支付系统、该系统的支付终端以及相关的支付方法

支付系统、该系统的支付终端以及相关的支付方法
【专利摘要】该支付系统(10)包括支付终端(12)以及被设计为与所述支付终端(12)交互的电子支付支持(14)，所述支付支持(14)携带具有第一剩余值的金额，并且包括：第一可重写存储器(34)以及第二熔断存储器(36)，第二熔断存储器(36)包括多个位(1、2、3、4、5、6、7、8)，每个位都能够仅改变一次自身的状态。支付终端(12)被编程为通过对第一和第二存储器(34、35)的联合读取推导出金额的第一剩余值。
【专利说明】支付系统、该系统的支付终端以及相关的支付方法

【技术领域】
[0001]本发明涉及一种支付系统以及能够与支付终端通信的电子支付媒体，支付媒介承载携带第一剩余值的金额并且包括:
[0002]第一可重写存储器；以及
[0003]第二熔断存储器，包括多个位，每个位都能够仅改变一次自身的状态。

【背景技术】
[0004]目前，使用电子支付媒体的支付系统持续增加。因为允许支付交易的自动化而能够加速支付交易，这些支付系统尤其有利。使用的电子支付媒体包括作为各式各样的对象和物品，例如，提供在支付命令发出之后被借记的银行账户的电子钱包、承载信用货币的媒体、支付卡，以及预付费卡，预付费卡由特定机构发放并且携带货币的或者诸如运输单位之类的非货币的电子金额，该电子金额代表由卡的用户向卡发放机构支付的总金额。
[0005]预付费卡的示例包括饭卡、赊购卡、租赁卡、付费电话卡以及公共交通卡。
[0006]这些预付费卡必须圆满地克服两个矛盾的目标:一方面，预付费卡必须具有最小的生产成本；另一方面，预付费卡还必须提供足够的安全性以防止对存储在卡上的货币金额的剩余值进行欺诈操作。
[0007]现有预付费卡具有加密处理器，也就是针对密码任务进行优化的处理器，该处理器能够对未授权终端对卡的存储器的访问进行阻止。然而，这些卡具有很高的制造成本。
[0008]还存在诸如非接触型票券之类的低成本媒体，其仅包括用于与终端进行通信的模块、可重写存储器以及熔断存储器(称为OTP存储器，S卩“单次可编程”的缩写)。这些低成本媒体尤其不包括处理器。
[0009]然而，将该媒体用作预付费卡存在问题。实际上，如果金额被写入到媒体的可重写存储器中，那么不良企图者很容易通过对金额的剩余值进行重写来欺骗系统；因此不满足预付费卡的安全性要求。另一解决方案是使加载到卡上的金额的剩余值与熔断存储器的位状态对应。然而，熔断存储器中的位数很少(通常为数十个)，不允许将该存储器用于开发货币等价物。


【发明内容】

[0010]因而，本发明的一个目的在于提供一种使用支付媒体的支付系统和方法，该支付媒体具有低生产成本并且被设计用于对欺诈的可能性进行限制。其它的目的为保证支付交易的原子性和一致性。
[0011]为此，本发明涉及一种上述类型的支付系统，其中，支付终端被编程为通过对第一和第二存储器的联合读取推导出第一剩余值。
[0012]根据本发明的优选实施例，支付系统具有以下特征中的一个或者多个，这些特征可以单独或者根据全部技术上可能的结合来考虑:
[0013]所述支付媒体是能够与所述支付终端远程通信的非接触型媒体；
[0014]所述支付系统被编程为实现上文中定义的方法。
[0015]本发明还涉及一种用于上文中定义的系统的支付终端。
[0016]本发明另外涉及一种借助于支付媒体的支付方法，所述支付媒体能够与支付终端远程通信，所述支付媒体能够承载一金额并且包括第一可重写存储器和包括多个位的第二熔断存储器，每个位适于能够仅改变一次状态，其特征在于包括以下连续步骤:
[0017]-将所述支付媒体与所述支付终端放置为能够进行通信，其中所述支付媒体携带具有第一剩余值的所述金额；
[0018]-读取第一和第二存储器；以及
[0019]-从读取于所述第一和第二存储器的数据中推导出第一剩余值。
[0020]根据本发明的优选实施例，支付方法具有以下特征中的一个或者多个，这些特征可以单独或者根据全部技术上可能的结合来考虑:
[0021]所述支付方法由以下步骤构成:
[0022]-将低于第一剩余值的第二剩余值取代所述第一剩余值赋值给所述金额；以及
[0023]-当所述第一和第二剩余值之间的差大于阈值的时候，对所述第二存储器的至少一个位的状态进行改变，将所述位或者每个位从第一状态切换到第二状态。
[0024]改变状态的位数取决于所述第一和第二剩余值之差；
[0025]所述第一剩余值的映像存储在所述第一存储器中，并且所述方法包括在所述第一存储器中写入所述第二剩余值的映像以取代所述第一剩余值的映像的步骤；
[0026]所述第一剩余值的映像存储在所述第一存储器中，并且所述方法进一步包括以下步骤:
[0027]-确定针对所述金额的容许剩余值的范围，所述范围取决于所述第二存储器的位的状态；
[0028]-对第一剩余值的映像关于容许剩余值的范围的适当性进行检查和验证；
[0029]-如果第一剩余值的映像大于容许剩余值的范围，那么拒绝支付，或者改变第一剩余值的映像以使其包括在容许剩余值的范围之内。
[0030]如果第一剩余值低于容许剩余值的范围，那么所述支付方法包括改变所述第一剩余值的映像以使其包括在容许剩余值的范围内；
[0031]所述方法还包括在所述第一存储器中写入所述金额的备份的步骤，
[0032]所述方法为:
[0033]-在写入所述第二剩余值的映像的步骤之后进行改变所述位或者每个位的步骤；
[0034]-在所述支付媒体与所述支付终端被置于进行通信期间，将具有第一备份值的所述金额的备份存储在所述第一存储器中；并且在于
[0035]-所述方法包括对等于所述第二剩余值的第二备份值进行写入以取代所述第一备份值的额外步骤，该步骤跟随在对所述第二存储器的至少一个位的状态进行改变的步骤之后;
[0036]所述支付方法进一步包括以下步骤:
[0037]-确定针对所述金额的容许剩余值的范围，所述范围取决于所述第二存储器的位的状态；
[0038]-对第一剩余值的映像和第一备份值关于容许剩余值的范围的适当性进行检查和验证；
[0039]-如果所述第一剩余值的映像超出容许剩余值的范围并且所述第一备份值在所述容许剩余值的范围内，那么对所述第一剩余值的映像进行改变以使其等于所述第一备份值；或者
[0040]-如果所述第一剩余值的映像在容许剩余值的范围内并且所述第一备份值超出所述容许剩余值的范围，那么对所述第一备份值进行改变以使其等于所述第一剩余值的映像。
[0041]确定容许剩余值的范围的步骤包括以下步骤:
[0042]-将容许剩余值的预定范围与所述第二存储器的每个位相关联；
[0043]-对所述第二存储器的最后改变状态的位进行识别；以及
[0044]-将容许剩余值的范围确定为等于与所识别的位相关联的所述预定范围。确定容许剩余值的范围的步骤包括以下步骤:
[0045]-将值的预定范围与介于零和位数之间的每个整数(完整的数)相关联；
[0046]-对所述第二存储器的未改变状态的位数进行计数；以及
[0047]-将容许剩余值的范围确定为等于与所计数的位数相关联的所述预定范围。

【专利附图】

【附图说明】
[0048]通过阅读以下仅以示例的方式提供并且参照附图的说明，对本发明的其它特征和优点将变得清楚，其中:
[0049]图1为根据本发明的支付系统的示意图，此时用于该系统的支付媒体尚未被使用过；
[0050]图2为与图1相似的示意图，此时加载到媒体上的金额被完全花费；
[0051]图3为显示了根据本发明的第一实施例的媒体的熔断存储器中的位的状态与针对该金额的容许剩余值的范围之间的联系的图解；
[0052]图4为显示了根据本发明的第二实施例的媒体的熔断存储器中的位的状态与针对该金额的容许剩余值的范围之间的联系的图解；
[0053]图5为与图1相似的示意图，紧随在对加载到媒体上的金额的剩余值的映像进行改变的步骤之后；
[0054]图6为与图1相似的示意图，紧随在对熔断存储器的若干位的状态进行改变的步骤之后；
[0055]图7为与图1相似的示意图，紧随在将金额的新的备份值写入到媒体的可重写存储器中的步骤之后；
[0056]图8为显示出根据本发明的方法的框图。

【具体实施方式】
