ESAM加密认证模块知识分享

1、Good is good, but better carries it.精益求精，善益求善。ESAM加密认证模块-嵌入式加密认证模块ESAM1、HYPERLINKl基本概念基本概念2、HYPERLINKl硬件平台硬件平台3、HYPERLINKlTIMECOSTimeCOS操作系统4、HYPERLINKl参数技术参数5、HYPERLINKl应用领域应用领域6、HYPERLINKl标准ISO及行业标准1、基本概念ESAM（EmbeddedSecureAccessModule）嵌入式加密认证模块，采用专用的智能卡芯片模块封装（DIP、SOP或COB形式），操作系统采用握奇公司自主知识产权的TimeC

2、OS嵌入式安全操作系统，除了具有防检测、抗攻击、自毁等硬件特性外，还具有安全的文件密钥管理，完善的安全机制、标准的加解密运算功能等特性，ESAM最主要的应用模式是嵌入到其他专用或通用设备中，除了可作为设备的唯一标识（每个模块具有全球唯一的序列号码），提供安全的硬件平台以存储密钥和重要数据外，还可以利用内置算法完成数据的加密解密、双向身份认证、访问权限控制、通信线路保护、临时过程密钥导出等多种功能。可广泛应用于需要加密或身份认证功能的智能设备中。2、硬件平台采用德国亿恒科技公司（Infineon原西门子半导体）的保密控制器系列产品SLE44CXX系列或SLE66CXX系列芯片作为硬件平台，安全性

3、能达到国际ITSECE4级标准，具有防检测，抗攻击，自毁等特性。1）SLE66CX160S芯片原理图ESAMOtherNVMRNGEEPROMPROMROMInterruptCLKRSTI/OSecurity+SleepLogicCPU*RNG-随机数发生器ACE-超级加密处理器ACEROMXRAMRAMCPU+SL保护EEPROM区的数据安全，防止外部非法的接入和攻击.RAM操作系统用来存储命令参数、应答、安全状态和过程工作密钥.ROM存储芯片操作系统COS（ChipOperationSystem）.EEPROM以文件的形式存储数据和密钥,条件满足的情况下允许读写和更改.2）硬件安全性1）高

4、端安全智能卡专用微处理器硬件平台(ITSECE4级)2）ROM和EEPROM安全3）真正的随机数发生器RNG4）DES加速器及RSA协处理器5）高频/低频以及高压/低压检测6）数据加密及地址串扰7）防DPA/SPA攻击3）模块俯视图及管脚分配（SLE44系列2K字节是DIP8封装，SLE44系列8K字节是SOP8封装，SLE66系列是SOP16封装）管脚号分配管脚号分配1地(GND)5空(NC)2空(NC)6时钟(CLK)3输入/输出(I/O)7复位(RST)4空(NC)8电源电压(VCC)3、TimeCOS芯片操作系统COS（ChipOperationSystem）即芯片操作系统，就象计算机

5、的DOS一样，是ESAM加密认证模块芯片内部CPU的操作系统，是ESAM加密认证模块的核心。该操作系统针对不同的应用具有不同的版本，主要有普通DES、3DES算法的PBOC版本，具有RSA算法的PK系列版本，以及双界面应用的DI版本，还可根据用户的需要增加不同的算法和功能，可广泛适用于各种IC卡表、金融终端、通信终端、交通收费终端、机顶盒等终端设备中，可作为身份的标识进行身份认证，也可以作为安全的平台存储各种安全密钥和关键数据，以及产生随机数，进行加解密运算等，可以帮助终端设备实现很多安全功能。TimeCos已经在多种硬件芯片上实现，包括西门子SLE44/66系列，三星KS88C92008，菲

6、立浦P83C864等。TimeCOS的结构TimeCOS由传输管理、文件管理、安全体系、命令解释四个功能模块组成传输管理支持ISO7816标准T=0和T=1通信协议.文件管理将用户数据以文件的形式存储在EEPROM中，保证访问文件时快速性和数据安全性.安全体系操作系统的核心部分,包括卡的验证与核实和对文件访问时的权限控制机制.命令解释根据接收到的命令检查各项参数是否正确，执行相应的操作，命令类型。TimeCOS的特点：符合ISO7816、PBOC等国际标准和行业标准；支持层次化文件结构，可建立三级目录，适合一卡多用的要求；支持二进制、定长记录、变长记录、循环记录、钱包记录等多种文件类型；支持T

