用于访问服务的方法、相应的第一设备、第二设备和系统与流程

本发明以一般方式涉及用于访问服务的方法。

此外，本发明涉及用于访问服务的第一设备，比如例如服务器。

而且，本发明还涉及用于访问服务的第二设备。

本发明尤其可适用于移动无线电通信领域，其中第二设备是移动终端（比如移动（远程）电话）或与移动终端协作的安全元件，比如例如订户身份模块类型卡或嵌入式芯片。

最后，本发明涉及用于访问服务的系统，其包括第一设备和被连接或耦合到第一设备的第二设备。

背景技术：

用于访问服务的已知解决方案基于远程（web）（银行）服务器、智能卡读取器、硬件令牌或移动设备和通过因特网连接到服务器从而执行（银行）交易的个人计算机（或pc）的使用。首先，pc用户通过pc浏览器向银行服务器页面中输入交易信息（数额、帐户、日期等）。pc将输入的交易信息作为交易数据发送到服务器。然后，服务器向pc送回要被移动设备签名的数据。用户在移动设备上读取数据并将其与由pc浏览器显示的数据进行比较。当被用户确认时，移动设备接收数据并依靠交易数据和用户数据而生成密码。用户通过pc浏览器向银行服务器页面中输入密码作为交易签名。pc浏览器将交易签名发送到签名验证服务器。签名验证服务器验证密码是否是预期密码，并且当成功时服务器授权（authorize）所考虑的交易。

然而，pc所支持的恶意应用可以改变交易数据，并且用户因此可以确认虚假交易。

因此存在安全地访问服务同时降低尤其由pc所支持的恶意应用改变交易数据的风险的需要。

技术实现要素：

本发明提出了用于通过提供用于访问服务的方法来满足上文刚刚指定的需要的解决方案。

根据本发明，本方法包括以下步骤。a）第一设备从第二设备接收涉及交易的数据，作为完整的（complete）交易数据。b）第一设备通过使用完整的交易数据、第一算法和第一密钥而生成第一签名。c）第一设备从完整的交易数据修改至少一个字符并获得部分交易数据。d）第一设备将部分交易数据发送到第二设备。e）第二设备请求用户通过提供至少一个字符作为部分交易数据的补充数据来修改部分交易数据。f）作为来自用户的请求响应，第二设备获得至少一个字符来修改部分交易数据，相应结果是提议的经修改的交易数据。g）第二设备通过使用提议的经修改的交易数据、第一算法和第一密钥而生成第二签名。h）第二设备向第一设备发送第二签名。i）第一设备验证第二签名是否与第一签名匹配。j）只有当第二签名与第一签名匹配时，然后第一设备才授权执行相应交易。

本发明的原理在于从第一设备向第二设备提交要呈现给用户的（合适的（right））交易数据的仅一部分，所述用户必须在对（结果得到的）经修改的交易数据进行签名之前纠正和修改提交的部分交易数据，并且发回相应签名以由第一设备进行检查。

在本说明书内，部分交易数据意指用户必须通知根本不存在和/或错误地提议的——即每个必须由用户提供（即被用为用户所知的合适字符添加、替换和/或修改）的一个或若干字符。

因为所提供的交易数据被修改且不（完全）正确（或合适），所以其迫使用户通过读取提供的交易数据来参与过程、标识错失和/或经修改的交易数据以及正确地指定交易数据的补充部分。

提出的解决方案强制用户参与并完全集中于他或她修改所提供交易数据的方式上，从而访问所考虑的服务。

因此，在第二设备侧处支持的恶意应用不能修改或改变相关的交易数据。

与上文中描述的已知解决方案相反，由于用户在客户端侧处的真实参与，本发明允许相对于已知解决方案保护这样的交易。

应注意的是要修改的交易数据可以被直接地或间接地（即通过一个（或若干）中间设备）从第二设备提供给用户。

根据另一方面，本发明是用于访问服务的第一设备。

根据本发明，第一设备被配置成接收涉及交易的数据作为完整的交易数据，通过使用完整的交易数据、第一算法和第一密钥而生成第一签名，从完整的交易数据修改至少一个字符并获得部分交易数据，发送部分交易数据，接收第二签名，验证第二签名是否与第一签名匹配，并且只有当第二签名与第一签名匹配时才授权执行相应交易。

