相关申请的交叉引用
本申请要求2013年11月18日提交的序列号为14/082272的美国非临时专利申请和2013年11月18日提交的序列号为14/082278的美国非临时专利申请的优先权的权益,通过引用将它们中的每一个以其整体的方式结合于本文中。
这里公开的主题一般地涉及用于燃料分配器安全的系统和方法。
背景技术:
典型的加燃料环境包括一个或多个燃料分配器,其可以被顾客用来将燃料分配到车辆、便携式燃料箱或其他设备中。对于服务人员、政府或监管官员或其他方来说不时地访问燃料分配器的特定特征(诸如服务日志、校准功能、诊断功能等等)是有必要的。现有的燃料分配器采用各种安全机制来努力防止对这些特征的未授权访问。例如,一些燃料分配器要求简单的密码来访问燃料分配器中的计算机系统的某些功能。通过进一步的示例的方式,一些燃料分配器包括盖住燃料分配器的服务部分的可锁的门或在密封损坏的情况下提供篡改证据的机械密封。然而,大多数现有的安全系统和方法可以被恶意方轻易地规避。因此,存在对用于燃料分配器安全的改进的系统和方法的需要。
技术实现要素:
这里公开了用于燃料分配器安全的系统和方法。在一些实施例中,呈现给试图访问燃料分配器的受保护功能的用户的是使用对燃料分配器而言唯一的秘密密钥来加密的质询(challenge)。为了访问安全功能,用户必须从认证该用户的服务器获得会话密码,使用秘密密钥的配对物(counterpart)来对该质询解密,确定是否授权用户访问安全功能,以及仅当用户被授权时返回从质询提取的会话密码。因此服务器可以根据一组用户访问特权来控制对某些燃料分配器功能的访问。质询还可以包括可以被燃料分配器和/或被服务器用来存储访问活动的日志的附加信息。
在一些实施例中,一种系统包括存储对系统而言唯一的秘密密钥的燃料分配器存储器以及耦合到该存储器的燃料分配器处理器。该处理器被编程为代表用户接收访问系统的功能的请求,生成包括会话密码和与所请求的功能相对应的功能代码的质询,使用存储在存储器中的秘密密钥对该质询加密,输出经过加密的质询,提示输入会话密码,以及仅当接收到与会话密码匹配的密码时允许访问所请求的功能。
在一些实施例中,安全服务器包括被配置成与用户设备通信的网络接口和燃料分配器数据库,该燃料分配器数据库包括对于多个燃料分配器中的每一个而言唯一的标识符,其标识燃料分配器和存储在燃料分配器中的秘密密钥的配对物并且对燃料分配器而言是唯一的。安全服务器还包括用户访问数据库,该用户访问数据库包括对于多个用户中的每一个而言唯一的用户标识,其标识用户、与用户相关联的认证信息、以及针对用户而限定的一个或多个访问特权。安全服务器还包括耦合到网络接口、燃料分配器数据库和用户访问数据库的处理器。该处理器被编程为经由网络接口从用户设备接收用户设备的用户试图访问的燃料分配器的唯一标识符和由所述燃料分配器生成的经过加密的质询。该处理器还被编程为查询用户访问数据库以基于由用户设备提供的用户标识和认证信息来确定用户是否是服务器的授权用户。该处理器还被编程为当用户是服务器的授权用户时查询燃料分配器数据库以获得在燃料分配器数据库中与从用户设备接收到的唯一标识符相关联的配对物秘密密钥。该处理器还被编程为使用从燃料分配器数据库获得的秘密密钥来对经过加密的质询解密,从经解密的质询提取功能代码和会话密码,查询用户访问数据库以确定是否授权用户访问功能代码所表示的功能,以及当授权用户访问所述功能时经由网络接口将会话密码发送给用户设备。
在一些实施例中,一种用于代表试图使用通过网络接口耦合到安全服务器的客户端计算机处理器来访问安全功能的用户来访问系统的该安全功能的方法包括通过系统的用户接口请求对安全功能的访问。该方法还包括从系统获得与该系统相关联的唯一标识符,从系统获得包括与安全功能相对应的功能代码和会话密码的经过加密的质询,该经过加密的质询是使用对系统而言唯一的并且被存储在系统的存储器中的秘密密钥加密的,以及使用客户端计算机处理器和网络接口将用户的用户认证信息发送给安全服务器,该安全服务器与用户访问数据库和系统数据库通信耦合,秘密密钥的配对物与系统的唯一标识符相关联地存储在该系统数据库中。该方法还包括当授权用户在用户访问数据库中访问安全功能时使用客户端计算机处理器和网络接口将唯一标识符和经过加密的质询发送给安全服务器,在安全服务器使用秘密密钥的配对物对经过加密的质询解密并且提取会话密码之后使用客户端计算机处理器和网络接口来从安全服务器接收会话密码,以及通过用户接口向系统提供会话密码以获得对安全功能的访问。
在一些实施例中,燃料分配器包括被配置成测量燃料分配器所分配的燃料的数量的流量计;以及被耦合到存储器并且被配置成选择性地阻止通过流量计分配燃料的计算机处理器。该计算机处理器被编程为检测流量计的校准的变化,当检测到校准变化时阻止使用流量计来分配燃料直到验证功能被执行为止,生成包括会话密码的质询,使用存储在燃料分配器的存储器中的秘密密钥来对质询加密,将经过加密的质询提供给试图执行验证功能的用户,以及仅当从用户接收到与会话密码匹配的密码时允许执行验证功能。
