当今的电子贸易由关系密切的团体集合组成。例如，这类团体包括本地和远 距离电话公司、电缆公司、蜂窝式电话公司、电子邮政服务公司以及诸如Prodi- gy和计算机服务公司等电子业务提供商。客户为了使用所提供的产品和服务， 必须向每家公司注册。因此，在将商品或服务电子交货之前，需对付款人进行先 验鉴别。然后，服务人员或者给客户开具帐单，记入他/她贷款帐户的贷方中，或 者记入他/她存款帐户的借方中。
随着一经请求就提供娱乐和信息的高速网络的出现，交易将潮涌而至现有 的开单付款系统。由此，每次开单时，客户都将收到大量开有各种名目的发票。另 外，由于交易是不匿名的，所以客户的生活方式将向每个系统工作人员公开。
在我的PCT专利申请WO 93/10503中描述了一种匿名付款的方法，其发 明名称为“电子货币系统”，于1993年5月27日公布，其内容通过援引包括在 此。该申请揭示了一种施行电子货币支付的电子货币系统，可作为现金、支票、信 用卡、借方卡和电子资金汇兑等汇兑交易的替换媒介。特别是，所述系统使用封 装在防窜改外罩内的货币模块，来存储和转帐电子票据。货币模块支付可以货币 模块间(即在客户“电子钱包”内所含的货币模块和商人销售点内所含的货币模 块之间)实时的脱机支付，或者对诸如信息检索和电话呼叫等网络业务或者购买 飞机票、戏票等进行联机支付。
但是，远地匿名买卖的一个严重问题是付款和交货的安全性。如果某人希望 通过电话匿名购买一张电影票，那么如何才能保证购买者在先付款后将会收到 电影票，或者售票员在先送交电影票后将收到钱款。所以，目前当向远地购买任 何东西时，习惯上先由买卖双方相互鉴别，这会泄露秘密。

因此，本发明的一个目的是，提供一种一经请求就允许客户购买商品或服务 的系统，该系统不需要向电子团体注册。
本发明的另一个目的是，用实时匿名支付方式或实时的基于认定的支付方 式进行远距离电子商品或服务的交货，在该系统中，一旦客户或商人同意进行交 易，它们都不能再干涉支付和交货的过程。
本发明的另一个目的是，用信托代理(trusted agent)和货币模块创造一个 进行公开电子贸易的系统，在该系统中，客户和商人都能通过电子网络安全地进 行远程交易，无需先相互认识。
本发明的另一个目的是，在买卖双方之间提供一种安全的电子实时买卖交 易，没有第三者的介入。
依照本发明的一个方面，客户信托代理与商人信托代理建立一秘密安全的 对话期。客户信托代理与第一货币模块进行安全的交流，而商人信托代理与第二 货币模块进行安全的交流。商人信托代理送交由客户信托代理暂时保存的电子 商品。双方信托代理参加一个安全的对话，并相互达成付款条件。第一货币模块 将电子货币发送给第二货币模块。成功完成货币模块付款后，第一货币模块通知 客户信托代理，并且第二货币模块通知商人信托代理。然后商人记录下该销售业 务，并且客户可以使用购得的电子商品。
依照本发明的第二方面，客户可以通过呈交代表信用卡或借方卡的证件，对 电子商品付款。
依照本发明的第三方面，为了获得服务，可向其他信托代理呈交电子票。
依照本发明的第四方面，信托代理可用于进行安全的基于身份的支付。
依照本发明的第五方面，信托代理可用于解决有关被购电子商品的争议。
附图概述
以下将参考附图更详细地描述本发明，其中：
图1是一方框图，示出了信托代理/货币模块的相互作用。
图2示出了各种票子的区段(section)和字段(field)
图3示出了一交易装置的组成部件。
图4A-4D示出了信托代理的功能部件。
图5是一方框图，示出了一进行公开电子贸易的系统的网络结构。
图6A是一方框图，示出了信托代理的安全性分级。
图6B示出一(初级)信托服务器的功能部件。
图7A示出了一委托协议。
图7B示出了一中止协议。
图8A-8C示出了一重新认证信托代理的协议。
图9A-9E示出了一建立对话的协议。
图10示出了一发送消息的协议。
图11示出了一中止交易的协议
图12A-12B示出了一购买电子商品的协议。
图13示出了在信托代理和货币模块之间建立的各种消息加密层。
图14示出了一检查证件的协议。
图15A-15B示出了一发送商品的协议。
图16A-16E示出了一货币模块付款的协议。
图17示出了一发送被选路由消息的协议。
图18示出了一发送MM/TA消息的协议。
图19示出了一发送TA/MM消息的协议。
图20示出了一发送E-已选路由消息的协议。
图21A-21B示出了一基于认定的支付/退款协议
图22示出了一公开交易的协议。
图23A-23D示出了呈交电子服务票的协议。
图24示出了一委托票的协议。
图25A-25C示出了一传递票的协议。
图26示出了一获得证件的协议。
图27A-27B示出了一发送证件的协议。
图28A-28B示出了一远程使证件重新生效的协议。
图29A-29B示出了一基于身份的货币模块支付协议。
图30A-30E示出了一对电子商品争议的协议。
图31示出一委托争议的协议。
图32示出一支付争议的协议。
图33A示出EMS的安全性分级。
图33B示出初级安全服务器和普通安全服务器之间安全网的消息传递。
图34示出了EMS的安全网结构。
图35A示出了一安全服务器的功能部件。
图35B示出了一网络服务器的功能部件。
图36概观了网络的开始过程。
图37A-37K示出了一网络签名-接通的协议。
图38A-38E示出了EMS中建立对话的协议。
图39A-39B示出了传递票据的协议。
图40A-40D示出了外汇兑换的协议。
图41示出了对EMS中的模块进行信托的协议。
图42A-42B示出了对EMS中的模块中止交易的根据
图43A-43C示出了销售点(POS)支付的协议。
图44A-44B示出了连接帐户的协议。
本发明的最佳实施方式
本发明考虑一种用实时匿名支付方式或基于认定的支付方式使电子商品安 全交货的系统。该系统使客户和商人都感到他们正在被服务的利益是安全的。
参照图1，图中示出了在匿名支付交易期间系统各部件间基本的相互作用。 当购买者和售货员正在进行电子交易时，为了安全交换对电子商品的付款，本发 明为客户和商人分别引进了信托代理2和4。一个信托代理是硬件和软件部分 的组合。它防窜改并且包含与货币模块6相结合的安全协议，使安全付款和交货 同步。
这里考虑使用的货币模块是防窜改的装置，能够存储和传递电子货币。电子 货币最好是以电子票据形式出现，用来代表通货或信贷。货币模块还能在其他装 置之间秘密建立安全的通信对话。本发明的较佳实施例利用PCT专利申请WO 93/10503中描述的交易货币模块，以及之后描述的任何修正或改进。
从概念上讲，对于一个想以安全的方式进行远程(用电子装置)交易的实体 来说，信托代理是一个代理人的角色。信托代理受交易协议的控制，并按计算好 的方式作为，以使交易达到双方满意的程度。为了保证信托代理的行为，要实际 保护诸协议。由此任何一方都不能改变协议，使之对另一方不利。
信托代理交换电子商品和付款。如图1所示，商人的信托代理4(MTA)将 电子商品发送给客户的信托代理(CTA)。反之，客户的货币模块6通过CTA 2 和MTA 4将电子货币发送给商人的货币模块6。
                            票
电子商品是用电子形式表示的任何商品，在这里描述的较佳实施例中，它由 票或者加密电子对象(EO)及其相关解密票组成。参照图1和图2，票8是MTA 4产生的电子项，并在买卖交易期间传递给CTA 2。可以把票看作信托代理的财 产。对于CTA 2刚收到票8的客户，只能在成功完成交易后使用该票。
本发明支持为各种目的而使用的多种类型的票：
1.解密票(decryptionticket)总是与一特定的加密电子对象相关。电子对
  象的例子有计算机软件、游戏、电影或者类似于电子报纸和书刊的信息
  产品。在这种情况下，商人的商品是电子对象，在发送客户之前，MTA
  要对其加密。加密的电子对象可用其相关的解密票中的独有信息进行解
  密。加密电子对象及其解密票一同组成商人所传送的电子商品。
      被传送的电子对象是保密安全的，接收客户或者任何其他第三者
  除非拥有可进入的解密票，通常不能检查和使用它。解密票又是CTA
  的财产，并且只能在成功完成买卖交易后使用。
2.证件票(credential ticket)用于识别“持有者”，并允许具体的特权。证件
  的例子有，驾驶员的驾驶证、护照、信用卡、借方卡、社会保险卡和公司印
  章。
3.运输票(transportation ticket)可用作电子形式的飞机票、火车票和汽车
  票。
4.活动票(event ticket)可提供进入诸如剧场、音乐会、游戏或体育活动等
  各种活动的机会。
5.通讯票(communication ticket)可提供进入包括卫星、电缆、无线电、蜂窝
  式电话和普通旧电话业务(POTS)等各种通讯业务的机会。例如，通讯票
  可用来对TV或无线电广播解扰码。
6.实物票(physical object ticket)可用作购货定单、发票、付款通知、收据或
  实物名称等。
当然，根据本发明，其他类型的票也可能希望能进行公开电子贸易。 信托代理不仅能购买票据，而且还能为达到各种目的将它们呈交给其他信 托代理。例如，为进入活动场所，可用电子方式递交活动票。一旦持票者入场，则 可再次用电子方式递交票据，以便自动导向至他/她的坐位。票据形式的驾驶证 可以作为身份证明递交。票可作为购买非电子商品的证明递交，并用来交换实 物，或者送递给客户，或者由客户在商店或货栈自取。递交信用卡或借方卡的票 可以进行基于认定的付款。在买卖争议中，票可作为购买次品的证明。
图2示出了票8的一个较佳实施例，其中该票由六个主要区段组成：标识符 10、组元(Component)12、发放者签名14、发放者证书16、传递历史18和发送者 签名20。各区段还包括各种含有字段的信息。
标识符区段10具有字段22，其所含信息可识别创建该票的商人或当局。从 发票者持有的商人或官方证件中可复制到这类信息，例如商人或当局的名称。字 段22还包含商人或官方证件的截止日期。字段24包含接收信托代理的标识号。 字段24还包含收票方信托代理证件的截止日期。字段26表示票的类型(例如， 解密票，活动票等)
组元区段12包含票的基本内容，它根据票的类型及其具体目的而不同。图 2例示了不同类型票子中存在的组元。
解密票的组元区段12具有对象标识符字段36，它能唯一地识别特定的电 子对象，并且还包含对电子对象的简短描述(例如，名称和作者)。电子对象本身 (例如电影)由首标和正文组成。首标包含与解密票中对象标识符36相关的对象 标识符。首标还包含交给购买者以预观对象内容的描述性信息。正文是购买者 可以交互对话、细读或观看的内容。
解密密钥字段38包含用来对有关电子对象的票子解密的信息。购买价格字 段40具有电子对象的价格信息。购买日期字段42具有购买电子对象的日期。对 象签名字段44包含电子对象的数字签名。数字签名是本领域中众所周知的，并 且被用来检查电子对象在签名后是否有变化。由此，可检查电子对象的完整性。 用途字段46规定了对电子对象用途的限制。
诸如驾驶证等证件票可以具有：姓名字段48；地址字段50；照片和特征描述 (Pictureand Physical Description)字段52；具有驾驶员签名之电子图像的驾驶 员签名字段54；截止日期字段56；表示驾驶证有效、吊扣或吊销的状态字段58； 以及表示当票的复制件已交给MTA 4使用时，CTA 2所持有的原始票不能再 在递交期间使用的正在使用字段60。诸如公司印章等证件票可以具有：公司名 称字段62；地址字段64；纳税人ID字段66；截止日期字段68；以及正在使用字 段70。
运输票可以具有：运载工具名称字段72；说明例如飞机、火车或汽车编号的 班次字段74；离站和到站字段76和78，它们都规定了时间和地点；购买价格字 段80；购买日期字段82；表示票未被使用或已经使用的状态字段84；以及正在 使用字段86。
活动票可以具有：活动身份字段88；地点字段90；日期字段92；座位号字段 94；购买价格字段96；购买日期字段98；状态字段100；和正在使用字段102。
通讯票可以具有：运载工具身份字段104；所购时间字段106；信道/频率字 段108；购买价格字段110；购买日期字段112；用于对加密通讯解密的解密密钥 字段114；表示票之剩余值的可用时间字段116；以及正在使用字段118。
实物票(未示出)可用作购物定单，并具有以下信息：标号、日期、客户标识 符、购物清单、指令以及(表示定购、已开发票等)状态。实物票还可用作发票，并 且具有：发票号、日期、邮局汇票(PO)标号、卖主标识符和数量。同样，汇款通知 可包含：发票标号、客户标识符、日期、已付款数量。收据可包括：日期、卖主标识 符、项目或发票标号清单以及所已付数量。
信托代理可用来亲自或远距离零购实物。如果用信托代理亲自购买，那么整 个交易能以电子速度完成，对于匿名和基于身份的交易都不需要纸件。对商人来 说，这意味着他能减少客户支付的费用。对客户来说，这意味着更加方便并利于 控制，因为减少了交易时间并且代理具有一份购物的电子清单，可过后方便地进 行分析。
当通过电话或交互式TV远距离购买实物时，商人和客户间令人烦恼的限 制是必须将商品发送至客户的地址。这将保护商人不被欺骗。通常用信用卡进 行支付，或者该客户开帐单，这些都要公开客户的身份。
如果用信托代理进行买卖，那么就不须将商品送至客户的地址，并且客户也 不必公开其身份。如果客户在预定或收到商品时用电子货币付帐，那么就能实现 匿名交易。在任何情况下都可以解除对发货地点的限制。因为商人将在发货之 前或发货同时收到付款，所以他/她不会被谝。况且，在发货同时要证明接收方有 效。由于客户持有保密收据，所以第三方很难欺骗它们，具有安全感。再有，如果 商品有错，在可用保密收据对交易进行争议。交易结束时，客户信托代理2和商 人信托代理4都将记录被定购的商品已付款并且已发送给正确的对象。
对于商业交易，信托代理提供了从定购到付款的安全，经证明的，自动的交 易和记录。卖主可有效得到所发商品的付款，而客户可获得经证明的收据，不会 对书面资料工作发生争论。诸如应付帐款、应收帐款、购货定单和开发票等所有 的辅助系统都可与信托代理构成一体，为完成交易提供无缺陷的安全的系统。
