用户终端系统及方法.pdf

用户终端包括加密装置；损坏检测系统，该损坏检测系统与所述加密装置相关联；以及用于响应于损坏所述加密装置来触发所述损坏检测系统的装置，该用户装置还包括至少一个另外的组件、以及用于触发所述损坏检测系统的另外的装置，其中用于触发所述损坏检测系统的所述另外的装置被配置为响应于损坏所述至少一个另外的组件来触发所述损坏检测系统。

1.  一种用户终端，该用户终端包括：
加密装置；
损坏检测系统，该损坏检测系统与所述加密装置相关联，并且包括用于响应于损坏所述加密装置来触发所述损坏检测系统的装置；
至少一个另外的组件；以及
用于触发所述损坏检测系统的另外的装置，其中所述用于触发所述损坏检测系统的另外的装置被配置为响应于损坏所述至少一个另外的组件来触发所述损坏检测系统。

2.  根据权利要求1所述的用户终端，其中所述加密装置包括加密PIN键盘(EPP)。

3.  根据权利要求1或2所述的用户终端，其中用于触发所述损坏检测系统的所述另外的装置包括用于检测所述至少一个另外的组件的损坏的至少一个检测器。

4.  根据上述任意权利要求所述的用户终端，其中用于触发所述损坏检测系统的所述另外的装置包括用于向所述损坏检测系统的输入提供触发信号的装置。

5.  根据上述任意权利要求所述的用户终端，其中所述加密装置在壳体内部，所述至少一个另外的组件在所述壳体外部，并且与所述加密装置相关联的所述损坏检测系统在操作中被配置为通过损坏所述壳体而被触发。

6.  根据上述任意权利要求所述的用户终端，其中所述至少一个另外的 组件包括另外的壳体，以及所述加密装置位于所述另外的壳体内。

7.  根据权利要求6所述的用户终端，其中用于触发所述损坏检测系统的所述另外的装置可以被配置为响应于所述另外的壳体的打开或解锁中的至少一者来触发所述损坏检测系统。

8.  根据权利要求7所述的系统，其中用于触发所述损坏检测系统的所述装置包括用于检测移动或按压中的至少一者的检测器，以及所述另外的壳体被布置以使所述另外的壳体的打开或解锁中的至少一者促使所述检测器检测移动或按压中的至少一者从而促使所述损坏检测系统的触发。

9.  根据权利要求6至8中任意权利要求所述的用户终端，其中所述用户终端包括母板、用于控制所述用户终端的操作的CPU、读卡器、触摸屏和全部或部分地位于所述另外的壳体内的打印机中的至少一者。

10.  根据权利要求6至9中任意权利要求所述的用户终端，其中所述另外的壳体包括开口以允许进入在所述另外的壳体内的组件。

11.  根据权利要求6至10中任意权利要求所述的用户终端，其中所述用户终端包括位于所述另外的壳体内的读卡器，以及所述另外的壳体包括与所述读卡器对齐的开口以允许通过所述另外的壳体将卡插入至所述读卡器。

12.  根据权利要求6至11中任意权利要求所述的用户终端，其中所述用户终端包括位于所述另外的壳体内的打印机，以及所述另外的壳体包括与所述打印机对齐的开口以允许加载纸张进入所述打印机。

13.  根据权利要求6至12中任意权利要求所述的用户终端，其中所述用户终端包括将所述EPP连接至母板或用于控制所述用户终端的操作的CPU的接线并且所述接线全部位于所述另外的壳体内。

