用于提供银行服务的电子系统的制作方法

专利名称：用于提供银行服务的电子系统的制作方法
用于提^行服务的电子系统本发明涉及银行服务的提供。具体来说，本发明涉及自动拒员机(ATM)目前提供的电子银行服务类型，例如结余查询。引入ATM主要用于通过向客户提供传统出纳功能(例如存款和 提款服务)的自动化界面来减少零售银行的支行中所需的出纳人数。 通过引入自动化，ATM使零售银行业不仅能实现运营成本的降低， 而且还能使业界在不断提高可用性的24小时主要街道中保持高水平 的客户服务而无需大量投资。例如，对于英国的零售银行来说，在理论上无需与管理ATM资 产关联的任何成本的前提下，向它们的客户提供对英国主要街道上 超过40000个ATM的访问是可能的。英国流通领域中超过94000000张被支持的卡，ATM现在已经 广为全球规才莫的客户所接受。除了提款和存款功能外，ATM还允许 执行结余查询，查看报表以及数量不断增加的附加功能。与账户管 理而非现金提取相关的这些附加服务处于不断增长需求中。但是， ATM设在固定位置中，因而不提供客户所需的灵活性。在线银行和储蓄系统为用户提供附加的灵活性以在住家中的家 庭PC上执行所有需要的任务。这些银行^^务可以允许执行更加广范 得多的功能，包括缴费、结余查询、账户之间的余额转账等。虽然 这种形式的银行业务提供客户需求的附加灵活性(就时间和位置而 言)，但是使用因特网作为数据传输平台引起安全性问题，并且许多 客户因此不愿意使用基于因特网的银行服务。因此仍存在在安全环境中交付银行服务但是具有位置和时间灵 活性的需求
发明内容
根据本发明，提供有一种提供银行服务的电子系统，该电子系统包括服务器，该服务器具有用于通过移动电话网与用户移动电话设备进行通信的第一接 口；以及通信的第二j妄口，其中所述第一接口包括适于从用户移动电话设备接收至少结余查询请求的接收部件；以及适于对用户移动电话设备提供结余查询回复以显示在用户移动 电话设备上的发送部件，以及其中该第二接口包括适于将接收到的结余查询请求发送到中间媒介以由中间媒介重 传到多个银行机构的其中之一的发送部件；以及适于从该中间力某介接收结余查询回复的接收部件。本发明基于可通过将服务扩展到移动电话环境使得主要街道 ATM的一些出纳功能更易于祐 沐问的认识。第一接口适于允许借助 中间媒介将至少结余查询请求提交到多个银行机构的其中之一并提 供至少结余查询回复以用于显示在用户移动电话设备上。第 一接口还优选地允许将资金转账请求提交到多个银行机构的 其中之一。这可以允许PIN同时使用的对等端到对等端转账和对等 端到企业转账。在此情况中，将指示源银行以将资金转账到指定的 目的地账户。第一接口可以用于与SIM卡和Java移动电话设备进行通信。优 选地，系统可以作为跨银行、跨移动运营商的银行服务来运作。此 环境允许使用任何运营商和任何手机来访问任何4艮行的服务。第一接口优选地包括个人标识号安全性系统。这在移动网络的现有安全性上提供附加级别的安全性，其中移动网络的现有安全性
已经实现了基于用户的SM卡的安全性。可以使用PIN Block 3DES加密。第一接口还可以包括LTS加密系统。本发明还提供一种提供银行服务的方法，该方法包括从通过选择屏幕上显示的选项来操作移动电话设备的用户接收 对银行服务的请求；处理该请求，并与作为至多个银行机构的银行记录的网关的中 间士某介进行通信，其中多个银行机构包括该用户的银行机构；以及通过移动电话网提供对该请求的响应，以用于显示在用户移动 电话设备上。该方法提供在移动设备上显示信息，由此可以在移动设备上实 现ATM功能，从而对这些功能增加了位置自由度，但是并不会由于 使用基于因特网的PC系统而损害安全性。优选地，在允许用户访问银行服务之前，执行注册过程。注册 过程可以考虑移动电话设备的身份、用户提供的口令和用户的地址。银行服务可以包括结余查询、移动电话账户充值和许多与电子 (非纸件形式)商贸相关的其他服务。


现在将参考附图详细地描述本发明的示例，其中 图1示出本发明的系统的优选注册过程；图2示出从用户角度来看，本发明的系统与常规ATM功能的比较；图3示出用户进行结余查询所执行的步骤； 图4示出用户进行移动电话充值所执行的步骤； 图5以示意图形式示出本发明的系统的示例； 图6更详细地示出用户与本发明的系统的服务器之间的接口的 第一示例；户与本发明的系统的服务器之间的接口的 第二示例；图8较图5更详细地示出本发明的系统的示例；图9示出本发明的系统内的通信中存在的不同安全性层的四个示例；图IO示出本发明的系统的网络视图；图11示出本发明的系统的图示其他应用的更广义的高层面概况；图12示出本发明的系统如何为这些其他应用在零售银行业与客 户之间实现4矣口；图13A和13B示出使用该系统中涉及的步骤，并用于进一步详 细地解释本发明的安全性方面；以及图14示出用于事务验证的图13B的步骤的备选方式。
具体实施方式
现在将从两个角度来描述本发明。首先，从客户、零售银行和 移动运营商角度针对服务提供该系统实现的服务的概况。然后是采 用构成服务的技术组件的详细概况的形式提供技术概况。本质上，本发明的系统可以视为使客户能够直接从他们的移动 电话对一 定范围的常用和很好理解的账户事务设施的安全访问的服 务。但是，不同于其他移动银行服务，其核心原理不同于最初引入 ATM的核心原理；实用地引入自动化以特别地压低运营成本，同时 保持和增加客户服务。在下文部分，主要从客户的角度而且也从零售银行和移动运营 商的角度进一步详细地描迷服务。该系统旨在为供任何客户使用，并旨在为^皮任何客户所认识。 具体来说，该系统提供超过30年来被接受的出纳隐喻的实现。它现 在已成为大众的直觉经验。
