移动支付方法及移动支付设备与流程

本发明涉及一种移动支付方法及移动支付设备，特别是涉及一种使用近场通信实现交易安全支付的移动支付方法及移动支付设备。

背景技术：

电子钱包或塑胶货币如银行卡、信用卡、签帐卡或智能卡等，皆需用到计算机系统及数位储值系统来达到加值及转账等功能。由于使用电子钱包或塑胶货币可以减少顾客在购物时随身携带太多现金的必要，且店家也不必在客户付款时当场点收现金的金额正确与否，所以，可提升交易行为的效率及便利性。因而近年来，电子钱包广泛地被接受与使用。

然而，现有传统非接触型的储值智能卡通常缺乏卡片认证的功能，或卡片认证措施不足。卡片一旦被伪造，店家只能自行承担损失的风险。

此外，当使用该传统非接触型的储值智能卡购物付款时，每一笔购物所产生的交易纪录通常会被存储在店家端，但此交易纪录并没有随即被传送至卡片发行单位或支付机构来验证该储值智能卡的真伪，再请求付款。而是在结束一个营业日后，才会把整批的交易纪录传送给卡片发行单位或支付机构请求付款，此也就是说整批结算。当该整批结算的程序不够即时时，致使店家在未能经卡片发行单位或支付机构验证该每一笔购物所使用的储值智能卡的真伪时，而完成交易，此情形将使店家暴露在损失的风险当中。

技术实现要素：

本发明的目的在于提供一种允许及时处理交易且确保交易安全的移动支付方法及移动支付设备。

本发明移动支付方法，由一电脑装置执行，该电脑装置能与一具有一支付卡的移动装置互动，该电脑装置与一支付机构服务器通信。所述的移动支付方法包含：

接收一交易清单，该交易清单相关于一交易及一关于该交易的支付；

与该移动装置建立一无线短距离通信；

经由该无线短距离通信传送该交易清单到该移动装置；

经由该无线短距离通信接收一来自该移动装置的支付指令，该支付指令是该移动装置基于至少该交易清单所产生；

与该支付机构服务器建立一会话机制，该会话机制提供一在该电脑装置与该支付机构服务器之间的安全通信通道；

在该会话机制下传送该支付指令到该支付机构服务器，该支付指令使该支付机构服务器在收到该支付指令时基于该支付指令识别该支付卡的正确性，且在该支付机构服务器识别该支付卡为正确之后，该支付指令还使该支付机构服务器根据该支付指令所包括的该交易清单处理该支付；及

在该会话机制下接收来自该支付机构服务器的一支付结果，该支付结果是在完成该支付之后由该支付机构服务器所产生。

本发明移动支付方法，由一具有一支付卡的移动装置执行，该移动装置能与一电脑装置互动。该移动装置及该电脑装置与一支付机构服务器通信。所述的移动支付方法包含：

与该电脑装置建立一无线短距离通信；

经由该无线短距离通信接收一来自该电脑装置的交易清单，该交易清单相关于一交易及一关于该交易的支付；

基于至少该交易清单产生一支付指令，并经由该无线短距离通信传送该支付指令给该电脑装置，该支付指令由该电脑装置提供给该支付机构服务器，且该支付指令使该支付机构服务器在收到该支付指令时基于该支付指令识别该支付卡的正确性，且在该支付机构服务器识别该支付卡为正确之后，该支付指令还使该支付机构服务器根据该支付指令所包括的该交易清单处理该支付；及

接收来自该支付机构服务器的一支付结果，该支付结果是在完成该支付之后由该支付机构服务器所产生。

本发明移动支付设备，能与一电脑装置互动，该电脑装置与一支付机构服务器通信，所述的移动支付设备包含一移动装置，该移动装 置包括一处理器、一记忆体单元、一卡片插槽、一短距离通信单元及一通信单元。该记忆体单元耦接于该处理器且存储有一支付软件。该卡片插槽耦接于该处理器，且可移除地插设有一支付卡，借此使用该移动装置能访问该支付卡。该短距离通信单元耦接于该处理器，且能与该电脑装置通信。该通信单元耦接于该处理器，且能与该支付机构服务器通信。当该处理器执行该支付软件时，该支付软件使该移动支付设备：

与该电脑装置建立一无线短距离通信，

经由该无线短距离通信接收一来自该电脑装置的交易清单，该交易清单相关于一交易及一关于该交易的支付，

基于至少该交易清单产生一支付指令，并经由该无线短距离通信传送该支付指令给该电脑装置，该支付指令由该电脑装置提供给该支付机构服务器，且该支付指令使该支付机构服务器在收到该支付指令时基于该支付指令识别该支付卡的正确性，且在该支付机构服务器识别该支付卡为正确之后，该支付指令还使该支付机构服务器根据该支付指令所包括的该交易清单处理该支付，及

接收来自该支付机构服务器的一支付结果，该支付结果是在完成该支付之后由该支付机构服务器所产生。

本发明的有益效果在于：借由基于移动装置产生的支付指令识别支付卡的正确性，能侦测出使用伪卡(fake card)的支付行为。再者，借由即时传送对应交易清单的支付指令给支付机构服务器，各交易的支付可以被及时处理。如此一来，可以避免诈骗支付或交易纪录不对应所造成的损失。

