用客户特定的密钥操作现金箱的方法

用客户特定的密钥操作现金箱的方法
【专利摘要】本发明涉及操作现金箱（10）的方法，在所述方法中，所述现金箱（10）的控制单元（14）的存储元件（18）中出厂存储了用于启动所述现金箱（10）的生产引导加载程序的程序数据以及用于对所述现金箱（10）发送的数据进行加密和/或对接收到的数据进行解密的生产密钥（P）。为了开始操作，所述现金箱（10）要插入至用于接收现金箱（10）的设备（30,54,62,72）中。一个数据传输连接建立至所述现金箱（10）。所述生产引导加载程序的程序数据被用于启动所述现金箱（10）的操作引导加载程序的程序数据所替换以及所述生产密钥（P）被客户特定操作密钥（A，B，C，D）所替换。
【专利说明】用客户特定的密钥操作现金箱的方法
[0001]本发明涉及操作现金箱的方法，在所述方法中，所述现金箱的控制单元的存储元件中出厂存储了用于启动所述现金箱的产品引导加载程序的程序数据以及用于对所述现金箱发送的数据进行加密和/或对接收到的数据进行解密的产品密钥。
[0002]所述现金箱尤其插入至例如自动取款系统，自动现金保险箱和/或自动柜员机等负责处理有价票据的设备中，以及现金中心的扩充基座中。当所述现金箱插入至上述设备之一后，数据通信连接就在所述现金箱与所述设备之间建立了，借助上述数据通信连接，数据可以在所述设备与所述现金箱之间传输。特别的是，数据可以传输，通过上述传输的数据，可以调整所述现金箱的调整，例如贬值单元的激活以及失活，所述贬值单元例如是用于将所述现金箱中接收到的有价票据贬值的墨水盒。特别的是，一个贬值单元何时被激活这一标准是可以改变的。另外，也可以调整和改变定时器，这些定时器对处理现金箱的过程中的各流程步骤是有效的。
[0003]为了保护这样的与安全相关的数据的传输，从而阻止操纵企图，所述设备与所述现金箱之间传输的数据是经加密的。对传输的数据进行加密的方法，例如，从文献DE102009032355中已知。但所述已知的加密方法中的一个问题是，由
[0004]于使用统一的生产密钥，因此知道这些生产密钥的人可以解密所有流通中的现金箱的数据，从而改变现金箱的调整。所述现金箱的操作者，也就是客户，要适应尤其是针对他们的个人情况的安全相关的调整。通过使用这样一个统一的生产密钥，一个客户的现金箱也可以被插入在另一个客户的设备，这使得该其他客户可以改变上述客户的调整。从没有预先公布的文件DE102010061070已知，可对于不同的设备组使用多种密钥。
[0005]本发明的目的是提出一种操作现金箱的方法，通过上述方法，操作现金箱可以变得安全，防止被操纵。
[0006]上述目的通过具有权利要求1所述的特征的方法来实现。而从属权利中指定了本发明的有益发展。
[0007]根据本发明，在用于开始操作的制造后，所述现金箱被插入到用于接收现金箱一设备中并且所述设备和现金箱之间的数据传输连接就此建立。随后，所述生产引导加载程序的程序数据被用于启动现金箱的操作引导加载程序的程序数据所替换，并且所述生产密钥被用户特定的操作密钥替换，该操作密钥用于对现金箱发送的数据进行加密和/或用于对接收到的数据进行解密。
[0008]通过使用客户特定的操作密钥，借助上述密钥，所述现金箱与所述现金箱应该被插入的负责处理客户有价票据的设备之间的通信就被加密了，这就实现了所述现金箱只能在这一个客户的这些设备上操作。特别的是，这里也就实现了现金箱的调整，尤其是安全性调整，例如贬值单元的调整，只能由所述现金箱的操作者，也就是客户来改变。因此，实现了高等级的安全性。所述生产引导加载程序被所述操作引导加载程序所替换保证了所述现金箱的固件不可以被未经授权的人所改变，因此通过客户特定操作密钥加密是不可避免的。所述客户尤其指银行以及信贷机构。
[0009]通过替换所述引导加载程序的程序数据，或者分别替换所述密钥，通常可以理解的就是在上述替换后，只有操作引导加载程序仍然能够用于启动所述现金箱以及只有客户特定的操作密钥仍然能够用于通信。因此，特别是所述生产引导加载程序的程序数据被所述操作引导加载程序的程序数据所替换和/或所述生产密钥由所述客户特定的操作密钥所覆盖。作为选择的是，所述相应的数据也可以不被覆盖，但是所述生产引导加载程序的数据以及所述生产密钥要依然存储于所述现金箱的存储元件中。在这种情况下，所述操作引导加载程序的程序数据以及所述客户特定的操作密钥被额外存储于所述存储元件中。所述生产引导加载程序和所述生产密钥失去了它们的有效性，因此对于启动而言，只有所述操作引导加载程序可是使用，对于加密而言，只有所述操作密钥可以使用。
