专利名称:安全支付终端的开盖数据自毁装置及方法
技术领域:
本发明涉及一种安全支付终端的开盖数据自毁装置及方法。
背景技术:
近年来,网上支付行业呈现强劲增长。据调查机构艾瑞咨询发布的数据,2009年国内网上支付行业规模将达5766亿元,而2010年有望达到I万亿元,网上支付市场前景十分广阔。网上支付大大方便了广大用户,应用的领域包括网上购物、网上票务、网络理财、网上捐赠以及公用事业缴费等等。作为网上交易支付形式之一的网上银行,通过Internet向客户提供开户、销户、 查询、对账、转账、信贷、投资理财等传统服务项目,同时还可以实现缴费、在线支付、电子钱包(或电子存折、或电子现金)圈存等新兴的金融IC卡业务,使客户可以在24小时任意时间内足不出户就能够安全便捷地管理银行中的资金。而与此同时,各类钓鱼网站、恶意软件也是层出不穷,对安全网络支付提出了巨大的挑战和难题。中国大陆各大银行目前大部分是采用赠送或者出少量的费用让客户购买网银U盾,当需要支付的时候,提示客户插入U盾,并输入正确的U盾密码才可以进行网络支付活动。这样一来,虽然大大提高了网络支付的安全性,但U盾本身的可靠性和安全性又成为新的课题,一旦恶意用户得到他人的U盾,不难破解出用户密钥和各类敏感信息,随着技术的发展,银行卡的EMV迁移也在加速推进。今后会有更多放置在家庭和个人用户手中的网络支付设备出现,由于安全支付终端一般为银行或其他专业机构所发放,内部保存了极其重要的密钥和个人客户信息,一但被恶意人群获取,将会造成极大的经济损失;另外,传统的防破袭手段无非是在结构上增加外壳的复杂程度,或者利用更为结实的材料制作外壳,这样的手段对于ATM这种放置在公共地点,并配套各种监视设备的场合较为有效,一旦有人进行破袭,则立即有保安和公安机关参与阻止,但是本发明针对的是放置在家庭或个人应用的场合,很难有保安和公安机关的参与,在这种状态下,保护合法用户的密钥和敏感信息对设备本身提出了更高的要求。而本发明正是为了解决这一问题而产生的。在此背景下,设计一种提高此类设备内部敏感信息安全的方法及装置就显得至关重要。
发明内容
本发明所要解决的技术问题是提供一种安全支付终端的开盖数据自毁装置及方法,该安全支付终端的开盖数据自毁装置及方法易于实施、安全性高、成本低。发明的技术解决方案如下一种安全支付终端的开盖数据自毁方法,采用基于导电胶的开盖检测方法检测安全支付终端是否被打开;所述的基于导电胶的开盖检测方法,是指在安全支付终端的电路板的正面设置至少一个接触点,且在安全支付终端的电路板的背面设置至少一个接触点;在安全支付终端的前壳和后壳上与接触点对应的位置涂有导电胶;所述的接触点包括两个互不相连的焊盘;当前壳和后壳合上时(即正常状态时),接触点的两个焊盘被导电胶导通,此时接触点为导通状态;否则,当前壳或后壳被打开,接触点的两个焊盘之间为断路,此时接触点为断路状态;若安全支付终端的微处理器检测到任一接触点处于断路状态,则判断安全支付终端的前盖或后盖被非法打开,安全支付终端内的微处理器启动数据自毁操作。所述的安全支付终端的开盖数据自毁方法还采用基于光电检测的开盖检测方法检测安全支付终端是否被打开;所述的基于光电检测的开盖检测方法为在安全支付终端内设置有光敏管;当安 全支付终端的前壳或后壳被打开时,光敏管的状态由截止变为导通;安全支付终端的微处理器检测到光敏管的状态变化,则启动数据自毁操作。所述的微处理器定时检测后备电池的电量,如果电量小于总电量的15%,则微处理器启动数据自毁操作。所述的数据自毁操作包括自动删除用于金融支付的密钥。所述的数据自毁操作还包括使得安全支付终端的微处理器进入“死锁”状态。一种安全支付终端的开盖数据自毁装置,包括微处理器、存储器和至少2个接触点;在安全支付终端的前壳和后壳上与接触点对应的位置涂有导电胶;所述的接触点包括两个互不相连的焊盘;每一个接触点的第一个焊盘接地,每一个接触点的第二个焊盘通过第一上拉电阳(Rll)接电源正极;所述的第二个焊盘接微处理器的第一外部中断端口(Kdetect端);存储器内存储有用于金融支付的密钥。