專利名稱:付款系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及用于進行電子交易的方法和設備�����。本發(fā)明尤其涉及便攜式電子授權設備(PEAD)�,它有利并充分地消除了與驗證一個用戶和一個電子交易系統(tǒng)之間的交易的現(xiàn)有技術相關的安全風險�����。
本發(fā)明涉及用于進行電子交易的方法和設備���。本發(fā)明尤其涉及便攜式電子授權設備(PEAD)�,它有利并充分地消除了與驗證一個用戶和一個電子交易系統(tǒng)之間的交易的現(xiàn)有技術相關的安全風險�����。
背景技術:
電子交易系統(tǒng)是已知的���。一個電子交易系統(tǒng)通常允許一個用戶用電子的方式進行指定的交易���,這充分提高了用戶的效率和便利。電子交易的例子包括通過計算機網(wǎng)絡、自動柜員機(ATM)����、自動銷售點系統(tǒng)、自動圖書館系統(tǒng)以及類似的系統(tǒng)進行的交易�����。通過計算機網(wǎng)絡進行的交易包含的交易范圍很寬�����,包括通過一個一般稱為互聯(lián)網(wǎng)的計算機網(wǎng)絡來交換信息和數(shù)據(jù)����,以便在網(wǎng)絡上從賣主購買商品���。ATM通常使得用戶能夠與一個金融機構以電子的方式進行金融交易(例如提款�����、轉賬�、存款以及類似的交易)�。自動銷售點系統(tǒng)可被商家用來使用戶能夠利用用戶的電子帳戶購買產(chǎn)品或服務,而自動圖書館系統(tǒng)可用來使圖書館用戶能夠借出和歸還圖書館的資料。電子交易系統(tǒng)的其他例子很容易在普及的文獻中找到���,為簡潔起見此處不再列舉���。
為增強用戶帳戶的安全性,電子交易系統(tǒng)通常要求用戶提供標識數(shù)據(jù)以證明他是被授權認可進行提出的一個或多個交易的用戶��。如果用戶不能提供要求的標識數(shù)據(jù)�,則提出的一個或多個交易不被授權,并且不會被處理����。可能每次交易都要求標識數(shù)據(jù)����。例如,一個自動銷售點系統(tǒng)可能要求用戶認可一個購買交易��,并且只有當認可交易的用戶已經(jīng)提供了充足的標識數(shù)據(jù)����,證明他自己是被授權執(zhí)行認可的用戶時,才會接受認可消息����。標識數(shù)據(jù)也可由用戶在一個會話開始時輸入以證明他自己�,并且使得用戶隨后執(zhí)行任意數(shù)目個交易�,不必再進行認證。
在現(xiàn)有技術中���,通常要求用戶手動地將標識數(shù)據(jù)輸入到電子交易系統(tǒng)中進行認證����。通常�,標識數(shù)據(jù)的輸入涉及在一個數(shù)字鍵盤上或一個鍵盤上鍵入一個密碼��。然后將標識數(shù)據(jù)與先前存儲在電子交易系統(tǒng)中的數(shù)據(jù)進行比較��,當兩者匹配時則滿足了認證�����。正如先前所提到的��,如果不匹配則不會允許進行提出的一個或多個交易�����。
雖然現(xiàn)有技術的電子交易系統(tǒng)對于未授權的訪問和使用用戶帳戶提供了某些保護,但是有一些缺點�。為了說明與現(xiàn)有技術電子交易系統(tǒng)有關的某些缺點,此處可參考圖1��。圖1顯示了一個自動柜員機(ATM)100�,它代表了一個電子交易系統(tǒng)102的請求設備。電子交易系統(tǒng)102可包括��,例如�����,一個中央數(shù)據(jù)庫104��,它包含了先前存儲的用戶106的標識數(shù)據(jù)和帳戶數(shù)據(jù)����。
為了啟動一個與ATM 100的典型交易,用戶106首先將一張數(shù)據(jù)卡107���,例如一張銀行卡或一張信用卡插入一個讀卡器109�。數(shù)據(jù)卡107通常包括一個磁條�����,其中中包含了與用戶有關的帳戶號碼和其他信息,然后這些信息可被讀卡器109讀取�。存儲在數(shù)據(jù)卡107中的數(shù)據(jù)使得電子交易系統(tǒng)102確定用戶106希望數(shù)據(jù)庫104中的哪個帳戶進行交易。
然后用戶106可通過ATM 100上的一個鍵盤108輸入他的標識數(shù)據(jù)��,例如���,他的個人標識號(PIN)來證明他自己����。如果輸入的標識數(shù)據(jù)與存儲在數(shù)據(jù)庫104中由數(shù)據(jù)卡107標識的帳戶的標識數(shù)據(jù)相匹配��,則用戶被認證并被允許訪問其帳戶��。如果不匹配���,則認證失敗。認證之后���,用戶106能夠利用鍵盤108和一個屏幕110的組合來從他的帳戶中取出現(xiàn)金����,這使得現(xiàn)金從ATM 100中取出����,并且數(shù)據(jù)庫104中他的帳戶的余額相應減少����。
理論上���,輸入ATM 100的標識數(shù)據(jù)應該是安全的����。實際上�,在現(xiàn)有技術的認證技術中,對于標識數(shù)據(jù)有許多潛在的安全風險����。由于標識數(shù)據(jù)在輸入到ATM 100之前未被加密,因此未加密的標識數(shù)據(jù)容易被未經(jīng)授權地訪問和獲得�。在現(xiàn)有技術中,標識數(shù)據(jù)的加密是不現(xiàn)實的���,因為用戶要執(zhí)行加密或者記住加密后的標識數(shù)據(jù)太復雜和/或不方便了���。在現(xiàn)有技術中,未經(jīng)授權地獲取標識數(shù)據(jù)可能發(fā)生在輸入時無意中被另一方看見����,例如�,被用戶106后的另一個人在屏幕110上或者更可能在鍵盤108上看見�。
即使在現(xiàn)有技術中標識數(shù)據(jù)在從ATM 100發(fā)送到數(shù)據(jù)庫104之前被加密,加密也通常是發(fā)生在ATM 100內�,仍然要求用戶106輸入未加密的標識數(shù)據(jù),標識數(shù)據(jù)也仍然會在ATM 100中存在一段時間�����。從而如果未經(jīng)授權的一方能夠進入ATM 100并且通過ATM 100中實現(xiàn)的軟件或硬件截取其中的未加密的標識數(shù)據(jù)��,則可能發(fā)生對標識數(shù)據(jù)的未經(jīng)授權的訪問���。
此外�����,如果ATM 100內采用了公共密鑰,則將用戶私人密鑰存儲在ATM 100內使得此私人密鑰易被竊取��,進一步將用戶帳戶暴露在了危險之中��。然后被竊取的密碼和/或私人密鑰可被用于使得未經(jīng)授權的用戶訪問用戶帳戶��,對用戶產(chǎn)生危害。
從前述內容來看����,希望這樣的設備和方法,用于用電子交易系統(tǒng)進行交易��,同時充分消除未經(jīng)授權地訪問用戶帳戶和未經(jīng)授權地獲取用戶標識數(shù)據(jù)的危險��。這種設備最好應該是便攜的��,使得用戶在任何地方都能夠方便和舒適地執(zhí)行交易�。
發(fā)明內容
揭示了一種方法,用于使一個用戶能夠利用一個電子交易系統(tǒng)的一個記賬終端來進行一個記賬的交易�,其中記賬卡終端被配置為與一張記賬卡交互以便進行記賬卡交易,向進行記賬卡交易的一個商家(merchant)提供一張商家卡����,包括在要進行記賬卡交易的商家的記賬卡終端接受商家卡和來自進行記帳卡交易的用戶的一個個人標識號碼或移動電話號碼,在一個中央處理區(qū)域檢測商家卡的使用����,響應所述的檢測步驟,利用電話號碼或個人標識號碼向記帳卡交易所需的授權人的移動電話發(fā)出一個呼叫�,將一份用戶記帳卡交易的報告發(fā)送給移動電話,并且僅當授權人認可時才將對記帳卡交易的認可授權返回商家的記帳卡終端���。
商家還可輸入來記帳的量以及要進行的交易類型的標識�。
可以向商家卡分配一個有效的信用卡號碼,檢測商家的有效的信用卡號碼來啟動呼叫授權人的移動電話的步驟���。
本方法還可包括以下步驟通過一個中央處理服務器過濾來自商家的記帳卡終端的所有信用卡交易���,并且響應該過濾步驟,如果從商家接收到的卡號不是一個唯一的商家分配的號碼�,則服務器什么也不做,或者如果卡號是一個唯一的商家分配的號碼����,則用電話號碼或個人標識號碼作為索引在付款服務器的數(shù)據(jù)庫中查找信息。
本方法還可包括���,付款服務器用與交易有關的電話號碼或個人標識號碼作為一個存儲了被要求授權交易的個人的移動電話號碼的數(shù)據(jù)庫的一個索引�����。
在本方法中�����,數(shù)據(jù)庫還可存儲一條關于是否授權人的移動電話號碼具有一個內嵌的PEAD的記錄�����。如果確定授權人的移動電話具有一個PEAD����,則服務器向授權人的電話發(fā)送一條交易消息�����,以便用內嵌在電話中的一個PEAD進行認可���,授權人通過在移動電話上輸入一個個人標識號來認可交易�����。
