用于保护用可编程便携装置执行的交易的方法 【技术领域】
本发明涉及一种用于用外部装置通过通信链路执行交易的交易装置。
本发明还涉及一种用于保护交易装置和外部装置间交易的方法,具体说是用可编程便携装置执行的交易的方法。
背景技术
目前,可以通过普通的便携装置例如移动电话或个人数字助理(PDA)来进行交易。事实上,为了执行交易,无线或非接触式的通信技术装置能够很容易地嵌入到这些便携装置当中,用以与外部装置之间建立一个无线或非接触式的通信。
图1显示了一个具有近场通信(NFC)功能的传统交易装置1的例子。基本上,该交易装置包含NFC通信控制器10,应用程序处理器20,显示装置31和连接在应用程序处理器20上的输入装置32。
NFC通信控制器10包含天线线圈,该天线线圈能够与外部NFC装置40如支付终端或提款机之间建立非接触式数据连接(CDL)。外部装置40也装配有天线线圈,外部装置和NFC通信控制器都可以通过电感耦合交换数据。
在交易装置1中,通信控制器10连接有至少一个内部存有由控制器执行的程序的数据和程序存储器11。应用程序处理器20连接有至少一个内部存有应用程序的数据和程序存储器21。
另外,交易装置1典型地包含另一个通信接口22,交易装置可以通过该通信接口22接收储存在存储器21中并由应用程序处理器20执行的应用程序APP。这里假定至少有一个应用程序APP已经通过非接触数据链路CDL被下载,以管理交易。
本质上这种普通的便携装置比经过认证的和安全的如在商店或银行出现的支付装置安全性差很多。特别是,能用通信接口22下载和安装应用程序APP的应用程序处理器20可能会包含恶意软件。该恶意软件能被设计成截取或破坏付费应用中的交易数据,如支付餐馆帐单,提款机的现金提款,进入付费场所的支付(地铁,博物馆,夜总会等)。所以,这种数据的破坏可能会导致支付的数额要大于用户的期望数额。
为了说明该过程,启动一笔交易,交易装置1和外部装置40之间建立连接(数据连接CDL)。外部装置发送交易数据到交易装置。数量显示在显示装置31上,提示用户通过输入装置32输入确认(例如通过选择“是”或“否”和/或输入个人密码作为确认),来确定他所愿意支付的指定数量的金额。为了完成交易,应用程序处理器将该确认传送到外部装置上。恶意软件可能会破坏应用程序APP,使得交易按照不同于显示的和/或用户认可的交易数据进行。例如,恶意软件可启动数额为的交易,而显示给用户的却是。在这种情况下,用户实际支付的是,而不是他所同意支付的
因此,需要提供一种保护可能被恶意软件破坏的用交易装置进行的交易的方法,尤其是需要提供一种保护用常用的可编程便携装置进行的交易的方法。
【发明内容】
本发明的一个实施例涉及一种用于保护在交易装置和外部装置之间交易的方法,该交易装置包含通信控制器,应用程序处理器,以及输入装置;该交易包含在交易装置和外部装置之间的应用数据交换,和将交易数据从交易装置传送到外部装置或从外部装置传送到交易装置的步骤。保护交易的方法包含以下步骤:要求用户通过输入装置输入认可的交易数据,监控要发送到外部装置或从外部装置接收的交易数据,以及如果上述数据和认可交易数据不一致时阻止交易数据发送到外部装置,或如果上述数据和认可交易数据不一致时拒绝接收的交易数据。
根据本发明的一个实施例,该方法包含中止交易的步骤,而不是阻止交易数据的发送或拒绝交易数据。
根据本发明的一个实施例,该方法包含以下步骤:用通信控制器获取并记录用户输入的认可交易数据;通过通信控制器监控要发送到外部装置或从外部装置接收的交易数据;设定通信控制器以使其拒绝发送不同于被认可交易数据的交易数据,或拒绝接收的不同于被认可交易数据的交易数据。
根据本发明的一个实施例,该方法包含:在要求用户输入认可交易数据之前,对通信控制器施加指令,要求其获取并记录认可交易数据的步骤。
