用于提供银行服务的电子系统.pdf

一种提供银行服务的电子系统，该电子系统包括服务器，该服务器具有用于通过移动电话网与用户移动电话设备通信的第一接口；以及用于与作为至多个银行机构的银行记录的网关的中间媒介通信的第二接口。第一接口适于允许通过中间媒介将至少结余查询请求提交到多个银行机构的其中之一并提供至少结余查询回复以用于在用户的移动电话设备上显示。本发明提供使用移动电话环境提供主要街道ATM的功能。

1.  一种提供银行服务的电子系统，所述电子系统包括服务器，所述服务器具有：
用于通过移动电话网与用户移动电话设备进行通信的第一接口；以及
用于与作为至多个银行机构的银行记录的网关的中间媒介进行通信的第二接口，
其中所述第一接口包括：
适于从用户移动电话设备接收至少结余查询请求的接收部件；以及
适于向用户移动电话设备提供结余查询回复以显示在所述用户移动电话设备上的发送部件，
以及其中所述第二接口包括：
适于将接收到的结余查询请求发送到所述中间媒介以由所述中间媒介重传到所述多个银行机构的其中之一的发送部件；以及
适于从所述中间媒介接收结余查询回复的接收部件，
其中所述第一接口包括考虑至少加密的个人标识号和所述移动电话设备的身份的安全系统，
以及所述第一接口支持驻留在用户移动设备上的客户端软件组件与所述服务器之间的通信，并实现除移动网络安全性级别外的安全通信协议，所述安全通信协议提供跨接于所述客户软件组件和所述服务器之间的传输安全性加密隧道。

2.  如权利要求1所述的系统，其中，所述第一接口还适于使对等端到对等端和对等端到企业的资金转移请求能够从用户移动电话设备提交。

3.  如权利要求1或2所述的系统，其中，所述第一接口用于与 SIM卡和Java移动电话设备进行通信。

4.  如前面任一项权利要求所述的系统，其中，所述第一接口包括PIN Block3DES加密。

5.  如前面任一项权利要求所述的系统，还包括存储所述系统的已注册用户的MSISDN和注册口令的数据库。

6.  如前面任一项权利要求所述的系统，其中，所述系统通过验证用户移动电话设备标识符、所述系统设置的口令和所述多个银行机构的其中之一设置的银行账户标识符来实现安全性验证过程。

7.  如权利要求6所述的系统，其中，所述系统还适于验证与所述多个银行机构的其中之一达成协议的银行账户个人标识号。

8.  如前面任一项权利要求所述的系统，其中，所述中间媒介包括自动柜员机的网络主机。

9.  一种移动电话银行网络，包括：
一种如前面任一项权利要求所述的系统；
中间媒介，作为至多个银行机构的银行记录的网关；以及
多个用户移动电话设备。

10.  如权利要求9所述的网络，其中，各移动电话设备包括驻留在移动电话设备SIM卡上或在所述移动电话设备的启用Java的手机中的客户端软件组件。

11.  如权利要求9或10所述的网络，其中，所述用户移动电话设备可操作以请求所述中间媒介执行包括如下的事务：
移动电话充值；
结余查询；
账户之间的资金转移；
确认待处理事务；或
生成有时限的密码。

12.  一种提供银行服务的方法，包括：
从通过选择屏幕上显示的选项来操作移动电话设备的用户接收 对所述银行服务的请求，其中所述请求与加密的个人标识号和所述移动电话设备的身份一起被接收，并且所述通信在驻留在所述用户移动设备上的客户端软件组件与接管所述银行服务的服务器之间；
处理所述请求，并与作为至多个银行机构的银行记录的网关的中间媒介进行通信，其中所述多个银行机构包括所述用户的银行机构；以及
通过所述移动电话网提供对所述请求的响应，以用于显示在所述用户移动电话设备上，以及
其特征在于，在驻留在所述用户移动电话设备上的客户端软件组件和接管银行服务的服务器之间的通信实现除移动网络安全性级别外的安全通信协议，所述安全通信协议提供跨接于所述客户软件组件和所述服务器之间的传输安全加密隧道。

