一种非接触式逻辑加密卡终端防拔处理方法技术领域
本发明涉及一种非接触式IC卡终端防拔处理方法。
背景技术
非接触式IC卡,是指符合国际标准ISO/IEC-14443的邻近卡
(PICC Proximity Integrated circuit(s)card,一种ID-1型卡,
在它上面有集成电路和耦合工具,并且与集成电路的通信是通过与邻
近耦合设备电感耦合完成的);非接触式IC卡终端是指能够读写非接
触式IC卡、完成交易功能的邻近耦合设备(PCD Proximity coupling
device,用电感耦合给邻近卡提供能量并控制与邻近卡的数据交换的
读/写设备);PICC和PCD的具体定义参见ISO/IEC14443标准文本。
非接触式IC卡和非接触式IC卡终端之间,采用射频方式进行通
讯,有效距离约为10cm。非接触式IC卡具有全球唯一、不可改写的
物理卡号,作为唯一性标识。
非接触式IC卡分为CPU卡和逻辑加密卡。
CPU卡也称智能卡,卡内的集成电路中带有微处理器MPU、较大
容量的存储器(ROM、RAM、EEPROM等)、安全逻辑、数学运算协处理
器等多种电路以及芯片操作系统COS(Card Operating System),不
仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。CPU
卡由于具有很高的安全性,同时成本也较高,主要用于金融保险、通
讯电信、网络认证等行业。
逻辑加密卡的集成电路芯片内置有逻辑加密保护电路的EEPROM
存储芯片,只能存储数据,不具有数据处理能力;加密逻辑电路能在
一定程度上保护卡和卡中数据的安全,无法防止恶意的攻击。逻辑加
密卡由于成本较低,同时具有一定的安全性,在交通、公用事业、医
疗卫生、旅游娱乐、安全控制及考勤、社区服务等非金融领域得到广
泛的应用。
逻辑加密卡的存储容量通常不小于1024个字节,可划分为1-16
个扇区,按扇区进行管理。每一个扇区具有读和写两种密钥保护,并
且各个扇区的密钥可以各不相同。
逻辑加密卡具有实现电子钱包的专门钱包格式,只能执行以下几
种操作:
●加或减一个给定的操作数(不能直接进行读写,执行加或减
操作视具体保护密钥和条件而定,读密钥对应减操作,写
密钥对应加操作);
●钱包之间互相复制。
对电子钱包的改写操作只可能有以下三种状态:
●改写成功
●改写失败,未改写
●改写失败,被破坏,结构非法。
对给定的操作数,电子钱包的改写操作要么写对、要么写坏、要
么不写,而不会写入未预期的值,这时逻辑加密卡实现电子钱包功能
的保证之一。
但是,当操作数在传送过程中发生改变时,仍可能导致写操作出
现未预期的值即第四种状态;而钱包复制操作不包含操作数,则不会
出现这种情况。
为了实现交易异常结束时的恢复处理,电子钱包通常分为正副
本,正常情况下是相等的。在正常操作时,首先操作钱包正本,再操
作钱包副本;当需要恢复处理时,可以视需要从钱包副本修正正本或
正本修正副本,保证钱包状态的一致性。当钱包正本副本中有一个结
构非法时,按照非法的服从合法的原则,仍然认为其具有一致的状态,
但需要对非法的进行修复。
随着金卡工程的不断发展,各种非接触式IC卡交易系统越来越
多。非接触式IC卡主要用于脱机交易系统,采用PSAM(消费终端安
全控制模块)卡认证方式,保证脱机环境下系统的交易安全性。
PSAM卡是具有专用COS的CPU卡,符合《中国金融集成电路(IC
卡)PSAM卡规范》和《中国人民银行PSAM卡应用规范》,支持多级密
钥分散机制,能产生《中国金融集成电路(IC)卡规范》中定义的MAC
