专利名称:一种非接触式逻辑加密卡终端防拔处理方法
技术领域:
本发明涉及一种非接触式IC卡终端防拔处理方法。
非接触式IC卡和非接触式IC卡终端之间,采用射频方式进行通讯,有效距离约为10cm。非接触式IC卡具有全球唯一、不可改写的物理卡号,作为唯一性标识。
非接触式IC卡分为CPU卡和逻辑加密卡。
CPU卡也称智能卡,卡内的集成电路中带有微处理器MPU、较大容量的存储器(ROM、RAM、EEPROM等)、安全逻辑、数学运算协处理器等多种电路以及芯片操作系统COS(Card Operating System),不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。CPU卡由于具有很高的安全性,同时成本也较高,主要用于金融保险、通讯电信、网络认证等行业。
逻辑加密卡的集成电路芯片内置有逻辑加密保护电路的EEPROM存储芯片,只能存储数据,不具有数据处理能力;加密逻辑电路能在一定程度上保护卡和卡中数据的安全,无法防止恶意的攻击。逻辑加密卡由于成本较低,同时具有一定的安全性,在交通、公用事业、医疗卫生、旅游娱乐、安全控制及考勤、社区服务等非金融领域得到广泛的应用。
逻辑加密卡的存储容量通常不小于1024个字节,可划分为1-16个扇区,按扇区进行管理。每一个扇区具有读和写两种密钥保护,并且各个扇区的密钥可以各不相同。
逻辑加密卡具有实现电子钱包的专门钱包格式,只能执行以下几种操作●加或减一个给定的操作数(不能直接进行读写,执行加或减操作视具体保护密钥和条件而定,读密钥对应减操作,写密钥对应加操作);●钱包之间互相复制。
对电子钱包的改写操作只可能有以下三种状态●改写成功●改写失败,未改写●改写失败,被破坏,结构非法。
对给定的操作数,电子钱包的改写操作要么写对、要么写坏、要么不写,而不会写入未预期的值,这时逻辑加密卡实现电子钱包功能的保证之一。
但是,当操作数在传送过程中发生改变时,仍可能导致写操作出现未预期的值即第四种状态;而钱包复制操作不包含操作数,则不会出现这种情况。
为了实现交易异常结束时的恢复处理,电子钱包通常分为正副本,正常情况下是相等的。在正常操作时,首先操作钱包正本,再操作钱包副本;当需要恢复处理时,可以视需要从钱包副本修正正本或正本修正副本,保证钱包状态的一致性。当钱包正本副本中有一个结构非法时,按照非法的服从合法的原则,仍然认为其具有一致的状态,但需要对非法的进行修复。
随着金卡工程的不断发展,各种非接触式IC卡交易系统越来越多。非接触式IC卡主要用于脱机交易系统,采用PSAM(消费终端安全控制模块)卡认证方式,保证脱机环境下系统的交易安全性。
PSAM卡是具有专用COS的CPU卡,符合《中国金融集成电路(IC卡)PSAM卡规范》和《中国人民银行PSAM卡应用规范》,支持多级密钥分散机制,能产生《中国金融集成电路(IC)卡规范》中定义的MAC报文校验码。
用于交通、建设行业交易系统的PSAM卡,还必须符合《建设部安全认证卡(模块)技术要求(V3.0)》,通过对非接触式IC卡的物理卡号等唯一性资料进行密钥分散,得出该卡的认证密钥,从而实现一张卡片对应一个不同密钥、甚至一扇区对应一个不同的密钥,大大提高了逻辑加密卡的交易安全性。
非接触式IC卡与PSAM卡之间的认证,是由具有较强运算能力的PSAM卡进行加密和解密运算,并由终端使用认证密钥与非接触式IC卡进行三重认证(参见ISO/IEC DIS 9798-4),在卡片和终端之间互相确认合法性。
典型的交易记录主要包含如下内容PSAM卡号、PSAM卡交易流水号、IC卡号、卡交易计数、交易日期时间、交易金额、本次余额、交易类型、上次交易PSAM卡号、上次交易PSAM卡交易流水号等。
PSAM卡交易流水号是PSAM卡的交易认证计数,每进行一次交易加一;卡交易计数是卡的交易次数,每进行一次交易加一。PSAM卡交易流水号和卡交易计数用于清算系统的安全审计分析,保证交易系统的安全性。
IC卡脱机交易系统具有两个账务卡上的电子钱包账务和清算系统账务。电子钱包账务由IC卡自行(CPU卡)或通过终端(逻辑加密卡)维护;清算系统账务由清算系统根据交易记录进行维护。保持两个账务的一致性即交易一致性,是整个交易系统正常运行的基础。