根据本发明的一个实施例,该方法包含以下步骤:当交易数据要被发送到外部装置时,对通信控制器施加专用指令;提供给通信控制器要发送的交易数据;设定通信控制器,使其响应所述专用指令监控交易数据,如果要发送的交易数据和认可交易数据相同,就发送采用专用封装或附加数据的交易数据。
根据本发明的一个实施例,该方法包含设定外部装置,以使其拒绝不是采用所述专用封装或附加数据封装或附加的交易数据地步骤。
根据本发明的一个实施例,该方法包含以下步骤:用专用的数据帧将应用数据发送到交易装置上;响应接受所述的专用数据帧,通过通信控制器将所述专用帧中的交易数据和认可交易数据进行对比。
本发明的一个实施例涉及一种通信控制器,一种通过通信控制器与外部装置执行交易的应用程序处理器,以及一种输入装置,该交易装置被设定为:在交易过程中要求用户通过输入装置输入认可交易数据;监控要发送到外部装置或从外部装置接收的交易数据;如果上述数据和认可交易数据不相同时,阻止交易数据发送到外部装置,或如果上述数据和认可交易数据不相同时,拒绝接收的交易数据。
根据本发明的一个实施例,该交易装置被设定为:当要发送的交易数据和认可交易数据不同,或接收的交易数据和认可交易数据不同时,中止交易。
根据本发明的一个实施例,通信控制器被设定为:获取并记录用户输入的交易数据;监控要发送到外部装置或从外部装置接收的交易数据,拒绝发送不同于认可交易数据的交易数据,或拒绝接收的不同于认可交易数据的交易数据。
根据本发明的一个实施例,应用程序处理器被设定为:要求用户输入认可交易数据,并在用户输入认可交易数据之前,对通信控制器施加指令,要求其获取并记录被认可的交易数据。
根据本发明的一个实施例,应用程序处理器被设定为:当交易数据要发送到外部装置时,对通信控制器施加专用指令,将该要被发送的交易数据提供给通信控制器;设定通信控制器,使其响应所述专用指令监控交易数据,如果要发送的交易数据和认可交易数据相同时,就发送采用专用封装或附加数据的交易数据。
根据本发明的一个实施例,通信控制器被设定为:响应接收包含交易数据的专用数据帧,并将所述专用帧中的交易数据与认可交易数据进行对比。
根据本发明的一个实施例,该通信控制器是NFC控制器。
根据本发明的一个实施例,应用程序处理器为移动电话的基带处理器或个人数字助理的主处理器。
本发明的一个实施例涉及一种交易系统,其包含上述的交易装置和设定为与该交易装置间执行交易的外部装置。
根据本发明的一个实施例,外部装置被设定为:拒绝不是用专用封装数据封装或附有专用附加数据的交易数据。
根据本发明的一个实施例,外部装置被设定为:用专用数据帧将应用数据发送到交易装置上。
【附图说明】
本发明实施例的具体细节将会在下面结合附图进行说明,但不仅仅限于以下附图。
图1表示以上所述的普通交易装置的传统结构;
图2表示根据本发明的交易装置的实施例;
图3A和3B为说明根据本发明的用于保护交易的方法的一个实施例的简化流程图;
图4为说明根据本发明的用于保护交易的方法的第二实施例的简化流程图;
图5为说明图3B和4中所示实施例的变型的简化流程图;
图6A和6B为说明根据本发明的用于保护交易的方法的第三实施例的简化流程图;
图7表示根据本发明的交易装置的另一个实施例。
【具体实施方式】
图2以方框的形式表示根据本发明的交易装置2的实施例,例如移动电话或PDA。与上面图1中说明的交易装置1相似,交易装置2包含通信控制器P1和至少一个应用程序处理器P2。通信控制器P1例如是具有天线线圈的NFC控制器,其能够通过非接触式数据连接CDL发送数据到外部装置ED或从外部装置ED接收数据。外部装置ED可以是任何类型的NFC用户对话入口,也装配有天线线圈。通信控制器P1连接有至少一个存储有由通信控制器执行的程序的数据和程序存储器PMEM1。同样地,应用程序处理器P2连接有至少一个数据和程序存储器PMEM2,其可以例如是移动电话的基带处理器或PDA的主处理器。在图中没有显示的其他主处理器,例如SIM(Subscriber Identity Module)或其他的安全元件,可以包含在交易装置中并连接在通信处理器P1上。
