专利名称:确保交易提供者对交易的远程认证/确认的交易和支付系统的制作方法
技术领域:
本发明涉及交易和支付系统、方法及程序产品。更具体地,本发明涉及在本地兑现(redemption)设备中使用的、用于确保交易提供者对交易的远程认证/确认的系统和方法,所述本地兑现设备不具有与远程交易提供者的连续连接。
背景技术:
目前,用于交通运输的电子支付系统已经投入使用,所述系统使用无处不在的电信网络SMS(短消息服务)的消息传递服务来认证和支付公共汽车和火车中的服务,其中在火车/公共汽车和数据网络之间的通信信道不一定是连续的。在交通运输中必须克服的最常见的技术障碍是在服务消费发生处的服务器(在火车/公共汽车中)和接收到已经执行了短消息事务的信息的服务器(在始终连接着的数据网络中某处)之间不一定存在连续的链路。最接近的现有机制是SMS-公共交通运输的售票系统,但是即使在这种情况下,检票员可能也要周期性地同步他或她的(检票)设备,并且在那些系统中不存在针对个性化或上下文管理的需求。
在本领域中需要一种克服了交通运输支付技术中的问题的电子服务支付系统,如下面所述-即使交通运输服务器不具有到任何全局基础设施的网络连接,该服务器也能够可靠地接受SMS支付的结果。
-系统能够管理支付依赖于时间并且用户改变了交通工具(从公共汽车到火车)的情况。
-系统能够知道给定用户何时重复地使用相同的服务,并做出反应。
-系统能够防止用户合谋对抗系统(“我将这个口令以半价给你...”)的欺诈行为。
涉及交通运输支付系统和认证/确认的现有技术包括1.2002年5月14日授权的名称为“利用多应用通行卡的旅行系统和方法”的6,386,451号美国专利公开了包含多个旅行服务提供者和多应用通行卡的旅行系统和方法,用于所述多个旅行服务的通行卡的自动汇集、发布和利用,包括相关应用场景的实施。多应用卡由便携式设备技术、例如智能卡或袖珍计算机设备实现,并具有存储和激活旅行者对交通运输和其他通行服务的许可的能力;还有用于电子支付装置的货币值。持卡人的生物统计学标识以及卡数据和与旅行相关的信息的加密证书可以被选择性地编码在卡上并可以被验证,包括在各种服务点位置为使用而出示卡后被确认。
2.1999年3月23日授权的名称为“在移动台内使用应用的方法、用于实现支付的移动台和系统”的5,887,266号美国专利公开了一种在移动台内使用应用的方法。该应用具有第一工作模式和第二工作模式。第一工作模式是被动的。在第二工作模式中,该应用控制移动台的主控制单元(MCU)。还提供了用于进行支付的系统,包含至少一个移动台,所述移动台具有相关联的应用、用于使用所述应用的部件和提供本地数据传输的第一收发机。所述系统还包含至少一个现金出纳机(cash register)等,它具有用于提供数据传输的第二收发机。所述应用具有使数据从第一收发机传输到第二收发机的能力。
3.2003年9月2授权的名称为“用于被远程管理的认证和访问控制的方法和装置”的6,615,262号美国专利公开了认证和会话管理,所述认证和会话管理可以用于在人机接口设备(HID)和例如服务器的计算服务提供者之间划分功能的系统架构。在服务器上执行的认证管理器和HID交互作用,以便在用户通过HID连接到系统时对用户进行确认(validate)。认证管理器和认证模块交互作用。每一个认证模块均可以被配置成基于不同的认证机制认证用户(例如使用智能卡、使用登录和口令、使用生物统计学数据,等等),并且可以结合一个或更多个会话使用。认证管理器和认证模块还负责控制访问服务/会话,并且可以去除/撤销或扩大这些访问。在服务器上执行的会话管理器代表用户管理在提供计算服务(例如程序)的计算机上运行的服务。会话管理器通知会话中的每一个服务用户使用给定的桌面机连接到系统。在用户连接到系统时服务可以把输出直接显示给HID。当用户从系统分离时,用户的每一个服务的执行被通过认证管理器和会话管理器通知。在用户从系统分离的通知之后,服务在停止其对桌面机的显示的同时继续执行。
