[发明专利]在可信设备上进行终端用户认证的方法

说明书

一种用于在可信设备上进行终端用户认证的方法，所述方法使得终端用户能够借助与终端用户相关联的个性化安全指示器(例如文本字符串、图片或其他视觉上可呈现的信息)可靠地识别在未知设备(例如第三方的移动POS终端)上显示的可信用户界面。

技术领域

本发明涉及数据安全领域，更具体地，涉及用于在可信设备(尤其是移动POS终端)上进行终端用户认证的方法和系统。

背景技术

销售点(Point of Sale，简称POS)终端会经过标准化、测试和评估，然后才可以投入商用。POS终端通常是一个独立的产品，配备有读卡器(接触式和非接触式)、用户界面(显示屏和小键盘)以及与支付终端(如收银机)的通信接口。在注册到支付基础设施期间，每个POS终端都配备有终端专有的密钥和证书。因此，支付基础设施能够唯一地识别和认证每个POS终端，并确保它是经批准的设备。终端用户习惯于使用这些POS终端，他们觉得将自己的卡的PIN输入设备是安全的。

在移动POS终端的情况下，现有设备(如手机或平板电脑)充当POS终端，其中通过安装使用可信执行环境(Trusted Execution Environment，简称TEE)来满足所需安全标准的应用来将POS功能添加到设备中。对这种移动POS终端技术的需求越来越大，因为独立的POS终端会产生大量的支出，尤其是对于规模较小的企业。然而，如果能够获得使用用于此用途的移动设备所需的技术，则这些商家可能拥有可以使用的移动设备。

当前的移动POS方案使用单独的通过USB线或其他方式连接到移动设备的读卡器(接触式读卡器和非接触式读卡器)。支付卡由读卡器读取，读卡器本身负责与卡的通信。移动设备仅仅通过从卡上发送要收费的金额来触发读卡器。读卡器可以包含用户界面(显示屏和小键盘)，在这种情况下，在读卡器中输入PIN。如果读卡器不包含用户界面，则移动设备需要为支付卡所有者提供用于输入PIN的用户界面。在这种情况下，支付卡所有者不得不盲目地信任移动设备的用户界面。

然而，问题在于，试图进行支付的终端用户并不熟悉这些移动POS终端。特别是，当终端用户被要求在第三方的移动设备(例如手机或平板电脑)中输入其PIN时，有些终端用户可能会感到不自在和不安全，因为他们无法确定移动设备上显示的PIN输入UI是否可信。换句话说，终端用户无法确定是否正在使用可信用户界面，因为他们不知道TUI和普通UI之间的区别。

因此，希望提供一个直观的方式，让持卡人安全地使用他们的卡。换句话说，持卡人应该有区分合法移动POS终端和欺诈终端的机制。

即使流氓POS终端无法直接允许攻击者使用支付基础设施清算某笔支付，但流氓POS终端能够窃取终端用户的PIN并将其转发给攻击者。一旦攻击者也获得了实体支付卡的访问权，他就可以使用有效的POS终端进行支付，因为他已经知道终端用户的PIN。在基于磁条的支付卡仍然被广泛使用的某些国家，窃取PIN尤其是个问题，因为这些磁条上的信息相对容易复制。因此，欺诈商户可能窃取PIN并制作磁条卡。

一个现有的方案是使用可信用户界面(Trusted User Interface，简称TUI)来向设备所有者保证UI是可信的。TUI是在设备针对所有者进行个性化设置时使用——这通常发生在设备的第一次启动时。通过指示器来保证TUI正在被使用的事实。该指示器可以是正在显示的某个背景图像，或正在点亮的专用LED，其让设备所有者知道设备中当前正在显示的UI确实是可信用户界面。然而，该方案不适用于终端用户不是设备所有者的情况，因为设备所有者设置的指示器与另一个终端用户没有任何意义或关联。

另一个类似的方案存在于网络浏览器中，其中登录屏幕将向终端用户显示指示器图像。该指示器通常在终端用户登录到浏览器并希望获得登录屏幕确实有效的额外保证时设置。然而，该方案具有以下缺点：浏览器需要被信任(例如在TEE中运行)，但通常情况并非如此，同时需要安装额外的硬件或软件；设计的用户界面不意味着是可信用户界面。如果终端用户正在使用的是流氓浏览器，或者设备中有恶意软件，那么安全指示器可能容易被窃取并在后续被滥用。

发明内容