智能pos机安全模块的制作方法

智能pos机安全模块的制作方法
【专利摘要】本实用新型提供了智能POS机安全模块，涉及金融支付领域，该安全模块采用增设外界接口的方式，其通过将POS机所使用的核心主板分为了应用支付处理单元、安全支付处理单元、扩展接口单元、加密单元和卡片信息采集单元五个部分，使得该安全模块能够在与外界设备配合的情况下，实现基本的刷卡功能，还能够在扩展接口单元的配合下，使应用支付处理单元具备更为丰富的功能，增强了安全模块的使用价值，提高了可扩展性。
【专利说明】
智能POS机安全模块
技术领域
[0001]本实用新型涉及金融支付领域，具体而言，涉及智能POS机安全模块。
【背景技术】
[0002]随着互联网和移动互联网技术的发展，手机、GPS定位器等依靠互联网的设备进入到了一般百姓的生活中。尤其是快捷支付方面，快捷支付技术在依靠互联网和移动互联网的情况下，很大程度上取代了现金支付，使得人们在进行实体购物的时候，不再需要携带大量的现金，而是通过刷卡或者是其他类似的方式，通过网络将自己电子账户中的资金转给卖家，进而完成了支付动作。
[0003]进行快捷支付主要依赖于POS机的使用，使用时，商家先将交易信息进行输入(如支付金额、项目等)，之后通过刷卡和由买家输入密码的方式，将其余信息补齐，进而生成了交易单。最后通过网络传输的方式，将交易单发送给网银中心，网银中心在验证了密码为正确之后，便将买家银行中的钱转给了卖家。
[0004]POS机可以分为几个部分，从软件硬件的角度来看，可以分为三个部分，分别是:夕卜部壳体等不具有电子功能物理结构(如保护壳、物理连接件等)、由硬件构成的电路板及电路板上的电子元器件(如PCB主板和加载在PCB主板上的集成芯片及外围电路)和存储在位于电路板上的集成芯片中的各种程序。
[0005]传统的POS机在启动的时候，集成芯片会加载其内部的程序，并且配合外围电路来实现刷卡的功能。但，受到集成芯片中固化程序的影响，传统的POS机只能够实现单一的功能，并且实现的功能已经固化，无法调整，因此难以满足使用需要。
【实用新型内容】
[0006]本实用新型的目的在于提供智能POS机安全模块，以提高使用的灵活性。
[0007]第一方面，本实用新型实施例提供了智能POS机安全模块，包括:
[0008]设置在同一个POS机主板上的应用支付处理单元、安全支付处理单元、扩展接口单元、加密单元和卡片信息采集单元；
[0009]应用支付处理单元和安全支付处理单元相互独立，加密单元和卡片信息采集单元均与安全支付处理单元电连接，扩展接口单元与应用支付处理单元电连接；
[0010]安全支付处理单元，用于将卡片信息采集单元所采集到的卡片信息，通过加密单元进行加密后，发送至应用支付处理单元；
[0011]应用支付处理单元，用于将加密后的卡片信息通过扩展接口单元发出。
[0012]结合第一方面，本实用新型实施例提供了第一方面的第一种可能的实施方式，其中，还包括:与应用支付处理单元电连接的程序输入单元；
[0013]扩展接口单元包括以下的一种或多种接口:
[0014]天线接口、SIM卡接口、显示屏接口、摄像头接口、USB接口、扩展存储接口、传感器接口、音频接口和电池接口。
[0015]第二方面，本实用新型实施例还提供了智能POS机启动方法，作用于第一方面所提供的智能POS机安全模块，包括:
[0016]应用支付处理单元在上电后，根据存储于其内部的第一启动程序的第一编码，对第一启动程序进行第一鉴权；
[0017]安全支付处理单元在上电后，根据存储于其内部的第二启动程序的第二编码，对第二启动程序进行第二鉴权；
[0018]若第一鉴权通过，则应用支付处理单元将存储于其内部的第三启动程序的第三编码发送至安全支付处理单元；
[0019]若第二鉴权通过，则安全支付处理单元根据接收到的第三编码进行第三鉴权；
[0020]若第三鉴权通过，则应用支付处理单元执行第三启动程序。
[0021]结合第二方面，本实用新型实施例提供了第二方面的第一种可能的实施方式，其中，若第三编码包括第三参考摘要信息和第三数字证书，则步骤安全支付处理单元根据接收到的第三编码进行第三鉴权包括:
[0022]安全支付处理单元使用非对称解密秘钥对第三数字证书进行计算，以生成第三待校验摘要信息；
[0023]安全支付处理单元比较第三参考摘要信息和第三待校验摘要信息是否相同，若是，则第三鉴权通过。
[0024]结合第二方面，本实用新型实施例提供了第二方面的第二种可能的实施方式，其中，应用支付处理单元检测第三代码的存储空间占用量；
[0025]判断第三代码的存储空间占用量是否超过阈值；
[0026]若第三代码的存储空间占用量不超过阈值，则步骤应用支付处理单元将第三编码发送至安全支付处理单元包括:
[0027]应用支付处理单元将第三代码和第三数字证书作为第三编码，发送至安全支付处理单元；
[0028]若第三代码的存储空间占用量超过阈值，则步骤应用支付处理单元将第三编码发送至安全支付处理单元包括:
[0029]应用支付处理单元使用预先获取的哈希算式对第三代码进行计算，以生成第三参考摘要信息；
