242和显示器244以显示输入的字符。键录入部分242可以包括物理钥匙、柔性膜和/或触摸显示器等。显示器244可以包括如显示器208和/或209的类似的设备,并且可以包括IXD或者LED显示器等。小键盘240可以包括控制器(未示出)以促进接收用于输入的请求、通过键录入部分242接收输入、在显示器242上显示输入、提供输入到请求输入的实体、验证用于输入的请求的真实性、加密输入数据和/或这里描述的小键盘240的其它功能。
[0033]在示例中,安全控制器206可以执行小键盘应用,所述小键盘应用可以由已验证的实体签署以允许由安全控制器206对其的执行。小键盘应用可以包括一组可用的提示以防止未授权的对敏感信息的提示。在另外的示例中,小键盘240可以包括用于安全密钥的贮存器以促进验证从小键盘应用接收的提示以确保小键盘应用的完整性。这可以减少通过小键盘应用的篡改。此外,安全控制器206可以在小键盘应用上实施现有的安全措施以确保其真实性。例如,小键盘应用可以是签署的应用,使得红色(rouge)未签署的应用不可以通过安全控制器206执行(和/或一旦卡读取器210、PIN键盘212等被激活,就不可以执行)。通过将小键盘240配置为具有其自己的显示器244的包含的单元以及管理其间的通信的单独的应用,可以维持安全区域组件的安全性同时允许应用从小键盘240请求并且接收输入。
[0034]此外,加燃料环境100 (图1)可以被配置为使得燃料分配机200可以被可操作地连接到广域网(WAN) 228,诸如互联网。应理解的是,燃料分配机200可以直接连接到WAN228或者通过诸如一个或多个装置226的一个或多个额外的组件间接地连接到WAN 228。将理解的是,额外的组件可以包括路由器、交换机、网关和参与上述LAN的其它装置。在一个示例中,装置226可以包括P0S 106、现场控制器108等的一个或多个,其中燃料分配机直接连接到所述POS 106、现场控制器108等的一个或多个。可替换地,燃料分配机200通过LAN间接地可操作地连接到P0S 106和/或现场控制器108。还应理解的是,诸如服务器230的其它外部资源可以可操作地连接到WAN 228并且通过WAN可访问燃料分配机200和/或加燃料环境100 (图1)。例如,服务器230可以是由金融机构维护的服务器以授权和解决信用卡支付。在额外的或可替换的示例中,服务器230可以包括媒体服务器以提供信息的和/或广告的内容。
[0035]图3示出了用于配置与安全支付平台使用的输入装置的系统300。系统300包括可以被配置在诸如燃料分配机的零售装置中的安全支付平台302,如所述,并且可以包括由一个或多个硬件、固件或者软件机制保护的各种组件。安全支付平台302包括认证的组件304的集合,所述认证的组件304可以由管理机构认证。认证的组件304可以包括安全显示器209,如所述,所述安全显示器209可以由安全控制器操作和/或可以包括安全控制器,所述安全控制器具有处理器以在安全显示器209上执行应用。认证的组件304还可以包括卡读取器210以及PED 212,其中所述卡读取器210与安全显示器209通信以将卡信息提供到使用安全显示器209的应用,并且PED 212将PIN录入或其它数字数据(例如,邮政编码)提供到安全显示器209或者有关的应用。
[0036]系统300还包括具有键242和显示器244的小键盘240。在这方面,小键盘240可以基本上自包含并且可以具有独立的控制器以用于获得、显示(在显示器244上)并且提供在键242上接收的输入到一个或多个应用(例如,小键盘应用306)。此外,例如,小键盘240也可以独立地供电。安全支付平台302可以执行小键盘应用306以从小键盘240请求并获得输入。在一个示例中,小键盘应用306可以是签署的应用,这允许小键盘应用306在安全支付平台302 (例如,即使当PED 212被激活时)中执行。将理解的是,小键盘应用306可以在安全显示器209上(例如,在操作安全显示器209的处理器上)或者在安全支付平台302(未示出)中的利用安全显示器209显示某些内容的其它处理器中执行。在一个示例中,处理器可以是或者可以不是认证的组件304的一部分,但是无论在哪种情况中都具有对认证的组件304的访问。
[0037]此外,小键盘应用306可以在贮存器308中贮存一组安全密钥以验证小键盘240、提供小键盘显示器244或者在安全显示器209上的提示和/或用于加密用于通过小键盘240的真实性验证的提示的安全密钥等。类似地,小键盘240可以在贮存器310中贮存一组安全密钥以将自身与小键盘应用306验证、一组安全密钥以验证用于从小键盘应用306输入的请求、用于当请求通过键242输入时在显示器244上显示的提示等。
