专利名称::电子交易系统及其方法本专利申请是名称为便携式电子特许装置及其方法(PortableElectronicAuthorizationDevicesandMethodsTherefor)、发明人为YnjiunP.Wang、申请日为1996年12月4日、申请号为08/759,555的美国专利申请的继续申请。本发明涉及进行电子交易的方法及装置,具体而言,本发明涉及便携式电子特许装置(Portableelectronicauthorizationdevices;PEAD),其优点在于,基本上排除了现有技术中使用者与电子交易系统之间核准交易的安全风险。电子交易系统已众所周知。电子交易系统通常允许使用者以电子方式进行指定交易,基本上为使用者提高效率及提供便利。电子交易的例子包括通过计算机网络、自动存提款机(ATM)、自动销售点系统、自动图书馆系统等等进行的交易。利用计算机网络进行的交易可包含各种交易,包括通过众所周知的互联网网网络交换信息及数据,例如,在网络上向卖主购买商品。ATM通常允许使用者以电子方式与相关的金融机构进行金融交易(如,提款、转帐、存款等等),零售商可以采用自动销售点系统,让使用者能够使用其电子帐户来购买产品或服务,而自动图书馆系统则可以让图书馆的读者借出及还回图书资料,出于简洁考虑,本文中不一一列举其它的电子交易系统例子,这些例子很容易从大众刊物中获知。为加强使用者帐户的安全性,电子交易系统通常会要求使用者提供标识数据,以便验证使用者是否是自己特许核准建议的(proposed)交易的使用者。如果使用者无法提供要求的标识数据,则不会特许建议的交易,也不会进行交易。可能每笔数据都需要标识数据。例如,自动销售点系统可要求使用者认可购买交易,并且只有确信认可交易的使用者已提供足够的标识数据来证明其为经特许执行认可的人,才能接收认可讯息。或者,在作业阶段开始期间,由使用者输入标识数据来证明自己的标识,使得使用者能够接着执行任何数量的交易,而不需要进一步验证。在现有技术中,通常会要求使用者手工输入标识数据至电子交易系统,以便验证。一般而言,输入的标识数据涉及使用数字键盘或键盘键入密码。然后,将标识数据比对电子交易系统内先前储存的数据,当符合时才确认验证。如上所述,如果不符合时,则不允许或不进行交易。虽然现有技术的电子交易系统提供某种程度的保护,以防止未经特许的存取及用使用者帐户,但是有一些缺点。下面将参考图1,说明现有技术的电子交易系统的某些缺点。图1表示自动存提款机(ATM)100,它是电子交易系统102的请求装置。电子交易系统102包括(例如)中央数据库104,其含有先前储存的使用者106的标识数据及帐户数据。为了使与ATM100的一般交易初始化,使用者106先将数据卡107(诸如银行卡或信用卡)插入读卡机109中。数据卡107通常包括磁条,其含有帐户号码及其它与使用者相关的信息,然后,由读卡机109读取该磁条,数据卡107中储存的数据使得电子交易系统102能够查明数据库104中的哪一个帐户是使用者106想要办理的事务(transactbusiness)。然后,使用者106可通过ATM100上的数字键盘108输入可证明其标识的标识数据(例如,个人密码(PIN))。如果输入的标识数据符合数据卡107所识别的数据库104中与帐户一起储存的标识数据,则使用者被认可,并允许进入存取帐户。如果不符合,则验证失败。在被认可后,使用者106能够(例如)采用数字键盘108与荧光屏110的组合,从其帐户提取现金,结果,从ATM100中领取现金,并且数据库104中的帐户余额也相应减少。理论上,应保障输入到ATM100的标识数据的安全。实际上,针对标识数据,现有技术的确认方法有许多潜在的安全风险。因为标识数据输入到ATM100之前未经过加密,所以未加密的标识数据难以防止未经特许的存取及获取。现有技术并未实施标识数据加密,这是因为对使用者而言,执行加密或记住经加密的标识数据太复杂,并且不方便,现有技术中可能会发生未经特许获取标识数据,例如,在输入时,如果不慎被另一方(例如,在使用者106背后的另一个人)在荧光屏110或更可能是从数字键盘108上看到。即使现有技术中对标识数据进行加密(例如,在从ATM100传输到数据库104之前),加密通常在ATM100内进行,并且仍然需要由使用者106输入非加密数据,并且在某段时间,ATM100内仍然存在,然后,如果未经特许方能够进入ATM100,并截取ATM100中未加密的标识数据(例如,通过ATM100中的软件及硬件),则会接着发生未经特许的获取标识数据。另外,如果ATM100内采用公钥加密技术,则ATM100内储存的使用者私钥使得此项私钥难以防止偷窃,进而有暴露使用者帐户的风险。然后,可利用窃取的密码和/或私钥,使得未经特许人员能够进入使用者帐户,而使使用者受损。综上所述,需要使用电子交易系统来进行交易的装置及方法,其基本上可排除未经特许而进入使用者帐户及未经特许获取使用者标识数据的风险,此类装置最好易于携带,使得使用者能够在任何地点方便且舒服地进行交易验证。在一个实施例中,本发明涉及一种实现交易请求的方法,该交易请求适用于在电子网络上进行的电子交易,该电子网络上具有服务器及请求装置。该方法包括在请求装置上、从服务器上接收交易程序,该交易程序包括可执行部分。该方法还包括利用可执行部分,来搜寻与请求终端关联的交易核准装置,如果检测到交易核准装置,则该方法包括利用该交易核准装置来核准交易请求。该方法进一步包括使用该请求装置来传输经核准的交易请求至服务器,以便完成该电子交易。经核准交易请求表明已核准该交易请求。在另一个实施例中,本发明涉及一种实现交易请求的方法,该交易请求适用于在电子网络上进行的电子交易,该电子网络上具有服务器及请求装置。该方法包括在请求装置上、从服务器上接收交易程序,该交易程序包括可执行部分。该方法还包括在请求装置上、从使用者那里接收交易核准数据,其中交易程序的可执行部分包括第一组编码,加密该交易核准数据。该方法还包括使用第一组编码对交易核准数据进行加密。