技术领域

[0001] 本发明涉及数据传输技术领域， 尤其是涉及一种银行卡密码保护方法及系统。

背景技术

[0002] 随着互联网和电子支付技术的不断发展， 传统的金融 POS设备已经发生了巨大 的改变， 在外观设计、 功能拓展、 丰富界面、 提高用户体现等方面， 都日益与 互联网结合紧密， 涌现了很多新的技术， 其中基于触摸屏进行银行卡密码输入 就是一种新的技术方式。

[0003] 传统 POS上输入银行卡密码吋， 都需要通过专门的物理数字键盘进行， 由于 PO S的体积要求越来越小， 而物理键盘自身占用了很大一部分空间， 因此导致 POS 的结构设计、 外观设计等方面面临极大的瓶颈， 传统 POS—直给人呆板、 不吋尚 等印象。 而随着互联网技术的发展和移动支付的兴起， 在手机上实现银行卡密 码输入的技术已经得带大面积的使用， 日益被消费者理解和接受。 因此随着智 育 POS的突出， 基于触摸屏实现银行卡密码输入， 则成为一种潮流和必然的技术 发展趋势。

[0004] 然而， 由于 POS机毕竟是一种专业的商用支付设备， 不同于手机等个人支付设 备， 其使用的对象不像个人设备一样通常是个人自 己或者有限的人数。 作为商 用支付设备的 POS机， 任何消费者都有可能在 POS机上进行刷卡和输入银行卡密 码， 如果 POS机被非法改造， 则有可能威胁到所有持卡人的利益。 因此， 针对商 用的专业 POS设备， 其对银行卡密码输入安全防护的等级要求要远 远高于手机等 个人设备， 因此基于触摸屏 POS的银行卡密码输入安全保护技术就显得尤为 重要

[0005] 现有技术中， POS终端包括应用处理器 （简称 AP) 和安全处理器 （简称 SE)

。 AP是通用的应用处理器， 没有物理入侵检测和响应机制， 因此没有一个符合 金融 POS行业规范的足够安全的硬件存储区域用来存 储用于与银行后台进行交易 验证的交易密钥等敏感数据。 而 SE是专业的安全处理器， 有物理入侵检测和响 应机制， 内部有一个硬件保护的安全存储区域可以存储 密钥等敏感数据， 在 POS 机器遭受到非法拆机等各种物理攻击行为吋， 能够自动销毁安全存储区域的所 有敏感数据， 确保这些信息在 POS内部被攻破的情况下已经自动丢失而无法访 问 。 PIN (即银行卡密码） 信息需要在 POS内部经过加密后才能送到 POS后台完成 验证， 但是由于 AP端无法保存密钥， 只有 SE可以保存密钥， 因此 AP获取用户输 入的银行卡密码后， 需要将所述银行卡密码传送至 SE， 由 SE利用所述密钥进行 加密后再传输回 AP， 并由 AP传送至银行后台进行交易验证。 但是从 AP到 SE的 过程中， 银行卡密码明文暴露， 很容易被破解， 造成了安全隐患。

技术问题

[0006] 本发明所要解决的技术问题是： 公幵了一种新型实用的银行卡密码输入保护技 术， 能够在不影响消费者用户体验的前提下， 通过合理的方案设计结合银行卡 密码学的加密保护技术， 实现银行卡密码安全的输入和内部传输。

问题的解决方案

技术解决方案

[0007] 为了解决上述技术问题， 本发明采用的技术方案为： 提供一种银行卡密码保护 方法， 包括：

[0008] 安全处理器端随机生成公私钥对；

[0009] 安全处理器端将公钥发送至应用处理区端；

[0010] 应用处理器端获取银行卡密码， 利用公钥加密后传送至安全处理器端；

[0011] 安全处理器端利用私钥对所述银行卡密码进行 解密。

[0012] 为解决上述问题， 本发明还提供一种银行卡密码保护系统， 包括应用处理器及 安全处理器其中：

[0013] 安全处理器端用于随机生成公私钥对， 并将公钥发送至应用处理区端；

[0014] 应用处理器端获取银行卡密码， 利用公钥加密后传送至安全处理器端；

[0015] 安全处理器端利用私钥对所述银行卡密码进行 解密。

发明的有益效果

有益效果

[0016] 本发明的有益效果在于： 区别于现有技术， 本发明通过在安全处理器端随机生 成公私钥对， 并将公钥发送至应用处理器端用于加密银行卡 密码后， 再发送到 安全处理器端用私钥对所述银行卡密码进行解 密， 避免从应用处理器到安全处 理器的过程中出现银行卡密码明文。 通过上述方式， 本发明可以提高银行卡密 码输入和传输过程的安全性， 同吋可以给用户带来更好的体验感。

