使用灵巧卡的可靠货币转移技术的制作方法

专利名称：使用灵巧卡的可靠货币转移技术的制作方法
技术领域：
本发明一般涉及灵巧卡，更特别地涉及用于在灵巧卡与金融机构之间提供可靠货币转移的系统与方法。
最近，在用灵巧卡作货币保管与转移的载体方面作了一些开发工作。用电子货币取代常规的纸币与硬币，由于若干理由有其优点。随身携带大量货币常常麻烦，不方便，何况总是存在偷窃与丢失的风险。纸币与硬币生产成本高，且容易遭受伪造。虽然某些商人可能接受个人支票，但这些交易的处理常常证明是费时的。实际上，现有的支票核对程序常常陷入时间延迟，足以使那些在商家销售点终端排队等侯的顾客烦恼。激怒，和/或灰心。
当前的现代化技术有可能用灵巧卡作为以电子方式存储与转移货币的设备。然而，一个只能以电子方式存储与转移货币的系统在许多实际应用领域中是不实用的。正如任何电子数据存储与转移系统一样，它也可能有安全问题。如果电子货币概念被公认，则应用提供者或参见者，例如商人或顾客，不会错过电子货币。虽然一定数量的电子货币损失是可接受的，不可避免的，但这些损失小于目前用信用卡、现金或支票所经受的损失。现有技术的电子安全措施不能提供一个具有必要安全水平的电子货币系统。
现有的灵巧卡不是完全不受疏忽伤害的。例如，灵巧卡持有者可能忘记把灵巧卡从他或她的口袋中取出，便该卡经历整个洗衣机/干燥机循环，从而暴露于热、机械振动、水、和漂白剂和洗涤剂之类的化学腐蚀剂中，就能导致灵巧卡失效。由于设备失效，不幸的灵巧卡持有者以丧失现在死卡上的存款额而结束。因此需要一种能够回收已变成不可操作的灵巧卡的技术，使灵巧卡持有者不因卡失效而遭受经济损失。
许多现代化的电子金融交易系统很少或没有考虑客户保密。这种缺乏保密是基于下列事实通用系统的结构要能支付利益和/或防止丢失/偷窃卡。结果，这些希望保密的客户必须用现金支付，才能获得交易匿名。因为常规纸币可提供真正的匿名，故电子货币概念也应提供类似的匿名度。至少，电子系统应按客户要求提供匿名。
在此透露用于提供可靠电子金融交易的系统与方法。在一个包含电子保密锁的卡上以电子方式存储一个货币值，该锁具有一个闭路状态和一个开路状态。在闭路状态，锁使灵巧卡不能转移任何货币值，而在开路状态，把灵巧卡装备成转移全部或部分货币值。灵巧卡包括一个电子保密钥匙，用于把电子保密锁的状态从开路状态变成闭路状态，和把电子保密锁的状态从闭路状态变成开路状态。


图1是一个说明可靠灵巧卡货币转移系统的方块图；图2是一个描术两个灵巧卡之间的可靠金融交易的图表；图3是一个陈述操作顺序的流程图，用于实现可靠的灵巧卡金融交易；图4A和4B共同构成一个流程图，描述卡持有者与卡持有者交易的诸步骤；图5A与5B共同构成一个流程图，对用于更新/变更保密钥匙和用于附加灵巧卡上所存货币的利息的程序，进行陈述；图6是一个方块图，说明在金融交易时从一个第一灵巧卡转移到一个第二灵巧卡的数据结构；图7是一个方块图，描述由用户灵巧卡使用的数据结构；和图8是一个方块图，描述由银行灵巧卡使用以数据结构。
透露用于在灵巧卡之间可靠地转移货币值(此后简称“货币”)的技术。这些技术还考虑到电子货币库与灵巧卡之间的货币值的可靠转移。这个电子货币库包括一个耦合于数据存储驱动器的处理设备。例如，可以用一个常规个人计算机、用一个主机计算设备、用一个灵巧卡、或用任何其他的包括一个微处理器和存储器的硬件结构，来实现一个电子货币库。
图1是一个方块图，描述用于灵巧卡可靠货币转移系统的硬件部件与数据结构。在图1的实例中，灵巧卡102可以代表电子货币库，显然，另一类型的电子货币库能用来取代灵巧卡102。为说明起见，如果一个主计算机用于实现电子货币库，以取代使用灵巧卡102，就用本专业技术人员熟知的技术把这计算机耦合于灵巧卡阅读网106(此后更详细地描述)。图1的系统考虑到对灵巧卡上所存货币添加利息支付，和对灵巧卡上所存货币数量(帐户结余)进行核对。象在灵巧卡之间转移货币，对灵巧卡添加利息支付，和核对帐户结余之类的活动，均被视为金融交易。
向多个卡持有者提供灵巧卡102，104，其中包括向一个第一卡持有者提供一个第一灵巧卡102，和向一个第二卡持有者提供一个第二灵巧卡，每个灵巧卡102，104都能够参与一项或多项涉及灵巧卡上所存电子货币的金融交易。如果灵巧卡102用于实现电子货币库，则第一卡持有者可以是，例如一个银行，一个商人，或一个顾客。与第一卡持有者的身份无关，第二卡持有者可以是一个银行，一个商人或一个顾客。如果卡持有者是一个商人或一个顾客，则由这个持卡者所持有的灵巧卡被视为用户灵巧卡。
如果持卡者是一家银行，则向银行提供的灵巧卡被叫作银行灵巧卡。银行可以组织成多个地区银行，每个地区银行又由一个或多个支行组成。在这种情况下，可以利用三个子型银行灵巧卡，例如中央银行灵巧卡，地区银行灵巧卡，和分支银行灵巧卡。中央银行灵巧用于向其他的灵巧卡，例如其他银行灵巧卡、商人所持灵巧卡、和/或顾客所持灵巧卡，提供一个或多个电子密钥。可以更新(即定期变更)这些密钥，以便准许和/或不准许从灵巧卡转移货币和把货币转移到灵巧卡。应当指出，某一或全部上述体系级别的银行可以除了灵巧卡之外，不使用各种类型的电子货币库，例如个人计算机或主机计算机，以便取代银行灵巧卡。因此，不管是用灵巧卡，还是例如用主计算机去实现电子货币库，在银行之间支付利息的下述讨论都是适用的。
中央银行灵巧卡用于向其他灵巧卡，例如向其他银行灵巧卡和向用户灵巧卡(商人或顾客所持卡)，提供利息支付。能够根据一种预定的灵巧卡分级结构以分级方式实现利息支付。例如，可以用中央银行灵巧卡向各地区银行灵巧卡提供利息支付。同样，可以用地区银行灵巧卡向各分支银行灵巧卡提供利息支付，而分支银行灵巧卡又可向顾客与商人所持灵巧卡提供利息支付。因此，该实例中的灵巧卡分级结构被配置得，使中央银行灵巧卡处于分级结构的顶端，其下是地区银行灵巧卡和分支银行灵巧卡，用户灵巧卡处于分级结构的底部。下面参照图1，更详细地描述利息支付的结构。