交易装置2还包含连接在应用程序处理器P2上的显示装置DD和输入装置ID。输入装置ID可以例如是键盘,麦克风,生物测定输入或它们的组合,也可以是允许用户输入信息的任何其他装置。
此外,交易装置包含至少一个通信接口,如无线接口(Wi-Fi),GSM型的无线电接口,USB端口,以太网端口等或它们的组合,它们被示意性地表示为应用程序处理器20的通信接口CI。通过该接口,交易装置2能够接收存储在存储器PMEM2中并由应用程序处理器20执行的应用程序APP。
如上所述,应用程序可能会包含被设计成破坏交易数据的恶意软件。
另一方面,本领域人员公知的是存储器PMEM1在工厂中程序化的时候是不会被恶意软件破坏的,也不会让用户接触到。本发明的实施例基于这一点,依靠通信控制器P1来检验在应用程序处理器P2和外部装置ED之间交换的交易数据是否未被破坏。
根据本发明的实施例的一个方面,控制器P1也连接到输入装置ID上,以使其也能够获取用户输入的数据。例如,输入装置ID和应用程序控处理P2都可以分别包含UART(通用异步接收器/发射器)接口I1,I2,该接口通过两条导线Tx,Rx相互连接。在这种情况下,为了接收输入装置ID发出的数据,通信控制器P1也包含至少连接接口I1的Rx导线的UART接口I3。
根据本发明实施例的第二个方面,当要执行包括交易数据的交易时,要求用户输入交易数据(例如他希望支付的金钱数额),该交易数据在下文中表示为“认可交易数据”ATD。
根据本发明实施例的第三个方面,通信控制器P1被设定为:监控发送到外部装置ED或从外部装置接收的交易数据TD,如果该交易数据TD不同于用户输入的认可交易数据ATD时,干预正在进行的交易。如以下将通过例子所述的,通信控制器的“干预”可能包括交易的中止,拒绝发送数据到外部装置等,总体而言也可包括为了保护用户的交易不再进行而采取的任何行为,其中该交易包含有不同于用户认可的交易数据。
现在将参考图3A,3B,4,6A,6B,对本发明各方面的不同具体实施例进行说明。
在这些具体实施例中,控制器P1收到来自外部装置ED的″{x[IAD]x}″格式的输入数据帧IDF,其中IAD为引起应用程序处理器P2注意的输入应用数据,“x”为通信控制器P1和外部装置ED使用的封装数据,用以控制通信。例如,封装数据可以包含SOF(帧起点),BOF(帧终点),NFC命令,CRC(循环冗余码校验)标记等。包括在输入数据帧IDF中的输入应用数据IAD由通信控制器P1将其解封,并提供给应用程序处理器P2。
同样地,控制器P1向外部装置ED发送″{x[OAD]x}″格式的输出数据帧,其中OAD是输出应用数据,“x”为封装数据。通过SEND_DATA[OAD]型指令,输出封装应用数据OAD被应用程序处理器P2提供给通信控制器P1。
为了简化本说明书的语言,通信控制器将被称为“P1”,应用程序处理器将被称为“P2”,外部装置将被称为“ED”。输入数据帧将被称为“IDF”,输出数据帧将被称为“ODF”,输入应用数据将被称为“IAD”,输出应用数据将被称为“OAD”,认可交易数据将被称为“ATD”。
实施例1
图3A为说明交易过程中P1执行的处理步骤的简化流程图。可以看到不同的处理循环:
—包含步骤S01和S02的处理循环L01;
—包含步骤步骤S03和S04的处理循环L02;
—包含步骤步骤S05和S06的处理循环L03,和
—包含步骤步骤S07到S11的处理循环L04。
循环L01和L02包含传统的处理步骤,循环L03和L04用于实施本发明涉及本实施例的方面。这些处理循环连接一个初始等待步骤S00,在该步骤控制器P1等待来自于外部装置ED的输入数据帧ID或来自于P2的指令。
在步骤01,当P1从ED收到IDF、即封装的输入应用数据{x[IAD]x}时,执行处理循环L01。然后在步骤02,P1解封IAD然后将它们发送到P2。
在步骤03,当P1从P2接收到指令SEND_DATA[OAD]时,执行处理循环L02。然后在步骤04,P1向ED发送包含有封装的OAD{x[OAD]x}的ODF。
