汪 毅

(中國銀聯(lián)股份有限公司，上海 200135)

智能終端PIN輸入安全的要求與實現(xiàn)

汪 毅

(中國銀聯(lián)股份有限公司，上海 200135)

本文介紹了一種基于Android智能終端上PIN輸入的安全要求和設計方法，解決由于Android漏洞可能產(chǎn)生的PIN輸入安全風險。

Android；UPTS2.0；PCI；智能終端；POS；國密

Abstract:This article presents a security requirement and implementation method of PIN-Entry based on android terminal to solve the PIN-Entry security risk caused by android vulnerability.

Keywords:Android; UPTS2.0; PCI; Intelligent Terminal; POS; Commercial Cryptography

1 引言

隨著電子技術(shù)及移動互聯(lián)網(wǎng)的發(fā)展，智能POS終端由于性能強大、人機交互舒適便捷等諸多優(yōu)點，正在逐步取代傳統(tǒng)POS終端，成為金融支付終端發(fā)展的主要趨勢。

智能終端大都采用Android開放操作系統(tǒng)，由于其源特性，可能存在各類安全漏洞，會對交易安全產(chǎn)生威脅。因此智能終端需符合UPTS2.0等相關(guān)安全標準要求，終端的PIN輸入需要保護，保障金融支付安全。

2 UPTS2.0對智能終端的安全要求

智能終端作為支付環(huán)節(jié)的重要一環(huán)，其安全技術(shù)十分重要。中國銀聯(lián)于2014年發(fā)布了新的銀行卡受理終端安全規(guī)范UPTS2.0，并每年根據(jù)實際情況不定期更新規(guī)范。按照2017年發(fā)布的最新規(guī)范要求，智能終端需滿足以下內(nèi)容：

⊙ 模塊一：物理安全。

⊙ 模塊二：邏輯安全。

⊙ 模塊三：聯(lián)機PIN安全。

⊙ 模塊四：脫機PIN安全。

⊙ 模塊五：基礎安全。

⊙ 模塊六：開發(fā)協(xié)議。

⊙ 模塊七：賬戶數(shù)據(jù)保護。

模塊一的物理安全要求設備檢測到攻擊，設備立刻不可操作，并且立即自動清除保存的敏感數(shù)據(jù)，并且保證這些敏感數(shù)據(jù)不可被恢復。所具備的機制保證能夠抵御物理方式的侵入，包括但不限于：鉆孔、激光、化學腐蝕、打開蓋子等。針對智能終端，這就要求觸屏上輸入PIN時，觸屏的數(shù)據(jù)不能被獲取，因此需要對觸屏采取針對性的防護措施。

3 系統(tǒng)硬件設計

3.1 總體設計

智能設備一般由應用處理器（AP）和安全處理器（SE）兩個CPU組成。AP采用高通曉龍210，主要運行Android系統(tǒng)，包含4G、Wi-Fi，液晶、觸屏、攝像頭等；SE采用NXP高性能Cortex M4內(nèi)核的K21，主要處理和金融相關(guān)功能，包含密鑰、賬戶、PIN、IC卡、磁卡和非接卡等。AP和SE之間通過高速UART進行數(shù)據(jù)交互。系統(tǒng)框圖如圖1所示。

圖1 系統(tǒng)框圖

3.2 物理安全

3.2.1 入侵檢測

智能終端采用了符合UPTS2.0和PCI等國際國內(nèi)安全標準組織認可的安全CPU，提供了完備健全的物理入侵檢測和響應機制。

安全CPU應包含以下安全機制，Tamper監(jiān)測電路，電壓和溫度監(jiān)測。以上機制保證了一旦觸發(fā)攻擊響應機制，會立即擦除密鑰等敏感信息。

3.2.2 PIN輸入的實現(xiàn)方式

智能POS的PIN一般在觸屏上輸入，而觸屏的實現(xiàn)方式主要有兩種方式：

一是PIN輸入的觸屏由AP控制，Android系統(tǒng)可直接獲取PIN輸入內(nèi)容。Android是基于Linux內(nèi)核，支持MMU機制，可以有效實現(xiàn)用戶空間與內(nèi)核空間的內(nèi)存隔離，防止應用程序直接訪問硬件相關(guān)的任何資源，杜絕應用程序直接接觸敏感數(shù)據(jù)的可能性。

