[发明专利]基于Android系统智能POS安全系统及启动、数据管控方法

权利要求书

1.一种基于Android系统智能POS安全系统，其特征在于：包括应用CPU及与该应用CPU连接的安全CPU，所述应用CPU还与通讯模块、显示屏、内存存储器连接，所述安全CPU还与触摸屏、接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器、物理安全电路连接；

所述安全CPU用于实现安全防护并处理安全相关数据，具体包括：驱动所述物理安全电路，以防护对设备的物理攻击；通过所述接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器获取用户银行卡账号数据；存储和管理加解密秘钥；通过所述触摸屏，获取用户PIN输入，并在安全CPU内部完成PIN加密、用户账号数据加密、交易报文签名；

所述应用CPU用于实现：运行Android系统以及支付APP；所述应用CPU还能在用户PIN输入过程结束后，访问与安全CPU连接的触摸屏；

所述应用CPU还能够通过安全CPU访问触摸屏，具体实现过程如下：

步骤1：应用CPU通过与安全CPU连接的通讯接口，发指令给安全CPU；

步骤2：安全CPU通过与触摸屏的通讯接口，将应用CPU的指令传递给触摸屏，获取触摸屏返回的触摸信息；

步骤3：安全CPU将获取的触摸信息通过与应用CPU连接的通讯接口，发送给应用CPU；

且在用户PIN输入过程中，安全CPU接管触摸屏控制并获取用户PIN输入，仅当PIN输入过程结束后，应用CPU访问触摸屏的相关指令才有效。

2.根据权利要求1所述的基于Android系统智能POS安全系统，其特征在于：还包括一与所述安全CPU连接的后备电池，以便于安全CPU不间断供电。

3.根据权利要求1所述的基于Android系统智能POS安全系统，其特征在于：所述对设备的物理攻击包括拆机、电路篡改、信号探测、环境条件和工作条件改变的攻击。

4.一种基于Android系统智能POS安全系统的启动方法，其特征在于：提供一基于Android系统智能POS安全系统，包括应用CPU及与该应用CPU连接的安全CPU，所述应用CPU还与通讯模块、显示屏、内存存储器连接，所述安全CPU还与触摸屏、接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器、物理安全电路连接；

所述安全CPU用于实现安全防护并处理安全相关数据，具体包括：驱动所述物理安全电路，以防护对设备的物理攻击；通过所述接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器获取用户银行卡账号数据；存储和管理加解密秘钥；通过所述触摸屏，获取用户PIN输入，并在安全CPU内部完成PIN加密、用户账号数据加密、交易报文签名；

所述应用CPU用于实现：运行Android系统以及支付APP；所述应用CPU还能在用户PIN输入过程结束后，访问与安全CPU连接的触摸屏；

所述基于Android系统智能POS安全系统的启动方法，包括如下步骤，

步骤S1：在设备启动时，安全CPU先启动，控制应用CPU与安全CPU的接口作为应用CPU的唯一启动源，且控制应用CPU使之暂不启动；

步骤S2：在安全CPU安全自检完成后，为应用CPU提供启动程序和顶级公钥，允许应用CPU启动；

步骤S3：应用CPU执行启动程序，并使用安全CPU提供的顶级公钥对存储于内存存储器的二级启动程序和二级公钥进行签名验证；

步骤S4：应用CPU执行二级启动程序，并用二级公钥对存储于内存存储器的Android系统程序和多个三级公钥进行签名验证；

步骤S5：应用CPU执行内存存储器的Android系统程序，并用对应的三级公钥分别对存储于内存存储器或下载的APP进行签名验证；

步骤S6：应用CPU执行APP，安全CPU则处理支付交易所有的敏感数据并为应用CPU提供敏感服务。

5.根据权利要求4所述基于Android系统智能POS安全系统的启动方法，其特征在于：所述签名验证采用SHA256数据摘要算法，并采用RSA2048或RSA4096数据签名算法。

6.根据权利要求4所述基于Android系统智能POS安全系统的启动方法，其特征在于：所述签名验证采用SM3数据摘要算法，并采用SM2数据签名算法。