CN105844469B - 授权可信安全系统部件 - Google Patents

授权可信安全系统部件 Download PDF

Info

Publication number
CN105844469B
CN105844469B CN201511002997.5A CN201511002997A CN105844469B CN 105844469 B CN105844469 B CN 105844469B CN 201511002997 A CN201511002997 A CN 201511002997A CN 105844469 B CN105844469 B CN 105844469B
Authority
CN
China
Prior art keywords
peripheral equipment
safety governor
message
equipment
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201511002997.5A
Other languages
English (en)
Other versions
CN105844469A (zh
Inventor
布莱恩·史蒂芬·沃瑟斯庞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NCR Voyix Corp
Original Assignee
NCR Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NCR Corp filed Critical NCR Corp
Publication of CN105844469A publication Critical patent/CN105844469A/zh
Application granted granted Critical
Publication of CN105844469B publication Critical patent/CN105844469B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/18Payment architectures involving self-service terminals [SST], vending machines, kiosks or multimedia terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/211Software architecture within ATMs or in relation to the ATM network
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/006Details of the software used for the vending machines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

一个实施例是自助服务终端(102)形式,如自动柜员机(ATM)。终端(102)包括外围设备(112)(如取款机)和安全控制器设备(106或108),安全控制器设备包含存储设备及与外围设备的连接(113)。安全控制器设备(106或108)可以操作,以执行数据处理活动,包括从外围设备(112)接收外围设备识别数据和将安全控制器设备(106或108)的公用密钥(SCpk)传输给外围设备(112)。然后,安全控制器(106或108)可按照SCpk对接收的外围设备加密钥(Ki)进行解密,产生第一安全控制器加密钥(Ke1),及产生第一消息验证码密钥(Km1),按照Ke1对第一消息验证码密钥Km1进行加密,得到Km1Ke1。然后,可将Km1Ke1储存在存储设备中,并传输给外围设备(112)。

