本發(fā)明涉及一種有線安全終端固件便捷灌裝方法以及系統(tǒng)。

背景技術(shù)：

隨著智能安全設(shè)備的規(guī)模化發(fā)展，面向多業(yè)務(wù)渠道應(yīng)用的同一硬件型號的嵌入式智能安全終端(如：智能pos終端)，往往需要針對不同業(yè)務(wù)渠道應(yīng)用(如：招商銀行、銀聯(lián)商務(wù)、快錢支付等定制固件的不同應(yīng)用場景)，提供不同的嵌入式固件以滿足客戶需求；同時，為使最終用戶取得終端設(shè)備即可開通使用，定制固件往往需要在生產(chǎn)環(huán)節(jié)中完成。

為保證各定制固件在生產(chǎn)過程中灌裝的正確性，目前多數(shù)企業(yè)在批量制造過程中，主要采用人工參與程度較高的生產(chǎn)管理辦法。比如：在智能pos終端生產(chǎn)過程中，依托管理流程，人為或者通過生產(chǎn)信息化管理系統(tǒng)傳遞軟件固件文件、灌裝配置清單等信息，采用一臺臺灌裝的方式進行固件下載。這種方式雖然在多數(shù)企業(yè)已被應(yīng)用多年，在各個管控環(huán)節(jié)均可明確到責(zé)任人，且有成熟的異常保障機制，但是安全終端連接的接口較少，因此總體灌裝效率很低，生產(chǎn)成本很高。

技術(shù)實現(xiàn)要素：

本發(fā)明要解決的技術(shù)問題，在于提供一種有線安全終端固件便捷灌裝方法以及系統(tǒng)，提高固件灌裝的效率、安全性以及便捷性。

本發(fā)明之一是這樣實現(xiàn)的：一種有線安全終端固件便捷灌裝方法，用于安全終端的固件灌裝，包括一灌裝平臺，還包括至少一前置服務(wù)器，所述前置服務(wù)器設(shè)有本地接口，所述前置服務(wù)器通過網(wǎng)絡(luò)連接至所述灌裝平臺，具體包括如下步驟：

步驟1、獲取需要灌裝固件的安全終端生產(chǎn)序列號列表或者清單，并導(dǎo)入到文件管理服務(wù)器中的，并設(shè)置好相應(yīng)的灌裝配置信息；

步驟2、安全終端通過前置服務(wù)器的本地接口連接至灌裝平臺，下載身份鑒權(quán)認證核心機制代碼；

步驟3、安全終端運行身份鑒權(quán)認證核心機制代碼，之后與灌裝平臺進行身份驗證，驗證通過之后下載固件文件；

步驟4、固件文件下載完畢后，安全終端校驗灌裝文件的完整性，進行灌裝并回復(fù)灌裝結(jié)果。

進一步地，所述步驟1進一步具體為：獲取需要灌裝固件的安全終端生產(chǎn)序列號列表或者清單，并導(dǎo)入到文件管理服務(wù)器中的，并設(shè)置好相應(yīng)的灌裝配置信息；所述灌裝平臺設(shè)有一加密芯片，灌裝平臺生成灌裝過程中每臺安全終端所需的整組密鑰，并放置至加密芯片。

進一步地，所述密鑰全部進行加密處理。

進一步地，所述步驟1與步驟2之間還設(shè)有一步驟11、安全終端向灌裝平臺發(fā)送連接請求；灌裝平臺設(shè)置精準的rtc時間，安全終端在生產(chǎn)調(diào)試完成時，同步配置好當(dāng)前的rtc時間，將當(dāng)前rtc時間作為隨機密鑰，終端硬件序列號為固定密鑰，進行加密傳輸；灌裝平臺接收到加密數(shù)據(jù)后，按照算法進行解密，計算出安全終端傳輸?shù)膔tc時間，并與當(dāng)前平臺的rtc時間進行比較，如果相差限定時間期間內(nèi)，則認為當(dāng)前灌裝請求合法有效，進入步驟2；否則不允許安全終端通過前置服務(wù)器的本地接口連接至灌裝平臺。

