移动通信业务的付费方案 本发明涉及一种给移动通信系统的通信业务付费的方法,该移动通信系统包括至少一个移动通信设备,其中移动通信设备包括一个用于安全地存储数据的保密模块。本发明进一步地涉及一个移动通信系统,该移动通信系统包括至少一个移动通信设备,其中移动通信设备包括一个用于安全地存储数据的保密模块。本发明也涉及一个移动通信设备,该移动通信设备包括一个用于安全地存储数据的保密模块。本发明也涉及一个用于安全地存储数据的保密模块。
日渐增多的低成本个人设备(例如移动电话、个人数字助理(PDA)以及寻呼机)都可用于移动通信。一般地,用户必须在付给业务提供者预订金的基础上为移动通信业务付费,并根据每次使用的费用来补充。业务提供者记录用户实际使用的业务,并且据此来向用户收费。一般地,移动电话,例如GSM电话,它包括一个保密模块,其中该保密模块中安全地存储了一个标志。业务提供者使用该标志来向用户收取电话通话费,该用户被记录为具有该标志的保密模块拥有者/用户。一般使用智能卡技术来实现保密模块。
预订金尤其对于不可预见要经常使用移动通信业务的用户是有阻碍的。此外,需要进行业务预订排斥了某类用户使用业务。例如,旅行者在业务提供者预定的业务覆盖区域内不可能停留足够长的时间和被其所接纳。某些用户由于他们被认为没有接受预定业务的足够信誉度而可能受到拒绝。
本发明的一个目地是提供一种已经提出的这种类型的方法,该方法允许以一种不同的而且可靠的方式来为移动通信业务付费。
根据本发明的方法,其特征在于移动通信系统包括一个信用重载服务器(credit reload server),以及该方法包括以下的步骤:
在保密模块中:产生一个重载请求消息并且鉴权至少一部分的重载请求消息;重载请求消息包括一个保密模块标志和一个模块事务处理号码;以及
在移动通信设备中:发送鉴权的重载请求消息给重载服务器;
在重载服务器中:接收并确认对鉴权的重载请求消息的鉴权;一旦为肯定的确认,那么就证实收到的重载请求消息的模块事务处理号码是否与已经识别的保密模块的服务器事务处理号码相匹配;并且一旦为肯定的证实,那么就确定已经识别的保密模块的新服务器事务处理号码并且存储新的服务器事务处理号码作为已经识别的保密模块的服务器事务处理号码;产生重载授权消息并且鉴权至少一部分的重载授权消息;重载授权消息包括一个通信信用的授权数的指示以及服务器事务处理号码;并且发送安全的重载授权消息给移动通信设备;
在移动通信设备中:接收鉴权的重载授权消息;以及
在保密模块中:确认对鉴权的重载授权消息的鉴权;并且一旦为肯定的确认,则确定来自模块事务处理号码的一个新的模块事务处理号码;证实新的模块事务处理号码是否与服务器事务处理号码相匹配;一旦为肯定的证实,根据授权的通信信用数来更新存储于保密模块的通信信用余额并且存储新的模块事务处理号码作为模块事务处理号码。
通过存储通信信用于保密模块中,能够不需要预定而使用通信业务。这为至今依然排斥在系统之外的各类用户开放了系统的使用,例如临时用户或者认为对于传统的预定移动通信系统没有足够可信的信用的用户。它也允许被动使用设备,即免费使用,此时发起方为通信业务付费。它进一步地简化了租用或者借用移动通信设备,在此情况下为设备提供了一个“完全的”保密模块,并且一旦归还设备,便收取已使用的信用的费用以及该模块被重载以供以后使用。可以看到信用可以直接表示货币(此处称作电子货币)。可供选择地,可以使用货币的其它合适的表示形式,例如“电话信用”(telephone ticks)。模块可以以任何合适的方式来保密,包括使用加密。未公布的专利申请PHN 16057(已经转让给本申请的受让人)公布一种保护保密模块免遭窜改的方式。其优点是,使用移动通信设备的设施来“通过空中接口(OTA)”重载信用。为了减少模块的欺诈重载的几率,对消息或者一部分消息进行鉴权。为了进一步减少模块欺诈操作的几率,使连续的消息互有区别。这样消除了各种欺诈企图,例如拦截和“记录”一个重载授权消息和重复地“重放”重载授权消息,从而藉此方式来达到模块未授权的重载。使用事务处理号码能够十分有利地来实现连续消息的区分。该号码的一个样本存储于保密模块和重载服务器中。消息包括发送方的事务处理号码。如果收到事务处理号码与本地存储的事务处理号码相匹配,那么收方对该消息进行操作。对于连续的事务处理,使用一个新的事务处理号码。
