CN104966196A - 提供电子商务和移动商务的方法及其装置 - Google Patents

Abstract

本发明公开了便携设备用做电子购买器(例如电子钱包)和/或电子移动销售器(例如移动销售点)的技术。依据本发明的一个方面，提出了一种在安全性不受妥协的前提下，使便携设备能够在开放的网络上通过支付服务器和/或销售点交易处理服务器，进行电子商务和移动商务交易的装置。在一个具体实施例中，便携设备载入了电子钱包，以用作电子移动购买器。在另一个具体实施例中，便携设备载入了移动销售点，以用作电子移动销售器。

Description

提供电子商务和移动商务的方法及其装置

本申请是申请号为200810087747.X，申请日为2008年3月36日，发明名称为：提供电子商务和移动商务的方法及其装置的发明专利申请的分案申请。

技术领域

本发明通常涉及通过网络的交易，特别地，本发明涉及可以有效地应用于为电子商务(E-Commerce，Electronic Commerce)和移动商务(M-Commerce，Mobile Commerce)而定制的便携设备中的电子钱包和移动销售点(POS，Point-of-Sales)。

背景技术

单功能卡片已被成功地应用于诸如运输系统这样的封闭式环境中。这种单功能卡片的一个例子是非接触性智能卡(MIFARE)，MIFARE是世界上安装范围最广的非接触性智能卡技术。由于已有超过5亿张智能IC卡和超过5百万台读卡器组件被售出，MIFARE已被选为最成功的非接触智能卡技术。MIFARE为诸如信用(loyalty)和售货(vending)卡片、道路收费、城市卡片、访问控制以及游戏等的应用提供了完美的解决方案。

然而，单功能卡片的应用被部署在封闭式系统中，难以扩展应用到诸如电子商务和移动商务等的其他领域中，这是因为储存的金额(stored value)和交易的信息被保存在每个标签(each tag)的数据存储空间中并由一组密钥保护，标签的属性是密钥必须被发送至卡片进行验证后数据才能在交易中被访问。这个限制使得使用这类技术的系统难以被扩展到开放式的环境，例如用于电子商务的国际互联网和/或用于移动商务的蜂窝通信网络，因为在公共域网络传送密钥会引起安全性方面的问题。

因此，各种设备内尤其是便携设备内，需要有一种可被用作电子购买器和/或电子销售器的装置，以在开放的网络上通过支付服务器和/或销售点交易处理服务器，在不妥协安全性的前提下进行交易。

发明内容

本部分的目的是概述本发明实施例的一些方面，并简要介绍一些优选实施例。本部分中的简述或省略与题目和摘要中的一样，能够避免本部分、题目以及摘要的目的不清楚，这些简述或省略并非想要限制本发明的保护范围。

一般来说，本发明涉及向设备，特别是便携设备提供一种能被用作电子购买器(例如电子钱包(e-purse))和/或电子移动销售器(例如移动销售点)的装置，以能在开放的网络上通过支付服务器和销售点交易处理服务器在不妥协安全性的前提下进行交易。依据本发明的一个方面，便携设备(例如蜂窝电话，个人数字助理(PDA)，等)可载入电子钱包管理器。所述电子钱包管理器可被设置为管理各种交易，并被用作访问其中模拟器的装置。所述交易可在公共域网络和/或蜂窝通信网络上进行。

依据本发明的另一方面，提出了一个三层安全模型，本发明将基于所述安全模型运行。所述三层安全模型包括物理安全层，电子钱包安全层，以及卡片管理器安全层，所述三个安全层彼此分别同心封装(concentricallyencapsulating)。在所述三层安全模型中通过个性化安全密钥(可为对称或不对称)来个性化电子钱包，并通过支付服务器执行安全交易。在一个具体实施例中，个性化电子钱包所需的关键数据包括一个或多个操作密钥(例如载入或充值(top-up)密钥和购买密钥)，预设的个人识别号码(PINs，Personal IdentificationNumbers)，管理密钥(例如解除拦截PIN密钥和重新载入PIN密钥)，以及密码(例如由Mifare这类服务提供商提供的密码)。在交易过程中，安全密钥被用来建立将嵌入式电子钱包和安全识别模块(SAM，Security AuthenticationModule)或金融机构(例如银行，信用联盟，信用澄清处等)中的后端服务器相连的安全通道。

根据本发明的另一方面，安装或预置了服务管理器的便携设备被配置为从一个或多个服务器(如服务提供商)中，通过蜂窝通信网络(例如通用分组无线服务(GPRS)网络)安全地下载并安装各种业务/应用组件(例如MIDlets应用程序和applets应用程序)。根据具体实现的不同，部分或全部MIDlets应用程序(例如销售点管理器，电子钱包管理器等)被安装在便携设备的基带(例如与微处理器电路关联的内存空间)上。Applet应用程序被安装于便携设备中的安全元件(例如智能卡)上，并进一步配置有个性化的安全密钥(例如转换后的密钥，个人识别号码)及其他个性化信息。

此外，前述服务管理器也可被预先安装在计算机上(例如笔记本电脑，台式个人电脑)，或实现为线上应用(例如基于网络的应用软件)。连同非接触读取器(例如遵守ISO 14443标准的超短距离耦合装置(Proximity CouplingDevice)，或ISO 15693标准的超短距离读取器)，前述安装和个性化过程可在有线和/或无线网络(例如国际互联网)上进行。

根据本发明的另一方面，便携设备被配置为电子移动销售器(例如移动销售点)，以进行电子商务和/或移动商务。电子商务和移动商务操作(包括线下支付，线上支付，实时充值，虚拟充值，批量交易上传，及各种收支余额和交易查询)可以使用安装了销售点管理器和销售点安全识别模块(SAM)的便携设备执行。

离线支付允许便携设备在没有接入后端销售点服务器的情况下，从另一个支持电子代币的装置(例如单功能卡片、Mifare、支持电子钱包的便携设备等)中收集电子代币。实时充值允许便携设备从金融机构中向另一台支持电子代币的设备上，实时地补充电子代币。虚拟充值允许便携设备向另一台支持电子代币，并且设置为只从赞助者或捐助者设立的资金账户中接收电子代币的设备中，补充电子代币。批量交易上传允许将销售点累积的多个交易传送到后端销售点交易处理服务器上进行结算。交易和收支历史查询可由一个MIDlet应用程序(例如内建查询功能的图形用户界面)所支持。所有前述应用的安全性均符合电子商务和/或移动商务的工业标准。

