專利名稱:網(wǎng)絡支持的芯片卡交易方法
技術領域:
本發(fā)明涉及一個在使用公共數(shù)據(jù)網(wǎng)絡的情況下借助于芯片卡電子特別是通過付款結算,結算款項的方法和裝置����。
現(xiàn)有技術為了支付款項,具有嵌入的處理器或者存儲器的卡作為已知的芯片卡使用��。對此應了解不同的卡體種類的數(shù)目��,這些卡體已知作為“信用卡”�、“信用卡”、預先支付的貨幣卡或者作為具有一個可存入的電子錢包的貨幣卡�。
在許多國家如今使用貨幣卡解決方案�,該解決方案總是國家發(fā)展并且規(guī)定的�,例如芬蘭的“Avant”、丹麥的“Danmnt”���、德國的具有芯片的EC卡���,奧地利的“Quick”。該解決方案在技術和方法上是彼此不相合的���。
信用卡體系當時測試了國際上可以獲得使用的解決方案�,例如威薩的“Visacash”��、萬事達卡的“Mondex”��、Europay的“Clip”���、美洲速遞的“Proton”。該解決方案同樣是彼此不相合的����。雖然這組供應商規(guī)定了一個公共的、在操作條款“EMV”下當時已知的標準�����,可是對此未考慮已經(jīng)發(fā)行的卡和在交易中已存在的解決方案。
這表明�,一部分這樣的卡雖然一般完全使用了相同的硬件設備,可是在接納芯片卡的終端中區(qū)別在于不同的軟件程序與軟件協(xié)議和特殊的安全模塊�。因此解決方案表明,在該方案中一個在支付過程中服務于芯片卡模塊的芯片卡終端配備了一定數(shù)目的不同軟件模塊����,并且連接在多個安全模塊上??墒牵@種解決方案因為昂貴并且不靈活���,所以不適合于平面遮蓋式的部件�����。
本發(fā)明的任務在于��,給出一個解決方案��,在該解決方案中大部分不同的芯片卡可以表面遮蓋地使用���,否則必須為所有這些芯片卡配備全部的終端���。
發(fā)明描述本發(fā)明使用了這樣的芯片卡終端,其連接在一個公共的數(shù)據(jù)傳輸網(wǎng)上�����,通過該數(shù)據(jù)傳輸網(wǎng)芯片卡終端可以與不同的結算機建立一個手操作保護的連接����,其中,從通過芯片卡確定的交易的類型中確定結算機����。
附圖的簡短描述
圖1在一個具有按照本發(fā)明的芯片卡的交易結算中關于組成部分的一個概要的方框圖。
圖2與圖1一致的現(xiàn)有技術的描述��。
發(fā)明描述在圖2中描述了一個已知的用于以芯片卡付款的交易結算的裝置�����。對此����,在下面付款代表各種交易,在這些交易中重視準確的結算����。作為芯片卡例如按照IS0 7816-1、-2��、-3這樣使用��。
此外����,芯片卡10a、10b�、和10c可以與終端11a、11b����、11c連接。每個終端包含一個結算機13a���、13b1���、13b2、13c����,該結算機與各一個安全模塊14a�����、14b1��、14b2���、14c連接。已指出的結構涉及二個付款網(wǎng)15a�、15c,在這二個付款網(wǎng)中主機16a���、16c自身總是包含一個安全模塊17a����、17c�����,并且主機通過一個另外的網(wǎng)絡18可以互換相互間的交易數(shù)據(jù)���。主機在安全的環(huán)境中通過例如嚴格的輸入控制可以代替安全模塊運作,并且密鑰擺脫了通常的數(shù)據(jù)傳輸。網(wǎng)絡15a����、15c例如是X25/數(shù)據(jù)交換-P-網(wǎng)絡,并且大部分作為連接的用戶組處理����。終端11a分配給主機16a,終端11c分配給主機16c���,并且因此僅可以管理主機支持的方法�。在一般情況下各自的結算機13a���、13c對于供應者或服務性機構���、以后的交易方式是特定的。對此在下面主機也代表分層的或者多回路計算機網(wǎng)絡���,對于這樣的網(wǎng)絡主機表示為入口和接口����。
