用户识别模块(SIM卡)和支付终端都可以看作智能卡。
为了处理智能卡交易,需要连接一个能够安全地访问内嵌存储器或处理器的读卡器,从而读出信息并将操作结果写回卡内。智能卡的物理尺寸和信号接口已经由标准组织定义(如ISO-7816),并且EuroCard、Mastercard和Visa(EMV)等组织也对智能卡寻址操作建立了一系列的标准。
智能卡的电气接口由8个触点组成,排列并嵌入到塑料卡上,见表1,8个触点中,EMV只用了5个,其中两个是电源和地,其余三个触点是信号触点,通过这三个触点对卡进行读、写操作。C2是复位线,C3是时钟线,C7是串行I/O线。
最初,卡的规范规定供电电压为5V±10%(A类卡),现在已更改为3V±10%(AB类卡),以后要转变成1.85V±10%(ABC类卡)。最终目标是在2009年6月全部淘汰A类卡,仅保留AB类或ABC类卡。
与智能卡接口的终端必须提供多种供电电压和适当的信号电平,接口规范还要求终端能够承受卡的任意两个触点间的短路。使用专用的芯片提供必要的电源和信号电平与比利用大量分立器件完成同样任务更具优势。DS8007就是一款这样的专用器件,除了满足上述模拟功能外,它还包含FIFO、处理器接口和支持卡通信的时序控制逻辑电路。
为了更好地理解MCU和多协议接口电路的工作,我们先来研究一下智能卡接口和与卡通信的基本步骤。我们给出了一个利用安全微控制器DS5002设计接口终端实现协议和数据传输的范例,DS8007接口电路提供信号接口、电荷泵和稳压器,为智能卡提供适当的电源。用两个芯片即可组成双智能卡接口终端。
RST和CLK信号是智能卡的输入,由接口终端(DS5002和DS8007)提供。复位信号为低电平有效,可异步复位智能卡。为了控制整个数据传输,频率范围从1MHz~5MHz的时钟信号通过终端接口连接到智能卡的时钟触点(C3)。最后,数据通过I/O触点(C7)从智能卡传输到读卡器(发送模式),或数据从读卡器传输到IC卡(接收模式)。EMV规范规定,除非I/O触点正在发送数据,否则智能卡的I/O触点应设置为接收模式。
终端接口要求
当卡插入终端时,卡触点连接到终端触点并被激活。控制器将卡复位,然后通过一串字符(请参考应答复位ATR)建立卡与终端的通信;接下来是交易处理,交易结束后,触点置于禁止状态,此后可将卡拔出或弹出。
ATR字符串建立最初的通信信息,包括指定协议、位时序和后续的数据通信信息。ATR序列包括初始化字符、TS及最大32个字节的附加字符,这些字符组合在一起,通知终端在随后的交易中如何与卡通信。而后续的数据传输也能改变某些通信参数,ATR只是建立了最基本的通信条件。
字符传输中的每一位定义为基本时间单元(ETU),ETU的时间长短与智能卡的CLK时钟周期成线性关系。ATR通信过程中的位定时称为初始ETU。
任何通信字符都包含10位数据,持续时间为10ETU。第一位是起始位,它总是低电平,起始位之前I/O默认为高电平。每个字符的最后位是校验位,由发送方决定,可能是高电平,也可能是低电平,其作用是保证整个字符中1的个数为偶数。图1给出了一个位模板的例子,每个字符由10位组成,包括1个起始位、8个数据位和1个校验位。每两个字符之间通过一个最小安全周期进行分隔。
在ISO-7816规范中,4位用于选择卡通信协议。目前16种协议中只用了两种,分别命名为T=0和T=1。这两种都是半双工模式(任何时刻,数据只能单向传输)、异步通信方式。T=0是以基于字符的通讯格式,而T=1是基于数据块的通信格式。所有兼容EMV标准的智能卡必须支持T=0或T=1协议,所有终端必须同时支持这两种协议。
当卡插入终端后,所有触点保持低电平状态,电源VCC立即加到触点C1。终端在确认电压稳定并满足规范限制后,将自身的I/O触点置成接收模式,并向卡的C3提供时钟(CLK)信号。在时钟信号开始的200个时钟周期内,终端须将I/O口置为高阻态(接收模式),卡的I/O口则置于发送模式。
经过40000个~45 000个时钟周期后,终端向卡的RST端发出一个高电平,以激活卡。卡须在RST上升沿后400个~40000个时钟周期内向终端发送一个ATR字符应答终端。ATR包含后续通信操作的详细信息,包括T=0或T=1协议的选择。如果没有指定协议,则终端默认通信协议为T=0。
ATR序列的第一个字符定义为起始字符TS。TS的前4位包含1个低电平起始位,然后是两个高电平位,最后是一个低电平位。这种固定位模板允许TS同步信息传输。TS的后续三位如果全为高平电,则表示后续数据为正向约定解码(传数据时,低位在前);如果这些位全部为低电平,则表示后续数据为反向约定解码(传数据时,高位在前)。EMV规范允许使用反向约定,但推荐在新的卡设计中使用正向约定。