[0057]如图1所示，根据本发明的支付系统10由支付终端12与非接触型支付媒体14组成，非接触型支付媒体14能够与支付终端12远程通信以完成支付交易。
[0058]采用已知的方式，支付终端12包括天线20、无线模块22以及模块24，无线模块22符合ISO 14443标准并且适用于对终端12与媒体14之间的远程数据交换进行管理，模块24用于对终端12与媒体14之间的支付交易进行管理。
[0059]支付媒体14包括天线30、无线模块32、第一可重写存储器34、第二熔断存储器36以及串行链路38，无线模块32符合ISO 14443标准并且适用于对终端12与媒体14之间的远程数据交换进行管理，串行链路38用于无线模块32与存储器34、36之间的通信。特别地，支付媒体14不包括加密处理器。
[0060]支付媒体14携带具有第一剩余值的金额。该金额被划分为单位，这些单位自身被划分为子单位；例如，在以欧元计价的货币金额的情况下，单位为欧元并且子单位为欧分。第一剩余值用单位和子单位的数量来表示。
[0061]该金额优选地为货币金额。该金额与媒体14的用户为了获得媒体14而支付给媒体14的经销商的总金额对应。该剩余值与该金额的初始值相等，媒体14的用户借助于媒体14所支付的任何最终花费将从该剩余值中扣除。
[0062]支付媒体14不能重新充值；也就是说，一旦花费完全部金额，就无法再使用该支付媒体14。
[0063]熔断存储器36包括多个位1、2、3、4、5、6、7、8，对每个位1、2、3、4、5、6、7、8进行调整从而选择性地处于第一或者第二状态，并且能够仅改变一次状态。特别地，允许每个位1、
2、3、4、5、6、7、8从第一状态切换到第二状态，但是无法从第二状态切换回第一状态。
[0064]在图1中所示的示例中，全部位1、2、3、4、5、6、7、8处于第一状态。这对应于用户获得媒体14时媒体14的原始配置。在图2中所示的示例中，全部位1、2、3、4、5、6、7、8处于第二状态。这对应于全部金额被花光时媒体14的配置。
[0065]管理模块24被编程为通过联合读取第一和第二存储器34、36来推导出金额的第一剩余值。特别地，术语“联合读取”指的是管理模块24需要对这两个存储器34、36进行读取从而从中得出第一剩余值，仅对存储器34、36中的一个进行读取不足以推导出第一剩余值。这一点将在之后章节中进行详述。
[0066]管理模块24还被编程为实现以下操作:
[0067]-计算金额的第二剩余值,第二剩余值等于第一剩余值与针对一购买物在支付交易过程中支付的价格之差；
[0068]-将第二剩余值取代第一剩余值赋值给金额；以及
[0069]-当第一和第二剩余值之间的差大于阈值的时候，令第二存储器36的至少一个位
6、7、8的状态从第一状态改变到第二状态。
[0070]在本发明的第一实施例中，如图1至8中所示，第一剩余值的映像V1存储在第一存储器34中。若是最近涉及媒体14的支付交易已正确完成，则映像V1等于第一剩余值。
[0071]金额的备份M’也存储在第一存储器34中。备份M’具有第一备份值V/。若是最近涉及媒体14的支付交易已正确完成，则第一备份值V/等于第一剩余值。
[0072]参照图3和4，管理模块24被编程为根据第二存储器36的位1、2、3、4、5、6、7、8的状态对金额的容许剩余值的范围T进行确定。因此，试图欺诈地改变第一剩余值V1的映像以增大值的不良企图或者未授权用户无法使得该值超出容许剩余值的范围T而不被支付终端12检测到。因而减少了欺诈的风险。
[0073]为此，如图3所示，在本发明的第一变形方式中，管理模块24将值的预定范围T0,...,Ti,...,T8与位于零和位数1、2、3、4、5、6、7、8之间的每个整数i进行关联。分别为T0,...,Ti,...,T8的每个预定范围都由分别为B。，...，Bi,...，B8的下限和分别为B1,...，
Bi+1，...，B9的上限进行界定。最低的下限Btl为值O并且最高的上限B9为金额的初始值。
[0074]优选地，界限B1是仅大于O的最小值。因此，预定范围Ttl被限制为值O。
