專利名稱:電子錢幣保險柜的制作方法
技術(shù)領域:
本發(fā)明一般涉及用于集體管理以電子信息形式表現(xiàn)錢幣值的電子錢幣的一種電子錢幣保險柜,更具體地涉及使用IC卡用于財務處理的電子錢幣保險柜。
按照財務處理例如買賣的安全和方便的觀點,最近注意力放在所謂電子錢幣上,它取代常規(guī)紙幣、硬幣等而將電子數(shù)字數(shù)據(jù)用作付款結(jié)帳手段。由于此原因,銀行和類似機構(gòu)需配備電子錢幣保險柜以便集體管理電子錢幣,因此希望提供高度可靠的保險柜。
在使用常規(guī)電子錢幣結(jié)帳時,為保證安全性,例如在IC卡中存放了代表電子錢幣的數(shù)字數(shù)據(jù),用于轉(zhuǎn)撥電子錢幣的程序和用于轉(zhuǎn)帳的加密處理電路。因此,在財務中,在用戶IC卡及與其具有財務關(guān)系的另一方的IC卡之間實現(xiàn)電子錢幣的直接數(shù)據(jù)交換。當客戶使用取款終端將電子錢幣自銀行一端取出轉(zhuǎn)入IC卡時,在兩個IC卡之間也有電子錢幣交換。在此情況下,在客戶IC卡和銀行一側(cè)IC卡之間也必須實現(xiàn)電子錢幣的直接交換。由于此原因,銀行一側(cè)所具有的IC卡多于在同一時間內(nèi)希望實現(xiàn)財務交往的客戶數(shù),因此允許對客戶取款要求進行響應,在客戶IC卡和銀行IC卡之間實現(xiàn)電子錢幣的直接交換。為滿足以此方式與客戶IC卡交換電子錢幣的需要,迄今已使用了在其中存放多個IC卡的電子錢幣保險柜。
然而,在其中存放多個IC卡的電子錢幣保險柜具有以下缺點。首先是加密處理的工作變換問題。在電子錢幣財務操作中,當轉(zhuǎn)撥電子錢幣時完成加密處理,而由于技術(shù)發(fā)展及其它原因加密技術(shù)功能一年比一年弱。由于此原因,一般每隔幾年就需變換一次加密處理。然而,在使用IC卡的電子錢幣保險柜中存放了數(shù)十至數(shù)千張IC卡,以致每當變換加密處理時必須替換多張IC卡。
接著就產(chǎn)生了IC卡可靠性的問題。現(xiàn)用IC卡的可靠性(失誤率)為100節(jié)(100次/109時)的數(shù)量級。假設連續(xù)地使用1,000張IC卡,則失誤頻率為109/(100×1,000)=10,000時(約1.2年)這意味著該值大約每年丟失一次。
此外,還產(chǎn)生IC卡使用壽命的問題?,F(xiàn)用IC卡的可重寫次數(shù)為100,000數(shù)量級,因此假如每分鐘有一張IC卡用于財務處理,它的使用壽命為100,000/60(分/時)=1,667時(約69日)這意味著IC卡必須大約每兩個月替換一次。
根據(jù)本發(fā)明提供的電子錢幣保險柜能夠簡單地對付加密處理的變換及能完全保證可靠性和耐用性。
本發(fā)明的電子錢幣保險柜包括一個非易失性存儲器,一個命令控制單元和一個通信控制單元。在該非易失性存儲器中安排有對應于眾多IC卡的眾多IC卡存儲單元,在這些IC卡中存放著以電子信息形式表現(xiàn)錢幣值的電子錢幣。該命令控制單元并行地執(zhí)行分送至安排于非易失性存儲器中的眾多IC卡存儲單元的命令,從而邏輯地實現(xiàn)控制眾多IC卡的功能。當從主設備收到單個或多個命令時,通信控制單元并行地形成在數(shù)量上對應于命令并伸達至命令控制單元的通信路徑,從而邏輯地實現(xiàn)與眾多IC卡通信的功能。由于以此方式使用單個命令控制單元和非易失性存儲器實現(xiàn)眾多IC卡的功能,因此當為保證電子錢幣安全而變換加密處理時可容易地完成變換而不需眾多物理IC卡的替換工作。
非易失性存儲器包括一個由電池供電的存儲器,例如靜態(tài)RAM(SRAM)。由于此原因,與使用閃爍存儲器的常規(guī)IC卡相比較,使用壽命可顯著延長。本發(fā)明的電子錢幣保險柜還具有多個錢盒,每個錢盒所具有的多重配置中為通信控制單元提供了眾多值控制單元,眾多值控制單元中的每一個包括非易失性存儲器和一個命令控制單元的組合。通信控制單元包括一個多重比較控制單元,它允許在眾多值控制單元中提供的命令控制單元對主設備的命令作出響應而完成對IC卡存儲單元的相同處理,該多重比較控制單元將眾多處理結(jié)果加以比較以供判斷用。與存放IC卡的情況相比較,通過這個方式對本發(fā)明的電子錢幣保險柜進行多重處理,可以顯著地提高可靠性。
當將來自眾多值控制單元的處理結(jié)果進行比較并檢測到它們?nèi)急舜酥睾蠒r,該多重比較控制單元判斷為正常結(jié)束并將處理結(jié)果通知主設備。當將來自眾多值控制單元的處理結(jié)果進行比較并檢測到部分不重合時,該多重比較控制單元將彼此重合的處理結(jié)果通知主設備。當將來自眾多值控制單元的處理結(jié)果進行比較并檢測到部分不重合(也即一個處理結(jié)果與其它處理結(jié)果不重合)時,該多重比較控制單元禁止對產(chǎn)生不重合的值控制單元進行控制(新的財務處理)。當將來自眾多值控制單元的處理結(jié)果進行比較并檢測到部分不重合時,該多重比較控制單元禁止由主設備對包含產(chǎn)生不重合的值控制單元的錢盒進行控制,然后在主設備控制下,將存放在反常錢盒的非易失性存儲器中的電子錢幣轉(zhuǎn)撥至其它正常錢盒的非易失性存儲器中。通過此種方式檢測到多重配置中一部分缺陷并將電子錢幣轉(zhuǎn)撥至其它錢盒,可預先防止由于多重失誤而導致的電子錢幣丟失。此外,由于將反常錢盒的非易失性存儲器中存放的電子錢幣轉(zhuǎn)撥至其它正常錢盒的非易失性存儲器中,因此有可能將出現(xiàn)反?,F(xiàn)象的錢盒替換和修理。
