提供电子商务和移动商务的方法及其装置的制作方法

专利名称：提供电子商务和移动商务的方法及其装置的制作方法
技术领域：
本发明通常涉及通过网络的交易，特别地，本发明涉及可以有效地应用于 为电子商务(E画Commerce, Electronic Commerce )和移动商务(M-Commerce, Mobile Commerce)而定制的便携设备中的电子4&包和移动销售点(POS, Point-of-Sales )。
背景技术：
单功能卡片已被成功地应用于诸如运输系统这样的封闭式环境中。这种单 功能卡片的一个例子是非接触性智能卡(MIFARE )， MIFARE是世界上安装范 围最广的非接触性智能卡技术。由于已有超过5亿张智能IC卡和超过5百万 台读卡器组件被售出，MIFARE已被选为最成功的非接触智能卡技术。MIFARE 为诸如信用(loyalty)和售货(vending)卡片、道i 各收费、城市卡片、访问控 制以及游戏等的应用提供了完美的解决方案。
然而，单功能卡片的应用被部署在封闭式系统中，难以扩展应用到诸如电 子商务和移动商务等的其他领域中，这是因为储存的金额(storedvalue)和交 易的信息被保存在每个标签(eachtag)的数据存储空间中并由一组密钥保护， 标签的属性是密钥必须被发送至卡片进行验证后数据才能在交易中被访问。这 个限制使得使用这类技术的系统难以被扩展到开放式的环境，例如用于电子商 务的国际互联网和/或用于移动商务的蜂窝通信网络，因为在公共域网络传送密钥会引起安全性方面的问题。
因此，各种设备内尤其是便携设备内，需要有一种可被用作电子购买器和 /或电子销售器的装置，以在开放的网络上通过支付^^务器和/或销售点交易处 理服务器，在不妥协安全性的前提下进行交易。

发明内容
本部分的目的是概述本发明实施例的一些方面，并简要介绍一些优选实施 例。本部分中的简述或省略与题目和摘要中的一样，能够避免本部分、题目以 及摘要的目的不清楚，这些筒述或省略并非想要限制本发明的保护范围。
一般来说，本发明涉及向设备，特别是便携设备提供一种能被用作电子购
买器(例如电子钱包(e-purse))和/或电子移动销售器(例如移动销售点)的 装置，以能在开放的网络上通过支付服务器和销售点交易处理服务器在不妥协 安全性的前提下进行交易。依据本发明的一个方面，便携设备(例如蜂窝电话， 个人数字助理(PDA),等)可载入电子钱包管理器。所述电子钱包管理器可 被设置为管理各种交易，并被用作访问其中模拟器的装置。所述交易可在公共 域网络和/或蜂窝通信网络上进行。
依据本发明的另一方面，提出了一个三层安全^t型，本发明将基于所述安 全模型运行。所述三层安全模型包括物理安全层，电子钱包安全层，以及卡片 管理器安全层，所述三个安全层彼此分别同心封装(concentrically encapsulating )。在所述三层安全模型中通过个性化安全密钥(可为对称或不对 称)来个性化电子钱包，并通过支付服务器执行安全交易。在一个具体实施例 中，个性化电子钱包所需的关键数据包括一个或多个操作密钥(例如载入或充 值(top-up )密钥和购买密钥)，预设的个人识别号码(PINs, Personal Identification Numbers),管理密钥(例如解除拦截PIN密钥和重新载入PIN密钥)，以及密 码(例如由Mifare这类服务提供商提供的密码)。在交易过程中，安全密钥被 用来建立将嵌入式电子钱包和安全识别模块(SAM， Security Authentication
6Module)或金融机构(例如银行，信用联盟，信用澄清处等)中的后端服务器 相连的安全通道。
根据本发明的另一方面，安装或预置了服务管理器的便携设备被配置为从 一个或多个服务器(如服务提供商)中，通过蜂窝通信网络(例如通用分组无 线服务(GPRS)网络)安全地下载并安装各种业务/应用组件(例如MIDlets 应用程序和applets应用程序)。才艮据具体实现的不同，部分或全部MIDlets应 用程序(例如销售点管理器，电子钱包管理器等)被安装在便携设备的基带(例 如与微处理器电路关联的内存空间)上。Applet应用程序被安装于便携设备中 的安全元件(例如智能卡)上，并进一步配置有个性化的安全密钥(例如转换 后的密钥，个人识别号码)及其他个性化信息。
此外，前述服务管理器也可被预先安装在计算^/L上(例如笔记本电脑，台 式个人电脑)，或实现为线上应用(例如基于网络的应用软件)。连同非接触读 取器(例如遵守ISO 14443标准的超短距离耦合装置(Proximity Coupling Device),或ISO 15693标准的超短距离读取器)，前述安装和个性化过程可在 有线和/或无线网络(例如国际互联网)上进行。
根据本发明的另一方面，便携设备被配置为电子移动销售器(例如移动销 售点)，以进行电子商务和/或移动商务。电子商务和移动商务操作(包括线下 支付，线上支付，实时充值，虛拟充值，批量交易上传，及各种收支余额和交 易查询)可以使用安装了销售点管理器和销售点安全识别模块(SAM)的便携 设备执行。
离线支付允许便携设备在没有接入后端销售点服务器的情况下，从另一个 支持电子代币的装置(例如单功能卡片、Mifare、支持电子钱包的便携设备等) 中收集电子代币。实时充值允许便携设备从金融机构中向另 一台支持电子代币 的设备上，实时地补充电子代币。虚拟充值允许便携设备向另一台支持电子代 币，并且设置为只从赞助者或捐助者设立的资金账户中接收电子代币的设备 中，补充电子代币。批量交易上传允许将销售点累积的多个交易传送到后端销售点交易处理服务器上进行结算。交易和收支历史查询可由一个MIDlet应用 程序(例如内建查询功能的图形用户界面)所支持。所有前述应用的安全性均 符合电子商务和/或移动商务的工业标准。
本发明可由包含方法、系统和设备在内的多种途径来实现。在一个具体实 施例中，本发明是使便携设备能够进行移动商务交易的方法，所述方法至少包 括以下步骤在与移动设备基带接合的安全元件上安装移动商务交易模块；个 性化所述已安装的移动商务交易模块；根据所述已个性化的移动商务交易模块 中的个性化信息，将移动商务交易管理器模块下载到所述便携设备的基带上； 以及预先安装服务管理器模块并将其配置为可以协助所述安装、个性化以及下 载步骤。所述个性化步骤进一步包括接入服务提供商处的个性化服务器，以 建立安全通道；向所述个性化服务器发送个性化请求；从所述个性化服务器中 接收一条或多条包含个性化数据组的网络消息；以及将所述个性化数据组发送 至所述电子商务和移动商务交易;f莫块。
