CN1623173A - 付款系统 - Google Patents

Abstract

一种用于使用户能够利用一个电子交易系统的一个记帐终端进行一个记帐交易的方法，记帐卡终端被配置为与一个记帐卡相接口，以便进行记帐卡交易。一张商家卡被提供给一个商家，其中在商家处进行记帐卡交易。在商家的记帐终端处接受商家卡，以及从进行记帐卡交易的用户接受一个个人标识号码或移动电话号码。用户的电话号码或个人标识号码使得向授权记帐卡交易所需的授权人的移动电话发出一个呼叫。

Description

付款系统

相关申请

本申请是1999年3月2日提出的09/260384专利申请的一个后续申请，其中09/260384申请的标题为“便携式电子记账和授权设备及其方法”，它是1998年4月27日提出的09/067176申请的一个后续申请，其中09/067176申请是由Ynjiun P.Wang发明的，其标题为“付款系统”，并在此处被结合进来作为参考。

技术领域

本发明涉及用于进行电子交易的方法和设备。本发明尤其涉及便携式电子授权设备(PEAD)，它有利并充分地消除了与验证一个用户和一个电子交易系统之间的交易的现有技术相关的安全风险。

本发明涉及用于进行电子交易的方法和设备。本发明尤其涉及便携式电子授权设备(PEAD)，它有利并充分地消除了与验证一个用户和一个电子交易系统之间的交易的现有技术相关的安全风险。

背景技术

电子交易系统是已知的。一个电子交易系统通常允许一个用户用电子的方式进行指定的交易，这充分提高了用户的效率和便利。电子交易的例子包括通过计算机网络、自动柜员机(ATM)、自动销售点系统、自动图书馆系统以及类似的系统进行的交易。通过计算机网络进行的交易包含的交易范围很宽，包括通过一个一般称为互联网的计算机网络来交换信息和数据，以便在网络上从卖主购买商品。ATM通常使得用户能够与一个金融机构以电子的方式进行金融交易(例如提款、转账、存款以及类似的交易)。自动销售点系统可被商家用来使用户能够利用用户的电子帐户购买产品或服务，而自动图书馆系统可用来使图书馆用户能够借出和归还图书馆的资料。电子交易系统的其他例子很容易在普及的文献中找到，为简洁起见此处不再列举。

为增强用户帐户的安全性，电子交易系统通常要求用户提供标识数据以证明他是被授权认可进行提出的一个或多个交易的用户。如果用户不能提供要求的标识数据，则提出的一个或多个交易不被授权，并且不会被处理。可能每次交易都要求标识数据。例如，一个自动销售点系统可能要求用户认可一个购买交易，并且只有当认可交易的用户已经提供了充足的标识数据，证明他自己是被授权执行认可的用户时，才会接受认可消息。标识数据也可由用户在一个会话开始时输入以证明他自己，并且使得用户随后执行任意数目个交易，不必再进行认证。

在现有技术中，通常要求用户手动地将标识数据输入到电子交易系统中进行认证。通常，标识数据的输入涉及在一个数字键盘上或一个键盘上键入一个密码。然后将标识数据与先前存储在电子交易系统中的数据进行比较，当两者匹配时则满足了认证。正如先前所提到的，如果不匹配则不会允许进行提出的一个或多个交易。

虽然现有技术的电子交易系统对于未授权的访问和使用用户帐户提供了某些保护，但是有一些缺点。为了说明与现有技术电子交易系统有关的某些缺点，此处可参考图1。图1显示了一个自动柜员机(ATM)100，它代表了一个电子交易系统102的请求设备。电子交易系统102可包括，例如，一个中央数据库104，它包含了先前存储的用户106的标识数据和帐户数据。

为了启动一个与ATM 100的典型交易，用户106首先将一张数据卡107，例如一张银行卡或一张信用卡插入一个读卡器109。数据卡107通常包括一个磁条，其中中包含了与用户有关的帐户号码和其他信息，然后这些信息可被读卡器109读取。存储在数据卡107中的数据使得电子交易系统102确定用户106希望数据库104中的哪个帐户进行交易。

然后用户106可通过ATM 100上的一个键盘108输入他的标识数据，例如，他的个人标识号(PIN)来证明他自己。如果输入的标识数据与存储在数据库104中由数据卡107标识的帐户的标识数据相匹配，则用户被认证并被允许访问其帐户。如果不匹配，则认证失败。认证之后，用户106能够利用键盘108和一个屏幕110的组合来从他的帐户中取出现金，这使得现金从ATM 100中取出，并且数据库104中他的帐户的余额相应减少。

理论上，输入ATM 100的标识数据应该是安全的。实际上，在现有技术的认证技术中，对于标识数据有许多潜在的安全风险。由于标识数据在输入到ATM 100之前未被加密，因此未加密的标识数据容易被未经授权地访问和获得。在现有技术中，标识数据的加密是不现实的，因为用户要执行加密或者记住加密后的标识数据太复杂和/或不方便了。在现有技术中，未经授权地获取标识数据可能发生在输入时无意中被另一方看见，例如，被用户106后的另一个人在屏幕110上或者更可能在键盘108上看见。

即使在现有技术中标识数据在从ATM 100发送到数据库104之前被加密，加密也通常是发生在ATM 100内，仍然要求用户106输入未加密的标识数据，标识数据也仍然会在ATM 100中存在一段时间。从而如果未经授权的一方能够进入ATM 100并且通过ATM 100中实现的软件或硬件截取其中的未加密的标识数据，则可能发生对标识数据的未经授权的访问。

此外，如果ATM 100内采用了公共密钥，则将用户私人密钥存储在ATM 100内使得此私人密钥易被窃取，进一步将用户帐户暴露在了危险之中。然后被窃取的密码和/或私人密钥可被用于使得未经授权的用户访问用户帐户，对用户产生危害。

从前述内容来看，希望这样的设备和方法，用于用电子交易系统进行交易，同时充分消除未经授权地访问用户帐户和未经授权地获取用户标识数据的危险。这种设备最好应该是便携的，使得用户在任何地方都能够方便和舒适地执行交易。

发明内容

揭示了一种方法，用于使一个用户能够利用一个电子交易系统的一个记账终端来进行一个记账的交易，其中记账卡终端被配置为与一张记账卡交互以便进行记账卡交易，向进行记账卡交易的一个商家(merchant)提供一张商家卡，包括在要进行记账卡交易的商家的记账卡终端接受商家卡和来自进行记帐卡交易的用户的一个个人标识号码或移动电话号码，在一个中央处理区域检测商家卡的使用，响应所述的检测步骤，利用电话号码或个人标识号码向记帐卡交易所需的授权人的移动电话发出一个呼叫，将一份用户记帐卡交易的报告发送给移动电话，并且仅当授权人认可时才将对记帐卡交易的认可授权返回商家的记帐卡终端。

商家还可输入来记帐的量以及要进行的交易类型的标识。

可以向商家卡分配一个有效的信用卡号码，检测商家的有效的信用卡号码来启动呼叫授权人的移动电话的步骤。

本方法还可包括以下步骤：通过一个中央处理服务器过滤来自商家的记帐卡终端的所有信用卡交易，并且响应该过滤步骤，如果从商家接收到的卡号不是一个唯一的商家分配的号码，则服务器什么也不做，或者如果卡号是一个唯一的商家分配的号码，则用电话号码或个人标识号码作为索引在付款服务器的数据库中查找信息。

