用于移动设备的交易系统和方法

用于移动设备的交易系统和方法
【专利摘要】一种由下列各项构成的交易系统：包括显示器的移动设备；交易服务器；以及，被配置为在移动设备和交易服务器之间提供通信的通信网络，其中，所述移动设备被配置为通过所述通信网络，将标识信息传输到所述交易服务器，并且，其中，所述交易服务器被配置为：响应于所述移动设备传输的标识信息，标识所述移动设备；将所述标识的移动设备与特定接入点相关联；通过所述通信网络，将交易信息传输到所述移动设备，所述传输的交易信息响应于所述相关联的特定接入点，其中，所述移动设备被配置为响应于所述传输的交易信息，将信息输出到所述显示上。
【专利说明】用于移动设备的交易系统和方法
[0001]对相关申请的交叉引用
[0002]本申请要求20116 月 6 日提交的标题为 “SYSTEM AND METHOD FOR PERFORMINGA SECURE TRANSACTION”的美国临时专利申请S/N61/494, 946 ；2011年7月6日提交的标题为 “SYSTEM AND METHOD FOR PERFORMING A SECURE TRANSACTION” 的美国临时专利申请 S/N61/504, 754 ;2011 年 8 月 31 日提交的标题为 “METHOD AND APPARATUS FOR SECURETRANSACTIONS WITH A MOBILE DEVICE” 的美国临时专利申请 S/N61/529, 258 ;以及 2011年 12 月 4 日提交的标题为 “SYSTEM AND METHOD FOR SECURE TRANSACTION PROCESS VIAMOB ILE DEVICE ”的美国临时专利申请S/N61566, 660的优先权，这些申请中的每一个申请的全部内容以引用的方式并入本文中。
【技术领域】
[0003]本发明一般涉及交易系统的领域，具体而言，涉及用于和移动设备和交易服务器协同地提供交易相关信息的系统和方法。
【背景技术】
[0004]通过信用卡或贷记卡进行支付代表大部分消费者花费。历史上，信用卡或贷记卡是利用磁条编码的，这使得交易响应于被配置为以安全方式读取在磁条上编码的信息的交易设备。读取磁条的设备通常通过交易网络与信用卡发行方进行通信，信用卡发行方最终批准交易。令人遗憾的是，信用卡或贷记卡容易被盗窃，用户可能在比较长的时间内发现不了。
[0005]技术的进步导致无接触智能卡的开发，诸如IS0/IEC7810和IS0/IEC14443所定义的那些，也称为近场通信(NFC)。有类似的符合其他标准或协议的一般采用术语“射频标识(RFID)”的技术可用，RFID的距离通常局限于与NFC的距离相同数量级。本文中所使用术语“无接触元件”(CE)是指根据NFC、RFID或其他与NFC具有相同数量级的距离的近距离通信标准中的任何一种操作的任何近距离通信设备，并通常要求CE与读取器并置。此处与CE的定义一起包括了光学可读代码的使用。这样的CE智能卡可以用于交易，然而，由于它们可以在大约4cm内被任何读取器读取，因此，它们的安全性不会增强。如此，CE智能卡通常只用于小额交易，其中，小的金额被预先加载在CE智能卡中，小的金额随着每一次交易而减少，直到达到限制。
[0006]移动设备(MD)由于它们的无处不在、可用的屏幕和输入设备，而越来越多地用于金融交易中。如此处所使用的MD包括用于个人功能的任何电子MD，诸如多媒体播放、网络上的数据通信或语音通信。MD的一个实施例是移动站，也称为移动通信设备、移动电话、手提电话、无线电话、手机、蜂窝电话、移动手持终端或手机。
[0007]随着IEEE802.11的发展，以及所产生的无线网络的广泛的建立，开发了除蜂窝电话功能之外还通过可用的无线网络进行通信的各种MD。此外，还开发了带有通过无线网络和/或通过蜂窝网络来访问因特网的能力的各种MD。[0008]具有相关联的用于进行用户标识以及收费的装置的无所不在的MD，带来了使用MD作为电子钱包的机会。有多种已知的用于提供服务或产品的方法，具体而言，通过使用移动站，对于除电话使用或通话时间(airtime)以外的产品或服务的支付。
[0009]与MD协作的CE被开发为两个主要组，连接到MD的控制器的设备，诸如连接到MD的CPU并可以与之进行通信的设备，以及不连接到MD的CPU设备。在连接到MD的CPU的CE的情况下，可以发现各种设备，诸如SM卡上的NFC设备，也称为“SM无接触元件”(SCE)，外部卡，诸如带有NFC设备的SD卡，SIM附加无接触元件(SCCE)，以及在MD的硬件内发现的NFC设备。对于CE读取器直接与CE设备进行通信并且通信不依赖于MD的CPU的任何动作的应用，上述被称为“嵌入式CE” (ECE)设备的设备组可以按与不连接到MD的CPU的CE设备相同方式使用。应当注意，在CE包括显示在MD的显示器上的光学可读代码的情况下，MD固有地是ECE设备。
[0010]不连接到MD CPU的CE的组可以包括NFC或RFID标记、标签、钥匙扣、可以附于MD上的光学可读代码，而无限制。这样的CE，当对于MD固定时，如此，可以被用来提供由在CE的接近度内的读取器读取的标识号码。在一个实施例中，CE包括可以被固定或安装并被保护的标识信息，该信息是由安全的元件(SE)所生成的。
[0011]SE此处被定义为被配置为嵌入了带有所需的安全性级别和特征的应用的防止窜改的元件。更详细地，SE是其中对存储在SE中的数据或功能的访问通过安全级别来控制以便只有被授权方才可以访问数据或功能的元件。如此，在没有预定的安全密钥(对它的访问是受控制的)的情况下，不能复制或从中读取SE的内容，也不能向其写入。术语“安全密钥”在本申请中特别是指密码学中所知道的密钥，而不是指物理或机械钥匙。通常，安全性是与由SE发行方控制的一个或多个密钥协作地提供的。SE可以作为CE的一部分、作为MD的一部分或作为可从MD拆卸的额外的元件来提供。对一个MD上的SE的数量没有限制，具体而言，单一 MD上可以共存有多个SE。可以无限制地在单一用户标识模块(SM)上实现SE中的一个。
[0012]随着交易系统变得越来越复杂并且得到较广泛的应用，诈骗交易也越来越多。具体而言，“网络钓鱼”和“中间人”攻击已经击败许多基于CE的安全系统。在网络钓鱼攻击中，向用户发送一消息，指出需要连接到特定统一资源定位器(URL)，然而，URL，尽管看起来像合法的URL，实际是诈骗服务器的URL。用户可能不会认识到，或注意，URL的细微的变化，其实际地址引用了诈骗服务器。如此，可以从不加怀疑的用户那里获取个人信息和密码。
[0013]中间人攻击针对ECE设备特别有用，其中，CE可以由诈骗读取器读取，并中继到远程购买位置，而用户无法察觉。
[0014]启用CE的MD可能进一步被启用CE读取器的犯罪者的能力的损害。犯罪者，在紧邻启用CE的MD时，可以从CE中读取任何公开可用的信息，并进一步向CE的任何可用的无保护的存储器位置写入不适当的指令。
[0015]启用CE的海报最近变得常见的，且该海报中具有嵌入的CE设备。带有ECE的用户将CE与嵌入式CE并置，嵌入式CE在MD上生成指向目标URL的指针，或许还提供折扣。令人遗憾的是，合法的嵌入式CE可能被诈骗嵌入式CE覆盖，或者可能被屏蔽材料覆盖并且附连相邻的诈骗CE，导致MD生成指向诈骗URL的指针。
[0016]随着MD变得越来越复杂，产生了额外的困难。具体而言，诸如密钥记录器软件之类的恶意软件可能被秘密地添加到MD，如此，可使犯罪者获取任何个人信息号码(PIN)信息。其他恶意软件可能事实上接管MD，可使犯罪者控制MD并运行任何支付软件。
[0017]此外，随着基于MD的交易的使用增多，优选地，提高基于MD的交易的安全性和灵活性，这不是现有技术完全支持的。

【发明内容】

[0018]鉴于上文所提供的讨论及其他考虑，本发明提供克服执行安全的交易的当前方法的缺点中的某些或全部的方法和设备。此处将描述该方法和设备的其他新的和有用的优点，且所属领域的技术人员可以理解它们。
[0019]某些实施例实现一种交易系统，包括:包括显示器的移动设备；交易服务器；以及，被配置为在移动设备和交易服务器之间提供通信的通信网络，其中，移动设备被配置为通过通信网络，将标识信息传输到交易服务器，并且，其中，交易服务器被配置为:响应于所述移动设备传输的标识信息，标识所述移动设备；将所述标识的移动设备与特定接入点相关联；通过通信网络，将交易信息传输到移动设备，传输的交易信息响应于相关联的特定接入点，其中，移动设备被配置为响应于所述传输的交易信息，将信息输出到所述显示上。
[0020]在一个实施例中，所述交易服务器被配置为获取关于所述移动设备的位置信息，所述标识的移动设备与所述特定接入点的所述关联响应于所述获得的位置信息。在另一个实施例中，所述交易服务器与关联于所述移动设备的电子钱包功能进行通信，并且所述交易信息进一步响应于所述电子钱包功能。在再一个实施例中，移动设备进一步配备有输入设备，且移动设备被配置为:允许响应于所述输入设备，修改所述交易信息；以及将关于修改的信息传输到所述服务器。
