本申請(qǐng)案涉及一種篡改檢測(cè)，且特定來說，涉及一種篡改檢測(cè)設(shè)備及方法。

背景技術(shù)：

金融交易的安全是持續(xù)關(guān)注點(diǎn)。舉例來說，一個(gè)世界性的問題是信用卡詐騙，其會(huì)導(dǎo)致金錢損失及身份盜用。一個(gè)特定的關(guān)注點(diǎn)是存取、處理及存儲(chǔ)與金融交易有關(guān)的敏感數(shù)據(jù)的交互點(diǎn)(POI)處的安全，所述交互點(diǎn)(POI)例如是銷售點(diǎn)終端或智能儀表系統(tǒng)。POI可有人照管(舉例來說，在零售商店內(nèi)部)或無人照管(舉例來說，汽車燃料施配器、自動(dòng)販賣機(jī)、停車計(jì)時(shí)器及自動(dòng)取款機(jī))。一些POI從卡上的磁條讀取信息并另外需要簽名。一些POI從嵌入于卡中的電子電路讀取信息并另外需要對(duì)個(gè)人識(shí)別號(hào)(PIN)的輸入。一些POI從附近的手機(jī)或其它電子裝置讀取信息。POI易受到多種欺詐行為的攻擊，舉例來說，被添加用以讀取卡的外部硬件(盜讀(skimming))、被添加用以攔截或監(jiān)測(cè)交易的內(nèi)部電子器件、或盜竊并拆解裝置且接著讀取存儲(chǔ)在存儲(chǔ)器中的敏感數(shù)據(jù)。

金融支付行業(yè)已為POI的制造商實(shí)施了多種標(biāo)準(zhǔn)。在美國，支付卡行業(yè)(PCI)已開發(fā)出數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)。在歐洲，一些支付行業(yè)公司(Europay、MasterCard及Visa(EMV))已針對(duì)使用嵌入式電子芯片的卡開發(fā)出一組單獨(dú)的標(biāo)準(zhǔn)。對(duì)于PIN交易安全(PTS)，PCI具有一組單獨(dú)的標(biāo)準(zhǔn)。對(duì)POI系統(tǒng)的一個(gè)實(shí)例性安全要求是篡改檢測(cè)并在檢測(cè)到篡改后使系統(tǒng)立即不能操作。另外，POI系統(tǒng)需要在檢測(cè)到篡改后即刻擦除任何敏感數(shù)據(jù)。所述標(biāo)準(zhǔn)確立了若干目標(biāo)，但其并未詳細(xì)地指定必須如何滿足所述目標(biāo)。而是，支付行業(yè)對(duì)POI系統(tǒng)制造商給出了進(jìn)行構(gòu)建及測(cè)試所依據(jù)的安全準(zhǔn)則，且POI系統(tǒng)制造商在實(shí)施符合所述安全準(zhǔn)則的POI時(shí)仍具有某一設(shè)計(jì)自由度。

技術(shù)實(shí)現(xiàn)要素：

在一個(gè)實(shí)施例中，揭示一種金融交易系統(tǒng)。所述金融交易系統(tǒng)包括：多個(gè)傳感器；篡改檢測(cè)模塊，其包括：第一電路，其耦合到所述傳感器，可配置以控制哪些傳感器被使用；且其中所述第一電路可在所述篡改檢測(cè)模塊已制造出之后配置。

在一個(gè)實(shí)施例中，揭示一種用于配置金融交易系統(tǒng)的方法。所述方法包括：由處理器將控制信息寫入到篡改檢測(cè)模塊中耦合到傳感器的寄存器，其中所述寄存器確定哪些傳感器是作用的。

在另一實(shí)施例中，揭示一種篡改檢測(cè)模塊。所述篡改檢測(cè)模塊包括：多個(gè)傳感器；傳感器電路，其耦合到所述傳感器；處理器；及第一電路，其耦合到所述處理器及所述傳感器電路，包括可由所述處理器寫入的寄存器，所述第一電路可由所述寄存器配置以控制哪些傳感器被使用。