上文提到与基于因特网的银行系统有关的安全性问题是通过使用相同受信运营商的ATM解决的。在英国，LINK (商标)被认知 为安全事务服务的受信提供商，具有较强品牌认知度(在英国成年 人中为92% )。因此提议作为与例如LINK (商标)的ATM运营商的 伙伴关系以在英国实现该系统。这是赢得第一级的客户信任的关键 部分-安全性。如下文将示出的，可以利用银行级安全性来实现服 务。该系统可以通过最初引入有用的低风险事务服务(例如结余查 询和移动电话充值服务)来实现。这样可能允许使用逐渐变成习惯 性的，并因此允许引入其他服务。在2003年通过LINK ATM交换机有超过90000000次结余查询 事务。本发明的系统为从固定的ATM使用这些设施的客户提供更易 访问且实时的服务。随着时间推移，这些事务类型将通过实用且必 要的电子货币管理事务类型而得以扩充。下文部分描述客户如何获得对服务的访问，以及之后客户如何 使用该服务。客户注册出于安全性的原因，客户注册该服务是必要的。这以两个方式 的其中一种来实现通过服务Web网站注册或直接从移动电话注册 该服务。图1中给出了注册过程的概况，其中示出客户如何使用该 服务。在附图和下文中，使用术语"mobileATM ",这表示本发明 的服务/系统。图1示出使用该^^务所需的四个阶段。在阶段1中，客户获知 该服务的存在。在阶段2中，有注册过程，后续阶段包括通过邮寄 将密码发送给用户。这提供用户的IP地址或移动身份与邮编地址之 间链接，并由此提供PC或移动电话的简单匿名使用之上的附加安全 性级别。在此注册过程之后，在阶段4中，客户可以使用该服务。使用服务
一旦注册，客户就可以开始使用服务，并这通过导航到他们的电话上的应用菜单并执行应用来实现。采用与物理ATM相似的方式， 用户将被要求输入数字码或口令，这构成识别过程的一部分，如图2 所示。图2示出本发明的系统与ATM使用类似，而唯一的区别是从移 动电话选择服务，而非将银行卡插入到ATM中。一旦通过服务的认证，客户将能够从多个注册的账户中选择或 选择注册要针对服务而使用的其他账户。注册的每个账户具有可以 针对所选账户执行的多个被支持的事务。最初，服务将以结余查询 和移动电话充值来启动，下文将进一步论述它们。结余查询事务图3中给出结余查询的用户体验的概况。图3中的十个图像示 出如下操作1. 客户定位服务并启动服务。2. 客户输入他们的口令(他们通过邮寄接收到的口令)。3. 将该口令加密并以安全方式发送以供客户端应用-验证。4. 从服务器接收身份验证并将其显示。5. 显示一个已注册账户的列表，并且客户能够使用普通手机按 钮对该列表导航来选择感兴趣的账户。6. 显示针对所选账户的被支持事务的列表，客户可以使用手机 选择键来选择结余查询事务类型。7. 以安全方式将事务请求发送到服务器以进行处理。8. 从服务器接收结余查询结果。9. 然后将结余查询显示在屏幕上，就像物理ATM上出现的那样。10. 最后，用户自动被导航回账户事务屏幕。 移动电话充值事务图4中给出移动电话充值事务的概况。图4中的十一个图像示 出如下操作1. 用户从他们的电话菜单中定位服务，并执行mobileATMTM应用。2. 客户输入他们的口令。3. 将该口令加密并以安全方式发送到服务器以进行验证。4. 一旦通过验证，则从服务器接收结果。5. 显示一个已注册账户的列表以供用户从中选择。6. 要对电话充值，用户从事务菜单中选择移动电话充值事务。7. 客户从已注册列表中选择要充值的移动电话账户。只需选择 注册电话菜单项并输入电话号码，从列表选择相关的服务提供商并 输入用于记忆该账户的别名，即可注册电话账户。8. 要对该账户充值，用户选择充值菜单项。注意该菜单级将被 扩充为提供移动电话账户的其他出纳服务-例如在运营商提供储值 功能性时以便解决电子货币监管。9. 用户从金额值的列表中选择对移动电话账户充值所需的金额。10. 向客户显示事务的确认以便接受。 一旦接收到确认，将事务 发送到服务器以进行处理。该处理包括将事务分拆成从源银行账户 或信用卡提款和将存入相关的预付账户 11. 最后将包括接受的确认显示在屏幕上。注意小对账单功能性 将包括在稍后日期检索接受编号的能力。图3和图4因此图示从客户角度来看该系统易于使用。 从银行业的角度来看，可以使服务对ATM运营商的所有成员提 供(例如英国的LINK (商标)交换网络，并且使得服务支持英国的 94000000张卡)。LINK (商标)是向成员提供多个服务的成员关系 方案的一个示例，可以将这些服务扩充为包括本发明的移动服务。 因此，每个零售银行将具有支持服务的选项。本发明的服务还以如下方式解决了零售银行业的关键问题 1. 服务是否安全？-使用移动电话可以适于提供具有与物理ATM相似级别的安全性的安全环境。2. 服务的成本是多少？-与引入最初的ATM的核心原因相符， 本发明的服务仅需要最小的投资水平，并且不仅服务降低了运营成 本，而且从传统上不产生收入的服务(例如结余查询)提供新收入 流以及通过扩充例如移动电话充值的服务来提供新收入流。3. 服务是否具有竟争力？-本发明提供出纳隐喻的移动电话实 现。出纳隐喻表示标准银行事务，因此使零售银行能够使客户服务 更易于访问。本发明还如主要街道ATM那样为个人银行提供灵活的 基础以便为它们的客户提供具有吸引力的服务，从而使它们能够保 持移动通道上的竟争力，而无需大量投资。从移动运营商的角度来看，该服务基于全球通信标准，因此可 以使该服务通过英国的每个移动电话使用。因此本发明的服务还以 如下方式解决了移动电话业的关键问题4. 它是否增加了数据服务？-为现有服务提供更易于访问的通 道将产生一些新的提升；移动运营商已经通过以更昂贵但是更易于 访问的通道有效地替换付费电话网络毫无疑问地证实了该点。5. 它是否是具有竟争力的服务？-使用引入自动化的相同原理 以减少维护分支网络的成本，该服务对预付市场引入自动化，从而 产生巨大的运营成本的节省。运营商已经认识到减少事务成本引入 实时结算所产生的节省，估计是30亿英镑的预付市场。利用最近引 入的固定线路的ATM移动电话充值服务已体验到了巨大的提升。总之，本发明的服务使得用户能够通过熟知的用户界面设计安 全实时地访问多个金融事务服务-ATM的移动电话实现方式。对于零售银行，该服务使它们能够利用引入ATM的最初原理； 通过出纳服务的实用自动化降低运营成本。该服务还使零售银行能 够提供量身定做的服务，从而使零售银行能够保持跨移动通道的竟 争力而无需大量投资。
