CN1864119A - 为交易提供便利和认证 - Google Patents
为交易提供便利和认证 Download PDFInfo
- Publication number
- CN1864119A CN1864119A CN 200480029588 CN200480029588A CN1864119A CN 1864119 A CN1864119 A CN 1864119A CN 200480029588 CN200480029588 CN 200480029588 CN 200480029588 A CN200480029588 A CN 200480029588A CN 1864119 A CN1864119 A CN 1864119A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- transaction
- data processing
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
一个诸如基于视窗的PC(10)之类的计算机使用户身份模块(或SIM)(12)与它相关联,该SIM例如是在GSM蜂窝电话系统中使用的类型。所述SIM(12)可以以和认证网络中的电话手机使用者的SIM一样的方式由电话网络(16)来认证,并且可以用这种方式认证PC(10)的使用者或者PC(10)本身。这种认证可以例如允许和特定应用(22)相关的PC(10)的使用,所述的特定应用可以在所述认证完满完成后被释放给PC(10)。在所述认证过程完满完成之后或响应于所述认证过程的完满完成,所述应用可以由第三方被释放给所述PC(10)。会话的费用可以被电信网络记入使用者的借方并且随后传送给第三方。
Description
发明背景
本发明涉及为交易提供便利和认证(authentication)。在本发明的实施例中,这将在下面仅通过实例更加详细地描述,为数据处理装置(例如,个人计算机)或其使用者和(可能是远程的)第三方之间的交易提供便利和认证,并且这种便利和认证还可能涉及为由使用者进行的或代表使用者进行的到第三方的支付或数据传递提供便利和认证。
发明概述
根据本发明的第一方面,提供了一种用于执行认证过程的方法,所述认证过程认证与数据处理装置相关的交易,其中,至少在该认证过程期间,数据处理装置操作上使多个认证存储装置中被选择的一个与它相关联,所述的多个认证存储装置的每一个用于存储预定的认证信息,所述认证存储装置可登记到一个公共系统,该方法包括如下步骤:通过连接到那个系统的通信链路来执行认证过程,该认证过程通过包含在系统中的认证装置执行,并且涉及到使用所选的一个认证存储装置中存储的预定认证信息。
根据本发明的另一方面,提供了一个与多个认证存储装置中被选择的一个相结合的数据处理装置,所述多个认证存储装置的每一个用于存储预定的认证信息,该预定认证信息与用于认证与数据处理装置的交易的认证过程的执行相关,该认证存储装置全部登记到一个公共系统,当认证存储装置操作上和数据处理处理装置相关联时,认证存储装置被操作来通过连接到那个系统的通信链路来执行认证过程,该认证过程通过包含在系统中的认证装置来执行,并且涉及到使用所选择的一个认证存储装置中存储的预定认证信息。
根据本发明的另一个方面,提供了一种用于耦合到数据处理装置的设备,该设备允许涉及独立使用认证装置的认证过程,该设备被配置为提供用于在认证过程中使用的多个可以独立激活的认证信息记录,该认证信息记录登记到包括认证装置的系统,该设备响应输入消息,根据输入消息和激活的认证信息记录导出一个响应,使认证装置能够在所述系统中通过连接到认证装置的通信链路来执行认证过程,从而对交易进行认证。
根据本发明的另一个方面,提供了一种用于认证使用者的交易的认证系统,所述使用者登记到那个系统以便使和另一个系统的交易能够被认证,该认证系统包括认证装置和安全令牌产生装置,所述认证装置用于响应来自于用户的认证请求发送一个认证消息,以及接收和分析对它的响应来确定接收到的响应是否符合预期的响应从而认证使用者的身份;所述安全令牌产生装置产生在执行和其它系统的交易中所使用的安全令牌。
根据本发明的另一个方面,提供一种存储使用者数据的系统,该使用者数据在执行和多个服务提供商的交易中使用,其中,对于每个使用者,存储多个数据记录以便在执行和相应服务提供商的交易时使用,并且其中,响应于代表那个服务提供商的请求,仅仅使一个与该特定服务提供商相关的数据记录可用。
根据本发明的另一方面,提供一种用于在认证和执行交易时使用的数据分组,所述的交易是客户和产品或服务提供商之间的交易,该数据分组包括指示产品或服务提供商身份的数据,以便该数据分组仅仅可用来认证和执行与那个产品或服务提供商的交易。
根据本发明的另一方面,提供一种为多个使用者和多个产品或服务提供商之间的交易提供便利方法,所述多个使用者登记到一个认证系统,该方法包括:
为每个使用者提供存储预定认证信息的认证存储装置,每个认证存储装置可耦合到数据处理装置来与它进行数据交换;
响应于使用所述数据处理装置作出的从使用者到产品或者服务提供商的请求,产生一个交易请求数据分组,该数据分组包括指示使用者身份和产品或者服务提供商身份的数据;
通过数据处理装置向认证系统发送交易请求数据分组;
在认证系统中分析交易请求数据分组,并从中提取使用者的身份;
通过数据处理装置从认证系统发送一个认证请求信号给使用者的认证存储装置;
通过数据处理装置接收一个来自于认证系统中使用者的认证存储装置的响应;
在认证系统中分析所述响应,参照那个使用者的所述预定认证信息的知识来确定所述响应是否与预期响应一致;
产生一个认证令牌,并且通过数据处理装置将该令牌提供给产品或者服务的提供商,该认证令牌向产品或服务提供商表明所述用户被所述认证系统认证。
附图简述
现在将仅通过实例参考所附简图,描述根据本发明的为交易提供便利和认证的一种方法,涉及诸如个人计算机的数据处理装置,和体现本发明的用于连接到数据处理装置(例如,个人计算机)的设备,在附图中:
图1是用于说明关于数据处理装置的方法操作的方框图;
图2是用于理解图1中方框图的流程图;
图3是对应于图1的方框图,其中,根据本发明,使用了“DONGLE”;
图4是DONGLE一种配置的透视图;
图5示出该DONGLE另一种配置的侧视图;
图6示出用于说明使用数据处理装置认证交易的方法的操作的方框图;
图7A、7B和7C是用于理解由图6的数据处理装置执行的认证过程的流程图;
图8A示出DONGLE第三种配置的正视图;
图8B示出图8A中DONGLE的侧视图;
图8C示出沿图8B的x-x线的横断面视图,但是DONGLE连接器伸出;
图8D示出对应于图8B的侧视图,但是DONGLE连接器伸出;
图9A示出DONGLE第四种配置的正视图;
图9B示出图9A中DONGLE的侧视图;
图9C示出对应于图9A的正视图,但是DONGLE连接器伸出;
图9D示出对应于图9B的侧视图,但是DONGLE连接器伸出;
图10A示出DONGLE第五种配置的正视图;
图10B示出图10A中DONGLE的侧视图;
图10C示出对应于图10A的正视图,但是DONGLE连接器伸出;
图10D示出对应于图10B的侧视图,但是DONGLE连接器伸出;
图11A示出DONGLE第六种配置的正视图;
图11B示出图11A中DONGLE的侧视图;以及
图11C示出电连接器如何自DONGLE的外壳出现。
图中,相似的元件通常用同样的参考数字标明。
实施本发明的模式
当涉及数据处理装置的使用的交易要求认证时,存在许多种情形。例如,可能要求数据处理装置和第三方(例如,和必须在电信链路(包括通过因特网)上与其通信的远程第三方)进行诸如信息交换的交易。该第三方可能要求,在交易发生前,对数据处理装置或其目前的使用者进行使该第三方满意地认证。
正如所述,交易可能仅仅涉及信息的交换。例如,数据处理装置的使用者可能仅仅为了从第三方下载信息才需要被认证。这种信息可能是由第三方代表数据处理装置使用者保存的信息(例如,关于使用者的银行帐户的信息)。代替地,信息可能是保存在其它数据处理装置上的信息,例如,属于和使用者相连的或雇佣使用者的组织或商业实体的数据网络,因此,为使用者在旅行时访问那个网络提供了便利。另一可能的交易可能涉及数据处理装置从远程位置下载软件。
此外,为了使交易能够发生,交易可能要求使用者支付,例如,支付给第三方,作为提供的信息的回报。明显地,当涉及这种支付时,使第三方满意地认证使用者并且支付以可靠、简单和安全的方式进行是重要的。
虽然前面的描述提到数据处理装置的“使用者”,上述交易中至少一些交易其实可能不涉及任何人类使用者:数据处理装置可能被要求自动操作(例如,在信息采集或监控任务中断续操作并且向第三方报告结果)。在这种情况下,可选地或另外地,数据处理装置使第三方满意地认证它自己可能是必需的。
数据处理装置备有装置(认证存储装置)或和该装置(认证存储装置)相关联,该装置用于存储用于认证那个处理装置或其特定使用者的预定认证信息。在一个实施例中,用于存储预定信息的装置是可移除的,并且因此能被使用者带走,插入任何适于接纳它的数据处理装置(或计算机),以便使得能够关于要由那个使用者进行的和那台计算机的交易而认证那个使用者。有利地,在这种情况下,用于存储预定信息的装置是智能卡的形式。
在更具体的实例中,智能卡是用在移动或蜂窝电信网络-例如GSM(Group Special Mobile移动通信特别小组)或3G(第三代)网络里的手机里并且用于认证手机的使用的类型的用户身份模块或SIM。这种网络将存储其使用者的(用户的)SIM的详细资料。在网络操作中,使用者的手机通过如下方式被认证(例如,当使用者考虑到进行呼叫或接收呼叫在网络上激活手机时),网络发送询问到含那个SIM的手机,作为响应,SIM计算应答(根据SIM上保存的预定信息-通常是认证算法和唯一的密钥Ki),并且把应答发送回网络,该网络把应答和它自己关于那个使用者或用户的信息进行核对,从而完成认证过程。因此,同样地,SIM可用于数据处理装置或计算机,或和数据处理装置或计算机相关联使用,以便可以执行同样形式的认证过程。在SIM是特定蜂窝电信网络用户的SIM的情况下,认证过程可由那个网络执行。
应该注意,正在描述的认证过程不一定认证使用者的人类身份。例如,蜂窝电信网络有预付费用户,作为预付费的回报,发SIM给预付费用户以便使他们能够在网络上进行呼叫。但是,这种预付费用户的身份不被网络所知(或不必被网络所知)。不过,直到网络认证了那个用户的SIM,也就是说,直到网络证实这种使用者是有网络的特定预付费帐户的特定使用者时,这种使用者才能使用网络。为了认证那个使用者,这种预付费使用者或用户的SIM可同样好地用于(以所述方式)数据处理装置或计算机,或和数据处理装置或计算机相关联地使用。
SIM没必要采用物理的(并且可移除的)智能卡的形式,而是能通过以例如软件形式或表现为芯片的形式嵌入在数据处理装置或计算机里来模拟。
能改变SIM(或模拟的SIM)上的认证信息以把改变的情况纳入考虑范围,可能是所希望的。例如,SIM可以是向特定的蜂窝电信网络(可应用于使用数据处理装置或计算机的国家或地区的网络)登记的SIM。但是,可能出现这种情况(例如,该装置或计算机被物理地移动到不同的国家或地区),其中,向不同的蜂窝电信网络重新登记SIM是所希望的或必需的。可以重新登记SIM的方法公布于我们共同未决的英国专利申请0118406.8、0122712.3和0130790.9,以及我们对应的PCT申请GB02/003265、GB02/003260和GB02/003252。如其中更详细所述,起初,SIM(因此还有模拟的SIM)可备有与多个网络中的每个网络相关的认证(和其它的)信息,有关不同网络的信息可被选择地激活。
