对存贮在IC卡中的标记值作再估价的系统和方法

摘要

通过与远程设置上操作上兼容的终端进行联机交易对话，在私人场所执行一项包括改变存贮在持卡人的IC卡中的标记值的交易的一个终端。该私人终端建立与此IC卡和此远程终端的数据链路，并经由这些数据链路在相互之间传送保密的认证与交易信息，信息的保密性依赖于IC卡和远程终端。

说明书

本发明的背景

本发明一般相关于对存贮在IC(识别码)卡—也称作智能卡—中的标记信息(诸如“电子货币”或“服务使用信贷”如电话使用信贷)联机进行再估价的系统和方法，详细地说，相对于对一私人场所中进行这种再估价的系统和方法。

IC卡的一种公认用途是存贮标记信息，使持卡人在作非现金交易时使用。用于该目的的IC卡及其相关的交易终端采用了日益复杂的保密系统，来防止未经授权制造卡、发行卡，或欺骗性地使用卡。例如，参看Nakano的美国专利4,810,862和4,839,504，这两篇专利介绍了在IC卡的制造与发行过程中引进、其后在认证卡及持卡人时采用的保密特征。

一些商业应用发行的一个IC卡带有一个初始的标记值以及卡逻辑或编程设计，它只允许递减存贮的标记值，直到完全用光，此后将该卡弃置，必须再买一张新卡。

其它商业应用发行的一个IC卡带有一个初始的标记值以及允许再估价，即不仅能减少标记值，也能使其增加的卡逻辑或编程设计。这些应用已众所皆知，人们通常称其为“电子钱包”。

在某些电子钱包应用中，IC卡只能在保密的再估价站作再估价，例如完善的自动化出纳机(见上述参考专利中Nakano的US4839504)，或与一台技术先进的主机联机运行的专用资金传输终端(见Mansvelt的美国专利5,175,416)。这些保密的再估价站能够充分地利用卡和终端的保密特征，并且通常保持在保密环境下，以防止欺骗性使用以及阻止未经授权使用技术先进的探测保密特征，这些保护特征在其后可能被用于关闭作为欺骗性卡发行或再估价系统一部分的再估价站。

IC卡作为电子钱包使用的一个局限性，是持卡人在用它完成交易之前不能容易地确定卡中剩余的货币标记值。如果存贮的货币标记值不足以支付购买值，持卡人就必须取消这桩交易，或者用其它方式支付。另一个局限性是持卡人通常必须到有专门的终端地点往卡里增加货币标记值，使得使用电子钱包的方便程度和在ATM(自动出纳机)提取实际货币(即政府发行的证券)一样。

允许一电子钱包IC卡在一私人处，如家庭或办公室中进行再估价的需求在Ugon的美国专利4,656,342中已被认可。该专利也考虑到通常需要将若干标记结合在一张电子钱包IC卡中，并且每个标记与由一授权单位所提供的一项特定服务相关。除了通常为用于在经授权的电子钱包交易终端处购买货物和享受服务而存入的一个现金标记值外，电子钱包也可以有如电话使用标记值，它可以在装有已授权的IC卡接口设备的公用电话上使用。

在Ugon的美国专利4,656,342中描述的电子钱包再估价过程包括将基于声音的通话与专门的接线员结合起来，以请求该专门的接线员对持卡人的电子钱包IC卡中的现金标记值或其它已授权的标记值作再估价。这样，接线员和持卡人在持卡人所在处的一个IC卡接口单元和接线员所在之处的一个授权终端之间建立了一个电话数据链路，从而接线员允许使用该授权终端和持卡人的卡接口单元来执行专门的卡和服务认证功能，如果成功地执行该功能后，那么就会导致IC卡自身将一个新的标记值写入到相关的标记值存贮单元。

本发明的目标

本发明的一个主要目的是提供一个改进的系统和方法，用于由持卡人在私人场所对IC卡上存贮的一个或多个标记值作再估价。本发明的另一个目的是提供一个改进的私人交易终端，用于执行与IC卡相关的交易操作。

