專(zhuān)利名稱(chēng):資金過(guò)戶(hù)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明與使資金在電子金庫(kù)之間交換的資金過(guò)戶(hù)系統(tǒng)有關(guān)。這種系統(tǒng)例如可參見(jiàn)專(zhuān)利申請(qǐng)WO 91/16691����。
在上述專(zhuān)利說(shuō)明書(shū)所揭示的系統(tǒng)中,將集成電路卡(ICC)或“智能卡”用作承載電子金庫(kù)的應(yīng)用載體裝置(ACD)���。一個(gè)電子金庫(kù)是一個(gè)應(yīng)用程序�,該程序用來(lái)控制在ACD存儲(chǔ)器中對(duì)代表“電子現(xiàn)金”的資金記錄的存儲(chǔ)���。通過(guò)用接口裝置(IFD)連接兩個(gè)ACD����,相應(yīng)的金庫(kù)就連接在一起,進(jìn)行一系列的消息交換�,使得資金從一個(gè)金庫(kù)轉(zhuǎn)到另一個(gè)金庫(kù)。
顯然��,在一個(gè)資金過(guò)戶(hù)系統(tǒng)中防止欺詐的安全性是極其重要的����。ICC的制造過(guò)程和包含在制造ICC和編程中的日益復(fù)雜的保安措施實(shí)際上使得偽造這種智能卡成為不可能�。通過(guò)用密碼對(duì)在交易中交換的消息進(jìn)行編碼防止了截取和復(fù)制資金交接消息。盡管用現(xiàn)代密碼技術(shù)已經(jīng)達(dá)到極高的安全性�,但是理論上仍然有著特定密碼系統(tǒng)可能泄露的風(fēng)險(xiǎn),如果不是通過(guò)密碼分析����,那么或許通過(guò)破壞物理安全性,導(dǎo)致泄漏算法或密鑰��。
本發(fā)明的目的是提出一種可以改變現(xiàn)行的密碼系統(tǒng)的資金過(guò)戶(hù)系統(tǒng)�����。就管理上而言��,這種改變可以作為經(jīng)常性的預(yù)防措施,也可以用來(lái)對(duì)付對(duì)現(xiàn)行系統(tǒng)的破壞��。
按照本發(fā)明的一個(gè)方面��,所提出的資金過(guò)戶(hù)系統(tǒng)包括多個(gè)各有一個(gè)配置了一個(gè)資金存儲(chǔ)器的電子金庫(kù)的電子編程微處理器應(yīng)用載體裝置(ACD)���,這些ACD可以連接成對(duì)而使金庫(kù)互連�,以便在交易中能在金庫(kù)之間進(jìn)行資金交接��,所述資金交接是通過(guò)交換由一個(gè)密碼保安方案加密的消息來(lái)實(shí)現(xiàn)的�,所述系統(tǒng)還包括一個(gè)從老至新的密碼保安方案的序列,而每個(gè)金庫(kù)都被編程成配有所述序列中的至少兩個(gè)方案�����,這些金庫(kù)還被編程成在其被連接成對(duì)而進(jìn)行電子金庫(kù)之間的資金交換時(shí)�,用以識(shí)別和使用這對(duì)金庫(kù)的較老或最老的可使用的共同密碼保安方案,并且禁止在其中一個(gè)金庫(kù)中以后使用所述序列的被更換掉的任何較老的密碼保安方案���。采用這種安排���,一個(gè)第一金庫(kù)在遇到一個(gè)具有一個(gè)新的而不是老的密碼系統(tǒng)的第二金庫(kù)時(shí)就自動(dòng)地從老的密碼系統(tǒng)轉(zhuǎn)換到新的密碼系統(tǒng)。轉(zhuǎn)換后第一金庫(kù)將沒(méi)有可使用的老的系統(tǒng)��,而本身以后可以使其他金庫(kù)轉(zhuǎn)換到新的系統(tǒng)。因此����,通過(guò)用略去了老的密碼系統(tǒng)的新金庫(kù)對(duì)這群金庫(kù)進(jìn)行播種,新的密碼系統(tǒng)將以鏈?zhǔn)椒磻?yīng)方式傳播給所有的這些金庫(kù)�����。
最好每個(gè)金庫(kù)都具有一個(gè)存儲(chǔ)本金庫(kù)當(dāng)前使用的密碼保安方案的標(biāo)識(shí)符的存儲(chǔ)區(qū)���,作為資金交接交易的預(yù)備階段���,在一對(duì)連接的金庫(kù)之間交換所述方案標(biāo)識(shí)符�。
雖然可以設(shè)想金庫(kù)可以有三個(gè)或更多個(gè)可依次轉(zhuǎn)換的密碼系統(tǒng),但在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中��,每個(gè)金庫(kù)被編程成配有序列中的兩個(gè)相繼的密碼保安方案�����。
最好每個(gè)密碼保安方案都包括至少一個(gè)密碼算法和至少一個(gè)密鑰�����,而序列的各組元它們的算法和或它們的密鑰各不相同。上面提到的專(zhuān)利申請(qǐng)說(shuō)明了使用RSA加密系統(tǒng)�,這是一個(gè)非對(duì)稱(chēng)的公眾/專(zhuān)用密鑰系統(tǒng)。還說(shuō)明了用DES系統(tǒng)更換密鑰的情況����。本發(fā)明的加密方案可以相互不同,因?yàn)檫@些方案采用不同的諸如RSA或DES那樣的單個(gè)加密算法����,或者因?yàn)檫@些方案組合了不同系統(tǒng)的算法,或者因?yàn)槊荑€各不相同���。
序列中的相繼密碼方案不一定必需是不同的��?���?赡芟Mㄟ^(guò)使當(dāng)前的智能卡轉(zhuǎn)換到一個(gè)即使與老的相同的新的密碼方案來(lái)迫使當(dāng)前的智能卡逐漸報(bào)廢����。因此,在本發(fā)明的一個(gè)實(shí)施例中密碼保安方案序列中的后繼組元都是相同的�,只是分別與不同的方案標(biāo)識(shí)符相對(duì)應(yīng),方案標(biāo)識(shí)符存儲(chǔ)在金庫(kù)內(nèi)����,用來(lái)識(shí)別一對(duì)連接的金庫(kù)的最老的共同密碼方案和對(duì)禁止在其中一個(gè)金庫(kù)中使用序列任何較老的密碼保安方案進(jìn)行控制�。
此外���,選出的一些ACD可以各配有兩個(gè)編程成分別配有各自不同的密碼保安方案的電子金庫(kù)�,所選的ACD編程成在與第一個(gè)ACD連接時(shí)選擇其中的一個(gè)金庫(kù)���,使得那個(gè)ACD的金庫(kù)和所選金庫(kù)之間可以按照金庫(kù)密碼保安系統(tǒng)的一致性進(jìn)行交易���。
按照本發(fā)明的另一方面,可提出的資金過(guò)戶(hù)系統(tǒng)包括多個(gè)各有一個(gè)配置了一個(gè)資金存儲(chǔ)器的電子金庫(kù)的電子編程微處理器應(yīng)用載體裝置�,這些ACD可以連接成對(duì)而使金庫(kù)互連,以便在交易中能在金庫(kù)之間進(jìn)行資金交換��,所述資金交接是通過(guò)交換由一個(gè)密碼保安方案加密的消息來(lái)實(shí)現(xiàn)的��,其中選出的一些ACD各配有兩個(gè)編程成分別配有不同的各自密碼保安方案的電子金庫(kù)�����,所述的ACD編程成在與另一個(gè)ACD連接時(shí)選擇其中一個(gè)金庫(kù)��,使得那個(gè)ACD的金庫(kù)和所選金庫(kù)之間可以按照金庫(kù)密碼保安系統(tǒng)的一致性進(jìn)行交易�。采用這種安排,就能為一個(gè)特定的密碼方案或密碼方案序列提供一種截止策略�����。通過(guò)提供所選的這些金庫(kù)�����,例如配置給零售商和銀行�,利用雙重金庫(kù)智能卡(ACD),一個(gè)金庫(kù)具有老的密碼方案而另一個(gè)金庫(kù)具有新的密碼方案�����,能夠使“老的現(xiàn)金”與“新的現(xiàn)金”隔離�,同時(shí)允許(或許在一定期限內(nèi))用老的密碼方案繼續(xù)進(jìn)行交易。
下面將結(jié)合附圖對(duì)本發(fā)明進(jìn)行更詳細(xì)的說(shuō)明�����,在這些附圖中
圖1為按本發(fā)明所構(gòu)成的系統(tǒng)中的具有集成電路卡(ICC)那樣形式的應(yīng)用載體裝置的原理圖�;圖2為示出在裝載在圖1所示的ICC上的電子金庫(kù)中的存儲(chǔ)器分配情況的示意圖;圖3為示出在按本發(fā)明所構(gòu)成的系統(tǒng)的兩個(gè)金庫(kù)之間的資金過(guò)戶(hù)交易的示意圖�;以及圖4為示出在按本發(fā)明所構(gòu)成的系統(tǒng)中實(shí)施密碼截止的金庫(kù)結(jié)構(gòu)的原理圖。
應(yīng)該指出的是�����,本發(fā)明是在專(zhuān)利申請(qǐng)No.WO 91/16691中所揭示的資金過(guò)戶(hù)系統(tǒng)的改進(jìn)。該專(zhuān)利說(shuō)明書(shū)中對(duì)將ICC用作承載電子金庫(kù)的應(yīng)用載體裝置的情況作了說(shuō)明�。電子金庫(kù)在電可擦可編程只讀存儲(chǔ)器(EEPROM)中存有各種記錄,包括持有金額資金記錄��、歷來(lái)情況記錄等����。金庫(kù)可以通過(guò)接口裝置連接起來(lái),按照協(xié)議交換資金�����,包括交換密碼保安消息�����。因此�,可以從銀行提取電子現(xiàn)金、與例如零售商進(jìn)行脫機(jī)交易和償還銀行電子現(xiàn)金���。為了簡(jiǎn)明起見(jiàn),這種系統(tǒng)的許多技術(shù)細(xì)節(jié)在此不再重復(fù)����,有必要的話可參見(jiàn)上述專(zhuān)利的說(shuō)明書(shū)�。
圖1示出了一個(gè)呈現(xiàn)為ICC1形式的應(yīng)用載體裝置(ACD)�。ICC在一個(gè)表面上有一個(gè)接觸盤(pán),上面裝有幾個(gè)分開(kāi)的電接觸部���,這樣就可以接外電源向卡供電和為卡建立一個(gè)收發(fā)數(shù)據(jù)的串行通信信道����??òㄎ⑻幚砥?、EEPROM4和隨機(jī)存取存儲(chǔ)器5����。
EEPROM4存有一個(gè)操作系統(tǒng),它包括三個(gè)子系統(tǒng)(a)文件管理系統(tǒng)�����;(b)運(yùn)行期執(zhí)行系統(tǒng)���;以及(c)BIOS(二進(jìn)制輸入/輸出系統(tǒng))�。裝載時(shí)�,操作系統(tǒng)將一個(gè)電子金庫(kù)裝入EEPROM��。電子金庫(kù)是一個(gè)應(yīng)用系統(tǒng)�,也就是一個(gè)帶有有關(guān)數(shù)據(jù)文件的程序�。
圖2示出了一個(gè)電子金庫(kù)各元在EEPROM的一些區(qū)域中的分布情況的示意圖。金庫(kù)的操作受在6處的程序控制��,它具有有關(guān)數(shù)據(jù)文件�����,例如�����,在7的資金記錄�,在8的歷來(lái)交易記錄,以及在9的獨(dú)有的金庫(kù)標(biāo)識(shí)符��。安全性是通過(guò)使用一些密碼方案來(lái)保證的�����,這個(gè)金庫(kù)存有二個(gè)密碼方案�。方案A具有在10處的算法和在11處的一組密鑰,而方案B具有在12處的算法和在13處的一組密鑰。密碼文件14包括三個(gè)單字節(jié)段截止范圍15����;轉(zhuǎn)換級(jí)別16和轉(zhuǎn)換標(biāo)記17���。
截止范圍字節(jié)的值指示這個(gè)金庫(kù)存在的特定截止范圍�����。不同范圍的金庫(kù)不能相互通信��。因此����,如果希望系統(tǒng)的主要改變是從某一個(gè)截止日期起��,那么從這個(gè)截止日期起的所有新金庫(kù)都將在15處有一個(gè)新的截止范圍���。在一個(gè)特定的范圍中�����,規(guī)定了一個(gè)密碼方案序列���。例如��,在第一范圍中����,序列可以是A�、B、C����、D、E�����,其中A是這個(gè)序列中的第一個(gè)或最老的方案�,而E是最后一個(gè)或最新的方案。每個(gè)金庫(kù)包括序列中的兩個(gè)相繼的方案����。第一組金庫(kù)將包括方案A和B,這兩個(gè)方案可以分別稱(chēng)為這種金庫(kù)的初方案和終方案����。這組金庫(kù)可以叫做版1金庫(kù)��。轉(zhuǎn)移級(jí)別字節(jié)16存有例如“A”��,指示本金庫(kù)包括方案A和B�����,也就是說(shuō)本金庫(kù)為這個(gè)截止范圍內(nèi)的版1金庫(kù)。以一種下面將要說(shuō)明的方式���,金庫(kù)可以不可逆轉(zhuǎn)地從使用方案A轉(zhuǎn)換成使用方案B��。轉(zhuǎn)移標(biāo)記字節(jié)17的值指示是否已經(jīng)發(fā)生了這種轉(zhuǎn)換�����。因此����,通過(guò)讀字節(jié)15至17���,就可以確定這個(gè)金庫(kù)當(dāng)前使用的特定密碼方案����。
在兩個(gè)金庫(kù)X和Y為了一項(xiàng)資金過(guò)戶(hù)進(jìn)行通信時(shí),所使用的保安方案由以下規(guī)則確定i)如果X和Y的當(dāng)前方案相同�,就使用這個(gè)方案,不進(jìn)行方案改換���;ii)如果X和Y的當(dāng)前方案不同��,但是密碼序列中兩個(gè)相鄰的方案�����,而這兩個(gè)方案中的較早的那個(gè)是所屬金庫(kù)的初方案�,那么在使用它的初方案的金庫(kù)中作出永久性的轉(zhuǎn)換�,使得這個(gè)金庫(kù)以后一直使用它的終方案。這樣��,這個(gè)“終”方案就指定為當(dāng)前方案��,而這個(gè)金庫(kù)的始方案不再使用�����;iii)如果無(wú)論(i)或(ii)都不成立��,則這兩個(gè)金庫(kù)不能通信���,于是就不能進(jìn)行資金過(guò)戶(hù)�����,這兩個(gè)金庫(kù)的保安方案也不作改變����。
可以看到,版1金庫(kù)之間的資金過(guò)戶(hù)用方案A進(jìn)行����,因?yàn)檫@是這兩個(gè)金庫(kù)的最老的共同方案�。如果需要逐漸淘汰方案A,就發(fā)放出含有方案B和C的版2金庫(kù)�����。在一個(gè)版1金庫(kù)與一個(gè)版2金庫(kù)之間進(jìn)行資金過(guò)戶(hù)時(shí)�,規(guī)則(ii)就起作用,在版1金庫(kù)中作了不可逆轉(zhuǎn)的轉(zhuǎn)換����,以便今后一直使用方案B。于是���,這個(gè)版1金庫(kù)便成為改變它本身的媒體����,因?yàn)樵谒c另一個(gè)尚未轉(zhuǎn)換到方案B的版1金庫(kù)進(jìn)行資金過(guò)戶(hù)時(shí),規(guī)則(ii)又起作用�,使得那個(gè)版1金庫(kù)轉(zhuǎn)換到方案B。這種轉(zhuǎn)換是通過(guò)改變EEPROM中的轉(zhuǎn)移字節(jié)17來(lái)實(shí)現(xiàn)的��。
由于滲透過(guò)程�,版1金庫(kù)逐漸都轉(zhuǎn)換到方案B。如果廣泛發(fā)放版2(例如大量銷(xiāo)售)����,這種轉(zhuǎn)換將非常迅速,雖然在理論上說(shuō)一個(gè)金庫(kù)就足以觸發(fā)整個(gè)過(guò)程�。
從B轉(zhuǎn)換到C通過(guò)設(shè)立帶有方案C和D的版3以同樣方式實(shí)現(xiàn)。一旦設(shè)立了版3�����,也就確立了方案C�����,于是版1金庫(kù)便不能使用��。
注意,這種轉(zhuǎn)換與日期完全無(wú)關(guān)��。這是精心考慮的�,因?yàn)槿掌诓⒎潜仨氁罁?jù),也沒(méi)有用時(shí)鐘來(lái)管理所有的設(shè)備�。在發(fā)行含有一個(gè)方案的金庫(kù)時(shí),沒(méi)有必要考慮確立這個(gè)方案的壽命�����。
圖3示出了設(shè)立在零售商處的銷(xiāo)售點(diǎn)終端18�。終端18是一個(gè)接口裝置,持有包括零售商金庫(kù)19a的零售商ICC19�。圖1和2的顧客ICC1可以插入終端18本體上的一個(gè)槽內(nèi)���。在這個(gè)例子中��,顧客卡1具有一個(gè)帶有方案A和B的金庫(kù)1a���,而零售商卡19具有一個(gè)帶有方案B和C的金庫(kù)19a。
如在上面所提到的以前專(zhuān)利說(shuō)明書(shū)中所述�����,一個(gè)資金過(guò)戶(hù)事務(wù)包括以下三個(gè)基本的用密碼簽發(fā)的消息(a)請(qǐng)求發(fā)送 由收款(零售商)金庫(kù)發(fā)至付款(顧客)金庫(kù),請(qǐng)求同意的款額V����;(b)支付款額 由付款金庫(kù)發(fā)至收款金庫(kù),其中包括支付款額V的支付命令���;(c)支付確認(rèn) 由收款金庫(kù)發(fā)至付款金庫(kù)��,確認(rèn)收到款額V����。
這些都是支付消息���,如在以前的專(zhuān)利說(shuō)明書(shū)中所述��,都是用密碼簽發(fā)和驗(yàn)證的�����。
在發(fā)送這些支付消息的支付階段以前�,有一個(gè)在金庫(kù)之間交換有關(guān)金庫(kù)狀態(tài)的信息的支付前階段���。金庫(kù)狀態(tài)信息用明碼也就是非密碼發(fā)送���。在這個(gè)階段�����,一個(gè)金庫(kù)從另一個(gè)金庫(kù)接收到的數(shù)據(jù)是“對(duì)方金庫(kù)數(shù)據(jù)”���。
圖3還示出了顧客金庫(kù)1a與零售商金庫(kù)19a之間的交易的各消息的順序。線20上面的消息是以明碼發(fā)送的支付前消息���,而線20下面的消息是以密碼簽發(fā)的��。首先�,通過(guò)向雙方金庫(kù)發(fā)送詢(xún)問(wèn)命令�����,終端18得到含有金庫(kù)狀態(tài)信息的響應(yīng)�。包含在金庫(kù)狀態(tài)信息內(nèi)的是字節(jié)15至17的值�,這些字節(jié)一起指示每個(gè)金庫(kù)當(dāng)前是在序列A至E中的哪個(gè)密碼方案下工作的。
金庫(kù)1a接收到來(lái)自終端18的“支付啟動(dòng)付款方”消息��,從對(duì)方金庫(kù)數(shù)據(jù)中確定金庫(kù)19a當(dāng)前處在方案B�,從而得出它(指金庫(kù)1a)將轉(zhuǎn)移到方案B��。
金庫(kù)19a接收到來(lái)自終端18的“支付啟動(dòng)收款方”消息�,從對(duì)方金庫(kù)數(shù)據(jù)中知道金庫(kù)1a當(dāng)前處在方案A���,而將轉(zhuǎn)移到方案B�。金庫(kù)19a發(fā)送一個(gè)按方案B加密的�����、含有有關(guān)在它的EEPROM中字節(jié)15至17的值的信息的支付請(qǐng)求消息�����。金庫(kù)1a期望金庫(kù)19a會(huì)使用方案B���。于是���,它對(duì)使用方案B的支付請(qǐng)求的簽署進(jìn)行檢驗(yàn)。作為檢驗(yàn)發(fā)來(lái)的簽署的一部分��,它檢驗(yàn)金庫(kù)19a是否對(duì)將發(fā)生的轉(zhuǎn)移��,即金庫(kù)1a將轉(zhuǎn)移而金庫(kù)19a不轉(zhuǎn)移,有正確的理解�。這樣就可以消除任何不正常情況。例如�,不可能雙方金庫(kù)都轉(zhuǎn)移。如果指示出現(xiàn)了這種情況����,就中止這次交易,雙方金庫(kù)都不轉(zhuǎn)移����。如果支付請(qǐng)求簽署有效,金庫(kù)1a就通過(guò)設(shè)置在它的EEPROM中的字節(jié)17不可逆轉(zhuǎn)地轉(zhuǎn)移到方案B���。
然后���,金庫(kù)1a向金庫(kù)19a發(fā)送一個(gè)支付款額消息。這個(gè)消息是用密碼簽發(fā)的���,包括涉及字節(jié)15至17�����,表示金庫(kù)1a已經(jīng)轉(zhuǎn)移到方案B。金庫(kù)19a使用方案B檢驗(yàn)來(lái)自金庫(kù)1a的簽署。最后���,金庫(kù)19a向金庫(kù)1a發(fā)送一個(gè)用密碼簽發(fā)的支付確認(rèn)消息��,其中仍含有涉及它的字節(jié)15至17的信息����。應(yīng)該指出的是���,方案狀態(tài)信息首先是以明碼在雙方金庫(kù)之間進(jìn)行交換�����,然后加入所有三個(gè)用密碼簽發(fā)的基本支付階段消息�����。在這些用密碼簽發(fā)的消息中的信息都是在ICC內(nèi)部得出的�����,因此不能企圖欺詐性地迫使方案轉(zhuǎn)移在外部加以模擬����。
在收款方金庫(kù)的密碼方案需要進(jìn)行轉(zhuǎn)移時(shí),情況與上述類(lèi)似��,因?yàn)槭桥c一個(gè)具有較新的當(dāng)前方案的顧客金庫(kù)進(jìn)行交易�����。在這種情況下���,收款方金庫(kù)在接收到一個(gè)有效簽發(fā)的支付款額消息時(shí)實(shí)施轉(zhuǎn)移���。
雖然以上說(shuō)明的是依次轉(zhuǎn)移到后繼的密碼方案的情況,但是也可能出現(xiàn)必須加以截止的情況��。截止是一種廢除從來(lái)在系統(tǒng)中使用的所有密碼方案而以一個(gè)新的密碼方案或密碼方案序列重新開(kāi)始的策略�。例如,如果系統(tǒng)需要加以顯著改進(jìn)�,或者發(fā)現(xiàn)安全性受到嚴(yán)重破壞,為了迫使撤銷(xiāo)現(xiàn)有的ICC���,截止可能就是必需的�。
為了實(shí)現(xiàn)截止�����,在方案中要引入特種ICC。圖4示出了一種這樣的ICC的EEPROM21�。這種EEPROM具有兩個(gè)各帶兩個(gè)密碼方案的金庫(kù)22和23���。
在安全性受到破壞的情況下����,兩個(gè)金庫(kù)應(yīng)分別具有屬于一個(gè)“老”序列和一個(gè)“新”序列的方案�,這兩個(gè)序列應(yīng)完全不同和不相互交疊。然而�,如果系統(tǒng)不是由于密碼被泄露而是由于管理上的原因要采取截止措施,那么這兩個(gè)序列也可以是相同的����。但是,這兩個(gè)金庫(kù)屬于不同的截止范圍����,在字節(jié)15中具有各自的值。因此���,金庫(kù)的程序?qū)⒉徽J(rèn)可任何與另一個(gè)具有不同截止范圍值的金庫(kù)共同的密碼方案��,因?yàn)榻刂狗秶凳敲艽a方案標(biāo)識(shí)符的一部分���??梢?,這兩個(gè)金庫(kù)只能分別與相同截止范圍的金庫(kù)交接資金。在ICC21中選擇使用哪個(gè)金庫(kù)由一個(gè)從對(duì)方金庫(kù)數(shù)據(jù)中識(shí)別出顧客金庫(kù)中的字節(jié)15的值的例行程序作出����。
零售商卡配置了兩個(gè)不同范圍的金庫(kù)就可以在引入新卡的同時(shí)繼續(xù)與老金庫(kù)進(jìn)行交易。這段交疊時(shí)間可以加以限制��。這樣安排的結(jié)果是使在原范圍下頒發(fā)的電子現(xiàn)金與在新范圍下頒發(fā)的電子現(xiàn)金隔離�����,從而可以限制任何涉及系統(tǒng)整體的危險(xiǎn)��。
權(quán)利要求
1.一種資金過(guò)戶(hù)系統(tǒng)�����,它包括多個(gè)各有一個(gè)配置了一個(gè)資金存儲(chǔ)器的電子金庫(kù)的電子編程微處理器應(yīng)用載體裝置(ACD)����,這些ACD可以連接成對(duì)而使金庫(kù)互連,以便在交易中能在金庫(kù)之間進(jìn)行資金交接����,所述資金交接是通過(guò)交換由一個(gè)密碼保安方案加密的消息來(lái)實(shí)現(xiàn)的�����,所述系統(tǒng)還包括一個(gè)從老至新的密碼保安方案的序列����,而每個(gè)金庫(kù)都被編程成配有所述序列中的至少兩個(gè)方案�����,這些金庫(kù)還被編程成在連接成對(duì)進(jìn)行電子金庫(kù)之間的資金交接時(shí)識(shí)別和使用這對(duì)金庫(kù)的較老或最老的可使用的共同密碼保安方案����,并且禁止在其中一個(gè)金庫(kù)中以后使用所述序列的被交換掉的任何較老的密碼保安方案���。
2.一種如在權(quán)利要求1中所提出的資金過(guò)戶(hù)系統(tǒng)����,其中所述每個(gè)金庫(kù)都有一個(gè)存儲(chǔ)本金庫(kù)當(dāng)前使用的密碼保安方案的標(biāo)識(shí)符的存儲(chǔ)區(qū)���,作為資金交接交易的預(yù)備階段����,在一對(duì)連接的的金庫(kù)之間交換所述方案標(biāo)識(shí)符。
3.一種如在任何以上權(quán)利要求中所提出的資金過(guò)戶(hù)系統(tǒng)�����,其中所述每個(gè)金庫(kù)都編程成配有所述序列中的兩個(gè)相繼的密碼保安方案����。
4.一種如在任何以上權(quán)利要求中所提出的資金過(guò)戶(hù)系統(tǒng),其中所述每個(gè)密碼保安方案都包括至少一個(gè)密碼算法和至少一個(gè)密鑰�����,而所述序列的各組元它們的算法和/或它們的密鑰各不相同����。
5.一種如在任何以上權(quán)利要求中所提出的資金過(guò)戶(hù)系統(tǒng),其中所述密碼保安方案序列的相繼各組元除了分別與不同的方案標(biāo)識(shí)符相對(duì)應(yīng)外都相同��,所述方案標(biāo)識(shí)符存儲(chǔ)在金庫(kù)內(nèi)����,用來(lái)識(shí)別一對(duì)連接的金庫(kù)的最老的共同密碼方案和對(duì)在其中一個(gè)金庫(kù)中禁止使用所述序列的任何較老的密碼保安方案進(jìn)行控制。
6.一種如在任何以上權(quán)利要求中所提出的資過(guò)戶(hù)系統(tǒng),其中選出的一些ACD各配有兩個(gè)編程成分別配有不同的各自密碼保安方案的電子金庫(kù)����,所選的ACD編程成在與另一個(gè)ACD連接時(shí)選擇其中的一個(gè)金庫(kù),使得那個(gè)ACD的金庫(kù)和所選金庫(kù)之間可以按照金庫(kù)密碼保安系統(tǒng)的一致性進(jìn)行交易�。
7.一種資金過(guò)戶(hù)系統(tǒng),它包括多個(gè)各有一個(gè)配置了一個(gè)資金存儲(chǔ)器的電子金庫(kù)的電子編程微處理器應(yīng)用載體裝置(ACD)�����,這些ACD可以連接成對(duì)而使金庫(kù)互連�����,以便在交易中能在金庫(kù)之間進(jìn)行資金交接���,所述資金交接是通過(guò)交換由一個(gè)密碼保安方案加密的消息來(lái)實(shí)現(xiàn)的,其中選出的一些ACD各配有兩個(gè)編程成分別配有不同的各自密碼保安方案的電子金庫(kù)���,所選的ACD編程成在與另一個(gè)ACD連接時(shí)選擇其中一個(gè)金庫(kù)��,使得那個(gè)ACD的金庫(kù)和所選金庫(kù)之間可以按照金庫(kù)密碼保安系統(tǒng)的一致性進(jìn)行交易���。
全文摘要
本發(fā)明所提出的使用集成電路卡在脫機(jī)交易中交接電子現(xiàn)金的資金過(guò)戶(hù)系統(tǒng)采用密碼保安消息協(xié)議。各卡分別裝有一個(gè)序列中的兩個(gè)方案,而通過(guò)卡間的交互作用可以確定和使用卡所共享的最老的方案,使得一個(gè)卡在共同方案是它的第二方案時(shí)不可逆轉(zhuǎn)地轉(zhuǎn)換方案。這樣,整個(gè)系統(tǒng)就能轉(zhuǎn)換到一個(gè)新的方案�。
文檔編號(hào)G09C3/00GK1194050SQ9619649
公開(kāi)日1998年9月23日 申請(qǐng)日期1996年6月28日 優(yōu)先權(quán)日1995年6月30日
發(fā)明者D·B·埃弗里特, J·瓦伊納 申請(qǐng)人:蒙德克斯國(guó)際有限公司