智能終端PIN輸入安全的要求與實現

汪 毅

(中國銀聯股份有限公司，上海 200135)

智能終端PIN輸入安全的要求與實現

汪 毅

(中國銀聯股份有限公司，上海 200135)

本文介紹了一種基于Android智能終端上PIN輸入的安全要求和設計方法，解決由于Android漏洞可能產生的PIN輸入安全風險。

Android；UPTS2.0；PCI；智能終端；POS；國密

Abstract:This article presents a security requirement and implementation method of PIN-Entry based on android terminal to solve the PIN-Entry security risk caused by android vulnerability.

Keywords:Android; UPTS2.0; PCI; Intelligent Terminal; POS; Commercial Cryptography

1 引言

隨著電子技術及移動互聯網的發展，智能POS終端由于性能強大、人機交互舒適便捷等諸多優點，正在逐步取代傳統POS終端，成為金融支付終端發展的主要趨勢。

智能終端大都采用Android開放操作系統，由于其源特性，可能存在各類安全漏洞，會對交易安全產生威脅。因此智能終端需符合UPTS2.0等相關安全標準要求，終端的PIN輸入需要保護，保障金融支付安全。

2 UPTS2.0對智能終端的安全要求

智能終端作為支付環節的重要一環，其安全技術十分重要。中國銀聯于2014年發布了新的銀行卡受理終端安全規范UPTS2.0，并每年根據實際情況不定期更新規范。按照2017年發布的最新規范要求，智能終端需滿足以下內容：

⊙ 模塊一：物理安全。

⊙ 模塊二：邏輯安全。

⊙ 模塊三：聯機PIN安全。

⊙ 模塊四：脫機PIN安全。

⊙ 模塊五：基礎安全。

⊙ 模塊六：開發協議。

⊙ 模塊七：賬戶數據保護。

模塊一的物理安全要求設備檢測到攻擊，設備立刻不可操作，并且立即自動清除保存的敏感數據，并且保證這些敏感數據不可被恢復。所具備的機制保證能夠抵御物理方式的侵入，包括但不限于：鉆孔、激光、化學腐蝕、打開蓋子等。針對智能終端，這就要求觸屏上輸入PIN時，觸屏的數據不能被獲取，因此需要對觸屏采取針對性的防護措施。

3 系統硬件設計

3.1 總體設計

智能設備一般由應用處理器（AP）和安全處理器（SE）兩個CPU組成。AP采用高通曉龍210，主要運行Android系統，包含4G、Wi-Fi，液晶、觸屏、攝像頭等；SE采用NXP高性能Cortex M4內核的K21，主要處理和金融相關功能，包含密鑰、賬戶、PIN、IC卡、磁卡和非接卡等。AP和SE之間通過高速UART進行數據交互。系統框圖如圖1所示。

圖1 系統框圖

3.2 物理安全

3.2.1 入侵檢測

智能終端采用了符合UPTS2.0和PCI等國際國內安全標準組織認可的安全CPU，提供了完備健全的物理入侵檢測和響應機制。

安全CPU應包含以下安全機制，Tamper監測電路，電壓和溫度監測。以上機制保證了一旦觸發攻擊響應機制，會立即擦除密鑰等敏感信息。

3.2.2 PIN輸入的實現方式

智能POS的PIN一般在觸屏上輸入，而觸屏的實現方式主要有兩種方式：

一是PIN輸入的觸屏由AP控制，Android系統可直接獲取PIN輸入內容。Android是基于Linux內核，支持MMU機制，可以有效實現用戶空間與內核空間的內存隔離，防止應用程序直接訪問硬件相關的任何資源，杜絕應用程序直接接觸敏感數據的可能性。

二是PIN輸入的觸屏在AP和SE之間切換，由SE控制物理開關切換，如圖2所示。在需要輸入PIN時，由SE讀取PIN內容，AP無法獲取PIN輸入，從物理上隔離，防止Android漏洞引起的PIN泄漏。

綜合考慮上述兩種實現方式，為了簡化硬件設計，提高系統可靠性，采用方案一觸屏由AP控制，單需要對Android系統進行深度定制。

圖2 觸屏控制示意圖

4 系統軟件設計

4.1 Android系統優化

對Android系統進行大量的定制：屏蔽ADB，關閉調試接口，封堵后門和漏洞，權限管理，以增強系統的安全性。

引入專用的“防root機制”，所有需要ROOT權限的模塊必須經過簽名并加入信任白名單。

圖3 Android系統架構改動示意圖

4.2 固件與應用保護

采用系統安全啟動和引導：AP和SE自帶數字簽名驗證機制，從引導層開始實施數字驗簽；公鑰預置在熔絲或者OTP區域，物理上防篡改；從最根一級的ROM BOOT開始，對下級鏡像逐級認證，形成完整的信任鏈，防止系統鏡像被隨意篡改。

4.3 安全算法

智能終端基于安全處理器上實現了DES/TDES，RSA，SHA，SM2/SM3/SM4等加密算法，符合ISO11568、ANSI X9.24、《銀聯卡密碼算法使用與密鑰管理規范》等國際國內密鑰管理規范的密鑰管理機制，保證密鑰生命周期終端相關環節的安全。