本方法还可包括，付款服务器用与交易有关的电话号码或个人标识号码作为一个存储了被要求授权交易的个人的移动电话号码的数据库的一个索引。

在本方法中，数据库还可存储一条关于是否授权人的移动电话号码具有一个内嵌的PEAD的记录。如果确定授权人的移动电话具有一个PEAD，则服务器向授权人的电话发送一条交易消息，以便用内嵌在电话中的一个PEAD进行认可，授权人通过在移动电话上输入一个个人标识号来认可交易。

如果数据库查找指示授权人的移动电话是一个按键式电话，则服务器将向授权人的移动电话发送一条消息，请求一个认可的拨号音。

数据库服务器可利用一个交互式语音应答系统，以便将交易信息传送到授权人的移动电话。

在授权人授权/认可交易后，利用从包括信用卡、ATM、银行帐户或借记卡的群组中选出的一个帐户，可对授权人的帐户进行一个清算。

附图说明

为帮助讨论，图1显示了一个现有技术的电子交易系统，包括一个自动柜员机(ATM)。

图2描述了根据本发明的一个实施方式的一个便携式电子授权设备(PEAD)，它代表了用于安全地认可与一个电子交易系统进行的交易的设备。

图3A显示了了本发明的一个实施方式中图2的PEAD的一个简化的示意图。

图3B显示了一个实施方式中具有代表性的交易认可数据的格式。

图4描述了根据本发明的一个实施方式的PEAD的一个逻辑框图。

图5A显示了根据本发明的一个实施方式的PEAD的一个高层硬件实施方式。

图5B描述了一个PEAD的一个实施方式，其中PEAD电路在一个IC中实现。

图5C显示了图5B的PEAD在嵌入到一个卡状封装中时的一个外部视图。

图6A描述了根据本发明的一个首选实施方式的PEAD的一个外部视图。

图6B以简化的方式根据本发明的一个方面描述了实现图6A的PEAD的硬件。

图7是一幅流程图，它根据本发明的一个方面描述了采用所发明的PEAD的认可技术。

图8是一幅流程图，它根据本发明的一个方面描述了使一个公共密钥加密技术加密交易认可数据中所涉及的步骤。

图9根据本发明的一个方面描述了一个便携式电子记帐和授权设备(PECAD)的一个简化的框图。

图10是根据本发明的一个实施方式的一个PECAD的一个简化视图，其中安装了一个仿真卡。

图11是一个简化的流程图，它根据一个实施方式描述了一个交易号码如何与一个PECAD系统结合使用来提高交易安全性。

图12是本发明的方法和设备的一个示意图。

具体实施方式

本发明进一步涉及一个付款系统(EPS)，用于用一个电话号码进行付款，并且使用一个PEAD或一个移动电话来认可付款。为了集成到现存的销售点系统中，一个有效的信用卡号码被预定为一个eSignX商家卡号码(EMC号码)。对于一个将其电话号码(最好是他/她的移动电话号码)注册在eSignX付款系统中的用户，可能通过将其电话号码提供给一个商家在销售点付款。商家可以读取eSignX商家卡(EMC)，然后输入一个客户移动电话号码、要记帐的量以及其他可选信息。由于EMC号码是一个有效的信用卡号码，因此电话号码和记帐信息将会经过现有的付款解决设施，例如Visa或MasterCard，并且将被现有的数据处理器所处理，例如第一数据公司(FDC)。本发明仅需要在现有的设施中安装一个eSignX付款服务器，以便通过过滤所有经过系统的记帐卡号码来获取唯一的EMC号码。如果该卡号不是唯一的EMC号码，则不进行任何操作。如果该卡号是唯一的EMC号码，则用电话号码作为索引查找eSignX付款服务器中的数据库。如果查找结果指示用户的移动电话嵌入有一个PEAD，例如一部具有WIM卡或SWIM卡的WAP电话，或一部具有xDSM软件PEAD模块的Java电话，则eSignX付款服务器将向用户的电话发送一条交易消息，以便用嵌入在电话中的一个PEAD来进行认可。如果查找结果指示用户的移动电话是一个按键式电话，则eSignX付款服务器将通过一个IVR(语音交互应答)系统来呼叫用户的移动电话，以便用拨号音来进行认可。

可通过参看图12的框图来理解一个示例性的交易，该图描述了本实施方式的基本物理元件，以及本方法和设备所使用的数据流。第一步，当一个交易要在一个商家处被授权时，为了使此系统的用户在销售点付款，用户只需要在交易之前将他的电话号码(最好是他或她的移动电话号码)注册在eSignX付款系统中，然后通过将电话号码提供给商家从而在销售点付款。当然，注册一个个人标识号码，并将个人标识号码提供给商家也是等效的。

在任一种情况下，在接收到移动电话号码的个人标识号码后，商家在一个标准读卡机1204中读取一张由eSignX发行的商家卡，其中标准读卡机1204与当前用于读取信用卡的读卡机是一个类型的。在读取商家卡之后，商家输入客户的移动电话号码(或个人标识号码)、要记帐的量和其他可选信息。

由于被读卡机1204读取的EMC号码是一个有效的信用卡号码，从而电话号码和记帐信息可经过现有的付款解决设施，例如Visa或MasterCard所使用的设施，并且被一个现存的数据处理器所处理，例如第一数据公司，它维护了一个大规模的数据处理中心1210，输入的数据被引到这里。

除了已经在此中心进行的数据处理外，本方法仅需要在1210处或另一地点安装一个用于捕获用EMC商家卡1202输入的数据的付款服务器。这可以通过用一个服务器1220来完成，该服务器可在通常在信用卡数据处理中心进行数据处理之前或之后合并到主数据处理中心1210中。现有的设施中的付款服务器1220的功能是从商家卡1202获取唯一的商业标识(EMC)号码，最好通过过滤所有经过系统的记帐卡号码而获取。如果卡号不是一个来自EMC卡1202的唯一EMC号码，则商家卡付款服务器1220不进行任何操作。

如果卡号是一个唯一的商业(EMC)号码，则数据立即被转移到EMC付款服务器1220，以便用电话号码或个人标识号码作为索引来在数据库中查找与必须授权交易的人(它可能是也可能不是发行者)有关的所有可用信息。

所述认可然后能够与正在进行的交易同时从移动电话号码或个人标识号码所指向的移动电话1230；这可以是或不是由请求进行交易的个人所持有的移动电话。

如果付款服务器1220处的查找结果指示用户的移动电话中嵌入有一个PEAD，例如一个WAP电话或WIM卡、SWIM卡或具有xDSM软件PEAD模块的Java电话，则付款服务器1220向授权人的电话1230发送一条交易消息，用于用嵌入在电话中的一个PEAD进行认可。在具有PEAD的移动电话的持有人接收到该消息后，他们可以输入一个认可码，或忽略该消息，或输入不认可码。

在替换实施方式中，如果查找结果指示用户的移动电话是一个按键式电话，则付款服务器1220发送一条消息，或通过一个交互式语音应答系统呼叫用户的移动电话，以请求一个认可的拨号个人标识号码。

