电子事务处理系统及其方法

专利名称：电子事务处理系统及其方法
本申请是1998年4月27日申请的美国申请No.09/067,176的继续部分申请，而申请09/067，176又是1996年12月4日申请的美国申请No.08/759,555(即现在的美国专利No.5,917,913)的继续。
为提高用户的账户的安全性，电子事务处理系统通常要求用户提供标识数据以验证他自己为经授权的用户以认可所提出的事务处理。如果用户提供所要求的标识数据失败，则不能批准所提出的事务处理，因此不能进行处理。可以每次都要求标识数据。例如，自动销售网点系统可能要求用户认可购买事务处理，并且如果认可该事务处理的人已经提供了将他自己验证为经授权来执行该认可的人的足够的识别数据则仅要求他接收认可消息。可替换的是，在开始会话时可以通过用户输入标识数据以验证他自己并使用户随后能够执行任何数量的事务处理而不需要进一步的验证。
在已有技术中，通常要求用户手动地给电子事务处理系统输入标识数据以进行验证。通常，标识数据的输入包括在数字小键盘或键盘上键入口令。然后将标识数据与先前存储在电子事务处理系统中的数据进行比较，在相匹配时满足验证。如前文所述，如果不匹配则不允许继续进行所提出的事务处理。
虽然已有的电子事务处理系统提供了某些保护措施以防止未经授权的存取和使用用户的账户，但是存在缺陷。为说明与已有技术的电子事务处理系统相关的某些缺陷，在此参考附

图1。附图1所示为自动柜员机(ATM)100，代表电子事务处理系统102的请求设备。电子事务处理系统102例如可以包括包含有先前存储了标识数据和用户106的账户数据的中央数据库104。
为开始与ATM100的典型的事务处理，用户106首先将数据卡107(比如银行卡或信用卡)插入到卡读取器109中。数据卡107通常包括磁条，该磁条包含了账号和与该用户相关的其它的信息，然后通过卡读取器109读取这些信息。存储在数据卡107中的数据使电子事务处理系统102确定在数据库104中用户106的哪个账户希望进行商业交易。
通过在ATM100上的小键盘108，用户106可以输入他的标识数据例如他的个人识别号码(PIN)以验证他自己。如果所输入的标识数据与存储在数据库104中的通过数据卡107所识别的账户相关的标识数据相匹配，则验证用户合法并授权存取他的账户。如果不相匹配，则验证失败。在验证之后，用户106例如可以应用小键盘108和屏幕110的组合以从他的账户中提取现金，从ATM100中发放现金并从他在数据库104中的账户中相应地减去差额。
在理论上，输入到ATM100中的标识数据应该安全。在实际中，在已有技术的验证技术中存在许多可能的对标识数据的安全性危险。由于在输入到ATM100之前不对标识数据进行加密，因此未加密的标识数据易于被未经授权地访问并获取。在已有技术中对标识数据进行加密不实际，因为执行加密或记忆经加密的标识数据对用户来说太复杂和/或不方便。例如，在已有技术中，如果在输入时不经意地被别人例如在用户106旁边的另一人在屏幕110或更可能的是在键盘108上看见，则可能会未经授权地获取标识数据。
即使在已有技术中例如在从ATM100传输到数据库104之前对标识数据进行加密，则加密通常发生在ATM100内，但仍然要求从用户106输入非经加密的标识数据，标识数据在ATM100中仍然存在一定的持续时间。如果未经授权的一方能够获取进入ATM100并截获在其中非经加密的标识数据，例如通过在ATM100中实施的软件或硬件，未经授权地对标识数据的访问仍然可能会发生。
此外，如果在ATM100内实施公用密钥加密技术，在ATM100内的用户的私有密钥的存储使得它的私有密钥易于被窃取，进一步存在暴露用户的账户的危险。被窃取的口令和/或私有密钥可能被用于允许未经授权的人存取用户的账户而给用户造成损失。
考虑到前述的问题，需要一种理想的装置和方法来实施与电子事务处理系统进行事务处理，同时基本消除对用户账户的未经授权地访问和未经授权地取得用户的标识数据的危险。可取的是，这种装置应该是易于携带以允许用户在任何地方方便且舒服地执行事务处理验证。
在另一实施例中，本发明涉及一种完成事务处理请求的方法，这种事务处理请求属于在具有服务器和请求设备的电子网络上实施的电子事务处理。该方法包括从在请求设备上的服务器中接收包括可执行的部分的事务处理程序。该方法也包括从在请求设备上的用户中接收事务处理认可数据，其中事务处理程序的可执行部分包括第一组代码，这第一组代码被构造成对事务处理认可数据进行加密。也包括应用第一组代码对事务处理认可数据进行加密。进一步包括应用事务处理程序将经加密的事务处理认可数据发送到服务器以完成电子事务处理。
在再一实施例中，本发明涉及一种完成事务处理请求的方法，这种事务处理请求属于在具有服务器和请求设备的电子网络上实施的电子事务处理。该方法包括从在请求设备上的服务器中接收包括可执行的部分的事务处理程序。该方法也包括为与请求终端相关的事务处理认可设备的搜索、应用可执行的部分。如果检测到事务处理认可设备，则该方法包括应用事务处理认可设备来认可事务处理请求。如果没有检测到事务处理认可设备，则该方法也包括应用与请求设备相关的输入设备来认可事务处理请求。此外该方法还包括应用请求设备将认可的事务处理请求发送给服务器以完成电子事务处理。所认可的事务处理请求表示用户通过事务处理认可设备和输入设备中至少一种设备认可了事务处理请求。
通过下文的详细描述和对附图中的不同附图的研究，本发明的这些优点和其它的优点都会清楚。
附图2所示为根据本发明的一种实施例的便携式电子授权设备(PEAD)，它代表一种安全地认可与电子事务处理系统实施的事务处理的装置。
附图3A所示为在本发明的一种实施例中的附图2的PEAD的简化示意图。
附图3B所示为在本发明的一种实施例中的代表事务处理认可数据的格式。
附图4所示为根据本发明的一种实施例PEAD的逻辑方块示意图。
附图5A所示为根据本发明的一种实施例PEAD的高等级的硬件的实施方式。
附图5B所示为PEAD的一种实施方式，其中在IC中实施PEAD电路。
附图5C所示为附图5B的PEAD嵌入在卡状外壳中之后的外部视图。
附图6A所示为根据本发明的一种优选实施例的PEAD的外部视图。
附图6B所示为根据本发明的一方面实施附图6A的PEAD的硬件的简化方式。
附图7A-B所示为根据本发明的某些方面说明实施本发明的PEAD的认可技术的流程图。
附图8所示为根据本发明的一方面说明在应用公用密钥加密技术加密事务处理认可数据中所包括的步骤的流程图。
附图9A-B所示为包括事务处理认可设备的实例性电子事务处理系统，为便于讨论本发明的其它方面，应用事务处理程序以实现电子事务处理。
附图10所示为根据本发明的一种实施例计算机实施的过程的实例性流程图，该过程允许所下载的事务处理程序在请求设备上完成电子事务处理。
附图11所示为实例性事务处理请求以便于讨论。
端口204可以代表红外端口以便于与PEAD 200进行红外通信。可替换的是，端口204可以表示无线端口以有利于无线通信。端口204甚至可以代表触点型连接端口，比如具有电触点以直接将PEAD 200插入到端口204中以有利于通信的磁性读/写机构或插塞。对于在本领域的熟练技术人员来说在请求设备202和PEAD 200之间进行通信的其它的技术是易于理解的。
然后用户可以在请求设备202的屏幕208上或可选择地在PEAD200的显示屏(在附图2中没有示出)上检查属于所提出的事务处理的数据。如果用户认可事务处理，例如，购买给定金额的物品，然后用户可以通过启动在PEAD 200上的开关210表示这种认可，这使得可以以用户标识数据产生认可消息、加密并经过通路212发送回请求设备202。如果没有认可事务处理，用户可以简单地不做任何事情并在经过了一定时间后使事务处理请求超时，或者可以启动在PEAD200上的另一开关(在附图1中没有示出)，这就通过通路212将经加密的或非加密的拒绝消息发送回请求设备202。
