專利名稱:電子錢包間安全操作的電子錢包系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及在諸如互聯(lián)網(wǎng)的網(wǎng)絡(luò)上進行電子商務(wù)交易的電子錢包,更具體地說,本發(fā)明涉及一種新電子錢包結(jié)構(gòu)與在電子錢包之間轉(zhuǎn)移代用幣(電子貨幣單位)的方法。
與本申請同一日(2000年3月7日)提交的、同一申請人申請的標題為“電子錢包系統(tǒng)”的另一個第00400606.0號歐洲專利申請披露了一種具有客戶機/服務(wù)器結(jié)構(gòu)并包括多個電子錢包的電子錢包系統(tǒng)。關(guān)于客戶機/服務(wù)器結(jié)構(gòu)電子錢包系統(tǒng)的專利申請對諸如機項盒(STB)的設(shè)備進行了披露并且該系統(tǒng)使得電子錢包間的操作安全。
本發(fā)明提供一種在電子錢包系統(tǒng)中可以保證電子錢包間操作安全的替換解決方案。
本發(fā)明涉及一種電子錢包系統(tǒng),該系統(tǒng)包括n個可以在網(wǎng)絡(luò)上進行電子商務(wù)交易并含有智能卡閱讀器的設(shè)備,其中n大于或等于1,并且代表電子錢包的多個智能卡可以存儲電子貨幣。這些設(shè)備通過局域網(wǎng)互聯(lián),并且其中一個設(shè)備包括稱為服務(wù)器的實體,該實體包括數(shù)據(jù)條目列表,各數(shù)據(jù)條目對應(yīng)于應(yīng)從系統(tǒng)內(nèi)其它電子錢包接收包含在代用幣內(nèi)的電子貨幣的電子錢包。當代用幣在電子錢包之間轉(zhuǎn)移時,服務(wù)器臨時存儲代用幣。根據(jù)本發(fā)明,在代用幣轉(zhuǎn)移操作期間,利用只存儲在智能卡內(nèi)的密鑰對在設(shè)備和/或智能卡之間交換的消息進行保護。
本發(fā)明進一步涉及在這種電子錢包系統(tǒng)中注冊電子錢包的過程,如本說明書A-2部分所述。
本發(fā)明還涉及在這種電子錢包系統(tǒng)中將代用幣從第一個電子錢包存放到第二個電子錢包的過程,如本說明書A-3部分所述,并且本發(fā)明還涉及在電子錢包中接收代用幣的方法,如本說明書A-4部分所述。
此外,本發(fā)明還涉及代用幣恢復(fù)過程,代用幣恢復(fù)過程將在以下本說明書的A-3部分所述的代用幣存儲過程存儲到一個電子錢包,但還未在以下本說明書的A-4部分所述的代用幣接收過程被所述電子錢包收到的代用幣恢復(fù)。在本說明書的B部分說明此丟失代用幣的恢復(fù)過程。
此外,本發(fā)明還涉及電子錢包系統(tǒng),在此系統(tǒng)中,系統(tǒng)的各智能卡進一步含有網(wǎng)絡(luò)上的服務(wù)器地址,并且在此系統(tǒng)中,利用與網(wǎng)絡(luò)連接的遠程電子錢包系統(tǒng),各設(shè)備均可以進行在本說明書的C-1部分所述的遠程代用幣的存儲過程,和/或本說明書的C-2部分所述的遠程代用幣的接收過程。
現(xiàn)在,參考
本發(fā)明的各種特征和優(yōu)點及其優(yōu)選實施例,對于本發(fā)明范圍,附圖僅具有說明性而不具有限制性。
圖1示出根據(jù)本發(fā)明的電子錢包系統(tǒng)的一般結(jié)構(gòu);圖2示出根據(jù)本發(fā)明的電子錢包系統(tǒng)的硬件結(jié)構(gòu)實例;圖3示出存儲在電子錢包系統(tǒng)的一個稱為服務(wù)器的實體內(nèi)的一些數(shù)據(jù);圖4示出在代用幣從電子錢包系統(tǒng)的一個電子錢包轉(zhuǎn)移到另一個電子錢包的過程中包含的第一處理過程;圖5示出在代用幣從電子錢包系統(tǒng)的一個電子錢包轉(zhuǎn)移到另一個電子錢包的過程中包含的第二處理過程;圖6示出將一個電子錢包注冊到電子錢包系統(tǒng)服務(wù)器中的注冊過程;圖7示出將代用幣從一個電子錢包轉(zhuǎn)移到另一個電子錢包并附加安全特征的第一處理過程;圖8示出將代用幣從一個電子錢包轉(zhuǎn)移到另一個電子錢包并附加安全特征的第二處理過程;圖9示出說明丟失代用幣恢復(fù)過程的實例;圖10描述丟失代用幣的恢復(fù)過程;圖11示出電子錢包系統(tǒng)通過網(wǎng)絡(luò)的互聯(lián)情況;圖12和圖13示出在電子錢包系統(tǒng)通過圖11所示的網(wǎng)絡(luò)互聯(lián)情況下將代用幣從一個電子錢包轉(zhuǎn)移到另一個電子錢包的遠程處理過程。
圖1示出與家庭系統(tǒng)配置相一致的根據(jù)本發(fā)明的局域電子錢包系統(tǒng)的一般結(jié)構(gòu)。
正如從圖1中所看到的那樣,電子錢包系統(tǒng)具有三個實體-第一實體,連接到網(wǎng)絡(luò)40(例如互聯(lián)網(wǎng)),被稱為服務(wù)器。此實體負責電子錢包間的操作,以下將作更詳細的說明;-一組k個第二實體21至2k,也連接到網(wǎng)絡(luò)40(例如互聯(lián)網(wǎng)),被稱為客戶機。此外,每個客戶機還通過局域家庭網(wǎng)絡(luò)連接到服務(wù)器;-一組p個智能卡31至3p,為實現(xiàn)電子錢包的第三實體(其中p為家庭中的人數(shù))。因此,每個家庭成員均持有其專用電子錢包,即智能卡。
利用這些不同的實體,各家庭成員就可以參與安全的電子商務(wù)活動。事實上,智能卡為用戶提供了一種安全有效地存儲所有個人敏感數(shù)據(jù)(例如專用密鑰、數(shù)字代用幣、驗證數(shù)據(jù)等)的方式。
圖2示出此結(jié)構(gòu)的硬件實現(xiàn)實例。在優(yōu)選實施例中,利用在諸如機頂盒、計算機、游戲臺、移動電話或任何其它家用電器的設(shè)備中運行的軟件應(yīng)用程序,可以實現(xiàn)實體“服務(wù)器”和“客戶機”。
在圖2所示的實例中,第一機頂盒10含有服務(wù)器應(yīng)用程序101和一個客戶機1應(yīng)用程序121。例如,第一機頂盒位于家庭住宅的起居室。位于住宅另一個房間的第二機頂盒含有另一個客戶機2應(yīng)用程序122,例如,位于小孩臥室的兩個其它設(shè)備,游戲臺12和計算機13分別含有客戶機3應(yīng)用程序123和客戶機4應(yīng)用程序124。這些設(shè)備均設(shè)置了智能卡閱讀器130至智能卡閱讀器133并均被連接到家庭網(wǎng)絡(luò)250,家庭網(wǎng)絡(luò)250可以是IEEE1394有線網(wǎng)絡(luò)也可以是無線網(wǎng)絡(luò)。此家庭網(wǎng)絡(luò)250為所有設(shè)備10至13提供到網(wǎng)絡(luò)的連接。
