專利名稱:對存貯在ic卡中的標記值作再估價的系統(tǒng)和方法
技術(shù)領域:
本發(fā)明的背景本發(fā)明一般相關于對存貯在IC(識別碼)卡—也稱作智能卡—中的標記信息(諸如“電子貨幣”或“服務使用信貸”如電話使用信貸)聯(lián)機進行再估價的系統(tǒng)和方法�����,詳細地說�,相對于對一私人場所中進行這種再估價的系統(tǒng)和方法。
IC卡的一種公認用途是存貯標記信息����,使持卡人在作非現(xiàn)金交易時使用���。用于該目的的IC卡及其相關的交易終端采用了日益復雜的保密系統(tǒng),來防止未經(jīng)授權(quán)制造卡���、發(fā)行卡�,或欺騙性地使用卡��。例如�����,參看Nakano的美國專利4,810,862和4,839,504����,這兩篇專利介紹了在IC卡的制造與發(fā)行過程中引進、其后在認證卡及持卡人時采用的保密特征���。
一些商業(yè)應用發(fā)行的一個IC卡帶有一個初始的標記值以及卡邏輯或編程設計,它只允許遞減存貯的標記值����,直到完全用光,此后將該卡棄置�,必須再買一張新卡�����。
其它商業(yè)應用發(fā)行的一個IC卡帶有一個初始的標記值以及允許再估價���,即不僅能減少標記值,也能使其增加的卡邏輯或編程設計���。這些應用已眾所皆知����,人們通常稱其為“電子錢包”��。
在某些電子錢包應用中����,IC卡只能在保密的再估價站作再估價,例如完善的自動化出納機(見上述參考專利中Nakano的US4839504)��,或與一臺技術(shù)先進的主機聯(lián)機運行的專用資金傳輸終端(見Mansvelt的美國專利5,175,416)�。這些保密的再估價站能夠充分地利用卡和終端的保密特征,并且通常保持在保密環(huán)境下�����,以防止欺騙性使用以及阻止未經(jīng)授權(quán)使用技術(shù)先進的探測保密特征,這些保護特征在其后可能被用于關閉作為欺騙性卡發(fā)行或再估價系統(tǒng)一部分的再估價站��。
IC卡作為電子錢包使用的一個局限性�����,是持卡人在用它完成交易之前不能容易地確定卡中剩余的貨幣標記值��。如果存貯的貨幣標記值不足以支付購買值�,持卡人就必須取消這樁交易,或者用其它方式支付�。另一個局限性是持卡人通常必須到有專門的終端地點往卡里增加貨幣標記值,使得使用電子錢包的方便程度和在ATM(自動出納機)提取實際貨幣(即政府發(fā)行的證券)一樣��。
允許一電子錢包IC卡在一私人處�����,如家庭或辦公室中進行再估價的需求在Ugon的美國專利4,656,342中已被認可�。該專利也考慮到通常需要將若干標記結(jié)合在一張電子錢包IC卡中,并且每個標記與由一授權(quán)單位所提供的一項特定服務相關��。除了通常為用于在經(jīng)授權(quán)的電子錢包交易終端處購買貨物和享受服務而存入的一個現(xiàn)金標記值外���,電子錢包也可以有如電話使用標記值���,它可以在裝有已授權(quán)的IC卡接口設備的公用電話上使用。
在Ugon的美國專利4,656,342中描述的電子錢包再估價過程包括將基于聲音的通話與專門的接線員結(jié)合起來���,以請求該專門的接線員對持卡人的電子錢包IC卡中的現(xiàn)金標記值或其它已授權(quán)的標記值作再估價��。這樣��,接線員和持卡人在持卡人所在處的一個IC卡接口單元和接線員所在之處的一個授權(quán)終端之間建立了一個電話數(shù)據(jù)鏈路�,從而接線員允許使用該授權(quán)終端和持卡人的卡接口單元來執(zhí)行專門的卡和服務認證功能�,如果成功地執(zhí)行該功能后,那么就會導致IC卡自身將一個新的標記值寫入到相關的標記值存貯單元����。
本發(fā)明的目標本發(fā)明的一個主要目的是提供一個改進的系統(tǒng)和方法,用于由持卡人在私人場所對IC卡上存貯的一個或多個標記值作再估價�����。本發(fā)明的另一個目的是提供一個改進的私人交易終端����,用于執(zhí)行與IC卡相關的交易操作。
本發(fā)明的特性和優(yōu)點本發(fā)明的一個方面描述一種方法的特征,該方法通過與遠程操作上兼容的終端進行聯(lián)機交易對話���,實現(xiàn)在私人場所將向持卡人發(fā)行的IC卡中存儲的標記值作出改變�����。該方法采用的IC卡具有一個微控制器及相關的微控制器程序存貯器�����、用于標記值數(shù)據(jù)和卡保密數(shù)據(jù)的保密保護存貯單元�、一個數(shù)據(jù)通訊接口�、以及存貯在所述程序存貯器中的預先安排的卡保密程序,這些都是為了在與交易有關的數(shù)據(jù)讀出和寫入操作時��,對持卡人和終端向保密保護存儲單元存取進行保密管理��。
在遠程處的操作上兼容的終端包括一個數(shù)據(jù)通訊接口和與所述預先安排的卡保密程序兼容的預先安排的交易保密程序���。
應該理解���,IC卡既可以只存儲一個標記值,即一個現(xiàn)金標記��,也可以有許多標記值。還應該理解“IC卡”和“智能卡”兩個術(shù)語可以交替地用來描述本發(fā)明����。
本發(fā)明的方法包括首先����,在所述IC卡中建立一個與所述數(shù)據(jù)通訊接口的卡數(shù)據(jù)鏈路,接著���,經(jīng)所述卡數(shù)據(jù)鏈路將持卡人數(shù)據(jù)保密信息傳送到所述IC卡��,使得所述卡保密程序產(chǎn)生保密的持卡人識別數(shù)據(jù)�。該方法也包括在遠程位置建立一個與一外部終端的終端數(shù)據(jù)鏈路����,然后經(jīng)由所述卡數(shù)據(jù)鏈路和所述終端數(shù)據(jù)鏈路,在所述IC卡和所述外部終端之間傳送保密交易信息�����,包括來自所述持卡人的標記變化向量數(shù)據(jù)�,使得所述IC卡和所述外部終端執(zhí)行相互認證功能并進行保密標記值變化交易。