该方法进一步包括使用交易程序,将经加密的交易核准数据传输到服务器,以便完成该电子交易。在又一个实施例中,本发明涉及一种实现交易请求的方法,该交易请求适用于在电子网络上进行的电子交易,该电子网络上具有服务器及请求装置。该方法包括在请求装置上、从服务器上接收交易程序,该交易程序包括可执行部分。该方法还包括利用可执行部分,来搜寻一与请求终端关联的交易核准装置,如果检测到交易核准装置,则该方法进一步包括采用该交易核准装置来核准该交易请求。如果未检测到交易核准装置,则该方法进一步包括采用与该请求装置关联的输入装置来核准该交易请求,该方法额外包括使用该请求装置传输经核准的交易请求至服务器,以便完成该电子交易。经核准的交易请求表明使用者通过至少其中一个交易核准装置及输入装置来核准该交易请求。仔细阅读下面的详细说明并研究附图,将会了解本发明的这些及其它优点。为便于说明,图1表示现有技术的电子交易系统,其包括一台自动存提款机(ATM)。图2表示根据本发明一个实施例的便携式电子特许装置(PEAD),表示在电子交易系统中安全地对交易进行核准的装置。图3A表示本发明一个实施例,其中示出了图2所示的PEAD的简要原理图。图3B表示一个实施例中一般交易核准数据的格式。图4表示本发明一个实施例中PEAD的逻辑区块原理图。图5A表示本发明一个实施例中PEAD的高级(highlevel)硬件的实施图。图5B表示PEAD的一种实施情况,其中PEAD电路设置在集成电路(IC)上。图5C表示图5B所示的PEAD嵌入卡片式组件后的外观图。图6A表示本发明最佳实施例的PEAD的外观图。图6B表示以简化的方式及根据本发明一种方式来实施图6A所示的PEAD的硬件。图7是流程图,表示根据本发明的一种方式,利用本发明的PEAD进行核准的方法。图8是流程图,表示根据本发明的一种方式,使用公钥加密技术来加密交易核准数据的步骤。图9表示包括交易核准装置的示范性电子交易系统,用于说明本发明的另一种方式,其中,采用交易程序来完成电子交易。图10是流程图,表示根据本发明的一种方式,计算机执行处理程序,该处理程序使得在请求装置上所下载的交易程序完成电子交易。图11表示用于说明的示范性交易请求。下面详细说明本发明的最佳实施例。图2表示根据本发明的一个实施例的便携式电子特许装置(PEAD)200,表示在电子交易系统中安全地对交易进行核准的装置。请参考图2,请求装置202可以使PEAD200的交易核准处理程序初始化,其方式是通过通讯端口204将有关建议的交易的交易请求传输到PEAD200,请求装置202可以是(例如)ATM机器、网络中的计算机终端、自动化图书馆借出终端、闸道DSV、服务器、便携式装置、手提式装置或允许使用者结合电子交易系统办理事务的类似装置,建议的交易可能是(例如)特定金额的特定项目的销售交易,交易请求本身可包括(例如)交易ID、零售商名称、零售商ID、建议购买的时间等等。在一个实施例中,可以将来自于请求装置202的交易请求加密,以便提高安全性,但这不是必需的。与建议的交易有关的数据通过图2所示的路径206到达PEAD200。端口204可以是红外线端口,用于红外线与PEAD200的通讯。或者,端口204还可以是触接型端口,诸如磁性、读/写机构、或一个具有电子触点插座,用于将PEAD200直接插入端口204中以便通讯。普通技术人员很容易得知可实现请求装置202与PEAD200之间通讯的其它技术。然后,使用者可在请求装置202的荧光屏208上、或在PEAD200配备的显示屏(图2中未示出)上,检查与建议的交易有关的数据。如果使用者核准交易(例如,以给定金额购买的项目),然后,使用者可由启动PEAD200上的开关210来表明其核准,这导致以使用者标识数据所建立的核准讯息经过加密后,通过路径212传输至请求装置202。如果未核准交易,则使用者不需要做任何事,让交易请求在逾时后自动终止,或者使用者可启动PEAD200上的另一个开关(图1中未示出),来拒绝将经加密或未经加密的讯息通过路径212传输至请求装置202。本发明与图1的现有技术的差异在于现有技术要求使用者输入其标识数据至电子交易系统(例如ATM100),以便证明其标识。而本发明是在PEAD200中永久安全地保存与使用者有关的标识数据。交易核准发生在PEAD200内,并且再次在PEAD200内将代表此项核准的数据加密,之后才将数据传输到电子交易系统,例如,图2所示的请求装置202。因此,即使核准数据被截取,其加密将可防止未经特许的使用者采用标识数据作非法用途。如果采用公钥加密技术来加密核准数据,则PEAD200内还一定会保存使用者的私钥。因为加密时需要用使用者的私钥且不让其他人知道,甚至在一个实施例中的电子交易系统也不知道,所以如果截取经加密的核准数据,即使利用使用者的公钥来解密核准数据,对未经特许的第三方仍然毫无用处。再者,本发明与现有技术的验证技术的差异在于其中加密是在电子交易系统内发生,并且需要输入标识数据和/或从诸如ATM存提款卡、信用卡等之类的ID卡来读取使用者的私钥。如上所述,例如,如果请求装置不安全,或存在通过软件或硬件截取数据的可能性,则需要标识数据和/或使用者私钥的现有技术的电子交易系统有暴露数据的危险。另一种差异是本发明采用便携式电子特许装置(PEAD)内的电路于PEAD本身内执行交易核准数据的核准和加密,而现有技术数据卡基本上是被动装置,例如,现有技术ATM卡或信用卡只有磁条来储存帐户信息,并没有任何执行交易核准数据的核准和加密的功能,虽然目前发展中的智慧卡或IC卡可以含有电子电路,但是其目前的实施标准仍然需要与请求装置关联的读取卡,用以读出标识数据和/或使用者私钥,以便请求装置执行任何的核准和/或加密。如上所述,将这些数据传输到请求装置时,不会有暴露数据的风险和/或传输后未经授权的截取。请注意,虽然整个说明书中讨论公钥加密技术,以便容易了解并强调本发明的特定方式,但是整个发明中不限于任何特定的加密技术演算法,并可以采用任何传统的加密技术,包括诸如RSA的公钥加密技术演算法、Diffie-Hellman、其它离散演算法系统、椭圆曲线系统等等。