加油机输入设备篡改检测装置制造方法

加油机输入设备篡改检测装置制造方法
【专利摘要】一种用于检测未经授权的拆除或篡改的系统。该系统包括：印刷电路板，具有篡改响应电子器件；和柔性电路组件，限定连接器部分、开关部分和在连接器部分和开关部分之间延伸的电缆。柔性电路组件在连接器部分处与印刷电路板联接。柔性电路组件包括：多个层，每个层包括柔性绝缘衬底；和布置在开关部分中的开关。开关经由导电路径与印刷电路板的篡改响应电子器件电连通。柔性电路组件还包括包围导电路径的篡改响应导体电路。篡改响应导体电路与印刷电路板的篡改响应电子器件电连通。
【专利说明】加油机输入设备篡改检测装置
【技术领域】
[0001]本发明总体上涉及加油机和其它零售支付系统。更具体地，本发明涉及用于检测未经授权地拆除或篡改支付系统用户接口设备的传感器。
【背景技术】
[0002]借助【背景技术】，支付系统已经结合到燃料供给站点之中，以便允许客户使用信用卡或借记卡来支付燃料及其它商品和服务(如洗车、快餐或者便利店的产品)。这样的支付系统包括各种输入设备，如卡片读取器和PIN键盘，其被构造为接受处理支付的必要数据。客户可通过将带有磁条或芯片的支付卡递交给支付卡读取器来提供一定的支付数据。存储在支付卡上的数据可包含以下一项或多项:主账号(PAN)、持卡人的姓名、服务代码以及卡片的到期日期。此外，如果需要完成交易，则客户可使用PIN(personal identificationnumber,个人识别码)输入设备(例如，PIN键盘)来输入账户信息，如PIN码。该系统将数据传送给负责客户账户验证的远程主机系统。
[0003]由于欺诈带给客户、商家和银行的持续挑战，其中，支付卡公司在支付卡交易期间需要越来越多的安全。因此，处理、存储或传输支付数据的组织必须符合一定的行业标准。这些行业标准通常要求输入设备(例如，卡片读取器和PIN输入设备)满足一定的物理安全性要求，含有防拆除机构，也被称为拆卸传感器(dismount sensor)。在过去,这些防拆除机构包含基于电缆的开关，其定位在难以接触的地方，这为电缆和开关两者提供了某种程度的保护。其它的防拆除机构包含位于输入设备上的微动开关，当输入设备安装到一结构上时，闭合该微动开关。在这两种情况下，输入设备在开关和结构之间的接口周围不安全，并没有提供足够的固有安全性，以满足新的更严格的支付卡公司授权。

【发明内容】

[0004]本发明认识到并解决了现有技术结构和方法的缺点。根据一个实施方式，本发明提供了一种用于检测未经授权的拆除或篡改的系统。该系统包括:印刷电路板，具有篡改响应电子器件；和柔性电路组件，限定连接器部分、开关部分和在连接器部分和开关部分之间延伸的电缆。柔性电路组件在连接器部分处与印刷电路板联接。柔性电路组件包括:多个层，每个层包括柔性绝缘衬底；和布置在开关部分中的开关。开关经由导电路径与印刷电路板的篡改响应电子器件电连通。柔性电路组件还包括包围导电路径的篡改响应导体电路。篡改响应导体电路与印刷电路板的篡改响应电子器件电连通。
[0005]根据另一实施方式，本发明包括一种检测未经授权的拆除或篡改的方法。该方法包括的步骤有:提供具有篡改响应电子器件的印刷电路板；以及提供包括开关部分的柔性电路组件，所述开关部分包括连接器部分、开关部分和在连接器部分和开关部分之间延伸的电缆。开关部分包括由铰链部分相连接的第一半部和第二半部。柔性电路组件还包括:多个层，每个层包括柔性绝缘衬底；和布置在开关部分中的开关。开关经由导电路径与印刷电路板的篡改响应电子器件电连通。另外，柔性电路组件包括包围导电路径的第一篡改响应导体电路。第一篡改响应导体电路与印刷电路板的篡改响应电子器件电连通。该方法还包括:在连接器部分处将柔性电路组件安装到印刷电路板；以及在铰链部分处折叠开关部分，并将第一半部固定在第二半部上以将开关嵌入第一半部和第二半部之间。
[0006]根据另一实施方式，本发明提供了一种用于检测未经授权的拆除或篡改的系统。该系统包括:输入设备，包括篡改响应电子器件和存储器；和与输入设备联接的柔性电路组件。柔性电路组件包括外层以及布置在输入设备和外层之间的第一内层。第一内层包括至少一个开关。该系统还包括电缆，所述电缆与柔性电路组件联接并可操作地连接到输入设备的篡改响应电子器件。柔性电路组件的外层和电缆包括第一篡改响应导体电路。至少一个开关和第一篡改响应导体电路经由电缆与篡改响应电子器件电连通。
[0007]根据另一实施方式，本发明提供了一种用于输入设备的多层篡改检测装置，该输入设备包括篡改响应电子器件和存储器。多层传感器包括构造为连接到输入设备的柔性电路组件。柔性电路组件包括:外层，包括第一篡改响应导体电路；和第一内层，布置在外层之下。第一内层包括至少一个开关、拆除检测电路和外界导体检测电路。至少一个开关被构造为当致动至少一个开关时闭合拆除检测电路，并且外界导体检测电路通常是打开的。第一篡改响应导体电路、拆除检测电路和外界导体检测电路被构造为与输入设备的篡改响应电子器件电连通。
[0008]根据另一实施方式，本发明提供了一种检测未经授权的拆除或篡改输入设备的方法，该输入设备包括篡改响应电子器件和存储器。该方法包括的步骤有:提供与输入设备联接的柔性电路组件。柔性电路组件包括:外层，包括第一篡改响应导体电路；和第一内层，布置在输入设备和外层之间。第一内层包括至少一个开关、拆除检测电路和外界导体检测电路。至少一个开关可操作地连接到拆除检测电路，并且外界导体检测电路通常是打开的。第一篡改响应导体电路、拆除检测电路和外界导体检测电路与输入设备的篡改响应电子器件电连通。该方法还包括的步骤有:监控第一篡改响应导电电路、拆除检测电路和外界导体检测电路的电气特性。最后，该方法包括的步骤有:当检测到第一篡改响应导电电路、拆除检测电路和外界导体检测电路之一的电气特性发生变化时，在篡改响应电子器件处产生篡改响应。
[0009]在结合附图阅读优选实施方式的以下详细描述之后，本领域技术人员将意识到本发明的范围并认识到其附加方面。
【专利附图】

【附图说明】
[0010]参考附图，本说明书阐述了本发明的完整和能够实现的公开，包含本发明针对本领域普通技术人员的最佳模式，其中:
[0011]图1是零售燃料分配环境的示意图，其中可采用本发明的实施方式。
[0012]图2是示例性加油机的前视图，其可利用POS设备和/或图1零售燃料供给环境内的现场控制器进行操作。
[0013]图3A是根据本发明实施方式的安全卡读取器输入设备的侧视图。
[0014]图3B是图3A的输入设备的前视图。
[0015]图4是依照本发明实施方式构成并构造为检测图3A和3B输入设备的篡改的柔性电路组件的前视图。[0016]图5是根据本发明实施方式的分解透视图，示出了图4的柔性电路组件的各层。
[0017]图6是根据本发明实施方式的图3A和3B输入设备的示例性安全区域的示意图，其与图4和5柔性电路组件的篡改响应导体电路、拆除检测电路以及外界导体检测电路电连通。
[0018]图7是根据本发明另一实施方式的柔性电路组件的平面图，为说明目的示出有局部剖开的外层。
[0019]图8A是根据本发明另一实施方式的顶视图，示出了三层柔性电路组件。
[0020]图8B是图8A的柔性电路组件的第四层的底视图。
[0021]图8C是图8A的柔性电路组件的可选的第五层的顶视图。
[0022]图9是示出将图8柔性电路组件附接至印刷电路板的示意侧视图。
[0023]图10是图8柔性电路组件用之于PIN键盘和显示设备的透视图。
[0024]在本说明书和附图中重复使用的附图标记旨在代表本发明的相同或相似的特征或元件。
【具体实施方式】
[0025]现在将详细参考本发明目前优选的实施方式，其中一个或多个示例示于附图中。借助本发明的解释来提供每个示例，而不是限制本发明。事实上，对本领域技术人员显而易见的是，在不脱离本发明的范围或精神的情况下，在本发明中可以作出修改和变型。例如，作为一个实施方式一部分进行图示或描述的特征可用在另一实施方式上，以产生更进一步的实施方式。因此，本发明旨在涵盖落入所附权利要求及其等同物的范围内的这些修改和变型。
[0026]本发明的实施方式提供了 一种多层柔性电路组件，其可用于提供针对一个或多个输入设备的篡改响应安全。如本文中所使用的，术语“输入设备”泛指安全设备，包含但不限于加密PIN键盘、小键盘、触摸屏、安全卡读取器以及智能卡读取器，其能够接收与输入设备的用户相关联的信息。这样的信息可包含与支付卡相关联的信息，诸如PAN或其它账户号码、用户姓名、服务代码和卡片到期日期。另外，这样的信息可以包含与现场处理或在私人零售商网络中处理的支付设备相关联的数据，诸如来自忠诚度或特定程序卡片的数据。
[0027]理想的是，可用于本发明的许多输入设备包含安全区域，其包括处理器、存储器或存储单元以及篡改响应电子器件。输入设备的存储器可存储一个或多个用于在收到时立即加密输入信息的加密算法、密钥和/或密码。在优选实施方式中，输入设备可允许对输入信息进行三重DES —次一密(DUKPT)加密。如下文所述，在篡改响应电子器件检测到未经授权的访问或篡改的情况下，可优选地擦除、删除或销毁输入设备的内容，所述内容包含:输入设备的处理器和/或存储器所含有的数据，或由输入设备的处理器和/或存储器所处理的数据。可替换地，如果篡改发生，输入设备的足以识别输入信息或加密算法、密钥和/或密码的内容的任何部分被擦除。
[0028]本文中所使用的术语“层”一般是指一个或多个片材、膜、衬底等，它在柔性电路组件中服务于特定的功能(例如，交换、安全网、地平面)。因此，在一些实施方式中，层可包括印刷电路、开关或其它电子元件、粘合剂、绝缘材料、屏蔽层和/或密封剂。
[0029]本发明的一些实施方式特别适用于零售服务站环境的输入设备，下面的讨论在这方面将描述优选的实施方式。然而，本领域技术人员将会理解，本发明并不局限于此。实际上，可以设想的是，本发明可以与任何适当的零售环境一起使用。此外，可以设想的是，本发明可以与任何合适的输入设备一起使用，只要输入设备承载了需要保护以防篡改的信息即可。
[0030]现在参考图1，示例性的燃料供给环境10可包括中央建筑12，洗车处14以及多个燃料供给岛16。中央建筑12不需要居中地位于燃料供给环境10内，而是成为燃料供给环境10的焦点，并可在其中容纳便利店18和/或快速服务餐厅20。便利店18和快速服务餐厅20两者可分别包含销售点(POS) 22、24。P0S22、24可包括单台计算机或服务器，其可操作地连接到相关联的卡片读取器和支付终端。此外，P0S22、24可包含显示器、触摸屏和/或其它输入设备。
[0031]中央建筑12还可容纳现场控制器(SC) 26，这在一示例性实施方式中可能是由北卡罗来纳州格林斯博罗的Gilbarco公司出售的PASSPORT? POS系统，但可使用第三方的现场控制器。现场控制器26可控制燃料供给交易和其它常规活动的授权，这很好理解，并且现场控制器26可优选地与每个POS操作性地连通。可替换地，根据需要或期望，现场控制器26可结合到诸如销售点22等POS中。
[0032]另外，根据需要或期望，现场控制器26可具有异地通信链路28，允许与用于信用卡/借记卡授权、内容提供、报告用途等的远程主机处理系统30通信。在一个实施方式中，通信链路28可以是独立的路由器、交换机或网关，但应当意识到的是，现场控制器26可额外地执行这样的设备的功能，并因此替代这样的设备。根据需要或期望，异地通信链路28可通过公用交换电话网(PSTN)、因特网两者等进行发送。远程主机处理系统30可包括由诸如金融机构等第三方维护的至少一个服务器。虽然所示只有一个远程主机处理系统30，但本领域技术人员将意识到，在零售支付系统中允许经由多个支付卡公司或金融机构发行的支付设备进行支付，现场控制器26可与多个远程主机处理系统30通信。
[0033]洗车处14可具有与之相关联的POS 32，POS 32为库存和/或销售目的而与现场控制器26通信。可替代地，洗车处14可以是独立的单元。请注意，洗车处14、便利店18和快速服务餐厅20所有都是可选的，没有必要出现在给定的燃料供给环境中。