如果數(shù)據(jù)庫查找指示授權人的移動電話是一個按鍵式電話�����,則服務器將向授權人的移動電話發(fā)送一條消息�����,請求一個認可的撥號音����。
數(shù)據(jù)庫服務器可利用一個交互式語音應答系統(tǒng),以便將交易信息傳送到授權人的移動電話��。
在授權人授權/認可交易后�����,利用從包括信用卡��、ATM���、銀行帳戶或借記卡的群組中選出的一個帳戶�����,可對授權人的帳戶進行一個清算���。
為幫助討論,圖1顯示了一個現(xiàn)有技術的電子交易系統(tǒng)��,包括一個自動柜員機(ATM)����。
圖2描述了根據(jù)本發(fā)明的一個實施方式的一個便攜式電子授權設備(PEAD)�����,它代表了用于安全地認可與一個電子交易系統(tǒng)進行的交易的設備。
圖3A顯示了了本發(fā)明的一個實施方式中圖2的PEAD的一個簡化的示意圖�。
圖3B顯示了一個實施方式中具有代表性的交易認可數(shù)據(jù)的格式。
圖4描述了根據(jù)本發(fā)明的一個實施方式的PEAD的一個邏輯框圖���。
圖5A顯示了根據(jù)本發(fā)明的一個實施方式的PEAD的一個高層硬件實施方式�。
圖5B描述了一個PEAD的一個實施方式���,其中PEAD電路在一個IC中實現(xiàn)����。
圖5C顯示了圖5B的PEAD在嵌入到一個卡狀封裝中時的一個外部視圖���。
圖6A描述了根據(jù)本發(fā)明的一個首選實施方式的PEAD的一個外部視圖����。
圖6B以簡化的方式根據(jù)本發(fā)明的一個方面描述了實現(xiàn)圖6A的PEAD的硬件����。
圖7是一幅流程圖��,它根據(jù)本發(fā)明的一個方面描述了采用所發(fā)明的PEAD的認可技術���。
圖8是一幅流程圖,它根據(jù)本發(fā)明的一個方面描述了使一個公共密鑰加密技術加密交易認可數(shù)據(jù)中所涉及的步驟��。
圖9根據(jù)本發(fā)明的一個方面描述了一個便攜式電子記帳和授權設備(PECAD)的一個簡化的框圖�。
圖10是根據(jù)本發(fā)明的一個實施方式的一個PECAD的一個簡化視圖,其中安裝了一個仿真卡��。
圖11是一個簡化的流程圖��,它根據(jù)一個實施方式描述了一個交易號碼如何與一個PECAD系統(tǒng)結合使用來提高交易安全性����。
圖12是本發(fā)明的方法和設備的一個示意圖。
具體實施例方式
本發(fā)明進一步涉及一個付款系統(tǒng)(EPS)��,用于用一個電話號碼進行付款���,并且使用一個PEAD或一個移動電話來認可付款���。為了集成到現(xiàn)存的銷售點系統(tǒng)中����,一個有效的信用卡號碼被預定為一個eSignX商家卡號碼(EMC號碼)�����。對于一個將其電話號碼(最好是他/她的移動電話號碼)注冊在eSignX付款系統(tǒng)中的用戶�����,可能通過將其電話號碼提供給一個商家在銷售點付款��。商家可以讀取eSignX商家卡(EMC)����,然后輸入一個客戶移動電話號碼�����、要記帳的量以及其他可選信息�。由于EMC號碼是一個有效的信用卡號碼,因此電話號碼和記帳信息將會經(jīng)過現(xiàn)有的付款解決設施����,例如Visa或MasterCard�,并且將被現(xiàn)有的數(shù)據(jù)處理器所處理����,例如第一數(shù)據(jù)公司(FDC)。本發(fā)明僅需要在現(xiàn)有的設施中安裝一個eSignX付款服務器��,以便通過過濾所有經(jīng)過系統(tǒng)的記帳卡號碼來獲取唯一的EMC號碼��。如果該卡號不是唯一的EMC號碼���,則不進行任何操作����。如果該卡號是唯一的EMC號碼�,則用電話號碼作為索引查找eSignX付款服務器中的數(shù)據(jù)庫。如果查找結果指示用戶的移動電話嵌入有一個PEAD�,例如一部具有WIM卡或SWIM卡的WAP電話,或一部具有xDSM軟件PEAD模塊的Java電話�,則eSignX付款服務器將向用戶的電話發(fā)送一條交易消息,以便用嵌入在電話中的一個PEAD來進行認可���。如果查找結果指示用戶的移動電話是一個按鍵式電話���,則eSignX付款服務器將通過一個IVR(語音交互應答)系統(tǒng)來呼叫用戶的移動電話���,以便用撥號音來進行認可。
可通過參看圖12的框圖來理解一個示例性的交易��,該圖描述了本實施方式的基本物理元件�,以及本方法和設備所使用的數(shù)據(jù)流。第一步��,當一個交易要在一個商家處被授權時���,為了使此系統(tǒng)的用戶在銷售點付款�,用戶只需要在交易之前將他的電話號碼(最好是他或她的移動電話號碼)注冊在eSignX付款系統(tǒng)中�����,然后通過將電話號碼提供給商家從而在銷售點付款��。當然����,注冊一個個人標識號碼���,并將個人標識號碼提供給商家也是等效的���。
在任一種情況下�����,在接收到移動電話號碼的個人標識號碼后��,商家在一個標準讀卡機1204中讀取一張由eSignX發(fā)行的商家卡����,其中標準讀卡機1204與當前用于讀取信用卡的讀卡機是一個類型的����。在讀取商家卡之后,商家輸入客戶的移動電話號碼(或個人標識號碼)��、要記帳的量和其他可選信息���。
由于被讀卡機1204讀取的EMC號碼是一個有效的信用卡號碼�����,從而電話號碼和記帳信息可經(jīng)過現(xiàn)有的付款解決設施�����,例如Visa或MasterCard所使用的設施����,并且被一個現(xiàn)存的數(shù)據(jù)處理器所處理,例如第一數(shù)據(jù)公司�,它維護了一個大規(guī)模的數(shù)據(jù)處理中心1210,輸入的數(shù)據(jù)被引到這里�����。
除了已經(jīng)在此中心進行的數(shù)據(jù)處理外���,本方法僅需要在1210處或另一地點安裝一個用于捕獲用EMC商家卡1202輸入的數(shù)據(jù)的付款服務器���。這可以通過用一個服務器1220來完成��,該服務器可在通常在信用卡數(shù)據(jù)處理中心進行數(shù)據(jù)處理之前或之后合并到主數(shù)據(jù)處理中心1210中?,F(xiàn)有的設施中的付款服務器1220的功能是從商家卡1202獲取唯一的商業(yè)標識(EMC)號碼,最好通過過濾所有經(jīng)過系統(tǒng)的記帳卡號碼而獲取���。如果卡號不是一個來自EMC卡1202的唯一EMC號碼�,則商家卡付款服務器1220不進行任何操作�����。
如果卡號是一個唯一的商業(yè)(EMC)號碼,則數(shù)據(jù)立即被轉移到EMC付款服務器1220�����,以便用電話號碼或個人標識號碼作為索引來在數(shù)據(jù)庫中查找與必須授權交易的人(它可能是也可能不是發(fā)行者)有關的所有可用信息�����。
所述認可然后能夠與正在進行的交易同時從移動電話號碼或個人標識號碼所指向的移動電話1230��;這可以是或不是由請求進行交易的個人所持有的移動電話���。
如果付款服務器1220處的查找結果指示用戶的移動電話中嵌入有一個PEAD�����,例如一個WAP電話或WIM卡�����、SWIM卡或具有xDSM軟件PEAD模塊的Java電話���,則付款服務器1220向授權人的電話1230發(fā)送一條交易消息�����,用于用嵌入在電話中的一個PEAD進行認可�。在具有PEAD的移動電話的持有人接收到該消息后���,他們可以輸入一個認可碼���,或忽略該消息,或輸入不認可碼�。
在替換實施方式中,如果查找結果指示用戶的移動電話是一個按鍵式電話�����,則付款服務器1220發(fā)送一條消息�,或通過一個交互式語音應答系統(tǒng)呼叫用戶的移動電話,以請求一個認可的撥號個人標識號碼����。
在任一情況下�,與移動電話號碼或個人標識號碼相關的移動電話1230的持有者都保持著對交易認可的控制,不論他們是否出現(xiàn)在交易地點。