[0075]管理模块24能够针对每个支付交易对第二存储器36的处于第一状态的位1、2、
3、4、5、6、7、8进行计数，并且能够将容许剩余值的范围T确定为等于与计数得到的位数相关联的预定范围Ttl,...，Ti,...，T8。在图3中所示的示例中，处于第一状态的位1、2、3、4、5的数量等于5，管理模块24确定容许剩余值的范围T为预定范围Τ5。
[0076]在本发明的第二优选变形方式中，如图4中所示，每个预定范围Ttl,...,Ti,...,T8与特定位i_l而不是整数i相关联。为此，管理模块24能够以特定方式对第二存储器36的每个位1、2、3、4、5、6、7、8进行识别。实现该特定识别的一种方式为本领域的技术人员所公知，因此不在此进行说明。
[0077]管理模块24还被编程为对最后改变状态的位1、2、3、4、5、6、7、8进行识别。例如，通过将一特定顺序分配给第二存储器36的位1、2、3、4、5、6、7、8使得这些位1、2、3、4、5、6、
7、8根据该特定顺序来改变状态，来完成此识别。最后改变状态的位1、2、3、4、5、6、7、8因而能够轻易地识别为处于第二状态的按照改变其状态的顺序而言被分配到最远位置的位。在所示示例中，位1、2、3、4、5、6、7、8根据其编号的逆序来改变状态，并且最后改变状态的位是位6。
[0078]管理模块24最终被编程为将容许剩余值的范围T确定为等于与最后改变状态的位相关联的预定范围Tci,..., Ti,..., T8。在所示示例中，范围T因此等于与位6相关联的预定范围，即T7。
[0079]应当注意的是，可能的是，尤其是在第一次使用媒体期间，所有的位都尚未改变状态。预定范围T8与此场景相关联。
[0080]管理模块24还被编程为在借助媒体14完成支付交易的时候(在此期间，媒体14的用户针对一次购买以给定价格进行支付)执行以下连续操作:
[0081]-确定金额的容许剩余值的范围T；
[0082]-检查和验证第一剩余值V1的映像和第一备份值V1'关于容许剩余值的范围T的适当性，也就是说，对第一剩余值V1的映像和第一备份值V/包括在范围T内进行检查和验证；以及
[0083].如果第一剩余值V1的映像大于范围Τ，那么拒绝支付并且结束支付交易；或者
[0084].如果第一剩余值V1的映像超出范围T并且备份值V1'在范围T内，那么改变第一剩余值V1的映像以使其等于第一备份值V/ ;或者
[0085]?如果第一剩余值V1的映像在范围T内并且备份值V/超出范围Τ，那么改变第一备份值V/以使其等于第一剩余值V1的映像；或者
[0086]?如果第一剩余值V1的映像与第一备份值V1'都超出范围Τ，那么改变第一剩余值V1的映像以使其等于范围T的下限，并且改变第一备份值V1'以使其等于新的第一剩余值；或者
[0087].如果第一剩余值V1和第一备份值V1'都在范围T内，那么保持第一剩余值V1的映像和第一备份值V1'不改变；
[0088]-对支付进行授权；
[0089]-使用第二剩余值V2的映像取代第一剩余值V1的映像(图5);
[0090]-如果第二剩余值V2不在容许剩余值的范围T内，换言之如果价格高于该范围内改变的阈值，等于第一值V1与范围T的下限B5之间的差，那么令第二存储器36的至少一位
6、7、8从第一状态改变到第二状态(见图6)，改变状态的位6、7、8的数量取决于第一和第二剩余值Vp V2之间的差；
[0091]-对支付进行验证；
[0092]-使用与第二剩余值V2相等的第二备份值V取代第一备份值V(图7);以及
[0093]-结束支付交易。
[0094]参照图8对借助于使用支付系统10的支付方法进行说明。当媒体14的用户希望以给定价格进行购买的时候遵循此方法。
[0095]在第一步骤100期间，终端12和媒体14被放置为相互通信。该操作通常通过将媒体14放置在与终端12的足够距离处以使终端12与媒体14的天线20、30能够进行电磁耦合来完成。
[0096]随后，在第一步骤102中，管理模块24读取第一和第二存储器34、36。特别地，终端12对存储在第一存储器34中的信息进行检索，以及:
[0097]-在本发明的第一变型方式中，对处于第一状态的第二存储器36的位1、2、3、4、5、
6、7、8进行计数；或者
[0098]-在本发明的第二变型方式中，对第二存储器36的最后改变状态的位进行识别。
[0099]在第一步骤102之后为对第一剩余值进行推导的第二步骤104。
[0100]第二步骤104包括确定容许剩余值的范围T的第一子步骤105，在第一子步骤105期间:
[0101]-在本发明的第一变型方式中，管理模块24将范围T确定为等于与计数得到的处于第一状态的位1、2、3、4、5、6、7、8的数量相关联的预定范围T8 ;或者
[0102]-在本发明的第二变型方式中，管理模块24将范围T确定为等于与存储器36的最后改变状态的位1、2、3、4、5、6、7、8的位相关联的预定范围T8。
[0103]在步骤105之后是对第一剩余值V1的映像关于容许剩余值的范围T的适当性进行检查和验证的步骤110。在步骤110期间，管理模块24对第一剩余值V1的映像包括在范围T内进行验证。如果第一剩余值V1的映像的确在范围T内，那么该方法进入步骤120 ;倘若为相反的情况，该方法进入另一步骤130。
[0104]步骤120和130是对第一备份值V的映像关于容许剩余值的范围T的适当性进行检查和验证的步骤。在步骤120、130期间，管理模块24对第一备份值V1,包含在范围T内进行验证。
[0105]如果在步骤120期间第一备份值V1'的确在范围T内，那么方法进入步骤140 ;倘若为相反的情况，那么方法进入另一步骤150。
[0106]如果在步骤130期间第一备份值V1'的确在范围T内，那么方法进入步骤160 ;倘若为相反的情况，那么方法进入另一步骤170。
[0107]步骤140是用于对支付进行授权的步骤。在此步骤中，管理模块24推导第一剩余值与存储在第一存储器34中的第一剩余值的映像相等。管理模块24因此认为有效完成支付所必要的条件已经符合，并且就此通知支付终端12的同样与该交易相关的其它模块(未示出)，例如，显示模块。
[0108]步骤150是使第一备份值V1,与第一剩余值V1的映像相一致的步骤。在此步骤期间，将第一备份值V/改变为等于第一剩余值V1的映像。换言之，对第一备份值V/进行重写，新的第一备份值V等于第一剩余值V1的映像。在步骤150之后为步骤140。
[0109]步骤160是使第一剩余值的映像V1与第一备份值V相一致的步骤。在此步骤期间，将第一剩余值的映像V1改变为等于第一备份值V/。换言之，对第一剩余值的映像V1进行重写，新的第一剩余值的映像V1等于第一备份值V/。在步骤160之后为步骤140。
[0110]在步骤170之后是对第一剩余值V1的映像关于容许剩余值的范围T的适当性进行检查和验证的新的步骤。在该步骤期间，管理模块24检查第一剩余值V1的映像是否低于范围T。如果第一剩余值V1的映像实际上低于范围T，那么该方法进入步骤180 ;倘若为相反的情况，该方法进入步骤190。
[0111]步骤180是使第一剩余值的映像V1与第一备份值的映像V/相一致的步骤。在步骤180期间，将第一剩余值V1和第一备份值V/的映像改变为等于范围T的下限。换言之，利用新的第一剩余值V1和第一备份值V1'的映像将第一剩余值V1和第一备份值V1'的映像重写为与范围T的下限相等。作为一个变型方式，新的第一剩余值V1和第一备份值V1'的映像等于范围T中的另一值。在步骤180之后为步骤140。
[0112]步骤190是用于对支付进行拒绝的步骤。在此步骤中，管理模块24记录对金额的第一剩余值的推导失败并且由此推导媒体14被篡改。管理模块24拒绝将媒体14作为支付工具，并且就此通知支付终端12的与该交易相关的其它模块。在步骤190之后为用于停止交易的步骤200。
[0113]步骤110、120、130、140、150、160、170、180、190 为第二步骤 104 的子步骤。
[0114]在第二步骤104之后为对金额的剩余值进行改变的第三步骤202。在步骤202期间，管理模块24对媒体14的存储器34、36起作用从而将低于第一剩余值的第二剩余值取代第一剩余值赋值给金额。特别地，第二剩余值等于第一剩余值与购买价格之间的差。