[0030]应用支付处理单元将第三参考摘要信息和第三数字证书作为第三编码，发送至安全支付处理单元。
[0031]本实用新型实施例提供的智能POS机安全模块，采用增设外界接口的方式，与现有技术中的当POS即出场后，其功能便已经确定，只具有刷卡功能相比，其通过将POS机所使用的核心主板分为了应用支付处理单元、安全支付处理单元、扩展接口单元、加密单元和卡片信息采集单元五个部分，使得该安全模块能够在与外界设备配合的情况下，实现基本的刷卡功能，还能够在扩展接口单元的配合下，使应用支付处理单元具备更为丰富的功能，增强了安全模块的使用价值，提高了可扩展性。
[0032 ]进一步，本实用新型实施例提供的智能POS机启动方法，还分别通过三次鉴权来实现了对应用支付处理单元所要运行的程序进行安全性检测，在应用支付处理单元容易被外界设备所控制的情况下，提高了智能POS机安全模块整体运行的安全性。
[0033]为使本实用新型的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
【附图说明】
[0034]为了更清楚地说明本实用新型实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本实用新型的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0035]图1示出了本实用新型实施例所提供的智能POS机安全模块的电路模块框图；
[0036]图2示出了本实用新型实施例所提供的智能POS机安全模块启动方法的基本流程图；
[0037]图3示出了本实用新型实施例所提供的智能POS机安全模块启动方法的实例时序示意图；
[0038]图4示出了本实用新型实施例所提供的智能POS机安全模块的细化电路框图；
[0039]图5示出了本实用新型实施例所提供的智能POS机安全模块的国密算法电路的电路图；
[0040]图6示出了本实用新型实施例所提供的智能POS机安全模块的非接触卡收发电路的电路图；
[0041]图7示出了本实用新型实施例所提供的智能POS机安全模块的备用电池检测电路的电路图。
【具体实施方式】
[0042]下面将结合本实用新型实施例中附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本实用新型实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本实用新型的实施例的详细描述并非旨在限制要求保护的本实用新型的范围，而是仅仅表示本实用新型的选定实施例。基于本实用新型的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本实用新型保护的范围。
[0043]当前，POS机的使用已经变得很普遍，大到买房购车，小到街边购物，大部分的人都会选择使用POS机刷卡进行消费的方式。而传统的POS机只具备单一的刷卡功能，人们为了提高POS机的安全性，会在POS及内部增加多种的安全设施。也就是，相关技术中的技术人员通常会花费大量的精力在提高POS机的安全性上。但实际使用中，POS机由于功能单一(只具备刷卡的功能)，而导致在使用中，用户如果需要出远门，则除了需要携带POS机还需要携带其他的智能设备，使携带的物品过于繁琐。
[0044]但，传统的POS机只具备刷卡功能，这使得POS机的功能过于固定化，商家或其他用户在外出时需要携带大量的设备，以使其工作能够面面倶到。如除了 POS机外，用户还需要携带摄像机、录音笔等设备。考虑到商用设备的多样性，用户同时需要携带的物品是多种多样的。即使用户同时携带了这些设备，用户外出办事的时候依旧繁琐，主要体现在不同设备之间的信息交互、配合使用等方面。而且，不同类型的用户的需求是不同的，如用户A所需要携带的物品是POS机、U盘和录音笔，而用户B需要携带的物品是POS机、摄像机和无线信号收发器、由此，能够看出用户的需求是多种多样的，因此传统的，功能固定的POS难以满足用户的需求。
[0045]有鉴于此，本申请提供了智能POS机安全模块，如图1所示，包括:
[0046]设置在同一个POS机主板上的应用支付处理单元101、安全支付处理单元102、扩展接口单元105、加密单元104和卡片信息采集单元103;
[0047]应用支付处理单元101和安全支付处理单元102相互独立，加密单元104和卡片信息采集单元103均与安全支付处理单元102电连接，扩展接口单元105与应用支付处理单元101电连接；
[0048]安全支付处理单元102，用于将卡片信息采集单元103所采集到的卡片信息，通过加密单元104进行加密后，发送至应用支付处理单元101 ；
[0049]应用支付处理单元101，用于将加密后的卡片信息通过扩展接口单元105发出。