本发明可由包含方法、系统和设备在内的多种途径来实现。在一个具体实施例中，本发明是使便携设备能够进行移动商务交易的方法，所述方法至少包括以下步骤：在与移动设备基带接合的安全元件上安装移动商务交易模块；个性化所述已安装的移动商务交易模块；根据所述已个性化的移动商务交易模块中的个性化信息，将移动商务交易管理器模块下载到所述便携设备的基带上；以及预先安装服务管理器模块并将其配置为可以协助所述安装、个性化以及下载步骤。所述个性化步骤进一步包括：接入服务提供商处的个性化服务器，以建立安全通道；向所述个性化服务器发送个性化请求；从所述个性化服务器中接收一条或多条包含个性化数据组的网络消息；以及将所述个性化数据组发送至所述电子商务和移动商务交易模块。

依据另一个具体实施例，本发明是用于进行移动商务交易的系统，所述系统至少由以下部分组成：配置成移动销售点(POS)的便携设备，所述移动销售点中包括经过安装和个性化的销售点管理器及销售点安全识别模块(SAM)；以及支持电子代币的设备，其中，电子代币被设置为可被所述便携设备的非接触界面读取，其中非接触界面是符合标准的超短距离耦合装置。所述系统还包括通过蜂窝通信网络上的安全通道接入所述销售点管理器的销售点交易处理服务器。

依据另一个具体实施例，本发明是使用便携设备执行移动商务交易的方法，所述方法至少包括以下步骤：通过读取支持电子代币的设备，从希望进行购买交易的所述设备持有人那里取回电子代币；使用安装于所述便携设备上的销售点安全识别模块(POS SAM)来确定所述取回的电子代币是否有效；如果所述电子代币被确定为有效并且有足够的余额以支付购买金额，则扣除所述电子代币以在所述销售点安全识别模块中记录所述购买交易，否则拒绝所述购买交易。所述方法还包括通过蜂窝通信网络或公共域网络将所述销售点安全识别模块中累积的交易上传至销售点交易处理服务器，以及通过所述便携设备中的销售点管理器，从金融机构或相连账户向所述支持电子代币的设备注入资金。

因此，本发明的一个目的是提供可被嵌入设备中、特别是便携设备中的装置，所述装置可被用作电子购买器和/或电子移动销售器，以在不妥协安全性的前提下，通过开放网络上的支付服务器和/或销售点交易处理服务器执行交易。

通过查看以下结合附图进行详细阐述的实施例，本发明的其他目的、特征以及有益效果将会变得明显。

附图说明

通过以下结合附图的详细阐述，本发明将会容易被理解，其中，相同的标注数字代表相同的结构组件，图中：

图1A展示了三层安全模型，依据一个相关的具体实施例，本发明将基于所述三层安全模型运行；

图1B展示了三个实体组件之间与前述三层安全模型相一致的数据流向；

图2根据本发明的一个具体实施例，展示了便携设备作为电子钱包执行电子商务和移动商务时的架构示意图；

图3A是展示了有关模块相互作用，以完成前述电子钱包由授权人进行个性化处理的结构图；

图3B展示了有关模块相互作用，以完成前述电子钱包由其用户进行个性化的处理的结构图；

图3C根据本发明的一个具体实施例，展示了个性化电子钱包的流程或过程图；

图4A和图4B根据本发明的一个具体实施例，一同展示了给电子钱包筹资，注资，载入或充值时的流程或过程图；

图4C是展示了有关模块相互作用，以完成图4A和图4B中所示过程的结构示意图；

图5A根据本发明的一个具体实施例，展示了第一种便携设备的架构示意图，使之能够在蜂窝通信网络(例如GPRS网络)上执行电子商务和移动商务的各种功能；

图5B根据本发明的另一个具体实施例，展示了第二种便携设备的架构示意图，使之能够在有线和/或无线数据网络(例如国际互联网)上执行电子商务和移动商务的各种功能；

图5C是一幅流程图，根据本发明的一个具体实施例，说明了使图5A中的便携设备能够运行一个或多个服务提供商提供的服务/应用的过程示意图；

图6A根据本发明的一个具体实施例，展示了一个架构示意图，其中的便携设备能够作为移动销售点执行电子商务和移动商务；

图6B根据本发明的一个具体实施例，展示了一个架构示意图，其中的便携设备能够作为移动销售点在网络上执行交易上传操作；

图6C是一幅流程图，根据本发明的一个具体实施例，说明了使用用作移动销售点的便携设备和支持电子代币的单功能卡装置，执行移动商务的过程示意图；

图6D是一幅流程图，说明了使用用作移动销售点的便携设备以及支持电子代币的多功能卡装置，执行移动商务的过程示意图；以及

图7描述了便携设备用于电子票务应用时的结构示意图。

具体实施方式

以下的介绍中列出了大量的特殊细节，以帮助全面理解本发明。本发明在实际实现中可以省略这些特殊细节。本部分中的描述和图示是本领域中有经验的技术人员向本领域中的其他技术人员有效地传达其工作实质的手段。在其他情况下，众所周知的方法，过程，构建和电路没有被详细描述，因为这些要素已被公众完全理解，而且这样可以避免不必要地造成本发明的内容过于晦涩难懂。

本部分中当提到“一个具体实施例”时，表示结合该具体实施例描述的特定技术特征、构造或特性均可被包括在本发明的至少一个实施方式中。说明书中多处出现的词组“在一个具体实施例中”可能涉及到多个不同的具体实施例，单独的具体实施例或备选实施方案与其他的实施例之间并不相互排斥。此外，对于表示单一或多个具体实施例的程序图、流程图或功能图，图中方框的次序并不一定代表本发明中的任何特定次序，所述次序也不应为本发明做出任何限定。

在讨论本发明的具体实施例时，将引用图1A至图7。但是，正如本领域中的技术人员所知，本部分中结合所述图示所做的详细描述只是为了进一步说明本发明，本发明并不仅仅局限于所述的这些具体实施例。

图1A展示了一个三层安全模型100，依据一个相关的具体实施例，本发明将基于所述三层安全模型运行。所述三层安全模型100包括物理安全层102，电子钱包安全层104和卡片管理器安全层106。

