电子信用卡和对电子信用卡再储值的方法

专利名称：电子信用卡和对电子信用卡再储值的方法
技术领域：
本发明涉及一种用于非现金转账的电子信用卡再储值的方法，该卡具有一个集成半导体电路设备，该设备包括至少一个寻址和控制逻辑电路和一个非易失存储器，其中至少非易失存储器的一部分是可擦的。为了存储信用卡各自的数值单元预先规定了非易失存储器的区域，该区域的存储器空间被分为具有不同权(Wertigkeit)的子区域，这里仅对于确定权的子区域的全部存储器空间，同时清除存储器空间是可行的。在下一个最高权的子区域以前没有说明的存储器空间插入传输值以后，才可以清除每个子区域。本发明还涉及用于转账具有执行该方法的集成半导体电路设备的电子信用卡。
为了商品转账或为了清算服务以及相类似的目的，公开了数据交换系统形式的控制数据支付系统。这里使用的信用卡包括一个作为基本元素的非易失的电子数据存储器，通过卡表面上的电子触点可以存取存储器。通过一个数据输入或输出设备(POS终端)，计算机在每次使用时存取存储器内容。如果可能，上述存储器内容将被改变。特别当使用预付的信息存储体布局时，它可能进行商品匿名支付或进行收费业务，这种布局必须保证通过操作卡的数值只能减少而不能升高。
目前可再储值的信用卡主要的实现方式是微处理器卡，因为微处理器较高的计算功能简化了对再储值的控制。然而在低端支付系统特别是预付卡时，智能卡的使用在增长。现在申请者使用的芯片卡表明在如今的支付过程中对用户的密码逻辑鉴定和授权检查也可用存储器芯片在可类比的安全水平上实现。使用微处理器实现的电子监控传输金额的方法使这样的卡太贵了。
对于可再储值的信用卡，不仅是基于微处理器的而且还有基于存储器的，基本上出自以下原理对于鉴定检查不仅存在着系统秘密而且存在着一个密码算法。尽管如此，还应考虑不同的风险。一方面即使在对参与再储值的对方电子授权后也不可能排除诈骗者通过窜改传输数据来窜改信用卡的登记值。另一方面，登记包括对非易失的计数区域的清除-写循环，这里信用卡可以暂时接受一个较高的金额。在一个瞬间时刻中断储值过程会导致一个不合理的高的金额。这里一个清除 写循环包括两个过程首先清除全部计数器或计数器的子区域，此后设置或写入新的计数器读数。清除是符合定义的过程，其中在存储器空间以相同的意义改变较大数量的信息值。首先通过写入，紧接着产生理想的特定位模式。基于安全技术原因，通过写入单独位的贬值一定是电释放存储器空间的操作，因此，仅当单元可能的自我放电时，金额才可以降低。因此，清除是有风险的数值升高的操作，在擦和写这间的间隔内，计数器暂时接受一个最大值作为中间状态，这个最大值直到写时不会被再次校正。在已知的芯片卡中，这个不可避免的中间状态中存在着窜改的危险。
根据

图1的说明图，首先说明了现在的预付卡的工作原理，当完全消费掉卡的面值以后，这种卡不能重复使用。例如在预付的电话芯片中的注销过程，一般情况下使用一个安全计数器作为“电子算盘”来实现该过程，例如在EP032172781中所说明的方法。通过下列方式电子保护一个非易失的数值计数器通过编程处理从来不会提高它的值。因为传统的二进制计数器的位必须连续清除和写入，所以作为值计数器排除传统的二进制计数器。
根据图1，卡中使用的计数设备包括一个数值计数器，它具有5级，每级有8个EEPROM单元，连结这些单元作为8位计数器。为每级分配一个确定的权。八位计数器中的相邻数值级间，较高权的级的一位的权是位于该级下级中一位权的8倍。电话卡中，分五个8位级的位分别分配数值单元1、8、64、512或4096。在根据图1的支付例子中，例如当初始化一个12DM卡(＝1200数值单元)时，设置相应的计数器读数(1200＝2×512+2×64+6×8)。理论上卡的最大计数范围为85＝32768单元，一般情况下不会被完全使用。在说明的例子中，在最高的计数级5不存在一个单独位。在贬值前，计数器位被清除并且具有根据现有定义的逻辑状态“1”。为贬值，该支付的总额被分到5个计数器级并且将所涉及的若干位通过写从“0”到“1”失去数值。下面的四级1至4由EEPROM构成，最上级5由PROM构成。如果已经使用了下面数值级，那么通过终端，在另一次借贷前，插入一个内部转帐过程。这时以前已被清除位于该级以上的级的位在“0”后通过写失去数值以后，该级的8个全部被说明位在“1”后再次被清除。转账操作自身对数值来说是中性的，因为降低与升高相互补偿。因为首先作贬值，所以对于中断转账过程不存在窜改的风险。电话卡的计数器读数仅可以通过写和清除过程来降低预先给定的开始值，因此从概念上讲很难窜改。
