专利名称:基于智能卡的价值转移的制作方法
技术领域:
本发明涉及一种使用智能卡使多种面额的物品能够进行价值转移的方案,包括卡到卡交易。在本文中,“物品”一词用来表示认为具有价值的任何东西,包括,例如货币。
背景技术:
在过去的二十年中,卡到卡交易和基于智能卡的“电子钱包”方案一直是研究和设计活动的主题。人们已经提出了很多种不同的方案,每种都使用不同的标准和技术,例如,“Mondex”方案提供了“最少损失”的卡到卡价值转移。从理论上讲,任何新提出的方案应该能够与至少一部分现有方案进行互操作。因此,所建议的方法尽可能地使用“开放标准”。
任何新方案的总体目标都是创建一种对于银行卡所提供的支付系统的可行的可供选择的支付系统。价值流通应该通过脱机交易能力的处处可见的便利性而被激励,而同时,由于此方案的规定,这种流通必须被控制和监控以提供强大的管理以预防诈骗,并使税收征集成为可能,也就是说,持卡者应该时常但并不会感到不便地那么频繁地被要求去联机交易以继续使用该服务。
还可能将价值从特定经纪人转移到一张之前没有在特定物品中进行过交易的智能卡上。从经纪人的观点来看,这具有附加的优点为了登记最近获得的价值,必须开一个新的账户,从而带来了新的账户持有者。
为了使方案可行,也就是说,为了保证方案足够安全地实施,任何这样的方案应该包含以下特征卡到主机的登陆应该提供利用两种单独因素的远程认证以保证对账户持有者的认证,通常,这两种因素指的是卡的持有和单独PIN(个人身份号码)的确认。
物品交换功能性应该允许卡和主机之间以及一张卡和另一张卡之间的交易,即,面对面交易和远程交易。
来自多个经纪人的多种物品最好呈现在同一卡上。如果可以实现这一点,那么这种要求意味着一个开放系统。
新的物品,例如,银和钯,应该能够从已有的或者新的经纪人引入这个方案中,并到已在流通中的卡上。
在不同经纪人的物品之间应该有互换的措施,换句话说,所使用的技术必须使该方案能够成为一个开放系统,在该系统中,物品经纪人和他们的竞争者可以在同一卡库内互操作。
相对于“顾客”所使用的卡,该方案应该具有识别“商人”所使用的卡的能力,以便应用不同的押金结构。
站在顾客-商人的立场,应该制定措施以防止由于顾客卡上“资金不足”而引起的交易失败。在这种情况下,系统应该支持该卡联机访问主机以下载更多可用资金到持卡者且然后允许交易重试的选项。
在实现上述类型的方案时,有一种选择是采用可利用的开放标准技术。表面上看来,用于这种方案的要求与EMV(Europay,MasterCard& Visa)2000中发现的预先授权脱机借贷简介非常相似[参见2000年12月第4版的EMV 2000 Integrated Circuit Card Specification forPayment System,Book1Application independent ICC to TerminalInterface Requirements,EMVCo,LLC(“EMVCo”);2002年10月1.0版的M/Chip 4 Card Application Specifications for Debit and Credit;以及2001年10月1.4版的Visa Integrated Circuit CardCard(ICC)Specification,Visa International]。但是,这些方案并不适合开放形式的多种物品,尤其是,这些方案不提供对这些物品的添加、删除或修改的动态管理。更根本的是,EMV不能处理卡到卡交易。
发明内容
根据本发明,提供了一种价值转移方案,其中,用户配备有可编程器件,其能够携带代表至少一种可用物品价值的数据,并且代表用户账户的数据被保存在远程处理站;其中,通过在用户的各自可编程器件之间的数据的脱机交换来实现用户之间的交易,该交换数据包含涉及的该交易或每个交易的记录;并且其中,只有当用户的可编程器件联机到远程处理站,并且该可编程器件中的数据被上传到该远程处理站的时候,才随之更新保存在该远程处理站的每个用户帐户的用户账户数据。
本发明不仅提供了一种在本方案中使用的接口器件,还提供了一种携带有至少一个代表可用物品价值的数据文件的可编程器件,以及通过该接口器件与另一脱机用户的可编程器件进行连接的模块。
通过例子参照附图,将详细描述根据本发明的方案,该附图是显示根据本发明的方案的高级体系结构的方框图。