所述物理安全层102是指由单功能卡片提供的安全机制，以保护所述卡片上存储的数据。所述卡片可由硬件实现，或由运行于某种媒体中的软件模拟实现。单功能卡片上的数据由一组访问密钥保护。所述密钥在所述卡片发放时就被嵌入所述卡片。为防止与本发明中的内容相互混淆，向所述卡片中嵌入所述密钥的过程将被省略。访问所述数据时，相关的密钥由非接触读取器读取以进行身份识别。

所述电子钱包安全层104定义一组支持在有线和无线环境中执行小额支付交易的协议。对于存储在智能卡中的电子钱包(e-purse)，一组密钥(可为对称或非对称密钥)在所述电子钱包被发放时即被个性化并存入所述电子钱包。在交易过程中，所述电子钱包使用一组密钥分别进行数据加密和信息识别代码(MAC)运算，以建立并保护连接所述电子钱包与所述安全识别模块或后端服务器的安全通道。对于单功能卡片，所述电子钱包安全层104会起到门卫(gatekeeper)的作用来保护所述单功能卡片上执行的实际操作。在个性化过程中，所述单功能卡片的访问密钥(或其转换后的形式)将被个性化，并和电子钱包交易密钥一同存入所述电子钱包。

卡片管理器安全层106，指的是在智能卡中预先搭载的操作系统的通用安全框架，提供了个人识别号码管理以及卡片个性化安全通道(安全域)的平台。在一个具体实施例中，所述平台经由卡片管理器，可被用于进行电子钱包的个性化。所述卡片管理器安全层106的一个实例是被称为全球平台(GP，GlobalPlatform)的、为推进智能卡发展标准而建立的跨工业会员组织。GP集合了智能卡发行商、生产商、工业集团、公众实体和技术公司的利益，以制定多用途智能卡的设计要求和技术标准。在一个具体实施例中，全球平台安全层(GPsecurity)被用来个性化智能卡。因此，电子钱包密钥和卡片访问密钥经过个性化后均被存入目标标签中。

图1B展示了在三个实体之间与所述三层安全模型一致的数据流向，所述三个实体包括一个陆上(land-based)安全识别模块或一台网络电子钱包服务器112，起门卫作用的电子钱包管理器114，以及一个单功能标签116。根据本发明的一个具体实施例，所述陆上安全识别模块或网络电子钱包服务器112与所述电子钱包管理器114之间的通信，将通过一种命令(例如网络消息)进行，而所述电子钱包管理器114和所述单功能标签116之间的通信则通过另一类型的命令(例如应用协议数据模块(APDU))进行，其中所述电子钱包管理器114起到门卫的作用，以保证只有安全可靠且经过授权的数据交换才会被准许进行。

如图1A所示，所述物理安全层在模拟器中实现。此处的模拟器意指一个硬件装置或程序虚拟(pretends)成的另一个特殊的硬件装置或程序，且其它组件希望与该虚拟成的装置或程序进行交互。所述电子钱包安全层在一个或多个提供电子钱包功能的applet程序与支付服务器之间实现。所述卡片管理器安全层(例如全球平台安全层)通过卡片管理器实现并更新安全密钥，以建立用于所述服务器与applet程序之间交互的合适的通道，其中电子钱包applet程序起到门卫的作用以管理或控制数据交换。

根据一个具体实施例，智能卡上预先装载有一个提供安全框架的智能卡操作系统，以控制对所述智能卡的访问(例如在所述智能卡中安装外部应用程序)。为了管理所述外部应用程序的生命周期，通过所述智能卡安全框架设有卡片管理器模块。例如，基于Java的SmartMX智能卡预先装载有JCOP 4.1操作系统。SmartMX智能卡中安装的全球平台2.1(Global Platform 2.1)则可以执行所述卡片管理器的功能。

参照图2，图2根据本发明的一个具体实施例，展示了便携设备作为电子钱包执行电子商务和移动商务时的架构示意图200。所述图200包括内嵌了智能卡模块的便携式电话202。此类便携式电话的一个实例是支持近距离通信(NFC，Near Field Communication)，并且包含SmartMX(SMX)模块的便携式电话。所述SMX模块预先装载有Mifare模拟器208(即单功能卡)，以用来存储数值(values)。所述便携式电话装有非接触界面(例如ISO 14443RFID)，以允许所述便携式电话起到标签的作用。此外，所述SMX模块是能够运行Javaapplet程序的Java卡片(JavaCard)。根据一个具体实施例，电子钱包建立在所述全球平台(GP)之上，并且实现为所述SMX模块中的applet程序。所述电子钱包被设置为能够通过密码访问所述Mifare模拟器的数据结构，所述密码由所述访问密钥经过适当的转换后得到。

所述便携式电话202中提供了电子钱包管理器MIDlet程序204。在移动商务中，所述MIDlet程序204充当了电子钱包applet程序206及一个或多个支付网络和服务器210之间的通信代理，以使各方之间的交易顺利进行。此处所指的MIDlet程序是适合在便携设备上运行的软件组件。所述电子钱包管理器MIDlet程序204可以被实现为Java便携式电话上的“MIDlet程序”，或个人数字助理(PDA)设备上的“可执行应用程序”。所述电子钱包管理器MIDlet程序204的功能之一是接入无线网络，并与运行在相同的设备或外部智能卡上的电子钱包applet程序进行通信。此外，MIDlet程序204还被设置为可以提供管理功能，例如更改个人识别号码(PIN)、查看电子钱包余额和交易历史日志。在一例应用中卡片发行商提供了用于支持和认证在卡片和对应服务器(亦即支付服务器)之间进行的任意交易的安全识别模块(SAM)212。如图2所示，应用协议数据模块(APDU)命令由能够访问安全识别模块(SAM)212的服务器210所创建，其中所述APDU模块是读取器和卡片之间的通信模块。所述APDU模块的构造根据ISO 7816标准制定。通常，APDU命令被嵌入网络消息中并被传送至所述服务器210或所述电子钱包applet程序206以接受处理。

在电子商务中，在计算机(未示出)上运行的Web代理214负责与一个非接触读取器(例如一个ISO 14443RFID读取器)以及所述网络服务器210交互。在实际操作中，所述代理214通过所述非接触读取器216向在便携式电话202上运行的所述电子钱包applet程序206发送APDU命令，或通过相同途径从所述电子钱包applet程序206处接收相应回复。另一方面，所述代理214可生成网络请求(例如HTTP)并从所述支付服务器210处接收相应回复。