[0010]用于接收现金箱的设备，且所述现金箱要插入上述设备中以便开始操作，这样的设备就是所谓的扩充基座，借助上述设备，就建立了与所述现金箱之间的数据传输连接。所述数据传输连接尤其是借助插头连接的形式来形成。作为选择的是，所述数据传输也可以采用无线方式，例如，借助WLAN或者无线电。扩充基座尤其可以理解为是这样一个设备，插入该设备中的现金箱用于在安全的环境中填充和/或排空，例如现金中心。
[0011]所述生产引导加载程序尤其被客户特定的操作引导加载程序所替换。作为选择的是，所述生产引导加载程序也可以首先被标准的操作引导加载程序所替换，其中随后带有关于所述客户特定操作密钥信息的数据通过所述数据传输连接从所述设备传输到所述现金箱，所述生产密钥被所述客户特定的操作密钥所替换。通过所述客户特定的操作密钥的传输，所述标准的操作引导加载程序也成为了客户特定的引导加载程序。因此也就实现了，标准的操作引导加载程序首先被统一的存储于所述存储元件中，由于所述操作密钥导致的客户特定的个体化，只有在负责处理这一客户有价票据的设备中操作现金箱才是可能的。
[0012]所述操作引导加载程序的程序数据、带有关于所述客户特定的操作密钥信息的数据和/或所述客户特定的操作密钥首先优选的由所述设备通过所述生产密钥加密，进而作为加密的数据通过所述数据传输连接传输到所述现金箱。所述现金箱的控制单元随后通过所述生产密钥对这些加密的数据进行解密，替代此处的生产引导加载程序和/或生产密钥。
[0013]因此实现了安全的数据传输，以便阻止在数据传输中的操纵以及现金箱的潜在的后续操纵。特别的是，在此也实现了，实际上也是，客户特定的操作密钥被存储，其也应该被存储。
[0014]优选的是，所述客户特定的操作密钥也存储于用于处理有价票据的至少一个在操作的过程中插入现金箱的设备的存储元件中。在所述设备与插入至该设备中的现金箱之间的通信过程中，传输的数据通过客户特定的操作密钥来加密。因此也就实现了，所述现金箱只能在其被确定为应该针对的那些负责处理有价票据的设备中操作。特别的是，在所有的在操作过程中应该插入现金箱的负责处理有价票据的设备中，，所述客户特定的操作密钥被分别存储于一个存储元件中。
[0015]在用于处理有价票据的设备与操作过程中的现金箱之间传输的数据的加密和/或在用于接收现金箱的设备与开始操作之前的现金箱之间传输的数据的加密尤其采用块加密算法。由此，实现了一个简单但是仍然很安全的加密。特别的是，使用了河豚加密算法，高级加密标准(AES)加密算法，数据加密标准(DES)加密算法和/或扩展的微小的加密算法(XTEA)。[0016]在本发明的优选实施例中，所述现金箱的存储元件中存储多个客户特定的操作密钥。在负责处理有价票据的多个设备的存储元件中，应该分别存储这些操作密钥中的至少一个，其中在这些设备中的一个设备与插入至该设备中的现金箱之间的通信采用这样方式，即所述传输的数据通过存储于所述设备的存储元件中的和所述现金箱的存储元件中的相应客户特定操作密钥以加密的方式传输。因此，也就实现了所述现金箱可以在负责处理多个客户的有价票据的设备中操作继而在多个设备组中操作。
[0017]如果所述数据在现金箱与负责处理有价票据的设备之间传输，并且所述现金箱是在所谓的挑战响应过程中插入至上述设备中的，那么会得到进一步的有益效果。这样的挑战响应过程从文件DE102009032355A1中已知。所述挑战响应过程的程序在此通过引用并入本说明书中。
[0018]在本发明的一具体优选实施例中，所述挑战响应过程包括至少以下五个步骤:在第一步骤中，带有随机数请求信息的数据通过数据传输连接从负责处理有价票据的设备传输至插入其中的所述现金箱中。随后，在第二步骤中，所述现金箱通过存储于所述控制单元中的随机数生成算法来生成随机数，并且在所述现金箱通过数据传输连接将上述随机数传输至所述设备之前，对所述随机数进行加密。在第三步骤中，所述设备解密上述加密后的随机数并生成带有至少一个控制命令的数据，其中这些数据包括所述随机数。随后，在第四步骤中，所述设备利用客户特定的操作密钥对这些数据进行加密，并将加密后的数据传输至所述现金箱。在第五步骤中，所述现金箱通过所述客户特定的操作密钥对传输至该现金箱中的数据进行解密，将解密后的数据中包含的随机数与在第二步骤中通过随机数生成算法已经生成的随机数进行比较，。
