移动账户管理的制作方法

专利名称：移动账户管理的制作方法
技术领域：
本发明涉及对无线通信网络中的安全交易的管理。特别地，本发明涉
及表示货币性资产(monetary asset)的所有权(title)交换的消息 的安全转移。
背景技术：
世界人口的很大一部分不能得到传统金融机构的服务。用于在"企业" (例如企业对企业)之间或个体之间(一个位置对另一个位置)转账 (transfer money)的机构是有限的。因此，现金常常必须实际地转手。 缺少金融机构会尤其会强烈地影响新兴市场中的小规模的商人。
这样的小规模的商人如何得到资金，被称作"小额借货 (microcredit)，，或"小额信货(microfi羅ce)",这被视为激励 新兴市场中的经济活动的核心问题。
金融服务(例如小额借货/小额信货)的可用性受到用于提供金融服 务的位于适当位置的基础设施的限制，从而使现有系统很慢、成本高并 且在涉及现金的情况下，通常不安全。
在许多新兴经济中，蜂窝网络提供平台，其中金融服务能够在所述平 台上被传送，从而远远超过主要局限于城市地区的自动出纳机(ATM)、 银行分支和陆上线路(landline)的范围。为此，在试图解决客户需求 过程中-使用移动网络和电话作为递送通道以准予使用金融服务，已经 使用蜂窝网络的传统短消息功能(SMS)实现了多种系统。
在一个已知系统中，在Zambia中部署为Celpay的Fundamo Elevator, 以高端客户为目标并且基于SIM协议。注册的客户被提供有Celpay SIM 卡。所述SIM卡被编程为 一旦被插入适当的移动电话手机中就产生新的 菜单。Celpay账户经由从常规银行账户的转账，或直接将现金或支票存 入Celpay合作方银行来进行信货(credit)。当Celpay用户想要进行 支付时，他使用他的手机上的Celpay菜单去输入要支付给商人或供应 者的数额(value)。他被提示通过输入安全个人身份号码(PIN)来鉴 别交易。支付者和收款人这二者都接收交易的确认(采用SMS消息的形式)。因为每个交易都具有唯一引用号，具有在线(环球网上，"Web") 可获得的完整细节，所以商人或供应者(假设他能够访问Web)就具有 完整的在线审计(audit )记录，关于谁支^"什么以及何时支一寸。商人 或供应者还必须设立启用Celpay的特殊账户，其中任何转账都将在所 述账户中进行。然后，资金能够在商人的指令下被移至商人的主银行账 户。
另一种系统，菲律宾的Globe G-Cash，经由出口 ( out let )代理4吏用 与传统"直接转账，，人对人相关的SMS通知。G-Cash账户被提供给每个 注册用户。在G-Cash中请求向接收方账户进行支付的SMS消息被传送 到短代号(中央服务)以供处理(例如，支付账单或购买商品取回信货 (cal1 credit ))。
智能货币(smart money),也在菲律宾实现，它使用"智能信货 (credit)"作为电子支付。智能货币应用程序使用电子钱夹卡，所述 电子钱夹卡被链接到移动电话账户。所述卡能够像借记卡一样使用。可 替换地，使用移动电话，拥有银行账户的客户能够经由SMS把钱上载到 卡上、在卡之间转账、跟踪交易、支付账单等。
另 一种已知的用于在没有金融机构的情况下进行转账的机制是用于 以由诸如Western Union之类的公司提供的国际汇款形式"电汇(wire )" 现金的工具。
现有系统已经获得一些成功。然而，它们的确依赖于能够使用诸如银 行账户、Web和/或适当出口之类的传统基础结构的客户。这将许多小商 人排除在外，对于这些商人而言，使用这样的基本基础结构是相当大的 负担。

发明内容
为了克服前述困难，在此提供了 一种用于在蜂窝通信系统中保持多个 虚拟账户的账户管理系统，所述蜂窝通信系统在移动终端之间运送消 息，并且每个移动终端都包括具有唯一标识符的数据卡，所述账户管理 系统包括
消息接发(messaging)装置，适于使用通信系统接收来自移动终端 的输入交易消息，输入消息包括始发(originating)移动终端的唯一 标识符，并且作为响应传送输出交易消息到移动终端；交易处理装置，被耦合到消息接发装置并且适于解释输入交易消息和
输出相应的交易指令；
消息安全装置，^皮耦合到交易处理器，其通过将所包含的唯一标识符 与有效虚拟账户列表中的项目(entry)进行比较来鉴别输入交易消息； 以及
