[发明专利]资产存储和转移系统中的外部日志存储

说明书

相关申请的交叉引用

本申请基于2012年3月19日提交的美国临时专利申请No.61/612,783并要求其权益，该专利申请的全部内容特此通过引用被合并于此。

技术领域

本发明涉及用于通过在系统中在参与者持有的存储器之间安全地移动资产来进行支付的系统，并且特别地涉及在资产存储和转移系统中利用外部日志存储的方法和系统。

背景技术

参考图1a和1b，根据申请人的PCT专利公开号WO2011/032257和WO2011/032271的资产存储和转移系统2包括被配置为通过通信介质6交换消息的至少两个存储介质4，其中这两个公开的全部内容特此通过引用被合并于此。每个存储介质4包括被配置为使得存储介质4能够通过通信介质6发送和接收消息的输入/输出（I/O）接口8；响应于所接收到的消息而记录到存储介质4的内容转移并从存储介质4转移内容的控制器10；以及存储器12，其存储存储介质4的相应的唯一标识符14、被唯一地分配给存储介质4的私钥16和证书18、到和从存储介质4的内容转移的日志20以及存储介质的当前内容（Cur.Val）22。

私钥16和证书18使用例如熟知的公钥基础设施（PKI）技术促进加密和数字签名功能性。为此，私钥16和证书18典型地将由诸如例如Verisign（TM）的受信任发行机构来生成。

预期存储介质4可被构造为适于分发和被个人使用的物理装置。例如，多个这样的装置可商用。如图1b中所示，存储介质4可被配置成连接到用户的通信装置24以便通过数据网络26进行通信。这样的个人化的存储介质4可以以任何合适的外形因子被制造，包括但不限于通常用于智能卡、USB闪速驱动器或存储卡中的外形因子。I/O接口8可被提供为任何合适的通信链路，诸如例如，通用串行数据（USB）或微型USB连接、蓝牙（TM）或红外无线连接。在需要时可以使用其他连接技术。优选地，I/O接口8被设计为使得用户能够将他们的存储介质4容易地且可靠地连接到通信装置24以及从通信装置24断开连接，并且，在连接时，促进存储介质4与通信装置之间的信息的安全转移。由于该原因，在其中使用无线接口技术的实施例中，优选的是，无线连接在非常有限的距离范围（例如10cm左右或更小）内是可工作的，以便减少功率需求并增强安全性。各种已知的射频电磁或磁耦合技术可被用来实现在该距离处的无线连接。

通信装置24可以采取任何合适的外形，包括但不限于：个人计算机（PC）、笔记本PC、个人数字助理（PDA）、蜂窝电话、销售点机器等。

控制器10和存储器12可以例如被构造为使用已知的用户标识模块（SIM）技术的安全模块30。然而，这不是必要的。优选地，存储介质4被配置为使得控制器10和存储器12不能在无需破坏控制器10和存储器12的情况下被从存储介质4移除。将SIM技术用于控制器10和存储器12的构造是有益的，因为其能够使得ID 14、私钥16和证书18以使得其决不会被破坏（在不破坏整个令牌的功能性的情况下，这对用户来说是不便的，但维持了安全性）的方式被永久地存储在存储介质4中，并且对存储介质4进行“非法闯入（hack）”或者反向工程以发现私钥16或修改存储介质4的日志20、当前内容（Cur.Val）22或操作中的任一项是不切实际的。因此，系统2的每个用户有很好的理由相信任何给定存储介质4的ID 14、私钥16和证书18之间的关联是唯一的并且不能被欺骗性地复制。

如上面指出的，日志20维持资产转入和转出存储介质4的记录。在一些实施例中，记录在日志18中的信息包括被存储介质4接收或发送的每个资产转移消息的内容。在一些实施例中，可将每个资产转移消息的摘要而非全部内容记录在日志20中。在某些情况下，摘要可采取在资产转移消息的至少一部分上计算出的哈希的形式。原则上，例如，记录所接收到的值转移消息的哈希能够在最小化存储日志20所需的存储空间量的同时实现对重复消息的有效检测。这继而增大在存储介质4需要被复位之前可被存储在日志20中的交易数量。

然而，这种方法的限制是，它增大错误地检测重复转移消息的可能性。例如，如果哈希长度是16位，则存在2¹⁶ = 65,536个可能的不同哈希值，并且两个有效的转移消息产生完全相同的哈希值（并且因此被存储介质4拒绝)的可能性是1/65,536。在某些情况下，该值太高。

期望用于解决该限制的技术。

发明内容