WO2021008325A1

WO2021008325A1 - 一种基于电子现金的脱机交易方法和系统

Info

Publication number: WO2021008325A1
Application number: PCT/CN2020/098411
Authority: WO
Inventors: 李东声
Original assignee: 天地融科技股份有限公司
Priority date: 2019-07-17
Filing date: 2020-06-28
Publication date: 2021-01-21
Also published as: CN112241880A

Abstract

一种基于电子现金的脱机交易方法和系统，该方法包括：后台服务器从智能卡接收智能卡生成的防重放因子（S1）；后台服务器按预设算法判断智能卡是否存在异常交易，如果不存在异常交易，利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将安全信息和安全信息签名发送至智能卡（S2）；智能卡从后台服务器接收安全信息和安全信息签名信息，利用后台服务器的公钥对安全信息签名信息进行验签，在验签通过后，比对安全信息中的防重放因子与智能卡生成的防重放因子是否一致，如果一致，则存储活性字段信息（S3）；智能卡与后台服务器建立连接，生成防重放因子，将防重放因子发送至后台服务器（S7）。

Description

一种基于电子现金的脱机交易方法和系统

相关申请的交叉引用

本申请要求天地融公司于2019年7月17日提交的、发明名称为“一种基于电子现金的脱机交易方法和系统”的、中国专利申请号“201910645444.3”的优先权。

技术领域

本发明涉及一种电子交易技术领域，尤其涉及一种基于电子现金的脱机交易方法和系统。

背景技术

在传统的电子现金等脱机交易应用中，由于脱机交易不能够实时联网认证，这就导致后台服务器不能及时对电子现金进行清算。在脱机交易的情况下，付款终端存储有一张电子现金，该电子现金可以被用户重复消费，付款终端在用户每次消费后，会在卡片余额上扣减相应的消费金额。因此存在以下安全问题：不法分子可能利用POS机等交易终端对圈存有电子现金的卡片进行大量的非法盗刷，由于不能实时清算，用户无法及时得知卡片内电子现金被盗刷走。

因此，急需一种更优的电子现金脱机交易的技术方案，在智能卡上增加活性字段信息，避免上述电子现金脱机交易中可能出现的安全问题。

发明内容

本发明一方面提供了一种基于电子现金的脱机交易方法，包括：后台服务器从智能卡接收智能卡生成的防重放因子；后台服务器按预设算法判断智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将安全信息和安全信息签名发送至智能卡；其中，安全信息至少包括：防重放因子和活性字段信息；活性字段信息至少包括：智能卡的可交易次数；智能卡从后台服务器接收安全信息和安全信息签名信息，利用后台服务器的公钥对安全信息签名信息进行验签，在验签通过后，比对安全信息中的防重放因子与智能卡生成的防重放因子是否一致，如果一致，则存储活性字段信息；交易终端与后台服务器在不建立连接的情况下，与智能卡建立连接，向智能卡发送电子现金交易应用选择信息；智能卡与后台服务器在不建立连接的情况下，接收电子现金交易应用选择信息，确定电子现金交易应用激活，并接收所述交易终端发送的交易信息；其中，交易信息至少包括：交易金额；智能卡接收交易信息后，比较自身存储的交易累计次数与智能卡的可交易次数，如果交易累计次数大于或等于智能卡的可交易次数，则判断活性字段信息无效，终止交易流程；如果交易累计次数小于智能卡的可交易次数，则判断活性字段信息有效，智能卡根据交易信息中的交易金额扣减卡片余额，并将自身存储的交易累计次数加1，并对交易信息进行计算得到交易凭证，将交易凭证送至交易终端；智能卡与后台服务器建立连接，生成防重放因子，将防重放因子发送至后台服务器。

本发明另一方面提供了另一种基于电子现金的脱机交易方法，包括：后台服务器从智能卡接收智能卡生成的防重放因子；后台服务器按预设算法判断智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将安全信息和安全信息签名发送至智能卡；其中，安全信息至少包括：防重放因子和活性字段信息；活性字段信息至少包括：智能卡的可交易金额；智能卡从后台服务器接收安全信息和安全信息签名信息，利用后台服务器的公钥对安全信息签名信息进行验签，在验签通过后，比对安全信息中的防重放因子与智能卡生成的防重放因子是否一致，如果一致，则存储活性字段信息；交易终端与后台服务器在不建立连接的情况下，与智能卡建立连接，向智能卡发送电子现金交易应用选择信息；智能卡与后台服务器在不建立连接的情况下，接收电子现金交易应用选择信息，确定电子现金交易应用激活，并接收交易终端发送的交易信息；其中，交易信息至少包括：交易金额；智能卡接收交易信息后，比较自身存储的交易累计金额与智能卡的可交易金额，如果交易累计金额大于或等于智能卡的可交易金额，则判断活性字段信息无效，终止交易流程；如果交易累计金额小于智能卡的可交易金额，则判断活性字段信息有效，智能卡根据交易信息中的交易金额扣减卡片余额，并将自身存储的交易累计金额加上交易金额，并对交易信息进行计算得到交易凭证，将交易凭证送至交易终端；智能卡与后台服务器建立连接，生成防重放因子，将防重放因子发送至后台服务器。

