BR112016011107A2 - Sistemas e métodos para segurança de bomba de combustível - Google Patents

Sistemas e métodos para segurança de bomba de combustível Download PDF

Info

Publication number
BR112016011107A2
BR112016011107A2 BR112016011107-9A BR112016011107A BR112016011107A2 BR 112016011107 A2 BR112016011107 A2 BR 112016011107A2 BR 112016011107 A BR112016011107 A BR 112016011107A BR 112016011107 A2 BR112016011107 A2 BR 112016011107A2
Authority
BR
Brazil
Prior art keywords
user
fuel pump
access
challenge
server
Prior art date
Application number
BR112016011107-9A
Other languages
English (en)
Other versions
BR112016011107B1 (pt
Inventor
Anders Bergqvist
Original Assignee
Wayne Fueling Systems Sweden Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/082,272 external-priority patent/US9133012B2/en
Priority claimed from US14/082,278 external-priority patent/US9139414B2/en
Application filed by Wayne Fueling Systems Sweden Ab filed Critical Wayne Fueling Systems Sweden Ab
Publication of BR112016011107A2 publication Critical patent/BR112016011107A2/pt
Publication of BR112016011107B1 publication Critical patent/BR112016011107B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/14Payment architectures specially adapted for billing systems
    • G06Q20/145Payments according to the detected use or quantity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/18Payment architectures involving self-service terminals [SST], vending machines, kiosks or multimedia terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/388Payment protocols; Details thereof using mutual authentication without cards, e.g. challenge-response
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F13/00Coin-freed apparatus for controlling dispensing or fluids, semiliquids or granular material from reservoirs
    • G07F13/02Coin-freed apparatus for controlling dispensing or fluids, semiliquids or granular material from reservoirs by volume
    • G07F13/025Coin-freed apparatus for controlling dispensing or fluids, semiliquids or granular material from reservoirs by volume wherein the volume is determined during delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Finance (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Power Engineering (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Storage Device Security (AREA)
  • Loading And Unloading Of Fuel Tanks Or Ships (AREA)
  • Fuel Cell (AREA)

Abstract

A presente invenção refere-se a sistemas e métodos para segurança de bomba de combustível. Em algumas concretizações, a um usuário que busca acesso a uma função protegida da bomba de combustível é apresentado um desafio que criptografado usando uma chave secreta que é exclusiva da bomba de combustível. Para acessar a função assegurada, o usuário tem que obter uma senha de sessão de um servidor que autentica o usuário, descriptografa o desafio usando uma contraparte da chave secreta, determina se o usuário está autorizado a acessar a função assegurada, e retorna a senha de sessão extraída do desafio apenas quando o usuário estiver autorizado. O servidor pode assim controlar o acesso a certas funções da bomba de combustível de acordo com um conjunto de privilégios de acesso de usuário. O desafio pode também incluir informação adicional que pode ser usada pela bomba de combustível e/ou pelo servidor para armazenar um registro de atividade de acesso.

