CN103778374A

CN103778374A - 可信终端、双信道卡、抗克隆芯片、芯片指纹和抗信道攻击的方法

Info

Publication number: CN103778374A
Application number: CN201410056404.2A
Authority: CN
Inventors: 邹候文; 唐韶华; 唐春明; 彭俊好; 郑鹤强; 陈祺; 邝天朗; 何文峰; 黄智洲
Original assignee: Individual
Current assignee: Individual
Priority date: 2014-02-19
Filing date: 2014-02-19
Publication date: 2014-05-07
Anticipated expiration: 2034-02-19
Also published as: CN103778374B

Abstract

本申请公开了一种可信终端、双信道卡、抗克隆芯片、芯片指纹和抗信道攻击的方法，可信终端包括主控芯片、双信道卡插槽、信道隔离部件和通讯接口；所述双信道卡插槽包括第一信道连接头和第二信道连接头，第一信道连接头与主控芯片连接，第二信道连接头与信道隔离部件连接，双信道卡插槽用于插入双信道卡；本发明可信终端及双信道卡能取代现有的IC卡迁移，具有安全性高、可用性强、成本低、易于实施等优点。安全性高的关键在于：现有的银行IC卡易于被克隆，从而易于构造“不可区分”的情况，且其支付密码易被截获；双信道卡无法克隆，可杜绝“不可区分”的情况，且能有效地保护支付密码的安全。

Description

可信终端、双信道卡、抗克隆芯片、芯片指纹和抗信道攻击的方法

技术领域

本发明涉及安全技术领域，特别涉及可信终端、双信道卡、抗克隆芯片、芯片指纹和抗信道攻击的方法。

背景技术

基本定义：信道是指信号传输信道，包括终端与终端之间的传输信道、同一终端芯片与芯片/芯片与部件/部件与部件之间的传输信道、芯片内部各模块之间的数据总线，以及芯片或模块内部的各种信号路径。木马是指具有窃听、泄露、篡改、插入、重放、截留和转发功能的恶意程序。芯片指纹：类似人的指纹，在芯片内部提取的每块芯片均不相同的具有独一性的信息。抗克隆芯片：包括芯片指纹模块的芯片，生产厂家无法生产出完全一致的抗克隆芯片。可信终端：通过软件木马无法截获敏感信息的终端。

信道攻击是指在信道上插入木马（包括软件木马、篡改硬件的硬件木马，以及篡改芯片或者预先在芯片功能模块中植入的芯片木马）所开展的攻击，主要包括：

1）物理入侵攻击，即攻击者以物理入侵的方式在终端内部的信号传输信道、在芯片功能模块的数据总线，或者芯片功能模块内部的信号路径上插入木马后开展的攻击。物理入侵攻击需要较为昂贵的设备，例如激光切割工作台、离子束聚焦FIB工作台、微探针等。

图1是一种物理入侵攻击芯片的示意图。如果芯片的关键密钥存储在SRAM中且带有入侵检测网络，则攻击可先采用桥接的方式在需要打断位置的两端连接延长引线，然后再打断。接头，攻击者根据需要切断存储器与其它模块的连接后，根据攻击需要重新连接引线，这一过程等价于在芯片内部的数据总线上插入木马。一旦在数据总线上成功地插入木马，则攻击者可以读取芯片中的密钥，写入相同结构的另一芯片中即可克隆芯片。因此，密钥存放在存储器（包括易失存储器和非易失存储器）中的芯片易于被物理入侵攻击者克隆。

2010年，国际可信联盟TCG推荐的“具有高度安全性”的英飞凌的可信平台模块TPM被Tarnovsky在论文T10“Deconstructing a‘Secure’Processor”（解剖一个’安全’的处理器）中破解并克隆；Tarnovsky通过“桥接”（bridge map，打断某条连线会引起芯片自毁，采用先并接后打断的方式可避免芯片自毁）方法绕过芯片无数的防御网络，然后用极为细小的探针接入数据总线而不被芯片的入侵检测电路发觉且不引起芯片自毁，然后读出SRAM中存储的数据，包括加密密钥和唯一的制造信息，从而成功地克隆了该TPM。

2）侧信道攻击：信号在信道传输和处理过程中与生俱来存在侧信道泄露，也就是说，芯片在生产时会毫无例外地植入泄露侧信道信息的木马。侧信道攻击形式多样，攻击成本较低，对于没有侧信道防护措施的安全芯片，攻击者将能够以很低的代价攻破芯片。主要的侧信道攻击包括能量攻击、计时攻击和故障攻击。能量攻击的原理是寄存器由0变成1时需要充电、由1变成0时需要放电、1变成1或者0变成0时电流变化较小。在芯片的接地脚上串接一个小的电阻，通过测试电阻两端的电压变化可获得芯片的功耗曲线，从功耗曲线中提取信息将可以推测出芯片中使用的密钥，从而攻破芯片。当芯片中使用的密钥中，某一比特为0和为1时的运算时间不同时，攻击者可通过观察每一比特密钥在计算时消耗的时间不同来猜测密钥，这就是计时攻击。此外，攻击者也可主动地向芯片注入故障信息，例如改变芯片的供电电压、改变芯片的时钟或在时钟上注入毛刺等获得错误的计算结果，进而计算出芯片中使用的密钥，这就是故障攻击。

掩码被认为是抵抗能量攻击的有效手段，是芯片通过测评的必备手段之一。然而理论和实验结果表明，n阶掩码只能抵抗n阶能量攻击，但抵抗不了n+1阶攻击。计时攻击易于抵抗，故障攻击的抵抗则比抭非常复杂，常用的手段包括电压检测保护模块、芯片内部产生时钟信号，以及光检测保护模块等，这些手段仅有安全增强的作用，难以抵抗装备精良团队的攻击。

