为交易提供便利和认证的制作方法

专利名称：为交易提供便利和认证的制作方法
技术领域：
本发明涉及为交易提供便利和认证。在本发明的实施例中，这将在下面仅通过实例更加详细地描述，为数据处理装置(例如，个人计算机)或其使用者和(可能是远程的)第三方之间的交易提供便利和认证，并且这种便利和认证还可能涉及为由使用者进行的或代表使用者进行的到第三方的支付或数据传递提供便利和认证。
根据本发明，提供了一种用于连接到数据处理装置的设备，该设备包括第一耦合部件，用于可操作耦合到认证存储部件，该认证存储部件存储和认证与该数据处理装置的交易有关的预定信息；第二耦合部件，用于可操作耦合到该数据处理装置，该设备在操作上耦合到该数据处理装置时，对通过通信链路进行的用于认证该交易的认证过程响应，该认证过程涉及预定信息的使用；安全性数据输入部件，用于获得独立于该数据处理装置的安全性数据；以及用于临时存储该安全性数据的部件。
根据本发明，还提供了一种用于连接到数据处理装置的设备，该设备包括第一耦合部件，用于可操作耦合到认证存储部件，该认证存储部件存储和认证与该数据处理装置的交易有关的预定信息；第二耦合部件，用于可操作耦合到该数据处理装置；以及配置部件，用于选择地使第二耦合部件可用于耦合到该数据处理装置，该设备在操作上耦合到该数据处理装置时对通过通信链路进行的用于认证该交易的认证过程响应，该认证过程涉及预定配置信息的使用。
马上，将仅通过实例参考所附简图，描述根据本发明的为交易提供便利和认证的一种方法，涉及诸如个人计算机的数据处理装置，和体现本发明的用于连接到数据处理装置(例如，个人计算机)的设备，其中

图1是用于说明关于数据处理装置的本方法操作的方框图；图2是用于理解图1中方框图的流程图；图3是对应于图1的方框图，其中，根据本发明，使用了“DONGLE”；图4是DONGLE一种配置的透视图；图5示出该DONGLE另一种配置的侧视图；图6示出用于说明使用数据处理装置认证交易的方法的操作方框图；图7A、7B和7C是用于理解由图6的数据处理装置进行的认证过程的流程图；图8A示出DONGLE第三种配置的正视图；图8B示出图8A中DONGLE的侧视图；图8C示出沿图8B的x-x线的横断面视图，但是DONGLE连接器伸出；图8D示出对应于图8B的侧视图，但是DONGLE连接器伸出；图9A示出DONGLE第四种配置的正视图；图9B示出图9A中DONGLE的侧视图；图9C示出对应于图9A的正视图，但是DONGLE连接器伸出；图9D示出对应于图9B的侧视图，但是DONGLE连接器伸出；图10A示出DONGLE第五种配置的正视图；图10B示出图10A中DONGLE的侧视图；图10C示出对应于图10A的正视图，但是DONGLE连接器伸出；图10D示出对应于图10B的侧视图，但是DONGLE连接器伸出；图11A示出DONGLE第六种配置的正视图；图11B示出图11A中DONGLE的侧视图；以及图11C示出电连接器如何自DONGLE的外壳出现。
图中，相似的元件通常用同样的参考数字标明。
存在许多这样的情况，涉及数据处理装置的使用的交易要求认证。例如，可能要求数据处理装置进行诸如和第三方(例如，和必须在电信链路(包括通过因特网)上与其通信的远程第三方)交换信息的交易。该第三方可能要求，在交易发生前，对数据处理装置或其目前的使用者进行使该第三方满意地认证。
正如所述，交易可能仅仅涉及信息的交换。例如，数据处理装置的使用者，为从第三方下载信息，可能才需要被认证。这种信息可能是由第三方保存的代表数据处理装置使用者的信息(例如，涉及使用者的银行帐户的信息)。代替地，信息可能是保存在其它数据处理装置的信息，例如，属于和使用者相连的或雇佣使用者的组织或商业实体的数据网络，因此，为使用者在旅行时访问那个网络提供了便利。另一可能的交易可能涉及数据处理装置从远程位置下载软件。
此外，为了允许交易发生，交易可能要求使用者支付。例如，支付给第三方，作为提供的信息的回报。明显地，当涉及这种支付时，使第三方满意地认证使用者并且以可靠、简单和安全的方式支付是重要的。
虽然前面的描述提到数据处理装置的“使用者”，上述交易中至少一些交易其实可能不涉及任何人类使用者数据处理装置可能被要求自动操作(例如，在信息采集或监控任务中断续操作并且向第三方报告结果)。在这种情况下，可选地或另外地，数据处理装置使第三方满意地认证自己可能是必需的。
数据处理装置设有装置(认证存储装置)或和装置(认证存储装置)相关联，用于存储用于认证那个装置或其特定使用者的预定认证信息。在一个实施例中，用于存储预定信息的装置是可移除的，并且因此能被使用者带走，插入任何适于接收它的数据处理装置(或计算机)，以便允述关于要由那个使用者进行的和那台计算机的交易而认证那个使用者。有利地，在这种情况下，用于存储预定信息的装置是智能卡的形式。
在更具体的实例中，智能卡是用在移动或蜂窝电信网络-例如GSM(Group Special Mobile移动通信特别小组)或3G(ThirdGeneration第三代)网络里的手机里并且用于认证手机的使用的类型的用户身份模块或SIM。这种网络将存储其使用者的(用户的)SIM的详细资料。在网络操作中，使用者的手机被认证(例如，当使用者考虑到进行呼叫或接收呼叫在网络上激活手机时)，通过网络发送询问到含那个SIM的手机，作为响应，SIM计算应答(根据SIM上保存的预定信息-通常是认证算法和唯一的密钥Ki)，并且把应答发送回网络，该网络把应答和它自己的那个使用者或用户的信息进行核对，从而完成认证过程。因此，同样地，SIM可用于数据处理装置或计算机，或和数据处理装置或计算机相关联，以便可以进行同样形式的认证过程。在SIM是特定蜂窝电信网络用户的SIM的情况下，认证过程可由那个网络进行。
应该注意，描述的认证过程不一定认证使用者的人类身份。例如，蜂窝电信网络有预支付用户，作为预支付的回报，发SIM给预付客户，允许他们在网络上进行呼叫。但是，这种预支付用户的身份不被网络所知(或不一定被网络所知)。不过，直到网络认证了那个用户的SIM一也就是说，直到网络证实这种使用者是有网络的特定的预支付帐户的特定使用者时，这种使用者才能使用网络。这种预支付使用者或用户的SIM可同样好地用于(以所述方式)数据处理装置或计算机，或和数据处理装置或计算机相关联，出于认证那个使用者的目的。
SIM没必要采用物理的(并且可移除的)智能卡的形式，而是能通过以例如软件形式或表现为芯片的形式嵌入在数据处理装置或计算机里来模拟。
能改变SIM(或模拟的SIM)上的认证信息以把改变的情况纳入考虑范围，可能是值得要的。例如，SIM可以是向特定的蜂窝电信网络(可应用于国家或地区的使用数据处理装置或计算机的网络)登记的SIM。但是，可能出现这种情况(例如，装置或计算机被物理地移动到不同的国家或地区)，其中，向不同的蜂窝电信网络重新登记SIM是值得要的或必需的。可以重新登记SIM的方法公布于我们共同未决的英国专利申请0118406.8、0122712.3和0130790.9，以及我们对应的PCT申请GB02/003265、GB02/003260和GB02/003252。如其中更详细所述，起初，SIM(因此还有模拟的SIM)可设有涉及多个网络中的每个网络的认证(和其它的)信息，有关不同网络的信息可被选择地激活。
但是，这对于是电信网络用户的使用者，不是必需的。代替地，他们可能是向某一其它集中式系统登记的用户，然后，该系统能以和电信网络中同样的方式进行认证过程。在这种情况下，SIM(或模拟的SIM)的登记可以从一个这样的集中式系统以和上述同样的方式传递到另一个。
如上所述，认证过程的目的是为数据处理装置或计算机和第三方之间的交易提供便利。在由SIM的使用者是用户的电信网络或某一其它系统进行认证过程的地方，认证过程满意的完成，然后将由网络或系统传送到第三方，以允许交易进行。
对于所述类型的许多交易，可能涉及使用者向第三方支付。如上所述的方案，其中，认证过程由使用者是用户的电信网络或其它集中式系统进行，有利地为这种支付的实现提供了便利，并且在支付是小数量(例如作为接收信息回报的支付-例如，天气或交通信息，或作为临时使用专用软件的回报)的地方(这可能经常是事实)尤其有利；在这种情况下，支付可记入由电信网络或其它集中式系统保存的用户帐户的借方，-并且，然后，可能在扣除手续费之后，自然地传递到第三方。