不管灵巧卡是用户灵巧卡还是银行灵巧卡，每个灵巧卡102，104都包含下面结合图1所述的数据结构与硬件部件。如果灵巧卡102代表一个电子货币库，那么灵巧卡102实际上可以代表任何一个有关耦合于数据存储设备的处理设备的硬件结构。不管是一种灵巧卡还是某种其他类型的硬件结构都可用于电子货币库，下述的密钥和密钥存储寄存器都使用一个耦合于处理器的数据存储设备来实现，存储和处理。因此，即使下面的讨论假设电子货币库是灵巧卡102，该讨论也可用于用个人计算机或主机计算机取代灵巧卡去实现电子货币库的情况。
每个灵巧卡102，104都分别包含一个用来存储电子密钥的密钥存储寄存器112，118。可以用随机存取存储器(RAM)的形式提供密钥存储寄存器112，128。密钥寄存器112，128分别耦合于密钥寄存输入设备118，124，适合于从灵巧卡阅读网106接收输入。可以用这种方式，把电子密钥从灵巧卡阅读网106转移到灵巧卡密钥存储寄存器112。装备密钥寄存输入设备118，124，以便按照本专业技术人员熟知的现有灵巧卡数据输入/输出(I/O)技术来接收输入数据。
密钥寄存输出设备114，130分别耦合于密钥存储寄存器112，128。该输出设备114，130被装备成，分别把密钥存储寄存器112，128的内容复制到灵巧卡阅读网106中。密钥存储寄存器112，128被分别耦合于密钥比较设备110，126的第一输入端。而密钥比较设备110，126的第二输入端，则分别连接于密钥比较输入设备116，122。
装备密钥比较设备110，126，以比较第一输入端与第二输入端，并以比较设备的输出生成一个信号，使所生成的信号以比较结果为基础。如果第一与第二输入相同，则密钥比较设备110，126在比较设备输出端生成一个匹配信号。如果第一与第二输入不同，则密钥比较设备110，126在比较设备输出端生成一个不匹配的信号。
比较设备110，126的输出端分别耦合于电子保密锁108，120。保密锁108，120可以置成两种相互排斥状态中任一状态。在第一种锁定状态，保密锁108，120使灵巧卡102，104不能把货币转移到另一灵巧卡。在第二种解锁状态，保密锁108，120允许货币转移到另一灵巧卡。保密锁108，120分别耦合于比较设备110，126的输出端。当比较设备110，126产生匹配信号时，保密锁108，120置于第二解锁状态。保密锁108，120在从比较设备110，126收到一个不匹配的信号时，被置于第一锁定状态。
电子保密锁108，120和密钥比较设备，110，126的功能，可以用本专业技术人员熟知类型的微处理设备来实现，并可用于各种现有的灵巧卡设计。密钥存储寄存器112，128的功能，可以用上述的微处理器来实现，和/或这样的寄存器可以按随机存取存储器(RAM)的形式来提供。密钥寄存输入设备118，124，密钥比较输入设备116，122和密钥寄存输出设备114，130，都在上述微处理器的控制之下进行操作，并且可以用常规灵巧卡数据I/O设备来实现，该I/O设备是为了在灵巧卡102，104与灵巧卡阅读网106之间交换数据而提供的。常规灵巧卡数据I/O设备与灵巧卡102，104都是本专业技术人员熟知的。
灵巧卡阅读网106包含一种由两个或多个常规灵巧卡阅读端口组成的结构，例如第一灵巧卡阅读端口141和第二灵巧卡阅读端口143结构。第一与第二灵巧卡阅读端口141，143都是本专业技术人员熟知类型的，允许在两个灵巧卡102，104之间基本上并行地交换数据。第一灵巧卡阅读端口141可以位于相对第二灵巧卡阅读端口143是远距离的地方。因此，第一与第二灵巧卡阅读端口141，143可以共同链接于一个通信链路150上。如果灵巧卡阅读端口141，143是很远地隔开的，则这种通信链路150可以包含一些在一个常规电话接线上通信的调制解调器。换句话说，灵巧卡阅读端口141，143可以集成一个单独的结构，并用一个例如包含简单电线对的通信链路加以连接。第一与第二灵巧卡阅读端口141，143还可包括灵巧卡夹持器，输入装置，例如一个键盘，以便可以通过灵巧卡夹持器输入象PIN(个人识别号)之类的数据。这些灵巧卡阅读端口141，143包括数据输入装置149，151和数据输出装置145，147，分别用于从灵巧卡接收数据和把数据供给灵巧卡。灵巧卡阅读端口141的数据输出装置145连接于灵巧卡阅读端口143的数据输入装置151。同样，灵巧卡阅读端口141的数据输入装置149连接于灵巧卡阅读端口143的数据输出装置147。
可用一个装到灵巧卡阅读网106内部的任选灵巧卡阅读微处理器，控制灵巧卡阅读端口141与灵巧卡阅读端口143之间的数据流。灵巧卡阅读微处理器是本专业技术人员熟知类型的。如果不用灵巧卡阅读微处理器，就用灵巧卡102，104内的微处理器去控制灵巧卡阅读网106上的数据流。
为了实现两个灵巧卡102，104之间的货币交换，图1的系统操作如下。假设要把货币从灵巧卡102转移到灵巧卡104。把灵巧卡102插入灵巧卡阅读端口141，并把灵巧卡104插入灵巧卡阅读端口143。在灵巧卡102内的微处理器与灵巧卡104的微处理器交换初始信号交换信息，以确定两个灵巧卡是否正在通过灵巧卡阅读网106进行通信。然后，灵巧卡102的密钥寄存输出设备114向灵巧卡阅读网106的数据输入装置149，发送一个代表电子密钥的信号。把密钥传送到数据输出装置147，并传送到灵巧卡104的密钥比较输入设备122。
密钥比较设备126检索灵巧卡104上密钥存储寄存器128中存储的密钥。如果比较设备126确定，从灵巧卡102接收的密钥与密钥存储寄存器128中存储的密钥相匹配，就解锁灵巧卡104内的电子密锁120，使灵巧卡104能够参加一项或多项与灵巧卡102进行的金融交易。然而，如果从密钥存储寄存器128检索的密钥不匹配从灵巧卡102收到密钥，则灵巧卡104不能参与全部金融交易。
