TWI537853B

TWI537853B - 高安全性行動支付系統及方法

Info

Publication number: TWI537853B
Application number: TW104101467A
Authority: TW
Inventors: 吳有勝
Original assignee: 吳有勝
Priority date: 2015-01-16
Filing date: 2015-01-16
Publication date: 2016-06-11
Also published as: TW201627927A; CN105809427A; CN105809427B

Description

高安全性行動支付系統及方法

本發明係關於行動支付系統及方法，尤指高安全性的行動支付系統與方法。

行動支付是越來越受到歡迎的一種交易模式，在此交易模式下，使用者可直接利用行動裝置進行交易行為，例如將交易單元(如信用卡與銀行帳號)的資料輸入至手機上，再利用手機連線至商店的銷售點裝置，並選購產品，之後該銷售點裝置將由該手機傳送來的交易單元資料與選購產品資料傳送至金流伺服裝置，再由該金流伺服裝置連線至一交易中心以完成此次交易。此種交易方式雖然方便，但是卻會使得交易單元的資料被持續地傳送，並有機會在傳輸至該金流伺服裝置的過程前，於經過的各個裝置上被儲存或暫存，因此有心人只要監控此一傳輸過程經過的任一裝置，以竊取裝置裡儲存或暫存的資料，就有機會以逆向工程取得使用者的交易單元資料，在安全性上有極大的漏洞。此外，輸入資料之繁複程序亦會降低使用的意願。

因此有必要提出一種新的方法，來改善上述的缺點，並提供更安全便利的交易環境。

本發明之一目的係在提供一種行動支付系統，用以進行一交易單元之交易行為，該行動支付系統包括：一主要伺服裝置，用以處理交易工作，並可儲存該交易單元之第一部分資料；一銷售點裝置，具有一銷售點控制元件，用以儲存一第一認證資料與產生一交易資料，並用以使該銷售點裝置與該主要伺服裝置連線，並控制該銷售點裝置傳送該第一認證資料與該交易資料至該主要伺服裝置；一行動裝置，具有一行動裝置控制元件，用以儲存一第二認證資料與一交易單元之第二部分資料；其中，該主要伺服裝置認證該第一認證資料，並於認證成功後接收該交易資料，若該交易資料已經過第一認證資料加密處理，則以第一認證資料對應的解密方式進行解密，之後傳送對應該交易資料的一代碼(純文字資料或binary資料)至該銷售點裝置，該行動裝置由該銷售點裝置或由一介質(如可顯示QRCode圖形、可發出聲波、NFC標籤或藍牙標籤…等)接收該代碼，若為一介質，則該銷售點裝置會事先將該代碼資訊儲存於此介質，使該代碼形成該主要伺服裝置與該行動裝置之一認證媒介。藉此，利用該等裝置間的驗證機制，可提供一具有安全性的行動支付系統，該主要伺服裝置、該銷售點裝置與該行動裝置透過認證行為可確保連線對象正確無誤。

本發明的另一目的係提供一種行動支付方法，係用以進行一交易單元之交易行為，該行動支付方法包括步驟：(a)透過一銷售點裝置傳送一第一認證資料與一筆交易資料；(b)藉由具有一交易單元之第一部分資料的一主要伺服裝置取得該第一認證資料與該筆交易資料，並於成功認證該第一認證資料後，回傳對應於該筆交易資料的一代碼；(c)藉由該銷售點裝置取得該代碼；以及(d)藉由具有該交易單元之第二部分資料的一行動裝置接收該代碼，使該代碼(形成該主要伺服裝置與該行動裝置之一認證媒介。藉此，可提供一具有安全性的行動支付方法，該主要伺服裝置、該銷售點裝置與該行動裝置透過認證行為可確保連線對象正確無誤。