报文校验码。
用于交通、建设行业交易系统的PSAM卡,还必须符合《建设部
安全认证卡(模块)技术要求(V3.0)》,通过对非接触式IC卡的物理卡
号等唯一性资料进行密钥分散,得出该卡的认证密钥,从而实现一张
卡片对应一个不同密钥、甚至一扇区对应一个不同的密钥,大大提高
了逻辑加密卡的交易安全性。
非接触式IC卡与PSAM卡之间的认证,是由具有较强运算能力的
PSAM卡进行加密和解密运算,并由终端使用认证密钥与非接触式IC
卡进行三重认证(参见ISO/IEC DIS 9798-4),在卡片和终端之间互
相确认合法性。
典型的交易记录主要包含如下内容:PSAM卡号、PSAM卡交易流
水号、IC卡号、卡交易计数、交易日期时间、交易金额、本次余额、
交易类型、上次交易PSAM卡号、上次交易PSAM卡交易流水号等。
PSAM卡交易流水号是PSAM卡的交易认证计数,每进行一次交易
加一;卡交易计数是卡的交易次数,每进行一次交易加一。PSAM卡
交易流水号和卡交易计数用于清算系统的安全审计分析,保证交易系
统的安全性。
IC卡脱机交易系统具有两个账务:卡上的电子钱包账务和清算
系统账务。电子钱包账务由IC卡自行(CPU卡)或通过终端(逻辑加密
卡)维护;清算系统账务由清算系统根据交易记录进行维护。保持两
个账务的一致性即交易一致性,是整个交易系统正常运行的基础。
●电子钱包账务:每次充值或消费交易时,增加或减少相应的
值;
●清算系统账务:处理充值或消费交易记录,增加或减少相应
的值。
由于终端的交易记录会原封不动地上传到交易清算系统,因此,
保证每次电子钱包账务变动时,终端产生正确的交易记录是保持交易
一致性的关键。终端通常是先处理电子钱包账务,再产生交易记录。
逻辑加密卡的电子钱包账务本身的一致性,就是钱包正本和副本
的一致性。交易流程必须保证交易正常结束或异常结束进行恢复后,
电子钱包的正本副本保持一致。
清算系统账务本身的一致性,是通过数据库系统的事务处理功能
保证的。数据库系统的高级事务处理机制,保证对数据的操作要么成
功(进行提交),要么不成功(进行回滚)。
交易一致性必须同时保持两个账务间的一致性和两个账务本身
的一致性。
由于交易可能中途中断、异常结束而破坏交易的一致性状态,需
要在再次交易时进行适当的恢复处理,维持交易一致性。
卡的交易状态描述交易的执行结果,包括两种:成功和失败。
为了维持交易系统的一致性,交易的执行结果必须是:
●成功:电子钱包账务正确完成交易,产生对应的交易记录;
●失败:电子钱包账务取消交易,不产生对应的交易记录。
不管交易是否成功,电子钱包账务和清算系统账务间和电子钱包
账务本身必须保持一致性。
电子钱包账务处理流程分正本、副本两步处理,操作的可能结果
(定义为电子钱包的状态)如下(以消费交易为例):
●如果仅操作正本,没有操作副本,则操作失败,这时正本可
能正常完成操作(正本<副本)或被破坏(正本非法);
●如果既操作正本,又操作副本,则操作成功,这时副本可能
正常完成操作(正本=副本)或被破坏(副本非法);
由于写交易记录是在终端上执行的,只要能够确定电子钱包的状
态,就可以确定是否写交易记录,保持一致性。
另外,卡的交易流程中除执行账务处理流程外,还必须执行其它
不影响交易状态的辅助处理流程。全部流程执行完毕后,才算完成整
个交易。
非接触式IC卡通过射频方式与终端进行通讯,操作距离较短,
持卡人在交易的过程中,随时可能由于晃动等客观或主观操作而将
IC卡移出操作范围,即发生拔出操作,导致交易异常结束。
终端防拔功能的核心,是确定IC卡发生交易异常结束时的交易
