TW200536339A

TW200536339A - Transaction system

Info

Publication number: TW200536339A
Application number: TW93130870A
Authority: TW
Inventors: Nicholas Ho Chung Fung; Chu-Yong Sang
Original assignee: Oneempower Pte Ltd
Priority date: 2004-04-19
Filing date: 2004-10-12
Publication date: 2005-11-01
Also published as: GB2413426A; HK1083417A1; TWI301028B; GB0500080D0; MY140224A; SG128460A1; GB2413426B; WO2005101214A1

Description

200536339 九、發明說明：【發明所屬之技術領域】本發明與交易系統和交易終端機相關，其被設計用來儲存乂易資料和尤其是但非限定於具有離線交易之專屬應用程式。 ‘ 【先前技術】在交易系統中使用客戶身份代表，例如智慧卡（例如個人交易或具有積體電路晶片（ICC’ lntegrated如…

chip)之身份證或其它形式的記憶體）之優點有賴於由ICC 所提供的安全性，由於此安全性，某此智€卡# $ 曰薏卞破用來以電貨幣金額，其被稱為，，電子錢包，，系統。在此系統，—父易終端機被用來從電子錢包扣除在智慧卡中的 ^ 1、此^幣值是以離線模式儲存在終端機中，也就θ 說’因為所傳送貨瞥 ”疋 R之^ %金額包㈣貝物品或服務之所有的 :二斤：此終端機不需連線至一主機系統智慧卡中所扣除的金額被儲存在終端機中，且僅數次傳送至主機電腦，作為此種交易批次的一部份。= 女排錢終端機不須常常連線至主機系束營料傳送—次），而非在每次交易時傳送。在、，·。這樣類型之現有的離線交易應用之另一客忠誠度機制中，使用知t卡來彳匕έ在顧紅利積點被儲存為儲存金額於智積.，，占，此的終端機扣除金額，作A親全朴±Α 糟由一授權樣的離線交易…機付…部份或替代之。這 ^機中擷取，然後以批次模式再傳送至 200536339 一主機系統中，以減少當連絡主機系統時所產生資料傳輸的成本。用來製造這樣的離線系統之典型既有技術包含智慧卡中的ICC，此乃藉由能驗證ICC卡之密碼系統，因而能在用於交易中接收卡片之前確認該卡片的真實性。這樣既有的驗證方法需要終端機儲存一密碼數值，一般稱為，，金餘其被終端機用來確認智慧卡的真實性，通常此驗證是由所謂的，，交互驗證，，程序所執行。為了使這樣的交互驗證程序產生作用，通常假設在智慧卡中的ICC包含一秘密金鑰，而終端機試圖藉由與智慧卡交換隨機數值而以演算法嘗試確認此數值，此程序被稱作交互驗證，因為卡片會同樣地嘗試來確認是否終端機有一相對應的金鑰，亦即，該終端機是否為一真實的終端機。此交互驗證的程序只在終端機的秘密金錄維持秘穷時 ^效；必須禁止對秘密金鑰未經授權的存取。需要終端機此防止竄改且通常能防止對該金鑰未經授權的存取。為達此目的，一般業界的慣例是將此秘， ^ 私山金鑰（或多個秘密禁鑰）在防止竄改的裝置（例如置於終端機中白勺ic 其被程式化來執行所謂的安全存取模組⑽（ M〇dule)，此SAM實體上是安全的且設計秘始、值或金鑰。