附图说明

图1是一方块图，说明一系统包括一电脑装置及一移动支付设备；

图2是一示意图，说明该移动支付设备能与不同的电脑装置通信；

图3A到图3C是一流程图，说明本发明移动支付方法的流程步骤；及

图4到图12绘示多种在移动支付方法的不同阶段中由电脑装置的输入/输出模块及移动装置的输入/输出单元输出的消息；

图13是一方块图，说明本发明的一支付卡的存储单元；

图14是一流程图，说明本发明支付卡的个人化作业的流程步骤；

图15是一流程图，说明使用第一安全机制的个人化作业的流程步骤；

图16是一流程图，说明使用第二安全机制的个人化作业的流程步骤；

图17是一流程图，说明一支付机构系统与一平台端服务器及一合作组织服务器合作以产生用于实施第三安全机制的个人化作业的资讯；

图18A及图18B分别是一流程图，说明使用第三安全机制的个人化作业的流程步骤；及

图19A及图19B是一流程图，说明使用第四安全机制的个人化作业的流程步骤。

具体实施方式

下面结合附图及实施例对本发明进行详细说明。

参阅图1，一系统100适于执行一移动支付方法，该移动支付方法处理相关于一交易的一支付。系统100包括一电脑装置1及一移动支付设备2，举例来说，电脑装置1是由一店家持有，移动支付设备2是由一消费者持有。移动支付设备2包括一移动装置20及一支付卡22，支付卡22可移除地插设于移动装置20的一卡片插槽26中。电脑装置1能与该具有支付卡22的移动装置20互动。电脑装置1及移动装置20能与一支付机构服务器5通信。

在本实施例中，电脑装置1可以是个人电脑、笔记型电脑、平板电脑、智能型手机及移动电子装置(参阅图2)等其中一者。电脑装置1需要具备网路连线功能以执行一交易软件120，该交易软件120能使电脑装置1执行本发明移动支付方法。

支付机构服务器5受向消费者发行支付卡的支付机构操作。在本实施例中，支付机构服务器5包括一平台端服务器3及一支付机构系统4，平台端服务器3用于与电脑装置1及移动装置20通信，支付机构系统4耦接于平台端服务器3。在不同的实施态样中，平台端服务器3及支付机构系统4可以整合成一器件(例如一服务器)，或者，可以是以二分离的器件实施，该二分离的器件经由一专用的通道或会 话机制通信。以前述两种实施态样之后者为例，平台端服务器3可以是受一第三方操作(而非支付机构)。

参阅图1，电脑装置1包括存储有该交易软件120的一记忆体模块12、一近场通信模块13、一输入/输出模块14、一通信模块15，及一耦接于记忆体模块12、近场通信模块13、输入/输出模块14与通信模块15的处理模块11。

在本实施例中，具有近场通信模块13的电脑装置1具备了近场通信功能，且近场通信模块13是一连接于电脑装置1的外部装置，例如外接式USB近场通信装置(dongle)或一USB近场通信读取器(reader)。在另一实施态样中，近场通信模块13可以是一嵌入电脑装置1的内置模块。输入/输出模块14可以包括一滑鼠/键盘、一触控荧幕或一扬声器/显示器等，但不以此为限。通信模块15使电脑装置1与支付机构服务器5能建立通信。

移动支付设备2能与电脑装置1互动。移动支付设备2的移动装置20可以是一智能型手机或一平板电脑等。移动装置20包括一记忆体单元27、一卡片插槽26、一输入/输出单元24、一短距离通信单元(如一近场通信单元23)、一通信单元25，及一耦接于近场通信单元23、输入/输出单元24、通信单元25、卡片插槽26与记忆体单元27的处理器21。记忆体单元27存储有一支付软件270与一个人化应用程序271。卡片插槽26供支付卡22可移除地插设，使移动装置20能访问支付卡22。近场通信单元23能与电脑装置1通信。通信单元25能与支付机构服务器5通信。在另一实施态样中，支付卡22可以是耦接于一介面装置，以使移动装置20能经由该介面装置访问支付卡22，该介面装置是经由移动装置20的一USB介面耦接于移动装置20。

在本实施例中，近场通信单元23支援近场通信功能。输入/输出单元24可以包括一滑鼠/键盘、一触控荧幕或一扬声器/显示器等，但不以此为限。移动装置20的处理器21执行存储于记忆体单元27的支付软件270，支付软件270使移动装置20协同配合支付卡22执行本发明移动支付方法。

当为了进行近场通信支付而使电脑装置1与移动装置20彼此邻 近时，电脑装置1与移动装置20能经由近场通信模块13及近场通信单元23建立无线短距离通信(如近场通信)。

在本实施例中，支付卡22以一SD卡实施。支付卡22包括一控制模块220、一金融芯片221及一存储单元225。金融芯片221符合FISC II规范。

控制模块220包括一控制器芯片222、一载于ROM(read-only memory，图未示)的控制韧体224及一应用程序介面(application program interface；API)223。前述控制器芯片222及ROM可以使用积体电路封装整合，且与存储单元225并列。

