基于Android系统智能POS安全系统及启动、数据管控方法

基于Android系统智能POS安全系统及启动、数据管控方法
【专利摘要】本发明涉及一种基于Android系统智能POS安全系统及启动、数据管控方法。该系统包括应用CPU及与该应用CPU连接的安全CPU，应用CPU还与通讯模块、显示屏、内存存储器连接，安全CPU还与触摸屏、接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器、物理安全电路连接。本发明有效保护了银行加解密秘钥、用户密码和账号数据等交易敏感信息，并有效隔离了这些敏感数据与Android系统的联系，同时，提供签名验证机制有效保护了Android系统和APP的程序的完整性和合法性，从而确保了基于Android系统的智能POS的支付安全性。
【专利说明】
基于Andr o i d系统智能POS安全系统及启动、数据管控方法
技术领域
[0001]本发明涉及电子支付领域，尤其涉及一种基于Android系统智能POS安全系统及启动、数据管控方法。
【背景技术】
[0002]传统销售点终端，即传统POS机，是商场、超市广泛应用的一种金融电子支付结算装置。该传统POS机基于专用的硬件平台和封闭的软件系统，采用实体键盘来进行密码输入，仅能完成常规或定制化的金融支付功能。例如购买商场、超市的商品时，收银员使用该类POS机输入支付金额，消费者在该类POS机上刷卡实现支付功能，不能用于购买火车票、飞机票等云支付应用。虽然传统POS机稳定安全，但系统落后、性能差，用户体验、开放性和扩展性也都较差，其软硬件平台性能上无法满足云支付等新兴支付业务的功能需求。
[0003]相对传统POS而言，Android操作系统是智能操作系统，具备丰富的功能，很好的用户体验、可扩展性、开放性。基于Android操作系统的智能POS终端，融合了传统POS支付终端所具备的支付功能，又具有很好的用户体验和可扩展性，非常适合云支付等新兴支付业务的功能需求。但是由于Android系统软硬件平台的开放性，在应用、系统和硬件层面都存在安全漏洞，如APP容易被嵌入后门，操作系统安全性存在漏洞，ROOT权限容易被篡改，这些都对支付安全性带来了很大挑战。
[0004]按照金融行业安全规范要求，银行加解密秘钥、用户密码、磁条/IC卡等用户的账号数据都需要受到严格的保护。但是，Android系统固有的应用模式和安全性缺陷，基于该系统构建一个完整连续的防线极为困难。比如，在最基本的密码输入过程中，黑客可以轻易利用Android系统应用层、框架层、驱动层或硬件层存在的安全漏洞，在触屏输入、显示、保存、传输各个环节，截取相关数据;具备Root权限的Android应用，可以获得所有核心数据包括银行加解密秘钥等。因此，构建于Android开放系统之上的智能POS，很难满足金融行业安全规范要求。
[0005]某些智能POS产品采用定制Android系统来增强操作系统底层的安全性，禁止Root，禁止未签名的APP安装和加载，将支付相关应用和其它应用隔离等方法来提升安全性，但将散失Android操作系统开放性、可扩展性、甚至用户体验，开发及安全认证周期长，而且，仍不可避免存在安全风险。

【发明内容】

[0006]本发明的目的在于提供一种解决上述问题的基于Android系统智能POS安全系统及启动、数据管控方法，该系统有效保护了银行加解密秘钥、用户密码和账号数据等交易敏感信息，并有效隔离了这些敏感数据与Android系统的联系，同时，提供签名验证机制有效保护了 Android系统和APP的程序的完整性和合法性，从而确保了基于Android系统的智能POS的支付安全性。
