防拆检测电路、POS设备及金融交易系统的制作方法

防拆检测电路、pos设备及金融交易系统
技术领域
1.本实用新型涉及技术领域，更具体地涉及一种用于pos 机设备的防拆检测电路，以及包括该防拆检测电路的pos设备以及金融交易系统。

背景技术：

2.pos(point of sale销售点终端)机通常采用带有安全监测机制的安全芯片。安全芯片具备一个可由纽扣电池独立供电的逻辑单元(batterybackup logic备用电池逻辑单元，简称bbl)用于安全事件的监控。由于使用纽扣电池独立供电，因此无论pos设备主电源是否上电，安全芯片都能保证其内部的备用电池逻辑单元正常工作。
3.通常，备用电池逻辑单元至少包括备用电池存储器(batterybackup memory，简称bbram)和tamper引脚。它们与pos设备的防拆检测线一起用于监测设备是否受到攻击，例如拆机等。其中，备用电池存储器用于存储系统的关键敏感数据，例如密钥、账户信息等。tamper引脚是指设置在安全芯片上的多个tamper 引脚，其与防拆检测线电连接，并能够检测防拆检测线上的电平变化。防拆检测线是一种通常设置有防拆开关或其它保护装置的信号线，其连接至安全芯片的tamper引脚并被其检测电平变化。tamper引脚可以配置成active或passive，当其检测到与其连接的信号线上的电平与设定电平值不一致时(比如高电平变成低电平，或者低电平变成高电平)，安全芯片将触发安全机制，以擦除bbram存储器中保存的密钥及其他敏感信息，以防止信息泄露。
4.现有技术中，部分安全芯片的tamper引脚检测到电平变化异常时，会直接把bbram存储器中保存的敏感信息清除掉。而有些安全芯片，对于是否擦除敏感信息，则由软件配置来控制。例如，当tamper 引脚检测到电平变化异常时，不擦除敏感信息，但需要通知系统，禁止交易。这样，维护人员在检查排查故障后，可重新初始化系统，允许交易。如果把敏感信息都清除掉了，则需要返厂维修、去收单机构重新灌装密钥，流程繁琐。在例如atm、自主设备等内部集成了pos 机的应用案例中，如果只针对atm维修，而本身未拆解，故此时并不需要清除敏感信息，只需要把的交易功能禁用即可。在atm维修完毕后，维修人员经过授权后，可以重启的交易功能。这样的好处在于无需返厂重新灌装密钥，方便atm机的维护。
5.然而，对于pos设备的安全芯片而言，其tamper引脚检测到电平变化异常后，被固定设置为直接擦除敏感信息、而不能根据不同情况在禁止交易的同时允许保留敏感信息。如果要求提供其它的选择操作功能，则需要更改芯片的现有设计功能，而这无疑是十分困难的，在现实中几乎无法实现。对于上述内部集成了的atm机的维护案例，如每次维护都引发的安全芯片擦除密钥信息，需要返厂重新灌装，则给atm设备的正常维护带来极大的不便与困难。