当支付卡22插入卡片插槽26，处理器21能经由控制韧体224访问金融芯片221及存储单元225。应用程序介面223及控制韧体224能根据支付软件270或个人化应用程序271的指令运作。应用程序介面223能使用3DES(Triple Data Encryption Algorithm symmetric-key block cipher)、AES(Advanced Encryption Standard)或RSA等演算法进行加密。

存储单元225包括一系统部分226及一存储部分227。系统部分226内置基本操作资讯(basic operation information)。存储部分227包括一隐密数据区228及一可视区229。可视区229允许被移动装置20的作业系统(OS)访问。以系统举例来说，可视区229能被档案管理程序(file management program)访问。

作业系统无法访问隐密数据区228，且无法对隐密数据区228的档案进行读取、写入或修改。相反的，只有在特定授权顺序完成之后，支付软件270或个人化应用程序271才能经由控制韧体224访问隐密数据区228。当支付卡22插设于移动装置20的卡片插槽26时，控制韧体224只对作业系统回报可视区229。因此，作业系统不会显示隐密数据区228给使用者。只有当使用者执行支付软件270或个人化应用程序271且通过所述授权顺序时，隐密数据区228才能被访问。

隐密数据区228存储有相关于一支付机构帐号的一虚拟帐号，该支付机构帐号相关于支付卡22的持有者与操作支付机构服务器5的支付机构(例如银行)。与支付机构帐号相关的数据存储于金融芯片221。隐密数据区228可以存储多个分别对应多个支付机构帐号的虚 拟帐号。

当移动装置20不具有近场通信单元23，移动装置20本身不具有近场通信功能，支付卡22则可以被设计为具有近场通信功能。在其他实施态样中，支付卡22包括多个近场通信接脚，且包含一近场通信天线，且能以支援近场通信功能的SDIO(Secure Digital Input Output)卡实施。

因此，在其他实施态样中，卡片插槽26包括多个近场通信端子。近场通信端子符合近场通信规范(由SD协会发布)。当支付卡22插入卡片插槽26时，所述近场通信端子分别与支付卡22的所述近场通信接脚电连接。借此，支付卡22能与移动装置20互动，以使移动装置20支援近场通信功能。

参阅图3A，以下说明移动支付方法的实施例，其处理关于一交易的一支付。下述中的电脑装置1可以是一电脑，移动装置20可以是一插有支付卡22的智能型手机，该交易是自一书店购买一书本。

首先，书店的商人使用电脑装置1执行交易软件120(参阅图4)。

于步骤S11，电脑装置1的处理模块11执行存储于记忆体模块12的交易软件120。

交易软件120提供商人一用于输入交易清单的介面(参阅图5)，该交易清单相关于该交易及该支付。在此，该交易清单包括购买该书本的细目(例如店家编号、交易日期、支付号码及交易金额等)。

于步骤S12，处理模块11接收相关于该交易及该支付的交易清单。举例来说，该交易清单可以是透过扫描货品及/或服务的条码输入电脑装置1。或者，交易清单可以是消费者使用电脑装置1输入。

于步骤S13，处理模块11执行交易软件120的一安控器件121以产生一要被押码的数据。

于步骤S14，处理模块11锁定交易清单。

更明确的说，要被押码的数据包括交易清单，且于步骤S14之后，商人不能改变该交易清单。值得注意的是，步骤S13及步骤S14的先后顺序可以互换，或者同时执行。

于步骤S15，处理模块11经由输入/输出模块14输出交易清单(参阅图6)供该要购买书本的消费者确认。

于步骤S16，处理模块11产生一指示(参阅图7)以提示消费者将具有支付卡22的移动装置20靠近一支付感测区域(如电脑装置1的近场通信模块13)。当处理模块11经由近场通信模块13侦测到移动装置20时，处理模块11经由近场通信模块13与移动装置20建立无线短距离通信，且接着执行步骤S17。否则，处理模块11闲置直到侦测到移动装置20。更明确地说，当电脑装置1及移动装置20彼此邻近时，处理模块11自动与移动装置20建立作为无线短距离通信的近场通信。

另一方面，当消费者欲使用移动支付设备2(如移动装置20与支付卡22结合)完成购买书本的支付时，消费者使用移动装置20执行支付软件270(参阅图8)。

因此，于步骤S21，移动装置20的处理器21执行存储于记忆体单元27的支付软件270。

支付软件270提供消费者多种付款方式(例如近场通信支付或货到付款)。在此，使用者选择近场通信支付进行支付。

于步骤S22，处理器21被指示消费者选择近场通信支付。

于步骤S23，处理器21输出一指示以提示使用者输入一相关于支付卡22的访问密码(参阅图9)。

于步骤S24，当收到访问密码时，处理器21接着经由卡片插槽26传送该访问密码给支付卡22。

于步骤S31，支付卡22验证该访问密码。当支付卡22验证该访问密码为正确时，支付卡22传送一访问同意指令给移动装置20，且流程接着执行步骤S25。否则，流程接着执行步骤S32。

于步骤S32，支付卡22传送一访问拒绝指令给移动装置20，且移动装置20经由输入/输出单元24通知使用者该访问密码不正确。支付卡22计数接收到错误访问密码的连续次数。

