交易授权系统和方法

专利名称：交易授权系统和方法
技术领域：
本发明涉及一种对诸如信用卡购买、银行过户以及股票购买的交易， 特别是在进行远程货物或服务支付的环境中，进行授权的系统和方法。
背景技术：
金融交易或其它类型交易的安全性是非常重要的，因为最近出现了诸
如网络钓鱼(Phishing)和网址嫁接(Pharming)的威胁，这些威胁旨在 通过在电子通信中化妆成值得信赖的人或商家来诈取诸如密码、个人身份 号码和信用卡细节等敏感信息。 一旦这种细节被诈取，就会被用来进行金 融支付或用来盗用金融账户中的资金。所述账户的主人通常根本不知道这 些祚骗交易，直到这些交易已经完成并且进行干预已然太晚。所以，希望 在金融机构完成交易之前M户那里寻求交易授权。
在目前的用来对金融交易进行授权的系统中，很难并且通常不可能肯
定地保证ic^交易的人就^j限户主人并且被授权完成交易。例如，当商家
刷客户的信用卡时，信用卡终端连接到商家的收单机构(acquirer)或信 用卡处理器，所述收单M發汪所^J1户账户是有效的并且有足够的资金 来支付交易费用。然而，该过程对进行交易的个体的确得到了授权来进行
交易不能提#^何形式的mit。
尽管商家可以将信用卡上的签名与客户的签名进行比较,但这种用来 验证交易是否为欺诈的方法远不是十分安全的。此外，账户主人和信用卡 提供者是依靠商家来否决可能是欺诈或未授权的交易。
这个问题在通过在线环境或通过电话进行交易时尤其显著，在这种情 况下，商家不能IHE^户的签名从而判断所述交易是否为欺诈。
克服这种问题的一种方法是，要求买方提供卡B值码(CW， Card Verification Value Code),该码不是卡号自身的一部分，它也被称作 CW2、 CVC2以及CID。 CW是信用卡公司所建立的认证手续，以减少 因特网交易和电话交易中的欺诈。它包括要求持卡人在交易时提供CVV
6号码以IHE卡在手上。虽然CW码有助于确定下订单的客户实际拥有该 信用卡/借记卡并且卡上账户也是合法的，但当卡本身被盗用时或者在账 户保持人的金融记录受到未授权访问的情况下，该认证过程无效。
相似地，在对交易进行授权之前要求客户提供密码或个人身份号码的 当前系统中，对账户保持人的记录进行的未授权访问很可能会提供对交易 进行欺诈授权所需要的信息。
因此，本发明的目的是提供一种用^M"交易进行授权的系统，该系统
寻求緩解现有系统中的问题。
应该清楚地理解，如果这里引用了现有的出版物或系统，那么这种引
用并不是承i人所述出版物或系统在澳大利亚或在任何其它国家中构成了
所述领域中的一舶y〉知常识的一部分。

发明内容
泛而言之，本发明允许由客户安全地对交易(诸如信用卡支付、在线 金融资金过户等)进行授权，优选在相关机构终结所述交易之前进行。在
一种形式中，当客户根据例如交互语音应答(IVR， interactive voice response)系统的提示提供一个或多个独有的标识符来J^他或她的身份 并对交易进^i人证时，就会进行这种授权。可选择地，客户可以指出所述 交易是欺诈，这转而被传a相关城，从而可以采取恰当的行动。由授 权系统所保持的信息与所述金融机构中的账户和客户记录是分开的，以便 在授权处理中有最大的安全性，并减小交易的欺诈认证的风险，而这种欺 诈认证可能源于对所存储的信息的未授权访问。
在一个方面，本发明提供一种交易授权系统，用于允许客户对涉及与 机构相关的至少一个客户账户的交易进行授权，所述系统包括
数据存储装置，用于使得能够访问
(a) 与客户相关的识别数据；
(b) 与客户的远程通信设备(RCD)相关的识别数据；以及
(c) 将至少一个客户账户与(a)和(b)之一或两者关^来的安 全标识符数据；
第一通信装置，用于使得能够经由RCD与客户进行通信以对至少一 个客户账户上的交易进行授权；数据处理结构，包括数据处理装置，用于使用(a)来识别客户、使 用(b)来识别RCD、并判断交易是否由客户进行了授权；以及
第二通信装置，用于接收与交易相关的授权请求，并向M提供有关 交易是否得到客户授权的指示，其中，所接收的授权请求和提供给机构的 指示都涉及到安全标识符数据。
在另 一个方面，本发明提供了 一种用于允许客户对与机构处保持的至 少一个客户账户相关的交易进行授权的方法，方法包括步猓
a)授^良务器#构接收与在至少一个客户账户上的交易相关的授 权请求；
b )授^J艮务器经由客户的远程通信设备(RCD)与客户进行通信以 对交易进行授权；
c) 授;MJ艮务器使用授^J艮务器能够访问的、与客户相关的识別数据 来识别客户；
d) 授^J良务器使用授;J5LI艮务器能够访问的、与RCD相关的所存储 识别数据来识别RCD;
e) 授;M艮务器确定交易是否得到客户的授权；
f) 授^J艮务器向机构传送有关交易是否得到客户授权的指示，
其中，机构和认证服务器使由授^Jl务器接收到的授权请求以及提供 给机构的指示涉及到安全标识符数据，安全标识符数据用于使至少一个客
数据之一或两者相关联。
在一种形式中，本发明体现于一种远程支付系统中，该系统允许客户 以安全的方式远程与系统的成员办理货物和服务的支付，该系统包括
i) 数据存储装置，包含与系统的多个客户中的每一个客户以及多个 成员中的每一个成员相关的可更新数据，其中，每个客户具有至少一个带 有相关的货币储备的相关注册简档；
ii) 数据处理结构，包括数据处理装置以及用于清偿系统的成员和客 户之间的债务的清算系统，
iii) 与数据处理结构相关的通信装置，用于经由每一个客户的远程通 信设备(RCD)与客户进行通信。所述系统用来使一个或多个客户根据一个或多个成员所发出的支付 请求来办理货物或服务的支付，支付请求触发从通信装置到相关客户的
RCD的通信事件，以便^iiL^户的身份以及访问各自的注册简档，系统 还用来m^户的身份，并且一^S^it了身份，就在货币储备中剩有正的 余额的情况下允许客户进行支付。
在第二种形式中，本发明用于一种远程支付方法中，该方法允许客户 以安全的方式远程与远程支付系统的成员办理货物和服务的支付，该系统 包括
i) 数据存储装置，包含与系统的多个客户中的每一个客户以及多个 成员中的每一个成员相关的可更新数据，其中，每个客户具有至少一个带 有相关的货币储备的相关注册简档；
ii) 数据处理结构，包括数据处理装置以及用于清偿系统的成员和客 户之间的债务的清算系统，
