讨论了授权电子交易的方法,其中,用户装置接收共享密钥和共享密钥标识符。随后,在从交易终端接收到交易数据时,用户装置计算包括共享密钥的数据的单向散列,以生成散列值,生成包括散列值和共享密钥标识符的认证数据,并且将认证数据发送到交易终端。
【技术实现步骤摘要】
【国外来华专利技术】交易授权
本专利技术涉及用于授权电子交易的系统和方法,尤其但非排他地涉及授权使用支付装置在销售点进行的非接触式支付交易。
技术介绍
存在不使用现金进行支付交易的多种方法。例如,可以通过与电子支付终端交互来使用诸如支付卡等金融工具来实现支付,该电子支付终端可以位于诸如零售机构或餐馆等机构内的销售点(PoS)。支付卡可以包括磁条,该磁条包含诸如与账户持有人和可以从中提取交易资金的账户有关的数据等信息。通常通过读取进行交易所需的数据的磁卡读取器刷这种磁条支付卡。在另一示例中,一些支付卡嵌入有存储上述信息的半导体器件(“芯片”),并且在卡上提供用于与读卡器交互的接口。该接口通常采用物理导电盘的形式。使用金融工具的交易可能涉及用户的验证(认证)。例如,可能需要用户提供签名。可替换地,可能需要用户在提示时在终端上输入个人识别码(PIN)。PIN可以以加密的形式发送到服务器,用于在称为在线PIN验证的技术中进行验证。可替换地,在如上所述的包括芯片的金融工具的情况下,芯片可以包括存储PIN数据的安全存储器。在这种情况下,用户在提示时在终端上输入PIN,在通常称为离线PIN验证的技术中,将该PIN与存储在卡中的PIN进行比较。上述验证方法中的每一种方法都是耗时的,并且对用户是不方便的。还开发了不涉及用户验证的支付交易方法。已经开发了所谓的非接触式支付交易方法。非接触式支付装置具有天线,使得当非常接近非接触式支付终端时,能够与非接触式支付终端进行交互,以提供如上所述执行支付交易所需的信息。这种支付交易通常不要求用户执行验证过程(例如,如上所述,提供签名或PIN)。这使得支付交易能够快速且容易地执行,但也涉及更低安全等级的交易。已实施的针对欺诈行为的一项对策是在所有运行此类方法的国家对使用非接触式支付方法(无需用户验证)可以进行的交易额加以限制。对于高于该限制的交易,可能需要用户提供PIN,例如,在存在用于在线PIN验证的基础设施的情况下,或者可能要求用户使用不同的支付方法,例如,“芯片和PIN”。这意味着非接触支付交易的便利性降低了。对于非接触式支付交易,难以确保在非接触式支付装置与非接触式支付终端之间的通信。然而,用于在非接触式支付装置与非接触式支付终端之间通信的协议在实现新的数据安全技术方面灵活性有限。如果非接触支付装置包括用于访问互联网的功能(如在许多移动电话中存在的),则已经提出了各种在线数据安全技术。然而,在交易时需要互联网连接的数据安全技术的缺点在于,当交易发生时,互联网连接并不总是可用的。
技术实现思路
根据至少一个实施例,提供了用于支持或实现授权支付交易的功能的方法、装置、系统和软件。这通过每个独立权利要求中记载的特征的组合来实现。从属权利要求规定了各种实施例的进一步详细实现方式。根据第一方面,提供了一种授权交易的方法,所述方法包括用户装置:接收共享密钥和共享密钥标识符;从交易终端接收交易数据;计算包括所述共享密钥的数据的单向散列,以生成散列值;生成包括散列值和共享密钥标识符的认证数据;并且将认证数据发送到交易终端。在交易过程中不需要接收共享密钥和共享密钥标识符。因此,可以在交易之前将共享密钥提供给用户装置,因此,可以离线执行交易,即,不需要互联网连接,不需要将共享密钥从交易终端发送给用户装置。认证数据的传输可以使用现有非接触式交易协议中可用的数据格式来实现。该方法可以包括所述用户装置接收多个共享密钥和多个共享密钥标识符,每个共享密钥标识符对应于相应的共享密钥,其中,所述认证数据包括与用于计算散列值的共享密钥对应的共享密钥标识符。以这种方式,可以执行多个交易,而不需要互联网连接。所述用户装置可以经由第一通信链路接收所述共享密钥和所述共享密钥标识符,并且经由与所述第一通信链路不同的第二通信链路发送认证数据。所述第一通信链路可以使用互联网协议传送数据,并且所述第二通信链路可以使用近场通信协议传送数据。该方法可以进一步包括验证用户装置的用户的身份,用于计算散列值的数据还包括与身份验证有关的信息。验证用户的身份可以包括使用快速身份在线技术。所述交易可以包括非接触式支付交易,在这种情况下,所述支付终端包括非接触式支付终端,并且所述用户装置包括非接触式支付装置。