進一步地，所述步驟3中與灌裝平臺進行身份驗證進一步具體為：安全終端首次發(fā)起請求時，灌裝平臺進行安全終端的身份驗證；若驗證失敗，則灌裝平臺不再響應(yīng)該安全終端的接入請求；

同時，安全終端發(fā)起首次請求時，生成隨機數(shù)據(jù)串，并上傳至灌裝平臺，由灌裝平臺將該隨機串按照限定的加密算法進行加密，并回復(fù)至安全終端；安全終端接收到請求回復(fù)時，校驗該加密數(shù)據(jù)是否匹配，如果不匹配則認為非法平臺，不接受該平臺的后續(xù)控制和傳輸要求。

進一步地，還包括步驟5、灌裝平臺統(tǒng)計灌裝成功數(shù)量，并生成報表。

本發(fā)明之二是這樣實現(xiàn)的：一種有線安全終端固件便捷灌裝系統(tǒng)，用于安全終端的固件灌裝，包括一灌裝平臺，還包括至少一前置服務(wù)器，所述前置服務(wù)器設(shè)有本地接口，所述前置服務(wù)器通過網(wǎng)絡(luò)連接至所述灌裝平臺，具體包括如下模塊：

準備模塊，獲取需要灌裝固件的安全終端生產(chǎn)序列號列表或者清單，并導(dǎo)入到文件管理服務(wù)器中的，并設(shè)置好相應(yīng)的灌裝配置信息；

下載代碼模塊，安全終端通過前置服務(wù)器的本地接口連接至灌裝平臺，下載身份鑒權(quán)認證核心機制代碼；

下載固件模塊，安全終端運行身份鑒權(quán)認證核心機制代碼，之后與灌裝平臺進行身份驗證，驗證通過之后下載固件文件；

灌裝模塊，固件文件下載完畢后，安全終端校驗灌裝文件的完整性，進行灌裝并回復(fù)灌裝結(jié)果。

進一步地，所述準備模塊進一步具體為：獲取需要灌裝固件的安全終端生產(chǎn)序列號列表或者清單，并導(dǎo)入到文件管理服務(wù)器中的，并設(shè)置好相應(yīng)的灌裝配置信息；所述灌裝平臺設(shè)有一加密芯片，灌裝平臺生成灌裝過程中每臺安全終端所需的整組密鑰，并放置至加密芯片。

進一步地，所述密鑰全部進行加密處理。

進一步地，所述準備模塊與下載代碼模塊之間還設(shè)有一驗證模塊、安全終端向灌裝平臺發(fā)送連接請求；灌裝平臺設(shè)置精準的rtc時間，安全終端在生產(chǎn)調(diào)試完成時，同步配置好當(dāng)前的rtc時間，將當(dāng)前rtc時間作為隨機密鑰，終端硬件序列號為固定密鑰，進行加密傳輸；灌裝平臺接收到加密數(shù)據(jù)后，按照算法進行解密，計算出安全終端傳輸?shù)膔tc時間，并與當(dāng)前平臺的rtc時間進行比較，如果相差限定時間期間內(nèi)，則認為當(dāng)前灌裝請求合法有效，進入下載代碼模塊；否則不允許安全終端通過前置服務(wù)器的本地接口連接至灌裝平臺。

進一步地，所述固件下載模塊中與灌裝平臺進行身份驗證進一步具體為：安全終端首次發(fā)起請求時，灌裝平臺進行安全終端的身份驗證；若驗證失敗，則灌裝平臺不再響應(yīng)該安全終端的接入請求；

同時，安全終端發(fā)起首次請求時，生成隨機數(shù)據(jù)串，并上傳至灌裝平臺，由灌裝平臺將該隨機串按照限定的加密算法進行加密，并回復(fù)至安全終端；安全終端接收到請求回復(fù)時，校驗該加密數(shù)據(jù)是否匹配，如果不匹配則認為非法平臺，不接受該平臺的后續(xù)控制和傳輸要求。