[0115]更具体地，第三步骤202位于步骤140之后。
[0116]第三步骤202包括对金额的剩余值的映像进行改变的第一子步骤210。在该子步骤210中，管理模块24使用与第二剩余值相等的第二剩余值的映像V2来取代第一剩余值V
[0117]在子步骤210之后是对第二剩余值是否属于容许剩余值的范围T进行检查的步骤212。如果第二剩余值不属于范围T，那么步骤212之后是将第二存储器36的至少一个位
6、7、8从第一状态改变为第二状态的步骤220。如果第二剩余值属于范围T，那么步骤212之后直接就是对支付进行验证的步骤230。
[0118]在步骤220期间改变状态的位6、7、8的数量取决于第一和第二剩余值之间的差。改变状态的位6、7、8的数量使得第二剩余值包含在预定范围Ttl,...，Ti,...，T8之内，预定范围Ttl,...，Ti,...，T8与位6、7、8的状态改变之后仍处于第一状态的位1、2、3、4、5的数量相关联(或者与在位6、7、8的状态改变之后最后改变状态的位6相关联)。在步骤220之后为步骤230。
[0119]在步骤230期间，管理模块24就支付成功完成通知终端12的同样与交易相关的其它模块。一旦该步骤完成，那么媒体14的用户能够自由地享受其购买物。
[0120]对备份Μ’的值进行改变的最后步骤240跟随在步骤230之后。在该步骤期间，管理模块24使用与第二剩余值相等的第二备份值V2’来取代第一备份值V/。在步骤240之后为用于停止交易的步骤200。
[0121]步骤212、220、230、240为第三步骤202的子步骤。
[0122]在步骤200期间，终端12与媒体14之间的数据交换停止。管理模块24就此通知显示模块，显示模块指示可以将媒体14从终端12处移除。
[0123]由于本发明，欺诈的风险得到了降低。实际上，不良企图或者未授权用户只可以通过在该容许剩余值的范围T内修改剩余值的映像来欺骗系统10。通过将预定范围T1,...，T8之间的中间界限B1,...，B8选择为适当的值，则足以使得对于投身于欺诈的用户而言欺诈无利可图。
[0124]另外，媒体14的生产很便宜。
[0125]最后，支付交易的原子性和一致性得到了保证。实际上，倘若交易发生意外突然中断，备份值V/、V；的存在以及支付方法的步骤顺序使得能够对记录在媒体14上的数据的一致性进行恢复。
[0126]应当注意的是，在上文中给出的示例中，如果第一剩余值V1的映像大于容许剩余值的范围T，那么支付媒体14不再可用。作为一个变型方式，管理模块24并不被编程为如果第一剩余值V1的映像大于容许剩余值的范围T则拒绝支付，而是被编程为改变第一剩余值'的映像以使其等于容许剩余值的范围T的下限。
[0127]在未示出的本发明的第二实施例中，第一剩余值被划分为第一主要剩余值和第一次要剩余值。有利地，主要剩余值按照整数(完整的数)个金额单位来表示并且次要剩余值按照整数个金额子单位来表示。在欧元计价的货币金额的情况下，主要剩余值因此等于整数个欧元，并且次要剩余值等于整数个欧分。
[0128]例如，主要剩余值等于第一剩余值的向下取整，并且次要剩余值等于第一剩余值与主要剩余值之差，且第一剩余值因此通过将主要和次要剩余值相加来重建。作为一个变型方式，主要剩余值等于第一剩余值的向上取整，并且次要剩余值等于主要剩余值与第一剩余值之差；第一剩余值因此等于主要和次要剩余值之差。
[0129]主要剩余值的映像存储在第二存储器36中并且次要剩余值的映像存储在第一存储器34中。
[0130]主要剩余值通常等于处于第一状态的位1、2、3、4、5、6、7、8的数量。
[0131]次要剩余值的映像通常为O与η之间的整数，其中，η为金额的每个单位的子单位的数量。例如，在使用货币金额的情况中，η等于99。
[0132]管理模块24被编程为根据主要和次要剩余值的映像推导金额的第一剩余值。通常，管理模块24被编程为执行以下操作:
[0133]-对第二存储器36中处于第一状态的位1、2、3、4、5、6、7、8的数量进行计数，并且由此推导主要剩余值等于所计数的位数；
[0134]-导出次要剩余值等于次要剩余值的映像乘以1/(η+1);以及
[0135]-导出第一剩余值等于主要和次要剩余值之和(作为一个变型方式，为二者之差)O
[0136]管理模块24还被编程为能够在次要剩余值严格大于η时取消交易。作为一个变型方式，管理模块24被编程为能够在次要剩余值严格大于η时对于次要剩余值导出零值。
[0137]如上所述，管理模块24进一步被编程为当借助于媒体14进行支付的时候将第二剩余值代替第一剩余值赋值给金额。为此，管理模块24被编程为执行以下操作:
[0138]-将第二剩余值细分为第二主要剩余值和第二次要剩余值；
[0139]-如果第二主要剩余值不同于第一主要剩余值，则令第二存储器36中的至少一位
1、2、3、4、5、6、7、8的状态改变以使得在该状态改变后仍处于第一状态的位数等于第二主要剩余值；以及
[0140]-在第一存储器34中写入第二次要剩余值的映像，从而取代第一次要剩余值的映像。
[0141]在此实施例中保持了媒体14的安全性。实际上，由于发生在位1、2、3、4、5、6、7、8中的改变的不可逆性，不良企图或者未授权的用户除了适得其反地减小金额的主要剩余值之外不可以修改金额的主要剩余值。
[0142]管理模块24另外不须在第一和第二存储器34、36之间执行交叉检查以检查和验证来自第一存储器34的数据的有效性，这与第一实施例中不同。交易因而快得多。
[0143]应当注意的是，在上文中提供的实施例中，第二存储器36仅包括8位1、2、3、4、5、
6、7、8。该数据在本质上并非限制性的，并且在第二存储器36中可以具有任意位数。通常来说，第二存储器36包括32位。
【权利要求】
1.一种借助于支付媒体(14)的支付方法，所述支付媒体(14)能够与支付终端(12)远程通信，所述支付媒体(14)能够承载一金额并且包括第一可重写存储器(34)和第二熔断存储器(36)，第二熔断存储器(36)包括多个位(1、2、3、4、5、6、7、8)，每个位适于能够仅改变一次自身的状态，其特征在于，该支付方法包括以下连续步骤: 使支付媒体(14)与支付终端(12)进行通信(100)，所述金额具有第一剩余值， 读取第一存储器和第二存储器(34，36)，以及 从读取自所述第一存储器和所述第二存储器(34，36)的数据中推导出第一剩余值， 以及以下步骤: 将低于所述第一剩余值的第二剩余值取代所述第一剩余值赋值(210)给所述金额，以及 当所述第一剩余值和所述第二剩余值之间的差大于阈值的时候，对所述第二存储器(36)的至少一个位出、7、8)的状态进行改变(220)，将所述位或者每个位(6、7、8)从第一状态切换到第二状态。
2.根据权利要求1所述的支付方法，其特征在于，改变状态的位(6、7、8)的数量取决于所述第一剩余值和所述第二剩余值之差。
3.根据权利要求1或2所述的方法，其特征在于，所述第一剩余值的映像(V1)存储在所述第一存储器(34)中，并且所述方法包括以下步骤(210):将所述第二剩余值的映像(V2)取代所述第一剩余值的映像(V1)写入到所述第一存储器(34)中。
4.根据前述权利要求中任一项所述的方法，其特征在于，所述第一剩余值的映像(V1)存储在所述第一存储器(34)中，并且所述方法进一步包括以下步骤: 确定(105)针对所述金额的容许剩余值的范围(T)，所述容许剩余值的范围(T)取决于所述第二存储器(36)的位(1、2、3、4、5、6、7、8)的状态； 检查和验证(110、170)所述第一剩余值的映像(V1)关于所述容许剩余值的范围(T)的适当性；以及 如果所述第一剩余值的映像(V1)大于所述容许剩余值的范围(T)，则拒绝支付(109)，或者将所述第一剩余值的映像(V1)改变为包括在所述容许剩余值的范围(T)内。
5.根据权利要求4所述的方法，其特征在于，如果所述第一剩余值(V1)低于所述容许剩余值的范围(T)，那么所述方法包括以下步骤(160、180):将所述第一剩余值的映像(V1)改变为包括在所述容许剩余值的范围(T)之内。