现有技术中没有公开在具有远程支付和交易提供者(认证服务器)的移动环境中为SMS支付和服务认证配备的移动终端,在所述移动环境中,公共秘密(common secret)和种子(seed)在一个算法中发挥作用,以便生成用于交易的认证对(用户名-口令)的列表。所述公共秘密和种子通过非连续通信链路被远程交易提供者和兑现设备(本地服务器)共享,其中,所述种子被周期性地更新。订户向认证服务器进行支付,并在和所购买的服务相对应的令牌或者票证中接收到认证对,所述认证令牌由认证服务器基于公共秘密和种子的当前值产生。在兑现服务时,订户将认证令牌提供给本地服务器,本地服务器将所述认证令牌与本地服务器基于由远程交易提供者所提供的公共秘密和种子的当前值产生的有效认证令牌集合进行比较。如果比较指示匹配,则本地服务器将服务提供给订户并进行所述交易的日志记录。
发明内容
在一个实施例中,本发明可在使得用户能够从远程交易提供者购买本地火车/公共汽车服务的交通运输环境中应用。每一个用户均携带便携式终端,通常是具有短消息服务(SMS)功能的GSM移动电话。使用SMS消息的用户能够通过无线广域网(WWAN)与远程交易提供者以电子方式交互作用,或者,如果交易提供者被表示在本地环境中,则通过本地连接与远程交易提供者以电子方式交互作用。远程交易提供者或认证服务器存储分配给特定未来日期的种子(x)以及两个(2)密钥(s1)和(s2)。每一个日期被分为若干时间段并且每一个时间段被分配了种子xd,p,其中(d)是未来日期而(p)是时间段。特别是结合对有限的时间段有效的服务将时间纳入考虑。对于每一个时间段,产生用户名(u)-口令(p)对(ud,pi,pd,pi)的列表。用户将由用户的电话号码标识,并绑定到形成认证令牌的给定的临时用户名和口令。认证服务器在接收到用户SMS请求后,返回认证令牌并记录用户的电话号码、时间和返回的认证令牌。先前,认证服务器通过非连续通信链路给本地兑现服务器提供种子和公共秘密,并周期性地更新种子、公共秘密和当前时间。兑现设备使用种子、公共秘密和当前时间计算经过授权的认证令牌的列表。当用户将令牌输入本地兑现服务器时,本地服务器将通过把该令牌与给定时间段的所有可能的认证令牌进行比较来检查其正确性。如果在可能令牌的集合中发现了该令牌,则本地服务器将接受该令牌并将用户设备的媒体访问控制(MAC)硬件地址绑定到被认证的令牌。否则,令牌被拒绝并且本地服务器拒绝给用户提供服务。
本发明的一个方面是在本地兑现设备中使用的确保交易提供者对交易的远程认证/确认的电子支付系统,所述本地兑现设备不具有与远程交易提供者的连续连接。
另一个方面是允许本地兑现设备即使在不存在对远程交易提供者的连接的情况下也能够确认交易令牌/票证的有效性的机制。
另一个方面是用户与远程认证服务器交互作用以便在由本地服务器确认令牌之后获取经过认证的用于本地交通运输服务的令牌。
另一个方面是通过递归地将带密钥的散列消息认证代码(keyedhash message authenticaton code,HMAC)施加于认证对而产生的用于交通运输服务的基于时间的令牌。
图1示出了根据本发明的一个实施例,移动终端与远程交易提供者交互作用、从而获取经过认证的令牌以便由提供用户服务的本地服务器接受/拒绝,其中,本地服务器与交易提供者处于非连续接触,并且交易提供者和本地服务器根据由远程交易提供者提供的公共秘密和种子产生经过认证的令牌的列表,所述令牌用于授权或拒绝对用户的服务。
图2是根据本发明的实施例、在产生在图1的系统中使用的令牌时使用的根据公共秘密和种子来构建用户名-口令(UN/PW)的示例性算法。
图2A示出了根据本发明的实施例、在图2的算法中产生用户名-口令时使用的种子的时间段。
图3是根据本发明的实施例、在图1中的用户和远程交易提供者以及本地服务器之间的信令图,用于在本地服务器的控制下获取和使用经过授权的用于服务的令牌。
图3A示出了在图3的系统中使用的电子票证。
图4示出了根据本发明的实施例、用户进行交易请求/支付的图1的状态。
图5示出了根据本发明的实施例、用户接收交易提供者根据公共秘密和种子计算的交易令牌的图1的状态。
图6示出了根据本发明的实施例、用户和本地服务器协商用于服务的交易令牌/票证的图1的状态。
图7示出了根据本发明的实施例、本地服务器接受/拒绝用于服务的令牌的图1的状态。
