专利名称:用于建立通信的方法、服务器、商户设备、计算机程序和计算机程序产品的制作方法
技术领域:
本发明涉及在商户设备和安全元件中的客户支付应用之间建立通信,所述安全元件被适配用于包含在移动通信终端中。
背景技术:
在若干移动通信标准(例如GSM和UMTS)中,每个移动通信终端与智能卡(如订户标识模块(SIM)卡或通用集成电路卡(UICC))联系。智能卡提供比移动通信终端本身的通用执行环境更安全的执行环境。事实上,当前已经开发了等同的结构,以允许存储卡中的安全执行环境插入移动通信终端中或甚至插入移动通信终端中的嵌入式存储器中。这种环境因此可以充当安全元件。GlobalPlatform (见 http: IIwm. globalplatform. org)在提交此专利申请时,提·供了针对安全元件的标准和结构以及安全元件上的应用。安全元件允许安装一个或更多个应用,如用于支付的应用。例如,个人可以同时安装VISA借记卡应用和MasterCard信用卡应用。于是用户可以例如使用称为Europay-Mastercard-Visa(EMV)协议的协议、借助读取器使用近场通信(NFC)以及可选地使用移动通信终端的用户界面,实现支付。使用具有近场通信(NFC)功能的移动电话能够实现销售点(PoS)设备处的无接触支付,例如借助安全元件中的卡应用和销售点终端之间的EMV协议。然而,现有技术中不存在一种结构,允许用户验证正在与之发生交易的商户的授权。因此,欺骗性的商户有可能可以掌握安全元件上的信息或者甚至执行欺骗交易。
发明内容
本发明的目的是使得能够避免未授权访问安全元件上的客户支付应用。根据本发明的第一方案,提出了安全服务器,被布置用于建立商户设备和客户支付应用之间的通信。所述安全服务器包括接收机,被布置用于从商户设备接收第一消息,所述第一消息包括客户标识符、指示所述客户支付应用的应用标识符和针对所述商户设备的安全令牌;确定器,被布置用于使用安全令牌确定商户设备是否得到所述客户支付应用的方案提供商的授权;发射机,被布置用于仅当确定所述商户设备得到所述方案提供商的授权时,向商户设备发送第二消息,所述第二消息指示授权所述商户设备使用所述客户支付应用实现支付;以及通道建立器,被配置用于当确定所述商户设备得到所述方案提供商的授权时,建立所述商户设备和安全元件中的所述客户支付应用之间的安全通道,所述安全元件被适配用于包括在移动通信终端中,其中所述安全服务器控制所述商户设备和所述客户支付应用之间的所有通信。换句话说,通过使用所述安全令牌确定所述商户设备得到授权。仅当确定所述商户设备得到授权时,继续进行所述支付处理。这防止未授权商户设备启动交易,从而防止访问所述支付应用。
所述通道建立器可以被布置使得所述商户设备和所述客户支付应用之间的所有通信都被建立为经由所述安全服务器传递。这提供了更强的安全性,因为这可以更直接地避免所述商户设备与所述客户支付应用直接地通信。所述安全令牌可以包括商户证书,并且所述确定器被布置用于通过确定所述商户证书是否由所述方案提供商发布,来确定所述商户设备是否得到授权,其中所述方案提供商充当证明机构。也可由中间方发布所述商户证书,所述中间方自身具有由所述方案提供商发布的证书。备选地,可以存在若干个中间方。所述客户标识符可以包括电话号码、电子邮件地址或网络接入标识符。 所述应用标识符可以包括指示应用的文本串、应用的前缀或唯一应用标识符。 所述确定器可以被布置用于仅当所述商户设备对所述第一消息进行数字签名并且所述商户的所述标识符与所述安全令牌的标识符匹配时,确定所述商户设备得到授权。所述确定器可以被布置用于仅当所述安全令牌具有有效日期范围时,确定所述商户设备得到授权,所述有效日期范围涵盖接收到所述第一消息的日期。所述第一消息可以包括多个应用标识符,每个应用标识符指示多个客户支付应用中的相应的客户支付应用;并且所述确定器还可以被布置用于确定要使用所述多个客户支付应用中的哪一个客户支付应用来实现支付;以及所述第二消息可以包括要使用的所述客户支付应用的标识符。换句话说,所述安全服务器确定使用多个客户支付应用中的哪一个客户支付应用。所述安全服务器可以还包括提示器,被布置用于向与所述客户标识符对应的移动终端发送提示消息,以提示要使用哪个客户支付应用;以及用于从所述移动终端接收消息,所述消息指示要使用多个客户支付应用中的哪一个客户支付应用。这允许所述客户针对每个交易选择使用哪个客户支付应用。所述第一消息可以包括文本消息;并且所述提示消息可以包括所述文本消息。因此当选择客户支付应用时,可以向所述客户呈现所述文本消息,例如以指示卖主、数量和/或项目细节。所述确定器可以还被布置用于读取数据库,所述数据库指示要使用多个客户支付应用中的哪一个。客户可以例如指示优先级或优选客户支付应用的列表,由此所述客户不需要针对每个交易选择客户支付应用。本发明的第二方案是用于建立商户设备和客户支付应用之间的通信通道的方法,所述方法在安全服务器中执行。所述方法包括在所述安全服务器中执行的以下步骤从商户设备接收第一消息,所述第一消息包括客户标识符、指示所述客户支付应用的应用标识符、和针对所述商户设备的安全令牌;使用安全令牌确定商户设备是否得到所述客户支付应用的方案提供商的授权;仅当确定所述商户设备得到所述方案提供商的授权时,向商户设备发送第二消息,所述第二消息指示授权所述商户设备使用所述客户支付应用实现支付;以及建立所述商户设备和安全元件中的所述客户支付应用之间的安全通道,所述安全元件被适配用于包括在移动通信终端中,其中所述安全服务器控制所述商户设备和所述客户支付应用之间的所有通信。设置安全通道的所述步骤可以包括经由所述安全服务器传递所述商户设备和所述客户支付应用之间的所有通信。
