[发明专利]用于保护在线交易的验证步骤的方法

说明书

技术领域

本发明一般涉及用于保护移动装置中的交易的系统和方法。更具体地，本发明涉 及用于保护在线支付交易的验证过程的方法和系统。

背景技术

技术彻底改变了消费者购买商品的方式，并扩大了零售渠道的范围。确实，移动装 置，如移动电话，在日常生活中起到越来越多作用。许多新的特征和服务正在开发中，试图 扩大移动电话超越其传统的语音和消息传送的角色。这些新特征和服务中的一些对数据安 全性要求比现有应用更严格。例如，移动电话进行购买的可行性取决于移动电话和服务提 供商确保用户的私人信息针对各种安全威胁的安全性的能力，所述安全威胁包括移动电话 的物理盗窃和/或移动电话的非法使用。对用户的移动电话的未经授权的占有可能会导致 对用户的私有和敏感数据的危害。

要应对这个安全问题，一些移动装置服务提供商允许用户在网络级存储重要信 息，如银行细节，使得服务提供商充当最终用户的数据代理。尽管这一做法方便，但用户信 息结合网络存储的集中化容易受到黑客攻击。出于这个原因，很多消费者拒绝让在线服务 提供商持有信用卡信息。

一些移动装置提供接口来捕获用户的指纹，以结合认证协议使用。该解决方案可 能是脆弱，这是因为，指纹可能相对容易被捕捉，特别是在小偷占有用户的移动装置(其很 可能会包含许多指纹)的情况下。

基于硬件的解决方案可以被用于保护移动装置所存储的用户数据。这些解决方案 采用加密/解密技术来保护用户的敏感数据。这些解决方案利用的整个保护机制驻留在移 动装置本身，从而使所保护的数据易于被具有足够的硬件知识、诊断设备和黑客能力的盗 贼所攻击。

一次性密码(OTP)解决方案可以用在打击网络欺诈的斗争中。不同于依靠传统记 忆的密码，消费者每当他们想要使用在线或手机银行界面来执行交易时，请求OTP。当接收 到请求时，密码通过SMS被发送到用户的移动装置。一旦该密码已被使用或其计划的寿命已 到，该密码便失效。此解决方案可能是脆弱的，这是因为，攻击者可得到OTP，尤其是在小偷 已占有该用户的移动装置(其将接收OTP)的情况下。

此外，在移动支付交易期间，用户没有、或只有很少手段来检查移动输入和移动应 用支付之间的通信是否被截获、以及交易数据是否在发送给商户之前被篡改。

安全通信解决方案可以被使用，并且可以通过已知的匿名密钥交换协议实现，其 若无额外保障措施就很容易遭受欺诈行为，如中间人攻击。

存在这样的需要：在支付交易期间，保护通过移动装置经由网络发送到商户或财 务机构的用于验证所述交易的信息，如银行细节。

发明内容

本发明的以下概要被提供，以便提供对本发明的一些方面和特征的基本理解。此 概述不是本发明的广泛综述，因此它不旨在特别标识本发明的关键或重要元素、或描绘本 发明的范围。其唯一目的在于以简化的形式呈现本发明的一些概念，作为下面给出的更详 细的说明的前序。

本发明解决了上述缺点。本发明涉及系统和方法，用于允许保护包括非接触接口 的移动装置中的支付交易。

根据本发明，提供了用于允许保护要在移动装置中进行的财务交易的服务。在交 易的确认步骤期间，该服务涉及认证用户的身份，并通过非接触式显示装置完成交易。并 且，在所述用户被认证的事件中，安排完成交易，而不会向该移动装置泄露用户的财务细节 和/或其它个人细节。经由非接触式通信信道，从移动装置将交易数据传递到非接触式显示 装置。

通过将验证步骤与移动装置中的交易处理分离，用户可被认证并被授权交易，而 无需向移动装置提供该用户的财务细节。这提供了针对例如用户的借记卡或信用卡的误用 的保护，否则它可能被损害。以这种方式，由于财务细节的侵占造成的欺诈和盗用可以被最 小化。

本发明提供可信任的支付环境，其保护用户的财务细节，但允许他们被安全地认 证，并安排交易履行，同时向其它方提供将完成交易的再保证。

示例实施例提供了非接触式显示装置的能力，其用来检查和处理卡内所有敏感的 财务信息，然后发送加密的财务信息，以完成交易。