[0021 ] 在一个实施例中，特定接入点是web服务器。在再一个实施例中，所述交易系统还包括:被配置为向所述web服务器提供与所述移动设备相关联的至少某些标识信息的用户设备，其中所述web服务器被配置为将所述用户设备所提供的标识信息传输到所述交易服务器，所述交易服务器被配置为响应于所述传输的用户设备所提供的标识信息，获取所述移动设备的地址。
[0022]在另一个实施例中，所述移动设备传输的标识信息包括响应于密钥所生成的伪随机数。在再一个实施例中，移动设备进一步配备有输入设备，并且，该移动设备传输的标识信息包括响应于通过该输入设备输入的个人标识号所生成的伪随机数。
[0023]在再一个实施例中，移动设备包括被配置为执行下列操作的安全元件:生成响应于所述密钥所生成的所述伪随机数；以及，生成响应于所述个人标识号所生成的所述伪随机数。在再一个实施例中，安全元件还包括被配置为执行下列操作的隔离功能:通过通信接口读取数据；隔离所述读取的数据；以及，将所述隔离的数据传输到所述交易服务器。
[0024]在再一个实施例中，移动设备传输的标识信息还包括未加密的可读取的标识符。在另一进一步的实施例中，所述交易系统还包括与移动设备进行通信的安全设备，其中所述响应于所述密钥所生成的伪随机数是由所述安全设备所生成的，并通过近距离通信传输到所述移动设备。
[0025]在一个实施例中，交易系统还包括与所述交易服务器进行通信的忠诚度平台和优惠券平台中的至少一项，所述传输的交易信息进一步响应于所述至少一个平台。[0026]在一个独立的实施例中，提供了提供交易信息的方法，该方法包括:将标识信息从移动设备传输到交易服务器；响应于所述移动设备传输的标识信息，标识所述移动设备；将所述标识的移动设备与特定接入点相关联；将交易信息传输到该移动设备，传输的交易信息响应于相关联的特定接入点；以及，响应于传输的交易信息，将信息输出到移动设备的显示器上。
[0027]在一个实施例中，所述方法进一步包括:获取关于所述移动设备的位置信息，其中将标识的移动设备与特定接入点相关联响应获取的位置信息。在另一个实施例中，传输的交易信息进一步响应于电子钱包功能。在再一个实施例中，所述方法还包括:允许响应于所述移动设备的输入设备，修改交易信息；以及将关于所述修改的信息传输到所述交易服务器。
[0028]在一个实施例中，特定接入点是web服务器。在再一个实施例中，所述方法还包括:提供被配置为向所述web服务器提供与所述移动设备相关联的至少某些标识信息的用户设备；将所述用户设备提供的标识信息从所述web服务器传输到所述交易服务器；以及，响应于所述传输的用户设备提供的标识信息，获取所述移动设备的地址。
[0029]在另一个实施例中，所述方法进一步包括:生成响应于密钥所生成的第一伪随机数，其中所述提供的移动设备传输的标识信息包括所述所生成的第一伪随机数。在再一个实施例中，所述方法还包括:提供所述移动设备，其中提供的移动设备进一步配备有输入设备；以及，响应于通过输入设备输入的个人标识号，生成第二伪随机数，其中所述移动设备传输的标识信息还包括所生成的第二伪随机数。
[0030]在再一个实施例中，所提供的移动设备包括被配置为生成第一和第二伪随机数的安全元件。在再一个实施例中，安全元件执行一种方法，包括:通过通信接口读取数据；隔离所述读取的数据；以及，将所述隔离的数据将传输到到所述交易服务器。
[0031]在再一个实施例中，移动设备传输的标识信息还包括未加密的可读取的标识符。在另一进一步的实施例中，所述方法还包括提供安全设备，其中响应于密钥所生成的第一伪随机数是由安全设备所生成的，该方法还包括通过近距离通信将第一伪随机数传输到移动设备。
[0032]在一个实施例中，所述传输的交易信息进一步响应于忠诚度平台和优惠券平台中的一个。
[0033]通过下面的附图以及描述，本发明的附加特征以及优点将变得显而易见。
[0034]附图简述
[0035]为更好地理解本发明并示出如何实施本发明，现在将纯粹作为示例参考各个附图，其中，相同编号表示对应元素或部分。
[0036]现在具体参考附图，强调，所示出的细节只作为示例，并且只为对本发明的优选实施例进行说明性的讨论，为了提供被认为对本发明的原理和概念最有用并且轻松地理解的描述的内容而呈现的。在这方面，所示出的本发明的结构细节不会比理解本发明的基本概念所需要的更详细，与附图一起进行的描述做所属领域的技术人员显而易见地明白如何在实践中实现本发明的多种形式。在各个附图中:
[0037]图1A示出了某些实施例的有利划分的高级框图；
[0038]图1B示出了与CE协作的并与检验点进行通信的MD的高级体系结构；[0039]图2示出了与图1B的体系结构协作地使用图1A的各种域的交易流程；
[0040]图3示出了在没有接入点海报的情况下使用图1A的各种域的交易流程；
[0041]图4示出了图1A的布局的实施例的高级框图，其中，检验点被web服务器替换；
[0042]图5示出了使用图4的各种域的交易流程；
[0043]图6A示出了使用图1A的各种域的交易流程；
[0044]图6B示出了当传输到TS的顾客MD外围标识信息不匹配存储在TS上的信息时，或当通信链路不允许自动检测顾客MD时，图6A的交易流程；
[0045]图6C进一步详细描述图6A的交易流程的某些部分，其中，由TS接收到带有自动批准限制的授权号码；
[0046]图6D示出了当交易金额大于由发行方授权的金额时图6C的交易流程；
[0047]图6E示出了当在从检验点接收到授权请求消息之后TS请求来自顾客MD的批准时图6D的交易流程；
[0048]图7示出了允许web带外登录(OOBL)的某些实施例的有利划分的高级框图；
[0049]图8示出了使用图7的各种域的交易流程；
[0050]图9示出了财务结算功能基于现有的财务主力的某些实施例的有利划分的高级框图；以及
[0051]图10示出了使用图9的各种域的交易流程。
【具体实施方式】
[0052]在详细地说明本发明的至少一个实施例之前，应该理解，本发明在其应用方面不仅限于下面的描述中阐述的或图形中所示出的结构细节和组件的布局。本发明适用于以各种方式实施或实现的其他实施例。此外，还应该理解，此处所使用的措辞和术语只是为了说明，不应该被视为限制性的。具体而言，此处使用术语“连接”不仅限于直接连接，而包括任何类型的通信，并允许中间设备或组件，而没有任何限制。
[0053]在下面的描述中，术语“移动设备”(MD)包括用于个人功能的任何电子移动设备，诸如多媒体播放，网络上的数据通信或语音通信，包括但不限于移动站(MS)。为清楚起见，术语“MS”是指任何移动通信设备，移动电话、手提电话、无线电话、手机、蜂窝电话、或其他用于通过基站的网络进行移动语音或数据通信的电子设备。虽然在下面的描述中，在某些实施例中，使用蜂窝通信的示例，特别是，全球移动通信系统(GSM)，来描述通信的，但是，可以理解，本发明的范围不仅限于该方面，所使用的通信方法可以基于任何合适的通信协议，包括，但不仅限于，全球移动通信系统(UMTS)、IEEE802.llx、IEEE802.16x和CDMA。术语“解密”和“解码”可互换地使用，在本文档中具有相同含义。
[0054]图1A示出了被配置为向与移动设备协作的交易提供改善的安全性的交易系统的某些实施例的有利划分的高级框图。具体而言，提供了收单方域100，也称为商家域100 ;互操作性域110 ;以及发行方的域120，也称为顾客的域120。有利地，隔离安全信息以防止欺诈。
[0055]收单方的域100包括收单方150，包括服务提供商数据库(STOB)，包含有关与其相关联的服务提供商的信息；接入点160 ;服务提供商170 ;以及接入点海报或标记180。接入点海报或标记180也称为检验点海报。接入点160也称为检验点160。尽管示出了单一收单方、或单一收单方150的数据库，接入点160、服务提供商170以及接入点海报/标记180，但是，这不表示以任何方式作出限制，在不超出范围的情况下，可以提供收单方150，或收单方数据库、接入点160、服务提供商170以及接入点海报/标记180中的任意多个或全部。收单方150的SPDB利用表示为收单方的频带190的受控通信路径，与接入点160进行通信。在不超出范围的情况下，接入点160可以是收款机、付款位置，受控制的点或入口。在不超出范围的情况下，接入点160可以进一步实现为如下文所描述的web服务器。
[0056]互操作性域110包括:交易服务器(TS) 210 ;财务结算功能220 ;以及多个数据库/功能服务器，其中，特别示出了顾客钱包功能231、顾客凭证232、基于位置的服务233、忠诚度平台234、优惠券平台235及其他数据库236。在不超出范围的情况下，由云所表示的财务结算功能220可以包括品牌的功能、中枢功能以及自动化票据交换所功能中的任何一项或全部。TS210与财务结算功能220、顾客钱包功能231、顾客凭证232、基于位置的服务233、忠诚度平台234、优惠券平台235及其他数据库236中的每一个进行通信。TS210进一步与收单方150的SPDB进行通信。在不超出范围的情况下，顾客钱包功能可以在TS210内实现，并可以特别实现为所属领域的技术人员所知的电子钱包。有利地，如下文所描述的，此处提供了带有添加的功能的电子钱包。
