专利名称:用于激活终端的方法
技术领域:
本发明涉及服务安全性的一般技术领域,特别是涉及根据机密数 据的输入,激活安全终端的技术领域。
本发明显然适用于电子支付终端和银行票据发行者。
背景技术:
在安放安全终端,或者对安全终端进行维护操作之后(其意味着 终端失效),应该在激活或者再激活终端之前,检査终端的完整性。
为了保证终端的安全性,根据PCI标准(支付卡行业数据安全标 准)对PED (个人识别码进入设备)的规定,应由两名不同的操作者 完成对终端的激活。这种双重激活的缺点是,需有两名操作者出现在 终端所在位置。
本发明的总体目标是提出一种方法和相关的装置,使得终端的双 重激活在终端所在的位置只需要一位操作者。
发明内容
为达此目的,提出了一种通过操作者激活终端的方法,终端的激 活允许在终端与安全服务器之间交换安全信息,其特征在于包括以下
对终端的操作步骤
-从操作者处接收第一条激活信息, -从授权服务器接收第二条激活信息, -利用第一和第二条激活信息激活终端。
因此,终端的激活需要接收来自两个不同实体的两条激活信息 第一条和第二条激活信息是互补的,并共同激活终端。换言之,仅收 到两条激活信息中的一条不能激活终端进一步要求终端接收到两条 激活信息中的另一条。
在本发明的范围内,"激活终端"是指使该终端运行的情况。 安全服务器为,例如,银行服务器,终端为支付终端。根据本发明所述的方法,使得终端的双重激活仅要求一个自然人 出现在需要激活的终端所在地,远程授权服务器扮演虚拟操作者的角 色。
本发明所述的激活方法优选但非局限的方面如下
-加密第一条和第二条激活信息,此方法包括用于终端的以下步
骤
利用分配给终端并储存在终端存储器中的至少一个密钥,解 密第一条和第二条加密的激活信息,
由此,可以防止在终端、操作者和授权服务器之间交换的激活信 息被恶意的第三方重用。
-此方法进一步包括以下步骤 对于终端
将分配给操作者的操作者标识符和分配给终端的终端标识符 发送到授权服务器, 对于授权服务器
根据接收自终端的操作者标识符和终端标识符,验证操作者 被授权激活该终端,且对该终端的激活被授权,如果操作者被授 权激活此终端,且对该终端的激活被授权,则向终端发送第二条 激活信息,
-此方法进一步包括以下步骤
对于授权服务器
在数据库中查找分配给该终端的多个密钥, 根据数据库中的激活信息,创建第二条激活信息, 利用分配给该终端的密钥加密该第二条激活信息, 将加密的第二条激活信息发送给该终端,
对于终端
利用分配给该终端并储存在终端存储器中的密钥,对加密的 第二条密码信息进行解密。 -对于终端,此方法进一步包括以下步骤
向授权服务器发送日期,此日期在加密第二条激活信息的步 骤中用作随机变量,-对于授权服务器,本方法进一步包括以下步骤
将终端标识符,操作者标识符和终端上干预的时刻写入数据库。
-操作者标识符包括唯一的操作者号,其存储在包含第一条激活 信息的激活装置上,
-操作者标识符进一步包括用于在终端上输入的个人识别号,个 人识别号与操作者号相关联,
-此方法包括由检査操作者在终端上输入的号码是否与和此操作 者号相关联的个人识别号相同构成的步骤。
本发明也涉及能够应用上述方法的服务器。
本发明也涉及能够应用上述方法的终端。
本发明的其他特征,目标和优点,通过以下的描述将变得显而易 见,其描述是纯说明性的且非局限的,并应参考附图阅读,其中 -图l给出了在可以应用此方法的装置之间的不同交换; -图2列出了在此方法的一个实施例中应用的步骤。
具体实施例方式
参照图1和图2,描述了应用本发明所述方法的一个实施例的装 置,以及本发明所述方法的一个实施例的步骤。
这些装置包括生产场所1、操作者2、授权服务器3以及至少一 个终端4。
生产场所1是生产终端的实体。生产场所1也负责将所生产的终 端分送到预定这些终端的地点。
操作者2是授权在终端上进行干预的自然人。操作者2到达终端 已被分送到的地点,以便验证这些终端的完整性。操作者2是终端4 的双重激活所要求的两个主角之一。