可参考(例如)1996年8月22日的IEEE杂志,第1363页,WorkingDraft,可向IEEEStandardsDept.购买,地址345East7thStreet,NewYork,NewYork10017-2349。如上所述,现有技术中的交易核准发生在电子交易系统内。而本发明在PEAD200内进行交易核准,完全在PEAD200内发生交易核准具有许多优点。例如,在一个实施例中,此特征可避免请求装置中需要标识数据和/或使用者私钥。完全在PEAD200内进行交易核准(使用安全保存在PEAD200内的标识数据和/或使用者私人密钥)的事实基本上提高了使用者标识数据和/或使用者私钥的保密性、以及交易核准处理程序的完整性。因为核准完全在PEAD200内进行,所以验证交易所用的使用者标识数据可能更复杂且更详尽,以便确保最大安全性,例如,使用者标识数据可能比简单的密码更复杂,并且可包括使用者名称、生日、社会福利号码、或其它唯一生物测定数据或唯一识别数据(诸如指纹、DNA编码序列、声纹等等)。而在现有技术中,因为比较详尽的标识数据太难记或太难手工输入,所以验证技术将使用者标识数据限制在使用者容易记住的简单模式(例如,几个字元的简单密码)。另外,即使现有技术中可储存复杂的ID数据,但仍然需要进入电子交易系统的请求装置中读取,而在读取后,再次使用数据时,易遭受到截取或窃取。还可以提供额外的保护(以下将详细说明),以防止电子或物理装置存取PEAD200内的使用者标识数据和/或使用者私钥,因为决不会暴露标识数据和/或使用者私钥,所以,基本上降低了数据的安全风险。图3A表示本发明一个实施例,其中示出了图2所示的PEAD的简要原理图,其包括开关210。设置的数据路径206是用于从电子交易系统接收交易请求,而设置的数据路径212是用于将交易核准数据传回至电子交易系统,应记住,虽然说明书中讨论两条路径以便容易了解,但是在一个实施例中,这些数据路径及其它数据路径可以是逻辑数据路径,并且可以通过单物理数据连接而实施,同样地,在一个实施例中,这里不同的端口可以是逻辑数据端口,以便容易了解,并且实际上可以使用单物理端口实施。当交易请求(例如,从ATM机上提款$200.00的交易)通过数据路径206传输到PEAD200时,加密逻辑300会接收此笔交易。此时,使用者可检查建议的交易(通过电子交易系统和/或PEAD200配备的显示屏或语音输出),并选择核准或不核准建议的交易。在一个实施例中,如果使用者核准交易,则可启动开关210来促使建立交易核准数据,然后先由加密逻辑300加密,之后再通过路径212传回至电子交易系统。请注意,交易核准处理程序中采用的使用者标识数据区块302不是直接耦合到路径206及212,换言之,储存使用者标识数据的存储器部分故意不耦合到PEAD200输入及输出端口,以防止直接存取使用者标识数据。如果想要存取使用者标识数据302(例如,核准交易),则只能通过加密逻辑区块300存取,同样地,不能直接进入储存使用者私钥的存储器部分304。如果想要存取使用者私钥304,例如,要加密交易核准数据时,只能通过加密逻辑区块300来执行存取。应记住,虽然展示的标识数据302及使用者私钥304是储存在不同的存储器部分中,但这是为了容易解说,并且,在一个实施例中,标识数据302及使用者私钥304实际上是储存在同一存储器模块上的不同位址中。在某些情况下,交易核准数据需要包含标识数据302的某些部分。例如,电子交易系统的交易请求中具体的交易可能先附加普通的「电子签名」数据,之后再加密并重新传回至电子交易系统。图3B表示一个实施例中的交易核准数据350的格式。请参考图3B,表示自电子交易系统接收到的整个交易请求或交易请求一部分的交易数据352随附一定的使用者标识数据354及选择性的时间戳记(timestamp)356。只有使用者已核准交易请求时才会形成交易核准数据350。在附加交易核准数据350后,就先将交易核准数据350加密,然后再重新传回至电子交易系统。在某些情况下,可能要求先加密交易核准数据,之后再传输到PEAD200,以便进一步提高安全性。例如,某些交易伙伴(例如,计算机网络上的卖主或使用者)可能想要维持交易请求内信息的机密性,宁愿在PEAD完成之前,先将交易请求加密。例如,当第一次将使用者标识数据及使用者私钥写入空白的PEAD,以便将PEAD设定成给定使用者独有时,也希望有数据加密。组态配置(configuration)数据与使用者标识数据及使用者私钥有关,并限PEAD200发行者才能将数据加到PEAD200一次,组态配置数据最好经过加密,以防止被窃取。PEAD200发行者为(例如)信用卡发卡行、政府、或维护使用者帐户的任何其它机构。图4表示本发明一个实施例中,图2所示的PEAD200的原理图。图4所示的PEAD200进一步采用解密逻辑,用以接收加密的组态配置数据及选择性的加密交易请求。在图4中,配置加密逻辑300、使用者私钥304及数据路径206和212,并基本上提供结合图3A所说明的功能。交易请求通常未经加密,也就是以结合图3A说明的方法来接收及处理。但是,针对高度敏感的交易,可以将交易请求加密,并通过数据路径206传输到PEAD200,并输入到解密逻辑402以便解密。如果采用公钥加密技术,则经加密的交易请求可以与交易伙伴公钥404一起解密。一经解密后,随即显示交易请求,以便使用者核准,如果已核准,则可以将交易核准数据通过路径406提供给加密逻辑300,例如,响应启动开关210。如果采用公钥加密技术,则加密最好与使用者私钥304一起执行,然后将经加密的交易核准数据通过数据路径212传回至电子交易系统。由于组态配置数据通常包括高度敏感的使用者标识数据及使用者私钥,所以通常会先经过加密,之后再通过路径408传输至PEAD200。由解密逻辑402接收经加密的组态配置数据并进行解密,之后再写入到使用者标识数据区块410及使用者私钥区块304。