专利名称:使用密钥管理中心的相互移动认证的制作方法
使用密钥管理中心的相互移动认证相关申请的交叉引用本申请是于2010年3月31日提交的美国临时申请No. 61/319,698的非临时申请且要求该临时申请的优先权,该临时申请的全部内容通过援引通用地纳入于此。背景移动设备的使用近年来快速地增长。例如,移动设备用户现在有能力使用其移动电话进行支付。虽然移动支付为消费者提供了便捷工具,但移动支付也会存在安全问题。诸如消费者的个人信息、账户信息等敏感信息可能容易被截取。另外,如果移动设备丢失或失窃,此类信息可能被未授权用户使用。此外,随着移动支付应用的演进,不仅需要保护从移动设备发送的信息,还需要保护在传输期间发送给移动设备的信息。
例如,在使用带有嵌入式芯片的物理卡进行支付时,与支付卡相关联的发行方可在支付交易的过程期间更新该芯片中的数据。芯片数据可在支付交易响应中返回,支付交易响应包含用于更新芯片支付应用中的风险参数以及支付计数器的认证数据或脚本。这些发行方更新要求将卡插入接触式销售点终端。如果移动设备被用作支付设备,则移动设备不能被插入销售点终端以进行接触式销售点交易并接收发行方更新。因此,还需要用于用作支付设备的移动设备的发行方更新解决方案。本技术的实施例涉及这些问题以及其他问题。简要概述本技术的实施例的各方面一般涉及用于认证的改进系统和方法。此类系统和方法通过在传送消息之前经由第三方移动网关认证移动设备来改进向和从移动设备传递的信息的安全性。本技术的一个实施例针对一种认证方法。该方法包括从移动网关向消费者设备发送质询消息,该质询消息是响应于通信请求消息而发送的,其中该消费者设备被配置成用作支付设备。该方法还包括响应于该质询消息在移动网关处接收来自该消费者设备的质询响应消息。该方法还包括将该质询响应消息从移动网关发送给密钥管理中心,其中密钥管理中心被配置成管理用于与消费者设备通信的会话密钥。密钥管理中心验证该质询响应消息并且若该质询响应消息有效则允许第一实体与该消费者设备之间的通信交易。第一实体可以是例如与消费者设备相关联的发行方。本技术的另一个实施例针对一种认证方法。该方法包括在密钥管理中心处经由移动网关从消费者设备接收质询响应消息,该质询响应消息是响应于由该移动网关发送给该消费者设备的质询消息而接收到的,其中该消费者设备被配置成用作支付设备。该方法还包括确定该质询响应消息是否有效并且若该质询响应消息有效则将安全信道响应消息从密钥管理中心发送给该消费者设备。该安全信道响应消息允许该消费者设备与第一实体之间的通信。本技术的另一个实施例针对一种系统。该系统包括移动网关和密钥管理中心。该移动网关被配置成向消费者设备发送质询消息以及响应于该质询消息接收来自该消费者设备的质询响应消息,其中该消费者设备被配置成用作支付设备。该密钥管理中心与移动网关通信并且被配置成从该移动网关接收该质询响应消息,确定该质询响应消息是否有效,以及若该质询响应消息有效则向该消费者设备发送安全信道响应消息。该安全信道响应消息允许该消费者设备与第一实体之间的通信。本技术的另一个实施例针对一种服务器计算机。该服务器计算机包括处理器以及其上实施代码的计算机可读存储介质,其中该代码被配置成使该处理器执行方法。该方法包括经由移动网关从消费者设备接收质询响应消息,该质询响应消息是响应于由移动网关发送给该消费者设备的质询消息而接收到的,其中该消费者设备被配置成用作支付设备。该方法还包括确定该质询响应消息是否有效并且若该质询响应消息有效则将安全信道响应消息发送给该消费者设备。该安全信道响应消息允许该消费者设备与第一实体之间的通f目。以下进一步详细地描述本技术的这些和其它实施例。附图简述
图I解说了移动网关环境中的交易流程图。图2解说了移动网关和密钥管理中心的功能性的详细流程图。图3解说了用于通信的协议的示例。图4描绘了示例性消费者设备的框图。图5解说了用于预设消费者设备的示例性流程图。图6描绘了分布式系统中用于认证的示例性流程图。图7描绘了集成系统中用于认证的示例性流程图。图8解说了用于使用新的TCP连接来建立安全会话的示例性流程图。图9解说了用于使用现有TCP连接来建立安全会话的示例性流程图。
图10描绘了计算机装置的示例性框图。详细描述本文所公开的实施例涉及用于认证消费者设备以创建用于消费者设备与第一实体之间的通信的安全信道的技术。消费者设备可以是例如移动电话,其可被配置成用作与支付处理网络相关联的支付设备。消费者设备可预设有支付相关应用并且可使用质询-响应认证经由第三方移动网关来认证。作为具体示例,当消费者设备经由该消费者设备上的应用请求与特定实体(例如,发行方银行)通信时,该通信请求被发送给移动网关。作为响应,移动网关向该消费者设备发送质询消息。消费者通过该消费者设备上的该应用向移动网关返回质询响应消息。移动网关将该质询响应发送给密钥管理中心进行验证。密钥管理中心管理用于消费者设备与不同实体通信的会话密钥并且可与支付处理网络相关联。密钥管理中心确定接收到的质询响应消息是否有效。若该质询响应消息是有效的,则安全信道响应消息被返回至移动网关并经由移动网关至消费者设备。安全信道响应消息包括允许消费者设备针对数种通信中的任一种通信经由安全信道与第一实体通信的会话密钥。例如,如果第一实体是与消费者设备相关联的发行方银行,则该安全信道可用于向消费者设备发送发行方更新。本技术的各实施例提供了数个优点。移动网关架构通过在允许通信之前认证消费者设备来提供增加的安全性。此外,用会话密钥建立安全信道为正经由该信道传送的信息提供了增加的保护。另外,由于用于创建安全信道的移动网关架构是集中式的,因此该架构为可能希望向和从消费者设备传送信息的若干实体提供了灵活性。在讨论本技术的具体实施例之前,可提供一些术语的进一步描述以更好地理解本技术的实施例。