相關(guān)申請(qǐng)

本申請(qǐng)要求于2015年3月25日提交的題為“securetransactionswithconnectedperipherals(與所連接的外圍設(shè)備的安全交易)”的美國(guó)專(zhuān)利申請(qǐng)14/668,715的優(yōu)先權(quán)。

本公開(kāi)涉及數(shù)據(jù)處理領(lǐng)域，具體地涉及與促進(jìn)與所連接的外圍設(shè)備的安全交易相關(guān)聯(lián)的設(shè)備、方法和存儲(chǔ)介質(zhì)。

背景技術(shù)：

本文中所提供的背景描述是出于一般地呈現(xiàn)本公開(kāi)的上下文的目的。除非本文中另外指出，否則本節(jié)中所描述的材料對(duì)于本申請(qǐng)的權(quán)利要求書(shū)而言并非現(xiàn)有技術(shù)并且不通過(guò)包括在本節(jié)中而被承認(rèn)是現(xiàn)有技術(shù)。

由于電子商務(wù)在人們的生活中變得越來(lái)越流行，因此越來(lái)越有必要保護(hù)交易過(guò)程以防止敏感信息(比如信用卡卡號(hào)或身份信息)落入壞人之手。然而，許多金融交易系統(tǒng)遭受漏洞，所述漏洞使這種保護(hù)變得困難。

一個(gè)這樣的漏洞為銷(xiāo)售點(diǎn)計(jì)算裝置(“pos”)與外圍設(shè)備一起使用以用于獲取金融信息。例如，許多零售環(huán)境利用作為外圍設(shè)備(通過(guò)有線(xiàn)或無(wú)線(xiàn)連接)附接至pos(比如計(jì)算機(jī)化的收銀機(jī))的信用卡讀取器。為了進(jìn)行零售交易，顧客或工作人員可以利用信用卡讀取器掃描顧客的信用卡，所述信用卡讀取器可以將信用卡信息發(fā)送到pos。所述pos進(jìn)而可以與顧客的金融機(jī)構(gòu)通信以便進(jìn)行支付。

不幸的是，諸如這些的系統(tǒng)易受來(lái)自pos內(nèi)部的攻擊。許多這種pos將信用卡信息或其他標(biāo)識(shí)信息以未加密的形式存儲(chǔ)在內(nèi)部存儲(chǔ)裝置或存儲(chǔ)器中，或者以便進(jìn)行鍵盤(pán)記錄從而獲取信息。如果pos感染了惡意軟件，則惡意軟件可能能夠讀取敏感的信用卡信息并將其傳輸?shù)綈阂獾谌?。這種攻擊不僅有可能，而且在現(xiàn)實(shí)世界中實(shí)際記錄在案，在過(guò)去的幾年中有數(shù)百萬(wàn)美元被盜?，F(xiàn)有系統(tǒng)已嘗試著解決這個(gè)漏洞(諸如通過(guò)要求在外圍設(shè)備與金融機(jī)構(gòu)之間進(jìn)行端對(duì)端加密)，但是這樣的系統(tǒng)可能要求對(duì)外圍硬件進(jìn)行更新，這對(duì)具有多個(gè)零售商店的公司來(lái)說(shuō)貴得不切實(shí)際。其他系統(tǒng)用強(qiáng)化軟件狗來(lái)提供安全而不需要對(duì)外圍設(shè)備進(jìn)行更新，但是甚至這些系統(tǒng)也可能太昂貴而不能大規(guī)模地實(shí)施。

附圖說(shuō)明

結(jié)合附圖通過(guò)以下詳細(xì)描述將很容易理解實(shí)施例。為了方便本描述，相同的參考標(biāo)號(hào)指代相同的結(jié)構(gòu)元素。在附圖的各圖中通過(guò)示例的方式而非限制的方式展示了實(shí)施例。

圖1展示了根據(jù)各實(shí)施例的對(duì)包括本公開(kāi)的安全交易隧道生成器的銷(xiāo)售點(diǎn)計(jì)算裝置的示例安排。

圖2展示了根據(jù)各實(shí)施例的用于用生成的安全交易隧道進(jìn)行交易的示例過(guò)程。

圖3展示了根據(jù)各實(shí)施例的用于設(shè)置銷(xiāo)售點(diǎn)裝置以進(jìn)行安全交易隧道生成的示例過(guò)程。

圖4展示了根據(jù)各實(shí)施例的用于在外圍設(shè)備與銷(xiāo)售點(diǎn)裝置之間生成安全連接的示例過(guò)程。

圖5展示了根據(jù)各實(shí)施例的用于在銷(xiāo)售點(diǎn)裝置與網(wǎng)絡(luò)資源之間生成安全連接的示例過(guò)程。

圖6展示了根據(jù)各實(shí)施例的適用于實(shí)踐本公開(kāi)的各個(gè)方面的示例計(jì)算環(huán)境。

圖7展示了根據(jù)各實(shí)施例的具有被配置用于使得設(shè)備能夠?qū)嵺`本公開(kāi)的各個(gè)方面的指令的示例存儲(chǔ)介質(zhì)。

具體實(shí)施方式

在以下詳細(xì)描述中，參照形成其一部分的附圖，其中相同的標(biāo)號(hào)自始至終指代相同的部件，并且其中通過(guò)說(shuō)明的方式示出了可實(shí)踐的實(shí)施例。應(yīng)當(dāng)理解，在不脫離本公開(kāi)的范圍的情況下，可以利用其他實(shí)施例并且可以做出結(jié)構(gòu)改變或邏輯改變。因此，以下詳細(xì)描述不應(yīng)被認(rèn)為具有限制意義，并且實(shí)施例的范圍由所附權(quán)利要求書(shū)及其等效物來(lái)限定。

可以采用對(duì)理解所要求保護(hù)的主題最有幫助的方式將各個(gè)操作依次描述為多個(gè)分立的動(dòng)作或操作。然而，描述的順序不應(yīng)被解釋為暗示這些操作一定是順序相關(guān)的。具體地，可以不按照所呈現(xiàn)的順序來(lái)執(zhí)行這些操作。可以按照與所描述的實(shí)施例不同的順序來(lái)執(zhí)行所描述的操作。在附加實(shí)施例中，可以執(zhí)行各個(gè)附加操作和/或可以省略所描述的操作。

出于本公開(kāi)的目的，短語(yǔ)“a和/或b”意指(a)、(b)、或者(a和b)。出于本公開(kāi)的目的，短語(yǔ)“a、b和/或c”意指(a)、(b)、(c)、(a和b)、(a和c)、(b和c)、或者(a、b和c)。