當將來自眾多值控制單元的結(jié)果進行比較并檢測到它們?nèi)急舜瞬恢睾匣驒z測到至少三種不同處理結(jié)果時,該多重比較控制單元判斷為反常結(jié)束并將處理故障通知主設備。此處從眾多值控制單元的處理結(jié)果中檢測到至少三種不同處理結(jié)果的情況意味著下列情況例如獲得五個處理結(jié)果,其內(nèi)容為(A,A,C,B,B)。當將來自眾多值控制單元的處理結(jié)果進行比較并檢測到它們?nèi)急舜瞬恢睾匣驒z測到至少三種不同處理結(jié)果時,該多重比較控制單元判斷為反常結(jié)束,將多重出錯信息通知主設備并將出現(xiàn)反常的錢盒自待處理的物體中斷開。當將來自眾多值控制單元的處理結(jié)果進行比較并檢測到它們?nèi)急舜瞬恢睾匣驒z測到至少三種不同處理結(jié)果時,該多重比較控制單元令使眾多值控制單元完成自檢以判斷正確處理結(jié)果,將正確處理結(jié)果和多重出錯信息通知主設備并將出現(xiàn)反常的錢盒自待處理的物體中斷開。通過此種自檢判斷正確性后,可盡可能地保證處理數(shù)據(jù)的有效性。多重配置例如可為三重配置。更具體地說,它還包括眾多錢盒,每個錢盒具有三重配置,其中為通信控制單元提供三個值控制單元,三個值控制單元中每一個包括非易失性存儲器和一個命令控制單元的組合。通信控制單元包括一個三重比較控制單元,它允許眾多值控制單元中的命令控制單元對來自主設備的命令作出響應而為IC卡存儲單元完成相同處理,該三重比較控制單元將眾多結(jié)果進行比較以供判斷用。此三重配置的細節(jié)與多重配置相同。
參照附圖所作詳細描述將使本發(fā)明的上述和其他目的、特征和優(yōu)點更為明顯。
圖1是使用根據(jù)本發(fā)明的保險柜的電子錢幣系統(tǒng)的配置圖;圖2是本發(fā)明的電子錢幣保險柜和錢幣服務器的外觀圖;圖3是圖2的電子錢幣保險柜的內(nèi)部結(jié)構(gòu)圖;圖4是圖3保險柜內(nèi)錢盒的電路框圖;圖5是圖3保險柜內(nèi)錢盒所用程序模塊的框圖;圖6A和6B是圖3保險柜內(nèi)錢盒的控制功能框圖;圖7是使用本發(fā)明電子錢幣保險柜的圖1中電子錢幣系統(tǒng)的處理序列的闡述圖;圖8A和8B是由圖1錢幣服務器執(zhí)行的電子錢幣的取款操作流程圖;圖9A和9B是伴隨著圖8A和8B的錢幣服務器取款操作而執(zhí)行的本發(fā)明電子錢幣的控制處理流程圖;圖10是本發(fā)明的其它電子錢幣控制處理流程圖;圖11是伴隨著圖10電子錢幣控制處理的錢幣服務器取款操作流程圖;圖12是包括兩個電子錢幣保險柜的中規(guī)模電子錢幣系統(tǒng)框圖;以及圖13是其最大配置包括32個電子錢幣保險柜的大規(guī)模電子錢幣系統(tǒng)框圖。
圖1是其中使用了根據(jù)本發(fā)明的電子錢幣保險柜的電子錢幣系統(tǒng)的系統(tǒng)配置圖。銀行11側(cè)配備了一個電子錢幣保險柜10,一個錢幣服務器18,一個主機20和一個路由器24。電子錢幣保險柜10通過LAN22-1和22-2連至錢幣服務器18,而主機20和卡管理服務器21連至LAN26-1和26-2。錢幣服務器18通過LAN26-1和26-2連至路由器24。銀行11側(cè)的路由器24連至外部網(wǎng)絡28,后者上面還連了一個取款終端30以便用戶34使用所擁有的IC卡32與銀行11側(cè)的錢幣服務器18處理電子錢幣帳務。用戶34使用所擁有的IC卡32通過取款終端30按下列過程實現(xiàn)財務操作。
Ⅰ.用戶34將IC卡32放于取款終端30上并輸入財務碼,例如一個電子錢幣取款命令,一個編碼號和一個數(shù)額。
Ⅱ.取款終端30提出要求通過錢幣服務器18與電子錢幣保險柜10進行財務往來。
Ⅲ.電子錢幣保險柜10對來自取款終端30的財務要求作出響應,對取款終端30提出證實請求,以便確證用戶34的IC卡32的正確性。
Ⅳ.取款終端30對證實請求作出響應,返回一個標志用戶34 IC卡32正確性的證實響應。
Ⅴ.當電子錢幣保險柜10自取款終端30收到證實響應時,它完成證實批準并通知錢幣服務器18。
Ⅵ.錢幣服務器18向卡管理服務器21要求一個帳號等,要求將IC卡32號轉(zhuǎn)換為用戶34所擁有的銀行帳號。
Ⅶ.卡管理服務器21對來自錢幣服務器18的帳號等要求做出響應,返回一個作為轉(zhuǎn)換結(jié)果的用于標志帳號等的響應。
Ⅷ.錢幣服務器18向主機20發(fā)送一個財務電報以更新分戶帳。
Ⅸ.主機20根據(jù)來自錢幣服務器18的財務電報將分戶帳更新并向錢幣服務器18返回一個標志結(jié)果的財務電報。
Ⅹ.錢幣服務器18向電子錢幣保險柜10提出值轉(zhuǎn)撥的要求。
Ⅺ.在電子錢幣保險柜10的IC卡與用戶34的IC卡之間實現(xiàn)值轉(zhuǎn)撥,即電子錢幣轉(zhuǎn)撥。
Ⅻ.最后,當電子錢幣保險柜10完成轉(zhuǎn)撥后,取款終端30自錢幣服務器18接收一個伴隨著財務操作完成的財務確證。