交易数据存储器接口， ^皮耦合到交易处理器，交易处理器通过所述交 易数据存储器接口与数据存储器进行通信，所述接口适于传送用于对在 存储于数据存储器中的 一个或多个有效虚拟账户中保持的数据进行修 改的指令并且适于在修改完成时将交易完成消息从数据存储器传送到 交易处理装置；
其中交易处理装置还适于解释交易完成消息并且适于将相应的经解 释的交易完成消息输出到消息接发装置；
其中每个经解释的交易完成消息都包括从经修改的虚拟账户的唯一 标识符产生的安全信息，所述消息接发装置将从经解释的交易完成消息 产生的输出消息送往相应的移动终端；并且
其中每个接收到的输出消息都采用以下格式，所述格式需要输入来自 被插入移动终端中的数据卡的唯一密钥，从而确保输出消息仅能够在具 有与输出消息中的安全信息相匹配的唯 一 密钥的数据卡存在的情况下 被读取。
账户管理系统因此是启用移动电话的账户管理平台。该系统具有允许 用户经由移动终端(特别地，通过使用广泛可用的GSM移动电话)在企 业对企业的层次或个人对个人的层次这二者上转移资金。所述系统使用 在移动电话的SIM卡上运行的专门开发的软件来与最终用户进行会话并 且使用短消息服务(SMS)来在SIM卡和中央服务器之间进行通信。这 具有这样的优势能够在不必支持GPRS的低规范(speciation)移动 电话上运行。
根据本发明的进一步方面，提供了一种用于在蜂窝通信系统中保持多 个虚拟账户的方法，所述蜂窝通信系统在移动终端之间运送消息，并且 每个移动终端都包括具有唯一标识符的数据卡，所述方法包括
使用通信系统接收来自移动终端的输入交易消息，输入消息包括始发 移动终端的唯一标识符；
解释输入交易消息；通过将所包含的唯一标识符与有效虛拟账户列表中的项目进行比较
来鉴别输入交易消息；
在输入交易消息是真实的情况下，输出用于对在存储于数据存储器中 的一个或多个有效虚拟账户中保持的数据进行修改的相应交易指令；
在修改完成时，接收来自数据存储器的交易完成消息；以及
将输出交易消息传送到始发移动终端，每个经解释的交易完成消息都 包括从经修改的虚拟账户的唯一标识符产生的安全信息；
其中每个接收到的输出消息都采用以下格式，所述格式需要输入来自 被插入移动终端中的数据卡的唯一密钥，从而确保输出消息仅能够在具 有与输出消息中的安全信息相匹配的唯一密钥的数据卡存在的情况下 被读取。
通过在以单独客户和组织(例如小额信货机构(MFI))的名义操作 的标准存款账户内创建一系列虚拟账户，平台使得单独用户、服务供应 者和代理能够通过例如经由SMS对账户管理器进行指示来在这些虛拟账 户之间移动"经分配的资金"。
一旦个体已经被提供了虛拟账户，钱就能够被分配到这(例如通过小 额信货服务供应者)。当指令例如被SMS接收到时，数额就能够被在虛 拟账户系统内的账户之间移动。例如，个体能够请求数额在他的虚拟账 户和商人的相应虚拟账户之间移动，其中该个体从所述商人购买商品或 服务。
虚拟账户所表示的数额能够在任何适当的注册代理处兑现，所述代理 例如是开播时间(airtime)转售者(reseller)或任何具有适当"现 金流"(商店、汽油站等)的位置。与银行出口相比，这些代理更广泛 并且更便于使用。该过程是快速的并且交易成本应该;故极大地降低。特 别地，这种布置还消除了对"现金"的实际移动(和(再)计数)的需 求，从而为用户提供了有关安全性的好处。
使用移动技术使金融交易更快、更便宜且更安全，这促进了新兴市场 中金融服务的递送，其中在所述新兴市场中其他金融交易机制是没有吸 引力的。本发明还促进了在流动工人和他们的家庭之间进行更广泛的转 账。
优选地，所述平台被提供有安全层。所述安全层可以在交易的每个阶 段实现。该层一皮嵌入账户管理器以防止欺诈使用。一方面单独用户、服务供应者和代理(即，具有安装了适当SIM的手 机)之间的信息交换的安全性，以及另一方面账户管理器，可以通过要 求使用在双方之间共享的密钥对消息(例如，SMS消息)进行加密来增 强。为了实现该共享的密钥加密，在手机中使用的SIM可以被提供有用 于对这样的消息进行加密和解密的SIM工具包(STK)应用程序。
可替换地，或另外，可以使用独立于SIM或手机的其他ID和安全检 查来提供安全性。这样的可替换的检查的例子包括个人身份号码 (PIN);用户名/密码组合；生物测定参数(例如虹膜扫描、指紋识别、 语音模式识别等等)。这些检查可以使用手机上的现有功能(即小键盘
和麦克风)来获取数据以供在安全服务器处理因此，交互语音应答 (IVR)或语音识别可以被用于从用户获取安全信息。这样做的一个优 点是手机和单个SIM能够净皮整个社区(community)的用户共享，类似 于销售点设备能够通过要求输入进一步的ID和安全信息来区别用户 账户。