本发明的特性和优点

本发明的一个方面描述一种方法的特征，该方法通过与远程操作上兼容的终端进行联机交易对话，实现在私人场所将向持卡人发行的IC卡中存储的标记值作出改变。该方法采用的IC卡具有一个微控制器及相关的微控制器程序存贮器、用于标记值数据和卡保密数据的保密保护存贮单元、一个数据通讯接口、以及存贮在所述程序存贮器中的预先安排的卡保密程序，这些都是为了在与交易有关的数据读出和写入操作时，对持卡人和终端向保密保护存储单元存取进行保密管理。

在远程处的操作上兼容的终端包括一个数据通讯接口和与所述预先安排的卡保密程序兼容的预先安排的交易保密程序。

应该理解，IC卡既可以只存储一个标记值，即一个现金标记，也可以有许多标记值。还应该理解“IC卡”和“智能卡”两个术语可以交替地用来描述本发明。

本发明的方法包括：首先，在所述IC卡中建立一个与所述数据通讯接口的卡数据链路，接着，经所述卡数据链路将持卡人数据保密信息传送到所述IC卡，使得所述卡保密程序产生保密的持卡人识别数据。该方法也包括在远程位置建立一个与一外部终端的终端数据链路，然后经由所述卡数据链路和所述终端数据链路，在所述IC卡和所述外部终端之间传送保密交易信息，包括来自所述持卡人的标记变化向量数据，使得所述IC卡和所述外部终端执行相互认证功能并进行保密标记值变化交易。

当IC卡和远程终端之间的交易完成之后，该方法继续进行，经由所述卡数据链路读出一个存贮在所述IC卡中的修改了的标记值，然后将所述修改了的标记值传送到所述持卡人。通过使所有的安全认证和交易信息数据项目都出自IC卡自身，并且经由一个远程数据链路简单地传送这些信息，本发明的方法能够以简便的方式对IC卡的标记作远程再估价，并且便利在交易的持卡人端使用简单便宜的硬件。本发明的另一方面描述了一个用于在私人场所进行一桩交易的终端特性，该交易包括通过与一远程位置的一个操作上兼容终端进行联机交易通话向一持卡人发行的存储在IC卡中标记值作出改变。该IC卡和操作上兼容终端具有上面所描述的特性。

持卡人使用的私人终端包括在所述IC卡中建立与所述数据通讯接口的一个卡数据链路的装置，以及用于接受一个保密数据项的持卡人入口，并且将所述保密数据项经由所述卡数据链路传送到所述IC卡，以使得所述卡保密程序准备并返回持卡人和卡认证数据项的装置。

私人终端另外还包括用于使所述持卡人启动一桩标记值变化交易的装置，其中包括用于接受标记变化向量的持卡人项目的装置，以及响应所述持卡人启动一个标记变化交易的装置，此装置用于经由一个公共交换电话网络建立与一远程位置的一个外部终端的终端数据链路。

私人终端的另一部件是经由所述卡数据链路和所述终端数据链路在所述IC卡和所述外部终端之间进行一系列保密信息传送的装置。这些信息包括使所述IC卡和所述外部终端进行各自的终端认证和IC卡认证程序的保密认证信息，以及包含所述标记变化向量以使得所述IC卡和所述外部终端能执行一个保密的标记值变化交易的保密交易信息。

私人终端还包括经由所述卡数据链路读出一个存贮在所述IC卡中的修改了的标记值、并将所述修改后的标记值传送给所述持卡人的装置。该传送装置可以是一台字母数字显示器，或一台打印机，或一台计算机产生的声音读出器。

本发明的私人终端具有简单、便宜的优点，因为IC卡和远程终端构成所有的保密信息，并且用主要起信息传送机构作用的私人终端来处理被编程的交易活动。由于私人终端自身不能与IC卡相互作用来进行任何交易活动，这就减小了欺骗的危险。该私人终端不必保持在保密环境中，因而这种终端可以分布在持卡人家中、办公室中和其它私人场所使用。

本发明的私人终端也并非仅供特定的持卡人使用，而是可以由持有可兼容IC卡的任何持卡人使用。因此，尽管私人终端可以做成手持式的，但没有必要这么做。在每个办公场所的一台唯一的终端可供许多持卡人使用，来读出他们的卡上的标记值，以及采用该终端的设施，根据需要来重新估价标记值。