本說(shuō)明可以使用短語(yǔ)“在一個(gè)實(shí)施例中(inanembodiment)”或“在實(shí)施例中(inembodiments)”，所述短語(yǔ)可以各自指代相同或不同的實(shí)施例中的一個(gè)或多個(gè)實(shí)施例。此外，如關(guān)于本公開(kāi)的實(shí)施例使用的術(shù)語(yǔ)“包括(comprising)”、“包括(including)”、“具有(having)”等是同義的。

如在本文中所使用的，術(shù)語(yǔ)“邏輯”和“模塊”可以指代以下各項(xiàng)、是以下各項(xiàng)的一部分或者包括以下各項(xiàng)：執(zhí)行一個(gè)或多個(gè)軟件或固件程序的應(yīng)用專(zhuān)用集成電路(asic)、電子電路、處理器(共享處理器、專(zhuān)用處理器或組處理器)和/或存儲(chǔ)器(共享存儲(chǔ)器、專(zhuān)用存儲(chǔ)器或組存儲(chǔ)器)、組合邏輯電路、和/或提供所描述的功能的其他合適部件。如在本文中所使用的，術(shù)語(yǔ)“邏輯”和“模塊”可以指代片上系統(tǒng)、是所述片上系統(tǒng)的一部分或者包括所述片上系統(tǒng)，如下所述。

在各實(shí)施例中，pos可以被配置包括安全交易隧道生成器(“stg”)。stg可以被配置用于促進(jìn)在附接至pos的外圍設(shè)備與遠(yuǎn)程網(wǎng)絡(luò)資源之間生成安全隧道。例如，stg可以被配置用于在附接至pos的信用卡讀取器與銀行或其他金融機(jī)構(gòu)的服務(wù)器之間生成安全隧道。安全隧道可以使用pos的可信執(zhí)行環(huán)境(“tee”)來(lái)生成。在各實(shí)施例中，stg可以被配置用于被警告需要基于來(lái)自外圍設(shè)備或pos自身的警告而生成安全隧道。然后，stg可以在受保護(hù)的環(huán)境(比如系統(tǒng)管理模式(“smm”)環(huán)境)下執(zhí)行。此后，stg可以使用tee來(lái)生成安全交易隧道的兩端。stg還可以針對(duì)白名單和/或黑名單檢驗(yàn)外圍設(shè)備以判定外圍設(shè)備被允許還是并非不被允許參與安全交易。在各實(shí)施例中，通過(guò)使用tee生成安全隧道，stg可以促進(jìn)在外圍設(shè)備與網(wǎng)絡(luò)資源之間進(jìn)行交易，其方式為使得敏感信息(比如金融信息或身份信息)不可用于pos中的不安全進(jìn)程。這可以更好地防止惡意訪(fǎng)問(wèn)此敏感信息，并且因此可以減少顧客信息的安全漏洞的數(shù)量。

現(xiàn)在參照?qǐng)D1，根據(jù)各實(shí)施例展示了包括安全交易隧道生成器150(“stg150”)的銷(xiāo)售點(diǎn)計(jì)算裝置100(“pos”100)的示例安排。在各實(shí)施例中，pos100可以連接至外圍設(shè)備105。在所展示的實(shí)施例中，外圍設(shè)備105可以是信用卡讀取器，但是在各實(shí)施例中，外圍設(shè)備105可以包括其他裝置、計(jì)算機(jī)或用于進(jìn)行交易的機(jī)器(諸如條形碼讀取器、相機(jī)、指紋讀取器、檢驗(yàn)讀取器等)。pos100可以通過(guò)各種通信方法(諸如但不限于通用串行總線(xiàn)(usb)連接、以太網(wǎng)連接、wifi等)連接至外圍設(shè)備105。

在各實(shí)施例中，pos100還可以被配置用于連接至遠(yuǎn)程網(wǎng)絡(luò)資源110(諸如通過(guò)有線(xiàn)或無(wú)線(xiàn)網(wǎng)絡(luò)連接)。在各實(shí)施例中，網(wǎng)絡(luò)資源110可以包括用于進(jìn)行聯(lián)網(wǎng)交易的各種服務(wù)器或服務(wù)(諸如例如信用卡處理服務(wù)器、銀行服務(wù)器、身份識(shí)別服務(wù)器等)。因此，在各實(shí)施例中，盡管在本文中參照金融交易并且具體地參照進(jìn)行信用卡支付對(duì)技術(shù)進(jìn)行了描述，但是可以認(rèn)識(shí)到，可以執(zhí)行本文中所描述的技術(shù)以促進(jìn)其他交易(諸如標(biāo)識(shí)或識(shí)別交易、基于照片的交易等)。

在各實(shí)施例中，pos100可以包括stg150，所述stg可以被配置用于在外圍設(shè)備105與網(wǎng)絡(luò)資源110之間生成安全交易隧道。在各實(shí)施例中，stg150可以被配置用于通過(guò)可信執(zhí)行環(huán)境190(“tee”190)來(lái)生成安全交易隧道。在各實(shí)施例中，tee190可以包括保護(hù)進(jìn)程和/或數(shù)據(jù)不被tee190外面的進(jìn)程訪(fǎng)問(wèn)的執(zhí)行環(huán)境。在各實(shí)施例中，tee190可以包括安全協(xié)處理器195，所述安全協(xié)處理器可以被配置用于在tee190中進(jìn)行進(jìn)程的執(zhí)行，使得進(jìn)程受到保護(hù)。tee190的具體實(shí)施方式可以被普通技術(shù)人員理解。

在各實(shí)施例中，stg150可以被配置用于通過(guò)在tee190與外圍設(shè)備105之間生成安全連接以及在tee190與網(wǎng)絡(luò)資源110之間生成安全連接來(lái)生成安全交易隧道。因此，通過(guò)經(jīng)由兩個(gè)安全連接來(lái)傳輸敏感數(shù)據(jù)，stg150可以通過(guò)tee190生成從外圍設(shè)備105到網(wǎng)絡(luò)資源110的安全隧道。在各實(shí)施例中，stg150可以包括用于生成安全連接的一個(gè)或多個(gè)模塊。因此，stg150可以包括安全外圍設(shè)備通信模塊160(“spc160”)。spc160可以被配置用于在tee190與外圍設(shè)備105之間建立安全連接。在各實(shí)施例中，spc160可以被配置用于通過(guò)充當(dāng)外圍設(shè)備105與tee190之間的中間媒介來(lái)促進(jìn)這些通信。在各實(shí)施例中，spc160可以對(duì)外圍設(shè)備105與tee190之間的通信進(jìn)行加密，和/或可以從外圍設(shè)備105接收未加密的通信并且可以在這些通信被發(fā)送到tee190和/或網(wǎng)絡(luò)資源110之前對(duì)其進(jìn)行加密。在其他實(shí)施例中，外圍設(shè)備105與tee190之間的通信可以不由spc160來(lái)促進(jìn)。反而，在各實(shí)施例中，tee190的安全協(xié)處理器195可以執(zhí)行外圍設(shè)備通信進(jìn)程，通過(guò)所述外圍設(shè)備通信進(jìn)程可以在外圍設(shè)備105與tee190之間建立安全連接。