优选地，还提供了用于提供报告功能的报告装置，所述报告功能允许 虚拟账户之间的数额的移动能够被跟踪。报告装置可以进一步跟踪兌 现。报告装置由此提供了监管机构可能要求的审计索引。


为了更好地理解本发明，现在将参照附图以举例方式描述实施例，在 所述附图中
图1示意性地示出了在其中可以使用本发明的网络； 图2是根据本发明的合并了虚拟账户管理系统的小额信货系统的示意 图3示出了图2的系统中的信息流；以及
图4图示了本发明所促进的一些小额信货交易。
图5图示了用于克服防火墙限制的消息转发器效用(utility)的操作。
具体实施例方式
图1示意性地示出了在其中可以使用本发明的网络。该图示出蜂窝网 络。然而，应该理解的是，本发明可适用于任何类型的网络，不过它尤其适用于其中至少一些设备使用移动电信/无线数据传输进行通信的网
络。移动终端1向GSM/GPRS或UMTS ( 3G )移动电信网络3注册。移动 终端1可以是手持式移动电话、配备有数据卡的膝上型计算机或个人数 字助理(PDA)。移动终端1经由移动电信网络3的无线接入网(RAN) 与移动电信网络3进行无线通信，在UMTS网络的情况下，所述无线接 入网包括基站(节点B) 5和无线网络控制器(RNC) 7。移动终端1和 移动电信网络3之间的通信是经由GPRS支持节点(SGSN) 9而祐:从无线 接入网路由的，其中所述GPRS支持节点(SGSN)9可以通过固定(电缆) 链路连接到移动电信网络3。
在传统方式下，多个其他移动终端向移动电信网络3注册。这些移动 终端包括移动终端11和13。终端11和13以与终端1类似的方式与移 动电信网络3进行通信，也就是经由适当的节点B 5、 RNC7和SGSN9。
移动电信网络3包括网关GPRS支持节点(GGSN) 17,该节点实现与 其他网络的基于IP的通信，例如经由适当链路12与因特网19通信。 多个终端(通过固定或无线链路)被连接到因特网，并且PC终端23和 PDA终端25以举例方式示出。
移动终端1、 11和13中的每一个都具有各自的订户标识才莫块(SIM) 15。在每个SIM的制造过程中，在移动电信网络3的控制下，鉴别信息 被存储于其上。移动电信网络3本身存储着在其控制下发布的每个SIM 的细节。在移动电信网络3的运行中，通过该网络向合并了 SIM 15的 终端l、 11、 13发送询问(challenge)来鉴别终端1、 11、 13(例如，
当用户为了打电话或接电话的目的而在网络中激活终端时)，响应于该 询问，SIM 15计算回复(依赖于SIM上保持的预定信息-常常是鉴别算 法和唯一密钥Ki )并将其传送回移动电信网络3。移动电信网络3包括 筌别处理器17,所述鉴别处理器产生询问并且接收来自终端1、 11、 13 的回复。
使用预存储的关于相关SIM 15的内容的信息，鉴别处理器计算来自 移动终端l、 11、 13的回复的期望值。如果接收到的回复与所计算的期 望回复匹配，则SIM 15和相关联的移动终端就被认为是被鉴别。
应该理解的是，对任何具有受移动电信网络3控制的SIM 15的终端 而言，都能够执行这样的鉴别过程。在该实施例中，终端经由网络的无 线接入网与移动电信网络3进行无线通信，不过这不是必不可少的。例如，终端可以经由固定电话网(PSTN),经由UMA "接入点"和/或经由 因特网与网络进行通信。PC 23和PDA 25也可以具有受网络控制的SIM 15。
终端l、 11、 13、 23、 25所使用的SIM 15可以是在GSM或UMTS标准 规范中定义的SIM类型，或者可以是SIM的模拟，也就是执行与SIM功 能相当的功能的软件或硬件。SIM可以依照在WO-A-2004 036513中描述 的方案。
应该注意到，所描述的鉴别过程未必会鉴别用户的人类身份。例如， 移动电信网络具有预付订户，作为预付的交换条件而向订户分配SIM, 从而使他们能够使用网络服务。然而，这样的预付订户的身份可能不为 网络所知。尽管如此，在网络鉴别了这种用户的SIM-也就是已经确认 这种用户是具有网络的特定预付账户的特定用户之前，该用户都不能使 用网络。
图1中示出的网络包括移动电信网络3和因特网19(其本身包括多个 其他网络)这二者。
"短消息"的传送程序是不同的。在实施例中所使用的术语"短消息" 或"SMS消息"指的是在GSM或3G标准规范中定义的短消息。这样的消 息常常采用具有最大受限长度的文本消息的形式，但是它们能够具有其 他形式，例如采用二进制数据的形式，或者可以包含用于改变移动装置 的功能参数的配置数据。本发明不限于这种"短消息"类型的消息的传 送。
