专利名称:改进的售票方案的制作方法
本发明涉及使用ITSO方案的基本结构的改进售票方案。本文档中,术语“ITSO”意指由英国政府提出并结合到欧洲标准EN 1545中的公同操作售票智能卡组织(Interoperable Ticketing SmartcardOrganisation)标准,并且涉及当前有效的版本和将来可能有效的版本。从以下描述中可以看到,术语“售票方案”不仅仅包括传统的交通售票操作,还包括其中可以对票据、代币、货券或者处方进行确认以兑现货物或者服务的任何安全方案中。
现有ITSO方案的安全结构依赖于在各种售票用途的每个服务终端(POST)处包括(无论是售票或者验票)ITSO安全应用模块(“ISAM”)。明确的是,对于盖票戳(ticket franking)而言,在乘坐公共汽车或者经过十字转门时,ISAM所执行的方案管理功能必须在非常短的时间内完成,以免阻碍服务。
因此,在现有方案中,ISAM必需实体地安装在POST中,从而使得业务能够“离线”于任何中央主机而进行,否则中央主机会变得很慢,并且尤其是在与诸如公共汽车之类的车辆进行通信方面花费巨大。
然而,应该理解,在购票该特定情况下,这种“因为高速所以离线”的争论是没有根据的;票的选择和购买事件能够花费很多秒甚至很多分钟来完成。此外,通过安装ISAM对所有现有售票POST进行升级意味着不利成本问题,从而更加经济地提供ITSO售票的替代方式。
在广义上,根据本发明,提供了一种ITSO方案,其中能够通过在远离得到IPE的售票机(retailer)装置的位置处的多个ITSO安全应用模块(“ISAM”)之一来执行ITSO产品实体(IPE)的盖戳(seal)或者确认(validation);每个售票机服务装置通过控制装置而经由因特网或者其他网络连接到一个或者多个ISAM,该控制装置用于在由售票机装置发起的盖戳或者确认业务的整个过程中从多个ISAM中选择可用ISAM。IPE的“盖戳”在某种意义上是提供称为“消息验证码(MAC)”的验证码。其能够采用例如DES算法之类的多种已知算法实现。实质上,IPE具有创建并与IPE一同存储的签名,从而能够之后能够通过检查签名或者验证码来确认IPE。
IPE的确认是检查在盖戳IPE时所产生的在先生成的验证码的过程。确认也称为“验证”,并在远离售票机装置的ISAM处进行所述确认。在本发明所述的实施例中,盖戳IPE的过程是在远离售票机装置的ISAM处进行的。此外,验证或者确认IPE的过程也是在远离售票机装置的ISAM处进行的。
这种方案特别适合于如上所述的交通票的出售,但是也适合于对代币、货券或者其他“票据”进行盖戳的时间不紧要的其他情况中。特别是,所述方案可以用于确认制药配备和药物的处方。本发明还提供了用于产生药品处方的情况,其中,医生或者其他处方书写者采用根据以上概述的本发明的方案而盖戳的ITSO产品实体(“IPE”)形式发送处方信息。类似地,根据本发明,通过在采用ITSO产品实体(“IPE”)形式的确认装置处出示处方信息,并通过在远离用于确认所出示的IPE的(如POST的)确认装置处的多个ITSO安全应用模块(“ISAM”)之一处对信息进行确认,来确认药品处方;每个确认装置都通过控制装置而通过因特网或者其他网络连接到ISAM,该控制装置用于在由确认装置发起的确认业务整个过程中从一组ISAM中选择可用ISAM。本发明还提供用于上面概述的该种方案中的ISAM阵列,该阵列包括多个ISAM和控制装置,其响应位于远程位置的售票机或确认设备从因特网或者其他网络上发送到控制装置的售票机或确认设备请求,该控制装置用于从多个ISAM中选择可用的ISAM,并在由售票机或者确认装置发起的盖戳或确认业务的整个过程中,将该ISAM通过因特网或者其他网络连接到售票机或者确认装置。