在标识符和组元区段10和12之上是票8的发放者签名区段14，它具有建 票者制作的数字签名。该签名用发放者信托代理所拥有的秘密密钥制成。发放 者证书区段16包含一证明，信托第三方(下文称为“信托代理机构(Trusted A- gency)”)结合发放者签名用其证明所发票8的真实性。该证明是成证书形式，属 于发放者的信托代理。对证书和数字签名的一般使用是已知的，例如D.W. Davies和W.L.Price在John Wiley&Sons公司1984年出版的《计算机网络的 安全性》对此有所描述。
传递历史区段18含有商人或当局(authority)初始发放票8后信托代理间 传送各票时产生的信息。接收方ID字段28含有接收信托代理的标识号。发送 方ID字段30含有发送信托代理的标识号。发送者证书字段32含有发送信托代 理的证书。日期/时间字段34含有传送票8的日期和时间。当进行顺序传送时， 附加的接收方和发送方ID、发送者证书以及日期和时间被添加至每个字段，从 而创建一份传递历史的信息清单。可以注意到在标识符区段的接收者字段中找 到的信托代理ID应与发送者ID字段中的第一ID相同。
另外，无论何时在信托代理之间传送票8，发送者在前五个票区段之上用属 于发送者信托代理的秘密密钥对票数字签名。然后通过添加新产生的数字签名 更新发送者签名区段20，从而形成一份发送者签名清单。
                   交易装置
参照图3，信托代理120安装在交易装置122中。对于商人和客户，交易装 置122都由三个主要部件组成。有主处理器124、信托代理l20和货币模块6。例 如，用总线126将这些部件连接。当信托代理120是MTA 2时，装置122被称为 商人交易装置(MTD)。当信托代理120是CTA 4时，装置122被称为客户交易 装置(CTD)。
图3示出了主处理器124的功能部件。主处理器提供了以下功能：通讯 128、交易应用130、人/机界面132、日期/时间136和信息管理器134。
通讯功能128支持交易装置122与外界之间的通讯。只要CTD 2和MTD 4的通讯是兼容的，这种通讯可以是有线或无线的，宽带或窄带的。通讯功能128 在两个交易装置122之间建立连接，或者将一交易装置与一网络相连，以间接接 至另一个交易装置或信托服务器。
交易应用130可完成各种任务。例如，交易应用可以通过商人服务器的目录 业务的接口来进行关于浏览活动、选择产品以及开始付款和发货等购物任务。另 一种交易应用可以临时存储电子对象并可能是执行对象。为了执行一电子对象， 根据电子对象的类型(例如，电影、书籍、多媒体游戏等)需要附加对象处理器。概 括地说，交易装置122包含所有选择、购买并有可能使用电子对象、证件和其他 票8的过程，或者销售同类对象的过程。
人/机界面功能132提供了对交易装置122的视觉和感觉。它包括键盘、鼠 标、笔、声音、触摸、荧屏、图标和菜单等。人/机界面功能通过信息管理器134与 信托代理120和货币模块6中的其他功能通讯。在某些应用中，例如在完全自动 的商人交易装置中，人/机界面132不是必须的。
日期时间功能136由交易装置122的拥有者设定，并且包括日期、时间和时 区(time zone)。无论何时启用信托代理，都将日期/时间信息送至被内装的信托 代理120。
信息管理器134为主处理间信息(即交易装置间的信息)和主处理器124、 信托代理120及货币模块6间的信息选择路由。
                     信托代理
图4A示出了信托代理120的功能部件。为公开电子贸易系统考虑了三种 类型的信托代理120，这三种类型的信托代理不同之处在于它们提供的某种专 门交易器(transactor)功能146有所不同。图4B示出了CTA 2中的交易器功 能。图4C示出了MTA 4中的交易器功能。图4D示出了内装在官方交易装置 (ATD)内的官方信托代理(ATA)中的交易器功能。ATD与诸如机动车管理部 门等发证当局有关。
外部接口功能138提供了与主处理器124和交易装置122中的货币模块6 的直接通讯，信托代理120即安装在交易装置122中。信息接口功能140处理代 理间和代理内的信息并为其选择路由。对话管理器功能124建立和终断代理间 的对话和代理至信托服务器的对话。安全管理器功能14保存安全信息(即信托 代理证书和非信托代理清单)并(通过主处理器124)与对方信托代理以及同一 交易装置122内的本地货币模块建立安全的通讯联系。交易器功能146为交易 的进行提供协议。客户交易器、商人交易器和官方交易器被分别用于CTAs、 MTAs和ATAs。
图4B示出客户交易器功能。购买功能158对票8和电子对象进行付款。至 主机功能160提供了与交易装置中主处理器124的接口。递票功能164递交票 8以获得信息或服务。获得证件功能166进行相互作用以接收证件票。交易记录 功能162保存对信托代理交易的记录。CTAs 2和MTAs 4都保存了交易记录 簿，记录簿中存储了下列信息：交易类型(例如，票类型)；交易前票的图像；交易 后票的图像；包括争议日期(如争议对话中每个信托代理所保存的)、状态以及商 人决定(例如，替换，退还和拒绝)的争议信息；以及再证明信息(例如，再证明日 期)。如果客户不满意，起动争议功能168可以递交电子商品。
图4C示出了商人交易功能。购买功能170对票8和电子对象付款。至主机 功能172提供了与交易装置中主处理器124的接口。收票包含176处理收到的 票8，以提供服务或信息。交易记录功能174保存信托代理交易的记录。解决争 议功能178接收票8和电子对象，以解决客户的投述。
图4D示出了官方交易器功能(anthority transactor function)。创建证件功 能180构造证件票并将其递交给请求者。至主机功能182提供了与交易装置中 主处理器124的接口。收票功能184处理接收到的票8，以提供服务或信息。使 证件重新生效的功能186收回现用的证件，并重新发放具有新截止日期的证件。
再参图4A，至货币模块功能150与同一交易装置122中货币模块6通信， 以进行支付。加密功能152提供公开密钥和对称密钥的加密功能。例如RSA和 DES等任何已知的公开密钥和对称密钥的加密技术都可以使用。储票器功能 148在MTA 4中创建票8，或者在CTA 2中存储和检索票8。随机数发生器功 能156生成随机数，用以产生加密密钥。日期/时间功能154管理从主处理器 124送出的日期和时间，从而为票8确定日期并使证件和递交票生效。每次打开 信托代理(即签约使用)时都将当时的时钟信息送至信托代理120，并保存该信 息直至关闭信托代理。
                       系统概观
图5示出了公开电子贸易所需系统的一般网络结构。客户交易装置188可 以通过任何网关网190与商人通信，不必暴露所有者。因此，客户可以匿名在网 络中通行，每次进入时实时付款。它们可以搜寻到商人的电子空间并匿名进入， 选择购买项目，并实时递交款项。该系统还通过信用卡或借方卡提供安全的交易 认定的付款。这可以通过下列方式实现，即客户将存储在信托代理120内的信用 卡或借方卡信息作为证件递交。
在该较佳实施例中，网关190为CTDs 188提供进入以下网络的入口：用于 交易的本地商人网134以及用于获得证件并使证件重新生效(例如，驾驶证，信 用卡等)的本地鉴定官方网192。商人网192可以由提供商品目录的商人服务器 194、发送付款商品的商人交易装置198，以及构成电子仓库的商品服务器196 组成。商人网192最好还具有用于分发安全信息的信托代理服务器200。
鉴定官方网202(Identification authority network)可以具有管理证书数据 库的官方服务器204以及发放和使证书重新生效的官方交易装置206。与网络 202相连的鉴定当局有外交部、机动车管理部门、银行和社会安全管理机关。鉴 定官方网202还具有用于分发安全信息的信托服务器200。
                  系统安全性
参照图5，位于信托代理网208、商人网192和鉴定官方网202中的信托服 务器200构成一网络，它为公开电子贸易系统提供了安全性。信托服务器200是 防窜改处理器，它们能够完成以下四种初级功能：证明信托代理120，分发未委 托清单，分发初级信托服务器公开密钥清单，和解决客户/商人争议。
图6A示出了系统的安全等级。在等级图的顶部，位于信托代理机构网208 处的是为系统中所有信托服务器200证明并提供信托服务器证书(证书(TS)) 的初级信托服务器210。
每个初级信托服务器210具有其自己的公开密钥和相应的秘密密钥。系统 中所有的信托服务器200和信托代理120共享初级信托服务器的公开密钥。这 些公开密钥被存储在初级信托服务器的公开密钥(PTS(PK))清单中。这里所用 并贯穿全说明书的“公开”密钥一词不是指所有公众都知道该密钥。例如，在这种 情况下，公开密钥只为所有的信托服务器200和信托代理120所知，并被封装在 其防窜改的壳体内。这种对“公开”含义的限制在总体上为系统提供了附加的安 全性。
在安全等级图上，位于初级信托服务器210之下的是信托服务器200，它们 可以遍及整个贸易系统。信托服务器200为信托代理120(即CTAs 2、MTAs 4 和ATAs 212)提供信托代理证书(cert(TA))。
信托代理机构保证协议的执行，并对系统中的每个信托代理120直接保护。 在信托代理机构的控制下，在真实安全的环境中制造信托代理120。在该环境 下，制造、总装并用软件加载各部件。然后，使信托代理120防窜改，从而只能通 过其外部接口进行通讯。
初始化时，使每个信托代理120与一信托服务器200通讯。信托服务器200 为每个信托代理120分配一个专用的标识号TA(id)。然后，信托服务器200请 求信托代理120产生一公开和秘密密钥对。信托代理120产生密钥对，并将其公 开密钥(TA(PK))传送给请求信托服务器200。信托服务器200将该信息和TA (id)加到信托代理证书cert(TA)中，并将其与PTS(PK)清单和未委托清单一 起传送回信托代理120。最后，信托代理120检测其新收到的证书，并确认该证 书是有效的。
这些初始化步骤只在将信托代理120分发给公众之前进行一次。购物时，信 托代理120的所有者通过生物统计学或秘密学对信托代理120标注记号(例如， 选择个人标识号(PIN))。
用类似的方式，用初级信托服务器210对信托服务器200初始化。结束信托 服务器初始化后，每个信托服务器200都具有信托服务器证书(cert(TS))，该证 书包含专用信托服务器标识号(TS(id))和信托服务器公开密钥(TS(PK))。信 托服务器200还具有与其公开密钥TS(PK)对应的秘密密钥、PTS(PK)清单和 未委托的清单。
cert(TS)由初级信托服务器210加密，并带有该初级信托服务器210的专 用明文标识号。cert(TA)由信托服务器200加密，并带有该信托服务器的有效 证书(cert(TS))。
cert(TS)和cert(TA)的结构如下： Cert(TS)＝EPTS〔TS(id)‖TS(PK)‖截止日期‖σPTS(X)〕‖PTS(id)
                 - - - - - - - -X- - - - - - - - - Cert(TA)＝ETS〔TA(id)‖TA(PK)‖截止日期‖σTS(Y)〕‖Cert(TS)
                 - - - - - - - -Y- - - - - - - - -
其中PTS＝初级信托服务器     PK＝公开密钥
    TS＝信托服务器          σ＝数字签名
    TA＝信托处理            Cert＝证书
    ‖＝串接                E＝用于加密并创建数字签名的使用公开
                               密钥的算法
    id＝标识号
证书生效协议是：
1)使Cert(TS)生效
a)DPTS(EPTS(X‖σPTS(X)))＝X‖σPTS(X)
b)检查日期是否有效
c)检查是否DPTS(σPTS(X))＝h(X)
2)使Cert(TA)生效
a)使Cert(TS)生效
b)DTS(ETS(Y‖σTS(Y)))＝Y‖σTS(Y)
c)检查日期是否有效
d)检查是否DTS(σTS(Y))＝h(Y)
其中h＝在创建和检查数字签名时使用的散列函数(即单向函数)
D＝用于解密并检查数字签名的使用公开密钥的算法
σ＝E·h
注意，当在其他应用中使用时，E和D还可分别用于解密和加密。
信托代理机构除了其在系统部件制造和初始化期间所起的作用之外，还通 过再证明信托代理120和信托服务器200并提供全系统范围内有关更新后未委 托清单和更新后PTS(PK)清单的信息，为系统提供前进的安全性。
由于信托代理120和信托服务器200的证书是有截止日期的，所以它们必 须定期被再证明。为了保护整个系统的安全性，信托服务器200通过改变它们的 加密密钥定期进行再证明。信托代理进行交易的能力是有时间限制的，从而如果 有人闯进系统，那么他只能在需要再证明之前使用其信托代理120，使用期限为 预定的最长时间期限(例如，三个月)。在再证明期间，信托代理120连接信托代 理机构，以获取安全信息(例如，更新后的未委托清单)并接受更新后的PTS (PK)清单。
与每个初级信托服务器210相关的公开密钥永远不变。如果执行新的初级 信托服务器210，或者解除对旧初级信托服务器210的委托，那么这些对PTS (PK)清单的纠正就会通过信托代理机构网208传播给信托服务器200。然后将 清单中的这些变化分发给鉴定官方网202和商人网络192处的信托服务器 200。并且可以在任何时候经信托代理120的请求，传输给它。另外，当信托代理 的证书到期并且再证明时，总是将清单的变化分发给信托代理120。为了避免信 托代理120在批证书时不具备新PTS(PK)的可能性，在执行新PTS(PK)之前 要将其分发。
将已标识为未委托的信托代理120或信托服务器200的标识数放入未委托 清单中，并与PTS(PK)清单一样用相同的方式，由初级信托服务器210分发给 信托服务器200，最后分发给信托代理120。被认为不可信任的商人将被信托代 理机构解除对其信托服务器200的委托，并使信托代理120可标识它们。
