一種atm加密授權集線器及方法

一種atm加密授權集線器及方法
【技術領域】
[0001]本發明涉及金融自助終端領域，尤其是涉及一種可安裝在銀行自動柜員機、多媒體信息終端等金融自助終端上的加密授權集線器及加密授權方法。
【背景技術】
[0002]隨著ATM等金融自助終端的普遍運用，作為ATM的核心設備，鈔票處理模塊(下述簡稱ATM機芯)的安全性越來越受到客戶、銀行、監管方的關注，無論是在物理結構、整機安裝上都有相應的安全規范。但是ATM機芯在和ATM工業控制PC主機(下述簡稱應用端主機)在通信方面一直都是沿用透明明文的傳輸，絕大部分應用程序、驅動程序都是直接參考ATM機芯廠商的通信協議進行ATM機芯模塊部件的通信和狀態控制，并且都使用ATM機芯的提供的物理接口，如RS232、USB接口，數據報文采用的明文傳輸。顯然在可預見的環境中，雖然有ATM機芯里裝在保險柜內部的，相對物理上是安全，但在ATM機芯的邏輯控制上，這種明文通信控制機芯的傳輸方式是存在明顯缺陷的，使ATM現金安全問題在預防高科技犯罪時就尤為突出，即可以通過截獲應用端主機至ATM機芯的通信報文并進行解析，從外部接管、控制ATM機芯；或者是采用ATM機芯測試程序、非法的應用程序軟件，直接控制ATM機芯模塊。
[0003]中華人民共和國國家知識產權局于2013年09月04日公開了授權公告號為CN103280030A的專利文獻，名稱是一種ATM機，包括殼體、豎向設置在殼體前端上部的操作面板、出鈔口、插卡口、處理控制器、點鈔機和鈔票箱、所述的ATM機還包括人體感應裝置，所述人體感應裝置連接到處理控制器。該方案仍然存在應用端主機和ATM機芯之間的通信報文可能被非法截獲的問題。

【發明內容】

[0004]本發明主要是解決現有技術所存在的ATM機芯和應用端主機之間通信安全無法得到保障的技術問題，提供一種驗證ATM機芯和應用端主機是否合法、保證通信各方的合法性和可信性、提高ATM機芯通信安全性的ATM加密授權集線器及方法。
[0005]本發明針對上述技術問題主要是通過下述技術方案得以解決的:一種ATM加密授權集線器，包括主控加密授權單元、USB集線器單元和為整個集線器供電的電源單元，所述USB集線器單元和主控加密授權單元都與電源單元連接，所述主控加密授權單元通過USB集線器單元接連接到應用端主機，所述USB集線器單元還連接ATM機芯。
[0006]作為優選，所述主控加密授權單元包括IS32U256AB芯片，USB集線器單元包括USB2517芯片和第一連接器，IS32U256AB芯片的30腳和31腳通過阻容電路連接USB2517芯片；USB2517芯片的58腳通過電阻R51連接第一連接器的2腳，59腳通過電阻R52連接第一連接器的3腳，第一連接器接到應用端主機的USB接口。
[0007]主控加密授權單元完成對整個集線器的控制，在驗證通過以后建立ATM機芯和應用端的通信連接。
[0008]作為優選，所述IS32U256AB芯片的3腳、4腳、5腳、6腳、7腳和8腳分別通過一個輸出模塊連接USB2517芯片的2腳、4腳、7腳、9腳、12腳和54腳，每個輸出模塊包括第一電阻、第二電阻、第三電阻和三極管；第一電阻的第一端連接電源5VCC，第二端連接三極管的基極；第二電阻的第一端連接三極管的基極，第二端接地；三極管的發射極通過第三電阻接地，集電極連接到USB2517芯片；三極管的基極連接到IS32U256AB芯片；USB2517芯片連接有六個輸出口，六個輸出口都連接到ATM機芯。
[0009]IS32U256AB芯片的3腳、4腳、5腳、6腳、7腳、8腳通過阻容、三極管控制USB2517的2腳、4腳、7腳、9腳、12腳、54腳的信號，從而達到控制USB集線器的六個輸出口的目的。
[0010]一種基于ATM加密授權集線器的ATM加密授權方法，包括以下步驟:
A、整機上電，應用端主機向ATM加密授權集線器發起第一驗證請求；
B、ATM加密授權集線器接收到第一驗證請求以后，驗證應用端主機是否合法，如果應用端主機合法，則進入步驟C ;如果應用端主機非法，則停止后續步驟，結束加密授權過程；
C、ATM加密授權集線器發送第二驗證請求到應用端主機；
D、應用端主機接收到第二驗證請求以后，驗證ATM加密授權集線器是否合法，如果ATM加密授權集線器合法，則進入步驟E ;如果ATM加密授權集線器非法，則停止后續步驟，結束加密授權過程；
E、ATM加密授權集線器建立應用端主機和ATM機芯的通信連接，ATM機芯為應用端主機提供常規服務。
[0011]作為優選，ATM加密授權集線器建立應用端主機和ATM機芯的通信連接以后，應用端主機每隔5秒查詢ATM加密授權集線器是否有響應，如果無響應則判定ATM加密授權集線器與應用端主機斷開連接，重新進入步驟A。這一過程是通過軟件的心跳機制實現的。
[0012]EHUB的雙向驗證的加密算法采用專用國密算法芯片，主要算法是SM2、SM3、SM4，也可使用RSA和TripleDES和DEA。
[0013]本方案采用雙向驗證機制，只有經過雙向驗證的主機應用軟件和EHUB模塊，才能夠啟用對機芯的操作，使得在機芯的操作時受到加密授權保護，即保險柜的機芯既是物理上處理安全位置，邏輯控制也是加密控制保護的。非法的主機應用軟件是無法開啟機芯的，同樣也無法讀取機芯狀態。
[0014]本方案中，核心在于對機芯數據通道的授權，授權通過以后，機芯的通信還是使用原先的明文，而不需要對機芯的所有指令都進行加密和解密，這樣在保證安全性的前提下減少了對資源的消耗，也提高了響應速度。
[0015]本發明帶來的實質性效果是，在建立ATM機芯和應用端主機之間的連接之前驗證通信ATM加密授權集線器和應用端主機的合法性，防止ATM機芯被非法設備或軟件接管、控制，提尚安全性。
【附圖說明】
[0016]圖1是本發明的一種結構框圖；
圖2是本發明的一種USB集線器單元電路原理圖；
圖3是本發明的一種主控加密授權單元電路原理圖；
圖4是本發明的一種電源單元電路原理圖； 圖中:1、USB集線器單元，2、主控加密授權單元，3、電源單元，4、應用端主機，5、ATM機芯，11、USB2517芯片，12、第一連接器。
【具體實施方式】
[0017]下面通過實施例，并結合附圖，對本發明的技術方案作進一步具體的說明。
[0018]實施例:本實施例的一種ATM加密授權集線器(Encrypt1n HUB，EHUB)，如圖1所示，包括USB集線器單元1、主控加密授權單元2和電源單元3，主控加密授權單元2、USB集線器單元I都與電源