在一些实施例中,燃料分配器包括被配置成测量燃料分配器所分配的燃料的数量的流量计;以及被耦合到存储器并且被配置成选择性地阻止通过流量计分配燃料的计算机处理器。该计算机处理器被编程为阻止流量计的校准的变化直到执行校准功能为止,生成包括会话密码的质询,使用存储在燃料分配器的存储器中的秘密密钥来对质询加密,将经过加密的质询提供给试图执行校准功能的用户,以及仅当从用户接收到与会话密码匹配的密码时,允许执行校准功能。
在一些实施例中,一种用于由燃料分配器执行的安全方法包括使用处理器来检测流量计的校准的变化,该燃料分配器具有被配置成测量由燃料分配器分配的燃料的数量的流量计和计算机处理器,该计算机处理器被耦合到存储器并被配置成选择性地阻止通过流量计分配燃料。该方法还包括在检测到校准变化之后使用处理器来阻止使用流量计来分配燃料直到验证功能被执行为止,生成包括会话密码的质询,使用存储在燃料分配器的存储器中的秘密密钥来对质询加密,将经过加密的质询提供给试图执行验证功能的用户,以及仅当从用户接收到与会话密码匹配的密码时允许执行验证功能。
附图说明
从结合附图得到的以下详细描述将更容易地理解这些和其他特征,其中:
图1是加燃料环境的一个示例性实施例的示意图;
图2是计算机系统的一个示例性实施例的示意图;
图3是对用户进行认证的方法的一个示例性实施例的序列图;
图4是从燃料分配器的视角描绘图3的方法的流程图;
图5是从用户设备的视角描绘图3的方法的流程图;以及
图6是从服务器的视角描绘图3的方法的流程图。
要注意的是附图不一定是按照比例的。意图使附图仅描绘这里公开的主题的典型方面,并且因此不应该被认为限制本公开的范围。在附图中,相似的编号表示附图之间的相似要素。
具体实施方式
现在将描述某些示例性实施例来提供对这里公开的系统和方法的结构、功能、制造和使用的原理的整体理解。
这里公开用于燃料分配器安全的系统和方法。在一些实施例中,呈现给试图访问燃料分配器的受保护功能的用户的是使用对燃料分配器而言唯一的秘密密钥来加密的质询。为了访问安全功能,用户必须从认证用户的服务器获得会话密码,使用秘密密钥的配对物来对该质询解密,确定是否授权用户访问安全功能,以及仅当用户被授权时返回从质询提取的会话密码。服务器因此可以根据一组用户访问特权来控制对某些燃料分配器功能的访问。该质询还可以包括可以被燃料分配器和/或被服务器用来存储访问活动的日志的附加信息。
加燃料环境
图1图示可以在其中实施这里所公开的方法和系统中的一个或多个的加燃料环境100的示例性实施例。尽管示出并描述了加燃料环境100,但将领会到的是可以在其他设置(例如其中有必要防止或降低对设备或系统的非授权访问的任何设置)中容易地应用这里公开的系统和方法。加燃料环境100通常包括用于分配燃料的燃料分配器102、与用户(例如试图访问燃料分配器的服务人员或监管者)相关联的用户设备104、以及安全服务器106。该服务器106可以包括一个或多个数据库或者可以与一个或多个数据库通信,该一个或多个数据库诸如燃料分配器数据库108和用户访问数据库110。
燃料分配器102可以包括本领域技术人员充分了解的各种特征,诸如喷嘴、泵、计量器、用于选择燃料等级的按钮、电子显示屏、支付终端等等。燃料分配器102还可以包括计算机系统,如下文所述。
用户设备104可以是被配置成通过通信网络交换数据的任何设备(诸如移动电话、平板计算机、膝上型计算机、桌面计算机、电话等等)或者可以包括该任何设备。用户设备104可以被配置成通过网络与服务器106通信。示例性网络包括蜂窝语音和数据网、互连网、局域网、广域网、陆上线路电话网、wi-fi网、光纤网等等。如下文所述,用户设备104可以是计算机系统或者可以包括计算机系统。在一些实施例中,用户设备104可以被配置成通过网络(例如经由无线连接(例如近场通信(nfc)、wi-fi、蓝牙、ir等等)和/或有线连接(例如usb、串行com端口、以太网等等))与燃料分配器102通信。例如,在一些实施例中,用户设备104可以是被配置成向燃料分配器102传送各种信息的远程控制器,该燃料分配器102可以在销售显示器上提供反馈。在本公开中,如本领域技术人员容易理解的那样,当被用户执行时描述的功能还可以由用户设备104来执行并且反之亦然,除非上下文做出另外的表示。
服务器106可以是被配置成从一个或多个远程用户接收请求、处理该请求和/或对该请求作出响应的任何设备或者可以包括该任何设备。服务器106可以执行各种功能,诸如用户认证、数据库查询,以及活动日志记录。如下文所述,服务器106可以是计算机系统或可以包括计算机系统。
