CN105164694B - 可信终端平台 - Google Patents
可信终端平台 Download PDFInfo
- Publication number
- CN105164694B CN105164694B CN201480025262.1A CN201480025262A CN105164694B CN 105164694 B CN105164694 B CN 105164694B CN 201480025262 A CN201480025262 A CN 201480025262A CN 105164694 B CN105164694 B CN 105164694B
- Authority
- CN
- China
- Prior art keywords
- safety box
- pin
- user
- terminal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4012—Verifying personal identification numbers [PIN]
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
- G07F7/1033—Details of the PIN pad
- G07F7/1041—PIN input keyboard gets new key allocation at each use
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
- G07F7/1091—Use of an encrypted form of the PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Accounting & Taxation (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Cash Registers Or Receiving Machines (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- User Interface Of Digital Computer (AREA)
- Input From Keyboards Or The Like (AREA)
- Position Input By Displaying (AREA)
Abstract
用于输入PIN以使得能够实现金融交易的销售点(POS)终端,包括:处理器,其用于利用应用程序运行操作***;触摸屏,其用于显示信息和接收用户输入,并且还从用户接收安全信息;安全盒,其被连接在所述触摸屏与所述处理器之间,以控制在触摸屏上到处理器的用户输入,其中,所述安全盒被配置成在两个模式“安全模式”和“明文模式”下运行,其中,当在“安全模式”下运行时,用户输入没有作为触摸坐标被转发到处理器,并且当在“明文模式”下运行时,触摸坐标被传送到处理器。其中,用户终端被配置成运行在触摸屏上显示信息并允许与用户相交互的至少两个类型的应用程序,应用程序中的第一个与安全盒相交互以执行安全相关金融交易;以及并且、另一应用程序、附加应用程序在“明文模式”下与触摸屏相交互,其中,与安全盒相交互并将安全盒切换到“安全模式”的应用程序需要被使用密码方法用一个或多个安全密钥向安全盒认证。
Description
技术领域
本发明涉及用于输入安全用户信息的用户终端。在可能实施例中,本发明指用于输入PIN以使得能够实现金融交易的销售点(POS)终端。
背景技术
在不同的环境中可以使用用于输入安全用户信息的用户终端。该终端可以被用于在线购物,用于自助服务自动化。针对销售点应用。销售点(POS)终端是用于现金出纳机的计算机化替换。POS***可以包括用以记录和跟踪顾客订单、处理***和借记卡、连接到网络中的其它***以及管理库存的能力。一般地,POS终端具有个人计算机作为其核心,该个人计算机提供有用于其将在其中服务的特定环境的专用程序和I/O设备。例如用于饭店的POS***很可能使所有菜单项都被存储在数据库中,该数据库可被以许多方式查询信息。在具有诸如服务台之类的销售点的许多行业中都使用POS终端,所述行业包括饭店、住宿、娱乐以及博物馆。
为了进行正常交易,***信息被读卡器读取,并且顾客必须键入其pin以授权该交易。用于POS的标准终端的功能非常受限于键区和小的显示器,其示出要从***收取的钱数。
EP 2280 363和US 2012 0132705 A1公开了一种ATM中的触摸模块的实施方式。
发明内容
此外,用户终端被配置成运行在触摸屏上显示信息并允许与用户相交互的至少两个类型的应用程序,应用程序中的第一个与安全盒相交互以执行安全相关金融交易;以及
另一应用程序,附加应用程序,在“明文模式”下与触摸屏相交互,
其中,需要用一个或多个安全密钥使用加密方法向安全盒认证与安全盒相交互并将安全盒切换至“安全模式”的应用程序。安全密钥被存储在安全盒中和/或包括处理器的主板上的安全区中和/或包括处理器的主板的非安全区中。附加应用程序经由安全盒直接地与触摸屏相交互,其中,所述安全盒处于通过模式,其允许与触摸屏的直接交互。
在可能实施例中,安全密钥被存储在安全盒中和/或包括处理器的主板上的安全区中和/或包括处理器的主板的非安全区中。
可以用在逻辑上位于安全盒与访问安全盒的应用程序之间的相应操作***驱动程序来支持这种方法。每当应用程序访问安全盒时,驱动程序从应用程序请求或加载相应签名或密码并将其提供给安全盒。在替换方法中,被提供用于访问安全盒的API始终从应用程序请求相应签名或密码作为参数。签名可以是被用密码密钥签名的应用程序的程序代码的哈希值(hash)。例如可以由驱动程序或安全盒本身来验证应用程序的哈希值。如果驱动程序支持安全盒,则需要对驱动程序进行验证,这可以例如在启动操作***时完成。并且安全盒可以具有被允许访问安全盒的应用程序列表,并存储相应的哈希值。当访问安全盒时,安全盒重新计算应用程序的哈希值以验证应用程序是否被允许访问安全盒。
还可以使用其中用安全盒的公钥对信息进行加密的密码的使用。
在可能实施例中,安全盒被配置成在允许切换到“安全模式”之前验证与安全盒相交互的应用程序的签名或密码。只有当应用程序在安全盒之前被认证时,安全盒变成“安全模式”。
在优选实施例中,用户终端是移动设备,例如移动板,没有任何物理键盘,允许经由触摸屏的交互。尺寸可以从5—15英寸,允许移动地执行交易。例如,可以用也具有读卡器的移动设备来执行饭店中的支付,以执行金融交易。
用户终端优选地被配置成运行标准操作***,优选地安卓,允许运行附加应用程序和与安全盒相交互的应用程序。这种方法还允许使用终端作为标准板设备,并且用户可以从应用程序商店下载附加应用程序。这些应用程序可以在设备上并行地运行,但不能访问安全盒。
在可能实施例中,触摸屏经由USB通道被连接到安全盒,并且该安全盒还经由USB通道被连接到处理器。在替换实施例中,触摸传感器被经由SPI(串行***接口)连接到安全盒(SB)。显示器被经由LVDS/DSI桥(低压差分信令/显示器串行接口)连接到主处理器。SB被经由USB在物理上连接到主处理器,经由此接口,触摸坐标和密码命令被传送。从应用的观点出发,两个逻辑USB连接被实现为USB复合设备。
在可能实施例中,安全用户信息是PIN或口令以可访问个人帐户信息和/或物理项目。在此配置中,“安全模式”是“PIN输入模式”。
在可能实施例中,用户终端是POS(销售点)终端。POS终端是用于商店中的无现金支付交易的终端。本概念与PCI PIN交易安全(PTS)交互点(POI)模块化安全要求[1]有关。终端是具有丰富功能的POS终端设备。除其它技术之外,终端还集成了虚拟触摸PIN键盘、芯片读卡器、NFC读取器和/或WIFI和3G。从硬件观点出发,终端由两个主要构建块组成,主控制器板(主PCB)和安全盒(SB)。
本发明包括用于输入PIN以使得能够实现金融交易的销售点(POS)终端,包括:
—读卡器,其用于从***读取信息;
—处理器,其用于利用应用程序运行操作***;
—触摸屏,其用于显示信息和接收用户输入;
—安全盒,被连接在所述触摸屏与所述处理器之间,以控制在触摸屏上到处理器的用户输入,其中,所述安全盒被配置成在两个模式“PIN输入模式”和“明文模式”下运行,其中,当在“PIN输入模式”下运行时,用户输入未被作为触摸坐标转发到处理器,并且当在“明文模式”下运行时,触摸坐标被传送到处理器。
安全盒将提供以下功能中的一个或多个:
—安全触摸控制器
—安全芯片读卡器
—安全微控制器
—密码密钥的安全存储
—随机数发生器
—根据PCI的内部篡改检测
—根据PCI的外部篡改检测
主控制器将提供以下功能中的一个或多个
—与磁条读取器的交互
—NFC读卡器的交互
—开关灯控制滤波器
—使用标准显示器控制器来控制显示器
—主机和安卓 OS(其它操作***)
—主机支付应用程序
—主机增值应用程序
—主机EMV核
在一个可能实施例中,读卡器是被集成到安全盒中的芯片读卡器,其中,安全盒被配置成执行用以基于PIN和芯片卡的信息来处理金融交易的所有必需步骤。