進一步地，還包括報表模塊，灌裝平臺統(tǒng)計灌裝成功數(shù)量，并生成報表。

本發(fā)明具有如下優(yōu)點：

1、本發(fā)明一種有線安全終端固件便捷灌裝方法以及系統(tǒng)，基于ipv4的遠程網(wǎng)絡(luò)傳輸方式的固件灌裝系統(tǒng)，并采用良好人機交互體驗的web管理平臺，可以很大程度實現(xiàn)生產(chǎn)自動化，降低批量制造過程的人工成本；2mbytes大小的固件文件，由原先平均灌裝工時3-5分鐘/臺，下降至1～2分鐘/臺，工時效率提高50％以上；

2、安全終端與灌裝平臺采用雙向認證的身份驗證技術(shù)，可以有效防止非法平臺、非法終端的入侵，防止安全終端設(shè)備被惡意灌裝非法固件；

3、安全終端與灌裝平臺的關(guān)鍵通信交互采用專用硬件服務(wù)器，分離出核心安全信息，降低非核心安全研發(fā)團隊的人員安全保密要求，更有利于研發(fā)團隊的管理；

4、安全終端與灌裝平臺基于時間信息作為雙方同步的基礎(chǔ)隨機數(shù)，改變傳統(tǒng)依賴于固定密鑰同步機制的低安全性應(yīng)用局面，進一步提高系統(tǒng)的安全級別。

附圖說明

下面參照附圖結(jié)合實施例對本發(fā)明作進一步的說明。

圖1為本發(fā)明一種有線安全終端固件便捷灌裝方法的流程圖。

圖2為本發(fā)明一種有線安全終端固件便捷灌裝系統(tǒng)的原理框圖。

圖3為本發(fā)明一種具體實施方式示意圖。

具體實施方式

如圖1所示，本發(fā)明無線安全終端固件便捷灌裝方法，用于安全終端的固件灌裝，包括一灌裝平臺以及至少一前置服務(wù)器，所述前置服務(wù)器設(shè)有本地接口，所述前置服務(wù)器通過網(wǎng)絡(luò)連接至所述灌裝平臺，具體包括如下步驟：

步驟1、獲取需要灌裝固件的安全終端生產(chǎn)序列號列表或者清單，并導(dǎo)入到文件管理服務(wù)器中的，并設(shè)置好相應(yīng)的灌裝配置信息；所述灌裝平臺設(shè)有一加密芯片，灌裝平臺生成灌裝過程中每臺安全終端所需的整組密鑰，并放置至加密芯片，所述密鑰全部進行加密處理；

步驟11、安全終端向灌裝平臺發(fā)送連接請求；灌裝平臺設(shè)置精準的rtc時間，安全終端在生產(chǎn)調(diào)試完成時，同步配置好當(dāng)前的rtc時間，將當(dāng)前rtc時間作為隨機密鑰，終端硬件序列號為固定密鑰，進行加密傳輸；灌裝平臺接收到加密數(shù)據(jù)后，按照算法進行解密，計算出安全終端傳輸?shù)膔tc時間，并與當(dāng)前平臺的rtc時間進行比較，如果相差限定時間期間內(nèi)，則認為當(dāng)前灌裝請求合法有效，進入步驟2；否則不允許安全終端通過前置服務(wù)器的本地接口連接至灌裝平臺；

步驟2、安全終端通過前置服務(wù)器的本地接口連接至灌裝平臺，下載身份鑒權(quán)認證核心機制代碼；

步驟3、安全終端運行身份鑒權(quán)認證核心機制代碼，之后與灌裝平臺進行身份驗證，驗證通過之后下載固件文件；

所述與灌裝平臺進行身份驗證進一步具體為：安全終端首次發(fā)起請求時，灌裝平臺進行安全終端的身份驗證；若驗證失敗，則灌裝平臺不再響應(yīng)該安全終端的接入請求；

同時，安全終端發(fā)起首次請求時，生成隨機數(shù)據(jù)串，并上傳至灌裝平臺，由灌裝平臺將該隨機串按照限定的加密算法進行加密，并回復(fù)至安全終端；安全終端接收到請求回復(fù)時，校驗該加密數(shù)據(jù)是否匹配，如果不匹配則認為非法平臺，不接受該平臺的后續(xù)控制和傳輸要求；