在IC卡上存贮了远程终端电话号码和其它银行数据后，私人终端能基本上起到无声通讯终端的作用，用于其它银行交易以及在IC卡上的标记再估价。一旦在一保密的基础上远程终端和IC卡交换了帐号和其它数据后，远程终端和私人终端能与远程终端提供的银行功能信息和由持卡人所作的功能选择交互作用。当然，在私人终端为个人ATM型交易提供的智能等级是任选的。例如，私人终端可以包括有关结帐审核、小型财务报表核算、存款和支票付款核算等等基本的功能键。

本发明的其它目的、特征和优点，根据下面本发明实施例所作的详细描述会得到清楚的了解。

附图的概要描述

图1的基本系统图示出了关于本发明的有用的现有技术的卡发行系统的一些单元；

图2A和2B的基本系统图示出了关于本发明有用的现有技术的交易系统点的一些单元；

图3是本发明的私人再估价和交易系统的一个基本系统图，该系统在实施本发明的方法中是有用的；

图4的方框图示出了根据本发明并实施本发明方法的一个系统的单元和模块；

图5示出了根据本发明一个智能卡数据连接结构有用的一部分；

图6A-6C的流程图示出了根据本发明在私人终端执行的方法步骤；

图7A和7B的流程图示出了根据本发明在智能卡中执行的方法步骤；

图8的流程图示出了根据本发明在一主机中执行的方法步骤。

发明实施例的详细描述

图1示出了有关本发明特别有用的卡发行系统的全部单元。例如，美国专利5,175,416、4,810,862和4,968,873详细描述了IC卡的发行，这些细节在描述本发明背景时作为参考被编进去。

一般说来，IC卡发行是由终端10进行的，它包括或连接到智能卡读出/写入装置11，智能卡12可以被插入到装置11中。在这种情况下，智能卡12是这样的：若干标记值可以被记录在其中的若干单独的标记存贮单元，每个标记值相关于一项特定的服务或交易机构，如一电子现金标记与银行A14相关，一个商店常客标记与一商店常客服务15相关，一个电话使用标记与一电话公司16相关。智能卡12也可以有保密帐号存贮单元，使它能够同时具有信用卡和借方卡或其中之一的功能。

终端10连接到主机系统13，主机13中有与上面描述的每个服务机构的交易数据链路。持卡人可选择发行给他的智能卡装入一个或多个可用的标记。装入一个现金标记和装入一个电话使用标记，每一种都包含与银行A的交易，以便将装在卡上的标记值记入持卡人的借方帐中。就电话公司的情况而言，电话使用标记的值在它被记入持卡人借方帐中的同一时刻被记入电话公司的贷方帐中。装入到卡中的现金标记值可由银行在关闭的卡系统中将其保存在特定的暂存帐号中或在开放卡系统中被转送到一个结帐或清算机构。卡发行的这一记帐方面不是本发明的实质，因此在此不作详细讨论。

本发明重要之处是装有这些标记值的智能卡被制造成带有多个标记存贮单元的一种型号，这些存贮单元具有适当的保密级别，智能卡自身也具有保密特征，例如信息的加密/解密、卡对终端的认证、以及根据本发明进行标记值再估价的编程设计。多标记值或多帐号智能卡在例如美国专利4,656,342和4,736,094中都有公开，为了显示一个具有多标记值存贮能力的IC卡的示例结构和功能，将上述两篇专利文献被编入进去作为参考文献。

可被用来实施本发明的一种特殊形式的智能卡是在PCOS技术说明书(第1.0版，由法国GemPlus Card International ofGemenos Cedex出版)中描述的PCOS智能卡。在需要表示IC卡的示例结构和功能时，也将这篇文献编入进去作为参考文献。卡的使用

作为背景资料，图2A示出了典型的现有技术卡在交易场所的一个点使用的情况。交易终端站20能够采用磁条卡进行借贷型联机交易，也能采用电子钱包型的智能卡12脱机进行借方型交易。

