[发明专利]一种带虚拟片上操作系统的安全设备、装置、系统和方法

权利要求书

1.一种带虚拟片上操作系统的安全设备，其特征在于至少包括一卡体、一个带虚拟片上操作系统的主芯片和多个IC卡；主芯片与IC卡通过总线连接；所述的主芯片通过所述的虚拟片上操作系统控制所述的IC卡和外界的信息交换，发送指令管理所述IC卡内的存储器并在所述的IC卡内部完成指令的处理；所述的IC卡存储密钥、数字证书、生物特征识别信息。

2.如权利要求1所述的一种带虚拟片上操作系统的安全设备，其特征在于所述的安全设备可以与存储卡、SIM卡、耳机、移动终端插件、移动终端挂件、IC卡身份证、市民卡、USB存储设备中至少一种两两结合；所述的指令符合IS07816标准；所述的IC卡符合EMV标准、PBOC2.0标准。

3.一种带虚拟片上操作系统的安全装置，它至少包括一壳体、一个带虚拟片上操作系统的主芯片、接口和金融IC卡；其特征在于所述的主芯片通过所述的虚拟片上操作系统连接所述的接口控制所述的金融IC卡和外界的信息交换；所述的接口至少包括存储卡接口 、NFC接口、音频接口、蓝牙接口、红外接口、数据线接口、非接触IC卡接口、USB接口、串口、并口中的一种。

4.如权利要求3所述的一种带虚拟片上操作系统的安全装置，其特征在于所述的金融IC卡包括安全模块和大容量存储器；所述的安全模块用于存储密钥、数字证书、生物特征识别信息，所述的大容量存储器用于存储软件、数据、文档、所述的金融IC卡驱动程序；所述的壳体上有插槽可以插入所述的金融IC卡，有端口可以联接到外部设备；把所述的金融IC卡插入所述插槽，所述端口与外部设备相连，所述外部设备可以把所述金融IC卡当作一个可移动存储器，从而可以通过所述的接口读写所述金融IC。

5.一种使用带虚拟片上操作系统的安全设备的多应用支付系统，它包括客户端、服务器、前置机、虚拟片上操作系统和安全设备；其特征在于所述的安全设备包括一个以上带有片上操作系统的集成电路卡，所述集成电路卡存储密钥、数字证书或生物特征识别信息；所述的虚拟片上操作系统实现面向安全设备的多任务共享、并发管理及处理；所述的虚拟片上操作系统安装在所述客户端或所述安全设备上，所述客户端通过所述虚拟片上操作系统控制所述安全设备和外界的信息交换，管理所述安全设备内的存储器并在所述安全设备内部完成命令的处理；所述的客户端、所述的服务器、所述的前置机、所述的虚拟片上操作系统和所述的安全设备根据服务等级动态调整安全策略，所述的服务等级至少包括服务水平和优先级，所述的安全策略至少包括基于身份、规则、角色的安全策略。

6.一种使用带虚拟片上操作系统安全设备和多应用支付系统的安全方法，其特征在于包括以下步骤：

①用户持本人相关证件与相关部门签约，将安全认证信息保存到服务器和安全设备；所述安全认证信息包含用来标识用户的智能卡标识、身份证号码、银行卡号、IMSI、IMEI、IP地址、用户名、密码、生物识别特征、数字证书、密钥、服务等级、安全策略中的至少一种；所述的服务等级至少包括服务水平和优先级，所述的安全策略至少包括基于身份、规则、角色的安全策略；所述的服务器根据用户的身份和签约服务为其分配所述角色和所述规则，根据服务水平和优先级制定相应的安全策略；

②用户安装客户端到终端上；所述的客户端通过终端显示器为用户提供操作界面，接收来自终端输入设备的业务数据，通过接口与所述前置机、所述服务器和所述安全设备通讯；

③所述的客户端与所述前置机、所述服务器、所述安全设备根据服务水平和优先级应用相应的根据安全策略，根据所述安全认证信息进行至少一种两两安全认证；认证成功，所述的客户端与所述的服务器通过远距离通讯进行业务处理，支持远程支付；

④所述客户端通过虚拟片上操作系统控制所述的安全设备和外界的信息交换，通过所述的接口发送指令完成外界和所述安全设备的安全认证；认证成功，所述的客户端与外界进行业务处理，支持近场支付；

⑤所述安全认证过程失败后允许重试，当重试次数达到所述规则中的重试次数时，服务终止，所述安全设备锁定，降低用户服务等级，用户列入灰名单，只有通过相关部门的解锁流程才能再次提供服务；

⑥当所述的客户端、所述前置机、所述服务器、所述安全设备检测到恶意攻击时，虚拟片上操作系统自动检测安全环境，系统自动提高安全等级，降低服务等级；当消除安全环境中的威胁后，系统自动降低安全等级，提高服务等级。