授权服务器3是负责对操作者2进行授权的实体。授权服务器3 将可用于识别操作者2的装置和激活终端4所需的装置发送给操作者 2。授权服务器3也负责验证从待激活的终端4接收到的信息。授权 服务器3是终端4的双重激活所要求的两个主角中的另一个。终端4是安全外设,包括一个或多个密钥5,其储存在终端4的 存储器中,并对待传送的信息进行加密,或者对终端接收到的加密信 息进行解密。终端一旦被激活,也就是说,终端一旦准备好接收与安 全服务器分享的密信,则终端将与安全服务器(未给出)交流。终端 为,例如,支付终端,安全服务器为银行服务器。
终端激活方法包括以下步骤。
为了激活终端4,授权的操作者2到达终端4所在地点(或者将 终端带回操作者2所在地点)。
授权的操作者2验证终端4的完整性之后,应用激活方法。
在激活终端4的方法的步骤10中,终端4对操作者2进行识 别。为此,他/她向终端4发送个人的操作者标识符,此标识符已由授 权服务器3提供给他/她。
操作者标识符对每个操作者2是特有的换言之,两个不同的操 作者2不能具有相同的操作者标识符。这使得授权的操作者2能够互 相区分,且可从所有授权的操作者2中,识别出干预终端4的操作者 2。
在一个实施例中,操作者标识符包括单个的个人操作者号11,其 存储在用于激活终端4的装置中。用于激活终端4的装置是,例如用 于插入终端4的芯片卡13。
存储在芯片卡13中的操作者号11可与个人识别号12 (PIN码) 相关联,此个人识别号12需由操作者2在终端4的键盘(未给出) 上输入。
由于识别操作者2需要插入芯片卡13,并在终端4上输入个人识 别号12,这就限制了在丢失或盗窃芯片卡13的情况下,第三方可能 取代授权的操作者2的风险。芯片卡13的任何丢失或盗窃都被告知 给授权场所3,从而在授权服务器3上对该芯片卡13进行阻挡。
在操作者标识符包括储存在芯片卡13上的操作者号11和需在终 端4的键盘上输入的个人识别号12的情况下,终端4检查操作者标 识符的这两部分确实互相匹配。
在操作者2连续3次输入错误的个人识别号(即,如果在终端的 键盘上输入的号码和与给此芯片卡相关联的PIN码不同)的情况下,例如,可激活用于阻挡操作者2的此芯片卡13的功能。
在激活方法的另一个步骤10'中,操作者2向终端4发送第一条 激活信息14。任选地,利用分配并储存在终端4的存储器中的密钥对 第一条激活信息14进行加密。终端将第一条激活信息储存在存储器 中。
向终端4发送操作者标识符和第一条激活信息14,可以同时执行 或者相继执行。
在一个实施例中,第一条激活信息14记录在操作者2的芯片卡 13上。
在本方法的另一个步骤20中,终端4向授权服务器3发送操作 者标识符(特别是存储在芯片卡13上的操作者号11)。
终端4也向授权服务器3发送20 '与之相关联的终端标识符15, 其储存在终端4的存储器中。
终端标识符15对于每个终端4是特有的换言之,两个不同的 终端4不能具有相同的终端标识符。这使得终端4可被彼此区分。
在一个实施例中,终端标识符15包括单独的序列号。
在一个实施例中,终端4也向授权服务器3发送20"日期16,此 日期包括,例如,与操作者2在终端4上的干预时刻相对应的年、 月、日和时间。
发送操作者标识符20、发送终端标识符20'和发送日期20"可同 时执行或相继执行。
在本方法的另一步骤中,授权服务器3接收操作者标识符、终端 标识符和日期,并核对这些信息。
授权服务器3核对30操作者2是否被授权干预终端4。为此,授 权服务器3引用数据库6,数据库6中存储着与操作者2的授权相关 的信息。
授权服务器3也验证30'终端4被授权使其激活,也就是说,终 端4还没有因为被盗、不适于使用、过旧或报废而从可利用终端编号 中清除。和终端的可用性相关的信息储存在授权服务器3的数据库6 中。
在一个实施例中,授权服务器3在数据库6中存储40与当前干预相关的信息。例如,授权服务器3在数据库6中存储终端4发送的
曰期16、终端标识符和操作者标识符2。这为终端4上执行的操作提
供了可追溯性。
授权服务器3也根据存储在数据库6中的数据,创建与终端相关 联的第二条激活信息17。
如果操作者2被授权激活终端4,且如果终端4可用,则授权服 务器3向终端4发送50第二条激活信息17。