本发明又一方面提供了一种基于电子现金的脱机交易系统，该系统包括：后台服务器、智能卡和交易终端；后台服务器，用于从智能卡接收智能卡生成的防重放因子；按预设算法判断智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将安全信息和安全信息签名发送至智能卡；其中，安全信息至少包括：防重放因子和活性字段信息；活性字段信息至少包括：智能卡的可交易次数；智能卡，用于从后台服务器接收安全信息和安全信息签名信息，利用后台服务器的公钥对安全信息签名信息进行验签，在验签通过后，比对安全信息中的防重放因子与智能卡生成的防重放因子是否一致，如果一致，则存储活性字段信息；交易终端，用于在与后台服务器在不建立连接的情况下，与智能卡建立连接，向智能卡发送电子现金交易应用选择信息；智能卡，还用于在与后台服务器在不建立连接的情况下，接收电子现金交易应用选择信息，确定电子现金交易应用激活，并生成接收交易终端发送的交易信息其中，交易信息至少包括：交易金额；比较自身存储的交易累计次数与智能卡的可交易次数，如果交易累计次数大于或等于智能卡的可交易次数，则判断活性字段信息无效，终止交易流程；如果交易累计次数小于智能卡的可交易次数，则判断活性字段信息有效，根据交易信息中的交易金额扣减卡片余额，并将自身存储的交易累计次数加1，并对交易信息进行计算得到交易凭证，将交易凭证送至交易终端；与后台服务器建立连接，生成防重放因子，将防重放因子发送至后台服务器。

本发明再一方面提供了另一种基于电子现金的脱机交易系统，该系统包括：后台服务器、智能卡和交易终端；后台服务器，用于从智能卡接收智能卡生成的防重放因子；按预设算法判断智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将安全信息和安全信息签名发送至智能卡；其中，安全信息至少包括：防重放因子和活性字段信息；活性字段信息至少包括：智能卡的可交易金额；智能卡，用于从后台服务器接收安全信息和安全信息签名信息，利用后台服务器的公钥对安全信息签名信息进行验签，在验签通过后，比对安全信息中的防重放因子与智能卡生成的防重放因子是否一致，如果一致，则存储活性字段信息；交易终端，用于在与后台服务器在不建立连接的情况下，与智能卡建立连接，向智能卡发送电子现金交易应用选择信息；智能卡，还用于在与后台服务器在不建立连接的情况下，接收电子现金交易应用选择信息，确定电子现金交易应用激活，并接收交易终端发送的交易信息其中，交易信息至少包括：交易金额；比较自身存储的交易累计金额与智能卡的可交易金额，如果交易累计金额大于或等于智能卡的可交易金额，则判断活性字段信息无效，终止交易流程；如果交易累计金额小于智能卡的可交易金额，则判断活性字段信息有效，根据交易信息中的交易金额扣减卡片余额，并将自身存储的交易累计金额加上交易金额，并对交易信息进行计算得到交易凭证，将交易凭证送至交易终端；与后台服务器建立连接，生成防重放因子，将防重放因子发送至后台服务器。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例1提供的一种基于电子现金的脱机交易方法的流程图；

图2为本发明实施例1提供的另一种基于电子现金的脱机交易方法的流程图；

图3为本发明实施例2提供的一种基于电子现金的脱机交易系统的结构示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

实施例1

图1为本实施例提供的一种基于电子现金的脱机交易方法的流程图、图2为本实施例提供的另一种基于电子现金的脱机交易方法的流程图。

如图1所示，本实施例提供了一种基于电子现金的脱机交易方法，该方法包括：

步骤S1：后台服务器从智能卡接收智能卡生成的防重放因子；

步骤S2：后台服务器按预设算法判断智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将安全信息和安全信息签名发送至智能卡；

其中，安全信息至少包括：防重放因子和活性字段信息；活性字段信息至少包括：智能卡的可交易次数；

步骤S3：智能卡从后台服务器接收安全信息和安全信息签名信息，利用后台服务器的公钥对安全信息签名信息进行验签，在验签通过后，比对安全信息中的防重放因子与智能卡生成的防重放因子是否一致，如果一致，则存储活性字段信息；

步骤S4：交易终端与后台服务器在不建立连接的情况下，与智能卡建立连接，向智能卡发送电子现金交易应用选择信息；

步骤S5：智能卡与后台服务器在不建立连接的情况下，接收电子现金交易应用选择信息，确定电子现金交易应用激活，并接收交易终端发送的交易信息

其中，交易信息至少包括：交易金额；

步骤S6-1：智能卡接收交易信息后，比较自身存储的交易累计次数与智能卡的可交易次数；如果交易累计次数大于或等于智能卡的可交易次数，则判断活性字段信息无效，执行步骤S6-3；如果交易累计次数小于智能卡的可交易次数，则判断活性字段信息有效，执行步骤S6-2；

