安全网络购物系统及方法

专利名称：安全网络购物系统及方法
本申请要求以下美国专利申请的优先权2000年5月4日提交的序列号No.09/564,660的美国专利申请，其是2000年3月13日提交的序列号No.09/523,902的美国专利申请的部分后续申请，后一申请是2000年2月8日提交的序列号No.09/500,601的美国专利申请的部分后续申请，并要求1999年11月24日提交的美国临时申请SN60/167,352和1999年7月30日提交的美国临时申请SN 60/146,628的优先权。这些申请的说明书全文在此引用作为参考。
本发明涉及在计算机网络上实现安全购物的系统和方法。更具体地，本方法涉及一种允许在计算机网络上购买商品的系统，该系统使购买者可确信个人信用卡信息没有被转移、盗用或偷窃的风险，销售商可以更加确信购买者是善意的。
商品用户接入通常称作互联网的的全球客户机/服务器网络，其一部分是万维网，以从那些销售从旅游业务到投资业务的商品的在线销售商查找和购买商品，从而购买CD唱片、书籍、软件、计算机硬件等，这种方法是公知的。
很多专利提出了旨在确保在互联网上执行的商业信用卡交易的方法或系统。这些专利的例子包括授权给Elgamal的美国专利US5,671,279、授权给Bezos的US 5,727,163、授权给Ogram的US5,822,737、授权给Wilf等人的US 5,899,980和都授权给Payne等人的美国专利US 5,715,314和US 5,909,492，这些专利的说明书在此引用作为参考以提供背景知识。
大多数公开系统的缺点在于，对于每次交易它们依靠在不安全的网络路由和线路上传输敏感信息。尽管从事实上说，仅依靠加密的系统相当安全，但依然存在信用卡盗用的某些风险，即便潜在的用户知道使用了加密，其也没有任何心理上的安全感。
一般来说，互联网是通过包括电话线、有线电视线、卫星链接等各种通信线路连接的彼此远离的计算机的网络。互联网服务供应商(下文称为ISP)为小最终用户提供到互联网主干网的链接。通常通过诸如语音电话、传真传输或验证的常规方式向ISP提供信用卡信息从而以普通方式来建立最终用户的帐目。在大多数ISP-最终用户关系中，信用卡或其它信用帐户信息被提供给ISP，该信息在ISP存档并可以由ISP计算机使用。作为接收付款的回应，ISP提供一个到互联网的网关以便最终用户使用。如果需要，最终用户(或用户)配备有用于直接拨入ISP计算机的识别码和用于此的软件工具(例如拨号器软件、浏览器软件、电子邮件软件等)。
大多数购物以下述方式进行使用其本地客户机计算机上的浏览器应用软件的购买者经其计算机调制解调器连接到拨号互联网服务供应商(下文称为“ISP”)，并通过其建立到各网站(即分配有一个URL(统一资源定位器)地址的互联网服务器位置)的连接。购买者选择其商品，销售商通常通过若干方法中的一种请求付款，其中一种方法通常包括通过提供信用卡信息付款。
根据调查和其它市场数据，已经并始终存在大比例的用户不敢直接在互联网上购物。尽管销售商为所许诺的安全和加密付出了巨大努力，该大比例的用户显然害怕依然存在第三方计算机黑客在线拦截他们的信用帐户信息并非法使用的可能性，给持卡者带来很大代价的损失和麻烦。
另一个与互联网上交易或电子商务相关的导致担心的因素在于，销售商不能始终确信仅由于它已经获得信用卡或信用帐户信息，它就将实际获得它所发货的商品的付款。总之，信用卡欺诈和/或失窃经常出现，可能无法及时发觉以停止订单发货。当持卡者发现失窃和停用信用卡时，对于销售商可能太晚以致于无法收回其财产。这种情况至少导致销售商、信用卡公司和持卡者不必要的恼怒和资源浪费。
因此，本发明的目的是提供一种系统和方法，使在互联网上所销售商品的潜在在线购买者以信用卡被电子拦截盗窃的最小风险支付购买。
本发明进一步的目的是提供一种便于电子商务的机制，该机制将提高消费公众在该交易的安全性方面的置信度。
本发明进一步的目的是提供一种便于电子商务的机制，该机制将提高置信度以使销售商可以发货所购买的商品或提供所购买的业务而不必害怕欺骗性地提供付款。
本发明进一步的目的是提供一种在安全电子购买系统中使用的站点专用和计算机专用识别确认系统，或者类似认证、接入许可等等的其它安全电子交易系统。
本发明进一步的目的是提供一种用于编码可下载的内容文件的方法，这些文件例如是MP3音乐文件，图形文件，电子图书等等，使得仅能由文件的实际购买者使用这些文件，并且最好仅能从文件被下载到的计算机访问这些文件，或者由可限制数目的次级授权设备访问这些文件。
这些目的和在此未详细列举的其它目的通过在此公开的发明实现，本发明包括一种系统和方法，为提供给在线用户的业务和商品向在线销售商提供可信赖的付款承诺，而不必通过公用和不安全的互联网发送信用卡信息。其特性之一是，通过提供知道独立的无关第三方在实时确认所涉及方的身份和每次交易的有效性的舒适性，和知道用户的信用卡信息不再暴露在万维网上的进一步的安全性，本发明的系统和方法提供增强的安全性和舒适性。
在一种示例性实施例中，本方法利用最终用户和提供接入到互联网主干设备的成员计算机/服务器所有者之间的现有商业关系。如上所述，互联网是由包括电话线、有线电视线、卫星链路等各种通信线连接的彼此远离的服务器的网络。互联网服务供应商(下文称为ISP)为小最终用户提供到互联网主干的链接。通常通过诸如语音电话、传真传输或验证的常规方式向ISP提供信用卡信息从而以常规方式建立最终用户的帐目。在大多数ISP-最终用户关系中，已经向ISP提供信用卡或其它信用帐户信息，该信息在ISP上存档并可以由ISP计算机使用。作为接收付款的回报，ISP提供到互联网的网关以便最终用户使用。如果需要，最终用户(或订户)配备有用于直接拨入ISP计算机的识别码和用于此的软件工具(例如拨号器软件、浏览器软件、电子邮件软件等)。