14.  根据上述任意权利要求所述的用户终端，其中所述至少一个另外的组件包括母板、用于控制所述用户终端的操作的CPU、读卡器、触摸屏和打印机中的至少一者。

15.  根据上述任意权利要求所述的用户终端，其中所述损坏检测系统包括至少一个电的、磁的、电磁的或光学的检测系统，用于检测表明损坏的性能的变化。

16.  根据权利要求15所述的用户终端，其中所述至少一个检测系统包括电阻式、感应式或电容式检测器中的至少一者和/或至少一个开关或继电器。

17.  根据上述任意权利要求所述的用户终端，该用户终端包括激活设备和/或去激活设备，用于激活和/或去激活用于触发所述损坏检测系统的所述另外的装置。

18.  根据上述任意权利要求所述的用户终端，其中所述加密装置的所述损坏检测系统的触发包括致使所述加密装置暂时地或永久地不能加密。

19.  根据上述任意权利要求所述的用户终端，其中与所述加密装置相关联的所述损坏检测系统的触发包括修改或删除存储在所述加密装置的密钥。

20.  根据权利要求19所述的用户终端，其中所述密钥包括会话密钥、主密钥或私密中的至少一者。

21.  根据上述任意权利要求所述的用户终端，该用户终端包括支付终端、自动加油机或产品分配机。

22.  根据权利要求1至20中任意权利要求所述的用户终端，该用户终端包括自动取款机(ATM)。

23.  一种检测用户终端损坏的方法，该用户终端包括与该用户终端的加密装置相关联的损坏检测系统，所述方法包括：
响应于所述用户终端的至少一个另外的组件的损坏，触发与所述加密装置相关联的所述损坏检测系统。

24.  一种PIN加密装置，该装置包括壳体、在所述壳体内的损坏检测系统及在所述壳体外部可访问的输入装置，该输入装置被配置以使得在操作中，至该输入装置的信号的应用促使所述损坏检测系统的触发。

