PIN输入设备的制作方法

本发明涉及一种pin输入设备和方法，该pin输入设备和方法在保持这种设备的严格的安全性和认证框架的同时具有增强的用户i/o功能。

背景技术：

在服务行业，企业希望接收来自客户的反馈。企业可能会使用客户反馈来改善其提供的服务。历史上，通过填写问卷来亲自提供客户反馈。或者，企业可以在提供服务之后通过向客户发送电子邮件来向客户询问反馈。

互联网现在使客户能够公开提供反馈。例如，在线评论网站使客户能够提供对诸如酒店住宿和餐厅用餐之类的服务的反馈。这些反馈可以由被评论的企业用来改善他们的服务，或者被公众用来帮助决定在哪里住宿。

这样的反馈方法和评论网站存在问题。首先，在事件之后收集反馈远比消费时的准确度要低。此外，很小一部分客户实际参与反馈过程，这意味着结果永远不会代表客户基础。对于评论网站，问题在于无法验证客户提供的评论的可信度。所谓的90-9-1规则据说适用于这样的网站。90％的用户查看评论，但从不给出任何自己的评论。9％的用户给出非常不频繁或一次性的评论，1％的用户提供定期评论。提供评论的1％的用户往往特别有偏见。还存在给出虚假评论(正面或负面)的问题。因此，需要鼓励来自更多客户的更准确的反馈的反馈系统。

使用pin输入设备(ped)作为授权emv(europay、mastercard和visa)卡交易的优选方法现在在许多国家都是司空见惯。例如，在英国和许多其他欧洲国家，受欢迎的电子销售点(epos)方法是chip-and-pin，其中使用卡上的ic芯片来验证pin。其他技术包括在线pin验证，其使用从卡获取的密钥对pin进行加密，然后将其发送到要检查的银行。

ped系统要求持卡人将他们的pin输入到ped设备中。客户必须与ped进行物理交互的事实提供了从客户获取其他信息的机会。例如，众所周知，使用ped向客户询问关于企业所提供的、引发交易的服务方面的问题。例如，众所周知，提出诸如“今天的水果看起来新鲜吗？”之类的问题，这些问题需要“是/否”的答复。us8,510,193(由jade-l提出)建议在完成交易之后使用ped向用户询问问题。这具有如下缺点，在完成交易之后，用户可能希望允许其他客户对他们的货物进行支付，并且这使得他们在ped设备上停留较长时间从而降低客户吞吐量。gb2456346(由waterlow提出)建议在用户已经输入pin码之后，但在交易完成之前(例如ped等待来自远程支付服务器对付款的批准)向用户询问问题。这种方法在增加客户停留时间方面可能也有缺点。其他系统仅在集成系统上的独立事务中实施。

还已知询问客户通过将他们帐单金额向上取整到最接近的完整货币单位来提供慈善捐赠，或者向客户服务代理人提供小费或酬金。

ped是根据严格的安全和认证框架来制造和测试的。其中心组分是要求保护持卡人的pin免遭流氓暴露。一套规则管理可显示的文本(例如问题)以及用户能够作出响应的输入。ped具有键盘，其包括数字键以及多个功能键，例如“回车(enter)”、“取消(cancel)”和“清除(clear)”。这些规则将可由ped显示的文本划分为经批准的文本或未经批准的文本(也称为任意文本)。仅允许响应于经批准的文本来使用数字键盘进行用户输入。当显示未经批准的文本时，数字键盘通常被禁用，以防止未经授权的pin捕获。可以使用功能键(例如“回车”，“取消”和“清除”)来响应经批准的文本和未经批准的文本。这些规则意味着当卡上的ic芯片真正请求pin输入时，pin输入被限制为对文本“输入pin”的响应。其他经批准的文本可包括给客户服务代理的慈善捐赠或小费，在这种情况下，输入限于货币值。

该组规则防止黑客命令设备显示诸如“输入pin”之类的消息，以欺骗性地使用户输入其pin，然后可以输出或存储其pin以供黑客以后使用。

上述us8,510,193建议通过使用未经批准的或任意的文本向用户询问问题。作为响应，上述规则仅允许用户从功能键输入，因此可能需要用户按“回车”继续。在下一屏幕上显示经批准的文本，使得用户可以使用数字输入键来输入评级。经批准的文本将以类似于以上提供的酬金输入的方式操作，并且可以将显示设置为“输入评级”，以便指示用户例如在先前的屏幕处回答问题时针对服务提供评级。这种操作方式的缺点在于用户必须经过两个屏幕和输入以提供评级。