短消息可以被发送到或来自诸如移动装置1、 11、 13和属于网络3的 其他装置之类的移动装置。然而，另外，短消息可以被发送到或来自"短 消息实体(SME)",例如在20、 20A、 20B示出的。这些SME可以釆用 各种类别的终端的形式，例如用于将各种类型的短消息发送到移动终端 并且用于接收来自移动终端的短消息的固定终端。例如，SME可以采用 与银行计算机或用于产生用于传送到移动终端的信息(例如商业信息) 并且作为响应接收来自移动终端的短消息的其他类型的计算机相关联 的终端的形式，但是还可以是许多其他类型，例如各种类型的应用服务 器。
网络3具有与其相关联的短消息服务中心(SMSC) 26。 SME20、 20A、 20B通过适当类型的固定网络30连接到SMSC 26。当移动终端想要发送短消息时，它将经由它的网络3的SMSC 26来实现这一点。因此，例如， 如果移动终端1想要发送短消息到移动终端11,则短消息就被移动终端 11自动地发给SMSC 26,所述SMSC 26然后将短消息递送到移动终端11 (在注册了用于实现向移动终端1收费的必要细节之后)。因此，每个 短消息都携带着本地SMSC的地址(该地址由发送方自动生成)和短消 息的预期目的地的地址。当本地SMSC接收到短消息时，它然后读取地 址(MSISDN或移动站ISDN号或预期目的地的电话号码)并且相应地派 送短消息。
根据在共同待审的专利申请公开号GB-A-2415574中描述的方案，SMS
消息可以被保护和鉴别，在此将其全部引入作为参考。
在基本的实施例中，本发明允许在客户之间直接地转移数额，其中每 个客户各自都具有提供于平台上的虚拟账户。根据本发明，账户交易完
全是在电信网络(例如GSM网络)上进行的。SMS交易消息的交换会引 起资金在一个客户账户和另 一客户账户之间转移，每个账户都由账户管 理系统来管理，从而实现将钱发送到家或在内地(up country)发送， 而没有这样的活动所涉及的安全风险。此外，客户仅仅需要SIM卡就能 够操作这样的虚拟账户，SIM卡被插入适当的终端(通常移动电话手机) 中以便连接到电信网络。
图2图示了小额信货系统中的"角色(actor)，，之间的交互。根据 本发明的虚拟账户管理系统可以被安装在数据中心中，以使客户和操作 者能够通过移动电话手机或在网络链路(租用线路或因特网)上访问这 些设施。
每个客户的虚拟账户都具有相关联的SIM收件箱，其中优选地存储最 近的交易，从而表示虚拟账户的当前余额。
为了客户支持和维护存储在数据中心中的数据，对交换网络环境的管 理进行了规定。在必要的情况下，使用VPN集线器(例如Cisco 3000 ) 来建立虚拟专用网(VPN) 。 VPN集线器允许为在数据中心上存储的数据 进行远程开发和管理来建立VPN隧道。特别地，VPN的提供有助于单独 组织方/客户(例如，小额信货机构(MFI)、充当代理的开播时间商品 特许经销商(Airtime Dealership) ) 4吏用互联网连接对它们的核心账 户进4亍访问。
作为交易SMS消息到耦合于有线网络的SMSC的方向的替换，SMS交易消息还可以净皮送往SMSC局，所述SMSC局通过互联网(例如，在SNMP， 简单网络邮件协议下的电子邮件)把SMS消息作为分组来路由。
另外或者作为提供移动手机基于SMS的接口的替换，虚拟账户管理系 统可以可选i也经由互^卜4言道(complimentary channel)范围内的一个 或多个信道来访问，所述互补信道包括Web、 GPRS、非结构化补充数据 业务(USSD)和语音。
除了在虚拟账户之间转移数额之外，SMS交易消息被用于在通过提供 代理账户来促进的过程中取钱和存钱。账户管理系统的经批准的代理， 例如电话信用(telephone credit)转售者(或店主)，帔提供有进一现金。
可替换地，或另外地，客户可以在不使用实际现金的情况下通过将资 金转到商人账户来直接购买商品。同样，商人账户是虚拟账户管理系统
交换条件而销售;品和服务:
典型的交易可以通过参照图3的元件来示出。移动电话用户通过经由 显示在他的移动电话302屏幕上的菜单到SIM卡(被安装在电话302中) 上的资金交易应用程序的导航来发起交易。类似地，其他用户也使用他 们的移动电话304、 306来在系统上实现交易。用户然后从资金交易应 用程序菜单选择适当的交易并且输入所请求的信息，例如目的地账户、 数量、PIN等等。该信息被封装到加密的消息中，然后经由SMS^皮发送 到交易处理器340。为了到达交易处理器340,加密的消息必须首先通 过网络运营商的短消息服务中心-SMSC 310和SMS服务才莫块330。从移 动电话到SMSC的连接是在移动网络上实现的。