所述安全令牌可以包括商户证书,并且所述确定步骤可以被布置用于通过确定所述商户证书是否由所述方案提供商发布,来确定所述商户设备是否得到授权,其中所述方案提供商充当认证授权机构。所述客户标识符可以包括电话号码、电子邮件地址或网络接入标识符。所述应用标识符可以包括指示应用的文本串、应用的前缀或唯一应用标识符。所述确定步骤可以包括仅当所述商户设备对所述第一消息进行数字签名并且所述商户的所述标识符与所述安全令牌的标识符匹配时,确定所述商户设备得到授权。所述确定步骤包括仅当所述安全令牌具有有效日期范围时,确定所述商户设备得到授权,所述有效日期范围涵盖接收到所述第一消息的日期。所述第一消息可以包括多个应用标识符,每个应用标识符指示多个客户支付应用(5a、5b)中相应的客户支付应用,其中所述确定步骤包括确定要使用所述多个客户支付应用(5a、5b)中的哪一个客户支付应用来实现支付;以及其中所述第二消息包括要使用的所·述客户支付应用(5a、5b)的标识符。所述方法可以包括提示步骤,包括向与所述客户标识符对应的移动终端(10)发送提示消息,提示要使用哪个客户支付应用;以及从所述移动终端(10)接收消息,所述消息指示要使用多个客户支付应用(5a、5b)中的哪一个。所述第一消息可以包括文本消息;并且所述提示消息可以包括所述文本消息。所述确定步骤可以包括读取数据库,所述数据库指示要使用多个客户支付应用(5a、5b)中的哪一个。本发明的第三方案是计算机程序,所述计算机程序包括能够在安全服务器的控制器中执行的计算机程度代码。当运行所述控制器时,所述计算机程序代码使所述安全服务器执行以下步骤从商户设备接收第一消息,所述第一消息包括客户标识符、指示所述客户支付应用的应用标识符和针对所述商户设备的安全令牌;使用所述安全令牌确定商户设备是否得到所述客户支付应用的方案提供商的授权;仅当确定所述商户设备得到所述方案提供商的授权时,向商户设备发送第二消息,所述第二消息指示授权所述商户设备使用所述客户支付应用实现支付;建立所述商户设备和安全元件中的所述客户支付应用之间的安全通道,所述安全元件被适配用于包括在移动通信终端中,其中所述安全服务器控制所述商户设备和所述客户支付应用之间的所有通信。本发明的第四方案是计算机程序产品,所述计算机程序产品包括根据所述第三方案的计算机程序和存储所述计算机程序的计算机可读装置。本发明的第五方案是商户设备,被布置用于接收所述商户设备的授权,并且被布置用于与接收到指示购买期望的输入结合使用。所述商户设备包括客户标识符获取器,被布置用于获取客户标识符;发射机,被布置用于向安全服务器发送第一消息,所述第一消息包括通过所述客户标识符获取器获取的所述客户标识符、指示客户支付应用的应用标识符、和针对商户设备的安全令牌;接收机,被布置用于从所述安全服务器接收所述第二消息,仅当确定所述商户设备得到方案提供商的授权时接收所述第二消息,其中所述客户支付应用包括在安全元件中,所述安全元件被适配用于包括在移动通信终端中;以及通道建立器,被布置用于与移动通信终端的所述安全元件建立安全通道,以使用所述客户支付应用实现支付。
所述第一消息的所述应用标识符可以与所述第二消息的所述应用标识符相同。所述第一消息可以包括多个应用标识符,每个指示相应的客户支付应用。所述第二消息可以包括针对所述第一消息的所述多个应用标识符的子集或全部的应用标识符,并且所述安全设备可以被布置用于使用与所述第二消息的所述应用标识符相关联的所述应用之一来实现支付。所述安全设备还可以被布置用于接收输入,当多个应用标识符的子集或全部是由多于一个的应用标识符构成时,所述输入指示要使用所述第一消息的所述多个应用标识符的子集或全部中的哪个来实现支付。所述通道建立器可以被布置用于与所述移动通信终端的所述安全元件在广域网上建立安全通道。
