跨网络身份验证方法以及系统与流程

本发明涉及跨网络身份验证，并且更具体地，涉及对移动订户在其本国电信运营商的移动网络区域之外旅行时使用外国应用程序进行身份验证。

背景技术：

人们因公务、度假和其他目的出国旅行的频率比以前更高。当人们出国旅行时，他们通常随身携带移动设备，并希望在其本国运营商的移动网络区域(“本国区域”)中可用的移动设备上使用相同或相似的服务。电信运营商通常遍及其本国国家提供移动网络服务，但是在一些情况下，电信运营商可以仅在其本国国家(“本国区域”)的一部分提供移动网络服务。因此，所提供的与本国电信运营商相关联的服务(“本国服务”)通常在其本国电信运营商的移动网络不覆盖的外国国家或外国区域不可用。当前往外国国家或外国区域的移动订户(“订户”)想要使用此类本国服务时会出现问题，因为外国服务提供商无法对移动订户进行身份验证并且然后批准交易或其他服务。

例如，当移动订户想要在外国(本地)商家商店进行移动支付时，外国(本地)商家必须在能够认证和接受支付之前以实时方式对移动订户进行身份验证。外国(本地)商家通常与外国(本地)服务提供商合作，以使来自客户的外国(本地)虚拟钱包能够移动支付，并且不接受来自移动订户与其本国电信运营商相关联的本国虚拟钱包的移动支付。传统上，移动订户必须获得外国(本地)移动设备号码并创建外国(本地)虚拟钱包，以便在外国国家(或区域)使用移动支付。即使订户克服了建立外国虚拟钱包的困难和挑战，通过传统的金融服务提供商(诸如银行)从其本国向外国虚拟钱包进行转账的过程也很麻烦且耗时。因此，移动订户不能在出国旅行时使用其本国虚拟钱包来进行移动支付。并且同样的，外国(本地)商家也失去了来到外国国家(或区域)出国旅游的移动订户的潜在业务。

当前，前往外国国家(或区域)出国旅行的人们必须改变其消费行为或采取行动克服困难和挑战，以与外国国家(或区域)的外国(本地)服务提供商建立关系。本发明旨在通过提供跨网络/区域身份验证方法和系统以解决此问题，并且因此通过使用外国应用程序在外国国家(或区域)实现各种本国服务，诸如通过使用经由本国虚拟钱包的外国虚拟钱包在外国国家(或区域)进行移动支付和数字财产转移。

附图说明

图1是示出移动订户(千春)到外国国家出国旅行并试图通过钱包漫游在外国国家使用其本国虚拟钱包的图。

图2描绘了通过数据漫游的本国电信运营商识别过程的实施例。

图3描绘了通过数据漫游的订户身份验证过程的实施例。

图4示出了通过数据漫游来实现订户身份验证的数据通信流程的实施例。

图5描绘了通过语音漫游的本国电信运营商识别的实施例。

图6示出了通过语音漫游的订户身份验证过程的实施例。

图7示出了在跨网络身份验证之后通过采用分布式交易共识网络经由虚拟钱包的移动支付应用的实施例。

具体实施方式

在下面给出的描述中使用的术语旨在以其最广泛的合理方式解释，即使其与该技术的某些特定实施例的详细描述结合使用。以下甚至可以强调某些术语；但是，任何旨在以任何受限方式解释的术语将在本具体描述部分中具体定义。术语“钱包”可与虚拟钱包互换使用。术语运营商身份验证与订户身份验证可互换使用。术语应用程序以英文app称呼。术语外国钱包应用程序是外国应用程序的一种类型。术语“外国钱包服务器”是一种类型的外国应用程序服务器。

下面介绍的实施例可以通过由软件和/或固件编程或配置的可编程电路实现，或完全通过专用电路实现，或通过这些形式的组合实现。这种专用电路(如果存在的话)可以是例如一个或多个专用集成电路(asic)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)等的形式。