在任一情况下，与移动电话号码或个人标识号码相关的移动电话1230的持有者都保持着对交易认可的控制，不论他们是否出现在交易地点。

图2根据本发明的一个实施方式描述了一个便携式电子授权设备(PEAD)200，它表示了用于安全地认可与一个电子交易系统进行的交易的设备。参见图2，请求设备202可通过经过通过端口204向PEAD200发送一个与提出的交易有关的交易请求，来开始一个与PEAD 200的交易认可过程。请求设备202可代表，例如，一台ATM机、一个网络中的一个计算机终端，一个自动图书馆借出终端，或者类似的用于使得用户能够与电子交易系统进行交易的设备。提出的交易可以是，例如，对一个特定项目的销售以换取一定量的金钱的交易。交易请求本身可包括，例如，交易标识符、商家的名称、商家的标识，提出购买的时间等。在一个实施方式中，来自请求设备202的交易请求可以被加密以增强安全性，但这不是必须的。与提出的交易有关的数据通过图2中的路径206到达PEAD 200。

端口204可表示一个红外端口，以促进与PEAD 200的红外通信。端口204也可表示一个无线端口，用于促进无线通信。端口204甚至可以表示一个接触类连接的端口，例如一个磁读/写机制，或一个具有电接触的用于直接将PEAD 200插进端口204以促进通信的插头。用于促进请求设备202和PEAD 200之间的通信的其他技术是易被技术熟练者所理解的。

然后用户可在请求设备202的一个屏幕208或者可选地在PEAD200提供的一个显示屏幕(图2中未显示)上查看与提出的交易有关的数据。如果用户认可交易，例如，用一定量的金钱购买一个项目，则用户可通过激活PEAD 200上的一个开关210来表示其认可，这使一条认可消息以用户的标识数据被创建、加密并通过路径212被发送回请求设备202。如果交易未被认可，则用户只要不进行任何操作，让交易请求在一段时间之后过期或者激活PEAD 200上的另一个开关(图1中未显示)，它使得一条加密或未加密的拒绝消息通过路径212被发送回请求设备202。

本发明与图1的现有技术不同的是在现有技术中用户必须将他的标识数据输入到电子交易系统，例如，输入到ATM 100中，来认证他自己。相反，本发明使得与用户相关的标识数据在PEAD内始终安全。交易认可在PEAD 200内发生，代表这种认可的数据在被发送到电子交易系统(例如图2中的请求设备202)之前在PEAD 200内被加密。

因此，即使认可数据被截取，其加密也将防止未被授权的用户将标识数据用于违法用途。如果采用公共密钥加密来加密认可数据，则用户私人密钥也始终保持在PEAD 200内。由于用户私人密钥是加密所必需的，并且他人(甚至一个实施方式中的电子交易系统)都不知道，因此加密的认可数据如果被截取，对于未被授权的第三方也是没用的，即使可以用用户公共密钥来对认可数据进行解密。此外，这与现有技术的授权技术是不同的，现有技术中加密在电子交易系统中发生，并且要求输入标识数据和/或从标识卡例如一张ATM卡、一张信用卡等读取用户私人密钥。正如先前提到的，现有技术的电子交易系统要求此标识数据和/或用户私人密钥的事实将这些数据暴露在危险中，例如，如果请求设备不安全或者可能通过软件或硬件截取。

另一个不同之处是，本发明采用便携式电子授权设备(PEAD)内的电路来执行PEAD本身之内的交易认可数据的认可和加密。相反，现有技术的数据卡基本上是被动设备。例如，现有技术ATM卡或者信用卡只具有一条用于存储帐户信息的磁条，不具有任何执行交易认可数据的认可和/或加密的设备。而现在正被开发的IC卡的智能卡可包括电子电路，当前其实施标准仍然要求一个与请求设备相关联的读卡器读出标识数据和/或用户私人密钥，以便请求设备执行任何认可和/或加密。正如先前提到的，将这些数据发送到请求设备不必要地使得这些数据处在一旦被发送就被暴露在了被窃取和/或未被授权的截取的危险中。

此处应记住虽然本发明一直在讨论公共密钥加密来帮助理解并且强调本发明的一个特定方面，但是整个发明并不限于任何特定的加密算法，并且可使用任何常规加密技术实现，包括诸如RSA的公共密钥加密技术、Diffie-Hellman，其他离散对数系统、椭圆曲线系统等。对于某些不同的公共密钥加密技术的其他信息，可参考例如1998年10月5日的“用于公共密钥加密的IEEE P1363/D8标准规范”，此规范可从以下地址获取：纽约州纽约市第七街345东IEEE标准部门，10017-2349。

正如已提到的，现有技术中的交易认可发生在电子交易系统内。相反，本发明使得交易认可发生在PEAD 200内。交易认可完全发生在PEAD 200内这一事实提供了许多优点。例如，此功能消除了在一个实施方式中使得标识数据和/或用户私人密钥处于请求设备中的需要。交易认可完全发生在PEAD 200内(使用始终在PEAD 200内保持安全的用户标识数据和/或用户的私人加密密钥)这一事实充分增强了用户的标识数据和用户私人密钥的机密性，以及交易认可过程的完整性。

由于交易完全在PEAD 200内发生，被用于认证交易的用户标识数据可以更复杂和详细，以确保更高的安全性。例如，用户标识数据可比一个简单的密码更详细，并且可包括以下任何项目：用户名、其出生日期、其社会安全号或其他唯一生物测定或唯一标识数据，例如指纹、DNA代码链、声纹等。相反，现有认证技术将用户标识数据限于易被用户记住的简单的形式，例如几个字符的简单密码，因为更详细的标识数据可能太难以记住或者太冗长以至于无法手动输入。此外，即使复杂的标识数据可存储在现有技术的数据卡中，它仍需要被读进电子交易系统的请求设备中，一旦此数据被读取，则又一次被暴露在被截取或窃取的危险中。

此处将详细讨论的其他安全措施也将被提供来防止访问(不论电子地或者通过物理装置)PEAD 200内的用户标识数据和/或用户私人密钥。由于标识数据和/或用户私人密钥从未暴露，因此这些数据的安全危险被充分最小化了。

图3A显示了本发明的一个实施方式中的图2的PEAD 200的一个简化示意图，包括开关210。数据路径206被提供来从电子交易系统接收交易请求，而数据路径212被提供来将交易认可数据发送回电子交易系统。应记住虽然此处的两个数据路径和其他数据路径在一个实施方式中可表示逻辑数据路径，可通过单个物理数据连接实现。同样，此处的不同端口在一个实施方式中可表示逻辑数据端口，以便于理解，实际上可使用单个物理端口实现。

当一个交易请求，例如从一台ATM机取出200.00美元的交易，通过数据路径206发送到PEAD 200时，此交易被加密逻辑300接收。此处，用户可通过电子交易系统和/或PEAD 200所具有的显示屏幕查看提出的交易，并且可选择认可或不认可提出的交易。如果用户认可交易，在一个实施方式中，他可以激活一个开关210，这使得交易认可数据被产生，并在通过路径212发送回电子交易系统之前被加密逻辑300加密。

注意交易认可过程中采用的用户标识数据块302没有直接连接到路径206和212。换句话说，存储用户标识数据的存储器部分被故意从PEAD 200的输入和输出端口断开以防止对它的直接访问。