状态。当交易异常结束的IC卡再次进行交易操作时,具有防拔功能
的终端能够根据IC卡的交易状态,自动执行相应的恢复进程,保证
两个账务的一致性;如果无法确定交易异常结束时IC卡的交易状态,
终端就无法选择正确的交易恢复流程,可能造成恢复失败。因此,终
端防拔功能是保证交易一致性最重要的手段之一。
使用接触式IC卡的终端,可以检测到卡片从终端以高达1m/s的
速度的拔出操作,在IC卡拉出1mm之前,自动开始触点释放序列,
完成防拔处理。
使用非接触式IC卡的终端,完全不能感知和确定IC卡的运动,
也就无法直接进行硬件防拔处理。因此,必须采用某种特定的方法,
进行软件防拔处理。
由于终端无法感知非接触式IC卡的拔出操作,不能获知非接触
式IC卡是否还处在操作范围,导致在对IC卡的操作过程中存在未知
的状态:在对IC卡进行操作过程中IC卡突然拔出,则不能返回操作
的结果。这时,卡片上的操作对象数据存在三种可能的状态:被破坏、
读写正确、读写失败。甚至在强干扰的环境下,操作数的改变还会导
致发生第四种状态:非预期的结果,即读写错误(类似前述电子钱包
的说明)。
非接触式IC卡操作过程存在的未知状态,是影响终端防拔处理
的重要因素,甚至是矛盾:终端无法采取有效的方法确定和标识IC
卡发生交易异常结束时的交易状态。
其中,现有技术方案中的逻辑加密卡的主要应用结构如下:
●电子钱包具有正副本备份。
●具有历史交易记录区,通过环形队列形式,记录最近发生的
N笔交易,并通过交易指针指明最近发生的一笔交易。历史
记录的内容包括交易余额、交易金额、PSAM卡号、PSAM卡
交易流水号、交易日期时间等。
●具有公共信息区,存放进程标识、交易指针、卡交易计
数等。公共信息区具有正副本备份。
现有技术方案采用了两种手段配合来标记IC卡的交易状态:
●在IC卡上写入进程标识(初始值为00),标记交易是否成功。
当进程标识为01时,表示还没有交易成功(恢复时对应
交易失败),终端没有生成交易记录,可能仅执行了扣除
钱包正本的操作,至少钱包副本的状态与清算账务的状
态一致(正本可能被破坏),恢复时用钱包副本复制到正
本,保持电子钱包账务本身的一致性;
当进程标识为02时,表示将要或已经交易成功(恢复时
对应交易成功),终端将要或已经生成交易记录,可能仅
剩余扣除钱包副本的操作未执行(或被破坏),钱包正本
的状态将或已经与清算账务的状态一致,恢复时用钱包
正本复制到副本,保持电子钱包账务本身的一致性。交
易全部正常完成时,进程标识仍为02。
●用公共信息区正本副本进行校验,由是否相同来标记进程标
识的有效性。由于进程标识本身也是IC卡上的操作对象数
据,可能被破坏而导致无法执行恢复流程,因此进程标识必
须具有备份且满足一定的附加条件才能生效。
当公共信息区正本副本相同时,表示进程标识已生效。
如果进程标识为02则交易成功,可能仅剩辅助流程未执
行;如果进程标识为01则交易失败。恢复时按照进程标
识的值选择执行相应的恢复流程;
当公共信息区正本副本不相同时,表示进程标识未生效,
交易失败,恢复时需同步电子钱包账务和公共信息区正
本副本。
现有技术方案采用了进程标识和公共信息区正本副本校验相结
合的方法,试图确定和标识IC卡发生交易异常结束时的交易状态(从
后面的缺点分析可以看到这种方法仍然无效)。
现有的各种技术方案均基于建设部的相关技术规范。
在现有技术方案里,卡的交易状态是用进程标识的状态和公共信
息区正本副本校验的状态结合来描述的。
但上述方案有一个致命的缺陷,源于非接触式IC卡操作过程存
在的未知状态,即未确定状态。