[0050]首先，需要说明的是，扩展接口单元105中，主要的结构是与外部设备进行连接的接口。如天线接口、SIM卡接口、显示屏接口、摄像头接口、USB接口、扩展存储接口、传感器接口、音频接口和电池接口。通过这些具体的接口，应用支付处理单元1I能够与外部的不同设备进行交互，如音频接口能够接收音频数据，电池接口能够外接供电设备，以使外部设备能够为应用支付处理单元101供电。并且，本申请所提供的安全模块还为应用支付处理单元101配置了程序输入单元，使用户可以通过程序输入单元来向应用支付处理单元101中录入相应的程序，以使应用支付处理单元101能够通过执行录入的程序，并且配合相应的接口来实现不同的功能。其中，加密后的卡片信息是通过扩展接口单元105所连接的无线发送电路，或有线发送电路发出的。
[0051 ]本申请所提供的智能POS机安全模块并不是一个完整的POS机，而是一个具有POS机芯片核心功能的集成模块(具体体现形式如PCB主板和设置在该主板上的电路集群)。智能POS机安全模块与完整的POS机相比，只相当于一个完整POS机的集成主板，但其通过扩展(主要是向应用支付处理单元中录入程序)，来增加的功能则是原有POS机所不具备的。并且，由于智能POS机安全模块上设置了扩展接口单元，用户在实际使用的时候，应用支付处理单元通过运行录入的程序，并进一步通过扩展接口单元与外界设备(如音频信号生成器、GPS信号获取器)进行连接，来实现更多的功能。由于设置在智能POS机安全模块上的只是接口，并没有与接口所连接的外部装置(如音频信号生成器、GPS信号获取器)，因此，用户可以根据自己的需要来调整应用支付处理单元中程序的内容，和调整与外接口单元所连接的具体装置，进而实现功能的转换。由此可见本申请所提供的智能POS机安全模块的工作灵活性较强，可以适应不同需求的用户。
[0052]其次，需要分别对应用支付处理单元和安全支付处理单元进行说明。安全支付处理单元的主要作用是通过卡片信息采集单元来读取外部的卡片信息，并且通过加密单元对读取到的卡片信息进行加密，最后将加密后的信息发送给安全支付处理单元。应用支付处理单元和安全支付处理单元之间通常是通过串行接口进行连接的，二者是直接连接的，而不是通过扩展接口单元进行连接的。相较于应用支付处理单元，安全支付处理单元无法实现功能上的扩展，与安全支付处理单元相连接的装置(如加密单元和卡片信息采集单元)均是在出厂的时候便已经固定好的，主要的原因是安全支付处理单元在POS支付的时候，是对安全性进行保障的主要结构，因此不能允许用户进行程序录入，否则会降低安全性。反之，应用支付处理单元则允许用户进行程序的录入和功能的扩展，但为了保证刷卡流程的安全性，POS刷卡的核心流程均是受安全支付处理单元所直接控制的，如安全支付处理单元控制卡片信息采集单元工作进行读卡，又如安全支付处理单元控制加密单元工作，对采集到的卡片信息进行加密。
[0053]从电路连接关系上来看，应用支付处理单元和安全支付处理单元相互独立，可以理解为，二者的存储器是相互独立的，并不是共用同一个存储器。实际上，应用支付处理单元和安全支付处理单元均是独立的集成芯片，二者均具有独立的存储器、缓存等结构，以此能够保证二者的数据不会发生交互的情况，也就是保证了用户无法通过向应用支付单元下达控制指令来读取安全支付处理单元的存储器中的数据。
[0054]如图4所示，应用支付处理单元是由两部分组成的，一部分是应用处理器，一部分是连接在与扩展接口单元和应用处理器之间的转换器件或接口器件。转换器件和接口器件的功能均是将外部信号转换为应用处理器能够识别的信号。
[0055]具体的，应用支付处理单元包括应用处理器，安全支付处理单元包括安全处理器。
[0056]在WLAN/蓝牙/收音机接口和应用处理器之间还连接有WLAN/蓝牙/收音机收发器和调制解调处理器。
[0057]WLAN/蓝牙/收音机收发器的功能是在发送时将信号转换成固定频率的天线信号并作正交调制，然后进行功率放大后发射出去，在接收时从天线中抓取固定频率的信号，转换成调制解调处理器能识别的信号传送给WLAN/蓝牙/收音机处理电路。
[0058]调制解调处理器是在发送时将调制解调器的信号做数模转换，接收时将天线信号做模数转换，并对前端收发器做相应的控制。
[0059]在移动通信接口和应用处理器之间还连接有射频收发前端、射频收发器、移动信号处理电路(2G/3G/4G/GPS信号处理电路)和调制解调处理器。
[0060]射频前端的作用是进行功率放大、滤波以及频率切换。
[0061]射频收发器是在发送时将信号转换成固定频率的天线信号并作正交调制后发射出去，在接收时从天线中抓取固定频率的信号，转换成调制解调器能识别的信号传送给2G/3G/4G/GPS处理电路。
[0062]移动信号处理电路能在发送时将调制解调器的信号做数模转换，接收时将天线信号做模数转换，并对前端收发器做相应的控制。
[0063]调制解调处理器是在发送时将调制解调器的信号做数模转换，接收时将天线信号做模数转换，并对前端收发器做相应的控制
[0064]在S頂卡接口和应用处理器之间还连接有S頂卡管理电路和调制解调处理器。
[0065]SIM卡管理电路可以对S頂卡进行识别、验证以及数据编辑。
[0066]此产品上集成两个S頂卡接口，可以同时使用。
[0067]调制解调处理器是将基带信号调制到合适载波上进行有效传输。
[0068]在显示屏接口和应用处理器之间还连接有显示驱动器。
[0069]显示驱动器将应用处理器需要显示的内容转换成标准的MIPI信号，并具有缓存功會K。