依据另一个具体实施例，本发明是用于进行移动商务交易的系统，所述系 统至少由以下部分组成配置成移动销售点(POS)的^f更携i殳备，所述移动销 售点中包括经过安装和个性化的销售点管理器及销售点安全识别模块(SAM); 以及支持电子代币的设备，其中，电子代币被设置为可被所述便携设备的非接 触界面读取，其中非接触界面是符合标准的超短距离耦合装置。所述系统还包 括通过蜂窝通信网络上的安全通道接入所述销售点管理器的销售点交易处理 服务器。
依据另 一 个具体实施例，本发明是使用便携设备执行移动商务交易的方 法，所述方法至少包括以下步骤通过读取支持电子代币的设备，从希望进行 购买交易的所述设备持有人那里取回电子代币；使用安装于所述便携设备上的 销售点安全识别模块(POS SAM)来确定所述取回的电子代币是否有效；如果 所述电子代币被确定为有效并且有足够的余额以支付购买金额，则扣除所述电 子代币以在所述销售点安全识别模块中记录所述购买交易，否则拒绝所述购买交易。所述方法还包括通过蜂窝通信网络或公共域网络将所述销售点安全识别 模块中累积的交易上传至销售点交易处理服务器，以及通过所述便携设备中的 销售点管理器，从金融机构或相连账户向所述支持电子代币的设备注入资金。
因此，本发明的一个目的是提供可被嵌入设备中、特别是便携设备中的装 置，所述装置可被用作电子购买器和/或电子移动销售器，以在不妥协安全性的 前提下，通过开放网络上的支付服务器和/或销售点交易处理服务器执行交易。
通过查看以下结合附图进行详细阐述的实施例，本发明的其他目的、特征 以及有益效果将会变得明显。


通过以下结合附图的详细阐述，本发明将会容易被理解，其中，相同的标
注数字代表相同的结构组件，图中
图1A展示了三层安全模型，依据一个相关的具体实施例，本发明将基于 所述三层安全模型运行；
图1B展示了三个实体组件之间与前述三层安全模型相一致的数据流向；
.图2根据本发明的一个具体实施例，展示了便携设备作为电子钱包执行电 子商务和移动商务时的架构示意图3A是展示了有关模块相互作用，以完成前述电子钱包由授权人进行个 性化处理的结构图3B展示了有关模块相互作用，以完成前述电子钱包由其用户进行个性 化的处理的结构图3C根据本发明的一个具体实施例，展示了个性化电子钱包的流程或过 程图4A和图4B根据本发明的一个具体实施例， 一同展示了给电子钱包筹 资，注资，载入或充值时的流程或过程图4C是展示了有关模块相互作用，以完成图4A和图4B中所示过程的结构示意图；图5A根据本发明的一个具体实施例，展示了第一种i"更携设备的架构示意 图，使之能够在蜂窝通信网络(例如GPRS网络)上执行电子商务和移动商务 的各种功能；图5B根据本发明的另一个具体实施例，展示了第二种便携设备的架构示 意图，使之能够在有线和/或无线数据网络(例如国际互联网)上执行电子商务和移动商务的各种功能；图5C是一幅流程图，根据本发明的一个具体实施例，说明了使图5A中 的便携设备能够运行一个或多个服务提供商提供的服务/应用的过程示意图；图6A根据本发明的一个具体实施例，展示了一个架构示意图，其中的便 携设备能够作为移动销售点执行电子商务和移动商务；图6B根据本发明的一个具体实施例，展示了一个架构示意图，其中的便 携设备能够作为移动销售点在网络上执行交易上传操作；图6C是一幅流程图，根据本发明的一个具体实施例，说明了使用用作移 动销售点的便携设备和支持电子代币的单功能卡装置，执行移动商务的过程示 意图；图6D是一幅流程图，说明了使用用作移动销售点的便携设备以及支持电 子代币的多功能卡装置，执行移动商务的过程示意图；以及 图7描述了便携设备用于电子票务应用时的结构示意图。
具体实施方式
以下的介绍中列出了大量的特殊细节，以帮助全面理解本发明。本发明在 实际实现中可以省略这些特殊细节。本部分中的描述和图示是本领域中有经验 的技术人员向本领域中的其他技术人员有效地传达其工作实质的手段。在其他 情况下，众所周知的方法，过程，构建和电路没有#:详细描述，因为这些要素 已被公众完全理解，而且这样可以避免不必要地造成本发明的内容过于晦涩难懂。本部分中当提到"一个具体实施例"时，表示结合该具体实施例描述的特 定技术特征、构造或特性均可被包括在本发明的至少一个实施方式中。说明书 中多处出现的词组"在一个具体实施例中"可能涉及到多个不同的具体实施例， 单独的具体实施例或备选实施方案与其他的实施例之间并不相互排斥。此外， 对于表示单一或多个具体实施例的程序图、流程图或功能图，图中方框的次序 并不一定代表本发明中的任何特定次序，所述次序也不应为本发明{故出任何限 定。在讨论本发明的具体实施例时，将引用图1A至图7。但是，正如本领域 中的技术人员所知，本部分中结合所述图示所做的详细描述只是为了进一步说 明本发明，本发明并不仅仅局限于所述的这些具体实施例。图1A展示了一个三层安全模型100，依据一个相关的具体实施例，本发 明将基于所述三层安全模型运行。所述三层安全才莫型100包括物理安全层102, 电子钱包安全层104和卡片管理器安全层106。所述物理安全层102是指由单功能卡片提供的安全机制，以保护所述卡片 上存储的数据。所述卡片可由硬件实现，或由运行于某种媒体中的软件模拟实 现。单功能卡片上的数据由一组访问密钥保护。所述密钥在所述卡片发放时就 被嵌入所述卡片。为防止与本发明中的内容相互混淆，向所述卡片中嵌入所述 密钥的过程将被省略。访问所述数据时，相关的密钥由非接触读取器读取以进 行身份识别。所述电子钱包安全层104定义一组支持在有线和无线环境中执行小额支付 交易的协议。对于存储在智能卡中的电子钱包(e-purse)， 一组密钥(可为对 称或非对称密钥)在所述电子钱包被发放时即被个性化并存入所述电子钱包。 在交易过程中，所述电子钱包使用一组密钥分别进行数据加密和信息识别代码 (MAC)运算，以建立并保护连接所述电子钱包与所述安全识别模块或后端服 务器的安全通道。对于单功能卡片，所述电子钱包安全层104会起到门卫(gatekeeper)的作用来保护所述单功能卡片上执行的实际操作。在个性化过程中， 所述单功能卡片的访问密钥(或其转换后的形式)将被个性化，并和电子钱包 交易密钥一同存入所述电子钱包。卡片管理器安全层106,指的是在智能卡中预先搭载的操作系统的通用安 全框架，提供了个人识别号码管理以及卡片个性化安全通道(安全域)的平台。 在一个具体实施例中，所述平台经由卡片管理器，可被用于进行电子钱包的个 性化。所述卡片管理器安全层106的一个实例是被称为全球平台(GP， Global Platform)的、为推进智能卡发展标准而建立的跨工业会员组织。