在各實(shí)施例中，stg150可以在安全交易運(yùn)行時(shí)間120(“str120”)執(zhí)行。例如，在各實(shí)施例中，安全交易運(yùn)行時(shí)間可以包括java^tm運(yùn)行時(shí)間并且stg150可以利用java^tm字節(jié)代碼來(lái)實(shí)現(xiàn)，所述java^tm字節(jié)代碼可以被配用于在此java^tm運(yùn)行時(shí)間執(zhí)行。在其它實(shí)施例中，可以利用其它實(shí)施方式。在各實(shí)施例中，str120(并且因此通過(guò)stg150的延伸)可以被配置用于在受保護(hù)的環(huán)境(比如安全管理模式環(huán)境(“smm”，未展示))中執(zhí)行。在各實(shí)施例中，smm可以是可按照高于其他進(jìn)程的特權(quán)級(jí)別且在未被其他進(jìn)程檢查的情況下執(zhí)行進(jìn)程的環(huán)境，如可被理解的那樣。在各實(shí)施例中，smm中的執(zhí)行可以利用被保護(hù)免于環(huán)0操作系統(tǒng)內(nèi)核執(zhí)行的cpu模式。smm可以允許通過(guò)借助于主操作系統(tǒng)進(jìn)行時(shí)間分割執(zhí)行來(lái)利用cpu的性能。代替實(shí)施例(諸如融合式安全管理引擎(“csme”))可以利用單獨(dú)的嵌入式cpu子系統(tǒng)。在其他實(shí)施例中，stg150可以在其他安全環(huán)境下執(zhí)行，如可被理解的那樣。

在各實(shí)施例中，pos100可以被配置用于當(dāng)從外圍設(shè)備105接收到用于進(jìn)行交易的請(qǐng)求時(shí)在smm中繼續(xù)stg150的執(zhí)行。例如，在各實(shí)施例中，pos100可以被配置用于進(jìn)入smm并且在從外圍設(shè)備105接收到中斷(例如，usb中斷)時(shí)在str120中繼續(xù)stg150的執(zhí)行。因此，通過(guò)外圍設(shè)備請(qǐng)求交易的第一指示，stg150可以在受保護(hù)的且享有特權(quán)的環(huán)境中執(zhí)行。在各實(shí)施例中，通過(guò)在smm中在str120執(zhí)行stg150，stg150可以設(shè)置有生成安全交易隧道的能力，其中，可能存在于pos100的其他地方的潛在惡意進(jìn)程的篡改問(wèn)題減少。在其他實(shí)施例中，可以利用用于從外圍設(shè)備105接收請(qǐng)求的其他機(jī)制(諸如csme的大型任務(wù))。在其他實(shí)施例中，請(qǐng)求可以通過(guò)pos100中的嵌入式控制器的動(dòng)作而被接收，所述動(dòng)作可以攔截來(lái)自外圍設(shè)備105的請(qǐng)求并且繼續(xù)進(jìn)行本文中所描述的安全交易隧道生成技術(shù)。

在各實(shí)施例中，stg150還可以包括網(wǎng)絡(luò)資源通信模塊170(“nrc170”)，所述網(wǎng)絡(luò)資源通信模塊可以被配置用于在tee190與網(wǎng)絡(luò)資源110之間進(jìn)行通信。在各實(shí)施例中，nrc170可以被配置用于根據(jù)對(duì)網(wǎng)絡(luò)資源已知的安全通信協(xié)議(諸如，例如，西格瑪(sigma)協(xié)議)進(jìn)行通信。在各實(shí)施例中，nrc170可以通過(guò)被配置用于在str120上執(zhí)行的字節(jié)代碼來(lái)實(shí)施。在各實(shí)施例中，nrc170的字節(jié)代碼可以從網(wǎng)絡(luò)資源通信代碼存儲(chǔ)裝置175(“nrs175”)中獲取。nrs175可以被配置用于維持各網(wǎng)絡(luò)資源110的字節(jié)代碼，使得可以根據(jù)與之通信的具體網(wǎng)絡(luò)資源110來(lái)利用不同的nrc170。在各實(shí)施例中，通過(guò)存儲(chǔ)不同nrc170的代碼，可以在不需要對(duì)stg150進(jìn)行大量重新編碼以包括新的通信代碼的情況下，促進(jìn)stg150與各網(wǎng)絡(luò)資源通信。另外，通過(guò)以可解譯字節(jié)代碼的方式實(shí)施各nrc170，可以在不需要寫(xiě)入pos100的具體硬件資源的代碼的情況下，促進(jìn)pos100從金融機(jī)構(gòu)(或網(wǎng)絡(luò)資源可能相關(guān)聯(lián)的其他機(jī)構(gòu))接收nrc170代碼。

在各實(shí)施例中，stg150可以另外被配置用于判定外圍設(shè)備被允許還是并非不被允許進(jìn)行安全通信。因此，在各實(shí)施例中，stg150可以將外圍設(shè)備105與被批準(zhǔn)的外圍設(shè)備的外圍設(shè)備白名單130和/或未被批準(zhǔn)的外圍設(shè)備的外圍設(shè)備黑名單140進(jìn)行比較以做出這種判定。在各實(shí)施例中，這樣的名單可以由第三方(諸如批準(zhǔn)服務(wù)器和/或金融機(jī)構(gòu))提供。

現(xiàn)在參照?qǐng)D2，根據(jù)各實(shí)施例展示了用于用生成的安全交易隧道進(jìn)行交易的示例過(guò)程200。盡管圖2以特定順序展示了特定操作，但是在各實(shí)施例中，所述操作可以被組合、拆分成多個(gè)部分、和/或被省略。所述過(guò)程可以始于操作210，在操作210中，可以設(shè)置pos100以促進(jìn)安全交易。操作210的過(guò)程的具體實(shí)施例可以參照?qǐng)D3的過(guò)程300在下文中進(jìn)行描述。接下來(lái)，在操作220，可以接收包括外圍設(shè)備105被用戶(hù)(諸如零售工作人員)啟動(dòng)的交易指示。例如，用戶(hù)可以用信用卡讀取器刷信用卡或者可以?huà)呙桀櫩偷拿娌空掌瑥亩鴮?dǎo)致生成通知。在其他實(shí)施例中，代替用外圍設(shè)備來(lái)啟動(dòng)交易，用戶(hù)可以用pos100自身來(lái)啟動(dòng)交易(諸如通過(guò)將價(jià)格輸入到零售軟件或者掃描條形碼)。

