RU2145437C1 - Система и способ осуществления коммерческих платежей с использованием доверенных агентов - Google Patents

Abstract

Изобретение относится к электронным системам платежей. Техническим результатом является создание системы платежей, в которой информация о платеже электронным образом подписывается доверенным агентом ремитента. Система для осуществления электронного коммерческого платежа содержит доверенный агент покупателя, первый денежный модуль, доверенный агент продавца, второй денежный модуль. Способ описывает работу данной системы. Первая система согласования содержит защищенные от несанкционированного доступа первый и второй агенты. Вторая система согласования содержит защищенные от несанкционированного доступа первое и второе электронные устройства транзакций. 4 с. и 12 з.п. ф-лы, 22 ил.

Description

Настоящее изобретение относится к системе для осуществления электронного коммерческого платежа, включающей доверенный агент покупателя, первый денежный модуль, доверенный агент продавца и второй денежный модуль. Изобретение также относится к соответствующему способу осуществления электронных коммерческих платежей с использованием доверенного агента покупателя, первого денежного модуля, доверенного агента продавца и второго денежного модуля.

Предлагаемые система и способ позволяют упростить осуществление электронных коммерческих платежей без привлечения посредников. В частности, в этой системе используются защищенные от несанкционированного доступа электронные блоки, обозначаемые как "доверенные агенты", в сочетании с денежными модулями с целью создания условий для безопасного осуществления операций или транзакций по обработке коммерческих платежей и соответствующей информации о денежном переводе.

В настоящее время разработаны многочисленные электронные системы платежей, которые способствуют росту электронной торговли. Один из таких способов электронного платежа описан в заявках на патент США 07/794112, поданной 15 ноября 1991 г., 08/234461, поданной 28 апреля 1994 г., и 08/427287, поданной 21 апреля 1995 г. В этих заявках рассматривается электронная денежная система, используемая для электронно-денежных платежей, в качестве альтернативы обмену наличных денег, чеков, операций по кредитным и дебетовым карточкам и по переводу электронных денежных средств. В описанной системе для хранения и передачи электронных банкнот используются, в частности, размещенные в защищенных от "взлома" корпусах денежные модули. Платежи с использованием денежных модулей могут быть либо автономными платежами в реальном времени между денежными модулями (например, между денежным модулем, содержащимся в "электронной карточке" покупателя, и денежным модулем, содержащимся в кассовом терминале продавца, установленном в торговой точке), либо неавтономными платежами для оплаты сетевых услуг, таких как поиск информации и телефонные вызовы, либо для заказа, соответственно приобретения авиабилетов, театральных билетов и т.п.

Подробное описание используемых согласно настоящему изобретению доверенных агентов приведено в заявке на патент США 08/234461, поданной 28 апреля 1994 г. В указанной заявке описана система, обеспечивающая безопасную доставку электронных товаров с помощью анонимного платежа в реальном масштабе времени или платежа, основанного на предоставлении соответствующих полномочий. Эта система обеспечивает высокую надежность, соответственно безопасность при осуществлении сделок между покупателем и продавцом.

Коммерческие платежи большей частью осуществляются с помощью чеков, однако возрастает доля платежей, осуществляемых с помощью электронной системы платежей (ЭСП). Коммерческий платеж, будь то платеж чеком или платеж через ЭСП, содержит извещение (авизо) о переводе, которое позволяет ремитенту погасить задолженность по неоплаченному счету-фактуре, соответственно неоплаченным счетам-фактурам покупателя. При этом важно согласовать оплату с извещением о переводе, чтобы плательщик и ремитент могли подтвердить свои действия при возникновении спорной ситуации.

В случае оплаты чеком извещение о платеже обычно печатается вместе с чеком. Однако оплаты чеками являются дорогостоящими как для плательщика, так и для ремитента. Плательщик должен напечатать, отослать по почте и произвести сверку чеков, а ремитенту необходимо вскрыть почту, перепроверить информацию и ожидать клиринга чека. В связи с такими неудобствами во все возрастающем объеме используются предлагаемые посредниками услуги по выплатам и услуги "денежного ящика".

Наблюдается также тенденция перехода к ЭСП, поскольку такая система позволяет снизить расходы как для плательщика, так и для ремитента. В настоящее время на долю ЭСП-платежей приходится менее пяти процентов коммерческих платежей. Одним из препятствий на пути внедрения ЭСП является необходимость в посредничестве банка при совершении сделки или транзакции. Обработка платежей ограничена доступностью банковских систем и не может использоваться в том случае, если банк плательщика и банк ремитента не оснащены оборудованием для ЭСП. ЭСП-система должна быть способна передавать извещение о переводе вместе с сообщением о платеже, чтобы информацию о платеже можно было сопоставить с получением денег. Для ЭСП необходимы стабильные взаимоотношения между банками, плательщиками и ремитентами. Эта система связывает стороны отношениями, которые достаточно сложно пересмотреть.

Предлагаемая в изобретении система позволяет осуществлять безопасные электронные коммерческие платежи между плательщиком и ремитентом без необходимости вовлечения в этот процесс посредников и согласовывает платеж и извещение о переводе. Эта система далее предоставляет обеим сторонам определенные преимущества при совершении операции или транзакции, а также обеспечивает подтверждение платежа плательщику и ремитенту в случае возникновения спорной ситуации.

В основу настоящего изобретения была положена задача разработать надежную систему, которая с использованием доверенных агентов позволяла бы осуществлять электронные коммерческие платежи от плательщика ремитенту без посредников.

Еще одной задачей настоящего изобретения является разработка системы платежей, которая позволяла бы согласовывать информацию о платеже с самим платежом таким образом, чтобы платеж являлся окончательным и не было необходимости подбирать информацию о конкретном платеже после его осуществления.

Задачей настоящего изобретения является далее создание системы платежей, в которой информация о платеже электронным образом подписывается доверенным агентом ремитента таким образом, чтобы последний не мог отрицать факт оплаты.

Согласно изобретению предлагается система для осуществления электронного коммерческого платежа, включающая доверенный агент покупателя, первый денежный модуль, доверенный агент продавца и второй денежный модуль. В этой системе доверенный агент покупателя и доверенный агент продавца имеют шифровальные средства, позволяющие этим агентам обмениваться зашифрованными сигналами, при этом доверенный агент покупателя запрограммирован на передачу доверенному агенту продавца сигнала, содержащего информацию с извещением о переводе, и на инициирование передачи электронных денег от первого денежного модуля второму денежному модулю по получении от доверенного агента продавца сигнала, который содержит данные о билете, удостоверяющем поступление коммерческого платежа, а доверенный агент продавца запрограммирован на передачу доверенному агенту покупателя указанного сигнала, который содержит данные о билете, удостоверяющем поступление коммерческого платежа.

Указанный билет о поступлении коммерческого платежа предпочтительно содержит цифровую подпись доверенного агента продавца на информации с извещением о переводе. Затем доверенный агент покупателя до инициализации платежа электронными деньгами сверяет цифровую подпись.

В изобретении предлагается также способ осуществления электронных коммерческих платежей с использованием доверенного агента покупателя, первого денежного модуля, доверенного агента продавца и второго денежного модуля. Этот способ заключается в том, что между доверенным агентом покупателя и доверенным агентом продавца устанавливают криптографически безопасный сеанс связи, во время этого криптографически безопасного сеанса связи от доверенного агента покупателя доверенному агенту продавца передают информацию с извещением о переводе, с помощью доверенного агента продавца создают билет, удостоверяющий поступление коммерческого платежа и содержащий по меньшей мере частично информацию с извещением о переводе, во время криптографически безопасного сеанса связи передают билет, удостоверяющий поступление коммерческого платежа, от доверенного агента продавца доверенному агенту покупателя, который условно сохраняет этот билет, передают электронные деньги от первого денежного модуля второму денежному модулю, который условно сохраняет эти электронные деньги, осуществляют фиксацию транзакции первым денежным модулем и передачу информации доверенному агенту покупателя об успешной передаче электронных денег, осуществляют фиксацию транзакции вторым денежным модулем, вследствие чего хранение электронных денег перестает быть условным, и безопасную передачу информации доверенному агенту продавца об успешном получении электронных денег, осуществляют фиксацию транзакции доверенным агентом покупателя, вследствие чего хранение билета, удостоверяющего поступление коммерческого платежа, перестает быть условным, и осуществляют фиксацию транзакции доверенным агентом продавца.

В изобретении предлагается также система согласования электронного коммерческого платежа с информацией с извещением о переводе с использованием безопасной связи по сети связи, включающая защищенный от несанкционированного доступа первый электронный агент, содержащий первый процессор, защищенный от несанкционированного доступа первый денежный модуль, функционально связанный с первым электронным агентом и выполненный с возможностью осуществления с ним безопасного обмена данными, а также содержащий второй процессор, защищенный от несанкционированного доступа второй электронный агент, выполненный с возможностью установления первого криптографически безопасного сеанса связи с первым электронным агентом по сети связи и содержащий третий процессор, защищенный от несанкционированного доступа второй денежный модуль, функционально связанный со вторым электронным агентом и выполненный с возможностью осуществления с ним безопасного обмена данными, а также с возможностью установления второго криптографически безопасного сеанса связи с первым денежным модулем, и содержащий четвертый процессор, при этом первый процессор выполнен с возможностью передачи информации с извещением о переводе второму электронному агенту во время первого криптографически безопасного сеанса связи и с возможностью выполнения платежа электронными деньгами от первого денежного модуля ко второму денежному модулю после проверки билета, удостоверяющего поступление коммерческого платежа, а третий процессор выполнен с возможностью создания билета, удостоверяющего поступление коммерческого платежа, на основании информации с извещением о переводе и передачи этого билета первому электронному агенту во время первого криптографически безопасного сеанса связи.

Далее в изобретении предлагается система согласования электронного коммерческого платежа с информацией с извещением о переводе с использованием безопасной связи. Эта система включает защищенное от несанкционированного доступа первое электронное устройство транзакций, содержащее первый процессор, защищенное от несанкционированного доступа второе электронное устройство транзакций, содержащее второй процессор и осуществляющее с первым электронным устройством транзакций обмен данными с использованием криптографически безопасного сеанса связи, при этом первый процессор выполнен с возможностью передачи информации с извещением о переводе, включая список счетов-фактур, второму электронному устройству транзакций, второй процессор выполнен с возможностью простановки цифровой подписи на по меньшей мере части информации с извещением о переводе и внесения этой цифровой подписи в билет, удостоверяющий поступление коммерческого платежа, а также с возможностью передачи этого билета первому электронному устройству транзакций, а первое электронное устройство транзакций выполнено с возможностью передачи электронных денег второму электронному устройству транзакций, тем самым заканчивая осуществление платежа от плательщика к ремитенту без посредничества третьей стороны.

Указанные выше электронные агенты и электронные устройства транзакций, что более подробно поясняется ниже в разделах "Доверенные агенты" и "Устройства транзакций", могут быть соответствующими электронными агентами и электронными устройствами транзакций покупателя и продавца и называются первым или вторым в зависимости от того, кто первым инициирует транзакцию, т.е. первый электронный агент и соответственно первое электронное устройство транзакций, как правило, являются электронным агентом и электронным устройством транзакций покупателя, а второй электронный агент и соответственно второе электронное устройство транзакций являются таковыми продавца.