二是PIN輸入的觸屏在AP和SE之間切換，由SE控制物理開關(guān)切換，如圖2所示。在需要輸入PIN時，由SE讀取PIN內(nèi)容，AP無法獲取PIN輸入，從物理上隔離，防止Android漏洞引起的PIN泄漏。

綜合考慮上述兩種實現(xiàn)方式，為了簡化硬件設計，提高系統(tǒng)可靠性，采用方案一觸屏由AP控制，單需要對Android系統(tǒng)進行深度定制。

圖2 觸屏控制示意圖

4 系統(tǒng)軟件設計

4.1 Android系統(tǒng)優(yōu)化

對Android系統(tǒng)進行大量的定制：屏蔽ADB，關(guān)閉調(diào)試接口，封堵后門和漏洞，權(quán)限管理，以增強系統(tǒng)的安全性。

引入專用的“防root機制”，所有需要ROOT權(quán)限的模塊必須經(jīng)過簽名并加入信任白名單。

圖3 Android系統(tǒng)架構(gòu)改動示意圖

4.2 固件與應用保護

采用系統(tǒng)安全啟動和引導：AP和SE自帶數(shù)字簽名驗證機制，從引導層開始實施數(shù)字驗簽；公鑰預置在熔絲或者OTP區(qū)域，物理上防篡改；從最根一級的ROM BOOT開始，對下級鏡像逐級認證，形成完整的信任鏈，防止系統(tǒng)鏡像被隨意篡改。

4.3 安全算法

智能終端基于安全處理器上實現(xiàn)了DES/TDES，RSA，SHA，SM2/SM3/SM4等加密算法，符合ISO11568、ANSI X9.24、《銀聯(lián)卡密碼算法使用與密鑰管理規(guī)范》等國際國內(nèi)密鑰管理規(guī)范的密鑰管理機制，保證密鑰生命周期終端相關(guān)環(huán)節(jié)的安全。

4.4 PIN輸入安全防護

為確保觸屏PIN輸入過程的安全，采用以下方法：

（1）PIN輸入時，數(shù)字鍵盤位置是隨機的，攻擊者無法探測到PIN的內(nèi)容。

（2）PIN明文只在內(nèi)核層的觸屏PIN輸入硬件驅(qū)動中出現(xiàn)，通過MMU機制隔離，防止被其他程序獲取到明文PIN。

（3）AP端將PIN明文加密后傳輸給SE端。PIN在SE端使用PIN KEY完成加密后返回給AP并最終上送交易后臺。

5 結(jié)束語

隨著移動支付的發(fā)展，以及銀聯(lián)對閃付、二維碼支付等新型支付方式的大力推廣，智能POS也必將迎來新的發(fā)展機遇。因此更需加強對持卡人PIN的保護，使其符合UPTS2.0和PCI等金融安全規(guī)范對智能終端的要求，防范金融風險。本文所采用的AP+SE的架構(gòu)以及對Android系統(tǒng)的深度定制來實現(xiàn)PIN輸入安全防護，是對智能終端系統(tǒng)設計方案的有力補充，經(jīng)實際產(chǎn)品化驗證，是一種十分可行的方案。

[1] Q/CUP XXX 銀聯(lián)卡受理終端安全規(guī)范．https://cert.unionpay.com/

[2] JR/T 0120-016銀行卡受理終端安全規(guī)范．http://www.pbc.gov.cn/

[3] 銀行卡終端密碼檢測規(guī)范．http://www.oscca.gov.cn/

[4] Payment Card Industry PTS POI Derived Test Requirements, v5.0，https://www.pcisecuritystandards.org

[5] 沈弘．基于ARM的嵌入式無線POS系統(tǒng)的研究[J]．消費電子，2013

[6] 80-N6366-1_C_MSM7x27A_MSM7x25A_Secure_Boot_Requirement，http://www.qualcomm.cn/

