CN1926836A

CN1926836A - 用于短程交易的移动环境中的电子支付方案

Info

Publication number: CN1926836A
Application number: CNA2005800061288A
Authority: CN
Inventors: 桑普·索维奥; 简-埃里克·艾克伯格; 纳达拉扎·阿索肯; 佩卡·拉提恩
Original assignee: Nokia Oyj
Current assignee: Nokia Technologies Oy
Priority date: 2004-02-25
Filing date: 2005-02-18
Publication date: 2007-03-07
Anticipated expiration: 2025-02-18
Also published as: EP1719322A1; KR20060114029A; CN1926836B; KR100854797B1; US7194438B2; WO2005086456A1; EP1719322B1; US20050187882A1

Abstract

短程交易系统使得用户能够不需要使用货币而在用户友好的环境中与自助服务终端进行交易。用户携带与移动电话交互的便携式智能卡。在通过RFID连接进行鉴别之后，将设备MAC地址和安全密钥(K)印记在卡中。在操作中，用户将智能卡晃过自助服务终端并激活RFID连接。终端将随机数发送到卡。所述卡返回MAC地址和使用散列值及安全密钥计算出的结果(RES)。终端使用MAC地址和安全密钥建立与设备的安全连接。终端从设备下载用户的交易界面，并在自助服务终端处显示所述用户界面。用户通过用户界面在终端处完成交易。

Description

用于短程交易的移动环境中的电子支付方案

本国际申请要求于2004年2月25日提交的第10/785,025号，题为“Electronic Payment Schemes In A Mobile Environment ForShort-Range Transaction”的美国专利申请的优先权，将其整个说明书并入于此以资参考。

技术领域

本发明涉及一种无线通信系统、方法、设备和程序产品。更具体地说，本发明涉及一种用于安全短程交易的移动环境中的电子支付方案。

背景技术

包括银行、信用卡发行商和移动设备制造商的产业部门研究组正考虑将移动设备作为银行卡或信用卡的替代品进行电子商务交易。对于安全无线交易考虑到以下几个选项，包括：(1)在移动设备中并入银行卡；(2)使用设备用户标识模块(SIM)；(3)将支付软件存储在设备中以处理支付交易；以及(4)使用设备中嵌入的标签。然而，在传统的短程交易系统中难以设计用于这些选项的易于使用的界面。即使用户知道如何使用传统的短程电子商务机制，用户也可能宁愿使用纸币或卡来交易，特别是当在普通顾客交易中，用于短程电子商务的机制比较陌生并且不是用户友好的情况下。为了扩展从移动设备可用的电子商务服务的范围，期望使得移动设备能够充当银行卡的替代品，特别是在移动设备比纸币或银行卡更易于在交易中使用的情况下，并且移动设备不涉及货币。还期望在商家终端提供一种用户交易界面，使得用户能够使用所述用户交易界面来通过该终端处理电子商务。还期望当处理电子商务时在移动设备和终端之间建立安全连接。还期望在不使用服务发现协议的情况下，使用短程通信(蓝牙)在移动设备和终端之间建立安全连接。

与涉及电子商务的移动设备有关的现有技术，包括：

1)1999年8月19日公开的，题为“SYSTEM，METHOD ANDAPPARATUS FOR SECURE TRANSMISSION OF CONFIDENTIALINFORMATION”的WO 9941876公开了在两个设备之间建立安全无线无线电通信链路(IR)，这样使得将敏感信息暴露给第三方拦截的可能性最小。通过首先在两个设备之间建立红外链路(IR)来建立安全链路以交换诸如加密信息的敏感信息。随后的通信(RF)将得益于加密保护，建立安全无线无线电通信链路。

2)2001年6月21日公开的，题为“A METHOD AND SYSTEMFOR ESTABLISHING A SHORT-RANGE RADIO LINK”的WO0145319公开了在无线网络环境中，在固定单元(12)和移动通信设备(10，A)之间建立在第一链路范围(13)之内操作的第一短程无线电链路，其中，固定单元(12)通过在本质上小于所述第一链路范围(13)的第二链路范围(14)之内操作的短程通信链路将质询信号发送到所述移动通信设备(10，A)。移动通信设备(10，A)从固定单元(12)接收质询信号，产生并发送对所述质询信号的响应信号，该响应信号包括移动通信设备(10，A)的唯一标识号。固定单元(12)接收所述响应信号，并鉴别标识号。最后，固定单元(12)和所述移动通信设备(10，A)通过所述第一短程无线电链路建立连接。

3)2003年1月2日公开的，题为“A SYSTEM AND METHODFOR TRANSMITTING DATA VIA A WIRELESS CONNECTION INA SECURE MANNER”的EP 1271887公开了使得远程控制器的用户能够以安全方式基于无线连接发送PIN。通过数据网络和诸如电视或个人计算机的显示器的显示器将用于与服务提供商进行交易的终端设备连接到服务提供商。用于操作显示器的相同远程控制设备(IR或RF)还用于将经编码的PIN发送到终端。向用户显示用于对PIN进行编码的会话专用编码规则，以指导用户进行编码处理。当接收到经编码的PIN时，终端对其解码并激活，如果合适的话，则允许访问所请求的交易或服务。