接下來(lái)，在操作230，stg150可以在外圍設(shè)備105與tee190之間生成安全連接。操作230的過(guò)程的具體實(shí)施例可以參照?qǐng)D4的過(guò)程400在下文中進(jìn)行描述。接下來(lái)，在操作240，stg150可以在tee190與網(wǎng)絡(luò)資源110之間生成安全連接。操作240的過(guò)程的具體實(shí)施例可以參照?qǐng)D5的過(guò)程500在下文中進(jìn)行描述。當(dāng)在操作230和操作240生成安全連接時(shí)，可以在外圍設(shè)備105與網(wǎng)絡(luò)資源110之間生成安全隧道。因此，在操作250，外圍設(shè)備105和網(wǎng)絡(luò)資源110可以通過(guò)安全交易隧道安全地完成在操作210啟動(dòng)的交易。在操作270，stg150可以記錄已完成的交易。在各實(shí)施例中，可以按順序進(jìn)行交易的記錄，使得如果利用外圍設(shè)備105發(fā)現(xiàn)隨后的安全問(wèn)題，則可以將外圍設(shè)備105添加到外圍設(shè)備黑名單140中。因此，在操作270，stg150還可以將外圍設(shè)備105添加到外圍設(shè)備黑名單140中，諸如如果在進(jìn)行安全交易的過(guò)程中發(fā)現(xiàn)了安全問(wèn)題的話(huà)。然后，過(guò)程可以繼續(xù)操作220以進(jìn)行接下來(lái)的已發(fā)起的交易。

現(xiàn)在參照?qǐng)D3，根據(jù)各實(shí)施例展示了用于設(shè)置pos100以進(jìn)行安全交易隧道生成的示例過(guò)程300。在各實(shí)施例中，可以執(zhí)行過(guò)程300以全部或部分地實(shí)施圖2的過(guò)程200的操作210。盡管圖3以特定順序展示了特定操作，但是在各實(shí)施例中，所述操作可以被組合、拆分成多個(gè)部分、和/或被省略。所述過(guò)程可以始于操作305，在所述操作中，pos100可以設(shè)置一個(gè)或多個(gè)安全連接來(lái)接收用于進(jìn)行安全交易隧道生成的信息(包括白名單、黑名單和網(wǎng)絡(luò)資源通信代碼)。在各實(shí)施例中，可以與金融機(jī)構(gòu)或其他可信實(shí)體建立這些安全連接，使得可以接收到此敏感信息，其中，所述敏感信息將受惡意第三方損害或操縱的問(wèn)題更少。

接下來(lái)，在操作310，pos100可以接收一個(gè)或多個(gè)外圍設(shè)備白名單130。在各實(shí)施例中，這些外圍設(shè)備白名單130可以包括可以被批準(zhǔn)以與stg150一起使用的一個(gè)或多個(gè)外圍設(shè)備的標(biāo)識(shí)信息。在各實(shí)施例中，外圍設(shè)備白名單130中的一個(gè)或多個(gè)外圍設(shè)備白名單可以與特定機(jī)構(gòu)(諸如金融機(jī)構(gòu))相關(guān)聯(lián)。因此，金融機(jī)構(gòu)可以提供可用于與此機(jī)構(gòu)的網(wǎng)絡(luò)資源進(jìn)行交易的被批準(zhǔn)的外圍設(shè)備的外圍設(shè)備白名單130。在其他實(shí)施例中，外圍設(shè)備白名單130中的一個(gè)或多個(gè)外圍設(shè)備白名單可以被提供用于通常批準(zhǔn)外圍設(shè)備與stg150一起工作，使得所提供的外圍設(shè)備白名單130包括已知以安全的和/或可預(yù)見(jiàn)的方式與stg150交互的那些外圍設(shè)備105。在各實(shí)施例中，在操作310提供的外圍設(shè)備白名單130可以由pos100外部的一個(gè)或多個(gè)聯(lián)網(wǎng)服務(wù)來(lái)提供。

接下來(lái)，在操作320，pos100可以接收一個(gè)或多個(gè)外圍設(shè)備黑名單140。在各實(shí)施例中，這些外圍設(shè)備黑名單140可以包括可能未被批準(zhǔn)與stg150一起使用的一個(gè)或多個(gè)外圍設(shè)備的標(biāo)識(shí)信息。在各實(shí)施例中，外圍設(shè)備黑名單140中的一個(gè)或多個(gè)外圍設(shè)備黑名單可以與特定機(jī)構(gòu)(諸如金融機(jī)構(gòu))相關(guān)聯(lián)。因此，金融機(jī)構(gòu)可以提供未被批準(zhǔn)的外圍設(shè)備的外圍設(shè)備黑名單140。在其他實(shí)施例中，外圍設(shè)備黑名單130中的一個(gè)或多個(gè)外圍設(shè)備黑名單可以被提供用于不批準(zhǔn)外圍設(shè)備(諸如已知表示安全弱點(diǎn)或不可以與stg150穩(wěn)定地交互的外圍設(shè)備105)與stg150一起工作。在各實(shí)施例中，在操作320提供的外圍設(shè)備黑名單140可以由pos100外部的一個(gè)或多個(gè)聯(lián)網(wǎng)服務(wù)來(lái)提供。

接下來(lái)，在操作330，pos100可以接收一個(gè)或多個(gè)nrc170的代碼并且可以將此代碼存儲(chǔ)在nrs175中。在各實(shí)施例中，此代碼可以由一個(gè)或多個(gè)金融機(jī)構(gòu)(或其他機(jī)構(gòu))提供以便促進(jìn)所述機(jī)構(gòu)所期望的用于與其網(wǎng)絡(luò)資源進(jìn)行交互的特定通信協(xié)議。在其他實(shí)施例中，nrc170代碼的中央儲(chǔ)存庫(kù)可以被提供并且可以利用待存儲(chǔ)在nrs175中的nrc170代碼周期性地更新pos100。最終，在操作340，用戶(hù)可以將外圍設(shè)備105連接到pos100。在各實(shí)施例中，這樣的連接可以包括有線(xiàn)連接或無(wú)線(xiàn)連接以及直接連接和/或聯(lián)網(wǎng)連接，如可被理解的那樣。然后，所述過(guò)程可以結(jié)束。

現(xiàn)在參照?qǐng)D4，根據(jù)各實(shí)施例展示了用于在外圍設(shè)備與銷(xiāo)售點(diǎn)裝置之間生成安全連接的示例過(guò)程400。在各實(shí)施例中，可以執(zhí)行過(guò)程400以全部或部分地實(shí)施圖2的過(guò)程200的操作230。盡管圖4以特定順序展示了特定操作，但是在各實(shí)施例中，所述操作可以被組合、拆分成多個(gè)部分、和/或被省略。所述過(guò)程可以始于操作410，在操作410，pos100可以接收指示外圍設(shè)備105已請(qǐng)求與pos100進(jìn)行通信的中斷。在各實(shí)施例中，此中斷可以是usb總線(xiàn)中斷。在其他實(shí)施例中，可以接收到來(lái)自外圍設(shè)備105的另一個(gè)指示。接下來(lái)，在操作420，pos100可以進(jìn)入smm，并且stg150可以在smm中開(kāi)始操作。在各實(shí)施例中，如上文中所討論的，stg150可以作為str120中所解譯字節(jié)代碼進(jìn)行操作。