在加燃料环境100中,多个燃料分配器(对其来说存在少则两个以及多则几千、几百万、或更多全世界的)中的每一个被分配唯一标识符,其可以被用来将该特定燃料分配器与给定集合(例如由遍及世界的特定制造商制造的所有燃料分配器、特定模型或系列的所有燃料分配器、地理区域中的所有燃料分配器、和/或其组合)中的所有其他燃料分配器区别开。唯一标识符可以是任何唯一的字母串、数字串、字符串、符号串等等。唯一标识符可以被制成可公开获得的,例如通过将唯一标识符印刷在贴到燃料分配器102外部的贴纸或海报上。唯一标识符还可以被存储在燃料分配器102的计算机系统中(例如非易失性存储器或存储介质中),并且可通过用户界面访问以便在燃料分配器或与燃料分配器通信耦合的计算机系统的电子显示屏上显示给用户。当燃料分配器被制造或当燃料分配器在现场被委任时,唯一标识符可以被指定且存储在燃料分配器102中。
燃料分配器102的计算机系统还存储不可公然获得的秘密密钥。换言之,秘密密钥没有被印刷在燃料分配器102的外部上,仅可由燃料分配器的内部软件访问,并且从不向用户显示或仅在授权用户观察这样的信息的极少情况中显示。诸如在计算机系统或其组件的制造期间,秘密密钥可以被随机生成并且可以被存储在受控环境中的燃料分配器102的计算机系统中。秘密密钥可以是字母、数字、字符、符号等等的任何任意或随机的串或序列。例如,秘密密钥可以是随机的256位数字。秘密密钥对其中安装该秘密密钥的燃料分配器而言可以是唯一的,以使得没有两个燃料分配器具有相同的秘密密钥。在一些实施例中,秘密密钥可以被存储在计算机系统的安全元件中。安全元件可以是能够根据由一组被良好认同的值得信赖的权威机构提出的规则和安全需求而安全地托管(host)应用及其机密数据和使用密码的数据(例如密钥管理)的防篡改平台(例如单芯片安全微控制器)。安全元件可以能够提供随机数生成、生成设备特定的密钥,以及执行安全算法。安全算法的已知示例包括但不限于hash、tdes、aes、rsa、crc等等。示例性安全元件包括通用集成电路卡(uicc)、嵌入式安全元件、“一次编程”非易失性存储器和微安全数字(microsd)卡。
燃料分配器数据库108存储将多个燃料分配器102中的每一个(通过它们各自的唯一标识符来标识)与存储在该燃料分配器中的对应秘密密钥相关联的索引。当制造新的燃料分配器或新的燃料分配器计算机系统时,数据库108可以被更新。因此,在一个示例性实施例中,当制造具有唯一标识符“m2345-7890a”的燃料分配器时,生成诸如“834j8fyq8y48j8y3”的秘密密钥并将其存储在燃料分配器的计算机系统中。创建将燃料分配器“m2345-7890a”与秘密密钥“834j8fyq8y48j8y3”相关联的条目并将该条目添加到燃料分配器数据库108。数据库108因此存储安装在数据库中列出的燃料分配器的每一个中的秘密密钥的配对物。配对物密钥可以是秘密密钥的拷贝或者可以是非对称密钥对中的对应密钥。数据库108还可以存储针对多个燃料分配器中的每一个的区域或位置信息。使用本领域中已知的技术来使数据库108安全,以使得仅服务器106或其他授权系统或用户可以访问数据库。
用户访问数据库110存储将多个用户中的每一个(其通过各自的唯一用户标识(诸如用户名或受雇者编号)来识别)与认证信息和一个或多个访问特权相关联的索引。当用户尝试访问服务器106时,要求他们提供与存储在用户访问数据库110中的认证信息相比的信息来确定是否授权用户来访问服务器。认证信息可以包括各种已知的类型,诸如用户名和密码组合、指纹或视网膜扫描、面孔识别等等。
存储在用户访问数据库110中的访问特权限定每个用户所许可的访问燃料分配器的范围。访问特权可以规定用户可以访问哪些燃料分配器、用户可以访问特定燃料分配器内的哪些特征、用户可以访问燃料分配器的日期和时间、关于用户可以访问的那些燃料分配器的地理限制等等。访问特权可以由系统管理员添加、移除或更新。
计算机系统
如上文所记录,燃料分配器102、用户设备104和服务器106中的每一个都可以包括一个或多个计算机系统或者使用该一个或多个计算机系统来实施。图2图示计算机系统200的示例性体系结构。尽管在这里描绘且描述了示例性计算机系统,但将领会到的是这是为了普遍性和方便。在其他实施例中,可以将在体系结构和操作方面与这里示出且描述的计算机系统不同的计算机系统用于燃料分配器102、用户设备104和服务器106中的任一个。
计算机系统200可以包括处理器202,其例如通过执行操作系统(os)、设备驱动器、应用程序等等来控制计算机系统200的操作。处理器202可以包括任何类型的微处理器或中央处理单元(cpu),其包括可编程通用或专用微处理器和/或各种各样的专有的或市场上可买到的单处理器系统或多处理器系统中的任一个。