图1的方框图示意说明了操作上述方法的一种方式。
示出了一种基于视窗(Windows)的个人计算机或PC 10(“视窗”是一种商标)。PC 10适于接收SIM(以12简要示出)。该SIM可能可移除地安装到PC，用于识别使用者(也就是说，SIM的持有者)，或可能固定在PC内部(用于识别PC本身)。PC 10包含交易管理软件14，该交易管理软件和SIM的一些功能交互并且控制SIM的一些功能。
虽然已经描述了PC 10适于接收SIM的方案，应该理解可使用除SIM以外的智能卡，并且，这和本发明是一致的。此外，优于由PC接收SIM(或智能卡)-通过可移动地安装到PC或固定在PC内部-SIM(或智能卡)可以用任何允许SIM(或智能卡)和PC 10之间通信的方式和PC相关联。例如，SIM(或智能卡)可设有“DONGLE”(DONGLE的实例在下文详细描述)，该DONGLE允许和PC 10进行有线或无线通信。最好，SIM(或智能卡)和PC 10之间的通信是安全的。通信可被加密，或采用任何其它的用于安全通信的装置。
图1中还示出了诸如沃达丰Vodafone(商标)网络的蜂窝式移动电话网络16，并且假定SIM 12向网络16登记。
图1所示系统的操作将参考图2的流程图说明。
在步骤A，PC 10的使用者请求使用PC上特定的应用17。例如，使用者可能希望观看包含专门信息的网页，这些网页被加密，并且因此通常看不到。为了观看这种网页，使用者请求“会话密钥”一也就是说，例如，进行涉及限时使用该特定应用的交易的许可。对会话密钥的请求提交给交易管理器14。然后，交易管理器14发送从SIM 12得到的识别信息(“我在这儿”的消息)到网络16的安全性服务部分18(步骤B)。作为“我在这儿”消息的响应，网络发送随机的询问(步骤C)到交易管理器14，该询问是基于网络已知的关于SIM 12的信息。
图1的双箭头19示意地指出PC 10和网络16之间的双向数据通信。该数据通信可在任何适合的通信媒介上进行。例如，通信媒介可以是固定的电话网络(例如，PSTN)或无线网络。例如，无线网络可能和提供安全性服务18的网络16一样，或可能是另一种网络。数据通信可通过因特网进行。数据通信最好是安全和加密的形式。
在步骤D，通过提供从询问得到的答案和保存在SIM上的密钥，交易管理器14发送SIM 12的响应到询问方。该应答由网络16的安全性服务部分18检查。假定响应是令人满意的，安全性服务部分18认证使用者，并且向交易管理器14证实这点(步骤E)-可能通过提供总装(populate)安全令牌(Security Token)。同时，网络中的安全性服务部分18发送会话密钥(步骤F)到网络16的应用服务部分22。
交易管理器14也发送会话密钥到应用17(步骤G)。
在所述实施例中，交易管理器为传递数据到SIM 12和从SIM 12传递数据提供了便利。不要求交易管理器能够理解或解释该数据。描述的实施例中的交易管理器的功能是作为数据传送到SIM 12或从SIM12传送的管道。
现在，使用者能做出对特定的应用的请求(步骤H)，伴随该应用请求的是在步骤G接收的会话密钥。步骤H的应用请求发送到应用服务部分22，该应用服务部分22可能是网络16的一部分(如图所示)，或者可能是单独的并且由第三方控制。在步骤I，应用服务部分比较与应用请求一起接收的会话密钥(步骤H)和在步骤F接收的会话密钥。假定这种检查的结果是满意的，应用服务部分22马上发送应用请求的接受(步骤J)到PC 10，并且，应用马上进行。会话密钥可能允许对应用服务器22的限时使用、单一使用或不限定使用一依赖于各种情况。现在，网络能把会话的费用记入帐户的借方。在应用服务部分22和安全性服务部分18之间可能有通信链路，以允许那些部分之间的数据交换-例如允许安全性服务部分18安排使用者在网络16的帐户被记入借方。
前面的当然仅仅是实现所述的一个简单的例子。
在可选方案中，数据载体可能设有用于存储诸如上述形式之一的预定信息的装置-也就是说，SIM或(更可能是)软件模拟的SIM。模拟的SIM和存储在数据载体上的数据相关联。数据载体可能例如是DVD或CD ROM或某一其它相似的数据载体，并且其上的数据可以是软件或软件组。
模拟的SIM可用于识别和认证数据载体上的数据(例如软件)。模拟的SIM将向电信网络或某一其它集中式系统登记，用和上述同样的方式。当数据载体位于诸如计算机的数据处理装置中，以在其中使用，SIM会被用于识别和认证数据载体和存储在其上的数据，并且(例如)然后可允许软件被下载用于计算机中。这样，SIM可随后用于阻止另外使用软件(例如，在另一计算机中)，或允许数据仅仅被使用预定次数(无论是在相同还是不同的计算机中)。如果，例如，数据载体(和它的SIM)位于也接收了特定用户SIM的计算机中，然后(a)数据载体上的SIM可被用于识别和认证软件，并且(b)计算机中的或和计算机相关联的SIM能用于认证使用者，并且可随后用于允许费用记入那个使用者的借方，作为软件使用的支付。
存储在带SIM的数据载体上的数据可以例如是加密的数据。该加密的数据只能使用由数据载体上的SIM提供的信息加密。这样，数据载体上的SIM可控制存储在数据载体上的数据的使用。例如，数据载体可以和特定的许可证(赋予使用者受限的权利来使用数据载体上的数据)一起出售。可允许使用者使用数据预定时间或预定次数。每次使用数据，都用存储在SIM上的数据对它进行解译。数据被解译的次数的记录在SIM中(或别处)维护。当数据被解译的次数等于和数据载体一起售出的许可证提供的次数，SIM通过不解译数据来阻止另外使用数据。如果数据设有许可证，一直持续到预定时间，每次SIM解译数据，SIM将检查当前的时间(参考提供的适合时钟，例如，SIM上、PC 10上或参考网络16)以便数据的解译只能进行到和数据载体一起出售的许可证中指定的时间。
虽然在上面描述了模拟的SIM，目前首选的是SIM在硬件中实现，因为这样更安全性。硬件SIM上的秘密认证数据对未授权的人员是不可达的。
优于PC 10适于接收SIM 12，或数据载体被修改以包含SIM或软件模拟的SIM，单独的设备或“DONGLE”30可被提供，用于接收SIM 12，或用于包含模拟SIM 12的软件。
图3示出了DONGLE 30，它允许用于认证交易(或用于任何其它适当目的)的数据在DONGLE 30和PC 10之间并且向上到或从网络16传送。
DONGLE 30包含有用于接收SIM 12的插槽的外壳32。该外壳32可用任何适合的材料制作。最好，该材料是电绝缘的。例如，外壳可包含激光激活的树脂或塑料。
在外壳32内部提供了适当的连接器(未示出)，用于允许SIM 12和DONGLE 30之间数据的电子交换。DONGLE 30还包含适合的连接器34，用于允许出于数据通信的目的连接到PC 10。例如，连接器可能是USB连接器、火线1394连接器或任何其它适合的连接器。当然，可提供不同配置的DONGLE。例如，SIM 12可完全容纳在DONGLE 30内部，并且通过打开外壳32可从DONGLE 30移除，或者SIM 12可永久地密封或封装在DONGLE外壳32的内部。如果提供了后一种方案，电信系统的使用者可设有第一SIM用于例如他们的移动电话手机，并且可设有DONGLE 30，它包含独立的SIM，用于进行通过PC 10的交易。如果是想要的，电信网络将包括记录，指出使用者移动手机内部的SIM和使用者DONGLE内部的SIM是共同所有，并且，该信息用于方便地向使用者提供关于使用两个SIM引起的费用的单一帐户。
DONGLE 30设有DONGLE接口驱动器36，它控制和PC 10的通信。所有自PC 10的通信通过DONGLE接口驱动器36进行路由选择，并且存储在SIM 12上的数据不可能被访问，除了通过使用DONGLE接口驱动器36。为PC 10提供了对应的PC接口驱动器38。PC接口驱动器38可以例如包含一系列的计算机程序形式的命令，该程序加载到PC 10上并由PC 10运行。PC接口驱动器38可以例如由网络16提供或受网络16的控制。因此，PC接口驱动器38将被网络16“信任”，并且将被配置以只允许以被核定的方式对DONGLE30并且从而对SIM 12访问，该方式不允许SIM 12上现有的安全性信息被泄漏。
