KR102107254B1 - 주유기 사용자 인터페이스 시스템 아키텍처 - Google Patents

주유기 사용자 인터페이스 시스템 아키텍처 Download PDF

Info

Publication number
KR102107254B1
KR102107254B1 KR1020147013106A KR20147013106A KR102107254B1 KR 102107254 B1 KR102107254 B1 KR 102107254B1 KR 1020147013106 A KR1020147013106 A KR 1020147013106A KR 20147013106 A KR20147013106 A KR 20147013106A KR 102107254 B1 KR102107254 B1 KR 102107254B1
Authority
KR
South Korea
Prior art keywords
controller
display
security
payment
processor
Prior art date
Application number
KR1020147013106A
Other languages
English (en)
Other versions
KR20140088565A (ko
Inventor
지오바니 카라펠리
Original Assignee
길바코 에스.알.엘
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 길바코 에스.알.엘 filed Critical 길바코 에스.알.엘
Publication of KR20140088565A publication Critical patent/KR20140088565A/ko
Application granted granted Critical
Publication of KR102107254B1 publication Critical patent/KR102107254B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F13/00Coin-freed apparatus for controlling dispensing or fluids, semiliquids or granular material from reservoirs
    • G07F13/02Coin-freed apparatus for controlling dispensing or fluids, semiliquids or granular material from reservoirs by volume
    • G07F13/025Coin-freed apparatus for controlling dispensing or fluids, semiliquids or granular material from reservoirs by volume wherein the volume is determined during delivery
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1033Details of the PIN pad
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/006Details of the software used for the vending machines
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/02Devices for alarm or indication, e.g. when empty; Advertising arrangements in coin-freed apparatus
    • G07F9/026Devices for alarm or indication, e.g. when empty; Advertising arrangements in coin-freed apparatus for alarm, monitoring and auditing in vending machines or means for indication, e.g. when empty

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Loading And Unloading Of Fuel Tanks Or Ships (AREA)
  • Cash Registers Or Receiving Machines (AREA)

Abstract

자동 판매기 사용자 인터페이스는 지불 또는 계정 정보를 수신할 수 있는 입력 장치에 연결되어 동작하는 제1 제어기를 포함할 수 있다. 제1 제어기는, 다른 장치와 함께, 제2 제어기를 통해 또는 다른 방식으로, 입력 장치로부터의 데이터의 안전한 전달을 가능하게 해줄 수 있다. 이와 관련하여, 제1 제어기는, 입력 장치를 다른 장치로부터의 부당한 통신으로부터 보호하기 위해, 입력 장치와 다른 장치 사이의 통신을 제어할 수 있다. 제1 제어기는 암호화된 통신을 사용하여 다른 장치와 보안 채널을 설정할 수 있다. 제1 제어기, 제2 제어기 등은 독립적인 PCB(printed circuit board)에 연결될 수 있다. PCB에 연결된 센서들의 활성화는 제1 및/또는 제2 제어기로 하여금 입력 장치로부터의 통신을 확인/디코딩하는 데 필요한 데이터(암호화/복호화 정보 등)를 소거하게 할 수 있거나, 입력 장치 또는 그의 일부분을 다른 방식으로 디커미셔닝할 수 있다.