本发明不同于附图1的已有技术，在附图1中的已有技术中要求用户给电子事务处理系统例如ATM100输入他的标识数据以验证他自己。相反，本发明将与用户安全相关的标识数据一直保存在PEAD200中。在PEAD 200进行事务处理认可，并在发送给电子事务处理系统例如在附图2中的请求设备202之前再次在这种PEAD 200中对表示这种认可的数据进行加密。
因此，即使截获认可数据，他的加密仍然可以防止未经授权的用户使用标识数据用于非法目的。如果使用公用密钥加密技术来对认可数据进行加密，用户的私有密钥也总是保持在PEAD 200内。由于要求用户的私有密钥进行加密并且其它的人不知道，即使对于在一个实施例中的电子事务处理系统，如果截获了加密的认可数据，他对未经授权的第三方仍然是无用的，即使使用用户的公用密钥可以对私有密钥进行解密。此外，这不同于已有技术的验证技术，在这种技术中在电子事务处理系统中进行加密并且要求输入标识数据和/或从ID卡(比如ATM卡、信用卡等)中读取用户的私有密钥。如前文所述，由于已有技术中的电子事务处理系统要求这种标识数据和/或用户的私有密钥的事实将这些数据暴露在危险之中，例如，如果请求设备不安全或对通过软件或硬件进行数据截获开放。
作为另一不同之处，本发明应用便携式电子授权设备(PEAD)内的电路来执行认可和对在PEAD本身内的事务处理认可数据进行加密。相反，已有技术的数据卡基本是无源设备。例如，已有技术的ATM卡或信用卡仅具有磁条以存储账户信息，并且不需要任何设备来执行对事务处理认可数据的认可和/或加密。虽然目前正在研究之中的智能卡或IC卡可以包含电子电路，其电流标准的实施仍然需要一个与请求设备相关的读取器以读出标识数据和/或用户的私有密钥以便请求设备执行任何认可和/或加密。如前文所述，在将这些数据发送到请求设备的过程中不必将这些数据暴露在被窃取和/或未经授权的截获的危险之中。
还应该特别注意的是虽然在本说明书中为便于理解并强调本发明的特定方面讨论了公用密钥加密技术，但是整个发明并不限于任何特定的加密算法，而是应用任何常规的加密技术都可以实施，包括公用密钥加密算法比如RSA、Diffie-Hellman或其它的离散的算法系统、椭圆曲线系统等。关于某些公用密钥加密技术的其它信息，例如可以参考IEEE P1363(Working Draft dated August 22，1996，从IEEEStandards Dept.345 East 7thStreet，New York，New York 10017-2349中可得到)。
如上文所述，在已有技术中事务处理认可发生在电子事务处理系统中。相反，本发明允许事务处理认可发生在PEAD 200内。事务处理认可全部发生在PEAD 200内的事实提供了许多优点。例如，在一种实施例中这种特征消除了在认可设备中需要标识数据和/或用户的私有密钥。事务处理认可全部发生在PEAD 200内的事实(应用总是安全地存放在PEAD 200内的用户的标识数据和/或用户的私有加密密钥)实质上提高了用户的标识数据和用户的私有密钥的保密性以及事务处理认可过程的整体性。
由于认可全部发生在PEAD 200内，因此用于验证事务处理的用户的标识数据可以更加复杂和精心设计以确保更加安全。举例来说，用户标识数据可以比简单的口令更加精心地设计并且可以包括用户的名字、他的生日、他的社会安全号或其它的唯一的生物测定或唯一的标识数据比如指纹、DNA编码序列、声纹等。相反，由于更加精心设计的标识数据可能记忆起来太困难或手动输入太麻烦，因此已有的验证技术限制用户标识数据为简单的模式，例如少数几个字符的简单口令，这种口令易于被用户记忆。此外，即使复杂的ID数据可以存储在已有技术的数据卡中，仍然要求将它读入到电子事务处理系统的请求设备中，一旦读取它，就再次将这种数据暴露在被窃取或截获的危险之中。
还可以提供其它的安全措施(下文将更加详细地讨论)以防止电子地或通过物理手段访问PEAD 200内的用户的标识数据和/或用户的私有密钥。由于标识数据和/或用户的私有密钥从未暴露过，因此实质上使这些数据的安全性危险最小。
附图3A所示为在本发明的一种实施例中包括开关210的附图2的PEAD 200的简化的示意图。提供数据通路206以从电子事务处理系统接收事务处理请求，提供数据通路212以将事务处理认可数据发送回电子事务处理系统。应该特别注意的是虽然为了便于理解在此仅仅讨论两个数据通路，但是在一种实施例中这些数据通路和其它的数据通路都可以代表逻辑数据通路并且可以通过单个的物理数据连接实施。同样地，在一种实施例中为便于理解在此的不同的端口可以代表逻辑数据端口，而在实际中可以应用单个的物理端口实施。
在事务处理请求(例如从ATM机提取200.00美元的事务处理)通过数据通路206发送到PEAD 200，通过加密逻辑300接收这种事务处理。在这一点上，例如通过PEAD 200和/或电子事务处理系统所提供的显示屏或声音输出，用户可以检查所提出的事务处理，并选择认可或不认可所提出的事务处理。如果用户认可该事务处理，在一种实施例中他可以启动开关210，该开关产生事务处理认可数据，然后在通过通路212发送回电子事务处理系统之前通过加密逻辑300进行加密。
注意，在事务处理认可过程中应用的用户标识数据块302并不直接耦合到通路206和212。换句话说，存储用户标识数据的存储器希望与PEAD 200的输入和输出端口去耦合以防止对其直接存取。
如果希望对用户标识数据302进行存取，例如认可事务处理，则可以仅通过加密逻辑块300进行存取。同样地，不可能直接存取存储用户的私有密钥的存储器部分304。如果希望存取用户的私有密钥304，例如加密事务处理认可数据，则可以仅通过加密逻辑块300进行存取。应该特别注意的是虽然所示的用户标识302和用户的私有密钥304都存储在不同的存储器部分中，但是这种实例仅是为了便于理解的目的，在一种实施例中这两种数据实际上存储在相同的存储器模块的不同的地址上。
在某些情况下，事务处理认可数据要求包括标识数据302的某些部分。例如，嵌入在来自电子事务处理系统的事务处理请求中的事务处理可以在进行加密之前附加上表示“电子签名”的数据并再次发送回电子事务处理系统。附图3B所示为在一种实施例中有代表性的事务处理认可数据350的格式。参考附图3B，事务处理数据352表示从电子事务处理系统所接收的一部分或整个事务处理请求，并在其上附加一定的用户标识数据354和可选择的时间标记356。如果用户已经认可了事务处理请求则仅形成事务处理认可数据350。一旦附加了数据，则在发送回电子事务处理系统之前对事务处理认可数据350进行加密。
在某些情况下，理想的是在发送到PEAD之前对事务处理请求进行加密以进一步提高安全性。例如，某些事务处理方(例如供应方或在计算机网络上的其它用户)可能希望对在事务处理请求内的这些信息保密并且可能优选在将其提供给PEAD之前对事务处理请求进行加密。例如，在将用户标识数据和用户的私有密钥首次写入到银行PEAD中以构造对给定用户唯一的PEAD时，数据加密也是理想的。与用户标识数据和用户的私有密钥有关的配置数据必须通过PEAD 200的发行者一次写入到PEAD 200中，并且优选对其进行加密以使它们更不易被窃取。PEAD 200的发行者例如代表信用卡发行者、政府或用户通过它们开设账户的任何其它的机构。
附图4所示为根据本发明的一种实施例的附图2的PEAD 200的示意图。附图4的PEAD 200进一步应用加密逻辑以接收经加密的配置数据和可选择的经加密的事务处理请求。在附图4中，设置加密逻辑300、用户的私有密钥304和数据通路206和212，基本具有如参考附图3A所讨论的功能。
事务处理请求通常是不加密的，即以参考附图3A所讨论的方式接收并处理它们。然而，对于高度敏感的事务处理，可以对事务处理请求进行加密并通过数据通路206发送给PEAD 200并输入到解密逻辑402以进行解密。如果应用公用密钥加密技术，则通过事务处理方公用密钥404对经加密的事务处理请求进行解密。