但是,该使用者不必是电信网络的用户。代替地,他们可能是向某一其它集中式系统登记的用户,然后,该系统能以和电信网络中同样的方式执行认证过程。在这种情况下,SIM(或模拟的SIM)的登记可以以上述同样的方式从一个这样的集中式系统转移到另一个。
如上所述,认证过程的目的是为数据处理装置或计算机和第三方之间的交易提供便利。在由SIM的使用者是其用户的电信网络或某一其它系统执行认证过程的地方,认证过程满意的完成然后将由该网络或系统传达到第三方,以使交易能够继续进行。
对于所述类型的许多交易,可能涉及使用者向第三方支付。如上所述的方案,其中,认证过程由使用者是其用户的电信网络或其它集中式系统执行,该方案有利地为这种支付的实现提供了便利,并且在支付小数额(例如作为接收信息回报的支付-例如,天气或交通信息,或作为临时使用特定软件的回报)时(这可能经常是事实)尤其有利;在这种情况下,支付可记入由电信网络或其它集中式系统保存的用户帐户的借方,-并且,然后,可能在扣除手续费之后,自然地传递到第三方。
图1的方框图示意说明了操作上述方法的一种方式。
示出了一种基于视窗(Windows)的个人计算机或PC 10(“视窗”是一种商标)。PC 10适于接纳SIM(在12图解示出)。该SIM可能可移除地安装到PC,用于识别使用者(也就是说,SIM的持有者),或可能固定在PC内部(用于识别PC本身)。PC 10包含交易管理软件14,该交易管理软件和SIM的一些功能交互并且控制SIM的一些功能。
虽然已经描述了PC 10适于接纳SIM的方案,但是应该理解可使用除SIM以外的智能卡,并且,这和本发明是一致的。此外,与其说SIM(或智能卡)通过可移动地安装到PC或固定在PC内部从而由PC接纳,还不如说SIM(或智能卡)可以用任何允许在SIM(或智能卡)和PC 10之间通信的方式和PC相关联。例如,SIM(或智能卡)可备有“DONGLE”(DONGLE的实例在下文详细描述),该DONGLE允许和PC 10进行有线或无线通信。优选地,SIM(或智能卡)和PC 10之间的通信是安全的。通信可被加密,或采用任何其它的用于安全通信的装置。
图1中还示出了诸如沃达丰Vodafone(商标)网络的蜂窝电话网络16,并且假定SIM 12向网络16登记。
图1所示系统的操作将参考图2的流程图说明。
在步骤A,PC 10的使用者请求使用PC上特定的应用17。例如,使用者可能希望观看包含专门信息的网页,这些网页被加密,并且因此通常不可用。为了观看这种网页,使用者请求“会话密钥”-也就是说,例如,执行涉及限时使用该特定应用的交易的许可。对会话密钥的请求提交给交易管理器14。然后,交易管理器14发送从SIM 12导出的识别信息(“我在这儿”的消息)到网络16的安全性服务部分18(步骤B)。作为“我在这儿”消息的响应,网络发送随机的询问(步骤C)到交易管理器14,该询问基于网络已知的关于SIM 12的信息。
图1的双箭头19示意地指出PC 10和网络16之间的双向数据通信。该数据通信可在任何适当的通信媒介上进行。例如,通信媒介可以是固定的电话网络(例如,PSTN)或无线网络。例如,无线网络可能和提供安全性服务18的网络16一样,或可能是另一个网络。数据通信可通过因特网进行。数据通信优选是安全和加密的形式。
在步骤D,通过提供从询问得到的答案和保存在SIM上的密钥,交易管理器14发送来自SIM 12的对该询问的响应。该应答由网络16的安全性服务部分18检查。假定响应是令人满意的,安全性服务部分18认证该使用者,并且向交易管理器14证实这点(步骤E)-可能通过提供总装(populate)安全令牌(Security Token)。同时,网络中的安全性服务部分18发送会话密钥(步骤F)到网络16的应用服务部分22。
交易管理器14也发送会话密钥到应用17(步骤G)。
在所述实施例中,交易管理器为传递数据到SIM 12和从SIM 12传递数据提供了便利。不要求交易管理器能够理解或解释该数据。描述的实施例中的交易管理器的功能是作为数据传送到SIM 12或从SIM12传送的管道。
现在,使用者能做出对特定应用的请求(步骤H),伴随该应用请求的是在步骤G接收的会话密钥。步骤H的应用请求发送到应用服务部分22,该应用服务部分22可能是网络16的一部分(如图所示),或者可能是单独的并且由第三方控制。在步骤I,应用服务部分比较与应用请求一起接收的会话密钥(步骤H)和在步骤F接收的会话密钥。假定这种检查的结果是满意的,应用服务部分22马上发送应用请求的接受(步骤J)到PC 10,并且,应用马上进行。会话密钥可能允许对应用服务器22的限时使用、单次使用或不限定使用,这取决于各种情况。现在,网络能把会话的费用记入使用者帐户的借方。在应用服务部分22和安全性服务部分18之间可以有通信链路,以允许那些部分之间的数据交换-例如允许安全性服务部分18安排使用者在网络16的帐户以被记入借方。
前面的当然仅仅是实现所描述内容的一个简单的例子。
在可替换方案中,数据载体可能备有用于存储诸如上述形式之一的预定信息的装置一也就是,SIM或(更可能是)软件模拟的SIM。模拟的SIM和存储在数据载体上的数据相关联。数据载体可能例如是DVD或CD ROM或某一其它相似的数据载体,并且其上的数据可以是软件或软件组。
模拟的SIM可用于识别和认证数据载体上的数据(例如软件)。模拟的SIM将向电信网络或某一其它集中式系统登记,用和上述同样的方式。当数据载体位于诸如计算机的数据处理装置中,以在其中使用时,SIM会被用于识别和认证数据载体和存储在其上的数据,并且(例如)然后可允许软件被下载以在计算机中使用。这样,SIM可随后用于阻止另外使用软件(例如,在另一计算机中),或允许数据仅仅被使用预定次数(无论是在相同还是不同的计算机中)。如果例如数据载体(和它的SIM)位于也接纳了特定使用者的SIM的计算机中,那么(a)数据载体上的SIM可被用于识别和认证软件,并且(b)计算机中的或和计算机相关联的SIM能用于认证使用者,并且可随后用于使费用能够记入那个使用者的借方,作为软件使用的支付。
存储在带SIM的数据载体上的数据可以例如是加密的数据。该加密的数据只能使用由数据载体上的SIM提供的信息加密。这样,数据载体上的SIM可控制存储在数据载体上的数据的使用。例如,数据载体可以和特定的许可证(赋予使用者受限的权利来使用数据载体上的数据)一起出售。可允许使用者使用数据预定的时间或预定的次数。每次使用数据,都用存储在SIM上的数据对它进行解密。数据被解密的次数的记录在SIM中(或别处)维护。当数据被解密的次数等于和数据载体一起售出的许可证提供的次数,SIM通过不解密数据来阻止进一步使用数据。如果数据备有持续预定时间许可证,每次SIM解密数据,SIM将检查当前的时间(参考提供的适当时钟,例如,SIM上、PC 10上或参考网络16)以便数据的解密只能进行到和数据载体一起出售的许可证中指定的时间。
虽然在上面描述了模拟的SIM,目前优选的是SIM在硬件中实现,因为这样更安全。硬件SIM上的秘密认证数据对未授权的人员是不可达的。
与其说PC 10适于接纳SIM 12,或数据载体被修改以包含SIM或软件模拟的SIM,还不如说单独的设备或“DONGLE”30可被提供用于接纳SIM 12,或用于包含模拟SIM 12的软件。
图3示出了DONGLE 30,它允许用于认证交易(或用于任何其它适当目的)的数据在DONGLE 30和PC 10之间并且向上到或从网络16传送。
DONGLE 30包含具有用于接纳SIM 12的插槽的外壳32。该外壳32可用任何适当的材料制作。优选地,该材料是电绝缘的。例如,外壳可包含激光激活的树脂或塑料。
在外壳32内部提供了适当的连接器(未示出),用于允许SIM 12和DONGLE 30之间数据的电子交换。DONGLE 30还包含适当的连接器34,用于允许出于数据通信的目的连接到PC 10。例如,连接器可能是USB连接器、火线(Firewire)1394连接器或任何其它适当的连接器。当然,可提供不同配置的DONGLE。例如,SIM 12可完全容纳在DONGLE 30内部,并且通过打开外壳32可从DONGLE 30移除,或者SIM 12可永久地密封或封装在DONGLE外壳32的内部。如果提供了后一种方案,电信系统的使用者可备有第一SIM用于例如他们的移动电话手机,并且可备有DONGLE 30,它包含独立的SIM,用于通过PC 10执行交易。如果希望,电信网络将包括记录,指出使用者移动手机内部的SIM和使用者DONGLE内部的SIM是共同所有,并且,该信息用于方便地向使用者提供关于使用两个SIM引起的费用的单一帐户。
DONGLE 30备有DONGLE接口驱动器36,它控制和PC 10的通信。所有自PC 10的通信通过DONGLE接口驱动器36进行路由选择,并且存储在SIM 12上的数据不可能被访问,除了通过使用DONGLE接口驱动器36。为PC 10提供了对应的PC接口驱动器38。PC接口驱动器38可以例如包含一系列的计算机程序形式的命令,该程序加载到PC 10上并由PC 10运行。PC接口驱动器38可以例如由网络16提供或在网络16的控制下提供。因此,PC接口驱动器38将被网络16“信任”,并且将被配置为只允许以被核准的方式对DONGLE 30并且从而对SIM 12访问,该方式不允许SIM 12上现有的安全性信息被泄密。
为阻止或减少PC接口驱动器38被可替换驱动器替换或绕过的可能性,这可能泄漏SIM 12上的数据的安全性的秘密,PC接口驱动器38和DONGLE接口驱动器36备有各自的共享秘密密钥40、42。每个自PC接口驱动器38至DONGLE的通信用共享秘密密钥40加密。所有自PC 10到DONGLE 30的通信由DONGLE接口驱动器36接收。DONGLE接口驱动器36包含处理装置,用于用它的秘密密钥42解密接收的通信。为了提高安全性,DONGLE接口驱动器36将阻止除了用共享秘密密钥40加密的那些以外的所有通信发送数据到SIM 12或从SIM 12接收数据。
因此,PC接口驱动器38控制和监控对DONGLE 30和SIM 12的访问,以减少存储在SIM 12上的数据被未授权的访问SIM 12的企图泄密的可能性。
假设对SIM 12上的数据进行访问的请求被PC接口驱动器核准(例如,根据网络16设置的准则)并且因此和适当的密钥一起传到DONGLE接口驱动器36,交易可使用SIM 12,以关于图1和2所述的方式进行认证。
虽然提供共享秘密密钥40、42是有利的,但是应该理解,提供共享秘密密钥40、42对本发明不是必需的。
在可替换方案中,PC接口驱动器38没有设特定的秘密密钥40。但是,DONGLE接口驱动器36设有密钥42。当DONGLE 30耦合到PC 10时,PC接口驱动器38检测到DONGLE接口驱动器设有密钥42。然后,PC接口驱动器38可通过通信链路19从网络16获得密钥,该密钥将允许PC接口驱动器13和DONGLE接口驱动器36之间的数据交换使用密钥42加密。例如,DONGLE接口驱动器36的密钥42可以是私有密钥,由网络16提供给PC接口驱动器的密钥40可以是公共密钥-这两种密钥成为公共-私有密钥对。优选地,由网络16提供的密钥不是在任何应用请求时提供。例如,网络16可配置为只提供这些密钥到可信的PC接口驱动器和/或在一些认证过程之后提供。
可替换地,DONGLE接口驱动器36和PC接口驱动器38之间的数据传递可不被加密,或可用对不同设备上提供的许多DONGLE接口驱动器和PC接口驱动器通用的方式进行加密,这样的好处是允许DONGLE 30和许多不同的PC一起使用。
作为增加安全性的措施,PC接口驱动器38和交易管理器14之间的通信可被加密。例如,那些部分可能每个都有共享秘密密钥,并且,它们之间的通信可用共享秘密密钥加密。