对联机交易而言，终端20有一个可用来读一磁条卡25的磁条卡阅读器21。对这种联机交易来说，终端20有一个经由公共电话网络(或租用线路)到主机27的数据通讯链路，用作信贷认证或借方交易处理。图2A的系统也包括一个智能卡读出/写入模块22，该模块也包括一个用作PIN入口模块来输入用于认证持卡人的个人识别号码的键板。如果智能卡12中装入了现金值标记，那么它可以用来在脱机交易中支付购买的贷物或得到的服务。在这种脱机交易的典型步骤中，首先是根据存贮在卡12中的相应数据，通过请求一个PIN入口及其确认，使终端20和插接板22对持卡人加以认证，从而避免由未经授权的人欺诈性地使用卡12。

在某些电子钱包应用中，为了加快交易处理速度，可以取消该PIN确认，不过这不是强制性的。在这种情况下，电子钱包被当作现金一样处理，持卡人被假定为电子钱包的真实所有人。用于没有PIN入口的电子钱包借方操作的销售终端站的一个例子在Roberts等人的美国专利申请08/143,573中作了公开，该申请于1993年10月26日提交，发明名称为“电子现金交易方法及其设备”，它与本申请被转让给同一公司，目前处于待审查阶段。

另一种选择是仅仅当交易额超出预选的底线时才请求PIN项以便花费电子钱包中的金额。    

接着，终端20和卡12通过一个相互认证过程来彼此证实，该过程检查卡和终端的真实性以及相互兼容性。这种相互证实能防止采用欺诈性发行的卡来进行交易，也能防止使用未经许可的终端从卡12中提取或向卡12中增加款项。一旦完成保密认证，终端20和卡12就来回传送交易信息，使得从卡12中提取的币值进入终端20的交易项目存贮器，并且将一个新的现金值重写到卡12中。这些步骤是大家都知道的，在此不必作详细讨论。

此后，终端20可能呼叫主机27或主机13，或同时呼叫二者，采用各种付款卡媒体对一天的交易进行结帐。采用智能卡12作为现金标记媒体和等价的政府发行的纸币的临时性证券，其优点是它具有脱机交易的特性，并且能避免实际的现金交易以及由于找钱、核算备用金等造成的时间浪费。

如果智能卡12有一相关于某个商家的常客示记，即与该商家进行交易，那么该交易也可以包括证实商店常客标记的步骤，并且，如果适当的话，根据交易额改变卡12上的常客标记值。根据常客程序的特性，卡12中的标记值可以用于给当前购物打折扣或类似行为，例如根据资金积累到一定程度恢复奖励。

图2B示出，如果智能卡中装有电话使用标记值的话，智能卡12也可以用在公共电话亭29。在这类应用中可以包括同样的交易步骤。另一方面，可以采用不太保密的交易步骤，例如假定持卡人是一个获授权的所有人，以便使得智能卡12与打电话的单一模式智能卡兼容，后者只为保密目的核实卡的真实性。

在私人场所再估价

图3示出了本发明的一般原理。该发明提供了采用终端系统，在很少保密或不保密的情况下，在“私人”场所对智能卡现金标记值作重新估价的方法和设备，这与在公共场所进行的重新估价完全不同，在公共场所采用了物理与电子两方面的高程度的系统保密性。

参看图1，很显然，包含在卡发行中的硬件，无论从硬件存取还是运行的角度来看，其维护都必须在保密设施中进行，以避免欺诈或未经授权的行为。如图3所示，通过在终端中包括对卡作再估算和发行所需要的任何应用软件，可以在卡发行与再估算站10A完成对智能卡的再估算。包括同样的设施以及采取同样的保密条件，可以实现卡和终端之间进行两者之间的相互认证。也可以要求持卡人在一台单独的输入设备上秘密输入他的PIN，或者经过训练的受委托操作员可以输入PIN，并且也进行银行交易协议中可能包括的其它持卡人认证步骤。