一旦解密，然后给用户显示事务处理请求以便认可。如果认可的话，例如响应开关210的启动，则通过通路406可以将事务处理请求数据提供给加密逻辑300以进行加密。如果应用公用密钥加密技术则优选以用户的私有密钥304执行加密，然后通过数据通路212将经加密的事务处理认可数据发送回电子事务处理系统。
由于配置数据通常包括敏感的用户标识数据和用户的私有密钥，因此通常在通过数据通路408发送给PEAD 200之前进行加密。通过解密逻辑402接收经加密的配置数据并在被写入到用户标识数据块410和用户的私有密钥块304之前进行解密。如果应用公用密钥加密技术，则在发送之前通过在电子事务处理系统中的发行者的私有密钥对经加密的配置数据进行加密，并且一旦被PEAD 200接收则通过发行者公用密钥412进行解密。
注意一旦对配置数据进行解密并写入到用户标识数据块410和用户的私有密钥304中，则随后只能由加密逻辑300存取用户标识数据和用户的私有密钥。还要注意的是从任何I/O数据通路(例如数据通路206，212或408)到用户标识数据块410以及用户的私有密钥块304都不存在直接连接。有利的是，敏感的用户标识数据和用户的私有密钥一旦写入到相应的块410和304(在一种实施方式中简单地表示为在PEAD 200的存储器中的存储器块)中之后不易于从外部存取。
此外，用户标识数据和用户的私有密钥不能被那些具有发行者的私有密钥的人更新。如附图4所示，在通过解密逻辑402以发行者公用密钥412对数据进行解密之后只能将其写入到用户的私有密钥块304和用户标识块410中。因此，除非应用发行者的私有密钥(假设为高度安全)已经对所更新的配置数据进行了加密，否则不能对所更新的配置数据进行解密并将其写入到相应的块304和410中。当然，如果在块304和410中的配置数据不能被物理地更新，例如应用只能写一次的存储器比如PROM(可编程的只读存储器)、WORM(写一次、读多次)等存储它们，则基本可不用考虑与未经授权地改变配置数据相关的安全性。
如果希望更高等级的安全性，则在将用户的私有密钥写入到用户的私有密钥块304之前通过可选择的加密器/破密器逻辑413可选择地对用户的私有密钥进行置乱或随机化。在一种实施例中加密器/破密器逻辑413可以接收用户的私有密钥，通过发行PEAD 200的机构将这种用户的私有密钥提供给用户，并对它进行置乱和/或随机化以产生另一用户的私有密钥和相应的用户公用密钥。然后将这种置乱的/随机化的用户的私有密钥存储在用户的私有密钥块304中，现在这种私有密钥甚至对于PEAD 200的发行者也是未知的，并使相应的用户的公用密钥对于发行者和/或事务处理认可数据方是可知以有利事务处理。有利的是，除了在用户的私有密钥块304中以外的任何地方不存在这种置乱的/随机化的用户的私有密钥的其它的副本。
在一种变型实施例中，可以应用可选择的密钥产生逻辑414，这种密钥产生逻辑414响应来自发行机构的请求本身产生用户的私有密钥和用户的公用密钥，即不首先要求从发行机构接收用户的私有密钥并随机化它。然后将所产生的用户的私有密钥存储在私有密钥块304中，并使公用密钥对于发行机构和/或事务处理方公知以有利于事务处理。通过这种方式，在PEAD本身之外都不存在不管是否随机化的用户的私有密钥的任何版本。正如本领域的普通技术人员可理解的是，使用产生逻辑414可以进一步提高用户的私有密钥的保密性。
附图5A所示为根据本发明的一种实施例PEAD 200的较高等级的硬件的实施方式。如附图5A所示，PEAD 200包括逻辑电路502以实施附图2的加密逻辑300和附图4的可选择的解密逻辑402，这种逻辑电路502可以代表中央处理单元比如微处理器或微控制器、离散逻辑、可编程逻辑、专用集成电路(ASIC)等。
程序/数据存储器504存储运行PEAD 200的代码以及用户标识数据和用户的私有密钥。程序/数据存储器504优选应用如下形式的非易失存储器(NVM)实施例如快速存储器、电可编程序只读存储器(EPROM)、电可擦可编程序只读存贮器(EPPROM)等。临时存储器506起便笺式存储器的作用以用于计算的目的并用于临时存储数据，并且可以以如下形式的随机存取存储器(RAM)实施比如在本领域中公知的静态RAM或动态RAM。可替换的是，还可以使用光学存储器、磁性存储器或其它类型的存储器来实施程序/数据存储器504和/或临时存储器506。
总线508将程序/数据存储器504和临时存储器506与逻辑电路502耦合。通信端口510表示在PEAD 200和电子事务处理系统之间的通信连接器，并且可以应用红外技术、无线RF技术、磁性读/写头、用于串行或并行数据传输的触点型插塞等实施。在一种实施例中通信端口也可以代表PC卡端口(本领域的普通技术人员公知的PCMCLA卡)。数据通路206给逻辑电路502输入事务处理请求，而数据通路212从逻辑电路502给电子事务处理系统输出事务处理认可数据。在附图4中已经描述的可选择的数据通路408给PEAD 200输入配置数据以将用户标识数据和用户的私有密钥写入到程序/数据存储器504中以唯一地将PEAD 200配置给特定的用户。
还要注意的是，在此可以仅通过逻辑电路502对程序/数据存储器504和数据(例如用户标识数据和用户的私有密钥)进行存取。例如，如果以发行者的私有密钥已经正确地对用户标识数据和用户的私有密钥进行加密则将这种数据仅写入到程序/数据存储器504中。在适当的软件和/或固件的控制下通过逻辑电路502也可以对为写入到这些存储器块中而进行的存取进行限制。
类似地，读取用户标识数据和存取用户的私有密钥仅可以通过逻辑电路502的加密逻辑完成。本发明在安全性方面的优点参考附图3A和4已经讨论过，最重要的一点是优选不直接从外部对敏感的用户标识数据和用户的私有密钥进行存取。因此，应用本发明的设计极大地提高了这些数据项的保密性和安全性。
也可以提供某些类型的电源比如电池。如果PEAD 200以单片设计实施，即在附图5A中所示的所有部件基本上都制造在单个电路片上，则电源是在电路片本身之外。如果应用触点型通信，例如如果PEAD 200必须插在电子事务处理系统中以实施事务处理，则在插上时必须应用在整个PEAD之外的电源来进行事务处理认可，由此消除了与具有板上的电池的便携式事务处理装置相关的尺寸、重量和成本的损失。
在一种实施例中，PEAD 200可以应用通用便携式计算机装置实施，比如任何类型的微型便携式计算机、个人数字助理(PDA)或当前流行的便携式电话。PDA(例如Apple Newton或3COM的PalmVII)可以用于实施PEAD 200。此外，便携式电话比如Nokia7110Media Phone、Ericsson R280 SmartPhone或Motorola i1000 plus都可以用于实施PEAD 200。在这种情况下，可以理解的是便携式装置比如PDA、Media Phone或SmartPhone本身都是通过无线网络与远程电子事务处理系统进行通信的请求设备。PEAD的功能可以嵌入到这种便携式请求设备中。
附图5B所示为PEAD的一种实施方式，其中在IC上实施电路。在附图5B中，与在附图5A中的部件具有相同参考标号的部件具有类似的功能。参考附图5A已经描述的数据通路408、206和212耦合到串行I/O电路520，这有利于在PEAD 200和电子事务处理系统之间的数据通路522上以串行的方式进行数据传输和接收。还示出了给附图5B的PEAD 200提供功率的Vcc管脚524和接地管脚526。