[0019]如果上述比较显示生成的随机数与第四步骤中传输的随机数是完全相同的，则所述现金箱执行上述传输来的控制命令。然而，如果上述比较显示所述随机数是不完全相同的，所述现金箱就不执行所述控制命令。特别的是，在这种情况下，所述现金箱生成一错误消息，并且将带有关于该错误消息的信息的数据存储于存储元件中和/或将带有关于该错误消息的信息的数据传输至所述设备中，该设备就是接收所述现金箱的设备。所述现金箱作为回应通过显示单元尤其显示上述错误消息。
[0020]通过以上描述的挑战响应过程，在所述设备与插入至该设备中的现金箱之间实现了一个非常安全的数据传输。通过所述客户特定的操作密钥的加密，进一步实现的是只有该客户特定的操作密钥既存储于所述现金箱的存储元件中又存储于所述设备的存储元件中时，所述现金箱与所述设备之间的通信才是可能的。因此，所述现金箱只可能在那些实际为其确定的设备中操作。
[0021]上述被存储于所述现金箱的存储元件中的并且通过其对所述现金箱发送的以及接收到的数据分别进行加密或者解密的当前的客户特定的操作密钥，尤其只可以通过当前的客户特定的操作密钥来改变。这尤其是通过，只有用当前的客户特定的操作密钥来加密的该接收到的数据，由所述现金箱进行处理，或者，分别由所述现金箱的存储元件进行处理得以实现。用另外一种操作密钥加密的数据不能被所述现金箱进行解密，未加密的数据尤其不被执行。因此，也就尤其的实现了只有通过用当前的客户特定的操作密钥进行加密的数据，才可能在所述现金箱与另外一个设备之间激进型通信，并且对所述操作密钥的改变也只有在知道了当前的客户特定的操作密钥时才能发生。[0022]所述现金箱的存储元件尤其包括闪存，所述生产引导加载程序的数据，操作引导加载程序的数据，生产密钥和/或操作密钥都存储在上述闪存中。因此，保证了所述现金箱的存储元件的结构简单。
[0023]在所述现金箱的存储元件中，优选还存储用于操作所述现金箱的固件。签名尤其是基于块加密算法的一键式消息认证码(0MAC)。
[0024]在本发明的优选实施例中，所述客户特定的操作密钥作为上述固件的一部分被存储。因此，实现了一个特别高等级的安全性，因为所述客户特定的操作密钥的操纵通常会导致所述固件也被操纵，因此所述现金箱的操作是再也不可能的了。
[0025]所述固件尤其包括一个签名。如果所述固件已经改变，则所述控制单元依赖于上述签名，通过上述签名的检查来确定所述固件的容许性。所述签名是这样一个签名，即其明确标识所述现金箱的制造商和/或服务性公司，所述服务性公司接受委托对所述现金箱进行维护。仅在所述固件的签名明确的分别标识制造商或者服务性公司时，和/或当所述控制单元通过所述签名确定了上述签名没有被未经许可的改变时，对现金箱的操作才是被允许的。
[0026]如果所述容许性的检查显示出所述固件包括一个背离因而是错误的签名，那么就不可能对所述现金箱进行操作。因此，阻止了所述固件的操纵以及所述现金箱的操纵。所述固件的检查尤其发生在所述现金箱的每一次启动时。此外或者作为选择，该检查也可以以预设的时间间隔发生。
[0027]如果所述固件只可以通过所述客户特定的操作密钥来改变，那么将会实现进一步的有益效果。因此也就实现了，所述固件只能由获得授权的人来改变，也就是由那些自己处理客户特定密钥的人来改变。因此，阻止了所述固件的操纵，进而阻止了所述现金箱的操纵。特别的是，所述现金箱的存储单元只执行那些传输到该单元中的数据，并且该数据由所述客户特定的操作密钥来加密。由另外一种密钥进行加密的数据不能被所述现金箱解密，而根本没被加密的数据也不被所述现金箱所处理。优选的是，和所述固件一起传输的签名通过所述客户特定的操作密钥进行加密，以便所述签名只能通过所述客户特定的操作密钥来处理和/或改变。
[0028]从下面的说明中得出了本发明的进一步的特征和有益效果，结合附图的下述说明参照实施例更详细的解释了本发明。
[0029]图1示出了一个现金箱的示意图。
[0030]图2示出了一个自动柜员机以及根据图1的现金箱插入至该自动柜员机的示意图。
[0031]图3示出了用于开始操作现金箱的程序的流程图的序列。
[0032]图4示出了根据第一实施例的现金箱的操作示意图。
[0033]图5示出了根据第二实施例的现金箱的操作示意图。
[0034]图6示出了根据第三实施例的现金箱的操作示意图。
[0035]图7示出了根据第四实施例的现金箱的操作示意图。