作为第一设备，其可以是本地或远程服务器。

根据另一方面，本发明是用于访问服务的第二设备。

根据本发明，第二设备被配置成发送涉及交易的数据作为完整的交易数据，接收部分交易数据，请求用户通过至少一个字符作为部分交易数据的补充数据来修改部分交易数据，作为来自用户的请求响应而获得至少一个字符来修改部分交易数据，相应结果是提议的经修改的交易数据，通过使用提议的经修改的交易数据、第一算法和第一密钥而生成第二签名，并发送第二签名。

作为第二设备，其可以是用户终端、安全元件（或se）和/或任何其它设备，其连接到和/或装配有用于从用户获得完成的交易数据的部件和用于生成涉及（结果得到的）完整的交易数据的（数字）签名的部件。

关于用户终端，其可以由移动（远程）电话、个人数字助理（或pda）、掌上式计算机、个人计算机（或pc）、台式计算机、膝上型计算机、便携式电视（或tv）、上网本、平板计算机、游戏控制台、便携式pc或任何其它设备构成，所述任何其它设备连接到和/或装配有用于从用户获得完成的交易数据的部件和用于生成涉及完整的交易数据的（数字）签名的部件。

根据又一方面，本发明是用于访问服务的系统。

根据本发明，系统包括这样的第一设备和至少一个这样的第二设备。第二设备被连接或耦合到第一设备。

附图说明

当结合以下各图来阅读作为指示性且非限制性示例给出的本发明的一个实施例的详细描述时，本发明的附加特征和优点将更清楚地显现。

-图1图示了根据本发明的包括远程服务器、pc和用户终端的系统的一个实施例的简化图，所述服务器被适配成在客户端侧处为用户提供要由用户正确地或合适地提供的经修改的交易数据；以及

-图2表示尤其由图1的电话和服务器实现的方法的一个实施例的简化消息流程，其使得用户提供经修改的（合适的）交易数据，用户终端对经修改的交易数据进行签名并为服务器提供经签名的交易数据，并且一旦服务器已经成功地检查接收到的数据，服务器就允许用户访问所请求的服务。

具体实施方式

在下文中考虑了其中由作为第一设备的远程服务器通过作为第三和中间设备的pc与作为独立第二设备的用户终端协作实现用于访问服务的发明方法的情况。

然而，用于访问服务的发明方法可以由装配有或连接至人机接口（或mmi）以与用户协作的se而不是作为用户终端的电话实现。换言之，se并未与任何用户终端协作，从而让用户修改接收到的交易数据，对（经修改的）交易进行签名并向服务器发送经签名的交易。根据这样的实施例（未表示），se被适配成执行由作为用户终端的电话执行的功能并且所述功能在下文被描述。

在本说明书内，se是智能对象，其在物理上保护对存储在se内的数据的访问并意图与外部世界通信。se是可以具有不同形状因子的任何电子介质。除了别的之外，se还可以由结合在印刷电路板（或pcb）内的智能卡或芯片组成。作为智能卡，其可以是订户身份模块（或sim）类型智能卡、（微型）安全数字（或sd）类型卡、微型sd类型卡或多媒体类型卡（或mmc）或者另一格式的任何卡。替代地，se是usb（“通用串行总线”的首字母缩略词）类型的智能加密狗。

根据另一实施例（未表示），第二设备与se协作。根据这样的实施例（未表示），se被适配成至少执行由作为第二设备的用户终端执行并在下文被描述的签名生成功能。而且，se可以装配有安全显示屏，一旦被se用户合适地修改，其就显示接收到的（经修改的）部分交易数据和交易数据。