所述的安全支付终端的开盖数据自毁装置还包括至少一个光敏管检测电路;所述的光敏管检测电路包括光敏管和N-MOS管(Ql);光敏管由二极管与三极管(NPN三极管)组成;二极管的正极通过第二上拉电阻(R3)接直流电源的正极;二极管的负极接地;三极管的C极通过第三上拉电阻(R2)接直流电源的正极;三极管的E极接N-MOS管的G极;三极管的E极还经过第五电阻(R4)接地;N-M0S管的D极经第四上拉电阻(Rl)接直流电源的正极;N-M0S管的S极接地;N-M0S管的D极还与微处理器的第二外部中断端口 (SENSOR 端)相接。在安全支付终端内还设有后备电池及后备电池电量检测电路。有益效果本发明的安全支付终端的开盖数据自毁装置及方法,拥有外壳打开和破袭的同时检测,拥有机械按键或按钮,当外壳被打开则按键或按钮的状态即被改变。并拥有利用光线变化作为动作条件的光敏管,一旦外壳被打开,则光敏管输出状态即被改变,从而通知CPU得知外壳被打开或被破袭。当设备通过部分2得知设备被打开或被破袭,可在I秒之内删除内部的关键密钥和敏感数据。本发明利用物理机械触点和开盖前后光的改变,可以有效的检测到设备的外壳是否被打开或者破袭,一旦检测到异常状态,则立刻唤醒CPU,并由CPU将内部存储的关键密钥和各类敏感信息清除,并将设备进入软件“锁死”状态,而且在备用电源彻底耗尽之前会删除关键密钥,从而有效的保护了合法用户的敏感信息,对潜在的破坏和偷窃者进行了有效的防范。本发明可灵活采用单个保护机制(基于导电胶的开盖检测方法的保护机制)或双重保护机制((I)基于导电胶的开盖检测方法的保护机制和⑵基于光电检测的开盖检测方法的保护机制)或三重保护机制(即在双重保护的基础上再增加基于对后备电池的电量监控的保护机制)对安全支付终端内的关键信息进行全方位的保护,从而提高安全支付终端的安全性。这种安全支付终端的开盖数据自毁装置及方法,大幅度改善了传统家庭网银支付设备的安全性能,可广泛应用于个人、家庭、商户使用的安全支付终端,
图I为开盖自毁流程图;
图2外部开盖检测电路;图3外部破袭检测电路;图4带有导电胶的前盖(图a)与线路板(图b)(按键板正面)的结构示意图;图5带有导电胶的后盖(图a)与线路板(图b)(主板背面)的结构示意图;图6为接触点的焊盘示意图。标号说明1-显不屏窗口,2-前壳,3-导电胶,4-按键,5-焊盘,6-按键板,7-按键焊盘,8-后壳,9-主板,10-芯片,51-第一焊盘,52-第二焊盘。
具体实施例方式以下将结合附图和具体实施例对本发明做进一步详细说明实施例I :一种安全支付终端的开盖数据自毁方法,采用基于导电胶的开盖检测方法检测安全支付终端是否被打开;参见图4和图5.所述的基于导电胶的开盖检测方法,是指在安全支付终端的电路板的正面设置至少一个接触点,且在安全支付终端的电路板的背面设置至少一个接触点;电路板包括主板和按键板。在安全支付终端的前壳和后壳上与接触点对应的位置涂有导电胶;所述的接触点包括两个互不相连的焊盘,如图6所示;当前壳和后壳合上时(即正常状态时),接触点的两个焊盘被导电胶导通,此时接触点为导通状态;否则,当前壳或后壳被打开,接触点的两个焊盘之间为断路,此时接触点为断路状态;若安全支付终端的微处理器检测到任一接触点处于断路状态,则判断安全支付终端的前盖或后盖被非法打开,安全支付终端内的微处理器启动数据自毁操作。还采用基于光电检测的开盖检测方法检测安全支付终端是否被打开;所述的基于光电检测的开盖检测方法为在安全支付终端内设置有光敏管;当安全支付终端的前壳或后壳被打开时,光敏管的状态由截止变为导通;安全支付终端的微处理器检测到光敏管的状态变化,则启动数据自毁操作。相关流程图参照图I.