當IC卡和遠程終端之間的交易完成之后�,該方法繼續(xù)進行,經(jīng)由所述卡數(shù)據(jù)鏈路讀出一個存貯在所述IC卡中的修改了的標記值,然后將所述修改了的標記值傳送到所述持卡人��。通過使所有的安全認證和交易信息數(shù)據(jù)項目都出自IC卡自身�����,并且經(jīng)由一個遠程數(shù)據(jù)鏈路簡單地傳送這些信息��,本發(fā)明的方法能夠以簡便的方式對IC卡的標記作遠程再估價�����,并且便利在交易的持卡人端使用簡單便宜的硬件�。本發(fā)明的另一方面描述了一個用于在私人場所進行一樁交易的終端特性,該交易包括通過與一遠程位置的一個操作上兼容終端進行聯(lián)機交易通話向一持卡人發(fā)行的存儲在IC卡中標記值作出改變�。該IC卡和操作上兼容終端具有上面所描述的特性。
持卡人使用的私人終端包括在所述IC卡中建立與所述數(shù)據(jù)通訊接口的一個卡數(shù)據(jù)鏈路的裝置���,以及用于接受一個保密數(shù)據(jù)項的持卡人入口���,并且將所述保密數(shù)據(jù)項經(jīng)由所述卡數(shù)據(jù)鏈路傳送到所述IC卡,以使得所述卡保密程序準備并返回持卡人和卡認證數(shù)據(jù)項的裝置�。
私人終端另外還包括用于使所述持卡人啟動一樁標記值變化交易的裝置,其中包括用于接受標記變化向量的持卡人項目的裝置���,以及響應所述持卡人啟動一個標記變化交易的裝置�����,此裝置用于經(jīng)由一個公共交換電話網(wǎng)絡建立與一遠程位置的一個外部終端的終端數(shù)據(jù)鏈路���。
私人終端的另一部件是經(jīng)由所述卡數(shù)據(jù)鏈路和所述終端數(shù)據(jù)鏈路在所述IC卡和所述外部終端之間進行一系列保密信息傳送的裝置。這些信息包括使所述IC卡和所述外部終端進行各自的終端認證和IC卡認證程序的保密認證信息���,以及包含所述標記變化向量以使得所述IC卡和所述外部終端能執(zhí)行一個保密的標記值變化交易的保密交易信息�����。
私人終端還包括經(jīng)由所述卡數(shù)據(jù)鏈路讀出一個存貯在所述IC卡中的修改了的標記值����、并將所述修改后的標記值傳送給所述持卡人的裝置�����。該傳送裝置可以是一臺字母數(shù)字顯示器����,或一臺打印機�����,或一臺計算機產(chǎn)生的聲音讀出器�。
本發(fā)明的私人終端具有簡單���、便宜的優(yōu)點����,因為IC卡和遠程終端構(gòu)成所有的保密信息�����,并且用主要起信息傳送機構(gòu)作用的私人終端來處理被編程的交易活動���。由于私人終端自身不能與IC卡相互作用來進行任何交易活動���,這就減小了欺騙的危險。該私人終端不必保持在保密環(huán)境中��,因而這種終端可以分布在持卡人家中����、辦公室中和其它私人場所使用����。
本發(fā)明的私人終端也并非僅供特定的持卡人使用�����,而是可以由持有可兼容IC卡的任何持卡人使用����。因此�����,盡管私人終端可以做成手持式的����,但沒有必要這么做。在每個辦公場所的一臺唯一的終端可供許多持卡人使用�����,來讀出他們的卡上的標記值����,以及采用該終端的設施���,根據(jù)需要來重新估價標記值。
在IC卡上存貯了遠程終端電話號碼和其它銀行數(shù)據(jù)后���,私人終端能基本上起到無聲通訊終端的作用�,用于其它銀行交易以及在IC卡上的標記再估價��。一旦在一保密的基礎上遠程終端和IC卡交換了帳號和其它數(shù)據(jù)后�,遠程終端和私人終端能與遠程終端提供的銀行功能信息和由持卡人所作的功能選擇交互作用。當然��,在私人終端為個人ATM型交易提供的智能等級是任選的���。例如���,私人終端可以包括有關結(jié)帳審核、小型財務報表核算�、存款和支票付款核算等等基本的功能鍵。
本發(fā)明的其它目的����、特征和優(yōu)點,根據(jù)下面本發(fā)明實施例所作的詳細描述會得到清楚的了解�。
附圖的概要描述
圖1的基本系統(tǒng)圖示出了關于本發(fā)明的有用的現(xiàn)有技術(shù)的卡發(fā)行系統(tǒng)的一些單元�����;圖2A和2B的基本系統(tǒng)圖示出了關于本發(fā)明有用的現(xiàn)有技術(shù)的交易系統(tǒng)點的一些單元�;圖3是本發(fā)明的私人再估價和交易系統(tǒng)的一個基本系統(tǒng)圖���,該系統(tǒng)在實施本發(fā)明的方法中是有用的�;圖4的方框圖示出了根據(jù)本發(fā)明并實施本發(fā)明方法的一個系統(tǒng)的單元和模塊�;圖5示出了根據(jù)本發(fā)明一個智能卡數(shù)據(jù)連接結(jié)構(gòu)有用的一部分;圖6A-6C的流程圖示出了根據(jù)本發(fā)明在私人終端執(zhí)行的方法步驟����;圖7A和7B的流程圖示出了根據(jù)本發(fā)明在智能卡中執(zhí)行的方法步驟�����;圖8的流程圖示出了根據(jù)本發(fā)明在一主機中執(zhí)行的方法步驟���。
發(fā)明實施例的詳細描述圖1示出了有關本發(fā)明特別有用的卡發(fā)行系統(tǒng)的全部單元�。例如��,美國專利5,175,416�����、4,810,862和4,968,873詳細描述了IC卡的發(fā)行,這些細節(jié)在描述本發(fā)明背景時作為參考被編進去��。
一般說來����,IC卡發(fā)行是由終端10進行的,它包括或連接到智能卡讀出/寫入裝置11����,智能卡12可以被插入到裝置11中。在這種情況下����,智能卡12是這樣的若干標記值可以被記錄在其中的若干單獨的標記存貯單元,每個標記值相關于一項特定的服務或交易機構(gòu)����,如一電子現(xiàn)金標記與銀行A14相關,一個商店??蜆擞浥c一商店常客服務15相關����,一個電話使用標記與一電話公司16相關���。智能卡12也可以有保密帳號存貯單元,使它能夠同時具有信用卡和借方卡或其中之一的功能����。