[0007]为实现上述目的，本发明的技术方案是:一种基于Android系统智能POS安全系统，包括应用CPU及与该应用CPU连接的安全CPU，所述应用CPU还与通讯模块、显示屏、内存存储器连接，所述安全CPU还与触摸屏、接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器、物理安全电路连接；
所述安全CHJ用于实现安全防护并处理安全相关数据，具体包括:驱动所述物理安全电路，以防护对设备的物理攻击;通过所述接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器获取用户银行卡账号数据;存储和管理加解密秘钥;通过所述触摸屏，获取用户PIN输入，并在安全CPU内部完成PIN加密、用户账号数据加密、交易报文签名；
所述应用CPU用于实现:运行Android系统以及支付APP;所述应用CRJ还能在用户PIN输入过程结束后，访问与安全CPU连接的触摸屏。
[0008]在本发明一实施例中，还包括一与所述安全CPU连接的后备电池，以便于安全CPU不间断供电。
[0009]在本发明一实施例中，所述对设备的物理攻击包括拆机、电路篡改、信号探测、环境条件和工作条件改变的攻击。
[0010]在本发明一实施例中，所述应用CPU还能够通过安全CPU访问触摸屏，具体实现过程如下:
步骤1:应用CPU通过与安全CPU连接的通讯接口，发指令给安全CPU;
步骤2:安全CPU通过与触摸屏的通讯接口，将应用CPU的指令传递给触摸屏，获取触摸屏返回的触摸信息；
步骤3:安全CPU将获取的触摸信息通过与应用CPU连接的通讯接口，发送给应用CPU；
且在用户PIN输入过程中，安全CPU接管触摸屏控制并获取用户PIN输入，仅当PIN输入过程结束后，应用CPU访问触摸屏的相关指令才有效。
[0011]本发明还提供了一种采用上述所述基于Android系统智能POS安全系统的启动方法，包括如下步骤，
步骤SI:在设备启动时，安全CPU先启动，控制应用CPU与安全CPU的接口作为应用CPU的唯一启动源，且控制应用(PU使之暂不启动；
步骤S2:在安全CHJ安全自检完成后，为应用CPU提供启动程序和顶级公钥，允许应用CHJ启动；
步骤S3:应用CPU执行启动程序，并使用安全CPU提供的顶级公钥对存储于内存存储器的二级启动程序和二级公钥进行签名验证；
步骤S4:应用CPU执行二级启动程序，并用二级公钥对存储于内存存储器的Android系统程序和多个三级公钥进行签名验证；
步骤S5:应用CPU执行内存存储器的Android系统程序，并用对应的三级公钥分别对存储于内存存储器或下载的APP进行签名验证；
步骤S6:应用CPU执行APP，安全CPU则处理支付交易所有的敏感数据并为应用CPU提供敏感服务。
[0012]在本发明一实施例中，所述签名验证采用SHA256数据摘要算法，并采用RSA2048或RSA4096数据签名算法。
[0013]在本发明一实施例中，所述签名验证采用SM3数据摘要算法，并采用SM2数据签名算法。
[0014]本发明还提供了一种采用上述所述基于Android系统智能P0S安全系统的数据管控方法，包括如下步骤，步骤S01:在银行秘钥下载时，由安全CPU存储和管理全部加解密秘钥，而应用CPU不存储、不管理任何加解密秘钥；步骤S02:应用CPU发指令给安全CRJ读取用户账号数据:由安全CPU从接触1C卡读卡器、 非接触1C卡读卡器或磁卡读卡器，获取用户银行卡的账号数据，立即采用数据加密秘钥对账号数据进行加密运算产生账号数据密文并存储该密文，返回读取成功状态给应用CPU;步骤S03:应用CPU在显示屏显示数字密码键盘，发指令给安全CPU获取用户PIN数据，同时传递数字密码键盘布局和位置信息给安全CPU;安全CPU接管触摸屏控制并获取用户PIN 输入，立即采用PIN加密秘钥对PIN数据进行加密运算产生PIN数据密文并存储，返回读取成功状态给应用CPU; PIN输入结束后，安全CPU释放触摸屏的控制；步骤S04:应用CPU发指令给安全CPU获取交易报文;安全CPU整合本次交易包括支付终端参数、账号数据密文、交易金额、PIN数据密文数据，采用MAC加密秘钥进行MAC计算，形成交易报文，返回给应用CPU;步骤S05:应用CPU通过通讯模块与银行交易服务平台进行通讯，完成支付交易。