1‧‧‧行動支付系統

10‧‧‧銷售點裝置

11‧‧‧銷售點控制元件

12‧‧‧銷售點應用程式

13‧‧‧銷售點安全元件

14‧‧‧轉換單元

20‧‧‧行動裝置

21‧‧‧行動裝置控制元件

22‧‧‧行動裝置應用程式

23‧‧‧行動裝置安全元件

30‧‧‧主要伺服裝置

S1~S4‧‧‧步驟

S11~S14‧‧‧步驟

S21~S22‧‧‧步驟

S31~S33‧‧‧步驟

S41~S43‧‧‧步驟

圖1係本發明之行動支付系統1之一系統架構圖。

圖2係本發明一實施例之交易過程主要架構圖。

圖3係圖2步驟S1之一實施例之步驟流程圖。

圖4係圖2步驟S2之一實施例之步驟流程圖。

圖5係圖2步驟S3之一實施例之步驟流程圖。

圖6係圖2步驟S4之一實施例之步驟流程圖。

圖1係本發明之行動支付系統1之一系統架構圖，係用以進行一交易單元之交易行為，該行動支付系統1包括一銷售點裝置10、一行動裝置20與一主要伺服裝置30。該銷售點裝置10、該行動裝置20以及該主要伺服裝置30可各自相互連線傳輸資料。其中該交易單元較佳係一信用卡、銀行帳號、現金卡、儲值卡、點數帳號或虛擬貨幣等，或可對應以上交易資訊的代碼資料，藉此當傳送該代碼資料至其他金流系統進行交易時，該金流系統可辨識此代碼資料進行轉換成可於該金流系統實際進行交易的交易單元，該主要伺服裝置30較佳係一後端實際處理交易工作的金流端，其與一交易中心相連，藉此處理該交易單元之交易行為。另外，該主要伺服裝置30亦儲存有該交易單元之第一部分資料及對應使用者之基本資料，該第一部分資料係例如為信用卡的一部分卡號、或是銀行帳號的一部分帳戶號碼、或是解密信用卡號密文的密鑰、或是信用卡號經過密鑰加密過後的資料…等。相對應地，該交易單元的第二部分資料，例如為信用卡的其餘卡號、或是銀行帳號的其餘帳戶號碼、或是信用卡號經過密鑰加密過後的資料、或是解密信用卡號密文的密鑰…等，則係儲存於對應使用者之行動裝置20中。交易單元之第一部分資料與交易單元之第二部分資料，需要經一定程序處理後，方能組成原本完整的交易單元。

該銷售點裝置10可包括一銷售點控制元件11，用以儲存一第一認證資料以及產生一交易資料。該銷售點控制元件11較佳由在該銷售點裝置10上執行的一銷售點應用程式(App)12與一銷售點安全元件13所構成，該銷售點控制元件11執行於該銷售點裝置10上，用以使該銷售點裝置10與該主要伺服裝置30連線，並透過該銷售點安全元件13介接處理該連線。該第一認證資料係一專屬驗證機制，用以使該主要伺服裝置30得以辨識該銷售點裝置10，該機制可以係一帳號驗證密碼機制、一資料傳輸加密機制或二者兼具，本發明並無特定限制。其中，若為二者兼具的驗證機制，則該主要伺服裝置30需先以第一認證資料對應的解密方式將收到的密文進行解密，方能取得進行帳號驗證密碼機制所需資訊。該專屬驗證機制較佳儲存於該銷售點安全元件13裡，因此該銷售點裝置10於第一次運作前，必須呼叫該銷售點安全元件13先於該主要伺服裝置30上進行註冊，以取得與該主要伺服裝置30連線所需要的專屬驗證機制，並由銷售點安全元件13進行儲存。此外，該銷售點安全元件13也可以係其它態樣，例如係一可獨立執行的應用程式(App)13，或者該銷售點安全元件13係可以提供該銷售點應用程式12呼叫執行的一獨立應用程式(App)13，該銷售點應用程式12需經由該應用程式13驗證權限後，才能透過該應用程式13與該主要伺服裝置30連線傳輸資料，又或者該銷售點安全元件13係一預先編譯好的程式庫檔13(附檔名如.a、.so、.o、.la、.dll或.lib…等)，該銷售點應用程式12執行時須先呼叫該程式庫檔13，經過該程式庫檔13 驗證權限無誤後，才能透過該程式庫檔13與該主要伺服裝置30連線傳輸資料，本發明並無限制於一種態樣，但不論是哪一種態樣，該銷售點裝置10連線傳輸資料前皆必須由該銷售點安全元件13先取得該專屬驗證機制，且都必須經過該銷售點安全元件13驗證權限通過後，才能將資料交由該銷售點安全元件13傳輸至該主要伺服裝置30。

此外，該銷售點應用程式12更可包括一轉換單元14，用以轉換資料的格式，讓該行動裝置20可以直接由該銷售點裝置10取得資料進行讀取辨識，或將此轉換後的資料先寫入一介質(如可顯示QRCode圖形、可發出聲波、NFC標籤或藍牙標籤…等)，再讓該行動裝置20可以藉由該介質取得該銷售點裝置10寫入該介質的資料進行讀取辨識。