3）密码协议攻击：在软件中插入软件木马开展的攻击。密码协议是建立在密码机制上的一种交互通信协议，使用密码算法实现密钥分配和身份认证等安全功能。所有的安全芯片在应用中都使用密码协议，一旦密码协议被攻破，则意味着采用该密码协议的安全系统需要报废。银行IC卡协议EMV协议在国际支付中处于统治地位，中国的支付协议则采用PBOC协议，EMV和PBOC均属于承载价值极为巨大的密码协议。下面将以EMV协议为例子指出该协议存在严重的缺陷。

EMV协议中的实体包括发卡银行、终端和IC卡。图2给出了EMV协议的三个阶段的关键步骤：1)卡片认证阶段：终端P和IC卡C采用挑战认证协议完成卡片认证；2)持卡人认证阶段：终端把口令发送发卡银行I，发卡银行I向终端返回口令正确/错误信息；3)交易授权阶段：发卡银行/终端与IC卡采用挑战认证协议完成交易授权。假定图2中的协议步骤均经过密码算法认证，攻击者无法篡改协议步骤中传输的数据，称之为密文信道。

在实际的交易流程中，持卡人认证阶段除了口令认证外，还应当包括金额认证，并且金额由商家从终端中输入，终端将刷卡金额显示给持卡人核对，持卡人核对金额无误后从终端中输入口令。因此，参与协议的实体除了发卡银行、终端和IC卡之外，还应当包括商家和持卡人。扩展了EMV协议参与实体的流程如图3、图4所示。

图3、图4是经过细化的POS终端刷卡流程，流程中涉及到发卡银行、POS终端、商家、IC卡和持卡人共五个实体。从图中可以看到，步骤2.1中商家在POS终端中输入金额，步骤2.2中POS终端将金额显示给持卡人核对；持卡人核对金额无误后，在步骤2.3中从POS终端输入口令。

图3、图4中步骤2.1-2.3中均属于明文信道，在明文信道上交互的信息包含金额和口令，因此攻击者插入木马必然可以篡改交易金额并截获口令。EMV协议以“POS终端和商家诚实可信”为前提，然而实际中这一前提很容易被打破。伪造一台外观和操作流程与POS终端一致的假POS的代价非常低，仅需花费千元资金即可。

基于上述协议漏洞易于构造假POS攻击。所谓假POS，是指外观与真POS无异，但程序被篡改且受攻击者控制的POS终端。图5给出了假POS攻击的原理图和模拟攻击时的实物图，伪造一台假POS的成本可低于1千元。

例如，持卡人在攻击者的商店购物100元，IC卡被插入假POS中，事实上，IC卡被插入到持卡人看不见的真POS中。收款人从假POS中输入100元，攻击者(收款人)在真POS中输入9000元，持卡人看到假POS上显示100元，就会在假POS中输入支付密码(口令)。假POS把口令发送给攻击者，攻击者在真POS上输入截获的持卡人的口令。当真POS开始打印刷卡单后，收款人控制假POS打印100元的刷卡单。在这个攻击例子中，持卡人的口令泄露了，也被多刷了8900元。多刷卡易于被持卡人从银行通知短信获释，如果攻击者仅截获口令而刷卡额与购物额相等，则持卡人不会察觉口令泄露。

EMV协议除了持卡人认证阶段存在致命协议漏洞外，其卡片认证和交易授权阶段中使用挑战应答协议，这可用如图6所述的协议进行攻击。攻击者和合伙人可以借助一张仅带有信息转发功能(不含密钥)且外观和真卡无异的伪卡，伪卡转发POS终端和IC卡之间的所有问题和答案。持卡人在事先把“口令”泄露给合伙人的情况下可实现刷卡购物，然后持卡人可借助不在场证据获得银行赔偿。

银行IC卡更重要的问题在于：芯片不具备抗克隆能力，将使得以下两种“不可区分”情形：i）A的IC卡无意被克隆，口令也无意被截获（或者使用的口令卡/令牌也被克隆），攻击者把克隆卡和口令发给C盗刷，A提出赔偿要求；ii)B克隆自己的IC卡，把克隆的IC卡和口令交给C刷卡，然后B提出赔偿要求。因为A和B中一个是攻击者，一个是受者者，且两者“不可区分”，这将导致法律难以制裁攻击者。如果不强化口令的安全性，则现有的银行磁条卡面临巨大的风险，银行IC卡在将来也必然面临巨大的风险。

容易证明，如果接受口令的设备不是私有设备，或者私有设备中接受口令的芯片能够被编程，则不会有口令的安全！对于前一种情况可以篡改硬件插入木马，对于后一种情况则使用软件木马即可截获口令。关于交易金额大小的问题，如果交易金额不是在不可编程的私有芯片中输入，则存在篡改金额的方法。例如攻击都插入木马显示虚假金额即可。因此，在支付交易中需要从不可编程的私有设备中输入口令，以及输入或者显示金额。

除了银行IC卡面临巨大风险外，现有的小额支付（电子钱包）、支付宝支付和微信支付同样面临巨大的风险。易于证明，如果芯片没有抗克隆能力，不采用口令验证支付者，则这样的支付系统存在低成本的攻击方案。例如，对于公交支付，IC卡靠近读卡器后会扣IC卡的钱，同理，读卡器靠近IC卡也能够偷钱。如果把读卡器放在书包中，在公交地铁上走一圈，则可扣到不小钱。根据我们的实验，适当改装读卡器，即可把读卡器到IC卡之间的距离由2CM扩展到80CM。对于支付宝和微信支付，只要在信道的适当位置插入木马，即可有效地攻击这两种支付。

例如对于支付宝快捷支付，攻击者在受害人的手机的主控芯片中插入木马截获帐号、口令等敏感信息，获得这些信息后就能够盗取帐号中的金额了：1）输入受害人的银行卡帐号，然后发送验证码；2）木马检测到收到验证码后，截留该验证码的同时转发给攻击者；3）攻击者输入验证码。

没有绝对安全的技术，只有依赖不可克隆技术，方可避免“不可区分”的情形出现，进而方可借助条款和法律保护系统的安全。就如同“钱包原理”一样，即使钱包在技术上不安全，但有警方和法律制约抢夺和偷盗者，以及钱包持有人有义务保护钱包的安全，从而使得在技术上不安全的钱包的安全性被广泛接受。