Description

授权可信安全系统部件
技术领域
本发明涉及授权可信安全系统部件。
背景技术
自助服务终端(SST),如自动柜员机(ATM),通常在其核心包括控制SST操作的个人计算机(PC)。在SST交易期间,此类操作包括与后端系统通信、接收数据和物理项目输入,及输出数据和物理项目,如货币、收据等。SST的输入和输出通常通过SST外围设备,如取款机、个人身份识别码(PIN)键盘(即加密键盘)等进行。
PC和外围设备之间的内部SST通信很少进行验证,安全性非常低。从这可导致SST很容易受从设备角度模仿SST PC应用或平台的恶意软件的攻击。恶意软件可能迫使外围设备执行未授权的敏感行动,如出钞、出具凭证、邮票等。
发明内容
在本发明的各种实施例中,每个实施例包括以下中的至少一种:授权可信安全系统部件的系统、设备、方法、软件和数据结构。
在一个由安全终端外围设备执行的方法形式的实施例中,包括将外围设备加密钥(Ki)和采用自助服务终端(SST)安全控制器的密钥(SCpk)加密的外围设备识别数据传输给安全控制器。该方法进一步包括从安全控制器接收按照第一安全控制器加密钥(Ke1)对第一消息验证码(Km1)加密得到的第一加密消息验证码密钥(Km1Ke1)。然后,该方法储存每个Ki和接收的按照存储器中第一安全控制器加密钥(Ke1)加密的第一加密消息验证码密钥(Km1Ke1)。
一个实施例是自助服务终端(SST)形式,如自动柜员机(ATM)。SST包括外围设备(如取款机)和安全控制器设备,安全控制器设备包含存储设备及与外围设备的连接。安全控制器设备可以操作,以执行数据处理活动,包括从外围设备接收外围设备识别数据和将安全控制器设备的公用密钥(SCpk)传输给外围设备。然后,安全控制器可按照SCpk对接收的外围设备加密钥(Ki)进行解密,产生第一安全控制器加密钥(Ke1),及产生第一消息验证码(Km1),按照Ke1对第一消息验证码Km1进行加密,得到Km1Ke1。然后,可以将Km1Ke1储存在存储设备上,并传输给外围设备。
根据本发明的第一方面,提供一种方法,包括:将外围设备加密钥(Ki)和采用自助服务终端(SST)安全控制器的密钥(SCpk)加密的外围设备识别数据传输给安全控制器;从安全控制器接收按照第一安全控制器加密钥(Ke1)加密的第一加密消息验证码密钥(Km1Ke1);将每个Ki及接收的按照第一安全控制器加密钥(Ke1)加密的第一加密消息验证码密钥(Km1Ke1)储存在存储器中。
该方法任选进一步包括:接收交易消息,交易消息包括消息、消息验证码、按照Ki加密的Ke1,及按照第二安全控制器加密钥(Ke2)加密的第二加密消息验证码密钥(Km2Ke2);按照Ki对Ke1进行解密,得到Ke1明文,按照Ke1明文,解密Km1Ke1,得到第一加密消息验证码密钥明文;按照第一加密消息验证码密钥明文,对接收的消息验证码进行验证;当验证成功时,执行包括在接收的交易消息中的命令;及将Km2Ke2储存在存储器中。
交易消息任选从SST的主计算机接收。
外围设备识别数据任选包括序列号和识别执行所述方法的外围设备类型的数据。
安全控制器任选是加密个人识别码(PIN)键盘设备。
执行方法的外围设备任选是媒体管理器,如取款机。
SST任选是自动柜员机(ATM)。
根据本发明的第二个方面,提供一种自助服务终端(SST),包括:外围设备;安全控制器设备,安全控制器设备包括存储设备及与外围设备的连接,它可以操作,以执行数据处理活动,包括从外围设备接收外围设备识别数据;将安全控制器设备的公用密钥(SCpk)传输给外围设备;按照SCpk对接收的外围设备加密钥(Ki)进行解密;产生第一安全控制器加密钥(Ke1);产生第一消息验证码密钥(Km1)和按照Ke1对第一消息验证码密钥Km1进行加密,得到Km1Ke1;将Km1Ke1传输给外围设备;将Ki和Km1Ke1储存在存储设备中。
SST任选进一步包括:接收传输给外围设备的消息;产生第二安全控制器设备加密钥(Ke2);产生第二消息验证码密钥(Km2),按照Ke2对第二消息验证码密钥Km2进行加密,得到Km2Ke2;将Km2Ke2储存在存储器中;将接收的消息、第一消息验证码、按照Ki加密的Ke1及Km2Ke2传输给外围设备。
外围设备识别数据任选包括序列号和识别外围设备类型的数据。
