技術(shù)領(lǐng)域

本發(fā)明涉及電子支付領(lǐng)域，尤其涉及一種基于Android系統(tǒng)智能POS安全系統(tǒng)及啟動(dòng)、數(shù)據(jù)管控方法。

背景技術(shù)

傳統(tǒng)銷售點(diǎn)終端，即傳統(tǒng)POS機(jī)，是商場(chǎng)、超市廣泛應(yīng)用的一種金融電子支付結(jié)算裝置。該傳統(tǒng)POS機(jī)基于專用的硬件平臺(tái)和封閉的軟件系統(tǒng)，采用實(shí)體鍵盤來進(jìn)行密碼輸入，僅能完成常規(guī)或定制化的金融支付功能。例如購買商場(chǎng)、超市的商品時(shí)，收銀員使用該類POS機(jī)輸入支付金額，消費(fèi)者在該類POS機(jī)上刷卡實(shí)現(xiàn)支付功能，不能用于購買火車票、飛機(jī)票等云支付應(yīng)用。雖然傳統(tǒng)POS機(jī)穩(wěn)定安全，但系統(tǒng)落后、性能差，用戶體驗(yàn)、開放性和擴(kuò)展性也都較差，其軟硬件平臺(tái)性能上無法滿足云支付等新興支付業(yè)務(wù)的功能需求。

相對(duì)傳統(tǒng)POS而言，Android操作系統(tǒng)是智能操作系統(tǒng)，具備豐富的功能，很好的用戶體驗(yàn)、可擴(kuò)展性、開放性?；贏ndroid操作系統(tǒng)的智能POS終端，融合了傳統(tǒng)POS支付終端所具備的支付功能，又具有很好的用戶體驗(yàn)和可擴(kuò)展性，非常適合云支付等新興支付業(yè)務(wù)的功能需求。但是由于Android系統(tǒng)軟硬件平臺(tái)的開放性，在應(yīng)用、系統(tǒng)和硬件層面都存在安全漏洞，如APP容易被嵌入后門，操作系統(tǒng)安全性存在漏洞，ROOT權(quán)限容易被篡改，這些都對(duì)支付安全性帶來了很大挑戰(zhàn)。

按照金融行業(yè)安全規(guī)范要求，銀行加解密秘鑰、用戶密碼、磁條/IC卡等用戶的賬號(hào)數(shù)據(jù)都需要受到嚴(yán)格的保護(hù)。但是，Android系統(tǒng)固有的應(yīng)用模式和安全性缺陷，基于該系統(tǒng)構(gòu)建一個(gè)完整連續(xù)的防線極為困難。比如，在最基本的密碼輸入過程中，黑客可以輕易利用Android系統(tǒng)應(yīng)用層、框架層、驅(qū)動(dòng)層或硬件層存在的安全漏洞，在觸屏輸入、顯示、保存、傳輸各個(gè)環(huán)節(jié)，截取相關(guān)數(shù)據(jù)；具備Root權(quán)限的Android應(yīng)用，可以獲得所有核心數(shù)據(jù)包括銀行加解密秘鑰等。因此，構(gòu)建于Android開放系統(tǒng)之上的智能POS，很難滿足金融行業(yè)安全規(guī)范要求。

某些智能POS產(chǎn)品采用定制Android系統(tǒng)來增強(qiáng)操作系統(tǒng)底層的安全性，禁止Root，禁止未簽名的APP安裝和加載，將支付相關(guān)應(yīng)用和其它應(yīng)用隔離等方法來提升安全性，但將散失Android操作系統(tǒng)開放性、可擴(kuò)展性、甚至用戶體驗(yàn)，開發(fā)及安全認(rèn)證周期長(zhǎng)，而且，仍不可避免存在安全風(fēng)險(xiǎn)。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種解決上述問題的基于Android系統(tǒng)智能POS安全系統(tǒng)及啟動(dòng)、數(shù)據(jù)管控方法，該系統(tǒng)有效保護(hù)了銀行加解密秘鑰、用戶密碼和賬號(hào)數(shù)據(jù)等交易敏感信息，并有效隔離了這些敏感數(shù)據(jù)與Android系統(tǒng)的聯(lián)系，同時(shí)，提供簽名驗(yàn)證機(jī)制有效保護(hù)了Android系統(tǒng)和APP的程序的完整性和合法性，從而確保了基于Android系統(tǒng)的智能POS的支付安全性。

為實(shí)現(xiàn)上述目的，本發(fā)明的技術(shù)方案是：一種基于Android系統(tǒng)智能POS安全系統(tǒng)，包括應(yīng)用CPU及與該應(yīng)用CPU連接的安全CPU，所述應(yīng)用CPU還與通訊模塊、顯示屏、內(nèi)存存儲(chǔ)器連接，所述安全CPU還與觸摸屏、接觸IC卡讀卡器、非接觸IC卡讀卡器、磁卡讀卡器、物理安全電路連接；

所述安全CPU用于實(shí)現(xiàn)安全防護(hù)并處理安全相關(guān)數(shù)據(jù)，具體包括：驅(qū)動(dòng)所述物理安全電路，以防護(hù)對(duì)設(shè)備的物理攻擊；通過所述接觸IC卡讀卡器、非接觸IC卡讀卡器、磁卡讀卡器獲取用戶銀行卡賬號(hào)數(shù)據(jù)；存儲(chǔ)和管理加解密秘鑰；通過所述觸摸屏，獲取用戶PIN輸入，并在安全CPU內(nèi)部完成PIN加密、用戶賬號(hào)數(shù)據(jù)加密、交易報(bào)文簽名；

所述應(yīng)用CPU用于實(shí)現(xiàn)：運(yùn)行Android系統(tǒng)以及支付APP；所述應(yīng)用CPU還能在用戶PIN輸入過程結(jié)束后，訪問與安全CPU連接的觸摸屏。

在本發(fā)明一實(shí)施例中，還包括一與所述安全CPU連接的后備電池，以便于安全CPU不間斷供電。

在本發(fā)明一實(shí)施例中，所述對(duì)設(shè)備的物理攻擊包括拆機(jī)、電路篡改、信號(hào)探測(cè)、環(huán)境條件和工作條件改變的攻擊。

在本發(fā)明一實(shí)施例中，所述應(yīng)用CPU還能夠通過安全CPU訪問觸摸屏，具體實(shí)現(xiàn)過程如下：

步驟1：應(yīng)用CPU通過與安全CPU連接的通訊接口，發(fā)指令給安全CPU；

步驟2：安全CPU通過與觸摸屏的通訊接口，將應(yīng)用CPU的指令傳遞給觸摸屏，獲取觸摸屏返回的觸摸信息；

步驟3：安全CPU將獲取的觸摸信息通過與應(yīng)用CPU連接的通訊接口，發(fā)送給應(yīng)用CPU；

且在用戶PIN輸入過程中，安全CPU接管觸摸屏控制并獲取用戶PIN輸入，僅當(dāng)PIN輸入過程結(jié)束后，應(yīng)用CPU訪問觸摸屏的相關(guān)指令才有效。