所有應(yīng)用程序101、121至124均利用設(shè)備的某些資源來訪問智能卡130至智能卡133并訪問局域網(wǎng)絡(luò)和/或網(wǎng)絡(luò)。
為了簡化更多的討論,除了被稱為“服務(wù)器”的裝置也含有客戶機應(yīng)用程序之外,以下所使用的術(shù)語“服務(wù)器”和“客戶機”既可以指應(yīng)用程序本身也可以指含有應(yīng)用程序的設(shè)備。因此,當用戶想進行電子理財時(電子商務(wù)、代用幣購買、電子錢包到電子錢包的代用幣轉(zhuǎn)移等),他必須將其智能卡插入客戶機的智能卡閱讀器(在此,指設(shè)備),在客戶機中含有進行所有這些活動(大額支付協(xié)議,小額支付協(xié)議等)所需的一切軟件。
請注意,服務(wù)器還可以進行電子理財和電子業(yè)務(wù)管理,因為服務(wù)器還含有客戶機并且在極端的解決方案中,電子錢包系統(tǒng)僅含有一個具有服務(wù)器應(yīng)用程序和一個服務(wù)器應(yīng)用程序的設(shè)備。
現(xiàn)在我們將解釋電子錢包之間的操作過程。
與傳統(tǒng)理財過程(電子商務(wù)、代用幣購買、等)不同,電子錢包之間的操作需要服務(wù)器的參與。在電子錢包之間進行這些操作所需的必需信息集中在通過局域家庭網(wǎng)絡(luò)(圖2中的250)與所有客戶機相連的服務(wù)器。
在電子錢包之間轉(zhuǎn)移代用幣需要進行兩個步驟代用幣保存和代用幣接收。在進行代用幣保存操作期間,用戶A從任何一個客戶機為家庭成員B預(yù)定保存x代用幣。x代用幣從用戶A的電子錢包借記并臨時存儲到服務(wù)器。下一次,當用戶B將其電子錢包插入任何一個客戶機時,調(diào)用代用幣接收操作從服務(wù)器下載x代用幣。這樣,利用服務(wù)器可以將代用幣從用戶A的電子錢包轉(zhuǎn)移到用戶B的電子錢包。
結(jié)果,服務(wù)器含有所有可以從其它電子錢包接收代用幣的注冊電子錢包列表,。注冊電子錢包用于臨時存儲預(yù)定到電子錢包所有者的代用幣列表。
圖3示出位于服務(wù)器上的這些內(nèi)部數(shù)據(jù)的實例。在圖3中,將被表示為PA、PB和PD的三個電子錢包注冊到服務(wù)器。對于電子錢包PA,沒有存儲代用幣意味著電子錢包PA沒有從另一個電子錢包接收任何代用幣。對于PB,由(10,PA)表示的代用幣T1表明電子錢包PB從電子錢包PA收到10$(或10歐元,或在電子錢包系統(tǒng)中使用的任何10個貨幣單位)。在下一次使用PB時,此代用幣還將被轉(zhuǎn)移到電子錢包PB。對于電子錢包PD,在下一次使用PD時,將代用幣T2(從電子錢包PA接收的20個貨幣單位)和代用幣T3(從電子錢包PB接收的1個貨幣單位)轉(zhuǎn)移到電子錢包PD。
因此,必須考慮代用幣存入和代用幣接收操作之外的第三個操作過程,即電子錢包注冊過程。此操作過程包括將電子錢包注冊到服務(wù)器。請注意,只有希望從家庭的其它電子錢包持有人那里接收代用幣的用戶必須將其電子錢包進行注冊。
現(xiàn)在根據(jù)圖4說明被稱為代用幣保存處理過程的第一操作過程。
當擁有電子錢包PA的用戶A要求向另一個電子錢包轉(zhuǎn)移代用幣時,用戶A首先將其對應(yīng)于電子錢包PA的智能卡插入客戶機并通過客戶機的用戶接口選擇用于向另一個電子錢包轉(zhuǎn)移代用幣的應(yīng)用程序。然后,用戶A所連接的客戶機(這意味著,在其上插入了代表電子錢包PA的智能卡)向服務(wù)器發(fā)送請求(在圖4所示的步驟50發(fā)送消息“getPurseList”),服務(wù)器以“ListPurses(m,P/Dl,…,P/Dm)”消息的形式將具有注冊電子錢包列表的響應(yīng)送回(指定哪個可以接收代用幣)(步驟51),其中“m”表示注冊電子錢包數(shù)而“P/Dl,…,P/Dm”代表注冊電子錢包列表內(nèi)的不同電子錢包的標識符。一旦客戶機收到此列表,它向用戶A顯示誰可以選擇代用幣轉(zhuǎn)移的接收者PB以及將轉(zhuǎn)移的數(shù)量。
接著,客戶機將消息“Deposit(amount,purse_recipient,purse_sender)”發(fā)送到服務(wù)器(步驟52),其中“amount”表示轉(zhuǎn)移的貨幣單位數(shù)量,“purse recipient”為接收者的電子錢包標識符(在此,它表示PIDB),“purse sender”為涉及代用幣發(fā)送者的信息。方便地是,此信息可以是發(fā)送者的電子錢包標識符PIDA或用戶A的姓名。當服務(wù)器收到此消息時,服務(wù)器就將代用幣Ti=(amount,PA)添加到在對應(yīng)于電子錢包PB的條目存儲的代用幣列表內(nèi)。在本發(fā)明的簡化實施例中,可以將“purse sender”信息從“Deposit()”消息中刪除。在這種情況下,存儲在服務(wù)器內(nèi)的代用幣僅含有“amount”信息。
現(xiàn)在將參考圖5說明稱為代用幣接收處理過程的第二操作過程。
用戶B每次將其代表電子錢包PB的智能卡插入客戶機時都完成此處理過程,并且此處理過程用于訪問服務(wù)器以下載在服務(wù)器內(nèi)對應(yīng)于電子錢包PB的條目內(nèi)存儲的代用幣。
只要在對應(yīng)于電子錢包PB的服務(wù)器條目內(nèi)存儲有剩余代用幣,則在步驟60、61、60’、61’交換下列兩條消息。
利用作為電子錢包標識符的“purse id”(在此為PIDB),客戶機將第一條消息“GetNextToken(purse_id)”發(fā)送到服務(wù)器(步驟60、60’)。收到此消息后,服務(wù)器將附加在purse_id條目的列表的第一代用幣拷貝并刪除此代用幣。然后,服務(wù)器將第二消息“Token(pursw_id,amount)”發(fā)送到客戶機(步驟61、61’),其中“purse_id”為電子錢包標識符(在此為PIDB),“amount”指出將轉(zhuǎn)移的金額。當客戶機接收此第二條消息時,它就將所指出的金額貸記到電子錢包PB。
A-安全問題在利用本發(fā)明的電子錢包系統(tǒng)進行電子商務(wù)活動以及電子錢包之間的操作之前,用戶必須確保系統(tǒng)不會被容易地攻擊,并且,為此目的,建議提供了足夠安全級別的解決方案。
