目前指紋識別技術(shù)已經(jīng)逐步成為手機(jī)的標(biāo)配功能，通過指紋可以完成身份認(rèn)證和支付類功能，為人們提供了極大的生活便利。但是考慮到目前指紋算法處理能力和安全保護(hù)措施還存在不少技術(shù)問題和安全隱患，因此大唐微電子結(jié)合自身優(yōu)勢自主完成了高性能的指紋算法處理芯片DMT-FAC-CG4Q能夠提供支持國密加解密協(xié)處理器，為高安全可控應(yīng)用提供了硬件基礎(chǔ)。

應(yīng)用現(xiàn)狀

目前指紋解決方案中大都使用指紋軟算法形式，即指紋算法在普通MCU芯片中運(yùn)行，該方案安全性較差，指紋處理過程容易被入侵，指紋特征數(shù)據(jù)容易被竊取，比對結(jié)果可能被偽造，無法保證指紋算法存儲安全，指紋特征數(shù)據(jù)存儲安全和指紋數(shù)據(jù)傳輸安全，采用指紋算法安全處理芯片，將指紋算法加載到專用芯片中，并通過安全防護(hù)進(jìn)行保護(hù)，可保證存儲及傳輸安全。 現(xiàn)在指紋手機(jī)基本都存在安全問題，2013年，Moto部分手機(jī)TrustZone內(nèi)核被破解，可解鎖Bootloader，加載任意系統(tǒng)；2015年4月三星GalaxyS5攻擊者root內(nèi)核后，可直接訪問指紋設(shè)備獲取指紋，通過指紋冒充用戶。主要是因?yàn)槟壳笆謾C(jī)中使用TEE存儲敏感安全數(shù)據(jù)，TEE的存儲安全性不夠，無法保證關(guān)鍵數(shù)據(jù)的安全；TEE防御物理攻擊能力較差，在外部內(nèi)存中的數(shù)據(jù)和代碼可能被篡改；TEE實(shí)現(xiàn)可能存在漏洞，代碼越來越多導(dǎo)致bug數(shù)量增多，多種TEE系統(tǒng)并存，導(dǎo)致實(shí)現(xiàn)越來越復(fù)雜。所以當(dāng)前TEE還無法達(dá)到SE的安全級別。

安全防護(hù)技術(shù)

指紋算法安全處理芯片提供可信的運(yùn)行環(huán)境、可信的存儲環(huán)境、安全的傳輸接口；采用多種安全防護(hù)技術(shù)：（一）物理安全防護(hù)：采用頂層金屬覆蓋，主動防剝離探測技術(shù)；采用AcTIve fuse，提供對芯片測試態(tài)的保護(hù)；布局上對關(guān)鍵信號線特殊處理，防止物理探測。（二）系統(tǒng)安全防護(hù)：采用存儲器訪問控制技術(shù)，存儲器加密及總線加擾技術(shù)，時(shí)鐘加擾技術(shù)，隨機(jī)數(shù)在線檢測技術(shù)，芯片關(guān)鍵數(shù)據(jù)管理技術(shù)等。（三）算法安全防護(hù)：支持國際和國密算法，采用隱藏技術(shù)和掩碼技術(shù)，保證算法安全。（四）環(huán)境安全防護(hù)：采用電壓檢測器、頻率檢測器、溫度檢測器、電源Glitch檢測器、光檢測器、時(shí)鐘毛刺過濾器、真隨機(jī)數(shù)發(fā)生器等。

通過多種安全防護(hù)技術(shù)，可防御入侵式攻擊（探針、強(qiáng)制、操控、逆向工程等）、信息泄露攻擊（旁路攻擊、時(shí)序分析、功率/電磁縫隙）、故障攻擊（電壓毛刺、光攻擊、對加密算法的差分故障攻擊等）、組合攻擊（功率分析+光攻擊+逆向攻擊等）等多種攻擊方式，保證數(shù)據(jù)存儲和傳輸?shù)陌踩?/p>

基于我司獨(dú)有的高安全防護(hù)技術(shù)，大唐電信旗下大唐微電子推出了高安全指紋算法安全處理芯片DMT-FAC-CG4Q.