iii) 与数据处理结构相关的通信装置，用于经由每一个客户的远程通 信设备(RCD)与客户进行通信，
其中，客户使用系统根据一个或多个成员所发出的支什清求来办理货 物或服务的支付，支什清求触发从至少一个通信装置到相关客户的RCD 的通信事件，以便^ii^L户的身份以及访问各自的注册简档，并且一M 证了客户的身份，就在货币储备中剩有正的余额的情况下允许客户进行支 付。
术语交易旨在广泛地涵盖可以对账户执行的各种动作，诸如支付请 求、订单请求、股票过户、资金过户、识别请求的检验、发布信息的请求、 或这些动作的组合。这种动作也可以以各种方式来启动，例如，支^H请求 可以源于在实体店进行的信用卡交易、在电子商务网站上进行的购买(点 击购买)、或使用客户的移动电话来支付货物和服务(诸如文字购买 (text-to-buy)或交谈购买(talk-to-buy))的远程支付系统。
术语客户旨在被理解为广泛地包括金融机构的客户和任何在机构中 拥有账户的人，例如雇员、提供商或i^^I的人员。
本发明有利地为客户提供了在交易受到银行或信用卡发行商批准并 且资金被过户给商家之前对交易进行授权或标记的机会(优选使用至少一 个"离线"通信手段，这样就不容易破坏安全性)。
尽管通常希望在交易过程接近结束时进行交易授权，但应该明白，交易授权可以在交易过程中的任何时刻进行。例如，可以想象，交易授权甚 至可以在商家发出付费请求之前进行。在通常要求交易的处理时间服从指 定约束的在线环境中，这一点特别有利。
也可以想象，本发明能够用于这样的情况下，其中，提供预批准授权，
而不需要首先与客户联系，这样就能够无延i^进行交易。然而，如果一 旦就所述交易而与该客户联系上时，客户没有对所述交易授权或者将所述 交易标记为未授权，则立即撤回所述预授权，并且如果资金已然过户，也 要被追回。
诸如客户牢记的PIN或者生物测定学数据(例如声紋、指紋、视网 膜扫描、行为学等)的安全标识符的使用意味着只有当使用欺诈者通常 得不到的信息验证了客户的身份时才能对交易进行授权。另一个优点基于 这样的事实即，在所述系统中，客户的mi及具体联系信息与客户的具 体银行信息被保存在分开的数据存储中，仅用单个安全标识符(只有银行 系统和授权系统知道)将所述分开的数据存储链接起来。这种设置增强了 安全性，因为对这些数据存储中的任何一个存储所进行的未授权访问其自 身不能提供足以避开授权系统并进行欺诈交易的信息。
来说特别有用。系统管理员可以对使用所述系统进行的交易征收费用，该 费用可以是固定费用，也可以按交易量的百分数抽取，或者是两者的结合,
远程通信设备(RCD)可以是任何能够进行通信的设备，不限于单 向或双向通信设备。RCD的优选形式的例子包括客户的固定电话或移动 电话、客户的个人计算设备(可以是移动的也可以是固定的)或传真机或 传呼机。所有这些设备连同其它没有列出来但包括为RCD的设备通常具 有软件部分。
客户希望在所述系统中使用的任何RCD都应该在系统中注册，相应 地，记录识别RCD的信息(通常为该RCD所独有)以用于所述识别处 理。
客户可以指定他们希望用哪个RCD或哪组RCD来与所述系统进行 联系，如果例如为多因素认证(下面将讨论)指定了一组RCD，则客户 还可以指定在所述多因素识别处理中哪个RCD以何种方式执行。
对特定具体交易的授权依赖于对客户身份的!Hi，通常在给出所述交易的授权之前要求进行该认证。所述系统将客户身份的IHi设置为预授权 状态，如果不满足所述状态，则在授权之前优选将所述交易中断。换言之， 如果系统不能确定客户的身份，则交易将被否决。可以向系统管理员发出
警报，通知系统管理员客户身份的mjE失败了，从而采取步骤拒绝或中断 交易请求。
通常，只要交易额没有超过信用限制和/或成员身份仍然有效等，则 依据识别参数和/或其它参数的满足情况， 一般由金融机构给出交易的授 权。本发明的系统可以作为该授权处理的另一部分来运行。系统可以与授
权处理期间所使用的数据源(data feed)相关联，并iUl送给系统管理员 的识别标准的满足与否可以作为由所述金融机构给出授权之前所要求的 另一个M。
例如，就普通的信用卡交易来说，客户(通常是卡的所有者)使用该 卡从商家购买东西，该商家是接受信用卡支付卖给客户的货物或服务的商 店。所述商家如果是实体店的话， 一般通过在读卡机或类似机器上刷卡来 收集卡的信息，否则的话则通过因特网或电话来收集卡的信息。
当所述商家希望验证例如所述卡是有效的并且信用卡客户具有足够 的信用来进行购买时，就会使用与商家的收单银行具有通信链接的信用卡 支付终端、销售点(POS, Point of Sale)系统等来进行电子!Hi。可以 从卡上的磁条或芯片、客户设备上的芯片中获得卡中数据，或者以在线形 式或以电话上的口头形式由客户提供卡中数据。
收单机构(即，向商家提供卡处理服务的金融机构或其它组织)经由 卡协会与卡的发行商进行联系，所述卡协会即作为收单机构和用于对交易 进行授权以及为其提供资金的发行商之间的通路的诸如VISA或 MasterCard (及其它)的网络。
所述发行商优选在对交易进行授权和为其提供资金之前向本发明所 述的系统提出请求，请求客户授权。
应该明白，这种客户授权请求不限于涉及信用卡的支付系统，同样可 以用于涉及借记卡、账户之间的资金过户、股票购买等的金融交易系统， 或者，例如当通过网络访问安全系统以;SJC出要求对远程系统访问进行授 权的请求时可以应用这种客户授权请求。
也可以预想一种完整的远程支付系统，其中，直接由所述系统接收并 处理客户授 K请求，下面将对其进行详细^兌明。重要的是，不管利用所述系统为了支付而进行联系的方式是怎样的，
优选以所述系统联系客户的指定RCD为开始并优选使用交互语音应答 (IVR)系统或相似的系统来IHE客户的身份，从而进^i人证和验证处理 的实质性部分。所述认证处理可以包括一个或多个与客户进行联系并进行 认证的因素和方法，包括但不限于IVR系统、与客户相关的生物测定学 信息(诸如，特定语音识别)、沿一个或多个通信信道从一个或多个源输 入的代码、生成的代码、射频ID (RFID)、 一次性代码等。