计算机系统200还可以包括存储器204,其为要由处理器202执行的代码或为由处理器202处理的数据提供临时或永久存储。存储器204可以包括只读存储器(rom)、闪速存储器、随机存取存储器(ram)的一个或多个变形、和/或存储器技术的组合。
计算机系统200的各种元件可以彼此耦合。例如,处理器202可以被耦合到存储器204。计算机系统200的各种元件可以彼此直接耦合或者可以经由一个或多个中间的组件彼此耦合。在所图示的实施例中,计算机系统200的各种元件被耦合到总线系统206。所图示的总线系统206是代表通过适当的桥接器、适配器和/或控制器连接的任何一个或多个分开的物理总线、通信线/接口、和/或多点(multi-drop)或点对点连接的抽象概念。
计算机系统200还可以包括使得计算机系统200能够通过网络与远程设备(例如其他计算机系统)通信的网络接口208。在用户设备104的情况下,网络接口可以促进与服务器106的通信。在服务器106的情况下,网络接口可以促进与用户设备104和数据库108、110的通信。
计算机系统200还可以包括输入/输出(i/o)接口210,其促进一个或多个输入设备、一个或多个输出设备和计算机系统200的各种其他组件之间的通信。示例性输入和输出设备包括小键盘、触摸屏、按钮、磁条卡阅读器、灯、扬声器、ir远程控制器、分配器销售显示器等等。
计算机系统200还可以包括存储设备212,其可以包括用于以非易失性和/或非瞬时方式存储数据的任何常规介质。存储设备212因此可以以持续状态保持数据和/或指令(即尽管计算机系统200的电力中断但值被保持)。存储设备212可以包括一个或多个硬盘驱动器、闪存驱动器、usb驱动器、光盘驱动器、各种介质盘或卡、存储器技术、和/或其任何组合,并且可以直接连接到计算机系统200的其他组件或诸如通过网络远程连接到那里。
计算机系统200还可以包括显示控制器214(其可以包括视频处理器和视频存储器),并且可以根据从处理器202接收到的指令生成要在一个或多个电子显示器上显示的图像。
由燃料分配器102、用户设备104和服务器106的计算机系统执行的各种功能可以在逻辑上被描述为由一个或多个模块或单元来执行。将领会到的是,这样的模块可以以硬件、软件、或其组合来实施。还将领会到的是,当以软件来实施时,模块可以是单个程序或一个或多个单独程序的部分,并且可以在各种各样的环境中实施(例如作为操作系统、设备驱动器、独立应用程序和/或其组合的部分)。此外,具体化一个或多个模块的软件可以被存储为一个或多个非瞬时计算机可读存储介质上的可执行程序,或者可以被作为信号、载波等等来传输。如被特定模块执行的这里所公开的功能还可以由任何其他模块或模块的组合来执行,并且燃料分配器102、用户设备104和服务器106可以包括比这里示出和描述的更少或更多的模块。如这里所使用的,软件指的是任何可执行程序指令,包括固件。
认证过程
可以彼此结合地使用燃料分配器102、用户设备104和服务器106来实施用于使燃料分配器102安全的各种系统和方法。特别地,可以由被许可或被拒绝访问燃料分配器102的所请求的功能的用户来执行认证过程。
图3是认证过程的示例性实施例的序列图。该过程可以被用来认证用户(例如服务人员或监管者)以达到允许访问燃料分配器102的某些特征的目的。尽管这里公开的各种方法可以关于序列图或流程图而示出,但是应该指出由这些序列图、流程图或其描述所暗示的方法步骤的任何顺序不被解释为将方法限制为以此顺序执行该步骤。相反,这里公开的各方法的每一个的各个步骤可以以任何各种各样的次序来执行。此外,因为所图示的序列图和流程图仅是示例性实施例,所以包括附加步骤或包括比所图示的更少的步骤的各种其他方法也在本公开的范围之内。
如图3中所示,认证过程以用户(例如现场技术人员)请求访问燃料分配器102或访问具体功能、参数、日志或燃料分配器的其他受保护操作来开始。用户可以通过导航到燃料分配器的用户接口内的特定菜单或通过开动燃料分配器的一个或多个用户接口元件(诸如按键、按钮等等)来手动地请求访问。例如,在用户设备通过通信信道耦合到燃料分配器102的实施例中,用户还可以通过用户设备104来请求访问。在一些实施例中,通过输入或选择功能代码来请求对功能进行访问。功能代码可以包括功能代码部分和子功能代码部分,并且可以以各种格式(诸如二进制编码的十进制)来提供。可以利用包括一个或多个通配符的功能代码来指定多个功能或子功能。
对访问的请求还可以包括与请求访问的用户相关联的用户标识。如上文详述的,每个授权的用户都拥有向服务器106和用户访问数据库110注册的唯一用户标识,其可以被用来将该个体用户与所有其他授权用户区别开。可以以各种方式将该唯一标识提供给燃料分配器102。例如,用户可以使用诸如触摸屏或小键盘之类的输入设备来将用户标识键入到燃料分配器102的计算机系统中。以其他示例的方式,用户可以将加密的电子狗、存储卡或存储用户标识的其他硬件插入到计算机系统中以将用户标识传达给燃料分配器102。还可以使用用户设备104自动地将用户名传达给燃料分配器102。