為了因此可以在終端11b中使用二個不同的卡應用于二個不同的業(yè)務�,在終端11b中含有了二個結算機13b1��、13b2�����,這二個結算機分別與一個自身的安全模塊14b1���、14b2連接,并且具有一個自身的��、在各自的網(wǎng)絡15a�、15c上存在的網(wǎng)絡接口。
只要存在僅僅少量的終端和少量的業(yè)務�,則在一個終端中多倍的結算機的浪費是可能的。
現(xiàn)在本發(fā)明把結算機從終端中分離����,并且如同在圖1中描述的一樣的裝置。在這種情況下��,終端11a′�,11b′,11c′不再包含以前形式的結算機��。僅僅存在一個不單獨說明的操作程序����,其導致同芯片卡10a�����、10b、10c通信���,并且用于與不同的結算機13a′��,13c′的安全連接��。
一個公共的網(wǎng)絡12在終端11a′�、11b′�、11c′與結算機13a′,13c′之間承擔數(shù)據(jù)交換���,結算機就象以傳統(tǒng)的方式一樣通過獨特的網(wǎng)絡15a���,15c與主機16a,16c合作���。通過這些網(wǎng)絡可以此外并且附加操作芯片卡終端��。
該網(wǎng)絡12主要是一個公共的網(wǎng)絡��,在下面該網(wǎng)絡通過因特網(wǎng)和IP協(xié)議族體現(xiàn)�����。通過普通的可支配性和公共的結構體系����,終端11a′,11b′和11c′中的每一個都可能毫無困難地到達結算機中13a′����,13c′的每一個。只要在網(wǎng)絡中可以聯(lián)系一個適當?shù)慕Y算機���,每個終端現(xiàn)在可以到達每個結算機��,這還要詳細說明�����,并且因此采用芯片卡���,并且管理交易���。因為可以訪問多個終端,并且僅僅一個唯一的結算機的一次安裝直接提供給所有的終端使用�,所以在一個場所提供多個結算機也是合理的,比如在圖1中對結算機的描述����。
此外�����,操作程序必須在終端中附加確定芯片卡的形式��,也就是說業(yè)務或者所使用的交易協(xié)議���,并且因此確定一個可行的結算機���。這些通過對芯片卡的讀出實現(xiàn)。芯片卡也可以支持多個業(yè)務�;在這種情況下,如果沒有內(nèi)部地決定���,終端必須詢問用戶����,希望通過哪一種業(yè)務支付。在一個具有可電子存入的貨幣錢包的信用卡中��,例如可以經(jīng)常從該貨幣錢包中注銷20馬克以下的款項����,并且可以從信用卡功能中注銷高額款項。
此外����,從所希望的業(yè)務中例如形成一個“統(tǒng)一資源定位”,(URL)�。這通過終端中的一個表或者通過在一個結算機上的詢問確定。就此而言�����,URL的使用是有益的���,因為其使終端中的表是必不可少的����,此外因為網(wǎng)絡功能對該業(yè)務確定最近的結算機。適合于美洲速遞的一個金信用卡的URL的內(nèi)容可以是“https//de.amexco.com/credit/gold/humburg”��,其中���,“https”表明在終端與結算機之間數(shù)據(jù)傳輸?shù)膮f(xié)議���。在URL中,正如在本實例中可以看出的����,所在位置不僅可以按計算機名稱“de.amexco.com”編碼,而且可以按城市編碼�����。通過計算機名稱的編碼�,在USA中雖然要求也許關于中央局的認可的名稱服務器的因特網(wǎng)地址���,可是該服務器可以指向德國的計算機���,因此不管中央的名稱管理而調(diào)用一個非中央布置的結算機。單是對于以計算機名稱的交易協(xié)議來說編碼的應用就提供了如此完美的一個從終端到結算機的靈活的連接����。
