电子钱币保险柜的制作方法

专利名称：电子钱币保险柜的制作方法
技术领域：
本发明一般涉及用于集体管理以电子信息形式表现钱币值的电子钱币的一种电子钱币保险柜，更具体地涉及使用IC卡用于财务处理的电子钱币保险柜。
按照财务处理例如买卖的安全和方便的观点，最近注意力放在所谓电子钱币上，它取代常规纸币、硬币等而将电子数字数据用作付款结帐手段。由于此原因，银行和类似机构需配备电子钱币保险柜以便集体管理电子钱币，因此希望提供高度可靠的保险柜。
在使用常规电子钱币结帐时，为保证安全性，例如在IC卡中存放了代表电子钱币的数字数据，用于转拨电子钱币的程序和用于转帐的加密处理电路。因此，在财务中，在用户IC卡及与其具有财务关系的另一方的IC卡之间实现电子钱币的直接数据交换。当客户使用取款终端将电子钱币自银行一端取出转入IC卡时，在两个IC卡之间也有电子钱币交换。在此情况下，在客户IC卡和银行一侧IC卡之间也必须实现电子钱币的直接交换。由于此原因，银行一侧所具有的IC卡多于在同一时间内希望实现财务交往的客户数，因此允许对客户取款要求进行响应，在客户IC卡和银行IC卡之间实现电子钱币的直接交换。为满足以此方式与客户IC卡交换电子钱币的需要，迄今已使用了在其中存放多个IC卡的电子钱币保险柜。
然而，在其中存放多个IC卡的电子钱币保险柜具有以下缺点。首先是加密处理的工作变换问题。在电子钱币财务操作中，当转拨电子钱币时完成加密处理，而由于技术发展及其它原因加密技术功能一年比一年弱。由于此原因，一般每隔几年就需变换一次加密处理。然而，在使用IC卡的电子钱币保险柜中存放了数十至数千张IC卡，以致每当变换加密处理时必须替换多张IC卡。
接着就产生了IC卡可靠性的问题。现用IC卡的可靠性(失误率)为100节(100次/109时)的数量级。假设连续地使用1,000张IC卡，则失误频率为109/(100×1,000)=10,000时(约1.2年)这意味着该值大约每年丢失一次。
此外，还产生IC卡使用寿命的问题。现用IC卡的可重写次数为100,000数量级，因此假如每分钟有一张IC卡用于财务处理，它的使用寿命为100,000/60(分/时)=1,667时(约69日)这意味着IC卡必须大约每两个月替换一次。
根据本发明提供的电子钱币保险柜能够简单地对付加密处理的变换及能完全保证可靠性和耐用性。
本发明的电子钱币保险柜包括一个非易失性存储器，一个命令控制单元和一个通信控制单元。在该非易失性存储器中安排有对应于众多IC卡的众多IC卡存储单元，在这些IC卡中存放着以电子信息形式表现钱币值的电子钱币。该命令控制单元并行地执行分送至安排于非易失性存储器中的众多IC卡存储单元的命令，从而逻辑地实现控制众多IC卡的功能。当从主设备收到单个或多个命令时，通信控制单元并行地形成在数量上对应于命令并伸达至命令控制单元的通信路径，从而逻辑地实现与众多IC卡通信的功能。由于以此方式使用单个命令控制单元和非易失性存储器实现众多IC卡的功能，因此当为保证电子钱币安全而变换加密处理时可容易地完成变换而不需众多物理IC卡的替换工作。
非易失性存储器包括一个由电池供电的存储器，例如静态RAM(SRAM)。由于此原因，与使用闪烁存储器的常规IC卡相比较，使用寿命可显著延长。本发明的电子钱币保险柜还具有多个钱盒，每个钱盒所具有的多重配置中为通信控制单元提供了众多值控制单元，众多值控制单元中的每一个包括非易失性存储器和一个命令控制单元的组合。通信控制单元包括一个多重比较控制单元，它允许在众多值控制单元中提供的命令控制单元对主设备的命令作出响应而完成对IC卡存储单元的相同处理，该多重比较控制单元将众多处理结果加以比较以供判断用。与存放IC卡的情况相比较，通过这个方式对本发明的电子钱币保险柜进行多重处理，可以显著地提高可靠性。
当将来自众多值控制单元的处理结果进行比较并检测到它们全都彼此重合时，该多重比较控制单元判断为正常结束并将处理结果通知主设备。当将来自众多值控制单元的处理结果进行比较并检测到部分不重合时，该多重比较控制单元将彼此重合的处理结果通知主设备。当将来自众多值控制单元的处理结果进行比较并检测到部分不重合(也即一个处理结果与其它处理结果不重合)时，该多重比较控制单元禁止对产生不重合的值控制单元进行控制(新的财务处理)。当将来自众多值控制单元的处理结果进行比较并检测到部分不重合时，该多重比较控制单元禁止由主设备对包含产生不重合的值控制单元的钱盒进行控制，然后在主设备控制下，将存放在反常钱盒的非易失性存储器中的电子钱币转拨至其它正常钱盒的非易失性存储器中。通过此种方式检测到多重配置中一部分缺陷并将电子钱币转拨至其它钱盒，可预先防止由于多重失误而导致的电子钱币丢失。此外，由于将反常钱盒的非易失性存储器中存放的电子钱币转拨至其它正常钱盒的非易失性存储器中，因此有可能将出现反常现象的钱盒替换和修理。
