电子事务处理系统及其方法

1.一种应用电子服务授权权标认可在电子事务处理系统和用 户所携带的便携式电子授权设备之间的事务处理请求的方法，包括如 下的步骤：
在便携式电子授权设备接收表示事务处理请求的第一数字数据；
给用户提供关于认可事务处理请求的能力的信息；以及
在用户认可事务处理请求时，在便携式电子授权设备中接收表示 电子服务授权权标的第二数字数据。
2.权利要求1所述的方法，其中电子服务授权权标可以是如下 之一：电子旅馆房间钥匙、电子机票、电子戏票、电子汽车钥匙和电 子赠券。
3.权利要求1所述的方法，其中通过权标发行者的私有密钥可 以对电子服务授权权标进行加密。
4.权利要求3所述的方法，其中权标发行者可以是如下之一： 旅馆、航空公司、电影院、超市、汽车租赁服务商和销售商。
5.权利要求1所述的方法，其中通过与便携式电子授权设备相 关的无线通信端口执行在便携式电子授权设备中接收表示电子服务 授权权标的第二数字数据。
6.一种应用电子服务授权权标认可与电子事务处理系统的事 务处理请求的便携式电子授权设备，包括：
在便携式电子授权设备中被构造成接收表示事务处理请求的第 一数字数据的接收器；
被构造成给用户提供关于认可事务处理请求的能力的信息的显 示器；
在便携式电子授权设备中用于形成第二数字数据的处理器，所述 第二数字数据包括响应所述事务处理请求的接收在便携式电子授权 设备中存储的用户用标识数据；
耦合到所述处理器用于将所述第二数字数据发送到所述电子事 务处理系统的发射器，
其中接收器被进一步构造成在用户认可事务处理请求时，接收器 被构造成接收表示电子服务授权权标的第二数字数据。
7.权利要求6所述的便携式电子授权设备，其中便携式电子授 权设备是蜂窝电话。
8.权利要求6所述的便携式电子授权设备，其中便携式电子授 权设备是无线设备。
9.权利要求6所述的便携式电子授权设备，其中电子事务处理 系统是销售网点系统。
10.一种应用电子服务授权权标在电子事务处理系统和用户所 携带的便携式电子授权设备之间提供服务的方法，包括如下的步骤：
在便携式电子授权设备上给电子事务处理系统发送表示服务授 权权标的第一数字数据；
在电子事务处理系统中使表示服务授权权标的第一数字数据生 效；以及
如果表示服务授权权标的第一数字数据有效则在电子事务处理 系统中授权服务。
11.权利要求10所述的方法，其中电子服务授权权标可以是如 下之一：电子旅馆房间钥匙、电子机票、电子戏票、电子汽车钥匙和 电子赠券。
12.权利要求10所述的方法，其中通过权标发行者的私有密钥 可以对电子服务授权权标进行加密。
13.权利要求10所述的方法，其中生效步骤包括应用权标发行 者的公用密钥对表示服务授权权标的第一数字数据进行解密。
14.权利要求10所述的方法，其中授权步骤包括如下服务之一： 打开旅馆房间、许可进入剧院、登机、给交易额打折、发动汽车。
15.一种通过远程代理服务器应用电子服务授权权标认可在电 子事务处理系统和用户所携带的便携式电子授权设备之间的事务处 理请求的方法，包括如下的步骤：
在远程代理服务器上接收表示事务处理请求的第一数字数据；
在远程代理服务器上通过便携式电子授权设备给用户提供关于 认可事务处理请求的能力的信息；以及
在用户认可事务处理请求时，在远程代理服务器上接收表示电子 服务授权权标的第二数字数据。
16.权利要求15所述的方法，其中电子服务授权权标可以是如 下之一：电子旅馆房间钥匙、电子机票、电子戏票、电子汽车钥匙和 电子赠券。
17.权利要求15所述的方法，其中通过因特网执行在远程代理 服务器上接收表示电子服务授权权标的第二数字数据。
18.权利要求15所述的方法，其中通过便携式电子授权设备在 远程代理服务器上提供信息的步骤包括将表示事务处理请求的第一 数字数据转换为声频格式。
19.权利要求15所述的方法，其中用户认可事务处理请求的步 骤包括通过便携式电子授权设备给远程代理服务器输入口令。
20.一种通过远程代理服务器应用电子服务授权权标认可与电 子事务处理系统的事务处理请求的便携式电子授权设备，包括：
在远程代理服务器中被构造成接收表示事务处理请求的第一数 字数据的因特网连接；
在便携式电子授权设备中被构造成从远程代理服务器中接收关 于认可事务处理请求的能力的信息并将其提供给用户的接收器；以及
其中进一步构造因特网连接以使在用户认可事务处理请求时，因 特网连接被构造成接收表示电子服务授权权标的第二数字数据，其中 事务处理认可数据包括存储在便携式电子授权设备中的用户标识数 据。
21.权利要求20所述的便携式电子授权设备，其中便携式电子 授权设备是蜂窝电话。
22.权利要求20所述的便携式电子授权设备，其中电子事务处 理系统是销售网点系统。
23.权利要求20所述的便携式电子授权设备，其中便携式电子 授权设备是因特网启动的蜂窝电话。
24.一种通过远程代理服务器应用电子服务授权权标在电子事 务处理系统和用户所携带的便携式电子授权设备之间提供服务的方 法，包括如下的步骤：
通过便携式电子授权设备启动远程代理服务器；
在远程代理服务器上给电子事务处理系统发送表示服务授权权 标的第一数字数据；
在电子事务处理系统中使表示服务授权权标的第一数字数据生 效；以及
如果表示服务授权权标的第一数字数据有效则在电子事务处理 系统上授权服务。
25.一种认可在电子销售点事务处理系统和用户所携带的便携 式电子授权设备之间的事务处理请求的方法，包括如下的步骤：
在销售点位置的便携式电子授权设备上接收表示事务处理请求 的第一数字数据；
给用户提供关于认可事务处理请求的能力的信息；
在用户认可事务处理请求时，将事务处理认可数据加密为表示用 户认可在销售点位置购买该物品的第二数字数据；以及
将第二数字数据发送给电子事务处理系统以认可与电子事务处 理系统的事务处理请求。
26.权利要求25所述的方法，其中应用公用密钥加密技术执行 对认可数据的加密。
27.权利要求25所述的方法，其中接收步骤包括通过红外线在 便携式电子授权设备和电子销售点事务处理系统之间建立通信链接。
28.权利要求25所述的方法，其中接收步骤包括通过短距离RF 在便携式电子授权设备和电子销售点事务处理系统之间建立通信链 接。
29.一种认可与电子销售点事务处理系统的事务处理请求的便 携式电子授权设备，包括：
在便携式电子授权设备中被构造成接收表示事务处理请求的第 一数字数据的接收器；
被构造成给用户提供关于认可事务处理请求的能力的信息的显 示器；
在用户认可事务处理请求时，便携式电子授权设备被构造成将事 务处理认可数据加密为表示用户认可在销售点位置购买该物品的第 二数字数据，其中事务处理认可数据包括存储在便携式电子授权设备 中的用户标识数据；以及
将第二数字数据发送给电子事务处理系统以认可与电子事务处 理系统的事务处理请求的发射器。
30.一种通过远程代理服务器认可在电子销售点事务处理系统 和用户所携带的便携式电子授权设备之间的事务处理请求的方法，包 括如下的步骤：
在销售点位置上的远程代理服务器上接收表示事务处理请求的 第一数字数据；
在远程代理服务器上通过便携式电子授权设备给用户提供关于 认可事务处理请求的能力的信息；
在用户通过便携式电子授权设备认可事务处理请求时，在远程代 理服务器上将事务处理认可数据加密为表示用户认可在销售点位置 购买该物品的第二数字数据；以及
在远程代理服务器上将第二数字数据发送给电子事务处理系统 以认可与电子事务处理系统的事务处理请求。
31.一种应用远程代理服务器认可与电子销售点事务处理系统 的事务处理请求的便携式电子授权设备，包括：
在远程代理服务器中被构造成接收表示事务处理请求的第一数 字数据的因特网连接；
在便携式电子授权设备中被构造成从远程代理服务器中接收关 于认可事务处理请求的能力的信息并将其提供给用户的接收器；以及
