现在移动支付的发展,pos机收款方便了广大的商户,但非常多商户对于每次开机时都要签到表示许麻烦和不理解,下面我们就这个POS机签到来说下。
POS设备硬件芯片在出厂时会设置一个设备ID和一个密钥。而在银联的POS交互协议中,有一个概念叫做“签到”,就是POS设备向服务器发起签到请求,然后让服务器返回3个工作密钥,分别用于加密POS传输给服务器的银行卡的3个信息。这3个工作密钥是通过POS机硬件芯片内的密钥(在服务器端也有)进行加密的。
一、POS机使用教程步骤:
1、先打开POS机,长按取消键就可以开机。
2、成功开机以后,按功能键,POS机屏幕上会出现“1.消费、2.二维码、3.撤销、4.查询等“字样,选择“1.消费“。
3、POS机屏幕出现提示”请刷卡或插IC卡、手输卡号”。
4、消费的卡如果是芯片卡,闪付一下就可以了;磁条卡选择刷卡;
5、刷完卡出现卡号以后,按确认键。
6、输入当前需要刷的金额,注意数值后需多加两个零。
7、输入金额以后,紧接着就是输入银行卡密码,输入完成按确认键。
8、消费成功会打印出消费凭证。
二、POS机刷卡流程:
在POS机上输入要刷的金额,将信用卡的磁条(或IC芯片)插入POS机,读取信用卡卡号信息,输入信用卡密码,并确认,密码验证通过,交易成功,并打印出POS单据。
三、POS机刷卡图文教程:
1、第一步先开机,长按“取消”键就可以开机了,有的POS为了安全起见会有账号和密码,如果有的话,签到就可以了;
2、按完“取消”键就成功开机了如图,在POS机屏幕显示的下面第一行zui右边有个“功能”键,按一下功能键;
3、按完功能键会出现“1、消费”;“2、二维码”;“3、撤销”;“4、查询”;“5、预授权”;“6、其他”;这个时候就选择“1、消费”;
4、选择完“1、消费”然后,会弹出消费的一个提示:“请刷卡或插IC卡或手输卡号”,如果卡带芯片就闪付,把带芯片的银行卡在屏幕上搁置1-3秒,一千元以内不需要输入密码;
5、刷完卡然后会出现你的卡号,核对无误然后按“确认”键;
6、按完“确认”键然后,会提示“请输入金额”,就把想刷的金额输入进去然后就可以了,一定要注意多按两个零,如果输入1元钱,上面只是1分钱,多按两个0才是一元钱;
7、输入完然后POS机会提示“请输入密码”,就拿给卡主人输入密码就可以了;
8、输入完然后,按“确认”键,这个时候会打印出两联客人消费的卡单,一联商户联给刷卡人签字留底,另外一联存根联给刷卡的人。
———————————————————————————————
既然POS设备已经有了一个固化的密钥,那为啥不定定要一个签到来获得工作密钥呢?为啥又不直接用固有的密钥来进行数据加密传输给服务器端呢?既然是密钥,肯定和安全性关于系,那这种模式是如何加强了安全性呢?
我们都知道,POS设备与服务器(一般是支付平台)的交互数据都是加密后传输的,而且这种加密的数据是使用可解密的方法来加密,而不是使用非可逆加密(比如MD5就是非可逆加密)。
既然是可逆的,就存在可破解的可能性,那吗一个黑客是如何破解一个加密方法,进而获得加密的密钥的呢?当然,直接破解硬件设备底层密码是一种方法,但这种破解方法一般需要直接操作POS硬件设备,甚至可以会破坏POS硬件设备。
而另一种方法,就是通过加密的数据和结果反推。举一个例子,就如同我们做二元一次方程一样,只要变量和完全不同的方程式足够多,我们就可以算出各个变量的值。
所以,只要你的密钥不变,通过截获足够多的原始数据和加密后的密文就可以获得多个这样的方程式出来:F(卡信息、密钥)=密文。拥有的方程式越多,那吗就越容易破解出密钥这个变量和F这个算法函数(时间更短)。
所以,这种破解方法zui终的重要点在于密钥不可变,只要不变,那吗自然就可以积攒的”方程式“来破解。既然如些,要破除这种破解的方法就是密钥定期/不定期的更新。只要密钥一变,所有以前积攒的方程式都完全失效,破解出来也没用(等你耗费许长时间破解了,这个工作密钥都已经失效了)。
那吗就有另外一个问题了,通过频繁的截取签到请求是否可以直接破解到硬件的密钥呢?答案是不行的,为啥呢?还是和上边一样的分析方法。F(工作密钥,密钥)=密文。这个时候的真实的工作密钥和密钥变量的。相当于整个函数对于拦截者,无从下手(除非是来硬的暴力破解POS硬件设备)。