当将来自众多值控制单元的结果进行比较并检测到它们全都彼此不重合或检测到至少三种不同处理结果时，该多重比较控制单元判断为反常结束并将处理故障通知主设备。此处从众多值控制单元的处理结果中检测到至少三种不同处理结果的情况意味着下列情况例如获得五个处理结果，其内容为(A,A,C,B,B)。当将来自众多值控制单元的处理结果进行比较并检测到它们全都彼此不重合或检测到至少三种不同处理结果时，该多重比较控制单元判断为反常结束，将多重出错信息通知主设备并将出现反常的钱盒自待处理的物体中断开。当将来自众多值控制单元的处理结果进行比较并检测到它们全都彼此不重合或检测到至少三种不同处理结果时，该多重比较控制单元令使众多值控制单元完成自检以判断正确处理结果，将正确处理结果和多重出错信息通知主设备并将出现反常的钱盒自待处理的物体中断开。通过此种自检判断正确性后，可尽可能地保证处理数据的有效性。多重配置例如可为三重配置。更具体地说，它还包括众多钱盒，每个钱盒具有三重配置，其中为通信控制单元提供三个值控制单元，三个值控制单元中每一个包括非易失性存储器和一个命令控制单元的组合。通信控制单元包括一个三重比较控制单元，它允许众多值控制单元中的命令控制单元对来自主设备的命令作出响应而为IC卡存储单元完成相同处理，该三重比较控制单元将众多结果进行比较以供判断用。此三重配置的细节与多重配置相同。
参照附图所作详细描述将使本发明的上述和其他目的、特征和优点更为明显。


图1是使用根据本发明的保险柜的电子钱币系统的配置图；图2是本发明的电子钱币保险柜和钱币服务器的外观图；图3是图2的电子钱币保险柜的内部结构图；图4是图3保险柜内钱盒的电路框图；图5是图3保险柜内钱盒所用程序模块的框图；图6A和6B是图3保险柜内钱盒的控制功能框图；图7是使用本发明电子钱币保险柜的图1中电子钱币系统的处理序列的阐述图；图8A和8B是由图1钱币服务器执行的电子钱币的取款操作流程图；图9A和9B是伴随着图8A和8B的钱币服务器取款操作而执行的本发明电子钱币的控制处理流程图；图10是本发明的其它电子钱币控制处理流程图；图11是伴随着图10电子钱币控制处理的钱币服务器取款操作流程图；图12是包括两个电子钱币保险柜的中规模电子钱币系统框图；以及图13是其最大配置包括32个电子钱币保险柜的大规模电子钱币系统框图。
图1是其中使用了根据本发明的电子钱币保险柜的电子钱币系统的系统配置图。银行11侧配备了一个电子钱币保险柜10，一个钱币服务器18，一个主机20和一个路由器24。电子钱币保险柜10通过LAN22-1和22-2连至钱币服务器18，而主机20和卡管理服务器21连至LAN26-1和26-2。钱币服务器18通过LAN26-1和26-2连至路由器24。银行11侧的路由器24连至外部网络28，后者上面还连了一个取款终端30以便用户34使用所拥有的IC卡32与银行11侧的钱币服务器18处理电子钱币帐务。用户34使用所拥有的IC卡32通过取款终端30按下列过程实现财务操作。
Ⅰ．用户34将IC卡32放于取款终端30上并输入财务码，例如一个电子钱币取款命令，一个编码号和一个数额。
Ⅱ．取款终端30提出要求通过钱币服务器18与电子钱币保险柜10进行财务往来。
Ⅲ．电子钱币保险柜10对来自取款终端30的财务要求作出响应，对取款终端30提出证实请求，以便确证用户34的IC卡32的正确性。
Ⅳ．取款终端30对证实请求作出响应，返回一个标志用户34 IC卡32正确性的证实响应。
Ⅴ．当电子钱币保险柜10自取款终端30收到证实响应时，它完成证实批准并通知钱币服务器18。
Ⅵ．钱币服务器18向卡管理服务器21要求一个帐号等，要求将IC卡32号转换为用户34所拥有的银行帐号。
Ⅶ．卡管理服务器21对来自钱币服务器18的帐号等要求做出响应，返回一个作为转换结果的用于标志帐号等的响应。
Ⅷ．钱币服务器18向主机20发送一个财务电报以更新分户帐。
Ⅸ．主机20根据来自钱币服务器18的财务电报将分户帐更新并向钱币服务器18返回一个标志结果的财务电报。
Ⅹ．钱币服务器18向电子钱币保险柜10提出值转拨的要求。
Ⅺ．在电子钱币保险柜10的IC卡与用户34的IC卡之间实现值转拨，即电子钱币转拨。
Ⅻ．最后，当电子钱币保险柜10完成转拨后，取款终端30自钱币服务器18接收一个伴随着财务操作完成的财务确证。
使用IC卡32的电子钱币系统中所用的本发明的这类电子钱币保险柜10具有例如钱盒12-1和12-2。钱盒12-1和12-2中每一个都配备有32块逻辑IC卡14，其中每块卡14通过软件逻辑地实现与用户34所拥有IC卡32相同的功能。