具体实施例方式
概括来说,本发明被设计成特别是可以结合公共交通运输系统应用,其中,订户可以通过经广域网、例如使用SMS发送对票证的请求,从远程服务提供者购买服务的令牌或者票证。远程服务提供者能够通过例如将票证的价值添加到订户的电话帐单向订户收费。在另一个实施例中,订户可以通过局域连接在本地从专门的购买地点购买票证。在任何情况下,在完成了必需的支付程序以后,向订户提供票证,所述票证被认证以便由本地服务器在确认之后接受从而用于交通运输服务。在另一个实施例中,购买的对象可以是例如代表针对某些服务(例如预先支付系统)而允许订户使用的一定量的金钱的令牌。
在图1中,根据本发明的实施例的交易和支付系统100包括分别通过无线广域网108经非连续无线连接1061、1062链接到兑现/服务终端(本地服务器)1041、1042的交易提供者(认证服务器)102。所述连接可以是安全的并被相互认证。本地服务器在火车站可以是静止的,或者当建立在车辆中时是移动的。多个移动终端与本地服务器1041和1042交互作用,以便获取交通运输服务。为了说明的目的,移动终端1101、1102和110N与服务器1041交互作用,并且移动终端1121、1122和112N与服务器1042交互作用,以便在向交易提供者102进行支付并且确认了提供者102发出的用于服务的令牌或者票证之后获取货物或者服务。但是应该理解,无论在何处,任何移动终端均可以自由地和任何本地服务器交互作用以便获得服务。移动终端有SMS功能并且假设订户/用户具有关于如何使用短消息的实用知识。在转让给本发明的受让人并且通过引用被完全包含于此的第6,665,531号美国专利中描述了SMS电话系统。
交易提供者102(认证服务器)是链接到网络108并包括存储装置114的常规服务器,存储装置114通常是非易失性的,用于存储为支付服务而与移动终端交互作用并为发出用于订户所请求的服务的票证/令牌而在认证系统中执行算法的程序和过程。为了提供安全性,认证系统使用带密钥的消息摘要。在一个实施例中,带密钥的、用于消息认证代码的散列(HMAC)与加密散列函数(通常是MD5)一起使用。在IETF RFC 2104中描述了HMAC,并在IETF RFC 1321中描述了MD5。为了计算和验证消息认证值,HMAC需要密钥。由于这个目的,例如128位随机串的密钥(s1)和(s2),与类似地构建的种子(x)一起存储在存储设备114中,在指定的时间段期间,种子(x)起到认证值产生(票证/令牌)的基础的作用。
兑现/服务终端1041和1042(本地服务器)还包括存储单元116和118,分别存储用于处理和确认订户为得到服务而出示的票证/令牌的程序。由于服务器102和服务器104之间的连接不连续,公共密钥(s1)和(s2)以及种子(x)被服务器102断断续续地提供给服务器1041和1042。必须在受保护的信道上完成秘密和种子的通信,或者,配置数据的传输必须加密,并且在传输持续期间其完整性必须受到保护。共享的秘密和种子被服务器1041和1042用来计算认证令牌的列表,以及确认/拒绝用于服务的订户票证/令牌,这将在后面说明。根据本发明的一个实施例,认证可以采用认证令牌的形式,但是这只不过是本发明的一个实施例。可以认为种子代表给定的时间段的安全性上下文。用于将来的时间段的种子可以被提前传送到服务器104。更重要的是,种子提供了足够的随机性来防止外部人员破解散列代码并滥用被破解的认证令牌。种子可以在各种时间段、例如一天内有效。但是,在公共交通运输的情况下,单个票证可以在有限的时间段、例如2小时内有效。如果需要进一步的安全性,则种子的有效性时间段可以被分为几个子时间段,每一个均具有按子时间段的顺序号或时间段计算的独立认证令牌,将结合图2A对其进一步描述。
图2描述了根据本发明的实施例构建用于认证服务器和本地服务器的用户名(UN)和口令(PW)的算法200。在步骤201,种子(d)被分配了特定日期,并且在步骤203,在HMAC过程中与密钥(s1)组合。在步骤203、205和207中每一天被分为相等的时间段,并且每一个时间段被分配了种子xd,p,在步骤209中被计算为在时间段(l)上的反(带密钥)散列链,即从下面的表达式得到的xd,p(l)=HMAC(s1,x(l-1)1l)l=(y-d)xg+(g-p)