此Sam通當赫容駐+ μ ΛΜ通㊉被女虞在終端機的一特 SAM可以插人此槽且能從此槽中取出；—终曰 SAM槽，能安裳多個SM。、、而〜乂有多個因此，如上所討論的，在這樣的 4子矛'、、死干’終端機 200536339 中所擷取之離線交易必須傳送至主機系統，以使該系統能確認交易。在電子錢包系統中，該系統必須以電子形式支付廠商收集到的金額，而客戶忠誠度系統必須處理從智慧卡中扣除或加至智慧卡之回饋金。然而，在電子錢包系統中，如果主機系統無法接收離線交易資訊，則此交易無法被處理且也不會付款給商家，或是在客戶忠誠度系統的情況中，顧客在離線模式下使用回饋金可以維持不被主機系統記錄，#果系統的記錄是那些回饋金尚未使用，而讓客戶仍能使用該些回饋金。〜&八吨廿於羚端機中的離線交易會是很嚴重的問題。有時候遺失這樣的交易可以藉由鍵人來自收據記錄之交易㈣或是每次交易在線端機列印出的收據來更正，這是費時費、 _ τ貝乃谷易產生錯誤且難以驗正其真實性的。【發明内容】 SAM記憶儲存之優點來至少改善前述問題因此，依據本發明的第一方面，提供— 含：又易系統，色一主機糸統，以及，:-個電子交易終端機，用來接收與客之父易Μ ’ u及透過電腦網路傳輸前述的述伺服器，前述交易終端機包含— 易貝枓儲存至少-筆數位安全金鑰 U建立與 «心』移動式貢料儲存裝置 200536339 料通訊連結；其中如述安全金鑰可在當前 R ^ ^ ^ ^ 、；斗儲存裝置與前述交易K ^機進仃貢料通訊連結時而畤、f > p 月〗迷父易終端機存取，而刖述父易終端機被規劃為寫紗尨驻要 m ^ 人约貝枓至則述貢料儲存虞置，用來接下來由前述易終端機取出。〜柒機或其它類似的交在本發明之本方面或直夾i隹；?千六且从八方面’女全金鑰可以被設計來進仃又易終端機之驗證、 ^ ^ , 各戶身分之驗證，或是交易終鈿機和客戶身份之交互驗證。資料儲存裝置最好包含一八 a、+、丄女王存取模組（SAM卜月J ’L父易終端機最好包含記 ^ ^ ^ Τ匕S。己隐體，且更進一步地被規里J末儲存W述交易資料妯紗六^ j°己隱體中，而前述交易資料被儲存於則述資料儲存衣罝和刖述父易終端機中。 :此，交易資料的第二備份被儲存於交易終端機的記 =;這使得交易終端機在從資料儲存裝置或交易終端憶體中補償資料後，傳送交易資料至伺服器。通常儲存在終端機記憶體中六欠次粗aa 一 T的又易_貝料的副本可以被視為交易 "、、要田J本’而儲存在資料儲存裝置中的作為備份。此本^明使得交易資料（而且尤其是來自離線交易二易資料)藉由利用現存的資料儲存或記憶裝 =式且#省成本的方式儲存，以致於在當終端機發生曰才又易貝料仍然能從記憶裝置中補償。不須使用SAM赍田η ^ — 吊用到的安全功能就可將交易資料儲存至S Α Μ和自s A VT且7 ιΐι 出’而不須放棄SAM既有的安全功能（例 200536339 如保護儲存在SAM中的密碼金输）。交易二端機最好包含一外殼(例如卡納盗），用來收納前述資料錯存裝置， =慧卡收置可:在前述外殼中被連接至前述介面。中則述-貝料錯存袭交易終端機可以被規劃用來在交易，:端機成功傳輸至前述伺服器後，刪除前述;=交易中之前述交易資料。砍貝科儲存裝置因此，一旦交易資料被成功地不須再儲存在資料儲存裝置中，而可以從、:服器’就資料儲存裝置中的資料儲存位置就： = 在資料。