专利名称:特别利用移动电话的电子商务的支付担保方法及实施该方法的系统的制作方法
特别利用移动电话的电子商务的支付担保 方法及实施该方法的系统
本申请是于2002年7月11日提交的PCT国际申请的分案申请 国际申请号(PCT/FR02/02452)、国家申请号(02817877.7 )、发明名统"。
本发明涉及在采用诸如微型计算机、移动电话或个人助理的电子 设备执行的电子商务环境中对零售商担保支付(guaranteeing payment)的一种支付方法。
电子商务包括使用通过网络连接到零售商的电子设备的电子设 备向零售商发送订单。
当今有越来越多的商务活动是通过因特网Internet完成的。
这样会遇到两个问题。
的,即通过网络进行的。
第一个问题是为支付者提供安全性,因为支付者必须传送其信用 卡或银行帐号,才能从他的帐户收款。
第二个问题是为卖主(即,给消费者提供商品或服务的零售商) 提供支付担保。
下面处理这第二个问题。
现在将具体描述利用移动电话的支付机制。
零售商向一个金融机构发送支付请求,该金融机构将这一请求发 送给移动电话操作员。支付者在其移动电话上接收短SMS信息,他输 入其识别码(PIN码),并且利用记录在电话的用户识别卡(SIM卡)中 的一个密钥为这笔交易签名(sign)。电话操作员的服务器验证此签 名,并且向金融机构发送一个认可。该支付是由金融机构管理的。
这种支付手段(circuit)的缺点在于用于交易签名的鉴别密钥 是由移动电话操作员产生的并且该电话操作员知道此鉴别密钥。这就 意味着金融机构不能为零售商提供担保支付,因为这种签名可以由第三方复制。
缺乏对商人的支付担保是这种机制的主要缺点。
第二种已知的解决方案是通过Internet支付的M0T0支付系统。 此M0T0系统Mail Order Telephone Order是通过Internet完成支 付的最简单的系统。这是因为该系统包括在订购时(在电话上)利用声 音或通过Internet向零售商传送信用卡号。这种解决方案需要有诸 如PC的电子设备,并且当然对于使用移动电话达成的交易能够进行 复制。
这种方法的缺点在于零售商无法验证卡的真实存在,因为此卡的 持有人的鉴别不是在交易期间完成的。同样,在这种情况下,不能保 证对零售商的担保支付。然而,不幸地,全世界针对刚才描述的这种 MOTO支付系统存在大量的欺诈行为。
第三种已知的解决方案是在Internet上的支付;也就是SET程 序Secure Electronic Transaction (安全电子交易)。这种程序 对应着由诸如Visa、 Mastercard、 Europay和IBM的公司的国际财团 建立的支付协议。SET协议是Internet商务所专用的,并为零售商提 供担保支付。这种解决方案需要逻辑实施,这对于零售商的服务器和 加载支付者的凭证(certificate)都是很大的负担。
这种方法的缺点在于需要大量的逻辑运算,因而不可能在诸如个 人助理或GSM移动电话等等的便携式设备上或在新技术的WAP电话上 实现。
自然,还有在电子商务之外惯用的第四种方案,它包括在零售商 处使用信用卡直接支付。这种方案显然不适合远距离支付。
如上所述的MOTO (Mail Order Telephone Order)系统是用于远 距离支付的传统方法J吏用MOTO系统通过Internet和移动电话网络
于这种购买方式,认为不存在支付卡,并因此银行不能^保对曰零售商 的支付。
能够为零售商提供支付担保的唯一标准方案是用于电子商务的 SET方案。然而,如上所强调的,这种解决方案需要大量的逻辑实施 措施来为支付者加载凭证,并且这种解决方案的推广仍然非常慢。
当今的所有支付方案特别是采用移动电话的方案均有技术上的缺点。
所建议的解决方案使之有可能对商品和服务进行支付。这完全与
用于"下定单"的渠道(即,Internet上的微型计算机(PC))或在 商店、移动电话、固定电话、个人助理、或邮寄中的"面对面"渠道 无关。
在银行信用卡还不够发达的那些国家也能够使用该解决方案。 本发明的目的是去除上述缺点。
本发明涉及使用电子支付设备的用于支付的一种"全球线路 (global circuit),,,为零售商提供支付担保。
这是因为该解决方案用于补救提供基于现有技术的方案但又在 通信联系的销售情况中显著限制欺诈行为所带来的问题。
