动态智能卡同步和个人化方法及设备的制作方法

专利名称：动态智能卡同步和个人化方法及设备的制作方法
技术领域：
本发明主要涉及用于商业交易的集成电路卡(“智能卡”)，尤其涉及用于在分布式交易系统的情况下对智能卡信息进行动态同步和个人化的技术。
背景技术：
近来，因特网贸易、电子数据处理及半导体器件技术的发展使得对智能卡技术的兴趣不断提高。总的来说，智能卡是一种钱包大小(或更小)的卡，它结合了存储和管理卡内数据的微处理器或微控制器。由于比磁条和储值卡更为复杂，所以智能卡表现为高级的存储器管理和安全功能。例如，通常把多功能卡设置成在一张卡内支持借贷、储值、忠实(loyalty)和许多其它应用。典型的多功能智能卡包括嵌入塑料卡内的微控制器，该微控制器电气连接到设在卡外的外部触点阵列。功能卡的微控制器通常包括用于存储用户数据的电可擦可编程只读存储器(EEPROM)、用于擦除存贮的随机存取存储器(RAM)以及用于存贮卡操作系统的只读存储器(ROM)。相对简单的微控制器适于控制这些功能。因而，智能卡通常使用带8K EEPROM存储器的8位、5MHz的微控制器(例如，Motorola 6805或Intel 8051微控制器)。
针对集成电路卡的各方面已开发了许多标准，例如ISO 7816-1，第一部分物理特性(1987)；ISO 7816-2，第二部分触点的尺寸和位置(1988)；ISO 7816-3，第三部分电子信号及发送协议(1989，Amd.1 1992，Amd.2 1994)；ISO 7816-4，第四部分用于互换的行业间命令(1995)；ISO 7816-5，第五部分应用程序标识符的标号系统和登记规程(1994，Amd.1 1995)；ISO/IEC DIS 7816-6，行业间数据元素(1995)；ISO/IEC WD 7816-7，第七部分增强的行业间命令(1995)；以及ISO/IEC WD 7816-8，第八部分行业间安全体系结构(1995)。这里引入这些标准作为参考。此外，已在许多标准文本中发现了有关磁条卡和芯片卡的一般信息，例如Zoreda和Oton的“智能卡”(1994)以及Rankl和Effing的“智能卡手册”(1997)，这里引入其内容作为参考。
对于消费者所持的每张智能卡，希望保存与该智能卡有关的交易信息和应用的基本上正确的历史。通常，目前所知的系统在这方面的不足之处在于，它们不能提供使存储在智能卡上的信息与存储在一个或多个外部数据库上的相应信息之间保证同步的有效而可靠的方法。结果，目前的系统不能保证可重新发行遗失或被盗的卡或以最新信息来替换。
此外，目前的系统的不足之处还在于，系统通常不允许诸如智能卡的共同股东(例如，Hertz、Hilton等)企业动态地添加或修改智能卡的应用结构。即，在多功能卡的情况下，通常不易于改变或增加卡的文件结构而不参加费时费钱的重新发卡过程。
此外，通常，在多应用、多企业环境中发行和重新发行智能卡的公知方法是不足的。尤其是，智能卡通常包含有关大范围企业组织的许多不同的应用。为了安全的目的，有利的是依据一组访问条件规则把对这些文件的写、更新和读限制于特定的一方。使用仅对诸如该企业等适当的一方所知的加密密钥来适当地实现这些访问条件。因而，诸如American Express等卡发行方通常不能使用执行此功能所需的密钥。公知的系统已尝试通过在中央资料库中积累发行过程中所使用的密钥数据来解决这一问题。该方法在许多方面是不令人满意的。注意，密钥信息的中央资料库的安全缺口将带来灾难性的结果。
因此，需要克服已有技术的这些和其它限制的技术。更具体来说，需要提供对多功能智能卡进行安全而有效的个人化及动态同步的系统。

发明内容
本发明通过在分布式交易系统的情况下提供易于对智能卡数据进行个人化和同步的方法和设备克服了已有技术的限制。
依据本发明的一个方面，一种动态智能卡同步系统包括构成与智能卡相结合启动交易的访问点(access point)、企业数据收集单元和卡对象数据库更新系统。示例的动态同步系统(DSS)最好包括各种智能卡访问点、安全支持客户服务器、卡对象数据库更新系统(CODUS)、一个或多个企业数据同步接口(EDSI)、更新逻辑系统、一个或多个企业数据收集单元(EDCU)以及构成能共同操作地接受并与智能卡相接的一个或多个智能卡访问点。在示例的实施例中，DSS包括构成与CODUS通信的个人化系统和帐户维护系统。
依据本发明的另一个方面，使用一安全服务器来实现多功能智能卡的个人化，该安全服务器构成在智能卡发行过程的最后阶段期间产生和/或检索来自多个企业密钥系统的加密密钥信息。
附图概述以下将结合附图来描述本发明，其中相同的标号代表相同的元件，以及

图1是依据本发明各方面的示例动态同步系统的示意图；图2是示例的安全支持客户服务器的示意图；图3是示例的企业数据同步接口的示意图；图4是示例的更新逻辑系统的示意图；图5是示例的企业数据收集单元的示意图；图6是示例的卡对象数据库更新系统(CODUS)的示意图；图7是示出未决交易信息的示例同步方法的流程图；图8是示出更新交易信息的示例同步方法的流程图；图9是示例的个人化系统的示意图；图10是示出示例的智能卡个人化方法的流程图；以及图11是适用于在旅行情况下使用的示例交易数据结构。
