取回支付信息。此外��,移動支付應(yīng)用程序123可被配置為與遠(yuǎn)程交易應(yīng)用程序124和/或商家應(yīng)用程序121通信。在一些實(shí)施例中��,移動支付應(yīng)用程序123可被保護(hù)以使得通用應(yīng)用程序不可與移動支付應(yīng)用程序123通信或者僅可被提供特定命令組以與移動支付應(yīng)用程序123交互�����。例如��,移動支付應(yīng)用程序123可運(yùn)行在安全元件122(如圖2所示)或其他信任的環(huán)境中����,作為核心服務(wù),或者運(yùn)行在比其他應(yīng)用程序(例如���,商家應(yīng)用程序121)更高的許可等級處�。
[0088]移動支付應(yīng)用程序123可包括與證書機(jī)構(gòu)140相關(guān)聯(lián)的證書和/或公共密鑰��,可用來確認(rèn)由證書機(jī)構(gòu)140發(fā)行的和/或簽名的證書���。在一些實(shí)施例中�����,移動支付應(yīng)用程序123是可操作的以使用與支付處理網(wǎng)絡(luò)160或發(fā)行方計算機(jī)170相關(guān)聯(lián)的共享秘密算法來生成與支付信息相關(guān)聯(lián)的密碼����。例如,移動支付應(yīng)用程序123可操作來生成與發(fā)行方計算機(jī)170的支付賬戶相關(guān)聯(lián)的動態(tài)卡驗(yàn)證值(dCVV2)�����。在其他實(shí)施例中����,移動支付應(yīng)用程序123能夠生成動態(tài)值,此動態(tài)值可由與個人化移動支付應(yīng)用程序123共享秘密的支付處理網(wǎng)絡(luò)160來確認(rèn)�����。
[0089]回到圖1�����,證書機(jī)構(gòu)140可與商家服務(wù)器計算機(jī)130相關(guān)聯(lián)并且可向商家計算機(jī)130發(fā)行公共密鑰證書���,可在遠(yuǎn)程支付交易處理期間使用此公共密鑰證書以在移動支付應(yīng)用程序123與商家服務(wù)器計算機(jī)130之間建立信任�,商家計算機(jī)130是可靠的并且被授權(quán)獲取加密支付信息中的敏感支付憑證����。證書機(jī)構(gòu)140可通過此過程發(fā)行商家證書,在以下圖4中更加詳細(xì)地描述此過程�。可在ANSI X9.24部分2零售金融服務(wù)對稱密鑰管理部分2:使用對稱密鑰的分配的非對稱技術(shù)(ANSI X9.24Part 2Retail Financial Services SymmetricKey Management Part 2:Using Asymmetric Techniques for the Distribut1n ofSymmetric Keys)以及ISO 11568部分4銀行業(yè)一密鑰管理(零售)一部分4:非對稱密碼系統(tǒng)一密鑰管理和生命周期(ISO 11568Part 4Banking一Key management (re tail)一Part4:Asymmetric cryptosystems—Key management and life cycle)中找到證書發(fā)行方法的一些非限制性示例�。
[0090]移動支付應(yīng)用程序123可被配置為從取回的或儲存的公共密鑰證書提取公共密鑰以便在處理遠(yuǎn)程交易中使用?���?墒褂萌我膺m合的過程提取公共密鑰。在一些實(shí)施例中���,可在公共密鑰證書的確認(rèn)和/或驗(yàn)證之前或之后提取夠公共密鑰�����。在一些實(shí)施例中�����,單個證書機(jī)構(gòu)根公共密鑰可被儲存在與單個證書機(jī)構(gòu)140相關(guān)聯(lián)的移動支付應(yīng)用程序123處�����,而在其他實(shí)施例中����,多個證書機(jī)構(gòu)根密鑰可儲存在移動設(shè)備120處。證書機(jī)構(gòu)根公共密鑰可被使用在簽名確認(rèn)過程中以確保公共密鑰證書對于發(fā)行證書機(jī)構(gòu)140是有效的且在使用中的�。要在確認(rèn)證書中使用的特定根密鑰可由證書機(jī)構(gòu)140和確認(rèn)中的證書來指示。例如����,可使用與證書機(jī)構(gòu)140相關(guān)聯(lián)的第一證書機(jī)構(gòu)根公共密鑰來確認(rèn)第一長度的商家證書,同時可使用與證書機(jī)構(gòu)140相關(guān)聯(lián)的第二證書機(jī)構(gòu)根公共密鑰來確認(rèn)第二長度的商家證書��。