Ниже изобретение более подробно поясняется со ссылкой на прилагаемые чертежи, на которых показано:
на фиг. 1 - схема взаимодействия доверенного агента/денежного модуля,
на фиг. 2А-2Б - данные, содержащиеся в извещении о переводе, созданном системой счетов кредиторов покупателя,
на фиг. 3 - разделы и поля билета о поступлении коммерческого платежа,
на фиг. 4 - компоненты устройства транзакций,
на фиг. 5А-5Г - функциональные компоненты доверенных агентов,
на фиг. 6 - схема структуры сети для осуществления коммерческого платежа через денежный модуль,
на фиг. 7А - протокол фиксации транзакции,
на фиг. 7Б - протокол прекращения транзакции,
на фиг. 8А-8Г - протокол осуществления коммерческого платежа через денежный модуль,
на фиг. 9А-9Д - протокол установления сеанса связи,
на фиг. 10 - протокол посылки сообщения,
на фиг. 11 - протокол проверки удостоверения,
на фиг. 12 - протокол прекращения транзакции,
на фиг. 13А-13Д - протокол осуществления платежа через денежный модуль,
на фиг. 14 - различные уровни кодирования сообщения, установленные между доверенными агентами и денежными модулями,
на фиг. 15А-15Д - протокол установления сеанса связи для денежных модулей,
на фиг. 16 - протокол посылки маршрутизированного сообщения,
на фиг. 17 - протокол посылки сообщения от денежного модуля (ДМ) к доверенному агенту (ДА),
на фиг. 18 - протокол посылки сообщения от доверенного агента (ДА) к денежному модулю (ДМ),
на фиг. 19А-19Б - протокол прекращения транзакции для денежных модулей,
на фиг. 20 - протокол посылки маршрутизированного сообщения по электронной почте,
на фиг. 21А- 21Б - протокол передачи или трансферта банкнот;
на фиг. 22 - протокол фиксации транзакции для денежных модулей.

Как описано в заявке на патент США 08/234461, доверенный агент представляет собой комбинацию аппаратного и программного компонентов, т.е. по существу представляет собой электронное устройство с одним или более процессорами. Он защищен от несанкционированного доступа и имеет шифровальные средства, в частности зашифрованные протоколы, с помощью которых осуществляется обмен зашифрованными сигналами с денежным модулем и при необходимости с другим доверенным агентом, что обеспечивает взаимодействие между указанными доверенным агентом и денежным модулем для синхронизации безопасного платежа по доставке товара. Денежные модули представляют собой также защищенные от несанкционированного доступа устройства, которые могут хранить и передавать электронные деньги и также имеют соответствующие шифровальные средства для обмена зашифрованными сигналами с доверенным агентом. Электронные деньги предпочтительно представлены в форме электронных банкнот, которые в свою очередь являются представлениями наличных денег или кредита. Денежные модули могут также устанавливать криптографически безопасные сеансы связи с другими устройствами. В предпочтительном варианте выполнения настоящего изобретения используются денежные модули транзакций, описанные в заявках на патент США 07/794112 и 08/427287.

Доверенные агенты при осуществлении покупок через сеть обмениваются электронным товаром и платежной суммой. В настоящем изобретении для осуществления коммерческих платежей, как показано на фиг. 1, доверенный агент 2 покупателя (ДАПок) посылает доверенному агенту 4 продавца (ДАПрод) информацию с извещением о переводе. После этого доверенный агент 4 продавца посылает доверенному агенту 2 покупателя билет, удостоверяющий поступление коммерческого платежа. Денежный модуль 6 покупателя в свою очередь посылает электронные деньги денежному модулю 6 продавца через ДАПок 2 и ДАПрод 4.

Извещение о переводе
Система счетов кредиторов покупателя создает извещение о переводе, который должен оплатить доверенный агент покупателя. Извещение о переводе посылается доверенному агенту по сети покупателя. Как показано на фиг. 2А, извещение о переводе содержит информацию, необходимую для осуществления транзакций, например информацию о покупателе и продавце в разделах 46, 47, такую как имена и адреса покупателя и продавца, справочный номер покупателя и сетевой адрес продавца, сумму к оплате в разделе 49, дату платежа в разделе 48 и список счетов-фактур в разделе 50, подлежащих оплате. Как показано на фиг. 2Б, счет-фактура содержит достаточное количество информации, чтобы продавец мог идентифицировать систему счетов дебиторов и использовать эту информацию при разрешении спора. Такая информация в счете-фактуре может содержать номер счета-фактуры в разделе 51, порядковый номер покупки в разделе 52, срок оплаты в разделе 53, сумму по счету-фактуре в разделе 54, сумму скидки в разделе 55 и сумму-нетто в разделе 56.

Билеты
Согласно фиг. 1 и 3 билет 8 является электронным набором данных, созданным ДАПрод 4 и переданным при транзакции к ДАПок 2. Билеты могут считаться собственностью доверенных агентов. Покупатель, ДАПок 2 которого только что получил билет 8, может использовать этот билет только после успешного завершения транзакции.

Как описано в заявке на патент США 08/234461, доверенные агенты используют различные типы билетов, применяемых для различных целей. Однако для настоящего изобретения наибольшее значение имеют билеты, удостоверяющие поступление коммерческого платежа. Такой билет содержит подробные сведения о коммерческом платеже, имеет цифровую подпись ремитента на извещении о переводе и может использоваться покупателем в спорном случае.

На фиг. 3 показан предпочтительный вариант билета 8, который включает шесть следующих главных разделов: раздел 10 "Идентификатор", раздел 12 "Компоненты", раздел 14 "Подпись эмитента", раздел 16 "Сертификат эмитента", раздел 18 "Предыстория передачи" и раздел 20 "Подписи отправителей". Эти разделы в свою очередь состоят из содержащих различную информацию полей.

Раздел 10 "Идентификатор" имеет поле 22, в котором содержится информация, идентифицирующая продавца или уполномоченное лицо, соответственно создавшее билет. Такая информация, например имя продавца или уполномоченного лица, копируется из его удостоверения, хранящегося у эмитента билета. Поле 22 содержит также срок окончания действия удостоверения продавца или уполномоченного лица. Поле 24 содержит идентификационный номер принимающего доверенного агента. Поле 24 содержит также срок окончания действия удостоверения доверенного агента лица, принимающего билет. Поле 26 указывает тип билета (например, билет кредитной или дебитовой карточки, билет, удостоверяющий поступление коммерческого платежа, и т.д.).

Раздел 12 "Компоненты" составляет основное содержание билета, которое варьируется в зависимости от типа билета и его конкретных целей. На фиг. 3 приведены примеры компонентов, встречающихся в билете, удостоверяющем поступление коммерческого платежа.

Указанный выше билет может иметь поле 36 "Информация о покупателе", поле 38 "Информация о продавце", поле 40 "Дата платежа", поле 42 "Уплаченная сумма", а также поле 44 "Подпись на извещение о переводе", которая является цифровой подписью ДАПрод на информации с извещением о переводе.

За разделами 10 "Идентификатор" и 12 "Компоненты" в билете 8 следует раздел 14 "Подпись эмитента", который содержит цифровую подпись, поставленную создателем билета. Такая подпись делается при помощи частного ключа, принадлежащего доверенному агенту эмитента. Раздел 16 "Сертификат эмитента" содержит подтверждение третьей доверенной стороны (ниже обозначенной как "доверенное агентство"), используемое вместе с подписью эмитента для проверки подлинности выпущенного билета 8. Такое подтверждение имеет вид сертификата, принадлежащего доверенному агенту эмитента. Общий метод использования сертификатов и цифровых подписей известен и описан, например, у D.W. Davies и W.L. Price в "Security For Computer Networks", изд-во John Wiley & Sons, 1984.

Раздел 18 "Предыстория передачи" содержит информацию, которая формируется при передаче билетов между доверенными агентами после первоначального выпуска билета 8 продавцом или уполномоченным лицом. Поле 28 "Идентификатор получателя" содержит идентификационный номер получающего доверенного агента. Поле 30 "Идентификатор отправителя" содержит идентификационный номер отправляющего доверенного агента. Поле 32 "Сертификат отправителя" содержит сертификат отправляющего доверенного агента. Поле 34 "Дата/время" содержит дату и время передачи билета 8. При осуществлении последующих передач к каждому из соответствующих полей добавляются дополнительные идентификаторы получателя и отправителя, сертификаты отправителя, дата и время, благодаря чему создается список с информацией о предыстории передачи. Необходимо отметить, что идентификатор доверенного агента, находящийся в поле "Получатель" раздела "Идентификатор", должен быть тем же самым, что и первый идентификатор в поле "Идентификатор отправителя".

Кроме того, когда бы билет 8 ни передавался между доверенными агентами, отправитель подписывает в цифровом виде билет после пяти предыдущих его разделов, используя частный ключ, принадлежащий доверенному агенту отправителя. Раздел 20 "Подпись отправителя" затем обновляется путем добавления вновь созданной цифровой подписи, за счет чего создается список подписей отправителей.

Устройства транзакций
На фиг. 4 доверенный агент 120 встроен в устройство 122 транзакций. Устройство 122 транзакций представляет собой электронное устройство и состоит из трех главных компонентов как для продавца, так и для покупателя. Этими компонентами являются центральный процессор 124 (причем таких процессоров может быть и более одного), доверенный агент 120 и денежный модуль 6. Эти компоненты соединены, например, шиной 126. Когда доверенный агент 120 представляет собой ДАПрод 2, то устройство 122 называется устройством транзакций продавца (УТПрод). Когда доверенный агент 120 представляет собой ДАПок 4, то устройство 122 называется устройством транзакций покупателя (УТПок).

В соответствии с этим, как упоминалось выше, указанные устройства транзакций являются устройствами транзакций, например, покупателя и продавца и могут быть также названы первым или вторым в зависимости от того, кто первым иниициирует транзакцию, т.е. устройство транзакций покупателя обычно называют первым, а устройство транзакций продавца - вторым.

На фиг. 4 показаны функциональные компоненты центрального процессора 124. Центральный процессор управляет следующими функциями: функцией 128 "Коммуникации", функцией 130 "Приложения транзакций", функцией 132 "Интерфейс человек-машина", функцией 136 "Дата/время" и функцией 134 "Менеджер сообщений".

Функция 128 "Коммуникации" поддерживает связь устройства 122 транзакций с внешним миром. Такая связь может быть проводной или беспроводной, широко- или узкополосной, при условии, что средства связи между устройствами совместимы. Функция 128 "Коммуникации" устанавливает соединение между двумя устройствами 122 транзакций или соединяет устройство транзакций с сетью для непрямой связи с другим устройством транзакций или доверенным сервером.