13.  如权利要求12所述的方法，其中，还包括在允许用户访问银行服务之前，实现注册过程。

14.  如权利要求13所述的方法，其中，所述注册过程考虑所述移动电话设备的身份、所述用户提供的口令和所述用户的地址。

15.  如权利要求12、13或14所述的方法，其中，使用PIN Block3DES加密以与所述用户进行通信。

16.  如权利要求12至15的任一项所述的方法，其中，使用LTS加密系统以与所述用户进行通信。

17.  如权利要求12至16的任一项所述的方法，其中，所述银行服务包括帐户结余查询。

18.  如权利要求12至17的任一项所述的方法，其中，所述银行服务包括移动电话账户充值。

用于提供银行服务的电子系统
本发明涉及银行服务的提供。具体来说，本发明涉及自动柜员机(ATM)目前提供的电子银行服务类型，例如结余查询。
引入ATM主要用于通过向客户提供传统出纳功能(例如存款和提款服务)的自动化界面来减少零售银行的支行中所需的出纳人数。通过引入自动化，ATM使零售银行业不仅能实现运营成本的降低，而且还能使业界在不断提高可用性的24小时主要街道中保持高水平的客户服务而无需大量投资。
例如，对于英国的零售银行来说，在理论上无需与管理ATM资产关联的任何成本的前提下，向它们的客户提供对英国主要街道上超过40000个ATM的访问是可能的。
英国流通领域中超过94000000张被支持的卡，ATM现在已经广为全球规模的客户所接受。除了提款和存款功能外，ATM还允许执行结余查询，查看报表以及数量不断增加的附加功能。与账户管理而非现金提取相关的这些附加服务处于不断增长需求中。但是，ATM设在固定位置中，因而不提供客户所需的灵活性。
在线银行和储蓄系统为用户提供附加的灵活性以在住家中的家庭PC上执行所有需要的任务。这些银行服务可以允许执行更加广范得多的功能，包括缴费、结余查询、账户之间的余额转账等。虽然这种形式的银行业务提供客户需求的附加灵活性(就时间和位置而言)，但是使用因特网作为数据传输平台引起安全性问题，并且许多客户因此不愿意使用基于因特网的银行服务。
因此仍存在在安全环境中交付银行服务但是具有位置和时间灵活性的需求。
发明内容
根据本发明，提供有一种提供银行服务的电子系统，该电子系统包括服务器，该服务器具有：
用于通过移动电话网与用户移动电话设备进行通信的第一接口；以及
用于与作为至多个银行机构的银行记录的网关的中间媒介进行通信的第二接口，其中所述第一接口包括：
适于从用户移动电话设备接收至少结余查询请求的接收部件；以及
适于对用户移动电话设备提供结余查询回复以显示在用户移动电话设备上的发送部件，
以及其中该第二接口包括：
适于将接收到的结余查询请求发送到中间媒介以由中间媒介重传到多个银行机构的其中之一的发送部件；以及
适于从该中间媒介接收结余查询回复的接收部件。
本发明基于可通过将服务扩展到移动电话环境使得主要街道ATM的一些出纳功能更易于被访问的认识。第一接口适于允许借助中间媒介将至少结余查询请求提交到多个银行机构的其中之一并提供至少结余查询回复以用于显示在用户移动电话设备上。
第一接口还优选地允许将资金转账请求提交到多个银行机构的其中之一。这可以允许PIN同时使用的对等端到对等端转账和对等端到企业转账。在此情况中，将指示源银行以将资金转账到指定的目的地账户。
第一接口可以用于与SIM卡和Java移动电话设备进行通信。优选地，系统可以作为跨银行、跨移动运营商的银行服务来运作。此环境允许使用任何运营商和任何手机来访问任何银行的服务。
第一接口优选地包括个人标识号安全性系统。这在移动网络的现有安全性上提供附加级别的安全性，其中移动网络的现有安全性 已经实现了基于用户的SIM卡的安全性。可以使用PIN Block 3DES加密。
第一接口还可以包括LTS加密系统。
本发明还提供一种提供银行服务的方法，该方法包括：
从通过选择屏幕上显示的选项来操作移动电话设备的用户接收对银行服务的请求；
处理该请求，并与作为至多个银行机构的银行记录的网关的中间媒介进行通信，其中多个银行机构包括该用户的银行机构；以及
通过移动电话网提供对该请求的响应，以用于显示在用户移动电话设备上。
该方法提供在移动设备上显示信息，由此可以在移动设备上实现ATM功能，从而对这些功能增加了位置自由度，但是并不会由于使用基于因特网的PC系统而损害安全性。
优选地，在允许用户访问银行服务之前，执行注册过程。注册过程可以考虑移动电话设备的身份、用户提供的口令和用户的地址。
银行服务可以包括结余查询、移动电话账户充值和许多与电子(非纸件形式)商贸相关的其他服务。
附图说明
现在将参考附图详细地描述本发明的示例，其中：
图1示出本发明的系统的优选注册过程；
图2示出从用户角度来看，本发明的系统与常规ATM功能的比较；
图3示出用户进行结余查询所执行的步骤；
图4示出用户进行移动电话充值所执行的步骤；
图5以示意图形式示出本发明的系统的示例；
图6更详细地示出用户与本发明的系统的服务器之间的接口的第一示例；
图7更详细地示出用户与本发明的系统的服务器之间的接口的第二示例；
图8较图5更详细地示出本发明的系统的示例；
图9示出本发明的系统内的通信中存在的不同安全性层的四个示例；
图10示出本发明的系统的网络视图；
图11示出本发明的系统的图示其他应用的更广义的高层面概况；
图12示出本发明的系统如何为这些其他应用在零售银行业与客户之间实现接口；
图13A和13B示出使用该系统中涉及的步骤，并用于进一步详细地解释本发明的安全性方面；以及
图14示出用于事务验证的图13B的步骤的备选方式。
具体实施方式
现在将从两个角度来描述本发明。首先，从客户、零售银行和移动运营商角度针对服务提供该系统实现的服务的概况。然后是采用构成服务的技术组件的详细概况的形式提供技术概况。
本质上，本发明的系统可以视为使客户能够直接从他们的移动电话对一定范围的常用和很好理解的账户事务设施的安全访问的服务。但是，不同于其他移动银行服务，其核心原理不同于最初引入ATM的核心原理；实用地引入自动化以特别地压低运营成本，同时保持和增加客户服务。
