燃料分配器用户接口系统架构.pdf

自动贩卖机可以包括：触摸显示器；以及触摸控制器，其操作地连接到触摸显示器并且被配置为向触摸显示器传输显示数据以及接收来自触摸显示器的触摸屏功能的输入数据。自动贩卖机还包括：安全设备，其操作地连接到触摸显示器，用于通过基于从触摸屏功能接收的输入数据管理提供给一个或多个应用的触摸输入信息来保护显示器。自动贩卖机具有：处理器，其操作地连接到安全设备，用于向安全设备传送来自一个或多应用的针对触摸显示器的访问请求以及一个或多个应用是否被授权实体签署的指示。安全设备还至少部分地基于指示来管理提供给一个或多应用的触摸输入信息。

权利要求书
1.  一种自动贩卖机，包含：
显示器；
触摸控制器，其操作地连接到所述显示器，并且被配置向所述显示器传输显示数据以及接收来自所述显示器的触摸屏功能的输入数据；
安全设备，其操作地连接到所述显示器，并且被配置为至少通过至少部分地基于从所述触摸屏触接收的输入数据管理提供给一个或多个应用的触摸输入信息，来保护所述显示器；以及
处理器，其操作地连接到所述安全设备，并且被配置为向所述安全设备传送来自所述一个或多个应用的对所述显示器的访问请求以及所述一个或多个应用是否被授权实体签署的指示，
其中，所述安全设备还至少部分地基于所述指示来管理提供给所述一个或多个应用的触摸输入信息。

2.  根据权利要求1所述的自动贩卖机，其中，所述安全设备在所述一个或多个应用未被授权实体签署时，至少部分地通过限制传送给所述一个或多个应用的触摸输入信息来管理触摸输入信息。

3.  根据权利要求2所述的自动贩卖机，其中，所述安全设备至少部分地通过向未被授权实体签署的所述一个或多个应用传送与从触摸功能接收的输入数据有关的固定数量的区域中的一个的指示，来限制触摸输入信息。

4.  根据权利要求2所述的自动贩卖机，其中，所述安全设备至少部分地通过制止向未被授权实体签署的所述一个或多个应用传送输入数据，来限制触摸输入信息。

5.  根据权利要求1所述的自动贩卖机，其中，所述安全设备在所述一个或多个应用被授权实体签署时，至少部分地通过传送与从触摸屏功能接收的输入数据有关的坐标来管理触摸输入信息。

6.  根据权利要求1所述的自动贩卖机，其中，所述处理器与所述安全设备建立安全信道以便向其传送访问请求和指示。

7.  根据权利要求6所述的自动贩卖机，其中，所述处理器至少部分地通过向所述安全设备发送一致的查验消息来维持所述安全信道。

8.  根据权利要求7所述的自动贩卖机，其中，所述处理器对所述查验消 息应用一个或多个真实性参数，以便于检验所述查验消息的真实性。

9.  根据权利要求7所述的自动贩卖机，其中，所述安全设备至少部分地基于确定在一段时间内未从所述处理器接收一致的查验消息，来禁用所述显示器。

10.  根据权利要求1所述的自动贩卖机，其中，所述处理器被配置为存储授权实体的一个或多个签名的列表，以及至少部分地通过确定签名是否在所述一个或多个签名的列表中来确定所述一个或多个应用是否用授权实体的签名签署。

11.  根据权利要求10所述的自动贩卖机，其中，所述一个或多个签名的列表包括对应于所述自动贩卖机的制造商或所述自动贩卖机操作在的零售点的签名。

12.  根据权利要求10所述的自动贩卖机，其中，所述安全设备在与所述处理器建立安全信道时向所述处理器传送所述一个或多个签名的列表。

13.  根据权利要求1所述的自动贩卖机，其中，所述安全设备包含所述触摸控制器。

14.  根据权利要求13所述的自动贩卖机，其中，所述安全设备包含包围所述触摸控制器的防篡改外壳。

15.  根据权利要求14所述的自动贩卖机，其中，所述防篡改外壳包含被配置为用于检测所述防篡改外壳的移除的金属丝网。

16.  根据权利要求1所述的自动贩卖机，其中，所述安全设备包含个人标识号码(PIN)输入设备(PED)。

17.  根据权利要求1所述的自动贩卖机，其中，所述安全设备至少通过附接到所述安全设备的特征连接器和所述显示器的另外的特征连接器的至少一个缆线，来操作地连接到所述显示器。

18.  根据权利要求17所述的自动贩卖机，其中，所述特征连接器或另外的特征连接器包含用于检测至少一个缆线的移除的部件。

19.  根据权利要求18所述的自动贩卖机，其中，所述安全设备被配置为在部件检测到所述至少一个缆线的移除的情况下擦除存储器的至少一部分。

20.  根据权利要求1所述的自动贩卖机，还包含集线器接口印刷电路板(HIP)和第二处理器，其中，所述处理器和所述第二处理器安装在所述HIP的邻近面上。

21.  根据权利要求1所述的自动贩卖机，还包含：燃料分配部件，其被配置为便于燃料的分配，测量对交易分配的燃料的量，以及将所述量输出给所述安全设备以便呈现在所述显示器上，其中，所述安全设备还被配置为管理所述燃料分配部件中的至少一个的操作以控制燃料的分配。

22.  根据权利要求1所述的自动贩卖机，其中，所述安全设备至少部分地基于是否与所述一个或多个应用建立安全信道，来确定所述一个或多个应用是否被授权实体签署。

23.  根据权利要求22所述的自动贩卖机，其中，所述一个或多个应用至少部分地基于加密与所述安全设备的通信，来与所述安全设备建立安全信道。

24.  根据权利要求23所述的自动贩卖机，其中，作为针对所述一个或多个应用的检验处理的一部分，所述一个或多个应用获得用于加密通信的一个或多个加密密钥，其中作为检验处理的一部分，用所述自动贩卖机的制造商的签名来签署所述一个或多个应用。

25.  根据权利要求23所述的自动贩卖机，其中，所述安全设备加密所述触摸输入信息的一部分以便通过安全信道传送给所述一个或多个应用。

26.  一种用于控制对触摸显示器的访问的方法，包含：
接收来自触摸显示器的输入数据，其中，所述输入数据与访问所述触摸显示器的应用相关联；
确定所述应用是否被授权实体签署；以及
至少部分地基于所述应用是否被授权实体签署来向所述应用提供与所述输入数据相关的触摸输入信息。