[0070]在摄像头接口(具体可分为前置/后置摄像头接口)和应用处理器之间还连接有摄像头驱动器。
[0071 ]摄像头驱动器将摄像头传过来的信号转换成应用处理器能识别的数字信号，也能将应用处理器的信号转换成标准MIPI信号传给摄像头。
[0072 ] 在USB接口和应用处理器之间还连接有USB收发器。
[0073]USB收发器对USB接口上的设备做在线检测、速率识别、主从判断以及数据格式转换。
[0074]在扩展存储接口和应用处理器之间还连接有外部存储管理电路。
[0075]外部存储管理单元是一组标准SD卡接口，能对外部SD卡进行检测、识别以及数据交换。
[0076]在传感器接口和应用处理器之间还连接有I2C总线控制器。
[0077]I2C总线控制器是对应用处理器与外部标准I2C设备通信的桥梁，主要对传送的数据做时序调整，使之符合I2C协议。
[0078]在音频接口(耳机/麦克风/喇叭接口)和应用处理器之间还连接有音频处理电路和音频编解码电路。
[0079]音频处理电路主要对音频信号做数模/模数转换，进行放大处理，并判断音频接口状态，选择合适的路径传输。
[0080]音频编解码电路能对音频信号进行不同格式的编码，使之适应各种应用场景。
[0081 ] 在电池接口和应用处理器之间还连接有充电管理电路和电源管理电路。
[0082]充电管理电路能对锂电池进行在位检测、温度检测、ID检测、电压检测、电流采样、累计充电计量以及累计放电计量，充分保证电池工作在正常状态。
[0083]电源管理电路的作用是调整向应用处理器输入电流的幅值，以使应用处理器能够接收到稳定的工作电流。
[0084]在第一存储电路和应用处理器之间还连接有内部存储管理电路。
[0085]内部存储管理电路能识别数据存储大小、区域划分、数据擦除与写入，也能对内存进行管理、分配，使之能有效配合应用处理器的工作。
[0086]相对应的，安全支付处理单元也是由两部分组成的，一部分是安全处理器，一部分是连接在与接口 /设备和安全处理器之间的转换器件或接口器件。转换器件和接口器件的功能均是将外部信号转换为应用处理器能够识别的信号。
[0087]具体的，在安全处理器和磁条卡接口之间还连接有磁条卡接收电路。
[0088]磁条卡接收电路能将刷卡磁头传来的信号做模数转换，并传给安全处理器。
[0089]在安全处理器和接触式IC卡接口之间还连接有接触式IC卡处理电路。
[0090]在安全处理器和销售点终端安全存取电路接口之间还连接有接触式IC卡处理电路。
[0091]接触式IC卡处理电路集成标准7816接口，能对各种智能卡进行读写操作。接触式IC卡接口与销售点终端安全存取电路接口公用一个IC卡处理电路，可通过内部软件进行切换。
[0092]在安全处理器和非接触卡接口之间还连接有非接触卡收发电路和I2C总线控制器。
[0093]非接触卡收发电路可将安全处理器发来的信号做数模转换与调制，并通过天线驱动器发射出去，也能将非接触卡传回的模拟信号转换成数字信号，并通过I2C接口传给安全处理器。
[0094]在安全处理器和国密算法电路之间还连接有SPI总线控制器。
[0095]SPI总线控制器可对外部SPI设备进行选择，并用规定的数据格式进行收发数据。
[0096]国密算法电路主要是一款集成了处理器、内存、国密算法与外部接口的芯片，可硬件实现国家二级加密算法。
[0097]在安全处理器和第二存储电路之间还连接有存储管理电路。
[0098]存储管理电路对设备存储大小、存储数据进行管理。
[0099]在安全处理器和外部传感器接口之间还连接有安全检测电路。
[0100]安全检测电路是一些数据发射与检测的传感器电路，发射接口一直保持固定电平，通过对接收接口的电平判断外部连接是否正常。
[0101]在安全处理器和蜂鸣器接口之间还连接有蜂鸣器驱动电路和通用控制电路。
[0102]蜂鸣器驱动电路通过对MOS管的开关来使能蜂鸣器的电源通断，从而使蜂鸣器发声。
[0103]在安全处理器和指示灯接口之间还连接有通用控制电路。
[0104]通用控制电路是一组能配置成任何功能的接口，能满足外部各种扩展功能的需要，通过对LED控制信号的高低电平控制，实现LED的亮灭变化。
[0105]在安全处理器和备用电池接口之间还连接有备用电池检测电路和模数转换电路。
[0106]电池检测电路通过三极管与MOS管的通断来控制被备用电池的开关通断，从而开启电压检测。
[0107]模数转换电路将模拟信号转换成数字信号，此处的作用是将备用电池电压转换成处理器可识别的数字信号。
[0108]具体的，应用处理器和安全处理器均与触摸屏接口电连接，其中，安全处理器还可以通过触摸屏控制单元与触摸屏接口连接。
[0109]整体来看本申请所提供的智能POS机安全模块，其具备三个突出的特点，第一个特点是产品模块化，即将功能单位进行了整合，便于检修;第二个特点是，采用了双系统(应用支付处理单元和安全支付处理单元这两个系统)配合工作的方式，使得在原本安全性能够得到保障的前提下(主要是安全支付处理单元起到了安全性保障)，还可以通过应用支付处理单元来扩展功能，便于用户安全的使用多种复合型的功能。第三个特点是为应用支付处理单元增加了扩展接口单元，使其在扩展接口单元的作用下，能够与其他外界的装置进行连通，进而进行数据的交互，进一步提高了功能使用的便利性。