終端10連接到主機系統(tǒng)13,主機13中有與上面描述的每個服務機構(gòu)的交易數(shù)據(jù)鏈路���。持卡人可選擇發(fā)行給他的智能卡裝入一個或多個可用的標記����。裝入一個現(xiàn)金標記和裝入一個電話使用標記����,每一種都包含與銀行A的交易,以便將裝在卡上的標記值記入持卡人的借方帳中�。就電話公司的情況而言���,電話使用標記的值在它被記入持卡人借方帳中的同一時刻被記入電話公司的貸方帳中���。裝入到卡中的現(xiàn)金標記值可由銀行在關閉的卡系統(tǒng)中將其保存在特定的暫存帳號中或在開放卡系統(tǒng)中被轉(zhuǎn)送到一個結(jié)帳或清算機構(gòu)。卡發(fā)行的這一記帳方面不是本發(fā)明的實質(zhì)�����,因此在此不作詳細討論�����。
本發(fā)明重要之處是裝有這些標記值的智能卡被制造成帶有多個標記存貯單元的一種型號���,這些存貯單元具有適當?shù)谋C芗墑e�,智能卡自身也具有保密特征�����,例如信息的加密/解密�、卡對終端的認證、以及根據(jù)本發(fā)明進行標記值再估價的編程設計���。多標記值或多帳號智能卡在例如美國專利4,656,342和4,736,094中都有公開�����,為了顯示一個具有多標記值存貯能力的IC卡的示例結(jié)構(gòu)和功能�,將上述兩篇專利文獻被編入進去作為參考文獻。
可被用來實施本發(fā)明的一種特殊形式的智能卡是在PCOS技術(shù)說明書(第1.0版���,由法國GemPlus Card International ofGemenos Cedex出版)中描述的PCOS智能卡���。在需要表示IC卡的示例結(jié)構(gòu)和功能時,也將這篇文獻編入進去作為參考文獻����。卡的使用作為背景資料�,圖2A示出了典型的現(xiàn)有技術(shù)卡在交易場所的一個點使用的情況。交易終端站20能夠采用磁條卡進行借貸型聯(lián)機交易��,也能采用電子錢包型的智能卡12脫機進行借方型交易�。
對聯(lián)機交易而言,終端20有一個可用來讀一磁條卡25的磁條卡閱讀器21����。對這種聯(lián)機交易來說,終端20有一個經(jīng)由公共電話網(wǎng)絡(或租用線路)到主機27的數(shù)據(jù)通訊鏈路����,用作信貸認證或借方交易處理����。圖2A的系統(tǒng)也包括一個智能卡讀出/寫入模塊22���,該模塊也包括一個用作PIN入口模塊來輸入用于認證持卡人的個人識別號碼的鍵板。如果智能卡12中裝入了現(xiàn)金值標記�����,那么它可以用來在脫機交易中支付購買的貸物或得到的服務����。在這種脫機交易的典型步驟中,首先是根據(jù)存貯在卡12中的相應數(shù)據(jù)�����,通過請求一個PIN入口及其確認�����,使終端20和插接板22對持卡人加以認證�,從而避免由未經(jīng)授權(quán)的人欺詐性地使用卡12。
在某些電子錢包應用中�,為了加快交易處理速度,可以取消該PIN確認�,不過這不是強制性的���。在這種情況下,電子錢包被當作現(xiàn)金一樣處理��,持卡人被假定為電子錢包的真實所有人��。用于沒有PIN入口的電子錢包借方操作的銷售終端站的一個例子在Roberts等人的美國專利申請08/143,573中作了公開�,該申請于1993年10月26日提交,發(fā)明名稱為“電子現(xiàn)金交易方法及其設備”��,它與本申請被轉(zhuǎn)讓給同一公司���,目前處于待審查階段�����。
另一種選擇是僅僅當交易額超出預選的底線時才請求PIN項以便花費電子錢包中的金額���。
接著,終端20和卡12通過一個相互認證過程來彼此證實����,該過程檢查卡和終端的真實性以及相互兼容性。這種相互證實能防止采用欺詐性發(fā)行的卡來進行交易�,也能防止使用未經(jīng)許可的終端從卡12中提取或向卡12中增加款項����。一旦完成保密認證���,終端20和卡12就來回傳送交易信息,使得從卡12中提取的幣值進入終端20的交易項目存貯器����,并且將一個新的現(xiàn)金值重寫到卡12中。這些步驟是大家都知道的����,在此不必作詳細討論。
此后�,終端20可能呼叫主機27或主機13,或同時呼叫二者�����,采用各種付款卡媒體對一天的交易進行結(jié)帳�����。采用智能卡12作為現(xiàn)金標記媒體和等價的政府發(fā)行的紙幣的臨時性證券���,其優(yōu)點是它具有脫機交易的特性���,并且能避免實際的現(xiàn)金交易以及由于找錢�、核算備用金等造成的時間浪費��。
如果智能卡12有一相關于某個商家的??褪居洠磁c該商家進行交易����,那么該交易也可以包括證實商店常客標記的步驟�����,并且��,如果適當?shù)脑?,根?jù)交易額改變卡12上的常客標記值�。根據(jù)常客程序的特性��,卡12中的標記值可以用于給當前購物打折扣或類似行為�����,例如根據(jù)資金積累到一定程度恢復獎勵。
圖2B示出���,如果智能卡中裝有電話使用標記值的話���,智能卡12也可以用在公共電話亭29��。在這類應用中可以包括同樣的交易步驟��。另一方面��,可以采用不太保密的交易步驟���,例如假定持卡人是一個獲授權(quán)的所有人�����,以便使得智能卡12與打電話的單一模式智能卡兼容��,后者只為保密目的核實卡的真實性���。
在私人場所再估價圖3示出了本發(fā)明的一般原理��。該發(fā)明提供了采用終端系統(tǒng)�����,在很少保密或不保密的情況下��,在“私人”場所對智能卡現(xiàn)金標記值作重新估價的方法和設備����,這與在公共場所進行的重新估價完全不同��,在公共場所采用了物理與電子兩方面的高程度的系統(tǒng)保密性�。