没有现有技术公开或建议了以下内容：(1)使得移动设备能够在不使用货币的情况下，在无线短程交易中充当银行卡的替代品；(2)提供分别通过第一和第二短程无线电链路链接到移动设备或电话以及终端的向导(pilot)；(3)在终端和电话之间提供第三短程无线电链路；(4)通过向导设备和第三短程无线电链路在终端和电话之间启动安全连接；(5)在商家终端提供用户交易界面，使得用户能够通过互联网进行安全交易；(6)在移动设备和终端之间建立安全连接以进行诸如电子商务的无线安全交易；以及(7)在不使用服务发现协议的情况下，使用短程通信(蓝牙)为移动设备建立与终端的安全连接。

发明内容

本发明提供一种使得移动环境中的用户能够在用户友好的环境中与自助服务商家终端进行短程交易的短程通信方法、系统和程序产品，尤其涉及在不使用货币的情况下的交易安全性和支付机制。在一实施例中，在终端和移动电话设备之间通过短程安全连接(通常为蓝牙)来进行交易。除了电话设备之外，用户还携带与移动电话和设备关联的作为链(fob)的便携式魔法笔(magic wand)或向导，通常是智能卡。电话包括应用，以用于：(1)产生随机数(random nonce)和序列号(SEQ)，并将它们发送到向导，以及(2)当向导位于安装在电话中的RFID读取器的范围之内时，通过RFID连接将密钥(k)和通常为MAC地址的电话地址印记(imprint)在向导中。随后，为了与自助服务终端进行交易，用户使向导通过、晃过终端，或者将终端与向导接触。终端响应于向导的晃动或接触，激活到向导的RFID连接。终端将随机数发送到向导。向导使用随机数值、密钥(k)、SEQ和会话密钥(K)来计算结果(RES)。向导将设备的MAC地址和(RES)返回终端。终端使用所述MAC地址和会话密钥建立与设备的短程安全连接，通常为蓝牙。由设备得出所述会话密钥来完成与终端的短程通信。在一实施例中，用户在柜台处从管理自助服务终端的职员购买物品或服务。所述职员宣布物品或服务的价格，用户将终端与向导接触。职员可对用户给予纸制收据。所述接触启动遗留(legacy)支付协议，这样，用户可以从终端进行操作。在另一实施例中，终端通过蓝牙连接从设备下载用户的交易界面，并在自助服务终端处显示用户界面。用户通过用户界面在终端处完成交易。终端将支付信息、RES和随机数发送给设备。终端使用标准支付协议从设备接受支付信息。在另一实施例中，第一向导设备充当“主链”来激活至少一个第二向导或“从”链，以按照先前描述的方式与终端交互，来购买物品和服务。为了进一步增强交易安全性，智能卡存储多个一次性鉴别码，以启动智能卡和设备之间的安全连接。每当用户启动安全请求时，该卡选择新的鉴别码。设备还存储鉴别码列表。每当启动与终端的新的安全连接时，设备在列表中选择后续码，以允许后续的安全连接。通过在发送用户界面之前由设备从终端请求PIN来更进一步增强交易的安全性。除了对于电子商务的本地授权之外，向导可用于通过接触RFID读取器使能的终端来打开电子锁，在机场鉴别人员等。