27.  根据权利要求26所述的方法，还包含在所述应用未被授权实体签署的情况下，通过限制输入数据来生成触摸输入信息。

28.  根据权利要求27所述的方法，其中，生成触摸输入信息包含确定与输入数据相关的所述触摸显示器上的固定数量的区域中的一个，作为触摸输入信息。

29.  根据权利要求26所述的方法，其中，生成触摸输入信息包含确定与输入数据相关的坐标信息作为触摸输入信息。

30.  根据权利要求26所述的方法，还包含与所述处理器建立安全信道用于向其传送输入数据。

31.  根据权利要求30所述的方法，还包含至少部分地通过确定是否从所述处理器接收一致的查验消息，来维持安全信道。

32.  根据权利要求31所述的方法，还包含至少部分地通过检验从所述处理器接收的一致的查验消息的真实性，来维持安全信道。

33.  根据权利要求31所述的方法，还包含至少部分地基于确定在一段时间内未从所述处理器接收一致的查验消息，来禁用所述触摸显示器。

34.  根据权利要求26所述的方法，还包含当检测到移除到所述处理器或所述触摸显示器的至少一个缆线时擦除存储器的至少一部分。

35.  根据权利要求26所述的方法，其中，确定所述应用是否被授权实体签署包含确定是否与所述应用建立安全信道。

36.  根据权利要求35所述的方法，其中，作为针对应用的检验处理的一部分，所述应用获得用于加密通信的一个或多个加密密钥，并且其中作为检验处理的一部分，用制造商签名来签署所述应用。