此外�����,一個防止手操作象故意的���、有目的的篡改或探察應用了一個保護協(xié)議。對此��,從1996年3月起����,在A.E.Freier、Ph.Karlton和P.C.Kocher的方案“SSL協(xié)議3.0版”中范例包含一個如此的協(xié)議簇�,其例如在1997年3月10日,在“Internet Engineering TaskForce”(IEET)中�,在URLfpt//ietf.cnri.reston.va.us/internet-drafts/draft-freier-ssl-version3-01.txt下可以被調(diào)用。為了確保相互的真實性��,并且為了防止手操作和探察使傳輸?shù)臄?shù)據(jù)安全��,這個協(xié)議允許使用多個密碼協(xié)議和方法����。
首先���,在終端11a′中使用了一個安全模塊19a,在該模塊中存儲用于建立SSL連接的一個秘密的密鑰����,該密鑰對于這個終端來說是唯一的和有特征的。在已知的方式中����,在一個對稱方法的情況下這個密鑰存儲在每個結算機的一個安全模塊中,終端通過該結算機可以著手連接�。可是優(yōu)先使用非對稱的方法�,在該方法中,僅僅在終端的安全模塊中存儲一個私人的密鑰���,并且由此得出的密鑰作為所謂的公共密鑰提供給結算機使用,并且僅僅必需通過一個已知的措施來關心其真實性��。安全模塊在終端中對于同結算機的連接的安全來說也是必須的�,同時安全模塊在結算機中還用于芯片卡交易的保護和因此包含的傳統(tǒng)的密鑰管理。
在本發(fā)明的一個改進中����,終端的安全模塊作為密鑰的緩沖存儲器使用�����,其與一個結算機的程序模塊一起獲得����。這個程序模塊可以在使用從安全模塊中得出的密鑰的情況下局部管理一個通過芯片卡的交易��。涉及一個貨幣卡��,因此款項也象通常在一個貨幣卡中一樣存放在安全模塊中���,并且秘密安全地傳遞給晝夜終端機����。對此該傳遞主要在結算機上實現(xiàn)�����,其把程序模塊傳輸給終端�����,并且通過安全的網(wǎng)絡連接傳輸程序模塊或附屬的密鑰���。為了增加效率可以存在多個功能相同的結算機��,當然在這個意義上這些結算機應當看作同一個結算機����。
雖然一些卡片類型可以局部管理全部的交易,可是必需按照交易終端通過一個網(wǎng)絡傳遞交易組給中央局�����,在這種情況下也可以由結算機傳遞一個程序模塊���,并且在終端中實施��,該終端然后把交易組發(fā)送給其結算機�。對于每個交易來說�����,通過網(wǎng)絡的安全連接傳輸包括密鑰的程序模塊�����,代替逐個傳輸交易步驟可能是有絕對意義的�����。特別是在一個數(shù)據(jù)格式定向的網(wǎng)絡����,比如互聯(lián)網(wǎng)中,在該網(wǎng)絡中附帶的延遲是不可能排除的����,在交易的開始或結束可能出現(xiàn)等待時間,而不是在各個交易步驟之間�����。
此外���,程序模塊針對傳統(tǒng)的海量存儲器��,可是為了安全����,防止手操作���,對程序模塊簽名����,并且也許可以編碼,其中用于檢查簽名的適當?shù)拿荑€也存儲在安全模塊中�。通過卡的種類或由此得出的代碼實現(xiàn)程序模塊的選擇。終端和安全模塊也可以看作緩沖存儲器(‘cache’)�����。特別是當安全模塊部分用作緩沖存儲器時���,一個實際上任意多數(shù)的芯片卡可以與終點連接�����,并且這個數(shù)目可以在終端上沒有維護工作動態(tài)地擴展��,這意味著加入一個另外的安全模塊��。