对于移动运营商，该服务提供新的数据服务，从而增加了数据ARPU (每个用户的平均收入)。它还使移动运营社区能够通过提供 例如针对客户的预付账户的存款的标准出纳服务来显著地减少管理 预付客户的运营成本。下文对本发明的系统的 一个优选实施进行技术描述。 在一个优选实施方式中，将该服务设计为利用标准面向对象的 分析、设计和编程技术的基于组件的月l务。更确切地，该力艮务可以 针对J2EE (Java 2企业版)标准和最佳的实践技术来设计。该系统 旨在为在未改进主要街道ATM的安全性的情况下至少作为副本。图5中示出高层面的组件示意图。"移动运营商连接点"1是 mobileATM服务器与mobileATM客户端组件之间的接口 。"mobileATM事务交换机"2提供该系统的事务服务器和一些安全性 组件。"卡激活号服务器"3提供满足安全性模型一部分的机制-通户的地址。"连接直接，，组件4提供与卡发行商进行必要的地址检 查功能性。"LINK ATM交换机"5构成用于通过LINK网络与成员 银行进行安全事务的接口 。 "mobileATM web注册"组件6提供用于 完成Web注册的必要功能性，以及"MoibileATM计费"引擎7提供 用于对针对客户移动电话账户的个人事务类型计费的机制。该月良务^皮分成如下组件 客户端组件 事务服务器组件 企业集成组件下文部分给出这些组件的更多细节，其中还包括服务的网络连 4妄的相无况。客户端组件mobileATMTM客户端组件是整个mobileATMTM服务的客户端 层，并用于确保启动时被支持的最大数量的客户。支持两个不同基
本类型的客户端 基于SIM卡的客户端；或 基于Java的客户端。该客户端策略确保服务能够支持英国超过50000000个移动电话 用户而与用户个人的手机的功能无关。 基于SIM的客户端订户身份模块(SIM)是插入移动手机中的芯片卡，它是超过 863600000个GSM订户的关键部件，表示了超过72%的全球移动电 话市场。SIM的目的是用于存储预订信息，并且无论在家或国外漫 游时提供订户与移动服务提供商之间的认证。SIM卡的发展中的其 中一个关键进展是SIM工具套件(STK)的引入，它现在已经#:结 合到全球通信标准中。STK能实现开发SIM驻留应用，该SM驻留应用作为菜单项出 现在手机上来进行访问。本质上，STK使移动运营商能够向SIM发 送命令，这些命令有显示菜单、获取用户输入以及发送和接收短消 息(SM)。 STK中的另一个i^是将基于SIM的微浏览器标准化， 基于SIM的微浏览器向应用开发商提供用于开发手机未知的基于安 全SM的应用的简单平台。开发微浏览器或无线因特网浏览器 (WIB)并针对性地对其标准化，以使应用开发商开发访问SIM存 储器的SIM驻留WML (无线标记语言)并在SIM内提供正真可共 同操作的执行环境。图6中给出与SIM客户端交互的主要组件的概况。最初，用户从菜单请求mobileATMTM服务，SIM创建对 mobileATMTM的请求，该请求被编码成字节码，并使用SM(短消息) 协议发送到WIG (无线因特网网关)。WIG接受请求，并将字节码翻译成标准的URL请求，然后将该 请求转发到mobileATMTM服务器。mobileATMTM服务器处理该请求，在此情况中为生成用户专用 的ATM菜单。要返回的内容以无线标记语言表示，并被发送回WIG。 WIG将WML编码成字节码，并使用SM协议将内容发送到WIB以便在电话上显示。用户可以选择发出重复此事件流的事务。采用WML形式的WIB (无线因特网浏览器)内容是通过事务 引擎的Web层组件针对每个个体用户请求动态生成的。为了实现系统的安全性需求，SM客户端利用SIM卡制造商提 供的标准安全性插件。根据SIM的使用，基于PIN加密系统创建了 两种安全性模型。SM使用因素包括使用SIM的时间段和移动运营 商的内部密钥管理过程。PIN加密才莫型1现有SmartTrust 3DES (三重数据加密标准)插件具有如下功能 签名*DE (密钥标识符，选项，明文) 其中密钥身份-标识要用于操作的密钥 选项-指定用于操作的多个选项 明文-用于操作的文本对于笫 一 实现选项，密钥身份用于标识加密要使用的驻留密钥， 选项表示3DES操作，以及明文是PIN和要加密的填充信息。 PIN加密模型2如下是对PIN加密的另 一个增强使用对标准插件的修改*DE (密钥标识符，选项，明文，工作密钥)其中密钥身份-标识要用于操作的密钥 选项-指定用于操作的多个选项 明文-用于操作的文本 工作密钥4用于加密的加密的PIN
如下是用于该功能的伪代码 〃将工作密钥解密密钥-decrypt(密钥标识符，工作密钥) 〃将明文加密return(encrypt(密钥，选项，明文》这种实现使工作密钥能够在MobileATM会话的服务器一端生 成，并在用户请求该服务时以安全方式发送到手机。 基于Java的客户端mobileATM Java客户端设计为被大多数启用Java的手机支持， 包括MIDP 1.0和MIDP 2.0手机。图7示出MobileATM浏览器8和 MobileATM服务器9。如图7所示，mobileATM Java客户端 (mobileATM浏览器8 )本质上设计为包括如下主要组件的安全浏览 器体系结构 呈示层 XML语法分析器 力口密库 HTTP堆栈 下文论述这些组件 呈示层与SIM客户端一样，由于来自Java客户端的请求，由事务服务 器的Web组件使用标记语言动态地生成内容。Java客户端的内容利 用对WML标准的特定扩充，称为MATML (移动ATM标记语言)， 它通过呈示层在手机屏幕上呈示。呈示层维护对当前"页面"或菜 单屏幕的静态引用，以及对用于维护状态、高速缓存管理和用于导 航mobileATMTM的缺省命令的商务逻辑的静态引用。事务服务器采用cookie来维护客户端状态。Java客户端除了路 径或有效期属性外将cookie完整保存。但是客户端按主机名存储并