当个性化便携式电话202时，图3A中的结构图300展示了相关模块互相作用，以完成电子钱包由授权人进行个性化的过程。图3B中的结构图320展示了相关模块互相作用，以完成如图2所示的电子钱包由其用户进行个性化的过程。

图3C中的流程或过程图350展示了根据本发明的一个具体实施例，个性化电子钱包applet程序的过程。图3C建议与图3A和图3B结合起来一同理解。过程图350可以通过软件、硬件或软硬件结合的方式实现。

如前所述，电子钱包管理器建立于全球平台之上，以提供个性化电子钱包applet程序时所需的安全机制。在实际操作中，安全域被用来建立连接个性化应用服务器与所述电子钱包applet程序的安全通道。根据一个具体实施例，经过个性化并被存入所述电子钱包applet程序的关键数据包括一个或多个操作密钥(例如载入或充值密钥和购买密钥)，预设的个人识别号码，管理密钥(例如阻塞解除PIN密钥和重新载入PIN密钥)，以及密码(例如来自Mifare的密码)。

假定用户想要个性化内嵌在便携设备(例如一台便携式电话)中的电子钱包applet程序。在图3C的步骤352中，个性化过程被启动。根据具体实现的不同，个性化过程可能在便携设备内的模块中实现，并由手动或自动方式激活，也可能实现为由授权人(通常是与卡片发行商有联系的人员)启动的一个物理过程。如图3A所示，授权人启动个性化过程304，以个性化用户的电子钱包applet程序，所述个性化过程304在现有的(existing)新电子钱包安全识别模块306和现有的安全识别模块308上，通过作为界面的非接触读取器310来进行。卡片管理器311执行至少两项功能：(1)通过安全域建立安全通道，以在卡片个性化过程中，安装和个性化外部应用程序(例如电子钱包applet程序)；以及(2)创建安全措施(例如个人识别号码)，以在后续的操作中保护所述应用程序。作为所述个性化过程使用个性化应用服务器304的结果，所述电子钱包applet程序312和模拟器314被个性化。

相似地，如图3B所示，电子钱包用户希望启动个性化过程，以通过无线方式(例如通过图2中的移动商务路径)个性化电子钱包applet程序。与图3A不同，图3B允许所述个性化过程由手动或自动方式激活。例如，便携式电话上装有一个装置，如果该装置被按下，则激活所述个性化过程。在另一种方案中，“未个性化”的状态提示可被提交给用户以启动所述个性化过程。如前所述，便携设备中的MIDlet程序322(即一个服务管理器)充当代理以协助支付服务器324与电子钱包applet程序312以及模拟器314之间的通信，其中支付服务器324拥有访问现有的新电子钱包安全识别模块306和现有的安全识别模块308的权限。经过所述个性化过程，电子钱包applet程序312和模拟器314被个性化。

现在转回参见图3C，在图3A中所示的个性化过程被启动以后，非接触读取器310被激活并在步骤354中从设备内的智能卡中读取标签识别符(ID)(即RFID标签ID)和关键数据。通过应用安全域(例如卡片发行商的默认安全设置)，在步骤356中建立连接新电子钱包安全识别模块(例如图3A中的安全识别模块306)与便携设备中电子钱包applet程序(例如图3A中的电子钱包applet程序312)的安全通道。

全球平台的每个应用安全域都包括三(3)个DES密钥。例如：

密钥1：255/1/DES-ECB/404142434445464748494a4b4c4d4e4f

密钥2：255/2/DES-ECB/404142434445464748494a4b4c4d4e4f

密钥3：255/3/DES-ECB/404142434445464748494a4b4c4d4e4f

安全域被用来为两个实体之间的安全会话生成会话密钥，所述两个实体可以是卡片管理器applet程序和主应用程序(host application)，其中所述主应用程序可能是桌面机中的个性化应用程序，也可能是由后端服务器提供的网络化的个性化服务。

默认的应用域可由卡片发行商安装，并分配给不同的应用/服务提供商。各应用程序所有者可在个性化过程之前(或在所述过程的最初阶段)变更各自密钥组的数值。之后应用程序可以使用所述的新密钥组来创建用于执行个性化过程的安全通道。

通过由应用提供商的应用安全域建立的所述安全通道，第一组数据可被个性化并存入电子钱包applet程序。第二组数据同样可以通过同一条通道进行个性化。但是，如果所述数据保存在不同的安全识别模块中，则一条使用相同密钥组(或不同密钥组)的新的安全通道可被用于个性化所述第二组数据。

在步骤358中，通过新电子钱包安全识别模块306生成一组电子钱包操作密钥和个人识别号码，以用于新电子钱包安全识别模块与电子钱包applet程序之间的数据交换，并在实质上个性化所述电子钱包applet程序。

在步骤360中第二条安全通道在现有安全识别模块(例如图3A中的安全识别模块308)与便携设备中的电子钱包applet程序(例如图3A中的电子钱包applet程序312)之间被建立。步骤362中使用所述现有安全识别模块和标签ID生成一组转换后的密钥。所述转换后的密钥保存在所述模拟器中以用于之后的数据访问认证。步骤358中使用所述现有安全识别模块和标签ID生成一组MF密码，并将所述密码存入电子钱包applet程序以用于之后的数据访问认证。上述操作全部完成后，所述电子钱包，包括所述电子钱包applet程序和对应的模拟器，将被设置为“已个性化”状态。

基于本发明的一个具体实施例，图4A和图4B一起展示了为电子钱包筹资或注资的流程或过程图400。过程400通过图2中的移动商务路径实施。为了更好地理解过程400，图4C展示了一幅具有代表性的方块图450，图中相关方块相互作用以完成所述的过程400。根据本发明实际应用的不同情况，所述过程400可能通过软件、硬件、或软硬件结合的方式实现。

假设用户得到了一台安装了电子钱包的便携设备(例如一台便携式电话)。所述用户希望从银行的账户中向所述电子钱包注入资金。在步骤402，所述用户输入一组个人识别号码(PIN)。假定所述个人识别号码有效，便携设备中的电子钱包管理器被激活，并在步骤404中发起请求(也被称为空中(OTA，Over-the-Air)充值请求)。在步骤406中便携设备内的MIDlet程序向电子钱包applet程序发送请求，图4C中描绘了所述步骤406中电子钱包管理器MIDlet程序434与电子钱包applet程序436之间通信的过程。

