专利名称:一种支付终端的制作方法
技术领域:
本实用新型涉及安全认证技术领域,特别涉及一种支付终端。
背景技术:
目前,支付终端已广泛应用于商超、批发市场、中小商贸流通企业、家庭等领域;因 其布放范围大、适用人群广,安全性问题是使用这些支付终端进行电子支付时最为关心的 问题,也是各金融机构急待解决的问题。消费系统现执行的安全认证包括PCI2.0标准的安 全认证系统,该安全认证系统,包括物理安全、逻辑安全两大关卡,十几道环节。其中关键环 节包括拆机自毁、开机自检、动态密钥、支付终端安全存取模块(Purchase Secure Access Module, PSAM)卡硬件加密、3DES算法等。拆机自毁的目的主要是防止敏感信息,例如密钥,被非法窃取,要求支付终端不 论是上电运行时还是断电停机时,以及不论是处于静止状态还是震动状态,都能在一定的 经济合理性条件下,防止各种物理的、化学的、电气的攻击和探测。即要求支付终端在受到 上述各种攻击或探测时,能确保敏感信息不被窃取。可见,支付终端必须具有以下功能敏 感功能和敏感信息只能在支付终端内部受保护的区域中存放,只允许使用或擦写,不允许 读出,并且,当支付终端受到攻击或探测时,将立即擦除或锁死敏感信息。目前,为实现支付终端的拆机自毁功能,一般是在支付终端的机壳内侧,安装若干 微动开关,正常情况下微动开关处于常闭状态,一旦支付终端受到攻击或探测时,机壳被打 开了,那么,微动开关断开,立即触发拆机信号。这样,控制电路立即擦除或锁死支付终端内 部受保护的区域中的敏感数据。另外,在一些支付终端中,让螺丝作为印制电路板上的一个短路子,一旦支付终端 受到攻击或探测时,机壳被打开了,原本导通的导线/印制天线立即断开,从而触发拆机信 号,控制电路立即擦除或锁死支付终端内部受保护的区域中的敏感数据。可见,目前支付终端的拆机自毁,依赖于拆机信号的可靠检测,但是,现有的拆机 信号检测方法单一,破解者一旦获知微动开关的位置,或螺丝短路子的位置,则很容易绕过 这些位置,例如在机壳上钻孔,从而,进入安全区使用电气的或物理的方法盗取支付终端 内部受保护的区域中的敏感数据;并且,机壳体积一般比较大,微动开关数量再多也难免留 下漏洞,导致拆机信号检测的可靠性进一步降低。
实用新型内容本实用新型实施例提供一种支付终端,用以提高支付终端拆机自毁的可靠性。本实用新型实施例提供一种支付终端,包括机壳1、以及位于机壳1内的第一拆 机信号检测电路2,密钥控制电路3,第一金属罩4,第二金属罩5和第二拆机信号检测电路 6,其中,所述第一金属罩4和第二金属罩5组成一个密封壳体;所述密钥控制电路3位于所述密封壳体的内部;[0011]所述第一拆机信号检测电路2位于所述密封壳体的外部,且所述第一拆机信号检 测电路2检测出的拆机信号输入到所述密钥控制电路3中;所述第二拆机信号检测电路6位于所述密封壳体的内部,且所述第二拆机信号检 测电路检6检测出的拆机信号输入到所述密钥控制电路3中。本实用新型实施例中,由第一金属罩以及第二金属罩组成了支付终端的密封壳 体,密钥控制电路位于该密封壳体内,这样,不仅在支付终端的机壳与密封壳体之间设置了 拆机信号检测电路,并且在密封壳体的内部也设置了拆机信号检测电路。从而,建立一种多 级多点多层次的拆机检测机制,提高了拆机信号检测的可靠性,进一步提高了付终端拆机 自毁的可靠性。
图1为本实用新型实施例中支付终端的结构图;图2为本实用新型实施例中微动开关串联电路图;图3为本实用新型实施例中光敏开关电路图;图4为本实用新型具体实施例中支付终端的结构图。
具体实施方式