[0110]从使用的角度来看，本申请所提供的智能POS机安全模块中，各个单元(应用支付处理单元、安全支付处理单元、扩展接口单元、加密单元和卡片信息采集单元)均是属于现有的产品，在实现的时候，可以直接使用现有的芯片或者单元产品进行，不需要技术人员付出创造性的劳动便可以完成其功能。
[0111]图5提供了国密算法电路的电路图；
[0112]图6提供了非接触卡收发电路的电路图；
[0113]图7提供了备用电池检测电路的电路图。
[0114]相关技术中，传统的POS机只有一个设置在主板上的模块，其在开机的时候只需要按照一般的启动流程进行启动，CPU通过读取存储器中的程序代码，来完成相应的功能。但对于本申请所提供的具有独立双模块(应用支付处理单元和安全支付处理单元)的智能POS而言，为了更好的保障安全性，可以设置相配套的启动方案，使整体启动更为安全。
[0115]S卩，本申请实施例还提供了作用于智能POS机安全核心板的智能POS机启动方法，如图2所示，包括如下步骤:
[0116]S201，应用支付处理单元在上电后，根据存储于其内部的第一启动程序的第一编码，对第一启动程序进行第一鉴权；
[0117]S202，安全支付处理单元在上电后，根据存储于其内部的第二启动程序的第二编码，对第二启动程序进行第二鉴权；
[0118]S203，若第一鉴权通过，则应用支付处理单元将存储于其内部的第三启动程序的第三编码发送至安全支付处理单元；
[0119]S204，若第二鉴权通过，则安全支付处理单元根据接收到的第三编码进行第三鉴权；
[0120]S205，若第三鉴权通过，则应用支付处理单元执行第三启动程序。
[0121]其中，步骤SlOl和步骤S102并无执行的先后顺序，可以同时执行。实际上，步骤SlOl和步骤S102是分别由应用支付处理单元和安全支付处理单元各自完成自己内部的鉴权任务。当应用支付处理单元的内部鉴权完成之后(即第一鉴权通过)，则执行步骤S103，应用支付处理单元将后续将使用到的程序的第三编码发送至安全支付处理单元进行第三鉴权。并在第三鉴权通过之后，应用支付处理单元和安全支付处理单元才正式开始工作。应用支付处理单元和安全支付处理单元可以理解为具有运算功能的处理器，也可以理解为包含有处理器、存储器和外部接口的模块化电路板。
[0122]由前文可知，应用支付处理单元是可以通过写入程序来改变其功能。对于一般的用户来说，应用支付处理单元类似于一个可编程控制器，用户可以按照自己的需求向其内部添加各种各样的程序，使应用支付处理单元具备各种各样的功能。并且，由于在设计中，为应用支付处理单元配置了多种不同的接口，这使得应用支付处理单元的使用更为灵活。但，安全支付处理单元在可以灵活使用的同时，也面临着安全性的威胁。如果用户向应用支付处理单元内部写入不良程序，企图改变其工作方式的话，则会影响其整体的安全性，尤其是POS机的主要功能是提供用户以刷卡的服务，一旦不良程序将用户的卡片信息泄露则会造成不可挽回的后果。由此，正是由于应用支付处理单元的可信度容易改变(容易受到用户写入程序的影响)，应用支付处理单元独自进行的第一鉴权的可信度也是较低的，因此，步骤S104中，会由安全支付处理单元对应用支付处理单元所会使用的第三编码进行鉴权，以保证使用第三编码的应用支付处理单元的安全性。
[0123]其中，需要说明的是，第一启动程序是指应用支付处理单元即将启动的程序，第一编码可以理解为第一启动程序的源代码，即预先写入存储器(可以理解为应用支付处理单元中独立存在的存储器，优选为只读存储器)中的代码本身。相类似的，第二启动程序是指安全支付处理单元即将启动的程序(通常，第二启动程序并不是安全支付处理单元的初始启动程序)，第二编码可以理解为第二启动程序的源代码，即预先写入存储器(可以理解为:相对于应用支付处理单元，独立存在于安全支付处理单元中的存储器)中的代码本身。一般，为了保证安全支付处理单元的安全性，安全支付处理单元所使用的存储器(存储有第二编码的存储器，通常是出厂时便已设置好的只读存储器)只受安全支付处理单元所控制，应用支付处理单元的数据不会与之发生交互。正是由于此种设置，安全支付处理单元的安全性才得以保障，也使得第三鉴权的作用也更为明显。通常，第一启动程序是应用支付处理单元的主程序(只能POS机安全模块出厂时便固化的程序，不可修改)，即应用支付处理单元上电工作时，首个加载的程序，第三启动程序则可以是用户后续加入的程序。
[0124]本申请所提供的智能POS机启动方法中，整体共分为三次鉴权的过程，其中，第一鉴权和第二鉴权的过程较为类似。都是核对编码(第一编码或第二编码)与相应的摘要信息是否匹配。下面仅以第二鉴权过程为例进行说明。
[0125]具体的，步骤对存储于其内部的第二启动程序进行第二鉴权包括如下步骤:
[0126]SI I，安全支付处理单元读取只读存储器中的安全启动程序；