參看圖1,很顯然���,包含在卡發(fā)行中的硬件����,無論從硬件存取還是運行的角度來看����,其維護都必須在保密設施中進行,以避免欺詐或未經(jīng)授權(quán)的行為。如圖3所示�����,通過在終端中包括對卡作再估算和發(fā)行所需要的任何應用軟件�,可以在卡發(fā)行與再估算站10A完成對智能卡的再估算。包括同樣的設施以及采取同樣的保密條件�����,可以實現(xiàn)卡和終端之間進行兩者之間的相互認證�����。也可以要求持卡人在一臺單獨的輸入設備上秘密輸入他的PIN���,或者經(jīng)過訓練的受委托操作員可以輸入PIN,并且也進行銀行交易協(xié)議中可能包括的其它持卡人認證步驟���。
除了持卡人正在進行交易步驟外���,也可以在為智能卡再估算功能而設置的任何公共ATM單元36進行同樣的保密步驟。
圖3也示出了采用“私人”終端30對卡作再估算的情況����。私人終端30可以設在持卡人家中�����、辦公室或其它場所��,如賓館飯店的前臺或門房���。總的原理是采用具有智能卡數(shù)據(jù)接口的一個簡單終端30���,通過調(diào)制解調(diào)器或其它數(shù)據(jù)通訊媒體���,與智能卡12和遠程終端數(shù)據(jù)鏈路進行通訊,該遠程終端可以是主機13自身���,或者是一個網(wǎng)絡存取控制器40����,并且該遠程終端被編程���,用于在IC卡12和遠程終端之間傳送保密信息�����。這里所用的名詞“保密信息”指的是采用加密方法或其它手段�,使得信息在IC卡和/或遠程終端保密,而不是在終端30保密�。從本質(zhì)上說,終端30在IC卡12和遠程終端之間提供了一個鏈路����,它等同于在IC卡12和保密卡再估算站中的終端之間存在的硬接線數(shù)據(jù)通路。終端30在兩個單元之間傳送數(shù)據(jù)和命令信息�,并且它的操作系統(tǒng)在智能上可能只限于管理該簡單功能。當然���,也可以包括更復雜的功能���,使得終端能處理其它ATM或遠程用戶服務功能���,當已經(jīng)在IC卡12和遠程終端之間對所有的保密信息的發(fā)射和接收都處理之后����,這些功能不需要起始產(chǎn)生和接受保密信息��。
圖3也示出可以給簡單的私人再估價終端30提供硬件和智能,以參預與郵購機構(gòu)35的電話郵購訂單交易����。由于給出信用卡號碼會導致由郵購公司的職員或截取信息的某人欺詐性地使用,因此��,作為一種替代形式��,可以給終端30提供一種能力��,使它能暫時從聲音切換到數(shù)據(jù)���,以執(zhí)行IC卡借方功能��。然而�,保密功能仍然在IC卡和遠程終端—在這種情況下可能是網(wǎng)絡存取控制器(NAC)40—之間執(zhí)行�����,因而私人終端30或郵購機構(gòu)的終端都不必有復雜的保密特征����。在這種情況下,網(wǎng)絡存取控制器被編程以執(zhí)行簡單的借方交易���,它將IC卡12的現(xiàn)金標記中的現(xiàn)金交易借方額需要的信息和參數(shù)傳送到私人終端30����,并將貸方交易額的其它信息傳送到郵購機構(gòu)。此后����,NAC40通過電子聲產(chǎn)生的信息或一數(shù)據(jù)顯示信息告之各方,電子交易完成�。根據(jù)編程設計,NAC40然后可以終止電話連接或回復聲音通訊各方停止講話��。
很顯然�����,這種IC卡再估價功能和訂購交易功能也可以包括在家庭終端設備中�����,該設備還提供了在家庭購物或家庭交易網(wǎng)絡環(huán)境下的額外的智能功能���。例如,這種再估價功能也可以在被編程的一個智能屏幕中實現(xiàn)���,以執(zhí)行與個人終端30相同的功能�����。
IC卡最好是存貯終端30需要的所有信息�,以便在不與持卡人交互作用的情況下對遠程終端數(shù)據(jù)鏈路進行初始化。如果需要的話��,這可能要包括主電話機號碼數(shù)據(jù)和銀行帳號數(shù)據(jù)����。另一方面,IC卡識別號也可以直接連接到一個單一帳號或帳號組�。
另外,由終端30呼叫的電話號碼最好是為私人終端IC卡再估價功能專用����,以避免要求個人終端30發(fā)出一個特別的登記信息來指示請求什么類型的交易。然而�,使用有由個人終端30提供的登記的通用主電話機號碼也在本發(fā)明的總原理之內(nèi)。顯然���,一旦保密帳號和持卡人的識別(PIN)信息已經(jīng)在IC卡12和遠程終端(主機13或NAC40)之間傳輸后��,可以在終端30和主計算機之間進行附加的ATM或顧客服務咨詢交易�����。這種功能的智能可以全部裝在主機上����,在私人終端30僅僅安裝顯示和鍵盤I/O命令解釋器。另一方面�,可以由主機和私人終端30分享智能。例如�,根據(jù)專用的功能鍵或通過卷動屏幕所進行的菜單選擇或其它手段,可以對私人終端30編程���,使得用戶將交易初始化信息或數(shù)據(jù)查詢傳送到主機����。
現(xiàn)在可以清楚地得知���,本發(fā)明的一個私人終端30可以廣泛地分布在人們家中����、辦公室和其它場所�����,而不會冒泄漏IC卡或遠程終端的保密的風險�。此外,每個持卡人可以有使用任何私人終端30米再估價IC卡中的現(xiàn)金標記值的優(yōu)點�����。
系統(tǒng)例子圖4以方框示意圖形式示出了在構(gòu)成本發(fā)明的私人終端再估價系統(tǒng)時通常采用�����,并且能執(zhí)行本發(fā)明方法的模塊�����。
私人終端30有一微處理器系統(tǒng)60及相關的程序存貯器61��、數(shù)據(jù)存貯器62���、以及輸入/輸出設備���,如鍵盤63、顯示器64��、調(diào)制解調(diào)器66以及智能卡數(shù)據(jù)鏈路65�。如果系統(tǒng)提供了用于銀行服務和/或郵購訂貨業(yè)務的組合聲音一數(shù)據(jù)交易的話����,那么也可以包括一個聲音-數(shù)據(jù)開關67��。智能卡數(shù)據(jù)鏈路65可向智能卡12提供數(shù)據(jù)通訊業(yè)務�����,也可以用于向智能卡12提供DC操作電能�。智能卡12有一個裝載板和/或輔助程序的內(nèi)部微控制器70,和數(shù)據(jù)存貯器71和72���。數(shù)據(jù)通訊由數(shù)據(jù)I/O74和加密/解密模塊73一起處理�����,該加密/解密模塊73可以是硬件�����,也可以是軟件��。