或者，可以批准所有问题，使得数字键盘被激活以接收响应，并且用户可以在问题被显示之后立即输入评级。由于问题可能特别针对于服务供应商的类型，因此会需要大量的特别针对于供应商的问题。不太可能获得对于许多问题的批准，因为这样可能被认为会削弱ped设备的安全性。

期望提供改进的ped和/或操作这样的设备的方法，其保持严格的安全性，但也能够获得来自用户的响应于问题的反馈。

技术实现要素：

根据第一方面，本发明涉及pin输入设备，例如用于例如用支付卡结算金融支付的pin输入设备。pin输入设备可以包括用于向用户显示文本的字母数字显示器和数字键盘。数字键盘可以包括对应于数字0至9的十个按钮，尽管其他布置也是可能的。pin输入设备还可以包括除了数字键盘之外的功能键，例如与“回车”、“取消”和“清除”相对应的键。

pin输入设备被配置为操作以在字母数字显示器上向用户显示文本以提示用户进行响应，其中文本对应于经批准的文本和未经批准的文本。经批准的文本可以对应于已经被批准在pin输入设备上结合数字键盘使用的文本串。例如，当经批准的文本被显示在字母数字显示器上时，pin输入设备可允许使用数字键盘输入响应。示例可以是经批准的文本“输入pin”，在这种情况下，数字键盘将接受pin的输入。未经批准的文本可对应于未收到批准来结合数字键盘在pin输入设备上使用的文本串。例如，当字母数字显示器上显示未经批准的文本时，pin输入设备可以允许仅使用功能键来输入响应。例如，未经批准的文本可能对应于“添加酬金？回车＝是，取消＝否”，在这种情况下，“回车”功能键可用于指示要向交易金额中添加酬金。这可以提示pin输入设备显示诸如“输入量”之类的经批准的文本，在这种情况下，数字键盘被使得可操作为允许用户输入酬金金额。

当未经批准的文本被显示时，使数字键盘不可操作有利于避免欺骗性地获取用户的pin。例如，欺骗者或黑客可能配置pin输入设备以通过使用未经批准的文本插入不按顺序的(outofsequence)问题来收集pin：该文本可能承载诸如“请求pin”之类的请求。为了防止这种情况，当字母数字键盘上显示未经批准的文本时，pin输入设备不允许使用数字键盘。

pin输入设备可以被配置为在第一按键时接受响应。优选地，这将是单个数字键输入。例如，用户可能不需要在选择其中一个数字键之后按下诸如“回车”按钮之类的功能键。pin输入设备可以被配置为使得一旦响应被接受，则在字母数字显示器上提供对文本的进一步显示。但是，在进一步显示未经批准的文本之前或来自数字键盘的响应再次被接受之前，可以适当地放置时限条(timebar)。我们现在将依次描述这些替代方案。

首先，在可能提供对未经批准的文本的进一步显示之前，可以适当地放置时限条。也就是说，pin输入设备可以被配置为显示未经批准的文本、接受单按键响应、并且仅在时间延迟到期之后才显示未经批准的文本的第二实例。可选地，pin输入设备可以被配置为允许在已经输入对未经批准的文本的响应之后的任何时间显示经批准的文本。因此，时间延迟可能不适用于对经批准的文本的显示。

防止对未经批准的文本的一系列显示提供了针对欺骗性地获取用户的pin的进一步保护。例如，pin设备可能被黑客入侵或以其他方式被入侵，使得其显示一系列同一未经批准的文本，例如“提供pin”。在每次按键之后，再次显示同一问题，但是屏幕被刷新数次，使得用户将感知到经过多次按键仍仅有一个消息保持在显示器上。

通过在对未经批准的文本的连续显示之间建立延迟，可能会避免pin输入设备的这种潜在的误用。可以使用任何时间延迟，但超过5秒、超过10秒、超过30秒、以及30秒的时间延迟是优选的。