本发明的另一个实施例将参考图4描述。根据图4,DONGLE 30有完全容纳于它的外壳32内部的SIM 12,并且,因此该SIM在图中看不到。DONGLE 30有连接器34,用于以和图3实施例相似的方式连接到PC 10。在外壳32的对端,可选的环形连接器44可被提供,以通过把它附在使用者的钥匙环上来提供方便的用于携带DONGLE30的装置。
外壳32的一面有许多按钮46装配在上面,其中的10个在上面显示有从0到9的各个数字。在该实施例中,DONGLE 30包括用于接收使用者通过操作适当标明的按钮46输入的PIN号的装置(例如软件),该PIN号和提供给SIM 12并存储在SIM 12上的PIN号相比较。用于GSM电信网络的SIM常规地设有这种PIN。
外壳32还可进一步可选地提供显示器48,用于提示使用者输入他们的PIN号和/或用于当输入时显示PIN号,如果希望的话。在用按钮46输入PIN号后,输入的PIN号就和存储在SIM上的PIN号相比较。如果发现PIN匹配,SIM和PC 10之间的通信被允许,以认证一个或更多的交易。输入的PIN号和存储在SIM 12上的PIN号之间的比较是在DONGLE 30内部进行的,并且输入的PIN号和存储在SIM上的PIN号都不会被传送到PC 10。这阻止或减少了PIN由于向授权方公布而被泄密的可能性。
为允许输入PIN,DONGLE 30要求有电源。电源可由PC 10提供。有利地,PIN有它自己临时的电源,该电源允许PIN被输入和验证。随后,电源中断,并且,PIN数据丢失。这是附加的安全性特征,并且在下面更加详细地描述。
图4的PIN输入比较方案可附加地或作为可选方案提供给接口驱动器36、38和图3所示方案中的共享秘密密钥40、42。
应该理解,作为按钮46的可替换方案,其它装置可被提供,用于允许PIN输入。可替换地,通过从使用者获得其它一些安全性信息,并且把它和存储在SIM 12上的数据比较,使用者可被授权使用SIM。例如,获得的数据可以是使用者的指纹或一些其它不可能在另一人上重新出现的特征-例如,任何适当的生物计量数据。指纹(或其它信息)的详细资料存储在SIM上,用于和代表上述特征的输入数据进行比较。
作为图4实施例的附加安全性特征,可提供显示器,显示向SIM12请求信息的应用或组织的名字。这会允许使用者监视对他的SIM 12的请求。
如果参考图3描述的接口驱动器36、38和各自的共享秘密密钥40、42用于也包括参考图4描述的PIN输入和比较方案的系统中,以提供增加级别的安全性,可对DONGLE 30编程以显示向SIM请求数据的应用或组织的名字,并且然后,可提示使用者通过用小键盘46输入使用者的PIN来核准对每个或选择的应用/组织的数据供应。作为输入PIN的可替换方案,使用者可被提示激活“证实交易”按钮或同类按钮。
DONGLE 30可用于为和除了PC的数据处理装置的交易提供便利。例如,在网络16有帐户并且备有DONGLE 30的使用者可把连接器34插入停车计时器里适当配置的插槽中,该停车计时器是可连接到网络16的。装在DONGLE 30内部的SIM 12使用停车计时器内部提供的交易管理器以上述方式被认证。这样,停车支付可通过从该使用者在网络16的帐户扣除适当的数目来进行。有利地,DONGLE 30将备有按钮46,并且DONGLE将提示使用者输入PIN,该PIN和存储在SIM上的PIN比较,从而,DONGLE 30不可能被未授权方使用。可对DONGLE编程以使得按钮46在停车计时器控制下允许输入和交易相关的数据-例如,需要停车位的时间长度。
例如,DONGLE 30还可用相似的方式和适当配置的DVD播放器一起使用,以允许靠从该使用者在网络16的帐户扣除费用来支付观看电影。可布置系统,以允许DONGLE 30作为数字版权管理方案(digital rights management scheme)中的密钥操作,正如我们共同未决的和本申请在相同日期提交的题为“数据处理(Data Processing)”的专利申请。DONGLE还可允许产品从适当配置的售货机购买,或者允许票从适当配置的售票机购买。这种机器将包括处理器,从而,和由PC 10的交易管理器14执行的那些相对应的功能可由这些机器执行。
在上面的描述中,已经指出,用于认证交易的SIM可以有常规SIM的形式,要么插入PC 10内适当的插槽,要么插入DONGLE 30(如果提供)。这可以简单地是移动网络的用户用在他们常规移动终端里以进行呼叫或接收呼叫的SIM。可替换地,SIM 12可嵌入PC 10或DONGLE 30内部(这样,它不可能被轻易移除,或者它根本不可能被移除)。此外,可替换地,SIM可能没有单独的物理形式,但是可通过DONGLE 30或PC 10内部的软件和/或硬件来模拟。SIM可被模拟或包含进PC 10芯片组的内部。例如,SIM可被包含或模拟于PC 10的中央处理单元内部。这种方案阻止SIM(或模拟的SIM)从PC 10移除(除了通过使PC 10变为无用以外)。
如果SIM具有不能轻易从PC 10或DONGLE 30移除的形式,电信系统的用户可备有第二SIM,例如用于他们的移动电话手机。
但是,如果,同样的SIM用于(在PC 10或DONGLE 30里)认证交易,并且以常规的方式针对电信网络使用(例如,用移动电话进行呼叫或接收呼叫),同样的数据可用于提供交易的认证,正如用于呼叫进行时向移动电话网络认证SIM一样。可替换地,SIM可有单独的记录用于执行每个认证类型。可有第一记录,包含用于认证交易的数据和/或算法,和第二单独的记录,用于以常规方式向电信网络认证终端。这第一和第二记录可有各自的认证密钥、对电信网络唯一的标识符和/或唯一的认证算法。
第一记录本身可包含一系列单独的记录,每个记录向电信网络登记,用于允许在单独记录控制下认证的交易被单独被识别和记帐。这马上参考图5更加详细地描述。在图5中,DONGLE 30可包含多个SIM 12,或可有多个在DONGLE内部模拟的SIM。可替换地,与其说多个完整的SIM被提供或模拟,还不如说多个不同的记录可存储在DONGLE 30上。是提供多个SIM、提供多个模拟的SIM还是提供多个可替换的记录,这些都可看作是各自唯一的数据记录,这些数据记录对电信网络是可识别的。
这种方案可能是期望的,例如,当使用者或用户希望在多个环境中使用他们的DONGLE 30时。当使用者或用户是为他们的雇主履行职责时,DONGLE 30将激活和雇主相关的数据记录。用那个数据记录授权的交易将在适当时导致对雇主帐户计费。当使用者或用户不是为他们的雇主履行职责时,那么,个人数据记录激活。用DONGLE30认证的交易将导致费用从使用者的个人帐户扣除。这使得,由使用者或用户作为个人执行的交易和那些代表他的雇主执行的交易分离开来。DONGLE 30的模式(也就是说,是雇主的数据记录还是个人的数据记录被激活)可由DONGLE 30上提供的模式开关50来控制,或者模式可通过使用运行在PC 10上的交易管理器14或PC接口驱动器38中提供的软件来改变。当由使用者指示时,软件会使得适当的信号发送到DONGLE 30,以改变活动的SIM、模拟的SIM或数据记录。
作为附加的安全性措施,DONGLE可要求用户输入PIN(或提供其它数据),以激活SIM的不同模式(例如,“雇员”模式或“个人”模式)。可能要求不同的PIN以激活每种模式。
至此所述的DONGLE 30有物理连接器34(例如,USB连接器)以使得能够与PC 10进行数据通信。作为物理连接器34的可替换措施,DONGLE 30和PC 10之间的无线链路可被提供。例如,数据交换可通过由红外信令或任何其它适当的手段来进行,例如使用近场技术、使用蓝牙技术。
与其说单独的DONGLE 30被提供,还不如说使用者的SIM可用常规的方式置于移动终端(例如移动电话手机)中。SIM可通过移动终端和PC 10之间适当的数据交换,来认证与PC 10的交易。当要求认证交易时,这可通过向移动终端提供连接PC 10的物理连接器(例如USB连接器)来实现,或通过任何一种上述的无线技术来进行。优选地,该通信被加密或以某种其它方式变得安全。如果SIM备有单独的数据记录,用于常规的移动电信的目的和用于认证交易,那么,进行电话呼叫(例如,与电信网络)和认证与PC 10的交易可以同时进行。移动终端可方便地提供PC 10和网络16之间的通信链路。因此,这种方案中移动终端到PC 10的耦合不仅允许交易的认证,而且方便地提供了PC 10和网络16之间的通信媒介。在可替换方案中,移动终端还提供了移动电信网络上的通信,但是,这不同于网络16。
DONGLE 30还可执行用于PC(或其它计算设备)的常规数据卡的功能。通过该方案,DONGLE将具有适当的尺寸,并且将包括适当的连接器,用于允许它除了作为具有上述功能外的DONGLE外还作为数据卡操作。
用于授权交易的方案的更进一步升级的实施例,将马上参考图6和图7A、7B和7C所示的流程图来描述。
诸如PC 10的客户平台包括交易管理器14。有SIM 12在其中的DONGLE 30被提供,并且DONGLE 30和交易管理器14之间的通信是通过连接34(可以是有线的或是无线的连接)进行的。在该实施例中,交易管理器14包含图3所示的PC接口驱动器38,并且因此,PC接口驱动器未在图6中作为单独项示出。相似地,DONGLE 30包含DONGLE接口驱动器,图3中以36示出,并且,因此,单独的DONGLE接口驱动器未在图6中示出。
PC 10可以例如使用视窗(RTM)操作系统。
多个客户应用17在PC 10上提供,这允许使用者从各自的远程服务提供商22获得服务。应该理解,用“远程”并不意味着暗示PC10和服务提供商22之间一定有特定的地理距离。但是,服务提供商22通常将独立于PC 10被控制,虽然这不是必需的。
在该实施例中,移动电信网络16提供网络服务100,例如SMS、MMS、基于定位的服务等等。网络16还提供认证服务102和支付服务104。但是,应该理解,网络可以是任何类型的网络,本发明不局限于移动电信网络。例如,可以在通过局域网、广域网和/或因特网链接到PC 10的计算机中,提供认证服务102和支付服务104。
当用户希望使用由远程服务提供商22提供的服务时(图7A所示流程图的步骤A),通过把他们包含SIM 12的DONGLE 30插入PC 12的适当的连接槽,或使用无线链路,用户把他们的SIM 12耦合到PC 10(步骤B)。然后,用户在PC 10上激活相关的客户应用17,以获得要求的服务(步骤C)。例如,客户应用17可能是专用软件,由服务提供商22提供和在服务提供商22控制下提供,用于安装在用户的PC 10上。可替换地,客户应用17可能是用于访问服务提供商22的适当网站的Web浏览器。
为了说明图6所示系统的操作,将给出关于用户希望从作为服务提供商22的卖主购买特定的CD的例子。使用PC 10上现有的图形用户界面,用户启动PC 10上提供的Web浏览器软件,并通过因特网访问服务提供商22的网站。Web浏览器软件构成客户应用17,并且允许对和经销CD的服务提供商22相关联的网站访问。
客户应用17和服务提供商22之间的数据通信可通过固定的网络(例如,PSTN),或通过无线网络,例如网络16或另一移动电信网络。
可以提供用户注册到网站的便利。有利地,由网络16核准的服务提供商可允许用户向服务提供商登记“假名”。该假名和用户从服务提供商获得服务时可能希望使用的特定的数据有关联。该数据由网络16存储。数据不是永久地由服务提供商存储(虽然,当然服务提供商维护和网络16的用户相关联的假名列表)-例如,参考用户的SIM标识符。
认证服务可允许服务提供商存储与SIM相对的假名数据-在用户允许的前提下。假名数据将集中存储,并且可由认证服务供应商分发到SIM。
下面列出了网络16为用户(用户A)保存的信息的例子:
用户A的数据
●(多个)SIM标识符
●(多个)MSIDN
●多个假名
○对于服务提供商A
■名字
■地址
■爱好
■银行帐户详细资料