步驟4、固件文件下載完畢后，安全終端校驗灌裝文件的完整性，進行灌裝并回復(fù)灌裝結(jié)果；

步驟5、灌裝平臺統(tǒng)計灌裝成功數(shù)量，并生成報表。

如圖2所示，本發(fā)明無線安全終端固件便捷灌裝系統(tǒng)，用于安全終端的固件灌裝，包括一灌裝平臺以及至少一前置服務(wù)器，所述前置服務(wù)器設(shè)有本地接口，所述前置服務(wù)器通過網(wǎng)絡(luò)連接至所述灌裝平臺，具體包括如下模塊：

準備模塊，獲取需要灌裝固件的安全終端生產(chǎn)序列號列表或者清單，并導(dǎo)入到文件管理服務(wù)器中的，并設(shè)置好相應(yīng)的灌裝配置信息；所述灌裝平臺設(shè)有一加密芯片，灌裝平臺生成灌裝過程中每臺安全終端所需的整組密鑰，并放置至加密芯片，所述密鑰全部進行加密處理；

驗證模塊、安全終端向灌裝平臺發(fā)送連接請求；灌裝平臺設(shè)置精準的rtc時間，安全終端在生產(chǎn)調(diào)試完成時，同步配置好當(dāng)前的rtc時間，將當(dāng)前rtc時間作為隨機密鑰，終端硬件序列號為固定密鑰，進行加密傳輸；灌裝平臺接收到加密數(shù)據(jù)后，按照算法進行解密，計算出安全終端傳輸?shù)膔tc時間，并與當(dāng)前平臺的rtc時間進行比較，如果相差限定時間期間內(nèi)，則認為當(dāng)前灌裝請求合法有效，進入下載代碼模塊；否則不允許安全終端通過前置服務(wù)器的本地接口連接至灌裝平臺

下載代碼模塊，安全終端通過前置服務(wù)器的本地接口連接至灌裝平臺，下載身份鑒權(quán)認證核心機制代碼；

下載固件模塊，安全終端運行身份鑒權(quán)認證核心機制代碼，之后與灌裝平臺進行身份驗證，驗證通過之后下載固件文件，所述與灌裝平臺進行身份驗證進一步具體為：安全終端首次發(fā)起請求時，灌裝平臺進行安全終端的身份驗證；若驗證失敗，則灌裝平臺不再響應(yīng)該安全終端的接入請求；

同時，安全終端發(fā)起首次請求時，生成隨機數(shù)據(jù)串，并上傳至灌裝平臺，由灌裝平臺將該隨機串按照限定的加密算法進行加密，并回復(fù)至安全終端；安全終端接收到請求回復(fù)時，校驗該加密數(shù)據(jù)是否匹配，如果不匹配則認為非法平臺，不接受該平臺的后續(xù)控制和傳輸要求；

灌裝模塊，固件文件下載完畢后，安全終端校驗灌裝文件的完整性，進行灌裝并回復(fù)灌裝結(jié)果；

報表模塊，灌裝平臺統(tǒng)計灌裝成功數(shù)量，并生成報表。

本發(fā)明一種具體實施方式：如圖3所示，灌裝系統(tǒng)整體由所需灌裝固件的安全終端及提供固件灌裝服務(wù)的灌裝平臺構(gòu)成。

在通信交互方面，安全終端與灌裝平臺采用以太網(wǎng)傳輸為主的物理傳輸方式，整個系統(tǒng)平臺可實現(xiàn)灌裝平臺統(tǒng)一集中部署，安全終端分散生產(chǎn)，提升受控文件的安全管理級別。針對部分不直接具備以太網(wǎng)通信接口的安全終端，可在現(xiàn)場生產(chǎn)環(huán)境部署以太網(wǎng)轉(zhuǎn)短距通信(如：usb、rs232、rs485、wifi)的分布式服務(wù)軟件，實現(xiàn)固件文件的全自動分發(fā)灌裝。