本实用新型实施例中,将支付终端的密钥控制电路用金属罩封闭起来,形成一个 密封壳体,该密封壳体内的区域为核心安全区,这样,不仅在支付终端的机壳内设置有第一 拆机信号检测电路,并且在密封壳体中也设置有第二拆机信号检测电路,从而通过二级拆 机检测,可靠地检测拆机信号,有效地触发拆机自毁动作。其中,密钥控制电路包括安全信 息的物理载体,以及与安全信息直接相关的电路,器件。本实用新型实施例中密钥控制电路 包括PSAM卡、单片机,电源电路等。参见图1,本实用新型中支付终端包括机壳1,以及位于机壳内的第一拆机信号 检测电路2,密钥控制电路3,第一金属罩4,第二金属罩5和第二拆机信号检测电路6。其中,第一金属罩4和第二金属罩5组成一个密封壳体,密钥控制电路3位于该密 封壳体的内部,并且,密钥控制电路的至少一个接口可以与位于密封壳体外部的其他电路 进行通讯。如图1所示,第一金属罩4的边缘与密钥控制电路3的顶层密封连接,第二金属罩 5的边缘与密钥控制电路3的底层密封连接,这样,由密钥控制电路3、第一金属罩4和第二 金属罩5组成了一个密封壳体,该密封壳体内的区域为支付终端的核心安全区。在该实施例中,密钥控制电路3包括至少3层的印制线路板,其中,印制线路板的 顶TOP层和底BOTTOM层不走线,即所有的走线都在中间层。印制线路板的TOP层与第一金 属罩4底部边缘对应的位置上有焊盘,并且该印制线路板的BOTTOM层与第二金属罩5底部 边缘对应的位置上也有焊盘,这样,将第一金属罩4焊接在印制线路板的TOP层,第二金属 罩5焊接在印制线路板的BOTTOM层,从而,由密钥控制电路3、第一金属罩4和第二金属罩 5组成一个密封壳体。由于所有的走线都在中间层,因此,密钥控制电路3的四周可以包括 一个,两个,或多个接口,用于与位于密封壳体外部的其他电路进行通讯。当然,在本实用新型其他的实施例中,第一金属罩4与第二金属罩5完全密闭连
5接,组成一个密封壳体,通过一些支架将密钥控制电路3固定在该密封壳体的内部。并且, 在密封壳体上有一些接线端子,这些接线端子与密钥控制电路3的一个、两个或多个接口 连接,从而,该密钥控制电路3的至少一个接口可以与位于密封壳体外部的其他电路进行 通讯。另外,第一金属罩4与第二金属罩5完全密闭连接,组成一个密封壳体后,通过一 些支架将密钥控制电路3固定在该密封壳体的内部,但是该密钥控制电路3的至少一个接 口位于该密封壳体外部,从而,该密钥控制电路3的至少一个接口可以与位于密封壳体外 部的其他电路进行通讯。第一金属罩4与第二金属罩5密封连接后形成密闭壳体,可以防止水、化学溶剂等 对密闭壳体内的密钥控制电路3的攻击。并且,第一金属罩4,以及第二金属罩5也可以起 到屏蔽作用,屏蔽对密封壳体的电磁场探测。本实施例中,第一金属罩4和第二金属罩5的材质包括铁或铝。较佳地,其厚度 在0. 5毫米左右。一般,第一金属罩4和第二金属罩5大小一致,当然也可以略有不同。在支付终端设置了密封壳体后,第一拆机信号检测电路2位于该密封壳体的外 部,即第一拆机信号检测电路2位于机壳1与密封壳体之间,并且,第一拆机信号检测电路 2检测出的拆机信号输入到密钥控制电路3中。即当第一拆机信号检测电路2检测到支付 终端受到攻击或探测时,向密钥控制电路3输入拆机信号,从而,密钥控制电路3执行拆机 自毁的工作,包括擦除或锁死PASM卡内的密钥,以及擦除单片机内存储的数据。第二拆机信号检测电路6位于密封壳体的内部,并且,第二拆机信号检测电路6检 测出的拆机信号输入到密钥控制电路3中。即当第二拆机信号检测电路6检测到密封壳体 受到攻击或探测时,向密钥控制电路3输入拆机信号,从而,密钥控制电路3同样执行拆机 自毁的工作。可见,采用了二级拆机信号检测电路后,当通过钻孔或化学腐蚀等方法攻击了支 付终端的机壳后,若需获得密钥信息,还需进一步攻击密封壳体,因此,本实用新型的支付 终端大大增加了攻击的难度,并且,多层次,多位置地检测拆机信号,提高了拆机信号的可 靠性,进一步提高了支付终端拆机自毁的可靠性。