廿风接下來的交易在—實施例中，交易終端機被規劃為 Μ &從：t述f㈣存裝 1 t料除資料儲存裝置中的交易次肖/乂易終端機後，删直Y的又易貝枓。因此，在料儲存裝置中的資料储在付署叮在此實&例中，資料。纟貝科储存位置可以存放接下來的交易資 =财u置最好被規劃為在t前述時，能將舊的交易資料覆蓋而寫入新枓，其中隶舊的交易資料會先被覆蓋。又易-貝父易終端機最好被規劃為只寫入在 ::離::=:r資:，到前_心= 存於終端機中二無論何種原因無法傳送儲主機系統時，(例如_中的離線交储存#置可以從終端機移除然後插入另 200536339 一終端機中，其能取屮仲六# — ,“匕取出儲存於貧料儲存裝置令的交易資料’然後傳送至主機。、在一實施例中，介ίϋ idr < 4 & 被叹计為能與多個可拆式資料儲存裝置建立資料通訊連結，Α ^ ^ ,-> ，、中第儲存裝置可以被用來 ^ ^ ^ ^上而則述父易終端機被規劃來寫入月丨J述父易貧料至第二資料蝕左玖俨趟$甘― 、、置，給接下來的前述交易〜而枝或其匕類似交易終端機擷取資料。鈾述父易資料較佳的是儲存且俜儲存;^人n 疋儲存在則述貧料儲存裝置，並且係储存於包含一固定空置被規劃為當記錄在前述而，述資料儲存裝 ^界值時，前述資料儲 d 端機，接示义、+、山日 θ 口傳一狀恶給前述交易終任何資料上傳至前、存於則述父易終端機中的終端機的離線交易；=，然後清除錯存於前述交易 —料之= = ::儲〜先前儲存於前述資料儲存裝置二:交易易貝二而不漏失任何依據本發明的第一“ ^ 易貝枓用來接收與客戶交易 ’、電子父易終端機，路傳送前述交易資料至一主：:：枓’並用來透過電腦網 _介機伺服器中，前述終端機包含：之可拆式資料 ^用來儲存至少一組數位安全金鑰、针储存農置的資料通訊連結；〃中前述安全^ 去义、+、鑰可以稭由前述交易線端機左& ^ 田月丨J述資料儲左 I又易、、、知機存取，在 " 人别述交易終端機進行資料通訊 200536339 時’而前述交易終端機被規劃來寫人前述交貝料儲存裝置，其中在前述資料儲存裝置中的前述六J則述料可以接著藉由前述交易終端機或其 =易資擷取。又易終端機來則述交易終端機最好包含記憶體且被規劃為别述交易資料至前述記憶體和前述資料儲存農置寫八以各別交易紀錄的形式。好是修 ^ 述數位安全金鍮最好為多組數位安全金、，旦，更好的是用來驗證客戶的身份。的— 料通=以:::第來與:::可拆式資料儲存裝置建” 端機用來儲存前述二:1:存=可以被前述交易终劃為可以寫入前述交易資料=二别述交易終端機被規紀錄，並且窝人—/ 交易終端機中的交易易終端機或:=::τ存裝置’給接下來的前心飞/、匕類似的交易終端機擷取資料。人易系Γί本發明的第三方面，提供一種方法，用來在〜包含：於傳达至-主機伺服器之前，儲存交易資料, 端機用來儲:::=:::易資料寫入被設計給前述終料通:連結的—資料儲:裝置-並與前述交易終端機進行資類似述交易資料可以接著被前述交易終端機或其它 1 乂又易終端機擷取資料。匕止匕、、大 >可以包含在當前述交易資料被成功地藉由前述 12 200536339 父易終端機傳送至前述主機伺服器時，刪除前欠… 裝置中的前述交易資料。貝料儲存此方法可以包含將只與在前述交易終端機中少離線交易相關的交易資料，寫人前述資料儲存裝置執订之【實施方式】 °