或者，可以在显示未经批准的文本的第二实例之后并且在数字键盘接受对未经批准的文本的第二实例的响应之前，可以适当地放置时限条。更详细地，pin输入设备可以被配置为显示未经批准的文本，接受单按键响应，显示未经批准的文本的第二实例，并且仅在时间延迟到期之后接受对未经批准的文本的第二实例的单按键响应。因此，可以提供对未经批准的文本的进一步显示，但是如果任何响应在时间延迟到期之前被输入，则其可被拒绝。可选地，尝试输入第二单按键响应可能导致产生错误代码和/或可能导致该尝试被报告，例如以允许对欺骗性使用pin输入设备进行监控。任何时间延迟都可以使用，但超过5秒、超过10秒、超过30秒的时间延迟以及30秒的时间延迟是优选的。

未经批准的文本的第二实例可以是不需要用户输入的消息。例如，消息可能是“请稍候”或“谢谢”。因此，可能希望不接受响应于未经批准的文本的第二实例的任何按键。因此，时限条防止接受来自用户的对数字键盘的进一步输入。

根据本发明的pin输入设备的优点在于，其允许在交易完成之前向用户询问问题，例如在用户等待支付过程开始的时间段期间。以这种方式，与在交易完成之后询问问题的现有技术方法相比，客户的停留时间可能会减少。

pin输入设备可以包括存储器，其中存储有计算机程序指令，其在被执行时使得pin输入设备如上所述地进行操作。或者，pin输入设备可以通过网络连接到服务器，并且服务器可以被配置为使得pin输入设备如上所述地进行操作。

pin输入设备可以用作用于结算金融交易的装置，例如在商店或餐馆中。pin输入设备可以是独立设备，例如，使得其仅被连接到金融服务提供商以允许完成交易。或者，pin输入设备可以连接到销售点(pos)系统，例如可以连接到与诸如扫描仪、打印机和现金抽屉之类的其他设备一起提供的收银机。

pin输入设备可以被配置为在字母数字显示器上显示与提供客户评级的请求相对应的未经批准的文本，例如与他们正在购买的(一个或多个)产品、商品或(一个或多个)服务相关的请求。例如，可以显示文本以提示用户对他们接收到的服务或者他们购买的商品的质量进行评级。数字键盘可用于提供0至9之间的评级，其中0可表示最差值，9表示最佳值。例如，9可以用来表示最好的服务，0代表最差的服务。因此，本发明提供：pin输入设备；操作pin输入设备的方法；计算机程序，当其被执行时，实施操作pin输入设备的方法；以及包括所述计算机程序代码的一个或多个计算机可读介质。

pin输入设备包括用于向用户显示文本的字母数字显示器、数字键盘和一个或多个功能键，并且其中pin输入设备被配置为操作以在字母数字显示器上向用户显示文本从而提示用户进行响应，其中文本对应于经批准的文本和未经批准的文本，并且其中pin输入设备被配置为响应于经批准的文本接受在数字键盘或一个或多个功能键上输入的响应，并且在由未经批准的文本的显示进行提示时，仅接受单按键响应。

被配置为显示未经批准的文本的pin输入设备可以接受单按键响应，并且仅在时间延迟到期后才显示未经批准的文本的第二实例。

被配置为显示未经批准的文本的pin输入设备可以接受单按键响应并显示未经批准的文本的第二实例，并且可以仅在时间延迟到期之后接受对未经批准的文本的第二实例的第二单按键响应。

pin输入设备可被配置为如果在时间延迟到期之前做出第二单按键响应，则产生错误代码和/或报告。

或者，被配置为显示未经批准的文本的pin输入设备可以接受单按键响应，并且可以仅在第二实例的未经批准的文本与第一实例的未经批准的文本不同的情况下显示未经批准的文本的第二实例，使得仿佛对未经批准的文本的第二实例的显示相继于对未经批准的文本的第一实例的显示和对第一单按键响应的接受。

操作pin输入设备的方法包括：在字母数字显示器上向用户显示文本以提示用户进行响应，其中文本对应于经批准的文本和未经批准的文本；响应于经批准的文本的显示，接受在数字键盘或一个或多个功能键上输入的响应；以及响应于未经批准的文本的显示，仅接受在数字键盘上输入的单个按键响应。