[〇〇15]在本发明一实施例中，所述加解密秘钥至少包括账号数据加密秘钥、PIN加密秘钥、MAC加密秘钥，加解密算法为3DES或SM4算法。
[0016]在本发明一实施例中，用于PIN输入的数字密码键盘，采用乱序的、随机排列的数字密码键盘。
[0017]相较于现有技术，本发明具有以下有益效果:一、秘钥数据得到物理隔离和保护，安全性高;安全CHJ存储和管理全部加解密秘钥，应用CPU不存储、不管理任何加解密秘钥，从物理上隔离秘钥数据与Android系统的联系，避免 Android系统或应用获取秘钥数据的风险；二、敏感数据和敏感服务得到物理隔离和保护，安全性高；用户的PIN输入和加密计算、 用户的账号数据读取和加密计算都在安全CHJ内部进行，应用CPU不处理这些敏感数据和敏感服务，仅负责传递密文数据，从物理上隔离PIN数据、账号信息、敏感服务与Android系统的联系，避免Andr 〇 i d系统或应用获取敏感数据的风险；三、非法程序不能运行，安全性高;应用CPU启动程序受控于安全CPU，并用顶级公钥等逐级验证Android系统和应用程序的完整性和合法性，从而杜绝非法程序的运行，确保设备和支付的安全；因此，本发明可以系统性规避Andro i d系统存在的安全风险，完美地解决基于Andro i d 系统的智能P0S存在的安全问题。【附图说明】[〇〇18]图1为本发明Andro i d系统智能P0S机设备的电路结构示意图。
[0019]图2为应用CPU的安全启动方法流程图。
[0020]图3为一种敏感数据管控方法流程图。【具体实施方式】
[0021]下面结合附图，对本发明的技术方案进行具体说明。
[0022]本发明的一种基于Android系统智能P0S安全系统，包括应用CPU及与该应用CPU连接的安全CPU，所述应用CPU还与通讯模块、显示屏、内存存储器连接，所述安全CPU还与触摸屏、接触1C卡读卡器、非接触1C卡读卡器、磁卡读卡器、物理安全电路连接；所述安全CHJ用于实现安全防护并处理安全相关数据，具体包括:驱动所述物理安全电路，以防护对设备的物理攻击;通过所述接触1C卡读卡器、非接触1C卡读卡器、磁卡读卡器获取用户银行卡账号数据;存储和管理加解密秘钥;通过所述触摸屏，获取用户PIN输入，并在安全CPU内部完成PIN加密、用户账号数据加密、交易报文签名；所述应用CPU用于实现:运行Android系统以及支付APP;所述应用CRJ还能在用户PIN输入过程结束后，访问与安全CPU连接的触摸屏。
[0023]还包括一与所述安全CPU连接的后备电池，以便于安全CPU不间断供电。
[0024]所述对设备的物理攻击包括拆机、电路篡改、信号探测、环境条件和工作条件改变的攻击。
[0025]所述应用CPU还能够通过安全CPU访问触摸屏，具体实现过程如下:步骤1:应用CPU通过与安全CPU连接的通讯接口，发指令给安全CPU;步骤2:安全CPU通过与触摸屏的通讯接口，将应用CPU的指令传递给触摸屏，获取触摸屏返回的触摸信息；步骤3:安全CPU将获取的触摸信息通过与应用CPU连接的通讯接口，发送给应用CPU;且在用户PIN输入过程中，安全CPU接管触摸屏控制并获取用户PIN输入，仅当PIN输入过程结束后，应用CPU访问触摸屏的相关指令才有效。[〇〇26]本发明还提供了一种采用上述所述基于Android系统智能P0S安全系统的启动方法，包括如下步骤，步骤S1:在设备启动时，安全CPU先启动，控制应用CPU与安全CPU的接口作为应用CPU的唯一启动源，且控制应用CHJ使之暂不启动；步骤S2:在安全CHJ安全自检完成后，为应用CPU提供启动程序和顶级公钥，允许应用 CHJ启动；步骤S3:应用CPU执行启动程序，并使用安全CPU提供的顶级公钥对存储于内存存储器的二级启动程序和二级公钥进行签名验证；步骤S4:应用CPU执行二级启动程序，并用二级公钥对存储于内存存储器的Android系统程序和多个三级公钥进行签名验证；步骤S5:应用CPU执行内存存储器的Android系统程序，并用对应的三级公钥分别对存储于内存存储器或下载的APP进行签名验证；步骤S6:应用CPU执行APP，安全CPU则处理支付交易所有的敏感数据并为应用CPU提供敏感服务。[〇〇27] 所述签名验证采用SHA256数据摘要算法，并采用RSA2048或RSA4096数据签名算法。或者所述签名验证采用SM3数据摘要算法，并采用SM2数据签名算法。[〇〇28]本发明还提供了一种采用上述所述基于Android系统智能P0S安全系统的数据管控方法，包括如下步骤，步骤S01:在银行秘钥下载时，由安全CPU存储和管理全部加解密秘钥，而应用CPU不存储、不管理任何加解密秘钥；步骤S02:应用CPU发指令给安全CRJ读取用户账号数据:由安全CPU从接触1C卡读卡器、 非接触1C卡读卡器或磁卡读卡器，获取用户银行卡的账号数据，立即采用数据加密秘钥对账号数据进行加密运算产生账号数据密文并存储该密文，返回读取成功状态给应用CPU;步骤S03:应用CPU在显示屏显示数字密码键盘，发指令给安全CPU获取用户PIN数据，同时传递数字密码键盘布局和位置信息给安全CPU;安全CPU接管触摸屏控制并获取用户PIN 输入，立即采用PIN加密秘钥对PIN数据进行加密运算产生PIN数据密文并存储，返回读取成功状态给应用CPU; PIN输入结束后，安全CPU释放触摸屏的控制；步骤S04:应用CPU发指令给安全CPU获取交易报文;安全CPU整合本次交易包括支付终端参数、账号数据密文、交易金额、PIN数据密文数据，采用MAC加密秘钥进行MAC计算，形成交易报文，返回给应用CPU;步骤S05:应用CPU通过通讯模块与银行交易服务平台进行通讯，完成支付交易。[〇〇29] 所述加解密秘钥至少包括账号数据加密秘钥、PIN加密秘钥、MAC加密秘钥，加解密算法为3DES或SM4算法。
[0030]用于PIN输入的数字密码键盘，采用乱序的、随机排列的数字密码键盘。
[0031]以下为本发明的具体应用实例。
[0032]请参照图1所示，图1为本发明实施例提供的Android系统智能P0S机设备的电路结构示意图。[〇〇33]本实施例中，Android系统智能P0S机设备的电路结构具体包括通讯模块、应用 CPU、内存存储器、显示屏、触摸屏、安全CPU、接触1C卡读卡器、非接触1C卡读卡器、磁卡读卡器、物理安全电路、后备电池。
[0034]所述的通讯模块、内存存储器、显示屏与所述的应用CPU连接;所述的触摸屏、接触 1C卡读卡器、非接触1C卡读卡器、磁卡读卡器、物理安全电路、后备电池与所述的安全CPU连接;所述的应用(PU与所述的安全CPU连接。[0〇35] 所述的应用CPU用于运行Android系统和支付APP;所述的安全CPU用于安全防护并处理安全相关的数据，具体包括:驱动所述的物理安全电路，用于对设备物理攻击进行防护，防止拆机、电路篡改、信号探测、环境条件和工作条件改变的攻击;存储和管理加解密秘钥;从接触1C卡读卡器、非接触1C卡读卡器或磁卡读卡器，获取用户银行卡的账号数据和交易参数，以及通过所述的触摸屏，获取用户PIN输入，在安全CPU内部完成PIN加密、用户账号数据加密、交易报文签名，之后通过应用CPU及其所连接的通讯模块传输到银行交易管理平台完成支付交易。