在步骤408中，电子钱包applet程序生成用于回应所述MIDlet程序请求的回复。收到所述回复后，所述MIDIet程序将所述回复通过蜂窝通信网络发送至支付网络和服务器。如图4C所示，电子钱包管理器MIDlet程序434与电子钱包applet程序436通信以获取回复，所述回复随即被发送至支付网络和服务器440。在步骤410，过程400需要核实所述回复的有效性。如果所述回复无法被核实，过程400将终止。如果所述回复被核实为有效，则过程400进入步骤412并查对银行中相对应的账户。如果所述账户的确存在，资金过户请求将被启动。在步骤414中，所述银行收到所述请求后会返回回复以回应所述请求。通常，所述支付网络和服务器与所述银行之间的信息交换需遵守网络协议(例如国际互联网使用的HTTP协议)。

在步骤416中，所述银行返回的回复被传送至支付网络和服务器。在步骤418中，MIDlet程序从所述回复中提取出APDU命令并将所述命令转发给电子钱包applet程序。在步骤420中所述电子钱包applet程序核实所述命令，如果所述命令被核实为已被授权，则将该命令发送至步骤420中的模拟器，同时更新交易日志。步骤422中生成标签(ticket)以用来制定向所述支付服务器发送的回复(例如APDU格式的回复)。在步骤424中，所述支付服务器收到回复后更新并向所述MIDlet程序发送成功状态信息，同时保存所述APDU回复以便以后查对。

如图4C所示，支付网络和服务器440收到电子钱包管理器MIDlet程序434发出的回复，并与安全识别模块444核实所述回复最初是由经过授权的电子钱包applet程序436所发出。所述回复被核实之后，支付网络和服务器440向提供资金的银行442发出请求，假定用户432在所述银行中有帐户。所述银行会核实并授权所述请求，然后按照预定的消息格式返回授权号码。从银行442接收到所述回复之后，支付服务器440会向MIDlet程序434发送一个网络回复以拒绝或批准所述请求。

电子钱包管理器434核实所述网络回复的有效性(例如是否是APDU格式)，然后向模拟器438发送命令并更新交易日志。至此，电子钱包applet程序436完成了所需的步骤并向MIDlet程序434返回一个回复，所述MIDlet程序434再向支付服务器440转发一条内嵌(APDU)回复的网络请求。

尽管过程400被描述为向电子钱包中注入资金，本领域中的其他技术人员能够容易地得出使用电子钱包通过网络进行购买的过程与过程400本质上是一样的结论，因此所述进行购买的过程不再在此单独讨论。

根据本发明的一个具体实施例，图5A中展示了使便携设备530能够在蜂窝通信网络520(例如一个GPRS网络)上进行电子商务和移动商务的第一个示例架构500。所述便携设备530由基带524和安全元件529(例如智能卡)组成。所述便携设备的一个实例是支持近距离通信(NFC，Near FieldCommunication)的便携设备(例如便携式电话或个人数字助理(PDA))。所述基带524提供了一个电子平台或环境(例如微型版Java(JME，Java MicroEdition)，或移动信息设备框架(MIDP，Mobile Information Device Profile))，在其上可执行或运行应用MIDlet程序523和服务器管理器522。所述安全元件529包含有全球平台(GP)卡片管理器526，模拟器528以及其他组件比如个人识别号码管理器(未示出)。

为支持所述便携设备530执行电子商务和移动商务，需要在其上预先安装和设置一个或多个服务/应用。服务管理器522的一个实例(例如一个有图形用户界面的MIDlet程序)需要被激活。在一个具体实施例中，服务管理器522可以被下载并安装。在另一个具体实施例中，服务管理器522可以被预先载入。无论采用何种方式，一旦服务管理器522被激活，包含各种服务的目录列表将被显示。所述目录列表可能包含与用户的签约信息有关的服务项目，也可能包括独立于用户签约信息的推荐项目。所述目录列表可从目录服务器512上的目录库502中得到。目录服务器512为各种可能向注册者提供产品和/或服务的服务提供者(例如安装服务器，个性化服务器)起到了交流中心(central hub)的作用(如黄页功能)。所述目录服务器512的黄页功能可以包括服务规划信息(例如服务收费，开始日期，结束日期等)、安装、个性化和/或MIDlet程序下载地点(如国际互联网地址)。所述安装和个性化过程可能是由两个不同的商业实体所提供，比如所述安装过程可能由安全元件529的发行商所提供，而所述个性化过程可能由持有特定应用程序的应用处理密钥的服务提供商所提供。

根据一个具体实施例，服务管理器522被配置为通过蜂窝通信网络520连接服务提供商的一个或多个服务器514。假定用户已经从呈现给他的服务目录中选择了一个应用。在所述一台或多台服务器514与全球平台管理器526之间将建立一条安全通道518，以安装/下载所述用户选择的应用applet程序527，然后再个性化此应用applet程序527及可选的模拟器528，并最终下载应用MIDlet程序523。Applet程序库504和MIDlet程序库506分别提供一般的应用applet程序和应用MIDlet程序。全球平台安全识别模块516和应用程序安全识别模块517被用来建立安全通道518以进行个性化操作。

根据本发明的另一个具体实施例，图5B展示了使便携设备530能够在公共网络521上执行电子商务和移动商务的第二个示例架构540。所述第二个架构540中的大多数组件本质上与图5A第一个架构500中的组件相类似。不同之处在于第一个架构500是基于蜂窝通信网络520上的操作，而第二个架构540则使用了公共网络521(例如国际互联网)。所述公共网络521可能包括局域网(LAN，Local Area Network)、一个广域网(WAN，Wide Area Network)、WiFi(IEEE802.11)无线连接、一个Wi-Max(IEEE 802.16)无线连接等。为了在所述公共网络521上进行服务操作，服务管理器532的一个实例(即与服务管理器MIDlet程序522功能相同或相似的实例)将被安装在接入公共网络521的计算机538上。所述计算机538可以是桌面个人电脑(PC)、笔记本电脑、或其他能运行服务管理器532的所述实例，并接入公共网络521的计算设备。所述计算机538和便携设备530之间的连接通过一个非接触读取器534来进行。服务管理器532充当了代理的角色，以协助服务提供商的一个或多个服务器514与全球平台卡片管理器526之间，通过安全通道519进行的安装和个性化过程。