本发明基于以下任务，使用一种方法或设备，它们仅花费相当低的费用，以任意金额在防止窜改的情况下可能再储值，同时应基本保留现在使用的关于芯片卡的概念。
本任务通过根据权利要求1对带有半导体电路设备的信用卡再储值的方法和通过一个权利要求9说明的信用卡来完成。
首先本发明基于以下认识信用卡上新的数值单元实际上不是物理意义上的重新填充，而是仅仅通过插入一个独立的被写入的释放值来释放。通过这种方法，在遵循目前使用的存储卡的基本概念的条件下，可能进行防止窜改的再储值，并且仅付出较少的花费。在释放阶级，不存在一个时刻，在这个时刻上信用卡取得被提高的金额。对于再储值也使用了安全计数器的安全内部转储的概念。清除的关键过程甚至在一个适合的再储值的框架下被执行并且从储值分离。在再储值阶段仅仅写入。
根据本发明的原理，在计数范围内通过至少一个释放寄存器以下面的方法来扩展可储值电子信用卡中的信用卡数值计数器确定所有可能储值的总和。对于附加在信用卡中预先规定的释放寄存器，不过多要求大量附加的存储器空间，因为首先它仅涉及数值计数器中最高权位，它们独立保持各自的大量的数值单元。在储值终端，被扩大的数值计数器的数值单元通过用于借贷过程的写操作被首次释放，或者换句话说记入数值计数器。接下来被释放的数值单元在数值计数器的范围内允许执行对于数值为中性的转账过程，在POS终端，首先在借贷期间引起上述过程，并且在没有附加风险情况下，在信用卡中使用安全计数器的已经验证的防止窜改特性。
根据本发明，为信用卡释放寄存器中最高权的子区域的存储器空间的数值单元分配将被存储的释放值，它们或者表示一个释放状态或者表示冻结状态，这两个状态用于至少最高权子区域的存储器空间分别分配得到的数值单元。仅仅通过改变分配给存储器空间的释放值，将它从冻结状态改变到释放状态，可以提高信用卡的卡值。
这里在根据本发明优选的实施例子中可以预先规定为了清除下一个较低权的子区域，在确定权的存储器空间的子区域中，使用根据在释放寄存储器中写入的释放值可能释放一个已分配的数值单元。这时为了释放在存储器子区域中已分配的数值单元，通过在释放寄存器中写入一个或若干个释放值的写过程，执行信用卡的再储值。
在优选的方法中，在存储器的子区域中可能写入一个数值单元并因此可能消费被存储后的金额，而这只能在释放寄存器中写入一个已分配的释放值之后发生。
在根据本发明的方法或实施例中，预先规定在POS终端，根据直接位于最高权级以下的和将要清除的数值级，以预先确定的步进值或它的倍数对信用卡储值。
在本发明另外优选的实施例中，可以预先规定信用卡与安全相关的储值过程仅包括减小值的写过程或者对数值来说中性的转账，并且在释放前，在储值终端，对信用卡进行鉴定检验。POS终端向信用卡发送一个可任意选择的质询，并因此在识别一个公共的秘密后计算响应。信用卡在内部比较由POS终端发送的响应和自己内部计算值。如果一致，通过芯片内部逻辑而不需要附加外部数据传输，分别在释放寄存器中释放一位。不存在外界对储值金额的影响。当再储值时，通过一个必要的加密的单向操作，由(相互)授权保证所有的安全检查。
作为转账过程，储值的关键的安全清除过程被集成在POS终端的借贷过程中。因为在数值计数器中的释放单元不需附加费用被增加到数值计数器目前状态，所以通过其自身的概念，从储值前的状态接受信用卡的余额。
在发明的一实施例中，可以通过释放寄存器中的位值以最小值确定通过储值得到的全部卡值。仅仅在开始释放寄存器中的两位后，这里才可能以任意可调整的较大的金额在防止窜改的情况下储值，因为仅仅在全部余额的情况下，利用第一个释放位可以执行数值计数器中要求的转储，并且同时卡仍旧位于一个较低权的状态。
如果储蓄的值比释放寄存器中两个数值位小，那么可能发生仅当释放寄存器中的位后，才可能对数值计数器中的数值进行调整，并且因此被较少保护。然后在结束调整值以后，理论上欺诈者可以优先的从储蓄终端移走信用卡。在较小储蓄金额情况下，通过在信用卡借贷逻辑范围内附加的一个非易失的备份位可以消除这种欺诈风险。它的工作方式类似于信用卡计数器内部的备份逻辑的工作方式，例如它与释放位同时写入。在减值结束后，在储值终端通过类似于写入释放位的安全过程对之复位。当欺诈中止后保持备份位设置，在POS终端，通过常规检验在每种情况下识别和拒绝该信用卡。