附图5C所示为附图5B的PEAD的外部视图，它是为便于携带嵌入在卡状的外壳中并插入在电子事务处理系统的串行I/O端口中之后的情况。卡550嵌入了实施本发明的PEAD的集成电路，在一种实施例中它包括四个外部触点。外部串行触点552和554分别传输数据和接地以有利于与电子事务处理系统的串行设备进行串行通信。也示出了外部Vcc触点524和外部接地触点526，如结合附图5A所讨论，这两个触点给PEAD输送功率。在卡550插入到电子事务处理系统时，通过外部触点524和526供电，由此启动在其中的PEAD电路以通过外部串行触点552和554接收事务处理请求，如果正确的话在PEAD内认可请求，在PEAD电路内对事务处理认可数据进行加密以及通过外部串行触点552和554将经加密的事务处理认可数据与电子事务处理系统进行串行通信。
附图6A所示为根据本发明的一种优选实施例的PEAD的外部视图。附图6A的PEAD 200优选以小型独立外壳的形式实施，它足够坚固以便日常在野外使用。可取的是，附图6A的PEAD 200足够小以便用户能够总是方便地携带，例如作为能够容易地放置在钱包或皮夹中的小包或钥匙链附件。可取的是这样设置PEAD 200的物理封装以使能够防止篡改数据内容(即，如果以未经授权的方式打开它则破坏用户的私有密钥和/或用户标识数据或PEAD将不再能够认可事务处理)。例如，将封装设置为，如果打开它，则改变在电流通路中的电流，例如中断已有的电流或在已经没有电流的电流通路中开始流动。然后电流的变化使电路复位，包括擦除在存储器中的私有密钥。
还示出了用于相对电子事务处理系统接收并发送数据的红外通信端口602。小型的接通/切断开关604允许用户切断PEAD以在不使用时保存功率。认可按钮606允许用户表示对所提出的事务处理的认可。可选择的跳转按钮608允许用户指示对特定的事务处理的拒绝。跳转按钮608可以省去，因为在一种实施例中如果在接收请求之后的给定的时间周期内没有启动认可按钮606则将事务处理请求理解为不认可。
可选择的显示器610可以应用任何类型的显示技术比如液晶技术实施。除了别的以外，显示器610显示所提出的要认可的事务处理。如果需要的话可以省去显示器610，在这种情况下例如在与电子事务处理系统本身相关的显示器上看事务处理或通过在PEAD上的声音输出。可选择的用户验证机构612防止PEAD 200被用于认可事务处理，除非用户能够向PEAD 200证实他本身是合法的经授权的用户。在PEAD 200启动并用于认可事务处理之前，可选择的用户验证机构612可以要求用户输入口令、提供指纹或声纹或其它的生物测定和/或经授权的用户特定的识别特征。PEAD 200可以内置在便携式电话中以使端口602能够是无线通信和/或红外端口，显示器610可以是在便携式电话上的显示器，按钮606和608是在便携式电话键盘上的按键。
例如，用户验证机构612可以是Fingerchip FC5A140，它是Thomson-CSF of Totowa，New Jersy生产的热硅指纹传感器。由于手指本身的热量产生了对指纹进行成像所需的一切因此不需要光源，因此这种实施方式十分紧凑。在这种实施例中，用户能够证实他/她自己合法并通过PEAD将他/她的手指简单地出现或掠过传感器606来认可事务处理，由此使认可按钮606是可选择的。作为另一实例，机构612可以是FPS110，它是Veridicom 0f Santa Clara，California生产的电容性硅指纹传感器。
附图6B为根据本发明的一方面以简单的方式示出了实施附图6A的PEAD 200的硬件。电池652提供输送给PEAD 200的电路的功率。微控制器654执行存储在快速存储器656中的代码，并将随机存取存储器658用于这种执行过程。在一种实施例中，微控制器654、快速存储器656以及甚至随机存取存储器658都可以以单片实施，例如Motorola Inc.of Schaumburg，Illinois生产的NC68HC05SCXX系列芯片比如NC68HC05SC28或Infineon Technologies of San Jose，California生产的SLE22，44和66系列的安全控制器比如SLE66CX320S。认可按钮606和可选择的跳转按钮608耦合到微控制器654以允许用户指示对应用显示电路660显示的特定事务处理的拒绝或认可。通过红外收发器662在微控制器654的控制下完成与电子事务处理系统的通信。电源开关664允许用户在不使用时切断PEAD200以保存功率并防止意外的认可。
附图7A所示为根据本发明的一方面应用本发明的PEAD的认可技术的流程图。在步骤702中，在PEAD中从与电子事务处理系统相关的请求设备中接收事务处理请求。在步骤704中，用户选择认可或不认可所提出的事务处理。如果不认可，例如通过启动PEAD的跳转按钮或简单地使请求超时，则将什么事也不做。
在另一方面，如果用户认可所提出的事务处理，则用户启动认可按钮以产生事务处理认可数据。然后在步骤708中在PEAD中对事务处理认可数据进行加密。在步骤710中，在经加密之后将经加密的事务处理认可数据发送给电子事务处理系统的请求设备。
附图7B所示为根据本发明的另一方面应用本发明PEAD的认可技术的流程图。在步骤752中，在代理服务器中从与电子事务处理系统相关的请求设备中接收事务处理请求。在步骤754中，用户选择认可或不认可在PEAD中所提出的事务处理。如果不认可，例如通过启动PEAD的跳转按钮或简单地使请求超时，则将什么事也不做。
在另一方面，如果用户认可所提出的事务处理，则用户启动认可按钮以产生事务处理认可数据。然后在步骤758中对事务处理认可数据进行加密，这既可以在PEAD内或在代理服务器上或在两者中进行。在步骤760中，在经加密之后将经加密的事务处理认可数据发送给电子事务处理系统的请求设备。
附图8所示为根据本发明的一方面包括在应用公用密钥加密技术加密事务处理认可数据的过程中的步骤的流程图。在步骤802中，产生事务处理认可数据包。如前文结合附图3B所讨论，通过给一部分或全部的事务处理请求附加上任何所需的用户标识数据可以产生事务处理认可数据。可选择的是，在其中还可以附加上时间标记。在步骤804中，应用用户的私有密钥对事务处理认可数据进行加密，这种用户的私有密钥优选总是安全地保存在PEAD中。此后，将经加密的事务处理认可数据发送回电子事务处理系统。
根据本发明的一方面，应该认识到，即使经加密的事务处理认可数据被第三方截获并通过分析解密，它仍然不可能避开本发明的安全特征，只要用户的私有密钥或用户的标识数据是安全的。如前文所述，由于用户的标识数据不可能从外部存取，因此它总是安全地保存在PEAD内。这与已有技术不同，在已有技术中要求用户在电子事务处理系统上输入标识数据(例如口令)，这就存在暴露这种敏感数据的危险。
即使泄露了用户的标识数据，仍然不能进行事务处理认可，除非他拥有用户的私有密钥。由于事务处理对方(例如请求事务处理认可的销售商)将不接收没有应用用户的私有密钥加密的任何事务处理认可数据，因此截获经加密的事务处理认可数据甚至某人应用用户的公用密钥能够解密它也是无用的。此外，由于私有密钥不能从外部存取，因此它总是安全地保存在PEAD内。本发明的这方面在执行在线事务处理方面具有很大的优点，因为用户的私有密钥不再存储在工作站中的易受攻击的计算机文件中，这种计算机文件可被其它人访问并且难以连同其它的验证任务一起方便地装载。
PEAD以小型便携式外壳的方式实施的事实使得用户总是能够方便且舒服地保持携带PEAD。即使PEAD在物理上被偷窃，然而，可选择的用户验证机构(例如附图6A的用户验证机构612)提供了附加等级的保护并使PEAD对于除了正确验证的用户以外的其它人都无用。当然，如果PEAD被偷窃或丢失的话用户总是通知PEAD的发行者，发行者可以通知事务处理对方以拒绝应用被偷窃的PEAD的用户的私有密钥加密的任何事务处理认可数据。
事务处理认可数据包括时间标记、销售商名称、认可数量以及其它的相关数据的事实也提高了事务处理认可过程的整体性。如果销售商给发行者无意地或有意地提交多个事务处理认可，则发行者也能够从这些数据项中识别这些提交是副本并忽略任何副本事务处理认可数据。例如，发行者可以认识到用户不可能在相同的饭店在一给定的时间和日期购买多份相同的正餐。