附圖說明

圖1是POI系統(tǒng)的實(shí)例性實(shí)施例的框圖示意圖。

圖2A是用于監(jiān)測(cè)殼體完整性的實(shí)例性電路的示意圖。

圖2B是殼體的實(shí)例性實(shí)施例的一部分的橫截面，其圖解說明圖2A中所圖解說明的開關(guān)的實(shí)例性實(shí)施例。

圖3A是用于監(jiān)測(cè)殼體完整性的另一實(shí)例性電路的框圖示意圖。

圖3B是圖3A中所圖解說明的金屬絲網(wǎng)的實(shí)例性實(shí)施例的一部分的額外細(xì)節(jié)的平面圖。

圖4是用于檢測(cè)篡改的方法的實(shí)例性實(shí)施例的流程圖。

具體實(shí)施方式

在以下說明中，POI系統(tǒng)包含篡改檢測(cè)模塊。如果篡改檢測(cè)模塊檢測(cè)到篡改，那么所述篡改檢測(cè)模塊經(jīng)配置以立即擦除存儲(chǔ)器，甚至在POI系統(tǒng)的其余部分不能使用或被破壞的情況下也如此。所述篡改檢測(cè)模塊是現(xiàn)場(chǎng)可配置的。也就是說，POI系統(tǒng)的制造商可編程監(jiān)測(cè)哪些條件、用于確定是否應(yīng)起始篡改觸發(fā)信號(hào)的準(zhǔn)則及由篡改觸發(fā)信號(hào)引起的行動(dòng)。

以下是篡改檢測(cè)模塊的屬性的實(shí)例性列表：

自含式電源(電池)及時(shí)鐘。

殼體完整性監(jiān)測(cè)。

溫度監(jiān)測(cè)。

系統(tǒng)時(shí)鐘監(jiān)測(cè)。

傳感器的可編程啟用。

用于確定篡改的可編程準(zhǔn)則。

用于向外部指示篡改的可編程輸入/輸出(I/O)。

修改存儲(chǔ)器中的數(shù)據(jù)以防止對(duì)靜態(tài)存儲(chǔ)器的壓印。

在檢測(cè)到篡改時(shí)立即進(jìn)行系統(tǒng)關(guān)閉及存儲(chǔ)器擦除。

不可擦除的篡改記錄存儲(chǔ)器。

圖1圖解說明實(shí)例性POI系統(tǒng)100。POI系統(tǒng)100至少部分地被容納于殼體102內(nèi)。讀取器104從卡上的磁條或從卡上的電子電路或從被緊密接近讀取器104保持的電子裝置(舉例來說，手機(jī))無線地讀取金融賬戶信息。觸摸墊106接收被手動(dòng)輸入的信息，例如PIN或電話號(hào)碼?；蛘?，可獲取其它個(gè)人標(biāo)識(shí)，舉例來說，生物識(shí)別數(shù)據(jù)，例如指紋掃描、面部辨識(shí)、視網(wǎng)膜掃描等。處理器108控制POI系統(tǒng)100。通信模塊110向POI系統(tǒng)100外部發(fā)送及從POI系統(tǒng)100外部接收信息。舉例來說，通信模塊110可向支付公司發(fā)送帳戶ID及交易金額并接收交易批準(zhǔn)。舉例來說，通信模塊110可使用電話陸線或者有線或無線網(wǎng)絡(luò)。打印機(jī)112打印收據(jù)。如果POI 100是自動(dòng)取款機(jī)，那么將存在現(xiàn)金施配器(未展示)。POI 100包含至少一個(gè)主系統(tǒng)時(shí)鐘114及至少一個(gè)主系統(tǒng)電源116。圖1中的POI系統(tǒng)100僅是用于圖解說明及論述的實(shí)例。在一些實(shí)施例中，一些邏輯分區(qū)/塊/模塊可被集成為較大功能單元的一部分，一些功能單元可在物理上分離，一些功能單元可不被包含，可存在未圖解說明的額外功能單元，且劃分形式可能不同于所圖解說明的形式。