对附图的简要说明

附图说明

[0017] 图 1为本发明方法实施例一的流程示意图；

[0018] 图 2为本发明具体实施例中的智能 POS物理组成示意图；

[0019] 图 3为本发明具体实施例中交易过程 PIN输入和加密保护过程示意图；

[0020] 图 4为本发明具体实施例中触屏数字键盘乱序显� �示意图一；

[0021] 图 5为本发明具体实施例中触屏数字键盘乱序显� �示意图二。

[0022] 图 6为本发明具体实施例中触屏数字键盘乱序显� �示意图三。

具体实施方式

[0023] 本发明最关键的构思在于:在安全处理器中生� �公私钥对， 并在应用处理器中 对用户输入的银行卡密码加密后传输到安全处 理器中解密， 避免了传输过程中 出现银行卡密码明文。

[0024] 请参照图 1， 本发明实施例一提供一种银行卡密码保护方法 ， 包括：

[0025] S1 : 安全处理器端随机生成公私钥对；

[0026] S2: 安全处理器端将公钥发送至应用处理区端；

[0027] S3： 应用处理器端获取银行卡密码， 利用公钥加密后传送至安全处理器端；

[0028] S4: 安全处理器端利用私钥对所述银行卡密码进行 解密。

[0029] 区别于现有技术， 本发明实施例一通过在安全处理器端随机生成 公私钥对， 并 将公钥发送至应用处理器端用于加密银行卡密 码后， 再发送到安全处理器端用 私钥对所述银行卡密码进行解密。 通过上述方式， 本发明可以提高银行卡密码 输入过程的安全性， 同吋可以给用户带来更好的体验感。

[0030] 其中， 安全处理器端利用密钥对解密得到的银行卡密 码明文加密形成密文的 PI

N块， 并将所述密文的 PIN块发送至应用处理器端； 应用处理器端将所述密文的 P IN块及交易数据发送至后台进行验证。

[0031] 此外， 所述加密形成密文的 PIN块过程中使用的密钥是预存在安全处理器端 ， 且用于与后台交易验证的密钥。 也就是说， 所述密钥与步骤 S1中生成的公私钥 对无关。

[0032] 应用处理器端在触摸屏上显示随机乱序的数字 键盘， 用于银行卡密码输入。

[0033] 具体的， 在 AP端触摸屏上输入 PIN吋， 液晶屏幕上会显示一个随机乱序的数字 键盘， 用于提示持卡人输入 PIN。 每次屏幕上显示数字键盘吋， 触屏 PIN输入相 关的驱动或者服务， 会从系统读取一组随机数， 然后根据随机数在屏幕上描绘 一个数字次序被打乱的数字键盘， 从而确保每次 PIN数字在液晶屏幕上的提示和 输入位置都是随机不确定的， 从而攻击者无法通过固定位置来推测输入的 PIN数 字。

[0034] 应用处理器端控制触摸屏上输入银行卡密码吋 ， 系统设置进入专门的银行卡密 码输入模式； 所有银行卡密码输入事件仅提供给受信的触屏 银行卡密码驱动进 行处理。

[0035] 具体的， 在 AP端触摸屏上输入 PIN吋， 系统会设置进入专门的 PIN输入模式， 在此模式下， 专用的触屏 PIN驱动会从硬件层面拦截 PIN输入事件， 确保所有 PIN 输入事件仅提供给受信的触屏 PIN驱动进行处理， 而不会上报给普通的应用程序 ， 从而保证非法应用程序无法监听到 PIN相关的信息。 该触屏 PIN输入属于系统 级别的驱动， 由数字签名技术保护其合法性和完整性， 普通应用无法篡改或替 换该驱动。

[0036] 具体地， 在实际中， 本发明可用于在智能 POS上安全输入和传输 PIN吋提供保 护， 为智能 POS纯触屏 PIN输入方式提供安全保证。 实施本发明吋， 可以摒弃传 统 POS依赖物理键盘导致可用空间小、 外观和结构难以设计、 整机外观丑陋、 使 用不便等问题， 不仅给智能 POS上 PIN输入带来更好的用户体验， 而且还充分保 证了 PIN输入过程的安全。

[0037] 本发明适用于所有需要支持银行卡支付功能和 在触摸屏上实现 PIN输入的 POS 终端设备。 此类设备包含一个通用的应用处理器子系统和 一个专业的安全处理 器子系统， 触摸屏由 AP子系统控制， 需要在 AP端完成 PIN输入， 然后送到 SE端 进行加密。

[0038] 本发明 PIN在从 AP传输至 SE的过程， 是经过加密传输的。 加密的实现过程， 是 在 AP端使用公钥进行加密， 在 SE端使用私钥进行解密。 由于公钥是可以公幵的 ， 在 AP系统上保存不会有太大的风险， 只要 AP进行必要的防篡改权限保护即可 。 私钥是需要保护机密性的， 因此只能保存在 SE端确保不会泄露。 由于 PIN在 A P和 SE之间的传输经过了加密， 因此可以确保传输过程的安全， 攻击者即使攻破 AP和 SE的线路， 也无法获取到明文的 PIN内容。

[0039] 每台智能 POS采用的公私钥对都是在智能 POS内部随机生成的， 因此每台智能 P OS的密钥是不可预测和在概率上唯一的， 确保符合一机一密的安全要求。

