1．前言

    近年来智能卡市场呈现出以几何级数增长的态势．智能卡以其特有的安全可靠性，被广泛应用于从单个器件到大型复杂系统的安全解决方案。然而随着智能卡的日益普及．针对智能卡的各种专用攻击技术也在同步发展。分析智能卡面临的安全攻击，研究相应的防范策略，对于保证整个智能卡应用系统的安全性有重大的意义

    2．智能卡攻击技了忙及其安呈昕范策略

    对智能卡的攻击可分为三种基本类型：物理攻击、边频攻击和失效分析攻击。下面就这三种攻击技术的具体实施方式加以分析。

    2．1 物理攻击

    虽然智能卡的所有功能似乎都封闭在单个的芯片中，但是仍然有可能对其实施反向工程。用于实施物理攻击的主要方法包括：

    (1)微探针技术：攻击者通常在去除芯片封装之后，通过恢复芯片功能焊盘与外界的电气连接，最后可以使用微探针获取感兴趣的信号(图1)，从而分析出智能卡的有关设计信息和存储结构，甚至直接读取出存储器的信息进行分析 。 

    英飞凌公司的所有智能卡芯片都提供很强的防刺探机制，采用复杂的可被CPU控制的主动屏蔽层技术覆盖整个芯片．一旦芯片被刺探，势必要破坏或干扰主动屏蔽层的正常功能，则CPU可以即时的探测到主动屏蔽层发出的报警信号，根据COS的设定采用不同级别的主动防御措施。新一代的芯片更是采用专有的多层布局结构．相当于给每层电路都加上各自的主动屏蔽层。目前还没有采用探针技术(物理攻击)破解英飞凌芯片的先例。

图1芯片探针台

    (2)版图重构：利用高倍光学及射电显微镜研究电路的连接模式，可以迅速识别芯片上的一些基本结构，如数据线和地址线。英飞凌的智能卡芯片采用加密的存储器设计(MED)，所有类型的存储器 RAM、ROM、EEPROM、FLASH等所存储的信息都是经过特殊的加密机制处理过的，其结果是即便存储内容被攻击者非法获得，这些加密后的信息对攻击者也是毫无意义的。而且这种被攻击者直接读出的概率也是极低的。值得一提的是这种加密存储器设计对用户是不可见的并由物理实现．开发者丝毫不需考虑存储内容的加解密，不会给开发者带来额外的负担。 

    物理攻击是实现成功探测的强有力手段，但其缺点在于入侵式的攻击模式．同时需要昂贵的高端实验室设备和专门的探测技术。应对物理攻击的关键在于提高芯片设计的复杂程度和芯片制造的精细程度。英飞凌的新一代智能卡控制器均采用．13urn 的设计工艺。

    2 2边频攻击

    边频攻击是通过观察电路中的某些物理量如能量消耗、电磁辐射、时间等的变化规律来分析智能卡的加密数据。边频攻击方法主要包括以下几种方式：

    (1)DPA(Diferential Power Analysis．差分能量分析1DPA攻击是通过用示波镜检测电子器件的能量消耗来获知其行为的(图2) DPA攻击的基础是假设被处理的数据与能量消耗之问存在某种联系，即假设处理0比1所用不同的能量，那么对两个不同数据执行同一算法的两个能量轨迹会由于输入数据的不同而产生微小的差别，即差分轨迹．其中的峰值时刻即是输入数据产生差别的时钟周期。如此检查加密算法的所有输入以及每一对0和1产生的差分轨迹，就可以识别出它们出现在程序代码中的确切时间，从而获取加密密钥。

图2 DPA原理示意图

    DPA使得加密算法的内部处理过程可以被研究。理论上讲，所有加密算法都可用DPA破解．加之这种攻击方法应用十分简单且只需很小的投资，因此解决DPA问题成为智能卡制造商最急需面对的问题之一。英飞凌的智能卡芯片在设计时采用了一种双轨预充电逻辑保证数据的处理与能量消耗的无关性．并且对内部总线进行逻辑加扰和不规则电流处理，从硬件上根本杜绝DPA的可能性，并且英飞凌能为其用户提供多种定制的软件策略．从而完美地解决DPA攻击的问题。