●电子钱包账务每次充值或消费交易时,增加或减少相应的值;●清算系统账务处理充值或消费交易记录,增加或减少相应的值。
由于终端的交易记录会原封不动地上传到交易清算系统,因此,保证每次电子钱包账务变动时,终端产生正确的交易记录是保持交易一致性的关键。终端通常是先处理电子钱包账务,再产生交易记录。
逻辑加密卡的电子钱包账务本身的一致性,就是钱包正本和副本的一致性。交易流程必须保证交易正常结束或异常结束进行恢复后,电子钱包的正本副本保持一致。
清算系统账务本身的一致性,是通过数据库系统的事务处理功能保证的。数据库系统的高级事务处理机制,保证对数据的操作要么成功(进行提交),要么不成功(进行回滚)。
交易一致性必须同时保持两个账务间的一致性和两个账务本身的一致性。
由于交易可能中途中断、异常结束而破坏交易的一致性状态,需要在再次交易时进行适当的恢复处理,维持交易一致性。
卡的交易状态描述交易的执行结果,包括两种成功和失败。
为了维持交易系统的一致性,交易的执行结果必须是●成功电子钱包账务正确完成交易,产生对应的交易记录;●失败电子钱包账务取消交易,不产生对应的交易记录。
不管交易是否成功,电子钱包账务和清算系统账务间和电子钱包账务本身必须保持一致性。
电子钱包账务处理流程分正本、副本两步处理,操作的可能结果(定义为电子钱包的状态)如下(以消费交易为例)
●如果仅操作正本,没有操作副本,则操作失败,这时正本可能正常完成操作(正本<副本)或被破坏(正本非法);●如果既操作正本,又操作副本,则操作成功,这时副本可能正常完成操作(正本=副本)或被破坏(副本非法);由于写交易记录是在终端上执行的,只要能够确定电子钱包的状态,就可以确定是否写交易记录,保持一致性。
另外,卡的交易流程中除执行账务处理流程外,还必须执行其它不影响交易状态的辅助处理流程。全部流程执行完毕后,才算完成整个交易。
非接触式IC卡通过射频方式与终端进行通讯,操作距离较短,持卡人在交易的过程中,随时可能由于晃动等客观或主观操作而将IC卡移出操作范围,即发生拔出操作,导致交易异常结束。
终端防拔功能的核心,是确定IC卡发生交易异常结束时的交易状态。当交易异常结束的IC卡再次进行交易操作时,具有防拔功能的终端能够根据IC卡的交易状态,自动执行相应的恢复进程,保证两个账务的一致性;如果无法确定交易异常结束时IC卡的交易状态,终端就无法选择正确的交易恢复流程,可能造成恢复失败。因此,终端防拔功能是保证交易一致性最重要的手段之一。
使用接触式IC卡的终端,可以检测到卡片从终端以高达1m/s的速度的拔出操作,在IC卡拉出1mm之前,自动开始触点释放序列,完成防拔处理。
使用非接触式IC卡的终端,完全不能感知和确定IC卡的运动,也就无法直接进行硬件防拔处理。因此,必须采用某种特定的方法,进行软件防拔处理。
由于终端无法感知非接触式IC卡的拔出操作,不能获知非接触式IC卡是否还处在操作范围,导致在对IC卡的操作过程中存在未知的状态在对IC卡进行操作过程中IC卡突然拔出,则不能返回操作的结果。这时,卡片上的操作对象数据存在三种可能的状态被破坏、读写正确、读写失败。甚至在强干扰的环境下,操作数的改变还会导致发生第四种状态非预期的结果,即读写错误(类似前述电子钱包的说明)。
非接触式IC卡操作过程存在的未知状态,是影响终端防拔处理的重要因素,甚至是矛盾终端无法采取有效的方法确定和标识IC卡发生交易异常结束时的交易状态。
其中,现有技术方案中的逻辑加密卡的主要应用结构如下●电子钱包具有正副本备份。
●具有历史交易记录区,通过环形队列形式,记录最近发生的N笔交易,并通过交易指针指明最近发生的一笔交易。历史记录的内容包括交易余额、交易金额、PSAM卡号、PSAM卡交易流水号、交易日期时间等。
●具有公共信息区,存放进程标识、交易指针、卡交易计数等。公共信息区具有正副本备份。
现有技术方案采用了两种手段配合来标记IC卡的交易状态●在IC卡上写入进程标识(初始值为00),标记交易是否成功。
当进程标识为01时,表示还没有交易成功(恢复时对应交易失败),终端没有生成交易记录,可能仅执行了扣除钱包正本的操作,至少钱包副本的状态与清算账务的状态一致(正本可能被破坏),恢复时用钱包副本复制到正本,保持电子钱包账务本身的一致性; 当进程标识为02时,表示将要或已经交易成功(恢复时对应交易成功),终端将要或已经生成交易记录,可能仅剩余扣除钱包副本的操作未执行(或被破坏),钱包正本的状态将或已经与清算账务的状态一致,恢复时用钱包正本复制到副本,保持电子钱包账务本身的一致性。交易全部正常完成时,进程标识仍为02。
