[发明专利]端到端设备认证

说明书

技术领域

本发明涉及端到端设备认证。

背景技术

通过自助服务终端(SST)开展金融交易而无需人工协助的消费者日益增多。事实上，在很多情况下，进行这些交易时SST附近是无人值守的；但SST内集成有或SST附近装有安全摄像头的情况或许除外。

最常见的SST交易是客户在自动柜员机(ATM)上进行的。与公众的普遍认知相反，ATM可能会受到威胁，在某些方面，现有ATM的固有安全漏洞或会遭到利用。

例如，在典型ATM交易中，客户会插入银行卡，然后在加密PIN键盘上输入其PIN(个人识别码)。ATM上的软件将接收到其无法解密的加密信息，然后将加密信息发送至相应的后端金融系统，与客户账号和所请求的取款金额一同进行认证。如果PIN正确且资金充足，金融系统将返回认证。接着，ATM核心会向ATM内的出钞器发送出钞命令，出钞器会传出与取款相关的货币金额。

在上述场景中，如果ATM软件可被替换、修改或免验证，那么发送给出钞器的取款金额就可予变更或重复多次，进而耗尽ATM的所有货币。这一点尤其令ATM所有者和经营者担忧，因为与交易绑定的金融系统可能仅兑现初始授权取款金额，导致ATM所有者和经营者不具有收回被盗资金的追索权。

发明内容

在本发明的多种实施方案中，提供了端到端设备认证。

根据一个实施例，主机发出的一个令牌和一个出钞命令被获取。接着，会对令牌和出钞命令进行验证，然后执行出钞命令。

根据本发明的第一个方面，所提供的操作出钞装置以验证出钞命令的方法包含：获得主机发出的一个令牌和一个出钞命令；及在处理出钞命令前验证令牌和出钞命令。

出钞命令可由主机直接发出，或由响应主机发出的出钞命令的应用程序、服务提供商或设备驱动程序发出。

令牌可由主机发给一个驱动程序级组件(如服务提供商或驱动程序)，而非应用程序级组件(如应用程序)。

根据本发明的第二个方面，所提供的自助服务终端(SST)包含：一个在SST控制器上执行、可与远程主机进行交互的应用程序；及一个连接至所述SST控制器的出钞器，可以(i)从应用程序接收包括出钞金额在内的出钞命令；(ii)接收主机设备发出的授权令牌；(iii)验证授权令牌；及(iv)在授权令牌通过验证后传出出钞金额。

根据本发明的第三个方面，所提供的方法包含：设备获得主机发出的一个令牌和一个出钞命令；及在处理出钞命令前，由设备验证所述令牌和出钞命令。

出钞命令可由主机直接发出，或由响应主机发出的出钞命令的应用程序发出。

获得一个令牌和一个出钞命令还可选择性地包括直接从该设备接至的自助服务终端(SST)核心接收所述令牌和出钞命令。

接收令牌和出钞命令还可选择性地包括在获得令牌前向SST核心提供一个nonce传递至主机，主机在生成令牌时使用该nonce。

验证令牌和出钞命令还可选择性地包括独立重现令牌的一个版本，并将所述重现版本与获得的令牌相比较，以确定有无发生匹配，匹配即表明令牌和出钞命令有效，并表明出钞命令将予以处理。

独立重现令牌还可选择性地包括在设备的安全微处理器内使用与主机共享的密钥来重现令牌，其中所述安全微处理器仅可被设备访问。

独立重现令牌还可选择性地包括使用共享密钥、提供给主机一个nonce，以及与重现版本时的出钞命令相关的出钞金额来处理安全微处理器上的消息验证代码函数。

所述验证还可选择性地包括发送一条错误消息到SST核心，表明令牌和出钞命令无效。

所述验证还可选择性地包括在令牌和出钞命令通过验证后启动货币出钞装置，以传出与出钞命令相关的货币金额。

根据本发明的第四个方面，所提供的方法包含：主机设备从自助服务终端应用程序接收出钞金额；主机设备使用共享密钥和出钞金额获得授权令牌，所述共享密钥在主机设备与连接至SST内控制器的出钞器之间或外部系统与出钞器之间共享；及主机设备将授权令牌和出钞金额发送回SST应用程序，以传递给出钞器进行验证。

所述接收还可选择性地包括使用出钞金额从SST控制器接收一个nonce，而SST控制器获得的该nonce是由出钞器提供的。

所述获得还可选择性地包括使用该nonce及共享密钥和出钞金额在主机设备上生成授权令牌。

所述使用还可选择性地包括将该nonce、共享密钥和出钞金额提供给一个方法验证代码(MAC)函数，以生成授权令牌。