基于云的交易方法和系统技术方案

用于当使用通信设备进行交易时增强通信设备的安全性的技术可以包括使用用途受限密钥(LUK)生成交易密码、并且向访问设备发送替代实际账户标识符的令牌和该交易密码以进行该交易。该LUK可以与对该LUK的使用进行限制的一个或多个用途受限阈值的集合相关联，并且可以至少基于该LUK的使用是否已经超过该一个或多个用途受限阈值的集合来授权该交易。

【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本申请要求2013年12月19日提交的61/918,643号美国临时申请、2014年2月18日提交的61/941,227号美国临时申请、2014年4月21日提交的61/982,169美国临时申请、和2014年4月24日提交的61/983,635号美国临时申请的优先权益，为了所有目的，这些申请通过引用以其全部内容并入本文。背景便携式通信设备的能力的进步已经允许便携式通信设备(如智能电话)用作支付仪器来进行非接触式交易。例如，便携式通信设备可以放置在访问设备(如销售点(POS)终端)附近来将账户信息从便携式通信设备传输至访问设备来进行交易。为了提供安全的操作环境来将账户信息安全地存储在便携式通信设备上，使用安全元件，诸如订户身份模块(SIM)卡、内置到便携式通信设备中的专用集成芯片、或作为售后市场解决方案提供的专用部件。在交易时，安全元件直接与便携式通信设备的非接触式接口(例如，近场通信(NFC)收发器)通信以将支付数据传递至访问设备的非接触式读取器。认为安全元件是安全的，因为账户信息存储在防窜改硬件中，该防窜改硬件保护账户信息免受可能感染在便携式通信设备上运行的操作系统或应用的恶意软件或病毒。然而，便携式通信设备中所使用的安全元件通常不在金融机构的控制下，而是替代地在移动网络运营商(MNO)的控制下。因此，发卡行和/或支付处理器可能无法直接访问安全元件来为其提供账户证书和支付功能。为了获得对安全元件的访问，发卡行和/或支付处理器可能不得不与控制安全元件对安全元件进行空中(OTA)个性化的一方建立商业协定和技术连通性。这是既繁琐又复杂的过程。另外，并入安全元件增加了便携式通信设备的制造成本，并且增加成品便携式通信设备的成本。因此，在一些情况下，将令人期望的是使用不让安全元件进行支付的便携式通信设备。或者，如果便携式通信设备具有安全元件，则可能令人期望的是不依赖于安全元件的使用。然而，因为不使用安全元件，交易安全性将是关注的问题。本专利技术的实施例单独和共同地解决了这些和其他问题。确切地，本专利技术的实施例通过使用没有或不依赖于安全元件的移动通信设备进行支付交易解决了安全性关注问题。简要概述本专利技术的实施例提供了用于当使用通信设备(例如，便携式通信设备)进行交易时增强通信设备的安全性的技术。可能具有或可能不具有安全元件的通信设备可以使用本文中所描述的技术，因为这些技术不要求使用安全元件来保护账户证书的安全。本专利技术的实施例替代地利用用途受限账户参数，这些参数可以具有有限使用期、并且一旦期满可能不再用于进行交易，直至从云(例如，远程计算机)补充用途受限账户参数。因此，使用本文中所描述的技术进行的交易可以被称为“基于云的交易”。根据一些实施例，一种用于当使用通信设备进行交易时增强通信设备的安全性的方法可以包括从远程计算机接收用途受限密钥(limited-usekey；LUK)，该用途受限密钥与对该LUK的使用进行限制的一个或多个用途受限阈值的集合相关联。该方法还可以包括：使用该LUK通过该通信设备生成交易密码；并且通过该通信设备将替代实际账户标识符的令牌以及该交易密钥发送至访问设备来进行该交易。可以至少基于该LUK的使用是否已经超过该一个或多个用途受限阈值的集合来授权该交易。根据一些实施例，通信设备可以包括处理器；以及联接至该处理器并且存储移动应用的存储器，该移动应用执行操作以便在使用该通信设备进行交易时增强该通信设备的安全性。这些操作可以包括：接收用途受限密钥(LUK)，该用途受限密钥与对该LUK的使用进行限制的一个或多个用途受限阈值的集合相关联；使用该LUK生成交易密码；并且向访问设备发送替代实际账户标识符的令牌和该交易密码以进行该交易。可以至少基于该LUK的使用是否已经超过该一个或多个用途受限阈值的集合来授权该交易。根据一些实施例，一种用于当使用通信设备进行交易时增强通信设备的安全性的方法可以包括：通过计算机使用第一加密密钥对账户信息进行加密来生成第二加密密钥；并且使用该第二密钥对密钥索引信息进行加密来生成用途受限密钥(LUK)，其中，该密钥索引信息包括具有与该LUK的生成相关的信息的密钥索引。该方法还可以包括向该通信设备提供该LUK和该密钥索引以促成为使用该通信设备进行的交易生成交易密钥。可以基于该LUK和该交易密码授权该交易。根据一些实施例，一种当使用通信设备进行交易时增强通信设备的安全性的计算机可以包括处理器、以及存储计算机可读代码的存储器，当被该处理器执行时，该计算机可读代码致使该计算机：使用第一加密密钥对账户信息进行加密以生成第二加密密钥，使用该第二密钥加密密钥索引信息以生成用途受限密钥(LUK)，并且向该通信设备提供该LUK和该密钥索引以促成为使用该通信设备进行的交易生成交易密码。该密钥索引信息可以包括具有与该LUK的生成相关的信息的密钥索引。可以基于该LUK和该交易密码授权该交易。附图简要说明图1展示了根据一些实施例的基于云的交易系统的框图。图2展示了根据一些实施例的登记和配置过程的示例的通信流程图。图3展示了根据一些实施例的执行基于集成芯片的交易的示例的通信流程图。图4展示了根据一些实施例的执行基于磁条的交易的示例的通信流程图。图5展示了根据一些实施例的交易验证日志的示例。图6展示了根据一些实施例的后支付验证过程的示例的通信流程图。图7展示了根据一些实施例的账户参数补充过程的示例的通信流程图。图8展示了根据一些实施例的用于生成交易密钥的过程的示例。图9展示了根据一些实施例的加密函数的示例。图10展示了根据一些实施例的用于增强便携式通信设备的安全性的方法的示例的流程图。图11展示了根据一些实施例的用于增强便携式通信设备的安全性的另一种方法的示例的流程图。图12展示了根据一些实施例的便携式通信设备的示例的框图。图13展示了根据一些实施例的处于手动模式的移动应用的示例的状态图。图14展示了根据一些实施例的处于永远在线模式的移动应用的示例的状态图。图15展示了根据一些实施例的处于设备上验证式永远在线模式的移动应用的示例的状态图。图16展示了根据一些实施例的计算机系统的示例的框图。详细说明本专利技术的实施例提供了用于可以由具有或不具有安全元件的通信设备执行的基于云的交易的方法、设备、和系统。本本文档来自技高网...