GP集合了智 能卡发行商、生产商、工业集团、公众实体和技术公司的利益，以制定多用途 智能卡的设计要求和技术标准。在一个具体实施例中，全球平台安全层(GP security)被用来个性化智能卡。因此，电子钱包密钥和卡片访问密钥经过个性 化后均被存入目标标签中。图1B展示了在三个实体之间与所述三层安全模型一致的数据流向，所述 三个实体包括一个陆上(land-based)安全识别模块或一台网络电子钱包服务 器112，起门卫作用的电子钱包管理器114，以及一个单功能标签116。根据本 发明的一个具体实施例，所述陆上安全识别模块或网络电子钱包服务器112与 所述电子钱包管理器114之间的通信，将通过一种命令(例如网络消息)进行， 而所述电子钱包管理器114和所述单功能标签116之间的通信则通过另一类型 的命令(例如应用协议数据模块(APDU))进行，其中所述电子钱包管理器 114起到门卫的作用，以保证只有安全可靠且经过授权的数据交换才会被准许 进行。如图1A所示，所述物理安全层在才莫拟器中实现。此处的;f莫拟器意指一个 硬件装置或程序虚拟(pretends)成的另一个特殊的硬件装置或程序，且其它 组件希望与该虚拟成的装置或程序进行交互。所述电子^l包安全层在一个或多 个提供电子钱包功能的applet程序与支付服务器之间实现。所述卡片管理器安 全层(例如全球平台安全层)通过卡片管理器实现并更新安全密钥，以建立用于所述服务器与applet程序之间交互的合适的通道，其中电子钱包applet程序 起到门卫的作用以管理或控制数据交换。根据一个具体实施例，智能卡上预先装载有一个提供安全框架的智能卡操 作系统，以控制对所述智能卡的访问(例如在所述智能卡中安装外部应用程 序)。为了管理所述外部应用程序的生命周期，通过所述智能卡安全框架"^殳有 卡片管理器模块。例如，基于Java的SmartMX智能卡预先装载有JCOP 4.1操 作系统。SmartMX智能卡中安装的全球平台2.1(Global Platform 2.1)则可以执 行所述卡片管理器的功能。参照图2，图2根据本发明的一个具体实施例，展示了便携设备作为电子 钱包执行电子商务和移动商务时的架构示意图200。所述图200包括内嵌了智 能卡模块的便携式电话202。此类便携式电话的一个实例是支持近距离通信(NFC， Near Field Communication),并且包含SmartMX(SMX)模块的便携式 电话。所述SMX模块预先装载有Mifare模拟器208 (即单功能卡)，以用来存 储数值(values )。所述便携式电话装有非接触界面(例如ISO 14443 RFID )， 以允许所述便携式电话起到标签的作用。此外，所述SMX模块是能够运行Java applet程序的Java卡片(JavaCard)。根据一个具体实施例，电子钱包建立在所 述全球平台(GP)之上，并且实现为所述SMX模块中的applet程序。所述电 子钱包被设置为能够通过密码访问所述Mifare模拟器的数据结构，所述密码由 所述访问密钥经过适当的转换后得到。所述便携式电话202中提供了电子钱包管理器MIDlet程序204。在移动商 务中，所述MIDlet程序204充当了电子钱包applet程序206及一个或多个支 付网络和服务器210之间的通信代理，以使各方之间的交易顺利进行。此处所 指的MIDlet程序是适合在便携设备上运行的软件组件。所述电子钱包管理器 MIDlet程序204可以被实现为Java便携式电话上的"MIDlet程序"，或个人数 字助理(PDA)设备上的"可执行应用程序"。所述电子钱包管理器MIDlet程 序204的功能之一是接入无线网络，并与运行在相同的设备或外部智能卡上的电子钱包applet程序进行通信。此外，MIDlet程序204还被设置为可以提供管 理功能，例如更改个人识别号码(PIN)、查看电子钱包余额和交易历史日志。付服务器)之间进行的任意交易的安全识别模块(SAM) 212。如图2所示， 应用协议数据模块(APDU)命令由能够访问安全识别模块(SAM) 212的服 务器210所创建，其中所述APDU模块是读取器和卡片之间的通信模块。所迷 APDU模块的构造根据ISO 7816标准制定。通常，APDU命令被嵌入网络消息 中并被传送至所述l良务器210或所述电子钱包applet程序206以^接受处理。在电子商务中，在计算机(未示出)上运行的Web代理214负责与一个非 接触读取器(例如一个ISO 14443 RFID读取器)以及所述网络服务器210交 互。在实际操作中，所述代理214通过所述非接触读取器216向在便携式电话 202上运行的所述电子4&包applet程序206发送APDU命令，或通过相同途径 从所述电子钱包applet程序206处接收相应回复。另 一方面，所述代理214可 生成网络请求(例如HTTP)并从所述支付服务器210处接收相应回复。当个性化便携式电话202时，图3A中的结构图300展示了相关模块互相 作用，以完成电子钱包由授权人进行个性化的过程。图3B中的结构图320展 示了相关模块互相作用，以完成如图2所示的电子钱包由其用户进行个性化的 过程。图3C中的流程或过程图350展示了根据本发明的一个具体实施例，个性 化电子钱包applet程序的过程。图3C建议与图3A和图3B结合起来一同理解。 过程图350可以通过软件、硬件或软硬件结合的方式实现。如前所述，电子钱包管理器建立于全球平台之上，以提供个性化电子钱包 applet程序时所需的安全机制。在实际操作中，安全域被用来建立连接个性化 应用服务器与所述电子钱包applet程序的安全通道。才艮据一个具体实施例，经 过个性化并被存入所述电子钱包applet程序的关键数据包括一个或多个操作密 钥(例如载入或充值密钥和购买密钥)，预设的个人识别号码，管理密钥(例如阻塞解除PIN密钥和重新载入PIN密钥)，以及密码(例如来自Mifare的密码)。假定用户想要个性化内嵌在便携设备(例如一台便携式电话)中的电子钱 包applet程序。在图3C的步骤352中，个性化过程被启动。根据具体实现的 不同，个性化过程可能在便携设备内的模块中实现，并由手动或自动方式激活， 也可能实现为由授权人(通常是与卡片发行商有联系的人员)启动的一个物理 过程。如图3A所示，授权人启动个性化过程304，以个性化用户的电子钱包 applet程序，所述个性化过程304在现有的(existing)新电子钱包安全识别模 块306和现有的安全识别模块308上，通过作为界面的非接触读取器310来进 行。