可以看出,(将公共信息区正本复制到副本),是整个流程最关键
的一步。如果复制成功,则进程标识生效、公共信息区正本副本相同,
交易成功;如果复制不成功,则进程标识无效、公共信息区正本副本
不相同,交易失败。
在执行该流程操作后,IC卡的交易状态可能存在以下几种:
●复制成功,公共信息区正本副本相同。
●复制不成功,公共信息区副本未被改写。
●复制不成功,公共信息区副本被改写成错误的值。
但是,如果在执行该流程操作的过程中发生拔出操作,则终端可
能无法返回操作的结果:是上述三种状态中的哪一种。在执行流程(13)
之后,终端必须依赖返回的结果进行判断,是继续执行交易流程,还
是放弃执行交易流程。如果终端假设操作的结果,甚至没有结果就当
作错误,则最终执行的流程可能与实际情况正好相反,一些典型的例
子如下:
●公共信息区正本复制副本成功,终端由于无法获得返回的操
作结果而认为操作错误,没有继续执行交易流程(没有产生
交易记录),导致电子钱包账务已发生成功交易,而清算账
务没有对应的交易记录,表现为电子钱包多扣(丢失交易记
录)。
●公共信息区正本复制副本不成功,终端却认为操作成功,继
续执行交易流程(产生交易记录),导致清算系统账务已发生
成功交易,而电子钱包账务在IC卡下次交易时自动恢复处
理为未发生交易,表现为电子钱包少扣(多交易记录)。
其它各种技术方案可能与上述技术方案有所不同,但是所有技术
方案的共同点是:仅依赖逻辑加密卡上的标识数据来描述卡的交易状
态,即仅在逻辑加密卡上定义和维护交易状态。由于对逻辑加密卡的
操作过程存在的未知状态,导致终端可能无法确定IC卡真正的交易
状态,IC卡上的交易状态数据就失去了标识意义。由此导致的影响
分为两种:
●电子钱包多扣:电子钱包账务交易成功,而清算系统账务没
有对应的交易记录,导致交易系统的不一致性;
●电子钱包少扣:电子钱包账务交易失败,而清算系统账务存
在交易记录,导致交易系统的不一致性。
发明内容
本发明的目的,就是解决现有技术方案的致命缺陷,做到卡交易
状态的准确描述和维护,彻底解决逻辑加密卡交易系统中存在的多
扣、少扣等现象,保证交易系统的一致性,真正实现非接触式IC卡
终端的防拔功能。
本发明所述的非接触式逻辑加密卡的防拔处理方法包括以下步
骤:
1)、在非接触式逻辑加密卡的电子钱包账务中和交易清算系统账
务中设置一个相同的交易状态标识;
2)、在非接触式逻辑加密卡的电子钱包账务中设置利用交易状态
标识来判断交易是否成功及未确定的交易处理流程;
3)、在交易清算系统账务中设置利用交易状态标识来判断交易是
否成功及未确定的交易处理流程。
其中上述步骤1中在非接触式逻辑加密卡的电子钱包账务中和
交易清算系统账务中设置一个相同的交易状态标识是将非接触式逻
辑加密卡的电子钱包的状态作为非接触式逻辑加密卡的电子钱包账
务和交易清算系统账务的交易状态标识,该交易状态标识表达三种可
能的状态:交易成功、交易失败、未确定状态。
上述步骤2中所述的交易处理流程包括以下步骤:
a1)、当非接触式逻辑加密卡进入终端的操作范围时,终端进行
选卡的一系列操作;
a2)、终端对非接触式逻辑加密卡进行交易恢复的操作,使非接
触式逻辑加密卡的电子钱包的正本和副本及公共信息区的正本和副
本保持一致;
a3)、终端对非接触式逻辑加密卡的电子钱包进行消费或充值交
易的操作,完成电子钱包账务的处理和设置交易成功与否及未确定的
交易状态标识;
a4)、终端根据上述的交易状态标识进行公共信息区副本的同步
及终端写记录和提示的操作,使交易清算系统账务和非接触式逻辑加
密卡的电子钱包账务的状态保持一致。