在步骤05,当P1从P2接收到专有指令ATDR(认可交易数据请求)时,执行处理循环L03。该指令告知P1,P2将提示用户通过输入装置ID输入ATD。响应该指令,P1监听ID然后获取并记录输入装置ID提供的数据,将该数据作为用户输入的认可交易数据ATD。
在步骤07,当P1从P2接收到包含有交易数据TD的专有指令SEND_TD[TD]时,执行处理循环L04。该指令要求P1向ED发送{y[TD]y}或{y[TD]x}或{x[TD]y}格式的专用ODF,其中″y″为不同于通常“x”封装数据的封装数据。
当收到该指令时,P1首先核对ATD是否已经记录(步骤S08),也就是说是否处理循环L03已经执行。两种情况可能发生:
1)如果P1不包含记录的认可交易数据ATD,则收到的指令SEND_TD就会被认为可疑而被拒绝。而且,如果需要更高水平的安全性,在没有记录认可交易数据的情况之下收到此种指令,会被认为是对交易安全性的不能接受的破坏,因而P1会被设定成使该交易完全中止,而不仅仅是拒绝该指令。因而,P1运行步骤S10,在该步骤中P1发送给P2信息表明它拒绝发送包含有非认可交易数据TD的ODF,或完全中止该交易。接着P1回到等待步骤S00。
2)如果记录了认可交易数据ATD,P1核实ATD和指令中的交易数据TD是否相同。如果它们不同,P1运行步骤S10,并向P2表明它拒绝发送包含有非认可交易数据TD的ODF,或者中止该交易。然后P01回到等待步骤S00。如果认可交易数据ATD和交易数据TD相同,P1发送{y[TD]y}或{y[TD]x}或{x[TD]y}格式的ODF到ED,然后返回到步骤S00。
本领域的技术人员将会注意到,可以在外部装置ED中提供附加的安全机构,以保证那些没有采用包含专有“y”封装数据的数据帧封装的交易数据TD不被接受。在另一实施例中,可以在交易的开始让终端ED产生一个随机的数值或“令牌(token)”,并将其传送到P1,只有附加有该“令牌”的交易数据才能够被ED接受。
图3B为说明交易过程中由P2执行的处理步骤的简化流程图,这些步骤和那些已经在图3A中说明过的步骤相对应。图中显示了步骤S20到S27。在步骤S20,P2等待输入应用数据IAD,该应用数据IAD在解封后由ED(图3A中的步骤S02)后通过P1输出。当收到IAD后,P2运行步骤S21,在步骤S21中P2分析IAD并核对ED是否需要交易数据TD。两种情况可能发生:
1)如果在该交易步骤ED没有请求交易数据,P2运行步骤S22,在该步骤中P2处理IAD并形成输出应用数据OAD引起ED注意。这样的IAD的处理,直到到OAD的形成,会包含不同的子步骤(为了简化目的在图中并没有显示)。特别地,这些子步骤可能包含通过显示装置DD向用户显示不同的信息和/或数据,并获取用户通过输入装置ID输入的数据。只要用户输入的数据不是敏感的交易数据TD,就不必使P1涉及到该处理。然后在步骤S23,P2发送指令SEND_DATA[OAD]到P1(在图3A中的步骤S03,S04中由P1处理)。然后P2回到等待步骤S20。
2)如果IAD包含有传送交易数据TD的请求,P2运行步骤S24,在该步骤中P2发送指令ATDR到P1(参见图3A中的步骤S05)。然后P2运行步骤S25,在该步骤中P2用显示装置DD提示用户输入认可交易数据ATD。在步骤S26(与图3A中的步骤S06同时发生),P2监听输入装置ID,然后获取并记录认可交易数据ATD。在步骤S27(对应于图3A中的步骤S07),P2发送指令SEND_TD[TD]到P1。包括在该指令中的交易数据TD被认定为用户输入的认可交易数据ATD。如果P2的程序存储器PMEM2中的恶意软件试图破坏SEND_TD指令中的交易数据,通信控制器将检测到在图3A的步骤S08和S09中被破坏的交易数据。
实施例2