如果允许很多小的储值金额，必须设置计数器，以便在数值计数器中扩大控制区域部分和相应减小剩余数值存储器。在每种情况下，任意储值金额没有限制的安全设置总预先设置一个最小储值金额，该金额相应于释放寄存器中的两位。相反在这优选的方法的这个计数器设置中，没有限制每次储值的最大提高值。
如果数值计数器的计数容量将被分为很多小的并因此将被频繁储值的储值单元，那么控制区域和已分配的释放区域自身也可能被再次设计为(8位)计数器。在这种情况下，最大的金额服从于附加的限制，该值可以在单独的储值过程中通过在计数器中写入若干个释放位来释放。在上面计数区域的范围内，当数值为中性的转账时，具体的说可能丢失在释放寄存器(在储值终端中改变)和数值计数器(在POS终端改变)中的位的直接分配，因此事实上信用卡所有者不可能使用全部的储值。在一个单独的储值过程中最大金额内的这个限制可以通过附加控制标志再次减小，其中这个计数配置基本上仅允许对特定的计数要求感兴趣。
在根据本发明信用卡优选的实施例中，可以预先规定当降低数值计数器的控制区域内的一位的值前。在芯片内部不仅检查是否附加位被清除”1”而且还检查是否分配的释放值具有释放状态”0”。这时在简化的实施例中，可以预先为两个存储器区域分配独立的具有分立的解码器的读出电路，以便避免对两个计数器一个比较复杂的系列询问。除此之外的意义是一方面数值计数器包括控制区域，另一方面在存储单元的控制门上，释放寄存器使用不同的评估电压工作。象已经提到的，必须以这种方式设计数值计数器即EEPROM单元的放电状态相应于中性的、已说明的并且已降低值的状态。与此相反，写释放寄存器不会减小而只增加值。通过选择一个较低的门电压，以下列方式对之优先设计由于中性状态中的一个受力使存储单元回到原地，该单元被判断为”1”或没有释放(即优先保持关于清除所使用的定义＝逻辑”1”)下面将根据图中所说明的实施例详细说明本发明图1、传统存储卡安全计数器的基本原理，图2、说明根据本发明通过释放具有承兑余额的储值原理，图3、在对具有10000数值单元的信用卡再储值时，通过对数值计数器释放和转储来储值。
图2示出了本发明的一个实施例，其中为存储信用卡各自的数值单元预先规定了存储器的区域，将这些区域的存储器位置被分为各自具有不同权(级值1、8、64、512、4096)的子区域(级1至5)。仅对于确定权的子区域的全部子区域，清除存储器空间才是同时可行的，并且只有在下一个较高权的子区域以前没有说明的存储器空间中插入一个过渡值后，才可以清除每个子区域。根据本发明，在信用卡的释放寄存器中，为最高权子区域(级5)至少的存储器空间的数值单元分配将要存储的释放值，这些值或者为释放状态(“0”)或者为冻结状态(“1”)，用以表示至少最高权的子区域的存储空间的各自所分配的值状态，并且通过将分配给存储器空间的值状态由冻结状态改变到释放状态，可能提高信用卡的卡值。在根据图2的数字例子中。例如当初始化100DM(10000数值单元)卡时，设置一个相应的计数器状态(10000＝2×4096+3×512+4×64+2×8)，其中，根据在释放寄存器中已被写入位，在最高级5的数值计数器的8个已被写入的位中仅释放2位。在可再储值的信用卡中，对以前已知的电话卡的基本计数原则没作改变，象以下内容中所说明的。数值计数器最上层的计数级5以PROM形式再次控制相邻级4等的储值。然而在数值计数器的范围内，现在它得到一个附加功能作为再储值的控制区域。通过再储值，接下来可以理解为清除位于该级下级的级4，释放控制区域中一个或多个存储位。控制区域的大小限制卡允许的所有支付过程所包括的储值总数。在实施例中，例如当大小为10位时，总数最大为10×4096＝40960数值单元或超过400DM可以被再储值。如果一个扩大的金额借贷应用包括储值，要求更多的计数单元，那么可以将控制区域作为一个附加的最高权的第六个计数级来设计。累积计数范围因此扩大，超过300，000。另外，对于款项，也考虑安全计数器的另外设计，不同于已说明的八位计数器的相应部分。
