CN102369559A

CN102369559A - 安全智能卡的操作

Info

Publication number: CN102369559A
Application number: CN2011800016574A
Authority: CN
Inventors: 理查德·雷德; 艾瑞克·B·彼得森; 罗伯特·P·巴赛洛缪; 马克·埃斯平; 威廉·R·坎宁安二世; 斯科特·J·麦克米伦
Original assignee: International Game Technology
Current assignee: International Game Technology
Priority date: 2010-04-08
Filing date: 2011-04-01
Publication date: 2012-03-07
Also published as: WO2011126935A1; US9123204B2; BRPI1106075A2; PE20120884A1; US20100197383A1; EP2417589A1; US20150348021A1; SG177235A1; MX2011010179A

Abstract

本文所描述或参考的各种实施方式涉及有助于(例如在娱乐场环境中)进行非现金数字交易的不同的设备、方法、系统和计算机程序产品。基于下注的游戏机可包括能够存储代表可用于下注的信用分数量的第一信用分数余额的存储器设备。基于下注的游戏机可包括被配置为与能够存储代表便携式电子设备上可用的第二信用分数量的第二信用分数余额的便携式电子设备通信的通信接口。基于下注的游戏机可包括安全交易设备，其可操作为：向便携式电子设备传送用于更新第二信用分数余额并包括安全性认证信息的请求；当确定安全性认证信息符合一个或多个安全性认证要求时，从便携式电子设备接收表示已根据请求更新了第二信用分数量的指示；根据请求更新第一存储器设备中存储的第一信用分数余额。

Description

安全智能卡的操作

优先权及相关申请数据

本申请要求Rader等人于2010年4月8日提出的名称为“SECURE SMARTCARD OPERATIONS”的美国专利申请No.12/756,396的优先权，该美国专利申请是Cunningham等人于2007年12月31日提出的名称为“METHODS ANDARCHITECTURE FOR CASHLESS SYSTEM SECURITY”的联合待审并共同被转让的美国专利申请No.11/967,916的部分连续申请并要求其优先权，美国专利申请No.11/967,916要求Cunningham等人于2007年2月27日提出的名称为“METHODS AND ARCHITECTURE FOR CASHLESS SYSTEMSECURITY”的美国临时专利申请No.60/904,017的优先权，在此为了所有的目的通过参考将这些申请的全部内容并入本文。

技术领域

本发明大体涉及游戏设备和系统，更特别地，涉及游戏设备的安全保护方法。

发明背景

广泛存在各种相关联的设备可以连接至诸如投币器或视频扑克机的游戏机。这些设备的一些实例为光源、印票机、读卡器、扬声器、验钞机、读票器、投币器、显示面板、小键盘、退币机以及按钮盘。很多这些设备被内置在游戏机中或者与游戏机相关联的组件比如通常位于游戏机顶部的机顶盒中。

典型地，通过利用主游戏控制器，游戏机控制允许玩家在游戏机上玩游戏并且鼓励在游戏机上玩游戏的多个设备的各种组合。例如，在游戏机上玩的游戏通常需要玩家向游戏机输入币或信用标记，表明下注量，并启动玩游戏。这些步骤需要游戏机控制包括验钞机和投币器的输入设备接受向游戏机输入的币，并识别来自包括小键盘和按钮盘的设备的用户输入，以确定下注量并启动玩游戏。在启动了玩游戏之后，游戏机确定游戏结果，将游戏结果呈现给玩家，并且可以基于游戏结果来分配某种类型的奖励。

随着游戏行业中的技术进步，打印票据的自动售票机对发放硬币或代币作为赢得游戏结果的奖励的传统方法进行了补充，票据可被兑换为现金，或者在其它游戏机中作为信用标记而被接受以用于玩其它游戏。奖券系统允许发放奖券凭单并使奖券凭单用于其它游戏机中，这提高了维护游戏机的工作效率并简化了玩家的支付过程。奖券系统的一个例子就是内华达州里诺市的IGT所提出的EZ付券系统。奖券系统以及使用诸如智能卡之类的其它非现金媒介的系统被称为非现金系统。

非现金系统，例如EZ付券系统，对游戏玩家和娱乐场经营者都有好处。例如，许多玩家发现携带奖券比携带大量硬币更方便。对于游戏机经营者而言，非现金系统往往可以减少游戏机的运营成本。例如，当改用非现金系统时，移出和计数游戏机中的信用标记(如硬币、代币、帐单)所需的基础设施可以被取消或减至最少，这减少了游戏机的运营成本。此外，硬币上的尘土会潜在地损害游戏机组件(例如电子组件)，而当用非现金系统代替投币器时，就可以去除或最少化尘土。

任何非现金系统中要考虑的一点就是安全性。一般来说，非现金工具储存最终可以被兑换为现金的现金值。但不利的是，诸如印票或智能卡之类的非现金工具在某些情况下，特别是在以相对简单的形式或安全保护结构使用这些工具或工具系统的情况下，很容易被欺诈。无论是否以正当或欺诈方式使用非现金工具，发放非现金工具的诸如娱乐场之类的游戏实体能对通过使用非现金工具获得的任何现金负责。虽然提供与游戏设备和游戏系统相关联的非现金工具的现有系统和方法在以前就有很多，但在减少可能由欺诈造成的损害和/或限制由欺诈造成的损害方面的改进通常是受欢迎和鼓励的。因此，由前文可知，期望开发防止或减少与非现金工具相关联的欺诈和其它潜在问题的方法和系统。

用于非现金游戏的传统智能卡一般采用Gemplus文件格式的模式来存储和捕捉信息。Gemplus格式允许将信用分数余额和其它信息一起存储在Gemplus卡中。可以从Gemplus卡中扣除信用分数以用于游戏或比如与未连接到信用卡网络的商家进行小额交易。如果Gemplus卡被偷，那么将只损失Gemplus卡上所存的钱。

与Gemplus卡通信的设备上运行的应用程序用于更新和检索Gemplus卡中的数据。例如，可以在读卡器或与读卡器通信的设备上运行应用程序。可以用对称密钥加密(例如3DES)来完成对Gemplus卡上所存的值的更新。如果请求是用正确的密钥加密的话，则Gemplus卡更新Gemplus卡上所存的信用分数余额。但是，如果允许任意应用程序增加卡上所存的余额的话，那么拥有这种密钥的用户就可以在不付钱的情况下增加卡中的值。因此，在Gemplus系统中，借贷功能中使用不同的对称密钥。这样，许多系统有能力重新转移Gemplus卡中的信用分数，同时在Gemplus卡中增加信用分数的能力仅限于受信任方。

这些传统的技术存在多种缺点。例如，如果更新Gemplus卡上的信用分数余额的密钥被黑客发现，就会危害到使用该密钥的所有Gemplus卡，这是因为加密系统是对称的。另一个例子是，Gemplus卡验证了更新一个值的请求是用正确的密钥加密的，但并未验证请求者是否被授权作出该请求。再一个例子是，与Gemplus卡的通信(例如，在读卡器的读/写卡接口)易被拦截和篡改。由于存在这些和其它弱点，黑客能够欺诈Gemplus系统以牟利。

此外，Gemplus系统有限的功能使其不适用于非现金游戏。例如，Gemplus格式仅提供三字节的内存用于存储信用分数。因此Gemplus卡可用于小额买卖或低信用分数的游戏，但对于存储较大额的信用分数而言其内存就不够了。另一个例子是，向Gemplus卡增加信用分数存在限制，这意味着玩家在一个游戏会话之后不能使用Gemplus卡从游戏机支出现金。也就是说，游戏机上所存储的信用分数值不能被转移给Gemplus卡。再一个例子是，Gemplus系统使用仅能从特许供应商获得的Gemplus卡中的专用硬件，从而导致每张卡的成本增加。

因此，存在对具有更多功能和更高安全性的非现金游戏技术的需要。

发明内容

本文所描述或引用的各种实施方式涉及便于进行非现金数字交易的不同设备、方法、系统和计算机程序产品。在一些实施方式中，设备、方法、系统和计算机程序产品可被设置或设计用于娱乐场环境中。

根据多个实施方式，一种基于下注的游戏机可包括：主游戏控制器，被配置为控制一个或多个机会游戏；下注输入设备，可操作为接收用于玩一个或多个机会游戏的下注的指示；值输出设备，被配置为输出值的表示，所述值包括基于玩一个或多个机会游戏的奖励；第一存储器设备，能够存储第一信用分数余额，所述第一信用分数余额代表可用于下注以玩一个或多个机会游戏的第一信用分数量；和/或通信接口，被配置为与具有第一处理器和第二存储器设备的便携式电子设备通信，所述第二存储设备能够存储第二信用分数余额，所述第二信用分数余额代表便携式电子设备上可用的第二信用分数量。基于下注的游戏机还可包括安全交易设备，所述安全交易设备包括第二处理器和第三存储器设备，所述处理器可操作为：经通信接口向便携式电子设备传送用于更新第二信用分数余额的第一请求，所述第一请求包括安全性认证信息；当确定安全性认证信息符合一个或多个安全性认证要求时，经通信接口从便携式电子设备接收指示，该指示表示已根据该请求更新了第二信用分数量；和根据该请求更新第一存储器设备中存储的第一信用分数余额。

在至少一个实施方式中，一种操作基于下注的游戏机的方法可包括：在游戏机上的第一存储器设备中存储第一信用分数余额，所述第一信用分数余额代表可用于下注以玩在游戏机上可用的一个或多个机会游戏的第一信用分数量；经通信接口从游戏机上的安全交易设备传送第一请求至与游戏机通信的便携式电子设备，所述第一请求代表用于更新便携式电子设备上存储的第二信用分数余额的请求，所述第二信用分数余额代表便携式电子设备上可用的第二信用分数量，所述第一请求包括安全性认证信息；当确定安全性认证信息符合一个或多个安全性认证要求时，经通信接口从便携式电子设备接收指示，该指示表示已根据该请求更新了第一信用分数量；和/或根据该请求更新第一存储器设备中存储的第一信用分数余额。

在一个或多个实施方式中，请求(例如第一请求)可包括用于从便携式电子设备转移指定的信用分数量至游戏机的请求和/或用于从游戏机转移指定的信用分数量至便携式电子设备的请求。在一个或多个实施方式中，可响应于第一信用分数余额已达到第一信用分数阈值的确定结果和/或响应于自游戏机的用户接收到的请求，来传送请求(例如第一请求)。在一些实施方式中，安全交易设备的第二处理器可操作为(例如利用预定的自动转移额和第一信用分数阈值)确定所述指定的信用分数量。

在一个或多个实施方式中，安全交易设备中的处理器(例如第二处理器)可操作为：响应于现金支出请求而确定通信接口是否与便携式电子设备通信；响应于通信接口未与便携式电子设备通信的确定结果而从第一存储器设备转移第一信用分数余额至第三存储器设备；传送表示游戏机应处于退出服务的状态的请求至主游戏控制器；和/或传送用于执行无卡现金支出操作的请求。

在一个或多个实施方式中，安全交易设备中的处理器(如第二处理器)可操作为：确定用于便携式电子设备的第一离线窗口，所述第一离线窗口代表在无需向一个或多个非现金游戏服务器认证的条件下可将便携式电子设备用于非现金游戏的时间段；确定便携式电子设备的第一在线使用，所述第一在线使用对应于最近一次向一个或多个非现金游戏服务器认证了便携式电子设备的时间；利用第一离线窗口和第一离线使用，确定第一离线使用是否在第一离线窗口内；和/或当第一离线使用处于第一离线窗口内时，允许在不向一个或多个非现金游戏服务器认证便携式电子设备的条件下使用便携式电子设备。

在一个或多个实施方式中，安全交易设备中的处理器(如第二处理器)可操作为：经通信接口从便携式电子设备接收与便携式电子设备相关联的识别信息；向非现金游戏服务器传送包括接收到的识别信息的第一消息；从非现金游戏服务器接收包括指示的第二消息，该指示表示对便携式电子设备的进一步使用至少已被部分地锁定；和/或输出通知，该通知表示对便携式电子设备的进一步使用已被锁定。

附图简要说明

所包括的附图用于说明，并仅用于对所公开的向远程客户端提供游戏服务的发明系统和方法提供可能结构和处理步骤的例子。这些附图不会限制所领域技术人员在不脱离本发明的精神和范围的前提下对本发明所作的形式和细节上的改变。

图1是示出了按照本发明的一个实施方式构建的用于执行智能卡初始化和使用的系统的框图100。

图2是示出了按照本发明的一个实施方式构建的未注册的玩家智能卡的框图200。

图3是示出了按照本发明的一个实施方式构建的已注册的玩家智能卡的框图300。

图4是示出了按照本发明的一个实施方式构建的用于非现金游戏设备中的智能卡的框图400。

图5示出了按照本发明的一个实施方式执行的用于检索智能卡参数值的方法500。

图6示出了按照本发明的一个实施方式执行的用于更新智能卡参数值的方法600。

图7示出了按照本发明的一个实施方式执行的用于向或从智能卡手动转移信用分数的方法700。

图8示出了按照本发明的一个实施方式执行的用于向或从智能卡自动转移信用分数的方法800。

图9示出了按照本发明的一个实施方式执行的用于对智能卡进行现金支出的方法900。

图10示出了按照本发明的一个实施方式执行的用于保护智能卡存取的方法1000。

图11示出了按照本发明的一个实施方式执行的用于验证智能卡的离线使用的方法1100。

图12示出了按照本发明的一个实施方式执行的用于传送关于被锁定智能卡的通知的方法1200。

图13示出了按照本发明的一个实施方式执行的用于对丢失的智能卡进行现金支出的方法1300。

图14示出了按照本发明的一个实施方式构建的游戏机2的透视图。

图15是示出了可用于实现本发明的一个或多个实施方式的游戏系统1500的多个组件的框图。

图16示出了基于服务器的游戏网络，该网络可用于实现本发明的一个或多个实施方式。

具体描述

这个部分描述了按照本发明的系统和方法的示范性应用。提供这些例子仅仅是为了添加使用环境并帮助理解本发明。因此，对于所属领域技术人员来说显而易见的是，可以在缺少部分或所有这些具体细节的情况下实践本发明。在其它情况下，为了避免不必要地混淆本发明，没有详细说明公知的处理步骤。其它应用也是可以的，下文中的例子不应被视为对保护范围或设置的限定或限制。

在下文的详细说明中参照了附图，其中附图构成了说明书的一部分，并且在附图中以示例的方式示出了多个具体实施方式。尽管充分详细地描述了这些实施方式以使得所属领域的技术人员能够实践本发明，但是应当理解，这些例子并非限制性的，因而在不脱离本发明的精神和范围的条件下可以使用其它的实施方式并且可以作出改变。

虽然本发明主要涉及游戏机和系统，但值得注意的是，本文所公开的一些设备、系统和方法可依照适当的方式适用于其它类型的设备、系统或环境，因而其用途并不仅仅限制于游戏机和此类环境中。在看完本文所讨论和示出的发明设备、系统和方法之后，这些其它适用性就变得十分明显了。

在下面的附图中，描述了适用于各种游戏系统配置的方法和设备及其相关组件。游戏系统可包括使一个或多个主机能够与游戏机通信的网络基础结构。游戏机可操作为对机会游戏提供下注。诸如验钞/票机、打印机、机械显示器、视频显示器、退币器、光面板、输入按钮、触摸屏、小键盘、读卡器、音频输出设备等之类的多个游戏设备可以连接至游戏机。游戏设备可以受主游戏控制器的控制，其中主游戏控制器运行被认证的软件以提供用于在游戏机上体验玩游戏的游戏界面。

在本发明的一个或多个实施方式中，智能卡包含可允许卡功能的灵活性并能控制卡功能的一个或多个程序(如Java小程序)以及存储在卡上的信息。按照传统的技术(如在Gemplus模式中)，信用分数余额是智能卡上存储的一个值，而诸如读卡器之类的外部系统确定是否更改所存储的余额值以完成交易。Gemplus卡可确定更改所存储的余额的请求是否被正确加密，但不能确定请求者是否被授权作出该请求。与此相对照，本发明的一个或多个实施方式包括本身驻存有程序(如Java小程序)的智能卡，该程序可验证是否被授权执行交易。因此，在一个或多个实施方式中，外部系统请求卡本身去执行交易，且只允许智能卡上的程序更改所存储的信用分数余额值。

如上所述，在一个或多个实施方式中，在卡本身上而不是在其它设备上运行验证程序，这可以消除在安全性方面的薄弱环节。安全性增加的一个原因是，当使用传统技术时(如Gemplus模式)，可以物理地拦截卡与对卡上所存的数据进行操作的系统之间的通信。这种拦截一般发生在读卡器的读/写卡接口。但是，当采用本文公开的实施方式时，读取和/或更新所存数据的应用程序操作一般是无法观察到的，且应用程序和数据间的通信是无法被拦截的，因为对数据进行操作的应用程序可内嵌在卡本身中。

安全性增加的另一个原因是，在一个或多个实施方式中，智能卡本身验证请求者是否被许可发出执行交易的请求，且之后在允许将卡上所存的信用分数作为现金提供给用户之前可验证这些交易。这种信任链条增加了安全性，并扩展了功能。例如，不需要将向智能卡中增加数值的能力限制于少数受信任系统，而是可以扩大到非现金交易系统中至少能周期性地与非现金服务器或主机系统通信的各种设备。另一个例子是，这些设备可以利用公共密钥加密与智能卡通信，因此与智能卡相关联的专用密钥对于其它设备而言是未知的。由于不同的智能卡可具有不同的专用密钥，所以发现与一张智能卡相关联的密钥并不会危害其它智能卡的使用。

此外，本发明的一个或多个实施方式并非仅限于专用智能卡硬件或存储器尺寸。因此，与传统技术相比，按照本文所公开技术的每张智能卡的成本可被大大降低。此外，不必将智能卡限制为三字节的额度。

在一个或多个实施方式中，改变智能卡上的值或配置参数可包括以下操作中的一个或多个：系统可读取智能卡上所存的一个或多个参数；智能卡上的应用程序(如顾客管理模块和/或Java小程序)可调用与应用程序有关的函数以进行修改；应用程序可验证一个或多个许可和/或规则；应用程序可以对卡作出一次或多次修改；玩家可指定向和/或从卡中转移的金额；和/或当把卡插入电子游戏机(EGM)时并在检查一个或多个配置值和/或执行一个或多个安全性验证等之后，可将适当的资金转移到EGM中。

在一个或多个实施方式中，通过在卡上运行应用程序，可以在卡中内置多个规则，从而执行具体的操作。例如，当给定余额低于指定的阈值时，可在卡上运行自动触发寻求补充资金的交易的应用程序。这种应用程序可包括以下操作中的一个或多个：系统可读取智能卡上所存的一个或多个参数；智能卡上的应用程序(如顾客管理模块和/或Java小程序)可调用与应用程序有关的函数以进行修改；应用程序可验证一个或多个许可和/或规则；应用程序可以对卡作出一次或多次修改；玩家可指定触发自动转移的信用分数余额阈值；和/或当把卡插入EGM时、当检查完配置值时、在EGM上的一个或多个信用分数余额低于指定的余额阈值之后、和/或在执行一个或多个安全性验证之后，转移适当量的现金和/或信用分数。

在一个或多个实施方式中，在智能卡上运行一个或多个应用程序可起保护作用以抵制未授权的人员存取帐户的尝试。例如，智能卡上的一个或多个应用程序可执行以下操作中的一个或多个：如果进行了对卡的连接则尝试验证安全性；如果验证安全性的尝试不成功则更新无效存取尝试的记录；将无效存取尝试的记录与预定限制相比较；使非现金游戏系统获知一次或多次非法存取尝试；和/或如果无效存取尝试的次数超过预定限制则使卡无效。在一个或多个实施方式中，一旦使智能卡无效，可以从智能卡中检索信息，但应用程序不能再修改任何信息。

在一个或多个实施方式中，即使智能卡未与游戏机通信，本文所公开的技术仍允许现金支出(也就是无卡现金支出)。这种技术可包括以下操作中的一个或多个：接收现金支出请求；确定是否插入有效的智能卡；如果存在有效的智能卡则将信用分数和/或现金转移至卡中；如果不存在有效的智能卡则从EGM(例如向投币器接口板(SMIB))转移资金；将现金和/或信用分数保存在非易失性存储器中(例如在SMIB中)；使EGM退出服务；发送无卡现金支出的通知；接收有效的智能卡(如娱乐场服务人员提供的新卡)；检查安全性和/或验证智能卡；将现金和/或信用分数转移到接收的智能卡；使EGM重新投入服务。

因此，在一个或多个实施方式中，本发明描述了相比现有技术可提供比更安全和更灵活的智能卡设计的技术。应当注意的是，虽然一些技术的描述参考了娱乐场环境中的基于下注的游戏，但并不是将这些技术限制为游戏，而是可应用于涉及智能卡的任一或所有应用和/或行业。即使在游戏环境中，本文所描述的一种或多种技术也可便于娱乐场环境中的其它非现金交易，例如支付就餐、酒店房间或其它游戏相关花费。

Richard Rowe于2000年11月22日提出的名称为“EZ Pay Smart Card andTickets System”的美国专利No.6,852,031和Crevelt等人于1996年4月29日提出的名称为“Preset Amount Electronic Funds Transfer System for GamingMachines”的美国专利5,902,983讨论了与游戏环境中的智能卡操作和/或非现金游戏相关的具体细节，在此为了所有的目的通过参考将这两个申请并入本文。

图1是示出了包括与智能卡初始化和/或使用相关联的系统组件的非现金游戏系统100的框图。根据各种实施方式，非现金游戏系统100可操作为执行与非现金游戏相关的一个或多个操作，例如本文参照图5-13所描述的一个或多个操作。在一个或多个实施方式中，非现金游戏系统100可操作为执行与安全性验证和/或核实处理相关的一个或多个操作，例如美国专利申请No.11/967,916中所讨论的那些操作，通过参考将其并入本文。

非现金游戏系统100包括游戏设备104。在图1的实施方式中，游戏设备104是游戏机。本文(尤其是结合图14)讨论了与游戏机有关的附加细节。但是，根据各种实施方式，不同类型的游戏设备可包括与非现金游戏有关的一个或多个组件。例如，在不同的实施方式中，游戏设备104可以是游戏机储藏库、售卖亭、出纳终端、顾客管理终端、卡初始化终端或一个或多个其它设备。

游戏设备104包括投币器接口板(SMIB)108。依照一个或多个实施方式的SMIB的一个例子为可以从内华达州里诺市的IGT获得的Bonus

但是，应当注意的是，虽然游戏机104包括SMIB，但其它实施方式可包括被配置为与SMIB108执行类似操作的一个或多个不同的控制组件。例如，如果游戏设备104是售卖亭或顾客管理系统，而不是游戏机，那么除了SMIB或者代替SMIB，可使用不同的设备。在一些实施方式中，顾客管理系统或出纳终端可包括用于读取信用卡外形的智能卡的设备(如可以从德国的Walluf的HID获得的Omnikey 3821设备)。具有STM设备的一个或多个系统可包括用于读取SIM卡外形的智能卡的设备(如可以从HID获得的Omnikey 3121设备)。