除了持卡人正在进行交易步骤外，也可以在为智能卡再估算功能而设置的任何公共ATM单元36进行同样的保密步骤。

图3也示出了采用“私人”终端30对卡作再估算的情况。私人终端30可以设在持卡人家中、办公室或其它场所，如宾馆饭店的前台或门房。总的原理是采用具有智能卡数据接口的一个简单终端30，通过调制解调器或其它数据通讯媒体，与智能卡12和远程终端数据链路进行通讯，该远程终端可以是主机13自身，或者是一个网络存取控制器40，并且该远程终端被编程，用于在IC卡12和远程终端之间传送保密信息。这里所用的名词“保密信息”指的是采用加密方法或其它手段，使得信息在IC卡和/或远程终端保密，而不是在终端30保密。从本质上说，终端30在IC卡12和远程终端之间提供了一个链路，它等同于在IC卡12和保密卡再估算站中的终端之间存在的硬接线数据通路。终端30在两个单元之间传送数据和命令信息，并且它的操作系统在智能上可能只限于管理该简单功能。当然，也可以包括更复杂的功能，使得终端能处理其它ATM或远程用户服务功能，当已经在IC卡12和远程终端之间对所有的保密信息的发射和接收都处理之后，这些功能不需要起始产生和接受保密信息。

图3也示出可以给简单的私人再估价终端30提供硬件和智能，以参预与邮购机构35的电话邮购订单交易。由于给出信用卡号码会导致由邮购公司的职员或截取信息的某人欺诈性地使用，因此，作为一种替代形式，可以给终端30提供一种能力，使它能暂时从声音切换到数据，以执行IC卡借方功能。然而，保密功能仍然在IC卡和远程终端—在这种情况下可能是网络存取控制器(NAC)40—之间执行，因而私人终端30或邮购机构的终端都不必有复杂的保密特征。在这种情况下，网络存取控制器被编程以执行简单的借方交易，它将IC卡12的现金标记中的现金交易借方额需要的信息和参数传送到私人终端30，并将贷方交易额的其它信息传送到邮购机构。此后，NAC40通过电子声产生的信息或一数据显示信息告之各方，电子交易完成。根据编程设计，NAC40然后可以终止电话连接或回复声音通讯各方停止讲话。

很显然，这种IC卡再估价功能和订购交易功能也可以包括在家庭终端设备中，该设备还提供了在家庭购物或家庭交易网络环境下的额外的智能功能。例如，这种再估价功能也可以在被编程的一个智能屏幕中实现，以执行与个人终端30相同的功能。

IC卡最好是存贮终端30需要的所有信息，以便在不与持卡人交互作用的情况下对远程终端数据链路进行初始化。如果需要的话，这可能要包括主电话机号码数据和银行帐号数据。另一方面，IC卡识别号也可以直接连接到一个单一帐号或帐号组。

另外，由终端30呼叫的电话号码最好是为私人终端IC卡再估价功能专用，以避免要求个人终端30发出一个特别的登记信息来指示请求什么类型的交易。然而，使用有由个人终端30提供的登记的通用主电话机号码也在本发明的总原理之内。显然，一旦保密帐号和持卡人的识别(PIN)信息已经在IC卡12和远程终端(主机13或NAC40)之间传输后，可以在终端30和主计算机之间进行附加的ATM或顾客服务咨询交易。这种功能的智能可以全部装在主机上，在私人终端30仅仅安装显示和键盘I/O命令解释器。另一方面，可以由主机和私人终端30分享智能。例如，根据专用的功能键或通过卷动屏幕所进行的菜单选择或其它手段，可以对私人终端30编程，使得用户将交易初始化信息或数据查询传送到主机。

现在可以清楚地得知，本发明的一个私人终端30可以广泛地分布在人们家中、办公室和其它场所，而不会冒泄漏IC卡或远程终端的保密的风险。此外，每个持卡人可以有使用任何私人终端30米再估价IC卡中的现金标记值的优点。

系统例子

图4以方框示意图形式示出了在构成本发明的私人终端再估价系统时通常采用，并且能执行本发明方法的模块。

私人终端30有一微处理器系统60及相关的程序存贮器61、数据存贮器62、以及输入/输出设备，如键盘63、显示器64、调制解调器66以及智能卡数据链路65。如果系统提供了用于银行服务和/或邮购订货业务的组合声音一数据交易的话，那么也可以包括一个声音-数据开关67。智能卡数据链路65可向智能卡12提供数据通讯业务，也可以用于向智能卡12提供DC操作电能。智能卡12有一个装载板和/或辅助程序的内部微控制器70，和数据存贮器71和72。数据通讯由数据I/O74和加密/解密模块73一起处理，该加密/解密模块73可以是硬件，也可以是软件。