应该注意的是，虽然上文的讨论集中在事务处理认可上，但是对于本领域的普通人员显然的是，PEAD可以用于实施与电子事务处理系统的任何类型的事务处理，可取的是从用户发送到电子事务处理系统的数据任何时候都是安全的。例如，PEAD可以用于登录进入高度敏感的计算机系统或设备。在如此实施时，PEAD与其进行通信的计算机终端可以装备红外端口、磁性读取端口或与PEAD进行通信的触点型插塞。然后用户可以应用PEAD来执行任何类型的在线验证任务。
作为进一步的实例，PEAD可以用于签署用于验证目的的任何计算机文件(例如验证日期或用户)。然后连同要验证的文件一起存储事务处理认可数据以备将来参考。注意，事务处理验证数据仍然是防止篡改的，因为没有应用用户的私有密钥加密的任何事务处理验证数据都将不认为是可信的。此外，显然的是，如果PEAD用于仅认可预定的事务处理，则将事务处理数据预先存储在PEAD内，并且不需要通过PEAD从外部接收。
在另一实施例中，本发明涉及在电子事务处理系统内实施电子事务处理以确信保密性、验证、整体性和非否认的技术。可以看到成功的电子事务处理(例如那些在计算机网络比如因特网上实施的电子事务处理)具有四个主要的条件保密性、验证、整体性和非否认。在已有技术中，保密性通常通过应用加密技术加密在用户的计算机和远程服务器之间的数据来解决。由NetScape Corp.Of Mountain View，California所采用的一种加密技术包括使用Security Socket Layer(加密套接字协议层，SSL)，这种SSL实质上利用在开放的网络上点对点通信的加密技术(例如公用密钥加密技术)。
虽然象SSL一样的加密技术在一定程度上确保了事务处理的传输是安全的，但是仍然没有验证实际实施该事务处理的人的身份的机构(即存在验证缺陷)。例如，如果未经授权的人在解开合法的用户的口令之后应用合法的用户的计算机(该计算机可能采用SSL)来实施事务处理由此损害合法用户的利益，在实施事务处理的过程中或在完成该事务处理之后不存在确定实施事务处理的人是未经授权的人还是合法的用户的机构。即使合法用户本人实施了该事务处理，该验证缺陷仍然使得保证非否认是不可能的，因为对于供应商来说难以证明谁是真正实施事务处理的合法用户。此外，虽然应用安全的传输设备比如SSL进行传输相对较安全，但是在所传输的数据(比如在合同或采购单中的项目)在接收端被人解密之后很容易被修改。
根据本发明的一方面，提供一种实施电子事务处理的软件实施的技术以便能够更好地满足前述的要求。在一种实施例中，在此所提出的电子事务处理技术应用事务处理程序(TP)，这种事务处理程序一般是可以从服务器中下载到请求设备(例如设备202)并在请求设备上执行以实施电子事务处理的程序或小程序。例如，可以使用如下的计算机语言比如由Sun Mimcrosystems Inc.Of Mountain View，California的Java，Microsfot Corp.Of Redmond，Washington的ActiveX或Uniwired Planet，Inc.Of Redwood City，California的HDML(手持式设备置标语言)，但是在此所提出的电子事务处理技术也可以通过任何其它适合的计算机语言实施。
一旦下载了，可以以任何适合的方式构造TP以便执行，可取的是构造为独立的程序或作为插入到因特网浏览器(例如，分别由前述的NetScape Corp.、Microsoft Corp.和Phone.com，Inc.开发的NetScape，Internet Explorer或Microbrowser)中的插件。
为便于讨论本发明的这方面的优点和特征，附图9A描述了包括服务器902、网络904和请求设备906的电子事务处理网络900。还示出了事务处理认可设备比如PEAD 908。如前文所述，请求设备906可以代表允许用户与电子事务处理系统进行商务处理的任何类型的设备。可取的是，以通过网络904能够与服务器902进行通信的适合的计算机终端来实施请求设备，网络904可以代表LAN、WAN或因特网。计算机终端本身例如可以是台式计算机、便携式设备、手持式设备或者包括那些能够实施Windows、Macintosh、Unix平台或能够支持浏览器程序的设备。如果请求设备是便携式设备或手持式设备，则PEAD 908可以嵌入到请求设备906中。此外，在请求设备906和服务器902之间的通信链接可以是如在附图9B中所示的无线通信链接。
根据本发明的一种实施例，为实施电子事务处理，事务处理程序(TP)优选从供应商或服务提供商的服务器902中下载到请求设备906(附图10的步骤1002)。TP可以包括可执行的部分以及与事务处理相关的数据以用于用户的输入、认可和/或验证。
例如，如果事务处理包含购买设备，则TP可以下载属于型号、价格等的数据。附图11描述了购买设备的一个实例性事务处理请求。作为另一实例，如果事务处理包含购买或销售有价证券(比如股票或债券)，则连同属于要办理的有价证券的数据一起下载TP。当然，事务处理请求可以与任何类型的事务处理相关，包括那些不涉及用于商品或服务的现金或信用的交易的事务处理(比如文件的传送)。
反过来，TP优选从用户接收用户的数据(例如，用户的标识数据，所提出的事务处理所需的任何数据比如地址信息、数量信息、尺寸信息、支付方法、信用卡号、账号等)和认可事务处理的指示。
应该理解的是，根据要进行的事务处理的特点可以改变要下载的特定的数据。同样地，通过TP从用户接收的数据也可以随不同的应用而变化。在某些情况下，如果用户已经在过去给供应商提供了某些请求数据(比如用户的地址)，则TP可以不再询问相同的数据或者可以简单地将已经提供的数据呈现给用户以确认和/或可能的编辑。
TP的可执行的部分优选包括代码以自动地检测事务处理认可设备(比如前述的PEAD、智能卡设备、信用卡读取器等)的存在，以使TP能够应用事务处理认可设备来完成事务处理(附图10的步骤1004)。例如，可以构造下载代码以搜索用户的计算机来检测事务处理认可设备是否已经安装或者使用用户的计算机通信端口来查询是否存在可能在用户的计算机的外部的事务处理认可设备。如果PEAD嵌入在便携式请求设备中，则在便携式请求设备中执行PEAD检测。
TP的可执行部分也包括通过适合的输入设备获得用户的验证标识的代码。例如，TP可以获得用户的签名、用户的面部图像、指纹、声纹、通过组织取样获取的NDA代码序列或其它的唯一生物测定或其它的唯一标识数据。所获得的用户的标识有利于非否认，即它有利于识别实施事务处理的人的身份以改善欺诈检测或可以使否认能力最小。当然某些标识数据已经存在于PEAD中，并且如果从PEAD中获得这种标识数据，则所获得的标识可以至少指示在请求设备上执行事务处理的人也已经访问了PEAD。
然而，应该理解的是，不需要每次都下载某些或所有的可执行部分，而是只需要一次将它下载到请求设备中以便随后使用。当然，TP的可执行部分是可下载的(可取的是连用要认可的事务处理一同可下载)的事实极大地简化了启动电子事务处理的任务，即使在更新事务处理认可设备时(例如应用新技术)，或者在给请求设备安装新的事务处理认可设备时，在事务处理认可设备和请求设备之间的通信协议改变。在这些情况下，连同事务处理自动地或者一旦用户请求时可以将包含适合于更新的/新的事务处理设备的更新的代码和/或协议的TP下载到请求设备中以启动电子事务处理。
