智能终端PIN输入安全的要求与实现

Digital Communication World - - Industry Observation -

汪 毅(中国银联股份有限公司,上海 200135)

摘要:本文介绍了一种基于ANDROID智能终端上PIN输入的安全要求和设计方法,解决由于ANDROID漏洞可能产生的PIN输入安全风险。

关键词:ANDROID;UPTS2.0;PCI;智能终端;POS;国密d o I:10.3969/J.ISSN.1672-7274.2017.09.022

中图分类号:TP929.5 文献标示码:A 文章编码:1672-7274(2017)09-0055-03

The Requirements and Implementation of Pin-entry Security for Intelligent Terminals Wang Yi

(China Unionpay, Shanghai, 200135)

Abstract: This article presents a security requirement and implementation method of Pin-entry based on android terminal to solve the Pin-entry security risk caused by android vulnerability.

Keywords: Android; UPTS2.0; PCI; Intelligent Terminal; POS; Commercial Cryptography

1 引言

随着电子技术及移动互联网的发展,智能POS终端由于性能强大、人机交互舒适便捷等诸多优

点,正在逐步取代传统POS终端,成为金融支付终端发展的主要趋势。

智能终端大都采用Android开放操作系统,由于其源特性,可能存在各类安全漏洞,会对交易安全产生威

胁。因此智能终端需符合UPTS2.0等相关安全标准要求,终端的PIN输入需要保护,保障金融支付安全。

2 UPTS2.0对智能终端的安全要求

智能终端作为支付环节的重要一环,其安全技

术十分重要。中国银联于2014年发布了新的银行卡

受理终端安全规范UPTS2.0 ,并每年根据实际情

况不定期更新规范。按照2017年发布的最新规范要求,智能终端需满足以下内容: ⊙ 模块一:物理安全。

⊙ 模块二:逻辑安全。⊙ 模块三:联机PIN安全。

⊙ 模块四:脱机PIN安全。 ⊙ 模块五:基础安全。

⊙ 模块六:开发协议。⊙ 模块七:账户数据保护。模块一的物理安全要求设备检测到攻击,设备立刻不可操作,并且立即自动清除保存的敏感数据,并且保证这些敏感数据不可被恢复。所具备的机制保证能够抵御物理方式的侵入,包括但不限于:钻孔、激光、化学腐蚀、打开盖子等。针对智能终端,这就要求触屏上输入PIN时,触屏的数据不能被获取,因此需要对触屏采取针对性的防护措施。

3 系统硬件设计

3.1 总体设计

智能设备一般由应用处理器( AP)和安全处理器(SE)两个CPU组成。AP采用高通晓龙210,主要运行Android系统,包含4g、wi-fi ,液晶、触屏、摄

像头等;SE采用NXP高性能CORTEX M4内核的K21,主要处理和金融相关功能,包含密钥、账户、PIN、IC卡、磁卡和非接卡等。AP和SE之间通过高速

UART进行数据交互。系统框图如图1所示。

3.2 物理安全

3.2.1 入侵检测

智能终端采用了符合UPTS2.0和PCI等国际国

内安全标准组织认可的安全CPU,提供了完备健全

的物理入侵检测和响应机制。

安全Cpu应包含以下安全机制,tamper监测电

路,电压和温度监测。以上机制保证了一旦触发攻击响应机制,会立即擦除密钥等敏感信息。

3.2.2 PIN输入的实现方式

智能POS的PIN一般在触屏上输入,而触屏的

实现方式主要有两种方式:

一是PIN输入的触屏由Ap控制,android系统可直接获取Pin输入内容。android是基于linux内核,支持MMU机制,可以有效实现用户空间与内核

空间的内存隔离,防止应用程序直接访问硬件相关的任何资源,杜绝应用程序直接接触敏感数据的可能性。

二是PIN输入的触屏在AP和SE之间切换,由SE控制物理开关切换,如图2所示。在需要输入PIN 时,由SE读取PIN内容,AP无法获取PIN输入,从物理上隔离,防止Android漏洞引起的pin泄漏。

综合考虑上述两种实现方式,为了简化硬件设计,提高系统可靠性,采用方案一触屏由AP控制,单需要对Android系统进行深度定制。

4 系统软件设计

4.1 Android系统优化

对Android系统进行大量的定制:屏蔽adb,

关闭调试接口,封堵后门和漏洞,权限管理,以增强系统的安全性。

引入专用的“防root机制”,所有需要root权限

的模块必须经过签名并加入信任白名单。 4.2 固件与应用保护

采用系统安全启动和引导: AP和SE自带数字

签名验证机制,从引导层开始实施数字验签;公钥

预置在熔丝或者OTP区域,物理上防篡改;从最根一级的ROM BOOT开始,对下级镜像逐级认证,形

成完整的信任链,防止系统镜像被随意篡改。

4.3 安全算法

智能终端基于安全处理器上实现了DES/TDES, RSA , SHA , SM2/SM3/SM4等加密算法,符合ISO11568、ANSI X9.24、《银联卡密码算法使用与密

钥管理规范》等国际国内密钥管理规范的密钥管理

机制,保证密钥生命周期终端相关环节的安全。

4.4 PIN输入安全防护为确保触屏PIN输入过程的安全,采用以下方法: (1) PIN输入时,数字键盘位置是随机的,攻击者无法探测到PIN的内容。

(2) PIN明文只在内核层的触屏PIN输入硬件驱动中出现,通过MMU机制隔离,防止被其他程序获取到明文PIN。

(3)AP端将PIN明文加密后传输给SE端。PIN在SE端使用PIN KEY完成加密后返回给AP并最终上送交易后台。

5 结束语

随着移动支付的发展,以及银联对闪付、二维码支付等新型支付方式的大力推广,智能POS也必 将迎来新的发展机遇。因此更需加强对持卡人PIN

的保护,使其符合UPTS2.0和PCI等金融安全规范

对智能终端的要求,防范金融风险。本文所采用的Ap+se的架构以及对android系统的深度定制来实

现PIN输入安全防护,是对智能终端系统设计方案

的有力补充,经实际产品化验证,是一种十分可行的方案。■

参考文献

[1] Q/CUP XXX 银联卡受理终端安全规范.https://cert.unionpay.com/

[2] JR/T 0120-016银行卡受理终端安全规范.http://www.pbc.gov.cn/

[3] 银行卡终端密码检测规范.http://www.oscca.gov.cn/

[4] Payment Card Industry PTS POI Derived Test Requirements, v5.0,https://

www.pcisecuritystandards.org

[5] 沈弘.基于ARM的嵌入式无线POS系统的研究[J].消费电子,2013

[6] 80-N6366-1_c_msm7x27a_msm7x25a_secure_boot_requirement,

http://www.qualcomm.cn/

图1系统框图

图3 Android系统架构改动示意图

Newspapers in Chinese (Simplified)

Newspapers from China

© PressReader. All rights reserved.