[0057]发行方的域120包括顾客的支付资源250，即，支付的发行方选项以及设备，以及包括CE270并在其处理器上运行应用程序265的MD260，存储在与MD260相关联的存储器上的应用程序265。MD260包括用于向用户显示信息的显示设备267，以及用于接收来自用户的输入的输入设备268。顾客的支付资源250表示各种卡发行方，包括借记卡和信用卡，以及预付卡以及电子钱包，这无限制。顾客的支付资源250通过发行方的受控通信频带280与MD260进行通信。MD260，特别是CE270，与接入点160进行NFC或RFID通信，接入点160在一个实施例中表示提供商访问设备(PAD)。顾客的支付资源进一步与TS210进行通信。MD260通过表示为预先频带295的网络进一步与TS210进行通信，在实施例，该网络是通过蜂窝网络实现的，这无限制。可任选地，如下文所描述的，提供了具有诸如键区之类的输入设备278的额外的安全设备275。
[0058]图1B示出了具有嵌入其中的CE270的MD260的高级体系结构，其中，CE270与接入点160进行通信。具体而言，MD260包括MD应用程序处理器300 ；MD输入设备268以及CE270。MD应用程序处理器300包括PRN生成器305并与如下文更详细地描述的CE270进行通信。接入点160包括NFC通信接口 360。
[0059]CE270 包括安全元件(SE)315 ;控制电路372 ;安全键区379 ;以及NFC通信接口360。SE315包括:安全IDl存储功能320 ;安全ID2PRN生成器功能330 ;安全ID3PRN生成器功能340 ;—个或多个安全的IDn存储功能351 ;以及安全密钥存储器350。安全的ID2PRN生成器功能330包括NFC相关联的ID2PRN生成器功能332以及MD相关联的ID2PRN生成器功能336，它们可以实现为单一 PRN生成器功能的两个功能。安全的ID3存储器功能340包括NFC相关联的ID3PRN生成器功能342以及MD相关联的ID3PRN生成器功能346，它们可以实现为单一 PRN生成器功能的两个功能。NFC相关联的ID2PRN生成器功能332、MD相关联的ID2PRN生成器功能336、NFC相关联的ID3PRN生成器功能342以及MD相关联的ID3PRN生成器功能346中的每一个都被配置为响应于安全地存储在安全的密钥存储器350上的一个或多个密钥来生成伪随机数。MD260的NFC通信接口 360与MD处理器300进行通信，并进一步被配置为与外部NFC通信接口 360进行近场通信，该外部NFC通信接口 360在一个实施例中嵌入在接入点160内。每一个安全的IDn存储器功能351都被配置为响应于由相应的IDn存储器功能351从MD应用程序处理器300接收到的请求，将相应的ID传输到MD260的NFC通信接口 360。有利地，相应的IDn不传输到MD应用程序处理器300。安全的键区379与控制电路372，与ID3PRN生成器功能342以及与MD相关联的ID3PRN生成器功能346进行通信。控制电路372与SE315和NFC通信接口 360进行通信。
[0060]当各种NFC通信接口 360在预先确定的范围内彼此并置时，接入点160的NFC通信接口 360与接入点160的NFC通信接口 360进行通信。在一个实施例中，预先确定的范围大约是4cm。
[0061]在操作中，如下文进一步描述的，安全的IDl存储器功能320被配置为利用此处表示为IDl的标识信息，对通过MD260的NFC通信接口 360接收到的来自MD应用程序处理器300或者来自接入点160的标识请求作出响应。这样的标识信息优选地包括MD260的地址，诸如MSISDN，或可由诸如TS210之类的交易服务器转换为地址的其他标识符，即，MD260是可由TS210响应于IDl通过网络295寻址的。安全的IDl存储器功能320可以由MD应用程序处理器300读取。
[0062]NFC相关联的ID2PRN生成器功能332被配置为与NFC通信接口 360进行通信，并响应对机器所生成的PRN (表示为MPRNl)的请求，响应于存储在密钥存储器350上的一个或多个密钥，生成PRN，并以所生成的MPRNl作出响应。有利地，如上文所描述的，存储在密钥存储器350上的密钥向TS210预先注册，并可由TS210解密以验证MPRNl的真实性。应当注意，MD应用程序处理器300优选地不能从NFC相关联的ID2PRN生成器功能332获取MPRNl。可任选地，NFC相关联的ID2PRN生成器功能332可以响应于MD应用程序处理器300而被禁用，以便防止未经授权地发布MPRNl。
[0063]MD相关联的ID2PRN生成器功能336被配置为与MD应用程序处理器300进行通信，并响应对机器所生成的PRN (表示为MPRN2)的请求，响应于存储在密钥存储器350上的一个或多个密钥，生成PRN，并以所生成的MPRN2作出响应。有利地，如上文所描述的，存储在密钥存储器350上的密钥向TS210预先注册，并可由TS210解密以验证MPRN2的真实性。优选地，在不超出范围的情况下，MPRN2与MPRNl不同，并可以利用存储在密钥存储器350上的不同的密钥编码。
[0064]NFC相关联的ID3PRN生成器功能342被配置为与NFC通信接口 360进行通信，并响应于从MD应用程序处理器300所提供的个人信息号码(PIN)，以响应于存储在密钥存储器350上的一个或多个密钥，生成PRN，以表示为PPRNl的所生成的PIN支持的PRN作出响应。在一个实施例中，PIN首先由SE315验证，在一个实施例中，这通过利用由控制电路372计算出的PIN验证值(PVV)。有利地，如上文所描述的，存储在密钥存储器350上的密钥向TS210预先注册，并可由TS210解密以验证PPRNl的真实性。应当注意，MD应用程序处理器300优选地不能从NFC相关联的ID3PRN生成器功能342获取PPRNl。应当注意，在没有从MD应用程序处理器300所提供的PIN的情况下，NFC相关联的ID3PRN生成器功能342不生成PPRNl。可另选地，向接入点160提供至少具有表示没有提供用于生成ID3的PIN的字段的 ID2。
[0065]如此处所使用的术语“PIN”不仅限于数字或数字串，在不超出范围的情况下，可以无限制地使用字母数字字符串，包括非字母字符和空格。
[0066]MD相关联的ID3PRN生成器功能346被配置为与MD应用程序处理器300进行通信，并响应对PIN支持的PRN (表示为PPRN2)的请求，响应于存储在密钥存储器350上的一个或多个密钥，并响应于从MD应用程序处理器300接收到的PIN，生成PRN，以所生成的PPRN2作出响应。有利地，如上文所描述的，存储在密钥存储器350上的密钥向TS210预先注册，并可由TS210解密以验证PPRN2的真实性。优选地，在不超出范围的情况下，PPRN2与PPRNl不同，并可以利用存储在密钥存储器350上的不同的密钥编码。不要求PPRN1、PPRN2、MMPRNl和丽RPN2中的每一个都在每一个实施例中被支持，具体而言，在某些实施例中，不提供PPRN2和MMPRN2，以及相关联的生成功能。
[0067]MD应用程序处理器300可任选地进一步配备有内部PRN (IPRN)生成器305，该内部PRN生成器305优选地在没有CE270的情况下或在各种PRN生成器功能332、336、342和346不能被加载到SE315上的情况下使用，如下文进一步描述的。内部PRN生成器305的所生成的PRN此处表示为IPRN。
[0068]安全的键区379防止被加载到MD应用程序处理器300上的恶意软件进行密钥记录盗窃，因为它不涉及其他数据输入操作，如此，优选地，不受密钥记录软件的影响。在一个实施例中，安全的键区379被内部硬件编码，以向安全的ID3存储器功能340输出所产生的PIN,而不使用容易遭受密钥记录的软件。
[0069]在一个实施例中，描述了上面的内容，其中，在SE315内提供了各种PRN生成器。在替换的可选实施例中，如图1A所示，提供了单独的安全设备275，带有诸如键区之类的输入设备278。安全设备275包括被配置为当彼此并置时与MD260的NFC通信接口 360进行通信的NFC通信接口 360 (未示出)。安全设备275与MD260的NFC通信接口 360并置，向输入设备278输入PIN，响应于它，生成PPRNl，并通过嵌入的NFC通信接口 360和MD260的NFC通信接口 360传输到MD260。MD260被配置为接收所生成的PPRNl，并转发PPRNl，好像它是内部生成的。这样的单独的密钥系统提高了安全性，因为PPRNl不是在物理上在MD260内生成的。可另选地，在安全设备275上输入的PIN激活SE315的PRN生成器功能342。在这样的实施例中，当CE270与接入点160并置时，生成PPRN1，并传输到接入点160。
[0070]图2示出了与图1B的体系结构协作地使用图1A的各种域的交易流程，为便于理解，图1A、1B和2在此处是一起描述的。有利地，TS210被配置为给MD260提供相关的付款信息，同时维持安全性和欺诈控制。