我們首先說明涉及由電子錢包系統(tǒng)進行的電子錢包間操作過程的安全要求。然后,根據(jù)這些安全要求,說明能夠確保電子錢包系統(tǒng)具有足夠安全級別的本發(fā)明安全解決方案。
以下列出對電子錢包系統(tǒng)的主要威脅●在服務(wù)器注冊的電子錢包屬于家庭之外的人;●貨幣是非法臆造的;●在電子錢包間操作期間,常常丟失代用幣;●為用戶預(yù)定的代用幣被家庭內(nèi)部或外部的另一個用戶偷竊。
因此,本發(fā)明建議的安全解決方案可以減少這些威脅并滿足以下安全要求●只有屬于家庭成員的電子錢包可以注冊到服務(wù)器(當然,此要求并不是嚴格限制到實際的家庭成員也可以擴展到“認為”是家庭成員的人。);●防止臆造的貨幣;●應(yīng)能檢測并恢復(fù)在電子錢包間的操作過程中丟失的代用幣。
●應(yīng)將代用幣轉(zhuǎn)移到指定的人。
1.配置每個家庭均持有一組被家庭成員持有的電子錢包共享的密鑰SK、SKA、SKT和SKP(在下表1中對這些縮寫進行解釋)。在它們進行轉(zhuǎn)移之前,這些密鑰被隱藏在電子錢包(即智能卡)內(nèi)并且只有電子錢包的制造商知道這些密鑰。
以下我們假設(shè)一個家庭有p個電子錢包(即p個智能卡)并且有m個電子錢包注冊到電子錢包系統(tǒng)服務(wù)器(其中m≤p)。
根據(jù)本發(fā)明,用于保證電子錢包系統(tǒng)的電子錢包間操作安全的所有密鑰僅被存儲到智能卡,即電子錢包系統(tǒng)的電子錢包。
每個電子錢包Pi(即每個智能卡SCardl至SCardp)含有如下表1中所列的信息(其中l(wèi)≤i≤p)
表1服務(wù)器含有條目列表。各條目代表其電子錢包標識符為PIDi(其中l(wèi)≤i≤m)的注冊電子錢包。條目含有如下表2中所列的信息
表2請注意,在本說明書中,符號Sk(M)用于指定“M‖Sign(K,M)”,其中“Sign(K,M)”為使用密鑰K的消息M的簽名或MAC(MAC代表“消息驗證代碼”,欲知更詳細情況請參考《Handbook of appliedcryptography,Alfred J.Menezes,Paul C.van Oorschot,Scott A.Vanstone,1997,第325頁》),其中“‖”代表并置算符。
2.電子錢包的注冊過程如上所述,為了從其它電子錢包接收代用幣,電子錢包必須注冊到負責電子錢包間操作的服務(wù)器。
因此,在用戶B(例如兒童)從用戶A(例如他/她的父母親)接收代用幣之前,必須將用戶B的電子錢包注冊到服務(wù)器。
在本發(fā)明的優(yōu)選實施例中,注冊步驟能確保只有家庭成員可以將他們的電子錢包注冊到服務(wù)器。當然,這并不嚴格限制為實際家庭成員,注冊電子錢包也可以擴展到被“認為”是家庭成員的人。
因此,建議一個指定的家庭成員具有將全部家庭成員的電子錢包進行注冊的根權(quán)利。不同于其它家庭成員,只許可此優(yōu)先權(quán)用戶(以下被稱為根用戶)可以完成此注冊步驟。在電子錢包系統(tǒng)中,根用戶被認為是“第三信托方”,“第三信托方”將確保所有注冊電子錢包均屬于家庭成員。
為了實現(xiàn)此功能,除了提供電子錢包系統(tǒng)的其它實體之外,電子錢包系統(tǒng)制造商還提供專用智能卡,該智能卡的PIN(個人識別碼)具有管理權(quán)(“根”權(quán))。以下將此專用智能卡簡稱“根卡”。將“rootPIN”存儲到根卡以提供一種驗證試圖進行注冊步驟的用戶是否為根用戶的方法。此外,在優(yōu)選實施例中,執(zhí)行此注冊步驟的軟件只優(yōu)先存儲到服務(wù)器并且始終在服務(wù)器上進行此注冊步驟。
在另一個實施例中,此根卡可以是一個電子錢包系統(tǒng)的電子錢包。
現(xiàn)在我們將參考圖6更確切地說明如何根據(jù)優(yōu)選實施例完成此注冊步驟的。我們假設(shè)用戶X為根用戶。當X想進行注冊過程時,X首先將根卡插入服務(wù)器。然后,為了進入注冊過程,他輸入rootPIN來證實他確實就是根用戶。
服務(wù)器以消息“register(rootPIN)”的形式將輸入的rootPIN送到智能卡(根卡)(步驟70)。然后,根卡驗證所接收的rootPIN是否與根卡內(nèi)存儲的rootPIN相符。
使用rootPIN可以確保只有被指定的人有權(quán)注冊家庭電子錢包。這樣可以確保只有屬于家庭成員的電子錢包可以注冊到服務(wù)器。
因此,如果驗證確實是,則根用戶就可以取出根卡并將代表希望注冊到服務(wù)器的電子錢包(例如屬于用戶B的電子錢包PB)的智能卡插入。
代表PB的智能卡創(chuàng)建標記標識符SSKA(PIDB)和標記交易標識符SSKT(PIDB,TransIDBS),其中利用存儲在PB內(nèi)的TransIDBP將TransIDBS初始化。請注意,在系統(tǒng)安裝時,將TransIDBS初始化為0。
SSKA(PIDB)防止電子錢包標識符PIDB在傳輸期間或在存儲到服務(wù)器時被改變。
SSKT(PIDB,TransIDBS)用于將為電子錢包PB保存的代用幣的交易標識符TransIDBS初始化。TransIDBS與PIDB有關(guān)并利用密鑰SKT對TransIDBS進行標記。這樣可以防止TransIDBS在傳輸期間或在被存儲到服務(wù)器時被改變。
智能卡以消息“RegInfo”的形式將此信息發(fā)送到服務(wù)器(步驟71)。然后,服務(wù)器為電子錢包PB創(chuàng)建條目并將包含在RegInfo內(nèi)的信息存儲到此條目。
對將要注冊的m個電子錢包內(nèi)的每個電子錢包重復(fù)這些步驟。
請注意,改變在服務(wù)器的一個條目內(nèi)存儲的PIDB或TransIDBS將導(dǎo)致代用幣被其所預(yù)定的電子錢包所拒絕,因此,會導(dǎo)致丟失這些代用幣。
此外,在最初系統(tǒng)安裝時優(yōu)先進行此注冊過程。還請注意,在由于技術(shù)故障或破壞性攻擊使服務(wù)器丟失注冊電子錢包信息的情況下,應(yīng)經(jīng)過同樣過程重新注冊電子錢包。
在注冊過程的變換實施例中,根卡含有電子錢包系統(tǒng)的所有電子錢包的電子錢包標識符PIDi以及密鑰SKA和SKT。在此特定實施例中,在系統(tǒng)安裝時進行注冊過程并且無需插入代表服務(wù)器內(nèi)電子錢包系統(tǒng)的電子錢包的所有智能卡。在步驟71對每個注冊電子錢包發(fā)送的RegInfo消息均是由根卡利用含有被初始化為0的標記交易標識符信息建立的。因此,例如對于電子錢包PB,RefInfo含有RegInfo=SSKA(PIDB),SSKT(PIDB,O).
