验证交易的方法
【技术领域】
[0001]本发明涉及通过仅发生于一个方向的单工通信验证交易的系统与方法。更具体地讲,本发明涉及对发生在销售/服务点(“P0S”)终端处的使用图像支付码进行支付的交易进行验证的系统与方法。
[0002]更具体地讲,本发明涉及使用显示在商户终端处的移动设备支付上的QR码进行支付的系统与方法。
【背景技术】
[0003]众所周知,目前世界范围成千上万的人正在使用支付卡,以便捷地进行各种类型的商业交易。在涉及于商户位置处购买产品或者服务的典型交易中,支付卡出现在位于商户营业场所的销售点终端(“P0S”终端KPOS终端可以为能够访问存储在支付卡上的数据的卡阅读器或者类似的设备,其中,所述数据包括标识与验证数据。把从支付卡所读取的数据提供于商户的交易处理系统,然后提供至采集方(acquirer),采集方通常为管理商户的账户的银行或者其它机构。
[0004]为了确保基于芯片的支付卡的安全性和全球的互操作性,公知的是,EMV标准定义了符合EMV的支付卡和符合EMV的POS终端之间的交互。因此,为了接受EMV支付,商户必须部署支持双向通信协议的符合EMV的POS终端。对于商户,这样的符合EMV的POS终端硬件、它们的部署以及它们的维护是一笔相当大的开销。
[0005]尽管现存的支付设备运转良好,主要原因在于卡协会一直通过把损失转嫁给商户和银行而保护客户,但显然银行、商户以及客户都希望有一种简单而安全的方法来进行财务交易。
[0006]目前,技术已经革命化了客户购物的方式,并且扩展了零售渠道的范围。确实,诸如移动电话的移动设备在日常生活中发挥着越来越多方面的作用。在尝试使移动电话发挥除传统话音与消息传输作用之外的更多作用,许多新的特征与服务正被开发出来。
[0007]用户进行交易的机制正随目前的技术不断演化。这样的机制包括蓝牙通信、近场通信(NFC)、快速响应(QR)码扫描、WiFi通信等。
[0008]在具有近场通信(NFC)的设施自动化支付经历的情况下,所述设施必须具有与NFC兼容的支付终端,这对于所述设施是不方便的,因为需要与站点上拥有NFC使能设备相关联的硬件、软件、以及支持上的花费。而且,为了让客户使用NFC机制,客户的智能电话必须已经在其上存储了敏感的信息,例如:信用卡号、忠诚数字(1yalty number)等。如果智能电话被获取,或者如果能够向智能电话进行远程连接,则即使是最好的软件也会受到潜在的黑客攻击和损害。
[0009]在使用令客户以更容易的方式进行支付的QR(快速响应)码或者条形码进行交易的情况下,信息在交易的三方流动:卖方(具有其P0S)、买方(具有其移动电话)、以及支付系统(银行或者类似机构)的服务器。当必须进行销售一个或多个产品的交易时,卖方向POS要求条形码或者快速响应(QR)码。条形码或者QR码被显示或者打印并被提供于向买方,买方通过移动设备捕获条形码或者QR码,并且通过SMS、Wif1、网络、Internet等发送至服务器。服务器核实买方的身份。一旦核实了这样的身份,服务器向卖方发送有效支付的通知,卖方可以根据该通知完结销售,并且提交商品和购买收据。
[0010]这一方法的缺点是,其需要使用P0S,并且以大量信息交换占据服务器,其在一年之中某些时期可能会引发严重问题,因为有大量要求的交易。
[0011 ]在在线交易的情况下,因特网上的大多数电子商务和移动电子商务站点使用了即兴(ad hoc)支付方法。例如,如果一个人想在线购买咖啡,则该人必须通过在网站上输入其个人和财务信息,注册和创建与在线咖啡商户有关的账户。另外,对于其它购买,必须与其它供应方重复该账户创建过程。对于所涉及的各方这一过程是不方便的。商户必须维持专门的账户管理与支付系统。除了要记住针对每一个商户网站的用户名和密码之外,用户还必须与诸多商户建立独立的账户。使用这样的支付系统,当客户准备好支付时,POS终端/系统可以随交易明细一起打印或者显示二维(2D)条形码或者快速响应(QR)码。商户将它们提供给客户,客户可以使用其移动设备扫描所述码。所扫描的图像码被与客户的移动电话相链接,然后可以经由移动设备导向用户的账户用于交易的支付。
[0012]这一支付系统的缺点是,在支付期间,其需要使用用户账户和移动设备之间的连接数据,当在支付期间所述连接数据不可得时,可以是致命的。
[0013]用于与客户进行交互的各种现存机制的一个问题是,通常要求客户在完成交易前先建立连接。这带来了某些客户不愿涉及的安全风险,并且减慢了交易速度。
[0014]而且,QR码支付不符合EMV交易协议,因为其不是双工通信。因此,其不能够进行一种允许仅使用一个QR码对交易进行验证的EMV交易。
