鑰中的一者或多者。如上文所描述,收銀員訪問密鑰用以通過提取資金來改 變智能卡110的值且出納員訪問密鑰用以通過存放資金來將值放到智能卡110上。示例制 造商密鑰用以改變駐留在智能卡110上的現有密鑰中的任一者。在示例實施方案中,制造 商密鑰用以設置密鑰、重置卡數據和重置計數器。在示例實施方案中,可旋轉出納員密鑰和 收銀員密鑰。舉例來說,可基于定義的時間段、數據容量或旋轉的其它定義的基礎來旋轉密 鑰。制造商密鑰可定義旋轉訪問密鑰119的基礎。在示例實施方案中,訪問密鑰119將定 義讀取數據和將數據寫入至智能卡110的訪問/許可級別。
[0045] 在替代示例實施方案中,對稱密鑰可用以對智能卡110上的數據加密,使得沒有 此密鑰的具有NFC功能的裝置不能了解智能卡110上的數據。與遠程系統160、商戶裝置 120和讀卡器150共享密鑰。
[0046] 在示例實施方案中,單調計數器117也可在智能卡110上的安全元件中實現。計 數器可存儲特定事件或過程已發生的次數。示例計數器是單調的,且因此僅允許值增大或 遞增而不減小。此預防性措施防止用戶保存智能卡110的當前狀態,使用卡且接著使卡返 回至先前保存的狀態,進而接收免費交易。示例實施方案,將存款總和以及取款總和存儲在 單調計數器117中。當請求交易時,可將存款總和以及取款總和與智能卡110上的保存的 交易歷史進行比較。因為存款總和和/或取款總和存儲在單調計數器(其僅可遞增,不可 減小)中,所以可檢測并禁用已返回至先前狀態的智能卡110。下文中參照圖2至圖10中 描述的方法更詳細地描述確定取款總和以及存款總和的方法。
[0047] 在替代示例實施方案中,單調計數器117在每一取款交易期間增大且將交易歷史 中保存的取款交易的總數與單調計數器117指示的數目進行比較。同樣地,單調計數器117 可在每一存款交易期間增大且將交易歷史中保存的存款交易的總數與單調計數器117指 示的數目進行比較。
[0048] 如圖1中所描繪,讀卡器150可以是商戶裝置120的組件。舉例來說,在示例實施 方案中,讀卡器150是商戶裝置應用122,其中經由安全通信信道130和天線128與智能卡 110交換的信息經由應用122處理。
[0049] 在替代示例實施方案中,讀卡器150可以是單獨的獨立裝置,其經由一個或多個 安全通信信道130與智能卡110通信且與商戶裝置120通信。作為獨立裝置,讀卡器150 可指代可經由讀卡器150與另一裝置(諸如智能卡110和/或商戶裝置120)之間的電場、 磁場或射頻場通信的裝置。在此實施方案中,讀卡器150在智能卡110與商戶裝置120之 間傳遞信息。另外,當實現此實施方案時,商戶裝置120可以是不具有商戶NFC功能性的計 算機,諸如臺式計算機、服務器計算機、膝上型計算機、移動計算裝置(諸如移動電話、平板 計算機或智能電話)或其它不具有NFC功能的裝置。
[0050] 在示例實施方案中,讀卡器150具有處理能力,諸如存儲容量/存儲器和可執行特 定功能的一個或多個應用155。在示例實施方案中,讀卡器150含有操作系統(未圖示)和 用戶接口(未圖示)。
[0051] 讀卡器150經由直接連接、經由一個或多個安全通信信道130或經由網絡140 (連 接未圖示)通信地耦接至商戶裝置120。示例讀卡器150可含有訪問密鑰,如上文所描述。
[0052] 如圖1中進一步描繪,商戶裝置120可經由網絡140通信地耦接至遠程系統160。 在替代示例實施方案中,讀卡器150也經由網絡140通信地耦接至遠程系統160。網絡140 包括網絡裝置(包含裝置120、150和160)可借以交換數據的電信構件。舉例來說,網絡 14〇可實現為以下各項或可以是以下各項的部分:存儲區域網(SAN)、個人區域網(PAN)、局 域網(LAN)、城域網(MN)、廣域網(WAN)、無線局域網(WLAN)、虛擬專用網絡(VPN)、內聯網、 移動電話網絡、因特網、藍牙、NFC或有助于信號、數據和/或消息(統稱為數據)的通信的 任何其它適當的架構或系統。
[0053] 根據示例實施方案,商戶裝置120可經由有線連接而連接至網絡140。舉例來說, 連接可以是有線通用串行總線(USB)或以太網連接。在替代示例實施方案中,商戶裝置120 可經由無線連接而連接至網絡。舉例來說,連接可以是與具有有線/無線因特網連接的熱 點(例如,MiFi)的Wi-Fi或藍牙連接,或適合用于與網絡140傳達信號的任何其它有線或 無線連接。在替代示例實施方案中,連接可以是蜂窩式網絡連接。