37.  根据权利要求35所述的方法，还包含加密触摸输入信息的一部分用于通过安全信道传送给所述应用。

说明书燃料分配器用户接口系统架构
技术领域
在本文中所描述的主题一般涉及燃料分配器，并且更具体地涉及燃料分配器所采用的用户接口。
背景技术
燃料分配器通常包括被配置为处理从用户接收到的敏感支付信息以实现对分配给用户的燃料的支付的控制器。敏感支付信息通常经由诸如读卡器和PIN小键盘(pad)这样的一个或多个部件提供给燃料分配器。由PIN小键盘所接收到的任何敏感支付信息通常是加密的，并且被转发给控制器，而不管PIN小键盘是否使用单独的控制器。因为控制器被配置为处理敏感支付信息，所以其通常受到在处理这样的信息的设备上强加的某些安全性需求，其可能包括手动的离线认证处理。
一些分配器采用大显示屏幕，不仅用于提示用户经由PIN小键盘或其他按钮来输入支付信息、选择燃料等级、选择洗车等，还用于显示广告、忠诚信息、在服务站内的厨房的菜单以及其他信息。现有的触摸屏显示器允许通过触摸显示器上的区域来进行用户交互。然而，由于某些规则，这样的触摸屏显示器可能在提供给用户的功能上被限制。
发明内容
下面呈现在本文所公开的主题的一个或多个方面的简化的发明内容，以提供对其的基本理解。该发明内容不是所有所想到的方面的大范围的概览，其意图既不在于标识所有方面的关键或重要元素，也不在于描绘任何或者所有方面的范围。其唯一的目的是以简化的形式呈现一个或多个方面的一些概念，作为随后的更详细的描述的引言。
在本文中描述的各个方面涉及经由安全设备控制触摸屏显示器以控制访问触摸屏显示器的应用或有关设备的允许的功能，无论该访问是用于显示内容和/或用于接收与这样的内容有关的触摸输入。在一个示例中，对于某些 应用，可以基于应用的类型、基于是否用授权实体的签名签署应用、基于另一应用当前是否正在使用触摸屏显示器等来限制功能。而且，功能可以在这样的场景下变化，诸如对未用授权实体的签名签署的应用和/或某种类型的应用在触摸屏显示器上提供有限数量的触摸区域。可以使用防篡改设备(anti-tamperingdevice)以便于对诸如控制触摸屏显示器的设备、执行应用的处理器等各种设备的物理安全。
为了实现前述的以及相关的目的，一个或多个方面包含在下文中完整地描述并且在权利要求书中特别指出的特征。下面的描述和附图详细地阐述一个或多个方面的示例性特征。然而，这些特征仅表示可以采用各个方面的原理的各种方式中的一些，并且该描述旨在包括所有这样的方面及它们的等效物。
附图说明
下面将结合附图来描述所公开的方面，提供附图以例示所公开的方面，而非对其进行限制，附图中相同的标号可以指示相同的元件，附图中：
图1是根据在本文中所描述的加燃料环境的部分示意性的透视图；
图2是根据在本文中所描述的图1的加燃料环境中可以使用的燃料分配器的部分示意性的正视图；
图3是根据在本文中所描述的燃料分配器的用户接口的部件的图表表示；
图4是用于在燃料分配器中采用以允许触摸屏输入的示例系统；以及
图5是用于处理访问触摸显示器的请求的示例方法。
具体实施方式
现在将详细地参考各个方面，在附图中例示其一个或多个示例。每个示例被提供用于解释各方面而非对各方面的限制。实际上，对于本领域技术人员将显而易见的是，可以在所描述的方面中进行修改和变型，而不脱离其范围和精神。例如，作为一个示例的一部分所例示或描述的特征可以用于另外的示例以产生又一个示例。因此，旨在所描述的各方面覆盖这样的修改和变型，其均在所附权利要求书及它们的等效物的范围内。
在本文中所描述的是与在燃料分配器处使用安全设备来控制触摸屏显 示器以在触摸屏显示器的功能上提供控制中的级别有关的各个方面。因此，可以针对某些应用来限制触摸屏显示器的功能。在示例中，触摸屏显示器的控制器可以基于应用类型、基于应用是否被授权实体签署、基于另外的应用是否正在使用触摸屏显示器等来限制应用的功能。例如，控制器可以通过过滤提供给一个或多个应用的输入事件有关的信息、阻止来自一个或多个应用的触摸屏显示器访问等，来至少部分地限制触摸屏显示器。
在一个特定示例中，控制器可以操作在燃料分配器的个人标识号码(PIN)输入设备(PED)或至少包含PED部件的子集的设备内。在该示例中，PED可以包括用于耦合触摸屏显示器以向其提供显示数据和/或从其接收触摸输入事件的一个或多个特征连接器(featureconnector)。PED可以经由控制器对触摸屏显示器提供首要的安全控制。PED还可以与一个或多应用或有关设备通信以向其提供受到首要的安全控制的一些触摸屏显示功能。
例如，模块上系统(SoM)可能与PED建立安全信道以与PED通信加密的应用数据。当SoM执行被授权实体签署的应用时，其可以对PED指示去往/来自应用的数据来自授权来源。基于该信息，PED确定触摸屏显示器的访问的级别，并相应将其提供给应用。
而且，通过如实施在燃料分配器中所示例和描述，要意识到，在本文中所描述的方面类似地可以基本上应用于处理交易支付或者另外处理涉及机密信息同时维持执行其他应用的能力的任何自动贩卖机。
在本文中所描述的实施例的某些方面与加燃料环境、燃料分配器以及燃料分配器的用户接口有关，其示例可以在美国专利公开号2009/0265638(标题为“SystemandMethodforControllingSecureContentandNon-SecureContentataFuelDispenserorOtherRetailDevice”，于2008年10月10日提交)、2011/0047081(标题为“SecureReportsforElectronicPaymentSystems”，于2009年8月20日提交)、2010/0268612(标题为“PaymentProcessingSystemforUseinaRetailEnvironmentHavingSegmentedArchitecture”，于2010年1月19日提交)、2011/0134044(标题为“FuelDispenserUserInterface”，于2010年6月9日提交)、2012/0166343(标题为“FuelDispensingPaymentSystemforSecureEvaluationofCardholderData”，于2010年12月22日提交)、2011/0238511(标题为“FuelDispenserPaymentSystemandMethod”，于2011年3月7日提交)、2012/0286760(标题为“FuelDispenserInputDeviceTamper DetectionArrangement”，于2011年5月11日提交)、2011/0231648(标题为“SystemandMethodforSelectiveEncryptionofInputDataDuringaRetailTransaction”，于2011年5月27日提交)、2012/0059694(标题为“FuelDispenserApplicationFramework”，于2011年8月3日提交)和2013/0300453(标题为“FuelDispenserInputDeviceTamperDetectionArrangement”，于2012年5月9日提交)、美国专利号7,607,576(标题为“LocalZoneSecurityArchitectureforRetailEnvironments”，于2009年10月27日颁发)、8,392,846(标题为“VirtualPINpadforFuelPaymentSystems”，于2010年1月28日提交)和8,558,685(标题为“RemoteDisplayTamperDetectionUsingDataIntegrityOperations”，于2011年8月29日提交)以及欧洲专利申请号1,408,459(标题为“SecureControllerofOutdoorPaymentTerminalsinCompliancewithEMVSpecifications”，于2004年4月14日公开)中找到。