技术实现要素：

6.本实用新型旨在解决上述现有技术缺陷，提供一种用于设备的防拆检测电
路，该防拆检测电路不受现有安全芯片内部的 tamper引脚固有功能设定的限制，能够通过在安全芯片以外增加设置一个功耗较小能够由备用电池供电的芯片来增加安全芯片的“仅禁止交易而不擦除关键敏感数据”的功能设定选项。从而，在无需对现有安全芯片做出更改的情况下，在保留原有tamper引脚功能设定的同时，提供额外的可根据实际需求设定的选择操作功能。由此，实现上述日常维护案例中当检测到异常变化时，仅禁止交易功能而保留 bbram存储器中保存的密钥及其他敏感信息不被擦除。
7.为此，本实用新型提供了一种用于pos设备的防拆检测电路，其特征在于，包括：
[0008]-安全芯片，所述安全芯片包括存储器，所述存储器中至少保存有关键敏感数据；
[0009]-rtc芯片或ram芯片，其包括电源接口，该电源接口通过逻辑开关或防拆开关连接到备用电池的电源电路，其还包括与安全芯片连接的读写接口；
[0010]-备用电池的电源电路，用于给rtc芯片或ram芯片供电，并为检测信号线提供电平信号；
[0011]-检测信号线，其连接所述电源电路与逻辑开关和/或防拆开关；
[0012]-逻辑开关和/或防拆开关，其设置为连接所述rtc芯片或ram
[0013]
芯片与所述电源电路；
[0014]
其中，所述安全芯片通过所述读写接口与所述rtc芯片或ram 芯片连接，并设置为对所述rtc芯片或ram芯片的寄存器数据进行读写；
[0015]
其中，所述安全芯片设置为将读取到的所述rtc芯片或ram芯片的寄存器数据与设定的数据进行比较，当两组数据不一致时，所述安全芯片执行禁止交易、但保留所述存储器中保存的关键敏感数据的操作。
[0016]
由此，通过在安全芯片的外围增设带有寄存器的rtc芯片或 ram芯片，能够为pos设备额外提供其安全芯片内部固有设定中不具备的安全检测及对应操作的功能选项。同时，这样的新增功能选项不需要对安全芯片的内部设定进行更改，简化了实施的复杂程度，便利针对实际应用场景的二次开发。
[0017]
根据本实用新型的一个优选的实施例，所述防拆检测电路包括 rtc芯片，所述安全芯片读取到的所述rtc芯片的寄存器数据为所述rtc芯片的当前时间，所述设定的数据为所述安全芯片的当前时间。通过比较rtc芯片或ram芯片的当前时间与安全芯片的当前时间是否一致，从而能够判定rtc芯片是否存在掉电事件，进而确定风险事件。根据本实用新型的一个优选的实施例，防拆检测电路包括逻辑开关，所述逻辑开关包括mos管、三级管、或模拟开关。逻辑开关可由上述电子逻辑器件中的任一个或相互组合构成，用于控制 rtc芯片或ram芯片的电源导通或断开。
[0018]
优选地，防拆检测电路的逻辑开关包括mos管，所述mos管的第一端连接所述检测信号线，第二端连接所述电源电路，第三端连接所述rtc芯片或ram芯片的电源接口。
[0019]
根据本实用新型的一个优选的实施例，所述rtc芯片或ram芯片还包括实时状态监测接口，该实时状态监测接口与安全芯片连接，并设置为当rtc芯片或ram芯片断电时，发生电平变化，所述安全芯片能够接收该实时状态监测接口的电平变化的信息。由此，一旦安全芯片检测到实时状态监测接口的电平变化，就能实时监测到rtc 芯片或ram芯片的异常情况，进而通过读写接口读取rtc芯片或 ram芯片的寄存器数据来判断具体的异常情况。
[0020]
根据本实用新型的一个优选的实施例，所述关键敏感数据包括密钥和/或账户信
息。
[0021]
根据本实用新型的一个优选的实施例，所述检测信号线上还设置有连接器。
[0022]
本实用新型的另一个方面还提供一种pos设备，其包括如上所述的防拆检测电路。
[0023]
本实用新型的又一个方面还提供一种金融交易系统，其包括如上所述的pos设备和系统设备，其中，所述pos设备与系统设备通过连接器电连接，所述检测信号线通过所述连接器连接到电源电路或接地。
[0024]
本实用新型的再一个方面还提供一种金融交易系统，其包括如上所述的pos设备和系统设备，其中，所述pos设备与系统设备通过防拆开关机械连接，所述检测信号线通过所述防拆开关连接到电源电路或接地。
[0025]
优选地，金融交易系统可以是atm机或收银机(终端)，所述系统设备为计算机。
附图说明
[0026]
下面将参照附图对本实用新型作进一步的详细说明。本领域技术人员容易理解的是，这些附图仅仅用于说明的目的，而并非意在对本实用新型的保护范围构成限制。图中相同的附图标记表示相同或相似的部件。为了说明的目的，这些图并非完全按比例绘制。
[0027]
图1是根据本实用新型的一个实施例的、包含逻辑开关的防拆检测电路的示意性电路图。
[0028]
图2是根据本实用新型的一个实施例的、包含防拆开关的防拆检测电路的示意性电路图。
[0029]
图3示出了防拆开关在根据本实用新型的一个实施例的检测信号线上的设置示意图。
[0030]
图4示出了连接器在根据本实用新型的一个实施例的检测信号线上的设置示意图。