本发明的一方面为一种在电子商务交易中充当银行卡的替代品的移动设备。

另一方面为一种提供特别是在小额支付的情况下，取代纸币、支票或信用卡/借记卡的本地支付服务的移动设备。

另一方面为一种由用户在商家终端处从移动设备下载用于电子商务交易和支付的用户交易界面的电子商务系统。

另一方面为在移动设备和自助服务终端之间建立安全连接以进行电子商务交易和支付。

另一方面为在不使用服务发现协议的情况下使用短程通信在移动设备和终端之间建立安全连接。

另一方面为通过单独的RFID接口链接到移动设备和终端的智能卡标签，以将安全信息从移动设备传送到终端。

另一方面为终端和移动设备通过短程传输进行通信，并通过RFID传输与智能卡进行通信。

另一方面为第一向导设备充当“主”链来激活至少一个第二向导设备或“从”链，以与终端交互，来在营业处所中的柜台处购买物品和服务。

附图说明

通过下面结合附图对优选实施例进行的详细描述，将进一步理解本发明，其中：

图1表示具体实现本发明原理的包括移动设备、向导或智能卡以及自助服务终端的电子商务系统；

图2表示根据本发明一实施例的包括在图1中的移动设备；

图2A表示根据本发明一实施例的存储在图2的移动设备中的软件；

图3表示根据本发明一实施例的包括在图1中的向导或智能卡；

图4表示根据本发明一实施例的图1中的商家终端；

图5表示根据本发明一实施例将设备地址和密钥(k)印记在向导设备中的主设备；

图5A更详细地表示根据本发明一实施例的图5的印记处理；

图5B表示在另一实施例中的图5的印记处理；

图6表示根据本发明一实施例在图1的系统中在主电话与柜台处的第三方之间建立安全连接；

图7表示在实现本发明的图1的系统中在终端处购买物品以及处理该物品的支付信息的处理；

图8表示在实现本发明的图1的系统中使用在第三方终端处的用户界面在终端处购买物品的处理；

图9表示根据本发明一实施例在图8的处理中的用户界面；

图10表示根据本发明一实施例在图7和图8的处理中购买物品的增强安全性。

具体实施方式

如下对短程无线系统的简要描述将有助于更好地理解本发明：

A.短程无线系统

短程无线系统具有100米或更短的典型范围。它们通常与以有线方式连接至互联网的系统结合以提供长距离上的通信。短程无线系统的种类包括无线个人区域网(PAN)和无线局域网(LAN)。它们共同的特点是工作在无线电频谱的未授权部分，通常在2.4GHz的工业、科学及医疗(ISM)频带或者5GHz的未授权国家信息架构(U-NII)频带。无线个人区域网使用具有10米的典型范围的低成本、低功率无线设备。无线个人区域网技术最为人所知的示例是工作在2.4GHz ISM频带的蓝牙标准。它提供1Mbps的峰值空中链接速度(peak air linkspeed)，以及对于在诸如PDA和移动电话的个人便携式电子设备中使用而言足够低的功耗。无线局域网一般以10Mbps到100Mbps之间的较高的峰值速度工作，并具有需要更大功耗的更长的范围。典型地，将无线局域网用作通过接入点(AP)从便携式膝上型计算机到有线LAN的无线链路。无线局域网技术的示例包括IEEE802.11无线LAN标准和工作在5GHz U-NII频带的HiperLAN标准。

B.蓝牙短程无线技术

蓝牙是短程无线电技术，最初预计作为电缆替代品。其可用于创建最多8个设备一起工作的网络。The Bluetooth Special InterestGroup，Specification Of The Bluetooth System，Volume 1和2，Coreand Profiles：Version 1.1，2001年2月22日，描述了蓝牙设备工作的原理以及通信协议。所述设备工作在为了由工业、科学及医疗(ISM)应用进行的一般使用而保留的2.4GHz无线电频带中。将蓝牙设备设计为使用服务发现协议(SDP)来找到其10米无线电通信范围之内的其它蓝牙设备，并发现所述设备提供什么服务。

SDP搜索功能依赖于发出请求的蓝牙设备和进行响应的蓝牙设备之间建立的链路，其中，所述发出请求的蓝牙设备为诸如固定接入点设备，所述响应蓝牙设备为诸如移动用户的设备。当移动用户的设备进入接入点的通信范围之内时，它的传输协议组中的链路控制器层处理质询和寻呼分组的交换，以建立与接入点设备的内部链路。这一处理相对较快，一般在大约1到5秒内完成。然后，传输协议组中的逻辑链路控制和适应协议(L2CAP)层将链路状态向上传递到RFCOMM/SDP层。RFCOMM提供串行端口仿真，其可用于连接到使用若干蓝牙简档(profile)的遗留应用和数据传送。然后，可以使用服务发现协议(SDP)搜索功能以在可提供期望服务的响应蓝牙设备中找到相关应用程序。SDP搜索功能会需要几秒来完成，这取决于搜索的复杂度和设备注册表(registry)的大小。

可由SDP搜索功能发现的示例应用程序服务是无线应用协议(WAP)的无线应用环境(WAE)图形用户界面(GUI)功能。启用WAP的无线设备可使用微浏览器将内容显示在设备的小型屏面上。WAP使用互联网协议和专门修改以利用移动终端起作用的其它协议的结合。互联网协议为：点对点协议(PPP)、互联网协议(IP)和用户数据报协议(UDP)。专用移动终端协议为：无线传输层安全(WTLS)、无线事务协议(WTP)、无线会话协议(WSP)和无线应用环境(WAE)。由WAE提供用于WAP的微浏览器用户界面。为了建立将内容从请求接入点设备发送到响应用户设备的WAE微浏览器的连接，必须建立WAP协议层WTLS、WTP、WSP和WAE中的每一个，完成这一过程可能还需要几秒，并且会造成途中大量的用户交互。作为选择，可使用使得电话能够从终端被操作的“Remote S60Professional 2.0”来将电话屏面显示在台式PC的终端显示器上。可从Handango，301 Northeast Loop 820，Suite 200，Hurst，Texas 76053USA得到“Remote S60 Professional 2.0”软件。

转向图1，其中公开了采用本发明的原理的电子商务系统100，其使用移动设备102与终端104进行安全交易，其中所述终端104典型地为包括显示器106，并且不使用货币或信用卡等的自助服务终端。使用通常为蓝牙的短程无线系统通过安全连接108进行交易。应注意，本发明并不限于蓝牙技术。所以，根据本发明的各种实施例，还可采用其它短程无线系统来替代蓝牙，所述其它短程无线系统诸如为各种无线局域网(WLAN)和超宽带(UWB)技术。通过与通常为因特网的网络114的连接，将自助服务终端104连接到中央交易处理中心110。典型地，在通过互联网114和交易处理中心110进行电子交易时，可将终端104和显示器106置于商业环境中的柜台处，并由用户来使用。

移动设备与便携式向导116相关联，所述向导116通常是由用户在皮夹或钱包中携带的智能卡。如将在以下描述的，当由移动设备激活向导时，其启动自助服务终端104和移动设备102之间的短程连接。通过RFID无线电链路118将向导链接到移动设备102，并通过RFID无线电链路120将向导链接到终端104。