图2阐述本发明电子钱币保险柜10与钱币服务器18在一起的外观。本发明的电子钱币保险柜10与钱币服务器18一起提供，它包括一个主体35，一个前门36和一个后门40。前门36装了一个数码锁38，适用于通过设置预定数码而开启前门，后门40装了一个圆柱锁。
图3是图2中电子钱币保险柜10的内部结构剖面图。电子钱币保险柜10的主体35由一块其厚度例如为13毫米的铁板所覆盖。前门36装于主体35前面而后门40装于它的后面。在此实施例的情况下，主体35内部按最大配置容纳八个钱盒12-1至12-8。一块后面板42用作钱盒12-1至12-8的公共电路板。在后面板42之后有风扇单元44，钱盒12-1至12-8中的每一个都有两个风扇。在主体35底部还有双重电源单元46-1和46-2及类似的供LAN用的双重插座48-1和48-2。
图4阐述代表存放于图3的电子钱币保险柜10中的七个钱盒的钱盒12-1的电路框图。钱盒12-1包括双重通信控制单元50-1和50-2以及三重值控制单元60-1,60-2和60-3。在通信控制单元50-1和50-2中的例如通信控制单元50-1包括一个CPU52-1，一个ROM54-1，一个RAM56-1和一个LAN控制电路58-1。LAN控制电路58-1具有例如100Mbit/s 100BASE-TX技术性能，并使用TCP/IP协议通过图3保险柜中提供的插座48-1和48-2与图1的钱币服务器18进行通信。CPU52-1用作处理器，用于对LAN控制电路58-1和三重值控制单元60-1至60-3进行控制。CPU52-1所用程序存储于ROM54-1中，而RAM56-1用作工作存储器。通信控制单元50-1的配置和功能适用于通信控制单元50-2。三重值控制单元60-1至60-3中每一个所具有的电路框图如值控制单元60-1中所示一样。值控制单元60-1包括一个CPU62-1，一个ROM64-1，一个RAM66-1，一个由电池72-1供电用作非易失性存储器的RAM68-1，一个类似地由电池74-1供电用作非易失性存储器的RAM70-1，一个输入寄存器76-1，一个输出寄存器78-1和一个加密处理电路80-1。使用输入寄存器76-1和输出寄存器78-1可在值控制单元60-1与通信控制单元52-1或通信控制单元50-2之间实现数据发送和接收。加密处理电路80-1是一个用于完成称作加密公用钥的RSA加密处理的电路，它使用最大1028位密钥(e)和一个参量(k)根据y=x**e(modk)完成自1028位数据x至数据y的转换。此加密处理阻止电子钱币的重复和其它误操作。自然，也可能由加密处理电路80-1使用其它加密处理，例如加密处理开发和研制中的椭圆曲线加密。通过使用高性能CPU62-1，也可能由CPU62-1的软件单独完成加密处理而不必使用专用电路作为加密处理电路80-1。由电池74-1供电的用作非易失性存储器的RAM70-1中存放着加密的电子钱币信息，财务记录，出错信息等。至于SRAM68-1中存放的电子钱币信息，在存储区中安排着对应于值控制单元60-1中逻辑地实现的IC卡数量的逻辑IC卡存储单元，例如对应于32个逻辑IC卡的32个逻辑IC卡存储单元。以此方式，具有存在其中的逻辑IC卡的众多卡存储单元的RAM70-1使用基于C-MOS技术的静态RAM(SRAM)，因而即使电子钱币保险柜10的电源断开，由于只需很小电流用于维持存储器内容，因此使用单个电池如电池74-1即可保证维持存储器内容达十年或更长时间。在通常如RAM70-1那样使用两块128K×9位静态RAM的情况下，所需维持电流为16μA数量级。在由具有1,900mAH容量的锂电池供电时，其使用寿命为1,900mAH/(0.016μA×24时×365日)=13.6年与使用闪烁存储器的常规IC卡的大约两个月的使用寿命相比较，这是显著地延长了的使用寿命。由电池72-1供电的用作非易失性存储器的RAM68-1内存放着一个用于确定一个将电子钱币加密的密钥的安全程序和一个密钥处理过程。虽然电源断开时保持存储器内容的条件与存放着电子钱币信息的RAM70-1一样，但当检测到反常情况，例如电子钱币保险柜10的前门36或后门40的不适当开启时，能自动删除RAM68-1的内容。这种出现反常情况时删除RAM68-1内容的功能有可能防止保密用密钥或安全程序的泄漏。CPU62-1是一个用于全部处理值控制单元60-1的处理器。操作系统和安全程序以外的其它程序存放于ROM64-1中，而RAM66-1用作工作存储器。这一值控制单元60-1的配置和功能与其它值控制单元60-2和60-3相同。