[0034]燃料供给岛16可具有一个或多个定位在其上的加油机34。例如，加油机34可以是由北卡罗来纳州格林斯博罗的Gilbarco公司出售的ENCORE?加油机。根据需要或期望，加油机34通过诸如两线、RS422、以太网、无线等任何合适的链路与现场控制器26电子通信。
[0035]燃料供给环境10还具有一个或多个适于在其中容纳燃料的地下储罐(UST) 36。如此，UST36每个可以是双层壁罐。另外，每个UST36可包含与之相关联的罐监控器(TM) 38。罐监控器38可(根据需要或期望，或者通过现场控制器26，或者直接地)与加油机34通信，以确定燃料的配送量并将所分配燃料与UST36内的燃料当前水平比较来确定UST36是否泄漏。
[0036]罐监控器38可与现场控制器26通信，并进一步可具有用于泄漏检测报告、库存报告等的异地通信链路40。很像异地通信链路28，异地通信链路40可通过PSTN、因特网两者等。如果存在异地通信链路28，则不需要存在异地通信链路40，反之亦然，但根据需要或期望可存在两个链路。[0037]加油机和零售燃料供给环境的进一步信息和示例载于美国专利:6435204(题为“燃料分配系统(Fuel Dispensing System) ” ) ；5956259 (题为“智能燃料供给(Intelligent Fueling)”) ;5734851 (题为“加油机中的多媒体视频 / 图形(MultimediaVideo/Graphics in Fuel Dispensers)”);6052629 (题为“互联网功能浏览器加油机建筑(Internet Capable Browser DispenserArchitecture)，，)！5689O7I (题为“范围广、精度高的流量计(Wide Range, High Accuracy Flow Meter)”)；6935191 (题为“加油机燃料流量计设备、系统和方法(Fuel Dispenser Fuel Flow Meter Device, System andMethod)”);和7289877(题为“用于现金客户的燃料分配系统(Fuel Dispensing Systemfor Cash Customers) ”)，所有这些专利的全部内容通过引用并入本文用于所有目的。示例性罐监控器38可以是由康奈提格州锡姆斯伯里的Veeder-Root公司制造和出售的TLS-450。有关罐监控器及其操作的更多信息，参考美国专利:5423457(题为“实时罐产品损耗检测系统(Real time tank product loss detection system)”)；5400253(题为“用于便利店和汽车/卡车服务站的自动统计库存对账系统(Automated StatisticalInventory Reconciliation System for Convenience Stores and Auto/truck ServiceStations)”)；5319545(题为“用于监控多个加油机和燃料供应罐的系统(System toMonitor Multiple Fuel Dispensers and Fuel Supply Tank)，，)；和 4977528 (题为“用于确定罐中材料量的设备和方法(Apparatus and Method for Determining the Amount ofMaterial in A Tank) ”)，所有这些专利的全部内容通过引用结合在此用于所有目的。
[0038]图2示出了根据本发明实施方式的加油机34，它可与现场控制器26关联操作。加油机34包含控制系统42，其可以是处理器、微处理器、控制器、微控制器或具有相关联的存储器和运行于其上的软件程序的其它合适电子器件。在优选的实施方式中，控制系统42可对比于在由Gilbarco公司出售的CRIND和TRIND类型单元中使用的基于微处理器的控制系统。控制系统42与现场控制器26可操作地通信。如下面更详细描述的，控制系统42进一步控制加油机34的各个方面。
[0039]控制系统42的存储器可以是任何合适的存储器或计算机可读介质，只要它能够由控制系统访问即可，包含随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM(EPROM)或者电EPROM(EEPROM)、CD-ROM、DVD或其它光盘存储器、固态驱动器(SSD)、磁盘存储器，包含软盘或硬盘驱动器、任何类型的合适非挥发性存储器，诸如安全数字(SD)、闪存、记忆棒或可用于携带或存储计算机程序代码(采用计算机可执行程序的形式)、指令或数据的任何其它介质。控制系统42还可包含存储器的只能访问控制系统42的一部分。
[0040]在图示的实施方式中，加油机34具有底部44和顶部46，顶盖(canopy)48由两个侧板50支撑。加油机34被细分成多个隔室。在这方面，液压区域52包围液压部件，而电子区域54包围电子元件。蒸汽屏蔽层可用于分离液压区域52与电子区域54。
[0041]用于控制燃料流的若干部件可容纳在液压区域52内。来自UST36的燃料通过管道网络被泵送到入口管56中。被分配的燃料通过响应于流速或体积的仪表58。位移传感器60(例如，脉冲发生器)用来响应于通过仪表58的燃料流而产生信号。指示被分配的燃料流的信号经由控制线62被提供给控制系统42。控制/数据线62可向阀64提供控制信令，使之可打开和关闭以允许或不允许进行燃料的分配。
[0042]来自传感器60的仪表流量测量结果由控制系统42收集。控制系统42通常也执行如与燃料分配交易相关联的成本的计算。此外，控制系统42在加油机34处控制交易处理，这将在下面更详细地描述。
[0043]随着分配交易的进行，然后燃料输送到软管66并通过喷嘴68进入客户的车辆。加油机34包含喷嘴护罩70，其可用来在不使用时存放和保持喷嘴68。喷嘴护罩70可包含机械或电子开关，以指示此时管嘴68已针对燃料分配请求而移除并且此时喷嘴68已被替换，标志着燃料供给交易的结束。控制线提供了从电子开关到控制系统42的信令路径。控制系统42可使用经由控制线接收的信令，以便确定关于交易已经启动或完成的时刻。
