保护通过移动设备所执行的非接触式支付的制作方法

本发明涉及通过使用移动设备和商户的支付终端之间的短距离无线通信来购买产品或服务期间所执行的非接触式支付的安全性。

背景技术：

非接触式支付涉及在商户的支付终端(以下称为支付终端)与使用移动通信设备(诸如，智能手机、平板电脑或任何其他移动个人助理)的客户之间安全地交换支付信息。

随着信息和通信技术的发展，使用便携式设备进行支付交易已经变得普遍。例如，由于智能手机上所安装的特定应用使用例如与支付终端进行rf(射频)短距离无线数据交换，智能手机可以以与非接触式信用卡类似的方式用作支付手段。因此，移动设备包括至少一个适当的收发设备，该收发设备能够与配备有类似的收发设备的支付终端建立短距离电磁通信。使用管理该数据交换的通信协议的已知收发设备主要包括nfc(近场通信)、蓝牙或zigbee技术。

nfc技术的优点是几厘米的非常短的传输范围，这可能限制窃取或拦截在移动设备和支付终端之间交换的敏感数据的可能性。

然而，rf短距离无线通信信道的一个缺点通常涉及其潜在的安全脆弱性。在非接触式解决方案的安全弱点之中，最重要的一个它们对于“中继攻击”的脆弱性。在这种情况下，执行网络攻击的不道德玩家(以下称攻击者或黑客)可能能够通过拦截在客户的移动设备与合法商家支付终端之间交换的rf信号中的数据来发起支付交易。所截取的数据然后被重定向或转发到执行非法支付交易的另一支付终端，从而危害客户以及合法商家。

中继攻击原理及其对策在以下文献中进行描述：

伦敦皇家霍洛威大学智能卡中心信息安全部门的“使用移动电话的实际的nfc点对点中继攻击”，lishoyfrancis，gerhardhancke，keithmayes和konstantinosmarkantonakis。

本文献描述了如何通过在攻击者自己的支持nfc的移动电话上开发和安装合适的移动信息设备配置文件应用程序来对于使用合法的点对点nfc通信的系统实施中继攻击。攻击不需要访问安全程序存储器，也不需要使用任何代码签名，并且能够使用公开可用的api。使用设备位置的中继攻击对策能够在移动环境中使用。这些对策也可以用于防止在移动电话上使用“被动”nfc的非接触式应用的中继攻击。中继攻击对策是基于gps坐标来检查移动设备的接近度。移动设备a基本上将其位置和时间戳添加到所发送的数据。然后使用诸如数字签名的附加认证机制来验证分组是由移动设备a构建的。移动设备b将移动设备a的位置与其自身进行比较，并确认移动设备a处于紧密接近。如果攻击者转发该数据，则移动设备a的位置理论上应该距离移动设备b的位置更远，将会检测到攻击。由于攻击者不知道移动设备a的关键材料，所以无法修改数据或构建新的数据包。时间戳防止攻击者记录有效交易并在相同位置的稍后阶段使用它。对策的可靠性和/或效率主要基于签名加密强度。

emvco有限公司的“emv付款令牌化规范”，技术框架，v1.0是针对令牌化的未来标准的草案版本。本文献描述了付款令牌形式，定义支持付款令牌化所必需的实体的关键角色，识别此规范的影响，指定与令牌请求相关联的必需和可选数据字段，令牌发行和提供，交易处理以及识别必要的应用程序编程接口(api)。该文献还旨在提供对于支付令牌化生态系统、术语定义、关键责任、以及生态系统中每个实体特定的控制的详细说明。此外，本文献还提供潜在使用示例，相关交易流程，以及跨传统支付功能(例如授权、捕获、清除以及异常处理)的这些交易流程中所需和可选字段的标准化。支付交易中的潜在的中继攻击以及防止这种攻击的解决方案在本文献中未涉及。