該行動裝置20可以係各種行動裝置，例如智慧型手機、平板電腦等可攜式裝置，本發明並無限制。該行動裝置20具有一行動裝置控制元件21，係用以儲存一第二認證資料與該交易單元之第二部分資料。該行動裝置控制元件21較佳係由一行動裝置應用程式(App)22以及一行動裝置安全元件23所構成，該行動裝置控制元件21執行於該行動裝置20上，用以使該行動裝置20與該主要伺服裝置30連線，並透過該行動裝置安全元件23介接處理該連線。如同該第一認證資料，該第二認證資料係一專屬驗證機制，該機制可以係一帳號驗證機制，亦可以係資料傳輸加密機制，或二者兼具，本發明並無限制。其中，若為二者兼具的驗證機制，則該主要伺服裝置30需先以第二認證資料對應的解密方式將收到的密文進行解密，方能取得進行帳號驗證密碼機制所需資訊。值得注意的是，若該第一認證資料與該第二認證資料使用帳號驗證機制時，該銷售點安全元件13與該行動裝置安全元件23分別存有不同的帳號密碼，該主要伺服裝置30透過不同帳號密碼可分辨不同的連線端身分；若該第一認證資料與該第二認證資料使用資料傳輸加密的方式時，該銷售點安全元件13與該行動裝置安全元件23會分別使用不同的連線加密方式，此處所謂不同的加密方式是指密碼學(cryptography)中加密演算法與加鹽(salt)此二種處理方式的變化組合，因此連線時，該主要伺服裝置30必須使用專屬於該銷售點安全元件13與該行動裝置安全元件23的解密方式，方可正確取得該等傳送的資料，同時可確認連線裝置的身份為該銷售點安全元件13或是該行動裝置安全元件23；此外，若該第一認證資料與該第二認證資料使用帳號驗證機制與資料傳輸加密二者兼具的驗證機制，會分二個步驟進行處理，第一步驟係，該主要伺服裝置30必須使用專屬於該銷售點安全元件13與專屬於該行動裝置安全元件23的資料解密方式，方可正確取得該等傳送的資料，同時可確認連線者是透過銷售點安全元件13或是該行動裝置安全元件23進行連線，以得知連線裝置的身份，第二步驟係，因為該銷售點安全元件13與該行動裝置安全元件23分別存有不同的帳號密碼，所以透過帳號驗證機制，可得知連線裝置的身份，最後，比對第一步驟與第二步驟所分別取得的連線裝置身份，必須為相同的連線裝置身份，方能視為驗證成功，反之，若比對結果為不同的連線裝置身份，則視為驗證失敗。該專屬驗證機制之資訊較佳儲存於該行動裝置安全元件23裡，因此該行動裝置20於第一次運作前，必須先於該主要伺服裝置30上進行註冊，以取得與該主要伺服裝置30連線所需要的專屬驗證機制，並由行動裝置安全元件23進行儲存。

此外，該行動裝置安全元件23亦可以係不同的態樣，例如可以係本身即包括該行動裝置應用程式22與該行動裝置安全元件23功能之一可獨立執行的應用程式(App)23，或者該行動裝置安全元件23係可提供該行動裝置應用程式22呼叫執行的一獨立應用程式(App)23，該行動裝置應用程式22需經由該應用程式23驗證權限後，才能透過該應用程式23與該主要伺服裝置30連線傳輸資料，又或者該行動裝置安全元件23係一預先編譯好的程式庫檔23(附檔名如.a、.so、.o、.la、.dll或.lib…等)，該行動裝置應用程式22執行時須先呼叫該程式庫檔23，經過該程式庫檔23驗證權限無誤後，才能透過該程式庫檔23與該主要伺服裝置30連線傳輸資料，本發明並無限制於一種態樣，但不論是哪一種態樣，該行動裝置20連線傳輸資料前皆必須由該行動裝置安全元件23先取得該專屬驗證機制，且都必須經過該行動裝置安全元件23驗證權限通過後，才能將資料交由該行動裝置安全元件23傳輸至該主要伺服裝置30。

因此不論是該銷售點裝置10或該行動裝置20，於連線至該主要伺服裝置30時，都必須先通過認證方可連線進行資料傳輸，因此可避免未認證的裝置參與連線，且每一裝置皆有各自的專屬驗證機制，更可確保每一裝置連線的安全性。

圖2係本發明一實施例之交易過程主要架構圖，該流程主要可分為步驟S1：該銷售點裝置10與該主要伺服裝置30之連線、步驟S2：該行動裝置20與該銷售點裝置10之連線、步驟S3：該行動裝置20與該主要伺服裝置30之連線、以及步驟S4：該主要伺服裝置30執行該交易行為。