此變換注冊過程只可以在系統(tǒng)安裝時使用,并且當再一次注冊一個電子錢包時(例如,當服務(wù)器丟失注冊此電子錢包的信息時)仍可以使用以上根據(jù)優(yōu)選實施例說明的過程。
3.代用幣保存過程圖4示出代用幣保存過程的一般原理?,F(xiàn)在將說明在第一處理過程使用的改進的安全協(xié)議,并將此改進的安全協(xié)議示于圖7。
假設(shè)具有電子錢包PA的用戶A想為另一個電子錢包PB保存一些代用幣。用戶A首先將代表電子錢包PA的智能卡插入客戶機并在客戶機上選擇代用幣保存應(yīng)用程序。然后,在步驟150,客戶機將消息“getPurseList”送到服務(wù)器請求已注冊電子錢包的列表。
收到此消息后,在步驟151,服務(wù)器將消息“PIDl,…,PIDm”內(nèi)的已注冊電子錢包的標識符列表送回客戶機??蛻魴C向用戶出示此列表,然后用戶選擇接收者電子錢包標識符PIDB。
此后,在步驟152,客戶機將消息“getPurseInfo(PIDB)”送到服務(wù)器請求某些有關(guān)已選擇的接收者電子錢包的信息。接著,服務(wù)器產(chǎn)生含有在服務(wù)器上對應(yīng)于PIDB的條目內(nèi)存儲的局域數(shù)據(jù)的“PurseInfo”消息?!癙urseInfo”消息含有標記的電子錢包標識符SSKT(PIDB)和標記的交易標識符SSKT(PIDB,TransIDSB),并在步驟153,將“PurseInfo”消息送到客戶機。利用簽名SSKA和SSKT,在傳輸期間PIDB和TransIDSB就不會被改變。
TransIDSB是逐漸增加的整數(shù),并以服務(wù)器局域數(shù)據(jù)的形式存儲到對應(yīng)于已注冊電子錢包PB的條目內(nèi)。它記憶從電子錢包PB注冊后對電子錢包PB保存的代用幣數(shù)。保存的代用幣數(shù)被臨時存儲到服務(wù)器并在下一次使用電子錢包PB時通過“代用幣接收”過程將保存的代用幣數(shù)據(jù)傳送到電子錢包PB。如上所述,將交易標識符TransIDBS初始化為在注冊階段存儲到電子錢包的電子錢包交易標識符TransIDBP的值(在系統(tǒng)安裝時該值為0)。然后,當對電子錢包PB將代用幣保存到服務(wù)器時,它就遞增。
當客戶機接收“PurseInfo”消息時,在步驟154,它就將消息“debitToken(N,PurseInfo)”發(fā)送到代表電子錢包PA的智能卡(將智能卡插入客戶機)。此消息待發(fā)送到電子錢包PB的N個貨幣單位款項借記到電子錢包PA。
收到“debitTokens(N,PurseInfo”消息后,智能卡(對應(yīng)于電子錢包PA)完成下列操作●智能卡利用密鑰SKA校驗電子錢包標識符PIDB的簽名;●智能卡利用密鑰SKT校驗交易標識符TransIDBS的簽名;●如果這些驗證正確,則智能卡產(chǎn)生隨機數(shù)C;●智能卡將電子錢包PA的計數(shù)器遞減N個貨幣單位;●智能卡產(chǎn)生標記代用幣“SSK(N,PIDB,TransIDBS,PIDA,C)”,該標記代用幣意味著將電子錢包PA中的N個貨幣單位預(yù)定給電子錢包PB;●智能卡遞增接收的交易標識符TransIDBS并產(chǎn)生簽字的遞增交易標識符“SSKT(TransIDBS++)”;以及●在步驟155,智能卡以消息“TokenInfo”的形式將簽字的代用幣和簽字的遞增交易標識符送到客戶機。
由于代用幣被家庭內(nèi)電子錢包所共享的密鑰SK簽字,所以攻擊者不可能偽造或改變代用幣。此外,由于PIDB包含在代用幣表示中,所以攻擊者不可能偷竊預(yù)定給另一個家庭成員代用幣。將交易標識符TransIDBS引入代用幣以防止重復(fù)攻擊并且包含在代用幣內(nèi)的隨機數(shù)C對通過分析輸出的密碼文本解密智能卡密鑰SK的攻擊進行計數(shù)。
此外,在另一個簡化實施例中可以省去在代用幣內(nèi)包含的信息PIDA。
當客戶機接收“TokenInfo”消息時,它就在步驟156以命令消息“putTokens(TokenInfo)”的形式將此消息轉(zhuǎn)發(fā)到服務(wù)器。收到此命令后,服務(wù)器將相應(yīng)代用幣存儲到電子錢包PB的條目內(nèi),服務(wù)器遞增Index并用以TokenInfo消息形式接收的遞增交易標識符更新標記交易標識符TransIDBS。
4.代用幣接收過程已參考圖5說明了代用幣接收過程的基本原理。我們現(xiàn)在說明在電子錢包間操作的第二處理過程中使用的改進保密協(xié)議,并將該協(xié)議示于圖8。
每次進行此處理過程時,用戶均將他/她的智能卡,即電子錢包插入客戶機。在此,假設(shè)用戶具有標識符為PIDB的電子錢包PB。
對于客戶機,第一步驟160在于將消息“getPID”發(fā)送到智能卡以請求電子錢包標識符。通過在步驟161將電子錢包標識符PIDa發(fā)送到客戶機,智能卡響應(yīng)此請求。然后,客戶機將消息“GetNextToken(PIDB)”發(fā)送到服務(wù)器(在步驟162)以取出在服務(wù)器上存儲的下一個代用幣。
收到此消息后,服務(wù)器校驗代用幣是否被存儲到對應(yīng)于電子錢包PIDB的條目。如果沒有為電子錢包PIDB保存代用幣,則服務(wù)器將“-1”發(fā)送到客戶機(在步驟163)。否則●服務(wù)器取出在對應(yīng)于PB的條目中存儲的第一個代用幣(事實上是標記代用幣“Tl=SSK(N,PIDB,TransIDBS,PIDA,C)”);●服務(wù)器遞減條目PB的IndexB,IndexB指出仍然保留在服務(wù)器條目PB上的代用幣數(shù);以及
●在步驟163,服務(wù)器將IndexB和代用幣發(fā)送到客戶機。
如果在步驟163客戶機未收到“-1”,則它就以在步驟164發(fā)送的命令消息“CreditToken(Token)”的形式將代用幣轉(zhuǎn)發(fā)到電子錢包PB。
當電子錢包PB通過creditToken命令收到代用幣時,通過驗證是否滿足下列條件,它就對代用幣的有效性進行校驗●VSK(SSK(N,PIDB,TransIDBS,PIDA,C))==N,PID,TransIDBS,PIDA;C(驗證接收的代用幣的簽名);以及●TransIDBS≥TransIDBP其中密鑰SK、電子錢包PID以及電子錢包校驗標識符TransIDBP由用戶電子錢包PB產(chǎn)生;其中從接收的代用幣復(fù)制詢問C、電子錢包發(fā)送器標識符PIDA、服務(wù)器交易標識符TransIDBS以及貨幣單位數(shù)N;以及,如果利用密鑰SK來標記消息M,則“VSK(SSK(M))=M”。
電子錢包交易標識符TransIDBP為存儲在電子錢包PB內(nèi)的逐漸增加的整數(shù)。它記憶從電子錢包PB接收的代用幣數(shù)據(jù)。從服務(wù)器下載這些代用幣。當電子錢包系統(tǒng)制造商注冊電子錢包時,將電子錢包記憶標識符初始化為0。收到代用幣后,電子錢包驗證TransIDBP是否等于或小于包含在代用幣內(nèi)的服務(wù)器交易標識符(TransIDBS)。如果此驗證與代用幣簽名的驗證均為正確,則電子錢包將其帳目數(shù)遞增N并將其交易標識符由TransIDBP更新為TransIDBS+1。利用此特征,相同的代用幣使用次數(shù)不會多于1次以貸記到電子錢包。
接著,如果(在步驟163接收的)Indexl大于0,則重復(fù)進行驗證之后的步驟162至步驟164和由電子錢包PB完成的上述處理。
B-丟失代用幣的恢復(fù)根據(jù)上述安全解決方案,可以確保只有家庭成員擁有的電子錢包可以注冊到電子錢包系統(tǒng)中。此外,在電子錢包間操作期間,代用幣永遠不會被偽造、改變、重復(fù)或偷竊。
此外,沒有能夠防止代用幣被丟失的解決方案。由于諸如局域網(wǎng)或電子錢包系統(tǒng)的機頂盒發(fā)生技術(shù)故障等某些偶然錯誤均會引起代用幣丟失。類似刪除存儲在服務(wù)器內(nèi)或傳輸中的代用幣等的破壞性攻擊也會導(dǎo)致代用幣丟失。