根据本发明,本方法的另一个实施方案的特征在于,在重载服务器中,一旦收到一个重载请求消息,该消息包括一个处在服务器事务处理号码的预定范围之外的模块事务处理号码,那么记录一次欺诈企图。本方法的另一个实施方案的特征在于,在移动通信设备中,一旦收到一个重载授权消息,该消息包括一个处在模块事务处理号码预定范围之外的服务器事务处理号码,那么记录一次欺诈企图。藉此方式,使用事务处理号码来检测破坏系统的企图。这对可以重复发送消息的系统是特别有用的。这种方式可以包括的一种情况是,重载服务器已经正确地收到重载请求消息但是保密模块没有得知到这一点(例如,在通信级上使用一种确认方案,但是该确认丢失或者尚没有到达保密模块;或者在通信级上没有使用确认方案以及在预定的时间帧内没有收到重载授权消息)。其结果是保密模块在超时之后重新发送同样的重载请求消息。重载服务器能够识别重新发送的消息,因为消息事务处理号码与重载服务器当前处理的、或者刚刚已经完成的事务处理是一样的。类似地,如果用户通知保密模块在已经完成前一次重载之前发起一次重载操作,那么重载服务器可以接受新的请求作为一旦完成当前事务处理而执行的一个有效的附加重载请求。任何带有一个前一次和/或未来事务处理号码预定范围之外的事务处理号码的消息,都可能被认作为一次误用或者破坏系统的企图。通过记录这些欺诈的企图,可以采取适当的措施。
本方法的另一个实施方案的特征在于以下步骤:决定记入借方的通信信用起始数;决定一个帐号和一个用于记入识别的保密模块的借方的金融机构;请求金融机构根据通信信用的起始数来记入借方帐号;以及一旦收到来自金融机构的肯定的响应,那么将通信信用的起始数纳入重载授权消息作为通信信用的授权数。通过在授权通信信用给保密模块之前记入借方帐号,避免了金融风险,例如信用价值的损失。
本方法的另一个实施方案的特征在于这样一种方法,该方法包括的步骤为:在成功地证实收到的重载请求消息的模块事务处理号码与识别的保密模块的服务器事务处理号码相匹配之后,重载服务器发送确认消息给移动通信设备。记入借方帐号可能花费的时间比设备的用户可接受的等待时间长得多。为了通知设备请求正在被处理,给出设备级的确认来允许设备采取合适的措施。可以理解的是只要信用仍存储于保密模块中,那么移动设备仍然能够进行通信。
本方法的另一个实施方案特征在于这样一种方法,该方法包括的步骤为:移动通信设备响应收到的确认消息而通知用户:通信信用的重载正在进行。其优点是,可以告知用户:处理正在处于进程之中。
本方法的另一个实施方案的特征在于这样一种方法,该方法包括的步骤为:重载服务器鉴权至少一部分确认消息;以及保密模块响应收到的鉴权的确认消息而证实对鉴权的确认消息的鉴权,并且一旦收到肯定的证实,那么使得直到达到了通信信用的预定负余额时也能够进行通信。业务提供者可以通过保密模块标志的识别来决定一个特定的用户达到信用值的预定的最大值。在此种情况下,即使没有完成重载,那么仍然能够使用设备直到负余额达到其最大信用级别。应该注意的是,对于传统的通信系统,则要求相当可观的信用等级,例如包含两个月或三个月期间内通信业务合理使用的费用。在根据本发明的系统中,此时间期间可以相当地短,例如短到仅几天时间,使得能够应用相当低的信用等级。这使得那些在其他情况下不可能被接受的用户可以得到信用承认。信用等级可以存储于保密模块或者发送至保密模块。鉴权确认消息或者确认消息的必要部分,从而避免欺诈地启动信用设施。