图6B示出了信托服务器200或初级信托服务器210的功能部件。通讯功能 214提供了与本地网的接口。对话管理器功能216管理服务器间和服务器与代 理之间的对话。安全管理器功能218建立安全通讯。未委托清单管理器220提 供了未委托代理、服务器和机构清单的更新数据。证明功能222为信托服务器 200管理对信托代理120的重新证明。在初级信托服务器210的情况下，该过程 重新证明了信托服务器200。解决争议功能224接受票8和电子对象(商品)，以 解决客户的投诉。加密功能228对称密钥和公开密钥加密，以保证通讯安全并 鉴别对方。日期/时间功能226提供批证书当时的日期、时间和时区信息。
信托代理120发生故障或丢失的问题类似与丢失收据、飞机票等。在需要克 服丢失或故障的情况下，会需要知道交易者的身份。这可以通过使用识别客户和 信托代理120的证件来实现。证件和票8可以作为副本记录分立保存。在代理 发生故障的情况下，客户可以象现在一样通过递交这些副本记录进行争议。
                     流程图
以下各图中所示的流程图使用标号“A”和“B”表示两个交互的信托代理 120，或者信托代理120与信托服务器200的交互作用。相同的标号A和B还可 用于有关某一特定的信托代理120的主处理器124或货币模块6(即，在同一交 易装置122内)。流程图示出了初步负责完成所给任务的功能部件。例如，安全 管理器A是指用用信托代理A中安全管理器的功能144(见图4A)完成所述任 务。
流程图还调用一些使用参数标号X和Y的子程序。例如，建立对话A→B 是对建立对话子程序的调用。然后，建立对话流程图接下来应在整个流程中认为 X＝A和Y＝B。
                     中止和委托
在所需类型的交易过程中，希望在双方之间传送诸如票8等电子项目和电 子票据，同时保持零和博弈(zero-sum game)。换句话说，不希望复制电子项 目，致使完成电子交易时，存在两倍于交易前的诸多项目。同样，不希望丢失电子 项目，致使交易后比交易前的项目少。例如，如果在交易开始时，A有电子票8并 希望将其传送给B，那么希望在交易结束时，B具有电子票8而A没有电子票 8。但在现实中，可能会有两个其他的结果，即A和B都有同一电子票8(复制 品)，或者A和B都没有电子票8(丢失)。
为了能够忽略复制或丢失的可能，交易协议必须考虑自然或主观事件会中 断一般交易流程的可能性。自然中断的例子有，在交易期间截断了A和B之间 的通讯链路。要尽可能降低这类随机事件所引起的复制或丟失的可能性，必须减 少产生复制或丢失的机会。为了尽可能减少故意中断，(即，明显的破坏)，希望避 免这类破坏的经济刺激。例如，如果破坏者通过尝试中断交易只能丢失票和/或 货币，那么破坏者将不会有开始破坏的第一动机。
所述系统的有效交易协议使用了这些概念。特别地，希望在两个进行交易的 信托代理120(或者货币模块6)之间保证中止和委托状态一致。例如，如果A委 托一项交易，那么B也应该委托一项交易；或者，如果A中止交易，那么B也应 该中止该交易。为了获得一致并尽可能减小复制或丢失的可能性(在不一致的事 件中)，交易协议应考虑A和B委托一给定交易的次序和时间。
图7示出了两个子程序，中止和委托子程序。当交易处于失败中时，在一给 定的信托代理120内部执行中止子程序。退出中止子程序或者使信托代理120 返回到其涉及失败交易前所处的状态。相反，当交易处于已成功完成时，在一给 定的信托代理120内部执行委托交易。由此，信托代理120将完成的交易记录在 其交易记录簿中，并准备进行新的交易。例如，在传送票的交易期间，将电子票8 从信托代理A传送至信托代理B。由于此时A和B都还没有委托或中止交易， 所以A暂时保存票8，而B也暂时拥有票8。如果A和B都进行了委托，那么A 将删除其票8，而B对票8的保管将不再是暂时的。但是，如果A和B都中止，那 么A将保存其票8，而B暂时保管的票8因退出交易而被删除。注意，删除操作 可以用现有技术中已知的各种方式完成。如前所述，希望尽可能减少一个信托代 理120委托时另一个信托代理120中止的可能，因为在某些有限的情况下，这会 导致对电子项目的复制或丢失。
对于货币模块6交换电子票据，存在类似的情况。在购物交易期间，电子票 据从货币模块A传送至货币模块B，从而A暂时减少其电子票据(减少被传送 的量)，而B暂时拥有电子票据(拥有被传送的量)。如果A和B都委托，那么A 将保存数量减少后的票据，而B对票据的保管将不再是暂时的。
图7A示出了委托子程序。交易记录X更新交易记录。至主机X通知主机 交易完成。对话管理器X记录下对话结束。(步骤230-234)。
图7B示出了中止子程序。对话管理器X恢复原变化，并记下被中止的代 理。对话管理器跟踪对话开始以来所作之事，并且当退回时恢复这些步骤。至主 机X将交易中止的消息发送给主机。(步骤236-238)。
例如当信托代理120判定某证书无效时，可以从流程图中直接调用中止子 程序。还可在不发生预期行为时调用中止子程序。特别地，当两个信托代理120 正在通讯时，它们将始终监视协议的到期。例如，在第一信托代理120已将一消 息发送给第二信托代理120之后，如果需要回答，第一信托代理(A)的对话管理 器将为答复设定一定时器。对话管理器还可对所发消息编号。该编号将出现在 来自第二信托代理(B)对话管理器的答复消息中。
如果在接收到消息之前，定时器到时，那么对话管理器A将询问对话管理 器B，以确定交易是否仍在B中进行。如果B不回答，那么对话管理器A将中止 交易。如果收到交易正在进行的回答，那么将定时器重新设定至一个新的时间。 如果A向B询问了预定次数而没有收到对原始消息的回答，那么A将中止交 易。货币模块中存在类似的过时功能。
                     再证明信托代理
图8示出了对信托代理再证明的流程图。当信托代理A的所有者决定其代 理进行再证明时，一般在其现时cert(TA)的截止日期之后或附近，来自其交易 装置内所装主处理器的主交易应用(host transaction application)接至信托服务 器B(步骤240-242)。
建立对话子程序被调用(步骤244)用来在信托代理A和信托服务器B之间 建立安全加密的通讯信道。参照图9，信托代理A的对话管理器进行请求，然后 从安全管理器接收A的证书(即，cert(TA))(步骤296-298)。然后，对话管理 器A将cert(TA)发送给信托服务器B的对话管理器，信托服务器B的对话管 理器再将其传送至它的安全管理器(步骤300-304)。
信托服务器B的公开密钥功能通过使用在上述对系统安全性的讨论中所 描述的生效协议核实cert(TA)。但是，有一个中止委托的警告，即当在重新生效 过程期间调用建立对话时，如果判定证书已经过期，那么前述证书生效协议不终 止，原因是信托代理正在进行再证明。
如果cert(TA)无效，那么对话管理器B记下该对话被终止，并通知对话管 理器A交易被拒绝。对话管理器A也记下该对话被终止。(步骤310-312)。如 果cert(TA)有效，那么安全管理器B检查信托代理A是否在未委托清单上(步 骤314-316)。如果信托代理A未被委托，那么终止对话(步骤310-312)。
如果A不在未委托清单上，那么随机数发生器B产生一随机数R(B)和一 B核实消息(步骤318)。随机数R(B)将最终被用来形成一对话密钥。B核实消 息是B所用的随机数，用来保护防止消息重复使用。接下来，安全管理器B将R (B)、B核实消息和cert(TA)汇编成一则消息，给信托代理A(步骤320)。公开 密钥B用信托服务器B连同A的cert(TA)一起接收到的信托代理A的公开密 钥(TA(PK))，对消息加密(步骤322)。对话管理器B将加密消息发送给A的对 话管理器(步骤324-326)。
公开密钥A用其秘密密钥(对应于其公开密钥)对该消息解密，并核实cert (TS)的有效性(步骤328-330)。如果cert(TS)无效，那么对话管理器A记下该 对话终止，并将拒绝交易的消息发送给B，B的对话管理器也记下该对话终止 (步骤332-334)。如果cert(TS)有效，那么安全管理器A检查信托服务器B是 否在未委托的清单上(步骤336-338)。如果信托服务器B在清单上，那么终止 对话(步骤332-334)。
如果B不在未委托清单上，那么随机数发生器A产生一随机数R(A)和一 A核实消息(例如，另一个随机数)(步骤340)。日期/时间功能将当时的日期和 时间传送给安全管理器(步骤342)。在委托期间，为最终记录在其交易记录簿 中，A和B交换日期和时间。然后，安全管理器A通过对随机数R(A)和R(B) 进行异或操作，形成对话密钥(TA/TA)，并将其存储起来(步骤344)。对话密钥 (TA/TA)用来对两个信托代理120之间或信托代理120与信托服务器200之 间的通讯进行加密(与本例中再证明期间调用建立对话的情况相同)。对话管理 器A汇编含有A和B核实消息、日期/时间信息和R(A)的消息(步骤344)。公 开密钥A用信托服务器B的公开密钥(cert(TS)的A所接收到的)对消息加密， 并将加密消息发送给信托服务器B的对话管理器(步骤346-350)。
公开密钥B用其秘密密钥(相应于其公开密钥)将接收到的消息解密(步骤 352)。安全管理器B检查从A接收到的B核实消息是否与其先前发送给A的B 核实消息相同(步骤354-356)。如果不同，那么终止对话(步骤310-312)。如 果相同，那么对话管理器记下对话开始(步骤358)。
安全管理器B通过R(A)和R(B)的异或运算形成对话密钥(TA/TA)，然 后将该对话密钥存储起来(步骤360)。这时，A和B都已产生并存储了同一对话 密钥(即，对话密钥(TA/TA))，该对话密钥用于它们在再证明A之证书时的现 时交互。接下来，日期/时间B将其当时的日期和时间信息发送给安全管理器B (步骤362)。安全管理器B汇编具有承认A、A核实消息和B的日期/时间信息 的消息(步骤364)。然后，调用发送消息子程序(步骤366)，用以将消息从B发送 至A。
参照图10，信托服务器B的对称密钥功能用对话密钥(TA/TA)对消息加 密(步骤376)。然后，消息接口B将给消息格式化，并将其发送给主处理器的消 息管理器(步骤378)。然后，主消息管理器B通过通讯为该消息选择到达信托代 理A之主处理器中主消息管理器A的路由(步骤380)。然后，主消息管理器A 将消息发送给信托代理A的消息接口，取出消息(步骤382-384)。对称密钥用 对话密钥(TA/TA)将消息解密，从而用对话密钥(TA/TA)完成了消息在信托 服务器和信托代理之间的安全通讯(步骤386)。
再参照图9，安全管理器A接收该认定、A核实消息和B的日期/时间信息 (步骤368)。安全管理器A检查A核实消息是否与A先前发送给B的A核实 消息相同(步骤370-372)。如果不相同，那么对话管理器A终止对话(步骤322 -334)。如果相同，那么对话管理器A记下对话的开始(步骤374)。
再回过头来参照图8，继续再证明过程。安全管理器A请求公开密钥A产 生一新的公开和秘密密钥对，并用旧的秘密密钥(对应于旧的TA(PK))对新的 公开密钥数字签名(步骤246-248)。如前所述，信托代理的公开和秘密密钥对 用于在信托代理120间或信托代理120和信托服务器200间建立一对话。
安全管理器A汇编包含新签名的公开密钥和当前版本号的未委托清单的 消息。每次未委托清单的变化都将有一个新的版本号，所以信托服务器只需要将 变化发送给清单。然后，用发送消息子程序将消息发送给信托服务器B(步骤 252)。信托服务器B接收消息并检查新公开密钥上的数字签名是否有效(用信 托代理A的旧公开密钥)(步骤254-258)。如果签名无效，那么调用中止交易子 程序(步骤260)。
参照图11，信托服务器B中止(步骤388)，并且其对话管理器将一消息发送 给信托代理A的对话管理器，通知A：B已中止(步骤390-395)。然后，信托代 理A中止(步骤396)。
再参照图8，如果新公开密钥上的签名有效，那么信托服务器B产生一包含 新公开密钥和新截止日期的新证书(cert(TA))。然后，将新证书与更新后的未 委托清单和更新后的PTS(PK)清单一起发回A(步骤262-264)。安全管理器 A接收该消息，并检查公开密钥A，检查其新证书是否有效。(步骤268-270)。
如果不是有效证书，那么安全管理器A检查信托服务器B试图产生新证书 的次数是否少于三次(步骤274)。如果是这样，那么安全管理器A将一消息发送 给信托服务器B，以再尝试产生该证书(步骤280-284)。如果信托服务器不能 产生有效cert(TA)，那么交易记录簿A记下该尝试失败，并中止交易(步骤276 -278)。
如果信托服务器发送有效的新cert(TA)，那么安全管理器A更新该cert (TA)，未委托清单和PTS(PK)(步骤286)。然后，信托代理A进行委托(步骤 288)。安全管理器A将信托代理已更新其证书的消息发送给信托服务器。然后， 信托服务器B记下A已被重新确认。(步骤290-294)。
                   购买电子商品
现参照图12描述购买电子商品。根据图12流程图所描述的购买项目包括 电子对象及其相关的解密票、运输票、活动票和通讯票。另一方面，用获得证件流 程图(图26)可获得各种证件。CTD188之主处理器124中的买方交易应用 (BTA)接至商入网192的商人服务器194。BTA允许买方浏览卖方的商品并作 出选择(步骤398-400)。BTA将选中商品的标识发送给商人服务器194(步骤 402)。然后，BTA将一消息发送给信托代理A(位于同一CTD内)，命令信托代 理A购买并识别被选中的商品。另外，商人服务器将一消息发送给MTD 198的 信托代理B，命令信托代理B卖出，并识别被选中的商品。(步骤404-406)。
然后，在信托代理A和信托代理B之间建立一对话，现在A和B都可以用 新创建的对话密钥(TA/TA)进行通讯(步骤408)。参照图13，图中示出了买卖 交易期间建立的四个加密信道。两个信托代理120间的加密信道436运载经对 话密钥(TA/TA)加密的消息。信托代理120与其货币模块6之间的信道438和 440共享对话密钥(TA/MM)。不同交易装置122中货币模块6之间的信道442 使用对话密钥(MM/MM)。
再参照图12，调用检查证件子程序(步骤410)。所有的MTD 198都包含能 识别所有者/商人(例如，NYNEX，Ticketron等)的证件。例如，这类商人证件可 以由信托代理机构控制的商人鉴定当局发放。另一方面，CTD 188所持有的客 户证件可以包括各种鉴定当局发放的驾驶证或信用卡。参照图14，购买A向信 托代理B的购买B发送一消息，请求其商人证件(步骤444-448)。储票器B检 索其商人证件并将该证件发送给A，使之生效(步骤450-456)
