知財求人 - 知財ポータルサイト「IP Force」
▶ マイクロチップ テクノロジー インコーポレイテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-18
(45)【発行日】2024-10-28
(54)【発明の名称】セキュアなデータエントリのためのキーボード
(51)【国際特許分類】
G06F 21/83 20130101AFI20241021BHJP
G06F 21/60 20130101ALI20241021BHJP
G06F 3/02 20060101ALI20241021BHJP
H03M 11/00 20060101ALI20241021BHJP
H01H 13/00 20060101ALI20241021BHJP
【FI】
G06F21/83
G06F21/60
G06F3/02 F
H03M11/00 600
H01H13/00 B
【請求項の数】
15
(21)【出願番号】P 2021554614
(86)(22)【出願日】2019-10-11
(65)【公表番号】
(43)【公表日】2022-05-02
(86)【国際出願番号】 US2019055774
(87)【国際公開番号】W WO2020185257
(87)【国際公開日】2020-09-17
【審査請求日】2022-10-05
(31)【優先権主張番号】201910188334.9
(32)【優先日】2019-03-13
(33)【優先権主張国・地域又は機関】CN
(31)【優先権主張番号】16/575,710
(32)【優先日】2019-09-19
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】397050741
【氏名又は名称】マイクロチップ テクノロジー インコーポレイテッド
【氏名又は名称原語表記】MICROCHIP TECHNOLOGY INCORPORATED
(74)【代理人】
【識別番号】110000626
【氏名又は名称】弁理士法人英知国際特許商標事務所
(72)【発明者】
【氏名】フアン、エリック
【審査官】吉田 歩
(56)【参考文献】
【文献】特表2016-510547(JP,A)
【文献】米国特許出願公開第2012/0151607(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/83
G06F 21/60
G06F 3/02
H03M 11/00
H01H 13/00
(57)【特許請求の範囲】
【請求項1】
セキュアなデータエントリのためのキーボードであって、ユーザによって押下され得る1つ以上のデータエントリボタンと、
該データエントリボタンのそれぞれに対して、
前記ユーザが前記それぞれのデータエントリボタンを押下すると移動可能な、ボタンアクチュエータと、
静電容量サンプリングによって前記それぞれのデータエントリボタンの前記ボタンアクチュエータの移動を判定するように配置された、一次静電容量センサと、を含み、
前記ボタンアクチュエータは、少なくとも部分的に導電性材料で作製され、
前記ボタンアクチュエータは、少なくとも前記静電容量サンプリング中に、画定された電位に結合され、前記一次静電容量センサを傍受からシールドし、
前記ボタンアクチュエータのうちの1つ以上に対するタンパリングを判定するためのシールド除去検出回路を更に含み、
前記シールド除去検出回路は、前記データエントリボタンのそれぞれに対して、二次静電容量センサを含み、
前記二次静電容量センサは、前記ボタンアクチュエータと前記一次静電容量センサとの間に配置される、キーボード。
【請求項2】
前記一次静電容量センサは、相互静電容量センサである、請求項1に記載のキーボード。
【請求項3】
前記シールド除去検出回路は、前記ボタンアクチュエータのうちの1つ以上に対するタンパリングが判定されると、データを消去する及び/又は前記キーボードの動作を一時停止するように構成される、請求項1に記載のキーボード。
【請求項4】
前記二次静電容量センサは、自己静電容量センサである、請求項1に記載のキーボード。
【請求項5】
前記一次静電容量センサ及び前記二次静電容量センサのうちの1つ以上を含む、少なくとも1つのプリント回路基板を更に含む、請求項1又は4に記載のキーボード。
【請求項6】
前記一次静電容量センサは、前記プリント回路基板の中間層に配置される、請求項5に記載のキーボード。
【請求項7】
前記ボタンアクチュエータはドーム形状である、請求項1~6のいずれか一項に記載のキーボード。
【請求項8】
前記ボタンアクチュエータは金属から作製される、請求項1~7のいずれか一項に記載のキーボード。
【請求項9】
マトリックスに配置された複数のデータエントリボタンを含む、請求項1~8のいずれか一項に記載のキーボード。
【請求項10】
前記複数のデータエントリボタンは、数字キーパッドを形成するように配置される、請求項9に記載のキーボード。
【請求項11】
前記一次静電容量センサの少なくとも前記静電容量サンプリングを制御するように、かつ少なくとも前記静電容量サンプリング中に前記ボタンアクチュエータを前記画定された電位に結合するように構成された、キーボードコントローラを更に含む、請求項1~10のいずれか一項に記載のキーボード。