圖2根據(jù)本發(fā)明的一個實施方式描述了一個便攜式電子授權設備(PEAD)200��,它表示了用于安全地認可與一個電子交易系統(tǒng)進行的交易的設備��。參見圖2�����,請求設備202可通過經(jīng)過通過端口204向PEAD200發(fā)送一個與提出的交易有關的交易請求�����,來開始一個與PEAD 200的交易認可過程�����。請求設備202可代表��,例如���,一臺ATM機�����、一個網(wǎng)絡中的一個計算機終端����,一個自動圖書館借出終端,或者類似的用于使得用戶能夠與電子交易系統(tǒng)進行交易的設備���。提出的交易可以是�,例如���,對一個特定項目的銷售以換取一定量的金錢的交易����。交易請求本身可包括����,例如,交易標識符��、商家的名稱���、商家的標識��,提出購買的時間等����。在一個實施方式中����,來自請求設備202的交易請求可以被加密以增強安全性,但這不是必須的�����。與提出的交易有關的數(shù)據(jù)通過圖2中的路徑206到達PEAD 200��。
端口204可表示一個紅外端口��,以促進與PEAD 200的紅外通信����。端口204也可表示一個無線端口,用于促進無線通信��。端口204甚至可以表示一個接觸類連接的端口���,例如一個磁讀/寫機制�,或一個具有電接觸的用于直接將PEAD 200插進端口204以促進通信的插頭����。用于促進請求設備202和PEAD 200之間的通信的其他技術是易被技術熟練者所理解的��。
然后用戶可在請求設備202的一個屏幕208或者可選地在PEAD200提供的一個顯示屏幕(圖2中未顯示)上查看與提出的交易有關的數(shù)據(jù)����。如果用戶認可交易�����,例如���,用一定量的金錢購買一個項目���,則用戶可通過激活PEAD 200上的一個開關210來表示其認可,這使一條認可消息以用戶的標識數(shù)據(jù)被創(chuàng)建����、加密并通過路徑212被發(fā)送回請求設備202。如果交易未被認可���,則用戶只要不進行任何操作����,讓交易請求在一段時間之后過期或者激活PEAD 200上的另一個開關(圖1中未顯示)��,它使得一條加密或未加密的拒絕消息通過路徑212被發(fā)送回請求設備202。
本發(fā)明與圖1的現(xiàn)有技術不同的是在現(xiàn)有技術中用戶必須將他的標識數(shù)據(jù)輸入到電子交易系統(tǒng)��,例如���,輸入到ATM 100中,來認證他自己��。相反��,本發(fā)明使得與用戶相關的標識數(shù)據(jù)在PEAD內始終安全��。交易認可在PEAD 200內發(fā)生����,代表這種認可的數(shù)據(jù)在被發(fā)送到電子交易系統(tǒng)(例如圖2中的請求設備202)之前在PEAD 200內被加密。
因此����,即使認可數(shù)據(jù)被截取,其加密也將防止未被授權的用戶將標識數(shù)據(jù)用于違法用途����。如果采用公共密鑰加密來加密認可數(shù)據(jù),則用戶私人密鑰也始終保持在PEAD 200內�����。由于用戶私人密鑰是加密所必需的,并且他人(甚至一個實施方式中的電子交易系統(tǒng))都不知道�����,因此加密的認可數(shù)據(jù)如果被截取�,對于未被授權的第三方也是沒用的,即使可以用用戶公共密鑰來對認可數(shù)據(jù)進行解密�����。此外���,這與現(xiàn)有技術的授權技術是不同的����,現(xiàn)有技術中加密在電子交易系統(tǒng)中發(fā)生���,并且要求輸入標識數(shù)據(jù)和/或從標識卡例如一張ATM卡���、一張信用卡等讀取用戶私人密鑰。正如先前提到的,現(xiàn)有技術的電子交易系統(tǒng)要求此標識數(shù)據(jù)和/或用戶私人密鑰的事實將這些數(shù)據(jù)暴露在危險中�����,例如����,如果請求設備不安全或者可能通過軟件或硬件截取。
另一個不同之處是���,本發(fā)明采用便攜式電子授權設備(PEAD)內的電路來執(zhí)行PEAD本身之內的交易認可數(shù)據(jù)的認可和加密。相反�,現(xiàn)有技術的數(shù)據(jù)卡基本上是被動設備。例如��,現(xiàn)有技術ATM卡或者信用卡只具有一條用于存儲帳戶信息的磁條���,不具有任何執(zhí)行交易認可數(shù)據(jù)的認可和/或加密的設備���。而現(xiàn)在正被開發(fā)的IC卡的智能卡可包括電子電路,當前其實施標準仍然要求一個與請求設備相關聯(lián)的讀卡器讀出標識數(shù)據(jù)和/或用戶私人密鑰��,以便請求設備執(zhí)行任何認可和/或加密�。正如先前提到的,將這些數(shù)據(jù)發(fā)送到請求設備不必要地使得這些數(shù)據(jù)處在一旦被發(fā)送就被暴露在了被竊取和/或未被授權的截取的危險中。
此處應記住雖然本發(fā)明一直在討論公共密鑰加密來幫助理解并且強調本發(fā)明的一個特定方面���,但是整個發(fā)明并不限于任何特定的加密算法��,并且可使用任何常規(guī)加密技術實現(xiàn)����,包括諸如RSA的公共密鑰加密技術�、Diffie-Hellman,其他離散對數(shù)系統(tǒng)�����、橢圓曲線系統(tǒng)等�。對于某些不同的公共密鑰加密技術的其他信息,可參考例如1998年10月5日的“用于公共密鑰加密的IEEE P1363/D8標準規(guī)范”�����,此規(guī)范可從以下地址獲取紐約州紐約市第七街345東IEEE標準部門�����,10017-2349���。
正如已提到的�����,現(xiàn)有技術中的交易認可發(fā)生在電子交易系統(tǒng)內�����。相反���,本發(fā)明使得交易認可發(fā)生在PEAD 200內���。交易認可完全發(fā)生在PEAD 200內這一事實提供了許多優(yōu)點。例如����,此功能消除了在一個實施方式中使得標識數(shù)據(jù)和/或用戶私人密鑰處于請求設備中的需要���。交易認可完全發(fā)生在PEAD 200內(使用始終在PEAD 200內保持安全的用戶標識數(shù)據(jù)和/或用戶的私人加密密鑰)這一事實充分增強了用戶的標識數(shù)據(jù)和用戶私人密鑰的機密性��,以及交易認可過程的完整性����。
由于交易完全在PEAD 200內發(fā)生,被用于認證交易的用戶標識數(shù)據(jù)可以更復雜和詳細���,以確保更高的安全性��。例如���,用戶標識數(shù)據(jù)可比一個簡單的密碼更詳細,并且可包括以下任何項目用戶名�����、其出生日期��、其社會安全號或其他唯一生物測定或唯一標識數(shù)據(jù)����,例如指紋、DNA代碼鏈�����、聲紋等�。相反,現(xiàn)有認證技術將用戶標識數(shù)據(jù)限于易被用戶記住的簡單的形式�,例如幾個字符的簡單密碼��,因為更詳細的標識數(shù)據(jù)可能太難以記住或者太冗長以至于無法手動輸入����。此外�����,即使復雜的標識數(shù)據(jù)可存儲在現(xiàn)有技術的數(shù)據(jù)卡中�,它仍需要被讀進電子交易系統(tǒng)的請求設備中,一旦此數(shù)據(jù)被讀取��,則又一次被暴露在被截取或竊取的危險中���。
此處將詳細討論的其他安全措施也將被提供來防止訪問(不論電子地或者通過物理裝置)PEAD 200內的用戶標識數(shù)據(jù)和/或用戶私人密鑰����。由于標識數(shù)據(jù)和/或用戶私人密鑰從未暴露����,因此這些數(shù)據(jù)的安全危險被充分最小化了�。
圖3A顯示了本發(fā)明的一個實施方式中的圖2的PEAD 200的一個簡化示意圖,包括開關210����。數(shù)據(jù)路徑206被提供來從電子交易系統(tǒng)接收交易請求����,而數(shù)據(jù)路徑212被提供來將交易認可數(shù)據(jù)發(fā)送回電子交易系統(tǒng)�。應記住雖然此處的兩個數(shù)據(jù)路徑和其他數(shù)據(jù)路徑在一個實施方式中可表示邏輯數(shù)據(jù)路徑,可通過單個物理數(shù)據(jù)連接實現(xiàn)���。同樣�����,此處的不同端口在一個實施方式中可表示邏輯數(shù)據(jù)端口�,以便于理解����,實際上可使用單個物理端口實現(xiàn)。
當一個交易請求���,例如從一臺ATM機取出200.00美元的交易��,通過數(shù)據(jù)路徑206發(fā)送到PEAD 200時���,此交易被加密邏輯300接收�����。此處��,用戶可通過電子交易系統(tǒng)和/或PEAD 200所具有的顯示屏幕查看提出的交易����,并且可選擇認可或不認可提出的交易���。如果用戶認可交易��,在一個實施方式中���,他可以激活一個開關210,這使得交易認可數(shù)據(jù)被產(chǎn)生��,并在通過路徑212發(fā)送回電子交易系統(tǒng)之前被加密邏輯300加密�。
注意交易認可過程中采用的用戶標識數(shù)據(jù)塊302沒有直接連接到路徑206和212。換句話說�����,存儲用戶標識數(shù)據(jù)的存儲器部分被故意從PEAD 200的輸入和輸出端口斷開以防止對它的直接訪問�。
