持卡人请求兑现与卡相关的契约和发卡者签认该契约的方法.pdf

持卡人请求兑现与卡相关的契约和发卡者签认该契约的方法
    【技术领域】

    本发明涉及连带着发卡者契约的卡式信息介质的核对，具体地讲，涉及持卡人请求兑现与卡相关的契约和发卡者签认该契约的方法。本发明可以用于在彩票业、银行和商业活动以及其他领域中出售货物和服务。

    背景技术

    借助于预付卡出售货物和服务的方法在商业实践中是众所周知的。这种方法的本质是发卡者发行专用卡，每张卡分别连带着发卡者的一份契约，并将卡分发给持卡人。在以后的时间中，持卡人可能请求发卡者兑现与卡相关的契约。利用这种方法可以显著扩展发卡者的用户基础，因为卡可以分布到邻近于潜在持卡人的地方。此外，通过得到一张卡而获得发卡者契约可以以匿名的方式实现。

    卡指地是连带着发卡者契约的任何适宜材料的介质。

    发卡者指的是一个当事人，他发行卡、承担与卡相关的契约责任、完成有关核对卡和签认契约的工作。在实践中，发卡者可以将他的职能的一部分，例如与卡的核对有关的部分，委托给其他当事人。此外，发卡者自身可以实施一些辅助工作，或者将这些工作委托给其他当事人。这种辅助工作可能包括，例如，卡的制造、将卡发放给持卡人、履行契约签认等等。

    发卡者的一个实例是发行一次性卡(票据)的银行。每张卡连带着银行的一份契约，用以将一定量的钱存入持卡人指定的帐户中。发卡者的另一个实例是向参与者出售体育比赛彩票的彩票公司。与每张彩票相关的是彩票公司的一份契约，用以向抽奖中中奖的彩票持有者颁发奖品。

    如果持卡人能够请求发卡者兑现与卡相关的契约而又不必将卡带到发卡者或代理商那里，那么就方便了。在这种情况下，持卡人可以通过电子通讯方法与发卡者远程联系。例如，一次性银行卡的持有人可以在不访问银行的情况下请求将卡指示的钱数存入持卡人指定的帐户中。同样，在电视上观看彩票公司抽奖的中奖彩票持有人可以在不离开其舒适的家的情况下立即请求将奖品递送到其指定地址或将奖品总额存入其银行帐户中。

    对于发卡者而言，如果能够与持卡人远程接触就方便了，因为这样可以减少维持办公室和下属机构所需的杂费，并且扩展发卡者所提供货物和服务的潜在消费者基础。例如，对于无办公室的互联网银行，可以将通过无办公室零售发放的卡用作向客户帐号输入钱的途径。

    在兑现一份契约之前，发卡者必须签认该契约，即必须确认对兑现契约的请求是合法的。

    一种持卡人请求兑现与卡相关的契约和发卡者签认该契约的传统方法是众所周知的，该方法允许持卡人与发卡者之间进行远程接触。该方法包括实施以下步骤：

    (1)持卡人从卡上读取标识符并向发卡者提出兑现与卡相关的契约的请求，该请求中包含卡的标识符和用于规定发卡者契约兑现的指示符；

    (2)发卡者利用持卡人提供的标识符和指示符确认卡的有效性，即检验带该标识符的卡被真正发行过并且未曾签认过与该卡相关且以与所提供指示符不同的指示符规定的契约；

    (3)发卡者根据卡的相关契约和持卡人指示符签认契约。

    用于确定某一特定卡的唯一数据称作卡的标识符。标识符在卡上的图像必须能够抵抗对它的修改的尝试：至少必须能够防止通过对标识符进行修改(伪造)而使修改后的标识符与发行的另一卡上的标识符相同。在实际施行过程中，卡的标识符通常呈现为由卡号和密码组成的一对数。一般说来，不需要提供呈现为多部分的标识符，尽管这在具体施行过程中较为方便。

    用于规定兑现契约的指示符由任意数据构成，必须以该指示符辅助作用于与卡相关的原始契约，以使契约具有将要兑现的具体最终形式。指示符的形式和说明取决于特定的应用，并且不是用于描述本发明的重要因素。例如，指示符的角色可以由将要存放奖金的持卡人帐户号扮演。

    发卡者对契约的签认可以包括实施某些行动或者可以用作这些动作的启动因子。例如，根据签认，发卡者可以在一系列签认的契约中输入卡的标识符和相应的用于规定契约签认的指示符，或者将契约传输到一个契约签认系统中(输入到执行契约的装置中)。发卡者还可以发行给持卡人一个用于规定签认契约的签名回执。

    为了防止第三方当事人在卡从发卡者传送到持卡人的途中从卡上暗中读取标识符，标识符通常至少部分地被遮蔽工具隐藏着(标识符的隐藏部分可以称作卡的密码，而标识符的敞开部分可以称作卡号)。遮蔽工具是一种措施，用来临时隐藏与卡相关的某些数据，如卡的标识符。遮蔽工具具有两种状态：敞开和封闭，而且必须具有下列特性：