[0091 ]圖2不出根據(jù)本發(fā)明的一些實(shí)施例的不例性移動設(shè)備120的框圖���。移動設(shè)備120可包括電路以用于實(shí)現(xiàn)某些設(shè)備功能���,諸如電話。移動設(shè)備120可包括處理器和耦合到該處理器的計算機(jī)可讀介質(zhì)���。計算機(jī)可讀介質(zhì)可包括配置為處理遠(yuǎn)程支付交易的交易處理器應(yīng)用程序����。移動設(shè)備120可進(jìn)一步包括安全處理器和耦合到安全處理器的安全計算機(jī)可讀介質(zhì)�����。安全計算機(jī)可讀介質(zhì)包括可由安全處理器執(zhí)行的代碼以用于執(zhí)行一種處理遠(yuǎn)程交易的方法���。此方法可包括從移動設(shè)備120上的交易處理器應(yīng)用程序接收交易數(shù)據(jù)并確認(rèn)此交易處理器應(yīng)用程序是否可靠��。此方法還可包括響應(yīng)于確認(rèn)交易處理器應(yīng)用程序而向交易處理器應(yīng)用程序提供加密的支付憑證�����。交易處理器應(yīng)用程序可使用加密的支付憑證發(fā)起與交易處理器服務(wù)器計算機(jī)的支付交易��。
[0092]負(fù)責(zé)實(shí)現(xiàn)這些功能的功能性元件可包括處理器120(A)�,其被編程為執(zhí)行實(shí)施設(shè)備的功能和操作的指令�。處理器120(A)可訪問數(shù)據(jù)存儲器120(E)(或另一個適當(dāng)?shù)拇鎯ζ鲄^(qū)域或元件)以取回指令或用于執(zhí)行指令的數(shù)據(jù),諸如商家應(yīng)用程序121����、遠(yuǎn)程交易應(yīng)用程序或其他移動應(yīng)用程序。數(shù)據(jù)輸入/輸出元件120(C)���,諸如鍵盤或觸摸屏���,可被使用以使用戶能夠操作移動設(shè)備120并輸入數(shù)據(jù)(例如,用戶認(rèn)證數(shù)據(jù))����。數(shù)據(jù)輸入/輸出元件120(C)也可被配置為輸出數(shù)據(jù)(例如經(jīng)由揚(yáng)聲器)����。顯示器120(B)也可用來向用戶輸出數(shù)據(jù)�����。通信元件120(D)可用來實(shí)現(xiàn)移動設(shè)備120與有線或無線網(wǎng)絡(luò)(例如��,經(jīng)由天線120(H))之間的數(shù)據(jù)傳輸以輔助與互聯(lián)網(wǎng)或其他通信網(wǎng)絡(luò)的連接性并且實(shí)現(xiàn)數(shù)據(jù)傳輸功能���。
[0093]移動設(shè)備120還可包括免接觸元件接口或安全存儲器接口120(F)以實(shí)現(xiàn)設(shè)備的免接觸元件120(G)與其他元件之間的數(shù)據(jù)傳輸�����,其中免接觸元件120(G)可包括安全存儲器(例如�,安全元件122)和近場通信數(shù)據(jù)傳輸元件(或其他形式的短距離或免接觸通信技術(shù))����。如上所述,蜂窩電話或類似的設(shè)備是根據(jù)本發(fā)明的實(shí)施例可使用的移動設(shè)備120的示例����。然而,其他形式或類型的設(shè)備可被使用而不脫離本發(fā)明的底層概念。此外����,設(shè)備為了適合與本發(fā)明的實(shí)施例一起使用而可不需要使用蜂窩網(wǎng)絡(luò)來通信的能力。
A.商家證書發(fā)行/供應(yīng)方法
[0094]圖3示出根據(jù)本發(fā)明的一些實(shí)施例的使用證書機(jī)構(gòu)140來供應(yīng)商家公共/私有密鑰對和商家證書的示例性方法300的流程圖�����。在一些實(shí)施例中�,可執(zhí)行方法300以為商家計算機(jī)130提供指示商家的可信任或可靠性的證書����。隨后,接收的商家證書可包含于安裝在或提供到移動設(shè)備上的商家應(yīng)用程序�����。這些商家證書可被稱為商家應(yīng)用程序證書��。
[0095]在步驟301處���,商家計算機(jī)130生成商家公共-私有密鑰對�。商家公共-私有密鑰對可以以任何適當(dāng)?shù)母袷絹懋a(chǎn)生����,諸如RSA或橢圓曲線密碼學(xué)(ECC)����。在一些實(shí)施例中�����,商家私有密鑰可安全地儲存在商家計算機(jī)130上����。