Description

주유기 사용자 인터페이스 시스템 아키텍처{FUEL DISPENSER USER INTERFACE SYSTEM ARCHITECTURE}
관련 출원과의 상호 참조
본 출원은 2011년 10월 20일자로 출원된, 발명이 명칭이 "주유기 사용자 인터페이스 시스템 아키텍처(Fuel Dispenser User Interface System Architecture)"인 미국 특허 출원 제61/549,609호 및 2012년 6월 15일자로 출원된, 발명의 명칭이 "주유기 사용자 인터페이스 시스템 아키텍처(Fuel Dispenser User Interface System Architecture)"인 미국 특허 출원 제61/660,642호를 기초로 우선권을 주장하며, 이들 출원의 개시 내용은 그 전체가 본 명세서에 그대로 기재되어 있는 것처럼 참조 문헌으로서 본 명세서에 포함되고, 모든 점에서 근거가 된다.
본 명세서에 기술되어 있는 발명 요지는 일반적으로 주유기에 관한 것으로서, 보다 구체적으로는 주유기에 의해 이용되는 사용자 인터페이스에 관한 것이다.
주유기는 통상적으로 사용자에게 주유된 연료에 대한 지불을 실시하기 위해 사용자로부터 수신되는 민감한 지불 정보를 처리하도록 구성되어 있는 제어기를 포함하고 있다. 민감한 지불 정보는 보통 카드 판독기 및 PIN 패드 등의 하나 이상의 구성요소들을 통해 주유기에 제공된다. PIN 패드에 의해 수신되는 임의의 민감한 지불 정보는, PIN 패드가 별도의 제어기를 사용하는지에 상관없이, 일반적으로 암호화되어 제어기에 전달된다. 제어기가 민감한 지불 정보를 처리하도록 구성되어 있기 때문에, 보통 제어기는 증명 프로세스(certification process)를 포함할 수 있는, 이러한 정보를 처리하는 장치들에 부과되는 특정의 보안 요구사항의 적용을 받는다. 제어기의 설계에 대한 임의의 변경들은 비교적 오래 걸리고 비용이 많이 드는 프로세스일 수 있는 재증명(recertification)을 필요로 하는 것이 통상적이다. 이 프로세스는 또한 제어기에 의해 지원되는 주유기들의 다른 기능들에 영향을 줄 수 있다.
이하는 발명 요지에 대한 기본적인 이해를 제공하기 위해 본 명세서에 개시되어 있는 발명 요지의 하나 이상의 측면들의 간략화된 요약을 제시한다. 이 요약은 모든 생각되는 측면들의 포괄적인 개요가 아니고, 모든 측면들의 주된 또는 필수적인 요소들을 확인해주기 위한 것도 임의의 또는 모든 측면들의 범위를 정하기 위한 것도 아니다. 이 요약의 유일한 목적은 이하의 보다 상세한 설명에 대한 서문으로서 하나 이상의 측면들의 몇몇 개념들을 간략화된 형태로 제시하는 데 있다.
본 명세서에 기술되어 있는 다양한 측면들은, 재증명을 필요로 함이 없이 구성요소들 중 적어도 일부를 교체하는 것을 가능하게 해주는 하나 이상의 제어기들을 사용하여 구성요소들의 적어도 일부의 보안 동작(secure operation)을 보장해주기 위해, 주유기(또는 기타 자동 판매기)의 구성요소들로의/로부터의 데이터를 필터링하는 것에 관한 것이다. 예를 들어, PIN(personal identification number)을 입력하는 PIN 패드 등의 입력 장치는 주유기에서의 디스플레이와 무관하게 적어도 어떤 기능들을 처리할 수 있다. 특정의 구성들에서, PIN 패드는 디스플레이로부터 물리적으로 분리되어, 디스플레이와 상이한 제어기, 인쇄 회로 기판 등을 사용하여 동작하고 있으면서, 통신 매체 등을 통해 디스플레이에 정보를 제공하거나, 심지어 디스플레이를 제어하고 있을 수 있다. 이와 관련하여, PIN 패드는 수신된 PIN을 획득하고 전달하는 것과 같은 동작들을 주유기의 다른 구성요소들로부터 보호할 수 있고 및/또는 디스플레이를 보호할 수 있다. 이것은 수신된 PIN 또는 기타 기밀 정보를 변조하거나 다른 방식으로 손상시키는 것을 방지할 수 있다. 그에 부가하여, 디스플레이를 제어하기 위해 PIN 패드를 사용하는 것은, 재증명을 필요로 하지 않고 디스플레이를 교체하는 데 적합한, 더욱 모듈형인 디스플레이의 사용을 용이하게 해줄 수 있다.
다른 예에서, 디스플레이에 의해 가상 PIN 패드(virtual PIN pad)가 렌더링될 수 있고, 여기서 디스플레이는 터치스크린 기능을 가지며, 따라서 불법 액세스를 방지하기 위해 PIN 패드가 디스플레이 상에 활성화되어 있는 동안 보안 제어기(secure controller)가 디스플레이를 보호할 수 있다. 예를 들어, 보안 제어기는, 다른 응용 프로그램이 PIN 패드 기능을 위해 디스플레이를 사용하고 있는 동안, 특정의 응용 프로그램들로부터의 데이터를 차단할 수 있다. 그에 부가하여, 예를 들어, 응용 프로그램들의 하나 이상의 고려사항들에 기초하여 이러한 기능을 사용하기 위해 응용 프로그램들을 인증할지를 결정하는 메커니즘들이 제공될 수 있다. 예를 들어, 응용 프로그램이 인증된 소스에 의해 서명되어 있는 경우, 디스플레이(또는 적어도 그의 터치스크린 기능, 터치스크린의 보다 많은 영역들, 기타)에의 액세스가 제공될 수 있는 반면, 인증되지 않은 응용 프로그램들에 대해서는 디스플레이의 액세스가 제한될 수 있다. 가상 PIN 패드를 사용하는 것은 물리 PIN 패드의 필요성을 완화시킬 수 있고, 따라서, 교체 시에 디스플레이에 대해 재증명이 필요하지 않을 수 있다.
이상의 목적들 및 관련 목적들을 달성하기 위해, 하나 이상의 측면들은 이후에 충분히 기술되고 특허청구범위에 특별히 언급되는 특징들을 포함하고 있다. 이하의 설명 및 첨부 도면들은 하나 이상의 측면들의 특정의 예시적인 특징들을 상세히 기술하고 있다. 그렇지만, 이들 특징은 다양한 측면들의 원리들이 이용될 수 있는 다양한 방식들 중 단지 몇개만을 나타낸 것이며, 이 설명은 모든 이러한 측면들 및 그의 등가물들을 포함하는 것으로 보아야 한다.
개시된 측면들은 개시된 측면들을 제한하기 위한 것이 아니라 예시하기 위해 제공되어 있는 첨부 도면들과 관련하여 이후에 기술될 것이며, 도면들에서 유사한 참조 번호들은 유사한 요소들을 나타낸다.
도 1은 본 명세서에 기술되어 있는 측면들에 따른 주유 환경의 부분 개략 사시도.
도 2는 본 명세서에 기술되어 있는 측면들에 따른, 도 1의 주유 환경에서 사용될 수 있는 주유기의 부분 개략 정면 입면도.
도 3a 및 도 3b는 본 명세서에 기술되어 있는 측면들에 따른, 도 2의 주유기에서 사용될 수 있는 사용자 인터페이스의 구성요소들을 개략적으로 나타낸 도면.
도 4는 본 명세서에 기술되어 있는 측면들에 따른, 주유기에 대한 사용자 인터페이스의 PIN(personal identification number) 패드 및 대응하는 제어기의 개략적인 측면 입면도.
도 5는 본 명세서에 기술되어 있는 측면들에 따른, 주유기의 사용자 인터페이스의 개략적인 측면 입면도.
도 6은 본 명세서에 기술되어 있는 측면들에 따른, 주유기의 사용자 인터페이스의 구성요소들을 개략적으로 나타낸 도면.
도 7은 본 명세서에 기술되어 있는 측면들에 따른 주유 시스템의 개략도.
도 8은 본 명세서에 기술되어 있는 측면들에 따른 주유 시스템의 개략도.
도 9는 터치스크린 입력을 가능하게 해주기 위해 주유기에서 이용하는 예시적인 시스템을 나타낸 도면.
도 10은 주유기에 터치스크린 입력을 제공하는 예시적인 시스템을 나타낸 도면.
도 11은 본 명세서에 기술되어 있는 측면들에 따른, 특징 프로세서(feature processor) 및 SoM(system on module) 구성의 개략적인 측면 입면도.
도 12는 보안 입력 기능(secured input function)에 액세스하기 위한 요청을 처리하는 예시적인 방법을 나타낸 도면.
이제부터, 다양한 측면들을 상세히 언급할 것이며, 그 측면들의 하나 이상의 예들이 첨부 도면들에 예시되어 있다. 각각의 예는 측면들에 대한 제한이 아니라 설명으로서 제공되어 있다. 실제로, 기술된 측면들의 범위 또는 사상을 벗어나지 않고, 이들에 여러 수정 및 변형이 행해질 수 있다는 것이 기술 분야의 당업자에게는 명백할 것이다. 예를 들어, 하나의 예의 일부로서 예시 또는 기술되어 있는 특징들이, 다른 추가의 예를 생성하기 위해, 다른 예에 대해 사용될 수 있다. 따라서, 기술된 측면들이 첨부된 청구항들 및 그의 등가물들의 범위 내에 속하는 수정들 및 변형들을 포함하는 것으로 보아야 한다.
보안, 변조 방지 등을 용이하게 해주기 위해 주유기 등의 자동 판매기의 구성요소들 또는 그의 적어도 어떤 기능들을 다른 구성요소들로부터 보호하는 것과 관련된 다양한 측면들이 본 명세서에 기술되어 있다. 어떤 경우들에, 이것은 재증명을 필요로 하는 일 없이 구성요소들의 교체를 용이하게 해줄 수 있다. 예를 들어, 구성요소 또는 다른 구성요소 또는 관련 기능이 활성인 경우에 그 구성요소를 보호하기 위해 보안 제어기가 사용될 수 있다. 한 구체적인 예에서, 주유기는 터치스크린 기능을 갖는 디스플레이를 포함할 수 있고, 디스플레이에 연결되어 동작하는 보안 제어기는, 터치스크린 디스플레이가 디스플레이 또는 PIN(personal identification number) 입력 장치(PIN entry device, PED)를 통해 PIN 입력을 요청하고 있는 경우, 디스플레이의 액세스를 제한하는 등을 위해 디스플레이를 관리할 수 있다. 액세스를 제한하는 것은 디스플레이에 액세스하는 응용 프로그램에 의해서만 사용되도록 디스플레이를 잠금하는 것, 터치스크린 기능을 디스에이블시키는 것, 터치가능 영역들의 수를 제한하는 것 및/또는 기타를 포함할 수 있다. 더욱이, 예를 들어, 디스플레이에 액세스하는 구성요소들은 하나 이상의 프로세서들에 관련되어 있을 수 있고, 여기서 프로세서들 중 적어도 하나는, 디스플레이에 액세스하기 위한 다른 보안 층을 제공하기 위해 응용 프로그램들이 인증된 엔터티에 의해 서명되어 있는지를 판정하는 것에 의해, 프로세서 상에서 실행 중인 응용 프로그램들의 인증을 검증할 수 있다.
다른 예에서, 개별적인 제어기들을 사용하여 구성요소들을 동작시키는 것, 개별적인 인쇄 회로 기판들(PCB)을 사용하여 구성요소들을 동작시키는 것, 기타에 의해 다양한 구성요소들이 분리될 수 있다. 다른 예들에서, 액세스된 구성요소가 보안 구성요소에 침투하는 데 사용될 수 없도록 하기 위해, 보안될 구성요소가 다른 구성요소에 대한 유일한 액세스 권한을 가질 수 있다. 이 예에서, 보안 구성요소는 보안 구성요소에 보안을 제공하기 위한 보안 제어기를 포함할 수 있고, 보안 구성요소에 의해 또는 보안 구성요소를 위해 정의되어 있는 보안 파라미터들 또는 정책들에 따라 다른 구성요소를 동작시키기 위해 보안 제어기를 사용할 수 있다.
하나의 구체적인 예에서, 주유기에서의 PIN 패드는 거래 동안 수신되는 기밀 PIN 정보의 PIN 패드 통신을 보호하는 등을 위해 디스플레이와 분리되어 동작할 수 있다. PIN 패드 내에서의 보안을 달성하도록 PIN 패드 및 디스플레이의 다수의 구성들 및 그들 사이의 통신이 가능하다. 예를 들어, PIN 패드는 입력 인터페이스로서 정보를 획득하는 것(예컨대, 사용자에 의해 눌린 숫자들을 획득하는 것), 보안 정보를 다른 시스템들(예컨대, 거래 처리 시스템)로 전달하는 것, 다른 시스템들로/로부터의 일반 정보를 전달하는 것 등을 비롯한 다양한 동작들을 위한 제어기를 포함할 수 있다. 제어기는, 예를 들어, 특정의 응용 프로그램에서 사용하기 위해 PIN 패드가 활성화될 때 PIN 패드에의 액세스를 차단할 수 있는 보안 제어기일 수 있다. 이 보안 제어기는 PIN 패드로부터도 디스플레이를 동작시킬 수 있고, 이는 PIN 패드가 PIN 패드에 의해 처리되는 기밀 정보를 변조하는 데 디스플레이가 사용되지 않도록 할 수 있게 해줄 수 있다. 이 예에서, 디스플레이는 제어기를 필요로 하지 않으며, PIN 패드는 본 명세서에 기술되어 있는 부가의 특징들을 제공할 수 있는 하나 이상의 케이블들과 같은 통신 매체를 통해 디스플레이와 통신할 수 있다.
다른 예들에서, 디스플레이가 PIN 패드의 제어기와 별개인 제2 제어기를 가질 수 있다(예컨대, 및/또는 디스플레이 및 PIN 패드가 개별적인 PCB와 상관되어 있다)는 것을 잘 알 것이다. 이와 관련하여, PIN 패드에 대한(또는 적어도 그의 민감한 기능들에 대한) 제어기는 제2 제어기를 통해 디스플레이와 통신할 수 있지만, 통신이 제2 제어기로부터 수신될 수 있는지 및/또는 어떤 종류의 통신이 제2 제어기로부터 수신될 수 있는지를 조절할 수 있다. 하나의 예에서, 제어기들은 다른 구성요소가 통신 경로를 손상시키지 않도록 보안 통신 경로들 또는 채널들을 구현할 수 있다. 예를 들어, 제어기는 디지털 인증서 또는 어떤 종류의 유사한 통신 기반 구현 등의 암호화를 사용할 수 있다. 한 부가의 또는 대안의 예에서, 디스플레이, 제2 제어기, 또는 제어기들 사이에 배치되는 통신 매체에 대한 변조를 검출하기 위해, 센서들을 떼어내는 것 등의 하드웨어 검증이 사용될 수 있다.
더욱이, 주유기에서 구현되는 것으로 예시되고 기술되어 있지만, 본 명세서에 기술되어 있는 측면들이 다른 응용 프로그램들을 실행할 수 있는 능력을 유지하면서 기밀 정보를 수반하는 거래 지불 또는 기타 프로세스를 처리하는 거의 모든 자동 판매기에 마찬가지로 적용될 수 있다는 것을 잘 알 것이다.
본 명세서에 기술되어 있는 실시예들의 특정의 측면들은 주유 환경, 주유기, 및 주유기에 대한 사용자 인터페이스에 관한 것이고, 그의 예들이 미국 특허 출원 제12/287,688호(발명의 명칭이 "주유기 또는 기타 소매 장치에서 보안 콘텐츠 및 비보안 콘텐츠를 제어하는 시스템 및 방법(System and Method for Controlling Secure Content and Non-Secure Content at a Fuel Dispenser or Other Retail Device)"이고 2008년 10월 10일자로 출원됨), 제12/544,995호(발명의 명칭이 "전자 지불 시스템에 대한 보안 보고(Secure Reports for Electronic Payment Systems)"이고, 2009년 8월 20일자로 출원됨), 제12/689,983호(발명의 명칭이 "세그먼트화된 아키텍처를 가지는 소매 환경에서 사용하기 위한 지불 처리 시스템(Payment Processing System for Use in a Retail Environment Having Segmented Architecture)"이고 2010년 1월 19일자로 출원됨), 제12/695,692호(발명의 명칭이 "주유 지불 시스템에 대한 가상 PIN 패드(Virtual PIN pad for Fuel Payment Systems)"이고 2010년 1월 28일자로 출원됨), 제12/797,094호(발명의 명칭이 "주유기 사용자 인터페이스(Fuel Dispenser User Interface)"이고 2010년 6월 9일자로 출원됨), 제12/975,502호(발명의 명칭이 "카드 소지자 데이터의 보안 평가를 위한 주유 지불 시스템(Fuel Dispensing Payment System for Secure Evaluation of Cardholder Data)"이고 2010년 12월 22일자로 출원됨), 제13/041,753호(발명의 명칭이 "주유기 지불 시스템 및 방법(Fuel Dispenser Payment System and Method)"이고 2011년 3월 7일자로 출원됨), 제13/105,557호(발명의 명칭이 "주유기 입력 장치 변조 검출 구성(Fuel Dispenser Input Device Tamper Detection Arrangement)"이고 2011년 5월 11일자로 출원됨), 제13/117,793호(발명의 명칭이 "소매 거래 동안의 입력 데이터의 선택적 암호화 시스템 및 방법(System and Method for Selective Encryption of Input Data During a Retail Transaction)"이고 2011년 5월 27일자로 출원됨), 제13/197,440호(발명의 명칭이 "주유기 응용 프로그램 프레임워크(Fuel Dispenser Application Framework)"이고 2011년 8월 3일자로 출원됨), 제13/220,183호(발명의 명칭이 "데이터 무결성 동작을 사용한 원격 디스플레이 변조 검출(Remote Display Tamper Detection Using Data Integrity Operations)"이고 2011년 8월 29일자로 출원됨), 및 제13/467,592호(발명의 명칭이 "주유기 입력 장치 변조 검출 구성(Fuel Dispenser Input Device Tamper Detection Arrangement)"이고 2012년 5월 9일자로 출원됨), 미국 특허 제7,607,576호(발명의 명칭이 "소매 환경에 대한 로컬 구역 보안 아키텍처(Local Zone Security Architecture for Retail Environments)"이고 2009년 10월 27일자로 특허 등록됨), 및 유럽 특허 출원 제1,408,459호(발명의 명칭이 "EMV 규격에 따른 옥외 지불 단말의 보안 제어기(Secure Controller of Outdoor Payment Terminals in Compliance with EMV Specifications)"이고 2004년 4월 14일자로 공개됨)에 있을 수 있다. 이상의 출원들 및 특허 각각은 그 전체가 그대로 본 명세서에 기재되어 있는 것처럼 참조 문헌으로서 본 명세서에 포함되고, 모든 점에서 근거가 된다.
도 1은 연료를 제공하고 주유된 연료에 대한 지불을 받도록 구성되어 있는 주유 환경(100)의 부분 개략 사시도이다. 주유 환경(100)은 적어도 하나의 주유기(200a) 및 중앙 설비(102)를 포함하고 있다. 통상적으로, 주유기(200b) 등의 하나 이상의 부가의 주유기가 또한 주유 환경(100) 내에 포함될 수 있다. 주유 환경(100)은 또한 주유기(200a 및 200b)를 보호하는, 중앙 설비(102)에 연결되어 있는 캐노피 시스템(canopy system)(104)을 포함할 수 있다.
중앙 설비(102)는 POS(point-of-sale device)(106) 및 사이트 제어기(site controller)(108)를 포함하고, 현금 출납기 및/또는 관리자 워크스테이션 등의 부가의 컴퓨팅 장치를 포함할 수 있다. 예시되어 있는 예에서, POS(106)는 연관된 카드 판독기 및 지불 단말(110)을 포함하고 있다. POS(106) 및 사이트 제어기(108) 각각은 또한 디스플레이, 터치스크린, 및/또는 기타 장치들(프린터 등)을 포함할 수 있다. 중앙 설비(102) 내의 POS(106), 사이트 제어기(108), 및 임의의 부가의 컴퓨팅 장치들의 기능이 단일의 컴퓨터 또는 서버 내에 포함될 수 있다는 것을 잘 알 것이다. 다른 대안으로서, 이들 컴퓨팅 장치가 LAN(local area network)을 통해 상호 연결되어 동작할 수 있다. 본 명세서에 기술되어 있는 발명 요지와 관련하여 사용될 수 있는 적당한 시스템의 한 예는 다수의 지불 단말(110)이 연결되어 동작할 수 있는 POS(106) 및 사이트 제어기(108)의 기능들을 겸비하고, 미국 노스캐롤라이나주 그린즈버러 소재의 Gilbarco Inc.에 의해 제공되는 PASSPORT 시스템이다.
주유 환경(100)이 주유를 용이하게 해주기 위해 다수의 다른 구성요소들을 포함할 수 있다는 것을 잘 알 것이다. 도 1에 제공되어 있는 예에서, 예를 들어, 주유 환경(100)은 구매될 수 있는 연료를 저장하도록 구성되어 있는 2개의 지하 저장 탱크(underground storage tank, UST)(112 및 114)를 포함하고 있다. 예를 들어, UST(112 및 114)는 각각의 등급의 연료로 채워져 있을 수 있다. UST(112 및 114)는 주유기(200a 및 200b)가 연결되어 있는 지하 배관망(116)과 유체 연통되어 있다. 그 결과, UST(112 및 114) 내에 저장되어 있는 연료가 판매를 위해 주유기로 전달될 수 있다. 더욱이, 하나의 예에서, 주유기(200a 및 200b)는 UST(112 및 114)에 관한 정보(예컨대, 탱크 레벨, 탱크 주변의 온도 등의 환경 표시자 등)를 획득할 수 있고, 탱크 모니터링 및/또는 안전 문제의 통지를 가능하게 해주기 위해, 그 정보를 POS(106), 사이트 제어기(108), 또는 기타 장치로 전달할 수 있다.
도 2는 도 1의 주유 환경에서 주유기(200a 및 200b)로서 사용될 수 있는 주유기(200)의 부분 개략 정면 입면도이다. 주유기(200)는 제1 제어기(204), 제2 제어기(206), 디스플레이(208), 카드 판독기(210), 및 숫자 패드(212)를 포함하는 사용자 인터페이스(202)를 포함하고 있다. 제어기(204)는 제어기(206)에 그리고 디스플레이(208)에 연결되어 동작하는 반면, 제어기(206)는 제어기(204)에 그리고 카드 판독기(210) 및 숫자 패드(212)에 연결되어 동작한다. 사용자 인터페이스(202)가 현금 수납기 및/또는 영수증 프린터 등과 같은 다른 구성요소들을 포함할 수 있다는 것을 잘 알 것이다. 제어기들(204 및 206) 각각은 이더넷 어댑터를 포함하고, 전송 제어 프로토콜 및 인터넷 프로토콜[예컨대, TCP(transmission control protocol)/IP(internet protocol), UDP(user datagram protocol) 등]을 통해 상대방 제어기와 통신하며, 이에 대해서는 이하에서 설명한다. 다른 대안으로서, 제어기들(204 및 206)은 USB(universal serial bus) 연결을 통해 연결될 수 있고, USB 연결 또는 다른 유선 또는 무선[예컨대, 블루투스, WLAN(wireless local area network) 등] 연결을 통해 통신하도록 구성되어 있을 수 있다. 하나의 예에서, 제어기들(204 및 206) 중 하나 이상이, 본 명세서에 더 기술되는 바와 같이, 디스플레이(208), PIN 패드(212) 등과 같은 주유기(200)의 장치들 내에 포함될 수 있고, 어떤 예들에서, 제어기들(204 및 206) 중 하나 이상이 존재하지 않을 수 있거나, 다른 제어기로 교체될 수 있고, 이 경우 교체된 제어기가 필요하지 않도록 남아 있는 제어기가 기능을 구현한다.
