一種用于在可信設備上進行終端用戶認證的方法，所述方法使得終端用戶能夠借助與終端用戶相關聯的個性化安全指示器(例如文本字符串、圖片或其他視覺上可呈現的信息)可靠地識別在未知設備(例如第三方的移動POS終端)上顯示的可信用戶界面。

技術領域

本發明涉及數據安全領域，更具體地，涉及用于在可信設備(尤其是移動POS終端)上進行終端用戶認證的方法和系統。

背景技術

銷售點(Point?of?Sale，簡稱POS)終端會經過標準化、測試和評估，然后才可以投入商用。POS終端通常是一個獨立的產品，配備有讀卡器(接觸式和非接觸式)、用戶界面(顯示屏和小鍵盤)以及與支付終端(如收銀機)的通信接口。在注冊到支付基礎設施期間，每個POS終端都配備有終端專有的密鑰和證書。因此，支付基礎設施能夠唯一地識別和認證每個POS終端，并確保它是經批準的設備。終端用戶習慣于使用這些POS終端，他們覺得將自己的卡的PIN輸入設備是安全的。

在移動POS終端的情況下，現有設備(如手機或平板電腦)充當POS終端，其中通過安裝使用可信執行環境(Trusted?Execution?Environment，簡稱TEE)來滿足所需安全標準的應用來將POS功能添加到設備中。對這種移動POS終端技術的需求越來越大，因為獨立的POS終端會產生大量的支出，尤其是對于規模較小的企業。然而，如果能夠獲得使用用于此用途的移動設備所需的技術，則這些商家可能擁有可以使用的移動設備。

當前的移動POS方案使用單獨的通過USB線或其他方式連接到移動設備的讀卡器(接觸式讀卡器和非接觸式讀卡器)。支付卡由讀卡器讀取，讀卡器本身負責與卡的通信。移動設備僅僅通過從卡上發送要收費的金額來觸發讀卡器。讀卡器可以包含用戶界面(顯示屏和小鍵盤)，在這種情況下，在讀卡器中輸入PIN。如果讀卡器不包含用戶界面，則移動設備需要為支付卡所有者提供用于輸入PIN的用戶界面。在這種情況下，支付卡所有者不得不盲目地信任移動設備的用戶界面。

然而，問題在于，試圖進行支付的終端用戶并不熟悉這些移動POS終端。特別是，當終端用戶被要求在第三方的移動設備(例如手機或平板電腦)中輸入其PIN時，有些終端用戶可能會感到不自在和不安全，因為他們無法確定移動設備上顯示的PIN輸入UI是否可信。換句話說，終端用戶無法確定是否正在使用可信用戶界面，因為他們不知道TUI和普通UI之間的區別。

因此，希望提供一個直觀的方式，讓持卡人安全地使用他們的卡。換句話說，持卡人應該有區分合法移動POS終端和欺詐終端的機制。

即使流氓POS終端無法直接允許攻擊者使用支付基礎設施清算某筆支付，但流氓POS終端能夠竊取終端用戶的PIN并將其轉發給攻擊者。一旦攻擊者也獲得了實體支付卡的訪問權，他就可以使用有效的POS終端進行支付，因為他已經知道終端用戶的PIN。在基于磁條的支付卡仍然被廣泛使用的某些國家，竊取PIN尤其是個問題，因為這些磁條上的信息相對容易復制。因此，欺詐商戶可能竊取PIN并制作磁條卡。

一個現有的方案是使用可信用戶界面(Trusted?User?Interface，簡稱TUI)來向設備所有者保證UI是可信的。TUI是在設備針對所有者進行個性化設置時使用——這通常發生在設備的第一次啟動時。通過指示器來保證TUI正在被使用的事實。該指示器可以是正在顯示的某個背景圖像，或正在點亮的專用LED，其讓設備所有者知道設備中當前正在顯示的UI確實是可信用戶界面。然而，該方案不適用于終端用戶不是設備所有者的情況，因為設備所有者設置的指示器與另一個終端用戶沒有任何意義或關聯。

另一個類似的方案存在于網絡瀏覽器中，其中登錄屏幕將向終端用戶顯示指示器圖像。該指示器通常在終端用戶登錄到瀏覽器并希望獲得登錄屏幕確實有效的額外保證時設置。然而，該方案具有以下缺點：瀏覽器需要被信任(例如在TEE中運行)，但通常情況并非如此，同時需要安裝額外的硬件或軟件；設計的用戶界面不意味著是可信用戶界面。如果終端用戶正在使用的是流氓瀏覽器，或者設備中有惡意軟件，那么安全指示器可能容易被竊取并在后續被濫用。

發明內容