在主機一邊的一個專有卡系統(tǒng)中�,主機13有一個控制生成保密認證和交易信息與功能的智能卡保密模塊和一個與智能卡12中的類似功能兼容的加密/解密模塊76。
在一開放型卡系統(tǒng)中���,NAC40有一個智能卡保持密模塊81和加密/解密模塊82����。聲音數(shù)據(jù)交易控制83提供關于銀行B的NAC的聲音與數(shù)據(jù)接口的操作��,銀行B采用聲音進行顧客業(yè)務���,郵購機構(gòu)35以聲音起源購物結(jié)算的形式從智能卡12接受電子現(xiàn)金。
圖5示出了現(xiàn)有技術(shù)的智能卡數(shù)據(jù)連接設備65部份����,它具有IC卡讀出/寫入接口單元形式,其中���,卡插入傳感器90感應什么時候智能卡12完全插入到讀出器的卡接收腔�����,并完成與卡的接觸�,以便將電能施加到卡上���。讀出結(jié)余-增加現(xiàn)金程序和有關的智能卡及主程序步驟圖6A-6C示出了在私人終端30運行的命名為“讀出結(jié)余-增加現(xiàn)金(READ BALANCE-ADD CASH)”的程序的步驟���。該程序的主要步驟的目的是將現(xiàn)金支出加到智能卡12中的現(xiàn)金標記上����,為解釋起見�,假定IC卡按“PCOS技術(shù)說明書”(由法國GemPlus Card Intenatconal,Gemenos Cedex出版)中規(guī)定的PCOS智能卡的電子錢包說明書來操作���。該PCOS說明書描述了現(xiàn)有技術(shù)中采用終端對用戶輸入的PIN進行加密以及也對從主機接收的信用密碼電文加密的方法�����。根據(jù)本發(fā)明�����,終端沒有加密保密程序�,所有加密操作都在智能卡12和主機中進行��。如圖6B及下面所述���,終端可以進行XOR功能操作����,以設置智能卡12的PIN加密操作。另一方面���,也可以將代碼加入到智能卡12上�,以進行全部的PIN加密操作����。
該程序模塊的第一步是在讀出器65中檢驗卡的存在�����,該步驟循環(huán)進行�,直到感應到卡為止。當檢驗步驟的結(jié)果為肯定時�,程序向智能卡12供電,并且向IC卡傳送一個復位命令�����。此卡向私人終端30作一答復�,由該答復可識別卡的類型。下一步即檢查接收的答復是否指示IC卡是一個PCOS卡���。如果回答為否定�,那么表明有錯,并在私人終端30的顯示器上顯示適當?shù)腻e誤信息�����。如果回答是肯定���,那么向智能卡傳送一個結(jié)余(現(xiàn)金)(BALANCE(CASH))命令����。智能卡作出一個簡單的查找存貯在卡的現(xiàn)金標記存貯單元中的值的響應�����,并且經(jīng)由兩個設備之間的通訊鏈路將該值返回到私人終端30����。
應該理解,傳送到智能卡12的每個命令之后都跟隨一個GetResponse(得到響應)命令��。另外��,根據(jù)實踐�,對于一個好的軟件來說�,當每個GetResponse命令發(fā)出之后���,要包括一個響應超時功能(沒有示出)和一個響應有效功能(沒有示出)��。響應超時功能首先包括啟動一個計時器����,然后依次檢查看看是否已接收到一個響應�����,或計時器是否已滿���,如果在接收到響應之前計時器已滿,那么聲明出錯���。
如果在超時之前發(fā)回一個響應�����,那么在一單獨的檢驗步驟中檢驗該響應的有效性���。如果該響應無效����,那么聲明一個適當?shù)腻e誤����。在描述此示例性程序的這些步驟中,假定私人終端30和智能卡12的硬件和軟件運行正常����,于是計時器和檢查步驟的有效性將是滿足的。
接下來�����,在顯示器64上顯示從智能卡12接收到的現(xiàn)金結(jié)余(Cash Balance)�����,在此之后或與此同時顯示一個“增加現(xiàn)金(ADDCASH)�?”菜單項。私人終端30最好有至少兩個軟件功能鍵����,用于對菜單顯示的肯定和否定答復。另一方面�����,也可以在鍵盤上包括肯定與否定共享或?qū)S玫墓δ苕I。
應該理解�,在圖6A-6C所示程序流程中的不同位置上可以包括檢查智能卡12是否在超時發(fā)生之前拿走的步驟(沒有示出)。如果沒有進一步要求活動的話��,這種做法將延遲后面程序的執(zhí)行�,以允許用戶將卡取出。這種做法可能有用的一個地方是在顯示了現(xiàn)金結(jié)余之后�。如果用戶正在檢查現(xiàn)金結(jié)余。則可以在結(jié)余顯示之后馬上將卡取出�����。如果卡取出后��,那么��,執(zhí)行將返回到程序開端�,等待插入另一張卡���。如本技術(shù)領域中所公認的那樣����,私人終端30將包括一個子程序,來感應取卡的過程�,并且在與卡接觸結(jié)構(gòu)的實際通訊失去之前就對卡斷電。換句話說�,卡插入開關在終端與卡接觸斷開之前就感應到卡的移動,從而可以在實際接觸切斷之前就執(zhí)行斷電步驟����。
注意,該現(xiàn)金結(jié)余讀出和顯示步驟是在沒有任何保密步驟的情況下執(zhí)行的�����,并且在卡入口上自動進行����。這就使得持卡人只需簡單地將卡插入私人終端30,就可以檢查他的智能卡上的現(xiàn)金結(jié)余���。這一操作如同打開錢包看其中有多少錢一樣快捷�,它是根據(jù)本發(fā)明提供一個私人終端的主要優(yōu)點�����。