如果采用公钥加密技术,则可以先由电子交易系统中的发行者私钥来加密该经加密的组态配置,之后再传输,然后在PEAD200接收后再结合发行者公钥412来解密。请注意,一旦解密组态配置数据并写入到使用者标识数据区块410及使用者私钥区块304后,接着只能由加密逻辑300存取使用者标识数据及使用者私钥。也请注意,从任何的输入/输出数据路径(例如,数据路径206、212或408)到使用者标识数据区块410和使用者私钥区块304之间没有任何直接的连接。因此,高度敏感的使用者标识数据及使用者私钥分别写入到区块410及304(在一个实施中,可直接代表PEAD200存储器中的存储器区块)后,就难以从外部存取。另外,不具有发行者私钥的人士无法更新存取使用者标识数据及使用者私钥。如图4所示,数据通过解密逻辑402结合发行者公钥412解密后,只能写入到使用者私钥区块304及使用者标识数据区块410,因此,除非使用发行者私钥(其应该十分安全)将更新的组态配置数据加密,否则不会解密更新的组态配置数据,也不会分别写入到区块304及410。当然,如果无法实际(phasically)更新区块304及410内的组态配置数据(例如,使用诸如PROM(可程序化只读存储器)、WORM(一次写入、多次读取)等之类的只能写入一次的存储器来储存组态配置数据),则可基本上不要考虑与未经特许改变组态配置数据的安全问题。如果想要更高的安全等级,则可先由选择性的扰乱器/解扰乱器逻辑413将使用者私钥随意扰乱或随机化,之后再写入到使用者私钥区块304。在一个实施例中,扰乱器/解扰乱器逻辑413可接收扰乱或随机化(这是由发行PEAD200给使用者的机构所提供),并扰乱和/或随机化使用者私钥,以便产生另一个使用者私钥及对应的使用者公钥。然后将经扰乱/随机化的使用者私钥储存到使用者私钥区块304,现在,甚至连PEAD200的发行者也不知道到使用者私钥,因此,除了使用者私钥区块304以外,没有任何地方具有经扰乱/随机化的使用者私钥的副本。在另一个实施例中,可以采用选择性的密钥产生逻辑414,用以独立产生使用者私钥及使用者公钥,以便响应发行机构的请求,也就是说,不需要先从发行机构接收使用者私钥及随机化的使用者私钥。然后,将产生的使用者私钥储存到使用者私钥区块304中,并让发行机构和/或交易伙伴知道公钥,以便进行交易。在此方法中,无论是否有随机化,PEAD以外不会存在任何版本的使用者私钥,普通技术人员应知道,使用密钥产生逻辑414进一步提高了使用者私钥的保密性。图5A表示本发明一个实施例中,PEAD的高级硬件的实施图。如图5A所示,PEAD200包括可代表诸如微处理器或微控制器之类中央处理单元的逻辑电路502、离散逻辑、可程序化逻辑、专用集成电路(ASIC)等等,用以实施图2所示的加密逻辑300及图4所示的选择性解密逻辑402。其中,程序/数据存储器504储存用来操作PEAD200的编码、以及使用者标识数据和使用者私钥,最好使用诸如快闪存储器、电可擦除可程序化只读存储器(EEPROM)等之类的非易失性存储器(NVM)形式来实施程序/数据存储器504。暂存存储器506作为计算用途及暂时储存数据用途的高速暂存存储区,可以使用诸如静态随机存取存储器(SRAM)或动态随机存取存储器(DRAM)之类的随机存取存储器(RAM)的形式来实施,这些都是普通技术人员所熟知的存储器,或者,可采用光存储器、磁性存储器或其它类型的存储器来实施程序/数据记存储器504和/或暂存存储器506。汇流排(bus)508将程序/数据存储器504及暂存存储器耦合到逻辑电路502,通讯端口510代表PEAD200与电子交易系统之间的通讯闸道器,并且可以使用红外线技术、无线射频(RF)技术、磁性读/写头、供协助串行或并行数据传输的触接型插头等来实现。在一个实施例中,通讯端口还可以是PC介面卡端口(普通技术人员所熟知的PCNCIA卡)。数据路径206将交易请求输入到逻辑电路502,而数据路径212将交易核准数据从逻辑电路502输出到电子交易系统。结合图4所说明的选择性数据路径408将组态配置数据写入到PEAD200,并将使用者标识数据和使用者私钥写入到程序/数据存储器504,以便专为特定使用者设定PEAD200,还需注意,只有逻辑电路502才能存取程序/数据存储器504,以及产生程序/数据存储器504中储存的数据(例如,使用者标识数据及使用者私钥)。例如,如果数据已结合发行者私钥适当加密,则使用者标识数据及使用者私钥只能写入到程序/数据存储器504。在适当的软件和/或韧体(firmware)控制下,逻辑电路502还可限制对这些写入的存储器区块的存取。同样地,可以通过逻辑电路502的加密逻辑来实现读取使用者标识数据及存取使用者私钥。已结合图3A及图4说明了这种安全方式的优点,其中,最重要的一点是最好不要从外部直接存取高度敏感的使用者标识数据及使用者私钥。因此,根据本发明的设计,可大大提高这些数据项目的保密性及安全性。还可配备电源,如电池。如果以单晶片设计来实施PEAD200,也就是在单个芯片上组装图5A所示之基本上所有的单元,则外部电源供应至芯片。如果采用触接型通讯(例如,如果必需将PEAD200插接到电子交易系统才能进行交易),则在插接时,可以使外部电源供应至整个PEAD200,以便进行交易,由此消除了在便携式交易装置内设置电池所造成的大小、重量及成本的问题。在一个实施例中,可以使用一般用途的便携式计算机装置来实施PEAD200,例如,目前流行的小型便携式计算机、个人数字助理(PDA)或移动电话。例如,可采用AppleNewton或3COMpalmVII的个人数字助理来作为PEAD200。另外,可采用诸如Nokia7110手机、EricssonR280智慧型手机或Motorolai1100plus手机来作为PEAD200。手机或智慧型手机本身可以是请求装置,可通过无线网络与远端电子交易系统进行通讯。此类的便携式请求装置可内设PEAD功能。图5B表示一种PEAD的实施情况,其中,PEAD电路在集成电路(IC)上实现。