图3中的粗线表示消息队列(MQ) 。 MQ能够跨越计算机工作并且允许 位于任一端的两个实体独立地工作。 一个实体提交消息，在不等待回复 的情况下，另一实体接收并且在稍后的时间处理该消息。例如，SMS服 务^^莫块330能够继续接收SMS消息并且将它们中继到队列，而交易处理 器340暂时关闭以用于维护。
交易处理器340通过以下事件而被触发，例如输入消息的到达或递送 通知、输出消息的SMSC接受的通知，计时器终止或外部请求。它确定 对事件的正确响应并且对其进行执行。如图3所图示的那样，交易处理器340能够同时连接到一个以上SMSC 310、 320。这考虑到不同SMSC的功能的不同。该体系结构还考虑到多 个SMS服务330，所述多个SMS服务330可能遍布于多个主计算机300， 其中每个SMS服务330都^支连接到一个或多个SMSC。它还考虑到多个交 易处理器340以用于可缩放性(scalability)。
交易处理器340负责接受不同类型的输入请求并且对它们进行处理直 到完成。每个输入请求都发起新的交易。在完成之前，新交易可能涉及 在一段时间(在一些情况下，长达45分钟)上进行的一个或多个步骤。 例如，考虑客户发起发送货币交易。当交易处理器340接收到请求消息 时，处理器验证该消息，查询主数据库350并且，如果成功，则向客户 的移动电话302发送回复以确认交易已经发生。几秒或几分钟之后，交 易处理器340接收到回复递送的确认，向交易数据库350确认该交易并 且发通知给接收方。
通常多个事件被集中到单个交易中。例如，当有能力进行资金交易的 SIM首先被激活时，SMS消息被从SIM发送到交易处理器340。交易处理 器3 4 0对输入消息进行解密和解码以便发现它是激活请求以及它包括针 对该电话号码的正确的PIN。它把请求传到会计数据库360并且如果它 批准了激活，就经由SMSC 310和SMS服务模块330在若干SMS消息中 传回初始菜单。这是作为二进制SMS而被递送到SMS应用程序本身的。 当对于所有的SMS消息而言，成功递送确认都已经到达时，交易处理器 340就发送进一步的文本SMS消息给电话302,该消息包含现在激活的 SIM，告诉用户激活成功。所有这些事件-初始消息、来自SMSC 310的 初始菜单消息的接受的通知和每个递送通知都被交易处理器340集中在 一起作为单个应用层交易。
在优选的实施方式中，交易处理器340广泛利用微软[RTM]企业程序 库(enterprise library),交易是MS-DTC层交易并且输入事件是借 助于MSMQ消息来传递的。在这种情况下，交易处理器340 ;故安排成确 保从读取来自队列的消息得到的任何项目，由此引起的数据库处理和任 何发送的消息都^:单个相应的MS-DTC交易涵盖。因此，如果在处理期 间出现任何错误，则所有的工作都通过单个回退(rollback) ^L撤消并 且能够被重新开始结果，这种实施方式就能够处理数据库死锁。
交易处理器340优选地适于嵌套交易使用外部交易来获得下一事件并使用内部交易来处理它。如果内部交易失败，则外部交易优选地净皮允
许当场进行使得失败仅仅会导致事件被再次读取以及相同的错误发 生。仅当内部交易结果引起可重试错误时，外部交易才会失败。存在着 限制这样的重试的次数的机制。
消息安全组件380负责对在SIM应用程序(其未示出，驻留在用户的 移动电话320上)和交易处理器340之间发送的消息进行加密和解密。 作为解码PIN (和密码) 一部分，被验证并且新的PIN^皮这样加密以使 未加密的PIN和密钥不会暴露在消息安全组件380外部。每个SIM使用 不同的密钥来对消息进行加密和解密。适当的密钥;故使用-这样的-睑证 被当作消息源于特定移动电话302上的证据。
消息优选被递送到用户的移动电话SIM应用程序，作为(二进制)消 息程序。这提供了完全安全的双向通信信道，对于抵抗诸如账户管理器 服务器的"电子欺骗"之类的安全威胁是健壮的。然而，在一些情况下， 当菜单被显示在移动电话302的屏幕上时，SIM卡应用程序被阻止接收 这样的SMS消息。在这样的情况下，系统能够被配置成使得从服务器发 送的消息被以明文消息的形式发送到SIM。