于步骤S33，支付卡22判断前述计数的次数大于或等于一门槛值(例如3次)。当计数的次数不大于该门槛值，流程回到步骤S23以让消费者能输入其他访问密码。否则，流程接着执行步骤S34。

于步骤S34，支付卡22被锁定且禁止访问。

于步骤S25，移动装置20的处理器21清除在步骤S24接收并暂 存的访问密码。此步骤用于避免访问密码被其他人取得。

值得注意的是，当使用电子钱包进行小额支付时，便利性为主要的考量。因此，步骤S23到步骤S25及步骤S31到步骤S34可以被省略以加速支付的过程。

于步骤S26，移动装置20的处理器21启动近场通信单元23以起始近场通信功能。

接着，参阅图10，移动装置20提示消费者将移动装置20靠近支付感测区域(例如电脑装置1的近场通信模块13)。

之后，于步骤S27，当移动装置20与电脑装置1相互邻近时，移动装置20的处理器21经由近场通信单元23自动与电脑装置1建立无线短距离通信(例如近场通信)。

于步骤S17，在电脑装置1(步骤S16)与移动装置20(步骤S27)之间的近场通信建立之后，电脑装置1的处理模块11经由近场通信传送要被押码的数据给移动装置20。

于步骤S28，于近场通信中，移动装置20的处理器21传送要被押码的数据给支付卡22。

于步骤S35，支付卡22基于要被押码的数据且使用一存储于支付卡22的秘钥产生一交易押码，且将该交易押码传送给移动装置20。

更明确的说，支付卡22存储一对应用于支付的虚拟帐户的秘钥，且是存储于金融芯片221及隐密数据区228其中一者。借此，支付卡22基于该虚拟帐号取得该秘钥以产生该交易押码。值得注意的是，支付机构服务器5的支付机构系统4具有对应该虚拟帐号的相同秘钥以识别支付卡22的正确性。

于步骤S29，执行支付软件270的移动装置20的处理器21使用交易押码组成支付指令。支付指令至少包括虚拟帐号、交易清单及交易押码，且是被加密的。移动装置20接着经由近场通信传送支付指令给电脑装置1。

于步骤S18，电脑装置1的处理模块11经由近场通信接收来自移动装置20的支付命令。

值得一提的是，前述步骤S17、S28、S35、S29及S18是在近场通信中执行，且在这些步骤执行完毕之后，电脑装置1及移动装置20 至少其中一者可以提供一指示以提醒消费者将移动装置20自邻近电脑装置1的位置移开。

参阅图3B，于步骤S18之后，电脑装置1尝试与支付机构服务器5的平台端服务器3建立一会话机制(session)。会话机制用于提供一在电脑装置1与平台端服务器3之间的安全通信通道。且用于识别电脑装置1的正确性。

于步骤A1，执行交易软件120的电脑装置1的处理模块11传送一会话请求给平台端服务器3。

于步骤A2，当平台端服务器3接收到会话请求时，平台端服务器3产生一会话识别号，并将该会话识别号传送给电脑装置1。

于步骤A3，电脑装置1的处理模块11接收会话识别号。

于步骤A4，处理模块11基于接收到的会话识别号及一预存于电脑装置1的第一识别金钥产生一第一鉴别代码。

于步骤A5，处理模块11传送第一鉴别代码给平台端服务器3。

于步骤A6，平台端服务器3寻找一预存于平台端服务器3的第二识别金钥，第二识别金钥对应于第一识别金钥。平台端服务器3接着基于会话识别号及第二识别金钥产生一第二鉴别代码。

于步骤A7，平台端服务器3判断接收自电脑装置1(步骤A5)的第一鉴别代码与步骤A6产生的第二鉴别代码是否相同。当判断结果为是时，流程接着执行步骤A8。否则，平台端服务器3判定电脑装置1无法产生正确的第一鉴别代码，且流程结束。

于步骤A8，平台端服务器3传送一会话回应给电脑装置1，以建立该会话机制并允许交易进行。

参阅图3C，于平台端服务器3允许交易进行之后，在步骤B1，处理模块11在该会话机制下经由通信模块15传送在步骤S18接收到的支付指令给平台端服务器3。更明确的说，前述传送的动作是使用SSL(Secured Sockets Layer)协定执行。

于步骤B2，平台端服务器3经由专用的通道依序传送支付指令给支付机构系统4。

于步骤B3，支付机构系统4在接收到支付指令时，支付机构系统4能将接收到的支付指令解密，并能基于该支付指令识别支付卡22 的正确性。更明确的说，支付机构系统4基于支付指令中要被押码的数据且使用存储于支付卡22中(例如金融芯片或隐密数据区)相同的秘钥产生一确认码。在一些实施态样中，用于产生确认码的秘钥可以被包括在支付指令内，且被平台端服务器3传送到支付机构系统4。

支付机构系统4接着比较交易押码及确认码。当确认码与交易押码相同时，支付机构系统4判断支付卡22正确，且交易清单在传输过程中没有被改变。流程接着执行步骤B4。否则，流程接着执行步骤B8。