圖3係圖2步驟S1之一實施例流程圖，在此實施例下，該銷售點控制元件11係屬於由該銷售點應用程式12與該銷售點安全元件13所構成的態樣，並且已取得該主要伺服裝置30的專屬驗證機制。該流程首先進行步驟S11，該銷售點應用程式12產生交易資料，並將該交易資料傳送至該銷售點安全元件13，該交易資料可以係訂單編號、金額、銷售點代號、其它必要資料或該等的組合。之後進行步驟S12，該銷售點安全元件13將該交易資料與該第一認證資料傳送至該主要伺服裝置30。之後進行步驟S13，該主要伺服裝置30藉由該第一認證資料驗證該連線端是否係可識別的銷售點裝置10，若可辨識則產生一代碼，之後進行步驟S14，將該代碼回傳至該銷售點安全元件13，該銷售點安全元件13再傳送該代碼至該銷售點應用程式12，其中該代碼較佳為雜湊字串(Hash)或二進制資料，並可對應至該交易資料。之後進行步驟S15，該銷售點應用程式12將該代碼轉換為一資料格式或將此傳換後的資料格式儲存至一介質，該資料格式係該行動裝置20可讀取之資料格式。此外，假如該代碼本身可以被該行動裝置20讀取，則可不進行格式轉換。之後進行步驟S16，該行動裝置20由該該銷售點應用程式12或該介質讀取該代碼。至此，可完成步驟S1之流程。

藉此，該代碼可被視為該主要伺服裝置30與該行動裝置20之一認證資料。

圖4為圖2步驟S2之一實施例之步驟流程圖，此實施例下，該行動裝置控制元件21係屬於由該行動裝置應用程式22與該行動裝置安全元件23所構成的態樣，並且已取得該主要伺服裝置30的專屬驗證機制。該流程首先進行步驟S21，該行動裝置20透過該行動裝置應用程式22執行硬體取得該代碼，該硬體可以係麥克風、相機、NFC裝置、藍牙裝置或WIFI裝置…等，該代碼經由轉換後則可以為對應該硬體之麥克風取得聲紋、相機掃描圖形、NFC傳送資料、藍牙傳送資料或WIFI傳送資料…等。之後進行步驟S22，該行動裝置應用程式22將該取得的已轉換代碼轉換成原始的代碼，並傳送給該行動裝置安全元件23。至此，可完成步驟S2之流程。

圖5係圖2步驟S3之一實施例之步驟流程圖，首先進行步驟S31，該行動裝置安全元件23將該代碼與該第二認證資料傳送至該主要伺服裝置30。之後進行步驟S32，該主要伺服裝置30藉由該第二認證資料以驗證連線端是否係可辨識的行動裝置20，以及藉由該原始的代碼驗證該行動裝置20是否係本次交易的欲使用的裝置，若該第二認證資料驗證無誤，則該行動裝置20方可與該主要伺服裝置30進行連線傳輸資料，若該代碼驗證無誤，則該主要伺服裝置30將該交易資料傳送給該行動裝置20。之後進行步驟S33，該行動裝置20接收該交易資料，並顯示出一確認購買的訊息給該行動裝置20的使用者，該使用者確認購買後，該行動裝置20中的該行動裝置安全元件23可取得一確認購買之確認交易訊號，並進行步驟S34，藉由該行動裝置安全元件23將該第二認證資料、該確認購買訊號、該原始的代碼以及該交易單元的第二部分資料傳送至該主要伺服裝置30，其中該確認購買訊號除了使用者所輸入的確認購買指令外，尚可包括一使用者確認動作。至此，可完成步驟S3之流程。

值得注意的係，該確認交易訊號係來自外部的一輸入訊號。該確認交易訊號舉例來說可以是耳機孔、螢幕觸控(如文字手寫或點擊輸入)、麥克風、相機、NFC、藍牙、生物辨識、WIFI、USB、記憶卡及各項感測器(如加速度感測器、趨近感測器、環境光線感測器、陀螺儀…)…等裝置之輸入訊號。由於該主要伺服裝置30除了確認該行動裝置20是否可供辨識外，尚需要該行動裝置20提供由該銷售點裝置10所傳送的代碼方可將訂單資料傳送給該行動裝置20，如此一來除了多了一道安全機制外，更可確保該行動裝置20的使用者是正確的購買者。

接著說明步驟S24的詳細過程，其係利用該驗證模組5，根據至少一特徵顏色點來驗證該等車輛物件或路標號誌物件的正確性。相似地，該驗證模組5亦可針對車輛及路標號誌分別進行驗證。在驗證車輛時，該驗證模組5依照一預設條件而從該車輛方框65中取出一車燈位置範圍，例如由車頂依照一預設比例向下搜尋一距離，但並非限定，本發明亦可適用其他方式來找出該車燈位置範圍。