图5C是一张流程图，根据本发明的一个具体实施例，描绘了使便携设备能够进行电子商务和移动商务功能的过程550。所述过程550根据具体实现的不同，可以通过软件、硬件、或软硬件结合的方式实现。为了更好地理解所述过程550，以下的描述中将引用若干较早的图示，尤其是图5A和图5B。

在过程550开始之前，服务管理器522或532的一个实例已被下载或预装在便携设备530或计算机538上。在步骤552，服务管理器被激活并向服务提供商处的服务器514发送服务请求。在用户被识别以及便携设备被核实为有效之后，在步骤554中，所述过程550依据便携设备530的用户的签约(subscription)信息提供服务/应用程序的目录列表。例如，所述列表可能包含移动销售点应用程序、电子钱包应用程序、电子票务应用程序、以及其他商业化的服务。然后一个服务/应用程序被从所述目录列表中选中。例如，电子钱包或移动销售点可被选中用来配置便携设备530。作为对用户选择的回应，过程550在步骤556下载并安装所述被选中的服务/应用程序。例如，电子钱包applet应用程序(即应用applet程序527)从applet程序库504中下载并安装在安全元件529中。所述下载或安装的路径可以是安全通道518或519。在步骤558中，如果需要，过程550将个性化所述已被下载的应用applet程序和所述模拟器528。一些被下载的应用applet程序不需要被个性化，另外一些则需要个性化。在一个具体实施例中，移动销售点应用applet程序(“销售点安全识别模块(POS SAM)”)需要被个性化，则以下信息或数据组是必须提供的：

(a)唯一基于底层安全元件独特标识符的安全识别模块ID；

(b)一组借记主密钥(debit master key)；

(c)一个转换后的消息加密密钥；

(d)一个转换后的消息识别密钥；

(e)每笔线下交易的备注部分可以被允许的最大长度；

(f)一个转换后的批量交易密钥；以及

(g)一个全球平台个人识别号码(GP PIN)。

在另一个具体实施例中，为单功能卡片个性化电子钱包applet程序时，不仅需要将特定数据(即个人识别号码、转换后的密钥、开始日期、结束日期等)配置在电子钱包中，而且还要将模拟器设置为可以在开放的系统中工作。最后，在步骤560中，过程550下载并根据选择启动应用MIDlet程序523。所述应用applet程序中的某些个性化数据可被访问和显示，或由用户提供。所述过程550在所有服务/应用组件均被下载、安装和个性化后结束。

根据一个具体实施例，使便携设备530能够作为一个移动销售点来使用的一个代表性过程如下：

(a)接入安装服务器(即服务提供商的一台服务器514)，并请求所述服务器建立第一条安全通道(例如安全通道518)，以连接一个发行商域(即applet程序库504)与运行于安全元件529上的全球平台卡片管理器526；

(b)接收一条或多条网络消息，所述消息中包含封装销售点安全识别模块applet程序(例如来自applet程序库504的一个Java Cap文件)的若干APDU请求；

(c)从接收到的所述网络消息中提取所述APDU请求；

(d)向全球平台卡片管理器526按照正确的顺序发送提取出的APDU请求，以在安全元件529上安装销售点安全识别模块(即应用applet程序527)；

(e)接入一个个性化服务器(即一台服务提供商的服务器514)，以开通第二条连接个性化服务器与新下载的applet程序(即销售点安全识别模块)之间的安全通道(根据服务器和/或路径的不同，所述安全通道可能是也可能不是安全通道518)。

(f)接收一条或多条网络消息以获得一个或多个单独的“数据存储APDU(STORE DATA APDU)”；

(g)提取并发送所述“数据存储APDU(STORE DATA APDU)”，以个性化销售点安全识别模块；以及

(h)下载并启动销售点管理器(即应用MIDlet程序523)。

图6A展示了一个代表性的架构600，根据本发明的一个具体实施例，其中便携设备630作为移动销售点，以执行电子商务和移动商务。所述便携设备630由基带624和安全元件629组成。销售点管理器623被下载并安装在所述基带624中，销售点安全识别模块628则被个性化并安装在安全元件629中，以使便携设备630能够充当移动销售点的角色。这样实时的交易639可以在支持移动销售点的便携设备630与支持电子代币的装置636(例如单功能卡片或支持电子钱包的移动设备)之间进行。所述电子代币可能代表设备中的电子货币(e-money)、电子购物券(e-coupon)、电子票(e-ticket)、电子凭单(e-voucher)或任何其他形式的支付代币。

实时交易639可以在线下进行(即不将便携设备接入后端销售点交易处理服务器613)。但是，在特定的实际情况中，例如交易量超过了预定的门限时，或支持电子代币的设备636需要充值或虚拟充值时，或(单一或批量)交易上传时，所述便携设备630可以通过蜂窝网络520接入所述后端销售点交易处理服务器613。

累积的线下交易记录需要被上传至后端销售点交易处理服务器613进行处理。所述上传操作由通过安全通道618接入销售点交易处理服务器613的便携设备630执行。与所述安装和个性化过程相似，上传操作可以经由两条不同的路线执行：蜂窝通信网络520；或公共网络521。图6A描绘了所述第一条路线。

所述第二条路线如图6B所示，根据本发明的一个具体实施例，图6B展示了一个代表性的架构640，其中便携设备630作为移动销售点并在公共网络521上执行交易批量上传的操作。所述移动销售点中的线下交易记录一般被堆积保存在销售点安全识别模块628中的交易日志中。所述交易日志由非接触读取器634所读取并存入安装在计算机638中的销售点代理633。所述销售点代理633再在公共网络521上通过安全通道619接入销售点交易处理服务器613。每个包含一条或多条交易记录的上传操作都标记为一个单独的批量上传操作。销售点安全识别模块628、非接触读取器634以及销售点代理632三者之间的数据通信采用APDU格式并包含所述交易记录。封装APDU(例如HTTP)的网络消息则被用于销售点代理632和销售点交易处理服务器613之间的通信。