出于所有目的，将前述申请和专利中的每个通过引用、就好像在本文中逐字地阐述其全部内容那样地并入到本文中，并且依赖它们。
图1是用于提供燃料并且接受对所分配燃料的支付的加燃料环境100的部分示意性的透视图。加燃料环境100包括至少一个燃料分配器200a和中央设施102。典型地，诸如燃料分配器200b这样的一个或多个另外的燃料分配器也可以包括在加燃料环境100中。加燃料环境100还可以包括对燃烧分配器200a和200b提供遮挡的顶蓬系统104。
中央设施102包括销售点设备(POS)106和现场控制器(sitecontroller)108，并且可以包括诸如收款机和/或管理器工作站这样的另外的计算设备。在所例示的示例中，POS106包括相关联的读卡器和支付终端110。POS106和现场控制器108中的每个还包括显示器、触摸屏和/或诸如打印机之类的其他设备。应当理解的是，中央设施102内的POS106、现场控制器108以及任何另外的计算设备的功能可以合并到单个计算机或服务器中。替代地，这些计算设备可以经由局域网(LAN)操作地相互连接。可以结合本文中所描述的主题使用的适合系统的示例组合POS106和现场控制器108的功能，多个支付终端110可以与其操作地连接，该示例是由美国北卡罗来纳州格林斯博罗的Gilbarco公司提供的PASSPORT系统。
要意识到，加燃料环境100可以包括多个其他部件以便于分配燃料。在图1所提供的示例中，例如，燃料环境100包括被配置为存储可用于购买的 燃料的两个地下存储罐(UST)112和114.。例如，UST112和114可以备有相应等级的燃料。UST112和114与连接分配器200a和200b的地下管道网络116流体连通(fluidcommunication)。因此，存储在UST112和114内的燃料可以输送给分配器用于购买。而且，在一个示例中，关于UST112和114的信息(例如，罐级别、诸如罐周围的温度这样的环境指示器等)可以传送给POS106、现场控制器108或其他设备以允许进行罐监控和/或其他问题的通知。
图2是可以用作图1的加燃料环境中的燃料分配器200a和200b的燃料分配器200的部分示意性的正视图。燃料分配器200包括用户接口202，用户接口202包括第一控制器204、第二控制器206、显示器208、读卡器210以及数字小键盘。控制器204操作地连接到控制器206以及显示器208，同时控制器206操作地连接到控制器204和读卡器210和数字小键盘212。要意识到，用户接口202可以包括其他部件，诸如现金接受器和/或收据打印机等。控制器204和206中的每个优选包括以太网适配器，并且经由传输控制协议和因特网协议(例如，传输控制协议(TCP)/因特网协议(IP)、用户数据报协议(UDP)等)与其他控制器通信，如下面所解释的那样。替代地，控制器204和206可以经由通用串行总线(USB)连接来连接，并且被配置为经由USB连接或其他有线或无线(例如，蓝牙、无线局域网(WLAN)等)连接进行通信。在一个示例中，控制器204和206中的一个或多个可以包括在诸如显示器208、PIN小键盘212等燃料分配器200的设备内，如将在本文中进一步描述，并且在一些示例中，控制器204和206中的一个或多个可以不存在，或者可以替换为另外的控制器，其中剩余的控制器实现功能，使得不需要被替换的控制器。
为了进行解释，要意识到，读卡器210可以是被配置为接收来自用户所提供的支付卡的、包含敏感或机密账户或支付信息(在本文中一般被称为敏感信息或机密信息)的数据的任何设备或设备的组合。例如，读卡器210可以是磁条卡读取器、智能卡选取器、非接触卡读取器、射频(RF)读取器或其任何组合。因此，在本文中所使用的术语“支付卡”旨在涵盖磁条卡、智能卡、非接触卡和RF设备以及被配置为存储和提供账户信息的其他形式的卡和设备。为了解释的目的，从这样的支付卡接收的信息在本文中被称为“支付数据”，同时将足以标识与支付卡相关联的账户的支付数据的部分称为“敏 感支付数据”。因此，要意识到，在本文中所使用的“支付数据”可以包括敏感和非敏感支付信息这两者。而且，要意识到，“敏感支付数据”可以包括其他机密信息，诸如与支付卡相关联的PIN，并且一般也被称为“敏感数据”、“机密数据”或类似术语。
在目前描述的示例中，读卡器210被配置为接受来自加燃料环境100所接受的各种类型的支付卡(包括信用和借记卡、预付和礼品卡、舰队卡(fleetcard)、任何本地/私有卡等)的支付数据。要意识到，读卡器210还可以被配置为接收来自非支付和其他卡(诸如忠诚卡、老顾客卡、奖励卡、点卡、优势卡和俱乐部卡等)的账户信息。另外，可以提供移动支付，使得在燃料分配器200处不需要使用卡进行支付和/或可以使用来自在燃料分配器处的移动设备的通信(例如，与燃料分配器上的NFC读取器的近场通信(NFC)、通过移动网络启动的通信等)来启动支付。数字小键盘212还可以被配置为接收支付数据，诸如与支付卡和/或移动支付相关联的PIN。至少由于这一点，在进行解释时，数字小键盘212被称为PIN小键盘或PED。
而且，要意识到，燃料分配器200还包括被配置为便于向车辆输送燃料的各种燃料分配部件。例如，燃料分配器200还包括管道网络214、仪表216、脉冲发生器218、阀220、软管222和管嘴224，它们可以是重复的以允许输送多个燃料等级。控制器204操作地连接到这些部件中的一个或多个，诸如脉冲发生器218和阀220，以控制其操作和/或管理由燃料分配器220进行的燃料的输送。管道网络214与如图1所述的地下管道网络116成流体连通，以从UST接收燃料。管道网络214、软管222和管嘴224也流体连通以向车辆供应燃料。在本文中所描述的其他示例中，燃料分配器200可以包括控制器204和206中的一个，在该情况下，控制器206可以替代地(或另外地)操作燃料分配部件。