接下來(lái)，在判定操作430，stg150可以判定已請(qǐng)求進(jìn)行通信的外圍設(shè)備105是在外圍設(shè)備白名單130上還是在外圍設(shè)備黑名單140上。如果外圍設(shè)備105在外圍設(shè)備黑名單140上，則在操作440，stg150可以拒絕所嘗試的交易，并且所述過(guò)程可以結(jié)束。通過(guò)拒絕交易(因?yàn)橥鈬O(shè)備被列入黑名單)，stg150可以避免潛在地不安全的交易的發(fā)生并且可以保護(hù)pos100(以及使用pos100的顧客)免使其信息受到損害。在拒絕交易之后，在操作445，stg150可以記錄所嘗試的交易，類(lèi)似于上文中圖2的操作270。

相反，如果外圍設(shè)備105被列在外圍設(shè)備白名單130上，則在操作450，spc160可以創(chuàng)建與外圍設(shè)備105的安全連接。在各實(shí)施例中，如果外圍設(shè)備105支持加密通信，則spc160可以與外圍設(shè)備105創(chuàng)建加密連接。在操作450創(chuàng)建了安全連接之后，然后在操作460，spc160可以創(chuàng)建與tee190的安全連接。在各實(shí)施例中，此連接可以被加密或以其他方式受保護(hù)以避免pos100內(nèi)的進(jìn)程所進(jìn)行的窺探或其他損害。接下來(lái)，在操作470，spc150可以從外圍設(shè)備105接收安全的交易信息。在各實(shí)施例中，此交易信息可以包括與交易相關(guān)聯(lián)的顧客的金融信息或標(biāo)識(shí)信息。在各實(shí)施例中，此交易信息可以包括對(duì)網(wǎng)絡(luò)資源110的標(biāo)識(shí)，所述交易應(yīng)利用所述標(biāo)識(shí)發(fā)生。在各實(shí)施例中，通過(guò)在已創(chuàng)建安全連接之后接收此信息，stg150更好地促進(jìn)了與網(wǎng)絡(luò)資源的安全交易。在操作470之后，stg150可以繼續(xù)圖5的過(guò)程500(圖2的操作240)。注意，盡管交易并未被展示成在操作470之后被記錄在圖4中，但是其將在圖2的操作270完成時(shí)被記錄。

相反，如果外圍設(shè)備105不在外圍設(shè)備白名單130或外圍設(shè)備黑名單140上，則在操作480，pos100可以允許交易發(fā)生，但是可能未利用stg150所提供的安全交易隧道。在交易完成之后，在操作485，stg150可以記錄交易，類(lèi)似于上文中圖2的操作270。然后，所述過(guò)程可以結(jié)束?？梢宰⒁獾?，在替代性實(shí)施例中，如果外圍設(shè)備105不在外圍設(shè)備白名單130或外圍設(shè)備黑名單140上，則過(guò)程400可以繼續(xù)進(jìn)行操作450并且允許利用安全的交易隧道繼續(xù)進(jìn)行交易，而不是繼續(xù)進(jìn)行不安全的交易。

圖5根據(jù)各實(shí)施例展示了用于在銷(xiāo)售點(diǎn)裝置與網(wǎng)絡(luò)資源之間生成安全連接的示例過(guò)程。在各實(shí)施例中，可以執(zhí)行過(guò)程500以全部或部分地實(shí)施圖2的過(guò)程200的操作240。所述過(guò)程可以始于操作510，在操作510，stg150可以從接收到的交易信息中判定所期望的網(wǎng)絡(luò)資源110是什么。例如，stg150可以確定要與之發(fā)生交易的、和/或服務(wù)器或服務(wù)要與之通信的金融機(jī)構(gòu)或其他機(jī)構(gòu)。接下來(lái)，在操作520，stg150可以從nrs175的代碼中標(biāo)識(shí)哪個(gè)代碼應(yīng)當(dāng)用于nrc170以便與網(wǎng)絡(luò)資源110通信。在操作530，stg150可以執(zhí)行所標(biāo)識(shí)的nrc170(諸如通過(guò)在str120解譯nrc170的代碼)。

在操作540，nrc170可以在tee190與網(wǎng)絡(luò)資源110之間生成安全連接，從而在外圍設(shè)備105與網(wǎng)絡(luò)資源110之間生成安全交易隧道。在各實(shí)施例中，nrc170可以為在tee190中執(zhí)行的代碼提供適當(dāng)憑證，所述憑證由與網(wǎng)絡(luò)資源110相關(guān)聯(lián)的實(shí)體(諸如金融機(jī)構(gòu)應(yīng)用)規(guī)定。例如，nrc170可以為可用于對(duì)消息進(jìn)行加密/解密的私鑰提供網(wǎng)絡(luò)資源190。在其他實(shí)施例中，tee190可以存儲(chǔ)白名單和/或黑名單信息并且進(jìn)行名單檢驗(yàn)。在一些實(shí)施例中，tee190還可以記錄交易。另外，在各實(shí)施例中，在已由stg150進(jìn)行驗(yàn)證之后，考慮到已利用外圍設(shè)備105驗(yàn)證了安全，外圍設(shè)備105所接收到的隨后的中斷和通信可以在安全隧道外面進(jìn)行處理和/或可以由傳統(tǒng)os進(jìn)程來(lái)處理。然后，在操作540之后，所述過(guò)程可以結(jié)束。

現(xiàn)在參照?qǐng)D6，根據(jù)各實(shí)施例展示了適用于實(shí)踐本公開(kāi)的各個(gè)方面(包括圖2至圖5的過(guò)程)的示例計(jì)算機(jī)。如所示出的，計(jì)算機(jī)600可以包括一個(gè)或多個(gè)處理器或處理器核602以及系統(tǒng)存儲(chǔ)器604。出于本申請(qǐng)(包括權(quán)利要求書(shū))的目的，術(shù)語(yǔ)“處理器”和“處理器核”可以被認(rèn)為是同義的，除非上下文另外明確要求。另外，計(jì)算機(jī)600可以包括大容量存儲(chǔ)裝置606(諸如磁盤(pán)、硬盤(pán)驅(qū)動(dòng)、致密盤(pán)只讀存儲(chǔ)器(cd-rom)等等)、輸入/輸出裝置608(諸如顯示器、鍵盤(pán)、光標(biāo)控件、遠(yuǎn)程控件、游戲控制器、圖像捕獲裝置等等)以及通信接口610(諸如網(wǎng)絡(luò)接口卡、調(diào)制解調(diào)器、紅外接收器、無(wú)線(xiàn)電接收器(例如，藍(lán)牙、wifi、近場(chǎng)通信、射頻識(shí)別等等)。所述元件可以經(jīng)由可表示一條或多條總線(xiàn)的系統(tǒng)總線(xiàn)612耦合至彼此.在多條總線(xiàn)的情況下，所述元件可以通過(guò)一個(gè)或多個(gè)總線(xiàn)橋(未示出)橋接。

