[发明专利]基于Android系统智能POS安全系统及启动、数据管控方法

说明书

技术领域

本发明涉及电子支付领域，尤其涉及一种基于Android系统智能POS安全系统及启动、数据管控方法。

背景技术

传统销售点终端，即传统POS机，是商场、超市广泛应用的一种金融电子支付结算装置。该传统POS机基于专用的硬件平台和封闭的软件系统，采用实体键盘来进行密码输入，仅能完成常规或定制化的金融支付功能。例如购买商场、超市的商品时，收银员使用该类POS机输入支付金额，消费者在该类POS机上刷卡实现支付功能，不能用于购买火车票、飞机票等云支付应用。虽然传统POS机稳定安全，但系统落后、性能差，用户体验、开放性和扩展性也都较差，其软硬件平台性能上无法满足云支付等新兴支付业务的功能需求。

相对传统POS而言，Android操作系统是智能操作系统，具备丰富的功能，很好的用户体验、可扩展性、开放性。基于Android操作系统的智能POS终端，融合了传统POS支付终端所具备的支付功能，又具有很好的用户体验和可扩展性，非常适合云支付等新兴支付业务的功能需求。但是由于Android系统软硬件平台的开放性，在应用、系统和硬件层面都存在安全漏洞，如APP容易被嵌入后门，操作系统安全性存在漏洞，ROOT权限容易被篡改，这些都对支付安全性带来了很大挑战。

按照金融行业安全规范要求，银行加解密秘钥、用户密码、磁条/IC卡等用户的账号数据都需要受到严格的保护。但是，Android系统固有的应用模式和安全性缺陷，基于该系统构建一个完整连续的防线极为困难。比如，在最基本的密码输入过程中，黑客可以轻易利用Android系统应用层、框架层、驱动层或硬件层存在的安全漏洞，在触屏输入、显示、保存、传输各个环节，截取相关数据；具备Root权限的Android应用，可以获得所有核心数据包括银行加解密秘钥等。因此，构建于Android开放系统之上的智能POS，很难满足金融行业安全规范要求。

某些智能POS产品采用定制Android系统来增强操作系统底层的安全性，禁止Root，禁止未签名的APP安装和加载，将支付相关应用和其它应用隔离等方法来提升安全性，但将散失Android操作系统开放性、可扩展性、甚至用户体验，开发及安全认证周期长，而且，仍不可避免存在安全风险。

发明内容

本发明的目的在于提供一种解决上述问题的基于Android系统智能POS安全系统及启动、数据管控方法，该系统有效保护了银行加解密秘钥、用户密码和账号数据等交易敏感信息，并有效隔离了这些敏感数据与Android系统的联系，同时，提供签名验证机制有效保护了Android系统和APP的程序的完整性和合法性，从而确保了基于Android系统的智能POS的支付安全性。

为实现上述目的，本发明的技术方案是：一种基于Android系统智能POS安全系统，包括应用CPU及与该应用CPU连接的安全CPU，所述应用CPU还与通讯模块、显示屏、内存存储器连接，所述安全CPU还与触摸屏、接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器、物理安全电路连接；

所述安全CPU用于实现安全防护并处理安全相关数据，具体包括：驱动所述物理安全电路，以防护对设备的物理攻击；通过所述接触IC卡读卡器、非接触IC卡读卡器、磁卡读卡器获取用户银行卡账号数据；存储和管理加解密秘钥；通过所述触摸屏，获取用户PIN输入，并在安全CPU内部完成PIN加密、用户账号数据加密、交易报文签名；

所述应用CPU用于实现：运行Android系统以及支付APP；所述应用CPU还能在用户PIN输入过程结束后，访问与安全CPU连接的触摸屏。

在本发明一实施例中，还包括一与所述安全CPU连接的后备电池，以便于安全CPU不间断供电。

在本发明一实施例中，所述对设备的物理攻击包括拆机、电路篡改、信号探测、环境条件和工作条件改变的攻击。

在本发明一实施例中，所述应用CPU还能够通过安全CPU访问触摸屏，具体实现过程如下：

步骤1：应用CPU通过与安全CPU连接的通讯接口，发指令给安全CPU；

步骤2：安全CPU通过与触摸屏的通讯接口，将应用CPU的指令传递给触摸屏，获取触摸屏返回的触摸信息；

步骤3：安全CPU将获取的触摸信息通过与应用CPU连接的通讯接口，发送给应用CPU；

且在用户PIN输入过程中，安全CPU接管触摸屏控制并获取用户PIN输入，仅当PIN输入过程结束后，应用CPU访问触摸屏的相关指令才有效。