本实用新型中,第一拆机信号检测电路2包括微动开关组成的电路、或、光敏元 件组成的电路,或,微动开关和光敏元件组成的电路。同样,第二拆机信号检测电路6也包括微动开关组成的电路、或、光敏元件组成 的电路,或,微动开关和光敏元件组成的电路。其中,第一拆机信号检测电路2为微动开关组成的电路时,该电路包括安装在机 壳内的一个,两个,或多个微动开关。即可在支付终端机壳与密封壳体之间的任意空闲位置 安装微动开关,可以安装一个,两个,或多个微动开关。当微动开关为常闭开关时,即支付终端处于正常状态下时,每个微动开关被机壳 顶住处于闭合状态。并且,密钥控制电路3接收的拆机信号为高电平有效时,该第一拆机信 号检测电路2具体为每个微动开关串联连接,这样,第一个微动开关的空闲端与低电平连接,最后一个 微动开关的空闲端为输出端,该输出端通过上拉电阻与高电平连接,并且,该输出端与密钥 控制电路的第一接口连接。[0035]以图2为例,在机壳与密封壳体之间安装了 6个常闭的微动开关,分别为Si、S2、 S3、S4、S5、以及S6,这6个微动开关串联连接,Sl空闲的一端与地直接相连,S6空闲的一 端为输出端,通过一个上拉电阻与电源VCC连接,并且,该输出端与密钥控制电路3的第一 接口连接,这里,密钥控制电路3的第一接口为密钥控制电路3中单片机MSP430的一个I/ 0 Π Ρ2. 0。这样,当支付终端处于正常状态下时,密钥控制电路3的第一接口为低电平;一旦 机壳被攻击或探测,机壳被拆开时,某一个,或多个微动开关就会弹起,即S1-S6之中的一 个或多个断开,这样,密钥控制电路3的第一接口为高电平,从而,触发了密钥控制电路3拆 机自毁工作。本实用新型另一实施例中,当微动开关为常开开关时,即支付终端处于正常状态 下时,每个微动开关处于断开状态。并且,密钥控制电路3接收的拆机信号为低电平有效 时,该第一拆机信号检测电路2具体为每个微动开关并联连接,其并联连接的第一公共端与低电平连接,第二公共端为 输出端,该输出端通过上拉电阻与高电平连接,并且,该输出端与密钥控制电路的第一接口 连接。这样,当支付终端处于正常状态下时,密钥控制电路3的第一接口为高电平;一旦 机壳被攻击或探测,机壳被拆开时,某一个,或多个微动开关就会闭合,这样,密钥控制电路 3的第一接口为低电平,从而,触发了密钥控制电路3拆机自毁工作。当然,本实用新型中,可根据机壳内的具体的空间大小,安装微动开关,可能有些 微动开关是常闭开关,有些微动开关是常开开关,那么,将所有的常闭的微动开关串联后, 按上述图2所示的串联连接电路进行了连接,其输出端与密钥控制电路的一个接口连接。 而将其他所有的常开的微动开关并联后,也如上述并联连接电路进行连接,其输出端与密 钥控制电路的另一个接口连接。本实用新型中,机壳2为一个密闭空间,内部基本没有光线或者光线很弱,因此, 第一拆机信号检测电路2还可以为光敏元件组成的电路。在该电路中,光敏元件可以安装 在机壳与密封壳体之间的任意空闲位置,光敏元件可以是一个,两个,或多个。本实施中,光 敏元件一般为光敏开关。这样,每个光敏开关的一端与低电平连接,另一端为输出端,该输出端通过上拉电 阻与高电平连接,并且,该输出端与密钥控制电路的第二接口连接。参见图3,以一个光敏开关为例进行描述,这里,光敏开关为光敏三极管,其中,光 敏三极管的一端与地连接,另一端通过上拉电阻与电源VCC连接,并且另一端作为输出端 与密钥控制电路3的第二接口连接,这里,密钥控制电路3的第二接口为密钥控制电路3中 单片机 MSP430 的一个 I/O 口 Ρ2. 1。这样,当支付终端处于正常状态下,内部很暗,这样,光敏三极管不导通,密钥控制 电路3的第二接口为高电平;一旦在机壳上钻孔,或者用强光探测机壳内部电路时,光敏三 极管导通,这样,密钥控制电路3的第二接口为为低电平,从而,触发了密钥控制电路3拆机