每次用户登录到ISP计算机以在线通信，给用户分配一个互联网协议(下文称为IP)地址。用户计算机将由ISP计算机接收和通过IP地址中继和到达互联网上的消息发送到最终预定接收计算机。在进行中的在线通信的整个时间内，IP地址并不改变并因此可用作识别信息。通过监测和有时重新验证用户计算机依然在指定的IP地址上在线，ISP可以确认某些行为可能是用户所为。
本发明的该实施例利用每次互联网用户计算机上线并登录到它的ISP计算机时通过将票据交换所和活动中介(active intermediary)功能分配给ISP计算机而重新建立的用户计算机和销售商计算机之间的密切关系。用户计算机登录到ISP计算机系统并被识别和分配IP地址。当用户识别他想购买的销售商网站上的商品或服务时，他向该网站发送用于选择项目和指示销售商计算机生成发送给ISP计算机的购买授权请求的程序。购买授权请求包括购买商品的相关信息、提议购买者的相关识别信息，该信息的一部分是ISP分配给用户的识别信息。通过验证当前通过IP地址正在通信的计算机的身份，ISP在内部确认用户依然登录在ISP计算机系统。当确信用户依然在线时，ISP计算机生成并将一个消息发送给请求确认商品订单的用户计算机。当从用户计算机接收到确认时，ISP生成并向销售商计算机发送一个确认该订单、提供确认号码和同意支付发票的消息，该发票随后由销售商计算机生成并提供给ISP计算机。然后，ISP计算机使用用户信用卡信息并提供一个将通过通常渠道发送的该信用卡帐户的发票。
在本发明的另一个示例性实施例中，ISP并不用作信用卡提供者或交易验证者/担保人。该功能由银行或销售商提供，用户在该银行或销售商已经拥有一个信用帐户，并且该银行或销售商在网上存在，即拥有连接到互联网的交易服务器，当用户/销售商执行交易时该交易服务器可参与交易。
本发明的另一方面在于通过使用用于验证该系统仅可由专门向该系统登记的计算机使用的方法而提供安全性。更具体地，构成用于识别一个已登记的计算机(即在本发明的系统上可用于进行购买交易或其它电子交易和/或请求的计算机)的方法，以便如果黑客试图“伪装”它的计算机实际上是真正用户的已登记计算机，该编码检测出它们不在它们初始的安装环境内，该系统变得不可操作。可以通过重新登记机器来重新启动该系统。
在本发明的另一方面，该系统被配置以便将购买交易或其它电子交易的确认请求以SMS(短消息系统)通知的形式发送给诸如蜂窝电话、字母寻呼机或装有调制解调器的手提式计算机的用户蜂窝通信装置。因此，如果用户没有坐在向系统登记的计算机前，他仍然可以被立即通知也许是非法的其它人在试图欺诈性地使用他的帐户甚至使用他的计算机进行交易。本发明的特征可以阻止这种计算机欺诈。
为了更好地理解本发明，提供下列附图用于与随后的详细说明结合考虑

图1表示经ISP计算机与销售商计算机通信的用户计算机，其中用户计算机在开始一次购买交易；图2表示销售商计算机与ISP计算机通信以请求授权完成用户所请求的交易；图3表示ISP计算机确认用户计算机在使用正确的IP地址并请求确认用户交易；图4表示用户计算机响应ISP计算机的确认请求；图5表示ISP计算机向销售商计算机发送确认码和开发票指示；图6表示说明本发明另一种示例性实施例的方框图；图7表示说明本发明另一种示例性实施例的方框图；图8表示说明本发明另一种示例性实施例的方框图；图9表示说明本发明系统的握手和启动处理的方框图；图10表示用户对欺诈性使用其PC的远程反应；图11表示用户计算机与销售商计算机和AA计算机的同步通信，其中用户计算机正在启动一个购买交易；图12表示说明本发明另一种示例性实施例的方框图。
在下文将要描述的所有示例性实施例中，存在某些共同特性，在此将参考附图仅描述一次这些共同特性以为读者提供容易理解的结构。
如上述讨论的，设计本发明以降低可能因为在不安全的万维网上传输信息导致的对用户的信用帐户信息安全性的损害。另外，本发明帮助确定参与交易方是它们所声称的身份。
示例性实施例假设参与交易方的下述设置[a]通过电话、有线电视、卫星或数据线，通常通过调制解调器，用户经它的PC或客户机连接到互联网，在用户的客户机PC中已经安装一个浏览器程序，例如微软公司的Internet Explorer或网景公司的Navigator或Communicator，在交易之前已经启动其中之一；[b]销售商具有与互联网通信的服务器，它构成可由用户浏览器访问的一个网站或与之通信；[c]安全管理系统通过安全服务器或工具箱(下文“TB”)操作，其实际位置可以如下文所述变化；和[d]贷方或付款担保人拥有一个付款服务器，尽管该功能可以可选地由安全服务器执行。在本申请的范围内，应当理解所提及的客户机或PC显然包括所有安装浏览器的电信设备，它使用户能够即刻访问和连接远程服务器，尤其是互联网上的网站。因此，这种设备包括安装浏览器的蜂窝电话、个人数字助理、手提式计算机、便携式计算机和桌面PC，尽管不是仅限于此。
另外，在此应当注意，除了商品销售商以外，销售商可以仅是诸如信息或金融服务的供应者。因此，销售商可以使用本发明确保仅正当授权和适当识别的人可以访问安全数据库。
本系统所有四个组成部分使用安全措施的组合，例如，所有传输都在诸如RSA、Triple DES等的加密环境下进行，可以由安全服务器或中央系统管理者服务器以随机间隔更换所使用的加密表。