Description

Relatório Descritivo da Patente de Invenção para "SISTE- MAS E MÉTODOS PARA SEGURANÇA DE BOMBA DE COMBUS- TÍVEL".
REFERÊNCIA CRUZADA AOS PEDIDOS RELACIONADOS
[001] Este pedido reivindica o benefício de prioridade para o Pe- dido Não Provisório de Patente Norte-Americana de Série No. 14/082272, conforme depositado em 18 de novembro de 2013, e para o Pedido Não Provisório de Patente Norte-Americana No. 14/082278, conforme depositado em 18 de novembro de 2013, cada um dos quais é aqui incorporado para referência em sua totalidade.
CAMPO
[002] A presente invenção refere-se a, de modo geral, a sistemas e métodos para segurança de bomba de combustível.
ANTECEDENTES
[003] Um típico ambiente de abastecimento de combustível inclui uma ou mais bombas de combustível que podem ser usadas por um cliente para dispensar combustível em um veículo, em um tanque de combustível portátil, ou em outro equipamento. De tempo em tempos, é necessário que o pessoal de serviço, funcionários do governo ou de órgãos reguladores, ou outras partes acessem recursos especiais da bomba de combustível, tais como registros de serviço, funções de ca- libração, funções diagnósticas, e assim por diante. Bombas de com- bustível existentes empregam vários mecanismos de segurança em um esforço para impedir o acesso não autorizado a estes recursos. Por exemplo, algumas bombas de combustível requerem uma simples senha para acessar certas funções de um sistema de computador na bomba de combustível. Por meio de exemplo adicional, algumas bom- bas de combustível incluem uma porta travável que cobre a porção de serviço da bomba de combustível, ou uma vedação mecânica que po- derá prover evidência de adulteração, caso a vedação seja rompida. A maioria dos sistemas e métodos de segurança existentes pode, contu- do, ser facilmente driblada por partes mal intencionadas. Consequen- temente, existe a necessidade de sistemas e métodos aperfeiçoados para segurança de bomba de combustível.
BREVE DESCRIÇÃO
[004] Sistemas e métodos para a segurança de bombas de com- bustível são aqui descritos. Em algumas concretizações, a um usuário que busca acesso a uma função protegida da bomba de combustível é apresentado um desafio que é criptografado usando uma chave secre- ta que é exclusiva da bomba de combustível. Para acessar a função assegurada, o usuário tem que obter uma senha de sessão de um servidor que autentica o usuário, descriptografa o desafio usando uma contraparte da chave secreta, determina se o usuário está autorizado a acessar a função assegurada, e retorna a senha de sessão extraída do desafio apenas quando o usuário estiver autorizado. O servidor po- derá assim controlar o acesso a certas funções da bomba de combus- tível de acordo com um conjunto de privilégios de acesso de usuário. O desafio pode também incluir informação adicional que pode ser usa- da pela bomba de combustível e/ou pelo servidor para armazenar um registro de atividade de acesso.
[005] Em algumas concretizações, um sistema inclui uma memó- ria de bomba de combustível que armazena uma chave secreta que é exclusiva do sistema e um processador de bomba de combustível acoplado à memória. O processador é programado para receber uma solicitação para acessar uma função do sistema em nome de um usu- ário, gerar um desafio que inclui uma senha de sessão e um código de função correspondendo à função solicitada, criptografar o desafio usando a chave secreta armazenada na memória, emitir o desafio crip- tografado, solicitar a senha de sessão, e permitir acesso à função soli- citada apenas quando do recebimento de uma senha correspondendo à senha de sessão.
[006] Em algumas concretizações, um servidor de segurança in- clui uma interface de rede configurada para se comunicar com um dis- positivo de usuário e um banco de dados da bomba de combustível que inclui, para cada bomba de uma pluralidade de bombas de com- bustível, um identificador exclusivo que identifica a bomba de combus- tível e uma contraparte de uma chave secreta armazenada na bomba de combustível e que é exclusiva da bomba de combustível. O servi- dor de segurança também inclui um banco de dados de acesso de usuário que inclui, para cada usuário de uma pluralidade de usuários, uma identificação exclusiva de usuário que identifica o usuário, infor- mação de autenticação associada com o usuário, e um ou mais privi- légios de acesso definidos para o usuário. O servidor de segurança também inclui um processador acoplado à interface de rede, ao banco de dados da bomba de combustível, e ao banco de dados de acesso de usuário. O processador é programado para receber do dispositivo de usuário, via a interface de rede, um identificador exclusivo de uma bomba de combustível para a qual um usuário do dispositivo de uso busca acesso e um desafio criptografado gerado pela dita bomba de combustível. O processador também é programado para consultar o banco de dados de acesso de usuário para determinar, com base na identificação de usuário e na informação de autenticação providas pelo dispositivo de usuário, se o usuário é um usuário autorizado do servi- dor. O processador também é programado para, quando o usuário for um usuário autorizado do servidor, consultar o banco de dados da bomba de combustível para obter a chave secreta da contraparte as- sociada no banco de dados da bomba de combustível com o identifi- cador exclusivo recebido do dispositivo de usuário. O processador também é programado para descriptografar o desafio criptografado usando a chave secreta obtida do banco de dados da bomba de com-
bustível, extrair um código de função e uma senha de sessão do desa- fio descriptografado, consultar o banco de dados de acesso de usuário para determinar se o usuário está autorizado a acessar uma função representada pelo código de função e, quando o usuário estiver autori- zado a acessar a dita função, enviar a senha de sessão para o disposi- tivo de usuário via a interface de rede.
[007] Em algumas concretizações, um método para acessar uma função assegurada de um sistema em nome de um usuário que busca acesso à função assegurada com o uso de um processador de compu- tador de cliente acoplado a um servidor de segurança por uma interfa- ce de rede inclui solicitar acesso à função assegurada através de uma interface de usuário do sistema. O método também inclui obter do sis- tema um identificador exclusivo associado com o sistema, obter do sis- tema um desafio criptografado que inclui um código de função corres- pondendo à função assegurada e uma senha de sessão, o desafio criptografado sendo criptografado com o uso de uma chave secreta que é exclusiva do sistema e que é armazenada em uma memória do sistema, e enviar a informação de autenticação de usuário do usuário para o servidor de segurança usando o processador de computador de cliente e a interface de rede, o servidor de segurança estando em aco- plamento de comunicação com um banco de dados de acesso de usu- ário e um banco de dados do sistema no qual uma contraparte da cha- ve secreta é armazenada em associação com o identificador exclusivo do sistema. O método também inclui enviar o identificador exclusivo e o desafio criptografado para o servidor de segurança usando o pro- cessador de computador de cliente e a interface de rede, quando o usuário tiver autorização no banco de dados de acesso de usuário pa- ra acessar a função assegurada, receber a senha de sessão do servi- dor de segurança usando o processador de computador de cliente e a interface de rede depois que o servidor de segurança descriptografa o desafio criptografado usando a contraparte da chave secreta e extrai a senha de sessão, e prover a senha de sessão para o sistema através da interface de usuário para obter acesso à função assegurada.
[008] Em algumas concretizações, uma bomba de combustível inclui um medidor de fluxo configurado para medir uma quantidade de combustível dispensada pela bomba de combustível e um processador de computador acoplado a uma memória e configurado para seletiva- mente impedir que o combustível seja dispensado através do medidor de fluxo. O processador do computador é programado para detectar uma mudança na calibração do medidor de fluxo, impedir que o com- bustível seja dispensado com o uso do medidor de fluxo, quando uma mudança de calibração for detectada, até que uma função de verifica- ção seja executada, gerar um desafio que inclui uma senha de sessão, criptografar o desafio usando uma chave secreta armazenada na me- mória da bomba de combustível, prover o desafio criptografado para um usuário que busca executar a função de verificação, e permitir que a função de verificação seja executada apenas quando uma senha correspondendo à senha de sessão for recebida do usuário.
[009] Em algumas concretizações, uma bomba de combustível inclui um medidor de fluxo configurado para medir uma quantidade de combustível dispensada pela bomba de combustível e um processador do computador acoplado a uma memória e configurado para seletiva- mente impedir que o combustível seja dispensado através do medidor de fluxo. O processador do computador é programado para impedir mudanças na calibração do medidor de fluxo até que uma função de calibração seja executada, gerar um desafio que inclui uma senha de sessão, criptografar o desafio usando uma chave secreta armazenada na memória da bomba de combustível, prover o desafio criptografado para um usuário que busca executar a função de calibração, e permitir que a função de calibração seja executada apenas quando uma senha correspondendo à senha de sessão for recebida do usuário.
[0010] Em algumas concretizações, um método de segurança para a execução por uma bomba de combustível apresentando um medidor de fluxo configurado para medir uma quantidade de combustível dis- pensada pela bomba de combustível e um processador do computador acoplado a uma memória e configurado para seletivamente impedir que o combustível seja dispensado através do medidor de fluxo inclui usar o processador para detectar uma mudança na calibração do me- didor de fluxo. O método também inclui usar o processador para impe- dir que o combustível seja dispensado com o uso do medidor de fluxo, depois da detecção de uma mudança de calibração, até que uma fun- ção de verificação seja executada, gerar um desafio que inclui uma senha de sessão, criptografar o desafio usando uma chave secreta armazenada na memória da bomba de combustível, prover o desafio criptografado para um usuário que busca executar a função de verifi- cação, e permitir que a função de verificação seja executada apenas quando uma senha correspondendo à senha de sessão for recebida do usuário.
BREVE DESCRIÇÃO DOS DESENHOS
[0011] Estes e outros recursos serão mais prontamente entendi- dos a partir da seguinte descrição detalhada tomada em conjunção com os desenhos anexos, nos quais:
[0012] a Figura 1 é um diagrama esquemático de uma concretiza- ção exemplificativa de um ambiente de abastecimento de combustível;
[0013] a Figura 2 é um diagrama esquemático de uma concretiza- ção exemplificativa de um sistema de computador;
[0014] a Figura 3 é um digrama de sequência de uma concretiza- ção exemplificativa de um método para autenticar um usuário;
[0015] a Figura 4 é um fluxograma que representa o método da Figura 3 a partir da perspectiva de uma bomba de combustível;
[0016] a Figura 5 é um fluxograma que representa o método da Figura 3 a partir da perspectiva de um dispositivo de usuário; e
[0017] a Figura 6 é um fluxograma que representa o método da Figura 3 a partir da perspectiva de um servidor.
[0018] É notado que os desenhos não são necessariamente apre- sentados em escala. Os desenhos destinam-se a representar apenas aspectos típicos do assunto aqui descrito, e, portanto, não devem ser considerados como limitando o escopo da descrição. Nos desenhos, números semelhantes representam elementos semelhantes entre os desenhos.
DESCRIÇÃO DETALHADA
[0019] Certas concretizações exemplificativas serão agora descri- tas para prover um completo entendimento dos princípios da estrutura, da função, da fabricação, e do usuário dos sistemas e métodos aqui descritos.
[0020] Os sistemas e métodos para segurança de bomba de com- bustível são aqui descritos. Em algumas concretizações, a um usuário que busca acesso a uma função protegida da bomba de combustível é apresentado um desafio que é criptografado usando uma chave secre- ta que é exclusiva da bomba de combustível. Para acessar a função assegurada, o usuário tem que obter uma senha de sessão de um servidor que autentica o usuário, descriptografa o desafio usando uma contraparte da chave secreta, determina se o usuário está autorizado a acessar a função assegurada, e retorna a senha de sessão extraída do desafio apenas quando da autorização do usuário. O servidor pode, desse modo, controlar o acesso a certas funções da bomba de com- bustível de acordo com um conjunto de privilégios de acesso de usuá- rio. O desafio pode também incluir informação adicional que pode ser usada pela bomba de combustível e/ou pelo servidor para armazenar um registro de atividade de acesso.