其中,l=剩余时间段。
y=将来的特定日期p=时间段d=时间段的日期g=一天中的时间段对于每一个时间段,通过在步骤213-217中递归地应用带密钥的HMAC函数=uid,p,pid,p=HMAC(S2,Xd,P)I,在步骤211中再次产生n(当前n=1000)个用户名-口令对uid,p,pid,p。用户将由用户的电话号码确定,并只通过日志被绑定到给定的临时用户名和口令,所以实际上用户名和口令一起形成了认证令牌。
如图2A中所示,在计算了种子252的子时间段250之后,兑现/服务设备104在有效认证令牌列表中保持预先定义的认证令牌集合。根据本发明的一个实施例,有效列表包括当前子时间段254的认证令牌和所述子时间段之前的一个子时间段256和之后的一个子时间段258的认证令牌,以便确保票证的正确有效性时间段。这当然能够根据当前应用的需要进行调整。
图3结合图4到图7公开了根据本发明的实施例、在订户和认证服务器102及本地服务器104之间的用于获得服务的信令过程300。该过程由用户使用具有SMS功能的电话、通过蜂窝链路/连接将请求和支付服务消息301发送到服务器102而开始(图4)。服务器102在接收到SMS后将返回认证令牌,并在消息303中记录用户的电话号码、时间和返回的认证令牌(图5)。认证令牌从为当前的日期和时间段(d,p)产生的n个令牌的集合中以随机的顺序给出。特定的令牌只被给出一次。位长度(x)的令牌(当前x=32)被当作两个4字符的16进制串给予用户,一个作为用户名、一个作为口令。从普通用户应该能在电话显示中看到所述串、记住它、并在一个设置中对其进行输入的意义上来说,用户名和口令串应该是用户友好的。尽管两个串目前只包含32位的随机性,具有更大字符间隔或更长的串的改进版本可被投入使用而无需系统中的重大改变。用户名-口令对,特别是如果它们的长度被增加的话,可以被映射为明文串(使用词典),以便使得用户更容易记住和输入认证令牌/票证。
当连接到服务器104时,用户被给予输入认证令牌(用户名-口令)的指令,并在消息305中返回信息。用户可能不知道要传送的实际数据,并只被提供了例如票证的图形指示,该指示没有揭示实际的认证对。取代输入认证对,可以使用到服务器104的蓝牙或者RFID连接来将认证令牌传输到服务器104,这将在后面在图3A中描述。当用户将认证令牌通过消息305输入到移动服务器中时,服务器将通过和所有可能的令牌比较来检查令牌的正确性,∀i⊂⃒(0...n-1)∀c⊂⃒(l-r...l+r)uic,pic,]]>其中,l是由d、p定义的时间段,而r是提供补偿本地服务器和认证服务器时钟之间的假定同步失配的认证令牌时间段重叠的因子,其中r当前是1。如果该令牌在可能令牌的集合中被找到并且还未被使用,则移动服务器将接受登录,并将用户设备的MAC硬件地址(如移动服务器所看到的)绑定到给定的认证令牌(图7)。只有在认证尝试之间MAC地址还没有改变的情况下,利用先前接受的认证令牌的认证操作才通过消息307被兑现本地服务器接受。
或者,用户可以被请求输入现有的认证令牌,或者以给定的SMS号码,利用到认证服务器102的SMS消息请求一个新的认证令牌。当用户被给予电话号码以便将其口令请求发送到服务器102时,他/她可以被请求在SMS消息中输入本地服务器标识符。在这种情况下,对于每一个本地服务器,种子和密钥可以不同。此外,当用户换火车时,在一个本地服务器中获得的口令在另一个本地服务器中将不会被无条件地接受。但是,可以用几种办法弥补这种不便,最简单的是加大认证令牌空间;将给定集合分配给不同的本地服务器,并且如果用户用属于某个其他本地服务器的令牌“搭乘”本地服务器,则提供某些额外的检查。或者,可以利用用户终端中的客户端实体构建更细致且用户友好的协议,用户终端从本地服务器得到输入并使用电话作为SMS调制解调器与认证服务器通信。对于客户端来说,该解决方案是独立于OS的。