既然交易系统的一致性是卡上的电子钱包账务和清算系统账务
的一致性,那么必须突破现有的思路,改变仅在IC卡上定义和维护
交易状态的做法,在清算系统中也定义和维护同样的交易状态,通过
维护两个账务中每笔交易的交易状态的一致性,来维护整个交易系统
的一致性。
本发明在电子钱包账务和清算系统账务上同时定义了统一的交
易状态标识。通过两个账务的交易状态标识的同步,保证整个交易系
统的一致性。即通过将卡的不确定的交易状态和账务系统的确定的交
易状态进行同步,维护两个账务中每笔交易的交易状态的一致性,来
维护整个交易系统的一致性。
本发明直接用电子钱包的状态作为非接触式逻辑加密卡的交易
状态,是最清晰、准确、简单的描述,而且可靠性、安全性非常高。
电子钱包具有可预期的结果而其它标识可能出现未预期的结果(钱包
复制操作中没有操作数);而且通常电子钱包的安全级别比公共信息
区的安全级别高。
本发明的技术方案定义的交易状态中:
●卡的交易状态通过IC卡的电子钱包的状态标识:
电子钱包的状态为成功,此时已成功完成账务处理部分,
终端已经生成交易记录,交易记录的交易状态为0,至少
钱包正本的状态与清算账务的状态一致(副本可能被破
坏),仅剩余辅助处理部分,恢复时用钱包正本复制到副
本,保持电子钱包账务本身的一致性;
电子钱包的状态为失败,此时未成功完成账务处理部分,
终端没有生成交易记录,至少钱包副本的状态与清算账务
的状态一致(正本可能被破坏),恢复时用钱包副本复制到
正本,保持电子钱包账务本身的一致性。
电子钱包的状态为未确定(因发生拔卡操作而未知),终端
也生成交易记录,交易记录的交易状态为1,至少钱包正
本的状态与清算账务的状态一致(副本可能被破坏),恢复
时按照卡的真正的交易状态,执行相应的恢复流程;
●清算系统的交易状态通过交易记录中的交易状态字段标识。
如果交易状态为0,表示电子钱包的状态为成功,交易记
录为有效交易记录;
如果交易状态为1,表示电子钱包的状态为未确定,交易
记录为未确定交易记录。清算系统通过设置交易处理流程
进行分析处理,最终将未确定交易记录处理为有效交易记
录和无效交易记录。
本发明两个账务系统的同步方式如下:
●电子钱包账务操作成功,清算系统账务产生交易记录;
●电子钱包账务操作失败,清算系统账务不产生交易记录;
●电子钱包账务操作结果未知,清算系统账务产生未确定交易
记录:
电子钱包账务实际操作成功,未确定交易记录确定为有
效交易;
电子钱包账务实际操作成功,未确定交易记录确定为无
效交易。
本发明将原有其它技术方案中出现的少扣现象转化为不扣现象,
杜绝多扣现象;并可以采取优化措施,在特定的应用中防止出现不扣
的现象。
综上所述,本发明与现有技术方案比较,具有如下优点:
●本发明能够真正保证交易系统的一致性,而其他技术方案无
法保证。
●由于逻辑加密卡拔出操作的不可预知性,从原理上可以看
出,在流程关键点进行拔出操作时,本发明仅可能发生电子
钱包不扣费的情况,而任何其他技术方案可能发生电子钱包
少扣费和多扣费的情况;
●本发明的技术方案中直接使用电子钱包的状态作为卡的交
易状态标识,流程简单、清晰,执行速度快;而现有方案使
用复杂的交易状态标识,流程非常复杂,执行速度慢;
●本发明技术方案的关键操作点是将钱包正本复制到副本,使
用专门的钱包复制命令,而现有方案的复制操作是将公共信
息区正本复制到副本,使用普通读写指令。故本发明技术方
案的关键点操作执行速度快、可靠性高,发生未知状态的几
率远小于现有方案;而且本发明技术方案不会出现多扣,仅
出现不扣现象的几率更小于现有技术方案流程出现多扣、少