在主机一边的一个专有卡系统中，主机13有一个控制生成保密认证和交易信息与功能的智能卡保密模块和一个与智能卡12中的类似功能兼容的加密/解密模块76。

在一开放型卡系统中，NAC40有一个智能卡保持密模块81和加密/解密模块82。声音数据交易控制83提供关于银行B的NAC的声音与数据接口的操作，银行B采用声音进行顾客业务，邮购机构35以声音起源购物结算的形式从智能卡12接受电子现金。

图5示出了现有技术的智能卡数据连接设备65部份，它具有IC卡读出/写入接口单元形式，其中，卡插入传感器90感应什么时候智能卡12完全插入到读出器的卡接收腔，并完成与卡的接触，以便将电能施加到卡上。读出结余-增加现金程序和有关的智能卡及主程序步骤

图6A-6C示出了在私人终端30运行的命名为“读出结余-增加现金(READ BALANCE-ADD CASH)”的程序的步骤。该程序的主要步骤的目的是将现金支出加到智能卡12中的现金标记上，为解释起见，假定IC卡按“PCOS技术说明书”(由法国GemPlus Card Intenatconal，Gemenos Cedex出版)中规定的PCOS智能卡的电子钱包说明书来操作。该PCOS说明书描述了现有技术中采用终端对用户输入的PIN进行加密以及也对从主机接收的信用密码电文加密的方法。根据本发明，终端没有加密保密程序，所有加密操作都在智能卡12和主机中进行。如图6B及下面所述，终端可以进行XOR功能操作，以设置智能卡12的PIN加密操作。另一方面，也可以将代码加入到智能卡12上，以进行全部的PIN加密操作。

该程序模块的第一步是在读出器65中检验卡的存在，该步骤循环进行，直到感应到卡为止。当检验步骤的结果为肯定时，程序向智能卡12供电，并且向IC卡传送一个复位命令。此卡向私人终端30作一答复，由该答复可识别卡的类型。下一步即检查接收的答复是否指示IC卡是一个PCOS卡。如果回答为否定，那么表明有错，并在私人终端30的显示器上显示适当的错误信息。如果回答是肯定，那么向智能卡传送一个结余(现金)(BALANCE(CASH))命令。智能卡作出一个简单的查找存贮在卡的现金标记存贮单元中的值的响应，并且经由两个设备之间的通讯链路将该值返回到私人终端30。

应该理解，传送到智能卡12的每个命令之后都跟随一个GetResponse(得到响应)命令。另外，根据实践，对于一个好的软件来说，当每个GetResponse命令发出之后，要包括一个响应超时功能(没有示出)和一个响应有效功能(没有示出)。响应超时功能首先包括启动一个计时器，然后依次检查看看是否已接收到一个响应，或计时器是否已满，如果在接收到响应之前计时器已满，那么声明出错。

如果在超时之前发回一个响应，那么在一单独的检验步骤中检验该响应的有效性。如果该响应无效，那么声明一个适当的错误。在描述此示例性程序的这些步骤中，假定私人终端30和智能卡12的硬件和软件运行正常，于是计时器和检查步骤的有效性将是满足的。

接下来，在显示器64上显示从智能卡12接收到的现金结余(Cash Balance)，在此之后或与此同时显示一个“增加现金(ADDCASH)？”菜单项。私人终端30最好有至少两个软件功能键，用于对菜单显示的肯定和否定答复。另一方面，也可以在键盘上包括肯定与否定共享或专用的功能键。

应该理解，在图6A-6C所示程序流程中的不同位置上可以包括检查智能卡12是否在超时发生之前拿走的步骤(没有示出)。如果没有进一步要求活动的话，这种做法将延迟后面程序的执行，以允许用户将卡取出。这种做法可能有用的一个地方是在显示了现金结余之后。如果用户正在检查现金结余。则可以在结余显示之后马上将卡取出。如果卡取出后，那么，执行将返回到程序开端，等待插入另一张卡。如本技术领域中所公认的那样，私人终端30将包括一个子程序，来感应取卡的过程，并且在与卡接触结构的实际通讯失去之前就对卡断电。换句话说，卡插入开关在终端与卡接触断开之前就感应到卡的移动，从而可以在实际接触切断之前就执行断电步骤。