所有不成功及成功的登录尝试都被记录,包含认证令牌、时间和察觉到的进行登录尝试的用户设备的MAC地址。为了防止可能的滥用,认证令牌的使用信息在本地服务器处被收集,并和与令牌购买相关的用户/终端标识信息合并。然后,被收集的“日志”信息被周期性地传送到远程服务器。如果检测到令牌的不当使用,则远程服务器能够提供包含用户标识和令牌被滥用的方式的警告,以便驱逐滥用背后的用户。
在另一个实施例中,如图3A中所示,在例如通过SMS进行购买之后,认证令牌302被嵌入数据帧306的电子票证304。票证被发送给用户并存储在用户的移动设备中包括的无源RFID设备(未示出)中。票证根本不向用户显示。在伴随票证的消息中,可以给用户提供额外的信息,例如“一日公共汽车票.ID No.11234xyx123。请在进入时将此票提供给兑现机器”...。实际的认证数据(认证对)被隐藏在票证中。当进入例如公共汽车时,票证在移动电话中被激活,兑现设备发送RFID询问信号307(图6)。用户的移动设备对信号307做出响应,并发送RFID响应309(图7),RFID响应309至少包括认证令牌信息,并且最好包括移动终端标识。兑现设备通过和有效令牌列表比较来确认令牌信息,有效令牌列表先前由兑现设备根据公共密钥和种子计算,如结合图2A所描述的那样。在确认后,使用户可获得购买的服务。
虽然已经在优选实施例中描述了本发明,但是不偏离本发明的如所附权利要求中所定义的精神和范围,可以对其做出各种修改。
权利要求
1.一种用于移动环境中的支付和服务认证的方法,包含在远程服务器和至少一个本地服务器之间共享用于认证算法的公共密钥和种子;利用所述认证算法,基于所述共享的公共密钥和种子,在所述远程服务器和所述至少一个本地服务器中产生用来购买服务和/或货物的有效认证令牌的列表;由移动终端请求来自所述远程服务器的所述服务和/或货物并提供支付;从所述远程服务器中的所述有效认证令牌的列表选择认证令牌;将所述选择的认证令牌返回给所述移动终端;由所述移动终端将所述认证令牌提交给所述至少一个本地服务器中的一个以便购买服务和/或货物;将所述认证令牌和所述本地服务器中的所述有效认证令牌的列表进行比较;和如果所述认证令牌和所述至少一个本地服务器中的所述有效认证令牌的列表中的认证令牌匹配,则将所述服务和/或货物提供给所述移动终端。
2.如权利要求1所述的方法,其中,所述有效认证令牌的列表被周期性地更新。
3.如权利要求2所述的方法,其中,通过至少改变用于所述认证算法的所述种子来周期性地更新所述有效令牌的列表。
4.如权利要求1所述的方法,还包含在所述远程服务器和所述至少一个本地服务器之间建立通信连接,所述通信连接在工作中是非连续的。
5.如权利要求4所述的方法,其中,所述非连续通信连接被用于将一个或更多个种子更新从所述远程服务器传输到所述至少一个本地服务器。
6.如权利要求1所述的方法,还包含由所述本地服务器从所述移动终端请求移动用户标识信息、作为将所述服务和/或货物提供给所述移动终端的交换。
7.如权利要求1所述的方法,其中,所述非连续通信连接被用于将涉及认证令牌使用的信息从所述至少一个本地服务器传输到所述远程服务器。
8.如权利要求7所述的方法,其中,所述认证令牌使用包括移动终端标识信息和移动终端用户标识信息中的至少一个。
9.如权利要求4所述的方法,其中,所述非连续通信连接是安全的。
10.如权利要求1所述的方法,还包含将所述认证令牌建立在电子票证内。
11.如权利要求1所述的方法,还包含使用RFID认证所述认证令牌。
12.如权利要求1所述的方法,还包含通过将带密钥的HMAC函数递归地应用于所述公共密钥和种子来产生所述认证令牌列表。
13.如权利要求1所述的方法,还包含通过所述种子将所述认证令牌修改成是基于时间的。
14.如权利要求1所述的方法,还包含更新所述远程服务器和所述本地服务器中的所述公共密钥和种子。
15.如权利要求1所述的方法,还包含在将所述请求提交给所述远程服务器时使用SMS消息。
16.如权利要求1所述的方法,还包含使用短程通信将所述认证令牌传输到所述本地服务器。
17.如权利要求1所述的方法,还包含将所述认证令牌的有效性限制到一个时间段。