还用灵巧卡102进行由灵巧卡104实现的密钥比较过程。灵巧卡104检索存于密钥存储寄存器128中的密钥，并把该密钥传送到密钥寄存输出设备130，用灵巧卡阅读网106的数据输入装置151接收该密钥，并把它送到数据输出装置145。数据输出装置145把密钥转送到灵巧卡102的密钥比较输入设备116。密钥比较输入设备116把密钥送到密钥比较设备110。同时，把存于密钥存储寄存器112中的密钥送到密钥比较设备110，在此把来自存储寄存器112的密钥与从灵巧卡104接收的密钥进行比较。如果这些密钥匹配，则密钥比较设备110向解锁保密锁的电子密锁108提供一个“解锁”信号，从而允许灵巧卡102参与一项或多项与灵巧卡104的金融交易。然而，如果密钥不匹配，比较设备110就向电子密锁108提供一个“锁定”信号。电子密锁108受锁定信号控制，使灵巧卡不能参加任何金融交易。
在上述实例中，为了允许在这些灵巧卡之间进行金融交易，就必须解锁两个灵巧卡102，104的电子密锁108，120。如果密钥的上述交换导致一个或两个电子密锁108。120被锁定，则在灵巧卡102与104之间不能进行金融交易。
上述实例假定，各灵巧卡102，104分别在密钥存储寄存器112，128中包含一个密钥。然而，一个密钥的实例是为便于说明而描述的。可以使用任何要求数目的密钥，以满足特殊设计应用的需求。根据此中建立的一个实施例，每个灵巧卡102，104都采用4个密钥，它们分别存于密钥存储寄存器112，128中。密钥比较设备110对存于灵巧卡102中的全部4个密钥和从灵巧卡104中接收的全部4个密钥进行比较。同样，密钥比较设备126对存于灵巧卡104中的全部4个密钥和从灵巧卡102接收的全部4个密钥进行比较。如果至少两个密钥匹配，则各个电子密锁108，120被解锁。如果4个密钥中匹配的密钥少于两个，就锁定各个密锁108，120、在每个灵巧卡利用4个密钥的实施例中，能够更新和/或变更密钥，以提供改进的系统保密性。用银行灵巧卡更新/变更用户灵巧卡中存储的密钥。更详细地说，为便于说明而假设，灵巧卡102是一个银行灵巧卡。银行灵巧卡被装配成，从银行灵巧卡密钥存储寄存器112检索一个密钥，并把该密钥传送到银行灵巧卡密钥寄存输出设备114(用户灵巧卡也是如此装备的)。输出设备114把密钥与一个银行灵巧卡信号一起传送到灵巧卡阅读网106的数据输入装置149，该信号用于识别银行灵巧卡与全部其他类型的灵巧卡，例如用户灵巧卡。
密钥和银行灵巧卡信号被关到数据输出装置147。灵巧卡104的微处理器识别在数据输出装置147的银行灵巧卡信号，并根据这一信号，把在数据输出装置147的密钥置入密钥存储寄存器。当新接收的密钥被置入密钥存储寄存器128中时，它取代一个存于寄存器128中的以前存在的密钥。以这种方式使用户灵巧卡与银行灵巧卡之间的交易用于更新/变更用户灵巧卡中的一个或多个密钥。经常变更密钥，以提供加强的保密措施。能够定期地，即以规则的时间间隔变更密钥，或者另一方面，如果要求，也可以用随机的时间间隔变更密钥。
图1的灵巧卡货币转移系统利用三种软件。
它们是交换软件，利息/密钥更新软件，和管理软件。交换软件使货币能够从一个灵巧卡转移到另一个灵巧卡。利息/密钥软件使利息能够付给灵巧卡，管理软件能够执行各种管理功能。这些管理功能可以包括，例如对列举和识别全部“不良”灵巧卡的文件进行更新，和/或对含有要支付给具体灵巧卡的本期利率的文件进行更新。“不良”灵巧卡可以包括有故障的，失效的，被偷窃的，“外来的”(非系统的)和/或伪造的灵巧卡。一种专门设计的管理灵巧卡可以与一个卡阅读器及一个计算机一起，用于执行上述管理功能。这种管理卡包含图1的硬件和数据结构。全部软件都可在常规的个人计算机上，和/或在包含处理设备的灵巧卡阅读器软件平台上来执行。
灵巧卡货币转移系统所用的一些软件，能够驻留在灵巧卡102，104上。如果需要，这软件能置入灵巧卡上的一个ROM设备中。例如，可以把三个程序有利地置于灵巧卡102，104上。第一个这类程序是一个叫做exch.ini的程序，可提供实现金融交易所需的数据结构和功能。这程序还能使灵巧卡接收电子密钥与利息支付。这个可执行的程序最好驻留在全部用户灵巧卡上，包括中央银行灵巧卡上。
第二个可以驻留在灵巧卡102，104上的程序叫做int.exe，可提供更新电子密钥所需的数据结构与功能。该程序还执行对另一银行灵巧卡或对象商人或顾客持有卡之类的用户灵巧卡，给出利息的过程。第三个可以置于灵巧卡上的程序叫做issue.exe，允许一个管理灵巧卡发放银行灵巧卡或用户灵巧卡。
灵巧卡货币转移系统(图1)进行涉及例如把货币从一卡转至另一卡的金融交易。然而，货币是用一个有着如图1所示硬件与数据结构的专门指定的中央银行灵巧卡来唯一地“建立的”。“建立”货币指的是事实在这种情况下，把货币放入一个灵巧卡中，而不从另一灵巧卡获得货币。同样的通用概念适用于电子密钥。这些密钥由系统管理者装入中央银行灵巧卡，然后通过卡阅读网106而以电子方式传送到其他的灵巧卡中。
可以把灵巧卡组织成一个分级结构。例如，顶级包括一个或多个中央银行灵巧卡，第二级包括一个或多个地区银行灵巧卡，在第三级是分支银行灵巧卡，和在第四级是包括商人灵巧卡与顾客灵巧卡的用户灵巧卡。密钥和利息支付从顶级到下面的级流过分级阶梯。
灵巧卡金融交易系统的保密功能是用一个或多个电子密钥完成的。除了密钥以外，还可把专有的信息并入该系统，以提供改进的保密水平。实际说来，不管所用技术先进水平多高， 象无懈可击的保密系统之类的事情是不存在的。举例来说，当然可以使人们形成他们自己的美元汇票。然而，其成本是高的，且抓住时罚款多。密钥112，114，116根据上述成本与罚款，提供一种类似于美元汇票提供的保密措施。
由密钥提供的保密性是这样的，以致于涉及实现灵巧卡金融交易系统保密功能的全部个人都能离开该系统，但这些个人中没有人能够在没有检测和直接校正的情况下破坏该系统。为了提供这样的保密水平，不可能单纯依赖专有的信息。然而，专有信息在防止从来不属于保密系统的外部人员的攻击中是重要的。因此，把专有信息同其他形式的保密措施结合起来，以提供在其他情况下不可能作到的强化保密水平。