根据第二方面,提供了一种验证交易的方法,所述方法包括验证平台:为用户装置提供共享密钥和共享密钥标识符;接收用于交易的认证数据,所述认证数据识别用户并且包括交易散列值和交易共享密钥标识符;验证所述交易共享密钥标识符与有效的共享密钥对应;通过计算包括与交易共享密钥标识符对应的共享密钥的数据的单向散列,来计算验证散列值;并且比较交易散列值和验证散列值,以确定交易是否有效。通过结合对应的共享密钥提供共享密钥标识符,验证平台能够识别用于计算交易散列值的共享密钥,而不需要在交易时提供形成部分交易过程的共享密钥。因此,可以在交易之前将共享密钥提供给用户装置,因此,可以离线执行交易,即,不需要互联网连接,不需要将共享密钥从交易终端发送给用户装置。验证平台可以为用户装置提供多个共享密钥和多个共享密钥标识符,每个共享密钥标识符对应于相应的共享密钥。以这种方式,可以执行多个交易,而不需要互联网连接。在接收到包括共享密钥标识符的认证数据之后,所述验证平台可以使与共享密钥标识符对应的共享密钥对于未来交易无效。以这种方式,提供针对重放攻击的保护。用于计算验证散列值的数据还可以包括与用户的身份相关的信息。根据本专利技术的第三方面,提供了一种设备,包括:第一接口,用于经由第一通信系统从远程装置接收共享密钥和共享密钥标识符;以及第二接口,用于经由第二通信系统从交易终端接收交易数据,所述设备被设置为计算包括所述共享密钥的数据的单向散列,以生成散列值,生成包括所述散列值和所述共享密钥标识符的认证数据,并且将所述认证数据发送到所述交易终端。根据本专利技术的第四方面,提供了一种设备,其被设置为向远程用户装置提供共享密钥和共享密钥标识符,所述设备还被设置为接收用于交易的认证数据,所述认证数据识别用户并且包括交易散列值和交易共享密钥标识符,验证所述交易共享密钥标识符对应于有效共享密钥,通过计算包括与交易共享密钥标识符对应的共享密钥的数据的单向散列,来计算验证散列值;并且比较交易散列值和验证散列值,以确定交易是否有效。根据参照附图进行的仅以示例的方式给出的优选实施例的以下描述,其他特征和优点将变得显而易见。附图说明图1示出了可以实施本专利技术的实施例的支付交易系统的示意图;图2示意性地示出了用于实施例中的支付装置;图3示意性地示出了用于实施例中的验证平台;以及图4示出了根据一个实施例的由用户装置和支付终端执行的认证过程的处理流程。具体实施方式图1示出了可以实现实施例的交易系统1。具体地,图1的交易系统是支付交易系统,在该系统中,移动装置100可以使用近场通信(NFC)通过第一通信链路104与非接触式支付终端102执行非接触式支付交易。NFC通信协议在ISO/IEC18092中标准化。在交易系统1中,非接触式支付终端102是位于商业场所(例如,商店、餐厅、电影院、车站或其他位置)中的销售点(PoS)终端,并且被设置为代表与PoS终端相关联的企业或其他实体处理支付交易。非接触式支付终端102能够维护或建立与收单方主机本文档来自技高网...
【技术保护点】
1.一种授权电子交易的方法,所述方法包括用户装置:接收共享密钥和共享密钥标识符;从交易终端接收交易数据;计算包括所述共享密钥的数据的单向散列,以生成散列值;生成包括所述散列值和所述共享密钥标识符的认证数据;并且将所述认证数据发送到所述交易终端。
【技术特征摘要】
【国外来华专利技术】2015.11.06 GB 1519676.91.一种授权电子交易的方法,所述方法包括用户装置:接收共享密钥和共享密钥标识符;从交易终端接收交易数据;计算包括所述共享密钥的数据的单向散列,以生成散列值;生成包括所述散列值和所述共享密钥标识符的认证数据;并且将所述认证数据发送到所述交易终端。2.根据权利要求1所述的方法,其中,所述用户装置接收多个共享密钥和多个共享密钥标识符,每个共享密钥标识符与相应的共享密钥对应,并且其中,所述认证数据包括与用于计算所述散列值的共享密钥对应的共享密钥标识符。3.根据权利要求1或2所述的方法,其中,所述用户装置经由第一通信链路接收所述共享密钥和所述共享密钥标识符,并且其中,所述用户装置经由与所述第一通信链路不同的第二通信链路发送所述认证数据。4.根据权利要求3所述的方法,其中,所述第一通信链路使用互联网协议传送数据。5.根据权利要求3或4所述的方法,其中,所述第二通信链路是无线通信链路。6.根据权利要求5所述的方法,其中,所述第二通信链路使用近场通信协议传送数据。7.根据前述权利要求中任一项所述的方法,还包括验证所述用户装置的用户的身份,其中,用于计算所述散列值的数据还包括与身份验证有关的信息。8.根据权利要求7所述的方法,其...
【专利技术属性】
技术研发人员:刘易斯·格雷厄姆,
申请(专利权)人:VISA欧洲有限公司,
类型:发明
国别省市:英国,GB
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。