本发明的第六方案是用于接收商户设备的授权的方法,所述方法与接收到指示购买期望的输入相结合地在所述商户设备中执行。所述方法包括在所述商户设备中执行的以下步骤获取客户标识符;向安全服务器发送第一消息,所述第一消息包括所述客户标识符、指示客户支付应用的应用标识符、和针对商户设备的安全令牌;从所述安全服务器接收所述第二消息,仅当确定所述商户设备得到方案提供商的授权时接收所述第二消息,其中所述客户支付应用包括在安全元件中,所述安全元件被适配用于包括在移动通信终端中;以及与移动通信终端的所述安全元件建立安全通道,以使用所述客户支付应用实现支付。所述第一消息中的所述应用标识符可以与所述第二消息的所述应用标识符相同。所述第一消息可以包括多个应用标识符,每个指示相应的客户支付应用。所述第二消息可以包括针对所述第一消息的所述多个应用标识符的子集或全部的应用标识符,并且所述安全设备可以被布置用于使用与所述第二消息的所述应用标识符相关联的所述应用之一来实现支付。所述方法还包括接收输入的步骤,当多个应用标识符的子集或全部是由多于一个的应用标识符构成时,所述输入指示要使用所述第一消息的所述多个应用标识符的子集或全部中的哪个来实现支付。建立安全通道的步骤可以包括与所述移动通信终端的所述安全元件在广域网上建立安全通道。本发明的第七方案是计算机程序,包括能够在安全服务器的控制器中与接收到指示购买期望的输入相结合地执行的计算机程序代码。当在所述控制器上运行时,所述计算机程序代码使所述商户设备执行以下步骤获取客户标识符;向安全服务器发送第一消息,所述第一消息包括所述客户标识符、指示客户支付应用的应用标识符、和针对商户设备的安全令牌;从所述安全服务器接收第二消息,仅当确定所述商户设备得到方案提供商的授权时接收所述第二消息,其中所述客户支付应用包括在安全元件中,所述安全元件被适配用于包括在移动通信终端中;与移动通信终端的所述安全元件建立安全通道,以使用所述客户支付应用实现支付。本发明的第八方案是一种计算机程序产品,所述计算机程序产品包括根据所述第七方案的计算机程序和存储所述计算机程序的计算机可读装置。应当注意,所述第一、第二、第三和第四方案的任意特征可以合适地应用于这些方案的任意其他方案。类似地,所述第五、第六、第七和第八方案的任意特征可以合适地应用于这些方案的任意其他方案。应当注意的是每当使用术语“多个”,这里其可以被解释为多于一个。通常地,除非这里显式地定义,否则根据技术领域中术语的通常意思解释权利要求中使用的所有术语。除非显式地示出,否则所有引用“一个/该元件、装置、组件、装置、步骤等”应被解释为开放性的,如表示该元件、装置、组件、装置、步骤等的至少一个实例。除非显式地示出,否则不必须按照公开的精确顺序执行这里公开的任意方法的步骤。
参考附图通过示例的方式描述本发明,附图包括
图Ia是示出了本发明的实施例可以应用的第一环境的示意图;图Ib是示出了本发明的实施例可以应用的第二环境的示意图;图2a是示出了当客户使用图Ia-Ib的组件执行购买时第一实施例中的通信的时序图;图2a是示出了当客户使用图Ia-Ib的组件执行购买时第一实施例中的通信的时序图;图3a是示出了图Ia-Ib的商户设备的硬件组件的示意图;图3b是示出了图Ia-Ib的商户设备的功能模块的示意图;图4a是示出了图Ia-Ib的安全服务器的硬件组件的示意图;图4b是示出了图Ia-Ib的安全服务器的功能性模块的示意图;图5是示出了在图Ia-Ib的商户设备中执行的方法的流程图;图6是示出了在图Ia-Ib的安全服务器中执行的方法的流程图;图7示出了包括计算机可读装置的计算机程序产品100的一个示例;以及图8示出了图Ia-Ib的移动通信终端、图Ia-Ib的安全元件和安全元件上的应用之间关系。
具体实施例方式现在参考附图在下文中更充分地描述本发明,其中示出了本发明的特定实施例。然而,可以以很多不同形式实现本发明,并且不应当将其解释为限制于这里阐述的实施例;当然,通过示例的方式提供这些实施例,使得此公开会是周密的和完全的,并会充分地向本领域技术人员传达本发明的范围。在整个说明书中,类似数字表示类似元件。图Ia是示出了本发明的实施例可以应用的第一环境的示意图。客户15经由广域网14(例如因特网)与商户设备16联系。以此方式,客户15例如使用计算机13或移动通信终端10指示了实现向与商户设备16对应的商户购买的期望。实现购买的这一期望可以是例如使用网店、使用电话销售员或在实体店中买东西。在实体店的情况中,客户15可以例如接收用于使用NFC或2D条形码执行购买的URI (统一资源指示符),所述NFC或2D条形码可以位于要购买的产品上。然后,移动通信终端10可以使用广域网与例如如所提供的URI指向的商户设备16通信,以指示购买所考察产品的期望。移动通信终端10包括嵌入式安全元件12。移动通信终端10可以是任意合适便携式移动终端,如符合以下一个或更多个标准的移动(蜂窝)电话全球移动通信系统(GSM)、通用移动电信系统(UMTS)、宽带码分多址(W-CDMA)、码分多址-2000 (CDMA-2000)、移动多媒体自由接入(FOMA)、WiMax/IEEE 802. 16和/或长期演进(LTE)。备选地或另外地,移动通信终端使用任意合适的Wi-Fi协议(例如任意IEEE802. Ilx协议)与广域网14相连。在此上下文中的广域网14也包括允许移动通信终端10与广域网通信的组件。商户设备16是适于执行在下文中将更详细解释的方法的任意服务器。安全服务器18与商户设备16相连。典型地,安全服务器18与多个商户设备16相连,其中每个商户或商店具有至少一个商户设备16。商户设备16可以经由广域网14和/或通过一些其它方式(未示出)(例如直接局域网连接)与安全服务器相连。方案提供商19是交易的整体监督方。例如,方案提供商19可以是MasterCard或VISA或任意其他信用卡公司。当商户设备16和安全元件12需要通信时,这仅经由安全通道17a_b发生,其中安全服务器18控制此安全通道上的所有通信。安全服务器18进而与移动通信终端10和嵌入式安全元件12联系。换句话说,通过安全服务器控制商户设备16和安全元件12之间的通信,不经过安全服务器18批准,商户设备16和安全元件12之间没有通信可以发生。