卡片管理器311执行至少两项功能(1)通过安全域建立安全通道，以在 卡片个性化过程中，安装和个性化外部应用程序(例如电子钱包applet程序)； 以及(2)创建安全措施(例如个人识别号码)，以在后续的操作中保护所述应 用程序。作为所述个性化过程使用个性化应用服务器304的结果，所述电子钱 包applet程序312和;f莫拟器314被个性化。相似地，如图3B所示，电子钱包用户希望启动个性化过程，以通过无线 方式(例如通过图2中的移动商务路径)个性化电子钱包applet程序。与图3A 不同，图3B允许所述个性化过程由手动或自动方式激活。例如，便携式电话 上装有一个装置，如果该装置被按下，则激活所述个性化过程。在另一种方案 中，"未个性化"的状态提示可被提交给用户以启动所述个性化过程。如前所 述，便携设备中的MIDlet程序322 (即一个服务管理器)充当代理以协助支付 服务器324与电子钱包applet程序312以及模拟器314之间的通信，其中支付 服务器324拥有访问现有的新电子钱包安全识别才莫块306和现有的安全识别才莫 块308的权限。经过所述个性化过程，电子钱包applet程序312和模拟器314 被个性化。现在转回参见图3C,在图3A中所示的个性化过程^t启动以后，非接触读 取器310被激活并在步骤354中从设备内的智能卡中读取标签识别符(ID)(即RFID标签ID )和关键数据。通过应用安全域(例如卡片发行商的默认安全设置)， 在步骤356中建立连接新电子钱包安全识别模块(例如图3A中的安全识别才莫 块306)与便携设备中电子4艮包applet程序(例如图3A中的电子4戈包applet 程序312)的安全通道。
全球平台的每个应用安全域都包:^三(3)个DES密钥。例如 密钥1: 255/1/DES-ECB/404142434445464748494a4b4c4d4e4f 密钥2: 255/2/DES-ECB/404142434445464748494a4b4c4d4e4f 密钥3: 255/3/DES-ECB/404142434445464748494a4b4c4d4e4f 安全域被用来为两个实体之间的安全会话生成会话密钥，所述两个实体可 以是卡片管理器applet程序和主应用程序(host application),其中所述主应用 程序可能是桌面机中的个性化应用程序，也可能是由后端服务器提供的网,匕 的个性化服务。
默认的应用域可由卡片发行商安装，并分配给不同的应用/服务提供商。各 应用程序所有者可在个性化过程之前(或在所述过程的最初阶段)变更各自密 钥组的数值。之后应用程序可以使用所述的新密钥組来创建用于执行个性化过 程的安全通道。
通过由应用提供商的应用安全域建立的所述安全通道，第 一组凄t据可被个 性化并存入电子钱包applet程序。第二组数据同样可以通过同一条通道进行个 性化。但是，如果所述数据保存在不同的安全识别模块中，则一条使用相同密 钥组(或不同密钥组)的新的安全通道可被用于个性化所述第二组数据。
在步骤358中，通过新电子钱包安全识别模块306生成一组电子钱包操作 密钥和个人识别号码，以用于新电子钱包安全识别模块与电子钱包applet程序 之间的数据交换，并在实质上个性化所述电子钱包applet程序。
在步骤360中第二条安全通道在现有安全识别模块(例如图3A中的安全 识别模块308)与便携设备中的电子钱包applet程序(例如图3A中的电子钱 包applet程序312)之间^皮建立。步骤362中使用所述现有安全识别模块和标签ID生成一组转换后的密钥。所述转换后的密钥保存在所述模拟器中以用于 之后的数据访问认i正。步骤358中使用所述现有安全识别才莫块和标签ID生成 一組MF密码，并将所述密码存入电子钱包applet程序以用于之后的数据访问 认证。上述操作全部完成后，所述电子钱包，包括所述电子钱包applet程序和 对应的模拟器，将被设置为"已个性化"状态。
基于本发明的一个具体实施例，图4A和图4B —起展示了为电子钱包筹 资或注资的流程或过程图400。过程400通过图2中的移动商务路径实施。为 了更好地理解过程400，图4C展示了一幅具有代表性的方块图450，图中相关 方块相互作用以完成所述的过程400。才艮据本发明实际应用的不同情况，所述 过程400可能通过软件、硬件、或软硬件结合的方式实现。
假设用户得到了一台安装了电子钱包的便携设备(例如一台便携式电话)。 所述用户希望从银行的账户中向所述电子钱包注入资金。在步骤402,所述用 户输入一组个人识别号码(PIN)。假定所述个人识别号码有效，^更携设备中的 电子钱包管理器被激活，并在步骤404中发起请求(也被称为空中(OTA， Over-the-Air)充值请求)。在步骤406中便携设备内的MIDlet程序向电子钱包 applet程序发送请求，图4C中描绘了所述步骤406中电子钱包管理器MIDlet 程序434与电子钱包applet程序436之间通信的过程。
在步骤408中，电子钱包applet程序生成用于回应所述MIDlet程序请求 的回复。收到所述回复后，所述MIDlet程序将所述回复通过蜂窝通信网络发 送至支付网络和服务器。如图4C所示，电子钱包管理器MIDlet程序434与电 子钱包applet程序436通信以获取回复，所述回复随即被发送至支付网络和服 务器440。在步骤410，过程400需要核实所述回复的有效性。如果所述回复 无法被核实，过程400将终止。如果所述回复被核实为有效，则过程400it^ 步骤412并查对银行中相对应的账户。如果所述账户的确存在，资金过户请求 将被启动。在步骤414中，所述银行收到所述请求后会返回回复以回应所述请 求。通常，所述支付网络和服务器与所述银行之间的信息交换需遵守网络协议(例如国际互联网使用的HTTP协议)。
在步骤416中，所述银行返回的回复被传送至支付网络和服务器。在步骤 418中，MIDlet程序从所述回复中提取出APDU命令并将所述命令转发给电子 钱包applet程序。在步骤420中所述电子钱包applet程序核实所述命令，如果 所述命令被核实为已被授权，则将该命令发送至步骤420中的模拟器，同时更 新交易日志。步骤422中生成标签(ticket)以用来制定向所述支付服务器发送 的回复(例如APDU格式的回复)。在步骤424中，所述支付服务器收到回复 后更新并向所述MIDlet程序发送成功状态信息，同时保存所述APDU回复以 便以后查对。