在可能实施例中,在触摸屏上显示虚拟PIN键盘,安全盒切换到“PIN输入模式”并被配置成将用户触摸解释为PIN,并将PIN加密以通过网络控制器将该信息与***信息一起转发到关联服务中心/银行。安全盒也可以将该信息转发到支付应用程序,其负责附加转发。
该支付应用程序可以在操作***上运行,该操作***将安全盒切换到“PIN输入模式”并显示虚拟PIN键盘,和/或其中,支付应用程序将来自读卡器的卡信息转发到安全盒,其中,支付应用程序也可以负责将已加密PIN从安全盒转发到服务中心/银行。
在可能实施例中,PIN键盘针对每次交易在触摸屏上面随机地移位和/或其中,安全盒被告知PIN键盘的坐标,以能够解释触摸输入。PIN键盘的坐标可以由支付应用程序提供。
在可能实施例中,单元被配置成在“安全模式”下在触摸事件的情况下经由USBCOM通道仅向操作***提交替换信息。
在可能实施例中,安全盒被连接到光学指示器,其指示何时处于“PIN输入模式”。只有安全盒能够开启该指示器,以向用户显示终端处于安全模式,其允许用户输入他的PIN。
在可能实施例中,安全盒和显示器被相互连接,并且传感器指示何时执行断开连接,其导致安全盒中的密钥的删除。该方法将防止第三方可以修改或侦听触摸屏和安全盒的连接。另外,安全盒在物理上被附着到显示器并受到盖的保护。
此外,在可能实施例中,开始安全PIN模式的支付应用程序需要使用密码密钥向安全盒进行认证,所述密码密钥由安全盒生成并在注册期间被传输到支付应用程序。其中,认证在HID设备驱动器和通用USB设备驱动器向安全盒注册时执行,其中,安全盒被经由USB连接到处理器。
另外,安全盒可以在启动之前检查操作***的状态。在启动时,在第一步骤中,启动程序,该程序可访问存储在安全盒中的信息,以验证操作***,并且如果操作***的状态通过验证,则启动操作***。
本发明的另一方面是一种用于输入安全用户信息的用户终端,包括:
—处理器,其用于利用应用程序运行操作***;
—触摸屏,其用于显示信息并接收用户输入,并且还将从用户接收安全信息;
—安全盒,被连接在所述触摸屏与所述处理器之间,以控制在触摸屏上到处理器的用户输入,其中,所述安全盒和所述处理器经由被配置成提供第一和第二逻辑连接的串行接口被连接,
其中,安全盒被配置成在两个模式下运行,所述两个模式是使用第一逻辑连接的“安全模式”和使用第二逻辑连接的“明文模式”,其中,当在“安全模式”下运行时,用户输入未被经由第二逻辑连接作为触摸坐标转发到处理器,并且当在“明文模式”下运行时,触摸坐标被经由第二逻辑连接传送到处理器。
在可能实施例中,触摸屏被经由串行***接口连接到安全盒,并且串行接口是USB通道。
在可能实施例中,在“安全模式”下,通过第一逻辑连接来传送密码命令。
在可能实施例中,USB通道被配置为USB复合设备类别,其将第一逻辑连接实现为COM USB接口并将第二逻辑连接实现为HID接口。
在可能实施例中,安全用户信息是用以可访问个人帐户信息和/或物理项目的PIN或口令,并且其中,“安全模式”是“PIN输入模式”。
在可能实施例中,用户终端是用于输入PIN以使得能够实现金融交易的销售点(POS)终端,其另外包括:
—读卡器,其用于从***读取信息。
在一个可能实施例中,读卡器是被集成到安全盒中的芯片读卡器,其中,安全盒被配置成执行用以基于PIN和芯片卡的信息来处理金融交易的所有必需步骤。
在可能实施例中,在触摸屏上显示虚拟PIN键盘,安全盒切换到“PIN输入模式”并被配置成将用户触摸解释为PIN,并将PIN加密以通过网络控制器将该信息与***信息一起转发到关联服务中心/银行。
在可能实施例中,支付应用程序在操作***上运行,其将安全盒切换到“安全模式”并显示虚拟PIN键盘,和/或其中,所述支付应用程序将卡信息从读卡器转发到安全盒,其中,所述支付应用程序还可以负责将已加密PIN从安全盒转发到服务中心/银行。
在可能实施例中,用户终端被配置成针对每次交易使PIN键盘在触摸屏上随机地移动和/或其中,安全盒被告知PIN键盘的坐标,以能够解释触摸输入。
在可能实施例中,用户终端被配置成在“安全模式”下在触摸事件的情况下经由第一逻辑通道仅向操作***提交替换信息。
在可能实施例中,安全盒被连接到光学指示器,其指示何时处于“安全模式”。
在可能实施例中,安全盒和显示器被相互连接,并且传感器指示何时执行断开连接,其导致安全盒中的密钥的删除。
在可能实施例中,安全盒在物理上被附着到显示器并受到盖的保护。
在可能实施例中,启动安全PIN模式的支付应用程序需要使用密码密钥来向安全盒进行认证,所述密码密钥由安全盒生成并在注册期间被传输到支付应用程序。
在可能实施例中,安全盒在启动之前检查操作***的状态。
在可能实施例中,在启动时,在第一步骤中,启动程序,该程序可访问存储在安全盒中的信息,以验证操作***,并且如果操作***的状态通过验证,则启动操作***。
在可能实施例中,在用户终端通电之后,安全盒被配置成在“安全模式”下启动,并且在操作***成功验证的情况下的安全启动之后,安全盒被配置成转移到“明文模式”。
在可能实施例中,用户终端被配置成运行在触摸屏上显示信息并允许与用户相交互的至少两个类型的应用程序,应用程序中的第一个与安全盒相交互以执行安全相关金融交易;
以及另一应用程序,附加应用程序,其在“明文模式”下与触摸屏相交互,
其中,需要使用一个或多个安全密钥向安全盒认证与安全盒相交互并将安全盒切换至“安全模式”的应用程序。
在可能实施例中,应用程序使用签名或密码来与安全盒相交互以向安全盒进行认证。
在可能实施例中,安全盒被配置成在允许切换到“安全模式”之前验证与安全盒相交互的应用程序的签名或密码。
附图说明
附图示出了被以下描述参考的本发明的可能实施例。附图和实施例两者都并不意图限制本发明的范围。
图1示出了本发明的***件。
图2示出了安全盒(SB)的功能框图。
图3示出了相关软件部件。
图4示出了操作***的软件栈。
图5示出了高级启动过程。
图6示出了完整性检查的应用程序流程。
图7示出了本发明的模式转变。
图8示出了具有移动输入字段的虚拟PIN输入。
具体实施方式
虽然相对于特殊实施例描述了本发明,但本发明不限于本实施例。本发明针对一种通用用户终端,该通用用户终端具有触摸屏,安全相关和非安全相关应用程序在其上面运行。
图1示出了本发明的***件。由终端的触摸屏提供PIN输入功能。在优选实施例中,按这种解决方案的性质并不生成可听音。尽管如此,终端实现音频插孔,其允许残疾的人控制输入功能。由主控制器板的音频单元生成可听音。对于PIN输入而言,当虚拟PIN键盘的任何键被撞击时,此可听音始终是相同的频率和相同的音量。
另外,当头戴耳机被连接时,屏幕的上下文被关断。
终端提供了可开关灯控制滤波器,其在经由虚拟PIN键盘来输入PIN时限制在固定立体角中的观察。另外,整个虚拟PIN键盘针对每次交易随机地移动(图8)。作为附加安全措施,键盘的尺寸在每次PIN输入时改变。
这可以使用MAGTEC MagneSafe IntelliHead读取器[3]。磁条读取器在可能实施例中被使用标准通信接口(USB(通用串行总线)1.1,HID)连接到主控制器。读取器本身装配有内置安全、加密头和密码功能以用于设备认证和密钥管理。已加密跟踪数据被在主控制器板上运行的支付应用程序读取并被传输到安全盒以用于转换。终端的设计防止修改,例如从内部和外部添加附加头和微控制器。
每个加密头包含被与安全盒共享并从万能钥匙(master key)和密钥序列号导出的唯一密钥。
密钥注入在使用由制造商提供的密钥加载设备的密钥加载和初始化设施(KLIF)中操作。
读取器的交互由在主控制器上运行的支付应用程序控制。除安全盒(图2)之外,设备本身执行自检测(图5、6、7),其包括在启动时和至少一天一次的完整性和真实性检查。
所有应用模块(图3和4)是在让受方的控制下并被密码程序签名。终端在执行之前验证该签名。
由终端供应商提供PCI终端固件,在QA过程中检查任何改变并编档。
固件图像被终端供应商签名作为固件生命周期过程的一部分,并在安装和执行之前被终端验证(图7)。
作为安全***的一部分,安全盒控制PIN输入和触摸事件。如果安全盒处于“PIN输入模式”,则将经由USB COM通道仅提交替换字符,触摸事件被抑制。
安卓 OS和核心模块(图4)是用于可能实现的基础。***程序包将仅包含操作所必需的此类模块。在终端上执行的所有软件以最小特权运行;***程序包因此将被强化。
例如经由USB来连接非安全触摸的触摸屏的修改将引导终端进入不可操作状态。触摸驱动程序的替换将引导终端进入不可操作状态。在PIN输入期间,并不从安全盒提交X/Y坐标,除用于被触摸字段的替换代码(虚拟密钥)之外,因此,通过在PIN输入模式下分析USB通信进行的触摸事件观察是不相关的。如果安全盒处于明文模式并向已认证应用程序提交X/Y坐标,则优选地使用TDES密钥(128位)对坐标进行加密。在主控制器上,用安全控制器的NV SRAM来保护密钥。
用设计和/或密码协议来保护这些部件之间的数据链路。遵照ISO 11568或ANSIX9.24来执行密钥管理。支付卡始终在卡保持器的控制下。
