专利名称:用于在安全网络上提供另一安全网络的系统和方法
技术领域:
本发明提供一种用于在封闭或者安全网络上提供另一封闭或者安全网络的系统 和方法。具体而言,本发明提供一种用于使封闭或者安全网络的运营方能够在终端网络上 运营,而无损于任一网络的封闭性质的系统和方法。
背景技术:
在销售点的电子资金转账(EFT)设备(称为EFT-POS设备、PIN板、芯片和PIN读 卡器、签名终端、支付设备或者授权终端中的任一个(这里统称为“终端”))广泛地部署到 具有商户和零售店的最终用户地点。在销售点的这些终端使消费者能够使用安全支付手段 如信用卡或者银行借记卡来与商户交易。典型的终端包括各种读卡器,例如磁条读取器、智 能读卡器和/或无接触设备接口读取器如RFID读取器。一些终端具有内置打印机。一些 终端与销售点电子收银机对接,并且与这些收银机连通。终端具有用户接口,这些用户接口包括各种屏幕、触屏、小键盘和/或用于触屏签 名捕获的触笔。终端防篡改并且支持若干安全服务,而且通常能够使用包括加密小键盘和 加密消息接发的密码技术来认证安全个人标识号。终端通常支持外设以及与控制器、电子 收银机、条形码读取器、光学标记感测读取器和打印机的有关消息接发。终端主要用于发起电子资金转账。在金融服务内,支付产业是称为零售电子支付 系统(REPQ的一个部门。REPS执行在除获取方之外的一个地点处自发完成的销售点支付。 REPS包括信用卡系统;电子资金转账(EFT)系统,其主要部署用于借记卡处理;以及现金 接受和账单支付系统。主要支付功能包括授权和消费者信用卡和借记卡交易、通过安全网 络捕获销售汇票信息。这些终端和REPS提供有广泛影响的已建网络,然而,该网络由可以例如是银行或 者其它金融机构的获取方运营。因此,获取方有权控制和访问所有设备和通过它的网络传 达的数据。许多实体需要在多个地点分销它们的产品或者服务从而例如利用零售商地点。这 些实体(称为“运营方”)经常使用它们自己的网络(具有它们的硬件、软件和网络部件) 以分销它们的产品或者服务。一个示例是彩票公司,该公司经常使用专用彩票站并且需要 广泛分布的专用网络。用于提供这一专用网络的硬件、软件和网络部件的分布和维护需要 初始和运作成本,这些成本可能包括商户或者运营方的购置成本和运营方的维护成本。彩票商迫切需要增加销售点数量并且向新销售渠道中扩张以遵循消费者消费地 点和人口统计区段。彩票销售的主要驱动因素在于彩票销售终端的密度和消费者便利。接 入点的扩张受专用全服务终端的成本(其要求零售商有较高的最小每周销售额)和/或全 服务终端可用性的限制。然而,彩票运营方在它们利用其它方拥有的现有网络的能力上受约束,因为在彩票交易期间传达的数据有高敏感性,并且REPS不愿意允许可能危害REPS安 全的其它方进行访问。公开号为200302^910的美国专利公开了一种彩票管理系统。提供用于将第三方 设备与彩票网络连接的装置。然而,该发明仅通过连通网络将外来设备连接到彩票网络。第 三方设备及其连通网络或者可以开放用于安装应用/连通,或者可以在彩票运营方或者它 的玩家-消费者的控制之下。它未克服数据可用于外来网络运营方或者攻击者这一限制。使运营方如彩票商能够利用REPS网络及其终端将是有益的。然而,预计运营方将 它们的传达数据暴露于另一方(比如获取方、潜在攻击者或者甚至其它运营方)是不实际 的。获取方也不想将它们的商户信息暴露于运营方或者其它获取方。需要的是一种用于使一个或者多个运营方能够利用由一个或者多个获取方运营 的一个或者多个终端网络而无损于任一网络的封闭性质的性能或者安全性的系统和方法。 多个运营方需要与多个获取方通信。有时,运营方可能仅向获取方的终端的子集合法地通
发明内容
本发明提供一种用于将运营封闭网络的至少一个获取方网络链接到至少一个运 营方的系统,获取方网络包括一个或者多个终端并且可选地包括获取方服务器,该系统的 特征在于链接到获取方网络和运营方的中央服务器,中央服务器可配置成与一个或者多个 终端的至少子集通信并且也与运营方通信,并且建立运营方与一个或者多个终端之间的一 个或者多个通信链路,其中中央服务器在获取方网络与运营方之间充当用于使运营方能够 经由封闭的获取方网络来与一个或者多个终端通信的受信任的中介方。本发明还提供一种用于将运营封闭网络的至少一个获取方网络链接到至少一个 运营方的计算机网络可实施的方法,获取方网络包括一个或者多个终端并且可选地包括获 取方服务器,该方法的特征在于(a)将中央服务器链接到获取方网络和运营方;并且(b) 一个或者多个计算机处理器配置或者有助于配置所述中央服务器以与一个或者多个终端 的至少子集通信并且也与运营方通信,并且建立在运营方与一个或者多个终端之间的一个 或者多个通信链路,以便使中央服务器能够在获取方网络与运营方之间充当用于使运营方 能够经由封闭的获取方网络来与一个或者多个终端通信的受信任的中介方。就这一点而言,在具体说明本发明的至少一个实施例之前,将理解,本发明在它的 应用上并不限于在下文描述中阐述或者在附图中图示的构造细节和部件布置。本发明能够 有其它实施例并且以各种方式来实践和实现。也将理解这里运用的措辞和术语是出于描述 的目的而不应视为限制。
图1图示了根据本发明的示例系统。图2图示了链接到多个客户机/服务器架构的中央服务器,这些架构在链接的网 络内提供多个子网络。图3图示了用于本发明的一个实施方式的多个业务用例,其中运营方是彩票代理。
图4还图示了用于本发明的一个实施方式的特定业务用例,其中运营方是彩票代理。图5是图示了本发明的四个子系统的背景,其中它实施为彩票销售系统。图6图示了彩票应用的示例使用所产生的终端的彩票登记(entry)票的打印输出 示例。
具体实施例方式概述本发明使封闭网络(定义如下)能够在另一封闭网络的网络基础结构上运营。具 体而言,尽管获取方网络例如由于与获取方网络关联的安全要求而有封闭方面,本发明仍 然使运营方(例如彩票公司-见下文)能够与一个或者多个网络设备(例如下述终端)交 换通信,这些网络设备与获取方的网络(例如金融机构的电子支付网络)关联。本发明实现 运营方网络和获取方网络的链接,以便在它们之间并且具体地在获取方的网络设备与和与 运营方关联的一个或者多个服务器之间的通信,而无损于网络的封闭性质、安全和性能。如 下文具体所述,根据本发明提供的大量安全服务实现设备认证、数据发源认证和实体认证, 由此维持数据私密性和完整性。获取方一般要求设备和数据发源认证,而运营方则要求(例如,对获取方终端的 用户的)实体认证,该实体认证为通过将获取方网络和运营方网络(或者这样网络的网络 部件)链接的操作而涉及获取方的一个或者多个终端的、与运营方的交易提供真实性。根据本发明,运营方网络和获取方网络的所述链接由下述中央服务器实现,该中 央服务器充当受信任的中介方以实现运营方与一个或者多个终端之间越过获取方网络的 上文所指通信。