在一个具体实施例中，一个来自销售点管理器623或销售点代理633的具有代表性的批量上传过程包括：

(a)向销售点安全识别模块628发送请求以发起批量上传操作；

(b)在所述销售点安全识别模块628同意所述批量上传请求后，从所述销售点安全识别模块628中被标记的“一批”或“一组”中以APDU命令的形式取回累积的交易记录；

(c)创建一条或多条包含所述取回的APDU命令的网络消息；

(d)通过安全通道619将所述一条或多条网络消息发送至销售点交易处理服务器613；

(e)从所述销售点交易处理服务器613中接收确认签名消息；

(f)将所述确认签名消息以APDU的形式转送至所述销售点安全识别模块628以进行核实，然后删除经确认已被上传的交易记录；以及

(g)如果所述同一“批”或“组”中仍然有其他未被上传的交易记录，则重复步骤(b)至步骤(f)。

图6C展示了一幅流程图，根据本发明的一个具体实施例，描绘了使用充当移动销售点的便携设备630与作为单功能卡片使用并支持电子代币的装置636进行移动商务的过程650。为了更便于理解，最好将过程650与之前的图示，尤其是图6A和图6B关联起来一同考察。所述过程650可以用软件、硬件、或软硬结合的方式实现。

当支持电子代币装置(例如Mifare卡片或支持电子钱包并模拟单功能卡片的便携式电话)的持有者，希望通过移动销售点(即便携设备630)购买物品或订购服务时，过程650(例如图6A中的销售点管理器623所执行的过程)便会被启动。在步骤652，便携设备630读取所述支持电子代币的装置并取回电子代币(例如Mifare卡片的标签ID)。然后，过程650在步骤654中核实所述取回的电子代币是否有效。如果图6A中支持电子代币的装置636是单功能卡片(例如Mifare)，则由销售点管理器623执行的所述核实过程包括：(i)读取所述卡片的卡片标识(ID)，所述卡片标识保存在不受保护或仅受公知密钥保护的区域上；(ii)向销售点安全识别模块628发送包含所述卡片标识的APDU请求；(iii)接收一个或多个由销售点安全识别模块628生成的转换后密钥(例如用于交易计数、发行商数据等的密钥)。如果所述接收到的一个或多个转换后密钥为无效，即所述取回的电子代币为无效，则结束过程650。否则过程650将沿着“是”分支推进至步骤656，在步骤656中将判定在所述取回的电子代币中是否有足够的余额以支付当前交易所需的费用。如果步骤656判定的结果为“否”，过程650可以选择提议所述持有者在步骤657中为其电子代币充值(即载入、注入或筹集资金)。如果所述持有者选择“否定”所述提议，则过程650结束。否则如果所述持有者同意为所述支持电子代币的装置进行实时充值，则过程650在步骤658中执行充值或虚拟充值操作。之后过程650返回步骤656。如果在电子代币中有足够的币余额，过程650在步骤660中从支持电子代币装置636的电子代币中扣除或借记完成所述购买需要支付的数额。在所述单功能卡片的情况中，所述一个或多个转换后密钥被用来授权所述扣除操作。最后在步骤662，销售点安全识别模块628中积累的一个或多个线下交易记录被上传至销售点交易处理服务器613进行处理。所述上传操作可通过蜂窝通信网络520或公共域网络521对单个交易或批量交易进行。

图4A中的过程400描述了前述的充值操作。虚拟充值操作是所述充值操作的特殊类型，通常被赞助人或捐助者用来提高电子代币的信用额度。为了能够使用虚拟充值操作，所述赞助人需要设立一个账户，并将所述账户与支持电子代币的装置(例如单功能卡片、多功能卡片、支持电子代币的便携式电话等等)绑定。例如，由商业实体(例如企业、银行等等)提供的线上账户。一旦所述赞助人向所述线上账户中充入了电子代币，支持电子代币装置的持有者便能在接入移动销售点时从所述线上账户中收到电子代币。多种不同的安全措施将被贯彻执行以确保所述虚拟充值操作是安全而且可靠的。所述虚拟充值的一个具有代表性的应用情景是父(母)亲(即赞助人)可以向一个线上账户中充入电子代币，所述线上账户与一位儿童(即设备持有人)的便携式电话(即支持电子代币的装置)相连接，因此当所述儿童在移动销售点购买物品时，所述儿童就能收到所述被充入的电子代币。除了此处描述的各种电子商务和移动商务功能以外，销售点管理器623还被设置为可提供多种查询操作，例如，(a)检查销售点安全识别模块中累积的未形成批量(即未被上传)的收支记录，(b)列出销售点安全识别模块中的未形成批量的交易日志，(c)显示保存在销售点安全识别模块中的特定交易的细节，(d)检查支持电子代币的装置的当前余额，(e)列出支持电子代币的装置的交易日志，以及(f)显示支持电子代币的装置的特定交易的细节。

图6D中的流程图，根据本发明的一个具体实施例，描绘了使用可充当移动销售点的便携设备630与作为多功能卡片使用并支持电子代币的装置636，进行移动商务的具有代表性的过程670。为了更便于理解，最好将过程670与之前的图示，尤其是图6A和图6B联系起来一同考察。所述过程670可以用软件、硬件、或软硬结合的方式实现。

当支持电子代币装置636(例如多功能卡片或支持电子钱包并模拟多功能卡片的便携式电话)的持有者希望通过移动销售点(即便携设备630)购买物品或订购服务时，过程670(例如图6A中销售点管理器623所执行的过程)便会被启动。在步骤672，过程670向支持电子代币的装置636发送初始购买请求。购买费用与所述初始购买请求(例如APDU命令)一同发送。然后过程670进行至判定步骤674。当支持电子代币的装置636中没有足够的余额时，销售点管理器623将收到拒绝所述初始购买请求的回应消息。结果是过程670由于所述购买请求被拒绝而结束。如果支持电子代币的装置636中有足够的余额，判定步骤674的结果为“是”，过程670将沿着“是”分支进行至步骤676。从支持电子代币的装置636那里收到的回复(例如APDU命令)将被转发至销售点安全识别模块628。所述回复中的信息包括电子代币密钥的版本，以及将被用于建立安全通道的随机数，所述安全通道将连接支持电子代币的装置636上的applet程序(例如电子钱包applet)与便携设备630上安装的销售点安全识别模块628。然后，在步骤678，过程670收到由销售点安全识别模块628为了回应所述转发回复(即步骤676中的回复)，而生成的借记请求(例如APDU命令)。所述借记请求包含消息识别代码(MAC，Message Authentication Code)以便applet程序(即电子钱包applet程序)核实即将进行的借记操作，其中所述即将进行的借记操作是为了回应步骤680中发送的借记请求而进行的。过程670推进到步骤682，收到所述借记操作的确认消息。所述确认消息中包含被销售点安全识别模块628和销售点交易处理服务器613分别用来核实和处理的附加消息识别代码。接下来在步骤684，所述借记确认消息被转发至销售点安全识别模块628以进行核实。一旦所述消息识别代码被核实为有效，并且购买交易被记录在销售点安全识别模块628中，所述被记录的交易在步骤686中被显示，然后过程670结束。需要注意的是前述电子商务交易可在线下或线上通过销售点交易处理服务器613进行。并且当支持电子代币的装置中的余额不足时，可以按照图4A和图4B中描绘的过程400执行充值或注资操作。

