将智能手机设计转变为复杂的销售点终端

开发复杂且安全的销售点 （POS） 终端可能是一项挑战。除了安全问题和标准之外，不断增加的开发成本也会对设计造成限制。本文介绍如何利用手机行业的开发工作，以低成本设计具有众多增值功能的POS设备。

在智能手机增长趋势的推动下，支付终端正在成为能够执行交易、管理库存以及运行业务和社交应用程序的复杂、功能丰富的计算设备。他们可以提供来自支付产品公司的广告和新服务，并提供增强的用户体验。高端支付终端和嵌入式设备的高级功能现在可以包括彩色触摸屏和高质量音频，以及Android平台等丰富的操作系统。与智能手机一样，电子金融交易设备也需要多种连接选项（即Wi-Fi，GPRS，3G）和低功耗。然而，随着智能设备系统复杂性的不断增加，开发成本上升得更快。因此，开发此类先进设备涉及大量设计资源和许可费用，增加了上市时间延迟的潜在风险。

虽然开发成本的增加是复杂电子设备的普遍趋势，但对于支付终端来说，这种增加更为显着。造成这种情况的一个主要原因仅仅是数量差异：由于销售的单位数量非常多，智能手机的开发成本在合理的时间范围内摊销。尼尔森报告估计，支付终端每年销量仅为15万台（远低于420年销售的2011.<>亿部智能手机）1).这种差异意味着每个金融交易设备的开发成本影响要高得多。电子金融交易设备的其他制约因素包括安全和相关的安全认证，这会影响周期时间和成本。此外，销售点 （POS） 终端的安全实施会影响硬件和软件。（在这种情况下，硬件意味着支持所有防篡改机制的处理器的一切。

每个新的智能手机系列都涉及新一代应用处理器，例如从ARM11到ARM Cortex-A15内核处理器的演变，或从单核迁移到双核处理器。除了处理器的进步之外，还可以更换视频解码器或图形加速器。为了促进这些设计改进，半导体行业将继续开发功能强大的应用处理器以满足市场需求。这是因为手机市场的规模足以证明开发新的高端微控制器所需的巨额投资是合理的。这些投资包括核心许可成本、激进节点技术中的掩模集和模拟模块开发，仅举几例。

如今，POS设计最流行的架构趋势是单芯片安全微控制器。这种微控制器是支付终端的核心：它们嵌入处理器内核，运行操作系统，并处理显示和通信功能。它们还支持最关键的安全功能，例如篡改检测、具有即时密钥销毁功能的安全密钥存储以及具有相关对策的加密计算。

虽然将嵌入式设备的通用功能与安全功能相结合的好处在BOM和制造成本方面是显而易见的，但它可能不是满足高端设备严格开发要求和限制的最合适解决方案。虽然由于潜在的大量销售，为一系列手机开发新处理器可能具有成本效益，但金融终端市场的规模并不总是证明这种发展是合理的。此外，在软件方面，将整个操作系统和应用程序系列迁移到新处理器是一项重大工作。与安全相关的软件不是现成的，它通常具有很强的硬件依赖性。它还需要完全重新认证，这使得迁移工作更加困难。

简而言之，高端支付终端开发商的情况可能具有挑战性。他们必须使用现有的安全微控制器创建设计（并冒着使用即将过时的技术创建设计的风险），或者必须资助新微控制器的开发（承担软件迁移和认证的成本）。在后一种情况下，当开发人员设计包含众多增值功能的高端支付终端时，经济可行性可能非常值得怀疑。

那么，有没有办法以可承受的开发成本设计功能丰富的POS设备呢？人们能否通过重复使用为该市场开发的硬件和软件技术来利用手机行业所做的努力？答案是肯定的，我们将展示如何实现它。由于智能手机的繁荣，支付终端的硬件和软件构建块种类繁多。半导体供应商提供广泛的微控制器和片上系统 （SoC），从而能够为多媒体嵌入式设备设计全面的功能集。微控制器不仅配备了Android平台等操作系统，而且开发人员还可以购买现成的智能手机参考设计。对于POS终端供应商来说，利用这些现有的参考设计（支持所有通用功能），然后添加特定于金融终端的安全功能似乎是很自然的。但是，如果不在体系结构级别仔细考虑安全功能，则向现有系统添加安全功能并非易事。