如果需要訪問用戶標識數(shù)據(jù)302,例如�����,以認可一個交易���,則訪問只能由加密邏輯塊300完成���。同樣,不可能直接訪問存儲用戶私人密鑰的存儲器部分304�����。如果需要訪問用戶私人密鑰304�,例如,以加密交易認可數(shù)據(jù)�,則訪問只能由加密邏輯塊300完成。應記住雖然用戶標識302和用戶私人密鑰304被顯示為存儲在不同的存儲器部分中�,做出這種描述是為了易于理解,在一個實施方式中����,兩者實際上可以都存儲在同一存儲模塊上的不同地址處。
在某些情況下�,交易認可數(shù)據(jù)需要包括標識數(shù)據(jù)302的特定片段�。例如�����,在來自電子交易系統(tǒng)的交易請求中的一個交易在被加密和重新發(fā)送回電子交易系統(tǒng)之前��,可以被附加上代表一個“電子簽名”的數(shù)據(jù)��。圖3B顯示了在一個實施方式中代表性的交易認可數(shù)據(jù)350的格式��。參見圖3B�����,表示從電子交易系統(tǒng)接收的一部分或整個交易請求的交易數(shù)據(jù)352被附加上特定的用戶標識數(shù)據(jù)354�,以及可選地,一個時間戳356���。交易認可數(shù)據(jù)350的生成只發(fā)生在交易請求已經(jīng)被用戶認可之后�。一旦被附加���,則交易認可數(shù)據(jù)350在被重新發(fā)送回電子交易系統(tǒng)之前被加密�����。
在某些情況下�����,可能需要在將交易請求發(fā)送到PEAD之前對其加密以進一步增強安全性���。例如,特定的交易伙伴���,例如賣主或計算機網(wǎng)絡上的其他用戶���,可能希望使一個交易請求內的信息保密,并且可能希望在將交易請求提供給PEAD之前對其進行加密��。當例如用戶標識數(shù)據(jù)和用戶私人密鑰在首次寫入一個空的PEAD以配置一個對于一個特定用戶是唯一的PEAD時�����,也需要進行數(shù)據(jù)加密����。與用戶標識數(shù)據(jù)和用戶私人密鑰有關的配置數(shù)據(jù),雖然只需被PEAD 200的用戶寫入PEAD 200中一次,但是最好對其進行加密�,以使其不容易被竊取。PEAD 200的發(fā)行者可代表例如信用卡用戶�����、政府或者用戶與之維持帳戶的任何其他機構����。
圖4根據(jù)本發(fā)明的一個實施方式描述了圖2的PEAD 200的一個示意圖。圖4的PEAD 200進一步采用了解密邏輯���,其用于接收加密的配置數(shù)據(jù)以及可選地接收加密的交易請求�。在圖4中��,加密邏輯300���、用戶私人密鑰304和數(shù)據(jù)路徑206和212正如聯(lián)系圖3A所討論的那樣安放和起作用�。
交易請求通常是未加密的�����,即�,他們是以聯(lián)系圖3A討論的方式被接收和訪問的��。但是�,對于高度敏感的交易���,交易請求可被加密�,并通過數(shù)據(jù)路徑206發(fā)送到PEAD 200��,并且被輸入到解密邏輯402中被解密�����。如果采用一個公共密鑰加密�,則加密后的交易請求可以用一個交易伙伴的公共密鑰404解密���。
交易請求一旦被解密�����,則被顯示給用戶以便認可���。如果例如響應開關210的激活而被認可,則交易認可數(shù)據(jù)可通過路徑406被提供給加密邏輯300�,以便被加密��。如果采用一個公共密鑰加密技術�,則加密最好用用戶私人密鑰進行����,然后加密后的交易認可數(shù)據(jù)通過數(shù)據(jù)路徑212被發(fā)送回電子交易系統(tǒng)。
由于配置數(shù)據(jù)通常包括敏感的用戶標識數(shù)據(jù)和用戶私人密鑰��,因此在它通過數(shù)據(jù)路徑408被發(fā)送到PEAD 200之前通常被加密����。加密后的配置數(shù)據(jù)被解密邏輯402接收,并且在被寫入用戶標識數(shù)據(jù)塊410和用戶私人密鑰塊304之前在其中被解密�。如果采用公共密鑰加密,一旦被具有一個發(fā)行者公共密鑰412的PEAD 200接收���,則加密后的配置數(shù)據(jù)可在發(fā)送和解密之前被電子交易系統(tǒng)中的用戶私人密鑰所加密����。
注意一旦配置數(shù)據(jù)被解密并且被寫入到用戶標識數(shù)據(jù)塊410和用戶私人密鑰塊304�����,則用戶標識數(shù)據(jù)和用戶私人密鑰只能隨后被加密邏輯300所訪問��。還注意到從任何I/O數(shù)據(jù)路徑,例如����,數(shù)據(jù)路徑206、212或408�,到用戶標識數(shù)據(jù)塊410以及到用戶私人密鑰塊304都沒有直接連接。有利地�����,其中的敏感的用戶標識數(shù)據(jù)和用戶私人密鑰一旦被寫入各自的塊410和304(在一個實施方式中�����,它們可能只表示PEAD 200的存儲器中的存儲器塊)則不易從外部訪問���。
此外,用戶標識數(shù)據(jù)和用戶私人密鑰不能被不具有發(fā)行者的私人密鑰者所更新��。如圖4所示���,數(shù)據(jù)只有在通過具有發(fā)行者的公共密鑰412的解密邏輯402被解密之后才能被寫入用戶私人密鑰塊304和用戶標識塊410����。因此,除非配置數(shù)據(jù)已經(jīng)通過發(fā)行者的私人密鑰(它被假定為高度安全)被加密���,否則更新的配置數(shù)據(jù)不會被解密和寫入各自的塊304和410�����。當然�����,如果塊304和410中的配置數(shù)據(jù)不能被物理地更新�,例如�,它們是用諸如PROM(可編程只讀存儲器)、WORM(寫一次讀多次)等只能寫一次的存儲器存儲的�����,則充分消除了與對配置數(shù)據(jù)的未經(jīng)授權的更改相關的安全性因素�。
如果需要更高級別的安全性,則用戶私人密鑰在寫入用戶私人密鑰塊304之前可通過可選的加擾器/解擾器邏輯412可選擇地被加擾或隨機化���。在一個實施方式中�����,加擾器/解擾器邏輯413可接收向用戶發(fā)行PEAD 200的機構提供的用戶私人密鑰����,并且對其進行加擾和/或隨機化,生成另一個用戶私人密鑰和一個相應的用戶公共密鑰����。然后這個被加擾/隨機化的用戶私人密鑰被存儲在用戶的私人密鑰塊304中,現(xiàn)在它甚至對于PEAD 200的發(fā)行者也是未知的����,而相應的用戶公共密鑰可以讓發(fā)行者和/或交易伙伴知道,以促進交易���。有利地,除了用戶私人密鑰塊304以外���,其他任何地方都沒有被加擾/隨機化后的用戶的私人密鑰的其他復本�����。
在一個替換實施方式中�,可能采用了一個可選的密鑰生成邏輯414��,它響應來自發(fā)行機構的一個請求,獨立生成用戶私人密鑰和用戶公共密鑰���,即不要求先從發(fā)行機構接收到一個用戶的私人密鑰并隨機化它�。然后生成的用戶私人密鑰被存儲在私人密鑰塊304中�����,并且公共密鑰被發(fā)行機構和/或交易伙伴所獲知���,以促進交易�。通過此方式�,用戶私人密鑰不論是否被隨機化都不存在于PEAD本身之外。正如本領域技術熟練者可意識到的那樣�����,密鑰生成邏輯414的使用進一步增強了用戶私人密鑰的機密性��。
圖5A根據(jù)本發(fā)明的一個實施方式顯示了PEAD 200的一個高層硬件實施方式��。如圖5A所示����,PEAD 200包括邏輯電路502��,它可表示一個中央處理單元��,例如一個微處理器或一個微控制器�����,離散邏輯�����,可編程邏輯���,一個專用集成電路(ASIC)等,用于實現(xiàn)圖2的加密邏輯300以及可選地實現(xiàn)圖4的解密邏輯402�。
程序/數(shù)據(jù)存儲器504除存儲其他內容外,還存儲操作PEAD 200的代碼以及用戶標識數(shù)據(jù)和用戶私人密鑰��。程序/數(shù)據(jù)存儲器504最好用某種形式的非揮發(fā)性存儲器(NVM)實現(xiàn)����,例如閃存�、電可編程只讀存儲器(EPROM)、電擦除可編程只讀存儲器(EEPROM)等�。暫存器506用作一個暫時寄存器��,用于計算用途以及用于數(shù)據(jù)的暫存�,可以用某種形式的隨機訪問存儲器(RAM)實現(xiàn)����,例如靜態(tài)RAM或動態(tài)RAM,這些都是現(xiàn)有技術中已知的����。作為替換,光存儲器�����、磁存儲器或其他類型的存儲器中的任何一種也可被用于實現(xiàn)程序/數(shù)據(jù)存儲器504和/或暫存器506�����。