“发行方”可以是为消费者发行并维护金融账户的任何银行。“收单方”可以是为商家提供并维护金融账户的任何银行。“支付处理网络 ”可以包括用于支持和递送授权服务、异常文件服务、以及清算和结算服务的数据处理子系统、网络、以及操作。“授权请求消息”可以是包括诸如举例而言消费者设备的形式因子或发行方账户标识符等信息的消息。发行方账户标识符可以是与支付设备(例如,消费者设备)相关联的支付账户标识符。授权请求消息可请求该支付设备的发行方授权交易。根据本技术一实施例的授权请求消息可遵循ISO 8583,ISO 8583是用于交换由账户持有者使用支付设备进行的电子交易的系统的标准。“服务器计算机”可以是功能强大的计算机或计算机集群。例如,服务器计算机可以是大型机、微型计算机集群或作为一个单元起作用的一群服务器。在一个示例中,服务器计算机可以是耦合到Web服务器的数据库服务器。图I描绘了移动网关环境中的交易流程图。出于讨论的简单性,每种组件仅示出一个。然而应当理解,本技术的各实施例可包括一个以上的每种组件。另外,本技术的一些实施例可包括比图I中所示的所有组件要少的组件。此外,图I中的组件可使用任何合适的通信协议经由任何合适的通信介质(包括因特网)来通信。图I描绘了其中可实现移动网关和密钥管理中心的系统的示例。图I示出能在本技术的实施例中使用的系统。该系统包括商家处的接入设备106(诸如非接触式支付销售点(POS)支付终端)以及与该商家相关联的收单方110。在典型的支付交易中,消费者可使用移动消费者设备104经由接入设备106在商家购买商品或服务。收单方110可经由支付处理网络112与发行方114通信。消费者可以是个体或组织,诸如能够购买商品或服务的企业。消费者设备104可以是用于非接触式支付的任何合适形式。例如,合适的消费者设备可以是手持式的且是小型的,以便其可以适合消费者的钱包和/或口袋(例如,袖珍型的)。消费者设备104通常包括处理器、存储器、输入设备、输出设备、以及近场通信(NFC)设备,其皆可操作地耦合到该处理器。消费者设备的具体示例可包括各种形式的便携式通信设备,诸如蜂窝或无线电话、平板电脑、智能电话、个人数字助理(PDA)、寻呼机、便携式计算机等。在一些实施例中,消费者设备104可与多个金融账户相关联,诸如与不同的支付账户(例如,信用账户、借记账户、或预付款账户)相关联。同样,消费者有可能具有与相同的基础金融账户相关联的多个消费者设备104。支付处理网络112可以包括用于支持和递送授权服务、异常文件服务、以及清算和结算服务的数据处理子系统、网络、以及操作。示例性支付处理网络可包括VisaNet 。诸如VisaNet 等支付处理网络能够处理信用卡交易、借记卡交易、以及其它类型的商业交易。具体而言,VisaNet 包括处理授权请求的Visa集成支付(VIP)系统以及执行清算和结算服务的BaseII系统。此外,支付处理网络112可以包括服务器计算机,并且可以使用任何合适的有线或无线网络,包括因特网。
商家可以拥有能与消费者设备104进行交互的接入设备106 (诸如非接触式POS设备)或可以从其接收通信。根据本技术的实施例的接入设备106可以是用于访问非接触式消费者设备上的数据的任何合适形式。接入设备的示例可包括POS设备、蜂窝电话、PDA、个人计算机(PC)、平板PC、手持式专用阅读器、机顶盒、电子收款机、自动提款机(ATM)、虚拟收款机、信息亭、安全系统、接入系统等。接入设备106可以包括任何合适的接触或非接触操作模式(例如,射频(RF)天线、NFC设备等)。在典型的购买交易中,消费者使用消费者设备104经由商家的接入设备106来购买商品或服务。消费者设备104可以与商家处的接入设备106 (诸如非接触式POS终端)交互。例如,消费者可持有无线电话并且可将其递到POS终端中的非接触式阅读器附近。授权请求消息然后从接入设备106转发给收单方110。在收单方110处接收到授权请求消息之后,该授权请求消息然后被发送到支付处理网络112。支付处理网络112然后将该授权请求消息转发给消费者设备104的发行方114。
在发行方114接收到该授权请求消息之后,发行方114向支付处理网络112发回授权响应消息以指示是否授权(或不授权)当前交易。支付处理网络112然后将该授权响应消息转发回收单方110。收单方110然后将该响应消息发送回商家。在商家接收到该授权响应消息之后,商家处的接入设备106随后可向消费者提供该授权响应消息。该响应消息可由接入设备106显示,或可在收据上打印出。在一天结束时,支付处理网络112可以进行正常的清算和结算过程。清算过程是在收单方和发行方之间交换财务明细以便于对消费者的账户过账并与消费者的结算余额对账的过程。清算和结算可同时发生。通常,商家在一天结束时将清算信息发送给收单方,而收单方和发行方随后可进行清算和结算过程。当需要在消费者设备104与第一实体之间发送空中(OTA)消息时,可以使用移动网关152和移动密钥管理中心150。移动网关152提供至消费者设备的链路,诸如发行方、支付处理网络以及其他处理器之类的实体可在该链路上提供服务。移动网关152可进行对消费者设备104的质询-响应认证。若消费者设备152得到认证,则密钥管理中心150可提供用于安全通信信道的会话密钥。该安全通信信道允许消费者设备104安全地访问由支付处理网络112提供的服务。以下提供关于移动网关152和密钥管理中心150的功能性的更多细节。图2解说了移动网关152和密钥管理中心150的功能性的详细流程图。如以上讨论的,移动网关152和密钥管理中心150为在消费者设备104上提供给消费者的服务提供安全性。应注意,取决于各种各样的因素,在图2的架构中可能有一些不同之处。