[0036]在图1中，示出了现金箱10的示意图。所述现金箱10包括一个贬值单元12，该贬值单元12用于不可逆的使所述现金箱接收到的有价票据贬值，该有价票据未示出，所述现金箱10还包括一个控制单元14，其用于控制上述贬值单元12。所述控制单元14控制所述贬值单元12，尤其是当操纵企图发生时，使得所述贬值单元12对所述现金箱10接收到的有价票据进行贬值。为此，所述现金箱10尤其要包括多个未示出的传感器，通过所述传感器可检测出操纵企图。上述传感器可以是，例如位置传感器，振动传感器，气体传感器，液体传感器和/或用于确定所述现金箱10的盖子的打开的传感器。
[0037]所述贬值单元12以所谓墨水盒的形式设计，在激活后，其通过染料对所述现金箱10接收到的有价票据进行不可逆的染色，以便这些被染色的有价票据不能够被潜在的小偷流通，因此这些被染色的有价票据对其不再有价值。
[0038]所述现金箱10可以以两种方式接收所述有价票据，既可以在接收区域以堆叠的方式也可以绕在鼓形存储器上。上述鼓形存储器尤其包括两个箔带，在上述箔带之间接收所述有价票据。
[0039]所述控制单元14包括一微处理器16，一第一存储元件18和一第二存储元件20。所述第一存储元件18和所述第二存储元件20分别以例如闪存或者EEPROM等非易失性存储器的形式设计。在一个备选实施例中，所述第一和第二存储元件18，20也可以以其他类型的存储元件的形式进行设计。进一步，另一种可能是，所述控制单元14只包括存储元件18，20中的一个。在所述第二存储元件20中尤其存储了带有关于所述现金箱10的有价票据的库存信息的数据，带有关于操纵企图信息的数据和/或带有关于维护所述现金箱10信息的数据。
[0040]所述第一存储元件18中尤其存储了用于操作现金箱10的固件数据以及用于启动所述现金箱10的引导加载程序的数据。所述固件尤其包括用于生成随机数的随机数生成算法以及至少一种密钥，该密钥用于对要发送的数据进行加密以及对接收到的数据进行解密。所述数据的加密和解密以及用到的密钥的管理将结合图2至图7进行更加详细的解释。
[0041]进一步，所述现金箱10具有一个插头连接器22，通过该插头连接器22，所述现金箱10与插入了该现金箱10的设备30之间的数据传输连接就建立了。在一个备选实施例中，此外或者作为选择的是，另外一个用于发送和/或接收数据的发送和/或接收单元要提供至上述插头连接器22。特别的是，发送以及接收数据也可以通过无线来实现，例如通过移动式无线电通信。
[0042]在图2中，示出了所述现金箱10如何插入至设备30中。所述设备30可以例如是自动柜员机、自动现金保险箱，自动收银机系统和/或用于中间存储现金箱10的机架。所述机架例如可以安排在运钞车上。
[0043]所述设备30包括一个发送接收单元32，用于对所述现金箱10发送数据以及从所述现金箱10接收数据。所述发送接收单元32具有一个插头连接器34，其与所述现金箱10的插头连接器22形成互补，以便，如图2所示，当所述现金箱插入至所述设备30中时，通过在插头连接器34和22之间建立的插头连接，数据传输连接就建立了。
[0044]进一步，所述设备30具有一个控制单元36，在图2示出的实施例中，该控制单元36包括第一子控制单元38和第二子控制单元40，通过USB数据传输连接42将上述两个子控制单元连接在一起。在本发明的备选实施例中，所述控制单元36也可以不包括两个子控制单元38，40，而是以唯一的控制单元36的形式形成。所述控制单元36，尤其是所述第二子控制单元40，通过用于数据传输的CAN总线44连接到所述发送接收单元32。因此，在所述设备30的控制单元36与所述现金箱10的控制单元14之间的数据传输可以通过在插头连接器22，34之间建立的数据传输连接来发生。
[0045]所述第一子控制单元38是一个计算机，在该计算机上使用了用于操作该计算机的常用软件，尤其使用了一个标准的操作系统。所述第二子控制单元40是专门为所述设备30开发的电子设备，在该设备上使用了主固件程序数据，该程序数据专门适合在设备30中使用以及处理安全相关的数据。在本发明的备选实施例中，也可以使用其他的子控制单元38，40。特别的是，和上面所述不一样的是，所述数据传输连接42，44也可以不通过USB数据传输连接或者CAN总线形成，而是通过其他数据传输连接形成。