·
图Ib是示出了本发明的实施例可以应用的第二环境的示意图。这里主要的区别是移动通信终端10不是通过广域网14 (例如通过移动通信网络)而是以一些其他方式联系安全服务器18。参考图Ia和图lb,本实施例涉及客户15向运行商户设备16的商户的付款。这是使用与上述移动电话捆绑的安全元件12上运行的支付卡应用来实现的。可以使用插入移动通信终端中的订户标识模块(SIM)卡或通用集成电路卡(nCC)、存储卡(例如SD)实现安全元件12,或者安全元件12可以直接地嵌入移动通信终端的存储器中。安全元件12及其应用通常不由客户15单独管理,而是由客户15具有收费关系(网络运营商、银行等)或其他关系(例如终端制造商)的一些应用所有实体管理。GlobalPlatform论坛已经提出了用于远程管理的智能卡规范套件,允许应用所有实体管理安全元件12上的应用。通常,多个应用在安全元件中共存,并由不同方管理。例如,网络运营商可以管理通用订户标识模块(USM)应用,银行可以管理一个或多个支付和/或标识应用,并且其他方管理其访问/支付/忠诚度应用。全球移动通信系统(GSM)协会(GSMA)和其他组织已经提出与安全元件接口的实体之间需要代理实体。这里在安全服务器18中实现部分此代理实体。图2a是示出了当客户使用图Ia-Ib的组件执行购买时第一实施例中的通信的时序图。客户15首先指示20实现对商户设备16付款的期望。这可以例如通过浏览网店并指示付款期望或向电话销售商同意支付服务或产品。在此步骤中,从客户15向商户设备16传送客户标识符,例如电话号码、移动订户集成服务数字网络号(MSISDN)、电子邮件地址或任意其他网络接入标识符。然后,商户设备16向安全服务器18发送消息22,该消息具有客户标识符和针对商户设备16的商户想要使用的一个或更多个客户支付应用的应用标识符(例如VISA、MasterCards American Express、Diners Club等)。应用标识符可以包括指不应用的文本串、应用的前缀或符合EMV的唯一应用标识符。此外,包括针对商户设备16的安全令牌,作为允许商户设备访问一个或更多个客户支付应用的证据。安全令牌包括方案提供商19或中间方之前已经向商户设备16发行的授权商户设备16用于一个或更多个客户支付应用的证书;针对每个方案提供商(例如VISA或MasterCard)提供一个令牌。例如,安全令牌可以包括遵从公钥基础设施的电子签名。以此方式,商户设备使用其私钥产生签名,安全服务器18可以借以(I)验证签名与安全令牌中写入的商户设备的公共密钥匹配,从而认证该商户;并且(2)通过验证标记的数字签名,检查过期时间,针对撤销列表和其他标准PKI操作进行确证,来验证安全令牌或证书是有效的,从而验证商户设备有权联系客户支付应用。通过使用安全令牌,客户15确信商户的商户设备16是获得证明的,从而仅使得授权的商户能够使用相应的支付应用,并显著地降低进行欺骗性交易的商户影响客户15的风险。然后,安全服务器18使用安全令牌验证23商户设备16被授权访问客户支付应用。可选地,安全服务器还可以在此处过滤由商户设备16提供的客户支付应用的列表。例如,从列表中移除在所考察的安全元件上不可用的客户支付应用或未被验证的客户支付应 用。然后,在安全服务器18执行任意过滤之后,安全服务器18向商户设备发送消息24,该消息具有针对允许商户设备16联系的一个或更多个客户支付应用的标识符。可选地,在此阶段安全服务器18可以与安全元件12建立一个或更多个安全支付通道,并将这种安全支付通道的句柄包括在发往商户设备的消息24中。如果发送了与不同客户支付应用相对应的若干令牌,商户设备16使用在先销售通道向客户15查询26使用哪个客户支付应用。例如,这可以通过针对网店的网络接口或通过电话销售员在电话中询问客户发生。然后,客户15选择28使用哪个客户支付应用。然而,应当注意,此查询26决不使用安全元件12。除非已经建立了支付通道,如上所述,商户设备16向安全服务器18发送消息30以建立至安全元件12的安全支付通道。然后,安全服务器建立安全通道并响应21于商户设备16以允许商户设备与安全元件12上的支付应用通信。如果之前将文本串或应用前缀用作应用标识符,则如果与客户支付应用进一步通信,安全服务器在此处传送商户设备可以使用的应用ID。然后,商户设备16与安全元件12上的确定的客户支付应用例如使用EMV协议进行通信34,以实现支付。尽管EMV协议自身已知,其到目前为止仅用于当安全元件插入销售点或通过使用NFC交互物理临近时商户设备和安全元件之间的直接通信。