于步骤B4，支付机构系统4能根据支付指令中的交易清单处理该支付。在本实施例中，虚拟帐号代表的支付机构帐号扣款该书本的金额(500元)，且该金额被转账到该书店拥有的一帐号。

于步骤B5，支付机构系统4产生一指示该交易已经处理完成的支付结果，且传送该支付结果到平台端服务器3。

于步骤B6，平台端服务器3传送该支付结果给电脑装置1。支付结果的传输是在会话机制下且使用SSL协定。此外，平台端服务器3还传送该支付结果给移动装置20，由于是经由平台端服务器3与移动装置20所建立的会话机制来传送，而该会话机制的建立方式与平台端服务器3和电脑装置1相同，故不赘述。需说明的是，该会话机制是在步骤S29移动装置20将支付指令传给电脑装置1后，由移动装置20与平台端服务器3所建立。

接着，于步骤B7，当接收到支付结果，电脑装置1的处理模块11经由输入/输出模块14输出该支付结果(参阅图11)以告知店家该支付的结果。如此一来，该支付完成，且顾客可以获得货品/服务(例如书本)。

相似地，于步骤B7’，当接收到支付结果，移动装置20的处理器21经由输入/输出单元24输出支付结果(参阅图12)以告知顾客该支付的结果。

于步骤B3，当确认码与交易押码不同时，支付机构系统4判断支付卡22不正确，或交易清单在传输过程中被改变。因此，于步骤B8，支付机构系统4产生并传送一错误消息给平台端服务器3。

于步骤B9，平台端服务器3传送错误消息给电脑装置1，电脑装 置1在步骤B10输出该错误消息。

相似地，于步骤B9，平台端服务器3传送错误消息给移动装置20，移动装置20在步骤B10’输出该错误消息。因此，该交易不会完成。

在一个例子中，该方法是应用于货品/服务是经由运送的方式交付给顾客，且支付是在货品/服务送达时才完成(例如货到付款)。送货员可以携带安装有交易软件120的电脑装置1，且在顾客确认货品/服务之后，送货员可以操作电脑装置1执行移动支付方法。因此，送货员在进行送货时不用携带现金。

该移动支付方法也能应用在借由贩卖机提供货品/服务给顾客。在步骤B7(完成支付)之后，贩卖机提供货品给顾客。

再者，本发明移动支付方法还能应用于使用两个移动智能手机进行转账。举例以使用两个智能型手机进行转账来说明，收款人操作一第一智能型手机执行交易软件120，使该第一智能型手机执行前述关于电脑装置1的步骤，汇款人操作一第二智能型手机执行支付软件270，使该第二智能型手机执行前述关于移动装置20及支付卡22的步骤，借此，只要将两个智能手机彼此靠近或接触就可达成使用两个移动装置进行转账作业。

于一些实施态样中，支付卡22可存储额外的数据在耦接于移动装置20的支付卡22的存储单元225，额外的数据例如是医疗健康资讯、证照、识别资讯或会员身分等。通过个人化应用程序271执行一个人化作业(perso)，移动装置20能将所述额外的数据存储在程序存储单元225。

于个人化作业，要被存储在支付卡22的数据需要被以不同的安全层级处理，例如支付机构的帐号资讯需要以比一般资讯更高的安全层级处理。因此，本发明的支付卡22还能提供更安全、更适性的数据管理。

在一些实施态样中，支付卡22的隐密数据区228分割为多个区块(hidden data blocks)。各个区块相关于一存储安全层级，且用于存储一预定数据类型的个人化数据。因此，对于各区块，控制器芯片222能以其中一对应于存储安全层级的预定安全机制，来执行存储 个人化数据至该区块的个人化作业。

参阅图13、图16及图17，在本实施例中，支付卡22的隐密数据区228分割为8个区块5A-5H。更明确的说，区块5A(急救提醒区)用于存储支付卡22的使用者的急救资讯，例如紧急连络资讯、重大疾病历史、药物过敏等。