参照图1,本发明的系统包括(a)获取方网络4 ; (b)运营方网络M ; (c)由受信 任的第三方运营的中央服务器5;以及(d)多个终端1。安全服务7可以由中央服务器5或 者由链接到中央服务器5的安全服务器提供。获取方网络4和运营方网络M可以是封闭 网络,并且无需在它们之间共享任何数据。在本公开内容中的“封闭”网络意味着第三方除非有网络所有者的参与、批准和/ 或证明,否则不可以访问、加载应用或者与网络的设备通信。应当理解,“获取方”意味着向商户提供包括终端的交易处理装置的网络所有者或 者管理者,例如银行或者其它金融机构。设想获取方可以向一个或者多个处理器分包它作 为获取方的角色的某些方面。在一个特定实施方式中,(a)获取方网络4由获取方运营;(b)运营方网络M由运 营方运营;并且(c)中央服务器5由受信任的第三方运营。然而,应当理解,可以针对这些 部件提供任何其它操作模型。中央服务器5提供如下机制,该机制用于将运营方网络M与获取方网络4链接, 从而实现链接两个封闭网络,使得运营方网络M和有关操作扩展到获取方网络4或者由获 取方和运营方允许的获取方网络4的部分。如下链接的或者组合的网络可以在本公开内容 中称为“链接网络”(该链接网络的部分实际上是获取方网络4,但是本发明结合该链接网 络使运营方或者它的指定“附带其上(Piggyback) ”),该链接的或者组合的网络是根据本发明而提供的并且向运营方提供对自己的接入。换而言之,运营方网络M的通信按照本发明 的操作可以附带在获取方网络4或者其所选部分之上。在维持获取方的安全服务(包括数据发源认证)并且维持运营方的安全服务(包 括基于它自己的认证过程、出于商户交易的目的来认证终端的能力)的同时,实现封闭网 络的这一链接。在一个方面中,如下文进一步具体所述,本发明使运营方能够(包括在获取 方网络4上)应用它的安全服务过程和它的用户认证过程。在本发明的一个实施方式中,商户也可以例如出于减少成本(交易成本)的目的 运营他们自己终端的网络,并且这样有助于促进金融机构提供的终端可能不允许的功能, 在该情况下,出于本发明的目的,针对实现与运营方网络的通信而言,商户网络是获取方网 络的部分。商户的网络也可以是封闭网络,在该情况下,获取方网络包括金融机构的封闭网 络和商户的封闭网络。包括终端的商户网络可以具有它们自己的认证要求。下述安全服务 可以包括实现商户的认证要求,以便实现商户终端与运营方之间、经由商户网络和金融机 构的网络的通信。中央服务器5由受信任的第三方运营以有助于安全和私密服务,使得获取方和运 营方不能访问其它方的数据。运营方无权修改中央服务器5,尽管可以存在用于使运营方能 够向中央服务器5提供业务数据更新和其它内容的机制。中央服务器5针对通过中央服务 器5路由的通信实现某些安全服务7。运营方网络M可以利用中央服务器5链接到获取方网络4,并且可以进一步利用 获取方服务器3或者由获取方批准用于路由的另一设备如交换机25进行链接,并且可以针 对某些交易消息绕过获取方服务器3。例如,如果运营方已经向它的应用提供了用于在获取 方网络4上使用的签名代码,则获取方可以不要求运营方网络M通过获取方服务器3链接 到获取方网络4。多个终端1部署到一个或者多个零售商或者其它最终用户地点2。终端1定义了 两个封闭网络上的节点,并且通常由获取方部署。中央服务器5控制终端1对运营方网络 24的接入。中央服务器5可以被配置成使运营方能够访问终端1的全部或者子集,从而使 运营方能够选择他希望向哪些终端1提供连通。例如通过由或者为获取方运营的、可操作以向终端1递送应用代码的网络管理系 统的操作,来向终端1递送终端应用17。通常,任何应用代码在向终端1分发之前必须由获 取方接受,该接受可以包括利用应用代码签名的证明过程,以便实现加载和安装终端应用 17,以及使用终端应用17和由获取方网络4提供的数据发源认证来实现终端1与获取方网 络的互操作。终端应用17提供用户认证,由此,终端1的用户使运营方能够在获取方网络4上 运营它的网络。换而言之,终端应用17通过借助中央服务器5的服务来认证终端1的用户, 从而实现在运营方网络M上使用终端1。终端应用17配置终端1以提供本发明的通信方 法。终端应用17利用它驻留于其上的终端1的资源,并且与获取方4和中央服务器5通信。终端应用17也从中央服务器5接收业务文档10、交易集11、动态数据12、对编程 的更新13和附加编程代码,以通过获取方网络4实现针对运营方网络M描述的通信。获 取方服务器3未进行运营方的业务过程。各终端应用17包括(a)消息接发实用程序18,用于实现与中央服务器5交换通信;(b)安全层19,可选地具有数据发源认证实用程序和设备认证,用于向获取方服务器3 认证终端、特别是在终端的一种客户机/服务器实施方式中,其中终端1是获取方服务器3 的客户机;(c)控制器/处置和处理层20,用于基于作为终端应用17—部分的指令或者由 获取方服务器3动态提供的指令来处理交易;(d)用户认证层21,其针对运营方,并且可操 作用以直接或者通过作为认证中介方的中央服务器5的操作间接地向运营方服务器6认证 终端1的授权用户;以及(e)呈现层23和用户接口,其链接到处置/处理层,用于与包括小 键盘、显示器、触屏和打印等的用户接口交互。应当注意,终端应用17可以补充终端制造商或者获取方在终端1上提供的现有或 者专用应用,在该情况下,可以与现有或者专用应用一起或者在该应用上面执行终端应用 17或者由现有或者专用应用执行终端应用17。取而代之,终端应用17可以通过在终端应 用17中包括专用应用的功能来替换现有或者专用应用。下文具体讨论终端应用17的这些部件在实现本发明的方法时的作用。下文描述上文所指部件的示例实施方式及其功能。然而应当理解,可以在许多其 它实施方式中提供本发明的部件和功能(例如,包括在分布或者集成基础上),其中更小或 者更大数目的部件进行这些功能。另外,所述特定软件结构可以由实现本发明方法的其它 结构提供。另外,其它方(包括在代理基础上或者在委托基础上)控制各种部件。注意,终端应用17可以包括附加功能或者特征。例如可以希望在结合本发明使用 (通过终端或者终端应用的操作)的终端1中包括如下功能,该功能通过使用针对“监听” 的已知安全技术来防止未授权第三方出于“监听”的目的对终端1或者终端应用17的访问, 并且防止由此对通过终端的操作所处理交易数据的捕获。中央服务器5管理和提供包括安全服务7和采购服务6的多个服务,以及在终端 1与运营方服务器6之间的通信。下文进一步描述中央服务器5的功能。可选地,如图2中最佳所示,中央服务器5链接到多个这样的客户机/服务器架 构,这些架构在链接网络内提供多个子网络。各客户机/服务器架构包括通常与单个获取 方关联的多个终端1和用于使用获取方网络4来有助于运营方网络的操作的至少一个获取 方服务器3。终端1出于对与运营方服务器6关联的、但是经由获取方网络4的通信进行管 理这一目的而链接到获取方服务器3,其中中央服务器5充当获取方网络4 (或作为链接网 络一部分的网络部分)与从运营方的观点来看是运营方的封闭网络之间的受信任中介方。 