用于消费者中心信息的安全进入及鉴权的系统和方法.pdf

用于消费者中心信息的安全进入 及鉴权的系统和方法
    【相关申请的交叉引用】

    本申请要求2001年5月29日提交的下述美国临时专利申请的利益：申请号为60/294,499、名称为“A Method and Apparatus for Gaming Console USB PortAuthentication and Authorization(用于游戏控制台USB端口的鉴权和授权的方法和设备)”；申请号为60/294,493、名称为“A Method and Apparatus for an IntegratedBiometric Gaming Console Model(用于集成的生物测量的游戏控制台模型的方法和设备)”；以及申请号为60/294,491、名称为“A PKI-Enabled Method andApparatus for a Gaming Console User Identity and Payment Model(用于游戏控制台用户身份和支付模型的PKI使能的方法和设备)”，所有上述申请都列出了相同的发明人，其公开内容都被包含于此作为参考。

    背景技术

    电子商务正在得到广泛地使用。事务处理每天都经由Internet和通过销售点(POS)或银行系统进行。通常，在请求访问某种信息的人得到鉴权并准许此人访问他的私有信息之后进行此种事务处理，所述私有信息可以是诸如金融、医疗或其他类型的受限制的记录。现有地系统被设计为保持用户的信用卡、借记卡(debit card)以及账号的完整性。然而却没有采取措施来确保用户的安全鉴权，以便防止潜在的窃贼未经授权的访问。

    目前，提供对敏感信息的访问的应用是基于一种能够被潜在的窃贼较容易窃取的信息。例如，目前准予访问敏感材料所要求的信息很容易得到，所述信息是诸如一个人的社会保障号、出生日期或娘家姓(mother maiden′s name)。一旦潜在的窃贼收集到任意两条所述信息，该贼就可以获准访问此人的金融、医疗或其他私有信息。此外，大多数安全访问系统被设置成：一旦它们收到合适的密码和/或对安全问题的正确答案，就泄露个人的全部文件。因此，潜在的窃贼可以窃取此人的身份和毁掉此人的信用。

    目前，已有的游戏控制台或机顶盒通常被设计成与预购的、物理插入游戏控制台的游戏媒体一起使用。大多数现有的游戏控制台没有被构造成与诸如销售点、使用点等等的远程装置进行金融事务处理。

    【发明内容】

    描述了一种提供安全事务处理的系统和方法，以及通过游戏控制台的鉴权系统。本发明允许消费者利用游戏控制台进行安全事务处理以及使用所述游戏控制台鉴权该消费者的身份。在一个实施例中，本发明包括：一个游戏控制台，供一消费者使用；一个生物测量垫，耦合至该游戏控制台，用于接收来自该消费者的生物测量输入以鉴权该消费者的身份；以及耦合至该游戏控制台的控制垫，以便由消费者输入信息。

    【附图说明】

    本发明通过例子加以说明，但并不局限于附图中的图形，其中相同的标记表示相同的部件，并且其中：

    图1是安全事务处理系统的一个实施例的简化框图。

    图2是用于个人事务处理装置的保密卡的一个实施例的简化框图。

    图3是用于个人事务处理装置的数字钱包的一个实施例的简化框图。

    图4是示出了销售点终端的安全事务处理系统的一个实施例的简化框图。

    图5是事务处理保密票据交换所(transaction privacy clearing house)的一个实施例的简化框图。

    图6示出了游戏控制台的一个实施例。

    图7示出了游戏控制台的另一个实施例。

    图8示出了简档信息(profile information)的一个实施例。

    图9示出了用于执行初始化的一个实施例的流程图。

    图10示出了用于执行实时支付模型的一个实施例的流程图。

    【具体实施方式】

    在下面以说明为目的的描述中，陈述了大量细节，以便于透彻地理解本发明。然而本领域的技术人员应该明白，为了实施本发明，这些具体细节并不是必不可少的。在其它实例中，以框图形式示出了公知的电子结构或电路，以免使本发明被不必要地遮蔽。