技术实现要素：

根据一个实施例，提出了根据权利要求1所述的一种用于在支付终端上保护由移动设备所执行的非接触式支付交易的方法。

本发明的另外目的涉及根据权利要求11的用于保护非接触式支付交易的移动设备，以及根据权利要求13的用于处理从移动设备接收到的支付交易的支付终端。

本发明的方法、移动设备和支付终端被设置为使用与在移动设备和支付终端之间交换的支付交易相关联的各种参数。此后描述的优选实施例使用移动设备特定的第一参数和支付终端特定的第二参数。这些参数可以呈现移动设备和支付终端的相应位置，与交易处理时间相关的时间戳或者每个移动设备和支付终端的标识符。这些参数相关的差异值由移动设备和支付终端通过在支付交易生效之前进行与参考值的比较来验证。

附图说明

通过以下详细描述将会更好地理解本发明，这些详细描述参考作为非限制性示例给出的附图。

图1示出呈现移动设备和支付终端的示意图，其中它们各自的外部参数对应于保护非接触式支付交易中所涉及的它们各自的空间位置。

图2示出根据本发明经由短程无线通信信道在移动设备与支付终端之间交换数据的流程图。

具体实施方式

本发明的方法优选地应用于使用基于pci(支付卡行业)数据安全标准的令牌化协议的移动设备的支付解决方案。基本账户号(pan)保存在与移动设备相关联的安全元件se中。

移动设备md可以在包括智能电话、平板电脑、便携式计算机、或者具有适当的支付应用、安全元件以及短程电磁通信收发器的任何其它便携式数字助理的组中选择。

安全元件se可以包括能够安装、个性化以及管理应用的平台。它包括能够进行证书的安全存储和用于支付、认证以及其他服务的应用的执行的硬件、软件、接口以及协议。安全性关键的应用，诸如那些包含支付和账户证书的应用，需要安全的硬件存储器和安全的执行环境。在移动设备上，这通常由安全元件来处理。

安全元件se可以以不同形式来实施，诸如通用集成电路卡(uicc)、嵌入式安全元件、或nfc(近场通信)装置，诸如能够插入到移动设备上的卡槽中或以非接触的方式使用的独立的芯片或安全设备。通常uicc是由移动网络运营商控制的用户标识模块(sim)的形式。嵌入式的安全元件向服务供应商给出将安全元件嵌入到移动设备本身中的选择。安全元件se可以包括信任共同的实体的一个或多个安全域，每个安全域包括诸如分组、小程序、应用等的数据的集合(即，使用共同的或全局的密钥或令牌来进行认证或管理)。安全域可以与服务提供商相关联，并且可以包括服务供应商小程序或应用，诸如忠诚、折扣和信用卡，并且传送应用或小程序。

在移动设备md和支付终端pt之间的支付交易开始时，移动设备md在交易请求时从支付终端pt接收与包括至少一个金额和交易标识符的当前支付有关的交易参数tp。在支付交易的准备阶段，安全元件se可以通过使用密码函数f来生成密码文件f(tp)形式的初始令牌t0，密码文件f(tp)至少包括用户基本账户号(pan)和与当前支付交易相关联的交易参数tp。初始令牌t0也可以经由移动通信网络在线生成并提供给移动设备md的安全元件se。密码文件f(tp)还包括完整性数字，例如通过将哈希函数应用于所有或部分交易参数tp所获得的摘要。

对于给定交易，初始令牌t0通常是唯一的。即使相同的支付终端pt与同一移动设备md一起使用；每个支付通常都会导致安全元件se产生新的令牌。根据emvco集团(组织开发和维护europay，万事达卡，visa标准)制定的规范，初始令牌t0也可用于不同的交易，在这种情况下，到期日限制交易次数。支付交易由支付终端pt验证，支付终端pt在将其转发到诸如清算实体、银行或信用卡管理中心的支付管理机构pa的服务器之前，验证初始令牌t0的完整性。服务器还针对“已使用”令牌数据库验证给定令牌的唯一性或到期日期，以防止为另一个交易重复相同的令牌。