[0046]所述现金箱10可以以不同的操作模式操作，其中在一关闭操作模式下，不论操纵企图是否被传感器检测到，所述控制单元14都不激活所述贬值单元12。然而，在一激活操作模式下，所有传感器被激活，以便当至少一个传感器检测到操纵企图时，所述控制单元14激活所述贬值单元12，以便将在所述现金箱10中接收到的有价票据贬值。在一传输模式下，只有部分传感器被激活。特别的是，在传输模式下，位置传感器是失活的。
[0047]当通过在插头连接器22，34之间建立的数据连接，所述设备30接收到所述现金箱10时，所述数据可以传输，通过上述数据，所述现金箱10的操作模式可以调整。进一步，通过所述传输的数据，在所述现金箱10的操作过程中可以进一步调整或者改变所述现金箱10的安全相关的调整，例如确定用于个别流程步骤的定时器。
[0048]为了阻止操纵企图，尤其是对操作模式或者定时器的非法调整，以及为了保护机密数据，数据以加密的方式通过所述发送接收单元32和所述现金箱10之间的数据传输连接来传输。为此，在所述设备30的控制单元36中以及在所述现金箱10的控制单元14的存储元件18中都存储了客户特定的操作密钥。所述客户特定的操作密钥保证了所述现金箱10只能在设备30中操作，所述客户即现金箱10的操作者操作设备30，上述过程要用到现金箱10。通过那些客户特定的操作密钥，尤其可实现的是，当所述现金箱10插入至不相关的设备中时，所述现金箱10的调整是不可能被改变的并且没有数据可以从所述现金箱10中读出。因此，安全性被进一步的增加。
[0049]通过客户特定的操作密钥的加密尤其可采用块加密算法，就此而言，所述块加密算法的数据存储于控制单元30以及控制单元14中，并且这些数据在加密过程中被执行。
[0050]在图3中，示出了所述现金箱10的开始操作的序列流程图。在程序已经开始后，在步骤S10，步骤S12中，所述现金箱10在工厂制造过程中，用于启动现金箱10的生产引导加载程序的数据以及用于对现金箱10发送的数据进行加密和对接收到的数据进行解密的生产密钥存储于所述现金箱10存储单元14的存储元件18中。所述生产密钥和生产引导加载程序统一的存储于中，由所述现金箱10的制造商制造各个的现金箱10的存储元件18中，以便使得通过所述生产密钥和生产引导加载程序可不用考虑现金箱10而，在现金箱10交付到客户之前进行都所有在开始操作中的数据传输和/或进行所有的功能测试。
[0051 ] 随后，在步骤S14中，所述现金箱插入至所谓的扩充基座中，在步骤S16中，在所述现金箱10和所述扩充基座之间建立了数据传输连接。接下来，在步骤S18中，生产引导加载程序的数据通过上述数据传输连接从所述扩充基座传输到所述现金箱10，其中所述操作引导加载程序的数据替换所述生产引导加载程序的数据。通过替换，通常可以理解的是，只有所述操作弓I导加载程序是可用的，而所述生产弓I导加载程序不再是可用的。为此，存储元件18中的生产引导加载程序的数据可以被所述操作引导加载程序的数据覆盖。作为选择的是，所述生产引导加载程序的数据和所述操作引导加载程序的数据都可以存储于存储元件18中，但是需要使所述生产引导加载程序的数据失去有效性。
[0052]在本发明的优选实施例中，所述扩充基座用生产密钥对操作引导加载程序的数据进行加密，所述现金箱10的控制单元14对与生产密钥相对应的传输的数据进行解密。因此实现了安全的数据传输。
[0053]随后，在步骤S20中，带有客户特定的操作密钥的数据从扩充基座传输到所述现金箱10，其中所述客户特定的操作密钥替换所述生产密钥。因此，优选的是所述基座依次用生产密钥加密客户特定的操作密钥，并且将相应的数据以加密的方式传输到所述现金箱10中，再依次用生产密钥对接收到的数据进行解密以及用客户特定的操作密钥替换生产密钥。随后，程序在步骤S22中结束。
[0054]通过上述程序实现了，在所述现金箱10的制造过程中，使用了统一的生产密钥和生产引导加载程序，以便使得所述现金箱10的功能测试可以统一的发生，进而使统一的制造成为可能。与具体客户相对应的个性化现金箱10只在开始操作之后发生，以便在随后的现金箱10的操作过程中，所述现金箱10只能在也具有客户特定操作密钥的设备30中操作。因此，实现了现金箱10的简单制造以及较高的客户特定的安全性。
[0055]在本发明的备选实施例中，步骤S18和S20也可以交换，也就是说，首先传输所述客户特定操作密钥，而再传输所述操作引导加载程序。进一步，另一种可能是所述操作引导加载程序和所述客户特定操作密钥在一个步骤中一起被传输。