Функция 130 "Приложения транзакций" может выполнять различные задачи. Например, приложение транзакций может оплачивать счета, полученные от предыдущих транзакций. В целом устройство 122 транзакций содержит все процессы обработки, необходимые для выбора, покупки и возможного использования электронных объектов, электронных денег, удостоверений и других билетов 8, или процессы обработки, необходимые для их продажи.

Функция 132 "Интерфейс человек-машина" в устройстве 122 транзакций обеспечивает просмотр (поиск) и восприятие (ввод) информации. Этот интерфейс может представлять собой клавиатуру, мышь, электронное перо, устройство речевого ввода, сенсорный экран, пиктограммы, меню и т.д. Функция 132 "Интерфейс человек-машина" связывается с остальными функциями доверенного агента 120 и денежного модуля 6 через функцию 134 "Менеджер сообщений". В некоторых приложениях функция 132 "Интерфейс человек-машина" может быть необязательной, например, в полностью автоматизированном устройстве транзакций продавца либо покупателя.

Функция 136 "Дата/время" устанавливается владельцем устройства 122 транзакций и содержит дату, время и часовой пояс. Информация, содержащаяся в функции "Дата/время", передается соответствующему доверенному агенту 120 всегда, когда этот доверенный агент открыт (т.е. готов) для использования.

Функция 134 "Менеджер сообщений" осуществляет маршрутизацию межпроцессорных сообщений (т.е. сообщений между устройствами транзакций) и сообщений между центральным процессором 124, доверенным агентом 120 и денежным модулем 6.

Доверенные агенты
На фиг. 5А показаны функциональные компоненты доверенного агента 120. В описываемой системе для открытого электронного бизнеса используется три типа доверенных агентов 120, различающиеся некоторыми уникальными функциями 146 "Транзактор", которые они выполняют. На фиг. 5Б показаны функции, которые выполняются транзактором в ДАПок 2. На фиг. 5В изображены функции, которые выполняются транзактором в ДАПрод 4. На фиг. 5Г показаны функции, которые выполняются транзактором в доверенном агенте уполномоченного лица (ДАУ), который в свою очередь входит в состав устройства транзакций уполномоченного лица (УТУ). УТУ связаны с учреждениями, выдающими удостоверения, такими как банк.

Функция 138 "Внешний интерфейс" обеспечивает физическую связь с центральным процессором 124 и денежным модулем 6 устройства 122 транзакций, в состав которого входит доверенный агент 120. Функция 140 "Интерфейс сообщений" осуществляет обработку и маршрутизацию сообщений между агентами и внутри агентов. Функция 142 "Менеджер сеанса связи" устанавливает и прерывает сеансы связи между агентами и сеансы связи агента с доверенным сервером. Функция 144 "Менеджер безопасности" контролирует информацию о безопасности (например, сертификат доверенного агента и список "ненадежных", т.е. заблокированных агентов) и устанавливает безопасную связь с доверенным агентом партнера (через центральный процессор 124) и с локальным денежным модулем 6 внутри того же самого устройства 122 транзакций. Функция 146 "Транзактор" содержит протоколы для осуществления транзакции. Транзакторы покупателя, продавца и уполномоченного лица используются соответственно в ДАПок, ДАПрод и ДАУ.

На фиг. 5Б приведены функции транзактора покупателя. Функция 158 "Покупка" осуществляет обмен суммы платежа на билеты 8 и электронные объекты. Функция 160 "Связь с центральным процессором" обеспечивает взаимодействие с центральным процессором 124 устройства транзакций. Функция 164 "Предъявление билета" предъявляет билеты 8 для получения информации или услуг. Функция 166 "Приобретение удостоверения" служит для получения билета удостоверения. Функция 162 "Журнал транзакций" ведет журнал транзакций доверенного агента. ДАПок 2 и ДАПрод 4 ведут журнал транзакций, в котором хранится следующая информация: тип транзакции (например, тип билета), вид билета до транзакции, вид билета после транзакции; информация о предмете спора, в том числе дата спора (как она записана каждым доверенным агентом в диалоге спора), статус и резолюция продавца (например, заменить, возместить, отклонить), а также информация о пересертификации (например, дата пересертификации). Функция 168 "Инициализация спора" предъявляет электронную покупку в случае, если покупатель недоволен этой покупкой.

На фиг. 5В показаны функции транзактора продавца. Функция 170 "Покупка" обменивает билеты 8 и электронные объекты на сумму платежа.

Функция 172 "Связь с центральным процессором" обеспечивает взаимодействие с центральным процессором 124 устройства транзакций. Функция 176 "Получение билета" обрабатывает полученный билет 8 для предоставления услуг или информации. Функция 177 "Приобретение удостоверения" получает удостоверение продавца. Функция 174 "Журнал транзакций" ведет журнал транзакций доверенного агента. Функция 178 "Разрешение спора" получает билеты 8 и электронные объекты с целью рассмотрения жалобы покупателя.

На фиг. 5Г показаны функции транзактора уполномоченного лица. Функция 180 "Создание удостоверения" формирует и доставляет билеты удостоверений запрашивающей стороне. Функция 182 "Связь с центральным процессором" обеспечивает взаимодействие с центральным процессором 124 устройства транзакций. Функция 184 "Получение билета" обрабатывает полученный билет 8 для предоставления услуг или информации. Функция 186 "Продление удостоверения" изымает имеющееся удостоверение и выпускает новое удостоверение с новым сроком действия. Функция 183 "Журнал транзакций" ведет журнал транзакций. Функция 185 "Приобретение удостоверения" получает удостоверение уполномоченного лица.

Как показано на фиг. 5А, функция 150 "Связь с денежным модулем" обеспечивает связь с денежным модулем 6 того же устройства 122 транзакций для осуществления платежа. Функция 152 "Криптография" выполняет криптографические функции ключа общего пользования и симметричного ключа. Для этой цели могут использоваться любые хорошо известные криптографические методы ключа общего пользования и симметричного ключа, например RSA (алгоритм цифровой подписи Райвеста-Шамира- Адельмана) и DES (стандарт шифрования данных). Функция 148 "Держатель билетов" создает билеты 8 в ДАПрод 4 или же хранит билеты 8 в ДАПок 2 и извлекает их оттуда. Функция 156 "Генератор случайных чисел" генерирует случайные числа для построения криптографических ключей. Функция 154 "Дата/время" управляет датой и временем, полученными от центрального процессора 124, для датирования билетов 8 и проверки достоверности сертификатов и предъявленных билетов. Информация о текущем времени подается на доверенный агент 120 каждый раз, когда доверенный агент открыт (т.е. готов для использования) и поддерживается до тех пор, пока доверенный агент не будет закрыт.

Аппаратное обеспечение доверенного агента/денежного модуля может включать следующие компоненты: микроконтроллер (например, семейства Интел 196) для выполнения протоколов транзакций, быстродействующую энергозависимую память (например, СЗУПВ), в которой в процессе работы хранятся операционная система, различные части прикладных программ, соответственно приложений, криптографическая информация и т. д., энергонезависимую память (например, флэш-память), в которой хранится операционная система, прикладные программы, билеты, электронные деньги, журналы и т.д., тактовый генератор на интегральной схеме для обеспечения привязки ко времени, аккумулятор для тактового генератора и шумовой диод или иной источник случайного шума для генератора случайных чисел.

Общая структура системы
На фиг. 6 показана общая архитектура сети рассматриваемой системы для осуществления коммерческих платежей. Устройство 188 транзакций покупателя может связываться с системой 189 счетов кредиторов покупателя через сеть 191 покупателя. Система счетов кредиторов покупателя создает извещение о переводе, содержащее список подлежащих оплате счетов-фактур, и посылает эти данные на УТПок 188.

После получения информации с извещением о переводе УТПок 188 проверяет свой денежный модуль 6 на наличие достаточного количества средств для оплаты или получает электронные деньги от другого устройства транзакций либо с банковского счета покупателя, как это описано в заявках США 07/794112, 08/234461 и 08/427287. При оплате в кредит УТПок 188 либо должен иметь текущий кредит, либо должен обратиться в банк за получением кредита.

Когда УТПок 188 имеет как извещение о переводе, так и электронные деньги, оно может связаться с сетью 134 продавца по одной из шлюзовых сетей 190. Сеть продавца обеспечивает для УТПрод 198 связь с системой 193 счетов дебиторов продавца. Система 193 счетов дебиторов продавца используется для сопоставления подлежащих оплате счетов-фактур с полученной информацией, содержащей извещение о переводе. После этого система коммерческих платежей по настоящему изобретению дает разрешение покупателю осуществить платеж продавцу с использованием безопасной связи через денежный модуль, при этом покупатель в свою очередь получает билет, удостоверяющий получение коммерческого платежа, с подписью УТПрод на информации с извещением.

Блок-схемы алгоритмов
В изображенных на последующих чертежах блок-схемах алгоритмов используются обозначения "А" и "В", относящиеся к двум взаимодействующим доверенным агентам 120. Те же самые обозначения А и В могут быть применимы к центральному процессору 124 или денежному модулю 6, которые соответствуют отдельному доверенному агенту 120 (т.е. находятся внутри того же устройства 122 транзакций). На блок-схемах алгоритмов показан функциональный компонент, в первую очередь отвечающий за выполнение данной задачи. Например, "МЕНЕДЖЕР БЕЗОПАСНОСТИ А" означает, что соответствующая задача выполняется функцией 144 "Менеджер безопасности" (см. фиг. 5А) в доверенном агенте А.

Блок-схемы алгоритмов также осуществляют вызов подпрограмм, в некоторых из которых для определенных параметров использованы обозначения Х и Y. Например, "УСТАНОВЛЕНИЕ СЕАНСА СВЯЗИ А - В" является вызовом подпрограммы "Установить сеанс связи". При дальнейшем продвижении по блок-схеме алгоритма "Установление сеанса связи" подразумевается, что Х = А, а Y = В.

Прекращение и фиксация транзакции
В рассматриваемом типе обработки транзакций между двумя сторонами необходимо передавать электронные наборы данных, такие как билеты 8, и электронные банкноты, поддерживая "игру с нулевой суммой". Иными словами, нежелательно дублировать электронные наборы данных, т.е. по окончании электронной транзакции количество наборов данных не должно превышать в два раза количество наборов до транзакции. Аналогичным образом нежелательно терять электронные наборы, т.е. после транзакции их не должно быть меньше, чем до транзакции. Например, если в начале транзакции А имеет один электронный билет 8 и должен передать его В, то необходимо обеспечить, чтобы в конце транзакции у В был один электронный билет 8, а у А не было электронных билетов. В реальности, однако, возможны два других исхода, а именно, когда А и В имеют один и тот же электронный билет 8 (дублирование), либо ни А, ни В не имеют электронного билета 8 (потеря).

С целью свести вероятность дублирования или потери к пренебрежимо малым значениям протокол транзакции должен учитывать возможность того, что естественные или преднамеренные события могут прервать типичный ход транзакции. Примером естественного прерывания является прерывание текущего соединения между А и В во время транзакции. Для минимизации вероятности дублирования или потери из-за таких случайных событий пределы, в которых может иметь место дублирование или потеря, должны быть сведены к минимальным. Для минимизации преднамеренных прерываний (т.е. откровенных вторжений) целесообразно устранить экономические стимулы для таких вторжений. Например, если вторгающийся может лишь потерять билеты и/или деньги, пытаясь прервать транзакцию, то у него не будет никаких стимулов для начала такого вторжения.