尽管在某些实施方式之下,运营方/获取方将要求各终端1与单个获取方和单个运营方关 联,但是参与获取方与参与运营方之间的协作根据本发明是可能的,这可以针对所述链接 网络实现多对多关系。安全服务7鉴于运营方的利益而由中央服务器5或者链接到中央服务器5的中央 安全服务器提供,或者通过在安全服务器5中包括安全功能而成为中央服务器5的部分。另 一运营方安全服务器可以与运营方服务器6关联。这里所述用于运营方的安全服务可以代 之以由运营方安全服务器提供(其中中央服务器充当中介方)或者可以分布于中央服务器 的中央安全服务器与运营方安全服务器之间。下文提供关于安全服务的细节。中央服务器5链接到一个或者多个数据库9。数据库9包括与各运营方关联的至 少一个目录。目录可以最佳地理解为与特定运营方的具体出售物关联的计算机文件的编 纂。在本发明的一个特定实施方式中,目录9包括作为“业务文档” 10而捕获的这样的具体出售物列表。例如通过中央服务器5的操作,基于提供的运营方的具体业务数据来生成业 务文档10,从而体现与具体出售物和任何有关交易关联的数据和过程。运营方的业务数据 可以包括与通过链接网络引导的通信关联的动态数据、应用代码、配置数据和运营方为了 处理交易而需要的其它对象。也设想业务文档10可以包括用于通过与特定运营方关联的获取方网络4在终端 1与运营方网络M之间的通信的参数,例如用于实现运营方网络M的操作的内容、处理或 者安全方面。如前文所言,用于接入运营方网络M和在运营网网络M上传达消息的特定认证 参数由运营方建立。因此,获取方提供设备和数据发源认证,而运营方提供实体(或者用 户)认证。这些认证措施提供数据私密性和完整性。应当理解,根据经由中央服务器5变得集中可用的业务数据来生成业务文档10有 助于实施本发明,特别是当有多个运营方出售物、多个运营方(各运营方具有具体数据和 规则,这些规则例如基于地理考虑、交易规则、法规规则、规章等来支配它们的交易)时。在 本发明的一个特定实施方式中,如上文所述,业务文档10形成用于为终端应用17开发交易 集11的基础,或者其用于与具体运营方关联的特定子网络的特定迭代或者配置。例如业务 文档10可以用来有助于开发让特定获取方接受的终端应用17,因此例如减少实现终端应 用17的代码接受的成本,该代码接受经常是用于向特定获取方控制的终端1分发终端应用 17的先决条件。可以通过在终端应用17中包括由或者为关联获取方分发的迭代或者配置 来将业务文档10嵌入于向终端实施的交易集11中。交易集11实际上通过这一过程来体 现业务数据,由此使终端能够与终端到运营方的交易过程集成。同样,这有助于按照特定运 营方要求以及特定运营方网络M和获取方网络4的条件来实施本发明。在操作中,一旦终端1通过向获取方网络4认证而有权接入获取方网络4,终端应 用17可操作用以创建如下消息,该消息的内容由获取方网络17允许,但是实际上由运营方 确定以实现具体运营方出售物或者有关交易。消息的实际内容符合根据运营方的业务数据 的运营方要求。这些要求由运营方提供为业务数据,该业务数据包括与运营方想要使用运 营方网络M来提供的功能有关的业务规则。在一个特定实施方式中,向中央服务器5传达 所得消息,并且如果它符合目录则可以将它进一步向运营方服务器6路由,或者如果它不 符合目录,则可以拒绝它。如果将它向运营方服务器6路由,则接收消息以供运营方服务器 6处理,但是可以先将该消息向安全服务7路由以供认证、然后开启该消息(在应用安全服 务7之后)并且运营方服务器6作用于该消息。运营方服务器6根据它的业务数据作用于 消息的内容并且可以按照顺序相反的相同步骤向终端发回消息。本发明因此使运营方网络M运营于获取方网络4上而又保证在销售点用户与运 营方之间的数据保密性和完整性。本发明也提供从终端1的用户(例如被授权用于与运营 方交易的终端所在的商户个人)向运营方服务器的端到端认证。具体为向中央服务器5的 端到中间认证也是可能的。金融网络获取方网络4包括部署到最终用户地点如零售商的一个或者多个终端1并且可以 包括用于处理金融交易的金融服务器。已知许多解决方案用于配置获取方网络4。获取方 负责根据它的金融网络实施方式捕获交易和经由处理网络交换机将交易向适当服务实体路由。通过获取方网络4发送的数据不应由运营方可访问。应当理解实质变化在终端1和获取方服务3这些级别(这里称为“客户机/服务 器”)是可能的。不同终端1的规格例如参照连接和支持的外设22、小键盘和屏幕的尺寸、 屏幕分辨率、屏幕尺寸、触屏能力、安全/认证能力等可以极大地变化。与终端关联的各商 户也可以具有它自己的要求、例如终端1如何链接到收银机、终端1是否集成到收银机、商 户需要的外设(例如外置打印机)、商户标志是否出现于终端生成的打印输出上、适用于商 户的交易的提示、在商户级别的控制(例如针对特定类型的交易授权哪些人员)。也可以 有在获取方级别的实质变化以例如支持旧式网络、供应商等或者实施获取方可能认为最安 全或者高效实施方式。可以通过本发明的操作来实施所有这一变化。终端应用17包括实 现与各种硬件交互的编程、中间件和实现终端功能的软件;终端应用17经由业务文档10体 现业务数据;并且终端应用17也体现获取方的例如包括针对数据认证(可能包括对终端的 认证,尽管这通常由已经在终端上提供的并且终端应用与之互作用的部件解决)的具体要 求。中央服各器中央服务器5提供一种如上文所述用于链接运营方网络M和获取方网络4从而 实现链接两个封闭网络的机制。中央服务器5链接到管理在终端1与中央服务器5之间的 通信的服务器应用8。中央服务器5进行与运营方关联的安全服务和业务交易。运营方提供具体业务数 据,并且终端和获取方网络支持具体联网通信和应用交易集11。业务数据适用于运营方网 络M而不适用于获取方网络4,无论终端1还是获取方服务器3。并且另外需要符合业务 数据的、在客户机/服务器层实施的交易集。如下文更完全说明的那样,业务数据可能随时 间改变。鉴于这一变化,需要一种用于获取方构建和维护客户机/服务器代码并且处理代 码签名的方式。中央服务器5例如从运营方服务器6拉取业务数据,或者运营方服务器6向中央 服务器5推送业务数据。中央服务器5按照可以通过转译引擎或者数据镜像技术提供的以 下变换来解译业务数据和交易集11。中央服务器5可以向具有运营方业务过程的运营方网 络M提供第一业务服务接口,而向具有获取方业务过程的获取方网络4提供第二业务服务 接口,以提供对业务文档10和有关业务数据的变换和传送。中央服务器5通过实现交易集11和业务数据在运营方网络M与获取方网络4和 终端1之间的变换和传送来支持在终端1与运营方服务器M之间的交易集11。交易集11 是具有业务数据的业务过程。中央服务器首先变换业务数据以映射成形式为业务文档10的传统打印业务文 档。业务数据包括与运营方提供的业务过程和交易有关的信息,并且具体向中央服务器通 知运营方的可能交易。