一种认证交易的方法技术

本发明专利技术提供了一种认证交易的方法。在计算设备上，将识别移动设备的移动设备ID与支付账户的支付ID相关联地存储；从移动设备接收数字签名和移动设备ID，数字签名是通过签署与所述交易相关联的交易数据计算的；取回与移动设备ID相关联的支付ID；使用公钥验证数字签名，公钥与存储在移动设备上的私钥相对应；在成功验证数字签名后，就允许使用支付ID进行交易的支付。在移动设备上，接收输入以执行交易；通过利用私钥用密码签署与交易相关联的交易数据来计算数字签名；发送数字签名和移动设备的移动设备ID到计算设备以验证数字签名从而用于认证交易，计算设备在其上与支付账户的支付ID相关联地存储了移动设备ID；从计算设备接收交易完成的确认。

Method for authenticating transaction

The present invention provides a method for authenticating transactions. On the computing device, the recognition of mobile devices mobile devices ID and payment account payment ID associated storage; from the mobile device receives the digital signature and ID mobile devices, digital signature is signed by the transaction associated with the transaction data; retrieve equipment ID associated ID and mobile payment; the use of digital signature authentication, public key and private key is stored on the mobile device corresponding; success in digital signature verification, allows transactions to pay ID payment. On the mobile device, receiving input to the execution of the transaction; by using a private key with a password to sign associated with the transaction transaction data linked to calculate digital signature; digital signature and send mobile devices ID mobile devices to a computing device to verify the digital signature for authentication and transaction, computing devices on the payment and payment account associated ID the mobile storage device ID; the computing device receives confirmation from the completion of the transaction.