(1)、灌裝平臺包括接入分發(fā)服務(wù)器、文件管理服務(wù)器、web管理服務(wù)器等組成。

a、接入分發(fā)服務(wù)器主要承擔(dān)與安全終端的數(shù)據(jù)通信接收、數(shù)據(jù)加解密、安全終端接入身份鑒權(quán)、固件文件數(shù)據(jù)下行傳輸?shù)裙δ?。灌裝平臺的數(shù)據(jù)加解密由專用的硬件加密模塊實現(xiàn)，與安全終端本身具備密鑰存儲核心配套使用，并約定一致的密鑰體系及加密算法，實現(xiàn)底層的通信互通及有效通信鑒權(quán)。

身份鑒權(quán)模塊則承擔(dān)整個系統(tǒng)的雙向認證機制，灌裝平臺與安全終端約定基于時間信息作為同步的基礎(chǔ)隨機數(shù)，避免使用傳統(tǒng)方式的固定密鑰作為身份認證的基礎(chǔ)數(shù)據(jù)，降低信息泄密的系統(tǒng)風(fēng)險。同時，為確保身份鑒權(quán)機制的保密性，降低技術(shù)安全泄密的管理要求，安全終端的身份認證相關(guān)軟件模塊，由灌裝平臺下發(fā)的核心安全機制的十六進制可執(zhí)行代碼，再由安全終端采動態(tài)加載運行，實現(xiàn)與灌裝平臺的身份對接，提升核心安全機制的保密性。

b、文件管理服務(wù)器主要實現(xiàn)多業(yè)務(wù)渠道應(yīng)用的各種固件文件的增刪改操作以及固件文件與安全終端的硬件序列號、業(yè)務(wù)渠道應(yīng)用等匹配對應(yīng)關(guān)系。硬件序列號由安全終端物理模塊通過一定規(guī)則的算法生成，并且確保在整個系統(tǒng)中的唯一性，作為以安全終端為控制目標(biāo)的唯一交互索引。

c、web管理服務(wù)器提供智能安全終端的硬件序列號(可生成唯一交互索引的生產(chǎn)信息)在灌裝平臺的數(shù)據(jù)導(dǎo)入入口，并通過可視化的頁面操作，以人機交互的方式，便捷實現(xiàn)多業(yè)務(wù)渠道應(yīng)用的固件文件的精確灌裝。

主要流程概要描述如下：

a、輸出需要灌裝固件的安全終端生產(chǎn)序列號列表或者清單(該清單包含業(yè)務(wù)渠道應(yīng)用類型、固件文件信息等)，由系統(tǒng)管理人員通過web管理頁面導(dǎo)入到灌裝系統(tǒng)的服務(wù)器，并設(shè)置好相應(yīng)的灌裝配置信息；

b、生產(chǎn)現(xiàn)場根據(jù)安全終端的生產(chǎn)特性，通過安全終端的初始化操作界面，簡易配置好灌裝平臺的服務(wù)器地址、終端本地ip地址，接入灌裝系統(tǒng)，自動啟動灌裝下載；

c、進入自動灌裝下載流程，本流程全自動化完成，包含固定密鑰下載、接入身份驗證、時間信息同步并確認、身份鑒權(quán)認證核心機制代碼的動態(tài)下載與加載運行、雙向身份鑒權(quán)驗證、固件文件文件分段下載等；

d、固件文件下載完畢后，安全終端自動校驗灌裝文件的完整性，并回復(fù)灌裝結(jié)果；

e、灌裝平臺統(tǒng)計灌裝成功數(shù)量，并生成報表，可用于生產(chǎn)銷售管理使用。

3、幾個關(guān)鍵模塊技術(shù)說明：

(1)、基于時間信息作為安全終端與灌裝平臺同步的基礎(chǔ)驗證信息

灌裝平臺設(shè)置精準的rtc時間，如：2017041112:00:00，精確到秒；安全終端在生產(chǎn)調(diào)試完成時，在自動灌裝軟件前，同步配置好當(dāng)前的rtc時間。