例如在运营方为彩票代理的背景中,业务数据可以包括彩票主机游 戏和抽奖类型、抽奖矩阵、有效时间、有效价格等,并且所得业务文档可以包括目录、订单响 应、订单改变、订单取消、派送票、收到通知。业务数据可以由中央服务器分析以生成提供关 于交易的信息的业务文档集。中央服务器5接着变换这些业务文档10以映射成特定终端安全采购交易集11和 过程。交易集11的示例包括请求活动伙伴/角色(例如终端的用户)、具有业务数据的请求活动业务文档(例如订单)、响应活动伙伴/角色(例如运营方)和具有业务数据的响 应活动文档(例如订单响应)。运营方可能具有获取方网络4可能不可识别或者终端1可能不支持的旧式业务数 据。中央服务器5通过保证适当地变换和经由它们的相应业务服务接口向各请求方和响应 方传送业务文档10和业务数据来支持交易集11。中央服务器5可以使用业务文档10的基线标准集,并且具有用于适当地将运营方 的业务数据变换成业务文档10和从业务文档10变换成该业务数据的装置。中央服务器可 以变换业务文档10以适合于具体获取方网络的传送协议、格式和终端应用。链接到中央服务器5的安全服务7也可以提供用于与运营方和获取方对接的附加安全。如以下示例中进一步示例的那样,如上文所述包括业务文档10的中央服务器5的 功能和终端应用的设计(或者它的迭代)提供如下平台,开发者可以向该平台构建终端应 用迭代或者配置,这些迭代或者配置可以易于更新以解决运营方驱动的对业务数据的改变 (例如通过更新实用程序14的操作),或者基于可能出现的商户/商户地点/获取方/运 营方变化来实现高效部署多个终端应用实例。这可以通过向运营方提供用于提供最新业务 数据的工具并且向开发者提供工具以使得更易于大量生产系统来实现。例如图3图示了用 于本发明的一个实施方式的多个业务用例,其中运营方是彩票代理。图4还图示了特定业 务用例。可以基于开发员将交易流映射成多个步骤来开发多个业务用例。本发明提供一种 用于实现该映射以基于开发者注释来实现这些用例的系统。在一个实施方式中,第一步骤是在中央服务器5上启用通向运营方服务器6的链 路。出于获得当前业务数据的目的而创建这些链路。可以使用推送和拉取架构,并且优选 地,二者由于也在运营方系统级别的变化而均有可能。业务文档10然后可以由中央服务器 5创建。业务文档10可以用来构建终端应用和/或服务器应用的迭代或者配置;因而终端 应用和/或服务器应用可操作用以在终端处理一连串交易集11,这些交易集11与业务数据 一致。用于终端应用17和服务应用8的应用代码然后可以由获取方签名,从而针对数据认 证实现安全性(包括有能力激活数字签名、输入运营方有效使用的个人识别号和其它安全 方面、即使该数据不可为获取方所见)。代码然后可以由或者为获取方分发到运营方已经签 名的终端1。运营方然后可以生成用于认证由商户和/或运营方允许的终端1的用户的证 书。在操作中,中央服务器5从运营方服务器6接收业务数据集并且可操作用以创建 和编辑业务文档10以有助于中央服务器5在运行时执行的以下设立步骤。i)中央服务器5创建、读取或者更新运营方具体业务数据并且将它变换成业务文 档10。中央服务器也为获取方网络4提供交易集11。然后将通过具体获取方网络4从中 央服务器5向终端1传送这些交易集11。业务文档10和交易集11为中央服务器5内的不 同运营方具体业务数据集提供质量保证和模板清单。业务文档10的示例包括订单和订单 响应。ii)在设立/设计时间,通过获取方网络从终端向中央服务器提供包括用户证书 的各获取方所特有的业务服务。这些业务服务使用获取方的具体协议和格式将业务文档10 变换成交易集11。将用于实现这一变换的业务服务格式化成如下消息,其支持该消息用于由获取方网络4 “传送”以使终端1能够发起业务文档10向所需交易集11的变换。iii)在运行时,中央服务器5已经填充业务文档10并且将这些业务文档10变换 成交易集11,从而使运营方网络M能够在获取方网络4上运营。仅向关联商户提供各商户的证书,这通常通过运营方使用离线或者在线手段来直 接地提供证书(例如通过运营方的销售代理向商户递送智能卡,或者通过邮件或者信使递 送智能卡)或者可能通过中央服务器5的运营方(例如通过下载或者请求激活安全密码原 语)间接地提供证书。更新实用稈序作为附加步骤,使用更新实用程序14,运营方可以向中央服务器5提供更新的业 务数据。代码签名通常涉及到获取方授权动态更新终端应用17和/或服务器应用8。可以 进行动态更新,或者各交易集可以包括如下过程,由此向中央服务器5请求(直接地或者间 接地通过服务器)中央服务器5可操作用以向终端1发送(同样直接地或者间接地)的、 与交易集关联的最新业务文档,由此在实时或者接近实时的基础上向终端提供源于运营方 的、并且为了处理在用户与运营方之间的交易而需要的最新业务数据(其中终端和运营方 提供渠道)。中央服务器5可以链接到运营方服务器6,并且一个方面在于它链接到运营方服 务器6以拉取具体信息并且将中央服务器5更新成如下程度,该程度使得在运营方服务器6 这一级别有如下改变,这些改变构成对运营方具体业务数据或者交易规则的更新。中央服 务器5可以自更新以便在运营方级别适当地反映需要以交易被处理的方式来反映的有规 律的改变。推送和拉取架构有可能符合各运营方的具体要求,并且在一个实施例中,中央服 务器5适应两种架构。安全服务如先前提到的那样,对于获取方和非运营方而言可能重要的是它的网络和在它的 网络上的数据是安全的并且不可为其它方、第三方或者未授权方所访问。获取方和运营方 可能希望完全认证。获取方可能要求设备和数据认证,而运营方要求实体认证、例如对访问 系统的用户的认证以防止例如窃取。获取方也可以要求设备认证以保证它的网络的完整 性。然而获取方可能不担心用户(商户)的身份或者发票开具。实际上,未知实体对终端 的窃取和后续使用是运营方的一个大得多的担心。因此运营方可能希望认证商户店铺中的 终端1的用户。安全服务7使运营方能够利用获取方网络4。安全服务7向运营方网络M提供用 户、实体或者终端的认证。安全服务7也使获取方能够使获取方网络4安全。因此本发明 提供针对获取方的数据发源认证和针对运营方的用户实体认证。可以提供消费者匿名模式和消费者注册账户模式。可以提供至少三个业务过程,用于在终端在运营方网络中的操作之前配置本发明 的系统(1)设立/证明新运营方;(2)设立/证明新获取方;(3)设立/QA新商户,该商户 已经与运营方签约并且具有一个或者多个店铺和一个或者多个终端。在终端1操作并且尝试链接到运营方网络M时进行另一认证。最佳地,认证包括 终端1和用户的多级别认证。例如终端1可以与商户ID和店铺ID(特别是当商户在各种 管辖范围中具有店铺时)以及设备ID关联,而用户按照用户ID来认证。安全服务可以被配置成将用户ID与商户ID、店铺ID和设备ID的一个或者多个特定集关联,从而防止未授 权使用终端1。