[0096]在步驟302處,商家計算機(jī)130向證書機(jī)構(gòu)140發(fā)送公共-私有密鑰對的商家公共密鑰�。證書機(jī)構(gòu)140可包括配置為發(fā)行并確認(rèn)證書的任何適當(dāng)?shù)膶?shí)體。例如��,在一些實(shí)施例中��,證書機(jī)構(gòu)140可包括支付處理網(wǎng)絡(luò)160���、移動錢包提供商�、不包含在典型支付交易處理系統(tǒng)中的實(shí)體以及任何其他實(shí)體��。
[0097]在步驟303處�,證書機(jī)構(gòu)140使用任意適當(dāng)?shù)姆绞津?yàn)證商家的可靠性�����。例如���,商家計算機(jī)130可為證書機(jī)構(gòu)140提供信息,該信息提供正在被商家操作的商家計算機(jī)130的身份���。在一個示例中����,商家計算機(jī)130可提供由商家的授權(quán)簽名人(例如��,商家組織的總裁)所簽名的文件�。在一些實(shí)施例中�����,證書機(jī)構(gòu)140可提供登陸或登記過程���,通過此登陸或登記過程����,商家(或其他證書接收方)可登記商家證書并登記本文所述的遠(yuǎn)程支付交易系統(tǒng)的使用。
[0098]在步驟304處���,證書機(jī)構(gòu)140使用包括商家公共密鑰的接收的商家證書簽名請求來生成簽名的商家證書�����。通常�,商家證書可由證書機(jī)構(gòu)根私有密鑰來簽名���。證書機(jī)構(gòu)簽名允許實(shí)體使用證書機(jī)構(gòu)根公共密鑰來確認(rèn)商家證書的可靠性����。證書機(jī)構(gòu)根公共密鑰可被提供給交易處理系統(tǒng)所涉及的多個實(shí)體以允許在交易處理期間確認(rèn)商家公共密鑰證書���。
[0099]在步驟305處���,證書機(jī)構(gòu)140向商家計算機(jī)130發(fā)送簽名的商家證書。簽名的商家證書可包括商家公共密鑰�、證書標(biāo)識符(例如,序列號)�����、證書機(jī)構(gòu)標(biāo)識符、商家的合法名稱���、證書的“有效期自”和“有效期至”�����、證書相關(guān)的許可或者任何其他相關(guān)信息以標(biāo)識和/或認(rèn)證實(shí)體或證書本身���。
[0100]在步驟306處,商家計算機(jī)130使用商家私有密鑰產(chǎn)生簽名的商家應(yīng)用程序證書���。因此�����,可從商家應(yīng)用程序證書到商家證書、到證書機(jī)構(gòu)根證書建立信任鏈����。在一些實(shí)施例中,簽名的商家應(yīng)用程序證書可與商家應(yīng)用程序121的實(shí)例或版本相關(guān)聯(lián)�。例如,商家應(yīng)用程序證書可被使用以驗(yàn)證商家應(yīng)用程序121是否來自商家����。隨后�,商家應(yīng)用程序證書可使用商家公共密鑰來確認(rèn)����。
[0101]在步驟307處,商家計算機(jī)130儲存商家應(yīng)用程序證書以及與商家應(yīng)用程序121中的商家應(yīng)用程序證書相關(guān)聯(lián)的商家應(yīng)用程序私有密鑰���。因此�����,當(dāng)商家應(yīng)用程序121加載到移動設(shè)備120上時��,可驗(yàn)證商家應(yīng)用程序121的可靠性��。
[0102]在一些實(shí)施例中���,商家應(yīng)用程序證書和與商家應(yīng)用程序證書相關(guān)聯(lián)的私有密鑰可儲存在商家計算機(jī)130處。因此��,在一些實(shí)施例中�����,證書可在交易處理期間傳遞到商家應(yīng)用程序121以確認(rèn)商家計算機(jī)130的身份。此外��,在一些實(shí)施例中��,由證書機(jī)構(gòu)140提供的商家證書可在交易期間被提供到商家應(yīng)用程序121以允許與此交易相關(guān)聯(lián)的商家服務(wù)器計算機(jī)130的確認(rèn)�。因此,在一些實(shí)施例中��,商家證書可被使用并被供應(yīng)到商家應(yīng)用程序121代替商家應(yīng)用程序證書����。因此,商家證書可被供應(yīng)到商家應(yīng)用程序121并且所有數(shù)據(jù)可傳遞到商家計算機(jī)130�����,商家計算機(jī)130儲存與供應(yīng)到商家應(yīng)用程序121的商家證書相關(guān)聯(lián)的商家私有密鑰����。下面參考圖5A-5C更詳細(xì)地討論此實(shí)施例。