圖1中所圖解說明的實(shí)例性POI系統(tǒng)100還包含篡改檢測(cè)模塊118。篡改檢測(cè)模塊118包括由配置寄存器122啟用的多個(gè)傳感器電路120。傳感器電路120耦合到各種傳感器124。如下文將更詳細(xì)地論述，傳感器124監(jiān)測(cè)溫度、時(shí)鐘頻率、電源電壓及其它操作條件。篡改檢測(cè)模塊118還包含可編程輸入/輸出(PIO)126。如下文將更詳細(xì)地論述，PIO 126耦合到各種開關(guān)及金屬絲網(wǎng)或用于監(jiān)測(cè)殼體的狀態(tài)及物理完整性以及其它系統(tǒng)工作狀態(tài)信息(舉例來說，硬件自測(cè)試)的其它裝置。傳感器電路120及PIO 126的輸出通過個(gè)別可編程的鑒定狀態(tài)機(jī)(QSM)130來處理。當(dāng)滿足某些條件時(shí)，QSM 130會(huì)產(chǎn)生觸發(fā)信號(hào)，且所述觸發(fā)信號(hào)用于起始例如系統(tǒng)復(fù)位、存儲(chǔ)器擦除等可編程行動(dòng)。篡改檢測(cè)模塊118還包含控制器132、存儲(chǔ)器134及寄存器組136。篡改檢測(cè)模塊118還包含內(nèi)部時(shí)鐘138，內(nèi)部時(shí)鐘138用于監(jiān)測(cè)主系統(tǒng)時(shí)鐘114，且在主系統(tǒng)時(shí)鐘114出故障或不能使用的情況下還由篡改檢測(cè)模塊118用作備用時(shí)鐘。篡改檢測(cè)模塊118還包含帶備用電池的電源140，使得其可在POI系統(tǒng)100的主系統(tǒng)電源116出故障或不能使用的情況下繼續(xù)操作。POI系統(tǒng)100將經(jīng)加密的敏感數(shù)據(jù)存儲(chǔ)在存儲(chǔ)器134中及寄存器組136中。篡改檢測(cè)模塊118經(jīng)配置以在某些條件被滿足時(shí)擦除存儲(chǔ)器134及/或寄存器組136。

傳感器124可為殼體102內(nèi)的單獨(dú)裝置，或者可為POI系統(tǒng)100的功能部件的一部分(舉例來說，主系統(tǒng)時(shí)鐘114的一部分或系統(tǒng)電源116的一部分)。舉例來說，一或多個(gè)溫度傳感器可監(jiān)測(cè)殼體102內(nèi)的溫度，其它溫度傳感器可監(jiān)測(cè)處理器108的溫度，頻率傳感器可監(jiān)測(cè)主系統(tǒng)時(shí)鐘114的頻率，且電壓傳感器可監(jiān)測(cè)來自系統(tǒng)電源116的電壓。

PIO 126可例如被配置為開關(guān)狀態(tài)檢測(cè)器、金屬絲網(wǎng)對(duì)(驅(qū)動(dòng)器/接收器)或用以接收自測(cè)試信息的電路。PIO 126可經(jīng)配置以監(jiān)測(cè)常開開關(guān)或常閉開關(guān)。其可被配置為驅(qū)動(dòng)器或接收器，且經(jīng)配置以用三態(tài)輸出進(jìn)行驅(qū)動(dòng)、提供輸入上拉等。

篡改檢測(cè)模塊118可由POI系統(tǒng)100的制造商配置。舉例來說，配置寄存器122可由POI系統(tǒng)100的制造商編程以確定哪些傳感器124被使用。優(yōu)選地，配置寄存器122被加以存儲(chǔ)器映射且可由處理器108直接存取。另外，QSM 130可由POI系統(tǒng)100的制造商編程以確定某些條件何時(shí)被滿足而產(chǎn)生觸發(fā)信號(hào)。另外，由觸發(fā)信號(hào)引起的內(nèi)部行動(dòng)(例如對(duì)系統(tǒng)的全部或一部分進(jìn)行復(fù)位或擦除存儲(chǔ)器)是可編程的。另外，POI系統(tǒng)100的未處于篡改檢測(cè)模塊118內(nèi)的部分可包含單獨(dú)的傳感器、測(cè)試電路或篡改檢測(cè)電路，且來自那些外部傳感器及電路的信息可被發(fā)送到篡改檢測(cè)模塊118(經(jīng)由可編程PIO 126)以起始適當(dāng)行動(dòng)。