如果终端设备被经由ECR接口连接,则所有文本消息将被ECR签名并被终端软件(驱动程序)验证。
终端提供所需密码功能SC嵌入NV SRAM作为密钥库。
用密码机制来保护固件。由软件生命周期管理***来管理PCI终端固件。静止中的***程序包被称为MKS完整性管理器的软件保护,该软件排除未授权修改。
PCI终端固件本身被密码机制保护。终端装配有唯一设备号和唯一密钥对。该信息是在制造期间在受控环境下使用双重控制和分离知识的原理加载的。
在主控制器(优选地OMAP4460)的控制下执行PCI终端固件;其需要被SB(图5、6、7)以密码方式验证,并且是PCI批准的一部分。PCI SB固件在SB微控制器的控制下执行。在PCI批准方面的责任在安全盒供应商的手中。
附加应用程序(图4)主要由让受方提供,并且这些应用程序并不是PCI批准的一部分。
SB被经由USB(图1、图3)连接而连接,该USB连接将USB复合设备类别实现为HID和COM设备类别。在安卓 OS之上,终端托管多个应用程序(图4),该应用程序下可访问终端WXGA屏幕并访问由PCI SB固件生成的触摸事件。这些应用程序是
—支付应用程序
—其它应用程序
所有应用程序必须在让受方或终端供应商的严格控制下。下载未签名软件以便处理不受这两个实体控制的应用程序应是不可能的。***强化和应用程序的最小特权限制输送充分的控制以便保护那些应用程序。如果应用程序获得对web网站的访问并下载将在终端上处理的内容,则web服务器和内容在让受方的控制下(将满足PCI DSS要求)。
应根据PCI PTS 3.1来评估包括其安全盒的终端。模块化安全要求遵循模块化评估方法。
下面描述终端的物理安全分离和边界;暗灰色SE元件(图1)是“安全元件”,其以密码方式相互通信。
安全盒(SB)控制PIN输入、密码密钥、EMV(Europay、MasterCard和Visa)PIN离线验证并保护磁条数据。其经由USB接口与主控制器相连并实现USB复合设备。在默认模式下,SB并不向主PCB献出任何触摸事件,参见安全模式转变。SB包括各措施以便保护设备从终端的去除。其另外控制被用于拆装保护和网格传感的某些外部篡改传感器。篡改警报将引起SB内部万能钥匙的即刻擦除。
主PCB(MPCB)控制NFC,将帐户数据转发到SB并操作软件,该软件控制支付和网络。MPCB嵌入安全控制器,其负责安全启动并提供安全密钥库和密码函数。终端嵌入针对拆装进行保护的拆装开关。例如,一个开关被嵌入SB并保护芯片读卡器;两个开关被嵌入MPCB上。开关是相互独立的并被SB的篡改端口控制。
主PCB微处理器优选地是基于具有对称多重处理的增强型Cortex™-A9 MPCore的OMAP4460™ 高性能微处理器。
MPCB的安全控制器(SC)优选地由Maxim芯片、安全微控制器MAXQ1850(图2)提供。SC的一个功能是一级启动操作和密码密钥的安全存储(NV SRAM)。
安全控制器所使用的安全特征是
—安全启动的实现
—安全密钥存储(NV SRAM)
—硬件AES和RSA引擎
—SHA-256引擎
—实时时钟
为了实现安全启动序列,SC必须验证位于NAND 2的MC的xloader和u-boot的完整性。NAND 2闪存被经由I2C IO扩展器访问。在这些启动部件的验证之后,SC将通过向电源管理单元发送PWR_ON信号来启动MC。
下面讨论了应防止来自不同方向、例如来自终端的顶部、底部或侧面的多个攻击的不同安全措施。
攻击者尝试获得对MPCB的不同感兴趣位置的访问。至少他将获得对秘密认证密钥访问并验证,以便操纵终端软件的各部分,或者他将偷取PAN数据。
终端外壳结合了三个主体,顶部壳(A)、中间壳(B)和底部壳(C),其具有可选打印机壳。终端的构造将A和B以这样的方式结合,即不可能在不与设备的必需功能相干扰的情况下或者在不在设备的顶部和中间壳上留下痕迹的情况下将部分B从部分A去除。两个部分与主动篡改相结合地构建,切换设备的安全区。
LCD控制器和触摸传感器在可能实施例中被胶合。MPCB(微处理器、闪存、USB控制器等)的所有安全相关部件被安装在显示器与PCB本身之间上面。部件取向是相对于MPCB的中间以防止侧面攻击。用被与主PCB电分离的拆装开关来保护拆装。它们被电缆直接地连接到安全盒。拆装开关是以密码方式与安全盒通信的活动部件。
MPCB的背面并未提供攻击潜在可能,因为安全相关导电路径被布局到MPCB的内层;避免了到背面的层间连接。侧面攻击需要处理器板的特殊工具作业和专门的技术知识。
磁头的区域被由提供附加EMI/EMC保护的弹簧钢制成的读卡器导轨保护。磁头本身是来自MagTek的加密头。
使用拆装开关以便防止构造的拆装。开关是构建设备的安全区的部件。两个开关将被直接地焊接在MPCB上面,一个被焊接在SB上。该开关具有通过实现密码协议的单个有线连接与SB通信的有效部件。其使用SHA-256哈希算法来提供非常高的安全水平。256位的大的密钥长度防止穷举攻击,而多个物理安全特征防止存储在设备内的安全密钥的未授权公开。当电源被从加密篡改传感器去除时,密钥被自动地擦掉。设备包含唯一48位序列号,其被与输入挑战和存储秘密密钥相结合地使用以生成对于每个单独已加密篡改传感器而言唯一的响应。
全部的三个开关是相互独立的。该开关被设计成安装在主板上并被手动地焊接。
MPCB的多层设计与类似于存储器和μC的关键零件的封装一起提供针对来自背面的钻孔攻击的保护。
触摸传感器电缆通过ZIF连接器与SB相连。为了避免对连接器的去除攻击,ZIF连接器位于安全区内部并被挤压PCB框(D)紧固。圆形部分是拆装开关。
触摸传感器是基于对手指触摸敏感的受保护电容触摸(PCAP)。PCAP还对表面上的导电材料高度敏感。
为了实现另一PCAP或电阻触摸的覆盖,其将至少包含类似于导电的氧化铟锡(ITO)层之类的某些东西。此第二导电层将明显地与触摸屏的正常操作相干扰。
除此之外,终端触摸区是光滑的玻璃表面,其将使得任何覆盖易于检测,并且不存在将隐藏PIN公开错误而使其不可见的空间。
PCI SB固件(图3)由操作***、篡改控制、用于触摸屏的设备驱动程序、芯片读卡器接口和USB主机控制器接口组成。其实现SB/MPCB之间的用于密钥管理、PIN加密、PAN加密、芯片卡处理和相互认证的功能。PCI SB固件可使用加密和完整性检查来下载,并且将根据PCI PTS 3.1被批准,负责的是SB供应商。USB复合设备实现用于触摸事件的HID设备接口和用于功能级(密钥管理、密码、PIN等)的COM USB接口。
磁条读取器(MSR)固件由用于密钥管理和数据加密的功能组成。该加密被以密码方式结合在SB与MSR之间。
软件包括安全启动、核心模块和安卓 OS。应用程序包由让受方提供;它们包括例如支付应用程序。图4概述了安卓栈的软件部件。
安卓平台是自定义且强化的安卓或其它操作***。
在MPCB上操作的安全相关软件部件在PCI术语中被视为固件。
PCI终端固件由核心部件、库和安卓运行时间组成。这些部件将在启动期间被检查且至少一天一次。
可以更新附加应用程序和PCI固件。这包括更新作为应用程序包的一部分的单个文件或作为***程序包的一部分的设备驱动程序的可能性。还可以更新用于安全盒和NFC读取器的固件文件。文件的下载和验证由作为***程序包的一部分的终端管理代理控制。属于应用程序包的文件在让受方的责任下被签名;属于***程序包的文件在终端供应商的责任下被签名。
在启动序列(图5—7)期间,将针对完整性检查***程序包。
设备管理器分发关于终端配置的所有相关信息,包括参数、用于支付的配置文件(BIN表、AID表)和二进制文件。二进制文件意指具有已签名应用程序文件和***更新(其意指***分区的新图像)的APK文件。终端管理协议将基于与基于客户端和服务器的证书的安全SSL通信。
应用程序的更新由安卓软件的包管理器提供。
包管理器将安装由终端管理***输送的新的或已更新APK文件。封装管理器必须控制APK文件以避免能够包含安全弱点的旧包的重新加载。应用程序更新过程由以下步骤构成:
—将应用程序(APK文件)的新版本下载到数据存储器
—经由包管理器来安装APK文件的新版本
—包管理器将检查APK文件的签名并将文件安装到目标应用程序储存库。标准安卓密钥库被用于签名的验证。
—每当创建应用进程时检查应用程序包签名。
还可以进行整个***图像的更新。这是经由相同的应用程序完成的。
在安全***的生存期期间的关键点中的一个是在启动时(图5、6)。许多攻击者尝试在设备被断电的同时破坏软件;执行例如用已被篡改的图像来替换闪存中的安全世界软件图像的攻击。如果***从闪存启动图像,而不首先检查其是可信的,则***将易受攻击。在这里应用的原理中的一个是从不能被容易地篡改的可信根确立的用于所有终端软件的一连串信任的生成。
启动过程被划分成多个部分:所执行的第一层级是“安全启动”,其在测量失败(签名的检查)的情况下停止启动过程。第二层级启动是启动主处理器MC并继续整个***程序包的测量,如果测量失败则停止该过程。图5描绘了终端启动序列的原理。