[0071]在阶段1000，用户打开在MD260的处理器上运行的支付应用程序265，并输入已经向TS210预先注册的PIN。支付应用程序265，与SE315协作，特别是与MD相关联的ID3PRN生成器功能346协作，响应于带有PPRN2的支付应用程序265，响应于最初在注册时加载的，优选地存储在安全的密钥位置350的PRN密钥，对来自MD应用程序处理器300的请求作出响应。MD260进一步从安全的IDl存储器功能320中检索IDl。应用程序265进一步检索位置信息，如下文所描述的，向TS210传输所生成的PPRN2、位置信息以及ID1。如上文所描述的，IDl优选地表示CE270的可读取的ID。位置信息可以由机载GPS电子设备，或响应于基站传输计算中的一项或两项所生成。在不超出范围的情况下，可以直接传输从安全的IDl存储器功能320接收到的CE270的可读取的ID，或者可以使用编码的标识符。为便于标识，CE270的可读取的ID表示为ID1，且在一个实施例中是MD260的可读取的标识符。[0072]在阶段1010，响应于阶段1000的接收到的传输，TS210响应于存储其上的密钥，认证接收到的PPRN2。在TS210不能认证接收到的消息的情况下，不采取进一步的动作(未示出)，或者，可另选地，将失败消息返回到应用程序265。TS210响应于接收到的位置信息，标识与MD260地理位置接近的接入点160，即，TS210确定其位置与MD260的位置一致的注册的接入点160。如在位置信息的上下文中所使用的以及如此处所使用的术语“与...一致”，不需要准确的位置匹配，而是表示在预先确定的范围内的位置匹配，该范围优选地考虑了位置确定误差，误差的量可以进一步是位置相关的。
[0073]在阶段1020，标识商家ID (MID),并将其与MD260相关联。在只有向TS210进行了注册的单一接入点160表现出与接收到的位置信息一致的位置的情况下，TS210将标识的接入点160的名称传输到MD260，以供确认。在多个接入点160与接收到的位置信息一致的情况下，例如，在步行商业街中，将带有一致的位置信息的注册的接入点160的列表传输到MD260，响应于用户在MD260的输入设备268上的手势，选择MD260当前所在的并且MD260的用户希望与其完成交易的合适的商家，即，合适的接入点160，并将选择作为商家ID传输到 TS210。
[0074]可另选地，提供了被配置为传输商家ID的接入点海报180，MD260通过将MD260与接入点海报180并置，从接入点海报180读取商家ID。有利地，代替现有技术的指针，MD260被配置为将读取的MID从接入点海报180传输到TS210，如此，将MD260的位置信息及其他关于商家特定的ID的有用信息提供到TS210。
[0075]可另选地，接入点海报180可以被配置为通过相应的NFC通信接口 360读取CE270的ID1。在这样的实施例中，接入点海报180将读取的CE270的标识符ID1，以及自我标识信息传输到TS210，如此，给TS210提供关于MD260的基于位置的信息，因为接入点海报180的位置预先向TS210进行了注册。概括地说，响应于MD260与接入点海报180上的特定区域的并置，或响应于阶段1000的位置信息，或响应于来自提供的商家(响应于位置信息选择的)的列表的用户输入，获取MID。有利地，获取的MID表示MD260的用户的计划的交易位置/商家，现在与MD260相关联，直到完成交易，获取不同的商家ID，或预定的时间段过期。
[0076]在阶段1030，将与MD260相关联的阶段1020的获取的MID传输到各种数据库231-236，以判断阶段1020的相关联的获取的MID的任何促销、忠诚度优惠、预购的优惠券，或礼品券，无限制地，是否与MD260相关。类似地，确定关于标识的接入点160的支付选项的信息，从顾客钱包功能231中检索与顾客的钱包的相关性。例如，只有某些支付选项可以由标识的接入点160接受，确定被接受的支付选项和顾客钱包功能231的可用的支付选项的关系。如果需要的话，从顾客钱包功能231和/或优惠券平台235中检索到的任何相关优惠券可以可任选地由发行方验证。由TS210生成付款钱包(CHOW)信息，并将其传输到MD260，CHOff信息有利地相对于获取的MID定义，如此是位置相关的，只表现与MD260相关联的商家相关的出价、折扣或支付选项，如在阶段1020所描述的。
[0077]在可选阶段1040，MD260可以响应于相对于MD260的输入设备268的用户手势，特别是从各种支付选项中选择，和/或同意使用提供的一个或多个优惠，修改接收到的CHOW信息。将修改过的任何基于CHOW的选择，传输到TS210，或者可另选地，只将修改传输到TS210。应当注意，MD260和TS210之间的上文所提及的通信的全部优选地排他地沿着在一个实施例中通过安全套接字层(SSL)保护的预先频带295来实现。CHOW信息优选地包括MD260的用户的所希望的支付方式的标识符，示为支付ID。
[0078]在阶段1050，TS210，响应于阶段1040的接收到的基于CHOW的选择，或简单的CHOW批准，在顾客的支付资源250内从发行方生成最高财务交易请求。最高财务请求优选地包括最初生成的PPRN2、所选支付ID，以及接入点160的标识符，以及ID1。可另选地，使用新生成的经过认证的PRN，代替PPRN2。
[0079]在阶段1060，发行方，或其他支付资源，计算风险参数，并生成授权号码。风险参数通常包括财务交易限制，低于该限制，不需要进一步的授权。在一个实施例中，响应于接收到的PRN或PPRN2，生成风险信息。此通信优选地只在TS210和顾客支付资源250之间执行。
[0080]在阶段1070，响应于接收到的授权号码，TS210可任选地生成用于传输到与阶段1020的MD260相关联的接入点160的消息，包括:ID1、修改的CHOW信息和发行方的标识符。
[0081]在阶段1080，在与MD260相关联的用户确定最终的所希望的交易，并优选地，通过MD260的输入设备268输入PIN之后，CE270在被称为轻触即付(Tapand Go)的过程中与接入点160并置，该过程将并置的时间限制到预定的最小值。接入点160从CE270中读取IDl和PPRN1，MD260可任选地读取接入点160的MID和交易金额。具体而言，接入点160可任选地计算在推导任何基于CHOW的分数之后要对交易支付的金额。响应于输入的PIN，读取PPRNl。在另一个实施例中，读取MPRNl，如此，不需要通过输入设备268将PIN输入到MD260中。
[0082]在阶段1090，响应于读取的ID1，接入点160准备授权请求消息以完成交易，授权请求消息被传输到TS210。优选地，生成授权请求消息，包括:在阶段1080的轻触即付过程中的IDl读取；在阶段1080的轻触即付过程中的PPRNl读取；接入点160的MID ;任何忠诚度、优惠券、礼品卡或其他基于CHOW的折扣；金额；以及交易标识符。如上文所描述的，由接入点160所生成的授权请求消息由接入点160通过提供商的频带190传输到收单方150，收单方150将授权请求消息传输到TS210。在一个实施例中，忠诚度以及优惠券信息直接从接入点160传输到TS210。
[0083]在可选阶段1100，MD260，特别是应用程序265，呈现确认消息，供用户接受，优选地，需要输入代码，诸如用于授权的PIN。响应于接受手势，和/或通过输入设备268输入的代码，MD260将交易接受消息传输到TS210，包括皿、PPRN2、读取的接入点160标识符，以及金额。可任选地，支付标识符在阶段1080的轻触即付过程中进一步传输到MD260，并作为交易接受消息的一部分提供。在一个实施例中，传输上面的信息的子集，以便不超过轻触即付的时间限制。
[0084]如此，TS210接收在阶段1090由接入点160所生成的授权请求消息，并可任选地接收在阶段1100由MD260所生成的交易接受消息。在可选阶段1110，将阶段1090的接收到的授权请求消息的元素与阶段1100的交易接受消息进行比较，在它们匹配的情况下，即，消息ID1、接入点160标识符、支付ID和金额匹配，并且PPRNl与PPRN2指向相同设备地址，在阶段1120，TS210将阶段1090的授权请求消息的交易金额与阶段1060的接收到的风险参数进行比较。
[0085]如上文所描述的，从存储在安全的密钥存储器350上的一组密钥，生成PPRNl和PPRN2,作为SE315的一部分。由TS210响应于密钥信息，有利地实现对PPRNl和PPRN2的解密，并显示作为等效的存储在可由TS210访问的数据库上的单一标识符或一对标识符。在在阶段1110消息不匹配的情况下，标记错误状态，交易未完成，如阶段1150所示。