区块5B(医疗健康区)用于存储使用者的医疗健康资讯，例如身体检查、血液检验结果、电子病历等。

区块5C(各类证照区)用于存储使用者的电子识别文件或证照，例如身分证、护照、驾照等。

区块5D(票证/收据区)用于存储电子票证及收据，例如预付费火车票或电子发票等。区块5E(私有隐密区)用于存储使用者的私人数据。

区块5F(社团区)用于存储使用者的社团注册数据。区块5G(会员银行区)用于存储使用者的支付机构帐号资讯。区块5H(资讯消息区)用于存储其他资讯。

举例来说，四个不同的安全机制用于在不同的存储安全层级下实施个人化作业。此外，一方可以基于对应的存储安全层级访问部分区块。

于不同的安全机制，支付卡22需要与不同的第三方(例如一授权组织服务器32)建立通信以获得授权进行个人化作业。

更明确的说，于各安全机制中，支付卡22需要与平台端服务器3通信，且平台端服务器3是存储有至少部分用于授权个人化作业的授权资讯，及/或个人化数据。

于一些安全机制中，支付卡22还需要与其他第三方(例如授权组织服务器32、一合作组织服务器33，或支付机构系统4)通信，以获得授权资讯。

举例来说，对于第一安全机制(平台个人化机制)来说，平台端服务器3至少存储有一注册角色ID与密码及一格式化角色ID与密码以及个人化数据。对于第二安全机制(授权组织个人化机制)来说，平台端服务器3存储有注册角色ID与密码，且授权组织服务器32存储有格式化角色ID与密码及个人化数据。对于第三安全机制(合作 组织个人化机制)来说，平台端服务器3存储有注册角色ID与密码，且一第三方(例如支付机构服务器4)存储有格式化角色密码，而该格式化角色密码则是由合作组织服务器33及平台端服务器3合作产生，另由合作组织服务器33存储有格式化角色ID与个人化数据。对于第四安全机制(使用者个人化机制)来说，平台端服务器3存储有注册角色ID与密码及格式化角色ID与密码，个人化数据是由使用者输入。

授权组织服务器32可受经过平台端服务器3授权的第三方操作，以提供相关于个人化作业的资讯。合作组织服务器33可以是受与平台端服务器3合作的第三方操作，以产生相关于个人化作业的资讯。

于一些安全机制中，允许使用者输入个人化数据，例如个人化数据可以经由控制韧体224及应用程序介面223自个人化应用程序271接收。又在其他安全机制中，个人化数据是自第三方接收，且无法被使用者修改。

举例而言，区块5A的个人化数据可以由使用者输入/修改，且每个人都可访问。区块5C-5E的个人化数据可以由使用者输入/修改，且只有使用者可访问。区块5B、5F及5G的个人化数据是接收自第三方(使用者不能修改数据)，且只有使用者可访问。区块5H的个人化数据是接收自第三方，且每个人都可访问。

在本实施例中，各区块5A-5H进一步分割为多个用于存储个人化数据的子区块(hidden data sub-blocks)，例如，区块5G的各子区块存储一特定支付机构的注册数据及帐号资讯。值得注意的是，特定区块的所有子区块相关于一相同的安全层级，且使用一相同的安全机制。

在另一实施态样中，还可以分割出额外的区块，而现有的区块可以用于存储各种其他资讯，此外，还可以使用额外的安全机制。

支付卡22的系统部分226可以记录区块的一区块主选单(list)61，及各区块5A-5H的子区块的一子选单地址列表(sub-list)62。各子区块使用一特定的个人化作业存储个人化数据。

参阅图1、13及14，个人化作业包括一注册作业I、一格式化作业II及一个人化数据写入作业III。

于注册作业I，支付卡22指定其中一区块5A-5H，且将数据位置指向其中一之后要用来存储个人化数据的子区块。在本实施例中，注册作业I是由平台端服务器3管理，且平台端服务器3存储有区块5A-5H的个人化许可及相关数据，例如一注册ID与对应的密码，及用于访问被指定的区块5A-5H的ID与密码。因此，在进行个人化作业时，平台端服务器3及授权组织服务器32和合作组织服务器33的其中一者获得相关于被指定的区块5A-5H的预存个人化数据，并确认是否准许对被指定的区块5A-5H进行格式化作业II及个人化数据写入作业III，并提供被指定的区块5A-5H所需的数据。

于格式化作业II，将被指定的其中一区块5A-5H格式化成预定数据类型，使个人化数据能存入。在本实施例中，格式化作业II相当于获得读取/写入隐密数据区228的许可。基于个人化作业的不同安全机制，该许可是由下述其中一者所管理：平台端服务器3、授权组织服务器32、合作组织服务器33、支付机构系统4与相关管理者，及个人化应用程序271。更明确的说，平台端服务器3存储有被指定的区块5A-5H的注册角色ID与密码及个人化数据。平台端服务器3负责被指定的区块5A-5H的个人化作业。平台端服务器3还存储有一授权组织及一合作组织和一支付机构系统的一服务器网路地址及相关数据。授权组织服务器32也存储有被授权的区块5A-5H的个人化数据，例如被授权的区块5A-5H的格式化角色ID与密码、格式化数据、个人化数据，及一使用者ID与密码。合作组织服务器33也存储有被授权的区块5A-5H的个人化数据，例如被授权的区块5A-5H的格式化角色ID、格式化数据、个人化数据，及一使用者ID与密码。如此一来，在进行格式化作业II时，平台端服务器3及授权组织服务器32和合作组织服务器33的其中一者能读取个人化数据，以确认格式化作业II是被准许的，并能提供各区块5A-5H所需的数据。

于个人化数据写入作业III，支付卡22存储个人化数据于该被指定的其中一区块5A-5H。

在本实施例中，各子区块存储有一预定注册角色ID与密码(preset registration ID/password combination)以授权注册作业I，且存储有一预定格式化角色ID与密码(preset format ID/password combination)以授权格式化作业II。

支付卡22接收一注册角色ID与密码(registration authorizing ID/password combination)，且只有在注册角色ID与密码与预定注册角色ID与密码相同时，才执行注册步骤。相似地，支付卡22接收一格式化角色ID与密码(format authorizing ID/password combination)，且只有在格式化角色ID与密码与预定格式化角色ID与密码相同时，才执行格式化作业II。