当设备被通电时,SC取得控制,MC仍被关断。SC从基于内部ROM的其启动前加载程序启动,并执行自定义ROM代码,该自定义ROM代码验证启动安卓***所需的x-loader、u-boot和证书。这些部件位于NAND2闪存中。如果这些部件被检查为肯定,则SC通过切换PWR_ON信号来释放MC。出于验证目的,要验证的部件的公钥(PuK)和检查和被存储在SC的NVSRAM中;该密钥由终端供应商分发并在安全制造环境中加载。第一层级启动的自定义是不可能的,设备始终从其内部自定义ROM代码启动。该代码是在设备制造期间在终端供应商的安全环境中加载的。
u-boot执行在x-loader未完成的CPU相关且板相关的初始化和配置。u-boot还包括对***程序包进行验证的完整性检查例程。在全局设备列表的初始化和启用中断之后,u-boot加载并启动核心。这时,核心承担责任并操作已检查且已验证软件部件。
在SC的第一层级启动期间验证MC的以下部件:
—Bootstrapping(x-load.bin.ift)
—启动加载程序(u-boot.bin)
—证书
—SRAM内容
在第二层级启动期间验证以下部件。
—核心图像(uImage)
—基本文件***(rootfs)
—PCI固件(PCI PTS相关SW部件)
以下处理器信号[7]与启动配置相关且需要修改以便将启动位置硬接线到NAND2。
SC的这个第一层级启动器是用当设备被通电时被执行的自定义ROM代码。其验证位于NAND 2闪存中的以下部件。
—根证书CertTV
—BSP证书CertSI
—公开设备密钥MSPKauth
—NV SRAM内容
—x-loader的二进制
—u-boot的二进制
在成功执行和验证之后,其释放电源管理单元TPS65920的PWR_ON信号。这开始MC内部ROM代码的执行并迫使加载x-loader代码,其启动第二启动层级。
x-loader由不能改变的一组GPIO配置确定。其始终位于NAND 2闪存中的固定地址上,并且其不包含任何安全措施。x-loader其负责u-boot加载程序的某些配置和到内存中的加载。
u-boot是从MPCB供应商的u-boot加载程序导出的并被增强以用于***程序包的验证。针对完整性检查和的验证,使用供应商证书(CertSI)。u-boot验证整个***程序包。
认证器是由安卓 OS的init-process启动的程序。其有责任实现用于与SB的相互认证的安全协议并使用密码API以便访问SC的密钥材料和密码函数。
安全协议是基于使用由SB生成的基本密钥的T-DES(Kbk)。
另一任务是例如每24小时验证***程序包。
密码管理器实现密码API,其使用SC的底层安全架构并向支付提供商和安全HID驱动程序提供低级密码功能。为了触摸屏的集成,平台提供USB-HID驱动程序,其将SB的触摸控制器链接到安卓***。信号被此核心输入设备驱动程序转换并提交给安卓 EventHub部件。安卓 InputReader部件然后根据设备类别(HID)将输入事件解码并产生一串安卓输入事件。作为此过程的一部分,Linux输入协议事件代码被根据输入设备配置、例如各种映射表而转换成安卓事件码。最后,输入阅读器将事件发送到输入调度程序并因此到顶层应用窗口。HID驱动程序在可能实施例中并不实现加/解密。在PIN输入期间,不提交触摸事件。
到目前为止,此行为是标准的安卓行为且对附加应用程序开发没有影响。存在一个限制:平台验证安全相关软件部件的完整性。如果验证是肯定的,则平台向SB发送通知,其被嵌入相互认证协议中。此通知将迫使SB释放触摸事件到MPCB的提交。如果验证或完整性检查失败,则将不提交事件,并且设备将掉电。
SB密码驱动程序提供到SB的低级USB接口。其实现类似于安全HID驱动程序的主动式密码术并与SB通信。其向支付提供商提供低级功能。
支付提供商是一组部件,其提供用于需要支付功能或安全功能的所有应用程序的公共接口。下面描述支付提供商的高级功能。
其提供与EMV(Europay、MasterCard和Visa)交易处理有关的接口。此接口服务用于覆盖以下各项的支付应用程序的公共高级构建块。
—应用程序选择读取EMV应用程序,处理关于AID配置表中已配置应用程序的候选列表。
—离线处理—处理从ICC卡进行的记录读取,检查所需数据。其还处理SDA、DDA、CDA认证和CVM处理(离线或在线PIN输入的处理)和终端风险管理步骤。
—第1密码—关于由离线处理收集的结果的第1密码任务的处理
—第2密码—在已在在线模式中完成的交易的情况下,第2密码在(成功或不成功)在线通信之后生成最后密码计算,其处理关键和非关键EMV脚本的处理。
整个交易处理是支付应用程序的责任。离线/在线交易过程和打印的处理必须由支付应用程序处理。
EMV无接触接口(PayPass、PayWave)提供用于无接触卡处理的接口。无接触卡使用PayPass或PayWave核心关于在EMV书A和B中定义的规则进行处理。这意味着处理了对于成功交易而言强制性的所有步骤。
—读记录处理
—密码生成
—CVM列表或CTQ和TTQ指示符的处理
整个交易处理是支付应用程序的责任。离线/在线交易过程的CVM处理、打印和处理(handling)必须由支付应用程序处理。
读卡器接口提供用于取决于所使用卡介质类型的相关读卡功能的接口。
—对于磁条卡而言,其提供关于被扫的卡的读数据(磁轨1、磁轨2、磁轨3)和检测的信息。
—针对ICC接口,其提供检测卡到读卡槽的***、处理EMV重置(包括所需数据的处理)和低级接口(基于APDU)的可能性,其可以被用于非EMV卡或者用于处理标准EMV卡的任何特殊本地增强。
—可以经由此接口来检测无接触卡;接口另外提供关于检测到的卡的信息(然后由EMV无接触接口来处理支付卡)。针对非标准或私人无接触卡可以使用直接通过接口,其使用低级数据协议。
安全存储接口被用来存储在静止中的安全相关支付数据,例如用于存储离线交易或存储和转发队列。针对数据存储,使用主PCB板(数据分区)的标准闪速内存,但是所有数据被两个密钥层级加密。
安全接口提供一种用于在交易处理期间或者在与支付后端***的通信期间使用的标准安全功能的接口。
—MAC接口
—用于计算消息的MAC代码的接口
—密钥加载接口
—加密接口
出于密钥管理(KMS)目的,终端提供DUKPT[14]和CBA[4]特定功能以便使支付应用程序适应于KMS。
PIN接口被用于PIN处理函数和PIN块加密函数。其在离线PIN处理过程(明文PIN处理、已加密离线PIN处理)和在线PIN处理期间使用。
—离线明文PIN过程(被EMV交易接口使用)
—离线已加密PIN过程(被EMV交易接口使用)
—在线已加密PIN过程(被公共交易处理部分和EMV交易接口使用),其被划分成两个部分
—PIN输入过程和PIN块计算和检索任务
支付App(应用程序)被构建于标准安卓接口和自定义支付提供商接口之上。支付应用程序实现用于处理顾客(让受方)所请求的成功支付交易的所有所需步骤。主要责任如下。
—处理用于交易的所有所需数据的输入(商家输入)
—读卡和卡处理任务的过程(使用支付提供商)
—根据卡方案或卡介质类型(ICC、无接触、磁条)所请求的交易流程来处理交易。
这些步骤包括PIN输入处理、EMV或无接触处理、风险管理处理
—应用程序负责与主机的通信和实现主机协议接口。
—应用程序负责实现被用于与现金出纳机的集成的ECR协议。
—应用程序收集关于交易的数据并准备用于当日关闭过程的数据(在双消息***的情况下,使用由支付提供商的安全接口保护的存储和转发队列)。
除支付应用程序之外,可以在设备上安装一组增值应用程序。这些应用程序的提示控制在终端让受方的责任下。
这些应用程序向商家输送附加的功能和更多便利,例如
—动态货币兑换(DCC)
—销售点/电子现金出纳机集成能力
—简单分摊账单
-等。
此应用程序允许捕捉现金和支票购买,并向商家提供关于来自终端的所有购买的信息,包括卡、现金和支票购买。
安全概念还允许由Google钱包提供的服务。设备充当NFC读取设备,其将被用Mastercard PayPass支付方法批准。
终端将装配有中央记录服务。记录信息被写入可以被传输到终端管理***的文件。存在可以借助于终端管理代理来报告的多个安全控制;更多信息在“终端生命周期”小节中的“安全协议”中。
TMS代理负责管理安装在网络中的终端。其输送关于终端的实际HW和SW状态的信息,并且还负责下载附加应用程序和PCI固件。其与中央TMS***相交互。原则上,TMS代理向由赞助商操作的设备管理器提供终端数据。设备管理器将终端设定下载到终端。TMS代理收集可以被例如设备管理器分析的安全信息。精确的信息和结构将在单独文档中指定。以下信息意图提供但不限于此列表。
在上电(图7)之后,SB的默认模式是安全模式,其防止SB提交触摸事件。在随着***程序包的成功验证的安全启动之后,终端处理与SB的相互认证,认证器负责。在成功认证之后,SB被传输到明文模式,其允许提交触摸事件。
负责相互认证的过程由安卓***的init-program开始。相互认证是基于Pkauth和Skauth及终端供应商证书。
