基于网络的安全输入/输出(i/o)模块(siom)的制作方法

文档序号:9870217阅读:848来源:国知局
基于网络的安全输入/输出(i/o)模块(siom)的制作方法
【技术领域】
[0001]本发明涉及一种基于网络的安全输入/输出(I/O)模块(S1M)。
【背景技术】
[0002]在线或电子安全是业界非常重要的一个问题。似乎每个月都会出现关于某个重大企业的安全性遭到了破坏的新闻。出现此类安全性遭到破坏的事件的机构包括政府机构、零售店、社会媒体公司,甚至大型银行。
[0003]任何时候,当企业认为已经部署了修复安全破坏的安全措施时,黑客很快就想出了破坏其系统的新方法。在某些情况下,这种破坏甚至并非在企业的系统内进行,而是通过进入或离开企业系统的网络传输线进行;黑客利用嗅探技术获取经过网络线传输的数据包的副本,并找到破解密码的方法(假设采用了密码的话)。
[0004]人们在解决安全问题方面取得了种种进步。例如,在零售商必须确保销售点(POS)终端财务交易完整性的零售业,人们已经在POS终端内部署了安全输入/输出(I/O)模块(S1M)。这些S1M是集成在POS终端内的物理模块。S1M是“看门人”,它建立和管理支持安全通信的各终端设备之间的加密通信。S1M充当交通警察,执行安全策略和通过设备控制器发送消息。
[0005]S1M及其相关处理组成一个(位于POS终端内的)局部系统,该系统通过物理介质,如RS-232C串行端口、通用串行总线(USB)、火线(FireWire)等与其端点设备连接。S1M管理单个终端和该终端的集成端点设备(外围设备)的安全和策略。
[0006]但是,许多老POS终端没有集成S1M,部署S1M需要安装新的硬件。此外,如果零售商希望拥有S1M提供的安全性,则零售商的每个POS终端都必须安装S10M。
[0007]因此,需要一种改进的S1M部署和访问(access),它们应独立于目前的一个S1M对一个终端的方法。