为了便于讨论，假设请求设备(例如用户的计算机)是启动的PEAD。在这种情况下，一旦它已经检测到存在这种设备，则根据所讨论的技术TP可以与PEAD进行通信以获得认可数据、验证数据和/或任何其它所需的用户提供的信息(附图10的步骤1006)。例如，TP可以应用在请求设备中的通信端口以与PEAD进行通信。由于任何所需的用户验证和用户提供的数据都可以存储在PEAD中，因此用户的认可、验证和/或其它的用户提供的数据都可以通过PEAD进行加密并发送回请求设备，在请求设备中TP可以应用这种数据以响应事务处理请求，包括将从PEAD中所接收的部分或全部的加密的数据发送回服务器(附图10的步骤1008)。
从前文的描述中可以理解，使用PEAD结合TP来确保电子事务处理保密，因为在PEAD和/或TP中的加密设备使传输安全。此外，由于通过应用在PEAD内的标识数据(例如前述的唯一生物测定或唯一的标识数据比如指纹、DNA代码序列、声纹等)可以验证用户，因此可以更加安全地验证电子事务处理。
同样地，如果以另一事务处理认可设备比如智能卡读取器或信用卡读取器等启动请求设备，则TP可以请求用户应用所提供的事务处理认可设备(例如，通过将智能卡或信用卡或其它的类似的装置插入到所提供的事务处理认可设备中)单独地或结合其它的数据输入技术(例如，点击在屏幕上所出现的选择、键入、语音输入等)进行认可、验证和/或提供所请求的数据以完成所请求的事务处理数据。
在另一方面，如果应用事务处理认可设备没有启动请求设备，则用户可能仍然通过常规地应用前述的任一数据输入技术进行验证、认可和/或提供所请求的数据来继续事务处理(附图10的步骤1006)。可取地(但不是必需地)，TP然后例如应用公用密钥转录系统形成和/或加密所输入的数据以将事务处理数据发送回服务器以完成事务处理(附图10的步骤1008)。在这种方式中，TP是与可能没有配备事务处理认可设备的请求设备向后兼容的。
注意在优选实施例中由于给所下载的TP赋予了加密功能，即在本实施例中加密代码包括在所下载的代码中，因此可以不需要通用的加密设备(比如前述的SSL)用于安全传输。这样，仍然可以确保与请求设备的向后兼容，即使该请求设备没有装备安全的传输设备(例如前述的SSL)，同时保证传输的保密性。在另一方面，如果请求设备具有通用的加密设备(例如前述的SSL)，则不要求存在TP的加密代码。当然，也可以应用TP的加密设备和通用的加密设备(例如前述的SSL)一起来加密以加密传输到服务器的数据。
然而，应该注意的是，以这种方式实施事务处理可能比以事务处理认可设备比如PEAD所实施的事务处理的安全性更小，因为提供商不能验证或核对用户的身份。因为这个缘故，可能就不能确保非否认，因为怀疑用户可以后来否认所实施的事务处理。同时，数据整体性可能更加不安全，因为在远程服务器上一旦接收之后就可以修改事务处理数据。
本发明的另一实施方式直接针对服务预定事务处理。在这种实施方式中，PEAD在所有的相同的设备中都可以执行服务预定、事务处理和服务授权。例如，PEAD能够通过无线网络和因特网执行旅馆预定并通过给由PEAD所执行的电子签名提供信用信息完成事务处理。一旦旅馆确认该事务处理，旅馆就能够将包括旅馆的房间号等的服务信息以及经加密的电子房间钥匙通过因特网和无线网络发送给PEAD。在用户到达旅馆时，他不需要排队等待办理登记手续，而是可以直接到房间并使用PEAD预先存储的旅馆电子钥匙打开房间的门。PEAD用户也能够使用PEAD通过无线网络和因特网订购房间服务。在用户暂住的最后，他还可以通过PEAD办理结帐手续并通过无线网络和因特网接收电子发票/收据。例如，用户可以在到机场赶飞机的同时办理结帐离店手续。
类似地，PEAD可以通过无线网络和因特网执行机票预定。一旦应用PEAD完成事务处理，航空公司可以通过因特网和无线网络将加密的电子机票发送给PEAD。在PEAD用户到达机场时，在通过安全检查之后，他可以使用PEAD预定的电子机票通过无线网络和因特网通知入口柜台计算机他是机票的主人以便直接登机。
类似地，通过无线网络和因特网PEAD可以用于预定戏票并接收经加密的电子戏票和服务信息。PEAD可以用于出租汽车预定、钥匙拾得服务，甚至通过装备的因特网控制的点火系统启动汽车以及汽车返回服务。
或者，超市可以通过因特网和无线网络给PEAD发布电子赠券。在用户在超市购物时，他可以通过无线网络和因特网在销售点柜台上出示赠券。
一种优选的实施例使用因特网启动的蜂窝电话(例如网络电话)、无线PDA或无线双向寻呼机以实施PEAD来实施上述的应用。下文的描述使用因特网启动的蜂窝电话作为实施方式的实例，在本领域的普通人员将会理解的是相同或类似的方法可以用于无线PDA和双向寻呼机。因特网启动的蜂窝电话(网络电话)能够通过无线网络与因特网进行通信。例如，当前的SprintPCS提供了使用NeoPoint1000网络电话的因特网电话服务。网络电话可以通过无线网关访问因特网，并且可以通过无线网络和因特网与旅馆的因特网预定系统联系。软件和/或固件控制在网络电话中运行的PEAD的功能称为eSignX Agent(或简称为xAgent)。xAgent是在用户的控制之下与旅馆的预定事务处理系统联系。该预定事务处理过程包括(1)发出预定请求的网络电话(PEAD)(可选择的是，应用销售商公用密钥[在此所给定的实例中，销售商是旅馆，因此它是旅馆的公用密钥或它的执照]对请求进行加密；可选择的是使用用户的私有密钥来签署请求)；(2)销售商承认服务的可行性和成本(可选择的是，应用用户的公用密钥和旅馆的私有密钥对这种消息进行加密)；(3)一旦用户认可事务处理，网络电话发出与信用信息一致并通过用户的私有密钥签署的事务处理(可选择的是，以销售商的公用密钥进行加密)；(4)一旦销售商确认事务处理，销售商发出服务信息以及服务授权权标(在旅馆预定实例中该权标可以是电子房间钥匙，在机票预定和戏票预定实例中该权标可以是电子票，或者该权标可以是超市赠券等。可选择的是，通过用户的公用密钥和销售商的私有密钥对该权标进行加密)；(5)在实施服务时，通过无线网络和因特网在服务点(例如，旅馆房间的门、机场登机门或剧院入口、超市结帐柜台或出租车等)上给出服务授权权标；(6)如果在服务点上服务授权权标已经生效(例如，应用销售商的公用密钥成功地对权标解密)，则销售商可以批准该服务(例如，打开旅馆的房间、允许在机场入口通道登机、允许进入剧院、对交易量进行打折、汽车发动机点火，等)。
在另一实施例中，称为销售点事务处理，PEAD通过无线网络和因特网执行销售点事务处理。在将来，销售点终端可以通过内部网络系统或通过拨号电话线、DSL、ADSL或电缆调制解调器等访问因特网。PEAD可以用于销售点事务处理设备。在销售点结帐柜台，销售点终端可以扫描商品条形码并产生事务处理信息以及产生唯一的事务处理号(例如，该号码包含商店号+柜台号+事务处理记录号)或销售点终端的唯一的ID(例如，电话号)以给PEAD的用户以输入到PEAD(例如网络电话)。用户可以使用在PEAD上的小键盘输入销售点终端的唯一的ID或使用内置在PEAD中的变型输入装置比如条形码扫描器或OCR读取器以扫描销售点终端的唯一的ID。也可以通过在PEAD上的键盘或扫描器给PEAD输入商品条形码号并从PEAD产生事务处理信息，而不从销售点终端中产生事务处理信息。然后，PEAD能够使用这种唯一的事务处理号或销售点终端的唯一ID来通过无线网络和因特网与销售网点系统建立通信链接以实施事务处理。或者，用户可以给销售点柜台唯一的PEAD ID(例如，蜂窝电话号)以输入到销售点终端，或者销售商可以使用扫描器(例如条形码扫描器或OCR扫描器)以扫描以条形码和/或人可读取的格式附着在PEAD的外壳上的PEAD ID以通过因特网和无线网络与PEAD建立通信链接以实施事务处理。这种识别过程(或链接过程)可以通过本地无线端口(例如红外端口或Bluetooth(短距离无线RF)端口)自动地进行。可替换的是，PEAD可以配备有GPS系统，根据GPS几何位置PEAD可以自动地搜索最近的销售点终端，并通过使用将销售点终端的位置接近度映射到销售点终端的唯一的ID的位置ID映射表自动地建立链接。一旦在PEAD和销售点终端之间建立了链接，则PEAD可以显示包括价格、项目等的事务处理信息，并且如果用户同意支付，则他按下认可按钮以批准该事务处理。在下列文献中也描述了使用PEAD的用户认可过程和事务处理过程美国申请No.09/067,176和现在为美国专利No.5,917,913的美国申请No.08/759,555。
