[发明专利]用于保护在消费者移动设备和计算装置上的个人识别号码输入隐私的系统和方法

说明书

一种用于接受PIN的输入的系统，该系统包括第一设备，该第一设备接收在第四设备上导出的随机的PIN布局。该随机的PIN布局显示在所述第一设备的显示器上。第二设备包括输入端，用于接受一系列键按压以生成PIN令牌。该PIN令牌指示了所述一系列键按压中的每一个。第三设备与第二设备通信。所述第三设备导出所述随机的PIN布局并从所述第二设备接收所述PIN令牌，所述PIN令牌不存在于所述第一设备上。所述第三设备组合所述PIN布局和所述PIN令牌，以生成PIN。所述PIN用于验证交易。第四设备和第三设备中的每一个存储共享秘密，该共享秘密用于在第四设备和第三设备上独立地导出所述随机的PIN布局。

技术领域

本发明涉及一种用于在安全级别不足的设备(例如移动计算设备)上的安全的PIN输入的系统和方法。

背景技术

电子支付、转账和银行业务可以通过各种方式进行。通常，交易需要使用支付卡、银行卡或者移动设备上的虚拟卡。用户、卡持有者或账户持有者通常将支付卡与支付终端或ATM机接口连接。最常见的安全形式是PIN(personal identification number，个人识别号码)。PIN是短的、数字型或α数字型字符串，并且由用户作为安全措施输入以验证其身份。这种输入通常被输入到支付终端上的机械或触摸屏小键盘(keypad)或者键盘上。可以使用磁条、直接电触点以及通过使用诸如RFID和NFC的短距离无线协议将支付卡与支付终端的读卡器接口连接。

典型的支付终端包括：用于PIN输入的接口、用于与卡接口连接的一个或多个读卡器接口、用于与处理交易的金融机构进行通信的通信接口、用于处理交易流并且处理人与交易流交互的支付应用、以及提供用于用户交互的手段的用户接口(例如屏幕、小键盘或触摸面板等)。这种高成本的支付终端阻止小商户接受卡支付。

最近，智能手机和平板电脑变得非常常见，并且传统支付终端中的大部分功能可以在智能设备上实现。支付应用可以在智能设备上运行，并且这种智能设备提供各种通信方法来连接到交易处理实体。在这种情况下，支付终端的功能可以减小到两个基本功能：接受PIN以及与卡接口连接。在大多数应用中，在支付终端上而不是在移动设备上接受PIN，因为难以确保在不是为此目的设计的移动设备上的PIN的隐私。

通过使用移动设备，支付终端的成本降低了，特别是对于不需要PIN的卡交易，简单的读卡器可以与智能设备一起用于处理卡交易。然而，对于需要PIN的交易，接受PIN支付终端的成本对于较小的商户仍然太高。

为了增加使用普通消费者移动设备的PIN输入的安全性，已经提出了许多改进。许多这些改进涉及保护PIN和加密键。提出的一种改进是使用随机小键盘，该随机小键盘在每次输入PIN时变化。另一种改进是具有两个设备：显示PIN布局的第一设备以及输入PIN的第二设备。PIN布局可以是固定的(其是不变的)或者是随机的(其在每次要求用户输入PIN时变化)。用于输入数据的第二设备可以仅显示框或可以显示空白屏幕。用户观察第一设备以确定键的布局，并通过按压或触摸键在第二设备上输入PIN。第二设备上的用户输入被传输到第一设备并且第一设备获取该PIN。然后，第一设备可以加密PIN并发送到支付网络。这些方法的一个缺点是PIN布局和PIN击键(也被称为PIN令牌)出现在同一个设备上并且出现了单个的攻击点。

因此需要一种PIN布局、PIN令牌不一起存在于同一设备上的PIN安全解决方案。此外，有利的是，任何加密键也不存在于与PIN布局或PIN令牌相同的设备上。

发明内容

本发明的第一主要的实施例是一种用于接受PIN的输入的系统，该系统包括：第一设备、第二设备和第三设备。第一设备从第四设备接收随机的PIN布局。第四设备导出随机的PIN布局，并且第一设备在第一设备的第一显示器上显示随机的PIN布局。第二设备包括输入端，用于接受一系列键按压以生成指示该一系列键按压中的每一个的PIN令牌。第三设备与第二设备通信。所述第三设备导出所述随机的PIN布局并从所述第二设备接收所述PIN令牌，而所述PIN令牌不存在于所述第一设备上。所述第三设备组合所述PIN布局和所述PIN令牌，以生成用于对交易进行验证的PIN。