响应于对访问的请求,燃料分配器102生成传达给用户的质询。如这里所使用的,术语“质询”指的是可以被传达给用户的任何消息、数据或代码。可以以各种方式将质询传达给用户。例如,质询可以被显示在燃料分配器的电子显示屏上或者可以通过通信信道发送给用户设备104。在一些实施例中,可以在不要求中间用户或用户设备(例如经由通过网络耦合到服务器的中央燃料分配器管理系统)的情况下将燃料分配器102直接连接到服务器106,并且可以通过燃料分配器自身将该质询传达给服务器。如下文所讨论的当质询最终被传达给服务器时,该质询可以包括可以用于将信息传达给服务器106的各种组件。例如,质询可以包括以下组件中的一个或多个:
唯一标识符——质询可以包括燃料分配器102或燃料分配器的计算机系统的唯一标识符或序列号,其可以被服务器106用来确定正在访问哪个特定燃料分配器。
功能代码——质询还可以包括功能代码和/或子功能代码,其可以包括与请求访问的(多个)功能相对应的通配符。
用户标识——质询还可以包括正请求访问的用户的用户标识。
状态指示符——质询还可以包括表示燃料分配器102的安全状态的状态指示符。该状态指示符可以被设置成某个值以指示燃料分配器102已检测到安全漏洞或已遭遇某一关键性错误,并且因此状态指示符可以向服务器106警告燃料分配器的问题。
会话密码——质询还可以包括会话密码,其可以是燃料分配器102的计算机系统例如使用诸如实时操作系统(rtos)计时器之类的高分辨率计时器而生成的随机数。会话密码对每个会话或访问尝试而言可以是唯一的,并且可以在预定时间段之后终止。
上述质询组件仅仅是示例性的,并且将领会到的是质询可以包括附加的组件或比这里所描述的更少的组件。可以经由散列、连结、相乘、其他技术或其结合来组合质询的组件。例如,可以使用逻辑“或”操作将功能代码、会话密码或状态指示符连结在一起或组合以形成中间结果。然后利用燃料分配器102的用户标识和唯一标识符对中间结果散列处理以便制定所组合的质询。然后可以使用存储在燃料分配器102的计算机系统中的秘密密钥来对所组合的质询加密,在该点处可以将经过加密的质询传达给用户或用户设备104。
还可以以未加密形式或在一些实施例中以加密形式将燃料分配器102的唯一标识符传达给用户。可以以各种方式将唯一标识符传达给用户。例如,用户可以简单地从贴到燃料分配器102的贴纸或海报或者从燃料分配器的显示屏读取唯一标识符,或者可以通过通信信道将唯一标识符发送给用户设备104。
在获得经过加密的质询和/或唯一标识符之前或之后,可以利用服务器106来认证用户设备104。例如,用户可以将安装在用户设备104上的网络浏览器或其他软件指向服务器106,该服务器106然后可以提示用户输入上述类型的认证信息。用户还可以经由电话或其他通信介质来联系公司办公室以将经过加密的质询和/或唯一标识符转发给可以接着将此类信息提供给服务器106的人或自动操作器。服务器106从用户设备104接收认证信息并且查询用户访问数据库110来确定用户是否已提供有效的凭证。认证信息可以包括用户标识,以使得服务器106知道用户的身份。一旦向服务器成功地认证用户,就可以将经过加密的质询和燃料分配器102的唯一标识符从用户设备104传达给服务器106。
服务器106然后可以利用用户所提供的唯一标识符查询燃料分配器数据库108以检索存储在与该唯一标识符相关联的数据库108中的秘密密钥。换句话说,服务器106从数据库108检索存储在燃料分配器102中的秘密密钥的配对物密钥。该配对物密钥可以是存储在用户试图访问的燃料分配器102的安全元件中的同一秘密密钥的拷贝,或者在非对称密钥加密方案(诸如rsa)的情况下的对应密钥。从数据库108检索的秘密密钥然后被用来对从用户设备104接收到的经加密的质询进行解密。
服务器106然后可以执行用于以关于经解密的质询的倒序来组合质询的上述过程,由此提取出用户正尝试访问哪个燃料分配器、用户正尝试访问哪个功能、用户的身份、燃料分配器的安全状态、以及燃料分配器所生成的随机会话密码。服务器106可以将该信息与各种其他信息(诸如接收到质询的时间和日期、用户设备104的ip或mac地址等等)一起记入日志中。可疑的活动可以被标记,并且根据活动的性质该可疑的活动可以导致拒绝所请求的访问。
服务器106然后可以查询用户访问数据库110以确定是否授权用户访问所请求的燃料分配器的所请求的功能。例如,服务器106可以将所请求的燃料分配器的区域信息(其被包括在质询中或者被指定在燃料分配器数据库108中)与用户被授权的区域的列表或集合相比较。服务器106还分析状态指示符以确定燃料分配器102是否报告安全漏洞或关键性错误,在这种情况下服务器可以拒绝所请求的访问。通过将状态指示符包括在发送给服务器106的质询中,在不向服务器通知存在燃料分配器所报告的漏洞或错误的情况下不可能获得对燃料分配器102的访问。