    一种用于经由游戏控制台的消费者信息的安全进入和鉴权的系统和方法允许消费者在使用游戏控制台时、在完成任务的过程中有更大的灵活性。例如，所述系统和方法使安全的金融事务处理能够通过游戏控制台完成。在一个实施例中，可能为游戏控制台获得内容并且使该内容被游戏控制台利用，同时在事务处理的中途(mid-stream)期间自动进行向零售商的支付。换句话说，所述系统和方法使这些支付能够实时进行，并使消费者在接收商品或消费该服务的同时能够支付给零售商。在一个实施例中，所述系统和方法也考虑到了用户鉴权，诸如通过生物测量标识(biometric identification)、权标交换(tokenexchange)、PIN进入(PIN entry)等等。在一个实施例中，本发明结合一安全的事务处理交换(secured transaction exchange)、受控的内容访问等一起运行。

    可以通过多种方式实现用户身份的安全性。在一个实施例中，是单个的可信任地点(single trusted location)。例如，事务处理保密票据交换所(TPCH)包含用户数据。所述用户利用用户的事务处理装置与TPCH相接口。由此，用户无需在每个产品卖主的网站上在线地填写该电子购物表格。所述TPCH充当金融事务处理中间人的角色，从而从事务处理中去掉了用户身份信息。作为结果，用户的私有信息不被存储在Internet上和私有商业网络中的几个数据库内。该存储金融数据的安全地点将黑客(hacker)能够访问数据的可能性减到最小或将可能发生意外发布数据的可能性减到最小。在一个实施例中，利用多个安全地点进行存储以防止机密信息的盗取。

    图1是安全事务处理系统的一个实施例的一个简化方框图，所述安全事务处理系统可被用于电子商务。如图1所示，在该实施例中，事务处理保密票据交换所(TPCH)115与用户(消费者)140和卖主125相接口。

    在该特定实施例中，一个个人事务处理装置(PTD)170(例如一个保密卡105或一个耦合至数字钱包150的保密卡105)被用来在使得用户能够进行事务处理的同时保留用户的隐私。所述个人事务处理装置170可以包括一个窗接口(window interface)、一个保密卡、一个数字钱包、一个销售点终端、一个膝上型计算机、一个台式计算机、一个PDA或者任一其它受控于用户140的装置。

    个人事务处理装置170为用户交换信息提供了一个接口。所述信息的交换可以包括但不限于用户140从个人事务处理装置170接收音频和/或可视内容、指令、请求等等。此外，所述信息的交换也可以包括但不限于个人事务处理装置170从被授权的用户140接收指令、支付授权、鉴权等等。

    在一个实施例中，个人事务处理装置170是商场的信息站里的固定窗接口。如果装在公共运输工具上或装在公共区域中，则移动窗接口和固定窗接口都可以为公众所使用。在一个实施例中，移动窗接口和固定窗接口都向用户显示信息，并允许用户通过同一显示器输入信息。在一个实施例中，用户鉴权机制，诸如指纹识别单元或其它机制，可被直接嵌入卡中。此外，个人事务处理装置1 70也可以含有无线数据通信、数据存储和通信协议，以便选择地与外部装置通信，所述外部装置是诸如在此描述的数字钱包、销售点终端、或者个人计算机以及数字电视。

    在一个实施例中，所述个人事务处理装置170被配置为管理和控制访问内容和/或事务处理，所述内容和/或事务处理是由与个人事务处理装置的用户相关的个人帐户接收的。在一个实施例中，所述个人事务处理装置170被配置为通过输入与特定帐户相关的唯一的生物测量标识符来控制该个人帐户。而且，所述用户可以通过由个人事务处理装置170输入唯一的生物测量标识符而选择不同的信息。

    在一个替代实施例中，通过所述PTD170实现帐户管理和访问内容的控制。所述PTD170可以指定不同的内容访问级别给特定的帐户，并可以把帐户放入简便的组中用于帐户管理。

    在一个实施例中，个人事务处理装置170被配置为自动处理上下文信息(contextual information)并与代表该用户的适当的各方共享该信息。

    在一个替代实施例中，所述PTD170可以是允许自由访问TPCH115的任一合适的装置。在一个实施例中，个人事务处理装置170可以包括覆盖该卡一侧的全屏幕。可替换地，在一个实施例中，其中个人事务处理装置170是保密卡的一个实施例，所述保密卡可以被耦合到诸如在此所描述的数字钱包这样的、提供一个显示器的装置。在一个实施例中，所述屏幕可以是触敏的并被用于数据输入和输出。在一个实施例中，诸如指纹识别或其它机制的用户鉴权机制可以被直接嵌入所述卡中。而且，所述保密卡可以有用于输入和输出的无线通信机制。