在一个实施例中，消息安全组件380是以独立COM+服务器应用程序形 式运行的COM+组件。除对从SIM应用程序接收的消息进行解密和解码以 及对要被发送到SIM应用程序的消息进行加密之外，组件380还提供了 方法，所述方法用于获得与加密的PIN相关联的产生信息和日期；获得 与加密项目相关联的用途信息和日期；对主密钥进行加密；根据预定义 的主密钥算法来产生SIM特定密钥；对密码进行加密；以及对照经加密
的密码来验证密码。
组件3S0使用COM+角色安全来将特定接口方法限制到特定用户。例如 只有服务运营商能够对用于资金交易SIM应用程序的消息进行解密和加 密，而web账户用户370能够创建PIN。
所采用的特定加密方案是根据所使用的SIM的功能来选择的。然而， 优选的是所有SIM共享单个公共密钥(假定SIM支持公共密钥加密)。 在这不可行的情况下，作为代替可以根据单个共享对称密钥和SIM所独 有的ID信息来产生SIM特定密钥。在后者的情况下，安全的可靠性取 决于共享对称密钥的保密性。
作为账户管理器解决方案的固有灵活性的例子，本发明的系统已经被配置成支持小额信货机构MFI的操作。图4图示了本发明的该实施例的 操作中的阶段。MFI在数据中心维持了核心虛拟账户。另外，虛拟账户 被提供用于小额信货方案内的不同角色现场官员(field officer), 其分配社区内的小额借货；顾客，从MFI接收借货的虛拟账户持有人； 以及群出纳员(group treasurer )，其工作是马全证借货^皮正确地偿还。
当MFI批准由现场官员对用于作为借货分配的资金进行发放时，适当 的SMS交易消息被发送。SMS交易消息实现资金转到现场官员的账户。 现场官员又在顾客账户的群内分发借货。再次使用SMS交易消息来将经 批准的金额记入顾客账户。
特定MFI的顾客同意通过以预定比率转移资金到群出纳员的账户来偿 还他们的借货。该活动也是通过交换安全SMS消息来实现的。最终，群 出纳员， 一旦他确信正确的偿还已经完成，他就将适当的金额转回MFI 的核心账户。
本发明的系统经由SMS交易消息向SIM提供了双向安全通信。唯一的 密钥被提供给每个SIM。因此，在哪个SIM发起哪个交易的方面，系统 提供了完全的透明度，从而有助于审计和其他监管功能。
运行在每个启用的手机上的接口包括"解释器"。解释器是与浏览器 类似的应用程序。在上述实施例中，请求账户管理交易的每个SMS交易 消息都是通过使用由解释器呈现的对话菜单来构造的，其中客户净皮要求 指出目标账户、要转账(或取出)的数额，转账的日期并且要求输入 安全数据以供鉴别。解释器完全可以用无线电来定制。菜单，所显示的 语言都能被远程改变。每个菜单项目动作都通过各自的微型程序(例如， 在浏览器上运行的Java脚本或Java程序(applet))来实现。此外， 接口对服务器驱动的事件进行响应。
所述系统对系统的用户规定了不同的要求。依赖于用户的角色(例如， 用户、代理、出纳员、现场官员)，能够使用适当的菜单和选项来定制 系统。这样的更新能够通过用无线电更新来很方便地实现。
一旦产生和发送文本消息，文本消息就被在笫 一 短消息服务中心 (SMSC)接收到，SMSC借助于SMSC网关耦合到交换网络环境。SMS交 易消息然后通过跨越交换网络环境的SMS服务而被传送到交易处理器， 所述交易处理器解释SMS交易消息，并且一旦SMS已经被鉴别，就相应 地修改表示受SMS交易消息影响的每个账户的数据，所述数据被存储在数据中心中。
使用解释器(启用了该可选的特征)，向用户呈现账户收件箱，该账
户收件箱与传统SMS收件箱分离，由此用户能够保持交易历史。账户收 件箱仅能够通过插入手机的SIM的鉴别功能来访问，所以交易历史的完 整性通过SIM鉴别来保证。
为了确认给定交易的完成，然后为受交易影响的每个账户产生相应的 交易完成消息，然后交易完成消息被封装在加密的消息中，所述加密的 消息仅能够由具有SIM卡的移动终端利用正确解密密钥正确地打开。以 SIM特有的密钥来对交易完成消息进行有效地电子签名。加密的消息被 格式化为SMS消息并且经由SMS服务递送到交易请求方和受影响账户的 账户所有者。这些SMS消息被递送到用于各账户的账户收件箱，以使只 有经验证的SIM的用户能够查看交易状态。
在一个以上用户能够访问手机并且单个SIM被共享的情况下，可能需 要进一步的ID和安全信息。所提供的访问然后被限于相应的账户收件 箱，但是该收件箱不能被其他用户访问并且被存储在SIM上。
优选地，账户管理器所操作的短消息服务中心(SMSC)是可定制的， 尤其是在转发任何SMS的延迟的持续时间方面。该服务是可扩展的(支 持多个SMSC)且可缩放的(将不同的电话号码存储在相同的SMSC上， /人而允许一个以上小额信货才几构)。