该系统有两种普通类型ISP将参与系统并给予安全的最高可能级别，和ISP不是系统参与者。在ISP是参与者的情况下，它可以以两种方式参与[1]ISP可以用作TB的物理主机和[2]既然ISP已经具有与用户的当前服务协议，ISP可以是贷方或付款担保人。在ISP不作为贷方或付款担保人参与的情况下，可以由另一方提供该功能。在上文已经提到使ISP作为参与者和其中TB物理上位于ISP站点上的优点。该优点在于这样的事实，即因为大多数用户在铜电话线上拨入ISP的调制解调器室，黑客进入ISP服务器(和TB，如果它被安装到ISP服务器上)和用户之间的唯一方法是在物理上搭接电话公司的接线盒，好象大多数黑客并不这样做。即使TB在另一个物理位置上，系统依然保持有效性，但向黑客攻击开放的区域越小越好。如果ISP不是一个参与者，但只要是贷方或付款担保人，该功能可以由商业实体的可接入互联网的付款服务器实现，商业实体可以是例如在线银行、给予顾客信用帐户的商人和其它信用提供机构。在这种情况下，可以将TB设置在信用机构的位置上，或者实际上单个服务器可用作TB以及付款服务器。在另一情况下，TB和付款服务器可以在完全不同的位置上。
在可以进行交易之前，需要如下编程和/或安装系统的组成部件TB是除了一防火墙服务器外的一系列至少两个服务器，并且在其中包括一数据库，该数据库包括该安全系统的用户参与者的识别数据。另外，TB可以包括检验和更新用户软件版本的程序设计、加密表和指令，该指令在需要时更新这些表格、标记它们以在将来更新或将用户浏览器引导到适当服务器的URL，例如中央管理者服务器以下载更新的表格。
当用户指示准备为一次交易付款时，修改销售商服务器以将按钮或其它指示装置添加给从销售商服务器下载到用户浏览器的购买开始软件。所添加的按钮告诉用户如果希望用本发明的安全系统付款就按此按钮。通过按此按钮，用户开始下文将更加详细说明的一系列事件。
贷方服务器装有程序，指示如何响应附有销售商从TB接收的Gatepass(访问许可)编码的销售商服务器交易付款请求。
TB记录所有的交易数据并将唯一交易ID(UTID)分配给记录，还将记录标记为“尚未确认”。TB记录从销售商服务器接收的交易数据并将其放在一URL上。然后，TB命令用户的等待线程来到和提取TB上URL处的页面并将其显示给用户。所显示的页面是确认请求页面，在客户机PC上将其向用户显示为弹出窗口。
在该弹出窗口中，用户看到下述效果的交易的某些细节和文本“我们已经被请求为你的一个订单支付销售商17.20美元，你认可该交易吗？”，为了认可该交易，用户被指示输入他的系统口令(在登记处理中选择)和单击确认按钮。
a)如果用户单击拒绝按钮或在预定的时间范围内未做响应，则认为订单未被接受并且TB拒绝销售商的支付URL请求。
b)如果用户通过在合适的字段中输入他的系统口令并单击确认按钮接受该交易，则关闭确认请求页面窗口并将口令发送回工具夹，该工具夹加密该口令并将其发送回TB。
c)在本发明的一种示例性实施例中，用户可以选择另外在他的蜂窝电话或其它可进行蜂窝通信的设备(例如字母数字BP机或可上网的个人数字助理或PDA)上接收发送给其PC的确认请求页面通知。当用户已经选择该服务时，通过同时向其蜂窝设备发送SMS(短消息系统)消息实现向其PC发送确认请求页面，从而通知他有人在操作其PC和执行购买交易。使用这种转移技术(follow-me technology)，用户可以使用其蜂窝设备用取消交易和/或开始跟踪欺诈购买请求的消息来响应该SMS消息。
在实施例中如下所述继续进行交易，在该实施例中工具箱例如位于销售商上，或位于安全管理站点。
TB的物理位置。在本发明的一个示例性实施例中，TB位于安全管理站点或销售商站点。在TB位于销售商站点的情况下，它处在服务提供商服务器内。用户没有必要非要购买商品，例如他可以向销售商服务器请求访问在其中所包含或由其保护的安全数据库。因此，为了确信用户已经被允许访问安全数据库，响应用户选择表示参与本发明系统的按钮，销售商服务器提取由用户选择发送的信息并从TB服务器创建身份验证。其余过程与上述基本相同。TB接收身份验证请求，进行双ping握手程序并当从用户客户机PC接收合适的响应时，将结合UTID的访问许可响应发送回销售商服务器。此时，销售商服务器可以允许用户进入所希望的安全数据库。作为附加的保护层，销售商服务器可以经过与TB的双ping握手程序以确保访问许可的源。
如上文所述，销售商可以是商品销售者，但是销售商也可能仅是诸如信息或金融服务的供应者。因此，销售商可以使用本发明确保只有经过正当授权和适当身份识别的人才可以访问安全数据库。例如，银行在允许客户使用其帐目信息或金融服务之前可能希望身份验证。再例如，在允许职员或外部承包商访问经互联网可能无法使用的安全数据库之前，大公司可以使用本发明提供其身份的第三方验证。
TB基本上是一个小型服务器，专用于分配给它的安全工作。TB装有程序，当该程序被启动时，它向参与的家庭用户、ISP服务器或销售商发送、接收和验证适当的表格和/或数据，从而执行所提出的交易。
认证代理(下文中的“AA”)是下载到客户计算机中的一种软件。下文中将作进一步描述的AA所执行的功能与塑料卡如信用卡上的磁条完全相同。这使得AA可以用于互联网所生成的自动取款机(ATM)应用，例如资金转帐，信用卡或借贷卡借贷，而不需要实际使用ATM。
以上的本实施例所描述的程序作如下修改1)在本发明的一个实施例中，AA向销售商和TB发出同步(SIMULTANEOUS)消息，以便TB等待从销售商获取某种消息。