因此,在本發(fā)明的優(yōu)選實施例中,在電子錢包系統(tǒng)內(nèi)實現(xiàn)能夠識別并恢復(fù)丟失的代用幣的審計過程。
當且僅當從電子錢包PA或PB借記但又沒有貸記到電子錢包PD時,代用幣被定義為被丟失。這里我們用實例來說明PA和PB通過服務(wù)器1將代用幣發(fā)送到PD的處理過程,如圖9所示。
1.開始此處理過程當PD的持有人聲稱(錯誤地或正確地)他還未從電子錢包PA和PB收到代用幣時,就開始進行審計處理過程。另一個解決方案是周期性調(diào)用審計處理過程。
電子錢包系統(tǒng)的根用戶在局域進行審計處理過程。根用戶必須收集家庭成員的所有電子錢包(即代表家庭成員電子錢包的所有智能卡)。該處理過程由電子錢包系統(tǒng)的服務(wù)器完成。
在審計處理期間,為了恢復(fù)丟失的代用幣,將對存儲在所有電子錢包(PA、PB、PC)的“交易蹤跡”進行研究。
2.用于審計的交易蹤跡對于電子錢包PA和PB,它們存儲預(yù)定給電子錢包PD的“Tokendepositing”交易的蹤跡,被注解為DepositTraces(PX,PD)=<TransIDXD,sum_of_depositedXD>TransIDXD為電子錢包間的交易標識符,sum_of_depositedXD為電子錢包間保存計數(shù)。
換句話說,每次當電子錢包PX將含有N個貨幣單位的1個代用幣和服務(wù)器交易標識符TransIDDS保存到電子錢包PD時,TransIDXD被更新為TransIDDS并且將N加到sum_of_depositedXD。電子錢包間操作(代用幣保存過程和代用幣接收過程)的定義可以確保transIDXD保持逐漸遞增的順序。請注意,本例中X可以是A或B。
對于電子錢包PD,電子錢包PD存儲由電子錢包PA和PB發(fā)出的“代用幣接收”交易蹤跡,被注解為Receive Traces(PD)=sum_of_receivedD其中sum_of_receivedD為接收計數(shù)。
換句話說,每次當電子錢包PD恢復(fù)含有由電子錢包PX發(fā)送的N個貨幣單位的1個代用幣時,將N加到sum_of_receivedD。
3.根據(jù)交易蹤跡識別丟失的代用幣根據(jù)電子錢包間操作的定義,可以證明●始終保持∑Xsum_of_depositedXD≥sum_of_receivedD,意味著不可能進行代用幣偽造;●如果∑Xsum_of_depositedXD=sum_of_receivedD,則沒有代用幣被丟失;●如果∑Xsum_of_depositedXD>sum_of_receivedD,則某些代用幣被丟失。
給PD預(yù)定的代用幣的丟失量等于LostTokens(PD)=∑Xsum_of_depositedXD-sum_of_receivedD4.丟失代用幣的恢復(fù)為了恢復(fù)丟失的為PD(含有當前電子錢包交易標識符TransIDDS)預(yù)定的代用幣,應(yīng)完成4部操作●第一步,LostTokens(PD)貸記PD的帳目;●第二步,將電子錢包交易標識符更新為Max(TransIDDP,TransIDXD+1);●第三步,將sum_of_receivedD設(shè)置為0;●第四步,對于電子錢包PX,將sum_of_depositedXD設(shè)置為0,其中在本例中X可以為A或B。
請注意,第二步操作的目的在于防止下列攻擊PD持有人保持預(yù)定給他的代用幣并聲稱丟失了那些代用幣。如果PD的交易標識符未被更新,則通過“代用幣接收”操作,他可以恢復(fù)那些代用幣。此攻擊會導(dǎo)致制造貨幣。
5.保密審計過程圖10示出允許借助于在家庭成員電子錢包內(nèi)存儲的交易蹤跡恢復(fù)丟失的預(yù)定給電子錢包PD的代用幣的保密審計過程。
在第一步(圖10中未示出),正如在注冊過程一樣,根用戶必須將根卡插入服務(wù)器并在允許進行保密審計過程之前輸入根PIN。
然后,在第二部,根用戶將電子錢包PD插入在步驟180向電子錢包PD發(fā)送消息“getChallenge”請求電子錢包PD產(chǎn)生隨機數(shù)C的服務(wù)器。收到此消息后,電子錢包PD產(chǎn)生并存儲詢問C,然后在步驟181,電子錢包PD將C發(fā)送到服務(wù)器。此隨機數(shù)C被存儲到電子錢包PD和該服務(wù)器。利用C,在另一個審計過程執(zhí)行期間的一個過程的執(zhí)行期間就不可能重播消息。
然后,根用戶將家庭成員的所有其它電子錢包(本例中為PA和PB)插入。對于插入服務(wù)器的各電子錢包PX,服務(wù)器首先將消息“getDepositTraces(PID,C)”發(fā)送到電子錢包PX(圖10中所示的步驟182和步驟184)。根據(jù)此消息,利用存儲在電子錢包PX內(nèi)的“DepositTrace(PIDX,PIDD)”字段,電子錢包PX產(chǎn)生如下消息TraceXD=SSKR(TransIDXD,sum_of_depositedXD,PIDX,PIDD,C)在步驟183和步驟185將此消息發(fā)送到服務(wù)器。
然后,當電子錢包PX將TraceXD消息發(fā)送到服務(wù)器時,將存儲在PX內(nèi)的DepositTrace(PIDX,PIDD)的sum_of_depositedXD字段設(shè)置為0。
利用密鑰SKR,為電子錢包PD預(yù)定代用幣的電子錢包PX將TraceXD消息標記。因此,沒有人能夠偽造或改變此消息。SKR是在丟失代用幣的恢復(fù)過程中使用的密鑰。與其它密鑰相同,它也被電子錢包系統(tǒng)制造商存儲到代表電子錢包的智能卡并被家庭成員所共享。
隨機數(shù)C(在步驟182、步驟184以“getDepositTrace”消息的形式發(fā)送的由電子錢包PX接收)被引入TraceXD消息以對可能的重播攻擊進行計數(shù)(例如如下所述,重播recoverTokens消息)。
將服務(wù)器接收的所有TraceXD消息存儲到服務(wù)器內(nèi)與電子錢包PD對應(yīng)的條目。
然后,當根用戶成功將家庭成員的所有其它電子錢包引入服務(wù)器并去除時,他最終將電子錢包PD重新引入服務(wù)器。
接著,在步驟186,通過recoverTokens命令,將所有TraceXD消息發(fā)送到PD。
PD收到TraceXD消息后,則通過驗證是否滿足下列條件,對TraceXD的簽名進行校驗VSKR(SSKR(TraceIDXD,sum_of_depositedXD,PIDX,PIDD,C)==TransIDXD,sum_of_depositedXD,PIDX,PID,C;其中密鑰SKR,電子錢包標識符PID以及詢問C從電子錢包PD獲得;其中從接收的TraceIDXD消息拷貝TransIDXD、sum_of_depositedXD以及PIDX;以及其中如果利用密鑰SKR將消息M標記,則“VSKR(SSKR(m)))=M”。
然后,如果驗證正確,則利用電子錢包PD進行如下計算LostTokens(PD)=∑Xsum_of_depositedXD-sum_of_receivedD=sum_of_depositedAD+sum_of_depositedBD-sum_of_receivedD其中從在PD內(nèi)存儲的ReceiveTraces(PD)內(nèi)取sum_of_receivedD。
此計算的結(jié)果給出由于丟失代用幣而丟失的貨幣單位數(shù)N。此數(shù)N被貸記到PD帳目。
然后,正如上述第4點所說明的那樣,PD的交易標識符被更新TransIDDP=Max(TransIDDP,TranSIDAB+1,TransIDBD+1)
最后,將ReceiveTraces(PD)的sum_of_receivedD字段設(shè)置為0。
此外,請注意,在開始進行這里說明的保密審計處理過程之前,根用戶負責收集家庭成員的所有電子錢包。否則,某些丟失的代用幣就不能被恢復(fù)。