AMBIENTE DE ABASTECIMENTO DE COMBUSTÍVEL
[0021] A Figura 1 ilustra uma concretização exemplificativa de um ambiente de abastecimento de combustível 100 no qual um ou mais dos sistemas e métodos aqui descritos podem ser implementados. Embora um ambiente de abastecimento de combustível 100 seja mos- trado e descrito, será apreciado que os sistemas e os métodos aqui descritos podem ser prontamente aplicados em outros cenários, por exemplo, qualquer cenário no qual seja necessário impedir ou reduzir o acesso não autorizado a um dispositivo ou sistema. O ambiente de abastecimento de combustível 100 geralmente inclui uma bomba de combustível 102 para dispensar combustível, um dispositivo de usuá- rio 104 associado com um usuário (por exemplo, pessoal de serviço ou entidades reguladoras que buscam acesso para a bomba de combus- tível), e um servidor de segurança 106. O servidor 106 pode incluir ou pode estar em comunicação com um ou mais bancos de dados, tais como um banco de dados da bomba de combustível 108 e um banco de dados de acesso de usuário 110.
[0022] A bomba de combustível 102 pode incluir vários recursos bem entendidos por aqueles versados na técnica, tais como um bocal, uma bomba, um medidor, botões para selecionar o grau combustível, uma tela de visor eletrônico, um terminal de pagamento, e assim por diante. A bomba de combustível 102 pode também incluir um sistema de computador, conforme descrito abaixo.
[0023] O dispositivo de usuário 104 pode ser ou pode incluir qual- quer dispositivo que seja configurado para trocar dados sobre uma re- de de comunicação, tal como um telefone móvel, um tablet, um laptop, um desktop, um telefone, e assim por diante. O dispositivo de usuário 104 pode ser configurado para se comunicar com o servidor 106 sobre uma rede. Redes exemplificativas incluem redes celulares de voz e de dados, a Internet, redes de área local, redes de área ampla, redes de telefone fixo, redes Wi-Fi, redes de fibra óptica, e assim por diante. O dispositivo de usuário 104 pode ser ou pode incluir um sistema de computador, conforme descrito abaixo. Em algumas concretizações, o dispositivo de usuário 104 pode ser configurado para se comunicar com a bomba de combustível 102 sobre uma rede, por exemplo, via uma conexão sem fio (por exemplo, comunicação de campo próximo (NFC), Wi-Fi, Bluetooth, IR, e similares) e/ou uma conexão de fio (por exemplo, USB, porta de comunicação serial, Ethernet, e semelhante). Por exemplo, em algumas concretizações, o dispositivo de usuário 104 pode ser um controle remoto configurado para transmitir várias infor- mações para a bomba de combustível 102, que pode fornecer feed- back em um visor de vendas. Na presente descrição, as funções des- critas como sendo executadas por um usuário podem ser também executadas pelo dispositivo de usuário 104 e vice-versa, a menos que o contexto sugira o contrário, conforme será prontamente entendido por aqueles versados na técnica.
[0024] O servidor 106 pode ser ou pode incluir qualquer dispositivo que seja configurado para receber, processar e/ou responder a solici- tações de um ou mais usuários remotos. O servidor 106 pode executar várias funções, tais como autenticação de usuário, consulta de banco de dados, e registro de atividade. O servidor 106 pode ser ou pode in- cluir um sistema de computador, conforme descrito abaixo.
[0025] No ambiente de abastecimento de combustível 100, a cada bomba de uma pluralidade de bombas de combustível (das quais pode haver apenas duas e tanto quanto diversos milhares, milhões, ou mais por todo o mundo) é atribuído um identificador exclusivo que pode ser usado para distinguir essa bomba de combustível específica de todas as outras bombas de combustível em um determinado conjunto (por exemplo, todas as bombas de combustível fabricadas por um fabrican- te específico em todo o mundo, todas as bombas de combustível de um modelo ou série específica, todas as bombas em uma região geo- gráfica, e/ou combinações das mesmas). O identificador exclusivo po- de ser qualquer série exclusiva de letras, números, caracteres, símbo- los, etc. O identificador exclusivo pode ficar publicamente disponível, por exemplo, com a impressão do identificador exclusivo em um de- calque ou cartaz afixado no exterior da bomba de combustível 102. O identificador exclusivo pode ser também armazenado no sistema de computador da bomba de combustível 102 (por exemplo, em uma memória não volátil ou meio de armazenamento) e pode ser acessível através de uma interface de usuário para exibição a um usuário em uma tela de visor eletrônico da bomba de combustível ou um sistema de computador em acoplamento de comunicação com a bomba de combustível. O identificador exclusivo poderá ser atribuído e armaze- nado na bomba de combustível 102, quando a bomba de combustível for fabricada ou quando a bomba de combustível for comissionada no campo.
[0026] O sistema de computador da bomba de combustível 102 também armazena uma chave secreta que não está publicamente dis- ponível. Em outras palavras, a chave secreta não é impressa no exte- rior da bomba de combustível 102, é acessível apenas pelo software interno da bomba de combustível, e jamais é exibida a usuários ou é apenas exibida no caso extremo em que um usuário é autenticado pa- ra visualizar tal informação. A chave secreta pode ser aleatoriamente gerada e pode ser armazenada no sistema de computador da bomba de combustível 102 em um ambiente controlado, tal como durante a fabricação do sistema de computador ou de um componente do mes- mo. A chave secreta pode ser qualquer série ou sequência arbitrária ou aleatória de letras, números, caracteres, símbolos, etc. Por exem- plo, a chave secreta pode ser um número aleatório de 256 bits. A cha- ve secreta pode ser exclusiva da bomba de combustível na qual ela está instalada, de tal modo que nenhuma bomba de combustível tenha a mesma chave secreta. Em algumas concretizações, a chave secreta pode ser armazenada em um elemento seguro do sistema de compu- tador. O elemento seguro pode ser uma plataforma à prova de adulte- ração (por exemplo, um microcontrolador seguro de um chip) capaz de hospedar com segurança aplicativos e seus dados confidenciais e crip- tográficos (por exemplo, gerenciamento de chaves) de acordo com as regras e os requisitos de segurança apresentados por um conjunto de autoridades confiáveis bem identificadas. O elemento seguro pode ser capaz de prover a geração de número aleatório, gerar chaves especí- ficas do dispositivo, e executar algoritmos de segurança. Exemplos conhecidos de algoritmos de segurança incluem, mas não são limita- dos a Hash, TDES, AES, RSA, CRC, etc. Elementos seguros exempli- ficativos incluem Cartões de Circuito Integrado Universal (UICC), ele- mentos seguros embutidos, memória não volátil "program-once", e mi- crocartões digitais seguros (microSD).
[0027] O banco de dados da bomba de combustível 108 armazena um índice que associa cada bomba de uma pluralidade de bombas de combustível 102 (identificadas por seus respectivos identificadores ex- clusivos) com a chave secreta correspondente nessa bomba de com- bustível. O banco de dados 108 poderá ser atualizado quando novas bombas de combustível ou novos sistemas de computador de bomba de combustível forem fabricados. Desse modo, em uma concretização exemplificativa, quando uma bomba de combustível apresentando o identificador exclusivo "M2345-7890A" for fabricada, uma chave secre- ta, tal como "834j8fyq8y48j8y3", será gerada e armazenada no sistema de computador da bomba de combustível. Uma entrada é criada, a qual associa a bomba de combustível "M2345-7890A" com a chave secreta "834j8fyq8y48j8y3", a entrada sendo acrescentada ao banco de dados da bomba de combustível 108. O banco de dados 108 arma-
zena assim uma contraparte da chave secreta instalada em cada das bombas de combustível listadas no banco de dados. A chave de con- traparte pode ser uma cópia da chave secreta ou pode ser uma chave correspondente em um par de chaves assimétricas. O banco de dados 108 pode também armazenar a informação de região ou de localiza- ção para cada bomba da pluralidade de bombas de combustível. O banco de dados 108 é assegurado usando técnicas conhecidas na técnica, de tal modo que apenas o servidor 106 ou outros sistemas ou usuários autorizados possam acessar o banco de dados.
[0028] O banco de dados de acesso de usuário 110 armazena um índice que associa cada usuário de uma pluralidade de usuários (iden- tificados por sua respectiva identificação de usuário exclusiva, tal co- mo um nome de usuário ou um número de empregado) com a infor- mação de autenticação e a um ou mais privilégios de acesso. Quando um usuário tentar acessar o servidor 106, será exigido que ele proveja informação que é comprada à informação de autenticação armazena- da no banco de dados de acesso de usuário 110 para determinar se o usuário está autorizado a acessar o servidor. A informação de autenti- cação pode incluir vários tipos conhecidos, tais como combinações de nome de usuário e senha, varreduras de impressão digital ou retina, reconhecimento fácil, e similar.
[0029] Os privilégios de acesso armazenados no banco de dados de acesso de usuário 110 definem o escopo de acesso a bombas de combustível para as quais cada usuário está autorizado. Privilégios de acesso podem estipular quais bombas de combustível um usuário po- de acessar, quais recursos dentro de uma bomba de combustível es- pecífica o usuário pode acessar, datas e horas em que o usuário pode acessar uma bomba de combustível, limitações geográficas em cujas bombas de combustível o usuário pode acessar, e assim por diante. Privilégios de acesso podem ser acrescentados, removidos ou atuali-
zados por um administrador do sistema.
SISTEMA DE COMPUTADOR
[0030] Conforme notado acima, a bomba de combustível 102, o dispositivo de usuário 104, e o servidor 106 podem incluir ou ser im- plementados com o uso de sistemas de computador. A Figura 2 ilustra uma arquitetura exemplificativa de um sistema de computador 200. Embora um sistema de computador exemplificativo seja representado e descrito aqui, será apreciado que isto se dá para fins de generalida- de e conveniência. Em outras concretizações, os sistemas de compu- tador que diferem na arquitetura e na operação daquele aqui mostrado e descrito podem ser usados para qualquer um destes: a bomba de combustível 102, o dispositivo de usuário 104 e o servidor 106.
[0031] O sistema de computador 200 pode incluir um processador 202 que controla a operação do sistema de computador 200, por exemplo, com a execução de um sistema de operação (OS), drivers de dispositivo, programas de aplicativos, e assim por diante. O processa- dor 202 pode incluir qualquer tipo de microprocessador ou unidade de processamento central (CPU), incluindo microprocessadores progra- máveis de uso geral ou de fim específico e/ou qualquer sistema de uma variedade de sistemas de processador único ou de múltiplos pro- cessadores proprietários ou comercialmente disponíveis.
[0032] O sistema de computador 200 pode também incluir uma memória 204, que provê armazenamento temporário ou permanente para código a ser executado pelo processador 202 ou para dados que são processados pelo processador 202. A memória 204 pode incluir memória apenas de leitura (ROM), memória flash, uma ou mais varie- dades de memória de acesso aleatório (RAM), e/ou uma combinação de tecnologias de memória.
[0033] Os vários elementos do sistema de computador 200 podem ser acoplados entre si. Por exemplo, o processador 202 pode ser aco-
plado à memória 204. Os vários elementos do sistema de computador 200 podem ser diretamente acoplados entre si ou podem ser acopla- dos entre si via um ou mais componentes intermediários. Na concreti- zação ilustrada, os vários elementos do sistema de computador 200 são acoplados a um sistema de barramento 206. O sistema de barra- mento ilustrado 206 é uma abstração que representa qualquer uma ou mais barras físicas separadas, linhas/interfaces de comunicação, e/ou conexões multidrop ou de ponto a ponto, conectados por pontes, adaptadores e/ou controladores apropriados.
[0034] O sistema de computador 200 pode também incluir uma interface de rede 208 que permite que o sistema de computador 200 se comunique com dispositivos remotos (por exemplo, outros sistemas de computador) sobre uma rede. No caso do dispositivo de usuário 104, a interface de rede pode facilitar a comunicação com o servidor
106. No caso do servidor 106, a interface de rede pode facilitar a co- municação com o dispositivo de usuário 104 e os bancos de dados 108, 110.