在描述电子商务系统操作的细节之前，将更详细地描述移动设备、向导、终端和用户界面。

图2公开了表示如图1所示的根据本发明一实施例的移动设备102的移动设备200。将短程收发器202连接到第一天线204。设备200还包括与并入天线204的一个天线(未示出)连接的网络或蜂窝式收发器206。网络收发器用于蜂窝或LAN通信。将收发器202和206连接到I/O电路208，I/O电路208服务于键盘210并连接到CPU或处理器212。中央总线214将CPU连接到存储操作程序的ROM 216、在执行操作程序时由CPU使用的RAM 218、提供用户界面的显示器219和包括链接到天线222的高频接口的RFID读取器220，所述天线222用于当向导位于移动设备的附近时，将移动设备连接到向导。可在由John Wiley和Sons出版的K.Finkenzeller的“RFID Handbook”(2001年4月)的第99-217页的文本中找到对RFID读取器的描述。电源224提供移动设备必需的能量。

图2A公开了根据本发明一实施例的在移动设备的操作中使用的存储在ROM中的软件226。标准操作系统228管理CPU的基本操作和内务处理功能。短程通信软件230，通常为蓝牙，包括用于与终端建立安全连接和进行数据交换的协议。网络软件232执行用于与无线蜂窝式网络或LAN通信的相似协议。RFID软件234向读取器220提供用于对向导进行鉴别并对向导进行数据传送的读/写协议。应用软件236实现诸如电子商务的实用任务。

图3描述了表示根据本发明一实施例的图1中的向导设备216的向导设备或智能卡300。向导为便携式的，并视情况而定，由用户携带在皮夹或钱包中。将如以下所描述的，在向导和终端已经准备好进行安全连接之后，从皮夹或钱包中取出向导，将其接近移动设备，或反之亦然，由此来启动移动设备和终端之间的安全连接以进行电子商务交易。向导设备包括连接到第一高频接口304的微处理器302，所述第一高频接口304连接到天线306以通过读取器220(图2)与移动设备102(图1)交互。还将CPU连接到与天线310连接的第二高频接308，所述天线310用于在建立终端和移动设备之间的连接以进行电子商务交易时与终端104(图1)交互。应注意，尽管在图3中示出两个单独的高频接口(304，310)，但是向导中可以仅有一高频接口。CPU还并入了RAM 312，包括用于移动设备和终端的安全目的的加密/解密软件314。如将结合图6所描述的，将操作程序存储在连接到CPU的ROM 316，EEPROM 318存储MAC地址以及用于通过移动设备的安全传输的移动设备的安全密钥。电源(未示出)提供向导的操作所必需的能量。在由John Wiley和Sons(2001年4月)出版的K.Finkenzeller的“RFID Handbook”的第99-217页的文本中描述了关于智能卡的构造和操作的其它细节。

尽管向导被示为用于半无源模式的操作，但是视情况而定，向导也可在无源模式下操作，其中，由移动设备或终端中的读取器来提供激活智能卡所需的能量。

图4描述了表示根据本发明一实施例的图1所示的自助服务终端104和显示器114的终端400。所述终端包括链接到总线404的存储器402，所述总线404服务于CPU 406、显示器408、键盘410、I/O端口412、RFID读取器414和短程通信接口(蓝牙)415。所有这些部件都是标准的。存储器402存储使得终端能够与移动设备和向导交互的软件。操作系统418管理终端的任务。RFID软件420使得终端能够通过用于启动与移动设备的安全短程连接的初始短程链路而与向导交互。网络软件422提供用于使终端在通过互联网114与中央交易处理中心110通信(见图1)时与网络交互的协议。蓝牙协议软件424使得终端能够在建立安全连接和在设备之间传送信息时与移动设备交互。应用软件424使得终端能够提供用于处理由移动设备启动的交易的标准协议。

图5描述根据本发明一实施例的用于将密钥(k)和诸如电话或移动设备(作为主设备)601的地址(通常为MAC地址)的标识信息印记在向导(从设备)603中的一般处理600，假设(1)电话包括RFID读取器，并且向导包括半无源或无源的RFID转发器，(2)电话包括启动印记的应用以及(3)该应用可产生密钥或在与向导的密钥一致性协议下产生关联密钥。当将向导保持在RFID读取器的覆盖区域之内并且建立了RFID连接时，进行印记处理。或者，例如在商店中，可由外部设备进行所述印记。根据本发明的各种实施例，可使用除RFID之外的接口，例如，可使用受限的蓝牙。最重要的方面在于要非常接近覆盖范围，即，非常短程的覆盖范围，因而使窃听的可能性最小。

图5A提供关于根据本发明一实施例将电话地址和密钥印记在向导中的进一步的细节。为了建立RFID连接，移动设备605在步骤607以质询信号的方式将激活消息或“hello”消息发送到向导或智能卡609。根据本发明的一实施例，作为对质询信号的响应消息，向导将PIN请求和随机数消息611发送到移动设备。向用户显示PIN请求，用户将专用于鉴别向导的印记的PIN输入到移动设备中，移动设备根据所述PIN和质询的随机数来计算RESULT(RES)。在消息613中，由移动设备将RES、MAC地址和至少一密钥(K)关联返回向导，以在向导中进行印记。向导检查所接收的RES是否与向导的专用PIN相应，并基于PIN完成/失败消息615的检查结果来存储所接收的设备标识和密钥信息，可将所述PIN完成/失败消息615返回给移动设备以完成所述印记处理。在上述过程中，用户用PIN和以终端标识信息产生的RES数向向导鉴别用户自身，并且将至少密钥关联发送回向导以完成印记处理。