如果确定用户被授权所请求的访问类型,则服务器106以不加密的形式将最初由燃料分配器102生成且包括在经过加密的质询中的会话密码传达给用户设备104。还可以以加密的形式将该密码发送给用户设备104,对于这种情况,用户拥有用于对密码解密的密钥(即使用不同于燃料分配器102的秘密密钥的密钥来加密)。
在接收到会话密码之后,用户将该密码传达给燃料分配器102。例如,可以在用户设备104的显示器上将密码显示给用户,并且用户然后可以使用小键盘或其他用户接口元件将密码手动地键入燃料分配器102中。可替代地,在将密码显示给用户或不显示给用户的情况下,可以通过通信信道将密码从用户设备104直接传达给燃料分配器102。在一些实施例中,因此可以自动地或没有用户行为的情况下传达密码。
一旦燃料分配器102从用户或用户设备104接收到密码,燃料分配器确定密码是否有效。特别地,燃料分配器102检索最初包括在经过加密的质询中的随机生成的会话密码并且将其与用户提供的会话密码相比较。如果发现匹配,则燃料分配器102确定服务器106已经认证用户以访问燃料分配器102或者至少访问质询中所标识的特定特征或特征集合。然后现在认证的用户可以根据所提供的访问级别与燃料分配器102自由地交互。如果没有发现匹配,则拒绝用户访问所请求的功能。
会话密码仅对单个会话或活动有效。因此,如果用户尝试访问密码范围之外的功能,或如果预定时间过去,则将生成新的质询并且用户将必须再次执行认证过程。
经过加密的质询还可以包括区域代码,并且服务器106可以被配置成在准许用户访问之前确定是否授权用户访问由区域代码指定的区域中的燃料分配器。这允许燃料分配器102将其物理地理位置(或大概位置)传达给服务器106,其可以将位置信息与存储在用户访问数据库110中的用户的访问特权相比较以确定是否应该准许访问。用户可以因此被约束成仅对特定区中的那些燃料分配器提供服务,并且可以阻止具有高访问级别的用户服务于其区域之外的(例如用于其他人的)燃料分配器登陆。
将领会到的是,经由串行通信协议或其他命令上述过程可以是完全自动化的,以使得要求很少的人工用户行为或不要求人工用户行为来实行认证过程。
图4-6分别从燃料分配器102、用户或用户设备104和服务器106的视角图示上述认证方法。
在图4中,在步骤402中当燃料分配器从用户或用户设备接收到对访问的请求时开始方法400。在步骤404中燃料分配器还从用户或用户设备接收用户标识。然后在步骤406中燃料分配器生成质询代码,其可以包含关于用户所请求的特定功能的嵌入式信息。然后在步骤408中燃料分配器使用存储在燃料分配器中的秘密密钥对质询加密。然后在步骤410中将经过加密的质询发送到用户或用户设备。在步骤412中还将燃料分配器的唯一标识符传达给用户或用户设备。然后在步骤414中燃料分配器提示用户输入密码并从用户或用户设备接收密码。然后在步骤416中燃料分配器验证所接收到的会话密码的真实性,并且如果该密码有效,则在步骤418中提供所请求的访问。无论成功还是不成功,在步骤420中燃料分配器可以存储访问活动的日志。
在图5中,在步骤502中当用户或用户设备请求访问燃料分配器或燃料分配器的特定特征或功能时方法500开始。在步骤504中用户或用户设备还将用户标识发送给燃料分配器。然后在步骤506中用户或用户设备从燃料分配器接收经过加密的质询,并且在步骤508中接收燃料分配器的唯一标识符(例如通过读出燃料分配器上的贴纸或海报的唯一标识符)。在步骤510中用户或用户设备将认证信息发送给服务器。如果利用服务器认证用户成功,则在步骤512中用户或用户设备将经过加密的质询发送给服务器。在步骤514中用户或用户设备还将燃料分配器的唯一标识符发送给服务器。如果服务器向用户授权所请求的访问,则在步骤516中用户或用户设备从服务器接收会话密码。然后在步骤518中用户或用户设备将会话密码转发给燃料分配器,并且如果密码被燃料分配器验证,则获得所请求的访问。无论成功还是不成功,在步骤520中用户设备可以存储访问活动的日志。
在图6中,在步骤602中当服务器提示用户或用户设备输入认证信息以及接收认证信息时方法600开始。在步骤604中,服务器查询用户访问数据库以确定认证信息是否有效。如果认证信息有效,则在步骤606中服务器提示用户输入质询并接收质询。在步骤608中服务器还提示用户输入燃料分配器的唯一标识符并接收唯一标识符。如果认证信息无效,则服务器拒绝访问。在步骤610中,服务器利用从用户接收的唯一标识符查询燃料分配器数据库以获得与数据库中的燃料分配器相关联的秘密密钥。在步骤612中服务器然后使用该秘密密钥对质询解密。使用从经解密的质询提取的信息,在步骤614中服务器确定用户请求什么访问并查询用户访问数据库以确定是否授权用户获得所请求的访问。如果用户被授权,则在步骤616中服务器将会话密码发送给用户或用户设备。无论成功还是不成功,在步骤618中服务器可以存储访问活动的日志。
