一种智能POS的远程管理系统及方法与流程

本发明涉及对智能pos安全相关配置进行监控和管理的技术领域，具体涉及一种智能pos的远程管理系统及方法。

背景技术：

智能pos(smartpointofsales)机相对于传统pos及而言是一种全新产品，其主要功能除了传统pos机包含的扫描一维码、刷卡之外，还包括扫描二维码、会员卡券的验证以及结合后端的crm系统进行客户订单精细化管理和大数据分析等功能。

与传统pos相比，智能pos硬件配置高，具备开放的智能操作系统，具备安装其它各种智能软件的能力，能够加载多种业务，满足众多行业用户的各种业务需求，还能够与收银系统，管理系统，会员系统连接，来实现不同系统之间的信息联动。智能pos将“商业管理、营销管理、渠道支付方式、供应链金融、大数据分析技术”融为一体的应用平台模式，除了解决最为传统的支付收银功能外，在提升用户体验、提高经营效率、解决资金困难、维护客户关系方面通过扩展应用支持都可提供相应的解决方案。

由于智能pos具备多应用的能力，商户在使用时仅需要将具有相应功能的应用安装在智能pos上即可。当前的智能pos大多搭载例如android操作系统这样的智能操作系统之上，系统本身的安全性就需要增强，同时智能pos上也会安装一些除支付之外的其它应用，如何保证这些应用的安全性也是个安全问题。现有的技术方案，例如增强智能pos操作系统底层的安全性，禁止root，只下载和安装特定应用商店的应用软件，在一定程度上可以缓解部分安全问题。但是安全更多的是管理问题。当前部分支付机构制定了智能pos的终端安全规范，也有检测机构依据这些规范对智能pos进行安全检测。但是，检测机构只对送检的样本负责，也并不能代表厂商发布的产品最终是否符合相应的安全规范。例如某些厂商的发布的pos机存在技术缺陷，不具备拆机即毁功能，购买者可自行改装以获取消费者的敏感信息。需要对发布的智能pos进行远程监控和管理，保障智能pos使用时符合相应的安全和业务规范，保护消费者和智能pos发布者的切身利益。

技术实现要素：

针对现有技术中存在的缺陷，本发明的目的在于提供一种智能pos的远程管理系统及方法，能够动态的对智能pos的状态进行远程监控。

为达到以上目的，本发明采取的技术方案是：

一种智能pos的远程管理系统，包括：

可信执行环境tee，所述可信执行环境tee包括设备管理可信应用模块；

智能操作系统，所述智能操作系统包括tee客户端应用编程接口api模块和设备管理客户端模块，所述tee客户端应用编程接口api模块用于实现所述设备管理客户端模块和所述设备管理可信应用模块的通信，所述设备管理客户端模块用于获取智能pos平台信息；

所述设备管理可信应用模块用于对所述智能pos平台信息进行加密并签名；

设备管理后台，所述设备管理后台与所述设备管理客户模块之间建立安全通道，所述设备管理后台用于验证加密并签名的智能pos平台信息，根据智能pos平台信息生成设备配置指令，并对设备配置指令进行加密并签名；

所述设备管理可信应用模块还用于验证加密并签名后的设备配置指令的签名值，并在验证通过后，对设备配置指令进行解密；

设备管理客户端模块还用于根据解密后的设备配置指令进行智能pos配置，得到智能pos的配置结果；

所述设备管理可信应用模块还用于将智能pos的配置结果进行加密并签名，并将加密并签名后的配置结果发送至所述设备管理后台。

在上述技术方案的基础上，所述可信执行环境tee还包括安全内核，所述安全内核用于加载所述智能操作系统并计算所述智能操作系统的内核摘要值。

在上述技术方案的基础上，所述安全内核采用哈希算法计算所述内核摘要值。

在上述技术方案的基础上，所述远程管理后台采用安全套接层ssl或者传输层安全tls协议与所述设备管理客户模块进行双向认证并建立所述安全通道。

一种智能pos的远程管理系统的管理方法，具体步骤如下：

s1，智能pos正常启动后，设备管理客户端模块获取智能pos平台信息，并通过所述tee客户端应用编程接口api模块将所述智能pos平台信息转发至所述设备管理可信应用模块；