如果需要访问用户标识数据302，例如，以认可一个交易，则访问只能由加密逻辑块300完成。同样，不可能直接访问存储用户私人密钥的存储器部分304。如果需要访问用户私人密钥304，例如，以加密交易认可数据，则访问只能由加密逻辑块300完成。应记住虽然用户标识302和用户私人密钥304被显示为存储在不同的存储器部分中，做出这种描述是为了易于理解，在一个实施方式中，两者实际上可以都存储在同一存储模块上的不同地址处。

在某些情况下，交易认可数据需要包括标识数据302的特定片段。例如，在来自电子交易系统的交易请求中的一个交易在被加密和重新发送回电子交易系统之前，可以被附加上代表一个“电子签名”的数据。图3B显示了在一个实施方式中代表性的交易认可数据350的格式。参见图3B，表示从电子交易系统接收的一部分或整个交易请求的交易数据352被附加上特定的用户标识数据354，以及可选地，一个时间戳356。交易认可数据350的生成只发生在交易请求已经被用户认可之后。一旦被附加，则交易认可数据350在被重新发送回电子交易系统之前被加密。

在某些情况下，可能需要在将交易请求发送到PEAD之前对其加密以进一步增强安全性。例如，特定的交易伙伴，例如卖主或计算机网络上的其他用户，可能希望使一个交易请求内的信息保密，并且可能希望在将交易请求提供给PEAD之前对其进行加密。当例如用户标识数据和用户私人密钥在首次写入一个空的PEAD以配置一个对于一个特定用户是唯一的PEAD时，也需要进行数据加密。与用户标识数据和用户私人密钥有关的配置数据，虽然只需被PEAD 200的用户写入PEAD 200中一次，但是最好对其进行加密，以使其不容易被窃取。PEAD 200的发行者可代表例如信用卡用户、政府或者用户与之维持帐户的任何其他机构。

图4根据本发明的一个实施方式描述了图2的PEAD 200的一个示意图。图4的PEAD 200进一步采用了解密逻辑，其用于接收加密的配置数据以及可选地接收加密的交易请求。在图4中，加密逻辑300、用户私人密钥304和数据路径206和212正如联系图3A所讨论的那样安放和起作用。

交易请求通常是未加密的，即，他们是以联系图3A讨论的方式被接收和访问的。但是，对于高度敏感的交易，交易请求可被加密，并通过数据路径206发送到PEAD 200，并且被输入到解密逻辑402中被解密。如果采用一个公共密钥加密，则加密后的交易请求可以用一个交易伙伴的公共密钥404解密。

交易请求一旦被解密，则被显示给用户以便认可。如果例如响应开关210的激活而被认可，则交易认可数据可通过路径406被提供给加密逻辑300，以便被加密。如果采用一个公共密钥加密技术，则加密最好用用户私人密钥进行，然后加密后的交易认可数据通过数据路径212被发送回电子交易系统。

由于配置数据通常包括敏感的用户标识数据和用户私人密钥，因此在它通过数据路径408被发送到PEAD 200之前通常被加密。加密后的配置数据被解密逻辑402接收，并且在被写入用户标识数据块410和用户私人密钥块304之前在其中被解密。如果采用公共密钥加密，一旦被具有一个发行者公共密钥412的PEAD 200接收，则加密后的配置数据可在发送和解密之前被电子交易系统中的用户私人密钥所加密。

注意一旦配置数据被解密并且被写入到用户标识数据块410和用户私人密钥块304，则用户标识数据和用户私人密钥只能随后被加密逻辑300所访问。还注意到从任何I/O数据路径，例如，数据路径206、212或408，到用户标识数据块410以及到用户私人密钥块304都没有直接连接。有利地，其中的敏感的用户标识数据和用户私人密钥一旦被写入各自的块410和304(在一个实施方式中，它们可能只表示PEAD 200的存储器中的存储器块)则不易从外部访问。

此外，用户标识数据和用户私人密钥不能被不具有发行者的私人密钥者所更新。如图4所示，数据只有在通过具有发行者的公共密钥412的解密逻辑402被解密之后才能被写入用户私人密钥块304和用户标识块410。因此，除非配置数据已经通过发行者的私人密钥(它被假定为高度安全)被加密，否则更新的配置数据不会被解密和写入各自的块304和410。当然，如果块304和410中的配置数据不能被物理地更新，例如，它们是用诸如PROM(可编程只读存储器)、WORM(写一次读多次)等只能写一次的存储器存储的，则充分消除了与对配置数据的未经授权的更改相关的安全性因素。

如果需要更高级别的安全性，则用户私人密钥在写入用户私人密钥块304之前可通过可选的加扰器/解扰器逻辑412可选择地被加扰或随机化。在一个实施方式中，加扰器/解扰器逻辑413可接收向用户发行PEAD 200的机构提供的用户私人密钥，并且对其进行加扰和/或随机化，生成另一个用户私人密钥和一个相应的用户公共密钥。然后这个被加扰/随机化的用户私人密钥被存储在用户的私人密钥块304中，现在它甚至对于PEAD 200的发行者也是未知的，而相应的用户公共密钥可以让发行者和/或交易伙伴知道，以促进交易。有利地，除了用户私人密钥块304以外，其他任何地方都没有被加扰/随机化后的用户的私人密钥的其他复本。

在一个替换实施方式中，可能采用了一个可选的密钥生成逻辑414，它响应来自发行机构的一个请求，独立生成用户私人密钥和用户公共密钥，即不要求先从发行机构接收到一个用户的私人密钥并随机化它。然后生成的用户私人密钥被存储在私人密钥块304中，并且公共密钥被发行机构和/或交易伙伴所获知，以促进交易。通过此方式，用户私人密钥不论是否被随机化都不存在于PEAD本身之外。正如本领域技术熟练者可意识到的那样，密钥生成逻辑414的使用进一步增强了用户私人密钥的机密性。

图5A根据本发明的一个实施方式显示了PEAD 200的一个高层硬件实施方式。如图5A所示，PEAD 200包括逻辑电路502，它可表示一个中央处理单元，例如一个微处理器或一个微控制器，离散逻辑，可编程逻辑，一个专用集成电路(ASIC)等，用于实现图2的加密逻辑300以及可选地实现图4的解密逻辑402。

程序/数据存储器504除存储其他内容外，还存储操作PEAD 200的代码以及用户标识数据和用户私人密钥。程序/数据存储器504最好用某种形式的非挥发性存储器(NVM)实现，例如闪存、电可编程只读存储器(EPROM)、电擦除可编程只读存储器(EEPROM)等。暂存器506用作一个暂时寄存器，用于计算用途以及用于数据的暂存，可以用某种形式的随机访问存储器(RAM)实现，例如静态RAM或动态RAM，这些都是现有技术中已知的。作为替换，光存储器、磁存储器或其他类型的存储器中的任何一种也可被用于实现程序/数据存储器504和/或暂存器506。

一条总线508将程序/数据存储器504和暂存器506与逻辑电路502相连接。通信端口510表示PEAD 200和电子交易系统之间的通信网关，并且可用红外技术无线RF技术、一个磁读/写头、一个用于促进串行或并行数据传输的接触型插头等实现。在一个实施方式中，通信端口还可表示一个PC卡端口(技术熟练者一般称之为PCMCIA卡)。数据路径206将交易请求输入逻辑电路502，而数据路径212将来自逻辑电路502的交易认可数据输出到电子交易系统。图4中已经说明的可选数据路径408将配置数据输入PEAD 200，以便将用户标识数据和用户的私人密钥写入程序/数据存储器504，以便将PEAD200唯一地配置给一个特定用户。