所描述的实施例涉及一种或多种方法、系统、装置和存储有处理器可执行的处理步骤的计算机可读介质，以在移动订户在其本国电信运营商的移动网络区域之外(“外国区域”)时对使用外国应用程序的移动订户进行身份验证。移动订户从本国电信运营商订阅移动设备号码和服务以与移动设备一起使用，移动设备可以包括具有电信功能的所有便携式设备，诸如移动电话和平板电脑。在第一实施例中，可以通过数据漫游服务来对移动订户进行身份验证以使用外国应用程序。在第二实施例中，可以通过语音漫游服务来对移动订户进行身份验证以使用外国应用程序。在第三实施例中，可以通过wifi服务对移动订户进行身份验证以使用外国应用程序。在进行跨网络身份验证之后，通过与订户的本国电信运营商有关的本国服务，移动订户可以使用外国应用程序在外国区域(诸如外国国家)中提供相同或相似的服务，就像他/她可以在他/她的本国区域中使用一样。跨网络身份验证可以被许多不同类型的应用程序采用，这些应用程序提供与电信运营商有关的服务。在一个实施例中，在跨网络身份验证之后，当具有与他/她的本国电信运营商相关联的本国虚拟钱包的移动订户前往诸如外国国家的外国区域出国旅行时，可以使用他/她的本国虚拟钱包通过外国区域中的外国(本地)虚拟钱包应用程序来支付在外国(本地)商店中的交易(移动支付)。该实施例称为钱包漫游，是指本国虚拟钱包可以用于通过外国区域中的外国虚拟钱包进行移动支付。对于钱包漫游，在一个实施例中，通过使用密码技术的分布式交易共识网络在分布式分户账中记录和清算交易。在一个实施例中，分布式分户账可以使用区块链数据格式。关于与不同电信运营商相关联的虚拟钱包之间的交易记录和清算，于2017年1月6日提交的标题为“分布式交易共识网络上的数字财产管理”的申请号为pct/us17/12635的国际专利通过引用结合于此。

图1描绘了钱包漫游应用中的移动订户身份验证的实施例。在该实施例中，软银公司(日本电信运营商)(“软银”)的移动订户千春从日本(千春的本国区域/地区)到中国台湾(千春的外国区域/地区)出国旅行。软银是千春的语音和数据服务本国电信运营商。千春还从软银订阅了本国虚拟钱包服务。在日本的商家商店中，千春可以使用安装在其移动设备上的软银的虚拟钱包应用程序(“app”)(“本国运营商的钱包应用程序”)从其本国虚拟钱包向日本商家的虚拟钱包进行移动支付。千春到达中国台湾之后，根据外国(本地)电信运营商的接收效果或预定的外国(本地)电信运营商，千春可以启动语音或数据漫游服务以将其移动设备连接到中国台湾三个主要电信运营商中的一个：远传电信(fareastonetelecommunication，“fet”)、中华电信有限公司(chunghwatelecomco.,ltd，“cht”)、或中国台湾移动有限公司(taiwanmobileco.,ltd，中国“台湾移动”)。在建立语音或数据漫游的过程中，外国(本地)电信运营商将能够识别本国电信运营商，并从他/她的本国电信运营商接收移动订户的移动网络级别身份验证。建立语音或数据漫游之后，千春可以使用相同的移动设备通过中国台湾电信运营商中的一个拨打/接听电话或下载/上传数据。此外，千春可以使用wifi连接到互联网以获得数据服务。

为了实现钱包漫游(或其他服务应用程序漫游)，本国虚拟钱包和外国虚拟钱包必须能够通过一个或多个分布式交易共识网络直接地或间接地进行数字资产交易。假设软银和fet都是分布式交易共识网络的成员，那么千春可以将她与软银相关联的本国虚拟钱包漫游到与fet相关联的外国虚拟钱包。千春必须首先从fet下载外国(本地)虚拟钱包应用程序(“app”)，而不管千春用于数据漫游的外国(本地)电信运营商为何。换句话说，千春可以使用cht用于数据漫游，但仍使用fet用于钱包漫游。在软银对千春进行身份验证以使用fet虚拟钱包应用程序之后，千春可以使用她的与软银相关联的本国虚拟钱包在中国台湾的商家商店进行移动支付，该商家商店接受来自fet虚拟钱包的付款，但不接受来自千春的与软银相关联的日本虚拟钱包的付款。