为数值计数器中的控制区域即数值计数器的最高级5分配或预先连接一个相同构成的拷贝作为释放寄存器。在控制区域内写入一位并且因此只有在释放寄存器中写入附加位后，才能使用被再储值的金额。储值终端中信用卡的储值过程包括在释放寄存器中写入一位或多位的写过程，用于释放在控制计数区域内已分配的位。根据直接位于它下面的和将要清除的级4，在固定的步骤中或它的倍数实现储值。信用卡的拥有者分别在写入释放位时被记入所分配的金额。
下面将说明一个根据图2.1至2.3用数字表示的例子，该例通过释放固定金额转账对信用卡储值。例中为提高累积数的范围，数值计数器的控制区域从8位提高到10位。在控制区域的右边是已分配的释放区域。图2.1说明了在具有10000个数值单元、处于释放状态的信用卡中的数值存储器的状态和释放寄存器的状态，这些数值单元包括两部分一部分具有2×4096单元，通过区域内释放这一部分；另一部分具有1080单元，它们数值计数器中的状态”1”，被分到数值级2、3和4(＝3×512+4×64+2×8)。
图2.2说明在卡值减少到余额为50单元(相当于50分)后的同一张卡。在储值过程中，在释放寄存器中写入另外两位，并在数值计数器中释放。因此卡值提高了2×4096+50＝8242单元。
通过释放和转账任意可选的金额，将如下对卡储值以及调整卡的数值计数器。这里目前已说明的储值概念特征是储值不是以任意可选的步骤而是根据次最上层数值级4的值的级中实现的。如果在防止窜改的模式下，将数值计数器自身集成到储值过程中，那么在已知的领域内可以处理这种限制，见图3。假如例如最后转账单元提高数值计数器的值超过理想的储值金额，那么可以在写最后的释放位前，通过写数值存储器调整差额。如果这时数值计数器中现有的余额不够，那么通过POS终端，使用控制范围内已经释放的位，可以促使在数值计器中进行一个值为中性的转账过程。
如果数值调整发生在写最后的释放位前，那么在写数值计数器进行储值期间，数值调整不存在欺诈风险。在写阶段，故意中断或删除过程的欺诈者将由于缺少释放位的总额而仅仅获得丢失值。在结束释放最后的释放位前，再次检查数值计数器中写入的调整数值操作。通过双方授权，在释放最后位前，通过储值终端对具有实际的计数器读数的信用卡授权。正确的芯片响应因此也是目前值计数器读数的标记。如果这个响应是错误的，那么可以删除释放寄存器中的写过程。期诈者将不得不承担损失值。
下面将说明一个用数字表示的例子，该例子用于可自由选择金额进行储值和转账的卡。图列指明关于图2中具有50个单元余额的信用卡的状态。在接受余额的情况下，在删除验证情况下应对信用卡储值10,000单元或1,000M。释放寄数器的三位意味着值升高3×4096＝12,288，即超出2,288单元，在没有欺诈可能的情况下，首先通过释放寄存器释放2×4096单元，因此在含余额情况下，卡值提高了8242(图3.2)。下一步在释放值寄存器中的3位之前，由数值计数器减去超出部分2288＝2×512+3×64+6×8单元。在给出的例子中，这个过程两步。第一步使用一个任意给定位的中性值，用于在数值级4或3的再储值(图3.3)。第二步将超出部分从现在充满值的计数器级中减掉。这时卡值将暂时性的恢复到5952单元(图3.4)。随着写入第三个释放位，信用卡值达到预先给定的应该值10020单元，储值过程结束。
权利要求
1.用于非现金转账的电子信用卡再储值的方法，该卡具有一个集成半导体电路设备，该设备包括至少一个地址寻址和控制逻辑电路和一个非易失存储器。其中至少非易失存储器的一部分是可清除的，并且为了存储信用卡各自的数值单元预先规定了非易失存储器的区域，该区域的存储器空间被分为具有不同权(级值1、8、64、512、4096)的子区域(级1至5)，这里仅对于确定权的子区域的全部存储器空间同时清除存储器空间是可行的，并且在下一个最高权的子区域的以前没有说明的存储器空间插入转输值以后，才可以清除每个子区域，其特征在于为至少信用卡释放寄存器中最高权的子区域(5)的存储器空间的数值单元分配将要存储的释放值，它们或者表示一个释放状态或者一个冻结状态，这两种状态用于至少最高权子区域的存储器空间各自所分配的数值单元；提高信用卡的全部金额权权通过将分配给存储器空间的释放值的数值单元从冻结状态改变到释放状态才是可行的。