相反,在安全服务器18的控制之下实现商户设备16和安全元件12之间所有的通信。因为商户设备16仅在安全服务器18的控制之下与安全元件12通信,并且因为仅针对确定的客户支付应用得到授权的商户设备可以到达此阶段,可以避免欺骗性商户设备16访问安全元件12中的应用。此外,可以避免商户设备查询商户设备未被授权的应用。例如,如果允许商户设备和客户应用之间的直接通信,商户设备可以尝试联系各种客户应用,这危害客户的隐私。事实上,如果允许商户设备和客户应用之间的直接通信,可以公开仅特定客户应用的存在,这危害客户的隐私。可以使用例如SSL (安全套接字层)&和SCP80(安全通道协议80)实现安全通道。这允许商户设备16使用应用协议数据单元(APDU)以通过与确定的客户支付应用通信实现支付。图2b是示出了当客户使用图Ia-Ib的组件执行购买时第二实施例中通信的时序图。与图2a的实施例相比主要区别是安全服务器18确定使用哪个客户支付应用。通信信号20、22、24、34和处理23与图2a中的相对应。然而,在此实施例中,如果来自商户设备的消息22包含多个客户支付应用,安全服务器18在阶段23中确定使用多个客户支付应用中的哪一个用于交易提醒。这可以通过例如以下操作执行安全服务器通过Java MidLet、网络应用或在安全元件12上运行的分离的应用,向安全元件12发送消息35以向客户15查询36使用哪个客户支付应用。然后,客户15可以选择37使用哪个客户支付应用,此后此选择被传送38至安全服务器18。
作为示例,商户设备16指示22其可以使用VISA、MasterCard或AmericanExpress用于支付。然后,安全服务器18查询在客户15的移动通信终端上的数据库或触发逻辑,以确定用户仅具有VISA和MasterCard客户支付应用。向客户呈现用VISA或MasterCard进行支付的选择(即,使用VISA客户支付应用或MasterCard客户支付应用),借此用户使用移动通信终端10的用户界面选择使用VISA客户支付应用在安全元件12上支付。然后,商户设备16向安全服务器18发送消息30以建立至安全元件12的安全支付通道。安全服务器建立安全通道并响应21于商户设备16以允许商户设备与安全元件12上的支付应用通信。如图2a中示出的实施例那样,实现经由安全服务器18在商户设备16和安全元件12之间通信34。在一个实施例中,当来自商户设备16的消息22包含多个客户支付应用时,安全服务器18例如使用消息35和38从安全元件12获取允许客户支付应用的列表。在一个实施例中,安全服务器18在存储允许客户支付应用的这种列表的安全元件12上,查询非接触注册服务(CRS)(例如定义在GlobalPlatform卡规范修正案C中)。此时,客户15事先已定义了允许客户支付应用的列表。安全服务器18确定来自商户设备16的客户支付应用的列表和来自安全元件12的允许客户支付应用的列表的交集。此交集于是包含商户设备请求和客户15批准的所有客户支付应用。于是向商户设备16发送24此交集列表(可能包含0、1或更多个项目)并如上文所述随后使用该交集列表。图3a是示出了图Ia-Ib的商户设备16的硬件组件的示意图。控制器46用任意合适的中央处理单元(CPU)、微控制器、数字信号处理器等提供,能够执行计算机程序产品45 (例如具有存储器的形式)中存储的软件指令。计算机程序产品45可以是存储器或读写存储器(RAM)和只读存储器(ROM)的任意组合。存储器也包括持久存储器,持久存储器例如可以是磁存储器、光存储器或固态存储器或甚至远程安装存储器的任意单独一个或组
口 ο提供输入/输出(I/O)接口 40以允许商户设备16与其他组件(如安全服务器18)交互。I/O接口 40可以例如是网络接口,如以太网接口。商户设备16可以在用于网店的相同网络服务器中实现,或其也可以是独立的服务器。图3b是示出了图Ia-Ib的商户设备的功能性模块的示意图。可以使用商户设备的软件(如计算机程序)实现模块。所有模块取决于执行环境41,执行环境41利用控制器46以及可选地图3a的计算机程序产品45和I/O接口 40。客户标识符获取器42被布置用于获取客户标识符。客户标识符的源可以例如来自网店交易或来自移动通信终端的HTTP请求。发射机43被布置用于向安全服务器18发送第一消息,其中该第一消息可以包括由客户标识符获取器获取的客户标识符、指示客户支付应用的应用标识符和针对商户设备的安全令牌。这允许安全服务器对商户设备16进行认证。接收机47被布置用于从安全服务器18接收第二消息作为第一消息的响应。仅当通过方案提供商匹配客户支付应用的应用标识符确定安全标记针对客户支付应用得到授权时,接收第二消息。商户设备还包括通道建立器44,被布置用于与移动通信终端的安全元件建立安全 通道,以使用客户支付应用实现支付。仅在接收机47已经接收到第二消息后建立安全通道。于是可以使用安全通道在商户设备和客户支付应用之间实现支付。图4a示意性地示出了图Ia-Ib的安全服务器18的实施例。控制器50用任意合适的中央处理单元(CPU)、微控制器、数字信号处理器等提供,能够执行计算机程序产品52 (例如具有存储器的形式)中存储的软件指令。计算机程序产品52可以是存储器或读写存储器(RAM)和只读存储器(ROM)的任意组合。存储器也包括持久存储器,持久存储器例如可以是磁存储器、光存储器或固态存储器或甚至远程安装存储器的任意单独一个或组