[0044]控制/数据线72提供了控制系统42和用户接口 74之间的电子通信。用户接口74包含子系统的各种组合，以方便客户与加油机34的互动以及接受对所分配燃料的支付。前盖76在接口 74的各个子系统周围充当唇缘。在大多数情况下，前盖76与加油机的表面齐平；然而，在一些实施方式中，它可以从表面向外延伸，在效果上形成凸起的唇缘。前盖76还可包括框起或容纳各个子系统或部件的多个区段。
[0045]如图所示，用户接口 74包含若干输入设备。例如，用户接口 74可包含小键盘78。如果客户使用借记卡来支付燃料或其它商品或服务，则小键盘78通常用于输入PIN码。在优选的实施方式中，小键盘78可以是由Gilbarco公司提供的FlexPay?加密PIN键盘。用户接口 74还可包含安全卡读取器80，用于接受信用卡、借记卡或其它芯片或磁条卡的支付。此外，安全卡读取器80可接受忠诚度或特定程序卡片。
[0046]用户接口 74还可包含其它输入设备，诸如非接触式卡片读取器82 (例如，用于集成电路或“智能”卡)。另外，用户接口 74可包含其它支付或交易设备，诸如账单接受器84、收据打印机86以及零钱输送设备88。收据打印机86可向客户提供在加油机34处进行的交易收据。零钱输送设备88可因多付而向客户提供零钱。也可以设想诸如光学读取器和生物特征读取器等其它交易设备。
[0047]显示器90可用于向客户显示信息，诸如与交易相关的提示和广告。在一些实施方式中，触摸屏可以用于显示器90。在这种情况下，例如，显示器90可构造为显示虚拟小键盘，用于接收支付数据，诸如借记卡的PIN码或信用卡的账单邮编。显示器90也可用于从客户接收关于所显示信息的选择。
[0048]客户可使用软键92对经由显示器90呈现给用户的信息请求作出响应。可提供内线94，以产生给客户的声音提示并允许客户与话务员交互。此外，加油机34可包含交易价格总显示器96，其向客户呈现所分配燃料的价格。交易加仑总显示器98可用于向客户呈现以加仑或升为单位的所分配燃料的测量结果。辛烷值选择按钮100可提供给客户，以在启动分配之前选择哪个等级的燃料要被分配。最后，可提供每单位价格(PPU)显示器102，以显示每单位所分配燃料(或者为加仑或者为升)的价格，这取决于加油机34的编程。
[0049]如上所述，本发明的实施方式涉及用于检测未经授权地拆除或篡改一个或多个输入设备的传感器。例如，一些实施方式提供一种可用于在卡片读取器处检测篡改的柔性电路组件。在这方面，图3A是安全卡读取器输入设备110的侧视图，而图3B是安全卡读取器110的前视图。虽然本发明的一些实施方式参考卡片读取器110描述如下，但本领域技术人员将意识到，本发明可与任何合适的输入设备一起使用。
[0050]卡片读取器110可包括双面读取头112，用于从可插入到读取槽114中的诸如磁条或EMV卡的支付卡接收信息。卡片读取器110可进一步包括壳体116，其含有卡片读取器电子器件(在下文中更详细地描述)和至少一个输入-输出(“I/o”)端口 118，用于接收和加载加密密钥。在目前优选的实施方式中，安全卡读取器110可类似于由Gilbarco公司提供的JViagTek? PermaSeal安全卡读取器或FlexPay?安全卡读取器。
[0051]正如将要意识到的，卡片读取器110可构造为与加油机的前盖一起安装，诸如上述的前盖76。因此，卡片读取器110可限定前表面120和布置在前表面120之后的凸缘122。在安装之后，前表面120与前盖的前表面齐平，且凸缘122邻接前盖的后表面。因为凸缘122比前表面120限定更大的面积，所以凸缘122防止卡片读取器110从前盖的前面拆除，并为壳体116中的电子器件提供天气保护措施。
[0052]支架可优选地用于将卡片读取器110固定至前盖，但是应设想其它的安装方法。如图3A所示，卡片读取器110可优选地在壳体116和凸缘122之间关于其周界限定间隙124。间隙124的大小做成接收薄的U形支架，其通过摩擦配合可拆卸地附接至卡片读取器110。支架可优选地具有比凸缘122的面积更大的面积，并限定多个孔。孔的尺寸可做成接收安装螺钉或其它紧固件。当支架联接到前盖时，凸缘122压向前盖的后表面，以确保卡片读取器110就位。
[0053]一般情况下，根据本发明的实施方式，柔性电路组件可联接在输入设备与输入设备所安装到的结构之间。可优选地，在安装期间施加到柔性电路组件的压力致动柔性电路组件的层中的至少一个开关，以完成拆除检测电路。因此，当在试图危及设备期间设备被拆除时，将打开拆除检测电路。输入设备(或安装在该结构中的另一相关联设备)可优选地设置有与柔性电路组件电子通信的篡改响应电子器件，以检测拆除的企图并采取适当的行动来防止欺诈。
[0054]取决于所讨论的输入设备和将它安装到结构上的方法，本发明的柔性电路组件可在许多不同位置与输入设备联接。但是，通过举例的方式，图4是构造为用于安全卡读取器110的柔性电路组件126的前视图。如下所述，柔性电路组件126可包括两个或更多个层，并经由电缆128和连接器130与卡片读取器110中的安全区域电连通。在图示的实施方式中，柔性电路组件126限定了孔132，其尺寸做成接收超过卡片读取器110的前表面120。因此，例如在制造期间，柔性电路组件126可利用合适的粘合剂固定到凸缘122。
[0055]当卡片读取器110固定到加油机前盖时，柔性电路组件126可压缩在凸缘122和前盖的后表面之间。如下所述，作用在柔性电路组件126上的这个压力可优选地使布置在柔性电路组件126层中的一个或多个开关闭合。这里，示意性地示出了四个这样的开关134。
[0056]图5是示出根据本发明实施方式的柔性电路组件126的层的分解透视图。特别地，柔性电路组件126可优选地包括外层136和第一内层138。此外，如图所示，柔性电路组件126的一个或更多个层可具有限定电缆128的部分。然而，电缆128也可以分开设置。第一内层138可布置在输入设备和外层136之间。层136、138可优选地包括合适的薄的、挠性绝缘的衬底，诸如聚对苯二甲酸乙二醇酯(PET)或聚酰亚胺。在一个实施方式中，柔性绝缘