18.如权利要求1所述的方法,还包含将被接受的认证令牌绑定到请求者的MAC硬件地址。
19.如权利要求17所述的方法,还包含将所述时间段分为几个子时间段。
20.如权利要求19所述的方法,还包含给每一个子时间段分配独立的认证令牌。
21.如权利要求20所述的方法,还包含基于所述子时间段的顺序号或者时间段计算子时间段的所述独立的认证令牌。
22.如权利要求1所述的方法,其中,所述有效认证令牌的列表包括用于当前子时间段的令牌和用于所述当前时间段之前的子时间段和之后的子时间段的令牌,以便确保所述令牌/票证的正确的有效性时间段。
23.如权利要求1所述的方法,其中,所述种子被分配了将来的日期(d)。
24.如权利要求23所述的方法,其中,所述种子还被分配了时间段(p)。
25.如权利要求1所述的方法,其中,所述令牌由所述远程服务器以随机顺序给出以供单次使用。
26.如权利要求1所述的方法,其中,所述令牌包含两个4字符的16进制串,一个作为用户名、一个作为口令。
27.如权利要求1所述的方法,其中,所述本地服务器将令牌和由日期(d)、时间段(p)和因子(r)定义的时间段(l)中所有可能的令牌进行比较,所述因子(r)提供补偿所述本地服务器和所述远程服务器时钟之间的假定同步失配的认证时间段重叠。
28.一种用于移动环境中的支付和服务认证的系统,包含共享装置,用于在远程服务器和至少一个本地服务器之间共享用于认证算法的公共密钥和种子;产生装置,用于利用所述认证算法,基于所述共享的公共密钥和种子,在所述远程服务器和所述至少一个本地服务器中产生用来购买服务和/或货物的有效认证令牌的列表;请求和提供装置,用于由移动终端请求来自所述远程服务器的所述服务和/或货物并提供支付;选择装置,用于从所述远程服务器中的所述有效认证令牌的列表选择认证令牌;返回装置,用于将所述被选择的认证令牌返回给所述移动终端;提交装置,用于由所述移动终端将所述认证令牌提交给所述至少一个本地服务器中的一个以便购买服务和/或货物;比较装置,用于将所述认证令牌和所述本地服务器中的所述有效认证令牌的列表进行比较;和提供装置,用于如果所述认证令牌和所述至少一个本地服务器中的所述有效认证令牌的列表中的认证令牌匹配,则将所述服务和/或货物提供给所述移动终端。
29.如权利要求28所述的系统,其中,所述有效认证令牌的列表被周期性地更新。
30.如权利要求29所述的系统,其中,通过至少改变用于所述认证算法的所述种子来周期性地更新所述有效令牌的列表。
31.如权利要求28所述的系统,还包含建立装置,用于在所述远程服务器和所述至少一个本地服务器之间建立通信连接,所述通信连接在工作中是非连续的。
32.如权利要求31所述的系统,其中,所述非连续通信连接被用于将一个或更多个种子更新从所述远程服务器传输到所述至少一个本地服务器。
33.如权利要求28所述的系统,还包含请求装置,用于由所述本地服务器从所述移动终端请求移动用户标识信息、作为将所述服务和/或货物提供给所述移动终端的交换。
34.如权利要求28所述的系统,其中,所述非连续通信连接被用于将涉及认证令牌使用的信息从所述至少一个本地服务器传输到所述远程服务器。
35.如权利要求34所述的系统,其中,所述认证令牌使用包括移动终端标识信息和移动终端用户标识信息中的至少一个。
36.如权利要求31所述的系统,其中,所述非连续通信连接是安全的。
37.如权利要求28所述的系统,其中,所述认证令牌建立在票证内。
38.如权利要求28所述的系统,其中,所述产生装置通过将带密钥的HMAC函数递归地应用于所述公共密钥和种子来产生所述认证令牌的列表。
39.如权利要求28所述的系统,还包含修改装置,用于通过所述种子将所述认证令牌修改成是基于时间的。
40.如权利要求28所述的系统,还包含更新装置,用于更新所述远程服务器和所述本地服务器中的所述公共密钥和种子。
41.如权利要求28所述的系统,还包含具有将所述SMS请求提交给所述远程服务器的功能的终端装置。
42.如权利要求28所述的系统,还包含具有将所述认证令牌传输到所述本地服务器的短程通信功能的终端装置。