在下文部分，主要从客户的角度而且也从零售银行和移动运营商的角度进一步详细地描述服务。
该系统旨在为供任何客户使用，并旨在为被任何客户所认识。具体来说，该系统提供超过30年来被接受的出纳隐喻的实现。它现在已成为大众的直觉经验。
上文提到与基于因特网的银行系统有关的安全性问题是通过使用相同受信运营商的ATM解决的。在英国，LINK(商标)被认知为安全事务服务的受信提供商，具有较强品牌认知度(在英国成年人中为92％)。因此提议作为与例如LINK(商标)的ATM运营商的伙伴关系以在英国实现该系统。这是赢得第一级的客户信任的关键部分-安全性。如下文将示出的，可以利用银行级安全性来实现服务。
该系统可以通过最初引入有用的低风险事务服务(例如结余查询和移动电话充值服务)来实现。这样可能允许使用逐渐变成习惯性的，并因此允许引入其他服务。
在2003年通过LINK ATM交换机有超过90000000次结余查询事务。本发明的系统为从固定的ATM使用这些设施的客户提供更易访问且实时的服务。随着时间推移，这些事务类型将通过实用且必要的电子货币管理事务类型而得以扩充。
下文部分描述客户如何获得对服务的访问，以及之后客户如何使用该服务。
客户注册
出于安全性的原因，客户注册该服务是必要的。这以两个方式的其中一种来实现：通过服务Web网站注册或直接从移动电话注册该服务。图1中给出了注册过程的概况，其中示出客户如何使用该服务。在附图和下文中，使用术语“mobileATM^TM”，这表示本发明的服务/系统。
图1示出使用该服务所需的四个阶段。在阶段1中，客户获知该服务的存在。在阶段2中，有注册过程，后续阶段包括通过邮寄将密码发送给用户。这提供用户的IP地址或移动身份与邮编地址之间链接，并由此提供PC或移动电话的简单匿名使用之上的附加安全性级别。在此注册过程之后，在阶段4中，客户可以使用该服务。
使用服务
一旦注册，客户就可以开始使用服务，并这通过导航到他们的电话上的应用菜单并执行应用来实现。采用与物理ATM相似的方式，用户将被要求输入数字码或口令，这构成识别过程的一部分，如图2所示。
图2示出本发明的系统与ATM使用类似，而唯一的区别是从移动电话选择服务，而非将银行卡插入到ATM中。
一旦通过服务的认证，客户将能够从多个注册的账户中选择或选择注册要针对服务而使用的其他账户。注册的每个账户具有可以针对所选账户执行的多个被支持的事务。最初，服务将以结余查询和移动电话充值来启动，下文将进一步论述它们。
结余查询事务
图3中给出结余查询的用户体验的概况。图3中的十个图像示出如下操作：
1.客户定位服务并启动服务。
2.客户输入他们的口令(他们通过邮寄接收到的口令)。
3.将该口令加密并以安全方式发送以供客户端应用验证。
4.从服务器接收身份验证并将其显示。
5.显示一个已注册账户的列表，并且客户能够使用普通手机按钮对该列表导航来选择感兴趣的账户。
6.显示针对所选账户的被支持事务的列表，客户可以使用手机选择键来选择结余查询事务类型。
7.以安全方式将事务请求发送到服务器以进行处理。
8.从服务器接收结余查询结果。
9.然后将结余查询显示在屏幕上，就像物理ATM上出现的那样。
10.最后，用户自动被导航回账户事务屏幕。
移动电话充值事务
图4中给出移动电话充值事务的概况。图4中的十一个图像示 出如下操作：
1.用户从他们的电话菜单中定位服务，并执行mobileATM^TM应用。
2.客户输入他们的口令。
3.将该口令加密并以安全方式发送到服务器以进行验证。
4.一旦通过验证，则从服务器接收结果。
5.显示一个已注册账户的列表以供用户从中选择。
6.要对电话充值，用户从事务菜单中选择移动电话充值事务。
7.客户从已注册列表中选择要充值的移动电话账户。只需选择注册电话菜单项并输入电话号码，从列表选择相关的服务提供商并输入用于记忆该账户的别名，即可注册电话账户。
8.要对该账户充值，用户选择充值菜单项。注意该菜单级将被扩充为提供移动电话账户的其他出纳服务-例如在运营商提供储值功能性时以便解决电子货币监管。
9.用户从金额值的列表中选择对移动电话账户充值所需的金额。
10.向客户显示事务的确认以便接受。一旦接收到确认，将事务发送到服务器以进行处理。该处理包括将事务分拆成从源银行账户或信用卡提款和将存入相关的预付账户。
11.最后将包括接受的确认显示在屏幕上。注意小对账单功能性将包括在稍后日期检索接受编号的能力。
图3和图4因此图示从客户角度来看该系统易于使用。
从银行业的角度来看，可以使服务对ATM运营商的所有成员提供(例如英国的LINK(商标)交换网络，并且使得服务支持英国的94000000张卡)。LINK(商标)是向成员提供多个服务的成员关系方案的一个示例，可以将这些服务扩充为包括本发明的移动服务。因此，每个零售银行将具有支持服务的选项。
本发明的服务还以如下方式解决了零售银行业的关键问题：
1.服务是否安全？-使用移动电话可以适于提供具有与物理ATM相似级别的安全性的安全环境。
2.服务的成本是多少？-与引入最初的ATM的核心原因相符，本发明的服务仅需要最小的投资水平，并且不仅服务降低了运营成本，而且从传统上不产生收入的服务(例如结余查询)提供新收入流以及通过扩充例如移动电话充值的服务来提供新收入流。
3.服务是否具有竞争力？-本发明提供出纳隐喻的移动电话实现。出纳隐喻表示标准银行事务，因此使零售银行能够使客户服务更易于访问。本发明还如主要街道ATM那样为个人银行提供灵活的基础以便为它们的客户提供具有吸引力的服务，从而使它们能够保持移动通道上的竞争力，而无需大量投资。
从移动运营商的角度来看，该服务基于全球通信标准，因此可以使该服务通过英国的每个移动电话使用。因此本发明的服务还以如下方式解决了移动电话业的关键问题：
4.它是否增加了数据服务？-为现有服务提供更易于访问的通道将产生一些新的提升；移动运营商已经通过以更昂贵但是更易于访问的通道有效地替换付费电话网络毫无疑问地证实了该点。
5.它是否是具有竞争力的服务？-使用引入自动化的相同原理以减少维护分支网络的成本，该服务对预付市场引入自动化，从而产生巨大的运营成本的节省。运营商已经认识到减少事务成本引入实时结算所产生的节省，估计是30亿英镑的预付市场。利用最近引入的固定线路的ATM移动电话充值服务已体验到了巨大的提升。