在用户通过便携式电子授权设备认可事务处理请求时，远程代理 服务器被构造成将事务处理认可数据加密为表示用户认可在销售点 位置购买该物品的第二数字数据，其中事务处理认可数据包括存储在 便携式电子授权设备中的用户标识数据；以及
其中因特网连接被进一步构造成在远程代理服务器上将第二数 字数据发送给电子事务处理系统以认可与电子事务处理系统的事务 处理请求。

技术领域\n本发明涉及一种实施电子事务处理的方法和装置。更具体地说， 本发明涉及这样的便携式电子授权设备(PEAD)，这种电子授权设 备能够有利地且基本上消除与在用户和电子事务处理系统之间认可事 务处理的已有技术相关的安全性危险。\n背景技术\n电子事务处理系统是公知的。电子事务处理系统通常允许用户电 子地实施指定的事务处理，这实质上提高了效率并方便了用户。电子 事务处理的实例包括通过计算机网络实施的事务处理、自动柜员机 (ATM)、自动销售网点系统、自动图书馆系统等。通过计算机网络 实施的事务处理可能包括广泛的事务处理，包括通过计算机网络(例 如大家所公知的因特网)交换信息和数据以在网络上从提供商购物。 ATM通常允许用户以电子的方式与金融机构进行金融事务处理(比 如取款、转帐、储蓄等)。商店可以使用自动销售网点系统以允许用 户使用用户的电子账号购买商品或服务，应用自动图书馆系统可以允 许用户借出或返回图书馆资料。电子事务处理系统的其它的实例还有 许多，为简洁起见在此就不一一列举。\n为提高用户的账户的安全性，电子事务处理系统通常要求用户提 供标识数据以验证他自己为经授权的用户以认可所提出的事务处理。 如果用户提供所要求的标识数据失败，则不能批准所提出的事务处理， 因此不能进行处理。可以每次都要求标识数据。例如，自动销售网点 系统可能要求用户认可购买事务处理，并且如果认可该事务处理的人 已经提供了将他自己验证为经授权来执行该认可的人的足够的识别数 据则仅要求他接收认可消息。可替换的是，在开始会话时可以通过用 户输入标识数据以验证他自己并使用户随后能够执行任何数量的事务 处理而不需要进一步的验证。\n在已有技术中，通常要求用户手动地给电子事务处理系统输入标 识数据以进行验证。通常，标识数据的输入包括在数字小键盘或键盘 上键入口令。然后将标识数据与先前存储在电子事务处理系统中的数 据进行比较，在相匹配时满足验证。如前文所述，如果不匹配则不允 许继续进行所提出的事务处理。\n虽然已有的电子事务处理系统提供了某些保护措施以防止未经授 权的存取和使用用户的账户，但是存在缺陷。为说明与已有技术的电 子事务处理系统相关的某些缺陷，在此参考附图1。附图1所示为自 动柜员机(ATM)100，代表电子事务处理系统102的请求设备。电 子事务处理系统102例如可以包括包含有先前存储了标识数据和用户 106的账户数据的中央数据库104。\n为开始与ATM100的典型的事务处理，用户106首先将数据卡107 (比如银行卡或信用卡)插入到卡读取器109中。数据卡107通常包 括磁条，该磁条包含了账号和与该用户相关的其它的信息，然后通过 卡读取器109读取这些信息。存储在数据卡107中的数据使电子事务 处理系统102确定在数据库104中用户106的哪个账户希望进行商业 交易。\n通过在ATM100上的小键盘108，用户106可以输入他的标识数 据例如他的个人识别号码(PIN)以验证他自己。如果所输入的标识 数据与存储在数据库104中的通过数据卡107所识别的账户相关的标 识数据相匹配，则验证用户合法并授权存取他的账户。如果不相匹配， 则验证失败。在验证之后，用户106例如可以应用小键盘108和屏幕 110的组合以从他的账户中提取现金，从ATM100中发放现金并从他 在数据库104中的账户中相应地减去差额。\n在理论上，输入到ATM100中的标识数据应该安全。在实际中， 在已有技术的验证技术中存在许多可能的对标识数据的安全性危险。 由于在输入到ATM100之前不对标识数据进行加密，因此未加密的标 识数据易于被未经授权地访问并获取。在已有技术中对标识数据进行 加密不实际，因为执行加密或记忆经加密的标识数据对用户来说太复 杂和/或不方便。例如，在已有技术中，如果在输入时不经意地被别人 例如在用户106旁边的另一人在屏幕110或更可能的是在键盘108上 看见，则可能会未经授权地获取标识数据。\n即使在已有技术中例如在从ATM100传输到数据库104之前对标 识数据进行加密，则加密通常发生在ATM100内，但仍然要求从用户 106输入非经加密的标识数据，标识数据在ATM100中仍然存在一定 的持续时间。如果未经授权的一方能够获取进入ATM100并截获在其 中非经加密的标识数据，例如通过在ATM100中实施的软件或硬件， 未经授权地对标识数据的访问仍然可能会发生。\n此外，如果在ATM100内实施公用密钥加密技术，在ATM100 内的用户的私有密钥的存储使得它的私有密钥易于被窃取，进一步存 在暴露用户的账户的危险。被窃取的口令和/或私有密钥可能被用于允 许未经授权的人存取用户的账户而给用户造成损失。\n考虑到前述的问题，需要一种理想的装置和方法来实施与电子事 务处理系统进行事务处理，同时基本消除对用户账户的未经授权地访 问和未经授权地取得用户的标识数据的危险。可取的是，这种装置应 该是易于携带以允许用户在任何地方方便且舒服地执行事务处理验 证。\n发明内容\n在一个实施例中，本发明涉及一种完成事务处理请求的方法，这 种事务处理请求属于在具有服务器和请求设备的电子网络上实施的电 子事务处理。该方法包括从在请求设备上的服务器中接收包括可执行 的部分的事务处理程序。该方法也包括为与请求终端相关的事务处理 认可设备的搜索、应用可执行的部分。如果检测到事务处理认可设备， 则该方法包括应用事务处理认可设备来认可事务处理请求。进一步包 括应用请求设备将认可的事务处理请求发送给服务器以完成电子事务 处理。所认可的事务处理请求表示认可了事务处理请求。\n在另一实施例中，本发明涉及一种完成事务处理请求的方法，这 种事务处理请求属于在具有服务器和请求设备的电子网络上实施的电 子事务处理。该方法包括从在请求设备上的服务器中接收包括可执行 的部分的事务处理程序。该方法也包括从在请求设备上的用户中接收 事务处理认可数据，其中事务处理程序的可执行部分包括第一组代码， 这第一组代码被构造成对事务处理认可数据进行加密。也包括应用第 一组代码对事务处理认可数据进行加密。进一步包括应用事务处理程 序将经加密的事务处理认可数据发送到服务器以完成电子事务处理。\n在再一实施例中，本发明涉及一种完成事务处理请求的方法，这 种事务处理请求属于在具有服务器和请求设备的电子网络上实施的电 子事务处理。该方法包括从在请求设备上的服务器中接收包括可执行 的部分的事务处理程序。该方法也包括为与请求终端相关的事务处理 认可设备的搜索、应用可执行的部分。如果检测到事务处理认可设备， 则该方法包括应用事务处理认可设备来认可事务处理请求。如果没有 检测到事务处理认可设备，则该方法也包括应用与请求设备相关的输 入设备来认可事务处理请求。此外该方法还包括应用请求设备将认可 的事务处理请求发送给服务器以完成电子事务处理。所认可的事务处 理请求表示用户通过事务处理认可设备和输入设备中至少一种设备认 可了事务处理请求。\n通过下文的详细描述和对附图中的不同附图的研究，本发明的这 些优点和其它的优点都会清楚。\n附图说明\n为便于讨论，附图1所示为包括自动柜员机(ATM)的已有技术 的电子事务处理系统。\n附图2所示为根据本发明的一种实施例的便携式电子授权设备 (PEAD)，它代表一种安全地认可与电子事务处理系统实施的事务 处理的装置。