一條總線508將程序/數(shù)據(jù)存儲器504和暫存器506與邏輯電路502相連接��。通信端口510表示PEAD 200和電子交易系統(tǒng)之間的通信網(wǎng)關��,并且可用紅外技術無線RF技術����、一個磁讀/寫頭��、一個用于促進串行或并行數(shù)據(jù)傳輸?shù)慕佑|型插頭等實現(xiàn)���。在一個實施方式中,通信端口還可表示一個PC卡端口(技術熟練者一般稱之為PCMCIA卡)�。數(shù)據(jù)路徑206將交易請求輸入邏輯電路502,而數(shù)據(jù)路徑212將來自邏輯電路502的交易認可數(shù)據(jù)輸出到電子交易系統(tǒng)��。圖4中已經(jīng)說明的可選數(shù)據(jù)路徑408將配置數(shù)據(jù)輸入PEAD 200�����,以便將用戶標識數(shù)據(jù)和用戶的私人密鑰寫入程序/數(shù)據(jù)存儲器504���,以便將PEAD200唯一地配置給一個特定用戶�����。
再一次注意訪問程序/數(shù)據(jù)存儲器504及其中的數(shù)據(jù)(例如�,用戶標識數(shù)據(jù)和用戶私人密鑰)只能由邏輯電路502完成�。例如,用戶標識數(shù)據(jù)和用戶私人密鑰可以只被寫入程序/數(shù)據(jù)存儲器504���,如果此數(shù)據(jù)已經(jīng)通過發(fā)行者的私人密鑰被正確加密的話��。對這些存儲器塊的訪問以便向其寫入也可能在適當?shù)能浖?或硬件控制下被邏輯電路502所限制�����。
同樣地�,讀用戶標識數(shù)據(jù)以及訪問用戶私人密鑰只能通過邏輯電路502的加密邏輯完成��。此方面對安全性的有利之處已經(jīng)聯(lián)系圖3A和4進行了討論�,最重要的一點是最好不能從外部直接訪問敏感的用戶標識數(shù)據(jù)和用戶私人密鑰。因此�����,所發(fā)明的設計顯著增強了這些數(shù)據(jù)項目的機密性和安全性�����。
也可提供某種類型的電源���,例如一個電池����。PEAD 200被實現(xiàn)為一個單芯片設計,即圖5A中所示的幾乎所有元件都被制造在單個芯片上��,則電源在芯片本身之外��。如果采用接觸型通信����,例如,如果PEAD200必須被插入電子交易系統(tǒng)以進行交易����,則可采用PEAD外部的電源用于插入時進行交易認可,因此消除了與在便攜式交易設備上帶有一個電池相關的大小��、重量和成本代價�。
在一個實施方式中,PEAD 200可通過一個通用便攜式計算設備實現(xiàn)��,例如任何小型便攜計算機或個人數(shù)據(jù)助手(當前流行的PDA�,諸如Apple Newton這樣的PDA可用于實現(xiàn)PEAD 200)。
圖5B描述了一個PEAD的一個實施方式�����,其中電路在一個IC上實現(xiàn)�����。在圖5B中,具有與圖5A中相同的附圖標記的元件具有相同的功能����。已經(jīng)聯(lián)系圖5A說明的數(shù)據(jù)路徑408���、406和212被連接到一個串行I/O電路520���,該串行I/O電路520促進在PEAD 200和電子交易系統(tǒng)之間的一個數(shù)據(jù)路徑522上以串行方式進行數(shù)據(jù)發(fā)送和接收。還顯示了向圖5B的PEAD 200提供電源的Vcc引腳524和地引腳526����。
圖5C表示圖5B的PEAD的一個外部視圖,其中PEAD已經(jīng)被嵌入到一個卡狀封裝中�����,以便易于攜帶和插入電子交易系統(tǒng)的一個串行I/O端口�。在一個實施方式中,嵌入了實現(xiàn)所發(fā)明的PEAD的集成電路的卡550包括四個外部觸點�。還顯示了正如聯(lián)系圖5A所討論的那樣向PEAD提供電源的Vcc觸點524和外部接地觸點526。當卡550被插入一個電子交易系統(tǒng)中時��,它通過外部觸點524和526被加電,從而使得其中的PEAD電路能夠通過串行觸點552和554接收交易請求���,如果適當?shù)脑拕t在PEAD內認可請求�����,在PEAD電路內加密交易認可數(shù)據(jù)���,并且將加密后的交易認可數(shù)據(jù)通過外部串行觸點552和554串行地通信到電子交易系統(tǒng)。
圖6A表示了根據(jù)本發(fā)明的一個首選實施方式的PEAD的一個外部視圖�。圖6A的PEAD 200最好被實現(xiàn)為一個小的獨立的足夠用于日常現(xiàn)場使用的封裝�。圖6A的PEAD 200最好足夠小,以使得用戶能隨時攜帶�,例如,作為一個鑰匙鏈掛件或一個可以很容易地裝到一個錢包或錢夾中的小封裝���。PEAD 200的物理封裝最好被設計為其內容是防止不正確操作的(即����,如果它以未被授權的方式被打開���,則用戶私人密鑰和/或用戶標識數(shù)據(jù)將被損壞����,或者PEAD將不再能認可交易)。例如�,封裝可被設計為如果它被打開,則電路路徑中的電流有所變化�,例如,或者現(xiàn)有的電流被中斷�,或者一條空閑的電流路徑開始流動�。然后電流的變化可強制RE。
顯示了一個紅外通信端口602�,用于與電子交易系統(tǒng)接收和發(fā)送數(shù)據(jù)。一個小的開/關開關604使得用戶能夠關閉PEAD以便在不使用時省電�����。認可按鈕606使得用戶能夠表示對一個提出的交易的認可���?��?蛇x的跳過按鈕608使得用戶可以表示拒絕一個特定的交易?����?珊雎蕴^按鈕608,因為在某個實施方式中��,如果在接收到請求后認可按鈕606在一個給定的時間段中未被激活�����,則交易請求可被理解為未被認可����。
可選的顯示器610可通過任何類型的顯示技術實現(xiàn),例如液晶技術�。顯示器610除了顯示其他內容外,還顯示提出的要認可的交易�����。如果需要的話可忽略顯示器610�,在這種情況下,可在與電子交易系統(tǒng)本身相關的一個顯示器上查看交易����。可選的用戶認證機制612使得PEAD不被用于認可交易�,除非用戶能夠向PEAD 200標識他自己是合法的和被授權的用戶。在PEAD 200能夠被激活和用于認可交易之前,可選的用戶認證機制612可能要求用戶輸入一個密碼��,提供一個指紋或一個聲紋����,或者被授權的用戶所特有的其他生物測定和/或標識特性。
圖6B以一種簡化的方式�,根據(jù)本發(fā)明的一個方面描述了實現(xiàn)圖6A的PEAD 200的硬件。電池652向PEAD 200的電路供電�。一個微控制器654執(zhí)行存儲在閃存656中的代碼,并采用隨機訪問存儲器658來執(zhí)行����。在一個實施方式中�,微控制器654、閃存656甚至隨機訪問存儲器658都可實現(xiàn)在單片芯片中���,例如����,來自Illinois州Schaumburg的Motorola公司的NC68HC05SCXX族��,例如NC68HC05SC28���。認可按鈕606和可選的跳過按鈕608被連接到微控制器654��,使得用戶能夠指示對一個用顯示電路660顯示的特定交易的認可或拒絕��。與電子交易系統(tǒng)進行的通信是通過一個紅外收發(fā)器662在微控制器654的控制下完成的���。電源開關664使得用戶能夠在不使用時關閉PEAD 200的電源�����,以節(jié)省電能和防止意外的認可�。
圖7是一幅流程圖���,它根據(jù)本發(fā)明的一個方面描述了采用所發(fā)明的PEAD的認可技術��。在步驟702中�����,PEAD從與電子交易系統(tǒng)有關的請求設備接收到一個交易請求���。在步驟704中,用戶可選擇認可或不認可提出的交易�。如果通過激活PEAD的跳過按鈕或者只是使得請求過期而不認可,則不進行任何操作。
另一方面�,如果用戶認可提出的交易,則用戶可激活認可按鈕來產(chǎn)生交易認可數(shù)據(jù)����。然后在步驟708中交易認可數(shù)據(jù)在PEAD內被加密。在步驟710中�����,加密后的交易認可數(shù)據(jù)在被加密后被發(fā)送到電子交易系統(tǒng)的請求設備�����。
圖8是一幅流程圖�,它根據(jù)本發(fā)明的一個方面描述了使用公共密鑰加密對交易認可數(shù)據(jù)進行加密所涉及的步驟。在步驟802中����,產(chǎn)生交易認可數(shù)據(jù)封裝���。正如先前聯(lián)系圖3B所討論的����,交易認可數(shù)據(jù)可通過將任何必要的用戶標識數(shù)據(jù)附加到交易請求的一部分或全部來產(chǎn)生?�?蛇x的�����,也可向其附加上一個時間戳����。在步驟804中,交易認可數(shù)據(jù)通過使用用戶私人密鑰被加密����,其中用戶私人密鑰最好始終在PEAD內保持安全。此后�,加密后的交易認可數(shù)據(jù)被發(fā)送回電子交易系統(tǒng)。