劉利華副部長出席無線電管理重點工作推進座談會暨十九大無線電安全保障動員部署會

8月24～25日，工業(yè)和信息化部無線電管理局（國家無線電辦公室）在內(nèi)蒙古自治區(qū)呼和浩特市組織召開無線電管理重點工作推進座談會暨十九大無線電安全保障動員部署會。工業(yè)和信息化部副部長劉利華出席會議并講話。內(nèi)蒙古自治區(qū)政府常軍政副主席出席會議并致辭。

劉利華在講話中對上半年全國無線電管理工作給予了充分肯定，并對推進下半年重點工作作出指示：一是在“抓落實”上下功夫，把《中華人民共和國無線電管理條例》（以下簡稱《條例》）宣貫工作引向深入，進一步夯實宣貫《條例》的思想基礎，堅持配套規(guī)章制度建設要“實”，行政執(zhí)法要“實”，《條例》宣傳要“實”。二是在“保安全”上敢擔當，全力保障黨的十九大無線電安全。要高度重視十九大無線電安全保障工作的重要性，以首都地區(qū)無線電用頻安全為保障重點、以津冀地區(qū)無線電安全保障為防護屏障、以全國電磁環(huán)境安全有序為重要任務，細化方案，預防為先，加強配合，提升應急處突能力，全力以赴做好十九大無線電安全保障工作。三是在“轉(zhuǎn)方式”上求突破，切實提高頻率資源管理的精細化水平。要拓展工作視野，提高工作站位，站在服務改革發(fā)展全局的高度謀劃頻率管理工作。盡快修訂發(fā)布《中華人民共和國無線電頻率劃分規(guī)定》。進一步加快5G系統(tǒng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等用頻規(guī)劃，貫徹落實好《無線電頻率使用許可管理辦法》，穩(wěn)步推進頻譜資源市場化配置試點。四是在“重績效”上出實招，統(tǒng)籌做好“十三五”規(guī)劃落實和頻占費資金使用管理。強化“十三五”規(guī)劃任務分解和落地，按照時間節(jié)點逐步推進。嚴格頻占費的合規(guī)使用，加強對資金使用情況的監(jiān)督問效。加強固定資產(chǎn)管理，要加快出臺相關(guān)制度標準，進一步規(guī)范管理制度，提高工作的科學性、規(guī)范性。劉利華特別強調(diào)，黨的十九大即將召開，全國無線電管理機構(gòu)要站在講政治、講大局的高度，以高度的責任心和擔當精神，切實落實好十九大無線電安全保障工作各項任務，以優(yōu)異成績迎接黨的十九大勝利召開。

無線電管理局謝遠生局長對與會代表在座談討論中提出的無線電管理有關(guān)問題進行了小結(jié)，并指出，下半年工作要加強頻率管理、臺站管理改革創(chuàng)新，強化“十三五”規(guī)劃推進和落實，按照劉利華副部長的指示要求，扎實做好無線電管理各項工作，特別是十九大無線電安全保障工作。

會上，部無線電管理局的相關(guān)同志作了專題介紹，部分省市無線電管理機構(gòu)和國家無線電監(jiān)測中心的代表作了會議交流發(fā)言。

各?。▍^(qū)、市）無線電管理機構(gòu)、計劃單列市無線電管理機構(gòu)負責同志，全軍電磁頻譜管理委員會辦公室、預備役電磁頻譜管理中心，國家無線電監(jiān)測中心（國家無線電頻譜管理中心）、中國信息通信研究院、中國電子信息產(chǎn)業(yè)發(fā)展研究院、國家無線電頻譜管理研究所、中國無線電協(xié)會等單位相關(guān)負責同志參加了此次會議。

The Requirements and Implementation of PIN-Entry Security for Intelligent Terminals

Wang Yi
(China Unionpay, Shanghai, 200135)

10.3969/J.ISSN.1672-7274.2017.09.022

TP929.5文獻標示碼：A

1672-7274（2017）09-0055-03