[0056]仅在知道了当前存储于所述存储元件18中的所述客户特定操作密钥时才可能改变所述客户特定操作密钥。没有当前存储于所述存储元件18中的所述客户特定操作密钥，所述客户特定操作密钥不可能被改变。为此，所述控制单元14被特殊设计，以便使它只能处理或者执行经当前存储于所述存储元件18中的所述客户特定操作密钥进行加密的数据或者命令。相反的是，用另一种密钥进行加密的数据和/或以未加密的方式传输到所述控制单元14中的数据不被处理，或者相对应的命令不被执行。
[0057]所述现金箱10的固件尤其包括一个签名，该签名明确标识了所述固件的起源和/或该签名保证了所述固件没被改变。所述操作引导加载程序优选的包括一个签名密钥，通过上述密钥，所述控制单元14可以检查所述固件是否是被授权的制造商创建的和/或所述固件在传输过程中是否曾被改变。如果所述控制单元14确定了所述存储于存储元件18中的签名的制造商未被授权和/或所述固件已经被改变了，那么就不可能对所述现金箱10的操作，并且特别的是将一个错误消息被存储于所述第二存储元件20中和/或输出该错误消息。所述签名密钥与所述客户特定操作密钥相对应。所述签名是电子签名，优选的是数字签名。
[0058]以上述的方式阻止了所述固件被操纵。由此安全性得到进一步的增加，这是因为通过阻止对所述固件的操纵也排除了在加密时避免使用所述操作密钥。
[0059]除了所述签名之外或者作为签名的替换，还可以通过仅在知道客户特定操作密钥后才允许改变所述固件来阻止对所述固件的改变。如没有所述客户特定操作密钥，所述固件不能被改变，这样未经授权的人也就不能访问。
[0060]在图4中，示出了根据第一实施例的现金箱10的操作示意图。在上述实施例中，在所述现金箱10的第一存储元件18中只存储了第一客户特定操作密钥A。[0061]进一步，在图4中，示出了两个银行50，52，两银行分别操作一包括多个自动柜员机54的设备组56，58。进一步，示出了一个商业企业60，其操作一个包括多个自动现金保险箱62的设备组64。此外,不意性的不出了一个运钞公司66,其具有一个设备组68,该设备组包括多个运钞车70，在其中至少一个用于接收现金箱10的机架72是可供使用的。
[0062]第一银行50对于数据传输采用第一操作密钥A，所述数据传输是指该银行50的设备组56中的自动柜员机54与插入到这些自动柜员机54中的现金箱10之间的数据传输。与此相反，第二银行52对于该银行52的设备组58中的自动柜员机54采用与第一操作密钥A不同的操作密钥B。类似地，所述商业企业60和运钞公司66对于其设备组64，68的设备62，72与现金箱10的通信也分别采用合适的客户特定操作密钥C或者D。
[0063]因为在第一实施例中，只有所述客户特定操作密钥A存储于所述现金箱10中，所以所述现金箱10只能在第一银行50的第一设备组56中的自动柜员机54中操作。如果将所述现金箱10插入到第二设备组58中的自动柜员机54中、第三设备组64的自动现金保险箱62中或者第四设备组68的机架72中，则所述现金箱10和相应的设备54，62，72之间的通信将不能发生，这是因为所述现金箱10的控制单元14不能解密由设备54，62，72传输的加密后的数据，反之亦然，即所述设备54，62，72也不能解密由现金箱10传输到所述设备54，62，72的数据。
[0064]在图5中，示出了根据第二实施例的现金箱10的操作示意图。在第二实施例中，所述现金箱10的存储元件18中存储了客户特定操作密钥A、客户特定操作密钥B，客户特定操作密钥C以及客户特定操作密钥D。因此，所述现金箱10与第一设备组56的自动柜员机54之间的通信、所述现金箱10与第二设备组58的自动柜员机54之间的通信，所述现金箱10与第三设备组64的自动现金保险箱62之间的通信以及所述现金箱10与第四设备组68的机架72之间的通信是可能的，这样使所述现金箱10可以在上述四个设备组56，58，64，68中被操作。
[0065]在图6中，示出了根据第三实施例的现金箱10的操作示意图。在第三实施例中，所述现金箱10的存储元件18中只存储了第一客户特定操作密钥A。与前两个实施例相反，第一银行50将其客户特定操作密钥A提供至第二银行52以及商业企业60和运钞公司66，以便使所述设备组58，64，68的设备与现金箱10之间的通信也可以使用所述客户特定操作密钥A，这样可使所述现金箱10可以在上述四个设备组56，58，64，68中操作。