返回cookie 。为了改善客户体验，Java客户端维护mobileATMTM服务的最近 页面或菜单项的动态高速緩存。如下是Java客户端高速緩存的机制 当用户请求页面，本质上请求至另一个页面的链接时，呈示 层最初检查它的内部緩存以确定该页面最近是否^皮访问过。如果没 有匹配页面，则将URL传递到HTTP堆栈，生成HTTP请求并将其 传送到事务服务器。当生成HTTP请求时，客户端则确定是否应该 将所请求的页面添加到内部客户端緩存。 当客户启动前进或后退命令时，呈示层确定是否将所得到的 页面存储在内部高速緩存中。如果不存储，则将URL传递到HTTP 堆栈，形成请求并将其传送到事务服务器以便进行处理。Java客户端具有三个缺省命令 前进-呈示层根据当前页面的索引的检查确定前进命令是否 有效。如果有效，则将keypress事件句柄添加到当前页面以便进行 呈示。 后退-呈示层根据当前页面的索引的检查确定后退命令是否 有效。如果有效，则将keypress事件句柄添加到当前页面。 退出-缺省情况下呈示层将退出命令添加到每个页面。执行 退出命令，则在退出应用之前执行必须的清除。XML语法分冲斤器Java客户端语法分析器使客户端能够分析MATML信息，并创 建要在手机屏幕上呈示的必要对象。 加密库mobileATMTM客户端具有轻量级传输安全性(LTS)层；此安全 性层提供客户端与事务服务器之间的加密隧道。该加密隧道类似于 内部SSL会话，但是不同于SSL，因为LTS公共密钥被嵌入到被混 淆的(obftiscated)客户端内。由于与GPRS网络数据交换关联的网 络时延程度高，所以采用该网络安全性才莫型。该部分中稍后在端到
端安全性概况中给出其他信息。HTTP堆栈HTTP堆栈控制客户端与事务服务器之间的所有HTTP通信。 事务服务器组件图8中给出mobileATMTM事务服务器的详细组件示意图，出于 说明本文档的目的，依据如下组件来描述软件体系结构 Web层组件 核心商务逻辑组件 事务框架组件该设计能实现面向对象的设计和编程最佳实践，同时分离表现 层、商务逻辑层和企业集成层。这些^i艮椐Java标准开发的，其中 使用Java服务器页和JavaServlet的组合来开发表现层。商务逻辑层 作为一系列的Java无状态会话bean来实现，EAI组件是根据Java连 接器体系结构(JCA)开发的。下文更详细地描述了一些密钥组件，然后论述例如LINK接口 的EAI (企业应用集成)組件以及安全性问题。Web层组件Web组件层10包括管理mobileATMTM客户端(手机11 )与 mobileATMTM服务器之间的通信所需的必要组件。Web层是servlet 12 和Java服务器页面(JSP) 13的集合。核心商务逻辑组件核心商务逻辑组件20进一步^L细分成如下子组件 轻量级传输安全性-与SSL相似的安全通信协议，将在端到端安全性部分进一步描述它。口令认证-在建立LTS会话之后，生成进一步工作密钥以通过如下步骤将口令加密和验证口令-客户端生成随机密钥-针对LTS工作密钥将该密钥加密 -将加密的口令发送到服务器Web层 -存储用户会话的工作密钥在用户输入它们的口令之后，客户端针对LTS工作密钥将该口 令加密，并将加密的口令发送到Web层。然后验证加密的口令，向 用户授予对它们的服务的访问杈，否则显示无效口令消息。会话管理-核心商务逻辑利用会话管理以维护客户端请求之间 的状态。事务框架事务框架30管理出纳事务，以及使用无状态会话bean (SSB) 对个人事务类型进行编码。事务框架的实现使得能够在不影响服务 的现场运行的情况下支持其他事务类型。最初服务将具有如下事务 类型；结余查询-结余查询SSB 32与LINK集成组件交互以执行用 于节余查询事务的必要商务逻辑移动电话充值-充值SSB 34与LINK集成组件交互以执行用 于移动电话充值事务的必要商务逻辑。企业应用集成组件为了确保能够在将来扩充服务器，例如支持不同的地理区域， 企业应用集成(EAI)组件已使用标准Java连接器体系结构(JCA) 来实现。为服务实现了如下EAI组件LINK JCA 40 -由SSB和服务实现构成。如下是LINK JCA所 展示的功能性-结余查询-形成相关的LIS5事务编码，发送事务和将所产 生的回复路由回事务框架。-移动电话充值-形成相关的LIS5事务编码，发送事务和将 所产生的回复路由回事务框架。运营商JCA41-用于与系统的运营商接口。MChex JCA 42 -由SSB和服务实现构成。如下是MChex JCA 所展示的功能性-将包含消息体和运营商规范的SMS消息发送到MSISDN (移 动台ISDN)-将包含二进制消息内容和运营商规范的二进制消息发送到 MSISDN-将包含消息文本和运营商规范的WAP推送消息发送到 MSISDN-对MSISDN执行计费请求，该请求包括价格点和运营商规范 HSM (分层存储管理)JCA44-由SSB和服务实现构成。如下 是HSM JCA所展示的功能性-生成口令，用于生成卡激活号(CAN)和新随机口令 -验证口令，用于针对口令认证用户和用于针对CAN激活卡 -生成口令或CAN偏移，用于存储针对用户的口令和用于存储 针对卡的CAN。这些JCA组件各具有所示的相应接口组件。 