任选地,授权服务器3可以利用例如分配给终端的密钥,加密第 二条激活信息17,密钥可以预先存储在数据库6中。利用分配给终端 的密钥,对第二条激活信息17进行加密可以依据
-操作者标识符,
-终端标识符,
-日期。
在加密过程中,日期用作随机变量。
在本发明的另一步骤中,终端4接收第二条激活信息。
在第一条和第二条激活信息被加密的情况下,终端4利用分配给 该终端的密钥,将第一条和第二条加密的激活信息解密60。 *
为解密第二条激活信息,终端采用了日期、操作者标识符和终端 标识符,以及分配给终端并储存在终端存储器中的密钥。事实上,该 日期、操作者标识符和终端标识符对于将已将他们传送到授权服务器 3的终端4是已知的。
一旦接收到第二条激活信息17 (且第一条和第二条激活信息被解 密),终端4做好了接收与安全服务器分享的密信的准备即终端4 被激活。
因此,本发明所述方法提供了对终端4的双重激活,此双重激活 在终端4所在地只需要一名操作者2。
在应用此激活方法之前,先应用两个方法 -创建终端的方法, -操作者授权方法。
作为示例,将参考图2描述创建终端的方法和操作者授权方法的 例子,给出这些方法完全是作为示例。创建终端的方法包括以下步骤
在创建终端的方法的一个步骤中,生产场所1生产终端4,并将 其与终端标识符15关联。终端标识符15储存在终端存储器4中。
在创建终端的方法的另一个步骤中,生产场所1收到来自授权服
务器3的由授权服务器3产生的一组密钥。
密钥可以是,例如,3DES (三重数据加密标准)密钥。当然, 本发明的方法不限于本例中的3DES密钥,密钥可以是RSA密钥或本 领域技术人员所知的任何其他类型的密钥,密钥类型的选择取决于所 采用的加密算法。
在创建终端的方法的另一步骤中,生产场所1从收到的来自授权 服务器3的所有密钥中,选择一个或多个分配给所创建的终端4的密 钥。
在创建终端的方法的另一步骤中,生产场所1在终端4的安全存 储器中储存为终端4选择的密钥5。
在创建终端的方法的另一个步骤80中,生产场所1向授权服务 器3发送终端标识符15。生产场所1同样发送分配给终端4的密钥
在创建终端的方法的另一步骤中,授权服务器3接收分配给终端 4的密钥,以及终端标识符。
授权服务器3在数据库6中存储终端15的标识符和分配给终端4 的密钥5,以便授权服务器3能够根据终端的标识符15找回分配给终 端4的密钥5。
此外,由于密钥5记录在终端4和授权服务器3中,这使得在终 端4和授权服务器3之间允许进行加密交换,特别是传送第二条激活 信息17时。
在创建终端的方法的另一步骤90中,生产场所1将终端分送到 这些终端所服务的地点。
然后可以通过应用前面所述的激活方法来激活终端。 对操作者2进行授权的方法包括以下步骤。
在授权方法的一个步骤中,授权服务器3将操作者标识符发送给 操作者2,使他/她可被待激活的终端4识别。如前面所述,此标识符包括-
-存储在芯片卡上的操作者号,在上述激活方法的一个步骤中,
此芯片卡用于被操作者2插入终端4,
-与操作者号关联的个人识别号,需由操作者2输入终端4。 发送存储着操作者号和相关联的个人识别号的芯片卡,可分两个
阶段执行
-芯片卡通过第一次递送100发送给操作者2,
-个人识别号通过第二次递送110发送给操作者2。
由此,可以限制截取了递送100、 110之一的第三方拥有使授权
的操作者2被识别的全部信息的风险。从而限制了第三方可能取代他/
她作为授权的操作者2的风险。
读者应意识到全局消息的分割,使得终端的激活分为
-第一条激活信息,和 -第二条激活信息。
此分割可通过授权服务器执行,授权服务器只在数据库中存储第 二条激活信息,第一条激活信息存储在操作者的芯片卡上(在通过实 施例中分配给终端的密钥加密第一条激活信息,或者执行完这样的对 第一条激活信息的加密之后)。
本发明所述方法的不同实施例因此具有很多优点
-由于已被分配了单独的个人标识符,干预终端的操作者2可被
识别,
-操作者2不能独自激活终端,因为此激活要求终端4接收两条 激活信息,操作者2只持有这两条信息中的一条,