\n附图3A所示为在本发明的一种实施例中的附图2的PEAD的简 化示意图。\n附图3B所示为在本发明的一种实施例中的代表事务处理认可数 据的格式。\n附图4所示为根据本发明的一种实施例PEAD的逻辑方块示意 图。\n附图5A所示为根据本发明的一种实施例PEAD的高等级的硬件 的实施方式。\n附图5B所示为PEAD的一种实施方式，其中在IC中实施PEAD 电路。\n附图5C所示为附图5B的PEAD嵌入在卡状外壳中之后的外部视 图。\n附图6A所示为根据本发明的一种优选实施例的PEAD的外部视 图。\n附图6B所示为根据本发明的一方面实施附图6A的PEAD的硬件 的简化方式。\n附图7A-B所示为根据本发明的某些方面说明实施本发明的 PEAD的认可技术的流程图。\n附图8所示为根据本发明的一方面说明在应用公用密钥加密技术 加密事务处理认可数据中所包括的步骤的流程图。\n附图9A-B所示为包括事务处理认可设备的实例性电子事务处理 系统，为便于讨论本发明的其它方面，应用事务处理程序以实现电子 事务处理。\n附图10所示为根据本发明的一种实施例计算机实施的过程的实 例性流程图，该过程允许所下载的事务处理程序在请求设备上完成电 子事务处理。\n附图11所示为实例性事务处理请求以便于讨论。\n具体实施方式\n附图2所示为根据本发明的一种实施例的便携式电子授权设备 (PEAD)200，它代表一种安全地认可通过电子事务处理系统实施的 事务处理的装置。参考附图2，请求设备202可以经过通信端口204 通过将属于所提出的事务处理的事务处理请求发送给PEAD 200来开 始事务处理请求过程。请求设备202例如可以代表ATM机、在网络 中的计算机终端、自动图书馆登记终端、便携式设备、手持式设备或 能够允许用户与电子事务处理系统进行商业交易的类似的设备。所提 出的事务处理例如可以是一定金额的特定物品的销售处理。事务处理 请求本身例如可以包括事务处理ID、销售商的名称、销售商的ID、 提出购买的时间等。在一种实施例中，可以对来自请求设备202的事 务处理请求进行加密以提高安全性，但这不是必须的。属于所提出的 事务处理的数据通过在附图2中的通路206到达PEAD 200。\n端口204可以代表红外端口以便于与PEAD 200进行红外通信。 可替换的是，端口204可以表示无线端口以有利于无线通信。端口204 甚至可以代表触点型连接端口，比如具有电触点以直接将PEAD 200 插入到端口204中以有利于通信的磁性读/写机构或插塞。对于在本领 域的熟练技术人员来说在请求设备202和PEAD 200之间进行通信的 其它的技术是易于理解的。\n然后用户可以在请求设备202的屏幕208上或可选择地在PEAD 200的显示屏(在附图2中没有示出)上检查属于所提出的事务处理 的数据。如果用户认可事务处理，例如，购买给定金额的物品，然后 用户可以通过启动在PEAD 200上的开关210表示这种认可，这使得 可以以用户标识数据产生认可消息、加密并经过通路212发送回请求 设备202。如果没有认可事务处理，用户可以简单地不做任何事情并 在经过了一定时间后使事务处理请求超时，或者可以启动在PEAD 200上的另一开关(在附图1中没有示出)，这就通过通路212将经 加密的或非加密的拒绝消息发送回请求设备202。\n本发明不同于附图1的已有技术，在附图1中的已有技术中要求 用户给电子事务处理系统例如ATM100输入他的标识数据以验证他 自己。相反，本发明将与用户安全相关的标识数据一直保存在PEAD 200中。在PEAD 200进行事务处理认可，并在发送给电子事务处理 系统例如在附图2中的请求设备202之前再次在这种PEAD 200中对 表示这种认可的数据进行加密。\n因此，即使截获认可数据，他的加密仍然可以防止未经授权的用 户使用标识数据用于非法目的。如果使用公用密钥加密技术来对认可 数据进行加密，用户的私有密钥也总是保持在PEAD 200内。由于要 求用户的私有密钥进行加密并且其它的人不知道，即使对于在一个实 施例中的电子事务处理系统，如果截获了加密的认可数据，他对未经 授权的第三方仍然是无用的，即使使用用户的公用密钥可以对私有密 钥进行解密。此外，这不同于已有技术的验证技术，在这种技术中在 电子事务处理系统中进行加密并且要求输入标识数据和/或从ID卡 (比如ATM卡、信用卡等)中读取用户的私有密钥。如前文所述， 由于已有技术中的电子事务处理系统要求这种标识数据和/或用户的 私有密钥的事实将这些数据暴露在危险之中，例如，如果请求设备不 安全或对通过软件或硬件进行数据截获开放。\n作为另一不同之处，本发明应用便携式电子授权设备(PEAD) 内的电路来执行认可和对在PEAD本身内的事务处理认可数据进行加 密。相反，已有技术的数据卡基本是无源设备。例如，已有技术的ATM 卡或信用卡仅具有磁条以存储账户信息，并且不需要任何设备来执行 对事务处理认可数据的认可和/或加密。虽然目前正在研究之中的智能 卡或IC卡可以包含电子电路，其电流标准的实施仍然需要一个与请 求设备相关的读取器以读出标识数据和/或用户的私有密钥以便请求 设备执行任何认可和/或加密。如前文所述，在将这些数据发送到请求 设备的过程中不必将这些数据暴露在被窃取和/或未经授权的截获的 危险之中。\n还应该特别注意的是虽然在本说明书中为便于理解并强调本发明 的特定方面讨论了公用密钥加密技术，但是整个发明并不限于任何特 定的加密算法，而是应用任何常规的加密技术都可以实施，包括公用 密钥加密算法比如RSA、Diffie-Hellman或其它的离散的算法系统、 椭圆曲线系统等。关于某些公用密钥加密技术的其它信息，例如可以 参考IEEE P1363(Working Draft dated August 22，1996，从IEEE Standards Dept.345 East 7th Street，New York，New York 10017-2349 中可得到)。\n如上文所述，在已有技术中事务处理认可发生在电子事务处理系 统中。相反，本发明允许事务处理认可发生在PEAD 200内。事务处 理认可全部发生在PEAD 200内的事实提供了许多优点。例如，在一 种实施例中这种特征消除了在认可设备中需要标识数据和/或用户的 私有密钥。事务处理认可全部发生在PEAD 200内的事实(应用总是 安全地存放在PEAD 200内的用户的标识数据和/或用户的私有加密密 钥)实质上提高了用户的标识数据和用户的私有密钥的保密性以及事 务处理认可过程的整体性。\n由于认可全部发生在PEAD 200内，因此用于验证事务处理的用 户的标识数据可以更加复杂和精心设计以确保更加安全。举例来说， 用户标识数据可以比简单的口令更加精心地设计并且可以包括用户的 名字、他的生日、他的社会安全号或其它的唯一的生物测定或唯一的 标识数据比如指纹、DNA编码序列、声纹等。相反，由于更加精心设 计的标识数据可能记忆起来太困难或手动输入太麻烦，因此已有的验 证技术限制用户标识数据为简单的模式，例如少数几个字符的简单口 令，这种口令易于被用户记忆。此外，即使复杂的ID数据可以存储 在已有技术的数据卡中，仍然要求将它读入到电子事务处理系统的请 求设备中，一旦读取它，就再次将这种数据暴露在被窃取或截获的危 险之中。\n还可以提供其它的安全措施(下文将更加详细地讨论)以防止电 子地或通过物理手段访问PEAD 200内的用户的标识数据和/或用户的 私有密钥。由于标识数据和/或用户的私有密钥从未暴露过，因此实质 上使这些数据的安全性危险最小。\n附图3A所示为在本发明的一种实施例中包括开关210的附图2 的PEAD 200的简化的示意图。提供数据通路206以从电子事务处理 系统接收事务处理请求，提供数据通路212以将事务处理认可数据发 送回电子事务处理系统。