用户接口202被配置为便于燃料的分配以及对所分配的燃料的支付的接受。例如，显示器208被配置为向用户提供关于加燃料处理的指令以及在交易期间和在交易完成时显示总计。显示器208可以是液晶显示器(LCD)、发光二极管(LED)显示器、等离子体显示器等。另外，显示器208可以是触摸屏或非触摸屏显示器。读卡器210和PIN小键盘212被配置为接受支付数据(例如，由用户提供的)。即，读卡器210可以被配置为接收来自诸如信用卡或借记卡这样的支付卡的账户信息。PIN小键盘212被配置为至少接 收诸如借记卡的PIN、信用卡的账单邮政(邮政分区)码等与支付卡相关联的信息。在示例中，PIN小键盘212可以是诸如具有硬键的数字小键盘这样的物理PED和/或可以使用在显示器208上的虚拟PED，如在本文中进一步描述的。如上所述，其他设备可以包括在用户接口202内，其还可以被配置为便于针对所分配的燃料的金融交易。例如，现金接受器可以被配置为处理涉及现金支付的交易，而收据打印机被配置为在期望的情况下在完成加燃料处理时打印收据。
用户接口202还可以被配置为和用户交换与加燃料交易无关的信息。例如，显示器208可以被配置为向用户提供广告或其他信息，诸如关于在相关联的便利店中可用于销售的物品的广告。PIN小键盘212(或一组软键，诸如在下面所提及的那些)可以被配置为接收来自用户的关于所显示的信息的选择，诸如用户是否对附近的便利设施感兴趣。就此而言，例如，PIN小键盘212可以结合读卡器210和/或显示器208使用，以便还传送不像支付信息那样敏感的数据。
另外，加燃料环境100(图1)可以被配置为使得燃料分配器200可以操作地连接到广域网络(WAN)228(诸如因特网)。应当理解的是，燃料分配器200可以直接连接到WAN228或者经由诸如一个或多个设备226这样的一个或多个另外的部件间接地连接。要意识到，另外的部件可以包括路由器、交换机、网关以及参与在上述LAN中的其他设备。在一个示例中，设备226可以包括燃料分配器直接连接的POS106、现场控制器108等中的一个或多个。替代地，燃料分配器200间接地经由LAN操作地连接到POS106和/或现场控制器108。如上所引用，在美国专利公开号2010/0268612中阐述了加燃料环境的计算设备的适合配置的示例。还应当理解的是，诸如服务器230这样的其他外部源可以操作地连接到WAN228，并且对燃料分配器200和/或加燃料系统100(图1)经由WAN可访问。
图3例示用于提供触摸屏显示功能的燃料分配系统300。例如，燃料分配系统300可以提供来自主机230或其他外部特征源的视频服务。燃料分配系统300包括具有触摸屏幕显示器208和PED212的燃料分配器200。另外，燃料分配器200可以包括辅助特征处理器(AFP)302或其他特征电子设备，以便执行可以经由PED212访问显示器208的应用。AFP302还可以包括提供用于执行应用和/或与PED212接合的系统的模块上系统(SoM)304。系 统300还包括LAN226、POS106、WAN228和主机230。例如，燃料分配器200可以经由POS106或诸如路由器或其他网络设备这样的另外的部件在LAN226中通信。另外，LAN226可以耦合到WAN228(例如，直接地、经由POS106、经由其他网络设备等)，并且从而可以允许燃料分配器200与诸如主机230这样的远程部件通信。在又一个示例中，燃料分配器200可以通过诸如允许经由移动网络(未示出)访问WAN228的集成单元调制解调器(未示出)等的其他部件来访问WAN228。
燃料分配系统300允许经由多个燃料分配部件(未示出)进行加燃料操作。另外，主机230可以向在AFP302上执行的一个或多个应用提供诸如广告或其他内容这样的视频，或者可以以服务模式提供应用或其至少一些功能，等等。在任何情况下，AFP302可以针对运行在其上的一个或多个应用请求对显示器208的至少一些访问。如所述的那样，PED212可以管理对显示器208的访问以保护其安全性。在该示例中，PED212和显示器208之间的安全通信可以有利于防止应用在未被授权时经由显示器208获得机密信息。
例如，PED212可以通过经由被保护的触摸控制器206控制显示器208来保护去往/来自显示器208的通信。在一个示例中，PED212可以不包括数字小键盘，因为触摸屏显示器208可以被用于传递数字数据。在该示例中，PED212可以是包括PED所采用以防止篡改的其他电子设备或部件(例如，金属丝网)的安全设备。例如，因为PED通常被用于获得PIN数字、账单邮政分区码或用于处理交易支付的其他信息，所以如在本文进一步描述的那样，对PED进行物理保护以防止可能导致暴露这样的信息的未授权的输入或其他访问。可以根据一个或多个标准化组织的规范对PED进行物理保护，以确保对使用PED的用户的足够的保护。在任何情况下，PED212可以提供物理防篡改部件或其他手段，由此保护被保护的触摸控制器206。PED212还可以采用一个或多个控制器(未示出)、印刷电路板(PCB)、处理器等以提供在本文中所描述的功能。
PED212可以经由缆线306或其他通信介质连接到显示器208以控制对其的访问。另外，PED212可以经由缆线308或其他通信介质连接到AFP302和/或SoM304。而且，要意识到，缆线306和/或308可以直接连接到被保护的触摸控制器206和/或与其通信的电子设备。在任何情况下，SoM304 可以与PED212建立安全信道以便于访问显示器208的某些功能，诸如显示器输出、触摸输入信息等。在一个示例中，SoM304可以检验在AFP302上执行并请求访问触摸显示器208的应用是否被授权实体签署，并且可以利用PED212来基于此提供不同级别的功能和/或安全性。在其他示例中，未被签署的应用可以经由AFP302和PED212之间的直接的未被保护的连接尝试对显示器208的受限访问。
在一个示例中，PED212可以基于显示器208的状态、请求访问的应用是否被签署、针对访问的请求是源自SoM304还是AFP302、请求中的一个或多个参数等之中的至少一个，经由被保护的触摸控制器206来提供对显示器208的不同级别的访问。在一个示例中，PED212可以提供对显示器208的显示功能、显示器208上的触摸输入事件、有限的触摸输入信息(例如，有限数量的可触摸的区域)等之中的至少一个的访问。因此，例如，PED212可能向未被签署的或请求直接从AFP302访问的应用提供有限的触摸输入事件信息或者不提供触摸输入事件信息，同时经由SoM304向访问PED212的被签署的应用提供完整的触摸输入事件信息。
可以保护缆线306和308以防止对其进行篡改从而获取对显示器208和/或相关联的触摸输入数据的未授权的访问。在一个示例中，缆线306可以是安全地附接到显示器208和/或PED212的任何适合的缆线，诸如柔性电路组件、以太网缆线、通用串行总线(USB)缆线等。根据一个示例，柔性电路组件可以采用诸如在如上所引用的美国专利公开号2013/0300453中描述的防篡改缆线的形式。在该示例中，柔性电路组件包括两个或多个层，并且与可以包括被保护的触摸控制器206的PED212中的安全区进行电通信。这些层中的每层可以包括在其上具有导体的、薄的柔性绝缘基底。信号导体可以用定义金属丝网的导体图案包围。因此，如果试图诸如通过将层分开来经由信号导体进行访问，则金属丝网被中断，从而可以触发防篡改事件。例如，这样的事件可以包括导致擦除来自被保护的触摸控制器206、PED212、AFP302、SoM304等的存储器的某些信息(例如，加密信息、支付或其他敏感信息等)，解除被保护的触摸控制器206、PED212、显示器208、AFP302、SoM304等，等等。在示例中，适当的粘合剂用于连接这些各种层在一起以形成丝网。