s2，所述设备管理可信应用模块对所述智能pos平台信息进行加密并签名，并通过所述tee客户端应用编程接口api模块将加密后的智能pos平台信息和签名值转发至所述设备管理客户端模块，设备管理客户端模块将加密后的智能pos平台信息和签名值发送给设备管理后台；

s3，所述设备管理后台验证所述签名值，若验证未通过，则转入s7，若验证通过，则对加密后的智能pos平台信息进行解密，并对解密后的智能pos平台信息进行验证，并根据验证结果生成设备配置指令；

s4，设备管理后台对设备配置指令进行加密并签名后发送至所述设备管理客户端模块，并通过所述tee客户端应用编程接口api模块将加密后的设备配置指令和签名值转发至所述设备管理可信应用模块；

s5，所述设备管理可信应用模块验证所述签名值，若验证未通过，则转入s7，若验证通过，则对加密后的所述设备配置指令进行解密，并通过所述tee客户端应用编程接口api模块将解密后的设备配置指令转发至所述设备管理客户端模块；

s6，所述设备管理客户端模块根据解密后的设备配置指令对智能pos进行配置，配置完成后，将配置结果发送至所述设备管理可信应用模块，设备管理可信应用模块对配置结果进行加密并签名，并通过所述tee客户端应用编程接口api模块将加密并签名后的配置结果转发至所述设备管理客户端模块，再发送至所述设备管理后台；

s7，提示存在安全风险。

在上述技术方案的基础上，所述s3中对解密后的智能pos平台信息进行验证的具体步骤包括：

s31，所述设备管理后台验证所述智能pos平台信息中的设备出厂信息与所述设备管理后台内的送测版本信息是否一致，若否，则设备管理后台生成第一设备禁用指令并写入设备配置指令的相对位置处，若是，则所述设备配置指令与所述第一设备禁用指令的相对位置为空；

s32，所述设备管理后台验证所述智能pos平台信息中的操作系统是否被root，若是，则设备管理后台生成第二设备禁用指令并写入设备配置指令的相对位置处，若是，则所述设备配置指令与所述第二设备禁用指令的相对位置为空；

s33，所述设备管理后台验证所述智能pos平台信息中的位置信息与注册地址是否一致，若否，则设备管理后台生成第三设备禁用指令并写入设备配置指令的相对位置处，若是，则所述设备配置指令与所述第三设备禁用指令的相对位置为空；

s34，所述设备管理后台验证所述智能pos平台信息中的补丁版本号是否为最新，若否，则设备管理后台生成补丁更新配置指令并写入设备配置指令的相对位置处，若是，则所述设备配置指令与所述补丁更新配置指令的相对位置为空；

s35，所述设备管理后台验证所述智能pos平台信息中的时间和日期与设备管理后台的时间和日期是否相同，若否，则设备管理后台生成时间配置指令并写入设备配置指令的相对位置处，若是，则所述设备配置指令与所述时间配置指令的相对位置为空；

s36，所述设备管理后台验证所述智能pos平台信息中的联网通信参数是否合规，若否，则设备管理后台生成参数配置指令并写入设备配置指令的相对位置处，若是，则所述设备配置指令与所述参数配置指令的相对位置为空。

在上述技术方案的基础上，所述设备出厂信息包括操作系统版本号、内核摘要值、设备模块自检状态。

在上述技术方案的基础上，根据哈希算法计算内核摘要值。

在上述技术方案的基础上，所述可信执行环境tee还包括安全内核，在所述s1之前还包括以下步骤：

首先，智能pos上电进入安全启动状态，可信执行环境tee的安全内核启动，安全内核加载智能pos操作系统并计算智能pos操作系统的内核摘要值，通过存储在智能pos内的签名证书验证智能pos操作系统的完整性；