本发明的较佳实施例依据本发明各方面的一种系统包括在分布式交易系统的情况下对智能卡和有关的数据库进行个人化及动态同步的方法和设备。更具体来说，现在参考图1，示例的动态同步系统(DSS)最好包括安全支持客户服务器104、卡对象数据库更新系统106(CODUS)、一个或多个企业数据同步接口108(EDSI)、更新逻辑系统110、一个或多个企业数据收集单元112(EDCU)以及构成可共同操作地接受并与智能卡120相接的一个或多个智能卡访问点102。在示例的实施例中，DSS还适当地包括构成与CODUS 106通信的个人化系统140和帐户维护系统142。
更具体来说，在一较佳实施例中，安全支持客户服务器104经由适当的网络通过企业网络114连到EDSI 108。EDSI 108链接到更新逻辑系统110，更新逻辑系统110本身联接到企业数据收集单元112。企业数据收集单元112联接到CODUS106和安全支持客户服务器104。总之，如以下更详细所述，每个企业(例如，航空公司股东、宾馆股东、旅行社等)最好与相应的EDSI 108、企业网络114和EDCU112相关联。即，EDCU 112(a)相应于EDSI 108(a)和企业网络114(a)，EDCU 112(b)相应于EDSI 108(b)和企业网络114(b)，依此类推。DSS可依据所代表的企业的数目包括任意数目的这些功能块。
个人化系统140适当地起到智能卡120的发行源的作用。即，个人化系统140通过提供装有初始化数据(例如，帐号、序号、默认首选项等诸如此类)的预定文件结构来创建和发行消费者所使用的智能卡。因此，CODUS 106与个人化系统140相接，以便于在卡被损坏、遗失或被盗的情况下通过提供更新的数据来重新发行卡。以下结合图9详细地描述个人化系统140。
帐户维护系统142用于客户服务的目的，因此，它起到持卡者投诉、询问和其它客户输入的入口的作用。CODUS 106适当地与帐户维护系统142通信，以帮助客户服务代表和/或自动系统解决持卡人的问题。
智能卡访问点智能卡访问点102允许持卡者可通过各种手段访问分布式交易系统。例如，这些访问点可包括标准家用电话、各种PCS无线系统、收费电话、掌上计算机、笔记本计算机、因特网工作站、自动柜员机(ATM)、销售点终端机(POS)独立式公用电话亭(kiosk)、网络计算机(NC)、个人数据助理(PDA)或任何其它适当构成的通信设备。访问点102可以是便携式的(如PDA和蜂窝式电话的情况)或中央定位的(例如，在航空公司售票和入口区域、出租车设备、宾馆大堂、旅行社和购物中心中)。此外，企业可能认为设置一理顺其雇员的商务旅行的访问点102是适宜的。在一较佳实施例中，各种访问点102依据ISO-7816标准的有关部分构成可与基于接触的智能卡120接口。
安全支持客户服务器安全支持客户服务器104在适当时提供从交易期间所使用的各访问点102遗漏的任何功能。服务器104还适当地按路由发送从访问点102到适当的EDSI 108和/或EDCU 112的消息。
现在参考图1和2，示例的安全支持客户服务器104包括安全装置(engine)202、补充应用支持204和路由器206。安全装置202包括在服务器104、EDSU 112和企业网络114之间提供安全的消息发送的适当硬件和/或软件。更具体来说，与入局和出局消息包相结合，安全装置202利用验证、数据加密和数字签名技术。在本发明的情况下，各种常规的安全算法是合适的，例如包括DES加密、RSA验证和各种其它的对称和非对称加密技术。
补充应用支持204最好包括与特定的访问点102功能有关的适当硬件和/或软件组分。更具体来说，服务器104适当地确定交易期间所利用的访问点102的性质。如果访问点102不包括实行被请求交易用的适当软件，则服务器104以各EDSI 108和/或EDCU 112提供完成交易的功能(即，软件模块)。尤其是，补充功能包括对经由各网络(包括DSS)发出的消息包进行适当格式化(在以下作进一步详述)的软件模块。例如，在经由一访问点102(它完全由独立式智能卡读取器构成)发生交易时，由服务器104提供差不多所有的功能，这是因为智能卡读取器本身只能以“哑(dumb)”的方式对智能卡102传递消息。然而，访问点102包括适当构成的PC时，位于PC中的各种软件模块提供了大多数必要的功能。在这种情况下，服务器104只需对访问点102传递各种消息包，而不必提供额外的软件。可通过任何适当的方法，例如通过使用位于访问点102、卡120和/或服务器104内的便携式软件代码(例如，Java、ActiveX等诸如此类)或分布式软件来提供增加的功能。
路由器206适当地按路由向有关的EDCU 112、企业网络114和访问点102发送消息。即，路由器206构成识别DSS内应被发送给定消息包的有关功能块。有关功能块的识别可以许多方式发生。在一较佳实施例中，通过使用查询表来完成识别，该查询表包括锁定(key)于从访问点102接收到的请求中所提取的信息的有关目的地清单。