安全控制器任选是加密个人识别码(PIN)键盘设备。
外围设备任选是媒体管理器,如取款机。
SST任选是自动柜员机(ATM)。
根据本发明的第三个方面,提供一种由自助服务终端(SST)外围设备执行的方法,所述方法包括:将外围设备识别数据传输给SST安全控制器;从安全控制器接收公用密钥(SCpk);产生外围设备加密钥(Ki);按照SCpk对Ki进行加密;将加密的Ki传输给安全控制器;从安全控制器接收按照第一安全控制器加密钥(Ke1)加密的第一加密消息验证码密钥(Km1Ke1);将每个Ki和收到的Ke1储存在存储器中。
该方法任选进一步包括:接收交易消息,交易消息包括消息、消息验证码、按照Ki加密的Ke1,及按照第二安全控制器加密钥(Ke2)加密的第二加密消息验证码密钥(Km2Ke2);按照Ki对Ke1进行解密,得到Ke1明文,按照Ke1明文,解密Km1Ke1,得到第一加密消息验证码密钥明文;按照第一加密消息验证码密钥明文,对接收的消息验证码进行验证;及将Km2Ke2储存在存储器中。
交易消息任选从SST的主计算机接收。
外围设备识别数据任选包括序列号和识别执行所述方法的外围设备类型数据。
安全控制器任选是加密个人识别码(PIN)键盘设备。
执行方法的外围设备任选是媒体管理器,如取款机。
SST任选是自动柜员机(ATM)。
附图说明
以下通过举例并参照附图,对本发明的上述内容和其他方面加以具体说明:
按照一个示例实施例,图1是系统架构和系统部件的逻辑方框图;
按照一个示例实施例,图2是数据流处理图;
按照一个示例实施例,图3是数据流处理图;
按照一个示例实施例,图4是方法的流程方框图;及
按照一个示例实施例,图5是计算设备的方框图。
具体实施方式
内部SST在PC内核和外围设备(如USB设备)之间通信,很少进行验证,或者,其安全性非常低。这导致SST很容易受从设备角度模仿应用或平台的恶意软件的攻击。然后,恶意软件被用于迫使外围设备执行未授权的敏感行动(如出钞、印刷凭证、邮票等)。
例如,假设PC内核并非是SST内的可信设备,因此,主机授权应级联到每个外围设备,使每个外围设备都有信心认为其收到的命令是真实的和经过授权的。如果SST运营商(例如当SST是ATM时,SST运营商是银行)不愿意更改主机,而且多供应商应用使其很难改变应用接口,此处给出的各种实施例提供了各种解决方案,以对主机和控制SST操作的PC内核应用都透明的方式提供信任。
例如,在一些实施例中,每个设备都采用本地授权加密设备(可称为安全控制器)进行注册,执行初步密钥交换。在一些实施例中,安全控制器可以嵌在或包括在加密键盘(EPP)中或与其连接,或嵌入在SST的核心PC的母板中或与其连接。在这些实施例中,安全控制器保持所有注册设备的数据库及这些设备的当前密钥。然后,为该设备的每个敏感命令创建消息验证码(MAC)形式的信任戳,并将每个MAC使用的密钥向前滚动。在一些实施例中,MAC密钥只能以加密形式储存,或储存在本地授权保护环境中。
图1提供了某些实施例的系统和架构概述。图2和图3提供了一些实施例的各种外围设备建立、利用和维持合适的加密钥和MAC的逻辑细节。
在下文的详细描述中,引用了构成本文组成部分的附图,并在所述附图中以图示方式显示了其中可以实施发明主旨事项的特定实施例。该等实施例乃以足够的细节予以描述,以确保本领域的技术人员能够实施它们,并且需要了解的是,可以利用其他实施例,且可以在不偏离发明主旨事项范围的情况下做出结构、逻辑及电气改变。该等发明主旨事项的实施例在本文中可以单独及/或共同地被称为“发明”,其仅仅是为了方便而无意将本申请的范围主动限制为任何单个发明或发明概念(如果实际披露的多于一个的话)。
因此,下文的描述不应被视为具有限制意义,并且发明主旨事项的范围由所附权利要求予以界定。
在一个实施例中,本文描述的功能或算法可以以硬件、软件或软件和硬件的组合来实现。软件包括存储在诸如存储器或其他类型的存储设备等计算机可读媒体上的计算机可执行指令。此外,所描述的功能可对应于模块,其可以是软件、硬件、固件或其任何组合。多个功能以所期望的一个或多个模块来执行,并且所描述的实施例仅仅是示例。软件在数字信号处理器、ASIC、微处理器或在系统(例如个人计算机、服务器、路由器或能够处理数据的其他设备,包括网络互连设备)上操作的其他类型的处理器上执行。