【技术实现步骤摘要】
一种认证交易的方法相关申请的交叉引用本申请是申请号为201180067465.3的专利技术专利申请的分案申请，要求2010年12月14日提交的加拿大专利申请No.2,724,297、2011年6月14日提交的加拿大专利申请No.2,743,035、2011年6月16日提交的美国专利申请No.13/162,324、2011年8月11日提交的加拿大申请No.2,748,481、以及2011年8月12日提交的美国临时申请No.61/522,862的优先权，以上申请的全部内容通过引用结合于本申请中。
下文主要涉及通过移动设备执行交易。
技术介绍
到达支付网站或支付网页的用户体验可以说非常繁琐，并且为了进行交易，用户体验可能涉及很多用户输入，而这是被公认的。个人计算机允许通过诸如计算机鼠标和键盘的各种人工输入设备快速完成多级基于网站的交易，与个人计算机不同，移动设备(例如移动电话、个人数字助理、膝上型计算机、平板计算机和其他无线设备)通常只有一个输入设备，在完成基于网站的交易时导致令人沮丧的慢速体验。而且，必须多次向很多卖家或服务提供商提供数据会导致不方便，容易出错，并且最终不太安全。一些方法已试图通过将相关数据存储在服务器系统上而一次单“击”完成交易来解决这个问题。虽然这种方法可以减轻用户必须多次提供数据的麻烦，但移动设备用户可能会意外地表明想要完成交易的意图。这种意外可能非常不方便并且成本很高，这是因为交易可能是不可逆的或不能被取消的。至少，试图逆转意外交易是令人沮丧和耗时的。其他方法，例如“表单向导”和密码存储区，试图通过将之前键入的值保存在持久存储区中而存储相关数据来解决该问题。不幸地，一些密码存储区和表单向导是不安全的，可能以明文或使用弱加密来存储密码，程序设计不佳并且暴露各种漏洞，或者不需要密码。这种不安全的特征可允许设备的未授权用户无限制地访问所存储的值。此外，该机制可能无法在多个卖家或服务提供商之间工作，因为每个卖家或服务提供商可能需要不同的数据呈现方式或形式。通常，基于网站的交易使用认证的仅一个因素，例如用户名和密码进行认证。而且，一些基于网站的交易通过请求同一个认证因素的多项信息，例如询问信用卡号和密码两项，而将单因素认证伪装成多因素认证。在这种情况下，提供信用卡号不足以证明拥有具体信用卡；相反，已知的仅仅是信用卡号。被提供给任何数量的各方的共享令牌，例如信用卡号不具有合理受控的访问权；因此，信用卡号不是认证的合理因素。同样公认的是，移动商务和电子商务系统的传统设计和实现通常包括独立的服务器和各方，并且这种独立缺少用于指示和传播已发生攻击的警报的机制，潜在地使所有各方处于风险之中。还存在着不安全的客户端系统和移动设备，例如在客户端浏览器或有关的系统库中具有安全漏洞的客户端系统和移动设备，或者感染了病毒、木马、键盘记录器或类似恶意软件的客户端系统和移动设备，它们可允许敌手拦截或以其他方式获得敏感或个人可识别信息，例如信用卡号、健康卡号、驾驶执照号等。这种被盗信息可导致经济或名誉损失，被用于其他犯罪，或与任何数量的未授权的潜在非法的活动相结合地使用。这种信息还可能通过有形地窃取移动设备而被盗。类似地，不安全的服务器系统，例如具有失当物理访问控制的服务器系统、配置不佳的服务器、应用和/或防火墙、不安全的数据存储、不必要的延长的保留时期和/或弱的或不存在的加密等，使持卡人数据处于被泄密的风险之中。试图消除这些不安全的做法，一些收单方和收单处理机构要求商家在被授予信用卡处理许可证之前需经过PCI-DSS(支付卡行业数据安全标准)认证。虽然商家和持卡人都从PCI-DSS认证中受益，但一些商家也许不能或不愿支付PCI-DSS认证过程中涉及的相关联的资金(例如用于渗入测试、购买或更新SSL证书、实现适当的物理访问控制、改变现有系统以合规等的费用)。从用户的角度来看，当订阅很多不同网站或与很多不同网站打交道时，用户会很快收集到许多账户，这些账户通常是由身份(通常被称为“用户名”)和密码组成。虽然这会有利于产生强划分性(假如每个账户可以具有强的唯一密码)，但一些用户对他们需要记住的那么多的密码感到不知所措。实际上，一些用户选择了容易猜测的密码或者将同一个密码重复用于多个账户。不幸地，这可能导致用户的账户被泄密，可能造成身份盗用、金钱损失或其他类似的不利的后果。从另一个角度来看，商家在接受信用卡时也可能成为欺诈行为的受害者，这可能造成经济损失、名誉损失或处理许可证的吊销。通常，选择接受来自其网站的信用卡交易的商家最终对接受欺诈交易负有经济责任。为了防止这种欺诈交易，商家可选择使用一种叫做3DSecure(一些熟知的实现在VISA的VerifiedByVisa、MasterCard的MasterCardSecureCode和JCBInternational的J/Secure商标下可用)的方法，该方法有效地将经济责任转移到信用卡持卡人的发卡方，并且可能转移到信用卡持卡人。虽然这减小了商家承担的经济风险，但一些商家可能由于一些3DSecure实现的一个广受批评的组件而选择了不使用3DSecure。3DSecure的一个备受批评的组件一直是看起来松懈的实现限制，而发卡方的实现决定使其更加糟糕。3DSecure协议允许每个商家决定如何呈现信用卡持卡人的发卡方认证网页(值得注意地，通过使用内嵌框架(“iframes”)、弹出式窗口或浏览器重定向)。其结果是，“网络钓鱼”或肆无忌惮地从不怀疑的用户采集或收集敏感数据对于信用卡持卡人来说成为一种风险。综上所述，可以理解，用于提高电子商务和移动商务交易过程中的安全性的方法和系统是非常令人期望的。附图说明将参照附图仅通过举例的方式描述本专利技术或多个专利技术的实施例，其中：图1为用于认证由移动设备发起的交易的系统的一个示例性实施例的示意图。图2为图1中的系统的一个示例性实施例的示意图，示出了在移动设备、支付网关、补充服务器和支付服务器上存储了哪些数据组件，以及数据在它们之间的移动。图3为示出了支付网关、补充服务器和支付服务器之间的信息转移以认证交易的一个示例性实施例的示意图。图4为示出了支付网关、补充服务器和支付服务器之间的信息转移以认证交易的另一个示例性实施例的示意图。图5为示出了支付网关、补充服务器和支付服务器之间的信息转移以认证交易的另一个示例性实施例的示意图。图6为示出了支付网关、补充服务器和支付服务器之间的信息转移以认证交易的另一个示例性实施例的示意图。图7为图示了用于与支付ID相关联地注册移动设备的示例性计算机可执行指令的流程图。图8为图示了在图7所示的注册之后用于认证交易的示例性计算机可执行指令的流程图。图9为图示了用于使用随机数值与支付ID相关联地注册移动设备的示例性计算机可执行指令的流程图。图10为图示了在图9所示的注册之后用于认证交易的示例性计算机可执行指令的流程图。图11为用于移动设备从用户接收注册信息的示例性GUI的屏幕截图。图12为在交易过程中用于移动设备接收包括CVV的补充ID的示例性GUI的屏幕截图。图13为在交易过程中用于移动设备接收包括3DSecure的密码的补充ID的示例性GUI的屏幕截图。图14为图示了用于注册与支付ID相关联的移动设备的示本文档来自技高网...