    可以使用多种用户接口。并且在一个实施例中，输入装置可以结合在事务处理装置上。可替换地，辅助输入装置可以被耦合至事务处理装置。在一个实施例中，可以在耦合至保密卡的数字钱包上提供一个输入装置。可以在包括个人销售点终端的销售点终端上提供用户输入。

    所述个人事务处理装置信息被提供给TPCH115，然后TPCH115指示卖主125和用户140批准所要进行的事务处理。所述事务处理装置通过运用所述事务处理装置标识和正在进行事务处理的实体的身份、而利用一个标识来保持该用户身份的机密性。这样，从卖主的角度看，所有的事务处理都是通过所述事务处理装置进行的。

    为了保持用户140身份的机密性，所述事务处理装置信息不提供用户标识信息。这样，卖主125或者其它实体就不会具有用户信息，而是具有事务处理装置信息。所述TPCH115保存有事务处理装置信息和用户信息的安全数据库(secure database)。在一个实施例中，所述TPCH115与至少一个金融处理系统120相接口，以便进行相关的金融事务处理，诸如确认在卖方帐户125的足够的资金以便进行反向支付事务处理(reverse payment transaction)，并把所需的资金划拨给用户140以完成事务处理。在另外一个实施例中，所述TPCH115与至少一个金融处理系统120相接口，以便进行相关的金融事务处理，诸如核实足够的资金以进行事务处理，并把所需费用划拨给卖主125以完成事务处理。此外，所述TPCH115也可以通过分销系统130来提供信息，所述分销系统130在一个实施例中可以提供从用户140处被退还的产品给卖主125，而且卖主125不知道用户140的标识。而且，所述TPCH115也可以通过分销系统130来提供信息，所述分销系统130在一个实施例中可以提供购买的产品给用户140，而且卖主125不知道用户140的标识。在一个可替换的实施例中，所述金融处理系统120不必是个单独的实体，而是可与其它功能性(functionality)相结合。例如，在一个实施例中，可以把所述金融处理系统120与所述TPCH115的功能性相结合。

    在一个实施例中，所述金融处理系统(FP)120可以为每个事务处理在用户帐户和卖主帐户之间划拨资金(transfer funds)。在一个实施例中，TPCH115的存在意味着对于FP120来说除了事务处理的量和其它基本信息外，没有事务处理细节是已知的。所述TPCH115通过高度安全的通道、在匿名的基础上、代表用户向FP120功能发布事务处理授权。所述FP120无需象在传统的金融处理系统中那样具有很多接收资金划拨(fund transfer)请求的电子通道。在一个实施例中，在TPCH115和FP120之间建立高度安全的通道；这样，所述FP120就不容易被电子欺骗。

    在一个实施例中，所述TPCH115联系FP120并请求对特定帐户的一般信用(generic credit)的核准。这样，所述FP120接收最小量的信息。在一个实施例中，事务处理信息，包括赊购(credit)的商品的标识无需传给FP120。TPCH150可以利用虚拟收费ID(dummy charge ID)请求赊购(credit)，所述虚拟收费ID可在发送给用户的月财务报表(financial statement)上列出，以便用户能够调整他的财务报表。而且，个人事务处理装置170能够含有这样的功能性，其能够使财务报表把虚拟收费ID转换回事务处理信息，以便财务报表呈现出普通报表的样子，其能够列出购买的商品和与其相关的收费金额。

    可以包括显示输入装置160(在虚线中示出)，以使得用户或者在一些实施例中是卖主125能够显示状态和提供关于PTD170以及将要进行的事务处理的状态的输入。

    在又一个实施例中，一个进入点(entry point)110与个人事务处理装置170相接口并也与TPCH115通信。进入点110可以是现有的(在此称为传统POS终端)或新配置的置于零售环境的销售点(POS)终端。用户140以类似于信用卡及借记卡与POS终端相接口的方式，利用PTD170与POS终端相接口。进入点110可以是公共信息站、个人计算机等等。

    在其他实施例中，PTD170通过多种接口相接口，所述接口包括诸如蓝牙(Blue Tooth)和红外传输的无线接口；诸如FeliCa和AmexBlue的无接点传输；以及诸如USB和RS-232C的插入式端口传输。替身处理器155(stand-inprocessor，STIP)在前端和后端之间的连接因任一原因而中断的情况下可以与PTD170相接口。这样，PTD170可以获得对于一个指定底限(specified floor limit)的授权，而不必接收来自后端的授权。而且，这限制了授权的数额，因而将诈骗和存款不足减到最低限度。