依據本發明的一較佳實施例的交易系統以圖圖1中的1〇。系、统1〇包含一主機祠服器12和多個付款終端機14的多個交易終端機，其藉由一電腦網路二:: 如網際網路）連接至主制服器12。每—付款終端機^ 十為允許客戶藉由付款卡片、忠誠卡或類似的卡片來進行交易。參考圖2，每一付款終端機14有一處理器17，其被連接非揮I记憶體（NVM)18和隨機存取記憶體、一

^ ^ 2〇收據列印機22、和一 SAM收納器24。SAM收 ^ : 24提供付款終端機與SAM之間的介面，其為智慧卡收之形式，例如符合國際標準7816 Parti至Part3的（例如一般用於手機中用戶身份模組（SIΜ)之型式）。付τ人終鸲機14也包含一卡片收納器26，例如符合國際一 Paitl至part3的。此卡片收納器％包含，舉例而言’用於符人c ° bUr〇Pay-Mastercard-Visa(EMV)標準規範之信用卡支付系統的電子匯票擷取終端機其中一種型式。卡片收納哭 ^ ^ 、 °° 可以被設計為能接受，，無接觸，，ICC卡，其使用無線電宇/ 73 \ 、（傳送技術（例如符合國際標準1444規範 )用來在終端機和這樣的ICC卡片之間通訊。 13 200536339 付款終端機14包含（當使用時）一 Sam 28，其被安裝在 SAM收納器24中。SAM 28有一積體電路晶片3〇,其具有 -内建的防竄改安全魏’用來保護晶片的數位内容；晶片30包含-處理單元32、内含編碼作為晶片作業系統之應用軟體的唯讀記憶體（r〇m)34、揮發式RAM 36、非揮發記憶體（NVM)38(例如電子可抹除及可程式化唯讀記憶體 (EEPROM))，其包含編碼為可執行下述功能和相时料之軟體程式，和I/O單元40。此系統也包含多個客戶身份，每一個皆為包含一積體電路晶片44之智慧卡42的形式。ICC 44包含一處理器單元 46被連接至ROM區48 ’其包含編碼在晶片44中執行付款功能之應用軟體、以及_ RAM區5〇、一輸入/輪出單元 52(用來與付款終端機14之卡片收納器26連接)。當-客戶智慧卡42被用於付款終端機14用來付款或复它形式的客戶交易’會產生-筆交易紀錄並儲存於付款線端機Η的議18中，接著傳送至主機電腦伺服μ，用於結算、調解等用途。錄也被傳送至SAM28中記錄。在S 執灯的為儲W28的中的軟體程式，此軟體程式被規劃為能接受並記錄該交易。SAM 28接收來自交易終端機的交易資料，並啟動如下功能：之NVM 38中下一個可用 SAM 28 ^宰的口己隐體位置，⑵記錄該交易於该位置，以及（3)更新索引以提示域位置。卜個又易可用的記憶體區 14 200536339 每個乂易都會重覆以上步驟，直到SAM 28用盡於其 NVM38中的儲存空間，#這個情況發生時，索引會更新指向至 SAM 之 NVM ^ n 8中之父易紀錄區起始的記憶體位置，坆思明下一筆交易會被記錄在此NVM 38中交易紀錄區域的起始位置，因而霜葚+ 乂

盍先刖記錄於該位置的交易紀錄。SAM

28 JT以谷納的交易次數(亦即在sam中最舊的交易被覆蓋之刖’可以被記錄於SAM中的交易次數）取決於在終端機 ^能料其，次的交易資料到主機之前，有可能發生的的 =人數每批次通常藉由一批次號碼來辨識，其可以用夕種方式來指定（例如藉由為每—新批次指定—遞增的序號或疋依據第一筆交易的曰期和時間），每當-批次上傳成功/新批次又開始，而終端機Η會發出-指令給SAM 28糟由更新SAM中新批次的號碼，來標記一新批次的開始0