[0103]應(yīng)該理解到�,圖3旨在作為說明而非限制��。例如��,在本發(fā)明的一些實(shí)施例中,商家公共-私有密鑰對可通過證書機(jī)構(gòu)140來生成�,并且商家私有密鑰可被安全地提供到商家計算機(jī)130,例如使用公共密鑰密碼標(biāo)準(zhǔn)(PKCS)#12消息��。另外����,在一些實(shí)施例中并且如下參考圖5A-5C更加詳細(xì)地描述,可由商家計算機(jī)130在交易期間響應(yīng)于遠(yuǎn)程交易處理的指示而提供商家應(yīng)用程序證書(也稱為商家證書)����。
B.使用安全元件的安全遠(yuǎn)程支付交易處理的示例性方法
[0104]圖4示出根據(jù)本發(fā)明的一些實(shí)施例的使用移動設(shè)備120的交易處理器應(yīng)用程序(例如,商家應(yīng)用程序121)處理遠(yuǎn)程交易的示例性方法400的流程圖����。在一些實(shí)施例中,可在使用或未使用交易處理器私有密鑰(例如��,商家私有密鑰)來供應(yīng)交易處理器公共密鑰證書(例如����,根據(jù)方法400)并將其儲存在移動設(shè)備120的交易處理器應(yīng)用程序(例如,商家應(yīng)用程序121)中之后執(zhí)行圖4的方法�。隨后,可執(zhí)行圖5的方法以通過交易處理器應(yīng)用程序(例如,商家應(yīng)用程序121��、收單方應(yīng)用程序等)對貨物或服務(wù)進(jìn)行遠(yuǎn)程支付交易�����。
[0105]在步驟401處�,消費(fèi)者通過與移動設(shè)備120的交易處理器相關(guān)聯(lián)的移動應(yīng)用程序(例如,商家應(yīng)用程序121)選擇從遠(yuǎn)程交易處理器計算機(jī)(例如��,商家服務(wù)器計算機(jī)130)接收的用于購買的物品���。
[0106]在步驟402處���,消費(fèi)者選擇提供在交易處理器應(yīng)用程序(例如,商家應(yīng)用程序121)的交易支付結(jié)賬屏幕上的遠(yuǎn)程支付交易選項(xiàng)�。
[0107]在步驟403處,交易處理器應(yīng)用程序(例如�,商家應(yīng)用程序121)將交易數(shù)據(jù)和先前供應(yīng)的交易處理器公共密鑰證書(例如,商家公共密鑰證書或商家應(yīng)用程序公共密鑰證書)傳遞到移動設(shè)備120的安全元件122上的移動支付應(yīng)用程序123����。
[0108]在步驟404處,移動支付應(yīng)用程序123使用接收的交易處理器公共密鑰證書(例如����,商家公共密鑰證書)來確認(rèn)交易處理器應(yīng)用程序(例如,商家應(yīng)用程序121)是可靠的��。如上所述����,多種確認(rèn)過程可被完成以確保交易處理器應(yīng)用程序(例如,商家應(yīng)用程序121)是可靠的�。例如,移動支付應(yīng)用程序123可對接收的交易處理器公共密鑰證書應(yīng)用證書機(jī)構(gòu)公共密鑰以確認(rèn)交易處理器公共密鑰證書由證書機(jī)構(gòu)140所簽名��。如果使用證書機(jī)構(gòu)140確認(rèn)了簽名的公共密鑰證書����,那么交易處理器公共密鑰證書可被確定為可靠的,由于它由信任的證書機(jī)構(gòu)140所簽名����。
[0109]另外,在一些實(shí)施例中����,移動支付應(yīng)用程序123可通過向證書機(jī)構(gòu)140發(fā)送確認(rèn)請求利用證書機(jī)構(gòu)140驗(yàn)證交易處理器證書當(dāng)前是有效的。例如�,移動支付應(yīng)用程序123可與證書機(jī)構(gòu)140通信以確保公共證書當(dāng)前有效并且信譽(yù)良好(例如,未被揭發(fā),經(jīng)由證書撤銷列表(CRL)或線上證書狀態(tài)協(xié)議應(yīng)答器(CSPR)等��,如被危害或撤銷)���。例如�����,移動支付應(yīng)用程序123可向證書機(jī)構(gòu)140或另一個提供商(例如��,證書撤銷列表管理器)發(fā)送公共密鑰證書標(biāo)識符以確定證書的狀態(tài)�����。