对于本国电信运营商，为了完成移动订户身份验证以使用外国应用程序(诸如虚拟钱包应用程序)，第一个步骤是外国应用程序(或外国应用程序服务器)必须从已启动数据漫游服务或语音漫游服务的移动设备中识别本国电信运营商，或者使用wifi访问互联网，如果外国应用程序是安装在移动设备上。第二个步骤是使诸如外国虚拟钱包应用程序的外国应用程序(或外国应用程序服务器)从他/她的本国电信运营商接收移动订户的真实性身份验证。

在如图2所示的第一实施例中，去往外国区域(诸如外国国家)的移动订户(“订户”)已经启动了数据漫游服务，使得外国(本地)电信运营商的移动网络与本国电信运营商的移动网络之间的连接为通过gprs隧道用户平面协议(gtp-u)的隧道或类似服务建立。然后，移动订户可以开始在中国台湾下载外国(本地)应用程序，例如fet的虚拟钱包应用程序friday钱包。数据漫游服务提供商不一定需要是与外国钱包应用程序相关联的外国电信运营商，如fet。在此下载过程中，通过gtp-u隧道所有数据包都将从外国(本地)电信运营商的移动网络(例如fet或cht或中国台湾移动)路由至本国电信运营商的移动网络(例如软银)，然后发送到互联网。一旦订户开启外国(本地)虚拟钱包应用程序(例如friday钱包应用程序)后，这样的外国虚拟钱包应用程序将注意到移动设备号不是本地移动设备，并将向外国(本地)应用程序的身份验证网关(ag)发送请求以查询订户的本地电信运营商的身份。按照相同的路由，此类查询消息的数据包将从订户的移动设备上的外国(本地)虚拟钱包应用程序路由到外国(本地)电信运营商的移动网络(例如中国台湾的fet、cht或中国台湾移动)，然后通过gtp-u隧道到达本国电信运营商的移动网络(例如日本软银)，然后通过本国电信运营商的路由器到达互联网，最终到达中国台湾的外国(本地)应用程序的身份验证网关(ag)。当数据包通过本国电信运营商的路由器到达互联网时，查询消息的这些数据包的源头ip地址将从私有ip地址(仅在移动网络中被识别)转换为全局ip地址(在互联网上被识别)。在这样的网络地址转换(“nat”)之后，数据包将携带分配给本国电信运营商(例如，软银)的一个全局ip地址。因此，外国(本地)应用程序的ag可以查找全局ip范围表，以确定订户的本国电信运营商的身份。例如，如果外国(本地)应用程序的ag接收到查询消息的数据包的全局ip地址为123.108.236.0，则在查找全局ip范围表之后，外国(本地)应用程序的ag确定订户的本国电信运营商是软银并将此信息发送回外国(本地)应用程序(例如fet的friday钱包应用程序)。可选地，外国(本地)应用程序的身份验证服务器(“as”)可以被配置为执行由图2中的外国(本地)应用程序的身份验证网关提供的上述功能。

在订户的本国电信运营商的识别之后，第二个步骤是使外国应用程序接收移动订户的真实性身份验证。如图3所示，移动订户身份验证可以通过外国(本地)电信运营商与本国电信运营商之间的通信来完成，更具体地说，在外国(本地)钱包应用程序、外国(本地)钱包应用程序服务器、本地电信运营商的身份验证服务器(“as”)和本地电信运营商的移动订户号码(“msn”)管理服务器之间进行通信，而订户无需输入用户id和密码。因此，该过程也称为自动运营商身份验证。当订户打开数据漫游服务时，本国电信运营商会指定由订户的移动设备使用的私有ip地址，以在运营商的移动网络和gtp-u隧道内传输数据包。因此，通过数据漫游，订户的移动设备位于外国国家(或区域)时，可以使用私有ip地址作为数据包的源头ip地址与本国电信运营商的移动网络中的本国电信运营商的内部服务器(诸如本地运营商的msn管理服务器和as)建立数据连接。