TS的最后三位由两个低电平位和一个校验位组成,10位字符帧的最后一位是校验位,该位电平保证这一帧中1的个数为偶数。
ATR序列的第二个字符为格式字符,称为T0。这个字符包含两部分,用来确定后续ATR所包含的字符。T0的高4位称为Y1,用来指示随后所发送的TA1、TB1、TC1或TD1,0个~4个字符的发送取决于Y 1中有多少位置1。
T0的低4位用K表示,代表数字0到15,表示后续ATR序列中包含的“历史字节”。“历史字节”提供卡的一般信息,比如卡的制造商、卡内芯片、芯片ROM或卡的使用期限等。ISO-7816和EMV规范都没有对该部分信息传输进行准确的定义。
如果ATR中带有TB1字符,则它传递的是智能卡对编程电压的要求:b1~b5位(称为PI1)指出编程电压;b6和b7(称为II)指出编程需要的最大电流。与基本EVM兼容的ATR,TB1=00,说明VPP没有连接到智能卡。
TC1字符传送的数字N决定从终端向智能卡发送的两个相邻字符之间需要加入的额外安全时间。这个数字不会影响从卡到终端的字符传输,也不影响两个相反方向的字符传输。N所代表的二进制数指明加入额外安全时间的ETU数目。当TC1=FF时,两个字符之间使用最短的延迟时间,在T=0协议中,这个时间是12个ETU,在T=1协议中,这个时间是11个ETU。N可以是0~255的任何数字。如果ATR中不含TC1,终端将默认为TC1=00而继续进行后续工作。由于N可以在字符传输时加入额外的时间,它可以将输入速率降到最低。表2是对EMV规范中T=0协议的ATR总结。
一旦ATR过程结束,开始交易过程。不论是哪种特定的操作,交易都是由终端向智能卡发送指令,智能卡执行这些指令(并可将执行结果返回给终端)。卡的操作可以是简单地指定内存读操作,也可以是比较复杂的,如执行一次加密运算。不论是哪种,终端与卡之间的通信都按照应用协议数据单元(APDU)的格式进行。
终端发出的特殊指令信息(C-APDU)将从卡端产生一个相应的应答信息(R-APDU),这些信息称为APDU指令对。EMV规范对这两种指令格式进行了详细定义,由终端发送的指令基本结构必须包含4Byte的报头,随后是长度可选的数据部分,如图2(a)所示。报头的4个字节包括CLA、INS、P1和P2,它们规定了指令的类别,指令码及支持特定指令的参数。C-APDU报头后面跟随数据的字节数,由命令Lc指定,而终端希望智能卡应答信息的字节数由指令Le指定。
智能卡的应答信息(R-APDU)也由多个字节组成,如图2(b)所示,格式化成3段,分别是数据(主体)和代表指令处理状态的SW1、SW2(尾部)。正常完成指令时,智能卡返回SW1的值为0x90和SW2的值0x00,其它返回值表示运行错误或有提示信息产生1。
为了处理全部的终端交易,安全微控制器DS5002可以编程实现握手和数据传输协议。我们已经针对DS5002和DS8007(包含在DS8007评估板内)开发完成了一些例程,实现终端与IC卡的会话过程,包括上电、ATR、APDU和断电。如果将评估板连接到串口接收终端,评估板及其软件将以38400的波特率通过RS232串口传输数据。
关于该软件的详细说明已经超出本文范畴,但我们可以提供基于DS5002和接口芯片DS8007设计方案所能完成的基本智能卡接口的源代码,设计方案的电路如图3所示。软件可从目录下的an4029_sw.zip文件中获得。该文件包含全部的C代码(main.c,ds8007.c,LCD Funct.c)和产生HEX文件(DS8007.hex)所需的汇编源代码(Startup.a51)。这些代码用Keil PK51和mVision集成开发环境编译并链接。mVision项目文件(ds8007.Uv2)也在这个 .zip文件中可以找到。编译完后,.HEX文件被下载到DS8007评估板并运行。
为了测试例程,我们使用了一片ACS提供的基于微控制器的智能卡。这种卡可以执行内嵌的ACS智能卡操作系统版本1,或ACOS1。该卡具备如下特点:用来存放应用数据的8kB E2PROM、DES和MAC功能、基于随机数的过程密钥、相互认证的密钥对、持卡人可以更改的PIN码,符合ISO-7816-3,T=0协议。
ACOS1文件规定IC卡应该返回19Byte的复位数据(ATR),返回T0的数值是0xBE。高半字节(0xB)表明TA1、TB1和TD1将在TS后续的ATR中出现。低半字节(0xE)表明ATR响应中有14个历史字节。因此,从卡传送过来的ATR一共有19个字节。
(作者:Frank Taylor,Maxim公司)