[0127]S12，安全支付处理单元读取按照安全启动程序，读取第二启动程序的第二编码，第二编码包括第二代码和第二数字证书；
[0128]S13，安全支付处理单元分别使用获取到的哈希算式和非对称解密秘钥，对第二代码和第二数字证书进行计算，以生成第二参考摘要信息和第二待校验摘要信息；
[0129]S14，安全支付处理单元比较第二参考摘要信息和第二待校验摘要信息是否相同，若是，则第二鉴权通过。
[0130]其中，步骤Sll，系统在上电的时候，首先由安全支付处理单元读取只读存储器中的安全启动程序，该程序是系统上电后自动触发的程序，后续的程序的执行(鉴权)是由该程序进行主导，或者是由其他已经运行的程序进行主导(启动)。由于该安全启动程序是存储在只读存储器中，在出厂前便已设置好，因此其安全性可以得到保障。
[0131]步骤S12，安全支付处理单元在启动之后，需要顺序启动不同的程序，而这些程序被启动，则是这些程序所对应的代码被读取和调用的结果。因此，该步骤中，按照安全启动程序的要求，读取第二启动程序的第二编码，其中，第二编码包括第二代码和第二数字证书。需要说明的是，第二代码指的是第二编码中具有执行功能的语句(即，在第二启动程序在运行的时候，会影响运行结果的语句)；第二数字证书指的是对第二代码起到标志性作用的字符(主要是起到区别不同代码的作用)，在第二启动程序运行的过程中，第二数字证书不起作用。并且，第二数字证书是由第二代码经过计算后得出的(其中第二数字证书是出厂前经过统一的安全处理后计算得出，并写入安全支付处理单元中的)，因此，步骤S13中，使用哈希算式对第二代码进行计算，并使用非对称解密秘钥对第二数字证书进行计算(解密)，进而生成了第二参考摘要信息和第二待校验摘要信息。之后，步骤S14通过比较这两个摘要信息是否相同，便能够确定第二代码是否被修改过，或者是由于恶意修改者不清楚哈希算法和没有非对称加密秘钥，因此，即使恶意修改者同时替换了第二代码和第二数字证书，也无法将二者对应上(使用修改后的第二代码和第二数字证书所计算出的两个摘要是不对应的)，因此，这也就保证了安全支付处理单元整体的安全性。其中，所使用的非对称解密秘钥优选为RSA非对称解密秘钥。
[0132]此处，需要对非对称算法进行简要介绍，非对称算法是非对称算法加密解密算法中的一种，在本申请中，P0S机安全模块出厂前，工作人员会使用与非对称解密算法相对应的加密算法对第二代码进行计算，来确定其加密后的密文。正是由于非对称是一种非对称算法，因此，无法通过其解密秘钥推算出其加密秘钥，因此，保证了安全性。并且，在非对称算法的基础上，增加使用了不可逆的哈希算法对第二代码进行计算，更进一步的加强了这第二鉴权的稳定性和安全性。
[0133]以上为第二鉴权的基本流程，第一鉴权的流程与第二鉴权的流程相同，在此不再赘述。
[0134]如前文中的描述，在POS机(主要是指该POS的电路板、POS机安全模块)出厂前，需要在安全支付处理单元所对应的只读存储器中写入第二代码和相应的第一数字证书(对于应用支付处理单元而言，则需要在其所对应的只读存储器中写入第一代码和相应的第一数字证书)。下面对第二代码和第二数字证书写入安全支付处理单元(安全支付处理单元所对应的处理器)的过程进行说明。即，本申请所提供的智能POS机启动方法，还包括如下步骤:
[0135]S21，安全终端读取第二代码；
[0136]S22，安全终端使用预先获取到的哈希算式对第二代码进行计算，以生成第二参考摘要信息；
[0137]S23，安全终端使用预先获取到的非对称加密秘钥对第二参考摘要信息进行加密，以生成第二数字证书；
[0138]S24，安全终端将第二代码和第二数字证书写入安全支付处理单元。
[0139]其中，安全终端指的是由公信力强的一方所控制的设备。如安全终端可以是由生产智能POS机电路板的厂商所控制，或是由政府监管部门所控制。实际使用中，安全终端通常是智能POS机安全模块的生产厂家所控制的服务器。
[0140]通过上述流程可以了解到，第二数字证书是第二代码顺序经过哈希算式和与非对称解密秘钥相对应的非对称加密秘钥计算得出的。优选的，由于启动过程中需要使用到解密秘钥，因此为了保证安全性，非对称解密秘钥为专用的公钥(需要储存在安全支付处理单元的存储器中)，非对称加密秘钥为私钥(不需要存储在安全支付处理单元的存储器中)。
[0141]步骤S24，在将第二代码和第二数字证书写入安全支付处理单元中时，应当将这两个信息(第二代码和第二数字证书)关联的存储，如可以将这两个信息顺序存储在指定区域，分别将二者存储在不同的区域，但为二者建立关联条件(如在第二代码的结尾注明关联条件，关联条件直接索引第二数字证书的存储位置)。
[0142]本申请所提供的智能POS机启动方法中，整体共分为三次鉴权的过程，除了流程较为类似的第一鉴权和第二鉴权，还有更为重要的第三鉴权过程。下面对第三鉴权过程进行说明，第三鉴权主要的目的是在他人恶意修改应用支付处理单元中的启动流程，而造成跳过第一鉴权，或者是第一鉴权的流程被篡改，进而使第一鉴权失效后，依旧保证整体安全性。