入
口 ο提供输入/输出(I/O)接口 54以允许安全服务器18与其他组件(如商户设备16)交互。I/O接口 54可以例如是网络接口,如以太网接口。可选地,针对运营商使用安全服务器18提供用户接口(未示出)。另外地或备选地,可以使用接收机/发射机54远程地或本地地操作安全服务器18。例如为了可升级性、易实现性或冗余,可以将安全服务器18集成为一个单元或将其分离为若干个分离单元。在存在若干个单元组成安全服务器18的情况下,一些组件可以存在于多于一个单元(如控制器50、接收机/发射机54和/或计算机程序产品52)中。图4b是示出了图Ia-Ib的安全服务器的功能性模块的示意图。可以使用安全服务器的硬件和/或软件实现模块。所有模块取决于执行环境51,执行环境41使用控制器50以及可选地图4a的计算机程序产品52和I/O接口 54。接收机51被布置用于从上述商户设备接收第一消息。确定器53被布置用于确定商户设备是否被客户支付应用的方案提供商授权。这可以通过验证安全令牌包括方案提供商或中间方已经发行的证书完成。换句话说,可以使用公共密钥设施确定该匹配。发射机55被布置用于当安全令牌与客户支付应用的应用标识符匹配时,向商户设备发送消息。第二消息是与上文参考图3b描述的相同的第二消息。此外,安全服务器包括通道建立器57。仅当客户支付应用的方案提供商授权商户设备时,通道建立器可以建立商户设备和客户支付应用之间的安全通道。通过控制商户设备和客户支付应用之间的通信,通道建立器可以实现安全通道的此建立。备选地或另外的,所建立的通道可以确保所述商户设备和所述客户支付应用之间的所有通信是经由所述安全服务器传递的。这是与商户设备的通道建立器44合作执行的。以此方式,安全服务器控制商户设备和客户支付应用之间的所有通信。图5是示出了在图Ia-Ib的商户设备中执行的方法的流程图。可以使用图3b的模块实现此方法。该流程图与图2a_b的时序图相对应。在初始获取客户标识符步骤60中,例如通过网店中的客户输入或通过客户将标识符告诉销售员,销售员将标识符输入到商户设备16,商户设备接收指示购买期望的输入并获取客户的标识符。在向安全服务器发送第一消息的步骤62中,商户设备16向安全服务器发送包括客户标识符、一个或更多个客户支付应用的标识符以及安全令牌在内的消息。在从安全服务器接收第二消息的步骤64中,商户设备16从安全服务器接收消息,该消息包括允许商户设备16联系的一个或更多个客户支付应用的标识符。 在可选的接收哪个应用的输入的步骤65中,商户设备向客户查询使用多个客户支付应用中的哪一个以实现支付。最后,在建立与安全元件的安全通道的步骤66中,商户设备联系安全服务器18以建立与安全元件的安全通道,用来实现支付。在安全服务器18的控制下进行安全通道上的所有通信。图6是示出了在图Ia-Ib的安全服务器中执行的方法的流程图。该流程图与图2a-b的时序图相对应。在从商户设备初始接收第一消息的步骤70中,安全服务器从商户设备接收消息。第一消息包括客户标识符、一个或更多个客户支付应用的标识符以及安全令牌。在条件性确定安全令牌是否匹配的步骤72中,安全服务器检查客户支付应用的方案提供商是否授权该商户设备,以及第一消息的哪些客户支付应用(如果存在的话)与安全令牌匹配。如果不存在匹配,该方法结束,否则,该方法继续进行到可选的确定哪个应用的步骤74或者直接进行到向商户设备发送第二消息的步骤76。在可选的确定哪个应用的步骤74中,安全服务器18确定应当将哪个客户支付应用用于支付交易。如果仅存在一个经验证的客户支付应用,使用此客户支付应用。然而,如果存在多于一个客户支付应用,安全服务器18可以选择性地查询例如在存储器中存储的数据库表,以找到此特定用户已经安装了哪些客户支付应用。备选地或另外地,安全服务器18经由安全元件和/或移动通信终端向用户查询使用哪个客户支付应用。一旦要使用的客户支付应用已经建立起来,安全服务器18就向商户设备发送第二消息,指示要使用哪个客户支付应用。可选地,如果未执行确定哪个应用的步骤74,安全服务器18可以在此步骤中向商户设备发送多个客户支付应用标识符,并让商户设备确定要使用这些客户支付应用中的哪一个。在建立安全通道的步骤78中,安全服务器18基于来自商户设备16的指令,建立商户设备16和安全元件12之间的安全通道。图7示出了包括计算机可读装置的计算机程序产品100的一个示例。在此计算机可读装置上,可以存储计算机程序101,其中计算机程序可以使处理器执行根据这里描述的实施例的方法。在此示例中,计算机程序产品是光盘,例如CD(压缩盘)或DVD(数字多样化盘)或蓝光盘。