扣现象的几率。
本发明可广泛应用在各地区的公交电子收费系统车载收费终端
产品上和各地区的公交电子收费系统公交交易清算系统中。
以下结合附图详细描述本发明的基本组成及其实现方法:
附图说明
图1是本发明的交易处理流程示意图;
具体实施方式
本发明所述的非接触式逻辑加密卡应用结构组成包括:
●电子钱包,该电子钱包具有正本和副本;
●历史交易记录区,通过环形队列形式记录最近发生的N笔交
易,并通过交易指针指明最近发生的一笔交易,其内容包括
交易余额、交易金额、终端卡号、终端交易流水号、交易日
期时间等资料;
●公共信息区,用于存放交易指针,卡交易计数等,其具有可
相互备份的正本和副本;
本发明的交易记录格式中设置有交易状态标识,用于描述发生该
笔交易时电子钱包的状态。
本发明所述的非接触式逻辑加密卡及其终端防拔处理方法包括
以下步骤:
1)、在非接触式逻辑加密卡的电子钱包账务中和交易清算系统账
务中设置一个相同的交易状态标识;其中本实施例中在非接触式逻辑
加密卡的电子钱包账务中及清算系统账务中设置一个相同的交易状
态标识:是将非接触式逻辑加密卡的电子钱包的状态作为电子钱包账
务和清算系统账务的交易状态标识。
2)、在非接触式逻辑加密卡的电子钱包账务中设置利用交易状态
标识来判断交易是否成功及未确定的交易处理流程。
3)、在交易清算系统账务中设置利用交易状态标识来判断交易是
否成功的交易处理流程。
上述步骤2中在电子钱包账务中设置利用交易状态标识来判断
交易是否成功和未确定的交易处理流程包括消费交易处理流程和充
值交易处理流程。两者基本相同,只须将消费操作改为充值操作即可。
其中,上述交易处理流程包括以下步骤:
首先,当非接触式逻辑加密卡进入终端的操作范围时,终端进行
选卡的一系列操作;
其次,终端对非接触式逻辑加密卡进行交易恢复的操作,使非接
触式逻辑加密卡的电子钱包的正本和副本及公共信息区的正本和副
本保持一致;其主要包括以下步骤:
a21)、终端从非接触式逻辑加密卡中读入电子钱包的正本和副
本:
a22)、判断电子钱包的正本和副本的结构是否都合法,如果不合
法,转到步骤a26,否则
a23)、判断电子钱包的正本和副本是否相等,如果不相等,转到
步骤a25,否则
a24)、将公共信息区正本复制到副本,转到步骤a3;
a25)、将公共信息区副本复制到正本,并将电子钱包副本复制到
正本,转到步骤a3;
a26)、判断电子钱包正本结构是否合法,如果不合法转到步骤
a28,否则
a27)、将电子钱包正本复制到副本并将公共信息区正本复制到副
本,转到步骤a3;
a28)、判断电子钱包副本结构是否合法,如果不合法,转到步骤
a20,否则
a29)、将电子钱包副本复制到正本,转到步骤a3;
a20)、发出该非接触式逻辑加密卡为非法卡的提示,并退出流程
的操作。
再次,终端对非接触式逻辑加密卡的电子钱包进行消费交易的操
作完成电子钱包账务的处理和设置交易成功与否及未确定的交易状
态标识;其主要包括以下步骤:
a31)、扣电子钱包正本;
a32)、将电子钱包正本的交易余额、交易金额、终端卡号、终端
交易流水号、交易日期等资料写入历史记录区;
a33)、改写公共信息区的交易指针、交易次数;
a34)、将电子钱包正本复制到副本;
a35)、判断电子钱包的副本状态是否未知,如果未知,转到步骤
a39;否则
a36)、判断电子钱包副本结构是否合法,如果不合法,转到步骤
a38;否则a37)、判断电子钱包正本和副本是否相等,如果不相等,
转到步骤a30;否则
a38)、电子钱包的交易状态为成功,将交易状态标识设置为零,
