汪 毅

(中国银联股份有限公司，上海 200135)

智能终端PIN输入安全的要求与实现

汪 毅

(中国银联股份有限公司，上海 200135)

本文介绍了一种基于Android智能终端上PIN输入的安全要求和设计方法，解决由于Android漏洞可能产生的PIN输入安全风险。

Android；UPTS2.0；PCI；智能终端；POS；国密

Abstract:This article presents a security requirement and implementation method of PIN-Entry based on android terminal to solve the PIN-Entry security risk caused by android vulnerability.

Keywords:Android; UPTS2.0; PCI; Intelligent Terminal; POS; Commercial Cryptography

1 引言

随着电子技术及移动互联网的发展，智能POS终端由于性能强大、人机交互舒适便捷等诸多优点，正在逐步取代传统POS终端，成为金融支付终端发展的主要趋势。

智能终端大都采用Android开放操作系统，由于其源特性，可能存在各类安全漏洞，会对交易安全产生威胁。因此智能终端需符合UPTS2.0等相关安全标准要求，终端的PIN输入需要保护，保障金融支付安全。

2 UPTS2.0对智能终端的安全要求

智能终端作为支付环节的重要一环，其安全技术十分重要。中国银联于2014年发布了新的银行卡受理终端安全规范UPTS2.0，并每年根据实际情况不定期更新规范。按照2017年发布的最新规范要求，智能终端需满足以下内容：

⊙ 模块一：物理安全。

⊙ 模块二：逻辑安全。

⊙ 模块三：联机PIN安全。

⊙ 模块四：脱机PIN安全。

⊙ 模块五：基础安全。

⊙ 模块六：开发协议。

⊙ 模块七：账户数据保护。

模块一的物理安全要求设备检测到攻击，设备立刻不可操作，并且立即自动清除保存的敏感数据，并且保证这些敏感数据不可被恢复。所具备的机制保证能够抵御物理方式的侵入，包括但不限于：钻孔、激光、化学腐蚀、打开盖子等。针对智能终端，这就要求触屏上输入PIN时，触屏的数据不能被获取，因此需要对触屏采取针对性的防护措施。

3 系统硬件设计

3.1 总体设计

智能设备一般由应用处理器（AP）和安全处理器（SE）两个CPU组成。AP采用高通晓龙210，主要运行Android系统，包含4G、Wi-Fi，液晶、触屏、摄像头等；SE采用NXP高性能Cortex M4内核的K21，主要处理和金融相关功能，包含密钥、账户、PIN、IC卡、磁卡和非接卡等。AP和SE之间通过高速UART进行数据交互。系统框图如图1所示。

图1 系统框图

3.2 物理安全

3.2.1 入侵检测

智能终端采用了符合UPTS2.0和PCI等国际国内安全标准组织认可的安全CPU，提供了完备健全的物理入侵检测和响应机制。

安全CPU应包含以下安全机制，Tamper监测电路，电压和温度监测。以上机制保证了一旦触发攻击响应机制，会立即擦除密钥等敏感信息。

3.2.2 PIN输入的实现方式

智能POS的PIN一般在触屏上输入，而触屏的实现方式主要有两种方式：

一是PIN输入的触屏由AP控制，Android系统可直接获取PIN输入内容。Android是基于Linux内核，支持MMU机制，可以有效实现用户空间与内核空间的内存隔离，防止应用程序直接访问硬件相关的任何资源，杜绝应用程序直接接触敏感数据的可能性。

二是PIN输入的触屏在AP和SE之间切换，由SE控制物理开关切换，如图2所示。在需要输入PIN时，由SE读取PIN内容，AP无法获取PIN输入，从物理上隔离，防止Android漏洞引起的PIN泄漏。

综合考虑上述两种实现方式，为了简化硬件设计，提高系统可靠性，采用方案一触屏由AP控制，单需要对Android系统进行深度定制。

图2 触屏控制示意图

4 系统软件设计

4.1 Android系统优化

对Android系统进行大量的定制：屏蔽ADB，关闭调试接口，封堵后门和漏洞，权限管理，以增强系统的安全性。

引入专用的“防root机制”，所有需要ROOT权限的模块必须经过签名并加入信任白名单。

图3 Android系统架构改动示意图

4.2 固件与应用保护

采用系统安全启动和引导：AP和SE自带数字签名验证机制，从引导层开始实施数字验签；公钥预置在熔丝或者OTP区域，物理上防篡改；从最根一级的ROM BOOT开始，对下级镜像逐级认证，形成完整的信任链，防止系统镜像被随意篡改。

4.3 安全算法

智能终端基于安全处理器上实现了DES/TDES，RSA，SHA，SM2/SM3/SM4等加密算法，符合ISO11568、ANSI X9.24、《银联卡密码算法使用与密钥管理规范》等国际国内密钥管理规范的密钥管理机制，保证密钥生命周期终端相关环节的安全。