当移动设备md上的用户认证被成功地执行时，初始令牌t0准备好经由使用例如nfc或蓝牙技术的短程无线通信信道发送到商家的支付终端。

可以通过在移动设备操作系统或支付应用的适当的用户界面中引入pin码或指纹来执行用户认证。

根据本发明，移动设备md和支付终端pt在将初始令牌t0转发给支付机构pa之前，对移动设备md特有的第一参数p1和对支付终端pt特有的第二参数p2进行验证。

根据图1所示的优选实施例，第一参数p1和第二参数p2表示由移动设备md和支付终端pt的坐标(x，y，z)所定义的空间位置。这些坐标可以通过安装在移动设备md中的位置应用使用gps(全球定位系统)系统来确定。关于通常具有固定位置的支付终端pt，该位置可以在安装期间存储在存储器中。

在由gps系统提供的信号太弱而不能被移动设备md接收的室内位置的情况下，可以使用室内定位系统ips来确定位置。不使用卫星，ips解决方案可能会使用不同的技术，包括基于rf发射器的距离测量，用作位置参考，如wifi接入点，或使用磁性、声学或光学技术的定位系统。

这些位置坐标通过短程无线通信信道进行交换，并且在处理支付交易之前由移动设备md以及支付终端pt进行验证。该验证基于由当前位置(p1，p2)确定的距离d与预先存储的参考距离范围dref的比较。

图2的流程图示出了在移动设备md和支付终端pt之间经由短程无线信道srw的交换的数据，由初始令牌t0结合移动设备md和支付终端pt分别特定的参数(p1，p2)而形成。

在初始步骤中，支付终端pt向移动设备md发送与由移动设备md执行的当前支付交易相关的交易参数tp。交易参数tp包括与移动设备(md)的用户相关的至少一个基本帐号(pan)以及与当前支付交易相对应的金额。根据一种选择，交易参数tp可以由一个或多个参数完成，例如交易、终端或商家的标识符。

由移动设备md的安全元件se产生的初始令牌t0形成对于当前交易唯一的密码文件f(tp)。然后，将由移动设备md的gps或ips应用所提供的位置坐标p1与初始令牌t0组合，通过应用可逆的数学运算(x)，例如加法、乘法、xor(异或)或任何其他可逆组合。由此获得的结果包括经由短距离无线通信信道srw发送到支付终端pt的第一令牌t1＝t0×p1。

支付终端pt通过以下方式进行回应：向移动设备md发送通过应用可逆数学运算将第一令牌t1与支付终端pt的位置p2进行组合所产生的第二令牌t2＝t1×p2。移动设备md通过将所述(/)的可逆数学运算的逆运算应用于第一令牌t1和第二令牌t2，来确定支付终端pt的位置p2。

实际上，p2＝t2/t1，其中t2＝t1×p2，t1＝t0×p1，给出t0×p1×p2/t0×p1＝p2。

通过知晓位置p1和p2，移动设备md计算与移动设备md和支付终端pt之间的距离d1对应的移动差值d1。然后将该距离d1与移动设备md的存储器中所存储的参考距离范围d1ref进行比较。

在当前距离d1超出参考距离范围d1ref时，比较失败，即距离比参考距离d1ref长时，交易停止。事实上，在中继攻击的情况下，移动设备md与位于不同位置p2'的被利用的、假的或任何其他支付终端pt2之间的距离d1'大于参考距离d1ref。

如果比较成功，即距离d1包含在参考距离范围d1ref内，则移动设备md将第三令牌t3＝p1×p2发送到支付终端pt。该令牌t3通过将可逆数学运算(x)应用于移动装置md的位置p1以及支付终端pt的位置p2而产生。

已经接收到第三令牌t3的支付终端pt通过将第三令牌t3和支付终端pt的位置p2与可逆的数学运算(/)的逆运算进行组合来确定移动设备md的位置p1＝t3/p2＝p1×p2/p2。