图5阐述图4的双重通信控制单元50-1和50-2及三重值控制单元60-1至60-3的软件配置。如通信控制单元50-1中所示，双重通信控制单元50-1和50-2各包括一个LAN控制模块82和一个三重比较控制模块84，其中模块82是用于提供TCP/IP协议控制的一个程序，而模块84是一个程序，通过将来自用作主设备的钱币服务器的命令同时送至三个值控制单元60-1至60-3，提供对处理结果的比较控制。如值控制单元60-1以示范方式所示，三重值控制单元60-1至60-3各包括一个ISO协议控制模块88，它是一个提供与IC卡的国际标准ISO 7816相符合的IC卡逻辑协议的程序，单元60-1至60-3所包括的逻辑IC卡过程90-1至90-32用于最多可提供32块电子钱币IC卡功能，以及单元60-1至60-3所包括的操作系统(OS)86用于并行地执行众多过程。如逻辑IC卡过程90-1以示范方式所示，逻辑IC卡过程90-1至90-32各包括一个作为控制电子钱币专用的命令/响应的程序的电子钱币协议控制模块92，一个作为用于控制图4加密处理电路80-1以完成电子钱币数据的加密/解密操作的程序的加密处理模块94以及一个作为用于自/向由电池供电的RAM68-1中安排的最多32块IC卡存储单元输入/输出电子钱币数字数据的程序的值输入/输出控制模块96。
图6A和6B是在图3的钱盒12-1和12-2的例子中由图4硬件配置和图5软件配置所实现的本发明电子钱币保险柜的功能框图。钱盒12-1配备有双重通信控制单元50-1 50-2，如通信控制单元50-1以示范方式所示，单元50-1和50-2各包括一个LAN控制电路82和一个三重比较控制单元84。在此情况下，LAN控制电路82提供的功能对应于由图5LAN控制模块82实现的LAN控制电路58-1的控制功能。三重比较控制单元84是图5的三重比较控制模块84本身。与这种通信控制单元50-1和50-2相反，三重值控制单元60-1至60-3配备有命令控制单元98-1、98-2和98-3及非易失性存储器100-1、100-2和100-3的配对。以命令控制单元98-1示范为例，命令控制单元98-1至98-3各配备有最多32块IC卡控制单元104-1至104-32。这些IC卡控制单元104-1至104-32由图5的逻辑IC卡过程90-1至90-32所实现。非易失性存储器100-1配备有最多32个IC卡存储单元110-1至110-32。非易失性存储器100-1由图4中由电池74-1供电的RAM70-1实现。命令控制单元98-1中提供的IC卡控制单元104-1至104-32和非易失性存储器100-1中提供的IC卡存储单元110-1至110-32的配对实现最大配置中32块逻辑IC卡的功能。值控制单元60-1的配置适用于其它值控制单元60-2和60-3。与钱盒12-1相同，钱盒12-2也配备了双重通信控制单元50-1和50-2及三重值控制单元60-1至60-3，它们的配置和功能与钱盒12-1相同。根据通过LAN控制电路82自作为主设备的钱币服务器送来的命令，钱盒12-1的通信控制单元50-1中提供的三重比较控制单元84在值控制单元60-1至60-3中的每一个单元中指定一对IC卡控制单元和IC卡存储单元，以使它们执行相同的控制处理，以及根据响应结果按多数判定准则而采取行动。例如，三重比较控制单元84令使值控制单元60-1的IC卡控制单元104-1和IC卡存储单元110-1配对，使值控制单元60-2的IC卡控制单元106-1和IC卡存储单元112-1配对，使值控制单元60-3的IC卡控制单元108-1和IC卡存储单元114-1配对，并根据同一命令执行控制处理以获取处理结果。
图7阐述使用本发明电子钱币保险柜10的电子钱币系统中财务处理的控制序列，在该财务处理中例如用户34使用图1的取款终端30自电子钱币保险柜10取出电子钱币放入IC卡32。当用户将IC卡32放入取款终端以便按照预定财务程序完成操作处理时，自取款终端侧送至钱币服务器18一条用于提取电子钱币的IC命令120。当钱币服务器18收到用于提取电子钱币的IC命令120时，它通过IC命令120的现金取款数选择合适的钱盒号和逻辑IC卡号和电子钱币保险柜10的每个钱盒内逻辑IC卡的结存，将钱盒号和逻辑IC卡号作为首部信息122加至IC命令120，并将它送至由电子钱币保险柜10的钱盒号所规定的钱盒的通信控制单元50中。根据自钱币服务器18收到的首部信息122和IC命令120，通信控制单元50同时将首部信息122-1至122-3和IC命令122-1至122-3的配对分别送至三个值控制单元60-1至60-3。三个值控制单元60-1至60-3的图6中的命令控制模块98-1至98-3，更具体地说，ISO协议控制模块88将收到的IC命令120-1至120-3加以解释并与普通IC卡相同地完成处理。也即，在普通IC卡的情况下，以电子钱币数字数据形式表现的值信息存放于IC卡的E2PROM中，而在本发明中它以图6A和6B的非易失性存储器100-1至100-3中32块IC卡存储单元的形式表现，例如存放于由电池74-1供电的RAM70-1中，也即在图4所示静态RAM中。