右付”人終鳊機14失效而記錄在其NVM中的交$ =則SAM 28可以從該付款終端機移除，然後插入其1 认終纟而機14，此第二付款終端機14可以被程式化來^ SAM 28，以擷取儲存於SAM 28之nvm %中的交易資：然後將資料傳送至主機伺服^ 12，取代在受損之付款衾機14中的原始交易。可以選擇性地在每一次付款終端機14開始新的一批交易時’切變化（例如從舊的批次交易錢的批次）記錄於 SAM 28中，這使得付款終端機14能從SAM中，自記錄於 SAM 28巾白勺最後一批次的起始處開始回復《易，並使 15 200536339 能重覆使用SAM 28中的NVM 38空間，其被更早批次中之交易所使用，該批次已成功地上傳且不再需要備份於sam 28中。圖3A為一流程圖’（從’’ A”開始）顯示當終端機抖以離線方式運作時（例如未連接至主機伺服器12時），在正常狀況下於終端機Η中處理-筆交易（Τχη)，儲存交易至麗 28中的流程。在此流程圖中，Idx代表—筆交易χ之識別號碼，Star她是-特定交易批次的第—筆，而Endidx^j 疋父易批次的最後一筆。在由任意狀況的號碼（例如在終端機中所擷取的交易號碼或某日的時間）所決定的時間間隔内 j w μ終编機14開始傳送交易（亦即上傳交易）至主機伺服器12中，右占从L姑 Ύ 在成功上傳流程的終點，終端機傳送一個”開始新批次” 7主& AM ’以區分在上傳前於SAM中擷取和上值鉍w Q Λ Λ/Γ山只％7上得後於SAM中所擷取的交易。此”開始新批次”流程也圖示於圖3a中。圖示於圖1中事件的程序之更詳細地說明如下·· 當-新的SAM第-次插入終端機14時，終端機Μ開始在SAM 28中的-新批次（㈣⑽，作為起始流份。以下的說明假設第一今，，鬥仏k ^ _人開始新批次，，流程％、67、 68和69都已完成，因而以更通用的貼、w〜，，又遇用的狀況，從” A，，開始，其中SAM 28被用於作兔六且、^ 錄-筆交易：、作4以流程的—部份，用來記步驟5 3 :使用者展現智彗本砍兄曰慧卡42給終端機14 · 步驟54:交易（例如付敎夺 ’ 机又易或回饋點數或折價券交易） 16 200536339 發生，可能伴隨更新卡片42巾的資料；步~ 55 ·父易資料記錄至終端機14中的交易紀錄 (“TL〇G”）；步驟56 ·終端機14傳送交易資料至SAM 28中，用來更新S AM 28中的交易紀錄（‘‘ SL〇G”）；步驟57 ·在SAM 28中的記錄應用程式已預先設定用來储存SLOG的記憶體容量，此記憶體空間被分割為由MaxIdx 所頒不之父易紀錄的最大數量。SAM應用程式也有一些其它貢料儲存元件（程式中的變數），其名稱和定義如下： • Idx為寫入slog之最後一筆交易的位置；在一新的 SAM中，Idx的起始值為〇。 • Start Idx為目前批次寫入SL〇G之第一筆交易紀錄的位置。 • End Idx為該批次寫入SL〇G之最後一筆交易紀錄的位置。 • Batch#代表一批次。 • Batch Directory 為在 SAM 中的位置，包含 Batch# 的清單，而由一 Batch#所代表之每一批次有_對應的 Startldx和Endldx，指出該批次之第一和最德一、 htr l 又羋父易紀

Idx是否指向因此，在此步驟中，檢查目前批次之 Maxldx(例如SLOG中的最後一筆紀錄）；亦即，設步驟58 :若是，則將Idx指回SLOG的頂端定Idx=l並繼續步驟6〇 ; 17 200536339 步驟59 ·若否’（例如Idx未指向slog中的最後一筆紀錄），增加I dx指向到下一紀錄位置，然後繼續步驟6〇 ; 步驟60 :將目前的交易寫入SLOG中由Idx所指示的紀錄位置；將Endldx設定為Idx，指示此批次的最後一筆交易在此；步驟61:檢查目前批次的最後一筆交易是否與其它批人重《，此乃藉由檢查目前批次的End丨dx是否等於在批次目錄中之其它任意批次（一第二批次）的; 步驟62:若是，則第二批次不再有效，且其批次目錄的項目會從批次目錄中移除，然後程序會繼續於步驟63，否則直接至步驟63 ; 步驟63 :終端機14檢查是否發生任何上傳（依據定義上傳情況的參數）；步驟64:若是（且符合上傳情況），則終端機起始上傳動作然後繼續步驟65，否則回到” A”（步驟53); 步驟65 :檢查上傳是否成功；步驟66 :若是（但也若此為SAM 28第一次插入終端機），則終端機14告知SAM 28開始一新的批次，然後繼續步驟67，否則，到圖3B中的，，D，，；步驟67 : SAM 28以新的批次項目更新批次目錄，並設定新批次的Endldx和Startldx為Idx + Ι(例如前批次的Idx 或一新的SAM第一次插入終端機之Idx，在此狀況Ηχ為 0)，當 Idx<MaxIdx 時，或在 idx = MaxIdx 時，設定 start Idx 和 Endldx 為 1 ; 18 200536339 步道68 : SAM 28，藉由比較新批次之EndIdx與在批次目錄中其它批次之startidx，檢查EndIdx是否覆蓋鄰近（其它）批次之第一筆紀錄；步驟69 ·若疋且另一批次有一與目前End〗心值相等的