转到步骤a4;
a39)、电子钱包的交易状态为未知,将交易状态标识设置为壹,
转到步骤a4;
a30)、电子钱包的交易状态为失败,转到上述步骤a4;
最后,终端根据上述的交易状态标识进行公共信息区副本的同步
及终端写记录和提示的操作,使清算系统账务和电子钱包账务的状态
保持一致。其包括以下步骤:
a41)、判断交易状态标识是否为零(交易成功),如果为零,转到
步骤a43;否则
a42)、判断交易状态标识是否为壹(交易未确定),如果为壹,转
到步骤a44;否则交易失败,转到步骤a46;
a43)、将公共信息区正本复制到副本;
a44)、终端发出对应的信息,提示交易成功;
a45)、从卡上历史记录区取出上一笔交易的终端卡号和终端交易
流水号填入本次交易记录,终端写入交易记录,保持电子钱包账务和
清算系统账务的一致性;
a46)、结束本次交易流程。
上述步骤3中在交易清算系统账务中设置利用交易状态标识来
判断交易是否成功和未确定的交易处理流程,包括以下步骤:
31)、在每一个清算周期,交易清算系统挂起所有交易状态标识
为壹的交易记录作为未确定交易记录(交易未确定),暂时不参与清
算;处理所有交易状态标识为零的交易记录作为有效交易记录(交易
成功),并直接参与清算;
32)、对每一笔未确定交易记录,查找同一张卡的下一笔交易记
录(查找方法为判断同一张卡的一笔交易记录中指向上一笔交易记录
的终端卡号和终端交易流水号是否与该笔未确定交易记录的终端卡
号和终端交易流水号相等)。如果找到,转到步骤34;否则
33)、将未确定交易记录继续挂起到下一个清算周期再处理,转
到步骤36;
34)、如果该卡的下一笔记录与该笔记录的卡交易计数相同,则
处理该笔交易记录作为无效交易记录(交易失败),不参与清算,转到
步骤36;
35)、如果该卡的下一笔记录与该笔记录的卡交易计数的差为壹,
则处理该笔交易记录作为有效交易记录(交易成功),可参与清算;
36)、如果未确定交易记录未处理完毕,转到步骤32,否则
37)、对所有有效交易记录进行清算处理。
对本发明技术方案的分析
本发明所述步骤a2中的操作,全部是交易恢复进程,没有实质
性的交易操作。即使上次交易正常结束,每次交易也需要经过恢复流
程,但不会做实质性的恢复操作。如果执行过程中出现错误,流程及
时中断退出,下次交易时无需恢复;
本发明所述步骤a3中的操作,是流程的电子钱包账务处理部分。
如果执行过程中出现错误,交易失败,流程及时中断退出,下次交易
时需要恢复。其包含如下恢复步骤:
a21、从IC卡上读入电子钱包正本和副本;
a22、检查电子钱包正本和副本的结构是否都合法,由于还没有
操作钱包副本,故副本合法;如果正本合法,下一步跳转到流程a23,
否则下一步跳转到流程a26;
a23、进入恢复进程操作,判断电子钱包正本副本是否相等。如
果上次交易还没有操作钱包正本,则正本副本相等,下一步跳转到
a24,否则下一步跳转到a25;
a24、将公共信息区正本复制到副本(此时两者相同,为冗余操作),
下一步执行流程退出恢复进程,返回到主流程,下一步执行流程a3;
a25、将公共信息区副本复制到正本,还原上次交易对公共信息
区可能的修改;上次交易记录的历史交易记录将变成无意义的数据,
由于上次交易已经操作过钱包正本,将电子钱包副本复制到正本,取
消上次交易的操作,保持电子钱包账务的一致性,下一步退出恢复进
程,返回到主流程,下一步执行流程a3;
a26、进入另一恢复进程的操作,判断电子钱包正本结构是否非
法。由于正本非法,下一步跳转到流程a28;
a28、判断电子钱包副本结构是否非法。由于副本合法,下一步