이하의 설명의 목적상, 카드 판독기(210)가 민감한 또는 기밀의 계정 또는 지불 정보(본 명세서에서 일반적으로 민감한 정보 또는 기밀 정보라고 함)를 포함하는 사용자에 의해 제공되는 지불 카드로부터 데이터를 수신하도록 구성되어 있는 임의의 장치 또는 장치들의 조합일 수 있다는 것을 잘 알 것이다. 카드 판독기(210)는, 예를 들어, 자기 띠 카드 판독기, 스마트 카드 판독기, 비접촉식 카드 판독기, RF(radio frequency) 판독기, 또는 이들의 임의의 조합일 수 있다. 이와 같이, "지불 카드"라는 용어는, 본 명세서에서 사용되는 바와 같이, 자기 띠 카드, 스마트 카드, 비접촉식 카드, 및 RF 장치는 물론, 계정 정보를 저장 및 제공하도록 구성되어 있는 기타 형태의 카드 및 장치를 포함하기 위한 것이다. 이러한 지불 카드로부터 수신되는 정보는 설명의 목적상 본 명세서에서 "지불 데이터"라고 하는 반면, 지불 카드와 연관되어 있는 계정을 식별해주는 데 충분한 지불 데이터의 일부분은 "민감한 지불 데이터"라고 한다. 이와 같이, "지불 데이터"가, 본 명세서에서 사용되는 바와 같이, 민감한 지불 정보 및 비민감 지불 정보 둘 다를 포함할 수 있다는 것을 잘 알 것이다. 더욱이, "민감한 지불 데이터"가 지불 카드와 연관되어 있는 PIN 등의 다른 기밀 정보를 포함할 수 있고, 또한 일반적으로 "민감한 데이터", "기밀 정보", 또는 유사한 용어로서 지칭되는 것을 잘 알 것이다.
여기 기술된 예에서, 카드 판독기(210)는 주유 환경(100)이 받아들이는 신용 카드 및 직불 카드, 선불 카드 및 기프트 카드, 플리트 카드(fleet card), 임의의 국내/개인 카드 등을 비롯한 다양한 유형의 지불 카드로부터 지불 데이터를 받도록 구성되어 있다. 카드 판독기(210)가 또한 충성도 카드, 단골 고객 카드, 적립 카드, 포인트 카드, 우대 카드 및 클럽 카드 등의 비지불 및 기타 카드로부터 계정 정보를 수신하도록 구성되어 있을 수 있다는 것을 잘 알 것이다. 숫자 패드(212)는 또한 지불 카드와 연관되어 있는 PIN 등의 지불 데이터를 수신하도록 구성되어 있다. 적어도 이 때문에, 숫자 패드(212)는 이하의 설명에서 PIN 패드(PED라고도 함)라고 할 수 있다.
더욱이, 주유기(200)가 또한 차량으로의 연료 전달을 용이하게 해주도록 구성되어 있는 다양한 주유 구성요소들을 포함한다는 것을 잘 알 것이다. 예를 들어, 주유기(200)는, 그에 부가하여, 배관망(214), 계량기(216), 펄서(pulser)(218), 밸브(220), 호스(222), 및 노즐(224)을 포함하고 있고, 이들은 다수의 연료 등급의 전달을 가능하게 해주기 위해 중복해 있을 수 있다. 제어기(204)는, 펄서(218) 및 밸브(220) 등의 이들 구성요소의 동작을 제어하기 위해 및/또는 주유기(200)에 의한 연료의 전달을 관리하기 위해, 펄서(218) 및 밸브(220) 등의 이들 구성요소 중 하나 이상에 연결되어 동작한다. 배관망(214)은, 도 1에 기술되어 있는 바와 같이, UST로부터 연료를 받기 위해 지하 배관망(116)과 유체 연통되어 있다. 배관망(214), 호스(222) 및 노즐(224)이 또한 차량에 연료를 공급하기 위해 유체 연통되어 있다. 본 명세서에 기술되어 있는 다른 예들에서, 주유기(200)는 제어기들(204 및 206) 중 하나를 포함할 수 있고, 이 경우에 제어기(206)는 그 대신에(또는 그에 부가하여) 주유 구성요소들을 동작시킬 수 있다.
사용자 인터페이스(202)는 주유 및 주유된 연료에 대한 지불의 수납을 용이하게 해주도록 구성되어 있다. 예를 들어, 디스플레이(208)는 주유 프로세스에 관한 사용 설명서를 사용자에게 제공하도록 그리고 거래 동안 및 거래의 완료 시에 총액을 디스플레이하도록 구성되어 있다. 디스플레이(208)는 LCD(liquid crystal display), LED(light emitting diode) 디스플레이, 플라즈마 디스플레이 등일 수 있다. 그에 부가하여, 디스플레이(208)는 터치스크린 또는 비터치스크린 디스플레이일 수 있다. 카드 판독기(210) 및 PIN 패드(212)는 (예컨대, 사용자에 의해 제공되는) 지불 데이터를 받도록 구성되어 있다. 즉, 카드 판독기(210)는 신용 카드 또는 직불 카드 등의 지불 카드로부터 계정 정보를 수신하도록 구성되어 있을 수 있다. PIN 패드(212)는 적어도 직불 카드의 PIN, 신용 카드의 청구서 우편 번호 등의 지불 카드와 연관되어 있는 정보를 수신하도록 구성되어 있다. 한 예에서, PIN 패드(212)는 하드 키를 갖는 숫자 패드 등의 물리 PED일 수 있거나, 디스플레이(208) 상의 가상 PED일 수 있고, 이에 대해서는 본 명세서에 더 기술되어 있다. 앞서 살펴본 바와 같이, 역시 주유된 연료에 대한 금융 거래를 용이하게 해주도록 구성되어 있을 수 있는 다른 장치들이 사용자 인터페이스(202) 내에 포함될 수 있다. 예를 들어, 현금 수납기는 현금 지불을 수반하는 거래를 처리하도록 구성되어 있을 수 있는 반면, 영수증 프린터는 원하는 경우 주유 프로세스의 완료 시에 영수증을 인쇄하도록 구성되어 있다.
사용자 인터페이스(202)는 또한 주유 거래와 관련이 없는 정보를 사용자와 교환하도록 구성되어 있을 수 있다. 예를 들어, 디스플레이(208)는 연관된 편의점에서 판매될 수 있는 물품들에 관한 것과 같은 광고 또는 기타 정보를 사용자에게 제공하도록 구성되어 있을 수 있다. PIN 패드(212)(또는 이하에서 언급되는 것과 같은 소프트 키 세트)는 사용자가 근방의 편의 시설에 관심이 있는지 등의 디스플레이된 정보에 관한 선택을 사용자로부터 수신하도록 구성되어 있을 수 있다. 이와 관련하여, 예를 들어, PIN 패드(212)는 지불 정보만큼 민감하지 않은 데이터도 전달하기 위해 카드 판독기(210) 및/또는 디스플레이(208)와 관련하여 사용될 수 있다.
게다가, 주유 환경(100)(도 1)은 주유기(200)가 인터넷 등의 WAN(wide area network)(228)에 연결되어 동작할 수 있도록 구성되어 있을 수 있다. 주유기(200)가 WAN(228)에 직접 또는 하나 이상의 장치들(226) 등의 하나 이상의 부가의 구성요소들을 통해 간접적으로 연결될 수 있다는 것을 잘 알 것이다. 부가의 구성요소들이 앞서 언급한 LAN에 참여하고 있는 라우터, 스위치, 게이트웨이 및 기타 장치들을 포함할 수 있다는 것을 잘 알 것이다. 하나의 예에서, 장치들(226)은 주유기가 직접 연결되어 있는 POS(106), 사이트 제어기(108), 기타 중 하나 이상을 포함할 수 있다. 다른 대안으로서, 주유기(200)는 LAN을 통해 간접적으로 POS(106) 및/또는 사이트 제어기(108)에 연결되어 동작한다. 주유 환경의 컴퓨팅 장치들의 적당한 구성의 한 예는 앞서 참조된 출원 제12/689,983호에 기재되어 있다. 또한, 서버(230) 등의 다른 외부 자원들이 WAN(228)에 연결되어 동작할 수 있고 WAN을 통해 주유기(200) 및/또는 주유 환경(100)(도 1)에 의해 액세스가능할 수 있다는 것을 잘 알 것이다.
도 3a는 제어기들(204 및 206), 디스플레이(208), 카드 판독기(210), 및 PIN 패드(212)를 포함하는 사용자 인터페이스(202) 등의 한 예시적인 사용자 인터페이스를 개략적으로 나타낸 것이다. 이 예에서, 사용자 인터페이스(202)는 또한 제어기(206)에 연결되어 동작하는 비접촉식 카드 판독기(300) 및 부가의 구성요소들(308)은 물론, 제어기(204)에 연결되어 동작하는 프린터(304) 및 소프트 키(306) 등도 포함하고 있다. 사용자 인터페이스(202)는 제어기(204)에 연결되어 동작하는 부가의 구성요소들(310) 및 보조 비디오 입력(311)을 포함할 수 있다. 포함되어 있는 경우, 보조 비디오 입력(311)은 대안의 소스로부터 사용자에게 제시될 오디오 및/또는 비디오를 제어기(204)에 공급하도록 구성되어 있을 수 있고, 이에 대해서는 이하에서 더 상세히 설명된다.
이 예에서, 제어기(204)는 앞서 기술한 것과 같은 장치들(226)을 포함할 수 있는 LAN을 통해 POS(106)에 연결되어 동작한다. 더욱이, 이 예에서, 제어기(204)는 또한 POS(106)를 통해 간접적으로 WAN(228)에 연결되어 동작하지만, 다른 대안으로서, 앞서 설명된 바와 같이, 직접 연결될 수 있다. 도시된 예에서, 이하의 설명의 목적상, 호스트(230)는 금융 기관과 연관되어 있는 호스트 처리 시스템의 서버이다. 제어기들(204 및 206)의 분리는, 예를 들어, 개별적인 제어기들에 연결되어 있는 구성요소들의 액세스 제어를 가능하게 해준다. 이와 같이, 예를 들어, 제어기들(204 및 206)을 통과하지 않고 디스플레이(208)와 PIN 패드(212) 사이의 직접 링크가 없고, 따라서 제어기들(204 및 206)을 통해 디스플레이(208)와 PIN 패드(212) 사이의 통신을 위해 설정된 정책에 따라, 디스플레이(208)를 통한 PIN 패드(212)에 대한 변조가 어렵거나 불가능하다. 어떤 예들에서, 본 명세서에서 더 기술된 바와 같이, 제어기(204)가 필요하지 않을 수 있고, 디스플레이(208)가 다양한 구성요소들에의 액세스를 관리하는 제어기(206)에 직접 연결될 수 있다. 한 예에서, 제어기(206)는 PIN 패드(212)의 일부일 수 있다.
도 3b는 도 3a와 유사한 사용자 인터페이스(202)를 개략적으로 나타낸 것이지만, 그에 부가하여 제어기들(204 및 206)의 특정의 내부 구성요소들을 예시하고 있다. 제어기(204)는 보안 메모리(314)에 연결되어 동작하는 프로세서(312)를 포함하고 있으며, 보안 메모리(314)의 일부분(316)은 암호화 정보를 포함할 수 있다. 프로세서(312)는 USB 드라이버(318)를 통해 프린터(304)에, 소프트 키 드라이버(320)를 통해 소프트 키(306)에, 그리고 디스플레이 제어기(322)를 통해 디스플레이(208)에 연결되어 동작한다. 제어기(204)는 또한 프로세서(312)에 연결되어 동작하고 제어기(206)와 및/또는 주유기(200)(도 2)의 외부에 있는 장치들과 통신하도록 구성되어 있는 이더넷 어댑터(324)를 포함하고 있으며, 이에 대해서는 이하에서 더 상세히 설명한다. 프로세서(312)는 직접 또는 하나 이상의 드라이버들 또는 통신 포트들을 통해 간접적으로 임의의 부가의 구성요소들(310)에 연결되어 동작할 수 있다. 도시된 예에서, 부가의 구성요소들(310)은 현금 또는 청구서 수납기, 스피커, 디스플레이(208) 이외의 보조 디스플레이, 기타 입출력 장치들 등과 같은, 지불 데이터를 수신하도록 구성되어 있지 않은 임의의 구성요소를 포함하고 있다.
제어기(206)는 보안 메모리(328)에 연결되어 동작하는 프로세서(326)를 포함하고 있다. 이 예에서, 보안 메모리(328)는 보안 상태를 저장하도록 구성되어 있는 부분(330)은 물론, 암호화 정보를 저장하도록 구성되어 있는 부분(332)을 포함하고 있다. 프로세서(326)는 PIN 패드 드라이버(334)를 통해 PIN 패드(212)와, 카드 판독기 드라이버(336)를 통해 카드 판독기(210)와, 그리고 비접촉식 카드 판독기 드라이버(338)를 통해 비접촉식 카드 판독기(300)와 통신하도록 구성되어 있다. 프로세서(326)는 비퍼(beeper)(302)에는 물론 임의의 부가의 구성요소들(308)에 연결되어 동작할 수 있고, 그에의 연결은 직접 또는 하나 이상의 드라이버들 또는 통신 포트들을 통해 간접적으로 달성될 수 있다. 구성요소와 제어기 사이의 통신을 처리하도록 구성되어 있는 드라이버들 및 포트들이 기술 분야에 잘 알려져 있으며, 따라서 추가로 상세히 기술되지 않는다. 이 예에서, 부가의 구성요소들(308)은 지불 데이터 또는 기타 기밀 정보를 수신할 수 있는 임의의 구성요소(스마트 카드 판독기 등)를 포함하고 있다.
제어기(206)는 또한 프로세서(326)에 연결되어 동작하고 이더넷 어댑터(324)와 통신하도록 구성되어 있는 이더넷 어댑터(340)를 포함하고 있으며, 이에 대해서는 이하에서 더 상세히 설명한다. 이 예에서, 이더넷 어댑터(324)는 또한 제어기(204)와 장치들(226) 사이의 연결을 수행할 수 있다. 이 예에서, 제어기들(204 및 206) 각각은, 각자의 제어기의 프로세서에 각각 연결되어 동작하는, 한 세트의 보안 센서들(342 및 344)을 포함하고 있다. 보안 센서들(342 및 344)의 기능 및 동작이 이하에서 더 상세히 설명된다.
프로세서들(312 및 326) 각각은 프로세서, 마이크로프로세서, 제어기, 마이크로컨트롤러, 기타 적절한 회로, 또는 이들의 임의의 조합일 수 있다. 메모리들(314 및 328) 각각은 각자의 프로세서에 의해 액세스가능한 임의의 적당한 유형의 메모리 또는 컴퓨터 판독가능 매체일 수 있다. 적당한 유형의 메모리의 예는 컴퓨터-실행가능 프로그램, 명령어 또는 데이터의 형태의 컴퓨터 프로그램 코드를 담고 있거나 저장하는 데 사용될 수 있는 임의의 유형의 RAM(random access memory), 임의의 유형의 ROM(read-only memory), 또는 임의의 다른 유형의 플래시 메모리를 포함한다. 프로세서들(312 및 326) 각각은 또한 각자의 프로세서에 의해서만 액세스가능한 메모리의 부분(흔히 "캐시"라고 함)을 포함할 수 있다. 이와 같이, 각각의 메모리는 각자의 프로세서의 일부일 수 있거나, 별도의 것일 수 있거나, 관련 프로세서들과 하나 이상의 별도의 메모리 장치들 간에 분할되어 있을 수 있다.
메모리들(314 및 328) 각각은, 각자의 프로세서에 의해 실행될 때, 이하에서 더 상세히 기술되는 프로세스들 및 기능들 중 적어도 일부분을 수행하는 컴퓨터-실행가능 프로그램 코드 또는 명령어들을 포함하고 있다. 메모리는 또한 데이터베이스 또는 테이블 등의 정보를 저장하기 위한 하나 이상의 데이터 구조들을 포함할 수 있다. 이러한 컴퓨터-실행가능 프로그램 코드 또는 명령어가, 이 시나리오에서, 하나 이상의 응용 프로그램들, 기타 프로그램 모듈들, 프로그램 데이터, 펌웨어, 드라이버들, 및/또는 운영 체제를 포함할 수 있다는 것을 잘 알 것이다. 한 예에서, 각자의 메모리들(314 및 328)의 부분들(316 및 332)은 정보를 암호화 및 복호화하는 데 사용되는 하나 이상의 암호화 알고리즘들, 키들, 및/또는 코드들을 포함하고 있으며, 이에 대해서는 이하에서 더 상세히 기술한다. 메모리들에 저장되어 있는 암호화 키들의 하나의 용도는, 예를 들어, 제어기들(204 및 206)이 서로 안전하게 통신할 수 있게 해주는 것이다.
하나의 예에서, 제어기들이 제조될 때 보안을 보장하기 위해, 제어기들이 안전하게 통신할 수 있게 해주는 암호화 정보가 제어기들에 제공되고 메모리들(314 및 328)의 부분들(316 및 332)에 저장될 수 있다. 다른 예들에서, 제어기들(204 및 206)은 암호화 정보를 협상할 수 있다. 어쨌든, 제어기들(204 및 206)은, 제어기(206)가 제어기(204)를 인증하고 이하에 기술되는 2개의 제어기들 사이의 통신을 허가하기 위해, 메모리들(314 및 328)의 각자의 부분들(316 및 332)에 저장되어 있는 디지털 인증서 및/또는 암호화 정보를 교환한다. 하나의 예에서, 이것은 "클린 룸(clean room)"의 사용을 통해 달성될 수 있고, 여기서 제어기들이 보안 환경에서[예컨대, 제조가 완료되고 주유기(200)에의 설치 이전에] 서로에 대해 상호 인증된다. 제어기(206)가 호스트와 연관되어 있는 민감한 지불 데이터를 암호화하고 안전하게 호스트와 통신할 수 있게 해주는 호스트(230)에 의해 제공되는 암호화 정보는, 이하에서 더 상세히 설명하는 바와 같이, 또한 이 시점에서 메모리(328)의 부분(332)에 저장될 수 있다. 기타 지불 카드들과 연관되어 있는 호스트들이 또한, 메모리(328)의 부분(332)에 동시에 저장되도록, 각자의 호스트에 관련된 암호화 정보를 제어기(206)에 제공할 수 있다는 것을 잘 알 것이다. 본 기술 분야에서 잘 알려져 있는 바와 같이, 각각의 암호화 방식은 제어기(206)가 그 방식과 연관되어 있는 호스트로 전송될 민감한 지불 데이터를 암호화할 수 있게 해주며, 여기서 관련 호스트만이 그 방식에 기초한 처리를 위해 민감한 지불 데이터를 복호화할 수 있다.
앞서 살펴본 바와 같이, 제어기들(204 및 206) 각각은 각자의 보안 센서들(342 및 344)을 포함하고 있다. 이들 보안 센서는 대응하는 프로세서 및 각자의 제어기의 보안 메모리에 들어 있는 정보를 소거하거나 트리거될 때 제어기들 중 하나 또는 둘 다를 다른 방식으로 디커미셔닝(decommission)하는 동작을 한다. 예를 들어, 보안 센서들은 관련 마이크로스위치가 트리거되었을 때 각자의 프로세서로 하여금 프로세서와 연관되어 있는 메모리의 내용을 소거하게 하는, 도 4 및 도 5와 관련하여 이하에서 더 상세히 설명되는, 물리 마이크로스위치(physical microswitch)일 수 있다. 한 예에서, 프로세서들(312 및 326) 각각은 미국 텍사스주 오스틴 소재의 Maxim Integrated Products에 의해 제공되는 USIP(Universal Secure Integrated Platform) 칩 등의 보안 마이크로컨트롤러(예커대, 32 비트 마이크로컨트롤러)이다. 대응하는 제어기, 프로세서 및/또는 보안 메모리에 들어 있는 임의의 정보를 소거하도록 구성되어 있는 변조 방지 보안 센서들에 관한 부가 정보는 앞서 참조된 출원 제12/975,502호에서 찾아볼 수 있다.
도 4는 한 예에 따른, PIN 패드(212) 및 제어기(206)의 개략 측면 입면도이다. 본 기술 분야에서 잘 알려져 있는 바와 같이, PIN 패드(212)는 PCB(402)에 고정되어 있는 복수의 키(400)를 포함하고 있다. PCB(402)는 메쉬 층(404) 등의 하나 이상의 변조 검출 메커니즘들을 갖추고 있을 수 있다. 제어기(206)는 또한 메쉬 층(404)과 유사한, 변조를 검출하도록 구성되어 있는 메쉬 층(408)을 포함하는 PCB(406)를 포함하고 있다. 메쉬 층들(404 및 408)로서 사용하기에 적당한 메쉬 층의 한 예는 앞서 참조된 출원 제13/105,557호에서 찾아볼 수 있다.
예를 들어, 보안 센서들(344)(도 3)은, 프로세서(326)와 연결되어 동작하고 PCB(402)와 접촉하게 되도록 위치되어 있는, 앞서 기술한 바와 같은, 한 쌍의 물리 마이크로스위치(410)를 포함할 수 있다. 다른 예에서, 마이크로스위치들(410)은 PCB(406)보다는 프로세서(326)에 직접 부착되어 있다. PCB(402)와 PCB(406)의 분리는 마이크로스위치들(410) 중 하나 이상을 활성화시키고, 이는 신호를 프로세서(326)로 전송한다. 하나의 예에서, 그 신호는 제어기(206)를 디커미셔닝하거나 다른 방식으로 제어기를 동작하지 않게 만들 수 있다. 다른 예에서, 그 신호는, 하나 이상의 마이크로스위치들이 트리거될 때, 프로세서(326)로 하여금 제어기에 의해 저장된 임의의 지불 데이터를 확인하는 데 필요한 제어기(206) 내의 임의의 데이터[메모리(328)의 부분(332) 내에 저장된 암호화 정보 등] 또는 지불 데이터 자체를 소거하게 한다. 이 예에서, PCB(402 및 406)가 분리되는 경우 또는 마이크로스위치들(410)이 다른 방식으로 트리거되는 경우, 제어기(206) 내의 지불 데이터가 확인될 수 없다.
제어기(206)는 화살표(412)로 나타낸 바와 같이 이더넷 어댑터(340)를 통해 제어기(204)와 통신한다. 화살표(414)는 제어기(206)가 카드 판독기(210), 비접촉식 카드 판독기(300) 및 부가의 구성요소들(308)과 통신하는 통신 경로(들)를 나타낸다.
제어기(206)는 또한 제어기(204)에 물리적으로 연결될 수 있고, 이는 앞서 참조된 출원 제12/797,094호에 기술되어 있는 것과 유사한 방식으로 달성될 수 있다. 예를 들어, 도 5를 참조하면, 제어기(206)는 제어기(204)에 인접하여 위치해 있고, 이들 둘 다는 하우징 또는 프레임(500)에 고정되어 있다. 이 예에서, 디스플레이 제어기(322)는 제어기(204) 및 디스플레이(208)에 연결되어 있는 외부 그래픽 보드이고, 이에 대해서는 출원 제12/797,094호에 더 상세히 설명되어 있다. 화살표(510)는 제어기(204)가 프린터(304), 소프트 키(306) 및 부가의 구성요소들(310)과 통신하는 통신 경로들을 나타낸다. 한 예에서, 사용자 인터페이스(202)는 마이크로스위치들(502, 504, 506, 및 508)을 포함하고 있다. 제어기(204)와 하우징(500)이 분리되면 마이크로스위치(502)가 활성화되는 반면, 제어기(204)와 디스플레이 제어기(322)가 분리되면 마이크로스위치(508)가 활성화된다. 이와 유사하게, 키(400)가 제어기들(204 및 206) 중 어느 하나로부터 분리되면 마이크로스위치(504)가 활성화되는 반면, 제어기(204)가 제어기(206)로부터 분리되면 마이크로스위치(506)가 활성화된다.
제어기들 중 어느 하나 또는 둘 다가 마이크로스위치가 활성화되었을 때를 판정할 수 있게 해주기 위해, 이들 마이크로스위치가 제어기들(204 및 206)의 보안 센서 세트들(342 및 344) 중 어느 하나 또는 둘 다에 각각 연결되어 동작할 수 있다는 것을 잘 알 것이다. 하나의 예에서, 예를 들어, 보안 센서 세트들(342 및 344)은 각자의 보안 프로세서(326 또는 312) 내의 특수 입력들로 라우팅된다. 보안 프로세서들은 보안 센서가 활성화되었을 때를 판정하는 논리를 포함하고, 각자의 프로세서가 그의 주 전원으로부터 분리되는 경우 계속 동작하기 위해 배터리 백업에 연결되어 있다. 제어기가 마이크로스위치들 중 하나가 트리거되었다는 표시를 수신할 때, 앞서 기술한 바와 같이, 제어기는 디커미셔닝될 수 있고 동작되지 않게 될 수 있다. 제어기들 중 어느 하나 또는 둘 다가 허가된 기술자에 의해 해결될 때까지 비동작 상태에 있을 수 있다. 그 결과, 기술자에 의해 검사될 때까지, 전체 사용자 인터페이스(202)가 디커미셔닝되고 동작되지 않을 수 있다. 다른 예에서, 제어기가 마이크로스위치들 중 하나가 트리거되었다는 표시를 수신할 때, 제어기의 프로세서는, 메모리에 저장되어 있는 임의의 데이터에의 불법 액세스를 방지하기 위해, 복호화 키 또는 기타 액세스 기준을 포함하고 있는 제어기의 보안 메모리 전체 또는 그의 일부분을 소거할 수 있다.