【請求項12】
前記画定された電位は接地である、請求項1~11のいずれか一項に記載のキーボード。
【請求項13】
販売時点情報管理デバイスであって、販売時点情報管理トランザクションプロセッサと、
ユーザによって押下され得る1つ以上のデータエントリボタンと、
該データエントリボタンのそれぞれに対して、
前記ユーザが前記それぞれのデータエントリボタンを押下すると移動可能な、ボタンアクチュエータと、
静電容量サンプリングによって前記それぞれのデータエントリボタンの前記ボタンアクチュエータの移動を判定するように配置された、一次静電容量センサと、を含み、
前記ボタンアクチュエータは、少なくとも部分的に導電性材料から作製され、
前記ボタンアクチュエータは、少なくとも前記静電容量サンプリング中に、画定された電位に結合されて、前記一次静電容量センサを傍受からシールドし、
前記ボタンアクチュエータのうちの1つ以上に対するタンパリングを判定するためのシールド除去検出回路を更に含み、
前記シールド除去検出回路は、前記データエントリボタンのそれぞれに対して、二次静電容量センサを含む、販売時点情報管理デバイス。
【請求項14】
キーボードによるセキュアなデータエントリの方法であって、前記キーボードは、ユーザによって押下され得る1つ以上のデータエントリボタンを含み、前記データエントリボタンのそれぞれは、前記ユーザが前記それぞれのデータエントリボタンを押下すると移動可能な、かつ少なくとも部分的に導電性材料から作製されたボタンアクチュエータを含み、前記キーボードは、一次静電容量センサを含み、前記方法は、前記ボタンアクチュエータの移動を判定するために前記一次静電容量センサをサンプリングするステップと、
少なくとも前記サンプリング中に、前記一次静電容量センサを傍受からシールドするために前記ボタンアクチュエータを画定された電位に結合するステップと、を含み、
前記ボタンアクチュエータのうちの1つ以上に対するタンパリングを判定するためのシールド除去検出回路を更に含み、
前記シールド除去検出回路は、前記データエントリボタンのそれぞれに対して、二次静電容量センサを含む、方法。
【請求項15】
前記キーボードは、請求項1~12のいずれか一項に従って構成される、請求項14に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願)
本出願は、2019年3月13日に出願された中国特許出願第201910188334.9号に対する優先権を主張し、その内容全体が本明細書に組み込まれる。
本出願は、2019年3月13日に出願された中国特許出願第201910188334.9号に対する優先権を主張し、その内容全体が本明細書に組み込まれる。
【0002】
(発明の分野)
本発明は、セキュアなデータエントリのためのキーボードの分野に関する。
本発明は、セキュアなデータエントリのためのキーボードの分野に関する。
【背景技術】
【0003】
本背景技術は、本開示の文脈を一般的に説明する目的で提供される。本発明者の成果は、本背景技術にその成果が記載されている限りにおいて、出願時に先行技術として適格でない本記載の態様と共に、本開示に対する先行技術として明示的にも暗示的にも認められない。
【0004】
コンピュータ技術の分野では、データのセキュアかつ信頼性のあるエントリが可能であることは、多くの用途に対して、例えば、特に、電子的又は物理的リソースへのアクセスを得るための認証目的で必要である。
【0005】
例えば、販売時点情報管理(POS)又は建物アクセスシステムにおいて、ユーザは、多くの場合、パスコード又はPINを入力する必要がある。このパスコードエントリは、一方では、ユーザが便利にアクセスできるように信頼性が高いことが必要であり、他方では、エントリのセキュリティを維持する必要がある。前述の例の両方において、それぞれのパスコードエントリは、公共の場所で行われ得る。そのため、対応するパスコードエントリシステムは、悪意のある第三者によって、パスコードを取得し、それぞれのリソースにアクセスするためにタンパリングされ得る。
【0006】
例えば、いわゆる「サイドチャネル攻撃」を使用して第三者がPINエントリをスキャンしようとすることが可能であり得る。この従来のキーアレイスキャン方法は、信号変化、例えば、キーパッドの列及び行回路での高/低レベル変化をスキャンすることを可能にする。広く利用可能であるサイドチャネル攻撃を使用して、そのような変化を監視することは、比較的容易である。
【0007】
サイドチャネルスキャニングの問題を解決するために、既知の解決策は、キーパッドの典型的なボタンドームアレイの上に置かれた、印刷された銀ペースト導体を有する可撓性マスクを使用することによって、キーパッド入力が監視されるのを防ぐ。銀ペーストマスクは、内部のタンパリング防止ピンに接続されて、アクティブシールドマスクを形成する。しかしながら、この解決策は、組み立てプロセス中及び使用中に銀ペーストマスクの頻繁な曲げをもたらし、このことは、信頼性の問題につながり得る。加えて、このような構成のコストは非常に高い。