    在此描述的系统还提供了一分销功能性130，由此来分销通过所述系统购买的产品。在一个实施例中，分销功能130与TPCH115的功能性集成在一起。在一个供替换的实施例中，分销功能130可以由第三方操纵。所述系统利用任一方法来确保用户隐私和数据安全。分销功能130通过PTD170与用户交互作用以便把产品运送到正确地点。人们期望有多种分销系统，例如，经由耦合至网络上的POS终端的电子分销，直接对一个或多个保密卡和/或数字钱包的电子分销，或实际的分销。在一个用于实际的分销的实施例中，利用诸如便利店或其它普遍存在的地点的“匿名甩挂点(drop-off point)”。在另一个实施例中，涉及了“包分发亭(package distribution kiosk)”的使用，其允许用户以安全方式从亭子取回包。然而，在一个实施例中，在分销循环期间用户可以利用PTD170来随时改变产品的装运地址。

    用户通过个人事务处理装置(PTD)连至安全事务处理系统(诸如图1所示)并与之进行事务处理，其中所述个人事务处理装置具有一个唯一的标识符(ID)。在一个实施例中，使用了保密卡。在一个替换实施例中使用了数字钱包。在另一个替换实施例中，保密卡连同数字钱包一起被使用。

    图2是用于个人事务处理装置的保密卡205的一个实施例的简化框图。如图2所示，在一个实施例中，卡205被设计成信用卡大小。该保密卡包括处理器210、存储器215和输入/输出逻辑220。处理器210被配置成执行指令以完成此处的功能性。所述指令可以存于存储器215中。所述存储器也被配置成存储数据，诸如事务处理数据、用户偏好等等。在一个实施例中，根据本发明的教导，存储器215存储了用来进行事务处理的事务处理ID。可替换地，所述处理器可以被替换为特殊配置的逻辑以执行此处所述的功能。

    输入/输出逻辑220被配置成能够使保密卡205发送和接收信息。在一个实施例中，输入/输出逻辑220被配置成经由有线或接触连接进行通信。在又一实施例中，逻辑220被配置成经由无线或无接点连接进行通信。可以使用多种通信技术。

    在一个实施例中，利用显示器225生成可通过所耦合的装置扫描的条形码，和进行此处所述的处理。保密卡205也可以包括磁条发生器240，以便模拟可通过诸如传统POS终端的装置读取的磁条。

    在一个实施例中，生物测量信息(诸如指纹识别)被用作安全机制，把对卡205的访问限制为经过授权的用户。因此，在完成这些功能的一个实施例中，包括一个指纹接触垫和相关的逻辑230。可替换地，利用智能卡芯片接口250可以实现安全性，所述接口利用已知的智能卡技术来实现所述功能。

    存储器215可以有事务处理历史存储区。所述事务处理历史存储区存储从POS终端收到的事务处理记录(电子收据)。把数据输入卡中的方式包括无线通信和智能卡芯片接口，其中所述智能卡芯片接口与已有智能卡接口功能类似。所述两种方法都假定POS终端配有相应的接口并能由此把数据发送到卡中。

    存储器215还能有用户身份/帐户信息块。所述用户身份/帐户信息块存有能由卡访问的关于用户和帐户的数据。所存储的数据类型包括用来识别所要使用的帐户的元帐户信息(meta account information)。

    在又一实施例中，存储器215还存储保密卡收到的嵌入内容。

    在又一实施例中，存储器215还存储帐户管理信息，诸如类别和帐户访问内容的级别。

    在又一实施例中，存储器215还存储由个人事务处理装置收集的上下文信息。

    在又一实施例中，存储器215还存储简档信息，该信息由用户预设并反映了中途支付(miid-stream payment)给零售商的用户偏好。

    图3是用于个人事务处理装置305的一个实施例的简化框图。如图3所示，PTD305包括一个用于保密卡205的耦合输入(coupling input)310、处理器315、存储器320、输入/输出逻辑325、显示器330以及外围端口335。处理器315被配置成执行诸如存储在存储器320中的那些指令，以便执行此处所述的功能性。存储器320还可以存储数据，所述数据包括金融信息、电子优惠券、购物清单、嵌入内容等等。PTD305可以被配置为具备附加的存储器。在一个实施例中，附加存储器是卡的形式，其通过外围端口310耦合至所述装置。