某些实施例实现其中相关控制及数据信号在模块之间及通过模块传送的两个或多个具体互连的硬件模块或设备中的功能,或作为应用程序专用集成电路的一部分。因此,示范流程可适用于软件、固件及硬件实现。
按照一个示例实施例,图1是系统100架构和系统部件的逻辑方框图。系统100包括SST 102和银行业务系统116。在各实施例中,SST 102可以是ATM、销售终端自助结帐点、与燃油泵连接的泵旁直接付费终端、售货机销售点终端和其它此类SST。在操作中,安全控制器106和SST 102包括或连接的各种外围设备操作,建立和维持同步加密钥,对安全控制器106和至少一种外围设备之间的通信进行验证及确保其安全。图1说明和描述了硬件环境和系统100架构。图2和图3进一步详细说明了加密钥的同步、利用和维护。
SST 102通过网络112与银行业务系统116连接。将SST 102与银行业务系统116连接的网络112是能够在SST 102和银行业务系统116之间传输数据的网络。按照特定实施例中SST 102的类型,数据网络可以符合一种或多种法定、管理、工业标准、网络运营商及其它政策和要求。
在系统100的一个示例实施例中,SST 102包括SST计算机104,与SST计算机104连接的安全控制器106,与安全控制器106连接的一个或多个外围设备,如加密键盘设备108、触摸屏设备110及一个或多个其它设备112。其它设备112可以是以下中的一种或多种:取款机、收据打印机、键盘、音频输出设备、音频输入设备、读卡器及其它输入和输出设备。
外围设备包括输入或输出机构中的至少一种。每个外围设备都可以包括加密钥存储器(如存储设备),及处理器、ASIC,或其它电路,用于执行加密或解密操作或加密和解密操作。对作为输入接收的数据或需要输出的接收数据或命令各外围设备执行行动(如出钞、输出声音或其它行动)的数据,执行加密和解密行动。作为输入被外围设备接收的数据采用各外围设备和安全控制器106之间建立的加密钥进行加密,并传输给安全控制器106。外围设备接收的用于输出的数据是从安全控制器106接收的加密形式的数据,并按照存储器中储存的加密钥进行解密,由外围设备处理用于输出或启动输出行动或其它数据处理行动的性能。
在一些实施例中,安全控制器106可以是集成电路板形式、封闭式设备或其它形状因素。但是,在一些实施例中,安全控制器106可集成在SST计算机104的母板内、外围设备(如触摸屏或加密键盘)的外壳内或与这些外围设备的集成电路板集成。
在一些实施例中,安全控制器106包括SST连接器,如通用串行总线(USB)连接器,插到SST计算机104母板上专用或通用外围设备槽中的一组接线插脚,串行连接器,或其它使安全控制器106与SST计算机104传输数据的其它连接器。
安全控制器106还可包括处理器和存储器。处理器可以是通用数据处理单元、专门用于特定任务(如加密)的一种或多种集成电路、ASIC或能够执行数据处理任务,根据具体实施例,包括加密和解密任务中的至少一种任务的其它设备。存储器可以是易失性或非易失性存储器。例如,存储器可以是随机存取存储器、闪存、一次写入存储器或其它类型的存储器。存储器还可以是不止一个存储设备,其中每个存储设备类型可以相同或不同。
安全控制器106的存储器储存处理器可以执行的指令,利用同样储存在存储器内的加密钥,执行加密和解密功能。加密钥可以储存在存储器的一个存储设备中,指令储存在存储器的不同存储设备中。在一些此类实施例中,加密钥可储存在指定或制造为安全加密钥存储器的存储器中,如可信平台模块(TPM)、加密存储设备、易失性存储设备等。在加密钥储存在易失性存储器中的一些实施例中,存储器或安全控制器106包括给存储器供电的电池(未画出),当安全控制器位于其内的SST循环、复位或失去电源时,储存的加密钥至少可以保存有限的一段时间。
在一些实施例中,安全控制器106的存储器也储存指令,接收和处理从与其连接的外围设备经I/O端口接收的设备管理消息。设备管理消息可包括表示一种或多种外围设备故障、错误、篡改、状态和其它此类消息的数据。这些消息的数据可报告给银行业务系统116。设备管理消息可以以明文或密文接收。当以密文接收时,根据从其接收设备管理消息的外围设备的类型,消息首先用存储器中识别的合适的加密钥解密。