该服务优选地还被实现以使其对于承载交易消息的网络基础结构是 不可知的。对于这种实现， 一种显著的能力是远程宿主(host)服务器 的能力。
在一些实现方式中，防火墙限制对网络位置的数目进行限制，在所述 网络位置能够获得对一个以上SMSC的同时访问。该缺点能够通过实施 效用应用程序、消息转发器(参见图5)来解决，所述消息转发器用于 通过使用适于跨过这种防火墙的协议而将MQ消息从一个计算机上的消 息队列转发到另一个计算机上的消息队列。因为交易处理器340和SMSC 310、 320之间的通信开始于MQ消息，该效用使得系统能够位于别处。 考虑第 一数据网络仅允许输出连接的情形。为了使交易处理器可以宿主 在第一数据网络的外部(但是仍能够访问该第一数据网络的SMSC),消 息转发器必须能够跨过阻止输入连接的防火墙来发送和接收MQ消息。
消息转发器包括两部分，web服务和例如实现为Windows NT服务的客户。顾客在防火墙内的计算机(计算机A)上运行并且发起对运行在计 算机B上的web服务的所有呼叫。因为web服务呼叫使用HTTP，所以这 是允许的。图5示出这些部分如何互联。
便利地，所述系统能够利用基于成本的路由策略，以确保SMS交易消 息根据预定的准则来路由，例如最低财务成本、最短距离或最快服务。 在优选的实施例中，系统利用被动态更新的策略，从而确保运营商能够 以最小的成本提供服务。通常，本地移动服务供应者将被用于入站 (inbound) SMS消息。主要地，这允许提供对用户免费的SMS服务。这 的确还将SMS业务的成本保持得很低。
清楚地，在SMS业务的价格较不重要的情况下，对地理位置只有很少 的限制平台可以被实现并且在世界上任何地方运行。对这样服务的漫 游访问可以净皮提供，其中成本并不是过高的(prohibitive)。
对于国际应用，虚拟账户管理器的数据库和逻辑优选地具有迎合货币 兌换、语言和监管差别(例如防欺诈措施)的扩展应用。
系统的体系结构意味着一对多交易实现起来相对简单因此，例如， 单个代理交易能够被用于加满(top up)三个独立的虚拟账户。
优选的是，交易处理器具有SMS多路复用器设备，该设备确定若干可 能SMSC中的哪一个应该被用于递送任何给定SMS消息。
除了用于处理来自用户SIM和来自网站访问的交易请求的设备之外， 交易管理器还很方便地具有用于处理来自预付客户(对于用户本身或者 代表其他用户和/或电话)的对开播时间的请求的设备。这样的请求可 以源于交易应用程序菜单内或者来自对适当网页的访问。
在本发明的进一步增强中，系统可以请求或推断用户的物理位置。在 具有该位置信息(例如小区ID)的情况下，系统能够确保提供给用户信 息是与该用户的物理环境相关的。这允许手机被用作社区建立工具-在 本地对可用的资源进行广告等。
权利要求
1. 一种用于在蜂窝通信系统中保持多个虚拟账户的账户管理系统，所述蜂窝通信系统在移动终端之间运送消息，并且每个移动终端都包括具有唯一标识符的数据卡，所述账户管理系统包括消息接发装置，适于使用通信系统接收来自移动终端的输入交易消息，输入消息包括始发移动终端的唯一标识符，并且作为响应传送输出交易消息到移动终端；交易处理装置，被耦合到消息接发装置并且适于解释输入交易消息和输出相应的交易指令；消息安全装置，被耦合到交易处理器，其通过将所包含的唯一标识符与有效虚拟账户列表中的项目进行比较来鉴别输入交易消息；以及交易数据存储器接口，被耦合到交易处理器，交易处理器通过所述交易数据存储器接口与数据存储器进行通信，所述接口适于传送用于对在存储于数据存储器中的一个或多个有效虚拟账户中保持的数据进行修改的指令并且适于在修改完成时将交易完成消息从数据存储器传送到交易处理装置；其中交易处理装置还适于解释交易完成消息并且适于将相应的经解释的交易完成消息输出到消息接发装置；其中每个经解释的交易完成消息都包括从经修改的虚拟账户的唯一标识符产生的安全信息，所述消息接发装置将从经解释的交易完成消息产生的输出消息送往相应的移动终端；并且其中每个接收到的输出消息都采用以下格式，所述格式需要输入来自被插入移动终端中的数据卡的唯一密钥，从而确保输出消息仅能够在具有与输出消息中的安全信息相匹配的唯一密钥的数据卡存在的情况下被读取。
2. 如权利要求1所述的系统，其中交易处理装置还包括报告组件，所 述报告组件用于提供报告功能以使虚拟账户之间的数额移动被跟踪。
3. 如权利要求1或2所述的系统，其中交易处理装置提供多个虚拟账 户，每个账户都表示小额信货方案内的多个不同角色中的一个。