明文模式在终端断电或者定义时间帧被耗尽(24h)时终止;该时间帧由终端管理代理控制。针对PIN输入,SB被转移到安全PIN模式,除替换坐标之外,不经由HID类传送PIN代码或触摸事件。启动安全PIN模式的支付应用程序需要使用密码密钥向SB进行认证,该密码密钥由SB生成并在注册期间被传输到支付应用程序。注册是当HID设备驱动程序和通用USB设备驱动程序向安全盒进行注册时的程序。安全PIN代码在功能键(取消、清零)被按下或者由持卡人输入最大PIN字符时终止。以下状态图概述不同的模式。
安卓移动平台被设计成向利用高级硬件和软件的所有种类的应用程序开发开放。在终端平台上执行的应用程序必须依赖于所提供的此架构;另外,在安卓强化章节中将应用并描述特定平台强化。安卓平台安全架构由以下密钥安全特征组成。
—应向OS提供稳健的安全性的Linux核心
—应用程序沙箱
—安全进程间通信
—应用程序定义和用户准予的许可
安卓安全平台的一般描述在开发者的页面http://source.android.com/tech/security/index.html上提供。
以下部件与终端的安全边界相交互。
针对该设备,使用可开关隐私过滤器。可开关过滤器与在屏幕上显示的随机移位软PIN键盘相组合地操作。LCD面板将被透明箔覆盖。集成在箔中的透镜遵照对参加设备[2]的要求使所选子像素的光以有限立体保护角聚焦。来自这些子像素的此立体角信息的外面是不可见。
在正常模式下,LCD面板的所有像素都是活动的。该信息从所有侧面将是可见的。在PIN输入模式下,将仅使用具有透镜的所选子像素来在屏幕上显示虚拟PIN键盘。只有输入PIN并垂直于屏幕看的用户才能看到虚拟PIN键盘。屏幕的一小部分处于正常模式且另一部分同时地处于PIN输入模式是可能的。由于技术原因,可以仅单色地示出PIN键盘。PIN输入模式下的屏幕的分辨率和亮度是有限的,因为将只有像素的子集被使用。
屏幕上的PIN键盘的尺寸和位置是灵活的并将随着每个交易而随机地改变。在没有来自屏幕的信息的情况下,将不可能用触摸屏上的手指位置的检测来探知PIN。推荐在PIN输入模式下仅显示数字键且在正常模式下在屏幕上的固定位置处显示功能键。
照相机光学件的组合(观察角)和照相机的放置防止在PIN输入模式期间探知手指位置。
传感器事件被从核心驱动程序提交到Dalvik并在类传感器事件中呈现。所有值都以弧度/秒为单位并测量围绕设备的局部X、Y和Z轴的旋转速率。这可能被用于基于软件的PIN公开***,其通过在PIN输入期间测量旋转速率而不是接收触摸事件来在屏幕上显示虚拟PIN键盘。以下措施防止基于软件的PIN公开***的安装。
终端仅执行让受方签名应用程序。这些应用程序合格、被签名且在让受方的控制下。未知应用程序的安装在其启动序列期间被终端的完整性测量***阻止。基于硬件的攻击在范围之外。
可以将以下通信设备包括在强化概念中。
—PCIE 3G模块
—以太网IF模块
—WiFi、BlueTooth、GPS
终端的供应商负责***程序包签名并在启动加载程序中嵌入证书CertSI以用于验证。通过使用被嵌入SB控制器的NV SRAM中的不同公钥来验证启动加载程序本身。
安卓***要求所有已安装应用程序被用证书以数字方式签名,该证书的私钥由应用程序的发行者保持。
安卓***使用证书作为识别应用程序的创作者并在应用程序之间建立信任关系的手段。证书被用来控制发行者可以安装哪些应用程序。根据密钥生命周期所使用的技术和相关服务符合ISO 11568-2和ANSI X9.24。针对设备密钥管理,应用用于不同目的的对称和非对称密码术。用于由终端提供的算法的最小密钥尺寸和参数遵循PCI要求。
附图标记列表
[1] PIN Transaction Security Point of Interaction, Ver. 3.1 Oct. 2011PCI Modular Security Requirements
[2] PIN Transaction Security Point of Interaction, Ver. 3.1 Oct. 2011PCI Modular Derived Test Requirements
[3] Encrypting USB Intellihead, Technical Reference Manual, 99875370-2 MagTek April 2009
[4] CBA EFTPOS Specification, Ver. 1.5 Aug. 2006
Commonwealth Bank of Australia
[7] OMAP4460 Multimedia Device Silicon Revision 1.0 Q,
Texas Instruments
[8] Maxim MAXQ1850 Data sheet.
[9] H26M52002CKR eMMC Memory HYNIX data sheet
[14] ANSI X9.24-1, Retail Financial Services Symmetric Key Management
Claims (11)
1.一种用于输入安全用户信息的用户终端,包括:
—处理器,用于利用应用程序运行操作***;
—触摸屏,用于显示信息并接收用户输入,并且还将从用户接收安全信息;
—安全盒,被连接在所述触摸屏与所述处理器之间,以控制在触摸屏上到处理器的用户输入,其中,所述安全盒被配置成在两个模式“安全模式”和“明文模式”下运行,其中,当在“安全模式”下运行时,用户输入没有作为触摸坐标被转发到处理器,并且当在“明文模式”下运行时,触摸坐标被传送到处理器;
其中所述触摸屏被连接到所述安全盒且所述安全盒经由USB通道被连接到所述处理器;
并且通过USB来传送触摸坐标和密码命令,包括以下PIN输入、密码密钥管理、Europay、MasterCard和Visa PIN离线验证、保护磁条数据的一个或多个,其中取决于所述模式,建立了两个逻辑USB通道以分别地传送触摸坐标和密码命令。
2.根据先前权利要求1所述的用户终端,
其中,所述触摸屏的触摸传感器经由SPI(串行***接口)连接到安全盒(SB)且所述触摸屏的显示器被经由LVDS/DSI桥连接。
3.根据先前权利要求1所述的用户终端,
其中,所述安全用户信息是用以可访问个人帐户信息和/或物理项目的PIN或口令,并且其中,“安全模式”是“PIN输入模式”。
4.根据权利要求1所述的用户终端,
其中,所述用户终端是用于输入PIN以使得能够实现金融交易的销售点(POS)终端,另外包括:
—读卡器,其用于从***读取信息。
5.如权利要求4所述的用户终端,
其中,所述读卡器是被集成到安全盒中的芯片读卡器,其中,所述安全盒被配置成基于PIN和芯片卡的信息来执行处理金融交易的所有所需步骤。
6.如权利要求4或5所述的用户终端,
其中,当在触摸屏上显示虚拟PIN键盘时,安全盒切换到“PIN输入模式”并被配置成将用户触摸解释为PIN,并将PIN加密以通过网络控制器将该加密的PIN与***信息一起转发到联合服务中心/银行。
7.如权利要求1所述的用户终端,
其中,支付应用程序在操作***上运行,该操作***将安全盒切换到“PIN输入模式”并显示虚拟PIN键盘,和/或其中,支付应用程序将来自读卡器的卡信息转发到安全盒,其中,支付应用程序也能够负责将已加密PIN从安全盒转发到服务中心/银行。
8.如权利要求1所述的用户终端,
其中针对每次交易在触摸屏上面随机地移动PIN键盘和/或其中,安全盒被告知PIN键盘的坐标,以能够解释触摸输入。
9.如权利要求1所述的用户终端,
其中,所述安全盒被连接到光学指示器,其指示何时处于“安全模式”。
10.如权利要求1所述的用户终端,
其中,所述安全盒和所述触摸屏被相互连接,并且传感器指示何时执行断开连接,其导致安全盒中的密钥的删除。
11.根据权利要求10或1所述的用户终端,其中,所述安全盒在物理上被附着到所述触摸屏并受到盖的保护。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP13157884.1A EP2775421B1 (en) | 2013-03-05 | 2013-03-05 | Trusted terminal platform |
| EP13157884.1 | 2013-03-05 | ||
| PCT/EP2014/054223 WO2014135569A1 (en) | 2013-03-05 | 2014-03-05 | Trusted terminal platform |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105164694A CN105164694A (zh) | 2015-12-16 |
| CN105164694B true CN105164694B (zh) | 2019-03-22 |
Family
ID=47845749
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480025262.1A Active CN105164694B (zh) | 2013-03-05 | 2014-03-05 | 可信终端平台 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US11088840B2 (zh) |