在一些实施例中,安全控制器106的存储器也可能储存指令,产生关于状态的设备管理指令,检测各种事件,如设备篡改、与外围设备失去通信,及关于安全控制器106的其它状况。同样,在这些实施例中,储存在存储器中的指令包括检测事件,启动产生设备管理消息的其它指令。
不管设备管理消息是安全控制器106上产生的还是接收的,设备管理消息都按照储存在存储器中的指令进行处理,将设备管理消息的数据传输给图1的SST计算机104的平台服务。平台服务进一步处理设备管理消息,并将其传输给银行业务系统116。
在其它实施例中,安全控制器106包括储存在存储器内的、可由处理器执行的指令,用于处置安全控制器106篡改事件。指令可在检测到安全控制器106内的某个数据状况时启动,或在从安全控制器106中的一个或多个篡改检测设备收到输入后启动。当指令被启动时,可能导致储存在安全控制器106的存储器内的全部或某些加密钥被删除。指令可能进一步尝试产生和传输设备管理消息,包括指示检测到的篡改事件的数据。
安全控制器106还可以包括一个或多个输入/输出(I/O)端口。在一些实施例中,安全控制器106包括两个I/O端口。在其它实施例中,安全控制器106包括三个或更多个I/O端口。I/O端口可以是USB端口、串行端口、专属设备和数据互连端口及其它端口类型。在包括不止一个I/O端口的一些实施例中,I/O端口可以是不同的类型,例如USB和串行端口。在其它包括多个I/O端口的实施例中,I/O端口可以全部是同一类型。
按照一个示例实施例,图2是数据流处理图。图2的数据流处理图示出了安全控制器和SST外围设备执行的及它们之间执行的数据通信和数据处理活动。这些数据通信和数据处理活动通常在安全控制器和每个或选定外围设备之间执行,外围设备包括在SST内或与SST连接,可执行敏感的行动,如出钞。数据通信和数据处理可能在SST初始化时执行、在外围设备首次与SST相连时执行和被SST的PC内核或安全控制器识别时执行,或按照特定实施例或按照SST技术人员或管理者规定的其它时间执行。
在一些实施例中,外围设备可以首先将数据发送给安全控制器,以对其本身进行注册。例如,外围设备可以发送其序列号和其设备类型(如取款机、收据打印机、加密键盘设备等)标识符。然后,为响应来自外围设备的初始通信,安全控制器可将其公用密钥SCpk发送给外围设备。然后,外围设备可产生自己的加密钥Ki,并将该加密钥Ki储存在外围设备的存储器内。然后,外围设备可按照安全控制器的公用密钥SCpk对加密钥Ki进行加密,形成KiSCpk。然后,安全控制器采用其公用密钥SCpk的私钥对外围设备加密钥Ki进行解密。然后,安全控制器可以产生第一消息验证码(MAC)密钥(Km1)和第一安全控制器加密钥(Ke1)。然后,安全控制器按照加密钥Ke1对MAC密钥进行加密,形成Km1Ke1。安全控制器将加密钥Ke1和MAC密钥Km1储存在存储器中。然后,安全控制器将Km1Ke1传输给外围设备,然后,外围设备将Km1Ke1储存为收到加密钥Ke1时可以使用的预置MAC密钥。参考图3,对外围设备如何拥有加密钥Ke1及利用预置MAC密钥的详细情况进行说明和描述。
按照一个示例实施例,图3是数据流处理图。图3的数据流处理图示出了安全控制器、SST、控制SST操作的PC内核及SST的外围设备执行的及在它们之间执行的数据通信和数据处理活动。如参考图2所说明和描述的那样,数据通信和数据处理是在外围设备上已经预置了MAC密钥的前提条件下进行的。
图3的数据流处理从PC内核将具有主机授权的消息发送到安全控制器开始,旨在传输给外围设备。主机授权可能是在另一台计算设备(如图1银行业务系统116)上产生的授权。主机授权通常是在外围设备上执行一项行动的命令和授权。当外围设备是取款机时,这可能包括出钞命令。
安全控制器收到具有主机授权的消息时,执行多项行动。这些行动包括验证主机授权和获取预置在外围设备上的MAC密钥。获取MAC密钥包括检索储存的Km1,然后,在其基础上计算MAC,得到MAC。该MAC是主机授权消息的加密形式。一旦第一预置MAC密钥已经被使用,安全控制器进一步产生和储存将被预置到外围设备的第二MAC密钥Km2。安全控制器还产生和储存新的加密钥Ke2,然后采用新的加密钥Ke2对新的MAC密钥Km2进行加密,形成Km2Ke2。然后,安全控制器采用外围设备的加密钥Ki对第一加密钥Ke1进行加密,得到Ke1Ki。一旦该数据已经被处理,并建立了各种密钥和MAC,安全控制器就会产生一个消息并将该消息发送到PC内核,该消息包括外围设备的预置MAC、Ke1Ki和Km2Ke2