然后，安全内核判断智能pos操作系统是否完整，若完整，则智能pos操作系统启动，若不完整，则终止智能pos操作系统启动。

在上述技术方案的基础上，若所述设备配置指令为空，则所述设备管理客户端提示安全信息；

若所述设备配置指令的数据域中的第一设备禁用指令为非空，则所述设备管理客户端禁用智能pos，并提示用户设备出厂信息非法；

若所述设备配置指令的数据域中第二设备禁用指令为非空，则所述设备管理客户端禁用智能pos，并提示用户操作系统被root；

若所述设备配置指令的数据域中为第三设备禁用指令为非空，所述设备管理客户端禁用智能pos，并提示用户位置信息非法；

若所述设备配置指令的数据域中补丁更新配置指令为非空，则所述设备管理客户端进行智能pos的补丁更新；

若所述设备配置指令的数据域中时间配置指令为非空，则所述设备管理客户端进行智能pos的时间配置；

若所述设备配置指令的数据域中参数配置指令为非空，则所述设备管理客户端进行智能pos的联网通信参数配置。

与现有技术相比，本发明的优点在于：

本发明的智能pos的远程管理系统的设备管理后台通过移动互联网或者无线相容性认证wi-fi方式与智能pos连接，设备管理后台与设备管理客户端模块之间建立安全通道，验证加密并签名的智能pos平台信息，根据智能pos平台信息生成设备配置指令，并对设备配置指令进行加密并签名，从而实现对智能pos进行远程监控和管理，且在监控过程中通过一系列的加解密和验证操作，保障智能pos使用时符合相应的安全和业务规范，保护消费者和智能pos发布者的切身利益。

附图说明

图1为本发明实施例的系统框图；

图2为本发明实施例的方法流程图；

图3为本发明实施例中对智能pos平台信息进行验证的方法流程图。

具体实施方式

以下结合附图及实施例对本发明作进一步详细说明。

参见图1所示，本发明实施例提供一种智能pos的远程管理系统，包括可信执行环境tee、智能操作系统和设备管理后台。

可信执行环境tee包括设备管理可信应用模块和安全内核，安全内核用于加载智能操作系统并计算智能操作系统的内核摘要值，安全内核采用哈希算法计算内核摘要值。可信执行环境tee是与智能操作系统隔离的安全运行环境，位于智能pos主处理器中的安全区域，提供可信交互界面、密码运算环境和安全存储环境，为授权的可信应用软件提供安全的执行环境，通过执行、保护、保密、完整和数据访问权限实现端到端的安全，保证在可信的环境中进行敏感数据的存储、处理和保护，提高智能pos进行信息处理的安全性。

智能操作系统包括tee客户端应用编程接口api模块和设备管理客户端模块，tee客户端应用编程接口api模块用于实现设备管理客户端模块和设备管理可信应用模块的通信，且设备管理后台采用安全套接层ssl或者传输层安全tls协议与设备管理客户模块进行双向认证并建立安全通道，设备管理客户端模块用于获取智能pos平台信息。

设备管理可信应用模块用于通过预制的私钥对智能pos平台信息进行加密并签名，设备管理后台用于验证加密并签名的智能pos平台信息的签名值，验证通过后解密智能pos平台信息，并对解密后的智能pos平台信息进行验证，根据智能pos平台信息生成设备配置指令，并对设备配置指令进行加密并签名。

设备管理可信应用模块还用于验证加密并签名后的设备配置指令的签名值，并在验证通过后，对设备配置指令进行解密，设备管理客户端模块还用于根据解密后的设备配置指令进行智能pos配置，得到智能pos的配置结果，设备管理可信应用模块还用于将智能pos的配置结果进行加密并签名，并将加密并签名后的配置结果发送至设备管理后台。

设备管理后台通过移动互联网或者无线相容性认证wi-fi方式与智能pos连接，能够对智能pos进行远程监控和管理，且在监控过程中通过一系列的加解密和验证操作，保障智能pos使用时符合相应的安全和业务规范，保护消费者和智能pos发布者的切身利益。

参见图2所示，基于上述一种智能pos的远程管理系统的管理方法，具体步骤如下：

s1，智能pos安全启动后，设备管理客户端模块获取智能pos平台信息，并通过tee客户端应用编程接口api模块将智能pos平台信息转发至设备管理可信应用模块，其中，智能pos平台信息包括设备出厂信息、补丁版本号、root状态、联网通信参数、时间和日期状态和应用商店包名等，其中设备出厂信息包括操作系统版本号、内核摘要值、设备模块自检状态，设备模块包括不限于磁条卡读卡器、接触式ic卡读卡器、pin输入设备、硬件安全模块、打印机、二维码扫描设备等；

s2，设备管理可信应用模块对智能pos平台信息进行加密并签名，并通过tee客户端应用编程接口api模块将加密后的智能pos平台信息和签名值转发至设备管理客户端模块，设备管理客户端模块将加密后的智能pos平台信息和签名值发送给设备管理后台；