图1示出了用于访问服务的系统10。

系统10包括作为便携式设备和用户终端的移动电话12、pc14和远程服务器18。

为了清楚和简明起见，移动电话12和远程服务器18在下文中被分别地称为电话12和服务器18。

电话12和pc14被用户11用来从一个（或若干）（web）服务器18购买在线的一个（或若干）产品和/或服务。

可以在电话12与服务器18之间使用pc14。

根据所呈现的实施例，pc14是在客户端侧处使用并组成在电话12与服务器18之间的通信中的中间设备的附加设备。

作为用户终端，电话12可以是包括用于处理数据的部件、被连接到或包括作为mmi的用于与用户对接的部件并被连接到或包括用于存储数据的部件（未表示）的任何终端设备。

电话12包括键盘122、显示屏124，作为电话mmi。

替代地，代替分离的键盘，显示屏集成（虚拟）触敏键盘。

电话mmi可以被用于尤其向用户11呈现经修改的和部分（合适的）交易数据并用于由用户11尤其修改部分交易数据，同时去除、替换和/或添加一个或若干字符。

代替电话mmi，可以使用结合在连接或耦合到电话12的se（未表示）内的外部安全mmi（未表示）。

无论mmi是否被结合在电话12内，mmi都允许与用户11进行交互，从而通知用户11和被她/他通知。

作为用户终端，电话12优选地包括无线天线126，从而连接到（一个或多个）移动通信网络（未表示）。

在本说明书内，在词“天线”之前的形容词“无线”意指天线通过使用可能更长或不那么长的一个或若干长距（或lr）射频（或rf）链路。（一个或多个）lrrf可以被固定在几百兆赫，例如约850、900、1800和/或1900mhz、2ghz和/或以上。

（一个或多个）移动无线电通信网络可以由（一个或多个）全球移动通信系统（或gsm）、通用分组无线电服务（或gprs）、edge（“gsm增强数据速率演进”的首字母缩略词）、通用移动电信系统（或umts）、码分多址（或cdma）和/或长期演进（或lte）类型网络组成。

代替（一个或多个）移动无线电通信网络，电话12可以通过网络接入点（未表示）、经由无接触链路（通过因特网网络的链路）来访问服务器18。

电话12可以提供有相机128。

相机128可以被用于捕捉在pc显示屏上显示的数据。所显示的数据可以是代码，比如例如快速响应（或qr）代码、条形码、bocode或涉及可能部分合适的交易数据的任何其它2d或3d代码。一旦被捕捉，电话12将对涉及交易数据的代码解码，从而获得留待由用户11合适地修改的经修改的交易数据。

替代地，代替相机，电话12提供有接触、无接触、无线、音频、光学、超声波和/或任何其它通信接口。电话12因此可以通过一个或若干通信接口连接至pc14。

根据另一替代实施例，用户11通过使用电话12mmi（或者连接或耦合到电话12的mmi）来输入或键入涉及部分（地）（合适的）交易数据的一个或若干字符。根据特定实施例，该部分交易数据被pc14接收到，从而在电话12处获得留待由用户11合适地修改的经修改的交易数据。

代替比如电话的无处不在的终端，便携式设备可以是专用于通过让用户11介入以修改由服务器18提供的部分交易数据而与一个（或若干）服务器18一起执行（一个或多个）交易的特定终端（或se）。

电话12优选地包括作为数据处理部件（未表示）的一个（或若干）微处理器、作为数据存储部件（未表示）的一个（或若干）存储器，以及一个（或若干）输入/输出（或i/o）接口（未表示），其通过数据和控制总线在内部链接在一起。

电话存储器存储数据。

替代地，代替内部电话存储器，se（未表示）将数据存储在se存储器内。

作为数据，其可以包含：

-（用户）名、姓、出生日期、国籍和/或涉及电话用户11的其它数据；

-国际移动订户身份（或imsi）等，作为涉及电话12的标识符；

-涉及交易的数据，比如例如用户数据、参考号码、涉及银行卡的标识符、到期日期、卡验证代码（或cvv）、将从用户11银行帐户记入借方的最大交易金额、交易货币、交易金额、涉及支付者的银行帐号、涉及收款人的银行帐号、操作类型、支付日期和/或其它数据；

-生成的口令或一次性口令（或otp），作为涉及电话12和可能用户11的认证的数据；

-（一个或多个）密钥，其包括用于对数据进行签名的私有密钥（作为非对称且秘密的密钥）并且可能包括与服务器18共享的用于验证源自于电话12的签名的公共密钥，和/或包括用于对数据进行签名并验证源自于电话12的签名的密钥，作为与服务器18共享的对称密钥；