如上文所論述，QSM 130可由POI系統(tǒng)100的制造商配置以確定某些條件何時(shí)被滿足而產(chǎn)生觸發(fā)信號(hào)?？删幊虠l件的一個(gè)實(shí)例性目的是防止誤觸發(fā)信號(hào)。QSM 130的可配置參數(shù)是通過配置寄存器122來控制。在一個(gè)實(shí)例性實(shí)施例中，由傳感器電路120及PIO 126周期性地對(duì)條件進(jìn)行取樣。QSM 130可經(jīng)配置以需要檢測(cè)到多個(gè)故障后才產(chǎn)生觸發(fā)信號(hào)。舉例來說，QSM 130可經(jīng)配置以在兩個(gè)模式中的一者中操作。第一實(shí)例性模式是其中在故障的數(shù)目超過可編程閾值計(jì)數(shù)時(shí)產(chǎn)生篡改觸發(fā)信號(hào)的閾值計(jì)數(shù)模式。第二實(shí)例性模式將可編程計(jì)時(shí)器與可編程閾值相組合。在第二模式中，在可編程時(shí)間窗內(nèi)對(duì)故障進(jìn)行計(jì)數(shù)，且當(dāng)故障的數(shù)目在所述時(shí)間窗內(nèi)超過可編程閾值時(shí)，產(chǎn)生篡改觸發(fā)信號(hào)。下文更詳細(xì)地論述關(guān)于溫度感測(cè)及時(shí)鐘頻率感測(cè)的額外實(shí)例性QSM鑒定。

監(jiān)測(cè)殼體及物理完整性的一個(gè)實(shí)例是監(jiān)測(cè)彈簧負(fù)載式開關(guān)的狀態(tài)，所述彈簧負(fù)載式開關(guān)可通過松動(dòng)螺絲或拆卸其它類型的緊固件而被激活。另一實(shí)例是檢測(cè)放置在殼體內(nèi)部或敏感硬件周圍的一個(gè)或多個(gè)金屬絲網(wǎng)的連續(xù)性。

圖2A是用以指示殼體完整性的實(shí)例性電路200的示意圖。開關(guān)204耦合到NAND門208的第一輸入。上拉電阻器206將NAND門208的第一輸入保持為高，直到開關(guān)204將NAND門208的第一輸入拉到接地。NAND門208的第二輸入是ENABLE信號(hào)。開關(guān)204是圖1中的開關(guān)128的實(shí)例。NAND門208是圖1中的PIO 126的實(shí)例。ENABLE信號(hào)是來自配置寄存器122(圖1)的用以配置哪些開關(guān)128及哪些傳感器電路120作用的信號(hào)的實(shí)例。NAND門208及上拉電阻器206是PIO 126的可配置性的實(shí)例。如上文所論述，PIO 126可被配置為驅(qū)動(dòng)器或接收器，且經(jīng)配置以用三態(tài)輸出進(jìn)行驅(qū)動(dòng)、提供輸入上拉等。

圖2B圖解說明POI殼體102的實(shí)例的一部分的剖視圖。在圖2的實(shí)例中，殼體102的外部分210可使用螺絲214被緊固到內(nèi)部分212。在其它實(shí)施例中，可使用其它緊固形式(舉例來說，鉚釘、夾具、粘合劑等)。當(dāng)殼體外部分210接近殼體內(nèi)部分212而定位時(shí)，被附接到外部分210的突片216會(huì)激活內(nèi)部分212上的開關(guān)218。開關(guān)218是圖2A中的開關(guān)204的實(shí)例。在POI系統(tǒng)100內(nèi)殼體的一部分可被移除的任何位置處可定位有多個(gè)開關(guān)。在一個(gè)實(shí)例性實(shí)施例中，開關(guān)218是彈簧負(fù)載式開關(guān)，其在柔性表面形成圓頂狀從而指示突片216不再壓靠所述表面時(shí)斷開。