另外，如图3所示，本国电信运营商的as是多端口服务器，可以同时连接到本国电信运营商的移动网络和互联网。因此，同一本国电信运营商的as在图3中被两次描绘，通过虚线连接，一个位于本国运营商的移动网络内部，另一个经由互联网连接。在图3所示的网络架构下，可以自动完成数据漫游用户的用户身份验证而无需输入用户名和密码。

图4描绘了为了完成用户身份验证的第二个步骤外国(本地)钱包应用程序、外国(本地)钱包服务器、本国电信运营商的身份验证服务器(“as”)和本国电信运营商的msn管理服务器之间的数据通信流程的一个实施例。在步骤410处，本地虚拟钱包应用程序经由互联网向本地钱包服务器发送身份验证请求，该身份验证请求可以将订户识别为需要从他/她的本国电信运营商的as进行身份验证的数据漫游用户。因此，在步骤420处，本地钱包服务器经由互联网将订户身份验证请求重定向到本国电信运营商的as。在步骤430处，本国电信运营商的as在接收到订户身份验证请求之后，需要订户的信息来验证他/她的身份，并因此通过运营商的移动网络将订户信息请求重定向到本国电信运营商的msn管理服务器。在步骤440处，在接收到订户信息请求时，本国电信运营商的msn管理服务器可以通过从数据包的私有ip地址得出的移动订户国际订户目录号(“msisdn”)来检索订户信息。在一个实施例中，本国电信运营商的msn管理服务器为用户信息指定一次性令牌。因此，因应于订户信息请求，本国电信运营商的msn管理服务器通过运营商的移动网络然后通过互联网将订户信息(例如一次性令牌)重定向到本国电信运营商的as以进行确认。在步骤450处，在接收到订户信息时，本国电信运营商的as通过提交订户信息，经由运营商的移动网络从本国电信运营商的msn管理服务器独立地请求并接收订户的msisdn。然后，本国电信运营商的as将接收到的订户的msisdn与订户的数据库进行对照，以确认订户。在步骤460处，本国电信运营商的as经由互联网将订户身份验证响应(具有身份验证码)重定向到本地钱包服务器。在步骤470处，本地钱包服务器通过提交订户身份验证响应(带有身份验证码)，经由互联网独立地请求并从本国电信运营商的as接收订户的msisdn和身份验证令牌。在步骤480处，本地钱包服务器将身份验证令牌返回到本地钱包应用程序以完成身份验证过程。之后，本地钱包应用程序可以使用身份验证令牌来联系本国电信运营商的身份验证网关。

为了订户的方便，通过图4中所示的步骤，即可以自动完成订户身份验证而无需输入用户id和密码。

然而，作为可选的，在用户启动数据漫游服务之后，出于安全原因，仍可以要求用户输入用于设置他/她的本国虚拟钱包帐户的用户id和密码。

在如图5所示的第二实施例中，到外国国家(或区域)旅行的移动订户已经启动语音漫游服务而不是数据漫游服务，以通过外国(或本地)电信运营商的移动网络将他/她的移动设备与本国电信运营商连接。本国电信运营商将通过短消息服务(sms)或类似服务将消息传递给订户的移动设备。sms消息可以包括链接，该链接用于使用传递给应用程序的本国电信运营商的本国网络标识符(“hni”)代码来启动外国(本地)钱包应用程序。借助hni代码，外国(本地)钱包应用程序可以从现有的移动网络中获取本国电信运营商的身份。

在识别出本国电信运营商之后，可以通过用户输入用于设置他/她的本国虚拟钱包帐户的用户id和密码来完成身份验证。如图6所示，外国(本地)钱包应用程序请求订户输入他/她的用户id和密码，然后将此信息发送到外国(本地)钱包服务器，外国(本地)钱包服务器然后将其转发到本国电信运营商的身份验证服务器(“as”)进行身份验证。本国电信运营商的as确认用户id和密码后，它将身份验证令牌发送回外国(本地)钱包服务器，外国(本地)钱包服务器将身份验证令牌发送回外国(本地)钱包应用程序以完成身份验证过程。