如上所解释,计算机程序产品也可以实现为设备的存储器,例如商户设备16的存储器45或安全服务器18的存储器52。尽管计算机程序101这里示意性地示出为所绘制的光盘上的轨道,可以以合适于计算机程序产品的任意方式存储计算机程序。图8示出了图Ia-Ib的移动通信终端10、图Ia-Ib的安全元件12和该安全元件上的应用5a_b之间的关系。移动通信终端10包括用户接口,该用户接口包括例如显示器5和用户输入装置,例如可以通过以触敏显示器提供显示器5或使用键区来实现。如上文所述,可以使用插入移动通信终端中的订户标识模块(SM)卡或通用集成电路卡(UICC)、存储卡(例如SD)实现安全元件12,或者安全元件12可以直接地嵌入移动通信终端的存储器中。安全元件12包括一个或更多个客户支付应用5a-b。例如用户访问的其他应用(未示出)或忠诚度程序也可以存在于安全元件12上。已经参考一些实施例在上文中主要地描述了本发明。然而,本领域技术人员容易了解,不是上文公开的实施例的在本发明的范围中的其他实施例也是可以的。·
权利要求
1.一种安全服务器,被布置用于建立商户设备和客户支付应用之间的通信,所述安全服务器包括 接收机,被布置用于从商户设备接收第一消息,所述第一消息包括客户标识符、指示所述客户支付应用的应用标识符、和针对所述商户设备的安全令牌; 确定器,被布置用于使用安全令牌确定商户设备是否得到所述客户支付应用的方案提供商的授权; 发射机,被布置用于仅当确定所述商户设备得到所述方案提供商的授权时,向商户设备发送第二消息,所述第二消息指示授权所述商户设备使用所述客户支付应用实现支付;以及 通道建立器,被配置用于当确定所述商户设备得到所述方案提供商的授权时,建立所述商户设备和安全元件中的所述客户支付应用之间的安全通道,所述安全元件被适配用于包括在移动通信终端中,其中所述安全服务器控制所述商户设备和所述客户支付应用之间的所有通信。
2.根据权利要求I所述的安全服务器,其中,所述通道建立器被布置使得所述商户设备和所述客户支付应用之间的所有通信都被建立为经由所述安全服务器传递。
3.根据权利要求I或2所述的安全服务器,其中,所述安全令牌包括商户证书,并且所述确定器被布置用于通过确定所述商户证书是否由所述方案提供商发布,来确定所述商户设备是否得到授权,其中所述方案提供商充当证明机构。
4.根据上述权利要求中任意一项所述的安全服务器,其中,所述客户标识符包括电话号码、电子邮件地址或网络接入标识符。
5.根据上述权利要求中任意一项所述的安全服务器,其中,所述应用标识符包括指示应用的文本串、应用的前缀或唯一应用标识符。
6.根据上述权利要求中任意一项所述的安全服务器,其中,所述确定器被布置用于仅当所述商户设备对所述第一消息进行数字签名并且所述商户的所述标识符与所述安全令牌的标识符匹配时,确定所述商户设备得到授权。
7.根据上述权利要求中任意一项所述的安全服务器,其中,所述确定器被布置用于仅当所述安全令牌具有有效日期范围时,确定所述商户设备得到授权,所述有效日期范围涵盖接收到所述第一消息的日期。
8.根据上述权利要求中任意一项所述的安全服务器,其中,所述第一消息包括多个应用标识符,每个应用标识符指示多个客户支付应用中相应的客户支付应用, 其中,所述确定器还被布置用于确定要使用所述多个客户支付应用中的哪一个客户支付应用来实现支付;以及, 其中,所述第二消息包括要使用的所述客户支付应用的标识符。
9.根据权利要求8所述的安全服务器,还包括提示器,被布置用于向与所述客户标识符对应的移动终端发送提示消息,以提示要使用哪个客户支付应用;以及用于从所述移动终端接收消息,所述消息指示要使用多个客户支付应用中的哪一个客户支付应用。
10.根据权利要求9所述的安全服务器,其中,所述第一消息包括文本消息;以及所述提示消息包括所述文本消息。
11.根据权利要求8所述的安全服务器,其中,所述确定器还被布置用于读取数据库,所述数据库指示要使用多个客户支付应用中的哪一个客户支付应用。
12.一种用于建立商户设备和客户支付应用之间的通信通道的方法,所述方法在安全服务器中执行,所述方法包括在安全服务器中执行的以下步骤 从商户设备接收第一消息,所述第一消息包括客户标识符、指示所述客户支付应用的应用标识符、和针对所述商户设备的安全令牌; 使用安全令牌确定商户设备是否得到所述客户支付应用的方案提供商的授权; 仅当确定所述商户设备得到所述方案提供商的授权时,向商户设备发送第二消息,所述第二消息指示授权所述商户设备使用所述客户支付应用实现支付; 建立所述商户设备和安全元件中的所述客户支付应用之间的安全通道,所述安全元件被适配用于包括在移动通信终端中,其中所述安全服务器控制所述商户设备和所述客户支付应用之间的所有通信。
13.根据权利要求12所述的方法,其中,设置安全通道的步骤包括经由所述安全服务器传递所述商户设备和所述客户支付应用之间的所有通信。