這些元件中的每個(gè)元件可以執(zhí)行其在本領(lǐng)域中已知的常規(guī)功能。具體地，系統(tǒng)存儲(chǔ)器604和大容量存儲(chǔ)裝置606可以用來(lái)存儲(chǔ)實(shí)現(xiàn)圖1中所示出的模塊中的一個(gè)或多個(gè)模塊和/或與圖2至圖5中所示出的技術(shù)相關(guān)聯(lián)的操作的編程指令的工作副本和永久副本(統(tǒng)稱(chēng)為計(jì)算邏輯622)。各個(gè)元件可以由(多個(gè))處理器602所支持的匯編指令或可匯編成這種指令的高級(jí)語(yǔ)言(諸如例如，c)來(lái)實(shí)現(xiàn)。在各實(shí)施例中，系統(tǒng)存儲(chǔ)器604或大容量存儲(chǔ)裝置606可以包括各種存儲(chǔ)器實(shí)施方式，包括諸如片上系統(tǒng)、usb快閃驅(qū)動(dòng)器、sd卡、satassd等中的集成閃存。

編程指令的永久副本可以在工廠(chǎng)中或在現(xiàn)場(chǎng)通過(guò)例如分布式介質(zhì)(未示出)(諸如致密盤(pán)(cd))或者通過(guò)通信接口610(從分布式服務(wù)器(未示出))被放置到大容量存儲(chǔ)裝置606中。在實(shí)施例中，編程指令可以被存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)可讀的非瞬態(tài)存儲(chǔ)介質(zhì)中。在其他實(shí)施例中，編程指令可以被編碼在瞬態(tài)存儲(chǔ)介質(zhì)(諸如信號(hào))中。

這些元件610-612的數(shù)量、能力和/或容量可以改變。它們的構(gòu)成是以其他方式已知的，并且因此將不進(jìn)行進(jìn)一步的描述。

圖7展示了根據(jù)各實(shí)施例的具有被配置成用于實(shí)踐與先前描述的技術(shù)相關(guān)聯(lián)的操作中的全部操作或所選操作的指令的示例至少一個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)702。如所展示的，至少一個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)702可以包括多個(gè)編程指令704。編程指令704可以被配置用于使得裝置(例如，計(jì)算機(jī)600)能夠響應(yīng)于編程指令的執(zhí)行而執(zhí)行例如圖2至圖5的過(guò)程的各個(gè)操作(例如但不限于)到被執(zhí)行用于執(zhí)行本文中所描述的安全交易隧道生成技術(shù)的各個(gè)操作。在替代實(shí)施例中，可以替代地將編程指令704布置在多個(gè)至少一個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)702上。

返回參照?qǐng)D6，對(duì)于一個(gè)實(shí)施例，處理器602中的至少一個(gè)處理器可以與具有被配置用于實(shí)踐圖2至圖5的過(guò)程的方面的計(jì)算邏輯622的存儲(chǔ)器一起封裝。對(duì)于一個(gè)實(shí)施例，處理器602中的至少一個(gè)處理器可以與具有被配置用于實(shí)踐圖2至圖5的過(guò)程的方面的計(jì)算邏輯622的存儲(chǔ)器一起封裝以形成系統(tǒng)級(jí)封裝(sip)。對(duì)于一個(gè)實(shí)施例，處理器602中的至少一個(gè)處理器可以集成在具有被配置用于實(shí)踐圖2至圖5的過(guò)程的方面的計(jì)算邏輯622的存儲(chǔ)器的同一裸片上。對(duì)于一個(gè)實(shí)施例，處理器602中的至少一個(gè)處理器可以與具有被配置用于實(shí)踐圖2至圖5的過(guò)程的方面的計(jì)算邏輯622的存儲(chǔ)器一起封裝以形成片上系統(tǒng)(soc)。對(duì)于至少一個(gè)實(shí)施例，soc在必要時(shí)可以用于(例如但不限于)計(jì)算平板(例如，wifi、藍(lán)牙、藍(lán)牙低功率、近場(chǎng)通信、射頻識(shí)別(rfid)等)和其他部件中以便滿(mǎn)足系統(tǒng)的功能和非功能要求。

用于執(zhí)行上述技術(shù)的計(jì)算機(jī)可讀介質(zhì)(包括至少一個(gè)計(jì)算機(jī)可讀介質(zhì))、方法、設(shè)備、系統(tǒng)和裝置是本文中所公開(kāi)的實(shí)施例的說(shuō)明性示例。此外，上述交互中的其他裝置可以被配置用于執(zhí)行各種被公開(kāi)的技術(shù)。本文中所描述的實(shí)施例的具體示例包括但不限于以下各項(xiàng)：

示例1可以包括一種用于促進(jìn)安全交易的設(shè)備。所述設(shè)備可以包括一個(gè)或多個(gè)計(jì)算機(jī)處理器以及可信執(zhí)行環(huán)境(tee)，所述可信執(zhí)行環(huán)境用于以受保護(hù)的方式在所述一個(gè)或多個(gè)計(jì)算處理器上執(zhí)行進(jìn)程，所述受保護(hù)的方式防止在所述tee中執(zhí)行的所述進(jìn)程被在所述tee外面執(zhí)行的進(jìn)程訪(fǎng)問(wèn)。所述設(shè)備還可以包括安全隧道生成器。所述安全隧道生成器可以從外圍設(shè)備接收用于與外部網(wǎng)絡(luò)資源進(jìn)行交易的請(qǐng)求并且使用所述tee來(lái)生成耦合所述外圍設(shè)備和所述網(wǎng)絡(luò)資源的安全隧道。

示例2可以包括如示例1所述的設(shè)備，其中，所述安全隧道生成器可以用于通過(guò)在所述tee與所述外圍設(shè)備之間生成安全連接以及在所述tee與所述網(wǎng)絡(luò)資源之間生成安全連接來(lái)生成所述安全隧道。

示例3可以包括如示例2所述的設(shè)備，其中，所述在所述tee與所述聯(lián)網(wǎng)服務(wù)之間生成安全連接可以包括利用與所述網(wǎng)絡(luò)資源相關(guān)聯(lián)的通信協(xié)議來(lái)生成安全連接。