图8还示出由数据访问对象(DAO)控制的数据库36,其中包 括事务查询和登录DAO 500、定制事务DAO 52和核心DAO 54。通 过浏览器接口 58控制管理DAO 56。作为示例，DAO使用JDBC (Java数据库连接)与数据库36通 信。DAO 50、 52、 54使用本地协议与事务框架30和SSB 32、 34通 信。至核心商务逻辑SSB 20和事务框架SSB 30的其他通信通道使 用RMI/IIOP (Java远程方法创新/因特网ORB间协议)。SSB接口与 JCA 40、 41、 42、 44之间的通信可以使用SOAP,尽管如上文提到 的，LINK接口另外还可以使用LIS5。不同手机类型使用不同的协议与Web组件层10通信，例如这些 不同协议为SMOTA信道03.48、 SMS (短消息发送服务)、GPRS(通 用分组无线电服务)。在Web组件层10内，可以使用HTTP、 SMTP、 SMS2000和XML。所示的不同类型的手机技术的示例是WIB (无线
因特网浏览器)、JavaCard和J2ME。 端到端安全性才莫型服务的主要设计考虑是安全性，以及如图9所示，服务采用多 层安全性才莫型。在图9中，部分A是SM客户端的多层安全性层的概况，其中 示出通过对来自SIM卡的空中业务加密来提供网络级安全性，并且 PIN加密层提供用于PIN的PIN Block 3DES级安全性。部分B是用于MDP1.0客户端(移动信息设备协议)的多层安 全性模型的概况，其中进一步改进了安全性，以便除移动网络安全 性级别之外提供mobileATM网络级安全性。该级别提供如同 mobileATM手机应用与mobileATM服务器之间的连接的安全SSL。部分C是用于MIDP2.0客户端的多层安全性模型的概况，其中 通过提供直接从手机到mobileATM服务器的SSL隧道来进一步增强 了网络安全性。进一步增强该模型以包括签名的应用代码来解决中 间人攻击。部分D是利用JSR 177支持对MIDP 2.0客户端的进一步增强。 在该模型中，加密和解密任务均在SIM环境中执行。服务器体系结构使得能够动态地生成;f支支持的事务，以便限制 对于不同安全性模型可用的事务类型。例如，部分A可以仅指定为 支持结余查询和预付充值事务，其中增强的安全性模型可以因提供 增加的安全性而支持另外的事务类型。如图9所示，不同的客户端类型能实施不同类型的安全性保护。 但是，在每种情况中，最低要求是PIN块加密，它提供3DESPIN保 护。服务的一般性安全性特征可以包括-不将任何客户银行卡数据存储在mobileATMTM客户端应用内。-不将任何客户银行卡数据存储在手机存储器内。
-mobileATMTM在服务器一端保存不足以克隆银行卡或执行无卡 事务的银行卡信息。-客户选择他们自己的5到12个数字之间的口令。-客户的mobileATMTM口令在长度上较长，且与客户ATM PIN分开-mobileATIVFM口令确保整个mobileATMTM通道的安全。-mobileATMTM所采用的消息传送协议是HTTP请求/响应。LTS (轻量级传输安全性)加密层具有如下属性-LTS级加密隧道跨接于mobileATM 客户端应用和mobileATMTM服务器之间。-LTS隧道防止客户端与服务器之间的消息插入、移除、变更或重放，这通过3DES加密与消息MACing技术组合来实现。-mobileATMTM客户端和服务器包含用于提供LTS级安全性的客户加密库。-将mobileATM LTS 7>共密钥存储在混淆的客户端，并且长度为2048位。-mobileATM LTS密钥对具有24个月的最大寿命。-多个mobileATM LTS RSA密钥对可以同时为活动的。PIN块加密层具有如下属性-将口令与它们相关的mobileATMTM客户ID关联。-口令偏移值是与使用mobileATM PVK根据客户ID生成的自然PIN的偏移值。-进入期间不将客户输入的口令值显示在手机屏幕上。-将mobileATMTM保存的口令值作为mobileATM PVK保护的PIN偏移值存储在mobileATMTM数据库内。 -mobileATM PVK是双长度DES密钥。-将给予mobileATMTM客户5次连续尝试以正确地将他们的口 令输入到客户端中。 在传输到mobileATMFM服务器之前，将每个客户输入的口令形 成ISO格式-l PIN块，并利用mobileATMTM工作密钥(WK)将其加密。-5次连续不正确的口令输入尝试之后，该客户的mobileATM 账户将^^锁闭。为了获得对服务的访问权，客户必须请求新的随机 密钥，该密钥^f皮邮寄到他们的家庭地址。-mobileATMTM服务器使用Thales RG8000 HSM(高安全性才莫块-它是标准银行安全性组件)来对照存储在mobileATMTM数椐库中的 偏移值验证加密的客户输入的口令。图10中给出mobileATMTM服务的网络连接的概况。移动网络运 营商示出为60， MobileATM系统示出为62。图10示出无线电接入网63，它包括与移动设备通信的基站收发 器、基站控制器64和基站系统65 。GSM/GPRS基础设施示出为66,它与网络运营商IP网络68通 信。网络68与MobileATM系统62通信，网络68包括路由器、防 火墙和服务器69，其中服务器69通过IP连接与LINK ATM交换机 70通信。上文描述着重于使用系统以使移动电话充值和结余查询能够使 用移动电话来执行。本发明的系统一般在电子商贸上还可能涉及更 宽范围。通信技术的发展促进了因特网连接或具有因特网功能的设 备的数量和范围的迅猛增长。这些设备的范围从个人计算机到游戏 控制台、移动电话和电视机机顶盒。广义地i人识到，事务方式中的 主要发展起因于因特网，但是该模型中仍有许多使电子商贸能够进 一步发展的关键组件缺失。朝向无摩擦商贸的最关键发展阶段是从 当前受限的、不可靠且不安全的事务环境过渡到向所有人开放的安 全且可靠的事务环境。启动电子商贸的该发展阶段的最重要的催化剂包括(1)能够表 示货币；(2)能够将该表示与个人身份关联；(3)能够以安全且可