SMIB108包括CPU140和存储器144。SMIB与游戏设备104中诸如读卡器112、用户输入设备116和显示器120之类的其它组件通信。在一个或多个实施方式中，SMIB可以通过一个或多个串行链路与这些设备和/或图1中未示出的其它设备通信。但是，根据不同的实施方式，可使用一种或多种不同类型的通信链路。在一个或多个实施方式中，SMIB108可以通过通信链路128与诸如主机系统124之类的一个或多个远程设备通信。在一个或多个实施方式中，通信链路128是游戏网络中的网络链接。在整个说明书中(特别是结合图15和16)讨论了与游戏网络有关的附加细节。在一个或多个实施方式中，通信链路128可包括一个或多个互联网链接、卫星链路、无线链路等。

在一个或多个实施方式中，SMIB可被配置或设计为控制游戏设备中的一个或多个组件，例如读卡器112、用户输入设备116和/或显示器120。附加地或替代地，SMIB可操作为与未在图1中示出的游戏设备中的一个或多个不同组件通信。例如，SMIB108可与游戏机中诸如主游戏控制器、显示设备、服务窗口等之类的一个或多个组件通信。另一个例子是，与非现金游戏系统相关联的SMIB、STM和/或其它组件可与一种或多种不同类型的设备或接口通信，所述设备或接口例如为主板、控制器、网络接口、服务窗口、售卖亭(如具有票务界面的系统)、显示设备(如真空荧光显示器、可从IGT获得的NexGen或sbNexGen等)或任意其它类型的设备。

非现金游戏系统的一些实施方式可被配置为用于不受娱乐场控制的系统中。这样的使用方式之一就是销售点界面，其中智能卡读取器和STM被安装在一个或多个商店、餐馆、宾馆设施(如服务台、咖啡吧、礼品店)或其它商业场所内。这种配置方式可允许玩家使用智能卡来支付非游戏类商品或服务。被配置为用于这种系统的智能卡可包括多于一个的资金库(也就是信用分数余额)。使用多于一个的资金库可以允许娱乐场在智能卡上提供不同类型的信用分数(如投机游戏信用分数、现金、促销美元、奖励分数、忠诚度分数等)和/或(例如为了遵从管理机构)避免弄混游戏和非游戏资金。

如本文所述，SMIB包括存储器144。在一个或多个实施方式中，存储器144可包括用于CPU140的程序指令，例如与执行非现金游戏的一个或多个操作有关的程序指令。在一个或多个实施方式中，存储器144可存储与非现金游戏相关的一个或多个参数值。例如，存储器144可存储用于在游戏设备108和智能卡(例如与智能卡插槽132通信的智能卡)之间转移的信用分数余额。在一个或多个实施方式中，存储器144是非易失性存储器。因此，在系统重置的情况下，当系统故障、断电和/或重置时，仍可保持存储器144上所存的信用分数值。

在一些实施方式中，SMIB可根据交易完成模式来运行，在交易完成模式中，不会将任何行为记录到交易记录中，直到智能卡上的交易完成为止。因此，如果在交易完成之前(例如由于断电)中断交易，已部分完成的交易不会被记录到非现金游戏系统中。因此交易完成模式可防止现金丢失(如，从STM转移但未记录在智能卡上)或复制(如，转移到智能卡但未从STM删除)。

图1示出了读卡器112。读卡器112可操作为与投币器接口板108通信。根据不同的实施方式，读卡器112可包括一个或多个通信接口，用于与一个或多个便携式电子设备通信。例如，读卡器112包括智能卡插槽132和SIM卡插槽136。但是，根据不同的实施方式，可使用各种不同数量、类型和/或组合的通信接口。

在图1中，附图标记132表示智能卡插槽。智能卡插槽132可操作为与便携式电子设备例如智能卡通信。在一个或多个实施方式中，智能卡插槽可以是可插入智能卡的物理插槽。替代地或附加地，智能卡插槽132可以是被配置为与智能卡和/或其它类型的便携式电子设备进行无线通信的无线通信接口。

在一个或多个实施方式中，读卡器112可以与一个或多个便携式电子设备通信，所述便携式电子设备操作为存储非现金游戏的信用分数余额。例如，读卡器112可以通过智能卡插槽132与智能卡通信。在这种实施方式中，智能卡插槽132可以放在游戏设备104的用户可以达到的位置。例如，智能卡插槽132可包括游戏设备104外表面上的物理插槽。

附图标记136表示SIM卡插槽。在一个或多个实施方式中，SIM卡插槽136可被配置为与便携式电子设备(例如按照一种或多种用户识别模型(SIM)卡外形设计或配置的智能卡)通信。与智能卡插槽132一样，SIM卡插槽136可以是物理插槽、被配置为与SIM卡或其它便携式电子设备进行无线通信的无线通信接口或任意其它类型的通信接口。

在一个或多个实施方式中，读卡器112可以与有助于实现通信/安全保护功能的一个或多个便携式电子设备比如安全交易模块(STM)卡通信。例如，读卡器112可以通过SIM卡插槽136与具体化为SIM卡样式的STM卡通信。在一个或多个实施方式中，STM卡可执行与智能卡和游戏设备104之间的通信相关联的一个或多个加密、解密和/或安全性验证操作。例如，STM卡可以对从SMIB108传送到智能卡的通信加密。另一个例子是，STM卡可以对从智能卡传送到游戏设备104的通信解密。

在一个或多个实施方式中，使用STM卡进行游戏设备104和智能卡之间的安全通信会有一个或多个优点。例如，可以很容易插入STM卡和/或从游戏设备104中取出STM卡。因此，STM卡可以轻松地被另一张不同的STM卡代替。另一个例子是，安全性操作的执行可以独立于游戏机和/或SMIB中的其它功能。再一个例子是，STM卡可被预先配置为执行专用于一个或多个特定类型的游戏设备的一个或多个操作。结合图4讨论与STM卡有关的附加细节。

在一个或多个实施方式中(如，读卡器112可操作为通过SIM卡插槽136与STM卡通信的一个或多个实施方式)，游戏设备104可包括用于保护对SIM卡插槽136的存取的一个或多个安全性特征。在一个或多个实施方式中，读卡器112可被配置或设计为在操作游戏机104的正常过程中掩藏SIM卡插槽136以避免使用者知道。例如，读卡器112可被配置或设计为：为了插入卡或从SIM卡插槽136中取出卡，游戏机的门必须开着。另一个例子是，对SIM卡插槽136的未被授权的存取可能需要一个或多个数字和/或物理密钥，触发有声和/或无声警报等。

虽然图1所示的读卡器112的一个实施方式被描述为通过SIM卡插槽136与STM卡通信并通过智能卡插槽132与玩家的智能卡通信，但其它实施方式可包括不同的配置。例如，根据不同的实施方式，玩家的智能卡和STM中的任一种或这两者可以具体化为便携式电子设备的一种或多种智能卡样式、SIM卡样式或任意其它类型的样式。另一个例子是，在一个或多个实施方式中，STM卡可物理地连接至游戏设备以使卡与游戏设备中的一个或多个组件通信，而不经可拆卸的插槽进行通信。例如，STM卡可以是与游戏设备中的一个或多个组件连接并通过游戏设备上的截面(例如通过网络，通过用户界面，利用远程设备等)进行配置的硬件和/或软件组件。

在图1中，附图标记116表示用户输入设备。根据各种实施方式，用户输入设备116可以是被配置或设计为接收用户输入的任意输入设备。例如，用户输入设备116可以是触摸板、触摸屏、小键盘、键盘、按钮面板等。

在一个或多个实施方式中，用户输入设备可接收与非现金游戏有关的用户输入。例如，用户输入设备可接收用于在游戏设备和与读卡器112进行通信的便携式电子设备(例如与智能卡插槽132通信的智能卡)之间转移现金和/或信用分数的请求。另一个例子是，用户输入设备可接收用于更新与读卡器112通信的智能卡上的一个或多个参数(例如，更新的玩家姓名、优选语言、自动转移阈值、自动转移额等)的请求。

附图标记120表示显示器。根据各种实施方式，可使用不同类型的显示器。例如，显示器120可以是LCD、LED显示器、等离子体显示器、七段显示器等。在一个或多个实施方式中，用户输入设备116和显示器120可以是相同设备(例如触摸屏显示器)的不同部分。

显示器120可操作为显示与非现金游戏有关的信息。例如，显示器120可显示与读卡器112通信的便携式电子设备上所存的一个或多个参数值，例如与智能卡插槽132通信的智能卡上所存的一个或多个参数值(例如，玩家姓名、优选语言、自动转移额、自动转移阈值、信用分数余额等)。在一个或多个实施方式中，显示器120可显示用于修改与智能卡插槽132通信的便携式电子设备上的一个或多个值的选项(例如，可能的优选语言列表、选择被批准的自动转移阈值、选择被批准的自动转移额等)。

在图1中，附图标记124表示主机系统。主机系统124可包括与非现金游戏有关的一个或多个服务器。投币器接口板108和主机系统124可被配置为通过一个或多个网络链接(例如网络链接128)通信。在一个或多个实施方式中，网络链接128可以是娱乐场中的游戏网络中的网络链接。结合图17讨论了游戏网络的进一步细节。但是，根据不同的实施方式，网络链接128可包括诸如互联网之类的公共网络中的一个或多个通信链路。

通过智能卡读取器132和/或SIM卡插槽136与游戏设备104的一个或多个组件通信的便携式电子设备类型的例子是图2、3和4中所示的智能卡200、300和400。智能卡200、300和400是分别具有存储器和一个或多个处理器的便携式电子设备。此外，智能卡200、300和400可分别操作为与非现金游戏系统和/或娱乐场环境中的一个或多个其它设备通信。

智能卡200、300和400是被设计为执行以Java编程语言所写的一个或多个程序、应用程序和/或Java小程序的Java智能卡。但是，根据不同的实施方式，多种不同类型的编程语言例如C，C++，C#，.NET等可被用于非现金游戏系统中的各种组件。此外，根据各种实施方式，一张或多张智能卡200、300和/或400可以具体化为不同的外形或形态。例如，智能卡可具体化为SIM卡、信用卡尺寸的智能卡或任意其它类型的便携式电子设备。

图2示出了按照本发明的一个实施方式被配置或设计为供娱乐场环境中的一个或多个玩家使用的智能卡200。智能卡200是不具有个人识别信息(例如姓名、识别号)和/或未与特定用户绑定的未注册智能卡(如，“只能用一天(day use)”的智能卡)。

在一个或多个实施方式中，未注册智能卡200可操作为通过将其放在智能卡插槽例如智能卡插槽132中，与游戏网络中的一个或多个其它设备通信。但是，在不同的实施方式中，智能卡可利用一种或多种不同技术来进行通信，例如通过SIM卡插槽(如SIM卡插槽136)和/或无线通信进行通信。

未注册智能卡200可包括用于执行与非现金游戏有关的功能的一个或多个硬件和/或软件模块。每个模块可包括数据和/或程序指令。在一个或多个实施方式中，当制造智能卡时可以在未注册智能卡200上预先加载一个或多个模块。附加地或替代地，可利用娱乐场环境中的设备(例如游戏机)在未注册智能卡200上配置和/或加载一个或多个模块。未注册智能卡200包括卡管理器204、安全保护模块208和钱包模块212。

卡管理器204是具有用于存取在未注册智能卡200上的一个或多个特征的数据和/或程序指令的硬件和/或软件模块。在一个或多个实施方式中，卡管理器204被预先配置在新的智能卡上。但是，在不同的实施方式中，可以用非现金游戏系统中的一个或多个设备来添加和/或配置卡管理器204。

卡管理器204可包括专用于各未注册智能卡200的识别信息，例如智能卡序列号。在一个或多个实施方式中，智能卡管理器204可包括用于存取未注册智能卡200的一个或多个存取密钥和/或密文。例如，卡管理器204可包括制造过程中加载到智能卡上的标准密钥。

在一个或多个实施方式中，存储在智能卡管理器204中的至少部分信息是不可更改的。例如，在不使智能卡不能正常使用的情况下不可能更改智能卡序列号和/或一个或多个存取密钥。替代地或附加地，(例如经过合适的安全性验证)可以更改一个或多个值。

根据各种实施方式，卡管理器204可允许在智能卡上增加、删除和/或配置其它模块。例如，卡管理器204可允许增加、删除和/或配置安全保护模块208和/或钱包模块212。

安全保护模块208是包括用于执行与存取控制和/或安全性验证有关的一个或多个功能的数据和/或程序指令的硬件和/或软件模块。例如，未注册智能卡200可接收用于读取和/或更新未注册智能卡200的存储器中存储的一个或多个值的一个或多个请求。在一个或多个实施方式中，存取和/或更新值的部分或所有请求在由智能卡上的一个或多个模块执行之前必须由安全保护模块208进行验证。

因此，在一个或多个实施方式中，安全保护模块208可包括与认证存取未注册智能卡200的请求有关的一条或多条信息。例如，安全保护模块208可包括个人识别号(PIN)和/或用于实现安全通信的一个或多个密钥。此外，安全保护模块208可存储与一个或多个先前交易、对智能卡的先前授权、交易次数、序列号(例如，与智能卡相关联的唯一序列号)等有关的信息。智能卡上(例如在安全保护模块中)存储的不同数值可以交替地由用户可配置、由娱乐场可配置或不可配置(例如，卡序列号)。在一些实施方式中，当在STM设备上存取卡时，由娱乐场可配置的值可以被更新。这样，当下一次使用智能卡时，娱乐场就可以推出新的参数值以存储在智能卡上。

此外，在在一个或多个实施方式中，安全保护模块208可包括认证用于存取未注册智能卡200的一个或多个请求的程序指令。例如，安全保护模块208可包括执行与安全加密通信有关的一个或多个功能的程序指令。此外，安全保护模块208可包括用于验证请求存取未注册智能卡200上的一个或多个值的发送方具有执行所述存取的适当安全性许可的程序指令。

钱包模块212是包括用于执行一个或多个操作的数据和/或程序指令的硬件和/或软件模块，所述操作与存储和/或转移用于非现金游戏的现金和/或信用分数值有关。例如，钱包模块可被配置为存储一个或多个信用分数余额。信用分数余额可以是可用于娱乐场环境中的投机游戏的信用分数和/或现金量。钱包模块212还可包括与增加信用分数和/或从钱包模块212中扣除信用分数有关的一个或多个程序的程序指令。

在一个或多个实施方式中，钱包模块212可被配置或设计为存储与增加和/或扣除钱包模块上所存的信用分数有关的一个或多个参数值。例如，钱包模块可存储一个或多个自动转移阈值。自动转移阈值可用于确定何时自动地从智能卡向游戏机转出附加的信用分数(例如钱包模块212中存储的信用分数)。当未注册智能卡200与游戏机通信时，进行关于游戏机(例如用于玩机会游戏)上的一个或多个信用分数余额是否已经降至低于钱包模块中存储的自动转移阈值。如果游戏机上的信用分数余额低于钱包模块上的自动转移阈值，则将附加的信用分数从智能卡转移到游戏机。

另一个例子是，钱包模块212可被配置为存储一个或多个自动转移额。当从钱包模块212向游戏机自动转移信用分数时，可根据自动转移阈值来确定信用分数的量。根据不同的实施方式，可使用不同的技术来确定信用分数的量。例如，从智能卡向游戏机转移的信用分数的量可被确定为使游戏机上的余额增加至自动转移阈值和自动转移限制额之和。可选地，从智能卡向游戏机转移的信用分数的量可基本上等于自动转移限制额。

根据各种实施方式，可使用各种技术来增加和/或修改未注册智能卡200上所存的一个或多个参数值。在一个或多个实施方式中，可以在对卡进行初始化时(例如在初始化终端)、在出纳终端、在售卖亭、在顾客管理终端、在游戏机等确定和/或存储智能卡上的一个或多个参数值。在一个或多个实施方式中，允许修改智能卡上所存的一个或多个值的情况仅限于一个或多个特定类型的游戏设备。例如，因为把这些值设置得过低在某些情况下会导致玩游戏时转移的信用分数过多和/或卡的损耗过多，所以娱乐场需要由娱乐场员工进行监管，用以修改自动转移阈值和自动转移额。可选地，娱乐场可(例如在游戏机、售卖亭等处)提供预先被批准的值的范围和/或允许卡的用户在未受监管的情况下修改一个或多个值。

在一个或多个实施方式中，娱乐场可以对可被用作自动转移阈值/或自动转移额的值进行限制，从而降低智能卡的过多损耗和/或对信用分数的转移施加操作限制。例如，娱乐场对“高限制(High Limit)”游戏室设置$10,000的最大自动转移额，而对底楼设置$100的最大自动转移额。这种针对游戏或针对区域的限制可防止玩家将过量信用分数转移至限于低面额的游戏机(例如，将$5,000转移至$.25的投币器)。因此，在这个例子中，即使玩家的自动转移额设置为$200，但转移至娱乐场底楼的游戏机的实际值被限制为$100。这样，娱乐场就能在玩家喜好与诸如安全性和风险管理之类的操作方面的考虑之间取得平衡。

在一些实施方式中，可以对单个游戏、多组游戏、特定的智能卡(例如，用于各个玩家)、多组玩家、不同的娱乐场场所等限制自动转移参数。此外，施加的限制类型可包括阈值(如之前的章节所讨论的)、基于百分比的限制(如自动转移值限制为信用分数余额的75％)或其它限制类型。在一些实施方式中，可以对智能卡参数施加多于一个的限制。

图3是示出了按照本发明的一个实施方式构建的已注册玩家智能卡的框图300。智能卡300是已注册智能卡，包括与一个或多个具体用户相关联的个人识别信息和/或其它信息(如姓名、识别号等)。

在一个或多个实施方式中，已注册智能卡300可操作为：通过放入智能卡插槽(例如智能卡插槽132)中，与游戏网络中的一个或多个其它设备通信。但是，在不同的实施方式中，已注册智能卡300可利用一种或多种不同技术来通信，例如通过SIM卡插槽(如SIM卡插槽136)和/或无线通信来进行通信。

已注册智能卡300可包括用于执行与非现金游戏有关的功能的一个或多个硬件和/或软件模块。每个模块可包括数据和/或程序指令。在一个或多个实施方式中，当制造智能卡时，可以将一个或多个模块预先加载到已注册智能卡300上。附加地或替代地，可通过娱乐场环境中的设备，例如游戏机，在已注册智能卡300上配置和/或加载一个或多个模块。

在许多方面，已注册智能卡300基本上类似于图2所示的未注册智能卡200。例如，已注册智能卡300包括基本类似于图2所示的相应模块的卡管理器304、安全保护模块308和一个钱包模块312。

在一些实施方式中，钱包模块312可被配置为存储和存取多个资金库或信用分数余额。此外，各种信用分数余额可以以现金、娱乐场信用分数、点数或任意其它单位来命名。可智能卡上存储的不同信用分数余额可包括(但不限于)以下一种或多种：投机游戏余额、非投机游戏余额、促销美元、奖励分数、忠诚度分数、玩家跟踪分数等。

在一些实施方式中，存取不同资金库的情况可以仅限于特定的STM或特定类型机器中的STM。也就是说，只有某些STM可以拥有存取额度所必需的安全性许可。例如，存取与投机游戏有关的资金库的情况可仅限于游戏机、出纳终端等。存取与促销活动有关的资金库的情况可限于可以兑换奖品的顾客管理终端或系统。存取非投机游戏现金的情况可限于销售点界面(例如在商店或餐馆中)和出纳终端。

强制执行这类存取控制可以使娱乐场有能力在利用不同系统和实体保持对存取不同资金库进行控制的同时便于灵活地使用智能卡。此外，强制区分不同资金可有助于确保非现金游戏系统的实施方式满足与区分投机游戏和非非投机游戏的资金有关的管理机构要求。

在一些实施方式中，不同的PIN可以控制对不同资金库的存取。例如，存取一个或多个与投机游戏有关的资金库可需要第一PIN，而存取一个或多个非投机游戏资金库可需要第二PIN。举例来说，不同的存取控制可允许玩家将智能卡借于另一个人(例如未成年人)进行限制性使用(例如非投机游戏用途、餐馆购物、商店购物、旅馆消费、兑换奖品等)。

除了未注册智能卡200中所包括的组件外，已注册智能卡300包括顾客管理模块316。顾客管理模块316是具有用于执行专用于用户的一个或多个操作的数据和/或程序指令的硬件和/或软件模块。例如，顾客管理模块316可存储与一个或多个姓名、等级、玩家识别号、PIN、优选语言有关的信息，和/或专用于一个或多个用户的其它信息。另一个例子是，顾客管理模块316可包括与验证用户身份和/或执行一个或多个玩家跟踪操作相关联的程序指令。

顾客管理模块还可用于存储和/或调整与忠诚度奖励、额外信用分数、离线奖励等有关的一个或多个非现金值。在一些实施方式中，如果玩家被奖励可以免费吃一顿饭或免费玩游戏，那么这些值可以用顾客管理模块存储到智能卡上。然后，玩家可以通过在适当的时候出示智能卡来兑现这些信用分数或奖励。

根据各种实施方式，可使用各种技术来增加和/或修改已注册智能卡300上存储的一个或多个参数值。在一个或多个实施方式中，这些技术可能类似于关于未注册智能卡200所讨论的那些技术。但是，在一个或多个实施方式中，可以按不同于未注册智能卡200的方式来处理已注册智能卡300。例如，娱乐场可不要求用来修改未注册智能卡200上存储的值的认证处理，这是因为未注册智能卡200未与特定用户绑定。相反，由于已注册智能卡300与特定用户绑定，因此娱乐场可以要求用户提供识别信息(例如ID卡、生物识别信息等)和/或执行一个或多个电子认证操作，以便修改智能卡上存储的一个或多个值。另一个例子是，与已注册智能卡300相关联的希望修改已注册卡上存储的一个或多个值的用户可能需要向娱乐场员工(例如在售卖亭、顾客管理终端等)提供识别信息。

图4是示出了按照本发明的一个实施方式构建的用于非现金游戏设备中的智能卡的框图400。图4中所示的智能卡被配置或设计为用作安全交易模块器(STM)卡。STM卡400可被配置和/或设计为用于执行和/或便于进行与游戏设备中的安全交易相关联的一个或多个安全性验证和/或通信操作。

在一个或多个实施方式中，STM卡400可操作为：通过放入SIM卡插槽(例如SIM卡插槽136)中，与游戏网络中的一个或多个其它设备通信。但是，在不同的实施方式中，STM卡400可使用一种或多种不同的技术来通信，例如通过智能卡插槽(如智能卡插槽132)和/或无线通信来进行通信。

STM卡400可包括用于执行与非现金游戏有关的功能的一个或多个硬件和/或软件模块。每个模块可包括数据和/或程序指令。在一个或多个实施方式中，当制造智能卡时，可以在STM卡400上预先加载一个或多个模块。附加地或替代地，可通过娱乐场环境中的设备，例如游戏机，在STM卡400上配置和/或加载一个或多个模块。

在许多方面，STM卡400可基本上类似于图2中所示的未注册智能卡200和图3中所示的已注册智能卡300。例如，STM卡400包括基本上类似于图2和3中所示的相应模块的卡管理器404和安全保护模块408。但是，由于STM卡400不是发给玩家的，因此举例来说它可以不必包括钱包模块和/或顾客管理模块。

STM卡400和图2和3中所示的智能卡200及300之间的另一个区别为：STM卡400包括安全交易管理器(STM)模块412。STM模块412是具有用于执行与(例如用智能卡)安全地进行非现金游戏交易有关的一个或多个操作的数据和/或程序指令的硬件和/或软件模块。在一个或多个实施方式中，STM模块412可操作为(例如通过读卡器112)与智能卡通信。附加地或替代地，STM模块412可操作为与非现金游戏系统(例如主机系统124)中的一个或多个服务器通信。

