使用密钥管理中心的相互移动认证的系统、方法和服务器计算机的制作方法
【专利说明】使用密钥管理中心的相互移动认证的系统、方法和服务器计算机
[0001 ] 本申请是申请日为2011年3月31日申请号为201180013970.X、发明名称为“使用密钥管理中心的相互移动认证的系统、方法和服务器计算机”的中国专利申请的分案申请。
[0002]相关申请的交叉引用
[0003]本申请是于2010年3月31日提交的美国临时申请N0.61/319,698的非临时申请且要求该临时申请的优先权,该临时申请的全部内容通过援引通用地纳入于此。
[0004]背景
[0005]移动设备的使用近年来快速地增长。例如,移动设备用户现在有能力使用其移动电话进行支付。虽然移动支付为消费者提供了便捷工具,但移动支付也会存在安全问题。诸如消费者的个人信息、账户信息等敏感信息可能容易被截取。另外,如果移动设备丢失或失窃,此类信息可能被未授权用户使用。此外,随着移动支付应用的演进,不仅需要保护从移动设备发送的信息,还需要保护在传输期间发送给移动设备的信息。
[0006]例如,在使用带有嵌入式芯片的物理卡进行支付时,与支付卡相关联的发行方可在支付交易的过程期间更新该芯片中的数据。芯片数据可在支付交易响应中返回,支付交易响应包含用于更新芯片支付应用中的风险参数以及支付计数器的认证数据或脚本。这些发行方更新要求将卡插入接触式销售点终端。如果移动设备被用作支付设备,则移动设备不能被插入销售点终端以进行接触式销售点交易并接收发行方更新。因此,还需要用于用作支付设备的移动设备的发行方更新解决方案。
[0007]本技术的实施例涉及这些问题以及其他问题。
[0008]简要概述
[0009]本技术的实施例的各方面一般涉及用于认证的改进系统和方法。此类系统和方法通过在传送消息之前经由第三方移动网关认证移动设备来改进向和从移动设备传递的信息的安全性。
[0010]本技术的一个实施例针对一种认证方法。该方法包括从移动网关向消费者设备发送质询消息,该质询消息是响应于通信请求消息而发送的,其中该消费者设备被配置成用作支付设备。该方法还包括响应于该质询消息在移动网关处接收来自该消费者设备的质询响应消息。该方法还包括将该质询响应消息从移动网关发送给密钥管理中心,其中密钥管理中心被配置成管理用于与消费者设备通信的会话密钥。密钥管理中心验证该质询响应消息并且若该质询响应消息有效则允许第一实体与该消费者设备之间的通信交易。第一实体可以是例如与消费者设备相关联的发行方。
[0011]本技术的另一个实施例针对一种认证方法。该方法包括在密钥管理中心处经由移动网关从消费者设备接收质询响应消息,该质询响应消息是响应于由该移动网关发送给该消费者设备的质询消息而接收到的,其中该消费者设备被配置成用作支付设备。该方法还包括确定该质询响应消息是否有效并且若该质询响应消息有效则将安全信道响应消息从密钥管理中心发送给该消费者设备。该安全信道响应消息允许该消费者设备与第一实体之间的通?目O
[0012]本技术的另一个实施例针对一种系统。该系统包括移动网关和密钥管理中心。该移动网关被配置成向消费者设备发送质询消息以及响应于该质询消息接收来自该消费者设备的质询响应消息,其中该消费者设备被配置成用作支付设备。该密钥管理中心与移动网关通信并且被配置成从该移动网关接收该质询响应消息,确定该质询响应消息是否有效,以及若该质询响应消息有效则向该消费者设备发送安全信道响应消息。该安全信道响应消息允许该消费者设备与第一实体之间的通信。
[0013]本技术的另一个实施例针对一种服务器计算机。该服务器计算机包括处理器以及其上实施代码的计算机可读存储介质,其中该代码被配置成使该处理器执行方法。该方法包括经由移动网关从消费者设备接收质询响应消息,该质询响应消息是响应于由移动网关发送给该消费者设备的质询消息而接收到的,其中该消费者设备被配置成用作支付设备。该方法还包括确定该质询响应消息是否有效并且若该质询响应消息有效则将安全信道响应消息发送给该消费者设备。该安全信道响应消息允许该消费者设备与第一实体之间的通
?目O
[0014]以下进一步详细地描述本技术的这些和其它实施例。
[0015]附图简述
[0016]图1解说了移动网关环境中的交易流程图。
[0017]图2解说了移动网关和密钥管理中心的功能性的详细流程图。
[0018]图3解说了用于通信的协议的示例。
[0019]图4描绘了示例性消费者设备的框图。
[0020]图5解说了用于预设消费者设备的示例性流程图。
[0021]图6描绘了分布式系统中用于认证的示例性流程图。
[0022]图7描绘了集成系统中用于认证的示例性流程图。
[0023]图8解说了用于使用新的TCP连接来建立安全会话的示例性流程图。