具体实施例方式
如同上文所提到的,本发明的方案基于作为开放标准的ITSO方案所衍生出的技术。在这篇文档中,术语“ITSO”用来表示由英国政府开发的并被结合进欧洲标准EN 1545(European Standard EN 1545)中的、在任何当前可用的版本或将来可用的版本中的智能卡可互操作票据交易方案(Interoperable Ticketing Transaction Scheme)。
ITSO提供了一套标准的规范、一个组织、一种开放的方案以及一种技术体系结构。它已经使很多基于票据的智能卡应用的创建成为可能,包括接触式的和非接触式的。
上述的EMV方案向一个持银行卡顾客提供了一种基于信用或借贷的支付方法,同时又允许对其他银行商业客户进行支付包销(underwriting)和托收(collection)。
ITSO按照稍微类似的原理进行操作,尽管它通过加强方案的安全性来确保各方之间的信任。
在任何多用户方案中,必要的是参加方—商人—必须获得产生的收入或者转移的价值中他们的正当份额。为了达到精确的收益分配,必须创建一种完全记帐的方案,该方案能够确保完整和完全地收集并紧接着结算每个交易。并且,为了得到有保证的结算和分配,任何交易记录的日志必须确保它的完整性和随后的转移。
ITSO通过允许和加强脱机安全性来满足了这些不同的要求。这是通过提供一种防止入侵篡改的安全访问模块(‘ITSO SAM’或者‘ISAM’)来实现的,该安全访问模块已经存在于每个票据机和旋转栅门的传输方案中,并且由ITSO的安全管理模块进行管理。ISAM通过作为方案的“警察”或者安全实施者来参与到每个票据交易中。它检查所呈现的每个票据的完整性并验证每次交易。在本发明的方案中,期望每个与卡连接的终端,无论是联机的还是脱机的,都要结合一个ISAM。
所述的ITSO方案还详细说明了由ISAM的加密功能来保证的各种软票据模板。在这些票据模板中,根据每个票据产品可以拥有自己的密钥的事实,任何方案操作者所“拥有”的票据产品都能被创建和处理,并被存储在ISAM上并再由ITSO安全管理者进行管理。这些软票据独立于卡平台技术。这允许任何符合ISO 14443的卡,无论其只是存储器或者是基于CPU的,都可以在一张单一应用卡上或与多应用卡上的其他应用一起,执行ITSO票据钱包。
ITSO方案的核心是ITSO安全应用模块“ISAM”,应用于其的基础平台是ISO 7816兼容高容量卡。该卡拥有超过4兆字节的保密存储器,而且ISAM能够以超过600kb/s的速度通信(ISO 7816 T=1)。它包括一整套硬件加速加密能力,诸如RSA和三重DES。通常,这都可以提供在标准ISO 7810和ID-000形式因素中以适合移动电话中所使用类型的如用于GSM SIM的插座。ISAM已经被开发来满足国际承认的安全保证方法,AEL 4高级部分的通用标准。
在ITSO方案中,每张卡可以携带一张或者多张“电子票据”。这些可以作为付款的回报从参加方案的商人中得到。当卡用户从商人中得到电子票据的时候,形成电子票据的数据文件被从包含ISAM的接口器件中加载到智能卡上。当持卡者为了旅行希望使用他所购买的票据的时候,电子票据文件就从智能卡上下载到包含ISAM的接口器件上。应当理解在传统ITSO方案中,既没有提供双向流动,也没有提供卡到卡交易。因此,ITSO方案作为多种物品价值转移方案的基础乍看上去也有一些与上面讨论的EMV方案相同的缺点。
尽管如此,我们理解所述ITSO方案能够适合于提供一种具有上述功能的可行的价值转移方案。
本发明的方案依赖于提供驻留在每张卡上的多个“电子支票簿”,每个物品帐户一个电子支票簿。这些电子支票簿的结构基于ITSO票据模板[参见2000年11月第二版的ITSO Specification Part 2Card andBasic Data structure以及2000年11月第二版的ITSO Specification Part5Card format and Data Records,将它们插入此处作为参考]。每个电子支票簿实际上是一个数字证书,也就是一组数据,通过使用加密来加强其的完整性。假设卡的发行者允许的话,代表来自于多个物品经纪人的多个账户的电子支票簿即使在野外也可以下载到卡上或者从卡上删除。因此,该方案允许来自多个经纪人的多种物品存在于同一张卡上。