在一个或多个实施方式中，STM模块412包括一个或多个密钥，用于使用安全加密系统(例如公共密钥加密系统)进行通信。这样，STM模块412和智能卡(例如与智能卡插槽132通信的智能卡)之间的通信可以被加密。附加地或替代地，STM模块412和一个或多个系统组件(例如SMIB104)和/或远程服务器(例如主机系统124)之间的通信可以被加密。在一个或多个实施方式中，可以向一个或多个远程服务器注册STM模块412。

举例来说，每当游戏机或非现金游戏终端启动时，就进行这样的注册。附加地或替代地，在使用游戏机或非现金游戏终端的过程中(例如在按时间表排定的时间、间歇地等等)进行注册。在一些实施方式中，这种注册过程可以与注册游戏机的一个或多个处理程序(例如可从IGT获得的优势奖励系统和/或便捷支付系统)结合在一起。

在某些情况下，在游戏设备中使用智能卡可涉及向远程服务器(例如非现金游戏服务器)认证智能卡。举例来说，这种认证可包括(例如利用一个或多个密钥)验证智能卡的真实性、验证与智能卡相关联的一次或多次先前交易、验证智能卡用户的身份等。

在一个或多个实施方式中，可以在每个非现金游戏会话和/或智能卡的其它使用期间、之前和/或之后进行认证尝试。可选地，只在某些情况(例如，周期性地、被触发时等等)进行认证尝试

但是，在一些情况下，这种认证是不可能和/或不实际的。例如，临时性地和/或周期性地无法使用一个或多个网络单元和/或服务器。另一个例子是，正在使用卡的游戏设备不能继续与非现金游戏服务器通信。

因此，在一个或多个实施方式中，STM模块412可包括与一个或多个离线窗口相关联的一个或多个参数值。举例来说，离线窗口值可表示为在具体智能卡的最后一次被认证使用的时间与可被进一步使用之前必须被再次认证的时间之间的时间长度。在一个或多个实施方式中，离线窗口为24小时，这表示如果远程非现金游戏服务器在特定时间(例如，在用于非现金游戏会话期间)已认证了给定的智能卡，那么可以在24小时内使用智能卡而不需要向远程非现金游戏服务器再次认证该智能卡。根据各种实施方式，离线窗口可以是0小时(例如，不允许离线使用)至若干周之间的任意值。

通过使用离线窗口，即使未执行对卡的远程认证也可允许玩家使用智能卡。但是，如果确定智能卡的前一次被认证使用落在离线使用窗口之外，则游戏设备可拒绝增加信用分数和/或从智能卡重新转移信用分数。结合图9、11和13讨论了使用离线窗口的进一步细节。

在一个或多个实施方式中，可以在初始化STM卡时存储STM卡400上存储的一个或多个参数值。例如，STM卡400可存储与离线窗口、密钥、未注册智能卡的卡限制值等有关的一个或多个参数。通过在STM卡上存储一个或多个参数值，可允许娱乐场对非现金游戏系统进行控制，例如提供有效的方式来管理风险。例如，娱乐场可动态地更改可在未注册智能卡上存储的最大信用分数余额。举例来说，如果娱乐场知道有许多玩家正使用未注册智能卡，那么(例如在系统故障的情况下)娱乐场可降低可在未注册智能卡上存储的最大信用分数余额以降低风险。

在一个或多个实施方式中，在将这些参数存储在卡上之后就不能修改这些参数了。例如，STM卡400可包括非易失性存储器，从而挫败篡改STM卡400的企图。但是，在不同的实施方式中，可以修改STM卡400上存储的一个或多个参数值和/或增加新的参数值。例如，通过经由游戏设备存取STM卡400(例如，通过提供适当的证书、密钥、安全性验证信息等)，娱乐场员工能够更新STM卡400上存储的一个或多个参数值。

图5-13示出了与可配合智能卡使用的非现金游戏交易有关的方法。根据各种实施方式，利用与智能卡和/或STM通信的一个或多个游戏设备，可执行一个或多个这样的方法。例如，利用通过智能卡插槽132与智能卡通信和通过SIM卡插槽136与STM卡通信的游戏设备104，可执行一个或多个方法。根据各种实施方式，可以在各种位置执行一个或多个这样的方法。例如，在出纳终端、顾客管理终端、售卖亭、游戏机等处可以执行与这些方法有关的一个或多个操作。

在一个或多个实施方式中，在图5-13所示的一个或多个方法之前可以进行一个或多个认证操作。例如，与游戏设备有关的一个或多个组件可以与智能卡和/或STM卡通信，以建立安全的通信会话。在一个或多个实施方式中，智能卡和STM卡可交换公共密钥加密系统中使用的公共密钥和/或交换会话密钥。

虽然图5-13所示的操作被显示为以特定顺序进行，但在一个或多个实施方式中，一个或多个方法可包括以不同顺序执行的操作。此外，一些实施方式可包括图5-13未示出的附加操作，和/或可省略某些操作。

图5示出了按照本发明的一个实施方式执行的用于从智能卡中检索参数值的方法500。检索智能卡参数值处理600可用于当智能卡与非现金游戏设备通信时检索智能卡上存储的一个或多个参数值。例如，智能卡用户、娱乐场员工和/或游戏设备上运行的程序可以请求更新智能卡上存储的参数值。

可以在各种情况下和/或基于各种触发事件执行检索智能卡参数值处理500。例如，智能卡用户、娱乐场员工和/或游戏设备上运行的程序可以请求检索智能卡上存储的参数值。另一个例子是，在卡初始化时、在将智能卡插入游戏设备时等等，可以执行图5中所示的一个或多个操作。

在504，从非现金游戏设备传送指令至智能卡以调用智能卡上的函数，从而检索一个或多个参数值。举例来说，请求的参数值可包括一个或多个信用分数余额、自动转移阈值、自动转移额、玩家姓名、玩家等级、玩家ID、智能卡序列号、PIN等。在一个或多个实施方式中，在发送请求至智能卡之前，可以由STM卡对请求作加密标记。

在508，进行关于检索一个或多个参数值的请求是否满足一个或多个许可和/或规则的确定。在一个或多个实施方式中，在运行于智能卡上的应用程序或软件模块(如安全保护模块208)中作出确定。可至少部分地基于有效和/或被批准的STM卡是否已经对请求作出标记和/或加密来作出确定。确定可包括信号交换和/或密钥交换过程。例如，在卡上和STM上的交易记录中可存储密钥标记。如果这些密钥标记匹配，则可认为请求有效。

在一个或多个实施方式中，可允许所有有效的STM卡从智能卡中检索任意值。但是，在不同的实施方式中，允许从智能卡中检索一个或多个值的情况仅限于安装有适当配置的STM卡的某些类型的游戏设备。因此，操作508包括确定传送了检索一个或多个参数值的请求的STM卡是否被许可检索这些值。例如，与顾客管理终端相关的STM卡不被许可存取钱包模块中存储的值，例如自动转移额。但是，可许可与出纳终端有关的STM卡存取钱包模块中存储的一个或多个值，例如信用分数余额。

在512，当确定检索一个或多个参数值的请求满足许可和/或规则时，从智能卡传送所述一个或多个参数值至游戏机。在一个或多个实施方式中，将参数值作为智能卡和STM卡之间的安全通信会话的一部分进行传送。因此，STM卡可以在传送通信和/或参数值至游戏设备中的其它设备(例如SMIB104)之前对包括参数值的智能卡的通信解密。替代地或附加地，可以以非加密形式传送一个或多个参数值。

应当注意的是，在一个或多个实施方式中，检索一个或多个参数值的某些请求可不需要进行操作508。例如，智能卡可自由地传送诸如用户姓名和/或识别号之类的信息。但是在不同的实施方式中，检索一个或多个参数值的每个请求必须由智能卡进行验证。

图6示出了按照本发明的一个实施方式执行的用于更新智能卡参数值的方法600。当智能卡与非现金游戏设备通信时，更新智能卡参数值处理600可用于更新智能卡上存储的一个或多个参数值。例如，智能卡用户、娱乐场员工和/或游戏设备上运行的程序可请求更新智能卡上存储的参数值。

在604，从非现金游戏设备传送指令至智能卡以调用智能卡上的函数，从而更新一个或多个参数值。举例来说，更新请求中所包括的参数值可包括一个或多个信用分数余额、自动转移阈值、自动转移额、玩家姓名、玩家等级、玩家ID、智能卡序列号、PIN等。

在608，在智能卡上运行的应用程序进行关于更新一个或多个参数值的请求是否满足一个或多个许可和/或规则的确定。在一个或多个实施方式中，由智能卡上的安全保护模块(如安全保护模块208)作出确定。可至少部分地基于有效和/或被批准的STM卡是否已经对请求作出标记和/或加密来作出确定。

根据各种实施方式，允许执行与智能卡有关的一个或多个操作(例如更新参数值)的情况可仅限于某些类型的游戏设备和/或某些STM卡。因此，操作608可包括确定传送了更新一个或多个参数值的请求的STM卡是否被许可更新这些值。

例如，与顾客管理终端相关联的STM卡不被许可更新钱包模块中存储的一个或多个参数值，例如自动转移额。但是，可允许与出纳终端相关联的STM卡更新钱包模块中存储的一个或多个参数值。

另一个例子是，可允许与游戏机相关联的STM卡更新与未注册智能卡(如智能卡200)的钱包模块相关联的一个或多个值(例如自动转移额和/或自动转移阈值)，这是因为未注册智能卡未与特定用户的身份绑定。但是，同一张STM卡不被许可更新与已注册智能卡的钱包模块相关联的一个或多个值，这是因为娱乐场可能希望在允许进行这种修改前对玩家的身份亲自进行验证。

强制执行这种许可的一个理由可能是安全性。例如，允许转移资金供智能卡现金支出的情况可仅限于受娱乐场员工控制的安全的设备。

强制执行这种许可的另一个理由可能是确保不会将不正常的参数值存储进智能卡中。例如，与结合图8所讨论的类似，非现金游戏系统中的一个或多个设备可被配置或设计为当游戏机上的信用分数余额降低到低于自动转移阈值时，从智能卡自动转移信用分数。但是，如果自动转移阈值和自动转移额之差太小的话，那么从智能卡到游戏机的转移就会太频繁，导致智能卡的过度损耗和/或向一个或多个远程服务器的过度授权尝试。因此，允许更新诸如自动转移阈值和/或自动转移限制额之类的值的情况仅限于特定的STM中(例如娱乐场员工所操作的游戏设备中安装的STM)，这可以确保只有正确的参数值会被存储入智能卡。附加地或替代地，一个或多个游戏设备可被配置或设计为自动强制执行对参数值的限制。

在612，当确定更新一个或多个参数值的请求满足许可和/或规则时，在智能卡上更新一个或多个参数值。在一个或多个实施方式中，智能卡可传送一个指示和/或确认，表示已经成功更新了一个或多个参数值。在一个或多个实施方式中，将参数值作为智能卡和STM卡之间的安全通信会话的一部分来进行传送。因此，在向游戏设备中的其它设备(例如SMIB104)传送表示值已被成功更新的通信和/或指示之前，STM卡可以对包括更新确认的智能卡的通信解密。在不同的实施方式中，智能卡可不传送表示成功更新的指示和/或确认。在这种实施方式中，图5中所示的检索智能卡参数处理500可用于确定是否成功更新了一个或多个参数值。

应当注意的是，在一个或多个实施方式中，更新一个或多个参数值的某些请求可不需要进行操作608。例如，智能卡可允许用户、娱乐场员工和/或游戏设备上运行的程序更新低安全性信息(例如优选语言)而不需要进行一个或多个认证和/或请求验证操作。

图7示出了按照本发明的一个实施方式执行的用于向或从智能卡手动转移信用分数的方法700。智能卡信用分数手动转移处理700可用于从游戏设备转移信用分数至智能卡或从智能卡转移信用分数至游戏设备。例如，可以在出纳终端中使用智能卡手动转移处理，从而向智能卡增加信用分数。还可在出纳终端中使用智能卡信用分数手动转移处理700，从而将智能卡上存储的信用分数转换为现金以提供给与该智能卡相关联的玩家。另一个例子是，可以在游戏机中使用智能卡信用分数手动转移处理700，从而从游戏机转移信用分数至智能卡或从智能卡转移信用分数至游戏机。

在704，接收在智能卡和游戏系统之间转移信用分数的请求。根据各种实施方式，可以在非现金游戏系统中的一个或多个设备(例如出纳终端、游戏机等)中接收该请求。

在一些情况下，转移信用分数的请求可以表示将智能卡上存储的信用分数转移至游戏设备的请求。举例来说，可以请求进行这样的转移，以便于进行游戏机上的非现金游戏或根据智能卡上存储的信用分数奖励玩家现金(也就是对智能卡“现金支出”)。在另一些情况下，转移信用分数的请求可以表示将游戏设备上存储的信用分数转移至智能卡的请求。举例来说，可以请求进行这样的转移，从而向智能卡中和/或当游戏机上的非现金游戏会话结束时增加附加的资金。

在一个或多个实施方式中，转移信用分数的某些请求可以由娱乐场员工来执行和/或可需要娱乐场员工的监管。例如，允许从智能卡转移信用分数至出纳终端以供智能卡现金支出的请求仅限于指定的娱乐场员工，例如出纳员。附加地或替代地，当对智能卡支出现金时，可需要进行一个或多个附加操作。结合图9至13讨论了与智能卡现金支出有关的进一步细节。

在一个或多个实施方式中，转移信用分数的部分或所有请求可需要用户提供识别和/或安全性验证信息，例如PIN。举例来说，可要求玩家提供PIN号，出示ID卡或提供其它形式的识别信息。另一个例子是，可要求请求转移信用分数和/或协助用户作出这种请求的娱乐场员工提供PIN和/或其它验证信息。

在708，传送指令以调用智能卡上的函数，从而在智能卡和游戏设备之间转移信用分数。在一个或多个实施方式中，利用与游戏设备相关联的STM卡(例如与SIM卡插槽136通信的STM卡)，从与游戏设备相关联的组件(例如SMIB104)传送指令。

在712，在智能卡上运行的应用程序进行关于转移信用分数的请求是否满足一个或多个许可和/或规则的确定。在一个或多个实施方式中，由智能卡上的安全保护模块(例如安全保护模块208)作出确定。可至少部分地基于有效和/或被批准的STM卡是否已经对请求作出标记和/或加密来作出确定。

根据各种实施方式，允许向或从智能卡转移信用分数的情况可仅限于某些类型的游戏设备和/或某些STM卡。因此，操作712可包括确定传送了更新一个或多个参数值的请求的STM是否被许可更新这些值。在一个或多个实施方式中，允许向或从智能卡转移信用分数的情况可仅限于游戏机和出纳终端。但是，在不同的实施方式中，可使用不同的安全性许可和/或规则。

操作712中作出的确定可至少部分地基于请求是否符合专用于转移信用分数的一个或多个认证参数。在一个或多个实施方式中，在游戏设备和智能卡之间转移信用分数可要求玩家核实其获知智能卡上存储的PIN。在这种情况下，PIN可以从游戏设备的用户那里收集并随操作708中的信用分数转移请求一起传送。然后，可以用智能卡上存储的PIN(例如图2中所示的安全保护模块208中存储的PIN)来校验随请求一起接收的PIN。如果PIN不匹配，则可拒绝信用分数转移请求。

在716，当确定信用分数转移请求满足一个或多个许可和/或规则时，根据接收的转移请求更新智能卡上存储的信用分数值。例如，如果接收的请求表示从智能卡转移信用分数至游戏设备的请求，则智能卡上存储的信用分数值可被减少该请求中所包括的信用分数量。另一个例子是，如果接收的请求表示从游戏设备转移信用分数至智能卡的请求，则可根据接收的转移请求中所包括的值增加智能卡上的信用分数值。

在720，根据接收的请求更新游戏设备中的信用分数值。例如，如果该请求表示从智能卡转移信用分数至游戏设备的请求，则可根据接收的请求中所包括的值增加游戏设备上存储的信用分数值。另一个不同的例子是，如果该请求表示从游戏设备转移信用分数至智能卡的请求，则可根据接收的请求中所包括的量来减少游戏设备上存储的信用分数值。

在一个或多个实施方式中，可以在与用智能卡进行安全交易相关联的非易失性存储器中存储和更新游戏设备上的信用分数余额。例如，可在与图1所示的SMIB108相关联的存储器144中存储信用分数余额。这样，在与智能卡进行安全交易期间，即使出现系统故障或断电的情况，也能安全地保存信用分数余额。

图8示出了按照本发明的一个实施方式执行的用于向或从智能卡自动转移信用分数的方法800。在一个或多个实施方式中，利用非现金游戏系统中的一个或多个设备可以执行与智能卡信用分数自动转移处理800相关的一个或多个操作。例如，可以在(例如通过智能卡插槽132)与智能卡进行通信的游戏机(例如游戏设备104)中执行智能卡信用分数自动转移处理800。

在一个或多个实施方式中，智能卡信用分数自动转移处理800可用于从智能卡自动转移信用分数至游戏机。例如，当游戏机上的信用分数余额降低至低于预定阈值时，智能卡信用分数自动转移处理800可操作为从智能卡自动转移信用分数至游戏机。这样，游戏机的用户可利用从智能卡按需转移的附加信用分数继续玩游戏机，而不必专门请求从智能卡转移资金。此外，玩家在一给定时间不需要将智能卡上存储的所有信用分数都转移至游戏机，而是可以在游戏机上保持符合玩家愿望的信用分数余额。

在804，从智能卡中检索信用分数余额和一个或多个自动转移参数值。在一个或多个实施方式中，可在诸如钱包模块212之类的智能卡模块中存储一个或多个这样的值。举例来说，结合图5所示的检索智能卡参数值处理500来描述检索一个或多个这样的值的处理。

在一个或多个实施方式中，可以用美国流通货币来计算检索到的信用分数余额。但是，在一些实施方式中，可以用其它单位例如娱乐场信用分数或游戏信用分数来计算检索到的信用分数余额。例如，智能卡可被设计或配置为存储专用于游戏的信用分数，该信用分数被限制为用于一个或多个具体游戏。

举例来说，一个或多个自动转移参数值可包括一个或多个自动转移阈值、自动转移额以及与自动转移有关的任意其它参数值。举例来说，自动转移阈值可表示触发从智能卡自动转移资金至游戏机的阈值。自动转移额的值可表示当触发信用分数自动转移时转移至游戏机的信用分数的量。

在一个或多个实施方式中，一个或多个自动转移参数值是用户可配置的。这样，用户可配置智能卡总是转移某一信用分数量至游戏机。可以预料的是，这些配置选项可有助于鼓励使用智能卡，因为许多玩家偏好每次向游戏机增加特定的“幸运”量的信用分数或现金。

在一个或多个实施方式中，一个或多个自动转移参数值是系统可配置的。例如，不同的STM可以对信用分数转移施加不同的限制。举例来说，小面额的游戏机可限制自动转移额，从而避免不合理的信用分数转移(例如，将$1,000转移至以美分为单位的投币器)。

在808，进行关于游戏机上的信用分数水平是否低于自动转移阈值的确定。根据不同的实施方式，可以在不同的位置和/或由不同的软件程序作出确定。在一个或多个实施方式中，可以由图1所示的SMIB108中的CPU140上运行的程序来作出确定。在另一不同的实施方式中，可在游戏设备的其它组件(例如主游戏控制器)中作出确定。在另一实施方式中，可在智能卡中作出确定。

在812，传送指令以调用智能卡上的函数，从而在智能卡和游戏设备之间转移信用分数。在一个或多个实施方式中，通过与游戏设备相关联的STM卡(例如与SIM卡插槽136通信的STM卡)从与游戏设备相关联的组件(例如SMIB104)传送指令至智能卡。

根据各种实施方式，各种技术可用于确定请求转移的信用分数量。例如，可基于一个或多个自动转移额度值、自动转移阈值和游戏机上的当前信用分数余额来确定请求转移的信用分数量。在一个或多个实施方式中，请求转移的信用分数量可足以将游戏机上可用的当前信用分数余额提高至自动转移阈值和自动转移额之和。在一些实施方式中，请求转移的信用分数量可等于(或大致等于)自动转移额。

在一个或多个实施方式中，请求转移的信用分数量可受限于智能卡中检索到的信用分数余额。例如，游戏设备不会请求转移多于智能卡上可用信用分数的信用分数。可选地，如果请求的信用分数量超出智能卡上存储的信用分数余额，则游戏设备仅会依赖智能卡转移适当的信用分数量。

在816，在智能卡上运行的应用程序进行信用分数转移请求是否满足一个或多个许可和/或规则的确定。在一个或多个实施方式中，在816所作的确定可基本上类似于图7所示的操作712中所作的确定。

在820，当确定信用分数转移请求满足一个或多个许可和/或规则时，按照接收的转移请求更新智能卡上存储的信用分数值。在一个或多个实施方式中，操作820中执行的更新在智能卡上的信用分数值可基本上类似于图7所示的操作716。

在824，根据接收的请求更新在游戏设备中的信用分数值。在一个或多个实施方式中，操作824中执行的更新在游戏设备上的信用分数值可基本上类似于图7所示的操作720。

图9示出了按照本发明的一个实施方式执行的用于智能卡现金支出的方法900。智能卡现金支出处理900可用于将游戏设备(例如游戏机)上存储的信用分数转移至智能卡。

通常，游戏机可通过直接给玩家提供现金或票来对现金支出请求作出响应。但是，在没有娱乐场员工监管的情况下给玩家提供有价值的物品，这会产生与安全性和/或诈骗交易有关的顾虑。如本文所述，例如，通过智能卡给玩家提供信用分数可确保在给玩家提供现金之前，一个或多个游戏交易是经检查和/或验证的。此外，利用智能卡对游戏机进行现金支出，可以允许娱乐场仅限于向在娱乐场内的特定安全位置(例如出纳终端)发放物理现金。最后，利用智能卡对游戏机进行现金支出，可以允许在不使用任何物理现金的情况下向玩家支付。例如，当玩家向出纳员出示智能卡时，可以向玩家提供支票而不是现金。

但是，可以预料的是，一些没有智能卡的玩家也会启动在游戏机上玩游戏。为了允许进行这样的游戏而同时仍然保留与使用智能卡对游戏机进行现金支出有关的一个或多个优点，下文描述了即使在游戏机起初未与智能卡通信时也能方便使用智能卡对游戏机进行现金支出的技术。

在904，接收对游戏机支出现金的请求。根据各种实施方式，可以从游戏机用户、娱乐场员工或与游戏机相关联的软件和/或硬件接收该请求。在一些情况下，在904接收的现金支出请求可以表示转移智能卡上存储的所有现金的请求。但是，在其它情况下，在904接收的现金支出请求可以表示仅转移智能卡上存储的部分现金的请求。

在一个或多个实施方式中，可利用图1所示的用户输入设备116接收智能卡现金支出的请求。例如，可利用图1所示的显示器120显示智能卡上存储的信用分数量。然后，用户可使用设备116来请求将智能卡上存储的部分或所有信用分数转移至游戏设备，用于对智能卡进行现金支出。

在908，进行关于游戏设备是否与智能卡通信的确定。例如，与图1中所示的非现金游戏系统100相关联的一个或多个组件可确定游戏设备104是否通过智能卡插槽132与智能卡通信。

在912，当确定游戏设备与智能卡通信时，从游戏机转移信用分数至智能卡。如本文所述，各种技术可用于在游戏机和智能卡之间转移信用分数。例如，可利用结合图7所示的智能卡信用分数手动转移处理700所描述的一个或多个操作从游戏机转移信用分数至智能卡。