對此�����,協(xié)議“HTTP”或者其安全的變型“HTTPS”允許一個特別簡短的緩沖可能����。由Bernes-Lee及其他人在HTTP/1.0中描述的文獻RFC1945中���,1996年3月版在10.9章中含有了補充“if-modified-since”��。如果文獻在新的版本中存在��,并且可以用于中間站的緩沖��,則改寫以這種方式要求的文獻����。這也是可能的����,即包裝、編碼并且簽名包含必須的密鑰的一個程序模塊����,并且把該程序模塊供給通過一個URL標明的網(wǎng)絡名。通過引入芯片卡����,關于芯片卡類型代碼的存在程序確定一個URL,補充存在的、緩沖類型的數(shù)據(jù)�����,并且給結算機發(fā)送一個請求����。如果緩沖類型是當前的,則僅傳輸應答代碼“304”��,并且使用緩沖的類型�。否則分解、保存并執(zhí)行傳輸?shù)念愋汀?br>
在一個另外的變型中���,在安裝之前也可以在終端中這樣保存程序模塊和密鑰�����,好象二者是通過網(wǎng)絡連接傳輸和緩沖的�����。這對于已知經(jīng)常的或者主要使用的應用來說是一個可能��,即降低網(wǎng)絡負載�����。指示器也可以在緩沖存儲器管理中如此表明這個輸入�,即在緩沖存儲器中避免一個置換,或應當完全停止一個置換�。在通過芯片卡確定的結算機中的各個詢問����,即是否在那存在一個新的類型對此是沒有涉及并且可能替換預先存儲的類型。
正如已說明的��,程序模塊優(yōu)先與一個或多個密鑰一起從結算機傳輸?shù)浇K端中����。可是這也是可能的�,即如果例如因此提高的網(wǎng)絡負載迎合了提高的靈活性,則分開管理和操縱程序模塊和密鑰����。
通過在終端中與限制芯片卡相比升高的計算能力,其在迄今發(fā)行的并繼續(xù)使用的芯片卡中沒有給出?,F(xiàn)在也可以使用保護數(shù)據(jù)通信的公共的加密方法,特別提會議密鑰的證實和產(chǎn)生��。此外,另外的說明也可以引用SSL文獻和在那提及的參考文獻��。按照標準X509.3的證書也可以用于公共密鑰的證明����。
安全模塊可以作為芯片卡或作為從GSM移動電話中公開的SIM模塊實施。例如在西門子公司的芯片SL44CR80S的基礎上的特殊制造也是可以的��。
當在終端和結算機之間建立安全的連接之后�����,操作程序在結算機和芯片卡之間發(fā)送通信����。在大多數(shù)的情況下,操作程序的數(shù)據(jù)塊以網(wǎng)絡連接協(xié)議轉(zhuǎn)換并透明地發(fā)送�����?���?墒窃谠S多情況下,需要與一個用戶的通信�,說明芯片卡的擁有者���,因此用戶適當?shù)孬@得交易的價值,并可以接著確認交易�����。對此��,在終端上優(yōu)先規(guī)定了象鍵盤和顯示器一樣的輸入和輸出設備��。這些設備通過安全的連接供結算機使用���,因為僅結算機具有交易的真實的價值。操作程序可以有選擇地從芯片卡與結算機之間的通信中確定這些數(shù)據(jù)����,并且自身顯示,并且發(fā)送證實給結算機���。
一個個人計算機也可以作為終端�����,用芯片卡的一個讀出設備裝備該計算機�����。終端的操作程序從PC的處理器上輸出�,并且因此附加訪問顯示屏和鍵盤。因此�,特別是在人機對話的情況下,例如通過進入互聯(lián)網(wǎng)和世界范圍的網(wǎng)��,引起一個支付過程�����。因此特別有益的是����,為了在芯片卡和結算機之間的通信本發(fā)明可以使用同一個世界網(wǎng),即互聯(lián)網(wǎng)����,該網(wǎng)已經(jīng)用于人機對話。為支付而使用的芯片卡的讀出設備優(yōu)先包含一個自身的處理器和一個安全模塊�����,主要是一個另外的�����、嵌入的芯片卡的形式。讀出設備上的處理器接收在芯片卡和結算機之間的通信��,并且轉(zhuǎn)向用于與用戶人機對話的私人計算機的處理器��。