衬底可包括由DuPont提供的Kapton?聚酰亚胺膜。合适的粘合剂诸如压敏粘合剂或其它
粘合剂层用来连接层136、138。
[0057]外层136可优选地包括第一篡改响应导体电路140。本领域技术人员熟悉篡改响应导体电路(有时被称为篡改响应“网(mesh)”)。例如，篡改响应导体电路140可由一对印刷到外层136柔性衬底上的紧密间隔的导电图案142、144网格形成。(应当意识到的是，其它沉积技术可用于在柔性衬底上形成图案142、144。)导电图案142、144可由任何合适的导电材料诸如银或铜来形成，并沿着柔性衬底遵循蛇形路径。此外，虽然为了清晰起见在图5中没有示出，但外层136可包括形成在篡改响应导体电路140上的不透明涂层或绝缘层。使用不透明涂层可以进一步提高安全性，使之更难以确定如何破坏篡改响应安全特征。
[0058]可优选地基本覆盖外层136的图案142、144开始并终止于连接器130。因此，篡改响应导体电路140可优选地适于与输入设备安全区域中的篡改响应电子器件电连通。另夕卜，篡改响应导体电路在外层136的限定部分电缆128的部分上延伸，因此，篡改响应电子器件和柔性电路组件126之间的连接也被保护以防止篡改。本领域技术人员将意识到，在使用中，篡改响应电子器件连续地监控导电图案142、144的一种或多种电气特性(诸如电阻或电压)。图案142、144可优选地定位成使得篡改会造成图案142、144之一或两者或发生破裂或发生短路。然后，篡改响应电子器件将检测到一个或多个电气特性发生变化，并采取适当的行动来防止欺诈，如设置报警和禁用输入设备或者擦除或覆盖输入设备的存储器。
[0059]如上所述，柔性电路组件126可优选地包括一个或多个开关，其构造为当安装柔性电路组件126时被闭合。可优选地，这些开关布置在第一内层138中，并且功能为选择性地完成如下所述的拆除检测电路。虽然可以使用任何合适的开关，但开关最好可瞬时接触，按钮型设备通常会在薄膜开关中发现。如图所示，开关134可优选地类似于由威斯康星州密尔沃基的Xymox Technologies公司提供的薄膜开关。可替代地,在一些实施方式中，开关可布置在另一层中，如布置在外层136中。
[0060]因此，例如，第一内层138的柔性衬底可包括印刷导体，其形成了在开关134的位置具有开触点的电路。第一内层138还可包括间隔层，以隔开含有导电焊盘等的第二柔性衬底与印刷有电路的衬底。虽然间隔层通常保持导电焊盘不与开触点的接触，但施加到开关134的区域的压力使导电焊盘完成电路。在一些实施方式中，开关134可以是触觉的，并包括金属(例如，不锈钢)或聚酯圆顶。关于合适的薄膜开关的结构的其它背景信息载于授予Parkinson的美国专利4217473和授予Kissner的4218600中，每个专利的全部内容通过引用并入本文用于所有目的。
[0061]虽然柔性电路组件126的一些实施方式可只包括外层136和第一内层138，但附加的篡改响应安全性可通过提供第二内层146(可优选地由类似于层136和138的材料制成)而获得。第二内层146可布置在第一内层138和固定到柔性电路组件126的输入设备之间。此外，第二内层146可优选地包括由印刷导体150、152形成的第二篡改响应导体电路148。第二内层146和篡改响应导体电路148可优选地分别类似于第一内层136和篡改响应导体电路140。此外，在一些实施方式中，篡改响应导体电路140、148可组合，以形成跨越多个层的单个篡改响应导体电路。
[0062]如上所述，在许多实施方式中，柔性电路组件126可优选地与输入设备的安全区域电连通。一般情况下，安全区域可以是篡改保护的物理外壳，用于输入设备的承载诸如加密密钥或客户账号等敏感信息的部件。因此，安全区域可由一个或多个篡改响应导体电路保护，和/或包裹在环氧树脂等之中。关于用于输入设备的电子部件的安全区域的背景信息在Cohen等人的美国专利6853093中发现，其全部公开内容通过弓I用并入本文用于所有目的。
[0063]更具体地，图6是与柔性电路组件126中的电路联接的卡片读取器110的示例性安全区域154的示意图。如上所述，电缆128可优选地将电路与柔性电路组件126中的电子部件连接至安全区域154。除其它部件之外，安全区域154可容纳与至少一个存储器158电子通信的处理器156和篡改响应电子器件160。如众所周知的，在功能上处理器156可执行加密，并控制对卡片读取器110的处理。存储器158可存储一种或多种类型的敏感信息，包含加密密钥或客户账户信息。
[0064]柔性电路组件126中的电路可与篡改响应电子器件160电连通。在上文已参考图5描述了篡改响应导体电路140、148。如图6所示，内层138的开关134可优选地构造为选择性地完成拆除检测电路162。特别地，当卡片读取器110抵靠前盖安装时，作用在柔性电路组件126上的压力造成开关134闭合。然后，如果擅自企图拆除卡片读取器110，则可打开一个或多个开关134，中断拆除检测电路162并造成篡改响应。所示开关134在拆除检测电路162中是串联连接，这只是为了便于说明，并且本领域技术人员将意识到，开关134可并联连接。
[0065]图6还示出了位于内层138中的第二安全层，以保护不被注入的外界导体攻击。具体而言，通常打开的外界导体检测电路164布置在与拆除检测电路162相邻的内层138中。当试图危及输入设备时，篡改者可能试图将外界导体(诸如导电液体)注入到内层138中，使拆除检测电路162短路。然而，在这种情况下，电路164可优选地相对于拆除检测电路162定位，使得如果篡改者试图在开关134周围创建短路，则外界导体也将接触电路164。这样的接触将完成电路164，并导致篡改响应。
[0066]篡改响应电子器件160可优选地监控柔性电路组件126中电路的电气特性，并向处理器156提供输出。处理器156可确定所测量参数的变化是否指示篡改，比如参数超过预定阈值。如果指示了篡改，则处理器156可命令篡改响应电子器件160擦除和/或覆盖存储在存储器158中的数据。可替代地，处理器156可设定篡改标志，并禁用卡片读取器110，直到卡片读取器110由授权的维修人员“重新武装”。