Startldx，則其它批次項目會從批次目錄中移除，而在其它批次中的資料會被視為不再有&，而在該批次的紀錄會被新批次的紀錄所覆蓋，然後回到步驟53 ;否則，回到步驟 5 3。 ’ >圖3B為一流程圖，顯示若從一第一付款終端機上傳的交易被發現（在圖3A中的步驟65)失敗，依據本實施例好生的流程。此情況必須使交易資料從第—付款終端機的_ 28取出，傳至一第二付款終端们4。通常顯示於圖祁的流：會在當發現上傳的失敗是起因於第-付款終端機之失效日使用。在特定終端機和主機祠服 D Pm _服$ 12之間資料傳輸的失敗會被視為寻同於終端機的失效 ,咕一在杈樣的情況，將SAM移轉一第一付款終端機用以個簡便方式，而不需等待在第傳二“枓，是略過失效的- ^ 、第、”ς i^機和主機伺服哭12之間資料傳送的復原。服w 1Z之必須注意的是，在圖3B中所顯示的流程選擇那一個批次要從SAM 28中上傳， β ' 問（在步驟70)要被上傳的批次县、疋，使用者被詢者實際上通常會立即嘗試疋為最後批次(因為使用 §1| ^ Λ α, 口復未從終端機14上傳的批次）。右否，則終端機14合 ^ ) “足_中擷取一批次清單，並顯 19 200536339 T該清單給使用者選擇。因此’在這兩種情況，終端機14 最後會料（步驟8G)被選擇的Batch#至SAM 28，且在步驟 9〇 ’接著傳送一”Get Τχη”請求給SAM 28。在步驟100中， -計數N在其後被設定為加⑴如，在子流程⑴中，在立即批次中的每—交易N被從讀28中上傳至終端機14，而N增加，直到N等於Endldx。必須注意的是’因為終端機14以—批次識別碼（見圖 3…票記在SAM中所記錄之每一交易批次的起始，所以_ 28可以被規劃來追踪多個批次，其取決於在以中可用於記錄交易之記憶體/資料儲存的容量。因此，在從_28 ;上傳期間’終端機14可以被程式化來讓使用者選擇前试攸SAM上傳之批次(在一些更早從終端機14失敗的上傳之後）’然後重新嘗試該筆之前從SAM 28的失敗上傳。在本發明範圍内的修正可以由習知技術之人輕 ί;ΐ因而，必須注意的是，本發明未限定於上述作為說明章巳例之特定實施例。月【圖式簡單說明】為了使本發明更清楚明確，較實例加以說明，其中： ^佳“例將茶考附圖以示圖；圖1為依本發明的-較佳實施例之交易系統的概要表圖2為@ 1系統之具有SAM之付款終端機和客戶身之糸統圖；份付款終端圖3A為一流程圖，顯示用來儲存圖i系統中 20 200536339 . 機之交易貢料的流程，圖3B為一流程圖，顯示從一安全存取模組中擷取交易資料存至圖1系統之付款終端機的流程。【主要元件符號說明】 10 系統 12 伺服器 14 付款終端機 16 電腦網路 17 處理器 18 非揮發記憶體 19 隨機存取記憶體 20 鍵盤 22 收據列印機 24 SAM收納器 26 卡片收納器 28 安全存取模組 30 積體電路晶片 32 處理單元 34 唯讀記憶體 36 揮發式隨機存取記憶體 38 非揮發記憶體 40 I/O單元 42 智慧卡 44 積體電路晶片 21 200536339 46 處理器單元 48 唯讀記憶體區 50 隨機存取記憶體區 52 輸入/輸出單元

