一種安全的金融終端的固件燒寫方法及金融終端的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及金融安全領(lǐng)域，尤其涉及一種安全的金融終端的固件燒寫方法及金融終端。
【背景技術(shù)】
[0002]金融終端在使用之前需要建立安全環(huán)境，安全環(huán)境建立之后金融終端進(jìn)入安全運行模式，在此模式下才能夠進(jìn)行密鑰、密碼等敏感數(shù)據(jù)的導(dǎo)入工作。
[0003]技術(shù)人員在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)現(xiàn)有的金融終端的固件燒寫方法至少存在以下安全隱患:
[0004]1.建立安全環(huán)境的代碼包含在正式固件中，一方面使得攻擊者有機(jī)會使安全環(huán)境建立流程再次執(zhí)行，另一方面也可能由于安全固件自身代碼的錯誤或誤判，從而導(dǎo)致安全環(huán)境的重新建立，引發(fā)安全問題。
[0005]2.正式固件燒寫后首次運行時，即會對安全事件進(jìn)行檢測(即金融終端自檢)，并要在檢測到出現(xiàn)安全事件后停止工作，因此需要在固件程序中執(zhí)行有條件的安全事件檢測，即在尚未建立安全環(huán)境時，根據(jù)相關(guān)條件的判斷跳過安全事件檢測流程，在安全環(huán)境建立后，再通過設(shè)置相關(guān)條件，使固件可以運行安全事件檢測流程。這就使得攻擊者有機(jī)會建立偽造的相關(guān)條件，從而使正式固件跳過安全事件檢測流程，進(jìn)而達(dá)到攻擊金融終端內(nèi)部敏感數(shù)據(jù)的目的。

【發(fā)明內(nèi)容】

[0006]本發(fā)明的目的是克服現(xiàn)有技術(shù)的缺陷，提供一種安全的金融終端的固件燒寫方法及金融終端。
[0007]本發(fā)明是通過下述技術(shù)方案實現(xiàn)的:
[0008]—方面，本發(fā)明提供一種安全的金融終端的固件燒寫方法，具體包括:
[0009]步驟S1、金融終端接收上位機(jī)下發(fā)的指令，當(dāng)接收到上位機(jī)下發(fā)的建立安全環(huán)境指令時，執(zhí)行步驟S2 ;當(dāng)接收到上位機(jī)下發(fā)的安全boot下載更新指令時，執(zhí)行步驟S3 ;當(dāng)接收到上位機(jī)下發(fā)的應(yīng)用固件下載更新指令時，執(zhí)行步驟S4 ;當(dāng)接收到上位機(jī)下發(fā)的安全固件下載更新指令時，執(zhí)行步驟S5 ；
[0010]步驟S2、所述金融終端啟動安全檢測功能，向上位機(jī)返回應(yīng)答，返回步驟SI ;
[0011]步驟S3、所述金融終端下載正式安全boot，將所述金融終端中的測試安全boot更新為所述正式安全boot，向上位機(jī)返回應(yīng)答，返回步驟SI ;
[0012]步驟S4、所述金融終端下載正式應(yīng)用固件，將所述金融終端中的測試應(yīng)用固件更新為所述正式應(yīng)用固件，向上位機(jī)返回應(yīng)答，返回步驟Si;
[0013]步驟S5、所述金融終端下載正式安全固件，將所述金融終端中的測試安全固件更新為所述正式安全固件，向上位機(jī)返回應(yīng)答，返回步驟Si;
[0014]進(jìn)一步地，所述步驟SI中還包括:當(dāng)接收到上位機(jī)下發(fā)的啟動侵入檢測功能指令時，所述金融終端啟動侵入檢測功能，向上位機(jī)返回應(yīng)答，返回步驟Si;當(dāng)接收到上位機(jī)下發(fā)的獲取侵入檢測狀態(tài)指令時，獲取侵入檢測狀態(tài)，向上位機(jī)返回所述侵入檢測狀態(tài)，返回步驟SI ；
[0015]所述步驟S2中還包括:所述金融終端初始化防窮舉參數(shù)空間；
[0016]所述步驟S3中，所述金融終端下載正式安全boot之后還包括:校驗所述正式安全boot，若校驗通過則繼續(xù)執(zhí)行所述將所述金融終端中的安全boot更新為所述正式安全boot，若校驗不通過則直接向上位機(jī)返回應(yīng)答，返回步驟SI ;