从安全控制器收到消息后,PC内核产生一个消息并将该消息发送到外围设备,该消息包括具有在外围设备上执行的授权指令的消息、MAC、Ke1Ki和Km2Ke2
外围设备从PC内核接收消息,然后在其上面执行几项数据处理行动。首先,外围设备拥有储存在存储器中的预置MAC密钥的副本,但它是按照Ke1及它自己的加密钥Ki加密的加密形式存在的。因此,收到消息后执行的第一项行动是采用Ki对Ke1Ki进行解密,得到明文形式的Ke1。然后,可以储存Ke1,并将其用于对Km1Ke1进行解密,得到明文形式的预置MAC密钥。外围设备利用明文形式的预置MAC密钥,建立MAC,然后,将该MAC与从PC内核收到的消息中包含的MAC进行对比。当其匹配时,外围设备执行包括在接收消息中的一项或多项命令。然后,外围设备将存储器中储存的预置MAC密钥更换为新的预置MAC密钥Km2Ke2
按照一个示例实施例,图4是方法400的流程方框图。按照一些实施例,方法400是外围设备执行方法的一个实例。方法400包括将外围设备加密钥(Ki)和采用自助服务终端(SST)的安全控制器的密钥(SCpk)加密的外围设备识别数据传输402给安全控制器。外围设备识别数据可包括序列号和识别执行方法400的外围设备类型数据。方法400进一步包括从安全控制器接收404按照第一安全控制器加密钥(Ke1)加密的第一加密消息验证码(Km1Ke1)。然后,方法400可将每个Ki和接收的按照第一安全控制器加密钥(Ke1)加密的第一加密MAC密钥(Km1Ke1)储存406在存储器中。
然后,方法400可包括接收408交易消息,该交易消息包括消息、消息验证码、按照Ki加密的Ke1,及按照第二安全控制器加密钥(Ke2)加密的第二加密MAC密钥(Km2Ke2)。然后,方法400可按照Ki对Ke1进行解密410,得到Ke1明文,按照Ke1明文,对Km1Ke1进行解密,得到第一加密MAC密钥的明文。接下来,方法400按照第一加密消息验证码明文对接收的消息验证码进行验证412,当验证成功时,执行414接收的交易消息中包含的命令。然后,方法400将Km2储存416在存储器中。
按照一个示例实施例,图5是计算设备的方框图。在一个实施例中,多个该等计算机系统被用于一个分布式网络中,以在基于交易的环境中执行多个组件。一个面向对象、面向服务或面向其他的架构可能被用以实现该等功能,并在多个系统及组件之间进行通信。以计算机510形式存在的一个示例计算设备可能包括处理单元502、存储器504、可移动存储设备512,以及非可移动存储设备514。存储器504可能包括易失性存储器506和非易失性存储器508。计算机510可能包括—或者能够存取包括各种计算机可读媒体的计算环境,例如易失性存储器506和非易失性存储器508,可移动存储设备512和非可移动存储设备514。计算机存储包括随机存取存储器(RAM)、只读存储器(ROM)、可擦可编程只读存储器(EPROM)及电可擦可编程只读存储器(EEPROM)、闪存或其他存储器技术、光盘只读存储器(CD ROM)、数码多功能光碟(DVD)或其他光盘存储器、盒式磁带、磁带、磁盘存储器或其他磁存储设备,或者能够存储计算机可读指令的任何其他媒体。计算机510可包括或能够存取包含输入516、输出518,以及通信连接520的计算环境。计算机510可以集成到自助服务终端中,用于控制该终端的操作。计算机可使用通信连接与一个或多个远程计算机连接,例如数据库服务器,从而在网络环境中操作。远程计算机可包括个人计算机(PC)、服务器、路由器、网络个人计算机、对等设备或其他共用网络节点等等。通信连接可包括局域网(LAN)、广域网(WAN)或其它网络。
存储在计算机可读媒体上的计算机可读指令可由计算机510的处理单元502执行。硬盘、CD-ROM和RAM是包括永久性计算机可读媒体的物品的一些实例。例如,计算机程序525能够执行此处所述的一种或多种方法,或此处所述方法的一部分,或其中的一种或多种方法。
本领域的技术人员将容易理解,可以在不偏离如所附权利要求中表达的本发明主旨事项的原理和范围的情况下,在已经描述或图示的细节、材料及部件的布置和方法阶段方面作出各种其他改变,以便解释发明主旨事项的本质。