要有效地抵抗信道攻击，必须要有抵抗软件木马的能力，必须要有安全的协议，必须要有完善的抗侧信道泄露措施，必须要有恰当的抗物理入侵措施，同时，还要具备不可克隆特性。只有这样，才会有真正的“芯片”和“口令”意义上的安全。现有的IC卡系统宣称安全性基于“芯片”和“口令”，但其“芯片”容易被克隆，“口令”容易被软件木马或者硬件木马截获，因此目前的银行IC卡迁移明显是在做“皇帝的新装”。

现有的终端（智能手机、平板电脑、PC）的键盘或触摸屏直接与主控芯片连接，主控芯片的执行程序可更新使得易于被植入木马。对于银行IC卡支付，由于输入支付密码（口令）的POS终端并非用户的私有设备，因此商家易于植入硬件木马（例如前面所述的假POS）。因此，现有的终端无法保护口令的安全。现有的芯片由于密钥存放在存储器（其中大多为非易失存储器）中，攻击只要读取存储器中的内容，写入到结构相同的另一块芯片中即可克隆芯片。所以，现有的终端和芯片无法真正达到“芯片”和“口令”安全。因此，从新设计终端和芯片达到真正的“芯片”和“口令”安全，从而确保系统的安全是本领域技术人员急需解决的问题。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种可信终端。

本发明的另一目的在于，提供一种双信道卡。

本发明的又一目的在于，提供一种抗克隆芯片。

本发明的再一目的在于，提供一种芯片指纹。

本发明的更一目的在于，提供一种抗信道攻击的方法。

为了达到上述第一目的，本发明采用以下技术方案：

一种可信终端，包括主控芯片、双信道卡插槽、信道隔离部件和通讯接口；

所述双信道卡插槽包括第一信道连接头和第二信道连接头，第一信道连接头与主控芯片连接，第二信道连接头与信道隔离部件连接，双信道卡插槽用于插入双信道卡；当双信道卡插槽中未插入双信道卡时，第一信道连接头通过弹片开关与第二信道连接头连接，或者在双信道卡插槽中插入一块与双信道卡形状相同的信道连接电路板，使得双信道卡插槽的第一信道连接头与第二信道连接头相互连接；信道连接电路板包含一组信道连接线，信道连接线的一端与双信道卡插槽的第一信道连接头相连接，信道连接线的另一端与双信道卡插槽的第二信道连接头相连接；当双信道卡插槽中插入双信道卡时，双信道卡的第一IO连接头与双信道卡插槽的第一信道连接头相连接，双信道卡的第二IO连接头与双信道插槽的第二信道连接头相连接，双信道卡把主控芯片和信道隔离部件隔开，从信道隔离部件中输入的信息交给双信道卡，经过双信道卡检查处理后再交给主控芯片，从主控芯片输出到信道隔离部件的信息先输出给双信道卡，双信道卡检查处理后，再把处理结果输出到信道隔离部件；

所述主控芯片与双信道卡插槽的第一信道连接头直接连接，与信道隔离部件直接或间接地连接，与通讯接口直接连接，用于直接或间接地控制信道隔离部件、直接控制通讯接口以及处理信息；所述直接连接是指通过信道连接线连接，中间没有双信道卡隔离；所述间接连接是指主控芯片通过双信道卡插槽中的双信道卡作为桥梁与信道隔离部件相连接；

所述通讯接口与主控芯片连接，用于与外界交换信息。

优选的，所述信道隔离部件包括以下部件中的一项或多项：触摸屏、键盘、话筒、摄像头、生物动作识别模块、确认按钮、显示屏、用户口令指示灯、扬声器；

所述触摸屏和键盘用于输入支付密码、用户认证口令和软件登录口令，也用于输入普通按键信息；

所述话筒用于输入支付密码的替代声音信息和包含支付金额的声音信息，也用于输入用户认证口令和用户软件登录口令的替代声音信息，以及普通的声音信息；

所述摄像头用于拍摄支付密码、用户认证口令和软件登录口令的替代影像信息，也用于输入普通的影像信息；

所述生物动作识别模块用于输入支付密码、用户认证口令和软件登录口令的替代生物动作信息，也用于输入普通的生物动作信息；

所述确认按钮用于确认小额支付；

所述显示屏用于显示信息，当显示屏作为信道隔离部件且用户口令指示灯点亮期间，显示屏上显示的信息经过双信道卡的验证；

所述用户口令指示灯用于提示用户输入口令，当且仅当用户口令指示灯点亮时，用户才能输入口令，否则用户输入的口令将有可能被主控芯片上运行的木马程序截获；当用户口令指示灯点亮时，从信道隔离部件输入的除了控制信息以外的所有信息都会被双信道卡加密后再发给主控芯片，因此当用户口令指示灯点亮时，即使主控芯片被木马程序控制，木马程序也无法截获用户输入的口令；

扬声器用于输出声音信息，当扬声器作为信道隔离部件且用户口令指示灯点亮期间，扬声器上输出的声音经过双信道卡的验证。

为了达到上述另一目的，本发明采用以下技术方案：

一种适用于可信终端的双信道卡，包括：双信道卡基、抗克隆芯片、第一IO连接头、第二IO连接头；所述第一IO连接头和第二IO连接头均与抗克隆芯片连接；所述抗克隆芯片、第一IO连接头和第二IO连接头均内嵌在所述双信道卡基中；双信道卡插入可信终端后，第一IO连接头与可信终端的第一信道连接头相连接，第二IO连接头与可信终端的第二信道连接头相连接。

优选的，双信道卡还包括无线通讯口，所述无线通讯口与其它无线通讯接口设备通讯，用于在双信道卡与其他终端之间交换信息，所述的其它终端是指双信道卡的当前宿主以外的任意终端。