下一步檢查由用戶所輸入的回答。如果沒有輸入“是”��,那么程序跳到圖6c的點D�,確定用戶是否要求了私人終端30的其它功能。假定用戶希望將更多的現(xiàn)金記入到智能卡12中�����,判斷步驟將作“是”的回答�,私人終端30將傳送一個命令到智能卡12上��,請求它的DDA#����。
下一步是顯示“輸入PIN”��,接下來是接受用戶所作的一個PIN代碼號的鍵盤輸入����。接下來對輸入的PIN作函數(shù)處理PIN_BLK=XOR(PIN����,DDA#)��。通過在私人終端30執(zhí)行這一功能���,在一PCOS智能卡中已經(jīng)提供的加密碼可以用于完成一PIN加密操作���,它將與主機中設置的進行現(xiàn)金信貸操作的PIN有效性代碼兼容���。
下一步是向智能卡12傳送一個命令,對PIN_BLK的值進行PIN加密�����。智能卡12的向應是執(zhí)行圖7A所示的程序步驟����,接收PIN_BLK參數(shù),然后執(zhí)行一系列功能��,對CTC(卡終端計數(shù)器)增1���,接著執(zhí)行加密步驟�,采用稱為Kauth的認證鍵�����,將認證對話鍵Ksa設定為等于對CTC加密的結(jié)果,接著又執(zhí)行一個加密步驟����,采用通話鍵Ksa將經(jīng)加密的PIN值P設定為等于對PIN_BLK參數(shù)加密的結(jié)果。隨后��,P和CTC的值由智能卡12返回到私人終端30���。
接下來在私人終端30執(zhí)行的步驟是接受并存貯P和CTC的值����,以便它們能包括在一個主機的信息包中�。此后向用戶顯示一條提示信息“AMT.TO ADD?”接著接受一個輸入值Ca�,作為加到智能卡12的現(xiàn)金標記中的現(xiàn)金金額。應該理解�,選定要增加的金額可以多種方式進行。與某些ATM機一樣����,私人終端30可以建議一種“即可兌現(xiàn)的現(xiàn)金”數(shù)額,如$40.00�����。私人終端30可以追蹤用戶增加現(xiàn)金值的習慣,并且建議用戶選擇的通常數(shù)額���。這一步驟應理解為包括很寬范圍的金額選擇子過程。
當要增加的金額Ca被輸入并接收后�,私人終端30向智能卡12發(fā)出一個命令,得到主機的電話號碼�,并與之通話,來進行現(xiàn)金提取和卡信貸操作��。這包括直接讀取智能卡12中的一個存貯單元或文件���,終端就知道了該智能卡12存貯的主機電話號碼�����。應該理解的是�,卡中間能有其它標記����,并且其它主機的電話號碼可能連接到這些標記,例如����,商店購物獎金標記可能有與主機進行通話來花掉這些獎金的電話號碼��。
當私人終端30得到主機電話號碼后�,它撥通該號碼并與主機建立通訊連接���。這可以通過采用公用電話線的調(diào)制解調(diào)器或蜂窩式調(diào)制解調(diào)器或任何其它數(shù)據(jù)通訊媒體來實現(xiàn)�。當與主機的通訊聯(lián)系建立起來之后��,私人終端30傳送一個WITHDRAWAL_CD_CRD包���,告訴主機交易的類型以及包括的參數(shù)����,例如����,在這種情況下是DDA#、P���、CTC和Ca�����。
主機響應這一信息包所采取的典型步驟示于圖8����。當主機收到WITHDRAWAL_CD_CRD信息包后,它通過采用認證鍵Kauth對收到的CTC參數(shù)進行DES加密來驅(qū)動認證通話鍵Ksa����。PIN_BLK是通過采用已被驅(qū)動的通話鍵對P參數(shù)進行DES解密來驅(qū)動的�。這些是通話保密過程中的標準加密/解密行為,在此不必作詳細解釋��。如果PIN_BLK是有效的�����,這意味著主機已證實了輸入的PIN并且證明智能卡12在加密PIN_BLK時已采用了合適的認證鍵Kauth���。
后面完成這些功能����,主機運行一系列檢測步驟���,看PIN_BLK是否有效���,以確定帳號中是否有足夠的資金�,并且確定是否超出了交易限定參數(shù)����,例如每天的提取限額。如果這些檢測步驟中有任一個返回的結(jié)果是“否”����,那么產(chǎn)生一個適當?shù)腻e誤信息包送回到私人終端30去處理。如果包括一個PIN輸入錯誤��,那么可以更新PIN_ERROR計數(shù)值���,使得主機能確定用戶是否采用無效的PIN輸入嘗試了許多次����,以圖進入帳戶��。
如果檢測步驟都返送結(jié)果“是”����,那么主機執(zhí)行一系列功能。通過采用信用鍵Kcre對CTC進行DES加密來驅(qū)動主機對話密鑰Ksh�。隨后運算函數(shù)XOR(Ca,DDA#)���,計算出信貸密碼CC���。
接著��,如附圖中功能方框所示進行兩個順序解密步驟����。通過采用主機對話密鑰Ksh對CC進行解密�,產(chǎn)生信貸密碼電文的CC′版本�����,然后���,通過采用認證對話密鑰Ksa對C′進行解密����,產(chǎn)生一個CC″版本�����。接著��,由主機將該CC″值傳送到私人終端30,作為一個VALID CC″(有效CC″)確認包的一部分�����,當接到來自私人終端30的一個DN_MSG時��,主機結(jié)束(DONE)�。應該理解,可以對私人終端30編程���,使其在主機聯(lián)機時能執(zhí)行其它私人ATM功能��。如果這樣的話�����,主機將在私人終端30的命令下或響應不同的傳輸數(shù)據(jù)包執(zhí)行其它私人銀行交易步驟�。這種附加的功能不是本發(fā)明的一部分�。
再回到圖6c,私人終端30接受并檢查主機信息�����。如果收到某類錯誤信息包,那么私人終端30確定交易已失敗����,顯示一個適當?shù)腻e誤信息,并返回到初始程序步驟����。根據(jù)失敗的原因,用戶可以再試一次���。