根据本发明另一实施例，仅通过将MAC地址和至少所述安全密钥(k)关联发送给向导，在不需要以PIN进行用户鉴别的情况下对向导进行印记，所述向导存储所接收的信息以完成印记处理。

图5B描述由用户将密钥和地址信息印记到向导设备的另一实施例，其中，向导设备用作“主链(fob)”，其使得用户能够将“主链”信息复制到一个或多个“从链”中以用于持有者与自助服务终端的交互。从链会遵守限制从链持有者的使用权限的预定策略限制。作为一个示例，受限的使用权限可限制购买物品的价值和/或用于与自助服务终端交互的时间段。作为另一示例，从链可遵守在自助服务终端禁止购买的物品的列表。在另一示例中，从链在授权所购买物品的支付之前，验证购买的物品不包括任何禁止购买的物品。

将结合图3、6和7来描述图5B。“主链”617基于图3所示的向导，此外，还对其进行修改以包括通过“ON/OFF”开关(均没有示出)连接到CPU 302的读取器。如图1所示，在主链与电话118和终端118交互的同时，开关一般在OFF状态。

当用户想要将主链617中印记的地址和密钥信息每次一个地复制到从链618¹、618²和618^N时，通过将开关改变为ON状态，产生由从链(见图3)(例如由位于主链617附近的从链618¹)接收的无线电信号来激活读取器。在与从链交互之前，主链将可应用于从链的策略限制存储在ROM 316中。然后，将Hello消息或质询消息619发送到从链618¹，从链618¹使用信号能量来返回包括标识该从链的地址的响应消息621。主链基于从链地址来访问ROM 316以确定可应用于从链618¹的策略限制(如果有的话)，并且按照上面先前规定的那样来限制从链的使用。主链将消息623返回从链。该消息包括与主链相关联的电话的MAC地址和安全密钥以及任何策略限制。或者，从链可以返回完成/失败消息625。如图6所示，在终端和电话之间建立安全连接之后，将消息623印记在从链的EEPROM 318中以用于与自助服务终端交互。

如图7所示，在建立安全连接之后，从链的持有者与自助服务终端交互以根据购物列表来进行购买，柜台处的职员递送所购买的物品。当完成购物列表时，持有者使用终端键盘，将请求输入到终端，以发送列出所购买的物品的无线电信号。从链接收该无线电信号，并将物品的列表与存储在EEPROM 138中的禁止列表进行比较。CPU比较所购买的物品和禁止物品，并且使用终端无线电信号的能量启动所产生的无线电信号，以便终端根据情况批准或拒绝购物列表的支付。将消息显示在终端屏幕上，如果购买的物品被批准，则从链的持有者接触终端屏幕以启动支付。否则，交易被取消。

另一种优选的用于链复制的模式是使用移动终端以类似于复制到“主”链的处理将敏感信息复制到“从”链。唯一的不同在于“从”链在从电话接受印记时会比从“主”链接收时具有更多的限制。所述操作可以下面的操作为例：

步骤1：将“主链”引入移动电话，如图5A所示，并且从电话UI选择“复制链”。

步骤2：“主”链将策略限制发送到电话。

步骤3：用户可选择对于“从”链的可能的附加策略限制。

步骤4：电话将hello消息发送到一个或多个链。

步骤5：电话接收“从”链的地址并根据“从”地址访问将对“从”链的限制进行链接的数据库。

步骤6：电话根据“从”地址将MAC地址、安全密钥和策略限制每次一个或同时地发送到“从”链。电话可适于将不同的安全密钥分配给“从”链。

步骤7：如图5B所示，“从”链与终端交互。

以相同的方式，可由需要来自链的附加功能的“从”链到“从”链系统来执行链复制。

图6结合图1来描述根据本发明一实施例在电话102和自助服务终端106之间建立安全短程连接108的处理700，如下：

步骤1：用户将第三方701自助服务终端与向导703接触。向导通过初始的附近RFID信道连接707将移动电话705的设备地址发送给第三方701自助服务终端。

步骤2：通过使用这一地址，自助服务终端使用诸如以蓝牙连接709等为例的短程无线电连接来连接电话。

步骤3：电话705产生随机数(random nonce)和序列号SEQ，并通过连接711将它们发送到自助服务终端，所述连接711根据本发明一实施例使用与连接709相同的连接。

步骤4：终端通过连接711将所述随机数和SEQ发送到向导，所述连接711根据本发明一实施例使用与连接707相同的连接。

步骤5：向导计算RES＝f(nonce，SEQ，k)(k来自印记)和K’＝g(nonce，SEQ，k)并将这些发送到终端以作为响应消息，(f)和(g)是基于密码散列计算的单向函数。