Claims (22)

1.一种由自助服务终端(SST)的外围设备执行的方法(400),包括:
在自助服务终端的安全控制器接收到来自所述自助服务终端的主计算机的主消息以在所述主计算机的外围设备上执行行动之前,通过所述外围设备将外围设备加密钥Ki和采用所述安全控制器的密钥SCpk加密的外围设备识别数据传输给所述安全控制器(步骤402);
由所述外围设备从所述安全控制器接收按照第一安全控制器加密钥Ke1加密的第一加密消息验证码密钥Km1Ke1(步骤404);及
由所述外围设备将每个Ki及所述接收的按照第一安全控制器加密钥Ke1加密的第一加密消息验证码密钥Km1Ke1储存在所述外围设备的存储器中(步骤406)。
2.根据权利要求1所述的方法,进一步包括:
由所述外围设备接收交易消息,所述交易消息包括消息、消息验证码、按照Ki加密的Ke1,及按照第二安全控制器加密钥Ke2加密的第二加密消息验证码密钥Km2Ke2(步骤408);
通过所述外围设备按照Ki对Ke1进行解密,得到Ke1明文,按照Ke1明文解密Km1Ke1,得到所述第一加密消息验证码密钥的明文(步骤410);
通过所述外围设备按照所述第一加密消息验证码密钥的明文,对所述接收的消息验证码进行验证(步骤412);
当所述验证成功时,通过所述外围设备执行包括在所述接收的交易消息中的命令(步骤414);及
将Km2Ke2储存在所述外围设备的所述存储器中(步骤416)。
3.根据权利要求2所述的方法,其中所述交易消息从所述自助服务终端的所述主计算机接收。
4.根据权利要求1所述的方法,其中所述外围设备识别数据包括序列号和识别执行所述方法的外围设备的类型的数据。
5.根据权利要求1所述的方法,其中所述安全控制器是加密键盘。
6.根据权利要求1所述的方法,其中执行所述方法的所述外围设备是媒体处理设备。
7.根据权利要求1所述的方法,其中所述自助服务终端是自动柜员机。
8.根据权利要求1所述的方法,其中所述安全控制器是加密个人识别码(PIN)键盘设备。
9.根据权利要求1所述的方法,其中执行所述方法的所述外围设备是取款机。
10.一种由自助服务终端(SST)的外围设备执行的方法,所述方法包括:
在自助服务终端的安全控制器接收到来自所述自助服务终端的主计算机的主消息以在所述主计算机的外围设备上执行行动之前,通过所述外围设备将外围设备识别数据传输给所述安全控制器;
由所述外围设备从所述安全控制器接收公共密钥SCpk;
由所述外围设备生成外围设备加密钥Ki;
由所述外围设备根据SCpk加密Ki;
由所述外围设备将所述加密的Ki传输给所述安全控制器;
由所述外围设备从所述安全控制器接收按照第一安全控制器加密钥Ke1加密的第一加密消息验证码密钥Km1Ke1;以及
由所述外围设备将每个Ki及所述接收的Km1Ke1储存在所述外围设备的存储器中。
11.根据权利要求10所述的方法,进一步包括:
接收交易消息,所述交易消息包括消息、消息验证码、按照Ki加密的Ke1,及按照第二安全控制器加密钥Ke2加密的第二加密消息验证码密钥Km2Ke2;
按照Ki对Ke1进行解密,得到Ke1明文;
按照Ke1明文解密Km1Ke1,得到所述第一加密消息验证码密钥的明文;
按照所述第一加密消息验证码密钥的明文,对所述接收的消息验证码进行验证;以及
将Km2Ke2储存在所述存储器中。
12.根据权利要求11所述的方法,其中所述交易消息从所述自助服务终端的所述主计算机接收。
13.根据权利要求10所述的方法,其中所述外围设备识别数据包括序列号和识别执行所述方法的外围设备的类型的数据。
14.根据权利要求10所述的方法,其中所述安全控制器是加密个人识别码(PIN)键盘设备。
15.根据权利要求10所述的方法,其中执行所述方法的所述外围设备是取款机。
16.根据权利要求10所述的方法,其中所述自助服务终端是自动柜员机(ATM)。
17.一种自助服务终端(102),包括:
处理器;
外围设备(112),所述外围设备(112)联接到所述处理器;
安全控制器设备(106或108),所述安全控制器设备(106或108)包括存储设备并且与所述处理器和所述外围设备(112)联接,所述安全控制器设备(106或108)可操作,以在所述安全控制器设备(106或108)接收到来自所述处理器的主消息以在所述外围设备(112)上执行行动之前,在所述处理器和所述外围设备(112)之间执行数据处理活动,所述数据处理活动包括:
从所述外围设备(112)接收外围设备识别数据;
将所述安全控制器设备(106或108)的公用密钥SCpk传输给所述外围设备(112);
按照SCpk对接收的外围设备加密钥Ki进行解密;
生成第一安全控制器加密钥Ke1;
生成第一消息验证码密钥Km1和按照Ke1对所述第一消息验证码密钥Km1进行加密,得到Km1Ke1;
将Km1Ke1传输给所述外围设备(112);及
将Ki和Km1Ke1储存在所述存储设备中。
18.根据权利要求17所述的自助服务终端,进一步包括:
接收传输给所述外围设备(112)的消息;
生成第二安全控制器设备加密钥Ke2;
生成第二消息验证码密钥Km2,按照Ke2对所述第二消息验证码密钥Km2进行加密,得到Km2Ke2;
将Km2Ke2储存在所述存储设备中;
将所述接收的消息、所述第一消息验证码密钥、按照Ki加密的Ke1及Km2Ke2传输给所述外围设备(112)。
19.根据权利要求17或18所述的自助服务终端,其中所述外围设备识别数据包括序列号和识别所述外围设备(112)类型的数据。
20.根据权利要求17所述的自助服务终端,其中所述安全控制器是加密个人识别码(PIN)键盘设备。
21.根据权利要求17所述的自助服务终端,其中所述外围设备是取款机。
22.根据权利要求17所述的自助服务终端,其中所述自助服务终端(SST)是自动柜员机(ATM)。
CN201511002997.5A 2015-01-30 2015-12-28 授权可信安全系统部件 Active CN105844469B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/610,845 US9485250B2 (en) 2015-01-30 2015-01-30 Authority trusted secure system component
US14/610,845 2015-01-30