只要對于個人計算機的用戶來說對此可以達到的安全程度是可接受的�,則也可以放棄一個特殊安全模塊和讀出設備上的一個處理器。這是這種情況����,即如果PC不是普遍的,而是僅僅少量已知的人可訪問的����,并且不擔心操作程序的篡改���,比如在私人寓所中表明的����。當例如對于通信形成按照Diffie和Hellmann方法的會議密鑰時����,對于與結算機的通信的手操作保護來說也可以完全放棄常設的秘密的密鑰����。按使用情況可以想象���,對于結算機終端的真實性不是絕對必要的����,因為管理通過芯片卡的真正的交易�����。
可以在貨物或業(yè)務執(zhí)行自動裝置中安裝一個按照本發(fā)明的終端��,包括信息終端��,代替例如在與銀行或個人計算機的連接中的特殊終端���。輸入和輸出單元例如是貨物的選擇按鍵和選擇的貨物的輸出機械裝置�����。
也可以想象��,發(fā)行芯片卡���,其與另外的應用相比包含用于按照例如SSL協(xié)議的一個安全的互聯(lián)網(wǎng)連接的會議密鑰的產(chǎn)生�。因此�,在芯片卡的讀出設備上的輸入計算機上即不需要一個自身的處理器還不需要一個安全模塊。
在圖1中沒有說明�����,每個主機16a��、16c也可以與公共的數(shù)據(jù)網(wǎng)12連接���,并且直接支持結算功能����,只要讀出沒有提及安全模塊���。
本發(fā)明的一個特殊的優(yōu)點在于,僅僅必須適應結算機�,或者必須提供附加的結算機,交易結算和主機應用16a����、16c的網(wǎng)絡15a�����、15c可以沒有改變地存在����,因此目前的應用可以沒有改變地繼續(xù)運行�����。
因為附加一個芯片卡閱讀機的終端也可以配備一個磁卡閱讀機或者一個組合閱讀機��,因此在一個改進中擴展操作程序�����,其可以傳輸磁道的數(shù)據(jù)���,并且可能把存在的安全并且傳輸給結算機��。因此����,目前的、基于磁盤種類的方法可以繼續(xù)使用���。在相同的方式中這也適合于沒有處理器的芯片卡�����,該芯片卡允許讀一個存儲器���,并且允許該寫一個存儲器。象這些卡根據(jù)業(yè)務建議的�,可以適當?shù)亟档途W(wǎng)絡中結算機的數(shù)目。
以此給出一個安全優(yōu)點�,對于建議的結算所必需的秘密的密鑰不再必須存儲在終端中。目前這導致����,為了立即使安全模塊上的入侵者氣餒,在公共的裝置中特別保護終端����。在一個僅僅涉及在終端與結算機直接的通信的安全上的成功作用,與在一個傳統(tǒng)的安全模塊上的作用相比有一點重要的影響���。結算機也可以作為高效計算機上的處理器運行,因此一個特別快的反應是必須的,并且多個結算機可以使用一個公共的快速安全模塊���。
權利要求
1.交易結算的方法�,通過一個芯片卡保證該交易�����,該芯片卡可以與一個終端連接�,該終端連接在一個數(shù)據(jù)網(wǎng)絡上,具有的特征為-終端包含一個操作程序����,該操作程序在芯片卡與終端連接之后確定一個用于交易方法的代碼,根據(jù)該交易方法實施交易����,-從交易方法的代碼中確定結算機的網(wǎng)絡地址,-對此建立一個通過秘密方法保證的到結算機的連接��,-接著通過在芯片卡與結算機之間的連接進行結算交易�����。
2.按照要求1的方法���,其中��,特別為了證實交易�����,對于結算機來說通過在終端與結算機之間的數(shù)據(jù)通信可以使用連接在終端上的輸入和輸出單元����。
3.按照要求1或2的方法,其中�,結算機不僅為了保證與終端的連接,而且也為了保證通過芯片卡的交易而使用至少一個直接連接的安全模塊的保護密鑰�����。
4.按照要求3的方法���,其中����,終端為了保證與結算機的連接而使用一個直接連接的安全模塊的保護密鑰�����。