本方法的另一个实施方案的特征在于这样一种方法,该方法包括的步骤为:保密模块响应来自移动通信设备的触发以重载一个通信信用的特定数,从而检验通信信用的该特定数是否落入存储在保密模块中的预定通信信用的范围之内;以及如果检验结果是肯定的,那么就响应该触发。最好是将一个上限值存储于保密模块中,它规定了可以存储于保密模块或者可以装载于一次操作之中的最大信用数。该保密模块检测到:一个请求落入上述限定值所规定的范围之内,从而确保只有那些可接受的重载的请求才可以发布。模块也可以存储一个下限值,从而确保对仅有很低信用的重载的那些请求不能发布,它们可能会成本太高。该限定值可以作为永久限定值存储于保密模块或者最好发送给保密模块,以反映保密模块用户的实际信用价值。
本方法的另一个实施方案的特征在于这样一种方法,该方法包括的步骤为:移动通信设备从保密模块读取通信信用范围和通信信用余额,以及提供通信信用范围和通信信用余额给用户。藉此方式,其优点是用户能够根据当前的余额和信用范围来选择所要进行重载的所需信用数。
本方法的另一个实施方案的特征在于这样一种方法,该方法包括的步骤为:移动通信设备接收来自用户请求重载通信信用的特定数的输入;检测通信信用的特定数是否落入从保密模块读取的通信信用范围内;以及如果检测结果为肯定的,那么就发送重载触发给保密模块。藉此方式,设备能够立即通知用户不可接受输入,以允许用户校正输入。
本方法的另一个实施方案的特征在于:重载请求消息包括通信信用余额的指示,该实施方案的特征还在于确定要计入借方的通信信用的起始数的步骤,该步骤包括:计算通信信用的预定上限值和通信信用余额与通信信用的请求值之和的最小值;并且使用该最小值作为起始数。通过发送余额给重载服务器,重载服务器能够确保不会授予比所允许的更多的信用给保密模块。藉此方式,例如,在保密模块被盗用地复制的情况下,限制所受到的损失是可能的。
本发明还涉及为实现上述方法所提出的此类移动通信系统、移动通信设备以及保密模块。
本发明的上述或者其它方面的特点通过参照附图的描述将是显而易见的。
图1说明了根据本发明的一个移动通信系统的实施方案;
图2说明了一个带有装载于移动通信设备模块槽位内的保密模块的移动通信设备方框图;
图3说明了重载服务器20的方框图;以及
图4说明了重载请求和重载承认消息的帧结构。
图1说明了根据本发明的一个移动通信系统的实施方案。该系统包括至少一个移动通信设备10和一个信用重载服务器20。移动通信设备10可以是任何合适的能够双向无线通信的移动通信设备。这种设备的一个实例是移动电话,例如GSM(全球移动通信)电话,或者带有无线通信设施的个人数字助理(PDA)。可以在传统的适合进行金融事务处理的计算机上来实现信用重载服务器20。移动通信的业务提供者或者任何其它合适的机构(例如银行或信用卡公司)可以运行该信用重载服务器20。移动通信设备10包括一个保密模块30,该模块用于安全地存储通信信用的余额。保密模块30也可以称作一个SIM(用户集成模块)。最好使用智能卡技术来实现保密模块30。当涉及通信设备10的通信出现时,能够从保密模块30中除去通信信用。可以使用任何合适的方法来用于上述实现。由于除去的结果,信用在某些时刻需要重载。例如,当余额已经降至预定的门限之下时,重载可以由系统的用户40发起,或者由通信设备10或设备10内的保密模块自动发起重载。保密模块30产生并鉴权重载请求消息50,移动通信设备10发送重载请求消息50给重载服务器20。最好移动通信设备10使用现有的移动通信方式来传送数据消息(例如重载请求消息50)给重载服务器20。作为一个实例,传统的GSM设施(例如SMS短消息业务)可以用作数据消息通信。重载服务器的通信标志(该通信标志如电话号码)存储于移动设备10中。该标志可以是永久的或者可以是随时间而变化的。