在916，从游戏机转移信用分数至与智能卡交易相关联的存储器。例如，可从游戏机转移信用分数至与图1所示的SMIB108相关联的存储器144。在一个或多个实施方式中，与智能卡交易相关联的存储器可以是非易失性存储器，从而即使(例如，由于断电或游戏机重置)游戏机现金支出处理中断，信用分数也不会丢失。

在920，游戏机退出服务。例如，游戏机退出服务可包括使游戏机处于不再能进行投机游戏或玩游戏的状态，直到游戏机恢复服务为止。在一个或多个实施方式中，当游戏机退出服务时，与游戏机相关的某些功能可仍维持运作。例如，游戏机可允许继续操作与订购食物和饮料、修改游戏选项有关的特征和/或不直接涉及进一步玩游戏的其它特征。

在924，向游戏系统传送无卡现金支出的通知。在一个或多个实施方式中，可通过游戏网络(例如通过图1所示的通信链路124)传送无卡现金支出的通知。附加地或替代地，可以在游戏机上提供无卡现金支出的通知。例如，可激活一个或多个有声和/或无声警报(例如可点亮游戏机蜡烛)。在一些实施方式中，无卡现金支出的通知可用于引起娱乐场员工的注意。例如，娱乐场员工可能看到没有智能卡的玩家想要对游戏机进行现金支出，作为响应，可给玩家提供一张新的智能卡。

在928，在智能卡读取器中接收智能卡。例如，可以在图1所示的智能卡读取器132中接收智能卡。在一个或多个实施方式中，娱乐场员工可以将智能卡提供给游戏机。在一些实施方式中，与非现金游戏网络相关联的设备可以自动地提供智能卡。例如，如果玩家还没有智能卡的话，游戏机可以与被配置为向玩家提供一张新智能卡的设备连接。玩家或娱乐场员工可以将智能卡插入智能卡读取器。

在一个或多个实施方式中，智能卡可以是一张未注册的或“只能用一天”的智能卡(例如图2所示的未注册智能卡200)。但是，在一些实施方式中，智能卡可以被注册为与某个玩家对应(例如图3所示的已注册智能卡300)。例如，给玩家提供智能卡的娱乐场员工可使用便携式手持设备为玩家注册智能卡。另一个例子是，游戏机中能够给用户提供新智能卡的设备(例如在娱乐场员工的监管下、通过提供诸如信用卡之类的识别信息源等)还能够执行一个或多个智能卡注册操作。

在932，检查安全性并验证智能卡。在一个或多个实施方式中，用于检查安全性和验证智能卡的操作基本上可以与无论何时将智能卡插入智能卡读取器都执行的认证操作类似。例如，可以执行与建立安全通信会话、向一个或多个远程服务器认证智能卡、确定是否允许离线使用智能卡等有关的一个或多个操作。

在936，从与智能卡交易相关联的存储器中转移信用分数至智能卡。例如，可从存储器144转移信用分数至与智能卡插槽132通信的智能卡。在一个或多个实施方式中，向智能卡转移信用分数时所执行的一个或多个操作可类似于结合图7所示的智能卡信用分数手动转移处理700所讨论的操作。

在940，游戏机恢复服务。在一个或多个实施方式中，一旦完成与游戏机现金支出相关的一个或多个操作，游戏机就自动恢复服务。但是，在一些实施方式中，游戏机可保持退出服务，直到娱乐场员工(例如提供了智能卡的员工)向游戏机中提供输入为止。例如，娱乐场员工可提供数字和/或物理钥匙以使游戏机恢复服务。

在一个或多个实施方式中，图9所示的一个或多个操作可以被省略。例如，可以直接从游戏机转移信用分数至智能卡而不需要分离地转移信用分数至专门与智能卡交易相关联的存储器。另一个例子是，如果是由游戏机提供新的智能卡的话，用于检查安全性和验证智能卡的各个操作是不必要的。

在一个或多个实施方式中，可以按照不同的顺序和/或同时执行图9所示的一个或多个操作。例如，在从游戏机转移信用分数至与智能卡交易相关联的存储器之前，游戏机可退出服务。另一个例子是，当在908确定游戏机未与智能卡通信时，可立即传送无卡现金支出的通知。

图10示出了按照本发明的一个实施方式执行的用于保护智能卡存取的方法1000。可以利用与智能卡通信的非现金游戏系统中的一个或多个设备来执行智能卡存取保护处理1000。例如，可以在通过智能卡插槽132与智能卡通信的游戏设备104中执行智能卡存取保护处理1000。

智能卡存取保护处理1000可用于响应于反复尝试存取失败而使智能卡至少部分地无法工作。例如，如果检索和/或更新智能卡上存储的一个或多个值要求用户提供正确的PIN，且用户反复提供错误的PIN，那么可以使智能卡至少部分地无法工作。另一个例子是，如果只能从一个或多个特定类型的游戏设备中检索和/或更新智能卡上存储的一个或多个值，且通过不被许可检索和/或更新所述一个或多个值的一个或多个游戏设备进行重复的存取尝试，则可以使智能卡至少部分地无法工作。

通过使智能卡至少部分地无法工作，可以防止黑客更改智能卡上的一个或多个参数值从而危害智能卡的安全性。此外，可以防止黑客从智能卡中转出资金。

在一个或多个实施方式中，在使智能卡无法工作后，智能卡上存储的一个或多个参数值可以被读取，但不可以被更新。这可允许用户把智能卡带到终端和/或娱乐场员工处以寻求进一步帮助。例如，如果用户丢失或遗忘了PIN或智能卡上存储的其它安全信息，则用户可以向娱乐场员工和/或非现金游戏设备提供识别信息，以验证用户的身份。然后，可执行一个或多个现金支出处理。替代地或附加地，可以给用户发放一张新的智能卡以代替不能工作的智能卡。

在1004，从非现金游戏设备传送指令至智能卡以调用智能卡上的函数，从而检索和/或更新一个或多个参数值。在1008，进行关于检索和/或更新一个或多个参数值的请求是否满足一个或多个许可和/或规则的确定。在1012，当确定检索和/或更新一个或多个参数值的请求满足许可和/或规则时，所述一个或多个参数值从智能卡被传送至游戏机和/或在智能卡上被更新。在一个或多个实施方式中，操作1004、1008和/或1012可基本上类似于图5所示的操作504、508和/或512和/或图6中所示的操作604、608和/或612。

在1020，当确定检索和/或更新一个或多个参数值的请求不满足许可和/或规则时，更新未成功存取尝试的次数。在一个或多个实施方式中，可将未成功存取尝试的次数存储在智能卡上。例如，未成功存取尝试的次数可以是图2所示的智能卡上的安全保护模块208中存储的参数值。

附加地或替代地，可以在一个或多个远程服务器(例如图1所示的主机系统124)中存储未成功存取尝试的次数。例如，当智能卡向主机系统认证时，智能卡可将与未成功存取尝试相关的信息传送至主机系统124。

附加地或替代地，可以从智能卡传送未成功存取尝试的次数至游戏设备。举例来说，将未成功存取尝试的次数传送至游戏设备可以告知用户智能卡将无法工作的风险。这就允许用户请求从娱乐场员工(例如，在顾客管理终端和/或出纳终端)获得帮助，而不需要采取可能会冒着使智能卡无效的风险的进一步行动。例如，用户可能已经忘了卡中存储的PIN，并且可能正要尝试猜测PIN值。

在一个或多个实施方式中，更新未成功存取尝试的次数可包括基于与之前失败的存取尝试相关联的时间段或时间戳更新信息。例如，每一次失败的存取尝试可与一个时间戳相关联。在一些情况下，可以删除过去(例如，超过2小时以前)所发生的失败存取尝试。

在一个或多个实施方式中，智能卡、远程服务器和/或游戏设备可保存与未成功存取尝试的次数有关的多于一个的参数值。例如，一个参数值可以与未成功尝试存取高安全性特征(例如从智能卡中转移资金)相关，而另一个参数值可以与未成功尝试存取低安全性特征(例如改变优选语言)相关。因此，在一些实施方式中，可以跟踪失败的存取尝试而不必使智能卡无法工作。

在1024，进行关于未成功存取尝试的次数是否超出阈值的确定。在一个或多个实施方式中，在智能卡中作出确定。例如，图1所示的安全保护模块108可以作出确定。

阈值可代表使智能卡无法工作先前未成功存取尝试的最大次数。在一个或多个实施方式中，阈值可存储在智能卡上，例如存储在安全保护模块108中。附加地或替代地，阈值可存储在STM上。

根据各种实施方式，可使用不同的阈值。在一个或多个实施方式中，阈值可以是自最近一次成功使用智能卡之后五次失败的存取尝试。但是，在不同的实施方式中，阈值可以是1到100之间的任意值。

在一个或多个实施方式中，当非现金游戏中的一个或多个设备作出请求时，可以更新阈值。例如，可在向图1所示的主机系统124认证智能卡时更新阈值。这就允许娱乐场将智能卡所提供的安全性调整为适应于娱乐场和/或特定用户或用户组的特定需求。例如，可以给保存有较高信用分数余额的智能卡分配一个较低的未成功存取尝试阈值，而给保存有较低信用分数余额的智能卡分配一个较高的未成功存取尝试阈值。另一个例子是，用户可请求提高或降低未成功存取尝试阈值。

在一个或多个实施方式中，智能卡可存储对应于不同类型的未成功存取尝试的不同阈值。例如，智能卡可存储对应于高安全性存取尝试(例如尝试从智能卡中转出信用分数)的第一未成功存取尝试阈值，以及对应于低安全性存取尝试(例如尝试修改优选语言)的第二未成功存取尝试阈值。

在一个或多个实施方式中，一个或多个未成功存取尝试阈值可包括与时间段或超时相关的信息。例如，可仅当在某个时间段内(例如2小时)未成功存取尝试的次数超过某个阈值(例如三次)时使智能卡无法工作。这样，当未成功存取尝试在时间上相隔很远时，不会使智能卡无法工作。

在1028，当确定未成功存取尝试的次数超出阈值时，使智能卡至少部分地无法工作。在一个或多个实施方式中，使智能卡无法工作可包括执行至少一个操作从而物理地阻止进一步更新卡上存储的所有或部分参数值。例如，可以熔融或中断一个或多个电路和/或通信接口。另一个例子是，可以将卡弄断、打孔、弯折、熔化或通过其它方式损坏或销毁以使其无法工作。

在一个或多个实施方式中，使智能卡无法工作可包括执行至少一个软件操作以阻止进一步更新智能卡。例如，智能卡上运行的一个或多个模块或Java小程序可以在存储器中存储表示可不再执行对参数值的更新的值。

在一个或多个实施方式中，一旦使智能卡无法工作，娱乐场员工或系统就可以从智能卡中检索信息。例如，玩家能够将智能卡带到服务台并提供身份确认。然后可以检索信用分数余额并将其与娱乐场系统中存储的经验证的信用分数余额进行比较。

如果两个值匹配，则允许玩家现金支出余额或将余额转移至一张新的智能卡。获得新智能卡要求支付一定费用(例如$5或$10)并与娱乐场员工或系统进行交互。因此，如果玩家反复需要新的智能卡，那么玩家会遭受损失和/或引起娱乐场员工或系统的注意。这样，娱乐场可以在非现金游戏系统中监管并防止篡改或未经授权存取智能卡的企图。

相反，如果智能卡上存储的信用分数余额与娱乐场系统中存储的值不匹配，那么娱乐场会调查不一致的原因(例如，系统故障，未经授权存取智能卡等)。然后娱乐场能够作出关于是否允许玩家对智能卡进行现金支出以及应该进行多大的现金支出值的操作决定。这样，即使在总系统故障的情况下，娱乐场也能够存取至少部分信用分数余额信息。

图11示出了按照本发明的一个实施方式执行的用于方便地离线使用智能卡的方法1100。

可以预料的是，在一些情况下，玩家会尝试在未与非现金游戏服务器通信的游戏设备(例如游戏机)中使用智能卡。例如游戏机和一个或多个非现金游戏服务器之间的通信可被临时终端。在一些情况下，由于网络故障、网络拥塞、日常维护等原因，通信可被临时中断。另一个例子是，可能需要在不要求进行游戏机和一个或多个非现金游戏服务器之间的通信的情况下允许使用智能卡。在一些情况下，在不要求向一个或多个非现金游戏服务器进行认证的情况下允许使用智能卡，这可以帮助避免网络拥塞，减少服务器资源的使用等。

在一个或多个实施方式中，通过保存上一次认证智能卡的时间记录，可以使智能卡的离线使用变得容易。然后，非现金游戏系统能确保在允许再次使用智能卡之前，对最近未被认证的智能卡进行认证。因此，非现金游戏系统可在确保智能卡向一个或多个非现金游戏服务器至少不定期地认证的同时允许离线使用智能卡。图11所示的智能卡离线使用验证处理1100是如何使智能卡的离线使用变得容易的一个例子。

在1104，确定使用智能卡的离线窗口。如本文所述，举例来说，离线窗口值可表示为在具体智能卡的最后一次被认证使用的时间与可被进一步使用之前必须被再次认证的时间之间的时间长度。在一个或多个实施方式中，离线窗口为24小时，这表示如果已经在特定时间(例如使用非现金游戏会话期间)向远程非现金游戏认证了给定的智能卡，则该智能卡可以使用24小时，而不需要再次向远程非现金游戏服务器认证该智能卡。这样，即使不对卡执行远程认证，玩家也可以继续使用智能卡。

配置离线窗口可以给娱乐场提供对非现金游戏系统中的安全性的附加控制。因此，根据各种实施方式，可以以各种方式来确定离线窗口。在一个或多个实施方式中，离线窗口可以是与游戏设备通信的STM卡上存储的值。例如，离线窗口可存储在与图1所示的SIM卡插槽136通信的STM卡上。在一些实施方式中，离线窗口可以是智能卡上存储的值。例如，离线窗口可存储在图3所示的钱包模块312中。在一些实施方式中，可以动态地确定离线窗口和/或使用各种离线窗口。例如，游戏机可读取智能卡上存储的信用分数余额，并向携带较高余额的卡提供比存储较低信用分数余额的卡更短的离线窗口。

在1108，可确定最近一次在线使用智能卡的时间。在一些实施方式中，智能卡的最近一次在线使用可以是智能卡最近一次向与非现金游戏系统相关联的一个或多个远程服务器(例如图1所示的主机系统124)认证的时间。举例来说，智能卡向一个或多个远程服务器的认证可包括在智能卡和远程服务器之间进行通信，以验证智能卡是完好的且未被篡改。附加地或替代地，与利用智能卡进行的一个或多个离线非现金游戏交易相关的信息可以被传送到一个或多个远程服务器以用于验证。例如，与非现金交易有关的智能卡上存储的信息可以被传送至一个或多个远程服务器，并与从非现金游戏系统中的其它设备(例如与非现金交易相关联的一个或多个游戏设备)接收的交易信息进行比较。这样，离线使用智能卡期间执行的非现金交易至少可以被周期性地验证。

在一个或多个实施方式中，确定最近一次在线使用智能卡的时间可包括读取智能卡上存储的一个或多个值。例如，当向一个或多个远程服务器认证智能卡时，所述一个或多个远程服务器可向智能卡提供加密(例如用专用密钥加密)令牌，从而验证该智能卡已经被认证。然后智能卡可将该令牌提供给游戏设备，游戏设备能够(例如，通过正确的公共密钥进行解密)验证该标记是由所述一个或多个远程服务器提供的。

在1112，进行关于最近一次在线使用智能卡是否在离线窗口之外的确定。可通过比较操作1104中识别的离线窗口和操作1108中识别的最近一次在线使用智能卡来作出确定。

在1116，当确定最近一次在线使用智能卡在离线窗口之外时，不允许执行与智能卡的离线使用相关的一个或多个操作。例如，如果已经3天没有向远程服务器验证智能卡，且离线使用窗口为24小时，则可不允许离线使用该智能卡。在一个或多个实施方式中，不允许再次使用该智能卡，直到该智能卡被认证为止。但是，在一些实施方式中，可以允许智能卡的某些受限制的使用。例如，可允许诸如改变智能卡上存储的优选语言之类的低安全性的操作。另一个例子是，可允许玩家结束一笔已部分完成的交易，例如从游戏机中转移信用分数至智能卡。

如果游戏设备与一个或多个非现金游戏服务器通信，则游戏设备可以自动启动与一个或多个非现金游戏服务器通信，从而认证智能卡。替代地或附加地，游戏设备可通知玩家必须在再次使用之前认证智能卡和/或请求认证智能卡。

在1120，当确定最近一次在线使用智能卡在离线窗口内时，可允许执行与智能卡的离线使用相关的一个或多个操作。例如，如果离线窗口为24小时，而智能卡最后一次认证是在5小时，则可允许智能卡的离线使用。

在一些实施方式中，当智能卡用于离线非现金游戏交易时，与非现金游戏交易相关的信息可存储在智能卡和游戏设备这两者上，用于以后(例如在对智能卡进行现金支出前)进行验证。这样，娱乐场可在根据离线交易提供实际资金之前确保离线交易合法的同时允许智能卡的离线使用。

图12示出了按照本发明的一个实施方式执行的用于传送与锁定智能卡有关的通知的方法1200。

在一个或多个实施方式中，可以在与非现金游戏系统中的智能卡通信的各种设备(例如图1所示的游戏设备104)中执行锁定智能卡通知处理1200。例如，可在游戏机中执行锁定智能卡通知处理1200。

可以结合与使用智能卡相关的一个或多个附加处理来执行锁定智能卡通知的处理1200。例如，在图5-11和13所示的一个或多个处理之前可执行锁定智能卡通知处理1200。

在一个或多个实施方式中，锁定智能卡通知处理可用于防止未经授权使用智能卡(例如，丢失或被窃的智能卡)。另一个例子是，锁定智能卡通知处理1200可用于防止智能卡不匹配情况下出现的错误和/或转移出错。

在1204，确定与智能卡有关的识别信息。根据各种实施方式，识别信息可包括任何可用于识别智能卡和/或与智能卡相关联的用户的信息。例如，识别信息可包括一个或多个序列号、PIN、玩家识别号、密钥等。

在一个或多个实施方式中，通过检索智能卡上存储的一个或多个值，可以确定与智能卡相关联的识别信息。例如，利用图5中所示的检索智能卡参数值处理500，可以检索一个或多个值。另一个不同的例子是，可以将已知的与智能卡有关的信息，例如智能卡序列号，传送至一个或多个远程服务器(例如图1所示的主机系统124)，以检索附加识别信息。

在1208，进行关于智能卡是否被锁定的确定。在一个或多个实施方式中，可在游戏设备(例如图1所示的SMIB108)中确定智能卡是否被锁定。在一些情况下，游戏设备可存储用于识别锁定的智能卡的信息。例如，游戏设备可周期性地从一个或多个远程服务器接收锁定智能卡列表。这样，甚至可以防止对锁定智能卡的某些离线使用。附加地和/或替代地，游戏设备可直接询问一个或多个远程服务器，以确定特定智能卡是否已被锁定。在则在情况下，可以在服务器或游戏设备中作出1208中的确定。

在1212，当确定智能卡未被锁定时，可允许继续使用智能卡进行非现金游戏。例如，可以在智能卡和游戏设备之间输送资金，可以检索和/或更新智能卡上存储的一个或多个参数值，和/或可执行与使用智能卡相关的其它操作。

在1216，如果确定智能卡的使用被锁定，则从游戏设备转移信用分数至智能卡。在一个或多个实施方式中，举例来说，利用与图7所示的智能卡信用分数手动转移处理700相关的一个或多个操作，可以将信用分数从游戏设备转移至智能卡。在另一个实施方式中，一种或多种不同技术可用于转移资金至锁定的智能卡。

在1220，输出表示智能卡已被锁定的通知。根据各种实施方式，可以利用游戏设备上的一个或多个有声和/或可视的标识符来输出该通知。例如，可以在显示器(例如图1所示的显示器120)上向用户呈现表示智能卡已被锁定的消息。另一个例子是，可激活闪光灯和/或音频警报。

在一个或多个实施方式中，通知可包括一个或多个指令。例如，通知可指示用户把智能卡带到游戏环境中的不同位置，例如出纳终端。这样，就可以解决导致智能卡被锁定的情况。例如，娱乐场员工可检查一个或多个交易记录以调整或纠正信用分数转移错误。

在一个或多个实施方式中，可以将通知传送给一个或多个娱乐场系统和/或娱乐场员工。例如，可以在游戏机中用有声和/或可视警报来传送通知。这样，娱乐场员工可被告知智能卡被锁定了，并来帮助玩家。另一个例子是，可以通过网络传送通知。如果智能卡因为已上报丢失或被盗而被锁定，则可通知一个或多个娱乐场员工和/或系统，从而可验证智能卡的真实状态。在这种情况下，不会直接将表示智能卡已被锁定的通知输出给用户。这可允许娱乐场保安人员接收通知和/或指示员工识别锁定的智能卡的用户。

图13示出了按照本发明的一个实施方式执行的用于对丢失的智能卡进行现金支出的方法1300。在一个或多个实施方式中，丢失智能卡现金支出处理1300可用于检索丢失、被盗或因其它原因下落不明的智能卡上存储的信息。例如，用户发现他的智能卡丢了，(例如在顾客管理和/或出纳终端)将丢失情况上报给一个或多个娱乐场员工和/或系统。然后，丢失智能卡现金支出处理1300可用于保证在对丢失的智能卡上的信用分数进行转移之前，记录和/或验证使用该智能卡完成的所有交易。

在1304，接收从丢失的智能卡中转移资金的请求。例如，一个或多个用户、出纳员和/或与非现金游戏相关的程序可以接收该请求。在一个或多个实施方式中，在出纳终端接收请求。

在1308，进行关于智能卡的使用已被锁定的确定。在一个或多个实施方式中，1308中所作的确定可基本上类似于图12中所示的附图标记1208所描述的操作。

在1312，如果确定智能卡未被锁定，则可锁定智能卡的使用。在一个或多个实施方式中，通过向与非现金游戏相关联的一个或多个远程服务器传送指令来锁定智能卡的使用。这样，可以防止再次在非现金游戏中使用智能卡，直到可确定智能卡的状态为止。

在一个或多个实施方式中，传送至一个或多个远程服务器的指令可包括与请求从丢失的智能卡转移现金的玩家相关联的识别信息。该信息可包括个人识别信息，例如姓名、生日、地址或任何其它类型的信息。收集并传送这些信息可有助于防止玩家作出欺骗性的请求从而从智能卡(例如，不是他们自己的智能卡)转移资金。

在1316，当确定智能卡的使用被锁定时，确定智能卡的离线窗口。在至少一个实施方式中，1316中所示的确定使用智能卡的离线窗口可基本上类似于图11中所示的操作1104。

在1320，进行关于智能卡何时被锁定的确定。在一个或多个实施方式中，可以通过向一个或多个远程服务器(例如图1所示的主机系统124)传送请求来确定智能卡是否被锁定。附加地和/或替代地，游戏设备可保存从一个或多个远程服务器周期性地传送过来的锁定智能卡列表，以及表示每张智能卡何时被锁定的时间戳。

在1324，进行关于锁定智能卡的时间是否落在与该智能卡相关联的离线窗口之外的确定。可以通过比较操作1316中识别的离线窗口与操作1320中确定的智能卡的使用被锁定的时间来作出确定。