步骤S6-2：智能卡根据交易信息中的交易金额扣减卡片余额，并将自身存储的交易累计次数加1，并对交易信息进行计算得到交易凭证，将交易凭证送至所述交易终端；

步骤S6-3：智能卡终止交易流程；

步骤S7：智能卡与后台服务器建立连接，生成防重放因子，将防重放因子发送至后台服务器。

由上述本实施例提供的技术方案可以看出，后台服务器向智能卡下发活性字段信息，智能卡在验证通过后将接收到的活性字段信息存储。在交易时，智能卡根据交易信息判断活性字段信息是否有效，只有在活性字段信息有效的情况下才能完成电子现金的脱机交易。由此，通过限制智能卡脱机的可交易次数，如果不法分子(收款方，即不法交易终端)利用POS机等交易终端对圈存有电子现金的卡片进行非法盗刷，由于付款卡片脱机交易次数的限制，不法分子无法多次进行电子现金的盗刷。此外，活性字段信息是由后台服务器签名后下发，智能卡在验签通过后再进行存储，该下发机制有效地避免了非法设备对智能卡中存储的活性字段信息进行篡改。

下面对本实施例提供的方法中智能卡与后台服务器以及交易终端的交互流程进行详细的说明：

本实施例中，智能卡是指付款端的交易设备。需要说明的是，作为一种可选的实施方式，交易终端和智能卡可以为同一型号的智能卡型交易设备，即该智能卡型交易设备可以既具有付款功能也具有收款功能。为方便说明，在本实施例中，将该智能卡型交易设备作为付款端使用时称为智能卡，作为收款端使用时称为交易终端。作为一种可选的实施方式，智能卡生成的防重放因子可以为随机数。

步骤S2：后台服务器按预设算法判断智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将安全信息和安全信息签名发送至智能卡；其中，安全信息至少包括：防重放因子和活性字段信息；活性字段信息至少包括：智能卡的可交易次数。

本实施例中，活性字段信息可以为智能卡的可交易次数，也可以为智能卡的可交易金额，或者还可以为智能卡的可交易币种、可交易时间等。当然，活性字段信息也可以包括上述多种信息。

本实施例中，智能卡是指付款端的交易设备。需要说明的是，作为一种可选的实施方式，交易终端和智能卡可以为同一型号的智能卡型交易设备，即该智能卡型交易设备可以既具有付款功能也具有收款功能。为方便说明，在本实施例中，将该智能卡型交易设备作为付款端使用时称为智能卡，作为收款端使用时称为交易终端。

本实施例中，后台服务器判断智能卡是否存在异常交易的具体流程在本实施例后文中进行说明。

步骤S3：智能卡从后台服务器接收安全信息和安全信息签名信息，利用后台服务器的公钥对安全信息签名信息进行验签，在验签通过后，比对安全信息中的防重放因子与智能卡生成的防重放因子是否一致，如果一致，则存储活性字段信息。

本实施例中，智能卡从后台服务器获取后台服务器的公钥，利用该公钥对后台服务器下发的安全信息签名信息进行验签，由此，智能卡可以通过验签的方式来确认接收到的安全信息的来源的可靠性。此外，如果有不法设备对后台服务器进行重放攻击，后台服务器下发的安全信息中的防重放因子与智能卡生成的防重放因子是不一致的，由此，后台服务器可以通过防重放因子来避免不法设备的重放攻击。此外，本实施例中的智能卡，其活性字段信息是由后台服务器下发的，智能卡本身无法对活性字段信息进行修改，由此保证了活性字段信息的可靠性。

本实施例中，本实施例中，交易终端是指收款端的交易设备，可以为带有电子现金脱机交易功能的手机、POS机等交易设备，也可以为智能卡型的交易设备。

步骤S5：智能卡与后台服务器在不建立连接的情况下，接收电子现金交易应用选择信息，确定电子现金交易应用激活，并接收交易终端发送的交易信息；其中，交易信息至少包括：交易金额。

本实施例中，交易金额可以是由收款用户录入至待交易的交易终端的，也可以是待交易的交易终端通过其他方式获取的。作为一种可选的实施方式，交易信息还可以包括除交易金额之外的其他字段，例如交易时间、智能卡的标识信息、交易终端的标识信息、货币种类标识等等。

步骤S6-2：智能卡根据交易信息中的交易金额扣减卡片余额，将自身存储的交易累计次数加1，并对交易信息进行计算得到交易凭证，将交易凭证送至交易终端；

步骤S6-3：智能卡终止交易流程。

在步骤S6-2中，交易凭证可以为智能卡可以利用自身的私钥对交易信息进行签名得到的交易信息签名值，也可以为智能卡利用加密密钥对交易信息进行加密得到的交易信息密文。由此，在后续电子现金清算的步骤中，后台服务器可以对交易凭证进行验证，从而对付款方的身份进行认证。

举例来说，智能卡A的活性字段信息中，可交易次数为3次。在智能卡A连续进行3次付款后，其交易累计次数为3，智能卡通过判断自身存储的累计交易次数与可交易次数相等，即可判断出活性字段信息无效，智能卡A终止交易流程。在这种情况下，智能卡A必须与后台服务器建立连接，获取后台服务器下发的更新的活性字段信息，才可以继续进行下一次脱机交易。由此，通过限制智能卡脱机的可交易次数，迫使智能卡的用户在活性字段信息无效后与服务器建立连接，执行更新活性字段信息的步骤，从而避免智能卡长期在脱机状态下被使用所带来的安全问题。比如，如果不法分子(收款方，即不法交易终端)利用POS机等交易终端对圈存有电子现金的卡片进行非法盗刷，由于付款卡片脱机交易次数的限制，不法分子无法多次进行电子现金的盗刷，在一定程度上提高了智能卡的安全性。

