第三种方法，也是随着PCI PED认证的普及而被广泛用于安全金融终端的方法，即选择融合高集成度、高性能µC的单芯片架构(图3)。与通用微控制器一样，这些µC采用了最新的半导体制造工艺;具有多种通信接口，例如USB、SPI和智能卡;并且支持功能丰富的操作系统，例如Linux® OS。这些微控制器嵌入了高速现代处理器，能够管理大容量外部存储器，例如NOR和NAND闪存，以及各种各样的RAM。

图3. 大多数小尺寸终端架构采用的单片µC包括了所有必要的安全功能。

与安全管理器一样，这些器件嵌入了安全NV SRAM和篡改/监测传感器。与配套芯片一样，这些器件运行安全加密算法，例如3DES、AES和RSA，抵御功率差分析(DPA)和简单的功率分析(SPA)。高集成度设计在安全保护能力和材料清单(BOM)均具备强大优势。

安全机制集成在硅片内，能够对其进行攻击手段将非常复杂。集成保证了启动的完整信任链，也适用于处理紧急事件和报警—报警信号不会被切断。由于电路功能已经集成在一个芯片中，所以降低了链路缺陷造成的不良风险。使用集成的外部存储器加密引擎时，无需额外的安全防护。

这种高集成度设计也有益于软件的安全保护，因为安全机制依赖于强大的硬件功能和标准化机制，例如，存储器管理单元(MMU)。注意，在单芯片方案中由软件区分敏感数据和非敏感数据，双芯片架构中则由硬件电路实现。软件以三种形式划分数据的安全等级，各有优缺点。第一种方法是采用“管理程序”，将敏感和非敏感数据分配到独立的存储单元;第二种方法则利用操作系统，例如Linux，直接进行划分;第三种方法利用Java®软件或Java类虚拟器处理独立的安全程序。

多合一集成减少了所需的芯片数量，缩小PCB面积，允许使用更灵活的外形规格，从而简化了终端设计。另外，由于只需要单个工具链、仅支持一个µC核，有助于加快开发进程。Maxim提供各种高集成度、16至32位安全µC，工作速率高达200MHz。

选择安全µC时，应该选择能提供PCI PTS实验室出具的安全评估报告的微控制器。该报告证明经过了完整实验室测试，测试结论表明了芯片厂家的专业水平，以及安全芯片所能达到的水平。第二项考虑是终端设计的难易程度。简单程度既依赖于µC特性，又依赖于厂家支持团队的力量。您应该寻求集成了关键功能的µC，例如存储器、时间记录和防篡改监测，因为这种高集成度简化了PCB布线，以更小尺寸支持关键的安全特性。Maxim加入了PCI SSC组织，并坚持以最先进的安全µC服务于PCI SSC市场。

采用ARM926™内核的高性能、32位安全微控制器MAX32590 (“JIBE”)就是一款这样的µC。器件的低功耗特性能够在400MHz时提供卓越的性能。安全特性包括：具有瞬间擦除能力的2KB安全存储器、安全实时时钟(RTC)、以及检测任何入侵的内部环境动态监测传感器。易失和非易失外部存储器(如：NAND、NOR和LPDDR)由新一代强大的AES-128加密/数据完整性验证功能完全保护。所提供的配套软件包括：预认证POI参考设计、安全Linux OS、加密库、EMV L1库和PCI PTS帮助工具。

通过PCI PTS 3.x认证的参考设计

Maxim的参考设计(USIPOS)能够帮助构建高度可靠的终端产品，确保通过PCI评估。通过PCI PTS 3.x测试的参考设计为您的终端提供最便捷的渠道，使其顺利通过认证。USIPOS参考设计的关键特性包括：无网格架构、获得PCI PTS 3.x批准，提供经过优化的硬件BOM、安全的Linux OS和EMV L1及加密库文件和硬件/软件设计指南。从Maxim的设计方案、电路布局和BOM入手，定制设计并集成到您的设备中，从而以最低的风险和成本将您的产品快速推向市场。

安全岛

除安全芯片及其管理的资产外，其它资产，例如PIN，也是攻击目标。作为预防措施，利用安全芯片外部的传感器提供保护，防止对终端设备的物理篡改。由此构建的安全机制既高效，又容易集成，并且任何报警都会立即触发擦除安全存储器。这些传感器往往监测的是片外环境，监测电路可以很好地保证其它物理区域的安全—例如，PIN所处的区域。最后，终端制造商必须具备足够的技能和知识，正确管理报警检测机制。由安全芯片管理报警的传播和相应的操作。

对于PIN和持卡人账户数据等文本数据可通过键盘、磁条和智能卡获取。因此，除了安全芯片本身采取措施外，这三个区域都需要各自的安全保护措施。资产管理数据只能暴露在这些设施以内，这也是我们称其为“安全岛”的原因(图4)。

图4. 支付终端中，由安全µC控制的传感器保护"安全岛"

基于商用化安全芯片的设计思路，有些厂商建议此类安全区域也采用商用化设计方案。最完备的解决方案是集成安全智能卡槽，例如CK安全智能卡槽和磁条加密头，例如磁阻芯片组。这些产品与上述安全芯片具有相同优势—集成化设计，安全性高，降低风险和成本。

商用化终极方案

将上述商用化安全措施完全集成到单个参考设计中将对该行业的发展做出重大贡献—有助于简化终端制造商的产品开发、认证和生产(图5)。安全是制造商面临的主要问题，所以评估参考设计会增强其信心，节省资源，并降低了开发风险。它还以高效、高性价比设计兼容大多数苛刻的安全要求(PCI PTS)。

图5. JIBEPOS参考设计框图，包括所提供的各种功能

软件和应用

终端由硬件组成，但相关软件(不仅限于PIN输入操作)在近几年已经扩展到各种应用服务。有些设备提供忠诚度测试及其它相关业务的应用，复杂的软件架构也是图形界面、多接口(以太网、USB、GPRS连接)、EMV支持以及非接触卡不可缺少的工具。强大的安全防护措施使得软件设计更加复杂：终端设计必须极具吸引力，而安全应用决不允许泄露敏感数据，操作系统必须支持应用之间的通信，加密服务不得泄露密匙。商用化软件还能够为终端带来众多利益，包括节省开发时间和帮助最终产品通过认证。

作为一个示例，Maxim提议的安全Linux操作系统可用于USIP和JIBE平台，完全满足PCI PTS安全软件要求，简化开发过程并降低制造商的认证风险。可以获取完整的Linux版本，还有助于改善终端开发，包括图形界面、外设驱动和通信栈。

结论

以上讨论的三种架构都可以构建强大的支付终端，提供高度可靠的安全性。本文涉及的IC均为经过验证的商用化器件，可提高安全性，方便集成，并降低功耗。