为阻止、或减少PC接口驱动器38被可选驱动器替换或绕过，这可能泄漏SIM 12上的数据的安全性，PC接口驱动器38和DONGLE接口驱动器36设有各自共享秘密密钥40、42。每个自PC接口驱动器38至DONGLE的通信用共享秘密密钥40加密。所有自PC 10到DONGLE 30的通信由DONGLE接口驱动器36接收。DONGLE接口驱动器36包含处理装置，用于用它的秘密密钥42解译接收的通信。为了提高安全性，DONGLE接口驱动器36将阻止除了用共享秘密密钥加密的那些以外的所有发送数据到或从SIM 12接收数据的通信。
因此，PC接口驱动器38控制和监控对DONGLE 30和SIM 12的访问，以减少存储在SIM 12上的数据被未授权试图访问SIM 12泄漏的可能性。
假设对SIM 12上的数据进行访问的请求被PC接口驱动器核定(例如，根据网络16设置的准则)并且因此和适当的密钥一起传到DONGLE接口驱动器36，交易可使用SIM 12，以关于图1和2所述的方式进行认证。
虽然提供共享秘密密钥40、42是有利的，应该理解，提供共享秘密密钥40、42对本发明不是必需的。
在可选方案中，PC接口驱动器38没有设特定的秘密密钥40。但是，DONGLE接口驱动器36设有密钥42。当DONGLE 30耦合到PC 10时，PC接口驱动器38检测到DONGLE接口驱动器设有密钥42。然后，PC接口驱动器38可通过通信链路19从网络16获得密钥，该密钥将允许PC接口驱动器13和DONGLE接口驱动器36之间的数据交换使用密钥42加密。例如，DONGLE接口驱动器36的密钥42可以是私有密钥，由网络16提供给PC接口驱动器的密钥40可以是公共密钥-这两种密钥成为公共-私有密钥对。最好，由网络16提供的密钥不是在任何应用请求时提供。例如，网络16可配置为只提供这些密钥到可信的PC接口驱动器和/或在一些认证过程之后提供。
可选地，DONGLE接口驱动器36和PC接口驱动器38之间的数据传递可不被加密，或可用对不同设备上提供的许多DONGLE接口驱动器和PC接口驱动器通用的方式进行加密，这样的好处是允许DONGLE 30和许多不同的PC一起使用。
作为增加安全性的措施，PC接口驱动器38和交易管理器14之间的通信可被加密。例如，那些部分可能每个都有共享秘密密钥，并且，它们之间的通信可用共享秘密密钥加密。
本发明的另一个实施例将参考图4描述。根据图4，DONGLE 30有完全容纳于它的外壳32内部的SIM 12，并且，因此该SIM可能在图中看不到。DONGLE 30有连接器34，用于以和图3实施例相似的方式连接到PC 10。在外壳32的对端，任选的环形连接器44可被提供，以用于提供方便的装置来携带DONGLE 30，把它附在使用者的钥匙环上。
外壳32的一面有许多按钮46装配在上面，其中的10个在上面显示有从0到9的各个数字。在该实施例中，DONGLE 30包括，用于接收使用者通过操作适当标明的按钮46输入的PIN号的装置(例如软件)，该PIN号和提供给SIM 12并存储在SIM 12上的PIN号相比较。用于GSM电信网络的SIM常规地设有这种PIN。
外壳32还可任选地提供显示器48，用于提示使用者输入他们的PIN号和/或用于当输入时显示PIN号，如果是想要的。在用按钮46输入PIN号后，输入的PIN号就和存储在SIM上的PIN号相比较。如果发现PIN匹配，SIM和PC 10之间的通信被允许，以认证一个或更多的交易。输入的PIN号和存储在SIM 12上的PIN号之间的比较是在DONGLE 30内部进行的，并且输入的PIN号和存储在SIM上的PIN号都不传送到PC 10。这阻止或减少了PIN由于向授权方公布而将变为被泄漏的可能性。
为允许输入PIN，DONGLE 30要求有电源。电源可由PC 10提供。有利地，PIN有它自己临时的电源，该电源允许PIN被输入和验证。随后，电源中断，并且，PIN数据丢失。这是附加的安全性特点，并且在下面更加详细地描述。
图4的PIN输入比较方案可附加地或作为可选方案提供给接口驱动器36、38和图3所示方案中的共享秘密密钥40、42。
应该理解，作为按钮46的可选方案，其它装置可被提供，用于允许PIN输入。可选地，通过从使用者获得某一其它安全性信息，并且把它和存储在SIM 12上的数据比较，使用者可被授权使用SIM。例如，获得的数据可能是使用者的指纹或某一其它不可能在另一人上重新出现的特征-例如，任何适合的生物计量数据。指纹(或其它信息)的详细资料存储在SIM上，用于和代表上述特征的输入数据进行比较。
作为图4实施例的附加安全性特点，可提供显示器，显示向SIM12请求信息的应用或组织的名字。这会允许使用者监视对他的SIM 12的请求。
如果参考图3描述的接口驱动器36、38和各自的共享秘密密钥40、42用于也包括参考图4描述的PIN输入和比较方案的系统中，以提供增加级别的安全性，可对DONGLE 30编程以显示向SIM请求数据的应用或组织的名字，并且然后，可提示使用者通过用小键盘46输入使用者的PIN来核定对每个或选择的应用/组织的数据供应。作为输入PIN的可选方案，使用者可被提示激活“证实交易”按钮或同类按钮。
DONGLE 30可用于为和除了PC的数据处理装置的交易提供便利。例如，在网络16有帐户并且设有DONGLE 30的使用者，可把连接器34插入停车计时器里适当配置的插槽中，该停车计时器是可连接到网络16的。装在DONGLE 30内部的SIM 12使用停车计时器内部提供的交易管理器以上述方式被认证。这样，停车支付可通过从该使用者在网络16的帐户扣除适当的数目来进行。有利地，DONGLE 30将设有按钮46，并且DONGLE将提示使用者输入PIN，和存储在SIM上的PIN比较，从而，DONGLE 30不可能被未授权方使用。可对DONGLE编程以使得按钮46在停车计时器控制下允许输入和交易相关的数据-例如，需要停车位的时长。
例如，DONGLE 30还可用相似的方式和适当配置的DVD播放器一起使用，以允许靠从该使用者在网络16的帐户扣除费用来支付观看电影。可布置系统，以允许DONGLE 30作为数字版权管理策略(digital rights management scheme)中的密钥，正如我们共同未决的和本申请在相同日期提交的题为“数据处理”的专利申请。DONGLE还可允许产品从适当配置的售货机购买，或者允许票从适当配置的售票机购买。这种机器将包括处理器，从而，和由PC 10的交易管理器14进行的那些相对应的功能可由这些机器进行。
在上面的描述中，已经指出，用于认证交易的SIM可以有常规SIM的形式，要么插入PC 10内部适当的插槽，或者要么插入DONGLE30(如果提供)。这可以简单地是移动网络的用户用在他们常规移动终端里以进行呼叫或接收呼叫的SIM。可选地，SIM 12可嵌入PC 10或DONGLE 30内部(这样，它不可能被轻易移除，或者它根本不可能被移除)。此外，可选地，SIM可能没有单独的物理形式，但是可通过DONGLE 30或PC 10内部的软件和/或硬件来模拟。SIM可被模拟或包含进PC 10芯片组的内部。例如，SIM可被包含或模拟于PC 10的中央处理单元内部。这种方案阻止SIM(或模拟的SIM)从PC 10移除(除了通过使PC 10变为无用以外)。
如果SIM具有不能轻易从PC 10或DONGLE 30移除的形式，电信系统的用户可设有第二SIM，例如用于他们的移动电话手机。
但是，如果，同样的SIM用于(在PC 10或DONGLE 30里)认证交易，并且以常规的方式针对电信网络使用(例如，用移动电话进行呼叫或接收呼叫)，同样的数据可用于提供交易的认证，正如用于呼叫进行时向移动电话网络认证SIM一样。可选地，SIM可有单独的记录用于进行每个认证类型。可有第一记录，包含用于认证交易的数据和/或算法，和第二单独的记录，用于以常规方式向电信网络认证终端。这第一和第二记录可有各自的认证密钥、对电信网络的唯一标识和/或唯一的认证算法。
第一记录本身可包含一系列单独的记录，每个记录向电信网络登记，用于允许受单独记录控制认证的交易单独被识别和记帐。这马上参考图5更加详细地描述。在图5中，DONGLE 30可容纳许多SIM 12，或可有许多在DONGLE内部模拟的SIM。可选地，优于许多完整的SIM被提供或模拟，许多不同的记录可存储在DONGLE 30上。是提供多个SIM、提供多个模拟的SIM还是提供多个可选的记录，这些都可看作各自唯一的数据记录，这些数据记录对电信网络是可识别的。