[0066]在图7中，示出了根据第四实施例的现金箱10的操作示意图。在第四实施例中，在所述存储元件18中的生产密钥P不被所述客户特定操作密钥所替换。特别的是，根据图3的用于开始所述现金箱10得操作的程序不被执行。所述银行50，52，商业企业60和运钞公司66也具有该标准的生产密钥P，以便使所述现金箱10可以在上述所有设备组56，58，64，68中被操作。
[0067]在第一存储元件18中，特别的是，至少要为所述客户特定操作密钥保留64位。在优选的实施例中，在第一存储元件18中不但存储了一个客户特定操作密钥，而且还存储了32个不同的客户特定操作密钥。要做到这一点，在至少64位的密钥长度的情况下，至少要为所述客户特定操作密钥在存储元件18中保留256字节。
[0068]所述现金箱10与所述设备30，54，62，72之间的通信尤其通过一个所谓的挑战响应过程发生。在上述挑战响应过程中，所述设备30，54，62，72首先将一个命令传输至所述现金箱10以生成一随机数。在所述控制单元14中存储了随机数生成算法，通过上述算法，所述现金箱10的控制单元14于是就生成一随机数。为了使该随机数不被第三方截获，所述现金箱10通过一挑战密钥对该随机数进行加密，并且随后将上述加密后的随机数传输至所述设备30，54，62，72。所述设备30，54，62，72于是通过该挑战密钥解密所述现金箱10传输来的数据，并且生成带有关于要被所述现金箱10执行的命令信息的数据，其中这些数据包括上述随机数。所述设备30，54，62，72通过所述客户特定操作密钥来加密这些数据，并将上述加密后的数据传输至所述现金箱10，所述现金箱10于是通过所述客户特定操作密钥再对该数据进行解密。
[0069]随后，所述控制单元14将包含在所述数据中的随机数与由随机数生成算法最初生成的随机数进行比较。如果上述两个随机数完全相同，那么所述现金箱10执行包含在所述数据中的命令。然而，如果上述随机数不完全相同，所述现金箱10不执行该命令并且生成带有关于错误消息的数据，并将该数据传输至所述设备30，54，62，72。
[0070]通过如上所述的挑战响应过程，实现了更高等级的传输安全性。因此，尤其阻止了操纵企图。
[0071]在本发明的备选实施例中，对于所述现金箱10与所述设备30，54，62，72之间的通信也可以采用上述挑战响应过程以外的其他方法。此外，另一种可能是，对于该通信也可以采用挑战响应过程以外的通信过程。
[0072]附图标记列表
[0073]10现金箱
[0074]12贬值单元
[0075]14控制单元
[0076]16微处理器
[0077]18，20存储元件
[0078]22, 34插头连接器
[0079]30设备
[0080]32发送接收单元
[0081]36控制单元
[0082]38，40子控制单元
[0083]42USB数据传输连接44 CAN总线
[0084]50，52银行
[0085]54自动柜员机
[0086]56，58，64，68设备组
[0087]60商业企业
[0088]62自动现金保险箱
[0089]66运钞公司
[0090]70运钞车
[0091]72机架
[0092]SlO至S22程序步骤
[0093]A, B, C，D, P密钥
【权利要求】
1.操作现金箱的方法， 其中在所述现金箱(10)的制造过程中，所述现金箱(10)的一控制单元(14)的一存储元件(18)中出厂存储了用于启动所述现金箱(10)的生产引导加载程序的程序数据以及用于对所述现金箱(10)发送的数据进行加密和/或用于对接收到的数据进行解密的生产密钥(P)， 其中所述用于开始操作的现金箱(10)插入至用于接收现金箱的一设备中，并且一数据传输连接在所述设备与所述现金箱(10)之间就建立了，以及 其中所述生产引导加载程序的程序数据被用于启动所述现金箱(10)的操作引导加载程序的程序数据所替换，所述生产密钥(P)被用于对所述现金箱(10)发送的数据进行加密和/或用于对接收到的数据进行解密的客户特定操作密钥(A)所替换。
2.根据权利要求1所述的方法，其特征在于所述生产引导加载程序被一客户特定的操作引导加载程序所替换。
3.根据权利要求1所述的方法，其特征在于所述生产引导加载程序首先被一标准的操作引导加载程序所替换，随后带有关于所述客户特定操作密钥(A)的信息的数据通过所述数据传输连接从所述设备传输至所述现金箱(10)，以及所述生产密钥(P)被所述客户特定操作密钥(A)所替换。