[0067]本领域技术人员将意识到，处理器156、存储器158和篡改响应电子器件160被示出为分立元件，这只是为了便于优选实施方式的描述。在其它实施方式中，任何或所有的这些元件可以不同地布置和/或组合，比如成为一个或多个集成电路。
[0068]图7是根据本发明另一实施方式以局部截面示出的柔性电路组件200的平面图。柔性电路组件200在许多方面类似于柔性电路组件126，并包括用于连接到输入设备安全区域的电缆202、外层204、第一内层206和第二内层208。外层204和第二内层208分别包含篡改响应导体电路210、212。然而，在该实施方式中，柔性电路组件200具有比柔性电路组件126更小的物理尺寸，并包括位于第一内层206中的单个开关214。
[0069]期望篡改者事先不知道他们正在尝试禁用的安全特征的位置，则这种实施方式可能是优选的。特别地，由于柔性电路组件200的小的物理尺寸，该设备可在制造过程中固定到输入设备的随机位置。将意识到，柔性电路组件200的随机定位添加了要克服的额外安全特征。取决于不同的应用，理想的是使用具有单个输入设备的一个以上电路组件200，其相对于彼此随机布置。[0070]图8A-8C示出了根据本发明另一实施方式的柔性电路组件300的各层。图8A是柔性电路组件300的第一层302、第二层304和第三层306的顶视图。图8B是柔性电路组件300的第四层308的底视图。每个层302、304、306、308可优选地包括薄的、挠性绝缘的衬底，如同上文的层136、138 —样。也如上文所解释的，合适的粘合剂可用于连接各层302、304,306和308。当组装时，各层302、304、306和308限定电缆310、连接器部分312和开关部分314。(为了清楚起见，用于电缆310、连接器部分312和开关部分314的附图标记仅相对于图8A中的第一层302示出。然而，将意识到，柔性电路组件300的这些元件还包括每个层 304,306 和 308。)
[0071]第一层302和第三层306可优选地包括篡改响应导体电路316，类似于上述篡改响应导体电路140、148、210和212。将意识到，为清楚起见，篡改响应导体电路316在图8A中仅部分示出。更具体地，在第三层306中，篡改响应导体电路316可包括导电迹线，其基本上覆盖第三层306并在连接器部分312中的过孔318和终点320之间延伸。设置在第二层304中终点320之上的是过孔322，使得篡改响应导体电路316可通过第二层304到达第一层302。在那里，篡改响应导体电路316可从过孔324延伸，这允许与第三层306中的导电迹线电气连接，以基本上覆盖第一层302。
[0072]在该实施方式中，开关326可设置在第一层302中。优选地类似于开关134和214的开关326可选择性地完成通常打开的拆除检测电路328，导电迹线330为此可布置在第二层304中。开关326可包含与金属圆顶334(见图9)周界接触的导电焊盘332。当按下金属圆顶334时，它接触另一导电焊盘336，以闭合拆除检测电路328。特别地，在第二层304中，导电迹线330在连接器部分312中的过孔338和开关部分314中的过孔340之间延伸。在第一层302中，开关326借助过孔342与迹线330电连通。
[0073]现在参照图SB，第四层308是柔性电路组件300的底层，并可优选地包括多个位于连接器部分312中的触点，用于与印刷电路板344(见图9)上的对应触点电连通。例如，第四层308可包括借助过孔318与篡改响应导体电路316电连通的四个触点346。另外，第四层308可包括两个触点348，借助第三层306中的过孔350和第二层304中的过孔338与拆除检测电路328的导电迹线330电连通。此外，第四层308可包括围绕焊盘346、348的接地端子352。最后，第四层308可包括铜平面354。正如本领域普通技术人员将意识到的，铜平面354可用于屏蔽对篡改响应导体电路316和拆除检测电路328的X射线观察。
[0074]此外，依照柔性电路组件300的替代实施方式，图8C是可添加在第一层302顶部的可选第五层356的顶视图。如同第四层308 —样，第五层356可包括铜平面358。然而，如图8C所示，提供了第五层356，类似于开关326的开关可布置在该层中，而不是布置在第一层302中(这将仍然包括篡改响应导体电路316)。铜平面358借助合适的过孔(在图8C中未示出)接地。
[0075]值得注意的是，在柔性电路组件300的优选实施方式中，开关部分314形成为防篡改“壳”的两个半部360、362。更具体地，半部360、362在该实施方式中为方形，但它可以是任何合适的形状，半部360、362可通过铰链部分364连接。在制造过程中，在将金属圆顶334插入于焊盘332、336上之后，半部360可在铰链部分364处折叠并利用合适的粘合剂固定于相应的半部362上。(也参见图9)。因此，开关326可嵌入在防篡改壳中，这提供了额外的安全性。特别地，由于篡改响应导体电路316，任何企图打开或接触该防篡改“壳”将中断电路316，导致篡改响应。换句话说，一旦开关326被“武装”，它在没有触发篡改响应的情况下就不能被禁用。
[0076]图9是示出将柔性电路组件300附接至印刷电路板344的示意性侧视图。如众所周知的，印刷电路板344可优选地包括具有篡改响应导体电路的至少两层，其设置在电路板344上的电路之上和之下。因此,像柔性电路组件300中的电路一样，印刷电路板344上的电路被完全保护，以防止篡改。另外，印刷电路板344可优选地还包括安全区域，该安全区域包括篡改响应电路，可类似于上面详细描述的安全区域154。在印刷电路板344中，用于拆除检测电路328的导体可优选地从该安全区域延伸到将柔性电路组件300的连接器部分312附接至印刷电路板344的位置。
[0077]更具体地，连接器部分312可使用导电性粘合剂364在期望的位置(在图9中由箭头指示)固定到电路板344。由此，任何试图从电路板344拆除柔性电路组件300将断开篡改响应导体电路316和/或打开经由导电性粘合剂364完成的电路，从而导致篡改响应。本领域技术人员熟悉合适的导电性粘合剂364，其可优选地允许传导穿过其厚度，但不能横跨其表面。