[0035] O sistema de computador 200 pode também incluir uma interface de entrada/saída (I/O) 210 que facilita a comunicação entre um ou mais dispositivos de entrada, um ou mais dispositivos de saída, e os vários outros componentes do sistema de computador 200. Dis- positivos de entrada e de saída exemplificativos incluem keypads, te- las de toque, botões, leitoras de cartão de tira magnética, luzes, alto- falantes, controles remotos IR, visores de vendas da bomba, e assim por diante.
[0036] O sistema de computador 200 pode também incluir um dis- positivo de armazenamento 212, que pode incluir qualquer meio con- vencional para armazenar dados de maneira não volátil e/ou não tran- sitória. O dispositivo de armazenamento 212 pode, portanto, reter da- dos e/ou instruções em um estado persistente (isto é, o valor é retido apesar da interrupção de força para o sistema de computador 200). O dispositivo de armazenamento 212 pode incluir um ou mais unidades de disco rígido, pen drives, unidades de USB, unidades ópticas, vários discos ou cartões de mídia, tecnologias de memória e/ou qualquer combinação dos mesmos, e pode ser diretamente conectado a outros componentes do sistema de computador 200 ou remotamente conec- tado aos mesmos, tal como sobre uma rede.
[0037] O sistema de computador 200 pode também incluir um con- trolador de vídeo 214 que pode incluir um processador de vídeo e uma memória de vídeo, e pode gerar imagens a serem exibidas em um ou mais visores eletrônicos de acordo com instruções recebidas do pro- cessador 202.
[0038] As várias funções executadas pelos sistemas de computa- dor da bomba de combustível 102, do dispositivo de usuário 104 e do servidor 106 podem ser logicamente descritas como sendo executadas por um ou mais módulos ou unidades. Será apreciado que tais módu- los podem ser implementados em hardware, software, ou em uma combinação dos mesmos. Será adicionalmente apreciado que, quando implementados em software, módulos podem ser parte de um único programa ou de um ou mais programas separados, e podem ser im- plementados em uma variedade de contextos (por exemplo, como par- te de um sistema de operação, um driver de dispositivo, um aplicativo autônomo, e/ou combinações dos mesmos). Além disso, o software que concretiza um ou mais módulos pode ser armazenado como um programa executável em um ou mais meios de armazenamento não transitórios legíveis por computador, ou pode ser transmitido como um sinal, uma onda portadora, etc. Funções descritas aqui como sendo executadas por um módulo específico podem também ser executadas por qualquer outro módulo ou por uma combinação de módulos, e a bomba de combustível 102, o dispositivo de usuário 104 e o servidor
106 podem incluir mais ou menos módulos do que é mostrado e des- crito aqui. Conforme usado aqui, o software se refere a quaisquer ins- truções de programa executáveis, incluindo firmware.
PROCESSOS DE AUTENTICAÇÃO
[0039] A bomba de combustível 102, o dispositivo de usuário 104 e o servidor 106 podem ser usados em conjunção entre si para imple- mentar vários sistemas e métodos para assegurar a bomba de com- bustível 102. Em particular, pode ser executado um processo de au- tenticação, por meio do qual a um usuário é concedido ou negado acesso à funcionalidade solicitada da bomba de combustível 102.
[0040] A Figura 3 é um diagrama de sequência de uma concreti- zação exemplificativa de um processo de autenticação. O processo pode ser usado para autenticar um usuário (por exemplo, uma pessoa de serviço ou entidade reguladora) para fins de permitir o acesso a certos recursos da bomba de combustível 102. Enquanto vários méto- dos descritos aqui podem ser mostrados em relação a diagramas de sequência ou fluxogramas, será notado que nenhuma ordem das eta- pas do método decorrentes de tais diagramas de sequência, fluxogra- mas, ou a descrição das mesmas não será construída como limitando o método à execução das etapas nessa ordem. De preferência, as vá- rias etapas de cada dos métodos descritos aqui podem ser executadas em qualquer de uma variedade de sequências. Além disso, visto que os diagramas de sequência e os fluxogramas ilustrados são concreti- zações meramente exemplificativas, vários outros métodos que inclu- em etapas adicionais ou incluem menos etapas do que o ilustrado são também abrangidos pelo escopo da presente descrição.
[0041] Conforme mostrado na Figura 3, o processo de autentica- ção começa com um usuário (por exemplo, um técnico de campo) que solicita acesso à bomba de combustível 102 ou a uma funcionalidade específica, parâmetro, registro ou outra operação protegida da bomba de combustível. Um usuário pode manualmente solicitar o acesso ao navegar em um menu específico dentro de uma interface de usuário da bomba de combustível ou ao acionar um ou mais elementos de in- terface de usuário da bomba de combustível, tais como chaves, botões e assim por diante. Um usuário pode também solicitar o acesso atra- vés do dispositivo de usuário 104, por exemplo, em concretizações nas quais o dispositivo de usuário é acoplado à bomba de combustível 102 sobre um canal de comunicação. Em algumas concretizações, o acesso a uma função é solicitado com a entrada ou a seleção de um código de função. O código de função pode incluir uma porção de có- digo de função e uma porção de código de subfunção, e pode ser pro- vido em vários formatos, tal como codificação binária decimal. Uma pluralidade de funções ou subfunções pode ser especificada com um código de função que inclui um ou mais caracteres curingas.
[0042] A solicitação de acesso pode também incluir a identificação de usuário associada com a solicitação de acesso por parte do usuá- rio. Conforme detalhado acima, cada usuário autorizado possui uma identificação de usuário exclusiva registrada com o servidor 106 e o banco de dados de acesso de usuário 110 que pode ser usada para distinguir esse usuário individual de todos os outros usuários autoriza- dos. A identificação exclusiva pode ser provida para a bomba de com- bustível 102 de várias maneiras. Por exemplo, o usuário pode digitar a identificação de usuário no sistema de computador da bomba de com- bustível 102 com o uso de um dispositivo de entrada, tal como uma tela de toque ou um keypad. Por meio de exemplo adicional, o usuário pode conectar um dongle criptografado, um cartão de memória, ou ou- tro hardware que armazena a identificação de usuário no sistema de computador para comunicar a identificação de usuário à bomba de combustível 102. O nome de usuário pode ser também comunicado à bomba de combustível 102 automaticamente com o uso do dispositivo de usuário 104.
[0043] Em resposta à solicitação de acesso, a bomba de combus- tível 102 gera um desafio que é comunicado ao usuário. Conforme usado aqui, o termo "desafio" refere-se a qualquer mensagem, dados, ou código que podem ser comunicados a um usuário. O desafio pode ser comunicado ao usuário de várias maneiras. Por exemplo, o desafio pode ser exibido em uma tela de visor eletrônico da bomba de com- bustível ou pode ser enviado sobre um canal de comunicação para o dispositivo de usuário 104. Em algumas concretizações, a bomba de combustível 102 pode ser diretamente conectada ao servidor 106 sem exigir um usuário intermediário ou um dispositivo de usuário (por exemplo, via um sistema de gerenciamento de bomba de combustível central acoplado ao servidor por uma rede), e o desafio pode ser co- municado ao servidor pela própria bomba de combustível. O desafio pode incluir vários componentes que poderão ser usados para condu- zir informação para o servidor 106, quando o desafio for eventualmen- te comunicado ao servidor, conforme discutido abaixo. Por exemplo, o desafio pode incluir um ou mais dos seguintes componentes:
[0044] Identificador Exclusivo - o desafio pode incluir o identifica- dor exclusivo ou número de série da bomba de combustível 102 ou o sistema de computador da bomba de combustível, que pode ser usado pelo servidor 106 para determinar qual bomba de combustível especí- fica está sendo acessada.
[0045] Código de Função - o desafio pode também incluir o código de função e/ou código de subfunção, que pode incluir caracteres cu- ringas correspondendo à(s) função(ções) para a(s) qual(quais) o aces- so é solicitado.
[0046] Identificação de Usuário - o desafio pode também incluir a identificação de usuário do usuário que está solicitando acesso.
[0047] Indicador de Status - o desafio pode também incluir um in-
dicador de status que representa o status de segurança da bomba de combustível 102. O indicador de status pode ser ajustado em certo va- lor para indicar que a bomba de combustível 102 detectou uma viola- ção de segurança ou encontrou algum erro crítico e, desse modo, o indicador de status pode alertar o servidor 106 com relação a proble- mas com a bomba de combustível.
[0048] Senha de Sessão - o desafio pode também incluir uma se- nha de sessão, que pode ser um número aleatório gerado pelo siste- ma de computador da bomba de combustível 102, por exemplo, com o uso de um temporizador de alta resolução, tal como o temporizador de sistema operacional de tempo real (RTOS). A senha de sessão pode ser exclusiva de cada sessão ou tentativa de acesso, e pode expirar após um período de tempo predeterminado.
[0049] Os componentes de desafio acima são meramente exempli- ficativos, e será apreciado que o desafio pode incluir componentes adicionais ou menos componentes do que descrito aqui. Os compo- nentes do desafio podem ser montados via dispersão, concatenação, multiplicação, outras técnicas, ou combinações dos mesmos. Por exemplo, o código de função, a senha de sessão, e o indicador de sta- tus podem ser concatenados entre si ou combinados com o uso da operação "OR" lógica para criar um resultado intermediário. O resulta- do intermediário pode ser então dispersado com a identificação de usuário e a identificação exclusiva da bomba de combustível 102 para formular um desafio montado. O desafio montado pode ser então crip- tografado usando a chave secreta armazenada no sistema de compu- tador da bomba de combustível 102, em cujo ponto o desafio cripto- grafado pode ser comunicado ao usuário ou ao dispositivo de usuário
104.
[0050] O identificador exclusivo da bomba de combustível 102 é também comunicado ao usuário em uma forma não criptografada ou,
em algumas concretizações, em uma forma criptografada. O identifi- cador exclusivo pode ser comunicado ao usuário de várias maneiras. Por exemplo, o usuário pode simplesmente ler o identificador exclusivo de um decalque ou cartaz afixado à bomba de combustível 102 ou da tela de exibição da bomba de combustível, ou o identificador exclusivo pode ser enviado sobre um canal de comunicação para o dispositivo de usuário 104.
[0051] Antes ou depois de obter o desafio criptografado e/ou o identificador exclusivo, o dispositivo de usuário 104 pode ser autenti- cado com o servidor 106. Por exemplo, o usuário pode direcionar um navegador da web ou outro software instalado no dispositivo de usuá- rio 104 para o servidor 106, que pode então solicitar ao usuário a in- formação de autenticação do tipo descrito acima. O usuário pode tam- bém entrar em contato com um escritório da empresa via telefone ou outro meio de comunicação para transmitir o desafio criptografado e/ou o identificador exclusivo a um operador humano ou automatizado que poderá, por sua vez, prover tal informação para o servidor 106. O servidor 106 recebe informação de autenticação do dispositivo de usu- ário 104 e consulta o banco de dados de acesso de usuário 110 para determinar se o usuário proveu credenciais válidas. A informação de autenticação pode incluir a identificação de usuário, de tal modo que o servidor 106 tenha conhecimento da identidade do usuário. Uma vez que o usuário é autenticado com sucesso no servidor 106, o desafio criptografado e o identificador exclusivo da bomba de combustível 102 poderão ser comunicados do dispositivo de usuário 104 para o servi- dor 106.
[0052] O servidor 106 pode então consultar o banco de dados da bomba de combustível 108 com o identificador exclusivo provido pelo usuário para recuperar a chave secreta armazenada no banco de da- dos 108 em associação com esse identificador exclusivo. Em outras palavras, o servidor 106 recupera do banco de dados 108 uma chave de contraparte para a chave secreta armazenada na bomba de com- bustível 102. A chave de contraparte pode ser uma cópia da mesma chave secreta que é armazenada no elemento seguro da bomba de combustível 102 para o qual o usuário busca acesso, ou uma chave correspondente, no caso de um esquema de criptografia de chave as- simétrica, tal como RSA. A chave secreta recuperada do banco de da- dos 108 é então usada para descriptografar o desafio criptografado recebido do dispositivo de usuário 104.