这种方案可能是想要的，例如，当使用者或用户希望在多个环境中使用他们的DONGLE 30。当使用者或用户是为他们的雇主履行职责时，DONGLE 30将激活和雇主相关的数据记录。用那个数据记录授权的交易将在适当的地方导致费用记入雇主帐户的借方。当使用者或用户不是为他们的雇主履行职责时，那么，个人数据记录激活。用DONGLE 30认证的交易将导致费用从使用者的个人帐户扣除。这使得，由使用者或用户作为个人进行的交易和那些代表他的雇主进行的交易分离开来。DONGLE 30的模式(也就是说，是雇主的数据记录还是个人的数据记录被激活)可由DONGLE 30上提供的模式开关50来控制，或者模式可通过使用运行在PC 10上的交易管理器14或PC接口驱动器38中提供的软件来改变。当由使用者指示时，软件会使得适当的信号发送到DONGLE 30，以改变活动的SIM、模拟的SIM或数据记录。
作为附加的安全性措施，DONGLE可要求用户输入PIN(或提供其它数据)，以激活SIM的不同模式(例如，“雇员”模式或“个人”模式)。可能要求不同的PIN以激活每种模式。
至此所述的DONGLE 30有物理连接器34(例如，USB连接器)以允许和PC 10的数据通信。作为物理连接器34的可选措施，DONGLE 30和PC 10之间的无线链路可被提供。例如，数据交换可通过，由红外信令或任何其它适合的手段使用近距离的方法、使用蓝牙技术，来发生。
优于单独的DONGLE 30被提供，使用者的SIM可用常规的方式置于移动终端(例如移动电话手机)中。SIM可通过移动终端和PC10之间适合的数据交换，认证与PC 10的交易。当要求认证交易时，这可通过向移动终端提供连接PC 10的物理连接器(例如USB连接器)来实现，或通过任何一种上述的无线方法来进行。最好，该通信被加密或以某种其它方式变得安全。如果SIM设有单独的数据记录，出于常规的移动电信的目的，并且用于认证交易，那么，进行电话呼叫(例如，用电信网络)和认证与PC 10的交易同时进行，可变得可能。移动终端可方便地提供PC 10和网络16之间的通信链路。因此，这种方案中移动终端到PC 10的耦合不仅允许交易的认证，而且方便地提供了PC 10和网络16之间的通信媒介。在可选方案中，移动终端还提供了移动电信网络上的通信，但是，这不同于网络16。
DONGLE 30还可进行用于PC(或其它计算设备)的常规数据卡的功能。通过该方案，DONGLE将具有适合的尺寸，并且，将包括适合的连接器，用于允许DONGLE除了具有上述功能外又作为数据卡操作。
用于授权交易的方案的更进一步升级的实施例，将马上参考图6和图7A、7B和7C所示的流程图来描述。
客户平台，例如PC 10，包括交易管理器14。有SIM 12在其中的DONGLE 30被提供，并且，DONGLE 30和交易管理器14之间的通信是通过连接34(可以是有线的或是无线的连接)进行的。在该实施例中，交易管理器14包含图3所示的PC接口驱动器38，并且因此，PC接口驱动器未在图6中作为单独项示出。相似地，DONGLE30包含DONGLE接口驱动器，图3中以36示出，并且，因此，单独的DONGLE接口驱动器未在图6中示出。
PC 10可以例如使用视窗(RTM)操作系统。
许多客户应用17在PC 10上提供，这允许使用者从各自远程服务提供商22获得服务。应该理解，用“远程”并不意味着暗示PC 10和服务提供商22之间一定有特定的地理距离。但是，通常，服务提供商22将独立于PC 10被控制-虽然这不是必需的。
在该实施例中，移动电信网络16提供网络服务100，例如SMS、MMS、基于定位的服务等等。网络16还提供认证服务102和支付服务104。但是，应该理解，网络可以是任何类型的网络-本发明不局限于移动电信网络。例如，可以在通过局域网、广域网和/或因特网连接到PC 10的计算机中，提供认证服务102和支付服务104。
当用户希望使用由远程服务提供商22提供的服务时(图7A所示流程图的步骤A)，通过把他们装有SIM 12的DONGLE 30插入PC 12的适当的连接槽，或使用无线链路(步骤B)，用户把他们的SIM 12耦合到PC 10。然后，用户激活在PC 10上相关的客户应用17，以获得要求的服务(步骤C)。例如，客户应用17可能是专用软件，由服务提供商22提供和受服务提供商22控制提供，用于安装在用户的PC 10上。可选地，客户应用17可能是用于访问服务提供商22的适当网站的Web浏览器。
为了说明图6所示系统的操作，将给出关于用户希望从是服务提供商22的卖主购买特定的CD的例子。使用PC 10上现有的图形用户接口，用户启动PC 10上提供的Web浏览器软件，并且，通过因特网，访问服务提供商22的网站。Web浏览器软件构成客户应用17，并且允许对和配销CD的服务提供商22相关联的网站访问。
客户应用17和服务提供商22之间的数据通信，可通过固定的网络(例如，PSTN)，或通过无线网络-例如网络16或另一移动电信网络。
可以提供用户注册到网站的便利。有利地，由网络16核定的服务提供商可允许客户向服务提供商登记“假名”。该假名和客户从服务提供商获得服务时可能希望使用的特定的数据有关联。该数据由网络16存储。数据不是永久地由服务提供商存储(虽然，当然服务提供商维护和网络16的用户相关联的假名列表)-例如，参考用户的SIM标识。
认证服务可允许服务提供商存储面向SIM的假名数据-在用户的允许的前提下。假名数据将集中存储，并且，可由认证服务供应商分发到SIM。
下面列出了网络16为用户(用户A)保存的信息的例子用户A的数据●SIM标识●MSIDN(S)●假名○对服务提供商A■名字■地址■爱好■银行帐户详细资料
○对服务提供商B■名字■地址■爱好■银行帐户详细资料○对服务提供商C■名字■地址■爱好■银行帐户详细资料网络16不但存储涉及用户的SIM和他们的MSISDN的数据，网络16而且还包括用户针对各种服务提供商(服务提供商A、B、C...)建立的假名的列表。为任何特定的服务提供商存储的信息可以是不同的，并且将依赖于服务提供商可能向用户有用地要求什么样的信息，并且依赖于用户愿意提供给服务提供商的信息。在示出的例子中，假名可能包括用户地址和名字的详细资料和任何他们可能有的涉及特定的服务的爱好。在用户希望从服务提供商22购买CD的例子中，这可能包括用户对特定类型音乐的爱好，允许服务提供商定制它的服务，可能向用户提供涉及用户喜欢的音乐类型的CD。
当使用者访问网站时，服务提供商22，将使得作为注册步骤一部分的用户被提示，使用Web浏览器，输入那个用户可能先前向服务提供商22登记的“假名”(步骤D)。如果假名由那个用户先前向服务提供商22登记了，用户输入他们的假名，并且由客户应用17发送(步骤E)到服务提供商22。然后，服务提供商22通过链路106(图6)发送该假名到网络16的认证服务102。然后，认证服务102确定该假名就网络16而言是否有效，并且，如果该假名确定有效，网络发送存储在那里的和那个假名相关联的详细资料到服务提供商22(步骤F)。
如果假名不存在，那么，用户输入由服务提供商22要求的详细资料(例如他们的名字和地址)-步骤G。
在该点，服务提供商22可提示用户问它是否想建立假名，以便针对那个服务提供商使用。如果用户希望针对那个服务提供商建立假名，那么该服务提供商向用户请求相关的信息，例如，他们的名字、地址、音乐爱好的详细资料等。该信息中有些可能对于建立假名是必需的，(例如用户的名字和地址)，而其它数据可能是任选的(例如用户的音乐爱好)。被认为有利的是，用户能选择哪些信息提供给服务提供商以用于他们的假名中，并且，假名只针对特定的服务提供商使用，也被认为是有利的。当用于建立假名的数据已被输入时，该信息通过链路106传到网络16的认证服务102。该假名由服务提供商22存储，但是，和那个假名相关联的数据不是永久地由服务提供商22存储(那信息根据由网络16的认证服务102向服务提供商22的请求来提供)。
重要的是注意到，服务提供商22只访问和用户关于那个服务提供商使用的特定的假名相关联的数据。和用于其它服务提供商的假名相关联的单独的记录由网络16分开存储。这是有利的，因为例如用户可能愿意个人的健康数据和假名相关联，当向他们的医生获得服务时，那个用户使用该假名，但是不希望该信息被其它服务提供商得到。