在1328，当确定锁定智能卡的时间落在使用智能卡的离线窗口之外时，可执行对智能卡进行现金支出和并使其无效的一个或多个操作。例如，可以将与智能卡上存储的被验证的余额相对应的实际现金提供给玩家。另一个例子是，可以给玩家提供存储有信用分数余额的新智能卡。附加地或替代地，可永久性地拒绝再次使用锁定的智能卡。

在一些情况下，由于智能卡上存储的一个或多个余额或交易记录与非现金游戏服务器上存储的一个或多个余额或交易记录不匹配，所以非现金游戏系统可锁定智能卡。举例来说，如果在向服务器传送交易之前游戏机电子设备永久性失灵，就会出现这种不匹配。因此，非现金游戏系统可强制执行安全策略以处理不匹配的情况。

例如，一种安全策略可以是用户(例如娱乐场员工)不能(例如，由于交易记录中的不匹配)永久性地清除系统锁定。因而，具有适当安全清除权限的娱乐场员工可以存取在锁定智能卡上存储的信息。但是，智能卡可保持被锁定，直到非现金游戏系统自身(例如通过协调不匹配的交易记录)清除了系统锁定为止。

作为另一个例子，一种安全策略可以是对卡进行写入以修改交易记录是被系统禁止的和/或是物理上不可能的。例如，如果存在记录在数据库中但未记录在卡上的交易，则很可能智能卡要么出现故障，要么被篡改了。在这种情况下，娱乐场可以选择发出新卡，但不匹配的卡可保持被锁定和不被更改，以便保持任何交易的清楚记录。附加地或替代地，娱乐场员工(例如出纳员)可以从数据库和/或智能卡读取上一次得知的余额，并针对基于现金支出向玩家提供的资金量作出操作选择。

作为又一个例子，一种安全策略可以是仅特定的娱乐场人员(例如管理者)具有在非现金游戏服务器上修改交易数据库的许可。例如，娱乐场可以得知某个投币器过载了并变得不能工作。因此，娱乐场可以选择承兑存储在智能卡上但未记录在非现金游戏服务器上的交易。这可通过在非现金游戏服务器上手动修改交易数据库以与记录在智能卡上的交易记录匹配来实现。

游戏机

图14示出了根据本发明一个实施方式构建的游戏机2的透视图。可并入至少结合图14描述的游戏设备和游戏功能作为上面至少结合图1-5B以及9A-9D描述的ECI的组件。此外，可根据从与游戏机通信的远程主机接收到的指令来操作游戏设备。在一些情况下，在游戏机上执行的受主机控制的处理可以与在游戏机上由主游戏控制器46控制的处理共享游戏设备。

如图14的例子所示，机器2包括通常围绕机器内部且可以被用户看见的主机柜4。主机柜包括机器前部的主门8，打开门就可以进入机器内部。

在一个实施方式中，与主门相连的是至少一个支付接受器28和一个验钞机30，以及一个硬币盘38。在一个实施方式中，支付接受器可包括玩家可插入钱、币或代币的投币槽和/或支付物、票据或帐单接受器。玩家可以将硬币放入投币槽或将纸币、票或凭证放入支付物、票据或帐单接受器。在其它实施方式中，诸如信用卡、借记卡或信用传票的读卡器或检验器之类的设备可接受支付。在一个实施方式中，玩家可以将识别卡插入游戏机读卡器中。在一个实施方式中，识别卡为具有被编码有玩家识别、信用总额(或相关数据)及其它相关信息的编程微芯片或磁条的智能卡。在另一实施方式中，玩家可以携带便携式设备，比如移动电话、射频识别标签或任何其它适合的无线设备，便携式设备可将玩家的识别、信用总额(或相关数据)和其它相关信息传送给游戏机。在一个实施方式中，通过电子资金转账可以将资金转移至游戏机。当玩家向游戏机提供资金时，主游戏控制器46或与游戏机连接的另一个逻辑设备确定输入的资金量，并且将对应的量显示在如上所述的信用分数显示或其它适当的显示中。

在一个实施方式中，多个玩家输入开关或按钮32与主门相连。输入开关可包括使玩家能够产生被处理器接收的输入信号的任意合适的设备。在一个实施方式中，在向游戏机提供适当资金后，输入开关为游戏激活设备，例如玩家可用来开启游戏机中的任一主游戏或事件序列的拉柄或玩游戏按钮。玩游戏按钮可以是诸如“押一个”按钮、“押最大”按钮或“重复押”按钮的任何合适的玩游戏激活器。在一个实施方式中，一旦提供了适当资金，游戏机可自动开始玩游戏。在另一个实施方式中，在玩家操作一个玩游戏按钮后，游戏机可自动激活玩游戏。

在一个实施方式中，一种输入开关为“押一个”按钮。玩家通过按下“押一个”按钮来下注。玩家每按下一次“押一个”按钮就可以在赌注上加上一个信用分数。当玩家按下“押一个”按钮时，最好在信用分数显示中所示的信用分数中减一，并在赌注显示中所示的信用分数中加一。在另一个实施方式中，一种输入开关为“押最大”按钮(未显示)，使玩家能够在游戏机中的游戏允许范围内下最大的赌注。

在一个实施方式中，一种输入开关为现金支出按钮。玩家可按下现金支出按钮并进行现金支出，从而获得与剩余信用分数的数量相应的现金支付或其它适当形式的支付。在一个实施方式中，当玩家进行现金支出时，玩家可以在硬币支付盘中收取硬币或代币。在一个实施方式中，当玩家进行现金支出时，玩家可接收其它的支付机制，例如可通过出纳员(或其它合适的兑换系统)兑换的或向玩家的电子可记录识别卡中充值的票或信用传票。在Rowe等人于2003年4月2日提出的名称为“Cashless Transaction Clearinghouse”的联合待审美国专利申请No.10/406,911中描述了可与本发明一起使用的票务或凭单系统的细节，在此为了所有的目的通过参考将该申请并入本文。

在一个实施方式中，一种输入开关为与触摸屏控制器连接的触摸屏，或使玩家能够与显示器上的图像交互的对触摸敏感的一些其它显示叠加层。触摸屏和触摸屏控制器可以与视频控制器相连。玩家可通过触摸触摸屏上的适当位置来作出决定并将信号输入游戏机中。一种这样的输入开关为触摸屏按钮面板。

在一个实施方式中，游戏机可进一步包括多个通信端口，用于使游戏机处理器能够与诸如外部视频源、扩展总线、游戏或其它显示器、SCSI端口或小键盘之类的外围设备通信。

在图14中可以看到，通过主门可看到的是视频显示监控器34和信息面板36。显示监控器34通常是阴极射线管、高分辨率平板LCD、基于SED的显示器、等离子体显示器、电视显示器、基于发光二极管(LED)的显示器、基于多个有机发光二极管(OLED)的显示器、基于聚合物发光二极管(PLED)的显示器、具有投影和/或反射图像的显示器或任意其它适当的电子设备或显示器。信息面板36或机腹玻璃40可以是静态的背光丝网印刷玻璃面板，具有用来表示一般的游戏信息(例如包括游戏面值(如，$.25或$1))的字母，或者也可以是动态显示器，例如LCD、OLED或E-INK显示器。在另一个实施方式中，至少一个显示设备可以是移动显示设备，例如PDA或平板电脑，能在远离游戏机的位置玩至少部分主游戏或辅助游戏。显示设备可以具有任何适当的尺寸和构造，例如正方形、矩形或细长矩形。

游戏机的显示设备可被配置为显示至少一个游戏并且最好是多个游戏或其它适当的图像、符号和标记，例如对诸如机械的、虚拟的或视频的带盘和轮的物体的移动的可视呈现或展现、动态照明的可视呈现或展现、视频图像、以及人物、字符、位置、事物、卡面等的图像。在一个可选实施方式中，显示设备上或中示出的符号、图像和标记可以是机械形式的。也就是说，显示设备可包括被配置为显示至少一个或多个游戏或其它适当的图像、符号或标记的任意电机械设备，例如一个或多个机械物体、一个或多个可转动的轮、带盘或骰子。在另一个实施方式中，显示设备可包括靠近视频显示器的电机械设备，例如位于机械带盘前方的视频显示器。在另一个实施方式中，显示器设备可包括双层视频显示器，其互相配合以产生一个或多个图像。

验钞机30、玩家输入开关32、视频显示监控器34和信息面板都是用于在游戏机2上玩游戏的游戏设备。根据一个具体实施方式，机器2的主机柜4内所包括的主游戏控制器46执行的代码可控制这些设备。主游戏控制器可包括一个或多个处理器，其包括通用和专用处理器(例如显卡)，还包括一个或多个存储设备(包括易失性和非易失性存储器)。主游戏控制器46可周期性地配置和/或认证游戏机上所执行的代码。

在一个实施方式中，游戏机可包括与一个或多个声卡连接的发声设备。在一个实施方式中，发声设备包括至少一个扬声器并且最好是多个扬声器或其它发声硬件和/或发声软件，例如用于播放主游戏和/或辅助游戏或游戏机的其它模式(例如吸引模式)中的音乐。在一个实施方式中，游戏机提供与一个或多个显示设备上显示的有吸引力的多媒体图像相关联的动态声音，从而提供视听呈现，或显示带声全动感视频以吸引玩家到游戏机这边来。在空闲期间，游戏机可显示音频和/或可视的有吸引力的消息序列，以吸引潜在的玩家到游戏机这边来。这些视频也可被定制化以用于或提供任何适当的信息。

在一个实施方式中，游戏机可包括传感器，比如被选择性地定位以获取积极使用游戏机和/或游戏机的周围区域的玩家的图像的照相机。在一个实施方式中，照相机可被配置为选择性地获取静态或动态(例如视频)图像，并可被配置为以模拟、数字或任意适当格式获取图像。显示设备可被配置为在划分的屏幕中或以画中画的方式显示由照相机获取的图像，以及显示游戏的可视表现。例如，照相机可获取玩家的图像，且处理器可以将该图像与主游戏和/或辅助游戏结合为一个游戏图像、符号或标记。

玩的游戏

本发明的游戏机可被提供多种不同类型的游戏，包括机械投币游戏、视频投币游戏、视频扑克、视频二十一点、视频弹球盘和乐透彩。特别地，游戏机2可操作为提供各种不同的机会游戏。可以根据主题、声音、图形、游戏类型(例如投币游戏vs.牌类游戏)、面值、赔付线的数量、最大中奖、累进或非累进的奖励游戏等来区分这些游戏。

在一个实施方式中，游戏机2可操作为使玩家能从游戏机上可用的多个不同游戏中选择一个要玩的机会游戏。例如，游戏机可提供菜单，菜单上有游戏机上可以玩的不同游戏的列表，且玩家能够从列表中选择他想玩的第一机会游戏。在一个这样的实施方式中，远程主机的存储设备存储游戏机处理器可执行的不同游戏程序和指令，从而控制游戏机。每个可执行的游戏程序代表游戏系统中的一个或多个游戏机上可以玩的不同的游戏或游戏类型。这些不同的游戏可包括具有不同赔付表的相同或基本上相同的游戏。在不同的实施方式中，可执行的游戏程序用于主游戏、辅助游戏或两者。在另一个实施方式中，游戏程序可执行为在玩(被下载到或安装于游戏机上的)主游戏的同时玩的辅助游戏，反之亦然。

在一个这样的实施方式中，每个游戏机包括至少一个或多个显示设备和/或一个或多个输入开关，供与玩家进行交互。本地处理器，例如上述游戏机处理器或本地服务器的处理器，可与一个或多个游戏机中的显示设备和/或输入开关一起操作。在操作上，远程主机可操作为将一个或多个存储的游戏程序传送至至少一个本地游戏机处理器。在不同的实施方式中，通过将传送的游戏程序嵌入某个设备或组件(例如插入到游戏机的微芯片)中、将游戏程序写在磁盘或其它介质上、通过专用数据网络，互联网或电话线下载或以流媒体方式导入游戏程序，传送或传递存储的游戏程序。在不同的实施方式中，当玩家插入玩家跟踪卡、玩家选择具体游戏程序、玩家输入指定的投机额、远程主机将数据传送至与即将进行的比赛或促销有关的游戏机、或发生任意其它适当的触发事件时，作为响应，下载存储的游戏程序。在从远程主机传送存储的游戏程序之后，本地游戏机处理器执行传送的程序以便于玩家通过游戏机的显示设备和/或输入开关玩所传送的游戏程序。也就是说，当游戏程序被传送至本地游戏机处理器时，本地游戏机处理器改变游戏机上玩的游戏或游戏类型。

在一个实施方式中，游戏机2上可玩的各种游戏可以作为游戏软件存储在游戏机中的大容量存储设备中。在一个这样的实施方式中，游戏机的存储设备存储游戏机处理器可执行的程序代码和指令，以控制游戏机上可玩的游戏。存储设备还存储其它数据，例如图像数据、事件数据、玩家输入数据、随机或伪随机数生成器、赔付表数据或与玩游戏机有关的信息和可用游戏规则。在另一个实施方式中，可以在远程游戏设备上产生游戏机上可玩的游戏，然后在游戏机上进行显示。

在一个实施方式中，游戏机2可执行游戏软件，例如但不限于能使游戏显示在游戏机上的视频流媒体软件。当游戏存储在游戏机2上时，可将游戏从大容量存储设备加载到RAM中并执行。在一些情况下，在选择一个游戏后，可以从远程游戏设备，例如另一个游戏机，下载使所选游戏能被生成的游戏软件。

如图14的例子中所示，游戏机2包括位于主机柜4顶部的机顶盒6。机顶盒6将多个设备容纳在内，这些设备可用于向在游戏机2上正在玩的游戏添加特征，其包括扬声器10、12、14；印制编有条形码的票20的印票机18；输入玩家跟踪信息的小键盘22；显示玩家跟踪信息的显示器16(例如视频LCD显示器)；用于插入包含玩家跟踪信息的磁条卡的读卡器24以及视频显示屏45。印票机18可用于为非现金票务系统印制票。此外，机顶盒6可容纳图14中未示出的不同或附加设备。例如，机顶盒可包括一个奖励轮或背光丝网印刷面板，可用于向在游戏机上正在玩的游戏添加奖励特征。另一个例子是，机顶盒可包括显示游戏机所提供的累进中奖的显示器。在游戏期间，这些设备由机器2的主机柜4内所容纳的电路(例如主游戏控制器46)部分地控制并供电。

可以理解的是，游戏机2只是可实现本发明的宽范围游戏机设计中的一个例子。例如，并不是所有合适的游戏机都具有机顶盒或玩家跟踪特征。此外，一些游戏机只有一个游戏显示(机械的或视频的)，而另一些游戏机可具有多个显示。

网络

在各种实施方式中，远程游戏设备可以通过某种类型的网络例如局域网、广域网、内联网或互联网与主机相连。在一个这样的实施方式中，多个游戏机能够通过数据网络连接到一起。在一个实施方式中数据网络为局域网(LAN)，其中一个或多个游戏机基本上彼此靠近，例如与游戏设施或部分游戏设施中的场内远程主机靠近。在另一个实施方式中，数据网络为广域网(WAN)，其中一个或多个游戏机与至少一个场外远程主机通信。在该实施方式中，多个游戏机可位于游戏设施的不同部分内，或与场外远程主机位于不同的游戏设施内。因此，WAN可包括位于同一地理区域(例如一个城市或州)内的游戏设施内的场外远程主机和场外游戏机。WAN游戏系统基本上可以与上述LAN游戏系统相同，虽然每个系统中的游戏机数量可能相对有所变化。

在另一个实施方式中，数据网络为互联网或内联网。在该实施方式中，利用至少一个互联网浏览器可以在游戏机上看到游戏机的操作。在该实施方式中，只需要通过传统的电话或其它数据传输线、数字用户线(DSL)、T-1线、同轴电缆、光缆或其它适当的连接与中央服务器或控制器(互联网/内联网服务器)连接，就可以完成对游戏机的操作和信用分数的累积。在该实施方式中，玩家可在能使用互联网连接和电脑或其它互联网设备的任意位置访问互联网游戏页面。最近几年中电脑数量和互联网连接的数量及速度的膨胀增加了玩家在数量不断增加的远程场所玩游戏的机会。应该理解的是，数字无线通信带宽的增加可以使这种技术适用于部分或所有通信，特别是如果通信是经过加密的话。较高的数据传输速度可有助于加强显示的完备及响应特性以及与玩家的交互。

在另一个实施方式中，远程游戏设备可以是便携式游戏设备，例如但不限于蜂窝电话、个人数字助理和无线游戏机。可以在用于玩机会游戏的便携式游戏设备上显示3D游戏环境所呈现的图像。此外，游戏机或服务器可包括游戏逻辑，用于命令远程游戏设备呈现远程游戏设备上存储的3D游戏环境中的虚拟照相机的图像，并在位于远程游戏设备上的显示器上显示所呈现的图像。此外，在游戏机上可以有游戏设备的各种组合。例如，一些游戏机只接受现金、非现金凭单或电子资金转账，而不包括投币器或退币器。因此所属领域技术人员可以理解的是，如下文所述，可以将本发明配置在当前可用或今后会开发的绝大部分游戏机上。

在另一个实施方式中，可以通过无线网络例如部分无线游戏系统来操作本文所公开的游戏机。在该实施方式中，游戏机可以是手持设备、移动设备或能够使玩家在多个不同位置玩合适的游戏的任意其它合适的无线设备。应当理解的是，本文所公开的游戏机可以是获得管理机构游戏委员会批准的设备，或者是未获得管理机构游戏委员会批准的设备。

游戏机vs.通用电脑

本专利申请受让人的某些优选游戏机是利用不同于通用电脑(例如台式电脑和膝上型电脑)的具体特征和/或附加电路来实现的。对游戏机进行高精度调节，以保证公平性，并且在许多情况下，游戏机可操作为发放数百万美元的货币奖励。因此，为了满足游戏环境中的安全性和管理机构要求，要在完全不同于通用电脑的游戏机中实现硬件和软件结构。下文给出了游戏机相对于通用计算机的说明以及游戏机中可发现的附加(或不同的)组件和特征的一些例子。

乍一看，有些人可能会认为使PC技术适用于游戏行业是一件容易的事情，因为PC和游戏机都采用微处理器控制多个设备。但是，因为1)施加于游戏机上的管理机构要求，2)游戏机工作的苛刻环境，3)安全性要求和4)容错要求，使PC技术适用于游戏机是非常困难的。此外，用于解决PC行业中诸如设备兼容性和连接问题之类的问题的技术和方法在游戏环境中是不够的。例如，PC中可以容许的错误或弱点，例如软件中的安全漏洞或频繁的系统崩溃，在游戏机中是不可容许的，因为在游戏机中，这些错误会导致游戏机的直接资金损失，例如当游戏机工作不正常时现金被盗或收入受损。

为了便于说明，下面将说明PC系统和游戏系统之间的一些差别。游戏机和基于普通PC的计算机系统之间的第一个差别为，游戏机被设计成基于状态的系统。在基于状态的系统中，系统在非易失性存储器中存储并维持其当前状态，从而即使出现断电或其它故障，当电力恢复时游戏机仍会返回其当前状态。例如，如果本来应给玩家提供对应某个机会游戏的奖励，但在给玩家提供奖励之前断电了，在恢复电力时，游戏机将返回到指示奖励的状态。用过PC的人都知道，PC不是状态机，当发生故障时大部信用分数据通常会丢失。这种要求影响了游戏机上的软件和硬件设计。

游戏机和基于普通PC的计算机系统之间的第二个重要差别为，为了进行管理，游戏机上用于生成机会游戏并操作游戏机的软件被设计为静态和整体式的，从而防止游戏机运营者进行欺骗。例如，游戏行业中已经采用一种方案来防止欺骗并满足管理机构要求，那就是生产的游戏机使用专用处理器运行EPROM或其它形式的非易失性存储器中的指令以生成机会游戏。EPROM上的编码指令是静态的(不可更改的)，且必须通过具有特别管理权的游戏管理机构的批准，并在代表游戏管理权的人员在场时进行安装。对生成机会游戏所需的软件的任意部分进行修改，例如添加主游戏控制器使用的新的设备驱动器从而在生成机会游戏的过程中操作设备，需要烧制一个新的EPROM，经游戏管理权方批准并在游戏管理机构人员在场时重新安装在游戏机上。不论是否使用EPROM方案，对于获得大多数游戏管理权方的批准而言，游戏机必须证明具有足够的安全保证，防止游戏机的经营者或玩家按照为其提供不公平甚至非法利益的方式操纵硬件和软件。游戏机应当有办法确定将要执行的代码是否有效。如果代码无效，则游戏机必须有办法阻止执行该代码。游戏行业中的代码验证要求影响了游戏机上的硬件和软件设计。

游戏机和基于普通PC的计算机系统之间的第三个重要差别为，游戏机上使用的外围设备的数量和种类不像基于PC的计算机系统的那样多。一般来说，在游戏行业中，从游戏机具有的外围设备数量和功能数量有限这个方面而言，游戏机相对比较简单。此外，在操作上，一旦配置完游戏机，游戏机上的功能就是相对固定的，也就是说，不会频繁地将新的外围设备和新的游戏软件添加到游戏机中。这与PC不同。在PC中，用户会出门购买不同组合的设备和来自不同生产商的软件，并将其连接到PC，以使其需求与期望的应用程序相适应。因此，与PC相连的设备类型对于不同的用户而言取决于他们各自的需求会差别很大，并且会随时间产生显著变化。

虽然可用于PC的设备类型多于游戏机，但游戏机仍然有独特的不同于PC的设备需求，例如PC通常不会解决的设备安全性要求。例如，诸如自动售币机、验钞机和印票机之类的金融设备以及用于管理游戏机的现金进出的计算设备具有安全性要求，这些通常不会在PC中被解决。因此，为了便于设备连接和设备兼容而开发的许多PC技术和方法不能解决游戏行业中的安全性重点。

为了解决上文所述的某些问题，游戏机中使用了通用计算设备(例如PC)中通常找不到的许多硬件/软件组件和结构。下文将更详细地描述的这些硬件/软件组件和结构包括但不限于看门狗计时器、电压监控系统、基于状态的软件结构和支持硬件、专用通信接口、安全监控和受信任存储器。

例如，看门狗计时器通常用于国际游戏技术(IGT)游戏机中，以提供软件故障检测机制。在普通的操作系统中，操作软件周期性地存取看门狗计时器子系统中的控制寄存器以“重新触发”看门狗。当操作软件在预定时帧内未成功存取控制寄存器时，看门狗计时器将超时并产生系统重置。典型的看门狗计时器电路包括可加载的超时计数寄存器，以使操作软件能在某个时间范围内设定超时间隔。一些优选电路的区别特点为，操作软件不能完全使看门狗计时器的功能无效。也就是说，从电力被施加到板上时起，看门狗计时器就一直在工作。

IGT游戏计算机平台优选地使用多个电源电压以操作计算机电路的各个部分。可以在中央电源中或计算机主板的局部上产生这些电源电压。如果这些电压中的任一个电压超出了被供电的电路的容许限度，就可能导致计算机出现不可预见的操作。虽然大多数新式的通用计算机具有电压监控电路，但这类电路仅向操作软件报告电压状态。超出容许电压会导致软件故障，在游戏计算机中产生潜在的失控状况。本专利申请受让人的游戏机一般具有电源，该电源与操作电路所需的电压相比具有更紧的电压裕度。此外，IGT游戏计算机中实现的电压监控电路一般具有两个控制阈值。第一阈值产生可以由操作软件检测并由错误条件产生的软件事件。当电源电压超出电源容许范围但仍在电路的工作范围内时，触发该阈值。当电源电压超出电路的工作容许范围时，设置第二阈值。在这种情况下，电路产生重置信号，停止计算机的操作。