-签名算法；

-要寻址的服务器18的统一资源标识符（或uri）或统一资源定位符（或url）；

-要寻址的服务器18的因特网协议（或ip）地址；和/或

-一个（或若干）应用。

交易数据是作为信息单元的一系列字符。字符可以是数字、符号、字母、符号、音符或任何其它信息单元（或项）。

将可能通过pc14和/或用户11从服务器18捕捉（即接收或获得）部分地合适的交易数据，在下文称为部分交易数据。

作为部分交易数据，可以以特定方式（诸如用预定义字符，比如例如星号“*”）标记错失和/或错误地提议的交易数据。替代地，利用相关的相应空间（比如例如方框）的突出来标记作为部分交易数据的错失和/或错误地提议的交易数据，其中交易数据项或单元在要由签名人捕捉的部分交易数据内错失或者错误地提议。

部分交易数据必须由用户11用一个或若干字符进行修改，作为组成执行交易所需的完全的（或完整的）合适的交易数据的部分交易数据的补充部分。

电话存储器还可以存储用户数据，比如例如用户标识符（或uid）和/或用户口令。用户数据可以允许标识并向实体（比如例如服务器18）认证电话12的用户。

签名算法可以由rivestshamiradleman（或rsa）、数据加密标准（或des）、3des、散列消息认证代码（或hmac）安全散列算法（或sha）1、hmacsha256、hmacsha512、任何hmacsha类型算法或者任何其它对称或非对称密钥签名算法组成。

与服务器18共享用于验证要由电话12发布的签名的密钥（对称密钥或非对称密钥）。

电话存储器可以存储统一资源标识符（或uri），比如统一资源定位符（或url）、呼叫电话号码、视频会议呼叫电话号码、电子邮件地址、因特网协议（或ip）类型地址和/或类似物，作为涉及交易请求的预期收信人（比如例如服务器18）的（一个或多个）标识符。

电话存储器优选地存储私有加密密钥和相应的公共加密密钥。公共加密密钥可以被服务器18用于对要发送到电话12的数据加密，从而保护这样以加密方式传输的数据。

电话存储器优选地存储涉及服务器18的公共加密密钥。电话12可以将服务器公共加密密钥用于对要发送到服务器18的数据加密。

替代地，电话存储器存储与服务器18共享以便用于对要发送到服务器18的数据加密并对从服务器18接收到的数据解密的对称加密密钥。

作为电话12所支持的（一个或多个）应用，存在允许电话12发送伴有相应签名的数据（诸如交易数据）的目标应用。因此，电话12在被认证为数据发送者时被接收实体（比如例如服务器18）允许执行交易（如果在服务器18侧处不存在要满足的（一个或多个）其它条件的话）。否则，电话12可以被接收实体禁止执行任何交易。

作为目标应用，其包括用于生成签名的应用，比如例如称为europaymastercardvisa（或emv）芯片认证程序（或cap）的小程序或者开放认证（或oath）挑战响应算法（或ocra）。这样的签名生成应用允许发布签名，从而将电话12认证为数据的发送者。

作为目标应用，其包括用于合适地完成部分交易数据的应用。

目标应用可以在不需要涉及到用户11的情况下自动地修改涉及交易数据的一个（或若干）错误地提议和/或错失的字符。为了自动地修改一个（或若干）合适的字符，目标应用被配置成获得可访问（即存储在电话存储器或被耦合或连接至电话12的实体的存储器内，所述实体的存储器比如例如令牌或se）的合适的交易数据。

如果存在（一个或多个）字符要被通知且涉及未被存储在电话12内的交易数据，则目标应用允许通过电话12mmi（或外部mmi）向用户11请求（一个或多个）合适的字符，从而获得经修改的且完整的交易数据。