用户搜索网站以识别其希望购买的CD。当用户需要的CD确定时，用户使客户应用17发送服务消息的请求到服务提供商22(步骤H)-例如，通过鼠标点击网站提供的“购买CD”按钮。该消息包括识别所需CD的数据、识别用户的数据(例如用户的SIM标识)，包括这样的字段指出用户在他们的PC上安装了交易管理器14，该管理器14可通过用户的SIM 12认证交易。
在交易的这个阶段，服务提供商22已经设有用户的某些详细资料，包括用户的名字、地址和他们希望定购的CD。该信息可由不是真正用户的某人来提供。为认证交易，服务提供商22构造了服务上下文SC(步骤I)。服务上下文是一种数据分组，包括下列字段○服务提供商22的标识○用户的名字(或其它诸如SIM标识的标识)○待认证的交易的详细资料(在这里，购买CD)附加的或可选的信息当然也可提供。
服务上下文SC通过因特网发送到客户应用17。该客户应用17传送服务上下文SC到交易管理器(步骤J)。客户应用17可把它自己的标识加到服务上下文SC，以允许网络16确定交易是从哪个客户应用得到的。
交易管理器14分析服务上下文，并且确实，由网络16认证交易的请求是必要的。交易管理器检测用户的DONGLE 30(装有他们的SIM 12)是否存在(步骤K)。如果DONGLE 30不存在，使用者被提示使他们的DONGLE可得。交易管理器14还可显示待认证的交易描述-并且，给用户提供了选项，赞成或反对交易。假定DONGLE存在并且用户赞成交易，那么交易管理器14发送请求安全令牌SX到网络16的认证服务102(步骤L)。发送到认证服务102的请求包括服务上下文SC。数据可在任何适合的网络上发送。数据可通过因特网发送。数据可在固定的电话网络上发送，或在电信网络16的移动的或蜂窝式的基础结构上发送。
DONGLE 30可包括用于允许PIN或生物计量数据如上关于图4所述地输入的装置。如果用户被提示输入他们的PIN，或提供其他数据，在认证交易之前，这样提供了增加级别的安全性。交易管理器14和/或SIM 12可存储可信客户应用17的列表。这些应用可设有密钥(或其它识别数据)。对于可信应用，交易管理器和SIM可配置为接受密钥而不要求用户输入他们的PIN。
作为附加的安全性特点，DONGLE可设有屏幕，显示向SIM 12请求信息的应用或组织的名字，如参考图3和图4的实施例所述。这会允许使用者监视对他的SIM的请求。可对DONGLE 30编程以显示向SIM 12请求数据的应用或组织的名字，并且然后可提示使用者通过用小键盘输入使用者的PIN，或通过提供其它的识别数据，来核定对每个或选择的应用/组织的数据供应。
此后，用户将由认证服务102进行与SIM的询问和响应会话(通过交易管理器14发送数据)来认证-步骤M。例如，认证服务102将发送随机的询问到交易管理器14，该询问是发送到SIM的。SIM通过用驻存在SIM内部并且是分配给那个特定的用户的认证算法和唯一的密钥Ki对随机的询问加密来响应。响应由交易管理器发送到认证服务102。认证服务102分析响应，以确定它是否是期待来自那个用户SIM的响应。如果响应正如期待的，那么认证服务106发布安全令牌Sx，并且发送到交易管理器(步骤N)。交易管理器14本身不必理解询问和响应步骤期间交换的数据一它只作为该数据的管道。
如参考图3所述，为阻止、或减少交易管理器14被可选的应用替换或绕过的可能性，这可能泄漏SIM 12上的数据的安全性，交易管理器14和DONGLE接口驱动器可设有各自共享秘密密钥40、42。然后，每个自交易管理器14到DONGLE 30的通信用共享秘密密钥40加密。所有自PC 10到DONGLE 30的通信由DONGLE接口驱动器接收。DONGLE接口驱动器包含处理装置，用于用它的秘密密钥解译接收的通信。为了提高安全性，DONGLE接口驱动器将阻止除了用共享秘密密钥加密的那些以外的所有发送数据到或从SIM 12接收数据的通信。
因此，交易管理器14控制和监控对DONGLE 30和SIM 12的访问，以减少存储在SIM 12上的数据被未授权试图访问SIM 12泄漏的可能性。
但是，应该理解，这种共享秘密密钥的使用不是必需的。
如果要求为交易支付，所要求的支付的详细资料包括在服务上下文SC中。该信息由认证服务102从安全上下文SC中提取。然后，认证服务102通过链路105发送消息到支付服务104，支付服务104保留着用户在网络16的帐户的资金。重要的是注意到支付在这个阶段没有被进行或授权。但是，支付服务104意识到可能即将要求支付，并且，为那个交易保留适当的资金在使用者的帐户中。
安全令牌是一种数据分组，包括安全令牌SX和下列字段○用户身份-例如SIM标识○服务提供商22身份的标志○已被认证的服务的标志-在这个例子中，定购特定的CD○认证服务102身份的标志○哪个支付服务应该被使用的标志(如果要求支付)其它的字段可根据情况附加或可选地提供。
安全令牌SX传到客户应用17(步骤O)。
然后，客户应用17传送安全令牌到服务提供商22(步骤P)。
安全令牌SX包括特定用户特定的数据和通过服务提供商与项目的交易。众多的交易可由网络16、交易管理器14和服务提供商22并行处理。由于在安全令牌SX中通过服务提供商与项目(particular)的特定交易特定的数据，这些交易相互区别。
如果安全令牌SX在网络16和交易管理器14之间或在客户应用17和服务提供商22之间传送时被截取，它将对截取者没有价值。安全令牌SX对通过服务提供商22和项目的特定交易和对特定用户的服务提供是特定的。
在服务提供商22收到安全令牌SX时，它的内容被分析，并且，如果确实它对应于由服务提供商22发布的服务上下文SC，服务提供商22可假定对服务(定购CD)的请求是由用户合法进行的。服务提供商22可向认证服务102呈现安全令牌SX，以检查令牌的有效性。然后，认证服务102检查安全令牌SX的完整性，并且验证安全令牌SX的内容。然后，认证服务102发送响应到服务提供商22，该响应指出安全令牌SX是有效的。可选地，认证服务102可发送数据到服务提供商22，使得服务提供商22本身确定安全令牌SX的完整性和有效性。
然后，服务提供商22确定支付是否需要进行(步骤Q)。如果不要求支付，那么可配送CD。但是，如果要求支付，那么服务提供商22生成支付上下文PC，包括下列字段○安全令牌SX○请求的支付额当然，可根据情况要求另外的或附加的字段。
支付上下文PC发送到客户应用17(步骤R)。客户应用传送支付上下文PC到交易管理器14(步骤S)。
然后，交易管理器14发送支付上下文PC到网络16的支付服务104(步骤T)。支付上下文PC由支付服务104分析。支付上下文PC中安全令牌SX的出现向支付服务指出这是和安全令牌SX指出的用户相关联的真实的支付请求，并且，然后支付服务咨询用户在网络16的帐户，以确定支付能被授权(这可能依赖于用户的信用等级和/或关于网络16的支付记载和/或他们预付额状况)，并且，如果适当，通过发布支付令牌PX授权支付(步骤U)。
然后，交易管理器14发送支付令牌PX到客户应用17(步骤V)。接着，客户应用17发送支付令牌PX到服务提供商22(步骤W)。然后，服务提供商22使用支付令牌PX以从网络16的支付服务106获得支付(步骤X)。为这样做，服务提供商22通过链路108发送支付令牌PX到支付服务104。支付服务分析支付令牌PX，并且识别出这是由支付服务向交易管理器14合法发布的支付令牌，然后对用户在网络16的帐户进行适当的调整。
有利地，如果使用者有和服务提供商22相关联的假名，服务提供商22可根据从交易得知的关于用户的任何新的信息来更新那个假名-例如，音乐爱好的改变。
PC 10和网络16之间的通信最好加密，如上所述。PC 10内部的和网络16内部的组件之间的通信最好也加密-例如，通过使用共享的密钥。
在上述的方案中，用户只有当他们希望购买CD时才被认证。在可选方案中，用户可以当他们注册到网站时被认证。然后，服务提供商将得到和那个用户与网站的会话相关的安全令牌SX。当用户希望进行购买时，安全令牌SX发送到认证服务102。认证服务102，依赖于购买的价值，例如，要么验证安全令牌SX，要么要求服务提供商以上述方式通过客户服务程序17、交易管理器14获得另外的安全令牌。任何涉及那个用户的并且给那个服务提供商22的假名数据，在认证用户之后能提供给服务提供商22。