s3，设备管理后台验证签名值，若验证未通过，则提示存在安全风险，若验证通过，则对加密后的智能pos平台信息进行解密，并对解密后的智能pos平台信息进行验证，并根据验证结果生成设备配置指令，设备配置指令的格式为依次设置的第一设备禁用指令、第二设备禁用指令、第三设备禁用指令、补丁更新配置指令、时间配置指令和联网通信参数配置指令，其中s3中对解密后的智能pos平台信息进行验证的具体步骤包括：

s31，设备管理后台验证智能pos平台信息中的设备出厂信息与设备管理后台内的送测版本信息是否一致，若否，则设备管理后台生成第一设备禁用指令并写入设备配置指令的相对位置处，若是，则设备配置指令与第一设备禁用指令的相对位置为空；

s32，设备管理后台验证智能pos平台信息中的操作系统是否被root，若是，则设备管理后台生成第二设备禁用指令并写入设备配置指令的相对位置处，若是，则设备配置指令与第二设备禁用指令的相对位置为空；

s33，设备管理后台验证智能pos平台信息中的位置信息与注册地址是否一致，若否，则设备管理后台生成第三设备禁用指令并写入设备配置指令的相对位置处，若是，则设备配置指令与第三设备禁用指令的相对位置为空；

s34，设备管理后台验证智能pos平台信息中的补丁版本号是否为最新，若否，则设备管理后台生成补丁更新配置指令并写入设备配置指令的相对位置处，若是，则设备配置指令与补丁更新配置指令的相对位置为空；

s35，设备管理后台验证智能pos平台信息中的时间和日期与设备管理后台的时间和日期是否相同，若否，则设备管理后台生成时间配置指令并写入设备配置指令的相对位置处，若是，则设备配置指令与时间配置指令的相对位置为空；

s36，设备管理后台验证智能pos平台信息中的联网通信参数是否合规，若否，则设备管理后台生成参数配置指令并写入设备配置指令的相对位置处，若是，则设备配置指令与参数配置指令的相对位置为空。

s4，设备管理后台对设备配置指令进行加密并签名后发送至设备管理客户端模块，并通过tee客户端应用编程接口api模块将加密后的设备配置指令和签名值转发至设备管理可信应用模块；

s5，设备管理可信应用模块验证签名值，若验证未通过，则提示存在安全风险，若验证通过，则对加密后的设备配置指令进行解密，并通过tee客户端应用编程接口api模块将解密后的设备配置指令转发至设备管理客户端模块；

s6，设备管理客户端模块根据解密后的设备配置指令对智能pos进行配置，配置完成后，将配置结果发送至设备管理可信应用模块，设备管理可信应用模块对配置结果进行加密并签名，并通过tee客户端应用编程接口api模块将加密并签名后的配置结果转发至设备管理客户端模块，再发送至设备管理后台；其中，设备管理客户端模块根据解密后的设备配置指令进行智能pos配置的具体过程如下所示，

若设备配置指令为空，则设备管理客户端提示安全信息；

若设备配置指令的数据域中的第一设备禁用指令为非空，则设备管理客户端禁用智能pos，并提示用户设备出厂信息非法；

若设备配置指令的数据域中第二设备禁用指令为非空，则设备管理客户端禁用智能pos，并提示用户操作系统被root；

若设备配置指令的数据域中为第三设备禁用指令为非空，设备管理客户端禁用智能pos，并提示用户位置信息非法；

若设备配置指令的数据域中补丁更新配置指令为非空，则设备管理客户端进行智能pos的补丁更新；

若设备配置指令的数据域中时间配置指令为非空，则设备管理客户端进行智能pos的时间配置；

若设备配置指令的数据域中参数配置指令为非空，则设备管理客户端进行智能pos的联网通信参数配置。

在本发明实施例的智能pos的远程管理方法之前还包括以下步骤：

首先，智能pos上电进入安全启动状态，可信执行环境tee的安全内核启动，安全内核加载智能pos操作系统并根据哈希算法计算内核摘要值，通过存储在智能pos内的签名证书验证智能pos操作系统的完整性；

然后，安全内核判断智能pos操作系统是否完整，若完整，则智能pos操作系统启动，若不完整，则终止智能pos操作系统启动。进一步保证在智能pos操作系统启动前，保证智能pos操作系统的完整性和安全性，为后续的远程管理提供一个安全可靠的环境。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。