技术领域
[0001] 本
发明涉及智能POS机系统,特别涉及一种应用于安卓系统的嵌入式安全支付POS机及方法 。
背景技术
[0002] 传统的支付设备为了保证持卡人敏感信息,尤其是个人密码和
银行卡信息的安全,都采用封闭的嵌入式安全系统。在
硬件和
软件上实施了各类防物理、逻辑攻击的措施。
[0003] 随着客户对支付设备实现更多智能应用需求的增长,一方面安卓系统以其大量成熟的商用智能应用吸引客户。另一方面安卓系统的开源性导致它非常容易遭受黑客的攻击,每年都暴露大量的系统漏洞。
[0004] 所以,将开放式安卓系统和嵌入式安全支付如何整合,在保证
支付系统安全性前提下,实现更多灵活的商业应用是支付行业内需要解决的问题。
发明内容
[0005] 本发明的目的一在于提供一种应用于安卓系统的嵌入式安全支付POS机,具有提高系统的安全性能的特点。
[0006] 本发明的上述目的是通过以下技术方案得以实现的:一种应用于安卓系统的嵌入式安全支付POS机,包括,
应用系统,所述应用系统采用安卓系统,所述应用系统包括应用处理模
块和连接应用处理模块的无线通讯模块、显示屏、摄像头、
电池、扬声器以及蜂鸣器;
安全系统,所述安全系统包括安全处理模块和连接安全处理模块的
打印机、串口通讯、触摸模块、密码
键盘、国密芯片、磁条
读卡器、IC读卡器以及非接读卡器;
所述安全处理模块包括
拆机自毁单元,用于检测机器上下壳的密封状态,当检测到非正常拆装时,所述拆机自毁单元输出销毁
信号,系统内的存储模块接收到销毁信号后抹除加密文件;
开机自检单元,当机器开机时,安全处理模块读取测
固件签名与原有签名匹配,当不匹配时,安全系统处于不可用状态;
固件升级单元,当固件升级包下载时,所述安全处理模块获取升级包的第一签名文件,当下载完成后获取第二签名文件,并将第一签名文件和第二签名文件与固件原签名匹配,当不一致时,所述安全处理模块删除升级包。
[0007] 通过采用上述技术方案,该POS内置双系统分别为采用安卓系统的应用系统和安全系统,利用安卓系统的开放式和功能齐全的,使pos机的操作流畅、操作页面、舒适便捷的特点,当pos机进行到安全系统所接管的功能设施时,会由应用系统自动切换到安全系统接管,以起到包括操作者支付安全的特点,并且在安全系统中还包括拆机自毁单元、开机自检单元以及固件升级单元,从而对pos机的硬件构造、软件构造的全方位监管与保护。
[0008] 进一步的,所述安全处理模块包括EEPROMC存储单元/FLASH存储单元,当接收到销毁信号时,所述安全处理模块会擦除EEPROMC存储单元/FLASH存储单元的存储信息。
[0009] 通过采用上述技术方案,独立设置有存储单元并通过系统对从存储单元进行监控,一方面独立设置的存储单元使加密文件均可设置在存储单元中便于同意管理,同时通过安全处理模块对在接收到反馈的销毁信号后会将存储单元中的保密数据删除,从而防止保密信息
泄漏。
[0010] 进一步的,所述安全处理模块包括防切机单元,所述防切机单元包括机构签名证书和机构签名私匙,由厂家允许的机构写入;已签名APK,所述已签名APK包括签名描述信息、机构签名数据、机构签名公匙证书、机构签名私匙以及签名头文件;
当所述已签名APK需要安装到安全处理模块时,所述方切机单元会提取已签名APK的签名文件,并与机构签名证书和机构签名私匙校对,当吻合时,允许安装。
[0011] 通过采用上述技术方案,首先该pos机有机构之间有一个双向
许可的步骤,分别由厂家认可相关机构(可以是工商银行、农业银行等),和相关机构认可厂家的过程,在预录入时机构会将自身的机构签名证书和机构签名私匙(由机构编辑),通过私匙的设置便能够保证私匙的唯一性,当需要安装信号的APK时,会经过机构的公匙验证和和私匙验证两部,这样由于私匙是唯一,从而保证系统的安全性,防止pos被非法篡改,盗取pos机内的系统客户。
[0012] 本发明的目的一在于提供一种应用于安卓系统的嵌入式安全支付方法,具有提高系统的安全安全性能的特点。
[0013] 本发明的上述目的是通过以下技术方案得以实现的:一种应用于安卓系统的嵌入式安全支付的方法,包括以下步骤,
设置两个系统分别为采用安卓系统的应用系统和安全系统,其中,
应用系统包括及控制应用处理模块和连接应用处理模块的无线通讯模块、显示屏、摄像头、电池、扬声器以及蜂鸣器;
安全系统包括及控制安全处理模块和连接安全处理模块的打印机、串口通讯、触摸模块、密码键盘、国密芯片、磁条读卡器、IC读卡器以及非接读卡器;