再一次注意访问程序/数据存储器504及其中的数据(例如，用户标识数据和用户私人密钥)只能由逻辑电路502完成。例如，用户标识数据和用户私人密钥可以只被写入程序/数据存储器504，如果此数据已经通过发行者的私人密钥被正确加密的话。对这些存储器块的访问以便向其写入也可能在适当的软件和/或硬件控制下被逻辑电路502所限制。

同样地，读用户标识数据以及访问用户私人密钥只能通过逻辑电路502的加密逻辑完成。此方面对安全性的有利之处已经联系图3A和4进行了讨论，最重要的一点是最好不能从外部直接访问敏感的用户标识数据和用户私人密钥。因此，所发明的设计显著增强了这些数据项目的机密性和安全性。

也可提供某种类型的电源，例如一个电池。PEAD 200被实现为一个单芯片设计，即图5A中所示的几乎所有元件都被制造在单个芯片上，则电源在芯片本身之外。如果采用接触型通信，例如，如果PEAD200必须被插入电子交易系统以进行交易，则可采用PEAD外部的电源用于插入时进行交易认可，因此消除了与在便携式交易设备上带有一个电池相关的大小、重量和成本代价。

在一个实施方式中，PEAD 200可通过一个通用便携式计算设备实现，例如任何小型便携计算机或个人数据助手(当前流行的PDA，诸如Apple Newton这样的PDA可用于实现PEAD 200)。

图5B描述了一个PEAD的一个实施方式，其中电路在一个IC上实现。在图5B中，具有与图5A中相同的附图标记的元件具有相同的功能。已经联系图5A说明的数据路径408、406和212被连接到一个串行I/O电路520，该串行I/O电路520促进在PEAD 200和电子交易系统之间的一个数据路径522上以串行方式进行数据发送和接收。还显示了向图5B的PEAD 200提供电源的Vcc引脚524和地引脚526。

图5C表示图5B的PEAD的一个外部视图，其中PEAD已经被嵌入到一个卡状封装中，以便易于携带和插入电子交易系统的一个串行I/O端口。在一个实施方式中，嵌入了实现所发明的PEAD的集成电路的卡550包括四个外部触点。还显示了正如联系图5A所讨论的那样向PEAD提供电源的Vcc触点524和外部接地触点526。当卡550被插入一个电子交易系统中时，它通过外部触点524和526被加电，从而使得其中的PEAD电路能够通过串行触点552和554接收交易请求，如果适当的话则在PEAD内认可请求，在PEAD电路内加密交易认可数据，并且将加密后的交易认可数据通过外部串行触点552和554串行地通信到电子交易系统。

图6A表示了根据本发明的一个首选实施方式的PEAD的一个外部视图。图6A的PEAD 200最好被实现为一个小的独立的足够用于日常现场使用的封装。图6A的PEAD 200最好足够小，以使得用户能随时携带，例如，作为一个钥匙链挂件或一个可以很容易地装到一个钱包或钱夹中的小封装。PEAD 200的物理封装最好被设计为其内容是防止不正确操作的(即，如果它以未被授权的方式被打开，则用户私人密钥和/或用户标识数据将被损坏，或者PEAD将不再能认可交易)。例如，封装可被设计为如果它被打开，则电路路径中的电流有所变化，例如，或者现有的电流被中断，或者一条空闲的电流路径开始流动。然后电流的变化可强制RE。

显示了一个红外通信端口602，用于与电子交易系统接收和发送数据。一个小的开/关开关604使得用户能够关闭PEAD以便在不使用时省电。认可按钮606使得用户能够表示对一个提出的交易的认可。可选的跳过按钮608使得用户可以表示拒绝一个特定的交易。可忽略跳过按钮608，因为在某个实施方式中，如果在接收到请求后认可按钮606在一个给定的时间段中未被激活，则交易请求可被理解为未被认可。

可选的显示器610可通过任何类型的显示技术实现，例如液晶技术。显示器610除了显示其他内容外，还显示提出的要认可的交易。如果需要的话可忽略显示器610，在这种情况下，可在与电子交易系统本身相关的一个显示器上查看交易。可选的用户认证机制612使得PEAD不被用于认可交易，除非用户能够向PEAD 200标识他自己是合法的和被授权的用户。在PEAD 200能够被激活和用于认可交易之前，可选的用户认证机制612可能要求用户输入一个密码，提供一个指纹或一个声纹，或者被授权的用户所特有的其他生物测定和/或标识特性。

图6B以一种简化的方式，根据本发明的一个方面描述了实现图6A的PEAD 200的硬件。电池652向PEAD 200的电路供电。一个微控制器654执行存储在闪存656中的代码，并采用随机访问存储器658来执行。在一个实施方式中，微控制器654、闪存656甚至随机访问存储器658都可实现在单片芯片中，例如，来自Illinois州Schaumburg的Motorola公司的NC68HC05SCXX族，例如NC68HC05SC28。认可按钮606和可选的跳过按钮608被连接到微控制器654，使得用户能够指示对一个用显示电路660显示的特定交易的认可或拒绝。与电子交易系统进行的通信是通过一个红外收发器662在微控制器654的控制下完成的。电源开关664使得用户能够在不使用时关闭PEAD 200的电源，以节省电能和防止意外的认可。

图7是一幅流程图，它根据本发明的一个方面描述了采用所发明的PEAD的认可技术。在步骤702中，PEAD从与电子交易系统有关的请求设备接收到一个交易请求。在步骤704中，用户可选择认可或不认可提出的交易。如果通过激活PEAD的跳过按钮或者只是使得请求过期而不认可，则不进行任何操作。

另一方面，如果用户认可提出的交易，则用户可激活认可按钮来产生交易认可数据。然后在步骤708中交易认可数据在PEAD内被加密。在步骤710中，加密后的交易认可数据在被加密后被发送到电子交易系统的请求设备。

图8是一幅流程图，它根据本发明的一个方面描述了使用公共密钥加密对交易认可数据进行加密所涉及的步骤。在步骤802中，产生交易认可数据封装。正如先前联系图3B所讨论的，交易认可数据可通过将任何必要的用户标识数据附加到交易请求的一部分或全部来产生。可选的，也可向其附加上一个时间戳。在步骤804中，交易认可数据通过使用用户私人密钥被加密，其中用户私人密钥最好始终在PEAD内保持安全。此后，加密后的交易认可数据被发送回电子交易系统。

根据本发明的一个方面，认识到即使加密后的交易认可数据被一个第三方截取和解密以用于分析，则只要用户私人密码或用户标识数据是安全的，则不可能绕过本发明的安全性特征。正如先前提到的，由于用户标识数据不能从外部访问，因此它始终在PEAD内保持安全。这与现有技术是不同的，在现有技术中，用户需要在电子交易系统处输入标识数据，例如密码，冒着暴露此敏感数据的危险。

即使危及到了用户标识数据的安全，除非拥有用户私人密钥，否则也不能进行交易认可。截取加密后的交易认可数据也是无用的，即使能够用用户的公共密钥对其解密，因为交易伙伴，例如请求认可交易的商家，不会接受任何没有用用户私人密钥加密的交易认可数据。此外，由于私人密钥不能从外部访问，因此它始终在PEAD内保持安全。本发明的此方面在执行在线交易上有很大的优点，因为用户私人密钥不再需要存储在一个工作站上的一个易受攻击的计算机文件中，它可能被其他方所访问，并且可能难以很方便地被拿出来用于其他认证任务。