用来验证和修改每个电子支票簿内容的密钥也被存储在每张卡上。由于每个电子支票簿有自己的密钥,所以账户的保密和安全就在整个方案上得到保证了。该方案有负责所有密钥的产生和使用的安全管理系统(Security Management SystemSSMS)。还有负责电子支票簿的安全加载和删除的应用管理系统(Application ManagementSystemAMS),该AMS反过来依赖于SSMS所管理的密钥。
通过在卡之间离线转移电子支票(“e-cheques”)来实现持卡者之间的交易。
所述电子支票簿与ITSO IPE(可交换产品实体ITSO电子票据术语)相类似,并且所述支票与ITSO票据交易记录相类似。支票的安全加载和删除以及在每个支票簿中主机到卡的余额的增加/减少[参见2000年11月第二版的ITSO Specification Part 4Back Office Systems,将其插入这里作为参考]由ITSO安全框架信息传递[参见2000年11月第二版的ITSO Specification Part 7Security Access Module,将其插入这里作为参考]来管理。
和EMV方案不同,“电子支票”本身并不改变以电子钱包或账户的某种形式保存的物品价值,相反只是起记录将来发生的交易的作用。这正好与写在传统的银行账户上的支票类似;其不是开出和移交实现将资金转移到接收方的支票,而是通过接收方的银行账户来兑现支票。
卡到卡交易能够脱机重复进行,直到不再有可用的存储器来存储新的“支票”,或者“支票计数器”出现错误。此时,卡必须联机到方案的主机以“兑现支票”,也就是说,从卡中上载交易以通过中央交易处理中心进行兑现。
当卡联机到主机时,它的唯一ID首先被传送给SSMS。SSMS以消息的形式发送由该方案的密钥保护的一个卡唯一质询。仅一个有效卡能够正确地响应。该响应还将依赖于持卡者确认方法,如PIN,的正确输入。因此,这种行为作为一种安全的远程登陆,使用如同上面提出的需求列表中建议的那样使用双因素远程认证。唯一ID使主机可以识别出“商人”卡并将它们与顾客的卡区分开来。
这样,在本发明的方案中,在卡之间脱机交易电子支票,直到用户联机到“后台”,即此方案的中央处理单元。在那里,电子支票被下载,并且电子钱包和账户被联机更新。
如同上面提到的那样,由于ITSO传输相关方案本身并不要求提供卡到卡交易,因此我们必须修改ITSO结构以允许本发明的价值转移方案中的卡到卡交易。
当两张卡连接时,验证存在兼容的电子支票簿,并且,依据授权,以持卡者验证方法的形式,创建和交换两张“电子支票”。这些电子支票的其中之一,与纸质支票类似,会增加一张卡上的电子支票簿余额,而另一电子支票可能与纸质系统中的支票簿存根上保存的记录类似,在另一张卡中进行电子支票簿中余额的相应减少。
在当前系统下,持卡者验证很可能包括提供PIN,但是,将来这也能够修改为其他的持卡者确认方法,如生物测定方法。
如果第二张卡没有所需的电子支票簿,那么假设卡允许,新的电子支票簿会被创建,价值将被加入其中。因此,当需要时该提出的方案的功能允许容易地引入新的物品。
站在顾客-商人的立场,如果由于顾客卡上可用资金不足而引起交易失败,则顾客卡可以联机到主机上以下载更多的可用资金,然后允许重试本地交易。这个操作对于商人和顾客可以是完全透明的。当然,通常情况下,这只在商人终端与中央处理单元相连的地方才是可能的。
根据本发明的方案的高级体系结构如图1所示。在10处示例性地显示了执行脱机卡到卡交易时所保持的情形。每个持卡者的卡和未与中央处理单元14或者“后台”相连的本地终端进行连接。
当持卡者需要联机时,卡就与终端12进行连接,该终端12通过因特网或其他计算机网络与后台14相连以便现有的电子支票能够被兑现,并且账户或者电子钱包的价值可以被上载或下载。后台操作16的一部分也处理新卡的发行和个人化。
当卡到卡交易如图1中10处那样发生的时候,本发明的方案如下操作。
提出下面表1中显示的终端和卡之间的命令序列来进行基于ITSO标准的卡到卡价值转移首先,由终端来进行两卡的相互认证;在每种情况下,持卡者都需要提供PIN或其他验证卡的真实性的方法。如果未提供PIN或其他验证,则交易将会停止。