2)AA的作用将在下面进行描述。在本实施例中，AA为一COM对象，它可以产生一“数字指纹”，该“数字指纹”包括从用户PC所收集来的各种标识性硬件特征以及口令(将作进一步描述)。帐目的启动也就开始了TB利用用户PC的标识性特征(例如CPU的ID号，硬盘的序列号，RAM的数量，BIOS版本和类型等等)记录用户指纹的程序，该指纹是由AA导出的，包括用户唯一标识(UID)。
3)当交易开始时，用户的AA，一简单DLL(动态链接库)，由销售商脚本程序启动。AA利用服务器的公开密钥向工具箱服务器发送消息。如果服务器应答了AA，家庭用户计算机便知道它是与正确的服务器进行对话，因为只有工具箱有私有密钥可以译解利用其公开密钥发送的消息。之后工具箱服务器向用户发送它所生成的新的Triple DES密钥的一半，这样家庭用户就可以与其进行安全通信。接下去TB询问用户的OTP(一次口令)，该口令存储在家庭用户计算机的配置文件中。该配置文件只有把个人口令与CPU id一起使用才可以打开。如果家庭用户的计算机以正确的口令响应，TB就知道它是与正确的用户进行通信。一旦TB验证了它正与正确的用户进行通信，它就会发送一个动态生成的智能DLL以收集计算机的硬件特征标记，因此验证它也正与正确的机器进行通信。TB还记录下与用户遭遇的次数。任何试图闯入的电脑黑客在该检查面前都可能要失败并因此会被发现。配置文件包括帐目ID，机器ID和一个可替换的一次口令等等，该配置文件可以可选地存储在用户计算机的注册表中，硬盘上或可移动的软盘上，也就是说，配置文件可以从用户计算机的上述地方移动和取走，因此也就禁止了用户从该计算机接入帐目。
当第一次登记以及当对用户进行验证时，简单DLL把自己载入内存，并从大量连续新生成的智能DLL中调用一个“智能”DLL，该智能DLL收集大量例如12个不同的用于识别用户计算机的参数。现在利用两个机器参数来描述验证交易的一个简单例子。DLL应用一种算法，使得如果磁盘序列号为1就乘以1，如果CPU序列号为2就乘以2，结果产生的串就是它们的和，或“5”。因此，1(1)+2(2)＝5。这种信息由DLL根据该DLL的散列法程序(hashing programming)进行散列，然后加密，再把加密的散列发送回TB。参数的顺序以及所使用的算法每次都可以改变。而且，实际信息每次还被进一步散布以“无用信息”码(garbage code)，这是TB所期望的。服务器接收来自智能DLL的散列加密结果，并把它与所期望接收的结果进行比较。这一点是由TB通过根据用户的标识参数运行它自己的一份唯一DLL的拷贝计算期望的结果来完成的，该拷贝存储在数据库中。然后它把该结果进行散列，并把该散列与从用户处接收到的解密散列串进行比较。
本发明的一个示例性的实施例更特别地使用一种2048比特的RSA密钥来启动这种握手，然后转向Triple DES加密。公开密钥被分配给所有具有代理程序(Agent)的最终用户，私有密钥则由AA服务器掌握。对于不同的供应商如信用卡公司，银行等等有不同的密钥组。可以利用TB来验证各种形式的互联网交易中的数字指纹，例如银行业和金融业务银行和金融机构可以使用数字指纹为了股票交易和帐目管理向用户提供对其帐目的安全访问。用户可以把它们的数字指纹用作在银行网址的一种通用登录方式以快速访问他们的帐目信息而不需记住唯一的登录名和登录口令。为了进一步增加每个用户的经验，银行根据包含在用户数字指纹中的登记信息可以为他们提供针对目标的内容和服务。银行还可以使用数字指纹发送安全的e-mail，使其能够主动把私有帐目信息发送给客户。零售在线零售商店的经理可以关注顾客对其商品的浏览，识别购买方式，观察偶然造访者的行为，建立所购物品的帐目。零售互联网站点的经理可以使用数字指纹在线实现这些相同功能。通过利用数字指纹实现对顾客的验证，零售站点可以分析顾客的兴趣和行为，对浏览型顾客和实际购买型顾客的概况进行跟踪和比较，并根据顾客的数字指纹所呈现的信息进行市场分析和市场划分。这种站点还可以通过把ID与现有顾客数据库中的信息(例如顾客帐目，订单状态，或购买历史)相链接来扩展数字指纹的能力。
另外，利用数字指纹的一步登记特点，该站点可以迅速查出关于首次访问该站点的访问者的信息。该站点可以利用这种信息为这些访问者提供一些相关内容，由此抓住他们的兴趣并增加他们成为顾客的可能性。
与数字指纹相关的认证和安全性使得站点可以验证顾客的身份，消除顾客的错误和虚假的订单。另外，顾客也将会更有信心在互联网上进行交易。出版和订购在线报纸依赖于广告和订阅收入。数字指纹使得这种站点可以利用数字指纹中的基本登记信息——国家，邮政编码，年龄和性别——来了解访问者的人群概况，并据此确定是否增加对广告投放的价格和对所登广告的收费量。
站点可以使用数字指纹的通用登录特征来识别它的站点订阅者。站点访问者不再需要记住用于该网站的唯一登录名和口令，该站点也不再需要维护其费用昂贵的登录和口令数据库。通过了解首次顾客的分布概况，并根据数字指纹中的基本登记信息为其提供适合的信息，站点可以利用数字指纹来帮助其获得新顾客。服务服务公司，例如投递公司可以使用数字指纹来提供对其网站的安全访问，使得顾客不需要输入用户名或专门的跟踪信息就可以跟踪其货运情况。数字指纹还使得该站点可以为其访问者提供一种高度定制的经验，例如根据用户的地理位置提供特定的投递速度。数字指纹还使得该站点可以向其顾客发送安全的具有费用信息的e-mail。企业对企业的电子商务根据数字指纹所提供的认证级别，一个制造公司可以使其互联网站点的某些部分可以由其商业伙伴进行升级并由其顾客进行访问。该制造公司的供应商可以在制造商的数据库中更新他们的产品可供量并安排运输日期，以提供更有效的存货管理方式。另外顾客可以通过相同的在线数据库跟踪其订单状况。这些类型的交易如果不使用数字指纹来认证公司供应商和顾客的身份，那么在公共互联网上将是不可能实现的。音乐，图片，视频或电子图书文件的销售与下载这种特定的硬件指纹的另一种可能的应用是把其用作锁和密钥以防止对内容文件如MP3音乐文件，电子图书文件，图形文件等进行未被授权的下载，拷贝和重放。指纹可以与被下载的文件相关联，这样试图在一台没有该指纹的机器上打开该文件时就会造成该文件被永久锁住，不可使用或被禁止。指纹编码可以确定所下载的文件是否可以在有限数目的次级机器上进行拷贝和播放。事实上，一开始就可以使用这种编码确定下载文件的人是被授权这样去做的那个人。