安全令牌SX可在有限的时间是有效的。SIM有利地设有用于准确确定真实时间的装置-例如，设有抗窜改的内部时钟，由PC 10提供的时钟，或来自网络16的时间标志(这将是“可信的”时间)。
用户可用与从服务提供商22获得服务的方式相似的方式从网络16获得网络服务100。也就是说，当服务请求从客户应用17接收时，网络服务提供商100将发布服务上下文SC。安全令牌SC通过交易管理器14在使用SIM 12的认证之后从认证服务102获得。用户对网络服务的支付可用如关于服务提供商22所述的方式进行(通过发布支付上下文PC和生成支付令牌PX)。
还有可能的是，在远程服务提供商22和网络服务提供商100之间提供直接的链路，如链路107所指出。这将允许网络服务通过向服务提供商22的远程服务请求提供给用户。
为远程服务提供商22从网络服务提供商100获得服务的目的，远程服务提供商22设有唯一的标识供网络服务提供商100使用。当远程服务提供商22代表用户希望从网络服务提供商100获得网络服务时，该唯一的标识和对网络服务的请求一起发送到网络服务提供商。然后，网络服务按请求提供，并且，由网络服务提供商100向在网络16的服务提供商22的帐户进行收费。远程服务提供商22将通常希望向用户收取使用相关网络服务的费用(包括远程服务提供商22已承担的花费和由远程服务提供商提供的任何附加服务的费用)，并且，对此的支付，将通过以上述方式发布支付上下文PC和获得支付令牌PX来获得。
上面已经说明，交易管理器14和客户应用17可在除了PC 10的设备中提供一例如，在停车计时器或自动贩卖机或售票中。
使用该系统的另外一个例子将马上描述，这是关于汽车租用的。网络16的用户把他们的DONGLE耦合到在汽车租用公司的办公室的PC 10(或其它的处理设备)。PC 10包括交易管理器14和客户应用17，用于提供对汽车租用服务提供商22的访问。
如果用户有供服务提供商22使用的假名，用户将提供该假名到服务提供商22，服务提供商22然后能够访问涉及来自网络16认证服务102的用户的相关数据。如果用户没有和服务提供商22相关联的假名，使用者在由服务提供商22提示时，提供相关的详细资料，例如用户的名字、地址、他们希望租用的汽车的类型和租用的时间。
然后，服务提供商22创建适当的服务上下文SC，并且发送到客户应用17。交易管理器14接收服务上下文SC并且传送到网络16的认证服务102，以便以上述方式经由交易管理器14通过在认证服务102和SIM 12之间执行的询问和响应认证交易之后寻找安全令牌SX。如果SIM 12由网络16的认证服务102认证，安全令牌SX发布到交易管理器14。安全令牌SS传送到客户应用17，并且，从那里发送到服务提供商22，以认证交易。
通过认证服务102和支付服务104之间的链路105，能从用户在网络16的帐户中保留适当的资金。例如，可保留包括期待的租用费用和可能是存款的资金。
因为租用汽车的总费用可能是未知的(因为它可能依赖于用户行进的距离、用户开车的时间量和汽车实际归还的日期)，支付上下文PC可能在这个阶段不被服务提供商22发布。
至此，用户已经认证了与汽车租用公司的交易。然后，汽车租用公司将分配一辆汽车。根据该实施例的任选特点，DONGLE可允许使用者进入并驾驶该汽车-也就是说，DONGLE将作为汽车常规钥匙的替代物。这可通过向汽车提供用于认证用户DONGLE上的SIM的装置来实现，或可选地，可通过向DONGLE提供用于存储汽车租用公司特定的安全性信息的存储单元来进行。该安全性信息，由汽车询问，并且，如果验证有效，将允许使用汽车。
不管DONGLE实际上是否用于获得对汽车的进入权和使得汽车能被驾驶，通过把DONGLE耦合到汽车，对移动网络16的访问可用常规的方式，使用汽车内置的移动电话收发器来提供。DONGLE到汽车的电信系统的耦合和把用户的SIM插入汽车上提供的固定电话是类似的。如果汽车所在的区域没有被网络16覆盖，在用户的网络16和任何在汽车所处位置是可操作的任何网络之间存在漫游协议的地方，仍然能进行电话呼叫。
DONGLE到汽车系统的耦合还可使得汽车租用公司能计算用户使用汽车的时间量，并且，汽车租用公司可能希望在此基础上对使用者收费。
当汽车归还到租用公司时，适当的费用由汽车租用公司服务提供商22计算(可能使用来自汽车系统的信息，如上所述)，并且，生成适当的支付上下文PC并发送到PC 10(可能是区别于PC 10用于启动与汽车租用公司的交易的不同的PC)上现有的客户应用17。然后，PC 10的交易管理器14接收支付上下文PC并从网络16的支付服务104获得支付令牌PX。该令牌通过交易管理器14和客户应用17传送到服务提供商22，并且，然后，服务提供商22能够收取来自网络16的支付服务104的适当的支付。
在另外的例子中，交易管理器14和客户应用17作为汽车上的电信系统的一部分在汽车中提供。该汽车，例如在仪表板常规的位置，包括接收用户的DONGLE 30的连接器(尽管，当然，无线连接可被可选地提供)。当用户插入DONGLE 30，对服务提供商22提供的远程服务的访问，可使用交易管理器14和客户应用17以关于图6和7所述的方式获得。
因为汽车当然是移动的，客户应用17与远程服务提供商22之间的通信，和交易管理器14与认证服务102与支付服务104之间(或在客户应用17和网络服务100之间)的通信可由无线链路提供，例如通过使用移动或蜂窝式无线电网络，使用已经存在于汽车中的电话接收发器。用于进行这些通信的网络可以是和提供认证和支付服务102与104的网络16同样的，或者可以是不同的网络。
当把DONGLE 30插入汽车的连接器内部时，使用者还可能能够以通常的方式进行电话呼叫和接听电话呼叫，好像使用者把它们的SIM卡插入汽车的固定移动电话系统一样。但是，因为交易管理器14和客户应用17是存在的，用户还能够从远程服务提供商22获得其它服务。例如，用户可能希望下载MP3文件格式的音乐到汽车音频系统，或获得导航或交通信息。
上面关于图6和7所述的认证和支付步骤可从步骤N开始进行修改。当认证服务102接收服务上下文SC并且认证了用户时，对支付服务104的请求然后通过链路105进行，以保留适当的资金。该请求包括安全令牌SX-该令牌使得支付服务104能够验证该请求。然后，支付服务104发布支付令牌PX。然后，交易管理器14传送支付令牌PX与安全令牌SX到客户应用17。客户应用17发送支付令牌PX与安全令牌SX到服务提供商22。然后，服务提供商22通过链路108发送支付令牌PX到支付服务104，来证实支付令牌的有效性，并且通过链路106发送安全令牌SX到认证服务102来证实安全令牌的有效性。
作为以上述方式获得用户假名的可选方案，服务提供商22可把安全令牌SX和对与SIM 12和服务提供商22相关联的任何假名的请求一道呈现给认证服务102。认证服务102验证该令牌并且返回适当的假名(或有关的数据)到服务提供商22。
为提高系统的安全性，服务提供商22可能设有证书(共享的密钥)，用于对所有的从服务提供商22到认证服务102的请求进行编码。因此，然后，服务提供商22能够对做出假名或关联的SIM数据请求的人有一定程度的信任。
服务提供商，确信用户或支付被认证，然后，能够配送CD到用户。
为获得支付，服务提供商22可用一种或两种方式进行。
在第一过程中，服务提供商22通过发送包括支付令牌PX(和安全令牌SX)的数据分组到客户应用17来发布支付清除的请求。客户应用17传送支付清除请求到交易管理器14，交易管理器又传送支付清除请求(和支付令牌PX)到支付服务104。在该点，支付服务，可指示认证服务102，通过链路105，以通过与SIM 12交换的询问和响应数据(通过交易管理器14)认证用户，尽管这是任选的步骤。不管怎样，支付服务104检查支付令牌PX和安全令牌SX(装在同一分组中)，并且然后，清除用户在网络16的帐户里的资金。然后，支付服务104发送修改的支付令牌PX1到交易管理器14。交易管理器14通过客户应用17传送修改的支付令牌PX1到服务提供商22。然后，服务提供商22通过与支付服务104的直接链路108能够验证支付令牌。
作为上述过程的可选方案，服务提供商22可通过发送适当的支付令牌PX经由链路108请求支付服务104进行支付清除。然后，支付服务104验证支付令牌并且清除资金。支付服务104向服务提供商22作出响应，证实支付被清除。