【技术保护点】
一种用于在使用通信设备进行交易时增强该通信设备的安全性的方法，该方法包括：从远程计算机接收用途受限密钥(LUK)，该用途受限密钥与对该LUK的使用进行限制的一个或多个用途受限阈值的集合相关联；使用该LUK通过该通信设备生成交易密码；以及向访问设备发送替代实际账户标识符的令牌和该交易密码以进行该交易，其中，至少基于该LUK的使用是否已经超过该一个或多个用途受限阈值的集合来授权该交易。

【技术特征摘要】
【国外来华专利技术】2013.12.19 US 61/918,643;2014.02.18 US 61/941,227;1.一种用于在使用通信设备进行交易时增强该通信设备的安全性
的方法，该方法包括：
从远程计算机接收用途受限密钥(LUK)，该用途受限密钥与对该LUK
的使用进行限制的一个或多个用途受限阈值的集合相关联；
使用该LUK通过该通信设备生成交易密码；以及
向访问设备发送替代实际账户标识符的令牌和该交易密码以进行该交
易，其中，至少基于该LUK的使用是否已经超过该一个或多个用途受限阈
值的集合来授权该交易。
2.如权利要求1所述的方法，其中，该通信设备不将该LUK或该
令牌存储在安全元件中。
3.如权利要求1所述的方法，其中，接收该LUK进一步包括接收
包括与该LUK的生成相关的信息的密钥索引。
4.如权利要求3所述的方法，其中，该密钥索引和该交易密码一
起发送至该访问设备以进行该交易。
5.如权利要求3所述的方法，其中，该密钥索引包括指示何时生
成该LUK的时间信息。
6.如权利要求3所述的方法，其中，该密钥索引包括指示已经补
充该LUK的次数的补充计数器值。
7.如权利要求3所述的方法，其中，该密钥索引包括用作生成该
LUK的种子的伪随机数。
8.如权利要求3所述的方法，其中，该密钥索引包括交易计数器
值，该交易计数器值指示在生成该LUK时该通信设备的移动应用之前已经
进行的交易数量。
9.如权利要求1所述的方法，其中，该一个或多个用途受限阈值
的集合包括以下各项中的至少一项：
指示该LUK保持有效的持续时间的生存时间；
该LUK保持有效的预定交易数量；以及
指示该LUK保持有效的总交易金额的累积交易金额。
10.如权利要求1所述的方法，其中，该一个或多个用途受限阈值
的集合包括国际使用阈值和国内使用阈值。
11.如权利要求1所述的方法，其中，该LUK是第一LUK，并且
该方法进一步包括：
向该远程计算机发送对第二LUK的补充请求，该补充请求包括从存储
在该通信设备上的交易日志得到的交易日志信息；以及
当该补充请求中的该交易日志信息与该远程计算机处的交易日志信息
匹配时，从该远程计算机接收该第二LUK。
12.如权利要求11所述的方法，其中，该补充请求进一步包括第一
密钥索引，该第一密钥索引包括与该LUK的生成相关的信息，并且
接收该第二LUK包括接收与该第二LUK相关联的第二密钥索引。
13.如权利要求11所述的方法，其中，存储在该通信设备上的该交
易日志包括：
针对使用该LUK进行的每项交易：
指示相应交易的时间的交易时间戳；
与该相应交易相关联的应用交易计数器值；以及
指示该相应交易是基于磁条的交易还是基于集成芯片的交易的交
易类型指示符。
14.如权利要求11所述的方法，其中，发送至该远程计算机的该交
易日志信息包括至少在该交易日志内使用该LUK计算的认证码。
15.如权利要求11所述的方法，其中，响应于确定使用该LUK进
行的下一个交易将用尽该一个或多个用途受限阈值的集合而发送该补充请
求。
16.如权利要求11所述的方法，其中，响应于确定与该LUK相关
联的该一个或多个用途受限阈值的集合已经被用尽而发送该补充请求。
17.如权利要求11所述的方法，其中，响应于接收到请求该通信设
备补充该LUK的推送消息而发送该补充请求。

【专利技术属性】
技术研发人员：E·王，C·弗卢夏姆，O·麦克霍顿，E·洛佩茨，S·沙尔玛，C·琼斯，A·古格拉尼，J·O·萨万托，B·帕特尔，T·L·B·奥，
申请(专利权)人：维萨国际服务协会，
类型：发明
国别省市：美国;US