PEAD被现在在一个小的便携的封装中这一事实使得用户能够随时方便并舒适地将PEAD保持在其所属物中。即使PEAD在物理上被盗了，可选的用户认证机制，例如，图6A的用户认证机制612也会提供一个附加的保护级别，并且使得PEAD对于除了正确的被认证的用户之外的任何人都无用。当然如果PEAD被盗窃或丢失，用户总是可以通知PEAD的发行者，则发行者可通知交易伙伴拒绝使用被盗的PEAD的用户私人密钥加密的任何交易认可数据。

交易认可数据包括时间戳、商家名称、认可的量和任何其他有关数据这一事实也增强了认可过程的安全性。如果商家非有意或有意地向发行者提交了多个交易认可，则发行者能够从这些数据项目中认识到提交重复了，并且忽略任何重复的交易认可数据。例如，发行者可认识到一个用户不太可能在一个特定的时间和日期在同一餐馆购买多份相同的晚餐。

发明者在这里认识到虽然PEAD和启用了PEAD的销售点终端提供了一个高度安全的系统，用于认可交易，但是存在着一个已经良好确立的并且广泛可用的记帐卡设施，它包括数百万个现存的在世界各地被使用的记帐卡销售点终端(例如记帐卡读卡器或ATM终端)。还进一步认识到即使没有启用了PEAD的销售点终端，特定的PEAD功能也可提供与现存的记帐卡设施的增强的交易安全性。

根据本发明的另一方面，提供了一个便携式电子记帐/认可设备(PECAD)，它不仅提供前述PEAD功能以使得用户能够认可与一个启用了PEAD的销售点终端的一个交易，还可以使得用户能够与现存的记帐卡设施进行交易。尤其地，整个PECAD系统包括一个PECAD以及一个相关的仿真卡，就该仿真卡与现存的记帐卡读卡器的接口来看，它遵循当前的记帐卡标准。仿真卡可由PECAD灵活配置，以使其外表像一个普通的记帐卡读卡器。PECAD和仿真卡一起形成一个安全系统，用于与现存的记帐卡设施进行交易。

注意作为此实施方式的上下文中所采用的术语，记帐卡包括磁条卡和电子智能卡。记帐卡本身可表示信息卡(例如Visa或MasterCards)、ATM卡、皇家卡、折扣卡，以及用户可用于一个销售点终端来获取现金、货物和/或服务的任何其他类型的卡。

在进行一个交易前，PECAD的存储器中具有与用户的一张或多张记帐卡相关的记帐卡数据。为执行PEAD功能，存储器也可包括有关PEAD讨论的其他数据项目。记帐卡数据可利用PECAD的适当的读/写机制事先从实际记帐卡本身输入。

由于PECAD包含PEAD功能，因此它当然可以用来以关于PEAD所讨论的方式来认可与一个启用PEAD的销售点终端进行的交易。但是，在没有启用PEAD的销售点终端的情况下，则采用仿真卡来与现存的记帐卡设施的进行交易。

为了用仿真卡进行了一个交易，用户首先请求PECAD将一个选中的记帐卡的相关记帐卡数据写入到仿真卡。选中的记帐卡可由用户在写入之前选择。由于单张仿真卡可仿真任何数目的记帐卡，因此这单张仿真卡可以有利地取代现在一个用户必须携带的多张记帐卡。最好在允许用户使用PECAD将记帐卡数据写入到仿真卡之前先用一个与PECAD相关的适当的认证机制正确地认证用户。

在仿真卡被写入与用户选中的记帐卡相关的记帐卡数据后，用户可把仿真卡当成一张记帐卡来用，以便完成交易。即，由于仿真卡遵循现存记帐卡和记帐卡读卡器的I/O要求，它可以像一张记帐卡那样被一个现存的记帐卡读卡器读取。

一旦完成了交易，则用户可选择采用PECAD从仿真卡擦除记帐卡数据，从而使得仿真卡不能再用于进行其他交易，直到被正确认证的用户再次授权PECAD将记帐卡数据写到仿真卡上。如果仿真卡仿真电子智能卡，则可以通过例如适当配置仿真卡中的寄存器或标记来使得仿真卡不能再用于进一步交易。从而，即使仿真卡被盗，它对一个未被授权的用户也是没用的。此外，即使仿真卡和PECAD一起被盗，除非用户被正确地认证，否则仿真卡本身也是不能被写入记帐卡数据的。这与现存的情况是鲜明的对比，在现存的情况中，例如，一张被盗的信用卡的磁条中仍包含进行一个交易的所有必要信息。为了进一步的安全性，仿真卡本身可由被正确授权的用户物理地签名，并且可以包含被授权的用户的一张照片，以使得商家从视觉上确定进行交易的人是否实际上就是仿真卡的合法所有者。

在一个首选实施方式中，每张仿真卡以一种充分唯一的方式与一个特定的PECAD相匹配，以便进一步增强安全性。在此情况下，一个给定的PECAD只能将记帐卡信息写入到与其唯一相关的仿真卡中。例如，一张仿真卡可能被赋予了适当的光学加密的标记(例如全息图)、磁加密标记(例如磁存储比特)或机械加密的标记(例如随机分布的孔)，以便它只能被一个特定的PECAD写入。

最好每张仿真卡与唯一的单个PECAD匹配。但是，应注意，这个唯一匹配方面不必是一个数学绝对(虽然首选这一种)。本领域技术熟练者将认识到在给定足够多个发行的仿真卡和PECAD时，某些重叠可能会发生，使得可能(虽然在实际生活中可能性是很小的)一张给定的仿真卡可能被多个PECAD所识别。实际上，发行者或制造者可能拥有一个主PECAD，它能够识别多个发行的仿真卡。从而，一张仿真卡和一个PECAD之间的关联是充分唯一的这一点的意义就好像一把门钥匙对每个门锁是充分唯一的，不排除一个制造者可能选择使得一张仿真卡对于一个给定的PECAD是绝对唯一，或者在制造出的数百万个门锁中，一把给定的钥匙可能能打开多个门锁的微小可能性。最好仿真卡/PECAD(例如在同一城市或州内的)的加密后的标记和地理分布模式可以被安排为使得所述微小的可能性被最小化。

由于每个仿真与一个特定的PECAD是充分唯一匹配的，因此即使一个PECAD被盗并且认证机制被一个想进行欺骗行为的个人成功绕过，被盗的PECAD仍然不能被用于将记帐卡数据写入任何任意的空白仿真卡以进行欺骗性交易。作为一个进一步的优点，一个给定的PECAD只能(在正确认证之后)向与之充分唯一地关联的仿真卡写入，从而充分消除了PECAD意外覆盖一张现存的记帐卡的情况。

图9根据本发明的一个方面描述了PECAD 902的一个简化框图。在图9中，一个存储器904最好是非挥发性的，防止不正确操作的存储器，并且发挥与PEAD中的存储器电路相同的功能，只不过存储器904也可被用于存储与用户的一张或多张记帐卡相关的加密后的记帐卡数据。加密逻辑906执行与联系PEAD讨论的加密逻辑相同的加密/解密/安全功能。即，访问存储在存储器904中的数据，包括用户私人密钥、用户个人数据以及记帐卡数据，最好只在加密逻辑906的帮助下完成。