如下使证件或任何其他类型的票8生效：
1)使发放者证件生效并检查发放者签名。
2)核实每个传送-匹配接收方和发送方的标识符(即，S0＝发放者，R0＝第一 接收方，则Ri＝Si＋1，i≥0)。
3)使每张发送者证件生效并检查每个发送者签名。
4)核实最后接收方标识符与当前对话中信托代理证书(cert(TA))的标识 符(TA(id))匹配。
如果商人证件无效，则中止交易(步骤458)。如果商人证件有效，则至主机 A将证件信息发送给主传送应用，进行确认(例如，由CDT持有者目视确认商 人的名字)(步骤460-462)。
再参照图12，购买B向商品服务器请求被选中的商品，商品服务器检索该 商品并将其发送给购买B，使标识生效(步骤412-418)。如果项目不正确，则在 中止交易之前再进行两次商品检索(步骤420-422)。如果信托代理B收到正确 的商品，那么起动发送商品子程序(步骤424)。
参照图15，购买B检查商品是否将只体现为一张票(与解密票和电子对象 相对)(步骤464-466)。如果只作为票，那么储票器B产生该票(步骤468)。然 后，购买B将票发送给信托代理A(步骤470-472)。购买A接收该票，并通过比 较所需商品的标识(先前从BTA接收到的)和票中的信息，检查其是否正确(步 骤474-476)。如果不正确，则购买A将交易标识为购买，并中止交易(步骤478 -482)。如果信托代理A认为票是正确的，那么它将来自票的信息发送给主交 易应用，进行买方确认(步骤486-488)。该信息允许CTD的持有者核实他正在 获得它先前选择的商品和价格。如果票的信息不正确，那么中止交易(步骤478 -482)。如果票是正确的，那么购买A将该票发送给储票器A，进行存储(步骤 490-492)。现在信托代理A暂时持有票8。如果接下来信托代理A中止，那么 票8被删除。如果接下来信托代理委托，那么A的所有者或持有者将能递交票 8。
另一方面，如果被购买的商品由一电子对象及其相关的解密票组成，则商人 信托代理B中的随机数发生器B产生一随机密钥(步骤494)。然后对称密钥B 用随机密钥对电子对象加密，而公开密钥用MTA的秘密密钥对加密后电子对 象进行数字签名(步骤496-498)。然后，储票器B产生一包含随机密钥、价格和 其他信息的解密票(步骤500)。现在信托代理A的所有者可以从商人那里接收 到加密的电子对象，但他不能使用它，除非他有进入相关解密票内所含随机密钥 的入口。
购买B将加密电子对象和解密票发送给信托代理A(步骤502-504)。购买 A接收该消息，并将加密的电子对象传送给主机，并保存加密首标信息的拷贝 (步骤506)。同时，公开密钥A用B的公开密钥核实加密电子对象的签名(步骤 508-510)。如果签名不正确，则中止交易(步骤478-482)。如果核实了电子对 象的完整性，那么对称密钥A用来自解密票的随机密钥对首标解密(步骤512)。 购买A检查电子对象和解密票的标识(步骤514-516)。该检查可通过将所需商 品的标识与电子对象的标识符和解密票中的信息作比较来实现。由此，可以确保 被选商品、电子对象和解密票都是相关的。如果标识检查失败，则中止交易(步骤 478-482)。
如果电子对象和解密票是正确的，那么购买A将解密的首标和价格信息发 送给主交易应用，进行买方确认(步骤518，488)。如果购买者不接受该商品，则 交易中止(步骤478-482)。如果购买者接受该商品，则购买A将解密票发送给 储票器存储(步骤490-492)。
再参照图12，现在已完成了商品从商人至客户的传送(并且由于商品加密 和/或存储在客户的信托代理2内，所以客户不能得到该商品)。购买A向主交 易应用发送一消息，该消息请求客户希望的支付方法(步骤426-428)。付款可 以用两种不同方式中的一种进行：用货币模块6进行匿名支付或者用信用卡或 借方卡证件进行基于认定的支付(要求对客户进行识别)。
如果希望用匿名支付，则调用货币模块支付于程序(步骤430)。参照图16， 随机数发生器A产生随机数R(1)(步骤520)。然后，购买A向信托代理B发送 一消息，该消息命令进行“货币模块支付”并且还包含R(1)(步骤522-524)。购 买B接收该消息，并将R(1)发送给安全管理器B(步骤526-528)。随机数发生 器B产生随机数R(2)，并将其发送给信托代理A(步骤530-532)。安全管理器 A和B通过对R(1)和R(2)进行异或操作，都形成对话密钥(TA/MM)(步骤 534-536)。
参照图13，对话密钥(TA/MM)通过加密信道438和440对信托代理120 和其相关的货币模块6之间发送的消息进行加密。在流程图的这一位置处，只有 两个信托代理120具有对话密钥(TA/MM)。之后，两个货币模块6将在流程图 中形成对话密钥(TA/MM)的拷贝，从而能在信托代理120和它们的货币模块 6之间进行加密通讯。
应当注意，可以不把信托代理120和货币模块6作为分立的防窜改部件来 使用，还可以将它们制成一个防窜改模块。在这种情况下，不必在用一交易装置 122中为信托代理120和货币模块6之间的通讯建立对话。但是，最好使用分立 的货币模块6和信托代理120，因为这种结构的应用适应性较大。
再回头参照图16，至货币模块A将“进行支付”的消息和R(1)发送给与其 相关的货币模块A。另外，至货币模块B将“接收支付”的消息和R(2)发送给与 其相关的货币模块B(步骤538-544)。
在该阶段，(CTA 2内的)货币模块A和(MTA 4内的)货币模块B在其间 建立一对话，从而每个货币模块6都持有新的对话密钥(MM/MM)(步骤546)。 在建立该货币模块至货币模块的对话时，货币模块通过先前存在的信托代理的 对话进行消息交换。参照图13，通过交换由信道436加密的消息来形成加密信 道442的对话密钥。建立了货币模块对话后，将用对话密钥(MM/MM)和对话 密钥(TA/TA)对货币模块间发送的消息以及信托代理120间的通讯通路部分 进行两次加密。
在该较佳实施例中，用类似于建立信托代理对话的方式建立货币模块对话。 因此，货币模块6将持有包含其公开密钥的其本身的证书。交换证书和随机数 (进行异或操作)可安全产生对话密钥(MM/MM)。图38示出了货币模块所用 的建立对话协议，随后将作描述。与货币模块有关的整个系统的安全性可以与信 托代理120的合为一体，但最好是分离的，以提高系统的安全性和系统的适应 性。
回过来参照图16，货币模块A将R(1)发送给货币模块B。该功能由货币模 块A中MM保持安全(Maintain Security)A的应用来起动(步骤548)。该应用 和其他货币模块应用的开头冠以“MM”标号，并且PCT专利申请WO 93/ 10503对这些应用以及这里的任何变化和/或增加作了描述。
发送已选路由消息的子程序将随机数R(1)从货币模块A发送至货币模块 B(步骤550)。参照图17，MM对称密钥A用对话密钥(MM/MM)对(包括R (1))的消息加密(步骤640)。MM对话管理器A将该消息发送给主消息管理器 A，主消息管理器A又将消息发送给信托代理A的消息接口A(步骤642- 646)。然后，信托代理A用发送消息子程序将消息发送给信托代理B的消息接 口B(步骤648)，其中发送消息子程序用信托代理中间的对话密钥(TA/TA)对 该消息加密和解密。然后，消息接口B通过主消息管理器B将消息发送给货币 模块B中的MM对话管理器B(步骤650-654)。最后，MM对称密钥B用对话 密钥(MM/MM)对消息解密(步骤656)。
再参照图16，(货币模块B中的)MM保持安全B通过对R(1)和R(2)进行 异或操作，形成对话密钥(TA/MM)。然后，货币模块B将R(2)发送给货币模块 A，其中货币模块A也通过对R(1)和R(2)的异或操作形成对话密钥(步骤552 -556)。参照图13，在该阶段，存在三个对话密钥：(MM/MM)、(MM/TA)和 (TA/TA)。因此，有四条加密系统就位。
参照图16，MM至用户(To Subscriber)A提示信托代理A以所用货币类 型(例如，美元、日元、英镑等)支付的款数(步骤558)。如PCT专利申请93/ 10503所述的货币模块(通过援引包括在此)一般使用至用户应用与货币模块的 所有者/持有者进行通讯。但是，如在本例所使用的，至用户应用与信托代理120 通讯，以获取各种指令。这里，信托代理120传送付款数额和货币类型的信息(信 托代理A已在先与CTD 2的所有者/持有者通讯，以确认被选商品的价格)。
通过发送MM/TA消息子程序发送从货币模块6至信托代理120的提示 (步骤560)。参照图18，MM对称密钥A用对话密钥(TA/MM)对消息加密。 MM对话管理器A通过主消息管理器A将消息发送给信托代理A的消息接口 (步骤660-664)。对称密钥A用对话密钥(TA/MM)对消息解密(步骤666)。再 回过来参照图16，信托代理A的购买A以所用货币类型将数额(被选商品的价 格)发送给货币模块A的MM支付/兑换(Pay/Exchange)A(步骤562-566)。 通过发送TA/MM消息的子程序发送该消息(步骤564)。参照图19，对称密钥 A用对话密钥(TA/MM)对消息加密(步骤668)。消息接口A通过主消息管理 器A将消息发送给货币模块A的MM对话管理器(步骤670-674)。最后，MM 对称密钥A用对话密钥(TA/MM)对消息解密(步骤676)。
参照图16，MM票据目录(Note Directory)A检查货币模块6是否还由足 够的资金进行支付(步骤568-570)。如果不够，则货币模块A和B中止交易(步 骤572-582)。
图42示出了较佳电子货币系统的MM中止交易协议(步骤582)，并随后将 作描述。通过发送E-已选路由消息(Send E-routed)的子程序发送货币模块 A和货币模块B之间的消息，其中发送E-已选路由消息的子程序利用所有三 个对话密钥(MM/MM)、(TA/MM)和(TA/TA)。参照图20，MM对称密钥A 用对话密钥(MM/MM)对一消息加密(步骤678)。然后，在将消息发送给信托代 理A之前，用对话密钥(MM/TA)对该消息加密两次。一旦消息被信托代理A 接收，用对话密钥(MM/TA)对消息解密(步骤680)。然后，消息接口A将消息 发送给消息接口B(步骤682-684)。在两个信托代理120中间，消息被对话密钥 (TA/TA)加密两次。用类似的方式，消息接口B将消息发送给MM对称密钥 B，作最后解密(步骤686-690)。图13示出了各种加密层次。
再参照图16，在货币模块A和货币模块B的中止程序期间(步骤582)，它 们产生分别发送给信托代理A和B的消息，通知它们已中止了交易，因此支付 不成功。对话管理器A记下支付不成功，结果信托代理A和B中止(步骤588- 598)。
另一方面，如果客户货币模块2有足够的资金，那么MM支付/兑换A将一 消息发送给商人货币模块，该消息包含将传送支付的货币数额和票据的类型(步 骤600)。该消息通过发送E-已选路由消息的子程序发送(步骤602)。
货币模块B接收包括根据货币模块A所付数额的消息。然后，MM至用户 B向信托代理B发出提示，提示其核实该支付的数额(步骤604-606)。因此，信 托代理B中的购买B核实数额是否正确(步骤608-610)。如果正确，那么信托 代理B将“数额正确”的消息发送给货币模块B。如果不正确，那么发送“数额不 正确”的消息。(步骤612-616)。如果发送了“数额不正确”消息，货币模块B通 知货币模块A，再由货币模块A请求其信托代理再发送一新的货币数额或者中 止(步骤618-622，步骤572-582)。在购买电子商品期间用货币模块支付的情 况下，信托代理将不发送新的货币数额，因此两个货币模块6和两个信托代理 120都将中止。
另一方面，如果货币模块B从其信托代理接收到“数额正确”的消息，那么 货币模块B将一确认消息发回给客户的货币模块(步骤624-626)。当MM支 付/兑换A接收到该确认消息时，它会将该数额传送给储币器(Money Holder) A(该应用包含并管理货币的电子表示)(步骤628)。
注意，刚才描述的付款方起动协议(payor initiated protocol)可以代替完成 图43所示POS支付协议中的收款方起动支付，并将在下文中描述。在这种协议 中，商人的信托代理将其希望收到的支付数额通知其货币模块，该支付信息被发 送给客户货币模块，由客户货币模块提示其信托代理记下核实，如果数额正确， 则客户信托代理通知其货币模块。
再参照图16，接下来，客户货币模块A通过E-已选路由消息通路将规定 数额的电子票据传递给商人货币模块4(步骤630)。在交易的这个阶段，A暂时 保存正确票8(并且可能是一加密的电子对象)，而B暂时保存正确数额的电子 票据。图39示出了以下将描述的传递票据协议(Transfer Notes protocol)。
接下来，调用MM委托子程序(步骤632)。图41示出了较佳电子货币系统 中使用的委托协议。当货币模块6正在与信托代理120交互时，该流程图仍得出 以下认识，即发送消息＝发送E－已选路由的消息，并且实际上将至用户消息加 密发送给了信托代理120。根据上述认识，货币模块B的MM对话管理器通过 发送E-已选路由消息的子程序将“准备委托”的消息发送给货币模块A的 MM对话管理器(步骤1702-1704)。然后，MM对话管理器A将“确认”消息发 送给货币模块B并且货币模块A进行委托(步骤1706-1716)。当货币模块B 接收到该“确认”消息时，它也进行委托(步骤1718-1724)。
在货币模块A和B的委托过程期间，它们分别产生发送给它们的信托代理 A和B的消息(步骤1714，1722)，通知它们已委托交易，因此支付是成功的。
再参照图16，接下来，两个货币模块都将前述的“支付成功”消息发送给它 们的信托代理(步骤584-586)。用对话密钥(TA/MM)对这些消息加密。对话 管理器A检查是否已成功付款，并且储票器A用诸如购买日期等支付信息更新 该票(步骤588，592，634)。然后信托代理A进行委托，致使其对票的保存不再是 “暂时的”。同样，对话管理器B检查支付是否成功(步骤590，594)，并且信托代 理B进行委托(步骤628)。现在交易结束。