跳转到流程a29;
a29、上次交易已经破坏钱包正本,将电子钱包副本复制到正本,
取消上次交易的操作,保持电子钱包账务的一致性,下一步退出该次
恢复进程的操作,返回到主流程a3,开始新的交易流程。
步骤a4中的操作,是流程的剩余辅助部分,根据特定的交易状
态完成钱包副本同步及写交易记录和提示等。如果执行过程中出现错
误,流程继续执行至结束,下次交易时可能需要恢复。其包含如下恢
复步骤:
a21、从IC卡上读入电子钱包正本和副本;
a22、检查电子钱包正本和副本的结构是否都合法,由于钱包正
本早已操作成功,故正本合法;如果副本合法,下一步跳转到流程
a23,否则下一步跳转到流程a26;
a23、进入恢复进程的操作,判断电子钱包正本副本是否相等。
如果上次交易正本复制到副本操作成功,则正本副本相等,交易成功,
下一步跳转到a24,否则正本复制到副本操作失败,交易失败,下一
步跳转到a25;
a24、将公共信息区正本复制到副本,保持状态的一致性,下一
步执行流程a3;
a25、将公共信息区副本复制到正本,还原上次交易对公共信息
区可能的修改;上次交易记录的历史交易记录将变成无意义的数据;
由于上次交易已经操作过钱包正本,将电子钱包副本复制到正本,取
消上次交易的操作,保持电子钱包账务的一致性,下一步转回到执行
流程a3;
a26、进入另一恢复进程的操作,判断电子钱包正本结构是否非
法。由于正本合法,下一步跳转到流程a27;
a27、由于副本非法,将电子钱包正本复制到副本,保持电子钱
包账务的一致性,将公共信息区正本复制到副本,保持状态的一致
性,下一步转回到执行流程a3,开始新的交易流程。
在上述步骤a42后,当非接触式逻辑加密卡的交易状态未确定时
提示交易成功信息,会造成不扣现象。
当IC卡发生拔出操作时,IC卡的交易状态可能处于未知状态,
有可能交易成功,也有可能交易失败。
●如果交易成功,未确定交易记录为有效交易记录,则终端提
示交易成功信息正确;
●如果交易失败,未确定交易记录为无效交易记录,而终端提
示交易成功信息,相当于没有扣除交易费用,即不扣。
其他技术方案的流程都会发生电子钱包多扣或少扣的现象(破坏
了系统交易状态的一致性),而本发明的技术方案子仅可能发生不扣
的现象(保证了系统交易状态的一致性),即排除了多扣,将少扣转化
为不扣。但多扣或少扣或不扣现象只会在关键点发生拔出操作而操作
结果又未知的情况下发生,几率非常小。
针对上述问题,本发明在步骤a42后设置有优化处理流程,防止
出现上述不扣的情况。该优化交易处理流程包括以下步骤:
a421)、当交易状态标识为壹时,终端发出提示持卡人须重新进
行交易的信息,并在终端记录本次交易的交易状态标识、交易卡号和
交易余额;
a422)、转到上述步骤a2中重新对非接触式逻辑加密卡进行交易
恢复操作,将电子钱包正本复制到副本和将公共信息区正本复制到副
本。
a423)、判断终端记录的上次交易状态记录是否为未确定,如果
上次交易状态标识为壹,则在终端上更新交易状态标识为零,显示交
易成功,提示后退出本次交易流程,否则转到上述步骤a3中重新进
行电子钱包的消费或充值的交易操作。
如果终端提示需重新交易的信息后,持卡人重新交易,交易流程
进行恢复后重新交易,防止出现不扣现象;如果持卡人不重新交易,
则可能造成错扣(保持交易一致性,但交易成功而没有提示交易成功
信息)。故优化改进措施需根据实际情况选择使用。作为一种典型的
应用,公交电子收费系统可以应用该优化措施:当乘客上车交易不成
功并得到提示时,通常会重新交易而不会选择下车。