本实施例中，由于活性字段信息不限于智能卡的可交易次数，还可以为智能卡的可交易次数，也可以为智能卡的可交易金额，或者还可以为智能卡的可交易币种、可交易时间等，活性字段信息有效性的判断方式也根据活性字段信息所包括的内容的不同而不同。

如图2所示，当活性字段信息为智能卡的可交易金额时，上述步骤6-1至6-3可以替换为步骤S6-1’至S6-3’(其余步骤不变)：

步骤S6-1’：智能卡接收交易信息后，比较自身存储的交易累计金额与智能卡的可交易金额；如果交易累计金额大于或等于智能卡的可交易金额，则判断活性字段信息无效，执行步骤S6-3’；如果交易累计金额小于智能卡的可交易金额，则判断活性字段信息有效，执行步骤S6-2’；

步骤S6-2’：智能卡根据交易信息中的交易金额扣减卡片余额，并将自身存储的交易累计金额加上交易金额，并对交易信息进行计算得到交易凭证，将交易凭证送至交易终端；由此，得到更新的交易累计金额；

步骤S7-3’：智能卡终止交易流程。

本实施例中，仅以活性字段信息为可交易次数或可交易金额为例，对活性字段信息有效性的判断方式进行了举例说明。当活性字段信息包括多种信息时，比如，活性字段信息包括：可交易次数、可交易金额和可交易时间，那么在判断活性字段信息的有效性时，需要智能卡的交易累计次数小于可交易次数、交易累计金额小于可交易金额、并且交易时间在可交易时间范围内，即活性字段信息中包括的所有字段均为有效时，才判断该智能卡的活性字段信息有效。

作为一种可选的实施方式，在执行步骤S6-1之前，智能卡还可以验证接收到的交易信息中的交易金额是否不大于自身的卡片余额；如果交易金额不大于自身的卡片余额，则执行步骤S6-1；如果交易金额大于自身的卡片余额，则跳转至步骤S6-3。当然，在实际应用中，智能卡可以具有向用户提示卡片余额的功能，用户可以人为判断卡片余额是否足够支付交易金额，在卡片余额不足时不使用智能卡付款。

作为一种可选的实施方式，在智能卡与后台服务器建立连接之后，智能卡根据智能卡在与后台服务器在不建立连接的情况下产生的全部交易凭证和自身存储的电子现金生成交易清算信息，将交易清算信息发送至后台服务器。其中，每条交易清算信息至少包括：至少一条交易凭证；后台服务器从智能卡接收交易清算信息，根据交易清算信息执行电子现金清算。

作为一种可选的实施方式，当交易凭证包括交易信息签名值时，后台服务器可以利用智能卡的公钥对交易清算信息中的每条交易凭证进行验签，再验签通过后，根据每条交易凭证中的交易信息执行电子现金清算。作为另一种可选的实施方式，当交易凭证包括交易信息密文时，后台服务器可以利用解密密钥对每条交易凭证进行解密，得到交易信息明文，并根据每条交易信息明文执行电子现金清算。其中，后台服务器使用的解密密钥和智能卡使用的加密秘钥可以为预先协商的对称密钥或非对称密钥。由此，后台服务器可以通过对交易凭证的验证，来对付款方的身份进行认证。

作为一种可选的实施方式，在后台服务器从智能卡接收交易清算信息，执行电子现金清算后，方法还包括：后台服务器向智能卡下发新的电子现金；智能卡接收并储存新的电子现金，在自身的卡片余额上增加新的电子现金的面值。

作为一种可选的实施方式，后台服务器按预设算法判断智能卡是否存在异常交易，包括：后台服务器接收智能卡发送的交易清算信息，判断智能卡在与后台服务器在不建立连接的情况下产生的全部交易信息的交易金额总和是否大于智能卡自身存储的电子现金的面值，如果后台服务器在不建立连接的情况下产生的全部交易信息的交易金额总和大于智能卡自身存储的电子现金的面值，则判断智能卡存在异常交易。

在具体实施中，以智能卡为智能卡A举例来说：智能卡A中存储的电子现金的面值为100元，且智能卡A的可交易次数为3次。该智能卡A最多能够连续进行3次脱机的电子现金付款，在3次付款后必须与后台服务器建立连接并执行电子现金清算流程。智能卡A可以记录卡片余额，在每次付款后，智能卡A可以扣减付款的交易金额，完成当前卡片余额的更新。智能卡A在被正常使用的情况下，连续3次付款的交易金额的总和不会超过100元。在连续3次付款，并进入清算流程之后，智能卡A向后台服务器发送的交易清算信息中包括上述3次付款对应的3条交易信息以及智能卡A自身存储的电子现金；后台服务器根据接收到的每条交易信息的交易金额，计算上述3次付款的交易金额总和，并判断交易金额总和是否大于自身存储的电子现金的面值100元。如果交易金额总和大于100元，则后台服务器判断该智能卡A存在异常交易。由此，如果智能卡A在被不法分子篡改卡片余额，智能卡A可能会出现连续3次付款的交易金额的总和大于100元的情况，此时，后台服务器在执行电子现金清算时，会判断智能卡A存在异常交易，不再向智能卡A下发更新的活性字段信息，从而使该智能卡A无法再进行下一次的脱机交易，有效地防止不法分子再次进行非法消费。