圖3A是用以監(jiān)測(cè)殼體完整性的另一實(shí)例性電路300的示意圖。驅(qū)動(dòng)器302由偽隨機(jī)信號(hào)驅(qū)動(dòng)。驅(qū)動(dòng)器302驅(qū)動(dòng)金屬絲網(wǎng)304的一端，金屬絲網(wǎng)304是被制作成蜿蜒狀區(qū)域填充圖案的連續(xù)導(dǎo)體(圖3B中所圖解說明)。金屬絲網(wǎng)304的第二端耦合到接收器306。如果侵入者將要鉆通、切割或以其它方式割斷導(dǎo)體網(wǎng)304，那么篡改檢測(cè)模塊118中的所連接PIO 126將檢測(cè)到此破壞。所述偽隨機(jī)信號(hào)通過向外部產(chǎn)生信號(hào)而確保侵入者無法輕易地繞過所述網(wǎng)。驅(qū)動(dòng)器302及接收器306是PIO 126的可配置性的實(shí)例。如上文所論述，PIO 126可被配置為驅(qū)動(dòng)器或接收器，且經(jīng)配置以用三態(tài)輸出進(jìn)行驅(qū)動(dòng)、提供輸入上拉等。

圖3B圖解說明圖3A的金屬絲網(wǎng)304的一部分的額外細(xì)節(jié)。如所圖解說明，導(dǎo)體308被制作成區(qū)域填充蜿蜒狀圖案。金屬絲網(wǎng)304可被制作于印刷電路板上或制作于柔性襯底上。所述區(qū)域填充蜿蜒狀圖案使得侵入者難以找到鉆通或切通所述網(wǎng)的安全位置。

傳感器124內(nèi)可存在用于監(jiān)測(cè)POI系統(tǒng)100中的多個(gè)位置處的溫度的多個(gè)溫度傳感器。超出所指定溫度范圍而操作可指示處理器108即將要出故障且可需要關(guān)閉POI系統(tǒng)100?；蛘?，遠(yuǎn)超出所指定溫度范圍而操作可指示在存儲(chǔ)器可被擦除之前使POI系統(tǒng)100不能使用或受破壞的惡意企圖。

用于監(jiān)測(cè)溫度的實(shí)例性可配置QSM 130具有可編程最小溫度、可編程最大溫度及兩個(gè)可編程百分比。如果所監(jiān)測(cè)溫度處于所編程最小溫度或最大溫度的第一百分比內(nèi)，那么QSM 130產(chǎn)生警告信號(hào)以給出POI系統(tǒng)100采取行動(dòng)的機(jī)會(huì)，例如通過接通加熱或冷卻。如果所監(jiān)測(cè)溫度比所編程最小溫度低出第二百分比或比所編程最大溫度高出第二百分比，那么QSM 130產(chǎn)生觸發(fā)信號(hào)以起始較高級(jí)響應(yīng)，例如系統(tǒng)關(guān)閉。

POI系統(tǒng)100可具有多個(gè)主系統(tǒng)時(shí)鐘114、多個(gè)篡改檢測(cè)模塊內(nèi)部時(shí)鐘138，且傳感器124內(nèi)可存在用于監(jiān)測(cè)時(shí)鐘頻率的多個(gè)傳感器。用于時(shí)鐘頻率監(jiān)測(cè)的一個(gè)實(shí)例性傳感器124包括兩個(gè)計(jì)數(shù)器。一個(gè)計(jì)數(shù)器對(duì)來自主系統(tǒng)時(shí)鐘114的時(shí)鐘循環(huán)進(jìn)行計(jì)數(shù)，且第二計(jì)數(shù)器對(duì)來自篡改檢測(cè)模塊118中的篡改檢測(cè)內(nèi)部時(shí)鐘138的時(shí)鐘循環(huán)進(jìn)行計(jì)數(shù)。將兩個(gè)計(jì)數(shù)進(jìn)行比較會(huì)實(shí)現(xiàn)檢測(cè)主系統(tǒng)時(shí)鐘114是否處于所指定范圍內(nèi)。時(shí)鐘頻率失敗事件由QSM 130處理以確定是否將產(chǎn)生篡改觸發(fā)信號(hào)。作為實(shí)例，如果兩個(gè)連續(xù)頻率樣本指示超出范圍的系統(tǒng)時(shí)鐘，那么QSM 130可產(chǎn)生篡改觸發(fā)信號(hào)。在時(shí)鐘頻率篡改觸發(fā)信號(hào)的情況下，篡改檢測(cè)模塊118切換到其內(nèi)部時(shí)鐘138。