【技术保护点】
一种使用数字签名来认证交易的方法，所述方法由计算设备执行，其特征在于，所述方法包括：‑将识别移动设备的移动设备ID与支付账户的支付ID相关联地存储；‑从所述移动设备接收数字签名和所述移动设备ID，所述数字签名是通过签署与所述交易相关联的交易数据计算的；‑取回与所述移动设备ID相关联的支付ID；‑使用公钥验证所述数字签名，所述公钥与存储在所述移动设备上的私钥相对应；并且‑在成功验证所述数字签名后，就允许使用所述支付ID进行所述交易的支付。

【技术特征摘要】
2010.12.14 CA 2724297;2011.06.14 CA 2743035;2011.01.一种使用数字签名来认证交易的方法，所述方法由计算设备执行，其特征在于，所述方法包括：-将识别移动设备的移动设备ID与支付账户的支付ID相关联地存储；-从所述移动设备接收数字签名和所述移动设备ID，所述数字签名是通过签署与所述交易相关联的交易数据计算的；-取回与所述移动设备ID相关联的支付ID；-使用公钥验证所述数字签名，所述公钥与存储在所述移动设备上的私钥相对应；并且-在成功验证所述数字签名后，就允许使用所述支付ID进行所述交易的支付。2.一种使用数字签名来认证交易的方法，所述方法由移动设备执行，其特征在于，所述方法包括：-接收输入以执行所述交易；-通过利用私钥用密码签署与所述交易相关联的交易数据来计算所述数字签名；-发送所述数字签名和所述移动设备的移动设备ID到计算设备以验证所述数字签名从而用于认证所述交易，所述计算设备在其上与支付账户的支付ID相关联地存储了所述移动设备ID；并且-从所述计算设备接收所述交易完成的确认。3.一种认证交易的方法，其特征在于，所述方法包括：-移动设备接收补充ID，所述补充ID用于验证支付账户的支付ID，所述移动设备在其上存储了支付ID；-所述移动设备将所述移动设备ID发送到支付网关，所述支付网关在其上与所述移动设备ID相关联地存储了所述支付ID；-所述支付网关取回与所述移动设备ID...

【专利技术属性】
技术研发人员：西蒙·劳，丹尼斯·潘，理查德·伯尼森，杰里·波克瑟，
申请(专利权)人：极限移动有限公司，
类型：发明
国别省市：加拿大,CA