[0053] O servidor 106 pode então executar o processo descrito acima para montar o desafio em ordem inversa no desafio descripto- grafado, extraindo assim qual bomba de combustível o usuário está tentando acessar, qual funcionalidade o usuário está tentando aces- sar, a identidade do usuário, o status de segurança da bomba de com- bustível, e a senha de sessão aleatória gerada pela bomba de com- bustível. Esta informação pode ser registrada pelo servidor 106 com várias outras informações, tal como a hora e a data em que o desafio é recebido, o endereço IP ou MAC do dispositivo de usuário 104, etc. Atividade suspeita pode ser assinalada e, dependendo da natureza da atividade, pode resultar na negação do acesso solicitado.
[0054] O servidor 106 pode então consultar o banco de dados de acesso de usuário 110 para determinar se o usuário está autorizado a acessar a funcionalidade solicitada para a bomba de combustível soli- citado. Por exemplo, o servidor 106 pode comparar a informação de região da bomba de combustível solicitada (seja incluída no desafio ou especificada no banco de dados da bomba de combustível 108) a uma lista ou a um conjunto de regiões nas quais o usuário está autorizado. O servidor 106 analisa também o indicador de status para determinar se a bomba de combustível 102 está relatando uma violação de segu- rança ou erro crítico, em cujo caso o servidor pode negar o acesso so-
licitado. Com a inclusão do indicador de status no desafio que é envia- do para o servidor 106, não é possível obter acesso à bomba de com- bustível 102 sem que o servidor seja informado da presença de uma violação ou erro relatado pela bomba de combustível.
[0055] Se for determinado que o usuário está autorizado para o tipo de acesso solicitado, o servidor 106 comunicará a senha de ses- são que foi originalmente gerada pela bomba de combustível 102 e incluída no desafio criptografado ao dispositivo de usuário 104 em uma forma não criptografada. A senha pode ser também enviada para o dispositivo de usuário 104 em um formato criptografado para o qual o usuário possui uma chave para descriptografar a senha (isto é, cripto- grafada com o uso de uma chave que não a chave secreta da bomba de combustível 102).
[0056] Depois de receber a senha de sessão, o usuário comunica a senha à bomba de combustível 102. Por exemplo, a senha pode ser exibida ao usuário em um visor do dispositivo de usuário 104 e o usuá- rio pode então digitar manualmente a senha na bomba de combustível 102 usando um keypad ou outro elemento de interface de usuário. Al- ternativamente, a senha pode ser comunicada diretamente do disposi- tivo de usuário 104 para a bomba de combustível 102 sobre um canal de comunicação, com ou sem exibir a senha para o usuário. A senha pode ser, portanto, comunicada, em algumas concretizações, automa- ticamente e sem ação do usuário.
[0057] Uma vez que a bomba de combustível 102 recebe a senha do usuário ou do dispositivo de usuário 104, a bomba de combustível determina se a senha é válida. Em particular, a bomba de combustível 102 recupera a senha de sessão aleatoriamente gerada que foi inici- almente incluída no desafio criptografado e a compara à senha de sessão provida pelo usuário. Se for encontrada uma associação, a bomba de combustível 102 determinará que o usuário foi autenticado pelo servidor 106 para acesso à bomba de combustível 102, ou pelo menos para acesso ao recurso específico ou conjunto de recursos identificados no desafio. O usuário agora autenticado pode então inte- ragir livremente com a bomba de combustível 102 de acordo com o nível de acesso provido. Se não for encontrada uma associação, ao usurário será negado acesso à funcionalidade solicitada.
[0058] A senha de sessão pode ser válida apenas para uma única sessão ou atividade. Consequentemente, se o usuário tentar acessar a funcionalidade fora do escopo da senha, ou se decorrer um tempo predeterminado, um novo desafio será gerado e o usuário terá que executar o processo de autenticação novamente.
[0059] O desafio criptografado pode também incluir um código de região, e o servidor 106 pode ser configurado para determinar se o usuário está autorizado a acessar bombas de combustível na região designada pelo código de região antes de conceder acesso para o usuário. Isto permite que a bomba de combustível 102 comunique sua localização físico-geográfica (ou localização aproximada) para o servi- dor 106, que pode comparar a informação de localização aos privilé- gios de acesso do usuário armazenados no banco de dados de acesso de usuário 110 para determinar se o acesso deve ser concedido. Um usuário pode, desse modo, ficar limitado à manutenção de apenas aquelas bombas de combustível em uma área particular, e usuários com um alto grau de acesso podem ser impedidos de promover logins para bombas de combustível fora de sua região (por exemplo, para alguém mais).
[0060] Será apreciado que o processo acima pode ser completa- mente automatizado via protocolo de comunicação serial ou outros comandos, de tal modo que pouca ou nenhuma ação manual do usuá- rio seja exigida para executar o processo de autenticação.
[0061] As Figuras 4-6 ilustram o método de autenticação descrito acima a partir da perspectiva da bomba de combustível 102, do usuá- rio ou do dispositivo de usuário 104, e do servidor 106, respectivamen- te.
[0062] Na Figura 4, o método 400 começa quando a bomba de combustível recebe uma solicitação para acesso de um usuário ou do dispositivo de usuário na etapa 402. A bomba de combustível também recebe a identificação de usuário do usuário ou do dispositivo de usuá- rio na etapa 404. A bomba de combustível gera então o código de de- safio na etapa 406, que pode conter informação embutida quanto à funcionalidade específica solicitada pelo usuário. A bomba de combus- tível criptografa então o desafio na etapa 408 usando a chave secreta armazenada na bomba de combustível. O desafio criptografado é en- tão enviado para o usuário ou para o dispositivo de usuário na etapa
410. O identificador exclusivo da bomba de combustível é também comunicado ao usuário ou ao dispositivo de usuário na etapa 412. A bomba de combustível solicita então ao usuário uma senha e recebe a senha do usuário ou do dispositivo de usuário na etapa 414. A bomba de combustível verifica então a autenticidade da senha de sessão re- cebida na etapa 416 e, caso a senha seja válida, proverá o acesso so- licitado na etapa 418. Um registro da atividade de acesso, seja bem sucedido ou não, pode ser armazenado pela bomba de combustível na etapa 420.
[0063] Na Figura 5, o método 500 começa quando o usuário ou o dispositivo de usuário solicita acesso à bomba de combustível ou a recursos específicos ou à funcionalidade da bomba de combustível na etapa 502. O usuário ou dispositivo de usuário também envia a identi- ficação de usuário para a bomba de combustível na etapa 504. O usu- ário ou dispositivo de usuário recebe então o desafio criptografado da bomba de combustível na etapa 506 e recebe o identificador exclusivo da bomba de combustível na etapa 508 (por exemplo, com a leitura do identificador exclusivo de um decalque ou cartaz na bomba de com- bustível). O usuário ou dispositivo de usuário envia a informação de autenticação para o servidor na etapa 510. Se o usuário tiver sucesso na autenticação com o servidor, o usuário ou o dispositivo de usuário enviará o desafio criptografado para o servidor na etapa 512. O usuá- rio ou dispositivo de usuário também envia o identificador exclusivo da bomba de combustível para o servidor na etapa 514. Se o usuário for autorizado para o acesso solicitado pelo servidor, o usuário ou o dis- positivo de usuário receberá a senha de sessão do servidor na etapa
516. O usuário ou dispositivo de usuário envia então a senha de ses- são para a bomba de combustível na etapa 518 e, se a senha for veri- ficada pela bomba de combustível, obterá o acesso solicitado. Um re- gistro da atividade de acesso, seja bem sucedido ou não, poderá ser armazenado pelo dispositivo de usuário na etapa 520.
[0064] Na Figura 6, o método 600 começa quando o servidor soli- cita ao usuário ou ao dispositivo de usuário a informação de autentica- ção e recebe a informação de autenticação na etapa 602. Na etapa 604, o servidor consulta o banco de dados de acesso de usuário para determinar se a informação de autenticação é válida. Se a informação de autenticação for válida, o servidor solicitará ao usuário o desafio e receberá o desafio na etapa 606. O servidor também solicita ao usuá- rio o identificador exclusivo da bomba de combustível e recebe o iden- tificador exclusivo na etapa 608. Se a informação de autenticação não for válida, o servidor negará o acesso. Na etapa 610, o servidor con- sulta o banco de dados da bomba de combustível com o identificador exclusivo recebido do usuário para obter a chave secreta associada com a bomba de combustível no banco de dados. O servidor descrip- tografa então o desafio usando a chave secreta na etapa 612. Com o uso da informação extraída do desafio descriptografado, o servidor de- termina que o acesso é solicitado pelo usuário e consulta o banco de dados de acesso de usuário na etapa 614 para determinar se o usuá- rio está autorizado a obter o acesso solicitado. Se o usuário estiver autorizado, o servidor enviará a senha de sessão para o usuário ou para o dispositivo de usuário na etapa 616. Um registro da atividade de acesso, seja bem sucedido ou não, poderá ser armazenado pelo servidor na etapa 618.
[0065] Será apreciado que qualquer função de uma variedade de funções da bomba de combustível pode ser protegida com o uso do esquema de autenticação descrito acima. Um ou mais exemplos de tais funções são providos abaixo.
VERIFICAÇÃO DE CALIBRAÇÃO
[0066] A verificação de um procedimento de calibração pode ser uma das funções da bomba de combustível 102 protegidas com o uso do esquema de autenticação descrito acima. Em algumas concretiza- ções, a bomba de combustível 102 poderá detectar quando uma por- ção de medidor da bomba de combustível tiver sido calibrada. Quando a calibração for detectada, a bomba de combustível poderá bloquear ou limitar o medidor recém-calibrado de uso adicional (isto é, impedir que o combustível seja dispensado usando esse medidor, seja imedia- tamente ou após a decorrência de um tempo predeterminado sem uma verificação bem sucedida) até que uma parte autorizada confirme que a calibração é aceitável ou não fraudulenta (isto é, execute uma fun- ção de verificação). O processo de autenticação descrito acima pode ser usado para assegurar que apenas partes autorizadas podem exe- cutar a função de verificação. Conforme usado aqui, o termo "função de verificação" inclui uma função para confirmar que uma calibração foi executada corretamente ou com precisão, uma função para confir- mar que uma calibração foi autorizada, bem como uma combinação de tais funções.
[0067] Em uma concretização exemplificativa, a bomba de com-
bustível 102 inclui um medidor de fluxo que mede a taxa de fluxo vo- lumétrico de combustível na medida em que ele é dispensado. O me- didor de fluxo pode incluir um codificador acoplado a um eixo rotativo de medidor de fluxo. À medida que o combustível é dispensado, o eixo do medidor de fluxo gira e o codificador gera um sinal de trem de pul- sos que é recebido pelo sistema de computador e processado para determinar o volume de combustível dispensado. Tal processamento pode incluir a multiplicação da taxa de fluxo medida por um fator de calibração. O fator de calibração pode ser armazenado em uma me- mória e pode ser manual ou automaticamente ajustado para compen- sar imprecisões que podem resultar do envelhecimento ou do desgas- te do medidor. Será apreciado que o medidor de fluxo aqui descrito é meramente exemplificativo, e que qualquer medidor de fluxo de uma variedade de medidores de fluxo pode ser usado, incluindo aqueles nos quais um sensor de efeito Hall é usado para ler um disco magnéti- co localizado dentro do fluido.
[0068] O sistema de computador da bomba de combustível 102 pode detectar mudanças de calibração para o medidor de fluxo de vá- rias maneiras. Por exemplo, o sistema de computador pode continua- mente monitorar mudanças no fator de calibração usando técnicas ba- seada em interrogação ou interrupção sobre um canal de comunica- ção, tal como uma interface de comunicação serial. Em bombas de combustível 102 com uma pluralidade de medidores de fluxo, cada medidor pode ter um identificador exclusivo ou número serial que pode ser usado para distinguir esse medidor de outros medidores na bomba de combustível. Quando o sistema de computador detectar que um medidor de combustível foi calibrado ou ajustado, o sistema de compu- tador impedirá que esse medidor de combustível seja usado (ao não permitir que o abastecimento de combustível comece no bocal no qual o medidor específico é mapeado). O medidor de combustível calibrado é travado até que uma pessoa autorizada (por exemplo, um funcioná- rio do governo, um órgão de notificação, ou uma agência de verifica- ção de terceiros) eletronicamente confirme que a calibração é aceitá- vel.