用户终端系统及方法
技术领域
本发明涉及包括损坏检测系统的用户终端，例如自动取款机或者其它能够执行金融交易的用户终端。
背景技术
ATM终端被广泛使用，并且允许用户取现并且执行其它银行交易。通常，为了取现，用户向ATM终端内插入如信用或借记卡的金融交易卡，键入PIN码，并且通过显示在终端上的一系列屏幕(screen)执行交易。
由于ATM终端包含大量现金，它们通常包括各种安全机构以防止盗窃。例如，ATM终端机通常被构造为在物理上强大且沉重的以使得ATM难以移动或者砸开。更复杂的防损坏机构通常也被提供以保证针对ATM的任意损坏被检测并且可以使ATM关闭或者产生警报。许多ATM被嵌入在建筑的构造物中，例如嵌入在外墙，以阻止盗窃。
ATM经常还包括加密PIN键盘(EPP)。这种EPP通常包括用于PIN入口的可能是电机械的或者触屏设备的键盘输入设备以及包括处理器和存储设备的加密模块，该加密模块可操作的用于加密经由键盘输入设备输入的PIN。在操作中，所加密的PIN通常与诸如用户或卡标识符的其它信息一起通过网络被传送至与金融机构相关联的服务器。服务器解密PIN并且如果PIN是正确的，向ATM发送授权消息。
在一些公知的EPP中，如数据加密标准(DES)的对称式加密方案被用于加密和解密PIN数据。根据这种方案，相同的密钥在服务器和EPP中被使用以加密和解密PIN。为了将密钥程序化在EPP中，一部分密钥可以被提供给单独的人，例如金融机构的员工，并且分别将这部分密钥输入在EPP 中，其被存储以将来在PIN数据的加密和解密中使用。
在其它公知的EPP中，私钥-公钥加密方案被用于向EPP分配主密钥，而不是依赖通过金融机构的员工的原地密钥入口。在这种EPP中，公钥-私钥加密方案的私钥在制造期间可以嵌入在EPP中。各种公知的私钥-公钥加密方案可以被使用。
公知的EPP通常包括安全壳体(housing)和可操作用于检测企图损坏EPP的损坏检测系统，例如通过对安全壳体的物理干扰或者通过如使用电磁辐射企图干扰或者监控设备内部操作。响应于被检测的损坏，存储在EPP的密钥被自动删除。密钥的删除取决于EPP设备的类型。
例如，在包括存储在产品中的所嵌入的私钥的实施方式中，通过服务器分布在EPP的对称密钥响应于损坏的检测可能会被删除，同时所嵌入的私钥可以被保留。一旦确定EPP已经经历试图损坏而没有操作的显著改变和危害，另一对称密钥可由服务器加密并分配到EPP，在EPP中其可以使用所嵌入的私钥被解密。可替代地，私钥也可能被删除，需要随后的EPP的更换。
在仅依靠对称密钥输入的EPP中，部分地，通过两个金融机构员工或其他作业人员，损坏检测可能触发来自EPP的对称密钥的删除。然后，另一个对称密钥接着必须被提供给金融机构员工或其他作业人员并且由金融机构员工或其他作业人员输入。
本发明旨在提供一种用于用户终端的可替代的损坏检测系统。
发明内容
在本发明的第一方面，提供了一种用户终端，该用户终端包括加密装置；损坏检测系统，该损坏检测系统与所述加密装置相关联；以及用于响应于损坏所述加密装置来触发所述损坏检测系统的装置、该用户终端还包括至少一个另外的组件、以及用于触发所述损坏检测系统的另外的装置，其中所述用 于触发所述损坏检测系统的另外的装置被配置为响应于损坏所述至少一个另外的组件来触发所述损坏检测系统。
因此可以以有效的方式通过使用与PIN加密装置相关联的损坏检测系统提供增强的安全性。这种增强的安全性尤其对于在不包含现金或只包含很少现金的的用户终端的情况是有用的，由于其为缺乏物理上庞大和昂贵的覆盖层或其它物理加固的这种终端提供改善的安全性。
例如，损坏可能包括，试图进入、干扰正常操作、修改或破坏中的至少一者。
所述加密装置可以包括PIN输入和加密装置。所述加密装置可以包括加密PIN键盘(EPP)。EPP通常含有内置的防损坏系统并且使用这种防损坏系统可以为终端或终端的组件提供加强防损坏测量的特定有效方式。
用于触发所述损坏检测系统的另外的装置可以包括至少一个检测器，该至少一个检测器用于检测所述至少一个另外的组件的损坏。