●用公共信息区正本副本进行校验,由是否相同来标记进程标识的有效性。由于进程标识本身也是IC卡上的操作对象数据,可能被破坏而导致无法执行恢复流程,因此进程标识必须具有备份且满足一定的附加条件才能生效。
当公共信息区正本副本相同时,表示进程标识已生效。
如果进程标识为02则交易成功,可能仅剩辅助流程未执行;如果进程标识为01则交易失败。恢复时按照进程标识的值选择执行相应的恢复流程; 当公共信息区正本副本不相同时,表示进程标识未生效,交易失败,恢复时需同步电子钱包账务和公共信息区正本副本。
现有技术方案采用了进程标识和公共信息区正本副本校验相结合的方法,试图确定和标识IC卡发生交易异常结束时的交易状态(从后面的缺点分析可以看到这种方法仍然无效)。
现有的各种技术方案均基于建设部的相关技术规范。
在现有技术方案里,卡的交易状态是用进程标识的状态和公共信息区正本副本校验的状态结合来描述的。
但上述方案有一个致命的缺陷,源于非接触式IC卡操作过程存在的未知状态,即未确定状态。
可以看出,(将公共信息区正本复制到副本),是整个流程最关键的一步。如果复制成功,则进程标识生效、公共信息区正本副本相同,交易成功;如果复制不成功,则进程标识无效、公共信息区正本副本不相同,交易失败。
在执行该流程操作后,IC卡的交易状态可能存在以下几种●复制成功,公共信息区正本副本相同。
●复制不成功,公共信息区副本未被改写。
●复制不成功,公共信息区副本被改写成错误的值。
但是,如果在执行该流程操作的过程中发生拔出操作,则终端可能无法返回操作的结果是上述三种状态中的哪一种。在执行流程(13)之后,终端必须依赖返回的结果进行判断,是继续执行交易流程,还是放弃执行交易流程。如果终端假设操作的结果,甚至没有结果就当作错误,则最终执行的流程可能与实际情况正好相反,一些典型的例子如下●公共信息区正本复制副本成功,终端由于无法获得返回的操作结果而认为操作错误,没有继续执行交易流程(没有产生交易记录),导致电子钱包账务已发生成功交易,而清算账务没有对应的交易记录,表现为电子钱包多扣(丢失交易记录)。
●公共信息区正本复制副本不成功,终端却认为操作成功,继续执行交易流程(产生交易记录),导致清算系统账务已发生成功交易,而电子钱包账务在IC卡下次交易时自动恢复处理为未发生交易,表现为电子钱包少扣(多交易记录)。
其它各种技术方案可能与上述技术方案有所不同,但是所有技术方案的共同点是仅依赖逻辑加密卡上的标识数据来描述卡的交易状态,即仅在逻辑加密卡上定义和维护交易状态。由于对逻辑加密卡的操作过程存在的未知状态,导致终端可能无法确定IC卡真正的交易状态,IC卡上的交易状态数据就失去了标识意义。由此导致的影响分为两种●电子钱包多扣电子钱包账务交易成功,而清算系统账务没有对应的交易记录,导致交易系统的不一致性;●电子钱包少扣电子钱包账务交易失败,而清算系统账务存在交易记录,导致交易系统的不一致性。
发明内容
本发明的目的,就是解决现有技术方案的致命缺陷,做到卡交易状态的准确描述和维护,彻底解决逻辑加密卡交易系统中存在的多扣、少扣等现象,保证交易系统的一致性,真正实现非接触式IC卡终端的防拔功能。
本发明所述的非接触式逻辑加密卡的防拔处理方法包括以下步骤1)、在非接触式逻辑加密卡的电子钱包账务中和交易清算系统账务中设置一个相同的交易状态标识;2)、在非接触式逻辑加密卡的电子钱包账务中设置利用交易状态标识来判断交易是否成功及未确定的交易处理流程;3)、在交易清算系统账务中设置利用交易状态标识来判断交易是否成功及未确定的交易处理流程。
其中上述步骤1中在非接触式逻辑加密卡的电子钱包账务中和交易清算系统账务中设置一个相同的交易状态标识是将非接触式逻辑加密卡的电子钱包的状态作为非接触式逻辑加密卡的电子钱包账务和交易清算系统账务的交易状态标识,该交易状态标识表达三种可能的状态交易成功、交易失败、未确定状态。