Эти концепции нашли эффективное отражение в протоколах транзакций описываемой системы. В частности целесообразно обеспечить согласованные состояния прерывания и фиксации между двумя совершающими транзакцию доверенными агентами 120 (или денежными модулями 6). Например, если А фиксирует транзакцию, то и В должен фиксировать эту транзакцию, или если А прекращает транзакцию, то и В также должен ее прекратить. Для достижения согласованности и минимизации вероятности дублирования или потери (в случае наличия несогласованности) протоколы транзакций учитывают порядок и время фиксации А и В данной транзакции.

На фиг. 7 показаны две подпрограммы "Прекращение транзакции" и "Фиксация транзакции". Подпрограмма прекращения выполняется внутри данного доверенного агента 120, когда транзакция, в которую он вовлечен, дает сбой. Подпрограмма прекращения возвращает доверенный агент 120 в точно такое же исходное состояние, в котором он находился до начала неудачной транзакции. Кроме того, если доверенный агент продавца осуществляет прекращение после проверки полномочий, то такая проверка будет отменена. В противоположность этому подпрограмма фиксации транзакции выполняется внутри доверенного агента 120, когда транзакция, в которую он вовлечен, успешно завершена. Доверенный агент 120 записывает завершенную транзакцию в свой журнал транзакций и готов к новой транзакции. Например, во время транзакции передачи электронного билета 8 последний передается от доверенного агента А доверенному агенту В. Поскольку в этот момент времени ни А, ни В не фиксировали и не прекращали транзакцию, А условно сохраняет билет 8, в то время как В также условно имеет билет 8. Если и А, и В зафиксировали транзакцию, то А уничтожит свой билет 8, а наличие у В билета 8 перестанет быть условным. Если же А и В прервали транзакцию, то А сохранит свой билет 8, а билет 8, который условно имел В, будет уничтожен путем возврата к началу транзакции. Следует отметить, что операция уничтожения может быть реализована различными способами, хорошо известными в данной области техники. Как отмечалось выше, целесообразно свести к минимуму возможность фиксации транзакции одним из доверенных агентов 120, в то время как другой доверенный агент 120 прекратил ее, поскольку при некоторых ограниченных условиях это может привести к дублированию или потере электронных наборов данных.

Аналогичная ситуация имеет место и по отношению к денежным модулям 6, обменивающимся электронными банкнотами. Во время транзакции покупки электронные банкноты передаются от денежного модуля А денежному модулю В, так что А условно уменьшает свои электронные банкноты (на переданную сумму), в то время как В условно получает электронные банкноты (в сумме, равной переданной). Если и А, и В фиксируют транзакцию, то у А остается уменьшенное количество банкнот, а наличие электронных банкнот у В перестает быть условным.

На фиг. 7А приведена подпрограмма фиксации. Функция "Журнал транзакций" Х обновляет журнал транзакций. Функция "Связь с центральным процессором" Х оповещает центральный процессор, что транзакция завершена. Функция "Менеджер сеанса связи" Х записывает окончание сеанса связи (шаги 230-234).

На фиг. 7Б представлена подпрограмма прекращения. Функция "Менеджер сеанса связи" Х отменяет изменения, возвращаясь к началу транзакции, и отмечает прекращение транзации агентом. "Менеджер сеанса связи" отслеживает действия, совершенные с начала сеанса связи, и отменяет эти шаги. Функция "Связь с центральным процессором" Х посылает центральному процессору сообщение, что транзакция прекращена (шаги 236-238).

Подпрограмма прекращения может быть вызвана непосредственно из блок-схемы алгоритма, например, когда доверенный агент 120 определяет, что сертификат недействителен. Подпрограмма прекращения может быть вызвана также в том случае, когда ожидаемое действие не происходит. В частности, когда два доверенных агента 120 связываются друг с другом, они будут отслеживать протокол истечения времени ожидания события. Например, после того, как первый доверенный агент 120 послал сообщение второму доверенному агенту 120, функция "Менеджер сеанса связи" первого доверенного агента (А) установит таймер ожидания ответа, если таковой требуется. Функция "Менеджер сеанса связи" может также пронумеровать посланное сообщение. Этот номер появится в ответном сообщении от функции "Менеджер сеанса связи" второго доверенного агента (В).

Если таймер закончит отсчет до момента приема сообщения, то функция "Менеджер сеанса связи" А направит запрос функции "Менеджер сеанса связи" В определить, продолжает ли происходить выполнение транзакции в В. Если В не отвечает, то функция "Менеджер сеанса связи" А прекратит транзакцию. Если же принят ответ, что транзакция продолжает выполняться, то таймер будет переустановлен на новое время. Если А посылает к В запрос определенное число раз, не получая ответа на исходное сообщение, то А прекратит транзакцию. Аналогичные функции истечения времени ожидания события существуют в денежных модулях 6.

Коммерческий платеж через денежный модуль
На фиг. 8 показана блок-схема алгоритма коммерческого платежа, осуществляемого через денежный модуль. Сначала от системы 189 счетов кредиторов приложению транзакций центрального процессора А (ПТЦПА) передается информация с извещением. Хотя система 189 счетов кредиторов предпочтительно является автоматизированной системой, настоящее изобретение применимо также к системе с ручным вводом информации (например, такой, в которой данные с извещением вводятся в ПТЦПА с клавиатуры). Затем ПТЦПА устанавливает связь с приложением транзакций центрального процессора В (ПТЦПВ) предпочтительно через сеть 191 покупателя, шлюзовую сеть 190 и сеть 134 продавца (шаг 700) и покупатель выбирает функцию "Осуществить коммерческий платеж". ПТЦПА отправляет сообщение своему доверенному агенту А оплатить коммерческий платеж, а ПТЦПВ отправляет сообщение своему доверенному агенту В принять коммерческий платеж (шаги 702-704).

Доверенные агенты покупателя и продавца (А и В) затем устанавливают сеанс связи, как это описано в заявке на патент США 08/234461. В частности, для установления криптографически безопасного канала связи между доверенным агентом А и доверенным агентом В вызывается подпрограмма "Установление сеанса связи" (шаг 706). Как показано на фиг. 9, функция "Менеджер сеанса связи" доверенного агента А запрашивает, а затем получает сертификат А (т.е. серт. (ДА)) от функции "Менеджер безопасности" (шаги 296-298). Затем функция "Менеджер сеанса связи" А посылает серт. (ДА) функции "Менеджер сеанса связи" доверенного агента В, который в свою очередь посылает его своей функций "Менеджер безопасности" (шаги 300-304).

Функция "Ключ общего пользования" доверенного агента В проверяет серт. (ДА), используя протоколы проверки действительности, например, такие, как описанные в заявках на патент США 08/234461 и 08/427287 (шаги 306-308).

Если серт. (ДА) недействителен, то функция "Менеджер сеанса связи" В отмечает, что сеанс связи прекращен, и информирует функцию "Менеджер сеанса связи" А, что транзакция отменена. Функция "Менеджер сеанса связи" А также отмечает, что сеанс связи прекращен (шаги 310-312).

Если серт. (ДА) действителен, то функция "Менеджер безопасности" В проверяет, не состоит ли доверенный агент А в списке "ненадежных" (заблокированных) доверенных агентов (шаги 314-316). Если доверенный агент А является заблокированным, то сеанс связи прекращается (шаги 310-312).

Если А нет в списке заблокированных доверенных агентов, то функция "Генератор случайных чисел" В создает случайное число R(B), а также проверочное сообщение В (шаг 318). Случайное число R(B) будет в итоге использовано для формирования ключа сеанса связи. Проверочное сообщение В является случайным числом, используемым В для защиты от повторной посылки сообщения. Далее функция "Менеджер безопасности" В объединяет R(B), проверочное сообщение В и серт.(ДА) в одно сообщение для доверенного агента А (шаг 320). Функция "Ключ общего пользования" В шифрует сообщение при помощи ключа общего пользования доверенного агента А (КОП (ДА)), который доверенный агент В принимает вместе с сертификатом доверенного агента А (серт.(ДА)) (шаг 322). После этого функция "Менеджер сеанса связи" В посылает зашифрованное сообщение функции "Менеджер сеанса связи" А (шаги 324-326).

Функция "Ключ общего пользования" А расшифровывает сообщение при помощи своего частного ключа (соответствующего его ключу общего пользования) и проверяет действительность сертификата серт. (ДА) (шаги 328-330). Если серт. (ДА) недействителен, то функция "Менеджер сеанса связи" А отмечает, что сеанс связи прекращен, и посылает сообщение об отмене транзакции к В, функция "Менеджер сеанса связи" которого также отмечает, что сеанс связи прекращен (шаги 332-334).

Если же серт. (ДА) действителен, то функция "Менеджер безопасности" А проверяет, не состоит ли доверенный агент В в списке заблокированных агентов (шаги 336-338). Если доверенный агент В есть в этом списке, сеанс связи прекращается (шаги 332-334). Если же В не состоит в списке заблокированных агентов, то "Генератор случайных чисел" А создает случайное число R(A) и проверочное сообщение А (например, другое случайное число) (шаг 340). Функция "Дата/время" передает текущие дату и время функции "Менеджер безопасности" (шаг 342). А и В обмениваются датой и временем для окончательной записи в их журналы транзакций во время фиксаций. Затем функция "Менеджер безопасности" А формирует и сохраняет ключ сеанса связи доверенного агента с доверенным агентом (ДА/ДА) при помощи операции "Исключающее ИЛИ" над числами R(A) и R(B) (шаг 344). Ключ сеанса связи (ДА/ДА) используется для шифровки канала связи между двумя доверенными агентами 120. Функция "Менеджер сеанса связи" А компонует сообщение, содержащее проверочные сообщения А и В, информацию о дате/времени, а также число R(A) (шаг 344). Функция "Ключ общего пользования" А шифрует это сообщение при помощи ключа общего пользования доверенного агента В (который А получил в сертификате серт. (ДА)) и посылает зашифрованное сообщение функции "Менеджер сеанса связи" доверенного агента В (шаги 346-350).

Функция "Ключ общего пользования" В расшифровывает полученное сообщение при помощи своего секретного ключа (соответствующего его ключу общего пользования) (шаг 352). Функция "Менеджер безопасности" В проверяет, является ли проверочное сообщение В, полученное от А, тем же самым проверочным сообщением В, которое было до этого послано к А (шаги 354-356). Если они не совпадают, то сеанс связи прекращается (шаги 310-312). Если же они одинаковы, то функция "Менеджер сеанса связи" В отмечает начало сеанса связи (шаг 358).