14.一种计算机程序,包括能够在安全服务器的控制器中执行的计算机程序代码,其中,当在所述控制器上运行时,所述计算机程序代码使所述安全服务器执行以下步骤 从商户设备接收第一消息,所述第一消息包括客户标识符、指示客户支付应用的应用标识符、和针对所述商户设备的安全令牌; 使用安全令牌确定商户设备是否得到所述客户支付应用的方案提供商的授权;仅当确定所述商户设备得到所述方案提供商的授权时,向商户设备发送第二消息,所述第二消息指示授权所述商户设备使用所述客户支付应用实现支付; 建立所述商户设备和安全元件中的所述客户支付应用之间的安全通道,所述安全元件被适配用于包括在移动通信终端中,其中所述安全服务器控制所述商户设备和所述客户支付应用之间的所有通信。
15.一种计算机程序产品,包括根据权利要求14所述的计算机程序和存储所述计算机程序的计算机可读装置。
16.一种商户设备,被布置用于接收所述商户设备的授权,并且被布置用于与接收到指示购买期望的输入结合使用,所述商户设备包括 客户标识符获取器,被布置用于获取客户标识符; 发射机,被布置用于向安全服务器发送第一消息,所述第一消息包括通过所述客户标识符获取器获取的所述客户标识符、指示客户支付应用的应用标识符、和针对商户设备的安全令牌; 接收机,被布置用于从所述安全服务器接收所述第二消息,仅当确定所述商户设备得到方案提供商的授权时接收所述第二消息,其中所述客户支付应用包括在安全元件中,所述安全元件被适配用于包括在移动通信终端中;以及 通道建立器,被布置用于与移动通信终端的所述安全元件建立安全通道,以使用所述客户支付应用实现支付。
17.根据权利要求16所述的商户设备,其中,所述第一消息中的应用程序标识符与所述第二消息中的应用程序标识符是相同的。
18.根据权利要求16或17所述的商户设备,其中,所述第一消息包括多个应用标识符,每个应用标识符指示相应的客户支付应用。
19.根据权利要求18所述的商户设备,其中,所述第二消息包括针对所述第一消息的所述多个应用标识符的子集或全部的应用标识符,并且 其中,所述安全设备被布置用于使用与所述第二消息的所述应用标识符相关联的所述应用之一来实现支付。
20.根据权利要求18所述的商户设备,其中,所述安全设备还被布置用于接收输入,当多个应用标识符的子集或全部由多于一个的应用标识符构成时,所述输入指示要使用所述第一消息的所述多个应用标识符的子集或全部中的哪个应用标识符来实现支付。
21.根据权利要求16至20中任意一项所述的商户设备,其中,所述通道建立器被布置用于与所述移动通信终端的所述安全元件在广域网上建立安全通道。
22.一种用于接收商户设备的授权的方法,所述方法与接收到指示购买期望的输入相结合地在所述商户设备中执行,所述方法包括在所述商户设备中执行的以下步骤 获取客户标识符; 向安全服务器发送第一消息,所述第一消息包括所述客户标识符、指示客户支付应用的应用标识符、和针对商户设备的安全令牌; 从所述安全服务器接收所述第二消息,仅当确定所述商户设备得到方案提供商的授权时接收所述第二消息,其中所述客户支付应用包括在安全元件中,所述安全元件被适配用于包括在移动通信终端中;以及 与移动通信终端的所述安全元件建立安全通道,以使用所述客户支付应用实现支付。
23.一种计算机程序,包括能够在安全服务器的控制器中与接收到指示购买期望的输入相结合地执行的计算机程序代码,其中,当在所述控制器上运行时,所述计算机程序代码使所述安全服务器执行以下步骤 获取客户标识符; 向安全服务器发送第一消息,所述第一消息包括所述客户标识符、指示客户支付应用的应用标识符、和针对商户设备的安全令牌; 从所述安全服务器接收所述第二消息,仅当确定所述商户设备得到方案提供商的授权时接收所述第二消息,其中所述客户支付应用包括在安全元件中,所述安全元件被适配用于包括在移动通信终端中;以及 与移动通信终端的所述安全元件建立安全通道,以使用所述客户支付应用实现支付。
24.一种计算机程序产品,包括根据权利要求23所述的计算机程序和存储所述计算机程序的计算机可读装置。
全文摘要
本发明提出了安全服务器,被布置用于建立商户设备和客户支付应用之间的通信。所述安全服务器包括接收机,被布置用于从商户设备接收第一消息,所述第一消息包括客户标识符、指示所述客户支付应用的应用标识符、和针对所述商户设备的安全标记;确定器,被布置用于使用安全令牌确定商户设备是否得到所述客户支付应用的方案提供商的授权;发射机,被布置用于仅当确定所述商户设备得到所述方案提供商的授权时,向商户设备发送第二消息,所述第二消息指示授权所述商户设备使用所述客户支付应用实现支付;以及通道建立器,被配置用于当确定所述商户设备得到所述方案提供商的授权时,建立所述商户设备和安全元件中的所述客户支付应用之间的安全通道,所述安全元件被适配用于包括在移动通信终端中,其中所述安全服务器控制所述商户设备和所述客户支付应用之间的所有通信。也提出了对应的方法、商户设备、计算机程序和计算机程序产品。
文档编号H04L29/06GK102971760SQ201080067810
公开日2013年3月13日 申请日期2010年6月29日 优先权日2010年6月29日
发明者马蒂亚斯·艾尓德, 皮特·艾维德森, 古兰·塞兰德 申请人:瑞典爱立信有限公司