| EP (2) | EP2775421B1 (zh) |
| JP (1) | JP2016516230A (zh) |
| CN (1) | CN105164694B (zh) |
| AU (4) | AU2014224656B2 (zh) |
| BR (1) | BR112015021567A2 (zh) |
| CA (1) | CA2904114C (zh) |
| EA (1) | EA201591604A1 (zh) |
| MX (1) | MX365603B (zh) |
| NZ (2) | NZ749458A (zh) |
| SG (2) | SG10201605863TA (zh) |
| WO (1) | WO2014135569A1 (zh) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB201212878D0 (en) | 2012-07-20 | 2012-09-05 | Pike Justin | Authentication method and system |
| US10460314B2 (en) * | 2013-07-10 | 2019-10-29 | Ca, Inc. | Pre-generation of session keys for electronic transactions and devices that pre-generate session keys for electronic transactions |
| PL3066612T3 (pl) | 2013-11-07 | 2019-06-28 | Scantrust Sa | Dwuwymiarowy kod kreskowy oraz sposób uwierzytelniania takiego kodu kreskowego |
| US9665861B2 (en) | 2014-01-10 | 2017-05-30 | Elo Touch Solutions, Inc. | Multi-mode point-of-sale device |
| US11138581B2 (en) | 2014-01-10 | 2021-10-05 | Elo Touch Solutions, Inc. | Multi-mode point-of-sale device |
| US20150199667A1 (en) * | 2014-01-10 | 2015-07-16 | Elo Touch Solutions, Inc. | Cloud-based point-of-sale platform |
| GB201408539D0 (en) * | 2014-05-14 | 2014-06-25 | Mastercard International Inc | Improvements in mobile payment systems |
| FR3026207B1 (fr) * | 2014-09-22 | 2018-08-17 | Prove & Run | Terminal a affichage securise |
| US9721242B2 (en) * | 2014-10-28 | 2017-08-01 | Poynt Co. | Payment terminal operation method and system therefor |
| GB201520741D0 (en) | 2015-05-27 | 2016-01-06 | Mypinpad Ltd And Licentia Group Ltd | Authentication methods and systems |
| US10496968B2 (en) | 2015-09-25 | 2019-12-03 | Everi Payments Inc. | Financial terminal that automatically reconfigures into different financial processing terminal types |
| US10068210B2 (en) | 2015-09-25 | 2018-09-04 | Everi Payments Inc. | Casino cash system, apparatus and method utilizing integrated circuit cards |
| CA3008571C (en) * | 2015-12-28 | 2020-12-15 | Mobeewave, Inc. | System for and method of authenticating a user on a device |
| CN105739758A (zh) * | 2016-01-21 | 2016-07-06 | 广州市莱麦互联网科技有限公司 | 安卓设备的显示控制方法和装置 |
| CN105761066A (zh) * | 2016-02-04 | 2016-07-13 | 福建联迪商用设备有限公司 | 银行卡密码保护方法及*** |
| WO2017149343A1 (en) | 2016-03-02 | 2017-09-08 | Cryptera A/S | Secure display device |
| KR102645424B1 (ko) * | 2016-03-16 | 2024-03-08 | 주식회사 알티캐스트 | 키 이벤트 암호화 처리 시스템 및 그 방법 |
| CN105894662A (zh) * | 2016-03-29 | 2016-08-24 | 山东华芯富创电子科技有限公司 | 密码输入装置及所应用于的*** |
| EP3244376A1 (fr) * | 2016-05-10 | 2017-11-15 | Atos Worldline | Terminal de paiement multi-supports |
| US10445971B2 (en) * | 2016-07-27 | 2019-10-15 | Wayne Fueling Systems Llc | Methods, systems, and devices for secure payment and providing multimedia at fuel dispensers |
| FR3058814B1 (fr) * | 2016-11-15 | 2019-10-25 | Ingenico Group | Procede de traitement de donnees transactionnelles, terminal de communication, lecteur de cartes et programme correspondant. |
| WO2018098325A1 (en) * | 2016-11-23 | 2018-05-31 | Entrust Datacard Corporation | Printer identity and security |
| US20180150838A1 (en) * | 2016-11-28 | 2018-05-31 | Yello Company Limited | Electronic payment acceptance device |
| CN106781116B (zh) * | 2017-02-15 | 2023-05-16 | 福建魔方电子科技有限公司 | 一种智能pos终端核心区防护结构 |
| US10438198B1 (en) | 2017-05-19 | 2019-10-08 | Wells Fargo Bank, N.A. | Derived unique token per transaction |
| TWI648693B (zh) * | 2017-07-25 | 2019-01-21 | 神雲科技股份有限公司 | Touch computer device for financial transaction payment and management method thereof |
| CN109427157B (zh) * | 2017-08-22 | 2021-03-26 | 佛山市顺德区顺达电脑厂有限公司 | 金融交易支付之触控计算机装置及其管理方法 |
| DE102018206541A1 (de) | 2018-04-27 | 2019-10-31 | Audi Ag | Verfahren zum Betrieb einer berührungssensitiven, flächigen Eingabevorrichtung einer Gesamtvorrichtung und Gesamtvorrichtung |