[0054] 示例遠程系統160使得能夠存儲智能卡110賬戶信息。在示例實施方案中,用戶 (未圖示)用遠程系統160創建用戶賬戶且注冊智能卡110。遠程系統針對數據存儲單元 161中的每一賬戶存儲智能卡110數據,包含所有卡交易的歷史,例如資金的每次存放和資 金的每次提取。在示例實施方案中,遠程系統160分析交易歷史以識別丟失的數據或可能 的錯誤。
[0055] 在示例實施方案中,一個或多個簽名密鑰167用以通過遠程系統160認證和證明 數據。舉例來說,簽名密鑰167可以是對稱或非對稱密鑰。在示例實施方案中,簽名密鑰 167僅存在于遠程系統160上且不可由商戶裝置120、智能卡110或讀卡器150讀取或另外 訪問。示例簽名密鑰167被指定為出納員簽名密鑰或收銀員簽名密鑰。示例出納員簽名密 鑰用以認證和證明資金存放至智能卡110上。示例收銀員簽名密鑰用以認證和證明從智能 卡110提取資金。在示例實施方案中,通過駐留在遠程系統160上的簽名密鑰167證明每 一存款和每一取款交易。每當商戶讀取智能卡110時,其可驗證卡上存儲的交易記錄被有 效簽名密鑰167證明。在示例實施方案中,簽名密鑰167用非對稱密鑰簽名的數字簽名來 授權和證明交易記錄。在替代示例實施方案中,簽名密鑰167用對稱密鑰簽名的消息授權 碼(MAC)來授權和證明交易記錄。
[0056] 在示例離線交易中,每一取款記錄由收銀員會話密鑰167簽名。會話在商戶登錄 商戶裝置120時開始且在商戶退出時結束。每一會話可與限額(諸如最大交易數目、最大 時間段或最大美元數)相關聯。當達到限額時,要求商戶連接至遠程系統160且請求新的 會話訪問密鑰129/159。收銀員訪問密鑰129/159可以是對稱密鑰,其是使用會話標識號 碼從主密鑰衍生的。通過遠程系統160維護主密鑰且當新會話開始時將收銀員訪問密鑰 129/159傳輸至商戶裝置120。用戶也可使用商戶裝置120從智能卡110提取資金。智能 卡110將卡標識信息和交易歷史傳輸至商戶裝置120。商戶裝置120通過交叉參考卡賬戶 號碼和卡驗證號碼來確認智能卡110的身份。商戶通過使用商戶裝置120來從駐留在智能 卡110上的單調計數器117讀取當前存款總和以及當前取款總和來確認智能卡110是否具 有足夠的余額可用于購買交易。商戶裝置120將從單調計數器110讀取的總和與使用交易 歷史計算的總和進行比較。如果這些數字匹配,那么商戶裝置120接著通過將存款總和減 去取款總和來計算智能卡余額。如果余額是大于或等于當前交易費用的數字,那么授權交 易。如果有足夠余額可用,那么商戶裝置120處理扣款交易以從當前取款總和扣除當前交 易費用。商戶裝置120產生取款記錄且接著使用收銀員訪問密鑰129/159來對記錄簽名。 商戶裝置120將簽名的取款記錄寫入至智能卡110且維護簽名的記錄的副本以用于稍后傳 輸至遠程系統160。當稍后將交易記錄與適當的簽名一起傳輸至遠程系統160時,遠程系統 160驗證簽名以確保上傳的交易記錄是真的且使用收銀員簽名密鑰167證明記錄。遠程系 統160還可計算被傳輸的所有交易的總和以驗證未超過限額或同步交易以識別丟失的記 錄或錯誤。下文中參照圖2至圖10中描述的方法更詳細地描述證明交易的方法。
[0057] 在此說明書全文中,應理解,術語"數據"和"信息"在本文中可互換地使用以指代 文字、圖像、音頻、視頻或可存在于基于計算機的環境中的任何其它形式的信息。
[0058] 示例系統過程
[0059] 下文中參照圖2至圖10中圖示的示例方法描述示例操作環境100的組件。
[0060] 圖2是描繪根據某些示例實施方案的用于經由商戶裝置120處理資金存放至智能 卡110的方法的方框流程圖。參照圖1中圖示的組件描述方法200。
[0061] 在示例實施方案中,在將存款交易寫入至智能卡110之前,必須通過遠程系統160 授權且通過收銀員簽名密鑰167證明存款交易。一旦寫入,商戶裝置120將確認傳輸至遠程 系統160。商戶裝置120具有網絡140訪問,以提供此授權、證明和確認的傳輸。在替代示 例實施方案中,商戶裝置120不能維持網絡140訪問從而無法將確認傳輸至遠程系統160。
[0062] 在方框210中,用戶在商戶裝置120附近"觸碰"智能卡110。在示例實施方案中, 商戶裝置120產生輪詢智能卡110的存在的射頻(RF)場或其它場,且用戶通過將卡110放 置在商戶裝置120的場內來"觸碰"智能卡110在此實施方案中,智能卡110與商戶裝置120 的物理接觸可能不發生。在替代示例實施方案中,商戶使用商戶裝置120上的應用122來 激活RF場或其它場以輪詢智能卡110的存在。在某些示例實施方案中,在觸碰智能卡110 的同時執行本文中圖2至圖10中描述的系統和方法。
[0063] 在方框220中,商戶裝置120檢測到智能卡110且建立安全通信信道130。在示例 實施方案中,安全通信信道130是NFC通信信道。
[0064] 在方框230中,商戶裝置120識別智能卡110。下文中參照圖8中描述的方法更詳 細地描述識別智能卡110的方法。
[0065] 圖8是描繪如圖2和圖5的方框230中提到的根據某些示例實施方案的用于識別 智能卡110的方法的方框流程圖。參照圖1中圖示的組件描述方法230。
[0066] 在方框810中,商戶裝置120向智能卡110請求協議和特性。舉例來說,商戶裝置 120可向智能卡110請求通信協議(例如,IS0/IEC14443、MIFARE和/或IS0/IEC18092) 的標識、可用的應用115的列表、卡標識信息(例如,卡號碼)和安全協議。在示例實施方 案中,商戶裝置120還請求卡驗證號碼。在示例實施方案中,商戶裝置120可請求驗證智能 卡Iio上含有的訪問密鑰119以用于智能卡110與商戶裝置120之間的相互認證。
[0067] 在方框820中,智能卡110將所請求的協議和特性傳輸至商戶裝置120。在示例 實施方案中,對卡驗證號碼編碼且將其存儲在智能卡110的存儲器113中且使其不可見或 不可另外寫在物理卡上。抽取所請求的信息且經由安全通信信道130將其傳輸至商戶裝置 120。在替代示例實施方案中,在方框220中刷智能卡110。在此實施方案中,用存儲在卡的 磁條中且由商戶裝置120讀取的數據對卡賬戶號碼和卡驗證編碼。
[0068] 在示例實施方案中,數據可包含存款總和和/或取款總和信息。在示例實施方案 中,商戶裝置120能夠讀取單調計數器117中含有的數據。在示例實施方案中,商戶裝置 120使用此數據來確定智能卡110余額。下文中參照圖10中描述的方法更詳細地描述確定 智能卡110余額的方法。
[0069] 在方框830中,商戶裝置120接收并處理由智能卡110傳輸的協議和特性。在示 例實施方案中,對卡驗證號碼編碼的數據可由遠程系統160解碼。在此示例實施方案中,商 戶裝置120接收對卡驗證號碼編碼的數據,而不讀取數據或對數據解碼,且將數據傳達至 遠程系統160以用于驗證。在替代示例實施方案中,商戶裝置120還可能夠對卡驗證號碼 解碼并確認智能卡110的身份。
[0070] 在替代示例實施方案中,商戶裝置120直接從智能卡110讀取信息(包含協議、特 性和對卡驗證號碼編碼的數據)。
[0071] 在方框835中,商戶裝置120驗證智能卡110訪問密鑰119且智能卡110驗證商 戶裝置120訪問密鑰129。在示例實施方案中,商戶裝置120用駐留在商戶裝置120上的會 話訪問密鑰129來驗證智能卡110訪問密鑰119。智能卡110產生號碼且將號碼傳輸至商 戶裝置120。商戶裝置120使用會話訪問密鑰129對號碼解密且將已解密的號碼傳輸回至 智能卡110。在示例實施方案中,智能卡110用駐留在智能卡110上的訪問密鑰119驗證 商戶裝置120會話訪問密鑰129。商戶裝置120產生號碼且將號碼傳輸至智能卡110。智 能卡110使用訪問密鑰119對號碼解密且將已解密的號碼傳輸回至智能卡110。如果智能 卡110解密的號碼與商戶裝置120解密的號碼匹配,那么驗證了智能卡和商戶裝置。在示 例實施方案中,此驗證指示智能卡110和商戶裝置120具有正確的許可。
[0072] 如果未驗證訪問密鑰119和129,那么在方框837中拒絕交易,且方法結束。
[0073] 如果驗證了訪問密鑰119和129,那么方法230繼續至方框840。
[0074] 在方框840中,商戶裝置120確定其是否具有網絡140訪問。舉例來說,如果商戶 裝置120具有網絡140訪問,那么方法230可在商戶裝置120連接至遠程系統160時發生 且可將智能卡110數據傳輸至遠程系統160。然而,如果商戶裝置120沒有網絡140訪問且 交易離線地發生,那么商戶裝置120可在不將智能卡110數據傳輸至遠程系統160的情況 下進行交易。
[0075] 如果商戶裝置120具有網絡140訪問,那么在方框845中,商戶裝置120將智能卡 110數據傳輸至遠程系統160。在示例實施方案中,商戶裝置120將具有網絡140訪問以用 于每一存款交易。在示例實施方案中,商戶裝置120具有網絡訪問,且智能卡數據在由商戶 裝置120接收后自動傳輸至遠程系統160。在替代示例實施方案中,商戶裝置120的操作者 起始智能卡數據至遠程系統160的傳輸。在示例實施方案中,智能卡數據包括卡賬戶號碼 和卡驗證號碼。
[0076] 在方框850中,遠程系統160從商戶裝置接收智能卡數據。在示例實施方案中,遠 程系統160維護所有智能卡的數據庫和每一智能卡110的賬戶。特定智能卡110的每一賬 戶可包括智能卡110上維護的信息、用戶注冊信息、交易歷史和用于維護智能卡110的其它 信息中的一者或多者。遠程系統160可將每一賬戶記錄存儲在數據庫161中。卡賬戶信息 和卡驗證號碼在從商戶裝置120傳達至遠程系統160的數據中且存儲在賬戶中。
[0077] 在方框855中,遠程系統160交叉參考卡驗證號碼和卡賬戶號碼。在示例實施方案 中,遠程系統160訪問所有智能卡的數據庫且交叉參考號碼。在替代示例實施方案中,遠程 系統160使用卡賬戶號碼訪問智能卡110賬戶且查找卡驗證號碼。在示例實施方案中,遠 程系統160能夠根據所傳輸的數據確認智能卡的身份。遠程系統160交叉參考卡賬戶號碼 和卡驗證號碼。在示例實施方案中,卡驗證號碼是對卡賬戶號碼特定的32位號碼。卡驗證 號碼可以是在創建智能卡110時寫入至卡數據中的隨機產生的號碼。卡驗證號碼可以是或 可能不是對單一卡唯一的號碼。舉例來說,一個以上智能卡可具有相同的卡驗證號碼。然 而,每一智能卡110僅具有一個卡驗證號碼且正確的卡驗證號碼必須與匹配的卡賬戶號碼 一起提交以確認有效交易。
[0078] 在示例實施方案中,新的或禁用的智能卡110可能不含有卡驗證號碼。缺乏驗證 號碼可向遠程系統160指示智能卡需要激活且遠程系統160可將消息傳輸至商戶裝置120。
[0079] 在方框860中,遠程系統160確定卡驗證號碼和卡賬戶號碼是否屬于同一張卡,因 而確認智能卡110的身份。
[0080] 如果在方框860中號碼匹配,那么在方框863中,遠程系統160將智能卡110的身 份的驗證傳輸至商戶裝置。
[0081] 在方框865中,商戶裝置120從遠程系統160接收驗證。
[0082] 方法230從方框865進行至圖2中的方框240,圖5中的方框525,或適當地進行。
[0083] 返回至圖8中的方框860,如果卡驗證號碼和卡賬戶號碼不屬于同一張智能卡 110,那么未驗證智能卡110的身份且方法230進行至方框870。
[0084] 在方框870中,遠程系統160將拒絕消息傳輸至商戶裝置120,拒絕消息指示智能 卡110的身份不能被驗證。
[0085] 在方框875中,商戶裝置120從遠程系統160接收消息。商戶裝置120拒絕智能 卡110交易且終止安全通信信道130。
[0086] 返回至圖8中的方框840,如果商戶裝置120沒有網絡140訪問,那么在方框880 中,商戶裝置120可讀取包含卡賬戶號碼和卡驗證號碼的卡標識消息。在方框845中,商戶 裝置120可在不將數據傳輸至遠程系統160的情況下執行智能卡110驗證。在示例實施方 案中,遠程系統160將當前智能卡110信息周期性地傳達至商戶裝置120。示例智能卡110 信息包括智能卡賬戶號碼和對應的卡驗證號碼。在示例實施方案中,智能卡110信息由商 戶裝置120存儲。在替代示例實施方案中,在每一新會話開始時,在由遠程系統160傳輸的 會話訪問密鑰129中將智能卡110信息傳輸至商戶裝置120。在示例實施方案中,在離線交 易期間,商戶裝置120可在沒有對遠程系統160的網絡140訪問的情況下交叉參考來自遠 程系統160傳輸的信息的智能卡110賬戶號碼和驗證號碼。
[0087] 在方框885中,商戶裝置120確定卡驗證號碼與卡賬戶號碼是否為有效匹配。在 示例實施方案中,當在沒有網絡140訪問的情況下執行取款交易時,商戶裝置120可在如圖 5