为了达到上述又一目的，本发明采用以下技术方案：

一种适用于双信道卡的抗克隆芯片，包括：IO接口、双轨逻辑嵌入式通用密码处理器GCP、真随机数发生器TRNG和物理不可克隆模块PUF；

所述IO接口包括第一IO接口和第二IO接口，用于抗克隆芯片与外界通讯，通过所述IO接口把双信道卡的第一IO连接头、第二IO连接头分别与GCP连接起来；如果双信道卡包括无线通讯口，则IO接口把双信道卡的无线通讯口与GCP连接起来；

所述GCP用于完成IO接口控制、PUF控制，以及用于执行密码算法程序；所述GCP的指令集由密码算法指令集的交集组成；

所述GCP的指令执行流程包括指令读取、指令译码、产生控制信号、指令执行、数据回写五部分；

所述GCP由两比特寄存器组成基本状态，两比特寄存器取值为00和11时代表GCP处理异常状态，两比特寄存器取值为01和10时分别表示传统的0和1两个状态，即GCP采用双轨逻辑作为基本单元；

所述TRNG用于产生真随机数；

所述PUF可以是覆盖PUF、SRAM-PUF、ROPUF、APUF、DAPUF中的一种；PUF的输入称为挑战，输出称为应答；PUF利用芯片制造过程中的工艺偏差，可利用PUF的应答生成每颗芯片唯一的密钥，该密钥不需存储，掉电后消失，上电可恢复；向某颗芯片的PUF输入一个挑战，可以返回一个应答，该应答的取值不仅依赖于输入的挑战，也依赖于芯片的工艺偏差；所以，只有在固定的芯片上输入相同的挑战，才可得到相同的应答；改变挑战或者同一个挑战输入到另一块芯片上，均不能得到正确的应答，从而可使芯片的生产厂家无法生产相同的芯片，这使芯片不可克隆；给PUF输入挑战后可得到其应答，所述GCP使用多个密钥，分别表示为K0，K1，...，KK，所述多个密钥从PUF的应答中提取（用PUF的应答生成密钥），或者K0从PUF中提取，再用K0对其它密钥加密后存储；从PUF中提取密钥的过程有两个流程，分别是初始化密钥和重建密钥；所述初始化密钥流程在密钥使用之前执行一次；所述重建密钥是在使用密钥前从PUF中恢复密钥；

初始化密钥流程用一个新鲜的随机数作为密钥序号，以密钥序号作为PUF的挑战，得到应答R，R的散列值作为密钥，所述的散列值是单向函数（HASH函数）得到的值；产生一个随机比特串并用纠错码编码后得到码字CW，CW与R异或得到W1，W1需要与密钥序号作为辅助数据一起保存起来，以便于以后通过纠错恢复密钥；

重建密钥流程从辅助数据中读取密钥序号和W1，密钥序号作为PUF的挑战，得到应答R’，R’与W1异或得到CW’，CW’经过纠错码译码得到CW，CW与W1异或得到R，R经散列后得到相应的密钥；

所述覆盖PUF由IC的外层覆盖保护层组成，保护层由渗杂了随机粒子的材料块组成；产生应答的电路是测量电容的IC表层金属传感器网络，传感器的形状象梳子一样；

所述ROPUF是振荡环型PUF，奇数个反相器连接组成自振荡环电路，计数器1和计数器2分别计算两个自振荡环电路的振荡次数；对于1比特ROPUF，如果计数器1的值大于计算器2的值，则ROPUF输出1，否则输出0；

所述SRAM-PUF是静态存储器型PUF，一比特SRAM-PUF由一比特SRAM组成，SRAM-PUF的取值就是SRAM上电时的初始值；

所述APUF是仲裁型PUF，APUF由上下两路触发信号的延时电路和仲裁器组成；延时电路由多个多路选择器前后连接而成，每个多路选择器包括上下两个输入端、上下两个输出端和一个选择端，前一个多路选择器的上下输出端分别与后一个多路选择器的上下输入端连接；当选择端输入为1时，上输入端经过第一延时路径连接到上输出端（或者连接到下输出端），下输入端经过第二延时路径连接到下输出端（或者连接到上输出端）；当选择端输入为0时，上输入端经过第三延时路径连接到下输出端（或者连接到上输出端），下输入端经过第四延时路径连接到上输出端（或者连接到下输出端）；仲裁器包括上下两个输入端和一个输出端；对于1比特APUF，如果上输入端的上升沿触发信号比下输入端的上升沿触发信号先到达，则输出1，否则输出0；

所述DAPUF在APUF的基础上增加一个仲裁器，APUF原有的仲裁器称为正仲裁器，DAPUF新增加的仲裁器称为负仲裁器；正仲裁器的上输入端与负仲裁器的下输入端相连接，正仲裁器的下输入端与负仲裁器的上输入端相连接；；所述DAPUF正仲裁器和负仲裁器组成一个仲裁器对，DAPUF可以连接多个仲裁器对

PUF的应答存在噪音，用PUF提取密钥需要把应答的噪音降低到可接受的水平；可把纠错码和独立多数选举法作为降噪算法；所述纠错码包括重复码、BCH码和RM码；所述独立多数选举法是指将一比特应答分别与另外K比特噪音互相独立的应答异或并记录异或结果作为辅助数据，所述K是一个基数；恢复应答时产生K比特噪音互相独立的应答与辅助数据中的异或结果异或，所得的比特中，如果1的数量比0多，则恢复应答的结果为1，否则为0；

所述噪音互相独立的应答：对于覆盖PUF，是指从不同传感器网络得到的应答；对于SRAM-PUF，是指不同SRAM单元的上电初始值；对于ROPUF，是指两个振荡环均不相同时的应答；对于APUF和DAPUF，是指不同挑战对应的应答。

为了达到上述再一目的，本发明采用以下技术方案：

一种适用于抗克隆芯片的芯片指纹；

所述芯片指纹包含DAPUF电路和静态延时调节电路；所述静态延时调节电路包含x级静态时延粗调电路和y级静态时延微调电路；所述x是大于1的整数，通常取为2^i，i是一个大0的整数；所述y是大于或者等于0整数；