行的方式在所有电子贸易环境内使用这些组件来进行事务处理，而 与连接设备或服务提供商无关。在物理商贸中，身份管理是重要的。身份管理不仅涉及电子商 贸中的身份验证，而且影响国家税收体系。可以使用本发明的系统以便能够通过创建扩充当前物理机制并 在电子世界中表示这些机制的技术产品和服务来使电子商贸能够进 一步发展。通过创建可行的机制以简单地表示用于货币和身份的当 前且被接受的机制的扩充，系统可应用于每个国家。更确切地，通 过提供可使电子商贸能够发展成对所有人开放的安全和可靠的贸易 环境而不会干扰现有机制的机制、过程或法规，从而适宜地控制国 家货币流通和最终控制国家经济。可以将本发明的系统扩充到提供能为物理商贸创建可行的电子 货币表示的技术。这有效地使物理商贸中的利益相关者能够实现电 子货币的显著运营成本的节省。图11示出本发明的系统(mobileATM )的更广义的高层面概1 况以及本发明如何同时适应物理和电子商贸。区域80是物理贸易环境的才莫型，其中政府80a在中央，随后的 是中央银行80b和零售银行业80c。该结构提供使物理商贸蓬勃发展 的基础。本发明的系统示出为84,它是零售银行业80c与用于连接 到电子商贸的潜在设备86之间的接口。它们包括但不限于个人计算 机或游戏控制台、电视机机顶盒、移动电话或个人娱乐设备、数字 无线电接收器和车载娱乐和信息系统。利用安全通信链路82,其中至设备的连接是直接的或间接的。84表示的mobileATMTM服务包括上文解释的满足跨行、跨运营 商、跨手机的需求所必需的设备展现、事务商务逻辑和企业集成组 件，这赋予系统大量采用的吸引力。区域88是电子商贸环境的模型。这将发展成一系列赋予对通过 服务提供商的能力建立的不断发展的产品和服务的访问权的市场。这些不同的市场90需要国家所要求的必要控制、措施等(例如 施可行的税制)。可以看到对于客户，服务提供商通过简单地实现自动拒员机 (ATM)的用户界面隐喻向他们提供通过任何适合的通道对出纳服 务的实时访问。对于商家，它提供可靠且安全的贸易环境的基础；它们可以是 货币和身份的可行表示。对这些表示的访问将能够创建支持任何有 活力商贸环境的混合的商务模型，且远远超出上文给出的示例。该 系统因此提供使更为传统的预订模型与可行的小金额支付相配合的 机制。对于零售银行，系统提供使它们通过一定范围的通道以安全方 式扩充它们的服务的标准机制。因为服务利用现有的接口，本质上 仅作为ATM或POS结合于现有的安全网络，所以显著降低了扩充和 扩张它们提供的客户服务的成本。它还提供使零售银行业开始实现 运营成本节省而促使不可避免地向电子货币转移的框架。对于政府，它提供许多用于使商贸能够进一步发展的标准机制。 这些标准机制专门地设计为符合控制国家货币流通中必需的发展较 好的过程、体系和法规。这些机制还提供最终可以促成创建对所有 人开放的环境的新机会的框架。该系统具有提供允许国家政府根据 变化中的商贸环境发展它们的税务体制的机制的灵活性。而且，还 提供能力以利用产品和服务套装提供有效率的自动化税收代理以适 应将来的"按使用付费，，的税务模型(例如对驾车进入伦敦中心而 征收的交通拥挤费税)。因此，可以看到，本发明的系统可以提供安全的电子商贸环境， 提供超过上文在一个实施方式的详细描述中概述的那些的优点。在更广义的层面上，本发明能够实现货币和身份的可行表示。 因此在图12中可以看到，可以将服务集成到可行的货币流通所必需
的现有过程、控制和法规中。图12示出本发明的系统84在零售银 行业80c (通过例如LINK的中间媒介92)与客户之间实现接口，具 体为客户的所谓的电子口袋(epocket) 94 (电子钱包)。此电子钱包 用于通过与商家的所谓的电子钱柜(eTill) 96进行电子通信来进行 事务处理。可以将mobileATMTM服务与现有的银行系统集成，并因此适于 具有单个ATM/POS事务交换机或多个ATM/POS事务交换机的每个 国家(如图12中的接口 92所示)或最终适于没有共享事务设施的 国家。如上所述，可以被系统实现的服务的数量远远超过描述的特定 示例(移动电话充值和结余查询)。事实上该系统与三种类型的事务 模式兼容安全性事务服务；信息事务服务；以及金融事务服务。然后可以将这些事务安装到服务中，并在客户访问该服务时使 之可用。这不仅为客户提供安全、可访问且易于使用的服务，而且 还提供将零售银行业和移动运营商业的商务需求结合的灵活基础。的复杂度，并对他们提供对低威胁性服务的访问。其他事务服务也 是可能的，下文将进一步论迷。对于安全性事务服务，上文描述的mobileATMTM服务是真正的 两因素认证系统。mobileATMTM客户仅在客户证明了 (a)他们拥有 注册的移动手机；(b)他们拥有银行卡；以及(c)他们知道关联的 mobile ATM 口令的情况下才授予使用服务的许可权。因此可以看 到，mobileATMTM安全性模型复制并扩充了 ATM的模型；使用客户 拥有的某物(他们的移动电话和他们的银行卡)和客户知道的某物 (他们的PIN)。因此，可以在客户远离支行时，使用该服务作为零售银行用于 多个电子事务的认证服务。 一种此类服务是用于提供在线银行凭证 服务或提供在线银行事务的其他验证的认证服务。