[0069] Para assegurar que ninguém possa executar esta função de verificação (ou autorização), pode ser usado o processo de autenti- cação descrito acima. O sistema de computador da bomba de com- bustível 102 irá apenas destravar o medidor recém-calibrado quando um usuário completar com sucesso o processo de autenticação para a função de verificação.
[0070] Solicitações para acesso à função de verificação podem ser registradas no nível do servidor. Esta informação de registro pode ser provida para agências de metrologia para inspecionar o histórico ou padrões de verificação para uma ou mais bombas de combustível e identificar casos de fraude. Funções de verificação completadas e/ou empreendidas podem ser também registradas pela bomba de combus- tível em uma entrada de registro que inclui a identificação exclusiva do usuário que executou a verificação. Isto atua como uma "vedação ele- trônica" segura permitindo que a própria bomba de combustível man- tenha um registro de quando as calibrações forem verificadas e quem executou a verificação.
[0071] Pode ser desejável em algumas concretizações prover uma camada adicional de segurança que é controlada em parte ou no todo por uma autoridade reguladora. Em tais concretizações, por exemplo, a bomba de combustível 102 pode armazenar uma segunda chave se- creta além da primeira chave secreta. A segunda chave secreta pode ser injetada na bomba de combustível 102 no momento em que a bomba de combustível é primeiramente comissionada para uso pela autoridade reguladora ou por seu agente ou em algum outro momento, e uma contraparte da segunda chave pode ser armazenada em um banco de dados mantido pela autoridade reguladora ou seu agente. O banco de dados pode também ser controlado ou mantido por outras partes (por exemplo, a mesma parte que controla o servidor 104 e/ou o banco de dados da bomba de combustível 108), em cujo caso a auto- ridade reguladora pode ser provida com uma interface para acrescen- tar, remover e atualizar registro no banco de dados. Consequentemen- te, o acesso a certas funções que são específicas a entidades regula- doras (por exemplo, funções de verificação) pode exigir uma etapa adicional no processo acima, na qual a segunda chave secreta tem que ser recuperada do banco de dados regulamentar a fim de que o servidor descriptografe o desafio criptografado. Devido ao fato de am- bas as chaves serem exigidas, roubo da segunda chave secreta no momento em que a bomba de combustível é comissionada não seria o bastante para obter acesso, visto que a primeira chave secreta ainda seria exigida. Tais concretizações podem prover uma maior confiança para entidades reguladoras de que o sistema está assegurado contra calibrações ou verificações não autorizadas.
PROCEDIMENTOS DE CALIBRAÇÃO
[0072] De maneira similar, a bomba de combustível 102 pode ser configurada para desativar a calibração do medidor de combustível até que um usuário complete o processo de autenticação acima para uma função de calibração. Neste caso, o sistema de computador da bomba de combustível 102 não permite que o medidor seja calibrado, a me- nos que uma função de calibração seja autorizada. A fim de permitir a calibração do medidor, o processo de autenticação descrito acima po- de ser completado. Desse modo, é possível controlar quem pode exe- cutar as calibrações de bombas de combustível na rede controlada pelo servidor 106. O administrador da rede pode, portanto, impedir que certas partes (por exemplo, partes desonestas) calibrem as bombas de combustível.
INSTALAÇÃO DE SOFTWARE
[0073] Outra função que pode ser protegida usando o esquema de autenticação descrito acima é a instalação de software (por exemplo, atualizações de firmware) no sistema de computador da bomba de combustível 102.
[0074] O firmware do sistema de computador poderia ser atualiza- do diversas vezes durante a vida útil do sistema para corrigir erros, acrescentar nova funcionalidade, ou aderir a novos requisitos regula- mentares. Para impedir a instalação de software ou de firmware que foi adulterado, o arquivo binário ou executável que concretiza o softwa- re ou o firmware pode ser criptografado usando a chave secreta arma- zenada na bomba de combustível. Consequentemente, apenas partes com acesso à chave secreta (por exemplo, o fabricante da bomba de combustível) podem descriptografar o software que impede a adultera- ção. Além disso, o ato de instalar o software pode ser uma função pro- tegida pelo esquema de autenticação acima, de tal modo que apenas usuários autorizados possam instalar software e de tal modo que seja mantido um registro de quem executou a instalação de software.
[0075] Com chaves exclusivas em cada bomba de combustível, cada binário poderá ser individualmente criptografado. Um engenheiro ou desenvolvedor que anteriormente trabalhou para o fabricante de bomba de combustível não terá acesso às chaves individuais e, por isso, não poderá criptografar e subscrever um derivado malicioso ou manipulado do software.
AUTENTICAÇÃO DO SISTEMA DE COMPUTADOR DA BOMBA DE COMBUSTÍVEL
[0076] Outra maneira na qual a segurança de uma bomba de combustível poderá ficar comprometida é quando uma parte mal inten- cionada remove o sistema de computador da bomba de combustível e o substitui por um sistema de computador desprotegido no qual é ins-
talado o código malicioso. O identificador exclusivo associado com ca- da sistema de computador está publicamente disponível, conforme descrito acima, e pode, portanto, ser carregado em tais sistemas de substituição maliciosos em um esforço para impedir a detecção.
[0077] Devido ao fato de cada bomba de combustível apresentar uma chave secreta exclusiva, é possível, contudo, detectar que o sis- tema de computador foi substituído ao se executar um procedimento de autenticação. Por exemplo, o servidor 104 pode transmitir uma mensagem de teste ou arquivo criptografado usando a chave secreta associada no banco de dados 108 com uma bomba de combustível específico para a própria bomba de combustível ou para um dispositi- vo de usuário intermediário 104. A bomba de combustível 102 pode ser então solicitada a descriptografar a mensagem de teste usando a chave secreta armazenada na bomba de combustível. O resultado descriptografado é então enviado para o servidor 106, que o compara com a mensagem de teste original não criptografada. Se não for en- contrada nenhuma associação, o servidor 106 determinará que a cha- ve secreta armazenada no sistema de computador é inválida, e que, portanto, o sistema de computador foi adulterado. O servidor 106 pode assumir então uma ação responsiva, tal como bloqueando o acesso futuro para a bomba de combustível 102, informando os órgãos regu- ladores, ou iniciando uma chamada de serviço por parte de um repre- sentante autorizado para remover o sistema de computador malicioso.
REGISTRO DE ATIVIDADE DA BOMBA DE COMBUSTÍVEL
[0078] Conforme notado acima, a bomba de combustível 102 pode ser configurada para manter um registro de atividade de serviço ou outras funções executadas na bomba de combustível. O registro pode incluir a identificação de usuário provida pelo usuário, de tal modo que um registro de quem acessou certa funcionalidade dentro da bomba de combustível é mantido na própria bomba de combustível. Este re-
gistro pode ser acessível por autoridades reguladoras ou outras partes que não tem acesso a registros mantidos pelo servidor 106. O registro pode ser armazenado no sistema de computador da bomba de com- bustível 102 e mantido pelo mesmo, por exemplo, em uma unidade de armazenamento do sistema de computador.
EFEITOS TÉCNICOS
[0079] Os sistemas e os métodos aqui descritos podem produzir inúmeros efeitos técnicos.
[0080] Em ambientes de abastecimento de combustível existentes, o serviço de bombas de combustível é feito por muitas empresas de serviço diferentes no decorrer da vida útil da bomba de combustível. Não é necessariamente o fabricante ou o produtor da bomba de com- bustível que tem um contrato para prestar manutenção à bomba de combustível, podendo, em vez disso, ser um competidor ou terceiros. Além disso, técnicos de campo mudam, às vezes, de uma empresa de serviço para outra. Em algumas concretizações dos sistemas e méto- dos aqui descritos, uma nova senha de sessão é usada para virtual- mente cada acesso de serviço. Isto impede que a senha seja passada de um usuário para outro. O grau de segurança da senha pode ser também tal que há diversos milhões, bilhões ou mais permutações de senha, tornando a senha resistente a esforços de rompimento de força bruta.
[0081] Além disso, em algumas concretizações dos sistemas e métodos aqui descritos, o desafio criptografado contém informação sobre a operação ou operações específicas para as quais o acesso é solicitado. Portanto, é possível prover direitos de acesso de recursos específicos a diferentes usuários ou contas. Além disso, o uso de uma chave secreta aleatoriamente gerada para cada bomba de combustí- vel, conhecimento do algoritmo de segurança ou quaisquer tabelas de dispersão estática ou similar é insuficiente para se obter acesso. De preferência, tem que se acessar a chave aleatória secreta, que é bem protegida (por exemplo, gerada e programada em um ambiente contro- lado, armazenada em um elemento seguro, etc.). Com o uso de tais sistemas e métodos, o operador do servidor 106 pode controlar cada e toda tentativa de acesso, opcionalmente em uma base de recursos específicos, para todas as bombas de combustível que empregam es- te método de autenticação.
[0082] Esta abordagem pode prover segurança superior, conforme comparada com sistemas nos quais uma chave estática é igual para todas as bombas de combustível ou é usada uma senha padrão co- mum para cada bomba de combustível.
[0083] Em algumas concretizações dos sistemas e métodos aqui descritos, a bomba de combustível pode ser assegurada por uma ve- dação eletrônica. Em ambientes de abastecimento de combustível existentes, os atuadores de calibração e outro equipamento sensível são mecanicamente vedados para acesso por um fio. Os representan- tes regulamentares usam uma peça de chumbo ou outro material de metal macio em que o fio é passado e então pressionado para bloque- ar a remoção do fio. Esta vedação mecânica apresenta um código, um selo, ou um logotipo para evidenciar sua autenticidade. Para calibrar um medidor, a vedação é removida e o atuador de calibração é ajusta- do no modo de calibração. O medidor é então ajustado e o proprietário do equipamento tem que informar as autoridades de modo que elas possam visitar o posto de abastecimento de combustível para verificar a calibração e vedar novamente o medidor. Este processo pode levar vários dias dependendo da localização, o que permite que partes ines- crupulosas ajustem o medidor para medir de forma incorreta e então o ajustem novamente antes que as autoridades cheguem para verificar a calibração. Também, se a ferramenta usada para criar a vedação for perdida ou roubada, ela poderá ser usada para ocultar ajustes fraudu-
lentos por intermédio de partes não autorizadas.
[0084] Em algumas concretizações dos sistemas e métodos aqui descritos, não é possível usar a bomba de combustível após a execu- ção de uma calibração até que a calibração seja verificada por uma parte autorizada.
[0085] Em algumas concretizações dos sistemas e métodos aqui descritos, será possível controlar o acesso à função de calibração e prover encerramento de conta ou outra disciplina, quando usuário ina- propriado ou fraudulento for detectado. Além disso, a parte que contro- la o servidor de segurança 106 pode impedir que competidores execu- tem calibrações ou outros serviços, ou exigir uma taxa a fim de conse- guir acesso.
[0086] Estes e outros efeitos técnicos podem ser obtidos em uma ou mais das concretizações aqui descritas.
[0087] Esta descrição escrita usa exemplos para descrever a in- venção, incluindo o melhor modo, e também para permitir que qual- quer um versado na técnica pratique a invenção, incluindo a fabricação e o uso de quaisquer dispositivos ou sistemas e executando quaisquer métodos incorporados. O escopo patenteável da invenção é definido pelas reivindicações, e pode incluir outros exemplos que ocorrem àqueles versados na técnica. Estes outros exemplos se destinam a ser abrangidos pelo escopo das reivindicações, se apresentarem elemen- tos estruturais que não diferem da linguagem literal das reivindicações, ou se incluírem elementos estruturais equivalentes com diferenças in- substanciais das linguagens literais das reivindicações.