Функция "Менеджер безопасности" В формирует ключ сеанса связи (ДА/ДА) при помощи операции "Исключающее ИЛИ" над R(A) и R(B), а затем сохраняет этот ключ сеанса связи (шаг 360). В этот момент и А, и В создали и сохранили один и тот же ключ сеанса связи (т.е. ключ сеанса связи (ДА/ДА)) для использования при их текущем взаимодействии. Далее функция "Дата/время" В посылает свою информацию о текущих дате и времени функции "Менеджер безопасности" В (шаг 362). Функция "Менеджер безопасности" В компонует сообщение, содержащее подтверждение о приеме к А, проверочное сообщение А и информацию от В о дате/времени (шаг 364). Затем вызывается подпрограмма "Посылка сообщения" (шаг 366) для посылки сообщения от В к А.

Как показано на фиг. 10, функция "Симметричный ключ" доверенного агента В зашифровывает сообщение при помощи ключа сеанса связи (ДА/ДА) (шаг 376). Затем функция "Интерфейс сообщений" В форматирует сообщение и посылает его функции "Менеджер сообщений" центрального процессора (шаг 378). Функция "Менеджер сообщений" центрального процессора В после этого направляет сообщение через функцию "Коммуникация" функции "Менеджер сообщений" в центральном процессоре доверенного агента А (шаг 380). Затем функция "Менеджер сообщений" центрального процессора А посылает это сообщение функции "Интерфейс сообщений" доверенного агента А, который разбирает это сообщение (шаги 382-384). Функция "Симметричный ключ" А расшифровывает сообщение при помощи ключа сеанса связи (ДА/ДА), завершая таким образом безопасную передачу сообщения между доверенными агентами с использованием ключа сеанса связи (ДА/ДА) (шаг 386).

Как показано далее на фиг. 9, функция "Менеджер безопасности" А принимает подтверждение о приеме, проверочное сообщение А и информацию В о дате/времени (шаг 368). Функция "Менеджер безопасности" А проверяет, является ли проверочное сообщение А тем же самым проверочным сообщением А, которое А ранее посылал к В (шаги 370-372). Если эти сообщения не совпадают, то функция "Менеджер сеанса связи" А прекращает сеанс связи (шаги 332-334). Если же они одинаковы, то функция "Менеджер сеанса связи" А отмечает начало сеанса связи (шаг 374).

Как показано далее на фиг. 8, после установления сеанса связи доверенный агент А запрашивает и проверяет удостоверение продавца-владельца доверенного агента В с использованием протокола, также описанного в заявке на патент США 08/234461. В частности, вызывается показанная на фиг. 11 подпрограмма "Проверка действительности удостоверения" (шаг 708). Все УТПрод 198 содержат удостоверение, идентифицирующее владельца/продавца (например, NYNEX, Ticketron и т.д.). Такое удостоверение продавца может быть выдано, например, службой идентификации продавцов, контролируемой доверенным агентством. С другой стороны, удостоверения покупателя, содержащиеся в УТПок 188, могут представлять собой водительские права или кредитные карты частных лиц, либо удостоверения покупателя могут быть коммерческими удостоверениями, такими как удостоверения, содержащиеся в УТПрод 198, и они выпускаются различными уполномоченными службами идентификации. Как показано на фиг. 11, функция "Покупка" А посылает сообщение к функции "Покупка" доверенного агента В, запрашивающее его удостоверение продавца (шаги 444-448). Функция "Держатель билетов" В выбирает соответствующее удостоверение продавца и посылает это удостоверение к А для подтверждения действительности (шаги 450-456).

Удостоверения или любой другой тип билета 8 проверяются на действительность следующим образом:
1) проверяется действительность сертификата эмитента и подпись эмитента,
2) проверяется каждая передача на предмет совпадения идентификаторов получателя и отправителя (т.е. если SO = эмитент, R₀ = первый получатель, то R_i = S_i+1, где i≥0),
3) проверяется действительность сертификата каждого отправителя и подпись каждого отправителя,
4) проверяется совпадение идентификатора последнего получателя с идентификатором (ид (ДА)) сертификата доверенного агента (серт. (ДА)) в текущем сеансе связи.

Если удостоверение продавца недействительно, то транзакция прекращается путем вызова подпрограммы "Прекращение транзакции" (шаг 458). Как показано на фиг. 12, доверенный агент А прекращает транзакцию (шаг 388), а его функция "Менеджер сеанса связи" посылает функции "Менеджер сеанса связи" доверенного агента В сообщение, информирующее В о том, что А прекратил транзакцию (шаги 390-394). Затем доверенный агент В прекращает транзакцию (шаг 396). Как показано на фиг. 11, если удостоверение продавца действительно, то функция "Связь с центральным процессором" А передает информацию об удостоверении в приложение передачи центрального процессора для подтверждения (например, для подтверждения центральным процессором идентификатора продавца в извещении о переводе) (шаги 460-462).

Согласно фиг. 8 процесс осуществления коммерческого платежа через денежный модуль продолжается далее следующим образом. Функция "Покупка" А отправляет доверенному агенту В сообщение "Требуется ли В удостоверение А?" (шаги 710-712). Затем функция "Связь с центральным процессором" В отправляет к ПТЦПВ сообщение "Требуется ли удостоверение А?" (шаги 714-716). Если для идентификации плательщика требуется удостоверение покупателя, то выполняется подпрограмма проверки удостоверения, и после этого функция "Покупка" В отправляет к А сообщение о начале платежа (шаги 718- 724). Если же удостоверение не требуется, то функция "Покупка" В отправляет соответствующее сообщение, что удостоверение А не требуется (шаги 722-724). Сообщение доверенного агента В принимается функцией ".Покупка" А (шаг 726), а функция "Связь с центральным процессором" А запрашивает у ПТЦПА извещение о переводе (шаг 728). После этого ПТЦПА посылает доверенному агенту А извещение о переводе (шаг 730), которое принимается функцией "Связь с центральным процессором" А и отправляется доверенному агенту В (шаги 732-734).

Функция "Покупка" В принимает извещение о переводе и сверяет общую сумму, содержащуюся в извещении о переводе, с суммой по счету-фактуре, уплачиваемой согласно извещению о переводе (шаг 736). Если эта общая сумма неправильна, то транзакция прекращается (шаг 738-740). Если же общая сумма верна, то функция "Ключ общего пользования" В подписывает цифровым образом извещение о переводе и отправляет подпись функции "Держатель билетов" В (шаг 742). Функция "Держатель билетов" В в свою очередь создает билет, удостоверяющий получение коммерческого платежа (шаг 744), и отправляет этот билет к А (шаги 746-748).

Далее функция "Покупка" А принимает этот билет и проверяет его достоверность (шаг 750). Если билет не действителен, то транзакция прекращается (шаги 752-754). Если же билет действителен, то функция "Покупка" А пересылает этот билет функции "Держатель билетов" А и посылает проставленную на извещении о переводе подпись на проверку (шаг 756).

После этого функция "Ключ общего пользования" А проверяет цифровую подпись, используя ключ общего пользования продавца, который был получен вместе с удостоверением продавца (шаг 758). Если подпись неправильна, то транзакция прекращается (шаги 760, 754). Если же подпись правильна, то осуществляется платеж через денежный модуль (шаги 760-762).

Далее доверенный агент А осуществляет платеж через денежный модуль, передавая соответствующую сумму доверенному агенту В, как описано в заявке на патент США 08/234461. В частности, вызывается подпрограмма "Платеж через денежный модуль" (шаг 762). Как показано на фиг. 13, функция "Генератор случайных чисел" А создает случайное число R(l) (шаг 520). Функция "Покупка" А затем посылает доверенному агенту В сообщение, указывающее на то, что будет произведен "платеж через денежный модуль", а также содержащее число R(l) (шаги 522-524). Функция "Покупка" В принимает это сообщение и посылает R(l) функции "Менеджер безопасности" В (шаги 526-528). Функция "Генератор случайных чисел" В создает случайное число R(2) и посылает его доверенному агенту А (шаги 530-532). Функции "Менеджер безопасности" А и В совместно формируют ключ сеанса связи (ДА/ДМ) при помощи операции "Исключающее ИЛИ" над R(l) и R(2) (шаги 534-536).

На фиг. 14 показаны четыре зашифрованных канала связи, устанавливаемых в процессе транзакции. По зашифрованному каналу 436 между двумя доверенными агентами 120 передаются сообщения, зашифрованные с помощью ключа сеанса связи доверенного агента с доверенным агентом (ДА/ДА). В каналах 438 и 440 между доверенным агентом 120 и его денежным модулем 6 совместно используется ключ сеанса связи доверенного агента с денежным модулем (ДА/ДМ). В канале 442 между денежными модулями 6 в различных устройствах 122 транзакций используется ключ сеанса связи денежного модуля с денежным модулем (ДМ/ДМ).

Ключ сеанса связи (ДА/ДМ) используется для шифрования сообщений, передаваемых по зашифрованным каналам 438 и 440 между доверенным агентом 120 и относящимся к нему денежным модулем 6. В этой точке блок-схемы алгоритма только два доверенных агента 120 имеют ключ сеанса связи (ДА/ДМ). Оба денежных модуля 6 согласно блок-схеме формируют копии ключа сеанса связи (ДА/ДМ) в более позднее время с целью инициализировать обмен зашифрованными сообщениями между доверенными агентами 120 и их денежными модулями 6.

Следует отметить, что вместо реализации доверенного агента 120 и денежного модуля 6 в виде дискретных, защищенных от несанкционированного доступа компонентов их можно выполнить в виде одного защищенного от несанкционированного доступа модуля. В этом случае необязательно устанавливать безопасный сеанс связи между доверенным агентом 120 и денежным модулем 6 в одном и том же устройстве 122 транзакций. Однако дискретные денежные модули 6 и доверенные агенты 120 предпочтительны в том отношении, что такая конфигурация обеспечивает большую гибкость в их применении.

Как показано далее на фиг. 13, функция "Связь с денежным модулем" А посылает сообщение "Выполнить платеж" и R(l) своему денежному модулю А. Функция "Связь с денежным модулем" В также посылает сообщение "Принять платеж" и R(2) своему денежному модулю В (шаги 538-544).

На этой стадии денежный модуль А (в ДАПок 2) и денежный модуль В (в ДАПрод 4) устанавливают между собой сеанс связи таким образом, что каждый денежный модуль 6 по завершении этого сеанса имеет новый ключ сеанса связи (ДМ/ДМ) (шаг 546). При установлении такого сеанса связи между денежными модулями последние обмениваются сообщениями с использованием уже установленного сеанса связи между доверенными агентами. Как показано на фиг. 14, ключ сеанса связи для зашифрованного канала 442 формируется путем обмена сообщениями, зашифрованными при помощи средств, использовавшихся для шифровки канала 436. После установления сеанса связи между денежными модулями сообщения, передаваемые между ними, будут зашифрованы дважды с помощью как ключа сеанса связи (ДМ/ДМ), так и (ДА/ДА) на протяжении части тракта связи между доверенными агентами 120.