图7展示了便携设备被用于电子票务应用时的具有代表性的设置。便携设备730被配置为包括电子钱包724。当所述便携设备730的拥有者或持有人希望购买参加一个特定活动的票据(例如音乐会票、球赛门票等)时，所述拥有者可使用电子钱包724通过一个电子票服务提供商720购票。所述电子票服务提供商720可联系传统的票房预定系统716或线上票务应用程序710来预定和购买所述票据。之后电子代币(例如电子货币)被从便携设备730的电子钱包724中扣除，以向信用/借记系统714(例如金融机构，银行)支付票据购买费用。安全识别模块718被接入所述电子票务服务提供商720，以确保便携设备730中的电子钱包724被正确识别。在收到付款确认后，电子票通过空中连接(例如蜂窝通信网络)被传送至便携设备730，并以电子化的方式被存储在安全元件726上，例如以电子票代码、密钥或密码的方式。之后，当所述便携设备730的拥有者，即所述电子票的持有者出席所述特定活动时，所述电子票持有者只需要让入口登记读取器734读取便携设备730中保存的电子票代码或密钥。在一个具体实施例中，所述入口登记读取器734是一个非接触读取器(例如遵守ISO 14443的超短距离耦合装置)。所述便携设备730是支持近距离通信(NFC)的移动电话。

本发明更适合采用软件形式实现，但也可用硬件或软硬件结合的形式实现。本发明也可被实现为计算机可读媒体上的可被计算机读取的代码。所述计算机可读媒体是任何可以保存能够被计算机系统读取的数据的数据存储装置。计算机可读媒体的实例包括只读存储器，随机存取存储器，CD光盘(CD-ROM)，数字化视频光盘(DVD)，磁带，光学数据存储装置，以及载波。所述计算机可读媒体也可分布在通过网络相连的多台计算机系统中，这样所述可被计算机读取的代码将以分布式的方式存储和运行。

本发明在其特定特殊性的基础上提供了充分的细节描述。本领域中的技术人员会理解本发明的具体实施例只是通过实例的方式被公开，大量在部件排列和组成方面的变更可以在不偏离本发明所声明的主旨和范围的前提下做出。因此，本发明的范围由所附的权利要求所定义，而非由之前对具体实施例的描述所定义。

Claims (12)

1.一种用于执行电子商务和移动商务交易的系统，所述系统包括：

配置为移动销售点的便携设备，包括经过安装和个性化的销售点管理器及销售点安全识别模块SAM；以及

能够使用电子代币的装置，其中，电子代币被设置为被所述便携设备的非接触界面读取，以实现便携设备和能够使用电子代币的装置之间的交易；

交易处理服务器，其通过安全通道接入所述销售点管理器，用于处理经由所述便携设备进行的交易。

2.如权利要求1所述的系统，其特征在于，所述便携设备读取所述能够使用电子代币的装置，以在不与所述交易处理服务器通信的情况下，完成所述交易中的交易花费不超过在所述能够使用电子代币的装置中设置的预定门限的交易，所述交易在所述蜂窝网络或所述数据网络上通过安全通道单独或成批传送给所述交易处理服务器。

3.如权利要求2所述的系统，其特征在于，所述销售点安全识别模块被配置成与所述能够使用电子代币的装置建立安全通道，以促使所述便携设备在不与所述交易处理服务器通信的情况下，支持和认证所述一些交易。

4.如权利要求1所述的系统，其特征在于，所述销售点管理器是运行在所述基带中的MIDlet程序，所述销售点安全识别模块是运行在所述便携设备中的安全元件上的applet程序。

5.如权利要求1所述的系统，其特征在于，所述便携设备是能够使用近距离通信NFC的移动电话。

6.如权利要求1所述的系统，其特征在于，所述能够使用电子代币的装置是单功能卡或多功能卡。

7.如权利要求1所述的系统，其特征在于，所述非接触界面是遵照标准的超短距离耦合装置。

8.一种使用便携设备执行电子商务和移动商务交易的方法，所述方法包括：

从希望进行购买交易的持有者持有的能够使用电子代币的装置中将电子代币取回到便携设备中；

使用安装在所述便携设备上的销售点管理器和销售点安全识别模块来判定所述取回的电子代币是否有效；以及

如果所述电子代币被判定为有效并且有足够的余额以支付购买花费，通过扣除所述电子代币以在所述销售点安全识别模块中记录所述购买交易；

否则拒绝所述购买交易。

9.如权利要求8所述的方法，其特征在于，所述销售点安全识别模块中积累的一个或多个线下交易记录上传至交易处理服务器，所述上传操作是通过蜂窝通信网络或公共域网络针对单个交易或批量交易进行的。

10.如权利要求8所述的方法，其特征在于，支持电子代币的装置是单功能卡片，由销售点管理器执行的核实过程包括：读取所述单功能卡片的卡片标识，所述卡片标识保存在不受保护或仅受公知密钥保护的区域上；向销售点安全识别模块发送包含所述卡片标识的请求；接收一个或多个由销售点安全识别模块生成的转换后密钥，如果所述接收到的一个或多个转换后密钥为无效，即所述取回的电子代币为无效,否则，认为所述取回的电子代币为有效。

11.如权利要求8所述的方法，其特征在于，还包括从金融机构或连接的账户中，通过所述便携设备的销售点管理器向所述能够使用电子代币的装置中注入资金。

12.如权利要求8所述的方法，其特征在于，还包括当所述购买花费超过预先定义的门限时，连接到交易处理服务器，以对所述电子代币进行进一步的认证。