도 5가 마이크로스위치들(502, 504, 506, 및 508)의 사용을 나타내고 있지만, 기술된 바와 같은 발명 요지의 범위를 벗어나지 않고, 부가의 또는 대안의 마이크로스위치들은 물론, 마이크로스위치들의 기타 구성들 및 배열들이 변조를 검출하기 위해 사용자 인터페이스(202)에 의해 이용될 수 있다는 것을 잘 알 것이다.
이하의 설명은 도 1 내지 도 5를 참조하여 주유기(200) 및 사용자 인터페이스(202)의 특정의 예를 제공한다. 주유기(200)[예컨대, 주유기(200a 또는 200b)]의 프로세서(326)는 디스플레이(208)를 통해 사용자에게 제시하기 위해 보안 메모리(328)로부터 디스플레이 데이터를 검색하고, 데이터를, 데이터를 디스플레이하는 명령어와 함께, 제어기(204)로 전송한다. 이 예에서, 디스플레이 데이터는 주유 프로세스를 개시하는 것에 관계된 명령어들[예컨대, 직불 카드 또는 신용 카드를 긁으라고 또는 중앙 설비(102) 내로부터 사전 지불을 하라고 지시하는 텍스트]을 포함할 수 있다. 제어기(206)가 지불 데이터를 수신할 수 있을 때, 제어기(206)는 주유 프로세스의 개시에 기초하여 보안 상태에서 사용자 인터페이스(202)를 동작시킬 수 있다. 제어기(206)는, 주유 프로세스의 현재의 스테이지에 따라, 또는, 예를 들어, [예컨대, 디스플레이(208)를 통해 제시되는 사용 설명서에 응답하여] 자기 띠 카드를 카드 판독기(210)에 제공하는 것, 스캔된 카드와 연관되어 있는 PIN 또는 청구서 우편 번호의 입력을 위해 PIN 패드(212)를 활성화시키는 것 등과 같은 사용자에 의해 트리거된 동작 또는 이벤트 시에, 언제 사용자 인터페이스(202)를 보안 상태에 두어야 하는지를 결정할 수 있다. 프로세서(326)는 사용자 인터페이스(202)가 보안 상태에 놓여 있다는 것을 나타내는 데이터를 보안 메모리(328)의 부분(330)에 저장한다.
지불 데이터를 비롯한, 제어기(206)에 연결되어 동작하는 구성요소들에 의해 수신되는 정보는 각자의 구성요소에 의해 프로세서(326)로 전송된다. 사용자 인터페이스(202)가 지불 데이터가 수신될 때 보안 상태(330)에 의해 표시된 것과 같은 보안 상태에 있지 않은 경우, 프로세서(326)는 보안 상태(330)를 식별하는 것에 부분적으로 기초하여 (예컨대, 앞서 기술한 바와 같이) 사용자 인터페이스를 보안 상태에 둘 수 있다. 프로세서(326)는 보안 메모리(328)에 저장되어 있는 컴퓨터 명령어들에 의해 정의된 바와 같이 지불 데이터를 처리한다. 예를 들어, 프로세서(326)는 보안 메모리(328)의 부분(332)에 저장되어 있는 호스트(230)에 의해 제공되는 암호화 정보를 사용하여 민감한 지불 데이터를 암호화할 수 있다. 한 예에서, 프로세서(326)는 또한 제어기들(204 및 206)에 공통인 메모리 부분(332)에 저장되어 있는 암호화 정보를 사용하여 (지불 카드의 계정을 식별해줄 수 없는) 비민감 지불 데이터를 암호화할 수 있다. 프로세서(326)는 암호화된 데이터를 TCP/IP를 사용하여 이더넷 어댑터(340)를 통해 제어기(204)로 전송한다.
제어기(204)는 암호화 정보를 이더넷 어댑터(324)를 통해 수신하고, 예를 들어, 정보를 그 전체로서 POS(106), 사이트 제어기(108), 주유 환경(100) 내의 다른 장치, 및/또는 호스트(230)로 전달하는 것을 포함할 수 있는 정보의 전송을 처리한다. 다른 예에서, 제어기(206)는 정보의 상이한 부분들을 이들 장치 중 일부 또는 전부로 전송할 수 있고, 따라서 각자의 장치는 그가 수신하는 정보의 부분들을 처리할 수 있다. 이것은 제어기(206)로부터 제어기(204)에 의해 수신되는 명령어들에 기초하여 달성될 수 있거나, 보안 메모리(314) 내에 저장되어 있는 컴퓨터 명령어들에 의해 정의될 수 있다.
본 예에서, 프로세서(312)는 주유기(200)가 주유하도록 허가되어 있다는 표시를 수신하고, 이 표시는 주유 환경(100)의 구성에 따라 POS(106), 사이트 제어기(108), 호스트(230), 또는 제어기(206)에 의해 제공될 수 있다. 그 결과, 프로세서(312)는 연료가 호스(222), 노즐(224), 및 사용자의 차량으로 흐를 수 있게 해주기 위해 밸브(220)에 열라고 지시한다. 보안 상태에 있는 동안, 프로세서(326)는 부가의 디스플레이 데이터를 메모리(328)로부터 검색하고 이 데이터를 (예컨대, 사용자에게 제시하기 위해), 데이터를 디스플레이(208)에 제공하는 명령어와 함께, 제어기(204)로 전송할 수 있다.
주유 프로세스 동안의 임의의 시점에서, 제어기(206)는 광고 등의 주유 프로세스와 관련이 없는 정보를 디스플레이(208)를 통해 제시하라고 제어기(204)에 지시할 수 있다. 지시, 사용자 인터페이스(202)를 보안 상태로 한 이후에 경과한 기간, 다른 구성요소로부터의 표시 등에 기초하여, 제어기(206)는 사용자 인터페이스(202)를 비보안 상태에 두고 이러한 것의 표시를 보안 메모리(328)의 보안 상태(330)에 저장할 수 있다. 제시될 자료는 보안 메모리(314 또는 328)에 저장될 수 있거나, POS(106), 사이트 제어기(108), 호스트(230), 또는 WAN(228)에 연결되어 동작하는 다른 자원 등의 주유기(200)의 외부에 있는 자원에 의해 제어기(204)로 전송될 수 있다. 다른 대안으로서, 디스플레이할 정보가 다른 외부 소스로부터 보조 비디오 입력(311)을 통해 제어기(204)에 제공될 수 있다. 이와 같이, 제어기(206)가 디스플레이(208)를 통해 사용자에게 제시되는 자료에 관해 제어기(204)를 구동하도록 구성될 수 있다는 것을 잘 알 것이다. 예를 들어, 제어기(206)는, 제어기(206)의 보안 상태(330)에 따라, 제어기(204)가 언제 보조 비디오 입력(311) 등의 다른 소스로부터의 자료를 제시할 수 있는지를 판정한다. 제어기(204)는 제어기(206)로부터의 지시에 기초하여 디스플레이(208)를 통해 사용자에게 자료를 제시하는 것을 처리하도록 구성되어 있다.
하나의 예에서, 제어기(204), 부가의 구성요소들(310), 보조 입력(311), 또는 POS(106) 등의 다른 장치들은 디스플레이(208)를 통해 사용자에게 정보를 제시하라고 요청할 수 있다. 이러한 예에서, 제어기(204)는 정보를 디스플레이하기 위해 제어기(206)에 허가를 요청하도록 구성되어 있을 수 있다. 제어기(204)로부터 요청을 수신할 시에, 프로세서(326)는 보안 메모리(328)의 부분(330)에 저장되어 있는 현재의 보안 상태를 식별한다. 제어기(206)가 보안 상태에 있는 경우, 프로세서(312)는 제어기(206)가 제어기(206)에 의해 처리되지 않은 또는 제어기(204)로 전송되지 않은 임의의 지불 데이터를 사용자에게 요청했거나 사용자로부터 수신했는지를 판정한다. 그러한 경우, 프로세서(326)는 보안 상태를 변경하지 않고 요청을 거부하거나 캐싱한다. 제어기(206)가 보안 상태에 있지만 그가 수신한 임의의 지불 데이터를 처리하여 전송한 경우, 프로세서(326)는, 해당 표시를 보안 상태(330)에 저장하고 요청을 허가함으로써, 사용자 인터페이스(202)를 비보안 상태에 둘 수 있다. 사용자 인터페이스(202)가 비보안 상태에 있는 경우, 제어기(206)는 제어기(204)가 요청된 정보를 제시하도록 허가할 수 있다. 요청된 정보를 디스플레이할지를 판정하는 프로세스의 한 예가 앞서 참조된 출원 제13/117,793호에 기재되어 있고, 앞서 참조된 출원 제13/197,440호에 기술되어 있는 것과 같은 임의의 적당한 구성을 통해 달성될 수 있다.
하나의 예에서, 제어기(206)가 비보안 상태에 있는 경우, 제어기(206)는, 예를 들어, 출원 제13/117,793호에 기술되어 있는 것과 같이, 사용자로부터 정보를 수신하도록 구성되어 있는, 제어기에 연결되어 동작하는 장치들을 디스에이블시킬 수 있다. 장치들은 PIN 패드(212), 카드 판독기(210) 등을 포함할 수 있다. 소프트 키(306) 등의 사용자로부터 입력은 받지만 지불 데이터를 수신할 수 없는 다른 장치들은 인에이블되어 있는 채로 있을 수 있다. 이것은 어떤 불법 자료도 사용자 인터페이스(202)를 사용하여 사용자로부터 지불 데이터를 이끌어내지 못하게 한다. 이와 관련하여, 제어기(206)는 본 명세서에서 보안 제어기(206)라고 한다.
제어기(206)가 자료 또는 정보를 디스플레이(208)를 통해 제시하기로 결정하는 경우, 제어기(206)는 현재 제시되고 있는 임의의 비보안 자료를 대체하는 서비스 메시지를 제어기(204)로 전송할 수 있다. 제어기(206)는 이러한 것의 표시를 보안 상태(330) 내에 저장함으로써 사용자 인터페이스(202)를 보안 상태에 둘 수 있고, 제어기(206)는 서비스 메시지를 제어기(204)로 전송할 때에 서비스 메시지가 수신 및/또는 실행되었다는 확인을 제어기(204)로부터 수신한 후에, 이것을 행할 수 있다. 제어기(206)는 이어서 제시될 자료를 서비스 메시지와 함께 전송할 수 있다[예컨대, 제어기가 메시지가 수신되고 및/또는 처리되었다는 확인을 제어기(204)로부터 수신한 경우]. 프로세서에 의해 실행되는 컴퓨터 명령어들에 대한 변조가 허용되지 않도록 제어기(204)가 구성되어 있다는 것을 잘 알 것이다. 그 결과, 제어기(204)는 제어기(206)로부터 서비스 메시지를 수신하고 그에 따라 처리하도록 구성되어 있다. 예를 들어, 제어기(204)가 제어기(206)로부터 서비스 메시지를 수신하는 경우, 제어기(204)는 비보안 자료 또는 제어기(206)에 의해 제공되지 않은 자료가 디스플레이되지 않게 할 수 있다. 이와 같이, 앞서 기술한 구성이 하나의 제어기에 의해 제공되는 보안 프롬프트 또는 기타 자료가 다른 제어기로부터의 또는 다른 소스로부터 수신되는 프롬프트 또는 자료를 대체하는 사용자 인터페이스의 한 예를 제공한다는 것을 잘 알 것이다.
주유 프로세스가 완료된 경우, 제어기(204)는 주유된 연료의 최종적인 양을 처리를 위해 제어기(206), POS(106), 사이트 제어기(108), 호스트(230), 또는 다른 장치로 전송하는 것을 포함할 수 있는 임의의 보조 작업들을 수행한다. 이것은 또한 기술 분야에 공지되어 있는 바와 같이, 주유 환경(100)의 구성에 따라, 제어기(206), POS(106), 사이트 제어기(108), 호스트(230), 및/또는 임의의 다른 장치에 의해 제공되는 지시에 기초하여, 부가의 텍스트를 사용자에게 제시하라고 디스플레이(208)에 지시하는 것 및/또는 거래에 대한 영수증을 인쇄하라고 프린터(304)에 지시하는 것을 포함할 수 있다.
이상은 2개의 제어기를 포함하는 소매 장치(retail device)에 대한 사용자 인터페이스의 설명을 제공한다는 것을 잘 알 것이다. 제1 제어기는 소매 장치의 동작을 관리하도록 구성되어 있고, 지불 데이터 또는 기타 민감한 정보를 수신하도록 구성되어 있지 않은 구성요소들에 연결되어 동작한다. 제2 제어기는 지불 데이터의 수신을 처리하도록 구성되어 있고, PIN 패드 및/또는 카드 판독기 등의 지불 데이터를 수신할 수 있는 소매 장치의 임의의 구성요소에 연결되어 동작한다. 이와 같이, 소매 장치에 의해 수신된 지불 데이터는 제2 제어기에 의한 처리로 한정될 수 있다. 그 결과, 제어기(206) 및 제어기(204)의 부분들은 사용자 인터페이스(202)를 통해 수신된 지불 데이터를 안전하게 처리할 수 있는 파선 영역(346)으로 표시되어 있는 보안 구역 내에 포함되어 있다.
제2 제어기는 또한 사용자 인터페이스의 보안 상태의 표시를 판정하고 저장하며, 보안 상태에 따라 무엇을 디스플레이할지를 제1 제어기에 지시한다. 예를 들어, 제2 제어기는 어떤 자료를 디스플레이할지 또는 디스플레이할 자료를 어떤 소스로부터 수신할지 및 언제 그를 디스플레이할지를 제1 제어기에 지시한다. 이와 같이, 적어도 하나의 예에서, 사용자에게 디스플레이되는 임의의 프롬프트 또는 정보가 제2 보안 제어기에 의해 제공 및/또는 허가될 수 있다. 본 명세서에서 더 기술된 바와 같이, 보안 제어기는 하나 이상의 구성요소들에 대한 다른 제어기들 또는 장치들의 액세스를 제어할 수 있고 및/또는 변조 방지 하드웨어 메커니즘들에 의해 안전할 수 있다. 제2 제어기는 또한 보안 상태에 기초하여 사용자 인터페이스의 입력 장치들을 인에이블 및 디스에이블시키도록 구성되어 있을 수 있다.
2개의 제어기가 각각의 제어기의 각자의 보안 메모리에 저장되어 있는 암호화 정보에 따라 TCP/IP를 사용하여 이더넷 어댑터를 통해 안전하게 통신하도록 구성되어 있을 수 있다. 각각의 제어기는 또한 사용자 인터페이스를 디커미셔닝하고 및/또는 센서들이 제어기가 변조되었다는 것을 검출하는 경우 제어기에 의해 저장된 임의의 지불 데이터를 소거하도록 구성되어 있는 보안 센서들을 포함하고 있다.
그렇지만, 제어기(204)의 일부분이 보안 구역(346) 내에 있는 것으로 예시되어 있지만, 제어기가 이러한 데이터를 처리하지 않기 때문에, 제어기(204)가 암호화되지 않은 형식으로 된 민감한 지불 데이터를 처리하는 장치들에 대한 강화된 보안 대책 및 증명을 충족시킬 필요가 없을 수 있다는 것을 잘 알 것이다. 즉, 제어기(204)는 제어기(206)로부터 수신하는 임의의 민감한 지불 데이터를 복호화하지 못할 수 있다. 이 예에서, 보안 메모리(314)는 제어기(204)가 제어기(206)로부터 수신된 임의의 민감한 지불 데이터를 복호화할 수 있게 해줄 어떤 암호화 정보도 포함하지 않는다. 제어기(204)는 그 대신에 제어기(206)로부터 수신된 민감한 지불 데이터를 데이터의 처리를 취급하도록 구성되어 있는 장치로 라우팅하도록 구성되어 있다.
하나의 예에서, 제어기(206)는 제어기들(204 및 206)이 안전하게 통신할 수 있게 해주는 하나의 암호화 정보 세트 및 제어기(206)가 제어기(206)에 의해 수신된 지불 데이터 또는 기타 민감한 정보를 안전하게 암호화할 수 있게 해주는 다른 암호화 정보 세트(앞서 기술한 호스트 암호화 방식 등)를 보안 메모리(328)의 부분(332)에 저장한다. 그 결과, 특정의 예들에서, 제어기(204)를 포함하지 않고 호스트(230)를 포함할 수 있는, 지불 데이터 또는 기타 민감한 정보의 처리를 취급하도록 구성되어 있는 장치들은 지불 데이터를 복호화할 수 있다. 즉, 보안 메모리(314)의 부분(316)에 저장되어 있는 암호화 정보가 제어기들(204 및 206)이 안전하게 통신할 수 있게 해주는 데는 충분할 수 있지만, 제어기(204)가 제어기(206)에 의해 수신되는 임의의 민감한 지불 데이터를 복호화할 수 있게 해주는 데는 불충분할 수 있다.
다른 예에서, 제어기(206)는 지불 거래를 수행하도록 구성되어 있는 또는 호스트(230)와 직접 통신하는 주유 환경(100) 내의 장치에 연결되어 동작한다. 이러한 예들에서, 제어기(206)는 제어기(206)에 연결되어 동작하는 구성요소들에 의해 수신되는, 지불 데이터 또는 기타 민감한 정보의 수신을 처리한다. 이 예에서, 제어기(206)는 또한 지불 데이터를 처리하고, 암호화하며, 제어기(204)를 통해 간접적으로보다는 직접 지불 거래를 수행하도록 구성되어 있는 장치로 전송한다. 그 결과, 제어기(204)는 어떤 지불 데이터 또는 기타 민감한 정보도 수신하지 않는다. 예를 들어, 제어기(206)가, 앞서 기술한 바와 같이, 주유 거래에 대한 영수증을 인쇄하는 데 충분한 양의 정보를 제어기(204)에 제공하도록, 제어기들(204 및 206)은 이더넷 어댑터들(324 및 340)을 통해 계속 통신한다. 그에 부가하여, 제어기(206)는 어떤 정보가 디스플레이(208)를 통해 제시될 수 있는지를 제어기(204)에 계속 지시하거나, 다른 대안으로서, 제어기(204)는 정보가 제시될 수 있는지에 관해 제어기(206)로부터의 허가를 계속 요청한다.
앞서 기술한 구성이 제어기(204)가 그렇지 않았으면 비보안인 응용 프로그램들을 실행할 수 있게 해주고, 제어기(206)의 임의의 내부 구성요소들에 액세스할 필요 없이, 제어기(206)에 의해 판정되는 보안 상태에 따라 응용 프로그램들에게 디스플레이(208)에 대한 액세스를 제공할 수 있게 해준다는 것을 잘 알 것이다. 또한, 이러한 구성은, 암호화되지 않은 민감한 지불 데이터를 처리하는 사용자 인터페이스(202)의 부분들을 재증명하는 일 없이, 어떤 그러한 데이터도 처리하지 않기 때문에 강화된 보안 표준을 적용받지 않을 수 있는 제어기(204) 및/또는 디스플레이(208)에 대한 설계의 변경을 가능하게 해준다는 것을 잘 알 것이다. 예를 들어, 도 5를 구체적으로 참조하면, 재증명 없이, 디스플레이의 크기를 증가시키는 등을 위해, 제어기(204), 외부 그래픽 제어기(322), 및 디스플레이(208)의 조합이 교체되거나 재설계될 수 있는데, 그 이유는 이들 구성요소가 암호화되지 않은 민감한 지불 정보를 처리하지 않기 때문이다. 이에 따라, 암호화되지 않은 민감한 지불 정보를 처리하도록 구성되어 있는 제어기(206)를 재증명하는 일 없이, 이들 구성요소의 교체가 가능하다는 것을 잘 알 것이다.
다른 예에서, 디스플레이(208)는 제어기(204)보다는 제어기(206)에 연결되어 동작한다. 그 결과, 제어기(206)는 앞서 설명한 것과 유사한 방식으로 보안 상태(330)에 따라 어떤 정보가 디스플레이(208)를 통해 제시될 수 있는지를 판정한다. 프로세서(326)는, 디스플레이(208)를 통해 정보를 제시해야 하는지를 판정하기 위해, 앞서 참조된 출원 제13/117,793호에 기술되어 있는 프로세스를 사용할 수 있으며, 이는 앞서 참조된 출원 제13/197,440호에 기술되어 있는 구성을 통해 달성될 수 있다. 이러한 예들에서, 제어기(204)는 앞서 기술한 것과 유사한 방식으로 디스플레이를 통해 사용자에게 비보안 자료를 제시하라고 계속 요청할 수 있다. 디스플레이(208)가 또한 (예컨대, 디스플레이가, 터치스크린의 경우와 같이, 지불 데이터를 수신할 수 있을 때) 제어기(204)보다는 제어기(206)에 연결되어 동작할 수 있다는 것을 잘 알 것이다.
이 예에서, 디스플레이(208)는 PIN 패드(212)를 디스플레이(208) 상에 가상 PED로서 제시하도록 구성되어 있을 수 있다[이 경우에, 하드와이어드 PIN 패드(212)가 주유기(200)에 존재하지 않을 수 있음]. 더욱이, 이 예에서, 제어기(206)가 디스플레이(208)를 동작시킬 수 있고, 제어기(204)가 생략될 수 있으며[및/또는 디스플레이 제어기(322)로 대체될 수 있음], 이에 대해서는 이하에서 더 상세히 기술한다. 이 예에서, 다양한 가능한 경우들이 보안 제어기(206) 및/또는 디스플레이(208)로의/로부터의 민감한 통신과 관련하여 기술되어 있다. 하나의 예에서, 터치스크린이 비보안 응용 프로그램들에 의해 사용될 때는 (예컨대, 터치가능 영역들의 수에서, 특정의 영역들에서만 정보를 디스플레이하는 점에서, 기타에서) 제어기(206)에 의해 제한될 수 있고, 보안 응용 프로그램들에 의해 사용될 때는 덜 제한될 수 있다. 터치스크린 디스플레이를 제한하는 것의 예들이 앞서 참조된 출원 제12/695,692호에 기술되어 있다. 더욱이, 디스플레이(208)는, 이러한 데이터가 수정되지 않도록 하기 위해, 주유량, 거래 금액 등과 같은 어떤 정보가 디스플레이되는 특정의 영역들을 제외시킴으로써 터치가능 영역들을 제한할 수 있다.
도 6 내지 도 8은 제어기(204)가 생략되어 있는 예들을 나타낸 것이다. 그 대신에, PIN 패드(212)의 하우징이 "단순" 디스플레이(dumb display)를 제어하는 데 사용되는 제어기(206)를 포함할 수 있다. 이 예에서, 단순 디스플레이는 디스플레이 제어기(322)를 하우징할 수 있다.
이제 도 6을 참조하면, 서로 물리적으로 분리되어 있지만 유선 또는 무선 연결을 통해 통신 연결되어 있는 디스플레이(208) 및 PIN 패드(212)를 포함하는 변조 방지 인터페이스 시스템(600)이 예시되어 있다. 하나의 예에서, 디스플레이(208) 및 PIN 패드(212)는 연성 회로 어셈블리를 통해 결합되어 있다. 이와 관련하여, 디스플레이(208)는 PIN 패드(212)의 PCB로부터 물리적으로 분리되어 있는 PCB를 가질 수 있다. 제어기(206)는 PIN 패드(212)에 하우징되어 있는 PCB 상에 포함될 수 있고, 디스플레이(208)의 하우징에 있는 디스플레이 제어기(322)를 직접 제어할 수 있다. 이 예에서, 제어기(204)는 PIN 패드(212)의 PCB 또는 디스플레이(208)의 PCB 상에 존재하지 않는다. 그에 따라, 이 예에서, 보안 동작(예컨대, 지불 또는 기타 민감한 정보의 처리)은 PIN 패드(212)의 PCB 상에서 행해지는 반면, 표준의 디스플레이 동작은 디스플레이(208)에서 행해질 수 있다. 어쨌든, 보안 제어기(206)는 그에 따라 PIN 패드(212) 및 디스플레이(208)를 동작시킬 수 있고, 따라서 PIN 패드(212)로부터의 데이터에 대한 보안을 제공하기 위해 디스플레이(208)로/로부터 제공되는 데이터를 제어할 수 있다. 그에 따라, 디스플레이(208)는 표준의 또는 "단순" 디스플레이일 수 있고, PIN 패드(212)를 대체하거나 재증명할 필요 없이 용이하게 대체 또는 업그레이드될 수 있다. 그에 부가하여, 제어기(206)는 (예컨대, 소프트웨어 또는 펌웨어 드라이버를 통해) 디스플레이(208)로의/로부터의 통신을 제어하고, 이는 디스플레이(208)의 통신 경로를 통해 PIN 패드(212)를 변조하는 것을 방지할 수 있다.
하나의 예에 따르면, 연성 회로 어셈블리(602)는 미국 특허 출원 제13/467,592호(참조 문헌으로서 그 전체가 포함됨)에 기술되어 있는 것과 같은 변조 방지 케이블의 형태를 취할 수 있다. 이 예에서, 연성 회로 어셈블리(602)는 2개 이상의 층을 포함하고, PIN 패드(212)에서의 보안 영역과 전기 통신을 하고 있다. 이들 층 각각은 그 위에 도체들을 가지는 얇은 연성 유전체 기판을 포함할 수 있다. 신호 도체들이 와이어 메쉬(wire mesh)를 정의하는 도체 패턴으로 둘러싸여 있을 수 있다. 이와 같이, 층들을 분리시키는 것 등에 의해, 신호 도체들을 통해 액세스가 시도되는 경우, 와이어 메쉬가 차단(interrupt)되고, 이는 이벤트를 트리거할 수 있다. 예를 들어, 기술되어 있는 바와 같이, 이러한 이벤트들은 어떤 정보(예컨대, 암호화 정보, 지불 또는 기타 민감한 정보 등)를 소거시키는 것, 제어기(206), PIN 패드(212), 디스플레이(208) 등을 디커미셔닝하는 것 등을 포함할 수 있다. 한 예에서, 이들 다양한 층을 서로 연결시켜 메쉬를 형성하기 위해 적당한 접착제가 사용된다.