6.根据权利要求3所述的方法，其特征在于: 在写入所述第二剩余值的映像(V2)的步骤(210)之后，执行改变所述或者每个位(6、7、8)的状态的步骤(220)； 在所述支付媒体(14)与所述支付终端(12)进行通信(100)期间，所述金额的具有第一备份值(V/ )的备份(M’ )存储在所述第一存储器(34)中，并且 所述方法包括额外步骤(240):写入与所述第二剩余值相等的第二备份值(V )以取代所述第一备份值(V/ )，该步骤在对所述第二存储器(36)的至少一个位出、7、8)的状态进行改变的步骤(220)之后。
7.根据权利要求6所述的方法，其特征在于，所述方法进一步包括以下步骤: 确定(105)针对所述金额的容许剩余值的范围(T)，所述容许剩余值的范围(T)取决于所述第二存储器的位(1、2、3、4、5、6、7、8)的状态； 检查和验证(110、120、130、170)所述第一剩余值的映像(V1)和所述第一备份值(V/)关于所述容许剩余值的范围(T)的适当性；以及 如果所述第一剩余值的映像(V1)超出所述容许剩余值的范围(T)并且所述第一备份值(V/)在所述容许剩余值的范围(T)内，则将所述第一剩余值的映像(V1)改变(160)为包括在所述第一备份值(V/ )内，或者 如果所述第一剩余值的映像(V1)在所述容许剩余值的范围(T)内并且所述第一备份值(V/ )超出所述容许剩余值的范围(T)，则将所述第一备份值(V/ )改变(150)为等于所述第一剩余值(V1)的映像。
8.根据权利要求4、5或7中任一项所述的方法，其特征在于，确定所述容许剩余值的范围(T)的步骤(105)包括以下步骤: 将值的预定范围(Ttl,...，Ti,...，T8)与所述第二存储器(36)的每个位(1、2、3、4、5、6、7、8)相关联， 对所述第二存储器(36)的最后改变状态的位(6)进行识别，以及 将所述容许剩余值的范围(T)确定为等于与所识别的位(6)相关联的所述预定范围(T0,...，Ti,...，T8)。
9.根据权利要求4、5或7中任一项所述的方法，其特征在于，确定所述容许剩余值的范围(T)的步骤(105)包括以下步骤: 将值的预定范围(Ttl,...，Ti,...，T8)与介于零和位(1、2、3、4、5、6、7、8)的数量之间的每个整数相关联， 对所述第二存储器(36)的未改变状态的位(1、2、3、4、5)的数量进行计数，以及 将所述容许剩余值的范围(T)确定为等于与所计数的位的数量相关联的所述预定范围(T0，...，Ti,...，T8)。
10.一种支付系统(10)，包括支付终端(12)以及能够与所述支付终端(12)远程通信的电子支付媒体(14)，所述支付终端(14)承载携带第一剩余值的金额，并且包括: 第一可重写存储器(34)，以及 第二熔断存储器(36)，包括多个位(1、2、3、4、5、6、7、8)，每个位都适于能够仅改变一次自身的状态。 其特征在于，所述支付终端(12)被编程为:通过对所述第一存储器和所述第二存储器(34,36)的联合读取推导出所述第一剩余值；将低于所述第一剩余值的第二剩余值取代所述第一剩余值赋值给所述金额；以及 当所述第一剩余值和所述第二剩余值之间的差大于阈值的时候，令第二存储器(36)的至少一个位(6、7、8)的状态改变。
11.根据权利要求10所述的支付系统(10)，其特征在于，所述支付媒体(14)是能够与所述支付终端(12)远程通信的非接触型媒体。
12.根据权利要求10或11所述的支付系统(10)，其特征在于，所述支付终端(12)被编程为实现根据权利要求1至9中任一项所述的方法。
13.一种支付终端(12)，用于根据权利要求10至12中任一项所述的支付系统(10)。
【文档编号】G06Q20/36GK104169953SQ201380009006
【公开日】2014年11月26日 申请日期:2013年2月8日 优先权日:2012年2月9日
【发明者】蒂埃里·德阿蒂斯, 让·里奥奈蒂, D·拉捷 申请人:泰雷兹公司