○对于服务提供商B
■名字
■地址
■爱好
■银行帐户详细资料
○对于服务提供商C
■名字
■地址
■爱好
■银行帐户详细资料
网络16不但存储与用户的SIM和他们的MSISDN相关的数据,网络16还包括用户针对各种服务提供商(服务提供商A、B、C...)建立的假名的列表。为任何特定的服务提供商存储的信息可以是不同的,并且将取决于服务提供商可能向用户有用地要求什么样的信息,并且取决于用户愿意提供给服务提供商的信息。在示出的例子中,假名可能包括用户地址和名字的详细资料和任何他们可能有的涉及特定的服务的爱好。在用户希望从服务提供商22购买CD的例子中,这可能包括用户对特定类型音乐的爱好,允许服务提供商定制它的服务,可能向用户提供与用户更喜欢的音乐类型相关的CD。
当使用者访问网站时,服务提供商22,将使用户作为注册过程的一部分被提示,使用Web浏览器,输入那个用户可能先前向服务提供商22登记的“假名”(步骤D)。如果假名由那个用户先前向服务提供商22登记了,用户输入他们的假名,并且由客户应用17发送(步骤E)到服务提供商22。然后,服务提供商22通过链路106(图6)发送该假名到网络16的认证服务102。然后,认证服务102确定该假名就网络16而言是否有效,并且,如果该假名被确定有效,网络发送其存储的和那个假名相关联的详细资料到服务提供商22(步骤F)。
如果假名不存在,那么,用户输入由服务提供商22所要求的详细资料(例如他们的名字和地址)-步骤G。
在该点,服务提供商22可提示用户问它是否想建立假名,以便针对那个服务提供商使用。如果用户希望针对那个服务提供商建立假名,那么该服务提供商向用户请求相关的信息,例如,他们的名字、地址、音乐爱好的详细资料等。该信息中有些可能对于建立假名是必需的,(例如用户的名字和地址),而其它数据可能是可选的(例如用户的音乐爱好)。被认为有利的是,用户能选择哪些信息提供给服务提供商以用于他们的假名中,并且,假名只针对特定的服务提供商使用,也被认为是有利的。当用于建立假名的数据已被输入时,该信息通过链路106传到网络16的认证服务102。该假名由服务提供商22存储,但是,和那个假名相关联的数据不是永久地由服务提供商22存储(那信息根据由网络16的认证服务102向服务提供商22的请求来提供)。
重要的是注意到,服务提供商22只访问和用户关于那个服务提供商使用的特定的假名相关联的数据。和用于其它服务提供商的假名相关联的单独的记录由网络16分开存储。这是有利的,因为例如用户可能愿意个人的医疗数据与该用户向他们的医生获得服务时使用的假名相关联,但是不希望该信息可以被其它服务提供商得到。
用户搜索网站以识别其希望购买的CD。当用户需要的CD被识别时,用户使客户应用17发送服务请求消息到服务提供商22(步骤H)-例如,通过鼠标点击网站提供的“购买CD”按钮。该消息包括识别所需CD的数据、识别用户的数据(例如用户的SIM标识符),包括这样的字段:指出用户在他们的PC上安装了交易管理器14,该管理器14可通过用户的SIM 12认证交易。
在交易的这个阶段,服务提供商22已经被提供有用户的某些详细资料,包括用户的名字、地址和他们希望定购的CD。该信息可能由不是真正用户的某人来提供。为认证交易,服务提供商22构造了服务上下文SC(步骤I)。服务上下文是一种数据分组,包括下列字段:
○服务提供商22的标识符
○用户的名字(或其它诸如SIM标识符的标识符)
○待认证的交易的详细资料(在这里,购买CD)
附加的或可替换的信息当然也可提供。
服务上下文SC通过因特网发送到客户应用17。该客户应用17传送服务上下文SC到交易管理器14(步骤J)。客户应用17可把它自己的标识符加到服务上下文SC,以允许网络16确定交易是从哪个客户应用得到的。
交易管理器14分析服务上下文,并且确实,由网络16认证交易的请求是必要的。交易管理器检测用户的DONGLE 30(包含他们的SIM 12)是否存在(步骤K)。如果DONGLE 30不存在,使用者被提示使他们的DONGLE可用。交易管理器14还可显示待认证的交易的描述-并且,给用户提供了选项,核准或反对交易。假定DONGLE存在并且用户核准了交易,那么交易管理器14发送对安全令牌SX的请求到网络16的认证服务102(步骤L)。发送到认证服务102的请求包括服务上下文SC。该数据可在任何适当的网络上发送。数据可通过因特网发送。数据可在固定的电话网络上发送,或在电信网络16的移动的或蜂窝式的基础结构上发送。
DONGLE 30可包括用于允许PIN或生物计量数据如上关于图4所述地输入的装置。如果在认证交易之前用户被提示输入他们的PIN或提供其他数据,这样提供了增加级别的安全性。交易管理器14和/或SIM 12可存储可信客户应用17的列表。这些应用可备有密钥(或其它识别数据)。对于可信应用,交易管理器和SIM可配置为接受密钥而不要求用户输入他们的PIN。
作为附加的安全性特征,DONGLE可备有屏幕,该屏幕显示向SIM 12请求信息的应用或组织的名字,如参考图3和图4的实施例所述。这会允许使用者监视对他的SIM的请求。可对DONGLE 30编程以显示向SIM 12请求数据的应用或组织的名字,并且然后可提示使用者通过用小键盘输入使用者的PIN或通过提供其它的识别数据,来核准对每个或选择的应用/组织的数据供应。
此后,用户将通过由认证服务102执行与SIM的询问和响应会话(通过交易管理器14发送数据)来认证-步骤M。例如,认证服务102将发送随机的询问到交易管理器14,该询问是发送到SIM的。SIM通过用驻存在SIM内部并且是分配给那个特定的用户的认证算法和唯一的密钥Ki对随机的询问加密来响应。响应由交易管理器发送到认证服务102。认证服务102分析响应,以确定它是否是期待来自那个用户SIM的响应。如果响应正如期待的,那么认证服务106发布安全令牌Sx,并且发送到交易管理器(步骤N)。交易管理器14本身不必理解询问和响应过程期间交换的数据-它只作为该数据的管道。
如参考图3所述,为阻止或减少交易管理器14被可替换应用代替或绕过的可能性,这可能危害SIM 12上的数据的安全性,交易管理器14和DONGLE接口驱动器可备有各自的共享秘密密钥。然后,每个自交易管理器14到DONGLE 30的通信用共享秘密密钥40加密。所有自PC 10到DONGLE 30的通信由DONGLE接口驱动器接收。DONGLE接口驱动器包含处理装置,用于用它的秘密密钥解密接收的通信。为了提高安全性,DONGLE接口驱动器将阻止除了用共享秘密密钥加密的那些以外的所有通信发送数据到SIM 12或从SIM 12接收数据。
因此,交易管理器14控制和监控对DONGLE 30和SIM 12的访问,以减少存储在SIM 12上的数据被未授权的访问SIM 12的企图泄密的可能性。
但是,应该理解,这种共享秘密密钥的使用不是必需的。
如果要求为交易支付,所要求的支付的详细资料包括在服务上下文SC中。该信息由认证服务102从安全上下文SC中提取。然后,认证服务102通过链路105发送消息到支付服务104,支付服务104保留着用户在网络16的帐户的资金。重要的是注意到支付在这个阶段没有被进行或授权。但是,支付服务104意识到可能即将要求支付,并且,为那个交易保留适当的资金在使用者的帐户中。
安全令牌是一种数据分组,包括安全令牌SX和下列字段:
○用户身份-例如SIM标识符
○服务提供商22身份的指示
○已被认证的服务的指示-在这个例子中是定购特定的CD
○认证服务102身份的指示
○哪个支付服务应该被使用的指示(如果要求支付)
其它的字段可根据情况附加或可替换地提供。
安全令牌SX传到客户应用17(步骤O)。
然后,客户应用17传送安全令牌到服务提供商22(步骤P)。
安全令牌SX包括对特定用户和与特定服务提供商22的交易而言特定的数据。众多的交易可由网络16、交易管理器14和服务提供商22并行处理。由于在安全令牌SX中对与特定服务提供商22的特定交易而言特定的数据,这些交易可相互区别。
如果安全令牌SX在网络16和交易管理器14之间或在客户应用17和服务提供商22之间传送时被截取(intercept),它将对截取者没有任何价值。安全令牌SX对与特定服务提供商22的特定交易是特定的,并且服务的提供对特定用户而言也是特定的。
在服务提供商22收到安全令牌SX时,它的内容被分析,并且,如果确定它对应于由服务提供商22发布的服务上下文SC,服务提供商22可假定对服务(定购CD)的请求是由用户合法进行的。服务提供商22可向认证服务102呈现安全令牌SX,以检查令牌的有效性。然后,认证服务102检查安全令牌SX的完整性,并且验证安全令牌SX的内容。然后,认证服务102发送响应到服务提供商22,该响应指出安全令牌SX是有效的。可替换地,认证服务102可发送数据到服务提供商22,使得服务提供商22本身确定安全令牌SX的完整性和有效性。
然后,服务提供商22确定支付是否需要进行(步骤Q)。如果不要求支付,那么可配送CD。但是,如果要求支付,那么服务提供商22生成支付上下文PC,包括下列字段:
○安全令牌SX
○请求的支付额
当然,可根据情况要求另外的或附加的字段。
支付上下文PC发送到客户应用17(步骤R)。客户应用传送支付上下文PC到交易管理器14(步骤S)。
然后,交易管理器17发送支付上下文PC到网络16的支付服务104(步骤T)。支付上下文PC由支付服务106分析。支付上下文PC中安全令牌SX的出现向支付服务指出这是和安全令牌SX指出的用户相关联的真实的支付请求,并且,然后支付服务咨询用户在网络16的帐户,以确定支付能被授权(这可能取决于用户的信用等级和/或关于网络16的支付历史和/或他们预付额状况),并且,如果适当,通过发布支付令牌PX授权支付(步骤U)。
然后,交易管理器14发送支付令牌PX到客户应用17(步骤V)。接着,客户应用17发送支付令牌PX到服务提供商22(步骤W)。然后,服务提供商22使用支付令牌PX以从网络16的支付服务106获得支付(步骤X)。为这样做,服务提供商22通过链路108发送支付令牌PX到支付服务104。支付服务分析支付令牌PX,并且识别出这是由支付服务向交易管理器14合法发布的支付令牌,然后对用户在网络16的帐户进行适当的调整。
有利地,如果使用者有和服务提供商22相关联的假名,服务提供商22可根据从交易得知的关于用户的任何新的信息来更新那个假名-例如,音乐爱好的改变。
优选地,PC 10和网络16之间的通信加密,如上所述。PC 10内部的和网络16内部的组件之间的通信优选也加密,例如,通过使用共享的密钥。
在上述的方案中,用户只有当他们希望购买CD时才被认证。在可替换方案中,用户可以当他们注册到网站时被认证。然后,服务提供商将得到和那个用户与网站的会话相关的安全令牌SX。当用户希望进行购买时,安全令牌SX发送到认证服务102。认证服务102根据购买的价值,例如,要么验证安全令牌SX,要么要求服务提供商以上述方式通过客户应用17、交易管理器14获得另外的安全令牌。任何涉及那个用户的并且给那个服务提供商22的假名数据,在认证用户之后能提供给服务提供商22。
安全令牌SX可在有限的时间期间是有效的。SIM有利地备有用于精确地确定真实时间的装置-例如,备有抗窜改的内部时钟,由PC10提供的时钟,或来自网络16的时间指示(这将是“可信的”时间)。
用户可用与从服务提供商22获得服务的方式相似的方式从网络16获得网络服务100。也就是说,当服务请求从客户应用17接收时,网络服务提供商100将发布服务上下文SC。安全令牌SC通过交易管理器14在使用SIM 12的认证之后从认证服务102获得。用户对网络服务的支付可用如关于服务提供商22所述的方式进行(通过发布支付上下文PC和生成支付令牌PX)。
还有可能的是,在远程服务提供商22和网络服务提供商100之间提供直接的链路,如链路107所指示的。这将允许网络服务通过向服务提供商22的远程服务请求提供给用户。