В предпочтительном варианте сеанс связи между денежными модулями устанавливается аналогично установлению сеанса связи между доверенными агентами. Денежные модули 6, таким образом, будут иметь свои собственные сертификаты, содержащие их ключи общего пользования. Обмен сертификатами и случайными числами (для применения операции "Исключающее ИЛИ") инициализирует создание ключей сеанса связи (ДМ/ДМ). Протокол "Установление сеанса связи", используемый денежными модулями, описан в заявке на патент США 08/427287 и показан на фиг. 15. Функция "Поддержание безопасности" А посылает сертификат модуля функции "Менеджер сеанса связи", а функция "Менеджер сеанса связи" А принимает этот сертификат и проверяет, соединен ли денежный модуль А с сетью (шаги 1464-1466). Если денежный модуль А не соединен с сетью, то функция "Менеджер сеанса связи" А посылает сертификат, полученный от функции "Поддержание безопасности" А, в адрес В (шаг 1476).

Альтернативно этому, если денежный модуль А соединен с сетью, функция "Симметричный ключ" А шифрует сертификат с помощью ключа К, а функция "Менеджер сеанса связи" А посылает зашифрованный сертификат на сетевой сервер (шаги 1468-1472). Сетевой сервер расшифровывает сертификат с помощью ключа К и посылает его в адрес В.

Независимо от того, был ли послан сертификат сетевым сервером или функцией "Менеджер сеанса связи" А, функция "Менеджер сеанса связи" В получает сертификат, а функция "Поддержание безопасности" В (если В является сервером безопасности, то эта операция выполняется функцией "Менеджер сеанса связи") проверяет этот сертификат (шаги 1480-1484). Если сертификат недействителен, то функция "Менеджер сеанса связи" В отмечает, что сеанс связи прерван, и информирует об этом пользователя или банк (шаги 1486-1492) (если В является сервером безопасности, то В отмечает только то, что транзакция прекращена).

Если сертификат действителен, то функция "Поддержание безопасности" В проверяет, находится ли А в списке неверных идентификаторов (шаги 1494-1496). Если А находится в этом списке, то сеанс связи прерывается. Если А нет в списке, то функция "Генератор случайных чисел" В создает случайное число R(B) и проверочное сообщение В (шаг 1498). Функция "Часы/таймер" В запрашивает дату и время (шаг 1500). Функция "Поддержание безопасности" В компонует в одно сообщение число R(B), проверочное сообщение В, время и дату (шаг 1502). Функция "Ключ общего пользования" В шифрует это сообщение при помощи ключа общего пользования А, а функция "Менеджер сеанса связи В", присоединяя к указанному зашифрованному сообщению сертификат В, посылает это сообщение к А (шаги 1504-1506).

Функция "Менеджер сеанса связи" А принимает сообщение, функция "Ключ общего пользования" А расшифровывает зашифрованную часть сообщения, а функция "Поддержание безопасности" А проверяет действительность сертификата В (шаги 1508-1514). Если сертификат недействителен, то функция "Менеджер сеанса связи" А отмечает, что сеанс связи прерван, и информирует об этом пользователя или банк (шаги 1516-1522). Если сертификат действителен, то функция "Поддержание безопасности" А проверяет, находится ли В в списке неверных идентификаторов (шаги 1524-1526). Если В находится в этом списке, то сеанс связи прерывается. Если В нет в списке, то функция "Поддержание безопасности" А затребует дату и время и сравнивает их с датой и временем, полученными от В (шаги 1528- 1530). Если дата и время находятся вне установленных пределов, то сеанс связи прерывается.

Если же дата и время находятся в установленных пределах, то функция "Генератор случайных чисел" А создает случайное число R(A) и проверочное сообщение А (шаг 1532). Функция "Поддержание безопасности" А затем формирует ключ сеанса связи путем операции "Исключающее ИЛИ" над R(A) и R(B) (шаг 1534). Проверочное сообщение А, проверочное сообщение В, время, дата и R(A) компонуются в одно сообщение и шифруются при помощи ключа общего пользования В (шаг 1536). Это сообщение посылается к В функцией "Менеджер сеанса связи" А (шаг 1538). Функция "Менеджер сеанса связи" В принимает сообщение, функция "Ключ общего пользования" В расшифровывает сообщение, а функция "Поддержание безопасности" В проверяет проверочное сообщение В (шаги 1540-1546). Если проверочное сообщение В неправильное, то сеанс связи прерывается. Если проверочное сообщение В правильное, то функция "Поддержание безопасности" В формирует ключ сеанса связи путем операции "Исключающее ИЛИ" над R(A) и R(B) (шаг 1548). После этого затребуются значения времени и даты, которые сравниваются со временем и датой, полученными от А, для проверки того, находятся ли они в заданных друг по отношению к другу пределах (шаг 1550). Если время и дата вне этих пределов, то сеанс связи прерывается. Если же время и дата находятся в заданных пределах, то функция "Менеджер сеанса связи" В отмечает начало сеанса связи (шаг 1552).

Затем функция "Менеджер сеанса связи" посылает к А подтверждение о приеме и проверочное сообщение А (шаги 1554-1556). Функция "Менеджер сеанса связи" А принимает сообщение, а функция "Поддержание безопасности" А проверяет проверочное сообщение А (шаги 1558-1562). Если проверочное сообщение неправильное, то сеанс связи прерывается. Если же проверочное сообщение правильное, то функция "Менеджер сеанса связи" А отмечает начало сеанса связи (шаг 1564).

Общая безопасность или защита системы в отношении денежных модулей может быть совмещена с безопасностью в отношении доверенных агентов 120, однако их предпочтительно разделять в целях повышения безопасности и гибкости системы.

Как показано далее на фиг. 13, денежный модуль А посылает число R(l) денежному модулю В. Эта функция может инициализироваться приложением "Поддержание безопасности денежного модуля" А, постоянно хранящимся в денежном модуле А (шаг 548). Это приложение и другие приложения денежного модуля имеют префикс "ДМ" и описаны в заявке на патент США 07/794112 вместе с любыми модификациями и/или дополнениями, описанными в заявке на патент США 08/234461.

Случайное число R(l) посылается от денежного модуля А денежному модулю В подпрограммой "Посылка маршрутизированного сообщения" (шаг 550). Как показано на фиг. 15, функция "Симметричный ключ ДМ" А шифрует сообщение (в том числе R(l)) при помощи ключа сеанса связи (ДМ/ДМ) (шаг 640). Функция "Менеджер сеанса связи ДМ" А посылает сообщение функции "Менеджер сообщений центрального процессора" А, который в свою очередь посылает сообщение функции "Интерфейс сообщений" доверенного агента А (шаги 642-646). Доверенный агент А затем посылает сообщение функции "Интерфейс сообщений" доверенного агента В при помощи подпрограммы "Посылка сообщения" (шаг 648), которая шифрует и расшифровывает сообщение при помощи ключа сеанса связи между доверенными агентами (ДА/ДА). Функция "Интерфейс сообщений" В затем посылает сообщение функции "Менеджер сеанса связи ДМ" В в денежном модуле В через функцию "Менеджер сообщений центрального процессора" В (шаги 650-654). В завершение функция "Симметричный ключ ДМ" В расшифровывает сообщение при помощи ключа сеанса связи (ДМ/ДМ) (шаг 656).

Как показано далее на фиг. 13, функция "Поддержание безопасности ДМ" В (в денежном модуле В) формирует ключ сеанса связи (ДА/ДМ) путем операции "Исключающее ИЛИ" над R(1) и R(2). Затем денежный модуль В посылает R(2) денежному модулю А, который также формирует ключ сеанса связи (ДА/ДМ) путем операции "Исключающее ИЛИ" над R(1) и R(2) (шаги 552-556). Таким образом, как показано на фиг. 14, на этой стадии существуют три ключа сеанса связи, а именно (ДМ/ДМ), (ДМ/ДА) и (ДА/ДА). Таким образом, в наличии имеется четыре показанных зашифрованных канала.

Согласно фиг. 13 функция "Связь ДМ с пользователем" А далее приглашает доверенного агента А ввести сумму платежа, указанную типом банкноты (например, доллары, йены, фунты и т.п.) (шаг 558). Денежный модуль, описанный в заявке на патент США 07/794112, будет обычно использовать приложение "Связь с абонентом" для связи с владельцем/держателем денежного модуля. Однако, как в рассматриваемом примере, приложение "Связь с абонентом" связывается с доверенным агентом 120 для получения различных команд. В данном случае доверенный агент 120 предоставляет информацию о размере платежа и типе банкнот (доверенный агент А ранее связался с владельцем/держателем ДАПок 2 для определения суммы).

Приглашение на ввод, поступающее от денежного модуля 6 доверенному агенту 120, посылается при помощи подпрограммы "Посылка сообщения от ДМ к ДА" (шаг 560). Как показано на фиг. 17, функция "Симметричный ключ ДМ" А шифрует сообщение при помощи ключа сеанса связи (ДА/ДМ) (шаг 658). Функция "Менеджер сеанса связи ДМ" А посылает сообщение функции "Менеджер интерфейса" доверенного агента А через функцию "Менеджер сообщений центрального процессора" А (шаги 660-664). Функция "Симметричный ключ" А расшифровывает сообщение при помощи ключа сеанса связи (ДА/ДМ) (шаг 666). Как показано далее на фиг. 13, функция "Покупка" доверенного агента А посылает сумму (цену выбранного товара), выраженную типом банкнот, функции "Платеж/обмена ДМ" А (шаги 562-566). Это сообщение посылается при помощи подпрограммы "Посылка сообщения от ДА к ДМ" (шаг 564). Как показано на фиг. 18, функция "Симметричный ключ" А шифрует сообщение при помощи ключа сеанса связи (ДА/ДМ) (шаг 668). Функция "Интерфейс сообщений" А посылает сообщение функции "Менеджер сеанса связи ДМ" А через функцию "Менеджер сообщений центрального процессора" А (шаги 670-674). В завершение функция "Симметричный ключ ДМ" А расшифровывает сообщение при помощи ключа сеанса связи (ДА/ДМ) (шаг 676).

Как показано на фиг. 12, функция "Каталог банкнот ДМ" А проверяет далее, имеет ли денежный модуль 6 достаточно средств для уплаты (шаги 568-570). Если нет, то денежные модули А и В прекращают транзакцию (шаги 572-582).

Протокол "Прекращение транзакции ДМ" (шаг 582) может соответствовать протоколу, используемому в предпочтительном варианте электронной денежной системе, которая описана в заявке на патент США 08/427287, и показанному на фиг. 19. Функция "Менеджер сеанса связи" отменяет изменения, возвращаясь к началу транзакции, и отмечает, что транзакция прекращена (шаг 1726). Затем функция "Менеджер сеанса связи" Х проверяет, было ли послано сообщение "готов к фиксации" (шаги 1728-1730). Если такое сообщение было послано, то Х обновляет свой журнал транзакций (шаг 1732), записывая, что Х зафиксировал транзакцию после отправки сообщения о готовности к фиксации, и записывая идентификаторы банкнот и номиналы каждой банкноты, полученной при выполнении протокола "Передача банкнот". Таким образом, протокол прекращения регистрирует информацию, тогда как при неудачном выполнении подпрограммы "Фиксация транзакции" вызывается подпрограмма "Прекращение транзакции".