使用IC卡32的電子錢幣系統(tǒng)中所用的本發(fā)明的這類電子錢幣保險柜10具有例如錢盒12-1和12-2。錢盒12-1和12-2中每一個都配備有32塊邏輯IC卡14,其中每塊卡14通過軟件邏輯地實現(xiàn)與用戶34所擁有IC卡32相同的功能。
圖2闡述本發(fā)明電子錢幣保險柜10與錢幣服務器18在一起的外觀。本發(fā)明的電子錢幣保險柜10與錢幣服務器18一起提供,它包括一個主體35,一個前門36和一個后門40。前門36裝了一個數(shù)碼鎖38,適用于通過設置預定數(shù)碼而開啟前門,后門40裝了一個圓柱鎖。
圖3是圖2中電子錢幣保險柜10的內(nèi)部結(jié)構(gòu)剖面圖。電子錢幣保險柜10的主體35由一塊其厚度例如為13毫米的鐵板所覆蓋。前門36裝于主體35前面而后門40裝于它的后面。在此實施例的情況下,主體35內(nèi)部按最大配置容納八個錢盒12-1至12-8。一塊后面板42用作錢盒12-1至12-8的公共電路板。在后面板42之后有風扇單元44,錢盒12-1至12-8中的每一個都有兩個風扇。在主體35底部還有雙重電源單元46-1和46-2及類似的供LAN用的雙重插座48-1和48-2。
圖4闡述代表存放于圖3的電子錢幣保險柜10中的七個錢盒的錢盒12-1的電路框圖。錢盒12-1包括雙重通信控制單元50-1和50-2以及三重值控制單元60-1,60-2和60-3。在通信控制單元50-1和50-2中的例如通信控制單元50-1包括一個CPU52-1,一個ROM54-1,一個RAM56-1和一個LAN控制電路58-1。LAN控制電路58-1具有例如100Mbit/s 100BASE-TX技術(shù)性能,并使用TCP/IP協(xié)議通過圖3保險柜中提供的插座48-1和48-2與圖1的錢幣服務器18進行通信。CPU52-1用作處理器,用于對LAN控制電路58-1和三重值控制單元60-1至60-3進行控制。CPU52-1所用程序存儲于ROM54-1中,而RAM56-1用作工作存儲器。通信控制單元50-1的配置和功能適用于通信控制單元50-2。三重值控制單元60-1至60-3中每一個所具有的電路框圖如值控制單元60-1中所示一樣。值控制單元60-1包括一個CPU62-1,一個ROM64-1,一個RAM66-1,一個由電池72-1供電用作非易失性存儲器的RAM68-1,一個類似地由電池74-1供電用作非易失性存儲器的RAM70-1,一個輸入寄存器76-1,一個輸出寄存器78-1和一個加密處理電路80-1。使用輸入寄存器76-1和輸出寄存器78-1可在值控制單元60-1與通信控制單元52-1或通信控制單元50-2之間實現(xiàn)數(shù)據(jù)發(fā)送和接收。加密處理電路80-1是一個用于完成稱作加密公用鑰的RSA加密處理的電路,它使用最大1028位密鑰(e)和一個參量(k)根據(jù)y=x**e(modk)完成自1028位數(shù)據(jù)x至數(shù)據(jù)y的轉(zhuǎn)換。此加密處理阻止電子錢幣的重復和其它誤操作。自然,也可能由加密處理電路80-1使用其它加密處理,例如加密處理開發(fā)和研制中的橢圓曲線加密。通過使用高性能CPU62-1,也可能由CPU62-1的軟件單獨完成加密處理而不必使用專用電路作為加密處理電路80-1。由電池74-1供電的用作非易失性存儲器的RAM70-1中存放著加密的電子錢幣信息,財務記錄,出錯信息等。至于SRAM68-1中存放的電子錢幣信息,在存儲區(qū)中安排著對應于值控制單元60-1中邏輯地實現(xiàn)的IC卡數(shù)量的邏輯IC卡存儲單元,例如對應于32個邏輯IC卡的32個邏輯IC卡存儲單元。以此方式,具有存在其中的邏輯IC卡的眾多卡存儲單元的RAM70-1使用基于C-MOS技術(shù)的靜態(tài)RAM(SRAM),因而即使電子錢幣保險柜10的電源斷開,由于只需很小電流用于維持存儲器內(nèi)容,因此使用單個電池如電池74-1即可保證維持存儲器內(nèi)容達十年或更長時間。在通常如RAM70-1那樣使用兩塊128K×9位靜態(tài)RAM的情況下,所需維持電流為16μA數(shù)量級。在由具有1,900mAH容量的鋰電池供電時,其使用壽命為1,900mAH/(0.016μA×24時×365日)=13.6年與使用閃爍存儲器的常規(guī)IC卡的大約兩個月的使用壽命相比較,這是顯著地延長了的使用壽命。由電池72-1供電的用作非易失性存儲器的RAM68-1內(nèi)存放著一個用于確定一個將電子錢幣加密的密鑰的安全程序和一個密鑰處理過程。雖然電源斷開時保持存儲器內(nèi)容的條件與存放著電子錢幣信息的RAM70-1一樣,但當檢測到反常情況,例如電子錢幣保險柜10的前門36或后門40的不適當開啟時,能自動刪除RAM68-1的內(nèi)容。這種出現(xiàn)反常情況時刪除RAM68-1內(nèi)容的功能有可能防止保密用密鑰或安全程序的泄漏。CPU62-1是一個用于全部處理值控制單元60-1的處理器。操作系統(tǒng)和安全程序以外的其它程序存放于ROM64-1中,而RAM66-1用作工作存儲器。這一值控制單元60-1的配置和功能與其它值控制單元60-2和60-3相同。