所述的微处理器定时检测备用电池的电量,如果电量小于总电量的15%,则微处理器启动数据自毁操作。所述的数据自毁操作包括自动删除用于金融支付的密钥。所述的数据自毁操作还包括使得安全支付终端的微处理器进入“死锁”状态。一种安全支付终端的开盖数据自毁装置,包括微处理器、存储器和至少2个接触点;在安全支付终端的前壳和后壳上与接触点对应的位置涂有导电胶(或者说在安全支付终端的前壳和后壳上与接触点对应的位置设有导电胶垫);
所述的接触点包括两个互不相连的焊盘;每一个接触点的第一个焊盘(即第一焊盘)接地,每一个接触点的第二个焊盘(即第二焊盘)通过第一上拉电阻Rll接电源正极;所述的第二个焊盘接微处理器的第一外部中断端口(Kdetect端);存储器内存储有用于金融支付的密钥。图2是对两个接触点进行检测的电路图。每一个接触点就相当于图2中的一个开关(SI 或 S2)。安全支付终端的开盖数据自毁装置还包括至少一个光敏管检测电路;如图3所
/Jn o所述的光敏管检测电路包括光敏管和N-MOS管Ql ;光敏管由二极管与三极管(NPN三极管)组成;二极管的正极通过第二上拉电阻R3接直流电源的正极;二极管的负极接地;三极管的C极通过第三上拉电阻R2接直流电源的正极;三极管的E极接N-MOS管的G极;三极管的E极还经过第五电阻R4接地;N-M0S管的D极经第四上拉电阻Rl接直流电源的正极;N-M0S管的S极接地;N-M0S管的D极还与微处理器的第二外部中断端口(SENSOR端)相接。在安全支付终端内还设有备用电池及备用电池电量检测电路,这一部分为现有成熟技术。具体来说,开盖自毁密钥和关键数据的机制,总体上包含了以下3个部分,一旦检测到外壳被打开或者被破袭,则立即进行自毁动作。一旦备用电池电量即将耗尽,则立即进行自毁动作。部分I:备用电源设备首先必须拥有备份电池,此备份电池在设备没有外接电源的时候对主控CPU处理器和监控模块供电,从而保证设备的检测部分和自毁部分电路的正常运行,此备份电池至少需要满足以下两个条件I)可充电电池可循环使用,在设备接入外部电源正常使用的时候,即可对内部备份电池进行充电动作,且充电行为安全可靠。2)持续使用日期长备份电池至少可以单独使用3年以上。(仅供CPU和检测模块)。这样才可以在比较长的时间内保证CPU通过检测模块检测外壳状态。综合考虑,设备必须自带一颗至少260mAH以上的锂聚合物充电电池或是可充电锂纽扣电池,可以满足我们对备用电池的需求。锂聚合物电池充电安全可靠,自放电率低。充满一次电,可以满足设备3年以上的检测工作时间。部分2 :检测开盖手段检测开盖的手段是自毁敏感信息和密钥的前提条件,只有正确、灵敏的检测到外壳被打开或者破袭自毁有两种检测方式,两种方式相辅相成,共同对外部开盖和恶意破袭进行检测。(I)设备在前盖和后盖分别设计两个接触点,接触点上方相对应位置的外壳处留有导电胶,有当设备合盖并打好螺丝,则外壳处的导电胶被紧紧压合,请参看附图二,在这种接触点被导电胶压合的状态下,CPU管脚检测到的电平为低电平。可以确定,当外壳一直处于闭合状态时,检测管脚一直检测为低电平,在这种情况下,为了省电,CPU —直处于休眠状态,功耗在微安级,最大限度的延长后备电源的使用时间,一旦外壳被外力非法打开,夕卜 壳上的导电硅胶离开触点,在检测管脚上会产生一个从低变高的上升沿外部中断唤醒CPU并通知CPU外壳已经被拆开,这种检测手段构造简单,成本低,加工难度低,可以应对常规的拆壳手段,如正常将设备螺丝打开,将前盖或者后盖拿掉,用这种方式就可很轻易的检测到开盖。