图5B中,与图5A所示的相同参考数字所表示的部分具有相同的功能。已结合图5A说明的数据路径408、206及212耦合到串行输入/输出电路520,用于在PEAD200与电子交易系统之间的数据路径522上,以串行方法传输及接收数据。图5B中还表示了将电源供给到图5B所示的PEAD200的Vcc引线524及接地引线526。图5C表示图5B所示的PEAD嵌入诸如卡片式组件后的外观图,卡片式组件携带方便,并容易插入到电子交易系统的串行输入/输出端口。在一个实施例中,具体实施本发明的PEAD之集成电路的卡片550包括四个外部触接区。外部串行触接区552及554分别传递数据及接地,以便与电子交易系统之串行装置进行串行通讯。图5C还示出了外部Vcc触接区524及外部接地触接区526,用以按照结合图5A的说明将电源供给PEAD。将卡片550插入到电子交易系统时,会通过外部触接区524及526供电,由此使得其中的PEAD电路能够通过外部串行触接区552及554接收交易请求,若适合则核准请求,加密PEAD电路内的交易核准数据,以及以串行通讯方式,通过外部串行触接区552及554,将经加密的交易核准数据传输到电子交易系统。图6A表示本发明最佳实施例的PEAD的外观图。图6A所示的PEAD200最好是小型、自含式组件,且十分坚固耐用,能够每日实地使用。图6A所示的PEAD200最好非常小,适合使用者随时随身携带,例如,做成钥匙链附件或小包包,可方便放入手提包或皮夹中,PEAD200的实际外壳最好可防止窜改内容(也就是说,如果以未经特许的方式打开,则会毁坏使用者私钥和/或使用者标识数据,或是PEAD再也不能核准交易)。例如,如果打开外壳,则会改变电流路径中的电流流动,例如,会中断目前的电流,或闲置状态的电流路径会有电流流动。然后,电流流动的变化会强制重置(RESET)电路,包括擦除存储器中的私钥。图中所示的红外线通讯端口602用来与电子交易系统之间接收及发送数据,小型开/关604让使用者能够在不使用时关闭PEAD,以便省电。核准按钮606让使用者能够表明核准建议的交易,选择性的取消按钮608让使用者能够指示拒绝某些交易。在一些实施例中可以省略取消按钮608,因为,如果在接收到请求之后的给定期间内未启动核准按钮606,则会视为不核准交易请求。可以使用诸如液晶显示技术之类的任何类型的显示技术来实施选择性的显示器610。其中,显示器610显示供核准之建议的交易。若希望,可省略显示器610,在此情况下,可在(例如)与电子交易系统关联的显示器上检查交易,或由PEAD上的语音输出来检查交易。选择性的使用者验证机构612防止使用PEAD200来核准交易,除非使用者能够向PEAD200证明自己是合法的且经特许的使用者。选择性的使用者验证机构612可要求使用者输入密码、提供指纹或声纹、或其它生物测定数据和/或识别经特许使用者独有的特征,以后才能启动PEAD200及用来核准交易。可在移动电话中内建PEAD200,以致于端口602可以是无线通讯端口和/或红外线端口,显示器610可以是移动电话上的显示器,而按钮606及608可以是移动电话键盘上的按键。例如,使用者验证机构612可以是美国新泽西州Totowa的Tomson-CSF出售的热矽指纹感测器FingerchipFC15A140。由于手指本身的热度就可产生指纹图像,所以不需要光学源或光源,进而使此实施例能够相当小型。在此实施例中,使用者直接将手指按在感测器上或经过感测器扫描,就可以验明自己的标识并核准交易,由此使得核准按钮606变成选择性元件。在另一个例子中,使用者验证机构612可以是美国加州SantaClara的Veridicom出售的电容式矽指纹感测器FPS110。图6B表示以简化方式及根据本发明的一种方式,用来实施图6A所示之PEAD200的硬件。电池652供应电源至PEAD200的电路,微控制器654执行快闪存储器656中储存的编码,并采用随机存取存储器658来执行。在一个实施例中,微控制器654、快闪存储器656,甚至于随机存取存储器658可以设置在单个芯片上,例如,美国伊利诺州Schaumburg的Motorola公司出售的NC68HC05SCXX系列芯片(例如,NC68HC05SC28),或美国加州SanJose的Infineon科技公司出售的SLE22、24及66保全控制器系列(例如,SLE66CX320S)。核准按钮606及选择性的取消按钮608耦合到微控制器654,让使用者能够指示要核准或拒绝显示电路660上显示的特定交易。与电子交易系统之间的通讯在微控制器654控制下进行,通过红外线收发器662完成。开关664让使用者能够在不使用时关闭PEAD,以便省电,并防止意外核准。图7表示根据本发明的一种方式,采用本发明的PEAD之核准技术的流程图。在步骤702中,在PEAD上接收来自于与电子交易系统关联的请求装置的交易请求;在步骤704中,使用者可选择核准或不核准建议的交易,如果不核准(例如,启动PEAD的取消按钮或直接让请求逾时终止),则不会完成任何事情。另一方面,如果核准建议的交易,则使用者可启动核准按钮来建立交易核准数据,然后在步骤708中,在PEAD内加密交易核准数据。在步骤710中,将经加密的交易核准数据发送到电子交易系统的请求装置。图8表示根据本发明的一种方式,使用公钥加密技术来加密交易核准数据的流程图。在步骤802中,建立交易核准数据包。如上参考图3B说明的那样,可以将任何需要的使用者标识数据附加到整个交易请求一部分的方式来建立交易核准数据。视需要,还可以附加时间戳记。在步骤804中,用使用者私钥来加密交易核准数据,最好在PEAD内随时保护交易核准数据的安全。之后,将经加密的交易核准数据传回至电子交易系统,根据本发明的一种方式,已证实,即使第三方截取经加密的交易核准数据并解密以便分析,只要保障使用者私钥或使用者标识数据安全,也无法逾越本发明的安全性功能。如上所述,因为无法从外部存取使用者标识数据,所以在PEAD内一定很安全。