22

Claims

200536339 十、申請專利範圍： I · 一種交易系統，其包含.· 一主機電腦伺服器；以及至少一個電子交易終端機，之交易資料，以及透過電腦網路==客戶交易有關述飼服器，前述交易終端機包含傳“述的父易貧料至前儲存至少彳丨面，用以建立與用來佔存至J 一筆數位安全金鑰之个通訊連結；拆式負料儲存裝置之資料 —其中前述安全金鑰可藉由前述交易珂述資料儲存裝置盥前、f > 、祛存取，在當時，而前m 終端機進行資料通訊連结力又易、冬端機被規劃為寫入前述六旦次… 資料儲存裝置又易貧料至前述卞衣置，用來接下來由前述交的交易終端機取出。、、X而機或其它類似 2.如申請專利_ i項之系統被设計來進杆八中别逑安全金錄 _ 廷订又易終端機之驗證、客戶|八父易終端楼$办刀之驗證，或® 而钱和客戶身份之交互驗證。次疋壯$ ^ 士申凊專利範圍第1項之系統，農φ ^ X 放置包含—安全存取模組。資料儲存 4·如申請專利範圍第1項之系統，此機包含記情駚 /、肀則述交易終端〜體，且更進一步地被規劃來儲 A 、碥於前述記憶體中資子則述交易資料裝置和前述交“ 存於前述資料儲存义人易終端機兩者中。 T w仔 5·如申請專利範圍第1項之系統，其、機包含一外Μ /、宁則迷交易線端卜九又，用來收納前述資料儲存裝w ^ 、而其中前述資 23 200536339 • 料儲存裝置可以在前述外殼中被連接至前述介面。 6·如申請專利範圍第1項之系統，其中前述交易終端機被構成用來在交易資料藉由前述交易終端機成功傳輸至前述伺服器後，刪除前述資料儲存裝置中之前述交易資料。「7.如中請專利範圍第！項之系統，其中前述交易終端機被，成為在前述交易資料成功地從前述資料健存裝置傳送至前述交易終端機後，刪除資料儲存裝置中的交易資料。 8·如申請專利範圍第2項之系統，其f、。裝置被規劃為在當前述資料儲存裂置充滿交易資=時= 將售的交易資料覆蓋而寫入新的交易資料，其：易資料會先被覆蓋。八售的父 9.如申請專利範圍第丨項之系且機構成為只有將在六，/、中刖述交易終端交易資料，=二所執行之與離線交〜關之 +冩入别述資料儲存裝置中。 10·如申請專利範圍第丨項之計為能與多個可拆式資料置二/、中前述介面被設中第-储存裝置可以被:::=資:通訊連結’其述交易終端機構成以將前述位女全金鑰，而前震置，使前述交易終端機或：=寫入至第二資料儲存存取資料。、頌似之父易終端機後續的、U·如申請專利範圍第1項之系鱗，甘士义、、破儲存在前述資料儲存裝置於一μ、、八八别述交易資料中’而前述資料儲存裝置、包含一固定空間的擋案易數目達到或超過一臨界值：：： =在前述檔案中的交才則述貧料儲存裝置會回傳 24 200536339 :狀態給前述交易終端機，提示前述交易終端機將儲存於丽述交易終端機中的任何資料上傳至前述祠服器中”" 清除儲存於前述交易終端機的離線交易資料或儲存於= !料儲存裝置中之任何前述交易資料之冗餘備份，以致二前述交易終端機和前述資料儲存裝置可以保留更多的1 =而不漏失任何先前儲存於前述資料儲存裝置乂交交易1資V種端機’用來接收與客戶交易相關的易貝料’並用來透過電腦網路傳送前述交易資料機伺服器中，前述終端機包含·· 二介面，用以建立與用來儲存至少-組數位安全全势之可拆式資料儲存裝置的資料通訊連結；、’- =前述安全金鑰以藉由前述交Μ :…料儲存裝置在與前述交易終端機進行資料通： t，而别述交易終端機被規書 ° 資料錯存裝置P 述父易資料到前述料可以接著藉由前=述資料儲存裝置中的前述交易資榻取。别述父易終端機或其它類似交易終端機來】3·如申請專利範圍第12項之交易安全金鑰被設計來一 ' /、中刖述机^ e ;進仃父易終端機之驗證、客戶身分租，或是交易終端機和客戶身份之交互驗證。戶身刀之驗夂4.如申請專利範圍第12項之交易終端機，父易終端機包含今κ〇 ^ 戌八中别述至前、十、“ 被規劃為可以寫入前述交易資料至則述記憶體和前述資料儲存裝置。貝枓 25 200536339 1 5 ·如申請專利範圍第父易終立而機最好包含記憶體形式，寫入前述交易資料至置。、之父易終端機，其中前述且被規劃為以各別交易記錄的月1j述記憶體和前述資料儲存裝其中前述其中前述其中前述