附图说明

为了更易于理解本发明，现在将仅通过示例的方式参照附图来描述优选实施例，其中：

图1是pin输入设备的示意图；

图2是示出根据本发明的第一实施方式的指示流程的流程图；以及

图3是示出根据本发明的第二实施方式的指示流程的流程图。

具体实施方式

图1是常规pin输入设备(ped)100的示意图，其具有用于向用户显示消息文本的字母数字显示屏幕10和用于用户输入的键盘20。键盘包括具有数字0-9的数字键盘25。还提供了许多非数字键，例如，功能键26“取消”、“清除”和“回车”。这些可以由如图1所示的诸如“x”、“←”之类的符号来指示。在一些ped设备上，还可以提供“*”和“#”键，以及诸如f1、f2、f3和f4之类的其他功能键。非数字键是非安全键，而对数字键的使用被严格限制，以避免用户能够输入其pin，除了在被ic芯片请求时。

本发明实现了用于ped的新的输入/输出命令，以提供可用于向用户提出问题(例如，对服务进行评级)和用户提供响应于该问题的输入的附加功能。

新命令与未经批准的或任意的文本组合使用，并且优选地在支付过程期间实施，例如在交易处理的死区时间期间，或在pin输入之前或之后但在交易完成之前。例如，在显示声明“移除卡片”等之前。如果对新命令的使用与交易处理相结合，则该命令可以用于从用户获得关于他们已经接收到的服务方面的可靠信息，例如，评级信息。不能从没有接收到服务的人员那里虚假地提供评级信息，并且该信息不受服务被接收与用户提供反馈之间流逝的时间的影响。

在第一实施例中，新命令接收并显示任意文本，然后等待来自用户的一个按键(在返回该按键的值之前)。该命令可以被称为“一个任意问题，一个按键响应”或缩写为“aq1kr”。重要的是，响应仅限于单个按键。虽然流氓用户可能会将任意文本指示为“输入pin”，但该命令只响应于来自用户的单个按键。由于所有的pin都不止单个按键，并且几乎总是包括四个按键或更多按键，因此用户不会被误导输入他的pin，因为该命令不接受多于单个按键。

该命令可以用于向用户询问关于他们从供应商那里接收到的服务的问题。示例问题可以包括“服务是否友好？请根据0-9的范围进行评级”或“请根据0-9的范围对食物进行评级”。用户然后将能够使用键盘的数字部分来从0-9的范围输入单个响应作为回答问题的评级。可以使用“0”输入来表示不良或最差的结果，而评级“9”可用于表示该服务可能是最佳的。

问题的结果被收集并被发送到远程评级服务器。远程评级服务器可以由评级服务提供商支持，以对来自供应商或供应商的一系列品牌店或场地的结果进行整理。评级服务提供商然后定期(可以是每小时、每天和/或每周等)向供应商提供反馈。或者，结果可以被存储在供应商在其基建(例如，在其商店)提供的服务器处，结果在本地被整理并提供给供应商。在某些情况下，可能希望向供应商提供实时反馈以回答问题。

aq1kr命令允许使用任意问题。可以从评级服务提供商的远程评级服务器提供问题。问题可以根据供应商所提供的服务类型进行选择。例如，在餐厅提出的问题可能与食物和服务有关。在其他类型的机构，问题可能会有所不同。有些机构甚至可以提供多个问题，当aq1kr命令被调用时，所述多个问题可以在ped设备上被选择性或随机地提供。

图2是示出了将作为aq1kr命令的一部分来实施的附加安全措施的流程图。尽管有响应于任意问题仅接受单个按键的安全措施，但仍存在由于重复询问任意问题而对用户的pin码造成威胁的可能性。流氓交易者或黑客有可能将具有相同文本“输入pin”的命令的副本串在一起。命令的每次迭代将允许数字输入，因此多次迭代将允许黑客构建用户的完整pin。由于任意的问题文本将相同，因此用户将不知道他实际上在回答多个问题，而是认为“输入pin”的问题真的是由卡片上的ic芯片发起的。为了避免这个问题，根据第一实施例，如果命令已经在先前的暂停(timeout)时段内运行，则命令立即返回错误代码。暂停时段例如可以是30秒、10秒、5秒，但优选地设置为默认值30秒。