芯片指纹的上下两路信号穿过DAPUF的延时电路后到达静态时延粗调电路，再穿过静态时延粗调电路后到达仲裁器；

所述x级静态时延粗调电路包含x组上延时电路、x组下延时电路和两个x选一选择器，DAPUF的延时电路的上输出端连接第一组上延时电路的输入端，DAPUF的延时电路的下输出端连接第一组下延时电路的输入端；

x组上延时电路包括x-1个延时部件，每个延时部件有一个输入端和一个输出端，前一个延时部件的输出端与后一个延时部件的输入端相连，每一个延时部件的输入端都被连接到x选一选择器的输入端，最后一个延时部件的输出端被连接到x选一选择器的输入端，其中一个x选一选择器的输出端作为x级上延时电路的输出端，第一个延时部件的输入端作为x级上延时电路的输入端与DAPUF延时电路的上输出端连接；x组下延时电路与x组上延时电路的结构完全一样；

所述y级静态时延微调电路是指DAPUF延时电路中有y个多路选择器的选择端的输入值可设定为0和设定为1。

优选的，所述DAPUF中延时电路与正仲裁器之间的连接线被引到芯片的顶层并被延长缠绕铺满顶层，把次顶层及以下金属层包裹起来形成笼形结构，用于保护顶层以下的金属层以及底层的硅层不被物理入侵攻击探测或者篡改。

为了达到上述更一目的，本发明采用以下技术方案：

基于可信终端的抗信道攻击方法，其特征在于，在使用双信道卡处理支付密码、登录密码、和银行卡帐号等敏感信息之前，双信道卡中的抗克隆芯片调用PUF的初始化密钥流程生成密钥，并将该密钥以安全可靠的方法发送给敏感信息接收方，从而实现密钥共享；或者在双信道卡中预先写入可信中心的公钥，然后在会话时通过公钥密码实现密钥共享；相关的敏感信息和双信道卡的标识码也用安全可靠的方法在敏感信息接收方中登记；

可信终端在接收用户输入敏感信息时点亮用户口令指示灯，用户在看到用户口令指示灯点亮期间才输入敏感信息，否则所输入的信息可能会被木马截获；当可信终端的主控芯片向双信道卡发送接收敏感信息的指令时，双信道卡中的抗克隆芯片点亮口令指示灯；在口令指示灯点亮期间，抗克隆芯片从触摸屏或者键盘中接收字符码和操作码，接收到的字符码放入STR中；或者双信道卡通过话筒接收用户说出的口令，把说出口令的声音形成的信息放入STR中；当接收到敏感信息输入结束的操作码后，从TRNG中读取随机数R，将R和STR连接在一起形成RSTR；抗克隆芯片调用重建密钥流程从PUF中恢复密钥KEY，然后用KEY对RSTR加密，得到的密文发给主控芯片；所述的加密既可以是对称加密算法或流密码算法加密，也可以是公钥密码算法的签名，如果是公钥密码签名，则可再用信息接收方的公钥加密。

优选的，当可信终端进行支付操作时，双信道卡的抗克隆芯片从主控芯片接收支付信息，用户在输入支付密码之前先输入交易金额，抗克隆芯片从触摸屏或者键盘中接收金额并转发给主控芯片，然后抗克隆芯片再点亮口令指示灯；抗克隆芯片接收完支付密码后，把支付信息、交易金额、RSTR和口令一起加密后发送给主控芯片。

优选的，所述的初始化密钥流程和重建密钥流程：

在初始化密钥流程前，对芯片的布局布线结果进行静态时序分析，得到延长到芯片顶层的延长线所产生的静态时延ST1；记静态时延粗调电路中上通路部分的静态时延为AUST，记下通路部分的静态时延为ADST；适当调整两个x选一选择器选择端的输入值并记作LADJ；选择某个LADJ值使得AUST＋ST1尽量与ADST接近；考察第一到第y个多路选择器，通过静态时序分析计算出y个多路选择器的选择端设定为0和设定为1时，以输出为准的每个选择器上通路与下通路的静态时延差；选择一个y比特二进制数MADJ，记第y个多路选择器的上输出通路对上升沿触发信号的静态时延为MST1，记第y个多路选择器的下输出通路对上升沿触发信号的静态时延为MST2，选择某个MADJ取值，使MST1＋AUST＋ST1与MST2＋ADST的值尽量接近，其目的是消除正仲裁器前的连线引到顶层延长所带来的静态时延影响；

所述初始化密钥流程和所述重建密钥流程时，LADJ和MADJ的取值使得MST1＋AUST＋ST1与MST2＋ADST的值尽量接近。

本发明相对于现有技术具有如下的优点及效果：

1）现有的安全芯片虽然宣称不可克隆，但事实上通过FIB结合微探针能够读出存储器中的所有内容，再写入另外一块同构的芯片中即可克隆成功，其成本大约也就几十万元，且随着时间的推移会不断下降。因此现有的芯片无法达到真正的“芯片”意义的安全。本发明通过芯片指纹技术使得芯片具有不可克隆特性，由于生产厂家无法生产两块相关的芯片指纹芯片，因此敌手也难以克隆本发明的芯片，从而拥有真正的“芯片”意义上的安全。

2）现有的手机，包括带有安全芯片的手机，当主控芯片被插入的木马控制后，手机持有人所输入的敏感信息无法避免被木马截获，因此也无法真正拥有“口令”意义上的安全。通过篡改POS终端成为假POS，结合真POS一起就能轻易地截获支付密码（口令），因此，目前我国的银行IC卡和国际上的银行IC卡均没有真正意义上的“口令”安全，同样，当前的身份证、电子护照、门禁等IC卡终端事实也也没有真正意义上的“口令”安全，其根本原因在于口令以明文方式交给易于被插入木马（包括软件木马和硬件木马）的终端。现有的POS终端即使结合口令卡或者令牌增强口令的安全性，但仍然无法避免出现被多刷金额的情况出现；此外口令卡或者令牌方案事实上是把口令存储在芯片中，一旦存储口令的芯片被克隆，则口令的安全意义丧失。本发明中，敏感信息由私有的无法插入木马（严格来说，本发明的终端也能够插入硬件木马，然而，私有终端被插入硬件木马时使用终端的人存在过失，理应为损失负责）的双信道卡接收并加密后再发送给主控芯片，然后最终传输到后台的验证端，因此在双信道卡到后台这整条信道上都是安全的，从而拥有真正意义上的“口令”安全。