Claims (15)

REIVINDICAÇÕES
1. Sistema, caracterizado pelo fato de que compreende: uma memória de bomba de combustível que armazena uma chave secreta que é exclusiva no sistema; um processador de bomba de combustível acoplado à me- mória e sendo programado para: receber uma solicitação para acessar uma função do sistema em nome de um usuário; gerar um desafio que inclui uma senha de sessão e um código de função correspondendo à função solicitada; criptografar o desafio usando a chave secreta arma- zenada na memória; emitir o desafio criptografado; solicitar a senha de sessão; e permitir acesso à função solicitada apenas quando uma senha correspondendo à senha de sessão é recebida.
2. Sistema, de acordo com a reivindicação 1, caracterizado pelo fato de que ainda compreende um servidor que possui um pro- cessador de servidor programado para: receber o desafio criptografado; descriptografar o desafio criptografado usando uma contra- parte da chave secreta; consultar um banco de dados para determinar se o usuário está autorizado a acessar a função correspondendo ao código de fun- ção do desafio; e proporcionar uma senha correspondendo à senha de ses- são apenas quando o usuário for autorizado a acessar a dita função.
3. Sistema, de acordo com a reivindicação 1, caracterizado pelo fato de que o sistema é uma bomba de combustível.
4. Sistema, de acordo com a reivindicação 1, caracterizado pelo fato de que uma senha correspondendo à senha de sessão ape- nas acessa uma função segura correspondendo ao código de função do desafio.
5. Sistema, de acordo com a reivindicação 1, caracterizado pelo fato de que o processador de bomba de combustível é programa- do para exigir recebimento de uma identificação de usuário que exclu- sivamente identifica o usuário antes de comunicar o desafio ao usuário e em que o processador de bomba de combustível é programado para manter um registro de tentativas de acesso com base na identificação de usuário.
6. Sistema, de acordo com a reivindicação 1, caracterizado pelo fato de que: o processador de bomba de combustível recebe a solicita- ção para acesso de um dispositivo de usuário através de um canal de comunicação e em que o processador de bomba de combustível co- munica o desafio ao dispositivo de usuário através do canal de comu- nicação, ou o processador de bomba de combustível recebe a solicita- ção para acesso através de um dispositivo de entrada acoplado ao processador de bomba de combustível e em que o processador de bomba de combustível comunica o desafio ao usuário ao exibir o desa- fio em um visor eletrônico acoplado ao processador de bomba de combustível.
7. Sistema, de acordo com a reivindicação 1, caracterizado pelo fato de que o desafio inclui um identificador exclusivo que exclusi- vamente identifica o sistema, o desafio inclui uma identificação de usuário que exclusivamente identifica o usuário, ou o desafio inclui um indicador de status que indica se o sistema detectou uma violação de segurança ou encontrou um erro crítico.
8. Servidor de segurança, caracterizado pelo fato de que compreende: uma interface de rede configurada para se comunicar com um dispositivo de usuário; um banco de dados de bomba de combustível que inclui, para cada uma de uma pluralidade de bombas de combustível, um identificador exclusivo que identifica a bomba de combustível e uma contraparte de uma chave secreta armazenada na bomba de combus- tível e que é exclusivo da bomba de combustível; um banco de dados de acesso de usuário que inclui, para cada um de uma pluralidade de usuários, uma identificação de usuário exclusiva que identifica o usuário, informação de autenticação associ- ada com o usuário, e um ou mais privilégios de acesso definidos para o usuário; um processador acoplado à interface de rede, ao banco de dados da bomba de combustível, e ao banco de dados de acesso de usuário, o processador sendo programado para: receber do dispositivo de usuário, através da interfa- ce de rede, um identificador exclusivo de uma bomba de combustível para a qual um usuário do dispositivo de usuá- rio busca acesso e um desafio criptografado gerado pela di- ta bomba de combustível; consultar o banco de dados de acesso de usuário pa- ra determinar, com base em identificação de usuário e em informação de autenticação providas pelo dispositivo de usuário, se o usuário é um usuário autorizado do servidor; quando o usuário é um usuário autorizado do servi- dor, consultar o banco de dados de bomba de combustível para obter a chave secreta de contraparte associada no banco de dados da bomba de combustível com o identifica- dor exclusivo recebido do dispositivo de usuário;
descriptografar o desafio criptografado usando a cha- ve secreta obtida do banco de dados de bomba de combus- tível; extrair um código de função e uma senha de sessão do desafio descriptografado; consultar o banco de dados de acesso de usuário pa- ra determinar se o usuário está autorizado a acessar uma função representada pelo código de função; e quando o usuário for autorizado a acessar a dita fun- ção, enviar a senha de sessão para o dispositivo de usuário através da interface de rede.
9. Servidor, de acordo com a reivindicação 8, caracterizado pelo fato de que o processador é programado para consultar o banco de dados de acesso de usuário para determinar se o usuário está au- torizado a acessar postos de abastecimento de combustível na região geográfica na qual o posto de abastecimento de combustível que ge- rou o desafio é fisicamente localizado e enviar a senha de sessão para o dispositivo de usuário apenas quando o usuário for assim autorizado.
10. Servidor, de acordo com a reivindicação 8, caracteriza- do pelo fato de que o desafio inclui um indicador de status que indica se o sistema detectou uma violação de segurança ou encontrou um erro crítico, e em que o processador é programado para não enviar a senha de sessão quando o indicador de status indicar que o sistema detectou uma violação de segurança ou encontrou um erro crítico.
11. Servidor, de acordo com a reivindicação 8, caracteriza- do pelo fato de que um ou mais privilégios de acesso definidos no banco de dados de acesso de usuário para um usuário específico indi- cam pelo menos um dentre: quais bombas de combustível um usuário está autorizado a acessar,
quais funções da bomba de combustível o usuário está au- torizado a acessar, em quais datas e horas o usuário está autorizado a acessar as bombas de combustível, e em quais regiões geográficas o usuário está autorizado a acessar as bombas de combustível.
12. Bomba de combustível, caracterizada pelo fato de que compreende: um medidor de fluxo configurado para medir uma quantida- de de combustível dispensada pela bomba de combustível; e um processador de computador acoplado a uma memória e configurado para seletivamente impedir que combustível seja dispen- sado através do medidor de fluxo; em que o processador de computador é programado para: detectar uma mudança em calibração do medidor de fluxo; impedir que combustível seja dispensado usando o medidor de fluxo, quando uma mudança de calibração for detectada, até que uma função de verificação seja executa- da; gerar um desafio que inclui uma senha de sessão; criptografar o desafio usando uma chave secreta ar- mazenada na memória da bomba de combustível; proporcionar o desafio criptografado a um usuário buscando realizar a função de verificação; e permitir que a função de verificação seja executada apenas quando uma senha correspondendo à senha de sessão for recebida do usuário.
13. Bomba de combustível, de acordo com a reivindicação 12, caracterizada pelo fato de que o usuário obtém a senha corres-
pondendo à senha de sessão de um servidor que descriptografa o de- safio criptografado usando uma contraparte da chave secreta depois que o servidor verifica que o usuário está autorizado a realizar a fun- ção de verificação.
14. Bomba de combustível, de acordo com a reivindicação 12, caracterizada pelo fato de que o usuário pode apenas obter uma senha correspondendo à senha de sessão de um servidor quando o servidor determinar que o usuário está autorizado a realizar a função de verificação na região geográfica na qual o posto de abastecimento de combustível é fisicamente localizado.
15. Bomba de combustível, de acordo com a reivindicação 12, caracterizada pelo fato de que o desafio inclui um identificador ex- clusivo que exclusivamente identifica a bomba de combustível.
BR112016011107-9A 2013-11-18 2014-11-18 Sistema e servidor de segurança BR112016011107B1 (pt)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US14/082,278 2013-11-18
US14/082,272 US9133012B2 (en) 2013-11-18 2013-11-18 Systems and methods for fuel dispenser security
US14/082,272 2013-11-18
US14/082,278 US9139414B2 (en) 2013-11-18 2013-11-18 Systems and methods for fuel dispenser security
PCT/IB2014/003055 WO2015071770A2 (en) 2013-11-18 2014-11-18 Systems and methods for fuel dispenser security