以存于每个灵巧卡102，104中的4种应用密钥形式提供密钥。这些应用密钥是作为灵巧卡102，104存储器中数字值而存储的。每当与中央银行灵巧卡进行金融交易时，都更新一个应用密钥中所存储的数字值。需要两个有效的应用密钥，才能成功地实现一次金融交易。经常更新中央银行灵巧卡中所存储的应用密钥，例如使每个应用密钥的有效期为一个月。这样，一名持卡者能没有银行交易也行的最大时间是三个月。然而，这一数字能够通过对每个灵巧卡添加更多的应用密钥，和/或通过变更每个应用密钥数字值是有效的时间量，加以变更，以满足特定系统要求的需要。该银行能够使用8个密钥，并每天变更一个密钥。在这种情况下，每个灵巧卡持有者必须与银行进行金融交易的次数是至少每周一次。虽然应用密钥可以用规则的时间间隔来定期更新，但定期性不是必需的。能够用不规则的时间间隔动态地更新诸应用密钥。
为了实现诸应用密钥，每个灵巧卡102，104都可装备一个叫做KEY_NUMBER的文件。这一文件规定相应于特殊应用密钥的数字值。KEY_NUMBER还存储更新一个密钥的最近日期。例如，可以每月更新一次应用密钥数字值，数字值51，52，53和54分别相当于51至54个月。
对于实现货币成功转移的两个灵巧卡102，104来说，这些灵巧卡必须至少有两个相同的应用密钥。如果灵巧卡102包含应用密钥49、50、51和52，而灵巧卡104包含应用密钥51、52、53和54，就能够成功地实现货币转移，因为存在两个相同的密钥，即51和52。然而，如果灵巧卡102的应用密钥是51、52、53和54，而灵巧卡104的应用密钥是54、55、56和57，就不可能在这两个灵巧卡102与104之间实现成功的货币转移。
对每个用户灵巧卡102，104都指定一个16位数(8字节)的帐号。一个或多个灵巧卡102，104可能丢失或被偷。这样一些灵巧卡叫做“不良”卡，不允许接受应用密钥的更新。相应于上述灵巧卡银行分级结构的各个级别的银行灵巧卡可以是能够存储帐号的8K灵巧卡，其中有达600个不良卡。假设在某一给定系统中有多达10％的用户灵巧卡102，104丢失或被偷(这一数字与信用卡工业标准符号)，则一个中央银行灵巧卡能够管理一组6000个用户灵巧卡。
能以地区银行的级别进行一组6000个用户灵巧卡102，104的管理。这样，一个或多个特殊应用密钥的更新，就限于一个预定段的帐号，例如40000至46000，使这些帐号相当于由一个给定地区银行，和/或由一个给定分支银行服务的灵巧卡。为了对这种分支银行情况加以改进，可以假设，每个分支银行只处理那些在某一确定范围内有帐号的灵巧卡。如果这一假设为真，则在分支银行级存储所需的帐号只有4字节(后4位数)。
用于管理不良灵巧卡的技术是重要的，因为这些技术的有效性能够决定某一给定灵巧卡系统的总获利能力或总亏损。如果灵巧卡系统的操作员不小心，和如果使用不适当的不良卡管理技术，则同可能回收的货币相比，操作员可以终止亏损每位顾客的更多的货币。
在一个不良卡上的密钥期限届满以后，能够从不良卡表中除去该卡。因此，一个分支银行卡能够存储1200个不良卡号，和管理一组24,000用户卡，以上数字根据设设在任一时刻只有5％的用户灵巧卡是列在不良卡表上的。
如果常有相当于一个特定分支银行的用户灵巧卡的不到10％被偷，那么其次的分级结构级(比如说“地区银行”)就能够处理6000个分支银行灵巧卡。于是在这种情况下的顾客总数能够达到144MILLION个。因为可能希望提供较大的总系统容量，故可用另一个分级结构级，即所谓“中央银行”级。中央银行灵巧卡能够处理多达6000个的地区银行卡，从而提供足够的总系统容量。
就灵巧卡更新时间而论，假设更新一个灵巧卡需时10秒(最大)。还假设有24,000人想在一小时内更新其密钥。该系统必须有等效的24个分支银行灵巧卡专职地工作。如果分支银行灵巧卡被加倍，就要对这些卡中的每个卡发一个不同的帐号，以便能用灵巧卡执行和管理其生成过程。决不应当不止一次地发出一个给定灵巧卡的帐号。因此，考虑到这种缩减，在一个地区中的用户灵巧卡102，104的最大数量是6百万。因为能够对分支银行卡指定更新时间，故地区银行卡无需加倍。
全部密钥都由一个中央银行灵巧卡来生成，该卡具有灵巧卡102的结构，还包括一个随机数发生器。用生成和更新全部其他灵巧卡所需的密钥来装载中央银行灵巧卡的密钥存储寄存器。在原始卡发放过程之后，就这样继续进行密钥更新。向中央银行卡发送一个命令，以更新它的日期和密钥。中央银行卡用它的随机数发生器生成一个新的密钥，更新一个相当于这个新密钥的第一应用密钥，并递增KEY_NUMBER文件。用一个新的日期更新KEY_NUMBER文件。在这时还能把一种新的利率装入中央银行灵巧卡中。
在中央银行灵巧卡更新它的密钥以后，它就安排与全部地区银行灵巧卡进行交易，以更新其密钥。然后，地区银行灵巧卡更新分支银行灵巧卡。最后，分支银行灵巧卡更新用户灵巧卡。
一般说来，只有当把一个灵巧卡从另一灵巧卡移开以后，才能把货币添到这个灵巧卡上。但中央银行灵巧卡是其例外。有一种中央银行灵巧卡密钥，其中包含与中央银行灵巧卡中存储的应用密钥值相匹配的密钥值。持有这一密钥的任何人都能通过更新该卡余额文件而建立货币。这人不能阅读中央银行卡上的应用密钥。为了把这货币按灵巧卡金字塔结构从中央银行灵巧卡记录到用户灵巧卡102，104中，一个地区银行卡持有者就在交换中请求转移比如说1百万美元的灵巧卡，以便按另一形式作同样的货币转移。通过中央银行卡持有者输入校正密钥(大概是一个与常用于建立货币的密钥不同的密钥)，给出审批。使这货币按卡的金字塔结构下降，直至它达到卡持有者本人为止。如果应用在增长，则卡货币流应向下，而其他货币流应向上。例如，在涉及两个灵巧卡，灵巧卡102和灵巧卡104的货币交换中，灵巧卡102和灵巧卡104可以成为图2所列举的任何卡。关于灵巧卡102和灵巧卡104的给定对，图2描述其可能发生的金融交易性质。
现在描述金融交易流。这些交易能够沿远程链路进行。交易总是发生在两卡之间。灵巧卡阅读器和PC软件只用来连接诸卡，和提供用户输入。一种常规的灵巧卡阅读器用于链路两端，每个发送器都有一个用于PIN的键盘或密钥输入设备(类似于一个ATM或有小键盘的电话适配器)。这些阅读器是本专业技术人员所熟知的。