조립될 때, 이들 층은 제1 커넥터 부분과 제2 커넥터 부분 사이에 뻗어 있는 케이블을 정의한다. 연성 회로 어셈블리(602)의 한쪽 단부는 제1 커넥터 부분을 통해 디스플레이(208)에 연결될 수 있고, 연성 회로 어셈블리(602)의 다른쪽 단부는 제2 커넥터 부분을 통해 PIN 패드(212)에 연결될 수 있다. 미국 특허 출원 제13/467,592호에 기술되어 있는 커넥터 부분(312) 등의 제1 및 제2 커넥터 부분들은 임의의 보안 커넥터 장치의 형태를 취할 수 있다. 제1 및 제2 커넥터 부분들은 바람직하게는, 미국 특허 출원 제13/467,592호에 기술되어 있는 전도성 접착제 등의 적당한 접착제를 사용하여 디스플레이(208) 및 PIN 패드(212)에, 각각, 연결되어 있다.
앞서 살펴본 바와 같이, 케이블은 PIN 패드(212) 내의 인쇄 회로 기판의 제어기(206)와 디스플레이(208) 내의 인쇄 회로 기판의 디스플레이 제어기(322) 사이에 직접 연결되어 전기 통신을 가능하게 해주는 내부 도체들을 포함한다. 이것은 PIN 패드(212)가 디스플레이 데이터 등의 데이터를 변조 방지 연성 회로 어셈블리(602) 내의 디스플레이(208)로 안전하게 송신할 수 있게 해준다.
연성 회로 어셈블리(602)의 유연성으로 인해, 디스플레이(208)가 PIN 패드(212)에 전기적으로 연결되어 있으면서 PIN 패드(212)에 대해 힌지를 이용하여(hingedly) 이동될 수 있다는 것을 잘 알 것이다. 그에 부가하여, 연성 회로 어셈블리(602)는 디스플레이(208)가 PIN 패드(212)의 탑재 위치와 떨어져 있는 주유기 상의 물리적 위치에 탑재될 수 있게 해준다.
한 예에서, 연성 회로 어셈블리(602)는 구성요소들 간의 통신을 위해 구성요소들을 결합시키는 리본 케이블(ribbon-cable) 또는 유사한 케이블일 수 있다. 하나의 예에서, 연성 회로 어셈블리(602)는 다수의 케이블들을 포함할 수 있고, 여기서 적어도 하나의 케이블은 비디오 데이터를 전달하고, 다른 케이블은 보안 검출을 위해 사용된다. 하나의 예에서, 하나의 케이블은 PIN 패드(212)와 디스플레이(208) 사이에서 디스플레이 데이터를 전달하는 것을 용이하게 해주고, 기술된 바와 같이, 변조가 검출되는 경우 이벤트를 트리거하는, 보안 메쉬 층을 가진다. 이 케이블은, 그에 부가하여, 스위치 회로를 포함할 수 있고, 케이블의 적어도 하나의 커넥터는 케이블의 제거[이는 이벤트(예컨대, 메모리 소거, 구성요소 디커미셔닝 등)를 트리거할 수 있음]를 검출하기 위해 구성요소에서의 접지 연결을 이용한다. 이 예에서, 다른 케이블은 2개의 돔 스위치(dome switch)(또는 하나 이상의 구성요소들의 분리 또는 이동을 검출하는 다른 적당한 스위치)와 직렬 연결되어 있는 보안 메쉬 회로를 제공할 수 있고, 다른 케이블에 접합되거나 다른 방식으로 탑재될 수 있고 및/또는 다른 케이블의 커넥터 상의 브라켓이 해체되었는지(이는 이벤트를 트리거할 수 있음)를 판정하는 데 돔 스위치가 사용되도록 루프를 형성할 수 있다. 이 케이블은 디스플레이(208)가 그로부터 제거되었는지를 판정하기 위해 디스플레이(208)와 베젤 사이의 다른 돔 스위치, 또는 주유기의 다른 부분까지 계속될 수 있고, 이것도 역시 이벤트를 트리거할 수 있다.
어쨌든, 한 예에서, 트리거된 이벤트는 다양한 기능들을 야기할 수 있고, 상이한 스위치들을 트리거하는 것은 상이한 이벤트 기능들을 야기할 수 있다. 그에 부가하여, 기능들은 상이한 해결책들을 필요로 할 수 있다. 예를 들어, 디스플레이(208)를 베젤로부터 제거하는 것은 PIN 패드(212) 및/또는 디스플레이(208)의 디커미셔닝을 야기할 수 있고, 따라서 디스플레이가 베젤과 접촉하도록 재설치될 수 있고 정상 동작이 재개될 수 있다. 그렇지만, 케이블(602)을 디스플레이(208)로부터 제거하는 것은 PIN 패드(212)와 디스플레이(208) 사이에서 통신하는 데 사용되는 암호화 정보의 소거를 야기할 수 있다. 암호화 정보를 재설정하는 것은 기술자가 베젤에 있는 디스플레이(208)을 교체하는 것, 주유기에 재설치하기 위해 클린 룸에서 새로운 디스플레이(208)와 PIN 패드(212) 사이의 암호화 정보를 재초기화하는 것 등을 필요로 할 수 있다. 이와 관련하여, 이벤트들을 재설정하기 위해 다양한 개선 대책들과 함께 다양한 트리거가능 이벤트들이 사용될 수 있다는 것을 잘 알 것이다.
도 7은 도 6의 인터페이스 시스템(600)을 2개 사용하는 주유 시스템(700)을 나타낸 것이다. 주유 시스템(700)은 주유기(200), 하나 이상의 인터페이스 시스템들(600), LAN(226), POS(106) 및 카드 판독기 또는 비접촉식 지불 시스템(710)을 포함하고 있다. 도 1 및 도 2와 관련하여 앞서 논의된 바와 같이, 주유기(200)는 주유하는 동작을 하고, 사용자로부터의 지불을 용이하게 해주고 주유 상태를 디스플레이하는 인터페이스 시스템들(600)을 포함한다. 카드 판독기 또는 비접촉식 지불 시스템(710)은 주유기(200)에서의 주유에 대한 지불을 수행하기 위해 각자의 인터페이스 시스템(600) 각각과 협력하여 동작할 수 있다. 각각의 인터페이스 시스템(600)은, 도 6과 관련하여 앞서 논의된 바와 같이, 디스플레이(208)와 PIN 패드(212) 사이에서 변조 방지 통신을 제공하기 위해 연성 회로 어셈블리(602)를 포함하고 있다. 그에 따라, 사용자가 주유를 하고자 하는 경우, 사용자는 사용자가 주유기(200)에서 신용 카드 등의 지불 정보를 제공하고자 한다는 표시를 제공한다. PIN 패드(212)의 제어기(206)는 이어서 디스플레이(208) 내의 디스플레이 제어기(322)에 직접 프롬프트 또는 기타 비디오를 제공하고, 디스플레이 제어기(322)는 차례로 디스플레이(208) 상에 프롬프트 또는 기타 비디오를 디스플레이한다. 디스플레이(208) 상의 프롬프트들에 응답하여, 사용자는 카드 판독기 또는 비접촉식 지불 시스템(710)을 통해 지불 데이터를 제공한다. 지불 데이터의 성공적인 인증 시에, 사용자에 의해 주유가 행해질 수 있다. 초기 지불 정보를 용이하게 해주는 것에 부가하여, 제어기(206)는 주유 상태 또는 기타 지불 정보 등의 기타 비디오 정보를 디스플레이(208)의 제어기(322)에 직접 제공할 수 있다. 그에 따라, 디스플레이(208)는 단지 비디오 데이터의 암호화 없이 PIN 패드(212)의 제어기(206)에 의해 송신된 비디오 데이터를 디스플레이한다. 이와 관련하여, 데이터가 연성 회로 어셈블리(602)를 통해 PIN 패드(212)로부터 디스플레이(208)로 안전하게 제공되기 때문에, 디스플레이는 "단순 디스플레이"이고, 단지 보안 연성 회로 어셈블리(602)를 통해 제공되는 비디오 데이터를 디스플레이한다.
도 8은 역시 도 6의 인터페이스 시스템(600)을 2개 사용하지만, 그에 부가하여, 다른 외부 특징 소스의 호스트(230)로부터의 비디오 서비스를 제공하는 다른 주유 시스템(800)을 나타낸 것이다. 주유 시스템(800)은 주유기(200), 2개의 인터페이스 시스템들(600), LAN(226), POS(106), WAN(228) 및 호스트(230)를 포함하고 있다. 주유 시스템(800)은 도 7에 대해 앞서 기술한 것과 유사한 주유 동작을 가능하게 해준다. 그에 부가하여, 호스트(230)는 WAN(228), POS(106), LAN(226) 및 주유기(200)를 통해 광고 등의 비디오를 디스플레이(208) 상에 제공할 수 있다. 이 예에서, 주유기(200)와 디스플레이(208) 사이의 보안 통신이 유익할 수 있는데, 그 이유는 제3자가 디스플레이(208) 상에 비디오 피드를 제공할 수 있기 때문이다.
앞서 언급한 바와 같이, 연성 회로 어셈블리(602)는 디스플레이(208)와 PIN 패드(212) 사이에 보안 변조 방지 통신을 제공한다. 주유기(200)[예컨대, 주유기(200)의 내부 전자 회로 또는 주유 구성요소들]와 PIN 패드(212) 사이에서 안전하게 데이터를 전달하기 위해, 주유기(200)와 PIN 패드(212) 사이에 부가의 케이블(802)이 제공된다. 케이블(802)은 표준의 케이블 또는 연성 회로 어셈블리(602)와 유사한 케이블 어셈블리 등의 임의의 적당한 유형의 케이블일 수 있다. 케이블은 이더넷 케이블, USB 케이블 등을 포함할 수 있다.
상기한 바로부터, 호스트(230)는 주유기(200) 내의 특징 전자 회로(feature electronics)(804)에 도달하도록 WAN(228), POS(106), 및 LAN(226)을 통해 비디오 데이터를 송신할 수 있다. 유의할 점은, 호스트(230)가 주유 시스템의 소유자로부터 떨어져 있는 엔터티일 수 있다는 것이다. 이와 같이, 제3자가 보안 방식으로 디스플레이(208) 상에 비디오 또는 영상을 디스플레이하도록 허용될 수 있다. 비디오 또는 영상이 [제어기(204)가 아니라] 제어기(206)를 사용하여 어떻게 호스트(230)로부터 디스플레이(208)로 안전하게 라우팅되는지에 대한 논의가 이하에 제공된다.
미국 특허 출원 제13/197,440호에서 논의된 바와 같이, 특징 전자 회로(804)는 주유기(200)로의 및 주유기(200)로부터의 데이터의 처리는 물론, 주유기(200)의 기타 전자적 동작들을 제어하는 처리 시스템을 포함할 수 있다. 이와 관련하여, 특징 전자 회로(804)는 호스트(230)로부터 수신된 비디오 데이터를 케이블(802)을 통해 PIN 패드(212)의 제어기(206)로 전송한다. PIN 패드(212)의 제어기(206)는 연성 회로 어셈블리(602)를 통해 비디오 데이터를 디스플레이(208)의 디스플레이 제어기(322)로 전달한다. 기술된 바와 같이, 연성 회로 어셈블리(602)가 그에 대한 변조를 검출하는 경우, PIN 패드(212)에 있는 제어기(206)의 프로세서는 그와 연관되어 있는 메모리를 소거하는 것, 비디오 데이터가 디스플레이(208) 상에 디스플레이되는 것을 방지하기 위해 하나 이상의 구성요소들을 디커미셔닝하는 것 등을 포함할 수 있는 이벤트를 트리거한다. 그에 따라, 제어기(204)가 도 8에 예시되어 있는 예에서 생략되어 있지만, 이 제어기가, 예를 들어, 디스플레이(208) 상에 제시하기 위한 비디오 데이터를 제어기(206)로부터 수신하기 위해 [예컨대, 디스플레이 제어기(322)로서] 존재할 수 있다는 것을 잘 알 것이다.
PIN 패드(212)는 제어기(206)를 포함하고, PIN 패드(212)와 "단순" 디스플레이(208) 사이의 통신이 연성 회로 어셈블리(602)를 통해 안전하다. 디스플레이(208)는, 기술된 바와 같이, 수신된 비디오 데이터를 디스플레이하기 위한 디스플레이 제어기(322)를 포함할 수 있다. 그에 부가하여, PIN 패드(212)와 주유기(200) 내의 특징 전자 회로(804) 사이의 통신이 또한 안전할 수 있고, 따라서 특징 전자 회로로부터 디스플레이까지의 전체 경로가 안전하다. 이것은 특징 전자 회로(804)에 있는 다른 제어기 또는 PCB를 유사하게 사용함으로써 및/또는 PIN 패드(212) 또는 관련 제어기와 통신하기 위해 하나 이상의 보안 정책들을 구현함으로써 구현될 수 있다. 그에 부가하여, 예를 들어, PIN 패드(212)[또는, 예를 들어, 보안 제어기(206)]는 연성 회로 어셈블리(602)를 통한 PIN 패드(212)에 대한 변조를 완화시키기 위해 PIN 패드(212)가 활성화될 때 연성 회로 어셈블리(602)가 연결되어 있는 PIN 패드(212)의 커넥터를 비활성화시킬 수 있다. PIN 패드(212)가 더 이상 사용되지 않거나 다른 방식으로 비활성화될 때, PIN 패드(212)[또는 보안 제어기(206)]는 특징 전자 회로(804)로부터의 데이터가 연성 회로 어셈블리(602)를 통해 전달될 수 있게 해주기 위해 커넥터를 인에이블시킬 수 있다.
도 9는 터치스크린 입력을 가능하게 해주기 위해 주유기에서 이용하는 예시적인 시스템(900)을 나타낸 것이다. 한 예에서, 시스템(900)이 사용자 인터페이스(202) 등의 사용자 인터페이스에 의해 이용될 수 있다. 시스템(900)은 비보안 터치 제어기(906) 또는 PED(908)를 통해 AFP(auxiliary feature processor, 보조 특징 프로세서)(904)에 의해 이용될 수 있는 터치 디스플레이(902)를 포함한다. 예를 들어, 터치 디스플레이(902)는 디스플레이(208)와 유사할 수 있고, AFP(904)는 앞서 기술한 특징 전자 회로(804)와 유사할 수 있거나 그를 포함할 수 있으며, 및/또는 PED(908)는 PIN 패드(212)와 유사할 수 있다[예컨대, 터치 디스플레이(902)에의 액세스를 보호하는 제어기(206)를 포함할 수 있음]. 이와 같이, AFP(904)는, 도 8에 기술되어 있는 것과 유사하게, PED(908)를 통해 하나 이상의 응용 프로그램들로부터 터치 디스플레이(902)로 데이터를 제공할 수 있고, 터치 디스플레이(902)로부터 터치 좌표 또는 기타 입력 이벤트를 수신하기 위해 비보안 터치 제어기(906)를 포함할 수 있다.
터치 디스플레이(902) 상에 터치스크린 기능을 구현하는 것은 터치 디스플레이(902)를 사용하여 고객으로부터 민감한 정보을 획득하기 위한 부가의 진입점을 도입할 수 있다. 이와 관련하여, 불법 엔터티에 의한 터치 디스플레이(902)에 대한 변조를 완화시키기 위해 부가의 물리 또는 가상 보안 대책이 사용될 수 있다. 예를 들어, AFP(904)는 PED(908)를 통해 터치 디스플레이(902)에 액세스하기 위해 응용 프로그램들을 인증하는 데 사용되는 SoM(910), 및 PED(908)로의 보안 채널을 설정하기 위한 보안 정보를 SoM(910)에 제공하는 보안 칩(912)을 포함한다. 이와 관련하여, AFP(904)는 터치 디스플레이(902)에의 보안 액세스를 가능하게 해주는 SoM(910)에 의해 정의되는 보안 영역을 구현한다. 게다가, 이 예 또는 다른 예들에서, SoM(910) 및 보안 칩(912)이 그에 대한 물리적 액세스를 방지하기 위해 변조 방지 쉘(914)로 둘러싸여 있다. 그에 부가하여, 예를 들어, AFP(904)는 양면 주유기를 위해 2개의 AFP(예컨대, 각각의 측면에 하나씩)를 포함할 수 있는 HIP(hub interface PCB) 상에 설치될 수 있다.
한 예에 따르면, SoM(910)은 PED(908)를 통해 터치 디스플레이(902)에 액세스하는 것을 용이하게 해주기 위해 PED(908)와 보안 채널을 설정할 수 있다. 예를 들어, SoM(910)은 PED(908)와 보안 채널을 설정하기 위한 비밀, 암호화 키, 또는 기타 보안 정보를 보안 칩(912)으로부터 획득할 수 있다. 하나의 예에서, 보안 칩(912) 및 SoM(910)은 개별적인 구성요소들일 수 있고, 이는 SoM(910)이 시판 중인 제품일 수 있게 해줄 수 있다. 이 예에서, 보안 칩(912)은, 보안 칩(912)과 함께 사용하기 위해 SoM(910)을 커미셔닝하는 일 없이 SoM(910)을 장래에 교체하는 것을 방지하기 위해, SoM(910)의 식별 파라미터[예컨대, MAC(media access control) 또는 유사한 주소]에 기초하여 SoM(910)과 페어링될 수 있다. 이 예에서, 보안 칩(912) 및 SoM(910)이 인증된 엔터티[예컨대, 주유기 제조업체 등의 보안 칩(912)과 PED(908) 사이의 보안 정보를 구성하는 엔터티]에 의해 보안 룸(secure room)에서 페어링될 수 있거나, 관련 주유기 내에 설치 시에 및/또는 보안 칩(912) 및/또는 SoM(910)의 초기화 시에 다른 방식으로 페어링될 수 있다. 그렇지만, 다른 예들에서, SoM(910)이 보안 칩(912)을 포함할 수 있다는 것을 잘 알 것이다. 어느 경우든지, 보안 칩(912)이 (예컨대, 보안 룸에서, 설치 및/또는 초기화 시에, 기타) PED(908)에 관련된 보안 정보로 초기화될 수 있다.
어쨌든, SoM(910)은 PED(908)와 보안 채널을 설정하기 위한 보안 정보를 보안 칩(912)으로부터 획득한다. SoM(910) 및 보안 칩(912)이 개별적인 구성요소들인 경우, 보안 칩(912)이 정보를 제공하기 전에 SoM(910)의 식별 파라미터(예컨대, MAC 주소)를 확인할 수 있다는 것을 잘 알 것이다. SoM(910) 및 PED(908)는 그에 따라 보안 채널을 설정하고, 이는 그들 사이의 차후의 통신을 위해 보안 정보에 기초하여 컨텍스트 정보를 전달하는 것 또는 각각의 차후의 통신에서 보안 정보를 전달하는 것을 포함할 수 있다. 하나의 예에서, 이하에서 기술하는 바와 같이, SoM(910)이 터치 디스플레이(902)에의 액세스를 제공하기 위해 응용 프로그램들의 서명들을 유효성 확인할 수 있게 해주기 위해, PED(908)는 내용 서명들 및/또는 인증된 서명들의 목록을 나중에 검증하기 위해 신뢰할 수 있는 응용 프로그램을 SoM(910)으로 다운로드할 수 있다.
PED(908)는 디스플레이(902)에 대한 보안 제어기[보안 제어기(206), 또는 관련 펌웨어 또는 소프트웨어 드라이버 등]를 이용할 수 있고, 일반적으로 보안 채널을 통해 SoM(910)으로부터 수신된 데이터가 (앞서 기술한 커넥터와 유사한) 커넥터를 통해 터치 디스플레이(902)로 전달될 수 있게 해줄 수 있다. 그렇지만, 기술되어 있는 바와 같이, PED(908)가 고객으로부터 민감한 정보를 수신하기 위해 활성화되어 있는 동안, PED(908)가 [예컨대, 보안 제어기(206) 등의 보안 제어기를 사용하여] 커넥터를 디스에이블시킬 수 있다는 것을 잘 알 것이다. 이와 관련하여, PED(908)는 터치 디스플레이(902)에 액세스하기 위해 SoM(910) 등의 다른 구성요소들을 인증할 수 있다.
이와 관련하여, PED(908)와 보안 채널이 설정되어 있을 때, SoM(910)은 PED(908)에서 신뢰할 수 있는 장치로 간주될 수 있다. 이와 같이, SoM(910)은, 응용 프로그램들이 신뢰할 수 있는 또는 다른 방식으로 인증된 엔터티에 의해 서명되어 있는지를 검증함으로써, 어느 응용 프로그램들이 터치 디스플레이(902)에의 액세스를 수신하는지를 관리할 수 있다. 예를 들어, SoM(910)은, 응용 프로그램이 터치 디스플레이(902)에 액세스할 수 있게 해줄지를 판정할 시에, AFP(904) 상에서 실행 중인 하나 이상의 응용 프로그램들의 서명을 평가할 수 있다. SoM(910)은 신뢰할 수 있는 또는 인증된 엔터티들의 서명들의 목록을 저장할 수 있고, SoM(910)은 이들을 하나 이상의 응용 프로그램들의 서명과 비교할 수 있다. 예를 들어, 목록이 SoM(910)에서 프로그램되거나, PED(908)로부터 수신되거나, 기타일 수 있다. 한 예에서, 관련 주유기가 설치되어 있는 소매 사이트의 운영자는 응용 프로그램의 서명 또는 ID(identity)를 검증하고, 사이트 운영자(또는 특정의 사이트)에 관련된 서명을 갖는 응용 프로그램이 SoM(910)을 통해 터치 디스플레이(902)에 액세스할 수 있게 해줄 책임이 있을 수 있다. 이 예에서, SoM(910)은 AFP(904)를 통해 실행 중인 응용 프로그램들의 서명들과 비교하기 위해 소매 사이트의 서명을 포함할 수 있다. 이와 같이, 소매 사이트가 응용 프로그램을 서명하는 경우, SoM(910)은 응용 프로그램이 터치 디스플레이(902)에 액세스할 수 있게 해줄 수 있다.
이와 같이, SoM(910)은 주어진 인증된 응용 프로그램들에 대한 데이터를 PED(908)를 통해 터치 디스플레이(902)에 제공할 수 있다. 하나의 예에서, SoM(910)은, 드라이버를 사용하여, 주유기의 제조업체에 의해 서명된 응용 프로그램들의 터치 디스플레이(902)에의 완전한 액세스, 상인에 의해 서명된 응용 프로그램들의 터치 디스플레이(902)에의 보다 제한된 액세스(예컨대, 제한된 수의 터치 영역들) 등과 같은, 상이한 서명들에 대해 다양한 액세스 레벨들을 제공할 수 있다. 어쨌든, SoM(910)은 특정의 응용 프로그램들이 연관된 서명에 기초하여 특정의 기능들만을 행할 수 있도록 액세스 레벨들을 관리할 수 있다.
AFP(904) 상에서 실행 중인 적절히 서명된 응용 프로그램들은 SoM(910)을 통해 터치 디스플레이(902)에 액세스할 수 있고, 터치 디스플레이(902) 상에서의 포착된 터치스크린 입력 이벤트에 기초하여 기능들을 구현할 수 있다. 예를 들어, 응용 프로그램은 SoM(910)을 통해 터치 디스플레이(902) 상에 데이터를 디스플레이할 수 있고, 비보안 터치 제어기(906)는 터치의 좌표, 터치 디스플레이(902)에 대한 스와이프 또는 기타 상호작용적 움직임에 관한 좌표 또는 기타 데이터 등과 같은 터치 디스플레이(902) 상에서의 상호작용들을 포착할 수 있다. 비보안 터치 제어기(906)는 응용 프로그램에 의한 처리를 위해 이러한 좌표 또는 움직임 데이터에 관한 정보를 [예컨대, AFP(904)를 통해] SoM(910)에 제공하고, SoM(910)은 관련 데이터(예컨대, 터치 좌표, 터치 좌표와 연관되어 있는 영역, 또는 기타 움직임 데이터)를 응용 프로그램에 제공하기 위해 소프트웨어 드라이버를 통해 터치 이벤트들을 처리할 수 있다.
이 예 또는 대안의 예에서, 기술된 바와 같이, 변조 방지 쉘(914), 메쉬 층 케이블(mesh layered cabling), 마이크로스위치 등과 같은 부가의 하드웨어 변조 메커니즘이 존재할 수 있다. 하나의 예에서, SoM(910) 및 보안 칩(912)은 SoM(910) 및 보안 칩(912) 상에 배치되어 있는 캡일 수 있는 변조 방지 쉘(914)로 둘러싸여 있고, 따라서 캡의 움직임 또는 제거, 그 안에 있는 구성요소들에 대한 변조 등이 검출되고 보고될 수 있다. 예를 들어, 변조 방지 쉘(914)은 쉘(914) 또는 그의 내용물의 제거 또는 움직임을 검출하는 메쉬 층 또는 기타 메커니즘을 가질 수 있다. 변조 방지 쉘(914)은, 기술된 바와 같이, 검출된 변조를 보고하기 위해 프로세서[예컨대, AFP(904), SoM(910), 보안 칩(912) 등] 또는 기타 장치들에 결합될 수 있다. 쉘(914)은 그의 내용물에의 액세스를 방지하기 위해 플라스틱, 세라믹, 또는 기타 적당한 물질로 구성되어 있을 수 있다. 하나의 예에서, 쉘(194)은 Bourns 캡일 수 있거나 Bourns 캡을 포함할 수 있다. 그에 부가하여, SoM(910) 및/또는 보안 칩(912)은 PCB 상에 설치될 수 있고, SoM(910) 또는 보안 칩(912)이 부분적으로 또는 전체적으로 제거되어 있는 캐비티를 검출하기 위해, 그들 사이에 또는 다른 방식으로 근방에 메쉬 층이 배치되어 있다. 어쨌든, 이러한 검출은 메모리를 소거하기 위해, 구성요소들을 디커미셔닝하기 위해, 기타를 위해 보안 칩(912), SoM(910), AFP(904), 또는 기타 구성요소들에 대해 하나 이상의 이벤트들을 트리거할 수 있다.