5.按照要求4的方法,其中�,為了保證在終端與結算機之間的連接�����,使用了芯片卡和一個安全的在芯片卡中存儲的密鑰��,借助于該密鑰確定了交易的另外的結算的一個會議密鑰�����,或驗證一個公共的密鑰���。
6.按照要求1至5之一的方法�����,其中���,為了連接終端與結算機使用了一個TCP/IP協(xié)議。
7.按照要求6的方法��,其中��,為了保證TCP/IP連接使用了協(xié)議SSL。
8.按照要求1至7之一的方法��,其中�����,通過詢問一個分配給終端的結算機確定一個適合于交易方法的結算機的網(wǎng)絡地址��。
9.按照要求1至7之一的方法��,其中���,以此確定適合于交易方法的結算機的網(wǎng)絡地址�����,即交易方法把代碼作為一個象征的網(wǎng)絡地址的部分使用���,通過屬于網(wǎng)絡的確定網(wǎng)絡地址的服務器分析該網(wǎng)絡地址。
10.按照要求2至9之一的方法�����,其中�,終端的操作程序要求用戶輸入一個秘密的字符鏈���,特別是在使用秘密的方法的情況下該字符鏈檢查一個參考值,并且僅僅把檢查的結果通過安全的連接傳輸給結算機�。
11.按照要求1至9之一的方法,其中����,借助于連接�����,程序模塊從結算機傳輸?shù)浇K端���,并且在那代替結算機的至少一部分的程序代碼進行運行�����。
12.按照要求4至9之一的方法��,其中�,借助于連接�,結算機的一個密鑰傳輸?shù)桨踩K中,并且密鑰用于保證至少一部分的通過芯片卡交易的結算����。
13.按照要求11或12的方法��,其中��,以緩沖存儲器的方式在終端中存放由結算機傳輸?shù)某绦蚰K和密鑰�,并且代替一個更新的傳輸使用�����。
14.按照要求13的方法�,其中,在使用一個緩沖的程序模塊或密鑰之前通過詢問結算機檢查現(xiàn)實性����,并且也許可能傳輸并以后使用當前的方案。
15.按照要求14的方法����,其中,協(xié)議HTTP或HTTPS用于對現(xiàn)實性的檢查的請求����。
16.用于交易結算的裝置,通過一個芯片卡保證該交易�����,該芯片卡可以與一個終端連接,該終端連接在一個數(shù)據(jù)網(wǎng)絡上�,具有的特征為-終端包含一個設備,其借助于芯片卡同終端的連接確定要使用的交易方法的代碼���,-通過一個用于地址生成的裝置����,從代碼中對一個通過數(shù)據(jù)網(wǎng)絡可聯(lián)系的結算機定址��,-終端包含一個連接設備��,其能夠建立到結算機的連接��。-終端和結算機包含一個裝置�,通過該裝置可以保證在終端與結算機之間的連接����,防止手操作。-結算機包含一個設備��,在連接終端的情況下該設備允許安全地結算通過芯片卡的交易���。
17.按照要求16的裝置�����,其中���,終端包含輸入�、輸出裝置��,在結算交易期間通過網(wǎng)絡結算機可以使用這些裝置��。
18.按照要求要求16或17的裝置����,其中,結算機至少包含一個用于安全存儲秘密的密鑰的設備���,該密鑰不僅用于保證同終端的操作程序的通信���,而且也保證通過芯片卡的交易。
19.按照要求18的裝置�����,其中,終端包括一個用于安全存儲密鑰的設備�,該密鑰用于保證與結算機的連接。
20.按照要求19的裝置�,其中,芯片卡包括一個設備��,通過該設備在終端中可以產(chǎn)生一個用于保證在終端和結算機之間的連接的會議密鑰����。
全文摘要
通過一個公共的數(shù)據(jù)網(wǎng)絡,以防止手操作的安全的傳輸方法,用于結算付款的終端可以與多個結算機連接,其中從交易的方式中確定結算機。
文檔編號G07F19/00GK1250536SQ98803322
公開日2000年4月12日 申請日期1998年2月3日 優(yōu)先權日1997年3月12日
發(fā)明者G·韋勒 申請人:西門子尼克斯多夫資訊系統(tǒng)公開股份有限公司