[0086]在阶段1120中的交易金额小于接收到的风险信息批准的金额的情况下，在阶段1130，交易由TS210授权。在阶段1060由TS210从发行方接收到的授权号码通过收单方150通过收单方频带190传输到接入点160。交易确认消息类似地由TS210传输到顾客支付资源250，例如，传输到发行方，包括:ID1 ;在了5210和发行方之间同意的PRN;以及用于结算的金额。可任选地，PPRNl和PPRN2中的一个进一步传输到发行方，确认作为交易的一部分接收到PIN。任何礼物、优惠券或忠诚度信息类似地传输到相应的数据库/服务器。由TS210将交易批准消息传输到MD260，可任选地，交易批准消息包括进一步的局部相关信息，诸如相邻的供应商的促销。
[0087]然而，在一个实施例中，如图所示，在阶段1120交易金额大于接收到的风险信息批准的金额的情况下，或在可选阶段1110阶段1090的接收到的授权请求消息的元素不匹配阶段1100的交易接受消息的情况下，在阶段1150，拒绝交易，或需要增强安全性，如下文参考图3进一步描述的。
[0088]如此，通过使用此处所描述的基于服务器的体系结构，可以有利地实现基于位置的促销和交易完成，提供相关的付款信息。具体而言，付款信息与关联于MD260的并且其交易将被挂起的实际商家相关。
[0089]图3示出了在没有接入点海报180的情况下使用图1A的各种域，并且在金额超出由接收到的风险信息确定的最高金额的情况下进一步需要额外的授权的交易流程。如此，交易流程在所有方面类似于上文所描述的图2的交易流程，此处详述的除外。
[0090]如此，阶段2000-2020在各个方面都分别和上文所描述的阶段1000-1020 —样，然而，在没有接入点海报180的情况下，在一个实施例中，响应于MD260GPS电子设备或基站传输计算中的一项或两项，提供位置信息。如此，TS210从蜂窝网络处理MD260或者从MD260获取位置信息，这无限制。在MD260中的GPS功能不可用的再一个实施例中，应用程序265从网络获取位置信息，并将获取的位置信息传输到TS210。如此，在阶段2010-2020，在不能确定单一接入点160的情况下，由TS210将可能的注册的供应商的列表，即，其位置与MD260的获取的位置一致的接入点160，传输到MD260，并且由MD260将选择的供应商返回到TS210，所选接入点160的MID与MD260相关联。
[0091]阶段2030表示图2的阶段1030-1100，为了简洁，将不再进一步描述。
[0092]阶段2040在各个方面都与图2的阶段1110相同。在在阶段2040消息不匹配的情况下，标记错误状态，交易未完成，如阶段2070所示。在阶段2040中消息匹配的情况下，在阶段2050，TS210将阶段1090的授权请求消息的交易金额与阶段1060的接收到的风险参数进行比较。在交易金额小于接收到的风险信息批准的金额的情况下，在阶段2060，交易由TS210授权。
[0093]在阶段2040中交易金额大于由接收到的风险信息批准的金额的情况下，在一个实施例中(未示出)，TS210请求来自发行方授权。在另一个实施例中，如阶段2110所示出的，从TS210向MD260传输消息，请求MD260的用户登录到发行方/用户域。在阶段2120，MD260登录到指向的发行方网页，并传输ID1、PPRN2、支付ID以及交易金额。在阶段2130，发行方网页可以授权交易，但是，通常将需要某些标识，诸如与特定选择的支付ID相关的PIN或其他限制性信息，以降低风险。在接收到额外的信息时，在发行方同意授权交易的情况下，将授权消息直接传输到TS210，包括:授权号码；ID1 ;在TS210和发行方之间同意的PRN ;支付ID以及交易金额。如上文参考图2所描述的，交易批准结束。
[0094]图4示出了图1A的布局的实施例的高级框图，其中，接入点160替换为web服务器410。进一步提供了诸如计算机之类的额外的顾客设备425，顾客设备425通过诸如因特网之类的网络450与web服务器410进行通信，网络450也表示为cookie (小文件)/UID频带450。MD260通过诸如表示为密码频带460的蜂窝网络之类的网络与TS210进行通信。图4中的所有其他元件都基本上和图1A的元件一样，如此，为了简洁起见，就不再赘述了。图5示出了使用图4的各种域的交易流程，为便于理解，图4和5在本文中是一起描述的。
[0095]在阶段3000，顾客设备425希望从基于web的服务提供商170购买产品或服务，并启动付款请求。在阶段3010，基于web的服务提供商170给顾客设备425提供付款页面，并优选地进一步请求顾客在MD260上打开支付应用程序265。在阶段3020，顾客设备425从各种选项中选择与TS210协作的付款，基于web的服务提供商170将交易ID，金额以及商家ID传输到web服务器410。顾客设备425优选地将存储在cookie上的用户ID提供到web服务器410。在一个实施例中，用户ID是MD260的ID1，它已经在向TS210进行注册时被发送到顾客设备425。在一个实施例中，用户ID是MD260的MSISDN，如此，可轻松地通过用户设备425的输入设备输入。
[0096]在阶段3030，web服务器410通过收单方150，将消息传输到TS210，包括获取的用户ID、web服务器或MID，由web服务器410所生成的交易ID以及交易金额。
[0097]在阶段3040，响应于应用程序265在阶段3010的打开，MD260启动应用程序265的支付交易功能，并选择基于web的交易。将PIN或其他向TS210预先注册的代码输入到MD260中，以生成如下面所描述的PPKN2。
[0098]在阶段3050，MD260创建消息并将消息传输到TS210，包括ID1，即，CE270的可读取的标识符；PPRN2 ;以及位置信息。在一个实施例中，位置信息是响应于机载GPS电子设备以及基站传输计算中的一项或两项生成的。在一个实施例中，位置信息是可选的。
[0099]在阶段3060，TS210响应于IDl与用户ID的一致，匹配阶段3050的从MD260接收到的消息与阶段3030的从web服务器410接收到的交易消息。在一个实施例中，如上文所描述的，所提供的用户ID与IDl相同，在另一个实施例中，所提供的用户ID唯一地与IDl交叉引用，即，可被TS270访问的数据库中的CE270的可读取的标识符，诸如顾客凭证DB232。因此，为用于交易，MD260与web服务器410相关联。
[0100]在阶段3070，TS210从各种数据库231-236检索数据，以判断任何促销、忠诚度优惠，预购优惠券，或礼品券(这无限制)是否与相对于web服务器410的顾客相关。
[0101]类似地，确定关于对于web服务器410的支付选项的信息，从顾客钱包功能231中检索与顾客的钱包的相关性。可以由发行方可任选地验证从优惠券平台235中检索到的任何相关优惠券。由TS210生成CHOW信息，并将其传输到MD260，响应于该信息的信息显示在显示设备267上。有利地，CHOff信息与web服务器410相关，只表现出与MD260相关的相对于web服务器410和/或web服务提供商170以及任何相关联的链路的出价、折扣或支付选项。在一个实施例中，CHOff信息的子集被传输到顾客设备425，并显示。
[0102]在可选阶段3080，MD260的用户可以修改接收到的CH0W，特别是从各种支付选项中选择和/或通过对于MD260的输入设备268的用户手势，同意使用提供的一种或多种优惠。CHOW还包括最初从web服务器410接收到的支付金额信息。关于任何基于CHOW的选择的信息与支付ID协作地传输到TS210。
[0103]在阶段3090，TS210准备CHOW响应消息并将其传输到web服务器410，包括从MD260接收到的支付ID、由MD260所生成的PPKN2、MD260的ID1，或可转换为其的代码，以
及任何折扣信息，诸如忠诚度、优惠券和礼品卡信息。
[0104]在阶段3100，web服务器410，响应于阶段3090的从TS210接收到的消息，确定基于web的服务提供商170的支付余额，并从中获取确认/批准。在阶段3110，web服务器410，响应于接收到的确认/批准，将带有净额的授权请求传输到TS210。
[0105]在阶段3120，TS210响应于支付ID，从顾客的支付资源1350内的发行方生成财务交易请求。财务交易请求优选地包括上文所提及的ID1、最初生成的PPRN2，所选支付手段ID、MID和金额。
[0106]在阶段3130，发行方，或其他支付资源，计算风险参数，并且如果交易金额小于预定的风险值，则在阶段3140，生成授权号码。
[0107]在交易金额超过预定的风险值的情况下，在阶段3150，TS210与MD260进行通信，以指示MD260的用户登录到发行方/顾客域，以便获取授权。MD260登录到指向的发行方网页，并传输ID1、PPRN2、支付手段ID以及交易金额。在阶段3160，发行方网页可以授权交易，但是，通常将需要某些标识，诸如PIN或其他限制性信息，以降低风险。在接收到额外的信息时，在发行方同意授权交易的情况下，将包括授权号码、ID1、PPRN2、支付ID以及交易金额的授权消息直接传输到TS210。