自毁工作。为了进一步提高支付终端的安全性,在本实用新型中支付终端的第一拆机信号检 测电路2可以既包括微动开关组成的电路,又包括光敏元件组成的电路。这样,从多方面,多位置检测支付终端是否收到了攻击或探测。本实用新型中第二拆机信号检测电路6包括的微动开关组成的电路与第一拆机 信号检测电路2包括的微动开关组成的电路的具体结构大致相同,不同之处包括第一拆 机信号检测电路2的微动开关安装在第一金属罩4或第二金属罩5内部,并且,第二拆机信 号检测电路6检测出的拆机信号输入到密钥控制电路的第三接口上。即第二拆机信号检测 电路6包括安装在第一金属罩或第二金属罩内的至少一个常闭的微动开关,每个微动开 关串联连接后,第一个微动开关的空闲端与低电平连接,最后一个微动开关的空闲端为输 出端,该所述输出端通过上拉电阻与高电平连接,并且,该输出端与密钥控制电路的第三接 口连接。或者,第二拆机信号检测电路包括安装在第一金属罩或第二金属罩内的至少一个常开 的微动开关,每个微动开关并联连接后,第一公共端与低电平连接,第二公共端为输出端; 该输出端通过上拉电阻与高电平连接,并且,该输出端与密钥控制电路的第三接口连接。第二拆机信号检测电路6包括的光敏元件组成的电路与第一拆机信号检测电路2 包括的光敏元件组成的电路的具体结构大致相同,不同之处包括光敏元件安装在第一金 属罩4或第二金属罩5内部,即敏元件安装在密封壳体内,并且,第二拆机信号检测电路6 检测出的拆机信号输入到密钥控制电路的第四接口上。即第二拆机信号检测电路6包括 安装在第一金属罩或第二金属罩内的至少一个光敏开关,每个光敏开关的一端与低电平连 接,另一端为输出端;该输出端通过上拉电阻与高电平连接,并且,该输出端与密钥控制电 路的第四接口连接。当然,本实用新型实施例中,支付终端的第二拆机信号检测电路6同样可以既包 括微动开关组成的电路,又包括光敏元件组成的电路。因此,第二拆机信号检测电路6与第 一拆机信号检测电路2的基本电路可以相同,但是其对应的微动开关或者光敏元件的安装 位置不同,其输出对应的密钥控制电路接口也不相同。下面结合说明书附图对本实用新型实施例作进一步详细描述。参见图4,本实施例中支付终端包括机壳1、密钥控制电路3,第一金属罩4、第二 金属罩5。其中,密钥控制电路3,第一金属罩4和第二金属罩5组成一个密封壳体。该支 付终端还包括位于机壳1和密封壳体之间的至少一个微动开关21,位于机壳1和密封壳 体之间的至少一个光敏元件22,位于密封壳体内的至少一个微动开关61,以及位于密封壳 体内的至少一个光敏元件62。其中,该支付终端还包括与安全信息不直接相关的电路系统,这里为ARM9嵌入式 系统,可将微动开关21,以及光敏元件22置于该ARM9嵌入式系统的任意空闲位置上。微动 开关61,以及光敏元件62置于密封壳体内密钥控制电路3的任意空闲位置上。可见本实施例中,第一拆机信号检测电路既包括微动开关组成的电路,又包括光 敏元件组成的电路。同样,第二拆机信号检测电路既包括微动开关组成的电路,又包括光敏 元件组成的电路。本实施例中,微动开关都为常闭开关,即正常情况下,微动开关21被机壳顶住处 于闭合状态,微动开关61被金属罩顶住处于闭合状态。微动开关组成的电路如上述图2所 示,具体结构就不再累述了。光敏元件都为光敏三极管,光敏元件组成的电路如上述图3所示,具体也不再累述了。这里,密钥控制电路3为4层的印制线路板,该印制线路板的TOP层以及BOTTOM 层都没有走线,所有的走线都在中间层,第一金属罩4与密钥控制电路3的TOP层接触的边 缘焊接在密钥控制电路3的TOP层,第二金属罩5与密钥控制电路3的BOTTOM层接触的边 缘焊接在密钥控制电路3的BOTTOM层。