4. 如权利要求1到3中任何一项所述的系统，其中交易处理器装置具 有附加功能，并且其中通过要求建立虚拟专用网(VPN)来进一步保护 对附加功能的远程访问。
5. 如权利要求1到4中任何一项所述的系统，其中消息接发装置直接 从通信系统的SMSC组件接收输入交易消息。
6. 如权利要求1到4中任何一项所述的系统，其中消息接发装置接收 来自短消息实体的输入交易消息，其解释来自蜂窝通信系统的输入交易 消息并且经由互联网接口递送输入交易消息。
7. 如权利要求5或6中任何一项所述的系统，其中每个输入交易消息 所选的路由是根据预定的成本准则集合以成本为基础来确定的。
8. 如权利要求7所述的系统，其中所述准则是响应于成本的改变而祐L 动态更新的。
9. 一种用于操作适于与如前述权利要求中任何一项所述的系统进行 交互的移动电话手机的方法，所述方法包括提供解释器应用程序；使用解释器应用程序来再现用于显示在移动电话上的菜单；经由菜单接受输入交易信息；根据输入交易信息产生输入交易消息；将输入交易消息传送到系统；接收来自系统的输出交易消息；以及在移动手机上显示交易完成的确认。
10. 如权利要求9所述的方法，其中再现用于显示的菜单的步骤包括 以下步骤接收菜单消息并且响应于菜单消息的内容而对菜单进行适 配，从而针对系统的用户的不同要求来对菜单进行定制。
11. 如权利要求10所述的方法，其中菜单消息是以用无线电更新的方 式接收的。
12. 如权利要求10或11中任何一项所述的方法，进一步包括确定手 机的物理位置并且产生基于位置的信息，其中菜单消息包括与手机的物 理位置相称的基于位置的信息。
13. 如权利要求9到12中任何一项所述的方法，其中接受输入交易信 息的步骤包括向用户呈现对话菜单； 提示用户输入交易信息；以及将输入交易信息以适于处理的格式存储到交易消息中。
14. 如权利要求13所述的方法，其中输入交易信息包括用于识别以下参数中的一个或多个的信息目标账户；待转账的数额；转账的日期； 要取出的数额；取出的日期；以及用于鉴别的安全数据。
15. 如权利要求9到14中任何一项所述的方法，其中接受输入交易信 息的步骤包括预备步骤借助于被插入移动电话手机中的数据卡的鉴别 功能来鉴别对访问给定账户收件箱的尝试，由此通过SIM鉴别来确保交 易历史的完整性。
16. 如权利要求15所述的方法，其中鉴别步骤包括提示用户对提供 于手机上的麦克风讲话；记录语音输入；并且将所述语音输入与经验证 的用户的语音样本进行比较；以及确认语音是所述用户的语音，从而使 用语音识别鉴别用户。
17. —种用于在蜂窝通信系统中保持多个虛拟账户的方法，所述蜂窝 通信系统在移动终端之间运送消息，并且每个移动终端都包括具有唯一 标识符的数据卡，所述方法包括使用通信系统接收来自移动终端的输入交易消息，输入消息包括始发 移动终端的唯一标识符； 解释输入交易消息；通过将所包含的唯一标识符与有效虚拟账户列表中的项目进行比较 来鉴别输入交易消息；在输入交易消息是真实的情况下，输出用于对在存储于数据存储器中 的 一 个或多个有效虚拟账户中保持的数据进行修改的相应交易指令；在修改完成时，接收来自数据存储器的交易完成消息；以及将输出交易消息传送到始发移动终端，每个经解释的交易完成消息都 包括从经修改的虚拟账户的唯一标识符产生的安全信息；其中每个接收到的输出消息都釆用以下格式，所述格式需要输入来自 被插入移动终端中的数据卡的唯一密钥，从而确保输出消息仅能够在具 有与输出消息中的安全信息相匹配的唯 一 密钥的数据卡存在的情况下 被读取。
全文摘要
在无线通信网络中，提供了一种用于在账户的持有人之间安全地执行权利转移的系统。消息的安全转移可以表示货币性资产的所有权的交换。每个所有权持有人都具有包含交易应用程序的SIM卡，所述交易应用程序能够解释菜单消息，接受用户输入和产生交易消息以供系统处理。菜单和交易消息中的每一个都被作为短消息接发服务消息来递送。持有人将他的SIM插入到移动手机中，并且(在系统鉴别之后)被允许与系统进行交互以进行权利转移交易。因为交易采用简单文本消息的形式，所以移动手机不需要符合高的规范(即，可以不支持GPRS)。
文档编号G06Q20/00GK101288092SQ200680038299
公开日2008年10月15日 申请日期2006年8月11日 优先权日2005年8月12日
发明者C·鲍利, L·-A·富汉, N·休斯, S·洛尼, T·N·S·穆尔多奇, W·D·卡鲁 申请人:沃达方集团有限公司