【発明の概要】
【0008】
本発明の以下の概要は、本発明に特有の革新的な特徴の一部の理解を容易にするために提供され、完全な説明を意図するものではない。本発明の様々な態様の完全な理解は、明細書、特許請求の範囲、図面、及び要約書全体をまとめて参照することによって得ることができる。
【0009】
前述の議論に照らして、信頼性のある、セキュアなデータエントリを可能にし、悪意のある第三者による傍受を防止する改善されたキーボードを提供する必要性が存在する。
【0010】
本発明は、独立請求項で定義されるように、セキュアなデータエントリのための改善されたキーボード、販売時点情報管理デバイス、及びセキュアなデータエントリの方法を提供する。本発明の実施形態は、従属請求項及び以下の説明において論じられる。
【0011】
本発明の一態様によれば、セキュアなデータエントリのためのキーボードが提供される。該キーボードは、ユーザによって押下され得る少なくとも1つ以上のデータエントリボタンと、該データエントリボタンのそれぞれに対して、前記ユーザが前記それぞれのデータエントリボタンを押下すると移動可能な、ボタンアクチュエータと、静電容量サンプリングによって前記それぞれのデータエントリボタンの前記ボタンアクチュエータの移動を判定するように配置された、一次静電容量センサと、を含む。本態様によれば、前記ボタンアクチュエータは、少なくとも部分的に導電性材料から作製され、前記ボタンアクチュエータは、少なくとも静電容量サンプリング中に、画定された電位に結合されて、前記一次静電容量センサを傍受からシールドする。
【0012】
本発明の別の態様によれば、販売時点情報管理(POS)デバイスが提供され、このPOSデバイスは、少なくとも1つのPOSトランザクションプロセッサと、ユーザによって押下され得る1つ以上のデータエントリボタンと、該データエントリボタンのそれぞれに対して、前記ユーザが前記それぞれのデータエントリボタンを押下すると移動可能な、ボタンアクチュエータと、静電容量サンプリングによって前記それぞれのデータエントリボタンの前記ボタンアクチュエータの移動を判定するように配置された、一次静電容量センサと、を含む。前記ボタンアクチュエータは、少なくとも部分的に導電性材料から作製され、前記ボタンアクチュエータは、少なくとも前記静電容量サンプリング中に、画定された電位に結合されて、前記一次静電容量センサを傍受からシールドする。
【0013】
本発明の更に別の態様によれば、ユーザによって押下され得る1つ以上のデータエントリボタンを有するキーボードによるセキュアなデータエントリの方法が提供される。本態様では、前記データエントリボタンのそれぞれに対して、ボタンアクチュエータ、及び一次静電容量センサが提供される。本方法は、a)前記ボタンアクチュエータの移動を判定するために前記一次静電容量センサをサンプリングするステップと、b)少なくとも前記サンプリング中に、前記一次静電容量センサを傍受からシールドするために前記ボタンアクチュエータを画定された電位に結合するステップと、を含む。
【0014】
本発明の前述の態様の基本的な考え方は、キーボードのデータエントリボタンがユーザによって押下されたかどうかを判定するために、静電容量センサを有する、セキュアなデータエントリのためのキーボードを提供し、このキーボードは、各データエントリボタンのボタンアクチュエータを使用して、悪意のある第三者による傍受に対してシールドを少なくとも一時的に提供することである。したがって、信頼性が高く、費用効率の良いセットアップで、セキュアなデータエントリが可能である。
【0015】
本発明の上記態様及び他の態様は、以下に記載される実施形態を参照して明らかとなり、解明される。
図面は、以下のとおりである。
図面は、以下のとおりである。
【0016】
【0017】
【0018】
【0019】
【0020】
【0021】
【0022】
【図面の簡単な説明】
【0023】
【発明を実施するための形態】
【0024】
本出願に記載される技術的特徴を使用して、セキュアなデータエントリのためのキーボード、販売時点情報管理デバイス、及びセキュアなデータエントリの方法の様々な実施形態を構築することができる。本発明のいくつかの実施形態は、当業者が本発明を作製及び使用することを可能にするために論じられる。
【0025】
第1の例示的な態様では、セキュアなデータエントリのためのキーボードが提供される。キーボードは、ユーザによって押下され得る少なくとも1つ以上のデータエントリボタンを含む。データエントリボタンのそれぞれに対して、ボタンアクチュエータが提供され、ボタンアクチュエータは、ユーザがそれぞれのデータエントリボタンを押下すると移動可能である。加えて、データエントリボタンのそれぞれに対して、一次静電容量センサが提供され、静電容量サンプリングによってそれぞれのデータエントリボタンのボタンアクチュエータの移動を判定するように配置される。本態様によれば、ボタンアクチュエータは、少なくとも部分的に導電性材料から作製され、ボタンアクチュエータは、少なくとも静電容量サンプリング中に、画定された電位に結合されて、一次静電容量センサを傍受からシールドする。