总之，本发明的服务使得用户能够通过熟知的用户界面设计安全实时地访问多个金融事务服务-ATM的移动电话实现方式。
对于零售银行，该服务使它们能够利用引入ATM的最初原理；通过出纳服务的实用自动化降低运营成本。该服务还使零售银行能够提供量身定做的服务，从而使零售银行能够保持跨移动通道的竞争力而无需大量投资。
对于移动运营商，该服务提供新的数据服务，从而增加了数据ARPU(每个用户的平均收入)。它还使移动运营社区能够通过提供例如针对客户的预付账户的存款的标准出纳服务来显著地减少管理预付客户的运营成本。
下文对本发明的系统的一个优选实施进行技术描述。
在一个优选实施方式中，将该服务设计为利用标准面向对象的分析、设计和编程技术的基于组件的服务。更确切地，该服务可以针对J2EE(Java2企业版)标准和最佳的实践技术来设计。该系统旨在为在未改进主要街道ATM的安全性的情况下至少作为副本。
图5中示出高层面的组件示意图。“移动运营商连接点”1是mobileATM服务器与mobileATM客户端组件之间的接口。“mobileATM事务交换机”2提供该系统的事务服务器和一些安全性组件。“卡激活号服务器”3提供满足安全性模型一部分的机制-通过以物理方式发送印制在相关安全性固定物上的卡激活号来确认客户的地址。“连接：直接”组件4提供与卡发行商进行必要的地址检查功能性。“LINK ATM交换机”5构成用于通过LINK网络与成员银行进行安全事务的接口。“mobileATM web注册”组件6提供用于完成Web注册的必要功能性，以及“MoibileATM计费”引擎7提供用于对针对客户移动电话账户的个人事务类型计费的机制。
该服务被分成如下组件：
·客户端组件
·事务服务器组件
·企业集成组件
下文部分给出这些组件的更多细节，其中还包括服务的网络连接的概况。
客户端组件
mobileATM^TM客户端组件是整个mobileATM^TM服务的客户端层，并用于确保启动时被支持的最大数量的客户。支持两个不同基 本类型的客户端：
·基于SIM卡的客户端；或
·基于Java的客户端。
该客户端策略确保服务能够支持英国超过50000000个移动电话用户而与用户个人的手机的功能无关。
基于SIM的客户端
订户身份模块(SIM)是插入移动手机中的芯片卡，它是超过863600000个GSM订户的关键部件，表示了超过72％的全球移动电话市场。SIM的目的是用于存储预订信息，并且无论在家或国外漫游时提供订户与移动服务提供商之间的认证。SIM卡的发展中的其中一个关键进展是SIM工具套件(STK)的引入，它现在已经被结合到全球通信标准中。
STK能实现开发SIM驻留应用，该SIM驻留应用作为菜单项出现在手机上来进行访问。本质上，STK使移动运营商能够向SIM发送命令，这些命令有显示菜单、获取用户输入以及发送和接收短消息(SM)。STK中的另一个进展是将基于SIM的微浏览器标准化，基于SIM的微浏览器向应用开发商提供用于开发手机未知的基于安全SIM的应用的简单平台。开发微浏览器或无线因特网浏览器(WIB)并针对性地对其标准化，以使应用开发商开发访问SIM存储器的SIM驻留WML(无线标记语言)并在SIM内提供正真可共同操作的执行环境。
图6中给出与SIM客户端交互的主要组件的概况。
最初，用户从菜单请求mobileATM^TM服务，SIM创建对mobileATM^TM的请求，该请求被编码成字节码，并使用SM(短消息)协议发送到WIG(无线因特网网关)。
WIG接受请求，并将字节码翻译成标准的URL请求，然后将该请求转发到mobileATM^TM服务器。
mobileATM^TM服务器处理该请求，在此情况中为生成用户专用 的ATM菜单。要返回的内容以无线标记语言表示，并被发送回WIG。
WIG将WML编码成字节码，并使用SM协议将内容发送到WIB以便在电话上显示。
用户可以选择发出重复此事件流的事务。
采用WML形式的WIB(无线因特网浏览器)内容是通过事务引擎的Web层组件针对每个个体用户请求动态生成的。
为了实现系统的安全性需求，SIM客户端利用SIM卡制造商提供的标准安全性插件。根据SIM的使用，基于PIN加密系统创建了两种安全性模型。SIM使用因素包括使用SIM的时间段和移动运营商的内部密钥管理过程。
PIN加密模型1
现有SmartTrust3DES(三重数据加密标准)插件具有如下功能签名：
*DE(密钥标识符，选项，明文)
其中：
密钥身份-标识要用于操作的密钥
选项-指定用于操作的多个选项
明文-用于操作的文本
对于第一实现选项，密钥身份用于标识加密要使用的驻留密钥，选项表示3DES操作，以及明文是PIN和要加密的填充信息。
PIN加密模型2
如下是对PIN加密的另一个增强使用对标准插件的修改：
*DE(密钥标识符，选项，明文，工作密钥)
其中：
密钥身份-标识要用于操作的密钥
选项-指定用于操作的多个选项
明文-用于操作的文本
工作密钥-要用于加密的加密的PIN
如下是用于该功能的伪代码：
//将工作密钥解密
密钥＝decrypt(密钥标识符，工作密钥)
//将明文加密
return(encrypt(密钥，选项，明文))
这种实现使工作密钥能够在MobileATM会话的服务器一端生成，并在用户请求该服务时以安全方式发送到手机。
基于Java的客户端
mobileATM Java客户端设计为被大多数启用Java的手机支持，包括MIDP1.0和MIDP2.0手机。图7示出MobileATM浏览器8和MobileATM服务器9。如图7所示，mobileATM^TM Java客户端(mobileATM浏览器8)本质上设计为包括如下主要组件的安全浏览器体系结构：
·呈示层
·XML语法分析器
·加密库
·HTTP堆栈
下文论述这些组件：
呈示层
与SIM客户端一样，由于来自Java客户端的请求，由事务服务器的Web组件使用标记语言动态地生成内容。Java客户端的内容利用对WML标准的特定扩充，称为MATML(移动ATM标记语言)，它通过呈示层在手机屏幕上呈示。呈示层维护对当前“页面”或菜单屏幕的静态引用，以及对用于维护状态、高速缓存管理和用于导航mobileATM^TM的缺省命令的商务逻辑的静态引用。