| US10827349B2 (en) * | 2018-05-11 | 2020-11-03 | University Of Southern California | SEALANT: security for end-users of android via light-weight analysis techniques |
| BE1026342B9 (fr) * | 2018-06-04 | 2020-02-04 | Worldline Sa | Dispositif et procede pour l'identification securisee d'un utilisateur |
| EP3803744A4 (en) * | 2018-06-05 | 2022-07-20 | JPMorgan Chase Bank, N.A. | SYSTEMS AND METHODS FOR USING A CRYPTOGRAM LOCKBOX |
| JP7182966B2 (ja) * | 2018-09-12 | 2022-12-05 | キヤノン株式会社 | 情報処理装置、情報処理装置の起動方法、及びプログラム |
| CN109410484A (zh) * | 2018-09-14 | 2019-03-01 | 新开普电子股份有限公司 | 一种智能车载pos终端*** |
| US11212090B1 (en) | 2019-02-27 | 2021-12-28 | Wells Fargo Bank, N.A. | Derived unique random key per transaction |
| US10726681B1 (en) * | 2019-07-26 | 2020-07-28 | Clover Network, Inc. | Advanced hardware system for self service checkout kiosk |
| FR3119906B1 (fr) * | 2021-02-12 | 2024-01-19 | Renault Sas | Procédé de vérification de l’authenticité d’une commande d’un actionneur |
| CN114296625A (zh) * | 2021-12-28 | 2022-04-08 | 深圳市百富智能新技术有限公司 | 一种数据输入方法、装置、双芯片销售终端及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101989172A (zh) * | 2009-07-30 | 2011-03-23 | Ncr公司 | 加密触敏显示器 |
| WO2011051757A1 (en) * | 2009-10-26 | 2011-05-05 | Gmx Sas | Transactor for use in connection with transactions involving secure and non-secure information |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS61228569A (ja) | 1985-04-02 | 1986-10-11 | Omron Tateisi Electronics Co | 秘密情報記憶装置 |
| JPS6359690A (ja) | 1986-08-30 | 1988-03-15 | Toshiba Corp | 携帯可能記憶媒体読取書込装置 |
| US5970146A (en) * | 1996-05-14 | 1999-10-19 | Dresser Industries, Inc. | Data encrypted touchscreen |
| JPH11168524A (ja) | 1997-12-05 | 1999-06-22 | Canon Inc | 通信制御装置および通信制御装置のデータ処理方法およびコンピュータが読み出し可能なプログラムを格納した記憶媒体 |
| US6317835B1 (en) * | 1998-12-23 | 2001-11-13 | Radiant Systems, Inc. | Method and system for entry of encrypted and non-encrypted information on a touch screen |
| AU3898200A (en) * | 1999-03-24 | 2000-10-09 | Radiant Systems, Inc. | System for securing entry of encrypted and non-encrypted information on a touch screen |
| US6715078B1 (en) | 2000-03-28 | 2004-03-30 | Ncr Corporation | Methods and apparatus for secure personal identification number and data encryption |
| JP4224222B2 (ja) | 2001-03-13 | 2009-02-12 | 株式会社リコー | 描画方法 |
| EP1286242A1 (en) * | 2001-08-22 | 2003-02-26 | Sonera SmartTrust, Ltd. | System and method for protected data input of security data |
| FR2852717B1 (fr) * | 2003-03-18 | 2005-06-03 | Ingenico Sa | Terminal de paiement securise |
| WO2005086000A2 (en) | 2004-03-04 | 2005-09-15 | Axalto Sa | A secure sharing of resources between applications in independent execution environments in a retrievable token (e.g smart card) |
| US7987356B2 (en) * | 2004-11-29 | 2011-07-26 | Broadcom Corporation | Programmable security platform |
| JP4616013B2 (ja) * | 2005-01-12 | 2011-01-19 | 富士通フロンテック株式会社 | セキュリティを確保した決済対応アプリケーション |
| US20060224523A1 (en) | 2005-03-31 | 2006-10-05 | Elvitigala Rajith T | Dynamic keypad |
| EP1788507A3 (fr) * | 2005-11-16 | 2010-04-07 | Ingenico SA | Terminal de transaction électronique pouvant fonctionner en mode sécurisé et en mode non sécurisé, ainsi que méthode adaptée au dispositif |
| JP5121190B2 (ja) | 2006-09-04 | 2013-01-16 | 日立オムロンターミナルソリューションズ株式会社 | 入力装置および現金自動取引装置 |
| US20090049307A1 (en) * | 2007-08-13 | 2009-02-19 | Authennex, Inc. | System and Method for Providing a Multifunction Computer Security USB Token Device |
| JP2009282770A (ja) | 2008-05-22 | 2009-12-03 | Kyocera Mita Corp | ユーザ認証装置および画像形成装置 |
| US8788428B2 (en) * | 2010-06-28 | 2014-07-22 | Dresser, Inc. | Multimode retail system |
| DE102010060862A1 (de) * | 2010-11-29 | 2012-05-31 | Wincor Nixdorf International Gmbh | Vorrichtung zum Lesen von Magnetstreifen- und/oder Chipkarten mit Touchscreen zur PIN-Eingabe |
| KR20120079579A (ko) * | 2011-01-05 | 2012-07-13 | 삼성전자주식회사 | 멀티 터치를 이용한 화면 크기 변경 방법 및 장치 |