将领会到的是,可以使用上述认证方案来保护燃料分配器的各种各样的功能中的任一个。下面提供这些功能的一个或多个示例。
校准验证
校准程序的验证可以是使用上述认证方案保护的燃料分配器102的功能中的一个。在一些实施例中,燃料分配器102可以检测到何时燃料分配器的计量器部分已经被校准。当检测到校准时,燃料分配器可以阻止或限制进一步使用新校准的计量器(即在没有成功验证的情况下立即或在预定时间过去之后阻止使用该计量器分配燃料)直到授权方确认校准是可接受的或没有欺骗性的(即执行验证功能)为止。上述认证过程可以被用来确保仅授权方可以执行验证功能。如这里所使用的,术语“验证功能”包括用于确认校准被正确或准确地执行的功能、用于确认校准被授权的功能、以及这些功能的组合。
在示例性实施例中,燃料分配器102包括流量计,当燃料被分配时该流量计测量燃料的体积流速。流量计可以包括耦合到可旋转流量计轴的编码器。当分配燃料时,流量计轴旋转并且编码器生成脉冲串信号,该脉冲串信号被计算机系统接收且被处理以确定所分配的燃料的体积。这样的过程可以包括将所测得的流速乘以校准因子。校准因子可以被存储在存储器中并且可以被手动或自动设置成补偿由于计量器的老化或磨损产生的不准确。将领会到的是,这里描述的流量计仅仅是示例性的,并且可以使用各种各样的流量计中的任一种,包括在其中使用霍尔效应传感器来读取位于流体内部的磁盘的流量计。
燃料分配器102的计算机系统可以以各种方式检测流量计的校准变化。例如,计算机系统可以通过通信信道(诸如串行通信接口)使用基于轮询或中断的技术来连续监视校准因素中的变化。在具有多个流量计的燃料分配器102中,每个计量器可以具有唯一的标识符或序列号,其可以被用来区分该计量器与燃料分配器中的其他计量器。当计算机系统检测到燃料计量器已经被校准或调整时,计算机系统(通过不允许开始向特定计量器所映射到的喷嘴加燃料)阻止使用特定的燃料计量器。经过校准的燃料计量器被锁定,直到授权的人(例如政府工作人员、通告主体、或第三方验证代理)电子地确认校准是可接受的为止。
为了确保不是任何人都可以执行该验证(或认证)功能,可以使用上述认证过程。当用户成功完成对验证功能的认证过程时,燃料分配器102的计算机系统将仅解锁最近校准的计量器。
可以在服务器级别将对访问验证功能的请求记录到日志。该日志信息可以被提供给计量代理商以检查对多个燃料分配器中的一个的验证历史或模式并标识欺骗的情况。完成的和/或尝试的验证功能还可以被燃料分配器记录在包括执行验证的用户的唯一标识的日志条目中。这充当安全“电子封条”,从而允许燃料分配器自己维护何时验证校准以及谁执行验证的记录。
可以期望在一些实施例中提供部分地或整个地由监管当局控制的附加安全层。在这样的实施例中,例如燃料分配器102可以存储除了第一秘密密钥之外的第二秘密密钥。当由监管当局或其代理第一次委任燃料分配器以便使用时或在某个其他时间,可以将第二密钥添加到燃料分配器102中,并且第二密钥的配对物可以被存储在监管当局或其代理所维护的数据库中。该数据库还可以由其他方(例如控制服务器104和/或燃料分配器数据库108的相同方)控制或维护,在这种情况下可以向监管当局提供用于添加、移除和更新数据库中的记录的接口。因此,对监管者特有的某些功能(例如验证功能)的访问可能要求上述过程中的附加步骤,在其中必须从监管数据库检索第二秘密密钥以便服务器对经过加密的质询解密。因为要求两个密钥,所以在燃料分配器被委托时第二秘密密钥的盗窃将不足以获得访问,因为将仍要求第一秘密密钥。这样的实施例可以向监管者提供针对未授权的校准或验证而言系统是安全的增强的信心。
校准程序
以类似的方式,燃料分配器102可以被配置成使燃料计量器校准无效直到用户完成上述用于校准功能的认证过程为止。在这种情况下,燃料分配器102的计算机系统不允许计量器被校准直到校准功能被授权为止。为了使计量器能够校准,上述认证过程必须被完成。因此,可能控制谁可以执行由服务器106控制的网络中的燃料分配器的校准。网络的管理员因此可以限制某些方(例如欺诈方)校准燃料分配器。
软件安装
可以使用上述认证方案来保护的另一功能是在燃料分配器102的计算机系统上的软件安装(例如固件更新)。
计算机系统的固件可能在系统的寿命期间被更新若干次以修复错误、添加新功能或遵守新的监管要求。为了防止安装已经被篡改的软件或固件,可以使用存储在燃料分配器中的秘密密钥来对具体为化软件或固件的二进制文件或可执行文件进行加密。因此,仅访问秘密密钥的各方(例如燃料分配器的制造商)可以对软件解密,这防止篡改。此外,安装软件的行为可以是受到上述认证方案保护的功能,以使得仅授权的用户可以安装软件并且使得谁执行软件安装的日志被维护。
