专利名称:一种智能金融交易终端的核心安全架构实现方法
技术领域:
本发明属于电子设备的安全保护领域,更具体的说,涉及一种智能金融交易终端 核心系统安全的架构实现方法。
背景技术:
现今,越来越多金融交易终端如POS机、平板电脑或者手机实现了操作系统智能 化。在这些智能操作系统(如安卓,ios)上可以方便的开发安装各种应用程序,甚至更新 操作系统。如何保证这些应用程序的安装、操作系统的更新都是经过认证许可的,是安全并 且可以信赖的,不会被恶意篡改,从而保证相关的交易信息如卡号、密码等不会泄露成了一 个必须重视的问题。因此,构筑相应的核心安全架构变得日益紧迫而重要。
常见的核心安全架构主要有两种。
第一种是采用高度集成的,自带安全管理功能的处理器,这类处理器除了与通用 处理器相同的电路功能外,还集成了安全管理模块,安全管理模块嵌入了安全的内部存储 空间,安全侦测传感器和相关的硬件加密电路。这种系统架构结构简单,开发方便,安全度 高,但是通常成本较高,供货困难,同时由于内部密钥通常需要在处理器芯片制造时,或者 使用专门软件一次写入不可更改,故操作维护困难,成本较高。
第二种是在通用处理器之外,加一个专用的安全处理器,提供安全监测、安全存 储、硬件加密、系统安全启动和完整性校验功能。在系统安全启动和完整性校验方面,通常 是由专用的安全处理器在开机后先对装载有启动代码和操作系统代码的外部存储器(通 常是Flash)进行完整性校验,确认无误后再启动主通用处理器,完成系统启动。这样同 样可以保证系统的整体安全,并且有效降低成本,但是由于涉及安全处理器对外部存储器 (通常是Flash)的操作(通常是通过数据总线读取),以及外部存储器操作控制权的双处 理器切换,设计比较复杂,实现困难。
发明内容
本发明的目的在于克服上述第二种方案的不足,设计出一种更加简单有效的核心 安全架构实现方法。
为了实现上述发明目的,本发明采用了以下技术方案
所述核心安全架构实现方法,包括通用处理器,安全处理器和外部通用内存,其中 安全处理器包括有安全监测功能电路、安全存储功能电路以及硬件加密功能电路,通用处 理器内部ROM部分存储有自身启动代码,包括以下步骤
利用安全处理器的安全监测功能电路先在一个硬件上构筑一个核心安全区域,
将通用处理器和安全处理器、外部通用存储器、外部通用内存、以及通用处理器启 动模式硬件配置电路都设置到这个核心安全区域中,
将第一系统启动代码存储在安全处理器中,
将第二启动代码存储外部通用存储器中,
用于验证通用处理器的内部固有第二启动代码的完整性校验密钥和用于验证交 易信息的交易密钥存储在安全处理器中。
所述的智能金融交易终端的核心安全架构实现方法,所述校验密钥在安全监测功 能电路监测到外部硬件侵入后会被快速清除。
一种智能金融交易终端的核心安全架构实现方法,包括通用处理器,安全处理器 和外部通用内存,其中安全处理器包括有安全监测功能电路、安全存储功能电路以及硬件 加密功能电路,通用处理器内部ROM部分存储有自身启动代码,其包括以下步骤
系统启动时,将通用处理器内部ROM中的自有固化启动代码调入内部RAM执行;
通过启动端口,将存储在安全处理器内部Flash的第一层启动代码读入通用处理 器内部RAM执行;
将外部通用存储器中的系统第二层启动代码读入通用处理器的内部RAM运行,
用存储在安全处理器中的校验密钥校检验通用处理器的第二启动代码的系统完 整性,
如果验证不通过,终止启动程序,
如果验证通过,执行外部内存初始化,
加载系统代码和应用程序代码,
密钥验证系统代码和应用程序的完整性,如果验证结果是否定的,终止启动程序,
如果验证结果是肯定的,启动程序。
所述的一种智能金融交易终端的核心安全架构实现方法,所述通用处理器为主处 理器,存储有硬件启动模式配置电路,可以由用户通过设置实现选择从对应接口进行启动 的功能。
所述的一种智能金融交易终端的核心安全架构实现方法,所述安全处理器的安全 监测功能电路具有监控系统的环境参数变动的功能。
所述的一种智能金融交易终端的核心安全架构实现方法,所述硬件加密电路用于 实现各种硬件加密算法。
本发明采用上述技术方案后相对于现有技术具有如下优点
第一、系统架构不涉及对外部系统存储空间的操作控制权进行双处理器切换,降 低了设计的复杂度,提高了系统的可靠性;
第二、安全处理器不需要对数据量庞大的系统代码进行完整性校验,通常安全处 理器处理性能比较弱,如果需要对系统代码进行完整性校验,费时费力,将极大影响用户体 验;
第三、安全设计电路硬件独立,模块化程度高,分离简单。
图1为本发明核心安全架构的硬件框架示意图2为本发明核心安全架构的软件流程示意图3为本发明外部存储器件中存储内容示意图。