进一步参阅图15，接下来详细描述使用第一安全机制的个人化作业。

于步骤S40，使用者在移动装置20上操作个人化应用程序271，以如步骤S41所示启动个人化作业。于步骤S42，使用者依据要被存储到支付卡22的数据的类型，选择其中一区块(5A-5H)及该被选择的区块的其中一子区块。支付卡22接着指定被选择的区块(例如5H)及子区块。例如，子区块5H被指定来进行个人化作业。

于步骤S43，使用者被指示要输入一启动密码。于步骤S44，移动装置20接收启动密码，并传送启动密码给支付卡22。在步骤S45，支付卡22核对启动密码是否正确，若是，则接着执行步骤S46，若否，则流程结束。

于步骤S46，移动装置20与平台端服务器3通信以索取注册数据，例如对应指定的子区块的注册角色ID与密码。在本实施例中，只有平台端服务器3具有对应预定注册角色ID与密码的注册角色ID与密码，预定注册角色ID与密码是在支付卡22被制造时存储在支付卡22内。于步骤S47，在接收到索取请求之后，平台端服务器3读取对应于被指定的子区块的预存的个人化数据(例如注册角色ID与密码)，服务器以判断是否准许支付卡22执行注册作业I，若是，则执行步骤S48，若否，则流程结束。

于步骤S48，平台端服务器3回传注册角色ID与密码和其他对应于被指定的子区块的相关资讯给移动装置20。于步骤S49，移动装置20接着使用注册角色ID与密码传送一注册指令给支付卡22。

于步骤S50，支付卡22接收注册指令，且于步骤S51，支付卡22核对注册角色ID与密码是否正确，更明确的说，支付卡22比对注册 角色ID与密码及预定注册角色ID与密码，当注册角色ID与密码及预定注册角色ID与密码相同时，接着执行步骤S52，当注册角色ID与密码及预定注册角色ID与密码不相同时，则流程结束。

于步骤S52，支付卡22将数据位置指向区块5H中被指定的子区块，且将相关资讯存储于该被指定的子区块。更明确的说，控制韧体224传送相关资讯给控制器芯片222，控制器芯片222经由子选单地址列表62识别被指定的子区块的物理位置，且控制韧体224将相关资讯写入被识别出的物理位置，因此完成该注册作业I。

流程接着执行格式化作业II。于步骤S53，移动装置20与平台端服务器3通信以索取对应被指定的子区块的格式化角色ID与密码，及个人化数据。在本实施例中，只有平台端服务器3具有对应预定格式化角色ID与密码的格式化角色ID与密码，预定格式化角色ID与密码是在支付卡22被制造时存储在支付卡22内。于步骤S54，在接收到索取请求之后，平台端服务器3读取对应于被指定的子区块的预存的个人化数据(例如格式化角色ID与密码)，以服务器判断是否准许支付卡22执行格式化作业II，若是，则执行步骤S55，若否，则流程结束。

于步骤S55，平台端服务器3回传格式化角色ID与密码和其他对应于被指定的子区块的个人化数据给移动装置20。于步骤S56，移动装置20接着使用格式化角色ID与密码传送用于允许后续格式化作业的格式化角色ID与密码及一指令给支付卡22。

于步骤S57，支付卡22接收格式化角色ID与密码，且于步骤S58，支付卡22核对格式化角色ID与密码是否正确，更明确的说，支付卡22比对格式化角色ID与密码及预定格式化角色ID与密码，当格式化角色ID与密码及预定格式化角色ID与密码相同，接着执行步骤S59，当格式化角色ID与密码及预定格式化角色ID与密码不相同，则流程结束。

于步骤S59，支付卡22格式化被指定的子区块，且将个人化数据存储于该被指定的子区块。

在本实施例中，区块主选单61及子选单地址列表62也更新以反映个人化作业。

图16绘示使用第二安全机制的个人化作业。被授权组织(例如X1社团)可将所属之社团会员数据写入所属社团会员之支付卡22，且针对区块5F的其中一子区块执行个人化作业。

由于注册步骤(如步骤S41到S52)与第一安全机制相似，因此在此不予赘述。

第二安全机制与第一安全机制的主要差异说明如下。于步骤S53，移动装置20与授权组织服务器32(由X1社团操作)通信以索取对应被指定的子区块的格式化角色ID与密码。于步骤S54，授权组织服务器32(而非平台端服务器3)判断是否准许支付卡22执行格式化作业II。另于步骤S55，授权组织服务器32(而非平台端服务器3)回传格式化角色ID与密码和其他对应于被指定的子区块的个人化数据给移动装置20。

此外，由于本例中的个人化数据是不公开给每个人访问，被指定的子区块还可以被设定一访问角色ID与密码(access ID/password combination)以阻挡未被授权的访问动作。

图18A及图18B绘示使用第三安全机制的个人化作业的流程步骤。在图18A及图18B的例子中，合作组织(例如A会员银行)可将所属用户之帐号资讯写入支付卡22，且区块5G的其中一子区块被设定来进行个人化作业。