16.如申請專利範圍第12項之交易終端機數位安全金鑰為多組數位安全金鑰中的一組。 Π.如申請專利範圍帛12項之交易終端機，多組數位安全金鑰被設計用來驗證客戶的身份。 18.如申請專利範圍第12項之交易終端機，資料儲存裝置包含—安全存取模組。 ^ 19.如申請專利範圍第12項之交易終端機，其中前土又易終鳊機包含一外殼，用來收納前述資料儲存裝置，^ 中前述資料儲存裝置可以在前述外殼中被連接至前述^ 面0 八20·如申請專利範圍第12項之交易終端機，其中前述介面被設計來與多個可拆式資料儲存裝置建立資料通訊連結，其中一第一資料儲存裝置可以被前述交易終端機用來儲存則述數位安全金鑰，而前述交易終端機被規劃為可以寫入刖述父易資料到在前述交易終端機中的交易記錄，並且寫入一第二資料儲存裝置，以便接下來的前述交易終端機或其它類似的交易終端機擷取資料。 21·種用來儲存交易資料於一交易系統中，防止至一主機伺服器上傳失敗之方法，其包含：藉由交易終.端機將前述交易資料寫入一資料儲存裝 26 200536339 蘑 •置，該f料錯存裘置被設計給前述終蠕機用來錯安全金鑰_述交易終端機進行資料通气連姓. 交易資料之後〜被前述交易終:機或另外類似的又易終端機擷取資料。 22·如申請專利範圍第21項的方其中前述安全今鑰被設計來進行交易終端機之驗 ^ 曰>日从山各戶身分之驗證，或疋父易、，冬鈿機和客戶身份之交互驗證。 23·如申請專利範圍第Η項的 ” η八* 貝的方去，其中前述資料儲存裝置包έ一安全存取模組。 24·如申請專利範圍第 θ μ 員的方法，包含將只與在前述交易終端機中所執行 ^ 仃之離線父易相關的交易資料，寫入前述資料儲存裝置。、 2 5 ·如申請專利範图楚圍弟21項的方法，包含在前述交資料被成功地藉由前述交义又易終鳊機傳送至前述伺服器時，刪除前述資料儲存裝置中的前述交易資料。 26.如申請專利範圍第21項的方法，包含在前述交易資料成功地從前述資料十储存裝置傳迗至刚述交易終端機後，刪除資料儲存裝f t ^ 交跫中的交易資料。十 •、圖式：如次頁 27