    (1)在遮蔽工具处于封闭状态时，实际上无法读取或修改被被遮蔽工具隐藏的数据。

    (2)实际上无法将遮蔽工具从敞开状态转换到封闭状态。

    (3)容易判定遮蔽工具的状态：处于敞开还是封闭状态。

    (4)容易将遮蔽工具从封闭状态转换到敞开状态(以打开遮蔽工具)。

    (5)在遮蔽工具处于敞开状态时，容易读取被遮蔽工具隐藏的数据。

    现有多种类型的通常专用于制作即时彩票的遮蔽工具。只有遮蔽工具的上述特性的对本发明的描述有重要意义，而其具体实施形式和结构特点并不重要。

    一种前面描述的出售互联网接入服务的传统方法的应用描述于[1，2]中。在该应用中，持卡人与作为发卡者的互联网供应商一起利用传统方法激活一个帐户。

    美国专利[3]中公开了一项有关出售电话服务的发明，该发明中包含应用前面描述的方法出售电话服务。在这个发明中，持卡人与作为发卡者的电话公司一起利用传统方法激活或平衡电话帐户。

    持卡人请求兑现与卡相关的契约和发卡者签认该契约的传统方法具有多个缺点。

    传统方法的主要缺点是，没有解决争议的实质程序，因而无法抵抗诈骗者。例如，粗心的持卡人可能会选择新的指示符并请求发卡者兑现先前已经使用过的卡的相关契约。在这种情况下，发卡者无法向第三方当事人证明该卡已经使用了。另一方面，粗心的发卡者可能会拒绝签认并兑现其契约，声称其曾经兑现过与给定卡相关并以其他指示符规定的契约。在这种情况下，持卡人无法向第三方当事人证明该卡过去从未被任何人使用过。这种缺点源于这样的事实，即在该方法的某一区段结束后，持卡人和发卡者均没有保留任何这样的数据：该数据在没有对方帮助时不可能生成并且可以在解决争议时用作证据。此外，如果发卡者拒绝签认与卡相关的契约，则在该方法的某一区段结束后，卡在持卡人手中保持的状态与发卡者签认契约后的状态相同，即如果标识符遮蔽工具用于临时隐藏卡的标识符，则卡上的遮蔽工具是敞开的。

    这种缺点的后果是，设备和通讯信道的故障以及仅仅是人为错误均可能导致这样的情况，即从对方的角度看，传统方法的故意介入可以被认为是粗心所致。

    传统方法的另一个缺点起源于这样的事实，即对卡的标识符的签认就足以请求兑现与卡相关的契约，而且总是存在标识符不受保护的时段。知晓该卡标识符的身手敏捷的罪犯可能会在合法持卡人之前请求兑现与卡相关的契约。例如，罪犯可以“越过肩头”偷窥标识符或在卡传送给发卡者的途中侦察到标识符(如果通讯信道未受保护的话)。

    【发明内容】

    本发明的主要目的是提供一种持卡人请求兑现与卡相关的契约和发卡者签认该契约的安全方法，该方法允许各方当事人进行远程的相互作用。该方法的安全性可以确保，具体地讲，是通过提供争议解决程序而确保的。争议解决程序对于第三方当事人而言是明确的，并且能够完全保护在该方法的框架内严格操作的当事人。

    本发明的另一个目的是减弱设备和通讯信道的故障以及人为错误所带来的负面影响。

    本发明的又一个目的是在卡的标识符被骗子侦察到后防止卡被越权使用。

    根据本发明的方法的本质如下所述。

    发卡者发行卡，每张卡分别具有一个标识符和相应的核对符，后者至少部分地被一个遮蔽工具隐藏。与卡的标识符相对应的附加数据称作卡的核对符。卡的核对符与标识符之间的对应关系必须具有这样的规律，即对于发卡者以外的当事人而言，如果当事人预先不知道与给定标识符相对应的核对符，则他实际上不可能从标识符推断出核对符。具体地讲，对于发卡者以外的当事人而言，在不打开用于隐藏核对符的遮蔽工具的情况下，必须保证实际上无法确定出卡的核对符。

    每张卡分别与发卡者的一份契约相关联，例如通过通知潜在持卡人、在卡上设置适宜的说明以及其他可被普遍接受的方法。此后，卡被分发给持卡人。在接收到卡后，持卡人必须检验用于隐藏密码和核对符的遮蔽工具是否处于封闭状态。

    持卡人请求兑现与卡相关的契约和发卡者签认该契约是以下面的步骤实现的：

    (1)持卡人从卡上读取标识符并向发卡者提供一个兑现与卡相关的契约的请求，该请求包含卡的标识符和用于规定发卡者契约兑现的指示符；

    (2)发卡者确认其先前未向任何人提供过与持卡人所提供的标识符和不同于持卡人所提供指示符的指示符相约束的签名答复，生成一个针对持卡人的答复，该答复与所提供的标识符和指示符相约束，对所形成的答复进行签名，并将签名的答复发送给持卡人；

    (3)持卡人证实发卡者在答复上的签名，并核对签名答复是否与发送给发卡者的标识符和指示符相约束，此后，持卡人从卡上读取核对符并将核对符发送给发卡者；

    (4)发卡者核对持卡人提供的核对符是否与持卡人提供的标识符相对应；

    (5)发卡者根据卡的相关契约和持卡人的指示符签认契约。

    为了避免上述程序中的不同区段之间相互影响，只要步骤2在上述程序的其他区段内正被执行，发卡者必须不再继续进行步骤2。

    本方法的步骤2-4对应于并且取代了传统方法中的步骤2(利用持卡人提供的标识符和指示符核对卡的有效性)。

    发卡者的答复必须与以这样的方式与提供的标识符和指示符相约束，即实际上无法发现与某张发行卡相对应的标识符，而且某些处于集合状态的指示符不同于提供的标识符和指示符，而是也约束在这个答复中(在提供标识符也与某张发行卡相对应的状况下)，例如，答复可以与持卡人的请求相同。在另一种改型中，答复可以是并置着的指示符与唯一确定了某张特定卡的标识符部分。在另一种改型中，答复可以是由并置的标识符和指示符的某种密码散列函数计算出的值[4，5，7]。