按图3所示进行金融交易。首先，在方块301，把灵巧卡102(一个第一灵巧卡)插入第一灵巧卡阅读器端口141(一个第一灵巧卡阅读器)。其次，相应于第一灵巧卡(灵巧卡102)的卡持有者拨电话号码(如果阅读器包括一个电话适配器)，或选择正确的菜单项(如果使用一个ATM或基于PC的卡阅读器)，以便拨号地接通一个主机和/或另一电话适配器，从而连接于一个主机或另一个电话适配器(方块302)。
在方块303，把一个第二灵巧卡(灵巧卡104)插入第二灵巧卡阅读器端口143(一个第二灵巧卡阅读器)。然后，灵巧卡102的卡持有者把“EXCH”或等效代码输入第一灵巧卡阅读器端口141的键盘(方块304)。
在方块305，第一灵巧卡阅读器端口141对完成金融交易所需的信息进行提示。这种信息可能包括
a.贷方/借方/利息b.要转移的货币量c.卡PIN或密钥数字值然后，第一灵巧卡阅读器端口141把一个列举金融交易的数据包，发送到第二灵巧卡阅读器端口143(方块306)。
在方块307，第二灵巧卡阅读器端口143向相应于灵巧卡104的卡持有者，提示完成金融交易所需的信息。这种信息可能包括a.贷方/借方/利息b.要转移的货币量c.卡PIN或密钥数字值在方块308，第二灵巧卡阅读器端口143把列举金融交易的一个数据包，发送到第一灵巧卡阅读器端口141。如果在方块306和308发送的数据包是相同的，则由下表列举的卡阅读器就从发送一个密钥数字值开始交易。因此，没问题，卡持有者开始交易；从此处开始，它遵循以交易类型为基础的标准流。
金融交易 第一阅读器灵巧卡102把卡货币第二灵巧卡阅读器端口143发送到灵巧卡104灵巧卡102从灵巧卡第一灵巧卡阅读器端口141104接收卡货币灵巧卡102从灵巧卡第一灵巧卡阅读器端口141104接收利息和密钥灵巧卡102把利息和第二灵巧卡阅读器端口143密钥发送到灵巧卡104下面几段详述上表中所列的第一项和最后一项金融交易。如果灵巧卡102和灵巧卡104是交换的，则其余两项金融交易是相同的。
图4A和4B描述卡持有者对卡持有者交易的诸步骤。灵巧卡102可用作卡1，是“花费货币”人的卡。灵巧卡104可用作卡2，是接收货币人的卡。在程序块401，插入灵巧卡102，并检验卡PIN(这一检验子步骤对小于MIN_TRANS文件中存储量的交易来说是任选的)。其次，插入灵巧卡104，并检验PIN(这一检验子步骤对全部情况都是任选的)(程序块402)。在程序块403，第二灵巧卡阅读器端口143用指定贷方和数量A1的输入变量，执行上述灵巧卡104的C_EXCH.EXE程序。灵巧卡104报以其第一密钥的密钥数字。然后，第二灵巧卡阅读器端口143把这一密钥数字，发送到第一灵巧卡阅读器端口141(程序块404)。
第一灵巧卡阅读器端口141用指定借方和量(A1)的输入变量和灵巧卡104的密钥数字，执行灵巧卡102的C_EXCH.EXE程序。灵巧卡102以相当于灵巧卡104的第一、第二或第三密钥的密钥数字作为回答。如果灵巧卡102和灵巧卡104中密钥数字都不匹配，则灵巧卡102不能操作灵巧卡104的提议密钥组，从而灵巧卡102放弃该交易，并更新BAD_KEY文件(程序块405)。在程序块406，第一灵巧卡阅读器端口141把一个应答发送到第二灵巧卡阅读器端口143。第二灵巧卡阅读器端口143把密钥数字应答发送到灵巧卡104。这一密钥变成第一密钥(APPKEYO，或简写成AKO)，用于其余的交易(程序块407)。灵巧卡102继续报以在APPKEYO(AKO)中加密的包1(P1)。这作为一道难题向灵巧卡104提出。灵巧卡102还更新它的PASSBOOK文件(程序块408)。第一灵巧卡阅读器端口141把这包发送到第二灵巧卡阅读器端口143(程序块309)。灵巧卡104报以在AKO中加密的包2(P2)。这就是对该难题的应答，并且灵巧卡102检验查明，是否第三字段(公共名字)已从P1变更和是有效名字(只包含某一确定范围的ASC11字符)。灵巧卡104还更新它的PASSBOOK文件(程序块410)。第二灵巧卡阅读器端口143把这个包发送到第一灵巧卡阅读器端口141(程序块411)。灵巧卡104继续报以在APPKEY1(AK1)中加密的包子(P3)。这作为一道难题各灵巧卡102提出(程序块412)。第二灵巧卡阅读器端口143把这包发送到第一灵巧卡阅读器端口141(程序块413)。灵巧卡102从卡的余额中借出该款额，并更新其PASSBOOK文件(程序块414)。灵巧卡102报以在AK1中加密的包4(P4)。这就是对该难题的应答，并且灵巧卡104检验查明，是否第三字段(贷方金额)已从P3变更到P4，和是有效字段(包含不同于借方代码的正确贷方代码，和包含与在P3中相同的金额)。如果这些字段不正确，则BAD_KEY文件被更新(程序块415)。第一灵巧卡阅读器端口141把这个包发送到第二灵巧卡阅读器端口143(程序块416)。灵巧卡104把该金额贷到它的卡余额中，并更新其PASSBOOK文件(程序块417)。
下面参照图5A和5B，描述密钥更新和利息交易。这些交易是在用户卡与分支银行卡之间的交易(或者相当于在分支银行卡与地区银行卡之间，或在地区银行卡与中央银行卡之间的交易)。下面描述持卡者对分支银行的交易步骤。灵巧卡102可代卡1之用，是“花费货币”人的卡，在这种情况下是分支银行。灵巧卡104可代卡2之用，是“接收货币”人的卡，在这种情况下是持卡者。在这种交易期间的某一时刻，需要阅读、存储和清除灵巧卡104的PASSBOOK文件。