圖5闡述圖4的雙重通信控制單元50-1和50-2及三重值控制單元60-1至60-3的軟件配置。如通信控制單元50-1中所示,雙重通信控制單元50-1和50-2各包括一個LAN控制模塊82和一個三重比較控制模塊84,其中模塊82是用于提供TCP/IP協(xié)議控制的一個程序,而模塊84是一個程序,通過將來自用作主設備的錢幣服務器的命令同時送至三個值控制單元60-1至60-3,提供對處理結(jié)果的比較控制。如值控制單元60-1以示范方式所示,三重值控制單元60-1至60-3各包括一個ISO協(xié)議控制模塊88,它是一個提供與IC卡的國際標準ISO 7816相符合的IC卡邏輯協(xié)議的程序,單元60-1至60-3所包括的邏輯IC卡過程90-1至90-32用于最多可提供32塊電子錢幣IC卡功能,以及單元60-1至60-3所包括的操作系統(tǒng)(OS)86用于并行地執(zhí)行眾多過程。如邏輯IC卡過程90-1以示范方式所示,邏輯IC卡過程90-1至90-32各包括一個作為控制電子錢幣專用的命令/響應的程序的電子錢幣協(xié)議控制模塊92,一個作為用于控制圖4加密處理電路80-1以完成電子錢幣數(shù)據(jù)的加密/解密操作的程序的加密處理模塊94以及一個作為用于自/向由電池供電的RAM68-1中安排的最多32塊IC卡存儲單元輸入/輸出電子錢幣數(shù)字數(shù)據(jù)的程序的值輸入/輸出控制模塊96。
圖6A和6B是在圖3的錢盒12-1和12-2的例子中由圖4硬件配置和圖5軟件配置所實現(xiàn)的本發(fā)明電子錢幣保險柜的功能框圖。錢盒12-1配備有雙重通信控制單元50-1 50-2,如通信控制單元50-1以示范方式所示,單元50-1和50-2各包括一個LAN控制電路82和一個三重比較控制單元84。在此情況下,LAN控制電路82提供的功能對應于由圖5LAN控制模塊82實現(xiàn)的LAN控制電路58-1的控制功能。三重比較控制單元84是圖5的三重比較控制模塊84本身。與這種通信控制單元50-1和50-2相反,三重值控制單元60-1至60-3配備有命令控制單元98-1、98-2和98-3及非易失性存儲器100-1、100-2和100-3的配對。以命令控制單元98-1示范為例,命令控制單元98-1至98-3各配備有最多32塊IC卡控制單元104-1至104-32。這些IC卡控制單元104-1至104-32由圖5的邏輯IC卡過程90-1至90-32所實現(xiàn)。非易失性存儲器100-1配備有最多32個IC卡存儲單元110-1至110-32。非易失性存儲器100-1由圖4中由電池74-1供電的RAM70-1實現(xiàn)。命令控制單元98-1中提供的IC卡控制單元104-1至104-32和非易失性存儲器100-1中提供的IC卡存儲單元110-1至110-32的配對實現(xiàn)最大配置中32塊邏輯IC卡的功能。值控制單元60-1的配置適用于其它值控制單元60-2和60-3。與錢盒12-1相同,錢盒12-2也配備了雙重通信控制單元50-1和50-2及三重值控制單元60-1至60-3,它們的配置和功能與錢盒12-1相同。根據(jù)通過LAN控制電路82自作為主設備的錢幣服務器送來的命令,錢盒12-1的通信控制單元50-1中提供的三重比較控制單元84在值控制單元60-1至60-3中的每一個單元中指定一對IC卡控制單元和IC卡存儲單元,以使它們執(zhí)行相同的控制處理,以及根據(jù)響應結(jié)果按多數(shù)判定準則而采取行動。例如,三重比較控制單元84令使值控制單元60-1的IC卡控制單元104-1和IC卡存儲單元110-1配對,使值控制單元60-2的IC卡控制單元106-1和IC卡存儲單元112-1配對,使值控制單元60-3的IC卡控制單元108-1和IC卡存儲單元114-1配對,并根據(jù)同一命令執(zhí)行控制處理以獲取處理結(jié)果。
圖7闡述使用本發(fā)明電子錢幣保險柜10的電子錢幣系統(tǒng)中財務處理的控制序列,在該財務處理中例如用戶34使用圖1的取款終端30自電子錢幣保險柜10取出電子錢幣放入IC卡32。當用戶將IC卡32放入取款終端以便按照預定財務程序完成操作處理時,自取款終端側(cè)送至錢幣服務器18一條用于提取電子錢幣的IC命令120。當錢幣服務器18收到用于提取電子錢幣的IC命令120時,它通過IC命令120的現(xiàn)金取款數(shù)選擇合適的錢盒號和邏輯IC卡號和電子錢幣保險柜10的每個錢盒內(nèi)邏輯IC卡的結(jié)存,將錢盒號和邏輯IC卡號作為首部信息122加至IC命令120,并將它送至由電子錢幣保險柜10的錢盒號所規(guī)定的錢盒的通信控制單元50中。根據(jù)自錢幣服務器18收到的首部信息122和IC命令120,通信控制單元50同時將首部信息122-1至122-3和IC命令122-1至122-3的配對分別送至三個值控制單元60-1至60-3。三個值控制單元60-1至60-3的圖6中的命令控制模塊98-1至98-3,更具體地說,ISO協(xié)議控制模塊88將收到的IC命令120-1至120-3加以解釋并與普通IC卡相同地完成處理。也即,在普通IC卡的情況下,以電子錢幣數(shù)字數(shù)據(jù)形式表現(xiàn)的值信息存放于IC卡的E2PROM中,而在本發(fā)明中它以圖6A和6B的非易失性存儲器100-1至100-3中32塊IC卡存儲單元的形式表現(xiàn),例如存放于由電池74-1供電的RAM70-1中,也即在圖4所示靜態(tài)RAM中。其結(jié)果是,對使用靜態(tài)RAM的非易失性存儲器的訪問速度高,由于對重寫次數(shù)沒有限制,因此能保證非常長的使用壽命。