重载服务器20的标志最好存储于保密模块30中。重载服务器20校验对接收到的重载请求消息50的鉴权并且可以决定授权的信用数。以重载授权消息60的形式发送该授权给移动通信设备10。重载服务器20以相应数量的货币记入借方金融机构(例如银行)70的帐号。为了确保记入借方的正确帐号,保密模块30存储了保密模块的标志。这可以是任何合适的标志形式,例如GSM系统的IMSI或者ISDN的MSISND。模块标志或者模块标志的样本包含于重载请求消息50中。为了能够将货币记入借方,重载服务器20根据收到模块的标志来决定对应的金融信息,例如银行帐号和帐号所有者。
图2说明了一个带有装载于移动通信设备模块槽位的保密模块30的移动通信设备10方框图。移动通信设备10包括一个处理器220和一个存储器222,它们例如通过总线24来彼此相互连接。处理器220可以是任何合适的处理器,例如一般用于移动电话的微控制器或者一般用于便携计算机的微处理器。存储器222包括一个数据存储器224,例如RAM,它用于存储数据,以及一个程序存储器226,例如ROM,它用于存储处理器220的程序指令。可以理解的是各部分可以作为独立单元来实现。可选择地,存储器222可以与处理器220集成于一体。用户接口装置228也可以连接至总线224,此类用户接口装置如用于输出的LCD显示器和用于输入的键盘,以及用于移动通信的收发信机230。可以使用任何适合于与重载服务器20通信的收发信机。移动通信设备10经由移动通信设备10内的接口232和保密模块30的接口240来与保密模块接口。保密模块30也包括例如经由总线246彼此连接的处理器242和存储器244。处理器242可以是任何合适的处理器,例如一般用于智能卡的微控制器。存储器244包括一个非易失性的数据存储器248,例如非易失性的RAM或者闪速EPROM,它用于存储永久性质的数据(例如,标志和信用余额数据,它们关系到通信会话的时间长度或者提供给移动通信设备10的电源),以及一个程序存储器250,例如ROM,它用于存储处理器242的程序指令。此外,存储器244可以包括一个易失性的数据存储器,它用于存储非永久性的数据,此类数据在从移动通信设备10中取出电源时可能丢失。可以理解的是各个部分可以以独立的单元来实现。可选择地,存储器224可以与处理器242集成于一体。保密模块也包括一个用于鉴权消息的鉴权器252。例如通过适当地加密/解密数据,鉴权器252也可以可选择地用于保密存储于保密模块30的存储器244中的某些数据。可以理解的是鉴权器252也可以以软件来实现,这是通过在存储于程序存储器250中的适当的程序的控制之下使处理器242工作而达到的。可以使用任何合适的鉴权方案,最好是根据合理的加密算法。一个均匀加密方案的合适实例是DES,而一个非均匀加密方案的合适实例是RSA(经常用作公共密匙)。
图3说明了重载服务器20的方框图。最好是将一个合适于执行金融事务处理的计算机系统用作重载服务器20。重载服务器20包括例如通过总线320彼此相互连接的处理器300和存储器310。处理器320可以是任何合适的处理器,例如一般用于事务处理服务器的风险处理器。存储器310包括一个数据存储器312,例如RAM,它用于存储数据,以及一个程序存储器314,例如ROM,它用于存储程序指令。可以理解的是各部分可以作为独立单元来实现。可选择地,存储器310可以与处理器300集成于一体。用于移动通信的收发信机330也可以连接至总线320。可以使用任何适合于与移动通信设备10通信的收发信机。重载服务器20也包括一个用于鉴权消息和可选择地加密/解密某些存储于重载服务器20的存储器310的数据的鉴权器340。可以理解的是鉴权器340也可以以软件来实现,这是通过在存储于程序存储器314的合适的程序控制之下使处理器300工作来达到的。