IGT游戏机的游戏软件的标准操作方法是使用状态机。可以将游戏的不同功能(下注、玩游戏、结果、图形呈现中的分数等)定义为状态。当游戏从一个状态变为另一个状态时，将与游戏软件相关的关键数据存储在定制的非易失性存储器子系统中。这对于在游戏机出现故障的情况下确保玩家的下注和信用分数得到保存以及使可能出现的争议最少而言，是十分关键的。

一般来说，游戏机不会从第一状态前进到第二状态，直到已存储能重建第一状态的关键信息为止。这个特征使游戏能在出现故障、断电等情况时将操作恢复到紧接在故障之前出现的当前玩游戏状态。在玩机会游戏期间恢复游戏机的状态之后，可以继续玩游戏，并且按照未发生故障的方式来完成游戏。通常，电池支持的RAM设备用于保存这些关键数据，但是也可以采用其它类型的非易失性存储器设备。这些存储器设备不用于典型的通用计算机中。

正如前文所述，当进行机会游戏期间发生故障时，游戏机可恢复到紧接在发生故障之前的机会游戏中的状态。恢复的状态可包括故障之前的状态中在游戏机上显示的计量信息和图形信息。例如，当在玩牌类游戏期间发牌之后发生故障时，游戏机可以恢复之前作为该牌类游戏的一部分而显示的牌。另一个例子是，当玩机会游戏期间可触发奖励游戏，其中要求玩家在视频显示屏上作出多个选择。当玩家作出一个或多个选择之后发生故障时，游戏机可恢复到显示紧接在故障之前的图形呈现的状态，包括显示玩家已作出的选择指示。一般来说，游戏机可以恢复到在玩机会游戏的同时在机会游戏中出现的多个状态中的任意状态，或者可以恢复到玩机会游戏之间的多个状态。

与之前所玩的游戏相关的游戏历史信息，例如下注额、游戏结果等，也可以存储在非易失性存储器设备中。存储在非易失性存储器中的信息可详细到足以重建游戏机上先前所呈现的部分图形呈现以及玩机会游戏时游戏机的状态(例如信用分数)。游戏历史信息可用于出现争议的情况下。例如，玩家觉得在先前的机会游戏中，他没有收到奖励信用分数，但他相信他赢了。游戏历史信息可用于重建有争议游戏之前、期间和/或之后的游戏机状态，从而证明玩家的断言是否正确。名称为“High Performance Battery Backed RAM Interface”的美国专利No.6,804,763、名称为“Frame Capture of Actual Game Play”的美国专利No.6,863,608、名称为“Dynamic NV-RAM”的美国申请No.10/243,104和名称为“Frame Capture of Actual Game Play”的美国申请No.10/758,828描述了基于状态的游戏系统的进一步细节、从故障中恢复以及游戏历史，在此为了所有的目的通过参考将它们并入本文。

在具体的实施方式中，可以通过存储在多个位置中的游戏历史信息来重建游戏设备的状态。例如，在一个实施方式中，可操作为同时提供ECI和游戏界面的游戏设备不能存储ECI的状态信息，而只能存储游戏界面的状态信息。因此，在发生故障或断电之后，为了重建包括争议中的ECI的游戏设备的状态，必须从游戏设备上的本地存储器源中和位于提供ECI的远程主机上的远程存储器源中检索游戏历史信息。例如，远程和游戏机可存储允许游戏机上的事件与远程主机上发生的事件相关联的关联信息，例如计时信息或参考信息。存储在游戏机和/或远程主机上的关联信息可用于使游戏机上的游戏状态的重建同步。在一个具体实施方式中，向游戏设备提供ECI服务的远程主机可提供ECI，从而允许对与游戏设备上所显示的ECI相关的档案信息进行检索。

游戏机(例如IGT游戏计算机)的另一个特点是，它们通常包括独有的接口，包括串行接口，从而连接至游戏机内部和外部的专用子系统。串行设备可具有电性接口的要求，这与通用计算机所提供的“标准”EIA232串行接口不同。这些接口可包括EIA485、EIA422、串行光缆、光耦合串行接口、环流型串行接口等。此外，为了将串行接口保留在游戏机内部，可通过共享的菊花链方式(其中多个外围设备与一个串行通道相连)来连接串行设备。

串行接口可用于利用游戏行业中独有的通信协议传送信息。例如，IGT的Netplex是一种用于游戏设备之间的串行通信的专用通信协议。另一个例子是，SAS是一种用于从游戏机传送信息(例如计量信息)至远程设备的通信协议。一般SAS结合玩家跟踪系统一起使用。

可选地，IGT游戏机可以被看作娱乐场通信控制器的外围设备，并以共享的菊花链方式连接至一个串行接口。在这两种情况下，外围设备最好具有指定的设备地址。如果是这样，那么串行控制器电路必须执行产生或检测独有设备地址的方法。通用计算机串行端口不能这么做。

通过监控与游戏机机柜中的进出门相连接的安全开关，安全监控电路检测对IGT游戏机的侵入。优选地，违规进出会使玩游戏中断并能触发附加安全操作，从而维持玩游戏的当前状态。当电力中断而使用备用电池时，这些电路仍能工作。在断电的操作中，这些电路继续监控游戏机的进出门。当电力恢复时，游戏机(例如通过读取状态寄存器)能确定断电期间是否发生了安全违规。这就能触发事件日志记录以及使游戏机软件进行进一步的数据认证操作。

受信任的存储器设备和/或受信任的存储器源最好被包括在IGT游戏机计算机中，从而确保可存储在较低安全性存储器子系统(例如大容量存储设备)上的软件的可靠性。受信任的存储器设备和控制电路通常被设计为，当存储器设备被安装在游戏机中时，不能修改存储器设备中存储的代码和数据。这些设备中存储的代码和数据可包括认证算法、随机数生成器、认证密钥、操作系统核心等。这些受信任存储器设备的作用是在游戏机的计算环境内给游戏监管机构提供一种从根本上受信任的职权，并且可以被跟踪并验证是否与原来一样。这可通过从游戏机计算机中取出受信任存储器设备并验证安全存储器设备的目录是独立的第三方验证设备而实现。一旦受信任存储器设备被验证为可靠，在受信任设备中所包括的验证算法批准的基础上，游戏机能验证位于游戏计算机配件中的附加代码和数据(例如硬盘驱动器上存储的代码和数据)的可靠性。来自2001年8月8日提出的名称为“Process Verification”的美国专利申请No.09/925,098的美国专利No.6,685,567描述了可在本发明中使用的受信任存储器设备的相关细节，在此为了所有的目的通过参考将其全部内容并入本文。

在一个或多个实施方式中，至少部分受信任存储器设备/源可对应于不能被轻易修改的存储器(例如“不可更改的存储器”)，例如，EPROMS，PROMS，Bios，扩展型Bios，和/或能够以安全和受控的方式(例如为了可靠性)被配置、验证和/或认证的其它存储器源。

根据一种具体的实施方式，当受信任信息源通过网络与远程设备通信时，远程设备可采用验证机制来验证受信任信息源的身份。例如，受信任信息源和远程设备可利用公共和专用密钥交换信息，从而验证各自的身份。在本发明的另一个实施方式中，远程设备和受信任信息源可执行利用零知识证明来认证其各自的身份的方法。

存储受信任信息的游戏设备可使用设备或方法来检测并防止篡改。例如，受信任存储器设备中存储的受信任信息可以被加密，以防止其被误用。此外，受信任存储器可安置在锁住的门的后面。此外，一个或多个传感器可以与存储器设备连接，以检测对存储器设备的篡改并提供篡改记录。在另一个例子中，存储受信任信息的存储器设备可以被设计为检测篡改企图并在检测到篡改企图时将自己清除或擦除。

2005年3月10日提出的、发明人为Nguyen等人、名称为“Secured VirtualNetwork in a Gaming Environment”的美国专利申请序列No.11/078,966描述了与受信任存储器设备/源相关的附加细节，在此为了所有的目的将其全部内容并入本文。

用于通用计算机中的大容量存储设备通常能从/向大容量存储设备读取/写入能代码和数据。在游戏机环境中，对大容量存储设备上存储的游戏代码的修改是严格受控的，并且只有在发生特定的维护类型事件时才能利用必需的电子和物理使能装置进行修改。虽然可以用软件来提供这种安全水平，但包括大容量存储设备的IGT游戏计算机优选地包括以电路等级工作的硬件级大容量存储数据保护电路，从而监控修改大容量存储设备上的数据的尝试并产生软件和硬件错误触发，表示在没有适当的电子和物理使能装置的情况下尝试修改数据。举例来说，在美国专利6,149,522中描述了可与本发明一起使用的大容量存储设备的使用细节，在此为了所有的目的将其全部内容并入本文。

玩游戏

回到图14的例子，当用户想玩游戏机2时，他或她通过支付接受器或投币器28或验钞机30插入票或现金。此外，验钞机可接受印制的票凭证，当使用非现金票务系统时，验钞机30可以将印制的票凭证作为信用分数标记接受。在开始游戏时，玩家可利用读卡器24、小键盘22和荧光显示器16输入玩家跟踪信息。此外，可以从插入读卡器中的卡中读取正在玩游戏的玩家的其它游戏偏好。在游戏期间，玩家利用视频显示器34观看游戏。位于机顶盒中的视频显示屏45中还可显示其它游戏或奖励信息。

在游戏过程中，要求玩家作出多个决定，这会影响游戏的结果。例如，玩家可更改他或她在特定游戏上的下注，从奖励服务器中选择特定游戏的奖励或作出影响特定游戏结果的游戏决定。玩家可以利用玩家输入开关32、视频显示屏34或利用使玩家能将信息输入游戏机中的其它设备来作出这些选择。在一些实施方式中，玩家能利用视频显示屏34和一个或多个输入设备访问各种游戏服务，例如接待服务和娱乐内容服务。

在某些游戏事件期间，游戏机2可显示玩家可感知的视觉和听觉效果。这些效果增加了对游戏的兴趣，使玩家更有可能继续玩游戏。听觉效果包括扬声器10、12、14投射的各种声音。视觉效果包括闪光、频闪或利用游戏机2上的光或机腹玻璃40背后的光所显示的其它图案。在玩家完成游戏后，玩家可以从硬币盘38中收取游戏代币，或从打印机18中获取票20，它们可用于进行其它游戏或兑换奖励。此外，玩家可以从打印机18中获取票20，用于购买食物、商品或玩游戏。

在一个实施方式中，如上所述，游戏机可结合任何合适的投机主游戏或基本游戏。游戏机或设备可包括传统游戏机或设备的部分或所有特征。主游戏或基本游戏可包括任何合适的带盘型游戏、牌类游戏、级联或下降符号类游戏、数字类游戏或易于以电子或电机械形式呈现的其它机会游戏，在一个实施方式中，在下注之时或之后，这些游戏基于概率数据产生随机的结果。也就是说，可以实现不同的主投机游戏，例如视频扑克游戏、视频二十一点游戏、视频基诺、视频宾果或任何其它合适的主游戏或基本游戏。

在一个实施方式中，基本游戏或主游戏可以是具有一条或多条赔付线的投币游戏。赔付线可以是水平的、垂直的、圆形、斜线、成角度的或其任意组合。在该实施方式中，游戏机包括至少一个带盘并且最好是多个带盘，例如三至五个带盘，带盘可以为具有机械转动带盘的电机械形式，也可以为具有模拟带盘及运动的视频形式。在一个实施方式中，电机械投币器包括多个相邻的可转动的带盘，这些带盘可以被组合并可操作地连接至任何适当类型的电子显示器。在另一个实施方式中，如果带盘是视频形式的，如上所述，一个或多个显示设备显示多个模拟视频带盘。每个带盘显示多个标记或符号，例如铃铛、红心、水果、数字、字母、横条或其它图像，最好与游戏机相关联的主题相对应。在另一个实施方式中，一个或多个带盘是独立的带盘或单一符号的带盘。在该实施方式中，每个独立或单一符号的带盘产生并向玩家显示一个符号。在一个实施方式中，在主游戏的带盘停止旋转之后，如果在有效赔付线上出现特定类型和/或配置的标记或符号或出现获胜图案、出现必要数量的相邻带盘和/或出现散布的赔付排列，游戏机就会给予奖励。

在一个可选实施方式中，不需要像上文所述那样通过分析基于任何下注的赔付线上产生的符号确定提供给玩家的结果，游戏机只要基于必要数量相邻带盘上(也就是说，不在通过了任何显示的获胜符号组合的赔付线上)的有效符号位置中所产生的相关符号的数量确定提供给玩家的结果。在该实施方式中，如果在带盘上产生获胜符号组合，则游戏机给玩家提供出现对应于所产生的获胜符号组合的出现的一份奖励。例如，如果在带盘上产生一个获胜符号组合，游戏机就向玩家提供对应于所产生的获胜符号组合的出现的单一奖励(也就是，不以已通过获胜符号组合的赔付线为基础)。应该理解的是，由于有多种下注获胜方式的游戏机向玩家提供对应于出现一次获胜符号组合的一份奖励，而具有赔付线的游戏机可向玩家提供对应于同一次出现的获胜符号组合的多份奖励(也就是，如果多条赔付线分别通过相同的获胜符号组合)，所以，对于具有赔付线的传统投币游戏机上的相同下注，可以在游戏机上向想以多种方式获胜的玩家提供更多的获胜方式。

在一个实施方式中，对于具有有效符号位置中产生的至少一个符号的游戏机的每个带盘，通过将第一带盘上有效符号位置中产生的符号数与第二带盘上有效符号位置中产生的符号数及第三带盘上有效符号位置中产生的符号数等等相乘来确定获胜方式的总数。例如，在每个带盘的有效符号位置中产生有三个符号的三带盘游戏机包括27种获胜方式(也就是第一带盘上的3个符号*第二带盘上的3个符号*第三带盘上的3个符号)。在每个带盘的有效符号位置中产生有三个符号的四带盘游戏机包括81种获胜方式(也就是第一带盘上的3个符号*第二带盘上的3个符号*第三带盘上的3个符号*第四带盘上的3个符号)。在每个带盘的有效符号位置中产生有三个符号的五带盘游戏机包括243种获胜方式(也就是第一带盘上的3个符号*第二带盘上的3个符号*第三带盘上的3个符号*第四带盘上的3个符号*第五带盘上的3个符号)。应当理解的是，通过修改带盘数或修改一个或多个带盘上的有效符号位置中产生的符号数来修改产生的符号数，从而可以修改获胜方式的数量。

在另一个例子中，游戏机能使玩家下注并由此激活符号位置。在一个这样的实施方式中，符号位置在带盘上。在该实施方式中，如果在玩家下注的基础上带盘被激活，则该带盘的每个符号位置都会被激活且每个有效的符号位置都会成为一种或多种获胜方式中的一部分。在一个实施方式中，如果在玩家下注的基础上带盘未被激活，则指定数量的默认符号位置，例如带盘中间一行中的一个符号位置被激活，且该默认符号位置将成为一种或多种获胜方式中的一部分。这种游戏机能使玩家在一个或多个带盘上或每个带盘上下注，并且游戏机的处理器使用带盘上的下注数量来确定有效的符号位置和可能的获胜方式数量。在可选的实施方式中，(1)在任意无效符号位置中产生符号时，不显示符号；或(2)向玩家显示任意无效符号位置中产生的任意符号，但适当地打上阴影或者标明无效。

在一个实施方式中，其中玩家在一个或多个带盘上下注，玩家一个信用分数的下注就可以激活第一带盘上的三个符号位置的每一个，其中在剩余的四个带盘上分别激活一个默认符号位置。在这个例子中，如上所述，游戏机向玩家提供三种获胜方式(也就是第一带盘上的3个符号*第二带盘上的1个符号*第三带盘上的1个符号*第四带盘上的1个符号*第五带盘上的1个符号)。在另一个例子中，玩家9个信用分数的下注可激活第一带盘上的三个符号位置的每一个，第二带盘上的三个符号位置的每一个和第三带盘上的三个符号位置的每一个，其中在剩余的两个带盘上分别激活一个默认符号位置。在这个例子中，如上所述，游戏机向玩家提供27种获胜方式(也就是第一带盘上的3个符号*第二带盘上的3个符号*第三带盘上的3个符号*第四带盘上的1个符号*第五带盘上的1个符号)。

在一个实施方式中，为了在所产生符号的基础上确定提供给玩家的奖励，游戏机单独确定：在第一带盘上的有效符号位置中产生的符号是构成了获胜符号组合的一部分还是与第二带盘上的有效符号位置中产生的符号适当相关。在该实施方式中，游戏机将构成部分获胜符号组合的每对符号(也就是每对相关符号)分类为一串相关符号。例如，如果有效符号位置包括第一带盘的最上面一行所产生的第一樱桃符号和第二带盘的最下面一行所产生的第二樱桃符号，则游戏机将这两个樱桃符号分类为一串相关符号，因为这两个樱桃符号构成了部分获胜符号组合。

在确定第一带盘上的符号和第二带盘上的符号之间是否构成任何相关符号串之后，游戏机确定下一相邻带盘中的任何符号是否应被加入任何已形成的相关符号串中。在该实施方式中，对于已分类的第一相关符号串，游戏机确定下一相邻带盘产生的任何符号是构成部分获胜符号组合还是与第一相关符号串中的符号相关。如果游戏机确定下一相邻带盘上产生的符号与第一相关符号串中的符号相关，则随后将该符号加入第一相关符号串中。例如，如果第一相关符号串是一串相关的樱桃符号，而在第三带盘的中间一行产生了一个相关的樱桃符号，则游戏机就会将第三带盘上产生的相关樱桃符号加到之前已分类的那个樱桃符号串上。

另一方面，如果游戏机确定在下一相邻带盘上未产生与第一相关符号串中的符号相关的符号，则游戏机将这串相关符号标记或标识为完整。例如，如果第一相关符号串是一串相关的樱桃符号，而在第三带盘中没有与之前已分类的樱桃符号串中的樱桃符号相关的符号，则游戏机将樱桃符号串标记或标识为完整。

在将相关符号加入第一相关符号串后或在将第一相关符号串标记为完整之后，游戏机按照上文所述继续处理第一和第二带盘上剩余的之前已分类的或由相关符号构成的每一相关符号串。

在对剩下的每一相关符号串进行分析之后，对于剩下的每一不完整或待处理的相关符号串，游戏机确定下一相邻带盘中的符号(如果有的话)是否应当被加入到之前已分类的相关符号串的任一个中。这个处理一直持续，直到每一相关符号串都完整或不再有更多相邻带盘的符号可进行分析为止。在该实施方式中，当不再有更多相邻带盘的符号可进行分析时，游戏机将剩下的每一待处理的相关符号串标记为完整。

当每一相关符号串都被标记为完整时，游戏机将每一相关符号串与适当的赔付表进行比较，并向玩家提供与每一完整的符号串相关联的任何奖励。可以理解的是，对应于有效符号位置中产生的每一相关符号串，给玩家提供一份奖励(如果有的话)(也就是，与以已经在有效符号位置中通过每一相关符号串的赔付线数量为基础的情况相反)。

在一个实施方式中，基本游戏或主游戏可能是扑克游戏，其中游戏机能使玩家玩视频抽牌的传统游戏，并且首先从一副52张牌中的虚拟纸牌中发出五张牌，全都面朝上。可以按传统牌类游戏的方式来发牌，或者在使用游戏机的情况下，还可包括从预定数量的牌中随机选择牌。如果玩家想要抽牌，则玩家利用一个或多个输入设备(例如按下相关的持牌按钮)或利用触摸屏来选择要保留的牌。随后，玩家按下出牌按钮，从显示屏上移走不要的或要丢弃的牌，游戏机从这副牌的剩余牌中分发替代的牌。结果就是最后在手中保留5张牌。游戏机将留在手中的最后5张牌与以传统方式对扑克手进行评级的赔付表进行比较，从而确定获胜扑克手。基于获胜的扑克手，游戏机根据玩家下注的信用分数向玩家提供奖励。

在另一个实施方式中，基本游戏或主游戏可能是多手牌型的视频扑克。在该实施方式中，游戏机分发给玩家至少两手牌。在一个实施方式中，牌仍然是同样的牌。在一个实施方式中，每一手牌都与所属的那副牌有相关联。玩家选择第一手中要保留的牌。在其它几手牌中仍然保留第一手中所保留的牌。从显示的每手牌中除掉其余不要保留的牌，并且对于每手牌而言，替换牌是随机分发到那一手的。由于替换牌是独立于每手牌而随机分发的，因此每手牌的替换牌通常是不一样的。随后，逐手地确定扑克手等级，并给玩家提供奖励。

在一个实施方式中，基本或主游戏可能是基诺游戏，其中游戏机在至少一个显示设备上显示多个可选择的标记或数字。在该实施方式中，玩家利用诸如触摸屏之类的输入设备选择至少一个或多个可选标记或数字。随后游戏机显示一系列抽取的数字，以确定在玩家选择的数字和游戏机的抽取数字之间的匹配量(如果有的话)。以匹配量为基础(如果有的话)或以确定的匹配量为基础给玩家提供奖励。

在一个实施方式中，除了如上所述赢得基本游戏或主游戏中的信用分数或其它奖励外，游戏机还可以给玩家提供机会去赢得奖励游戏或辅助游戏中或奖励回合或辅助回合中的信用分数。奖励游戏或辅助游戏能使玩家除了获得基本游戏或主游戏中的奖励或赔付(如果有的话)外，另外获得奖励或赔付。一般而言，奖励或辅助游戏会生比基本或主游戏高得多的玩家兴奋度，因为它比基本或主游戏提供更大的获胜期望，并且伴随有比基本或主游戏更有吸引力或更不同寻常的特征。在一个实施方式中，奖励或辅助游戏可以是类似于或完全不同于基本或主游戏的任何类型的适当游戏。

在一个实施方式中，触发事件或限定条件可以是主游戏中的一个选择性的结果，或者是主游戏的显示设备上的一个或多个标记的特定排列，例如在主投币游戏中，沿着赔付线在三个相邻带盘上出现的数字7。在其它实施方式中，触发事件或限定条件可以是玩游戏超过了一定量(例如游戏数量、信用分数数量、时间量)或玩游戏期间赢得的分数达到了特定数目。

在另一个实施方式中，游戏机处理器或远程主机随机地向玩家提供一个或多个辅助游戏中的一次或多次玩游戏机会。在一个这样的实施方式中，游戏机不会给玩家提供有资格玩辅助或奖励游戏的明显原因。在该实施方式中，为奖励游戏限定资格不是因为或专门基于玩任何主游戏而触发的。也就是说，游戏机可简单地使玩家有资格进行辅助游戏，而不进行解释或只有很简单的解释。在另一个实施方式中，游戏机(或远程主机)至少部分基于游戏触发或符号触发事件(例如至少部分基于玩主游戏)使玩家有资格玩辅助游戏。

在一个实施方式中，游戏机包括在玩家满足基本或主游戏中的触发事件或限定条件后将自动开始奖励回合的程序。在另一个实施方式中，在玩家取得奖励游戏的资格后，玩家可通过继续玩基本或主游戏来随后增强他/她的奖励游戏参与资格。因此，对于玩家获得的每个奖励资格事件(例如奖励符号)而言，可以在“奖励表”中累积给定数量的奖励游戏下注点数或信用分数，该“奖励表”被编排为向着奖励游戏中的最终参与资格积累奖励下注信用分数或记录。在主游戏中出现这样的多个奖励资格事件就会导致被奖励的奖励下注信用分数的量呈算术或指数式增长。在一个实施方式中，玩家在奖励游戏期间可以兑换额外的奖励下注信用分数，以加大对玩奖励游戏的投入。