所述加密装置的所述损坏检测系统的所述触发可以包括致使所述加密装置暂时地或永久地不能加密，例如暂时地或永久地不能加密PIN。
所述加密装置的所述损坏检测系统的所述触发可以包括修改或删除存储在所述加密装置的密钥。该密钥可以包括会话密钥、主密钥或私钥中的至少一者。
所述加密装置可以在壳体内以及所述至少一个另外的组件可以在所述壳体的外部。
与所述加密装置相关联的所述损坏检测系统可以被配置为由损坏所述壳体来触发，例如由所述EPP的所述壳体。
所述至少一个另外的组件可以包括另外的壳体，以及所述加密装置可以位于该另外的壳体内。
用于触发所述损坏检测系统的另外的装置可以被配置为响应于所述另 外的壳体的打开或解锁中的至少一者来触发所述损坏检测系统。
用于触发所述损坏检测系统的装置可以包括用于检测移动或压力中的至少一者的检测器。所述另外的壳体可以被布置以使所述另外的壳体的打开或解锁中的至少一者促使所述检测器检测移动或压力中的至少一者从而促使所述损坏检测系统的触发。
所述另外的壳体可以包括所述用户终端的外部壳体。或者所述另外的壳体可以在所述用户终端的外部壳体内并且可以覆盖所选择的所述用户终端的组件。因此，所选择的所述用户终端的组件可以受到防损坏保护，而其它组件，例如期望以例如维护或更换目的接入的组件，可能不受额外的防损坏保护。
所述用户终端可以包括母板、用于控制所述用户终端的操作的CPU、读卡器、触摸屏和完全或部分地位于所述另外的壳体内的打印机中的至少一者。
所述另外的壳体可以包括开口以允许进入所述另外的壳体内的组件。
所述用户终端可以包括位于所述另外的壳体内的读卡器，以及所述另外的壳体可以包括与所述读卡器对齐的开口以允许通过所述另外的壳体将卡插入所述读卡器。
所述用户终端可以包括位于所述另外的壳体内的打印机，以及所述另外的壳体可以包括与所述打印机对齐的开口以允许加载纸张进入打印机。
所述用户终端可以包括将所述EPP连接至母板或用于控制所述用户终端的操作的CPU的接线，并且所述接线可以全部位于所述另外的壳体内。
所述至少一个另外的组件可以包括母板、用于控制所述用户终端的操作的CPU、读卡器、触摸屏和打印机中的至少一者。
所述损坏检测系统可以包括至少一个电的、磁的、电磁的或光学的检测系统，用于检测表明损坏的电性能、磁性能、光或其它电磁性能的变化。
所述至少一个检测系统可以包括电阻式、感应式或电容式检测器中的至少一者和/或至少一个开关或继电器。
所述用户终端可以包括激活设备和/或去激活设备，用于激活和/或去激活所述另外的损坏检测系统。
所述用户终端可以包括支付终端、自动加油机或产品分配机。
所述用户终端可以包括自动取款机(ATM)。
此外，本发明独立的方面，提供了一种检测用户终端损坏的方法，该用户终端包括与所述用户终端的加密装置相关联的损坏检测系统，所述方法包括响应于所述用户终端的至少一个另外的组件的损坏，触发与所述加密装置相关联的损坏检测系统。
所述方法可以包括致使所述加密装置暂时地或永久地不能加密，例如暂时地或永久地不能加密PIN。所述方法可以包括修改或删除存储在所述加密装置的密钥。所述密钥可以包括会话密钥、主密钥或私钥中的至少一者。
所述方法可以包括检测表明损坏的电的、磁的、光学的或其它电磁的性能的变化。
所述方法可以包括激活和/或去激活所述另外的损坏检测系统。
此外，本发明独立的方面，提供了一种加密装置，该加密装置包括壳体、在所述壳体内的损坏检测系统、以及输入装置，该输入装置被配置以使得在操作中，至该输入装置的触发信号的应用促使所述损坏检测系统的触发。所述输入装置在所述壳体的外部是可接入的。所述触发信号的所述应用可以发生在所述壳体的外部。所述输入装置可以包括有线的或无线的输入装置。所述输入装置可以包括电连接，例如电线或传导轨道。
在本发明另一个独立方面，提供了一种修改用户终端的方法，所述用户终端包括壳体、在所述壳体内的加密装置以及与所述加密装置相关联的损坏检测系统，所述方法包括向所述损坏检测系统增加连接件，其中所述连接件 的一端在所述壳体的外部可接入，并且所述连接件被配置以使得在操作中，所述连接件的触发信号的应用促使所述损坏检测系统的触发。