事务服务器采用cookie来维护客户端状态。Java客户端除了路径或有效期属性外将cookie完整保存。但是客户端按主机名存储并 返回cookie。
为了改善客户体验，Java客户端维护mobileATM^TM服务的最近页面或菜单项的动态高速缓存。如下是Java客户端高速缓存的机制：
·当用户请求页面，本质上请求至另一个页面的链接时，呈示层最初检查它的内部缓存以确定该页面最近是否被访问过。如果没有匹配页面，则将URL传递到HTTP堆栈，生成HTTP请求并将其传送到事务服务器。当生成HTTP请求时，客户端则确定是否应该将所请求的页面添加到内部客户端缓存。
·当客户启动前进或后退命令时，呈示层确定是否将所得到的页面存储在内部高速缓存中。如果不存储，则将URL传递到HTTP堆栈，形成请求并将其传送到事务服务器以便进行处理。
Java客户端具有三个缺省命令：
·前进-呈示层根据当前页面的索引的检查确定前进命令是否有效。如果有效，则将keypress事件句柄添加到当前页面以便进行呈示。
·后退-呈示层根据当前页面的索引的检查确定后退命令是否有效。如果有效，则将keypress事件句柄添加到当前页面。
·退出-缺省情况下呈示层将退出命令添加到每个页面。执行退出命令，则在退出应用之前执行必须的清除。
XML语法分析器
Java客户端语法分析器使客户端能够分析MATML信息，并创建要在手机屏幕上呈示的必要对象。
加密库
mobileATM^TM客户端具有轻量级传输安全性(LTS)层；此安全性层提供客户端与事务服务器之间的加密隧道。该加密隧道类似于内部SSL会话，但是不同于SSL，因为LTS公共密钥被嵌入到被混淆的(obfuscated)客户端内。由于与GPRS网络数据交换关联的网络时延程度高，所以采用该网络安全性模型。该部分中稍后在端到
端安全性概况中给出其他信息。
HTTP堆栈
HTTP堆栈控制客户端与事务服务器之间的所有HTTP通信。
事务服务器组件
图8中给出mobileATM^TM事务服务器的详细组件示意图，出于说明本文档的目的，依据如下组件来描述软件体系结构：
·Web层组件
·核心商务逻辑组件
·事务框架组件
该设计能实现面向对象的设计和编程最佳实践，同时分离表现层、商务逻辑层和企业集成层。这些是根据Java标准开发的，其中使用Java服务器页和JavaServlet的组合来开发表现层。商务逻辑层作为一系列的Java无状态会话bean来实现，EAI组件是根据Java连接器体系结构(JCA)开发的。
下文更详细地描述了一些密钥组件，然后论述例如LINK接口的EAI(企业应用集成)组件以及安全性问题。
Web层组件
Web组件层10包括管理mobileATM^TM客户端(手机11)与mobileATM^TM服务器之间的通信所需的必要组件。Web层是servlet12和Java服务器页面(JSP)13的集合。
核心商务逻辑组件
核心商务逻辑组件20进一步被细分成如下子组件：
轻量级传输安全性-与SSL相似的安全通信协议，将在端到端安全性部分进一步描述它。
口令认证-在建立LTS会话之后，生成进一步工作密钥以通过如下步骤将口令加密和验证口令：
-客户端生成随机密钥
-针对LTS工作密钥将该密钥加密
-将加密的口令发送到服务器Web层
-存储用户会话的工作密钥
在用户输入它们的口令之后，客户端针对LTS工作密钥将该口令加密，并将加密的口令发送到Web层。然后验证加密的口令，向用户授予对它们的服务的访问权，否则显示无效口令消息。
会话管理-核心商务逻辑利用会话管理以维护客户端请求之间的状态。
事务框架
事务框架30管理出纳事务，以及使用无状态会话bean(SSB)对个人事务类型进行编码。事务框架的实现使得能够在不影响服务的现场运行的情况下支持其他事务类型。最初服务将具有如下事务类型；
结余查询-结余查询SSB32与LINK集成组件交互以执行用于节余查询事务的必要商务逻辑
移动电话充值-充值SSB34与LINK集成组件交互以执行用于移动电话充值事务的必要商务逻辑。
企业应用集成组件
为了确保能够在将来扩充服务器，例如支持不同的地理区域，企业应用集成(EAI)组件已使用标准Java连接器体系结构(JCA)来实现。为服务实现了如下EAI组件：
LINK JCA40-由SSB和服务实现构成。如下是LINK JCA所展示的功能性：
-结余查询-形成相关的LIS5事务编码，发送事务和将所产生的回复路由回事务框架。
-移动电话充值-形成相关的LIS5事务编码，发送事务和将所产生的回复路由回事务框架。
运营商JCA41-用于与系统的运营商接口。
MChex JCA42-由SSB和服务实现构成。如下是MChex JCA 所展示的功能性：
-将包含消息体和运营商规范的SMS消息发送到MSISDN(移动台ISDN)
-将包含二进制消息内容和运营商规范的二进制消息发送到MSISDN
-将包含消息文本和运营商规范的WAP推送消息发送到MSISDN
-对MSISDN执行计费请求，该请求包括价格点和运营商规范
HSM(分层存储管理)JCA44-由SSB和服务实现构成。如下是HSM JCA所展示的功能性：
-生成口令，用于生成卡激活号(CAN)和新随机口令
-验证口令，用于针对口令认证用户和用于针对CAN激活卡
-生成口令或CAN偏移，用于存储针对用户的口令和用于存储针对卡的CAN。
这些JCA组件各具有所示的相应接口组件。
图8还示出由数据访问对象(DAO)控制的数据库36，其中包括事务查询和登录DAO500、定制事务DAO52和核心DAO54。通过浏览器接口58控制管理DAO56。
作为示例，DAO使用JDBC(Java数据库连接)与数据库36通信。DAO50、52、54使用本地协议与事务框架30和SSB32、34通信。至核心商务逻辑SSB20和事务框架SSB30的其他通信通道使用RMI/IIOP(Java远程方法创新/因特网ORB间协议)。SSB接口与JCA40、41、42、44之间的通信可以使用SOAP，尽管如上文提到的，LINK接口另外还可以使用LIS5。