根據(jù)本發(fā)明的一個方面�����,認識到即使加密后的交易認可數(shù)據(jù)被一個第三方截取和解密以用于分析�,則只要用戶私人密碼或用戶標識數(shù)據(jù)是安全的,則不可能繞過本發(fā)明的安全性特征�。正如先前提到的,由于用戶標識數(shù)據(jù)不能從外部訪問��,因此它始終在PEAD內保持安全。這與現(xiàn)有技術是不同的���,在現(xiàn)有技術中��,用戶需要在電子交易系統(tǒng)處輸入標識數(shù)據(jù)���,例如密碼,冒著暴露此敏感數(shù)據(jù)的危險����。
即使危及到了用戶標識數(shù)據(jù)的安全,除非擁有用戶私人密鑰�,否則也不能進行交易認可。截取加密后的交易認可數(shù)據(jù)也是無用的���,即使能夠用用戶的公共密鑰對其解密���,因為交易伙伴,例如請求認可交易的商家�����,不會接受任何沒有用用戶私人密鑰加密的交易認可數(shù)據(jù)�����。此外���,由于私人密鑰不能從外部訪問���,因此它始終在PEAD內保持安全。本發(fā)明的此方面在執(zhí)行在線交易上有很大的優(yōu)點�,因為用戶私人密鑰不再需要存儲在一個工作站上的一個易受攻擊的計算機文件中,它可能被其他方所訪問�,并且可能難以很方便地被拿出來用于其他認證任務。
PEAD被現(xiàn)在在一個小的便攜的封裝中這一事實使得用戶能夠隨時方便并舒適地將PEAD保持在其所屬物中�。即使PEAD在物理上被盜了,可選的用戶認證機制�����,例如��,圖6A的用戶認證機制612也會提供一個附加的保護級別����,并且使得PEAD對于除了正確的被認證的用戶之外的任何人都無用。當然如果PEAD被盜竊或丟失���,用戶總是可以通知PEAD的發(fā)行者���,則發(fā)行者可通知交易伙伴拒絕使用被盜的PEAD的用戶私人密鑰加密的任何交易認可數(shù)據(jù)���。
交易認可數(shù)據(jù)包括時間戳、商家名稱�����、認可的量和任何其他有關數(shù)據(jù)這一事實也增強了認可過程的安全性���。如果商家非有意或有意地向發(fā)行者提交了多個交易認可�����,則發(fā)行者能夠從這些數(shù)據(jù)項目中認識到提交重復了�,并且忽略任何重復的交易認可數(shù)據(jù)�����。例如����,發(fā)行者可認識到一個用戶不太可能在一個特定的時間和日期在同一餐館購買多份相同的晚餐。
發(fā)明者在這里認識到雖然PEAD和啟用了PEAD的銷售點終端提供了一個高度安全的系統(tǒng)�����,用于認可交易��,但是存在著一個已經(jīng)良好確立的并且廣泛可用的記帳卡設施����,它包括數(shù)百萬個現(xiàn)存的在世界各地被使用的記帳卡銷售點終端(例如記帳卡讀卡器或ATM終端)。還進一步認識到即使沒有啟用了PEAD的銷售點終端����,特定的PEAD功能也可提供與現(xiàn)存的記帳卡設施的增強的交易安全性。
根據(jù)本發(fā)明的另一方面�����,提供了一個便攜式電子記帳/認可設備(PECAD)�,它不僅提供前述PEAD功能以使得用戶能夠認可與一個啟用了PEAD的銷售點終端的一個交易,還可以使得用戶能夠與現(xiàn)存的記帳卡設施進行交易�。尤其地,整個PECAD系統(tǒng)包括一個PECAD以及一個相關的仿真卡�,就該仿真卡與現(xiàn)存的記帳卡讀卡器的接口來看,它遵循當前的記帳卡標準�。仿真卡可由PECAD靈活配置��,以使其外表像一個普通的記帳卡讀卡器���。PECAD和仿真卡一起形成一個安全系統(tǒng),用于與現(xiàn)存的記帳卡設施進行交易�。
注意作為此實施方式的上下文中所采用的術語,記帳卡包括磁條卡和電子智能卡���。記帳卡本身可表示信息卡(例如Visa或MasterCards)���、ATM卡、皇家卡�、折扣卡,以及用戶可用于一個銷售點終端來獲取現(xiàn)金�、貨物和/或服務的任何其他類型的卡。
在進行一個交易前��,PECAD的存儲器中具有與用戶的一張或多張記帳卡相關的記帳卡數(shù)據(jù)�����。為執(zhí)行PEAD功能��,存儲器也可包括有關PEAD討論的其他數(shù)據(jù)項目。記帳卡數(shù)據(jù)可利用PECAD的適當?shù)淖x/寫機制事先從實際記帳卡本身輸入����。
由于PECAD包含PEAD功能,因此它當然可以用來以關于PEAD所討論的方式來認可與一個啟用PEAD的銷售點終端進行的交易�。但是�����,在沒有啟用PEAD的銷售點終端的情況下���,則采用仿真卡來與現(xiàn)存的記帳卡設施的進行交易�。
為了用仿真卡進行了一個交易�����,用戶首先請求PECAD將一個選中的記帳卡的相關記帳卡數(shù)據(jù)寫入到仿真卡���。選中的記帳卡可由用戶在寫入之前選擇����。由于單張仿真卡可仿真任何數(shù)目的記帳卡�����,因此這單張仿真卡可以有利地取代現(xiàn)在一個用戶必須攜帶的多張記帳卡。最好在允許用戶使用PECAD將記帳卡數(shù)據(jù)寫入到仿真卡之前先用一個與PECAD相關的適當?shù)恼J證機制正確地認證用戶�。
在仿真卡被寫入與用戶選中的記帳卡相關的記帳卡數(shù)據(jù)后,用戶可把仿真卡當成一張記帳卡來用��,以便完成交易���。即����,由于仿真卡遵循現(xiàn)存記帳卡和記帳卡讀卡器的I/O要求����,它可以像一張記帳卡那樣被一個現(xiàn)存的記帳卡讀卡器讀取。
一旦完成了交易�,則用戶可選擇采用PECAD從仿真卡擦除記帳卡數(shù)據(jù),從而使得仿真卡不能再用于進行其他交易�,直到被正確認證的用戶再次授權PECAD將記帳卡數(shù)據(jù)寫到仿真卡上。如果仿真卡仿真電子智能卡�,則可以通過例如適當配置仿真卡中的寄存器或標記來使得仿真卡不能再用于進一步交易。從而����,即使仿真卡被盜����,它對一個未被授權的用戶也是沒用的�。此外,即使仿真卡和PECAD一起被盜�,除非用戶被正確地認證,否則仿真卡本身也是不能被寫入記帳卡數(shù)據(jù)的�����。這與現(xiàn)存的情況是鮮明的對比���,在現(xiàn)存的情況中,例如����,一張被盜的信用卡的磁條中仍包含進行一個交易的所有必要信息。為了進一步的安全性��,仿真卡本身可由被正確授權的用戶物理地簽名�����,并且可以包含被授權的用戶的一張照片�,以使得商家從視覺上確定進行交易的人是否實際上就是仿真卡的合法所有者。
在一個首選實施方式中,每張仿真卡以一種充分唯一的方式與一個特定的PECAD相匹配�����,以便進一步增強安全性����。在此情況下,一個給定的PECAD只能將記帳卡信息寫入到與其唯一相關的仿真卡中�。例如,一張仿真卡可能被賦予了適當?shù)墓鈱W加密的標記(例如全息圖)����、磁加密標記(例如磁存儲比特)或機械加密的標記(例如隨機分布的孔),以便它只能被一個特定的PECAD寫入��。
最好每張仿真卡與唯一的單個PECAD匹配��。但是�����,應注意����,這個唯一匹配方面不必是一個數(shù)學絕對(雖然首選這一種)�����。本領域技術熟練者將認識到在給定足夠多個發(fā)行的仿真卡和PECAD時��,某些重疊可能會發(fā)生��,使得可能(雖然在實際生活中可能性是很小的)一張給定的仿真卡可能被多個PECAD所識別���。實際上,發(fā)行者或制造者可能擁有一個主PECAD�����,它能夠識別多個發(fā)行的仿真卡���。從而,一張仿真卡和一個PECAD之間的關聯(lián)是充分唯一的這一點的意義就好像一把門鑰匙對每個門鎖是充分唯一的�����,不排除一個制造者可能選擇使得一張仿真卡對于一個給定的PECAD是絕對唯一��,或者在制造出的數(shù)百萬個門鎖中�,一把給定的鑰匙可能能打開多個門鎖的微小可能性�。最好仿真卡/PECAD(例如在同一城市或州內的)的加密后的標記和地理分布模式可以被安排為使得所述微小的可能性被最小化����。
由于每個仿真與一個特定的PECAD是充分唯一匹配的,因此即使一個PECAD被盜并且認證機制被一個想進行欺騙行為的個人成功繞過�����,被盜的PECAD仍然不能被用于將記帳卡數(shù)據(jù)寫入任何任意的空白仿真卡以進行欺騙性交易��。作為一個進一步的優(yōu)點�,一個給定的PECAD只能(在正確認證之后)向與之充分唯一地關聯(lián)的仿真卡寫入,從而充分消除了PECAD意外覆蓋一張現(xiàn)存的記帳卡的情況��。