    在一个实施例中，保密卡205通过端口310耦合至PTD305；然而，保密卡205还可以通过包括无线连接的另外的连接形式耦合至PTD305。

    输入/输出逻辑325为PTD305提供机制以交换信息。在一个实施例中，输入/输出逻辑325以事先指定的格式向销售点终端或保密卡205提供数据。所述数据可以通过有线或无线连接输出。

    PTD305还可以包括用来向用户显示状态信息的显示器330。

    事务处理装置通过在使用前对卡的用户进行鉴权而提高安全性，使得如果该事务处理装置在非授权者掌握中时则是无用的。一种鉴权方式是某种类型的PIN代码进入。作为选择，可通过利用诸如生物测量解决方案(biometric solution)这样的更复杂的技术来完成鉴权。所述生物测量解决方案可以包括指纹识别、声音识别、虹膜识别等等。此外，在一个使用多个事务处理装置的实施例中，可能希望把第一装置配置成以一种安全的方式使能第二装置并对其编程。这样，在第一装置和第二装置之间进行通信的手段可以包括交互装置校验，使得不能使用一个未经授权的第一装置来使能一特定的第二装置，所述第二装置不属于同一用户或被授权的用户。

    在一个实施例中，事务处理装置、销售点终端和/或TPCH可以起相互校验真实性的作用。例如，所述事务处理装置可以被配置成校验销售点终端和/或TPCH的合法性。可以使用多种校验技术。例如，在一个实施例中，可以利用公用密钥的基础结构来校验用户的合法性。

    通信协议包括那些允许数字钱包指定几种可能的数据结构中的哪种数据结构用于一次事务处理的协议，以及允许数字钱包和其他装置与事务处理装置安全地共享数据的协议。所述事务处理装置可以代表单个帐户，诸如特定的信用卡，或者其能代表多个帐户，诸如信用卡、电话卡和借记卡。

    在一个实施例中，事务处理装置预定为这样一种装置，用户通过该装置与本发明相接口。在一个实施例中，事务处理装置存储代表用户的电子商务相关的数据，所述数据包括事务处理历史、利用该系统的事务处理保密票据交换所功能进行事务处理所需的元帐户信息、以及各种内容。在一个实施例中，所述元帐户信息可以是与实际用户的名字、地址等等相对的用户真实身份的摘要。例如，TPCH保留用户真实银行帐号的记录，但所述记录被指定了不同的号码以备零售商和销售点终端使用。例如，可以是1234 0000 9876 1423的实际银行帐号可被表示成9999 9999 9999 9999。与事务处理卡的标识相关的这个号码可以使TPCH能知道银行帐号1234 0000 9876 1432是实际上正在使用的帐户。

    这个数据的目的是在提供完成事务处理的必要信息的同时提取用户身份。

    在一个实施例中，事务处理装置的个性化处理(personalization process)可以如下面所描述的。在该实例中，所述事务处理装置是数字钱包。用户开启所述事务处理装置。这可通过触摸指纹识别垫或简单地打开开关来完成。所述事务处理装置开始执行一过程，并识别到其尚未被个性化。这样，它首先提示用户输入保密个人身份号代码(secret pin code)。如果该个人身份号代码进入失败，则再次提示用户。理论上，给该用户有限次数的机会来输入数据。最后一次失败后，所述装置可以使自己永久禁用，并因此而变得无用。它还可以显示请求把事务处理装置返回给一个被授权的机构的信息。

    假定有一次成功的个人身份号代码进入，接着可以提示该用户回答几个安全问题，所述问题是在处理中心被输入到该事务处理装置的。部分所述问题可能需要数据进入，而其他的问题可能被设置为简单的多项选择，提供有正确的以及不正确的答案。假定成功地回答了这些问题，接着可以提示用户输入保密个人标识信息，诸如指纹数据。在一个利用指纹数据的实施例中，提示所述用户通过在识别垫上连续按一个或多个手指来输入指纹数据。所述装置提示该用户必须输入的每个指纹，例如，利用带有指示手指的手的图形图像。