不同手机类型使用不同的协议与Web组件层10通信，例如这些不同协议为SM OTA信道03.48、SMS(短消息发送服务)、GPRS(通用分组无线电服务)。在Web组件层10内，可以使用HTTP、SMTP、SMS2000和XML。所示的不同类型的手机技术的示例是WIB(无线 因特网浏览器)、JavaCard和J2ME。
端到端安全性模型
服务的主要设计考虑是安全性，以及如图9所示，服务采用多层安全性模型。
在图9中，部分A是SIM客户端的多层安全性层的概况，其中示出通过对来自SIM卡的空中业务加密来提供网络级安全性，并且PIN加密层提供用于PIN的PIN Block3DES级安全性。
部分B是用于MIDP1.0客户端(移动信息设备协议)的多层安全性模型的概况，其中进一步改进了安全性，以便除移动网络安全性级别之外提供mobileATM网络级安全性。该级别提供如同mobileATM手机应用与mobileATM服务器之间的连接的安全SSL。
部分C是用于MIDP2.0客户端的多层安全性模型的概况，其中通过提供直接从手机到mobileATM服务器的SSL隧道来进一步增强了网络安全性。进一步增强该模型以包括签名的应用代码来解决中间人攻击。
部分D是利用JSR177支持对MIDP2.0客户端的进一步增强。在该模型中，加密和解密任务均在SIM环境中执行。
服务器体系结构使得能够动态地生成被支持的事务，以便限制对于不同安全性模型可用的事务类型。例如，部分A可以仅指定为支持结余查询和预付充值事务，其中增强的安全性模型可以因提供增加的安全性而支持另外的事务类型。
如图9所示，不同的客户端类型能实施不同类型的安全性保护。但是，在每种情况中，最低要求是PIN块加密，它提供3DES PIN保护。
服务的一般性安全性特征可以包括：
-不将任何客户银行卡数据存储在mobileATM^TM客户端应用内。
-不将任何客户银行卡数据存储在手机存储器内。
-mobileATM^TM在服务器一端保存不足以克隆银行卡或执行无卡事务的银行卡信息。
-客户选择他们自己的5到12个数字之间的口令。
-客户的mobileATM^TM口令在长度上较长，且与客户ATM PIN分开
-mobileATM^TM口令确保整个mobileATM^TM通道的安全。
-mobileATM^TM所采用的消息传送协议是HTTP请求/响应。
LTS(轻量级传输安全性)加密层具有如下属性：
-LTS级加密隧道跨接于mobileATM^TM客户端应用和mobileATM^TM服务器之间。
-LTS隧道防止客户端与服务器之间的消息插入、移除、变更或重放，这通过3DES加密与消息MACing技术组合来实现。
-mobileATM^TM客户端和服务器包含用于提供LTS级安全性的客户加密库。
-将mobileATM^TM LTS公共密钥存储在混淆的客户端，并且长度为2048位。
-mobileATM^TM LTS密钥对具有24个月的最大寿命。
-多个mobileATM^TM LTS RSA密钥对可以同时为活动的。
PIN块加密层具有如下属性：
-将口令与它们相关的mobileATM^TM客户ID关联。
-口令偏移值是与使用mobileATM^TM PVK根据客户ID生成的自然PIN的偏移值。
-进入期间不将客户输入的口令值显示在手机屏幕上。
-将mobileATM^TM保存的口令值作为mobileATM^TM PVK保护的PIN偏移值存储在mobileATM^TM数据库内。
-mobileATM^TM PVK是双长度DES密钥。
-将给予mobileATM^TM客户5次连续尝试以正确地将他们的口令输入到客户端中。
在传输到mobileATM^TM服务器之前，将每个客户输入的口令形成ISO格式-1PIN块，并利用mobileATM^TM工作密钥(WK)将其加密。
-5次连续不正确的口令输入尝试之后，该客户的mobileATM^TM账户将被锁闭。为了获得对服务的访问权，客户必须请求新的随机密钥，该密钥被邮寄到他们的家庭地址。
-mobileATM^TM服务器使用Thales RG8000HSM(高安全性模块-它是标准银行安全性组件)来对照存储在mobileATM^TM数据库中的偏移值验证加密的客户输入的口令。
图10中给出mobileATM^TM服务的网络连接的概况。移动网络运营商示出为60，MobileATM系统示出为62。
图10示出无线电接入网63，它包括与移动设备通信的基站收发器、基站控制器64和基站系统65。
GSM/GPRS基础设施示出为66，它与网络运营商IP网络68通信。网络68与MobileATM系统62通信，网络68包括路由器、防火墙和服务器69，其中服务器69通过IP连接与LINK ATM交换机70通信。
上文描述着重于使用系统以使移动电话充值和结余查询能够使用移动电话来执行。本发明的系统一般在电子商贸上还可能涉及更宽范围。通信技术的发展促进了因特网连接或具有因特网功能的设备的数量和范围的迅猛增长。这些设备的范围从个人计算机到游戏控制台、移动电话和电视机机顶盒。广义地认识到，事务方式中的主要发展起因于因特网，但是该模型中仍有许多使电子商贸能够进一步发展的关键组件缺失。朝向无摩擦商贸的最关键发展阶段是从当前受限的、不可靠且不安全的事务环境过渡到向所有人开放的安全且可靠的事务环境。
启动电子商贸的该发展阶段的最重要的催化剂包括(1)能够表示货币；(2)能够将该表示与个人身份关联；(3)能够以安全且可 行的方式在所有电子贸易环境内使用这些组件来进行事务处理，而与连接设备或服务提供商无关。
在物理商贸中，身份管理是重要的。身份管理不仅涉及电子商贸中的身份验证，而且影响国家税收体系。
可以使用本发明的系统以便能够通过创建扩充当前物理机制并在电子世界中表示这些机制的技术产品和服务来使电子商贸能够进一步发展。通过创建可行的机制以简单地表示用于货币和身份的当前且被接受的机制的扩充，系统可应用于每个国家。更确切地，通过提供可使电子商贸能够发展成对所有人开放的安全和可靠的贸易环境而不会干扰现有机制的机制、过程或法规，从而适宜地控制国家货币流通和最终控制国家经济。