图2中的流程图开始于步骤101，其中，调用aq1kr命令。下一步骤102是检查以确定自上一次命令被调用以来是否已经过了暂停时段。或者，暂停时段可以从上一次用户输入对命令的响应算起。如果暂停时段尚未过去，则在108处该命令返回错误代码。如果暂停时段已经过去，则命令继续到步骤103，其中，显示任意问题。在104处，响应于问题，用户输入单个按键。在105处，该命令记录单个按键发生的时间。该命令现已完成，但可再次被调用。如果命令被再次调用，则在步骤107检查上次调用命令的时间(或者用户上次提供对命令的输入的时间)，以确定暂停时段是否已经过去。如果暂停时段尚未过去，则再次返回错误代码，因此不会显示任意文本。如果暂停时段已经过去，则命令继续并显示任意文本。用户可以输入第二单按键响应。

在命令结束时，可能需要例如在步骤106按下“回车”键以退出aq1kr命令，并将用户输入返回给例如远程评级服务器。“回车”的按下也返回到支付交易的处理。或者，aq1kr命令可以在无需按下除数字响应以外的键的情况下返回。

在与第一实施例相关但作为替代方案的布置中，在命令的第二操作中对延迟或暂停的应用可以在接受来自用户的第二单按键响应之前被应用，而不是在显示未经批准的问题的第二实例之前被应用。因此，在该布置中，在显示未经批准的问题的第一实例之后是第一单按键响应，aq1kr命令紧接着继续显示第二实例的未经批准的问题。此时，在接受第二单按键响应之前，会检查并实现延迟或暂停。

针对问题使用未经批准的文本的一个优点是可以将问题定制为适用于供应商所提供的服务。输入用户响应的方式(单个键)维护了ped的安全性。针对问题使用经批准的文本(例如，在现有技术中)对于ped的安全性是有害的并且意味着问题可能并不总是适合供应商的服务。

在第二实施例中，aq1kr命令被配置为被阻止顺序地运行，而没有涉及卡片移除或在连续出现的命令之间显示经批准的文本的命令。该规则防止通过使用黑客为了获得pin而可能采用的相同或相似的问题来重复询问用户他们的pin。例如，黑客可能如上所述地使用未经批准的文本“输入pin”并接受用户pin的第一个数字作为单个按键。如果黑客被允许重复这个未经批准的文本以及随后的单个按键输入，则黑客可以构建pin。黑客不需要使用相同的文本，但可以例如使用具有序列“输入pin*”、“输入pin**”、“输入pin***”的不同文本。用户会将这些更改视为对他们的输入的自然反馈。

第二实施例的指令流程在图3的流程图中示出。该图示出了在aq1kr命令的顺序操作之间已经显示了经批准的文本的要求。如果在aq1kr命令的操作之间对卡片移除的要求被调用，则将使用类似的指令流程。返回到图3，首先在步骤201调用aq1kr命令。接下来，在步骤202，进行检测以确定自上次调用aq1kr命令以来是否已经显示了经批准的文本。如果自上次调用命令以来没有显示经批准的文本，则命令返回错误，如步骤206所示。如果从上次调用命令以来已经显示了经批准的文本，则命令继续以显示未经批准的或任意的文本问题，如步骤203所示。如上面关于第一实施例所讨论的，在显示任意问题之后，命令被配置为接受单个数字键输入。如图3中的步骤204所示，这个输入将对应于关于被显示为未经批准的文本的问题的评级。

如步骤205所示，为了操作该功能，在步骤202处的检查需要如下输入，该输入指示经批准的文本是否被显示在被调用的上一个命令中。

图3中未示出对要按下“回车”键以完成该功能的任何要求，但这是选项，其可以被包括在第一实施例中并如图2所示。

要求卡片移除命令出现在aq1kr的顺序操作之间的替代方案将用检查某些特定命令是否已经运行来取代步骤202。可以同时执行对卡片移除/插入命令的检查和对经批准的文本的显示。

可以组合第一实施例和第二实施例的方面。例如，第二实施例中的检查防止aq1kr命令顺序运行而不产生错误(或者所导致的输入被忽略)。当命令被调用并允许运行时，根据第一实施例，检查自上次调用以来经过的时间。我们已经描述了关于ped设备的上述实施例，其中支付卡是被插入到ped中的插槽中的chip-and-pin卡。然而，这些实施例同样适用于非接触式卡支付、或使用存储在磁条上的pin的卡的情形。

本领域技术人员将理解，在不脱离由所附权利要求限定的本发明的范围的情况下，可以对上述实施例进行改变。虽然提出了用于提供用户输入(例如评级)的0至9的十个数字按钮，但是可以提供更少或更多的按钮。例如，可以提供小于十的数来表示更小的范围，例如1到5。