可以在多个不同级别控制对例如在地理上未授权的交易的阻止。如果交易未来自 授权终端(即,在授权地理地点中的终端1)或者来自运营方尚未批准的商户地点,则可以 在中央服务器或者运营方这一级别进行这一阻止以阻止该交易。本发明实现的安全服务7的其它方面包括1.中央服务器5越过获取方网络4 (或者其与运营方关联的部分)和运营方网络 M提供多个安全服务7以支持它们的相应产业安全需要。可以组合密码安全原语以满足各 种安全服务功能和目标。当按照多种方式和输入应用原语时,操作方法将表现不同特性。2.实施在中央服务器5这一级别或者由中央服务器5的运营方控制的级别处的安 全级别以满足银行业的当前产业实践,因为它涉及称为“用于实现安全目标的工作因素”的 产业术语。3.用于提供“实体认证”的原语组合的示例是如下过程,由此获取方终端经由下载 或者下载激活或者物理递送来接收USER公用和私用密钥对,以及中央服务器的公用密钥 和运营方的公用密钥。与原语和应用技术组合的这些密钥可以提供安全服务。4.由于运营方具有与对消费者账户进行记账的具体运营方关联的USER公用秘密 要的副本,所以运营方可以不使用证明授权和证书撤回列表处理。5.安全服务的示例是使交易集安全(通过终端应用并且可选地通过与获取方服 务器应用配合的终端应用来实现),由此按照SSL/TLS协议组完成与业务文档关联的消息 数据(实际上反映业务数据)以提供加密私密性、运营方和中央服务器认证、消息完整性、 USER认证和真实性服务。6.在以下文献中归档有提供认证服务的加密函数和加密密码技术的示例a. IS0/IEC 9798 和 14888,b. ANSI X9归档有银行安全示例c. US 政府 FIPS (196)文档d.其它示例包括i.公用密钥加密1. RSA2. El-Gamal3.椭圆曲线ii.数字签名和数字包络1. RSA2. DSA3. EC-DSA4.按照H(CS#7的数字签名/包络iii.数字证书1. X. 509(具有数字签名的ID对象的公用密钥)a. X. 509的ISO 9594-8版本和定制扩展7.可以提供认证、完整性和私密性的安全协议示例是
a. SHTTPb. S/MIMEc.包括相互认证的因特网SSL/TSLd.数字签名 / 包络 CMS PKCS#7、RFC 2315e. IPsec另外如先前提到的那样,在本发明的一个实施方式中,商户也可以运营它们自己 的终端网络以减少成本和有助于金融机构未提供的功能,在该情况下,出于本发明的目的, 针对实现与运营方的通信,商户网络是获取方网络的部分。商户网络可以包括基于商户自 己的认证要求在商户的指引下链接到获取方网络的分区或者公司网络。应当理解安全服务 包括实现解决商户的认证要求以便经由商户网络和金融机构的网络实现商户终端与运营 方之间的通信。邏如上文所述,终端应用17被递送给终端1以供获取方接受。终端应用17提供认 证,由此授权运营方在获取方的网络上运营它的网络。换而言之,终端应用17通过借助中 央服务器和安全服务对终端1进行认证来实现在运营方网络M上使用终端1。终端应用 17配置终端1以提供本发明的通信方法。终端应用17利用它驻留于其上的终端1的资源 并且与中央服务器5通信。终端应用17也从中央服务器5接收动态数据12、对编程的更新13和附加编程代 码以通过获取方网络4实现所述通信。各终端应用17包括(a)消息接发实用程序18,用于实现与中央服务器5交换通 信;(b)安全层19,可选地具有用于向获取方服务器认证终端的数据发源认证实用程序和 设备认证、特别是在终端1的客户机/服务器实施方式中,其中终端1是获取方服务器3的 客户机;(c)控制器/处置和处理层20,其用于基于作为终端应用17—部分的指令或者由 获取方服务器3动态提供的指令来处理交易;(d)用户认证层21,其针对运营方,并且可操 作用以直接地或者通过充当认证中介方的中央服务器5的操作间接地向运营方服务器6认 证终端1的授权用户;以及(e)呈现层23和用户接口,其链接到处置/处理层,用于与小键 盘、显示器、触屏和打印等的用户接口交互。消息接发层18可以包括用于在终端1与获取方网络4和中央服务器5之间通信 的装置。这些通信可以基于例如FTP、HTTP、HTTPS、ISO 8583这样的协议的具体外部接口 规范以及诸如作为二进制数据的专用位图、各种加密形式、EDI X12、各种HTML和各种XML 符号集等消息格式。这一层也可以包括终端应用17所特有的安全和认证要求或者与获取 方服务器有关的其它过程。控制器/处置和处理层20可以可操作用以保持、管理和应用交易集11。交易集 11如先前提到的那样体现运营方与终端1有关的过程,并且安全处置器包括运营方安全和 认证装置或者可以是单独部件。呈现层23可以包括用于管理在终端显示器、小键盘输入、读取器和打印机上出现 什么内容(该内容由获取方或者运营方关联和批准(并且可选地由商户关联和批准,其中 运营方已经例如同意在交易的输出上显示或者打印商户的标志))的实用程序以及其它屏 幕显示、提示和菜单选择。用户接口可以支持终端的硬件驱动器和读取器服务以及用于连通和安全的控制器,这可能要求支持获取方在它的终端上使用的具体协议和消息格式。它 也可以包括安全/认证过程,因为它具体涉及应用和终端的加载、配置和互操作。翅本发明向商户提供使用商户的终端1以分销信息和产品并且完成与运营方的销 售和支付交易的能力。在一些情况下,运营方的产品是用于向消费者自己在运营方的个人 账户中转入资金的服务。在商户的销售点或者最终用户地点2,消费者或者代之以商户可以使用终端1以 回顾和选择产品、进行个人选择、然后实时支付和可选地打印运营方票。因此,对终端1的 共享使用实现支付处理和运营方产品销售。在这些任务的相应网络内执行它们中的各任 务。此外,本发明向商户提供在终端1处用于接受为消费者与运营方之间的多个交易进行 支付的手段。可以提供和购买多个运营方产品。消费者可以选择多个产品并且在终端1上 向商户支付,从而可选地实现在终端1或者外围打印机上打印运营方票。另外,如果终端1用来读取消费者的标识文档、例如驱动器的许可证或者其它标 识,则运营方可以招收消费者入会并且搜集消费者购物信息。这在运营方的产品要求使用 终端来确认最小年龄或者住所要求时可能特别地有利。链接到运营方服务器6的数据库15也可以由运营方维护以便将招收入会的消费 者与简档信息16关联以例如预测消费者的购物。例如可以发送和在运营方的数据库15中 存储关于消费者及其购物的信息。当消费者使用终端1进行交易并且提供标识文档时,运 营方的数据库15可以向终端1提供用于直接选择的消费者信息并且可以搜集进一步信息, 从而扩充已经存储的该信息。在搜集信息之后,终端1可以向运营方直接地发送信息或者 代之以预备它并且经由第三方终端或者设备来间接地提交它。TiM彩票零售商在本发明的一个实施方式中,它是一种用于通过利用金融服务业的处理网络和设 备来实现彩票票据、游戏票和其它登记票的销售和分销的系统。