电话微处理器处理源自于（一个或多个）电话存储器和/或外部实体（比如例如pc14和/或服务器18）的数据。

电话微处理器执行作为（一个或多个）安全功能的任何支持的应用，尤其比如目标应用和一个（或若干）安全应用，以便保护对通过或者由电话12管理的用户信息的访问。

（一个或多个）安全应用包括签名生成过程。签名生成过程优先地使用签名生成算法（比如例如emvcap），以生成用于认证作为数据发送者的电话12的数据。

安全功能可以包括用户认证过程。可以在读取敏感数据之前使用用户认证过程，所述数据尤其诸如可从电话访问（即存储在电话12或连接至电话12的另一实体内）的交易数据。

安全功能可以包括要在发送数据之前/接收到数据之后使用的加密/解密过程，从而保护对这样在电话12与对话者实体（比如例如服务器18）之间交换的数据的访问。

pc14包括作为数据处理部件的（一个或多个）微处理器（未表示）、作为数据存储部件的一个或若干存储器（未表示）以及一个或若干i/o接口（未表示），其通过数据和控制总线在内部链接在一起。

pc14优选地包括键盘142和显示屏144，作为pcmmi。

根据特定实施例（未表示），代替作为mmi的两个分离的功能元件，pc14包括在被激活时显示虚拟键盘的触敏显示屏。

pc14支持允许用户11与服务器18交互的浏览器。

pc14经由（一个或多个）双向链路15通过网络接入点（未表示）通过因特网或内部网类型网络16连接至服务器18。

与网络16的pci/o接口可以包括接触接口，从而与服务器18通信。

替代地，与网络16的pci/o接口包括无接触接口。pc14在相对接近于彼此时例如通过（一个或多个）短距（或sr）rf链路与网络接入点协作。（一个或多个）srrf可以被固定在从约2.4ghz至约10ghz（用于超宽带（或uwb），例如ieee802.15.4a）、在约10m至100m的范围情况下在2.4-2.5ghz处（用于zigbee（例如ieee802.15.4）、wifi和蓝牙或低功耗蓝牙（ieee802.15.1））和/或允许在sr距离（高达800m）的情况下通信的（一个或多个）其它rf值。无接触接口可以包括（一个或多个）wlan（“无线局域网”的首字母缩略词）、蓝牙、低功耗蓝牙、wifi、城域网（或man）、全球微波接入互操作（或wimax）和/或无线宽带（或wibro）无线电通信类型技术。

pc存储器优选地存储uri，比如例如url、呼叫电话号码、视频会议呼叫电话号码、电子邮件地址、因特网协议（或ip）类型地址和/或类似物，作为涉及交易请求的预期收信人（比如例如服务器18）的（一个或多个）标识符。

服务器18例如通过线缆、通过双向链路17连接至因特网或内部网网络16。

在从pc14（和/或电话12）检索的数据内标识要作为用于访问服务的请求的收信人寻址的服务器18。

替代地，可以请求电话用户通过pcmmi输入（一个或多个）服务器标识符。

服务器18可以通过（一个或多个）移动无线电通信网络（未表示）可访问。

服务器18起部分地合适的交易数据的提供者和交易的控制者的作用，尤其是在验证涉及经修改的且完整的（合适的）交易数据并源自于客户端设备（比如例如电话12）的签名之后。

可以由银行操作员、服务提供者或代表其操作服务器18。

服务器18被集成在后端系统的实体内。

服务器18由计算机主控。

根据优选实施例，服务器18由存储、管理（数字）密钥并以安全方式提供（一个或多个）密码处理服务的硬件安全模块（或hsm）（未表示）主控、被耦合或连接到所述硬件安全模块（或hsm）。

服务器18包括作为数据处理部件的（一个或多个）微处理器（未表示）。

服务器数据处理部件优选地执行安全功能，以便保护对通过或者被服务器18管理的信息的访问。

安全功能优先地包括要在向外部发送数据之前/从外部接收到数据之后使用的加密/解密过程。为了对要发送的数据加密，服务器18使用存储在服务器存储器内的密钥和加密算法。为了对要接收的数据解密，服务器18使用存储在服务器存储器（或hsm等）内的密钥和解密算法。

服务器18包括作为数据存储部件的存储器182。

替代地，代替内部存储器，服务器18被连接至内部存储器。

服务器存储器182存储数据库。

数据库包括一个或若干客户端设备标识符的集合，所述客户端设备标识符中的每个与先前与相关客户端设备共享的签名生成密钥和签名生成算法相关联。

服务器存储器182（或hsm）优选地存储要由任何客户端设备（比如例如电话12）使用以用于对要从与被服务器18管理的客户端设备相关联的任何设备（比如例如pc14）发送到服务器18的数据加密的私有密钥和相应公共密钥。