4.4 PIN输入安全防护

为确保触屏PIN输入过程的安全，采用以下方法：

（1）PIN输入时，数字键盘位置是随机的，攻击者无法探测到PIN的内容。

（2）PIN明文只在内核层的触屏PIN输入硬件驱动中出现，通过MMU机制隔离，防止被其他程序获取到明文PIN。

（3）AP端将PIN明文加密后传输给SE端。PIN在SE端使用PIN KEY完成加密后返回给AP并最终上送交易后台。

5 结束语

随着移动支付的发展，以及银联对闪付、二维码支付等新型支付方式的大力推广，智能POS也必将迎来新的发展机遇。因此更需加强对持卡人PIN的保护，使其符合UPTS2.0和PCI等金融安全规范对智能终端的要求，防范金融风险。本文所采用的AP+SE的架构以及对Android系统的深度定制来实现PIN输入安全防护，是对智能终端系统设计方案的有力补充，经实际产品化验证，是一种十分可行的方案。

[1] Q/CUP XXX 银联卡受理终端安全规范．https://cert.unionpay.com/

[2] JR/T 0120-016银行卡受理终端安全规范．http://www.pbc.gov.cn/

[3] 银行卡终端密码检测规范．http://www.oscca.gov.cn/

[4] Payment Card Industry PTS POI Derived Test Requirements, v5.0，https://www.pcisecuritystandards.org

[5] 沈弘．基于ARM的嵌入式无线POS系统的研究[J]．消费电子，2013

[6] 80-N6366-1_C_MSM7x27A_MSM7x25A_Secure_Boot_Requirement，http://www.qualcomm.cn/

刘利华副部长出席无线电管理重点工作推进座谈会暨十九大无线电安全保障动员部署会

8月24～25日，工业和信息化部无线电管理局（国家无线电办公室）在内蒙古自治区呼和浩特市组织召开无线电管理重点工作推进座谈会暨十九大无线电安全保障动员部署会。工业和信息化部副部长刘利华出席会议并讲话。内蒙古自治区政府常军政副主席出席会议并致辞。

刘利华在讲话中对上半年全国无线电管理工作给予了充分肯定，并对推进下半年重点工作作出指示：一是在“抓落实”上下功夫，把《中华人民共和国无线电管理条例》（以下简称《条例》）宣贯工作引向深入，进一步夯实宣贯《条例》的思想基础，坚持配套规章制度建设要“实”，行政执法要“实”，《条例》宣传要“实”。二是在“保安全”上敢担当，全力保障党的十九大无线电安全。要高度重视十九大无线电安全保障工作的重要性，以首都地区无线电用频安全为保障重点、以津冀地区无线电安全保障为防护屏障、以全国电磁环境安全有序为重要任务，细化方案，预防为先，加强配合，提升应急处突能力，全力以赴做好十九大无线电安全保障工作。三是在“转方式”上求突破，切实提高频率资源管理的精细化水平。要拓展工作视野，提高工作站位，站在服务改革发展全局的高度谋划频率管理工作。尽快修订发布《中华人民共和国无线电频率划分规定》。进一步加快5G系统、车联网、工业互联网等用频规划，贯彻落实好《无线电频率使用许可管理办法》，稳步推进频谱资源市场化配置试点。四是在“重绩效”上出实招，统筹做好“十三五”规划落实和频占费资金使用管理。强化“十三五”规划任务分解和落地，按照时间节点逐步推进。严格频占费的合规使用，加强对资金使用情况的监督问效。加强固定资产管理，要加快出台相关制度标准，进一步规范管理制度，提高工作的科学性、规范性。刘利华特别强调，党的十九大即将召开，全国无线电管理机构要站在讲政治、讲大局的高度，以高度的责任心和担当精神，切实落实好十九大无线电安全保障工作各项任务，以优异成绩迎接党的十九大胜利召开。

无线电管理局谢远生局长对与会代表在座谈讨论中提出的无线电管理有关问题进行了小结，并指出，下半年工作要加强频率管理、台站管理改革创新，强化“十三五”规划推进和落实，按照刘利华副部长的指示要求，扎实做好无线电管理各项工作，特别是十九大无线电安全保障工作。

会上，部无线电管理局的相关同志作了专题介绍，部分省市无线电管理机构和国家无线电监测中心的代表作了会议交流发言。

各省（区、市）无线电管理机构、计划单列市无线电管理机构负责同志，全军电磁频谱管理委员会办公室、预备役电磁频谱管理中心，国家无线电监测中心（国家无线电频谱管理中心）、中国信息通信研究院、中国电子信息产业发展研究院、国家无线电频谱管理研究所、中国无线电协会等单位相关负责同志参加了此次会议。

The Requirements and Implementation of PIN-Entry Security for Intelligent Terminals

Wang Yi
(China Unionpay, Shanghai, 200135)

10.3969/J.ISSN.1672-7274.2017.09.022

TP929.5文献标示码：A

1672-7274（2017）09-0055-03