程序块501插入灵巧卡102，并检验PIN。这一步骤相当于某人在银行把分支银行卡“装入”一个卡阅读器。程序块502插入灵巧卡104，并检验PIN。这一步骤保证，适当的持卡者仍然拥有该卡，并类似于在ATM使用像现在的卡(能够对你照相，以便尔后证明它是你)。程序块503第二灵巧卡阅读器端口143用变元2执行灵巧卡104报以它的APPKEYO的密钥数字(0至255)。程序块504第二灵巧卡阅读器端口143把该密钥数字发送到第一灵巧卡阅读器端口141。程序块505第一灵巧卡阅读器端口141用变元3(给出利息)和灵巧卡104的密钥数字，执行灵巧卡102的C_INT.EXE文件。灵巧卡102报以相当于灵巧卡104的APPKEYO.AAKEY1或APPKEY2的密钥数字。如果灵巧卡102不能用所提出的密钥组工作，则放弃该交易，并建立一个期满的密钥文件交易。程序块506第一灵巧卡阅读器端口141把应答发送到第二灵巧卡阅读器端口143。程序块507第二灵巧卡阅读器端口143把密钥数字应答发送到灵巧卡104。这密钥变成APPKEYO，供其余交易之用。程序块508灵巧卡102继续报以在APPKEYO(AKO)中加密的包1(P1)。这作为一道难题向灵巧卡104提出。灵巧卡102还更新它的PASSBOOK文件。程序块509第一灵巧卡阅读器端口141把这包发送到第二灵巧卡阅读器端口143。程序块510灵巧卡104报以在AKO中加密的包2(P2)。这就是对该难题的应答，灵巧卡102检验查明，是否第三字段(公共名字)已从P1变更，和是一有效值(只包含在某一确定范围的ASCII字符)。灵巧卡104还更新它的PASSBOOK文件。程序块511第二灵巧卡阅读器端口143把这包发送到第一灵巧卡阅读器端口141。程序块512灵巧卡104继续报以在APPKEY1(AK1)中加密的包5(P5)。这作为一道难题向灵巧卡102提出。程序块513第二灵巧卡阅读器端口143把这包发送到第一灵巧卡阅读器端口141。程序块514灵巧卡102检验查明，是否第三字段(余额)具有一个有效的核实金额和一个逻辑日期与利率。它还检验依其BAD_CARD文件为转移的第4字段(帐号)。(如果它在BAD_CARD文件中找到该帐号，它就启动一次无效卡交易)。它利用其日期文件，计算贷给灵巧卡104的利息金额，从灵巧卡102的卡余额中借出金额，并更新其PASSBOOK文件。灵巧卡102还查看一下，看是否灵巧卡104需要一个新的密钥；如果需要，就供应一个P6中的密钥。程序块515灵巧卡102报以在AK1中加密的包6(P6)。这是对该难题的应答，灵巧卡104检验查明，是否第3到第5字段已从P5变更，并且是有效的。程序块516第一灵巧卡阅读器端口141把这包发送到第二灵巧卡阅读器端口143。程序块517灵巧卡104把金额贷到它的卡余额上，变更日期，且在必要时更新利率。如果在第5字段中包括一个新的密钥，它就通过用新密钥取代最老的密钥(APPKEYO)并且递增KEY_NUMBER文件中的数字，来更新它的应用密钥。它还更新其PASSBOOK文件。
可以在一次金融交易期间把图6所示的数据包从一个第一灵巧卡转移到一个第二灵巧卡，包1包括下述字段和信息字段601随机数，第一字段是一个由灵巧卡102生成的8字节随机数。字段602应用数。第二字段是一个8字节的应用ID数，它对全部卡持有者卡是相同的。字段603公共名字。第三字段是一个8字节的卡持有者灵巧卡102的ASCII名字。字段604帐号或签名。第四字段或者是一个8字节的由灵巧卡102用卡的APPKEYO生成的三个基本字段的签名，或者只是在不要求保密性时的灵巧卡102的帐号。这样的四个字段是混合型的(同时每字段两字节)，用一个APPKEYO加密的，和从灵巧卡102送到灵巧卡104的。
包2包括下述字段和信息区段611随机数。第一字段是一个8字节的随机数，它由灵巧卡102生成和在包1中接收。字段612应用数。第二字段是一个8字节的应用ID数，它对全部卡持有者卡是相同的。字段613公共名字。第三字段是一个8字节的卡持有者灵巧卡104的ASCII名字。字段614帐号或签名。第四字段或者是一个80字节的，由灵巧卡104用卡密钥0生成的三个基本字段的签名，或者只是在不要求保密性时的灵巧卡104的帐号。这样的四个字段是混合型的(同时每字段两字节)，用一个APPKEYO加密的，和从灵巧卡104送到灵巧卡102的。
包3包括下述字段和信息字段621随机数。第一字段是一个8字节的随机数，它由灵巧卡104生成。字段622应用数。第二字段是一个8字节的应用ID数，它对全部卡持有者卡是相同的。字段623借入金额。第三字段是要从灵巧卡102的余额文件中借入的金额。字段624帐号或签名。第四字段或者是一个8字节的，由灵巧卡104用卡密钥0生成的三个基本字段的签名，或者只是在不要求保密性时的灵巧卡104的帐号。这样的四个字段是混合型的(同时每字段两字节)，用一个APPKEY1加密的，和从灵巧卡104送到灵巧卡102的。
包4包括下述字段与信息区段631随机数。第一区段是一个8字节的随机数，它由灵巧卡104生成，并在包3接收。区段632应用数。第二区段是一个8字节的应用ID数，它对全部卡持有者卡是相同的。区段633贷出金额。第三区段是一个贷出到灵巧卡104的余额文件中的金额。区段634帐号或签名。第四区段或者是一个8字节的，由灵巧卡104用卡密钥0生成的三个基本区段的签名，或者只是在不要求保密性时的灵巧卡102的帐号。这样的四个区段是混合型的(同时每区段两字节)，用一个APPKEY1加密的，和从灵巧卡102送到灵巧卡104的。
包5包括下述区段与信息区段641随机数。第一区段是一个8字节的随机数，它由灵巧卡102生成，并在包1中接收。区段642应用数。第二区段是一个8字节的应用ID数，它对全部的卡持有者卡是相同的。区段643余额。第三区段包含灵巧卡104的余额文件，有24字节长。区段644帐号或签名。第四区段或者是一个8字节的，由灵巧卡104用卡密钥O(AKO)生成的三个基本区段的签名，或者只是在不要求保密性时的灵巧卡104的帐号。这样的四个区段是混合成6组8字节的，用一个APPKEYO加密的，和从灵巧卡104送到灵巧卡102的。
包6包括下述区段与信息区段651随机数。第一区段是一个8字节的随机数，它由灵巧卡104生成，在包5中接收。区段652应用数。第二区段是一个8字节的应用ID数，它对全部的卡持有者卡是相同的。区段653货出金额。第三区段是要货出到灵巧卡104的BALANCE文件中的金额。区段654日期。第四区段是一个用于灵巧卡104的BALANCE文件的新日期与利率。区段655新的应用密钥。第五区段有8字节长；如果灵巧卡104没有最新的密钥，就包含一个新的应用密钥。区段656帐号或签名。第六区段是由于保密性与利息相互排斥而用的灵巧卡102的帐号。这样的六个区段是混合成6组8字节的，用一个APPKEY1加密的，和从灵巧卡102送到灵巧卡104的。