[0108]在阶段3170，由TS210接收到的授权号码通过收单方150，通过收单方频带190，传输到web服务器410。任何礼物、优惠券或忠诚度信息类似地传输到相应的数据库/服务器。由TS210将交易批准消息传输到MD260，可任选地包括进一步的局部相关信息，诸如相邻的供应商响应于初始位置信息的促销，或其他相关的web服务器410。
[0109]在阶段3140发行方已经生成了授权号码的情况下，类似地执行阶段3170。
[0110]图6A示出了使用图1A的各种域的交易流程，其中，TS310充当MD260相对于接入点海报180的远程防火墙。
[0111]在阶段4000，用户在MD260上打开支付应用程序265，并且MD260与TS210进行通信。在一个实施例中，MD260通过使用通用分组无线业务(GPRS)的无线网络，在另一个实施例中，通过使用IEEE802.11标准的无线网络，诸如分别通过图1A、4的预先频带295或密码频带460的WiFi，与TS210进行通信。MD260将包括下列各项的信息传输到TS210，包括:ID1，或可转换为其的代码；存储在cookie上的MD外围设备标识信息，诸如MD260的国际移动用户身份aMSI)、MD260的国际移动设备身份(MEI)和/或MD260的蓝牙ID ;可以由机载GPS电子设备或响应于基站传输计算中的一项或两项所生成的位置信息；以及可任选地，在MD260和TS210之间的通信是通过GPRS的情况下，IP标头标记消息。
[0112]在阶段4010，在IDl和MD外围设备标识信息匹配存储在TS210上的信息的情况下，TS210可任选地将预先向TS210进行注册的个人化确认消息(PCM)和对PIN的请求传输到MD260。顾客输入PIN，优选地，对于输入的PIN的每一部分，PCM的一部分显示在MD260上，如此有助于防钓鱼检测。在MD260的用户不认识正在显示的PCM的部分的情况下，如此，使用户察觉到，发生了钓鱼攻击，并可以停止输入PIN。在输入PIN完成之后，PIN被传输到TS210。
[0113]在阶段4020，TS210将从列表中选择接入点160，或将MD260与接入点海报180并置的请求传输到MD260，以便MD260的NFC通信接口 360被允许从接入点海报180中读取接入点160的标识符。
[0114]在阶段4030，在MD260与接入点海报180并置的情况下，也称为“轻触(tapping)”,由MD260通过近场通信接收商家信息,诸如接入点160的标识符。由于接入点海报180容易、简单并易受恶意攻击，因此，在阶段4040，接收到的商家信息被MD应用程序265隔离，即，不被读取，而是只按原样传输，并传输到充当MD260的远程隔火墙的TS210。
[0115]在阶段4050，TS210打开隔离的读取信息，并检查是否有恶意内容。如果没有恶意内容存在，则在阶段4060，TS210检索接入点160的相关商家信息，并响应于商家信息，将MD260与MID相关联。在发现恶意内容的情况下，TS210就会阻止任何交易或传染。
[0116]在阶段4060，TS210从顾客钱包功能231中检索相对于MD260的与接入点160的商家相关的信息，诸如由接入点160接受的对MD260可用的支付手段。TS210将商家信息传输到各种数据库232-236，以判断任何促销、忠诚度优惠、预购优惠券或礼品券(这无限制)是否与当前MD260条件相关，即，准备与接入点160进行交易，验证存储在顾客钱包中的当前信息。从顾客钱包功能231和/或优惠券平台235中检索到的任何相关优惠券可以可任选地由发行方验证。由TS210生成CHOW信息，并将其传输到MD260，CHOff信息有利地相对于阶段4030的定义的接入点160定义,如此相关,只表现与当前商家MD相关的offers、折扣或支付选项。另外，将一次性交易号(OTTN)传输到MD260，OTTN是为当前交易唯一地生成的。
[0117]在阶段4070，响应于相对于MD260的输入设备268的输入手势，从阶段4060的CHOW选择中选择发行方。在一个实施例中，顾客可以修改接收到的CHOW信息。在阶段4080，MD260将发行方ID、OTTN和修改的CHOW信息传输到TS210。可另选地，只传输关于作出的选择的信息。在阶段4090，TS210将阶段4000的ID1、0TTN、MID和诸如交易号之类的支付ID传输到所选发行方。在阶段4100，发行方计算顾客的风险参数，并可任选地计算授权号码，并将它们传输到TS210。存在各种失败模式，诸如交易金额超出风险，然而，在不超出范围的情况下，可以如上文所描述的处理这些失败模式。
[0118]图6B示出了当由MD260传输到TS210的MD260外围标识信息不匹配存储在TS210上的信息时，或当MD260和TS210之间的通信不允许自动检测MD260并且顾客MD外围标识信息不在cookie上传输时，类似于图6A的交易流程的交易流程。这样的通信链路通过WiFi来例示，然而，这不以任何方式作出限制。
[0119]在阶段4500，响应于相对于输入设备268的用户手势，在MD260上启动支付应用程序265，并响应于此，MD260与TS210进行通信。如上文所指出的，然而，不会成功地传输完
整的信息。
[0120]在阶段4510，从TS210向MD260传输消息，优选地，通过SMS，在一个实施例中，从MD260请求后台授权，S卩，自动授权，而无需用户输入。在一个实施例中，消息包括ID号。在另一个实施例中，在MD260和TS210之间的通信是通过GPRS的情况下，通过IP标头标记消息，传输MD ID号。[0121]在阶段4520，从MD260接收响应，包括遗漏信息。甚至在最初传输全部信息的情况下，也可以使用阶段4510-4520来改善安全级别。
[0122]在阶段4530，执行如上文所描述的阶段4010-4100。
[0123]图6C示出了图6A-6B的实施例的交易流程，进一步详述了阶段4100的交易流程，其中，由TS210接收带有自动批准限制的授权号码。
[0124]在阶段5000，TS210可任选地将MD260的ID1、发行方ID和可任选地修改的CHOW信息传输到接入点160。在阶段5010，将MD260与接入点160并置，以启动轻触即付过程，即，通过相应的NFC接口 360中的每一个来进行读取。由MD260通过相应的NFC接口 360，将IDl以及可任选地OTTN传输到接入点160。如果适用的话，接入点160可任选地将接入点160的MID以及交易金额传输到MD260。可任选地，MD应用程序265生成包括MID以及交易金额的消息，并在MD260的显示器设备267上输出它，并请求授权。进一步可任选地，响应于顾客的通过用户手势与MD260的输入设备268协作的确认，MD260将在阶段5010不同地读取的ID1、0TTN、MID、支付ID以及交易金额传输到TS210。
[0125]在阶段5020，在TS210没有将MD260的ID1、以及发行方ID以及可任选地修改的CHOW信息传输到接入点160的情况下，接入点160将信息请求消息传输到TS210，并且TS210以MD260的ID1、生成的0ΤΤΝ、可任选地修改的CHOW信息以及发行方ID作出响应。在阶段5030，响应于接收到的信息，接入点160将授权请求消息传输到TS210。在一个实施例中，授权请求消息伴有:ID1 ；0ΤΤΝ ;与10260相关的更新的忠诚度、优惠券以及礼物信息；支付ID ;以及应付交易金额。
[0126]在阶段5040，TS210将从接入点160接收到的数据与从MD260可任选地接收到的数据进行比较。在从接入点160和MD260中的两者接收到的数据匹配的情况下，在阶段5050，TS210将应付总额与从发行方接收到的风险信息进行比较。在阶段5050的应付总额在由风险信息确定的最高金额内的情况下，在阶段5060，TS210将从发行方接收到的授权传输到接入点160。另外，TS210还将OTTN和交易应付金额传输到发行方ID1。另外，TS210还将更新的忠诚度、礼物和优惠券信息传输到各种数据库231-236。优选地，由TS210更新存储在顾客钱包功能231上的顾客钱包。在阶段5070，TS210将交易批准消息，优选地，有用的本地信息，诸如其他商家的位置，传输到MD260。
[0127]在阶段5040从接入点160和MD260中的两者接收到的数据不匹配的情况下，或在阶段5050应付金额超出由风险信息确定的最高金额的情况下，在阶段5070，交易失败。
[0128]图6D示出了在交易金额大于由发行方授权的金额的情况下图6C的交易流程，然而，不立即实现阶段5070。在阶段5100，在阶段5050应付金额超出由风险信息确定的最高金额的情况下，TS210将声明需要发行方授权的消息传输到MD260。
[0129]在阶段5110，MD260通过顾客频带280连接到发行方，并传输相关信息，即，IDl、0ΤΤΝ、支付ID和交易金额。在阶段5120，发行方请求MD260输入PIN或其他安全ID信息。在阶段5130,响应于输入的相关信息,发行方向TS210传输授权号码。