[0017]所述步驟S2中還包括:所述金融終端生成根密鑰，用所述根密鑰加密預(yù)存的應(yīng)用固件更新密鑰；所述步驟S4中，所述金融終端下載正式應(yīng)用固件之后還包括:根據(jù)所述應(yīng)用固件更新密鑰校驗所述正式應(yīng)用固件，若校驗通過則根據(jù)所述應(yīng)用固件更新密鑰繼續(xù)執(zhí)行所述將所述金融終端中的測試應(yīng)用固件更新為所述正式應(yīng)用固件，若校驗不通過則直接向上位機(jī)返回應(yīng)答，返回步驟SI ;
[0018]所述步驟S2中還包括:所述金融終端生成根密鑰，用所述根密鑰加密預(yù)存的安全固件更新密鑰；所述步驟S5中，所述金融終端下載正式安全固件之后還包括:根據(jù)所述安全固件更新密鑰校驗所述正式安全固件，若校驗通過則根據(jù)所述安全固件更新密鑰繼續(xù)執(zhí)行所述將所述金融終端中的測試安全固件更新為所述正式安全固件，若校驗不通過則直接向上位機(jī)返回應(yīng)答，返回步驟SI ;
[0019]所述金融終端執(zhí)行所述步驟S3之前還包括:所述金融終端檢查安全環(huán)境建立標(biāo)志是否被置位，若被置位則執(zhí)行所述步驟S3，若未被置位則向上位機(jī)返回錯誤信息碼，返回步驟SI ;所述步驟S2中還包括:所述金融終端置位所述安全環(huán)境建立標(biāo)志；所述金融終端執(zhí)行所述步驟S4或步驟S5之前還包括:所述金融終端檢查安全boot更新標(biāo)志是否被置位，若被置位則執(zhí)行所述步驟S4或步驟S5，若未被置位則向上位機(jī)返回錯誤信息碼，返回步驟SI ;所述步驟S3中還包括:所述金融終端置位所述安全boot更新標(biāo)志。
[0020]另一方面，本發(fā)明提供一種金融終端，具體包括:通信模塊、安全環(huán)境建立模塊、存儲模塊、安全boot下載更新模塊、應(yīng)用固件下載更新模塊和安全固件下載更新模塊；
[0021]所述通信模塊，用于接收上位機(jī)下發(fā)的建立安全環(huán)境指令、安全boot下載更新指令、應(yīng)用固件下載更新指令和安全固件下載更新指令；
[0022]所述安全環(huán)境建立模塊，用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的建立安全環(huán)境指令時，啟動安全檢測功能；
[0023]所述存儲模塊，用于存儲測試應(yīng)用boot、測試應(yīng)用固件、測試安全boot和測試安全固件；
[0024]所述安全boot下載更新模塊，用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的安全boot下載更新指令時，下載正式安全boot，用所述正式安全boot更新所述存儲模塊中的測試安全boot ；
[0025]所述應(yīng)用固件下載更新模塊，用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的應(yīng)用固件下載更新指令時，下載正式應(yīng)用固件，用所述正式應(yīng)用固件更新所述存儲模塊中的測試應(yīng)用固件；
[0026]所述安全固件下載更新模塊，用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的安全固件下載更新指令時，下載正式安全固件，用所述正式安全固件更新所述存儲模塊中的測試安全固件；
[0027]所述通信模塊還用于當(dāng)所述安全環(huán)境建立模塊、所述安全boot下載更新模塊、所述應(yīng)用固件下載更新模塊和所述安全固件下載更新模塊運行結(jié)束時，向上位機(jī)返回應(yīng)答；
[0028]進(jìn)一步地，上述金融終端中還包括侵入檢測模塊，用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的啟動侵入檢測功能指令時，啟動侵入檢測功能，以及用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的獲取侵入檢測狀態(tài)指令時，獲取侵入檢測狀態(tài)；相應(yīng)地，所述通信模塊還用于接收上位機(jī)下發(fā)的啟動侵入檢測功能指令和獲取侵入檢測狀態(tài)指令，以及當(dāng)所述侵入檢測模塊運行結(jié)束時，向上位機(jī)返回應(yīng)答或返回侵入檢測狀態(tài)；
[0029]所述安全環(huán)境建立模塊還用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的建立安全環(huán)境指令時，初始化防窮舉參數(shù)空間；
