智能POS的防切机方法与流程

本发明涉及pos机安全技术领域，更具体地说它涉及一种智能pos的防切机方法。

背景技术：

随着移动互联网的发展和商户对终端的需求越来越多样化，传统pos设备功能比较单一，业务范围比较狭窄，无法与其他设备有效的关联，也没有很多与其他设备互相通信的手段的局限性已经无法满足多样化的业务需求。

相对于传统pos，智能pos的开放平台特性，它允许部署更多的行业应用及收单应用。如果被第三方非法应用利用，可能会盗取用户的敏感数据，比如卡号、密码等等。或者通过这些数据制造伪卡等，给用户造成损失。也可能造成原收单机构的应用被非法替换或者在原收单机构的终端上部署未经授权的应用，使原收单机构的利益受损。

技术实现要素：

针对现有技术存在的不足，本发明的目的在于提供一种智能pos的防切机方法，其优点在于避免因应用切机对原收单机构的造成利益受损。

为实现上述目的，本发明提供了如下技术方案：一种智能pos的防切机方法，在应用芯片内部固化终端证书；在安全芯片内保存机构证书的合法验证信息；

第一流程：基于应用芯片内的终端证书对应用的合法性进行验证，并判断是否合法；

第二流程：基于安全芯片内的机构证书的合法验证信息对应用内机构证书的合法性进行验证，并判断是否合法；

仅当第一流程和第二流程均合法的状态下判断安装应用合法。

通过采用上述技术方案，在应用芯片内固化终端证书，终端证书无法更改，具有对终端识别的特性。因此应用必须获得终端证书的签名才能通过验证，从而保证了第一流程对应用合法性的验证。机构证书的合法验证信息保存在安全芯片内，根据安全芯片的原理，安全芯片密码数据只能输出，而不能输入，这样加密和解密的运算在安全芯片内部完成，而只是将结果输出到上层，避免了密码被破解的机会。从而避免了机构证书的合法验证信息被篡改，以保证一个智能pos机智智能对应相应的机构，避免出现被切机的可能。综上，本方案在实现了对应用合法性验证的同时，也是实现了对单一机构信息的验证，避免由于应用机构信息切换，对原收单机构的造成利益的受损。

本发明进一步设置为：所述第一流程中对应用的合法性基于验证包括终端证书的证书链，所述终端证书为第一级。

通过采用上述技术方案，采用证书链的签名机制，通过终端证书验证保证了应用程序合法性，同时证书链内包含的多级证书也增加了对应用程序管控的灵活性。

本发明进一步设置为：所述证书链包括终端证书、机构证书和至少一级工作证书；所述机构证书由终端证书对应私钥签发，第一级工作证书由机构证书对应私钥签发，其余的工作证书由上一级工作证书的对应私钥签发。

通过采用上述技术方案，机构证书由终端证书签发，使得终端证书可以验证机构证书，使得机构证书无法伪造。工作证书均由上级证书签发，使得上级证书可以验证工作证书，使得工作证书无法伪造。从而保证了证书链的不可伪造形；另外机构证书还能配合安全芯片验证防止被切机。

本发明进一步设置为：第一流程包括：

步骤1、解密证书链中的终端证书，获取终端证书内终端验证信息；

步骤2、基于终端验证信息，验证机构证书是否合法，若合法执行步骤3，若否直接输出验证失败；

步骤3、解密证书链中的机构证书，获取机构证书内机构验证信息；

步骤4、基于机构验证信息，验证工作证书是否合法，若合法执行步骤5，若否直接输出验证失败；

步骤5、解密证书链中的工作证书，获取工作证书内工作验证信息；

步骤6、基于机构验证信息，验证应用是否合法，若合法通过验证，若不合法直接输出验证失败。

通过采用上述技术方案，使用证书链依次验证的方式保证验证过程中，证书的检测保证了应用程序合法性，同时也增加了对应用程序管控的灵活性

本发明进一步设置为：所述证书验证是通过openssl接口验证。

通过采用上述技术方案，openssl接口验证便于验证接入。

本发明进一步设置为：所述安全芯片内机构证书的合法验证信息为机构证书的摘要值。

通过采用上述技术方案，摘要值唯一稳定，当机构证书被切换后能够马上被识别。

本发明进一步设置为：所述第二流程包括：

step1，获取应用程序中的机构证书，并计算其应用机构摘要值h1；

step2，读取安全芯片中的芯片机构摘要值h2；

step3，判断应用机构摘要值h1和芯片机构摘要值h2是否相等，若是则验证成功，若否则验证失败。

通过采用上述技术方案，根据检测应用机构摘要值h1和芯片机构摘要值h2是否一致能够快速的获取，pos机是否被切机。

本发明进一步设置为：所述step2与step3之间还包括：

step2.1，检测安全芯片内是否存储芯片机构摘要值h2，若是执行step3，若否则验证失败。

通过采用上述技术方案，当安全芯片被侵入，会自动清除芯片内的摘要值，从而当安全芯片未存储摘要值时，直接返回验证失败的程序，无需再比较，加快验证的效率。

综上所述，本发明具有以下优点：

1、第一流程验证了应用的合法性，第二流程验证了应用程序的证书链中，机构证书是否符合要求，避免的切机的可能；

2、采用多级证书的签名机制，通过机构证书区分了不同的收单机构，通过工作证书区分了不同的发布对象。该方案既保证了应用程序合法性，同时也增加了对应用程序管控的灵活性。