刚刚说明的交易过程包含用户在步骤S25中对交易数据的确认。图4为根据本发明的保护交易的方法的第二个实施例的简化流程图,表示由P2执行的处理步骤。该流程图和图3B中的流程图除了步骤S21和步骤S25分别被步骤S21’和S25’代替外其余都相同。在该实施例中,ED简单地请求用户指明当前交易中的交易数据的数额。这可能会例如出现在当交易装置用于从取款机取钱,而不需要用户在取款机的输入装置上输入取款的金额。在这种情况下,交易装置的输入装置用作取款机的输入装置。这样,在步骤S21’中,P2接收到的IAD只简单地包含要求将该交易涉及的交易数据与外部装置进行通信的请求。在步骤S25’,P2提示用户输入期望的交易数据,而不是提示他确认交易数据。
很明显本领域的技术人员能对上述的实施例进行不同的变动。例如,如图5所示,在步骤S26中获取ATD后,处理器可以回到等待步骤S20,而不是运行步骤S27。在这种情况下,在P2接收到来自于ED的TD的确认请求(步骤S21)或发送TD的请求(步骤上S21’)之前,步骤S24-S26可以提前执行,当P2收到TD的确认请求(步骤S21)或发送TD的请求(步骤上S21’)时,步骤S27也可以运行。
实施例3
图6A和6B为表示与有名的支付规范“EMV Book 3(http://www.emvco.com/documents/specification/view/EMVv4.1Book3ApplicationSpecification.pdf)”相联系的本发明的一个实施例的简化流程图。
图6A表示在包含本发明的各方面的EMV交易的过程中,通信控制器P1执行的处理步骤。在该实施例中,交易装置用作符合EMV规范的支付卡。外部装置ED也假定符合EMV规范,如可以是一个EMV终端。
该实施例包含使用一种称为″PDOL″(Processing Options Data ObjectList,处理选项数据对象列表)的专用数据串,其通过交易装置传向外部装置ED,以定义被称为“Get_Processing_Options”的指令中的字段结构,该指令被外部装置发送以传达交易数据。如EMV规范中定义的那样,PDOL是交易装置请求的用以处理“Get_Processing_Options”指令的外部装置-驻留数据元的标签和长度的清单。
图6A的流程图包含已经在上文结合图3A被说明的处理循环L01,L02和L03,以及步骤L05,L06和L40。
循环L05包含步骤S107和步骤S108。在步骤S107中,P1接收来自ED的SELECT_PPSE指令(Proximity Payment Systems Environment,接近支付系统环境)。该指令表明交易已经开始。在步骤S108,P1传送SELECT指令到P2告知P2交易已经开始。
循环L06包含步骤S109和步骤S110。在步骤S109中,P1接收来自于P2的Send_PDOL指令。在步骤S110中,P1分析并记录PDOL字段中的数据帧,并将PDOL传送到ED,例如通过{x[PDOL]x}型的ODF。
循环L40取代之前说明的L04,含有根据本发明实施例的安全步骤。不像循环L04的目的是通过监控形成或包含交易数据TD的输出应用数据OAD来检测交易数据的破坏,循环L40的目的是通过监控外部装置ED发送的Get_Processing_Options指令中的输入应用数据IAD来检测交易数据的破坏。
更具体地说,循环L40包含步骤S111,该步骤中P1接收来自于ED的Get_Processing_Options指令,以及步骤S112,该步骤中P1确定PDOL数据帧是否之前已经被记录过。如果PDOL数据帧未被记录,P1运行步骤S113,例如通过指示给ED该Get_Processing_Options指令中的交易数据无效而中止交易或拒绝Get_Processing_Options指令。如果PDOL数据帧已经记录,P1运行步骤S114,在该步骤中P1分析该Get_Processing_Options指令中的数据,用以提取例如涉及该交易的交易量或货币,代表该交易数据TD。