可以尝试使用两因素认证来克服较新形式的欺诈，如使用两个不同的 通信路径。例如，所述系统可以经由SMS向客户手机发送挑战(challenge)， 并期待指定的回答。如果假设所有的4艮行客户都有手机，则这就使两因素 认证处理不需要额外的硬件。多因素认证通常涉及多于一个通信信道或会 话的使用，其中，可以在第一信道上发送挑战，而在与第一不同的通信信 道上或不同的通信会话中发送客户应答或第二认证部分，要求客户访问这 两个信道或会话以便照做，使偷听变得困难得多。通常将所述通信信道指 向特定RCD,而RCD自身通常具有独有的识别信息，该信息也被要求与 认证被批准之前由所述系统中存储的客户J^iiE信息相匹配或相关联。
所述系统使用认证请求作为基础，使用数据输入提示经由客户的至少 一个RCD与客户进行联系。所述数据输入提示可以是请求输入特定个人 识别(个人ID)信息(诸如代码或其它^￡数据)的消息，所述个人识 别信息的原始输入由客户来创建或者在客户的账户初始与所述系统链接 时生成，该信息可以:^要求进行改变。
与一个或多个个人ID以及一个或多个客户RCD相关的信息由所述 系统存储，但与由相关^的系统维护的客户账户信息分开。与所述金融 机构的 一个或多个系统中的特定客户相关的信息使用独有的安全标识符 (安全ID )，该安全标识符不必与所^Jl户或所iij:户的RCD的识别特 似目关，甚至不要求提供给客户。
所述系统将M户那里接收到的个人ID信息或者根据所述数据输入 提示所提供的各方面信息与所述系统中所维护的用于验证目的的个人识 别数据进行比较。有利地，客户所提供的各自的个人识别数据与由系统存 储的个人识别数据用加密机制(诸如散列法)进行保护。
为了认证而与客户进行联系的最优形式为所述系统使用交互语音应 答(IVR)部件，该部件是计算机化的系统，允许个人(通常是电话呼叫 者)从语音菜单或与计算机系统的接口中选择选项。 一般地，所述系统播放预录的语音提示，客户根据提示在电话M上按下号码以进行选择，或 说出简单答案(诸如"是"、"否"、或数字)，以响应所述语音提示。
最新的系统使用自然语言的语音识别来解释客户想要回答的问题。最
新的趋势是引导式语音IVR (Guided Speech IVR )，该IVR将活人主体 (live human agent)结合到应用的设计及工作流中，以便用人的语境来帮助 语音识别。IVR发展成了电话系统，但现在也有了在非电话系统上工作的 类似系统，并且可以4吏用功能上等同的任何系统或这些系统的组合。
通常，IVR部件被包括在所述至少一个通信装置中， 一旦所述数据处 ^结构接收到认证提示，IVR部件通常就使用客户的优选远程通信设备 (RCD)来与客户进行联系。所述RCD可能是移动电话之类，然后，IVR 系统就能引导客户输入在认证处理中要使用的他们的识别信息。重要的 是，所述系统的通信装置通常也能够确定所使用的特定远程通信装置的识 别特征，诸如SIM卡号或IP地址、或数字证书等，以使j艮据多因素iUi 处理来识别客户。
如果输入的J3Hi数据与存档的lHiE数据相匹配或相关联，则认为客户 通过了g，可以对交易进行授权。如果输入的B数据与存档的B数 据不匹配或不关联，则就认为客户没有通过验证，其被所述系统拒绝。
对!HiE数据的无效输入也可以进行标记，由系统管理员进行跟踪。优 选地， 一旦无效JiHi数据被输入了预定的次数(至少一次，但优选不超过 三次)，客户就被锁定在系统外一段时间。所述锁定可以对客户账户起作 用，也可以限于不允许从由客户使用的特定远程通信装置(如使用所用的 特定远程通信装置的识别特征所确定的)访问所述系统。
一旦认证被批准或被否决，就向相关的金融机构发出合适的指示，并 且优选由所述数据处理结构产生用来告诉客户认证处理结果的合适的消 息，并将其发送给客户的优选RCD。


现在将参考

本发明的优选实施例，其中 图l是提供本发明优选实施例的概况的环境图； 图2是概述本发明优选实施例的建立过程的流程图； 图3是概述本发明优选实施例的授权过程的流程图；图7是概述引入本发明优选实施例的远程支付系统的客户注册过程 的流程图8是概述引入本发明优选实施例的远程支付系统的网站注册过程 的流程图9是概述引入本发明优选实施例的远程支付系统的客户认证过程 的流程图10是概述引入本发明优选实施例的远程支付系统的第一存款过程 的流程图11是概述引入本发明优选实施例的远程支付系统的购买过程的流 程图12是概述引入本发明优选实施例的i^^呈支付系统的资金过户过程 的流程图；以及
图13是概述引入本发明优选实施例的远程支付系统的余额查询过程
的流程图。
具体实施例方式
本发明并不特定于任何具体的硬件或软件实现，而是处于具体实现之 上的概念层面。应该理解，可以在不偏离本发明的实质或范围的情况下， 给出本发明的各种其它实施例和变化。下面41供的内M助于理解本发明 的具体实施例的实际实现。
如图1所示，授权系统20包括具有通信装置26的数据处理装置(即 服务器22 )，该通信装置26与机构50的机构系统10以;S^1户40的客户 设备30进行通信。客户40通常是W^ 50的客户，但也可以A4员、供 应商、i^^人员等。所以，在各种情况下，机构系统10可以使用任 何形式的公共识别数据(公共ID)，例如账户号码、信用卡/借记卡或其 它卡的号码、雇员号码、登录名、密码或其它合适的标识符来识别客户 40。在一些情况下，可以将这些标识符的组合用作^^共ID。与例如机构50、客户设备30和客户40相关的识别信息被安全Ak^ 储在授权系统20的数据库24中。数据库24可以是任何形式的数据库， 例如，单个中央数据库、分布式数据库或许多安全数据库。
应该明白，尽管授权系统20是以金融^J (诸如信用卡发行^ ) 为背景来讨论的，^构50也可以是要求对交易进行安全授权的任何组 织。这种机构的例子包括雇主、银行、il5j^机构、股票经纪人或寻求安全 识别或授权的任何其它实体。
也应该明白，尽管授权系统20是以金融交易为背景来讨论的，但交 易可以具有其它合适的形式，例如用于识别客户40的请求。要求由授权 系统20进行授权的交易例子包括在线金融交易或场外金融交易、请求 同意股票的购买或出售、或客户40 iiA某建筑可能会需要的识别请求、 开账户、或与机构或i^"机构打交道。
在一种形式中，授权系统20和机构系统10可以驻留在同一安全环境 中，以尽量减小它们之间的通信被未授权的一方所截取的机会，或者^ 50将授权系统20结合到它们自己的安全处理层中。