具体实施方式
[0031]
本领域的技术人员可以理解，下述实施例仅是为了更加清楚地描述本实用新型的技术方案，而不对本实用新型的保护范围构成任何限制性。
[0032]
需要说明的是，当元件被称为“固定于”或“设置于”另一个元件时，是指它可以直接在另一个元件上，或间接在该另一个元件上。当一个元件被称为“连接于”另一个元件时，是指它可以直接连接到另一个元件，或间接连接至该另一个元件。
[0033]
此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或多个该特征。在本技术的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
[0034]
附图1与2分别示出了根据本实用新型的一个具体实施例的用于 pos设备的防拆检测电路。这两个防拆检测电路均基于rtc芯片来实现。然而，需要指出的是，本实用新型的实施例并不仅仅局限于 rtc芯片，本领域的技术人员可以理解，其他具有寄存器功能的芯片，例如ram芯片也可替换本实施例中的rtc芯片，而构成新的实施例。
[0035]
在图1所示的实施例中，防拆检测电路包括：安全芯片1、备用电池的电源电路
vcoin_se、检测信号线2、rtc芯片3、以及由 mos管4构成的逻辑开关。在此，逻辑开关是由电子逻辑器件组成的电子开关(与图2中示出的机械性的物理开关、即防拆开关相对)，在其他实施例中也可由三极管或模拟开关构成。
[0036]
其中，安全芯片1包括可选地由备用电池独立供电的逻辑单元 (未示出)，逻辑单元包括存储器(未示出)，存储器中至少保存有关键敏感数据，例如密钥、账户信息等。
[0037]
其中，电源电路vcoin_se包括备用电池(未示出)、例如纽扣电池，用于给rtc芯片3供电，并可选地为检测信号线2提供电平信号。如图1所示，电源电路vcoin_se通过mos管4连接到rtc 芯片3的电源接口vdd，并连接到检测信号线2的k端，在对rtc 芯片3供电的同时也为检测信号线2提供电平信号。
[0038]
其中，mos管4的a端连接检测信号线2的k端，b端连接电源电路vcoin_se，c端连接rtc芯片的电源接口vdd。当mos 管4的a端为低电平时，mos管4的c端导通，电源电路vcoin_se 给rtc芯片3供电；反之，当mos管4的a端为高电平时，mos 管4的c端不能导通，电源电路vcoin_se中断给rtc芯片3的供电。
[0039]
在图1所示的实施例中，检测信号线2的一端k连接到电源电路vcoin_se，另一端通过引脚hsas_removal_detect与pos 设备的防拆开关5或连接器6连接(参见图3与图4)。可以理解，虽然在该实施例中检测信号线的该端k与电源电路vcoin_se连接，而在其它实施例中检测信号线的该端k还可以不与电源连接，而是接地(gnd)。在该实施例中，当防拆检测电路的外部检测信号正常 (即图3或图4中的防拆开关5或连接器6正常连接)时，则检测信号线2的引脚hsas_removal_detect接地，在mos管4的a 端形成低电平，使得mos管4的c端导通，从而实现电源电路 vcoin_se给rtc芯片3供电。而与此相反，当防拆检测电路的外部检测信号出现异常(即图3或图4中的防拆开关5或连接器6连接断开)时，则检测信号线2的引脚hsas_removal_detect悬空，在mos管4的a端形成高电平，使得mos管4的c端不能导通，从而导致电源电路vcoin_se中断给rtc芯片3的供电。
[0040]
在该实施例中，rtc芯片3可以为现有技术中已知的任意类型，其包括与备用电池的电源电路vcoin_se连接的电源接口vdd，以实现对rtc芯片3的供电。rtc芯片3还包括与安全芯片1连接的读写接口scl与sda,以及实时状态监测接口int。pos设备启动时，安全芯片1采用i2c协议和rtc芯片3的sda(数据信号)、scl(时钟信号)两个读写接口进行通讯，对rtc芯片3进行初始化设置：安全芯片1将其自身的当前时间(在其它实施例中也可以是某个设定的时间)写入rtc芯片3的寄存器，比如2022年1月1日。设置成功后，rtc芯片3从该写入的时间开始启动计时。在没有断电的情况下，rtc芯片3将保持与安全芯片的时间一致，不存在时间差。而当 rtc芯片3被断电后再次启动时，将丢失之前由安全芯片1设定的时间，而恢复到其出厂设置的默认的初始值，比如1980年1月1日。然后从该初始值开始启动计时。在pos设备启动时，或启动后一段时间周期(可由安全芯片自主设定)之后，或在实时状态监测接口int 的电平变化事件触发下，安全芯片1将通过基于i2c协议的读写接口 scl与sda，读取rtc芯片3的当前时间，并将读取到的时间与其自身的时间比较，若二者一致，则判定无拆机或中断连接的安全事件发生；若二者不一致，则判定发生过安全事件，并执行禁止交易、但保留存储器中保存的关键敏感数据的操作。可以理解的是，上述安全芯片1对于rtc芯片3的时间设定可以有多种不同的方式，可根据实际需要或便利自由设定，只要设定的时间与rtc芯片3出厂设置的默认的初始值足以区分，在后续读取rtc芯片3的时间后能够通过简单计