在此讨论和用附图表示的例子仅用于说明性目的。可以预期所公开的发明可以以本技术领域中一般技术人员所公知的方式进行变型和修改，并将包含在权利要求书所定义的本发明的范围和精神之内。
例如，在另一示例性实施例中，ISP不在工具箱所在的位置。参见图7，工具箱可以在物理上位于诸如可上网的银行、信用卡提供商或其它类似卡或记帐提供商(包括在网上出现的砖和灰泥零售商，例如Macy＇s)的信用提供者(“贷方”)的站点上，并通过普通渠道与贷方交易服务器通信。在这种情况下，ISP将是购买交易中的主动部分，而不是在普通的已知方式中让用户访问互联网。通常，除非下文具体说明，该处理的其余部分基本上如下所述进行。具体地，在该示例性实施例中，如下所述建立帐目安装过程1)用户经由HTTPS连接通过网络服务器上的ASP页面请求加入该系统。
2)申请者收到一个帐目ID，他的申请信息被存储在防火墙后面的申请和数据库服务器上的申请者数据库中。该系统的拥有者，可以是ISP，银行或其它金融提供者，可以从位于内部LAN上的防火墙后的网络服务器中的另一个网页访问该数据库。
3)当系统拥有者批准了用户的申请时，该系统就会自动向用户发送一封包含了与唯一URL相链接的e-mail，用户可以由此开始进行登记。它还产生一个与用户帐目相链接的一次启动密钥。系统拥有者必须以一种安全的方式把这个一次密钥给予用户(例如亲自，或通过从其自动柜员机打印输出)。拥有了一次启动密钥就构成了在启动阶段过程中用户就是他所声称的那个用户的证据。
4)当用户进入该URL并按下“启动”按钮时，通过把一个包含有COM对象的DLL下载到他的计算机中开始该启动过程。
动态链接库(DLL)是指Windows和OS/2系统中由可执行内存调用先前未链接到可执行内存的软件库(即用于完成特定功能的子程序或代码)的能力。利用“承接软件”库对可执行程序进行编译，该库允许在编译时间检测到链接错误。然后在运行时间，或者是系统载入程序或者是任务入口代码必须安排由实际共享的库程序来修补库调用，这有可能是通过转移表。
5)这种COM对象把用户的帐目ID(它之所以知道是因为他被指定到一个唯一的URL)传递给“收听器”。该收听器包含一个专有的通信协议，该协议使得DMZ中的认证网络服务器可以与防火墙后的认证申请服务器和数据库服务器进行安全通信。收听器要求防火墙后的申请者数据库确认给与它的帐目ID是合法的，并且还未被启动。如果如此，收听器就告诉COM对象向用户发出一个弹出窗口(pop-up)以收集一次启动密钥。如果不是如此，启动过程就停止。非军事区，(DMZ)来自军事术语，指的是两个对手之间的区域，该区域内禁止作战。DMZ以太网连接不同实体所控制的网络和计算机。外部DMZ以太网用路由器把区域网络与内部网络相连。内部DMZ以太网利用路由器把本地节点与区域网络相连。
6)如果该弹出窗口所收集的密钥与存储在用户帐目的数据库中的相匹配，DLL就将继续收集用户的硬件特征标记(12个参数包括CPU ID，BIOS ID，磁盘卷信息，各种序列号等等)并把它发送回数据库。如果密钥不匹配或者用户没有在给定时限内作出应答，启动过程就停止。在经过一定数目的失败的尝试后，用户的帐目被禁止。
7)如果密钥匹配，DLL就返回一个用于加密的一次口令(OTP)的籽数(seed)以在下一次遭遇时使用。还发送另一个弹出窗口以收集用户所选择的个人口令，该口令只有用户知道，并且不存储在任何地方。
8)在收集了个人口令之后，对包含有OTP等的配置文件进行加密，其中的OTP是刚刚被交换了的。然后该帐目被标记为有效。在下一次遭遇时，刚刚被交换的一次口令将用作认证过程的一部分。用以开启配置文件的密钥就是用户的个人口令再加上他的部分计算机硬件。
一旦安装完毕，保留在家庭用户的计算机上的软件部分就是该配置文件和包含了COM对象的DLL。
COM对象包含一个自确认程序，该程序使得COM对象确认在它被载入内存时没有受到窜改，COM对象还包含一个程序，该程序在COM对象确认其为完好之后便建立一个安全通信通道。该安全通信通道被用于从服务器调用一个动态生成的DLL。在所有未来的遭遇过程中，该动态生成的DLL在收集用于认证过程的信息时作大部分工作。
COM对象的其它构成部分包括一个定位器，一个概况管理器和一个付款方法管理器。
定位器确保安装最新版本的软件并为家庭用户定位概况管理器和付款方法管理器。
定位器有两个接口，它们由agentClassId属性和agentCodeBase属性来实现。
AgentClassId规定使用哪个付款方法管理器和哪个概况管理器。
AgentCodeBase规定哪个服务器拥有最新版本的软件，并把所安装的软件与其进行比较。如果最新版本的软件没有安装，agentCodeBase会自动进行安装(Internet Explorer版本4和5以及Netscape 5都支持这种特征)。这使得我们在允许销售商对一从不改变的标准代码行进行编码的同时可以控制提供给销售商什么样的信息。