然而，在授权系统20和机构系统10被驻留在分开的物理环境中的情 况下，优选经由诸如直接连接的安全链接来方便它们之间的通信，优选使 用诸如帧或安全的点对点连接的"网外(off-net)"(即，不基于因特网或 万维网的)技术。当授权系统20和W^系统10通过使用"网内(on-net)" 技术进行通信时，应优选使用强大的认证和加密方法，诸如采用挑战认证 (challenge authentication)的VPN隧道技术，或相似的技术，诸如客户 /服务器证书(Client/Server certificates),在这些情形下，最好使用最少 128位加密对经过该连接进行通信的数据进行加密。通过使用HMAC(密 钥散列消息认证码，Keyed-hash Message Authentication Code)算法对数 据包进#^人证可以提供更多的安全性，其中，为机构系统10提供密钥， 并且针对用来认证所述数据的密钥对机构系统10所发出的所有信息it行 散列(hash)。此外，需要的话，也可以添加用于所传输数据的附加安全 层，例如加密硬件。
优选应该自动记^Xt授权系统20做出的改变，并将其维护在即使是 在有特权或管理访问的级别也不能被改变的安全审计踪迹(secure audit trail)内，并且以报告的格式提供出来。
无论授权系统20和机构系统10是被安全i4it在一起还^i被安全地远程连接， 一旦为新用户完成了如图2所示的建立过程，在授权系统20和 机构系统10中就都使用独有的安全标识符(下文中称作安全ID )来使与 客户40相关的信息相互关联。使用所述安全ID就不需要经常发送关于客 户40或客户设备30的识别信息(下面讨论)，而该识别信息更容易被第 三方i人出。
这样，存储在M系统10中的客户40的账户信息就实质上独立于授 权系统20。
换言之，所述安全ID的使用确保了在授权系统20和机构系统10受 到成功的攻击并且未授权的一方获得了客户40的记录时，攻击者具有最 小的机会获得完整的一组信息，更具体地说，获得完成交易所需要的标识 符，这在下面进行更详细的说明。
为了使通信以及存储在数据库24内的信息具有最大的安全性，优选 安全ID对客户40或者对机构50或授权系统20的呼叫中心是不可见的。
为了便于所传输的数据与由机构系统10所存储的数据相互关联，可 以以安全的方式使所述安全ID与机构系统10所使用的现有的唯一标识符 (诸如，客户40的账户号码)相关联。相似地，可以以安全方式使所述 安全ID与授权系统20内的唯一标识符(对呼叫中心等是可见的)相关联。
在系统20中进行的客户建立过程期间，^50将设备ID发送给系 统20。系统20在"网外"与客户40进行联系(经由设备30)。此时，客 户40能够按着要求的步骤建立至少一个客户ID。然后，系统20将所述 设备ID以及新的唯一安全标识符(安全ID)发送回机构30。之后，与 客户40和/或设备30相关的唯一标识符(在机构50和系统20之间传递) 就是安全ID。
因此，对于想对完整的数据集进行未授权访问的诈骗者来说，他们需 要有客户40的公共ID、设备ID和客户ID。为了获得所有这种信息，他 们需要进行攻击并获得对机构系统10的未授权访问、跟随与授权系统20 进行的交易、并攻击系统20和客户设备30之间的链接。由此，在银行业 背景的一个例子中，未授权用户需要攻击并获得对银行、授权系统20和 设备30连接到的移动电话网的未授权访问。
在典型的金融交易情况下，如图3所示，商人或类似组织会请求^ 50对交易进行授权.在一些情况下，在商人没有请求这种授权或者交易 是在机构50内部进行的情况下，机构50可以自己请求交易授权。此时，机构系统10向授权系统20发送授权请求15，授权系统20反过来与客户 40进行联系，要求交易授权。
如果授权系统20被连接到多个^和/或W^系统，则授权请求15 可以包括唯一的标识符(下文中称作机构ID )来识别利用授权请求15与 授权系统20进行通信的机构50。在例如机构50装有授权系统20的情况 下，可以不需要;tM^ID。另外，应该明白，；W^JID可以具有不同的形式， 诸如网际协议(IP)或服务器的媒体访问控制(MAC)地址、或识别数 字和/或字母的组合。
授权系统20通it^户设备30与客户40进行联系。客户设备30可以 是手持设备(诸如移动电话或个人数据助理(PDA))、或者是^吏携式计算 机(诸如笔记本电脑)。准备通it^户40所持的便携设备与客户40进行 联系，因为，这样会确保M求对交易进行授权，并且没有延误。
与客户设备30进行的通信优选是在网外通信网络(即，基于非因特 网或万维网的技术)上进行，特别是在交易自身是在因特网或万维网上进 行的这种情况下。这样，即使交易会话受到损害，授权处理也保持安全， 因为该过程是在不同的通信网络上进行的，所以不可能也受到损害。另外， 如果使用与进行交易所用的网络同样的通信网络，则可以在与交易会活独 立的会话中进行授权处理，或者授权处理不止受通信会话的影响。
为了在授权系统20和客户设备30之间建立安全的通信^"，采取了 合适的安全措施。这些安全措施的确切属性当然由设备类型、所用连接方 法以及网络类型来确定。
例如，在GSM移动电话的情况下，使用手机SIM中的128位Ki码 来向网络唯一地识别i殳备。网络提供128位随MlL战(RAND),然后所 述i史^^提供32位应答(SRES)。 64位密钥(Kc， ciphering key)是在所 述会活期间进行加密的基础。所基于的算法包括A3 (认证)、A5 (加密) 和A8(密钥产生)，需要的话，还可以有其它安全层。
在CDMA设备的情况下，使用电子序列号和编程到电话中的A-key 来向网络唯一地识别设备。网络产生随机二进制数(RANDSSD),所述 设备用所要求的128位子密钥(sub key)(称作共享秘密数据，SSD )进 行响应。SSD的一部分用于认证， 一部分用于加密，所基于的算法在数据 的情况下可以包括标准CAVE、 CMEA、 E-CMEA或ORYX。除了上述 算法外，还可以使用CDMA2000和WCDMA来应用附加的安全层，诸如SHA-1、 AES、 Kasumi和Rijndael算法、以及AKA协议。
如果使用Wi-Fi (基于802.11的技术)、蓝牙⑧和其它近场通信技术、 以及i^巨离通信技术来与客户设备30进行通信，那么，优选实现这种技 术所具有的强大的安全实践。