算就能判断出在此期间rtc芯片3是否存在过掉电即可。
[0041]
同样地，在其它的实施例中，安全芯片1还可以通过读写接口设定rtc芯片3中的除时间以外的其它数据来实现本实用新型的技术效果。同样可以理解的是，在其它未示出的实施例中，防拆检测电路还可基于ram芯片实现。在pos设备启动时，安全芯片将通过读写接口将ram芯片的任何适合的某一数据初始化设定为a(此处仅为示例用)，当ram芯片发生过掉电事件时，该数据的值会发生变化(与 a不同，例如b)。在开启防移除的检测功能时，安全芯片只需读取 ram芯片中该数据的值，并将其与初始化设定值a进行比较，就能判断具体的异常情况。
[0042]
如图1所示，rtc芯片3还包括连接到安全芯片1的实时状态监测接口int。在pos设备运行状态下，如果rtc芯片3断电，会导致int接口的电平发生变化，比如从高电平变成低电平，或从低电平变成高电平。安全芯片1检测到int接口的电平变化后，则可触发安全芯片1通过scl与sda接口读取rtc芯片3的时间数据，并通过计算与自身的时间数据进行比较，从而判断具体的异常情况。由此，通过与实时状态监测接口int的连接，安全芯片1能够实时监测到rtc芯片3的异常情况。
[0043]
当日常维护操作完成或故障/异常风险排除后，维修人员重新正常安装pos设备并经过授权后，可重启pos设备的交易功能。此时，安全芯片1再次重新对rtc芯片3的时间数据进行初始化设定，开启防移除的检测功能。
[0044]
图2示出基于防拆开关5的一个具体实施例。在该实施例中，采用机械性的物理开关、即防拆开关5的方式，来控制rtc芯片3与对其供电的备用电池的电源电路vcoin_se导通与断开。pos设备安装成功后，设备终端上的防拆开关5被压住，实现导通状态，电源电路vcoin_se与rtc芯片3的电源接口vdd导通，rtc芯片3 上电。当移除和/或拆开pos设备终端时，防拆开关5弹开，导致与电源电路vcoin_se的连接断开，则rtc芯片3下电(或掉电)。在该实施例中的其它部分与图1示出的实施例相同或类似。
[0045]
需要指出的是，检测信号线可以具有多种实施方式来针对防拆机 (防止机械性地破坏物理结构连接)和/或防中断连接(断开线缆的电连接)等不同应用时检测外部信号的变化。图3与图4分别示意性地示出了检测信号线2与防拆开关5(图3)以及连接器6(图4)连接的一个示例。
[0046]
图3示意性地示出了一个根据本实用新型实施例的pos设备7，其具有防拆开关5，该防拆开关在pos设备安装使用时是被压住的，处于导通状态；此时检测信号线2的引脚hsas_removal_detect 接地，结合图1可知，在mos管4的a端形成低电平，使得mos 管4的c端导通，从而实现电源电路vcoin_se给rtc芯片3供电。而在pos设备被机械性地移除或拆机时，该防拆开关5弹开而不被压住，处于断开状态；此时，检测信号线2的引脚
[0047]
hsas_removal_detect断开接地而悬空。结合图1可知，此时由于检测信号线2的k端还连接有备用电池的电源电路vcoin_se，因此在mos管4的a端形成高电平，使得mos管4的c端不能导通，从而导致电源电路vcoin_se中断给rtc芯片3的供电。
[0048]
类似地，在一个未示出的实施例中，防拆开关还可用于确保pos 设备与系统设备的物理机械连接的完好性。为此，本公开还提供了一种金融交易系统，其包括如上所述的pos设备和系统设备，其中， pos设备与系统设备通过防拆开关机械地连接，检测信号线通过所述防拆开关连接到电源电路。一旦pos设备与系统设备的物理机械连接遭到非法地破
坏，防拆开关连接电源电路的状态将改变，从而导致检测信号线上的电平变化。
[0049]
图4示意性地示出了一个根据本实用新型实施例的金融交易系统，例如atm机或收银机，其包括如图3的实施例的pos设备7(也可以是如其它实施例的pos设备)和系统设备，例如计算机8。其中，pos设备7与计算机8通过线缆(例如，检测信号线2)电连接，该线缆包括防止断开该电连接的连接器6，检测信号线2通过连接器 6连接到电源电路或接地。连接器6在pos设备7与计算机8处于电连接状态时处于导通状态；而在pos设备7与计算机8的连接被断开时，连接器6断开，处于断开状态。由此，一旦pos设备7与计算机8之间的电连接被非法中断，连接器6连接电源电路或接地的状态将改变，从而导致检测信号线2上的电平变化。
[0050]
附图和以上说明描述了本实用新型的非限制性特定实施例。为了教导发明原理，已简化或省略了一些常规方面。本领域技术人员应该理解源自这些实施例的变型落在本实用新型的范围内。本领域技术人员应该理解上述特征能够以各种方式结合以形成本实用新型的多个变型。由此，本实用新型并不局限于上述特定实施例，而仅由权利要求和它们的等同物限定。