[0130]图6E示出了在接收到来自接入点160的授权请求消息之后TS210请求来自MD260批准的情况下图6D的交易流程。在阶段5500，TS210向MD260传输0ΤΤΝ、商家ID、支付ID和交易金额。在阶段5510，MD260响应于用户输入，以接收到的信息批准作出答复。在阶段5520，将交易金额与由发行方自动地批准的金额进行比较，如上文对于图6C和6D交易流程所描述的，为了简洁，不再进一步描述。
[0131]图7示出了允许web带外登录(OOBL)的某些实施例的有利划分的高级框图。具体而言，提供了服务提供商域500 ;互操作性域510 ;以及顾客域520。有利地，隔离安全信息以防止欺诈。
[0132]服务提供商域500包括服务提供商web服务器530，如将理解的，这是如上文所描述的接入点160的特定实施例。互操作性域510包括彼此进行通信的TS210和顾客凭证数据库532。顾客域520包括:顾客设备540，无限制地示为便携式计算机；以及MD260，该MD260包括CE270。MD260使其上加载的应用程序265在MD260的处理器上运行，并可任选地存储在MD260的存储器部分上。顾客设备540通过诸如因特网之类的表示为cookie/用户名频带550的无线网络，与服务提供商web服务器530进行通信。MD260通过诸如蜂窝网络之类的表示为顾客频带580的无线网络与TS210进行通信。MD260通过诸如因特网之类的表示为密码频带590的无线网络，与服务提供商web服务器530进行通信。TS210通过诸如因特网之类的表示为服务提供商频带530的无线网络，与服务提供商web服务器530进行通信。
[0133]图8示出了使用图7的各种域的交易流程，一起描述图形的操作。在阶段6000，使用顾客设备540的顾客通过输入网站，与服务提供商web服务器530进行通信。在阶段6010，服务提供商web服务器530打开安全性登录页面。在一个实施例中，响应于缺乏顾客设备540的cookie信息，打开安全性登录页面。在一个实施例中，安全性登录页面表现出快速OOBL徽标545，即，通过顾客设备540的显示设备，通知顾客设备540的用户，登录将通过MD260完成。在阶段6020中，通过顾客设备540的输入设备，在显示的登录页面中输入用户名。在验证所输入的用户名之后，服务提供商web服务器530从TS210请求为顾客安排00BL，包括顾客ID和服务提供商信息。服务提供商web服务器530进一步在顾客设备540的显示设备上输出显示，以通过MD260继续进行登录。
[0134]在阶段6030，响应于在顾客设备540上显示的指令，打开MD260上的应用程序265，并响应于用户对MD260的输入设备268的手势，包括输入PIN，应用程序265从CE270的安全的IDl存储器功能请求ID1，从CE270请求PPRN2，如上文参考图1B所描述的。应用程序265通过顾客频带580进一步与TS210进行通信，并将从CE270中检索到的IDl和PPRN2 传输到 TS210。
[0135]在阶段6040，TS210响应于存储在顾客凭证数据库532上的信息，认证接收到的PPRN2，然后，通过向MD260的应用程序265提供服务提供商web服务器530的URL，从MD260请求登录信息，诸如密码。TS210另外将接收到的IDl和PPRN2传输到服务提供商web服务器530。如此，至少对于登录过程交易，MD260与服务提供商web服务器530相关联。
[0136]在阶段6050，应用程序265，响应于阶段6040的授权与URL连接的用户输入手势，使用接收到的URL，与服务提供商web服务器530进行通信，并将登录信息提供到提供商web服务器530。具体而言，登录信息包括ID1、PPRN2、密码和位置信息。应服务提供商请求，可以包括其他信息。在阶段6060，服务提供商web服务器530响应于在阶段6040传输的接收到的信息，验证密码、IDl和PPRN2。在阶段6070，在验证时，服务提供商web服务器530通过cookie/用户名频带550，在顾客设备540上打开安全的网页，通过服务提供商频带560，将登录批准消息传输到TS210，并可任选地，通过密码频带590，将登录批准消息传输到MD260。
[0137]如此，当顾客设备540位于诸如因特网咖啡馆之类的不安全的位置时，上文所描述的登录过程提供增强的安全性。
[0138]图9示出了在各个方面类似于图1A的划分的某些实施例的有利划分的高级框图，例外是:收单方STOB150通过财务结算功能220与顾客的支付资源250进行通信；接入点160通过表示为CHOW频带的网络195与TS210进行通信。
[0139]图10示出了使用图9的各种域的交易流程，一起描述图形的操作。在阶段6500，启动MD260上的应用程序265，响应于用户朝MD260的输入设备268的手势，输入预先向TS210注册的PIN。应用程序265从CE270的安全的IDl存储器功能请求IDl，从CE270请求PPRN2，如上文参考图1B所描述的。如上文所描述的，响应于接收到的PIN，并进一步响应于最初在注册时加载的且优选地存储在图1B的安全的密钥位置350中的PRN密钥，生成PPRN2。不要求检索IDl和PPRN2，在另一个实施例中，仅从CE270中检索PPRN2。应用程序265进一步向TS210传输可任选地检索到的IDl和检索到的所生成的PPRN2和位置信息。位置信息可以由机载GPS电子设备或响应于基站传输计算中的一项或两项所生成。在不超出范围的情况下，可以直接传输ID1，或可以使用编码的标识符。
[0140]在阶段6510，TS210响应于存储在其上的密钥，诸如在顾客凭证DB232上的，认证接收到的PPRN2，并响应于阶段6510的传输的位置信息，进一步标识向与MD260地理位置接近的TS210进行注册的所有接入点160。具体而言，在只有向TS210进行注册的单一接入点160表现出与在阶段6500传输的接收到的位置信息一致的位置的情况下，TS210将标识的接入点160的名称传输到MD260，供确认。在多个接入点160与接收到的位置信息一致的情况下，例如，在步行商业街，将带有一致的位置信息的注册的接入点160的列表传输到MD260，以及在阶段6520，响应于与MD260的输入设备268协作的用户手势，选择对于交易将与其关联MD260的合适接入点160。所选接入点160由MID进行定义。
[0141]可另选地，如图9所示，提供传输MID的接入点海报或标记180，且MD260通过将MD260与接入点海报或标记180并置来读取MID。优选地，MD260将读取的商家ID传输到TS210，如此，提供MD260的位置信息，特别是，对于交易，MD260将与其相关联的特定接入点160有关的信息。也可以传输其他信息。在一个特定实施例中，将特定接入点160的位置信息与MD260的接收到的位置信息进行比较，如果不一致，即，不是地理上可行的，则任何交易都将被阻止。
[0142]在阶段6530，将对于交易将与MD260相关联的MID传输到各种数据库231-236，以判断任何促销、忠诚度优惠、预购的优惠券或礼品券(这无限制)是否与特定MD260的特定MID相关。类似地，确定关于特定MID的支付选项相关的信息，从顾客钱包功能231中检索与顾客的钱包的相关性。从顾客钱包功能231和/或优惠券平台235中检索到的任何相关优惠券可以可任选地由发行方验证。由TS210生成CHOW信息，并将其传输到MD260，CHOff信息有利地相对于特定的接入点160定义，如此是位置相关的，只表现对于交易MD260指出将与其相关联的特定接入点I60相关的出价、折扣或支付选项。
[0143]在可选阶段6540，MD260的用户可以响应于与MD260的输入设备268协作的用户手势修改接收到的CH0W，特别是从各种支付选项中选择，和/或同意使用提供的一个或多个优惠。将任何基于CHOW的选择传输到TS210，作为修改过的CHOW或作为关于作出的选择的信息。应当注意，在TS210和MD260之间排他地沿着在一个实施例中通过安全套接字层(SSL)保护的预先频带295来完成上文所提及的通信的全部。CHOW信息优选地包括MD260的用户的所希望的支付方式的标识符，表示为支付ID。
[0144]在阶段6560，TS210，响应于阶段6550的接收到的基于CHOW的选择，或简单的CHOW批准，在顾客的支付资源250内从发行方生成最高财务交易请求。最高财务请求优选地包括上文所提及的ID1、最初生成的PPKN2、所选支付ID，特定选择的接入点160的标识符，即，商家ID。可另选地，使用新生成的经过认证的PRN，代替PPRN2。
[0145]在阶段6560，发行方或其他支付资源计算风险参数，并生成授权号码。风险参数通常包括财务交易限制，低于该限制，不需要进一步的授权。在一个实施例中，响应于接收到的PRN，生成风险信息。可任选地，将风险信息传输到TS210。
[0146]在阶段6570，一旦与MD260相关联的用户确定了准确的所希望的交易，就将MD260的CE270与接入点160并置，即，在轻触即付过程中。接入点160读取MD260的ID。在一个实施例中，读取的ID是向发行方进行注册的轨道2ID，如现有技术已知的。在另一个实施例中，读取的ID是预先向财务结算功能220注册的ID。在再一个实施例中，ID包括MD260的MSISDN。可任选地，读取的ID是如上文所描述的IDl。