为了向授权系统20识别客户设备30，可以将客户设备30独有的设 备标识符(下文中称作设备ID )与客户设备30所提供的设备ID进行比 较。这种标识符的例子包括电话号码、作为每个GSM和UMTS移动电 话所独有的号码的国际移动设备身份(IMEI)、 IP或MAC地址、或向授 权系统20唯一地识别客户设备30的任何其它形式或组合。
应该明白，在一些情况下，例如，如果设备ID包括电话号码，那么 其中的信息也用来发起与设备30的通信。然而，如果设备ID只包括本身 不能用来发起与设备30的通信的设备标识符(诸如MAC地址)，则用来 与设备30进行通信的附加联系信息也可以由系统20存储。
授权系统20提供一个过程(如图4所示)，用来在客户40获得了新 的客户设备30时改变数据库24中所存储的设备ID。
为了对交易进行授权,授权系统20提醒客户40提供至少一个独有的 客户标识符(下文中称作客户ID)，这个标识符用来确保是实际客户在同 意交易，而不是只是在访问客户设备30的另一个人。理想上说，对设备 ID和客户ID进行单独保护，并在存储和/或通信期间对其进行加密(诸 如用散列法)。
客户ID可以是个人身份号码(PIN)或客户40知道的密码/通行短 语、生物标识符(诸如声紋、挑战、指紋)、或通常只有客户40知道或只 能由客户40访问的任何其它形式的标识符。
在优选形式中，可以使用交互语音应答(IVR)系统(即，IVR系统 28)提醒客户30输入客户ID，并随后接^户ID。 IVR是计算机化的 系统，它允许客户40从语音茱单中进行选择，此外与授权系统20交互。 一般地，IVR系统28播放一个预录的语音提示，客户40在电话^:上按 下号码以进行选择和/或说出答案(诸如客户ID )，由IVR系统28进行辨 认。
例如，授权系统20并不知道或并没有以数字化的可用形式存储有包 含4 (或6)位数字PIN的客户ID。当IVR系统28在与呼叫相关的M 中通过DTMF接收PIN时，利用MD5在会话中对其进行加密，正是该通过散列法加密了的、与所述PIN相关的MD5串，被送回授权系统20 进行!Ht或存储。该过程确保了在授权系统20受到攻击并且攻击者能够 破解使客户ID与设备ID相关联的加密处理这种不太可能发生的情况下， 他们却不能模仿授权呼叫来尝试获得具有IVR系统可用形式的PIN,除 非所述MD5加密被破解。此外，需要的话，也可以添加其它的数据安全 层，诸如加密硬件。
在另一种使用语音生物测定学的实施例中，客户ID由客户40的声 紋构成。通过要求客户重复某个随机产生的单词或短语(诸如"yellow") 从而捕获客户40的声紋，可以对该声紋进行计算。以后的授权请求优选 是请求客户40说出不同的单词或短语(诸如"Tuesday")以强化安全性。
这样，授权系统20从应答中确定生物测量学上的声紋，并将其与存 储的数据进行比较。作为另一个安全层，系统20也可以将所述单词或短 语从语音转换为文本，并进一步与存储的数据进行比较以确定所说的单词 就是存储的数据。由此，为了进行破解，谋求未授权访问的人就不仅需要 有客户语音的高质量记录，而且也需务使用该记录来说出所要求的随机单 词。
在另 一个可选实施例中，系统20可以问客户40他或^艮可能会知道 答案的问题。例如，系统20可以问"你上次交易的金额是多少？"或者 "你的中间名是什么？"。不仅要将客户40的应答与存储的声紋数据进行 比较，而且也要确定应答的准确性。
一旦客户40提供了客户ID，则授权系统20就可以认为所述交易被 授权了。因此，授权系统20向机构系统10发送所述交易的授权，而^ 系统10反过来允许机构50采取合适的行动来结束所述交易。
如图5所示，授权系统20提供用于在客户40需要改变他或她的密码、 PIN等时改变数据库24中所存储的客户ID的过程。
在某些情况下，替代客户ID或除客户ID之外，客户40可能需要向 授权系统20提供应答。该应答可以用来发出例如取消交易或者将交易标 记为欺诈的请求。在这种情况下，授权系统20向机构系统10传iiil样的 事实，即所述交易可能有欺诈，机构系统10反过来允许机构50采取合适 的行动来终止交易并停止资金的转移。
授权系统20优选这样来存储客户ID和设备ID,例如使用加密的算 法使其分开。这是为了确保在攻击所述授权系统成功了这种不太可能的情况下，攻击者无法将客户ID和设备ID关^来并随后伪造出欺诈交易 的授权。在一种形式中，客户ID被单独^储在授权系统20环境中有三 重防火墙的子集(subset)内。
另外，在交易授权处理期间，客户ID优选不存储或复制到别处。与 存储和验证方法相反，这可能需要在IVR系统28中能够便捷地通过。
根据特别优选的实施例，提供引入授权系统20的远程支付系统100。
图6到图13示出了系统100的一种实现的功能和4吏用。远程支付系
务的付款。系统100的优选实现(^L据该实施例，在图6到13中示出了 系统100的使用)包括至少一个数据存储装置70，用来容纳与每个客户 40以及与系统100的每个成员60相关的可以更新数据，其中，每个客户 40具有至少一个相关的注册简档(registry profile) 80，该注册简档带有 相关的货币储备(monetary reservoir) 90。系统100也包括lt据处理结 构110 (具有至少一个数据处理i殳备120和用于清偿系统100的成员60 和客户40之间的债务的清算系统125)、至少一个与数据处理结构110相 关的通信设备130(用来与客户40进行通信)、和至少一个由每个客户40 保持的远程通信i殳备30 (用来与通信设备130进行通信)。
客户40使用系统100根据支付请求150来办理货物和服务的付款， 所述支4个清求150发起从至少一个通信设备130到至少一个远程通信i殳备 30的通信事件165,以便lHiE^户40的身份以;Sjit各自的注册简档80的 访问，并且一^9J^iE了客户40的身份，则在货币储备卯中的余额是正的 情况下允许客户40办理支付140。
通常至少有两类系统成员身份，即商务成员60和客户成员40。在每 类成员身份中都有多个成员。系统管理员160可以对商务成员60类别的 成员身份进行严格的控制和/或P艮制。而在可以得到管理员160的同意的 申请处理之后，可以提供客户成员40类别的成员身份。重要的是，系统 100的商务成员60也可以是系统100的客户成员40。