[0110]此外��,在一些實(shí)施例中�����,如果移動支付應(yīng)用程序123(或遠(yuǎn)程交易應(yīng)用程序124)利用證書機(jī)構(gòu)140確定交易處理器證書不是當(dāng)前有效的��,那么移動支付應(yīng)用程序123可利用證書機(jī)構(gòu)140更新交易處理器證書并接收更新的商家證書以用于處理遠(yuǎn)程交易�。因此���,可基于從證書機(jī)構(gòu)140接收的更新公共證書繼續(xù)該遠(yuǎn)程交易��。
[0111]在步驟405處���,移動支付應(yīng)用程序123向交易處理器應(yīng)用程序(例如,商家應(yīng)用程序121)提供加密的支付憑證��。在一些實(shí)施例中�����,移動支付應(yīng)用程序123可響應(yīng)于確認(rèn)交易處理器應(yīng)用程序?yàn)榭煽康亩峁┘用艿闹Ц稇{證�。移動支付應(yīng)用程序123還可提供交易數(shù)據(jù)和其他賬戶和/或交易相關(guān)信息,作為加密的支付信息�����。例如�,支付信息可包括支付憑證(例如,賬戶標(biāo)識符�、有效期等)、交易數(shù)據(jù)(例如��,交易總額����、產(chǎn)品信息等)���、商家信息(例如,商家標(biāo)識符)和任何其他相關(guān)信息����。另外,移動支付應(yīng)用程序123可使用與支付處理網(wǎng)絡(luò)160或發(fā)行方計算機(jī)170相關(guān)聯(lián)的共享算法生成動態(tài)值���。動態(tài)值可包含在支付信息中并且可由支付處理網(wǎng)絡(luò)160或發(fā)行方計算機(jī)170在交易處理期間確認(rèn)�。
[0112]另外����,在一些實(shí)施例中,移動支付應(yīng)用程序123可通過從交易處理器證書中提取交易處理器公共密鑰來提供加密的支付憑證�,確定儲存在與交易數(shù)據(jù)相關(guān)聯(lián)的安全存儲器中的支付憑證,以及使用提取的交易處理器公共密鑰對支付憑證加密����。
[0113]移動支付應(yīng)用程序123可通過任何適當(dāng)?shù)姆椒ù_定用于交易的支付憑證,這些方法包括接收與遠(yuǎn)程交易應(yīng)用程序124相關(guān)聯(lián)的消費(fèi)者標(biāo)識符��,消費(fèi)者可在商家應(yīng)用程序121的購物����、結(jié)賬時或者在遠(yuǎn)程交易處理步驟期間登陸遠(yuǎn)程交易應(yīng)用程序124�。因此���,包含在從商家應(yīng)用程序121和/或遠(yuǎn)程交易應(yīng)用程序124接收的對支付憑證的請求中的交易數(shù)據(jù)可包括交易數(shù)據(jù)����,交易數(shù)據(jù)可包括消費(fèi)者標(biāo)識符�、移動錢包標(biāo)識符�����、賬戶憑證標(biāo)識符或其他標(biāo)識符以用于確定儲存在安全元件122中的適當(dāng)消費(fèi)者賬戶憑證以便于交易���。例如�,在結(jié)賬期間����,一旦消費(fèi)者選擇遠(yuǎn)程交易,商家應(yīng)用程序121或遠(yuǎn)程交易應(yīng)用程序124就可確定可用的賬戶并請求消費(fèi)者對賬戶進(jìn)行選擇�����。此外,移動支付應(yīng)用程序123可在交易處理期間請求消費(fèi)者指示適當(dāng)?shù)馁~戶�。可選地或結(jié)合地����,默認(rèn)賬戶可與用于遠(yuǎn)程交易的遠(yuǎn)程交易應(yīng)用程序124、交易處理器應(yīng)用程序�����、或移動支付應(yīng)用程序123相關(guān)聯(lián)�����。
[0114]在步驟406處�,交易處理器應(yīng)用程序(例如,商家應(yīng)用程序121)使用加密的支付憑證發(fā)起與交易處理器計算機(jī)(例如���,遠(yuǎn)程商家服務(wù)器計算機(jī)130)的支付交易��。交易處理器應(yīng)用程序可通過任何適當(dāng)?shù)姆椒òl(fā)起支付交易�����。例如�����,在一些實(shí)施例中��,交易處理器應(yīng)用程序通過向交易處理器服務(wù)器計算機(jī)發(fā)送加密的