[0143]第三鉴权在执行的时候可以分为两个不同的情况，第一种情况是安全支付处理单元将应用支付处理单元所执行的步骤完全重复一遍，也就是，应用支付处理单元将读取到的第三代码和第三数字证书直接发送给安全支付处理单元进行鉴权，因此，若安全支付处理单元接收到的信息为第三代码和第三数字证书，则按照第一种方式进行第三鉴权。
[0144]具体的，第一种方式的执行条件为:第一编码包括第一代码和第一数字证书;第一种方式的具体执行过程如下所示，即步骤安全支付处理单元根据接收到的第一编码进行第三鉴权包括:
[0145]安全支付处理单元分别使用获取到的哈希算式和非对称解密秘钥，对第三代码和第二数字证书进行计算，以生成第二参考摘要?目息和第二待fe验摘要?目息；
[0146]安全支付处理单元比较第三参考摘要信息和第三待校验摘要信息是否相同，若是，则第三鉴权通过。
[0147]具体的鉴权过程与第一鉴权过程类似，只是运算和比较的执行主体改为安全支付处理单元，并且鉴权的对象改为了第三启动程序，由于安全支付处理单元的运行程序均存储在只读存储器中，因此，第三鉴权的可信度要高于第一鉴权。
[0148]当然，第三鉴权除了上述的第一种方式，还有如下的第二种方式。与第一种方式相比，第二种方式考虑到了具体的使用环境，也就是第三代码通常占用空间较大，如果应用支付处理单元将完整的第三代码全部传输给安全支付处理单元，则传输过程中会耽误很长时间，并且，由于应用支付处理单元所需要启动的程序较多，这会降低POS机整体的工作效率。因此，第三机安全的第二种方式则不需要将全部的第三代码发送出去。
[0149]下面，以一个具体的实例来说明本申请所提供的方法，如图3所示，
[0150]I，设备通过电源管理模块同时给应用支付处理单元和安全支付处理单元上电
[0151]2，应用支付处理单元和安全支付处理单元启动后，首先进行第一阶段的启动过程(第一鉴权和第二鉴权):
[0152]在执行第一鉴权前，S卩POS机在正常使用之前，需要在应用支付处理单元的存储器中输入相应的数字证书。下面介绍数字证书的产生过程:在应用支付处理单元各个启动程序编译过程中，会对每一个启动程序进行SHA256哈希运算，并将哈希运算结果通过非对称性算法(如RSA非对称算法)进行计算，再使用专用私钥进行加密，进而产生数字证书，并将数字证书作为此启动程序程序的一部分，集成到启动程序中，最后将该启动程序写入应用支付处理单元的只读存储器中。
[0153]如下是正常的第一鉴权流程:
[0154]a，应用支付处理单元上电后，首先加载固化在应用支付处理单元只读存储器中的主启动程序，因为主启动程序是存储在系统只读存储器中，只能读，不能写，从而保证了初始启动系统的安全性；
[0155]b，应用支付处理单元主启动程序启动并初始化后，开始加载后面的二级启动程序，在加载过程中，首先对于后续启动的二级启动程序进行鉴权，鉴权算法采用非对称性算法;
[0156]步骤b的具体过程是:在主启动程序对于二级级启动程序加载过程中，首先读取二级级启动程序中的数字证书，并通过预置的专用非对称公钥进行解密，解密算法同样为非对称算法，解出启动程序待验证摘要信息，另一方面通过SHA256算法计算此二级启动程序的哈希值，得到启动程序实际的摘要信息；
[0157]C，比较步骤b得到的两个摘要信息是否相同，如果相同，则认为此启动程序是合法的，没有被篡改过，可以加载运行此二级启动程序，否则认为此启动程序是非法的，停止加载，停止系统启动。
[0158]应用支付处理单元二级启动程序运行后，使用同样的方式对于三级启动程序进行鉴权，鉴权通过后才进行加载，鉴权不通过则证明待加载启动程序非法，停止系统启动。
[0159] 安全支付处理单元上电后，按照上述a-c步骤进行第二鉴权和启动，差别为上述步骤a-c的执行主体均为安全支付处理单元，且安全支付处理单元所鉴权的程序均是存储在安全支付处理单元的只读存储器中。
[Ο??Ο] 3，在第一鉴权通过之后，应用支付处理单元首先通过串口向安全支付处理单元发送通信检查报文，来测试双方之间的数据通路是否畅通，安全支付处理单元返回检查回复报文给应用支付处理单元(通常是在第二鉴权通过之后执行该步骤)，如果数据通路不同，则说明安全支付处理单元没有初始化完成，启动存在问题。
[0161]4，在应用支付处理单元运行到安卓系统的对Linux内核小系统程序后，对于后续的启动程序采用第二阶段双系统混合鉴权模式(第三鉴权)，步骤如下:
[0162]类似的，在第三鉴权执行前，也需要在安全支付处理单元中写入相应的数字证书，即在安卓系统软件编译过程中，对Linux内核小系统程序，内核启动程序，应用系统程序等软件程序分别进行SHA256哈希运算，并将哈希运算结果通过非对称算法，使用专用私钥进行加密，并产生数字证书，并将数字证书嵌入到Linux内核小系统程序，内核启动程序，应用系统程序等软件程序中。
[0163]如下是正常的第三鉴权流程:
[0164]a，在应用支付处理单元中Linux内核小系统程序加载内核启动程序过程中，首先读取内核启动程序中的数字证书，另一方面通过SHA256哈希算法计算内核启动程序哈希值，产生内核启动程序的待验证摘要信息。