通常，系统管理员160为商务成员60和客户成员提供成员身份。成 员身份可以要求付费。 一般地，商务成员60可以支付年费，所述年费允 许商务成员对系统100进行访问。可以为商务成员60提供独有的身份号 码和密码以便进行识别。商务成员60可以接收系统100的定期公告和更 新、以及对系统IOO的相关信息所进行的数据分析的结果。这些公告可以
20由系统管理员160来准备。通常，这样的信息会涉及项目及其益处、这些 项目的广告等。系统管理员160可以汇编数据库170，其中包含商务成员 60的详细信息和系统管理员160所希望的任何其它信息或统计。
商务成员60可以收集和/或更新所述项目的客户成员40的有关信息，
行支付。该信息可以发送给系统管理员160并可以存储在客户数据库70 中。
优选可以有系统的两个部分或部门。所述系统的两个部分可以优选^> 知为前端和后端。前端可以优选包括用户接口。用户接口允许付费参加者 或数据库管理员对系统100的后端进行访问或连接。前端或者用户接口优 选可以使用因特网浏览器或移动电话、PDA或其它具有通信能力的个人 设备进行定位或访问。可选择地，用户接口可以处于计算机或月良务器或计 算机或服务器的网络中。它可以具有任何合适的类型或配置。
系统100的后端可以优选包括至少一个数据存储装置，通常是多个数 据库。所述数据库中的至少一个数据库可以优选是客户数据库70，其中 包含关于客户40和其相关货币储备卯的信息，第二数据库可以优选是商 务成员数据库170，其中包含关于商务成员60及其账户180的信息。经 由用户接口对每个数据库的访问可以优选依据访问或登录细节而加以区 分。例如，由客户40进行的访问可能只允许执行特定的或受限的功能(对 客户40的访问进行限制的方式与批准客户成员40进行的访问类似，但具 有相同或不同的功能)，而由系统管理员160进行的访问可以赋予"超级 用户"状态，并允许访问系统100的所有部分以及允许执行系统100的所 有功能。
通常，潜在的成员可以联系系统管理员160，以便付费加入系统IOO。 系统管理员可以为成员适当地提供独有的用户名和密码以允许其对所述 系统进行访问。成员可以优选地向系统管理员160支付加入费用，以便在 预定的时间段中对系统100进行访问。用户名和密码可以包括个人身份号 码、账户号码，或者，用户名可以被链接到由客户40使用的特定远程通 信装置的识别特征，而由客户40使用的特定远程通信装置的识别特征可 以根据所用设备30的类型而不同。例如，使用硬接线因特网连接的计算 机可以使用ID装置(诸如呼叫方线路识别(CLI， caller line identification) 技术)，移动电话服务可以允许使用SIM卡识别特征，对接口的直接因特 网访问可以使用网络地址或网际协议地址，优选由服务提供商發汪为用户名。
上述讨论基于移动电话或计算设备。系统100也可以在例如因特网上 使用。 一旦打开预定的网页，客户40就可以被适当提醒输入他们的用户 名和密码以便访问系统100。客户40用户名及相随的密码的正确输入可 以优选地允许客户40对系统100进行访问。
商务成员60对系统100的使用可以《^隞不同于客户成员40对系统 100的使用。商务成员60将优选使用系统100通知客户40未决支付请求 150，并监视它们自己的账户180的余额。系统100也可以允i午商务成员 60从系统100的信息中产生账目统计记录。
系统管理员160对系统100的使用也可以优选通过前端用户接口来进 行访问。以与客户40输入其用户名和密码相似的方式，管理员160也可 以具有用户名和密码，输入之后，可以适当地允许比客户40享有更广的 不受限制的对系统100的访问。
管理员160用户名和相随密码的正确输入可以优选地允许作为数据 库管理员对系统100进行访问。管理员160将优选能够维护系统100,包 括修M户注册简档80和虚拟钱包90以校正#^,并从系统100产生净艮 告。
客户40可以经由例如万维网接口来选择更新他们的识别细节或联系 细节。在选择了修^户40细节的选项时，优选显示可编辑的^^格，允 许客户40编辑他们的账户细节。这可以允许修改诸如用户名、密码、联 系姓名和地址细节(包括远程通信号码、email、以及客户网站地址)的 细节。以这种方式来改变识别信息通常会触发认证过程再次执行。
就客户40或商务成员60或管理员160对系统100的使用，更容易地 说明系统100的具体优选特征。
一般地，系统100中的第一步^Jt立新客户40的注册简档80。图7 中确定可以启动"新客户注册"的事件以及用于处理这些事件的优选过程。 可以优选使用因特网浏览器访问预定网站地址来到达所述系统的前端。这 可以通it^l户40直接使用因特网接口或通过由其它装置联系系统100的
客户服务官员(cso) (cso使用因特网接口输Aj:户40的初始mit所
需要的客户40的细节)来进行。图8示出"新客户注册"的实际过程的 优选实现。
在选择了输Ajl户40细节的选项时，优选显示可编辑^J格，允许客户40 (或CSO)输入(或编辑)它们的预定细节或账户细节。这可以允 许诸如用户名、密码、联系姓名和地址细节(包括远程通信号码、email 和客户40的网站地址)的细节的修改，也可以包括其它背景翁:据，诸如 出生日期、推荐人以及银行细节。如果所输入的任何识别信息已经被使用， 或某个信息漏掉了，则就会发出提示，请求该信息或该信息的校正。
一旦由优选的初级mit过程验证了客户40的识别信息，则所输入的 信息可以被用来创建客户40的注册筒档80以及货币储^(或"虚拟钱包") 90。
在本发明的系统100中所使用的资金通常被过户到客户40的虛拟钱 包卯中。可以利用确定的金融服务提供商l卯(诸如银行)、储蓄货款机 构等从借方账户210或从由提供商l卯所提供的信货工具(credit facility) 来过户资金。优选地，在这个阶段，过户的优选来源由客户40来提名， 但不处理。
之后可以是第二认证过程，该过程通常接着由系统管理员160所进行 的次级审查过程以及对所提供的可能要求由独立于系统管理员160的其 它方进行确认的信息进行的更彻底的检查。
一旦客户40为系统100建议了用于过户的优选来源，就可以要求客 户40进行认证过程以认证他们的身份、访问系统100以及访问源账户210 来进行过户的合法性等。图9示出认证处理的优选实现.