本发明基于如下新颖方式, 其中零售消费者可以通过共享和利用获取方的电子支付设备和基础结构来选择、购买、支 付和打印这些票、优待券或者礼券。金融机构是获取方而彩票中介是运营方。图3图示了用于使彩票零售商能够使用由获取方提供的终端来销售彩票券的本 发明。提供直接地或者通过商户终端连接到因特网的多个终端。提供实现终端接入运营方 网络的中央服务器。图4图示了用于使具有终端的商户能够接入运营方网络的示例过程集。向在商户 的受信任的个人提供认证。受信任的个人使用终端向中央服务器认证。中央服务器通过使 终端向受信任的个人显示例如用于在终端上管理商户选项或者维护终端认证的选项来做 出响应。在商户的另一个人可以实际负责处理交易。例如消费者可能希望购买彩票券或者 尝试取消彩票券。个人可以在终端上选择彩票券销售功能或者彩票取消功能。通过中央服 务器向运营方的服务器发送该功能,它在后者处得到处理。用户可以根据一种典型实施方式在终端上进行多个支付交易类型(a)信用或者 借记卡销售,这使信用卡持有人能够为商品或者服务支付;(b)为持卡人进行的更早支付退款;(C)从持卡人的账户转移资金;(d)现金返还,这使持卡人在进行购物同时从他们自 己的账户提取资金;(e)查询,这使得持卡人可以查看他的余额;(f)可用资金查询、链接账 户查询或者针对账户上的最近交易结算表的请求;(g)追加(top-up),其中持卡人可以使 用终端以向预付费账户如移动电话添加资金;以及(h)监管,用于多种非金融交易中的任一个。本发明使终端能够在运营方网络环境内提供附加功能,这些功能例如包括(a) 消费者选择进行与运营方的交易,从而使终端能够发起与安全服务的认证过程并且链接到 运营方网络以激活和运行运营方功能;(b)用户通过如下事件来发起终端到运营方网络的 链接,该事件可以例如是在终端上的小键盘输入或者终端通过不同触发事件如磁卡读取、 条形码读取、RFID或者近场通信来进行接入激活;(c)用户根据来自运营方的业务数据来 使用终端作为销售渠道,并且消费者或者用户为未决购物选择产品。未决购物可能需要由 如下用户配置,该用户可以选择多种方式以根据业务数据来配置和进行选择。用户可以选 择人工输入它们的选择选项,或者具体而言,实施方式可以接受随机生成的选择或者重复 先前选择。在人工选择的情况下,在终端小键盘上进行用户输入并且向运营方的服务器发 送这些输入以便针对业务数据进行验证。在一些情况下,消费者选择纸片表单(slip form) 由设备读取,并且将选择或者标记转换成选择。运营方的业务数据接受或者拒绝输入。如 果接受该输入,则可以生成打印输出。消费者和/或商户信息也可以与打印输出一起打包。 在一些情况下,受制于业务数据,交易可以由购物者取消。终端能够请求诸如每日销售报 告、每周对账发票开具等某些管理报告。图5图示了本发明的四个子系统120、500、510、310的背景,其中它实施为彩票销 售系统。用于信用和借记支付的标准零售支付系统使用系统100、110、200、300、400、700、 800、900。本发明的目的在于实现和利用支付处理网络的设备和系统100、200、300、400,在 多用途网络中充当销售和分销渠道。本发明实现从系统600销售彩票和游戏内容并且在拥 有系统100(具有本发明的子系统120)的商户接受支付。此外出于为了购票的信用和借记 卡支付的目的。本发明使用系统300、700、800和900。在系统100中的支付应用110要求 本发明管理和符合用于标准零售支付系统的所有规则、约束和接口,以便具有售票与支付 的共享过程。系统100(支付终端)经由系统400或200从本发明的子系统500或者在一些情 况下从获取方网络系统300接收和加载本发明的批准彩票应用120的适当版本。存在支付 设备(即,系统100)的许多不同品牌和型号。用于向子系统100中安装本发明的软件应用 120的权利和证明要求受制于品牌和型号技术组成以及设备财产所有者和获取方300的要 求。在一些情况下,设备财产所有者也是300,而在其它情况下它是商户或者第三方。去往 和来自100的数据通信具有网络安全,并且可以是各种类型的有线链路或者无线发送链路 的一个或者多个选择。彩票应用120是具有用于消费者、商户、管理和维护的用户接口的软件应用。图6 图示了彩票应用120的示例使用所产生的终端100的彩票登记票的打印输出示例。应用 120在100上支持显示呈现和用户输入,并且可以是小键盘或者触屏。应用120支持用于无 线、有线拨号和LAN到宽带连通的数据通信。应用120支持本地连接外设,比如票和选择纸片的条形码读取、消费者显示单元、零售商显示单元、检票器和验票过程以及外部打印机。本发明的软件应用子系统500向本发明的系统110提供服务和内容,以实现源于 系统600中的内容和交易。本发明的子系统500以如下交易集的形式提供服务,这些交易 进行和执行并记录在彩票代理、零售商户和消费者之间的业务过程和交易。在100处提供服务的本发明应用120有时可以经由300和本发明的子系统310被 间接提供交易,或者通过系统以及网络200和400被直接提供交易,但是其基于与子系统 500的交易。子系统500是用于销售和分销过程的游戏和所有订单处置业务文档的列表和 目录的储存库。子系统500直接地或者经由520、第三方玩家账户系统或者企业系统对接到 一个或者多个运营方600。当要求时,子系统500可以按照需要存在于一个或者多个特许管 辖范围中。子系统500也可以充当用于消费者数据的聚集器和转发服务。子系统310是在获取方300的经证明的安全环境内的适配器。子系统310在需要 满足用于与设备100适当通信的获取方和财产所有者需要时充当用于500的代理。可以按 照需要使用多个310,以满足不同获取方及其针对与300通信的设备100的多种品牌和型号 的相应混合以及需要。子系统510是用于子系统500的管理和监视工具。子系统510用于创建游戏产品 目录并且维护、激活和发布包含项目、定价和促销的目录。子系统510具有用于管理游戏前 要约、游戏验证、游戏开始和游戏关闭以及游戏后结果、登记和发布这些目录的工具。在一 些情况下它也用来发布中奖号和中奖票。子系统510也具有用于监视与多个运营方系统 600的进行中业务关联的事件的工具。本发明的子系统500提供在多个运营方600提供的发源(originating)多个产品 和与多个地区获取方300关联的更大数目的商户100之间的最高级别交易服务。子系统510和500创建适合于各管辖范围和各销售登记渠道的业务文档,该业务 文档表明具有项目化销售定价和促销目录的产品/服务。系统500响应于请求向110直接 地或者间接地发送业务文档,该业务文档将包括将在管辖范围中玩的实况有效比赛。子系 统500从多个运营方600获得必需信息以限定游戏和游戏有效性。子系统110可以本地配 置所有产品选择或者可以请求来自子系统500的用于构建的信息,该信息是随机生成的选 择或者来自如消费者注册的先前选择。