圖6係圖2步驟S4之一實施例之步驟流程圖，首先進行步驟S41，該主要伺服裝置30驗證該使用者確認動作，該使用者確認動作係一安全驗證機制，可以係輸入密碼與透過硬體裝置輸入身分驗證資訊，該硬體可以係麥克風、相機、NFC裝置、藍牙裝置、生物辨識或WIFI裝置…等，如採用生物辨識裝置輸入，則可能是視網膜辨識或指紋輸入等，也可以併用該等驗證身分的資訊，並預先儲存在該主要伺服裝置30上，藉此能夠於購買時進行比對確認。之後進行步驟S42，當主要伺服裝置30確認使用者身分無誤後，將該交易單元的第一部分資料與第二部分資料經一定程序處理後，形成一完整的交易單元資料，接著將該交易單元資料與該交易資料傳送至該交易中心(可為銀行等金融機構或其他金流平台)進行交易。之後進行步驟S43，當交易完成後，該主要伺服裝置30可傳送一交易完成訊息至該銷售點裝置10之該銷售點安全元件13與該行動裝置20之該行動裝置安全元件23，藉此完成此次交易；亦可由該銷售點裝置10透過該銷售點安全元件13與該行動裝置20透過該行動裝置安全元件23，主動向主要伺服裝置查詢交易結果。其中可使該交易完成訊息先傳送至該銷售點裝置10後再傳送至該行動裝置20，藉此可使銷售點裝置10端的商家可預先處理後續交易程序，縮短使用者等待交易的時間，使用者亦可於行動裝置20上接獲已付款完成的訊息。於此，S4之流程可完成。

由於該交易單元的資料並不完全儲存於該行動裝置20或該主要伺服裝置30上，不論哪種裝置遭受竊取，該交易單元的完整資料也不會外流，且本發明系統之銷售點裝置10不會存有任何該交易單元的資料，亦可增加使用上的安全性。

此外，在一較佳實施例裡，本發明之資料傳送過程，對於所傳送的資料(例如該第一認證資料與該主要伺服裝置30的連線過程或該第二認證資料與該主要伺服裝置30的連線過程)可使用非對稱式加密方式(asymmetric cryptography)進行其中一道加密程序，例如對所傳送的資料進行超文字傳輸安全協定(Https，Hypertext Transfer Protocol Secure)、安全線上編碼協定(SSL，Secure Sockets Layer)、TLS(Transport Layer Security)…等加密處理。

另外，在本發明之該行動支付系統1中，該銷售點裝置10與該主要伺服裝置30之連線、該行動裝置20與該主要伺服裝置30之連線為各自獨立的連線，且亦可各自使用可使用非對稱式加密方式來進行加密，當該銷售點裝置10與該主要伺服裝置30之連線完成訂單資訊處理後，該行動裝置20才會進行與該主要伺服裝置30付款程序處理之連線，然而在其他實施例裡亦可以係該銷售點裝置10與該行動裝置20各自透過對方介接處理至該主要伺服裝置30之連線或代為轉送資料至該主要伺服裝置30。介接處理至該主要伺服裝置30之連線，可使用已知或自行研發之通道協定(Tunneling Protocol)，如VPN協定(virtual private network)、代理伺服器(Proxy Server)或IP分享器…等為常見的通道協定的實施方式。當該銷售點裝置10無法與該主要伺服裝置30連線，而該行動裝置20可與該主要伺服裝置30連線時，該銷售點裝置10可透過該轉換單元14將欲傳送至該主要伺服裝置30的資料轉換為該行動裝置可讀取的格式，並傳送至該行動裝置20，再由該行動裝置20傳送至該主要伺服裝置30，反之該行動裝置20也可以透過該銷售點裝置10而與該主要伺服裝置30連線。

藉此，本發明提供一種具備安全性的行動支付系統與方法，在連線時只允許通過認證的銷售點裝置10與行動裝置20可以連線至該主要伺服裝置30，且每一銷售點裝置10與行動裝置20皆有專屬的認證機制，藉此可確保連線的安全性。此外本發明的系統與方法更提供一代碼作為銷售點裝置10、行動裝置20與主要伺服裝置30的另一認證機制，確保該銷售點裝置10係本次交易正確的銷售點裝置，該行動裝置20係本次交易正確的行動裝置。另外本發明中，使用者交易單元的完整資料不會儲存在任何裝置中，因此即便裝置中的資料受到竊取，交易單元的資料也不會外流。

上述實施例僅係為了方便說明而舉例而已，本發明所主張之權利範圍自應以申請專利範圍所述為準，而非僅限於上述實施例。