显而易见地,为了鉴权与保密模块30交换的消息,使用与保密模块30的鉴权器252所使用的同样或对应的鉴权算法。为了安全地存储数据于重载服务器20中,可以使用另一种算法。最好对系统内每个保密模块使用同样的算法来鉴权消息,此处算法的操作处于用于该模块的特定密匙控制之下。实现这一点的一种方法是使用一个主密匙来产生用于每个保密模块的特定密匙。例如,主密匙可以用来加密模块的标志或者模块标志的样本。加密的标志随后能够用作保密模块的密匙。保密模块的密匙存储于保密模块30中。保密模块30产生的并且发送至重载服务器20的鉴权的消息包括保密模块30的标志或者一个鉴权的样本。基于上述信息,重载服务器20确定对应于保密模块30的密匙并且校对收到消息的鉴权。重载服务器20也使用保密模块的密匙来鉴权要发送给保密模块30的消息。重载服务器可以从存储器中恢复保密模块密匙或者使用主密匙再生保密模块密匙。重载服务器20也可以包括其它传统的计算机装置,例如显示器、键盘、以及后台存储器如硬盘。
保密模块30包括用于产生重载请求消息和鉴权至少部分重载请求消息的装置。该装置可以采用在存储于图2的程序存储器250的合适程序模块270控制之下的使处理器242工作的软件来实现。可以通过加密该消息的所有组成单元或者至少是该消息的必要组成单元来鉴权消息。加密的组成单元可以仅出现于呈现加密消息形式的最终鉴权消息中。为了避免由于这些消息不易于被某些政府机构访问所引起的可能冲突,最好也让加密的消息组成单元以明文的形式出现于加密消息中。在此情况下,不要求以通过解密这些组成单元的加密形式来完全地恢复这些组成单元的这种方式来加密单元。取而代之地,最好使用消息鉴权码(MAC)。正如众所周知的,由与密匙相关的单向散列(hash)函数来产生消息鉴权码,它也优选地减少了数据的规模。接收方使用同样的与密匙相关的单向散列函数来散列明文组成单元并且校验最终的MAC(散列值)是否与收到的MAC匹配。可以使用任何合适的与密匙相关的散列算法。一个产生MAC容易的方式是使用传统的散列函数,该函数压缩数据并且以均匀加密算法加密最终散列值。MAC最好使用众所周知的方式即CBC(加密分块链)模式或者CFB(加密反馈)模式的DES(数据加密标准)来形成。为了克服由于DES的相对较短的密匙长度造成的可能的风险,作为可选的方案,例如可以使用三重的DES。最好使用这样一种方案,其中通过预处理步骤和/或后处理步骤来增加DES的基本长度,上述处理再添加(最好是以二进制异或(XOR)运算的形式)64位的密匙给经DES处理过的64位块。如果既使用预处理又使用后处理步骤,那么对上述步骤最好使用不同的密匙。
一般地,移动通信设备10响应用于重载信用的用户指令来触发保密模块。可以编程保密模块30来自动地决定一个重载的信用的数。实现这一点的一种方法是:总是请求一个预定的信用数或者可选择地请求完全重载(即请求一个预定的最大值减去重载请求时刻的实际余额)。最好移动通信设备10的用户40能够规定要重载的信用数。在后一种情况下,最好提供给用户40关于允许用户40作出所考虑的决定的信息。为此目的,保密模块30的程序存储器250可以包括一个用于从数据存储器248读取信息和提供信息给移动通信设备10的可选程序模块280,后者可以参与解密数据。移动通信设备10的程序存储器226可以包括一个用于允许处理器220经由用户接口装置228提供信息给用户40的可选程序模块290。该信息可以包括此时的实际余额和一个上限值。上限值例如可以表示任何时刻可以存储于保密模块的信用最大值。上限值最好地表示了可能请求的时刻的信用最大值,该上限值是任何时刻存储于保密模块的信用最大值减除实际余额。为了减少重载保密模块30的成本,也可以提供一个最小下限值给用户。上述这些限制值最好安全地存储于保密模块30内,此外实际余额也可存储于保密模块30内,藉此减少欺诈地操纵上述限制值的几率。上述限制值可以是永久性的。