本实施例中，在智能卡A经过电子现金清算后，智能卡A不存在异常交易的情况下，智能卡A可以从后台服务器获取新的电子现金。具体地，智能卡A在向后台服务器发送的交易清算信息中包括上述3次付款对应的3条交易信息以及智能卡A自身存储的电子现金(100元面值)之后，智能卡A可以删除该自身存储的电子现金，或者，智能卡A将该自身存储的电子现金置为不可用。后台服务器在执行电子现金清算后，向智能卡A智能卡下发新的电子现金(200元面值)。智能卡A接收并存储新的电子现金，并在自身当前卡片余额上增加200元。

实施例2

图2为本实施例提供的一种基于电子现金的脱机交易系统的结构示意图，现结合图2，对本实施例提供的系统的结构进行详细的说明：

本实施例提供了一种基于电子现金的脱机交易系统，该系统包括：后台服务器10、智能卡20和交易终端30。

本实施例中，智能卡20是指付款端的交易设备。需要说明的是，作为一种可选的实施方式，交易终端30和智能卡20可以为同一型号的智能卡型交易设备，即该智能卡型交易设备可以既具有付款功能也具有收款功能。为方便说明，在本实施例中，将该智能卡型交易设备作为付款端使用时称为智能卡20，作为收款端使用时称为交易终端30。

本实施例中，后台服务器10，用于从智能卡20接收智能卡20生成的防重放因子；按预设算法判断智能卡20是否存在异常交易，如果不存在异常交易，则利用后台服务器10的私钥对安全信息进行签名，生成安全信息签名，将安全信息和安全信息签名发送至智能卡20；其中，安全信息至少包括：防重放因子和活性字段信息；活性字段信息至少包括：智能卡20的可交易次数。

作为一种可选的实施方式，智能卡20生成的防重放因子可以为随机数。

本实施例中，活性字段信息可以为智能卡20的可交易次数，也可以为智能卡20的可交易金额，或者还可以为智能卡20的可交易币种、可交易时间等。当然，活性字段信息也可以包括上述多种信息。

智能卡20，用于从后台服务器10接收安全信息和安全信息签名信息，利用后台服务器10的公钥对安全信息签名信息进行验签，在验签通过后，比对安全信息中的防重放因子与智能卡20生成的防重放因子是否一致，如果一致，则存储活性字段信息。

本实施例中，智能卡20从后台服务器10获取后台服务器10的公钥，利用该公钥对后台服务器10下发的安全信息签名信息进行验签，由此，智能卡20可以通过验签的方式来确认接收到的安全信息的来源的可靠性。此外，如果有不法设备对后台服务器10进行重放攻击，后台服务器10下发的安全信息中的防重放因子与智能卡20生成的防重放因子是不一致的，由此，后台服务器10可以通过防重放因子来避免不法设备的重放攻击。

交易终端30，用于在与后台服务器10在不建立连接的情况下，与智能卡20建立连接，向智能卡20发送电子现金交易应用选择信息。

实施例中，本实施例中，交易终端30是指收款端的交易设备，可以为带有电子现金脱机交易功能的手机、POS机等交易设备，也可以为智能卡型的交易设备。

智能卡20，还用于在与后台服务器10在不建立连接的情况下，接收电子现金交易应用选择信息，确定电子现金交易应用激活，并接收交易终端发送的交易信息；其中，交易信息至少包括：交易金额。

本实施例中，交易金额可以是由收款用户录入至待交易的交易终端30的，也可以是待交易的交易终端30通过其他方式获取的。作为一种可选的实施方式，交易信息还可以包括除交易金额之外的其他字段，例如交易时间、智能卡20的标识信息、交易终端30的标识信息、货币种类标识等等。

智能卡20，还用于在接收交易信息后，比较自身存储的交易累计次数与智能卡20的可交易次数，如果交易累计次数大于或等于智能卡20的可交易次数，则判断活性字段信息无效，终止交易流程；如果交易累计次数小于智能卡20的可交易次数，则判断活性字段信息有效，根据交易信息中的交易金额扣减卡片余额，并将自身存储的交易累计次数加1，并对交易信息进行计算得到交易凭证，将交易凭证送至所述交易终端。

本实施例中，交易凭证可以为智能卡20可以利用自身的私钥对交易信息进行签名得到的交易信息签名值，也可以为智能卡20利用加密密钥对交易信息进行加密得到的交易信息密文。由此，在后续电子现金清算的步骤中，后台服务器10可以对交易凭证进行验证，从而对付款方的身份进行认证。

举例来说，智能卡A的活性字段信息中，可交易次数为3次。在智能卡A连续进行3次付款后，其交易累计次数为3，智能卡A通过判断自身存储的累计交易次数与可交易次数相等，即可判断出活性字段信息无效，智能卡A终止交易流程。在这种情况下，智能卡A必须与后台服务器10建立连接，获取后台服务器10下发的更新的活性字段信息，才可以继续进行下一次脱机交易。由此，通过限制智能卡20脱机的可交易次数，迫使智能卡20的用户在活性字段信息无效后与服务器10建立连接，执行更新活性字段信息的步骤，从而避免智能卡20长期在脱机状态下被使用所带来的安全问题。比如，如果不法分子(收款方，即不法交易终端)利用POS机等交易终端对圈存有电子现金的卡片进行非法盗刷，由于付款卡片脱机交易次数的限制，不法分子无法多次进行电子现金的盗刷，在一定程度上提高了智能卡的安全性。