在本发明的另一实施例中，不使用安全支持客户服务器104，适当地规定访问点102的功能以消除对服务器104的需要。或者，可以任何有利的方式，在DSS的所有部件中分配和分布服务器104的功能。
本领域内的技术人员将理解，术语“交易“一般指经由用于实行特定目标(例如，借款(debit)/收费授权、首选项改变、预定请求、订票(ticket)请求等诸如此类)的系统上传送的任何消息。例如，图11示出在与旅行社股东进行在线交易的情况下有用的示例交易数据结构，其中以表格形式列出字段名称1102、数据类型1104(′C′用于字符)、最大字节长度1106和描述1108。虽然可利用其它数据结构，但在本例中，交易消息适当地包括以逗号划界的数据包。
卡对象数据库更新系统(CODUS)CODUS 106适当地安全存储与发行的各种智能卡120的状态有关的信息。现在参考图1和6，在一较佳实施例中，CODUS 106包括安全装置602、数据管理模块604、卡对象数据库116、卡对象监管模块606和审计(audit)文件608。
安全装置602为特别是存储在卡对象数据库116中的信息提供适当的安全性。因此，与入局和出局消息包相结合，安全装置602可利用各种验证、数据加密和数字签名技术。例如，在本发明的情况下，适当的算法包括DES加密、RSA验证和各种其它对称的和不对称的加密技术。
数据管理模块604在CODUS 106和帐户维护142之间以及在CODUS 106和各种EDCU 112之间适当地起到数据接口的作用。更具体来说，模块604转换和翻译在这些系统中所使用的数据格式。例如，可不必以EDCU 112或帐户维护142容易使用的格式来存储存储在对象数据库106内的数据。相应地，数据管理模块604包括用于对入局和出局数据实行转换和格式化的适当例程。
卡对象监管模块606最好提供对存储在对象数据库106内的数据进行编辑、更新、删除、同步和保证无讹误的适当数据库软件。各种数据库包适用于该任务，包括例如各种常规的第四代有关数据库管理系统(4GL RDBMS)。
审计文件608适当地跟踪对象数据库116的变化，从而有助于保证存储在CODUS 106中的卡数据的完整性。更具体来说，当首选项更新、交易、应用结构变化等诸如此类而发生对象数据库116的变化时，审计文件608跟踪有关这些变化的适当消息，例如变化的时间、日期和性质及内容。
卡对象数据库116可包括单个数据库或一组分布式数据库，它用来存储各种智能卡120的已知状态。总之，以一组适当的卡标记来表征智能卡的状态。在一利用依据ISO-7816的数据结构的较佳实施例中，卡对象数据库116存储与在各种智能卡120上存在的各个应用(即，整个文件结构)以及包括这些应用的各字段、目录和数据有关的信息。如此选择卡对象数据库116的文件结构，从而它包括用于给定智能卡120的一组适当的数据字段。
企业数据同步接口在一较佳实施例中，各种EDSI 108跟踪相应于各企业的智能卡数据和/或应用的变化。参考图1和3，在一较佳实施例中，EDSI 108包括通信服务器302、安全装置304和客户数据库306。
通信服务器302适当地有助于与企业网络114和更新逻辑系统110的通信。因此，服务器302构成对在所使用的部件给出特定选择时必要的各种格式、媒体和通信协议之间进行翻译。
安全装置304相对于客户数据库306的信息访问和存储提供适当的安全措施。与入局和出局消息包相结合，安全装置304可利用各种验证、数据加密和数字签名技术。例如，在本发明的情况下，适当的算法包括DES加密、RSA验证和各种其它对称的和不对称的加密技术。
客户数据库306适当地提供用于存储有关各股东或企业的智能卡信息的装置。即，特定企业(主管(hosting)，例如企业网络114a)可编译或雇佣他人编译仅涉及该企业的智能卡信息。例如，连锁宾馆可存储专门涉及该连锁宾馆的忠实、首选项和其它数据。在同步(如以下进一步详述)期间，对数据库306的任何改变将通过该系统传播，反之亦然，该系统任何地方的改变将被传送到数据库306。最好结合安全服务器302安全地(使用安全装置304)进行此传送。
在另一实施例中，把EDSI 108所提供的功能合并入相应的EDCU 112中。即，虽然所示的实施例利用一个或多个本质上分开的EDSI 108，但有利的是通过把此功能结合到相应的EDCU 112功能块中可精简DSS。
更新逻辑系统在一较佳实施例中，更新逻辑系统110对从EDCU 112和EDSI 108接收到的卡数据及发送给EDCU 112和EDSI 108的卡数据进行格式化，并安全地按路由发送。现在参考图4，在一较佳实施例中，更新逻辑系统110包括逻辑装置402、数据管理模块404、安全装置406、企业更新监管器408和企业更新审计模块410。
逻辑装置402适当地起到引导和分布通过系统的信息变化的作用。因而，逻辑装置402能确定哪些模块(即，哪些EDCU 112和EDSI 108)需要反映该变化。