C-遠程訪問模式利用圖1所示的根據(jù)本發(fā)明的電子錢包系統(tǒng)的結(jié)構(gòu),可以通過如圖11所示的網(wǎng)絡(luò)240將幾個電子錢包系統(tǒng)200…300互聯(lián)。
在圖11中,我們示出●第一電子錢包系統(tǒng)200,它包括服務(wù)器201、一組客戶機221至22k以及一組代表第一家庭的電子錢包231至23p的p個智能卡;以及●另一個電子錢包系統(tǒng)300,它包括服務(wù)器301、一組客戶機321至321以及一組代表另一個家庭的電子錢包331至33q的q個智能卡。
服務(wù)器201、301以及客戶機221至22k,客戶機321至321均被連接到網(wǎng)絡(luò)240(例如因特網(wǎng))。
利用此被擴展的結(jié)構(gòu),可以在幾個局域電子錢包系統(tǒng)之間進行電子錢包間的操作,因此,根據(jù)接收者電子錢包(在代用幣保存處理過程情況下)或根據(jù)局域客戶機(在代用幣接收處理過程情況下),可以在本地或在遠程實現(xiàn)以上部分A-3和部分A-4所說明的電子錢包間的操作。
更準確地說,用戶A連接到如愿電子錢包系統(tǒng),并且每次他將代表其電子錢包的智能卡插入如愿電子錢包系統(tǒng)的客戶機時均可以從家庭的任一電子錢包接收代用幣,無論如愿電子錢包系統(tǒng)是在住宅的內(nèi)、外,用戶A均可以向家庭的另一個電子錢包發(fā)送其電子錢包內(nèi)的代用幣。
利用各電子錢包系統(tǒng)服務(wù)器均被連接到網(wǎng)絡(luò)(例如因特網(wǎng))并具有在網(wǎng)絡(luò)上用于識別服務(wù)器并被所有家庭成員所知的唯一IP地址(“IP”代表“因特網(wǎng)協(xié)議”)的事實,可以實現(xiàn)此特征。優(yōu)先將服務(wù)器的此IP地址存儲到家庭的智能卡,例如在系統(tǒng)初始化時。
我們現(xiàn)在將根據(jù)上述(部分A-3和部分A-4中所述的)保密協(xié)議來說明如何進行遠程電子錢包間的操作。
1.遠程代用幣保存過程圖12示出此過程。
假設(shè)具有第一電子錢包系統(tǒng)電子錢包PA的用戶A欲將含有N個貨幣單位的代用幣保存到在屬于同一個電子錢包系統(tǒng)的服務(wù)器S注冊的電子錢包PB。
用戶A將其代表電子錢包PA的智能卡插入與局域服務(wù)器S’相連的客戶機。
首先,在步驟251,將存儲在PA內(nèi)的服務(wù)器S的IP地址發(fā)送到客戶機。然后,客戶機校驗接收的IP地址是否是一個局域服務(wù)器S’。
如果S和S’為同一個服務(wù)器,則選擇局域模式并且處理過程與上述參考圖7所述的處理過程相同。否則,如果S’與S屬于不同的電子錢包系統(tǒng),則選擇遠程模式。
在此,我們假設(shè)S與S’為不同電子錢包系統(tǒng)上的不同服務(wù)器并選擇了遠程模式。
在這種情況下,在下一步驟252,客戶機將第一消息“getPurseList(IPaddress S)”發(fā)送到服務(wù)器S’。除了在遠程模式下,其上注冊了接收者電子錢包PB的服務(wù)器S的IP地址被附加到該消息之外,此消息與在圖7所示的步驟150發(fā)送的消息相同(由于后面有其它消息)。在下一步驟253,服務(wù)器S’通過網(wǎng)絡(luò)240以公知的方式利用服務(wù)器S的IP地址將此消息轉(zhuǎn)發(fā)到服務(wù)器S。
收到此消息后,在步驟255,通過將注冊的電子錢包“PIDl,...,PIDB,PIDm”列表發(fā)送到將此消息轉(zhuǎn)發(fā)到用戶A連接的客戶機的服務(wù)器S’,服務(wù)器S作響應(yīng)。
客戶機向可以選擇接收者電子錢包PB的用戶A顯示接收的列表并顯示將發(fā)送到PB的金額數(shù)N。然后,在步驟256,客戶機將消息“getPurseInfo(PIDB)”發(fā)送到服務(wù)器S’(與圖7所示的步驟152相同),在步驟257,服務(wù)器S’將此消息轉(zhuǎn)發(fā)到服務(wù)器S。在步驟258,通過將“PurseInfo”消息發(fā)送到服務(wù)器S’(與圖7所示的步驟153相同),服務(wù)器S作響應(yīng),在步驟259,服務(wù)器S’將“PurseInfo”消息轉(zhuǎn)發(fā)到用戶A連接的客戶機。
收到此“PurseInfo”消息后,在步驟260,客戶機將與在圖7所示的步驟154發(fā)送的消息類似的“debitToken(N,PurseInfo)”消息發(fā)送到代表電子錢包PA的智能卡。
接著,通過利用密鑰SKA和密鑰SKT校驗電子錢包標識符PIDB的簽名和交易標識符TransIDBS的簽名,智能卡(或電子錢包PA)驗證“PurseInfo”的內(nèi)容。
請注意,各電子錢包系統(tǒng)具有其專用密鑰SK、SKA、SKT和SKR,這些密鑰被嵌入家庭成員的電子錢包并且一個電子錢包系統(tǒng)密鑰與另一個電子錢包系統(tǒng)的密鑰不同。在這種情況下,如果電子錢包PA與電子錢包PB屬于同一個電子錢包系統(tǒng),則它們共享相同一組密鑰SK、SKA、SKT和SKR并且PA可以驗證“PurseInfo”消息的內(nèi)容。
參考圖12,如果對“PurseInfo”消息內(nèi)容的驗證正確,則在步驟261,電子錢包PA以消息“TokenInfo”的形式將標記代用幣和標記遞增交易標識符發(fā)送到客戶機(與圖7所示的步驟155發(fā)送的消息相同)。
當客戶機收到“TokenInfo”消息時,它就在步驟262以命令消息“putTokens(TokenInfo)”的形式將此消息發(fā)送到服務(wù)器S’,在步驟263,服務(wù)器S’將此消息轉(zhuǎn)發(fā)到服務(wù)器S。
收到此命令后,服務(wù)器S將相應(yīng)的代用幣存儲到電子錢包PB的條目并進行與上述圖7所示的步驟156之后的相同過程。
2.遠程代用幣接收過程參考圖13說明此過程。
現(xiàn)在,我們假設(shè)用戶B已將其電子錢包PB注冊到第一電子錢包系統(tǒng)的服務(wù)器S并且用戶B希望接收發(fā)送到其電子錢包的代用幣并將此代用幣登記到服務(wù)器S。
或者在用戶將其代表電子錢包的智能卡一插入與局域服務(wù)器S’連接的客戶機就開始代用幣接收過程,或者當用戶通過客戶機的用戶界面選擇開始此過程時開始代用幣接收過程。在此,我們假設(shè)用戶B已將其電子錢包PB插入客戶機并開始進行代用幣接收過程。
在第一步驟270,客戶機將消息“getPID”發(fā)送到代表電子錢包PB的智能卡。電子錢包通過發(fā)送其電子錢包標識符和它所注冊的服務(wù)器S的IP地址(在步驟271發(fā)送的消息“PIDB,IP address S”)作響應(yīng)。
當客戶機收到此消息時,它就校驗接收的IP地址是否是它所連接的或是在局域模式與遠程模式之間不選擇的局域服務(wù)器S’的IP地址。如果S和S’為相同的服務(wù)器,則選擇局域模式并且代用幣的接收過程與上述根據(jù)圖8所示的代用幣接收過程相同。否則,選擇遠程模式。
以下,我們假設(shè)S和S’為不同電子錢包系統(tǒng)內(nèi)的不同服務(wù)器并且對于代用幣接收過程選擇遠程模式。
在這種情況下,在步驟272,客戶機將消息“GetNextToken(PIDB,IPaddress S)”發(fā)送到局域服務(wù)器S’。當服務(wù)器S’接收此消息時,它就校驗此消息內(nèi)的IP地址并且如果此IP地址與其本身的IP地址不一致,那么,就在步驟273通過網(wǎng)絡(luò)240將此消息轉(zhuǎn)發(fā)到服務(wù)器S。
服務(wù)器S收到此消息時,它就與上述根據(jù)圖8所說明的當服務(wù)器在步驟162收到消息“GetNextToken(PIDB)”時的相同方式進行處理。如果在服務(wù)器S上至少為電子錢包PB保存了一個代用幣,則服務(wù)器在步驟274將消息“IndexB,Token”(與圖8所示的步驟163發(fā)送的消息相同)送回服務(wù)器S’,然后,在步驟275,服務(wù)器將此消息轉(zhuǎn)發(fā)到用戶B所連接的客戶機。