    有多种方法以供发卡者检验其先前未向任何人提供过与持卡人所提供的标识符和不同于持卡人所提供指示符的指示符相约束的签名答复。例如，发卡者可以保留一个签名并提供给某些人的答复的清单，并且搜索该清单以便实施检验。

    如果出于某些原因发卡者不能执行其在上述程序中的下一步骤，或者如果下一检验产生了负值，则发卡者将终止沿所描述的程序继续进行，并且可以通知持卡人这一点。

    如果出于某些原因持卡人不能够或不希望执行其在上述程序中的下一步骤，或者如果下一检验产生了负值，则持卡人可以启动争议解决程序。

    争议解决程序如下所述。如果持卡人根据本发明中描述的方法进行操作，则他要么持有带封闭的核对符遮蔽工具的卡，要么持有卡以及与卡的标识符和规定契约兑现的指示符相约束的发卡者答复签名。因此，在启动了争议程序后，持卡人必然拥有带封闭的核对符遮蔽工具的卡或者卡和与卡的标识符和规定契约兑现的指示符相约束的发卡者答复签名。在第一种情况下，发卡者从持卡人那里取回卡，并且签认与卡相关并由持卡人在争议解决程序中提供的指示符规定的契约。在第二种情况下，发卡者确认核对符的遮蔽工具是打开的，如果是封闭的，则持卡人必须将它打开。之后，发卡者签认与卡相关并由指示符规定的契约，该指示符通过发卡者的签名答复而约束在所提供卡的标识符上。

    在争议程序的第二种改型中，即在持卡人拥有卡而发卡者对其发出的与卡的标识符和规定契约兑现的指示符相约束的答复进行了签名的情况下，也可以实施另一种争议解决程序。该争议解决程序的运行如下所述。发卡者验证其尚未签认过与卡相关联并且由指示符规定的契约，该指示符通过发卡者的签名答复而约束在卡的标识符上。之后，发卡者从持卡人那里取回卡，并且签认与卡相关并由持卡人在争议解决程序中提供的指示符规定的契约。

    在该方法的实际实施过程中，争议解决程序的其他改型同样是可行的。    

    持卡人在争议解决程序中提供的用于规定契约兑现的指示符可以与请求兑现契约的程序中提供的指示符不同，后一程序失败了并导致了争议。此外，在争议解决程序中允许采用的用于规定契约兑现的指示符的设置可以与请求兑现契约的程序中允许采用的指示符的设置不同。这种设置可以取决于争议的阶段。例如，持卡人在争议解决程序中提出的指示符可以包括要求返还购买卡的钱数，或者要求支付罚金。

    前面描述的方法的安全性也得以确保，具体地讲，是通过这样的事实，即，即使罪犯知道了卡的标识符并且有时间在持卡人之前请求发卡者兑现与卡相关的契约，但不论是持卡人还是发卡者均不会受到直接损失，而罪犯也不会获得直接的利益。事实上，罪犯不会知道卡的核对符，因此它无法完成请求兑现契约的程序。另一方面，如果罪犯与持卡人的指示符不同，则当罪犯向发卡者提出兑现与卡相关的契约的请求时，发卡者会发现已经发出过与卡的标识符和不同于所提供指示符的指示符相约束的签名答复，因而将中断请求兑现和签认契约的程序。这种情况可以在争议解决程序中解决。这还意味着希望能够保护卡的标识符。

    为了排除猜测卡的标识符的可能性，发行的卡的标识符设置必须构成所有可能标识符中的一个可忽略部分。在这种情况下，除了从卡上读取标识符以外，罪犯不能够指出至少一张发行的卡的标识符。

    为了排除罪犯在卡到达持卡人手中之前暗中读取标识符的可能性，卡的标识符至少部分地被遮蔽工具隐藏着。在这种情况下，在接收到卡后，持卡人必须检验用于隐藏卡的标识符的遮蔽工具是否处于封闭状态。

    如果有遮蔽工具用于隐藏卡的标识符，则持卡人可能会在标识符遮蔽工具之前错误地打开核对符遮蔽工具。这种错误虽然剥夺了持卡人防备恶意发卡者的权利和在特定环境下防备设备故障的权利，但不会剥夺持卡人请求兑现与卡相关的契约的权利。为了排除这种错误，卡和遮蔽工具可以具有这样的构造，即在没有首先打开标识符遮蔽工具的情况下，实际上不能打开核对符遮蔽工具。例如，卡可以包含一个含有卡的第二部分的密封信封，该部分带有一个标识符和一个核对符，核对符被遮蔽工具隐藏着。在这种情况下，信封用作标识符遮蔽工具，而在不打开标识符遮蔽工具即不打开信封的情况下，实际上无法打开核对符遮蔽工具。

    卡和遮蔽工具可以具有这样的构造，即卡的核对符可以拥有标识符的特点，而标识符可以相对于卡上的用作标识符的核对符而拥有核对符的特点，在这种情况下，持卡人可以自己选择卡上的哪一个隐藏数据用作标识符，哪一个用作核对符。发卡者必须能够根据持卡人提出的兑现契约的请求而确定卡上的哪一个数据被持卡人用作标识符，哪一个被用作核对符。例如，各个数据的格式可以不同，而发卡者可以从提供的数据格式中确定哪一个数据被持卡人用作标识符，哪一个被用作核对符。对于这种卡，持卡人在标识符遮蔽工具之前打开核对符遮蔽工具的错误是无害的，因为核对符和标识符扮演着对称的角色。这种卡还可以用在体育比赛和促销广告活动中，即奖品取决于持卡人选择的遮蔽工具打开次序。

