特别利用移动电话的电子商务的支付担保 方法及实施该方法的系统 本发明涉及在采用诸如微型计算机、移动电话或个人助理的电子设备执行的电子商务环境中对零售商担保支付(guaranteeingpayment)的一种支付方法。
电子商务包括使用通过网络连接到零售商的电子设备的电子设备向零售商发送订单。
当今有越来越多的商务活动是通过因特网Internet完成的。
这样会遇到两个问题。
这是因为在电子商务的情况中对所要执行的支付也是电子供应的,即通过网络进行的。
第一个问题是为支付者提供安全性,因为支付者必须传送其信用卡或银行帐号,才能从他的帐户收款。
第二个问题是为卖主(即,给消费者提供商品或服务的零售商)提供支付担保。
下面处理这第二个问题。
现在将具体描述利用移动电话的支付机制。
零售商向一个金融机构发送支付请求,该金融机构将这一请求发送给移动电话操作员。支付者在其移动电话上接收短SMS信息,他输入其识别码(PIN码),并且利用记录在电话的用户识别卡(SIM卡)中的一个密钥为这笔交易签名(sign)。电话操作员的服务器验证此签名,并且向金融机构发送一个认可。该支付是由金融机构管理的。
这种支付手段(circuit)的缺点在于用于交易签名的鉴别密钥是由移动电话操作员产生地并且该电话操作员知道此鉴别密钥。这就意味着金融机构不能为零售商提供担保支付,因为这种签名可以由第三方复制。
缺乏对商人的支付担保是这种机制的主要缺点。
第二种已知的解决方案是通过Internet支付的MOTO支付系统。此MOTO系统:Mail Order Telephone Order是通过Internet完成支付的最简单的系统。这是因为该系统包括在订购时(在电话上)利用声音或通过Internet向零售商传送信用卡号。这种解决方案需要有诸如PC的电子设备,并且当然对于使用移动电话达成的交易能够进行复制。
这种方法的缺点在于零售商无法验证卡的真实存在,因为此卡的持有人的鉴别不是在交易期间完成的。同样,在这种情况下,不能保证对零售商的担保支付。然而,不幸地,全世界针对刚才描述的这种MOTO支付系统存在大量的欺诈行为。
第三种已知的解决方案是在Internet上的支付;也就是SET程序:Secure Electronic Transaction(安全电子交易)。这种程序对应着由诸如Visa、Mastercard、Europay和IBM的公司的国际财团建立的支付协议。SET协议是Internet商务所专用的,并为零售商提供担保支付。这种解决方案需要逻辑实施,这对于零售商的服务器和加载支付者的凭证(certificate)都是很大的负担。
这种方法的缺点在于需要大量的逻辑运算,因而不可能在诸如个人助理或GSM移动电话等等的便携式设备上或在新技术的WAP电话上实现。
自然,还有在电子商务之外惯用的第四种方案,它包括在零售商处使用信用卡直接支付。这种方案显然不适合远距离支付。
如上所述的MOTO(Mail Order Telephone Order)系统是用于远距离支付的传统方法。使用MOTO系统通过Internet和移动电话网络的欺诈(主要是对于预付市场)在过去几年正以加速的方式在增长。对于这种购买方式,认为不存在支付卡,并因此银行不能担保对零售商的支付。
能够为零售商提供支付担保的唯一标准方案是用于电子商务的SET方案。然而,如上所强调的,这种解决方案需要大量的逻辑实施措施来为支付者加载凭证,并且这种解决方案的推广仍然非常慢。
当今的所有支付方案特别是采用移动电话的方案均有技术上的缺点。
所建议的解决方案使之有可能对商品和服务进行支付。这完全与用于“下定单”的渠道(即,Internet上的微型计算机(PC))或在商店、移动电话、固定电话、个人助理、或邮寄中的“面对面”渠道无关。
在银行信用卡还不够发达的那些国家也能够使用该解决方案。
本发明的目的是去除上述缺点。
本发明涉及使用电子支付设备的用于支付的一种“全球线路(global circuit)”,为零售商提供支付担保。
这是因为该解决方案用于补救提供基于现有技术的方案但又在通信联系的销售情况中显著限制欺诈行为所带来的问题。
该方案更具体包括提供两个密钥用于鉴别支付者,一个密钥专用于电话操作员,一个密钥专用于金融实体。金融机构可以是银行或任何其它团体,例如保险公司。然而,为了简化在下面以银行和银行密钥为例。
两个密钥使之有可能产生两个凭证cert1和cert2。
用于交易的凭证表示明确地识别交易和参与方(实际上是消费者和零售商)特性并证明消费者已经被鉴别的一组数据。实际上,这是数据代表交易和零售商(数量,日期,零售商标识符,使用的货币等等)及对这些数据的影响计算的电子签名(即,摘要)的情况,并且保证交易的完整性和鉴别消费者。