AgentClassId有五种方法获取属性(get attribute)，设置属性(set attribute)，设置参数(set parameter)，停止付款(stop payment)，和付款(pay)。
获取属性—是一种用于获取非敏感性信息如姓名，发货信息等等的方法。
设置属性—帮助浏览页把该信息载入用户的计算机中。
设置参数—帮助配置概况表。
停止付款—使得一旦调用了该付款方法，用户可以在交易过程中停止下来。
付款—负责建立一个安全的通信通道并通过该通道返回顾客的硬件特征标记和口令。
付款方法管理器使顾客可以选择多种付款的方式。
概况管理器允许不同的人使用相同的硬件。一个帐目可以有多个用户，具有多个发货地址或记帐地址。用户也可以通过概况管理器选择使用来自先前存在的工具夹如微软工具夹的记帐信息。交易周期第一步顾客在银行或销售商开始登录过程第一步发生在顾客连接安装了销售商脚本程序的银行或销售商并试图登录时。这会启动脚本程序，它被拷贝并粘贴到银行或销售商的电子商务应用中。第二步顾客连接TB脚本程序启动一代码，该代码连接利用顾客的家用软件安装的DLL并设法把COM对象载入内存。当COM对象被载入内存时，它运行完整性检测以确认它没有被窜改。如果校验和正确，它就把结果留在内存中，这样以后它就可以把该结果传递给认证服务器。否则，它就返回一个错误，使用户的帐目失效并停止工作。
如果COM对象成功地验证出它自己完好无损，付款就尝试与TB上的“收听器”相连接并建立安全的TCP/IP通信通道。它使用TB的公开RSA密钥与TB相连接，并向其传递用户的帐目和机器ID。收听器向申请数据库发出请求以确认顾客的帐目号码和机器ID号码，申请数据库中记录着用户的安装参数。如果这些参数正确，收听器就向COM对象要求加密的一次口令。该口令由一个籽数产生，该籽数在用户计算机上的配置文件与TB用户数据库之间的上一次交换过程中被存储在其中。这种一次口令由用户的个人口令和他的计算机的CPU id“解锁”后使用，用户的个人口令只有他自己知道，仅存储在他的大脑中。(当交易是一次安装，并且以前没有进行过交换时，从拥有者系统接收到的首次启动密钥将取代该一次口令。)
如果号码不匹配或者在设定的时限内用户没有应答，家庭用户软件就返回一个错误消息，帐目就会临时失效，并产生一个运行记录。如果号码匹配，COM对象就知道它正与TB进行通信，因为只有TB可以对利用它的公开密钥发送的消息进行解密，而且TB也知道它正与正确的人在通信，因为只有此人可以“解锁”该一次口令。利用RSA加密，现在使用Diffy-Helman密钥交换方法在此通道上交换了共享的保密密钥，并且加密方法转换为triple-DES。(在triple DES加密中，加密密钥在传送过程中改变数次。)第三步TB对顾客进行认证既然存在一个安全通道，TB上的收听器发出一个动态生成的DLL以收集家庭用户的硬件特征标记信息。这种DLL对每个交易而言是唯一的。它返回一个特征标记串，该特征标记串对每个交易而言都是唯一扰频的并被加密。如果所有的参数都匹配，TB的认证服务器就确信它正与正确的顾客进行通信，该顾客也正与正确的计算机进行通信。TB向顾客返回一个有效交易ID，顾客再把该ID传递给银行或销售商。在银行模型中，关闭该线程，服务器上的一个对象等待银行询问交易情况。在ISP或电子商务模型中，该线程保持打开，等待命令向用户输出一个弹出窗口以确认交易的购买细节。第四步银行或销售商连接TB以验证交易银行或纯粹的认证模型银行或其它销售商把顾客的帐目ID，机器ID，收听器ID，提供者ID以及交易ID传递给TB。如果在纯粹的认证模型中这些ID与顾客被验证时存储在数据库中的ID相匹配，该过程就此结束。登录交易被证明有效，顾客使用拥有者的专有系统继续进行交易，不论该专有系统可能是什么种类。
可选地，TB可以向顾客发出一个SMS消息以通知它交易情况。ISP或电子商务模型在ISP和其它电子商务模型中，除了用户的身份之外还必须确认付款细节和信用有效性。除了上面所提到的顾客的帐目ID，机器ID，收听器ID，提供者ID和交易ID之外，销售商还把付款细节(发票号，发票数量，货币)发送给TB的认证服务器。在先前由付款建立的安全通道上发送给用户一个新的弹出窗口，要求他认可这些发票细节。(如上所述，如果用户没有在设定时间范围内给出应答或者拒绝了此次交易，就停止交易过程，该线程也就中止了)。如果用户通过点击“接受”按钮接受该交易，TB的认证服务器就连接付款服务器，并验证用户具有有效的信用。如果如此，用户与销售商之间的借贷交易就被发送给顾客所选择的金融提供者。最后，TB通知销售商该交易有效，通知顾客完成了一次成功的交易。可选地，TB还可以向顾客发送SMS消息，通知他交易情况。
参见图7，可以看出在该示例性实施例中一个典型的购买会话如下进行a)用户PC上线并且用户使用任一网页浏览程序将其浏览器指向销售商服务器的网站；下载描述出售商品的文件和选择要购买的商品，这向销售商服务器产生一个购买请求，所有这些都以本技术领域中公知的方式进行。
b)销售商服务器将一般包括交易号、订单值的订单页面发回用户PC，并请求记帐信息和发货信息。在某一点上，用户被提请指示她所希望的付款方法，并选择表示本发明的AA付款方案的选项按钮，例如“AA选项”。