然后,终端应用(ISAM)从每张卡上读取二进制DIR并验证之,然后从第一张卡中,即卡1上读取电子支票簿价值(IPE1),验证之并将其写入另一张卡,即卡2。ISAM然后从第二张卡中,即卡2上读取相应的电子支票簿价值(IPE2),验证之并将其写入卡1上,以便现在每张卡都有经过验证的另外一张卡的电子支票簿价值的副本。
表1然后,第二张卡,即卡2在内部创建MODIFY VALUE IPE命令以从电子支票簿价值IPE1中减去所期望的数量,以创建IPE1的修改后版本。它还创建内部IMAC命令以把所述数量已经从卡1中减去的事实记入日志。
然后,终端从卡2中读取修改后的价值IPE1,并将其传递给另外一张卡,即卡1。卡1然后计算从它自己的IPE中减去了多少数量,并在内部发布MODIFY VALUE IPE命令以将该数量加入到IPE2。卡1通过创建IMAC命令以记录把所述数量已经加入到卡2的IPE上的事实,来将交易记入日志。
然后,终端从卡1中读取修改后的价值IPE2并将其写回卡2。优选终端也产生IMAC日志以记录交易细节。
终端与卡进行连接以更新卡上保存的电子支票簿的累计总数,尽管直到持卡者联机到主机上,并且借助于IMAC日志形式的“电子支票”创建实现电子支票簿的每次交易的记录,才更新持卡者帐户的信息。
这样,本发明的方案能够提供多种物品价值转移方案,其允许上面所列的期望特征,尤其是包括,与中央处理单元脱机的卡到卡交易。
权利要求
1.一种价值转移方案,其中,用户配备有可编程器件,所述可编程器件能够携带代表至少一种可用物品价值的数据,并且代表用户账户的数据被保存在远程处理站;其中,通过在用户的各自可编程器件之间脱机交换数据来实现用户之间的交易,所述交换的数据包括涉及的所述交易或每个交易的记录;以及其中,只有当用户的可编程器件联机到所述远程处理站,并且数据从该可编程器件上载到所述远程处理站时,才紧接着更新保存在所述远程处理站的每个用户帐户的用户帐户数据。
2.根据权利要求1所述的方案,其中,在所述用户的可编程器件之间交换数据之前验证参与交易的用户的身份。
3.根据权利要求1或2所述的方案,其中,所述或每个可编程器件是智能卡。
4.根据权利要求1至3中任一项所述的方案,其中,所述数据交换是这样的来自参与交易的两个可编程器件中的每一个的数据文件被复制到另一器件中;第二可编程器件修改从第一可编程器件中接收到的所述数据文件,并将修改后的文件复制回所述第一器件;然后,响应于所述第二器件返回给其的所述修改后的文件,所述第一个器件修改从所述第二个器件中复制的所述数据文件,并将其已经修改的所述文件复制回所述第一器件。
5.根据上述权利要求中任一项所述的方案,其中,代表不同物品的可用价值的多个数据文件中的一个被选择在交易中使用。
6.根据上述权利要求中任一项所述的方案,其中,基于ITSO方案安全管理系统的软件产生密钥,该密钥用来验证或修改交易中涉及的所述或每个数据文件的内容。
7.根据上述权利要求中任一项所述的方案,其中,基于ITSO应用管理系统的软件控制将新数据文件加载到一个或多个所述可编程器件上以及从所述可编程器件中删除这种数据文件。
8.一种用于根据上述任一权利要求所述方案的价值转移方案中的接口器件,所述器件包括连接装置,用于与参与交易的至少两个用户的可编程器件进行连接,以及实现装置,用于在所述用户的各自可编程器件之间实现脱机交换数据。
9.一种用于根据权利要求1至7中任一项所述方案中的可编程器件,包括代表至少一种可用物品价值的数据,以及连接装置,用于通过权利要求8的接口器件与另一脱机用户的可编程器件进行连接。
全文摘要
在价值转移方案中,用户配备有可编程设备,如智能卡,其能够携带代表至少一种可用物品价值的数据。代表用户帐户的数据被保存在远程处理站。通过在用户的各自智能卡之间的脱机数据交换来实现用户之间的交易,该交换的数据包括涉及的每个交易的记录。只有当用户的智能卡联机到远程处理站并且数据从那里上载到远程处理站的时候,才紧接着更新保存在远程处理站的用于每个用户帐户的用户帐户数据。本发明的方案能够非常方便地建立在用于管理数据的安全传输的ITSO方案之上。本方案能够提供安全的多物品价值转移系统。
文档编号G06Q40/00GK1788291SQ200480012780
公开日2006年6月14日 申请日期2004年3月15日 优先权日2003年3月13日
发明者巴里·西姆·霍克菲尔德, 安东尼·布雷斯林, 迈克尔·彼得斯 申请人:埃塞博斯有限公司