以与前一步骤中的移动设备md类似的方式，同时知晓位置p1和p2的支付终端pt计算与移动设备md和支付终端pt之间的距离d2对应的终端差异值d2。然后将该距离d2与存储在支付终端pt的存储器中所存储的参考距离范围d2ref进行比较。

如果当前距离d2超过参考距离范围d2ref，则停止交易。在相反的情况下，当距离d2包括在参考距离范围d2ref内时，支付终端pt通过组合第二令牌t2和利用可逆数学运算的逆运算先前接收的第三令牌t3来确定初始令牌t0。

事实上：t0＝t2/t3＝t1×p2/p1×p2＝t0×p1×p2/p1×p2＝t0

所获得的初始令牌t0由支付终端pt进行处理，支付终端pt转发给银行或信用卡管理中心进行清算。

根据一种选择，移动设备md可以将该初始令牌t0发送到支付终端pt，以便在将其发送到支付机构pa之前，通过由t0＝t2/t3计算的初始令牌t0来验证身份。由移动设备md发送的令牌t0与由支付终端pt计算的令牌t0之间的差异可能是由用于计算初始令牌t0的位置p1或位置p2或两者的修改产生的。与移动设备md所产生的初始令牌t0不同的令牌t0'在存在令牌检查选项的情况下由支付终端pt拒绝，或者在不存在该选项时由支付权限pa拒绝。

通过由移动设备md和支付终端pt都执行的测试来防止黑客尝试将捕获的交易转移到另一个终端而不修改数据的被动中继攻击，根据优选实施例其将距离(d1，d2)与参考距离范围(d1ref，d2ref)进行比较。

本发明的方法还允许防止主动中继攻击，即黑客捕获和修改在移动设备md和支付终端pt之间传输的数据，用于利用修改的数据来执行与另一支付终端的交易。

例如，在主动中继攻击期间，黑客的移动设备md'可以捕获在原始移动设备md和第一支付终端pt1之间交换的令牌t1＝t0×p1和t2＝t1×p2。黑客的移动设备md'计算第一支付终端pt1的位置p2＝t2/t1，并修改获得的位置p2，使得修改值p2'通过移动设备md'执行的距离测试。

移动设备md'然后将由移动设备md'的位置p1'与修改位置p2'的组合所产生的令牌t3'＝p1'×p2'发送到位置p2'处的第二支付终端pt2，由于位置p2'的值包括在参考距离范围d2ref内，所以第二支付终端pt2成功执行距离测试。第二支付终端pt2因此计算初始令牌t0'＝t2'/t3'。该初始令牌t0'将不对应于原始移动设备md产生的原始初始令牌t0。事实上，令牌t3'＝p1'×p2'是在黑客的移动设备md'的位置p1'而不是原始移动设备md的位置p1来计算的，在不知道原始移动设备md生成的初始令牌t0的情况下无法从令牌t1计算出。此外，令牌t2'＝t0×p1×p2'包括原始移动设备md的位置p1，而不是黑客的移动设备md'的位置p1'。

最后，即使修改的支付终端位置p2'通过在移动设备md'和支付终端pt2上执行的距离测试，所获得的初始令牌t0'也被支付终端pt2拒绝，支付终端pt2可以通过执行例如完整性测试来对其进行分析。如果支付终端pt2没有预先验证，将所获得的令牌t0'直接转发到支付机构pa服务器，则在该服务器验证之后，令牌t0'也将被拒绝。

本发明的方法的一个特定方面在于，参数p1，p2被初始令牌t0从交易开始屏蔽至结束，结束时通过将数学可逆的运算施加到第二令牌t2和第三令牌t3上，在支付终端上显示令牌t0。由于这种屏蔽效应，无法以简单的方式获得参数p1和p2，用于利用从一个支付终端传送的正确的初始令牌t0成功地执行主动中继攻击。