为远程服务提供商22从网络服务提供商100获得服务的目的,远程服务提供商22备有唯一的标识符供网络服务提供商100使用。当远程服务提供商22希望代表用户从网络服务提供商100获得网络服务时,该唯一的标识符和对网络服务的请求一起发送到网络服务提供商。然后,网络服务按请求提供,并且,由网络服务提供商100向在网络16的服务提供商22的帐户进行收费。远程服务提供商22将通常希望向用户收取使用相关网络服务的费用(包括远程服务提供商22已引起的花费和由远程服务提供商22提供的任何附加服务的费用),并且,对此的支付,将通过以上述方式发布支付上下文PC和获得支付令牌PX来获得。
上面已经说明,交易管理器14和客户应用17可在除了PC 10的设备中提供-例如,在停车计时器或自动贩卖机或售票中。
使用该系统的另外一个例子将马上描述,这是关于车辆租用的。网络16的用户把他们的DONGLE耦合到在车辆租用公司的办公室的PC 10(或其它的处理设备)。PC 10包括交易管理器14和客户应用17,用于提供对车辆租用服务提供商22的访问。
如果用户有供服务提供商22使用的假名,用户将提供该假名到服务提供商22,服务提供商22然后能够访问涉及来自网络16认证服务102的用户的相关数据。如果用户没有和服务提供商22相关联的假名,使用者在由服务提供商22提示时,提供相关的详细资料,例如用户的名字、地址、他们希望租用的车辆的类型和租用的时间。
然后,服务提供商22创建适当的服务上下文SC,并且发送到客户应用17。交易管理器14接收服务上下文SC并且传送到网络16的认证服务102,以便以上述方式经由交易管理器14通过在认证服务102和SIM 12之间执行的询问和响应过程认证交易之后寻找安全令牌SX。如果SIM 12由网络16的认证服务102认证,安全令牌SX发布到交易管理器14。安全令牌Ss传送到客户应用17,并且,从那里发送到服务提供商22,以认证交易。
通过认证服务102和支付服务104之间的链路105,能从用户在网络16的帐户中保留适当的资金。例如,可保留包括预期的租用费用和可能的存款的资金。
因为租用汽车的总费用可能是未知的(因为它可能取决于用户行进的距离、用户开车的时间量和车辆实际归还的日期),支付上下文PC可能在这个阶段不被服务提供商22发布。
至此,用户已经认证了与车辆租用公司的交易。然后,车辆租用公司将分配一辆汽车。根据该实施例的可选特征,DONGLE可允许使用者进入并驾驶该汽车-也就是说,DONGLE将作为车辆常规钥匙的替代物。这可通过向车辆提供用于认证用户DONGLE上的SIM的装置来实现,或可替换地,可通过向DONGLE提供用于存储车辆租用公司特定的安全性信息的存储单元来进行。该安全性信息由车辆询问,并且,如果验证有效,将允许使用车辆。
不管DONGLE实际上是否用于获得对车辆的进入权和允许车辆被驾驶,通过把DONGLE耦合到车辆,对移动网络16的访问可用常规的方式,使用车辆内置的移动电话收发器来提供。DONGLE到车辆的电信系统的耦合与把用户的SIM插入车辆上提供的固定电话是类似的。如果车辆所在的区域没有被网络16覆盖,在用户的网络16和任何在车辆所处位置是可操作的网络之间存在漫游协议的情形下,仍然能进行电话呼叫。
DONGLE到车辆系统的耦合还可允许车辆租用公司计算用户使用车辆的时间量,并且,车辆租用公司可能希望在此基础上对使用者收费。
当车辆归还到租用公司时,适当的费用由车辆租用公司服务提供商22计算(可能使用来自车辆系统的信息,如上所述),并且生成适当的支付上下文PC并发送到PC 10(可能是与用于发起与车辆租用公司的交易的PC 10不同的PC)上现有的客户应用17。然后,PC 10的交易管理器14接收支付上下文PC并从网络16的支付服务104获得支付令牌PX。该令牌通过交易管理器14和客户应用17传送到服务提供商22,并且,然后,服务提供商22能够收取来自网络16的支付服务104的适当的支付。
在另外的例子中,交易管理器14和客户应用17作为车辆上的电信系统的一部分在车辆中提供。该车辆例如在仪表板常规的位置上包括接纳用户的DONGLE 30的连接器(尽管,当然,无线连接可被可替换地提供)。当用户插入DONGLE 30,对服务提供商22提供的远程服务的访问可使用交易管理器14和客户应用17以关于图6和7所述的方式获得。
因为车辆当然是移动的,客户应用17与远程服务提供商22之间的通信以及交易管理器14与认证服务102与支付服务104之间(或在客户应用17和网络服务100之间)的通信可由无线链路提供,例如通过使用移动或蜂窝式无线电网络,使用已经存在于车辆中的电话接收发器。用于进行这些通信的网络可以是和提供认证和支付服务102与104的网络16同样的,或者可以是不同的网络。
当把DONGLE 30插入车辆的连接器内时,使用者还可能能够以通常的方式进行电话呼叫和接听电话呼叫,好像使用者把它们的SIM卡插入车辆的固定移动电话系统一样。但是,因为交易管理器14和客户应用17是存在的,用户还能够从远程服务提供商22获得其它服务。例如,用户可能希望下载MP3文件格式的音乐到汽车音响系统,或获得导航或交通信息。
上面关于图6和7所述的认证和支付过程可从步骤N开始进行修改。当认证服务102已经接收到服务上下文SC并且已经认证了用户时,对支付服务104的请求然后通过链路105进行,以保留适当的资金。该请求包括安全令牌SX-该令牌允许支付服务104验证该请求。然后,支付服务104发布支付令牌PX。然后,交易管理器14传送支付令牌PX与安全令牌SX到客户应用17。客户应用17发送支付令牌PX与安全令牌SX到服务提供商22。然后,服务提供商22通过链路108发送支付令牌PX到支付服务104,来证实支付令牌PX的有效性,并且通过链路106发送安全令牌SX到认证服务102来证实安全令牌SX的有效性。
作为以上述方式获得用户假名的替换方案,服务提供商22可把安全令牌SX和对与SIM 12和服务提供商22相关联的任何假名的请求一道呈现给认证服务102。认证服务102验证该令牌并且返回适当的假名(或有关的数据)到服务提供商22。
为提高系统的安全性,服务提供商22可能备有证书(共享的密钥),用于对所有的从服务提供商22到认证服务102的请求进行编码。因此,然后,认证服务22能够对做出假名或关联的SIM数据请求的人有一定程度的信任。
服务提供商确信用户或支付被认证,然后,能够配送CD到用户。
为获得支付,服务提供商22可用一种或两种方式进行。
在第一过程中,服务提供商22通过发送包括支付令牌PX(和安全令牌SX)的数据分组到客户应用17来发布支付清除的请求。客户应用17传送支付清除请求到交易管理器14,交易管理器进而又传送支付清除请求(和支付令牌PX)到支付服务104。在该点,支付服务可通过链路105指示认证服务102,以通过与SIM 12交换的询问和响应数据(通过交易管理器14)认证用户,尽管这是可选的步骤。不管怎样,支付服务104检查支付令牌PX和安全令牌SX(包含在同一分组中),并且然后,清除用户在网络16的帐户里的资金。然后,支付服务104发送修改的支付令牌PX1到交易管理器14。交易管理器14通过客户应用17传送修改的支付令牌PX1到服务提供商22。然后,服务提供商22通过与支付服务104的直接链路108能够验证支付令牌。
作为上述过程的可替换方案,服务提供商22可通过发送适当的支付令牌PX经由链路108请求支付服务104进行支付清除。然后,支付服务104验证支付令牌并且清除资金。支付服务104向服务提供商22作出响应,证实支付被清除。
图8到11示出DONGLE配置的其它例子,可和关于图1或6所述的系统一起作为图4所示的第一种配置和图5所示的第二种配置的可替换方案。
图8A到8D示出通常以250指出的DONGLE的第三种配置。DONGLE 250不包括显示器或按钮。DONGLE250通常具有椭圆形的横断面,并且包括通常是矩形的孔252,该孔在其顶端形成,允许通常横断面是矩形的电连接器254从那里出现。孔252被关闭件256关闭,关闭件256的横断面通常是C形,从DONGLE250的顶部沿着每个侧面258延伸,并且围绕放置在中央的枢轴点260转动。DONGLE250的关闭件256和侧面258之间在枢轴点260处的连接使得关闭件256能够围绕枢轴点260旋转,如箭头262所示。
图8C是图8B沿线X-X的横断面,并且示意地示出这样的机构,通过它电连接器254能够在第一位置(如图8A和8B所示,整个连接器254装在DONGLE250的外壳内部)和第二位置(如图8C和8D所示,电连接器254从DONGLE250的外壳伸出)之间移动。用于提供电连接器254的这种移动的机构包含耦合到连接器254的齿条264,和配合的小齿轮266(装配在枢轴点260,小齿轮的齿啮合齿条264)。小齿轮266关于关闭件256固定。关闭件256的旋转引起小齿轮266的旋转,小齿轮266的旋转引起齿条264的线性位移,如箭头268所示。当然,用于可滑动地支持电连接器254和齿条264的机构以本领域的那些技术人员理解的方式提供,并且,这里不再进一步说明或描述。
图9A到9D示出DONGLE的第四种配置。如关于图8A到8D所述的DONGLE的第三种配置,电连接器254在第一位置(如图9A和9B所示,连接器254完全装在DONGLE270的外壳内部)和第二位置(如图9C和9D所示,电连接器254从DONGLE270的外壳延伸)之间是可移动的。但是,在第三种配置中,电连接器254在箭头268方向的线性运动是通过关于DONGLE270的外壳旋转旋钮(knob)272来提供,如箭头274所示。旋钮272第一方向的旋转使得连接器254自DONGLE 270的外壳出现,并且,在相反方向的旋转使得连接器254缩回到DONGLE270的外壳内部。可提供任何用于把旋钮272的旋转运动转变成连接器254的线性运动的适当的机构。例如,可采用在美国专利No.5813421(通过引用结合在此)中描述的用于口红式旋转机构的机构。相关领域的那些技术人员已知其它适当的机构。
DONGLE 270包括显示器248,用于提示用户输入他们的PIN号和/或用于当输入PIN号时显示它。DONGLE 270不是具有一系列按钮(如数字键盘),而是包含数据输入旋钮276,装配在DONGLE上用于如箭头278所示的旋转,并且,用于如箭头280所示关于DONGLE的线性运动。由使用者握住旋钮276,并且按离开DONGLE270外壳的方向拉它(箭头280的方向),来输入PIN号的每个数字。然后,诸如闪烁光标的指示出现在显示器248上,指出PIN号的第一位数字被期待。该数字通过旋转旋钮276来输入(箭头278),显示的数字随着旋钮276的进一步旋转增加数值。当需要的数字在显示器248上出现时,使用者通过以与箭头280相反的方向推旋钮276来证实这是他们希望输入的数字。为输入PIN号的下一位数字,旋钮276再被提起(箭头280),并且正确的数字通过旋转旋钮来选择。需要的数通过以与箭头280相反的方向移动旋钮276使它返回到它的原始位置来输入。重复该过程直到PIN号的所有数字都已经输入。PIN号的每位数字在被输入时将显示在显示器248上。
在DONGLE 270的图9A到9D的实施例中,压电电池282和旋钮280相关联。压电电池282使得通过旋钮276的运动发电。该电能要么可以存储在积分电容器中,要么可以存储在可选电池284中,电池284电耦合到压电电池282。这种方案避免了DONGLE270要有它自己的可替代电源的要求,同时使得DONGLE能在不连到PC 10时被操作。压电电池生成的电荷是暂时的,并且,一段时间之后(例如,五分钟),电荷消失,并且通过旋钮276输入的任何PIN号从DONGLE 270的存储器丢失,并且,以后即使当电源供应时,也不可能被取回。这对DONGLE270提供了附加的安全性特征。当然,如果DONGLE270连接到PC 10,同时电荷仍存在(在上面给出的例子中,输入PIN的五分钟之内),PIN能被验证,并且然后DONGLE能通过连接器254从PC 10获得电能,这就使得上述的认证操作能被进行,尽管来自压电电池282的电能具有暂时的性质。