Publications (2)

Publication Number Publication Date
CN105844469A CN105844469A (zh) 2016-08-10
CN105844469B true CN105844469B (zh) 2019-11-29

Family

ID=54542153

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511002997.5A Active CN105844469B (zh) 2015-01-30 2015-12-28 授权可信安全系统部件

Country Status (3)

Country Link
US (1) US9485250B2 (zh)
EP (1) EP3051476B1 (zh)
CN (1) CN105844469B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9930010B2 (en) 2015-04-06 2018-03-27 Nicira, Inc. Security agent for distributed network security system
EP3583821B1 (en) * 2017-04-24 2023-03-22 Hewlett-Packard Development Company, L.P. Operating mode configuration
US11075751B2 (en) * 2018-04-26 2021-07-27 Ncr Corporation Modular valuable media recycling device
CN110515914B (zh) * 2019-08-27 2021-09-24 广州市金其利信息科技有限公司 一种基于自助终端设备的日志安全导出方法
CN110750767B (zh) * 2019-10-18 2023-05-02 神州数码融信软件有限公司 智能终端设备的登录初始化方法及智能终端设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101019369B (zh) * 2004-07-14 2011-05-18 英特尔公司 利用在线服务向装置传递直接证明私有密钥的方法
CN101399670B (zh) * 2007-09-28 2011-08-31 东芝解决方案株式会社 加密模块分配系统和装置
CN103746800A (zh) * 2013-03-15 2014-04-23 福建联迪商用设备有限公司 一种终端主密钥tmk安全下载方法及系统
CN103944718A (zh) * 2014-01-15 2014-07-23 东方通信股份有限公司 Atm机芯加解密装置的数据处理方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6065679A (en) 1996-09-06 2000-05-23 Ivi Checkmate Inc. Modular transaction terminal
US7577612B2 (en) * 2000-02-18 2009-08-18 Ncr Corporation Self service terminal
GB0027299D0 (en) 2000-11-08 2000-12-27 Rue De Int Ltd Data handling assembly and method of authenticating data processing entities
ITFI20020190A1 (it) 2002-10-09 2004-04-10 Gilbarco S P A Controllore sicuro di punto vendita automatico (opt) conforme a specifiche emv
US8608057B1 (en) 2002-12-26 2013-12-17 Diebold Self-Service Systems, Division Of Diebold, Incorporated Banking machine that operates responsive to data bearing records
GB0414840D0 (en) * 2004-07-02 2004-08-04 Ncr Int Inc Self-service terminal
KR101264299B1 (ko) * 2011-01-20 2013-05-22 에스케이플래닛 주식회사 Cpns 환경에서 사용자 인증을 위한 인증키 발급 시스템 및 방법
US20140067689A1 (en) 2012-08-31 2014-03-06 Ncr Corporation Security module and method of securing payment information

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101019369B (zh) * 2004-07-14 2011-05-18 英特尔公司 利用在线服务向装置传递直接证明私有密钥的方法
CN101399670B (zh) * 2007-09-28 2011-08-31 东芝解决方案株式会社 加密模块分配系统和装置
CN103746800A (zh) * 2013-03-15 2014-04-23 福建联迪商用设备有限公司 一种终端主密钥tmk安全下载方法及系统
CN103944718A (zh) * 2014-01-15 2014-07-23 东方通信股份有限公司 Atm机芯加解密装置的数据处理方法

Also Published As

Publication number Publication date
EP3051476A1 (en) 2016-08-03
US20160226863A1 (en) 2016-08-04
CN105844469A (zh) 2016-08-10
EP3051476B1 (en) 2022-03-30
US9485250B2 (en) 2016-11-01

Similar Documents

Publication Publication Date Title
CN105844469B (zh) 授权可信安全系统部件
EP2780854B1 (en) A smart card reader with a secure logging feature
CN103502992B (zh) 用于防篡改引导的系统和方法
EP3120525B1 (en) System and method for decryption as a service
US8100323B1 (en) Apparatus and method for verifying components of an ATM
EP2143028B1 (en) Secure pin management
US7922080B1 (en) Automated banking machine that operates responsive to data bearing records
JPH07271884A (ja) 端末認証方法
CN103942896A (zh) 一种在atm机上实现无卡取款的系统
BR112018013306B1 (pt) Método e sistema de proteção por senha de cartão bancário
US20240135764A1 (en) Token based secure access to a locker system
US11017396B2 (en) Automatic transaction device and control method thereof
US9520991B2 (en) Apparatus for handling bills and/or coins, and method for initializing and operating such an apparatus
CN102236607A (zh) 一种数据安全保护方法和数据安全保护装置
US7083089B2 (en) Off-line PIN verification using identity-based signatures
CN107493167B (zh) 终端密钥分发系统及其终端密钥分发方法
US20160063462A1 (en) Security device key management
Rezaeighaleh Improving security of crypto wallets in blockchain technologies
CN110930603B (zh) 双向加密验证系统及具有双向加密验证系统的存取款一体机
US20170091736A1 (en) Secure device
Khan et al. A secure and flexible electronic-ticket system
CN116631128B (zh) 一种具有加密功能的自动存取款机及存取款方法
CN107800536A (zh) 安全进程模仿检测
CN108629871A (zh) 价值文件处理设备和用于操作价值文件处理设备的方法
Yang et al. DOPS: A Practical Dual Offline Payment Scheme of CBDC for Mobile Devices

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant