专利名称:燃料分配器用户接口的制作方法
技术领域:
本发明通常涉及用户接口,且更 具体地涉及燃料分配器的接口。
背景技术:
燃料分配器在全世界范围内零售商服务站和便利店经营处分配石油和替换的燃料产品。燃料分配器具有用户接口,包括显示器和键盘,用于实施消费者支付交易。这些用户接口包括信用磁卡/借记磁卡读卡器,用于从消费者提取账户信息。其他销售点("P0S")终端还包括类似的用户接口。这些用户接口且具体地公众可公开接入的燃料分配器接口变得被期望从已经使用了分配器的消费者获取账户信息的个人袭击。考虑,可能破坏显示接口,以便该接口向试图获取该账户信息的消费者呈现错误提示。当消费者响应于这些错误提示时,可能掌握且不适当地和欺诈地使用其账户信息。这种篡改的潜在可能已经导致对燃料分配器用户接口采用特定物理安全措施。这些安全措施包括用显示控制器在安全围栏内安装显示器。或者,该显示器已经安装到安全围栏,且显示控制器已经被放置在安全围栏中。在任一情况下,显示器的数据和控制线不被暴露,且不能容易地破坏。但是,这种安排不防止整个用户接口的移除。—种用于燃料分配器的传统用户接口通常需要用户在支付交易期间完成若干步骤。用户可以提供敏感性信息或数据,诸如个人标识号("PIN")或账户信息,来完成支付交易。已经增加了截取或另外获得在到达其目的地之前被提供给诸如主机处理系统的支付终端的敏感性数据。例如,针对燃料分配器,已经试图连接设备在支付终端和处理系统之间,以便在传输时截取敏感性数据。因此,支付终端并入各种机制来保护和保证敏感性数据。例如,包括通过处理敏感性数据来分派的组件的支付终端的电路板可以被包裹在可操作地连接到这些组件的保护性网状外盖中。如果以任何方式损坏网状外盖的整体性,则禁用这些组件。在现有技术中存在另外的空间用于进一步的安全技术。
发明内容
本发明识别且解决现有技术构造和方法的前述考虑、和其他。关于此,本发明的一个方面提供适用于处理敏感性信息的燃料分配器的用户接口。所述用户接口包括显示板、可操作地连接到显示板的显示器、和控制电路。控制电路包括处理器、存储器和第一触发器。显示板和控制电路在通常彼此平行的各个平面中。显示板的部分物理地覆盖控制电路的部分,以便第一触发器连接到显示板部分。本发明的另一方面提供以上阐述的用户接口,其被配置以在激活触发器时擦除在存储器中存储的任何敏感性信息。本发明的另一方面提供燃料分配器,包括控制电路、显示器和框。控制电路包括处理器、存储器和触发器。显示器可操作地连接到所述处理器。该框被配置以支持控制电路和显不器。该触发器的激活使得擦除在存储器中存储的敏感性信息。并入并组成本说明书的附示了本发明的一个或多个实施例。
在说明书中阐述了本领域技术人员指导的包括最佳方式的本发明的完整和使能的公开,其参考附图,在附图中图I是示出使用根据本发明的实施例的燃料分配器的正视图;以及图2和3是可以在图I的燃料分配器中使用的优选用户接口的侧视和后视图。在本说明书和附图中的参考特征的重复使用意图表示本发明的相同或不同特征或元件。
具体实施例方式将详细参考本发明的当前优选的实施例,在附图中图示其一个或多个例子。通过本发明的说明来提供每个例子,而不是本发明的限制实际上,本领域技术人员理解,可以在本发明中进行修改和变化,而不脱离其范围或精神。例如,可以在另一实施例上使用作为一个实施例的部分所示或描述的特征,来产生另一实施例。因此,意图本发明覆盖这种修改和变化,也在所附和其等同物的范围内。图I图示了包括基底12和顶部14的燃料分配器10、以及由两侧面板18支持的盖16。燃料分配器10被划分为多个隔间,包括液压区20和电子区22,该液压区20被配置以包裹液压组件,且电子区22被配置以包裹电子组件。蒸汽屏障可以用来分离液压区20和电子区22。在液压区20内包裹用于控制燃料流的若干组件。通过管道网络向诸如入口管道(inlet pipe) 24的燃料分配器10内的流导管中泵抽来自下层储存区的燃料。当分配燃料时,燃料通过计量器26传输,如本领域技术人员应该理解的,该计量器26响应于通过计量器的燃料的流速或流量。脉冲器28生成指示通过计量器26的燃料的流速或流量的信号。随着对燃料的分配,燃料通过喷嘴36被分发到软管34且到消费者的车辆中。在空闲时,喷嘴36保持在适当的支架38中。燃料分配器10还包括用户接口 40来允许用户/消费者交互和参与燃料分配器处的分配器交易。用户接口 40可以包括各种输入和输出设备。例如,用户接口 40可以包括交易总价显示器42,来向消费者呈现消费者要为所接收的燃料付的总价。用户接口 40还可以包括交易总量显示器44,来向消费者呈现以加仑或公升为单位的从燃料分配器10分配的燃料的测量量。在图I所示的实施例中,燃料分配器10是多产品分配器,其能够分配不同等级的燃料。在显示器46上呈现每种等级的燃料的每单元价格。提供辛烷(Octane)选择按钮48来允许消费者在开始分配之前选择要分配的那种等级的燃料。用户接口 40包括显示器50和键盘接口 54。显示器50被配置以向消费者提供指令、提示、广告和/或其他信息。消费者使用键盘接口 54提供对指令或提示的响应或选择。例如,显示器50可以指示消费者输入PIN,这通过消费者按压键盘接口 54的适当键来实现。燃料分配器10还可以包括读卡器56,其适用于接收磁条卡,诸如信用卡或借记卡,来支付所分配的任何燃料。燃料分配器10可以另外包括其他支付或交易类型设备,来接收与诸如预付费分配器交易的交易相关的交易处理的支付信息。这种设备的例子包括账单接受器58、光读取器60、智能读卡器62和生物读取器64。燃料分配器10优选地包括收条打印机66,被配置以打印证明在燃料分配器10处进行的交易的信息。本领域技术人员将理解,上述组件可以按各种配置来安排,而不脱离本发明的范围。图2和3是根据本发明的一个方面的用户接口 40的示意图。用户接口 40包括显
示器50、键盘接口 54、显示器控制器200、框202、和控制器印刷电路板("PCB" )204。(在图3中,以虚线示出显示器控制器200以便允许检查用户接口 40的其他组件。)应该理解,显示器控制器200可以是任何适当的显示器控制器或被配置以控制、通信或另外向显示器50提供表示要由显示器成像的物质的数据的适当的显示板,并且可以提供连接以便与外部源通信。键盘接口 54包括键盘PCB 206和连接到键盘PCB的多个单独的键(在208处示出)。键盘接口 54 (且具体地键盘PCB 206)和控制器PCB 204可操作地彼此连接,且被安装到框202。显示器50还可以被安装到框202的上表面212。如图3所示,控制器PCB 204还可以包括类似的连接,诸如客户端连接304、显示板连接306和读卡器模块连接308。控制器PCB 204包括处理设备210、存储器300和图形控制器302。处理设备210可以是处理器、微处理器、控制器、微控制器或其他电路。在示例的实施例中,处理设备210是安全32位微控制器,诸如由Austin,Texas的MAXM INTEGRATED PRODUCTS提供的USIP芯片。存储器300可以是任何存储器或计算机可读介质,只要其能够被处理设备210访问,包括随机存取存储器("RAM")、只读存储器("ROM")、可擦除可编程R0M(" EPROM")或电EPR0M(" EEPROM" )、CD-ROM、DVD、或其他光盘存储器、固态盘("SSD")、磁盘存储器、包括软盘或硬盘、任何类型的非易失性存储器、诸如安全数字("SD")、闪存、存储棒、或可以用于以计算机可执行程序、指令或数据形式承载或存储计算机程序代码的任何其他介质。另外,当在诸如连接304,306,和308的连接上传输或提供信息时,处理设备210识别该连接为计算机可读介质。因此,这种连接应该被包括在"存储器"的定义中。优选地,存储器300是加密的RAM。处理设备210还可以包括仅对处理设备可访问的存储器的一部分。存储器300包括计算机可执行程序代码或指令,其当由处理设备210执行时进行以下详细描述的处理的一个或多个步骤。存储器300还可以包括用于存储信息的数据和一个或多个数据结构或数据库。在这种情况下,本领域技术人员应该知道,计算机可执行程序代码或指令通常包括一个或多个应用程序、其他程序模块和程序数据。还可以在处理设备210的存储器上存储计算机可执行程序代码或指令。在示例实施例中,存储器300存储用于加密保密信息的一个或多个加密算法、密钥和/或代码,以下更详细描述的。
处理设备210包括连接处理设备到显示器控制器200的第一微型开关(由箭头214所示)和连接处理设备到框202或到燃料分配器10本身的第二微型开关(由箭头216所示)。应该理解,这些微型开关可以被并入到控制器PCB204中,而不是处理设备210中。类似地,控制器PCB 204包括连接控制器PCB到键盘PCB 206、键盘接口 54的另一部分、框202、和/或燃料分配器10本身的一个或多个微型开关(由箭头218所示)。本领域技术人员应该理解,由微型开关214、216和218提供的连接可以是电的或物理的连接,且因此可以由其他适当的工具、诸如接触螺钉来实现。客户端连接304可操作地连接控制器PCB 204到位于零售燃料环境内的POS设备(由箭头220所示)以便向和从POS设备传输和接收数据。显示板连接306连接PCB 204到显示器控制器200 (如由箭头222所示)以便传输表示要由显示器50呈现的物质的数据。图形控制器302管理要传输到显示器控制器200的该信息和数据,如本领域技术人员应该理解的。读卡器模块连接308可操作地连接PCB 204到被 配置以从消费者提供的支付工具接收信息的读卡器(由箭头224所示)。本领域技术人员应该理解,"读卡器"通常包括能够诸如通过"读取"磁条卡(诸如借记卡和信用卡)、包括芯片(诸如智能卡)的设备、或非接触卡(诸如那些并入的无线电频率标识("RFID")标签)从消费者接收金融信息的任何设备。在当前描述的实施例中,读卡器与用户接口 40分离。在另一实施例中,读卡器是用户接口 40的组件,且被安装到和/或在框202内安装到PCB,类似于键盘PCB 206。在这种实施例中,读卡器PCB以与键盘PCB 206相同的方式可操作地连接到控制器PCB204,如在此描述的。或者,读卡器可操作地连接到键盘PCB 206,类似于键208可操作地连接到键盘PCB的方式。还应该理解,开关、类似于开关214和216可以被包括以连接控制器PCB204到读卡器或其相关的PCB。以下描述根据本发明的实施例的、参考图1、2、3提供燃料分配器10和其组件的使用和操作的例子。本领域技术人员应该理解,可以改变在以下描述中阐述的方法、方式和序列,而不脱离本发明的范围。例如,以下描述涉及通过使用借记卡的预处理支付交易,但也应该可应用于涉及使用信用卡的后处理支付交易。消费者将车辆停放得靠近燃料分配器10,且接近用户接口 40。显示器50向消费者呈现关于使用借记卡预付费的哪一个选项的支付选项。在该例子中,消费者使用键盘接口 54来选择该选项。消费者跟随显示器50提供的指令来使用读卡器56插入和移除消费者的借记卡。读卡器56向处理设备210传输在借记卡上存储的账户选项,该处理设备210加密并将该选项存储在存储器300中。显示器50提示消费者通过选择键盘接口 54的适当键208来提供PIN。本领域技术人员应该理解,键盘PCB 206向处理设备210发送表示由用户选择的每个键208的数据。处理设备210加密从键盘PCB 206接收的表示消费者的PIN的数据,并将该数据存储在存储器300中。处理设备210然后向金融机构的主机处理系统发送消费者的账户选项和表示消费者的PIN的数据,该金融机构响应于消费者的账户以便验证支付信息。或者,处理设备210向零售燃料环境内的POS设备传输该信息和数据来进行支付信息的处理。在另一实施例中,读卡器56直接向POS设备发送账户信息,而处理设备210直接向POS设备发送PIN数据,该POS设备然后进行交易处理。
本领域技术人员将理解,通常通过使用加密算法和密钥加密要传输的数据来实现这种信息和数据的接收和发送,然后由接收设备使用相同的加密算法和密钥来解密。还应该理解,可以使用本领域技术人员公知的任何多个加密技术。本领域技术人员应该理解支付交易处理,且因此在此不详细讨论。具体参考图2和3,涉及用户接口 40来防止篡改或获取对诸如账户信息或PIN的保密消费者信息的访问。显示器控制器200与控制器PCB 204的分离,或反之的分离触发微型开关214。另外,控制器PCB 204与框202或与燃料分配器10的移除触发微型开关216。类似地,PCB 204与键盘PCB 206的移除或反之的移除触发一个或多个微型开关218。在微型开关214、216或218中的任一被触发的情况下,擦除在存储器300中存储的加密算法和/或密钥。这可以通过由于加密信息的破坏而分派的处理设备210或控制器PCB 204的另一组件来实现。在另一实施例中,触发微型开关214、216、218中的一个或多个导致在存储器300中存储的所有信息的擦除或破坏。因此,通过当接收已经分离或移除了用户接口 40的一个或多个组件的指示时删除信息来防止对敏感性消费者信息的访问。在一个实施例中,即使当已经经由在PCB中包括且可操作地连接到处理设备210和/或存储器300的电池来
将控制器PCB 204断电时这也可以实现。应该理解,对电池的访问需要PCB与显示器控制器200分离,由此导致激活开关中的一个或多个。例如,处理设备210、诸如上述USIP芯片,包括电池供电密钥区域,其在篡改时擦除敏感性数据或加密信息。也就是说,处理设备210和/或存储器300可以被配置以即使当控制器PCB 204断电时、当激活微型开关之一时也擦除任何敏感性信息。在另一实施例中,处理设备210和/或存储器300被配置以在控制器PCB 204断电的情况下擦除在其中存储的任何敏感性信息。在另一实施例中,用户接口 40另外包括包裹彼此面对的PCB 204和206的表面的网状物226的内部层。网状物226以允许控制器PCB识别已经破坏了网状物226的整体性的方式被连接到控制器PCB 204。如果这发生了,则擦除在存储器300或处理设备210的存储器中存储的任何敏感性信息。在另一实施例中,外盖226仅包裹控制器PCB 204面向键盘接口 54的表面,但另外以类似于上述的方式运作。在另一实施例中,其中读卡器如上述是用户接口 40的一部分,则移除读卡器或其相关的PCB触发可操作地连接控制器PCB 204到读卡器或其相关的PCB的开关。在以类似于上述方式而激活该开关时,可以擦除在存储器300中存储的加密算法和/或密钥。另外,还可以以类似于针对网状物226和PCB204和206上述的方式,使用网状物来包裹读卡器的相关PCB的整体或仅表面。破坏或损坏连接到读卡器的PCB的网状物的整体性也可以导致删除在存储器300中存储的任何敏感性信息或数据。在另一实施例中,显示器50是触摸屏。在该实施例中,触摸屏可以被配置以提供由在上述实施例中的键盘接口 54提供的功能。因此,在这种实施例中,键盘接口 54 (包括键盘PCB 206)可以从用户接口 40中省略。控制器PCB 204与显示器控制器200的分离激活微型开关214,由此以类似于上述的方式使得由处理设备210和/或存储器300存储的任何敏感性数据被擦除和/或损毁。应该理解,在该情况下,显示器50、控制器PCB 204和显示器控制器200可以被重新布置,而不脱离本发明的范围,以便补偿键盘接口 54的省略和/或显示器50尺寸的增加。例如,控制器PCB 204可以位于显示器50和显示器控制器200之间。在这种实施例中,微型开关216或218可以可操作地理解控制器PCB 204到显示器50。微型开关之一的激活将具有类似于上述的效果。也就是说,微型开关216或216由于控制器PCB 204与显示器50的分离而导致的激活将使得擦除在存储器300中存储的任何敏感性信息。应该理解,上述描述提供了被配置以向用户呈现指令并接收响应的保密信息的用户接口。该用户接口以安全方式接收并保持信息,且包括适用于指示用户接口的组件中的至少一个何时被移除或篡改的一个或多个设备。在这种指示下,用户的保密性信息被擦除,或解密该保密性信息所需的加密算法和/或密钥被擦除。或者,擦除由用户接口存储的所有信息。因此,提供被配置以保护每个用户的保密性信息的用户接口。也就是说,该用户接口移除或损毁在其中存储的所有数据或足够防止任何敏感性信息的不适当使用的数据量。还应该理解,上述的用户接口 40的配置提供制造、选择和布置接口的组件的灵活性。例如,显示器50的类型、尺寸和放置可以取决 于接口或分配器的需求而变化,只要对应的显示器控制器能够覆盖或连接到位于处理设备210上或控制器PCB 204上的微型开关。因此,可以使用更大的显示器,而不必须修改用户接口 40的其他组件的配置。另外,可以取决于燃料分配器10的配置来调整或倾斜显示器50来获得消费者的更好视觉,只要在显示器控制器200和处理设备210或控制器PCB 204之间的连接保持安全。其他安全措施可以并入本发明以便更加安全。例如,本发明可以包括在美国公开专利申请号No. 11/562,150中公开的远程显示器安全措施,其通过引用并于此,而不阻碍上述安全措施。在并入了申请no. 11/562,150中公开的远程显示器安全措施的本发明的实施例中,显示器50可以位于远离显示器控制器200,而最小化用户接口 40对另外的篡改或安全风险的暴露。或者,显示器50和显示器控制器200可以位于远离控制器PCB 204。通过另一例子,本发明还可以包括在2003年10月9日公开的欧洲专利申请序列号No. 1408459Al中公开的安全措施,其全部公开被引用附于此。虽然已经描述了本发明的一个或多个优选实施例,但是应该理解本发明的任何和所有等同实现都被包括在其范围和精神内。通过仅例子表示上述实施例,且不意图限制本发明。但是,本领域技术人员应该理解本发明不限于这些实施例,因为可以进行修改。因此,构想,任何和所有这种实施例都被包括在本发明中,且可以落入其范围和精神内。