【0026】
本態様によるキーボードは、任意の好適な種類であってよい。いくつかの実施形態では、キーボードは、コンピュータキーボード、例えば、QUERTY型キーボードである。いくつかの実施形態では、キーボードは、数字キーパッド又は数字パッドとも呼ばれる、数字キーボードとして構成される。いくつかの実施形態では、データエントリボタンは、マトリックス、例えば3×3のマトリックスに配置される。
【0027】
前述のように、本態様によるキーボードは、ユーザによって押下され得る、すなわち、ユーザ操作可能な、1つ以上のデータエントリボタンを含む。データエントリボタンは、用途に応じて、例えば、正方形又は円形の形状のプラスチック又は金属など、任意の好適な種類及び材料であってよい。キーボードは、各データエントリボタンに対して、ユーザがそれぞれのデータエントリボタンを操作/押下すると移動可能である関連するボタンアクチュエータを更に含む。ボタンアクチュエータは、少なくとも部分的に導電性材料から作製されるが、他の方法では任意の好適な種類であってもよい。いくつかの実施形態では、ボタンアクチュエータは、金属、プラスチック、又はこれらの組み合わせから作製される。いくつかの実施形態では、ボタンアクチュエータはドーム形状であり、ユーザがそれぞれのボタンを押下したときのボタンアクチュエータの変形を可能にする。
【0028】
本態様によるキーボードは、各データエントリボタンに対して、一次静電容量センサを更に含む。一次静電容量センサは、静電容量サンプリングによって、すなわち、一次静電容量センサの静電容量の変化を判定することによってそれぞれのデータエントリボタンのボタンアクチュエータの移動を判定するのに役立つ。本文脈では、ボタンアクチュエータに対する「移動」という用語は広く理解され、ボタンアクチュエータの位置変化を含むが、ボタンアクチュエータの変形も含むことに留意されたい。
【0029】
一次静電容量センサは、任意の好適な種類であってよく、その様々なものは当該技術分野において既知である。いくつかの実施形態では、一次静電容量センサは、例えば、内容全体が参照により本明細書に組み込まれる、米国特許第9543948号又は同第9430107号に記載されているように、相互静電容量センサである。いくつかの実施形態では、一次静電容量センサは、自己静電容量センサである。
【0030】
本態様によれば、ボタンアクチュエータは、一次静電容量センサの少なくとも静電容量サンプリング中に、画定された電位に結合される。このようにして、ボタンアクチュエータ、又はより正確にはボタンアクチュエータの導電部分は、一次静電容量センサに対するアクティブシールドとして機能し、その結果、典型的なサイドチャネル攻撃において一次静電容量センサの電気的変化を傍受又は監視することは、はるかに困難になる。
【0031】
例えば、いくつかの実施形態では、ボタンアクチュエータは、少なくとも静電容量サンプリング中に接地電位に結合又は接続される。他の実施形態では、ボタンアクチュエータは、少なくとも静電容量サンプリング中に接地電位とは異なる電位に結合される。いくつかの実施形態では、ボタンアクチュエータは、静電容量サンプリング中に、画定された電位に結合されるだけでなく、より長い期間にわたって結合される。いくつかの実施形態では、ボタンアクチュエータは、キーボードが操作可能である、すなわち、電源投入状態であるとき、画定された電位に恒久的に結合される。
【0032】
いくつかの実施形態では、それぞれのボタンのボタンアクチュエータは、少なくとも静電容量サンプリング中に、画定された電位に結合される。いくつかの実施形態では、全てのデータエントリボタンのボタンアクチュエータは、少なくとも静電容量サンプリング中に、画定された電位に結合される。後者の実施形態は、更に改善されたシールディング機能を提供する。
【0033】
いくつかの実施形態では、キーボードは、例えば、ハウジング、プロセッサ、好適な電源、ディスプレイ、メモリ、クレジットカードリーダ、プリンタ、及び通信ネットワークへのインターフェースのうちの1つ以上など、追加の構成要素を含んでもよい。いくつかの実施形態では、キーボードは、1つ以上のデータエントリボタンに加えて、前述のボタンアクチュエータ及び/又は一次静電容量センサを含まない、1つ以上の追加のボタンを含んでもよいことに留意されたい。例えば、典型的な販売時点情報管理(POS)クレジットカード端末用途では、キーボードは、記載したように(セキュアな)データエントリボタンの3×3のマトリックスを含み得るが、典型的な非セキュアな種類であり得る、電源オン/オフボタン及び「印刷」ボタンを含んでもよい。
【0034】
いくつかの実施形態では、キーボードは、一次静電容量センサの少なくとも静電容量サンプリングを制御するように、かつ少なくとも静電容量サンプリング中にボタンアクチュエータを画定された電位に結合するように構成された、キーボードコントローラを含む。キーボードコントローラは、限定することなく、マイクロコントローラ又はマイクロプロセッサを含む、任意の好適な種類であってよい。
【0035】