注意，该现金结余读出和显示步骤是在没有任何保密步骤的情况下执行的，并且在卡入口上自动进行。这就使得持卡人只需简单地将卡插入私人终端30，就可以检查他的智能卡上的现金结余。这一操作如同打开钱包看其中有多少钱一样快捷，它是根据本发明提供一个私人终端的主要优点。

下一步检查由用户所输入的回答。如果没有输入“是”，那么程序跳到图6c的点D，确定用户是否要求了私人终端30的其它功能。假定用户希望将更多的现金记入到智能卡12中，判断步骤将作“是”的回答，私人终端30将传送一个命令到智能卡12上，请求它的DDA#。

下一步是显示“输入PIN”，接下来是接受用户所作的一个PIN代码号的键盘输入。接下来对输入的PIN作函数处理：PIN_BLK＝XOR(PIN，DDA#)。通过在私人终端30执行这一功能，在一PCOS智能卡中已经提供的加密码可以用于完成一PIN加密操作，它将与主机中设置的进行现金信贷操作的PIN有效性代码兼容。

下一步是向智能卡12传送一个命令，对PIN_BLK的值进行PIN加密。智能卡12的向应是执行图7A所示的程序步骤，接收PIN_BLK参数，然后执行一系列功能，对CTC(卡终端计数器)增1，接着执行加密步骤，采用称为Kauth的认证键，将认证对话键Ksa设定为等于对CTC加密的结果，接着又执行一个加密步骤，采用通话键Ksa将经加密的PIN值P设定为等于对PIN_BLK参数加密的结果。随后，P和CTC的值由智能卡12返回到私人终端30。

接下来在私人终端30执行的步骤是接受并存贮P和CTC的值，以便它们能包括在一个主机的信息包中。此后向用户显示一条提示信息：“AMT.TO ADD？”接着接受一个输入值Ca，作为加到智能卡12的现金标记中的现金金额。应该理解，选定要增加的金额可以多种方式进行。与某些ATM机一样，私人终端30可以建议一种“即可兑现的现金”数额，如$40.00。私人终端30可以追踪用户增加现金值的习惯，并且建议用户选择的通常数额。这一步骤应理解为包括很宽范围的金额选择子过程。

当要增加的金额Ca被输入并接收后，私人终端30向智能卡12发出一个命令，得到主机的电话号码，并与之通话，来进行现金提取和卡信贷操作。这包括直接读取智能卡12中的一个存贮单元或文件，终端就知道了该智能卡12存贮的主机电话号码。应该理解的是，卡中间能有其它标记，并且其它主机的电话号码可能连接到这些标记，例如，商店购物奖金标记可能有与主机进行通话来花掉这些奖金的电话号码。

当私人终端30得到主机电话号码后，它拨通该号码并与主机建立通讯连接。这可以通过采用公用电话线的调制解调器或蜂窝式调制解调器或任何其它数据通讯媒体来实现。当与主机的通讯联系建立起来之后，私人终端30传送一个WITHDRAWAL_CD_CRD包，告诉主机交易的类型以及包括的参数，例如，在这种情况下是DDA#、P、CTC和Ca。

主机响应这一信息包所采取的典型步骤示于图8。当主机收到WITHDRAWAL_CD_CRD信息包后，它通过采用认证键Kauth对收到的CTC参数进行DES加密来驱动认证通话键Ksa。PIN_BLK是通过采用已被驱动的通话键对P参数进行DES解密来驱动的。这些是通话保密过程中的标准加密/解密行为，在此不必作详细解释。如果PIN_BLK是有效的，这意味着主机已证实了输入的PIN并且证明智能卡12在加密PIN_BLK时已采用了合适的认证键Kauth。

后面完成这些功能，主机运行一系列检测步骤，看PIN_BLK是否有效，以确定帐号中是否有足够的资金，并且确定是否超出了交易限定参数，例如每天的提取限额。如果这些检测步骤中有任一个返回的结果是“否”，那么产生一个适当的错误信息包送回到私人终端30去处理。如果包括一个PIN输入错误，那么可以更新PIN_ERROR计数值，使得主机能确定用户是否采用无效的PIN输入尝试了许多次，以图进入帐户。