但是如果潜在的恶意人员经过一段时间的摸索,或者拆过几个设备后,发现了导电硅胶的位置,那么,完全可以不用正常的拆机手段,进而用破袭的方式,比如在芯片上方直接开“天窗”就可直接避开这种方式的开盖检测。在这种情况下,为了有效探测外部对设备的破袭,设备同时增加开盖检测手段2就很有必要了。(2)由于敏感信息和主控密钥放置于安全芯片之内,为了保护安全芯片附近的外壳被恶意破袭后能够有效的被检测出来,引入光敏管(SG-2BC),光敏管总共有4个脚,内部相当于有一个对光敏感的二极管和一个三极管,请参看附图三,其原理是光敏管内部的光敏二极管管脚有电源供应,且有光线照射时,控制内部三极管饱和导通,当没有光线照射时,三极管为截止状态,由于引入了光敏管,当外壳被恶意破袭打开时,设备内部从无光变成有光状态,光敏管状态改变,从而导致光敏管中三极管从截止状态变为导通状态,外部的QlN-MOS管的栅极平时由于三极管的截止而保持低电平,Ql为截止状态,当光敏管中的三极管从截止变为导通状态,可在外部的Ql N-MOS管栅极引入一个高电平,使QlN-MOS从截止变为导通状态,这样就可以把CPU探测SENSOR管脚上的电平从高电平变为低电平,从而在产生一个下降沿的外部中断,该中断将唤醒睡眠状态的CPU,从而让CPU检测到外壳被恶意破袭。部分3:自毁当CPU通过部分2的检测手段获知目前外壳已经被打开或者被破袭,如果部分I的备用电源有效或者电力充足,设备立即进入工作状态,在极短的时间内(小于I秒)删除其内部存储的关键密钥、客户信息、银行私密信息、交易记录以及其他的敏感信息,并在程序中进入“死锁”状态,即对外部任何正常的指令、操作均不回应的状态,(芯片本身没有硬件锁死状态,是通过软件实现的,实际上只是在软件中加入一个标志位,如果进入“死锁”,那么在软件处理中就不再理会任何外部指令),如果拥有显示屏等人机交互界面,则提示,设备已经自毁,请返厂处理。设备主控CPU拥有AD检测功能和时钟功能,每隔I天会启动一次AD检测功能对部分I的备用电源电量做一次检测,如果电量已经接近耗尽(小于15 %电量),那么证明用户已经接近3年没有使用过该设备或使用频率极低导致后备电源电量耗尽,那么CPU将自启动后直接删除掉密钥并进入软件“死锁”状态,防止因部分I的后备电源彻底没电后,所有的自检措施失效。泄露客户的关键敏感信息和密钥。当设备进行了自毁操作,客户只有重新返回发放设备的银行,重新烧入密钥和各类敏感信息,并利用专门的工具让设备退出软件“死锁”状态,才能继续使用。安全支付终端拥有设备后备电池,且后备电池采用锂聚合物电池或锂纽扣电池。后备电池充满电后,可连续工作3年以上(仅供CPU和检测模块)。安全支付终端的电路板上拥有和外壳相关联的硅胶按键和印制板铜箔电路等。一旦外壳的前盖或者后盖被打开,此类开关电路就会产生电平变化,从而唤醒CPU删除密钥 。一旦后备电池电量低于一定程度,则安全支付终端自动删除敏感密钥和数据,以免后备电池彻底耗尽后,各项检测手段无法进行,从而导致敏感信息被泄露。
权利要求