[0147]在阶段6580，响应于阶段6580的读取的ID，接入点160准备CHOW请求消息，包括阶段6580的读取的ID和商家ID，并向TS210传输CHOW请求消息。在可选阶段6590，响应于阶段6580的请求，TS210向接入点160传输所生成的CHOW信息和接收到的ID。
[0148]在阶段6600，响应于接收到的ID和CHOW信息，接入点160准备授权请求消息以完成交易，以便传输到发行方。在ID是发行方注册的轨道2ID的实施例中，通过收单方SPDB150和财务结算功能220，将授权请求消息传输到发行方。生成授权请求消息，包括:在轻触即付过程中读取的ID ;接入点160的商家ID和交易标识符。
[0149]在阶段6610，发行方将交易标识符中所包括的金额与上文所生成的风险参数进行比较，如果金额小于风险参数，则在阶段6620，通过财务结算功能220和收单方SPDB150，将上文生成的授权号码传输到接入点160，以完成交易。另外，还将授权号码传输到TS210。
[0150]在阶段6630，由TS210将任何礼品、优惠券或忠诚度信息传输到相应的数据库/服务器。由TS210将交易批准消息传输到MD260，可任选地，包括进一步的局部相关信息，诸如相邻的供应商的促销。
[0151]在阶段6610交易金额大于所生成的风险参数的情况下，在阶段6640，发行方通知TS210,且TS210向MD260传输发行方授权请求消息。具体而言，从TS210向MD260传输消息，请求MD260登录到发行方/用户域。
[0152]在阶段6650，MD260登录到指向的发行方网页。发行方网页可以授权交易，但是，通常将需要某些标识，诸如PIN或电子签名。在一个实施例中，所需的标识响应于特定支付ID。在接收到标识时，且造发行方同意授权交易的情况下，如上文参考阶段6620-6640所描述的。
[0153]应该理解，为清楚起见在单独的实施例的上下文中所描述的本发明的某些特征，也可以在单一实施例中组合地提供。相反，为了简便起见在单一实施例的上下文中所描述的本发明的各种特征也可以单独地或在任何合适的子组合提供。
[0154]除非另外定义，否则此处所使用的所有技术和科学术语与本发明所属的技术的人员通常所理解的含义具有相同含义。虽然对本发明的实施或测试中可以使用与此处所描述的那些类似的或等效的方法，但是，此处描述了合适的方法。
[0155]此处所提及的所有出版物、专利申请、专利，及其他引用全部并入本文中，作为参考。在冲突的情况下，专利说明书，包括定义将占优势。另外，材料、方法，以及示例只是说明性的，不作为限制。
[0156]如此处所使用的术语“包括”、“具有”以它们的同根词，是指“包括但不一定仅限于”。术语“连接”不仅限于直接连接，还包括通过中间设备的连接。
[0157]所属【技术领域】的专业人员可以理解，本发明不仅限于在上文中特别示出和描述的内容。相反，本发明的范围由所附权利要求书进行定义，包括在上文中所描述的各种特征以及所属【技术领域】的专业人员在阅读前述的描述时想到的变化和修改的组合和子组合。
【权利要求】
1.一种交易系统,包括: 包括显示器的移动设备； 交易服务器；以及 被配置为在所述移动设备和所述交易服务器之间提供通信的通信网络， 其中，所述移动设备被配置为通过所述通信网络，将标识信息传输到所述交易服务器， 并且，其中，所述交易服务器被配置为: 响应于所述移动设备传输的标识信息，标识所述移动设备； 将所述标识的移动设备与特定接入点相关联； 通过所述通信网络，将交易信息传输到所述移动设备，所述传输的交易信息响应于所述相关联的特定接入点， 其中，所述移动设备被配置为响应于所述传输的交易信息，将信息输出到所述显示上。
2.根据权利要求1所述的交易系统，其特征在于，所述交易服务器被配置为获取关于所述移动设备的位置信 息，所述标识的移动设备与所述特定接入点的所述关联响应于所述获得的位置信息。
3.根据权利要求1-2中任一权利要求所述的交易系统，其特征在于，所述交易服务器与关联于所述移动设备的电子钱包功能进行通信，并且所述交易信息进一步响应于所述电子钱包功能。
4.根据权利要求3所述的交易系统，其特征在于，所述移动设备进一步配备有输入设备，并且所述移动设备被配置为: 允许响应于所述输入设备，修改所述交易信息；以及 将关于所述修改的信息传输到所述服务器。
5.根据权利要求1所述的交易系统，其特征在于，所述特定接入点是web服务器。
6.根据权利要求5所述的交易系统，还包括: 被配置为将与所述移动设备相关联的至少某些标识信息提供到所述web服务器的用户设备，并且，其中， 所述web服务器被配置为将所述用户设备所提供的标识信息传输到所述交易服务器，所述交易服务器被配置为响应于所述传输的用户设备所提供的标识信息，获取所述移动设备的地址。
7.根据权利要求1所述的交易系统，其特征在于，所述移动设备传输的标识信息包括响应于密钥所生成的伪随机数。
8.根据权利要求7所述的交易系统，其特征在于，所述移动设备进一步配备有输入设备，并且所述移动设备传输的标识信息包括响应于通过所述输入设备输入的个人标识号所生成的伪随机数。
9.根据权利要求8所述的交易系统，其特征在于，所述移动设备包括被配置为执行下列各项操作的安全元件: 生成响应于所述密钥所生成的所述伪随机数；以及 生成响应于所述个人标识号所生成的所述伪随机数。
10.根据权利要求9所述的交易系统，其特征在于，所述安全元件还包括被配置为执行下列操作的隔离功能:通过通信接口读取数据； 隔离所述读取的数据；以及 将所述隔离的数据传输到所述交易服务器。
11.根据权利要求7所述的交易系统，其特征在于，所述移动设备传输的标识信息还包括未加密的可读取的标识符。
12.根据权利要求7所述的交易系统，还包括与所述移动设备进行通信的安全设备，响应于所述密钥所生成的所述伪随机数是由所述安全设备所生成的并通过近距离通信传输到所述移动设备。
13.根据权利要求1所述的交易系统，还包括与所述交易服务器进行通信的忠诚度平台和优惠券平台中的至少一项，所述传输的交易信息进一步响应于所述至少一个平台。
14.一种提供交易信息的方法，所述方法包括: 将标识信息从移动设备传输到交易服务器； 响应于所述移动设备传输的标识信息，标识所述移动设备； 将所述标识的移动设备与特定接入点相关联； 将交易信息传输到所述移动设备，所述传输的交易信息响应于所述相关联的特定接入点；以及 响应于所述传输的交易信息，将信息输出到所述移动设备的显示器上。
15.根据权利要求14所述的方法，还包括: 获取关于所述移动设备的位置信息， 其中所述将所述标识的移动设备与所述特定接入点相关联响应所述获取的位置信息。
16.根据权利要求14-15中任一权利要求所述的方法,其特征在于,所述传输的交易信息进一步响应于电子钱包功能。
17.根据权利要求16所述的方法，还包括: 允许响应于所述移动设备的输入设备，修改所述交易信息；以及 将关于所述修改的信息传输到所述交易服务器。
18.根据权利要求14所述的方法，其特征在于，所述特定接入点是web服务器。
19.根据权利要求18所述的方法，还包括: 提供被配置为向所述web服务器提供与所述移动设备相关联的至少某些标识信息的用户设备； 将所述用户设备提供的标识信息从所述web服务器传输到所述交易服务器；以及 响应于所述传输的用户设备提供的标识信息，获取所述移动设备的地址。
20.根据权利要求14所述的方法，还包括: 生成响应于密钥所生成的第一伪随机数，其中所述提供的移动设备传输的标识信息包括所述所生成的第一伪随机数。
21.根据权利要求20所述的方法，还包括: 提供所述移动设备，其中所述提供的移动设备进一步配备有输入设备； 响应于通过所述输入设备输入的个人标识号，生成第二伪随机数， 其中所述移动设备传输的标识信息还包括所述所生成的第二伪随机数。
22.根据权利要求21所述的方法，其特征在于，所述提供的移动设备包括被配置为生成所述第一和第二伪随机数的安全元件。
23.根据权利要求22所述的方法，其特征在于，所述安全元件执行一种方法，包括: 通过通信接口读取数据； 隔离所述读取的数据；以及 将所述隔离的数据传输到所述交易服务器。
24.根据权利要求20所述的方法，其特征在于，所述移动设备传输的标识信息还包括未加密的可读取的标识符。
25.根据权利要求20所述的方法，还包括提供安全设备， 其中响应于所述密钥所生成的所述第一伪随机数是由所述安全设备所生成的，所述方法还包括通过近距离通信将所述第一伪随机数传输到所述移动设备。
26.根据权利要求14所述的方法，其特征在于，所述传输的交易信息进一步响应于忠诚度平台和优惠券平台中的一个。`
【文档编号】G06Q20/32GK103733212SQ201280038878
【公开日】2014年4月16日 申请日期:2012年6月7日 优先权日:2011年6月9日
【发明者】A·J·韦纳 申请人:奥赛尔斯科技(2009)有限公司