在本公开的另一独立方面，提供了一种计算机程序产品，该计算机程序产品包括计算机可读指令，该指令是可执行的以执行这里所要求或描述的方法。
于此还提供一种参考附图的大体上如这里所述的装置或方法。
本发明的一个方面的任何特征可以以任意合适的组合应用至本发明的其它方面。例如，装置特征可以被应用至方法特征，反之亦然。
附图说明
本发明的实施方式现在将通过非限制性示例被描述并且被在随后的图示中被示出，其中：
图1是根据实施方式的用户终端的原理示意图；
图2至图7是根据另一实施方式的用户终端或其组件的示意图；
图8是根据可替代的实施方式的用户终端的原理示意图；以及
图9是根据实施方式的形成用户终端的一部分的壳体的原理示意图。
具体实施方式
本发明的实施方式可以应用在各种用户终端中，例如ATM或可以用于商品和服务的购买和/或分配的其它类型的用户终端。
实施方式通过使用例如与包括在用户终端内的现存EPP相关联的损坏检测系统，能够为用户终端提供改善的安全性。
根据实施方式，用户终端2在图1中示意性地示出。用户终端2包括连接至数据存储6的处理器4。处理器4还以加密PIN键盘(EPP)8、读卡器设备10、显示器12和打印机14的形式被连接至加密装置。用户终端还包括 现金存储，例如保险箱和用于从现金存储分配现金的现金分配机构。为了清楚，现金存储和现金处理机构在图1中没有示出。
在图1的实施方式中，处理器包括Windows PC核心。数据存储6包括硬盘，读卡器设备10是Omron V2BF-01JS-AP1读卡器，显示器12是触摸屏显示器以及打印机14是Epson M-T532,MB520。EPP 8包括符合PCI标准的数字键盘并且可操作为安全地接收用户输入的PIN。
尽管特定的组件类型和型号被包括在图1的实施方式中，任何合适的组件类型和型号可以被使用在可替代的实施方式中。
用户终端2还包括通信接口16，通信接口16被配置为使用户终端能够向与负责用户终端2的安装和操作的用户终端网络操作员相关联的服务器18传送消息及接收来自该服务器18的消息。根据公知的银行协议，消息通过安全的网络连接被传送和接收。
用户终端网络操作员可以是金融机构，例如银行。在用户终端2和服务器18之间发送的消息可以与特定的交易有关，并且可以包括例如授权消息或包括对涉及由用户使用用户终端2进行的交易的账户进行贷款或借贷的指令的消息。此外，服务器18可以在用户终端2发送包括用于自动安装的软件组件的软件安装或更新消息。用户终端2也能够向服务器18发送管理信息，包括例如在特定周期期间代表用户终端的使用的数据，或故障监视数据。
在操作中，处理器4控制在运行在处理器上的应用组件的控制下的用户终端2的其它组件的操作。一旦用户终端2上电，基本输入输出系统(BIOS)从包括在处理器4中的非易失性存储器(未示出)启动，并且Windows 7操作系统和应用组件通过处理器4从数据存储6被安装以形成用户终端处理系统。
应用组件包括各种应用模块32、34、36，其形成控制涉及与用户终端的用户交互的操作的用户终端应用30的一部分。
用户终端应用30形成应用层的一部分并且在与XES兼容的应用环境下被提供，这可以是诸如KAL Kalignite或制造商特定的应用环境的与硬件无关的应用环境。
用户终端2的软件架构包括各种其它层，根据公知的ATM型设备架构，包括在应用层和硬件设备层之间进行调解(mediate)的XFS层。硬件设备层包括各种硬件特有的驱动器，用于控制用户终端2的各种硬件组件的操作。
在操作中，用户终端应用30控制用户终端2的操作，包括与用户的金融交易相关联的操作，例如，用户卡的读取、用户PIN的读取、诸如账户余额的用户数据的接收和处理、来自服务器18的透支额限制和提款限制，以及显示器12上的显示屏幕的显示顺序。
在图1中，形成应用30的一部分的三个应用模块32、34和36被示出。应用模块32控制与服务器18的通信，以及与交易相关联的数据的处理，该数据包括从服务器18接收的用户数据。应用模块34控制显示器12上交易屏幕的显示，包括选择和输出针对交易过程中特定点的合适的交易屏幕。应用模块36在交易处理的最后经由现金分配机构向用户输出现金。