应该特别注意的是虽然为了便于理解在此仅 仅讨论两个数据通路，但是在一种实施例中这些数据通路和其它的数 据通路都可以代表逻辑数据通路并且可以通过单个的物理数据连接实 施。同样地，在一种实施例中为便于理解在此的不同的端口可以代表 逻辑数据端口，而在实际中可以应用单个的物理端口实施。\n在事务处理请求(例如从ATM机提取200.00美元的事务处理) 通过数据通路206发送到PEAD 200，通过加密逻辑300接收这种事 务处理。在这一点上，例如通过PEAD 200和/或电子事务处理系统所 提供的显示屏或声音输出，用户可以检查所提出的事务处理，并选择 认可或不认可所提出的事务处理。如果用户认可该事务处理，在一种 实施例中他可以启动开关210，该开关产生事务处理认可数据，然后 在通过通路212发送回电子事务处理系统之前通过加密逻辑300进行 加密。\n注意，在事务处理认可过程中应用的用户标识数据块302并不直 接耦合到通路206和212。换句话说，存储用户标识数据的存储器希 望与PEAD 200的输入和输出端口去耦合以防止对其直接存取。\n如果希望对用户标识数据302进行存取，例如认可事务处理，则 可以仅通过加密逻辑块300进行存取。同样地，不可能直接存取存储 用户的私有密钥的存储器部分304。如果希望存取用户的私有密钥 304，例如加密事务处理认可数据，则可以仅通过加密逻辑块300进行 存取。应该特别注意的是虽然所示的用户标识302和用户的私有密钥 304都存储在不同的存储器部分中，但是这种实例仅是为了便于理解 的目的，在一种实施例中这两种数据实际上存储在相同的存储器模块 的不同的地址上。\n在某些情况下，事务处理认可数据要求包括标识数据302的某些 部分。例如，嵌入在来自电子事务处理系统的事务处理请求中的事务 处理可以在进行加密之前附加上表示“电子签名”的数据并再次发送 回电子事务处理系统。附图3B所示为在一种实施例中有代表性的事 务处理认可数据350的格式。参考附图3B，事务处理数据352表示从 电子事务处理系统所接收的一部分或整个事务处理请求，并在其上附 加一定的用户标识数据354和可选择的时间标记356。如果用户已经 认可了事务处理请求则仅形成事务处理认可数据350。一旦附加了数 据，则在发送回电子事务处理系统之前对事务处理认可数据350进行 加密。\n在某些情况下，理想的是在发送到PEAD之前对事务处理请求进 行加密以进一步提高安全性。例如，某些事务处理方(例如供应方或 在计算机网络上的其它用户)可能希望对在事务处理请求内的这些信 息保密并且可能优选在将其提供给PEAD之前对事务处理请求进行加 密。例如，在将用户标识数据和用户的私有密钥首次写入到银行PEAD 中以构造对给定用户唯一的PEAD时，数据加密也是理想的。与用户 标识数据和用户的私有密钥有关的配置数据必须通过PEAD 200的发 行者一次写入到PEAD 200中，并且优选对其进行加密以使它们更不 易被窃取。PEAD 200的发行者例如代表信用卡发行者、政府或用户 通过它们开设账户的任何其它的机构。\n附图4所示为根据本发明的一种实施例的附图2的PEAD 200的 示意图。附图4的PEAD 200进一步应用加密逻辑以接收经加密的配 置数据和可选择的经加密的事务处理请求。在附图4中，设置加密逻 辑300、用户的私有密钥304和数据通路206和212，基本具有如参考 附图3A所讨论的功能。\n事务处理请求通常是不加密的，即以参考附图3A所讨论的方式 接收并处理它们。然而，对于高度敏感的事务处理，可以对事务处理 请求进行加密并通过数据通路206发送给PEAD 200并输入到解密逻 辑402以进行解密。如果应用公用密钥加密技术，则通过事务处理方 公用密钥404对经加密的事务处理请求进行解密。\n一旦解密，然后给用户显示事务处理请求以便认可。如果认可的 话，例如响应开关210的启动，则通过通路406可以将事务处理请求 数据提供给加密逻辑300以进行加密。如果应用公用密钥加密技术则 优选以用户的私有密钥304执行加密，然后通过数据通路212将经加 密的事务处理认可数据发送回电子事务处理系统。\n由于配置数据通常包括敏感的用户标识数据和用户的私有密钥， 因此通常在通过数据通路408发送给PEAD 200之前进行加密。通过 解密逻辑402接收经加密的配置数据并在被写入到用户标识数据块 410和用户的私有密钥块304之前进行解密。如果应用公用密钥加密 技术，则在发送之前通过在电子事务处理系统中的发行者的私有密钥 对经加密的配置数据进行加密，并且一旦被PEAD 200接收则通过发 行者公用密钥412进行解密。\n注意一旦对配置数据进行解密并写入到用户标识数据块410和用 户的私有密钥304中，则随后只能由加密逻辑300存取用户标识数据 和用户的私有密钥。还要注意的是从任何I/O数据通路(例如数据通 路206，212或408)到用户标识数据块410以及用户的私有密钥块304 都不存在直接连接。有利的是，敏感的用户标识数据和用户的私有密 钥一旦写入到相应的块410和304(在一种实施方式中简单地表示为 在PEAD 200的存储器中的存储器块)中之后不易于从外部存取。\n此外，用户标识数据和用户的私有密钥不能被那些具有发行者的 私有密钥的人更新。如附图4所示，在通过解密逻辑402以发行者公 用密钥412对数据进行解密之后只能将其写入到用户的私有密钥块 304和用户标识块410中。因此，除非应用发行者的私有密钥(假设 为高度安全)已经对所更新的配置数据进行了加密，否则不能对所更 新的配置数据进行解密并将其写入到相应的块304和410中。当然， 如果在块304和410中的配置数据不能被物理地更新，例如应用只能 写一次的存储器比如PROM(可编程的只读存储器)、WORM(写 一次、读多次)等存储它们，则基本可不用考虑与未经授权地改变配 置数据相关的安全性。\n如果希望更高等级的安全性，则在将用户的私有密钥写入到用户 的私有密钥块304之前通过可选择的加密器/破密器逻辑413可选择地 对用户的私有密钥进行置乱或随机化。在一种实施例中加密器/破密器 逻辑413可以接收用户的私有密钥，通过发行PEAD 200的机构将这 种用户的私有密钥提供给用户，并对它进行置乱和/或随机化以产生另 一用户的私有密钥和相应的用户公用密钥。然后将这种置乱的/随机化 的用户的私有密钥存储在用户的私有密钥块304中，现在这种私有密 钥甚至对于PEAD 200的发行者也是未知的，并使相应的用户的公用 密钥对于发行者和/或事务处理认可数据方是可知以有利事务处理。有 利的是，除了在用户的私有密钥块304中以外的任何地方不存在这种 置乱的/随机化的用户的私有密钥的其它的副本。\n在一种变型实施例中，可以应用可选择的密钥产生逻辑414，这 种密钥产生逻辑414响应来自发行机构的请求本身产生用户的私有密 钥和用户的公用密钥，即不首先要求从发行机构接收用户的私有密钥 并随机化它。然后将所产生的用户的私有密钥存储在私有密钥块304 中，并使公用密钥对于发行机构和/或事务处理方公知以有利于事务处 理。通过这种方式，在PEAD本身之外都不存在不管是否随机化的用 户的私有密钥的任何版本。正如本领域的普通技术人员可理解的是， 使用产生逻辑414可以进一步提高用户的私有密钥的保密性。\n附图5A所示为根据本发明的一种实施例PEAD 200的较高等级 的硬件的实施方式。如附图5A所示，PEAD 200包括逻辑电路502 以实施附图2的加密逻辑300和附图4的可选择的解密逻辑402，这 种逻辑电路502可以代表中央处理单元比如微处理器或微控制器、离 散逻辑、可编程逻辑、专用集成电路(ASIC)等。\n程序/数据存储器504存储运行PEAD 200的代码以及用户标识数 据和用户的私有密钥。