本实施例中，由于活性字段信息不限于智能卡20的可交易次数，还可以为智能卡20的可交易次数，也可以为智能卡20的可交易金额，或者还可以为智能卡20的可交易币种、可交易时间等，活性字段信息有效性的判断方式也根据活性字段信息所包括的内容的不同而不同。比如，当活性字段信息为智能卡的可交易金额时：智能卡20，还用于在接收交易信息后，比较自身存储的交易累计金额与智能卡20的可交易金额，如果交易累计次数大于或等于智能卡20的可交易金额，则判断活性字段信息无效，终止交易流程；如果交易累计金额小于智能卡20的可交易金额，则判断活性字段信息有效，根据交易信息中的交易金额扣减卡片余额，并将自身存储的交易累计金额加上交易金额，得到更新的交易累计金额，对交易信息进行计算得到交易凭证，将交易凭证送至交易终端。

本实施例中，仅以活性字段信息为可交易次数或可交易金额为例，对活性字段信息有效性的判断方式进行了举例说明。当活性字段信息包括多种信息时，比如，活性字段信息包括：可交易次数、可交易金额和可交易时间，那么在判断活性字段信息的有效性时，需要智能卡20的交易累计次数小于可交易次数、交易累计金额小于可交易金额、并且交易时间在可交易时间范围内，即活性字段信息中包括的所有字段均为有效时，才判断该智能卡20的活性字段信息有效。

作为一种可选的实施方式，智能卡20，还用于验证接收到的交易信息中的交易金额是否不大于自身的卡片余额；如果交易金额不大于自身的卡片余额，则继续执行交易流程；如果交易金额大于自身的卡片余额，则终止交易流程。当然，在实际应用中，智能卡20可以具有显示屏，通过显示屏向用户显示卡片余额，用户可以人为判断卡片余额是否足够支付交易金额，在卡片余额不足时不使用智能卡付款。

智能卡20，还用于与后台服务器10建立连接，生成防重放因子，将防重放因子发送至后台服务器10。

作为一种可选的实施方式，智能卡20，还用于在与后台服务器10建立连接之后，根据智能卡20在与后台服务器10在不建立连接的情况下产生的全部交易凭证和自身存储的电子现金生成交易清算信息，将交易清算信息发送至后台服务器10。其中，每条交易清算信息至少包括：至少一条交易凭证；后台服务器10，还用于从智能卡20接收交易清算信息，根据交易清算信息执行电子现金清算。

作为一种可选的实施方式，当交易凭证包括交易信息签名值时，后台服务器10，还用于利用智能卡20的公钥对交易清算信息中的每条交易凭证进行验签，再验签通过后，根据每条交易凭证中的交易信息执行电子现金清算。作为另一种可选的实施方式，当交易凭证包括交易信息密文时，后台服务器10，还用于可以利用解密密钥对每条交易凭证进行解密，得到交易信息明文，并根据每条交易信息明文执行电子现金清算。其中，后台服务器10使用的解密密钥和智能卡20使用的加密秘钥可以为预先协商的对称密钥或非对称密钥。由此，后台服务器10可以通过对交易凭证的验证，来对付款方的身份进行认证。

作为一种可选的实施方式，后台服务器10，还用于向智能卡20下发新的电子现金；智能卡20，还用于接收并储存新的电子现金，在自身的卡片余额上增加新的电子现金的面值。

作为一种可选的实施方式，后台服务器10，用于按预设算法判断智能卡20是否存在异常交易，包括：后台服务器10，用于接收智能卡20发送的交易清算信息，判断智能卡20在与后台服务器10在不建立连接的情况下产生的全部交易信息的交易金额总和是否大于智能卡20自身存储的电子现金的面值，如果后台服务器10在不建立连接的情况下产生的全部交易信息的交易金额总和大于智能卡20自身存储的电子现金的面值，则判断智能卡20存在异常交易。

在具体实施中，以智能卡20为智能卡A举例来说：智能卡A中存储的电子现金的面值为100元，且智能卡A的可交易次数为3次。该智能卡A最多能够连续进行3次脱机的电子现金付款，在3次付款后必须与后台服务器10建立连接并执行电子现金清算流程。智能卡A可以记录卡片余额，在每次付款后，智能卡A可以扣减付款的交易金额，完成当前卡片余额的更新。智能卡A在被正常使用的情况下，连续3次付款的交易金额的总和不会超过100元。在连续3次付款，并进入清算流程之后，智能卡A向后台服务器10发送的交易清算信息中包括上述3次付款对应的3条交易信息以及智能卡A自身存储的电子现金；后台服务器10根据接收到的每条交易信息的交易金额，计算上述3次付款的交易金额总和，并判断交易金额总和是否大于自身存储的电子现金的面值100元。如果交易金额总和大于100元，则后台服务器10判断该智能卡A存在异常交易。由此，如果智能卡A在被不法分子篡改卡片余额，智能卡A可能会出现连续3次付款的交易金额的总和大于100元的情况，此时，后台服务器10在执行电子现金清算时，会判断智能卡A存在异常交易，不再向智能卡A下发更新的活性字段信息，从而使该智能卡A无法再进行下一次的脱机交易，有效地防止不法分子再次进行非法消费。