子系统500可以从商户100接收对作为构建报价文 档的产品的请求并且提供对报价请求的有效响应,该响应包括针对限定成本购买登记票的 有效时间。子系统500可以代之以从商户100接收购物订单文档并且用基于如业务数据提 供的业务规则或者排除的购物订单确认文档做出响应,该文档声明有效、错误、接受或者拒 绝。子系统500也可以从商户100接收购物订单改变请求,并且用购物订单改变请求确认 做出响应。子系统500也可以从商户100接收支付通知并且用登记票成功或者失败做出响 应,使得商户100可以打印票或者失败通知。子系统500也可以针对具有现有运营方账户 的那些消费者从商户100接收某些消费者ID信息,并且可以用消费者的国家通货(例如美 元、欧元)余额或者忠诚奖励积分余额做出响应。子系统500也可以从商户100接收来自 消费者的入会申请,并且基于由100从他们的驾照读取的信息来注册运营方账户。示例使用和交易继续本发明的一个特定实施方式,其中它是用于通过利用金融服务业的处理网络 和设备来实现销售和分销彩票券、游戏票和其它登记票的系统,以下示例过程代表本发明的操作。1.商户希望销售彩票券。商户请求获取方使获取方的终端签名应用可用。终端的 现有或者专用应用使终端应用可用于下载。终端应用实现实体认证。2.作为终端用户的商户从空闲屏幕显示器选择彩票并且被提示“签注”。a.终端的用户接口提示用户“输入/刷卡/插入彩票签发证书+按下0K” ;用户 照做。b.终端的用户接口提示用户“输入用户口令号+按下0K”;用户照做。c.终端应用进行密码技术,并且终端提供具有证书和安全信息的请求签注。d.请求签注由获取方服务器接收、识别并且被标记用于与某个商户、店铺和终端 数据一起打包和转发。e.中央服务器进行它的安全和路由规则并且向运营方服务器转发安全信息。f.当由运营方服务器认证(通过/失败)时,运营方服务器向中央服务器和终端 提供响应签注和安全协议。g.终端接收用于与中央服务器和运营方连通的安全响应和必需密码信息。h.输出,打印签注收据。i.输出,打印签注消息。j.输出,显示如下空闲显示,该显示具有表明抽奖选择的提示。k.在对签注的响应之后,终端可以针对所有运营方交易集请求从310或者300中 央服务器下载应用代码,并且终端接收和认证数据发源和数据完整性。应用包括按照获取 方协议/格式和终端资源而特别重新格式化的游戏信息的重新格式化的运营方目录。3.玩家/接收方向用户/商户表达对购买彩票的兴趣。4.用户如商户可以利用显示提示和功能小键盘按压激活终端应用。a.显示向用户提示创建订单。b.用户回顾目录的显示选择。c.用户进行在请求订单文档中变成行项目的选择+0K。d.终端应用进行密码技术并且提交订单请求。e.订单请求由获取方识别并且与某个商户、店铺和终端一起打包。中央服务器进 行它的安全、路由规则并且向运营方转发安全信息和打包。f.运营方服务器进行安全过程并且创建具有具体业务数据/信息的响应。g.运营方服务器响应订单、向中央服务器返回业务数据。h.中央服务器将业务数据变换成订单响应文档以便最终向终端变换传送。i.中央服务器将具体针对获取方网络和终端而变换的订单响应打包以供打印。j.提示商户打印OK并且在终端上选择OK进行打印。k.向中央服务器和运营方服务器传送打印的消息。1.终端输出票。m.(由于电子票包含敏感信息,因为它涉及玩家、它们的选择和票控制号,所以电 子票可以被加密返回并且可以是非机器视觉可读形式的图形图像。)5.签退a.发出签退请求并且接收签退响应。
b.输出,打印签退纸片。c.设置内部状态以禁用下注和票功能。在特定示例中,可以针对彩票券购买提供以下交易集1.购买彩票抽奖游戏票,快速挑选a.选择抽奖游戏类型b.选择游戏板c.选择抽奖数目d.选择Spiel/Encore并且如果为是则为Encore数目e.发送下注优待券订单文档f.接收形式为电子票的下注优待券订单响应g.输出;打印电子票h.确认打印操作2.购买KENO游戏竞赛票a.选择 ΚΕΝΟb.选择比赛类别(通常为2-10,但是可以高达15)(每个游戏板的选择)(如果允 许每个游戏板的χ次数则为TBD)c.选择抽奖数目d.选择每个游戏板的金额($1,2,5,10)e.玩 Spiel 游戏(Encore)f.如果是Encore,则选择Encore数目g.输出,打印票终端10的用户或者商户进行的各操作根据终端100在给定时间链接到哪个网络, 可以由获取方服务器或者运营方服务器记录或者跟踪,或者可以由中央服务器记录或者跟 踪。可以提供用于搜集或者积聚关于这些操作的数据的数据库。数据库可以由获取方和/ 或运营方访问,或者获取方和运营方可以有权访问数据子集。这一数据可以由运营方、获取 方或者第三方用于数据分析、报告、业务智能或者其它业务需要。此外如先前提到的那样,消费者或者代之以商户可以使用终端以回顾和选择产 品、进行个人选择、然后实时支付和可选地打印运营方票。因此,对终端100的共享使用实 现对运营方产品的支付处理和销售。可以在这些任务的相应网络内执行它们中的各任务, 但是也可以由运营中央服务器的第三方或者另一经纪人进行经纪。经纪人可以充当中介方 以在商户与运营方之间处理支付。另外,不同客户机/服务器配置是可能的,由此可以在获取方服务器应用级别控 制业务数据的方面(例如通过业务文档),由此获取方服务器应用实际上动态地向客户机 (终端)提供交易集。其它应用包括使用终端和网络以创建、存储、读取、更新和删除消费者最喜爱的彩 票选择如游戏和用来在票上打印的数字。可以提供用于将这些选择和数字绑定到具有机器 可读信息(例如条形码、磁条)的消费者的彩票签发卡、忠诚卡或者无接触卡,或者加载到 智能卡中的数据库。这些数字可以匿名地存储或者绑定到各消费者的账户或者标识卡。商 户或者消费者将提供待读取的卡,这启动终端应用获得选择和数字并且打印最喜爱的选择和数字。中央服务器可以提供分析和/或报告实用程序。尽管获取方或者运营方可能不想 与其它方共享通过它的网络传达的数据,但是作为受信任中介方的并且可操作用以访问数 据的中央服务器可以生成和提供用于由其它方使用的数据分析、报告和其它摘要。例如尽 管运营方可能不想让获取方了解通过运营方网络进行的特定交易,但是中央服务器可以向 获取方提供与在给定日期、月份或者年份中的交易数目、频率或者数量有关的报告。此外,中央服务器可以向充当受信任的中介方的运营方提供连通,该中介方按照 合同是用于大量子商户的经认证的单个主商户。另外,本发明可以用于提供事件购票(例如用于体育或者娱乐)或者可以用于提 供公共运输票。
权利要求
1.一种用于将运营封闭网络的至少一个获取方网络链接到至少一个运营方的系统,所 述获取方网络包括一个或者多个终端并且可选地包括获取方服务器,所述系统的特征在于 链接到所述获取方网络和所述运营方的中央服务器,所述中央服务器可配置成与所述一个 或者多个终端的至少子集通信并且也与所述运营方通信,并且建立在所述运营方与所述一 个或者多个终端之间的一个或者多个通信链路,其中所述中央服务器在所述获取方网络与 所述运营方之间充当用于使所述运营方能够经由封闭的获取方网络来与所述一个或者多 个终端通信的受信任的中介方。