其结果是，对使用静态RAM的非易失性存储器的访问速度高，由于对重写次数没有限制，因此能保证非常长的使用寿命。此时，当加密数据犹如电子钱币取汇款中那样伴随着IC命令120-1至120-3时，图5的逻辑IC卡90-1中的加密处理模块94控制图4硬件配置中的加密处理电路80-1以实现加密或解密。当然可由CPU的软件实现此加密和解密。三重值控制单元60-1至60-3通过输出寄存器将逻辑IC卡过程90-1的处理结果，也即例如图6的命令控制单元98-1至98-3中的IC卡控制单元104-1、106-1和108-1的处理结果作为IC响应124-1,124-2和124-3返回至通信控制单元50。在三重比较控制模块84中，通信控制单元50等待获取所有三个响应124-1至124-3并比较它们。在所有三个响应124-1至124-3都彼此重合的情况下，一个正常结束码被加至首部信息122中，后者与IC响应124一起返回至钱币服务器18。钱币服务器18将返回的IC响应124的首部信息122加以解释，以及如果为正常结束，则它将已清除掉首部信息122的IC响应124送至取款终端上的IC卡32中。这允许实现逻辑操作，从用户拥有的IC卡32看来，犹如在电子钱币保险柜10侧真实地存在一个IC卡。相反地，当三个IC响应124-1至124-3中的一个是不重合时，例如电子钱币保险柜10的通信控制单元50中的三重比较控制模块84中只有IC响应124-3与其它两个IC响应124-1和124-2不重合时，返回IC响应124-3的值控制单元60-3被判定为反常，而被判定为反常的值控制单元60-3即被断开。这造成随后处理由三重处理转为双重控制。同时，被判定为反常的值控制单元60-3的号加至首部信息122，而与两个彼此重合的IC响应124-1和124-2相同的IC响应一起返回至钱币服务器18。钱币服务器18解释如此返回的首部信息122，以及如果只有一个值控制单元60-3反常，则以与正常结束情况相同的方式删去首部信息122，并将IC响应124送至用户侧的IC卡32中。然后在此情况下，禁止对具有发生反常情况的值控制单元60-3的钱盒实行随后新的财务操作。在禁止发生反常情况的钱盒实行新财务操作之后，钱币服务器18然后执行处理以将发生反常情况的钱盒中所有逻辑IC卡内的值信息转拨至其它正常钱盒中的逻辑IC卡中，从而使发生反常情况的钱盒可供维修和替换之用。自然地，当完成自反常钱盒转拨值信息至正常钱盒之后，钱币服务器18显示一条出错消息以敦促用户完成维修和替换操作。维护人员对此进行响应，将发生反常情况的钱盒替换掉。另外，如果电子钱币保险柜10的通信控制单元50中的三重比较控制模块84中的所有三个IC响应124-1至124-3彼此都不重合，则所有三个产生不重合性的值控制单元60-1至60-3都被断开以及标志值控制单元60-1至60-3的所有结果彼此都不重合的多重出错信息被加至首部信息122，后者返回至钱币服务器18。钱币服务器18对自电子钱币保险柜10返回的首部信息122进行判断，及当根据多重出错信息识别到所有三个IC响应124-1至124-3彼此都不重合时，它建立一个出错响应，作为IC响应124送至取款终端侧的用户IC卡32中，从而在具有产生三个互不重合的响应的值控制单元60-1至60-3的钱盒上禁止随后进行新财务操作。在这种情况下钱币服务器18不可能取出电子钱币，它是发生反常情况的钱盒中的逻辑IC卡上的值信息。然而，图4中在其中存放的值信息用作电子钱币的RAM70-1是由电池74-1供电的，因此发生反常的钱盒可从电子钱币保险柜10中取走并送至工厂等，而等于值信息的电子钱币数据则从发生反常情况的钱盒内的逻辑IC卡中取出。根据类似加至电子钱币的检查数据或由钱币服务器18获取的财务记录的信息，可在三个值控制单元60-1至60-3中判断哪个值信息是正确的，可以使即使发生反常情况的钱盒也能免受其值丢失之苦。作为值控制单元60-1至60-3的所有三个结果都不重合的情况的其它措施，通信控制单元50向三个值控制单元60-1至60-3发出自检命令，从而使值控制单元60-1至60-3完成自检和图4中RAM66-1、68-1和70-1的正确性检查。根据此自检结果，可确定具有正确值信息的值控制单元，作为正确状态结果的IC响应124可与具有所加多重出错信息的首部信息122一起返回至钱币服务器18。在钱币服务器18中可将首部信息122自IC响应124中清除掉，然后以与正常结束情况相同的方式作为IC响应124送至IC卡32。当然，在此情况下同样地，钱币服务器18禁止发生反常情况的钱盒进行随后新的财务操作，并将出现反常情况的钱盒送至工厂等，以便针对出错及从中提取值信息采取措施。