步骤6：终端使用会话密钥K’建立与电话的安全短程通信信道。对方，即电话，得出会话密钥K’并使用它来进行安全通信。

步骤7：终端通过计算预计的响应XRES＝f(nonce，SEQ，K)并验证是否RES＝XRES来验证适当向导的存在，在终端和电话之间建立安全通信信道。

在处理600中，用户在整个安全信道的建立期间将向导保持在自助服务终端之内。根据另一实施例，只需要步骤1-2来在自助服务终端和移动电话之间建立安全短程连接，其中，向导703仅向自助服务终端701提供电话地址705(移动电话的蓝牙地址)和电话的密钥关联，终端可使用它们来建立与电话的安全通信信道。在该实施例中，交易内的安全级较低，但是只要求用户将向导擦过自助服务终端来建立安全信道，在考虑小型交易的情况下这是可以接受的。在两个实施例中于自助服务终端和移动电话之间建立安全短程连接期间的至关重要的事情在于通过便携式向导利用自助服务终端和向导之间的初始短程链路来提供对于连接建立必要的信息，所述链路具有比安全短程连接小很多的无线电覆盖范围，以使得在交换用于建立安全短程连接的启动信息期间的窃听可能性最小。

图7描述实现本发明的处理800，其使得在终端和移动设备之间建立受保护的信道805之后，用户(未示出)能够使用移动电话801在柜台803处从自助服务终端106(见图1)购买物品或服务。管理柜台的职员向用户宣布物品或服务的价格。用户将自助服务终端与向导807接触以启动对物品或服务的支付。职员可给用户纸制收据。与向导的接触通过网络连接809(通常为互联网)对网络服务器启动遗留支付协议，其中用户可根据实现从终端处操作网络连接809。通过安全信道(基于K’)805将关于支付的信息从终端发送到电话801。支付客户机自动接受所述支付。在进行交易时唯一的用户交互是将自助服务终端与向导接触。

图8公开了实现本发明的处理900，其使得用户能够使用任何遗留支付协议在第三方商家终端901购买物品或服务。假设电话已成功地验证适当向导904的存在，则第三方终端901通过受保护的信道905请求电话903开始启动支付应用X。X应用通过第三方终端或通过电话通信信道909启动商家终端中的远程终端并启动遗留支付客户机907。

可存在需要通过用户界面进行用户交互的支付客户机软件。在这种情况下，随着安全信道的建立，如图6所示，以及将商家终端配备适当的输出/输入方式(触摸屏+键盘)，将电话的输出(屏幕图像)传送到所述商家终端的输入/输出方式。在基于蓝牙的视窗系统(Nokia的60系列电话)中可提供这样的编程器件。用户可以用适当的背景/字体等设计他的屏幕，以确定显示在商家终端上的屏幕确实与电话(他自己的)上的相同。用户随后在具有远程用户界面的电话上操作支付机制，并执行所述支付。

在该特定方法中，不需要将支付值传送到电话(由于界面在商家终端上)。而是，用户可将预期的支付/帐号等放在商家终端中的‘板上’(‘on a clipboard’)，并将其粘贴在用户界面中的适当位置。

图9公开了在终端901和电话903之间建立受保护的信道905之后，如图8所示，在处理900中由终端从移动设备903下载的用户界面1000的一实施例。以Microsoft Internet Explorer格式示出界面1000。然而，界面可以是任何其它的浏览器格式，例如，Netscape。用户在终端处进行交易时使用所述界面。在一实施例中，屏幕可包括：标题栏1001、标准操作系统功能栏1003、各种操作按钮栏1005、链接到其它服务器的链路连接栏1009、包括商家因特网地址1011地址的地址栏1009以及具有到各个操作程序的连接的开始栏1009。在由Microsoft Press，One Microsoft Way，Redmond，Washington98052-6399，(1999)出版的Scott Roberts的“Programming MicrosoftInternet Explorer 5”第一章的文本中，描述了描述Microsoft InternetExplorer栏的其它细节。该界面包括屏幕区域1013，其包括用于在终端901处购买物品的标准条目。在一实施例中，画线条目可包括：(1)物品描述1015；(2)物品价值1017；(4)预先打印的用户的银行和帐号1019。用户完成所述条目并点击确认条1012，以将购买单发送给商家。中央交易处理中心检查过去用户的交易，如果满意的话，则批准由终端所位于的柜台处的管理职员来发放物品。

图10描述了根据本发明一实施例的用于图7和图8中所描述的支付处理中的增强安全性的处理1200。商家终端1202可接收用户支付信息，以通过互联网连接1024将其传送到商家服务器(未示出)来进行处理，或者柜台1202处的职员可将用户支付信息送到金融机构终端1206以进行处理。终端1206可通过互联网连接1208将支付信息送到金融服务器(未示出)以进行处理。或者，在鉴别之后，用户可在无线电信道1212上通过电话1210操作终端1206。向导1214可通过到终端1206的附近信道连接1216来启动无线电信道。可向用户显示支付值屏面1218以及OK按钮1220以进行操作。

返回图8，为了在下载交易UI时进一步增强安全性，在处理900中安置附加鉴别步骤。所述鉴别步骤要求由商家终端插入附加PIN码，从而允许建立用于接收交易界面的安全链路。换言之，需要将以下步骤包括在处理900中：