上述步骤2中所述的交易处理流程包括以下步骤a1)、当非接触式逻辑加密卡进入终端的操作范围时,终端进行选卡的一系列操作;a2)、终端对非接触式逻辑加密卡进行交易恢复的操作,使非接触式逻辑加密卡的电子钱包的正本和副本及公共信息区的正本和副本保持一致;a3)、终端对非接触式逻辑加密卡的电子钱包进行消费或充值交易的操作,完成电子钱包账务的处理和设置交易成功与否及未确定的交易状态标识;a4)、终端根据上述的交易状态标识进行公共信息区副本的同步及终端写记录和提示的操作,使交易清算系统账务和非接触式逻辑加密卡的电子钱包账务的状态保持一致。
既然交易系统的一致性是卡上的电子钱包账务和清算系统账务的一致性,那么必须突破现有的思路,改变仅在IC卡上定义和维护交易状态的做法,在清算系统中也定义和维护同样的交易状态,通过维护两个账务中每笔交易的交易状态的一致性,来维护整个交易系统的一致性。
本发明在电子钱包账务和清算系统账务上同时定义了统一的交易状态标识。通过两个账务的交易状态标识的同步,保证整个交易系统的一致性。即通过将卡的不确定的交易状态和账务系统的确定的交易状态进行同步,维护两个账务中每笔交易的交易状态的一致性,来维护整个交易系统的一致性。
本发明直接用电子钱包的状态作为非接触式逻辑加密卡的交易状态,是最清晰、准确、简单的描述,而且可靠性、安全性非常高。电子钱包具有可预期的结果而其它标识可能出现未预期的结果(钱包复制操作中没有操作数);而且通常电子钱包的安全级别比公共信息区的安全级别高。
本发明的技术方案定义的交易状态中●卡的交易状态通过IC卡的电子钱包的状态标识 电子钱包的状态为成功,此时已成功完成账务处理部分,终端已经生成交易记录,交易记录的交易状态为0,至少钱包正本的状态与清算账务的状态一致(副本可能被破坏),仅剩余辅助处理部分,恢复时用钱包正本复制到副本,保持电子钱包账务本身的一致性; 电子钱包的状态为失败,此时未成功完成账务处理部分,
终端没有生成交易记录,至少钱包副本的状态与清算账务的状态一致(正本可能被破坏),恢复时用钱包副本复制到正本,保持电子钱包账务本身的一致性。
电子钱包的状态为未确定(因发生拔卡操作而未知),终端也生成交易记录,交易记录的交易状态为1,至少钱包正本的状态与清算账务的状态一致(副本可能被破坏),恢复时按照卡的真正的交易状态,执行相应的恢复流程;●清算系统的交易状态通过交易记录中的交易状态字段标识。
如果交易状态为0,表示电子钱包的状态为成功,交易记录为有效交易记录; 如果交易状态为1,表示电子钱包的状态为未确定,交易记录为未确定交易记录。清算系统通过设置交易处理流程进行分析处理,最终将未确定交易记录处理为有效交易记录和无效交易记录。本发明两个账务系统的同步方式如下●电子钱包账务操作成功,清算系统账务产生交易记录;●电子钱包账务操作失败,清算系统账务不产生交易记录;●电子钱包账务操作结果未知,清算系统账务产生未确定交易记录 电子钱包账务实际操作成功,未确定交易记录确定为有效交易; 电子钱包账务实际操作成功,未确定交易记录确定为无效交易。
本发明将原有其它技术方案中出现的少扣现象转化为不扣现象,杜绝多扣现象;并可以采取优化措施,在特定的应用中防止出现不扣的现象。
综上所述,本发明与现有技术方案比较,具有如下优点
●本发明能够真正保证交易系统的一致性,而其他技术方案无法保证。
●由于逻辑加密卡拔出操作的不可预知性,从原理上可以看出,在流程关键点进行拔出操作时,本发明仅可能发生电子钱包不扣费的情况,而任何其他技术方案可能发生电子钱包少扣费和多扣费的情况;●本发明的技术方案中直接使用电子钱包的状态作为卡的交易状态标识,流程简单、清晰,执行速度快;而现有方案使用复杂的交易状态标识,流程非常复杂,执行速度慢;●本发明技术方案的关键操作点是将钱包正本复制到副本,使用专门的钱包复制命令,而现有方案的复制操作是将公共信息区正本复制到副本,使用普通读写指令。故本发明技术方案的关键点操作执行速度快、可靠性高,发生未知状态的几率远小于现有方案;而且本发明技术方案不会出现多扣,仅出现不扣现象的几率更小于现有技术方案流程出现多扣、少扣现象的几率。
本发明可广泛应用在各地区的公交电子收费系统车载收费终端产品上和各地区的公交电子收费系统公交交易清算系统中。
以下结合附图
详细描述本发明的基本组成及其实现方法