7、=0（字符传输，默认方式）和T=1（块传输）通讯协议并可以相互转换；支持标准DES和三重DES算法，根据密钥程度自动选择算法；支持包括明文、加密、加密及MAC三种方式的文件和密钥操作通信线路保护；多种通信速率可选：缺省值9.6kbps，可选19.2kbps、38.4kbps、76.8kbps；多种EEPROM容量可选：推荐2k字节，可选4k、8k、16k、32k字节；具有主密钥加密工作方式，能够对用户卡的分散外部认证密钥进行认证；支持明文、加密、加密及MAC三种密钥安装和密钥更新方式；可以根据用户特殊需求，删除、增加或修改某些特定功能并可定制新功能；3）软件的安全性1）中国人民银行认证2）软件

8、版权登记3）软件产品认证4）商密委认证5）3000万片发行量6）4年多的使用实践检验典型认证方式ESAM外部认证流程（基于随机数理论的典型认证方式）设备用户卡(ESAM)Mkey.key.取用户卡序列号计算用户卡认证密钥送序列号SerNokey=DES(SerNo,Mkey)取随机数计算随机认证码送随机数RNDRZM=DES(RND,key)送RZM作外部认证内部计算认证码RZM=DES(RND,key)比较RZM?=RZM,若相等则认证成功,否则不成功。送认上述key是密藏在用户卡内的一个外部认证密钥，Mkey是密藏在ESAM内的一个种子密钥，即由Mkey和用户卡序列号可推导出key。在上述

9、的认证过程中，ESAM和用户卡之间的信道只传递卡序列号和随机码，其他操作都是在ESAM和用户卡内部进行，外界无法得到任何密钥信息，避免通过信道侦听密钥的企图。4、技术参数硬件技术性能参数技术指标SLE44CxxSLE66Cxx三星KS88SC92008菲立浦P83C864CPU8位保密控制器8/16位保密控制器8位保密控制器8位保密控制器程序空间ROM17K32K32K20KRAM256字节256字节256字节256字节EEPROM512字节/1K/2K/4K/8K/16K时钟频率1-5MHZ可选，缺省为3.57MHZEEPROM寿命可檫写500,000次檫写时间檫写1/2/4/8/16字节需

10、5.28/5.31/5.38/5.52/5.8毫秒数据保存时间10年工作电压2.7-5.5V,缺省为5V工作电流小于10mA省电模式当TimeCOS等待接受命令时处于休眠状态,最大电流100微安温度-25+70摄氏度通讯方式异步串行单双工通讯速率接触模式下支持9600bps,19200bps,38400bps,76800bps,缺省为9600bps非接触模式下为106Kbps通信协议接触模式下支持T=0,T=1可选,缺省为T=0非接触模式下:三星KS88SC92008支持ISO14443TypeB菲立浦P83C864支持ISO14443TypeAAPDU长度APDU的最大长度为183字节Tim

11、eCOS技术性能参数以下参数的测试条件为：接触模式、工作时钟3.57MHZT=0协议、波特率为9600bps，参数本身只包括命令或运算的执行时间，而不包括通讯时间。时间单位为ms。技术指标SLE44系列芯片SLE66系列芯片三星KS88SC92008菲立浦P83C864TripleDES时间37160.20.2SHA算法时间147ms/64bytes73ms/64bytesRSA签名时间96RSA认证时间18RSA加密时间21RSA解密时间268FAC签名时间95ms/32bytes5、应用领域计算机技术和互联网的飞速发展给人类的生活方式带来了巨大的变革，信息技术给人们带来方便、快捷的同时也带

12、来了很多安全隐患，越来越多的信息、系统、设备需要安全技术，安全设备的保护，面对巨大的市场需求，ESAM加密认证模块应运而生。ESAM的安全特性决定了它具有广泛的应用领域，凡是需要保密、加密、身份认证、防伪等涉及到数据安全的领域，都可以使用ESAM模块，ESAM可以用来帮助保护您的财产和利益，帮助您确认身份、识别真伪，帮助您的系统和设备安全运行、帮助您的软件或设备防止剽窃和盗版，成为您的数据保护神。握奇智能公司现已成功地将ESAM模块应用到：智能卡表：智能卡电表、水表、燃气表、热力表等；通信设备：加密Modem、安全路由器、加密传真机；金融设备：加密密码键盘、金融POS机、支付密码器、银行密码箱；税控设备：税控出租车计价器、税控加油机、税控收款机；交通收费：停车咪表、公共汽车自助收费终端设备、车载路桥自动收费终端设备；条件接收：电视机顶盒（STB）、PC接收卡，其他加解扰前端或终端设备；信息家电：智能卡收费空调、网络电视及冰箱等家用产品。产品防伪：软件产权保护、OEM集成电路生产控制相信还有很多涉及数据安全的领域，ESAM也能够发挥作用，满足您的各种安全需要。握奇智能公司具有数据安全领域领先的技术，我们能够为您的产品开发提供最底层的接口数据，包括MCS51系列、