[0036]所述的后备电池，在设备关机状态下，为安全CPU提供工作电源，使设备受到不间断的保护。[〇〇37]所述的触摸屏，由安全CPU管理，在用户PIN输入过程中，由安全CPU直接获取PIN输入数据，应用CPU不可访问，仅当PIN输入过程结束后，应用CPU可以访问触摸屏。[〇〇38]特别地，所述的触摸屏，由安全CPU管理，为应用CPU提供访问通道，应用CPU访问触摸屏包含三个步骤。[〇〇39] 步骤1，应用CPU通过与安全CPU连接的通讯接口，发指令给安全CPU;步骤2,安全CPU通过与触摸屏的通讯接口，将应用CPU的指令传递给触摸屏，获取触摸屏返回的触摸信息；步骤3，安全CPU将获取的触摸信息通过与应用CPU连接的通讯接口，发送给应用CPU。
[0040]在用户PIN输入过程中，安全CPU接管了触摸屏控制并获取用户PIN输入，仅当PIN 输入过程结束后，应用CPU访问触摸屏的相关指令才有效。[0041 ]本实施例中提供的Android系统智能P0S机设备电路结构，使用户的PIN输入，以及从接触1C卡读卡器、非接触1C卡读卡器或磁卡读卡器获取的用户银行卡的账号数据，由安全CPU直接驱动和管理，应用CPU不可直接访问，从物理上隔离PIN数据、账号信息与Android 系统的联系，避免Andro i d系统或应用获取敏感数据的风险。
[0042]请参照图2所示，图2为本发明实施例应用CPU的安全启动方法流程图。
[0043]本实施例中，提供一种应用CPU的安全启动方法，包含如下步骤:步骤1、在设备启动时，安全CPU先启动，控制应用CPU与安全CPU的接口作为应用CPU的唯一启动源，且控制应用CHJ使之暂不启动；步骤2、在安全CPU安全自检完成后，为应用CPU提供启动程序和顶级公钥，允许应用CPU 启动；步骤3、应用CPU执行启动程序，并使用安全CPU提供的顶级公钥对存储于内存存储器的二级启动程序和二级公钥进行签名验证，若签名验证不通过，则返回“验签错误”给安全 CPU，程序死循环。
[0044]步骤4、应用CHJ接着执行二级启动程序，并用二级公钥对存储于内存存储器的 Android系统程序和多个三级公钥进行签名验证。若签名验证不通过，则返回“验签错误”给安全CPU，程序死循环。[〇〇45]步骤5、应用CPU接着执行内存存储器的Android系统程序，并用对应的三级公钥分别对存储于内存存储器或新下载的APP进行签名验证。只有签名验证通过的APP允许执行， 签名验证不通过的APP不允许加载或下载。
[0046]步骤6、安全CPU监控应用CPU安全启动信息，若收到“验签错误”，则终止设备启动。 若签名验证正确，安全CPU则处理支付交易所有的敏感数据并为应用CPU提供敏感服务。 [〇〇47]上述的“签名验证”算法，可以采用SHA256算法获取数据摘要，再用RSA2048或 RSA4096算法对数据摘要算出签名数值，再与内存存储器中存储的签名数值进行比对，以确认签名的正确性;也可以采用SM3算法获取数据摘要，再用SM2算法对数据摘要算出签名数值，再与内存存储器中存储的签名数值进行比对，以确认签名的正确性。
[0048]本实施例中提供的应用CPU的安全启动方法，应用CPU启动程序受控于安全CPU，并用顶级公钥等逐级验证Android系统和应用程序的完整性和合法性，从而杜绝非法程序的运行和下载，为设备和支付的安全提供关键的基础条件。
[0049]请参照图3所示，图3为本发明实施例敏感数据管控方法流程图。