[0078]因此，一旦由篡改响应导体电路316上下保护的拆除检测电路328使用导电性粘合剂364与由篡改响应导体电路层上下保护的印刷电路板344中的相应导体相连接，则用于拆除检测电路328的信号通过“安全通道”在开关326和电路板344的安全区域之间传递。另外，使用导电性粘合剂364将柔性电路组件300附接至印刷电路板344增加了安装灵活性。例如，只要在印刷电路板344内用于拆除检测电路328的电路由篡改响应导体电路层保护，则柔性电路组件300可安装在印刷电路板344上的任何地方。换言之，由于在柔性电路组件300和电路板中由篡改响应导体电路提供的保护，在因提供额外篡改保护而设计的位置如在金属壳体下面没有必要安装柔性电路组件300。
[0079]如上所述，在本发明的一些实施方式中，篡改响应电子器件可位于柔性电路组件保护的输入设备中。然而，这不是必须的情况。依照本发明的柔性电路组件可保护一个输入设备，但与另一设备中的篡改响应电子器件电连通。这允许柔性电路组件以许多不同的构造与可设置在用户接口(如上述用户接口 74)中的任何设备一起使用。
[0080]例如，图10是与小键盘366和显示器368—起使用的柔性电路组件300的透视图。小键盘366和显示器368可类似于小键盘78和显示器90，并因此可构造为与加油机的前盖(如前盖76) —起安装。这里，小键盘366与电路板344联接，在对应于小键盘366金属壳体中的开口 370的位置将连接器部分312附接至电路板344。然而，柔性电路组件300的开关部分314联接到显示器368的框架372，其邻接前盖的后表面或内表面。当小键盘366和显示器368安装在前盖中时，开关部分314可“夹”在框架372和前盖之间，以闭合开关326。因此，如果显示器368被篡改，会造成拆除检测电路328打开，与小键盘366相关联的电路板344上的篡改响应电子器件将产生篡改响应。
[0081]虽然上文已经描述了本发明的一个或多个优选实施方式，但应当理解，本发明的任何和所有等效实现方案包含在其范围和精神内。所描述的实施方式仅作为示例的方式给出，并非旨在作为对本发明的限制。因此，本领域普通技术人员应该理解，因为可以作出修改，所以本发明并不限于这些实施方式。因此，可以设想的是，任何和所有这样的实施方式包含在本发明中，只要可落入其范围和精神内即可。
【权利要求】
1.一种用于检测未经授权的拆除或篡改的系统，所述系统包括: 印刷电路板，具有篡改响应电子器件；和 柔性电路组件，限定连接器部分、开关部分和在所述连接器部分和所述开关部分之间延伸的电缆，所述柔性电路组件在所述连接器部分处与所述印刷电路板联接； 所述柔性电路组件包括: 多个层，每个层包括柔性绝缘衬底； 布置在所述开关部分中的开关，所述开关经由导电路径与所述印刷电路板的所述篡改响应电子器件电连通；和 包围所述导电路径的篡改响应导体电路，所述篡改响应导体电路与所述印刷电路板的所述篡改响应电子器件电连通。
2.根据权利要求1所述的系统，其中，所述开关、所述导电路径和所述篡改响应电子器件包括拆除检测电路，当所述开关部分安装在用户接口设备和一结构之间时，所述拆除检测电路闭合。
3.根据权利要求2所述的系统，其中，所述印刷电路板不位于所述用户接口设备中。
4.根据权利要 求2所述的系统，其中，所述开关是薄膜开关。
5.根据权利要求1所述的系统，所述柔性电路组件还包括至少一个铜平面，以屏蔽对所述篡改响应导体电路和所述导电路径的检查。
6.根据权利要求5所述的系统，还包括第一铜平面和第二铜平面，所述第一铜平面和第二铜平面布置在所述篡改响应导体电路和所述导电路径上方和下方。
7.根据权利要求1所述的系统，其中，所述开关部分包括由铰链部分相连接的第一半部和第二半部。
8.根据权利要求7所述的系统，其中，所述开关部分折叠在所述铰链部分处，并且所述第一半部固定在所述第二半部上。
9.根据权利要求7所述的系统，其中，所述开关布置在所述开关部分的所述第一半部和第二半部之间。
10.根据权利要求1所述的系统，其中，所述柔性电路组件使用导电性粘合剂与所述印刷电路板联接。
11.一种检测未经授权的拆除或篡改的方法，所述方法包括的步骤有: 提供具有篡改响应电子器件的印刷电路板； 提供柔性电路组件，所述柔性电路组件包括: 开关部分，包括连接器部分、开关部分和在所述连接器部分和所述开关部分之间延伸的电缆； 所述开关部分包括由铰链部分相连接的第一半部和第二半部； 多个层，每个层包括柔性绝缘衬底； 布置在所述开关部分中的开关，所述开关经由导电路径与所述印刷电路板的所述篡改响应电子器件电连通；和 包围所述导电路径的第一篡改响应导体电路，所述第一篡改响应导体电路与所述印刷电路板的所述篡改响应电子器件电连通； 在所述连接器部分处将所述柔性电路组件安装到所述印刷电路板；以及在所述铰链部分处折叠所述开关部分，并且将所述第一半部固定在所述第二半部上以将所述开关嵌入所述第一半部和第二半部之间。
12.根据权利要求11所述的方法，还包括:将所述开关部分安装在用户接口设备和一结构之间。
13.根据权利要求11所述的方法，还包括:监控所述第一篡改响应导体电路的电气特性。
14.根据权利要求13所述的方法，还包括:当检测到所述第一篡改响应导体电路的电气特性发生变化时，在所述篡改响应电子器件处产生篡改响应。
15.根据权利要求11所述的方法，其中，所述开关、所述导电路径和所述篡改响应电子器件包括拆除检测电路，在所述安装步骤期间闭合所述拆除检测电路。
16.根据权利要求15所述的方法，其中，所述开关是薄膜开关。
17.根据权利要求15所述的方法，其中，所述印刷电路板包括至少一个层，所述至少一个层包括第二篡改响应导体电路。
18.根据权利要求17所述的方法，其中，所述拆除检测电路由所述第一篡改响应导体电路和第二篡改响应导体电路包围。
19.根据权利要求11所述的方法，还包括:在所述连接器部分和所述印刷电路板之间施加导电性粘合剂，以方便安装。