c)选择“AA选项”会生成一个返回销售商服务器的消息，它包括用户IP地址并指示销售商服务器将一个请求发送到贷方工具箱以确认在所提供的IP地址上的用户是(a)实际上和活动地在线和试图进行该购买，和(b)在该IP地址上的用户具有进行该购买所必须的信用。
d)当从销售商服务器接收到请求时，工具箱立即向销售商服务器提供的IP地址发送一传输。该传输包括一些文件，该文件(a)搜索、解密和读取用户PC中的UID文件以查看它是谁，(如果PC是已在该系统中登记的机器)和(b)在登记用户的浏览器上生成弹出消息以确保该交易是AA系统的登记用户所希望的。该消息通知具有特定价格的交易正被请求，并且请求确认或拒绝该交易。为拒绝该交易，用户可以通过按下拒绝按钮主动地拒绝或简单地在预定的缺省时间内不响应。为接受该交易，用户必须提供它的用户口令并将表格提交回工具箱。该表格显然伴随有从工具箱传输的包含从用户PC提取和解密的UID和其它机器识别信息的指纹文件。
e)如果用户接受，则工具箱检查数据库以确认未超过用户的信贷限额并向销售商服务器发送表示交易被确认并将由贷方代表用户支付的编码信息。然后，销售商发送HTML消息以通知用户已经成功处理所标识的交易。
f)如上所述，如果用户主动拒绝或在诸如2分钟的预定时限内未响应该弹出信息，该弹出信息消失并且工具箱通知销售商服务器交易未被接受。可选地，可以作出规定，用户可以将一个投标交易标记为“可疑”和带有成见地拒绝一个订单，因此提醒工具箱和安全程序管理器以及销售商有人试图欺骗销售商。显然，在帮助跟踪计算机信贷欺诈和禁止犯罪行为方面该经验可以提供很多优点。
在另一种示例性实施例中，贷方服务器也是ISP服务器或至少在同一位置上并由同一调制解调器室服务。工具箱也位于该位置上。因此，向其在线用户提供ISP业务的银行也向他们提供由恰在银行/ISP的房间内的工具箱执行的该AA交易系统和方法的安全性。
在实施例中如下所述继续进行交易，其中工具箱位于ISP上，下文为ISP工具箱模型。
如上文所述，如果用户接受，TB从工具夹接收加密口令。TB还可以进一步让ISP服务器验证在交易过程中用户的IP地址并未改变。TB使用加密口令将交易记录的标记从“尚未确认”修改为“确认”。交易记录被分配唯一的ID号码(UTID)，该号码还用作访问许可号码，现在将其发送给销售商服务器。
销售商服务器接收访问许可号码并将其与将支付的金额和销售商分配的购买交易号转发给贷方或付款服务器(“PS”)。
为了更加安全，PS和TB最好使用双握手和启动例程来确认与TB的访问许可，类似于在TB和用户客户机PC之间所执行的。PS发送2个ping号码(第一个ping号码是前一付款交易的第二ping号码，当前的第二ping号码将用作下一次付款交易的第一ping号码)，重复发送两个ping号码，然后，当TB用发回第二ping号码进行响应时，PS与交易信息一起发送从销售商接收到的访问许可。可选地，当PS被登记为安全程序中的参与者时，类似的软件代理程序和工具夹可以被安装在PS上，以便TB在使用硬件指纹的握手处理之后可以确认PS身份。
TB检查TB服务器数据库，并且如果访问许可和交易信息与交易记录匹配，则TB向PS发送响应以表示用户已经确认结束交易的愿望，并授权PS为该订单向用户帐户收费。TB在交易记录上记录付款请求已经被支付和认可。TB的物理布局在一种示例性实施例中，TB位于ISP的物理位置上，最好连接到从ISP服务器一侧上的用户直接进入ISP服务器的电话或通信线。TB也被连接到从ISP服务器到互联网(经调制解调器室)的线路上。TB并不与ISP服务器直接交互。在最大程度上，它监测输入和输出业务，等待接管当家庭用户请求安全相关交易时的那些通信。
下述情况说明当位于ISP的TB检测到安全相关交易的请求时启动程序的示例性实施例。如下文将要进一步说明的，在另一种示例性实施例中，工具箱可以不位于ISP而位于另一信用提供者的位置上。
a)用户将其浏览器引导到销售商服务器的URL并选择要购买的商品。
b)用户被提议多种付款方法并选择“安全程序管理器”或“AA付款选项”的选项按钮。
c)在自动提取处理中，用户软件中的改变脚本处理器(onchangescript handler)准备并向中央系统管理员服务器发送对会话用户身份的请求。
d)中央系统管理员服务器将该请求重新发送给装备用户TB的ISP。
e)TB搜索其文件并返回用户身份。
f)由用户计算机生成用户表格并添有用户信息，包括在步骤(e)从ISP TB返回的身份。
g)与转发给销售商服务器的质询一起提交该表格。
h)销售商服务器运行调用中央系统管理员服务器的getGatePass.asp的脚本程序，从而发送对话用户身份、IP(用户当前的IP地址)、交易总量和质询。
i)当用户准备时中央系统管理员服务器将销售商服务器呼叫重新发送给由该IP识别的ISP。
j)ISP上的TB接收getGatePass.asp并针对内部已知的IP核对被提供为销售商服务器调用的一部分的IP以确保用户的确已在此登录。如果IP测试失败，销售商服务器从ISP服务器接收拒绝通知，并结束交易。
k)如果IP测试成功(即用户的确连接到正确的IP地址)，则ISP询问家中的收听器。
图10描述了这样一种情况客户204位于离他的PC212很远的地方，例如他驾驶着他的车206。一入侵者208已经使用他的PC212并欺骗性地试图进行安全交易。因此AA通过互联网220向客户204发送一个消息。客户可以通过蜂窝式便携无线电话230，他的寻呼机240或他的个人数字助理210被远程连接。所显示的客户204正通过他的蜂窝式便携无线电话230接收消息。
图11描述了顾客302向AA 306和销售商308发出一个同步消息304。