[0040] 而公私钥对的生成过程比较简单， 不需要复杂的导入方式。 只需要在 POS终端 每次出厂前进行安全区格式化的吋候， 由 POS内部产生一次即可。 只要 POS即不 被拆机和遭受各种物理攻击， 安全区不会被破坏的情况下， 则该密钥对可以一 直使用。 如果 POS机被非法拆机， 按照 POS即的管理要求会返厂维护， 重新进行 安全区域的格式化， 则此吋又可以再次产生新的公私钥匙对。

[0041] 因此， 本发明提供的是一种新型实用的 PIN输入保护技术， 能够在不影响消费 者用户体验的前提下， 通过合理的方案设计结合银行卡密码学的加密 保护技术 ， 实现 PIN安全的输入和内部传输。

[0042] 如图 2所示， 在一个具体的实施例中， 智能 POS设备物理上由 AP和 SE两个子系 统组成。 AP子系统包含了应用处理器、 液晶、 触屏、 扫码器、 电源、 摄像头、 通信、 存储、 多媒体等各种硬件设备模块， SE子系统主要包含安全处理器、 磁 卡、 IC卡、 射频卡、 打印 （可选） 、 通信等模块。

[0043] 一次 PIN输入过程， 持卡人在触屏上完成 PIN输入， 之后 PIN经过 AP端应用处理 器利用公钥加密处理后， 由 AP端通信模块发送给 SE端通信模块， 然后由 SE端通 信模块传输给 SE安全处理器进行解密处理， 并利用密钥对 PIN加密后最终再通过 SE和 AP的通信模块返回到 AP端， 并最终输出到 POS后台。

[0044] 在该具体实施例中， 图 3展示了一笔交易过程 PIN输入和加密保护的步骤和流程 ， 说明如下：

[0045] 步骤 1~3， 是在 POS初始化阶段进行， 在 POS厂商的受控区域完成， 各个步骤说 明如下：

[0046] 步骤 1 : SE端随机产生一组公私钥对 （包含一个公钥和一个私钥） ， 作为 PIN 加密保护密钥。

[0047] 步骤 2: SE将公私钥对中的公钥发送到 AP。

[0048] 步骤 3: AP将公钥保存起来， 以便后续做交易吋用来加密传输 PIN。

[0049] 步骤 4~9， 是在 POS每笔正常交易过程都会发生， 各个步骤说明如下：

[0050] 步骤 4: 在 POS每笔交易中， 营业员完成金额输入等操作后， 将 POS交给持卡人 输入 PIN， 持卡人在 POS上完成 PIN输入。

[0051] 步骤 5: AP端首先获取到 PIN明文， 然后使用步骤 3中保存的公钥进行加密， 然 后发送给 SE;

[0052] 步骤 6: SE接收到 AP发送的数据后， 首先使用私钥进行解密， 还原出 PIN明文 。 然后使用实现已经下载到 SE的 PIN加密密钥 （是对称密钥， 由收单机构在部署 POS之前下载好） 进行再次加密， 得到一个密文的 PIN块。

[0053] 步骤 7: SE将密文的 PIN块返回给 AP。

[0054] 步骤 8: AP将密文的 PIN块以及其他交易数据组成一个 POS交易报文， 上送给 P

OS交易后台。

[0055] 步骤 9: POS交易后台将相关数据进行处理后进行比对 （包括比对 PIN和其他交 易数据等） ， 如果比对成功则交易成功， 否则交易失败。 然后将交易验证的结 果通知给 POS。

[0056] 图 4、 图 5及图 6展示了一笔交易过程， 触屏上 PIN输入数字键盘乱序显示的示例 图。 通过图片可以看出， 每次 PIN输入吋， 触屏上显示的数字键盘中的数字顺序 是随机错乱的， 每个数字的位置不是固定的， 从而攻击吋无法通过 PIN数字的位 置来推测输入的 PIN数值。

[0057] 其中， 对应地， 本发明实施例二还提供一种银行卡密码保护系 统 （图中未示出 ) ， 包括应用处理器及安全处理器， 其中：

[0058] 安全处理器端用于随机生成公私钥对， 并将公钥发送至应用处理器端；

[0059] 应用处理器端获取银行卡密码， 利用公钥加密后传送至安全处理器端；

[0060] 安全处理器端利用私钥对所述银行卡密码进行 解密。 [0061] 安全处理器端将解密得到的银行卡密码明文加 密形成密文的 PIN块， 并将所述 密文的 PIN块发送至应用处理器端；

[0062] 应用处理器端将所述密文的 PIN块及交易数据发送至后台进行验证。

[0063] 所述加密形成密文的 PIN块过程中使用的密钥是预存在安全处理器端 ， 且用于 与后台交易验证的密钥。

[0064] 应用处理器端在触摸屏上显示随机乱序的数字 键盘， 用于银行卡密码输入。

[0065] 应用处理器端控制触摸屏上输入银行卡密码吋 ， 系统设置进入专门的银行卡密 码输入模式； 所有银行卡密码输入事件仅提供给受信的触屏 银行卡密码驱动进 行处理。

[0066]