示例4可以包括如示例3所述的設(shè)備，其中，利用與所述網(wǎng)絡(luò)資源相關(guān)聯(lián)的通信協(xié)議來(lái)生成安全連接可以包括使用網(wǎng)絡(luò)資源通信代碼。

示例5可以包括如示例4所述的設(shè)備，其中，所述網(wǎng)絡(luò)資源通信代碼可以用于在運(yùn)行時(shí)間環(huán)境中執(zhí)行。

示例6可以包括如示例5所述的設(shè)備，其中，所述網(wǎng)絡(luò)資源通信代碼可以包括java代碼。

示例7可以包括如示例1至6中任一項(xiàng)所述的設(shè)備，其中，所述安全隧道生成器可以進(jìn)一步用于確認(rèn)所述外圍設(shè)備可以被允許安全連接至所述網(wǎng)絡(luò)資源。

示例8可以包括如示例7所述的設(shè)備，其中，所述安全隧道生成器可以用于通過(guò)將所述外圍設(shè)備與被批準(zhǔn)的外圍設(shè)備的白名單進(jìn)行比較來(lái)確認(rèn)所述外圍設(shè)備可以被批準(zhǔn)。

示例9可以包括如示例7所述的設(shè)備，其中，所述安全隧道生成器可以用于通過(guò)將所述外圍設(shè)備與未被批準(zhǔn)的外圍設(shè)備的黑名單進(jìn)行比較來(lái)確認(rèn)所述外圍設(shè)備可能并非未被批準(zhǔn)。

示例10可以包括如示例1至9中任一項(xiàng)所述的設(shè)備，其中，所述安全隧道生成器可以用于通過(guò)接收中斷來(lái)接收所述請(qǐng)求。

示例11可以包括如示例1至10中任一項(xiàng)所述的設(shè)備，其中，所述交易可以是金融交易。

示例12可以包括如示例11所述的設(shè)備，其中，所述聯(lián)網(wǎng)資源可以是金融機(jī)構(gòu)資源。

示例13可以包括如示例11所述的設(shè)備，其中，所述外圍設(shè)備可以是信用卡讀取器。

示例14可以包括一種或多種非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，所述一種或多種非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)包含寫(xiě)在其上的指令，所述指令響應(yīng)于計(jì)算系統(tǒng)的執(zhí)行而使所述計(jì)算裝置促進(jìn)安全交易。所述指令可以使所述計(jì)算系統(tǒng)從外圍設(shè)備接收用于與外部網(wǎng)絡(luò)資源進(jìn)行交易的請(qǐng)求。所述指令還可以通過(guò)使用所述計(jì)算系統(tǒng)的可信執(zhí)行環(huán)境(tee)以受保護(hù)的方式在所述計(jì)算系統(tǒng)上執(zhí)行進(jìn)程來(lái)使所述計(jì)算系統(tǒng)生成耦合所述外圍設(shè)備和所述網(wǎng)絡(luò)資源的安全隧道，所述受保護(hù)的方式防止在所述tee中執(zhí)行的所述進(jìn)程被在所述tee外面執(zhí)行的進(jìn)程訪(fǎng)問(wèn)。

示例15可以包括如示例14所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，生成所述安全隧道可以包括在所述tee與所述外圍設(shè)備之間生成安全連接以及在所述tee與所述網(wǎng)絡(luò)資源之間生成安全連接。

示例16可以包括如示例15所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，在所述可信執(zhí)行環(huán)境與所述網(wǎng)絡(luò)資源之間生成安全連接可以包括使用與所述網(wǎng)絡(luò)資源相關(guān)聯(lián)的通信協(xié)議來(lái)生成安全連接。

示例17可以包括如示例16所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，使用與所述網(wǎng)絡(luò)資源相關(guān)聯(lián)的通信協(xié)議來(lái)生成安全連接可以包括執(zhí)行網(wǎng)絡(luò)資源通信代碼。

示例18可以包括如示例17所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，執(zhí)行網(wǎng)絡(luò)資源通信代碼可以包括在運(yùn)行時(shí)間環(huán)境中執(zhí)行所述網(wǎng)絡(luò)資源通信代碼。

示例19可以包括如示例18所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，執(zhí)行所述網(wǎng)絡(luò)資源通信代碼可以包括執(zhí)行java代碼。

示例20可以包括如示例14至19中任一項(xiàng)所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，可以進(jìn)一步包括確認(rèn)所述外圍設(shè)備可以被允許安全連接至所述網(wǎng)絡(luò)資源。

示例21可以包括如示例20所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，確認(rèn)所述外圍設(shè)備可以被允許可以包括將所述外圍設(shè)備與被批準(zhǔn)的外圍設(shè)備的白名單進(jìn)行比較。

示例22可以包括如示例20所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，確認(rèn)所述外圍設(shè)備可以被允許可以包括將所述外圍設(shè)備與未被批準(zhǔn)的外圍設(shè)備的黑名單進(jìn)行比較。

示例23可以包括如示例14至22中的任一項(xiàng)所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，接收所述請(qǐng)求可以包括接收中斷。

示例24可以包括如示例14至23中任一項(xiàng)所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，所述交易可以是金融交易。

示例25可以包括如示例24所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，所述網(wǎng)絡(luò)資源可以是金融機(jī)構(gòu)資源。

示例26可以包括如示例24所述的非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，其中，所述外圍設(shè)備可以是信用卡讀取器。

示例27可以包括一種用于促進(jìn)安全交易的計(jì)算機(jī)實(shí)施的方法。所述方法可以包括由計(jì)算系統(tǒng)從外圍設(shè)備接收用于與外部網(wǎng)絡(luò)資源進(jìn)行交易的請(qǐng)求。所述方法還可以包括通過(guò)使用所述計(jì)算系統(tǒng)的可信執(zhí)行環(huán)境(tee)以受保護(hù)的方式在所述計(jì)算系統(tǒng)上執(zhí)行進(jìn)程來(lái)生成耦合所述外圍設(shè)備和所述網(wǎng)絡(luò)資源的安全隧道，所述受保護(hù)的方式防止在所述tee中執(zhí)行的所述進(jìn)程被在所述tee外面執(zhí)行的進(jìn)程訪(fǎng)問(wèn)。

示例28可以包括如示例27所述的方法，其中，生成所述安全隧道可以包括在所述tee與所述外圍設(shè)備之間生成安全連接以及在所述tee與所述網(wǎng)絡(luò)資源之間生成安全連接。

示例29可以包括如示例28所述的方法，其中，在所述可信執(zhí)行環(huán)境與所述網(wǎng)絡(luò)資源之間生成安全連接可以包括使用與所述網(wǎng)絡(luò)資源相關(guān)聯(lián)的通信協(xié)議來(lái)生成安全連接。