图8A和8B是图7中钱币服务器18所作电子钱币提取处理的流程图。首先在步S1中，从自用户IC卡32收到的IC命令120的提取量中选择具体钱盒的具体逻辑IC卡及每个钱盒的逻辑IC卡的结存。然后在步S2中，钱盒号和逻辑IC卡号作为首部信息122加至IC命令120中并送至电子钱币保险柜10中。再在步S3中，检查是否有来自电子钱币保险柜10的响应，以及如有响应，则在步S4中根据首部信息122是否具有正常结束码来判断是否发生了正常结束。如判断已发生正常结束，则去掉首部信息122并将IC响应124送至用户的IC卡。如在步S4中并未发生正常结束，则进至步S6以检查三个响应中是否有一个与其余两个不重合。如三个响应中有一个与其余两个不重合，则在步S7中去掉首部信息122并以与正常结束情况相同的方式将IC响应124送至用户的IC卡32。然后在步S8中禁止在发生反常的不重合响应的钱盒中进行新的财务操作。再在步S9中，在被禁止进行财务操作的钱盒中的逻辑IC卡中的值信息被转拨至其它正常钱盒的逻辑IC卡中，以使被禁止财务操作的钱盒可交付维修和替换。另一方面，如在步S6中三个响应中的一个不重合，则在步S10中检查是否所有三个响应都彼此不重合。如所有三个响应都彼此不重合，则在步S11中根据多重出错信息建立一个作为IC响应124的出错响应并送至用户IC卡32。然后在步S12中禁止反常钱盒进行新财务操作。
图9A和9B是电子钱币保险柜10侧对应于图8A和8B中钱币服务器18的处理的保险柜控制处理的流程图。当在步S1中通信控制单元50收到来自钱币服务器18的首部信息122和IC命令时，在步S2中通信单元50同时将首部信息122和IC命令送至三个值控制单元60-1至60-3的输入寄存器中。在步S3中值控制单元60-1至60-3将首部信息122中的逻辑IC卡号和IC命令加以解释，并根据IC命令与具有具体号码的逻辑IC卡执行财务处理。然后在步S4中，逻辑IC卡的处理结果作为IC响应124-1至124-3通过输出寄存器返回至通信控制单元50。在步S5中三重比较控制模块84等待以获取来自值控制单元60-1至60-3的所有三个响应，及当获取到所有三个响应后，在步S6中对三个响应进行比较控制。如果此比较控制的结果是在步S7中所有响应都彼此重合，则在步S8中将一个正常结束码加至响应的首部信息122中并送至钱币服务器18中。如在步S7中所有响应并不彼此重合，则在步S9中判断是否有一个响应不重合。如有一个响应不重合，则在步S10中将发生反常情况的值控制单元断开并将三重控制切换为双重控制。然后在步S11中将发生反常情况的值控制单元号加至首部信息122中，并与正确响应一起返回至钱币服务器18。再在步S12中等待来自钱币服务器18的值转拨命令，及当收到转拨命令后，在步S13中将反常钱盒的逻辑IC卡的值信息转拨至其它正确钱盒的逻辑IC卡中。如在步S9中一个响应与其它响应不重合，则过程进至步S14以检查是否所有三个响应都彼此不重合。如所有彼此都不重合，则在步S15中将所有值控制单元60-1至60-3断开，及将多重出错信息加至首部信息中并返回至钱币服务器18中。
图10是图7的电子钱币保险柜10的三重比较控制模块84中所有三个响应结果都不重合的情况下另一实施例的流程图。此实施例的特征在于通信控制单元50向值控制单元60-1至60-3发出自检命令以使它们完成自检。更具体地说，图10的步S1至S14与图9A和9B的保险柜控制处理相同。如在步S14中判断所有三个响应124-1至124-3彼此都不重合，则在步S16中通信控制单元50向值控制单元60-1至60-3发出自检命令以使它们完成自检。通过值控制单元60-1至60-3的这项自检，根据RAM68-1的工作区的值、RAM70-1的电子钱币信息、财务记录、出错信息等执行正确性检查。其结果是，在步S17中确定具有正确值信息的值控制单元。然后在步S18中断开所有值控制单元60-1至60-3，将根据多重出错信息和自检所确定的正确值控制单元号加至首部信息122中，以及将响应124返回至钱币服务器18中。
图11是对应于图10保险柜控制处理的取款处理流程图。在此流程图中，步S1至S10的处理与图8A和8B相同。如果在步S10中判断所有三个响应彼此都不重合，则在步S13中检查能否根据自检结果从首部信息中识别正确值控制单元的响应。当根据自检结果识别正确值控制单元的响应时，在步S14中将该响应中首部信息122清除并以与正常结束相同的方式将它送至用户侧的IC卡中。然后在步S12中，禁止反常钱盒进行新财务操作。应注意如果在步S13中根据自检结果未识别正确值控制单元的响应，则在步S11中建立一个出错响应并送至用户IC卡中。在此情况下，通过由本发明电子钱币保险柜10的每个钱盒中三重比较控制模块84所作的三重处理完成按多数判定准则，与使用物理IC卡的常规电子钱币保险柜比较可以得到非常高的可靠性。例如，如在图6A和6B的钱盒12-1的情况一样，三重命令控制单元98-1至98-3和非易失性存储器100-1至100-3的配对中的每一对逻辑地实现32块IC卡的功能，三重情况中的出错率为6×20002×24×10-9=0.576节其中预乘电路出错率为2000节，而平均修复时间(MTTR)等于24小时。另一方面，常规电子钱币保险柜中32块IC卡的出错率可表达为100×32=3200节因此，与使用常规IC卡的电子钱币保险柜相比较，在三重情况下本发明的出错率可表达为1/5,000或更低。