程序/数据存储器504优选应用如下形式的非易 失存储器(NVM)实施：例如快速存储器、电可编程序只读存储器 (EPROM)、电可擦可编程序只读存贮器(EPPROM)等。临时存 储器506起便笺式存储器的作用以用于计算的目的并用于临时存储数 据，并且可以以如下形式的随机存取存储器(RAM)实施：比如在本 领域中公知的静态RAM或动态RAM。可替换的是，还可以使用光学 存储器、磁性存储器或其它类型的存储器来实施程序/数据存储器504 和/或临时存储器506。\n总线508将程序/数据存储器504和临时存储器506与逻辑电路 502耦合。通信端口510表示在PEAD 200和电子事务处理系统之间 的通信连接器，并且可以应用红外技术、无线RF技术、磁性读/写头、 用于串行或并行数据传输的触点型插塞等实施。在一种实施例中通信 端口也可以代表PC卡端口(本领域的普通技术人员公知的PCMCLA 卡)。数据通路206给逻辑电路502输入事务处理请求，而数据通路 212从逻辑电路502给电子事务处理系统输出事务处理认可数据。在 附图4中已经描述的可选择的数据通路408给PEAD 200输入配置数 据以将用户标识数据和用户的私有密钥写入到程序/数据存储器504 中以唯一地将PEAD 200配置给特定的用户。\n还要注意的是，在此可以仅通过逻辑电路502对程序/数据存储器 504和数据(例如用户标识数据和用户的私有密钥)进行存取。例如， 如果以发行者的私有密钥已经正确地对用户标识数据和用户的私有密 钥进行加密则将这种数据仅写入到程序/数据存储器504中。在适当的 软件和/或固件的控制下通过逻辑电路502也可以对为写入到这些存 储器块中而进行的存取进行限制。\n类似地，读取用户标识数据和存取用户的私有密钥仅可以通过逻 辑电路502的加密逻辑完成。本发明在安全性方面的优点参考附图3A 和4已经讨论过，最重要的一点是优选不直接从外部对敏感的用户标 识数据和用户的私有密钥进行存取。因此，应用本发明的设计极大地 提高了这些数据项的保密性和安全性。\n也可以提供某些类型的电源比如电池。如果PEAD 200以单片设 计实施，即在附图5A中所示的所有部件基本上都制造在单个电路片 上，则电源是在电路片本身之外。如果应用触点型通信，例如如果 PEAD 200必须插在电子事务处理系统中以实施事务处理，则在插上时 必须应用在整个PEAD之外的电源来进行事务处理认可，由此消除了 与具有板上的电池的便携式事务处理装置相关的尺寸、重量和成本的 损失。\n在一种实施例中，PEAD 200可以应用通用便携式计算机装置实 施，比如任何类型的微型便携式计算机、个人数字助理(PDA)或当 前流行的便携式电话。PDA(例如Apple Newton或3COM的Palm VII)可以用于实施PEAD 200。此外，便携式电话比如Nokia7110 Media Phone、Ericsson R280 SmartPhone或Motorola i1000 plus都 可以用于实施PEAD 200。在这种情况下，可以理解的是便携式装置 比如PDA、Media Phone或SmartPhone本身都是通过无线网络与远 程电子事务处理系统进行通信的请求设备。PEAD的功能可以嵌入到 这种便携式请求设备中。\n附图5B所示为PEAD的一种实施方式，其中在IC上实施电路。 在附图5B中，与在附图5A中的部件具有相同参考标号的部件具有类 似的功能。参考附图5A已经描述的数据通路408、206和212耦合到 串行I/O电路520，这有利于在PEAD 200和电子事务处理系统之间 的数据通路522上以串行的方式进行数据传输和接收。还示出了给附 图5B的PEAD 200提供功率的Vcc管脚524和接地管脚526。\n附图5C所示为附图5B的PEAD的外部视图，它是为便于携带嵌 入在卡状的外壳中并插入在电子事务处理系统的串行I/O端口中之后 的情况。卡550嵌入了实施本发明的PEAD的集成电路，在一种实施 例中它包括四个外部触点。外部串行触点552和554分别传输数据和 接地以有利于与电子事务处理系统的串行设备进行串行通信。也示出 了外部Vcc触点524和外部接地触点526，如结合附图5A所讨论， 这两个触点给PEAD输送功率。在卡550插入到电子事务处理系统时， 通过外部触点524和526供电，由此启动在其中的PEAD电路以通过 外部串行触点552和554接收事务处理请求，如果正确的话在PEAD 内认可请求，在PEAD电路内对事务处理认可数据进行加密以及通过 外部串行触点552和554将经加密的事务处理认可数据与电子事务处 理系统进行串行通信。\n附图6A所示为根据本发明的一种优选实施例的PEAD的外部视 图。附图6A的PEAD 200优选以小型独立外壳的形式实施，它足够 坚固以便日常在野外使用。可取的是，附图6A的PEAD 200足够小 以便用户能够总是方便地携带，例如作为能够容易地放置在钱包或皮 夹中的小包或钥匙链附件。可取的是这样设置PEAD 200的物理封装 以使能够防止篡改数据内容(即，如果以未经授权的方式打开它则破 坏用户的私有密钥和/或用户标识数据或PEAD将不再能够认可事务 处理)。例如，将封装设置为，如果打开它，则改变在电流通路中的 电流，例如中断已有的电流或在已经没有电流的电流通路中开始流动。 然后电流的变化使电路复位，包括擦除在存储器中的私有密钥。\n还示出了用于相对电子事务处理系统接收并发送数据的红外通信 端口602。小型的接通/切断开关604允许用户切断PEAD以在不使用 时保存功率。认可按钮606允许用户表示对所提出的事务处理的认可。 可选择的跳转按钮608允许用户指示对特定的事务处理的拒绝。跳转 按钮608可以省去，因为在一种实施例中如果在接收请求之后的给定 的时间周期内没有启动认可按钮606则将事务处理请求理解为不认 可。\n可选择的显示器610可以应用任何类型的显示技术比如液晶技术 实施。除了别的以外，显示器610显示所提出的要认可的事务处理。 如果需要的话可以省去显示器610，在这种情况下例如在与电子事务 处理系统本身相关的显示器上看事务处理或通过在PEAD上的声音输 出。可选择的用户验证机构612防止PEAD 200被用于认可事务处理， 除非用户能够向PEAD 200证实他本身是合法的经授权的用户。在 PEAD 200启动并用于认可事务处理之前，可选择的用户验证机构612 可以要求用户输入口令、提供指纹或声纹或其它的生物测定和/或经授 权的用户特定的识别特征。PEAD 200可以内置在便携式电话中以使 端口602能够是无线通信和/或红外端口，显示器610可以是在便携式 电话上的显示器，按钮606和608是在便携式电话键盘上的按键。\n例如，用户验证机构612可以是Fingerchip FC5A140，它是 Thomson-CSF of Totowa，New Jersy生产的热硅指纹传感器。由于手 指本身的热量产生了对指纹进行成像所需的一切因此不需要光源，因 此这种实施方式十分紧凑。在这种实施例中，用户能够证实他/她自己 合法并通过PEAD将他/她的手指简单地出现或掠过传感器606来认可 事务处理，由此使认可按钮606是可选择的。作为另一实例，机构612 可以是FPS110，它是Veridicom of Santa Clara，California生产的电 容性硅指纹传感器。\n附图6B为根据本发明的一方面以简单的方式示出了实施附图6A 的PEAD 200的硬件。电池652提供输送给PEAD 200的电路的功率。 微控制器654执行存储在快速存储器656中的代码，并将随机存取存 储器658用于这种执行过程。