    卡可以由多个物理不连续部分构成，当然毋庸置言，这些部分在逻辑上是联合的。例如，每个部分可以具有特定的辅助数据，这些数据分别唯一确定了组合起来构成了一张卡的各个部分。这种卡可以用在体育比赛和促销广告活动中，即持卡人必须预先收集到一张卡的各个分开部分。

    如果卡的核对符与标识符之间的对应关系具有这样的规律，即持卡人能够独立生成由标识符和相应核对符组成的一对数，则发卡者在签认契约之前必须附加检验所提供的标识符是否与某一张发行的卡的标识符相同。发卡者还可以通过实施这个检验而通知持卡人在读取卡的标识符时出现的错误，同时也能够快速发现这个错误。发卡者必须有一种措施用以确定所提供的标识符是否与某一张发行的卡的标识符相同。这种措施最好由发卡者保密。例如，作为一种这样的措施，发卡者可以使用所有发行卡的清单。

    为了提高保密度级别，并且在当事人向发卡者发送兑现与卡相关的契约的请求的过程中防止标识符被罪犯侦察到，当事人必须对该信息加密。对加密方法的特别选择不是本发明的重点。例如，持卡人可以利用发卡者的公开钥匙对提供给发卡者的数据进行加密，该钥匙可以在某些预定的不对称加密系统如RSA[4，5]的框架内。发卡者可以对提供给持卡人的数据进行加密，例如利用持卡人向发卡者发送的信息中所包含的附加钥匙。

    用来规定与卡相关契约的兑现的指示符可以包括当事人用于控制发卡者的签认契约的兑现的识别数据。具体地讲，可以将这个数据用作某种预定签名系统中的当事人公开钥匙。通过发行可被当事人公开钥匙验证的数字式签名承载指令，当事人例如控制发卡者可以兑现签认过的契约的程序。

    为了便于发卡者检验持卡人提供的卡的核对符是否与持卡人提供的卡的标识符相对应，持卡人可以反复地将标识符或标识符的一部分与核对符一起提供给发卡者。

    为了能够通知持卡人在生成用于规定兑现与卡相关的契约的指示符时出现的错误，并且快速发现这个错误，发卡者可以附加检验所提供的指示符是否满足先前建立和公开过的指示符的正确性临界值。

    发卡者答复的签名的有效性可以受到某些条件的限制。例如，答复的签名的有效性的条件可以由发卡者自身使用的签名系统决定。具体地讲，这样的一个条件可以是签名有效期截止期内的一个时段。发卡者的签名答复中也可以包含签名有效性条件。如果有某些条件限制了签名的有效性，则发卡者可以向持卡人提供新的签名答复，在发卡者尚未签认契约的情况下(持卡人尚未提供卡的核对符)，该答复将特定的指示符约束在先前接收到的标识符上，而先前提供的答复的签名变成无效的。如果在持卡人在打开核对符遮蔽工具之前发现签名不满足有效性条件，则他具有从发卡者那里接收新的签名答复的可能性，具体地讲，可以将先前的指示符换成新的。

    如果罪犯在持卡人使用卡之前就已知道了卡的标识符，则罪犯可能会在持卡人之前请求发卡者兑现与卡相关的契约。罪犯的这种行动不会带给他直接利益，而且发卡者和持卡人均不会受到直接损失。然而，这将导致请求兑现契约的程序中断，而当事人不得不进行争议解决程序。出于这个原因，持卡人最好秘密的保持他的卡，直到获得正确的结果，即验证了发卡者的答复的签名是与卡的标识符和规定契约兑现的指示符相约束的，该标识符和指示符是持卡人在其请求中提供给发卡者的。

    为了减少因通讯信道故障导致的争议的数量，持卡人在没有接收到针对其先前请求的答复时可以反复请求兑现与卡相关的契约。如果发卡者发现所提供的请求中包含一个先前已经签名答复过的标识符，则他必须将接收到的规定契约兑现的指示符与先前通过签名和发出的答复而约束在给定标识符上的指示符作比较。如果这些指示符相同，则先前签名的答复可以反复提供给持卡人。

    在检验了持卡人提供的核对符是否与持卡人提供的标识符相对应后，发卡者可以通知持卡人出现错误或者签认契约。为了减少因通讯信道故障导致的争议的数量，持卡人在既未接收到错误通知又未接收到发卡者签认契约的通知时可以反复向发卡者发送卡的核对符。