例如,取决于POS基础设施是在线地去往发行方以进行交易授权的基础设施还是支持离线授权交易的基础设施,可以存在不同之处。此外应注意,虽然图2示出OTA预设,但其他实施例可利用提前预设好的消费者设备。移动网关152是能够在安全信道上经由OTA消息向消费者设备106提供安全服务的平台。移动网关152支持移动非接触式支付(诸如图I描述的那些),并且是以使得能随着需求增加而添加将来支持服务的方式来利用的。为了安全地向支持非接触式支付的消费者设备104提供服务,移动网关152支持两个请求-响应消息对。一个请求-响应消息对用于准备安全信道。该消息对允许消费者设备104和移动网关152交换初始信息。第二请求-响应消息对用于建立安全信道。该消息对允许消费者设备104和移动网关152相互认证并允许消费者设备接收来自移动网关152的会话密钥。一旦安全信道建立,这些会话密钥就用于如对于所支持服务的需求而言恰适地保护所支持服务使用的消息的机密性和完好性。交易流可经由“拉取”或“推送”情形来发起。在“拉取”情形中,交易由消费者经由与消费者设备应用的交互来发起或由于具体支付应用状态(例如,在离线风险管理参数为低时)而由消费者设备应用自身发起。在“推送”情形中,发行方通过向消费者设备106发送推送消息来发起交易。然而,不管其是如何发起的,基本交易流程是相似的。即,首先准备和建立安全信道,然后利用所建立的安全信道来请求具体服务。移动支付应用(MPA) 154是安装在启用NFC的消费者设备104内的安全元件(SE)芯片中的支付应用。MPA 154提供用于管理和维护消费者的支付信息并支持移动非接触式支付的功能性。在支付交易期间,MPA 154经由非接触式接口与接入设备106交互以实现移动支付交易。向消费者设备104发行MPA 154的实体通常是支付处理网络112的成员。在一个实施例中,发行MPA154的实体是发行方114。MPA 154还与消费者设备104上的移动应用(MA) 156对接。MA 156是提供用于消费者交互的用户接口(例如,用以输入和查看信息)的消费者设备应用。MA 156还与MPA154通信以在经由消费者设备104提供给消费者的多项服务中的任一项服务的处理(例如,发行方更新处理)期间检索和返回信息。另外,MA 156还与移动网关152通信以发送和接收OTA消息。MPA 154和MA 156可使用数据加密标准,诸如举例而言具有至少1024位的密钥的RSA、三重数据加密标准(DES)、128位高级加密标准(AES)、使用最小128位密钥长度的RC4流加密算法等。这些加密标准可用于创建安全会话。消费者设备104使用SE来主存和存储需要高度安全性的数据和应用。SE由SE发行方125提供给消费者设备104。SE发行方125可以不必为支付处理网络112的成员,或者是与支付工具(例如,消费者设备106上的MPA 154)的发行方114相同的实体。例如,SE发行方125可以是移动网络运营商(MNO)。MPA 154可安装在SE内以管理和维护支付的安全性。发行MPA 154的实体可能需要密钥和/或令牌来在SE上安装和个性化MPA 154。这些密钥一般可由个性化局或受信任的服务管理者(TSM) 120代表该发行方进行管理。即,这些密钥可由SE发行方125提供给TSM 120 (S404)。TSM 120提供服务以支持移动金融服务。TSM 120可提供的基本功能性包括管理用于经由空中来安装和配置MPA 154的SE密钥的能力。TSM 120还可与发行方系统集成以用于用消费者的支付信息来激活和个性化MPA 154 (S402)。一旦接收到激活请求,TSM120就可经由空中来预设MA 156和MPA 154 (S406和S408)。TSM 120还可锁定或解锁消费者设备104上的SE (S410)。一旦被激活,TSM 120就可将激活确认发送给移动网关152(S412)。另外,TSM 120可提供正在进行的SE平台管理和支持。支持移动非接触式支付的消费者设备104通常使用基于ISO 14443的EMV非接触式通信协议(EMV-CCP)来支持非接触式交易以与商家接入设备106进行交互。这种能力通常通过实现NFC来满足。消费者设备104上的NFC能力可由嵌入式NFC芯片来实现或者通过添加包含NFC芯片的外部存储卡或附件来实现。另外,消费者设备104通常包括或者嵌入在手持机中或者嵌入在订户身份模块(SM)中的SE。SE也可被包括在附加设备中,诸如微型安全数字(microSD)卡。如以上所讨论的,移动网关152允许消费者设备104经由支付处理网络112访问来自发行方114的服务,诸如举例而言发行方更新。移动网关152提供安全信道,信息可在该安全信道上安全地传送通过消费者设备106并在移动网络和因特网上传送。移动网关152可由发行方、收单方、第三方服务提供者、或TSM 120提供。移动网关152使用密钥管理中心150来建立与消费者设备104中的MPA154实例的经相互认证的安全信道。作为此过程的一部分,可使用密码学密钥来实现向密钥管理中心150认证MPA 154。每个MPA 154实例用从发行方专用的主密钥集推导出的唯一性密钥来个性化。这些主密钥在发行方的个性化主机与密钥管理中心150之间共享。这些密钥可以不同于用于认证芯片支付交易的密钥或发行方脚本并且用于建立安全信道的目的。发行方的授权主机不需要任何对这些用于建立安全信道的密码学密钥的访问。