いくつかの実施形態では、各データエントリボタンは、ユーザによって押下され得るボタンキャップを含み、ボタンキャップは、それぞれ関連するボタンアクチュエータの第1の側に配置される。いくつかの実施形態では、一次静電容量センサは、ボタンアクチュエータの第1の側とは反対側の、ボタンアクチュエータの第2の側に配置される。
【0036】
いくつかの実施形態では、キーボードは、ボタンアクチュエータのうちの1つ以上に対するタンパリングを判定するためのシールド除去検出回路を更に含む。この文脈におけるタンパリングの判定は、限定することなく、ボタンアクチュエータ及び/又はボタンのうちの1つ以上の除去を含み得る。キーボードがボタンキャップを含むいくつかの実施形態では、タンパリングの判定は、ボタンアクチュエータのうちの1つへの人間による又は導電性プローブによる直接接触の検出を更に含んでもよく、このような接触は、ボタンのそれぞれのプラスチックボタンキャップの除去を示し得る。前述の実施形態は、キーボードのセキュリティを更に強化する。
【0037】
いくつかの実施形態では、シールド除去検出回路は、タンパリングが検出されると、データを消去する及び/又はキーボードの動作を一時停止するように構成される。いくつかの実施形態では、対応するLEDなど、タンパリングインジケータが作動される。いくつかの実施形態では、タンパリングが検出されると、タンパリングインジケータメッセージがリモートサーバに提供される。いくつかの実施形態では、キーボードコントローラは、シールド除去検出回路に接続されており、シールド除去検出回路の動作を制御するように構成される。
【0038】
シールド除去検出回路は、任意の好適な種類であってよい。いくつかの実施形態では、シールド除去検出回路は、データエントリボタンのそれぞれに対して、二次静電容量センサを含む。二次静電容量センサは、任意の好適な種類、例えば、相互静電容量センサ又は自己静電容量センサであってよい。いくつかの実施形態では、二次静電容量センサは、ボタンがユーザによって押されたかどうかを判定するように構成されていなくてもよく、ボタンアクチュエータのうちの1つに対するタンパリングを判定するようにのみ、構成されていてもよいことに留意されたい。
【0039】
いくつかの実施形態では、二次静電容量センサは、ボタンアクチュエータと一次静電容量センサとの間に配置される。本実施形態は、非常にコンパクトなセットアップをもたらす。
【0040】
いくつかの実施形態では、キーボードは、少なくとも1つのプリント回路基板を含み、このプリント回路基板は、一次静電容量センサ及び二次静電容量センサのうちの1つ以上を含む。特に、いくつかの実施形態では、一次静電容量センサは、プリント回路基板の中間層に配置される。後者のセットアップは、塵埃又は他の環境影響がユーザのボタン押しの検出を妨げないので、キーボードの信頼性を更に高める。
【0041】
別の態様によれば、少なくとも1つの販売時点情報管理(POS)トランザクションプロセッサと、ユーザによって押下され得る1つ以上のデータエントリボタンとを含むPOSデバイスが提供される。POSデバイスは、データエントリボタンのそれぞれに対して、ユーザがそれぞれのボタンを押下すると移動可能な、ボタンアクチュエータと、静電容量サンプリングによってそれぞれのデータエントリボタンのボタンアクチュエータの移動を判定するように配置された、一次静電容量センサと、を更に含む。本態様によれば、ボタンアクチュエータは、少なくとも部分的に導電性材料から作製され、ボタンアクチュエータは、少なくとも静電容量サンプリング中に、画定された電位に結合されて、一次静電容量センサを傍受からシールドする。
【0042】
本態様によるPOSデバイスは、更なる実施形態において、前述の態様を参照して前に議論した実施形態のうちの1つ以上に従って構成されてもよい。本態様の説明に使用される用語及びそれらの定義に関しては、前述の態様の議論を参照する。
【0043】
いくつかの実施形態では、POSトランザクションプロセッサは、接続されたクレジットカードリーダのクレジットカードトランザクションを処理するように構成される。
【0044】
別の態様によれば、キーボードによるセキュアなデータエントリの方法が提供される。前記キーボードは、ユーザによって押下され得る1つ以上のデータエントリボタンと、該データエントリボタンのそれぞれに対して、前記ユーザが前記それぞれのデータエントリボタンを押下すると移動可能な、かつ少なくとも部分的に導電性材料から作製された、ボタンアクチュエータと、一次静電容量センサとを含む。本態様の方法は、前記ボタンアクチュエータの移動を判定するために前記一次静電容量センサをサンプリングするステップと、少なくとも前記サンプリング中に、前記一次静電容量センサを傍受からシールドするために前記ボタンアクチュエータを画定された電位に結合又は接続するステップと、を含む。
【0045】
本態様による方法は、更なる実施形態において、前述の態様を参照して前に議論した実施形態のうちの1つ以上に従って構成されてもよい。本態様の説明に使用される用語及びそれらの定義に関しては、前述の態様の議論を参照する。いくつかの実施形態では、前述の方法の、前記ボタンアクチュエータの移動を判定するために前記一次静電容量センサをサンプリングするステップ、及び少なくとも前記サンプリング中に、前記一次静電容量センサを傍受からシールドするために前記ボタンアクチュエータを画定された電位に結合するステップは、前記キーボードの動作中に繰り返される。
