智能卡攻击技术分析及安全防范策略综述

    1．前言 

    近年来智能卡市场呈现出以几何级数增长的态势．智能卡以其特有的安全可靠性，被广泛应用于从单个器件到大型复杂系统的安全解决方案。然而随着智能卡的日益普及．针对智能卡的各种专用攻击技术也在同步发展。分析智能卡面临的安全攻击，研究相应的防范策略，对于保证整个智能卡应用系统的安全性有重大的意义 

    2．智能卡攻击技了忙及其安呈昕范策略 

    对智能卡的攻击可分为三种基本类型：物理攻击、边频攻击和失效分析攻击。下面就这三种攻击技术的具体实施方式加以分析。

    2．1 物理攻击 

    虽然智能卡的所有功能似乎都封闭在单个的芯片中，但是仍然有可能对其实施反向工程。用于实施物理攻击的主要方法包括： 

    (1)微探针技术：攻击者通常在去除芯片封装之后，通过恢复芯片功能焊盘与外界的电气连接，最后可以使用微探针获取感兴趣的信号(图1)，从而分析出智能卡的有关设计信息和存储结构，甚至直接读取出存储器的信息进行分析 。 
    英飞凌公司的所有智能卡芯片都提供很强的防刺探机制，采用复杂的可被CPU控制的主动屏蔽层技术覆盖整个芯片．一旦芯片被刺探，势必要破坏或干扰主动屏蔽层的正常功能，则CPU可以即时的探测到主动屏蔽层发出的报警信号，根据COS的设定采用不同级别的主动防御措施。新一代的芯片更是采用专有的多层布局结构．相当于给每层电路都加上各自的主动屏蔽层。目前还没有采用探针技术(物理攻击)破解英飞凌芯片的先例。 

图1芯片探针台

    (2)版图重构：利用高倍光学及射电显微镜研究电路的连接模式，可以迅速识别芯片上的一些基本结构，如数据线和地址线。英飞凌的智能卡芯片采用加密的存储器设计(MED)，所有类型的存储器 RAM、ROM、EEPROM、FLASH等所存储的信息都是经过特殊的加密机制处理过的，其结果是即便存储内容被攻击者非法获得，这些加密后的信息对攻击者也是毫无意义的。而且这种被攻击者直接读出的概率也是极低的。值得一提的是这种加密存储器设计对用户是不可见的并由物理实现．开发者丝毫不需考虑存储内容的加解密，不会给开发者带来额外的负担。 
    物理攻击是实现成功探测的强有力手段，但其缺点在于入侵式的攻击模式．同时需要昂贵的高端实验室设备和专门的探测技术。应对物理攻击的关键在于提高芯片设计的复杂程度和芯片制造的精细程度。英飞凌的新一代智能卡控制器均采用．13urn 的设计工艺。

    2 2边频攻击 

    边频攻击是通过观察电路中的某些物理量如能量消耗、电磁辐射、时间等的变化规律来分析智能卡的加密数据。边频攻击方法主要包括以下几种方式：

    (1)DPA(Diferential Power Analysis．差分能量分析1DPA攻击是通过用示波镜检测电子器件的能量消耗来获知其行为的(图2) DPA攻击的基础是假设被处理的数据与能量消耗之问存在某种联系，即假设处理0比1所用不同的能量，那么对两个不同数据执行同一算法的两个能量轨迹会由于输入数据的不同而产生微小的差别，即差分轨迹．其中的峰值时刻即是输入数据产生差别的时钟周期。如此检查加密算法的所有输入以及每一对0和1产生的差分轨迹，就可以识别出它们出现在程序代码中的确切时间，从而获取加密密钥。 

图2 DPA原理示意图

    DPA使得加密算法的内部处理过程可以被研究。理论上讲，所有加密算法都可用DPA破解．加之这种攻击方法应用十分简单且只需很小的投资，因此解决DPA问题成为智能卡制造商最急需面对的问题之一。英飞凌的智能卡芯片在设计时采用了一种双轨预充电逻辑保证数据的处理与能量消耗的无关性．并且对内部总线进行逻辑加扰和不规则电流处理，从硬件上根本杜绝DPA的可能性，并且英飞凌能为其用户提供多种定制的软件策略．从而完美地解决DPA攻击的问题。 

    (2)DEMA：所有的电子设备都会有电磁辐射产生。基于电磁辐射分析的攻击方法(Differential ElectroMagnetic radiation Analyses，DEMA)和DPA类似，其前提也是假设被处理的数据与电磁辐射量之间存在某种联系(图3)。

图3 DEMA原理示意图

    一般的，对照信号与噪声的信噪比．差分电磁攻击(DEMA)获得比差分能量攻击(DPA)较好的峰值。所以，电磁信号的信噪比大于能量信号的信噪比[5]。虽然电磁曲线比能量曲线更杂乱，但数据信号的特征更分明。另外，电磁攻击还有一个优点，就是可以明确对该位置信息的变化能力，这种几何学的自由度对查明疑问点的泄露信息非常有用。应对电磁辐射分析攻击的策略也同防DPA策略类似 英飞凌的智能卡芯片能很好的应对DEMA攻击。

    2．3失效分析攻击 

    用作智能卡控制器的集成电路芯片，通常都是由硅片制成的。而硅片的电性能会随不同的环境参数而改变。例如，硅片的电性能会对不同的电压、温度、光强、电离射线等做出不同的反应，也会受电磁场的影响。通过改变环境参数，攻击者试图诱发失效行为，包括智能卡控制器的程序流程错误等。目前．更多的攻击者都关注在所谓DFA(differential fauh attacks)，通过扰乱加密系统来产生错误结果，而这些错误结果就可以被用来推导出需要的密钥。最糟的情况下，一个简单的失效运算就足以让攻击者推导出完整的密钥。失效分析攻击方法主要包括以下几种方式： 

    (1)尖峰电涌攻击
    在多种失效分析攻击方法中．多年来最简单、应用最广泛的方法就是修改智能卡控制器的信号输入或供电。目前市场上广泛存在的卫星电视黑卡就是用这种方法破解的(图4)。供电中的瞬时能量脉冲被称为电涌Spike；所谓的Glitch尖峰脉冲则被定
义为对时钟信号的特别修改。由于电源和时钟信号都是智能卡控制器运行的必需条件，尖峰和电涌攻击都会导致控制器故障，即某些电子模块会暂时失效，因此会跳过或实施错误的操作。

图4 尖峰电涌攻击电路板

    (2)电磁攻击
    虽然尖峰和电涌攻击能够得到一些效果，更复杂的方法已经能把电压和信号的改变融合进半导体芯片中。例如，对GSM SIM卡的PIN码攻击可以使攻击者完全不需懂得PIN码的知识就能分析出卡中的保护数据。为了把扰乱的信号注入智能卡．经常使用电磁线圈，需要把它直接放到芯片表面 电磁攻击虽然更复杂，但比起传统的尖峰或电涌攻击方法来，一个明显的进步是可以把智能卡放在一个特殊的模块上进行本地的攻击。这就导致相应的防范策略更难被开发。如果一个安全控制器可以监视它的外部供电压，可以监测到一些尖峰和电涌．但是如果一个电磁脉冲被加到一个专门的模块上，例如加密协处理器．就很难被监测出了。