根据另一实施例，参数p1、p2包括在支付交易开始时由移动设备md和支付终端pt所指示的当前日期和时间所形成的时间戳。该实施例可以用于如下情况：在移动设备md上没有gps/ips应用或者缺少稳定的定位信号，例如在地下地点或内部建筑物中，无法确定移动设备md和支付终端pt的相应位置。然而，为了比较时间戳，支付终端pt和移动设备md之间的时间同步变得必要。这种同步可以通过用于移动设备md的移动通信网络和用于支付终端pt的相同移动网络或有线本地网络来提供。

在以与前述实施例的相应位置相似的方式验证支付交易之前，由移动设备md以及支付终端pt交换并且验证各个时间戳。验证是基于将当前时间戳和由支付终端pt提供的时间戳之间所确定的时间差与通常为几秒的预先存储的参考时期进行比较。响应于接收到第一令牌t1，支付终端pt的时间戳被发送到具有第二令牌t2的移动设备md。

当分别由支付终端pt、移动设备md计算出的时间差超过参考周期时，停止该交易。事实上，在主动中继攻击的情况下，用于通过数据修改来模拟真实交易的移动设备md所花费的时间比移动设备md和支付终端pt之间的正常交易处理所花费的时间长。

当时间差包含在参考周期内时，交易被支付终端pt认为是有效的，并且初始令牌t0被转发到支付机构pa的服务器。

根据另一实施例，参数包括支付终端pt的标识符id2和由移动设备md获取的标识符id2'。在支付交易开始时，移动设备md首先经由比短距离无线通信信道srw另外的信道来获取支付终端pt的标识符id2'。标识符id2'可以位于或靠近到支付终端pt。

例如，支付终端id2'的标识符可以使用适当的应用以移动设备md的相机可读的条形码或qr码的形式显示。然后，移动设备md向支付终端pt发送包括与读取标识符id2'组合的初始令牌t0的第一令牌t1。

支付终端pt通过发送包括与从所述支付终端pt的存储器检索到的标识符id2组合的第一令牌t1的第二令牌t2进行应答。因此，验证基于由相机获取的标识符id2'与利用第二令牌t2接收的标识符id2的一致性检查的结果。在这些标识符id2'和id2之间的差异示出可能尝试的中继攻击的情况下，该交易被停止。在相反的情况下，移动设备md发送由标识符id2和id2'的组合形成的第三令牌t3，以便由支付终端pt进行一致性检查，该支付终端pt将移动设备md获取的标识符id2'与其存储的标识符id2进行比较。

当在移动设备md和支付终端pt上的标识符一致性检查成功时，交易被支付终端pt视为有效，并且初始令牌t0被转发到支付机构pa的服务器。

根据一种选择，经由短距离无线通信信道srw发送的令牌t1、t2和t3可以在支付交易开始时利用在移动设备与支付终端之间协商的密码密钥k进行签名。诸如diffie-hellman之类的算法可以用于在不交换密钥k本身的情况下交换在移动设备和支付终端上确定密码密钥k所必需的数据。

签名包括利用加密密钥加密的发送令牌(t1，t2，t3)的摘要，通过将sha-2、sha-3、blake或者任何其他专有类型的单向和无冲突哈希函数施加到相关令牌上来计算摘要。

在移动设备md或支付终端pt接收到令牌(t1，t2，t3)时，通过对接收到的摘要进行解密，并将经解密的摘要与通过施加哈希函数到接收的令牌(t1，t2，t3)计算出的摘要进行比较，来验证签名。如果计算的摘要与接收的摘要相同，则接受令牌，否则被拒绝，并且停止交易的处理。加密密钥可以是对称的或非对称类型。

鉴于短距离无线通信信道srw被认为是不安全的，攻击者可以看到密钥协商，特别是在“中间攻击者”期间，其移动设备取代了“原始”移动设备并且变得能够确定密码密钥k。因此，根据本发明的与参数相结合的令牌的交换以及验证过程呈现出对于中继或中间攻击者问题有效且充分的解决方案，该问题无法在实现不安全无线通信信道的环境中通过适当的密码解决方案来解决。