该方案更具体包括提供两个密钥用于鉴别支付者,一个密钥专用 于电话操作员,一个密钥专用于金融实体。金融机构可以是银行或任 何其它团体,例如保险公司。然而,为了简化在下面以银行和银行密 钥为例。
两个密钥使之有可能产生两个凭证certl和cert2。 用于交易的凭证表示明确地识别交易和参与方(实际上是消费者 和零售商)特性并证明消费者已经被鉴别的一组数据。实际上,这是 数据代表交易和零售商(数量,日期,零售商标识符,使用的货币等等) 及对这些数据的影响计算的电子签名(即,摘要)的情况,并且保证交 易的完整性和鉴别消费者。
凭证certl因此利用密钥Kl获得,而cert2利用密钥K2获得。
以下不再关注凭证和电子签名。
电话操作员只能利用操作员密钥来验证凭证。
只有SIM卡持有者的银行(消费者的银行)才能核实利用其专用 密钥产生的凭证。因而,具有根据不同的密钥产生的两个凭证,其中 一个密钥是银行密钥。零售商或电话操作员不能复制银行专用的凭证, 这是因为他们没有银行密钥。考虑由银行组织对零售商保证支付。
这需要以安全方式例如在SIM卡中加载签名密钥,而不用电话操 作员介入。
本发明具有以下优点
-不需要修改银行授权网络。仅仅在支付者(在上述示例中是SIM卡的持有者)有争议的情况下才由银行组织来核实利用银行密钥产生 的签名。
-不需要修改SIM卡的个性化的通常技术。仅仅需要添加加载链 接到数字签名(银行密钥)的保密数据的程序。 -为零售商提供支付担保。
-不需要改变移动电话来实现这种担保支付机制。 -这种方案还能用于允许电子商务的其它网络在Internet上购 物,利用声音订单购物以及从移动电话网络(GSM或其它网络)支付。
本发明的目的因此是利用操作员的网络和金融组织使用通信装 置为零售商提供一种电子支付的方法,其主要特征在于,在交易时产 生两个凭证,一个凭证使用操作员密钥,另一个使用银行密钥,将第一 凭证发送给操作员,并且以安全方式将另 一凭证置于金融组织的控制 下。
按照一种变形,凭证是利用智能卡产生的,并且第二凭证被存储 在此卡上。
按照另一种变形,第二凭证被发送给操作员,操作员在金融组织 的控制下和/或在金融组织的批准下将此凭证存储在数据库中。
按照另一种变形,利用智能卡或操作员将第二凭证发送到银行。 按照一种实施方式,支付装置是移动电话。
有利地,移动电话包括用户识别智能卡(例如,GSM网络的SIM 卡,CDMA网络的UIM, 3G网络的USIM),而电信操作员的网络装备有管 理和开发票(invoicing)服务器,该方法包括以下步骤
-对于移动电话向电信操作员发送两个凭证,
-对于管理和开发票服务器根据第一凭证鉴别此卡的持有人,并 且向金融组织发送一个支付授权。
本发明的另一目的涉及一种包括用于接入网络装置的电子支付 设备,其主要特征在于,包括至少两个密钥,一个操作员密钥Kl和一 个银行密钥K2,用于产生代表一笔交易的两个凭证。
按照本发明,电子支付设备包括微型计算机或移动电话或个人助理。
有利地,该设备构成带有电子芯片的安全媒体。 按照一个实施例,该设备能够产生凭证。本发明的另一目的是连接到电信操作员网络的一种管理和开发 票服务器,用于为在网络上利用电子支付手段执行电子交易的消费者 开具由零售商提供的商品或服务的发票,其主要特征在于,包括处理 与交易有关的操作员凭证的装置,并且包括置于有关所述交易的银行 凭证控制之下的装置。
从以下参照附图利用非限制性实施例给出的说明就能理解本发
明的其它特征和优点,在附图中
图1表示为了许可电子商务对于使用消费者的银行和他的电话 操作员登记消费者的阶段在消费者设备、他的银行以及电话操作员之 间的交换;
图2表示对于卡个性化阶段在银行的设备、智能卡个性化中心和
移动操作员之间的交换;
图3表示交易期间在消费者的设备、他用来登记的电话操作员的 设备与银行的设备之间的交换;
图4表示消费者对支付有争议的情况下在所有参与者之间的交换。
以下所述的例子涉及采用移动电话的电子商务。所建议的解决方 案采用SIM ToolKit(STK)支付应用,即,加载到SIM卡中的一种STK 应用程序。
SIM TooUU支付应用程序在卡个性化步骤中被加载到消费者的 SIM卡中。这一程序还可以用无线网络下载,这取决于所^使用的SIM 卡的技术特性。