增加安全性的关键挑战之一是显示：PCI PIN 事务安全 （PCI-PTS） 标准需要完全的显示控制。如果没有这种控制，典型的安全威胁是提示用户输入其 PIN 码的不受信任或恶意应用程序。此类恶意软件可能会显示虚假的“输入您的 PIN”消息，获取用户 PIN，并将其发送给攻击者以用于欺诈目的。为了应对这种威胁，PCI-PTS 要求固件防止这种情况发生。智能手机不存在此要求，因此实现此控制可能需要对操作系统和应用程序进行深入修改。这些修改需要大量的设计工作，从而降低了使用交钥匙参考设计的好处。

为了应对这种威胁，Maxim的解决方案是增加一个能够接管显示器控制的安全处理器（图1）。该安全处理器连接到主处理器的TFT总线输出和实际面板的TFT输入总线。它具有对数字键盘的完全控制，并支持两种操作模式，即受信任模式和普通模式。

图1.为了轻松且廉价地应对安全威胁，可以添加能够接管显示器控制的安全处理器。

在正常模式下，安全处理器仅充当直通系统。键盘被禁用，第二个处理器将 TFT 总线上的数据从主处理器流释放到 TFT 面板。即使未经授权的应用程序尝试显示虚假的 PIN 提示，这也不会产生任何影响，因为键盘已被禁用。未经授权的应用程序永远不会从键盘接收任何数据。

图2.在正常模式下，安全处理器充当直通设备。

在可信模式下，安全处理器完全控制TFT总线，面板仅显示经过身份验证的图像，如数字签名验证。主处理器在 TFT 总线上发送的数据永远不会显示，因为 TFT 面板输入总线与主处理器 TFT 输出总线物理断开。在此模式下，数字键盘已启用，因此用户可以在出现提示时输入其 PIN 码。

图3.在受信任模式下，安全处理器控制面板。

这两种模式的存在对设备的功能来说是一个巨大的好处。在正常模式下，支付终端的行为几乎像智能手机一样。例如，它可以使用其原始媒体播放器显示视频，而无需修改智能手机参考设计的硬件或软件。此外，在这种直通模式下，可以使用任何分辨率、颜色深度或帧速率。在可信模式下，支付终端用于标准金融交易。此功能完全嵌入在第二个处理器中，不需要对操作系统或从智能手机继承的应用程序进行任何修改。安全性真正由第二个处理器添加到系统中。

这种设计还提高了POS终端系列的演进速度。开发具有增强多媒体功能的POS终端系列需要新的多媒体处理器并将软件迁移到此新控制器。如果POS设备是围绕具有嵌入式安全性的单个微控制器构建的，那么转向下一代将意味着投资开发新处理器，并承担软件迁移和完全重新认证的成本。使用辅助处理器的方法，开发要容易得多：可以从具有最新多媒体创新的智能手机参考设计开始，并添加具有上一代相同嵌入式固件的安全处理器。由于安全性没有从上一代修改，因此认证更容易、更快、更便宜。使用这种方法可确保最终产品具有用户期望的所有最先进的多媒体功能。

此策略并不意味着POS设备的单处理器体系结构的结束。这里介绍的方法为非常高端的设备提供了最快的上市时间和最低的开发成本，POS供应商希望跟随功能丰富的智能手机趋势。对于软件不太复杂（预计多媒体功能较少）或产品周期较短的中低端设备，具有嵌入式安全性的单处理器方法仍然有效。

Maxim是电子支付行业公认的解决方案提供商。我们全面的安全微控制器系列可实现经济高效的支付终端设计。借助Maxim的安全IC，OEM厂商可以缩短产品上市时间，这要归功于我们广泛的软件产品和预认证。MAX32590 （JIBE） 安全 ARM9™基于微控制器嵌入了确保轻松获得PCI-PTS 3.1认证所需的所有安全机制。为了增强安全性，MAX32590包括具有先进对策的高级加密模块、篡改检测机制和具有高级擦除机制的安全存储。MAX32590的电池备份面积消耗是市场上最低的，是移动和便携式POS设计的最佳选择。一个版本将具有本文中描述的创新可信显示控制功能。

审核编辑：郭婷