3）处理器内核双轨逻辑以及DAPUF双仲裁器使得抗克隆芯片能够有效地降低运算时的功耗信息泄露，也能够有效地抵抗故障攻击，在此基础上再用如申请号为201110303449.1的发明专利所述的方法限制密钥的使用次数，则能有效地抵抗侧信道攻击。

4）即使将来敌手攻破了芯片指纹技术，但也难以做到“不可区分”，其原因在于生产厂商无法生产完全一致的两块芯片，因此敌手也无法克隆芯片。

5）本发明的抗克隆芯片具有抗篡改特性：对于普通的芯片，敌手可以用FIB或激光切割打断任意的连接线路，例如，要打断某一段连线，只需要在该段连线的外两侧并接一条延长连线即可。然而，对于本发明的抗克隆芯片来说，延长连线不可避免增加静态时延，通过限制静态时延粗调电路和静态时延微调电路的调节能力，则延长连线引起的时延无法消除，从而破坏芯片指纹并使之无法产生没有延长连线时的信息。

6）能有效地提高芯片指纹的独一性。正仲裁器前的连线被引到芯片金属层顶层作为保护层，这必然使得DAPUF的上通路静态时延明显大于下通路，从而降低DAPUF的独一性，甚至有可能使得所有芯片的DAPUF在相同输入时都得到相同的输出。通过静态时延粗调电路和静态时延微调电路能有效地调节上下两条通路的静态时延差，从而有效地提高独一性。

7）用本发明的双信道卡能取代现有的IC卡迁移，具有安全性高、可用性强、成本低、易于实施等优点。

安全性高：现有的银行IC卡易于被克隆，从而易于构造“不可区分”的情况；双信道卡无法克隆，可杜绝“不可区分”的情况。此外就是前面所述的具有真正的“芯片”和“口令”意义上的安全。

可用性强：目前手机已经成为人们的必带终端，因此没有手机就无法支付已经不再是问题。

成本低：对于IC卡迁移来说，旧有的磁条卡POS终端和ATM终端都需要更换，按200万台ATM和2000万台POS终端计算，总共需要2千多亿元。然而，对于用双信道卡迁移方案来说，这些旧的机器只需要增加一个和可信终端通讯的接口就行了，甚至连接口都不用增加，仅在银行后台增加支付密码（口令）验证就行了。手机在出厂时有双信道插槽和没有双信道插槽在成本上没有区别，一张双信道卡的成本并不会比一张银行IC卡的成本更高。当然，可信终端（例如手机）需要更新，但比较而言，手机的更新速度与ATM、POS终端相比快很多，因此把手机换成可信终端比更换ATM/POS的成本低。

易于实施：可保留现有的支付协议和支付体系不变，仅在银行后台增加双信道卡授权支付步骤，如此一来，仅需要修改银行后台，原有的ATM、POS等都无需要作任何修改，仅需要在银行后台的处理程序中增加双信道卡授权过程。

8）能有效地增强支付宝支付、微信支付和软件验证（例如QQ登录等）的安全性。双信道卡与支付宝后台、微信后台或软件后台共享密钥和口令即可避免受到软件木马的攻击。

附图说明

图1是现有技术中物理入侵攻击示意图。

图2是EMV协议的算法示意图。

图3是扩展参与实体后的EMV协议的关键步骤示意图。

图4是截获持卡人口令和多刷金额的关键步骤示意图。

图5是假POS机攻击原理图。

图6是伪卡攻击关键步骤示意图。

图7是本发明可信终端的结构示意图。

图8是本发明双信道卡结构示意图。

图9是本发明抗克隆芯片结构示意图。

图10是本发明APUF结构示意图。

图11是本发明DAFUF结构示意图。

图12是本发明芯片指纹的结构示意图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

实施例

如图7所示，本实施例的一种可信终端，包括主控芯片、双信道卡插槽、信道隔离部件和通讯接口；

所述双信道卡插槽包括第一信道连接头和第二信道连接头，第一信道连接头与主控芯片连接，第二连接头与信道隔离部件连接，双信道卡插槽用于插入双信道卡；当双信道卡插槽中未插入双信道卡时，第一信道连接头通过弹片开关与第二信道连接头连接，或者在双信道卡插槽中插入一块与双信道卡形状相同的信道连接电路板，使得双信道卡插槽的第一信道连接头与第二信道连接头相互连接；信道连接电路板包含一组信道连接线，信道连接线的一端与双信道卡插槽的第一信道连接头相连接，信道连接线的另一端与双信道卡插槽的第二信道连接头相连接；当双信道卡插槽中插入双信道卡时，双信道卡的第一IO连接头与双信道卡插槽的第一信道连接头相连接，双信道卡的第二IO连接头与双信道插槽的第二信道连接头相连接，双信道卡把主控芯片和信道隔离部件隔开，从信道隔离部件中输入的信息交给双信道卡，经过双信道卡检查处理后再交给主控芯片，从主控芯片输出到信道隔离部件的信息先输出给双信道卡，双信道卡检查处理后，再把处理结果输出到信道隔离部件；

所述通讯接口与主控芯片连接，用于与外界交换信息。

所述信道隔离部件包括以下部件中的一项或多项：触摸屏、键盘、话筒、摄像头、生物动作识别模块、确认按钮、显示屏、用户口令指示灯、扬声器；

所述确认按钮用于确认小额支付；

如图8所示，本实施例适用于所述可信终端的双信道卡，包括：双信道卡基、抗克隆芯片、第一IO连接头、第二IO连接头；所述第一IO连接头和第二IO连接头均与抗克隆芯片连接；所述抗克隆芯片、第一IO连接头和第二IO连接头均内嵌在所述双信道卡基中；双信道卡插入可信终端后，第一IO连接头与可信终端的第一信道连接头相连接，第二IO连接头与可信终端的第二信道连接头相连接。