可以将本发明的系统扩充到提供能为物理商贸创建可行的电子货币表示的技术。这有效地使物理商贸中的利益相关者能够实现电子货币的显著运营成本的节省。
图11示出本发明的系统(mobileATM^TM)的更广义的高层面概况以及本发明如何同时适应物理和电子商贸。
区域80是物理贸易环境的模型，其中政府80a在中央，随后的是中央银行80b和零售银行业80c。该结构提供使物理商贸蓬勃发展的基础。本发明的系统示出为84，它是零售银行业80c与用于连接到电子商贸的潜在设备86之间的接口。它们包括但不限于个人计算机或游戏控制台、电视机机顶盒、移动电话或个人娱乐设备、数字无线电接收器和车载娱乐和信息系统。
利用安全通信链路82，其中至设备的连接是直接的或间接的。
84表示的mobileATM^TM服务包括上文解释的满足跨行、跨运营商、跨手机的需求所必需的设备展现、事务商务逻辑和企业集成组件，这赋予系统大量采用的吸引力。
区域88是电子商贸环境的模型。这将发展成一系列赋予对通过服务提供商的能力建立的不断发展的产品和服务的访问权的市场。
这些不同的市场90需要国家所要求的必要控制、措施等(例如能够对通过电子通道产生收入的公民和显然本身有此机会的公民实施可行的税制)。
可以看到对于客户，服务提供商通过简单地实现自动柜员机(ATM)的用户界面隐喻向他们提供通过任何适合的通道对出纳服务的实时访问。
对于商家，它提供可靠且安全的贸易环境的基础；它们可以是货币和身份的可行表示。对这些表示的访问将能够创建支持任何有活力商贸环境的混合的商务模型，且远远超出上文给出的示例。该系统因此提供使更为传统的预订模型与可行的小金额支付相配合的机制。
对于零售银行，系统提供使它们通过一定范围的通道以安全方式扩充它们的服务的标准机制。因为服务利用现有的接口，本质上仅作为ATM或POS结合于现有的安全网络，所以显著降低了扩充和扩张它们提供的客户服务的成本。它还提供使零售银行业开始实现运营成本节省而促使不可避免地向电子货币转移的框架。
对于政府，它提供许多用于使商贸能够进一步发展的标准机制。这些标准机制专门地设计为符合控制国家货币流通中必需的发展较好的过程、体系和法规。这些机制还提供最终可以促成创建对所有人开放的环境的新机会的框架。该系统具有提供允许国家政府根据变化中的商贸环境发展它们的税务体制的机制的灵活性。而且，还提供能力以利用产品和服务套装提供有效率的自动化税收代理以适应将来的“按使用付费”的税务模型(例如对驾车进入伦敦中心而征收的交通拥挤费税)。
因此，可以看到，本发明的系统可以提供安全的电子商贸环境，提供超过上文在一个实施方式的详细描述中概述的那些的优点。
在更广义的层面上，本发明能够实现货币和身份的可行表示。因此在图12中可以看到，可以将服务集成到可行的货币流通所必需 的现有过程、控制和法规中。图12示出本发明的系统84在零售银行业80c(通过例如LINK的中间媒介92)与客户之间实现接口，具体为客户的所谓的电子口袋(epocket)94(电子钱包)。此电子钱包用于通过与商家的所谓的电子钱柜(eTill)96进行电子通信来进行事务处理。
可以将mobileATM^TM服务与现有的银行系统集成，并因此适于具有单个ATM/POS事务交换机或多个ATM/POS事务交换机的每个国家(如图12中的接口92所示)或最终适于没有共享事务设施的国家。
如上所述，可以被系统实现的服务的数量远远超过描述的特定示例(移动电话充值和结余查询)。事实上该系统与三种类型的事务模式兼容：安全性事务服务；信息事务服务；以及金融事务服务。
然后可以将这些事务安装到服务中，并在客户访问该服务时使之可用。这不仅为客户提供安全、可访问且易于使用的服务，而且还提供将零售银行业和移动运营商业的商务需求结合的灵活基础。
可以在启动时使用上文描述中缩减的服务示例以减少客户面对的复杂度，并对他们提供对低威胁性服务的访问。其他事务服务也是可能的，下文将进一步论述。
对于安全性事务服务，上文描述的mobileATM^TM服务是真正的两因素认证系统。mobileATM^TM客户仅在客户证明了：(a)他们拥有注册的移动手机；(b)他们拥有银行卡；以及(c)他们知道关联的mobileATM^TM口令的情况下才授予使用服务的许可权。因此可以看到，mobileATM^TM安全性模型复制并扩充了ATM的模型；使用客户拥有的某物(他们的移动电话和他们的银行卡)和客户知道的某物(他们的PIN)。
因此，可以在客户远离支行时，使用该服务作为零售银行用于多个电子事务的认证服务。一种此类服务是用于提供在线银行凭证服务或提供在线银行事务的其他验证的认证服务。
英国的大多数零售银行向客户提供因特网通道来管理他们的账户并且对此通道的访问常常包括注册过程。注册过程包括由零售用户生成用户凭证，并将这些凭证通过邮寄交付到客户的家庭地址。一旦接收凭证，客户就可以使用这些凭证来通过安装在他们的因特网连接的PC上的浏览器登录他们的因特网银行。
这种访问控制模型产生两个问题。一是由零售银行管理用户凭证，另一个涉及可能恶意获取对客户的因特网银行凭证的访问。
如果没有书写下来，零售银行客户有许多凭证要记住，例如ATMPIN、信用卡和借记卡PIN和因特网凭证，这增加了零售银行业有效率地管理必要凭证的范围的问题。随着凭证的数量增长，可以推断客户管理团队的运营成本也随之增加，例如由于忘记凭证以及响应对客户账户的欺诈攻击而对呼叫中心的呼叫增加。
通过信息技术业所熟知的，PC环境易受恶意攻击，而且此问题随着因特网连接的家庭的数量增长而增加。英国付款结算服务协会(APACS)已经识别了欺诈者使用而严重影响提供在线服务的零售银行的多种方法，包括：
钓鱼攻击-随机地发送电子邮件，该电子邮件看上去像是来自真实的公司。
特洛伊木马-在客户不知情的情况下恶意地安装在客户的PC上的一种计算机病毒。
金钱骡子-一种用于洗黑钱的资金转移机构。