(1)接收(通过RFID接口)用于启动商家终端和便携式终端之间的安全通信链路的安全信息。

(2)使用接收的信息在商家终端和便携式终端之间建立安全链路。

(3)将附加安全信息提供给便携式终端，例如，用于访问交易UI的商家PIN码。

(4)在便携式终端验证PIN码之后，在商家终端处接收交易UI。

通过将一次性鉴别码提供给向导设备，可进一步/选择性地增强交易安全性，所以，每当使用一个码时，需要后续的码来建立与便携式终端的新安全连接。在一实施例中，将鉴别码的列表保存在智能卡的存储器中。每当接收到连接请求时，RF智能卡选择后续的码。类似地，便携式终端具有相应的码列表。每当建立新安全连接时，终端选择列表中相应的后续码以用于允许后续的安全连接。

总之，公开了一种安全无线短程交易系统及方法，其中：(1)使得与向导结合的移动设备能够在不需要涉及货币的电子商务系统中用作银行卡的替代品；(2)在不执行服务发现协议的情况下，使用蓝牙协议在终端(通常为自助服务终端)和移动设备之间提供安全连接；以及(3)将用户交易界面从移动设备下载到终端，以有助于用户执行电子商务交易。此外，可在其它环境中使用向导。例如，将RFID读取器使能的终端与向导接触以(1)打开电子锁或者(2)在机场终端鉴别人员。

尽管以优选实施例的形式描述了本发明，但是在不脱离由所附权利要求限定的本发明的精神和范围的情况下，可进行各种改变。

Claims

1、一种使得移动环境中的用户能够通过自助服务商家终端进行交易的方法，包括：

a)将安全密钥保存在移动电话设备中；

b)将至少安全密钥关联以及移动电话标识印记到至少一个相关的便携式向导中；

c)通过初始短程无线电链路将至少所述安全密钥关联以及移动电话标识从向导传送到自助服务商家终端；以及

d)基于所传送的安全密钥和移动电话标识信息，在自助服务终端和移动电话之间建立安全短程连接，其中，初始短程无线电链路具有比安全短程连接小得多的无线电覆盖范围。

2、如权利要求1所述的方法，其中，安全短程连接用于在不使用货币的情况下进行交易。

3、如权利要求1所述的方法，其中，初始短程无线电链路符合RFID技术。

4、如权利要求1所述的方法，其中，安全短程连接符合蓝牙技术。

5、如权利要求1所述的方法，其中，短程无线电链路的覆盖区域在10厘米以下。

6、如权利要求1所述的方法，其中，移动电话标识是移动电话的蓝牙地址。

7、如权利要求1所述的方法，还包括：

e)当建立安全短程连接时，在所述终端处接收用户交易界面。

8、如权利要求1所述的方法，还包括：

f)响应于对于所述终端和所述设备之间的安全连接的请求，向所述至少一个向导提供随机数和序列号(SEQ)。

9、如权利要求1所述的方法，还包括：

g)由向导计算RES＝f(随机数，SEQ，密钥(k))和会话密钥K’，并将RES和K’发送到所述终端。

10、如权利要求1所述的方法，还包括：

h)由所述终端使用会话密钥来建立与所述设备的安全连接。

11、如权利要求1所述的方法，还包括：

i)由所述设备得出会话密钥，并使用所得出的会话密钥用于与所述终端的安全短程通信。

12、如权利要求1所述的方法，还包括：

j)由所述终端通过计算预计的响应XRES＝f(随机数，SEQ，K)并验证是否RES＝XRES，来验证适当向导的存在。

13、如权利要求1所述的方法，还包括：

k)使用对称密钥来加密/解密在所述终端和所述设备之间传送的信息。

14、如权利要求1所述的方法，还包括：

l)使用公钥结构来加密/解密在所述终端和所述设备之间传送的信息。

15、如权利要求1所述的方法，还包括：

m)将多个鉴别码存储在所述至少一个向导中，以一次性用于启动安全连接请求。

16、如权利要求1所述的方法，还包括：

n)存储多个鉴别码，以在所述设备中一次性用于在所述设备和所述终端之间建立短程连接。

17、如权利要求1所述的方法，还包括：

o)通过基于会话密钥K’的安全信道将支付信息从所述终端传送到所述设备；

p)由所述设备自动接受支付信息；以及

q)使用由所述终端或所述设备提供的通信信道来进行交易。

18、如权利要求1所述的方法，还包括：

r)由所述终端将请求发送到所述设备，以便所述设备启动支付应用；

s)在所述设备验证适当向导的存在之后，启动支付应用；

t)在所述终端处使用支付应用来启动遗留支付客户机；以及

u)由用户在显示在所述终端处的用户界面上完成交易。

19、一种使得移动环境中的用户能够通过自助服务终端进行交易的系统，包括：

a)移动设备，包括短程通信收发器和RFID收发器；

b)便携式向导设备，与移动设备关联，并包括半无源RFID转发器；

c)自助服务终端，包括RFID收发器和短程收发器；

d)用于将标识信息和至少安全信息存储在移动设备中的装置；

e)用于将所述存储的所述设备的标识和至少安全信息关联通过RFID连接印记在相关的便携式向导中的装置；

f)用于由向导将所述被印记的标识和安全信息通过RFID连接传送到自助服务终端的装置；以及

g)用于基于所述传送的所述设备的标识和安全信息在所述自助服务终端和所述设备之间建立安全短程连接的装置，其中，RFID连接具有比安全短程连接小得多的无线电覆盖范围。