    指纹数据输入过程可以被至少执行两次，以确认用户已经输入正确数据。如果确认成功，所述装置就把指纹图像数据写入它们的一次写入存储器，或其他受保护而不被意外修改的存储器。如果确认失败，则提示该用户重新起动输入。在限定次数的尝试后未能可靠地输入指纹数据，将导致该装置使自己永久禁用，并且可选地向用户提供一屏幕上的消息，以便到诸如银行这样的安全处理机构来完成所述过程。在成功的个性化之后，该装置就准备好以便被用于用户在注册过程期间所请求的初始服务组(initial set of services)。一旦已经为安全事务处理初始化该装置，就可把附加服务下载到该装置。

    在一个实施例中，用户身份的鉴权和用户对特定信息的选取可以通过用户提供一个相应于所述特定选取信息的唯一生物测量输入而被合并。

    利用销售点终端的系统的一个实施例在图4中示出。在该实施例中，保密卡405与销售点终端410相接口，并且该销售点终端410与TPCH415进行通信。TPCH415与金融处理系统420、卖主425和分销系统430相接口。销售点终端可以是位于零售环境中的现有或新配置的销售点终端。用户440利用保密卡405，以类似于信用卡及借记卡与销售点终端相接口的方式，与销售点终端相接口。替换地，数字钱包450可以利用自身，或与保密卡405一起与销售点终端410相接口。替换地，可以单独利用存储装置作为与销售点终端410的接口。

    所述TPCH的一个实施例在图5中示出。在一个实施例中，TPCH500被置于安全地点并可被事务处理装置访问。TPCH500工作以便向用户提供授权来进行事务处理而不危害该用户的身份。TPCH500可以具体化为一安全服务器，其以某种直接连接的形式或者可替换地以通过internet或销售点网络直接连接的形式连至该事务处理装置。

    输入通信机制505和输出通信机制510是与外部零售商和卖主以及像数字钱包这样的事务处理装置通信的装置。可以使用多种通信装置，例如Internet、直接拨号调制解调器连接、无线、蜂窝信号等等。

    TPCH代理515处理系统管理和政策控制，把TPCH500通知给它们的核心功能性。在一个实施例中，在整个系统中有一个票据交换所代理，其永久地驻留在票据交换所中。在由该代理操纵的责任中包括内部系统管理功能，诸如数据提炼、财务结算和对内部及外部帐户的支付分配、嵌入内容管理以及加入该系统的新用户的注册。

    安全管理功能520确保TPCH500内部的元件和TPCH500外部的实体之间的安全通信。该功能包括参与安全通信协议以开启并保持安全连接。这确保了只允许被授权的实体访问数据和只有被授权的事务处理装置可以相对于用户帐户执行事务处理。

    TPCH代理515还提供了直接销售和客户联系服务(customer contactservice)525，所述服务在一个实施例中是数据访问控制机制并在各种客户和他们的数据库之间保持独立、安全的访问。数据访问控制机制确保卖主只访问适当的数据，以便完成系统的任务。TPCH500的一个关键属性，在维持消费者的隐私和身份保护的同时完成集中的直接销售的能力由该机制处理。

    TPCH代理515可以被配置为代表用户主动地寻找内容并过滤掉不想要的进入信息。在一个实施例中，可以用XML来描述所述数据并且所述代理可以借助于Java applet(小应用程序)运行。

    在一个实施例中，图6示出了游戏控制台系统600。游戏控制台系统600包括一个游戏控制台610、一个生物测量垫625、一个控制垫630、一个显示器635以及网络640。游戏控制台610包括一个处理器620和一个存储器模块615。游戏控制台610连至生物测量垫625、控制垫630、显示器635以及网络640。游戏控制台系统600被配置成作为个人事务处理装置操作以供消费者使用。

    在一个实施例中，控制垫630被用来控制动画游戏的动作，以及输入、编辑和选择供游戏控制台系统600使用的信息。

    在一个实施例中，生物测量垫625被配置成接收消费者的指纹并把指纹信息传送给游戏控制台610。生物测量垫625的使用允许通过便利的不引人注目的源来鉴权消费者的身份。在另外一个实施例中，还可以要求消费者通过控制垫630输入一个PIN，以进一步地鉴权消费者的身份。

    在一个实施例中，显示器635被配置成显示动画游戏和消费者的信息。消费者信息可以包括由消费者输入、编辑、和/或存储的简档信息。在一个实施例中，查看简档信息或与游戏方面相关的图形分开的任何信息被显示为是以弹出式窗口的形式，该弹出式窗口可以在显示器635上到处移动以便于客户查看。