43.如权利要求28所述的系统,还包含限制装置,用于将所述认证令牌的有效性限制到一个时间段。
44.如权利要求28所述的系统,还包含绑定装置,用于将被接受的认证令牌绑定到请求者的MAC硬件地址。
45.如权利要求43所述的系统,还包含划分装置,它将所述时间段分为几个子时间段。
46.如权利要求45所述的系统,还包含分配装置,它给每一个子时间段分配独立的认证令牌。
47.如权利要求45所述的系统,还包含计算装置,用于基于所述子时间段的顺序号或者时间段计算子时间段的所述独立的认证令牌。
48.如权利要求28所述的系统,其中,所述有效认证令牌的列表包括用于当前子时间段的令牌和用于所述当前时间段之前的子时间段和之后的子时间段的令牌,以便确保所述令牌/票证的正确的有效性时间段。
49.如权利要求28所述的系统,其中,所述种子被分配了将来的日期(d)。
50.如权利要求49所述的系统,其中,所述种子还被分配了时间段(p)。
51.如权利要求29所述的系统,其中,所述令牌由所述远程服务器以随机顺序给出以供单次使用。
52.如权利要求28所述的系统,其中,所述令牌包含两个4字符16进制串,一个作为用户名、一个作为口令。
53.如权利要求28所述的系统,其中,所述本地服务器将令牌和由日期(d)、时间段(p)和因子(r)定义的时间段(l)中的所有可能的令牌进行比较,所述因子(r)提供补偿所述本地服务器和所述远程服务器时钟之间的假定同步失配的认证时间段重叠。
54.一种介质,可在计算机系统中执行,用于移动环境中的支付和服务认证,所述介质包含用于在远程服务器中选择和存储在认证算法中使用的公共密钥和种子的程序代码;用于基于所述公共密钥和种子,在所述远程服务器中产生作为可用于购买服务和/或货物的认证令牌的用户名-口令的列表的程序代码;用于在至少一个本地服务器中存储和执行所述认证算法,以便在所述本地服务器中产生和存储所述认证令牌的列表的程序代码;用于请求来自所述远程服务器的服务并提供支付的程序代码;用于在所述远程服务器中从所述列表产生认证令牌并绑定到所述请求的程序代码;用于将所述认证令牌提交给所述本地服务器用来购买服务和/或货物的程序代码;用于将所述认证令牌和在所述本地服务器中根据所述公共密钥和所述种子产生的所述认证令牌的列表进行比较的程序代码;和用于如果所述认证令牌和所述列表中的认证令牌匹配则提供所述服务和/或货物的程序代码。
55.一种介质,可在计算机系统中执行,用于移动环境中的支付和服务认证,所述介质包含用于在远程服务器和至少一个本地服务器之间共享用于认证算法的公共密钥和种子的程序代码;用于利用所述认证算法,基于所述共享的公共密钥和种子,在所述远程服务器和所述至少一个本地服务器中产生用来购买服务和/或货物的有效认证令牌的列表的程序代码;用于由移动终端请求来自所述远程服务器的所述服务和/或货物并提供支付的程序代码;用于从所述远程服务器中的所述有效认证令牌的列表选择认证令牌的程序代码;用于将所述被选择的认证令牌返回给所述移动终端的程序代码;用于由所述移动终端将所述认证令牌提交给所述至少一个本地服务器中的一个以便购买服务和/或货物的程序代码;用于将所述认证令牌和所述本地服务器中的所述有效认证令牌的列表进行比较的程序代码;和用于如果所述认证令牌和所述至少一个本地服务器中的所述有效认证令牌的列表中的认证令牌匹配,则将所述服务和/或货物提供给所述移动终端的程序代码。
56.如权利要求54所述的介质,还包含用于由所述本地服务器从所述移动终端请求移动用户标识信息、作为将所述服务和/或货物提供给所述移动终端的交换的程序代码。
57.如权利要求55所述的介质,还包含用于在所述远程服务器和所述至少一个本地服务器之间建立通信连接的程序代码,所述通信连接在工作中是非连续的。
58.如权利要求57所述的介质,其中,所述非连续通信连接被用于将一个或更多个种子更新从所述远程服务器传输到所述至少一个本地服务器。
59.如权利要求57所述的介质,其中,其中,所述非连续通信连接被用于将涉及认证令牌使用的信息从所述至少一个本地服务器传输到所述远程服务器。
60.如权利要求55所述的介质,其中,所述认证令牌使用包括移动终端标识信息和移动终端用户标识信息中的至少一个。