在一种实施例中，微控制器654、快速 存储器656以及甚至随机存取存储器658都可以以单片实施，例如 Motorola Inc.of Schaumburg，Illinois生产的NC68HC05SCXX系列 芯片比如NC68HC05SC28或Infineon Technologies of San Jose， California生产的SLE22，44和66系列的安全控制器比如 SLE66CX320S。认可按钮606和可选择的跳转按钮608耦合到微控制 器654以允许用户指示对应用显示电路660显示的特定事务处理的拒 绝或认可。通过红外收发器662在微控制器654的控制下完成与电子 事务处理系统的通信。电源开关664允许用户在不使用时切断PEAD 200以保存功率并防止意外的认可。\n附图7A所示为根据本发明的一方面应用本发明的PEAD的认可 技术的流程图。在步骤702中，在PEAD中从与电子事务处理系统相 关的请求设备中接收事务处理请求。在步骤704中，用户选择认可或 不认可所提出的事务处理。如果不认可，例如通过启动PEAD的跳转 按钮或简单地使请求超时，则将什么事也不做。\n在另一方面，如果用户认可所提出的事务处理，则用户启动认可 按钮以产生事务处理认可数据。然后在步骤708中在PEAD中对事务 处理认可数据进行加密。在步骤710中，在经加密之后将经加密的事 务处理认可数据发送给电子事务处理系统的请求设备。\n附图7B所示为根据本发明的另一方面应用本发明PEAD的认可 技术的流程图。在步骤752中，在代理服务器中从与电子事务处理系 统相关的请求设备中接收事务处理请求。在步骤754中，用户选择认 可或不认可在PEAD中所提出的事务处理。如果不认可，例如通过启 动PEAD的跳转按钮或简单地使请求超时，则将什么事也不做。\n在另一方面，如果用户认可所提出的事务处理，则用户启动认可 按钮以产生事务处理认可数据。然后在步骤758中对事务处理认可数 据进行加密，这既可以在PEAD内或在代理服务器上或在两者中进行。 在步骤760中，在经加密之后将经加密的事务处理认可数据发送给电 子事务处理系统的请求设备。\n附图8所示为根据本发明的一方面包括在应用公用密钥加密技术 加密事务处理认可数据的过程中的步骤的流程图。在步骤802中，产 生事务处理认可数据包。如前文结合附图3B所讨论，通过给一部分 或全部的事务处理请求附加上任何所需的用户标识数据可以产生事务 处理认可数据。可选择的是，在其中还可以附加上时间标记。在步骤 804中，应用用户的私有密钥对事务处理认可数据进行加密，这种用 户的私有密钥优选总是安全地保存在PEAD中。此后，将经加密的事 务处理认可数据发送回电子事务处理系统。\n根据本发明的一方面，应该认识到，即使经加密的事务处理认可 数据被第三方截获并通过分析解密，它仍然不可能避开本发明的安全 特征，只要用户的私有密钥或用户的标识数据是安全的。如前文所述， 由于用户的标识数据不可能从外部存取，因此它总是安全地保存在 PEAD内。这与已有技术不同，在已有技术中要求用户在电子事务处 理系统上输入标识数据(例如口令)，这就存在暴露这种敏感数据的 危险。\n即使泄露了用户的标识数据，仍然不能进行事务处理认可，除非 他拥有用户的私有密钥。由于事务处理对方(例如请求事务处理认可 的销售商)将不接收没有应用用户的私有密钥加密的任何事务处理认 可数据，因此截获经加密的事务处理认可数据甚至某人应用用户的公 用密钥能够解密它也是无用的。此外，由于私有密钥不能从外部存取， 因此它总是安全地保存在PEAD内。本发明的这方面在执行在线事务 处理方面具有很大的优点，因为用户的私有密钥不再存储在工作站中 的易受攻击的计算机文件中，这种计算机文件可被其它人访问并且难 以连同其它的验证任务一起方便地装载。\nPEAD以小型便携式外壳的方式实施的事实使得用户总是能够方 便且舒服地保持携带PEAD。即使PEAD在物理上被偷窃，然而，可 选择的用户验证机构(例如附图6A的用户验证机构612)提供了附加 等级的保护并使PEAD对于除了正确验证的用户以外的其它人都无 用。当然，如果PEAD被偷窃或丢失的话用户总是通知PEAD的发行 者，发行者可以通知事务处理对方以拒绝应用被偷窃的PEAD的用户 的私有密钥加密的任何事务处理认可数据。\n事务处理认可数据包括时间标记、销售商名称、认可数量以及其 它的相关数据的事实也提高了事务处理认可过程的整体性。如果销售 商给发行者无意地或有意地提交多个事务处理认可，则发行者也能够 从这些数据项中识别这些提交是副本并忽略任何副本事务处理认可数 据。例如，发行者可以认识到用户不可能在相同的饭店在一给定的时 间和日期购买多份相同的正餐。\n应该注意的是，虽然上文的讨论集中在事务处理认可上，但是对 于本领域的普通人员显然的是，PEAD可以用于实施与电子事务处理 系统的任何类型的事务处理，可取的是从用户发送到电子事务处理系 统的数据任何时候都是安全的。例如，PEAD可以用于登录进入高度 敏感的计算机系统或设备。在如此实施时，PEAD与其进行通信的计 算机终端可以装备红外端口、磁性读取端口或与PEAD进行通信的触 点型插塞。然后用户可以应用PEAD来执行任何类型的在线验证任务。\n作为进一步的实例，PEAD可以用于签署用于验证目的的任何计 算机文件(例如验证日期或用户)。然后连同要验证的文件一起存储 事务处理认可数据以备将来参考。注意，事务处理验证数据仍然是防 止篡改的，因为没有应用用户的私有密钥加密的任何事务处理验证数 据都将不认为是可信的。此外，显然的是，如果PEAD用于仅认可预 定的事务处理，则将事务处理数据预先存储在PEAD内，并且不需要 通过PEAD从外部接收。\n在另一实施例中，本发明涉及在电子事务处理系统内实施电子事 务处理以确信保密性、验证、整体性和非否认的技术。可以看到成功 的电子事务处理(例如那些在计算机网络比如因特网上实施的电子事 务处理)具有四个主要的条件：保密性、验证、整体性和非否认。在 已有技术中，保密性通常通过应用加密技术加密在用户的计算机和远 程服务器之间的数据来解决。由NetScape Corp.Of Mountain View， California所采用的一种加密技术包括使用Security Socket Layer(加 密套接字协议层，SSL)，这种SSL实质上利用在开放的网络上点对 点通信的加密技术(例如公用密钥加密技术)。\n虽然象SSL一样的加密技术在一定程度上确保了事务处理的传输 是安全的，但是仍然没有验证实际实施该事务处理的人的身份的机构 (即存在验证缺陷)。例如，如果未经授权的人在解开合法的用户的 口令之后应用合法的用户的计算机(该计算机可能采用SSL)来实施 事务处理由此损害合法用户的利益，在实施事务处理的过程中或在完 成该事务处理之后不存在确定实施事务处理的人是未经授权的人还是 合法的用户的机构。即使合法用户本人实施了该事务处理，该验证缺 陷仍然使得保证非否认是不可能的，因为对于供应商来说难以证明谁 是真正实施事务处理的合法用户。此外，虽然应用安全的传输设备比 如SSL进行传输相对较安全，但是在所传输的数据(比如在合同或采 购单中的项目)在接收端被人解密之后很容易被修改。\n根据本发明的一方面，提供一种实施电子事务处理的软件实施的 技术以便能够更好地满足前述的要求。在一种实施例中，在此所提出 的电子事务处理技术应用事务处理程序(TP)，这种事务处理程序一 般是可以从服务器中下载到请求设备(例如设备202)并在请求设备 上执行以实施电子事务处理的程序或小程序。例如，可以使用如下的 计算机语言：比如由Sun Mimcrosystems Inc.Of Mountain View， California的Java，Microsfot Corp.Of Redmond，Washington的 ActiveX或Uniwired Planet，Inc.Of Redwood City，California的 HDML(手持式设备置标语言)，但是在此所提出的电子事务处理技 术也可以通过任何其它适合的计算机语言实施。