4.根据权利要求3所述的方法，其特征在于所述设备通过所述生产密钥(P)对带有关于所述客户特定操作密钥(A)信息的数据进行加密，以及所述现金箱(10)的控制单元(14)通过所述生产密钥(P)对上述 数据进行解密。
5.根据前述权利要求中任意一个所述的方法，其特征在于所述操作引导加载程序的程序数据和/或所述客户特定操作密钥(A)首先通过所述生产密钥(P)由所述设备进行加密，其次通过所述数据传输连接以加密的方式传输至所述现金箱(10)，随后通过所述生产密钥(P)由所述现金箱(10)的控制单元(14)进行解密。
6.根据权利要求4或5所述的方法，其特征在于所述数据通过块加密算法进行加密。
7.根据前述权利要求中任意一项所述的方法，其特征在于所述客户特定操作密钥(A)存储于至少一个用于处理有价票据的设备(30，54，62，72)的存储元件中，在操作的过程中，所述现金箱(10)应该插入至上述设备中，以及在所述设备(30，54，62，72)与插入至所述设备(30，54，62，72)的现金箱(10)之间传输的数据通过所述客户特定操作密钥(A)以加密的方式进行传输。
8.根据前述权利要求中任意一项所述的方法，其特征在于多个客户特定操作密钥(A，B，C，D)存储于所述存储元件(18)中，在多个用于处理有价票据的设备(30，54，62，72)的存储元件中分别存储了至少一个所述操作密钥(A，B, C，D)，以及分别在所述设备(30，54，62，72)中的一个设备与插入至该设备(30，54，62，72)的现金箱(10)之间传输的数据通过相应的客户特定操作密钥(A，B, C，D)以加密的方式传输进行传输。
9.根据前述权利要求中任意一项所述的方法，其特征在于所述数据在一挑战响应过程中在所述现金箱(10)与用于处理有价票据的设备(30，54，62，72)之间进行传输。
10.根据权利要求9所述的方法，其特征在于在所述挑战响应过程中，在第一步骤中，带有随机数请求信息的数据从用于处理有价票据的设备(30，54，62，72)传输至所述现金箱(10)，在第二步骤中，所述现金箱(10)通过存储于所述控制单元(14)中的随机数生成算法生成一随机数并且将该随机数以加密的方式传输至所述设备(30，54，62，72)，在第三步骤中，所述设备(30，54，62，72)对上述加密的随机数进行解密并且生成带有至少一个控制命令的数据，其中这些数据包括所述随机数，在第四步骤中，所述设备(30，54，62，72)对这些带有所述客户特定操作密钥(A)的数据进行加密并且将其传输至所述现金箱(10)，在第五步骤中，所述现金箱(10)通过所述客户特定操作密钥(A)对传输至其中的数据进行解密，并且将其中包含的随机数与在第二步骤中生成且传输的随机数进行比较，以及如果上述比较显示上述随机数是完全相同的，那么所述现金箱(10)只执行该由所述设备(30，54，62，72)传输来的命令。
11.根据前述权利要求中任意一项所述的方法，其特征在于所述客户特定操作密钥(A)只可以通过当前的客户特定操作密钥(A)来改变。
12.根据前述权利要求中任意一项所述的方法，其特征在于所述现金箱(10)的存储元件(18)包括一非易失性存储器，尤其是一闪存，其中存储有所述生产引导加载程序的数据、操作引导加载程序的数据，生产密钥(P)和/或操作密钥(A，B, C，D)。
13.根据前述权利要求中任意一项所述的方法，其特征在于在所述现金箱(10)的存储元件(18)中存储了用于操作所述现金箱(10)的固件，以及所述客户特定操作密钥(A)作为该固件的一部分被存储。
14.根据前述权利要求中任意一项所述的方法，其特征在于用于操作所述现金箱(10)的固件存储于所述现金箱(10)的存储元件(18)中，所述固件包括一个签名，所述现金箱(10)的控制单元(14)根据 所述签名确定所述固件的容许性。
15.根据前述权利要求中任意一项所述的方法，其特征在于用于操作所述现金箱(10)的固件存储于所述现金箱(10)的存储元件(18)中，所述固件只可以通过当前的客户特定操作密钥(A)来改变。
【文档编号】G07D11/00GK103460260SQ201280015758
【公开日】2013年12月18日 申请日期:2012年3月21日 优先权日:2011年3月21日
【发明者】克里斯托夫·施密特, 萨莎·林格尔 申请人:德利多富国际有限责任公司