图8到11示出DONGLE配置的其它例子，可和关于图1或6所述的系统一起作为图4所示的第一种配置和图5所示的第二种配置的可选方案。
图8A到8D示出通常以250指出的DONGLE的第三种配置。DONGLE250不包括显示器或按钮。DONGLE250通常具有椭圆形的横断面，并且包括通常是矩形的孔252，在其顶端形成，允许通常横断面是矩形的电连接器254从那里出现。孔252被关闭件256关闭，关闭件256的横断面通常是C形，从DONGLE250的顶部沿着每个侧面258扩展，并且围绕放置在中央的枢轴点260转动。DONGLE250的关闭件256和侧面258之间在枢轴点260处的连接使得关闭件256能够围绕枢轴点260旋转，如箭头262所示。
图8C是图8B沿线X-X的横断面，并且示意地示出，电连接器254在第一位置(如图8A和8B所示，整个连接器254装在DONGLE250的外壳内部)和第二位置(如图8C和8D所示，电连接器254从DONGLE250的外壳伸出)之间移动的机构。用于提供电连接器254的这种移动的机构包含耦合到连接器254的齿条264，和配合的小齿轮266(装配在枢轴点260，小齿轮的齿啮合齿条264)。小齿轮266关于关闭件256固定。关闭件256的旋转引起小齿轮266的旋转，小齿轮266的旋转引起齿条264的线性位移，如箭头268所示。当然，用于可滑动地支持电连接器254和齿条264的机构，以本领域的那些技术人员理解的方式提供，并且，这里不再说明或描述。
图9A到9D示出DONGLE的第四种配置。如关于图8A到8D所述的DONGLE的第三种配置，电连接器254在第一位置(如图9A和9B所示，连接器254完全装在DONGLE270的外壳内部)和第二位置(如图9C和9D所示，电连接器254从DONGLE270的外壳伸出)之间是可移动的。但是，在第三种配置中，电连接器254在箭头268方向的线性运动，是通过关于DONGLE270的外壳旋转旋钮272来提供，如箭头274所示。旋钮272第一方向的旋转使得连接器254自DONGLE270的外壳出现，并且，在相反方向的旋转使得连接器254缩回到DONGLE270的外壳内部。可提供任何用于把旋钮272的旋转动作转变成连接器254的线性动作的适合的机构。例如，可采用在U.S.专利No.5813421(通过引用结合在此)中描述的用于口红式旋转机构的机构。相关领域的那些技术人员已知其它适合的机构。
DONGLE270包括显示器248，用于提示用户输入他们的PIN号和/或用于当输入PIN号时显示它。DONGLE270，优于有一系列按钮(如数字键盘)，包含数据输入旋钮276，装配在DONGLE上用于如箭头278所示旋转，并且，用于如箭头280所示关于DONGLE的线性动作。由使用者握住旋钮276，并且按离开DONGLE270外壳的方向拉它(箭头280的方向)，来输入PIN号的每个数字。然后，诸如闪烁光标的标志出现在显示器248上，指出PIN号的第一位数字被期待。该数字通过旋转旋钮276来输入(箭头278)，显示的数字随着旋钮276的进一步旋转增加数值。当需要的数字在显示器248上出现时，使用者通过按箭头280相反的方向推旋钮276来证实这是他们希望输入的数字。为输入PIN号的下一位数字，旋钮276再被提起(箭头280)，并且正确的数字通过旋转旋钮来选择。需要的数字通过按箭头280相反的方向移动把旋钮276返回到它的原始位置来输入。重复该过程直到PIN号的所有数字都已经输入。PIN号的每位数字在被输入时将显示在显示器248上。
在DONGLE270的图9A到9D的实施例中，压电电池282和旋钮280相关联。压电电池282使得通过旋钮276的运动发电。该电能要么可以存储在积分电容器中，要么可以存储在任选电池284中，电池284通过电耦合到压电电池282。这种方案避免了DONGLE270要有它自己可替代的电源的要求，同时使得DONGLE能在不连到PC10时被操作。压电电池生成的电荷是暂时的，并且，一段时间之后(例如，五分钟)，电荷消失，并且通过旋钮276输入的任何PIN号从DONGLE270的存储器丢失，并且，以后，即使当电源供应时，也不可能被取回。这对DONGLE270提供了附加的安全性特点。当然，如果DONGLE270连接到PC 10，同时电荷仍存在(在上面给出的例子中，输入PIN的五分钟之内)，PIN能被验证，并且然后DONGLE能通过连接器254从PC 10获得电能，这就使得上述的认证操作能被进行，尽管来自压电电池282的电能具有暂时的性质。
图10A到10D示出了DONGLE290的第五种配置。在该实施例中，DONGLE290包含主体零件292(电连接器254在固定的位置附到主体292)和可移除的保护套294，当在适当位置时，盖上主体292和连接器254，以保护那些部件，并向DONGLE290提供有吸引力的外观。
在主体292的顶端，环状的旋钮296装配在主体292，用于关于主体292旋转，如箭头298所示。旋钮296包括一系列对DONGLE290的使用者是可见的标记300-例如，每个标记300指出从0到9的不同数字。标记302在外壳292的顶部提供。在该实施例中，使用者的PIN号的第一位数字通过旋转旋钮296输入，直到PIN号的正确数字(以300指出)和标记302对齐。当相关的数字和标记302对齐时，使用者停止旋转旋钮296。当旋钮296停止运动时，旋钮296的位置被DONGLE290记录，这样，PIN号的数字能被检测。PIN号的下一个数字通过按逆时针方向(与箭头298相反)旋转旋钮296直到PIN号相关的数字和标记302对齐来输入。再一次，当旋钮停止旋转时，旋钮的位置被记录，这样，PIN号能被DONGLE290记录。PIN号的下一个数字通过顺时针旋转旋钮296而输入，依次类推，直到PIN号的所有数字被输入。使用旋钮296和标记302输入数据的方式和用于输入保险箱的组合号码是类似的。
DONGLE290还包括任选的数字摄像机304，装配在旋钮296的旋转轴上(但是关于主体292是固定的)。DONGLE290包括处理装置和存储器，用于存储一幅或多幅由摄像机304捕获的图像，并且使得这些图像能够用连接器254传递到PC 10。
图11A到11C示出DONGLE310的第六种配置。DONGLE310包含外壳312，在其一侧有开口314。装在外壳312内部的是耦合零件316，电连接器固定在其上。耦合零件316以如下方式连接到外壳312耦合零件316绕点线318所指出的轴是可旋转的。
连接到环形连接器244的是环状物320，它提供了方便装置，由此，可滑动零件322，用于关于外壳312滑动而装配，可按箭头324的方向关于外壳312移动。通过齿条和小齿轮或任何其它适合的机构(未示出)，滑动零件322按箭头324的方向关于外壳312的运动转化成耦合零件316围绕轴318旋转的运动。耦合零件316在滑动零件322关于外壳312运动时运动穿过的不同位置在图11C中由重影线(ghost lines)示出。
当滑动零件322按箭头324方向到达它最大行程时，耦合零件316关于外壳312旋转180°。通过按箭头324相反的方向滑动滑动零件322，耦合零件316返回到图11A和11B所示的位置。当耦合零件316处于图11A和11B所示的位置时，连接器254由滑动零件322保护。
图8、9、10和11中所示的实施例提供了各种装置，通过这些装置，电连接器254在不需要时，可被隐藏和保护。
在图9的实施例中，DONGLE的电源是压电电池282。
相似的电源可在图8、10和11所示的DONGLE里提供，通过图8中DONGLE250的关闭件256的运动、图10中DONGLE290的旋钮296的运动、或图11中滑动零件322的运动来发电。可选地，或附加地，这些DONGLE可包括可替代电池或可再充电电池，当DONGLE250、280、290、310连接到PC 10时，可以再充电。
当描述的DONGLE包括作为USB连接器示出的电连接器254时，应该理解可提供任何其它适合的电连接器类型。例如，连接器254可以是智能卡Smartmedia(商标)设备。可选地，通过“近距离”技术，例如，根据近距离通信接口和协议(NFCIP-1)，数据和/或电能可在DONGLE和PC 10之间发送。如果采用近距离技术，可移动的电连接器254将不是必需的。
图8到11的DONGLE可以包括或可以不包括关于图3和4描述的DONGLE接口驱动器36。