本发明的指纹机制可以适用于确保下载受版权保护的资料如内容文件时的所有权，这些内容文件可以包括MP3音乐文件，电子图书，图形文件等等。如果用户要购买内容文件，例如如果用户定购了一个MP3文件，该用户就被引入一个用于下载该文件的URL地址。用户PC中的智能DLL所提供的数字指纹被合并入内容文件本身的编码中。因此，该文件只有在编码入其中的指纹信息与用户PC中的指纹信息相匹配时才是可以下载的。另外，可以对内容文件进行编码以限制怎样和在何处可以访问和操作所下载的文件。该编码还可以确定文件是否可以被转移到有限数目的其它PC。或者，如上所述，ID与磁盘相关联，并且可以被转移到有限数目的PC或者只能转移给另一个MP3播放器(或PDA，条件是在电子图书的情况下)。
要注意上述的优选实施例只是以例子的方式进行说明，并且本发明并不仅限于上面所特别显示和描述的内容。相反，本发明的范围既包括上述各种不同特征的组合也包括其次级组合，以及本领域的技术人员在读到前面的描述后所可能作出的在现有技术中没有披露的变更和修改。
权利要求
1.一种在公用计算机网络上允许安全电子购买交易的系统，所述网络包括用户计算机、销售商服务器、贷方服务器，还包括用于提供用户身份第三方验证的工具箱服务器，由此响应所述销售商服务器的请求，所述工具箱服务器确定地识别用户计算机，请求所述交易的所述用户计算机的确认，并且当接收到所述确认时向销售商服务器提供用于从所述贷方服务器接收付款承诺的访问许可。
2.根据权利要求1的系统，其中所述工具箱服务器通过首先经访问管理器访问所述用户计算机来确定地识别用户计算机。
3.根据权利要求2的系统，其中所述工具箱服务器向所述访问管理器发送一对识别号，其中所述的第一识别号用于获取访问允许，所述第二识别号用于启动所述访问管理器以在后续场合允许访问。
4.在计算机网络中，一种在用户计算机、销售商服务器、贷方服务器和工具箱服务器之间执行安全交易的系统，其中所述用户计算机已经从所述工具箱服务器接收指纹程序，用于创建数字指纹以由所述工具箱服务器使用从而识别所述用户计算机。
5.一种在计算机网络上执行安全电子交易的方法，所述网络包括用户计算机、销售商服务器、贷方服务器和工具箱服务器，所述用户计算机具有访问管理器和在其中存储的数字指纹，包括以下步骤i)所述用户计算机向所述销售商服务器发送购买请求以支付一次购买，该购买请求包括与所述用户计算机相关和所述工具箱服务器已知的用户识别号，所述请求启动从所述销售商服务器到所述工具箱服务器的确认请求的传输以确认所述用户计算机的身份；ii)所述确认请求使所述工具箱服务器向所述访问管理器发送预先安排的握手和启动器，由此所述访问管理器允许所述工具箱服务器请求所述数字指纹的确认。
6.根据权利要求5的方法，其中所述启动器包括用于交易确认操作的下一后续发生的预先安排的握手。
7.根据权利要求5的方法，其中当开始所述购买请求时，由所述用户计算机内部确认所述数字指纹。
8.根据权利要求5的方法，其中所述用户的购买请求与所述确认请求被同时发送到所述销售商，所述确认请求被从所述用户计算机直接发送到所述工具箱服务器。
9.一种用于验证通过公用计算机网络请求访问安全数据库的客户计算机身份的系统，所述网络包括用户计算机、销售商服务器，还包括用于提供用户身份第三方验证的工具箱服务器，由此响应所述销售商服务器的请求，所述工具箱服务器确定地识别用户计算机，请求所述请求的所述用户计算机的确认以便访问，并且当接收到所述确认时向销售商服务器提供访问许可，用于允许所述客户计算机访问所述安全数据库。
10.一种在公用计算机网络上允许安全电子购买交易而不通过所述公用计算机网络传送信用帐目信息的系统，所述网络包括用户计算机、销售商服务器、贷方服务器，还包括用于提供用户身份的第三方验证的工具箱服务器，由此响应所述销售商服务器的请求，所述工具箱服务器确定地识别用户计算机，请求所述交易的所述用户计算机的确认，并且当接收到所述确认时向销售商服务器提供用于从所述贷方服务器接收付款承诺的访问许可。
11.一种用于对可从计算机网络下载的内容文件进行复制保护的系统，所述网络包括用户计算机、销售商服务器、工具箱，其中所述用户计算机已经从所述工具箱接收了指纹程序，用于数字指纹以由所述工具箱使用来识别所述用户计算机，并且所述销售商服务器将所述数字指纹编码到所述内容文件中，从而使所述下载文件只能由所述用户下载。
12.根据权利要求11的用于对可从计算机网络下载的内容文件进行复制保护的系统，其中所述下载文件只能在具有由所述销售商服务器编码到所述文件中的数字指纹的用户计算机上播放。
13.根据权利要求11的用于对可从计算机网络下载的内容文件进行复制保护的系统，其中下载文件只能从所述用户计算机被直接复制其它次级设备上有限的次数，所述有限次数由所述数字指纹编码确定。
14.根据权利要求1的系统，其中所述确认请求被同时发送到一蜂窝设备。
全文摘要
一种在公用计算机网络上允许安全电子购买交易的系统,所述网络包括用户计算机、销售商服务器、贷方服务器,还包括用于提供用户身份第三方验证的工具箱服务器,由此响应所述销售商服务器的请求,所述工具箱服务器确定地识别用户计算机,请求所述交易的所述用户计算机的确认,并且当接收到所述确认时向销售商服务器提供用于接收付款的访问许可。
文档编号G06Q20/00GK1347537SQ00801177
公开日2002年5月1日 申请日期2000年7月31日 优先权日1999年7月30日
发明者恩里克·戴维·桑乔 申请人:恩里克·戴维·桑乔, Egi互联网公司, 安全万维网公司