为了达到更好的效果，本实施例的双信道卡还包括无线通讯口，所述无线通讯口与其它无线通讯接口设备通讯，用于在双信道卡与其他终端之间交换信息，所述的其它终端是指双信道卡的当前宿主以外的任意终端。

如图9所示，本实施例中，所述抗克隆芯片包括：IO接口、双轨逻辑嵌入式通用密码处理器GCP、真随机数发生器TRNG和物理不可克隆模块PUF；

所述GCP用于完成IO接口控制、PUF控制，以及用于执行密码算法程序；所述GCP的指令集由密码算法指令集的交集组成；所述密码算法不限于分组密码算法KLEIN和SM4；

所述KLEIN指令集如表1所示：

表1

类	指令格式	功能描述
			R	ADD Rd,Rt,Rs	Rs+Rt送Rd
	NOP R0,R0,R0	空操作
			R	XOR Rd,Rt,Rs	Rt按位异或Rs送Rd
I	BEQ Rt,Rs,Radr	Rs等于Rt则把PC+Radr送PC
			I	ADDI Rt,Rs,Imm	Imm+Rs送Rt。
I	LW Rt,Rs,Radr	把地址为Rs+Radr的存储单元中的内容送到Rt。
			I	SW Rt,Rs,Radr	把Rt的内容存到地址为Rs+Radr的存储单元中。
J	JMP Adr	Adr(A15～0)值送PC，并将(A25～A16)赋值为0作保留位

利用KLEIN指令集，编程实现KLEIN加密一个分组的程序占用138条指令空间和1758个指令周期；

所述SM4的指令集如表2所示：

表2

类	指令格式	功能描述
			R	ADD Rd,Rt,Rs	Rs+Rt送Rd

	NOP R0,R0,R0	空操作
			R	XOR Rd,Rt,Rs	Rt按位异或Rs送Rd
I	BEQ Rt,Rs,Radr	Rs等于Rt则把PC+Radr送PC
			I	ADDI Rt,Rs,Imm	Imm+Rs送Rt。
I	LW Rt,Rs,Radr	把地址为Rs+Radr的存储单元中的内容送到Rt。
			I	SW Rt,Rs,Radr	把Rt的内容存到地址为Rs+Radr的存储单元中。
J	JMP Adr	Adr(A15～0)值送PC，并将(A25～A16)赋值为0作保留位
			R	AND Rd,Rt,Rs	Rt按位与Rs送Rd
R	OR Rd,Rt,Rs	Rt按位或Rs送Rd
			R	SLL Rt,Rs,Rd	Rs循环左移Rd位送到Rt
R	SLT Rd,Rs,Rt	Rs小于Rt,则Rd置1,否则置0
			R	SLLV Rd,Rt,Rs	Rt逻辑左移Rs位送Rd
R	SRLV Rd,Rt,Rs	Rt逻辑右移Rs位送Rd

利用SM4指令集，编程实现SM4加密一个分组的程序占用324条指令空间和4831个指令执行周期；

SM4指令集包含KLEIN指令集，因此SM4和KLEIN两个密码算法的指令集的交集等于SM4指令集；

所述TRNG用于产生真随机数；

所述PUF可以是覆盖PUF、SRAM-PUF、ROPUF、APUF、DAPUF中的一种；PUF的输入称为

输出称为应答；PUF利用芯片制造过程中的工艺偏差，可利用PUF的应答生成每颗芯片唯一的密钥，该密钥不需存储，掉电后消失，上电可恢复；向某颗芯片的PUF输入一个挑战，可以返回一个应答，该应答的取值不仅依赖于输入的挑战，也依赖于芯片的工艺偏差。所以，只有在固定的芯片上输入相同的挑战，才可得到相同的应答；改变挑战或者同一个挑战输入到另一块芯片上，均不能得到正确的应答，从而可使芯片的生产厂家无法生产相同的芯片，这使芯片不可克隆；给PUF输入挑战后可得到其应答，所述GCP使用多个密钥，分别表示为K0，K1，...，KK，所述多个密钥从PUF的应答中提取（用PUF的应答生成密钥），或者K0从PUF中提取，再用K0对其它密钥加密后存储；从PUF中提取密钥的过程有两个流程，分别是初始化密钥和重建密钥；所述初始化密钥流程在密钥使用之前执行一次；所述重建密钥是在使用密钥前从PUF中恢复密钥；

重建密钥流程从辅助数据中读取密钥序号和W1，密钥序号作为PUF的挑战，得到应答R’，R’与W1异或得到CW’，CW’经过纠错码译码得到CW，CW与W1异或得到R，R经散列后得到相应的密钥。

所述APUF是仲裁型PUF，如图10所示，APUF由上下两路触发信号的延时电路和仲裁器组成；延时电路由多个多路选择器前后连接而成，每个多路选择器包括上下两个输入端、上下两个输出端和一个选择端，前一个多路选择器的上下输出端分别与后一个多路选择器的上下输入端连接；当选择端输入为1时，上输入端经过第一延时路径连接到上输出端（或者连接到下输出端），下输入端经过第二延时路径连接到下输出端（或者连接到上输出端）；当选择端输入为0时，上输入端经过第三延时路径连接到下输出端（或者连接到上输出端），下输入端经过第四延时路径连接到上输出端（或者连接到下输出端）；仲裁器包括上下两个输入端和一个输出端；对于1比特APUF，如果上输入端的上升沿触发信号比下输入端的上升沿触发信号先到达，则输出1，否则输出0；

如图11所示，所述DAPUF在APUF的基础上增加一个仲裁器，APUF原有的仲裁器称为正仲裁器，DAPUF新增加的仲裁器称为负仲裁器；正仲裁器的上输入端与负仲裁器的下输入端相连接，正仲裁器的下输入端与负仲裁器的上输入端相连接；；所述DAPUF正仲裁器和负仲裁器组成一个仲裁器对，DAPUF可以连接多个仲裁器对