技术特征：

1.一种用于pos设备的防拆检测电路，其特征在于，包括：-安全芯片，所述安全芯片包括存储器，所述存储器中至少保存有关键敏感数据；-rtc芯片或ram芯片，其包括电源接口，该电源接口通过逻辑开关或防拆开关连接到备用电池的电源电路，其还包括与安全芯片连接的读写接口；-备用电池的电源电路，用于给rtc芯片或ram芯片供电，并为检测信号线提供电平信号；-检测信号线，其连接所述电源电路与逻辑开关和/或防拆开关；-逻辑开关和/或防拆开关，其设置为连接所述rtc芯片或ram芯片与所述电源电路；其中，所述安全芯片通过所述读写接口与所述rtc芯片或ram芯片连接，并设置为对所述rtc芯片或ram芯片的寄存器数据进行读写；其中，所述安全芯片设置为将读取到的所述rtc芯片或ram芯片的寄存器数据与设定的数据进行比较，当两组数据不一致时，所述安全芯片执行禁止交易、但保留所述存储器中保存的关键敏感数据的操作。2.如权利要求1所述的防拆检测电路，其特征在于，所述防拆检测电路包括rtc芯片，所述安全芯片读取到的所述rtc芯片的寄存器数据为所述rtc芯片的当前时间，所述设定的数据为所述安全芯片的当前时间。3.如权利要求1或2所述的防拆检测电路，其特征在于，包括逻辑开关，所述逻辑开关包括mos管、三级管、或模拟开关。4.如权利要求3所述的防拆检测电路，其特征在于，所述逻辑开关包括mos管，所述mos管的第一端连接所述检测信号线，第二端连接所述电源电路，第三端连接所述rtc芯片或ram芯片的电源接口。5.如权利要求1或2所述的防拆检测电路，其特征在于，所述防拆检测电路包括rtc芯片，所述rtc芯片还包括实时状态监测接口，该实时状态监测接口与安全芯片连接，并设置为当rtc芯片断电时，发生电平变化，所述安全芯片能够接收该实时状态监测接口的电平变化的信息。6.如权利要求1或2所述的防拆检测电路，其特征在于，所述关键敏感数据包括密钥和/或账户信息。7.如权利要求1或2所述的防拆检测电路，其特征在于，所述检测信号线上还设置有连接器。8.一种pos设备，其特征在于，包括如权利要求1-7中任一项所述的防拆检测电路。9.一种金融交易系统，其特征在于，包括如权利要求8所述的pos设备和系统设备，其中，所述pos设备与系统设备通过连接器电连接，所述检测信号线通过所述连接器连接到电源电路或接地。10.一种金融交易系统，其特征在于，包括如权利要求8所述的pos设备和系统设备，其中，所述pos设备与系统设备通过防拆开关机械连接，所述检测信号线通过所述防拆开关连接到电源电路或接地。11.如权利要求9或10所述的金融交易系统，其特征在于，所述金融交易系统为atm机或收银机，所述系统设备为计算机。

技术总结

本实用新型提供了一种用于POS设备的防拆检测电路，包括：安全芯片、RTC芯片或RAM芯片、备用电池的电源电路、检测信号线、逻辑开关和/或防拆开关，所述安全芯片通过所述读写接口与所述RTC芯片或RAM芯片连接，并设置为对所述RTC芯片或RAM芯片的寄存器数据进行读写；所述安全芯片设置为将读取到的所述RTC芯片或RAM芯片的寄存器数据与设定的数据进行比较，当两组数据不一致时，所述安全芯片执行禁止交易、但保留所述存储器中保存的关键敏感数据的操作。本实用新型还提供了一种包括上述防拆检测电路的POS设备及金融交易系统。电路的POS设备及金融交易系统。电路的POS设备及金融交易系统。