概括地说，依照本发明较佳实施例进行的安全购买交易是如下进行的：
(1)在买方和卖方货币模块之间，在买方和卖方信托代理之间，以及在每个
   交易装置的货币模块和信托代理之间建立了安全交易对话；
(2)将选中的电子商品从卖方信托代理传递给买方信托代理(暂时保存)-
   如果电子商品包括一电子对象，则对电子对象加密，从而可将其存储在
   信托代理之外；
(3)在核实了被传递电子商品的正确性之后，买方信托代理命令其货币模
   块向卖方货币模块支付一定数额的电子货币；
(4)买方货币模块把将要支付的电子货币数额通知卖方货币模块，并且卖
   方货币模块用其信托代理进行检查，以核实这是商品的正确价格；
(5)如果数额是正确的，那么卖方货币模块向买方货币模块发出确认；
(6)买方货币模块将电子货币传递给卖方货币模块(卖方的MM暂时保存
   票据，而买方的MM暂时将票据值减少被传递的数额)；
(7)买方和卖方货币模块都进行委托(卖方的MM对票据的保存不再是暂
   时的，并且买方的MM保存票据的新值)，并且在这样做时，将“支付成
   功”的消息发送给它们各自的信托代理；
(8)最后，买方和卖方的信托代理都进行委托(卖方信托代理记录下该买
   卖，并且客户信托代理对商品的保存不再是暂时的)，从而买方能够使
   用他/她的电子商品，并且卖方获得他/她的电子货币。
应当注意，在另一种实施例中，交换电子商品和货币的次序可以相反。在这 种情况下，可以先暂时传递电子货币，再暂时传递电子商品。随后，客户的信托代 理将命令其货币模块进行委托，并且如前所述进行交易。该另一种实施例将要求 对货币模块支付协议进行相应的修改。
我们已经说明了如何在卖方不知道买方身份的情况下通过通信网同时安全 地传递和支付电子商品的。这是对购买者在商店用现金购买商品的直接模仿。售 货员不知道客户的身份，但会卖于他，取得现金。由于客户与“柜台”对面的售货 员实际距离接近，所以他确信将得到该商品。我们已经用上述协议产生了一个电 子“柜台”，“柜台”两侧的客户信托代理2和商人信托代理4可以与实际的类似 事件一样安全地交易。
除了匿名货币模块支付之外，信托代理120还提供了一个安全平台，用于提 供基于身份的交易，即要求揭示客户身份的交易。这类交易的例子有，信用卡支 付或借方卡支付，开设一个支票帐户，购买一项需买方注册的项目例如小轿车或 卡车等，或者支付帐单或发票。当今，要商人远距离接受信用卡或借方卡号码进 行支付并将商品发送到非客户地址的地方是很冒险的。如果交易是欺诈性的，那 么商人就要负责。但是，商人可将卡的号码作为信托代理证件的一部分，这对于 发卡者将足够的安全，不必冒被欺骗的危险。
返回来参照图12，如果客户不用匿名货币模块支付方式，而是决定通过信 用卡或借方卡证件进行支付，那么调用基于认定的支付/退款(Authorization- Based Payment/Refund)子程序(步骤432)。参照图21，储票器A检索信用卡或 借方卡证件(步骤692)。购买A发送一消息，该消息表示支付是“凭证支付”并且 包含发送给购买B供验证的证件(步骤694-700)。如果无效，则中止交易(步骤 702)。如果有效，则购买B检查客户是否要求退款(步骤704-706)。假设这不是 一个退款交易，那么至主机B将价格和证件发送给卡的认定网，进行支付认定 (步骤708)。MTD起动卡的认定过程(步骤710)。认定卡在本领域中是已知技 术，并且一般包括当存在足够的资金或金额在持卡者的信用极限内时发卡者或 其代理对某一特定支付的认定。当完成认定卡过程后，购买B检查支付是否被 认定(步骤712-714)。
如果支付未被认定，那么中止交易(步骤702)。如果认定了支付，则购买B 将“支付已认定”的消息发送给储票器A，并且信托代理B进行委托(步骤716- 720)。当储票器A接收到“支付已认定”消息时，它用支付信息(例如，购买日期) 更新票(步骤722)。然后信托代理A进行委托(步骤724)，结束基于认定的支 付。
再回到图12，支付之后，调用公开商品(Open Merchandise)子程序(步骤 434)。参照图22，购买A检查商品是否是电子对象(步骤736-738)。如果是，则 储票器A将解密密钥和来自解密票的电子对象标识符发送给主交易应用，用于 对电子对象解密(步骤740-742)。但如果该商品是具有解密密钥的通讯票，则 储票器A将解密密钥发送给HTA(步骤746)。HTA用该密钥对通讯进行解密 (步骤748)。如果该商品既不是电子对象又不是具有解密密钥的通讯票，那么该 过程简单地结束。为了获得服务，必须递交其他形式的票8。
                    票的递交
参照图23，当客户信托代理A的所有者想用票从商人信托代理B的所有者 那里接受服务时，主交易应用A(HTA)连接主交易应用B(HTB)(步骤750- 752)。HTA向其信托代理发送消息以“递交票”，而HTB向其委托代理发送消 息以“接收票”(步骤754-756)。
两信托代理建立一对话(步骤758)，并且A检查B的商人证件(步骤760)。 储票器A向主机请求票ID，并递交其持有票的清单(步骤762)。至主机A将该 消息发送给HTA，从而客户可以选择递交哪种票(步骤764)。客户选择了适当 的票后，HTA将票的ID发送给信托代理A(步骤766-768)。储票器A检索被 选中的票，并检查它是否可用(步骤770-772)。如果票8仍有值，则“可用”。例 如，在活动票的情况下，状态字段100表示票8是否已经递交，并且是否由此没 有价值。在通讯票的情况下，可用时间字段116表示票8内剩余的值。如果票8 无用，那么至主机A将票无用的消息发送给HTA，并中止交易(步骤774- 776)。
如果票8可用，那么递交票A将该票的拷贝发送给B(步骤778-780)。接 收票B接收该票，并且检查它是否有效和可用(步骤782-784)。如果无用而有 效，则中止交易(步骤786)。如果有效且可用，则至主机B通知HTB向HTA传 递服务(步骤788)。由于该票的类型可以是当提供服务时其值递增用尽的，所以 还要传送A票的剩余值(例如，类似于预付的电话卡)。然后，接收票B将票8正 在使用的消息发送给A(步骤790-792)。储票器A将票8标记成“正在使用” (步骤794)。
HTA根据票的类型和提供的服务以适当的形式与HTB交互(步骤796)。 HTB不断地监视票的剩余值，直至该值降低至零(步骤798-800)。这时，HTB 通知HTA值不够了，并将票没有价值的消息发送给B(步骤802)。然后，调用委 托票(Commit Ticket)子程序(步骤804)。
参照图24，接收票B将票的新剩余值发送给递交票A(步骤822-826)，在 本例中，该值为零。然后，储票器A将票8标记成“不在使用”，并更新票值(步骤 828)。最后，信托代理A进行委托，对话管理器A通知B票8已被更新，并且信 托代理B进行委托(步骤830-834)。返回来参照图23，随后HTA询问客户是 否希望继续(步骤806-808)。如果希望，则信托代理A负责购买更多的票值(步 骤810)。
在HTA与HTB的交互期间(步骤796)，HTA检查HTA的所有者是否已 完成了交易(步骤812-814)。如果交易结束，则HTA通知HTB，HTB再通知 其信托代理(步骤816-818)。HTB还将票的剩余值发送给它的信托代理。最 后，调用委托票子程序(步骤820)。
                       票的传递
票8可以在信托代理120(除了票的初始发送之外)之间传递。所有者有若 干理由希望这样做。例如，如果通过台式交易装置122(例如，安装在个人计算机 内的CTD 188)购买了票8，那么买主会希望将其转移到便携式装置(例如，电子 钱包)。或者，如果买主为朋友或亲戚购买票8，那么买主可将该票转让至另一 方，供他们使用。另一种情况是买主购买一新的交易装置122时，并且希望将其 证件转移到该新装置。
参照图25，图中示出了当信托代理A的所有者想将一张或多张票8传递给 信托代理时(步骤836)所进行的过程。开始时，HTA与HTB相连(步骤838)。然 后，HTA命令其信托代理“传递票”，而HTB命令其信托代理“接收票”(步骤 840-842)。接下来，两信托代理建立一安全对话(步骤844)。然后，至主机A通 过HTA询问交易装置是否检查对方的标识证件以接收该票(步骤846-848)。 如果不进行证件检查，或者证件检查成功(步骤850-854)，那么储票器A请求 传递票的ID(步骤856)。票是从信托代理A所持有的票的清单中选出的。至主 机A将该消息连同票的清单发送给HTA，所有者进行选择，并且至主机A接收 答复，识别被选中的票(步骤858-862)。
储票器A检索被选中的票(步骤864)。然后，公开密钥A通过向传递历史 区段添加适当的传递消息并向发送者签名区段添加数字签名，来对发向B的票 签名(步骤866)。然后，储票器A将票发送给接收票B，通过公开密钥B验证(步 骤868-876)。如果票无效，则中止交易(步骤878)。如果票有效，则储票器B存 储该票，并向A确认(步骤880-882)。储票器A接收该确认，并删除该票(步骤 844)。信托代理A通知储票器B票已删除(步骤884-886)，并进行委托(步骤 888)。储票器B接收给消息(步骤890)，然后信托代理B进行委托(步骤892)。
                      证件
客户可以亲自鉴定当局(Identification Authority)获得证件。证件可以是机 动车管理部门颁发的驾驶证、国务院或外交部颁发的护照、银行发放的信用卡或 借方卡，或者贸易部的公司印章(标识符)。可以远距离使证件重新生效(revali- date)，或者当信托代理120已包含证明身份的证件时甚至可以在第一场所远程 获得证件。凭借各种证件，可以远程开设一支票帐户，即使客户不为银行所了解。
参照图26，图中示出了当信托代理A的所有者决定亲自从鉴定当局获得一 证件(步骤894)时进行的流程图。首先，A的所有者向鉴定当局的代表递交有关 他/她身份的证明。然后，代表通过官方信托代理B的HTB输入各种信息(例 如，姓名，地址等)。接下来，A的所有者命令其HTA获得证件。作为响应，HTA 将“获得证件(Acquire Credential)”的信息发送给信托代理A(步骤900-902)。 同时，HTB将“创建证件(Creat Credential)”的信息发送给信托代理B(步骤 904)。然后，信托代理B与信托代理A建立一对话(步骤906)。至主机B通知 HTB已建立了对话。HTB将各种证件信息发送给信托代理B(步骤908-910)。 然后，创建证件构造证件信息(即，证件票的标识符和组元区段10和12)(步骤 912)。
然后，调用传送证件(Deliver Credential)子程序，将新创建的证件传送给信 托代理A(步骤914)。参照图27，公开密钥B(用ATA的秘密密钥)对证件信息 签名，并将其发送给创建证件B(步骤916)。创建证件B汇编一包含该证件信 息、签名和证书(ATA的cert(TA))的证件(步骤918)。然后，创建证件B将新 创建的证件发送给信托代理A(步骤920)。如果需要，创建证件还将证件的价格 发送给A。
公开密钥A核实该证件(步骤922-924)。如果无效，则中止交易(步骤 926)。如果有效，则至主机A将主机信息和支付数额(如果需要)发送给HTA， 进行确认(步骤928-930)。如果未被信托代理A的所有者确认，则中止交易(步 骤926)。
如果证件被确认，则储票器A接收该证件，并检查是否要求付款(步骤932 -934)。如果不要求付款，则信托代理A进行委托，并且将证件已被接受的信息 发送给信托代理B(步骤938-940)。信托代理B在接收到该信息后进行委托 (步骤942)。然后，创建证件B通知HTB证件被接受，并且HTB将该证件信息 发送给官方服务器所保存的证件数据库(步骤944-946)。
另一方面，如果需要支付证件，那么至主机B请求信托代理A的所有者选 择一种支付方式(步骤948-950)。如果选择了货币模块支付方式，则调用货币 模块支付子程序(步骤952)。当B进入该子程序时，创建证件B通知HTB证件 被接受，并且HTB将该证件信息发送给官方服务器(步骤944-946)。如果信托 代理A的所有者决定用信用卡或借方卡支付，则调用基于认定的支付/退款子 程序(步骤954)。
希望鉴定当局定期更新它们的证件信息。因此，要求给出证件截止日期以进 行重新生效。图28示出了信托代理A的所有者是如何远程使一证件重新生效 的(步骤956)。首先，HTA与HTB相连(步骤958)。HTA将“使证件重新生 效”的消息发送给信托代理A(步骤960)。HTB接受将“接收证件以进行重新生 效”的消息发送给信托代理B(步骤962)。然后，信托代理A与信托代理B建立 一对话(步骤964)。
首先，信托代理A检查官方的证件(步骤966)。官方证件可以在信托代理机 构的监督下发行。获得证件A向储票器A请求该特定的重新生效的证件，储票 器A将该证件发送给官方信托代理B(步骤968-972)。创建证件B检查该证件 是否有效(步骤974-976)。如果无效，则中止交易(步骤978)。如果有效，则创 建证件B检查是否应亲自去使该证件重新生效(步骤980-982)。如果可以远距 离使证件重新生效，则创建证件B更新证件信息，包括新的截止日期(步骤 984)。然后，调用传送证件(Deliver Credential)子程序(步骤986)。
如果必须亲自去使证件重新生效，则创建证件B将“亲自重新生效”的消息 发送给信托代理A(步骤988-990)。获得证件A接收该消息(步骤992)。然后， 信托代理A进行委托(步骤944)，并且对话管理器A将一确认消息发送给信托 代理B(步骤996-998)。然后，信托代理B进行委托(步骤1000)。
              基于身份的货币模块支付
用图29所示的流程图可以进行不涉及同时购买电子商品的电子现金支付。 信托代理A的所有者决定用货币模块支付信托代理B的所有者，由于双方是远 程交易，所以A的所有者信托核实B的身份(步骤1002)。HTA与HTB相连 (步骤1004)。HTA将“支付”消息发送给它的信托代理(步骤1006)。HTB将“接 收支付”的消息发送给它的信托代理(步骤1008)。然后，A与B建立对话(步骤 1010)。