认证机制908执行与联系PEAD讨论的用户认证机制相同的功能。I/O电路910代表使得PECAD能够与一个启用了PEAD的销售点终端通信的电路，如果它可用于认可交易的话。先前已经联系PEAD讨论了交易认可方面，这里不再详细讨论。如果预期某些PECAD模型不与一个PEAD销售点终端通信，只用于配置仿真卡以便与现存的记帐卡设施进行交易，则在这些PECAD模型上可忽略I/O电路910。

卡读/写机制912代表用于将选中的记帐卡数据写到仿真卡以及在完成交易后擦除仿真卡的机制。如果记帐卡数据是通过读现存的记帐卡获得的，则卡读/写机制912还包括读现存的记帐卡的能力，以便将记帐卡数据存储到存储器904(通过加密逻辑906)。注意通过卡读/写机制912读取的数据在被存储在存储器904内之前被加密逻辑906加密。同样，存储器904中存储的数据(例如记帐卡数据)在通过卡读/写机制912写到一张仿真卡之前先被加密逻辑906解密。

图10是一个PECAD1002的简化图，其中安放了一张仿真卡1004。仿真卡1004可从插槽1006中取出，以便与一个现存的记帐卡读卡器完成交易。在图10的例子中，仿真卡1004包括一个磁条1008，以便仿真一张磁条记帐卡。但正如先前提到的，仿真卡1004可被配置为仿真任何类型的记帐卡接口，包括IC接触。一个卡读/写机制1010的轮廓的形式被显示，以表示它是PECAD 1002的一部分。通过卡读/写机制1010，数据可从一张现存的记帐卡读出，或者写入到一张仿真卡。键盘1015可被用作如612以及908中所说明的认证机制。用户可键入密码或个人标识号来激活PECAD，以便将记帐卡数据写到仿真卡1004。

认可按钮1012与图6A的认可按钮606充分相同，它可被用于通过一个启用了PEAD的销售点终端来认可一个交易。另一方面卡按钮1014指示用户通过仿真卡完成交易的愿望。卡选择器按钮1016(a)-(d)是可由用户选择以选择可用于进行交易的特定记帐卡的示例性选项。一个显示器1018可用于显示选中的记帐卡的记帐卡数据，例如记帐卡号码、截止有效日期、卡执有者的姓名等，以便如果需要的话商家能够复制这些信息以完成交易。

根据本发明的另一个方面，通过使用PECAD将已经用用户的私人密钥(存储在PECAD的安全的非挥发性存储器中)加密的一个加密的交易号码或其他加密数据写到仿真卡，进一步增强了交易安全性。图11根据本发明的一个实施方式描述了本发明的此方面。在步骤1102中，对每个交易生成一个唯一的交易号码，并且用用户的私人密钥加密。在步骤1104中，加密后的交易号码从PECAD写到仿真卡。例如，如果仿真卡仿真一张磁条卡，则加密后的交易号码可被写到一个现存的但未被使用的磁轨上或者一个保留的磁轨上，例如，磁条上的磁轨3。在步骤1106中，记帐卡读卡器中的软件可指示记帐卡读卡器接收加密后的交易号码，然后用已从一个受信任的第三方获取的一个用户公共密钥认证该交易号码(步骤1108)；或者在步骤1106中，记帐卡读卡器读进加密后的交易号码，然后该交易号码被发送到信用结算中心，例如Master Card或Visa卡，并且信用结算中心可通过已从一个受信任的第三方获取的一个用户公共密钥来认证用户(步骤1108)。通常某些形式的用户标识可被发送到受信任的第三方以帮助获取公共密钥。例如，用户标识或公共密钥标识可被记帐卡读卡器读取，并被发送到受信任的第三方以获取公共密钥。公共密钥标识可表示为，例如，可被发送到用于公共密钥搜索和解密的接收地点的公共密钥比特的唯一模式(例如，最低的32比特或64比特)。如果被认证了，则交易被认可，使得商家能够向用户发放货物/服务(步骤1110)。

正如可从前面意识到的那样，本发明基本上不要求对现存的记帐卡读卡器和现存的记帐卡设施作硬件更改。更改只涉及软件更改，它指示现存的记帐卡读卡器读进加密后的交易号码，并且使用从一个受信任的第三方获取的一个用户公共密钥认证加密后的交易号码。

此外，记帐卡读卡器中可能没有任何更改。而是信用结算中心软件将被通知使用从受信任的第三方获取的用户公共密钥来认证加密后的交易号码。记帐卡读卡器只要从记帐卡或仿真卡读进所有数据，并且将所有信息逐字发送给信用结算中心以求认可。通过此种方式，此实施方式最小化了需要对现存的记帐卡设施进行的更改(即，只需要在信用结算中心的一个位置进行更改，而不是在现存的数百万个记帐卡读卡器处)。

如果需要额外的安全性，则用户可在PECAD处键入交易量和/或交易时间。这些数据段也将被用用户私人密钥所加密，并且写到仿真卡以便被记帐卡读卡器所接收，并且在信用结算中心用用户公共密钥解密，其中用户公共密钥也是从一个受信任的第三方获得的。在此情况下，只有当交易是所述加密后并接收到的交易量中所指示的量和/或交易发生在所述加密后并接收到的交易时间的一个预定的时间段内(之前它们被从PECAD写到仿真卡)时，才给出交易认可。从而，即使仿真卡被盗，随后的其他交易都是没用的，即使真的发生了仿真卡擦除或重配置。

在互联网交易中，一个用户可通过用存储在PEAD或PECAD中自己的私人密钥来加密所认可的量，使用PEAD或PECAD认可交易。此后，他可复制显示在PEAD显示器610或PECAD显示器1002上的加密后的信息，此信息最好是人类可读的形式，例如是一个字母数字串，以便用户能够容易地读并且手动输入(例如通过键入或通过语音命令)到通过互联网连接的计算机来进行互联网交易。如果必要的话，使用PEAD或PECAD进行安全的互联网交易中，也可加密信息卡号码以及交易信息。当然出于后向兼容性而需要的手动输入/键入技术，也可被其他形式的数据输入所同等取代，例如通过计算和PECAD(或PEAD)中的一个适当的端口进行无线或红外通信，以使得数据在互联网上传输。

正如先前提到的，最好使用由一个受信任的第三方保存的用户公共密钥来确定用户身份的认证。受信任的第三方可代表，例如，公共对其具有相当高级别的信任的任何实体，例如一个已知的具有自身利益而具有可信任的名声的组织。其例子包括政府组织、银行、大公司等。

受信任的一方维持一个PECAD公共密钥目录服务，它使得制造商提供的公共密钥与用户联系起来。当用户首次获取一个PECAD(例如通过购买或一个发行者的发行物)时，用户可向受信任的第三方注册其对PECAD的所有权。根据注册过程的安全性，用户被分配给一个确认级别，其表示了完成注册者真实地是他所说的那个人的可信度。