凭证cert1因此利用密钥K1获得,而cert2利用密钥K2获得。以下不再关注凭证和电子签名。
电话操作员只能利用操作员密钥来验证凭证。
只有SIM卡持有者的银行(消费者的银行)才能核实利用其专用密钥产生的凭证。因而,具有根据不同的密钥产生的两个凭证,其中一个密钥是银行密钥。零售商或电话操作员不能复制银行专用的凭证,这是因为他们没有银行密钥。考虑由银行组织对零售商保证支付。
这需要以安全方式例如在SIM卡中加载签名密钥,而不用电话操作员介入。
本发明具有以下优点:
-不需要修改银行授权网络。仅仅在支付者(在上述示例中是SIM卡的持有者)有争议的情况下才由银行组织来核实利用银行密钥产生的签名。
-不需要修改SIM卡的个性化的通常技术。仅仅需要添加加载链接到数字签名(银行密钥)的保密数据的程序。
-为零售商提供支付担保。
-不需要改变移动电话来实现这种担保支付机制。
-这种方案还能用于允许电子商务的其它网络:在Internet上购物,利用声音订单购物以及从移动电话网络(GSM或其它网络)支付。
本发明的目的因此是利用操作员的网络和金融组织使用通信装置为零售商提供一种电子支付的方法,其主要特征在于,在交易时产生两个凭证,一个凭证使用操作员密钥,另一个使用银行密钥,将第一凭证发送给操作员,并且以安全方式将另一凭证置于金融组织的控制下。
按照一种变形,凭证是利用智能卡产生的,并且第二凭证被存储在此卡上。
按照另一种变形,第二凭证被发送给操作员,操作员在金融组织的控制下和/或在金融组织的批准下将此凭证存储在数据库中。
按照另一种变形,利用智能卡或操作员将第二凭证发送到银行。
按照一种实施方式,支付装置是移动电话。
有利地,移动电话包括用户识别智能卡(例如,GSM网络的SIM卡,CDMA网络的UIM,3G网络的USIM),而电信操作员的网络装备有管理和开发票(invoicing)服务器,该方法包括以下步骤:
-对于移动电话:向电信操作员发送两个凭证,
-对于管理和开发票服务器:根据第一凭证鉴别此卡的持有人,并且向金融组织发送一个支付授权。
本发明的另一目的涉及一种包括用于接入网络装置的电子支付设备,其主要特征在于,包括至少两个密钥,一个操作员密钥K1和一个银行密钥K2,用于产生代表一笔交易的两个凭证。
按照本发明,电子支付设备包括微型计算机或移动电话或个人助理。
有利地,该设备构成带有电子芯片的安全媒体。
按照一个实施例,该设备能够产生凭证。
本发明的另一目的是连接到电信操作员网络的一种管理和开发票服务器,用于为在网络上利用电子支付手段执行电子交易的消费者开具由零售商提供的商品或服务的发票,其主要特征在于,包括处理与交易有关的操作员凭证的装置,并且包括置于有关所述交易的银行凭证控制之下的装置。
从以下参照附图利用非限制性实施例给出的说明就能理解本发明的其它特征和优点,在附图中:
图1表示为了许可电子商务对于使用消费者的银行和他的电话操作员登记消费者的阶段在消费者设备、他的银行以及电话操作员之间的交换;
图2表示对于卡个性化阶段在银行的设备、智能卡个性化中心和移动操作员之间的交换;
图3表示交易期间在消费者的设备、他用来登记的电话操作员的设备与银行的设备之间的交换;
图4表示消费者对支付有争议的情况下在所有参与者之间的交换。
以下所述的例子涉及采用移动电话的电子商务。所建议的解决方案采用SIM ToolKit(STK)支付应用,即,加载到SIM卡中的一种STK应用程序。
SIM ToolKit支付应用程序在卡个性化步骤中被加载到消费者的SIM卡中。这一程序还可以用无线网络下载,这取决于所使用的SIM卡的技术特性。
一旦启动这一应用,拥有此卡的银行就能利用预定发送给装备有这种卡的移动电话的SMS短消息执行格式化、签名和发送支付请求。
在消费者出示支付PIN之后,为持卡人(以下也称为消费者)所执行的交易签名。用来产生凭证以及在这种情况下产生签名的算法被存储在卡的程序存储器中。这种算法可以采用带有DES或3DES算法的对称密码系统或带有RSA算法的不对称密码系统的算法。
需要说明的是,在与零售商进行交易期间,销售读卡设备的要点是执行两个主要安全功能:鉴别涉及卡和读卡器的支付卡以及鉴别此卡的持有人。
在移动电话领域,银行卡的鉴别是基于消费者的初步登记,这是一次全部执行的。在这一登记步骤期间在参与者的各项设备之间执行的交换如图1所示并在以下进行说明。