具体实施例方式
为了使本发明的目的,技术方案及优点阐述的更加明白清晰,现结合附图及实例, 对本发明做进一步的详细说明。必须理解,此处所描述的具体实例仅仅用以解释本发明,并 不用于限定本发明。
参见图1、图2和图3,其中本发明所体现的安全架构包括有安全处理器11、通用 处理器12、外部存储器13和外部通用内存14。其中安全处理器11包括有安全检测功能电 路111,安全监测功能电路可以监控系统的环境参数,可以检测系统电源,温度等的变化情 况,同时具有外部侵入的监测开关,环境参数的改变或者外部侵入监测开关的触发都能导 致安全监测电路对内部存储的密钥进行快速清除,因此可以由安全监测功能电路111来构 筑核心安全区域的硬件保护功能。把通用处理器12和安全处理器11、外部通用存储器13、 外部通用内存14和通用处理器启动模式硬件配置电路都纳入到这个核心安全区域。同时 安全处理器11中设置有各种密钥存储单元114,本发明的优选的密钥包括交易密钥和校验 密钥,该存储单元114还存储有第一启动代码。安全处理器11还包括有硬件加密功能电路 112,硬件加密功能电路112用于实现各种硬件加密算法,本发明中的算法可以是常规的算 法,例如DES、3DES、RSA等。安全处理器11中还设置有启动接口 113,用于与外界器件通讯 或数据传输,此类启动接口 113具体可以是串口,USB、SPI或IIC等可以实现启动时实现数 据传输的接口。
通用处理器12包括有内部R0M121、内部RAM122、启动接口 123和总线接口 124。 其中内部R0M121用来存储固化启动代码,此固化启动代码是固定的并且是不可更改的。启 动接口 123与安全处理器11中启动接口 113是相互兼容的,相互之间可以进行流畅的数据 传输和通讯。本发明中启动接口 123可以是串口,USB、SPI或IIC等可以在启动时实现数据 传输的接口。本发明中一种实施例是将通用处理器启动模式配置成为由安全处理器启动, 并且该配置是固定的,不可更改的,当系统开机时,前述固化启动代码被调入内部RAM122 运行,并根据已配置的通用处理器启动模式,通过相对简单的启动接口 113和启动接口 123 的数据传输通道,将存储在安全处理器11内部的存储单元114中的第一启动代码读入通用 处理器内部RAMl22中执行。
作为本发明的一个优选的实施例,本发明中外部存储器13用来存储第二启动代 码和系统OS以及外部应用程序,本发明中存储器可以是任何能存储代码及OS程序及应用 程序的任何存储介质。作为本发明的优选实施例,本发明中存储器为外部存储器。
外部通用内存14与前述外部存储器13是通过总线与通用处理器连接,通用处理 器12中总线接口 124可以实现外部存储器13以及外部通用内存存储的数据与通用处理器 12的兼容性通讯。
存储在安全处理器11中第一启动代码主要是用于实现将外部存储器13中的存储 系统第二启动代码读取并调入通用处理器12的内部RAM122,并实现用存储在安全处理器 内部RAM中的校验密钥来确认校验第二启动代码的完整性,并对不同的校验结果进行相应 的程序运行。对第一启动代码的逻辑关系和功能将在后面进行进一步描述。
第二启动代码主要是用于实现将外部通用存储器中的系统代码和应用代码调入 外部通用内存空间,并且根据相应的密钥确认校验它的完整性后启动系统和加载应用。
如前所述,当系统开机时,前述固化启动代码被调入内部RAM122运行,并根据已 配置的通用处理器启动模式,通过相对简单的启动接口 113和启动接口 123的数据传输通道,将存储在安全处理器11内部的存储单元114中的第一启动代码读入通用处理器内部RAM122中执行,第一启动代码被执行后,再将存储在外部存储器13中的第二启动代码读入通用处理器12内部RAM122中执行,由存储在安全处理器中校验密钥校验第二启动代码的完整性,如果校验结果是否定的,启动结束,如果校验结果是肯定的,执行第二启动代码。基于第二启动代码的运行,存储在外部存储器13中的系统代码和应用代码调入外部通用内存14中,并且根据校验密钥确认校验系统代码和应用代码的完整性后启动系统和加载应用。图2为本发明核心安全架构的软件流程示意图,以下是对图中的各个步骤的详细描述在步骤201中,系统收到启动指令后,通用处理器12种内部固有启动代码启动,然后执彳了步骤202 ;在步骤202中,系统初始化,然后执行步骤203在步骤203中,系统检查启动模式硬件配置电路,然后执行步骤204在步骤204中,从对应接口的安全处理器中启动第一启动代码,然后执行步骤205在步骤205中,从外部通用存储器中启动第二启动代码,然后执行步骤206在步骤206中,相应密钥验证第二启动代码的完整性,如果验证结果是肯定的,然后执彳了步骤207,启动结束 。