数据管理模块404在EDSI 108和EDCU 112之间适当地起到数据接口的作用。更具体来说，模块404能在这些系统中所使用的数据格式之间进行转换和翻译。相应地，数据管理模块604包括用于实行入局和出局数据的转换和格式化的适当例程。
安全装置406用来相对于流过更新逻辑系统110的数据提供适当的安全措施。与入局和出局消息包相结合，安全装置406可利用各种验证、数据加密和数字签名技术。例如，在本发明的情况下，适当的算法包括DES加密、RSA验证和各种其它对称的和不对称的加密技术。
企业更新监管器408适当地包括保持EDSI 108与EDCU 112之间的数据传递所需的开销软件。
企业更新审计模块410适当地跟踪流过更新逻辑系统110的更新信息。尤其是，当通过更新逻辑系统110传送信息(由于首选项更新、交易、应用结构变化等诸如此类的结果)时，审计模块410跟踪该信息的适当标记，例如该通信的时间、日期、性质和内容。
企业数据收集单元
EDCU 112最好存储和协调相应于特定企业的同步数据的传递。参考图5，在一较佳实施例中，企业数据收集单元112包括安全装置508、客户更新交易数据库504、客户忠实交易数据库510、客户未决交易数据库514、更新数据库502、EDCU审计文件506、EDCU监管文件512和EDCU数据管理模块516。
安全装置508用来相对于流过EDCU 112的数据提供适当的安全措施。与入局和出局消息包相结合，安全装置406可利用各种验证、数据加密和数字签名技术。例如，在本发明的情况下，适当的算法包括DES加密、RSA验证和各种其它对称的和不对称的常规加密技术。
客户更新交易数据库504用来存储智能卡120上已被更新的信息，但这些信息还未传播到需要更新的各种数据库和网络。例如，智能卡120可用来在与特定企业的交易过程中改变持卡人的首选项。简言之，把该信息存储在数据库504(对应于特定企业)中，直到可把它散布到CODUS 106和适当地EDCU 112及EDSI 108。以下将对此交易类型进行进一步详述。
客户忠实交易数据库510适当地用来存储有关特定企业或股东的忠实信息(例如，频繁飞行者、频繁逗留者等)。在另一个实施例中，不使用忠实交易数据库510--而是把数据库510的功能结合到数据库502、510和514中，从而忠实交易变为由EDCU 112所跟踪的另一个交易形式。
客户未决交易数据库514适当地用来存储有关未直接使用智能卡120的已发生交易的信息。尤其是，持卡人可通过不涉及使用卡的渠道(例如，通过经由标准电话的口头请求)来启动诸如首选项改变等诸如此类的交易。在此情况下，如以下进一步详述，把该数据适当地存储在未决交易数据库514中。把此交易数据保留在数据库514中，直到与访问点120相结合来使用相应的智能卡120，这时以此新的信息来更新智能卡120本身(以及CODUS 106)。
更新数据库502适当地用来存储其它类型的交易，即不能分类成为更新、忠实或未决的交易。例如，如下详述，可利用更新数据库502来存储文件结构更新。
使用审计文件506来跟踪对更新数据库504、未决数据库514、数据库502及忠实数据库510(示例实施例中)所作的改变。在不使用分开的忠实数据库510的另一实施例中，审计文件506跟踪对数据库504、514和502所作的改变。因此，审计文件506有助于保证各文件中数据的完整性。
监管文件512提供对存储在各种数据库(包括EDCU 112--即，数据库502、504、510和514)内的数据进行编辑、更新、删除、同步和保证其不讹误所需的适当数据库软件。
数据管理模块516提供数据管理能力，以有助于智能卡120与数据库504、514、502和510之间以及这些数据库与其它系统(即，更新逻辑系统110和CODUS 106)之间的数据传递。因而，数据管理模块516起到了保证各系统之间数据的无缝传递的接口的作用。
网络经由适当的数据通信网络来连接以上结合较佳实施例所述的各种部件、数据库、模块和设备。这种网络可由使用各种常规数据协议(例如，TCP/IP协议)的各种物理连接构成。应理解，本系统部件之间的各个连接可以不相同。例如，从访问点102到安全支持客户服务器104可利用无线PCS网络，而从CODUS 106到各EDCU 112可利用因特网TCP/IP连接。
本领域内的技术人员将理解，各种硬件系统适用于实现本发明。可利用各种调制解调器、路由器、CPU、监视器、备份系统、电源和外设来实现本发明的目的。例如，在一个实施例中，利用在使用IBM MQ Server软件的OS/2环境中操作的Compaq Prolinea计算机来实现安全支持客户服务器104，其中各访问点包括独立式智能卡公用电话亭，在运行适当数据库软件包的Windows/NT环境中操作的Compaq Prolinea计算机上实现EDCU 112和CODUS 116。
个人化系统现在参考图9，在一较佳实施例中，个人化系统140适当地包括卡管理系统902、遗产(legacy)管理系统904、收集应用模块906、一个或多个数据库910、激活块908、公共卡个人化实用程序(utility)912(CCP)、服务局914、公共卡安全服务器916、密钥管理系统918和一个或多个密钥系统920。密钥管理系统918适当地包括数据库模块922、CID替换模块924、密钥系统926和密钥系统928。