Если Х является денежным модулем 1186 транзакций и было послано сообщение о готовности к фиксации, то функция "Связь с пользователем" Х информирует своего пользователя о том, что транзакция была прекращена и что могла быть ошибка при передаче денег (шаги 1734-1738).

Если Х является денежным модулем 1188 банковского кассира, то функция "Связь с банком" Х информирует банк о том, что он должен отменить свои транзакции по бухгалтерскому учету (при помощи соответствующих дебетов и кредитов) (шаги 1740-1742). Если Х является денежным модулем 1186 транзакций и не было послано сообщения о готовности к фиксации, то функция "Связь с пользователем" Х информирует пользователя о том, что транзакция была прекращена (шаг 1744).

В любом случае функция "Менеджер сеанса связи" Х посылает затем к Y сообщение о том, что транзакция не может быть завершена (шаги 1746-1748). Функция "Менеджер сеанса связи" Y отменяет свои изменения, возвращаясь к началу транзакции, и отмечает, что транзакция прекращена (шаг 1750). Затем Y информирует своего пользователя, что транзакция прекращена (шаги 1752-1754), либо информирует банк о необходимости отменить транзакции по бухгалтерскому учету (шаги 1756-1758).

Как описано выше, если транзакция прерывается во время протокола фиксации, то возникает возможность потери банкнот. Если это происходит, то получатель прекратит транзакцию, а передающий зафиксирует передачу банкнот. В этом случае денежный модуль получателя записывает информацию о банкнотах, которые он должен был получить, и сообщает пользователю, что существует потенциальная проблема (т.е. что он не получил банкноты, посланные А). Необходимо отметить, что при таком условии до тех пор, пока денежный модуль передающей стороны задействован, он правильно передает банкноты.

Пользователь денежного модуля-получателя может затем подать требование о возврате денег в Сертификационное Агентство. Требование будет содержать журнальную запись о неудачной транзакции. Сертификационное Агентство затем может проверить при помощи банков-эмитентов, были ли банкноты согласованы. Через некоторое время, если банкноты не были согласованы, пользователь может заново востребовать свои деньги.

Как показано далее на фиг. 13, сообщения между денежным модулем А и денежным модулем В посылаются при помощи подпрограммы "Посылка маршрутизированного сообщения по электронной почте", которая использует все три ключа сеанса связи (ДМ/ДМ), (ДА/ДМ) и (ДА/ДА). Согласно фиг. 20 функция "Симметричный ключ ДМ" А шифрует сообщение при помощи ключа сеанса связи (ДМ/ДМ) (шаг 678). Это сообщение затем дважды зашифровывается с помощью ключа сеанса связи (ДМ/ДА), после чего оно посылается доверенному агенту А. После получения доверенным агентом А сообщение расшифровывается при помощи ключа сеанса связи (ДМ/ДА) (шаг 680). Функция "Интерфейс сообщений" А затем посылает сообщение функции "Интерфейс сообщений" В (шаги 682-684). На пути между доверенными агентами 120 сообщение дважды шифруется при помощи ключа сеанса связи (ДА/ДА). Аналогичным образом функция "Интерфейс сообщений" В посылает сообщение функции "Симметричный ключ ДМ" В для окончательной расшифровки (шаги 686-690). На фиг. 14 проиллюстрированы различные уровни шифрования.

Как показано далее на фиг. 13, во время операций по прекращению работы денежных модулей А и В (шаг 582) они создают сообщения, посылаемые соответственно их доверенным агентам А и В (шаги 584-586), информируя этих доверенных агентов, что они прекратили транзакцию и что тем самым платеж был неудачным. Функции "Менеджер сеанса связи" А и В отмечают, что платеж был неудачным, после чего доверенные агенты А и В прекращают транзакцию (шаги 588-598).

Если же, с другой стороны, денежный модуль 6 покупателя имеет достаточное количество средств, то функция "Платеж/обмен ДМ" А посылает денежному модулю продавца сообщение, содержащее сумму, которая должна быть передана во время платежа, и тип банкнот (шаг 600). Это сообщение посылается при помощи подпрограммы "Посылка маршрутизированного сообщения по электронной почте" (шаг 602).

Денежный модуль В принимает сообщение, содержащее сумму платежа в соответствии с определением денежного модуля А. Функция "Связь ДМ с пользователем" В затем посылает доверенному агенту напоминание проверить эту сумму платежа (шаги 604-606). Соответственно функция "Покупка" в доверенном агенте В проверяет, является ли сумма правильной (шаги 608-610). Если сумма правильная, то доверенный агент В посылает сообщение "Правильная сумма" денежному модулю В. Если же сумма неправильная, то посылается сообщение "Неправильная сумма" (шаги 612-616). В случае сообщения "Неправильная сумма" денежный модуль В информирует об этом денежный модуль А, который в свою очередь передает запрос своему доверенному агенту на пересылку новой суммы или в противном случае прекращает транзакцию (шаги 618-622, 572-582). При платежах через денежный модуль, совершаемых во время покупки электронного товара, доверенный агент не будет посылать новую сумму и, следовательно, оба денежных модуля 6 и оба доверенных агента 120 прекратят транзакцию.

Если же, с другой стороны, денежный модуль В принимает сообщение "Правильная сумма" от своего доверенного агента, то денежный модуль В посылает обратно денежному модулю покупателя сообщение "Подтверждение приема" (шаги 624-626). Когда функция "Платеж/обмен ДМ" А принимает сообщение "Подтверждение приема", она передает сумму функции "Держатель денег" А (приложению, в котором хранятся и которое осуществляет управление электронными эквивалентами, соответственно представлениями денег) (шаг 628).

Следует отметить, что описанный выше инициализируемый плательщиком протокол иначе может быть реализован в виде инициализируемого ремитентом платежа, как это имеет место в протоколе платежей через кассовый терминал (ПОС-платежей). В этом протоколе доверенный агент продавца информирует свой денежный модуль о сумме платежа, которая ожидается к получению, и эта информация о платеже посылается денежному модулю покупателя, который запрашивает своего доверенного агента проверить сумму, и в том случае, если сумма правильная, доверенный агент покупателя информирует свой денежный модуль.

Как показано далее на фиг. 13, денежный модуль покупателя А затем передает электронные банкноты в определенном количестве денежному модулю 4 продавца через тракт маршрутизации сообщений по электронной почте (шаг 630). На фиг. 21 показан протокол "Передача банкнот", описанный в заявке на патент США 08/427287. Функция "Каталог банкнот" Х выбирает банкноту(ы) и суммы для передачи, обновляет сумму(ы) банкнот и последовательный(ые) номер(а) (шаг 1566). Возможными отправными точками в выборе банкнот для передачи, например, могут быть: (1) минимизация количества цифровых подписей (которые требуют времени на обработку); (2) минимизация размера пакета; (3) максимизация пригодности электронных банкнот, оставшихся у передающего пользователя (т.е. передача банкнот, до истечения срока действия которых осталось наименьшее количество времени). Эти задачи могут быть решены при помощи следующего алгоритма передачи банкнот: (1) определить все возможные альтернативы, содержащие минимальное количество банкнот; (2) определить, какие из этих альтернатив имеют наименьшее число передач; (3) если на шаге 2 может быть сделано более одного выбора, то выбрать тот, который имеет наименьшее число банкнотодней. "Банкнотодни" представляют собой остаточное значение передаваемой банкноты, умноженное на количество дней, оставшихся до срока окончания действия банкноты, и просуммированное по всем банкнотам в пакете.

Функция "Банкноты" Х после получения сообщения от функции "Каталог банкнот" Х создает трансферт, добавляемый к каждой передаваемой банкноте (шаг 1568). Функция "Ключ общего пользования" Х создает подписи для банкнот(ы) (шаг 1570). Функция "Менеджер пакета" Х затем компонует банкноты и их новые трансферты и подписи в пакет и посылает этот пакет к Y (шаги 1572-1574). функция "Менеджер пакета" Y принимает пакет и разбирает его (шаг 1576).

Функция "Проверка" Y проверяет подлинность всех сертификатов в банкноте(ах) (например, сертификат генератора денег и все сертификаты трансфертов). Затем функция "Проверка" Y проверяет по всей предыстории передачи электронной банкноты совпадение всех идентификационных номеров в трансфертной группе с идентификационными номерами сертификатов модуля в группе подписей и сертификатов. Подтверждается также соответствие трансфертных сумм для каждой банкноты путем проверки всей предыстории передачи электронной банкноты с целью установить, была ли сумма, переданная при каждой последующей передаче, меньше суммы при непосредственно предшествовавшей ей передаче. Кроме того, проверяется соответствие переданной суммы ожидаемой сумме (шаги 1578-1580). Если такого соответствия нет, то транзакция прерывается (шаг 1582).

Если же соответствие есть, а Y является денежным модулем транзакций, то функция "Проверка Y" проверяет сроки действия банкнот(ы) (шаги 1584-1588). Если какая-либо из банкнот просрочена, то транзакция прекращается. Если же ни одна из них не просрочена, то функция "Проверка" Y сверяет каждый идентификатор из трансфертов банкноты со списком неверных идентификаторов (шаги 1590-1592). Если хотя бы один из идентификаторов трансфертов находится в списке неверных идентификаторов, то транзакция прерывается.

Если идентификаторов трансфертов нет в списке неверных идентификаторов (либо если Y не является денежным модулем транзакций), то функция "Ключ общего пользования" Y проверяет действительность подписей банкнот(ы) (шаги 1594-1596). Если какая-либо из подписей недействительна, транзакция прекращается. Если же подписи действительны, то функция "Проверка" Y проверяет, совпадают ли основные части банкнот с основными частями, хранимыми в приложении "Банкноты" или размещенными в "Журнале транзакций" (шаги 1598-1600). Для каждой совпадающей основной части банкноты создается дерево передачи банкноты с целью определить, имело ли место дублирование банкноты (шаги 1602-1604). Если какая-либо из банкнот была дублирована, транзакция прекращается. Эта проверка на дублирование (т.е. шаги 1598-1604) направлена, в частности, против тех лиц, которые пытаются создавать деньги путем передач банкнот самим себе с использованием "скомпрометированного" денежного модуля.

Если дублирований нет либо если не было идентифицировано совпадений основных частей банкнот, функция "Банкноты" Y помещает банкноту(ы) в "Держатель денег" (шаг 1606). В завершение функция "Каталог банкнот" Y обновляет местонахождение(я) и значение(я) банкнот, а также инициализирует порядковый(е) номер(а) (шаг 1608).

Очевидно, что процесс "Передача банкнот" предусматривает стадию обновления и инициализации порядкового номера для упрощения согласования банкноты, а также шаг проверки, не находится ли принимающая сторона в списке неверных идентификаторов, и стадию проверки на дублирование банкнот. Эти дополнительные функции и операции затрудняют введение в оборот и обращение дублированных банкнот и повышают способность фиксировать находящиеся в обращении дублированные банкноты.