英国的大多数零售银行向客户提供因特网通道来管理他们的账 户并且对此通道的访问常常包括注册过程。注册过程包括由零售用 户生成用户凭证，并将这些凭证通过邮寄交付到客户的家庭地址。 一旦接收凭证，客户就可以使用这些凭证来通过安装在他们的因特网连接的PC上的浏览器登录他们的因特网银行。这种访问控制模型产生两个问题。 一是由零售银行管理用户凭 证，另一个涉及可能恶意获取对客户的因特网银行凭证的访问。如果没有书写下来，零售银行客户有许多凭证要记住，例如ATM PIN、信用卡和借记卡PIN和因特网凭证，这增加了零售银行业有效 率地管理必要凭证的范围的问题。随着凭证的数量增长，可以推断 客户管理团队的运营成本也随之增加，例如由于忘记凭i正以及响应 对客户账户的欺诈攻击而对呼叫中心的呼叫增加。通过信息技术业所熟知的，PC环境易受恶意攻击，而且此问题 随着因特网连接的家庭的数量增长而增加。英国付款结算服务协会 (APACS )已经识别了欺诈者使用而严重影响提供在线服务的零售 银行的多种方法，包括钓鱼攻击-随机地发送电子邮件，该电子邮件看上去像是来自 真实的公司。特洛伊木马-在客户不知情的情况下恶意地安装在客户的PC 上的一种计算机病毒。金钱骡子- 一种用于洗黑钱的资金转移机构。钓鱼攻击的目的是通过发送冒称真实公司发送的电子邮件从客 户收集在线银行凭证，然后使用收集到的凭证来诈取客户。以相似 的方式，特洛伊木马设计为通过在用户输入他们的在线凭证时收集 敲键信息来收集在线银行凭证，并自动发送这些凭证以用于诈取客 户。金钱骡子源于钓鱼攻击和木马攻击，它引诱客户通过接受存入 他们账户的存款，提取资金并通过电汇将资金转移到海外来充当金 钱转移代理。
显然这些攻击依赖于客户的在线银行凭证保持不变，虽然一些 银行仅要求输入密码中每次登录改变的元素，但是仍可能使用这些 攻击来获取对客户凭证的访问权。 一些零售银行提供的可能解决方案是，向客户提供生成一次性密码的设备(例如RSASecurlD产品)， 但是与此方法关联的成本高得令人却步。mobileATM服务支持服务提供商与客户之间的敏感信息的安全 交付。该服务支持在线银行密码的安全交付，和事务确认细节的安 全交付(由此该服务能实现PIN同时使用的因特网事务)。在线一次性密码的安全交付mobileATM服务可以支持一次性密码的安全交付，因此降低欺 诈者获取对客户凭证访问的能力，因为使用此方法，客户的秘密在 每次登录时都会改变，并且仅在有限的时间段有效。mobileATM力良 务不仅可以实现在线密码的交付，而且对在线密码进行端到端加密， 因此进一步降低中间人攻击的能力，因为密码除非在用户手机上被 解密，否则永远不是明文的。图13示出使用具有一次性密码设施的系统中包括的步骤。图13A 示出步骤1至步骤5，图13B示出步骤6至9。图13示出在移动电 话屏幕处查看的交互，并因此示出电池水平指示器和信号强度计。在步骤1中，用户从电话菜单定位mobileATM应用并执行该应用。在步骤2中，用户输入mobileATM密码(注意在选择相关账户 之后可能改为输入ATM PIN )。在步骤3 ("发送，，)中，将口令或PIN加密，并以安全方式发 送到mobileATM事务服务器以进行认证。在步骤4("接收")中，将认证结果发送回客户的手机。在步骤5中，显示已注册账户的列表，客户导航并选择相关账户。图13A因此示出最初登录过程。图13B用于图示对于用户要获
取一次性密码时的步骤。在步骤6中，显示与所选账户对应的有效事务的列表，用户导航到在线银行密码事务选项。在步骤7中，以安全方式将该请求发送到mobileATM事务^^务 器以进行处理。在步骤8中，以安全方式将事务结果发送到客户的手机("接 收")。最后，在步骤9中，将代码解码并显示在手机屏幕上。 要登录到他们的在线银行，用户则输入他们的登录名和输入交 付到他们的mobileATM客户端的一次性密码。通过提供要求客户输入PIN同时请求一次性有限时间的密码以 控制对在线银行设施的访问权的机制，mobileATM服务降低欺诈者 获取对客户的在线银行凭证的访问权的可能性。更确切地说，钓鱼攻击和木马的的可能性将被降低，因为提供的密码将是具有使用时 限的一次性密码。通过减少客户必需的凭证的数量，该服务还使零售银行业能够 降低与管理它们的在线支行资产关联的运营成本。与最初引入ATM 以促使管理主要街道支行网络的运营成本降低的方式相似，可以推 断mobileATM在线银行凭证服务能够促使对零售银行呼叫中心的呼 叫次数的减少，从而促使降低与客户忘记凭证或欺诈访问所导致的 生成凭证关联的成本。事务确认细节资料的安全交付到商家的Web网站。虽然认识到使用安全传输链路来将卡的细节资 料发送到商家网站，但是商家会存储这些卡细节资料。这实际上创 建客户的卡的虚拟副本，并且易受欺诈者攻击。在使用机制中的修 改不断地解决物理世界中事务的卡欺诈问题。这导致《1入对欺诈有 显著效果的芯片和引脚方案。事务确认的安全交付使安全性和身份 验证的这些级别应用于因特网事务。使用该服务，客户无需将卡的细节资料输入到商家的Web网站。 相反，客户会输入标识令牌(例如客户的移动电话号码)，商家利用 它来建立事务。事务包括将客户的标识令牌(例如移动电话号码) 连同事务细节资料发往mobileATM系统以请求用户确认。图14示出该过程如何工作。作为初始登录过程，再次执行图13A 的步骤1至步骤5，由此图14的第一屏幕截图与图13B的第一屏幕 截图相同。在图14的步骤6中，客户此时对先前在步骤5中选择的账户选 择菜单项"待处理事务"。在步骤7中，显示一个用户确认的待处理事务的列表，要确认 事务，用户导航到相关事务。在步骤8中，显示事务细节资料以供用户确认。在步骤9中一旦确认，以安全方式将事务发送到mobileATM服 务器以进行处理。处理包括将事务路由到因特网事务的支付网关确 认，其包括对商家的确认。在步骤10中，将事务结果编码并以安全方式发送到用户手机， 然后在步璩ll中将事务结果显示在手机的显示屏上。这些示例因此示出用于执行许多不同功能的该系统的多功能 性，并图示可以内置于该系统中的一些附加安全性特征。该系统使用中间i某介作为至多个银行机构的银行记录的网关。 这避免了对用户与任何个人银行机构之间直接通信的需要。由此， 可以建立单一系统来实现任何银行、任何运营商和任何手才几的功能。 用户通信全部在用户与中间i某介之间，并且在本发明的系统中，此 双向通信是通过MobileATM系统的。该系统对于用户来i兌具有相同 外观和功能，而与他们的个人银行无关。用于用户与中间媒介之间通信的协议可以独立于用于中间媒介与多个银行机构之间通信的协议来定义。中间々某介(例如LINK)则