当被组装时，这些层定义在显示器208上和PED212(或被保护的触摸 控制器206)的连接器部分之间延伸的缆线。柔性电路组件306的一端可以经由其连接器部分连接到显示器208，而柔性电路组件306的另一端可以经由其连接器部分连接到PED212(或被保护的触摸控制器206)。类似地，SoM304(或AFP302)可以具有用于连接缆线308的连接器部分，并且PED212(或被保护的触摸控制器206)可以具有缆线308的另外的连接器部分。连接器部分可以采用任何安全连接器设备的形式，诸如在美国专利申请号13/467,592中讨论的连接器部分312。连接器部分可以使用适合的粘合剂(诸如在美国专利申请号13/467,592中描述的导电粘合剂)连接到显示器208、PED212(或被保护的触摸控制器206)、SoM304(或AFP302)。
如上所述，缆线可以包括直接连接并且允许PED212(或被保护的触摸控制器206)和显示器208之间的电子通信的内部导体。在一个示例中，被保护的触摸控制器206可以实现在PED212内的印刷电路板上，并且缆线可以从PCB连接到显示器208。在另外的示例中，显示器208可以包括显示控制器322，显示控制器322可以是通过缆线306转发触摸输入事件和/或使得通过缆线306接收的数据显示的哑控制器。在示例中，显示控制器322可以存在于显示器208的PCB上，并且缆线可以从显示器208的PCB延伸至PED212的PCB。这可以允许PED212安全地在防篡改柔性电路组件302内向显示器208发送诸如显示数据这样的数据，和/或安全地接收来自显示器208的触摸输入事件。
由于柔性电路组件的柔性，所以要意识到，显示器208可以在电地连接到PED212的同时相对于PED212铰链式移动。另外，柔性电路组件允许显示器208安装在与PED212的安装位置分开的燃料分配器200上的物理位置上。要意识到，可以将类似的布线用作PED212和SoM304之间的缆线308。
在示例中，被利用作为缆线306和/或308的柔性电路组件可以是耦合部件以便它们之间的通信的带状缆线或类似的缆线。在一个示例中，柔性电路组件可以包括多个缆线，其中至少一个缆线携带视频数据，并且其他缆线用于安全性检测。在一个示例中，一个缆线便于在PED212和显示器208之间传送显示数据，并且如所述的那样，具有在检测到篡改的情况下触发防篡改事件的安全网层。该缆线还可以包括至少在缆线的一个连接器处的、利用在部件处地面连接的开关电路以检测缆线的移除，其可以触发防篡改事件(例如，存储器擦除、部件解除等)。在该示例中，另外的线缆可以包括与两个 拱形开关(domeswitch)串行连接的安全性金属丝网电路(或者检测一个或多个部件的分离或移动的其他适合的开关)，并且可以粘结到或者以其他方式安放到其他缆线和/或可以形成回路使得使用拱形开关来确定其他缆线的连接器上的支架是否被拆卸，其可以触发防篡改事件。该缆线可以延续至显示器208和底座(bezel)之间另外的拱形开关或燃料分配器其他部分以确定显示器208是否从其移除；这也可以触发防篡改事件。
在任何情况下，被触发的防篡改事件可以引发各种功能，并且在示例中，不同的开关的触发可以引发不同的事件功能。另外，功能可以要求不同的解决。例如，从底座移除显示器208可以引起PED212和/或显示器208的解除，使得可以重新安装显示器以接触底座，并且可以恢复正常操作。然而，从PED212或SoM304移除缆线308可以引起被用于在PED212和SoM304之间传送的加密信息的擦除。重新建立加密信息可能需要技师来替换缆线308和/或在重新安装在燃料分配器200中的无尘室中重新初始化PED212和SoM304之间的加密信息，等等。要意识到，在这点上，可以使用各种可触发的事件，用不同的补救手段来重新设置事件。
在示例中，多个缆线306和310和连接器可以用于连接显示器208和PED212、和/或多个缆线308和312和连接器可以用于连接PED212和SoM304。例如，两个缆线和两组连接器可以用于连接显示器208和PED212(或被保护的触摸控制器206)。在示例中，PED212(和/或被保护的触摸控制器206)包括通过一个缆线允许触摸输入信息的触摸特征连接器以及通过另一个缆线允许显示功能的视频特征连接器。例如，缆线306可以连接到触摸特征连接器，并且如所述的那样，可以被保护，而用于显示功能的另一个缆线310可以连接到视频特征连接器，并且可以不需要被保护。使用缆线308和312采用类似的配置来连接PED212和SoM304(或AFP302)。
在下面更详细地描述的一个示例中，来自SoM304(或AFP302)的显示输出可以通过缆线312和310经由PED212在没有有关应用的在先验证的情况下提供给显示器208；从而，通过视频特征连接器接收的显示数据可以提供给显示器208以便在没有验证的情况下进行显示。相反地，在该示例中，将使用触摸特征连接器通过缆线306和306提供给应用的数据可以首先需要应用在通过被保护的触摸控制器206向其提供触摸输入之前由SoM304和/或PED212验证。而且，通过缆线306和/或308传送的数据可以在安全信 道上被加密，并且在一个示例中，缆线310和312上的数据可以不需要被加密。
图4例示用于经由被保护的触摸控制器来控制触摸显示器的示例系统400。系统400包括通信地耦合到安全设备404和/或其被保护的触摸控制器406的触摸显示器402。另外，系统400包括用于执行利用触摸显示器402的一个或多个功能的一个或多个应用的AFP408。如所描述的那样，AFP408可以包括用于经由安全设备404管理与触摸显示器402的通信的SoM410。要意识到，触摸显示器402可以类似于显示器208，安全设备404可以类似于PED212(例如，具有或不具有PIN小键盘)，AFP408可以类似于AFP302，SoM410可以类似于SoM304，等等。
安全设备404可以包括触摸事件处理器412，触摸事件处理器412可以获得来自触摸显示器402的触摸事件，并且基于针对触摸输有关的应用的一个或多个考虑来确定提供给AFP408、SoM410等的信息。在另外的示例中，触摸事件处理器412可以向用于给被保护的触摸控制器406发送信息的触摸显示器402指示触摸输入信息的格式。另外，被保护的触摸控制器406可以在安全设备404中经由防篡改外壳414来保护。要意识到，去往/来自触摸显示器402和/或SoM410(或AFP408)的布线也可以安装在防篡改外壳的下面以防止对其的物理访问。另外，例如，AFP408可以安装在可以包括双面燃料分配器的两个AFP(例如，在每面上一个)的集线器接口PCB(HIP)上。