这与现有技术不同,现有技术要求使用者在电子交易系统上输入标识数据(例如,密码),所以会有暴露敏感数据的风险。即使泄露使用者标识数据,除非拥有使用者私钥,否则仍然无法发生交易核准。即使有人可用使用者公钥解密经加密的交易核准数据也毫无价值,因为交易伙伴(例如,请求核准交易的零售商)不接收未用使用者私钥加密的任何数据。再者,因为无法从外部存取私钥,所以在PEAD内一定很安全。本发明的这种方式的最大优点在于在进行在线交易的过程中,使用者私钥再也不需要储存到工作站中难以防窃的计算机档案中,而其他人可以进入计算机档案,并且计算机档案不方便单独处理其它验证工作,在小型、便携式组件中实施PEAD的事实,让使用者方便随时随身便携。即使PEAD被窃,选择性的使用者验证机构(例如,图6A所示的使用者验证机构612)也能提供额外的保护,所以除了经适当特许的使用者以外,其他人都无法使用PEAD。当然,如果PEAD被窃或遗失,使用者一定可通知PEAD发行者,而发行者可通知交易伙伴拒绝以被窃之PEAD的使用者私钥加密的任何交易核准数据。交易核准数据包括时间戳记、零售商名称、核准金额及其它相关数据的事实也加强了交易核准处理程序的完整性。如果零售商不慎或故意呈送多重交易核准至发行者,则发行者能够认出这些重复呈送的数据项目,并略去任何重复的交易核准数据。例如,发行者知道使用者不可能在给定的时间及日期内,在同一家餐厅购买多中完全一样的晚餐。应知道,虽然前面重点说明了交易核准,但是普通技术人员应知道,任何时候,将受保护的数据从使用者发送至电子交易系统时,最好都能采用PEAD来处理与电子交易系统的各种交易。例如,可采用PEAD来登入高度敏感的计算机系统或设施。当以此方式实施时,与PEAD通讯的计算机终端可以配备红外线端口、磁性读卡机端口、或与PEAD通讯的触接型插座。然后,使用者可采用PEAD来执行任何类型的在线验证工作,在进一步的范例中,可以采用PEAD来「签署」供验证用途的任何计算机档案(例如,验证日期或使用者)。然后,交易核准数据可以与要验证的档案一起储存,以便进一步参考。请注意,因为不会接收未用使用者私钥加密的任何验证数据作为可靠的数据,所以可再次防止窜改交易验证数据。再者,应知道,如果采用的PEAD只能核准预先定义的交易,则可在PEAD内预先储存交易数据,所以PEAD不需要从外部接收交易数据。在另一个实施例中,本发明涉及处理电子交易系统内电子交易的技术,使得能够基本上保证保密性、验证、完整性及不拒绝支付。显而易见,成功的电子交易(例如,通过互联网之类的计算机网络处理的电子交易)有四项基本要求保密性、验证、完整性及不拒绝支付。在现有技术中,通常是对使用者计算机与远端服务器之间的数据进行加密来解决保密性。美国加州MountainView的NetScape公司采用的此类加密技术需要使用SecureSocketLayer(SSL),其实质上使用了加密(例如,公钥加密),以便在开放的网络上进行点对点的通讯。虽然在某些程度上,诸如SSL的加密技术可保证交易传输的安全性,但是,没有任何机构可证明实际进行交易人士标识的真实性(即,缺少验证)。例如,如果未经特许的人士破解合法使用者的密码后,利用合法使用者的计算机(其可以具有SSL功能)来处理会使合法使用者受损失的交易,则在交易进行期间或交易完成后,没有任何机构可决定处理该笔交易的人员是未经特许的人士,还是合法使用者。即使合法使用者自己进行交易,缺少验证使得无法保证不拒绝支付,因为卖主难以证实处理该笔交易的人确实是合法使用者。另外,虽然使用诸如SSL保全传输设施的传输相当安全,但是被传输的数据(诸如,契约或采购单中的条款)在经过接收端的人员解密后,可以容易被修改。根据本发明的一种方式,本发明提供一种软件实施技术,它以一种方式来执行电子交易,以致于能更好地满足前面所述的需求。在一个实施例中,建议电子交易技术采用交易程序(TP),该交易程序(TP)实质上是可从服务器下载到请求装置(例如,装置202)的程序或applet,并在请求装置上执行,以便实现电子交易。例如,可以采用诸如美国加州MountainView的SunMicrosystemsInc.的JavaTM、美国华盛顿州Redmond的MicrosoftCorp.的ActiveXTM或美国加州RedwoodCity的UnwiredPlanet,inc.的HDML(手提式装置标记语言)的计算机语言,然而,也可以采用其它适合的计算机语言来实施这里所建议的电子交易技术。一经下载后,可以以任何适合的方法来设定TP的组态,以便执行,其最好作为独立的程序,或者接入一个互联网浏览器(例如,前面提及的NetscapeCorp.的NetScapeTM、MicrosoftCorp.的InternetExplorerTM或Phone.com,Inc.的Microbrowser)。为了说明本发明的这种方式的优点及特征,图9表示电子交易网络900,它包括服务器902、网络904及请求装置906。图中示出了交易核准装置,如PEAD908。如上所述的请求装置906可是任何装置,用来让使用者能够处理与电子交易系统的事务。最好用适合的计算机终端来作请求装置,它能够通过网络904与服务器902通讯,其中网络904可以为局域网(LAN)、广域网(WAN)或互联网。计算机终端本身可以是(例如)台式装置、便携式装置、手提式装置或其它装置,其能够实施Windows、Macintosh、Unix平台或能够支持浏览器程序的平台。显而易见,如果请求装置是便携式装置或手提式装置,则可将PEAD嵌入请求装置中。同样地,请求装置906与服务器902之间的通讯链结可以是无线通讯链结。为了实现根据本发明一个实施例的电子交易,最好将交易程序(TP)从卖主或服务供应商的装置902下载到请求装置906(图10的步骤1002)。TP可包括可执行部分及使用者输入、核准和/或验证的相关交易数据。例如,如果交易涉及购买设备,则TP可下载机型、价格等相关数据,图11表示购买设备的示范性交易请求。