在不同协议之间进行翻译。例如，可以通过用于用户与中间媒介之间的通信的一种方法来将与账户关联的PIN号加密，并且相关银行 机构对此PIN号的验证可以使用不同加密。因此，网络中间媒介可 指示用于用户与中间媒介之间通信的协议，而银行机构可以确定用 于中间媒介与银行机构之间通信的协议。当然，这些协议转换对于 用户是不可见的。已给出中间々某介的一个示例，即LINK,但是不同国家将存在不 同网络。为了使系统最有效地发挥功能，优选地将中间媒介与个人 银行机构关联，个人银行机构涵盖大量私人银行客户的银行账户的 银行账户中的至少一个，私人银行客户的数量例如为所述地域的私 人银行客户的至少三分之一，或更优选的至少一半，甚至更多至少 三分之二。上文描述了本发明的系统的一个优选实施方式，并且仅是本发 明系统的少数可能用途。但是，多种其他实施方式当然也是可能的， 本领域技术人员将预见到这些和其他修改。
权利要求
1. 一种提供银行服务的电子系统，所述电子系统包括服务器，所述服务器具有用于通过移动电话网与用户移动电话设备进行通信的第 一接 口；以及通信的第二接口，其中所述第一接口包括适于从用户移动电话设备接收至少结余查询请求的接收部件；以及适于对用户移动电话设备提供结余查询回复以显示在所述用户 移动电话设备上的发送部件，以及其中所述第二接口包括适于将接收到的结余查询请求发送到所述中间^f某介以由所述中 间士某介重传到所述多个银行机构的其中之一的发送部件；以及 适于从所述中间媒介接收结余查询回复的接收部件。
2. 如权利要求1所述的系统，其中，所述第一接口还适于使对 等端到对等端和对等端到企业的资金转移请求能够从用户移动电话 设备提交。
3. 如权利要求1或2所述的系统，其中，所述第一接口用于与 SM卡和Java移动电话设备进行通信。
4. 如前面任一项权利要求所述的系统，其中，所述笫一接口包 括个人标识号安全性系统。
5. 如权利要求4所述的系统，其中，所述第一接口包括PIN Block 3DES加密。
6. 如前面任一项权利要求所述的系统，其中，所述第一接口还 包括轻量级传输安全性加密系统。
7. 如前面任一项权利要求所述的系统，还包括存储所述系统的 已注册用户的MSISDN和注册的口令的数据库。
8. 如前面任一项权利要求所述的系统，其中，所述系统通过验 证用户移动电话设备标识符、所述系统设置的口令和所述多个银行 机构的其中之一设置的银行账户标识符来执行安全性验证过程。
9. 如权利要求8所述的系统，其中，所述系统还适于验证与所 述多个银4亍机构的其中之一达成协议的银行账户个人标识号。
10. 如前面任一项权利要求所述的系统，其中，所述多个银行机 构 一起包括移动电话网络的地域内具有银行账户的那些用户中的至 少一半用户的银行账户。
11. 如前面任一项权利要求所述的系统，其中，所述中间媒介包 括自动拒员机的网络主机。
12. —种移动电话银行网络，包括 一种如前面任一项权利要求所述的系统；所述中间々某介，作为至多个银行机构的银行记录的网关；以及 多个用户移动电话i殳备。
13. 如权利要求12所述的网络，其中，所述用户移动电话设备 可操作以请求所述中间媒介执行包括如下的事务移动电话充值； 结佘查询；账户之间的资金转移； 确认待处理事务；或 生成有时限的密码。
14. 一种提供银行服务的方法，包括从通过选择屏幕上显示的选项来操作移动电话设备的用户接收 对所迷银行服务的请求；处理所述请求，并与作为至多个银行机构的银行记录的网关的 中间媒介进行通信，其中多个银行机构包括所述用户的银行机构； 以及通过所述移动电话网提供对所述请求的响应，以用于显示在所 述用户移动电话设备上。
15. 如权利要求14所述的方法，其中，还包括在允许用户访问 银行服务之前，执行注册过程。
16. 如权利要求15所述的方法，其中，所述注册过程考虑所述 移动电话设备的身份、所述用户提供的口令和所述用户的地址。
17. 如权利要求14、 15或16所述的方法，其中，使用PINBlock 3DES加密以与所述用户进行通信。
18. 如权利要求14至17的任一项所述的方法，其中，使用LTS 加密系统以与所述用户进行通信。
19. 如权利要求14至18的任一项所述的方法，其中，所述银行 服务包括帐户结余查询。
20. 如权利要求14至19的任一项所述的方法，其中，所述银行 服务包括移动电话账户充值。
21. —种提供银行服务的电子系统，所述电子系统包括服务器， 所述服务器具有用于通过移动电话网与用户移动电话设备进行通信的第 一接 口；以及通信的第二接口，其中所述第一接口适于允许借助所述中间媒介将至少结余查询 请求提交到所述多个银行机构的其中之一并提供至少结余查询回复 以用于显示在所述用户移动电话i殳备上。
全文摘要
一种提供银行服务的电子系统，该电子系统包括服务器，该服务器具有用于通过移动电话网与用户移动电话设备通信的第一接口；以及用于与作为至多个银行机构的银行记录的网关的中间媒介通信的第二接口。第一接口适于允许通过中间媒介将至少结余查询请求提交到多个银行机构的其中之一并提供至少结余查询回复以用于在用户的移动电话设备上显示。本发明提供使用移动电话环境提供主要街道ATM的功能。
文档编号G06Q20/00GK101124593SQ200580047122
公开日2008年2月13日 申请日期2005年11月29日 优先权日2004年11月29日
发明者A·D·卢基斯, S·P·阿特金森 申请人:莫尼泰斯有限公司