2.如权利要求1所述的系统,其特征在于所述运营方是封闭网络并且包括运营方服务 器,并且所述中央服务器实现所述运营方服务器与所述一个或者多个终端之间、经由所述 封闭的获取方网络的通信。
3.如权利要求2所述的系统,其特征在于所述获取方服务器提供用于向所述获取方网 络认证所述一个或者多个终端的设备认证和/或数据,由此实现所述运营方服务器与所述 一个或者多个终端之间、经由要求数据和/或设备认证的所述获取方网络的通信。
4.如权利要求3所述的系统,其特征在于所述中央服务器还包括或者链接到安全服务 实用程序,其用于实现为了在所述认证的终端与所述运营方网络之间创建通信链路而在所 述认证的终端处发起的实体认证。
5.如权利要求1所述的系统,其特征在于多个获取方网络链接到所述中央服务器,以 用于实现所述运营方与多个获取方网络或者与同所述多个获取方网络中的一个或者多个 关联的终端的子集之间的通信。
6.如权利要求1所述的系统,其特征在于所述中央服务器可操作用以使所述一个或者 多个终端能够创建或者有助于其创建一个或者多个消息,所述消息的内容符合关联的获取 方网络的安全要求,并由此可以通过所述关联的获取方网络来传达,但是所述消息的内容 仅可由所述运营方和/或所述受信任的中介方代表所述运营方从所述消息中提取。
7.如权利要求1所述的系统,其特征在于所述运营方与所述一个或者多个终端之间的 所述通信中的一个或者多个通信实现(a)所述一个或者多个终端或者与所述一个或者多 个终端关联的商户的消费者与(b)所述运营方之间、经由所述获取方网络的一个或者多个 交易。
8.如权利要求1所述的系统,其特征在于所述中央服务器包括用于所述运营方向它提 供与运营方的所述一个或者多个交易或者运营方在一个或者多个有关交易中销售的一个 或者多个出售物有关的业务数据的装置,所述中央服务器还可操作用以将所述业务数据变 换成通过确定为了向所述系统实施所述交易而需要的、在所述运营方与所述一个或者多个 终端之间的所述一个或者多个通信而建立的一个或者多个业务文档,所述业务文档可操作 用以向所述一个或者多个终端提供或者由开发者用来向所述一个或者多个终端提供一个 或者多个交易集,所述交易集使所述一个或者多个终端能够发起用于实施所述交易的所述 一个或者多个通信。
9.如权利要求8所述的系统,其特征在于所述业务数据为第一格式,所述业务文档为 第二格式,而所述交易集为第三格式。
10.如权利要求9所述的系统,其特征在于所述业务文档向交易集的变换由所述终端 或者所述终端处理的请求发起。
11.一种用于将运营封闭网络的至少一个获取方网络链接到至少一个运营方的由计算 机网络可实施的方法,所述获取方网络包括一个或者多个终端并且可选地包括获取方服务 器,所述方法的特征在于a.将中央服务器链接到所述获取方网络和所述运营方;并且b.一个或者多个计算机处理器配置或者有助于配置所述中央服务器以与所述一个或 者多个终端的至少子集通信并且也与所述运营方通信,并且建立在所述运营方与所述一个 或者多个终端之间的一个或者多个通信链路,以便使所述中央服务器能够在所述获取方网 络与所述运营方之间充当用于使所述运营方能够经由所述封闭获取方网络来与所述一个 或者多个终端通信的受信任的中介方。
12.如权利要求11所述的方法,其特征在于所述运营方是封闭网络并且包括运营方服 务器,并且所述中央服务器实现所述运营方服务器与所述一个或者多个终端之间、经由所 述封闭获取方网络的通信。
13.如权利要求12所述的方法,其特征在于所述方法还包括以下步骤所述获取方服 务器通过数据和/或设备认证来向所述获取方网络认证所述一个或者多个终端,由此实现 所述运营方服务器与所述一个或者多个终端之间、经由要求数据和/或设备认证的所述获 取方网络的通信。
14.如权利要求13所述的方法,其特征在于所述中央服务器还包括或者链接到安全服 务实用程序,其用于实现为了在所述认证的终端与所述运营方网络之间创建通信链路而在 所述认证的终端处发起的实体认证。
15.如权利要求11所述的方法,其特征在于多个获取方网络链接到所述中央服务器, 以用于实现在所述运营方与多个获取方网络或者与同所述多个获取方网络中的一个或者 多个关联的终端的子集之间的通信。
16.如权利要求11所述的方法,其特征在于所述中央服务器可操作用以使所述一个或 者多个终端能够创建或者有助于其创建一个或者多个消息,所述消息的内容符合所述关联 获取方网络的安全要求,并由此可以通过关联的获取方网络来传达,但是所述消息的内容 仅可由所述运营方和/或所述受信任的中介方代表所述运营方从所述消息中提取。
17.如权利要求11所述的方法,其特征在于在所述运营方与所述一个或者多个终端之 间的所述通信中的一个或者多个通信实现(a)所述一个或者多个终端或者与所述一个或 者多个终端关联的商户的消费者与(b)所述运营方之间、经由所述获取方网络的一个或者 多个交易。
18.如权利要求11所述的方法,其特征在于所述中央服务器包括用于所述运营方向它 提供与运营方的所述一个或者多个交易或者运营方在一个或者多个有关交易中销售的一 个或者多个出售物有关的业务数据的装置,所述中央服务器还可操作用以将所述业务数据 变换成通过确定为了向所述系统实施所述交易而需要的在所述运营方与所述一个或者多 个终端之间的所述一个或者多个通信而建立的一个或者多个业务文档,所述业务文档可操 作用以向所述一个或者多个终端提供或者由开发者用来向所述一个或者多个终端提供一 个或者多个交易集,所述交易集使所述一个或者多个终端能够发起用于实施所述交易的所 述一个或者多个通信。
19.如权利要求18所述的方法,其特征在于所述业务数据为第一格式,所述业务文档为第二格式,而所述交易集为第三格式。
20.如权利要求19所述的方法,其特征在于所述业务文档向交易集的变换由所述终端 或者所述终端处理的请求发起。
全文摘要
本发明提供一种用于在封闭或者安全网络上提供另一封闭或者安全网络的系统和方法。该系统实现中央服务器将运营封闭网络的至少一个获取方网络链接到至少一个运营方。获取方网络包括一个或者多个终端并且可选地包括获取方服务器。中央服务器链接到获取方网络和运营方。中央服务器可配置成与一个或者多个终端的至少子集通信并且也与运营方通信,并且建立在运营方与一个或者多个终端之间的一个或者多个通信链路。中央服务器在获取方网络与运营方之间充当用于使运营方能够经由封闭获取方网络来与一个或者多个终端通信的受信任的中介方。
文档编号G06Q20/10GK102150398SQ200980133153
公开日2011年8月10日 申请日期2009年7月30日 优先权日2008年7月30日
发明者约翰·亨利·邓斯坦 申请人:约翰·亨利·邓斯坦