虽然特定模块32、34、36在相关的图1中被描述，在可替换的实施方式中，这些模块中的一者或多者的功能可以由单个模块或其它组件提供，或者由单个模块提供的功能可以由两个或更多模块或其它组件的组合提供。
转向用户终端2的安全特征，终端包括外部壳体20，并且用户终端2的其它组件位于外部壳体20内。公知的安全措施，例如在壳体20的未授权损坏的情况下自动操作的传感器、触发器或开关可以被提供。
图1的实施方式的特征是除了外部壳体20还提供进一步的内部壳体40，内部壳体40围住用户终端的各种组件。在这种情况下，处理器4、数据存储6和EPP 8及连接这些组件的接线被包括在内部壳体40内。在图1示出的实施方式中，显示器12、打印机14、读卡器设备10以及通信接口16位于内 部壳体40的外侧。
损坏检测设备42形式的检测器也包括在内部壳体40中。损坏检测设备42包括损坏检测电路(未示出)和电源，例如电池，用于为损坏检测电路供电。损坏检测设备42提供了用于触发与EPP相关联的损坏检测系统的装置。
在图1的实施方式中，内部壳体包括盖部分以及主体部分，盖部分使用螺钉、螺栓或其它合适的附着设备被可拆除地附着至主体部分。内部壳体40包括包含被固定的弹簧的损坏检测机构(未示出)，以使当盖部分被附着至内部壳体40的主体部分时，弹簧40处于压缩状态。弹簧直接或间接地接触形成损坏检测设备42的损坏检测电路的一部分的电气电路元件。
在操作中，任何移动或松开内部壳体40的盖部分的企图都会促使弹簧在电气电路元件上动作并且改变损坏检测电路的电气性能。在图1的实施方式中，损坏检测设备42包括输出(在这种情况下为输出线)，该输出被连接至损坏检测电路，并且由于内部壳体的损坏造成的损坏检测电路的电气性能的改变会促使损坏检测设备42的输出的信号电平的变化。
损坏检测设备42的输出被连接至EPP 8的输入，例如输入线或输入连接器。
EPP，例如使用在图1的实施方式中的EPP通常包括处理资源，该处理资源用于接收和加密PIN输入数据，并输出所加密的数据。EPP存储用于加密PIN输入数据的至少一个密钥。在图1的实施方式中，EPP包括在制造期间嵌入在EPP内的私钥以及对称加密方案的另一个密钥。另一个密钥以加密的形式从服务器接收，然后使用私钥被解密，并且被存储。另一个密钥由EPP的处理资源使用以加密PIN输入数据。
EPP通常包括安全的壳体和能够检测壳体损坏的损坏检测系统。在图1的实施方式中，损坏检测系统与处理资源通信，并且如果针对EPP的损坏被损坏检测系统检测到，损坏检测系统被触发。然后，响应于该损坏，处理资 源促使删除或修改来自数据存储的另一个密钥。因此，EPP的损坏促使EPP被暂时地或永久地不能加密例如PIN输入数据。
图1实施方式的特征是EPP 8被配置以使得内部壳体40的损坏促使在损坏检测设备42的输出上的信号电平的变化，这反过来触发EPP 8的损坏检测系统，以促使删除或修改存储在EPP 8的另一个密钥。因此，利用包括在EPP 8内的防损坏测量可以为用户终端2提供附加的安全性。这可以提供增强用户终端2的安全性的简单而经济的方式，而不需要安装庞大和昂贵的附加物理固件。
在图1的实施方式中，EPP 8包括可以用于触发EPP的损坏检测系统的触发输入(有线或无线的)。在一些情况下，这种触发输入是连接至EPP电路中合适的点的电线以使电线上的信号电平出现的至少预先确定的阈值量的变化促使触发EPP的损坏检测系统。
在另一实施方式中，EPP是包括以压力传感器和相关的按钮形式的检测器的EPP，并且按钮的按压(或释放)促使压力传感器的检测的压力的高于(或低于)压力的阈值电平，并且因此触发损坏检测系统。一个此类实施方式在图2至图7中被示出。
图2示出了包括外部壳体102的用户终端100。在图2中，外部壳体的前盖104已经被解锁并且是打开的。在图2中，用户终端的前盖104以解锁并且打开的状态被示出。