可选择地,可以使用一个已经鉴权的消息来改变上述限制值。例如,如果用户一直证明是可靠的,那么用户请求时可以设置较高的限制值。同样地,如果检测到一份欺诈的保密模块,那么可以减少最大限制值。有利的是,保密模块30包括这样的装置,该装置用于根据来自移动通信设备的触发去重载通信信用的规定数、从而去检测通信信用的该规定数是否落入存储于保密模块内的预定通信信用之内;以及一旦是一个肯定的检测结果,那么就将该规定的数纳入于重载请求消息中。上限和下限值决定了信用的范围,这是十分清楚的。如果系统没有使用明确的下限值,那么可以假定一个信用的隐含下限值。输入校验可以采用使处理器242在存储于图2的程序存储器250中的合适程序模块272控制之下工作的软件来实现。最好移动通信设备10在触发保密模块30之前校验来自用户的输入。因此,移动通信设备10包括下列可选装置,即用于使用用户接口装置228去接收来自用户请求重载通信信用的规定数的输入的装置、用于校验通信信用的规定数是否落入从保密模块读取的通信信用范围之内的装置、以及用于当校验结果是肯定的时就发送重载触发给保密模块的装置。可以由程序模块292控制之下的处理器220来实现上述任务。
保密模块30进一步安全地存储了模块事务处理号码于数据存储器248。作为产生重载请求消息的一个部分,保密模块30装载重载请求消息50的字段430内的模块事务处理号码的当前数值,正如图4A所示。重载请求消息50进一步地包括字段420内的标志或者保密模块标志的样本以及字段460内的消息鉴权码(MAC)。一般地,重载请求消息50也包括用于指示关于请求了多少信用的字段440。可以理解的是,如果只可请求固定的数和重载服务器20已经知道了该固定数,那么不要求该字段。最好是重载请求消息50进一步地包括一个类型字段420,该字段允许不同类型的消息易于区分。一个固定而统一的码用于每个重载请求消息50。有利的是,重载请求消息50也包括一个附加字段450,它用于从保密模块30转移通信信用的实际余额至重载服务器20。可以理解的是,重载请求消息50可以包括各种其它的字段,例如传统通信系统中所使用的字段。
图2的收发信机用来发送已经鉴权的重载请求消息50给重载服务器20。一般地,已经鉴权的重载请求消息50嵌入用于在移动通信系统中发送数据的整个帧结构中。可以理解的是这可以涉及提供重载服务器的某些形式的标志给收发信机230,其形式如电话号码或者通信地址。
重载服务器20中,正如图3所示的处理器300使用收发信机330来接收已经鉴权的重载消息以及使用鉴权器340来解密消息,或者,如果使用消息鉴权码(MAC),那么就校验消息鉴权码。处理器300在存储于重载服务器20的程序存储器314的程序模块350的控制之下来执行该任务。如果使用消息鉴权码(MAC)并且收到的MAC不与图4A的重载请求消息400的字段460的MAC匹配,那么就不操作该消息。特别是,如果基于其它消息(例如校验和或者通信级的比特定时/同步信息),能够得到消息在传输期间没有受到破坏的结论,于是最可能是已经篡改了消息,并且可选择地记录到一次欺诈企图。处理器300在存储于重载服务器20的程序存储器314的程序模块352的控制之下来执行欺诈检测。如果已经成功地确认消息的鉴权,那么重载服务器20证实收到的重载请求消息的模块事务处理号码是否与已经识别的保密模块的服务器事务处理号码相匹配。该证实可以基于两个同样事务处理号码的直接测试。可以理解的是也可以进行更加复杂的比较测试。一旦是肯定的证实,那么重载服务器20决定一个用于已经识别保密模块的新事务处理号码。采用一种简单的形式,这意指按预定的数值(如数值1)来增加服务器事务处理号码。也可以使用更加复杂的算法,例如使用随机数值。可以理解的是,由于保密模块30的事务处理号码与重载服务器20需要匹配,所以两个设备需要使用同样的或者匹配的算法来决定新的事务处理号码。重载服务器20存储了新的服务器事务处理号码作为用于已经识别的保密模块的服务器事务处理号码。接着,重载服务器20决定可以授予多大信用给保密模块30并且产生一个重载授权请求来指定授权数。重载服务器20使用鉴权装置340来鉴权至少一部分重载授权消息60。处理器300在存储于重载服务器20的程序存储器314的程序模块354的控制之下来执行上述任务。