在第三实施例中，到外国国家(或区域)旅行的移动订户仅具有wifi服务而没有数据或语音漫游服务，以将他/她的移动设备连接到互联网。在没有数据和语音漫游服务的情况下，订户必须标识他/她的本国电信运营商，并输入用于设置他/她的本国虚拟钱包帐户的用户id和密码，以完成订户身份验证。

在完成订户身份验证过程之后，外国(本地)钱包应用程序会识别出该订户，并允许他/她根据与外国(本地)用户相同或相似的规则在外国(本地)商家商店进行移动支付。订户可以有几种方法来支付外国(本地)商家商店中的移动支付所产生的账单。第一种，根据规则，订户可以在交易之前或之后将钱直接存入他/她的外国(本地)虚拟钱包帐户(如果有的话)中以支付来自外国(本地)商家商店的账单。第二种，订户可以能够将钱从他/她的本国银行帐户或本国虚拟钱包电汇到他/她的外国(本地)虚拟钱包帐户以支付账单。第三种，订户可以使用外国(本地)钱包帐户注册他/她的本国发行的信用卡并支付信用卡账单。第四种，订户可以能够向他/她的本国电信运营商付款，本国电信运营商又将向与外国虚拟钱包相关联的外国(本地)电信运营商付款，外国(本地)电信运营商又将支付来自外国(本地)商家商店的账单。除了预先直接将现金存入外国(本地)虚拟钱包帐户外，这些方法都不能允许外国(本地)商家以实时方式接收付款，就此而言是不方便的，因为订户必须携带大量现金出国旅行。

除了上述付款方法外，订户还可以完成从与他/她的本国电信运营商相关联的订户的本国虚拟钱包到以下的付款汇款(包括清算和结算)：(1)与外国(本地)电信运营商相关联的订户的外国(本地)虚拟钱包(如果有的话)、(2)与外国(本地)电信运营商相关联的外国(本地)商家的虚拟钱包(如果有的话)、或(3)外国(本地)电信运营商自己的虚拟钱包(诸如fet的虚拟钱包)(如果有的话)，汇款将从外国(本地)电信运营商自己的虚拟钱包进一步传送到外国(本地)商家的帐户。在一个实施例中，通过应用2017年1月6日提交的标题为“分布式交易共识网络上的数字财产管理”的申请号为pct/us17/12635的国际专利申请中描述的方法和系统，可以基于分布式交易共识网络中的密码技术以实时方式完成上述的虚拟钱包之间的汇款。

如图7所示，当订户在外国(本地)商家商店使用他/她的移动设备进行移动支付时，外国(本地)钱包应用程序会发起付款请求并将其发送到外国(本地)钱包服务器，外国(本地)钱包服务器将付款请求传递到外国(本地)钱包应用程序的身份验证网关(“ag”)，然后外国(本地)钱包应用程序的ag将付款请求重定向到本国虚拟钱包的ag，本国虚拟钱包的ag将其传递到本国钱包服务器，然后本国钱包服务器通过订户的本国虚拟钱包发起汇款请求。出于安全原因，在一个实施例中，订户将需要同意汇款请求。汇款交易被传送到具有多个节点的分布式交易共识网络(“tbca网络”)，其中与外国虚拟钱包相关联的本国电信运营商和外国(本地)电信运营商中的每一个都是该网络上的单个节点。来自本国钱包服务器的汇款请求被处理为从订户的本国虚拟钱包到三个虚拟钱包之一的p2p汇款，具体取决于系统设计，三个虚拟钱包是(1)与外国(本地)电信运营商相关联的订户的外国(本地)虚拟钱包)、(2)与外国(本地)电信运营商相关联的外国(本地)商家的虚拟钱包、或(3)外国(本地)电信运营商自己的虚拟钱包，汇款将从外国(本地)电信运营商自己的虚拟钱包进一步传送到外国(本地)商家的帐户。在一个实施例中，分布式交易共识网络应用如2017年1月6日提交的申请号为pct/us17/12635的国际专利申请中描述的区块链技术。