【发明内容】

[0008]在不同的实施例中,给出了提供基于网络的安全输入/输出(I/O)模块(S1M)的技术。根据一个实施例,提供了一种提供基于局域网(LAN)的S1M访问的方法。
[0009]具体而言,通过LAN接收来自两个独立外围设备的配对请求,并利用安全协议,与每个外围设备建立唯一的安全会话(sess1n)。
[0010]根据本发明的第一方面,提供一种方法,包括:通过局域网(LAN)接收来自两个独立外围设备的配对请求;利用安全协议与每个外围设备建立唯一的安全会话。
[0011]接收配对请求的步骤任选进一步包括当与每个外围设备相关的设备控制器的电源打开时,从设备控制器获取每个请求。
[0012]接收配对请求的步骤任选进一步包括根据与每个请求相关的外围设备识别符,识别每个外围设备独立且唯一的一组安全属性。
[0013]接收配对请求的步骤任选进一步包括识别来自与LAN连接的不同终端的每个请求。
[0014]接收配对请求的步骤任选进一步包括识别来自与LAN连接的单个终端的每个请求。
[0015]建立唯一的安全会话的步骤任选进一步包括为每个安全会话使用唯一的加密法。
[0016]为每个安全会话使用唯一的加密法的步骤任选进一步包括为每个安全会话实施唯一的安全策略。
[0017]建立唯一的安全会话的步骤任选进一步包括通过每个外围设备的安全会话从该外围设备接收事件数据。
[0018]建立唯一的安全会话的步骤任选进一步包括通过每个外围设备的安全会话向该外围设备发送通知数据或命令数据。
[0019]根据本发明的第二个方面,提供一种系统,该系统包括一个设备;一个基于网络的安全输入/输出模块(S1M),其经配置用于:(i)通过网络连接,将两个独立的外围设备进行配对及(ii)通过网络与每个外围设备建立唯一的安全会话。
[0020]基于网络的S1M任选进一步经配置用于:(iii)通过网络连接提供配对和建立唯一的安全会话,网络连接是以下中的一种:局域网(LAN)连接和广域网(WAN)连接。
[0021]基于网络的S1M任选进一步经配置用于:(iii)提供配对和建立以下中的一种:与两个外围设备相关的单个终端单-租户服务及两个终端的多-租户服务,每个终端与两个外围设备中唯一的一个相关。
[0022]根据本发明的第三方面,提供一种方法,包括:通过广域网(WAN),接收来自第一外围设备的第一配对请求和接收来自第二外围设备的第二配对请求;及通过广域网,与第一外围设备建立第一安全会话,以及与第二外围设备建立第二安全会话。
[0023]接收第一配对请求的步骤任选进一步包括当每个外围设备的电源打开时获取每个配对请求。
[0024]接收第一配对请求的步骤任选进一步包括识别来自单个终端的每个配对请求。
[0025]接收第一配对请求的步骤任选进一步包括识别来自唯一终端的每个配对请求。
[0026]接收第一配对请求的步骤任选进一步包括通过WAN识别来自唯一终端的、以及来自与唯一的局域网(LAN)处理环境相关的每个终端的每个配对请求。
[0027]建立第一安全会话的步骤任选进一步包括将每个配对请求发送到唯一的安全输入/输出模块(S1M),用于根据与每个配对请求相关的一个或多个识别符,建立每个安全会话。
[0028]建立第一安全会话的步骤任选进一步包括将每个配对请求发送到单个安全输入/输出模块(S1M),用于根据来自单个终端的两个配对请求,建立每个安全会话。
[0029]建立第一安全会话的步骤任选进一步包括为每个安全会话使用唯一的密码和实施唯一的安全规则。
【附图说明】
[0030]以下通过举例并参照附图,对本发明的上述内容和其他方面加以具体说明:
[0031]根据一个示例实施方案,图1A是企业系统图,其中零售企业的每家店都提供一个基于网络的安全输入/输出(I/O)模块(S1M)(多租户配置)。
[0032]根据一个示例实施方案,图1B是企业系统图,其中零售企业的店内提供局域网(LAN),采用单租户访问S10M。
[0033]根据一个示例实施方案,图1C是企业系统图,其中零售企业的店内提供广域网(WAN),采用单租户或多租户访问S10M。
[0034]根据一个示例实施方案,图2是提供基于LAN的S1M访问的一种方法的示意图;
[0035]根据一个示例实施方案,图3是提供基于WAN的S1M访问的一种方法的示意图;
[0036]根据一个示例实施方案,图4是基于网络的S1M系统的示意图。
【具体实施方式】
[0037]首先参考图1A,根据一个示例实施方案,图1A是企业系统图,其中零售企业的每家店都提供一个基于网络的安全输入/输出(I/O)模块(S1M)。按照大大简化的方式画出了企业系统的部件,只画出了那些对理解本发明某些实施例必须的部件。
[0038]企业系统包括企业服务数据库、企业配置服务、系统管理服务、入侵检测系统(IDS)、广域网(WAN)及多个零售店。每个零售店都包括局域网(LAN)、可经LAN访问的服务器,及几个销售点(POS)终端(还可能是网亭、自动柜员机(ATM)、自助服务终端(SST)或它们的组合)。
[0039]每个终端包括多个外围设备,例如,扫描器、密码键盘、加密密码键盘、磁条/卡阅读器(MSR)、打印机、键盘、显示器、触摸屏显示器、价值媒体分配器(value-mediadispensers)等,但不限于这些。
[0040]可经LAN访问的服务器包括部署了服务器的零售店的单个S10M。也就是说,每个零售店只有一个S1M服务该店内的多个终端,以及每个终端内的多个外围设备中的每个外围设备。
[0041]通过企业系统传输的所有数据均通过利用一个安全协议的安全会话来进行。也就是说,安全协议定义每个安全会话的客户加密法(加密算法、密钥,及密钥长度)(由图1A中单个双向箭头表示)。通过企业系统内多个安全会话向上或向下传输的数据可以针对每个独立的安全会话使用不同的客户加密法,这一点由安全协议管理。
[0042]通过安全LAN会话,每个S1M(每个店一个)控制传送到和传送自零售店内的那些外围设备终端的独立的外围设备的消息。
[0043]企业数据库包括配置密匙(用于加密、解密、认证等)、清单(安全规则、安全策略、加密算法/技术、证书、密钥、安全许可、安全角色等)、资产详细情况(设备识别符、设备能力、软件资源、版本
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1