由于消费者设备104可使用移动网关152经由支付处理网络112来访问服务,可预设支付处理网络112和移动网关152以使得它们可以协作。在一个实施例中,支付处理网络112可向移动网关152提供在经相互认证的安全套接字层(SSL)信道的建立期间呈现的客户端证书。移动网关152可安装该证书并将其存储在密钥存储位置。此外,可创建用户名和口令并将其从支付处理网络112提供给移动网关152。该用户名和口令可在消息认证期间使用并且可作为web服务请求的一部分来传递。支付处理网络112还可向移动网关152提供在web服务请求中呈现的客户端证书。密钥管理中心150可使用该客户端证书来加密web服务响应的具体部分以由移动网关152解密。图3解说了用于通信的协议的示例。消费者设备104具有与远程系统建立无线通信的能力。消费者设备104上的MA 156和MPA 154可使用此能力与移动网关152通信。移动网关152可支持传输控制协议(TCP),从而MA 156可与移动网关152交换二进制消息。TCP套接字可在基础MNO或Wi-Fi网络上提供可靠连接。TCP套接字的端点由网际协议(IP)地址和端口号定义。消息交换作为发送方和接收方之间的简单字节流来执行。建立套接字连接并随后将其用作消息交换的承载。例如,TCP连接可在消费者设备104可访问的任何数据网络上提供,诸如在通用分组无线电业务(GPRS)和第三代(3G)网络上提供以经由MNO132获得连通性,或者经由Wi-Fi网络提供以通过因特网130上的替换服务提供方获得连通性。图4描绘了示例性消费者设备104的框图。消费者设备104可包括如图4中所示的计算机可读介质104(b)和机身104(h)。(图4示出了多个组件,且根据本发明实施例的消费者设备104可包括此类组件的任何合适的组合或子集。)计算机可读介质104(b)可存在于机身104(h)中,或可与其分离。机身104(h)可以是塑料基底、外壳或其他结构的形式。计算机可读介质104(b)可以是存储数据的存储器且可以是任何合适的形式,包括磁条、存储器芯片、唯一性推导密钥(诸如以上描述的)、加密算法等。存储器还优选地存储诸如财务信息、交通信息(例如,如在地铁或火车通行证中)、出入信息(例如,如在出入证章中)等信息。财务信息可包括诸如银行账户信息、银行标识号(BIN)、信用卡或借记卡号信息、账户余额信息、有效期、诸如姓名、生日等消费者信息等信息。任何这些信息都可由消费者设备104传送。此外,消费者设备104还可包括SE 104(j),如以上描述的。存储器中的信息还可以是传统上与信用卡相关联的数据磁道的形式。这些磁道包括磁道I和磁道2。磁道I (“国际航空运输协会(International Air TransportAssociation)”)存储比磁道2更多的信息,并包含持卡人的姓名以及账号和其它自由选择的数据。该磁道有时由航空公司在用信用卡来担保预订时使用。磁道2(“美国银行业协会(American Banking Association)”)是当前最常用的。这是由ATM和信用卡检查器来读取的磁道。ABA (美国银行业协会)设计了该磁道的规范并且世界上所有银行都必须遵守该规范。该磁道包含持卡人的账户、加密的PIN以及其它自由选择的数据。消费者设备104还可以包括非接触式元件104(g),其通常以具有相关联的无线传递(例如,数据传输)元件(诸如天线)的半导体芯片(或其它数据存储元件)的形式实现。非接触式元件104(g)与消费者设备104相关联(例如,嵌入在其中)且经由蜂窝网络传送的数据或控制指令可借助于非接触式元件接口(未示出)来应用于非接触式元件104(g)。非接触式元件接口用于准许在移动设备电路(并且因此在蜂窝网络)与任选的非接触式元件 104(g)之间交换数据和/或控制指令。非接触式元件104 (g)能够使用NFC能力(或NFC介质)通常根据标准化协议或数据传输机制(例如,iso 14443/NFC)来传递和接收数据。NFC能力是短程通信能力,如RFID、蓝牙TM、红外、或可被用来在消费者设备104和询问设备之间交换数据的其它数据传递能力。因此,消费者设备104能够经由蜂窝网络和近场通信能力两者来传达和传递数据和/或控制指令。消费者设备104还可以包括用于处理消费者设备104的功能的处理器104(c)(例如,微处理器)和允许消费者查看电话号码以及其它信息和消息的显示器104(d)。消费者设备104还可以包括允许消费者向该设备输入信息的输入元件104(e)、允许消费者听到语音通信、音乐等的扬声器104(f)、以及允许消费者通过消费者设备104发送其语音的话筒104(i)。消费者设备104还可以包括用于无线数据传递(例如,数据传输)的天线104(a)。图5解说了用于预设消费者设备104的示例性流程图。消费者设备104的预设可基于发行方114的商业需求在有或无消费者行动的情况下发起。在图5的步骤I中,消费者102可注册非接触式移动支付服务。发行方系统114处理该请求并采取恰适行动。在步骤2,发行方系统114向TSM 120发送带有恰适个性化数据的激活请求。在步骤3,TSM 120处理发行方114请求,执行MPA 154和MA 156的预设并将其个性化。在步骤4,TSM 120用全部所需订户信息向移动网关152确认该激活完成。更新与预设和删除MPA 154和MA156实例相关的信息可以用与预设过程相同的模式发生。移动网关152可使用两种不同的办法来实现。分布式移动网关是其中密钥管理中心150是与移动网关152分开的实体的移动网关。集成移动网关是其中密钥管理中心150与移动网关152集成的移动网关。图6描绘了分布式移动网关的示例。在分布式办法中,密钥管理中心150由支付处理网络112管理。因此,密钥管理中心150联合支付处理网络112为移动网关152和MPA154两者提供认证服务,从而允许MPA 154从多个移动网关访问服务而无需发行方114与每个移动网关提供方共享用于创建安全信道的加密密钥。来自发行方114的加密密钥被安全地存储在由支付处理网络112操作的密钥管理中心150处。