如果验证结果是否定的,然后执彳了步骤208在步骤208中,执行第二启动代码,然后执行步骤209在步骤209中,执行外部内存初始化,然后执行步骤210在步骤210中,系统代码和应用程序代码的加载,然后执行步骤211在步骤211中,密钥验证系统代码和应用程序的完整性,如果验证结果是否定的,执7TT步骤207启动结束,如果验证结果是肯定的,然后执彳了步骤212在步骤212中,启动系统程序和应用程序。图3为本发明外部存储器件中存储内容示意图,如图所示,本发明中外部存储器包括有公钥31,第二启动代码32,代码签名33,操作系统和应用程序34以及代码签名35。通过上述说明和附图,给出了具体实施方式
的特定结构的典型实施例,因此,尽管上述发明提出了现有的较佳实施例,然而,这些内容并不作为局限。对于本领域的技术人员而言,阅读上述说明后,各种变化和修正无疑将显而易见。因此,所附的权利要求书应看作是涵盖本发明的真实意图和范围的全部变化和修正,在权利要求书范围内任何和所有等价的范围与内容,都应认为仍属本发明的意图和范围。
权利要求
1.一种智能金融交易终端的核心安全架构实现方法,包括通用处理器,安全处理器和外部通用内存,其中安全处理器包括有安全监测功能电路、安全存储功能电路以及硬件加密功能电路,通用处理器内部ROM部分存储有自身启动代码,其特征包括以下步骤 利用安全处理器的安全监测功能电路先在一个硬件上构筑一个核心安全区域, 将通用处理器和安全处理器、外部通用存储器、外部通用内存、以及通用处理器启动模式硬件配置电路都设置到这个核心安全区域中, 将第一系统启动代码存储在安全处理器中, 将第二启动代码存储外部通用存储器中, 用于验证通用处理器的内部固有第二启动代码的完整性校验密钥和用于验证交易信息的交易密钥存储在安全处理器中。
2.如权利要求1所述的一种智能金融交易终端的核心安全架构实现方法,所述校验密钥在安全监测功能电路监测到外部硬件侵入后会被快速清除。
3.如权利要求1所述的一种智能金融交易终端的核心安全架构实现方法,包括通用处理器,安全处理器和外部通用内存,其中安全处理器包括有安全监测功能电路、安全存储功能电路以及硬件加密功能电路,通用处理器内部ROM部分存储有自身启动代码,其特征包括以下步骤 系统启动时,将通用处理器内部ROM中的自有固化启动代码调入内部RAM执行, 通过启动端口,将存储在安全处理器内部Flash的第一层启动代码读入通用处理器内部RAM执行, 将外部通用存储器中的系统第二层启动代码读入通用处理器的内部RAM运行, 用存储在安全处理器中的校验密钥校检验通用处理器的第二启动代码的系统完整性, 如果验证不通过,终止启动程序, 如果验证通过,执行外部内存初始化, 加载系统代码和应用程序代码, 密钥验证系统代码和应用程序的完整性,如果验证结果是否定的,终止启动程序,如果验证结果是肯定的,启动程序。
4.如权利要求1所述的一种智能金融交易终端的核心安全架构实现方法,所述校验密钥在安全监测功能电路监测到外部硬件侵入后会被快速清除。
5.如权利要求1所述的一种智能金融交易终端的核心安全架构实现方法,所述校验密钥在安全监测功能电路监测到外部硬件侵入后会被快速清除。
6.如权利要求1所述的一种智能金融交易终端的核心安全架构实现方法,所述通用处理器为主处理器,存储有硬件启动模式配置电路,可以由用户通过设置实现选择从对应接口进行启动的功能。
7.如权利要求1所述的一种智能金融交易终端的核心安全架构实现方法,所述安全处理器的安全监测功能电路具有监控系统的环境参数变动的功能。
8.如权利要求1所述的一种智能金融交易终端的核心安全架构实现方法,所述硬件加密电路用于实现各种硬件加密算法。
全文摘要
本发明中安全处理器存储有第一系统启动代码、第二启动代码和校验密钥和交易密钥,校验密钥是用于验证通用处理器的内部固有第二启动代码的完整性,交易密钥用于验证交易信息的完整性。当第一层启动代码读入通用处理器内部RAM执行后,第二层启动代码读入通用处理器的内部RAM运行,校验密钥校检验通用处理器的第二启动代码的系统完整性,如果验证不通过,终止启动程序,如果验证通过,加载系统代码和应用程序代码,校验密钥验证系统代码和应用程序的完整性,如果验证结果是否定的,终止启动程序,如果验证结果是肯定的,启动程序。
文档编号G06F21/51GK103049694SQ20131001266
公开日2013年4月17日 申请日期2013年1月14日 优先权日2013年1月14日
发明者黄柯, 姚茂彪, 金海青, 朱凯申 申请人:上海慧银信息科技有限公司