例如,″0x9F02″表明交易的数额,″0x5F2A″表明交易的货币。然后,在步骤S115中,P1核实认可交易数据ATD是否已经被记录,也就是说包含步骤S05(从P2接收ATDR)和步骤S06(监听ID,获取并记录ATD)的循环L03是否已经执行。如果步骤S06尚未运行,为了中止交易或拒绝Get_Processing_Options指令,P1运行步骤S113。如果交易数据ATD已经记录,P1运行步骤S116,在该步骤中P1核实交易数据TD(这里为金额和货币)是否和认可交易数据ATD相同。如果它们不相同,P1运行步骤S113,中止交易或拒绝Get_Processing_Options指令。如果它们相同,P1发送Get_Processing_Options到P2,以使P2可以完成交易。
图6B为同样的EMV交易过程中,应用程序处理器P2执行的处理步骤的流程图。在未显示在图6B中的最初步骤中,交易的数额和货币,也就是交易数据,通过零售商人或店主口头或可视地向用户传达。然后,用户在移动交易装置上起动交易应用程序,如在交易装置上键动一个专门的按钮,或者在显示在显示装置DD上的总菜单上进行选项的选择。该操作使处理器P2在步骤S30中起动应用程序。然后P2在步骤S31发送ATDR指令到P1。在接下来的步骤S32中,P2提示用户输入认可交易数据ATD。然后,在步骤S34中,P2监听ID,然后获取并记录由ID提供的数据,将其作为用户输入的认可交易数据(步骤S33与图6A中的步骤S06同时发生)。然后,在进一步的步骤S34中,P2等待来自ED的Select_PPSE指令,确认交易的开始。这里假定用户在起动交易程序后,已经将交易装置置于接近外部装置的位置,以使得它们之间能够进行电感耦合并能交换数据。
当Select_PPSE指令被收到后,P2运行步骤S35,在该步骤中P2等待来自于ED通过的P1的IAD。当收到IAD后,P2运行步骤S36,在该步骤中P2处理IAD并形成引起ED注意的输出应用数据OAD。在步骤S36之后,根据被处理的应用数据的性质,P2运行步骤S37,在该步骤中P2发送SEND_DATA[OAD]指令到P1(在图6A中的步骤S03,S04处理该指令),或运行步骤S38,在该步骤中P2发送SEND_PDOL指令到P1(在图6A中的步骤S109,S110处理该指令),然后回到等待步骤S35。
本领域的技术人员将会很清楚地看到,无数种其他的保护交易的交易装置和方法都是可预期的。例如,图7表示了根据本发明的交易装置3的另一个实施例,包含和上面结合图2所说明的相同的元件,即通信控制器P1和其存储器PMEM1,应用程序处理器P2和其存储器PMEM2,输入装置ID和显示装置。该交易装置不同于交易装置2的是输入装置ID只与通信控制器P1连接,并通过控制器P1连接到应用程序处理器P2上。
在该交易装置的实施例中,交易基本上按照上面结合图3A到图6B所述的相同的方式进行,除了通信控制器P1被设定为传送给应用程序控制器P2用户通过输入装置ID输入的所有类型的数据,使应用程序处理器P2对其进行处理,而不仅仅是认可交易数据ATD。由于最近的NFC芯片构造通常是基于HCI(主机控制接口)协议,根据该协议,通信控制器P1被设定为在NFC芯片的不同的处理器间路由数据,就如申请人在EP 1855389号专利申请中所提出的那样,P1也可以被设定成将输入装置ID发出的数据路由到处理器P2。
本发明可以保护的交易数据一般为金额对应的货币,但也可以例如是许多具有货币价值的“单位(unit)”或“令牌(token)”,交易过程中订购的货物量;以及一般而言交易涉及的并得到用户认可的任何基本数据。
最后,虽然本发明的实施例最初构思并开发用于包含NFC通信控制器的便携式装置,本领域的技术人员应该清楚,上述的交易方法也适用于采用不同方法与外部装置通信、并采用不同通信标准的其他交易装置。