一種惡意攻擊方法是用極高頻率的電磁性刺激干擾電子器件以企圖在存儲(chǔ)器可被擦除之前使系統(tǒng)不能使用。用于時(shí)鐘頻率監(jiān)測(cè)的傳感器124的第二實(shí)例包括高速延遲線。所述延遲線在時(shí)鐘的一個(gè)邊緣處被觸發(fā)。如果時(shí)鐘的下一邊緣在延遲線的輸出之前出現(xiàn)，那么所述延遲線會(huì)產(chǎn)生指示所述時(shí)鐘太快的篡改觸發(fā)信號(hào)。第二實(shí)例性時(shí)鐘頻率傳感器比第一實(shí)例性時(shí)鐘頻率傳感器快，但第二實(shí)例性傳感器無法檢測(cè)到低頻率故障。

篡改檢測(cè)模塊118包含寄存器組136，以用于存儲(chǔ)執(zhí)行交易所需的關(guān)鍵安全數(shù)據(jù)。寄存器組136被劃分成兩個(gè)區(qū)段：用于存儲(chǔ)數(shù)據(jù)的一個(gè)區(qū)段及用于存儲(chǔ)加擾密鑰的第二區(qū)段。加擾是可經(jīng)由PIO 126啟用的選項(xiàng)。當(dāng)加擾被啟用時(shí)，使用“異或”電路將來自處理器108的數(shù)據(jù)與加擾密鑰進(jìn)行邏輯組合，然后寫入到寄存器組136中。對(duì)于一些存儲(chǔ)器技術(shù)，靜態(tài)存儲(chǔ)器狀態(tài)可被壓印(經(jīng)由氧化物聚集、對(duì)電荷或磁場(chǎng)的不完整擦除等)，使得在擦除之后有時(shí)可識(shí)別出靜態(tài)值。為防止靜態(tài)壓印，寄存器組136中的數(shù)據(jù)被周期性地反轉(zhuǎn)。反轉(zhuǎn)過程對(duì)于處理器108來說是透明的(硬件將始終返回正確值)。

存儲(chǔ)器134被劃分成兩個(gè)區(qū)段，其中的一個(gè)區(qū)段用于存儲(chǔ)在篡改事件的情況下被擦除的經(jīng)加密敏感數(shù)據(jù)，且第二不可擦除區(qū)段用于存儲(chǔ)篡改記錄及在篡改事件之后用于分析的其它調(diào)試信息。篡改記錄指示傳感器124的輸出恰在觸發(fā)信號(hào)之前的最后狀態(tài)。

對(duì)觸發(fā)信號(hào)的響應(yīng)可經(jīng)由到控制器132的輸入來配置。響應(yīng)可選自可能響應(yīng)列表的任一組合。實(shí)例性可能響應(yīng)列表包含接通加熱或冷卻、向處理器108發(fā)布中斷、重新啟動(dòng)POI系統(tǒng)100、快速(2到3個(gè)時(shí)鐘循環(huán))擦除寄存器組136(包含加擾密鑰寄存器)、擦除存儲(chǔ)器134、關(guān)閉POI系統(tǒng)100等。特定來說，一些篡改觸發(fā)信號(hào)不需要引起對(duì)存儲(chǔ)器134的擦除。舉例來說，如果篡改檢測(cè)模塊118感測(cè)到帶有備用電池的電源140已出故障，那么可產(chǎn)生引起對(duì)寄存器組136的擦除的復(fù)位，但存儲(chǔ)器134可不被擦除。如果自測(cè)試(舉例來說，處理器108的邊界掃描測(cè)試)指示硬件故障，那么系統(tǒng)可被重新啟動(dòng)。

篡改檢測(cè)模塊118內(nèi)的帶有備用電池的電源140通常由POI系統(tǒng)100從外部供電，但電源140可在外部電力丟失時(shí)回復(fù)到內(nèi)部電池。

圖4是圖解說明用于配置金融交易系統(tǒng)的實(shí)例性方法400的流程圖。在步驟402處，處理器將控制信息寫入到篡改檢測(cè)模塊中耦合到傳感器的寄存器，其中所述寄存器確定哪些傳感器是作用的。

盡管已在本文中詳細(xì)描述了本發(fā)明的說明性及當(dāng)前優(yōu)選實(shí)施例，但應(yīng)理解，可以其它方式不同地體現(xiàn)及采用發(fā)明性概念，且所附權(quán)利要求書打算理解為包含此些變化形式，受現(xiàn)有技術(shù)限制的除外。