用户终端100还包括形成安全箱的另外的壳体106。在图2中，用户终端100包括可以在另外的壳体106的外部看到的各种其它的组件，包括打印机108。
图3示出了在另外的壳体106被移走后，安装在前盖104后面的用户终端100的另外的组件。另外的组件包括读卡器设备100、EPP 112、硬盘驱动(HDD)114、包括用于控制用户终端100的操作的处理电路的主板116、 电源电路118、扬声器120、条形码阅读器122、照相机124和RFID阅读器设备126。
图4a和图4b是不附着至前盖106并且因此是打开状态的另外的壳体106的图示。图5是前盖104、EPP112和另外的壳体106的分解图。另外的壳体106包括当另外的壳体106被附着至用户终端的前盖104时，与EPP 112的后表面接合的接合面130。因此，当另外的壳体处于关闭状态时，接合面130与EPP 112的后表面接合。
图6是附着至用户终端100的前盖104并且因此处于关闭状态的另外的壳体106(以线框表示)的图示。图7是附着至前盖104并且处于关闭状态的另外的壳体106的进一步图示。在这种情况下，使用锁定设备140另外的壳体106被锁至前盖。用户终端100还包括后盖，后盖和前盖104一起形成外部壳体。在图7中，后盖被忽略，以使另外的壳体106可以被看见。
在后表面上包括按钮，并且压力传感器可操作地链接至该按钮是EPP112的特征。在操作中，按钮被保持按下的状态，其保持比压力传感器的阈值更大的压力。如果按钮被释放，压力传感器检测相关联的压力的减少并且响应于所检测的压力的减少，EPP 112的损坏检测系统被触发。然后，在这种情况下，响应于该触发，EPP 112的损坏检测系统删除或修改存储在EPP112的密钥，因而阻止EPP 112的正常操作。
另外的壳体被配置以移动另外的壳体106，例如打开另外的壳体106，促使接合面130远离EPP 112的后表面上的按钮，因此触发促使EPP 112的损坏检测系统，这是图5的实施方式的特征。因此，用于触发EPP 112的损坏检测系统的替换装置通过另外的壳体106的布置被提供，在这种情况下，关于EPP 112的压力感测系统，包括按钮和压力传感器。
在图2至图7的实施方式的变化中，与锁定设备140相关联的检测器被提供，该检测器可以检测锁定设备140的解锁并且因此检测另外的壳体106 的解锁。检测器被链接至EPP 112的损坏检测系统以使锁定设备的解锁促使触发损坏检测系统。
在图2至图7的实施方式的另一个变化中，压力传感器被另一类型的检测器替代，例如，运动传感器，该运动传感器被布置以检测另外的壳体106的打开、解锁或其它运动中的一者或多者，并且响应于另外的壳体106的打开、解锁或其它运动，促使触发损坏检测系统。
同时，与图1至图7相关的一个特定的另外的壳体40已经被描述，另外的壳体可以包括在可替代实施方式中的任何适合的壳体。例如，壳体可以是整体式结构或者可以包括两个、三个或更多部分。壳体可以是永久地封闭的，例如使用结合物或焊接接头，或者可以包括使用任何合适的连接方式的单独的可附着和可拆卸部分的连接，例如螺丝、螺栓或黏合剂。壳体可以由任何合适的材料制成，例如塑料或金属和/或轻型材料。
在可替代实施方式中，任何合适的损坏检测系统可以被用于检测内部壳体的损坏。在图1的实施方式中，损坏检测系统包括机电式布置，其中弹簧物理地连接壳体和损坏检测系统。但是，根据本领域技术人员任何可用的技术，机械的、电的、磁的、电磁的、和/或光学的组件的任何合适的布置可以被用于检测壳体的损坏。损坏检测系统可以被配置为检测依赖于移动、变化、光线或其它电磁辐射，或压力中的一者或多者的测量的损坏。
在一实施方式中，损坏检测设备42包括处理器和可操作为与安装在壳体40之上或内部的一个或多个传感器通信的接口。
在可替代实施方式中，EPP的损坏检测系统的触发可以促使其它动作被执行，以及删除或修改存储在EPP的密钥或取代删除或修改存储在EPP的密钥。例如，在图1的实施方式中，，所嵌入的密钥和另外的密钥可以被删除和修改。然后，为了使其再次可操作，需要丢弃或取出EPP并重编EPP的程序。EPP损坏检测系统的触发还可以促使信息被发送至服务器或其它远 程设备和/或警报信号的输出。EPP损坏检测系统的触发可以促使终端进入关闭或暂停模式，其中进一步的用户交易是不可用的。