信托代理A检查B的证件(步骤1012)。该证件可以是驾驶证、信用卡或其 他可接受的证件。如果证件有效，并且对于A可以接受，则购买A将消息“B需 要A的证件吗？”发送给信托代理B(步骤1014-1016)。然后，至主机B将消息 “需要A的证件吗？”发送给HTB，以检查B是否需要A的证件(步骤1018- 1020)。如果需要，在B检查A的证件(步骤1022)。另外，可以使用各种类型的 证件。如果B不需要A的证件，则购买B通知信托代理A(步骤1024-1026)。
然后，购买A向信托代理B发送一份规定支付数额的汇款通知(如果是帐 单支付)或者仅发送所付数额(步骤1028-1030)。至主机B将该信息发送该 HTB，进行确认(步骤1032-1034)。如果未被确认，则中止交易(步骤1036)。如 果被确认，则购买B通知A(步骤1038-1040)。然后，开始货币模块支付(步骤 1042)。
                       争议
如果客户对某一交易不满意，信托代理120可以成为客户和商人的代理人 远程解决该争议。例如，如果发现某电子对象有缺陷，客户可以与商人联系，并输 入争议对话。如果电子商品是商人的信托代理4生效的，那么商人不能否认该电 子商品(因为这将被记录在客户信托代理的交易记录簿中)。
如果客户不满意与商人相互争议的结果，他可以向信托代理机构申诉。客户 的交易记录簿显示出商人首先拒绝争议。通过信托代理机构网208可将争议和 所附的文件递交信托服务器200。于是，该交互便类似于与商人信托代理4的交 互。大多数商人希望直接与客户解决争议而不希望客户借助信托代理机构的解 决过程。太多的争议会危及商人与信托代理机构之间的状态。
争议过程使客户出示电子商品，并证明该商品即是从商人那里购买的商品。 争议过程还保护商人不接受欺骗性的要求。商人可以通过核实客户信托代理2 接收了该商品来相信客户的信托代理2。然后，客户的申诉可以通过检查商品的 缺陷来解决。
图30示出了当信托代理A的所有者决定将电子商品退回给商人信托代理 B的所有者时(步骤1044)进行的过程。首先，HTA与HTB相连。HTA将“发出 争议”的消息发送给它的信托代理。HTB将“接收争议”的消息发送给它的信托 代理。然后，信托代理A与信托代理B建立安全对话(步骤1046-1052)。
信托代理A检查B的商人证件(步骤1054)。交易记录簿A通过至主机A 将其记录发送给HTA，从而所有者可以选择对哪个交易进行争议，并描述问题 的所在(步骤1056-1060)。至主机A从HTA接收争议信息(步骤1062)。然后， 储票器A将被选中票发送给起动争议(Imtiate dispute)A(步骤1064)。
起动争议A检查该争议是否涉及电子对象(步骤1066-1068)。如果没有 EO(只涉及票)，则起动争议A将票的拷贝连同争议信息发送给信托代理B(步 骤1070-1072)。解决争议B接收该消息，并且购买B验证该票(步骤1074- 1078)。如果票无效，则解决争议B将“票无效”的消息发送给起动争议A(步骤 1080-1084)。调用委托争议(Commit dispute)子程序(步骤1086)。
参照图31，信托代理A进行委托(步骤1156)。对话管理器A将确认消息发 送给对话管理器B(步骤1158-1162)。然后，信托代理B进行委托(步骤1164)。
但是，回过来参照图30，如果票有效(步骤1078)，则解决争议B将票和争议 信息发送给HTB。然后，商人再检查争议，并决定是否拒绝客户的争议(步骤 1088-1092)。如果拒绝，则解决争议B将“拒绝争议”的消息发送给起动委托争 议子程序的信托代理A(步骤1094，1082-1086)。
如果商人不拒绝争议，则HTB将询问可以解决办法的消息发送给HTA (步骤1096)。然后，客户选择他希望退款还是想获得新的商品(假设商人同意这 些选项)(步骤1098-1100)。
如果客户希望退款，则调用支付争议子程序(步骤1102)。参照图32，起动争 议A将“请求退款货币”的选项发送给信托代理B(步骤1168-1170)。解决争议 B接收给消息，并检查A的支付方式(步骤1172)。如果希望使用货币模块支 付，则调用货币模块支付子程序(步骤1174)。
如果希望用信用卡或借方卡退款，则购买B将带有退款数额的消息发送给 A(步骤1176-1178)。然后，调用基于认定的支付/退款子程序(包含在1180)。 参照图21，图中示出了退款时进行的流程图。如果正在进行退款交易(步骤704 -706)，则至主机B向HTA发送一消息，该消息包含信用卡或借方卡证件和被 退款的数额(步骤726)。进行卡的认定过程(步骤728)。然后，购买B检查该退 款是否被认定(步骤730-732)。如果未被认定，则中止交易(步骤702)。如果被 认定，则购买B将“退款被认定”的消息发送给信托代理A(步骤734，718)。然 后，信托代理B进行委托(步骤720)。接收到B的消息之后，储票器A用退款信 息更新该票(步骤722)。然后，信托代理A进行委托(步骤724)。
回过来参照图30，如果信托代理A的所有者不希望退款，而是选择了接收 新的商品，那么购买B向商品服务器请求商品(步骤1104)。商品服务器检索该 商品，并将其发送给信托代理B。购买B接收该商品，并验证其标识(步骤1106 -1110)。如果项目正确，再调用传递商品、打开商品和委托争议等子程序(步骤 1120-1124)。如果项目不正确，或者不能从商品服务器获得，那么解决争议B 将“没有商品”的消息发送给信托代理A(步骤1114-1116)。在这种情况下，进 行退款(步骤1118)。
如果商品争议涉及电子对象(步骤1066-1068)，则起动争议A从相关的解 密票中检索电子对象标识符。然后，至主机A命令HTA将电子对象发送给信托 代理A(步骤1126-1130)。然后，起动争议A将票的拷贝和EO连同争议信息 发送给B(步骤1132-1134)。解决争议B接收该消息(步骤1136)。然后，购买 B验证该票(步骤1138-1140)。如果票无效，则将此通知信托代理A，并结束争 议(步骤1080-1086)。如果票有效，则购买B使电子对象生效(步骤1142- 1144)。如果无效，则解决争议B通知信托代理A(步骤1146)，并结束争议(步骤 1082-1086)。如果电子对象有效，则对称密钥B对EO解密，并将其发送给 HTB进行测试。争议消息也被发送至HTB。(步骤1148-1152)。
HTB根据客户的申诉判断电子对象是否有缺陷。如果商人判定商品无缺 陷，则解决争议B通知信托代理A(步骤154)，并结束争议(步骤1082-1086)。 但是，如果商人判定商品有缺陷，则客户可以选择退款或新的商品(步骤1096- 1098)。
                 电子货币系统
PCT专利申请WO 93/10503中揭示了一种与上述系统结合进行公开电子 贸易的电子货币系统(EMS)。以下将描述对该ESM的各种改进和补充。
                     概述
PCT专利申请WO 93/10503中所用的“货币模块”一词本质上是交易货币 模块、出纳货币模块(teller money module)和货币发生模块。在较佳实施例中， 与信托代理120合作的前述货币模块6总体上与交易货币模块对应。在以下对 EMS的讨论中，再次在一般的意义上使用“货币模块”一词，即指交易货币模块、 出纳货币模块和货币发生模块。
货币系统的有效安全性有三个特征：禁止假冒品、检查假冒品和包含假冒 品。上述EMS被设计具有能表现所有这三个特征的部件。
为了禁止假冒品，货币模块用对称和非对称密钥加密术进行通信。没有一则 消息是明文的。模块的协议也被防窜改硬件直接保护起来。
通过各种票据协调过程检查假冒行为。整个系统范围的时间协议(例如，票 据有效期)迫使对电子票据进行定期的协调。当进行金融交易时，还要使电子票 据更新(即，用具有新截止日期的新票据代替)。
如果复制或假冒票据回过来与货币模块相联系时，要将货币模块阻断(例 如，将其列在坏ID的清单上)。另外，不允许传递已通过这些模块的票据。由于 票据截止或最终被存放在银行中，将允许传递复制或假冒的票据。再有，如果遇 到严重的系统安全问题，那么EMS可以要求进行全局的重新认证，从而要求所 有模块进行重新认证，包括下一次它们通过EMS网签名时的交易货币模块。
                   安全等级
参照图33A，EMS将具有两种类型的安全服务器，初级的1182和普通的 1184。初级安全服务器1182对(普通)安全服务器1184进行认证。安全服务器 1184对系统中所有其他的模块(交易MM 1186、出纳MM 1188、货币发生模块 1190和客户服务模块1192)进行认证。
初级服务器1182只与其他初级服务器1182或安全服务器1184进行交互。 参照图34，初级安全服务器1182安装在通过一安全局域网(LAN)1194相互连 接的安全设施中。LAN 1194通过安全网关与安全网1196相连。只有安全服务 器通过该网络进行通讯。所有安全服务器都是实际受到保护的器件。
安全服务器1184还与EMS网1198和银行本地网1200相连。安全服务器 被看作能综合平衡各模块间的所有交互进程并使它们生效。只有安全服务器 1184和模块具有证书。初级安全服务器的公开密钥由这些装置承载。存在两种 类型的证书：安全服务器和模块。
                  证书结构和生效
证书的结构如下： Cert(SS)＝EPSS〔SS(id)‖SS(PK)‖截止日期‖σPSS(X)〕‖PSS(id)XOR C〕
                - - - - - - - -X- - - - - - - - - Cert(M)＝ESS〔M(id)‖M(PK)‖截止日期‖σSS(Y)〕‖Cert(SS)
                - - - - - - - -Y- - - - - - - - -
证书生效协议为：
1)使Cert(SS)生效
a)PSS(id)＝〔PSS(id)XOR C〕XOR C
b)DPSS(EPSS(X‖σPSS(X)))＝X‖σPSS(X)
C)检查SS(id)是否真实(参见模块编号方案)
d)检查日期是否有效
e)检查是否DPSS(σPSS(X))＝h(X)
2)使Cert(M)生效
a)使Cert(SS)生效
b)DSS(ESS(Y‖σSS(Y)))＝Y‖σSS(Y)
c)检查M(id)是否真实(参见模块编号方案)
d)检查日期是否有效
e)检查是否DSS(σSS(Y))＝h(Y)
其中PSS＝初级安全服务器    PK＝公开密钥(包括密钥长度)
    SS＝安全服务器
    M＝模块                σ＝数字签名＝E·h
    ‖＝串接               Cert＝证书
    id＝标识号             E＝用于加密并创建数字签名的使用公开
                              密钥的算法
    h＝散列函数
    C＝所有模块共享的不变随机数
    D＝用于解密并检查数字签名的使用公开密钥的算法。
注意，当在其他应用中使用时，E和D还可分别用于解密和加密。
            模块编号方案(Module Numbering Scheme)
初级安全服务器1182、安全服务器1184、出纳货币模块1188、货币发生模 块1190、客户服务模块1192和具有货币模块1186被分配有标识号(id’s)，从而 可以检查这些标识号的真实性。产生48位的素数，并且通过保密过程找出本元 根“a”模p(其中，an 1(P)，对于所有1≤n＜p－1)。当进行制作时，初级安全服 务器将a和p都安全地装入系统中所有的模块中。
工作方案如下：如果an≡m(p)，并且
(1)1≤m≤99,999，那么n分配为初级安全服务器的id，
(2)100,000≤m≤999,999，那么n分配为安全服务器的id，
(3)1,000,000≤m≤6,999,999，那么n分配为出纳货币模块的id，
(4)7,000,000≤m≤9,999,999，那么n分配为货币发生模块的id，
(5)10,000,000≤m≤11,999,999，那么n分配为客户服务模块的id，
(6)m≥12,000,000，那么n分配为交易货币模块的id。
如果模块或者服务器正在验证一证书，那么它通过计算an≡m(p)来检查标 识号n(例如，M(id)，SS(id)，或者PSS(id))的真实性，然后检查m是否处于正 确的范围内。
                      安全网
如图34所示，安全网1196和安全LAN 1194使安全服务器1184与初级安 全服务器1182相连。安全服务器1184首先在制作时认证货币模块和客户服务 模块1192。这种安全服务器可以通过模块制造LAN 1202相连。它们将诸如坏 的id清单和初级安全服务器清单等安全信息以及它们的公开密钥传送给模块。 坏的id清单包括被制止交易的货币模块、客户服务模块和安全服务器的身份。 接下来，将在网络签名-接通(network sign-on)的流程图中描述对这些模块的 重新认证。
首先，由初级安全服务器1182在制造时对安全服务器1184进行认证。这种 初级安全服务器可以通过安全服务器制造LAN 1204相连。参照图33B，安全服 务器1184接收它们传送给其余模块的各种安全信息。安全服务器为EMS网 1198和银行LAN 1200提供安全服务，诸如传送更新后安全信息的网络签名- 接通。安全服务器1184通过安全网1196从初级安全服务器1182接收该信息。 交易货币模块1186通过网络服务器1206(NS)与EMS网1198通信。参加银行 使出纳货币模块1188以及可能的货币发生器1190与它们的LAN 1200相连。
对安全网1196进行链路加密。另外，初级安全服务器和安全服务器共享一 个公共的对称密钥(安全网加密密钥)。某个指定的初级服务器1182通过公开密 钥和密钥交换定期地使该密钥变化。初级服务器1182用其秘密密钥对对称密钥 加密，对密钥签名并通过安全LAN 1194将该变化传播通知其余的初级服务器， 并通过安全网1196将变化传播通知安全服务器1184。
指定的初级服务器1182保存坏id的清单。该清单是通过与参加银行、执法 当局和该系统的用户交互而累积起来的。