그에 부가하여, 앞서 기술한 바와 같이, PED(908)는 AFP(904)[및 SoM(910)]로부터 터치 디스플레이(902)로 데이터를 전달하기 위해 메쉬 층 케이블을 사용할 수 있다. 케이블은, 그에 부가하여 또는 다른 대안으로서, 앞서 기술한 바와 같이, 터치 디스플레이(902) 및/또는 PED(908)로부터의 제거를 검출하기 위해 마이크로스위치들을 가질 수 있다. 메쉬 층, 마이크로스위치, 기타에 의한 검출은, 기술된 바와 같이, 하나 이상의 이벤트들을 트리거할 수 있다. 그에 부가하여, 정전의 경우에 변조 검출 및 차후의 이벤트 처리(예컨대, 메모리 소거, 장치 디커미셔닝 등)를 가능하게 해주기 위해, 변조 방지 쉘(914), 하나 이상의 프로세서들[예컨대, SoM(910), AFP(904) 등], 또는 기타 변조 검출 메커니즘들과 같은 시스템(900)의 특정의 부분들에 전원을 공급하기 위해 배터리 백업이 사용될 수 있다.
이상의 다양한 예들에서 기술된 바와 같이, AFP(904)가, 하나의 예에서, 보안 칩(912)에 결합되어 있고 PED(908) 및/또는 비보안 터치 제어기(906)와 통신할 수 있는 SoM(910)으로서 구현될 수 있다는 것을 잘 알 것이다. 더욱이, 어떤 예들에서, 도시된 구성에서, 비보안 터치 제어기(906)가 이하에 기술된 바와 같이 보호될 수 있다는 것을 잘 알 것이다.
도 10은 터치스크린 입력을 가능하게 해주기 위해 주유기에서 이용하는 다른 예시적인 시스템(1000)을 나타낸 것이다. 시스템(1000)은 터치 디스플레이(1002)를 통한 PIN 또는 기타 민감한 데이터의 입력도 가능하게 해주는 완전한 터치스크린 기능을 구현한다. 이 구성에서, PED(908) 등의 PIN 패드가 존재하지 않을 수 있거나, 다른 목적들을 위해 이용될 수 있다. 더욱이, 이 구성에서, 민감한 데이터에 대한 변조를 완화시키기 위해 다양한 구성요소들의 부가의 물리 또는 가상 보안이 사용될 수 있다. 터치 디스플레이(1002)가 AFP(1004)에 의해 직접, 보안 터치 제어기(1006)를 통해, 및/또는 보안 터치 제어기(1006)를 포함할 수 있는 선택적인 보안 장치(1008)를 통해 이용될 수 있다. 이와 관련하여, 본 명세서에 추가로 도시되고 기술되어 있는 바와 같이, 보안 터치 제어기(1006)에 대한 다수의 구성들이 가능하다.
터치 디스플레이(1002)는 터치 디스플레이(902)와 유사할 수 있고, AFP(1004)는 AFP(904)와 유사할 수 있으며, 보안 터치 제어기(1006)는 비보안 터치 제어기(906)와 유사할 수 있지만, 하나 이상의 물리(변조 방지) 또는 가상 보안 대책들에 의해 보호된다. AFP(1004)는 선택적으로 [보안 칩(912)과 유사하게] 선택적인 보안 장치(1008)와 보안 채널을 설정하기 위한 비밀, 암호화 키, 또는 기타 보안 정보를 SoM(1010)에 제공하도록 구성되어 있는 보안 칩(1012)을 포함하고 있다. 이 예에서, SoM(1010)은, 기술된 바와 같이, AFP(1004) 상에서 실행 중인 응용 프로그램들을, 그의 서명을 검증한 것에 기초하여, 인증할 수 있고, 그에 따라 서명에 기초하여 터치 디스플레이(1002)에의 액세스를 관리할 수 있다. 더욱이, 변조 방지 쉘(914)과 유사한 변조 방지 쉘(1014)은 보안 변조 방지 모듈을 제공하기 위해 SoM(1010), 선택적인 보안 칩(1012) 및/또는 보안 터치 제어기(1006)를 둘러싸고 있을 수 있다. 그에 부가하여, 예를 들어, AFP(1004)는 양면 주유기를 위해 2개의 AFP(예컨대, 각각의 측면에 하나씩)를 포함할 수 있는 HIP(hub interface PCB) 상에 설치될 수 있다.
보안 터치 제어기(1006)는, 이 예에 도시되어 있는 바와 같이, AFP(1004) 상에서 변조 방지 쉘(1014) 아래에 또는 AFP(1004)의 외부에 설치될 수 있고, 이 경우에 보안 터치 제어기(1006)는 보안 장치(1008) 내에 있거나 다른 방식으로 보호될 수 있다. 하나의 예에서, 보안 터치 제어기(1006)는, 기술된 바와 같이, 보안 터치 제어기(1006)를 독립적인 PCB 상에 구현하는 것에 의해 보안 장치(1008)의 외부에서 보호될 수 있다[설치 시에 보안 장치(1008)가 존재하지 않거나 존재함]. 예를 들어, 이러한 PCB는, 보안 터치 제어기(1006)에 대한 변조를 방지하기 위해, PCB와 연관되어 있는 하나 이상의 보안 메커니즘들(예컨대, 메쉬 층, 마이크로스위치, 기타) 및/또는 터치 디스플레이(1002), AFP(1004), 보안 장치(1008), SoM(1010), 또는 기타 구성요소들까지의 관련 케이블을 포함할 수 있다. 기술된 바와 같이, 보안 장치(1008)는, 존재하는 경우, 보안 터치 제어기(1006)에 대한 보안 환경을 제공하기 위한, 지불 거래를 처리하기 위한, 기타를 위한 PIN 패드(212)와 유사한 구성요소들을 포함할 수 있다. 하나의 예에서, 케이블이 보안 터치 제어기(1006)와 터치 디스플레이(1002) 사이의 인터페이스로서 기능할 필요성을 완화시키기 위해, 보안 터치 제어기(1006)가 그 위에 있는 포트(기술된 바와 같이, 변조 방지 포트일 수 있음)를 통해 터치 디스플레이에 고정될 수 있다.
다른 설치에서, 선택적인 보안 장치(1008)는 보안 터치 제어기(1006)를 포함할 수 있다. 이 예에서, 보안 터치 제어기(1006)는, 디스플레이 제어기(322)와 관련하여 기술된 바와 같이, 보안 장치(1008)의 보안 환경 내에 있는 "단순" 제어기(dumb controller)일 수 있다. 보안 장치(1008)는 변조 방지 보안 환경[예컨대, 보안 제어기(206)]을 제공하는 데 사용되는 PED(908)와 유사한 구성요소들을 포함할 수 있는 반면, 기타 구성요소들(예컨대, PIN 패드의 키)이 보안 장치(1008)에 없을 수 있거나 다른 목적들을 위해 사용될 수 있다. 하나의 예에서, 보안 장치(1008)가 키 또는 기타 외부 인터페이스 기능들을 포함하지 않는 경우, 보안 장치(1008)는 주유기(200)의 외부면에 설치될 필요 없이 주유기(200) 내에 설치될 수 있다. 하나의 예에서, 선택적인 보안 장치(1008)가 존재할 수 있고 보안 터치 제어기(1006)를 포함하지 않을 수 있다는 것도 잘 알 것이다[예컨대, 보안 터치 제어기(1006)는 독립적인 PCB 또는 AFP(1004) 상에 있을 수 있고 보안 장치(1008)로부터 터치 디스플레이(1002)로의 액세스를 제공할 수 있음].
또 다른 설치에서, 보안 터치 제어기(1006)는 AFP(1004)의 변조 방지 쉘(1014) 아래에 설치될 수 있다. 한 예에서, 보안 터치 제어기(1006)는 여전히 터치 디스플레이에 연결되어 있고, 연관된 케이블은 변조 방지 쉘(1014) 아래에 또는 그를 통해 뻗어 있을 수 있다. 이상의 설치는 보안 터치 제어기(1006)에 대한 변조를 방지하기 위해 그에 대한 변조 방지 보안 환경을 제공한다. 앞서 기술된 바와 같이, 부가의 보안 대책들이 터치 디스플레이(1002)의 디스플레이 기능을 동작시키고 및/또는 제한하는 드라이버에 의해 제공될 수 있다. 드라이버는 [예컨대, 보안 제어기(206)에] 존재할 때, 설치에 따라, 보안 장치(1008)에 의해 SoM(1010) 등에 구현될 수 있다.
한 예에 따르면, 가상 PED가 PIN 또는 기타 기밀 정보를 수신하기 위해 터치 디스플레이(1002) 상에 활성화되어 있지 않을 때, 터치 디스플레이(1002)는 (예컨대, 응용 프로그램이 기밀 정보를 획득하기 위해 PIN 패드를 발생하지 못하게 하는 터치 영역들의 수로) 제한될 수 있다. 이러한 대책들을 실시하기 위해, 선택적인 보안 장치(1008)는, 존재하는 경우, 드라이버를 동작시켜, 보안 제어기(206)와 관련하여 앞서 기술한 바와 같이, 디스플레이(1002)를 그에 따라 제어할 수 있다. 예를 들어, 보안 장치(1008)는 보통 터치 디스플레이(1002)를 제한된 모드에서(예컨대, 10자리 PIN 패드를 제공하지 못하게 하기 위해 8개의 터치 영역을 가짐) 동작시킬 수 있다. PIN 입력이 요청될 때, 보안 장치(1008)는 터치 디스플레이(1002) 상에 가상 PED를 활성화시킬 수 있고 및/또는 그에 따라 가상 PED가 더 이상 디스플레이되지 않을 때까지(예컨대, PIN 입력이 완료될 때까지, OK 또는 취소 영역이 눌러질 때까지, 일정 기간이 만료될 때까지, 기타) 터치 디스플레이(1002)에 대한 다른 요청들을 방지할 수 있다. 하나의 예에서, 보안 장치(1008)는 PIN 또는 기타 기밀 정보가 검색될 때까지 AFP(1004)[또는 SoM(1010)] 상에서 실행 중인 응용 프로그램들이 디스플레이에 액세스하지 못하게 하기 위해 AFP(1004)[또는 SoM(1010)]로부터의 케이블이 결합되어 있는 커넥터를 비활성화시킬 수 있다.
AFP(1004) 상에서 동작 중인 하나 이상의 응용 프로그램들에 의해 PIN 입력이 요청될 수 있고, SoM(1010)은 그에 대한 액세스를 허용하기 전에 응용 프로그램들이 적절한 엔터티에 의해 서명되도록 할 수 있다. 예를 들어, 기술된 바와 같이, SoM(1010)은 [예컨대, PED(908)에 대한 SoM(910)과 유사하게] 보안 장치(1008)와 보안 채널을 설정할 수 있고, 따라서 서명된 응용 프로그램을 대신하여 보안 장치(1008)와의 보안 채널을 통해 가상 PED의 렌더링을 요청할 수 있다. 보안 장치(1008)는 가상 PED를 허가할 수 있다. 보안 장치(1008)가 존재하지 않는 경우, 본 명세서에 더 기술되어 있는 바와 같이, SoM(1010)은 터치 디스플레이(1002)를 안전하게 동작시키기 위해 보안 장치(1008)의 기능을 제공할 수 있다. 하나의 예에서, 보안 장치(1008)는, 그에 부가하여, PIN 패드(212) 및/또는 관련 제어기(206)와 관련하여 앞서 기술된 바와 같이, 거래 지불을 관리할 수 있고, 따라서, 하나의 예에서, 관련 주유기에서의 거래 데이터를 처리하기 위해 PIN을 검색하기 위해 가상 PED를 활성화시킬 수 있다.
상기 예들에서, 보안 터치 제어기(1006)가 보안 장치(1008)의 내부에 있는 경우, 터치 디스플레이(1002)에 의해 렌더링되고 보안 터치 제어기(1006)에 수신되는 가상 PED에의 입력이 또한 보안 장치(1008)에 의해 처리된다. 그렇지만, 보안 터치 제어기(1006)가 보안 장치(1008)의 외부에 있는 경우, 가상 PED 상에서의 기밀 정보의 입력을 위한 부가의 보안을 용이하게 해주기 위해, 터치 디스플레이(1002)로부터의 입력이 보안 장치(1008)에 및/또는 SoM(1010)에 제공하기 위해 보안 터치 제어기(1006)에 의해 암호화될 수 있다. 이것은, SoM과 PED 사이의 보안 채널을 설정하는 것과 관련하여 앞서 기술한 것과 유사하게, 터치 디스플레이(1002) 및 보안 터치 제어기(1006)에 대한 드라이버를 동작시키는 구성요소[예컨대, 보안 장치(1008)]에 의해 보유되고 및/또는 그에 사전 구성되어 있는 비밀, 암호화 키, 또는 기타 보안 정보를 사용하여 수행될 수 있다.
보안 장치(1008)가 존재하지 않는 경우, AFP(1004)는 변조 방지 쉘(1014) 아래에 터치 디스플레이(1002) 및/또는 SoM(1010)에 결합되어 있는 보안 터치 제어기(1006)를 포함할 수 있다. SoM(1010)은, 하나의 예에서, 보안 장치(1008)와 관련하여 앞서 기술한 기능을 구현함으로써 보안 터치 제어기(1006)를 보호하기 위한 보안 제어기일 수 있거나 그를 제공할 수 있다. 이와 같이, 예를 들어, SoM(1010)은, PED(908) 및/또는 연관된 보안 제어기(206)와 관련하여 앞서 기술한 바와 같이, 터치 디스플레이(1002)의 디스플레이 기능을 동작시키고 보호하도록 드라이버를 구현할 수 있다. 예를 들어, SoM(1010)은 PIN 입력을 위해 사용되지 않는 제한된 모드에서 터치 디스플레이(1002)를 동작시킬 수 있다. 응용 프로그램이, 예를 들어, PIN 입력을 위해 터치 디스플레이(1002) 상에서의 가상 PED의 렌더링을 요청할 때, SoM(1010)은 그에 따라 원하는 입력이 수신될 때까지 또는 가상 PED가 터치 디스플레이(1002) 상에서 더 이상 활성이 아닐 때까지 다른 응용 프로그램들이 터치 디스플레이(1002)에 액세스하지 못하게 할 수 있다. 그에 부가하여, 예를 들어, SoM(1010)은, 렌더링하거나 가상 PED에 대한 액세스를 다른 방식으로 허용하기 전에, 먼저 응용 프로그램이 서명되어 있는지를 검증할 수 있다.
그에 부가하여, 보안 장치(1008)가 존재하지 않는 경우, SoM(1010)은, SoM(910) 및 비보안 터치 제어기(906)와 관련하여 앞서 기술한 바와 같이, 보안 터치 제어기(1006)를 통해 수신된 입력을 처리하기 위해 드라이버를 동작시킬 수 있다. 이와 같이, SoM(1010)은 보안 터치 제어기(1006)를 통해 터치 디스플레이(1002)로부터 명령들을 수신할 수 있고, 관련 정보를 터치 디스플레이(1002)에 액세스하는 하나 이상의 응용 프로그램들에 제공하기 위해 명령들을 처리할 수 있다. 게다가, 보안 장치(1008)가 존재하지 않고 보안 터치 제어기(1006)가 SoM(1010)과 직접 통신하는 경우, SoM(1010)은 다른 응용 프로그램들이 보안 터치 제어기(1006)로부터 수신되는 터치 입력 데이터에 액세스할 수 없도록 할 수 있다. 그에 부가하여, 보안 장치(1008)가 존재하지 않는 경우, 보안 칩(1012)이 필요하지 않을 수 있는데, 그 이유는 SoM(1010)이 보안 제어기 기능을 구현하기 때문이다.
게다가, 이 예에서, 변조 방지 쉘(1014)은, 제어기(1006) 및/또는 제어기(1006)를 터치 디스플레이(1002)에 결합시키는 임의의 케이블들에 대한 변조를 완화시키기 위해, 보안 터치 제어기(1006)도 둘러싸고 있다. 기술된 바와 같이, 변조 방지 쉘(1014)은 쉘(1014) 또는 그 안에 배치되어 있는 구성요소들에 대한 움직임, 제거 또는 기타 변조를 검출하기 위해 메쉬 층을 포함할 수 있다. 그에 부가하여, [예컨대, 변조 방지 쉘(1014) 아래에 있는] 보안 터치 제어기(1006)를 터치 디스플레이(1002)와 결합시키기 위해 보안 케이블이 사용될 수 있다. 하나의 예에서, 보안 케이블은 앞서 논의된 연성 회로 어셈블리(602)와 유사할 수 있다. 또한, 예를 들어, 터치 디스플레이(1002)는 그의 움직임 또는 제거를 검출하기 위해, 논의된 바와 같이, 하나 이상의 마이크로스위치들을 이용할 수 있다.
AFP(1004)가, 하나의 예에서, 보안 칩(1012)에 결합되어 있고 보안 터치 제어기(1006)를 갖는 변조 방지 쉘(1014)에 둘러싸여 있는 SoM(1010)으로서 구현될 수 있다는 것을 잘 알 것이다.
도 11은 주유기에 설치하기 위한 한 예시적인 AFP 및 SoM 구성(1100)의 개략적인 측면 입면도를 나타낸 것이다. SoM(1106)을 수납하기 위한 슬롯, 소켓, 또는 유사한 인터페이스(1104)를 포함하는 AFP(1102)가 도시되어 있다. SoM(1106)은 커넥터 또는 회로 어셈블리를 통해 슬롯(1104)에 결합될 수 있는 PCB일 수 있다. 예를 들어, SoM(1106)은 AFP(1102)와 SoM(1106) 사이의 전자 통신을 제공하기 위해 슬롯(1104)에 의해 수납되는 복수의 단자 접점들을 포함할 수 있다. 도시되어 있는 바와 같이, AFP(1102)에 대해 수직으로 또는 직교로 배치되는 슬롯(1104) 상에 SoM(1106)을 수평으로 탑재하는 것은 로우 프로파일 구성(low profile configuration)을 제공한다.
그에 부가하여, 이와 관련하여, SoM(1106)에 대한 변조를 방지하거나 다른 방식으로 검출하기 위해, 변조 방지 쉘(1108)이 SoM(1106)을 둘러싸게 AFP(1102) 상에 설치될 수 있다. 예를 들어, 변조 방지 쉘(1108)은 그와 AFP(1102) 사이에 배치되어 있는 메쉬 층 또는 기타 변조 검출 메커니즘(예컨대, 하나 이상의 스위치들)을 포함할 수 있고, 따라서 변조 방지 쉘(1108) 상에서 검출되는 움직임, 제거 등은, 앞서 기술한 바와 같이, 메모리를 소거하기 위해, 하나 이상의 구성요소들을 디커미셔닝하기 위해, 기타를 위해, AFP(1102), SoM(1106), 또는 관련 프로세서에 대한 이벤트를 트리거할 수 있다. 더욱이, 비록 도시되어 있지는 않지만, AFP(1102)는, 그에 부가하여, 변조 방지 쉘(1108) 내에 설치되어 있는 보안 칩 또는 보안 터치 제어기를 포함할 수 있다.
도 12를 참조하면, 본 명세서에 기술되어 있는 다양한 측면들에 따라 이용될 수 있는 방법이 예시되어 있다. 설명의 간단함을 위해, 이 방법이 일련의 동작들로서 도시되고 기술되어 있지만, 이 방법이 동작들의 순서에 의해 제한되지 않는다는 것을 잘 알 것인데, 그 이유는 어떤 동작들이, 하나 이상의 측면들에 따라, 본 명세서에 도시되고 기술되어 있는 것과 상이한 순서로 및/또는 다른 동작들과 동시에 행해질 수 있기 때문이다. 예를 들어, 기술 분야의 당업자라면 방법이 다른 대안으로서, 상태도에서와 같이, 일련의 상호 관련된 상태들 또는 이벤트들로서 표현될 수 있다는 것을 잘 알 것이다. 더욱이, 하나 이상의 측면들에 따라 방법을 구현하기 위해 예시되어 있는 동작들 모두가 필요한 것은 아닐 수 있다.
도 12는 보안 기능에 액세스하기 위한 요청을 처리하는 예시적인 방법(1200)을 나타낸 것이다. 1202에서, 보안 기능에 액세스하기 위한 요청이 수신된다. 이 요청은, 기술된 바와 같이, 특징 프로세서 상에서 동작 중인 응용 프로그램으로부터 수신될 수 있다. 보안 기능은 물리 PED에 액세스하는 것, 터치스크린 디스플레이의 입력 부분에 액세스하는 것, 이러한 것의 이용가능한 기능(예컨대, 터치스크린 상에 가상 PED를 제시하고 그에 관한 정보를 수신하는 루틴)에 액세스하는 것 등에 관련되어 있을 수 있다. 더욱이, 요청은 보안 출력 또는 보안 입력을 요구하기 위한 출력을 제시하라는 것일 수 있다는 것을 잘 알 것이다.
1204에서, 액세스를 요청하는 응용 프로그램이 인증되어 있는지를 판정될 수 있다. 이것은 응용 프로그램, 요청 등이 서명되어 있는지 및/또는 서명이 용인된 소스(예컨대, 주유기의 제조업체, 소매 사이트 운영자 등)에 상관되어 있는지를 검증하는 것을 포함할 수 있다. 응용 프로그램이 인증되지 않은 경우, 1206에서, 기능에 대한 요청이 거부될 수 있다.
응용 프로그램이 인증되어 있는 경우, 1208에서, 기능이 활성화되고, 요청이 허용된다. 기능을 활성화시키는 것은 보안 기능에 액세스하기 위해 보안 채널을 통해 보안 제어기와 통신하는 것을 포함할 수 있다. 예를 들어, 이것은 (예컨대, 저장된 비밀, 암호화 정보 등을 사용하여 설정된) 보안 채널을 통해 PED, 터치 디스플레이, 또는 그의 일부분 등을 활성화시키는 것을 포함할 수 있다. 그에 부가하여, 1208에서 기능을 활성화시키고 요청을 허용하는 것은 또한 다른 응용 프로그램이 요청된 기능을 사용하고 있지 않도록 하는 것을 포함할 수 있다. 더욱이, 1204에서 인증을 검증하는 것이, 하나의 예에서 기술된 바와 같이, SoM에 의해 수행될 수 있지만, 1208에서 기능을 활성화시키는 것은 SoM에 의해 보안 제어기에 요청되고, 보안 제어기는, 기술된 바와 같이, PED에 있는 하드웨어 제어기, SoM에 의해 동작되는 소프트웨어 드라이버 등일 수 있다.
1210에서, 다른 응용 프로그램들(예컨대, 인증되지 않은 응용 프로그램들 또는 임의의 응용 프로그램들)이 요청에 기초하여 장치를 사용하지 못하도록 차단될 수 있다. 이것은 장치에 관련된 다른 응용 프로그램들로부터의 명령들을 필터링하는 것을 포함할 수 있고, 이 필터링은, 하나의 예에서, 장치의 출력 또는 기타 기능에 관련된 명령들도 필터링하는 것을 포함할 수 있다. 한 예에서, 보안 기능이 터치 디스플레이의 입력 기능에 상관되어 있을 수 있고, 여기서 장치는 디스플레이이고, 따라서 보안 기능이 활성화되어 있는 동안 다른 응용 프로그램들이 액세스하지 못하도록 디스플레이가 보호된다. 다른 예에서, 보안 기능이, 기술된 바와 같이, PIN 패드에 상관되어 있을 수 있고, 여기서 장치는 디스플레이이고, 그의 적어도 일부분이 PIN 패드가 활성인 동안 다른 응용 프로그램들로부터 차단되어 있다. 1210에서 차단하는 것은 SoM에서(예컨대, 다른 응용 프로그램들이 인증되지 않은 경우) 및/또는 PED에서(예컨대, 다른 응용 프로그램들이 보안 기능을 사용하는 응용 프로그램과 연관되어 있지 않은 경우) 행해질 수 있다.
1212에서, 기능이 종료될 수 있다. 이것은 입력이 수신되었다는 또는 기능이 더 이상 필요하지 않다는 표시(예컨대, "OK" 또는 "취소" 버튼을 누르는 것), 수행되는 입력 동작들의 수, 시간의 경과, 또는 기타 표시에 관련되어 있을 수 있다. 기능이 종료된 경우, 다른 응용 프로그램들이 장치를 사용하도록 허용된다(1214). 이것은 출력 또는 기타 입력 기능들 및/또는 허용되는 경우 1202에서 요청된 기능 등의 다른 목적들을 위해 장치를 사용하는 것을 포함할 수 있다.
하나 이상의 측면들이 이상에 기술되어 있지만, 제시된 측면들의 등가 실현들 중 일부 및 전부가 그의 범위 및 사상 내에 포함된다는 것을 잘 알 것이다. 도시된 측면들은 단지 예로서 제시된 것이며, 상세한 설명을 바탕으로 구현될 수 있는 다양한 측면들에 대한 제한으로 보아서는 안된다. 따라서, 기술 분야의 당업자라면, 여러 수정들이 행해질 수 있기 때문에, 제시된 발명 요지가 이들 측면으로 제한되지 않는다는 것을 잘 알 것이다. 따라서, 제시된 발명 요지의 범위 및 사상 내에 속할 수 있는 이러한 실시예들 중 일부 및 전부가 제시된 발명 요지에 포함되는 것으로 생각된다.