如图6中所示,在消费者设备104向移动网关152发送质询请求消息时,认证开始(S502)。质询请求消息是指示消费者设备104希望与第一实体(例如,发行方)通信的消息。质询请求消息可包括消费者设备104的 SE数据。作为响应,移动网关152向消费者设备104发送质询消息(S504)。质询消息可包括对消费者设备104的询问。消费者设备104可通过向移动网关152返回质询响应消息连同该质询消息来响应该质询消息(S506 )。质询响应消息可包括对质询消息提出的询问的回答。移动网关152在因特网上向密钥管理中心150发送认证web服务请求消息(S508)。该认证web服务请求被用于经由双向SSL来相互认证移动网关152与密钥管理中心150。该认证web服务请求消息还可包括从消费者设备104接收到的质询响应消息和质询消息。这些凭证在被发送给密钥管理中心150之前可由移动网关152加密。另外,该认证web服务请求消息可包括消费者设备104的MPA 154的标识符以及移动网关152的客户端证书。在一个实施例中,简单对象访问协议(SOAP )封装可用于该认证web服务请求消息。密钥管理中心150将验证该质询响应消息是该质询消息的有效响应。若消费者设备凭证被移动网关152加密,则密钥管理中心150将在验证这些凭证之前将其解密。一经验证,密钥管理中心150将通过向移动网关152发送认证web服务响应消息来处理该请求(S510)。在一个实施例中,密钥管理中心150可在将认证web服务响应消息发送给移动网关152之前将其加密。该认证web服务响应消息将指示该质询响应消息是否有效。在一个实施例中,该认证web服务响应消息可包括用RSA加密方法来加密的数据XML元素,RSA加密方法用于加密用于安全信道的会话密钥。移动网关150将通过向消费者设备104发送指示是否可建立安全信道的安全信道响应消息来处理该响应(S512)。若认证web服务响应消息被密钥管理中心150加密,则移动网关152可在处理该响应消息之前将其解密。若质询响应是有效的,则可建立安全信道。然而,若移动网关会话在安全信道建立之前关闭,则移动网关152可能不会向消费者设备104发送响应消息。若移动网关会话在安全信道建立之后由于错误而关闭且TCP连接尚未关闭,则移动网关152可向消费者设备104发送通用错误响应并关闭移动网关会话。若密钥管理中心150遇到错误,移动网关152可接收SOAP消息。若移动网关152接收到该消息,移动网关152可将该错误信息记入日志以用于审计和将来验证目的。消费者设备104与移动网关152之间的通信使用TCP套接字交互。在认证之后,消费者设备104和移动网关152应当在安全信道上通信。移动网关152与消费者设备104之间的通信经由因特网发生。若认证成功,则密钥管理中心150将会话密钥发送给移动网关152并经由移动网关152发送给消费者设备104。会话密钥用于使用任何加密技术来建立安全信道,如以上讨论的。消费者设备104随后可在该安全信道上经由移动网关152与第一实体通信。以下将更详细地描述与第一实体的不同类型的通信。图7描绘了集成移动网关151的示例。在集成移动网关151中,密钥管理中心150与移动网关152紧密地集成。消费者设备104和集成移动网关151使用TCP连接来通信。该实现可要求发行方114将会话密钥提供给移动网关151。由于集成移动网关151可提供附加的加密密钥处置和认证服务,集成移动网关151还可要求应用附加的逻辑和物理安全需求。如图7中所示并且类似于图6,质询请求消息从消费者设备104发送给集成移动网关151 (S602)。作为响应,集成移动网关151向消费者设备104返回质询消息(S104)。消费者设备向集成移动网关151返回质询响应消息连同该质询消息(S606)。集成移动网关151确定该质询响应消息是否有效。集成移动网关151随后向消费者设备104发送安全信道响应消息(S608)。该安全信道响应消息指示该质询响应消息是否有效。对于图6的分布式移动网关和图7的集成移动网关两者,准备并建立安全信道以允许消费者设备104与第一实体安全地通信。移动网关152可通过验证从消费者设备104发送给移动网关152的质询请求消息的分量——诸如验证在质询请求消息中接收到的与MPA 154相关联的移动应用标识符是否被注册为与移动网关152联用、验证从该移动应用标识符提取的密钥管理中心标识符等一来准备安全信道。若移动网关152遇到错误,则移动网关152可关闭该移动网关会话。若质询请求消息是有效的,则移动网关152将创建质询消息并将该质询消息发送 给消费者设备104 (图6的S504和图7的S604)。若成功地准备了安全信道,则可由移动网关152和密钥管理中心150建立安全信道。消费者设备102向移动网关152发送质询响应消息。移动网关152将验证从消费者设备104接收到的质询响应消息的格式(图6的S506和图7的S606)。若消息格式无效,则移动网关152可关闭该移动网关会话。若消息格式有效,则密钥管理中心150可验证来自消费者设备104的该质询响应消息。若质询响应消息无效,则移动网关152可关闭该移动网关会话。若质询响应消息有效,则密钥管理中心150可推导用于安全信道的会话密钥。这些会话密钥将经由安全信道响应消息被发送给移动网关152和消费者设备104。发送给移动网关152的会话密钥可与发送给消费者设备104的会话密钥不同地加密。若移动网关152经历错误从而不能推导出消息格式或者若移动网关152决定关闭该移动网关会话(例如,由于会话到期),则移动网关152可返回通用错误响应。图8解说了用于使用新的TCP连接来建立安全会话的示例性流程图。如以上所讨论的,当消费者设备104希望经由移动网关152与第一实体通信时,消费者设备104必须先建立安全会话。