2.根据权利要求1的方法，其特征在于根据释放寄存器中写入的释放值，可以释放已分配的数值单元，为清除下一个较低权的子区域，在确定权的存储器空间中使用该数值单元。
3.根据权利要求1或2的方法，其特征在于信用卡的再储值通过一个写过程来实现，该写过程为了释放子区域中已分配的数值单元，在释放寄存器中写入一个或若干个释放值。
4.根据要求1至3的方法，其特征在于在释放寄存器中写入一个已分配的释放值后，在存储器的一个子区域中可以写入数值单元，并且因此才可以使用将要储蓄的金额。
5.根据要求1至4的方法，其特征在于在储值终端，根据直接位于所涉及最高权子区域下面的和将被清除的子区域的权，以预先规定的步进值或它的倍数对信用卡储值。
6.根据要求1至5的方法，其特征在于与安全相关的储蓄过程仅仅包括值减小的写过程或值为中性的转账，并且在释放数值单元前，在储值终端对信用卡的真实性进行检验。
7.根据权利要求1至6的方法，其特征在于在信用卡内，在存储器空间中与一个释放值同时写入一个附加的、非易失的备份位。
8.根据权利要求7的方法，其特征在于在结束减值操作后，通过一个类似于写释放值中的安全的过程，在储值终端，复位附加的、非易失的备份位。
9.用于转账的电子信用卡具有一集成半导体电路设备，该设备包括至少一个地址寻址和控制逻辑电路和一个非易失存储器，其中至少非易失存储器的一部分是可清除的，并且为了存储器的一部分是可清除的，并且为了存储信用卡各自的数值单元预先规定了非易失存储器的区域，该区域的存储器空间被分为具有不同权(级值1、8、64、512、4096)的子区域(级1至5)，这里仅对于确定权的子区域的全部存储器空间，同时清除存储器空间是可行的，并且在下一个最高权的子区域的以前，没有说明的存储器空间插入传输值以后，才可以清除每个子区域，其特征在于为至少信用卡释放寄存器中最高权的子区域(级5)的存储器空间的数值单元分配将要存储的释放值，它们或者是一个释放状态或者是一个冻结状态，用来表示至少最高权子区域的存储器空间各自所分配的数值单元，并且以下列方式构成半导体电路设备，仅仅通过将分配给存储器空间的释放值的数值单元从冻结状态改变到释放状态，才可能提高信用卡的全部金额。
10.根据权利要求9的信用卡，其特征在于为至少存储器的最高权的子区域(级5)的存储器空间分配或预先连接一个基本上相同构造的释放寄存器的拷贝。
11.根据权利要求9或10的信用卡，其特征在于存储器权最高的子区域(级5)的存储器空间的数目限制信用卡允许的所有支付过程包括储值的总和。
12.根据权利要求9至11的信用卡，其特征在于至少信用卡将要存储各自减小值的预先规定的非易失存储器的区域作为多级计数器(数值计数器)来构成。
13.根据权利要求12的信用卡，其特征在于多级计数器(数值计数器)作为8位计数器来构成。
14.根据权利要求9至1 3的信用卡，其特征在于至少信用卡将要存储各自减小状态而预先规定的非易失存储器的区域具有一个电可擦的固定值存储器(EEPROM)。
全文摘要
本发明涉及一种电子信用卡和对电子信用卡再储值的一种方法,该卡具有一个集成半导体电路设备,该设备包括至少一个地址和控制逻辑电路和一个非易失存储器,其中至少非易失存储器的一部分是可清除的,并且为了存储信用卡各自的数值单元而预先规定了非易失存储器的区域,该区域的存储器空间被分为具有不同权(级值1、8、64、512、4096)的子区域(级1至5),这里仅对于确定权的子区域的全部存储器空间,同时清除存储器空间是可行的,并且在下一个权最高的子区域中以前没有说明的存储器空间插入传输值以后,才可以清除每个子区域。本发明特别指出:为至少信用卡释放寄存器中权最高的子区域(级5)的存储器空间的数值单元分配将要存储释放值,它们或者表示一个释放状态或者表示一个冻结状态,用于表示至少权最高子区域的存储器空间各自所分配的数据单元,并且仅仅通过将分配给存储器空间的释放值的数值单元从冻结状态改变到释放状态才可能提高信用卡的全部金额。
文档编号G06Q20/00GK1182494SQ96193396
公开日1998年5月20日 申请日期1996年4月9日 优先权日1995年4月20日
发明者H·施伦克 申请人:西门子公司