【0046】
ここで、実施形態の様々な要素に数字表示が与えられ、更なる実施形態が議論される図面を参照する。
【0047】
構成要素、セクション、部品、プロセス工程、及び他の要素に対する具体的な言及は、限定することを意図するものではない。更に、代替的な図を参照するとき、同様の部品が同じ参照番号を有することは理解される。図は概略的であり、当業者の読者に対する手引きとして提供され、必ずしも縮尺どおりに描かれていないことに更に留意されたい。むしろ、図に示される構成要素の様々な図面の縮尺、アスペクト比、及び番号は、特定の特徴又は関係性の理解を容易にするために、意図的に歪められ得る。
【0048】
当業者であれば容易に認識するように、電子的な支払い、又は電子的な(例えば、コンピュータアクセス)若しくは物理的な(例えば、建物)リソースへのアクセスなどのためのアクセス制御の分野では、特にパスワードを入力するとき、パスワードがセキュアなままであり、その正規ユーザにのみ知られていることが重要である。最近では、悪意のある第三者は、端末に近接して「スキャナ」を置くことにより、販売時点情報管理(POS)クレジットカード端末から個人識別番号(PIN)を取得しようとしており、このスキャナは、キーパッドの列及び行回路の低/高の信号変化を追跡する。以下では、セキュアなデータエントリのためのキーボードを含み、悪意のある第三者によるスキャニング攻撃の成功の機会を低減する、例示的なPOSデバイス1を、より詳細に説明する。
【0049】
図1は、販売時点情報管理(POS)デバイス/システム1、すなわち、POSクレジットカード/デビットカード処理端末の第1の実施形態を示す。POSデバイス1は、ディスプレイ2と、磁気カードリーダ3aと、チップリーダ3bと、特に、セキュアなデータエントリのためのキーボード4とを含む。図2は、更なる構成要素、すなわち、通信インターフェース5、POSプロセッサ6、及び電源7を示す、POSデバイス1の概略ブロック図を示す。POSプロセッサ6は、POSデバイス1の動作を制御し、マイクロプロセッサ及びメモリを含み、後者は、ファームウェア、すなわち、POSデバイス1のトランザクション処理機能を提供するソフトウェアを含む。通信インターフェース5は、プライベート又は公衆ネットワークへの接続のための有線/無線LANイーサネットインターフェースであり、典型的なPOSデバイス1に対応して、リモートトランザクション処理サーバにトランザクションデータを送信し、リモートトランザクション処理サーバからそれぞれのトランザクションのための許可を取得するのに役立つ。POSデバイス1は、デバイス1の全ての他の構成要素に動作電力を提供するための電源7を更に含む。図2では、図面を不明瞭にしないように、電源7からの接続及び電源7への接続は省略されている。
【0050】
以下では、キーボード4のセットアップを詳細に説明する。キーボード4の部分分解図が図3に示されている。図面に示されるように、キーボード4は、それぞれがプラスチックボタンキャップ31及びボタンアクチュエータ32を含む、複数のデータエントリボタン30を含む。本実施形態におけるボタンアクチュエータ32はドーム形状であり、金属製である。ボタンアクチュエータ32は、ユーザがそれに力を加えると、すなわち、それぞれのデータエントリボタン30を押下すると変形可能であり、それぞれのボタンが押下されたことを示すために使用される。ボタンアクチュエータ32はまた、ユーザの力が取り除かれると、データエントリボタン30がその元の位置に戻るように、バネとしても機能する。
【0051】
キーボード4は、多層プリント回路基板(PCB)33を更に含む。PCBの中間層35は、複数の一次静電容量センサ40、すなわち、ボタン30当たり1つのセンサ40を含む。一次静電容量センサ40は、静電容量サンプリングによってユーザがそれぞれのデータエントリボタン30を押下したかどうかを検出するために使用される。一次静電容量センサ40は、相互静電容量センサである。
【0052】
図4は、中間PCB層35の概略上面図を示す。各一次静電容量センサ40は、送信(TX)ノード41及び受信(RX)ノード42を含み、これらのノードは、行/列セットアップでキーボードコントローラ43と接続される。キーボードコントローラ43は、図6を参照して以下に詳細に説明する、最下PCB層37に置かれることに留意されたい。
【0053】
静電容量サンプリング中のキーボードコントローラ43は、各一次静電容量センサ40の送信ノード41と受信ノード42との間にパルス電界を発生させ、複数のパルスにわたって、電界が変化したかどうかを判定する。本実施形態におけるTXノード41とRXノード42との間の電界は、金属ボタンアクチュエータ32に影響される。ユーザがそれぞれのデータエントリボタン30を押下することによってアクチュエータ32が変形すると、関連する一次静電容量センサ40内の電界は変化し、これにより、ボタン30がユーザによって押されたことをキーボードコントローラに示し、次いで、キーボードコントローラは、対応する情報をPOSプロセッサ6に提供する。