例如，用户可以只通过电子邮件、电话或平信来提供诸如社会安全号、家庭地址和家庭电话号码的个人信息，以及PECAD序列号和公共密钥签名(它是由制造商向一个特定的PECAD分配的一个唯一的号码序列，它能够通过按指定序列的键从PECAD读出)。然后PECAD公共密钥目录中心可将由用户提供的PECAD序列号用作唯一的搜索标识，以便在数据库中搜索公共密钥，一旦它发现了公共密钥，它将使用由用户提供的公共密钥签名来与数据库中的公共密钥进行验证。如果验证成功，则用户可被注册，否则用户将被拒绝。公共密钥最好是唯一的。

注册一个用户的所有权的更安全的办法可以如下(此过程通常发生在购买PECAD/PEAD处或在发行者处，例如一个银行)。发行者首先使用制造商提供的密码激活PEAD/PECAD。此后，PEAD/PECAD用户可用用户的密码或其他认证机制覆盖制造商提供的密码。然后用户可指示PEAD/PECAD在PEAD/PECAD内部生成一对新的私人/公共密钥(称为用户私人密钥和用户公共密钥)。用户还可指示PEAD/PECAD用预存储在PEAD/PECAD中的制造商提供的私人密钥来加密个人信息(例如社会安全信息、家庭地址等)和新的用户公共密钥，以便生成用户注册消息。此制造商提供的私人/公共密钥对可在PEAD/PECAD被制造时由PEAD/PECAD生成。

然后发行者可使用公共密钥目录服务中心的公共密钥来加密PEAD/PECAD序列号码和用户注册消息，以生成注册消息，并将注册消息发送给公共密钥目录服务中心。在接收到注册消息后，公共密钥目录服务器心则可使用其自己的私人密钥来解密注册消息。此后，公共密钥目录服务中心可使用PEAD/PECAD序列号来搜索在数据库中找到的制造商提供的密钥。如果解密成功，则用目录服务数据库中的新的用户公共密钥来更新制造商提供的公共密钥，并且更新目录服务数据库中的个人信息，并且用个人姓名+电话号码或公共密钥的最低32比特(或64比特)生成公共密钥标识，以便将来参考。另一方面，如果解密不成功，则用户可被拒绝。

此注册过程大体上符合一个低确认级别，因为除用户外的其他人可能欺骗性地获取得用户的个人信息，以用于注册所有权(并且一旦注册完成并且PECAD被激活，则使得用户对随后的欺骗性记帐负责)。

一个中等确认级别可通过以下方式来获得：除了提供用于获得一个低确认级别的信息外，提供对提供信息的个人真的是他所说的那个人这一点给出更高信任度的信息。例如，附加信息可以从一张照片、签名、公证人封印或以上的结合中得到。一个高的确认级别可通过提供对提供信息的人真的是他所说的那个人这一点给出甚至更高信任度的信息。例如，注册人可亲自出现在PECAD公共密钥目录中心以出示一张照片、一个签名、一个生物测定样本(例如指纹、视网膜扫描、DNA印等)或者以上项目的一个结合。

一旦完成了注册，信用结算中心或商家可咨询受信任的第三方的PECAD公共密钥目录，以便认证用户和认可交易。

也可通过建立一个保险政策来增强PECAD公共密钥目录，该保险政策使得商家或信用结算中心免受由于来自一个有缺陷的注册过程的欺骗而产生的金融损失。保险政策所提供的覆盖可根据确认级别来衡量，较高的确认级别符合较高量的覆盖。

虽然已经根据几个首选实施方式说明了本发明，但是有更改、置换和等价处于本发明的范围内。应注意有多种实现本发明的方法和设备的替换方法。例如，虽然此处的讨论集中于交易认可，但是对于技术熟练者，显见PEAD可用于在任何希望从用户到一个电子交易系统进行安全的数据传输时面对电子交易系统进行任何类型的交易。例如，PEAD可用于登录到高度敏感的计算机系统或设施。当如此实现时，与PEAD通信的计算机终端可配备一个红外端口、一个磁读卡器端口或者一个接触类型的插头，用于与PEAD通信。然后用户可采用PEAD在线执行任何类型的认证任务。

另一个例子是，PEAD可被用于“签署”任何计算机文件，以便认证(例如，认证日期或用户)。然后交易认可数据可与要认证的文件一起保存，以便将来参考。注意交易认证数据也是防止不正确操作的，因此未用用户私人密钥加密的任何交易认证数据将不会被当作可信的接受。此外，显然如果PEAD只被用于认可预定的交易，则交易数据可预先存储在PEAD内，不需要由PEAD从外部接收。因此以下所附的权利要求书旨在被理解为包括处于本发明的真正精神和范围之内的所有更改、置换和等价。

Claims (12)

1.一种方法，用于允许一个用户利用一个电子交易系统的一个记帐终端进行一个记帐交易，所述记帐卡终端被配置为与一个记帐卡相接口，以便进行记帐卡交易，提供一个在其处进行所述记帐卡交易的商家，该方法包括

在进行所述记帐卡交易的所述商家的一个记帐卡终端处接收，以接受商家卡以及来自进行所述记帐卡交易的用户的一个个人标识号码或移动电话号码，

在一个中央处理区域检测所述商家卡的使用，

响应所述的检测步骤，利用所述电话号码或个人标识号码向所述记帐卡交易所需的一个授权人的一台移动电话发出一个呼叫，向所述移动电话发送所述用户记帐卡交易的一个报告，并且仅当授权人认可时才将记帐卡交易的认可授权返回商家的记帐卡终端。

2.权利要求1中要求的方法，其中商家进一步输入要记帐的量。

3.权利要求1中要求的方法，其中商家进一步输入所进行的交易类型的标识。

4.权利要求1中要求的方法，其中商家卡被分配一个有效的信用卡号码，该商家的有效的信用卡号码被检测以启动呼叫授权人的移动电话的步骤。

5.权利要求1中要求的方法进一步包括以下步骤：通过一个中央处理服务器过滤所有来自商家的记帐卡终端的信用卡交易，并且响应该过滤步骤，

如果从商家接收的卡号不是一个唯一的商家分配号码，则服务器不进行任何操作；

或者如果卡号是一个唯一的商家分配号码，则用所述电话号码或个人标识号码作为标识在付费服务器中的数据库中查找信息。

6.权利要求1或权利要求5中要求的方法，其中付费服务器用与交易相关联的电话号码或个人标识号码作为一个存储授权交易所需的授权人的移动电话号码的数据库的索引。

7.权利要求6中要求的方法，其中数据库进一步存储一条关于授权人的移动电话是否具有一个嵌入的PEAD的记录。

8.权利要求7中要求的方法，其中在确定授权人的移动电话具有一个PEAD后，服务器将一条交易消息发送到授权人的电话，以便使用嵌入在电话中的一个PEAD进行认可，授权人通过在移动电话处输入一个个人标识号码来认可交易。

9.权利要求7中要求的方法，其中如果数据库查找指示授权人的移动电话是一个按键式电话，则服务器将发送一条消息到授权人的移动电话，请求一个拨号音个人标识符以进行认可。

10.权利要求9中要求的方法，其中数据库服务器利用一个交互式语音应答系统来将交易信息传送到授权人的移动电话。

11.权利要求9或权利要求10中要求的方法，其中在授权人授权/认可交易后，使用从包括一张信用卡、一张ATM、一个银行帐户或一张借记卡的组中选出的一个帐户来对授权人的帐户作出一个结算。

12.权利要求1或权利要求5中要求的方法，其中控制付费服务器的所述方是商家卡的发行者。

Images