本实施例中，在智能卡A经过电子现金清算后，智能卡A不存在异常交易的情况下，智能卡A可以从后台服务器10获取新的电子现金。具体地，智能卡A在向后台服务器10发送的交易清算信息中包括上述3次付款对应的3条交易信息以及智能卡A自身存储的电子现金(100元面值)之后，智能卡A可以删除该自身存储的电子现金，或者，智能卡A将该自身存储的电子现金置为不可用。后台服务器10在执行电子现金清算后，向智能卡A智能卡下发新的电子现金(200元面值)。智能卡A接收并存储新的电子现金，并在自身当前卡片余额上增加200元。

Claims

一种基于电子现金的脱机交易方法，其特征在于，包括：

后台服务器从智能卡接收所述智能卡生成的防重放因子；

所述后台服务器按预设算法判断所述智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将所述安全信息和所述安全信息签名发送至所述智能卡；其中，所述安全信息至少包括：防重放因子和活性字段信息；所述活性字段信息至少包括：所述智能卡的可交易次数；

所述智能卡从所述后台服务器接收所述安全信息和所述安全信息签名信息，利用所述后台服务器的公钥对所述安全信息签名信息进行验签，在验签通过后，比对所述安全信息中的防重放因子与所述智能卡生成的防重放因子是否一致，如果一致，则存储所述活性字段信息；

交易终端与所述后台服务器在不建立连接的情况下，与所述智能卡建立连接，向所述智能卡发送电子现金交易应用选择信息；

所述智能卡与所述后台服务器在不建立连接的情况下，接收所述电子现金交易应用选择信息，确定电子现金交易应用激活，并接收所述交易终端发送的交易信息；其中，所述交易信息至少包括：交易金额；

所述智能卡接收所述交易信息后，比较自身存储的交易累计次数与所述智能卡的可交易次数，

如果所述交易累计次数大于或等于所述智能卡的可交易次数，则判断所述活性字段信息无效，终止交易流程；

如果所述交易累计次数小于所述智能卡的可交易次数，则判断所述活性字段信息有效，所述智能卡根据所述交易信息中的交易金额扣减所述卡片余额，将所述自身存储的交易累计次数加1，并对所述交易信息进行计算得到交易凭证，将所述交易凭证送至所述交易终端；

所述智能卡与所述后台服务器建立连接，生成防重放因子，将所述防重放因子发送至后台服务器。
一种基于电子现金的脱机交易方法，其特征在于，包括：

后台服务器从智能卡接收所述智能卡生成的防重放因子；

所述后台服务器按预设算法判断所述智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将所述安全信息和所述安全信息签名发送至所述智能卡；其中，所述安全信息至少包括：防重放因子和活性字段信息；所述活性字段信息至少包括：所述智能卡的可交易金额；

所述智能卡从所述后台服务器接收所述安全信息和所述安全信息签名信息，利用所述后台服务器的公钥对所述安全信息签名信息进行验签，在验签通过后，比对所述安全信息中的防重放因子与所述智能卡生成的防重放因子是否一致，如果一致，则存储所述活性字段信息；

交易终端与所述后台服务器在不建立连接的情况下，与所述智能卡建立连接，向所述智能卡发送电子现金交易应用选择信息；

所述智能卡与所述后台服务器在不建立连接的情况下，接收所述电子现金交易应用选择信息，确定电子现金交易应用激活，并接收所述交易终端发送的交易信息；其中，所述交易信息至少包括：交易金额；

所述智能卡接收所述交易信息后，比较自身存储的交易累计金额与所述智能卡的可交易金额，

如果所述交易累计金额大于或等于所述智能卡的可交易金额，则判断所述活性字段信息无效，终止交易流程；

如果所述交易累计金额小于所述智能卡的可交易金额，则判断所述活性字段信息有效，所述智能卡根据所述交易信息中的交易金额扣减所述卡片余额，将所述自身存储的交易累计金额加上交易金额，并对所述交易信息进行计算得到交易凭证，将所述交易凭证送至所述交易终端；

所述智能卡与所述后台服务器建立连接，生成防重放因子，将所述防重放因子发送至后台服务器。
根据权利要求1或2所述的方法，其特征在于，该方法还包括：

在所述智能卡与所述后台服务器建立连接之后，所述智能卡根据所述智能卡在与所述后台服务器在不建立连接的情况下产生的全部交易凭证和自身存储的电子现金生成所述交易清算信息，将所述交易清算信息发送至后台服务器；其中，每条所述交易清算信息至少包括：至少一条交易凭证；

所述后台服务器从所述智能卡接收交易清算信息，根据所述交易清算信息执行电子现金清算。
根据权利要求3所述的方法，其特征在于，在所述后台服务器从所述智能卡接收交易清算信息，执行电子现金清算后，所述方法还包括：

所述后台服务器向所述智能卡下发新的电子现金；

所述智能卡接收并储存所述新的电子现金，在自身的卡片余额上增加所述新的电子现金的面值。
根据权利要求4所述的方法，其特征在于，所述后台服务器按预设算法判断所述智能卡是否存在异常交易，包括：