移动网关152在安全信道建立期间以及还在由消费者设备104进行的服务调用期间管理和维持该会话。移动网关152可使用可恢复会话或不可恢复会话来维持安全会话。可恢复会话可跨多个TCP连接被维持,而不可恢复会话被局限于一个TCP连接。一旦已与MPA 154和MA 156建立了移动网关会话,若乱序地接收到消息,则移动网关152就可关闭该移动网关会话。例如,若质询响应消息在质询请求消息之前被接收到,则移动网关152可关闭移动网关会话。另外,若在将质询消息发送给消费者设备104之后的一时间段(例如,10秒)内未接收到质询响应消息,可关闭移动网关会话。通常,在经由移动网关152发送服务响应之后关闭移动网关会话。然而,在一个实施例中,消费者设备104可请求移动网关会话保持存活以用于后续服务请求。若移动网关会话保持存活,则在消费者设备可发送后续服务请求之前,该TCP连接有可能掉线。若发生这种情形并且消费者设备请求了可恢复会话,则消费者设备可打开新的TCP套接字连接并发送声明该现有会话ID的新服务请求。若移动网关会话是不可恢复的,则消费者设备在能发送服务请求之前必须在新的TCP连接上重复安全信道建立。在图8中,移动网关152确定在新的TCP连接上接收到的消息的消息格式或封装是否有效(S202)。若该消息封装无效,移动网关152将关闭该TCP连接(S204)。若该消息封装有效,移动网关152将检查消息ID是有效的(S206)。检查该消息ID以确定正发送何种类型的消息。若其是从消费者设备104发送给移动网关152的质询响应消息,则该消息ID对于新的TCP连接可能是无效的,因为质询响应消息应当经由在质询请求消息被发送给移动网关152时发起的现有TCP连接来发送。这确保了消费者设备104是请求该通信的同一个设备。若消息ID指示该消息是质询响应消息,则该消息ID是无效的,且移动网关152将关闭该TCP连接(S208)。若消息ID指示该消息是服务请求消息(S卩,并非质询请求消息和质询响应消息), 则移动网关152将再次检查该消息ID以确定其是已知消息ID (S210)。若该消息ID是未知的,移动网关152将关闭该TCP连接(S212)。若该消息ID是已知的,移动网关152将检查该消息封装中的开始指示符字段(S214)。若该开始指示符字段指示不能维持可恢复会话,则移动网关152将关闭该TCP连接(S216)。若该开始指示符字段指示能维持可恢复会话,则移动网关152将检查该消息封装中的会话标识符以确定该会话标识符是否匹配现有移动网关会话的会话标识符(S218)。若不存在匹配,则移动网关将关闭该TCP连接(S220)。若存在匹配,则移动网关152随后将检查该现有移动网关会话是否已具有活跃TCP连接(S222)。若已存在活跃TCP连接,则移动网关152将关闭该新的TCP连接(S224)。若不存在该现有移动网关会话的活跃TCP连接,则移动网关152将把该新的TCP连接附连到该匹配的现有移动网关会话(S226)。此时,移动网关152可前进至处理该请求(S228)。若在S206中消息ID指示该消息是质询请求消息,移动网关152将检查该消息封装中的开始指示符值(S230)。若该开始指示符值指示可恢复会话而移动网关152维持不可恢复会话,或者若该开始指示符值指示不可恢复会话而移动网关152维持可恢复会话,则移动网关152将关闭该TCP连接(S244)。若该开始指示符值指示不可恢复会话且移动网关可维持不可恢复会话,则将创建不可恢复会话(S232)。若该开始指示符值指示可恢复会话且移动网关可维持可恢复会话,则将创建可恢复会话(S234)。一旦成功创建了不可恢复或可恢复会话,移动网关152就可检查该移动应用(即,MPA 154)标识符是否活跃在另一会话中(S236)。若该移动应用标识符活跃在另一会话中,则移动网关152将检查该另一会话是否处于信道建立阶段(S238)。若是,则移动网关152将关闭该新的和现有的移动网关会话(S240)。若该另一会话并非处于信道建立阶段,则移动网关152将关闭该新的移动网关会话(S242)。若在S236中该移动应用标识符并未活跃在另一会话中,则移动网关152将前进至处理该请求(S228)。图9表示在相同的TCP套接字连接上接收到后续消息时发生的会话管理处理。当移动网关152接收到现有TCP连接上的新消息时(S302),移动网关152将确定消息格式是否有效(S304)。若消息格式无效,则移动网关152将关闭该移动网关会话(S306)。若消息格式有效,则移动网关152将确定该移动网关会话是否是可恢复的(S308)。若该移动网关会话是可恢复的,则移动网关152将检查该消息中的开始指示符看其是否指示可恢复会话(S310)。若该开始指示符并非指示可恢复会话,则移动网关152将关闭该移动网关会话(S312)。若该开始指示符指示可恢复会话,则移动网关152将检查该消息中的会话标识符是否匹配会话状态中的会话标识符(S314)。若不存在匹配,则移动网关152将关闭该移动网关会话(S316)。若存在匹配,则移动网关152将检查消息长度(S318)。若消息长度为O,则移动网关152将关闭该移动网关会话(S320)。若消息长度大于O,则移动网关152将继续进行与消息处理相关的规则(S322)。若该移动网关会话是不可恢复的,则移动网关152将检查该消息中的开始指示符看其是否指示不可恢复会话(S324)。若该开始指示符并非指示不可恢复会话,则移动网关152将关闭该移动网关会话(S326)。若该开始指示符值指示不可恢复会话,则移动网关152检查消息长度(S318 )。若消息长度为0,则移动网关152将关闭该移动网关会话(S320 )。若消息长度大于0,则移动网关152将继续进行与消息处理相关的规则(S322)。