在另一个范例中,如果交易涉及购买或销售证券(例如,股票或公债),则可以一起下载TP和要处理之证券的相关数据。当然,交易请求可以涉及任何类型的交易,包括不用现金或信用卡购买商品或服务的交易。接着,TP最好从使用者那里接收使用者数据(例如,使用者的标识数据、建议的交易所需的任何数据,诸如,地址信息、数量信息、大小信息、付款方式、信用卡号码、帐户号码等等),以及接收核准交易的指示。应知道,要下载的特定数据可以视要执行的交易性质而定。同样地,TP从使用者那里接收的数据可能因应用程序而有所不同。在某些情况中,如果使用者过去曾经给卖主提供过某些请求数据(诸如,使用者地址),则TP不会再次要求提供同样的数据,或可以直接显示曾经提供的数据,以便使用者确认和/或能够编辑。TP的可执行部分最好包括自动检测是否有交易核准装置(诸如前面提及的PEAD、智慧卡装置、信用卡读卡机等等)的编码,使得TP可采用交易核准装置来完成交易(图10的步骤1004)。例如,可以设定已下载的编码来搜寻使用者的计算机,以便检测是否已安装交易核准装置,或是用使用者的计算机通讯端口来查询使用者计算机的外部是否有交易核准装置,如果便携式请求装置内建PEAD,则在便携式请求装置中进行PEAD的检测。TP的可执行部分还可包括通过适当的输入装置来获得使用者标识,以便验证,例如,TP可获得使用者的签名、使用者的脸部影像、指纹、声纹、通过组织样本取得的DNA编码序列、或其它唯一生物测定数据或唯一识别数据,获得的使用者标识可促使不拒绝支付,也就是说,有助于识别进行交易之人士的标识,以便改进对欺骗的检测或减少推诿不知情的情况。当然,PEAD中可以已存在部分标识数据,如果从PEAD中获得此类的标识数据,则获得的标识数据至少可以表示使用请求装置来执行交易的人士也有权使用PEAD。然而,应知道,不需要每次下载部分或全部的可执行部分,而可以下载至请求装置一次,供以后使用。当然,可以下载TP的可执行部分,并且最好TP的可执行部分与要核准的交易一起下载,这样可以大大简化电子交易,即使因交易核准装置与请求装置之间的通讯协定改变而更新交易核准装置(例如,运用新技术)时,或与请求装置一起安装新交易核准装置时,也能简化电子交易。在这些情况下,TP含有通用于更新/新建交易装置和/或可以下载至请求装置之通讯协定的已更新编码,自动与交易一起或按使用者要求来启动电子交易。为了便于说明,假设请求装置(例如,使用者的计算机)具有PEAD功能。在这种情况下,一旦检测到有这种装置,TP随即与PEAD通讯,以便根据说明的技术来获得核准数据、验证数据和/或任何其它要求使用者提供的信息(图10的步骤1006),例如,TP可采用请求装置的通讯端口,以便与PEAD通讯。由于PEAD中可以储存任何必要的使用者验证及使用者提供的数据,所以PEAD可以将使用者的核准、验证和/或使用者提供的其它数据加密,并传回至请求装置,其中TP可以采用此类数据,以便响应交易请求,包括将从PEAD那里接收到的部分或所有经加密的数据传回至服务器(图10的步骤1008)。从以上说明可明白,结合TP使用PEAD可确保电子交易的保密性,因为PEAD和/或TP中的加密功能可促使传输安全。另外,因为可使用PEAD内的标识数据(例如,前面提及的唯一生物测定数据或唯一识别数据,诸如指纹、DNA编码序列、声纹等等)来证明使用者的标识,所以可更安全地验证电子交易。同样地,如果请求装置与诸如智慧卡读卡机或信用卡读卡机之类的其它交易核准装置一起启动,则TP可要求使用者使用现有的交易核准装置来核准、验证和/或提供要求的数据(例如,将智慧卡、信用卡或其它类似的装置插入现有的交易核准装置),独立的或结合其它数据的输入技术(例如,按一下屏幕上出现的选项、打字、语音输入等等)来完成要求的交易数据。另一方面,如果请求装置不是与交易核准装置一起启动,则使用者仍然可进行交易,其方式是使用前面提及的任何一项数据输入技术来验证、核准和/或提供要求的数据(图10的步骤1006)。然后,TP最好(但非必要)格式化和/或使用(例如)公钥转录系统来加密输入的数据,将交易数据传回至服务器,以便完成交易(图10的步骤1008)。在此方式中,TP将会逆向与请求装置兼容,该请求装置在交易核准装置中未配备。请注意,在最佳实施例中,因为下载的TP天生具有加密功能(即,此实施例中之下载编码中内含加密编码),所以,可不需要一般用途的加密功能(诸如前面提及的SSL)来保证安全传输。在此方法中,逆向兼容的请求装置甚至未配备安全传输功能(例如前面提及的SSL),而可保证传输的保密性。另一方面,如果请求装置天生具有一般用途的加密功能(例如前面提及的SSL),则TP中不需要有加密编码。当然,还可以使用TP的加密功能与一般用途加密功能(例如前面提及的SSL)一起加密要传输至服务器的数据。但是,请注意,以此方式进行交易的安全性会低于用诸如PEAD之类交易核准装置进行交易的安全性,因为使用者的标识可能未经卖主验证或确定。因此,因为使用者之后可否认已处理该笔交易,所以无法保证不拒绝支付。同样地,因为在远端服务器接收到数据后,数据可以被修改,所以数据完整性可能也较难以保证。从所撰写的说明书中可以了解本发明的许多特征及优点,并且,将由所附的权利要求来涵盖本发明的所有这些功能及优点。另外,由于对本领域的普通技术人员来说,很容易作出许多修改和变更,所以不希望将本发明限制为所说明的及附图所示的具体结构及工作过程。因此,所有适合的修改及等效变更皆属于本发明的范畴。权利要求1.一种实现交易请求的方法,所述交易请求适用于在电子网络上进行的电子交易,所述的电子网络上具有服务器及请求装置,所述的方法包括从所述请求装置的所述服务器上接收交易程序,所述的交易程序包括可执行部分;采用所述的可执行部分,来搜寻与请求终端关联的交易核准装置;如果检测到所述的交易核准装置,则采用所述的交易核准装置来核准所述交易请求;使用所述请求装置来发送经核准的交易请求至所述的服务器,以便完成所述的电子交易,所述经核准的交易请求表明核准所述的交易请求。2.