圖9根據(jù)本發(fā)明的一個方面描述了PECAD 902的一個簡化框圖���。在圖9中��,一個存儲器904最好是非揮發(fā)性的����,防止不正確操作的存儲器���,并且發(fā)揮與PEAD中的存儲器電路相同的功能����,只不過存儲器904也可被用于存儲與用戶的一張或多張記帳卡相關的加密后的記帳卡數(shù)據(jù)。加密邏輯906執(zhí)行與聯(lián)系PEAD討論的加密邏輯相同的加密/解密/安全功能��。即�����,訪問存儲在存儲器904中的數(shù)據(jù)�,包括用戶私人密鑰、用戶個人數(shù)據(jù)以及記帳卡數(shù)據(jù)�,最好只在加密邏輯906的幫助下完成。
認證機制908執(zhí)行與聯(lián)系PEAD討論的用戶認證機制相同的功能�����。I/O電路910代表使得PECAD能夠與一個啟用了PEAD的銷售點終端通信的電路�����,如果它可用于認可交易的話���。先前已經(jīng)聯(lián)系PEAD討論了交易認可方面,這里不再詳細討論����。如果預期某些PECAD模型不與一個PEAD銷售點終端通信�����,只用于配置仿真卡以便與現(xiàn)存的記帳卡設施進行交易���,則在這些PECAD模型上可忽略I/O電路910。
卡讀/寫機制912代表用于將選中的記帳卡數(shù)據(jù)寫到仿真卡以及在完成交易后擦除仿真卡的機制���。如果記帳卡數(shù)據(jù)是通過讀現(xiàn)存的記帳卡獲得的�����,則卡讀/寫機制912還包括讀現(xiàn)存的記帳卡的能力��,以便將記帳卡數(shù)據(jù)存儲到存儲器904(通過加密邏輯906)�。注意通過卡讀/寫機制912讀取的數(shù)據(jù)在被存儲在存儲器904內之前被加密邏輯906加密����。同樣,存儲器904中存儲的數(shù)據(jù)(例如記帳卡數(shù)據(jù))在通過卡讀/寫機制912寫到一張仿真卡之前先被加密邏輯906解密���。
圖10是一個PECAD1002的簡化圖����,其中安放了一張仿真卡1004。仿真卡1004可從插槽1006中取出���,以便與一個現(xiàn)存的記帳卡讀卡器完成交易����。在圖10的例子中���,仿真卡1004包括一個磁條1008�����,以便仿真一張磁條記帳卡�。但正如先前提到的�����,仿真卡1004可被配置為仿真任何類型的記帳卡接口���,包括IC接觸。一個卡讀/寫機制1010的輪廓的形式被顯示�����,以表示它是PECAD 1002的一部分。通過卡讀/寫機制1010�,數(shù)據(jù)可從一張現(xiàn)存的記帳卡讀出,或者寫入到一張仿真卡���。鍵盤1015可被用作如612以及908中所說明的認證機制�。用戶可鍵入密碼或個人標識號來激活PECAD��,以便將記帳卡數(shù)據(jù)寫到仿真卡1004�����。
認可按鈕1012與圖6A的認可按鈕606充分相同���,它可被用于通過一個啟用了PEAD的銷售點終端來認可一個交易�。另一方面卡按鈕1014指示用戶通過仿真卡完成交易的愿望��?����?ㄟx擇器按鈕1016(a)-(d)是可由用戶選擇以選擇可用于進行交易的特定記帳卡的示例性選項。一個顯示器1018可用于顯示選中的記帳卡的記帳卡數(shù)據(jù)�����,例如記帳卡號碼�����、截止有效日期�、卡執(zhí)有者的姓名等,以便如果需要的話商家能夠復制這些信息以完成交易�����。
根據(jù)本發(fā)明的另一個方面��,通過使用PECAD將已經(jīng)用用戶的私人密鑰(存儲在PECAD的安全的非揮發(fā)性存儲器中)加密的一個加密的交易號碼或其他加密數(shù)據(jù)寫到仿真卡�����,進一步增強了交易安全性�����。圖11根據(jù)本發(fā)明的一個實施方式描述了本發(fā)明的此方面��。在步驟1102中,對每個交易生成一個唯一的交易號碼���,并且用用戶的私人密鑰加密。在步驟1104中�,加密后的交易號碼從PECAD寫到仿真卡。例如�����,如果仿真卡仿真一張磁條卡��,則加密后的交易號碼可被寫到一個現(xiàn)存的但未被使用的磁軌上或者一個保留的磁軌上���,例如����,磁條上的磁軌3���。在步驟1106中�,記帳卡讀卡器中的軟件可指示記帳卡讀卡器接收加密后的交易號碼����,然后用已從一個受信任的第三方獲取的一個用戶公共密鑰認證該交易號碼(步驟1108)�;或者在步驟1106中����,記帳卡讀卡器讀進加密后的交易號碼,然后該交易號碼被發(fā)送到信用結算中心�,例如Master Card或Visa卡,并且信用結算中心可通過已從一個受信任的第三方獲取的一個用戶公共密鑰來認證用戶(步驟1108)��。通常某些形式的用戶標識可被發(fā)送到受信任的第三方以幫助獲取公共密鑰�。例如,用戶標識或公共密鑰標識可被記帳卡讀卡器讀取�,并被發(fā)送到受信任的第三方以獲取公共密鑰。公共密鑰標識可表示為��,例如���,可被發(fā)送到用于公共密鑰搜索和解密的接收地點的公共密鑰比特的唯一模式(例如�,最低的32比特或64比特)�����。如果被認證了����,則交易被認可�����,使得商家能夠向用戶發(fā)放貨物/服務(步驟1110)�����。
正如可從前面意識到的那樣,本發(fā)明基本上不要求對現(xiàn)存的記帳卡讀卡器和現(xiàn)存的記帳卡設施作硬件更改�。更改只涉及軟件更改,它指示現(xiàn)存的記帳卡讀卡器讀進加密后的交易號碼���,并且使用從一個受信任的第三方獲取的一個用戶公共密鑰認證加密后的交易號碼����。
此外�,記帳卡讀卡器中可能沒有任何更改。而是信用結算中心軟件將被通知使用從受信任的第三方獲取的用戶公共密鑰來認證加密后的交易號碼��。記帳卡讀卡器只要從記帳卡或仿真卡讀進所有數(shù)據(jù)����,并且將所有信息逐字發(fā)送給信用結算中心以求認可。通過此種方式����,此實施方式最小化了需要對現(xiàn)存的記帳卡設施進行的更改(即����,只需要在信用結算中心的一個位置進行更改���,而不是在現(xiàn)存的數(shù)百萬個記帳卡讀卡器處)�����。
如果需要額外的安全性�����,則用戶可在PECAD處鍵入交易量和/或交易時間��。這些數(shù)據(jù)段也將被用用戶私人密鑰所加密���,并且寫到仿真卡以便被記帳卡讀卡器所接收,并且在信用結算中心用用戶公共密鑰解密��,其中用戶公共密鑰也是從一個受信任的第三方獲得的�。在此情況下,只有當交易是所述加密后并接收到的交易量中所指示的量和/或交易發(fā)生在所述加密后并接收到的交易時間的一個預定的時間段內(之前它們被從PECAD寫到仿真卡)時��,才給出交易認可。從而����,即使仿真卡被盜,隨后的其他交易都是沒用的��,即使真的發(fā)生了仿真卡擦除或重配置�。
在互聯(lián)網(wǎng)交易中,一個用戶可通過用存儲在PEAD或PECAD中自己的私人密鑰來加密所認可的量����,使用PEAD或PECAD認可交易���。此后���,他可復制顯示在PEAD顯示器610或PECAD顯示器1002上的加密后的信息,此信息最好是人類可讀的形式�����,例如是一個字母數(shù)字串����,以便用戶能夠容易地讀并且手動輸入(例如通過鍵入或通過語音命令)到通過互聯(lián)網(wǎng)連接的計算機來進行互聯(lián)網(wǎng)交易����。如果必要的話��,使用PEAD或PECAD進行安全的互聯(lián)網(wǎng)交易中�����,也可加密信息卡號碼以及交易信息���。當然出于后向兼容性而需要的手動輸入/鍵入技術��,也可被其他形式的數(shù)據(jù)輸入所同等取代��,例如通過計算和PECAD(或PEAD)中的一個適當?shù)亩丝谶M行無線或紅外通信�����,以使得數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸����。
正如先前提到的����,最好使用由一個受信任的第三方保存的用戶公共密鑰來確定用戶身份的認證�����。受信任的第三方可代表�,例如����,公共對其具有相當高級別的信任的任何實體,例如一個已知的具有自身利益而具有可信任的名聲的組織����。其例子包括政府組織、銀行�����、大公司等����。
受信任的一方維持一個PECAD公共密鑰目錄服務���,它使得制造商提供的公共密鑰與用戶聯(lián)系起來�。當用戶首次獲取一個PECAD(例如通過購買或一個發(fā)行者的發(fā)行物)時�,用戶可向受信任的第三方注冊其對PECAD的所有權�����。根據(jù)注冊過程的安全性���,用戶被分配給一個確認級別,其表示了完成注冊者真實地是他所說的那個人的可信度���。