[0050]本实施例中，提供一种基于Android系统智能P0S敏感数据管控方法，包括如下控制步骤:步骤1、在银行秘钥下载时，由安全CRJ存储和管理全部加解密秘钥，而应用CPU不存储、 不管理任何加解密秘钥；步骤2、Android系统程序和APP在应用CPU运行，当需要电子支付时，应用CPU处理应用流程和用户界面提示，发指令给安全CPU读取用户账号数据；由安全CPU从接触1C卡读卡器、非接触1C卡读卡器或磁卡读卡器，获取用户银行卡的账号数据，立即采用账号数据加密秘钥对账号数据进行加密运算产生账号数据密文并存储该密文，返回读取成功状态给应用 CPU；步骤3、用户PIN输入过程，应用CPU在显示屏上提示输入PIN，显示数字密码键盘，发指令给安全CHJ获取用户PIN数据，同时传递数字密码键盘布局和位置信息给安全CPU;安全 CPU接管触摸屏控制并获取用户PIN输入，立即采用PIN加密秘钥对PIN数据进行加密运算产生PIN数据密文并存储，返回读取成功状态给应用CPU; PIN输入结束后，安全CPU释放触摸屏的控制；步骤4、应用CPU发指令给安全CPU获取交易报文;安全CPU整合本交易的支付终端参数、 账号数据密文、交易金额、PIN数据密文等数据，采用MAC加密秘钥进行MAC计算，形成交易报文，返回给应用CPU;步骤5、应用CPU通过所连接的通讯模块与银行交易服务平台进行通讯，完成支付交易。
[0051] 上述的加解密秘钥，可以采用对称秘钥，至少包括账号数据加密秘钥、PIN加密秘钥、MAC加密秘钥，加密算法为3DES，也可以是SM4算法。[〇〇52] 上述应用CPU在显示屏上所显示数字密码键盘，可以是正常顺序、固定排列的数字密码键盘，也可以是乱序的、随机排列数字密码键盘。
[0053]本实施例中提供的敏感数据管控方法，用户的PIN输入和加密计算、用户的账号数据读取和加密计算都在安全CPU内部进行，应用CPU不处理这些敏感数据和敏感服务，仅负责传递密文数据，从物理上隔离PIN数据、账号信息、敏感服务与Android系统的联系，避免 Android系统或应用获取敏感数据的风险。[〇〇54]注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解， 本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、 重新调整和替代而不会脱离本发明的保护范围。因此，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。
【主权项】
1.一种基于Android系统智能POS安全系统，其特征在于:包括应用CPU及与该应用CPU连接的安全CPU，所述应用CPU还与通讯模块、显示屏、内存存储器连接，所述安全CPU还与触摸屏、接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器、物理安全电路连接； 所述安全CHJ用于实现安全防护并处理安全相关数据，具体包括:驱动所述物理安全电路，以防护对设备的物理攻击;通过所述接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器获取用户银行卡账号数据;存储和管理加解密秘钥;通过所述触摸屏，获取用户PIN输入，并在安全CPU内部完成PIN加密、用户账号数据加密、交易报文签名； 所述应用CPU用于实现:运行Android系统以及支付APP;所述应用CPU还能在用户PIN输入过程结束后，访问与安全CPU连接的触摸屏。2.根据权利要求1所述的基于Android系统智能POS安全系统，其特征在于:还包括一与所述安全(PU连接的后备电池，以便于安全CPU不间断供电。3.根据权利要求1所述的基于Android系统智能POS安全系统，其特征在于:所述对设备的物理攻击包括拆机、电路篡改、信号探测、环境条件和工作条件改变的攻击。4.