安全监控电路提供全方位监测，确保系统的安全性

摘要：本文介绍了DS36xx安全监控系列产品在嵌入式安全系统中的应用。 

概述

传统设计中，往往将防入侵功能当作一项特殊要求，留给专门的系统设计人员。在目前系统互联功能日益增强的前提下，为了提高系统安全性，各个实体定义了不同的安全性规范，以弥补创建“安全系统”的漏洞。无论是现金交易系统还是文件服务器，其安全性要求是相同的：消除任何攻击者可以入侵的通道，确保系统的安全性。

安全监控电路

DS36xx安全监控器集成了CPU监控电路、NVSRAM控制器、实时时钟(RTC)、温度传感器、模/数转换器(ADC)、随机数发生器(RNG)、I/O以及必要的支持电路，监测系统电源或电池。这些器件大大减少了外部元件数量，无需处理器进行连续监测，减轻了处理器负荷，可理想用于销售终端(POS)、PIN键盘、安全通信、机顶盒、报警系统以及游戏机等应用。安全监控器件支持FIPS-140.2、通用标准、PCI-PED和EMV-4.1的最高等级要求。表1列出了目前已开始供货以及正在开发的监控产品。

表1. 安全监控产品选型指南

篡改响应

器件连续并同时监测所有篡改输入端，一旦检测到任何篡改事件，将立即启动以下所有操作：

1. 锁存发生篡改通道的监测记录
2. 启动篡改报警输出并通知系统处理器
3. 冻结当前时标寄存器的时间
4. 立即擦除密钥存储器的内容(如果适用)
5. 立即擦除外部SRAM存储器(如果适用)

从篡改事件的恢复过程相同，篡改锁存状态和发生事件的时标在篡改事件解除、复位闭锁之前将始终保持冻结。

电源监测

利用传统的CPU监控电路监测VCCI电源，并在电源超出容限范围时向微处理器发出复位信号。有些监控产品也在检测到非常规的高压VCCI时触发篡改响应过程。

电池监测

ADC寄存器监测电池电压，该数据可以通过I/O口读取。大多数监控产品在检测到过低或者过高的电池电压时也会触发篡改响应过程。

计时和篡改事件时标

集成RTC针对篡改事件产生一个参考时间，用于记录篡改事件并恢复系统。许多监控产品还集成了闹钟和CPU看门狗功能。

电源监测

利用传统的CPU监控电路监测VCCI电源，并在电源超出容限范围时向微处理器发出复位信号。有些监控产品也在检测到非常规的高压VCCI时触发篡改响应过程。

电池监测

ADC寄存器监测电池电压，该数据可以通过I/O口读取。大多数监控产品在检测到过低或者过高的电池电压时也会触发篡改响应过程。

计时和篡改事件时标

集成RTC针对篡改事件产生一个参考时间，用于记录篡改事件并恢复系统。许多监控产品还集成了闹钟和CPU看门狗功能。

外部模拟信号监测

除了内部VCCI和VBAT监测功能外，安全监控产品还具有多种模拟输入配置。这些输入可以监测外部电源或严格的偏置条件，具体取决于特定的应用需求。

外部数字信号监测

大多数器件还包括数字输入通道，可以针对用户定义的条件启动篡改响应。这些输入采用标准的TTL输入门限，可以直接连接到其它板上逻辑控制电路。必要时，可以通过外部电阻分压网络对偏置电压进行检测。

大多数器件包括一个非易失密钥存储器，可通过I/O口访问。发生篡改事件时，密钥存储器被立即擦除。

有些监控产品能够由非易失SRAM控制器触发篡改响应，该控制器提供支持外部存储器的电池备份和控制逻辑。当VCCI电源在容限范围以内时，外部SRAM由VCCI供电；外部电源失效后，SRAM的访问将由内部管理，电池作为备份电源将自动切换到外部存储器。

外部支持电路的供电

电池备份电源输出用于支持敏感的外部电路，以保证其连续工作。电源输出电压可以是VCCI (如果该电压在容限范围内)，或者是VBAT。

大多数安全监控器中带有符合FIPS 140.2规范的随机数发生器(RNG)，VCCI初次上电时，RNG利用几个随机源作为种子。器件工作就绪后，RNG将输出数据零，一旦读到非零数据字节，其余随机数字节将以128个字节为一个数据包读取。可以重复读操作，直到用户找到足够的随机数，支持软件控制的随机数发生器。

片上温度传感器监测系统的工作环境温度，具有高、低温检测限制，如果检测到违规操作，将立即启动适当的防篡改流程，以抵制可能发生的热攻击操作。

每个器件包含一个唯一的序列号，可通过I/O口读取。这个硅序列号可以用于终端系统的识别，产品制造过程中不会发生两个设备使用同一序列号的情况。

该系列器件采用晶片级球栅阵列(CSBGA)封装，没有裸露在外部的引脚，进一步提高了数据和控制信号的安全性。