[0038]例如,小键盘240可以使用贮存在贮存器310和/或308中的密钥与小键盘应用306验证。当在有关的零售装置中安装小键盘240时,和/或在安装小键盘240和/或安全支付平台302 (例如,在清洁的房间中)之前,密钥可以被提供到贮存器310和/或308,和/或到小键盘240和小键盘应用306以用于贮存在贮存器310和/或308中。在这方面,篡改小键盘240和/或安装新的红色小键盘可能使在小键盘应用306处的验证失败,并且从而小键盘应用306可以不接受来自小键盘240的输入。为促进这样的验证,小键盘240可以包括可以具有防篡改硬件以确保安全处理器不被损害的安全处理器,和/或安全处理器可以被配置为使用1C存在1C存器310中的密钥将小键盘240与小键盘应用306验证。当小键盘240没有被验证时,小键盘应用306可以关闭或者可以不处理来自小键盘240的输入。
[0039]此外,例如,小键盘应用306可以在贮存器308中贮存可被用于请求从小键盘240输入的一组提示。提示可以包括请求不敏感信息的提示(例如,对信用卡号码、社会保险号码、账单信息等没有提示)。提示可以基本上是固定的,并且小键盘应用306可以禁止提供应用程序接口(API)或者修改提示的其它接口功能。因此,小键盘应用306在安全显示器209上可以显示的或者以其它方式发送到小键盘240以用于在显示器244上显示的提示是有限的。此外,小键盘应用306当与小键盘240通信时可以使用贮存在贮存器308中的一个或多个密钥加密提示、用于输入的请求或者与输入有关的其它数据。对应的解密密钥可以贮存在贮存器310中,并且从而小键盘240可以基于使用贮存在贮存器310中的密钥的解密是否成功来证实来自小键盘应用306的数据的真实性。如果不成功,则小键盘240例如不提示输入,它也不向小键盘应用306提供通过键242接收的输入。在该示例中,小键盘240在按压键242时可以发出哔哔声,但是可以不在显示器244上显示任何字符。
[0040]如所述,在一个示例中,安全显示器209可以显示指示通过小键盘240输入某些数据的提示,并且提示可以是由小键盘应用306提供的(或者以其它方式从贮存器308取回的)一组中的一个。在任何情况中,小键盘应用306可以在安全显示器209或者有关的安全控制器或者处理器上执行,并且可以促进请求从小键盘240输入并且提供接收的输入到安全显示器209或者在其上执行的应用。可以使用键242提供输入,并且可以从小键盘240将输入发送到小键盘应用306 (例如,当完全接收到输入时,这可以由对某一键的按压指示等)。此外,小键盘240可以加密输入,如所述,并且小键盘应用306可以在安全支付平台302之内解密输出。这可以减少对在安全支付平台302之外的输入的未授权的访问。在这方面,例如,小键盘应用306可以提供API以促进通过小键盘240的输入的请求和接收。如所述,加密/解密密钥可以贮存在贮存器308和310中并且被提供到小键盘240和小键盘应用306。在安全显示器209上执行的应用可以通过调用由小键盘应用306提供的API功能来请求来自小键盘240的输入,并且小键盘应用306促进通过小键盘240的输入的请求和接收。例如,API可以允许选择贮存在贮存器308中的提示的一个或多个。
[0041]如所示,安全支付平台302还可以包括卡读取器基本输入/输出系统(B1S)应用312,其中P0S 314可以使用所述卡读取器基本输入/输出系统(B1S)应用312以安全方式从卡读取器210获得支付信息以处理交易。尽管不是认证的组件304的一部分,但是卡读取器B1S应用312在安全支付平台中,并且从而至少物理地由一个或多个组件保护,如所述。例如,在卡读取器B1S应用312和安全显示器209之间的通信可以被加密以减少未授权的信息的接收。类似地,小键盘应用306可以使用加密的链接与安全显示器209通信。在一个示例中,P0S 314可以与小键盘应用306通信以请求通过卡读取器B1S应用312输入,所述卡读取器B1S应用312可以调用小键盘应用306的API功能以获得小键盘240输入,如所述。
[0042]在一个具体示例中,P0S 314可以通过卡读取器B1S应用312请求从小键盘240输入,这可以发生在P0S 314与燃料分配机或者在其上部署安全支付平台302的其它零售装置之间的2条线上。卡读取器B1S应用312可以相应地调用小键盘应用306的API以通过小键盘240获得输入。小键盘240可以已被验证,如所述,并且P0S 314可以指定一组可用的提示的一个以用于获得输入。在另一示例中,提示可以被限制为仅当某些特定输入序列被P0S 314或者卡读取器B1S应用312指定时使用。
[0043]此外,卡读取器B1S应用312,或者安全支付平台302的另一组件可以基于接收用于小键盘240输入或者小键盘240的其它激活的请求使能用于PIN或者其它数据录入的PED 212。在一些系统中,PED 212的激活可以使安全显示器209证实显示的任何内容和/或由安全显示器209执行的有关应用的真实性。在一个示例中,PED 212可以在本地应答关闭的情况下被激活从而没有其被激活的物理证据。小键盘应用306可以然后请求安全显示器209(和/或显示器244)示出提示。例如,如果验证失败,则安全显示器209可以禁止显示内容或者执行有关的应用。这可以减少当小键盘240被激活以用于接收输入时,未授权的提示显示在安全显示器209上。
[0044]在该示例