期时间等资料;●公共信息区,用于存放交易指针,卡交易计数等,其具有可相互备份的正本和副本;本发明的交易记录格式中设置有交易状态标识,用于描述发生该笔交易时电子钱包的状态。
本发明所述的非接触式逻辑加密卡及其终端防拔处理方法包括以下步骤1)、在非接触式逻辑加密卡的电子钱包账务中和交易清算系统账务中设置一个相同的交易状态标识;其中本实施例中在非接触式逻辑加密卡的电子钱包账务中及清算系统账务中设置一个相同的交易状态标识是将非接触式逻辑加密卡的电子钱包的状态作为电子钱包账务和清算系统账务的交易状态标识。
2)、在非接触式逻辑加密卡的电子钱包账务中设置利用交易状态标识来判断交易是否成功及未确定的交易处理流程。
3)、在交易清算系统账务中设置利用交易状态标识来判断交易是否成功的交易处理流程。
上述步骤2中在电子钱包账务中设置利用交易状态标识来判断交易是否成功和未确定的交易处理流程包括消费交易处理流程和充值交易处理流程。两者基本相同,只须将消费操作改为充值操作即可。
其中,上述交易处理流程包括以下步骤首先,当非接触式逻辑加密卡进入终端的操作范围时,终端进行选卡的一系列操作;其次,终端对非接触式逻辑加密卡进行交易恢复的操作,使非接触式逻辑加密卡的电子钱包的正本和副本及公共信息区的正本和副本保持一致;其主要包括以下步骤a21)、终端从非接触式逻辑加密卡中读入电子钱包的正本和副本
a22)、判断电子钱包的正本和副本的结构是否都合法,如果不合法,转到步骤a26,否则a23)、判断电子钱包的正本和副本是否相等,如果不相等,转到步骤a25,否则a24)、将公共信息区正本复制到副本,转到步骤a3;a25)、将公共信息区副本复制到正本,并将电子钱包副本复制到正本,转到步骤a3;a26)、判断电子钱包正本结构是否合法,如果不合法转到步骤a28,否则a27)、将电子钱包正本复制到副本并将公共信息区正本复制到副本,转到步骤a3;a28)、判断电子钱包副本结构是否合法,如果不合法,转到步骤a20,否则a29)、将电子钱包副本复制到正本,转到步骤a3;a20)、发出该非接触式逻辑加密卡为非法卡的提示,并退出流程的操作。
再次,终端对非接触式逻辑加密卡的电子钱包进行消费交易的操作完成电子钱包账务的处理和设置交易成功与否及未确定的交易状态标识;其主要包括以下步骤a31)、扣电子钱包正本;a32)、将电子钱包正本的交易余额、交易金额、终端卡号、终端交易流水号、交易日期等资料写入历史记录区;a33)、改写公共信息区的交易指针、交易次数;a34)、将电子钱包正本复制到副本;a35)、判断电子钱包的副本状态是否未知,如果未知,转到步骤a39;否则a36)、判断电子钱包副本结构是否合法,如果不合法,转到步骤a38;否则a37)、判断电子钱包正本和副本是否相等,如果不相等,转到步骤a30;否则a38)、电子钱包的交易状态为成功,将交易状态标识设置为零,转到步骤a4;a39)、电子钱包的交易状态为未知,将交易状态标识设置为壹,转到步骤a4;a30)、电子钱包的交易状态为失败,转到上述步骤a4;最后,终端根据上述的交易状态标识进行公共信息区副本的同步及终端写记录和提示的操作,使清算系统账务和电子钱包账务的状态保持一致。其包括以下步骤a41)、判断交易状态标识是否为零(交易成功),如果为零,转到步骤a43;否则a42)、判断交易状态标识是否为壹(交易未确定),如果为壹,转到步骤a44;否则交易失败,转到步骤a46;a43)、将公共信息区正本复制到副本;a44)、终端发出对应的信息,提示交易成功;a45)、从卡上历史记录区取出上一笔交易的终端卡号和终端交易流水号填入本次交易记录,终端写入交易记录,保持电子钱包账务和清算系统账务的一致性;a46)、结束本次交易流程。