用于安全服务器和模块的公开密钥的长度将定期变化。一般，密钥的长度将 被加长到能够保持较高的安全级。某指定的初级服务器将把新指定的密钥长度 通知初级安全服务器。当发送新的坏id清单或正在重新认证时，初级服务器将 新的长度通知安全服务器。在安全性发生破坏危险的情况下，初级安全服务器可 以调用全局的重新认证。
每个初级服务器的公开密钥长度将不发生改变。将产生一个时间表，安排初 级安全服务器的执行和解除委托。新的服务器多数具有较长的密钥，除非它们因 交易量增长而执行。某一初级安全服务器创建现行PSS公开密钥的清单，并且 该服务器用其秘密密钥对清单加密。然后，将清单传播通知其他的安全服务器。
图35A示出了安全服务器1184的功能部件。外部接口功能1208为网络接 口提供了一通信层。对话管理器功能1210控制交易对话的安全方面。网络签名 -接通功能1212管理网络签名-接通的安全功能。创建证书功能1214对任何货 币模块的证书进行认证(位于初级安全服务器中，该功能对安全服务器进行认 证)。创建帐户分布(Create account Profile)功能1216对银行帐户分布进行认 证和签名，该分布允许货币模块进入该用户不同的银行帐户。分配认证密钥 (DiStribute certificatory Keys)功能1218将有效初级安全服务器公开密钥的证 书代理机构清单分配给货币模块(初级安全服务器还分配全局的认证信息)。控 制坏ID清单(Control Bad ID List)功能1220控制并分配坏标识符的清单。同步 日期/时间功能1222使货币模块的时钟/计时器服务与系统时间同步。时钟/计 时器1224和加密功能1226与货币模块中的那些功能相同。
图35B示出了网络服务器1206的功能部件。外部接口功能1228为网络接 口提供一通信层。通信对话管理器功能1230管理货币模块间以及货币模块与安 全服务器间的通信对话。网络签名-接通功能1232控制货币模块的网络签名-接 通过程。路由消息功能1234为消息的路由选择以及在签名-接通期间和货币模 块对话期间对消息路由选择的控制提供了直接服务。指向银行服务(Direct to Bank Services)功能1236提供参加银行所提供的服务信息。加密功能1238提供 对称密钥功能1240和随机数发生器功能1242。对称密钥功能1240对网络服务 器206与访问该网络的模块之间的消息以及网络服务器1206与安全服务器 1184之间的消息，进行加密。随机数发生器功能1424为加密密钥和核实消息产 生随机数。
                    网络签名-接通
以下参照图36，概述网络签名-接通过程。签名-接通协议描述了模块1243 以重新认证、存款、取款或其他理由希望进入EMS网1198时的情况。模块1243 可以是交易货币模块1186、出纳货币模块1138、货币发生器模块1188或客户服 务模块1192。(a)在模块1243与网络服务器1206之间建立通信。(b)将模块的 证书传送给网络服务器1206。(c)网络服务器1206产生一核实随机数V和一随 机密钥K；然后，网络服务器将模块的证书、V和K传送给(经NS/SS密钥加密 的)安全服务器1184。(d)模块1243和安全服务器1184(通过对话密钥(MM/ SS))建立一安全的通信对话。(e)安全服务器1184传送时间/日期、更新的坏ID 清单、更新的初级安全服务器公开密钥的清单、公开密钥长度、全局重新认证 (如果需要)以及被重新认证的货币证书(如果需要)。(f)用模块1243结束对话， 并将V和K发送给模块1243。(g)用K对V加密，并将其发送给网络服务器 1206。(h)网络服务器1206向模块1243确认网络签名-接通。(i)然后，模块1243 通知网络服务器1206它希望连接的目标(如果有的话)。(j)网络服务器1206与 该目标建立连接。
网络签名-接通的设计使得任何人都不能欺骗模块1243或者不受限制的截 取其任何信息。图37描述了网络签名-接通过程的详细流程。
通信A与EMS网络1198建立通信(步骤1244)。保持安全性(Maintain Se- curity)A将其证书发送给网络服务器1206(步骤1246)。NS网签名-接通接收该 证书(步骤1248)。NS随机数发生器产生随机密钥K和认证随机数V(步骤 1250)。NS对称密钥用NS/SS密钥对模块的证书、K和V加密(步骤1252)。 NS/SS密钥是设在为网络签名-接通提供通信的网络服务器1206和安全服务 器1184内的本地对称密钥。NS网签名-接通将证书、K和V发送给安全服务器 1184，在安全服务器1184处，SS网签名-接通接收该消息并且SS对称密钥将该 消息解密(步骤1254-1258)。SS网签名-接通存储K和V，然后将模块证书发 送给SS公开密钥，使之生效(步骤1260-1264)。
如果模块证书无效，那么SS网签名-接通产生拒绝传输的消息，发给网络服 务器1206和模块1243(步骤1266)。SS公开密钥用模块的公开密钥对发给模块 243的消息进行加密，并且SS对话管理器将这些消息发送给网络服务器(步骤 1268-1270)。NS网签名-接通接收消息和被拒绝存取的票据。然后，将加密后的 消息发送给模块，并断开网络服务器。(步骤1272)。对话管理器A接收消息，公 开密钥A将消息解密，并且对话管理器A记下签名-接通被拒绝(步骤1274- 1278)。如果请求签名-接通的装置是一交易货币模块，那么至用户A通知用户 (步骤1280-1282)。否则，至银行A通知银行(步骤1284)。
另一方面，如果模块的证书有效，那么SS控制坏ID清单检查该模块的id 是否在坏id清单上(步骤1286-1288)。如果id在清单上，则拒绝进入网络。否 则，SS随机数发生器产生随机数R和核实消息(步骤1290)。网络签名-接通将 R、核实消息和安全服务器的证书汇编成一则消息，SS公开密钥用A的公开密 钥对该消息加密(步骤1292-1294)。将消息发送给A，在A处，公开密钥A将 该消息解密，并使安全服务器证书生效(步骤1298)。
如果证书无效，则A记下对话终止，并通知用户或银行(步骤1304-1306)。 如果证书有效，则保持安全性A检查安全服务器的id是否在坏id清单上(步骤 1308-1310)。如果在清单上，再终止对话(步骤1300-1306)。如果不在清单上， 则随机数发生器A产生随机数R(A)(步骤1312)。保持安全性A通过R(A)与 R的异或运算形成对话密钥(MM/SS)，然后存储该对话密钥(步骤1314)。
汇编包含核实消息和R(A)的消息，并用安全服务器的公开密钥对其加密 (步骤1316)。对话管理器A将该消息发送给SS网签名-接通，并且SS公开密钥 将消息解密(步骤1318-1322)。
SS网签名-接通核实该核实消息是否是其产生的那一则消息(步骤1324- 1326)。如果不是，则安全服务器拒绝进入网络。如果核实消息是正确的，则SS 对称密钥通过R(A)与R的异或运算形成对话密钥(MM/SS)。SS对话管理器 记下对话开始，并通过发送消息子程序向A确认(步骤1330-1332)。对话管理 器A接收该确认，并记下对话开始(步骤1334)。
时钟/计时器A将时间和日期发送给对话管理器，对话管理器将其发送给 安全服务器(步骤1336-1340)。SS同步日期/时间接收该时间和日期，并检查 它是否在参数内(步骤1342-1344)。如果不在参数内，则SS同步日期/时间将 一新的时间和日期发送给对话管理器A(步骤1346-1350)。然后，时钟/计时器 A调整时间和日期(步骤1352)。然后，A将其日期和时间重新发送给安全服务 器，进行重新检查。如果时钟同步进行的次数超过了某一设定次数，那么将时钟 出错的消息汇报给用户或银行，然后如果需要，用户或银行可以重新尝试(步骤 1354-1362)。
但是，如果时间和日期在参数内，则SS网签名-接通汇编包含坏id清单、新 的初级安全服务器公开密钥的清单(它来自分配认证密钥功能)，和公开密钥长 度(定期改变公开密钥的大小)的消息(步骤1364)。SS创建证书检查是否已调 用了全局重新认证，并且确认用于全局重新认证的时间期还未到期(步骤1366 -1368)。该时间期应当足够长，以便每个人的证书都已重新认证或期满。该功 能还应该检查模块最近一次是何时进行重新认证的，因为如果它是在全局重新 认证的时间期被认证的，那么就不需要再重新认证了。
如果需要进行重新认证，那么SS创建证书将“模块应当重新认证”的消息 添加至先前的消息中(步骤1370)。然后，无论是否进行重新认证，SS公开密钥 都对该消息签名(步骤1372)。将消息发送给A，在A处，公开密钥A检查该消 息上的数字签名(步骤1374-1378)。如果签名无效，则中止对话。如果签名有 效，则公开密钥A用现有的PSS公开密钥将初级安全服务器公开密钥解密(步 骤1380)。更新后的初级安全服务器公开密钥的清单原先是用原始的初级安全 服务器的秘密密钥加密的。然后，保持安全性A更新其坏id清单、公开密钥清单 和密钥长度(步骤1382)。
然后，模块A检查其证书是否需要被重新认证(或者因为全局重新认证的 命令，或者由于是一到期的证书)(步骤1384-1386)。如果需要新证书，则保持 安全性A开始生成一新的证书(步骤1388)。公开密钥A产生新密钥，并用其旧 的公开密钥对新公开密钥签名(步骤1390)。对话管理器A将签名后的新公开密 钥发送给安全服务器的SS创建证书(步骤1392-1396)。然后，SS公开密钥验 证新公开密钥上签名(步骤1398-1400)。如果签名无效，则安全服务器拒绝进 入网络。如果签名有效，则SS公开密钥对模块新证书签名，并将其发送给模块 (步骤1402)。对话管理器A接收该证书，保持安全性A负责使证书生效，并且 公开密钥A使签名生效(步骤1404-1410)。
如果证书无效，则对话管理器A将“证书无效”的消息以及该证书发送给安 全服务器(1412)。SS网络签名-接通接收该消息，并且SS公开密钥验证该签名 (步骤1414-1418)。如果安全服务器判定证书实际上是有效的，则它会拒绝模 块进入网络。但是，如果证书无效，则SS对过管理器通知网络服务器它将与网 络断开(步骤1420)。NS网络签名-接通将出错通知模块(步骤1422)。然后，模块 询问用户或银行是否再作尝试(步骤1424-1432)。
另一方面，如果，模块判定其新证书有效，则对话管理器A将一确认发送给 安全服务器(步骤1434)。同样，如果不需要新证书，则保持安全性A将一确认消 息发送给安全服务器(步骤1436-1438)。在任何一种情况下，SS对话管理器接 收该确认，并记下其与模块的对话结束(步骤1440)。然后，SS网签名-接通将K 和V发送给A(步骤1442-1444)。对话管理器A接收该消息，并且对称密钥A 用K对V加密，并将消息发送给网络服务器(步骤1446-1448)。NS网签名-接 通接收给消息，并且NS对称密钥将消息解密，并检查V是否与其原先产生的V 相同(步骤1450-1454)。
如果V不正确，则NS网签名-接通将拒绝进入的消息发送给A，然后断开 (步骤1456-1458)。如果V正确，则NS网签名-接通将一确认发送给A(步骤 1460)。最后，对话管理器A接收该确认，并记下A已签名接通EMS网1198(步 骤1462)。
                   建立对话
图38生成了建立对话协议。对话管理器A检查是否需要与货币模块或安 全服务器相连(步骤1464-1466)。如果需要连接，则对称密钥A用密钥K对所 需的目标加密(步骤1468)。对话管理器将被要求的目标发送给网络服务器(步 骤1470)。然后，网络服务器建立一至目标B的链路，并发送一确认，该确认被对 话管理器A接收(步骤1472-1474)。
保持安全性A将其证书发送给对话管理器A，对话管理器A再将其发送给 B(步骤1476-1478)。对话管理器B接收该证书，并且保持安全性B(如果B是 安全服务器，则由对话管理器执行该功能)验证该证书(步骤1480-1484)。如果 证书无效，则对话管理器B记下对话中止，并且通知用户或银行(步骤1486- 1492)(如果B是安全服务器，则B只记录交易中止)。
如果证书有效，则保持安全性B检查A是否在坏id清单上(步骤1494- 1496)。如果A在清单上，则中止对话。如果A不在清单上，则随机数发生器B产 生随机数R(B)和一B核实消息(步骤1498)。时钟/计时器B检索时间和日期 (步骤1500)。保持安全性B将R(B)、B核实消息、时间和日期，以及B的证书汇 编成一消息(步骤1502)。公开密钥B用A的公开密钥对该消息加密，并且对话 管理器B将消息发送给A(步骤1504-1506)。
对话管理器A接收该消息，公开密钥A将消息解密，并且保持安全性A验 证B的证书(步骤1508-1514)。如果证书无效，则对话管理器A记下对话中止， 并通知用户或银行(步骤1516-1522)。如果证书有效，则保持安全性A检查B 是否在坏id清单上(步骤1524-1526)。如果B在清单上，则中止对话。如果B 不在清单上，则保持安全性A检索日期和时间，并将其与B的日期和时间比较 (步骤1528-1530)。如果日期和时间超出了范围，则中止对话。
如果日期和时间处于范围内，则随机数发生器A产生随机数R(A)和一A 核实消息(步骤1532)。然后，保持安全性A通过对R(A)与R(B)的异或运算形 成一对话密钥(步骤1534)。将A核实消息、B核实消息、时间、日期和R(A)汇编 成一消息，并用B的公开密钥对之加密(步骤1536)。对话管理器A将该消息发 送给B(步骤1538)。对话管理器B接收该消息，公开密钥B将消息解密，并且保 持安全性B检查B核实消息(步骤1540-1546)。如果B核实消息不正确，则中 止对话。如果B核实消息正确，则保持安全性B通过对R(A)与R(B)的异或运 算形成对话密钥(步骤1548)。检索时间和日期，并将其与A的时间和日期比较， 以检查它们是否都在各自预定的范围内(步骤1550)。如果时间和日期超出范 围，则中止对话。如果时间和日期在范围内，则对话管理器B记下对话开始(步 骤1552)。
然后，对话管理器B将一确认和A核实消息发送给A(步骤1554-1556)。 对话管理器A接收该消息，并且保持安全性A检查A核实消息(步骤1558- 1562)。如果核实消息不正确，则中止对话。如果核实消息正确，则对话管理器A 记下对话开始(步骤1564)。