图9和10的DONGLE可允许PIN传送到PC 10用于验证，或者，这种验证可在DONGLE内部进行以提高安全性。
当然，如果需要，图8和11的DONGLE可设有PIN输入装置。
权利要求
1.一种用于连接到数据处理装置的设备，所述设备包括第一耦合部件，用于可操作耦合到认证存储部件，所述认证存储部件存储和认证与所述数据处理装置的交易有关的预定信息；第二耦合部件，用于可操作耦合到所述数据处理装置，所述设备在操作上耦合到所述数据处理装置时对通过通信链路进行的用于认证所述交易的认证过程响应，所述认证过程涉及所述预定信息的使用；安全性数据输入部件，用于获得独立于所述数据处理装置的安全性数据；以及用于临时存储所述安全性数据的部件。
2.如权利要求1所述的设备，其中，所述安全性数据通过暂时的电源临时存储。
3.如权利要求2所述的设备，其中所述暂时的电源包括压电部件。
4.如权利要求3所述的设备，其中，所述压电部件包括一个或多个压电电池。
5.如权利要求2、3或4所述的设备，其中，所述暂时的电源由所述安全性数据输入部件充电。
6.如权利要求2、3、4或5所述的设备，其中，所述暂时的电源包括可再充电的电池。
7.如权利要求1到6中任一权利要求所述的设备，包括用于分析所输入的安全性数据的部件，用于确定是否允许访问所述预定信息。
8.一种用于连接到数据处理装置的设备，所述装置包括第一耦合部件，用于可操作耦合到认证存储部件，所述认证存储部件存储和认证与所述数据处理装置的交易有关的预定信息；第二耦合部件，用于可操作耦合到所述数据处理装置；以及配置部件，用于选择地使所述第二耦合部件可用于耦合到所述数据处理装置，所述设备在操作上耦合到所述数据处理装置时对通过通信链路进行的用于认证所述交易的认证过程响应，所述认证过程涉及所述预定配置信息的使用。
9.如权利要求8所述的设备，其中，所述配置部件包括用于选择地使第二耦合部件在所述装置外壳的外部可用的部件。
10.如权利要求9所述的设备，其中，所述配置部件包括可拆卸的盖。
11.如权利要求9所述的设备，其中，所述配置部件包括耦合到所述外壳并且关于所述外壳是可移动的关闭件，用于选择地关闭所述外壳中的孔。
12.如权利要求11所述的设备，包括互连部件，用于将所述关闭件和第二耦合部件连接，所述方案是这样当移动所述关闭件以打开所述孔时，第二耦合部件从所述孔出现。
13.如权利要求8所述的设备，包括装配在所述设备外壳上关于其旋转的旋钮，以及用于将所述旋钮的旋转转变成第二耦合部件的线性动作的部件，从而所述旋钮在第一方向的旋转使得第二耦合部件从所述设备外壳的孔出现，并且所述旋钮在第二方向的旋转使得第二耦合部件经过所述孔缩回。
14.如权利要求9所述的设备，其中，所述设备外壳包括在第一方案和第二方案之间可关于彼此移动的两个部件，第一方案中，第二耦合部件装在所述外壳内部，而第二方案中，第二耦合部件外露用于连接到所述数据处理装置。
15.如权利要求14所述的设备，其中，所述两个部件通过枢轴耦合在一起。
16.如权利要求8到15中任一权利要求所述的设备，包括安全性数据输入部件，用于获得独立于所述数据处理装置的安全性数据，以及用于分析所输入的安全性数据的部件，用于确定是否允许访问所述预定信息。
17.如权利要求8到15中任一权利要求所述的设备，包括用于获得独立于所述数据处理装置的安全性数据的安全性数据输入部件；以及用于临时存储所述安全性数据的部件。
18.如权利要求1到17中任一权利要求所述的设备，其中，所述设备控制对所述预定信息的访问。
19.如权利要求1到7和16到18中任一权利要求所述的设备，其中，所述安全性数据输入装置包括字母数字的数据输入部件。
20.如权利要求1到7和16到19中任一权利要求所述的设备，其中，所述安全性数据输入装置包括小键盘。
21.如权利要求1到7和16到20中任一权利要求所述的设备，其中，所述安全性数据包括个人识别号码(PIN)，并且，分析部件比较由所述安全性数据部件获得的PIN和存储在所述认证存储装置上的PIN，并且只允许相应PIN匹配时访问所述预定信息。
22.如前述权利要求中任一权利要求所述的设备，包括用于显示安全性信息的显示器。
23.如前述权利要求中任一权利要求所述的设备，包括用于控制与所述数据处理装置的通信的数据处理模块。
24.如权利要求23所述的设备，其中，配置所述设备的数据处理模块用于与所述数据处理装置对应的数据处理模块通信。
25.如权利要求24所述的设备，其中所述认证存储部件和所述数据处理装置之间的通信通过所述各自的数据处理模块进行。
26.如权利要求23、24或25所述的设备，其中，所述设备的数据处理模块包括用于解译从所述数据处理装置的数据处理模块接收的加密数据的部件。
27.如权利要求23、24、25或26所述的设备，其中，所述设备的数据处理模块包括用于加密发送到所述数据处理装置的数据处理模块的数据的部件。
28.如权利要求26或27所述的设备，其中，所述各自的数据处理模块包括用于允许加密和/或解译数据的密钥。
29.如权利要求28所述的设备，其中所述密钥包括用于每个所述各自的数据处理模块的共享秘密密钥。
30.如前述权利要求中任一权利要求所述的设备，其中所述设备操作上可耦合到多个所述认证存储部件中的一个或多个，其中每个都可向公共电信系统登记，并且所述认证过程由与所述电信系统的通信链路进行。
31.如权利要求30所述的设备，其中，由每个认证存储部件存储的预定认证信息对应于用于对关于所述电信系统的那个认证存储部件的使用者进行认证的信息。
32.如权利要求31所述的设备，其中，在所述电信系统中，通过使用智能卡或用户身份模块(例如SIM)对每个使用者进行认证，并且，相应于那个使用者的认证存储部件对应于或模拟那个使用者的智能卡。
33.如权利要求1到32中任一权利要求所述的装置，其中，所述交易是涉及所述数据处理装置的数据处理功能的使用的交易。
34.如权利要求1到33中任一权利要求所述的设备，其中，所述认证存储部件对那个设备是特定的。
35.如权利要求1到34中任一权利要求所述的设备，其中，所述认证过程涉及消息的发送和取决于所述消息和所述预定信息的响应的生成。
36.如权利要求30到35中任一权利要求所述的设备，其中，所述电信系统包括用于认证时所述交易的费用的征收的部件。
37.如权利要求1到7、16和17中任一权利要求所述的设备，其中，所述安全性数据输入部件包括旋转的旋钮。
38.如前述权利要求中任一权利要求所述的设备，与所述数据处理装置相结合。
39.如前述权利要求中任一权利要求所述的设备，与所述电信系统相结合。
40.如前述权利要求中任一权利要求所述的设备，其中，所述认证存储部件无线通信以认证所述交易。
41.如前述权利要求中任一权利要求所述的设备，其中，所述认证存储部件包括智能卡或SIM，当所述智能卡或SIM可用于移动终端时认证所述交易。
42.如前述权利要求中任一权利要求所述的设备，其中，所述认证存储部件包括还可用于认证用于所述系统中的移动终端的智能卡或SIM。
全文摘要
提出了一种装置或“DONGLE”(30)，用于控制诸如用在GSM蜂窝电话系统之类的用户身份模块(或SIM)(12)和诸如基于视窗(Window)的PC(10)的计算机之间的通信。SIM(12)可由电话网络认证，用和认证网络中电话手机用户的SIM同样的方式，并且，能以这种方式认证PC(10)用户或PC(10)本身。这种认证能，例如，允许使用PC(10)进行关于特定应用的限时会话，当满意地完成认证过程之后，释放该应用给PC(10)。可以在满意地完成认证过程后，并且作为对满意地完成认证过程的响应，由第三方释放该应用给PC(10)。会话费用可由电信网络记入用户帐户的借方，然后传给第三方。通过要求输入PIN和/或只对从PC(10)接收的用密码加密的请求响应，DONGLE(30)提供附加的安全性给存储在SIM上的认证数据，这些请求由专用的PC接口驱动器(38)生成。可是只是临时存储PIN。DONGLE(30)具有电连接器(34)，且可提供用于选择地使连接器(34)可用于耦合到PC(10)。
文档编号G06Q20/00GK1726686SQ200380105877
公开日2006年1月25日 申请日期2003年10月9日 优先权日2002年10月17日
发明者D·杰尔, G·S·穆迪 申请人:沃达方集团有限公司