图4B说明了重载授权消息60。作为产生重载授权消息60的一部分,重载服务器20装载重载授权消息60的字段432内的服务器事务处理号码的当前值。重载授权消息60进一步地包括字段462内的消息鉴权码(MAC)和字段442内的信用数值,此值已经授权。可以理解的是如果只有固定的信用数能够授权并且保密模块30已经知道了该固定的数,那么不要求该字段。最好重载请求消息60进一步地包括一个类型字段410,该字段允许不同类型的消息易于区分。一个固定而统一的码子用于每个重载授权消息60,此处该码最好区别于重载请求消息所使用的码。可以理解的是,重载授权消息60可以包括各种其它的字段,例如传统通信系统中所使用的字段。
重载服务器20使用收发信机330来接收已经鉴权的重载授权消息给移动通信设备10。发送可以出现在图3的从存储器314装载了合适程序的处理器300的控制之下。移动通信设备10使用收发信机230来接收已经鉴权的重载授权消息。接收可以出现在图2的从存储器224装载了合适程序的处理器220的控制之下。可选择地,基于其它消息(例如校验和或者通信级的比特定时/同步信息),能够得到消息在传输期间没有受到破坏的结论。如果是这样的,那么可以抛弃此消息。一个消息假定已经被正确地收到,则它被转移至保密模块30作进一步处理。保密模块30使用鉴权器252来解密消息,或者,如果使用消息鉴权码(MAC),那么就校验消息鉴权码。保密模块30的处理器242在存储于程序存储器250的程序模块274的控制之下来执行该任务。如果使用消息鉴权码(MAC)并且收到的MAC不与图4B的重载请求消息60的字段462的MAC匹配,那么不操作该消息,取而代之地,记录一次欺诈企图。处理器242在存储于程序存储器250的程序模块276的控制之下来执行欺诈检测。如果已经成功地确认消息的鉴权,那么加密模块30证实收到的重载确认消息的模块事务处理号码是否与模块事务处理号码相匹配。证实算法一般地可以与重载服务器所使用的算法相同。一旦是肯定的证实,那么保密模块30决定一个新的事务处理号码。保密模块20存储新的模块事务处理号码作为下一个重载请求所使用的模块事务处理号码。处理器242在存储于保密模块30的程序存储器250的程序模块278的控制之下来执行上述任务。
根据本发明本方法的另一个实施方案中,重载服务器30包括这样的装置,它用于一旦收到一个重载请求消息(该消息包括一个服务器事务处理号码预定范围之外的模块事务处理号码)时则记录一次欺诈企图。处理器300在存储于重载服务器20的程序存储器314的欺诈检测程序模块352的控制之下来执行上述附加的欺诈检测。可以选择该范围来最适合于本系统。采用一种直接实现方式,该方式接受带有与当前服务器事务处理号码相匹配的事务处理号码的重载请求消息,并且把所有的其它消息认作为欺诈消息。在一个更加先进的系统中,可以重发消息并且事务处理号码也可用来对重试和企图破坏系统进行区分。作为一个实例,如果在预定的时间帧内没有收到重载授权消息,那么也可以重发重载请求消息。可选择地或者附加地,以传统的方式在通信级上校验收到消息的正确性,例如校验一个校验和,或者校验通信级的比特定时或同步信息。如果没有检测到错误,那么可以发送通信确认。这可以是一个特定的信号或者一个特定的消息。可选择地,对于某些检测到的错误,可以发送一个否定的确认。如果移动通信设备10在预定的时间帧内没有收到肯定的确认,那么可以重发重载请求消息。重发的消息与起始发送的消息相同。