当如图9A的步S9中一个响应不重合的情况下将反常钱盒的逻辑IC卡的值信息转拨至其它正常钱盒的逻辑IC卡中时，可阻止多重出错引起的值丢失，因此可进一步减少出错率。例如，假设在检测到出错时可在一分钟内自动地将值转拨至正常钱盒中，则平均修复时间(MTTR)将为1/60时，此情况下的三重配置的出错率为6×20002×1/60×10-9=0.0004节在此情况下，与使用32块IC卡的常规电子钱币保险柜相比较，出错率可减小至1/80,000,000。
图12阐述使用本发明电子钱币保险柜的电子钱币系统的另一系统形式。此系统为一中规模系统，其中用户IC卡的数量处于2,400,000数量级。在此中规模系统中，银行侧的系统单元120配备有两个电子钱币保险柜10-1和10-2。电子钱币保险柜10-1和10-2中每一个的最大配置为八个钱盒12-1至12-8。钱盒12-1至12-8中每一个配备32块逻辑IC卡。两个电子钱币保险柜10-1和10-2通过LAN22-1和22-2连至两个钱币服务器18-1和18-2，后者通过LAN26-1和26-2和路由器24连至网络28，从而提供一个连至网络28侧的取款终端及合适的输入/输出终端的连接。
图13阐述一个大规模系统，其中用户IC卡数量为20,000,000数量级。银行侧配备有对应于图12的中规模系统中配备的系统单元120的八个系统单元120-1至120-8。以此方式，本发明的电子钱币保险柜可根据用户IC卡数量恰当地确定钱盒数和保险柜数。
根据以上描述的本发明，使用与电子钱币保险柜一样的单个控制电路而逻辑地实现众多IC卡的功能，有可能为了电子钱币保险柜的安全而容易地变换加密处理。此外，使用具有较小功耗和延长的重写寿命的存储器，例如电子钱币保险柜中用作值存储器的由电池供电的静态RAM，与常规IC卡比较，有可能显著地延长用于电子钱币保险柜中的逻辑IC卡的使用寿命。此外，通过多重实现电子钱币保险柜中的控制电路，与电子钱币保险柜中使用IC卡的情况相比较，可得到显著地改善的可靠性。此外，在电子钱币保险柜的财务处理中，通过对多重比较控制中部分出错检测作出响应而将值转拨至其它正常控制电路，有可能在多重比较控制中出现多重出错的情况下预先防止值的丢失。
虽然上述实施例作为例子每个钱盒内使用了32块逻辑IC卡，但可增加钱盒中处理器的处理速度以增加过程数，并相应地增加逻辑IC卡数。因此应理解每个钱盒的逻辑IC卡数并不限于以上实施例而可以恰当地确定。
虽然上述实施例作为例子将由电池供电的静态RAM用作钱盒中逻辑IC卡的非易失性存储器，但也可使用其它保持状态功耗低和延长的使用寿命的存储器。还应注意，本发明并不受上述实施例中所示数值的限制。
权利要求
1．一种用于保管以电子信息形式表现钱币值的电子钱币的保险柜，所述保险柜包括一个非易失性存储器，在其中配备着对应于存放所述电子钱币的众多IC卡的存储单元的众多IC卡存储单元；一个命令控制单元，用于并行地执行分送给所述非易失性存储器中配备的所述众多IC卡存储单元的命令，从而逻辑地实现众多IC卡的控制功能；以及一个通信控制单元，当从主设备收到单个或多个命令时，所述通信控制单元并行地形成在数量上对应于所述命令并伸展至所述命令控制单元的通信路径，从而逻辑地实现与所述众多IC卡通信的功能。
2．根据权利要求1的保险柜，其中所述非易失性存储器由从电池供电的存储器所形成。
3．根据权利要求1的保险柜，进一步包括众多钱盒，所述众多钱盒中每一个具有多重配置，所述多重配置中为所述通信控制单元提供众多值控制单元，所述众多值控制单元中每一个包括所述非易失性存储器和一个命令控制单元的组合；以及其中所述通信控制单元包括一个多重比较控制单元，所述多重比较控制单元允许所述众多值控制单元中的所述命令控制单元对所述主设备的命令作出响应为所述IC卡存储单元完成相同处理，所述多重比较控制单元将众多处理结果加以比较以供判断之用。
4．根据权利要求3的保险柜，其中当将来自所述众多值控制单元的所述处理结果加以比较并检测到所有它们彼此都重合时，所述多重比较控制单元判断为正常结束并将所述处理结果通知所述主设备。