通过使每个燃料分配器中具有唯一密钥,可以单独地对每个二进制值加密。以前为燃料分配器制造商工作的工程师或开发人员将不能访问各个密钥并因此不能对软件的恶意的或操纵的派生进行加密和签名。
燃料分配器计算机系统的认证
燃料分配器的安全性可能受到危害的另一方式是何时恶意方移除燃料分配器的计算机系统并利用其上安装恶意代码的不受保护的计算机系统替代它。如上所述,与每个计算机系统相关联的唯一标识符是可公然获得的,并因此可以被加载到这样的恶意替代系统中以企图避免检测。
然而,因为每个燃料分配器具有唯一秘密密钥,所以有可能通过执行认证程序检测到计算机系统已经被替代。例如,服务器104可以将使用数据库108中与特定燃料分配器相关联的秘密密钥加密的测试消息或文件传输到燃料分配器自身或中间用户设备104。然后可以请求燃料分配器102使用存储在燃料分配器中的秘密密钥来对测试消息解密。然后将经解密的结果发送到服务器106,该服务器106将其与原始的未加密的测试消息相比较。如果未发现匹配,则服务器106确定存储在计算机系统中的秘密密钥是无效的,并且因此计算机系统已经被篡改。然后服务器106可以采取响应动作,诸如阻止进一步访问燃料分配器102、通知监管主体、或者通过授权代表发起服务呼叫以移除恶意的计算机系统。
燃料分配器活动日志
如上文记录,燃料分配器102可以被配置成维护在燃料分配器处执行的服务或其他功能的活动日志。该日志可以包括由用户提供的用户标识,使得谁已访问燃料分配器内的某些功能的记录在燃料分配器自身被维护。该日志可以被不能访问由服务器106维护的记录的监管权威机构或其他方访问。日志可以被存储在燃料分配器102的计算机系统中(例如计算机系统的存储单元中)并且由其维护。
技术效果
这里公开的系统和方法可以产生许多技术效果。
在现有的加燃料环境中,在燃料分配器的寿命内通过许多不同的服务公司来完成燃料分配器的服务。燃料分配器的制造商或生产者不一定有对燃料分配器服务的合同,但反而可能是竞争者或其他第三方。此外,现场技术人员有时会从一个服务公司调动到另一个。在这里公开的系统和方法的一些实施例中,新的会话密码事实上被用于每次服务访问。这防止密码从一个用户传递到另一个。密码强度还可以使得存在几百万、几十亿或更多密码排列,因此使得密码对强力破解努力有抵抗力。
此外,在这里公开的系统和方法的一些实施例中,经过加密的质询包含关于对所请求访问的一个或多个特定操作的信息。因此,可能对不同用户或账号提供特定特征的访问权利。此外,通过使用针对每个燃料分配器随机生成的秘密密钥,安全算法或任何静态散列表或类似物的知识不足以获得访问。相反,人们必须访问保护得很好(例如在受控环境中生成和编程、存储在安全元件中、等等)的秘密随机密钥。使用这些系统和方法,服务器106的操作员可以可选地基于特定特征来控制对采用该认证方法的所有燃料分配器的每个和每次访问尝试。
与对于所有燃料分配器都使用相同的静态密钥或者对于每个燃料分配器都使用公共默认密码的系统相比,该方法可以提供较好的安全性。
在这里公开的系统和方法的一些实施例中,可以通过电子封条来保护燃料分配器。在现有的加燃料环境中,对于通过电线的访问,校准致动器和其他敏感设备被机械地密封。监管代表使用一片铅或电线可以通过且然后被按压以阻止电线移除的其他软的金属材料。该机械密封具有代码、图章或商标来证明其真实性。为了校准计量器,要移除封条并将校准致动器设置成处于校准模式。然后调节该计量器并要求将设备的所有人告知权威机构,使得他们可以访问站点来验证校准并重新密封计量器。该过程(取决于位置)会花费几天,这会为不讲道德的各方提供机会来调整计量器以不正确地测量并然后刚好在权威机构来验证校准之前重新调整。而且,如果用于创建机械密封的工具丢失或被盗,则其可以被用来隐瞒未授权一方所做的欺骗性调整。
在这里公开的系统和方法的一些实施例中,直到校准被授权方验证才可能在执行校准之后使用燃料分配器。
在这里公开的系统和方法的一些实施例中,当检测到不适当或欺骗性的使用时,有可能控制对校准功能的访问并提供账号终止或其他惩罚。此外,控制安全服务器106的该方可以阻止竞争者执行校准或其他服务或者要求费用以便获得访问。
可以在这里描述的各实施例中的一个或多个中获得这些和其他技术效果。
该所撰写的描述使用示例来公开本发明(包括最佳模式),并且还使本领域任何技术人员能够实践本发明,包括制造和使用任何设备或系统以及执行任何合并的方法。本发明的可取得专利的范围由权利要求来限定,并且可能包括本领域技术人员所想到的其他示例。意图使这样的其他示例在权利要求的范围之内,如果它们具有与权利要求的文字语言并无不同的结构元件,或如果它们包括与权利要求的文字语言具有无实质差异的等同结构元件。