图10A到10D示出了DONGLE290的第五种配置。在该实施例中,DONGLE290包含主体部分292(电连接器254在固定的位置附到主体292)和可移除的保护套294,当在适当位置时,盖上主体292和连接器254,以保护那些部件,并向DONGLE290提供有吸引力的外观。
在主体292的顶端,环状的旋钮296装配在主体292,用于关于主体292旋转,如箭头298所示。旋钮296包括一系列对DONGLE290的使用者是可见的标记300-例如,每个标记300指示从0到9的不同数字。标记302在外壳292的顶部提供。在该实施例中,使用者的PIN号的第一位数字通过旋转旋钮296输入,直到PIN号的正确数字(以300指出)和标记302对齐。当相关的数字和标记302对齐时,使用者停止旋转旋钮296。当旋钮296停止运动时,旋钮296的位置被DONGLE290记录,这样,PIN号的数字能被检测。PIN号的下一个数字通过按逆时针方向(与箭头298相反)旋转旋钮296直到PIN号相关的数字和标记302对齐来输入。再一次,当旋钮停止旋转时,旋钮的位置被记录,这样,PIN号能被DONGLE290记录。PIN号的下一个数字通过顺时针旋转旋钮296而输入,依次类推,直到PIN号的所有数字被输入。使用旋钮296和标记302输入数据的方式和用于输入保险箱的组合号码是类似的。
DONGLE290还包括可选的数字摄像机304,装配在旋钮296的旋转轴上(但是关于主体292是固定的)。DONGLE290包括处理装置和存储器,用于存储一幅或多幅由摄像机304捕获的图像,并且使得这些图像能够用连接器254传递到PC 10。
图11A到11C示出DONGLE310的第六种配置。DONGLE310包含外壳312,在其一侧有开口314。装在外壳312内部的是耦合部分316,电连接器固定在其上。耦合部分316以如下方式连接到外壳312:耦合部分316绕点线318所指示的轴是可旋转的。
连接到环形连接器244的是环状物320,它提供了方便装置,由此,用于关于外壳312滑动而装配的可滑动部分322,可按箭头324的方向关于外壳312移动。通过齿条和小齿轮或任何其它适当的机构(未示出),滑动部分322按箭头324的方向关于外壳312的运动转化成耦合部分316围绕轴318旋转的运动。耦合部分316在滑动部分322关于外壳312运动时运动通过的不同位置在图11C中由重影线(ghost lines)示出。
当滑动部分322按箭头324方向到达它最大行程时,耦合部分316关于外壳312旋转180°。通过按与箭头324相反的方向滑动滑动部分322,耦合部分316返回到图11A和11B所示的位置。当耦合部分316处于图11A和11B所示的位置时,连接器254由滑动部分322保护。
图8、9、10和11中所示的实施例提供了各种装置,通过这些装置,电连接器254在不需要时可被隐藏和保护。
在图9的实施例中,DONGLE的电源是压电电池282。
相似的电源可在图8、10和11所示的DONGLE里提供,通过图8中DONGLE250的关闭件256的运动、图10中DONGLE290的旋钮296的运动、或图11中滑动部分322的运动来发电。可替换地,或附加地,这些DONGLE可包括可替代电池或可充电电池,当DONGLE 250、280、290、310连接到PC 10时,可以充电。
当描述的DONGLE包括作为USB连接器示出的电连接器254时,应该理解可提供任何其它适当类型的电连接器。例如,连接器254可以是智能卡Smartmedia(商标)设备。可替换地,通过“近场”技术,例如,根据近场通信接口和协议(NFCIP-1),数据和/或电能可在DONGLE和PC 10之间发送。如果采用近场技术,提供可移动的电连接器254将不是必需的。
图8到11的DONGLE可以包括或可以不包括关于图3和4描述的DONGLE接口驱动器36。
图9和10的DONGLE可允许PIN传送到PC 10用于验证,或者,这种验证可在DONGLE内部执行以提高安全性。
当然,如果需要,图8和11的DONGLE可备有PIN输入装置。
Claims (129)
1.一种用于执行通过数据处理装置(10)认证与实体(22)的交易的认证过程的方法,其中,
所述实体(22)产生与交易有关的交易数据,和
至少在认证过程期间,所述数据处理装置(10)操作上使多个认证存储装置(12)中选择的一个与它相关联,所述认证存储装置(12)中的每一个用于存储预定的认证信息,所述认证存储装置(12)可登记到一个公共系统(16),
该方法包含下面的步骤:经由与该系统(16)的通信链路执行认证过程,该认证过程通过包括在所述系统(16)中的认证装置(102)来执行,并且涉及使用所选择的一个认证存储装置(12)存储的预定认证信息和交易数据,
其中,为了认证所述交易,在数据处理装置(10)和所述系统(16)之间通过一个交易管理器(14)传送所述交易数据,所述交易管理器(14)由数据处理装置实现,并且还通过所述交易管理器(14)在该认证存储装置(12)和系统(16)之间传送所述预定认证信息。
2.根据权利要求1的方法,其中,由每个认证存储装置(12)存储的预定认证信息对应于用于认证与该系统(16)相关的那个认证存储装置(12)的使用者的信息。
3.根据权利要求1或2的方法,其中,所述系统(16)是电信系统。
4.根据权利要求3的方法,其中,所述系统(16)是移动和/或蜂窝电信系统。
5.根据权利要求1、2、3或4的方法,其中,每个使用者在所述电信系统中通过使用智能卡或用户身份模块(例如SIM)来认证,并且,其中,相应于那个使用者的认证存储装置(12)对应于或模拟那个使用者的智能卡。
6.根据权利要求5的方法,其中,当所述智能卡或SIM可以在可用于移动和/或蜂窝电信系统的终端中操作时,所述智能卡或SIM认证所述交易。
7.根据权利要求6的方法,其中,所述智能卡或SIM可操作用来在移动和/或蜂窝电信系统中认证所述终端。
8.根据任一前述权利要求的方法,其中,所述交易是一个涉及使用数据处理装置(10)的数据处理功能的交易。
9.根据任一前述权利要求的方法,其中,每个认证存储装置(12)和特定的数据处理装置(10)相关联。
10.根据任一前述权利要求的方法,其中,所述认证存储装置(12)通过和所述数据处理装置(10)使用的数据或软件相关联,来和该数据处理装置(10)相关联。
11.根据权利要求10的方法,其中,所述认证存储装置(12)为了数据或软件而结合在一个数据载体上。
12.根据任一前述权利要求的方法,其中,所述认证过程涉及消息的发送和根据该消息和所述预定信息的响应的生成。
13.根据任一前述权利要求的,包含在认证时对所述交易征收费用的步骤。
14.根据权利要求13的方法,其中,通过所述系统执行所述征收费用的步骤。
15.根据任一前述权利要求的方法,其中,所述数据处理装置是个人计算机(10)。
16.根据任一前述权利要求的方法,其中,所述认证存储装置(12)通过无线通信来认证所述交易。
17.根据任一前述权利要求的方法,其中,还包括操作上耦合所述认证存储装置(12)到一个载体(32)。
18.根据权利要求17的方法,包含操作上耦合所述载体(32)到所述数据处理装置(10)来允许在所述认证存储装置(12)和所述数据处理装置(10)和/或所述系统(16)之间的数据通信。
19.根据权利要求18的方法,其中,所述载体(32)通过无线链路操作上耦合到所述数据处理装置(10)。
20.根据权利要求17到19之一的方法,其中,所述认证存储装置(12)可移除地耦合到所述载体(32)。
21.根据权利要求17到20之一的方法,其中,所述载体(32)控制对所述预定认证信息的访问。
22.根据权利要求21的方法,包含独立于所述数据处理装置(10),使用所述载体(32)来获得安全性数据,并且分析所述安全性数据来确定是否允许访问所述预定信息。
23.根据权利要求22的方法,其中,所述安全性数据由字母数字数据输入装置获得。
24.根据权利要求22或23的方法,其中,所述字母数字数据输入装置包含小键盘(46)。
25.根据权利要求22,23或24的方法,其中,所述安全性数据包含个人识别号码(PIN),并且,所述分析步骤比较由所述安全性数据输入装置获得的所述PIN和存储在所述认证存储装置上的PIN,并且只允许在相应PIN匹配时访问所述预定信息。
26.根据权利要求21到25之一的的方法,包括显示安全性信息。
27.根据权利要求21到26之一的方法,其中,与所述数据处理装置(10)的通信由数据处理模块(36)控制。
28.根据权利要求27的方法,其中,所述载体(32)的所述数据处理模块(36)被配置用于与所述数据处理装置(10)中对应的数据处理模块(38)通信。
29.根据权利要求28的方法,其中,所述认证存储装置(12)和所述数据处理装置(10)之间的通信通过各自的数据处理模块(36,38)来执行。
30.根据权利要求27,28或29的方法,其中,所述载体(32)的所述数据处理模块(36)解密从所述数据处理装置(10)的所述数据处理模块(38)接收的加密数据。
31.根据权利要求27,28,29或30的方法,其中,所述载体(32)的所述数据处理模块(36)加密发送到所述数据处理装置(10)的所述数据处理模块(38)的数据。
32.根据权利要求30和31的方法,其中,所述各自的数据处理模块(36,38)包含用于允许加密和/或解密数据的密钥(40,42)。
33.根据权利要求32的方法,其中,所述密钥(40,42)包含用于每个所述各自的数据处理模块(36、38)的共享秘密密钥。
34.根据权利要求17到33之一的方法,其中,为了分别允许所述认证过程和一个或多个其它认证过程,所述载体(32)操作上耦合到多个认证存储装置(12)。
35.根据权利要求34的方法,其中,通过连接到所述系统(16)的通信链路来执行所述一个或多个其它认证过程。
36.根据前述权利要求之一的方法,包含通过所述交易管理器(14)路由所述认证存储装置(12)和所述系统(16)之间的通信。
37.根据前述权利要求之一的方法,其中,通过所述数据处理装置实现所述交易管理器(14)。
38.根据前述权利要求之一的方法,其中,所述交易管理器(14)检测认证存储装置(12)的操作耦合。
39.根据权利要求36,37或38的方法,其中,所述交易管理器(14)发送与已认证交易有关的数据给与该交易有关的实体(22)。
40.根据权利要求39的方法,其中,所述实体(22)由所述数据处理装置(10)控制。
41.根据权利要求39的方法,其中,所述实体(22)由所述系统(16)控制。
42.根据权利要求39的方法,其中,所述实体(16)独立于所述数据处理装置(10)和/或所述系统(16)。
43.根据权利要求39,40或41的方法,其中,与和该实体的交易相关的数据在所述数据处理装置(10)所提供的应用(17)的控制下提供。
44.根据权利要求1到14或16到43之一的方法,其中,所述实体(22)包含用于响应所述认证提供货物和/或服务的装置。
45.根据权利要求39到44之一的方法,其中,在所述系统(16)的所述认证装置(102)进行的交易认证之后,由所述系统产生一个安全令牌,所述安全令牌包含与已认证交易有关的数据,并且,其中,使所述安全令牌对所述实体是可用的,以便于执行所述交易。
46.根据权利要求45的方法,其中,安全令牌包含与所述实体(22)有关的数据。