Publications (2)

Publication Number Publication Date
BR112016011107A2 true BR112016011107A2 (pt) 2020-08-04
BR112016011107B1 BR112016011107B1 (pt) 2023-08-01

Family

ID=

Also Published As

Publication number Publication date
CN108259497B (zh) 2022-03-04
CA2930171A1 (en) 2015-05-21
WO2015071770A2 (en) 2015-05-21
CN105900398A (zh) 2016-08-24
WO2015071770A3 (en) 2015-07-30
EP3609159A1 (en) 2020-02-12
CN105900398B (zh) 2018-02-06
PT3609159T (pt) 2022-11-09
EP3072273A2 (en) 2016-09-28
CN108259497A (zh) 2018-07-06
PT3072273T (pt) 2020-01-14
EP3609159B1 (en) 2022-08-10
CA2930171C (en) 2017-04-18
EP3072273B1 (en) 2019-10-02

Similar Documents

Publication Publication Date Title
US9580295B2 (en) Systems and methods for fuel dispenser security
CN108259497B (zh) 用于燃料分配器安全的系统和方法
KR102347659B1 (ko) 디바이스의 보안 프로비저닝 및 관리
US11494754B2 (en) Methods for locating an antenna within an electronic device
US10063594B2 (en) Network access control with compliance policy check
US9139414B2 (en) Systems and methods for fuel dispenser security
US7314169B1 (en) Device that issues authority for automation systems by issuing an encrypted time pass
US7302570B2 (en) Apparatus, system, and method for authorized remote access to a target system
US20180248873A1 (en) Electronic device verification
US7213267B2 (en) Method of protecting a microcomputer system against manipulation of data stored in a storage assembly of the microcomputer system
CN112364323A (zh) 一种基于用户虹膜识别的高安全存储访问方法和装置
JP2008226191A (ja) 情報処理端末認証システム及び情報処理端末認証方法,情報処理端末認証用プログラム
US10536453B2 (en) Method and arrangement for authorizing an action on a self-service system
US20180121670A1 (en) Encryption management for storage devices
US20180052987A1 (en) Server system and method for controlling multiple service systems
JP2009251656A (ja) ユーザ認証システム、ユーザ認証方法及びプログラム
BR112016011107B1 (pt) Sistema e servidor de segurança
BR122023003993B1 (pt) Bomba de combustível
KR20180131225A (ko) 스마트폰의 사용자 인증을 통하여 무인 키오스크 도어락을 자동 개폐하는 방법 및 그 시스템
KR101551065B1 (ko) 직원 인증 관리 시스템 및 직원 인증 관리 방법
CN117371013A (zh) 一种硬件管理接口系统及其分析方法
JP2001256190A (ja) 電子文書管理方法、電子文書管理システム及び記録媒体

Legal Events

Date Code Title Description
B15K Others concerning applications: alteration of classification

Free format text: A CLASSIFICACAO ANTERIOR ERA: H04L 29/06

Ipc: H04L 29/06 (2006.01), G06Q 20/14 (2012.01), G06Q 2

B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B350 Update of information on the portal [chapter 15.35 patent gazette]
B06A Patent application procedure suspended [chapter 6.1 patent gazette]
B154 Notification of filing of divisional application [chapter 15.50 patent gazette]

Free format text: O PEDIDO FOI DIVIDIDO NO BR122023003993-9 PROTOCOLO 870230018075 EM 02/03/2023 17:17.

B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 18/11/2014, OBSERVADAS AS CONDICOES LEGAIS