一旦成功准备和建立了安全信道,就可在消费者设备104与第一实体之间发生通信。第一实体可以是需要安全信道与消费者设备104进行OTA通信的任何实体。在成功建立安全信道之后,消费者设备104可构造去往第一实体的包含SE芯片数据的消息并将该消息发送给移动网关152。移动网关152随后可构造恰适的请求并将该请求转发给第一实体。移动网关152可能需要以第一实体能理解的方式构造该请求消息。当移动网关152接收到·来自第一实体的响应时,移动网关152可将来自第一实体的响应转换成OTA消息以返回给消费者设备104。在一个实施例中,第一实体是发行方114。发行方114可能希望控制和/或更新消费者设备104上的MPA 154。例如,发行方114可能希望用与消费者的支付账户相关联的附加信息来更新MPA 154。例如,当MA 156中的离线风险计数器和指示符已达到某些阈值以使得MA 156触发移动更新请求时、当发行方发送“与我通话”推送通知时等等,消费者设备104可请求对MPA 154的更新。对于发行方更新,移动网关152用于建立MPA 154与相关联的发行方114之间的安全连接以使得能递送这些更新。这些更新可进一步包括,但不限于卡参数更新、阻止或解除阻止MPA 154、禁用支付能力、解除阻止或改变MPA 154的通行码、将通行码设为默认通行码等。除了控制和/或更新MPA 154的能力,发行方可提供用于增值服务的附加特征。发行方114可允许消费者查询其余额中的一者或多者,并且发行方114可在安全信道上将一个或多个余额提供给消费者设备104。发行方114可提供指示使用链接到与消费者设备104相关联的预付款支付账户的资金账户在安全信道上向该预付款支付账户补足或增加附加资金的消息。发行方114还可处理对动态卡验证值2 (CVV2)的请求并提供CVV2以用于无卡(CNP)交易。本文参照附图描述的各个参与方和元件(诸如举例而言移动网关或密钥管理中心)可操作一个或多个计算机装置来实施本文描述的功能。附图中的任何元件(包括任何服务器或数据库)可使用任何合适数目的子系统以促进本文中描述的功能。这些子系统或组件的示例在图10中示出。图10所示的子系统经由系统总线475互连。示出了诸如打印机474、键盘478、固定盘479 (或者包括计算机可读介质的其他存储器)、耦合到显示适配器482的监视器476等附加子系统。耦合到I/O控制器471 (其可以是处理器或其他合适的控制器)的外围设备和输入/输出(I/O)设备可通过本领域已知的任何数目的手段(诸如串行端口 477)来连接到计算机系统。例如,串行端口 477或外部接口 481可用于使计算机装置连接到广域网(诸如因特网)、鼠标输入设备、或者扫描仪。经由系统总线的互连可允许中央处理器473与每一子系统通信,并控制来自系统存储器472或固定盘479的指令的执行,以及子系统之间的信息交换。系统存储器472和/或固定盘479可体现计算机可读介质。本技术的各实施例不限于上述各实施例。例如,尽管为发行方、支付处理网络和收单方示出单独的功能框,但某些实体执行所有这些功能并可被包括在本技术的各实施例中。此外,本发明的附加实施例可针对涉及商家及其接入设备、以及发行方的方法和系统。例如,其他实施例可包括以下附加实施例。一个实施例可针对消费者设备与发行方之间的通信,其中消费者设备可请求余额查询并且发行方可作为响应在安全信道上返回账户余额。一个实施例可针对移动网关在发生数种错误中的任一种的情况下关闭安全会话。例如,若消息格式不正确、若在移动网关处接收到的消息是乱序的、或开始指示符无效等 等,移动网关安全会话可关闭。以上提供了关于上述各方面中的某一些的具体细节。各具体方面的具体细节能够以任何合适的方式相组合而不背离本技术的各实施例的精神和范围。例如,后端处理、数据分析、数据采集、以及其他交易全部都可被组合在本技术的一些实施例中。然而,本技术的其它实施例可涉及与每个独立方面有关的特定实施例,或这些独立方面的特定组合。应当理解,以上描述的本技术可以用模块化或集成方式使用计算机软件(存储在有形物理介质中)以控制逻辑的形式实现。基于本文提供的公开和教示,本领域普通技术人员会知晓并领会使用硬件以及硬件与软件的组合来实现本技术的其它方式和/或方法。本申请中所描述的任何软件组件或功能可被实现为由处理器使用例如常规或面向对象技术、使用诸如Java、C++、或Perl之类的任何合适的计算机语言执行的软件代码。软件代码可作为一系列指令或命令存储在诸如随机存取存储器(RAM)、只读存储器(ROM)、磁介质(诸如硬盘或软盘)、或者光学介质(诸如CD-ROM)之类的计算机可读介质上。任何这种计算机可读介质可驻留在单个计算装置上或其内部,并且可存在于系统或网络内的不同计算装置上或其内部。以上描述是说明性而非限制性的。在审阅本公开之后,本技术的许多变体对本领域技术人员而言将变得显而易见。因此,本技术的范围不应参考以上描述来确定,相反应当参考所附权利要求及其全部范围或等效方案来确定。来自任一实施例的一个或多个特征可与任何其他实施例的一个或多个特征结合而不背离本技术的范围。对“一”、“一个”或“该”的引用旨在表示“一个或多个”,除非有具体地相反指示。以上提及的所有专利、专利申请、出版物、以及描述出于所有目的通过引用整体结合于此。它们都不被认为是现有技术。
权利要求
1.一种认证方法,包括 从移动网关向消费者设备发送质询消息,所述质询消息是响应于通信请求消息而发送的,其中所述消费者设备被配置成用作支付设备; 响应于所述质询消息在所述移动网关处接收来自所述消费者设备的质询响应消息;以及 将所述质询响应消息从所述移动网关发送给密钥管理中心,其中所述密钥管理中心被配置成管理用干与所述消费者设备通信的会话密钥,其中所述密钥管理中心验证所述质询响应消息并且若所述质询响应消息有效则允许第一实体与所述消费者设备之间的通信交易。