如图12所示，所述物理不可克隆模块PUF是芯片指纹（抗篡改的双仲裁器物理不可克隆模块AT-DAPUF）；

所述DAPUF中延时电路与正仲裁器之间的连接线被引到芯片的顶层并被延长缠绕铺满顶层，把次顶层及以下金属层包裹起来形成笼形结构，用于保护顶层以下的金属层以及底层的硅层不被物理入侵攻击探测或者篡改。

本实施例中可信终端系统的抗信道攻击方法，在使用双信道卡处理支付密码、登录密码、和银行卡帐号等敏感信息之前，双信道卡中的抗克隆芯片调用PUF的初始化密钥流程生成密钥，并将该密钥以安全可靠的方法发送给敏感信息接收方，从而实现密钥共享；或者在双信道卡中预先写入可信中心的公钥，然后在会话时通过公钥密码实现密钥共享；相关的敏感信息和双信道卡的标识码也用安全可靠的方法在敏感信息接收方中登记；

当可信终端进行支付操作时，双信道卡的抗克隆芯片从主控芯片接收支付信息，用户在输入支付密码之前先输入交易金额，抗克隆芯片从触摸屏或者键盘中接收金额并转发给主控芯片，然后抗克隆芯片再点亮口令指示灯；抗克隆芯片接收完支付密码（口令）后，把支付信息、交易金额、RSTR和口令一起加密后发送给主控芯片。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims

1.一种可信终端，其特征在于，包括主控芯片、双信道卡插槽、信道隔离部件和通讯接口；

所述通讯接口与主控芯片连接，用于与外界交换信息。

2.根据权利要求1所述的可信终端，其特征在于，所述信道隔离部件包括以下部件中的一项或多项：触摸屏、键盘、话筒、摄像头、生物动作识别模块、确认按钮、显示屏、用户口令指示灯、扬声器；

所述确认按钮用于确认小额支付；

3.一种适用于权利要求1-2中任一项所述可信终端的双信道卡，其特征在于，包括：双信道卡基、抗克隆芯片、第一IO连接头、第二IO连接头；所述第一IO连接头和第二IO连接头均与抗克隆芯片连接；所述抗克隆芯片、第一IO连接头和第二IO连接头均内嵌在所述双信道卡基中；双信道卡插入可信终端后，第一IO连接头与可信终端的第一信道连接头相连接，第二IO连接头与可信终端的第二信道连接头相连接。

4.根据权利要求3所述的双信道卡，其特征在于，还包括无线通讯口，所述无线通讯口与其它无线通讯接口设备通讯，用于在双信道卡与其他终端之间交换信息，所述的其它终端是指双信道卡的当前宿主以外的任意终端。

5.一种适用于权利要求3或4所述的双信道卡的抗克隆芯片，其特征在于，包括：IO接口、双轨逻辑嵌入式通用密码处理器GCP、真随机数发生器TRNG和物理不可克隆模块PUF；

所述TRNG用于产生真随机数；

所述APUF是仲裁型PUF，APUF由上下两路触发信号的延时电路和仲裁器组成；延时电路由多个多路选择器前后连接而成，每个多路选择器包括上下两个输入端、上下两个输出端和一个选择端，前一个多路选择器的上下输出端分别与后一个多路选择器的上下输入端连接；当选择端输入为1时，上输入端经过第一延时路径连接到上输出端或者连接到下输出端，下输入端经过第二延时路径连接到下输出端或者连接到上输出端；当选择端输入为0时，上输入端经过第三延时路径连接到下输出端或者连接到上输出端，下输入端经过第四延时路径连接到上输出端或者连接到下输出端；仲裁器包括上下两个输入端和一个输出端；对于1比特APUF，如果上输入端的上升沿触发信号比下输入端的上升沿触发信号先到达，则输出1，否则输出0；

所述DAPUF在APUF的基础上增加一个仲裁器，APUF原有的仲裁器称为正仲裁器，DAPUF新增加的仲裁器称为负仲裁器；正仲裁器的上输入端与负仲裁器的下输入端相连接，正仲裁器的下输入端与负仲裁器的上输入端相连接；所述DAPUF正仲裁器和负仲裁器组成一个仲裁器对，DAPUF可以连接多个仲裁器对；

6.一种适用于权利要求5所述抗克隆芯片的芯片指纹，其特征在于；

7.根据权利要求6所述的芯片指纹，其特征在于，所述DAPUF中延时电路与正仲裁器之间的连接线被引到芯片的顶层并被延长缠绕铺满顶层，把次顶层及以下金属层包裹起来形成笼形结构，用于保护顶层以下的金属层以及底层的硅层不被物理入侵攻击探测或者篡改。

8.基于权利要求1-2中任一项所述的可信终端的抗信道攻击方法，其特征在于，在使用双信道卡处理支付密码、登录密码、和银行卡帐号等敏感信息之前，双信道卡中的抗克隆芯片调用PUF的初始化密钥流程生成密钥，并将该密钥以安全可靠的方法发送给敏感信息接收方，从而实现密钥共享；或者在双信道卡中预先写入可信中心的公钥，然后在会话时通过公钥密码实现密钥共享；相关的敏感信息和双信道卡的标识码也用安全可靠的方法在敏感信息接收方中登记；

9.根据权利要求8所述的抗信道攻击方法，其特征在于，当可信终端进行支付操作时，双信道卡的抗克隆芯片从主控芯片接收支付信息，用户在输入支付密码之前先输入交易金额，抗克隆芯片从触摸屏或者键盘中接收金额并转发给主控芯片，然后抗克隆芯片再点亮口令指示灯；抗克隆芯片接收完支付密码后，把支付信息、交易金额、RSTR和口令一起加密后发送给主控芯片。

10.根据权利要求8所述的抗信道攻击方法，其特征在于，所述的初始化密钥流程和重建密钥流程：