一旦启动这一应用,拥有此卡的银行就能利用预定发送给装备有 这种卡的移动电话的SMS短消息执行格式化、签名和发送支付请求。
在消费者出示支付PIN之后,为持卡人(以下也称为消费者)所执 行的交易签名。用来产生凭证以及在这种情况下产生签名的算法被存 储在卡的程序存储器中。这种算法可以采用带有DES或3DES算法的 对称密码系统或带有RSA算法的不对称密码系统的算法。
需要说明的是,在与零售商进行交易期间,销售读卡设备的要点 是执行两个主要安全功能鉴别涉及卡和读卡器的支付卡以及鉴别此 卡的持有人。
在移动电话领域,银行卡的鉴别是基于消费者的初步登记,这是
8一次全部执行的。在这一登记步骤期间在参与者的各项设备之间执行 的交换如图l所示并在以下进行说明。
另外,持卡人的鉴别是在每次交易时通过或至少利用持卡人专用
的识别代码来执行的,这种代码必须由持卡人输入。这种也被称为PIN 代码(个人识别号码)的识别代码在以下的说明中称为银行代码,因为 它是由银行提供给其消费者的。现在应该注意到,所述的银行密钥不 能与PIN代码混淆,后者不同于银行密钥而是用来保护对银行密钥的 存取。
利用图1表示消费者登记的功能机制。
如上所述,STK程序优选在个性化时由卡制造商加载到SIM卡中。 这一程序可以(通过空中Over The Air)下载到任何销售点的终端上。 然而,只要没有在参与支付线路的组织机构登记,消费者就不能使用 这种支付应用软件。
登记的主要目的如下
-确保由消费者提供的银行数据是有效的(例如,需要记账的账户 的账户信息或所使用的银行卡的号码及其届满日期)。这一信息或通 过电子方式或通过邮局发送。为此,消费者(通过安全电子或纸件链接) 向其银行传送一个表格。这一传送在图1中是用设备A和B之间的交 换表示的。
-在消费者银行的数据库10中并且在电信操作员的设备C的管理 和开发票系统20上存储银行卡数据和电话号码。 -允许消费者获知银行识别代码PIN代码。
消费者必须填写一个纸件或电子表格并且要将其传送给他的银 行。随后能鉴别消费者卡。
发卡银行负责鉴别持卡人。接着,通过必须被双方(即,银行和电 信操作员)接纳的鉴别机制,银行必须通知有关的电信操作员。
电信操作员随后能够通过无线链接启动STK支付应用软件。这可 以在本地(例如通过电话)通过专用的STK菜单和启动代码(这可以是 银行识别代码(PIN代码))来执行。持卡人在这一阶段知道他的代码 并且能通过其移动电话的键盘输入这一代码。
如上所述,一旦登记,消费者需要知道银行识别代码,即他的PIN 代码,以便随后使用它来执行电子商务。另外,这一银行识别代码在
9建议的方法中还是保密的,因为需要启动对交易的签名。如此来保护
对存储在SIM卡中的签名密钥K1,K2的存取。
然而,为了提供支付担保,银行必须保证这一 PIN代码(银行识别 代码)不为电信操作员所知。以下具体说明这一代码和签名密钥Kl与 K2的管理。
图2表示导致在SIM卡的个性化过程中产生PIN代码并产生签名 密钥Kl和K2的步骤的一种可能方案。
在这一步骤(产生密钥),不知道终端消费者。使用由银行100产 生的主识别代码使PIN代码多样化(diversify)。然后,个性化中心 400根据主代码的PIN码和卡的个人号码(也就是ICCid代码(卡中 的集成电路的识别号码))或才艮据SIM卡的IMSI (International Mobile Subscriber IdentifierM戈码或与SIM卡有关的4壬<可其它可 能的标识符产生PIN代码。这些代码是消费者对国际移动电话网络的 识别代码。
在必要时,借助于专用软件和ICCid或SIM卡的IMSI代码,发卡 银行能够计算出银行识别代码(PIN代码),并且用电子邮件将其发 送给持卡人。
从后者推导出的较佳方案的基础是采用主识别代码和消费者电 话号码的多样化。
可选择地,终端消费者能修改银行代码(就象对移动电话的情
况)。然而,在这种情况下,这种非确定性代码都是由发卡银行而不是
由电信操作员管理的。
现在将具体说明交易的管理。
在图3表示在三个参与者(即持卡人,电话操作员和银行组织) 的设备A, B, C中进行的变化机制的功能性框图。
管理和开发票系统20通过能够将此信息转换成SMS短消息(2) 的服务器21或由预定用于移动电话的移动设备所支持的任何其它移 动传送协议向移动电话2传送一个支付要求(1)。