[0030]上述金融終端還包括安全boot校驗?zāi)K，用于校驗所述安全boot下載更新模塊下載的正式安全boot ;相應(yīng)地，所述安全boot下載更新模塊具體用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的安全boot下載更新指令時，下載正式安全boot，以及當(dāng)所述安全boot校驗?zāi)K校驗通過時，用所述正式安全boot更新所述存儲模塊中的測試安全boot ；
[0031]上述金融終端還包括應(yīng)用固件校驗?zāi)K，用于根據(jù)所述存儲模塊中的應(yīng)用固件更新密鑰校驗所述應(yīng)用固件下載更新模塊下載的正式應(yīng)用固件；相應(yīng)地，所述存儲模塊還用于存儲應(yīng)用固件更新密鑰；所述安全環(huán)境建立模塊還用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的建立安全環(huán)境指令時，生成根密鑰，用所述根密鑰加密所述存儲模塊中的應(yīng)用固件更新密鑰；所述應(yīng)用固件下載更新模塊具體用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的應(yīng)用固件下載更新指令時，下載正式應(yīng)用固件，以及當(dāng)所述應(yīng)用固件校驗?zāi)K校驗通過后，用所述正式應(yīng)用固件更新所述存儲模塊中的測試應(yīng)用固件；
[0032]上述金融終端還包括安全固件校驗?zāi)K，用于根據(jù)所述存儲模塊中的安全固件更新密鑰校驗所述安全固件下載更新模塊下載的正式安全固件；相應(yīng)地，所述存儲模塊還用于存儲安全固件更新密鑰；所述安全環(huán)境建立模塊還用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的建立安全環(huán)境指令時，生成根密鑰，用所述根密鑰加密所述存儲模塊中的安全固件更新密鑰；所述安全固件下載更新模塊具體用于當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的安全固件下載更新指令時，下載正式安全固件，以及當(dāng)所述安全固件校驗?zāi)K校驗通過后，用所述正式安全固件更新所述存儲模塊中的測試安全固件；
[0033]所述存儲模塊還用于存儲安全環(huán)境建立標(biāo)志和安全boot更新標(biāo)志，所述安全環(huán)境建立標(biāo)志和所述安全boot更新標(biāo)志的初始狀態(tài)為未被置位，相應(yīng)地:
[0034]所述安全環(huán)境建立模塊還用于置位所述存儲模塊中的安全環(huán)境建立標(biāo)志；
[0035]所述安全boot下載更新模塊具體用于:當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的安全boot下載更新指令時，檢查所述存儲模塊中的安全環(huán)境建立標(biāo)志是否被置位，以及當(dāng)所述安全環(huán)境建立標(biāo)志被置位時，下載正式安全boot，用所述正式安全boot更新所述存儲模塊中的測試安全boot，置位所述存儲模塊中的安全boot更新標(biāo)志；
[0036]所述應(yīng)用固件下載更新模塊具體用于:當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的應(yīng)用固件下載更新指令時，檢查所述存儲模塊中的安全boot更新標(biāo)志是否被置位，以及當(dāng)所述安全boot更新標(biāo)志被置位時，下載正式應(yīng)用固件，用所述正式應(yīng)用固件更新所述存儲模塊中的測試應(yīng)用固件；
[0037]所述安全固件下載更新模塊具體用于:當(dāng)所述通信模塊接收到上位機(jī)下發(fā)的安全固件下載更新指令時，檢查所述存儲模塊中的安全boot更新標(biāo)志是否被置位，以及當(dāng)所述安全boot更新標(biāo)志被置位時，下載正式安全固件，用所述正式安全固件更新所述存儲模塊中的測試安全固件；
[0038]所述通信模塊還用于:當(dāng)所述安全boot下載更新模塊檢查所述存儲模塊中的安全環(huán)境建立標(biāo)志未被置位時，當(dāng)所述應(yīng)用固件下載更新模塊檢查所述存儲模塊中的安全boot更新標(biāo)志未被置位時，以及當(dāng)所述安全固件下載更新模塊檢查所述存儲模塊中的安全boot更新標(biāo)志未被置位時，向上位機(jī)返回錯誤消息碼。