Далее согласно фиг. 13 вызывается подпрограмма "Фиксация транзакции ДМ" (шаг 632). Протокол фиксации, используемый в предпочтительном варианте выполнения электронной денежной системы, описан в заявке на патент США 08/427287 и показан на фиг. 22. Функция "Менеджер сеанса связи" Х посылает к Y сообщение "готов к фиксации" (шаги 1702-1704). По этому сообщению модуль, принявший его, должен зафиксировать транзакцию. В обычном процессе передачи денег такая методика передачи обязанности по фиксации первым используется с той целью, чтобы сторона, передающая деньги, фиксировала транзакцию первой, исключая тем самым возможность дублирования денег.

Затем функция "Менеджер сеанса связи" Y посылает к Х подтверждение о приеме (шаги 1706-1708) и фиксирует все невыполненные транзакции путем обновления своего журнала транзакций (шаг 1710). Кроме того, если Y является денежным модулем транзакций, то функция "Связь с абонентом" Y уведомляет пользователя об успешной транзакции (шаги 1712-1714). Затем функция "Менеджер сеанса связи" Y отмечает конец сеанса связи (шаг 1716).

Функция "Журнал транзакций" Х принимает подтверждение о приеме от Y и обновляет свой журнал транзакций, фиксируя таким образом все невыполненные трансферты. Х завершает свою фиксацию таким же образом, что и Y (шаги 1718-1724).

Этот алгоритм действует и в том случае, когда денежные модули 6 взаимодействуют с доверенными агентами 120, при этом функции "Посылка сообщения" соответствует функция "Посылка маршрутизированного сообщения по электронной почте", а сообщения функции "Связь с абонентом" фактически посылаются в зашифрованном виде доверенному агенту 120. С учетом вышесказанного функция "Менеджер сеанса связи ДМ" денежного модуля В посылает функции "Менеджер сеанса связи ДМ" денежного модуля А сообщение "Готов к фиксации" при помощи подпрограммы "Посылка маршрутизированного сообщения по электронной почте" (шаги 1702-1704). Функция "Менеджер сеанса связи ДМ" А затем посылает денежному модулю В сообщение "Подтверждение приема" и фиксирует транзакцию (шаги 1706-1716). Когда денежный модуль В принимает сообщение "Подтверждение приема", он также фиксирует транзакцию (шаги 1718-1724).

Во время операций по фиксации, выполняемых денежными модулями А и В, последние формируют сообщения, посылаемые соответственно их доверенным агентам А и В (шаги 1714, 1722), информируя доверенных агентов о том, что они зафиксировали транзакцию и что, следовательно, платеж был успешным.

Как показано далее на фиг. 13, оба денежных модуля затем посылают вышеуказанные сообщения "Успешный платеж" своим доверенным агентам (шаги 584-586). Эти сообщения шифруются с помощью ключа сеанса связи (ДА/ДМ). Функция "Менеджер сеанса связи" А фиксирует, что был совершен успешный платеж, а функция "Держатель билетов" А обновляет билет расписки, снабжая его информацией о платеже, например датой транзакции (шаги 588, 592, 634). Затем доверенный агент А фиксирует транзакцию (шаг 636), так что наличие у него билета не является более "условным". Аналогичным образом функция "Менеджер сеанса связи" В фиксирует успешный платеж (шаги 590, 594), а доверенный агент В фиксирует транзакцию (шаг 638). После этого транзакция завершена.

Согласно фиг. 8 функция "Держатель билетов" А далее посылает к ПТЦПА билет, удостоверяющий получение коммерческого платежа (шаг 764). ПТЦПА принимает билет и в свою очередь посылает этот билет и извещение о переводе системе 189 счетов кредиторов в качестве доказательства, подтверждающего платеж (шаг 766). После этого функция "Держатель билетов" В посылает билет к ПТЦПВ (шаг 768). ПТЦПВ после получения билета пересылает этот билет и извещение о переводе системе 193 счетов дебиторов для их сопоставления с подлежащими оплате счетами-фактурами. Альтернативно этому такая функция сопоставления может осуществляться в ходе платежной транзакции.

В приведенном выше описании представлены предпочтительные варианты выполнения настоящего изобретения, при этом предполагается, что настоящее изобретение может использоваться в сетях с иной конфигурацией и в него могут быть внесены различные изменения и модификации, не выходящие за его объем.

Claims (16)

1. Система для осуществления электронного коммерческого платежа, включающая доверенный агент покупателя, первый денежный модуль, доверенный агент продавца и второй денежный модуль, отличающаяся тем, что доверенный агент покупателя и доверенный агент продавца имеют шифровальные средства, позволяющие этим агентам обмениваться зашифрованными сигналами, при этом доверенный агент покупателя запрограммирован на передачу доверенному агенту продавца сигнала, содержащего информацию с извещением о переводе, и на инициирование передачи электронных денег от первого денежного модуля второму денежному модулю по получении от доверенного агента продавца сигнала, который содержит данные о билете, удостоверяющем поступление коммерческого платежа, а доверенный агент продавца запрограммирован на передачу доверенному агенту покупателя указанного сигнала, который содержит данные о билете, удостоверяющем поступление коммерческого платежа.

2. Система по п.1, отличающаяся тем, что доверенный агент продавца запрограммирован на создание цифровой подписи на информации с извещением о переводе и на внесение этой цифровой подписи в билет, удостоверяющий поступление коммерческого платежа.

3. Система по п.2, отличающаяся тем, что доверенный агент покупателя запрограммирован на проверку подлинности цифровой подписи, осуществляемую перед инициированием передачи электронных денег.

4. Система по п.3, отличающаяся тем, что информация с извещением о переводе содержит список счетов-фактур.

5. Способ осуществления электронных коммерческих платежей с использованием доверенного агента покупателя, первого денежного модуля, доверенного агента продавца и второго денежного модуля, заключающийся в том, что между доверенным агентом покупателя и доверенным агентом продавца устанавливают криптографически безопасный сеанс связи, во время этого криптографически безопасного сеанса связи от доверенного агента покупателя доверенному агенту продавца передают информацию с извещением о переводе, с помощью доверенного агента продавца создают билет, удостоверяющий поступление коммерческого платежа и содержащий по меньшей мере частично информацию с извещением о переводе, во время криптографически безопасного сеанса связи передают билет, удостоверяющий поступление коммерческого платежа, от доверенного агента продавца доверенному агенту покупателя, который условно сохраняет этот билет, передают электронные деньги от первого денежного модуля второму денежному модулю, который условно сохраняет эти электронные деньги, осуществляют фиксацию транзакции первым денежным модулем и передачу информации доверенному агенту покупателя об успешной передаче электронных денег, осуществляют фиксацию транзакции вторым денежным модулем, вследствие чего хранение электронных денег перестает быть условным, и безопасную передачу информации доверенному агенту продавца об успешном получении электронных денег, осуществляют фиксацию транзакции доверенным агентом покупателя, вследствие чего хранение билета, удостоверяющего поступление коммерческого платежа, перестает быть условным, и осуществляют фиксацию транзакции доверенным агентом продавца.

6. Способ по п. 5, отличающийся тем, что с помощью доверенного агента продавца создают цифровую подпись на информации с извещением о переводе и вносят эту цифровую подпись в билет, удостоверяющий поступление коммерческого платежа.

7. Способ по п.6, отличающийся тем, что перед инициированием передачи электронных денег с помощью доверенного агента покупателя проверяют подлинность цифровой подписи доверенного агента продавца.

8. Система согласования электронного коммерческого платежа с информацией с извещением о переводе с использованием безопасной связи по сети связи, включающая защищенный от несанкционированного доступа первый электронный агент, содержащий первый процессор, защищенный от несанкционированного доступа первый денежный модуль, функционально связанный с первым электронным агентом и выполненный с возможностью осуществления с ним безопасного обмена данными, а также содержащий второй процессор, защищенный от несанкционированного доступа второй электронный агент, выполненный с возможностью установления первого криптографически безопасного сеанса связи с первым электронным агентом по сети связи и содержащий третий процессор, защищенный от несанкционированного доступа второй денежный модуль, функционально связанный со вторым электронным агентом и выполненный с возможностью осуществления с ним безопасного обмена данными, а также с возможностью установления второго криптографически безопасного сеанса связи с первым денежным модулем и содержащий четвертый процессор, при этом первый процессор выполнен с возможностью передачи информации с извещением о переводе второму электронному агенту во время первого криптографически безопасного сеанса связи и с возможностью выполнения платежа электронными деньгами от первого денежного модуля ко второму денежному модулю после проверки билета, удостоверяющего поступление коммерческого платежа, а третий процессор выполнен с возможностью создания билета, удостоверяющего поступление коммерческого платежа, на основании информации с извещением о переводе и передачи этого билета первому электронному агенту во время первого криптографически безопасного сеанса связи.

9. Система осуществления коммерческих платежей по п.8, отличающаяся тем, что третий процессор выполнен с возможностью создания цифровой подписи на информации с извещением о платеже и внесения этой цифровой подписи в билет, удостоверяющий поступление коммерческого платежа.

10. Система осуществления коммерческих платежей по п.9, отличающаяся тем, что информация с извещением о переводе содержит список счетов-фактур.

11. Система осуществления коммерческих платежей по п.10, отличающаяся тем, что суммы, соответствующие счетам-фактурам из их списка, суммируются и сравниваются с общей суммой, внесенной в информацию с извещением о платеже.

12. Система согласования электронного коммерческого платежа с информацией с извещением о переводе с использованием безопасной связи, включающая защищенное от несанкционированного доступа первое электронное устройство транзакций, содержащее первый процессор, защищенное от несанкционированного доступа второе электронное устройство транзакций, содержащее второй процессор и осуществляющее с первым электронным устройством транзакций обмен данными с использованием криптографически безопасного сеанса связи, при этом первый процессор выполнен с возможностью передачи информации с извещением о переводе, включая список счетов-фактур, второму электронному устройству транзакций, второй процессор выполнен с возможностью простановки цифровой подписи на по меньшей мере части информации с извещением о переводе и внесения этой цифровой подписи в билет, удостоверяющий поступление коммерческого платежа, а также с возможностью передачи этого билета первому электронному устройству транзакций, а первое электронное устройство транзакций выполнено с возможностью передачи электронных денег второму электронному устройству транзакций, тем самым заканчивая осуществление платежа от плательщика к ремитенту без посредничества третьей стороны.

13. Система по п.12, отличающаяся тем, что билет, удостоверяющий поступление коммерческого платежа, предназначен для передачи в качестве доказательства платежа в компьютерную систему счетов кредиторов.

14. Система по п.12, отличающаяся тем, что второе электронное устройство выполнено с возможностью передачи информации с извещением о платеже в компьютерную систему счетов дебиторов для сравнения с подлежащими оплате счетами-фактурами.

15. Система по п.12, отличающаяся тем, что первое электронное устройство транзакций выполнено с возможностью проверки цифровой подписи перед инициированием передачи электронных денег.

16. Система по п.12, отличающаяся тем, что первое электронное устройство транзакций выполнено с возможностью проверки достоверности электронного удостоверения продавца, которое соответствует второму электронному устройству транзакций.

Images