    在一个实施例中，网络640可以包括Internet、局域网、广域网、电话网等等。此外，网络640还可以利用无线技术，诸如红外线、射频、微波以及蜂窝技术。

    在一个实施例中，存储器模块615存储简档信息，诸如消费者的个人信息、消费者所拥有的软件许可证、消费者的偏好等等。

    游戏控制台系统600被配置成用于如图1和图5所述的安全事务处理系统。通过鉴权消费者的身份，该消费者能够进行安全的事务处理，诸如购买产品和/或服务，而同时在利用游戏控制台系统600时中途进行自动支付。此外，在游戏控制台系统600上玩游戏的同时，可以实时地确认有效的许可证，以防止游戏软件的非授权使用。

    在又一个实施例中，图7示出了一个游戏控制台系统700。游戏控制台系统700包括一个游戏控制台710、一个权标适配器(token adapter)725、一个控制垫730、一个显示器735、一个网络740以及一个权标(token)745。游戏控制台710包括一个处理器720和一个存储器模块715。游戏控制台连至权标适配器725、控制垫730、显示器735以及网络740。游戏控制台系统700被配置成作为个人事务处理装置以供消费者使用。

    在一个实施例中，控制垫730被用来控制动画游戏的动作，以及输入、编辑和选择供游戏控制台系统700使用的信息。

    在一个实施例中，权标适配器725被配置成接收权标745并把鉴权信息传送给游戏控制台710。权标适配器725的使用允许通过把权标745插入权标适配器725来鉴权消费者的身份。权标745类似于一个物理的钥匙。然而，与大多数传统钥匙不同的是，权标745包括存储模块(storage module)，存储唯一地标识消费者的信息。在又一实施例中，还可以要求消费者通过控制垫730输入一个PIN，以进一步地鉴权该消费者的身份。在一个实施例中，权标745还存储和消费者相关的简档信息。所述简档信息可以包括消费者的个人信息、消费者所拥有的软件许可证、消费者的偏好等等。

    在一个实施例中，显示器735被配置为显示动画游戏和消费者的信息。消费者的信息可以包括已经由消费者输入、编辑、和/或存储的简档信息。在一个实施例中，查看简档信息或与游戏方面相关的图形分开的任何信息被显示为是以弹出式窗口的形式，所述弹出式窗口可以在显示器735上到处移动以便于客户查看。

    在一个实施例中，网络740可以包括Internet、局域网、广域网、电话网等等。此外，网络740还可以利用无线技术，诸如红外线、射频、微波以及蜂窝技术。

    在一个实施例中，存储器模块715存储简档信息，诸如消费者的个人信息、消费者所拥有的软件许可证、消费者的偏好等等。

    游戏控制台系统700被配置成用于如图1和图5所述的安全事务处理系统。通过鉴权消费者的身份，该消费者能够进行安全的事务处理，诸如购买产品和/或服务，同时在利用游戏控制台系统700时中途进行自动支付。此外，在游戏控制台系统700上玩游戏的同时，可以实时确认有效的许可证，以防止游戏软件的非授权使用。

    图8示出了所存简档信息800的一个实施例。所存的简档信息800可以被本地存储于个人事务处理装置或远程存储于安全的地点，诸如权标745(图7)。所存简档信息800可以包括事务处理信息，诸如零售商清单810、消费者帐户清单820、支付的增量830以及总的事务处理费用840。在一个实施例中，零售商清单810标识消费者希望用于中途支付的系统和方法的一列零售商。消费者帐户清单820标识与零售商清单内的每个零售商相关的相应的帐户，以支付给相关的零售商。消费者帐户清单820可以包括信用卡、支票帐户、储蓄帐户、经纪帐户、月服务等等。

    所存的简档信息800还可以包括用户偏好、父内容访问控制、通过许可证软件的授权使用等等。

    支付增量830与每个零售商相关联，并允许利用中途支付系统和方法为每个分立的支付来划拨预定金额给零售商。总事务处理费用840与每个零售商相关联，并允许利用中途支付系统和方法为整个事务处理来划拨预定的最大金额给零售商。