在一个实施方式中，不需要收取单独的奖励游戏进入费用或为奖励游戏付费。也就是说，玩家不可以花钱进入奖励游戏，而是必须通过玩主游戏赢得或赚得进入的资格，由此鼓励玩主游戏。在另一个实施方式中，如果玩家不能成功通过其它特定的行动来获得资格的话，玩家例如只需要通过简单的“购买”，就能获得奖励或辅助游戏的资格。在另一个实施方式中，玩家必须在奖励游戏上单独下边注或在主游戏中按照指定量下注。在此实施方式中，必须发生辅助游戏触发事件并且必须是下边注(或指定的主游戏下注量)从而触发辅助游戏。

游戏系统组件

图15是示出了用于实现本发明的一个或多个实施方式的游戏系统1500的组件的框图。在图15中，功能性地描述了游戏系统1500的组件，用于提供游戏软件许可和下载。所描述的功能可例示于硬件、固件和/或软件中，并可以在适当的设备上执行。在系统1500中，相同的功能可以有许多例子，例如多个玩游戏界面1511。不过，在图15中，只示出了每个功能的一个例子。组件的功能是可以组合的。例如，一个设备可包括玩游戏界面1511并包括受信任存储器设备或存储器源1509。所述组件及其功能可以并入本文所述的非现金游戏系统、设备和技术的各种实施方式中。

游戏系统1500可以从不同的组/实体接收输入，并向这些组/实体输出各种服务和/或信息。例如，游戏玩家1525首先向系统中输入现金或信用分数标记，作出触发软件下载的游戏选择，并且作为对其输入的交换，接收娱乐节目。游戏软件内容供应商为系统提供游戏软件，并可在与游戏机经营者达成许可协议的基础上收取其所提供的内容的回报。游戏机经营者选择要分配的游戏软件，在系统1500中的游戏设备上分配游戏软件，收取使用其软件的收益并回报给游戏机经营者。游戏管理机构1530可提供必须应用到游戏系统的规则和规定，并且可接收确认这些规则被遵守的报告和其它信息。

在下面的段落中，结合图15描述了每个组件的细节和组件间的一些交互。游戏软件许可主机1501可以是与多个远程游戏设备相连的服务器，其向远程游戏设备提供许可服务。例如，在其它实施方式中，许可主机1501可以1)接收兑换代币的代币请求，代币用于激活远程游戏设备上执行的软件，2)将代币送入远程游戏设备，3)跟踪代币的使用情况和4)授予和/或更新远程游戏设备上执行的软件的软件许可。代币的使用情况可用于基于使用的许可方案(例如使用即付费方案)中。

在另一个实施方式中，游戏使用情况跟踪主机1515可跟踪与主机通信的多个设备上的游戏软件使用情况。游戏使用情况跟踪主机1515可以与多个玩游戏主机和游戏机通信。游戏使用情况跟踪主机1515可以从玩游戏主机和游戏机接收更新，该更新是针对设备上可玩的每个游戏已经被玩过的次数，以及每个游戏中下注的量。此信息可存储在数据库中，并用于根据基于使用的许可协议中所描述的方法开帐单。

游戏软件主机1502可以向游戏系统1500中的各种设备提供游戏软件下载，例如游戏软件或游戏固件的下载。例如，当玩游戏界面1511上不能使用产生游戏的软件时，游戏软件主机1502可以下载软件，从而产生游戏界面上可玩的一个选定的机会游戏。此外，游戏软件主机1502利用游戏机经营者发出的请求，可以将新的游戏内容下载至多个游戏机。

在一个实施方式中，游戏软件主机1502还可以是游戏软件配置跟踪主机1513。游戏软件配置跟踪主机的功能为保存与主机通信的多个设备的软件配置记录和/或硬件配置记录(例如，面值，赔付线数量，赔付表，最大/最小下注)。Rowe于2000年12月21日提出的名称为“Gaming Terminal Data Repository andInformation System”的美国专利No.6,645,077描述了与本发明一起使用的游戏软件主机和游戏软件配置主机的细节，在此为了所有的目的将其全部内容并入本文。

玩游戏主机设备1503可以是连接至多个远程客户端的主机服务器，用于产生多个远程玩游戏界面1511上显示的机会游戏。举例来说，玩游戏主机设备1503可以是服务器，用于给多个相连的玩游戏界面1511上玩的宾果游戏提供核心决策。另一个例子是，玩游戏主机设备1503可产生用于显示在远程客户端上的机会游戏，例如投币游戏或视频牌游戏。使用远程客户端的游戏玩家能够在主机设备1503在客户端上提供的多个游戏中进行选择。玩游戏主机设备1503可从游戏软件主机1502接收游戏软件管理服务，例如接收新游戏软件的下载，并可从游戏许可主机1501接收游戏软件许可服务，例如授予或更新设备1503上执行的软件的软件许可。

在具体的实施方式中，游戏系统1500中的玩游戏界面或其它游戏设备可以是便携式设备，例如电子代币、蜂窝电话、智能卡、平板电脑和PDA。便携式设备可支持无线通信，因此可以被称为无线移动设备。网络硬件结构1516能够支持无线移动设备和游戏系统中的其它游戏设备之间的通信。在一个实施方式中，无线移动设备可用于玩机会游戏。

游戏系统1500可使用多个受信任信息源。受信任信息源1504可以是诸如服务器之类的设备，提供用于认证/激活其它多条信息的信息。用于认证软件的CRC值、用于使软件能够使用的许可令牌或用于激活软件的产品激活码都是受信任信息源1504可能提供的受信任信息的例子。受信任信息源可以是存储器设备，例如EPROM，其具有用于认证其它信息的受信任信息。例如，玩游戏界面1511可以将专用密钥存储在专用密钥-公共密钥加密方案中使用的受信任存储器设备中，从而认证来自另一个游戏设备的信息。

当受信任信息源1504通过网络与远程设备通信时，远程设备将采用验证方案来验证受信任信息源的身份。例如，受信任信息源和远程设备可利用公共和专用密钥来交换信息，从而验证对方的身份。

存储受信任信息的游戏设备可使用多种设备或方法来检测并防止篡改。例如，受信任存储器设备中存储的受信任信息可以被加密，以防止其被误用。此外，可以将受信任存储器设备固定在锁住的门背后。此外，一个或多个传感器可连接至该存储器设备，以检测对存储器设备的篡改并提供某一篡改记录。在另一个例子中，存储受信任信息的存储器设备可被设计为检测篡改企图，并在检测到篡改企图时将自身清除或擦除。

本发明的游戏系统1500可包括提供授权以从第一设备下载软件到第二设备的设备1506，以及提供使已下载软件能被激活的激活码或信息的设备1507。设备1506和1507可以是远程服务器，还可以是受信任信息源。之前已并入的美国专利No.6,264,561描述了可与本发明一起使用的用于提供产品激活码的方法实例。

系统1500中可包括监控多个游戏设备以确定这些设备遵守游戏管理规则1508的设备1506。在一个实施方式中，游戏管理规则服务器可扫描与游戏规则服务器通信的多个游戏设备上的软件和软件配置，从而确定游戏设备上的软件在游戏设备所处的游戏管理区域内是否可用。例如，游戏规则服务器可请求特定软件组件的数字签名，例如CRC，并将其与游戏管理规则服务器上存储的被批准的数字签名值进行比较。

此外，游戏管理规则服务器可扫描远程游戏设备，以确定是否以对于游戏设备所处的游戏管理区域可接受的方式配置软件。例如最大下注限制可以因管理区域的不同而变化，并且规则强制执行服务器可扫描游戏设备，以确定其当前的软件配置和位置，随后将游戏设备上的配置与对应其位置的被批准的参数进行比较。

游戏管理区域可具有描述如何下载和许可游戏软件的规则。游戏管理规则服务器可扫描游戏设备上的下载交易记录和许可记录，以检测是否以对于游戏设备所处的游戏管理区域内可接受的方式执行下载和许可。一般而言，当游戏管理规则服务器可以远程存取确定符合规则所需的信息时，该服务器可用于确认符合游戏管理区域所规定的任何游戏规则。

存在于具体游戏设备中的游戏软件、固件或硬件还可用于检查是否符合本地的游戏管理规则。在一个实施方式中，当在特定游戏管理区域安装游戏设备时，可以将包括管理规则信息的软件程序下载到游戏机中的安全存储器位置，或者可以将管理规则信息作为数据下载并供游戏机上的程序使用。软件程序和/或管理规则信息可用于检查游戏设备软件和软件配置是否符合本地的游戏管理规则。在另一个实施方式中，在开业前，例如在生产游戏机的工厂中，可以将用于确保符合规则的软件程序和规则信息安装到游戏机中。

游戏系统1500中的游戏设备可使用受信任的软件和/或受信任的固件。受信任固件/软件是在假设未被篡改而被使用的意义上受信任。例如受信任固件/软件可用于认证游戏设备上执行的其它游戏软件或处理。一个例子是，可以将受信任的加密程序和认证程序存储在游戏机中的EPROM上，或编码到专用加密芯片中。另一个例子是，受信任的游戏软件，也就是本地游戏管理方批准在游戏设备上使用的游戏软件，对于游戏机中的游戏设备而言是必需的。

在本发明中，这些设备可通过网络1516连接至使用不同硬件结构的不同类型硬件。游戏软件可以非常大，频繁的下载会给网络带来很大的负担，由此可减缓网络的信息传输速度。对于需要在网络中频繁下载游戏软件的请求即游戏(game-on-demand)服务而言，下载的效率是该服务可维持下去的关键点。因此，在本发明中，网络效率设备1510可用于主动监控和维持网络效率。例如，软件定位器可用于定位附近的游戏软件的位置，用于游戏软件的点对点传输。在另一个例子中，可以监控网络流量，并且可以积极地重新确定下载路径以维持网络效率。

本发明中的一个或多个设备可以向服务器1512提供游戏软件和与审计、开帐单和对账有关的游戏许可。例如，软件许可帐单服务器可基于一段时间内在经营者所拥有的游戏设备上的游戏使用情况产生游戏设备经营者的帐单。在另一个例子中，软件审计服务器可以报告下载到游戏系统1500中的各种游戏设备的游戏软件和这些游戏设备上的游戏软件的当前配置。

软件审计服务器1512还可以以特定的时间间隔向游戏系统中的多个游戏设备请求软件配置。随后该服务器可协调每个游戏设备上的软件配置。在一个实施方式中，软件审计服务器1512可按照特定的次数存储每个游戏设备上的软件配置记录以及该设备上曾发生过的软件下载交易记录。通过将自选定时间起的每个已记录的游戏软件下载交易应用到选定时间所记录的软件配置，就可以获得软件配置。软件审计服务器可将通过应用游戏设备上的这些交易而获得的软件配置与从游戏设备中获得的当前软件配置相比较。比较之后，软件审计服务器可产生对账报告，确认下载交易记录与设备上的当前软件配置一致。报告还可以识别出任何不一致。在另一个实施方式中，游戏设备和软件审计服务器都可存储游戏设备上已发生过的下载交易记录，且软件审计服务器可以协调这些记录。

结合图15描述的组件之间存在许多可能的交互。许多交互是相互联系的。例如，用于许可游戏的方法可影响用于下载游戏的方法，反之亦然。为了便于解释，已经说明了系统1500的组件之间的与软件许可和软件下载相关的若干可能交互的细节。选择进行这些说明以用于举例说明游戏系统1500中的具体交互。提供这些说明只是为了便于解释，并不是想要限制本发明的范围。

游戏系统配置

在一个实施方式中，如上所述，本发明可以按照各种游戏机配置来实现，这些游戏机包括但不限于：(1)专用游戏机，其中，在输送至游戏设施之前，将用于控制任何游戏(由游戏机提供)的计算机化指令提供给游戏机；和(2)可调整的游戏机，其中，当游戏机位于游戏设施中时，通过数据网络将用于控制任何游戏(由游戏机提供)的计算机化指令下载至游戏机。在另一个实施方式中，从远程主机、中央服务器或中央控制器传送用于控制任何游戏的计算机化指令至游戏机本地处理器和存储器设备。在这种“厚重型客户端”实施方式中，游戏机本地处理器执行传送过来的计算机化指令，从而控制提供给玩家的任何游戏(或其它适当的界面)。

在一个可选实施方式中，用于控制任何游戏的计算机化指令由远程主机、中央服务器或中央控制器执行。在这种“精简型客户端”实施方式中，远程主机远程地控制任何游戏(或其它适当的界面)，并且游戏机被用于显示这些游戏(或适当的界面)并接收来自玩家的一个或多个输入或命令。在一个实施方式中，游戏系统中的一个或多个游戏机可以是精简型客户端游戏机，且游戏系统中的一个或多个游戏机可以是厚重型客户端游戏机。在另一个实施方式中，在精简型客户端环境中实现游戏机的某些功能，而在厚重型客户端环境中实现游戏机的另外某些功能。在一个这样的实施方式中，从远程主机传送用于控制任何主游戏的计算机化指令至厚重型客户端配置的游戏机中，并在精简型客户端配置的远程主机中执行用于控制任何辅助游戏或奖励功能的计算机化指令。应当理解的是，本文所公开的远程主机的一个或多个或每个功能，可以由一个或多个游戏机处理器来执行。还应当理解的是，本文所公开的一个或多个游戏机处理器的一个或多个或每个功能可以由远程主机来执行。

在一个实施方式中，游戏机基于概率数据随机产生奖励和/或其它游戏结果。在一个这样的实施方式中，通过使用诸如真随机数生成器、伪随机数生成器之类的随机数生成器(RNG)或其它适当的随机化处理来提供这种随机确定。在一个实施方式中，每一份奖励或其它游戏结果都与概率有关，且游戏机基于相关的概率产生要提供给玩家的奖励或其它游戏结果。在该实施方式中，由于游戏机随机地产生结果或基于一个或多个概率计算产生结果，因此不确定游戏机会给玩家提供特定的奖励还是其它游戏结果。

在一个可选实施方式中，远程主机保存一组或多组预定游戏结果。在该实施方式中，远程主机接收游戏结果请求并从一组游戏结果中独立地选择预定游戏结果。远程主机将选定的游戏结果标记或标识为已使用。一旦将某个游戏结果标记为已使用，在另一次下注时就会阻止从这一组中选择这个游戏结果，并且不能被远程主机选择。所提供的游戏结果可包括主游戏结果、辅助游戏结果、主和辅助游戏结果或诸如免费游戏之类的一系列游戏的结果。

远程主机将产生并选定的游戏结果传送至发起请求的游戏机。游戏机接收已产生或选定的游戏结果并将游戏结果提供给玩家。在一个可选实施方式中，已产生或选定的游戏结果是如何呈现或显示给玩家的，例如投币器的带盘符号组合或牌类游戏中分发的一手牌，这也是由远程主机决定的，并且传送到发起请求的游戏机，从而呈现或显示给玩家。中央产生或控制能帮助游戏设施或其它实体保存适当的记录、控制游戏、减少并阻止作弊或电子错误或其它形式的错误、减少或消除胜负的变化无常，等等。

在另一个实施方式中，基于宾果、基诺或乐透彩游戏的结果，确定多个链接或联网的游戏机中每个游戏机的预定游戏结果值。在该实施方式中，每个游戏机分别利用一个或多个宾果、基诺或乐透彩游戏来确定向在此游戏机上玩交互游戏的玩家提供的预定游戏结果值。在一个实施方式中，给玩家显示宾果、基诺或乐透彩游戏。在另一个实施方式中，不给玩家显示宾果、基诺或乐透彩游戏，而是显示宾果、基诺或乐透彩游戏的结果会确定主或辅助游戏的预定游戏结果值。

在各种宾果实施方式中，在每个游戏机在宾果游戏登记时，例如在进行适当下注或操作输入设备时，将不同的宾果牌提供给或关联到已登记的游戏机。每张宾果牌由一个要素矩阵或阵列组成，其中每个要素用单独一个标记(例如数字)来指定。可以理解的是，每张不同的宾果牌包括不同的要素组合。例如，如果给四个已登记的游戏机提供四张宾果牌，则相同的要素可出现在所有四张宾果牌上，同时另一个要素可单独出现在一张宾果牌上。

在操作这些实施方式时，在提供或关联不同的宾果牌至多个已登记游戏机中的每个游戏机时，远程主机随机地一次选择或抽取多个要素。在选定每个要素后，为每个游戏机确定选定的要素是否出现在提供给已登记游戏机的宾果牌上。可以由远程主机、游戏机、两者的组合或任意其它适当方式来进行这种确定。如果选定要素出现在提供给该已登记游戏机的宾果牌上，则对所提供的宾果牌上的选定要素进行标记或标识。选定要素并对所提供的宾果牌上的选定要素进行标记的过程一直持续，直到在所提供的一张或多张宾果牌上标记出一个或多个预定图案为止。可以理解的是，在一个实施方式中，游戏机要求玩家操作一个涂鸦按钮(未显示)，从而启动游戏机标记或标识任何选定要素的处理。

在一个或多个所提供的宾果牌上标记出一个或多个预定图案后，至少部分地基于所提供的宾果牌上的选定要素来确定每个已登记游戏机的游戏结果。如上所述，为宾果游戏中已登记的每个游戏机确定的游戏机结果被游戏机用于确定提供给玩家的预定游戏结果。例如，将赢得$10的第一结果提供给以预定图案标记出选定要素的第一游戏机，不论第一玩家在第一游戏中是怎么玩的，赢得的这$10都会被提供给第一玩家；将赢得$2的第二结果提供给以不同的预定图案标记出选定要素的第二游戏机，不论第二玩家在第二游戏中是怎么玩的，赢得的这$2都会被提供给第二玩家。可以理解的是，由于标记选定要素的过程一直持续，直到标记出一个或多个预定图案为止，所以该实施方式确保了至少一张宾果牌将赢得宾果游戏，并且因此至少一个已登记的游戏机会将预定的获胜游戏结果提供给玩家。可以理解的是，也可以采用选择或确定一个或多个预定游戏结果的其它适当方法。

在上述实施方式的一个例子中，除了上文所述的赢了宾果游戏时提供的奖励之外，预定的游戏结果还可以基于补充奖励。在该实施方式中，如果在指定数量的抽取要素之内，以补充图案方式标记出一个或多个要素，则与标记出的补充图案相关联的补充或间歇性奖励或价值被提供给玩家，作为预定游戏结果的一部分。例如，如果在二十个第一选定要素内标记宾果牌的四个角，则将$10补充奖励提供给玩家，作为预定游戏结果的一部分。可以理解的是，在该实施方式中，可以向游戏机的玩家提供补充或间歇性奖励，不论已登记的游戏机所提供的摈果牌是否如上文所述赢了宾果游戏。

在另一个实施方式中，提供给玩家的游戏结果由远程主机来确定，并提供给游戏机上的玩家。在该实施方式中，多个这样的游戏机中的每个游戏机都与远程主机通信。当玩家在一个游戏机上启动玩游戏时，所启动的游戏机将游戏结果请求传送到远程主机。在一个实施方式中，远程主机接收游戏结果请求，并基于概率数据随机地产生主游戏的游戏结果。在另一个实施方式中，远程主机基于概率数据随机地产生辅助游戏的游戏结果。在另一个实施方式中，远程主机基于概率数据随机地产生主游戏和辅助游戏的游戏结果。在该实施方式中，远程主机能够存储并使用程序代码或其它数据，这类似于游戏机的处理器和存储器设备。

在另一个实施方式中，一个或多个游戏机与远程主机通信以用于监控。在一个实施方式中，游戏网络包括可操作地连接至远程主机的实时或在线记帐和游戏信息系统。该实施方式的记帐和游戏信息系统包括用于存储玩家档案的玩家数据库，用于跟踪玩家的玩家跟踪模块和用于提供自动娱乐场交易的信用分数系统。

在另一个实施方式中，所属领域已知的是，一个或多个游戏场所中的多个游戏机可以联网至累进配置的远程主机，其中，启动基本或主游戏的每次下注的一部分会被分配给一份或多份累进奖励。在一个实施方式中，累进游戏系统主机场所计算机连接至多个互相远离的游戏场所中的多个远程主机，用于提供多场所链接的累进自动化游戏系统。在一个实施方式中，累进游戏系统主机场所计算机可以为分布在不同地理位置(例如包括一个城市内的不同位置或一个州内的不同城市)中的多个场所中的游戏机提供服务，。

在一个实施方式中，对累进游戏系统主机场所计算机进行维护，用于整体操作和控制累进游戏系统。在该实施方式中，累进游戏系统主机场所计算机监管整个累进游戏系统并控制对所有累进中奖的计算。所有参与的游戏场所都向/从该累进游戏系统主机场所计算机报告/接收信息。每个远程主机计算机对游戏机硬件、软件和累进游戏系统主机场所计算机之间的所有数据通信负责。在一个实施方式中，单独游戏机可触发累进的获胜奖励。在另一个实施方式中，远程主机(或累进游戏系统主机场所计算机)确定何时触发累进的获胜奖励。在另一个实施方式中，单独游戏机和一个远程主机(或累进游戏系统主机场所计算机)互相合作，以确定何时触发累进的获胜奖励，例如通过满足远程主机设立的预定要求的单独游戏机。

在一个实施方式中，基于一个或多个玩游戏事件(例如符号驱动触发事件)触发累进获胜奖励。在其它实施方式中，累进奖励触发事件或限定条件可以是玩游戏超过一定的量(例如游戏数量，信用分数数量或时间量)，或游戏期间赚到的分数达到指定数量。在另一个实施方式中，随机地或明显随机地选择一个游戏机来给其玩家提供一份或多份累进奖励。在一个这样的实施方式中，游戏机不会给玩家提供赢得累进奖励的明显原因，其中赢得累进奖励不是因为或专门基于玩任何主游戏而触发的。也就是说，在没有解释或仅有简单解释的情况下给玩家提供累进奖励。在另一个实施方式中，至少部分基于游戏触发或符号触发事件(例如至少部分基于玩主游戏)给玩家提供累进奖励。

在一个实施方式中，一份或多份累进奖励都是通过下边注来提供资金的。在该实施方式中，玩家必须下边注，才有资格赢得与下边注相关的累进奖励。在一个实施方式中，玩家必须下最大的注并下边注，才有资格赢得累进奖励之一。在另一个实施方式中，如果玩家下了必要的边注，则玩家可以在主游戏期间下注任意信用分数量(也就是说，玩家不需要下最大的注并下边注才有资格赢得累进奖励之一)。在一个这样的实施方式中，玩家下注越大(除了已经下的边注外)，玩家赢得累进奖励之一的机会或概率就越大。可以理解的是，至少部分地基于游戏系统中的游戏机的主游戏上的下注，通过游戏设施或通过其它适当方式，可为一份或多份累进奖励提供资金。

在另一个实施方式中，一份或多份累进奖励都是部分地通过玩家所下的边注(可以利用边注计量仪进行跟踪)来提供资金的。在一个实施方式中，只能利用所下的边注来为一份或多份累进奖励提供资金。在另一个实施方式中，基于上文所述的玩家的下注以及所下边注，为一份或多份累进奖励提供资金。

在一个可选实施方式中，有资格被选中的游戏机需要一个最小下注水平来获得一份累进奖励。在一个实施方式中，最小下注水平是游戏机中的主游戏的最大下注水平。在另一个实施方式中，有资格被选中的游戏机不需要最小下注水平来获得一份累进奖励。