20.根据权利要求19所述的方法，其中，所述导电性粘合剂允许穿过其厚度传导，但不能横跨其表面传导。
21.一种用于检测未经授权的拆除或篡改的系统，所述系统包括: 输入设备，包括篡改响应电子器件和存储器； 与所述输入设备联接的柔性电路组件，所述柔性电路组件包括: 外层；和 布置在所述输入设备和所述外层之间的第一内层，所述第一内层包括至少一个开关； 电缆，与所述柔性电路组件联接并可操作地连接到所述输入设备的所述篡改响应电子器件； 其中所述柔性电路组件的所述外层和所述电缆包括第一篡改响应导体电路；以及 其中所述至少一个开关和所述第一篡改响应导体电路经由所述电缆与所述篡改响应电子器件电连通。
22.根据权利要求21所述的系统，其中，所述电缆是所述柔性电路组件的组成部分。
23.根据权利要求21所述的系统，其中，所述至少一个开关被构造为当所述输入设备安装到一结构上时，闭合与所述篡改响应电子器件电连通的拆除检测电路。
24.根据权利要求23所述的系统，其中，所述至少一个开关是薄膜开关。
25.根据权利要求23所述的系统，其中，所述结构是加油机前盖。
26.根据权利要求23所述的系统，其中，所述篡改响应电子器件被构造为监控所述拆除检测电路和所述第一篡改响应导体电路的电气特性。
27.根据权利要求26所述的系统，其中，所述篡改响应电子器件被构造为在检测到所述拆除检测电路或所述第一篡改响应导体电路任一的所述电气特性之一发生变化时，擦除所述输入设备的所述存储器。
28.根据权利要求21所述的系统，其中，所述柔性电路组件还包括与所述输入设备的所述篡改响应电子器件电连通的外界导体检测电路，其中所述外界导体检测电路通常是打开的。
29.根据权利要求28所述的系统，其中，所述输入设备的所述篡改响应电子器件被构造为当所述外界导体检测电路闭合时，擦除所述输入设备的所述存储器。
30.根据权利要求21所述的系统，其中，所述柔性电路组件还包括布置在所述输入设备和所述第一内层之间的第二内层，所述第二内层包括第二篡改响应导体电路，所述第二篡改响应导体电路经由所述电缆与所述篡改响应电子器件电连通。
31.根据权利要求21所述的系统，其中，所述柔性电路组件包括柔性印刷电路。
32.根据权利要求21所述的系统，其中，所述柔性电路组件的所述第一内层包括单个开关。
33.一种用于输入设备的多层篡改检测装置，所述输入设备包括篡改响应电子器件和存储器，所述多层传感器包括: 构造为连接到所述输入设备的柔性电路组件，所述柔性电路组件包括: 外层，包括第一篡改响应导体电路；和 第一内层，布置在所述外层之下，所述第一内层包括至少一个开关、拆除检测电路和外界导体检测电路； 其中所述至少一个开关被构造为当致动所述至少一个开关时闭合所述拆除检测电路； 其中所述外界导体检测电路通常是打开的；以及 其中所述第一篡改响应导体电路、所述拆除检测电路和所述外界导体检测电路被构造为与所述输入设备的所述篡改响应电子器件电连通。
34.根据权利要求33所述的传感器，其中，当所述柔性电路组件安装在所述输入设备和一结构之间时，致动所述开关。
35.根据权利要求34所述的传感器，其中，所述结构是加油机前盖。
36.根据权利要求33所述的传感器，其中，所述篡改响应导体电路与所述第一拆除检测电路和第二拆除检测电路的电气特性由所述篡改响应电子器件监控。
37.根据权利要求36所述的传感器，其中，所述柔性电路组件包括布置在所述第一内层下方的第二内层，所述第二内层包括第二篡改响应导体电路，所述第二篡改响应导体电路被构造为与所述输入设备的所述篡改响应电子器件电连通。
38.根据权利要求36所述的传感器，其中，所述电气特性之一发生变化会导致所述输入设备的所述篡改响应电子器件擦除所述输入设备的所述存储器。
39.根据权利要求33所述的传感器，还包括电缆，所述电缆与所述柔性电路组件联接，用于可操作地连接到所述输入设备的所述篡改响应电子器件。
40.根据权利要求39所述的传感器，其中，所述第一篡改响应导体电路跨越所述电缆。
41.一种检测未经授权的拆除或篡改输入设备的方法，所述输入设备包括篡改响应电子器件和存储器，所述方法包括的步骤有: 提供与所述输入设备联接的柔性电路组件，所述柔性电路组件包括: 外层，包括第一篡改响应导体电路；和第一内层，布置在所述输入设备和所述外层之间，所述第一内层包括至少一个开关、拆除检测电路和外界导体检测电路，其中所述至少一个开关可操作地连接到所述拆除检测电路，并且其中所述外界导体检测电路通常是打开的； 其中所述第一篡改响应导体电路、所述拆除检测电路和所述外界导体检测电路与所述输入设备的所述篡改响应电子器件电连通； 监控所述第一篡改响应导电电路、所述拆除检测电路和所述外界导体检测电路的电气特性；以及 当检测到所述第一篡改响应导电电路、所述拆除检测电路和所述外界导体检测电路之一的电气特性发生变化时，在所述篡改响应电子器件处产生篡改响应。
42.根据权利要求41所述的方法，其中，所述篡改响应从以下组成的组中选择:擦除所述输入设备的所述存储器、设定指示已经发生篡改的标志或禁止所述输入设备。
43.根据权利要求41所述的方法，其中，所述监控步骤还包括:检测所述外界导体检测电路是否闭合。
44.根据权利要求41所述的方法，其中，所述柔性电路组件还包括布置在所述第一内层下方的第二内层。
45.根据权利要求44所述的方法，其中，所述第二内层包括第二篡改响应导体电路，所述第二篡改响应导体电路与所述输入设备的所述篡改响应电子器件电连通。
46.根据权利要求45所述的方法，还包括:监控所述第二篡改响应导体电路的电气特性，并且当检测到所述第二篡改响应导体电路的所述电气特性之一发生变化时，在所述篡改响应电子器件处产生篡改响应。
47.根据权利要求41所述的方法，其中，所述输入设备从以下组成的组中选择:卡片读取器、小键盘和触摸屏。
【文档编号】G08B29/08GK103703494SQ201280034593
【公开日】2014年4月2日 申请日期:2012年5月10日 优先权日:2011年5月11日
【发明者】G.卡拉佩里, P.A.罗伯特森, A.托希 申请人:吉尔巴科公司