    例如，在零售商清单810中，音乐发行公司对应于消费者账户820中的Visa账户信息。类似地，在零售商清单810中的书店公司对应于消费者账户820中的银行账户。与零售商清单810中的音乐发行公司相关的5.00美元的支付增量830规定5.00美元作为要划拨给音乐发行公司的金额。此外，与零售商清单810中的音乐发行公司相关的总事务处理费用840中15.00美元的限制限定了从消费者划拨给音乐发行公司的总金额。类似地，与零售商清单810中的书店公司相关的总事务处理费用840中50.00美元的限制限定了从消费者划拨给书店公司的总金额。在一个实施中，总的事务处理费用840可以通过来自消费者的授权而取消。

    在一个实施例中，中途支付的方法和系统允许从消费者对零售商的实时支付，该支付基于按分钟支付方案、按字节支付方案、按预订支付方案、以及按受限使用支付方案。所述按分钟支付方案类似于电话卡系统。所述按字节支付方案类似于基于消费者消费的内容量来支付费用。所述按受限使用支付方案类似于这样的单次使用模式，其中消费者连接一次来玩数目不限的游戏。所述按预订费率支付方案类似于统一费用自助型使用(flat rate buffet type of use)，其中消费者能够以不受限制的方式使用。

    在一个实施例中，中途支付的系统和方法包括在购买商品或服务期间自动从消费者处划拨资金给零售商的能力。而且，中途支付的系统和方法可以被配置成不需消费者的干预并可以避免中断商品或服务到消费者的传送。有时候，可能需要消费者做额外的确认以使消费者免于资金的非授权划拨。这种确认可以包括检验消费者身份的真实性。而且，中途支付的方法和系统可以在保持消费者身份匿名的同时付报酬给零售商。

    如图9和图10所描述的流程图只是本发明的一个实施例。可以以不同的顺序执行方框而不脱离本发明的精神。并且，可以删除、添加或合并方框而不脱离本发明的精神。

    图9示出了中途模式的用户初始化的一个实施例。在方框900中，在消费者和消费者的简档信息间建立链接。在方框910中，消费者身份的鉴权通过接收权标、接收PIN、接收生物测量参数等等而被确认。在方框920中，输入和/或编辑简档信息。在图8中示出并描述了简档信息的示范格式。在方框930中，把简档信息在本地存储于装置内或远程地存储于权标745内(图7)。

    图10示出了经由游戏控制台的消费者鉴权和使用该游戏控制台用于金融事务处理的一个实施例。在方框1000中，消费者身份的鉴权通过接收权标、接收PIN、接收生物测量参数等等来确认。在方框1010中，零售商通过游戏控制台把内容传输给消费者。在方框1020中，在商业银行和所选消费者帐户之间自动建立安全链接，而无需消费者或零售商进行额外的交互作用，其中所选消费者账户是由消费者通过简档信息指定的。所述零售商与简档信息内的零售商清单810中的零售商(图8)相对应。在一个实施例中，在零售商传送内容给消费者期间建立该链接。在方框1030中，零售商自动发送支付请求给消费者。在方框1040中，在简档信息范围内为该特定的零售商搜索支付增量。所述支付增量是支付金额。如果，对于此特定的零售商没有支付增量可得到，那么支付请求就含有一个支付金额。

    在方框1050中，进行核对以便确定整个事务处理的支付金额的总和是否超出了总事务处理费用，所述总事务处理费用是消费者在简档信息中所预选的。如果这些支付金额的总和超出了总事务处理费用，就会在方框1060中请求消费者提供确认。在所述确认之后或者如果这些支付金额的总和没有超出总事务处理费用，就在方框1070把支付金额的资金从消费者的帐户划拨给零售商。在方框1080，如果有零售商发出附加支付请求，处理就返回到方框1030。

    在一个实施例中，如在方框1010中所描述的零售商对消费者的商品和/或服务的传送可以发生在方框1000、1020、1030、1040、1050、1060、1070和/或1080所描述的事件期间。在一个实施例中，通过使用如图1和图5中所描述的安全事务处理过程，消费者的真实身份可以对零售商保持为是匿名的。在一个实施例中，通过如图1和5所描述的安全事务部门的活动和应用而完成划拨资金的事务性处理。

    为了说明和描述的目的，已经给出了本发明的具体实施例的在前描述。

    它们并不打算是穷举的或把本发明限定为所公开的确切的实施例，而是根据上述教导自然地可能有很多修改和变化。为了解释本发明的原理和它的实际应用，选择并描述了上述实施例，从而使本领域中的其他技术人员最好地利用本发明和使带有各种修改的各种实施例正如适合于预期的特定用途那样。其旨在由所附权利要求及其等价物来限定本发明的范围。