上述步骤3中在交易清算系统账务中设置利用交易状态标识来判断交易是否成功和未确定的交易处理流程,包括以下步骤31)、在每一个清算周期,交易清算系统挂起所有交易状态标识为壹的交易记录作为未确定交易记录(交易未确定),暂时不参与清算;处理所有交易状态标识为零的交易记录作为有效交易记录(交易成功),并直接参与清算;32)、对每一笔未确定交易记录,查找同一张卡的下一笔交易记录(查找方法为判断同一张卡的一笔交易记录中指向上一笔交易记录的终端卡号和终端交易流水号是否与该笔未确定交易记录的终端卡号和终端交易流水号相等)。如果找到,转到步骤34;否则33)、将未确定交易记录继续挂起到下一个清算周期再处理,转到步骤36;34)、如果该卡的下一笔记录与该笔记录的卡交易计数相同,则处理该笔交易记录作为无效交易记录(交易失败),不参与清算,转到步骤36;35)、如果该卡的下一笔记录与该笔记录的卡交易计数的差为壹,则处理该笔交易记录作为有效交易记录(交易成功),可参与清算;36)、如果未确定交易记录未处理完毕,转到步骤32,否则37)、对所有有效交易记录进行清算处理。对本发明技术方案的分析本发明所述步骤a2中的操作,全部是交易恢复进程,没有实质性的交易操作。即使上次交易正常结束,每次交易也需要经过恢复流程,但不会做实质性的恢复操作。如果执行过程中出现错误,流程及时中断退出,下次交易时无需恢复;本发明所述步骤a3中的操作,是流程的电子钱包账务处理部分。如果执行过程中出现错误,交易失败,流程及时中断退出,下次交易时需要恢复。其包含如下恢复步骤a21、从IC卡上读入电子钱包正本和副本;a22、检查电子钱包正本和副本的结构是否都合法,由于还没有操作钱包副本,故副本合法;如果正本合法,下一步跳转到流程a23,否则下一步跳转到流程a26;a23、进入恢复进程操作,判断电子钱包正本副本是否相等。如果上次交易还没有操作钱包正本,则正本副本相等,下一步跳转到a24,否则下一步跳转到a25;
a24、将公共信息区正本复制到副本(此时两者相同,为冗余操作),下一步执行流程退出恢复进程,返回到主流程,下一步执行流程a3;a25、将公共信息区副本复制到正本,还原上次交易对公共信息区可能的修改;上次交易记录的历史交易记录将变成无意义的数据,由于上次交易已经操作过钱包正本,将电子钱包副本复制到正本,取消上次交易的操作,保持电子钱包账务的一致性,下一步退出恢复进程,返回到主流程,下一步执行流程a3;a26、进入另一恢复进程的操作,判断电子钱包正本结构是否非法。由于正本非法,下一步跳转到流程a28;a28、判断电子钱包副本结构是否非法。由于副本合法,下一步跳转到流程a29;a29、上次交易已经破坏钱包正本,将电子钱包副本复制到正本,取消上次交易的操作,保持电子钱包账务的一致性,下一步退出该次恢复进程的操作,返回到主流程a3,开始新的交易流程。
步骤a4中的操作,是流程的剩余辅助部分,根据特定的交易状态完成钱包副本同步及写交易记录和提示等。如果执行过程中出现错误,流程继续执行至结束,下次交易时可能需要恢复。其包含如下恢复步骤a21、从IC卡上读入电子钱包正本和副本;a22、检查电子钱包正本和副本的结构是否都合法,由于钱包正本早已操作成功,故正本合法;如果副本合法,下一步跳转到流程a23,否则下一步跳转到流程a26;a23、进入恢复进程的操作,判断电子钱包正本副本是否相等。如果上次交易正本复制到副本操作成功,则正本副本相等,交易成功,下一步跳转到a24,否则正本复制到副本操作失败,交易失败,下一步跳转到a25;a24、将公共信息区正本复制到副本,保持状态的一致性,下一步执行流程a3;a25、将公共信息区副本复制到正本,还原上次交易对公共信息区可能的修改;上次交易记录的历史交易记录将变成无意义的数据;由于上次交易已经操作过钱包正本,将电子钱包副本复制到正本,取消上次交易的操作,保持电子钱包账务的一致性,下一步转回到执行流程a3;a26、进入另一恢复进程的操作,判断电子钱包正本结构是否非法。由于正本合法,下一步跳转到流程a27;a27、由于副本非法,将电子钱包正本复制到副本,保持电子钱包账务的一致性,将公共信息区正本复制到副本,保持状态的一致性,下一步转回到执行流程a3,开始新的交易流程。
在上述步骤a42后,当非接触式逻辑加密卡的交易状态未确定时提示交易成功信息,会造成不扣现象。
当IC卡发生拔出操作时,IC卡的交易状态可能处于未知状态,有可能交易成功,也有可能交易失败。
●如果交易成功,未确定交易记录为有效交易记录,则终端提示交易成功信息正确;●如果交易失败,未确定交易记录为无效交易记录,而终端提示交易成功信息,相当于没有扣除交易费用,即不扣。
其他技术方案的流程都会发生电子钱包多扣或少扣的现象(破坏了系统交易状态的一致性),而本发明的技术方案子仅可能发生不扣的现象(保证了系统交易状态的一致性),即排除了多扣,将少扣转化为不扣。但多扣或少扣或不扣现象只会在关键点发生拔出操作而操作结果又未知的情况下发生,几率非常小。