接著,在步驟276,客戶機以與在圖8所示的步驟164發(fā)送的命令消息相同的命令消息“CreditToken(token)”的形式將代用幣轉(zhuǎn)發(fā)到電子錢包PB。代表電子錢包PB的智能卡進行與根據(jù)圖8說明的在步驟164之后進行的驗證和操作相同的驗證(利用存儲在智能卡內(nèi)的密鑰SK)和操作。
智能卡完成上述驗證和操作之后,當IndexB(在步驟275接收的)大于0時,重復(fù)步驟272至步驟276。
權(quán)利要求
1.一種電子錢包系統(tǒng),該系統(tǒng)包括n個設(shè)備(10-13),可以在網(wǎng)絡(luò)(40,140)上進行電子商務(wù)交易并包含智能卡閱讀器(130-133),其中n大于或等于1,所述設(shè)備通過局域網(wǎng)絡(luò)(250)互聯(lián);多個智能卡(31-3p),代表電子錢包可以含有電子貨幣;其中所述設(shè)備之一包括被稱為服務(wù)器的實體(1,101),實體內(nèi)含有數(shù)據(jù)條目列表,各條目對應(yīng)于應(yīng)從所述系統(tǒng)的其它電子錢包接收包含在代用幣內(nèi)的電子貨幣的電子錢包。當代用幣在電子錢包之間轉(zhuǎn)移時,所述服務(wù)器臨時存儲所述代用幣;以及,在代用幣轉(zhuǎn)移操作期間,在所述設(shè)備和/或所述智能卡之間交換的消息被密鑰保護,密鑰僅存儲在所述智能卡內(nèi)。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于每一個智能卡含有●唯一電子錢包標識符(PIDi);●資金計數(shù)器;●電子錢包交易標識符(TransIDiP);●第一電子錢包標識符密鑰(SKA);以及●第二交易標識符密鑰(SKT);所述第一密鑰和第二密鑰被所述系統(tǒng)的所有電子錢包共享。
3.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,在系統(tǒng)安裝時,將所述資金計數(shù)器和所述交易標識符(TransIDiP)初始化為0。
4.根據(jù)權(quán)利要求2或權(quán)利要求3所述的系統(tǒng),其特征在于,在所述服務(wù)器內(nèi)對應(yīng)于電子錢包(Pi)的每一個條目含有●所述電子錢包標識符(PIDi)和使用所述第一密鑰SKA的所述電子錢包標識符簽名;●服務(wù)器交易標識符(TransIDiP)以及利用所述第二密鑰(SKT)的所述交易標識符簽名和所述電子錢包標識符簽名;以及●服務(wù)器為所述電子錢包接收的代用幣數(shù)索引(Indexi)。
5.根據(jù)權(quán)利要求4所述的系統(tǒng),其特征在于,每一個智能卡還包含所述系統(tǒng)的所有電子錢包共享的第三代用幣密鑰(SK);以及其中,索引(Indexi)大于0時,在所述服務(wù)器內(nèi)對應(yīng)于電子錢包(Pi)的各條目進一步包含至少一個代用幣,該代用幣包含●金額(N);●所述電子錢包標識符(PIDi);以及●所述服務(wù)器交易標識符(TransIDiS)。和利用所述第三密鑰的所述代用幣簽名。
6.根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于所述代用幣進一步包含有關(guān)代用幣發(fā)送者的信息。
7.在根據(jù)權(quán)利要求2至權(quán)利要求6之任一所述的系統(tǒng)中注冊電子錢包(Pi)的方法,所述方法包括所述服務(wù)器的設(shè)備進行的步驟(a)接收稱為根卡的特定智能卡;(b)接收用戶在所述設(shè)備上輸入的個人識別碼(rootPIN)并將所述個人識別碼發(fā)送到所述根卡,所述根卡驗證所接收的個人識別碼是否與在所述根卡存儲的個人識別碼一致;并且如果驗證正確,則(c)接收對應(yīng)于將被注冊的電子錢包(Pi)的智能卡;以及(d)從所述智能卡接收的數(shù)據(jù),所接收的數(shù)據(jù)包含●電子錢包標識符(PIDi)和利用所述第一密鑰(SKA)的所述電子錢包標識符簽名;●利用在所述智能卡存儲的電子錢包交易標識符(TransIDiP)的數(shù)值初始化的服務(wù)器交易標識符(TransIDiS)和利用所述第二密鑰(SKT)的所述服務(wù)器交易標識符簽名和所述電子錢包標識符(PIDi)簽名;以及(e)將從所述智能卡接收的數(shù)據(jù)存儲到所述服務(wù)器內(nèi)對應(yīng)于所述電子錢包的條目。
8.根據(jù)權(quán)利要求5或6所述的電子錢包系統(tǒng)中將第一電子錢包(PA)發(fā)送的代用幣保存到第二電子錢包(PB)的方法,其特征在于所述方法包括稱為客戶機的實體(21、22、2k;121至124)的設(shè)備完成的步驟(a)接收對應(yīng)于所述第一電子錢包(PA)的智能卡;(b)從服務(wù)器接收(步驟153)的數(shù)據(jù)(PurseInfo),所接收的數(shù)據(jù)包括●所述第二電子錢包(PB)的電子錢包標識符(PIDB)和利用第一密鑰(SKA)的所述電子錢包標識符簽名;以及●所述第二電子錢包的服務(wù)器交易標識符(TransIDBS)和利用第二密鑰(SKT)的所述服務(wù)器交易標識符簽名和所述第二電子錢包標識符(PIDB)簽名;(c)將從所述服務(wù)器接收的所述數(shù)據(jù)(PurseInfo)和將對所述第二電子錢包保存的金額(N)發(fā)送(步驟154)到所述智能卡;所述智能卡利用所述第一密鑰(SKA)和所述第二密鑰(SKT)驗證所述數(shù)據(jù)內(nèi)的簽名,并且如果驗證正確,則(d)從所述智能卡接收(步驟155)數(shù)據(jù)(TokenInfo),所接收的數(shù)據(jù)包括●代用幣和利用第三密鑰(SK)的所述代用幣簽名;以及●所述第二電子錢包的遞增服務(wù)器交易標識符(TransIDBS++)和利用第二密鑰(SKT)的所述遞增服務(wù)器交易標識符簽名和所述第二電子錢包標識符簽名;(e)將從所述智能卡接收的所述數(shù)據(jù)發(fā)送(步驟156)到所述服務(wù)器。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于該方法在步驟(b)之前進一步包括步驟(a1)將第一消息(getPurseList)發(fā)送到所述服務(wù)器以請求應(yīng)接收代用幣的電子錢包列表(步驟150);(a2)從所述服務(wù)器接收應(yīng)接收代用幣的電子錢包的電子錢包標識符列表(PIDl….,PIDm)(步驟151);以及(a3)將第二消息(getPurseInfo(PIDB))發(fā)送到所述服務(wù)器以請求有關(guān)所述第二電子錢包(PB)的信息(步驟152)。
10.根據(jù)權(quán)利要求8或9所述的方法,其特征在于,在步驟(d)之前,對應(yīng)于所述第一電子錢包(PA)的所述智能卡將所述第一電子錢包帳目遞減為所述第二電子錢包保存的金額(N)。
11.根據(jù)權(quán)利要求8至10之一所述的方法,其特征在于包含在步驟(d)發(fā)送的數(shù)據(jù)內(nèi)的代用幣包括●為所述第二電子錢包保存的金額(N);●所述第二電子錢包標識符(PIDB);●所述第二電子錢包的服務(wù)器交易標識符(TransIDBS);以及●隨機數(shù)(C)。
12.根據(jù)權(quán)利要求11所述的方法,其特征在于所述代用幣進一步包括所述第一電子錢包標識符(PIDA)。