[0165]b，在双方的数据通路是畅通情况下，应用支付处理单元通过串口将内核启动程序的数字证书和摘要信息发送给安全支付处理单元，安全支付处理单元通过预置的应用支付处理单元的专用公钥对于发过来的数字证书进行解密，算法使用非对称算法，解密得出数字签名中保存的实际摘要信息。
[0166]C，比较上一步解密得出的摘要信息是否与应用支付处理单元发过来的摘要信息相同，如果相同，则认为此内核启动程序程序是合法的，没有被篡改过，可以加载运行，否则认为内核启动程序是非法的，安全支付处理单元通知应用支付处理单元鉴权结果，应用支付处理单元根据返回的鉴权结果决定系统是否继续启动，如果鉴权失败，则停止系统启动，并通过屏幕显示告警信息。
[0167]内核启动程序在加载应用系统程序过程中，采用以上相同的方式对于应用系统程序进行混合鉴权，应用系统程序鉴权合法后，开始加载并运行应用系统程序。
[0168]至此，安全启动鉴权完成，系统启动成功。
[0169]以上所述，仅为本实用新型的【具体实施方式】，但本实用新型的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本实用新型揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本实用新型的保护范围之内。因此，本实用新型的保护范围应所述以权利要求的保护范围为准。
【主权项】
1.智能POS机安全模块，其特征在于，包括: 设置在同一个POS机主板上的应用支付处理单元、安全支付处理单元、扩展接口单元、加密单元和卡片信息采集单元； 所述应用支付处理单元和所述安全支付处理单元相互独立，所述加密单元和卡片信息采集单元均与所述安全支付处理单元电连接，所述扩展接口单元与所述应用支付处理单元电连接； 所述安全支付处理单元，用于将所述卡片信息采集单元所采集到的卡片信息，通过所述加密单元进行加密后，发送至所述应用支付处理单元； 所述应用支付处理单元，用于将所述加密后的所述卡片信息通过所述扩展接口单元发出。2.根据权利要求1所述的智能POS机安全模块，其特征在于，还包括:与所述应用支付处理单元电连接的程序输入单元； 所述扩展接口单元包括以下的一种或多种接口:WLAN/蓝牙/收音机接口、移动通信接口、SIM卡接口、显示屏接口、摄像头接口、USB接口、扩展存储接口、传感器接口、音频接口和电池接口。3.根据权利要求2所述的智能POS机安全模块，其特征在于，还包括以下一种或多种接P: 磁条卡接口、接触式IC卡接口和非接触式IC卡接口 ； 所述磁条卡接口、接触式IC卡接口和非接触式IC卡接口均与所述安全支付处理单元电连接。4.根据权利要求3所述的智能POS机安全模块，其特征在于，所述应用支付处理单元包括应用处理器;智能POS机安全模块还包括: 在WLAN/蓝牙/收音机接口和应用处理器之间还连接有WLAN/蓝牙/收音机收发器和调制解调处理器； 在移动通信接口和应用处理器之间还连接有射频收发前端、射频收发器、移动信号处理电路和调制解调处理器； 在S頂卡接口和应用处理器之间还连接有S頂卡管理电路和调制解调处理器。5.根据权利要求4所述的智能POS机安全模块，其特征在于，还包括: 在显示屏接口和应用处理器之间还连接有显示驱动器； 在摄像头接口和应用处理器之间还连接有摄像头驱动器； 在USB接口和应用处理器之间还连接有USB收发器； 在扩展存储接口和应用处理器之间还连接有外部存储管理电路； 在传感器接口和应用处理器之间还连接有I2C总线控制器； 在音频接口和应用处理器之间还连接有音频处理模块和音频编解码电路。6.根据权利要求5所述的智能POS机安全模块，其特征在于，还包括: 在电池接口和应用处理器之间还连接有充电管理电路和电源管理电路； 在存储模块和应用处理器之间还连接有内部存储管理电路。7.根据权利要求6所述的智能POS机安全模块，其特征在于， 所述安全支付处理单元包括安全处理器； 在安全处理器和磁条卡接口之间还连接有磁条卡接收电路； 在安全处理器和接触式IC卡接口之间还连接有接触式IC卡处理电路； 在安全处理器和非接触卡接口之间还连接有非接触卡收发电路和I2C总线控制器。8.根据权利要求7所述的智能POS机安全模块，其特征在于， 所述加密单元包括国密算法电路， 在安全处理器和国密算法电路之间还连接有SPI总线控制器。9.根据权利要求8所述的智能POS机安全模块，其特征在于， 还包括第二存储电路、外部传感器接口、蜂鸣器接口、指示灯接口和备用电池接口； 在安全处理器和第二存储电路之间还连接有存储管理电路； 在安全处理器和外部传感器接口之间还连接有安全检测电路； 在安全处理器和蜂鸣器接口之间还连接有蜂鸣器驱动电路和通用控制电路； 在安全处理器和指示灯接口之间还连接有通用控制电路； 在安全处理器和备用电池接口之间还连接有备用电池检测电路和模数转换电路。10.根据权利要求9所述的智能POS机安全模块，其特征在于，还包括触摸屏接口，应用处理器和安全处理器均与触摸屏接口电连接。
【文档编号】G06Q20/20GK205540909SQ201620117591
【公开日】2016年8月31日
【申请日】2016年2月5日
【发明人】李岩, 马国伟, 冯桂森, 吴正江
【申请人】北京微智全景信息技术有限公司