4.4 PIN輸入安全防護

為確保觸屏PIN輸入過程的安全，采用以下方法：

（1）PIN輸入時，數字鍵盤位置是隨機的，攻擊者無法探測到PIN的內容。

（2）PIN明文只在內核層的觸屏PIN輸入硬件驅動中出現，通過MMU機制隔離，防止被其他程序獲取到明文PIN。

（3）AP端將PIN明文加密后傳輸給SE端。PIN在SE端使用PIN KEY完成加密后返回給AP并最終上送交易后臺。

5 結束語

隨著移動支付的發展，以及銀聯對閃付、二維碼支付等新型支付方式的大力推廣，智能POS也必將迎來新的發展機遇。因此更需加強對持卡人PIN的保護，使其符合UPTS2.0和PCI等金融安全規范對智能終端的要求，防范金融風險。本文所采用的AP+SE的架構以及對Android系統的深度定制來實現PIN輸入安全防護，是對智能終端系統設計方案的有力補充，經實際產品化驗證，是一種十分可行的方案。

[1] Q/CUP XXX 銀聯卡受理終端安全規范．https://cert.unionpay.com/

[2] JR/T 0120-016銀行卡受理終端安全規范．http://www.pbc.gov.cn/

[3] 銀行卡終端密碼檢測規范．http://www.oscca.gov.cn/

[4] Payment Card Industry PTS POI Derived Test Requirements, v5.0，https://www.pcisecuritystandards.org

[5] 沈弘．基于ARM的嵌入式無線POS系統的研究[J]．消費電子，2013

[6] 80-N6366-1_C_MSM7x27A_MSM7x25A_Secure_Boot_Requirement，http://www.qualcomm.cn/

劉利華副部長出席無線電管理重點工作推進座談會暨十九大無線電安全保障動員部署會

8月24～25日，工業和信息化部無線電管理局（國家無線電辦公室）在內蒙古自治區呼和浩特市組織召開無線電管理重點工作推進座談會暨十九大無線電安全保障動員部署會。工業和信息化部副部長劉利華出席會議并講話。內蒙古自治區政府常軍政副主席出席會議并致辭。

劉利華在講話中對上半年全國無線電管理工作給予了充分肯定，并對推進下半年重點工作作出指示：一是在“抓落實”上下功夫，把《中華人民共和國無線電管理條例》（以下簡稱《條例》）宣貫工作引向深入，進一步夯實宣貫《條例》的思想基礎，堅持配套規章制度建設要“實”，行政執法要“實”，《條例》宣傳要“實”。二是在“保安全”上敢擔當，全力保障黨的十九大無線電安全。要高度重視十九大無線電安全保障工作的重要性，以首都地區無線電用頻安全為保障重點、以津冀地區無線電安全保障為防護屏障、以全國電磁環境安全有序為重要任務，細化方案，預防為先，加強配合，提升應急處突能力，全力以赴做好十九大無線電安全保障工作。三是在“轉方式”上求突破，切實提高頻率資源管理的精細化水平。要拓展工作視野，提高工作站位，站在服務改革發展全局的高度謀劃頻率管理工作。盡快修訂發布《中華人民共和國無線電頻率劃分規定》。進一步加快5G系統、車聯網、工業互聯網等用頻規劃，貫徹落實好《無線電頻率使用許可管理辦法》，穩步推進頻譜資源市場化配置試點。四是在“重績效”上出實招，統籌做好“十三五”規劃落實和頻占費資金使用管理。強化“十三五”規劃任務分解和落地，按照時間節點逐步推進。嚴格頻占費的合規使用，加強對資金使用情況的監督問效。加強固定資產管理，要加快出臺相關制度標準，進一步規范管理制度，提高工作的科學性、規范性。劉利華特別強調，黨的十九大即將召開，全國無線電管理機構要站在講政治、講大局的高度，以高度的責任心和擔當精神，切實落實好十九大無線電安全保障工作各項任務，以優異成績迎接黨的十九大勝利召開。

無線電管理局謝遠生局長對與會代表在座談討論中提出的無線電管理有關問題進行了小結，并指出，下半年工作要加強頻率管理、臺站管理改革創新，強化“十三五”規劃推進和落實，按照劉利華副部長的指示要求，扎實做好無線電管理各項工作，特別是十九大無線電安全保障工作。

會上，部無線電管理局的相關同志作了專題介紹，部分省市無線電管理機構和國家無線電監測中心的代表作了會議交流發言。

各省（區、市）無線電管理機構、計劃單列市無線電管理機構負責同志，全軍電磁頻譜管理委員會辦公室、預備役電磁頻譜管理中心，國家無線電監測中心（國家無線電頻譜管理中心）、中國信息通信研究院、中國電子信息產業發展研究院、國家無線電頻譜管理研究所、中國無線電協會等單位相關負責同志參加了此次會議。

The Requirements and Implementation of PIN-Entry Security for Intelligent Terminals

Wang Yi
(China Unionpay, Shanghai, 200135)

10.3969/J.ISSN.1672-7274.2017.09.022

TP929.5文獻標示碼：A

1672-7274（2017）09-0055-03