如图4C所示，支付网络和服务器440收到电子钱包管理器MIDlet程序 434发出的回复，并与安全识别模块444核实所述回复最初是由经过授权的电 子钱包applet程序436所发出。所述回复被核实之后，支付网络和服务器440 向提供资金的银行442发出请求，假定用户432在所述银行中有帐户。所述银 行会核实并授权所述请求，然后按照预定的消息格式返回授权号码。从银行442 接收到所述回复之后，支付服务器440会向MIDlet程序434发送一个网络回 复以拒绝或批准所述请求。
电子钱包管理器434核实所述网络回复的有效性(例如是否是APDU格 式)，然后向模拟器438发送命令并更新交易日志。至此，电子钱包applet程 序436完成了所需的步骤并向MDlet程序434返回一个回复，所述MIDlet程 序434再向支付服务器440转发一条内嵌(APDU)回复的网络请求。
尽管过程400被描述为向电子钱包中注入资金，本领域中的其他技术人员
样的结论，因此所述进行购买的过程不再在此单独讨论。
根据本发明的一个具体实施例，图5A中展示了使便携设备530能够在蜂 窝通信网络520 (例如一个GPRS网络)上进行电子商务和移动商务的第一个 示例架构500。所述便携设备530由基带524和安全元件529 (例如智能卡)组成。所述便携设备的一个实例是支持近距离通信(NFC, Near Field Communication)的便携设备(例如便携式电话或个人数字助理(PDA))。所 述基带524提供了一个电子平台或环境(例如微型版Java ( JME, Java Micro Edition),或移动信息设备4匡架(MIDP, Mobile Information Device Profile )), 在其上可执行或运行应用MIDlet程序523和服务器管理器522。所述安全元件 529包含有全球平台(GP)卡片管理器526,模拟器528以及其他组件比如个 人识别号码管理器(未示出)。
为支持所述便携设备530执行电子商务和移动商务，需要在其上预先安装 和设置一个或多个服务/应用。服务管理器522的一个实例(例如一个有图形用 户界面的MIDlet程序)需要被激活。在一个具体实施例中，服务管理器522 可以被下载并安装。在另一个具体实施例中，服务管理器522可以^皮预先载入。 无论采用何种方式， 一旦服务管理器522被激活，包含各种服务的目录列表将 被显示。所述目录列表可能包含与用户的签约信息有关的服务项目，也可能包 括独立于用户签约信息的推荐项目。所述目录列表可从目录服务器512上的目 录库502中得到。目录服务器512为各种可能向注册者提供产品和/或服务的服 务提供者(例如安装服务器，个性化服务器)起到了交流中心(central hub) 的作用(如黄页功能)。所述目录服务器512的黄页功能可以包括月良务规划信 息(例如服务收费，开始日期，结束日期等)、安装、个性化和/或MIDlet程序 下载地点(如国际互联网地址)。所述安装和个性化过程可能是由两个不同的 商业实体所提供，比如所述安装过程可能由安全元件529的发行商所提供，而 所述个性化过程可能由持有特定应用程序的应用处理密钥的服务提供商所提 供。
根据一个具体实施例，服务管理器522被配置为通过蜂窝通信网络520连 接服务提供商的一个或多个服务器514。假定用户已经从呈现给他的服务目录 中选择了 一个应用。在所述一台或多台服务器514与全球平台管理器526之间 将建立一条安全通道518，以安装/下载所述用户选择的应用applet程序527,然后再个性化此应用applet程序527及可选的才莫拟器528,并最终下载应用 MIDlet程序523。 Applet程序库504和MIDlet程序库506分别提供一般的应 用applet程序和应用MIDlet程序。全球平台安全识别模块516和应用程序安 全识别模块517被用来建立安全通道518以进行个性化操作。
根据本发明的另 一个具体实施例，图5B展示了使便携设备530能够在公 共网络521上执行电子商务和移动商务的第二个示例架构540。所述第二个架 构540中的大多数组件本质上与图5A第一个架构500中的组件相类似。不同 之处在于第一个架构500是基于蜂窝通信网络520上的操作，而第二个架构540 则使用了公共网络521 (例如国际互联网)。所述公共网络521可能包括局域网 (LAN, Local Area Network)、 一个广域网(WAN, Wide Area Network )、 WiFi(IEEE 802.11)无线连接、 一个Wi-Max(IEEE 802.16)无线连接等。为了在所述公共网 络521上进行服务操作，服务管理器532的一个实例(即与服务管理器MIDlet 程序522功能相同或相似的实例)将被安装在接入公共网络521的计算机538 上。所述计算机538可以是桌面个人电脑(PC)、笔记本电脑、或其他能运行 服务管理器532的所述实例，并接入公共网络521的计算设备。所述计算机538 和便携设备530之间的连接通过一个非接触读取器534来进行。服务管理器532 充当了代理的角色，以协助服务提供商的一个或多个服务器514与全球平台卡 片管理器526之间，通过安全通道519进行的安装和个性化过程。
图5C是一张流程图，根据本发明的一个具体实施例，描绘了使便携设备 能够进行电子商务和移动商务功能的过程550。所述过程550 4艮据具体实现的 不同，可以通过软件、硬件、或软硬件结合的方式实现。为了更好地理解所述 过程550,以下的描述中将引用若干较早的图示，尤其是图5A和图5B。
在过程550开始之前，服务管理器522或532的一个实例已被下载或预装 在便携设备530或计算机538上。在步骤552,服务管理器被激活并向服务提 供商处的服务器514发送服务请求。在用户被识别以及便携设备被核实为有效 之后，在步骤554中，所述过程550依据便携设备530的用户的签约
20(subscription )信息提供服务/应用程序的目录列表。例如，所述列表可能包含 移动销售点应用程序、电子钱包应用程序、电子票务应用程序、以及其他商业 化的服务。然后一个服务/应用程序被从所述目录列表中选中。例如，电子钱包 或移动销售点可被选中用来配置便携设备530。作为对用户选择的回应，过程 550在步骤556下载并安装所述被选中的服务/应用程序。例如，电子钱包applet 应用程序(即应用applet程序527)从applet程序库504中下载并安装在安全 元件529中。所述下载或安装的路径可以是安全通道518或519。在步骤558 中，如果需要，过程550将个性化所述已被下载的应用applet程序和所述模拟 器528。 一些被下载的应用applet程序不需要被个性化，另外一些则需要个性 化。在一个具体实施例中，移动销售点应用appl改程序("销售点安全识别模 块(POSSAM)")需要净皮个性化，则以下信息或数据组是必须提供的