5．根据权利要求3的保险柜，其中当将来自所述众多值控制单元的所述处理结果加以比较并检测到一个处理结果与其它处理结果不重合时，所述多重比较控制单元将彼此重合的处理结果通知所述主设备。
6．根据权利要求3的保险柜，其中当将来自所述众多值控制单元的所述处理结果加以比较并检测到一个处理结果与其它处理结果不重合时，所述多重比较控制单元禁止对产生不重合性的所述值控制单元进行控制。
7．根据权利要求3的保险柜，其中当将来自所述众多值控制单元的所述处理结果加以比较并检测到一个处理结果与其它处理结果不重合时，所述多重比较控制单元禁止从所述主设备对包含产生不重合性的所述值控制单元的钱盒进行控制，及随后在所述主设备控制下将所述反常钱盒的所述非易失性存储器中存放的电子钱币转拨至其它正常钱盒的所述非易失性存储器中。
8．根据权利要求3的保险柜，其中当将来自所述众多值控制单元的所述处理结果加以比较并检测到它们彼此都不重合或检测到至少三种不同处理结果时，所述多重比较控制单元判断为反常结束并将处理出错通知所述主设备。
9．根据权利要求3的保险柜，其中当将来自所述众多值控制单元的所述处理结果加以比较并检测到它们彼此都不重合或检测到至少三种不同处理结果时，所述多重比较控制单元判断为反常结束，将多重出错信息通知所述主设备并将发生反常的钱盒自待处理物体中断开。
10．根据权利要求3的保险柜，其中当将来自所述众多值控制单元的所述处理结果加以比较并检测到它们彼此都不重合或检测到至少三种不同处理结果时，所述多重比较控制单元令使所述众多值控制单元完成自检以判断正确处理结果，将所述正确处理结果和多重出错信息通知所述主设备并将发生反常的钱盒自待处理物体中断开。
11．根据权利要求1的保险柜，还包括众多钱盒，所述众多钱盒中每一个具有三重配置，其中为所述通信控制单元配备了三个值控制单元，所述三个值控制单元中每一个包括所述非易失性存储器和一个命令控制单元的组合；以及其中所述通信控制单元包括一个三重比较控制单元，所述三重比较控制单元允许所述众多值控制单元中的所述命令控制单元对来自所述主设备的命令作出响应为所述IC卡存储单元完成相同处理，所述三重比较控制单元将众多处理结果加以比较以供判断用。
12．根据权利要求11的保险柜，其中当将来自所述众多值控制单元的所述处理结果加以比较并检测到它们彼此都重合时，所述三重比较控制单元判断为正常结束并将所述处理结果通知所述主设备。
13．根据权利要求11的保险柜，其中当将来自所述三个值控制单元的所述处理结果加以比较并检测到一个处理结果与其它处理结果不重合时，所述三重比较控制单元将彼此重合的处理结果通知所述主设备。
14．根据权利要求11的保险柜，其中当将来自所述三个值控制单元的所述处理结果加以比较并检测到一个处理结果与其它处理结果不重合时，所述三重比较控制单元禁止对产生不重合性的所述值控制单元进行控制。
15．根据权利要求11的保险柜，其中当将来自所述三个值控制单元的所述处理结果加以比较并检测到一个处理结果与其它处理结果不重合时，所述三重比较控制单元禁止从所述主设备对包含产生不重合性的所述值控制单元的钱盒进行控制，及随后在所述主设备控制下将所述反常钱盒的所述非易失性存储器中存放的电子钱币转拨至其它正常钱盒的所述非易失性存储器中。
16．根据权利要求11的保险柜，其中当将来自所述三个值控制单元的所述处理结果加以比较并检测到它们彼此都不重合时，所述三重比较控制单元判断为反常结束并将处理出错通知所述主设备。
17．根据权利要求11的保险柜，其中当将来自所述三个值控制单元的所述处理结果加以比较并检测到它们彼此都不重合时，所述三重比较控制单元判断为反常结束，将三重出错信息通知所述主设备并将发生反常的钱盒自待处理物体中断开。
18．根据权利要求11的保险柜，其中当将来自所述众多值控制单元的所述处理结果加以比较并检测到它们彼此都不重合时，所述三重比较控制单元令使所述三个值控制单元完成自检以判断正确处理结果，将所述正确处理结果和三重出错信息通知所述主设备并将发生反常的钱盒自待处理物体中断开。
全文摘要
在非易失性存储器中配备着对应于众多IC卡的众多IC卡存储单元,在每个IC卡存储单元中存放着以电子信息形式表现钱币值的电子钱币。命令控制单元并行地执行分送至非易失性存储器中配备的众多IC卡存储单元的命令以便逻辑地实现众多IC卡的控制功能。此外,当收到来自主设备(钱币服务器)的单个或多个命令后,通信控制单元并行地形成在数量上对应于命令并与命令控制单元相关连的通信路径以逻辑地实现与众多IC卡存储单元通信的功能。
文档编号G06Q10/00GK1218930SQ9811915
公开日1999年6月9日 申请日期1998年9月11日 优先权日1997年12月5日
发明者山本浩宪, 桥本繁 申请人:富士通株式会社