在另一个实施方式中，通过将一定比例的玩家下注分配到玩家自己的累进奖励或奖励池(也就是个人累进奖励)，游戏系统维持至少一份累进奖励。在该实施方式中，当出现某个事件(与玩游戏相关或与玩游戏无关)时，游戏系统向玩家提供其个人累进奖励。

在另一个实施方式中，多个玩家和游戏系统中的多个相连游戏机参与到群组游戏环境中。在一个实施方式中，在多个相连游戏机上的多个玩家互相合作，例如作为一个团队或群组一起玩，从而赢得一份或多份奖励。在一个这样的实施方式中，该群组赢得的奖励是共有的，在该群组的不同玩家之间平分或基于适当标准分配。在另一个实施方式中，在多个相连游戏机上的多个玩家互相竞争一份或多份奖励。在一个这样的实施方式中，多个相连游戏机上的多个玩家为了一份或多份奖励参与一个游戏比赛。在另一个实施方式中，多个相连游戏机上的多个玩家为了一份或多份奖励而玩游戏，其中一个游戏机所产生的结果影响一个或多个相连游戏机所产生的结果。

本文所述的一些网络提供了管理一个或多个联网的游戏设施的方法和设备。这些网络有时候在本文中可被称为基于服务器的游戏网络，也就是sbTM网络，等等。本文所述的一些这样的游戏网络允许便捷地提供联网游戏机和与娱乐场运营相关的其它设备。如果需要的话，可以轻易和便捷地增加或修改游戏主题。可以将相关的软件，包括但不限于玩家跟踪软件、辅助软件等，下载至联网游戏机、移动游戏设备、精简型客户端和/或其它设备，例如售卖亭、联网游戏桌、玩家站点等。

在一些实施方式中，中央系统的服务器或其它设备将确定游戏结果和/或提供其它下注游戏功能。在一些这样的实施方式中，可主要在中央系统的一个或多个设备(例如服务器、主机等)上执行下注游戏。例如，可以由一个或多个服务器或其它联网的设备作出下注游戏决定(例如中间的和最终的游戏结果，奖励等)。至少可以部分地由娱乐场网络和/或中央系统中的一个或多个设备执行与下注游戏相关联的玩家跟踪功能、记帐功能、甚至一些与显示相关的功能。

图16示出了基于服务器(sb^TM)的游戏网络，其被用于实现本发明的一个或多个实施方式。所属领域技术人员可以理解的是，该结构和相关功能仅仅是举例，且本发明包括很多其它这样的实施方式和方法。

在此，举例说明娱乐场计算机室1620和游戏设施1605的联网设备。游戏设施1605被配置为通过网关1650与中央系统1663通信。游戏设施1693和1695也被配置为与中央系统1663通信。

在一些实施方式中，游戏设施可被配置为互相通信。在此例子中，游戏设施1693和1695被配置为与娱乐场计算机室1620通信。这种配置可允许娱乐场1605中的设备和/或经营者联络和/或控制其它娱乐场中的设备。在一些这样的实施方式中，计算机室1620中的服务器可控制娱乐场1605中的设备以及其它游戏设施中的设备。相反，其它游戏设施中的设备和/或经营者也可以联络和/或控制娱乐场1605中的设备。

例如，与其它联网位置中的服务器相比，可以给娱乐场1605或中央系统1663中的服务器供应更先进的软件(例如，3D面部识别软件)，用于识别顾客。这样的服务器可处理来自娱乐场1605中的设备的顾客识别请求以及来自游戏设施1693和1695中的设备的顾客识别请求。

在此，游戏设施1697被配置为与中央系统1663通信，但并未被配置为与其它游戏设施通信。一些游戏设施(未显示)可以不与其它游戏设施或中央系统通信。游戏设施1605包括多个游戏机1621，每个游戏机都是游戏机1621的储藏库1610中的一部分。在此例子中，游戏设施1605还包括联网游戏桌1653的储藏库。但是，也可以在具有任意数量游戏机或游戏桌等的游戏设施中实现本发明。可以理解的是，许多游戏设施包括上百甚至上千游戏机1621和/或游戏桌1653，但并不是所有的都包含在储藏库中，其中的一些可以不联入网络。至少某些游戏机1621和/或移动设备1670可以是“精简型客户端”，被配置为执行本文所述的客户端方法。

一些游戏网络提供的游戏桌特征类似于游戏机所提供的特征，包括但不限于：奖励、玩家忠诚度/玩家跟踪和使用非现金工具。在2005年6月15日提出的(代理案号IGT1P035X3)名称为“CASHLESS INSTRUMENT BASEDTABLE GAME PROMOTIONAL SYSTEM AND METHODOLOGY”的美国专利申请No.11/154,1633，2006年11月10日提出(代理案号IGT1P061X5P)的名称为“AUTOMATED PLAYER DATA COLLECTION SYSTEM FORTABLE GAME ENVIRONMENTS”的美国临时专利申请No.60/16516,046，2005年5月15日提出的(代理案号IGT1P115)名称为“WIDE AREA TABLEGAMING MONITOR AND CONTROL SYSTEM”的美国专利申请No.11/129,702，2006年6月22日提出的(代理案号IGT1P2316/P-1049)名称为“PROGRES SIVE TABLE GAME BONUSING SYSTEMS AND METHODS”的美国专利申请No.11/425,9916，以及2005年9月12日提出的(代理案号IGT 1P243)名称为“UNIVERSAL CASINO BONUSING SYSTEMS ANDMETHODS”的美国专利申请No.11/225,299中，提供了相关的材料，在此通过参考将其全部内容并入本文。因此，根据本发明，可以提供和/或控制与这些特征相关的软件，且可以获得和/或提供相关数据。

一些配置可以提供自动化的多玩家轮盘赌、二十一点、百家乐和其它桌面游戏。桌面游戏可通过发牌者和/或通过使用一些自动形式(可包括自动轮盘赌轮、发牌者的电子呈现等)进行。在一些这种实施方式中，诸如照相机、射频识别设备等的设备可用于识别和/或跟踪纸牌、芯片等。一些游戏桌1653可被配置用于与可被配置为接受下注、提供发牌者的电子呈现、表明游戏结果等的个别的玩家终端(未示出)通信。

一些游戏网络包括用于玩桌面游戏的电子配置表。2006年9月7日提出的(代理案号IGT1P106X2)名称为“CASINO DISPLAY METHODS ANDDEVICES”的美国专利申请No.11/517,1661描述了一些这样的游戏桌，在此通过参考将其并入本文。经营者可选择一个所需的游戏，例如扑克游戏或二十一点游戏，并利用适合所需桌面游戏的几何图案、文本等对游戏桌进行自动配置。通过对游戏桌本身的控制或根据从例如服务器或娱乐场管理员经网络接口接收的指令，可选择桌面游戏的期望类型。

游戏设施1605还包括联网的售卖亭1677。取决于实施方式，售卖亭1677可用于多个不同用途，包括但不限于现金支出、奖励兑换、兑换来自玩家忠诚度程序中的分数、兑换诸如奖励票、智能卡之类的“非现金”标记，等等。在一些实施方式中，售卖亭1677可用于获得与游戏设施有关的信息，例如与按时间表排定的事件(例如比赛、娱乐等)相关的信息、与顾客位置相关的信息等等。根据本发明，可以提供和/或控制与这些特征相关的软件，还可以获得和/或提供相关数据。例如，在本发明的一些实施方式中，售卖亭1677可被配置为通过呈现图形用户界面接收来自顾客的信息。

在此例子中，每个储藏库1610具有相应的交换机1615，交换机可以是一些实施方式中的传统的储藏库交换机。每个交换机1615被配置为用于通过主网络设备1625与计算机室1620中的一个或多个设备通信，其中在此例子中主网络设备1625将切换与路由功能组合。虽然可使用各种通信协议，但一些优选实施方式使用游戏标准协会的G2S消息协议。其它实施方式可使用IGT开放的基于以太网的

协议，其中IGT使用户能免费下载该协议。包括(但不限于)Best of Breed(“BOB”)的其它协议也可用于实施本发明的各种实施方式。IGT已经开发出了称为CASH的游戏行业专用的传输层，其位于TCP/IP的顶端并提供附加的功能和安全性。

在此，游戏设施1605还包括RFID网络，RFID网络部分地通过RFID开关1619和多个RFID读取器1617实现。举例来说，RFID网络可用于跟踪游戏设施1605附近的物体(例如在该例子中包括RFID标签1627的移动游戏设备1670)、顾客等。2007年1月19日提出的(代理案号IGT1P0162C1X1/P-713CON CIP)名称为“DYNAMIC CASINO TRACKING AND OPTIMIZATION”的美国专利申请No..11/655,496和2006年11月13日提出的(代理案号IGT1P1116C1X1/P-303CON CIP)名称为“DOWNLOADING UPON THEOCCURRENCE OF PREDERTERMINED EVENTS”的美国专利申请No.11/599,241中提出了RFID网络是如何用于游戏设施中的一些例子，在此通过参考将它们全部并入本文。

如本文其它地方所注明的，本发明的一些实施方式可涉及“智能”玩家忠诚度工具，比如包含RFID标签的玩家跟踪卡。相应地，这种实现RFID的玩家忠诚度工具的位置可经由RFID网络被跟踪。在此实例中，至少一些移动设备1670可包括RFID标签1627，其包含为移动设备1670编码的识别信息。相应地，这种具有标签的移动设备1670的位置可在游戏设施1605中经由RFID网络被跟踪。其它的位置检测设备和系统，比如全球定位系统(GPS)，可用于监视在游戏设施1605附近或其它地方的人和/或设备的位置。

多种可选的网络拓扑可用于实现本发明的不同实施方式和/或兼容可变数量的联网设备。例如，具有大量游戏机1621的游戏设施可需要多种情况下的一些网络设备(例如主网络设备1625，在该例子中将开关和路由功能组合)和/或包括图16中未示出的其它网络设备。本发明的一些实施方式可包括安装在售卖亭1677、RFID开关1619和/或储藏库交换机1615之间的一个或多个中间件服务器以及计算机室1620中的一个或多个设备(例如相应的服务器)。这些中间件服务器可提供多种有用的功能，包括但不限于过滤和/或聚集从交换机、各个游戏机和其它设备接收的数据。本发明的一些实施方式包括管理网络流量的负载平衡方法和设备。

存储设备1611，sb^TM服务器1630、许可管理器1631、仲裁器1633、服务器1632、1634、1636和16316、主机设备1660和主网络设备1625安装与游戏设施1605的计算机室1620内。特别是，可以使用更多或更少的设备。取决于实施方式，一些这样的设备可存在于游戏设施1605或其它地方。

中央系统1663中的一个或多个设备还可被配置为至少部分地执行专用于本发明的任务。例如，中央系统1663的一个或多个服务器1662、仲裁器1633、存储设备1664和/或主机设备1660可被配置为实现本文其它地方所详细描述的功能。这些功能可包括但不限于提供用于诸如下注游戏机1621、移动设备1670等之类设备的功能。

计算机室720的一个或多个服务器可被配置有用于接收玩家的下注游戏通知参数、确定下注条件何时符合下注游戏通知参数、和/或在下注条件符合下注游戏通知参数时向玩家提供通知的软件。此外，一个或多个服务器可被配置为接收、处理和/或提供来自照相机1609的图像数据，从而向顾客提供导航数据(例如，表明与下注游戏通知相关联的游戏桌、下注游戏机等的位置和/或相对于它们的方向)，等等。

例如，计算机室1620中的一个或多个服务器可将导航数据(可包括地图数据、娱乐场布局数据、照相机图像数据等)提供给移动设备1670。本发明的一些实施方式包括多个联网的照相机1609，其可以是视频照相机、智能照相机、数字静态照相机等。在一些这样的实施方式中，这些照相机可至少部分地提供实时导航特征，例如名称为“Real-Time Navigation Devices，Systems andMethods”的美国专利申请No.12/106,771(代理案号IGT1P410/P-1222)所描述的那些特征，在此通过参考将其并入本文。

网络1605中可部署的其它设备并未出现在图16中。例如，一些游戏网络不仅可包括各种射频识别(“RFID”)读取器1617，还可包括RFID开关、中间件设备服务器等，其中的一些并未在图16中进行描述。这些特征可提供各种功能。例如，服务器或另一个设备可根据读取RFID标签1627的RFID读取器的位置确定移动设备1670的位置。

图16中所示的服务器和其它设备可被配置为与游戏设施1605内部或外部的其它设备(例如主机设备1660，售卖亭1677和/或移动设备1670)通信，从而实现本文其它地方所述的某些方法。如本文其它地方所描述的所述，服务器(或类似设备)可以有助于与这些设备通信，接收和存储顾客数据，提供适当的响应等。

这些服务器中的一些服务器可被配置为执行与记帐、玩家忠诚度、奖励/累进、游戏机配置等相关的任务。一个或多个这样的设备可用于实现娱乐场管理系统，例如应用程序IGT Advantage^TM Casino System套组，其提供可供娱乐场管理员作出决策的即时信息。RADIUS服务器和/或DHCP服务器也可被配置用于与游戏网络通信。本发明的一些实施方式提供作为刀片服务器形式的这些服务器中的一个或多个。

图16中所示的sb^TM服务器1630和其它服务器的优选实施方式包括CPU群、冗余存储设备(包括备份存储设备)、交换机等，或至少部分地与CPU群、冗余存储设备(包括备份存储设备)、交换机等通信。这种存储设备可包括“RAID”(原为廉价磁盘冗余阵列，现在也称为独立磁盘冗余阵列)阵列、备份硬驱动器和/或磁带驱动器等。

在本发明的一些实施方式中，许多这样设备(包括但不限于许可管理器1631、服务器1632、1634、1636和16316以及主网络设备1625)与sb^TM服务器1630安装在单一机架中。相应地，很多或全部这种设备的聚集体将有时被称为“sb^TM服务器”。然而，在替代实施方式中，这些设备中的一个或多个与sb^TM服务器1630和/或位于网络上其它地方的其它设备通信。例如，一些设备能安装在位于计算机室1620内或位于网络上其它地方的分离机架中。此外，经由存储区网络(SAN)在其它地方存储大量数据可以是有利的。

计算机室1620可包括被配置用于与计算机室1620内及外部的其它设备通信的一个或多个操作人员控制台或其它主机设备。这种主机设备可被提供有用于实现本发明的各种实施方式的软件、硬件和/或固件。然而，这种主机设备不必位于计算机室1620内。有线的主机设备1660(在此实例中为台式和膝上型电脑)和无线的设备1670(在此实例中为PDA)可位于游戏设施1605中的其它地方或位于远程位置。

虽然上文为了清楚和理解本发明的目的通过图解说明和举例而详细描述了本发明，但可以理解的是，在不脱离本发明的精神或实质特点的前提下，上述本发明可被具体化为很多其它具体的变型和实施方式。某些改变和修改是可被实践的，应当理解，本发明不限于前述细节，而是由所附权利要求书的范围来限定的。

Claims

1.一种基于下注的游戏机，包括：

主游戏控制器，被配置为控制一个或多个机会游戏；

下注输入设备，可操作为接收用于玩所述一个或多个机会游戏的下注的指示；

值输出设备，被配置为输出值的表示，所述值包括基于玩所述一个或多个机会游戏的奖励；

第一存储器设备，能够存储第一信用分数余额，所述第一信用分数余额代表可用于下注以玩所述一个或多个机会游戏的第一信用分数量；

通信接口，被配置为与具有第一处理器和第二存储器设备的便携式电子设备通信，所述第二存储器设备能存储第二信用分数余额，所述第二信用分数余额代表所述便携式电子设备上可用的第二信用分数量；以及

安全交易设备，包括第二处理器和第三存储器设备，该处理器可操作为：

通过所述通信接口向所述便携式电子设备传送用于更新所述第二信用分数余额的第一请求，所述第一请求包括安全性认证信息；

当确定所述安全性认证信息符合一个或多个安全性认证要求时，通过所述通信接口从所述便携式电子设备接收指示，该指示表示已根据所述请求更新了所述第二信用分数量；和

根据所述请求更新所述第一存储器设备中存储的第一信用分数余额。

2.如权利要求1的游戏机，其中所述第一请求包括用于从所述便携式电子设备转移指定的信用分数量至所述游戏机的请求。

3.如权利要求2的游戏机，其中响应于所述第一信用分数余额已达到第一信用分数阈值的确定结果，传送所述第一请求。

4.如权利要求3的游戏机，其中所述安全交易设备的第二处理器进一步可操作为：利用预定的自动转移额和所述第一信用分数阈值，确定所述指定的信用分数量。

5.如权利要求2的游戏机，其中响应于从所述游戏机的用户接收到的请求，传送所述第一请求。

6.如权利要求1的游戏机，其中所述第一请求包括用于从所述游戏机转移指定的信用分数量至所述便携式电子设备的请求。

7.如权利要求6的游戏机，

其中所述主游戏控制器可操作为：作为对从所述安全交易设备接收到的请求的响应，使所述游戏机处于退出服务的状态；以及

其中所述安全交易设备的第二处理器进一步可操作为：

响应于现金支出请求，确定所述通信接口是否与所述便携式电子设备通信；

响应于所述通信接口未与所述便携式电子设备通信的确定结果，从所述第一存储器设备转移所述第一信用分数余额至所述第三存储器设备；

传送表示应使所述游戏机处于退出服务的状态的请求至所述主游戏控制器；和

传送用于执行无卡现金支出操作的请求。

8.如权利要求1的游戏机，其中所述安全交易设备的第二处理器进一步可操作为：

确定用于所述便携式电子设备的第一离线窗口，所述第一离线窗口代表在无需向一个或多个非现金游戏服务器认证的条件下可以将所述便携式电子设备用于非现金游戏的时间段；

确定所述便携式电子设备的第一在线使用，所述第一在线使用对应于最近一次向所述一个或多个非现金游戏服务器认证了所述便携式电子设备的时间；

利用所述第一离线窗口和第一离线使用，确定所述第一离线使用是否在所述第一离线窗口内；

当所述第一离线使用在所述第一离线窗口内时，允许在不向所述一个或多个非现金游戏服务器认证所述便携式电子设备的条件下使用所述便携式电子设备。

9.如权利要求6的游戏机，其中所述安全交易设备的第二处理器进一步可操作为：

通过所述通信接口从所述便携式电子设备接收与所述便携式电子设备相关联的识别信息；

向非现金游戏服务器传送第一消息，所述第一消息包括接收到的识别信息；

从所述非现金游戏服务器接收第二消息，所述第二消息包括表示对所述便携式电子设备的进一步使用至少已被部分地锁定的指示；和

输出通知，该通知表示对所述便携式电子设备的进一步使用已被锁定。

10.一种操作基于下注的游戏机的方法，该方法包括：

在所述游戏机上的第一存储器设备中存储第一信用分数余额，所述第一信用分数余额代表可用于下注以玩所述游戏机上可用的一个或多个机会游戏的第一信用分数量；

通过通信接口从所述游戏机上的安全交易设备传送第一请求至与所述游戏机通信的便携式电子设备，所述第一请求代表用于更新所述便携式电子设备上存储的第二信用分数余额的请求，所述第二信用分数余额代表所述便携式电子设备上可用的第二信用分数量，所述第一请求包括安全性认证信息；

当确定所述安全性认证信息符合一个或多个安全性认证要求时，通过所述通信接口从所述便携式电子设备接收指示，该指示表示已根据所述请求更新了所述第一信用分数量；和

根据请求更新第一存储设备中存储的第一信用分数余额。

11.如权利要求10的方法，其中所述第一请求包括从所述便携式电子设备转移指定的信用分数量至所述游戏机的请求。

12.如权利要求11的方法，其中响应于所述第一信用分数余额已达到第一信用分数阈值的确定结果，传送所述第一请求。

13.如权利要求12的方法，其中所述安全交易设备的第二处理器进一步可操作为：利用预定的自动转移额和所述第一信用分数阈值，确定所述指定的信用分数量。

14.如权利要求12的方法，其中响应于从所述游戏机的用户接收到的请求，传送所述第一请求。

15.如权利要求11的方法，其中所述第一请求包括用于从所述游戏机转移指定的信用分数量至所述便携式电子设备的请求。

16.如权利要求15的方法，该方法还包括：

传送表示应使所述游戏机临时处于退出服务的状态的请求至所述主游戏控制器；和

传送用于执行无卡现金支出操作的请求。

17.如权利要求11的方法，该方法还包括：

18.如权利要求11的方法，该方法还包括：

从所述非现金游戏服务器接收第二消息，所述第二消息包括表示所述便携式电子设备已被锁定的指示；和

输出通知，该通知表示对所述便携式电子设备的进一步使用至少已被部分地锁定。

19.一种用于非现金游戏的系统，该系统包括：

游戏机，被配置为提供一个或多个机会游戏，该游戏机包括：下注输入设备，可操作为接收用于玩所述一个或多个机会游戏的下注的指示；值输出设备，被配置为输出值的表示，所述值包括基于玩所述一个或多个机会游戏的奖励；第一存储器设备，能够存储第一信用分数余额，所述第一信用分数余额代表可用于下注以玩由主游戏控制器控制的一个或多个机会游戏的第一信用分数量；和一个或多个通信接口；

经由所述一个或多个通信接口与所述游戏机通信的便携式电子设备，所述便携式电子设备包括第一处理器和能存储第二信用分数余额的第二存储器设备，所述第二信用分数余额代表在所述便携式电子设备上可用的第二信用分数量；以及

经由所述一个或多个通信接口与所述游戏机通信的安全交易设备，所述安全交易设备包括第二处理器和第三存储器设备，该处理器被配置为：

通过所述一个或多个通信接口向所述便携式电子设备传送用于更新所述第二信用分数余额的第一请求，所述第一请求包括安全性认证信息；

当所述安全性认证信息符合一个或多个安全性认证要求时，通过所述一个或多个通信接口从所述便携式电子设备接收指示，该指示表示已根据所述请求更新了所述第二信用分数量；和

20.如权利要求19的游戏机，其中所述第一请求包括从所述便携式电子设备转移指定的信用分数量至所述游戏机的请求。

21.如权利要求20的游戏机，其中响应于所述第一信用分数余额已达到第一信用分数阈值的确定结果，传送所述第一请求。

22.如权利要求21的游戏机，其中所述安全交易设备的第二处理器进一步可操作为：利用预定的自动转移额和所述第一信用分数阈值，确定所述指定的信用分数量。

23.如权利要求20的游戏机，其中响应于从所述游戏机的用户接收到的请求，传送所述第一请求。

24.如权利要求19的游戏机，其中所述第一请求包括用手从所述游戏机转移第一信用分数量至所述便携式电子设备的请求。

25.如权利要求23的游戏机，

其中所述游戏机被配置为响应于从所述安全交易设备接收到的请求，使其自身处于退出服务的状态；以及

其中所述安全交易设备的第二处理器进一步可操作为：

响应于现金支出请求，确定所述一个或多个通信接口是否与所述便携式电子设备通信；

响应于所述一个或多个通信接口未与所述便携式电子设备通信的确定结果，从所述第一存储器设备转移所述第一信用分数余额至所述第三存储器设备；

传送用于执行无卡现金支出操作的请求。

26.如权利要求19的游戏机，其中所述安全交易设备的第二处理器进一步被配置为：

27.如权利要求23的游戏机，其中所述安全交易设备的第二处理器进一步被配置为：

通过所述一个或多个通信接口从所述便携式电子设备接收与所述便携式电子设备相关联的识别信息；