\n一旦下载了，可以以任何适合的方式构造TP以便执行，可取的 是构造为独立的程序或作为插入到因特网浏览器(例如，分别由前述 的NetScape Corp.、Microsoft Corp.和Phone.com，Inc.开发的 NetScape，Internet Explorer或Microbrowser)中的插件。\n为便于讨论本发明的这方面的优点和特征，附图9A描述了包括 服务器902、网络904和请求设备906的电子事务处理网络900。还示 出了事务处理认可设备比如PEAD908。如前文所述，请求设备906 可以代表允许用户与电子事务处理系统进行商务处理的任何类型的设 备。可取的是，以通过网络904能够与服务器902进行通信的适合的 计算机终端来实施请求设备，网络904可以代表LAN、WAN或因特 网。计算机终端本身例如可以是台式计算机、便携式设备、手持式设 备或者包括那些能够实施Windows、Macintosh、Unix平台或能够支 持浏览器程序的设备。如果请求设备是便携式设备或手持式设备，则 PEAD908可以嵌入到请求设备906中。此外，在请求设备906和服务 器902之间的通信链接可以是如在附图9B中所示的无线通信链接。\n根据本发明的一种实施例，为实施电子事务处理，事务处理程序 (TP)优选从供应商或服务提供商的服务器902中下载到请求设备 906(附图10的步骤1002)。TP可以包括可执行的部分以及与事务 处理相关的数据以用于用户的输入、认可和/或验证。\n例如，如果事务处理包含购买设备，则TP可以下载属于型号、 价格等的数据。附图11描述了购买设备的一个实例性事务处理请求。 作为另一实例，如果事务处理包含购买或销售有价证券(比如股票或 债券)，则连同属于要办理的有价证券的数据一起下载TP。当然，事 务处理请求可以与任何类型的事务处理相关，包括那些不涉及用于商 品或服务的现金或信用的交易的事务处理(比如文件的传送)。\n反过来，TP优选从用户接收用户的数据(例如，用户的标识数据， 所提出的事务处理所需的任何数据比如地址信息、数量信息、尺寸信 息、支付方法、信用卡号、账号等)和认可事务处理的指示。\n应该理解的是，根据要进行的事务处理的特点可以改变要下载的 特定的数据。同样地，通过TP从用户接收的数据也可以随不同的应 用而变化。在某些情况下，如果用户已经在过去给供应商提供了某些 请求数据(比如用户的地址)，则TP可以不再询问相同的数据或者 可以简单地将已经提供的数据呈现给用户以确认和/或可能的编辑。\nTP的可执行的部分优选包括代码以自动地检测事务处理认可设 备(比如前述的PEAD、智能卡设备、信用卡读取器等)的存在，以 使TP能够应用事务处理认可设备来完成事务处理(附图10的步骤 1004)。例如，可以构造下载代码以搜索用户的计算机来检测事务处 理认可设备是否已经安装或者使用用户的计算机通信端口来查询是否 存在可能在用户的计算机的外部的事务处理认可设备。如果PEAD嵌 入在便携式请求设备中，则在便携式请求设备中执行PEAD检测。\nTP的可执行部分也包括通过适合的输入设备获得用户的验证标 识的代码。例如，TP可以获得用户的签名、用户的面部图像、指纹、 声纹、通过组织取样获取的NDA代码序列或其它的唯一生物测定或 其它的唯一标识数据。所获得的用户的标识有利于非否认，即它有利 于识别实施事务处理的人的身份以改善欺诈检测或可以使否认能力最 小。当然某些标识数据已经存在于PEAD中，并且如果从PEAD中获 得这种标识数据，则所获得的标识可以至少指示在请求设备上执行事 务处理的人也已经访问了PEAD。\n然而，应该理解的是，不需要每次都下载某些或所有的可执行部 分，而是只需要一次将它下载到请求设备中以便随后使用。当然，TP 的可执行部分是可下载的(可取的是连用要认可的事务处理一同可下 载)的事实极大地简化了启动电子事务处理的任务，即使在更新事务 处理认可设备时(例如应用新技术)，或者在给请求设备安装新的事 务处理认可设备时，在事务处理认可设备和请求设备之间的通信协议 改变。在这些情况下，连同事务处理自动地或者一旦用户请求时可以 将包含适合于更新的/新的事务处理设备的更新的代码和/或协议的TP 下载到请求设备中以启动电子事务处理。\n为了便于讨论，假设请求设备(例如用户的计算机)是启动的 PEAD。在这种情况下，一旦它已经检测到存在这种设备，则根据所 讨论的技术TP可以与PEAD进行通信以获得认可数据、验证数据和/ 或任何其它所需的用户提供的信息(附图10的步骤1006)。例如， TP可以应用在请求设备中的通信端口以与PEAD进行通信。由于任 何所需的用户验证和用户提供的数据都可以存储在PEAD中，因此用 户的认可、验证和/或其它的用户提供的数据都可以通过PEAD进行加 密并发送回请求设备，在请求设备中TP可以应用这种数据以响应事 务处理请求，包括将从PEAD中所接收的部分或全部的加密的数据发 送回服务器(附图10的步骤1008)。\n从前文的描述中可以理解，使用PEAD结合TP来确保电子事务 处理保密，因为在PEAD和/或TP中的加密设备使传输安全。此外， 由于通过应用在PEAD内的标识数据(例如前述的唯一生物测定或唯 一的标识数据比如指纹、DNA代码序列、声纹等)可以验证用户，因 此可以更加安全地验证电子事务处理。\n同样地，如果以另一事务处理认可设备比如智能卡读取器或信用 卡读取器等启动请求设备，则TP可以请求用户应用所提供的事务处 理认可设备(例如，通过将智能卡或信用卡或其它的类似的装置插入 到所提供的事务处理认可设备中)单独地或结合其它的数据输入技术 (例如，点击在屏幕上所出现的选择、键入、语音输入等)进行认可、 验证和/或提供所请求的数据以完成所请求的事务处理数据。\n在另一方面，如果应用事务处理认可设备没有启动请求设备，则 用户可能仍然通过常规地应用前述的任一数据输入技术进行验证、认 可和/或提供所请求的数据来继续事务处理(附图10的步骤1006)。 可取地(但不是必需地)，TP然后例如应用公用密钥转录系统形成 和/或加密所输入的数据以将事务处理数据发送回服务器以完成事务 处理(附图10的步骤1008)。在这种方式中，TP是与可能没有配备 事务处理认可设备的请求设备向后兼容的。\n注意在优选实施例中由于给所下载的TP赋予了加密功能，即在 本实施例中加密代码包括在所下载的代码中，因此可以不需要通用的 加密设备(比如前述的SSL)用于安全传输。这样，仍然可以确保与 请求设备的向后兼容，即使该请求设备没有装备安全的传输设备(例 如前述的SSL)，同时保证传输的保密性。在另一方面，如果请求设 备具有通用的加密设备(例如前述的SSL)，则不要求存在TP的加 密代码。当然，也可以应用TP的加密设备和通用的加密设备(例如 前述的SSL)一起来加密以加密传输到服务器的数据。\n然而，应该注意的是，以这种方式实施事务处理可能比以事务处 理认可设备比如PEAD所实施的事务处理的安全性更小，因为提供商 不能验证或核对用户的身份。因为这个缘故，可能就不能确保非否认， 因为怀疑用户可以后来否认所实施的事务处理。同时，数据整体性可 能更加不安全，因为在远程服务器上一旦接收之后就可以修改事务处 理数据。\n本发明的另一实施方式直接针对服务预定事务处理。在这种实施 方式中，PEAD在所有的相同的设备中都可以执行服务预定、事务处 理和服务授权。例如，PEAD能够通过无线网络和因特网执行旅馆预 定并通过给由PEAD所执行的电子签名提供信用信息完成事务处理。 