【0054】
ユーザがボタン30を押したときの相互静電容量センサ40の信号変化は、電気接点を使用する従来技術のキーボードと比較して、相対的に小さい。したがって、悪意のある第三者によって信号変化を監視される可能性が低減される。加えて、本セットアップは、閉鎖及び開放される電気接点に依存しないキー押下検出を提供し、これは、電気接点を使用するキーボードにおいて問題となり得る塵埃、湿気の存在などの環境条件に関係なく、信頼性の高いセットアップを提供する。
【0055】
キーボード4の内部信号に対する傍受の可能性を更に低減するために、キーボードコントローラ34は、一次静電容量センサ40の静電容量サンプリング中に金属ボタンアクチュエータ32を接地電位に結合する。したがって、金属ボタンアクチュエータ32は、一次静電容量センサ40のためのアクティブシールドを形成する。
【0056】
図5の概略上面図に示される上部PCB層34によって、更なるアクティブシールディング機能が提供される。PCB層34は、本実施形態において自己静電容量センサ50として形成される、二次静電容量センサ50を含む。二次静電容量センサ50の目的は、2つの部分からなる。一方では、二次静電容量センサ50は、一次静電容量センサ40のための追加のシールディングを提供する。他方では、二次静電容量センサ50はボタンアクチュエータ32と共に、シールド除去検出回路51の一部を形成して、デバイス1がタンパリングされているかどうか、例えば、一次静電容量センサ40をシールドする金属ボタンアクチュエータ32が触れられているか、又は除去されているかどうかの判定を可能にする。
【0057】
二次静電容量センサ50は、一次静電容量センサ40の上に配置され、コスト削減のために、キーボードコントローラ43に5列で接続される。これが可能であるのは、前述したように、二次静電容量センサ50は、どのボタン30がユーザによって押下されているかを判定するように設計されてなく、ボタンアクチュエータ32又は上部PCB層34を悪意のある人が除去することなどによって、任意のボタン30がタンパリングされたかどうかを監視するように設計されているからである。二次静電容量センサ50はまた、ボタンアクチュエータ32が人間又は導電性プローブによって直接触れられているかどうかも判定し、いずれが触れている場合も、ボタンキャップ31が除去されていることを示す。
【0058】
二次静電容量センサ50及び一次静電容量センサ40は、キーボードコントローラ43によって順にサンプリングされる。一次静電容量センサ40の静電容量サンプリング中、ボタンアクチュエータ30は、二次静電容量センサ50を介して、接地電位に制御される。二次静電容量センサ50の静電容量サンプリング中、すなわち、通常動作では、ボタンアクチュエータ32が除去されているかどうかが判定される。二次静電容量センサ50は、ユーザがボタンキャップ31を押しているかどうかの判定には使用されないことに留意されたい。代わりに、ボタンアクチュエータ32が除去されると、又は前述したように、ボタンアクチュエータ32に直接触れると、信号変化が判定される。これらの場合、キーボードコントローラ43は、図7のフローチャートから分かるように、静電容量サンプリングを停止し、POSプロセッサ6にアラートを送信して、POSプロセッサ6内のセキュアデータを削除し、明白なタンパリングをリモートトランザクション処理サーバに通知する。
【0059】
図5に示すように、上部PCB層34、すなわち、二次静電容量センサ50の外側の領域は、接地52に接続される。PCB層34は、一次静電容量センサ50の更なる改善されたシールディングのために、連続金属化部又は、例えば、「ハッシュ型」金属化部を含んでもよい。対応する金属化部は、追加のシールディングのために底部中間PCB層36に存在する。
【0060】
図6は、底部PCB層37の概略上面図を示す。前述のように、層37は、キーボードコントローラ43を含み、PCB層34及び35への、並びにバス接続60を使用したPOSプロセッサ6への様々な接続を含む。電力接続及び他の接続は、図6に示されていない。
【0061】
図8は、参照番号32a及び32bでマークされた、ボタンアクチュエータ32の代替実施形態を示す。ボタンアクチュエータ32bのセットアップは、アクチュエータの平坦部がPCB 34の表面に接近することを防止し、ボタンアクチュエータが押下されたときの場の変化が小さくなる。このセットアップは、傍受に対する更なる改善された抵抗を提供する。
【0062】
記載された実施形態の利益としては、a)相互静電容量センサを使用し、その結果、ユーザによってボタンが押下されたときの信号変化が比較的小さくなることによる、傍受に対するセキュリティの強化、b)配置が環境条件、特に塵埃の影響を受けにくいこと、c)ボタンが押下されているかどうかを判定するのに電気接点が使用されないことによる信頼性の向上、d)銀ペーストマスクを使用する従来技術の設計と比較して削減されたコスト、及びe)ユーザに触覚フィードバックを提供するバネとして機能する、ボタンアクチュエータの使用が挙げられる。