    发卡者可以对它的信息签名，以防止罪犯以发卡者的名义向持卡人提供出错通知或其他恶意信息并因此而导致持卡人慌乱和被迫启动争议程序。

    发卡者签名过的答复可以包含附加数据，例如与兑现契约的程序相关联的数据。具体地讲，答复可以包含入口密码、在签名失效之前的有效期内的答复签名的有效时段等等。

    【附图说明】

    图1为带有敞开的标识符和核对符遮蔽工具的银行卡。

    图2为带有封闭的标识符和核对符遮蔽工具的银行卡。

    图3为带有敞开的标识符遮蔽工具和封闭的核对符遮蔽工具的银行卡。

    图4为带有敞开的标识符(密码)和核对符遮蔽工具的彩票。

    图5为带有封闭的标识符(密码)和核对符遮蔽工具的彩票。

    图6为带有敞开的标识符(密码)遮蔽工具和封闭的核对符遮蔽工具的彩票。

    【具体实施方式】

    发卡者发行卡，每张卡上分别带有一个标识符和一个与标识符相对应的核对符V。卡的标识符由卡号N和密码P组成。卡的密码被标识符遮蔽工具隐藏，而卡的核对符被核对符遮蔽工具隐藏。在卡被制作时，它们的卡号在一定范围内被连续选择，而卡的密码和核对符根据下面的规律由卡号N确定：P＝H1(N，R)，V＝H2(N，R)，其中H1和H2是某些带有保密钥匙R[4，5]的密码散列函数。散列函数H1和H2是以这样的方式选择的，即只要事先不知道哪个核对符与给定标识符相对应，则在不知道R的情况下，实际上无法确定与给定标识符相对应即与给定卡号和密码相对应的核对符。发卡者借助于随机数字发生器选择钥匙R并且为它保密。

    卡的这种标识符和核对符的结构可以确保除发卡者之外的组织在不打开核对符遮蔽工具的情况下无法由卡的标识符确定核对符。另一方面，发卡者可以容易地确定所提供的标识符是否与发行的卡相对应。在做这件事时，发卡者只需检验位于适宜范围内的卡号，并将提供的密码与由标识符(卡号)和保密钥匙R计算出的值作比较。由于核对符是由标识符(卡号)和保密钥匙R计算出的，因此发卡者可以容易地确定所提供的核对符是否与所提供的标识符相对应。

    发卡者和持卡人在本发明的框架内的工作并不取决于供发卡者对其答复(信息)进行签名的特定类型的签名系统。然而，签名系统的优选改型是数字签名系统[4-6]的某些改型，因为在这种情况下在数据上的签名可以通过电子通讯信道传输。

    在数字签名系统如RSA[4，5]的框架内，发卡者将选择第一秘密钥匙，用以生成在各个数据上的数字签名，并选择与第一秘密钥匙相对应的第一公开钥匙，以供有关当事人使用，以核对发卡者的签名。在不对称加密系统如RSA[4，5]的框架内，发卡者还将选择第二秘密钥匙，用以解密接收到的信息，并选择与第二秘密钥匙相对应的第二公开钥匙，以供有关当事人使用，以加密提供给发卡者的信息。第一和第二公开钥匙以及对数字签名系统和不对称加密系统所作的选择将被公开(以引起有关当事人的注意)。发卡者还利用对话钥匙和某些对称加密算法如IDEA[5，p263]向持卡人公开其对信息加密的用意。

    持卡人可以生成规定契约兑现的指示符，并且可以借助于某种装置如电话机或适宜编程的计算机实施译码操作(生成对话钥匙、加密、解密、核对数字签名等等)。

    每张卡分别与发卡者的一份契约相关联，例如通过通知潜在持卡人、在卡上设置适宜的说明以及其他可被普遍接受的方法。此后，卡被分发给持卡人。在接收到卡后，持卡人必须检验用于隐藏密码和核对符的遮蔽工具是否处于封闭状态。

    持卡人请求兑现与卡相关的契约和发卡者签认该契约是以下面的步骤实现的：

    (1)持卡人从卡上读取标识符并向发卡者发出一个兑现与卡相关的契约的请求，该请求是利用发卡者的第二公开钥匙加密的，并包含卡的标识符、规定发卡者契约兑现的指示符和第一对话钥匙；

    (2)发卡者利用第二秘密钥匙解密接收到的请求，检验所提供的标识符是否与发行卡的标识符相同，确认先前未向任何人提供过与持卡人所提供的标识符和不同于持卡人所提供指示符的指示符相约束的签名答复，生成一个针对持卡人的答复，该答复与所提供的卡号和指示符相约束，利用第一秘密钥匙对所形成的答复进行签名，利用接收到的第一对话钥匙对签名答复进行加密，并且将签名且加密的答复发送给持卡人；

    (3)持卡人利用第一对话钥匙解密接收到的答复，利用发卡者的第一公开钥匙证实发卡者在答复上的签名，并且核对签名答复是否与卡号和发送给发卡者的指示符相约束，此后，持卡人从卡上读取核对符并将核对符和卡号发送给发卡者；

    (4)发卡者核对从持卡人那里接收到的核对符是否与从持卡人那里接收到的标识符相对应；

    (5)发卡者根据卡的相关契约和持卡人的指示符签认契约。

    为了避免上述程序中的不同区段之间相互影响，发卡者必须不再继续检验其先前未向任何人提供过与持卡人所提供的标识符和不同于持卡人所提供指示符的指示符相约束的签名答复，只要是在上述程序的其他区段内作相同的检验并生成相持卡人的签名答复时。

    如果出于某些原因发卡者不能执行其在上述程序中的下一步骤或下一检验产生了负面结果，则发卡者必须停止沿上述程序继续进行并将此事通知持卡人。

    实施例1

    本实例中例证了持卡人请求兑现与卡相关的契约和发卡者签认该契约的方法，其中发卡者是银行而持卡人是银行客户。每张卡分别连带着银行向拥有该卡的客户指定的帐户中存入100卢布的一份契约。