[0024]图9解说了用于使用现有TCP连接来建立安全会话的示例性流程图。
[0025]图10描绘了计算机装置的示例性框图。
[0026]详细描述
[0027]本文所公开的实施例涉及用于认证消费者设备以创建用于消费者设备与第一实体之间的通信的安全信道的技术。消费者设备可以是例如移动电话,其可被配置成用作与支付处理网络相关联的支付设备。消费者设备可预设有支付相关应用并且可使用质询-响应认证经由第三方移动网关来认证。作为具体示例,当消费者设备经由该消费者设备上的应用请求与特定实体(例如,发行方银行)通信时,该通信请求被发送给移动网关。作为响应,移动网关向该消费者设备发送质询消息。消费者通过该消费者设备上的该应用向移动网关返回质询响应消息。移动网关将该质询响应发送给密钥管理中心进行验证。密钥管理中心管理用于消费者设备与不同实体通信的会话密钥并且可与支付处理网络相关联。密钥管理中心确定接收到的质询响应消息是否有效。若该质询响应消息是有效的,则安全信道响应消息被返回至移动网关并经由移动网关至消费者设备。安全信道响应消息包括允许消费者设备针对数种通信中的任一种通信经由安全信道与第一实体通信的会话密钥。例如,如果第一实体是与消费者设备相关联的发行方银行,则该安全信道可用于向消费者设备发送发行方更新。
[0028]本技术的各实施例提供了数个优点。移动网关架构通过在允许通信之前认证消费者设备来提供增加的安全性。此外,用会话密钥建立安全信道为正经由该信道传送的信息提供了增加的保护。另外,由于用于创建安全信道的移动网关架构是集中式的,因此该架构为可能希望向和从消费者设备传送信息的若干实体提供了灵活性。
[0029]在讨论本技术的具体实施例之前,可提供一些术语的进一步描述以更好地理解本技术的实施例。
[0030]“发行方”可以是为消费者发行并维护金融账户的任何银行。
[0031]“收单方”可以是为商家提供并维护金融账户的任何银行。
[0032]“支付处理网络”可以包括用于支持和递送授权服务、异常文件服务、以及清算和结算服务的数据处理子系统、网络、以及操作。
[0033]“授权请求消息”可以是包括诸如举例而言消费者设备的形式因子或发行方账户标识符等信息的消息。发行方账户标识符可以是与支付设备(例如,消费者设备)相关联的支付账户标识符。授权请求消息可请求该支付设备的发行方授权交易。根据本技术一实施例的授权请求消息可遵循ISO 8583,IS0 8583是用于交换由账户持有者使用支付设备进行的电子交易的系统的标准。
[0034]“服务器计算机”可以是功能强大的计算机或计算机集群。例如,服务器计算机可以是大型机、微型计算机集群或作为一个单元起作用的一群服务器。在一个示例中,服务器计算机可以是耦合到Web服务器的数据库服务器。
[0035]图1描绘了移动网关环境中的交易流程图。出于讨论的简单性,每种组件仅示出一个。然而应当理解,本技术的各实施例可包括一个以上的每种组件。另外,本技术的一些实施例可包括比图1中所示的所有组件要少的组件。此外,图1中的组件可使用任何合适的通信协议经由任何合适的通信介质(包括因特网)来通信。图1描绘了其中可实现移动网关和密钥管理中心的系统的示例。
[0036]图1示出能在本技术的实施例中使用的系统。该系统包括商家处的接入设备106(诸如非接触式支付销售点(POS)支付终端)以及与该商家相关联的收单方110。在典型的支付交易中,消费者可使用移动消费者设备104经由接入设备106在商家购买商品或服务。收单方110可经由支付处理网络112与发行方114通信。
[0037]消费者可以是个体或组织,诸如能够购买商品或服务的企业。
[0038]消费者设备104可以是用于非接触式支付的任何合适形式。例如,合适的消费者设备可以是手持式的且是小型的,以便其可以适合消费者的钱包和/或口袋(例如,袖珍型的)。消费者设备104通常包括处理器、存储器、输入设备、输出设备、以及近场通信(NFC)设备,其皆可操作地耦合到该处理器。消费者设备的具体示例可包括各种形式的便携式通信设备,诸如蜂窝或无线电话、平板电脑、智能电话、个人数字助理(PDA)、寻呼机、便携式计算机等。在一些实施例中,消费者设备104可与多个金融账户相关联,诸如与不同的支付账户(例如,信用账户、借记账户、或预付款账户)相关联。同样,消费者有可能具有与相同的基础金融账户相关联的多个消费者设备104。
[0039]支付处理网络112可以包括用于支持和递送授权服务、异常文件服务、以及清算和结算服务的数据处理子系统、网络、以及操作。示例性支付处理网络可包括VisaNet?。诸如VisaNet?等支付处理网络能够处理信用卡交易、借记卡交易、以及其它类型的商业交易。具体而言,VisaNet?包括处理授权请求的Visa集成支付(V