图7描绘了使用密码技术的称为tbca(区块链联盟)网络的分布式交易共识网络710的实施例，其被实现为管理与电信运营商相关联的虚拟钱包中的数字财产，付款人和收款人通过电信运营商来注册其移动订户号码。tbca网络710包括多个节点，包括管理器712、电信运营商(验证者或数字资产发行者)714、716以及矿工718、720、722。每个节点通常包括处理器，以执行计算和执行程序；存储器，以存储软件、程序和数据；显示屏，以与用户交流；输入/输出组件以与用户和其他设备进行通信，以及网络组件以通过有线或无线信道与网络连接。

在本公开中称为tbca的管理员712设置规则并管理tbca网络710。在该实施例中，管理员712可以发行称为t币($t)的数字费用代币。管理员712具有虚拟资金库(未示出)，以存储由其自身发行的数字费用代币或由其他节点发行的数字财产。虚拟资金库是一种特殊类型的虚拟钱包。管理员712可以允许节点加入分布式交易共识网络710(tbca网络)并成为该网络的成员。另外，管理员712(tbca)可以管理矿工，包括指定单个活动的矿工、确定要活动的矿工的顺序、以及设置规则以供矿工相互检查和支持以防止矿工发生故障。

矿工718、720、722可以创建交易记录以将经验证的交易记录在分布式分户账中(向tbca网络710的成员/节点开放)。为了交换矿工提供的服务，矿工可以接收奖励，诸如管理员712(tbca)发行的t币和/或电信运营商(数字财产发行者)发行的数字财产，奖励可以存储在矿工的虚拟资金库(未示出)中。分布式分户账可以是可以在多个站点、地理位置或机构中的多个节点的分布式交易共识网络之间共享的数字财产数据库或数据结构。在一个实施例中，区块链数据结构用于分布式分户账。每个区块均由通过sha256加密算法对区块头进行两次散列(hash)形成的区块散列(blockhash)标识。另外，通过区块头中的“先前区块散列”字段，将每个区块引用回先前的区块(称为父区块)。因此，散列序列将每个区块链接至其父区块，以创建一路返回至创建的第一个区块的链。当这些区块彼此堆叠在一起时，反向交易的困难变得会如同指数级般的增长。因此，随着时间的推移，区块中记录的交易变得越来越受信任。根据区块和交易的大小，平均区块可以包含数百笔交易。完整且最新的分布式分户帐存储在管理员、数字资产发行者、矿工和管理员710允许可存储这种分户帐的其他节点(“完整节点”)的数据库(或文件)中。一些节点可以选择为仅存储这种分户帐的一部分。矿工可以创建一个新区块来记录经验证的交易，然后将新区块传播到网络的其他节点。然而，分布式分户帐可以使用本领域普通技术人员已知的任何其他数据结构。

在一个实施例中，虚拟钱包之间的交易(包括向虚拟钱包中存入、虚拟钱包之间汇款和从虚拟钱包提取)由分布式分户帐记录。分布式分户帐本质上是可以在多个站点、地理位置或机构中的多个节点的分布式交易共识网络之间共享的数字财产数据库或数据结构。网络中的所有节点可以拥有它们自己的相同的分户账副本。对分户账的任何更改都可以在几分钟或在某些情况下在几秒内反映在所有副本中。通过使用密钥和签名来控制谁可以在分布式分户账内做什么，存储在分户账中的数字财产的安全性和准确性以加密方式维持。在一个实施例中，区块链数据结构被用于分布式分户账。

在不脱离本发明的精神或范围的情况下，可以对本发明的数字财产管理方法以及相关装置和系统进行各种修改和变化，对于本领域技术人员将显而易见的。因此，本发明旨在覆盖落入所附权利要求及其等同物的范围内的修改和变化。