此時,當加密數(shù)據(jù)猶如電子錢幣取匯款中那樣伴隨著IC命令120-1至120-3時,圖5的邏輯IC卡90-1中的加密處理模塊94控制圖4硬件配置中的加密處理電路80-1以實現(xiàn)加密或解密。當然可由CPU的軟件實現(xiàn)此加密和解密。三重值控制單元60-1至60-3通過輸出寄存器將邏輯IC卡過程90-1的處理結(jié)果,也即例如圖6的命令控制單元98-1至98-3中的IC卡控制單元104-1、106-1和108-1的處理結(jié)果作為IC響應124-1,124-2和124-3返回至通信控制單元50。在三重比較控制模塊84中,通信控制單元50等待獲取所有三個響應124-1至124-3并比較它們。在所有三個響應124-1至124-3都彼此重合的情況下,一個正常結(jié)束碼被加至首部信息122中,后者與IC響應124一起返回至錢幣服務器18。錢幣服務器18將返回的IC響應124的首部信息122加以解釋,以及如果為正常結(jié)束,則它將已清除掉首部信息122的IC響應124送至取款終端上的IC卡32中。這允許實現(xiàn)邏輯操作,從用戶擁有的IC卡32看來,猶如在電子錢幣保險柜10側(cè)真實地存在一個IC卡。相反地,當三個IC響應124-1至124-3中的一個是不重合時,例如電子錢幣保險柜10的通信控制單元50中的三重比較控制模塊84中只有IC響應124-3與其它兩個IC響應124-1和124-2不重合時,返回IC響應124-3的值控制單元60-3被判定為反常,而被判定為反常的值控制單元60-3即被斷開。這造成隨后處理由三重處理轉(zhuǎn)為雙重控制。同時,被判定為反常的值控制單元60-3的號加至首部信息122,而與兩個彼此重合的IC響應124-1和124-2相同的IC響應一起返回至錢幣服務器18。錢幣服務器18解釋如此返回的首部信息122,以及如果只有一個值控制單元60-3反常,則以與正常結(jié)束情況相同的方式刪去首部信息122,并將IC響應124送至用戶側(cè)的IC卡32中。然后在此情況下,禁止對具有發(fā)生反常情況的值控制單元60-3的錢盒實行隨后新的財務操作。在禁止發(fā)生反常情況的錢盒實行新財務操作之后,錢幣服務器18然后執(zhí)行處理以將發(fā)生反常情況的錢盒中所有邏輯IC卡內(nèi)的值信息轉(zhuǎn)撥至其它正常錢盒中的邏輯IC卡中,從而使發(fā)生反常情況的錢盒可供維修和替換之用。自然地,當完成自反常錢盒轉(zhuǎn)撥值信息至正常錢盒之后,錢幣服務器18顯示一條出錯消息以敦促用戶完成維修和替換操作。維護人員對此進行響應,將發(fā)生反常情況的錢盒替換掉。另外,如果電子錢幣保險柜10的通信控制單元50中的三重比較控制模塊84中的所有三個IC響應124-1至124-3彼此都不重合,則所有三個產(chǎn)生不重合性的值控制單元60-1至60-3都被斷開以及標志值控制單元60-1至60-3的所有結(jié)果彼此都不重合的多重出錯信息被加至首部信息122,后者返回至錢幣服務器18。錢幣服務器18對自電子錢幣保險柜10返回的首部信息122進行判斷,及當根據(jù)多重出錯信息識別到所有三個IC響應124-1至124-3彼此都不重合時,它建立一個出錯響應,作為IC響應124送至取款終端側(cè)的用戶IC卡32中,從而在具有產(chǎn)生三個互不重合的響應的值控制單元60-1至60-3的錢盒上禁止隨后進行新財務操作。在這種情況下錢幣服務器18不可能取出電子錢幣,它是發(fā)生反常情況的錢盒中的邏輯IC卡上的值信息。然而,圖4中在其中存放的值信息用作電子錢幣的RAM70-1是由電池74-1供電的,因此發(fā)生反常的錢盒可從電子錢幣保險柜10中取走并送至工廠等,而等于值信息的電子錢幣數(shù)據(jù)則從發(fā)生反常情況的錢盒內(nèi)的邏輯IC卡中取出。根據(jù)類似加至電子錢幣的檢查數(shù)據(jù)或由錢幣服務器18獲取的財務記錄的信息,可在三個值控制單元60-1至60-3中判斷哪個值信息是正確的,可以使即使發(fā)生反常情況的錢盒也能免受其值丟失之苦。作為值控制單元60-1至60-3的所有三個結(jié)果都不重合的情況的其它措施,通信控制單元50向三個值控制單元60-1至60-3發(fā)出自檢命令,從而使值控制單元60-1至60-3完成自檢和圖4中RAM66-1、68-1和70-1的正確性檢查。根據(jù)此自檢結(jié)果,可確定具有正確值信息的值控制單元,作為正確狀態(tài)結(jié)果的IC響應124可與具有所加多重出錯信息的首部信息122一起返回至錢幣服務器18。在錢幣服務器18中可將首部信息122自IC響應124中清除掉,然后以與正常結(jié)束情況相同的方式作為IC響應124送至IC卡32。當然,在此情況下同樣地,錢幣服務器18禁止發(fā)生反常情況的錢盒進行隨后新的財務操作,并將出現(xiàn)反常情況的錢盒送至工廠等,以便針對出錯及從中提取值信息采取措施。
圖8A和8B是圖7中錢幣服務器18所作電子錢幣提取處理的流程圖。首先在步S1中,從自用戶IC卡32收到的IC命令120的提取量中選擇具體錢盒的具體邏輯IC卡及每個錢盒的邏輯IC卡的結(jié)存。然后在步S2中,錢盒號和邏輯IC卡號作為首部信息122加至IC命令120中并送至電子錢幣保險柜10中。再在步S3中,檢查是否有來自電子錢幣保險柜10的響應,以及如有響應,則在步S4中根據(jù)首部信息122是否具有正常結(jié)束碼來判斷是否發(fā)生了正常結(jié)束。如判斷已發(fā)生正常結(jié)束,則去掉首部信息122并將IC響應124送至用戶的IC卡。如在步S4中并未發(fā)生正常結(jié)束,則進至步S6以檢查三個響應中是否有一個與其余兩個不重合。如三個響應中有一個與其余兩個不重合,則在步S7中去掉首部信息122并以與正常結(jié)束情況相同的方式將IC響應124送至用戶的IC卡32。然后在步S8中禁止在發(fā)生反常的不重合響應的錢盒中進行新的財務操作。再在步S9中,在被禁止進行財務操作的錢盒中的邏輯IC卡中的值信息被轉(zhuǎn)撥至其它正常錢盒的邏輯IC卡中,以使被禁止財務操作的錢盒可交付維修和替換。另一方面,如在步S6中三個響應中的一個不重合,則在步S10中檢查是否所有三個響應都彼此不重合。如所有三個響應都彼此不重合,則在步S11中根據(jù)多重出錯信息建立一個作為IC響應124的出錯響應并送至用戶IC卡32。然后在步S12中禁止反常錢盒進行新財務操作。
圖9A和9B是電子錢幣保險柜10側(cè)對應于圖8A和8B中錢幣服務器18的處理的保險柜控制處理的流程圖。當在步S1中通信控制單元50收到來自錢幣服務器18的首部信息122和IC命令時,在步S2中通信單元50同時將首部信息122和IC命令送至三個值控制單元60-1至60-3的輸入寄存器中。在步S3中值控制單元60-1至60-3將首部信息122中的邏輯IC卡號和IC命令加以解釋,并根據(jù)IC命令與具有具體號碼的邏輯IC卡執(zhí)行財務處理。然后在步S4中,邏輯IC卡的處理結(jié)果作為IC響應124-1至124-3通過輸出寄存器返回至通信控制單元50。在步S5中三重比較控制模塊84等待以獲取來自值控制單元60-1至60-3的所有三個響應,及當獲取到所有三個響應后,在步S6中對三個響應進行比較控制。如果此比較控制的結(jié)果是在步S7中所有響應都彼此重合,則在步S8中將一個正常結(jié)束碼加至響應的首部信息122中并送至錢幣服務器18中。如在步S7中所有響應并不彼此重合,則在步S9中判斷是否有一個響應不重合。如有一個響應不重合,則在步S10中將發(fā)生反常情況的值控制單元斷開并將三重控制切換為雙重控制。然后在步S11中將發(fā)生反常情況的值控制單元號加至首部信息122中,并與正確響應一起返回至錢幣服務器18。再在步S12中等待來自錢幣服務器18的值轉(zhuǎn)撥命令,及當收到轉(zhuǎn)撥命令后,在步S13中將反常錢盒的邏輯IC卡的值信息轉(zhuǎn)撥至其它正確錢盒的邏輯IC卡中。如在步S9中一個響應與其它響應不重合,則過程進至步S14以檢查是否所有三個響應都彼此不重合。如所有彼此都不重合,則在步S15中將所有值控制單元60-1至60-3斷開,及將多重出錯信息加至首部信息中并返回至錢幣服務器18中。
圖10是圖7的電子錢幣保險柜10的三重比較控制模塊84中所有三個響應結(jié)果都不重合的情況下另一實施例的流程圖。此實施例的特征在于通信控制單元50向值控制單元60-1至60-3發(fā)出自檢命令以使它們完成自檢。更具體地說,圖10的步S1至S14與圖9A和9B的保險柜控制處理相同。如在步S14中判斷所有三個響應124-1至124-3彼此都不重合,則在步S16中通信控制單元50向值控制單元60-1至60-3發(fā)出自檢命令以使它們完成自檢。通過值控制單元60-1至60-3的這項自檢,根據(jù)RAM68-1的工作區(qū)的值、RAM70-1的電子錢幣信息、財務記錄、出錯信息等執(zhí)行正確性檢查。其結(jié)果是,在步S17中確定具有正確值信息的值控制單元。然后在步S18中斷開所有值控制單元60-1至60-3,將根據(jù)多重出錯信息和自檢所確定的正確值控制單元號加至首部信息122中,以及將響應124返回至錢幣服務器18中。
圖11是對應于圖10保險柜控制處理的取款處理流程圖。在此流程圖中,步S1至S10的處理與圖8A和8B相同。如果在步S10中判斷所有三個響應彼此都不重合,則在步S13中檢查能否根據(jù)自檢結(jié)果從首部信息中識別正確值控制單元的響應。當根據(jù)自檢結(jié)果識別正確值控制單元的響應時,在步S14中將該響應中首部信息122清除并以與正常結(jié)束相同的方式將它送至用戶側(cè)的IC卡中。然后在步S12中,禁止反常錢盒進行新財務操作。應注意如果在步S13中根據(jù)自檢結(jié)果未識別正確值控制單元的響應,則在步S11中建立一個出錯響應并送至用戶IC卡中。在此情況下,通過由本發(fā)明電子錢幣保險柜10的每個錢盒中三重比較控制模塊84所作的三重處理完成按多數(shù)判定準則,與使用物理IC卡的常規(guī)電子錢幣保險柜比較可以得到非常高的可靠性。例如,如在圖6A和6B的錢盒12-1的情況一樣,三重命令控制單元98-1至98-3和非易失性存儲器100-1至100-3的配對中的每一對邏輯地實現(xiàn)32塊IC卡的功能,三重情況中的出錯率為6×20002×24×10-9=0.576節(jié)其中預乘電路出錯率為2000節(jié),而平均修復時間(MTTR)等于24小時。另一方面,常規(guī)電子錢幣保險柜中32塊IC卡的出錯率可表達為100×32=3200節(jié)因此,與使用常規(guī)IC卡的電子錢幣保險柜相比較,在三重情況下本發(fā)明的出錯率可表達為1/5,000或更低。
當如圖9A的步S9中一個響應不重合的情況下將反常錢盒的邏輯IC卡的值信息轉(zhuǎn)撥至其它正常錢盒的邏輯IC卡中時,可阻止多重出錯引起的值丟失,因此可進一步減少出錯率。例如,假設在檢測到出錯時可在一分鐘內(nèi)自動地將值轉(zhuǎn)撥至正常錢盒中,則平均修復時間(MTTR)將為1/60時,此情況下的三重配置的出錯率為6×20002×1/60×10-9=0.0004節(jié)在此情況下,與使用32塊IC卡的常規(guī)電子錢幣保險柜相比較,出錯率可減小至1/80,000,000。
圖12闡述使用本發(fā)明電子錢幣保險柜的電子錢幣系統(tǒng)的另一系統(tǒng)形式。此系統(tǒng)為一中規(guī)模系統(tǒng),其中用戶IC卡的數(shù)量處于2,400,000數(shù)量級。在此中規(guī)模系統(tǒng)中,銀行側(cè)的系統(tǒng)單元120配備有兩個電子錢幣保險柜10-1和10-2。電子錢幣保險柜10-1和10-2中每一個的最大配置為八個錢盒12-1至12-8。錢盒12-1至12-8中每一個配備32塊邏輯IC卡。兩個電子錢幣保險柜10-1和10-2通過LAN22-1和22-2連至兩個錢幣服務器18-1和18-2,后者通過LAN26-1和26-2和路由器24連至網(wǎng)絡28,從而提供一個連至網(wǎng)絡28側(cè)的取款終端及合適的輸入/輸出終端的連接。
圖13闡述一個大規(guī)模系統(tǒng),其中用戶IC卡數(shù)量為20,000,000數(shù)量級。銀行側(cè)配備有對應于圖12的中規(guī)模系統(tǒng)中配備的系統(tǒng)單元120的八個系統(tǒng)單元120-1至120-8。以此方式,本發(fā)明的電子錢幣保險柜可根據(jù)用戶IC卡數(shù)量恰當?shù)卮_定錢盒數(shù)和保險柜數(shù)。
根據(jù)以上描述的本發(fā)明,使用與電子錢幣保險柜一樣的單個控制電路而邏輯地實現(xiàn)眾多IC卡的功能,有可能為了電子錢幣保險柜的安全而容易地變換加密處理。此外,使用具有較小功耗和延長的重寫壽命的存儲器,例如電子錢幣保險柜中用作值存儲器的由電池供電的靜態(tài)RAM,與常規(guī)IC卡比較,有可能顯著地延長用于電子錢幣保險柜中的邏輯IC卡的使用壽命。此外,通過多重實現(xiàn)電子錢幣保險柜中的控制電路,與電子錢幣保險柜中使用IC卡的情況相比較,可得到顯著地改善的可靠性。此外,在電子錢幣保險柜的財務處理中,通過對多重比較控制中部分出錯檢測作出響應而將值轉(zhuǎn)撥至其它正常控制電路,有可能在多重比較控制中出現(xiàn)多重出錯的情況下預先防止值的丟失。
雖然上述實施例作為例子每個錢盒內(nèi)使用了32塊邏輯IC卡,但可增加錢盒中處理器的處理速度以增加過程數(shù),并相應地增加邏輯IC卡數(shù)。因此應理解每個錢盒的邏輯IC卡數(shù)并不限于以上實施例而可以恰當?shù)卮_定。
雖然上述實施例作為例子將由電池供電的靜態(tài)RAM用作錢盒中邏輯IC卡的非易失性存儲器,但也可使用其它保持狀態(tài)功耗低和延長的使用壽命的存儲器。還應注意,本發(fā)明并不受上述實施例中所示數(shù)值的限制。
權(quán)利要求
1.一種用于保管以電子信息形式表現(xiàn)錢幣值的電子錢幣的保險柜,所述保險柜包括一個非易失性存儲器,在其中配備著對應于存放所述電子錢幣的眾多IC卡的存儲單元的眾多IC卡存儲單元;一個命令控制單元,用于并行地執(zhí)行分送給所述非易失性存儲器中配備的所述眾多IC卡存儲單元的命令,從而邏輯地實現(xiàn)眾多IC卡的控制功能;以及一個通信控制單元,當從主設備收到單個或多個命令時,所述通信控制單元并行地形成在數(shù)量上對應于所述命令并伸展至所述命令控制單元的通信路徑,從而邏輯地實現(xiàn)與所述眾多IC卡通信的功能。
2.根據(jù)權(quán)利要求1的保險柜,其中所述非易失性存儲器由從電池供電的存儲器所形成。
3.根據(jù)權(quán)利要求1的保險柜,進一步包括眾多錢盒,所述眾多錢盒中每一個具有多重配置,所述多重配置中為所述通信控制單元提供眾多值控制單元,所述眾多值控制單元中每一個包括所述非易失性存儲器和一個命令控制單元的組合;以及其中所述通信控制單元包括一個多重比較控制單元,所述多重比較控制單元允許所述眾多值控制單元中的所述命令控制單元對所述主設備的命令作出響應為所述IC卡存儲單元完成相同處理,所述多重比較控制單元將眾多處理結(jié)果加以比較以供判斷之用。
4.根據(jù)權(quán)利要求3的保險柜,其中當將來自所述眾多值控制單元的所述處理結(jié)果加以比較并檢測到所有它們彼此都重合時,所述多重比較控制單元判斷為正常結(jié)束并將所述處理結(jié)果通知所述主設備。
5.根據(jù)權(quán)利要求3的保險柜,其中當將來自所述眾多值控制單元的所述處理結(jié)果加以比較并檢測到一個處理結(jié)果與其它處理結(jié)果不重合時,所述多重比較控制單元將彼此重合的處理結(jié)果通知所述主設備。
6.根據(jù)權(quán)利要求3的保險柜,其中當將來自所述眾多值控制單元的所述處理結(jié)果加以比較并檢測到一個處理結(jié)果與其它處理結(jié)果不重合時,所述多重比較控制單元禁止對產(chǎn)生不重合性的所述值控制單元進行控制。
7.根據(jù)權(quán)利要求3的保險柜,其中當將來自所述眾多值控制單元的所述處理結(jié)果加以比較并檢測到一個處理結(jié)果與其它處理結(jié)果不重合時,所述多重比較控制單元禁止從所述主設備對包含產(chǎn)生不重合性的所述值控制單元的錢盒進行控制,及隨后在所述主設備控制下將所述反常錢盒的所述非易失性存儲器中存放的電子錢幣轉(zhuǎn)撥至其它正常錢盒的所述非易失性存儲器中。
8.根據(jù)權(quán)利要求3的保險柜,其中當將來自所述眾多值控制單元的所述處理結(jié)果加以比較并檢測到它們彼此都不重合或檢測到至少三種不同處理結(jié)果時,所述多重比較控制單元判斷為反常結(jié)束并將處理出錯通知所述主設備。
9.根據(jù)權(quán)利要求3的保險柜,其中當將來自所述眾多值控制單元的所述處理結(jié)果加以比較并檢測到它們彼此都不重合或檢測到至少三種不同處理結(jié)果時,所述多重比較控制單元判斷為反常結(jié)束,將多重出錯信息通知所述主設備并將發(fā)生反常的錢盒自待處理物體中斷開。
10.根據(jù)權(quán)利要求3的保險柜,其中當將來自所述眾多值控制單元的所述處理結(jié)果加以比較并檢測到它們彼此都不重合或檢測到至少三種不同處理結(jié)果時,所述多重比較控制單元令使所述眾多值控制單元完成自檢以判斷正確處理結(jié)果,將所述正確處理結(jié)果和多重出錯信息通知所述主設備并將發(fā)生反常的錢盒自待處理物體中斷開。
11.根據(jù)權(quán)利要求1的保險柜,還包括眾多錢盒,所述眾多錢盒中每一個具有三重配置,其中為所述通信控制單元配備了三個值控制單元,所述三個值控制單元中每一個包括所述非易失性存儲器和一個命令控制單元的組合;以及其中所述通信控制單元包括一個三重比較控制單元,所述三重比較控制單元允許所述眾多值控制單元中的所述命令控制單元對來自所述主設備的命令作出響應為所述IC卡存儲單元完成相同處理,所述三重比較控制單元將眾多處理結(jié)果加以比較以供判斷用。
12.根據(jù)權(quán)利要求11的保險柜,其中當將來自所述眾多值控制單元的所述處理結(jié)果加以比較并檢測到它們彼此都重合時,所述三重比較控制單元判斷為正常結(jié)束并將所述處理結(jié)果通知所述主設備。
13.根據(jù)權(quán)利要求11的保險柜,其中當將來自所述三個值控制單元的所述處理結(jié)果加以比較并檢測到一個處理結(jié)果與其它處理結(jié)果不重合時,所述三重比較控制單元將彼此重合的處理結(jié)果通知所述主設備。
14.根據(jù)權(quán)利要求11的保險柜,其中當將來自所述三個值控制單元的所述處理結(jié)果加以比較并檢測到一個處理結(jié)果與其它處理結(jié)果不重合時,所述三重比較控制單元禁止對產(chǎn)生不重合性的所述值控制單元進行控制。
15.根據(jù)權(quán)利要求11的保險柜,其中當將來自所述三個值控制單元的所述處理結(jié)果加以比較并檢測到一個處理結(jié)果與其它處理結(jié)果不重合時,所述三重比較控制單元禁止從所述主設備對包含產(chǎn)生不重合性的所述值控制單元的錢盒進行控制,及隨后在所述主設備控制下將所述反常錢盒的所述非易失性存儲器中存放的電子錢幣轉(zhuǎn)撥至其它正常錢盒的所述非易失性存儲器中。
16.根據(jù)權(quán)利要求11的保險柜,其中當將來自所述三個值控制單元的所述處理結(jié)果加以比較并檢測到它們彼此都不重合時,所述三重比較控制單元判斷為反常結(jié)束并將處理出錯通知所述主設備。
17.根據(jù)權(quán)利要求11的保險柜,其中當將來自所述三個值控制單元的所述處理結(jié)果加以比較并檢測到它們彼此都不重合時,所述三重比較控制單元判斷為反常結(jié)束,將三重出錯信息通知所述主設備并將發(fā)生反常的錢盒自待處理物體中斷開。
18.根據(jù)權(quán)利要求11的保險柜,其中當將來自所述眾多值控制單元的所述處理結(jié)果加以比較并檢測到它們彼此都不重合時,所述三重比較控制單元令使所述三個值控制單元完成自檢以判斷正確處理結(jié)果,將所述正確處理結(jié)果和三重出錯信息通知所述主設備并將發(fā)生反常的錢盒自待處理物體中斷開。
全文摘要
在非易失性存儲器中配備著對應于眾多IC卡的眾多IC卡存儲單元,在每個IC卡存儲單元中存放著以電子信息形式表現(xiàn)錢幣值的電子錢幣。命令控制單元并行地執(zhí)行分送至非易失性存儲器中配備的眾多IC卡存儲單元的命令以便邏輯地實現(xiàn)眾多IC卡的控制功能。此外,當收到來自主設備(錢幣服務器)的單個或多個命令后,通信控制單元并行地形成在數(shù)量上對應于命令并與命令控制單元相關(guān)連的通信路徑以邏輯地實現(xiàn)與眾多IC卡存儲單元通信的功能。
文檔編號G06Q10/00GK1218930SQ9811915
公開日1999年6月9日 申請日期1998年9月11日 優(yōu)先權(quán)日1997年12月5日
發(fā)明者山本浩憲, 橋本繁 申請人:富士通株式會社