根据权利要求1所述的基于Android系统智能POS安全系统，其特征在于:所述应用CPU还能够通过安全CPU访问触摸屏，具体实现过程如下: 步骤1:应用CRJ通过与安全CRJ连接的通讯接口，发指令给安全CRJ; 步骤2:安全CPU通过与触摸屏的通讯接口，将应用CPU的指令传递给触摸屏，获取触摸屏返回的触摸信息； 步骤3:安全CRJ将获取的触摸信息通过与应用CRJ连接的通讯接口，发送给应用CRJ； 且在用户PIN输入过程中，安全CHJ接管触摸屏控制并获取用户PIN输入，仅当PIN输入过程结束后，应用CPU访问触摸屏的相关指令才有效。5.—种采用权利要求1所述基于Android系统智能POS安全系统的启动方法，其特征在于:包括如下步骤， 步骤S1:在设备启动时，安全CPU先启动，控制应用CPU与安全CPU的接口作为应用CPU的唯一启动源，且控制应用(PU使之暂不启动； 步骤S2:在安全CTU安全自检完成后，为应用CHJ提供启动程序和顶级公钥，允许应用CHJ启动； 步骤S3:应用CHJ执行启动程序，并使用安全CPU提供的顶级公钥对存储于内存存储器的二级启动程序和二级公钥进行签名验证； 步骤S4:应用CPU执行二级启动程序，并用二级公钥对存储于内存存储器的Android系统程序和多个三级公钥进行签名验证； 步骤S5:应用CPU执行内存存储器的Android系统程序，并用对应的三级公钥分别对存储于内存存储器或下载的APP进行签名验证； 步骤S6:应用CPU执行APP，安全CPU则处理支付交易所有的敏感数据并为应用CPU提供敏感服务。6.根据权利要求5所述基于Android系统智能POS安全系统的启动方法，其特征在于:所述签名验证采用SHA256数据摘要算法，并采用RSA2048或RSA4096数据签名算法。7.根据权利要求5所述基于Android系统智能POS安全系统的启动方法，其特征在于:所述签名验证采用SM3数据摘要算法，并采用SM2数据签名算法。8.—种采用权利要求1所述基于Android系统智能POS安全系统的数据管控方法，其特征在于:包括如下步骤， 步骤SOl:在银行秘钥下载时，由安全CPU存储和管理全部加解密秘钥，而应用CPU不存储、不管理任何加解密秘钥； 步骤S02:应用CPU发指令给安全CPU读取用户账号数据:由安全CPU从接触IC卡读卡器、非接触IC卡读卡器或磁卡读卡器，获取用户银行卡的账号数据，立即采用数据加密秘钥对账号数据进行加密运算产生账号数据密文并存储该密文，返回读取成功状态给应用CPU; 步骤S03:应用CPU在显示屏显示数字密码键盘，发指令给安全CPU获取用户PIN数据，同时传递数字密码键盘布局和位置信息给安全CPU;安全CPU接管触摸屏控制并获取用户PIN输入，立即采用PIN加密秘钥对PIN数据进行加密运算产生PIN数据密文并存储，返回读取成功状态给应用CPU; PIN输入结束后，安全CPU释放触摸屏的控制； 步骤S04:应用CPU发指令给安全CPU获取交易报文;安全CPU整合本次交易包括支付终端参数、账号数据密文、交易金额、PIN数据密文数据，采用MAC加密秘钥进行MAC计算，形成交易报文，返回给应用CPU; 步骤S05:应用CRJ通过通讯模块与银行交易服务平台进行通讯，完成支付交易。9.根据权利要求8所述基于Android系统智能POS安全系统的数据管控方法，其特征在于:所述加解密秘钥至少包括账号数据加密秘钥、PIN加密秘钥、MAC加密秘钥，加解密算法为3DES或SM4算法。10.根据权利要求8所述基于Android系统智能POS安全系统的数据管控方法，其特征在于:用于PIN输入的数字密码键盘，采用乱序的、随机排列的数字密码键盘。
【文档编号】G06F21/71GK105957276SQ201610323596
【公开日】2016年9月21日
【申请日】2016年5月17日
【发明人】黄建新, 林国兵, 黄源旦
【申请人】福建新大陆支付技术有限公司