    (2)DEMA：所有的电子设备都会有电磁辐射产生。基于电磁辐射分析的攻击方法(Differential ElectroMagnetic radiation Analyses，DEMA)和DPA类似，其前提也是假设被处理的数据与电磁辐射量之间存在某种联系(图3)。

图3 DEMA原理示意图

    一般的，对照信号与噪声的信噪比．差分电磁攻击(DEMA)获得比差分能量攻击(DPA)较好的峰值。所以，电磁信号的信噪比大于能量信号的信噪比[5]。虽然电磁曲线比能量曲线更杂乱，但数据信号的特征更分明。另外，电磁攻击还有一个优点，就是可以明确对该位置信息的变化能力，这种几何学的自由度对查明疑问点的泄露信息非常有用。应对电磁辐射分析攻击的策略也同防DPA策略类似 英飞凌的智能卡芯片能很好的应对DEMA攻击。

    2．3失效分析攻击

    用作智能卡控制器的集成电路芯片，通常都是由硅片制成的。而硅片的电性能会随不同的环境参数而改变。例如，硅片的电性能会对不同的电压、温度、光强、电离射线等做出不同的反应，也会受电磁场的影响。通过改变环境参数，攻击者试图诱发失效行为，包括智能卡控制器的程序流程错误等。目前．更多的攻击者都关注在所谓DFA(differential fauh attacks)，通过扰乱加密系统来产生错误结果，而这些错误结果就可以被用来推导出需要的密钥。最糟的情况下，一个简单的失效运算就足以让攻击者推导出完整的密钥。失效分析攻击方法主要包括以下几种方式：

    (1)尖峰电涌攻击
    在多种失效分析攻击方法中．多年来最简单、应用最广泛的方法就是修改智能卡控制器的信号输入或供电。目前市场上广泛存在的卫星电视黑卡就是用这种方法破解的(图4)。供电中的瞬时能量脉冲被称为电涌Spike；所谓的Glitch尖峰脉冲则被定
义为对时钟信号的特别修改。由于电源和时钟信号都是智能卡控制器运行的必需条件，尖峰和电涌攻击都会导致控制器故障，即某些电子模块会暂时失效，因此会跳过或实施错误的操作。

图4 尖峰电涌攻击电路板

    (2)电磁攻击 

    虽然尖峰和电涌攻击能够得到一些效果，更复杂的方法已经能把电压和信号的改变融合进半导体芯片中。例如，对GSM SIM卡的PIN码攻击可以使攻击者完全不需懂得PIN码的知识就能分析出卡中的保护数据。为了把扰乱的信号注入智能卡．经常使用电磁线圈，需要把它直接放到芯片表面 电磁攻击虽然更复杂，但比起传统的尖峰或电涌攻击方法来，一个明显的进步是可以把智能卡放在一个特殊的模块上进行本地的攻击。这就导致相应的防范策略更难被开发。如果一个安全控制器可以监视它的外部供电压，可以监测到一些尖峰和电涌．但是如果一个电磁脉冲被加到一个专门的模块上，例如加密协处理器．就很难被监测出了。

 (3)光攻击 

    光攻击是指用光照射正在工作的智能卡控制器表面，南于光的入侵，智能卡芯片的硅片内部会产生电压和电流．从而导致失效行为。采用这种技术的攻击者可以绕过密码或PIN码，而得到私密数据；或者对加密操作进行攻击从而产生m密钥数据。如果整个芯片表面被入侵，则称为全局光攻击。采用全局光攻击，一个未被保护的智能卡甚至在不撤去芯片表面塑料的情况下就能被攻击失效。光源被放在卡的背面。这种攻击需要很强的光照，这就意味着需要用到闪光灯．甚至激光。还有一种更复杂的方法—— 局部光攻击，需要更线，甚至可以侵入芯片的背面．这时任何芯片覆盖层都不能提供有意义的屏障。

图5局部光攻击设备

    (4)热攻击 

    修改环境温度也可被用作对智能卡控制器的攻击方法。在最近的文献中，有对PC内存中的内容进行攻击的详细描述。通过增加周边环境的温度，RAM 内存的一些位会被修改，这种方法可被用来攻击各种虚拟机架构。此时，只需简单的灯泡就足以增加周边的环境温度。相反．降低温度也可用来进行攻击—— 极低的温度可以导致RAM 中存储信息的冻结，即便是外部供电已被关闭。温度攻击用于智能卡的有效性很大程度上取决于智能卡控制器采用哪种内存类型。理论上讲，如果没有引入相应的防攻击策略，智能卡都能被攻击。一般最基本的对策是，在智能卡控制器上加装温度传感器用来测量硅片的丁作条件．如果温度超过界限，则发出警报。