重载服务器20能够识别作为重发的消息,因为消息的事务处理号码与重载服务器20当前正在处理的或者刚刚完成的(如果重载服务器已经更新了服务器事务处理号码,而保密模块仍然没有收到或处理相应的重载授权消息)事务处理相同。类似地,如果用户通知保密模块30来在完成前一次重载之前启动重载操作,那么重载服务器20可以接受新的请求作为一个一旦完成当前事务处理而执行的有效附加重载请求。任何带有一个处于前一个和/或未来事务处理号码的该预定范围之外的事务处理号码的消息,都能够作为一次误用企图或者一次破坏系统的企图。通过记录该欺诈企图,可以采取正确的措施。
根据本发明的另一个实施方案,类似于重载服务器20,移动通信设备10包括这样的装置,它用于一旦收到一个重载授权消息(该消息包括一个服务器事务处理号码预定范围之外的模块事务处理号码)时就记录一次欺诈企图。处理器242在存储于保密模块30的程序存储器250的欺诈检测程序模块276的控制之下来执行上述附加的欺诈检测。
根据本发明的另一个实施方案,重载服务器20决定一个记入借方通信信用的初始数。在一个简化的系统中,该初始数可以是固定的。可选择地,重载服务器20从重载请求消息50的字段450中读取一个通信信用余额的指示,正如图4A所示,并且决定在考虑到余额的情况下记入借方的通信信用的初始数。与针对保密模块的信用的预定上限值规定所能请求或允许的信用相比,最好重载服务器20不授予比其更多的信用。该上限值对所有的保密模块可以是固定而统一的限制值。可选择地,该上限对保密模块可以是特定的。重载服务器20能够通过计算预定上限值U和余额B与通信信用所要求的值R之和的最小值(即最小{U,B+R})、以及使用该最小值作为初始值,从而来满足上述要求。有利的是,重载服务器20在实际授予信用之前来校验是否能够将对应数量的货币记入借方。重载服务器20可以通过确定一个帐号和一个用于为识别的保密模块记入借方的金融机构来执行上述操作,接着请求金融机构根据通信信用的初始数来记入借方帐号。一旦收到来自金融机构的肯定响应,重载服务器20将通信信用的初始数纳入重载授权消息60的字段442作为通信信用的授权数。处理器300在存储于重载服务器20的程序存储器314的程序模块356的控制之下来执行上述的任务。
根据本发明的另一个实施方案,重载服务器20包括这样的装置,它用于在成功地证实收到的重载请求消息的模块事务处理号码与已经识别的保密模块的服务器事务处理号码相匹配之后,用于使收发信机330来发送一个确认消息给移动通信设备10。处理器300在存储于重载服务器20的程序存储器314的程序模块358的控制之下来执行上述的任务。最好移动通信设备包括用于响应接收到来自重载服务器的相应确认消息而通知用户40重载信用正处在进程中的装置。处理器220在存储于移动通信设备10的程序存储器226的程序模块294的控制之下来执行上述的任务。
根据本发明的另一个实施方案,重载服务器20使用鉴权装置340来鉴权至少一部分确认消息。处理器300在与所使用来控制确认消息发送的同样的程序模块358的控制之下来执行该任务。保密模块30包括用于响应接收到的鉴权确认消息而用于证实已鉴权的确认消息的鉴权的装置,并且一旦收到肯定的证实,那么使得即使达到了通信信用的预定负余额时也能够通信。处理器242在存储于保密模块30的程序存储器250的程序模块282的控制之下来执行该任务。
可以理解的是,保密模块30响应已经成功地装载新的信用来产生的又一个确认,以便通知重载服务器20已经完成了授权,这可以更进一步地增强系统。如果重载服务器20没有收到确认消息,那么重载服务器20可以采取适当的措施,例如重发重载授权消息或者接受一个带有与前一个服务器事务处理号码相匹配的模块事务处理号码(表示保密模块重试了前一次重载请求消息)的重载请求消息。最好是保密模块30鉴权另一个确认消息。