针对上述问题,本发明在步骤a42后设置有优化处理流程,防止出现上述不扣的情况。该优化交易处理流程包括以下步骤a421)、当交易状态标识为壹时,终端发出提示持卡人须重新进行交易的信息,并在终端记录本次交易的交易状态标识、交易卡号和交易余额;a422)、转到上述步骤a2中重新对非接触式逻辑加密卡进行交易恢复操作,将电子钱包正本复制到副本和将公共信息区正本复制到副本。
a423)、判断终端记录的上次交易状态记录是否为未确定,如果上次交易状态标识为壹,则在终端上更新交易状态标识为零,显示交易成功,提示后退出本次交易流程,否则转到上述步骤a3中重新进行电子钱包的消费或充值的交易操作。
如果终端提示需重新交易的信息后,持卡人重新交易,交易流程进行恢复后重新交易,防止出现不扣现象;如果持卡人不重新交易,则可能造成错扣(保持交易一致性,但交易成功而没有提示交易成功信息)。故优化改进措施需根据实际情况选择使用。作为一种典型的应用,公交电子收费系统可以应用该优化措施当乘客上车交易不成功并得到提示时,通常会重新交易而不会选择下车。
权利要求
1.一种非接触式逻辑加密卡终端防拔处理方法,其特征在于包括以下步骤1)、在非接触式逻辑加密卡的电子钱包账务中和交易清算系统账务中设置一个相同的交易状态标识;2)、在非接触式逻辑加密卡的电子钱包账务中设置利用交易状态标识来判断交易是否成功及未确定的交易处理流程;3)、在交易清算系统账务中设置利用交易状态标识来判断交易是否成功及未确定的交易处理流程。
2.根据权利要求1所述的非接触式逻辑加密卡终端防拔处理方法,其特征在于上述步骤1中在非接触式逻辑加密卡的电子钱包账务中和交易清算系统账务中设置一个相同的交易状态标识是将非接触式逻辑加密卡的电子钱包的状态作为非接触式逻辑加密卡的电子钱包账务和交易清算系统账务的交易状态标识,该交易状态标识表达三种可能的状态交易成功、交易失败、未确定状态。
3.根据权利要求1所述的非接触式逻辑加密卡终端防拔处理方法,其特征在于上述步骤2中所述的交易处理流程包括以下步骤a1)、当非接触式逻辑加密卡进入终端的操作范围时,终端进行选卡的一系列操作;a2)、终端对非接触式逻辑加密卡进行交易恢复的操作,使非接触式逻辑加密卡的电子钱包的正本和副本及公共信息区的正本和副本保持一致;a3)、终端对非接触式逻辑加密卡的电子钱包进行消费或充值交易的操作,完成电子钱包账务的处理和设置交易成功与否及未确定的交易状态标识;a4)、终端根据上述的交易状态标识进行公共信息区副本的同步及终端写记录和提示的操作,使交易清算系统账务和非接触式逻辑加密卡的电子钱包账务的状态保持一致。
4.根据权利要求3所述的非接触式逻辑加密卡终端防拔处理方法,其特征在于上述步骤a2中终端对非接触式逻辑加密卡进行交易恢复的操作包括以下步骤a21)、终端从非接触式逻辑加密卡中读入电子钱包的正本和副本;a22)、判断电子钱包的正本和副本的结构是否都合法,如果不合法,转到步骤a26,否则a23)、判断电子钱包的正本和副本是否相等,如果不相等,转到步骤a25,否则a24)、将公共信息区正本复制到副本,转到上述步骤a3;a25)、将公共信息区副本复制到正本,并将电子钱包副本复制到正本,转到上述步骤a3;a26)、判断电子钱包正本结构是否合法,如果不合法转到步骤a28,否则a27)、将电子钱包正本复制到副本并将公共信息区正本复制到副本,转到上述步骤a3;a28)、判断电子钱包副本结构是否合法,如果不合法,转到步骤a20,否则a29)、将电子钱包副本复制到正本,转到上述步骤a3;a20)、发出该非接触式逻辑加密卡为非法卡的提示,并退出流程的操作。
5.根据权利要求3所述的非接触式逻辑加密卡终端防拔处理方法,其特征在于上述步骤a3中终端对非接触式逻辑加密卡的电子钱包进行消费或充值交易的操作包括以下步骤a31)、扣值或充值电子钱包正本;a32)、将电子钱包正本的交易余额、交易金额、终端卡号、终端交易流水号、交易日期等资料写入历史记录区;a33)、改写公共信息区的交易指针、交易次数;a34)、将电子钱包正本复制到副本;a35)、判断电子钱包的副本状态是否未知,如果未知,转到步骤a39;否则a36)、判断电子钱包副本结构是否合法,如果不合法,转到步骤a38;否则a37)、判断电子钱包正本和副本是否相等,如果不相等,转到步骤a30;否则a38)、确认电子钱包的交易状态为成功,将交易状态标识设置为零,转到上述步骤a4;a39)、确定电子钱包的交易状态为未确定,将交易状态标识设置为壹,转到上述步骤a4;a30)、确定电子钱包的交易状态为失败,转到上述步骤a4;