(a) 唯一基于底层安全元件独特标识符的安全识别模块ID;
(b) —组借记主密钥(debit master key);
(c) 一个转换后的消息加密密钥；
(d) —个转换后的消息识别密钥；
(e) 每笔线下交易的备注部分可以被允许的最大长度；
(f) 一个转换后的批量交易密钥；以及
(g) —个全^求平台个人识别号码(GPPIN)。 在另一个具体实施例中，为单功能卡片个性化电子钱包applet程序时，不
仅需要将特定数据(即个人识别号码、转换后的密钥、开始日期、结束日期等) 配置在电子钱包中，而且还要将模拟器设置为可以在开放的系统中工作。最后， 在步骤560中，过程550下载并根据选择启动应用MIDlet程序523。所述应用 applet程序中的某些个性化数据可被访问和显示，或由用户提供。所述过程550 在所有服务/应用组件均被下载、安装和个性化后结束。
根据一个具体实施例，使便携设备530能够作为一个移动销售点来使用的 一个代表性过程如下(a) 接入安装服务器(即服务提供商的一台服务器514)，并请求所述服 务器建立第一条安全通道(例如安全通道518 )，以连接一个发行商域(即applet 程序库504)与运行于安全元件529上的全球平台卡片管理器526;
(b) 接收一条或多条网络消息，所述消息中包含封装销售点安全识别模 块applet程序(例如来自applet程序库504的一个Java Cap文件)的若干APDU
请求；
(c) 从接收到的所述网络消息中提取所述APDU请求；
(d) 向全球平台卡片管理器526按照正确的顺序发送提取出的APDU请 求，以在安全元件529上安装销售点安全识别模块(即应用applet程序527);
(e) 接入一个个性化服务器(即一台服务提供商的服务器514),以开通 第二条连接个性化服务器与新下载的applet程序(即销售点安全识别模块)之 间的安全通道(根据服务器和/或路径的不同，所述安全通道可能是也可能不是 安全通道518)。
(f) 接收一条或多条网络消息以获得一个或多个单独的"数据存储 APDU(STORE DATAAPDU)，，；
(g) 提取并发送所述"数据存储APDU(STORE DATA APDU)"，以个性 化销售点安全识别模块；以及
(h) 下载并启动销售点管理器(即应用MIDlet程序523 )。
图6A展示了一个代表性的架构600,根据本发明的一个具体实施例，其 中便携设备630作为移动销售点，以执行电子商务和移动商务。所述便携设备 630由基带624和安全元件629组成。销售点管理器623 ;故下载并安装在所述 基带624中，销售点安全识别模块628则被个性化并安装在安全元件629中， 以使便携设备630能够充当移动销售点的角色。这样实时的交易639可以在支 持移动销售点的便携设备630与支持电子代币的装置636 (例如单功能卡片或 支持电子钱包的移动设备)之间进行。所述电子代币可能代表设备中的电子货 币(e-money )、电子购物券(e-coupon )、电子票(e-ticket )、电子凭单(e画voucher)或任何其他形式的支付代币。
实时交易639可以在线下进行(即不将便携设备接入后端销售点交易处理 服务器613)。但是，在特定的实际情况中，例如交易量超过了预定的门限时， 或支持电子代币的设备636需要充值或虚拟充值时，或(单一或批量)交易上 传时，所述便携设备630可以通过蜂窝网络520接入所述后端销售点交易处理 服务器613。
累积的线下交易记录需要被上传至后端销售点交易处理服务器613进行处 理。所述上传操作由通过安全通道618接入销售点交易处理服务器613的便携 设备630执行。与所述安装和个性化过程相似，上传操作可以经由两条不同的 路线执行蜂窝通信网络520;或公共网络521。图6A描绘了所述第一条路线。
所述第二条路线如图6B所示，根据本发明的一个具体实施例，图6B展 示了一个代表性的架构640，其中便携设备630作为移动销售点并在公共网络 521上执行交易批量上传的操作。所述移动销售点中的线下交易记录一般被堆 积保存在销售点安全识别模块628中的交易日志中。所述交易日志由非接触读 取器634所读取并存入安装在计算机638中的销售点代理633。所述销售点代 理633再在公共网络521上通过安全通道619接入销售点交易处理服务器613。 每个包含一条或多条交易记录的上传才乘作都标记为 一个单独的批量上传才乘作。 销售点安全识别模块628、非接触读取器634以及销售点代理632三者之间的 数据通信采用APDU格式并包含所述交易记录。封装APDU (例如HTTP)的 网络消息则被用于销售点代理632和销售点交易处理服务器613之间的通信。
在一个具体实施例中， 一个来自销售点管理器623或销售点代理633的具 有代表性的批量上传过程包括
(a) 向销售点安全识别模块628发送请求以发起批量上传操作；
(b) 在所述销售点安全识别模块628同意所述批量上传请求后，从所述 销售点安全识别模块628中被标记的"一批，，或"一组"中以APDU命令的形 式取回累积的交易记录；(c) 创建一条或多条包含所述取回的APDU命令的网络消息；
(d) 通过安全通道619将所述一条或多条网络消息发送至销售点交易处 理服务器613;
(e) 从所述销售点交易处理服务器613中接收确认签名消息；
(f) 将所述确认签名消息以APDU的形式转送至所述销售点安全识别模 块628以进行核实，然后删除经确认已被上传的交易记录；以及
(g) 如果所述同一 "批，，或"组"中仍然有其他未被上传的交易记录， 则重复步骤(b)至步骤(f)。
图6C展示了一幅流程图，根据本发明的一个具体实施例，描绘了使用充 当移动销售点的便携设备630与作为单功能卡片使用并支持电子代币的装置 636进行移动商务的过程650。为了更便于理解，最好将过程650与之前的图 示，尤其是图6A和图6B关联起来一同考察。所述过程650可以用软件、硬 件、或软硬结合的方式实现。