自動灌裝下載啟動，安全終端連接灌裝平臺的硬件加密服務(wù)器，完成固定密鑰下載后，安全終端發(fā)起自動灌裝請求，并將當(dāng)前rtc時間作為隨機密鑰，終端硬件序列號為固定密鑰，在采用金融級安全加密算法(進行加密傳輸；灌裝平臺接收到加密數(shù)據(jù)后，按照算法進行解密，計算出安全終端傳輸?shù)膔tc時間，并與當(dāng)前平臺的rtc時間進行比較，如果相差在一定時間期間內(nèi)(如：5分鐘)，則認為當(dāng)前灌裝請求合法有效，允許自動灌裝下載。

(2)、核心安全機制由灌裝平臺下發(fā)，安全終端動態(tài)加載運行該核心代碼

核心安全機制的實現(xiàn)機制，采用嵌入式c語言的編寫，并分別編譯成安全終端可加載運行的二進制文件，在安全終端啟動灌裝固件下載請求時，由灌裝平臺根據(jù)設(shè)備類型下發(fā)，再由安全終端加載至內(nèi)存運行。

(3)、安全終端與灌裝平臺需要雙方身份驗證

安全終端與灌裝平臺采用雙向身份認證機制，安全終端首次發(fā)起灌裝請求時，灌裝平臺即進行安全終端的身份驗證；一旦驗證失敗，則灌裝平臺不再響應(yīng)該安全終端的接入請求，并在平臺web頁面進行報警。同時，安全終端發(fā)起首次請求時，生成隨機數(shù)據(jù)串，并上傳至灌裝平臺，由灌裝平臺將該隨機串按照安全終端的加密算法進行加密，并回復(fù)至安全終端；安全終端接收到請求回復(fù)時，校驗該加密數(shù)據(jù)是否匹配，如果不匹配則認為非法平臺，不接受該平臺的后續(xù)控制和傳輸要求。

(4)、安全終端與灌裝平臺的關(guān)鍵通信交互采用專用硬件加密模塊(加密芯片)

安全終端與灌裝平臺的相關(guān)固定密鑰(一終端一組密鑰)，均由硬件加密模塊存儲和管理。安全終端在完成通用版半成品生產(chǎn)后，通過web管理平臺導(dǎo)入至灌裝系統(tǒng)時，灌裝系統(tǒng)自動生成灌裝過程所需的每臺安全終端所需的整組密鑰，并放置在專用的、獨立的加密服務(wù)器上，且全部加密存儲。

安全終端發(fā)起灌裝請求時，先自動到該服務(wù)器下載對應(yīng)的整組密鑰數(shù)據(jù)，以便于接下來的數(shù)據(jù)通信與交互；灌裝平臺在數(shù)據(jù)接收校驗時，則實時讀取硬件加密服務(wù)器，并獲取對應(yīng)的硬件設(shè)備號相應(yīng)的密鑰數(shù)據(jù)進行加解密計算。

(5)、可進一步采用分布式網(wǎng)絡(luò)部署方式，提高灌裝效率

針對部分不具備以太網(wǎng)口或wi-fi接口的安全終端設(shè)備，只具備rs232、usb等本地接口，在安全終端接入的前端，部署一臺具備以太網(wǎng)口、rs232/usb等接口的前置服務(wù)器，并安裝以太網(wǎng)轉(zhuǎn)rs232\usb的數(shù)據(jù)透傳與分發(fā)軟件，最終該類安全終端采用rs232\usb接口方式連接前置服務(wù)器，該前置服務(wù)器再采用以太網(wǎng)方式接入灌裝平臺。

雖然以上描述了本發(fā)明的具體實施方式，但是熟悉本技術(shù)領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，我們所描述的具體的實施例只是說明性的，而不是用于對本發(fā)明的范圍的限定，熟悉本領(lǐng)域的技術(shù)人員在依照本發(fā)明的精神所作的等效的修飾以及變化，都應(yīng)當(dāng)涵蓋在本發(fā)明的權(quán)利要求所保護的范圍內(nèi)。