Claims (55)

  1. 자동 판매기(vending machine)로서,
    디스플레이;
    상기 디스플레이에 연결되어 동작하고 상기 디스플레이의 터치스크린 기능으로부터 입력 데이터를 수신하도록 구성되어 있는 터치 제어기;
    상기 디스플레이에 연결되어 동작하고 상기 디스플레이로 전송되는 디스플레이 데이터를 관리함으로써 상기 디스플레이를 보호하도록 구성되어 있는 보안 제어기;
    하나 이상의 응용 프로그램들이 상기 보안 제어기를 통해 상기 디스플레이에 액세스하는 것을 관리하는, 상기 보안 제어기에 연결되어 동작하는 프로세서; 및
    거래를 위해 상기 하나 이상의 응용 프로그램들에 의해 요청되는 지불 데이터를 수신하도록 구성되어 있는 적어도 하나의 지불 구성요소
    를 포함하고,
    상기 프로세서는 상기 하나 이상의 응용 프로그램들이 인증된 엔터티의 서명에 의해 서명되어 있는지 여부에 대한 판정에 적어도 부분적으로 기초하여 상기 보안 제어기에 제공하기 위한 상기 하나 이상의 응용 프로그램들로부터의 통신을 관리하도록 구성되어 있고,
    상기 보안 제어기는 상기 적어도 하나의 지불 구성요소에 연결되어 동작하고, 또한 상기 적어도 하나의 지불 구성요소로부터 상기 지불 데이터를 수신하도록 그리고 상기 지불 데이터를 수신할 때 적어도 부분적으로 하나 이상의 다른 응용 프로그램들로부터의 데이터를 차단함으로써 상기 디스플레이를 보호하도록 구성되어 있고,
    상기 적어도 하나의 지불 구성요소는 PED[PIN(personal identification number) entry device, PIN 입력 장치]를 포함하고,
    상기 PED는 상기 PED와 상기 디스플레이 사이의 통신을 위해 적어도 하나의 케이블에 의해 상기 디스플레이에 연결되어 동작하는, 자동 판매기.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 적어도 하나의 케이블은 상기 케이블에 대한 변조(tampering)를 검출할 수 있고, 변조를 검출한 것에 적어도 부분적으로 기초하여, 상기 PED 또는 상기 디스플레이에 대한 이벤트를 트리거하도록 구성되어 있는 메쉬 층(mesh layer)을 포함하는, 자동 판매기.
  6. 제5항에 있어서,
    상기 PED는 상기 이벤트를 트리거한 것에 적어도 부분적으로 기초하여 보안 메모리의 내용을 삭제하도록 구성되어 있는, 자동 판매기.
  7. 제5항에 있어서,
    상기 PED는 상기 이벤트를 트리거한 것에 적어도 부분적으로 기초하여 상기 PED 또는 상기 디스플레이를 디커미셔닝(decommission)하도록 구성되어 있는, 자동 판매기.
  8. 제1항에 있어서,
    상기 적어도 하나의 케이블은 상기 적어도 하나의 케이블이 상기 PED 또는 상기 디스플레이에 탑재될 때 활성화되는 하나 이상의 스위치들을 포함하고, 상기 하나 이상의 스위치들의 비활성화는 상기 적어도 하나의 케이블에 대한 변조를 나타내는 이벤트를 상기 PED 또는 상기 디스플레이 상에서 트리거하는, 자동 판매기.
  9. 제8항에 있어서,
    상기 PED는 상기 이벤트를 트리거한 것에 적어도 부분적으로 기초하여 보안 메모리의 내용을 삭제하도록 구성되어 있는, 자동 판매기.
  10. 제8항에 있어서,
    상기 PED는 상기 이벤트를 트리거한 것에 적어도 부분적으로 기초하여 상기 PED 또는 상기 디스플레이를 디커미셔닝하도록 구성되어 있는, 자동 판매기.
  11. 제1항에 있어서,
    상기 PED는 상기 프로세서를 포함하는, 자동 판매기.
  12. 제1항에 있어서,
    상기 PED는 상기 터치 제어기를 포함하는, 자동 판매기.
  13. 제1항에 있어서,
    상기 적어도 하나의 지불 구성요소는 카드 판독기를 포함하는, 자동 판매기.
  14. 자동 판매기로서,
    디스플레이;
    상기 디스플레이에 연결되어 동작하고 상기 디스플레이의 터치스크린 기능으로부터 입력 데이터를 수신하도록 구성되어 있는 터치 제어기;
    상기 디스플레이에 연결되어 동작하고 상기 디스플레이로 전송되는 디스플레이 데이터를 관리함으로써 상기 디스플레이를 보호하도록 구성되어 있는 보안 제어기; 및
    하나 이상의 응용 프로그램들이 상기 보안 제어기를 통해 상기 디스플레이에 액세스하는 것을 관리하는, 상기 보안 제어기에 연결되어 동작하는 프로세서
    를 포함하고,
    상기 프로세서는 상기 하나 이상의 응용 프로그램들이 인증된 엔터티의 서명에 의해 서명되어 있는지 여부에 대한 판정에 적어도 부분적으로 기초하여 상기 보안 제어기에 제공하기 위한 상기 하나 이상의 응용 프로그램들로부터의 통신을 관리하도록 구성되어 있고,
    상기 프로세서는 상기 인증된 엔터티에 의해 서명된 상기 응용 프로그램들 중 하나 이상으로부터의 데이터를 상기 보안 제어기에 제공하기 위해 상기 보안 제어기와 보안 채널을 설정하는 SoM(system on module)을 포함하는, 자동 판매기.
  15. 제14항에 있어서,
    상기 SoM은 상기 보안 제어기와 상기 보안 채널을 설정하기 위한 보안 정보를 저장하는 보안 칩에 결합되어 동작하는, 자동 판매기.
  16. 제15항에 있어서,
    상기 보안 칩은 상기 SoM의 식별 파라미터를 검증한 것에 적어도 부분적으로 기초하여 상기 보안 정보를 상기 SoM에 제공하는, 자동 판매기.
  17. 제16항에 있어서,
    상기 보안 칩은 상기 식별 파라미터에 적어도 부분적으로 기초하여 상기 보안 칩의 설치 이전에 상기 SoM과 페어링되는, 자동 판매기.
  18. 제15항에 있어서,
    상기 보안 칩 및 상기 보안 제어기는 상기 자동 판매기를 소매 사이트(retail site)에 설치하기 전에 상기 보안 정보로 구성되는, 자동 판매기.
  19. 제15항에 있어서,
    상기 SoM은 상기 보안 칩 및 상기 SoM과 접촉하여 설치되어 있는 메쉬 층을 더 포함하고, 상기 메쉬 층은 상기 보안 칩에 대한 변조를 검출하도록 그리고 변조가 검출될 때 상기 SoM 상에서 이벤트를 트리거하도록 구성되어 있는, 자동 판매기.
  20. 제19항에 있어서,
    상기 보안 칩 및 상기 SoM 상에 설치된 변조 방지 쉘(anti-tampering shell)을 더 포함하고, 상기 변조 방지 쉘은 상기 메쉬 층을 포함하는, 자동 판매기.
  21. 제14항에 있어서,
    상기 SoM은 상기 프로세서에 대해 수평으로 탑재되어 있는, 자동 판매기.
  22. 제21항에 있어서,
    상기 프로세서 상에 탑재되고 상기 SoM에 대한 잠재적인 변조를 검출하기 위해 상기 SoM을 둘러싸고 있는 변조 방지 쉘을 더 포함하는 자동 판매기.
  23. 제14항에 있어서,
    상기 SoM은 상기 디스플레이에 대한 드라이버에 상기 보안 제어기를 구현하는, 자동 판매기.
  24. 제1항에 있어서,
    상기 프로세서는 상기 보안 제어기를 포함하고, 상기 프로세서는, 상기 디스플레이의 일부분이 민감한 데이터를 수신하기 위해 활성화되어 있는지 여부에 적어도 부분적으로 기초하여, 상기 하나 이상의 응용 프로그램들이 상기 디스플레이에 액세스하는 것을 관리하는, 자동 판매기.
  25. 제1항에 있어서,
    상기 프로세서는 인증된 엔터티들의 하나 이상의 서명들의 목록을 저장하도록 구성되어 있고, 상기 하나 이상의 응용 프로그램들이 인증된 엔터티의 서명에 의해 서명되어 있는지를 판정하는 것은 상기 서명이 상기 하나 이상의 서명들의 목록에 있는지를 판정하는 것을 포함하는, 자동 판매기.
  26. 제25항에 있어서,
    상기 하나 이상의 서명들의 목록은 상기 자동 판매기의 제조업체 또는 상기 자동 판매기가 동작하는 소매 사이트에 대응하는 서명을 포함하는, 자동 판매기.
  27. 제25항에 있어서,
    상기 보안 제어기는 상기 프로세서와 보안 채널을 설정할 시에 상기 하나 이상의 서명들의 목록을 상기 프로세서로 전달하는, 자동 판매기.
  28. 제1항에 있어서,
    상기 터치 제어기는 상기 디스플레이로부터 수신된 상기 입력 데이터를 상기 프로세서로 전달하는, 자동 판매기.
  29. 제1항에 있어서,
    상기 디스플레이는 상기 자동 판매기 상의 하우징에 고정되어 있고, 상기 디스플레이가 상기 하우징에 의도된 방식으로 고정될 때 하나 이상의 스위치들이 활성이도록 상기 하나 이상의 스위치들이 상기 디스플레이와 상기 하우징 사이에 배치되어 있으며, 상기 하나 이상의 스위치들의 비활성화는 상기 디스플레이를 디커미셔닝하기 위한 이벤트를 트리거하는, 자동 판매기.
  30. 자동 판매기로서,
    디스플레이;
    상기 디스플레이에 연결되어 동작하고 상기 디스플레이의 터치스크린 기능으로부터 입력 데이터를 수신하도록 구성되어 있는 터치 제어기;
    상기 디스플레이에 연결되어 동작하고 상기 디스플레이로 전송되는 디스플레이 데이터를 관리함으로써 상기 디스플레이를 보호하도록 구성되어 있는 보안 제어기;
    하나 이상의 응용 프로그램들이 상기 보안 제어기를 통해 상기 디스플레이에 액세스하는 것을 관리하는, 상기 보안 제어기에 연결되어 동작하는 프로세서; 및
    HIP(hub interface printed circuit board) 및 제2 프로세서
    를 포함하고,
    상기 프로세서 및 상기 제2 프로세서는 상기 HIP의 인접한 측면들 상에 설치되고,
    상기 프로세서는 상기 하나 이상의 응용 프로그램들이 인증된 엔터티의 서명에 의해 서명되어 있는지 여부에 대한 판정에 적어도 부분적으로 기초하여 상기 보안 제어기에 제공하기 위한 상기 하나 이상의 응용 프로그램들로부터의 통신을 관리하도록 구성되어 있는, 자동 판매기.
  31. 제1항에 있어서,
    주유를 용이하게 해주도록, 거래를 위해 주유량을 측정하도록, 그리고 상기 디스플레이 상에 렌더링하기 위해 상기 주유량을 상기 보안 제어기로 출력하도록 구성되어 있는 주유 구성요소들을 더 포함하고, 상기 보안 제어기는 또한 주유를 제어하기 위해 상기 주유 구성요소들 중 적어도 하나의 구성요소의 동작을 관리하도록 구성되어 있는, 자동 판매기.
  32. 제1항에 있어서,
    상기 보안 제어기는 상기 터치 제어기를 포함하는, 자동 판매기.
  33. 사용자 인터페이스로서,
    터치 디스플레이;
    상기 터치 디스플레이에의 액세스를 관리하는 보안 제어기; 및
    상기 터치 디스플레이에의 액세스를 상기 보안 제어기에 요청하는 하나 이상의 응용 프로그램들을 실행하는 프로세서
    를 포함하고,
    상기 프로세서는 상기 하나 이상의 응용 프로그램들이 특정의 엔터티에 의해 서명되어 있는지 여부에 적어도 부분적으로 기초하여 상기 보안 제어기에 제공하기 위한 상기 하나 이상의 응용 프로그램들로부터의 통신을 보호하고,
    상기 프로세서는 적어도 부분적으로 상기 통신을 상기 보안 제어기에 제공하기 전에 보안 칩에 저장되어 있는 암호화 정보를 상기 통신에 적용함으로써 상기 통신을 보호하는, 사용자 인터페이스.
  34. 삭제
  35. 제33항에 있어서,
    상기 암호화 정보는 상기 보안 칩 및 상기 보안 제어기를 상기 사용자 인터페이스에 설치할 시에 상기 보안 칩 및 상기 보안 제어기에 제공되는, 사용자 인터페이스.
  36. 제33항에 있어서,
    상기 프로세서는 상기 보안 칩과 통신하기 위해 그리고 상기 하나 이상의 응용 프로그램들의 통신을 보호할지를 판정하기 위해 SoM(system on module)을 이용하는, 사용자 인터페이스.
  37. 제33항에 있어서,
    상기 보안 제어기는, 상기 보안 제어기의 구성요소가 활성화되어 있는지 여부에 적어도 부분적으로 기초하여, 상기 터치 디스플레이의 디스플레이 기능에의 액세스를 제한하는, 사용자 인터페이스.
  38. 제33항에 있어서,
    상기 보안 제어기는 상기 보안 제어기의 구성요소가 활성화되어 있지 않은 경우, 적어도 부분적으로 상기 터치 디스플레이 상의 제한된 수의 터치가능 영역들에의 액세스를 허용함으로써, 상기 터치 디스플레이의 입력 기능에의 액세스를 제한하는, 사용자 인터페이스.
  39. 제33항에 있어서,
    상기 프로세서에 관련된 보안 칩에 근접하여 배치된 메쉬 층을 더 포함하고, 상기 메쉬 층은 보안 칩의 움직임을 검출하여 상기 프로세서가 보안 통신을 할 수 있게 해주는, 사용자 인터페이스.
  40. 제39항에 있어서,
    상기 메쉬 층은 상기 보안 칩의 움직임을 검출하고 상기 프로세서에서 대응하는 이벤트를 트리거하는, 사용자 인터페이스.
  41. 제40항에 있어서,
    상기 이벤트는 상기 프로세서로 하여금 보안 메모리의 적어도 일부분을 소거하게 하거나 상기 터치 디스플레이를 디커미셔닝하게 하는, 사용자 인터페이스.
  42. 제33항에 있어서,
    상기 프로세서는 상기 보안 제어기를 포함하고, 상기 터치 디스플레이를 이용하는 하나 이상의 응용 프로그램들에 대해 상기 터치 디스플레이에의 액세스를 관리하는, 사용자 인터페이스.
  43. 제33항에 있어서,
    상기 보안 제어기를 포함하는 PED[PIN(personal identification number) entry device, PIN 입력 장치]; 및
    상기 터치 디스플레이의 입력 기능에의 액세스를 가능하게 해주는 터치 제어기를 더 포함하는 사용자 인터페이스.
  44. 보안 기능에의 액세스를 관리하는 방법으로서,
    보안 기능에 액세스하기 위한 응용 프로그램으로부터의 요청을 수신하는 단계;
    상기 응용 프로그램에 의해 제공된 서명에 적어도 부분적으로 기초하여, 상기 응용 프로그램이 인증된 것으로 판정하는 단계;
    보안 제어기를 사용하여 상기 응용 프로그램에 대한 상기 보안 기능을 활성화시키는 단계;
    상기 보안 기능이 활성인 동안 상기 보안 제어기를 사용하여 하나 이상의 응용 프로그램들로부터 장치로의 액세스를 차단하는 단계;
    상기 보안 제어기에 관련된 구성요소들에 대한 변조에 대응하는 트리거된 이벤트의 표시를 수신하는 단계; 및
    상기 트리거된 이벤트에 적어도 부분적으로 기초하여, 상기 보안 기능에 관련된 메모리의 적어도 일부분을 소거하는 단계
    를 포함하는 방법.
  45. 제44항에 있어서,
    상기 보안 기능은 터치 디스플레이의 출력 기능에 상관되어 있고, 상기 장치는 상기 터치 디스플레이인, 방법.
  46. 제45항에 있어서,
    상기 보안 기능을 활성화시키는 단계는 상기 터치 디스플레이 상에 PIN(personal identification number) 입력 장치를 렌더링하는 단계를 포함하는, 방법.
  47. 삭제
  48. 소매 장치에 대한 사용자 인터페이스로서,
    지불 카드와 연관되어 있는 지불 데이터를 수신하도록 구성되어 있는 적어도 하나의 지불 장치;
    상기 적어도 하나의 지불 장치에 연결되어 동작하고 상기 지불 카드와 연관되어 있는 상기 지불 데이터를 상기 적어도 하나의 지불 장치로부터 수신하도록 그리고 암호화된 지불 데이터를 생성하기 위해 상기 지불 데이터를 암호화하도록 구성되어 있는 제1 제어기;
    상기 제1 제어기에 연결되어 동작하고 상기 암호화된 지불 데이터를 상기 제1 제어기로부터 수신하도록 구성되어 있는 제2 제어기;
    상기 제2 제어기에 연결되어 동작하는 디스플레이 - 상기 제2 제어기는 상기 디스플레이의 동작을 관리하도록 구성되어 있음 -; 및
    상기 제1 제어기와 상기 제2 제어기의 분리를 검출하도록 구성되어 있는, 상기 제1 제어기 및 제2 제어기에 연결되어 동작하는 적어도 하나의 센서
    를 포함하고,
    상기 적어도 하나의 센서의 활성화는 상기 사용자 인터페이스를 동작되지 않게 하고,
    상기 제1 제어기는 지불 데이터를 수신하도록 구성되어 있는 상기 사용자 인터페이스의 모든 지불 장치들에 연결되어 동작하고, 모든 지불 데이터를 처리하도록 구성되어 있으며, 상기 제2 제어기는 암호화되지 않은 형식으로 된 어떠한 민감한 지불 데이터도 처리하지 않는, 사용자 인터페이스.
  49. 제48항에 있어서,
    상기 제1 제어기는 임의의 지불 데이터의 수신에 기초하여 상기 사용자 인터페이스를 보안 상태에 둘지의 여부를 결정하고, 상기 사용자 인터페이스를 상기 보안 상태에 두기로 한 결정에 적어도 부분적으로 기초하여 상기 디스플레이의 동작에 관한 명령을 상기 제2 제어기에 제공할지의 여부를 결정하는, 사용자 인터페이스.
  50. 삭제
  51. 소매 장치에 대한 사용자 인터페이스로서,
    지불 카드와 연관되어 있는 지불 데이터를 수신하도록 구성되어 있는 적어도 하나의 지불 장치;
    상기 적어도 하나의 지불 장치에 연결되어 동작하고 상기 지불 카드와 연관되어 있는 상기 지불 데이터를 상기 적어도 하나의 지불 장치로부터 수신하도록 그리고 암호화된 지불 데이터를 생성하기 위해 상기 지불 데이터를 암호화하도록 구성되어 있는 제1 제어기;
    상기 제1 제어기에 연결되어 동작하고 상기 암호화된 지불 데이터를 상기 제1 제어기로부터 수신하도록 구성되어 있는 제2 제어기;
    상기 제2 제어기에 연결되어 동작하는 디스플레이 - 상기 제2 제어기는 상기 디스플레이의 동작을 관리하도록 구성되어 있음 -;
    하우징 - 상기 제1 제어기는 상기 하우징에 고정되어 있음 -; 및
    상기 제1 제어기 및 상기 하우징에 연결되어 있는 적어도 하나의 센서 - 상기 적어도 하나의 센서는 상기 제1 제어기와 상기 하우징의 분리를 검출하도록 구성되어 있음 -
    를 포함하고,
    상기 제1 제어기는 지불 데이터를 수신하도록 구성되어 있는 상기 사용자 인터페이스의 모든 지불 장치들에 연결되어 동작하고, 모든 지불 데이터를 처리하도록 구성되어 있으며, 상기 제2 제어기는 암호화되지 않은 형식으로 된 어떠한 민감한 지불 데이터도 처리하지 않으며,
    상기 적어도 하나의 센서의 활성화는 상기 사용자 인터페이스를 동작되지 않게 하는, 사용자 인터페이스.
  52. 제48항에 있어서,
    상기 제1 제어기는 상기 지불 카드를 수반하는 거래를 처리하도록 구성되어 있는 호스트 처리 시스템의 호스트 암호화 방식에 따라 상기 지불 데이터의 제1 부분을 암호화하는, 사용자 인터페이스.
  53. 제48항에 있어서,
    상기 제1 제어기는 로컬 암호화 방식에 따라 상기 지불 데이터의 제2 부분을 암호화하는, 사용자 인터페이스.
  54. 제48항에 있어서,
    상기 적어도 하나의 지불 장치는 카드 판독기인, 사용자 인터페이스.
  55. 제54항에 있어서,
    상기 카드 판독기는 자기 띠(magnetic stripe) 카드 판독기인, 사용자 인터페이스.
KR1020147013106A 2011-10-20 2012-10-22 주유기 사용자 인터페이스 시스템 아키텍처 KR102107254B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201161549609P 2011-10-20 2011-10-20
US61/549,609 2011-10-20
US201261660642P 2012-06-15 2012-06-15
US61/660,642 2012-06-15
US13/655,938 2012-10-19
US13/655,938 US10102401B2 (en) 2011-10-20 2012-10-19 Fuel dispenser user interface system architecture
PCT/EP2012/070841 WO2013057305A1 (en) 2011-10-20 2012-10-22 Fuel dispenser user interface system architecture