在图1的实施方式中，处理器4、数据存储6以及EPP 8和连接这些组件的接线被包括在另外的壳体40内，以及其它组件被提供在另外的壳体40的外部。在可替换实施方式中，任何期望的组件或组件的组合可以被提供在另外的壳体的内部，并且因此受制于防损坏保护。包括在另外的壳体内部的组件的选择可以取决于终端的性质和终端内提供的其它安全措施、可能被安装的环境及例如用于维护目的的接近组件的需要。
例如，如果终端将被安装在外部或者具有低度安全的场所，并且终端不包括其它安全措施，例如安全外包装(casing)，那么可能需要在另外的壳体内包括更多的用户终端组件。
图8是可替代实施方式的图解，其中读卡器10、显示器12和打印机14以及处理器4、数据存储6和EPP 8被提供在外部壳体40的内部，受到防损坏保护。
在图8的实施方式中，另外的壳体40包括能够进入读卡器设备10和打印机14的开口。一个能够进入读卡器设备10的这种开口50在图9中被示出。相应的开口(未示出)被提供在终端的外包装内。开口50能够使用户将他们的卡插入读卡器设备10而不会引起待检测的损坏。
在图8的实施方式中还提供了开口以允许纸张从位于壳体40内部的打印机14加载或移动而不会引起待检测的损坏。另一个开口或透明部分可以被提供在壳体内以使显示器12能够被用户看见。
壳体的开口可以按大小排列以确保通过开口进入壳体内的组件被限制或是不可能的。读卡器设备10、打印机14和/或显示器12可以被放置以全部地或部分地阻塞开口进而限制进入壳体40的内部。损坏检测系统可以被配置以使移动与开口相关的读卡器设备10、打印机14和/或显示器12的尝 试引起待检测的损坏。
在可替代实施方式中，与壳体42相关联的具有激活和/或去激活设施的损坏检测系统被提供，该设施允许激活系统为激活的或去激活的。在一实施方式中，其中损坏检测系统包括处理器，该处理器被连接至键盘。操作员从开始损坏壳体以打开壳体到使用键盘输入去激活代码具有固定的时间周期(例如，10秒)。如果在固定的时间周期内正确的去激活代码没有被输入，那么从这个时间开始损坏检测系统首先检测损坏，然后损坏检测系统向EPP的损坏检测系统发送触发信号以触发EPP的损坏检测系统。
在图1和图8的实施方式中，另外的壳体40是用户终端2的外部壳体20的内部壳体或用户终端2的包装。在可替代实施方式中，内部壳体40可以被忽略和/或另外的检测系统例如包含损坏检测设备42，该损坏检测设备42被配置为检测用户终端的外部壳体20或包装的损坏。
所描述的损坏检测措施可以被用在由银行或其它金融机构或网络操作的并且包含大量现金的ATM中。在这种ATM中损坏检测措施可以使用相对少的成本和精力来提供增强的安全。
所描述的损坏检测措施也可以有益地用在其它用户终端内，该用户终端相比于由银行或其他金融机构操作的标准的ATM机可能不包含现金或相对少的现金。通过在这种其它的用户终端提供这种损坏检测措施，增强的安全可以被提供以保护用户终端的组件而不需要安装庞大的增强的外包装或其它能够抵抗持续的物理攻击的物理防护。因为这种终端可能包含很少的现金或不包含现金，这种增强的外包装或其它物理防护可以被忽略。
加密装置可以是EPP。在可替代的实施方式中，任何其它类型的加密装置可以被使用。响应于损坏而删除的密钥可以是任何合适的密钥，例如删除会致使EPP暂时地或永久地不可操作的任何密钥，例如会话密钥，私密或主密钥。
尽管各种实施方式的描述已经包括用户的金融交易卡的参考，可以理解，在可替换的实施方式中，与账户相关联的任何其它类型的用户设备都可以被使用，例如交易设备(fob)或RFID设备。
可以理解，本发明已经以示例的方式在上文中进行描述，并且在本发明的范围内可以进行细节的修改。
在说明书和(在适当情况下)权利要求书和附图中公开的每一个特征可以独立地或以任何适当的组合被提供。