还在安全系统中还配置有,
通过拆机自毁单元检测上下壳的密封状态,当检测到非正常拆装时,所述拆机自毁单元输出销毁信号,系统内的存储模块接收到销毁信号后抹除加密文件;
当开机时启动开机自检单元,通过安全处理模块读取测固件签名与原有签名匹配,当不匹配时,安全系统处于不可用状态;
当固件升级时安全处理模块获取升级包的第一签名文件,当下载完成后获取第二签名文件,并将第一签名文件和第二签名文件与固件原签名匹配,当不一致时,所述安全处理模块删除升级包。
[0014] 通过采用上述技术方案,该POS内置双系统分别为采用安卓系统的应用系统和安全系统,利用安卓系统的开放式和功能齐全的,使pos机的操作流畅、操作页面、舒适便捷的特点,当pos机进行到安全系统所接管的功能设施时,会由应用系统自动切换到安全系统所接管中,以起到包括操作者支付安全的特点,并且在安全系统中还包括拆机自毁单元、开机自检单元以及固件升级单元,从而对pos机的硬件构造、软件构造的全方位监管与保护。
[0015] 进一步的,所述开机自检单元的检测方法依次包括以下步骤,Secure Boot读取固件的签名文件及系统公匙的sys pk;
用sys pk解密签名文件获取
摘要值V1;
Secure Boot计算固件摘要值V2;
比较V1和V2,当相等时,固件正常运行,当不等时,系统不可用。
[0016] 进一步的,所述固件升级单元的检测方法依次包括以下步骤,Secure Boot读取升级包的签名文件及系统公匙的sys pk;
用sys pk解密签名文件获取摘要值V1;
Secure Boot计算固件摘要值V2;
比较V1和V2,当相等时,固件升级正常运行,当不等时,删除升级包。
[0017] 进一步的,当触摸事件被触发时,此时所述输入的触发命令由安全系统判断是否为支付功能,当是时,启动随机密码输入键盘,当否时,该命令在返回应用系统。
[0018] 综上所述,本发明具有以下有益效果:1.采用双系统的并将双系统分为安全与不安全,通过系统之间的切换,来实现对于系统安全的处理;
2.具有拆机自毁能
力,通过检测非法拆机,比如
外壳被人拆开、螺丝被拧开导致上课壳之间出现间隙,以使系统均进入不可用状态,防止人员外加额外的固件,盗取系统加密信息。
[0019] 3.具有非法升级保护能力,防止非正常升级包或者再下载过程升级包被篡改的情况发生。
[0021] 图1是POS机的系统连接
框图;图2是安全处理模块框图;
图3是开机或固件自检的方法
流程图;
图4是防切机原理图;
图5是双系统切换原理图。
具体实施方式
[0022] 以下结合附图对本发明作进一步详细说明。
[0023]
实施例1,一种应用于安卓系统的嵌入式安全支付POS机,该POS机采用双系统构架,分别为应用系统和安全系统,其中,该POS机可采用一个CPU,并在这个CPU中开辟出一个安全可信区域来编辑安全系统,当然,也可在POS机内设置双CPU,将应用系统和安全系统完全隔离。
[0024] 参照图1所示,该应用系统可以采用最新的安卓5.X系统,以保证安卓具有较小的漏洞,而安卓系统具有优质的画面操作体验、丰富的硬件以及众多的开发商能够下载较多的应用,该安卓系统连接pos机中的无线通讯模块、显示屏、摄像头、电池、扬声器以及蜂鸣器,实现对界面应用控制,但是随着安卓的开放性其容易被较多的黑客攻击,因此在设置了独立安全系统,该安全系统包括安全处理模块以及连接安全处理模块的打印机、串口通讯、触摸模块、密码键盘、国密芯片、磁条读卡器、IC读卡器以及非接读卡器,这样在使用到打印机、串口通讯、触摸模块、密码键盘、国密芯片、磁条读卡器、IC读卡器以及非接读卡器全部由安全系统接管,从而保证了支付的安全性。
[0025] 参照图2所示,该安全处理模块还包括拆机自毁单元、开机自检单元、固件升级单元、EEPROMC/FLASH存储单元以及防切机单元,其中,拆机自毁单元主要防止不法人员对设备进行非法改装,在POS机内设置防拆
开关,在正常情况下,终端可以正常使用,不会出现任何报警信息,一旦发生非法茶歇,比如外壳被人拆开,或者螺丝拧开导致上下壳出现缝隙,系统会认为恶意拆机,此时防拆开关被茶法,系统会消除存储在EEPROMC/FLASH存储单元中的数据,从而保证用户信息的安全。
[0026] 开机自检单元,当机器开机时,安全处理模块读取测固件签名与原有签名匹配,当不匹配时,安全系统处于不可用状态,防止在关机是,固件被篡改导致安全系统被剽窃的情况发生。