钓鱼攻击的目的是通过发送冒称真实公司发送的电子邮件从客户收集在线银行凭证，然后使用收集到的凭证来诈取客户。以相似的方式，特洛伊木马设计为通过在用户输入他们的在线凭证时收集敲键信息来收集在线银行凭证，并自动发送这些凭证以用于诈取客户。金钱骡子源于钓鱼攻击和木马攻击，它引诱客户通过接受存入他们账户的存款，提取资金并通过电汇将资金转移到海外来充当金钱转移代理。
显然这些攻击依赖于客户的在线银行凭证保持不变，虽然一些银行仅要求输入密码中每次登录改变的元素，但是仍可能使用这些攻击来获取对客户凭证的访问权。一些零售银行提供的可能解决方案是，向客户提供生成一次性密码的设备(例如RSA SecurlD产品)，但是与此方法关联的成本高得令人却步。
mobileATM服务支持服务提供商与客户之间的敏感信息的安全交付。该服务支持在线银行密码的安全交付，和事务确认细节的安全交付(由此该服务能实现PIN同时使用的因特网事务)。
在线一次性密码的安全交付
mobileATM服务可以支持一次性密码的安全交付，因此降低欺诈者获取对客户凭证访问的能力，因为使用此方法，客户的秘密在每次登录时都会改变，并且仅在有限的时间段有效。mobileATM服务不仅可以实现在线密码的交付，而且对在线密码进行端到端加密，因此进一步降低中间人攻击的能力，因为密码除非在用户手机上被解密，否则永远不是明文的。
图13示出使用具有一次性密码设施的系统中包括的步骤。图13A示出步骤1至步骤5，图13B示出步骤6至9。图13示出在移动电话屏幕处查看的交互，并因此示出电池水平指示器和信号强度计。
在步骤1中，用户从电话菜单定位mobileATM应用并执行该应用。
在步骤2中，用户输入mobileATM密码(注意在选择相关账户之后可能改为输入ATM PIN)。
在步骤3(“发送”)中，将口令或PIN加密，并以安全方式发送到mobileATM事务服务器以进行认证。
在步骤4(“接收”)中，将认证结果发送回客户的手机。
在步骤5中，显示已注册账户的列表，客户导航并选择相关账户。
图13A因此示出最初登录过程。图13B用于图示对于用户要获 取一次性密码时的步骤。
在步骤6中，显示与所选账户对应的有效事务的列表，用户导航到在线银行密码事务选项。
在步骤7中，以安全方式将该请求发送到mobileATM事务服务器以进行处理。
在步骤8中，以安全方式将事务结果发送到客户的手机(“接收”)。
最后，在步骤9中，将代码解码并显示在手机屏幕上。
要登录到他们的在线银行，用户则输入他们的登录名和输入交付到他们的mobileATM客户端的一次性密码。
通过提供要求客户输入PIN同时请求一次性有限时间的密码以控制对在线银行设施的访问权的机制，mobileATM服务降低欺诈者获取对客户的在线银行凭证的访问权的可能性。更确切地说，钓鱼攻击和木马的的可能性将被降低，因为提供的密码将是具有使用时限的一次性密码。
通过减少客户必需的凭证的数量，该服务还使零售银行业能够降低与管理它们的在线支行资产关联的运营成本。与最初引入ATM以促使管理主要街道支行网络的运营成本降低的方式相似，可以推断mobileATM在线银行凭证服务能够促使对零售银行呼叫中心的呼叫次数的减少，从而促使降低与客户忘记凭证或欺诈访问所导致的生成凭证关联的成本。
事务确认细节资料的安全交付
处理因特网支付的现行方式常常要求用户将卡的细节资料输入到商家的Web网站。虽然认识到使用安全传输链路来将卡的细节资料发送到商家网站，但是商家会存储这些卡细节资料。这实际上创建客户的卡的虚拟副本，并且易受欺诈者攻击。在使用机制中的修改不断地解决物理世界中事务的卡欺诈问题。这导致引入对欺诈有显著效果的芯片和引脚方案。事务确认的安全交付使安全性和身份 验证的这些级别应用于因特网事务。
使用该服务，客户无需将卡的细节资料输入到商家的Web网站。相反，客户会输入标识令牌(例如客户的移动电话号码)，商家利用它来建立事务。事务包括将客户的标识令牌(例如移动电话号码)连同事务细节资料发往mobileATM系统以请求用户确认。
图14示出该过程如何工作。作为初始登录过程，再次执行图13A的步骤1至步骤5，由此图14的第一屏幕截图与图13B的第一屏幕截图相同。
在图14的步骤6中，客户此时对先前在步骤5中选择的账户选择菜单项“待处理事务”。
在步骤7中，显示一个用户确认的待处理事务的列表，要确认事务，用户导航到相关事务。
在步骤8中，显示事务细节资料以供用户确认。
在步骤9中一旦确认，以安全方式将事务发送到mobileATM服务器以进行处理。处理包括将事务路由到因特网事务的支付网关确认，其包括对商家的确认。
在步骤10中，将事务结果编码并以安全方式发送到用户手机，然后在步骤11中将事务结果显示在手机的显示屏上。
这些示例因此示出用于执行许多不同功能的该系统的多功能性，并图示可以内置于该系统中的一些附加安全性特征。
该系统使用中间媒介作为至多个银行机构的银行记录的网关。这避免了对用户与任何个人银行机构之间直接通信的需要。由此，可以建立单一系统来实现任何银行、任何运营商和任何手机的功能。用户通信全部在用户与中间媒介之间，并且在本发明的系统中，此双向通信是通过MobileATM系统的。该系统对于用户来说具有相同外观和功能，而与他们的个人银行无关。
用于用户与中间媒介之间通信的协议可以独立于用于中间媒介与多个银行机构之间通信的协议来定义。中间媒介(例如LINK)则 在不同协议之间进行翻译。例如，可以通过用于用户与中间媒介之间的通信的一种方法来将与账户关联的PIN号加密，并且相关银行机构对此PIN号的验证可以使用不同加密。因此，网络中间媒介可指示用于用户与中间媒介之间通信的协议，而银行机构可以确定用于中间媒介与银行机构之间通信的协议。当然，这些协议转换对于用户是不可见的。
已给出中间媒介的一个示例，即LINK，但是不同国家将存在不同网络。为了使系统最有效地发挥功能，优选地将中间媒介与个人银行机构关联，个人银行机构涵盖大量私人银行客户的银行账户的银行账户中的至少一个，私人银行客户的数量例如为所述地域的私人银行客户的至少三分之一，或更优选的至少一半，甚至更多至少三分之二。
上文描述了本发明的系统的一个优选实施方式，并且仅是本发明系统的少数可能用途。但是，多种其他实施方式当然也是可能的，本领域技术人员将预见到这些和其他修改。