密钥控制电路3的器件主有PSAM卡、超低功耗MSP430单片机、可充电纽扣电池。 PSAM卡承载了支付终端的密钥。超低功耗MSP430单片机,与机壳中的ARM9嵌入式系统通 讯完成读卡功能,并分别通过接口获取拆机信号。其中,由微动开关21组成的检测电路的 输出端与MSP430单片机P2.0引脚连接;由光敏元件22组成的检测电路的输出端与MSP430 单片机P2. 1引脚连接;由微动开关61组成的检测电路的输出端与MSP430单片机P2. 2引 脚连接;由光敏元件62组成的检测电路的输出端与MSP430单片机P2. 3引脚连接。这样,当P2. 0、Ρ2· 1、Ρ2· 2、Ρ2· 3这四个引脚中,有任意一个引脚发生电平转换时, MSP430单片机接收到拆机信号,从而执行拆机自毁动作。例如Ρ2. 0引脚上电平由低电平 变为高电平时,表明支付终端的机壳受到了攻击或探测,则MSP430单片机执行拆机自毁动 作。Ρ2. 1引脚上电平由高电平变为低电平时,表明支付终端的机壳被钻孔或者被强光探测, MSP430单片机也需执行拆机自毁动作。Ρ2. 2引脚上电平由低电平变为高电平时,表明第一 金属罩或者第二金属罩受到攻击或探测,即支付终端的密封壳体受到攻击或探测,MSP430 单片机执行拆机自毁动作。Ρ2. 3引脚上电平由高电平变为低电平时,表明支付终端的第一 金属罩或者第二金属罩被钻孔或者被强光探测,MSP430单片机也需执行拆机自毁动作。MSP430单片机执行拆机自毁动作包括擦除/锁定PSAM卡内密钥、擦除MSP430单 片机内部FLASH存储的数据。本实用新型实施例中,可充电纽扣电池负责在系统断电后给MSP430单片机供电 使其维持休眠状态。MSP430在休眠时仅有IuA的超低功耗,120mAH的电池可在系统断电后 维持10年以上;可充电纽扣电池焊接在电路板上,在机械撞击时不会脱离电路板。MSP430 单片机在休眠状态下,收到拆机信号后将被唤醒,执行拆机自毁动作,执行完毕后又立即回 到休眠状态。在上述实施例中,拆机信号检测电路既包括微动开关组成的电路,又包括光敏元 件组成的电路。当然,本实用新型其他实施例中,拆机信号检测电路可以只是微动开关组成 的电路,或光敏元件组成的电路。在上述所有实施例中,拆机信号检测电路中的高电平在密钥控制电路3能够承受 的高电平范围内,拆机信号检测电路中的低电平也是密钥控制电路3能够承受的低电平范 围内。本实用新型实施例中,由第一金属罩以及第二金属罩组成了支付终端的密封壳 体,密钥控制电路位于该密封壳体内部,这样,不仅在支付终端的机壳与密封壳体之间设置 了拆机信号检测电路,并且在密封壳体的内部也设置了拆机信号检测电路。从而,建立一种 多级多点多层次的拆机检测机制,提高了拆机信号检测的可靠性,进一步提高了付终端拆 机自毁的可靠性,有效解决了消费系统的支付安全问题。并且只需要在支付终端中加入金 属罩,实施起来比较简单,成本也比较低。显然,本领域的技术人员可以对本实用新型进行各种改动和变型而不脱离本实用新型的精神和范围。这样,倘若本实用新型的这些修改和变型属于本实用新型权利要求及 其等同技术的范围之内,则本实用新型也意图包含这些改动和变型在内。
权利要求1.一种支付终端,其特征在于,包括机壳(1)、以及位于机壳(1)内的第一拆机信号检 测电路O),密钥控制电路(3),第一金属罩0),第二金属罩(5)和第二拆机信号检测电路 (6),其中,所述第一金属罩(4)和第二金属罩( 组成一个密封壳体; 所述密钥控制电路(3)位于所述密封壳体的内部;所述第一拆机信号检测电路( 位于所述密封壳体的外部,且所述第一拆机信号检测 电路⑵检测出的拆机信号输入到所述密钥控制电路⑶中;所述第二拆机信号检测电路(6)位于所述密封壳体的内部,且所述第二拆机信号检测 电路(6)检测出的拆机信号输入到所述密钥控制电路(3)中。