[0027] 固件升级单元,当固件升级包下载时,所述安全处理模块获取升级包的第一签名文件,当下载完成后获取第二签名文件,并将第一签名文件和第二签名文件与固件原签名匹配,当不一致时,所述安全处理模块删除固件升级包。
[0028] 参照图4所示,防切机单元,包括由生产上允许的厂家(包括中国银行、工商银行、农业银行等等)在安全处理模块上写入机构签名私匙和机构公匙证书,当需要安装新的已签名APK时,该已签名APK包括签名描述信息、机构签名数据、机构签名公匙证书、厂商相关信息以及签名头文件,安全处理模块会从已签名APK中提取签名文件,该签名文件至少包括机构签名公匙证书和机构签名私匙,通过签名公匙证书和机构签名私匙与厂家录入的机构签名公匙证书和机构签名私匙比较,当符合时,安装在相应的机构签名公匙证书所在的厂家的目录下,当不符合时不允许该APK安装。
[0029] 实施例2,一种应用于安卓系统的嵌入式安全支付的方法,该POS机采用双系统构架,分别为应用系统和安全系统,其中,该POS机可采用一个CPU,并在这个CPU中开辟出一个安全可信区域来编辑安全系统,当然,也可在POS机内设置双CPU,将应用系统和安全系统完全隔离。
[0030] 参照图1所示,该应用系统可以采用最新的安卓5.X系统,以保证安卓具有较小的漏洞,而安卓系统具有优质的画面操作体验、丰富的硬件以及众多的开发商能够下载较多的应用,该安卓系统连接pos机中的无线通讯模块、显示屏、摄像头、电池、扬声器以及蜂鸣器,实现对界面应用控制,但是随着安卓的开放性其容易被较多的黑客攻击,因此在设置了独立安全系统,该安全系统包括安全处理模块以及连接安全处理模块的打印机、串口通讯、触摸模块、密码键盘、国密芯片、磁条读卡器、IC读卡器以及非接读卡器,这样在使用到打印机、串口通讯、触摸模块、密码键盘、国密芯片、磁条读卡器、IC读卡器以及非接读卡器全部由安全系统接管,从而保证了支付的安全性。该安全处理模块还配置有通过拆机自毁单元检测上下壳的密封状态,当检测到非正常拆装时,所述拆机自毁单元输出销毁信号,系统内的存储模块接收到销毁信号后抹除加密文件;当开机时启动开机自检单元,通过安全处理模块读取测固件签名与原有签名匹配,当不匹配时,安全系统处于不可用状态;当固件升级时安全处理模块获取升级包的第一签名文件,当下载完成后获取第二签名文件,并将第一签名文件和第二签名文件与固件原签名匹配,当不一致时,所述安全处理模块删除升级包。
[0031] 参照图3所示,开机/固件自检的方法如下,在开机或固件下载完成;
Secure Boot读取固件的签名文件及系统公匙的sys pk;
用sys pk解密签名文件获取摘要值V1;
Secure Boot现场计算固件摘要值V2;
比较V1和V2,当相等时,固件正常运行或机器正常开机,当不等时,删除下载固件或系统不可用。
[0032] 一般签名文件的生成步骤为,利用SHA256标准或者以上的标准的
算法计算摘要,从而获得唯一标识,在通过2048位以上的RSA算法对标识加密获得密文,从而生成以签名文件。
[0033] 在参照图5所示,该POS机的具体工作方式,首先设备开机上电,应用系统会自动检测安卓系统的安全性与
稳定性,这一般时安卓系统自带的检测机构,当验证结果没问题时,安全系统会验证固件签名,用于查看固件签名是否被篡改,上述的两种验证任意一种出现问题时,为保证系统的安全与稳定,均使POS处于不可用状态。验证无误后可进行之后操作,对于非支付功能的应用,该非支付功能包括显示、通讯、摄像头等,均有安卓系统监管;对于支付功能的应用均为安全系统监管,支付功能包括打印机、串口通讯、触摸模块、密码键盘、国密芯片、磁条读卡器、IC读卡器以及非接读卡器等,对于触摸显示屏该POS机设置有独立的触摸检测模块,正常情况下触摸功能均由应用系统处理,当涉及数字方面的触摸事件被触发时,直接切换到安全系统,由安全系统来检测是否支付,如果“是”,安全系统会掉出虚拟键盘,可以直接在
触摸屏进行PIN的输入。PIN输入时,采用的是安全的随机
键盘输入。触摸屏连接安全芯片,当处于输入PIN状态时,输入的PIN信息由安全芯片处理并加密。PIN输入不支持明文显示,而使用星号(*)代替,防止他人偷窥。如果“不是”,反馈至安卓系统,继续操作。
[0034] 本具体实施例仅仅是对本发明的解释,其并不是对本发明的限制,本领域技术人员在阅读完本
说明书后可以根据需要对本实施例做出没有创造性贡献的
修改,但只要在本发明的
权利要求范围内都受到
专利法的保护。