假定該主機信息表明交易是成功的�����,私人終端30向智能卡12傳送一個CREDIT_CASH(支出現(xiàn)金)命令,并帶有命令參數(shù)CC″和Ca���。智能卡通過執(zhí)行圖7B所示的CREDIT_CASH子程序��,來處理這個命令���。此命令參數(shù)被接收,并隨后執(zhí)行一系列功能�,首先,通過采用認證對話密鑰Ksa對CC″進行DES加密,導出參數(shù)CCa′�。注意,這是如圖8所示由主機執(zhí)行的最后的加密操作的逆操作��。然后���,通過采用信貸密鑰Kcre對CTC作DES加密�,產(chǎn)生主機對話密鑰Ksh�����。這在主機中模擬一個功能�����。接著���,通過采用主機對話密鑰Ksh對CCa′進行DES加密�,導出參數(shù)CCa��。最后���,通過對CCa和DDA#執(zhí)行XOR操作�����,導出Cac����。
接下來檢查智能卡12,看Cac是否等于Ca�,因為如果智能卡12中的所有加密和解密操作都與主機中的相應操作相匹配的話,Cac會等于Ca��。如果沒發(fā)現(xiàn)這種匹配�����,那么向私人終端30返回一個錯誤信息����。如果發(fā)現(xiàn)匹配,那么通過增加一個Ca值對現(xiàn)金標記中的現(xiàn)金結(jié)余預以更新����。此后向私人終端30返回一個成功代碼���。
回到圖6c�,假定CREDIT_CASH(支出現(xiàn)金)命令被發(fā)出并在卡中執(zhí)行后,私人終端30從智能卡接受一個有效響應�,那么再發(fā)出一條BALANCE(CASH)(現(xiàn)金結(jié)余)命令,此現(xiàn)金結(jié)余將與交易完成(TRANSACTION COMPLETE)信息一起又被顯示出來�,以便用戶能核實新的結(jié)余中包括所請求的額外現(xiàn)金。
接著���,程序檢查是否有其它卡請求為用戶所需要����。如果沒有�,卡被斷電,一條DN_MSG被傳送到主機�,并且程序返回到開始位置。如果其它卡請求沒有被指示���,那么程序檢查用戶是否指示了其它ATM請求���。如果是,私人終端30執(zhí)行這些個人ATM功能����,直到用戶完成所有交易為止。這種額外的個人ATM功能不是本發(fā)明的一部分�����,因此不在此進行討論。它們可能包括由私人終端30在一銀行處以模擬一個ATM機器的方式從一遠處進行付帳�����、轉(zhuǎn)帳等活動���。
根據(jù)上面的描述�����,應該清楚���,本發(fā)明的私人終端30可以是一個簡單并且便宜的設備,因為它與智能卡12和主機進行簡單的數(shù)據(jù)輸入和數(shù)據(jù)通訊工作�����。由于不需要采取保密措施來防止欺詐��,因此終端中沒有保密功能�����,從而終端的制造很便宜�。
也應該理解,對所示出并加以討論的示例性程序可以作許多變化���。例如���,在私人終端30中運行的程序可以包括一條給智能卡12的命令,用于在執(zhí)行其它步驟之前證實輸入的PIN�����。這會避免設置所有只與主機連接的步驟以發(fā)現(xiàn)在PIN輸入中已有的錯誤���。在這種改進中���,智能卡12可以包括一個檢查PIN的模塊,以便在卡被鎖住無法作進一步使用之前�����,經(jīng)用戶幾次機會試一試插入正確的PIN����。
本發(fā)明系統(tǒng)與方法的一般原理是通過描述各種實施例說明的����。然而��,應該理解���,本領域的技術(shù)人員在不違反下面本發(fā)明的權(quán)利要求中所要求的范圍的前提下可以作許多改進����。
權(quán)利要求
1.在私人場所通過與遠程位置操作上兼容的終端進行聯(lián)機交易對話���,改變存貯在持卡人的IC卡中的標記值的一種方法��,所述IC卡具有一個微控制器和相關的微控制器程序存貯器��,標記值數(shù)據(jù)和卡保密數(shù)據(jù)的保密保護存貯單元��,一個數(shù)據(jù)通訊接口�����,以及存貯在所述程序存貯器中的預先安排的卡保密程序���,該程序用于為進行與交易相關的數(shù)據(jù)讀出和寫入操作而對保密保護存貯單元的持卡人存取保密性和終端存取保密性進行管理�,所述操作上兼容的終端包括與所述預先安排的卡保密程序兼容的預先安排的交易保密程序���;所述方法包括以下步驟a.在所述IC卡中建立一個到所述數(shù)據(jù)通訊接口的卡數(shù)據(jù)鏈路;b.經(jīng)由所述卡數(shù)據(jù)鏈路向所述IC卡傳送一條持卡人數(shù)據(jù)保密信息���,以使得所述卡保密程序產(chǎn)生保密的持卡人識別數(shù)據(jù)�����;c.建立到所述運行兼容的終端的一個數(shù)據(jù)鏈路���;d.經(jīng)由所述卡數(shù)據(jù)鏈路和所述終端數(shù)據(jù)鏈路在所述IC卡和所述外部終端之間傳輸保密的交易信息,包括從所述持卡人來的標記變化向量數(shù)據(jù)����,以使得所述IC卡和所述外部終端執(zhí)行相互認證功能以及進行一個保密的標記值改變交易;e.經(jīng)由所述卡數(shù)據(jù)鏈路讀出存貯在所述IC卡中的一個修改后的標記值�;f.將所述修改后的標記值傳送到所述持卡人。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于進一步包括以下步驟a.1.在所述步驟a之后立即讀出一個存貯在所述IC卡中的當前標記值;a.2.將所述當前標記值傳送到所述持卡人��;其中所述步驟b.只有在所述持卡人啟動一個標記值改變請求后才執(zhí)行��。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于存貯在所述IC卡中的所述標記值是一電子現(xiàn)金標記���,所述方法適用于在所述私人場所進行由音頻電話啟動的與具有相關的操作上兼容終端的送貨服務商業(yè)部門進行的持卡人購物交易�����,并且其中所述步驟a是在所述持卡人向與所述送貨服務商業(yè)部門相關的操作人員傳送了聲音購物訂單后執(zhí)行���,以及所述步驟c由所述持卡人和所述操作人員分別從音頻電話鏈路切換到終端數(shù)據(jù)鏈路來執(zhí)行,以完成所述方法步驟的結(jié)余�。