-由于对操作者2进行验证要求在终端4上输入个人识别号,因 此操作者2的激活装置(即,例如芯片卡)的丢失不会造成第三方取 代他/她作为授权的操作者2,
-在授权服务器3在数据库中记录操作者标识符、终端标识符和 与干预时刻相应的日期的实施例中,终端4上发生的干预可以是可追 踪的,
-对终端4上发生的干预的记录,集中在授权服务器3的数据库 中,这有助于追踪所有终端上发生的干预,也有助于对操作者2的可能失误的后续监控,
-通过加密第一条和第二条激活信息,可以避免信息被第三方截 取,以及为欺诈性激活此终端或其他终端而被恢复。
参考
10在终端识别操作者
10,由操作者将第一条激活信息发送给终端
20由终端向授权服务器发送操作者标识符
20'由终端向授权服务器发送终端标识符
20"由终端向授权服务器发送日期
30由授权服务器验证操作者的授权
30,由授权服务器验证终端的可用性
40由授权服务器存储与当前干预相关的信息
50由授权服务器对第二条激活信息加密
60由授权服务器发送第二条激活信息
70由终端对第二条加密的激活信息解密
权利要求
1、一种由操作者激活终端(4)的方法,终端(4)的激活允许在安全终端(4)与安全服务器之间交换安全信息,其特征在于包括对终端(4)的以下步骤- 从操作者(2)处接收第一条激活信息,- 从授权服务器(3)接收第二条激活信息,- 利用第一条和第二条激活信息激活支付终端。
2、 根据前述权利要求所述的方法,其特征在于第一和第二条 激活信息被加密,此方法包括以下步骤-采用至少一个分配给终端并储存在终端(4)的存储器中的密 钥解密第一条和第二条加密的信息。
3、 根据前述权利要求之一所述的方法,其特征在于该方法进一步包括以下步骤 对于终端(4):-向授权服务器(3)发送分配给操作者(2)的操作者标识符, 和分配给终端(4)的终端标识符,对于授权服务器(3):-根据接收自终端(4)的操作者标识符和终端标识符,检查操 作者(2)被授权激活终端(4),以及终端(4)的激活被授权,如果 操作者(2)被授权激活终端(4),且终端(4)的激活被授权,则将 第二条激活信息发送到终端。
4、 根据以上权利要求中任一项所述的方法,其特征在于该方法进一步包括以下步骤对于授权服务器(3):-在数据库中査找分配给终端(4)的密钥,-根据数据库中包含的信息,创建第二条激活信息, -利用分配给终端的密钥,加密第二条激活信息,-向终端发送第二条加密的激活信息, 对于终端(4):-利用分配给终端并存储在终端的存储器中的密钥,解密第二条 加密的激活信息。
5、 根据权利要求4所述的方法,其特征在于该方法进一步包括 以下步骤对于终端(4):-向授权服务器(3)发送日期,该日期在加密第二条激活信息 的步骤中用作随机变量。
6、 根据以上权利要求中任一项所述的方法,其特征在于对于授 权服务器(3)该方法进一步包括以下步骤-将终端标识符,操作者标识符和终端(4)上发生干预的时刻 写入数据库。
7、 根据以上权利要求中任一项所述的方法,其特征在于操作者标识符包括单独的操作者号,该操作者号存储在包含第一条激活信息 的激活装置中。
8、 据权利要求7所述的方法,其特征在于操作者标识符进一步 包括用于在终端(4)上输入的个人识别号,该个人识别号与操作者 号相关联,该方法包括检查由操作者在终端上输入的号码与和操作者号相关 联的个人识别号是否相同构成的步骤。
9、 一种终端,其特征在于包含应用权利要求1到8中任一项所 述的方法的装置。
10、 一种授权服务器,其特种在于包含应用权利要求1到8中任 一项所述方法的装置。
全文摘要
本发明涉及由操作者激活终端(4)的方法,终端的激活允许在终端(4)与安全服务器之间安全地交换信息,其特征在于此方法包括对于终端(4)的以下步骤从操作者(2)处接收第一条激活信息,从授权服务器(3)处接收第二条激活信息,利用第一条和第二条激活信息激活终端。
文档编号H04L9/08GK101444036SQ200780017041
公开日2009年5月27日 申请日期2007年5月7日 优先权日2006年5月11日
发明者F·哥伦布, P·兰伯特 申请人:萨基姆玛尼特公司