一旦旅馆确认该事务处理，旅馆就能够将包括旅馆的房间号等的服务 信息以及经加密的电子房间钥匙通过因特网和无线网络发送给 PEAD。在用户到达旅馆时，他不需要排队等待办理登记手续，而是 可以直接到房间并使用PEAD预先存储的旅馆电子钥匙打开房间的 门。PEAD用户也能够使用PEAD通过无线网络和因特网订购房间服 务。在用户暂住的最后，他还可以通过PEAD办理结帐手续并通过无 线网络和因特网接收电子发票/收据。例如，用户可以在到机场赶飞机 的同时办理结帐离店手续。\n类似地，PEAD可以通过无线网络和因特网执行机票预定。一旦 应用PEAD完成事务处理，航空公司可以通过因特网和无线网络将加 密的电子机票发送给PEAD。在PEAD用户到达机场时，在通过安全 检查之后，他可以使用PEAD预定的电子机票通过无线网络和因特网 通知入口柜台计算机他是机票的主人以便直接登机。\n类似地，通过无线网络和因特网PEAD可以用于预定戏票并接收 经加密的电子戏票和服务信息。PEAD可以用于出租汽车预定、钥匙 拾得服务，甚至通过装备的因特网控制的点火系统启动汽车以及汽车 返回服务。\n或者，超市可以通过因特网和无线网络给PEAD发布电子赠券。 在用户在超市购物时，他可以通过无线网络和因特网在销售点柜台上 出示赠券。\n一种优选的实施例使用因特网启动的蜂窝电话(例如网络电话)、 无线PDA或无线双向寻呼机以实施PEAD来实施上述的应用。下文 的描述使用因特网启动的蜂窝电话作为实施方式的实例，在本领域的 普通人员将会理解的是相同或类似的方法可以用于无线PDA和双向 寻呼机。因特网启动的蜂窝电话(网络电话)能够通过无线网络与因 特网进行通信。例如，当前的SprintPCS提供了使用NeoPoint1000 网络电话的因特网电话服务。网络电话可以通过无线网关访问因特网， 并且可以通过无线网络和因特网与旅馆的因特网预定系统联系。软件 和/或固件控制在网络电话中运行的PEAD的功能称为eSignX Agent (或简称为xAgent)。xAgent是在用户的控制之下与旅馆的预定事 务处理系统联系。该预定事务处理过程包括：(1)发出预定请求的网 络电话(PEAD)(可选择的是，应用销售商公用密钥[在此所给定的 实例中，销售商是旅馆，因此它是旅馆的公用密钥或它的执照]对请求 进行加密；可选择的是使用用户的私有密钥来签署请求)；(2)销售 商承认服务的可行性和成本(可选择的是，应用用户的公用密钥和旅 馆的私有密钥对这种消息进行加密)；(3)一旦用户认可事务处理， 网络电话发出与信用信息一致并通过用户的私有密钥签署的事务处理 (可选择的是，以销售商的公用密钥进行加密)；(4)一旦销售商确 认事务处理，销售商发出服务信息以及服务授权权标(在旅馆预定实 例中该权标可以是电子房间钥匙，在机票预定和戏票预定实例中该权 标可以是电子票，或者该权标可以是超市赠券等。可选择的是，通过 用户的公用密钥和销售商的私有密钥对该权标进行加密)；(5)在实 施服务时，通过无线网络和因特网在服务点(例如，旅馆房间的门、 机场登机门或剧院入口、超市结帐柜台或出租车等)上给出服务授权 权标；(6)如果在服务点上服务授权权标已经生效(例如，应用销售 商的公用密钥成功地对权标解密)，则销售商可以批准该服务(例如， 打开旅馆的房间、允许在机场入口通道登机、允许进入剧院、对交易 量进行打折、汽车发动机点火，等)。\n在另一实施例中，称为销售点事务处理，PEAD通过无线网络和 因特网执行销售点事务处理。在将来，销售点终端可以通过内部网络 系统或通过拨号电话线、DSL、ADSL或电缆调制解调器等访问因特 网。PEAD可以用于销售点事务处理设备。在销售点结帐柜台，销售 点终端可以扫描商品条形码并产生事务处理信息以及产生唯一的事务 处理号(例如，该号码包含商店号+柜台号+事务处理记录号)或销售 点终端的唯一的ID(例如，电话号)以给PEAD的用户以输入到PEAD (例如网络电话)。用户可以使用在PEAD上的小键盘输入销售点终 端的唯一的ID或使用内置在PEAD中的变型输入装置比如条形码扫 描器或OCR读取器以扫描销售点终端的唯一的ID。也可以通过在 PEAD上的键盘或扫描器给PEAD输入商品条形码号并从PEAD产生 事务处理信息，而不从销售点终端中产生事务处理信息。然后，PEAD 能够使用这种唯一的事务处理号或销售点终端的唯一ID来通过无线 网络和因特网与销售网点系统建立通信链接以实施事务处理。或者， 用户可以给销售点柜台唯一的PEAD ID(例如，蜂窝电话号)以输入 到销售点终端，或者销售商可以使用扫描器(例如条形码扫描器或 OCR扫描器)以扫描以条形码和/或人可读取的格式附着在PEAD的 外壳上的PEAD ID以通过因特网和无线网络与PEAD建立通信链接 以实施事务处理。这种识别过程(或链接过程)可以通过本地无线端 口(例如红外端口或Bluetooth(短距离无线RF)端口)自动地进行。 可替换的是，PEAD可以配备有GPS系统，根据GPS几何位置PEAD 可以自动地搜索最近的销售点终端，并通过使用将销售点终端的位置 接近度映射到销售点终端的唯一的ID的位置ID映射表自动地建立链 接。一旦在PEAD和销售点终端之间建立了链接，则PEAD可以显示 包括价格、项目等的事务处理信息，并且如果用户同意支付，则他按 下认可按钮以批准该事务处理。在下列文献中也描述了使用PEAD的 用户认可过程和事务处理过程：美国申请No.09/067,176和现在为美 国专利No.5,917,913的美国申请No.08/759,555。\n在本发明的一方面，如果销售点终端也具有短距离无线通信能力 比如Bluetooth和红外通信端口，则通过PEAD的Bluetooth端口或 红外端口使用相同的方法可以本地地实施所描述的事务处理。\n通过使用远程语音启动或按钮音服务器还可以使用普通的蜂窝电 话，这种普通的蜂窝电话不必具有执行上述的服务预定事务处理和销 售点事务处理的网络能力。例如，这称为代理服务器。除了代理服务 器不必是便携式以外它与在网络电话中的PEAD的功能完全相同。它 通过已有的电话网络与最终用户连接的已有的语音启动或按钮音运 行。一旦用户在代理服务器中注册了xAgent，则普通蜂窝电话最终用 户可以享受与网络电话用户相同的功能。例如，最终用户可以使用普 通蜂窝电话拨号到代理服务器以通过语音启动接口或按钮音接口输入 他的xAgent口令来启动他自己的xAent。一旦启动了xAgent，则他 能够预定旅馆房间、订票、在销售点柜台通过代理服务器付帐，就象 他运行在网络电话上一样。例如，最终用户可以预定旅馆房间，一旦 xAgent从用户的蜂窝电话中获得认可，则在代理服务器上运行的 xAgent可以交换预先存储在xAgent中的信用信息并签署事务处理。 旅馆可以与给PEADA一样地给在代理服务器中的xAgent发送电子房 间钥匙。在最终用户到达旅馆时，他能够通过因特网拨打代理服务器 的号码以请求启动存储在xAgent中的电子房间钥匙以打开门。类似 地，可以通过网络电话实施的所有其他的应用也可以通过普通的蜂窝 电话加上在代理服务器中的远程运行的xAgent实施。\n从书面的描述中可以清楚地看出本发明的许多特征和优点，因此， 通过附加的权利要求希望覆盖本发明的所有这些特征和优点。此外， 由于在本领域的普通人员很容易产生许多改型和变化，因此并不希望 将本发明限制到所示的和所描述的具体的结构和操作中。因此，所有 的适合的改型和等效方案都落在本发明的范围内。\n本申请是1998年4月27日申请的美国申请No.09/067,176的继续 部分申请，而申请09/067,176又是1996年12月4日申请的美国申请 No.08/759,555(即现在的美国专利No.5,917,913)的继续。