    在发行卡之前，银行编辑了一张包含四列的检验表，其中行数等于发行的卡数。尽管实际上银行可以发行任意大量的卡，但在本例中假定发行了5张卡。在检验表的“标识符”列的单元格中，每个格中分别填入了借助于随机数字发生器获得的不同于其他的八位随机序列号。在“核对符”列的单元格中，每个格中分别填入了同样借助于随机数字发生器获得的十位随机序列号。在填写了这些列的各个单元格后，检验表呈现出表I所示的形式。

    接下来，银行制作了五张卡，每张卡分别具有两个区域，即“标识符”和“核对符”区域，而且随后的每张卡上的这些区域中的值分别采用表I中的随后行中的相应值。图1中示出了对应于表中第三行的卡。制作出的卡上的这些区域被一层不透明油漆覆盖。油漆容易去掉但不容易复原，并且扮演着遮蔽工具的角色。此后，卡呈现出图2所示的外观。

    表I根据下面的规律而确定卡的核对符与其标识符之间的关系：如果核对符和标识符位于表I中的相同行，则核对符与标识符相对应。根据卡的制作方法，每张卡上的核对符分别与其标识符相对应。银行必须为表I保密。对于不拥有表I的当事人，在不打开核对符遮蔽工具的情况下，实际上无法从标识符确定出卡的核对符，因为标识符和核对符是随机选择的。

    在数字签名系统RSA[4，5]的框架内，银行选择一个秘密钥匙D，以供银行生成各个数据的数字签名，并选择一个与D相对应的公开钥匙E，以供有关当事人核对银行的签名。公开钥匙E以及对数字签名系统所作的选择被公开(以引起有关当事人的注意)。

    为了使当事人统一且清楚地理解信息的内容，并且便于使信息处理自动化，银行将公开当事人在请求兑现和签认契约时使用的所有信息的格式。信息可以具有下列格式。

    请求兑现与卡相关契约的格式为：“ID＝*”，“帐户＝*”。

    银行答复的格式为ID＝*”，“帐户＝*”。

    提供核对符的格式为：“核对符＝*”。

    在这些格式中，ID表示卡的标识符，帐户表示需要存入100卢布的帐户，而核对符表示卡的核对符。在发送信息时，必须以表示相应数量的实际值代替星号。

    通过通知潜在客户和通过在每张卡上设置适宜的说明，银行向客户指定帐户中存入100卢布的一份契约即与每张卡关联起来。之后，卡被分发给客户。

    假定某个银行客户购买了与表I中的第三行相对应的卡。之后，假定该客户希望银行兑现与卡相关的契约并且决定向银行指定他的帐户1001为用于存入100卢布的帐户。首先，客户打开标识符的遮蔽工具，即去除他的卡的“标识符”区域的油漆，并保留“核对符”区域不动，此后卡呈现出图3中的外观，而且标识符76503306可以读取。接下来，客户将卡的标识符和将要存入100卢布的银行帐户号输入到适宜编程的计算机中。此后，计算机生成请求“ID＝76503306，帐户＝1001”，其中帐户＝1001部分是规定兑现契约的指示符，并且通过开放式通讯网络将请求发送给银行。

    在接收到请求后，银行利用所提供的标识符和指示符核对卡的有效性。首先，银行在表I的“标识符”列中查找请求中包含的标识符76503306，并在第三行中找到它。之后，银行验证第三行中的“帐户”单元格中不含有与1001不同的值，这意味着以前银行未向任何人提供过与标识符76503306和不同于1001的指示符相约束的签名答复。此后，银行在“帐户”单元格中填入接收到的帐户号1001。此时检验表呈现出表II所示的形式。

    接下来，银行生成答复“ID＝76503306，帐户＝1001”，以银行的秘密钥匙D对它签名，并通过开放式通讯网络将签名答复发送给客户。

    在接收到签名答复后，客户将利用银行的公开钥匙E核对银行在答复上的签名并检验答复具有“ID＝76503306，帐户＝1001”的形式。接下来，客户将打开核对符遮蔽工具，即去除他的卡的“核对符”区域中的油漆，此后卡呈现出图1所示的外观，而卡的核对符5686892445可以读取。之后，客户利用计算机生成核对信息“核对符＝5686892445”，并通过开放式通讯网络将核对信息发送给银行。

    在接收到核对信息后，银行在表II的“核对符”列中搜索包含在信息中的核对符5686892445，并会在第三行中发现它。此后，银行验证第三行中的“帐户”单元格不是空的，即银行先前曾接收到一个请求，而且核对符5686892445对应于请求的指示符。在我们的例子中存在这种对应关系，因而银行将签认与带标识符76503306的卡相关的契约，该契约由相应的指示符规定。作为签认的信号，银行将填写第三行的“签认”单元格，如表III所示。

    基于这种签认，银行将兑现与卡和持卡人指示符的连带契约相对应的契约，即将100卢布存入帐户1001中。

    实施例2

    本实例中例证了持卡人请求兑现与卡相关的契约和发卡者签认该契约的方法，其中发卡者是彩票公司，持卡人是参与者，而彩票扮演了卡的角色。每张卡分别连带着彩票公司向购买彩票的参与者指定的地址递送奖品的一份契约。

    在发行彩票之前，彩票公司选择一个三十二位的十六进制数字构成的随机序列号R。彩票公司借助于随机数字发生器产生这个R。十六进制数字是0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F。假定彩票公司获得了下面的序列号：