移动电话的拥有者或持卡人接受此交易并且为此而输入其PIN 代码。这样就会启动计算与所接受交易的特征数据有关的两个签名的 程序。
由移动电话向服务器21发送一个SMS消息。该消息包含凭证certl和cert2 (也就是交易的特征数据)以及SIM卡计算出的两个 签名。 一个签名是用密钥Kl计算的,另一个是用密钥K2计算的。
如上所述,每个消费者有两个个人签名密钥,用来产生有关交易 特征的签名。 一笔交易的数据特征例如是交易的数量、日期、时间、 零售商的标识和电话号码。
为了防止电信操作员产生伪造的交易,保密的银行密钥必须不能 为电信操作员所知。如上所述,密钥K2的使用利用SIM卡内的PIN代 码来保护。
支付请求的管理可以利用具有脱机确认的常规M0T0系统来执行。
这是因为在电话操作员和接收银行之间交易能够作为常规M0T0 交易来执行。
移动电话操作员还必须将包括数字签名certl的数字交易的数 据存储在一个专用数据库中。
对电信操作员的规定是在发生任何争议的情况下,都能将数字 交易的数字签名密钥cert2返回给消费者的银行。
所建议的解决方案的直接优点在于不需要修改对支付授权请求 的现有基础机构。
然而,在持卡人有争议的情况下,这种争议必须按不同的方式来管理。
数字签名cert2是持卡人的支付证据。
权利要求
1.一种利用用于接入包括在移动电话运营商的电信网络内的服务器的装置来对零售商进行电子支付的方法,其特征在于该方法包括以下步骤-在事务处理的时候,使用运营商密钥产生第一凭证,并且使用银行密钥产生第二凭证,-将第一凭证发送给服务器,-以安全的方式存储第二凭证,以及在有任何争议的情况下,验证第二凭证。
2. 按照权利要求1的电子支付方法,其中智能卡产生第一和第二 凭证,并且其中智能卡存储第二凭证。
3. 按照权利要求1的电子支付方法,其中用于接入服务器的装置 将第二凭证发送给服务器,该服务器在银行的控制下和/或利用银行 的批准将第二凭证存储在数据库内。
4. 按照权利要求3的电子支付方法,其中服务器将第二凭证发送 给银行,并且银行在电信网络之外。
5. 按照权利要求1的电子支付方法,其中用于接入服务器的装置 是移动电话。
6. 按照权利要求5的电子支付方法,其中移动电话包括用户识别 智能卡,以及其中移动电话运营商的电信网络装备有开发票服务器, 以及该电子支付方法进一步包括以下步骤-移动电话向所述服务器发送第一和第二凭证, -所述服务器发送第一和第二凭证给开发票服务器,以及 -开发票服务器根据第一凭证来鉴别此卡的持有者,并且向银行 发送支付授权。
7. —种电子支付设备,其特征在于该电子支付设备包括 -用于接入包括在电信网络内的服务器的装置; -用于存储至少两个密钥,即,移动电话运营商密钥Kl和银行密钥K2的装置;-用于分别根据移动电话运营商密钥Kl和银行密钥K2来产生代 表事务处理的第一和第二凭证的装置;-用于将第一凭证发送给外部服务器的装置;和-用于以安全的方式存储第二凭证的装置,在有任何争议的情况 下,由银行使用第二凭证,银行在电信网络之外。
8. 按照权利要求7的电子支付设备,其中所述设备包括个人计算 机或移动电话或个人助理。
9. 按照权利要求7的电子支付设备,其中所述设备包括具有电子 芯片的安全媒体。
10. —种开发票服务器,连接到包括在移动电话运营商的电信网 络内的服务器,用于给至少一个消费者开具由零售商提供的商品或服 务的发票,该至少一个消费者借助电子支付装置用包括在电信网络内 的所述服务器来执行电子事务处理,其特征在于所述开发票服务器包 括用于处理与事务处理有关的移动电话运营商凭证的装置,和 用于以安全的方式存储与所述事务处理有关的银行凭证的装置。
全文摘要
本发明涉及采用操作员网络和金融机构(银行,保险公司等)使用通信装置的零售商的电子支付方法。按照本发明,在交易期间产生两个凭证;一个凭证使用操作员密钥,另一个使用银行密钥。将第一凭证发送给操作员,而另一凭证被安全地置于金融组织的控制下。
文档编号G06Q20/00GK101655951SQ200910152118
公开日2010年2月24日 申请日期2002年7月11日 优先权日2001年7月12日
发明者B·韦尔梅勒, C·科尔尼隆 申请人:格马尔托股份有限公司