i人证过程可以包括数据处理结构UO，该结构产生i人证提示，并将所 述认证发送给与数据处理结构110相关的至少一个通信装置130,
使用前面概述的认证系统20对支付200进行验证和授权。 一旦认证 得到批准或否决，数据处理结构IIO优选产生合适的消息，向客户40告 知i人证处理的结果，并经由与数据处理结构UO相关的至少一个通信装置 130将其输出到客户40的优选远程通信i殳备30。
如果认证处理成功，则支付200被系统100记录下来，并且客户40 的虚拟钱包90被更新，以计入所述支付200并准确地反映客户40通过系 统IOO可用的资金。
通常也将可以进行充实他们的虚拟钱包卯的后启动资金过户或余额 查询或其它交易类型。每种交易通常要经过认证处理，该处理包括由系统 100联系客户40,并请求输入IHiE信息。
一^9JI^证了客户40的身份，通常将提示客户40将启动资金过户到他们的虚拟钱包90中以便在系统IIO中使用。在这种情况下，客户40通常 进行第一存款过程，图IO示出该过程的优选实现。基于客户40是使用借 货工具(debit facility)还;K吏用信货工具，资金过户可以有所不同。如 果使用的是信货工具，则系统100可以实时地进行操作，获^/ft用卡信息 并按要求来处理信用卡支付，而如果使用的是借货工具，则客户40可以 将资金过户到他们的虚拟钱包卯中以便马上使用或过后使用。
在提示过户启动资金之后，系统100 (仍然使用IVR部件28并且通 常处在与认ii^系相同的联系中)将请求客户40指定过户数额。然后，
并向客户40发出成功/失败通知。在该阶段，客户40与IVR部件28的联 系可以被终止，或者系统100可以询问客户40是否还要采取其它行动。 如果过户成功，则支付200被系统100记录下来，并更新客户40的虚拟 钱包90，以计入所述支付200并准确地反映客户40通过系统100可用的 资金。
通常，为了平衡系统ioo的处理负荷，客户4o的交易以;sjit其各自
虚拟钱包90的更新可以实时进行，而到系统100的商务成员60的资金过 户的更新则可以在系统100的休闲时段中进行。到商务成员60的资金过 户的更新可以批量"喷射"进行，其中，可以将单笔资金过户给商务成员 60，同时附上适当的信息，以识别客户支付者40。所述休闲时段的定时 可以出现在每个时段(通常为每天)中的特定时间，或者，系统100可以 进行自我监视，当为客户40过户的处理量下降时，则为商务成员60处理 过户。
依据笫一存款过程的结果，可以为注册简档80尤其是客户40的虚拟 钱包卯"加栽"表明从源账户210过户到客户40的虚拟钱包90中的资 金值的条目，然后，客户40可以使用该条目在任何时候向系统100的商 务成员60进行支付140。
图11示出支付处理的优选实现。为了使用系统进行支付140，通常 由商务成员60 ("拉"操作)、客户40 ("推"操作)或由其它装置通过系 统100的接口产生支付请求150，优选将支付请求150作标记，并与特定 客户40的注册简档80相关联。也将直接由商务成员60或者由系统100 自身通知客户40未决支付请求150。
一旦产生了支付请求150,通常通过与数据处理结构120相关的通信 装置130的联系，客户40指出要执行使用系统100的支付140。然后，数据处理结构120通常^￡支#*求150的细节，并也!Hi^户40的身
份以;s^:户虚拟钱包卯中的资金的可用性，然后向通信装置130发出提
示以联系客户40，来对支付140进行a^或授权'
再一次，使用前面所述的授权系统20来对支付140进行!HiE和授权。 一旦认证被批准或否决，将优选由数据处理结构120产生通知客户40认 证处理的结果的合适消息，并经由与数据处理结构120相关的至少一个通 信装置130将该消息发送到客户优选的远程通信设备30上。
如果认证处理成功，则由系统100记录支付140，并且更新客户40 的虚拟钱包卯，以计入支付140并准确地反映客户40通过系统100可用 的资金。
充实他们的虚拟钱包卯的后启动资金过户(图12示出该处理的优选 实现)、或余额查询(图13示出该处理的优选实现)或其它的交易类型通 常也是可以进行的'每种交易通常都要使用授权系统20进^ti人证处理， 该处理包括由系统100联系客户以及J^i信息的请求。
在本说明书和权利要求书中(如果有的话)，词语"包括(comprising)" 以及其派生词(comprises和comprise)包含了每个声明的整体，但并不 排除包含一个或多个其它的整体。
在本说明书中，提到"一个实施例"或"实施例"时意味着与所述实 施例有关的特定特征、结构或特征包含在本发明的至少一个实施例中。因 此，在本说明书的不同地方所出现的词语"在一个实施例中"或"在实施 例中"不一定都是指同一个实施例。所以，所述特定特征、结构或特征可 以以任何合适的方式结合在一个或多个组合中。
前面的讨论只是对本发明的原理的举例说明。此外，由于对本领域中 的技术人员来说很容易进行各种修改和改变，所以，不希望将本发明限制 到所示出和说明的确切构造和操作中，因此，在本发明的范围内，可以采 取所有适当的修改和等同物。
权利要求
1. 一种交易授权系统，用于允许客户对涉及与机构相关的至少一个客户账户的交易进行授权，所述系统包括数据存储装置，用于使得能够访问(a)与所述客户相关的识别数据；(b)与所述客户的远程通信设备(RCD)相关的识别数据；以及(c)将所述至少一个客户账户与(a)和(b)之一或两者关联起来的安全标识符数据；第一通信装置，用于使得能够经由所述RCD与所述客户进行通信以对所述至少一个客户账户上的交易进行授权；数据处理结构，包括数据处理装置，用于使用(a)来识别所述客户、使用(b)来识别所述RCD、并确定所述交易是否由所述客户进行了授权；以及第二通信装置，用于接收与所述交易相关的授权请求，并向所述机构提供有关所述交易是否得到所述客户授权的指示，其中，所接收的授权请求和提供给所述机构的所述指示都涉及到所述安全标识符数据。
2. 根据权利要求l所述的交易授权系统，其中，所述安全标识符数 据未传送给所it^户。
3. 根据权利要求2所述的交易授权系统，其中，所述安全标识符数 据与所i^户的特征或涉及所i^户的个人信息不相同，也不能从中推导 出来。
4. 根据权利要求1到3中任一个所述的交易授权系统，其中，所述 第一通信装置使得能够利用与用来进行所述交易的通信媒介不同的通信 :^介经由所述RCD与所i^户进行通信。
5. 根据权利要求1到4中任一个所述的交易授权系统，其中，所述 第一通信装置使得能够利用两个或更多个通信会话经由所述RCD与所述 客户进行通信。