另外,持卡人的鉴别是在每次交易时通过或至少利用持卡人专用的识别代码来执行的,这种代码必须由持卡人输入。这种也被称为PIN代码(个人识别号码)的识别代码在以下的说明中称为银行代码,因为它是由银行提供给其消费者的。现在应该注意到,所述的银行密钥不能与PIN代码混淆,后者不同于银行密钥而是用来保护对银行密钥的存取。
利用图1表示消费者登记的功能机制。
如上所述,STK程序优选在个性化时由卡制造商加载到SIM卡中。这一程序可以(通过空中Over The Air)下载到任何销售点的终端上。然而,只要没有在参与支付线路的组织机构登记,消费者就不能使用这种支付应用软件。
登记的主要目的如下:
-确保由消费者提供的银行数据是有效的(例如,需要记账的账户的账户信息或所使用的银行卡的号码及其届满日期)。这一信息或通过电子方式或通过邮局发送。为此,消费者(通过安全电子或纸件链接)向其银行传送一个表格。这一传送在图1中是用设备A和B之间的交换表示的。
-在消费者银行的数据库10中并且在电信操作员的设备C的管理和开发票系统20上存储银行卡数据和电话号码。
-允许消费者获知银行识别代码PIN代码。
消费者必须填写一个纸件或电子表格并且要将其传送给他的银行。随后能鉴别消费者卡。
发卡银行负责鉴别持卡人。接着,通过必须被双方(即,银行和电信操作员)接纳的鉴别机制,银行必须通知有关的电信操作员。
电信操作员随后能够通过无线链接启动STK支付应用软件。这可以在本地(例如通过电话)通过专用的STK菜单和启动代码(这可以是银行识别代码(PIN代码))来执行。持卡人在这一阶段知道他的代码并且能通过其移动电话的键盘输入这一代码。
如上所述,一旦登记,消费者需要知道银行识别代码,即他的PIN代码,以便随后使用它来执行电子商务。另外,这一银行识别代码在建议的方法中还是保密的,因为需要启动对交易的签名。如此来保护对存储在SIM卡中的签名密钥K1,K2的存取。
然而,为了提供支付担保,银行必须保证这一PIN代码(银行识别代码)不为电信操作员所知。以下具体说明这一代码和签名密钥K1与K2的管理。
图2表示导致在SIM卡的个性化过程中产生PIN代码并产生签名密钥K1和K2的步骤的一种可能方案。
在这一步骤(产生密钥),不知道终端消费者。使用由银行100产生的主识别代码使PIN代码多样化(diversify)。然后,个性化中心400根据主代码的PIN码和卡的个人号码(也就是ICCid代码(卡中的集成电路的识别号码))或根据SIM卡的IMSI(International MobileSubscriber Identifier)代码或与SIM卡有关的任何其它可能的标识符产生PIN代码。这些代码是消费者对国际移动电话网络的识别代码。
在必要时,借助于专用软件和ICCid或SIM卡的IMSI代码,发卡银行能够计算出银行识别代码(PIN代码),并且用电子邮件将其发送给持卡人。
从后者推导出的较佳方案的基础是采用主识别代码和消费者电话号码的多样化。
可选择地,终端消费者能修改银行代码(就象对移动电话的情况)。然而,在这种情况下,这种非确定性代码都是由发卡银行而不是由电信操作员管理的。
现在将具体说明交易的管理。
在图3表示在三个参与者(即持卡人,电话操作员和银行组织)的设备A,B,C中进行的变化机制的功能性框图。
管理和开发票系统20通过能够将此信息转换成SMS短消息(2)的服务器21或由预定用于移动电话的移动设备所支持的任何其它移动传送协议向移动电话2传送一个支付要求(1)。
移动电话的拥有者或持卡人接受此交易并且为此而输入其PIN代码。这样就会启动计算与所接受交易的特征数据有关的两个签名的程序。
由移动电话向服务器21发送一个SMS消息。该消息包含凭证cert1和cert2(也就是交易的特征数据)以及SIM卡计算出的两个签名。一个签名是用密钥K1计算的,另一个是用密钥K2计算的。
如上所述,每个消费者有两个个人签名密钥,用来产生有关交易特征的签名。一笔交易的数据特征例如是交易的数量、日期、时间、零售商的标识和电话号码。
为了防止电信操作员产生伪造的交易,保密的银行密钥必须不能为电信操作员所知。如上所述,密钥K2的使用利用SIM卡内的PIN代码来保护。
支付请求的管理可以利用具有脱机确认的常规MOTO系统来执行。
这是因为在电话操作员和接收银行之间交易能够作为常规MOTO交易来执行。
移动电话操作员还必须将包括数字签名cert1的数字交易的数据存储在一个专用数据库中。
对电信操作员的规定是:在发生任何争议的情况下,都能将数字交易的数字签名密钥cert2返回给消费者的银行。
所建议的解决方案的直接优点在于不需要修改对支付授权请求的现有基础机构。
然而,在持卡人有争议的情况下,这种争议必须按不同的方式来管理。
数字签名cert2是持卡人的支付证据。