[0039]本發(fā)明方法的有益效果在于:使用本發(fā)明提供的方法可以避免現(xiàn)有的金融終端的固件燒寫方法的安全隱患，從而提高金融終端產(chǎn)品的安全性。
【附圖說明】
[0040]為了更清楚的說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單的介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0041]圖1為本發(fā)明實施例1提供的一種安全的金融終端的固件燒寫方法流程圖；
[0042]圖2為本發(fā)明實施例1提供的下載正式安全boot以及用正式安全boot替換測試安全boot的流程圖；
[0043]圖3為本發(fā)明實施例1提供的下載正式應(yīng)用固件的流程圖；
[0044]圖4為本發(fā)明實施例1提供的用正式應(yīng)用固件替換測試應(yīng)用固件的流程圖；
[0045]圖5為本發(fā)明實施例1提供的下載正式安全固件的流程圖；
[0046]圖6為本發(fā)明實施例1提供的用正式安全固件替換測試安全固件的流程圖；
[0047]圖7為本發(fā)明實施例2提供的金融終端的方框圖。
【具體實施方式】
[0048]下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護(hù)的范圍。
[0049]本發(fā)明中的金融終端中包含應(yīng)用處理器和安全處理器；
[0050]應(yīng)用處理器中燒錄有應(yīng)用boot和應(yīng)用固件；安全處理器中燒錄有安全boot和安全固件；
[0051]當(dāng)金融終端上電后，應(yīng)用處理器和安全處理器分別啟動，應(yīng)用處理器首先運行應(yīng)用boot，當(dāng)應(yīng)用boot運行結(jié)束時跳轉(zhuǎn)至應(yīng)用固件首地址，運行應(yīng)用固件，直至金融終端下電；安全處理器首先運行安全boot，當(dāng)安全boot運行結(jié)束時跳轉(zhuǎn)至安全固件首地址，運行安全固件，直至金融終端下電；
[0052]應(yīng)用固件包括測試應(yīng)用固件和正式應(yīng)用固件，安全boot包括測試安全boot和正式安全boot，安全固件包括測試安全固件和正式安全固件；測試應(yīng)用固件和測試安全固件中包含硬件測試程序和安全環(huán)境構(gòu)建程序，相應(yīng)地，正式應(yīng)用固件和正式安全固件中不包含硬件測試程序和安全環(huán)境構(gòu)建程序；測試安全boot中不包含金融終端自檢的程序，相應(yīng)地，正式安全boot中包含金融終端自檢的程序，且本發(fā)明中的正式安全boot與現(xiàn)有技術(shù)中金融終端安全處理器中燒錄的安全boot相比，減少了終端自檢的條件判斷，從而可以防止攻擊者偽造終端自檢的條件，躲避終端自檢；
[0053]本發(fā)明中，首先向應(yīng)用處理器中燒錄應(yīng)用boot和測試應(yīng)用固件，向安全處理器中燒錄測試安全boot和測試安全固件，待完成硬件測試和安全環(huán)境建立之后，逐步將測試安全boot更新為正式安全boot，將測試應(yīng)用固件和測試安全固件分別更新為正式應(yīng)用固件和正式安全固件。
[0054]實施例1
[0055]本實施例提供一種安全的金融終端的固件燒寫方法，如圖1所示，具體包括:
[0056]步驟S1、金融終端接收上位機(jī)下發(fā)的指令，當(dāng)接收到上位機(jī)下發(fā)的建立安全環(huán)境指令時執(zhí)行步驟S2，當(dāng)接收到上位機(jī)下發(fā)的安全boot下載更新指令時執(zhí)行步驟S3，當(dāng)接收到上位機(jī)下發(fā)的應(yīng)用固件下載更新指令時執(zhí)行步驟S4，當(dāng)接收到上位機(jī)下發(fā)的安全固件下載更新指令時執(zhí)行步驟S5 ；
[0057]具體地，本實施例中，上位機(jī)將要發(fā)送的指令封裝成標(biāo)準(zhǔn)CCID通信指令下發(fā)給金融終端。
[0058]步驟S2、金融終端啟動安全檢測功能，向上位機(jī)返回應(yīng)答，返回步驟SI ;
[0059]本實施例中，安全檢測功能包括:侵入檢測功能、溫度檢測功能和電壓檢測功能等。