在本发明的一方面，如果销售点终端也具有短距离无线通信能力比如Bluetooth和红外通信端口，则通过PEAD的Bluetooth端口或红外端口使用相同的方法可以本地地实施所描述的事务处理。
通过使用远程语音启动或按钮音服务器还可以使用普通的蜂窝电话，这种普通的蜂窝电话不必具有执行上述的服务预定事务处理和销售点事务处理的网络能力。例如，这称为代理服务器。除了代理服务器不必是便携式以外它与在网络电话中的PEAD的功能完全相同。它通过已有的电话网络与最终用户连接的已有的语音启动或按钮音运行。一旦用户在代理服务器中注册了xAgent，则普通蜂窝电话最终用户可以享受与网络电话用户相同的功能。例如，最终用户可以使用普通蜂窝电话拨号到代理服务器以通过语音启动接口或按钮音接口输入他的xAgent口令来启动他自己的xAent。一旦启动了xAgent，则他能够预定旅馆房间、订票、在销售点柜台通过代理服务器付帐，就象他运行在网络电话上一样。例如，最终用户可以预定旅馆房间，一旦xAgent从用户的蜂窝电话中获得认可，则在代理服务器上运行的xAgent可以交换预先存储在xAgent中的信用信息并签署事务处理。旅馆可以与给PEADA一样地给在代理服务器中的xAgent发送电子房间钥匙。在最终用户到达旅馆时，他能够通过因特网拨打代理服务器的号码以请求启动存储在xAgent中的电子房间钥匙以打开门。类似地，可以通过网络电话实施的所有其他的应用也可以通过普通的蜂窝电话加上在代理服务器中的远程运行的xAgent实施。
从书面的描述中可以清楚地看出本发明的许多特征和优点，因此，通过附加的权利要求希望覆盖本发明的所有这些特征和优点。此外，由于在本领域的普通人员很容易产生许多改型和变化，因此并不希望将本发明限制到所示的和所描述的具体的结构和操作中。因此，所有的适合的改型和等效方案都落在本发明的范围内。
权利要求
1.一种应用电子服务授权权标认可在电子事务处理系统和用户所携带的便携式电子授权设备之间的事务处理请求的方法，包括如下的步骤在便携式电子授权设备接收表示事务处理请求的第一数字数据；给用户提供关于认可事务处理请求的能力的信息；以及在用户认可事务处理请求时，在便携式电子授权设备中接收表示电子服务授权权标的第二数字数据。
2.权利要求1所述的方法，其中电子服务授权权标可以是如下之一电子旅馆房间钥匙、电子机票、电子戏票、电子汽车钥匙和电子赠券。
3.权利要求1所述的方法，其中通过权标发行者的私有密钥可以对电子服务授权权标进行加密。
4.权利要求3所述的方法，其中权标发行者可以是如下之一旅馆、航空公司、电影院、超市、汽车租赁服务商和销售商。
5.权利要求1所述的方法，其中通过与便携式电子授权设备相关的无线通信端口执行在便携式电子授权设备中接收表示电子服务授权权标的第二数字数据。
6.一种应用电子服务授权权标认可与电子事务处理系统的事务处理请求的便携式电子授权设备，包括在便携式电子授权设备中被构造成接收表示事务处理请求的第一数字数据的接收器；被构造成给用户提供关于认可事务处理请求的能力的信息的显示器；以及其中接收器被进一步构造成在用户认可事务处理请求时，接收器被构造成接收表示电子服务授权权标的第二数字数据。
7.权利要求6所述的便携式电子授权设备，其中电子服务授权权标可以是如下之一电子旅馆房间钥匙、电子机票、电子戏票、电子汽车钥匙和电子赠券。
8.权利要求6所述的便携式电子授权设备，其中通过权标发行者的私有密钥可以对电子服务授权权标进行加密。
9.权利要求8所述的便携式电子授权设备，其中权标发行者可以是如下之一旅馆、航空公司、电影院、超市、汽车租赁服务商和销售商。
10.权利要求6所述的便携式电子授权设备，其中接收器是无线接收器。
11.权利要求6所述的便携式电子授权设备，其中便携式电子授权设备是蜂窝电话。
12.权利要求6所述的便携式电子授权设备，其中便携式电子授权设备是双向寻呼机。
13.权利要求6所述的便携式电子授权设备，其中便携式电子授权设备是无线设备。
14.权利要求6所述的便携式电子授权设备，其中电子事务处理系统是服务预定系统。
15.权利要求6所述的便携式电子授权设备，其中电子事务处理系统是销售网点系统。
16.权利要求6所述的便携式电子授权设备，其中电子事务处理系统是订票系统。
17.权利要求6所述的便携式电子授权设备，其中便携式电子授权设备是因特网启动的蜂窝电话。
18.一种应用电子服务授权权标在电子事务处理系统和用户所携带的便携式电子授权设备之间提供服务的方法，包括如下的步骤在便携式电子授权设备上给电子事务处理系统发送表示服务授权权标的第一数字数据；在电子事务处理系统中使表示服务授权权标的第一数字数据生效；以及如果表示服务授权权标的第一数字数据有效则在电子事务处理系统中授权服务。
19.权利要求18所述的方法，其中电子服务授权权标可以是如下之一电子旅馆房间钥匙、电子机票、电子戏票、电子汽车钥匙和电子赠券。
20.权利要求18所述的方法，其中通过权标发行者的私有密钥可以对电子服务授权权标进行加密。
21.权利要求18所述的方法，其中生效步骤包括应用权标发行者的公用密钥对表示服务授权权标的第一数字数据进行解密。
22.权利要求20所述的方法，其中权标发行者可以是如下之一旅馆、航空公司、电影院、超市、汽车租赁服务商和销售商。
23.权利要求18所述的方法，其中通过与便携式电子授权设备相关的无线通信端口执行发送电子服务授权权标。
24.权利要求18所述的方法，其中授权步骤包括如下服务之一打开旅馆房间、许可进入剧院、登机、给交易额打折、发动汽车。
25.一种通过远程代理服务器应用电子服务授权权标认可在电子事务处理系统和用户所携带的便携式电子授权设备之间的事务处理请求的方法，包括如下的步骤在远程代理服务器上接收表示事务处理请求的第一数字数据；在远程代理服务器上通过便携式电子授权设备给用户提供关于认可事务处理请求的能力的信息；以及在用户认可事务处理请求时，在远程代理服务器上接收表示电子服务授权权标的第二数字数据。
26.权利要求25所述的方法，其中电子服务授权权标可以是如下之一电子旅馆房间钥匙、电子机票、电子戏票、电子汽车钥匙和电子赠券。
27.权利要求25所述的方法，其中通过权标发行者的私有密钥可以对电子服务授权权标进行加密。
28.权利要求27所述的方法，其中权标发行者可以是如下之一旅馆、航空公司、电影院、超市、汽车租赁服务商和销售商。
29.权利要求25所述的方法，其中通过因特网执行在远程代理服务器上接收表示电子服务授权权标的第二数字数据。
30.权利要求25所述的方法，其中通过便携式电子授权设备在远程代理服务器上提供信息的步骤包括将表示事务处理请求的第一数字数据转换为声频格式。
31.权利要求25所述的方法，其中便携式电子授权设备是蜂窝电话。
32.权利要求25所述的方法，其中用户认可事务处理请求的步骤包括通过便携式电子授权设备给远程代理服务器输入口令。
33.一种通过远程代理服务器应用电子服务授权权标认可与电子事务处理系统的事务处理请求的便携式电子授权设备，包括在远程代理服务器中被构造成接收表示事务处理请求的第一数字数据的因特网连接；在便携式电子授权设备中被构造成从远程代理服务器中接收关于认可事务处理请求的能力的信息并将其提供给用户的接收器；以及其中进一步构造因特网连接以使在用户认可事务处理请求时，因特网连接被构造成接收表示电子服务授权权标的第二数字数据。
34.权利要求33所述的便携式电子授权设备，其中电子服务授权权标可以是如下之一电子旅馆房间钥匙、电子机票、电子戏票、电子汽车钥匙和电子赠券。