1.一种安全支付终端的开盖数据自毁方法,其特征在于,采用基于导电胶的开盖检测方法检测安全支付终端是否被打开; 所述的基于导电胶的开盖检测方法,是指在安全支付终端的电路板的正面设置至少一个接触点,且在安全支付终端的电路板的背面设置至少一个接触点; 在安全支付终端的前壳和后壳上与接触点对应的位置涂有导电胶; 所述的接触点包括两个互不相连的焊盘;当前壳和后壳合上时(即正常状态时),接触点的两个焊盘被导电胶导通,此时接触点为导通状态;否则,当前壳或后壳被打开,接触点的两个焊盘之间为断路,此时接触点为断路状态; 若安全支付终端的微处理器检测到任一接触点处于断路状态,则判断安全支付终端的前盖或后盖被非法打开,安全支付终端内的微处理器启动数据自毁操作。
2.根据权利要求I所述的安全支付终端的开盖数据自毁方法,其特征在于,还采用基于光电检测的开盖检测方法检测安全支付终端是否被打开; 所述的基于光电检测的开盖检测方法为在安全支付终端内设置有光敏管;当安全支付终端的前壳或后壳被打开时,光敏管的状态由截止变为导通;安全支付终端的微处理器检测到光敏管的状态变化,则启动数据自毁操作。
3.根据权利要求2所述的安全支付终端的开盖数据自毁方法,其特征在于,所述的微处理器定时检测后备电池的电量,如果电量小于总电量的15 %,则微处理器启动数据自毁操作。
4.根据权利要求1-3任一项所述的安全支付终端的开盖数据自毁方法,其特征在于,所述的数据自毁操作包括自动删除用于金融支付的密钥。
5.根据权利要求4所述的安全支付终端的开盖数据自毁方法,其特征在于,所述的数据自毁操作还包括使得安全支付终端的微处理器进入“死锁”状态。
6.一种安全支付终端的开盖数据自毁装置,其特征在于,包括微处理器、存储器和至少2个接触点;在安全支付终端的前壳和后壳上与接触点对应的位置涂有导电胶; 所述的接触点包括两个互不相连的焊盘;每一个接触点的第一个焊盘接地,每一个接触点的第二个焊盘通过第一上拉电阻(Rll)接电源正极;所述的第二个焊盘接微处理器的第一外部中断端口(Kdetect端);存储器内存储有用于金融支付的密钥。
7.根据权利要求6所述的安全支付终端的开盖数据自毁装置,其特征在于,还包括至少一个光敏管检测电路; 所述的光敏管检测电路包括光敏管和N-MOS管(Ql);光敏管由二极管与三极管(NPN三极管)组成;二极管的正极通过第二上拉电阻(R3)接直流电源的正极;二极管的负极接地; 三极管的C极通过第三上拉电阻(R2)接直流电源的正极;三极管的E极接N-MOS管的G极;三极管的E极还经过第五电阻(R4)接地;N-M0S管的D极经第四上拉电阻(Rl)接直流电源的正极;N-M0S管的S极接地;N-M0S管的D极还与微处理器的第二外部中断端口(SENSOR端)相接。
8.根据权利要求6或7所述的安全支付终端的开盖数据自毁装置,其特征在于,在安全支付终端内还设有后备电池及后备电池电量检测电路。
全文摘要
本发明公开了一种安全支付终端的开盖数据自毁装置及方法,所述的安全支付终端的开盖数据自毁装置包括微处理器、存储器和至少2个接触点;在安全支付终端的前壳和后壳上与接触点对应的位置涂有导电胶;还包括至少一个光敏管检测电路;该安全支付终端的开盖数据自毁装置及方法易于实施、安全性高、成本低。
文档编号G07F7/10GK102968854SQ20121049883
公开日2013年3月13日 申请日期2012年11月29日 优先权日2012年11月29日
发明者曾立志, 陈伏清, 陈瑾, 高晓飞, 贺清生, 彭先林, 马骥, 官峰 申请人:长城信息产业股份有限公司, 湖南长城信息金融设备有限责任公司