    R＝16397D2AB474D3EC56AE22EB93ED3C17。

    彩票公司必须为序列号R保密。

    接下来，彩票公司将制作100000张彩票，每张分别具有三个区域：“号码”、“密码”和“核对符”。“号码”和“密码”区域的值合起来构成彩票的标识符。作为“号码”区域的值，可以采用范围在00000至99999(打头的零也是号码的一部分)内的相邻系列值。因此，号码由五位十进制数字构成。作为号码为N的彩票的“密码”区域的值，可以采用值H(N‖R)的前十位的十六进制数字，其中H是散列函数SHA-1[5，p.348]，符号‖表示位串的并置。作为号码为N的彩票的“核对符”区域的值，可以采用值H(N‖R)的后十位的十六进制数字。因此，如果N包含五位十进制数字(包括打头的零)，则由号码N和密码P构成的标识符就成为一张发行彩票的标识符，而P与值H(N‖R)的前十位的十六进制数字相同。如果核对符V与值H(N‖R)的后十位的十六进制数字相同，则V对应于由号码N和密码P构成的标识符。根据这种彩票制作方法，每张彩票的核对符分别对应于其标识符。对于不拥有十六进制数字序列号R的当事人，在不打开核对符遮蔽工具的情况下，实际上不可能确定出彩票的核对符，这种不可能性是由SHA-1[4，5]的特性确保的。

    图4中示出了带号码18765的彩票。由于

    H(1876516397D2AB474D3EC56AE22EB93ED3C17)＝

    27035D4B8C0CE7DD2A8D1EB9AB2BC1554B07E2FE，

    所以彩票的密码为值27035D4B8C，核对符为值554B07E2FE。

    制作出的彩票上的“密码”和“核对符”区域被一层不透明油漆覆盖。油漆容易去掉但不容易复原，并且扮演着遮蔽工具的角色，此后，彩票呈现出图5所示的外观。因此，彩票的标识符只被遮蔽工具局部隐藏。

    在数字签名系统如RSA[4，5]的框架内，彩票公司将选择第一秘密钥匙D1，用以生成在各个数据上的数字签名，并选择相应的第一公开钥匙E1，以供有关当事人使用，以核对彩票公司的签名。在不对称加密系统如RSA[4，5]的框架内，彩票公司还将选择第二秘密钥匙D2，用以解密接收到的信息，并选择相应的第二公开钥匙E2，以供有关当事人使用，以加密提供给彩票公司的信息。第一和第二公开钥匙E1和E2以及对数字签名系统和不对称加密系统所作的选择将被公开(以引起有关当事人的注意)。彩票公司还利用对话钥匙和某些对称加密算法IDEA[5，p263]向彩票参与者公开其对信息加密的用意。

    此外，为了使当事人统一且清楚地理解信息的内容，并且便于使信息处理自动化，彩票公司将公开当事人在请求兑现和签认契约时使用的所有信息的格式。信息具有下列格式。

    请求兑现与彩票相关契约的格式为：“N＝*”，“P＝*”，“K＝*”，“A＝*”。

    彩票公司答复的格式为“N＝*”，“A＝*”。

    提供核对符的格式为：“N＝*”，“K1＝*”，“V＝*”。

    提示错误/成功的格式为：“N＝*”，“E＝*”。

    在这些格式中，N表示彩票的号码，P表示彩票的密码，K表示彩票公司必须使用的用于对请求的答复进行加密的对话钥匙(32位十六进制数字)，A表示奖品递送的地址，K1表示彩票公司必须使用的用于对核对的答复进行加密的对话钥匙(32位十六进制数字)，V是彩票的核对符，E是错误/成功代码。如果彩票的核对顺利进行而且彩票公司签认了其契约，则作为核对信息的答复，将向参与者发回代码E＝0。代码E＞0对应于各种错误。错误代码清单也被公开。在发送信息时，必须以表示相应数量的实际值代替星号。

    通过通知潜在彩票参与者和通过在每张彩票上设置适宜的说明，彩票公司向彩票参与者指定的地址递送奖品的一份契约即与每张彩票关联起来。彩票公司的其他状态也被公开。之后，彩票被分发给参与者。只有彩票号码在抽奖时起作用。

    在抽奖过程中，彩票公司编辑一个具有四列的中奖清单，清单的行数等于中奖彩票的数量。中奖清单可以具有表IV所示的形式。中奖彩票的号码填写在“号码”列的单元格中，相应的奖品代码填写在“奖品”列的单元格中。

    假定购买了中奖彩票的彩票参与者希望请求彩票公司兑现与彩票相关的契约。首先，参与者打开标识符的遮蔽工具，即去除他的彩票的“密码”区域的油漆，并保留“核对符”区域不动，此后彩票呈现出图6中的外观，而且密码27035D4B8C可以读取。接下来，参与者将彩票的号码和密码以及需要递送奖品的地址输入到适宜编程的计算机中。此后，计算机生成对话钥匙K和请求“N＝18765，P＝27035D4B8C，K＝B360AB551A4A874C79F 17EAC4B043125，A＝圣彼得堡莱蒂希谢瓦大街39号322房间(Apt.322，39 Radishcheva St.，St.-Petersburg)”，其中“A＝圣彼得堡莱蒂希谢瓦大街39号322房间”部分是用语规定兑现契约的指示符。此外，计算机将利用彩票公司的公开钥匙E2对请求进行加密，并通过开放式通讯网络将加密后的请求发送给彩票公司。