[0015]随着移动计算能力与强健的无线网络基础设施的开发的出现,显然存在不断增长的对可以符合诸如EMV标准的更快、更便宜、更安全且更方便的图像码支付系统进行财务交易的期望。
[0016]因此,存在着对在不必依赖移动数据连接或者支持诸如NFC的双工通信且同时能够对交易进行验证的情况下的、在个人之间进行财务交易的大需求。
【发明内容】
[0017]与传统的安全双工通信(EMV交易)相比,本发明克服了以上所提到的一路通信中交易验证的安全缺陷。
[0018]本发明涉及一种用于在一路通信中对移动设备中的移动支付应用和商户之间的交易进行验证的系统与方法。还假设通过本发明范围之外的安全信道和协议把这些交易路由至移动支付应用的签发方。
[0019]此处的技术提供了使客户(客户或用户)能够在无需下列条件的情况下对其交易进行支付的机制:移动销售点(POS)终端、要提交的信用/存储卡、或者近场通信(NFC)轻拍(tap)。取而代之,可以使用图像支付码对交易进行支付。目前,在移动支付领域,诸如QR码支付或者条形码支付的图像支付码越来越流行,因为除了大多数人已经拥有的通常的个人配件(例如,智能电话、平板计算机或者具有照相机接口的类似的设备)之外其不要求额外的硬件。当商户图像扫描仪读取了显示在用户移动设备上的图像支付码时,支付完成。
[0020]这种类型的支付不要求支持双工通信协议的额外硬件;其仅需要通常为客户的移动电话屏幕的用于显示QR码的显示器、以及QR码扫描仪,QR码扫描仪可以为收银机的QR码扫描仪或者商户的移动电话的照相机,其扫描显示在客户的移动电话屏幕上的QR码。
[0021]为了接受QR码支付,采集方仅需要把一段软件集成于商户的收银机或者移动电话,成本几乎为零。
[0022]为了允许信任通过图像码进行支付的交易,本发明建议了对所述交易进行验证的机制。为此,当把移动支付应用下载到优选为用户移动设备的安全元件时,启动注册过程。在使用服务器的该注册过程期间,创建用户的账户,并且生成一组交易不可预测号,数量为N。把这组不可预测号安全地传输于移动支付应用,并且将其安全地存储在安全元件中。支付应用把所存储的N个交易不可预测号用于移动支付应用顺序执行的接下来的N次交易。把同一组交易不可预测号存储在服务器数据库中,由服务器顺序地用于接下来的N次交易验证。对于交易,所生成的交易不可预测号被严格地使用一次。
[0023]利用序列参考,服务器能够使用标准交易验证算法对交易进行验证,所述标准交易验证算法涉及交易不可预测号以及支付应用和服务器之间共享的密钥。所述标准交易算法可以为EMV交易过程、Mifare交易过程、或者Calypso交易过程。本领域技术人员十分熟悉这些标准,因此此处无需再加以描述。
[0024]本说明书中所描述的实施例指向EMV交易过程,如所知的,EMV交易过程可以是任何合适的交易标准。在支付过程期间,商户在付款终端中显示支付金额。客户在其移动设备上运行移动支付应用。卡持有者在其移动设备上输入交易金额。移动支付应用选择第一个未使用的交易不可预测号,并且制作标准的EMV授权请求。该授权请求包括客户输入的交易金额,使用EMV密钥从交易数据列表所生成的交易密码文,交易数据包括交易金额、交易不可预测号以及其它相关财务数据。一旦生成授权请求,就把当前所使用的交易不可预测号标记为已在安全元件中使用。移动支付应用生成包括授权请求的图像支付码。所述图像支付码可以为QR码。商户扫描显示在客户的移动设备上的QR码。
[0025]商户把从所扫描的QR码所解码的授权请求发送至服务器。服务器检查所接收的授权请求。根据所接收的授权请求的内容,服务器恢复存储在数据库中的相应的交易不可预测号。把所恢复的交易不可预测号标记为已在服务器的数据库中使用。使用所恢复的交易不可预测号把授权请求的交易密码文发送给签发方银行。签发方银行使用标准的EMV算法确认授权请求,标准的EMV算法涉及EMV密钥和交易数据的同一列表。最终,从签发方银行直接或者经由服务器把授权请求的结果通知商户。
[0026]本发明依赖于移动设备和商户之间的一路通信交易。使用所推荐的方式对交易进行验证,为了验证交易,不需要执行支付应用和签发方之间的相互验证。
[0027]本发明的实施例的方面一般地涉及一种通过用户移动设备对利用移动支付应用所提供的图像码的交易进行验证的方法,其中:
[0028]-由服务器针对即将发生的EMV交易生成一组交易不可预测号,
[0029]-把所生成的一组交易不可预测号发送至驻留在客户的移动设备的安全元件中的移动支付应用,
[0030]-把所接收的一组交易不可预测号存储在客户的移动设备中,
[0031 ]-把同一组交易不可预测号存储在服务器的数据库中,
[0032]-依次使用存储在安全元件中的交易不可预测号生成交易授权请求的EMV密码文,
[0