当支持电子代币装置(例如Mifare卡片或支持电子钱包并模拟单功能卡片 的便携式电话)的持有者，希望通过移动销售点(即便携设备630)购买物品 或订购服务时，过程650 (例如图6A中的销售点管理器623所执行的过程) 便会被启动。在步骤652,便携设备630读取所述支持电子代币的装置并取回 电子代币(例如Mifare卡片的标签ID)。然后，过程650在步骤654中核实所 述取回的电子代币是否有效。如果图6A中支持电子代币的装置636是单功能 卡片(例如Mifare)，则由销售点管理器623执行的所述核实过程包括(i)读 取所述卡片的卡片标识(ID),所述卡片标识保存在不受保护或仅受公知密钥保 护的区域上；(ii)向销售点安全识别模块628发送包含所述卡片标识的APDU 请求；(iii)接收一个或多个由销售点安全识别模块628生成的转换后密钥(例 如用于交易计数、发行商数据等的密钥)。如果所述接收到的一个或多个转换 后密钥为无效，即所述取回的电子代币为无效，则结束过程650。否则过程650 将沿着"是"分支推进至步骤656,在步骤656中将判定在所述取回的电子代币中是否有足够的余额以支付当前交易所需的费用。如果步骤656判定的结果 为"否"，过程650可以选择提议所述持有者在步骤657中为其电子代币充值 (即载入、注入或筹集资金)。如果所述持有者选择"否定，，所述提议，则过 程650结束。否则如果所述持有者同意为所述支持电子代币的装置进行实时充 值，则过程650在步骤658中执行充值或虛拟充值操作。之后过程650返回步 骤656。如果在电子代币中有足够的币余额，过程650在步骤660中从支持电 子代币装置636的电子代币中扣除或借记完成所述购买需要支付的数额。在所 述单功能卡片的情况中，所述一个或多个转换后密钥被用来授权所述扣除才喿 作。最后在步骤662，销售点安全识别模块628中积累的一个或多个线下交易 记录被上传至销售点交易处理服务器613进行处理。所述上传操作可通过蜂窝 通信网络520或公共域网络521对单个交易或批量交易进行。
图4A中的过程400描述了前述的充值操作。虚拟充值操作是所述充值操 作的特殊类型，通常被赞助人或捐助者用来提高电子代币的信用额度。为了能 够使用虚拟充值操作，所述赞助人需要设立一个账户，并将所述账户与支持电 子代币的装置(例如单功能卡片、多功能卡片、支持电子代币的便携式电话等 等)绑定。例如，由商业实体(例如企业、银行等等)提供的线上账户。 一旦 所述赞助人向所述线上账户中充入了电子代币，支持电子代币装置的持有者j更 能在接入移动销售点时从所述线上账户中收到电子代币。多种不同的安全措施 将被贯彻执行以确保所述虚拟充值操作是安全而且可靠的。所述虛拟充值的一 个具有代表性的应用情景是父(母)亲(即赞助人)可以向一个线上账户中充 入电子代币，所述线上账户与一位儿童(即设备持有人)的便携式电话(即支 持电子代币的装置)相连接，因此当所述儿童在移动销售点购买物品时，所述 儿童就能收到所述被充入的电子代币。除了此处描述的各种电子商务和移动商 务功能以外，销售点管理器623还被设置为可提供多种查询操作，例如，(a) 检查销售点安全识别模块中累积的未形成批量(即未被上传)的收支记录，(b ) 列出销售点安全识别模块中的未形成批量的交易日志，(c)显示保存在销售点安全识别模块中的特定交易的细节，(d)检查支持电子代币的装置的当前余
额，(e)列出支持电子代币的装置的交易日志，以及(f)显示支持电子代币的 装置的特定交易的细节。
图6D中的流程图，根据本发明的一个具体实施例，描绘了使用可充当移 动销售点的便携设备630与作为多功能卡片使用并支持电子代币的装置636, 进行移动商务的具有代表性的过程670。为了更便于理解，最好将过程670与 之前的图示，尤其是图6A和图6B联系起来一同考察。所述过程670可以用 软件、硬件、或软硬结合的方式实现。
当支持电子代币装置636 (例如多功能卡片或支持电子钱包并模拟多功能 卡片的便携式电话)的持有者希望通过移动销售点(即便携设备630)购买物 品或订购月良务时，过程670 (例如图6A中销售点管理器623所执4亍的过程) 便会被启动。在步骤672，过程670向支持电子代币的装置636发送初始购买 请求。购买费用与所述初始购买请求(例如APDU命令) 一同发送。然后过程 670进行至判定步骤674。当支持电子代币的装置636中没有足够的余额时， 销售点管理器623将收到拒绝所述初始购买请求的回应消息。结果是过程670 由于所述购买请求被拒绝而结束。如果支持电子代币的装置636中有足够的余 额，判定步骤674的结果为"是，，，过程670将沿着"是"分支进行至步骤676。 从支持电子代币的装置636那里收到的回复(例如APDU命令)将被转发至销 售点安全识别模块628。所述回复中的信息包括电子代币密钥的版本，以及将 被用于建立安全通道的随机数，所述安全通道将连接支持电子代币的装置636 上的applet程序(例如电子钱包applet)与便携设备630上安装的销售点安全 识别模块628。然后，在步骤678，过程670收到由销售点安全识别模块628 为了回应所述转发回复(即步骤676中的回复)，而生成的借记请求(例如APDU 命令)。所述借记请求包含消息识别代码(MAC, Message Authentication Code ) 以便applet程序(即电子钱包applet程序)核实即将进行的借记操作，其中所 述即将进行的借记操作是为了回应步骤680中发送的借记请求而进行的。过程670推进到步骤682，收到所述借记操作的确认消息。所述确认消息中包含被 销售点安全识别模块628和销售点交易处理服务器613分别用来核实和处理的 附加消息识别代码。接下来在步骤684,所述借记确认消息被转发至销售点安 全识别模块628以进行核实。 一旦所述消息识别代码被核实为有效，并且购买 交易被记录在销售点安全识别;f莫块628中，所述被记录的交易在步骤686中被 显示，然后过程670结束。需要注意的是前述电子商务交易可在线下或线上通 过销售点交易处理服务器613进行。并且当支持电子代币的装置中的余额不足 时，可以按照图4A和图4B中描绘的过程400执行充值或注资操作。
图7展示了便携设备被用于电子票务应用时的具有代表性的设置。便携设 备730被配置为包括电子钱包724。当所述便携设备730的拥有者或持有人希 望购买参加一个特定活动的票据(例如音乐会票、球赛门票等)时，所述拥有 者可使用电子钱包724通过一个电子票服务提供商720购票。所述电子票服务 提供商720可联系传统的票房预定系统716或线上票务应用程序710来预定和 购买所述票据。之后电子代币(例如电子货币)被从便携设备730的电子钱包 724中扣除，以向信用/借记系统714 (例如金融机构，確艮行)支付票据购买费 用。安全识别模块718被接入所述电子票务服务提供商720，以确保便携设备 730中的电子钱包724被正确识别。在收到付款确认后，电子票通过空中连接 (例如蜂窝通信网络)被传送至便携设备730，并以电子化的方式被存储在安 全元件726上，例如以电子票代码、密钥或密码的方式。之后，当所述便携设 备730的拥有者，即所述电子票的持有者出席所述特定活动时，所述电子票持 有者只需要让入口登记读取器734读取便携设备730中保存的电子票代码或密 钥。在一个具体实施例中，所述入口登记读取器734是一个非接触读取器(例 如遵守ISO 14443的超短距离耦合装置)。所述便携设备730是支持近距离通 信(NFC)的移动电话。