根据示例，安全设备404可以管理对触摸显示器402的访问，其可以基于在对访问触摸显示器402的请求中接收到的参数、触摸显示器402是否被应用使用中等。在一个示例中，安全设备404可以通过允许仅仅显示器访问、有限制的触摸访问、完全的触摸访问等来针对某些应用限制对触摸显示器402的访问。例如，有限的触摸访问可以包括允许访问触摸显示器402的一个或多个有限的区域和/或限制触摸显示器402上的活动触摸区域的数量。安全设备404可以基于与访问触摸显示器402的应用相关联的一个或多个参数、访问请求是否从SoM410或AFP408发起、访问触摸显示器402的应用是否被授权实体签署等之中的至少一个来限制对触摸显示器402的访问。
在示例中，SoM410可以检查请求访问触摸显示器402的应用是否被授权实体签署。这可以基于在应用在SoM410处执行时接收对访问触摸显示器 402的访问的请求等来进行。SoM410可以指示应用是否被授权实体签署给安全设备404(例如，作为明确的指示，作为来自应用的访问请求的一部分，作为在应用执行的同时发送的查验(ping)消息的一部分，等等)。在一个示例中，SoM410可以检查应用是否被签署，并且可以将其签名与授权实体的签名的存储列表进行比较，以确定一个或多个应用是否通过授权实体的签名被签署。签名的列表可以包括对应于燃料分配器的制造商的或零售点、支付机构等的签名，如在本文中将对此进一步描述。而且，在示例中，可以向SoM410提供签名的列表(例如在燃料分配器中安装SoM410之前的无尘室中)，可以从远程的源获得签名的列表(例如，在安装在燃料分配器中时，作为由一个或多个实体推送的列表，等等)，可以从安全设备404获得签名的列表(例如，在建立安全信道时)，等等。
另外，SoM410可以与安全设备404建立安全信道，并且可以通过安全信道传送指示。在另外的示例中，通过安全信道与安全设备404之间的通信可以暗示应用被授权实体签署。在该示例中，在应用未被授权实体签署的情况下，SoM410可以通过另外的链路与安全设备404通信。在又一个示例中，SoM410可以制止传送来自未被授权实体签署的应用的对安全设备404的触摸显示器402访问请求，而AFP408可以在SoM410之外传送请求。在任何情况下，安全设备404可以确定应用是否被签署和/或是相关的签署实体，并且从而可以确定关于该应用的信息以及基于该信息经由被保护的控制器406提供给应用的访问的级别。
在示例中，AFP408可以包括安全芯片416，通过安全芯片416，SoM410可以通信以获得用于与安全设备404建立安全信道的信息。在一个示例中，SoM410可以包括安全芯片416。在存在安全芯片416的情况下，可以向安全芯片416和安全设备404提供有关的加密信息以允许使用加密信息(例如，加密密钥、证书或其他功能)与安全设备404进行加密的通信。这可以在无尘室中进行或者在其他情况下在安装在燃料分配器中之前进行以确保提供防篡改。另外，如所描述的那样，在安全设备404和SoM410或与系统400的另外的部件之间的缆线上检测到篡改的情况下，可以删除安全芯片416的内容(例如，由安全芯片416基于由安全芯片416、SoM410或AFP408上的另外的设备检测到篡改)以确保在安装之前建立的加密信息的完整性。
在另外的示例中，在未使用安全芯片416建立与安全设备404的安全信 道的情况下，SoM410可以用加密信息(例如，加密密钥、证书或其他功能)来配置。例如，SoM410可以与安全设备404执行软件配置处理，其中SoM410可以在存储器中存储加密信息。在另外的示例中，执行在SoM410上的给定应用可以接收加密密钥，通过其安全设备404具有对应的加密密钥以便于与SoM410之间的安全通信。例如，加密密钥可以对应于公共密钥加密算法(例如，Rivest、Shamir和Adleman(RSA)，Diffe-Hellman，数字签名标准(DSS)，等等)的公共/私有密钥对。
在该示例中，安全设备404可以用私有密钥进行编程，并且执行在SoM410上的应用可以被提供匹配的公共密钥以允许建立安全信道。在一个示例中，应用获得公共密钥作为认证处理的一部分，其可以在燃料分配器上的应用的执行之前进行。在一个示例中，应用的认证可以在燃料分配环境之外进行，使得应用可以被某些方(例如，操作燃料分配器的零售点)签署或者以其他方式与某些方相关联。在相关联的实体被授权在燃料分配器处执行应用的情况下，则可以用燃料分配器的制造商的签名(或者允许在给定的燃料分配器上执行应用的其他签名)来签署应用。作为该签署的一部分，应用可以获得用于加密到安全设备404的通信的公共密钥。例如，公共密钥可以是对被授权执行应用的实体唯一的。
随后，可以在SoM410上执行应用，制造商的签名由SoM410和/或安全设备404在确定提供给触摸显示器402的访问的级别时检验，并且公共密钥可以用于加密在安全信道上的与安全设备404的通信。安全设备404可以尝试使用加密密钥对针对给定的应用与SoM410建立安全信道(反之亦然)。如果成功，则安全设备404可以将应用视为被授权实体签署，并且因此可以向其提供适当级别的触摸显示器402事件信息(例如，坐标级别、运动级别或类似信息)。如果不成功，则安全设备404可以将应用视为未被授权实体签署，并且相应地限制触摸显示器402事件信息，如所描述的那样(例如，通过仅提供用于触摸显示器402上的有限数量区域的触摸事件的区域级别信息)。在这些示例中，要意识到，安全芯片416可以存在，并且用于存储应用的或者另外从安全设备404接收的加密信息。
SoM410可以向安全设备404通知何时应用在安全信道上被授权实体签署，其可以基于执行应用、作为访问触摸显示器402的请求的一部分等来进行。在示例中，SoM410可以请求针对给定应用的来自安全设备404的触摸 输入信息。在安全设备404确定应用被授权实体签署时，安全设备404可以基于来自应用的请求获得来自被保护的触摸控制器406的触摸输入信息，以便提供给SoM410。因此，当进行触摸显示器402交互(例如，用户触摸触摸显示器402)时，触摸事件处理器412可以处理有关的事件信息，并且向安全设备404提供信息以便传送给SoM410。在示例中，触摸事件处理器410可以解释触摸数据以包括交互的坐标、交互的类型(例如，触摸、挥扫、双敲等)等。安全设备404可以基于关于请求触摸输入信息的应用的信息来至少确定提供给SoM410的信息的子集。
例如，对于被授权实体(诸如燃料分配器的制造商、零售点的操作者等)签署的应用，安全设备404可以向SoM410传送触摸显示器402上的触摸输入的坐标和有关的交互，并且SoM410可以将数据提供给在其上或者另外的在AFP408上执行的应用。被授权实体签署的应用可以包括呈现PIN小键盘的支付应用、零售点的厨房菜单应用等，并且可以通过安全设备404将特定的触摸输入信息提供给在AFP408或SoM410上执行的这些应用。例如，如所描述的那样，安全设备404可以加密用于针对这样的应用与SoM410在安全信道上进行通信的触摸信息。在任何情况下，应用可以基本上呈现任何界面，并且接收在界面上的特定的触摸事件信息。在一个示例中，这可以允许在触摸显示器402上呈现PIN小键盘并使其适当地起作用。
对于被未授权实体签署的和/或未被签署的应用，安全设备404可以返回关于在触摸显示器402上的触摸输入的更通用信息，诸如发生触摸的多个区域中的一个的指示，或者可以制止向应用提供任何触摸输入信息。这样的应用可以包括广告应用。提供这样的受限制的触摸事件信息可以减少出现流氓应用的篡改，因为应用不接收触摸输入数据，或者接收有限数量的不可以从其分辨机密信息的信息。
在特定示例中，安全设备104可以通过定义触摸显示器402的八个相邻或不相邻的区域来限制触摸显示器402，并且可以向未授权的应用返回进行触摸输出的区域的指示。这基本上允许限制触摸显示器402上的功能。在该示例中，10数字号码小键盘无法被未授权的应用适当的使用，因为只能针对八个可触摸的区域接收输入，从而减少使用触摸显示器402获得用户的机密信息的可能篡改。在一个示例中，要意识到，在SoM410或安全芯片416上执行的应用可以定义八个触摸区域的大小和位置，或者安全设备404可以 对区域大小和位置使用默认设置。在任何情况下，在示例中，安全设备404可以允许未授权的应用指定在区域中显示的内容。
如所描述的那样，安全设备404和SoM410之间的通信可以被加密。在示例中，它们之间的所有通信可以被加密(包括触摸显示器402上的所有事件)。在另一的示例中，触摸显示器402上的事件的一部分可以在发送给SoM410之前由安全设备404加密(例如，使用私有密钥)。在这一点上，在一些示例中，可以不使用在本文中描述的物理安全手段(例如，安全芯片416、防止篡改外壳414、针对SoM410和安全设备404之间的布线的安全措施等)，因为被加密的通信阻碍可以可能的偷听。
而且，例如，安全设备404可以确保其具有对SoM410基本不变的通信作为另外的安全手段。在该示例中，在安全设备404检测到与SoM410的通信被中断和/或安全信道未建立的情况下，安全设备404可以进行制止向SoM410传送触摸输入信息、禁用触摸显示器402等中的至少一项。在一个示例中，SoM410可以一致地查验安全设备404以维持安全信道。这可以包括向安全设备404发送查验消息。因此，在安全设备404在一段时间未检测到查验消息的情况下，这可以指示篡改，并且安全设备404可以制止向SoM410发送触摸输入，禁用触摸显示器402(例如，经由被保护的触摸控制器406)等。要意识到，查验消息基本上可以包括被传输给安全设备404以指示SoM410的适当运转的任何消息。而且，例如，SoM410可以对查验消息应用真实性参数以允许安全设备404检验其真实性，从而确保查验消息来自SoM410(例如，而非来自想要假装表示SoM410的流氓设备)。例如，应用真实性参数可以包括SoM410加密查验消息，并且安全设备404可以解密查验消息(例如，使用密钥对)以确保消息来自SoM410。在另外的示例中，应用真实性参数可以包括SoM410包括散列值作为查验消息的一部分，并且安全设备404可能检验散列值(例如，使用一个或多个函数)以确保消息来自SoM410。
SoM410可以包括核心级别应用，诸如操作系统，核心级别应用可以与安全设备404通信，与安全设备404建立安全信道等。在这点上，SoM410的核心级别应用可以维持与安全设备404的安全信道，并且指示对触摸显示器402访问的请求是否针对被授权的应用。例如，应用可以执行在SoM410上(或在AFP408上，并且经由SoM410请求触摸显示器402访问)，并且 SoM410的核心级别应用可以确定应用是否被授权实体签署，如在本文中所描述的那样，并且将这些指示给安全设备404。
而且，防篡改外壳414也可以装入被保护的触摸控制器406以减小对控制器406和/或将控制器406耦合到触摸显示器402的任何缆线的篡改。如所描述的那样，防篡改外壳414可以包括金属丝网以检测外壳414或在其中布置的组件的移动、移除或其他篡改。另外，安全缆线可以用于将被保护的触摸控制器406(例如，在防篡改外壳414下)与触摸显示器402耦合。在一个示例中，安全缆线可以类似于先前所讨论的柔性电路组件。而且，例如，触摸显示器402可以利用一个或多个微开关或其他检测机构来检测其移动或移除。
参考图5，例示可以根据在本文中描述的各个方面利用的方法。虽然为了解释的简化的目的，将方法示出并描述为一系列的行动，但是要理解和意识到，方法不被行动的次序所限制，根据一个或多个方面，一些活动可以以不同的次序进行和/或与在本文中示出并描述的其他行动一起进行。例如，本领域技术人员将理解和意识到，替代地，可以将方法表示为一系列相关的状态或事件，诸如以状态图的形式。而且，可以不需要所有所示例的行动来实现根据一个或多个方面的方法。
图5例示用于处理在触摸显示器处接收的输入数据的示例方法500。例如，如所描述的那样，方法500可以由管理一个或多个应用的触摸显示访问的安全设备来实现。在502，可以从触摸显示器的触摸屏功能来接收输入数据。例如，输入数据可以涉及触摸显示器上的触摸交互的坐标、交互的类型(例如，单个触摸、双敲、挥扫等)等。
在504，可以确定应用是否被授权，其可以包括确定应用被授权实体签署或者究竟是否被签署。这可以影响提供给应用的触摸输入信息(如果有)。另外，如所描述的那样，可以通过比较应用的签名与授权实体的签名的列表、接收来自SoM或其他设备的有关指示等来进行确定。另外，确定可以基于是否与应用或执行应用的有关处理器建立安全信道。如所描述的那样，应用可以使用公共密钥来加密通信，并且可以用私有密钥来解密通信。在504，在通信被适当地解密的情况下，这可以指示应用被授权。
在504，当应用被授权时，可以在506将输入数据提供给应用。这可以包括传送所接收的输入数据，诸如坐标或触摸交互类型信息。另外，输入数 据可以在提供给应用之前被格式化。而且，如所描述的那样，可以加密输入数据。在任何情况下，被授权的应用比未被授权的应用接收更加特定的触摸输入信息。
当在504处应用未被授权时，在508，触摸输入信息可以通过限制输入数据来确定。这可以包括基于输入数据来确定发生触摸交互的区域作为触摸输入信息。因此，可以只将关于多个受限的触摸区域的信息提供给未被授权的应用，以防止流氓应用获得机密信息(例如，通过显示PIN小键盘)。在其他示例中，受限制的触摸输入信息可以指示触摸事件的出现或其他有限的信息。在510，将触摸输入信息提供给未被授权的应用。
虽然以上描述了一个或多个方面，但是应当理解的是，所呈现的各方面的任何或所有等效的实现包括在其范围和精神内。所示的各方面仅作为示例来呈现，并且不旨在作为对可以根据描述实现的各个方面的限制。因此，本领域普通技术人员应当理解到，所述主题不限于这些方面，因为可以进行修改。因此，想到了任何和所有这样的实施例包括在所述主题中如可以落入在其范围和精神内。