图7示出由用户灵巧卡102，104使用的数据结构。每个用户卡都包含下述文件ACCOUNT_NUMBER701。这文件含有一个压缩成8字节的唯一16位数的帐号。C_EXCH.HEX702。这个可执行的文件如上所述，它有22字节长。
BALANCE703。这文件包含卡的余额数量，结余的货币，记录的最新日期的利息，货币的连续编号，和余额核对金额。余额数量有4字节长，每字节的6位用于存储数值，和2位用作核对金额。结余的货币有一字节长，每种货币有不同的代码。最新利息日期是4字节长，2位数用于月，2位数用于日，和4位数用于年。利率是3字节长的。货币的连续编号是4字节长的，表示卡持有的编号(可能是用主钥加密的帐号)。余额核对金额是8字节长的，表示该文件的第一8字节，该文件是先用文件的第二8字节加密然后用主钥加密的。于是余额文件是24字节长的。
APPKEYO704至APPKEY3707。这些文件包含4个应用密钥，每个有8字节长。PASSBOOK708。这一文件包含类似于银行存折储蓄帐户的审计线索。每个款目有36字节长，能够存储总计50个款目。每个款目都包含其他一方的帐号(或者，如果要求保密性。则签名)(8字节)，其他方的公共名字(8字节)，由其他卡生成的随机数(8字节)，知道的话还有日期(4字节)，贷方或借方或利息(1字节)，交易金额(3字节)，和新的帐户余额(4字节)。这文件的总容量为1800字节。如果不要求保密性，则这文件在有效银行交易中卸载到银行。如果需要更大的文件供商人用户卡之用，就能提供8K卡，并能大大地扩大PASSBOOK文件。
KEY_INFO709。这文件存储当前的APPKEY号和最新的日期，其密钥由银行来更新。它有5字节长(1字节用于该号，4字节用于日期)。BAD_KEY710。这文件存储不良密钥企图号，有2字节长。它在有效交易后被复位。当这号达到一个设置的极限时，就锁定该卡。MIN_TRANS711。这文件存储那种要求PIN的交易金额。它有3字节长。MAX_TRANS712。这文件存储那种需要一个密钥的交易金额。它有4字节长。RANDOM_NUMBER713。这文件包含随机数种子，以保证不用任何可预测的模式重复这些数字。如果可执行的文件是700字节长(相同于TCAs)，则卡所需的总空间应为2700字节左右。
除了图7所示的文件之外，每个银行灵巧卡都包含图8所示的下述附加文件BAD_CARD801。这文件存储一个4字节的，都是不良卡的帐号的表。它能够存储用于4800字节的总文件大小的，总计1200个号码。VALID ACCOUNI802。这文件存储最高和最低有效帐号，用于能够接受密钥更新的卡。它有32字节长。C_INT.EXE803。这个可执行的文件使卡能够给出利息和更新密钥。INTEREST804，这元件存储日利率，有4字节长。
关于系统欺诈与欺诈防止，如果灵巧卡系统操作者有钱，诈编者就会存在。诈编者是一些想把某些系统操作者钱取走的人。现在描述一些可能的着手方法与对策。ATTACK#1。企图把钱放到一个卡上，而不从另一卡取钱。为了做这件事，必须把一个数据包发送到卡中，其中含有用于贷款的正确信息。有三种可能的着手方法A.应答诸着手，就会不工作，因为每个包都包含一个独有的随机数。系统操作者必须查明，是否都从一个不同的随机数种子开始，和不能以任何方式重置它的原始种子。因为在空白的文本中未曾发送过任何随机数，这就提供某种保护。B.随机企图把诸包发送到卡，这是无效的，因为在这么多猜测之后，其BAD_KEY文件会使卡锁定。实际上，这是相当于试图猜测密钥。C.直接密钥着手。在上述实施下，诈编者会得到一个好包，并企图用随机密钥对它解密，直至得到一个有效的应用数为止。要达到预计的成功，这需要平均每包两次解密和得到2^63个不同的密钥，即，每秒钟解密109次也需要584年。这直接涉及DES的保密性，是保密性的基础。如果以放慢交易为代价，则可在有危险倾向的环境中使用双重加密，从而降低着手的次数。
ATTACK#2。偷窃一个有效卡。对小交易，用PINs保护全部卡；而对大交易，则可用密钥保护全部卡。偷窃者可能根据MIN_TRANS文件范围而使用交易用的卡，但下一次会发生利息/密钥更新，故该卡会失效。如果担心PIN或密钥从卡持有者那里偷走，则也可在大买卖的销售终端处，发生一个无效的过程。如果偷窃者也许试图通过与另一持卡者交易而把卡货币变成现金(买现金而不买货物)，则偷窃者必须有PIN或密钥，或者受限于PASSBOOK文件中存储的交易号(50)。因此，如果使用者未丢失其PIN，则最大预期损失是250美元(如果以5美元设置其MIN_TRANS文件，并在PASSBOOK文件中不存储交易)。能够通过把MIN_TRANS文件中数字降到零，而把这项损失变成零。如果丢失PIN，则潜在风险金额50倍于MAX_TRANS文件金额，或者等于卡中所存金额。如果以100美元设置MAX_TRANS文件，则其潜在风险是5K美元。因此，这卡多半比标准信用卡有更多的现金，从而需要比标准信用卡更小心地对待。要知道，上述实施例只是本发明的一些例示性原则，本专业的技术人员可以作出许多变更，而不脱离本发明的范围。因此企图在下面的权利要求书范围内包含这些变更。
权利要求
1.一种用于进行可靠金融交易的方法，包括下列步骤(a)在组成一个分级结构的多个电子设备上存储一种货币价值的电子表示，该分级结构至少包括一个处于第一结构层的第一灵巧卡，和一个处于比第一结构层低的第二结构层的电子货币金库；和(b)给第一灵巧卡装备一个用于提供系统保密性的电子密锁，该密锁具有一种锁定状态，使灵巧卡至少不能参加一次金融交易，和一种解锁状态，使灵巧卡可以至少参加一次金融交易。
2.根据权利要求1所述的用于进行可靠金融交易的方法，包括下列步骤(c)给第一灵巧卡装备一个第一密钥，并给电子货币金库装备一个第二密钥；和(d)对第一密钥和第二密钥进行比较，以便如果第一密钥与第二密钥匹配，就生成一个匹配信号，和如果第一密钥与第二密钥不匹配，就生成一个不匹配的信号，电子密锁响应匹配信号而进入解锁状态，和电子密锁响应不匹配的信号而进入锁定状态。