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于所述IC卡包括若干標記值數(shù)據(jù)項的保密保護存貯單元����,每個數(shù)據(jù)項相關于某項服務,以及包括存貯在所述程序存貯器中一個預先安排的標記值初始化程序�,該程序與所述遠程位置處所述操作上兼容終端中包括的一個相應的預先安排的標記值初始化程序相兼容;以及其中所述步驟d包括d1.從所述持卡人向所述IC卡和所述外部終端傳送一個標記啟動請求��,并同時傳送一個包括由所述持卡人請求的初始標記值數(shù)額的一個標記變化向量��;d.2.經(jīng)由所述卡數(shù)據(jù)鏈路和所述終端數(shù)據(jù)鏈路�,為所述IC卡和所述外部終端中的所述相應的標記值初始化程序,在所述IC卡和所述外部終端之間傳輸保密的交易數(shù)據(jù)信息。
5.根據(jù)權(quán)利要求1所述的方法�,其特征在于也適用于在所述私人場所進行若干自動銀行業(yè)務交易,其中所述IC卡進一步包括若干銀行帳號數(shù)據(jù)項的保密保護存貯單元�,包括儲蓄、核算�、信貸以及貸款帳目數(shù)據(jù)項的其中一項或多項;所述操作上兼容終端有到與所述持卡人有關的銀行的主機的保密數(shù)據(jù)和程序的連接��,并且其中所述步驟d包括經(jīng)由所述卡數(shù)據(jù)鏈路和所述終端數(shù)據(jù)鏈路在所述IC卡和所述外部終端之間傳送保密的交易信息�,包括與由所述持卡人選定的一系列所述標記值改變和所述自動銀行交易中的一項或多項相關的交易信息��。
6.通過與一遠程位置的運行兼容的終端進行聯(lián)機交易對話��,在私人場所執(zhí)行一項包括改變存貯在持卡人的IC卡中的標記值的交易的一個終端�����,所述IC卡具有一個微控制器和相關的微控制器程序存貯器����,標記值數(shù)據(jù)和卡保密數(shù)據(jù)的保密保護存貯單元,一個數(shù)據(jù)通訊接口���,以及存貯在所述程序存貯器中的預先安排的卡保密程序����,該程序用于為與交易相關的讀出和寫入操作而對保密保護存貯單元的持卡人存取保密性和終端存取保密性進行管理,所述操作上兼容的終端包括一個數(shù)據(jù)通訊接口和與所述預先安排的卡保密程序兼容的預先安排的交易保密程序����;所述終端包括在所述IC卡中建立一個與所述數(shù)據(jù)通訊接口的卡數(shù)據(jù)鏈路的裝置;用于接收持卡人輸入的一個保密數(shù)據(jù)項�����,并且經(jīng)由所述卡數(shù)據(jù)鏈路向所述IC卡傳送所述保密數(shù)據(jù)項的一個代表���,以使得所述卡保密程序準備并且向持卡人送回卡認證數(shù)據(jù)項的裝置����;為了使所述持卡人啟動標記值變化交易的裝置��,其中要包括用于接收持卡人輸入的一個標記變化向量的裝置�;響應所述持卡人啟動的標記變化交易,用于建立一個與遠程位置的外部終端的終端數(shù)據(jù)鏈路的裝置���;經(jīng)由所述卡數(shù)據(jù)鏈路和所述終端數(shù)據(jù)鏈路在所述IC卡和所述外部終端之間傳輸一個預先安排的信息的裝置�����,該信息包括使得所述IC卡和所述外部終端執(zhí)行相應的終端認證和IC卡認證程序的保密認證信息��;以及保密交易信息����,包括所述標記變化向量和使得所述外部終端證實持卡人身份并使所述IC卡和所述外部終端執(zhí)行秘密的標記值變化交易的持卡人認證數(shù)據(jù);經(jīng)由所述卡數(shù)據(jù)鏈路讀出所述IC卡中經(jīng)修改后的標記值并且將所述修改后的標記值傳送到所述持卡人的裝置��。
7.根據(jù)權(quán)利要求6所述的終端�����,其特征在于進一步包括在所述卡數(shù)據(jù)鏈路建立之后立即讀出存貯在所述IC卡中的一個當前標記值的裝置�����,以及將所述當前標記值傳送到所述持卡人的裝置����。
8.根據(jù)權(quán)利要求6所述的終端����,其特征在于存貯在所述IC卡中的所述標記值是一電子現(xiàn)金標記;并且所述終端適用于在所述私人場所進行經(jīng)由一個音頻電話啟動的與具有相關的操作上兼容終端的送貨服務商業(yè)部門進行的持卡人購物交易�,并且所述裝置響應持卡人啟動的標記變化交易包括用于在音頻電話鏈路和終端數(shù)據(jù)鏈路之間切換的裝置���。
9.根據(jù)權(quán)利要求6所述的終端,其特征在于所述IC卡包括若干標記值數(shù)據(jù)項的保密保護存貯單元�����,每個數(shù)據(jù)項相關于某項服務�,以及包括存貯在所述程序存貯器中的一個預先安排的標記值初始化程序,所述程序與所述遠程位置的所述操作上兼容的終端中包括的相應的預先安排的標記值初始化程序兼容��;所述終端進一步包括用于接收由持卡人輸入的一個標記值初始請求以及一個相關的標記值變化向量的裝置�����;并且其中用于傳送一系列保密信息的所述裝置包括傳送保密的交易信息�����,該信息中包含由所述IC卡和所述遠程終端中的所述標記值初始化程序請求的所述標記值初始化請求及所述相關的標記變化向量�。
全文摘要
通過與遠程設置上操作上兼容的終端進行聯(lián)機交易對話,在私人場所執(zhí)行一項包括改變存貯在持卡人的IC卡中的標記值的交易的一個終端�。該私人終端建立與此IC卡和此遠程終端的數(shù)據(jù)鏈路,并經(jīng)由這些數(shù)據(jù)鏈路在相互之間傳送保密的認證與交易信息�,信息的保密性依賴于IC卡和遠程終端。
文檔編號G06Q10/00GK1127045SQ94192780
公開日1996年7月17日 申請日期1994年6月2日 優(yōu)先權(quán)日1993年6月2日
發(fā)明者L·S·中村, A·B·羅伯斯, J·F·希斯 申請人:韋里豐公司