    今天的英飞凌控制器上采用的安全特性远比这种基本的传感器防护策略复杂．足以对抗最新的热攻击方法— — 所谓的TIVA(Thermally Induced Voltage Alteration)(图6)TIVA采用红外激光进行局部照射：它的光束可以直接穿透芯片背面进入硅片，引起局部热效应，从而导致控制器电子器件的失效行为。TIVA的一个特别的特性是激光器可以选择特定的波长．令其能量恰好不会触发传统的光攻击传感器。尽管TIVA设计的初衷是测试可靠性和进行失效分析(并不是用来攻击)，但对攻击者来说接下来的几年内会对这种方法感兴趣。

图6局部热攻击设备TlVA

    (5)Mpha射线攻击 

    目前，对智能卡芯片用Alpha射线照射已成为及其简单且有效的攻击(图6) 但这种攻击方法仍存在一些局限性 采用Alpha射线，攻击者将不能够预测失效发生的确切时刻，也就是说，这种攻击纯属统计过程。而且．对Alpha射线的聚焦并不容易。必需通过对多次失效结果的纪录，然后进行后期的分析。这就导致攻击的实时性不好。

    已知的Alpha射线攻击的效果包括对内存内容的更改和信号时序的延迟等。用Alpha射线的攻击对某些应是很危险的，因为不需要昂贵的设备。一个微弱的Alpha粒子源，或者夜光镭表盘．或者烟感火灾报警器，其能量都已足够形成攻击。Alpha攻击的成功主要取决于攻击者的经验，特别当攻击者熟知智能卡内部的软件代码时：

    对付失效分析攻击的策略不仅需要具有对各种攻击弱点的针对性，还要考虑协作性不能引起任何冲突：英飞凌的智能卡控制器的现代安全概念基于以下3点防御策略：
 
    -防止失效分析
    -失效分析条件的检测
    -失效行为的监测

    对电源和输入信号的过滤作为第一道屏障：快速反应稳压器可以防止电压的瞬变，也可防止时钟供应的反常。

    传感器被作为第二道防线。例如．一个安全控制器被很高的电压攻击．如果传感器监测到临界值，则智能卡会触发一个警报进入安全状态。电压传感器检查电源供应，时钟传感器监测频率异常，温度和光传感器检查光攻击和热攻击。因为光攻击也能够通过芯片背面进行．所以光传感器的布置就不是仅限于前面的照射。第j道屏障是在设计安全控制器内核时建立的 硬件和软件相结合的策略被用作有效的第三道屏障。既然纯软件对策在某些情况下能够成为失效分析的目标．则硬件和软件的结合就成为必不可少的。

    3．安全认证体系

    考虑到大量的失效分析攻击，很明显对现有和未来攻击的有效防护需要建立在集成安全的概念上。首先，防范策略和安全特性不得不被生产厂用先进的攻击技术来测试。其次，独立的安全评估和认证也是特别重要的，可以使目标的安全水平价值被中立的认证实体所证明。

    英飞凌的安全控制器通过了由德国联邦信息安全办公室(BSI)主持的历时数月的周密评估与测试，现已成功通过全球最严格的智能卡应用安全测试CC EAL5+。

    EAL5+测试以智能卡集成电路平台保护规定(BSI—PP一0002)为基础。该规定被世界最大的智能卡行业协会Eurosmart认可．符合国际认可的标准ISO／IEC 15408(通用标准)。Infineon使用新的PP0002来获得认证。英飞凌将一直持续这种战略，将为其智能卡芯片取得公认的安全认证。
 
    4． 结束语

    智能卡应用系统是一个安全环境很复杂的系统 本文为分析这个系统面临的安全攻击提供了一个思路．为系统的安全设计提供了依据。未来的攻击手段不得不今天就考虑，特别当设计一个新的安全产品时．必须对明天的攻击进行有效的防护。