47.根据权利要求46的方法,其中,所述安全令牌包含使所述安全令牌只能用于为执行与预定实体的交易而提供便利的数据。
48.根据权利要求47的方法,其中,所述安全令牌包含用于为所述实体获得所述交易支付提供便利的数据。
49.根据前述权利要求之一的方法,其中,所述系统(16)存储关于与所述认证存储装置(12)相关联的系统的使用者的使用者数据。
50.根据权利要求39到49之一的方法,其中,选择性地使所述使用者数据对所述实体(22)可用。
51.根据权利要求50的方法,其中,响应于来自于所述实体(22)的表明该实体已经接收到与所述使用者相关的安全令牌的指示,提供使用者数据。
52.一种数据处理装置(10),其与多个认证存储装置(12)中选择的一个相结合,所述认证存储装置(12)的每一个用于存储预定的认证信息,所述预定认证信息与通过所述数据处理装置(10)执行认证与实体(22)的交易的认证过程有关,所述实体(22)可操作用来产生与所述交易有关的交易数据,并且,所述认证存储装置(12)全部可以登记到一个公共系统(16),当所述认证存储装置(12)操作上与所述数据处理装置(10)相关联时,可经由和那个系统(16)相连的通信链路操作用来执行所述认证过程,所述认证过程通过包含在所述系统(16)中的认证装置(102)来执行,并且涉及到使用所选择的一个认证存储装置(12)中存储的预定认证信息,其中,为了认证所述交易,通过交易管理器(14)在所述数据处理装置(10)和所述系统(16)之间传送交易数据,所述交易管理器由所述数据处理装置(10)实现,并且,所述预定的认证信息还经由交易管理器(14)在所述交易存储装置(12)和所述系统之间传送。
53.根据权利要求52的装置,其中,每个认证存储装置存储的预定认证信息对应于用于认证与所述系统(16)相关的那个认证存储装置(12)的使用者的信息。
54.根据权利要求52或53的装置,其中,所述系统是电信系统(16)。
55.根据权利要求54的装置,其中,所述系统是移动和/或蜂窝电信系统(16)。
56.根据权利要求53、54或55的装置,其中,每个使用者在所述电信系统中通过使用智能卡或用户身份模块(例如SIM)来认证,并且,其中,相应于那个使用者的认证存储装置(12)对应于或模拟那个使用者的智能卡。
57.根据权利要求56的装置,其中,所述智能卡或SIM在可用于移动和/或蜂窝电信系统的终端中可操作用来认证所述交易。
58.根据权利要求57的装置,其中,可操作所述智能卡或SIM来认证移动和/或蜂窝电信系统中的终端。
59.根据权利要求52到54之一的装置,其中,所述交易是涉及使用所述数据处理装置(10)的数据处理功能的交易。
60.根据权利要求52到59之一的装置,其中,所述认证存储装置(12)对所述数据处理装置(10)是特定的。
61.根据权利要求52到60之一的装置,其中,所述认证过程涉及发送一个消息和根据该消息和预定信息产生一个响应。
62.根据权利要求52到60之一的装置,包含在被授权时对交易征收费用的装置。
63.根据权利要求62的装置,其中,征收费用的装置是公共系统(16)的一部分。
64.根据权利要求52到63之一的装置,其中,所述数据处理装置(10)是个人计算机。
65.根据权利要求52到64之一的装置,包含用于使所述认证存储装置(12)能够无线通信以便认证所述交易的装置。
66.根据权利要求52到65之一的装置,其中,为所述认证存储装置(12)提供一个载体(32),并且所述认证存储装置(12)操作上可耦合到所述载体(32)。
67.根据权利要求66的装置,其中,为了允许在所述认证存储装置和所述数据处理装置(10)和/或所述系统(16)之间的数据通信,所述载体(32)操作上可耦合到所述数据处理装置(10)。
68.根据权利要求67的装置,包含允许在所述载体(32)和所述数据处理装置(10)之间的无线通信的装置。
69.根据权利要求66,67或68的装置,包含可移除地耦合所述载体(32)到所述认证存储装置(12)的装置。
70.根据权利要求66到69之一的装置,其中,所述载体(32)包含用于控制访问所述预定认证信息的装置。
71.根据权利要求70的装置,其中,所述载体(32)包含用于独立于所述数据处理装置(10)获得安全性数据的装置(46),和用于分析所述安全性数据来确定是否允许访问所述预定信息的装置。
72.根据权利要求71的装置,其中,所述载体(32)包括用于允许获得安全性数据的字母数字数据(46)输入装置。
73.根据权利要求72的装置,其中,所述字母数字数据输入装置(46)包含小键盘。
74.根据权利要求71,72或73的装置,其中,所述安全性数据包含个人识别号码(PIN),并且,所述分析装置可操作用来比较由所述安全性数据输入装置获得的PIN和存储在所述认证存储装置(12)上的PIN,并且只允许在相应PIN匹配时访问所述预定信息。
75.根据权利要求70到74之一的装置,其中,所述载体(32)包含用于显示安全性信息的装置(48)。
76.根据权利要求70到75之一的装置,其中,所述载体(32)包含用于控制与所述数据处理装置(10)通信的数据处理模块(36)。
77.根据权利要求76的装置,其中,所述载体(32)的数据处理模块(36)被配置用于与所述数据处理装置(10)的相对应的数据处理模块(38)通信。
78.根据权利要求77的装置,其中,所述认证存储装置(12)和所述数据处理装置(10)之间的通信通过各自的数据处理模块(36,38)来执行。
79.根据权利要求76,77或78的装置,其中,所述载体(32)的所述数据处理模块(36)包含用于解密从所述数据处理装置(10)的所述数据处理模块(38)收到的加密数据的装置。
80.根据权利要求76,77,78或79的装置,其中,所述载体(32)的所述数据处理模块(36)加密被发送到所述数据处理装置(70)的所述数据处理模块(38)的数据。
81.根据权利要求79或80的装置,其中,所述各自的数据处理模块包含用于允许加密和/或解密数据的密钥(40,42)。
82.根据权利要求81的装置,其中,所述密钥(40,42)包括用于每个所述各自的数据处理模块(36,38)的共享秘密密钥。
83.根据权利要求66到82之一的装置,其中,为了分别使所述认证过程和一个或多个其它认证过程能够执行,所述载体(32)包含用于操作上将所述载体耦合到多个认证存储装置(12)的装置。
84.根据权利要求83的装置,其中,所述一个或多个其它认证过程通过连接到所述系统(16)的通信链路来执行。
85.根据权利要求52到84之一的装置,其中,经由所述交易管理器(14)路由所述认证存储装置(12)和所述系统(16)之间的数据通信。
86.根据权利要求52到85之一的装置,其中,由所述数据处理装置(10)实现所述交易管理器(14)。
87.根据权利要求52到86之一的装置,其中,所述交易管理器(14)可操作来检测所述认证存储装置(12)操作上到所述数据处理装置(10)的耦合。
88.根据权利要求52到87之一的装置,其中,所述交易管理器(14)可操作来发送与已认证交易有关的数据到与该交易相关的实体(22)。
89.根据权利要求88的装置,其中,所述实体(22)由所述数据处理装置(10)控制。
90.根据权利要求89的装置,其中,所述实体(22)由所述系统(16)控制。
91.根据权利要求89的装置,其中,所述实体(22)独立于所述数据处理(10)装置和/或所述系统(16)。
92.根据权利要求88 89或90的装置,其中,由所述数据处理装置(10)提供应用(17),所述应用控制与交易相关的数据到所述实体(22)的提供。
93.根据52到63或65到92之一的装置,其中,所述实体包含用于响应于所述认证提供货物和/或服务的装置。
94.根据权利要求88到93之一的装置,其中,所述系统(16)包含用于响应于通过所述系统(16)的所述认证装置(102)的交易认证来产生一个安全令牌的装置(102),其中,所述安全令牌包含和所述已认证的交易相关的数据,以便使得在所述安全令牌对所述实体可用时,所述安全令牌便于交易的执行。
95.根据权利要求94的装置,其中,所述安全令牌包含与所述实体(22)有关的数据。
96.根据权利要求95的装置,其中,所述安全令牌包含使所述安全令牌只能用于为与预定实体的交易的执行提供便利的数据。
97.根据权利要求96的装置,其中,所述安全令牌包含用于便于所述实体获得所述交易的支付的数据。
98.根据权利要求52到97之一的装置,其中,所述系统(16)存储关于与所述认证存储装置(12)相关联的系统的使用者的使用者数据。
99.根据权利要求88到98之一的装置,其中,所述系统(16)包含用于选择性地使使用者数据对于所述实体可用的装置。
100.根据权利要求99的装置,其中,使用者数据响应于来自于所述实体的表明该实体已经接收到与所述使用者有关的安全令牌的指示来提供。
101.一种耦合到数据处理装置(10)的设备(32),用于允许涉及使用独立的认证装置(102)的认证过程,所述设备(32)被配置用于提供在所述认证过程中使用的多个可独立激活的认证信息记录,所述认证信息记录登记到包含所述认证装置(102)的系统(16),所述设备(32)响应一个输入消息,并根据所述输入消息和所述激活的认证信息记录导出一个响应,以便使所述认证装置(102)能够在所述系统(16)中通过和认证装置(102)相连的通信链路来执行所述认证过程,从而对交易进行认证。
102.根据权利要求101的设备,包含用于接纳载有所述多个认证信息记录的智能卡或SIM的装置。
103.根据权利要求101的设备,包含用于接纳多个智能卡或SIM的装置,所述多个智能卡或SIM中的每一个载有所述多个认证信息记录中的一个。
104.根据权利要求101的设备,包含用于可释放地耦合一个或多个智能卡或SIM到其上的装置,所述认证信息记录被存储在所述一个或多个智能卡或SIM上。
105.根据权利要求101的设备,包含用于接纳一个或多个智能卡或SIM以及用于永久地耦合所述一个或多个智能卡或SIM到所述设备的装置。
106.根据权利要求101的设备,包含用于存储所述多个可独立激活的认证信息记录的数据存储器。
107.根据权利要求101到106之一的设备,其中,多个认证信息记录可以响应于使用者的输入被有选择地激活。
108.根据权利要求107的设备,其中,所述使用者输入是由开关的激活来提供。
109.根据权利要求101到106之一的设备,其中,多个认证信息记录响应于从所述数据处理设备接收的信号来被有选择地激活。
110.一种用于认证使用者交易的认证系统,所述使用者登记到那个系统以便使得能够认证与另一个系统(22)的交易,所述认证系统包含认证装置(102)和安全令牌产生装置(102),所述认证装置用于响应于来自于用户的认证请求发送认证消息,并用于接收和分析到此的响应来确定接收的响应是否与预期的响应一致从而认证使用者的身份;所述安全令牌产生装置(102)用于产生一个在执行与另一个系统(22)交易中使用的安全令牌。
111.根据权利要求110的系统,其中,所述安全令牌包含指示所述使用者身份的数据。
112.根据权利要求110或111的系统,其中,所述安全令牌包含指示所述交易特性的数据。
113.根据权利要求110、111或112的系统,包含用于接收返回的安全令牌,分析所述返回的安全令牌从而确定它的统一性,以及响应于收到返回的安全令牌来提供服务的装置(102)。
114.权利要求113的系统,其中,所述服务是处理与所述交易相关的支付。
115.根据权利要求110,111,112,113或114的系统,包含一个寄存器,用于存储与使用者相关的数据以便在执行交易时使用。
116.权利要求115的系统,包含响应于来自于所述使用者的请求发送使用者数据的装置。