6.根据权利要求3所述的非接触式逻辑加密卡终端防拔处理方法,其特征在于上述步骤a4中终端根据上述的交易状态标识进行公共信息区副本的同步及终端写记录和提示的操作包括以下步骤a41)、判断交易状态标识是否为零,如果为零,转到步骤a44;否则a42)、判断交易状态标识是否为壹,如果为壹,转到步骤a45;否则a43)、确认交易失败,转到步骤a47;a44)、将公共信息区正本复制到副本;a45)、终端发出对应的信息,提示交易成功;a46)、终端从非接触逻辑加密卡上的历史记录区取出上一笔交易的终端卡号和终端交易流水号填入本次交易记录,写入交易记录,保持电子钱包账务和清算系统账务的一致性;a47)、结束本次交易流程。
7.根据权利要求6所述的非接触式逻辑加密卡终端防拔处理方法,其特征在于上述步骤a42中判断交易状态标识为壹的过程中还设置有优化处理的交易处理流程,该优化处理的交易处理流程包括下述步骤a421)、当交易状态标识为壹时,终端发出提示持卡人须重新进行交易的信息,并在终端记录本次交易的交易状态标识、交易卡号和交易余额;a422)、转到上述步骤a2中重新对非接触式逻辑加密卡进行交易恢复操作,将电子钱包正本复制到副本和将公共信息区正本复制到副本。a423)、判断终端记录的上次交易状态记录是否为未确定,如果上次交易状态标识为壹,则在终端上更新交易状态标识为零,显示交易成功,提示后退出本次交易流程,否则转到上述步骤a3中重新进行电子钱包的消费或充值的交易操作。
8.根据权利要求1所述的非接触式逻辑加密卡终端防拔处理方法,其特征在于上述步骤3中在交易清算系统账务中设置利用交易状态标识来判断交易是否成功及未确定的交易处理流程,最终产生有效交易记录、无效交易记录和未确定交易记录,并仅对有效交易记录进行清算处理。
9.根据权利要求1或8所述的非接触式逻辑加密卡终端防拔处理方法,其特征在于上述步骤3中在交易清算系统账务中设置利用交易状态标识来判断交易是否成功及未确定的交易处理流程包括以下步骤31)、在每一个清算周期,交易清算系统挂起所有交易状态标识为壹的交易记录作为未确定交易记录,暂时不参与清算;处理所有交易状态标识为零的交易记录作为有效交易记录,并直接参与清算;32)、对每一笔未确定交易记录,查找同一张非接触式逻辑加密卡的下一笔交易记录,如果找到有,转到步骤34;否则33)、将未确定交易记录继续挂起到下一个清算周期再处理,转到步骤36;34)、如果该非接触式逻辑加密卡的下一笔记录与该笔记录的卡交易计数相同,则处理该笔交易记录作为无效交易记录,不参与清算,转到步骤36;35)、如果该非接触式逻辑加密卡的下一笔记录与该笔记录的卡交易计数的差为壹,则处理该笔交易记录作为有效交易记录,并参与清算;36)、如果未确定交易记录未处理完毕,转到步骤32,否则37)、对所有有效交易记录进行清算处理。
全文摘要
一种非接触式逻辑加密卡终端防拔处理方法,主要包括以下步骤:首先在非接触式逻辑加密卡的电子钱包账务中和交易清算系统账务中设置一个相同的交易状态标识;其次在非接触式逻辑加密卡的电子钱包账务中设置利用交易状态标识来判断交易是否成功及未确定的交易处理流程;最后在交易清算系统账务中设置利用交易状态标识来判断交易是否成功及未确定的交易处理流程。本发明由于直接使用电子钱包的状态作为卡的交易状态标识,流程简单、清晰,执行速度快,且从根本上解决了现有技术方案出现的多扣、少扣现象,保证系统的交易一致性。本发明可广泛应用在各地区的公交电子收费系统车载收费终端产品上和各地区的公交电子收费系统公交交易清算系统中。
文档编号G06K7/00GK1369853SQ0113011
公开日2002年9月18日 申请日期2001年12月25日 优先权日2001年12月25日
发明者徐业军, 刘坚, 韦祖兴 申请人:航天信息股份有限公司, 徐业军