替代地，服务器存储器182（或hsm）存储要由任何客户端设备（比如例如电话12）和服务器18使用以用于对分别地要发送到服务器18和设备的数据加密的共享密钥。

服务器存储器182优选地存储用于访问由服务器18管理的服务的规则。

针对每个客户端设备，用于访问服务的规则可以包括有资格访问服务的（一个或多个）用户简档、银行帐号的预定最小金额、预定义的最小年龄和/或（一个或多个）其它访问条件。

考虑用于访问服务的规则从而禁止或授权对相关服务的访问。

服务器存储器182存储交易修改应用，作为服务器18所支持的发明应用。

为了修改完整的（合适的）交易数据，服务器18可以：

-去除完整的交易数据的一个或若干字符；

-用另一错误字符（比如例如随机字符）来单独地替换完整的交易数据的一个或若干合适的字符；和/或

-向包括在完整的交易数据内的字符系列添加一个或若干字符。

服务器18使用接收到的客户端设备标识符，从而检索相应密钥和签名生成算法，其与客户端设备相关联并被服务器对话者用来生成也将被服务器18接收的签名。

（一个或多个）标识符可以包括客户端证书，作为独立于任何移动网络运营商的标识符。

替代地或另外，所述（一个或多个）标识符可以包括国际移动订户身份（或imsi）、用户标识符、银行帐号和/或移动站国际订户目录号（或msisdn）。

所述（一个或多个）标识符可以由客户端设备本身、本地连接或耦合到客户端设备的设备和/或通信网络的涉及或连接到被用于向服务器18传输数据的（一个或多个）实体提供。

服务器存储器182存储签名生成应用。

服务器18通过使用完整的（合适的）交易数据、签名生成算法和签名生成密钥来生成涉及完整的交易数据的（数字）签名，作为第一签名s1和要匹配的参考。

服务器18被配置成接收可能伴有提议的经修改的且完整的（合适的）交易数据的提议的签名。

一旦服务器18接收到源自于客户端设备（比如例如电话12）的提议的签名，服务器18验证该提议的签名是否与作为预期和参考签名的第一签名s1匹配。

服务器18因此将提议的签名与第一签名s1进行比较。

如果提议的签名与预期签名不匹配，则服务器18未能验证签名且不授权执行相应交易。在每个签名验证失败之后，服务器18可以使最初被设置成初始值（比如例如零）的批准计数器增加，从而授权客户端设备执行一个或若干附加尝试。在达到预定阈值（或t）之前，服务器18可以进行一个或若干动作以用于实现风险管理机制。一旦计数器达到预定t，在必须不超过的预定数目的授权尝试之后，服务器18通过例如不传输任何交易授权来中止发起的交易。

替代地，代替使批准计数器增加，服务器18使最初已被设置成预定初始值（比如例如必须不超过的用以获得涉及经修改的且完整的（合适的）交易数据的（有效）签名授权尝试的预定数目）的计数器进行倒计数。

否则，即如果提议的签名与预期签名s1匹配，则服务器18成功验证涉及经修改的且完整的（合适的）交易数据的签名并授权执行发起的交易。一旦签名被成功地验证，服务器18就随后向客户端设备（比如例如电话12）、另一关联设备（比如例如pc14）和/或另一服务器（未表示）发送涉及交易的成功的一个或若干消息。

图2示出了涉及到用户11、电话12、pc14和服务器18的消息流程20的示例。

假设在客户端侧将电话相机128用于获得源自于服务器18的部分交易数据。

首先，pc用户11通过使用pc14mmi经由pc14浏览器和（web）页面来访问服务器18（或另一服务器（未表示）），从而发起交易。

然后，用户11通过使用pc14mmi经由pc14浏览器和同一或另一页面来提供21完整的交易数据的至少部分，从而获得完整的交易数据。用户11可以提供例如涉及她/他的银行帐号的交易数据作为涉及支付者的银行帐号。