6. 根据权利要求l到5中任一个所述的交易授权系统，其中，U) 包括PIN、密码、通行短语或生物测定学数据中的一个或多个。
7. 根据权利要求1到6中任一个所述的交易授权系统，其中，(b) 包括电话号码、国际移动设备身份(IMEI)、网际协议(IP)地址或媒体 访问控制(MAC)地址中的一个或多个。
8. 根据权利要求1到7中任一个所述的交易授权系统，其中，所述 第 一通信装置包括交互语音应答(IVR)系统。
9. 根据权利要求l到8中任一个所述的交易授权系统，其中，所述 数据存储装置还使得能够访问RCD联系信息，所述RCD联系信息由所 述第一通信装置用于使得能够经由所述RCD与所述客户进行通信。
10. —种用于允许客户对与机构处保持的至少一个客户账户相关的交 易进行授权的方法，所述方法包括步骤a授权服务器从所述机构接收与在所述至少一个客户账户上的交易 相关的授权请求；b) 所述授权服务器经由所述客户的远程通信设备(RCD)与所述客户进行通信以对所述交易进行授权；c) 所述授权服务器使用所述授权服务器能够访问的、与所述客户相 关的识别数据来识别所述客户；d) 所述授权服务器使用所述授权服务器能够访问的、与所述RCD 相关的所存储识别数据来识别所述RCD;e) 所述授权服务器确定所述交易是否得到所述客户的授权；f) 所述授权服务器向所述机构传送有关所述交易是否得到所述客户 授权的指示，其中，所述机构和所述认证服务器使由所述授权服务器接收到的授权 请求以及提供给所述机构的所述指示涉及到安全标识符数据，所述安全标 识符数据用于使所述至少 一个客户账户与所存储的与所述客户相关的识 别数据和所存储的与所述RCD相关的识别数据之一或两者相关联。
11. 根据权利要求10所述的交易授权方法，其中，所述安全标识符数据未传送给所牲户。
12. 根据权利要求10或11所述的交易授权方法，其中，所述安全标 识符数据与所述客户的特征或涉及所述客户的个人信息不相同，也不能从 中推导出来。
13. 根据权利要求10到12中任一个所述的交易授权方法，其中，经 由所述RCD与所^户进行的通信利用与用来进行所述交易的通信媒介 不同的通信媒介。
14. 根据权利要求10到13中任一个所述的交易授权方法，其中，经 由所述RCD与所^户进行的通信利用两个或更多个通信务活。
15. 根据权利要求10到14中任一个所述的交易授权方法，其中，所 存储的与所^户相关的识别数据包括PIN、密码、通行短语或生物测定 学翁:据中的一个或多个。
16. 根据权利要求10到15中任一个所述的交易授权方法，其中，所 存储的与所述RCD相关的识别数据包括电话号码、国际移动设备身份(IMEI)、网际协议(IP)地址、或媒体访问控制(MAC)地址中的一 个或多个。
17. 根据权利要求10到16中任一个所述的交易授权方法，其中，经 由所述RCD与所i^户进行的通信包括交互语音应答(IVR)系统的使 用。
18. 根据权利要求10到17中任一个所述的交易授权方法，其中，使 用所存储的RCD联系信息，使得能够进行经由所述RCD与所^户的 通信。
19. 一种远程支付系统，允许客户以安全的方式远程与所述系统的成 员办理货物和服务的支付，所述远程支付系统包括i) 数据存储装置，包含与系统的多个客户中的每一个客户以及多个 成员中的每一个成员相关的可更新数据，其中，每个客户具有至少一个带 有相关的货币储备的相关注册简档；ii) 翁:据处理结构，包括数据处理装置以及用于清偿所述系统的成员 和客户之间的债务的清算系统，iii) 与所述数据处理结构相关的通信装置，用于经由每一个所^户 的远程通信设备(RCD)与所i^户进行通信，所述系统被配置为使一个或多个所i^户根据一个或多个所述成员 所发出的支付请求来办理货物或服务的支付，所述支付请求触发从所述通 信装置到相关客户的RCD的通信事件，以便mit所i^户的身份以及访 问各自的注册简档，所述系统还用来验证所述客户的身份，并且一_94^了身份，就在所述货币储备中剩有正的余额的情况下允许所^户进行支 付。
20. —种远程支付方法，允许客户以安全的方式远程与远程支付系统 的成员办理货物和服务的支付，所述远程支付系统包括i) 数据存储装置，包含与系统的多个客户中的每一个客户以及多个 成员中的每一个成员相关的可更新数据，其中，每个客户具有至少一个带 有相关的货币储备的相关注册简档；ii) 数据处理结构，包括数据处理装置以及用于清偿所述系统的成员 和客户之间的债务的清算系统，m)与所述数据处理结构相关的通信装置，用于经由每一个所述客户的远程通信i殳备(RCD)与所^j:户进行通信，其中，所i^户使用所述系统根据一个或多个所述成员所发出的支付 请求来办理货物或服务的支付，所述支付请求触发从至少一个所述通信装置到相关客户的RCD的通信事件，以使JHi所i^户的身份以及访问各 自的注册简档，并且一，证了所述客户的身份，就在所述货币储备中剩 有正的余额的情况下允许所^户进行支付。
21. —种远程支付系统，允许客户以安全的方式远程与所述系统的成 员办理货物和服务的支付，所述远程支付系统包括根据权利要求1到9 中任一个所述的交易授权系统。
22. 根据权利要求1到9中任一个所述的交易授权系统，用于认证信 用卡交易的环境。
23. 根据参考附图中所示发明的任何一个实施例所描述的交易授权系统。
24. 才艮据参考附图中所示发明的任何一个实施例所描述的用于允许客 户对交易进行授权的方法。
25. 根据参考附图中所示发明的任何一个实施例所描述的远程支付系 统和方法。
全文摘要
一种交易授权系统(20)，用于允许客户(40)对涉及与机构(50)相关的至少一个客户(40)账户的交易进行授权，系统(20)包括数据存储装置(24)，该数据存储装置使得能够访问与客户(40)以及与客户(40)的远程通信设备(RCD)(30)相关的识别数据、以及将客户(40)账户与识别数据相关联的安全标识符数据。系统(20)也包括通信装置(26)，用于从机构(50)接收与交易相关的、涉及到安全标识符数据的授权请求，并用于使得能够经由RCD(30)与客户(40)进行通信以对客户(40)账户上的交易进行授权。系统(20)的数据处理装置(22)使用识别数据来识别客户(40)和RCD(30)并确定交易是否由客户(40)进行了授权。通信装置(26)向机构(50)提供交易是否得到客户(40)授权的指示，其中，指示涉及到安全标识符数据。
文档编号G06Q20/00GK101523428SQ200780036806
公开日2009年9月2日 申请日期2007年8月1日 优先权日2006年8月1日
发明者格雷格·沃尔特 申请人:Q佩控股有限公司