示例30可以包括如示例29所述的方法，其中，使用與所述網(wǎng)絡(luò)資源相關(guān)聯(lián)的通信協(xié)議來(lái)生成安全連接可以包括執(zhí)行網(wǎng)絡(luò)資源通信代碼。

示例31可以包括如示例30所述的方法，其中，執(zhí)行網(wǎng)絡(luò)資源通信代碼可以包括在運(yùn)行時(shí)間環(huán)境中執(zhí)行所述網(wǎng)絡(luò)資源通信代碼。

示例32可以包括如示例31所述的方法，其中，執(zhí)行所述網(wǎng)絡(luò)資源通信代碼可以包括執(zhí)行java代碼。

示例33可以包括如示例27至32中任一項(xiàng)所述的方法，其中，所述方法進(jìn)一步可以包括由所述計(jì)算裝置確認(rèn)所述外圍設(shè)備可以被允許安全連接至所述網(wǎng)絡(luò)資源。

示例34可以包括如示例33所述的方法，其中，確認(rèn)所述外圍設(shè)備可以被允許可以包括將所述外圍設(shè)備與被批準(zhǔn)的外圍設(shè)備的白名單進(jìn)行比較。

示例35可以包括如示例33所述的方法，其中，確認(rèn)所述外圍設(shè)備可以被允許可以包括將所述外圍設(shè)備與未被批準(zhǔn)的外圍設(shè)備的黑名單進(jìn)行比較。

示例36可以包括如示例27至35中的任一項(xiàng)所述的方法，其中，接收所述請(qǐng)求可以包括接收中斷。

示例37可以包括如示例27至36中任一項(xiàng)所述的方法，其中，所述交易可以是金融交易。

示例38可以包括如示例37所述的方法，其中，所述網(wǎng)絡(luò)資源可以是金融機(jī)構(gòu)資源。

示例39可以包括如示例37所述的方法，其中，所述外圍設(shè)備可以是信用卡讀取器。

示例40可以包括一種用于促進(jìn)安全交易的設(shè)備。所述設(shè)備可以包括用于從外圍設(shè)備接收用于與外部網(wǎng)絡(luò)資源進(jìn)行交易的請(qǐng)求的裝置。所述設(shè)備還可以包括用于通過(guò)使用所述設(shè)備的可信執(zhí)行環(huán)境(tee)以受保護(hù)的方式在所述計(jì)算系統(tǒng)上執(zhí)行進(jìn)程來(lái)生成耦合所述外圍設(shè)備和所述網(wǎng)絡(luò)資源的安全隧道的裝置，所述受保護(hù)的方式防止在所述tee中執(zhí)行的所述進(jìn)程被在所述tee外面執(zhí)行的進(jìn)程訪(fǎng)問(wèn)。

示例41可以包括如示例40所述的設(shè)備，其中，用于生成所述安全隧道的裝置可以包括用于在所述tee與所述外圍設(shè)備之間生成安全連接的裝置以及用于在所述tee與所述網(wǎng)絡(luò)資源之間生成安全連接的裝置。

示例42可以包括如示例41所述的設(shè)備，其中，用于在所述可信執(zhí)行環(huán)境與所述網(wǎng)絡(luò)資源之間生成安全連接的裝置可以包括用于使用與所述網(wǎng)絡(luò)資源相關(guān)聯(lián)的通信協(xié)議來(lái)生成安全連接的裝置。

示例43可以包括如示例42所述的設(shè)備，其中，用于使用與所述網(wǎng)絡(luò)資源相關(guān)聯(lián)的通信協(xié)議來(lái)生成安全連接的裝置可以包括用于執(zhí)行網(wǎng)絡(luò)資源通信代碼的裝置。

示例44可以包括如示例43所述的設(shè)備，其中，用于執(zhí)行網(wǎng)絡(luò)資源通信代碼的裝置可以包括用于在運(yùn)行時(shí)間環(huán)境中執(zhí)行所述網(wǎng)絡(luò)資源通信代碼的裝置。

示例45可以包括如示例44所述的設(shè)備，其中，用于執(zhí)行所述網(wǎng)絡(luò)資源通信代碼的裝置可以包括用于執(zhí)行java代碼的裝置。

示例46可以包括如示例40至45中任一項(xiàng)所述的設(shè)備，并且進(jìn)一步可以包括用于確認(rèn)所述外圍設(shè)備可以被允許安全連接至所述網(wǎng)絡(luò)資源的裝置。

示例47可以包括如示例46所述的設(shè)備，其中，用于確認(rèn)所述外圍設(shè)備可以被允許的裝置可以包括用于將所述外圍設(shè)備與被批準(zhǔn)的外圍設(shè)備的白名單進(jìn)行比較的裝置。

示例48可以包括如示例46所述的設(shè)備，其中，用于確認(rèn)所述外圍設(shè)備可以被允許的裝置可以包括用于將所述外圍設(shè)備與未被批準(zhǔn)的外圍設(shè)備的黑名單進(jìn)行比較的裝置。

示例49可以包括如示例40至48中的任一項(xiàng)所述的設(shè)備，其中，用于接收所述請(qǐng)求的裝置可以包括用于接收中斷的裝置。

示例50可以包括如示例40至49中任一項(xiàng)所述的設(shè)備，其中，所述交易可以是金融交易。

示例51可以包括如示例50所述的設(shè)備，其中，所述網(wǎng)絡(luò)資源可以是金融機(jī)構(gòu)資源。

示例52可以包括如示例50所述的設(shè)備，其中，所述外圍設(shè)備可以是信用卡讀取器。

雖然已經(jīng)出于描述的目的在本文中展示和描述了某些實(shí)施例，但是在不脫離本公開(kāi)的范圍的情況下，適合于實(shí)現(xiàn)相同目的的各種各樣的替代和/或等效實(shí)施例或?qū)嵤┓绞娇梢源嫠境龊退枋龅膶?shí)施例。本申請(qǐng)旨在覆蓋本文中所討論的實(shí)施例的任何改編或變化。因此，顯然意圖是，本文中所描述的實(shí)施例僅由權(quán)利要求書(shū)來(lái)限定。

當(dāng)本公開(kāi)陳述“一個(gè)(a)”或“第一(afirst)”要素或其等效物時(shí)，這樣的公開(kāi)包括一個(gè)或多個(gè)這種要素，既不要求也不排除兩個(gè)或更多個(gè)這樣的要素。進(jìn)一步地，所標(biāo)識(shí)的要素的順序指示符(例如，第一、第二或第三)用于在要素之間進(jìn)行區(qū)分，并且不指示或暗示這種要素的要求的或限制的數(shù)量，其也不指示這種要素的特定位置或順序，除非另外特別聲明。