根据权利要求1所述的方法,其中,所述的交易核准装置为便携式电子核准装置(PEAD)。3.根据权利要求2所述的方法,其中,所述的采用所述交易核准装置来核准所述交易请求的步骤包括加密所述PEAD内的核准数据,并发送所述的核准数据至所述的请求装置,以便核准所述交易请求。4.根据权利要求3所述的方法,其中,用公钥加密技术对所述的核准数据进行加密。5.根据权利要求3所述的方法,其中,所述的加密所述核准数据的步骤包括用使用者私钥来加密所述的核准数据,所述的使用者私钥保存在所述的PEAD内,由此将不需要在所述的PEAD与所述的请求装置之间交换所述的使用者私钥,就可以核准所述的交易请求。6.根据权利要求3所述的方法,进一步包括先验证使用者标识,之后再让所述的使用者用所述的PEAD来核准所述的交易请求,所述的验证在与所述PEAD关联的使用者验证机构上进行,要求密码、声纹及指纹的其中一项。7.根据权利要求1所述的方法,其中,所述的可执行部分进一步包括编码,通过获得与所述使用者相关的标识数据来验证使用者。8.根据权利要求7所述的方法,其中,所述的标识数据包括与所述使用者有关的签名和唯一生物测定特征中的一项。9.根据权利要求8所述的方法,其中,所述的唯一生物测定特征为所述使用者的面部影像。10.根据权利要求8所述的方法,其中,所述唯一生物测定特征为所述使用者的指纹。11.一种实现交易请求的方法,所述的交易请求适用于在电子网络上进行的电子交易,所述的电子网络上具有服务器及请求装置,所述的方法包括从所述请求装置的所述服务器上接收交易程序,所述的交易程序包括可执行部分;从所述请求装置上的使用者那里接收交易核准数据,其中,所述交易程序的可执行部分包括第一组编码,用来加密所述的交易核准数据;用所述第一组编码加密所述的交易核准数据;用所述的交易程序将所述的、经加密的交易核准数据传输到所述的服务器,以便完成所述的电子交易。12.根据权利要求11所述的方法,其中,只有需要更新所述可执行部分的前一版本(priorversion)时,才会将所述的可执行部分传输至所述的请求装置,以便完成所述的电子交易。13.根据权利要求11所述的方法,其中,所述的可执行部分与所有交易请求一起从所述的服务器传输至所述的请求装置。14.根据权利要求11所述的方法,其中,所述的可执行部分进一步包括编码,通过获得与所述使用者相关的标识数据来验证使用者。15.根据权利要求14所述的方法,其中,所述的标识数据包括与所述使用者有关的签名和唯一生物测定特征中的一项。16.根据权利要求15所述的方法,其中,所述的唯一生物测定特征为所述使用者的面部影像。17.根据权利要求15所述的方法,其中,所述的唯一生物测定特征为所述使用者的指纹。18.根据权利要求11所述的方法,其中,用公钥加密技术对所述的核准数据进行加密。19.一种实现交易请求的方法,所述的交易请求适用于在电子网络上进行的电子交易,所述的电子网络上具有服务器及请求装置,所述的方法包括从所述请求装置的所述服务器上接收交易程序,所述的交易程序包括可执行部分;用所述的可执行部分,来搜寻与所述请求终端关联的交易核准装置;如果检测到所述的交易核准装置,则用所述的交易核准装置来核准所述的交易请求;如果未检测到所述的交易核准装置,则用与所述请求装置关联的输入装置来核准所述的交易请求;用所述的请求装置传输经核准的交易请求至所述的服务器,以便完成所述的电子交易,所述的、经核准的交易请求表明使用者通过所述交易核准装置和所述输入装置中的至少一个装置来核准所述的交易请求。20.根据权利要求19所述的方法,其中,所述交易核准装置为便携式电子核准装置(PEAD)。21.根据权利要求20所述的方法,其中,用所述的交易核准装置来核准所述的交易请求的步骤包括,加密所述PEAD内的核准数据,并传输所述的核准数据至所述的请求装置,以便核准所述的交易请求。22.根据权利要求21所述的方法,其中,用公钥加密技术对所述的核准数据进行加密。23.根据权利要求21所述的方法,其中,对所述的核准数据进行加密的步骤包括用使用者私钥来加密所述的核准数据,所述的使用者私钥保存在所述的PEAD内,由此将不需要在所述的PEAD与所述的请求装置之间交换所述的使用者私钥,就可核准所述的交易请求。24.根据权利要求19所述的方法,其中,所述的可执行部分进一步包括编码,通过获得与所述使用者相关的标识数据来验证使用者。25.根据权利要求24所述的方法,其中,所述的标识数据包括与所述使用者有关的签名和唯一生物测定特征中的一项。26.根据权利要求25所述的方法,其中,所述唯一生物测定特征为所述使用者的面部影像。27.根据权利要求25所述的方法,其中,所述唯一生物测定特征为所述使用者的指纹。28.根据权利要求19所述的方法,其中,如果在缺少所述的交易核准装置时使用所述的输入装置,则经核准的交易请求先由所述的请求装置加密,然后再传输至所述的服务器。29.根据权利要求19所述的方法,其中,所述的交易核准装置是信用卡读卡机。30.根据权利要求19所述的方法,其中,所述交易核准装置是智慧卡读卡机。31.根据权利要求19所述的方法,其中,只有需要更新所述可执行部分的前一版本时,才会将所述的可执行部分传输至所述的请求装置,以便完成所述的电子交易。32.根据权利要求19所述的方法,其中,所述的可执行部分与所有交易请求一起从所述的服务器传输至所述的请求装置。全文摘要一种实现交易请求的方法,该交易请求涉及在电子网络上进行的电子交易,该网络上具有服务器及请求装置。该方法包括从请求装置的服务器上接收包括可执行部分的交易程序,该方法还包括用可执行部分,来搜寻与请求终端关联的交易核准装置。如果检测到交易核准装置,则该方法包括采用交易核准装置来核准交易请求。该方法进一步包括使用请求装置发送经核准的交易请求至服务器,以便完成该电子交易。经核准的交易请求表明核准该交易请求。文档编号H04L9/28GK1360265SQ0013625公开日2002年7月24日申请日期2000年12月18日优先权日2000年12月18日发明者王寅君申请人:E标记公司