【0063】
本発明は、図面及び前述の説明において詳細に例示及び説明されてきたが、そのような例示及び説明は、説明的又は例示的であり、限定的ではないと見なされるべきであり、本発明は、開示される実施形態に限定されない。例えば、本発明を以下の実施形態で動作させることが可能である。
(1)相互タッチセンサ及び自己タッチセンサを組み合わせて、POS、リソース(電子的又は物理的)アクセス用途のためのセキュアなキーパッドを形成し、
(2)相互タッチセンサは、全ての個々のプラスチックボタンの下に配置されて中間PCB層に埋め込まれ、相互タッチセンサは、TX線とRX線との間の小さい相互コンデンサの変化をサンプリングするように設計され、
(3)金属ドームボタンアクチュエータは、相互コンデンサセンサをサンプリングするときにGNDに結合され、ユーザがボタンのプラスチック部を押すと、これは、金属ドームの歪みをもたらし、金属ドームの歪みは、金属ドームの中央部とPCB表面との間の距離の変化をもたらし、結果として、この実施形態でサンプリングされる相互コンデンサの変化を引き起こし、
(4)自己タッチセンサは、全ての個々の相互タッチセンサの頂部を覆い、自己タッチセンサは、いくつかのグループに分割され、
(5)自己タッチセンサは、どのボタンがユーザによって押されているかを判定するように設計されていないが、任意のキーパッドが人によってむき出しにされていないか、又は人によって触れられていないかどうかを監視するように設計されており、
(6)自己タッチセンサ及び相互センサは、順にサンプリングされ、通常動作では、自己タッチセンサは、ユーザがボタンのプラスチック部の頂部を押したときに、自己信号変化をもたらさず、
(7)自己センサが信号変化(すなわち、タッチ信号又は反タッチ信号)を検出すると、タッチコントローラは、相互タッチサンプルタイミングを停止し、メインコントローラにアラートを送信して、POS内のセキュアデータを削除し、及び/又は
(8)自己センサパッドは、自己サンプリングのときは金属ドームと接触して自己センサを形成し、及び/又は相互サンプリングのときはGNDに結合される。
(1)相互タッチセンサ及び自己タッチセンサを組み合わせて、POS、リソース(電子的又は物理的)アクセス用途のためのセキュアなキーパッドを形成し、
(2)相互タッチセンサは、全ての個々のプラスチックボタンの下に配置されて中間PCB層に埋め込まれ、相互タッチセンサは、TX線とRX線との間の小さい相互コンデンサの変化をサンプリングするように設計され、
(3)金属ドームボタンアクチュエータは、相互コンデンサセンサをサンプリングするときにGNDに結合され、ユーザがボタンのプラスチック部を押すと、これは、金属ドームの歪みをもたらし、金属ドームの歪みは、金属ドームの中央部とPCB表面との間の距離の変化をもたらし、結果として、この実施形態でサンプリングされる相互コンデンサの変化を引き起こし、
(4)自己タッチセンサは、全ての個々の相互タッチセンサの頂部を覆い、自己タッチセンサは、いくつかのグループに分割され、
(5)自己タッチセンサは、どのボタンがユーザによって押されているかを判定するように設計されていないが、任意のキーパッドが人によってむき出しにされていないか、又は人によって触れられていないかどうかを監視するように設計されており、
(6)自己タッチセンサ及び相互センサは、順にサンプリングされ、通常動作では、自己タッチセンサは、ユーザがボタンのプラスチック部の頂部を押したときに、自己信号変化をもたらさず、
(7)自己センサが信号変化(すなわち、タッチ信号又は反タッチ信号)を検出すると、タッチコントローラは、相互タッチサンプルタイミングを停止し、メインコントローラにアラートを送信して、POS内のセキュアデータを削除し、及び/又は
(8)自己センサパッドは、自己サンプリングのときは金属ドームと接触して自己センサを形成し、及び/又は相互サンプリングのときはGNDに結合される。
【0064】
開示される実施形態に対する他の変形例は、当業者によって、特許請求される発明を実施する際に、図面、開示、及び添付の特許請求の範囲の研究から理解及び達成され得る。請求項において、「含む(comprising)」という語は、他の要素又はステップを除外せず、不定冠詞「a」又は「an」は、複数を除外しない。単一のプロセッサ、モジュール、又は他のユニットは、請求項に記載されたいくつかの項目の機能を満たすことができる。
【0065】
特定の手段が相互に異なる従属請求項に記載されているという単なる事実は、これらの手段の組み合わせを有利に利用することができないことを示すものではない。コンピュータプログラムは、他のハードウェアと共に又はその一部として供給される、光学記憶媒体又はソリッドステート媒体などの好適な媒体に記憶/配布され得るが、インターネット又は他の有線若しくは無線通信システムを介するなど、他の形態で配布されてもよい。特許請求の範囲における任意の参照符号は、範囲を限定するものとして解釈されるべきではない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】