权利要求
1.一种用户接口,用于适用于处理敏感性信息的燃料分配器,所述用户接口包括 显示板; 显示器,可操作地连接到所述显示板;以及 控制电路,包括处理器、存储器和第一触发器,其中,所述显示板和控制电路处于通常彼此平行的各个平面中,且显示板的部分物理地重叠控制电路的部分,以便第一触发器连接到显示板部分。
2.根据权利要求I的用户接口,其中,所述第一触发器的激活使得擦除在存储器中存储的敏感性信息。
3.根据权利要求I的用户接口,还包括框,其中,所述显示器和控制电路被安装到该框。
4.根据权利要求I的用户接口,其中,所述显示板的部分物理地重叠处理设备的至少一部分。
5.根据权利要求4的用户接口,其中,所述第一触发器物理地连接到控制电路和显示板。
6.根据权利要求5的用户接口,其中,所述第一触发器物理地连接处理器到显示板。
7.根据权利要求6的用户接口,其中,所述处理器包括第一触发器。
8.根据权利要求5的用户接口,其中,所述第一触发器是微型开关。
9.根据权利要求I的用户接口,还包括可操作地连接到控制电路的读卡器模块。
10.根据权利要求9的用户接口,其中,所述读卡器模块从借记卡或信用卡接收敏感性信息的至少一部分。
11.根据权利要求I的用户接口,其中,所述第一触发器是从由机械触发器、物理触发器、电子触发器、软件使能的触发器和信号组成的组选择的触发器。
12.根据权利要求I的用户接口,其中,所述显示器是触摸屏。
13.根据权利要求6的用户接口,其中,所述第一触发器是微型开关。
14.根据权利要求9的用户接口,其中,所述第二触发器可操作地连接控制电路到读卡器模块,且第二触发器的激活使得擦除在存储器中存储的敏感性信息。
15.根据权利要求9的用户接口,其中,所述读卡器模块是磁条读卡器。
16.根据权利要求9的用户接口,其中,所述读卡器模块是无线电频率标识读卡器。
17.根据权利要求3的用户接口,其中,所述第二触发器可操作地连接控制电路到所述框,且第二触发器的激活使得擦除在存储器中存储的敏感性信息。
18.根据权利要求I的用户接口,还包括 键盘接口,可操作地连接到所述处理器;以及 所述第二触发器连接到控制电路和键盘接口,其中第二触发器的激活使得擦除在存储器中存储的敏感性信息。
19.根据权利要求18的用户接口,其中,所述第二触发器物理地连接到键盘接口和控制电路。
20.根据权利要求I的用户接口,其中,所述控制电路位于显示器和显示板之间,所述控制电路的第二触发器连接到显示器,控制电路与显示板的分离激活了第一触发器,控制电路与显示器的分离激活了第二触发器,且任一触发器的激活使得擦除在存储器中存储的任何敏感性信息。
21.一种燃料分配器,包括 控制电路,包括处理器、存储器和触发器, 显示器,可操作地连接到所述处理器;以及 框,被配置以支持控制电路和显示器,其中触发器的激活由于篡改而使得擦除在存储器中存储的敏感性信息。
22.根据权利要求21的燃料分配器,其中,所述触发器连接到该框,以便控制电路与该框的分离使得触发器激活。
23.根据权利要求21的燃料分配器,还包括可操作地连接到处理器和显示器的显示控制器,其中,所述触发器连接到显示控制器,以便控制电路与该显示控制器的分离使得触发器激活。
全文摘要
一种用于燃料分配器的用户界面,包括显示器、显示器控制器和控制电路。控制电路包括处理设备、存储器和至少一个微型开关。显示器控制器和控制电路被定位以便微型开关连接控制电路到显示器控制器。如果控制电路与显示器控制器分离,则激活微型开关。该微型开关的激活使得擦除由控制电路存储的任何敏感性信息。在一个方面,显示器控制器与控制电路的分离仅是处理设备和/或存储器可以被访问的方式。
文档编号G07F19/00GK102804234SQ201080025708
公开日2012年11月28日 申请日期2010年6月9日 优先权日2009年6月9日
发明者G.卡拉佩里 申请人:吉尔巴科公司