Publications (2)

Publication Number Publication Date
KR20140088565A KR20140088565A (ko) 2014-07-10
KR102107254B1 true KR102107254B1 (ko) 2020-05-07

Family

ID=48136624

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147013106A KR102107254B1 (ko) 2011-10-20 2012-10-22 주유기 사용자 인터페이스 시스템 아키텍처

Country Status (7)

Country Link
US (2) US10102401B2 (ko)
EP (2) EP2769332A1 (ko)
KR (1) KR102107254B1 (ko)
CN (1) CN104094276B (ko)
AU (1) AU2012324788B2 (ko)
CA (1) CA2852799C (ko)
WO (1) WO2013057305A1 (ko)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10102401B2 (en) 2011-10-20 2018-10-16 Gilbarco Inc. Fuel dispenser user interface system architecture
US9778841B2 (en) 2012-02-10 2017-10-03 Hand Held Products, Inc. Apparatus having random ordered keypad
US9268930B2 (en) * 2012-11-29 2016-02-23 Gilbarco Inc. Fuel dispenser user interface system architecture
US20140208105A1 (en) * 2013-01-23 2014-07-24 GILBARCO, S.r.I. Automated Content Signing for Point-of-Sale Applications in Fuel Dispensing Environments
US9264228B2 (en) 2013-02-14 2016-02-16 BBPOS Limited System and method for a secure display module
ES2532653B1 (es) * 2013-09-30 2016-01-05 Intelligent Data, S.L. Dispositivo electrónico de pago
US9171133B2 (en) 2013-10-11 2015-10-27 Landis+Gyr Innovations, Inc. Securing a device and data within the device
EP3063900B1 (en) 2013-10-30 2023-11-29 Gilbarco Inc. Cryptographic watermarking of content in fuel dispensing environments
US20150148942A1 (en) * 2013-11-24 2015-05-28 C. Owen DeWitt Control Board and Dispenser Security Monitoring System
US9665861B2 (en) * 2014-01-10 2017-05-30 Elo Touch Solutions, Inc. Multi-mode point-of-sale device
KR102208696B1 (ko) * 2014-05-13 2021-01-28 삼성전자주식회사 센서 데이터 획득 방법 및 그 장치
CN103957223A (zh) * 2014-05-20 2014-07-30 深圳市中兴移动通信有限公司 信息的安全传输装置和方法
FR3026207B1 (fr) * 2014-09-22 2018-08-17 Prove & Run Terminal a affichage securise
TWM510512U (zh) * 2015-03-27 2015-10-11 Uniform Ind Corp 防側錄讀卡裝置
EP3423984B1 (en) * 2016-03-02 2021-05-19 Cryptera A/S Secure display device
EP3436397A4 (en) * 2016-03-27 2020-01-15 Gilbarco Inc. FUEL DISTRIBUTOR HAVING INTEGRATED CONTROL ELECTRONICS
KR101692952B1 (ko) * 2016-04-15 2017-01-04 주식회사 이노이엔티 셀프 주유기 및 그 동작방법
US11393051B2 (en) * 2016-06-10 2022-07-19 Gilbarco Inc. Fuel dispenser utilizing tokenized user guidance and prompting for secure payment
CN110326016A (zh) * 2016-10-17 2019-10-11 韦恩加油系统有限公司 无打印机的燃料加注机
WO2018194185A2 (en) * 2017-04-18 2018-10-25 Koko Networks Limited Liquid fuel delivery and usage systems and methods
US10733589B2 (en) 2017-04-28 2020-08-04 Square, Inc. Point of sale device power management and under voltage protection
CA3062079A1 (en) 2017-05-30 2018-12-06 Gilbarco Inc. Fuel dispenser alternative content control based on monitored fueling transaction phase
US11257058B1 (en) 2017-10-30 2022-02-22 Square, Inc. Sharing output device between unsecured processor and secured processor
US10970698B1 (en) * 2017-12-08 2021-04-06 Square, Inc. Reader detection signal bypassing secure processor
FR3097669B1 (fr) * 2019-06-20 2021-12-10 Ingenico Group système de lecture de carte de transaction hybride
US11139963B2 (en) * 2019-09-12 2021-10-05 General Electric Company Communication systems and methods
US11783310B1 (en) * 2020-06-16 2023-10-10 Block, Inc. Point-of-sale authorization

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070033398A1 (en) * 2005-08-04 2007-02-08 Gilbarco Inc. System and method for selective encryption of input data during a retail transaction
US7254463B1 (en) 2003-02-06 2007-08-07 Moore Philip R Fuel dispensing system with modular components
US20090265638A1 (en) * 2007-10-10 2009-10-22 Giovanni Carapelli System and method for controlling secure content and non-secure content at a fuel dispenser or other retail device
WO2010142748A1 (en) 2009-06-09 2010-12-16 Gilbarco, S.R.L. Fuel dispenser user interface

Family Cites Families (75)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4200770A (en) 1977-09-06 1980-04-29 Stanford University Cryptographic apparatus and method
US4405829A (en) 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
US4797920A (en) 1987-05-01 1989-01-10 Mastercard International, Inc. Electronic funds transfer system with means for verifying a personal identification number without pre-established secret keys
US5228084A (en) 1991-02-28 1993-07-13 Gilbarco, Inc. Security apparatus and system for retail environments
CA2078020C (en) 1992-09-11 2000-12-12 Rodney G. Denno Combination pin pad and terminal
CA2191331C (en) 1994-05-26 2005-12-20 Mark Stephen Anderson Secure computer architecture
US6366682B1 (en) 1994-11-28 2002-04-02 Indivos Corporation Tokenless electronic transaction system
US7248719B2 (en) 1994-11-28 2007-07-24 Indivos Corporation Tokenless electronic transaction system
US6577734B1 (en) 1995-10-31 2003-06-10 Lucent Technologies Inc. Data encryption key management system
US5832206A (en) 1996-03-25 1998-11-03 Schlumberger Technologies, Inc. Apparatus and method to provide security for a keypad processor of a transaction terminal
US5790410A (en) 1996-12-12 1998-08-04 Progressive International Electronics Fuel dispenser controller with data packet transfer command
US6078888A (en) 1997-07-16 2000-06-20 Gilbarco Inc. Cryptography security for remote dispenser transactions
US6026492A (en) 1997-11-06 2000-02-15 International Business Machines Corporation Computer system and method to disable same when network cable is removed
US7047416B2 (en) 1998-11-09 2006-05-16 First Data Corporation Account-based digital signature (ABDS) system
US6317835B1 (en) 1998-12-23 2001-11-13 Radiant Systems, Inc. Method and system for entry of encrypted and non-encrypted information on a touch screen
US6685089B2 (en) 1999-04-20 2004-02-03 Gilbarco, Inc. Remote banking during fueling
US6442448B1 (en) 1999-06-04 2002-08-27 Radiant Systems, Inc. Fuel dispensing home phone network alliance (home PNA) based system
US6630928B1 (en) 1999-10-01 2003-10-07 Hewlett-Packard Development Company, L.P. Method and apparatus for touch screen data entry
US6360138B1 (en) 2000-04-06 2002-03-19 Dresser, Inc. Pump and customer access terminal interface computer converter to convert traditional pump and customer access terminal protocols to high speed ethernet protocols
US6736313B1 (en) 2000-05-09 2004-05-18 Gilbarco Inc. Card reader module with pin decryption
JP3552648B2 (ja) 2000-06-20 2004-08-11 インターナショナル・ビジネス・マシーンズ・コーポレーション アドホック無線通信用データ送受システム及びアドホック無線通信用データ送受方法
US20020136214A1 (en) * 2000-08-14 2002-09-26 Consumer Direct Link Pervasive computing network architecture
EP1184818A1 (en) * 2000-09-01 2002-03-06 Marconi Commerce Systems S.r.L. Vending system for selling products or services to purchasers having mobile communicators
AU2001293564A1 (en) 2000-09-20 2002-04-02 Soma Networks, Inc. Point of sale terminal
GB2368950B (en) 2000-11-09 2004-06-16 Ncr Int Inc Encrypting keypad module
US20020124170A1 (en) 2001-03-02 2002-09-05 Johnson William S. Secure content system and method
US20020138554A1 (en) 2001-03-26 2002-09-26 Motorola, Inc. Method for remotely verifying software integrity
US20030055738A1 (en) 2001-04-04 2003-03-20 Microcell I5 Inc. Method and system for effecting an electronic transaction
US20020157003A1 (en) 2001-04-18 2002-10-24 Rouslan Beletski Apparatus for secure digital signing of documents
US20020153424A1 (en) 2001-04-19 2002-10-24 Chuan Li Method and apparatus of secure credit card transaction
US7730401B2 (en) 2001-05-16 2010-06-01 Synaptics Incorporated Touch screen with user interface enhancement
US20030002667A1 (en) 2001-06-29 2003-01-02 Dominique Gougeon Flexible prompt table arrangement for a PIN entery device
US7047223B2 (en) 2001-06-29 2006-05-16 Hewlett-Packard Development Company, L.P. Clear text transmission security method
US20030030720A1 (en) 2001-08-10 2003-02-13 General Instrument Corporation Wireless video display apparatus and associated method
US20030194071A1 (en) 2002-04-15 2003-10-16 Artoun Ramian Information communication apparatus and method
US6669100B1 (en) 2002-06-28 2003-12-30 Ncr Corporation Serviceable tamper resistant PIN entry apparatus
WO2004017255A1 (ja) 2002-08-16 2004-02-26 Fujitsu Limited 取引端末装置および取引端末制御方法
ITFI20020190A1 (it) 2002-10-09 2004-04-10 Gilbarco S P A Controllore sicuro di punto vendita automatico (opt) conforme a specifiche emv
US7054829B2 (en) 2002-12-31 2006-05-30 Pitney Bowes Inc. Method and system for validating votes
US20050278533A1 (en) 2003-01-12 2005-12-15 Yaron Mayer System and method for secure communications
KR100952949B1 (ko) 2003-01-24 2010-04-15 엘지전자 주식회사 고밀도 광디스크의 복사 방지 정보 관리방법
US8195328B2 (en) * 2003-09-19 2012-06-05 Vesta Medical, Llc Combination disposal and dispensing apparatus and method
US7370200B2 (en) 2004-01-30 2008-05-06 Hewlett-Packard Development Company, L.P. Validation for secure device associations
US7607576B2 (en) 2004-02-27 2009-10-27 Gilbarco, Inc. Local zone security architecture for retail environments
US20060089145A1 (en) 2004-10-27 2006-04-27 Infon Chen Wireless vehicle-specific data management
US20070204173A1 (en) 2006-02-15 2007-08-30 Wrg Services Inc. Central processing unit and encrypted pin pad for automated teller machines
US8009032B2 (en) 2006-11-21 2011-08-30 Gilbarco Inc. Remote display tamper detection using data integrity operations
US7699757B2 (en) * 2006-12-05 2010-04-20 Cardiogrip Iph, Inc. Apparatus, system and method for carrying out protocol-based isometric exercise regimen
US7881329B2 (en) 2007-05-25 2011-02-01 Sharp Laboratories Of America, Inc. Method and system for maintaining high reliability logical connection
US20090064273A1 (en) 2007-08-31 2009-03-05 Broadcom Corporation Methods and systems for secure data entry and maintenance
US8341083B1 (en) * 2007-09-12 2012-12-25 Devicefidelity, Inc. Wirelessly executing financial transactions
US20090154696A1 (en) 2007-11-05 2009-06-18 Gilbarco Inc. System and Method for Secure Keypad Protocol Emulation in a Fuel Dispenser Environment
EP2243106A2 (fr) * 2007-12-21 2010-10-27 France Telecom Procede de lecture d'une etiquette electronique par un terminal
US20100020971A1 (en) 2008-07-24 2010-01-28 Richard Hanks Device and Method for a Secure Transaction
CN101710433A (zh) * 2008-12-31 2010-05-19 深圳市江波龙电子有限公司 一种电子支付卡的交易方法及电子支付卡
EP2387775A4 (en) 2009-01-18 2013-07-03 Gilbarco Inc PAYMENT PROCESSING SYSTEM FOR USE IN A RETAIL ENVIRONMENT AND HAVING A SEGMENTED ARCHITECTURE
US8381597B2 (en) 2009-03-16 2013-02-26 Gilbarco, S.R.L. Inferential flow meter for use in fuel dispensing environments
JP4727739B2 (ja) 2009-04-08 2011-07-20 東芝テック株式会社 暗証番号入力装置
US9147189B2 (en) 2009-08-20 2015-09-29 Gilbarco Inc. Secure reports for electronic payment systems
EP2306684A1 (fr) * 2009-09-30 2011-04-06 Gemalto SA Procédé de sécurisation de l'exécution d'une application NFC embarquée dans un élément sécurisé faisant partie intégrante d'un terminal mobile
US8392846B2 (en) 2010-01-28 2013-03-05 Gilbarco, S.R.L. Virtual pin pad for fuel payment systems
US8285506B2 (en) * 2010-02-02 2012-10-09 Gilbarco Inc. Fuel dispenser pulser arrangement
US8605044B2 (en) 2010-02-12 2013-12-10 Maxim Integrated Products, Inc. Trusted display based on display device emulation
US20110238511A1 (en) 2010-03-07 2011-09-29 Park Steve H Fuel dispenser payment system and method
AU2011285794B2 (en) 2010-08-03 2014-08-28 Gilbarco Inc. Fuel dispenser application framework
US8671454B2 (en) 2010-11-04 2014-03-11 Verifone, Inc. System for secure web-prompt processing on point of sale devices
US9262760B2 (en) 2010-12-22 2016-02-16 Gilbarco Inc. Fuel dispensing payment system for secure evaluation of cardholder data
US9053503B2 (en) * 2011-04-21 2015-06-09 Gilbarco, S.R.L. Fueling environment wireless architecture
US8786272B2 (en) 2011-05-11 2014-07-22 Gilbarco Inc. Fuel dispenser input device tamper detection arrangement
US9166586B2 (en) * 2012-05-09 2015-10-20 Gilbarco Inc. Fuel dispenser input device tamper detection arrangement
US9175600B2 (en) * 2011-08-23 2015-11-03 International Engine Intellectual Property Company, Llc System and method for protecting an engine from condensation at intake
US10102401B2 (en) * 2011-10-20 2018-10-16 Gilbarco Inc. Fuel dispenser user interface system architecture
US9268930B2 (en) * 2012-11-29 2016-02-23 Gilbarco Inc. Fuel dispenser user interface system architecture
GB201309680D0 (en) * 2013-05-30 2013-07-17 24Vend Ltd Control of vending machines
EP3436398A4 (en) * 2016-04-01 2020-05-06 Gilbarco Inc. DISPENSER SENSOR ARRANGEMENT

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7254463B1 (en) 2003-02-06 2007-08-07 Moore Philip R Fuel dispensing system with modular components
US20070033398A1 (en) * 2005-08-04 2007-02-08 Gilbarco Inc. System and method for selective encryption of input data during a retail transaction
US20090265638A1 (en) * 2007-10-10 2009-10-22 Giovanni Carapelli System and method for controlling secure content and non-secure content at a fuel dispenser or other retail device
WO2010142748A1 (en) 2009-06-09 2010-12-16 Gilbarco, S.R.L. Fuel dispenser user interface

Also Published As

Publication number Publication date
CA2852799C (en) 2020-12-29
EP4266277A3 (en) 2023-12-20
US10977392B2 (en) 2021-04-13
AU2012324788A1 (en) 2014-05-08
EP4266277A2 (en) 2023-10-25
CA2852799A1 (en) 2013-04-25
WO2013057305A1 (en) 2013-04-25
KR20140088565A (ko) 2014-07-10
EP2769332A1 (en) 2014-08-27
US20130103190A1 (en) 2013-04-25
CN104094276B (zh) 2018-06-15
AU2012324788B2 (en) 2017-11-30
US20190042803A1 (en) 2019-02-07
CN104094276A (zh) 2014-10-08
US10102401B2 (en) 2018-10-16

Similar Documents

Publication Publication Date Title
KR102107254B1 (ko) 주유기 사용자 인터페이스 시스템 아키텍처
AU2019204491B2 (en) Fuel dispenser user interface system architecture
US11967214B2 (en) Multimode retail system
AU2019284055B2 (en) Alphanumeric keypad for fuel dispenser system architecture
CN105164694A (zh) 可信终端平台

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant