CN102893297A - 包括非信任商户终端的可信储值支付系统 - Google Patents
包括非信任商户终端的可信储值支付系统 Download PDFInfo
- Publication number
- CN102893297A CN102893297A CN2011800090676A CN201180009067A CN102893297A CN 102893297 A CN102893297 A CN 102893297A CN 2011800090676 A CN2011800090676 A CN 2011800090676A CN 201180009067 A CN201180009067 A CN 201180009067A CN 102893297 A CN102893297 A CN 102893297A
- Authority
- CN
- China
- Prior art keywords
- card
- payment
- stored value
- terminal
- merchant tenninal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
- G06Q20/06—Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/22—Payment schemes or models
- G06Q20/29—Payment schemes or models characterised by micropayments
Abstract
一种包括可信卡及非信任商户终端的储值支付系统。只有在卡确认由其在终端处支付了至少等于被接收金额的一笔金额之后,卡才接收一笔储值金额,从而增强了安全性。卡可向终端提供一笔金额的可验证支付记录,卡通过从由卡所支付的值中减去由卡所接收的值来计算所述金额。进一步的安全特性还可包括在结算时更新并包括终端到期时间的终端证书,以及在与未到期的有效终端进行支付交易时更新的卡时间寄存器。
Description
技术领域
本发明涉及一种卡支付系统,具体涉及对储值进行存储和交易的消费卡支付系统。
发明背景
卡支付系统
在世界范围内,卡支付已非常普遍,且已在很多消费支付中取代现金。卡支付方式可分为签帐和储值两种。
在签帐支付中,卡对应于在金融机构或服务提供商(如移动运营商、支付处理商、大型零售商等)的服务器中所管理的持卡人帐户。如果帐户可表明持卡人的债务,则可认为卡为贷记卡;或者,如果帐户为银行帐户,则可认为卡为借记卡;或者,如果帐户为预付费帐户,则可认为卡为预付费卡。
在储值支付中,卡中加载使用传统现金或签帐方式购买的虚拟货币(储值),用于在收集和累计储值的兼容商户储值终端上进行支付。商户定期提出累计的储值以用于结算,最终累计储值的货币总价值被加入该商户的银行帐户。
签帐支付和储值支付可以共存,事实上,两者互为补充。从运营支付系统的金融机构的角度来看,签帐比储值安全,但其交易成本也较高。因此,可通过对小额支付采用储值、对大额支付以及载入卡中储值的购买采用签帐的方式对卡支付系统进行优化。
典型的签帐支付系统主要涉及五个方面:
●进行支付的持卡人。
●接收支付的商户。
●发卡方-通过提供卡并收集经卡支付的货币的方式与持卡人进行交互的金融机构。
●收单机构-通过提供或批准商户终端并将其接受的经卡进行的支付以货币形式偿还给商户的方式与商户交互的金融机构。
●支付组织(AKA支付方案或支付网络),如Visa和万事达卡,其管理支付系统并协调发卡方和收单机构间的结算。
储值支付系统还涉及额外一方:储值发行方,其生成储值、将储值卖给持卡人并从商户购买储值。储值发行方可以是发卡方之一,或是专门从事储值发行和结算的专业实体。
安全和审计
支付系统会引来欺诈,从而使发卡方面临相当大的风险。因此,所有支付系统均包括将技术和管理措施相结合的安全机制。除安全措施外,支付系统还利用审计机制以监控支付系统的操作、不断验证安全有效性,以及检测安全漏洞、确定其来源并测量其损害。
传统上,签帐支付系统已实现每一单独签帐交易的联机授权;每一单独交易的清算、结算和报告;以及作为审计机制的全面可审核性。这使签帐支付变得相对成本高,并且其可操作性和可靠性依赖于电子通信的可用性、性能和可靠性。当需要进行脱机操作时,管理措施(如将发卡方的责任转移至商户或限制脱机支付仅适用于小额支付等)提供了可行的解决方案。
储值支付的安全性强烈依赖于用于储值存储和交易的技术。在智能卡问世之前,所有用于储值的技术都不足以确保普通的基于钱包储值的支付系统的安全性,因此,储值支付仅限于特定的应用,在这些应用中,卡支付的优势足以使人们接受可观的欺诈损害,如电话卡和一些公共交通票据。这种系统中的审计是基于销售储值的总收入与各服务总消费的比较,这通常表明非现金支付的各种操作优势足以使人们接受可观但可接受的损害。
智能卡
智能卡将防篡改芯片与先进的加密技术相结合,将数据存储和交换的安全性提高到了前所未有的水平。当智能卡在性能和成本间达到足够的平衡时,支付行业开发出两类智能卡支付应用并将其商业化:基于芯片的签帐卡和通用储值卡。
由于大部分签帐卡具有跨银行和跨边界的互操作性,所以往往采取全行业标准。随后,Europay、万事达卡(MasterCard)和Visa为基于智能卡的签帐支付的建立了全行业标准,其被称为EMV标准。与采用磁条的贷记卡和借记卡相比,EMV标准提供更高的安全性和改进的脱机可操作性。
在储值前沿,在智能卡之前不存在实质的银行产品,通过各种银行业的努力,产生了不同的产品,如Mondex、Proton、MasterCard Cash和Visa Cash。所有这些产品均表现出足够的安全性,但其商业化仍然是失败的,因为需要通过手动程序定期地将储值重新载入卡,这让大多数消费者望而却步;而其缺乏符合成本效益的审计解决方案和不明晰的业务案例,从而也无法得到大多数银行从业者的青睐。
储值支付系统的现有改进
本发明人和本受让人已发明和开发出用以克服储值智能卡劣势的三项基本发明:美国专利号5744787,题为“零售系统和方法”,以及美国专利号6076075,题为“用于为消费者购买提供服务的零售单元和支付单元及其执行方法”,这两个专利均视同被全文引用纳入本发明中以指导签帐和找零机制。
在签帐和找零项下,卡和支付终端包括签帐和储值功能;较大金额的支付自动交付至签帐功能,而较小金额的支付可以由卡的储值进行支付(如果具有合适的储值金额)或由卡签帐一个最小签帐金额(例如,25美元),余下的(25美元减去购买价格)则由支付终端将储值返回至卡中。签帐和找零的优点是其消除了持卡人加载储值的负担,同时也可省去低于最小签帐金额的签帐交易的处理成本。
题为“可计算的电子货币系统和方法”的美国专利号为6119946和6467685的专利均视同被全文引用纳入本发明中,其通过各种面额的序列化的电子硬币呈现储值,提供了对储值的符合成本效益的审计功能。每一笔储值交易均涉及卡与商户终端间的硬币转移,通常这种转移是双向的。在中心点对硬币进行系统化的采样,从而可以快速且有效的检测、测量和回溯假冒储值。
题为“用于异构电子现金环境的处理系统和方法”的美国专利号为6065675的专利也视同被全文引用纳入本发明中,其可对储值系统无缝集成到现有贷记和借记支付系统的运作模式和业务模式进行指导。
结合上述三个改进,可克服上述储值小额支付/小额款项支付的过去的不足。然而,也为适应储值小额支付而将庞大的贷记卡和借记卡用户群迁移仍然被证明是一个很大的操作和商业挑战。
需要进一步改进储值支付
EMV签帐(贷记和借记)系统在越来越多的市场中受到欢迎。银行和非银行机构也提供了其它签帐机制。移至EMV签帐支付的市场将持卡人的卡升级为智能卡,且将商户终端升级为可与智能卡建立接口连接的终端。在贷记和借记支付的现行做法中,大部分的安全负担都由卡一方来承担,而商户终端主要是用作交易信息的容器和管道且不向系统呈现实质性的风险。相应地,尽管一些商户终端以高度安全的硬件为特色,但是出于成本考虑,其它许多商户终端基于更简单、成本更低的设计,从而导致其安全性较差,如上所述,EMV支付或其等价支付可接受较差的安全性。
在考虑储值支付时,情况则有所不同。传统上,如果储值的存储和转帐由持卡人的智能卡和商户的安全应用模块(SAM)双方的安全芯片进行处理时,则认为储值支付已足够安全,其中商户的安全应用模块(SAM)通常为类似移动电话SIM卡封装的智能卡芯片,被插入商户终端的专用插槽。多年来,许多商户终端都包括一个SAM插槽以适应储值应用。然而,由于储值应用落后于计划和预期,在市场上部署的许多商户终端都没有SAM插槽。
相应地,在商户终端中设置SAM以进行储值的存储和交易的传统方法下,为EMV贷记/借记系统增加储值功能不仅要求升级卡和商户终端的软件/固件,还要求更换或物理更新许多商户终端以使其具有SAM插槽,以及部署和管理SAM。这将大大提高储值实施的成本门槛,甚至可能使这种实施在商业上变成不可行。
因此,需要不依赖于SAM安全性的能够利用商户终端且具有足够安全性的储值支付系统的解决方案,拥有这种解决方案将具有极大优势。
发明概要
本发明旨在提供使非信任商户终端能够在安全储值支付系统内使用的系统和功能。
定义
“持卡人”或“用户”是指向商户支付的消费者。
“商户终端”或“终端”是指以电子方式接受支付的商户装置。
“智能卡”或“卡”是指用于在商户终端进行支付安全的、基于芯片的便携装置。卡可是任何形式,如传统的塑料卡、钥匙扣异型卡、贴纸/标签、microSD卡或移动电话。卡与商户终端通过与无触点接口的接触进行通信。
“发卡方”是指向持卡人提供卡并从持卡人处收集货币以用于经卡进行的电子支付。
“签帐交易”或“签帐”是对卡的远程帐户进行签帐的贷记、借记或预付费支付交易。
“储值”是指可载入卡中、在卡中存储且可转帐至商户终端用于支付的货币电子表示。
“电子钱包”是指用于存储储值的智能卡芯片中的安全区域。
“安全应用模块”或“SAM”是指包含于商户终端中的基于芯片的安全组件,其用于存储储值以及与商户终端进行储值的交易。一般来说,本发明集中于不具有SAM或即使具有SAM也不使用SAM、用于存储和交易储值的商户终端上,这些终端有时也会被称为“无SAM”终端。
“非信任商户终端”或“非信任终端”是指具有初始安全性、但却可以通过物理篡改复制或变更其数字内容的商户终端。非信任商户终端的命名具有储值发行方特定性和主观性,这并不意味着该终端可以容易地进行访问和攻击。
“签帐和找零”或“C&C”是指商户终端和智能卡间的支付交易涉及签帐交易和从商户终端到卡的储值转移,正如视同全文引用纳入本发明的美国专利号为5744787和6076075的专利所述。例如,支付金额为P美元的签帐和找零交易如下:通过卡进行金额为X美元的签帐,其中X美元大于P美元,并将X-P美元的储值金额从终端转帐至卡中。
“电子硬币”或“硬币”是指储值的电子表示,每一硬币均具有面额和序号。硬币的设计用以提供有效的系统级别审计机制,正如视同全文引用纳入本发明的美国专利号为6119946和6467685的专利中所述。
“可数字验证的”或“可验证的”数据是指可通过本领域中已知的加密方法,如加密/解密、消息认证码和/或数字签名验证来验证其真实性的数据(如证书或交易记录)。
术语“净额”通常是指由商户终端到支付卡或从支付卡向商户终端转帐的储值的货币价值。在使用电子硬币来对储值进行表示和转帐的特定情况(见美国专利号为6119946和6467685的专利)下,可在单一的储值交易中在支付卡和商户终端间进行电子硬币的双向转帐,而净额为此类转帐的余额;例如,如果从支付卡向商户终端转移4美分硬币,从商户终端向支付卡转移1美分硬币,那么净额就是3美分从支付卡向商户终端转移的硬币。
威胁分析
以下分析描述了可通过本发明消除或减少的犯罪威胁的来源和情况。分析不一定是全面的,而且在当前的上下文环境中还可能存在其它威胁,其中一些威胁也可通过本发明克服或减少。此外,一些威胁可通过本发明减少但却不能消除。
本发明所涵盖的威胁范围
最初提供给商户的商户终端被认为是储值发行方信任的商户终端,并且对于来自卡和经过通信网络的远程计算机的攻击,其初始安全性被认为与SAM的初始安全性相类似。为了当前的讨论,对于未被实际偷窃或利用的终端的安全威胁,认为现有安全解决方案可给出令人满意的答案,在此将不再讨论。
此外,假设商户终端在联机和脱机模式下进行签帐(贷记和/或借记和/或预付费)交易已被优选但非必定的EMV标准认证,并且被认为具有足够的安全性。
关注的威胁是那些由于缺乏SAM提供的篡改防护而潜在增加的威胁。SAM可防止物理访问其数字内容,通常这些内容包括配置和交易数据、程序代码和密钥,在无SAM终端中所有这些都将暴露给对商户终端进行物理访问的高明的罪犯。
这并不一定意味着商户终端不包括SAM,只是即使商户终端具有SAM或其它任何防篡改芯片或电路,却不依赖于SAM固有的防篡改功能。
有关支付系统的假设
假设有大量的商户终端定期地用于持卡人的支付。商户通常会保护其终端使其免受盗窃和利用,并且假定绝大多数的终端是未受安全危害的。假定持卡人使用卡在多个终端进行支付,其中大多数的终端是未受安全危害的。
罪犯、犯罪模式及对策
相关威胁包括为访问和操纵其数字内容而对终端进行的物理访问。物理访问需要对终端进行偷盗或对运行中的终端进行物理利用。罪犯可以是小偷、商户、商户的雇员和位于公共区域的易于访问的终端的利用者,这样的终端的例子包括自动售货机和停车计时器。
犯罪模式可包括:
●提供假冒储值进行结算,从而从中获利;
●使用假冒储值进行购买,从而从中获利;
●将假冒储值卖给其他人,从而从中获利;
●黑客攻击系统,从而获得个人满足感。
通常,对策的目标是:
●物理保护终端及其硬件,防止其被篡改,和/或禁用被篡改的终端;
●通过有效识别受安全危害的终端和非正常用卡来威慑罪犯;
●使潜在利润最小化,从而使攻击不具有经济上的吸引力;
●抑制和测量潜在的损害;
●快速从犯罪事件中恢复。
传统系统和现有改进所提供的固有对策
通常,商户终端被物理保护,以防止盗窃和利用。这使得绝大多数的终端都是未受安全危害的。
旨在禁用被盗或被篡改的商户终端并擦除其内存的其它硬件规定则可进一步地降低所讨论的风险和动机。向商户终端添加安全且唯一标识的芯片并将商户终端软件链接至该芯片可有效防止克隆被盗或被利用的商户终端。
使用签帐和找零机制(美国专利号为5744787和6076075的专利)进行储值的加载,将可使用储值进行花费的金额限制为较小值(例如,25-50美元),这大大降低了与使用或销售假冒储值进行购买相关的犯罪动机。
使用硬币进行储值的审计(美国专利号为6119946和6467685的专利)可快速并有效地发现提供假冒储值的支付卡和终端,从而显著降低通过结算、使用或销售假冒储值而从中获利的可行性和动机。
除上述对策外,本发明旨在寻求进一步的改进,特别是针对特定于无SAM或有但不依赖SAM安全性的商户终端的其它威胁。
概要
本发明旨在在上述固有对策的基础上降低对无SAM储值支付系统进行犯罪攻击的动机并使储值发行方的暴露最小化。
在最广泛的意义上,本发明的优选实施例为支付卡赋予新的安全作用,从而使其监督交易详情以确保不得使用终端滥用交易和/或检查商户终端的有效性。为了本发明,假定支付卡为防篡改的智能卡,且其未受安全危害并对储值发行方是可信的。
根据第一个方面,通过确保在成功完成大于净额的签帐交易之后才能将储值的净额添加至卡中,卡确认每一笔支付交易的详情并防止将储值非法注入卡中。
根据第二个方面,如果储值由几种面额的序列化数字硬币组成,卡确认流入卡中的硬币总价值小于从卡中流向终端的硬币总价值(如果储值支付交易中不涉及签帐交易)或从卡中流向终端的硬币总价值和签帐金额的总和(如果储值支付交易中包括签帐交易)。
值得注意的是,在上述第一和第二方面中提到的术语“卡确认”表示卡基于商户终端的支付请求计算并对卡执行所有与储值相关的操作,或由终端发起全部或部分与储值相关的计算和操作,然后卡监控此类操作、检查其值并将拒绝或中止违反上述第一和第二方面中任一方面或两个方面的条件的储值转帐尝试。当支付交易涉及签帐交易时,假定卡在联机和脱机情况下通过签帐支付协议了解签帐金额。
根据第三个方面,由储值发行方或可信的服务提供商在成功结算时向每一商户终端发布终端证书。证书至少包括终端ID和到期时间,其中到期时间等于下一预期结算时间加上安全容限。例如,如果后续结算预计在24小时内发生,则证书可将从目前结算时间开始的48小时作为到期时间。证书是可数字验证的,即由终端证书发行方数字签名和/或加密,方式为使该证书可通过任一有效卡进行读取和验证但未经授权的一方却无法假冒。卡检查证书到期时间并将其与卡的时间进行比较,如果卡的时间晚于到期时间,则中止交易。
根据第四个方面,卡从终端接收终端时间,如果终端时间小于卡的时间或大于终端的证书到期时间,则中止交易。如果卡不具有内置的实时时钟,例如塑料智能卡的情况下,可在智能卡芯片的非易失性寄存器内存储并从其读取卡的时间,且卡的时间在购买时根据终端时间推进,其条件是已验证终端证书且终端时间大于卡的时间但却不大于终端到期时间。
根据第五个方面,在商户终端成功完成储值支付后,卡根据其已知的储值和签帐的实际流动计算交易值,并为该交易值发布经卡数字签名和/或加密的支付记录。支付记录发送到并保存于商户终端,商户终端收集该支付记录以及终端接收到的其他支付记录,将其作为在商业周期末进行结算的基础。
需要注意的是,由卡发布并签名的支付记录可以储值发行方可读和可验证的任何形式存在。例如,它可以是一个文件或终端交易记录中的一个行项目。在后一种情况下,卡所提供的数字签名或消息认证码构成行的一部分。
因此,根据本发明的优选实施例,提供了一种在商户终端进行储值支付交易时由卡所执行的方法,该方法包括:(a)与商户终端建立接口连接;以及(b)将正数的第一笔储值金额存入卡中,其条件是在确认不小于第一笔金额的相应的第二笔金额由卡在商户终端支付之后。第二笔金额可以通过签帐支付。
如果以硬币表示储值且每一硬币都具有面额及序号,则不涉及签帐交易时,支付交易可包括指定的第一组零个或更多个硬币从商户终端流向卡,以及指定的第二组一个或更多个硬币从卡流向商户终端。在这种情况下,第一笔金额等于第一组的总价值且第二笔金额等于第二组的总价值。如果也包括签帐交易,那么第一笔金额等于第一组的总价值;第二笔金额等于第二组总价值和签帐交易价值的总和。
该方法还可包括:向商户终端提供可验证的一笔支付金额的支付记录,该笔支付金额是由卡通过从第二笔金额中减去第一笔金额所计算出来的。
该方法还可进一步包括:验证从商户终端接收的终端证书的有效性,并且如果验证结果为无效,则中止储值支付交易;以及如果验证结果为有效,则:(a)从卡的时间寄存器读取卡的时间;(b)从商户终端接收终端时间;以及(c)从终端证书检索终端到期时间,检查终端时间是否既不小于卡的时间又不大于终端到期时间,在检查结果为否定时,中止支付交易。但是,如果检查结果为肯定,则该方法还进一步包括:根据终端时间设置时间寄存器中卡的时间。
本发明的优选实施例还包括一种支付卡,其包括:(a)微处理器;(b)终端接口,其用于与可选商户终端可选择地建立接口连接从而进行支付交易;以及(c)签帐模块,其与微处理器配合以对远程帐户进行签帐;以及储值钱包,其用于存储储值以及与微处理器配合将储值的可选金额通过终端接口在支付卡和商户终端间进行转移,其中,在与选定的商户终端建立接口连接时,支付卡可操作以接受正数的第一笔储值金额,其条件是在确认不小于第一笔金额的相应第二笔金额由支付卡在选定的商户终端支付之后。当支付交易包括签帐和储值交易时,第一笔金额为储值钱包接收的储值净额,且第二笔金额由签帐模块进行支付。如果支付卡在基于硬币的储值系统中用于不包括签帐交易的支付交易,则支付交易包括:指定的第一组零个或更多个硬币从商户终端流向钱包,以及指定的第二组一个或更多个硬币从钱包流向商户终端;且第一笔金额等于第一组的总价值且第二笔金额等于第二组的总价值。当支付交易包括签帐和储值交易时,第一笔金额为储值钱包从选定的商户终端接收的硬币总价值,且第二金额等于以下两者之和:在选定的商户终端通过签帐模块支付的签帐金额和从储值钱包向选定的商户终端转帐的硬币总价值。该支付卡还可进一步操作以通过从第二笔金额减去第一笔金额计算支付金额,并向选定的商户终端提供该支付金额的可验证支付记录。
该卡可包括卡时间寄存器,且可操作以:验证从选定的商户终端接收的终端证书的有效性;如果验证结果为无效,则中止交易;以及,如果验证终端证书为有效,则终端从卡的时间寄存器读取卡的时间,从选定的商户终端接收终端时间,从证书检索终端到期时间,检查终端时间是否既不小于卡的时间又不大于终端到期时间,并在检查结果为否定时,中止交易。当检查结果为肯定时,卡可操作以根据终端时间设置卡时间寄存器中卡的时间。
本发明的优选实施例还包括一种商户终端,其包括:(a)卡接口,其用于与支付卡进行通信;(b)网络接口,其用于与储值处理服务器通过网络建立接口连接;(c)终端证书寄存器,其用于存储包括终端ID和终端到期时间的终端证书;以及(d)处理器,其被配置为:(i)在与储值处理服务器进行结算期间,更新存储于终端证书寄存器中的终端证书,以及(ii)在与卡建立接口连接期间,向卡提供终端证书。
本发明的优选实施例还包括一种储值处理服务器的操作方法,其包括:与商户终端建立接口连接;从商户终端接收终端标识;以及如果对于终端标识没有发现违规事项,则为商户终端发布新的终端证书并向商户终端提供该新的终端证书,其中该终端证书包括至少一个终端标识和终端到期时间。当且仅当没有发现违规事项时,本方法还包括执行与商户终端的储值结算。
附图简述
通过下列详细说明并结合其中的附图,可使人们更好地理解和评价本发明。
图1为本发明优选实施例所述支付系统的简化方框图。
图2为终端证书的简化方框图。
图3为说明卡的时间、终端时间和终端到期时间排列的简化方框图。
图4为与商户终端建立接口连接时卡操作的简化流程图。
图5为本发明优选实施例所述支付交易的简化流程图。
图5A为本发明另一优选实施例所述支付交易的简化流程图。
图5B为本发明优选实施例所述的在商户终端进行可选支付和/或加载交易的简化流程图。
图5C为本发明优选实施例所述的在商户终端进行可选支付交易或在加载终端进行安全的加载交易的简化流程图。
图6为说明储值支付记录中示范内容的简化方框图。
图7为本发明优选实施例所述结算程序的简化流程图。
具体实施方式
支付系统
如图1所示,根据本发明的一个优选实施例描述了一种支付系统100。该系统包括:为多个支付卡之一的支付卡110、为多个商户终端之一的商户终端140、处理贷记和/或借记业务的签帐处理服务器180以及管理和监督与储值产生、结算、审计和安全相关的所有方面的储值处理服务器190。
支付卡110为智能卡,其包括用于存储和处理数据的安全芯片且可以任何便携的形式进行封装,如塑料卡、钥匙扣异型卡或移动电话。优选但非必然地,支付卡110为经EMV标准认证的多应用卡。卡的微处理器126管理支付卡110的通信和处理功能,其包括下述的卡的时间寄存器114、签帐模块118和储值钱包122的全部或部分,而余下部分则可选地运行在下述可选专用硬件组件上。
如在贷记和借记支付技术中所知的,签帐模块118包括帐户和持卡人数据、密钥和交易参数,以使支付卡110能够与商户终端140和签帐处理服务器180合作来进行贷记和/或借记交易。优选但非必然地,支付系统100允许支付卡110按本领域技术中已知规定和规则在商户终端140上进行联机和脱机签帐。
卡的时间寄存器114向卡的微处理器126提供支付卡110所知的最近一次时间。在一些优选的实施例中,如当支付卡110嵌入移动电话时,卡的时间寄存器114可以为实时时钟。另一方面,在卡的形式为普通塑料卡的情况下,卡自身不具有电源,从而使实时时钟无法运行。在这种情况下,卡的时间寄存器114为非易失性存储器存储装置,并在有效支付交易时根据商户终端的当前时间进行调整,具体情况请参照下面的图4。
优选地,储值钱包122包括安全存储装置,该存储装置用于存储储值、用于验证下述储值交易数据和终端证书的密钥、交易日志信息和用于卡的微处理器126的储值相关操作的软件,储值钱包122还可能包括用以运行储值特定或加密计算的自主控制器。在一些实施例中,卡的时间寄存器114可以作为储值钱包122的一部分来实现。
终端接口130允许卡的微处理器126在支付交易时与商户终端140进行通信。如果支付卡110自身没有电源,终端接口130也可在交易中从商户终端140获得电能从为支付卡110提供能量。如果支付卡110为自能式,那么终端接口130则可为标准智能卡的接触接口(例如,根据ISO 7816标准)、使用电磁信号进行数据交换且可能通过电磁感应为支付卡110提供能量的非接触电磁接口(例如,根据ISO14443标准)、或红外或蓝牙接口。
商户终端140与支付卡110建立接口连接以进行支付交易。支付可以是为了购买商品或服务;然而,在本发明公开的上下文中,以向储值钱包122加载储值金额并通过签帐模块118签帐该金额(在添加适用费用时可能出现)为结束单纯的加载交易的也将被认为是支付交易。卡接口144与支付卡110的终端接口130通过链路134建立接口连接,连接使用匹配技术,如标准智能卡的接触接口、非接触电磁接口或蓝牙或红外接口。如果支付卡110不是自能式,那么卡接口144也可以在交易时为支付卡110提供能量。
购买单元142确定需要通过卡支付的金额。在实例中,购买单元142包括连接到扫描仪的收银机;自动售货装置,如售货机、停车计时器或付费公用电话;或用于从人类操作员接收支付金额的小键盘。购买单元142可以为商户终端140的组成部分,或在商户终端140其他部分物理结构之外并通过通信链路与终端微处理器148进行通信。
终端微处理器148与商户终端140的其他单元相连接以执行商户终端140的计算和通信任务。优选地,签帐处理器156为非易失性存储器,其包括用于通过终端微处理器148执行贷记和/或借记交易的商户终端140的软件和凭证。这些交易在一端是与支付卡110的签帐模块118进行,而在另一端是与签帐处理服务器180进行。
优选地,储值处理器152为非易失性存储器,其包括用于通过终端微处理器148执行与支付卡110的储值钱包122的储值交易和用于与储值处理服务器190的储值处理器模块194进行储值结算的商户终端140的软件和凭证。如下面所讨论的,可根据多种储值方案进行储值交易。实时时钟160向终端微处理器148提供当前日期和时间的数据,作为报告和操作应用的输入。终端证书寄存器168(见图2)存储在成功结算时从储值处理服务器190的终端证书发布器模块192接收的终端证书,且下面的如图4所示,支付卡110将对该证书进行检查。网络接口164允许商户终端140通过网络170与签帐处理服务器180和储值处理服务器190进行通信。
签帐处理服务器180是金融机构或专业交易处理商的服务器,其将商户终端140与各收单机构和发卡方联系起来,从而进行特定的贷记和/或借记授权和结算交易。
储值处理服务器190与商户终端140进行接口连接以进行储值相关的结算和服务,这些结算和服务大部分由储值处理器模块194执行,根据所使用的储值支付系统的详情,储值处理器模块194包括数据存储和处理硬件以及程序和凭证,用于安全处理与商户终端140的储值转帐和用于对此类转帐进行说明。本发明的一个优选实施例提供一种改进的支付系统,其使用签帐和找零(美国专利号为5744787和6076075的专利)、基于硬币的审计(美国专利号为6119946和6467685的专利)和带标记的结算(美国专利号为6065675的专利),其中储值处理器模块194还管理成功结算时商户终端140中的储值准备、硬币的检查和刷新,以及根据卡的品牌进行结算汇总。
终端证书发布器模块192在与商户终端140成功结算时发布存于终端证书寄存器168中的新的证书。该证书包括终端ID以及到期时间,其中到期时间等于下一预期结算时间加上预定的安全容限。例如,如果后续结算预计在24小时内发生,则该证书可包括从目前结算时间开始的48小时的到期时间。可通过任一有效卡对证书进行数字验证,且可使用数字安全领域中已知的技术对证书进行加密保护,因此未经授权的一方伪造证书是不可行的,或者至少是代价昂贵的。然而,假定受到安全危害的商户终端140的证书是可读的并可复制到克隆终端上,且没有延长证书到期时间。
网络170为专用金融网络或公共网络,如因特网或移动网络。网络170用于可选择地将商户终端140与签帐处理服务器180和储值处理服务器190连接。
链路134是持卡人在商户终端140出示支付卡110进行支付时临时在支付卡110和商户终端140之间建立的,使卡的微处理器126和终端微处理器148之间可进行数据通信。在某些情况下,链路134还由商户终端140向支付卡110提供电能。链路134的技术与上述终端接口130和卡接口144的技术相匹配。
链路174可选择地将商户终端140与签帐处理服务器180连接起来以授权和结算贷记和/或借记支付,并将商户终端140与储值处理服务器190连接起来以通过网络170进行储值相关的交易。优选但非必然地,商户终端140也可在脱机模式中运作,这时链路174可以断开或闲置。链路174可使用任何与网络接口164和网络170的技术相匹配的通信技术。
终端证书
图2描述了两个优选实施例,即终端证书200的经签名的终端证书202和经加密的终端证书204,终端证书200由终端证书发布器模块192产生、存储在终端证书寄存器168中并由卡的微处理器126检查。经签名的终端证书202是明文字符串,其包括三个字段:(1)终端ID 200T,其在结算时向储值处理服务器190并且也可能在支付时向支付卡110唯一标识商户终端140,用于交易日志记录;(2)终端到期时间200E,其由储值处理服务器190根据下一预期结算时间优选地加上安全容限而确定,安全容限是针对结算合理延迟的情况,以及(3)数字签名200D,其对终端ID 200T和终端到期时间200E进行签名并可由卡的微处理器126进行验证。因此,经签名的数字证书200的内容是明晰的且可由任何人读取,而数字签名200D则可防止非法生成假冒证书。
加密终端证书204包括加密形式的如签名终端证书202中的终端ID 200T和终端到期时间200E的数据。优选地,证书由终端证书发布器模块192生成,在结算时提供给商户终端140并以加密形式存储于终端证书寄存器168中。在支付时将证书提供给任一支付卡110时,卡接收证书并使用适当的在卡与终端证书发布器模块192之间共享的密钥解密加密的数字证书204(优选地,使用非对称密钥,其中终端证书发布器模块192保存私钥而在储值钱包122中包含公钥)。因此,加密终端证书204的内容存储于商户终端140的终端证书寄存器168中,但其加密使任何黑客攻击商户终端140的人都难以看到它,进一步地,这也使假冒证书的变得不可行。
终端证书200的目的是为了将由被盗终端带来的破坏性操作限制在通常几日内,之后证书将过期,从而导致终端不可操作,这是因为卡会中止与过期终端的交易(见下图4)。被盗终端也可能被识别并被报告给储值处理服务器190,然后终端证书发布器模块192将不会再延长其证书的有效期。因此,即使对被盗终端及其证书进行了克隆,所有克隆体的活动都将在证书到期时间终止。
如果终端在未被偷盗的情况下被利用或黑客攻击,最初将无法识别和报告此类受安全危害的终端,而且将正常地更新其证书,从而允许进一步地利用该终端。然而,有效的审计机制,如美国专利号为6119946和6467685的专利中基于硬币的审计,将在结算时有效地发现被利用的终端,这不仅能中止其证书的更新,还可以没收该终端并可能识别出利用该终端的罪犯。
时间单位和时钟精度
本讨论涉及三个时间值:卡的时间寄存器114中卡的时间、从终端实时时钟160检索的终端时间以及通过验证终端证书200而获得的到期时间。这三个时间值始终都包含日期且可用不同的时间单位表示。例如,终端时间可以精确到秒,卡的时间可以精确到小时,而终端到期时间则可以精确到日(即到期时间实际上为到期日期)。在本领域技术中,在这种情况下进行时间很常见。此外,假定已适当考虑了时区和夏令时间,在此将不再另行讨论。
时钟精度也可能会影响时间的比较。针对这种影响,向时间比较标准引入“宽限期”(如一分钟)。在任何基于时间比较的决策中都可能包括此类预定义的容限,在此将不再另行讨论。
图3说明了6个场景A-F,其涉及在支付期间与商户终端建立接口连接时的卡,这些场景基于对卡的时间寄存器114中卡的时间、从终端实时时钟160检索的终端时间以及通过验证终端证书200而获得的到期时间的比较。场景(A)对正常操作来说是正确的,因为如果卡的时间寄存器114为实时时钟,则预计卡的时间与终端时间大致相等,并且如果卡的时间寄存器114为前一次购买交易时更新的非易失性存储寄存器,则预计卡的时间早于终端时间;另外,预计终端时间不迟于到期时间。场景(B)-(F)中的每一场景呈现的均为异常现象,优选地,这些场景会使卡中止交易,因为在场景(B)、(D)、(E)和(F)中,终端证书相对于卡和/或终端时间已过期,并且在场景(C)、(D)和(F)中,终端时间早于卡的时间,这种情况在正常合法条件下是不被预期的。
检查终端证书的有效性和更新卡的时间
图4描述了在支付时由支付卡110执行的用以检查商户终端有效性的程序。在步骤201中,持卡人在商户终端140出示支付卡110以进行支付交易;卡和终端通过终端接口130、链路134和卡接口144进行通信,并且卡接收由终端从终端证书寄存器168检索到的终端证书200。另外,卡从终端接收终端从实时时钟160检索到的终端时间以及由购买单元142确定的支付金额请求。
在步骤205中,卡检查终端证书200的有效性;例如,如果使用经签名的终端证书202,则检查数字签名200D以验证终端ID 200T和终端到期时间200E的真实性;如果使用加密终端证书204,则由支付卡110对其解密以检索终端ID 200T和终端到期时间200E。如果发现证书无效,则于步骤229中止交易,且卡将不会与终端进行进一步合作。
如果步骤205中发现证书有效,那么步骤213验证终端时间是否不早于卡的时间且不迟于终端到期时间(图3中场景(A))。如果验证结果为否定,则于步骤229中止交易;否则,则于步骤221中根据终端时间可选地设置卡的时间。如果卡包括实时时钟(例如,如果卡构成移动电话的一部分),或者如果卡的时间已经等于终端时间(如果卡的时间实际上为卡的日期且已在同一天进行的前一次成功的购买交易中对该日期进行正确设置,则可能发生这种情况),也可以跳过步骤221。在步骤225中,执行交易,进一步的描述请参照下面的图5。
如果在终端证书到期时,图4所描述的过程能禁用被盗或被利用的终端,则很理想。由于卡的时间寄存器114最近没有更新,有些卡可能仍然会与被黑客攻击的终端进行合作,其中该终端的实时时钟已被设置为早于证书到期日期,但是,如果假定经常在若干终端使用卡以进行购买,且假定绝大多数的终端都未受到安全危害且因正确地维护卡的时间,被黑客攻击的终端及其克隆终端最终将在其证书到期且无法由储值处理服务器190的终端证书发布器模块192进行进一步的更新时变得无法操作。
如果仍然有效的遭受黑客攻击的终端无法通过在步骤221中设置卡的时间为将来很远的时间(这可能导致在步骤213中卡将合法终端认为是过期终端)来对卡构成危害,因为步骤213中的条件允许将卡的时间设置(步骤221)为不迟于经验证的到期时间(这通常为一或两天内),则很理想。
支付交易
图5描述了在商户终端140由支付卡110进行的支付交易(图1)。下述操作和决策中,一部分由商户终端执行,其他的则可由商户终端或支付卡执行,还有一些出于安全的原因必须由支付卡执行;值得注意的是,支付卡被认为是安全和可信任的,而商户终端在本发明上下文中则被认为是非信任的。下述支付交易遵循签帐和找零(美国专利号为5744787和6076075的专利)的逻辑。
在步骤241中,储值钱包122中金额为V美元的支付卡110与商户终端140建立接口连接以进行金额为P美元的支付(P>0)。优选但非必然地,在执行图4程序(其中卡确认商户终端140具有有效的未到期证书)后执行步骤241。为简单起见,此处及下列图中将不描述卡和终端间相互认证的特定方法。
根据签帐和找零(美国专利号为5744787和6076075的专利),参数最小签帐金额($MINCHARGE)定义了适于进行常规签帐(贷记或借记)交易的阈值。在步骤245中,由终端将支付金额P美元与最小签帐金额进行比较,如果其等于或大于最小签帐金额,则在步骤253中将交易提交至商户终端140的签帐处理器156,从而按常规方式根据签帐模块118对支付卡110进行金额为P美元的签帐。但需注意的是,在一些终端中,步骤245和253是多余的且未使用的,这是因为已知在终端的所有支付金额P美元均低于最小签帐金额。如商户终端140与停车计时器、售票机或售货机进行合作,可能会是这种情况。
在步骤249中,由终端或卡检查存于支付卡110的储值钱包122中的当前储值余额V美元,从而确定其是否足以用于支付支付金额P美元。如果步骤249中检查结果为肯定,则在步骤257中,通过储值将金额P美元(经卡检查其为正数以防止罪犯在支付交易时有效地将储值注入卡中)从卡转帐至商户终端,这样,储值钱包122的余额变成V-P美元。可选地,金额为P美元的储值转帐基于美国专利号为6119946和6467685的专利中所述的硬币交换,这为储值转帐提供了符合成本效益的审计机制,如下图5A所述。在步骤265中,卡生成金额为P美元的储值支付记录并将其提供给终端,该储值支付记录由卡签名且可通过储值处理服务器190的储值处理器模块194进行验证,进一步描述请参照下图6。
如果在步骤249中,储值金额V美元不足以用于支付金额P美元,那么在步骤251中,卡或终端确定签帐金额X美元和找零金额Y美元。根据美国专利号为5744787和6076075的专利中所述的签帐和找零,X美元通常等于上述的最小签帐金额参数,但也可将X美元设置为较大的值,该较大的值由通过编程植入商户终端140的储值处理器152或支付卡110的储值钱包122的操作规则所确定。找零金额Y美元由终端或卡计算,为X-P美元。
在步骤261中,由与支付卡110的签帐模块118合作的商户终端140的签帐处理器156对卡进行金额为X美元的签帐,且卡通过签帐模块118验证X美元的支付已成功。然后,在步骤269中,支付卡110的储值钱包122同意从商户终端140的储值处理器152接受净储值金额Y美元(仅当Y≤X时);该储值转帐最终可使储值钱包122中的金额为V+Y美元。可选地,该储值转帐基于美国专利号为6119946和6467685的专利中所述的硬币交换,这为储值转帐提供了符合成本效益的审计机制。最终,卡计算X-Y美元,即签帐金额减去从终端接收的作为找零的储值金额,并生成X-Y美元的储值支付记录并将其提供至终端,其中储值支付记录由卡签名和/或加密且可通过储值处理服务器190的储值处理器模块194进行验证,进一步描述请参照下图6。
值得注意的是,尽管终端在确定P美元、X美元和Y美元时可以做出全部或部分的决策,但卡却单独且严格地控制以下操作:
●只有在验证联机或脱机签帐(X≥Y,步骤269)已成功完成的情况下,卡才接受净额为Y美元的储值。这可以防止黑客使用遭受黑客攻击的商户终端将大量储值金额注入将在其它地方消费的卡中,同时使向卡添加储值依赖于对卡进行更大金额的签帐,令此类交易丧失了对持卡人的吸引力。此外,优选地,由商户终端140的签帐处理器156和支付卡110的储值钱包122中之一或全部对X美元进行限定,从而将签帐和找零交易限制在相对较小的金额,如等于最小签帐金额或不高于最小签帐金额的两倍,这也进一步地限制了使用遭受黑客攻击的商户终端对卡进行充值以在其他终端消费以进行购买的危害和犯罪动机。
●根据图1所示支付系统100涉及的基于智能卡的签帐(例如:贷记或借记)方案,假定在联机和脱机交易中支付卡110的签帐模块118(图1)都已知晓通过终端对卡进行的签帐金额(如本例中的X美元)。例如,如果签帐方案基于EMV标准,那么根据2005年12月EMVCo公司发布的1.0版通用支付应用规范的§15.4(脱机签帐)和§17.4(联机签帐),卡已知晓签帐金额。
●签帐模块118和支付卡110的储值钱包122进行通信,从而使储值钱包122知晓由签帐模块118已成功进行金额为X美元的签帐,其中通信具有多种方式,例如,在支付卡110中存储可由卡的微处理器126访问的消息,或在商户终端140中存储经签帐模块118签名的消息。
●卡生成并提供金额为X美元(签帐金额)减去Y美元(找零金额)或P美元(接收的正数储值金额)的经签名和/或加密的储值支付记录(步骤273和步骤265),卡直接知晓所有的值。因此,在为了确定由储值处理服务器190支付给商户的金额而进行结算时,由商户终端提交的由卡签名和/或加密的储值支付记录,不能由商户终端在结算时为了主张与过多的储值相关的金额而任意确定。这将大大限制使用遭受黑客攻击的商户终端在结算时主张过多的与储值相关的金额的商户的危害和犯罪动机。
使用硬币进行审计
根据美国专利号为6119946和6467685的专利中所述,可选用硬币表示储值,其中每一硬币均具有面额和唯一的序列号,这使得储值处理服务器190的储值处理器模块194可有效且快速地识别受安全危害的终端和与此类终端配合的卡,此类装置将被检测为提供假硬币(由于此类硬币具有重复或尚未发行的序号,所以被识别)的焦点。一旦发现可疑终端或卡,将开展调查识别商户/持卡人,调查将立即导致停止向受安全危害的终端提供新的证书,并作为针对商户和持卡人犯罪的威慑。
如果使用基于硬币的储值,则在图5的步骤257和269中进行的两笔储值转帐交易将使用硬币分别将金额P美元从卡移至终端或将金额Y美元从终端移至卡中。在这两种情况下,不同面额的硬币可以双向转移,但仅有转帐净额(即P美元或Y美元,为卡已知)用于确定由支付卡提供给商户终端的储值支付记录中报告的交易金额。
有关在基于硬币的储值系统中使用本发明的详细讨论,请参阅下面的图5A。
储值结算方案
图5中的储值支付交易的最终得出记录在商户终端的金额为P美元或X-Y美元的储值支付记录。理想情况是,合适的终端将计算X美元-Y美元=P美元,因此,在这两种情况下,由商户终端累计的支付记录中都登记了实际支付金额P美元,作为进一步储值相关结算的基础。通过引用纳入本发明的美国专利号为6065675的专利中描述了基于此类交易记录进行结算的详细方案,其中记录按卡的品牌进行累计且按品牌计算商户费用。图5的过程可确保由各卡生成其支付记录并对相应记录进行签名,从而防止商户终端生成虚假储值支付记录。显然,受到安全危害的终端可以提供合法支付记录的复制记录,但由于每条记录都是唯一的(参阅下图6),储值处理服务器190的储值处理器模块194将立即发现此类复制记录,从而避免任何损害并高度威慑潜在罪犯采取行动。
基于硬币的储值系统中的支付交易
参阅图5的前文讨论提到根据美国专利号为6119946和6467685的专利可以使用硬币来表示储值。使用序列化的具有不同面额的硬币以表示储值的方式可提供符合成本效益的审计机制,该机制对本发明也是有益的。参阅图5A的本讨论说明了如何使图5所示机制进一步地适应使用基于硬币的储值的实现。
图5A描述了由支付卡110在商户终端140进行的支付交易(图1)。下述操作和决策中,一部分由商户终端执行,其他的则可由商户终端或支付卡执行,还有一些出于安全的原因必须由支付卡执行;值得注意的是,支付卡被认为是安全和可信任的,而商户终端在本发明的上下文中则被认为是非信任的。下述支付交易遵循签帐和找零(美国专利号为5744787和6076075的专利)和基于硬币的审计(美国专利号为6119946和6467685的专利)的逻辑,且这些内容均通过引用纳入本文。
在步骤241A中,储值钱包122中储值金额为V美元的支付卡110与商户终端140建立接口连接以进行金额为P美元的付款,其中V美元由硬币表示。优选但非必然地,在执行图4程序后执行步骤241,其中在图4程序中卡确认商户终端140具有有效的未到期证书。
根据签帐和找零(美国专利号为5744787和6076075的专利),参数最小签帐金额定义了适于进行常规签帐(贷记或借记)交易的阈值。在步骤245中,终端将付款金额P美元与最小签帐金额进行比较,如果其等于或大于最小签帐金额,则在步骤253中将交易提交至商户终端140的签帐处理器156,从而按常规方式根据签帐模块118对支付卡110进行金额为P美元的签帐。但需注意的是,在一些终端中,步骤245和253是多余且未使用的,因为在终端的所有支付金额P美元均低于最小签帐金额是已知的,如商户终端140与停车计时器、售票机或售货机进行合作时就是这种情况。
在步骤249中,由终端或卡检查存于支付卡110的储值钱包122中的当前储值余额V美元,从而确定其是否足以用于支付支付金额P美元。
如果步骤249中检查结果为肯定,则在步骤255中,由支付卡110的储值钱包122或商户终端140的储值处理器152对金额P美元进行处理,从而确定需要从卡转帐到商户终端的硬币(如美国专利号为6119946和6467685的专利中图13的步骤131-1所述),同时由储值钱包122计算出硬币的总价值并记为B美元;并确定需要从商户终端转帐到卡的硬币(如美国专利号为6119946和6467685的专利中图13中步骤131-3所述),同时由储值钱包122计算出硬币的总价值并记为A美元。
在步骤257A中,只有在验证了A美元<B美元的情况下,即在购买交易中储值钱包122中的储值总金额不会有有效增加时,卡才将在步骤255中确定的总价值为B美元的硬币发送至终端并同意从商户终端接收在步骤255中确定的总价值为A美元的硬币;否则,卡将拒绝将储值转帐到卡中或中止交易。如果卡控制硬币交换的计算和执行,那么优选地,卡将在接受终端的硬币前首先将硬币发送至终端,或以另外的方式使用硬币交换协议,除非硬币交换是按卡的决定进行的,否则该协议将中止硬币交换交易。这样,即使在商户终端计算卡和商户终端间进行交换的硬币的情况下,也可以防止入侵商户终端的黑客利用硬币交换机制将假冒储值有效地注入卡中。
步骤265A中,卡向终端提供金额为B-A美元(其代表按卡所计算的由卡转帐到商户终端的储值净额)的支付记录。该支付记录由卡进行签名和/或加密且在结算时可由储值处理服务器190的储值处理器模块194进行验证,进一步描述请参照下图6。
如果在步骤249中储值金额V美元不足以用于支付金额P美元,那么在步骤251A中,由支付卡110的储值钱包122和/或商户终端140的储值处理器152处理金额P美元和V美元,从而确定签帐金额X美元(如图5中步骤251所示);需要从卡转帐至商户终端的硬币,同时由储值钱包122计算其总价值并记为B美元;以及需要从商户终端转帐至卡的硬币,同时由储值钱包122计算其总价值并记为A美元。在美国专利号为6119946的专利中,第14-15列说明了在签帐金额为X美元的上下文中的各硬币转帐。
在步骤261中,由与支付卡110的签帐模块118合作的商户终端140的签帐处理器156对卡进行金额为X美元的签帐,且卡通过签帐模块118验证X美元的支付已成功。
在步骤269A中,只有在验证了A美元≤X+B美元的情况下,即在签帐和找零交易中对卡进行金额为X美元的签帐后储值钱包122中的储值总金额没有有效增加时,卡才将步骤251A中确定的总价值为B美元的硬币发送至终端并同意从商户终端接收在步骤251A中确定的总价值为A美元的硬币。这样,即使在商户终端计算卡和商户终端间进行交换的硬币的情况下,也可以防止入侵商户终端的黑客利用硬币交换机制将假冒储值有效地注入卡中。
在步骤273A中,卡向终端提供金额为X+B-A美元(其代表按卡所计算的签帐+由卡转帐至商户终端的储值的净额)的支付记录。该支付记录由卡进行签名且可由储值处理服务器190的储值处理器模块194进行验证,进一步描述请参照下图6。
■在支付终端处的不安全加载
图5B描述了在非信任终端处金额为P美元的支付和/或加载会话。在步骤241B中,卡与支付终端建立接口连接以进行金额为P美元的支付,其中P美元已由从人或自动商户所接收的输入确定。在可选步骤245B中,按支付金额自动确定或根据从持卡人或商户所接收的输入手动确定是否通过签帐进行支付。在结果为肯定的情况下,可于步骤253中按常规方式通过签帐进行支付。在步骤249B中,确定下一步骤是否将启动支付或加载交易,例如当钱包中的现余额小于P美元或持卡人想加载储值以备以后使用时,就有必要进行加载交易。如果在步骤249B中已决定进行支付时,那么则在步骤257中,将正数的净额为P美元的储值从卡转帐至终端(既可以使用硬币也可以使用其它形式的储值),并且在步骤265中,卡向终端提供经签名和/或加密的P美元支付记录。在步骤275中,终端从持卡人收到的输入可能表明持卡人对另一交易有兴趣,例如,为了将额外的储值手动加载到卡中以备以后使用,在这种情况下,程序将返回至步骤249B。
如果在步骤249B中,选择了加载,那么程序将来到步骤251B以确定加载金额X美元,例如根据从持卡人收到的输入进行确定。在图5B的场景中,假定加载会话是不安全的,即其不是通过支付卡110和储值处理服务器190间的安全会话(见图1)来完成的,其中商户终端140仅作为通信管道。在步骤261中,卡在终端通过签帐支付X美元并通过支付卡110的签帐模块118验证该支付(图1),其中支付可以在联机或脱机模式下进行。在步骤269B中,只有在验证Y美元等于X美元或在应用加载费用时Y美元稍小于X美元的情况下,卡才接受将金额为Y美元的储值存入储值钱包122。在步骤275中,终端接收来自持卡人的输入以确定是否结束会话或返回至步骤249B以进行另外的交易,例如,使用刚加载的储值进行购买。
硬币的安全加载
图5C描绘了硬币钱包的使用模式,该硬币钱包可通过支付卡110的储值钱包122与储值处理服务器190间的安全会话进行加载并可在商户终端140进一步进行储值硬币购买。
在步骤241C和步骤249C中,持卡人选择是要访问加载终端以将储值加载到卡中还是要访问支付终端以使用卡进行支付。此处的“加载终端”为可在支付卡110和储值处理服务器190间提供数据通信的任何通信装置,如商户终端或有人操纵的加载点(也可以接受使用现金加载)、个人电脑、移动电话或自动取款机(ATM)。如果已选择加载交易,那么在步骤281中,在支付卡110和储值处理服务器190间建立安全的加载会话。在步骤285中,可根据加载终端的性质,通过使用卡签帐或使用其它卡签帐,或现金支付的方式支付加载金额以及可选地还有服务费。在步骤289中,支付卡110或储值处理服务器190计算需存入硬币储值钱包122和从其中转出的硬币,且在步骤293中,硬币实际依然在步骤281中建立的安全会话下被转移。
值得注意的是步骤281-293的加载会话,其中卡无需(但仍可以)对硬币流进行监督,这是因为支付卡110和储值处理服务器190都是可信任的,且两者之间的加载会话是通过安全的通信会话进行的。
如果在步骤241和步骤249中,持卡人选择在非信任商户终端进行金额为P美元的支付,那么在步骤255中,卡和/或商户终端计算并确定需从商户终端移至卡中的总价值为A美元的硬币,以及需从卡移至商户终端的总价值为B美元的硬币。在步骤257A中,只有在验证了A美元<B美元的情况下,即在购买交易中储值钱包122中的储值总金额不会有效增加时,卡才将在步骤255中确定的总价值为B美元的硬币发送至终端并同意从商户终端接收在步骤255中确定的总价值为A美元的硬币;否则,卡将拒绝将储值转帐到卡中或中止交易。如果卡控制硬币交换的计算和执行,那么优选地,卡将在接受终端的硬币前首先将硬币发送至终端,或以另外的方式使用硬币交换协议,除非硬币交换是按卡的决定进行的,否则该协议将中止硬币交换交易。这样,即使在商户终端计算卡和商户终端间进行交换的硬币的情况下,也可以防止入侵商户终端的黑客利用硬币交换机制将假冒储值有效地注入卡中。
值得注意的是,在图5C所示程序下,卡不一定具有签帐功能,这是因为在一些实施例中,也可使用其它卡进行签帐或使用现金支付来进行储值的加载。本实施例对于诸如由家长加载且由孩子使用的储值卡来说,可能具有较大的吸引力。
储值支付记录
如前文参照图5所讨论的,储值支付交易的结束于步骤265或步骤273,即卡分别生成金额为P美元或X-Y美元的储值支付记录并将其发送至终端。图6说明了此类储值支付记录280的内容。优选地,使用商户终端140的储值处理器152可读并解释的文本字符串来表示支付记录。文本字符串包括4个字段:卡信息280C、终端信息280T、支付信息280P和数字签名280D。卡信息280C通过传统数据(如卡号或发卡方)标识支付卡110。终端信息280T通过卡从终端证书200检索到的终端ID 200T标识终端。支付信息280P包括图5步骤265的金额P美元或步骤273的金额X-Y美元;优选地,其还包括假定等于图4步骤201中接收的终端时间的交易时间,并且还可能包括从终端接收的交易序号。如果在图5的步骤261中执行了金额为X美元的签帐交易,支付信息280P还可包括该交易的详情。数字签名280D是由支付卡110的储值钱包122对于字段280C、280T和280P的内容而生成,并在结算时可由储值处理服务器190进行验证。
储值结算
图7描述了结算过程,商户终端140定期通过网络170与储值处理服务器190连接以发起该结算过程。此类结算的典型频率为一天或两天一次,优选地,是在晚上的空闲时间进行,或根据需要安排。结算的频率由储值处理服务器190预先确定,其将影响储值处理服务器190在结算时提供给终端的终端证书200的到期时间。值得注意的是,商户终端140可通过与签帐处理服务器180的连接进行另一个结算会话,从而对图5的步骤253中做出的签帐进行传统地结算。
在步骤305中,商户终端140与储值处理服务器190相连以进行结算。在步骤313中,终端将图5步骤265或步骤273中记录的所有储值支付记录280、在图5步骤261中签帐和找零上下文中进行的所有签帐以及审计数据都报告给储值处理服务器190。所有报告的信息均与自从前一次储值结算之后进行的交易有关,在商户终端上将针对下一次业务周期重置数据。可单独报告步骤261中进行的签帐和找零的签帐或如上文所述将其包含在储值支付记录280的支付信息280P中。优选但非必然地,按美国专利号为6119946和6467685的专利中所述,审计数据为硬币形式,其中硬币为储值处理服务器190的储值处理器模块194交换的以针对下一业务周期重置储值处理器152为指定准备金额。
在步骤317中,储值处理服务器190的储值处理器模块194编译所接收的审计数据、步骤261的签帐交易和储值支付记录280以识别违规事项。一类违规事项为所有储值支付记录280的总货币价值、步骤261中的签帐总金额和重置商户终端140的储值处理器152为其准备金额(见美国专利号为5744787和6076075的专利)所需的(正数或负数)储值金额之间不匹配。另一类违规事项为,在按美国专利号为6119946和6467685的专利所述实现了基于硬币的审计系统的系统中,检测出具有重复或尚未发行序号的硬币。还有一类违规事项为,发现未正确签名、不在当前的支付时间段中、与另一储值支付记录重复或为另一商户终端的支付记录的储值支付记录280。如果检测到了违规事项,则该事项将被报告并可能引发人们进行调查、决策、干预和采取纠正措施。如果步骤317中未检测到违规事项,那么在步骤321中,如美国专利号为6065675的专利中所述,对于所有的储值支付记录280,将对商户的银行帐户进行贷记,并从中扣除一笔费用,其中费用扣除可能是根据卡的品牌来进行。
如果步骤317中未检测到违规事项,那么在步骤325中,储值处理服务器190的终端证书发布器模块192将发布具有根据下一预期结算时间的到期时间的新的终端证书200,并且终端将为下一业务周期做好准备。
尽管本发明已使用有限的实施例进行阐述,本领域技术人员应认识到所述实施例仅用于说明,而非限制本发明的范围。凡在本发明的精神和原则之内由本领域技术人员所作的各种功能的组合、亚组合、变更、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1.一种在商户终端进行储值支付交易时由卡所执行的方法,所述方法包括:
●与商户终端建立接口连接;以及
●接受存入卡中的正数的第一笔储值金额,其条件是在确认不小于所述第一笔金额的相应第二笔金额由所述卡在所述商户终端支付之后。
2.根据权利要求1所述的方法,其中所述第二笔金额是通过签帐而支付的。
3.根据权利要求1所述的方法,在基于硬币的储值系统中进行不包括签帐交易的支付交易,则所述支付交易包括:
●指定的第一组零个或更多个硬币从所述商户终端流向所述卡,以及
●指定的第二组一个或更多个硬币从所述卡流向所述商户终端;
其中,所述第一笔金额等于所述第一组的总价值且所述第二笔金额等于所述第二组的总价值。
4.根据权利要求1所述的方法,在基于硬币的储值系统中进行包括签帐交易和储值交易的支付交易,则所述支付交易包括:
●指定的第一组一个或更多个硬币从所述商户终端流向所述卡,以及
●指定的第二组零个或更多个硬币从所述卡流向所述商户终端;
其中:
●所述第一笔金额等于所述第一组的总价值;且
●所述第二笔金额等于以下两者之和:
■所述第二组的总价值,以及
■所述签帐交易的价值。
5.根据权利要求1所述的方法,其还包括:
●通过从所述第二笔金额中减去所述第一笔金额来计算支付金额,以及
●向所述商户终端提供所述支付金额的可验证支付记录。
6.根据权利要求1所述的方法,其还包括:
●验证从所述商户终端接收的终端证书的有效性,并且如果所述验证结果为无效,则中止储值支付交易;以及
●如果所述验证结果为有效,则:
■从所述卡的时间寄存器读取卡的时间,
■从所述商户终端接收终端时间,
■从所述终端证书检索终端到期时间,
■检查所述终端时间是否既不小于所述卡的时间又不大于所述终端到期时间,以及
■在所述检查结果为否定时,中止支付交易。
7.根据权利要求6所述的方法,其还包括:在所述检查结果为肯定时,根据所述终端时间在所述时间寄存器中设置所述卡的时间。
8.一种在商户终端进行储值支付交易时由卡所执行的方法,所述储值由数字硬币表示,每一硬币均具有序号以及多种面额中的一种面额,所述方法包括:
●与商户终端建立接口连接;以及
●从所述商户终端接受正数个硬币,其总价值等于第一笔金额,所述接受的条件是在确认不小于所述第一笔金额的相应第二笔金额由卡在所述商户终端支付之后。
9.根据权利要求8所述的方法,在包括签帐交易和将零个或更多个硬币从所述卡转帐到所述商户终端的支付交易中,其中所述第二笔金额等于所述签帐交易价值与所述零个或更多个硬币总价值的总和。
10.根据权利要求8所述的方法,在不包括签帐交易而包括将一个或更多个硬币从所述卡转帐到所述商户终端的支付交易中,其中所述第二笔金额等于所述一个或更多个硬币的总价值。
11.一种支付卡,其包括:
●微处理器;
●终端接口,其用于与可选商户终端可选择地建立接口连接从而进行支付交易;
●签帐模块,其与所述微处理器配合以对远程帐户进行签帐;以及
●储值钱包,其用于存储储值,并与所述微处理器配合将可选的储值金额通过所述终端接口在所述支付卡和商户终端之间进行转移,
其中,在与选定的商户终端建立接口连接期间,所述支付卡可操作以接受正数的第一笔储值金额,所述接受的条件是在确认不小于所述第一笔金额的相应第二笔金额由所述支付卡在所述选定的商户终端支付之后。
12.根据权利要求11所述的支付卡,在包括签帐和储值交易的支付交易中,所述第一笔金额为所述储值钱包接收的储值净额,且所述第二笔金额由所述签帐模块支付。
13.根据权利要求11所述的支付卡,在基于硬币的储值系统中进行不包括签帐交易的支付交易,则所述支付交易包括:
●指定的第一组零个或更多个硬币从所述商户终端流向所述钱包,以及
●指定的第二组一个或更多个硬币从所述钱包流向所述商户终端;
其中,所述第一笔金额等于所述第一组的总价值且所述第二笔金额等于所述第二组的总价值。
14.根据权利要求11所述的支付卡,在基于硬币的储值系统中进行包括签帐和储值交易的支付交易,其中,所述第一笔金额为所述储值钱包从所述选定的商户终端接收的硬币总价值,且所述第二笔金额等于以下两者之和:
●在所述选定的商户终端处由所述签帐模块支付的签帐金额,以及
●从所述储值钱包向所述选定的商户终端转帐的硬币总价值。
15.根据权利要求11所述的支付卡,其进一步可操作以通过从所述第二笔金额减去所述第一笔金额的方式计算支付金额,并向所述选定的商户终端提供所述支付金额的可验证支付记录。
16.根据权利要求11所述的支付卡,其还包括卡时间寄存器,其中所述支付卡进一步可操作以:
●验证从所述选定的商户终端接收的终端证书的有效性;
●如果所述验证结果为无效,则中止交易;以及
●如果所述验证结果为有效,则:
■从所述卡时间寄存器中读取卡的时间;
■从所述选定的商户终端接收终端时间,
■从所述终端证书检索终端到期时间,
■检查所述终端时间是否既不小于所述卡的时间又不大于所述终端到期时间,以及
■如果所述检查结果为否定,则中止所述交易。
17.根据权利要求16所述的支付卡,如果所述检查结果为肯定,其进一步可操作以根据所述终端时间设置所述卡时间寄存器中的所述卡的时间。
18.一种商户终端,其包括:
●卡接口,其用于与支付卡进行通信;
●网络接口,其用于与储值处理服务器通过网络建立接口连接;
●终端证书寄存器,其用于存储包括终端ID和终端到期时间的终端证书;以及
●处理器,其配置为:
■在与所述储值处理服务器进行结算期间,更新存储于所述终端证书寄存器中的所述终端证书,以及
■在与卡建立接口连接期间,向所述卡提供所述终端证书。
19.一种储值处理服务器的操作方法,所述方法包括:
●与商户终端建立接口连接;
●从所述商户终端接收终端标识;以及
●如果对于所述终端标识没有发现违规事项,则为所述商户终端发布新的终端证书并向所述商户终端提供所述新的终端证书,所述终端证书包括至少一个所述终端标识和终端到期时间。
20.根据权利要求19所述的方法,其还包括:
●当且仅当没有发现违规事项时,执行与所述商户终端的储值结算。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US29646110P | 2010-01-19 | 2010-01-19 | |
US61/296,461 | 2010-01-19 | ||
PCT/IB2011/050036 WO2011089533A2 (en) | 2010-01-19 | 2011-01-05 | Trusted stored-value payment system that includes untrusted merchant terminals |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102893297A true CN102893297A (zh) | 2013-01-23 |
Family
ID=44278225
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011800090676A Pending CN102893297A (zh) | 2010-01-19 | 2011-01-05 | 包括非信任商户终端的可信储值支付系统 |
Country Status (15)
Country | Link |
---|---|
US (1) | US20110178884A1 (zh) |
EP (1) | EP2526515A2 (zh) |
JP (1) | JP2013527944A (zh) |
CN (1) | CN102893297A (zh) |
AU (1) | AU2011208401A1 (zh) |
BR (1) | BR112012017838A2 (zh) |
CA (1) | CA2787325A1 (zh) |
CL (1) | CL2012002008A1 (zh) |
IL (1) | IL220988A0 (zh) |
MX (1) | MX2012008408A (zh) |
RU (1) | RU2012133283A (zh) |
SG (1) | SG182575A1 (zh) |
TN (1) | TN2012000365A1 (zh) |
WO (1) | WO2011089533A2 (zh) |
ZA (1) | ZA201206128B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104871189A (zh) * | 2012-08-21 | 2015-08-26 | 西班牙洲际银行 | 通过手机应用实现移动非接触式票务/支付的方法和系统 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2541478A1 (en) * | 2011-06-27 | 2013-01-02 | Accenture Global Services Limited | Dynamic electronic money |
KR101236544B1 (ko) * | 2012-01-12 | 2013-03-15 | 주식회사 엘지씨엔에스 | 결제 방법 및 이와 연관된 결제 게이트웨이 서버, 모바일 단말 및 시점 확인서 발행 서버 |
US9105021B2 (en) | 2012-03-15 | 2015-08-11 | Ebay, Inc. | Systems, methods, and computer program products for using proxy accounts |
JP5962440B2 (ja) * | 2012-11-01 | 2016-08-03 | 沖電気工業株式会社 | 取引装置及び取引方法 |
DE102016206199A1 (de) * | 2016-04-13 | 2017-10-19 | Bundesdruckerei Gmbh | Gültigkeitsprüfung und Sperrung von Zertifikaten |
US11080714B2 (en) * | 2016-05-27 | 2021-08-03 | Mastercard International Incorporated | Systems and methods for providing stand-in authorization |
US10762481B2 (en) | 2017-03-21 | 2020-09-01 | The Toronto-Dominion Bank | Secure offline approval of initiated data exchanges |
US11463268B2 (en) * | 2019-09-17 | 2022-10-04 | International Business Machines Corporation | Sensor calibration |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5721781A (en) * | 1995-09-13 | 1998-02-24 | Microsoft Corporation | Authentication system and method for smart card transactions |
US6467685B1 (en) * | 1997-04-01 | 2002-10-22 | Cardis Enterprise International N.V. | Countable electronic monetary system and method |
CN1687938A (zh) * | 2004-12-21 | 2005-10-26 | 牟刚 | 基于ic卡及手持收费终端的城市停车场集中收费管理及信息服务方法及其系统 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5744787A (en) * | 1994-09-25 | 1998-04-28 | Advanced Retail Systems Ltd. | System and method for retail |
US6076075A (en) * | 1995-09-25 | 2000-06-13 | Cardis Enterprise International N.V. | Retail unit and a payment unit for serving a customer on a purchase and method for executing the same |
IL120585A0 (en) * | 1997-04-01 | 1997-08-14 | Teicher Mordechai | Countable electronic monetary system and method |
IL121192A0 (en) * | 1997-06-30 | 1997-11-20 | Ultimus Ltd | Processing system and method for a heterogeneous electronic cash environment |
AU4350699A (en) * | 1999-08-11 | 2001-02-15 | Khai Hee Kwan | Method, apparatus and program to make payment in any currencies through a communication network system |
US7578439B2 (en) * | 1999-08-19 | 2009-08-25 | E2Interactive, Inc. | System and method for authorizing stored value card transactions |
JP3330578B2 (ja) * | 2000-03-16 | 2002-09-30 | ファナック株式会社 | 成形機の型締機構 |
JP2002073972A (ja) * | 2000-08-31 | 2002-03-12 | Oki Electric Ind Co Ltd | 電子商取引システム |
US6631849B2 (en) * | 2000-12-06 | 2003-10-14 | Bank One, Delaware, National Association | Selectable multi-purpose card |
US20040083170A1 (en) * | 2002-10-23 | 2004-04-29 | Bam Ajay R. | System and method of integrating loyalty/reward programs with payment identification systems |
WO2005104725A2 (en) * | 2004-04-26 | 2005-11-10 | Paycenters, Llc | Automated financial service system |
JP2006155045A (ja) * | 2004-11-26 | 2006-06-15 | Sony Corp | 電子価値情報伝送システム及び電子価値情報伝送方法 |
US7766225B2 (en) * | 2005-12-30 | 2010-08-03 | Ready Credit Corporation | Issuing a value-bearing card associated with only non-personally identifying information |
US20070156579A1 (en) * | 2006-01-05 | 2007-07-05 | Ubequity, Llc | System and method of reducing or eliminating change in cash transaction by crediting at least part of change to buyer's account over electronic medium |
US20070267479A1 (en) * | 2006-05-16 | 2007-11-22 | Chockstone, Inc. | Systems and methods for implementing parking transactions and other financial transactions |
US20090254479A1 (en) * | 2008-04-02 | 2009-10-08 | Pharris Dennis J | Transaction server configured to authorize payment transactions using mobile telephone devices |
-
2011
- 2011-01-05 JP JP2012548505A patent/JP2013527944A/ja active Pending
- 2011-01-05 MX MX2012008408A patent/MX2012008408A/es not_active Application Discontinuation
- 2011-01-05 US US12/984,608 patent/US20110178884A1/en not_active Abandoned
- 2011-01-05 EP EP11734429A patent/EP2526515A2/en not_active Withdrawn
- 2011-01-05 AU AU2011208401A patent/AU2011208401A1/en not_active Abandoned
- 2011-01-05 CN CN2011800090676A patent/CN102893297A/zh active Pending
- 2011-01-05 WO PCT/IB2011/050036 patent/WO2011089533A2/en active Application Filing
- 2011-01-05 CA CA2787325A patent/CA2787325A1/en not_active Abandoned
- 2011-01-05 RU RU2012133283/08A patent/RU2012133283A/ru unknown
- 2011-01-05 BR BR112012017838A patent/BR112012017838A2/pt not_active IP Right Cessation
- 2011-01-05 SG SG2012052791A patent/SG182575A1/en unknown
-
2012
- 2012-07-17 IL IL220988A patent/IL220988A0/en unknown
- 2012-07-18 TN TNP2012000365A patent/TN2012000365A1/en unknown
- 2012-07-19 CL CL2012002008A patent/CL2012002008A1/es unknown
- 2012-08-15 ZA ZA2012/06128A patent/ZA201206128B/en unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5721781A (en) * | 1995-09-13 | 1998-02-24 | Microsoft Corporation | Authentication system and method for smart card transactions |
US6467685B1 (en) * | 1997-04-01 | 2002-10-22 | Cardis Enterprise International N.V. | Countable electronic monetary system and method |
CN1687938A (zh) * | 2004-12-21 | 2005-10-26 | 牟刚 | 基于ic卡及手持收费终端的城市停车场集中收费管理及信息服务方法及其系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104871189A (zh) * | 2012-08-21 | 2015-08-26 | 西班牙洲际银行 | 通过手机应用实现移动非接触式票务/支付的方法和系统 |
CN104871189B (zh) * | 2012-08-21 | 2018-11-23 | 西班牙洲际银行 | 通过手机应用实现移动非接触式票务/支付的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2011089533A2 (en) | 2011-07-28 |
SG182575A1 (en) | 2012-08-30 |
IL220988A0 (en) | 2012-09-24 |
ZA201206128B (en) | 2013-05-29 |
CL2012002008A1 (es) | 2013-01-25 |
TN2012000365A1 (en) | 2014-01-30 |
JP2013527944A (ja) | 2013-07-04 |
BR112012017838A2 (pt) | 2017-12-12 |
RU2012133283A (ru) | 2014-02-27 |
AU2011208401A1 (en) | 2012-08-30 |
CA2787325A1 (en) | 2011-07-28 |
MX2012008408A (es) | 2014-02-27 |
WO2011089533A3 (en) | 2011-10-20 |
US20110178884A1 (en) | 2011-07-21 |
EP2526515A2 (en) | 2012-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102893297A (zh) | 包括非信任商户终端的可信储值支付系统 | |
US20180268394A1 (en) | Cash card system | |
JP3027128B2 (ja) | 電子マネーシステム | |
RU2187150C2 (ru) | Контролируемая электронная денежная система и способ организации, хранения и перевода электронных денежных средств | |
JP3083187B2 (ja) | 電子財布システムの鍵管理方式 | |
AU2009293439B2 (en) | Off-line activation/loading of pre-authorized and cleared payment cards | |
TWI570640B (zh) | 用以在設計以接受符合全球付費產業標準之卡片之系統上允許使用可棄式卡片之機制 | |
WO2002075679A2 (en) | Anonymous payment system and method | |
CN104732379A (zh) | 安全支付系统 | |
KR100792959B1 (ko) | Ic카드를 이용하는 온라인 및 오프라인에서의 충전,지불 및 부가서비스 제공 시스템 및 방법 | |
US20020029195A1 (en) | E-commerce payment system | |
JP5905945B2 (ja) | 不正取引を検出するための装置および方法 | |
SI9620027A (en) | Card apparatus and cashless transaction system | |
US20020103767A1 (en) | Transaction and logistics integrated management system (TALISMAN) for secure credit card payment and verified transaction delivery | |
JPH0827815B2 (ja) | 電子資産データ移転方法 | |
JPWO2004075081A1 (ja) | モバイル・ネットコマース決済システム | |
AU2010257373B2 (en) | Cash card system | |
KR20190139478A (ko) | 진성화폐의 거래방법 | |
JPH10143577A (ja) | 電子マネーの不正チェックシステム | |
KR20090072551A (ko) | 가상 액세스 거래의 거래 내역 정보 보안을 강화하는시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130123 |