    在接收到加密请求后，彩票公司利用秘密钥匙D2对它解密，并利用所提供的标识符和指示符核对彩票的有效性。首先，彩票公司检验由密码N＝18765和密码P＝27035D4B8C构成的提供标识符是否与某一张发行的彩票的标识符相同，即N包含五位十进制数字，P与值H(N‖R)的前十位的十六进制数字相同。在我们的例子中，情况是相符的。接下来，彩票公司在表IV中搜索“号码”单元格中包含接收到的号码18765的那一行，即检验带有号码18765的彩票是否真正中了奖。在我们的例子中，该彩票中了代码为7的奖。接下来，彩票公司将验证所发现的那一行的“递送地址”单元格中不含与“圣彼得堡莱蒂希谢瓦大街39号322房间”不同的值。这意味着彩票公司先前并未向任何人提供与标识符1876527035D4B8C和与“圣彼得堡莱蒂希谢瓦大街39号322房间”不同的核对符相约束的签名答复。此后，彩票公司在所发现的那一行的“递送地址”单元格中填写接收到的地址。此时奖品清单呈现出表V的形式。

    接下来，彩票公司生成答复“N＝18765，A＝圣彼得堡莱蒂希谢瓦大街39号322房间”，以秘密钥匙D1对它签名，利用接收到的对话钥匙K对签名答复进行加密，并通过开放式通讯网络将签名和加密后的答复发送给参与者。由于彩票号码N独一地确定了特定彩票及其标识符，因此生成的答复将指示符与彩票的标识符约束在一起。

    在接收到签名和加密的答复后，参与者利用他所知道的对话钥匙K对答复进行解密，并验证答复是否为“N＝18765，A＝圣彼得堡莱蒂希谢瓦大街39号322房间”的形式。接下来，参与者将打开核对符遮蔽工具，即去除他的彩票的“核对符”区域中的油漆，此后彩票呈现出图4所示的外观，而卡的核对符554B07E2FE可以读取。之后，参与者借助于计算机生成核对信息“N＝18765，K1＝C3BBCFF3332169AC08DC45178A0B6514，V＝554B07E2FE”，并通过开放式通讯网络将加密后的核对信息发送给彩票公司。

    在接收到加密后的核对信息后，彩票公司利用秘密钥匙D2对它解密，并在奖品清单(表V)中搜索“号码”单元格中包含从核对信息中接收到的号码18765的那一行。彩票公司验证该行中的“递送地址”单元格不是空的，即彩票公司先前从未接收到请求。此后，彩票公司将检验接收到的核对符V＝554B07E2FE是否与带号码N＝18765的标识符相对应，即检验V是否与值H(N‖R)的后十位的十六进制数字相同。在我们的例子中，存在这种对应关系，因此彩票公司将签认与彩票18765相关的契约，该契约是由相应的指示符规定的。作为签认信号，彩票公司将填写所发现的行中的“签认”单元格，例如，如表VI中所示。

    彩票公司将生成彩票核对成功和彩票公司签认其契约的通知“N＝18765，E＝0”，利用秘密钥匙D1对该通知签名，利用接收到的对话钥匙K1对签名通知加密，并通过开放式通讯网络将签名和加密的通知发送给参与者。

    基于这种签认，彩票公司将根据彩票的相关契约和参与者的指示符兑现契约，即彩票公司将奖品递送到下面的地址：圣彼得堡莱蒂希谢瓦大街39号322房间。

    因此，在执行持卡人请求兑现与卡相关的契约和发卡者签认该契约的过程中，相关当事人将确实受到保护：既可以通过卡(通过核对符遮蔽工具的状态)，也可以通过发卡者对答复的签名，该答复与卡的标识符和持卡人向发卡者提供的指示符相约束。

    参考文献

    [1]塑料卡互连网：转换成商品的服务，READ.ME，圣彼得堡，1997年，No.2(40)，p.10。

    [2]Tsikhilov Aleksandr Magomedovich，实用新型“用于进入互联网的身份证”，证书No.6460，优先权日1997年4月27日，1998年4月16日在实用新型登记簿登记。

    [3]James N.Hamrick，Jr.，安全型一次性借记卡调用系统和方法，美国专利5 504 808，1996年4月2日。

    [4]B.Schneier，应用密码学：协议、算法和源代码，C卷，John.Wiley & Sons，纽约，1996年第2版，pp.784。

    [5]Alfred J.Menezes，Paul C.von Oorschot和Scott A.Vanstone，应用密码学手册，CRC Press，纽约，1996年，pp.816。

    [6]GOSTR 34，10-94信息技术，信息的密码保护，基于不对称密码数算法生成和核对电子数字签名的方法.标准出版社，莫斯科，1994。

    [7]GOSTR 34，10-94信息技术，信息的密码保护。散列函数，标准出版社，莫斯科，1994。

    表I  标识符(ID)    核对符   帐户   签认   78564636  2903857097   67480404  6503602560   76503306  5686892445   90476597  3987658782   75849008  6859522356

    表II  标识符(ID)    核对符   帐户   签认   78564636  2903857097   67480404  6503602560   76503306  5686892445   1001   90476597  3987658782   75849008  6859522356

    表III  标识符(ID)    核对符   帐户    签认   78564636   2903857097   67480404   6503602560   76503306   5686892445   1001   已签认   90476597   3987658782   75849008   6859522356

    表IV  号码  奖品   递送地址   签认  00501   3   …   …  18765   7  …   …  90032   5

    表V  号码  奖品            递送地址   签认  00501   3  …   …  18765   7圣彼得堡莱蒂希谢瓦大街39号322房间  …   …  90032   5

    表VI  号码  奖品              递送地址    签认  00501   3  …   …  18765   7圣彼得堡莱蒂希谢瓦大街39号322房间   已签认  …   …     90032   5