大唐指紋算法安全處理芯片DMT-FAC-CG4Q

DMT-FAC-CG4Q 指紋算法安全處理芯片采用高安全、高性能、低功耗的 CPU 內(nèi)核，是一款集成了國際常用加密算法和國密安全算法的多應(yīng)用芯片，內(nèi)部集成獨(dú)立的安全協(xié)處理器，運(yùn)用多種芯片安全技術(shù)，達(dá)到 EAL4+、國密安全芯片等要求。同時(shí)，獨(dú)立的安全協(xié)處理器可為敏感數(shù)據(jù)的處理提供安全的運(yùn)行環(huán)境及存儲環(huán)境，可應(yīng)用于高安全指紋識別及金融支付等領(lǐng)域。

圖1 DMT-FAC-CG4Q芯片框圖

ØCPU 處理器內(nèi)核ARMSC300 內(nèi)核主頻 100MHz高性能、高安全、低功耗

Ø存儲器

512KBFlash，144KBSRAM，4KB 加解密 RAM

Ø通訊接口

USB2.0，支持 FullSpeed和HighSpeed 速率

ISO7816，支持 T=0 和 T=1，一個(gè)主從可配，一個(gè)主，共 2 個(gè)。

SPI，主/從可配，共三個(gè)，12M 以上

UART，最高速率 115200bps ?

I2C，主/從可配，支持三種速率

NFC，16位數(shù)據(jù)接口

Ø信息安全模塊

DES/3DES/AES/EC/RSA（4096bit）/SHA-1/SM1/SM2/SM3/SM4/SSF33

Ø功耗控制

四種芯片休眠模式——淺休眠、半休眠、深休眠、全芯片休眠

Ø安全防護(hù)

獨(dú)立的硬件安全處理模塊；

支持SM1/SM2/SM3/SM4國密算法；

支持DES/RSA/SHA1等國際算法；

支持加密FLASH及加密RAM；

總體架構(gòu)符合SmartSA_32安全架構(gòu)要求；

芯片完整性物理版圖保護(hù)；

CPU內(nèi)部支持核心模式和用戶模式兩級安全保護(hù)機(jī)制；

芯片內(nèi)部數(shù)據(jù)總線動態(tài)加解擾；

存儲器保護(hù)單元MPU實(shí)現(xiàn)細(xì)粒度/可配置的各項(xiàng)地址檢查；

ISO7816接口時(shí)鐘干擾濾波；

高／低電壓探測器；

高／低頻率探測器；

高／低溫度探測器；

SPA/DPA抗攻擊設(shè)計(jì)；

異常工作狀態(tài)檢測；

已獲得國密二級、銀聯(lián)芯片安全認(rèn)證、國內(nèi) EAL4+；

高安全指紋應(yīng)用方案： 1、二代身份證指紋核驗(yàn)解決方案

二代身份證加載指紋后，在二代證讀寫機(jī)具中需要加入指紋模塊，實(shí)現(xiàn)人、證一致性比對，解決實(shí)名制核驗(yàn)問題。指紋屬于敏感保密數(shù)據(jù)，需要安全運(yùn)行環(huán)境和存儲環(huán)境，大唐微電子指紋核驗(yàn)解決方案，可保證數(shù)據(jù)安全。

Ø高安全ARM SC300內(nèi)核的MCU、內(nèi)嵌多重安全防護(hù)機(jī)制，可抵抗多種形式攻擊；

Ø符合公安部一所檢測標(biāo)準(zhǔn)的指紋比對算法；

Ø支持192*192、208*288、256*360多種尺寸的傳感器；

Ø保證指紋算法、指紋數(shù)據(jù)的安全存儲及傳輸。

2、手機(jī)終端加密應(yīng)用解決方案：

目前手機(jī)中，指紋算法在TEE中運(yùn)行，指紋特征數(shù)據(jù)在TEE中存儲，容易被攻擊和篡改，而且指紋算法在TEE中運(yùn)行，移植較復(fù)雜，開發(fā)周期較長。如果指紋算法在單獨(dú)的，環(huán)境較簡單的、高安全的SE環(huán)境中運(yùn)行，可以保證算法運(yùn)行安全和指紋數(shù)據(jù)安全，且開發(fā)簡單，容易實(shí)現(xiàn)。

Ø支持SPI接口，兼容主流SENSOR；

Ø提供運(yùn)行安全及存儲安全；保證算法發(fā)行安全；保證識別結(jié)果輸出安全；

ØDMT-FAC-CG4Q接口較全，可同時(shí)作為Sensor Hub使用。

Ø可同時(shí)作為加密芯片使用，實(shí)現(xiàn)語音、數(shù)據(jù)等加密。

結(jié)束語

隨著指紋識別技術(shù)應(yīng)用越來越廣泛，越來越被大眾所接受，在金融、公安、機(jī)場、教育、智能化樓宇、PC電腦、移動終端等領(lǐng)域，指紋識別應(yīng)用場景越來越多，指紋作為身份的象征，其安全性不言而喻，提供高安全的解決方案，對人身財(cái)產(chǎn)安全有重要的作用。