13.根據(jù)權(quán)利要求5或6所述的電子錢包系統(tǒng)中電子錢包(PB)接收代用幣的方法,其特征在于所述方法包括稱為客戶機的實體(21、22、2k;121至124)的設(shè)備完成的步驟(a)接收對應(yīng)于所述電子錢包(PB)的智能卡;(b)將消息(GetNextToken(PIDB))發(fā)送到服務(wù)器以請求在服務(wù)器內(nèi)為所述電子錢包(PB)存儲的代用幣(步驟162),并且如果在對應(yīng)于所述電子錢包(PB)的條目內(nèi)至少存儲了一個代用幣,則(c)從服務(wù)器接收索引(IndexB)和在對應(yīng)于所述電子錢包的條目內(nèi)存儲的代用幣(步驟163);(d)將此代用幣發(fā)送到所述智能卡;以及(e)當接收的索引(IndexB)的數(shù)值大于0時,重復(fù)步驟(b)至步驟(d)。
14.根據(jù)權(quán)利要求13所述的方法,其特征在于在步驟(c)之前,服務(wù)器遞減所述索引(IndexB)。
15.根據(jù)權(quán)利要求13或14所述的方法,其特征在于在步驟(b)之前,進一步包括步驟(a1)將第一消息(getPID)發(fā)送到所述智能卡以請求電子錢包標識符(步驟160);以及(a2)從所述智能卡接收所述電子錢包標識符(PIDB)(步驟161)。
16.根據(jù)權(quán)利要求13至15任一所述的方法,其特征在于將使用所述第三密鑰(SK)的代用幣簽名附加到在步驟(c)接收的代用幣,并在步驟(d)將它發(fā)送到所述智能卡;對于所述智能卡,所述步驟進一步包括步驟(d1)驗證代用幣的所述簽名,(d2)驗證包含在所述代用幣內(nèi)的服務(wù)器交易標識符(TransIDBS)大于或等于在所述智能卡存儲的電子錢包交易標識符(TransIDBP);并且如果驗證結(jié)果正確,則(d3)將電子錢包帳目遞增存儲在所述代用幣內(nèi)的金額(N);以及(d4)將逐1遞增的服務(wù)器交易標識符(TransIDBS)的數(shù)值存儲到所述電子錢包交易標識符(TransIDBP)。
17.根據(jù)權(quán)利要求8至12任一所述的方法,其特征在于在電子錢包系統(tǒng)中的各智能卡進一步含有對應(yīng)從其它電子錢包接收代用幣的各電子錢包保存的蹤跡數(shù)據(jù),所述數(shù)據(jù)包括●電子錢包間交易標識符;以及●電子錢包間保存計數(shù);以及其中在步驟(d)之前,對應(yīng)于所述第一電子錢包(PA)的所述智能卡●利用在步驟(b)接收的所述第二電子錢包的所述服務(wù)器交易標識符(TransIDBS)數(shù)值,對所述第二電子錢包更新電子錢包間交易標識符(TransIDAB);以及●將為所述第二電子錢包(PB)預(yù)定的金額(N)與所述第二電子錢包的電子錢包間保存計數(shù)相加(sum of depositedAB)。
18.根據(jù)權(quán)利要求16所述的方法,在電子錢包系統(tǒng)中,各智能卡進一步含有接收蹤跡數(shù)據(jù),該接收蹤跡數(shù)據(jù)包括接收計數(shù),其中,步驟(d4)之后,所述智能卡將包含在所述代用幣內(nèi)的金額與所述電子錢包(PB)的接收計數(shù)(sum of receivedB)相加。
19.在根據(jù)權(quán)利要求5或6所述的電子錢包系統(tǒng)中,利用根據(jù)權(quán)利要求17所述的方法對一個第一電子錢包(PD)存入、但是當利用根據(jù)權(quán)利要求18所述的過程時還未被所述電子錢包接收的代用幣的恢復(fù)方法,其特征在于所述方法包括服務(wù)器的設(shè)備完成的步驟(i)依次接收對應(yīng)于所述系統(tǒng)的所有其它電子錢包的智能卡,并且對于各所述電子錢包(PX),接收所述第一電子錢包(PD)的保存蹤跡數(shù)據(jù)(TraceXD),所述保存蹤跡數(shù)據(jù)包括●電子錢包間交易標識符(TransIDXD);以及●電子錢包間保存計數(shù)(sum of depositedXD);(j)接收對應(yīng)于所述第一電子錢包(PD)的智能卡;(k)將在步驟(i)接收的所有保存蹤跡數(shù)據(jù)發(fā)送到所述智能卡;該過程進一步包括所述智能卡完成的步驟(1)計算接收的電子錢包間保存計數(shù)(ΣXsum of depositedXD)減所述第一電子錢包(PD)的接收計數(shù)(sum of receivedD)的結(jié)果并利用此計算結(jié)果遞增所述第一電子錢包(PD)的帳目;(m)將所述第一電子錢包的接收計數(shù)(sum of receivedrD)設(shè)置為0。
20.根據(jù)權(quán)利要求19所述的方法,其特征在于在步驟(ⅰ)之前,該方法進一步包括步驟(h1)接收對應(yīng)于所述第一電子錢包(PD)的智能卡;(h2)將請求隨機數(shù)的第一消息(getChallenge)發(fā)送到所述智能卡(步驟180);以及(h3)從所述智能卡接收隨機數(shù)(C);在步驟(ⅰ),利用第一電子錢包標識符(PIDD)以第二消息(getDepositTraces(PIDD,C))的形式將所述隨機數(shù)(C)發(fā)送到對應(yīng)于所述系統(tǒng)的所有其它電子錢包的各智能卡,并且其中在步驟(ⅰ)接收的所述第一電子錢包(PD)的各保存蹤跡數(shù)據(jù)(TraceXD)進一步含有●所述隨機數(shù)(C);●其它各電子錢包的電子錢包標識符;以及●所述第一電子錢包標識符(PIDD)。
21.根據(jù)權(quán)利要求20所述的方法,其特征在于在各智能卡進一步含有第四代用幣恢復(fù)密鑰(SKR)的系統(tǒng)中,其中,利用所述第四密鑰的所述保存蹤跡數(shù)據(jù)簽名被附加到在步驟(ⅰ)接收的所述保存蹤跡數(shù)據(jù)。
22.根據(jù)權(quán)利要求21所述的方法,其特征在于在步驟(l)之前,該方法進一步包括對應(yīng)于所述第一電子錢包(PD)的智能卡完成的步驟●利用所述第四密鑰(SKR)驗證所述保存蹤跡數(shù)據(jù)的簽名;以及●驗證包含在所述保存蹤跡數(shù)據(jù)內(nèi)的隨機數(shù)(C)是否與在步驟(h3)之前由所述智能卡產(chǎn)生的隨機數(shù)一致;只有當所述驗證正確時,才執(zhí)行步驟(l)和步驟(m)。
23.根據(jù)權(quán)利要求22所述的方法,其特征在于在步驟(1)之后,該方法進一步包括對應(yīng)于所述第一電子錢包(PD)完成的步驟利用下列內(nèi)容的最大數(shù)值更新所述第一電子錢包交易標識符(TransIDDP)●所述第一電子錢包交易標識符(TransIDDP);以及●包含在逐1遞增的保存蹤跡數(shù)據(jù)(TransIDXD+1)內(nèi)的各電子錢包間交易標識符。
24.根據(jù)權(quán)利要求1至6之一所述的電子錢包系統(tǒng),其特征在于該系統(tǒng)的各智能卡進一步含有所述服務(wù)器在網(wǎng)絡(luò)上的地址(IP地址S),并且其中利用與所述網(wǎng)絡(luò)連接的遠程電子錢包系統(tǒng),各設(shè)備可以進行遠程代用幣保存處理過程和/或遠程代用幣接收處理過程。
全文摘要
本發(fā)明披露的電子錢包系統(tǒng)包括多個通過局域網(wǎng)絡(luò)互聯(lián)并可以在網(wǎng)絡(luò)上進行電子商務(wù)交易的設(shè)備。各設(shè)備含有智能卡閱讀器。多個智能卡代表可以存儲電子貨幣的電子錢包。設(shè)備之一含有實體,即服務(wù)器,該實體內(nèi)含有數(shù)據(jù)條目列表,各條目對應(yīng)于應(yīng)從系統(tǒng)的其它電子錢包接收包含在代用幣內(nèi)的電子貨幣的電子錢包。在電子錢包間轉(zhuǎn)移的代用幣被臨時存儲到服務(wù)器。
文檔編號G07F7/08GK1312510SQ0110928
公開日2001年9月12日 申請日期2001年3月6日 優(yōu)先權(quán)日2000年3月7日
發(fā)明者阿蘭·迪朗, 西爾萬·勒列夫爾, 楊-梅伊·唐-塔爾皮 申請人:湯姆森多媒體公司