                      传递票据
图39示出了传递票据协议。票据目录X选择票据和传递值(步骤1566)。例 如，选择传递票据可能的目的有：(1)使数字签名数最少(数字签名需要处理时 间)；(2)使数据包(packet)的大小最小；(3)使电子票据留给传递用户的有用性 最大(即，用到期前所留下的最短时间来传送票据)。用以下票据传递算法可以实 现这些目的：(1)确定所含票据数最少的所有可能变化；(2)确定这些变化中哪一 种的传递次数最少；(3)如果步骤2的选择不止一个，那么选择货币单位天 (monetary unit days)数最小时的情况。其中货币单位天数＝被传递票据的剩余 值乘以票据截止前所留的天数，并对数据包中的所有票据求和。
票据X产生一传递，添加至每个正被传递的票据(步骤1568)。公开密钥X 为票据产生签名(步骤1570)。然后，包管理器X将票据与其新的传递和包中的 签名汇编，并将包发送给Y(步骤1572-1574)。包管理器Y接收该数据包，并对 其反汇编(步骤1576)。
核实Y使票据中所有的证书生效(例如，货币发生器证书和所有的传递证 书)。然后，通过确认转让方和受让方在整个电子票据历史中配对，来核实证书的 所有传递。另外，要检查被传递的总数，以确保它们是所希望的数值(步骤1578 -1580)。如果无效，则中止交易(步骤1582)。
如果有效，并且Y是交易货币模块，则核实机Y核实票据的截止日期(步骤 1584-1588)。如果票据到期，则中止交易。如果未到期，则核实机Y对照坏id清 单检查票据传递的每个id(步骤1590-1592)。如果有任何传递id在坏id清单 上，则中止交易。
如果传递id不在坏id清单上(或者Y不是交易货币模块)，则公开密钥Y 核实票据签名的有效性(步骤1594-1596)，如果签名无效，则中止交易。如果签 名有效，则票据Y将票据放在储票器中(步骤1598)。最后，票据目录Y更新票 据的位置和数量(步骤1600)。
                   外汇兑换
图40示出了用美元和英镑作为货币单位进行的外汇交易协议。首先，A同 意以$/￡的汇率用美元($)与B兑换英镑(￡)(步骤1602)。然后，A和B在其 货币模块上签名，并提示其用户选择交易的类型(步骤1604-1610)。A选择买 外汇，而B选择卖外汇(步骤1612-1614)。A和B建立-安全的交易对话(步骤 1616-1620)。
至用户A提示A的所有者/持有者输入他希望用美元货币类型兑换的数量 (步骤1622)。支付/兑换A接收该数值，并票据目录A检查A是否有足够的资 金(步骤1624-1628)。如果资金不足，则至用户A提示输入新的数值，再将其与 现有的资金对照检查(步骤1630-1632)。如果没有输入新的数值，则中止交易 (步骤1634)。
如果资金充足，则支付/兑换A将美元数发送给B(步骤1636-1638)。然 后，至用户B提示B的所有者/持有者选择他希望兑换成美元的英镑数，或者单 单选择对美元的汇率(步骤1640)。票据目录B检查资金是否充足(步骤1642- 1644)。如果资金不足，则至用户B提示输入新的汇率，然后再检查现有资金是 否充足(步骤1646-1648)。但是，如果没有选择新的汇率，则支付/兑换B通知 A其资金不足(步骤1650-1652)。然后，A可以选择新的数额进行兑换，或者中 止交易(步骤1630-1634)。
如果B有足够的资金进行交易，则支付/兑换B向A确认，并将兑换的英镑 数发送给A(还发送等价汇率)(步骤1654-1656)。至用户A提示对英镑数和汇 率进行核实(步骤1658-1660)，如果数量和汇率不正确，则支付/兑换A通知B 数额和汇率不正确(步骤1662-1664)。至用户B随后提示一个新的汇率(步骤 1666-1668)如果不选择新的汇率，则中止交易(步骤1670)。
但是，如果A核实到交易的数额和汇率是正确的，则支付/兑换A将美元数 传送给储币器(步骤1672)。然后，将美元票据从A传递给B(步骤1674)。支付 /兑换B将英镑数传送给它的储币器(步骤1676)。然后，将英镑票据从B传递给 A(步骤1678)。
交易至此时，A和B都暂时拥有正确数额的外汇票据。A和B都参与了两 次传递：A传递：(1)A将美元传递给B；(2)A接收来自B的英镑。B传递：(1)B 将英镑传递给A；(2)B接收来自A的美元。为了完成外汇交易，A现在必须委 托(即，结束并永久记录在它的交易记录簿中)它的两次传递。同样，B也必须委 托它的两次传递。注意，A可以分开委托外汇传递A→B(美元从A至B)和B→ A(英镑从B至A)。类似地，B可以分开委托外汇传递A→B和B→A。
外汇兑换协议下一部分的设计使得任何一方都无法知道交易货币模块将委 托的次序。这种不确定性将阻止各方故意窜改交易。作为背景知识，函数S(X) 是这样定义的，即S(0)＝A，而S(1)＝B，其中A和B是指货币模块A和B。因 此，如果X被随机选为0或1，则随机表示货币模块A或B。
用以下程序允许A和B共同建立一随机数X。R(A)和R(B)是在建立对话 子程序期间分别由A和B产生的。确定R(A)异或R(B)的奇偶性(通过对R (A)和R(B)的每一位进行异或运算)。该奇偶性即是随机数X。X是X的补数 ( X＝X异或1)。
再参照图40，交易记录簿A有条件地更新其交易记录，以记录S(X)至S ( X)的传递(步骤1680)。如果对X计算得到0，则有条件地记录A至B的传递 (即，美元传递)。如果对X的计算得到1，则有条件地记录B至A的传递(即，英 镑传递)。由于记录簿是有条件地记录的，所以即使货币模块A中止交易，记录 薄可退回重新记录。一旦将记录簿更新设定为无条件的(或者如流程图中清楚显 示的，或者在委托中隐含的)，那么更新后的记录簿就变成永久的了。然后，对话 管理器A将“记录簿被更新”的消息发送给B(步骤1682-1684)。作为应答，交 易记录簿B也有条件地更新其记录，以记录下S(X)至S( X)的传递(步骤 1686)。
如果X＝1，则交易记录簿B将记录更新设定为无条件(步骤1688-1690)。 因此，这时，B已委托将其英镑传递给A。接下来，参照图41，B遵循以下将描述 的委托协议(步骤1692)。在该情况下，A将委托其两次传递(即，传递美元和接 收英镑)，而B将委托它的一个未完成(未委托)传递，即接收美元。
但是，如果X＝0(步骤1688)，则对话管理器B将“开始委托”的消息发送给 A(步骤1694-1696)。然后，记录簿A将其记录更新设定为无条件(步骤1698)， 由此委托其美元的传递。然后，调用图41的委托协议(步骤1700)。在(下述的) 这个协议期间，B委托它的两次传递(即，传递英镑和接收美元)，而A委托它的 一个未完成传递，即接收英镑。
由此，外汇协议确保了任何一方都无法知道将先委托谁的传递(A的美元 传递或B的英镑传递)。这减少了对窜改交易的刺激。
                    委托(模块)
图41示出了模块的委托协议。对话管理器X将“准备委托”的消息发送给 Y(步骤1702-1704)。这向接收消息的模块传送了委托的义务。在常规的货币 传递情况下，用这种首先传送委托宗旨的技术确保传递货币的一方首先委托，从 而避免了复制货币的可能性。
然后，对话管理器Y向X确认(步骤1706-1708)，并通过更新其交易记录 簿委托任何未完成的交易(步骤1710)。另外，如果Y是交易货币模块，则至用户 Y通知用户交易成功(步骤1712-1714)。对话管理器Y记下对话结束(步骤 1716)。
交易记录簿X接收来自Y的确认，并更新其交易记录簿，从而委托任何未 完成的传递。X以与Y相同的方式完成其委托(步骤1718-1724)。
                  中止交易(模块)
图42示出了模块的中止交易协议。对话管理器X使变化复原，并记下交易 中止(步骤1726)。然后，对话管理器X检查是否已发送了“准备委托”的消息(步 骤1728-1730)。如果已发送，则X更新其交易记录簿(步骤1732)，更新方法是 在发送准备委托消息之后记录下X委托，并记录下传递票据协议期间所接收到 的每张票据的票据标识符和数额。因此，当在委托子程序失败期间调用中止子程 序时中止协议记录了消息。
如果X是交易货币模块1186，“准备委托”消息发送过了，则至用户X通知 其用户交易中止且可能会有货币传递差错(步骤1734-1738)。
如果X是出纳货币模块1188，则至银行X通知银行它应该(通过适当的借 贷)反转它的帐户交易(步骤1740-1742)。如果X是交易货币模块1186，并且 未发送准备委托的消息，则至用户X通知用户交易中止(步骤1744)。
随后，在任何情况下，对话管理器X向Y发送没能完成交易的消息(步骤 1746-1748)。对话管理器Y使其变化复原，并记下交易中止(步骤1750)。然后， Y通知其用户交易中止(步骤1752-1754)，或者通知银行反转其会计交易(ac- counting transaction)(步骤1756-1758)。
如前所述，如果一宗在委托协议期间被中断，那么将可能丟失票据。如果发 生了这种情况，受让方将中止，而转让方将委托传递票据。在这种情况下，受让方 货币模块记录下有关其应已接收到的票据的消息，并通知用户存在潜在的问题 (即，它没有接收到A所发送的票据)。应当注意，在这种情况下，就转让方货币 模块而论，它适当地传递了票据。
然后，受让方货币模块用户可以向认证代理机构索赔。该索赔信息将包括失 败交易的记录簿记录。然后，认证代理机构会借助发行银行检查票据是否已被协 调。如果在一段时间后仍未协调票据，则用户可以重新索要其货币。
                      POS支付
图43示出了销售点(POS)支付协议。POS支付协议试图简化买方交易货 币模块1186和商人交易货币模块1186之间进行的支付。例如，商人交易货币模 块1186可以安装在超市的现金出纳机中。
首先，A同意向B购买商品或服务(步骤1760)。交易货币模块A的所有者 /持有者在其货币模块上签名(步骤1762)。至用户A提示所有者/持有者进行交 易，并且A选择使用POS支付方式(步骤1764-1766)，同时，商人决定总的购 买价格(步骤1768)。至用户B提示进行交易，并且B选择接收POS支付(步骤 1770-1776)。
至用户B提示支付的数额，并且支付/兑换B接收该数额，并将其发送给A (步骤1778-1782)。然后，至用户A提示其用户对所需的数额进行核实(步骤 1784-1786)。另外，要求用户选择其将支付的票据和数额，使总数与所需数额相 等。如果所需数额不正确，则支付/兑换A向B发送表示所需数额不正确的消息 (步骤1788-1790)。然后，至用户B提示其主人输入新的数额(步骤1792- 1794)。如果没有选择新的数额，则中止交易(步骤1796)。
如果所需数额正确，则支付/兑换A接收票据形式的数额(步骤1798)。然 后，票据目录A检查资金是否充足(步骤1800-1802)。如果资金不充足，则至用 户A提示输入新的票据形式的数额(步骤1804-1806)。如果没有输入新的数 额，则支付/兑换A向B发送资金不足的消息(步骤1808，1790)。至用户B提示 主人输入新的数额(步骤1792-1794)。如果没有选择新的数额，则中止交易(步 骤1796)。如果选择了新的数额，则再次开始支付交易。
如果资金充足，则支付/兑换A将该数额传送给储币器(步骤1810)。然后， 将票据从A传递至B(步骤1812)。最后，交易货币模块进行委托(步骤1812)。
可见，由于这种支付方式是从收款方开始的支付，所以对买方来说，简化了 POS支付。
                    结合帐户
图44示出了通过创建或更新帐户分布(account profile)来连接帐户的协 议。客户通过使用该结合帐户(link accounts)协议能将他/她的交易货币模块与 他/她在银行中帐户联系起来(还可以将相应银行中的出纳货币模块1188与其 在发行银行中银行帐户联系起来)。帐户分布由交易货币模块1186(或出纳货币 模块1188)承载，用于进入每个被结合的帐户。银行的安全服务器1184将对该 分布签名。由于当客户货币模块递交帐户分布时，银行可以检查其数字签名，所 以银行不需要保存每个客户进入的清单。该方法与目前使用ATM或信用卡进 入的方法相比提高了安全性。
客户服务模块1192(CSM)是用于创建和更新帐户分布的防窜改装置。 CSM 1192包括一类似于货币模块和安全服务器中的专用证书。CSM可以与其 他模块(例如，安全服务器)建立安全对话。
为了结合帐户，交易货币模块1186的所有者亲自去银行，并使其货币模块 与银行的网络1200相连。参照图44，货币模块选择银行入口以连接帐户(步骤 1816)。然后，货币模块1186与安全服务器1184建立安全对话(步骤1818)。然 后，货币模块将接收帐户的请求连同其当前的银行分布(bank profile)(如果有 的话)发送给安全服务器(步骤1820)。安全服务器接收该结合请求(和银行分 布)(步骤1822)。安全服务器与客户服务模块1192建立对话(步骤1824)。然后， 安全服务器将结合请求(和银行分布)发送给CSM(步骤1826)。
然后，交易货币模块的所有者将其身份证递交该银行的客户服务代表(步骤 1828)。客户服务代表输入客户的姓名，并且CSM从银行系统中取出客户的帐 户清单(步骤1830)。然后，货币模块的所有者选择货币模块进入的要结合的帐 户(步骤1832)。CSM记下被结合的帐户(步骤1834)。然后，货币模块所有者和 客户服务代表检查帐户连接(步骤1836-1838)。如果帐户结合不正确，则中止 CSM至安全服务器的对话和安全服务器至货币模块的对话(步骤1840- 1842)。
如果帐户结合正确，则CSM 1192将帐户分布发送给安全服务器1184(步 骤1844)。安全服务器1184对该新的(或被更新的)分布进行数字签名(步骤 1846)。然后，安全服务器1184将签过名的分布发送给货币模块1186(步骤 1848)。最后，委托货币模块至安全服务器的交易(步骤1850)，并委托安全服务 器至CSM的交易。(步骤1852)。
在以上叙述中，显示并描述了本发明的较佳实施例，但应理解，本发明能用 于各种其他的组合和环境，并且能在这里表述的发明概念的范围内进行变化或 改变。