本发明更适合采用软件形式实现，但也可用硬件或软硬件结合的形式实 现。本发明也可被实现为计算机可读媒体上的可被计算机读取的代码。所述计算机可读媒体是任何可以保存能够被计算机系统读取的数据的数据存储装置。
计算机可读媒体的实例包括只读存储器，随机存取存储器，CD光盘 (CD-ROM),数字化视频光盘(DVD)，磁带，光学数据存储装置，以及载波。 所述计算机可读4某体也可分布在通过网络相连的多台计算机系统中，这样所述 可被计算机读取的代码将以分布式的方式存储和运行。
本发明在其特定特殊性的基础上提供了充分的细节描述。本领域中的技术 人员会理解本发明的具体实施例只是通过实例的方式被公开，大量在部件排列 和组成方面的变更可以在不偏离本发明所声明的主旨和范围的前提下^f故出。因 此，本发明的范围由所附的权利要求所定义，而非由之前对具体实施例的描述 所定义。
权利要求
1、一种使便携设备能够执行移动商务交易的方法，所述方法包括接收服务提供商为回应来自所述便携设备的服务请求而提供的项目列表；从所述项目列表中下载被选中的一个或多个项目；使用用户的输入个性化所述下载的项目；以及基于所述个性化下载项目形成的个性化信息，下载移动商务交易管理器模块。
2、 如权利要求1所述的方法，其特征在于，所述移动商务交易管理器模 块加载在所述便携设备的基带中，所述下载的项目保存在安全元件中。
3、 如权利要求1所述的方法，其特征在于，还包括预安装服务管理器模 块，以协助所述安装、个性化和下载纟喿作。
4、 如权利要求3所述的方法，其特征在于，所述下载的项目中的一个项 目是移动销售点管理器模块，所述移动销售点管理器模块能够协助使用电子代 币的交易。
5、 如权利要求2所述的方法，其特征在于，所述安全元件为智能卡。
6、 如权利要求5所述的方法，其特征在于，所述下载的项目中的一个项 目是电子商务和移动商务交易模块，以及所述个性化过程还包括与在服务提供商处的个性化服务器连接，以建立安全通道； 向所述个性化服务器发送个性化请求；从所述个性化服务器接收一条或多条包含个性化数据组的网络消息；以及 转发所述个性化数^居组至所述电子商务和移动商务交易才莫块。
7、 如权利要求6所述的方法，其特征在于，所述安全通道建立在蜂窝通 信网络或公共域网络之上。
8、 如权利要求6所述的方法，其特征在于，所述个性化数据组包含转换 后的识别信息，所述识别信息由所述个性化服务器使用所述安全元件专有的识 别符生成，也可选择使用所述安全元件的模拟器的卡片识别符生成。
9、 如权利要求8所述的方法，其特征在于，所述个性化数据组还包含基于所述移动商务交易模块的特定需求的各种密钥和代码。
10、 如权利要求6所述的方法，其特征在于，所述个性化数据组由与应用 协议数据单元APDU相一致的命令形成。
11、 如权利要求8所述的方法，其特征在于，还包括个性化所述模拟器。
12、 如权利要求l所述的方法，其特征在于，所述项目列表包含多个服务器地址，所述服务器地址用于所述一个或多个项目的下载、所述个性化过程以及所述移动交易管理器模块的下载，所述项目列表中也可选择包含服务计划信 自
13、 一种用于执行移动商务交易的系统，所述系统包括 配置为移动销售点的便携设备，包括经过安装和个性化的销售点管理器及销售点安全识别模块SAM;以及能够使用电子代币的装置，其中，电子代币被设置为被所述便携设备的非 接触界面读取。
14、 如权利要求13所述的系统，其特征在于，还包括销售点交易处理服 务器，所述销售点交易处理服务器通过蜂窝通信网络上的安全通道接入所述销 售点管理器。
15、 如权利要求14所述的系统，其特征在于，所述销售点管理器是运行 在所述便携设备的基带中的MIDlet程序；
16、 如权利要求14所述的系统，其特征在于，所述销售点安全识别模块 是运行在所述便携设备中的安全元件上的applet程序；
17、 如权利要求13所述的系统，其特征在于，所述便携设备是能够使用 近距离通信NFC的移动电话。
18、 如权利要求13所述的系统，其特征在于，所述能够使用电子代币的 装置是单功能卡或多功能卡。
19、 如权利要求13所述的系统，其特征在于，所述非接触界面是遵照标准的超短距离耦合装置。
20、 一种使用便携设备执行移动商务交易的方法，所述方法包括 通过读取能够使用电子代币的装置，从希望进行购买交易的所述装置的持有者那里取回电子代币；使用安装在所述便携设备上的销售点安全识别模块来判定所述取回的电 子代币是否有效；以及扣除所述电子代币以在所述销售点安全识别才莫块中记录所述购买交易； 否则拒绝所述购买交易。
21、 如权利要求20所述的方法，其特征在于，还包括通过蜂窝通信网络 或公共域网络，向后端销售点交易处理服务器上传所述销售点安全识别模块中 累积的交易。
22、 如权利要求20所述的方法，其特征在于，还包括从金融机构或连接 的账户中，通过所述便携设备的销售点管理器向所述能够使用电子代币的装置 中注入资金。
23、 如权利要求22所述的方法，其特征在于，所述连接的账户由赞助者 或捐助者设立和注入资金。
24、 如权利要求20所述的方法，其特征在于，还包括当所述购买花费超 过预先定义的门限时，连接到后端销售点交易处理服务器，以对所述电子代币 进行进一 步的认证。
全文摘要
本发明公开了便携设备用作电子购买器(例如电子钱包)和/或电子移动销售器(例如移动销售点(POS，Point-of-Sales))的技术。依据本发明的一个方面，提出了一种在安全性不受妥协的前提下，使便携设备能够在开放的网络上通过支付服务器和/或销售点交易处理服务器，进行电子商务和移动商务交易的装置。在一个具体实施例中，便携设备载入了电子钱包，以用作电子移动购买器。在另一个具体实施例中，便携设备载入了移动销售点，以用作电子移动销售器。
文档编号G06Q30/00GK101295394SQ20081008774
公开日2008年10月29日 申请日期2008年3月26日 优先权日2007年4月23日
发明者仇福栋, 仇福梁, 昕 潘, 许良盛 申请人:美国通宝科技有限公司