35.权利要求33所述的便携式电子授权设备，其中通过权标发行者的私有密钥可以对电子服务授权权标进行加密。
36.权利要求35所述的便携式电子授权设备，其中权标发行者可以是如下之一旅馆、航空公司、电影院、超市、汽车租赁服务商和销售商。
37.权利要求33所述的便携式电子授权设备，其中接收器是无线接收器。
38.权利要求33所述的便携式电子授权设备，其中便携式电子授权设备是蜂窝电话。
39.权利要求33所述的便携式电子授权设备，其中便携式电子授权设备是双向寻呼机。
40.权利要求33所述的便携式电子授权设备，其中便携式电子授权设备是无线设备。
41.权利要求33所述的便携式电子授权设备，其中电子事务处理系统是服务预定系统。
42.权利要求33所述的便携式电子授权设备，其中电子事务处理系统是销售网点系统。
43.权利要求33所述的便携式电子授权设备，其中电子事务处理系统是订票系统。
44.权利要求33所述的便携式电子授权设备，其中便携式电子授权设备是因特网启动的蜂窝电话。
45.一种通过远程代理服务器应用电子服务授权权标在电子事务处理系统和用户所携带的便携式电子授权设备之间提供服务的方法，包括如下的步骤通过便携式电子授权设备启动远程代理服务器；在远程代理服务器上给电子事务处理系统发送表示服务授权权标的第一数字数据；在电子事务处理系统中使表示服务授权权标的第一数字数据生效；以及如果表示服务授权权标的第一数字数据有效则在电子事务处理系统上授权服务。
46.权利要求45所述的方法，其中电子服务授权权标可以是如下之一电子旅馆房间钥匙、电子机票、电子戏票、电子汽车钥匙和电子赠券。
47.权利要求45所述的方法，其中通过权标发行者的私有密钥可以对电子服务授权权标进行加密。
48.权利要求45所述的方法，其中启动步骤包括通过便携式电子授权设备给远程代理服务器输入口令。
49.权利要求45所述的方法，其中生效步骤包括应用权标发行者的公用密钥对表示服务授权权标的第一数字数据进行解密。
50.权利要求47所述的方法，其中权标发行者可以是如下之一旅馆、航空公司、电影院、超市、汽车租赁服务商和销售商。
51.权利要求45所述的方法，其中通过因特网执行发送电子服务授权权标。
52.权利要求45所述的方法，其中授权步骤包括如下服务之一打开旅馆房间、许可进入剧院、登机、给交易额打折、发动汽车。
53.一种认可在电子销售点事务处理系统和用户所携带的便携式电子授权设备之间的事务处理请求的方法，包括如下的步骤在销售点位置的便携式电子授权设备上接收表示事务处理请求的第一数字数据；给用户提供关于认可事务处理请求的能力的信息；在用户认可事务处理请求时，将事务处理认可数据加密为表示用户认可在销售点位置购买该物品的第二数字数据；以及将第二数字数据发送给电子事务处理系统以认可与电子事务处理系统的事务处理请求。
54.权利要求53所述的方法，其中应用公用密钥加密技术执行对认可数据的加密。
55.权利要求53所述的方法，其中接收步骤包括通过无线网络和因特网在便携式电子授权设备和电子销售点事务处理系统之间建立通信链接。
56.权利要求55所述的方法，其中建立通信链接步骤包括给便携式电子授权设备输入电子销售点事务处理系统的唯一的ID。
57.权利要求56所述的方法，其中输入唯一的ID步骤包括使用便携式电子授权设备的键盘输入电子销售点事务处理系统的唯一的ID。
58.权利要求56所述的方法，其中输入唯一的ID步骤包括使用便携式电子授权设备的扫描器输入电子销售点事务处理系统的唯一的ID。
59.权利要求55所述的方法，其中建立通信链接步骤包括给电子销售点事务处理系统输入便携式电子授权设备的唯一的ID。
60.权利要求59所述的方法，其中输入唯一的ID步骤包括使用电子销售点事务处理系统的键盘输入便携式电子授权设备的唯一的ID。
61.权利要求59所述的方法，其中输入唯一的ID步骤包括使用电子销售点事务处理系统的扫描器输入便携式电子授权设备的唯一的ID。
62.权利要求55所述的方法，其中建立通信链接步骤包括通过使用便携式电子授权设备的GPS自动地识别电子销售点事务处理系统的位置的接近度。
63.权利要求59所述的方法，其中便携式电子授权设备的唯一的ID是蜂窝电话号码。
64.权利要求53所述的方法，其中接收步骤包括通过红外线在便携式电子授权设备和电子销售点事务处理系统之间建立通信链接。
65.权利要求53所述的方法，其中接收步骤包括通过短距离RF在便携式电子授权设备和电子销售点事务处理系统之间建立通信链接。
66.一种认可与电子销售点事务处理系统的事务处理请求的便携式电子授权设备，包括在便携式电子授权设备中被构造成接收表示事务处理请求的第一数字数据的接收器；被构造成给用户提供关于认可事务处理请求的能力的信息的显示器；在用户认可事务处理请求时，便携式电子授权设备被构造成将事务处理认可数据加密为表示用户认可在销售点位置购买该物品的第二数字数据；以及将第二数字数据发送给电子事务处理系统以认可与电子事务处理系统的事务处理请求的发射器。
67.一种通过远程代理服务器认可在电子销售点事务处理系统和用户所携带的便携式电子授权设备之间的事务处理请求的方法，包括如下的步骤在销售点位置上的远程代理服务器上接收表示事务处理请求的第一数字数据；在远程代理服务器上通过便携式电子授权设备给用户提供关于认可事务处理请求的能力的信息；在用户通过便携式电子授权设备认可事务处理请求时，在远程代理服务器上将事务处理认可数据加密为表示用户认可在销售点位置购买该物品的第二数字数据；以及在远程代理服务器上将第二数字数据发送给电子事务处理系统以认可与电子事务处理系统的事务处理请求。
68.权利要求67所述的方法，其中应用公用密钥加密技术执行加密认可数据。
69.权利要求67所述的方法，其中接收步骤包括通过无线网络和因特网在便携式电子授权设备和电子销售点事务处理系统之间建立通信链接。
70.权利要求69所述的方法，其中建立通信链接步骤包括给便携式电子授权设备输入电子销售点事务处理系统的唯一的ID。
71.权利要求70所述的方法，其中输入唯一的ID步骤包括使用便携式电子授权设备的键盘输入电子销售点事务处理系统的唯一的ID。
72.权利要求69所述的方法，其中建立通信链接步骤包括给电子销售点事务处理系统输入便携式电子授权设备的唯一的ID。
73.权利要求72所述的方法，其中输入唯一的ID步骤包括使用电子销售点事务处理系统的键盘输入便携式电子授权设备的唯一的ID。
74.权利要求72所述的方法，其中输入唯一的ID步骤包括使用电子销售点事务处理系统的扫描器输入便携式电子授权设备的唯一的ID。
75.权利要求72所述的方法，其中便携式电子授权设备的唯一的ID是蜂窝电话号码。
76.一种应用远程代理服务器认可与电子销售点事务处理系统的事务处理请求的便携式电子授权设备，包括在远程代理服务器中被构造成接收表示事务处理请求的第一数字数据的因特网连接；在便携式电子授权设备中被构造成从远程代理服务器中接收关于认可事务处理请求的能力的信息并将其提供给用户的接收器；以及在用户通过便携式电子授权设备认可事务处理请求时，远程代理服务器被构造成将事务处理认可数据加密为表示用户认可在销售点位置购买该物品的第二数字数据；以及其中因特网连接被进一步构造成在远程代理服务器上将第二数字数据发送给电子事务处理系统以认可与电子事务处理系统的事务处理请求。
全文摘要
本发明公开了一种电子事务处理系统及方法，其应用电子服务授权权标认可在电子事务处理系统和用户所携带的便携式电子授权设备(PEAD)(200)之间的事务处理请求。该PEAD(200)给用户提供关于认可事务处理请求的能力的信息。在用户认可事务处理请求时，PEAD(200)接收表示电子服务授权权标的数字数据。
文档编号G06Q20/00GK1452739SQ00819425
公开日2003年10月29日 申请日期2000年12月4日 优先权日2000年3月13日
发明者云炯·P·王 申请人:艾斯格尼克斯公司