2.如权利要求1所述的支付终端,其特征在于,在所述密封壳体中,所述第一金属罩 (4)的边缘与密钥控制电路(3)的顶层密封连接,所述第二金属罩(5)的边缘与密钥控制电 路(3)的底层密封连接。
3.如权利要求1所述的支付终端,其特征在于,所述第一拆机信号检测电路(2)包括 安装在机壳(1)内的至少一个常闭的微动开关,每个微动开关串联连接后,第一个微动开关的空闲端与低电平连接,最后一个微动开关的空闲端为输出端;所述输出端通过上拉电阻与高电平连接,并且,所述输出端与密钥控制电路(3)的第 一接口连接。
4.如权利要求1所述的支付终端,其特征在于,所述第一拆机信号检测电路(2)包括 安装在机壳(1)内的至少一个常开的微动开关,每个微动开关并联连接后,第一公共端与低电平连接,第二公共端为输出端;所述输出端通过上拉电阻与高电平连接,并且,所述输出端与密钥控制电路(3)的第一接口连接。
5.如权利要求1、3或4所述的支付终端,其特征在于,所述第一拆机信号检测电路(2) 包括安装在机壳(1)内的至少一个光敏开关,每个光敏开关的一端与低电平连接,另一端 为输出端;所述输出端通过上拉电阻与高电平连接,并且,所述输出端与密钥控制电路(3)的第二接口连接。
6.如权利要求1所述的支付终端,其特征在于,所述第二拆机信号检测电路(6)包括 安装在第一金属罩(4)或第二金属罩(5)内的至少一个常闭的微动开关,每个微动开关串联连接后,第一个微动开关的空闲端与低电平连接,最后一个微动开关的空闲端为输 出端;所述输出端通过上拉电阻与高电平连接,并且,所述输出端与密钥控制电路(3)的第三接口连接。
7.如权利要求1所述的支付终端,其特征在于,所述第二拆机信号检测电路(6)包括 安装在第一金属罩(4)或第二金属罩内(5)的至少一个常开的微动开关,每个微动开关并联连接后,第一公共端与低电平连接,第二公共端为输出端;所述输出端通过上拉电阻与高电平连接,并且,所述输出端与密钥控制电路(3)的第三接口连接。
8.如权利要求1、6或7所述的支付终端,其特征在于,所述第二拆机信号检测电路(6) 包括安装在第一金属罩(4)或第二金属罩(5)内的至少一个光敏开关,每个光敏开关的一 端与低电平连接,另一端为输出端;所述输出端通过上拉电阻与高电平连接,并且,所述输出端与密钥控制电路(3)的第 四接口连接。
9.如权利要求1所述的支付终端,其特征在于,所述密钥控制电路(3)包括至少三层的 印制线路板,其中,所述印制线路板的顶层和底层不走线。
10.如权利要求1所述的支付终端,其特征在于,所述第一金属罩(4)和第二金属罩 (5)的材质包括铁或铝。
专利摘要本实用新型公开了一种支付终端,用以提高支付终端拆机自毁的可靠性。该支付终端包括机壳、以及位于机壳内的第一拆机信号检测电路,密钥控制电路,第一金属罩,第二金属罩和第二拆机信号检测电路,其中,所述第一金属罩和第二金属罩组成一个密封壳体;所述密钥控制电路位于所述密封壳体的内部;所述第一拆机信号检测电路位于所述密封壳体的外部,且所述第一拆机信号检测电路检测出的拆机信号输入到所述密钥控制电路中;所述第二拆机信号检测电路位于所述密封壳体的内部,且所述第二拆机信号检测电路检测出的拆机信号输入到所述密钥控制电路中。
文档编号G07G1/12GK201927122SQ20102069696
公开日2011年8月10日 申请日期2010年12月24日 优先权日2010年12月24日
发明者张宏海, 段作杰 申请人:北大方正集团有限公司