所述后台服务器接收所述智能卡发送的交易清算信息，判断所述智能卡在与所述后台服务器在不建立连接的情况下产生的全部交易信息的交易金额总和是否大于所述智能卡自身存储的电子现金的面值，如果所述后台服务器在不建立连接的情况下产生的全部交易信息的交易金额总和大于所述智能卡自身存储的电子现金的面值，则判断所述智能卡存在异常交易。
一种基于电子现金的脱机交易系统，其特征在于，所述系统包括：后台服务器、智能卡和交易终端；

所述后台服务器，用于从所述智能卡接收所述智能卡生成的防重放因子；按预设算法判断所述智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将所述安全信息和所述安全信息签名发送至所述智能卡；其中，所述安全信息至少包括：防重放因子和活性字段信息；所述活性字段信息至少包括：所述智能卡的可交易次数；

所述智能卡，用于从所述后台服务器接收所述安全信息和所述安全信息签名信息，利用所述后台服务器的公钥对所述安全信息签名信息进行验签，在验签通过后，比对所述安全信息中的防重放因子与所述智能卡生成的防重放因子是否一致，如果一致，则存储所述活性字段信息；

交易终端，用于在与所述后台服务器在不建立连接的情况下，与所述智能卡建立连接，向所述智能卡发送电子现金交易应用选择信息；

所述智能卡，还用于在与所述后台服务器在不建立连接的情况下，接收所述电子现金交易应用选择信息，确定电子现金交易应用激活，并接收所述交易终端发送的交易信息；其中，所述交易信息至少包括：交易金额；比较自身存储的交易累计次数与所述智能卡的可交易次数，如果所述交易累计次数大于或等于所述智能卡的可交易次数，则判断所述活性字段信息无效，终止交易流程；如果所述交易累计次数小于所述智能卡的可交易次数，则判断所述活性字段信息有效，根据所述交易信息中的交易金额扣减所述卡片余额，并将所述自身存储的交易累计次数加1，并对所述交易信息进行计算得到交易凭证，将所述交易凭证送至所述交易终端；与所述后台服务器建立连接，生成防重放因子，将所述防重放因子发送至后台服务器。
一种基于电子现金的脱机交易系统，其特征在于，所述系统包括：后台服务器、智能卡和交易终端；

所述后台服务器，用于从所述智能卡接收所述智能卡生成的防重放因子；按预设算法判断所述智能卡是否存在异常交易，如果不存在异常交易，则利用后台服务器的私钥对安全信息进行签名，生成安全信息签名，将所述安全信息和所述安全信息签名发送至所述智能卡；其中，所述安全信息至少包括：防重放因子和活性字段信息；所述活性字段信息至少包括：所述智能卡的可交易金额；

所述智能卡，用于从所述后台服务器接收所述安全信息和所述安全信息签名信息，利用所述后台服务器的公钥对所述安全信息签名信息进行验签，在验签通过后，比对所述安全信息中的防重放因子与所述智能卡生成的防重放因子是否一致，如果一致，则存储所述活性字段信息；

交易终端，用于在与所述后台服务器在不建立连接的情况下，与所述智能卡建立连接，向所述智能卡发送电子现金交易应用选择信息；

所述智能卡，还用于在与所述后台服务器在不建立连接的情况下，接收所述电子现金交易应用选择信息，确定电子现金交易应用激活，并接收所述交易终端发送的交易信息；其中，所述交易信息至少包括：交易金额；比较自身存储的交易累计金额与所述智能卡的可交易金额，如果所述交易累计金额大于或等于所述智能卡的可交易金额，则判断所述活性字段信息无效，终止交易流程；如果所述交易累计金额小于所述智能卡的可交易金额，则判断所述活性字段信息有效，根据所述交易信息中的交易金额扣减所述卡片余额，并将所述自身存储的交易累计金额加上交易金额，并对所述交易信息进行计算得到交易凭证，将所述交易凭证送至所述交易终端；与所述后台服务器建立连接，生成防重放因子，将所述防重放因子发送至后台服务器。
根据权利要求6或7所述的系统，其特征在于，

所述智能卡，还用于在与所述后台服务器建立连接之后，根据所述智能卡在与所述后台服务器在不建立连接的情况下产生的全部交易凭证和自身存储的电子现金生成所述交易清算信息，将所述交易清算信息发送至后台服务器；其中，每条所述交易清算信息至少包括：至少一条交易凭证；

所述后台服务器，还用于从所述智能卡接收交易清算信息，根据所述交易清算信息执行电子现金清算。
根据权利要求8所述的系统，其特征在于，

所述后台服务器，还用于向所述智能卡下发新的电子现金；

所述智能卡，还用于接收并储存所述新的电子现金，在自身的卡片余额上增加所述新的电子现金的面值。
根据权利要求9所述的系统，其特征在于，

所述后台服务器，用于按预设算法判断所述智能卡是否存在异常交易，包括：

所述后台服务器，用于接收所述智能卡发送的交易清算信息，判断所述智能卡在与所述后台服务器在不建立连接的情况下产生的全部交易信息的交易金额总和是否大于所述智能卡自身存储的电子现金的面值，如果所述后台服务器在不建立连接的情况下产生的全部交易信息的交易金额总和大于所述智能卡自身存储的电子现金的面值，则判断所述智能卡存在异常交易。