20、如权利要求19所述的系统，其中，安全短程连接用于在不使用货币的情况下进行交易。

21、如权利要求19所述的系统，其中，当建立安全连接时，自助服务终端接收用户交易界面。

22、如权利要求19所述的系统，还包括：

h)用于存储多个鉴别码以一次性用于在向导和设备之间建立连接的装置。

23、如权利要求19所述的系统，还包括：

i)用于存储多个鉴别码以一次性用于在向导和设备之间建立短程连接的装置。

24、如权利要求19所述的系统，其中，向导识别所述设备以进行短程连接，并初始化安全环境。

25、如权利要求19所述的系统，其中，用户在终端处操作用户交易界面。

26、如权利要求19所述的系统，还包括：

j)用于激活所述终端以建立到所述设备的安全连接的装置。

27、一种使得移动环境中的用户能够激活自助服务终端以进行交易的设备，包括：

a)半无源转发器，用于响应于由相关的移动设备发送的RF信号；

b)耦合至转发器的存储器；

c)耦合至转发器和存储器的处理器；以及

d)响应于转发器以存储与移动设备有关的独特信息的装置。

28、如权利要求27所述的设备，包括：

e)用于从所述终端激活之后，将存储的信息发送到自助服务终端的装置。

29、如权利要求27所述的设备，还包括：

f)用于与移动设备交换鉴别信息，以接收与移动设备有关的独特信息，将所述信息提供给自助服务终端以启动移动设备和自助服务终端之间的安全连接的装置。

30、如权利要求27所述的设备，还包括：

g)用于与自助服务终端交换鉴别信息以启动移动设备和自助服务终端之间的安全连接的装置。

31、如权利要求27所述的设备，还包括：

32、如权利要求27所述的设备，还包括：

i)用于识别所述设备以用于所述终端和所述设备之间的短程连接并初始化安全环境的装置。

33、一种在计算机系统中可执行的使得移动环境中的用户能够激活自助服务终端以进行交易的介质，所述介质包括：

a)用于将至少安全密钥保存在移动电话设备中的程序码；

b)用于将至少安全密钥关联以及移动电话设备标识印记在与移动电话设备相关的便携式向导中的程序码；

c)用于通过初始短程无线电链路将至少所述安全密钥关联以及移动电话设备标识从向导传送到自助服务终端的程序码；以及

d)用于基于所传送的安全密钥和移动电话设备标识在自助服务终端和移动电话设备之间建立安全短程连接的程序码，其中，初始短程链路具有比安全短程连接小得多的无线电覆盖范围。

34、如权利要求33所述的介质，还包括：

e)用于在建立与移动电话设备的安全连接之后，在所述终端中从移动电话设备下载用户界面的程序码。

35、如权利要求33所述的介质，还包括：

f)用于在不使用货币的情况下在所述终端和移动电话设备之间进行产品或服务交易的程序码。

36、如权利要求33所述的介质，其中，所述终端在商业机构之内或者在商亭中。

37、一种使得第一向导设备能够充当作为能够与终端交互的从设备的至少一个第二向导设备的主向导的方法，包括：

在充当主设备并且还包括处理器和存储装置的第一向导设备中安置读取器和切换装置；

在主向导设备中印记并存储移动电话的电话地址和安全密钥；

至少一个第二向导设备，每个均充当主设备的从设备并且还包括处理器和存储器，每个从设备能够从主设备接收信号并且能够将信号发送到主设备；

在接收到标识从设备的地址之后，将电话地址、安全密钥和策略限制印记在从设备中；以及

在终端和移动电话之间建立安全连接之后，使用从设备与终端交互以购买物品。

38、如权利要求37所述的方法，其中，印记步骤还包括：

基于预定的策略限制来限定所述至少一个便携式向导的有效性。

39、如权利要求37所述的方法，其中，预定的策略限制包括最大购买值和最大时间限制中的至少一个。

40、如权利要求37所述的方法，还包括：

将禁止购买物品的列表存储在从设备中。

41、如权利要求37所述的方法，还包括：

将所购买物品的列表从所述终端发送到从设备。

42、如权利要求37所述的方法，还包括：

将所购买物品与存储在从设备中的禁止物品进行比较。

43、如权利要求37所述的方法，还包括：

在从设备中验证所购买物品不是禁止物品。

44、如权利要求37所述的方法，其中，策略限制将从设备的使用限定为所购买物品的最大值。

45、如权利要求37所述的方法，其中，策略限制将从设备的使用限定为最大时间周期。

46、如权利要求37所述的方法，其中，所述终端从从设备接收指示批准或拒绝所购买物品的信号。

47、如权利要求37所述的方法，其中，在从从设备接收到信号之后，所述终端显示所购买物品的批准或拒绝。

48、如权利要求37所述的方法，其中，在所述终端显示对从设备所购买物品的批准之后，从设备接触所述终端或者将从设备保持为紧邻所述终端以授权对所购买物品的支付。