3.根据权利要求2所述的用于进行可靠金融交易的方法，其中电子货币金库是一个第二灵巧卡。
4.根据权利要求2所述的用于进行可靠金融交易的方法，其中电子货币金库是一个耦合于数据存储设备的处理设备。
5.根据权利要求4所述的用于进行可靠金融交易的方法，其中电子货币金库是一台个人计算机或一台大型计算机。
6.根据权利要求2所述的用于进行可靠金融交易的方法，其中金融交易包括，把一种货币价值的电子表示从第一灵巧卡转移到电子货币金库。
7.根据权利要求2所述的用于进行可靠金融交易的方法，其中金融交易至少包括下列步骤之一(i)把贷币从一个电子贷币金库电子地转移到一个灵巧卡；(ii)把贷币从一个灵巧卡电子地转移到一个电子贷币金库；(iii)把货币从一个第一灵巧卡电子地转移到一个第二灵巧卡；(iv)把货币从一个第二灵巧卡电子地转移到一个第一灵巧卡；(v)检验一个灵巧卡的余额，包括在灵巧卡上电子地存储的货币金额；和(vi)把一个利息支付添加到灵巧卡余额中。
8.根据权利要求3所述的用于进行金融交易的方法，其中第一灵巧卡包括多个第一密钥，和第二灵巧卡包括多个第二密钥，如果多个第一密钥中的多个密钥与第二密钥中的多个密钥匹配，则比较步骤生成一个匹配信号。
9.一种用于进行可靠金融交易的设备包括a)一个第一灵巧卡，包括i)货币价值存储装置，用于存储一种货币价值的电子表示；和ii)密钥存储装置，用于存储一个第一电子密钥；b)一个电子货币金库，包括i)货币价值存储装置，用于存储一种货币价值的电子表示；和ii)密钥存储装置，用于存储一个第二电子密钥；第一灵巧卡和电子货币金库中的每一个都进一步包括iii)密钥比较装置，用于把第一电子密钥与第二电子密钥进行比较，如果第一电子密钥匹配第二电子密钥，则比较装置生成一个匹配信号，如果第一电子密钥不匹配第二电子密钥，则比较装置生成一个不匹配的信号；第一灵巧卡进一步包括iv)第一灵巧卡电子密锁装置，它耦合于第一灵巧卡的密钥比较装置或者电子货币金库的密钥比较装置，第一灵巧卡电子密锁装置能够使第一灵巧卡根据一个匹配信号参加一个金融交易，并且能够使第一灵巧卡根据一个不匹配的信号不参加一个金融交易。
10.根据权利要求9所述的用于进行可靠金融交易的设备，其中，第一灵巧卡密钥存储装置包括用于存储多个第一电子密钥的装置，且电子货币金库包括用于存储多个第二电子密钥的装置；密钥比较装置适合于把所述多个第一电子密钥中的任何一个与所述多个第二电子密钥中的任何一个进行比较；如果所述多个第一电子密钥中的多个密钥匹配所述多个第二电子密钥中的多个密钥，则比较装置生成一个匹配信号；和如果所述多个第一电子密钥中的多个密钥不匹配所述多个第二电子密钥中的多个密钥，则比较装置生成一个不匹配的信号。
11.根据权利要求10所述的用于进行可靠金融交易的设备，还包括(a)第一灵巧卡的读与写装置，用于从第一灵巧卡读出数据和把数据写入第一灵巧卡中；(b)电子货币金库的读与写装置，用于从电子货币金库读出数据和把数据写入电子货币金库；和(c)通信链路装置，连接于第一灵巧卡的读写装置和电子货币金库的读写装置，用于在第一灵巧卡与电子货币金库之间交换数据。
12.根据权利要求11所述的用于进行金融交易的设备，其中数据至少包括一个密钥。
13.根据权利要求9所述的用于进行金融交易的设备，其中，电子货币金库是用一个第二灵巧卡实现的，该设备还包括(a)一个第三灵巧卡；(b)第一灵巧卡读与写装置，用于从第一灵巧卡，第二灵巧卡和第三灵巧卡中的至少一个灵巧卡读出数据，并把数据写入其中。(c)第二灵巧卡读与写装置，用于从第一灵巧卡、第二灵巧卡和第三灵巧卡中的至少一个灵巧卡读出数据，并把数据写入其中；和(d)通信链路装置，连接于第一灵巧卡的读写装置和第二灵巧卡的读写装置，用于在第一灵巧卡、第二灵巧卡、和第三灵巧卡中的任何，两个灵巧卡之间交换数据。
14.根据权利要求9所述的用于进行金融交易的设备，其中，第一灵巧卡是一个商人灵巧卡，第二灵巧卡是一个中央银行灵巧卡，和第三灵巧卡是一个顾客灵巧卡，其数据包括至少一个金融交易数据和至少一个密钥，其金融交易数据指定金融参数，而金融参数包括一个电子货币数量和一个利率中的至少一个，其金融交易至少包括下列交易之一(i)把货币从一个中央银行转移到第一、第二和第三灵巧卡中的任一灵巧卡，(ii)把货币从第一、第二和第三灵巧卡中的任一灵巧卡转移到一个中央银行，(iii)在第一、第二和第三灵巧卡中的任何两个灵巧卡之间转移货币，(iv)核对一个灵巧卡余额，该余额包括在第一、第二和第三灵巧卡中任一灵巧卡上存储的货币金额，和(v)把一个利息支付添加到灵巧卡余额上。
15.一种用于进行可靠金融交易的灵巧卡，包括a)货币价值存储装置，用于存储一种货币价值的电子表示；b)密钥存储装置，用于存储一个第一电子密钥；c)密钥比较装置，用于接收一个第二电子密钥，和用于把第一电子密钥与第二电子密钥作比较，如果第一电子密钥匹配第二电子密钥，则比较装置生成一个匹配信号，而如果第一电子密钥不匹配第二电子密钥，则该比较装置生成一个不匹配的信号；和d)耦合于比较装置的电子密锁装置，用于根据一个匹配信号使灵巧卡能够参加一个金融交易，和用于根据一个不匹配的信号使灵巧卡不能够参加一个金融交易。
全文摘要
透露提供可靠电子金融交易的系统和方法。在多个灵巧卡上电子地存储货币。至少一个灵巧卡装有一个呈闭合态与打开态的电子保密墙在闭合态。灵巧卡不能参加金融交易；在打开态，它至少可参加一次金融交易。灵巧卡装有用于把电子密墙从打开态变到闭合态的第一密钥。和/或把它从闭合态变到打开态的第二密钥。金融交易包括在中央银行与灵巧卡之间和在第一与第二灵巧卡之间电子转移货币，核对灵巧卡上所存货币金额，和把利息加到灵巧卡上。
文档编号G06Q40/00GK1159038SQ96112778
公开日1997年9月10日 申请日期1996年10月18日 优先权日1995年10月20日
发明者戴维德·米切尔·克洛斯 申请人:美国电报电话公司