例如���,用戶可以只通過電子郵件、電話或平信來提供諸如社會安全號����、家庭地址和家庭電話號碼的個人信息,以及PECAD序列號和公共密鑰簽名(它是由制造商向一個特定的PECAD分配的一個唯一的號碼序列�����,它能夠通過按指定序列的鍵從PECAD讀出)����。然后PECAD公共密鑰目錄中心可將由用戶提供的PECAD序列號用作唯一的搜索標識,以便在數(shù)據(jù)庫中搜索公共密鑰,一旦它發(fā)現(xiàn)了公共密鑰��,它將使用由用戶提供的公共密鑰簽名來與數(shù)據(jù)庫中的公共密鑰進行驗證��。如果驗證成功����,則用戶可被注冊,否則用戶將被拒絕��。公共密鑰最好是唯一的�。
注冊一個用戶的所有權的更安全的辦法可以如下(此過程通常發(fā)生在購買PECAD/PEAD處或在發(fā)行者處,例如一個銀行)�。發(fā)行者首先使用制造商提供的密碼激活PEAD/PECAD。此后�,PEAD/PECAD用戶可用用戶的密碼或其他認證機制覆蓋制造商提供的密碼。然后用戶可指示PEAD/PECAD在PEAD/PECAD內部生成一對新的私人/公共密鑰(稱為用戶私人密鑰和用戶公共密鑰)��。用戶還可指示PEAD/PECAD用預存儲在PEAD/PECAD中的制造商提供的私人密鑰來加密個人信息(例如社會安全信息�、家庭地址等)和新的用戶公共密鑰,以便生成用戶注冊消息����。此制造商提供的私人/公共密鑰對可在PEAD/PECAD被制造時由PEAD/PECAD生成��。
然后發(fā)行者可使用公共密鑰目錄服務中心的公共密鑰來加密PEAD/PECAD序列號碼和用戶注冊消息,以生成注冊消息���,并將注冊消息發(fā)送給公共密鑰目錄服務中心�。在接收到注冊消息后����,公共密鑰目錄服務器心則可使用其自己的私人密鑰來解密注冊消息。此后�,公共密鑰目錄服務中心可使用PEAD/PECAD序列號來搜索在數(shù)據(jù)庫中找到的制造商提供的密鑰。如果解密成功����,則用目錄服務數(shù)據(jù)庫中的新的用戶公共密鑰來更新制造商提供的公共密鑰,并且更新目錄服務數(shù)據(jù)庫中的個人信息�,并且用個人姓名+電話號碼或公共密鑰的最低32比特(或64比特)生成公共密鑰標識,以便將來參考�。另一方面,如果解密不成功�,則用戶可被拒絕。
此注冊過程大體上符合一個低確認級別�,因為除用戶外的其他人可能欺騙性地獲取得用戶的個人信息,以用于注冊所有權(并且一旦注冊完成并且PECAD被激活�����,則使得用戶對隨后的欺騙性記帳負責)。
一個中等確認級別可通過以下方式來獲得除了提供用于獲得一個低確認級別的信息外����,提供對提供信息的個人真的是他所說的那個人這一點給出更高信任度的信息。例如�,附加信息可以從一張照片、簽名����、公證人封印或以上的結合中得到。一個高的確認級別可通過提供對提供信息的人真的是他所說的那個人這一點給出甚至更高信任度的信息����。例如,注冊人可親自出現(xiàn)在PECAD公共密鑰目錄中心以出示一張照片�����、一個簽名����、一個生物測定樣本(例如指紋、視網(wǎng)膜掃描���、DNA印等)或者以上項目的一個結合�����。
一旦完成了注冊��,信用結算中心或商家可咨詢受信任的第三方的PECAD公共密鑰目錄�����,以便認證用戶和認可交易�。
也可通過建立一個保險政策來增強PECAD公共密鑰目錄�����,該保險政策使得商家或信用結算中心免受由于來自一個有缺陷的注冊過程的欺騙而產(chǎn)生的金融損失��。保險政策所提供的覆蓋可根據(jù)確認級別來衡量��,較高的確認級別符合較高量的覆蓋�。
雖然已經(jīng)根據(jù)幾個首選實施方式說明了本發(fā)明,但是有更改�、置換和等價處于本發(fā)明的范圍內。應注意有多種實現(xiàn)本發(fā)明的方法和設備的替換方法���。例如���,雖然此處的討論集中于交易認可�,但是對于技術熟練者��,顯見PEAD可用于在任何希望從用戶到一個電子交易系統(tǒng)進行安全的數(shù)據(jù)傳輸時面對電子交易系統(tǒng)進行任何類型的交易���。例如��,PEAD可用于登錄到高度敏感的計算機系統(tǒng)或設施���。當如此實現(xiàn)時,與PEAD通信的計算機終端可配備一個紅外端口��、一個磁讀卡器端口或者一個接觸類型的插頭��,用于與PEAD通信���。然后用戶可采用PEAD在線執(zhí)行任何類型的認證任務�����。
另一個例子是�,PEAD可被用于“簽署”任何計算機文件���,以便認證(例如�,認證日期或用戶)。然后交易認可數(shù)據(jù)可與要認證的文件一起保存��,以便將來參考�����。注意交易認證數(shù)據(jù)也是防止不正確操作的�����,因此未用用戶私人密鑰加密的任何交易認證數(shù)據(jù)將不會被當作可信的接受���。此外,顯然如果PEAD只被用于認可預定的交易�,則交易數(shù)據(jù)可預先存儲在PEAD內,不需要由PEAD從外部接收��。因此以下所附的權利要求書旨在被理解為包括處于本發(fā)明的真正精神和范圍之內的所有更改����、置換和等價。
權利要求
1.一種方法�,用于允許一個用戶利用一個電子交易系統(tǒng)的一個記帳終端進行一個記帳交易���,所述記帳卡終端被配置為與一個記帳卡相接口,以便進行記帳卡交易����,提供一個在其處進行所述記帳卡交易的商家,該方法包括在進行所述記帳卡交易的所述商家的一個記帳卡終端處接收��,以接受商家卡以及來自進行所述記帳卡交易的用戶的一個個人標識號碼或移動電話號碼�����,在一個中央處理區(qū)域檢測所述商家卡的使用����,響應所述的檢測步驟,利用所述電話號碼或個人標識號碼向所述記帳卡交易所需的一個授權人的一臺移動電話發(fā)出一個呼叫���,向所述移動電話發(fā)送所述用戶記帳卡交易的一個報告��,并且僅當授權人認可時才將記帳卡交易的認可授權返回商家的記帳卡終端��。
2.權利要求1中要求的方法����,其中商家進一步輸入要記帳的量。
3.權利要求1中要求的方法�,其中商家進一步輸入所進行的交易類型的標識。
4.權利要求1中要求的方法��,其中商家卡被分配一個有效的信用卡號碼�����,該商家的有效的信用卡號碼被檢測以啟動呼叫授權人的移動電話的步驟����。
5.權利要求1中要求的方法進一步包括以下步驟通過一個中央處理服務器過濾所有來自商家的記帳卡終端的信用卡交易�,并且響應該過濾步驟,如果從商家接收的卡號不是一個唯一的商家分配號碼���,則服務器不進行任何操作�;或者如果卡號是一個唯一的商家分配號碼�,則用所述電話號碼或個人標識號碼作為標識在付費服務器中的數(shù)據(jù)庫中查找信息。
6.權利要求1或權利要求5中要求的方法�����,其中付費服務器用與交易相關聯(lián)的電話號碼或個人標識號碼作為一個存儲授權交易所需的授權人的移動電話號碼的數(shù)據(jù)庫的索引。
7.權利要求6中要求的方法���,其中數(shù)據(jù)庫進一步存儲一條關于授權人的移動電話是否具有一個嵌入的PEAD的記錄����。
8.權利要求7中要求的方法����,其中在確定授權人的移動電話具有一個PEAD后,服務器將一條交易消息發(fā)送到授權人的電話�����,以便使用嵌入在電話中的一個PEAD進行認可�,授權人通過在移動電話處輸入一個個人標識號碼來認可交易。
9.權利要求7中要求的方法��,其中如果數(shù)據(jù)庫查找指示授權人的移動電話是一個按鍵式電話����,則服務器將發(fā)送一條消息到授權人的移動電話,請求一個撥號音個人標識符以進行認可�����。
10.權利要求9中要求的方法,其中數(shù)據(jù)庫服務器利用一個交互式語音應答系統(tǒng)來將交易信息傳送到授權人的移動電話����。
11.權利要求9或權利要求10中要求的方法,其中在授權人授權/認可交易后���,使用從包括一張信用卡��、一張ATM��、一個銀行帳戶或一張借記卡的組中選出的一個帳戶來對授權人的帳戶作出一個結算���。
12.權利要求1或權利要求5中要求的方法�,其中控制付費服務器的所述方是商家卡的發(fā)行者。
全文摘要
一種用于使用戶能夠利用一個電子交易系統(tǒng)的一個記帳終端進行一個記帳交易的方法����,記帳卡終端被配置為與一個記帳卡相接口,以便進行記帳卡交易�����。一張商家卡被提供給一個商家�����,其中在商家處進行記帳卡交易。在商家的記帳終端處接受商家卡���,以及從進行記帳卡交易的用戶接受一個個人標識號碼或移動電話號碼���。用戶的電話號碼或個人標識號碼使得向授權記帳卡交易所需的授權人的移動電話發(fā)出一個呼叫。
文檔編號G06Q20/00GK1623173SQ02828557
公開日2005年6月1日 申請日期2002年12月3日 優(yōu)先權日2002年1月25日
發(fā)明者王寅君 申請人:艾斯格尼克斯公司