117.权利要求115的系统,包含用于响应于收到返回的安全令牌发送使用者数据的装置。
118.根据权利要求115,116或117的系统,其中,所述寄存器为每个使用者存储用于多个其它服务中的每一个的独立的数据记录,所述使用者和所述服务执行交易,并且,其中,响应于对使用者数据的请求仅仅提供用于特定服务的使用者数据。
119.在权利要求118从属于权利要求117时,根据权利要求118的系统,其中,分析所述返回的安全令牌来确定它与哪个服务相关,并且,对此进行响应来向那个服务提供用于那个服务的使用者数据。
120.一种用于存储使用者数据的系统,所述的使用者数据在执行与多个服务提供商的交易中使用,其中,为每个使用者存储多个数据记录以便在执行和相应的服务提供商的交易时使用,并且,其中响应于代表那个服务提供商的请求,仅仅使与特定服务提供商相关的一个数据记录可用。
121.根据权利要求120的系统,包含用于代表服务提供商认证对使用者数据的请求的装置。
122.一种在认证和执行客户和产品或服务提供商之间的交易中使用的数据分组,所述数据分组包含指示产品或服务提供商身份的数据以便使得所述数据分组只能用来认证和执行与那个产品或服务提供商的交易。
123.根据权利要求122的数据分组,其中,所述数据分组包含指示客户身份的数据,以便使得所述数据分组只能用来认证和执行与那个客户的交易。
124.一种用于认证在客户和产品或服务提供商之间的交易的认证系统,包含用于产生根据权利要求122或123的数据分组的装置,和用于发送所述数据分组给所述服务提供商的装置。
125.一种为登记到认证系统(16)的多个使用者和多个产品或服务提供商(22)之间的交易提供便利的方法,所述方法包含:
为每个使用者提供存储预定认证信息的认证存储装置(12),每个认证存储装置可耦合到数据处理装置(10)来与它进行数据交换;
响应于使用所述数据处理装置(10)作出的从使用者到产品或服务提供商的请求,产生一个交易请求数据分组,所述交易请求数据分组包含指示所述使用者身份和所述产品或服务提供商(22)身份的数据;
通过所述数据处理装置(10)发送所述交易请求数据分组给所述认证系统(102);
在所述认证系统(102)中分析所述交易请求数据分组,并且从中提取所述使用者的身份;
通过所述数据处理装置(10)从所述认证系统(102)发送认证请求信号给所述使用者的认证存储装置(12);
在所述认证系统(102)中通过所述数据处理装置(10)接收来自于所述使用者的认证存储装置的响应;
参照对那个使用者的所述预定认证信息的认识,在所述认证系统(102)分析所述响应以便确定所述响应是否与预期的响应一致;
产生一个认证令牌并经由所述数据处理装置(10)将它提供给产品或服务提供商(22),所述认证令牌向产品和服务提供商表明所述使用者被所述认证系统(102)认证。
126.权利要求125的方法,其中,所述认证令牌包含向产品或服务提供商表明产生的交易请求数据分组对应于所述认证令牌的数据。
127.根据权利要求125或126的方法,其中,所述认证令牌包含指示所述使用者的数据。
128.根据权利要求125,126或127的方法,包含从所述认证系统(102)中的所述服务提供商(22)接收对支付令牌的请求,包括和它相关的认证令牌,在授权从所述使用者在所述认证系统(102)的帐号支付给所述产品或服务提供商之前,检查所述认证令牌的有效性。
129.一种用于执行认证过程的方法,所述认证过程通过数据处理装置(10)认证多个使用者中的任何一个和实体(22)之间的后继交易,其中:
所述实体(22)产生与所述交易相关的交易数据,以及
在认证过程期间,所述数据处理装置(10)使对应于所述使用者的多个认证存储装置(12)中选择的一个与它在操作上相关联,每个认证存储装置(12)存储预定的认证信息,并且被登记到一个公共的电信系统(16),对于所述的公共电信系统,所述使用者具有各自的电信终端,
所述方法包含下面的步骤:通过连接到所述公共电信系统(16)的通信链路执行所述认证过程,所述认证过程由包含在所述电信系统(16)中的认证装置(102)执行,并且涉及到使用由所选择的一个认证存储装置(12)存储的预定认证信息,由每个认证存储装置(12)存储的所述预定认证信息对应于用来认证与所述电信系统(16)相关的那个使用者的电信终端的信息,但是用于认证那个使用者和所述数据处理装置(10)的交易的认证过程不要求使用那个使用者的电信终端,也不要求所述电信终端被与所述电信系统(16)相关的信息实际认证,
其中,为了认证所述交易,所述交易数据在所述数据处理装置(10)和所述系统(16)之间通过交易管理器(14)传送,所述交易管理器(14)由所述数据处理装置(10)实现,并且所述预定的认证信息也通过所述交易管理器(14)在所述认证存储装置(12)和所述系统(16)之间传送。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0323693.2 | 2003-10-09 | ||
| GB0323693A GB0323693D0 (en) | 2003-10-09 | 2003-10-09 | Facilitating and authenticating transactions |
| GB0323836.7 | 2003-10-10 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1864119A true CN1864119A (zh) | 2006-11-15 |
Family
ID=29433602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200480029588 Pending CN1864119A (zh) | 2003-10-09 | 2004-07-28 | 为交易提供便利和认证 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN1864119A (zh) |
| GB (1) | GB0323693D0 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103116842A (zh) * | 2011-09-09 | 2013-05-22 | 熊楚渝 | 多因子多信道id认证和交易控制及多选项支付系统及方法 |
| CN107111913A (zh) * | 2014-11-12 | 2017-08-29 | U锁(私人)有限公司 | 用于进行安全的信用卡、借记卡和零售卡交易的系统和方法 |
| CN107408253A (zh) * | 2015-01-19 | 2017-11-28 | 加拿大皇家银行 | 电子支付的安全处理 |
-
2003
- 2003-10-09 GB GB0323693A patent/GB0323693D0/en not_active Ceased
-
2004
- 2004-07-28 CN CN 200480029588 patent/CN1864119A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103116842A (zh) * | 2011-09-09 | 2013-05-22 | 熊楚渝 | 多因子多信道id认证和交易控制及多选项支付系统及方法 |
| CN103116842B (zh) * | 2011-09-09 | 2017-11-21 | 熊楚渝 | 多因子多信道id认证和交易控制及多选项支付系统及方法 |
| CN107111913A (zh) * | 2014-11-12 | 2017-08-29 | U锁(私人)有限公司 | 用于进行安全的信用卡、借记卡和零售卡交易的系统和方法 |
| CN107408253A (zh) * | 2015-01-19 | 2017-11-28 | 加拿大皇家银行 | 电子支付的安全处理 |
| CN107408253B (zh) * | 2015-01-19 | 2021-08-06 | 加拿大皇家银行 | 电子支付的安全处理 |
| CN113379401A (zh) * | 2015-01-19 | 2021-09-10 | 加拿大皇家银行 | 电子支付的安全处理 |
| CN113379401B (zh) * | 2015-01-19 | 2024-05-14 | 加拿大皇家银行 | 电子支付的安全处理 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB0323693D0 (en) | 2003-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4511459B2 (ja) | トランザクションの容易化および認証 | |
| CN1266560C (zh) | 数据通信网络中增强的身份识别质量的方法和装置 | |
| CN1726519A (zh) | 为交易提供便利和认证 | |
| CN1265292C (zh) | 电子事务处理系统及其方法 | |
| CN1279498C (zh) | 代码识别方法及系统 | |
| US9485249B2 (en) | User authentication in a mobile telecommunications system | |
| CN1922623A (zh) | 无线钱包 | |
| CN1514635A (zh) | 采用指纹智能终端实现移动电子商务的方法及智能手机 | |
| EP2701415A1 (en) | Mobile electronic device and use thereof for electronic transactions | |
| CN1908981A (zh) | 用于物理销售点交易的无线计算机钱包 | |
| CN101034449A (zh) | 实现电子支付的方法、系统及移动终端 | |
| CN1575580A (zh) | 数据通信网络浏览的可移植性和隐私 | |
| CN1579079A (zh) | 数据通信网络中的身份识别方面的增强隐私保护 | |
| CN1579080A (zh) | 数据通信网络上分布资源的用户访问控制 | |
| CN1689361A (zh) | 涉及防篡改身份模块的稳健灵活的数字权限管理 | |
| CN1897027A (zh) | 使用移动装置的认证服务 | |
| CN1347537A (zh) | 安全网络购物系统及方法 | |
| JP2005228157A (ja) | 決済方法、決済用端末、プログラムおよび記録媒体 | |
| CN1882963A (zh) | 交易验证系统 | |
| TW201101779A (en) | Electronic wallet certification scheme and the method thereof | |
| CN1864119A (zh) | 为交易提供便利和认证 | |
| Cervera | Analysis of j2me for developing mobile payment systems | |
| JP2008123069A (ja) | 携帯端末間通信を用いた振込システム,方法,第1の金融機関サーバ,第2の金融機関サーバおよびプログラム | |
| JP6720380B2 (ja) | 情報処理システム、情報処理方法、及びプログラム | |
| KR101195541B1 (ko) | 모바일 결제를 위한 휴대단말기 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20061115 |