在此例子中，由于注册步骤(如步骤S41到S52)与第一安全机制相似，因此在此不予赘述。

第三安全机制与第一安全机制的主要差异说明如下。

格式化作业II中使用的格式化角色密码是由平台端服务器3及合作组织服务器33(由A会员银行操作)合作产生。

图17绘示产生格式化角色密码的步骤。于步骤S61，支付机构系统4向平台端服务器3及合作组织服务器33索取产生格式化角色密码所需数据。平台端服务器3及合作组织服务器33接着分别于步骤S62或步骤S63回传部分产生格式化角色密码所需数据给支付机构系统4。接着于步骤S64，支付机构系统4使用接收到的数据产生格式化角色密码。

接着，参阅图18A，在步骤S53移动装置20向支付机构系统4 索取格式化角色ID与密码。接着，于步骤S71，支付机构系统4向平台端服务器3及合作组织服务器33询问是否授权执行格式化作业II。

参阅图18B，平台端服务器3及合作组织服务器33分别判断是否准许执行格式化作业II，若否，平台端服务器3及合作组织服务器33分别于步骤S73a及S73b传送否定消息给支付机构系统4；若是，平台端服务器3及合作组织服务器33分别于步骤S74a及S74b传送准许的消息给支付机构系统4。值得注意的是，当合作组织服务器33判断准许执行格式化作业II，于步骤S74b合作组织服务器33也传送格式化角色ID和个人化数据给支付机构系统4。

于步骤S75，支付机构系统4接收前述平台端服务器3及合作组织服务器33传送的数据，且于步骤S76判断平台端服务器3及合作组织服务器33是否都准许执行格式化作业II，若是，则接着执行步骤S77，若至少其中一者不准许，则支付机构系统4通知移动装置20流程结束。于步骤S77，支付机构系统4获得步骤S64产生的格式化角色密码，且于步骤S79，支付机构系统4将格式化角色ID与密码及个人化数据回传给移动装置20。接着，移动装置20及支付卡22继续前述的个人化作业。

图19A及图19B绘示使用第四安全机制执行个人化作业的流程步骤。在本例中，使用者输入急救提醒资讯到支付卡22，且区块5A的其中一子区块被设定来进行个人化作业。

在此例子中，由于注册步骤(如步骤S41到S52)与第一安全机制相似，因此在此不予赘述。

第四安全机制与第一安全机制的主要差异说明如下。于步骤S53，移动装置20不向平台端服务器3索取个人化数据。相反的，于步骤S59(支付卡22被格式化)之后，在步骤S81移动装置20允许使用者输入急救提醒资讯。接着，在步骤S82，移动装置20存储急救提醒资讯(视为个人化数据)至区块5A中被指定的子区块。

于使用前述其中一安全机制进行个人化作业时，预定格式化角色ID与密码是存储于支付卡22，且对应于预定格式化角色ID与密码的格式化角色ID与密码是存储于平台端服务器3。然而，于格式化作业II完成之后，格式化角色密码可以被平台端服务器3、授权组织服务 器32及合作组织服务器33其中之一者修改，以避免支付卡22在制造时密码外泄所造成的危害。因此，于第三个安全机制，格式化角色密码是由平台端服务器3及合作组织服务器33合作产生，且接着被存储于支付机构系统4。所产生的格式化角色密码可以在格式化作业II完成后用于更新格式化角色ID与密码。如此一来，支付机构系统4可以同时提供初始的格式化角色ID与密码及新的格式化角色ID与密码。在其余三个安全机制中，可以是使用平台端服务器3或授权组织服务器32事先设定格式化角色密码。当传送格式化角色ID与密码给一移动装置20(步骤S55)时，被设定的格式化角色密码也被传送，以更新格式化角色密码。

值得一提的是，在个人化数据是接收自平台端服务器3的情况下，所接收的个人化数据还包括一用于在之后访问被指定的子区块的访问码(access code)。如此一来，在个人化作业完成之后，各子区块会基于所使用的安全机制被设定为一特定访问层级。

举例来说，任何持有支付卡22的人都被准许读取区块5A的子区块，但只有使用者才具有写入的权限。

使用者被授权能读取区块5B及5F的子区块，但只有授权组织(例如医院或社团组织)才具有写入的权限。

使用者被授权能读取及写入区块5C至5E的子区块。

使用者被授权能读取区块5G的子区块，但只有合作组织(例如会员银行或支付机构)才具有写入的权限。

任何持有支付卡22的人都被准许读取区块5H的子区块，但只有平台端服务器3才具有写入的权限。

综上所述，借由基于移动装置20产生的支付指令识别支付卡22的正确性，能侦测出使用伪卡(fake card)的支付行为。再者，借由即时传送对应交易清单的支付指令给支付机构服务器5，各交易的支付可以被及时处理。如此一来，可以避免诈骗支付或交易纪录不对应所造成的损失。此外，支付卡22的隐密数据区228可以分割为多个区块，且各区块相关于一存储安全层级，各区块还分割为多个子区块，各子区块需要一个人化作业来启动，因此，隐密数据区228具备资讯扩充库的功能。

惟以上所述者，仅为本发明的实施例而已，当不能以此限定本发明实施的范围，即大凡依本发明权利要求书及专利说明书内容所作的简单的等效变化与修饰，皆仍属本发明专利涵盖的范围内。