如果检测步骤都返送结果“是”，那么主机执行一系列功能。通过采用信用键Kcre对CTC进行DES加密来驱动主机对话密钥Ksh。随后运算函数XOR(Ca，DDA#)，计算出信贷密码CC。

接着，如附图中功能方框所示进行两个顺序解密步骤。通过采用主机对话密钥Ksh对CC进行解密，产生信贷密码电文的CC′版本，然后，通过采用认证对话密钥Ksa对C′进行解密，产生一个CC″版本。接着，由主机将该CC″值传送到私人终端30，作为一个VALID CC″(有效CC″)确认包的一部分，当接到来自私人终端30的一个DN_MSG时，主机结束(DONE)。应该理解，可以对私人终端30编程，使其在主机联机时能执行其它私人ATM功能。如果这样的话，主机将在私人终端30的命令下或响应不同的传输数据包执行其它私人银行交易步骤。这种附加的功能不是本发明的一部分。

再回到图6c，私人终端30接受并检查主机信息。如果收到某类错误信息包，那么私人终端30确定交易已失败，显示一个适当的错误信息，并返回到初始程序步骤。根据失败的原因，用户可以再试一次。

假定该主机信息表明交易是成功的，私人终端30向智能卡12传送一个CREDIT_CASH(支出现金)命令，并带有命令参数CC″和Ca。智能卡通过执行图7B所示的CREDIT_CASH子程序，来处理这个命令。此命令参数被接收，并随后执行一系列功能，首先，通过采用认证对话密钥Ksa对CC″进行DES加密，导出参数CCa′。注意，这是如图8所示由主机执行的最后的加密操作的逆操作。然后，通过采用信贷密钥Kcre对CTC作DES加密，产生主机对话密钥Ksh。这在主机中模拟一个功能。接着，通过采用主机对话密钥Ksh对CCa′进行DES加密，导出参数CCa。最后，通过对CCa和DDA#执行XOR操作，导出Cac。

接下来检查智能卡12，看Cac是否等于Ca，因为如果智能卡12中的所有加密和解密操作都与主机中的相应操作相匹配的话，Cac会等于Ca。如果没发现这种匹配，那么向私人终端30返回一个错误信息。如果发现匹配，那么通过增加一个Ca值对现金标记中的现金结余预以更新。此后向私人终端30返回一个成功代码。

回到图6c，假定CREDIT_CASH(支出现金)命令被发出并在卡中执行后，私人终端30从智能卡接受一个有效响应，那么再发出一条BALANCE(CASH)(现金结余)命令，此现金结余将与交易完成(TRANSACTION COMPLETE)信息一起又被显示出来，以便用户能核实新的结余中包括所请求的额外现金。

接着，程序检查是否有其它卡请求为用户所需要。如果没有，卡被断电，一条DN_MSG被传送到主机，并且程序返回到开始位置。如果其它卡请求没有被指示，那么程序检查用户是否指示了其它ATM请求。如果是，私人终端30执行这些个人ATM功能，直到用户完成所有交易为止。这种额外的个人ATM功能不是本发明的一部分，因此不在此进行讨论。它们可能包括由私人终端30在一银行处以模拟一个ATM机器的方式从一远处进行付帐、转帐等活动。

根据上面的描述，应该清楚，本发明的私人终端30可以是一个简单并且便宜的设备，因为它与智能卡12和主机进行简单的数据输入和数据通讯工作。由于不需要采取保密措施来防止欺诈，因此终端中没有保密功能，从而终端的制造很便宜。

也应该理解，对所示出并加以讨论的示例性程序可以作许多变化。例如，在私人终端30中运行的程序可以包括一条给智能卡12的命令，用于在执行其它步骤之前证实输入的PIN。这会避免设置所有只与主机连接的步骤以发现在PIN输入中已有的错误。在这种改进中，智能卡12可以包括一个检查PIN的模块，以便在卡被锁住无法作进一步使用之前，经用户几次机会试一试插入正确的PIN。

本发明系统与方法的一般原理是通过描述各种实施例说明的。然而，应该理解，本领域的技术人员在不违反下面本发明的权利要求中所要求的范围的前提下可以作许多改进。