| JP5726652B2 (ja) | 2011-06-28 | 2015-06-03 | シャープ株式会社 | 表示システム |
| US9484003B2 (en) * | 2012-10-01 | 2016-11-01 | Lenovo (Singapore) Pte. Ltd. | Content bound graphic |
| US10282088B2 (en) * | 2012-12-06 | 2019-05-07 | Samsung Electronics Co., Ltd. | Configuration of application execution spaces and sub-spaces for sharing data on a mobile tough screen device |
-
2013
- 2013-03-05 EP EP13157884.1A patent/EP2775421B1/en active Active
-
2014
- 2014-03-05 CA CA2904114A patent/CA2904114C/en active Active
- 2014-03-05 WO PCT/EP2014/054223 patent/WO2014135569A1/en active Application Filing
- 2014-03-05 AU AU2014224656A patent/AU2014224656B2/en active Active
- 2014-03-05 SG SG10201605863TA patent/SG10201605863TA/en unknown
- 2014-03-05 CN CN201480025262.1A patent/CN105164694B/zh active Active
- 2014-03-05 SG SG11201506830SA patent/SG11201506830SA/en unknown
- 2014-03-05 MX MX2015011461A patent/MX365603B/es active IP Right Grant
- 2014-03-05 EP EP14711177.7A patent/EP2965259B1/en active Active
- 2014-03-05 US US14/773,419 patent/US11088840B2/en active Active
- 2014-03-05 JP JP2015560671A patent/JP2016516230A/ja not_active Withdrawn
- 2014-03-05 EA EA201591604A patent/EA201591604A1/ru unknown
- 2014-03-05 BR BR112015021567A patent/BR112015021567A2/pt active Search and Examination
- 2014-03-05 NZ NZ749458A patent/NZ749458A/en unknown
- 2014-03-05 NZ NZ712430A patent/NZ712430A/en unknown
-
2019
- 2019-12-11 AU AU2019279985A patent/AU2019279985B2/en active Active
- 2019-12-11 AU AU2019279992A patent/AU2019279992B2/en not_active Ceased
-
2021
- 2021-12-16 AU AU2021286355A patent/AU2021286355B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101989172A (zh) * | 2009-07-30 | 2011-03-23 | Ncr公司 | 加密触敏显示器 |
| WO2011051757A1 (en) * | 2009-10-26 | 2011-05-05 | Gmx Sas | Transactor for use in connection with transactions involving secure and non-secure information |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2019279992A1 (en) | 2020-01-16 |
| AU2019279985A1 (en) | 2020-01-16 |
| CN105164694A (zh) | 2015-12-16 |
| EP2965259B1 (en) | 2021-02-17 |
| BR112015021567A2 (pt) | 2017-07-18 |
| CA2904114A1 (en) | 2014-09-12 |
| EP2775421A1 (en) | 2014-09-10 |
| EP2965259A1 (en) | 2016-01-13 |
| AU2019279992B2 (en) | 2020-02-20 |
| NZ749458A (en) | 2020-03-27 |
| AU2021286355B2 (en) | 2022-12-15 |
| WO2014135569A1 (en) | 2014-09-12 |
| AU2021286355A1 (en) | 2022-01-20 |
| NZ712430A (en) | 2019-02-22 |
| AU2019279985B2 (en) | 2021-09-30 |
| EP2775421B1 (en) | 2019-07-03 |
| SG10201605863TA (en) | 2016-09-29 |
| AU2014224656B2 (en) | 2019-09-12 |
| MX2015011461A (es) | 2016-05-31 |
| JP2016516230A (ja) | 2016-06-02 |
| EA201591604A1 (ru) | 2015-12-30 |
| CA2904114C (en) | 2023-03-21 |
| MX365603B (es) | 2019-06-07 |
| AU2014224656A1 (en) | 2015-10-15 |
| US20160020906A1 (en) | 2016-01-21 |
| SG11201506830SA (en) | 2015-09-29 |
| US11088840B2 (en) | 2021-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105164694B (zh) | 可信终端平台 | |
| KR102566248B1 (ko) | 전자 결제 기능을 제공하는 전자 장치 및 그의 동작 방법 | |
| US11157912B2 (en) | Method and system for enhancing the security of a transaction | |
| AU2014283648B2 (en) | Display card with user interface | |
| ES2599985T3 (es) | Validación en cualquier momento para los tokens de verificación | |
| JP5608081B2 (ja) | 安全な金融取引を行うための装置および方法 | |
| KR20170041465A (ko) | 결제 서비스 제공 방법 및 이를 구현한 전자 장치 | |
| CN107798537A (zh) | 经由设备的独立处理器进行的数据验证 | |
| CN104981827A (zh) | 保护执行安全支付交易且能够用作安全支付终端的移动装置中的持卡人数据的方法 | |
| CN105917612B (zh) | 燃料分配环境中的内容的密码式水印印制 | |
| US10146966B2 (en) | Device for processing data from a contactless smart card, method and corresponding computer program | |
| US11551220B2 (en) | Method for processing transaction data, corresponding communications terminal, card reader and program | |
| KR101019156B1 (ko) | 보안카드 생성 및 갱신 시스템 그리고 그 방법 | |
| CN112889262A (zh) | 用于指示个人识别号码的输入的***和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |