����,如在本文中將對此進一步描述。而且����,在示例中,可以向SoM 410提供簽名的列表(例如在燃料分配器中安裝SoM 410之前的無塵室中)���,可以從遠程的源獲得簽名的列表(例如���,在安裝在燃料分配器中時,作為由一個或多個實體推送的列表��,等等)����,可以從安全設備404獲得簽名的列表(例如�,在建立安全信道時)���,等等�。
[0046]另外��,SoM 410可以與安全設備404建立安全信道����,并且可以通過安全信道傳送指示。在另外的示例中���,通過安全信道與安全設備404之間的通信可以暗示應用被授權實體簽署�。在該示例中�,在應用未被授權實體簽署的情況下,SoM 410可以通過另外的鏈路與安全設備404通信���。在又一個示例中���,SoM 410可以制止傳送來自未被授權實體簽署的應用的對安全設備404的觸摸顯示器402訪問請求,而AFP 408可以在SoM 410之外傳送請求��。在任何情況下,安全設備404可以確定應用是否被簽署和/或是相關的簽署實體����,并且從而可以確定關于該應用的信息以及基于該信息經由被保護的控制器406提供給應用的訪問的級別。
[0047]在示例中���,AFP 408可以包括安全芯片416���,通過安全芯片416����,SoM 410可以通信以獲得用于與安全設備404建立安全信道的信息。在一個示例中��,SoM 410可以包括安全芯片416��。在存在安全芯片416的情況下���,可以向安全芯片416和安全設備404提供有關的加密信息以允許使用加密信息(例如��,加密密鑰���、證書或其他功能)與安全設備404進行加密的通信。這可以在無塵室中進行或者在其他情況下在安裝在燃料分配器中之前進行以確保提供防篡改。另外��,如所描述的那樣��,在安全設備404和SoM 410或與系統(tǒng)400的另外的部件之間的纜線上檢測到篡改的情況下�,可以刪除安全芯片416的內容(例如,由安全芯片416基于由安全芯片416���、SoM 410或AFP 408上的另外的設備檢測到篡改)以確保在安裝之前建立的加密信息的完整性��。
[0048]在另外的示例中����,在未使用安全芯片416建立與安全設備404的安全信道的情況下����,SoM 410可以用加密信息(例如,加密密鑰���、證書或其他功能)來配置��。例如���,SoM 410可以與安全設備404執(zhí)行軟件配置處理,其中SoM410可以在存儲器中存儲加密信息。在另外的示例中�����,執(zhí)行在SoM 410上的給定應用可以接收加密密鑰���,通過其安全設備404具有對應的加密密鑰以便于與SoM 410之間的安全通信�。例如����,加密密鑰可以對應于公共密鑰加密算法(例如,Rivest���、Shamir 和 Adleman(RSA),Diffe-Hellman��,數(shù)字簽名標準(DSS)���,等等)的公共/私有密鑰對�����。
[0049]在該示例中���,安全設備404可以用私有密鑰進行編程����,并且執(zhí)行在SoM410上的應用可以被提供匹配的公共密鑰以允許建立安全信道����。在一個示例中,應用獲得公共密鑰作為認證處理的一部分����,其可以在燃料分配器上的應用的執(zhí)行之前進行。在一個示例中���,應用的認證可以在燃料分配環(huán)境之外進行��,使得應用可以被某些方(例如����,操作燃料分配器的零售點)簽署或者以其他方式與某些方相關聯(lián)��。在相關聯(lián)的實體被授權在燃料分配器處執(zhí)行應用的情況下�,則可以用燃料分配器的制造商的簽名(或者允許在給定的燃料分配器上執(zhí)行應用的其他簽名)來簽署應用。作為該簽署的一部分���,應用可以獲得用于加密到安全設備404的通信的公共密鑰���。例如�����,公共密鑰可以是對被授權執(zhí)行應用的實體唯一的�。
[0050]隨后����,可以在SoM 410上執(zhí)行應用,制造商的簽名由SoM 410和/或安全設備404在確定提供給觸摸顯示器402的訪問的級別時檢驗���,并且公共密鑰可以用于加密在安全信道上的與安全設備404的通信�����。安全設備404可以嘗試使用加密密鑰對針對給定的應用與SoM 410建立安全信道(反之亦然)。如果成功�,則安全設備404可以將應用視為被授權實體簽署,并且因此可以向其提供適當級別的觸摸顯示器402事件信息(例如����,坐標級別��、運動級別或類似信息)��。如果不成功���,則安全設備404可以將應用視為未被授權實體簽署,并且相應地限制觸摸顯示器402事件信息�����,如所描述的那樣(例如�����,通過僅提供用于觸摸顯示器402上的有限數(shù)量區(qū)域的觸摸事件的區(qū)域級別信息)�。在這些示例中,要意識到�����,安全芯片416可以存在�����,并且用于存儲應用的或者另外從安全設備404接收的加密信息���。
[0051]SoM 410可以向安全設備404通知何時應用在安全信道上被授權實體簽署�,其可以基于執(zhí)行應用、作為訪問觸摸顯示器402的請求的一部分等來進行����。在示例中,SoM 410可以請求針對給定應用的來自安全設備404的觸摸輸入信息�。在安全設備404確定應用被授權實體簽署時,安全設備404可以基于來自應用的請求獲得來自被保護的觸摸控制器406的觸摸輸入信息����,以便提供給SoM 410。因此�,當進行觸摸顯示器402交互(例如,用戶觸摸觸摸顯示器402)時����,觸摸事件處理器412可以處理有關的事件信息,并且向安全設備404提供信息以便傳送給SoM 410���。在示例中��,觸摸事件處理器410可以解釋觸摸數(shù)據(jù)以包括交互的坐標、交互的類型(例如�,觸摸���、揮掃、雙敲等)等�����。安全設備404可以基于關于請求觸摸輸入信息的應用的信息來至少確定提供給SoM 410的信息的子集���。
[0052]例如�,對于被授權實體(諸如燃料分配器的制造商����、零售點的操作者等)簽署的應用,安全設備404可以向SoM 410傳送觸摸顯示器402上的觸摸輸入的坐標和有關的交互�,并且SoM 410可以將數(shù)據(jù)提供給在其上或者另外的在AFP 408上執(zhí)行的應用。被授權實體簽署的應用可以包括呈現(xiàn)PIN小鍵盤的支付應用�、零售點的廚房菜單應用等,并且可以通過安全設備404將特定的觸摸輸入信息提供給在AFP 408或SoM 410上執(zhí)行的這些應用��。例如���,如所描述的那樣���,安全設備404可以加密用于針對這樣的應用與SoM 410在安全信道上進行通信的觸摸信息��。在任何情況下�����,應用可以基本上呈現(xiàn)任何界面��,并且接收在界面上的特定的觸摸事件信息����。在一個示例中�����,這可以允許在觸摸顯示器402上呈現(xiàn)PIN小鍵盤并使其適當?shù)仄鹱饔谩?br>[0053]對于被未授權實體簽署的和/或未被簽署的應用����,安全設備404可以返回關于在觸摸顯示器402上的觸摸輸入的更通用信息,諸如發(fā)生觸摸的多個區(qū)域中的一個的指示��,或者可以制止向應用提供任何觸摸輸入信息��。這樣的應用可以包括廣告應用���。提供這樣的受限制的觸摸事件信息可以減少出現(xiàn)流氓應用的篡改�,因為應用不接收觸摸輸入數(shù)據(jù)�����,或者接收有限數(shù)量的不可以從其分辨機密信息的信息����。
[0054]在特定示例中,安全設備104可以通過定義觸摸顯示器402的八個相鄰或不相鄰的區(qū)域來限制觸摸顯示器402�����,并且可以向未授權的應用返回進行觸摸輸出的區(qū)域的指示�。這基本上允許限制觸摸顯示器402上的功能。在該示例中�,10數(shù)字號碼小鍵盤無法被未授權的應用適當?shù)氖褂茫驗橹荒茚槍Π藗€可觸摸的區(qū)域接收輸入��,從而減少使用觸摸顯示器402獲得用戶的機密信息的可能篡改�����。在一個示例中���,要意識到��,在SoM 410或安全芯片416上執(zhí)行的應用可以定義八個觸摸區(qū)域的大小和位置����,或者安全設備404可以對區(qū)域大小和位置使用默認設置。在任何情況下���,在示例中�����,安全設備404可以允許未授權的應用指定在區(qū)域中顯示的內容��。
[0055]如所描述的那樣�,安全設備404和SoM 410之間的通信可以被加密����。在示例中,它們之間的所有通信可以被加密(包括觸摸顯示器402上的所有事件)�。在另一的示例中,觸摸顯示器402上的事件的一部分可以在發(fā)送給SoM410之前由安全設備404加密(例如�����,使用私有密鑰)。在這一點上����,在一些示例中,可以不使用在本文中描述的物理安全手段(例如�,安全芯片416���、防止篡改外殼414��、針對SoM 410和安全設備404之間的布線的安全措施等)��,因為被加密的通信阻礙可以可能的偷聽�����。
[0056]而且����,例如�����,安全設備404可以確保其具有對SoM 410基本不變的通信作為另外的安全手段����。在該示例中�����,在安全設備404檢測到與SoM 410的通信被中斷和/或安全信道未建立的情況下��,安全設備404可以進行制止向SoM410傳送觸摸輸入信息�����、禁用觸摸顯示器402等中的至少一項���。在一個示例中,SoM 410可以一致地查驗安全設備404以維持安全信道����。這可以包括向安全設備404發(fā)送查驗消息。因此����,在安全設備404在一段時間未檢測到查驗消息的情況下,這可以指示篡改�,并且安全設備404可以制止向SoM 410發(fā)送觸摸輸入,禁用觸摸顯示器402(例如���,經由被保護的觸摸控制器406)等�����。要意識到�,查驗消息基本上可以包括被傳輸給安全設備404以指示SoM410的適當運轉的任何消息。而且����,例如,SoM 410可以對查驗消息應用真實性參數(shù)以允許安全設備404檢驗其真實性���,從而確保查驗消息來自SoM410(例如,而非來自想要假裝表示SoM 410的流氓設備)����。例如,應用真實性參數(shù)可以包括SoM 410加密查驗消息����,并且安全設備404可以解密查驗消息(例如,使用密鑰對)以確保消息來自SoM 410����。在另外的示例中���,應用真實性參數(shù)可以包括SoM 410包括散列值作為查驗消息的一部分,并且安全設備404可能檢驗散列值(例如��,使用一個或多個函數(shù))以確保消息來自SoM 410����。
[0057]SoM 410可以包括核心級別應用,諸如操作系統(tǒng)��,核心級別應用可以與安全設備404通信��,與安全設備404建立安全信道等��。在這點上�,SoM 410的核心級別應用可以維持與安全設備404的安全信道�����,并且指示對觸摸顯示器402訪問的請求是否針對被授權的應用。例如�����,應用可以執(zhí)行在SoM 410上(或在AFP408上��,并且經由SoM 410請求觸摸顯示器402訪問),并且SoM 410的核心級別應用可以確定應用是否被授權實體簽署�����,如在本文中所描述的那樣��,并且將這些指示給安全設備404�。
[0058]而且,防篡改外殼414也可以裝入被保護的觸摸控制器406以減小對控制器406和/或將控制器406耦合到觸摸顯示器402的任何纜線的篡改����。如所描述的那樣,防篡改外殼414可以包括金屬絲網以檢測外殼414或在其中布置的組件的移動�、移除或其他篡改。另外�,安全纜線可以用于將被保護的觸摸控制器406 (例如���,在防篡改外殼414下)與觸摸顯示器402耦合�����。在一個示例中��,安全纜線可以類似于先前所討論的柔性電路組件���。而且��,例如��,觸摸顯示器402可以利用一個或多個微開關或其他檢測機構來檢測其移動或移除���。
[0059]參考圖5,例示可以根據(jù)在本文中描述的各個方面利用的方法�����。雖然為了解釋的簡化的目的�����,將方法