3、通过双cpu的设计，应用芯片用于提供应用运行的环境，安全芯片用于保存智能pos中的敏感数据，避免设备被非法入侵或篡改。

附图说明

图1是本实施例中第一流程的流程示意图；

图2是本实施例中第二流程的流程示意图；

图3是本实施例中第二流程优化后的流程示意图。

具体实施方式

以下结合附图对本发明作进一步详细说明。

实施例，一种智能pos的防切机方法，其系统包括应用芯片和安全芯片，应用芯片主要用于提供pos应用运行的相关环境，安全芯片主要用于保护pos运行和支付相关的密钥敏感数据。

值得说明的是，安全芯片所起的作用相当于一个“保险柜”，根据安全芯片的原理，安全芯片密码数据只能输出，而不能输入，这样加密和解密的运算在安全芯片内部完成，而只是将结果输出到上层，避免了密码被破解的机会。

在智能pos机系统的基础上，所有在智能pos机平台上的应用，在安装前必须进行防切机的签名，以保证应用的合法性。签名后的应用除了保留原应用本身还包括了签名证书对应证书链以及签名信息；通过对证书链的逐级验证，对证书链的最终结果与签名信息进行比对，来判断智能pos机是否合法。

本系统采用多级证书管理的应用签名方案，至少包括三级证书，一般包括终端证书、机构证书、单级或多级的工作证书体系。以三级证书为例，第一级为终端证书、第二级为机构证书、第三级为工作证书。其中终端证书在出厂前固化在应用芯片中，后续无法被更改和替换；机构证书由终端根证书对应私钥签发，防止未经授权更改和替换；工作证书由机构证书对应私钥签发，防止未经授权更改和替换。而当使用多级工作证书体系时，除了第一级的工作证书由机构证书对应私钥签发，其余的工作证书由上一级工作证书的对应私钥签发，因此多级的工作证书相互关联，防止未经授权更改和替换。

终端证书、机构证书和工作证书构成了证书链。在应用合法性的验证过程中，应用必须通过逐级的验证，才能合法安装在芯片内。即用终端根证书先验证机构证书的合法性，机构证书验证工作证书的合法性（如果工作证书存在多本，也需要逐级验证），最后用最后一本工作证书验证应用签名的合法性。

安全芯片内预制有机构证书的摘要值，在安全芯片根密钥终端安全机制的保护，一旦设备受到外界的攻击，根密钥将被自动擦除，机构证书的摘要值也就无法恢复。机构证书的摘要值等于合法验证信息，机构证书的摘要值会在出厂前预制，一旦机构证书被更改，应用的合法性将无法通过验证，避免应用被切机的可能。

本实施例采用双验证的方式对智能pos应用是否被切机进行验证；第一流程为对应用签名的合法性进行验证，以判断应用是否合法；第二流程为对机构证书的指定性进行验证，以判断应用是否被切机。只有当应用即通过了合法性的验证，又通过了机构证书的指定性验证，才能表明应用未被切机，判断应用安装合法。

应用签名的合法性验证，证书链以一本工作证书为例，如图1所示，验证流程包括：

步骤1、解密证书链中的终端证书，获取终端证书内终端验证信息；

步骤2、基于终端验证信息，验证机构证书是否合法，若合法执行步骤3，若否直接输出验证失败；

步骤3、解密证书链中的机构证书，获取机构证书内机构验证信息；

步骤4、基于机构验证信息，验证工作证书是否合法，若合法执行步骤5，若否直接输出验证失败；

步骤5、解密证书链中的工作证书，获取工作证书内工作验证信息；

步骤6、基于机构验证信息，验证应用是否合法，若合法通过验证，若不合法直接输出验证失败。

上述过程中，由于终端证书直接固化在应用芯片内，无法更换，而且机构证书和工作证书上一级证书私钥签发，从而具有了不可伪造、不可抵赖和认证的特点，值得一体的是，上述证书验证是通过openssl接口验证。

第二流程对机构证书的指定性进行验证，如图2所示，验证流程包括：

step1，获取应用程序中的机构证书，并计算其应用机构摘要值h1；

step2，读取安全芯片中的芯片机构摘要值h2；

step3，判断应用机构摘要值h1和芯片机构摘要值h2是否相等，若是则验证成功，若否则验证失败。

进一步，为了防止安全芯片被破坏导致验证失败，机构证书的指定性进行验证，如图3所示，验证流程包括：

step1，获取应用程序中的机构证书，并计算其应用机构摘要值h1；

step2，读取安全芯片中的芯片机构摘要值h2；

step2.1，检测安全芯片内是否存储芯片机构摘要值h2，若是执行step4，若否则验证失败；

step3，判断应用机构摘要值h1和芯片机构摘要值h2是否相等，若是则验证成功，若否则验证失败。

综上，智能pos的防切机方法有以下优点：

1、第一流程验证了应用的合法性，第二流程验证了应用程序的证书链中机构证书是否符合要求，避免的切机的可能；

2、案采用多级证书的签名机制，通过机构证书区分了不同的收单机构，通过工作证书区分了不同的发布对象。该方案既保证了应用程序合法性，同时也增加了对应用程序管控的灵活性。

3、通过双cpu的设计，应用芯片用于提供应用运行的环境，安全芯片用于保存智能pos中的敏感数据，避免设备被非法入侵或篡改。

以上所述仅为本发明的较佳实施例，并不用于限制本发明，凡在本发明的设计构思之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。