CCP 912适当地与CODUS 106通信(如图1所示)，遗产管理系统904适当地与帐户维护142通信，该帐户维护142也构成与CODUS 106通信。
卡管理系统902适当地接收卡请求901并启动收集来自各种源的信息。一般，卡请求901由指定想要的卡特性组的各种请求信息构成。例如，这样的特性可包括想要的应用的清单(航空公司、宾馆、出租车等)；有关卡是新的还是已换发或已替换的指示；相应于想要应用的默认卡成员首选项的清单；有关卡成员的个人信息(姓名、地址等)；以及所需的安全级。
卡管理系统902适当地分析卡请求，对于已被发行人存储的信息，卡管理系统902向遗产卡管理系统904发送请求。对于不能作为遗产数据的信息，卡管理系统902把卡请求901的有关组成发送到收集应用模块906。在一示例实施例中，卡管理系统902对特定卡请求901选择最佳的智能卡物理特性。即，卡管理系统902根据例如想要的安全功能的存储器要求和计算复杂性等诸多因素来适当地确定待使用的智能卡芯片的合适类型。类似地，可选择最佳的智能卡操作系统(SCOS)。在另一实施例中，在卡请求901中指定智能卡芯片、操作系统等诸如此类。
遗产管理系统904用作有关持卡人过去与卡发行组织的关系(如果有的话)的信息的适当资源库。例如，持卡人可具有与发行组织有关的长期借或贷帐户(以标准压印的磁条卡为基础)，可把此信息有利地结合到所发行的卡中。
收集应用模块906适当构成接收来自卡管理系统902和遗产管理系统904的信息，然后与各数据库910相接来收集卡请求901中所指定的所有其余应用信息。最好，数据库910相应于提供在智能卡120中使用的智能卡应用的各合伙企业(例如，图1中的企业网络114)并与其相关联。因而，例如，包括宾馆应用请求的卡请求901将触发收集应用906来启动与合适宾馆数据库910的数据通信。然后，宾馆数据库910将返还指定构成带被请求应用的智能卡120所需的正确文件结构、访问条件(安全性)、默认值和其它数据的信息。与各数据库910的通信可通过任何适当的手段完成，例如，通过经由因特网、PSTN等诸如此类的数据通信，或者通过诸如简单电话请求等其它渠道。
激活块908适当地用来提供使卡成员在卡一发行就激活该卡的手段。例如，待发送到未被激活的卡成员的信用卡等卡的共同点是，需要卡成员调用(或联系)发行人处的自动系统，以便激活该卡。这通常是通过使用按键式电话输入卡号和其它适当的ID来实现的。在这点上，使用激活块908有助于被请求智能卡的这一功能，即指定特定卡是否需要此激活。
使用CCP 912来产生准确格式化的卡“对象”(即，操作系统、文件结构和待下载到卡120的所有其它可获得的卡数据)，然后把该信息传递到服务局914(用于创建智能卡)和CODUS 116(用于记录所发行的卡的状态)。CCP 912最好构成把卡对象的格式与待使用的特定卡发行系统(如下所述)相配合。因而，收集应用系统906可传递相对高级的功能请求，CCP 912可创建在该实现中所使用的特定“对象”。
个人化服务局914包括完成生产发行给各卡成员的智能卡的适当硬件和软件组成。为此，服务局914包括适当的智能卡“打印机”，以操纵至智能卡芯片的信息传递以及可能发生的任何常规压纹(embossing)或磁条写。例如，适当的智能卡打印机包括明尼苏达州的Datacard Corporation of Minnetonka所制造的9000系列和150i系列智能卡发行系统中的任一个。
公共卡安全服务器916(CCSS)适当地包括从各种企业密钥系统920中检索加密密钥信息所需的软件和硬件组成。在一示例实施例中，服务局914访问该信息，以完成个人化过程。更具体来说，通常是智能卡120包含与大范围的企业组织有关的许多不同应用的情况。本领域内的技术人员将理解，依据一组访问条件规则把对这些文件的写、更新和读有利地限定于特定的用户。使用有关用户已知的加密密钥来适当地实现这些访问条件。因而，服务局914(其任务是创建和提供卡文件结构)从头开始都不能使用执行此功能所需的密钥。如上所述，公知的系统已尝试通过在中央资料库中积累发行过程中所使用的密钥数据来解决这个问题，从而产生了不可接受的安全风险。然而，依据本发明的方法，允许卡发行时智能卡与各密钥系统920之间的通信，继而允许把密钥信息安全地下载到智能卡，而无需第三方的干预。使用CCSS 916，通过接收来自CCP 912的有关将在各卡中产生的各种应用的身份，然后在被服务局914提示时(或者，在服务局914的发行前)联系适当的密钥系统920来请求将在个人化期间发送到服务局914的密钥，从而有助于该过程。
密钥系统920包括能存储、产生和安全地发送有关特定企业的加密密钥的适当数据库系统。根据上下文，密钥管理系统918是一种等同于密钥系统920的系统，但它是由实行个人化系统的一方所“拥有”的。密钥产生功能可分布于CCSS和密钥系统920之间。即，可在CCSS 916处实时地产生密钥(依据从特定企业接收到的算法和密钥信息)，而不是在密钥系统920处产生。
本领域内的技术人员将理解，可使用现成的和/或客户开发的各种硬件和软件组成来实现图9中所示的功能块。可使用例如Codebase、dbase或诸如此类的任何适当数据库包来实现例如卡管理系统902所执行的数据库增强功能。
个人化过程适当地使用如以上结合图9所述的个人化系统，以有效地发行功能级范围广的大量智能卡。这一任务涉及以即时的方式获得和协调该系统所支持的各合伙企业的各卡成员的准确数据。因此，某些合伙企业可能想要限制专有数据的传播。该数据可包括例如结合智能卡访问条件所使用的专用密钥以及文件结构和卡成员个人数据。
现在参考图9和10，将描述示例的智能卡个人化过程。首先，在步骤1002中，系统接收智能卡请求。如上所述，适当地使用卡管理系统902来接收卡请求并启动收集来自各种源的信息。卡请求901适当地由指定想要的卡特征组的请求信息组成。例如，这些特征可包括想要的应用的清单(航空公司、宾馆、出租车等)；关于卡是新的还是已换发或已替换的指示；相应于想要应用的默认卡成员首选项的清单；有关卡成员的个人信息(姓名、地址等)；以及所需的安全级。
接着，在步骤1004，系统选择适用于给定卡请求901的智能卡类型和配置。该步骤适当地由卡管理系统902来执行。因而，卡管理系统902按照卡请求901中接收到的信息来检查许多因素(例如，存储器要求、想要的安全功能以及诸如此类)，然后从现有芯片库中选择适当的智能卡芯片。同样地，也可选择最佳的智能卡操作系统(SCOS)。
在步骤1006，获得卡成员信息。该步骤适当地由结合数据库910和忠实管理系统904操作的收集应用模块906来执行。更具体来说，最好把卡成员专用信息分为两类个人化系统已知的信息以及个人化系统未知的信息。已知信息一般包括通过与主管个人化系统的组织的过去关系而获取的数据。在此情况下，如同某些应用数据，最可能已知的将是诸如持卡人姓名、首选开帐单地址、标题、公司等某些数据。把这些信息适当地存储在一个或多个数据库(包括忠实管理系统904)中，也可从这些数据库中检索这些信息。作为步骤1006的一部分，系统(具体来说，模块908)最好确定卡是否需要激活。即，如上所述，通常要把一标签或诸如此类的加到卡上，从而通知卡成员该卡在使用前需要激活。激活通常涉及使用自动电话系统。关于特定卡是否需要激活的选择可基于许多因素，例如，人口统计、犯罪率的数字或有关卡成员的邮政编码号的邮政欺诈统计。
对于未包含在忠实管理系统904中的数据，收集应用模块906适当地与数据库910通信，以检索满足卡请求901所需的信息。该信息通常由文件结构信息(例如，DF和EF层次)、数据类型和长度以及特定企业赞助的应用的访问条件指定构成。例如，在卡请求901包括对航空公司应用的请求的情况下，收集应用模块906将联系相应于主管航空公司应用的企业的数据库，然后下载所有所需的文件结构信息。将对待装入智能卡的每个新的或修改的应用继续该过程。
在步骤1008，适当地使用CCP 912来产生一完整的卡成员数据集合。该数据集合或“卡对象”最终将被服务局914用来产生实际的智能卡。卡对象的形式可以变化。在一个实施例中，卡对象包括称为二进制大对象(“BLOB”)的对象。最好使卡对象与选中的智能卡配置(例如，如步骤1004中所指定的芯片类型和操作系统)、卡成员信息数据(在步骤1006中所收集的)的内容以及预定的智能卡“打印机”(即，用来在服务局914内产生完成的卡的设备)相配合。在以上步骤中使得该系统指定文件结构、数据类型等诸如此类，而其本身与如何把此结构编码到智能卡上或如何访问该数据无关。直到步骤1008，该系统仅需要开发预定的智能卡数据结构的相对高级的模型；除了CCP 912以外，这些指定基本上是隐形的。
在另一个实施例中，可在系统中前一点确定智能卡数据对象的各种细节。即，可在该系统的各部件之间分配CCP 912的功能。
在步骤1008中已产生了卡成员数据集合或卡对象，然后把该数据发送到CODUS 106(步骤1010)。这保证了DSS(尤其是CODUS 106)在个人化时具有智能卡状态的记录。然后，帐户维护系统142可立即获得该信息。
然后，把卡对象发送到服务局914和(如果需要)CCSS 916(步骤1012)。在步骤1014，获取所需的密钥，以允许服务局914产生完成的智能卡。如上所述，由CCSS 916以与发行过程同时或串行的方式来执行步骤1014。在一个实施例中，在使用适当地位于服务局914的发行系统来产生每张卡时，服务局914向CCSS 916询问有关的加密密钥。这些密钥是先前(即，步骤1012后)从密钥系统920和918检索到的或响应于来自服务局914的请求而实时检索到的。或者，密钥可由CCSS916检索并在把卡对象发送到服务局914前把该密钥发送到CCP 912。在任一种情况下，然后检索该一个或多个密钥以包含在步骤1008中所产生的卡对象中。
在步骤1016，发行实际的卡。服务局914使用正确的加密密钥适当地把卡对象下载到正确的卡硬件中。然后，依据常规的方法封装经初始化的智能卡并发放给有关的卡成员。
同步过程使用以上在各实施例中所述的动态同步系统来跟踪消费者的智能卡的“状态”。以智能卡中所使用的应用的结构和存储在这些应用中的各段数据来适当地表征智能卡的状态。
智能卡内管理应用和数据的方式是可以变化的。例如，可以“树状”结构把数据文件和目录存储在智能卡120中。即，智能卡文件结构适当地类似于公知的MS-DOS(微软磁盘操作系统)文件结构，其中把文件逻辑地组织在目录层次中。具体来说，在ISO 7816-4中定义了三种类型的文件专用文件(DF)、基础文件(EF)和主文件(MF)。主文件类似于MS-DOS的“根”目录，且包含所有其它的文件和目录。专用文件实际上是保存其它DF或EF的目录或“文件夹”。因而，MF可包含任意数目的DF，这些DF可以包含其它DF或不包含其它DF。基础文件用来存储用户数据，它们可存在于专用文件中或主文件中。较高级的DF(即，储存特定应用的DF)通常叫做应用专用文件(ADF)。然而，本发明的范围不限于这种类型的多功能卡。例如Multos或基于Java的卡等其它实现也适用于本发明的上下文。
可在多功能智能卡的情况下发生许多同步发行；实际上，三个例证的情况以某种频率重新发生，它们涉及1)更新交易，2)未决交易以及3)文件结构改变。现在将依据本发明依次描述这三种情况中的每一种。
例1更新交易持卡人通常对智能卡120进行局部改变，这种改变并不立即反映在可有利地利用该信息的所有数据库中。例如，假定在初始化时(即，在最初由个人化系统140发行卡时)，持卡人的智能卡120将被配置成反映吸烟的一般首选项(例如，一个文件包含被加密到吸烟/不吸烟的布尔字段)，但持卡人现在希望改变此一般首选项以反映不吸烟的首选项。
因此，现在参考依据本发明一个较佳实施例的图1、7，持卡人适当地把卡120插入常规定位的访问点102，在这里进行卡和/或卡读取器的验证(步骤802)。在一较佳实施例中，验证依据ISO 7816标准的有关章节而进行。
接着，持卡人使用适当的用户接口(由结合服务器104而工作的访问点102所提供)以便进行交易--即，请求改变首选项文件(步骤804)。此改变通常在智能卡120上立即反映。即，访问点102和/或服务器104将包括访问和更新智能卡120内有关文件所需的功能。
然后，服务器104中的通信路由器206按路由把交易传送到有关的一方，即EDSI 108或EDCU 112，分别相应于分支807和812。即，依据系统配置，可使待改变的文件与一特定企业相关，或可使待改变的文件与主管DSS的组织相关。依次描述这两种情况。
沿着图8中的分支807，把改变数据发送到有关的EDSI 108并存储在其中(步骤808)。然后，更新逻辑系统110把此改变请求传递到适当的EDCU 112--即，相应于特定EDSI的EDCU 112(步骤810)。把此信息适当地存储在相应的更新数据库504中。还把此信息分配给其它的EDSI。在本例中，更新逻辑系统110将识别将从知道持卡人的吸烟状态而受益的那些系统。这些系统可包括例如各种宾馆、出租车代理处等。
或者，按照图8中的分支805，首先可把数据存储在适当的EDCU处(步骤812)，然后如上所述分配给其它EDCU 112和EDSI 108。
然后把卡数据改变传递到CODUS 106。具体来说，更新与智能卡120有关的各字段和文件，以反映存储在更新数据库504中的改变。因而，CODUS 106内的信息与包含在智能卡120以及各EDCU 112和EDSI 108中的信息一致。在此传递后，清除更新数据库504中的相应改变(步骤818)。
例2未决交易持卡人可能通过不直接涉及智能卡120的渠道来进行改变或执行交易，从而在智能卡120中的数据和整个DSS各数据库中的数据之间产生了不一致。这样的情况可能发生在例如持卡人向宾馆打电话进行预定(而不是使用智能卡120在线地执行交易)时以及口头请求把其首选项从吸烟改为不吸烟时。
现在参考图1和7，在此情况下，相对于本发明的一个较佳实施例，持卡人首先通过不包括智能卡120的装置联系一企业--即，“无智能卡”交易(步骤702)。使用适当的接口(话音、小键盘等)，选择改变或交易(步骤704)。然后，把此改变就地存储在一特定企业网络114内和/或存储在EDSI 108内(步骤706)。
接着，在步骤708中，更新逻辑系统110按路由把该信息传送到相应的EDCU112，该EDCU 112位于未决数据库514中。此时，智能卡120本身忘记了这一改变。结果，如果持卡人启动有智能卡交易，则相应的企业有可能首先注意智能卡120数据结构中的首选项，如上所述，该企业很有可能得出错误的结论(例如，不管持卡人所表示的首选项而仍旧可能分派吸烟室)。
为了纠正这种情况，本发明在步骤710-712中提供了一种方法，通过该方法在下一次使用智能卡时更新该智能卡。即，在把智能卡插入访问点102并进行有关的验证(步骤710)后，系统询问未决数据库514，以确定是否已进行任何改变。如果有改变，则把有关信息下载到智能卡120(步骤712)。
在成功地完成以上信息传递后，把改变数据传递给CODUS 106，CODUS 106把该信息存储在卡对象数据库116内。最后，清除未决数据库514内的各个信息(步骤716)。
例3文件结构/应用改变除了上述有关数据的修改以外，在某些情况下还可能想要改变存储在智能卡120中的数据的结构。即，在智能卡的使用期限内，卡的发行者、合伙企业或持卡人自己可能想要通过增加该卡内所装的这组应用来扩展卡的功能。例如，把智能卡用于出租车和航空公司预定的持卡人可能还希望使用该卡来获取和支付宾馆预定。在此情况下，有关的宾馆股东可处理该持卡人的请求并安排把待增加的宾馆应用增加到智能卡的文件结构中。在另一例子中，智能卡的发行者可授权主动地增加一新的应用，例如借和/或贷应用。相反地，在某些情况下，还可适当地从卡中除去某些应用。
在一较佳实施例中，可以类似于图7所示过程的方式，在某种程度上依据哪一方提出该文件结构改变来操纵上述文件结构改变的类型。即，如步骤712，可把有关的文件结构改变信息存储在EDCU 112中(例如，数据库502中)，然后在结合在线交易使用该卡时把该信息传递到智能卡120(步骤710和712)。在增加或修改智能卡120上的文件结构后，对CODUS 106(具体来说，数据库116)进行类似的修改，以反映此改变。然后，从数据库502中清除改变信息(步骤716)。
虽然这里结合附图来描述本发明，但本领域内的技术人员将理解，本发明的范围不限于此。可对这里所讨论的各种部件和步骤的选择、设计和布局进行修改，而不背离所附权利要求书中所提出的本发明的范围。
权利要求
1.一种用于对智能卡进行个人化的系统，其中所述智能卡包括具有至少一种应用的卡对象，所述系统包括安全服务器；与所述至少一种应用有关的至少一个密钥系统，所述密钥系统构成与所述安全服务器通信并响应于来自所述安全服务器的请求而提供密钥；个人化实用程序，构成接收所述卡对象并与所述安全服务器通信；所述个人化实用程序还构成把所述密钥添加到所述卡对象中。
2.一种用于使有关智能卡的智能卡信息动态同步的系统，所述系统包括企业数据收集单元，构成储存有关所述智能卡的更新交易和未决交易；至少一个访问点，构成与所述智能卡和所述企业数据收集单元相接；耦合到所述企业数据收集单元的卡对象数据库系统，构成依据所述更新交易和所述未决交易存储所述智能卡信息。
3.如权利要求1所述的系统，其特征在于还包括卡管理系统，所述卡管理系统构成接受卡请求并把所述卡请求传送到所述个人化实用程序。
4.如权利要求3所述的系统，其特征在于还包括收集应用模块，构成与所述卡管理系统通信并依据所述卡请求收集来自至少一个数据库的应用信息。
5.如权利要求1所述的系统，其特征在于还包括服务局，构成与所述个人化实用程序和所述安全服务器通信，以产生智能卡。
6.如权利要求1所述的系统，其特征在于还包括激活块，构成确定智能卡是否需要持卡人作激活。
7.如权利要求4所述的系统，其特征在于还包括忠实管理系统，所述忠实管理系统构成与所述卡管理系统通信并响应于所述卡请求把忠实数据发送到所述收集应用模块。
8.如权利要求1所述的系统，其特征在于还包括卡对象数据库更新系统，构成与所述个人化实用程序通信并存储有关所述智能卡的所述卡对象。
9.如权利要求2所述的系统，其特征在于还包括耦合到至少一个企业数据同步接口的更新逻辑系统，所述更新逻辑系统构成在所述企业数据同步接口和所述企业数据收集单元之间安全地按路由传递卡信息，所述企业数据同步接口耦合到构成与所述访问点通信的企业网络。
10.如权利要求9所述的系统，其特征在于还包括安全支持客户服务器，构成与所述访问点通信，所述安全支持客户服务器还构成依据所述访问点现有的通信功能自适应地提供通信功能。
11.一种用于管理智能卡的个人化和同步的集成智能卡系统，其中所述智能卡包括具有至少一种应用的卡对象，所述系统包括安全服务器；与所述至少一种应用有关的至少一个密钥系统，所述密钥系统构成与所述安全服务器通信并响应于来自所述安全服务器的请求而提供密钥；个人化实用程序，构成接收所述卡对象并与所述安全服务器通信；所述个人化实用程序还构成把所述密钥添加到所述卡对象中；卡对象数据库更新系统，构成与所述个人化实用程序通信并存储有关所述智能卡的所述卡对象；企业数据收集单元，构成存储有关所述智能卡的更新交易和未决交易，所述企业数据收集单元构成与所述卡对象数据库更新系统通信；至少一个访问点，构成与所述智能卡和所述企业数据收集单元相接。
全文摘要
一种用于对分布式交易系统内的智能卡数据进行个人化和同步的系统,包括启动与智能卡(120)交易的智能卡访问点(102)、一个或多个企业数据收集单元(112)、安全支持客户服务器、卡对象数据库更新系统(106)、一个或多个企业数据同步接口(108)以及更新逻辑系统(110)。使用安全服务器来实现多功能智能卡的个人化,该安全服务器构成产生和/或检索智能卡发行过程的最后阶段内来自多个企业密钥系统的加密密钥信息。
文档编号G06Q40/00GK1308750SQ99808176
公开日2001年8月15日 申请日期1999年5月4日 优先权日1998年5月6日
发明者W·赫勒 申请人:美国快递旅游服务股份有限公司