2.如权利要求I所述的方法,其特征在于,所述密钥管理中心将会话密钥发送给所述移动网关以及发送给所述消费者设备,所述会话密钥允许所述第一实体与所述消费者设备之间的通信。
3.如权利要求2所述的方法,其特征在于,发送给所述移动网关的所述会话密钥与发送给所述消费者设备的所述会话密钥是不同地加密的。
4.如权利要求I所述的方法,其特征在于,所述第一实体是与所述消费者设备相关联的发行方。
5.如权利要求4所述的方法,其特征在于,所述第一实体与所述消费者设备之间的所述通信交易包括对所述消费者设备的发行方更新。
6.如权利要求5所述的方法,其特征在干,所述发行方更新包括更新所述消费者设备的參数、阻止所述消费者设备上的支付应用、解除阻止所述支付应用、禁用支付、解除阻止所述消费者设备上的通行码、改变所述消费者设备上的所述通行码、或将所述通行码设为默认通行码。
7.如权利要求4所述的方法,其特征在干,所述消费者设备与预付款支付账户相关联且其中所述第一实体与所述消费者设备之间的所述通信交易包括使用链接到所述预付款支付账户的资金账户向所述预付款支付账户增加资金。
8.一种认证方法,包括 在密钥管理中心处经由移动网关从消费者设备接收质询响应消息,所述质询响应消息是响应于由所述移动网关发送给所述消费者设备的质询消息而接收到的,其中所述消费者设备被配置成用作支付设备; 确定所述质询响应消息是否有效;以及 若所述质询响应消息有效则从所述密钥管理中心向所述消费者设备发送安全信道响应消息,所述安全信道响应消息允许所述消费者设备与第一实体之间的通信。
9.如权利要求8所述的方法,其特征在于,还包括将会话密钥发送给所述移动网关以及发送给所述消费者设备,所述会话密钥允许所述第一实体与所述消费者设备之间的通ィ目。
10.如权利要求8所述的方法,其特征在于,所述第一实体是与所述消费者设备相关联的发行方,第一实体与所述消费者设备之间的所述通信包括对所述消费者设备的发行方更新。
11.如权利要求8所述的方法,其特征在于,所述消费者设备与预付款支付账户相关联且其中所述第一实体与所述消费者设备之间的所述通信包括使用链接到所述预付款支付账户的资金账户向所述预付款支付账户增加资金。
12.—种系统,包括 移动网关,所述移动网关被配置成向消费者设备发送质询消息以及响应于所述质询消息接收来自所述消费者设备的质询响应消息,其中所述消费者设备被配置成用作支付设备;以及 与所述移动网关通信的密钥管理中心,所述密钥管理中心被配置成从所述移动网关接收所述质询响应消息,确定所述质询响应消息是否有效,以及若所述质询响应消息有效则向所述消费者设备发送安全信道响应消息,所述安全信道响应消息允许所述消费者设备与第一实体之间的通信。
13.如权利要求12所述的系统,其特征在于,所述密钥管理中心管理用于创建安全信道的会话密钥。
14.如权利要求12所述的系统,其特征在于,所述密钥管理中心将会话密钥发送给所述移动网关以及发送给所述消费者设备,发送给所述移动网关的所述会话密钥与发送给所述消费者设备的所述会话密钥是不同地加密的。
15.如权利要求12所述的系统,其特征在于,所述第一实体是与所述消费者设备相关联的发行方,且其中所述消费者设备与所述第一实体之间的所述通信包括更新所述消费者设备的參数、阻止所述消费者设备上的支付应用、解除阻止所述支付应用、禁用支付、解除阻止所述消费者设备上的通行码、改变所述消费者设备上的所述通行码、或将所述通行码设为默认通行码。
16.一种服务器计算机,包括 处理器;以及 其上实施有代码的计算机可读存储介质,所述代码被配置成使所述处理器执行方法,所述方法包括 经由移动网关从消费者设备接收质询响应消息,所述质询响应消息是响应于由所述移动网关发送给所述消费者设备的质询消息而接收到的,其中所述消费者设备被配置成用作支付设备; 确定所述质询响应消息是否有效;以及 若所述质询响应消息有效则向所述消费者设备发送安全信道响应消息,所述安全信道响应消息允许所述消费者设备与第一实体之间的通信。
17.如权利要求16所述的服务器计算机,其特征在于,所述代码进ー步配置成使所述处理器执行以下步骤将会话密钥发送给所述移动网关以及发送给所述消费者设备,所述会话密钥允许所述第一实体与所述消费者之间的通信。
18.如权利要求16所述的服务器计算机,其特征在于,所述第一实体是与所述消费者设备相关联的发行方,所述第一实体与所述消费者设备之间的所述通信包括对所述消费者设备的发行方更新。
19.如权利要求16所述的服务器计算机,其特征在于,所述消费者设备与预付款支付账户相关联且其中所述第一实体与所述消费者设备之间的所述通信包括使用链接到所述预付款支付账户的资金账户向所述预付款支付账户增加资金。
20.如权利要求16所述的服务器计算机,其特征在于,所述第一实体是与所述消费者设备相关联的发行方,且其中所述消费者设备与所述第一实体之间的所述通信包括更新所述消费者设备的參数、阻止所述消费者设备上的支付应用、解除阻止所述支付应用、禁用支付、解除阻止所述消费者设备上的通行码、改变所述消费者设备上的所述通行码、或将所述通行码设为默认通行码。
全文摘要
一种配置成认证消费者设备的系统、方法和服务器计算机。使用质询-响应认证经由移动网关来认证消费者设备。若消费者设备被成功认证,则在该消费者设备与第一实体之间建立安全信道。该安全信道允许该消费者设备与该第一实体之间的安全通信。
文档编号H04L9/08GK102804682SQ201180013970
公开日2012年11月28日 申请日期2011年3月31日 优先权日2010年3月31日
发明者C·阿艾拜, S·坎纳潘 申请人:维萨国际服务协会