服务器18（或另一服务器（未表示））可以通过（一个或多个）经下载的页面来提供完整的交易数据的部分，比如例如涉及收款人的银行帐号。

pc浏览器聚集涉及支付者的交易数据、涉及收款人的交易数据以及涉及要因此被用户11访问的（一个或多个）产品和/或（一个或多个）服务的交易数据。

一旦由用户11完成，pc14和更确切地pc浏览器向服务器18发送22完整的（合适的）交易数据。

在优选实施例中，pc14进一步向服务器18发送电话号码，作为msisdn和涉及用户电话12的标识符。

例如，完整的（合适的）交易数据例如为以下：

其中以下数据字段：

-“国际转账”表示交易操作的类型；

-“日期”是产品购买的日期；

-“来自账户”表示涉及支付者（即用户11）的银行账户；

-“到账户”表示涉及收款人（即服务器18或另一服务器（未表示））的银行帐户；以及

-“金额”表示交易金额。

服务器18修改24完整的交易数据。

假设服务器18通过去除一些预定义字符并在其中存在缺失或错失字符的每个位置处添加预定字符（比如破折号）来修改完整的交易数据。破折号被用于提示用户用合适的（预期的）字符进行修改，例如在所描述的实施例中即填充（或完成）它。

一旦服务器18已经修改了完整的交易数据，则相应结果是部分交易数据。部分交易数据例如为以下：

根据特定实施例（未表示），服务器18基于结果得到的部分交易数据而生成qr代码。

服务器18向pc14发送26涉及结果得到的部分交易数据的数据，比如例如生成的qr代码。

替代地，服务器18用明文数据向pc14发送结果得到的部分交易数据。

pc14通过pc浏览器来显示qr代码，作为涉及结果得到的部分交易数据的数据。

替代地（未表示），服务器18直接地向电话12发送qr代码。

根据另一实施例（未表示），服务器18用明文数据或者以加密方式向电话12发送结果得到的部分交易数据。

服务器18通过使用（接收到的）完整的交易数据、签名算法和密钥来生成28（并存储）涉及完整的（合适的）交易数据的签名s1，作为预期和第一签名。与电话12共享签名算法和密钥。第一签名s1是第一密码。

用户11通过使用她/她的电话12来扫描qr代码，从而获得29接收数据。

电话12对qr代码解码并可能进一步对已解码的（经编码的）数据解密。

电话12获得部分交易数据。

电话12通过电话mmi请求210用户11修改（例如，在所描述的实施例中即完成）部分交易数据。

用户11读取部分交易数据并检索用户11知道的每个缺失字符。

用户11通过例如添加可以通过使用预定字符类型（比如例如粗体字符）来表示的每个错失字符而通过电话mmi来修改212部分交易。

因此，部分交易数据的用户修改允许获得提议的经修改的且完整的交易数据。

然后，电话12通过使用提议的经修改的且完整的交易数据、共享的签名算法和共享的密钥来生成214涉及提议的经修改的交易数据的第二签名s2。第二签名s2是第二密码。

一旦生成了第二签名s2，电话12就通过电话mmi（或外部mmi）向用户呈现第二签名s2。

可选地，在发送第二签名s2之前，电话12通过使用涉及服务器18的公共密钥或者在电话侧处和服务器侧处存储的共享密钥对第二签名s2加密。

用户11通过pcmmi来输入或键入216第二签名s2。

然后，pc14向服务器18发送218第二签名s2。

替代地，代替pc14，电话12直接向服务器18发送消息（未表示），比如例如短消息服务（或sms）、一个多媒体消息服务（或mms）和/或电子邮件，其包括可能用加密方式的第二签名s2和电话12的标识符，比如例如msisdn。服务器18因此能够将接收到的第二签名s2与发起的（未决的）交易会话相关联。

可选地，服务器18通过使用涉及服务器18的私有密钥或在电话侧处和在服务器侧处存储的共享密钥对经加密的第二签名执行数据解密。

一旦服务器18接收到第二签名s2，服务器18就验证220第二签名s2是否与第一签名s1匹配。

只有当第二签名s2与第一签名s1匹配时，然后服务器18才授权222所请求的交易。

否则，即如果第二签名s2与第一签名s1不匹配，则接收到的签名不是有效的，并且服务器18禁止所请求的交易或者实现风险管理机制。

本发明解决方案是安全的，因为用户11必须在修改提议的部分交易数据之前实际上将其读取，并且至少电话12被服务器18认证为提议的经修改的交易数据的发送者。