61.如权利要求57所述的介质,其中,所述非连续通信连接是安全的。
62.如权利要求55所述的介质,还包含用于将所述认证令牌建立在电子票证内的程序代码。
63.如权利要求55所述的介质,还包含用于使用RFID认证所述认证令牌的程序代码。
64.如权利要求55所述的介质,还包含用于更新所述远程服务器和所述本地服务器中的所述公共密钥和种子的程序代码。
65.在移动环境中运行的交易和支付设备,包含用于选择和存储在认证算法中使用的公共密钥和种子的装置;用于将所述公共密钥和所述种子与至少一个本地服务器共享的第一通信装置;用于利用所述认证算法,基于所述公共密钥和所述种子,产生用于可从提供者获得的服务和/或货物的有效认证令牌的列表的装置;实施用于和远程用户通信的短消息协议的第二通信装置,所述远程用户通过移动终端访问所述设备;交易服务器装置,用于处理用户对于可获得的服务和/或货物的请求,并在用户支付之后从所述有效认证令牌的列表中选择用于所述被请求的服务和/或货物的认证令牌;和将所述被选择的用于所述被请求的服务和/或货物的认证令牌通过所述第二通信装置传送到所述用户的传送装置。
66.在移动环境中运行的兑现设备,包含本地服务器,用于处理和确认用户出示的用于可获得的服务和/或货物的票证/令牌;非连续地耦合到交易服务器的通信装置,用于接收在认证算法中使用的公共密钥和种子;产生装置,用于利用所述认证算法,基于所述共享的公共密钥和种子,产生用于购买服务和/或货物的有效认证票证/令牌的列表;和比较装置,用于将由用户出示的票证/令牌和所述有效认证票证/令牌的列表对比,以便在被确认的票证/令牌的情况下得到所述可获得的服务和/或货物。
67.如权利要求66所述的兑现设备,还包含存储装置,用于存储从所述交易服务器接收的所述公共密钥和种子。
68.如权利要求66所述的兑现设备,还包含短程通信装置,用于通过移动设备从用户接收票证/令牌信息。
69.如权利要求66所述的兑现设备,其中,所述比较装置将令牌和由日期(d)、时间段(p)和因子(r)定义的时间段(l)中所有可能的令牌进行比较;因子(r)提供补偿所述本地服务器和所述交易服务器时钟之间的假定同步失配的认证时间段重叠。
70.如权利要求66所述的兑现设备,其中,所述本地服务器向所述交易服务器提供令牌/票证滥用信息。
71.一种用于在移动环境中获取服务和/或货物的移动终端,包含蜂窝网络接口,用于通过蜂窝网络和交易服务器进行通信,以便(a)购买电子形式的可用于获取服务和/或货物的被认证的票证/令牌,和(b)支付这样的服务和/或货物以便收到所述被认证的票证/令牌;存储设备,用于将所述被认证的票证/令牌存储在所述终端中;和短程通信接口,用于将所述被认证的票证/令牌传输到本地服务器,以便在由所述本地服务器确认所述被认证的票证/令牌之后获取所述服务和/或货物。
72.如权利要求71所述的移动终端,其中,所述被认证的票证/令牌被存储在耦合到RFID的存储设备中。
73.如权利要求71所述的移动终端,其中,所述移动设备使用短消息服务和所述交易服务器通信。
74.如权利要求72所述的移动终端,其中,所述本地服务器发送RF询问信号以便从所述移动设备下载所述被认证的票证/令牌进行处理。
全文摘要
为与远程交易提供者的SMS支付和服务认证配备了移动终端。所述远程提供者在执行消息摘要算法的带密钥散列机器地址代码(Hash Machine Address Code,HMAC)中使用公共秘密和种子来产生用于购买服务和/或货物的认证令牌(用户名-口令)列表。所述公共秘密和种子被与本地兑现设备共享,本地兑现设备也产生认证令牌的列表。订户向远程交易提供者进行支付,并接收到和购买的服务对应的认证令牌。订户将该认证令牌提供给所述兑现设备,所述兑现设备将该认证令牌和由兑现终端产生的有效认证令牌集合进行比较。如果比较指示匹配,则兑现设备将服务提供给订户。
文档编号G07B15/02GK1969291SQ200580020316
公开日2007年5月23日 申请日期2005年6月15日 优先权日2004年6月21日
发明者詹-埃里克·艾克伯格 申请人:诺基亚公司