ISAM的“队列”是多个ISAM的逻辑分组。这允许对于IPE的盖戳或者验证的多个请求能够在任何时间被提交并进行并行处理。控制装置能够为任何给定的盖戳或验证请求确定适当的ISAM。另外,ISAM能够在阵列中以逻辑分组进行排列,从而可以例如对于任何盖戳或验证请求的源提供特定分组的ISAM。在本发明的一个实施例中,所述源可以是特定的售票机或者操作者,从而可以将所述给定售票机或者操作者的请求提供给阵列中ISAM组中相应的一个。根据本发明,现在将参考附图采用实例的方式描述分布在因特网上的POST系统。
图1是本系统体系结构的概观的方框图;图2以图表形式示出事件流的概观;以及图3详细示出了事件流程。
ITSO方案使用包含与业务相关的数据的ITSO产品实体(“IPE”)工作,并且采用如上所述的算法该数据进行盖戳、确认或者验证。ITSO产品实体(IPE)本身包括多个IPE域(field),IPE域共同包括IPE。将IPE域组合为IPE的过程称为构造。在所述的实施例中,IPE的构造可以在作出确认请求的的售票机装置(POST)上进行,或者售票机装置可以简单地将IPE域提供给第三方站点,在该处用IPE域构成IPE。不管选择那一种方式,都是在远离售票机装置的ISAM处对IPE进行盖戳的。另外,对于已经盖戳的IPE的任何验证或确认的请求也在远程ISAM装置进行。IPE的域也称为组件。
从图1中可以看出,实现本发明的系统包括两个网站服务器。其中一个(“SAM阵列网站”或者ISAS)具有连接的ISAM“阵列”,该阵列通过因特网连接到另一个网站服务器上,该服务器带有由售票机运行的第三方网站(“第三方网站”),其向作为票的购买者的客户提供选择功能。
ISAM阵列可以具有任何数量的ISAM;在该情况下假设阵列中有X个这样的ISAM。类似地,在另一个服务器上可以有任何数量的第三方网站(事实上可以有任意多个第三方服务器,并且每个第三方服务器都可以具有任意数量的第三方网站);在该情况下,假设有Y个这样的网站。可以依次地从巨大数量Z个装置访问每个售票网站,希望购票的人可以访问每个所述Z个装置。
ISAM以及管理层的作用类似电话交换机,在每个会话的基础上将X个ISAM路由到Y个第三方网站,第三方网站再进而路由到Z个终端(“客户介质接口装置”)。因此存在X×Y×Z个可能连接,并且这允许在一个以上的第三方网络售票网站及更多个终端之间共享一个ISAM阵列图1所示的采用集线器形式的逻辑和物理组件与IPE处理机(handler)的组合提供了控制装置,通过该控制装置能够将IPE的确认或盖戳的请求分配到SAM阵列中适当的一个SAM或者SAM组。
在图2和3中更加详细的描述了按照以上联系图1的概述所实现的ITSO方案的事件流程。从图2中可以看出,用户采用普通方式登录到第三方网站,并且采用普通方式在客户与第三方站点之间处理购票业务,直到完成付款并确定了票的细节为止。在该时刻,第三方网站联系ITSO Sam阵列网站(“ISAS”)来建立会话。ISAS建立会话,并将会话标识符传送回第三方站点进而传送给用户。ISAS(“客户介质接口”)使用由第三方站点建立的票的细节,初始化与客户的会话,直到完成票的盖戳业务为止。
在该实施例中,IPE域是在第三方网站生成的,并且被发送到构成IPE的ISAS。然后由ISAS将IPE发送到ISAM以进行盖戳。如先前所述,还可能在售票机装置或者第三方网站处完全地构造IPE。本实施例(源自ITSO方案)的额外特征是采用一种有效的方式将构成IPE的IPE域放在一起,从而移除域之间的任何插入字符(padding),以确保IPE的结构在大小上很小,从而可以进行随后在用户智能卡(用户介质装置)上的存储。
如所述,IPE的生成可以是在POST处构造整个IPE,或者可以在POST处创建IPE域并将其发送到第三方站点以进行构造,或者可以在第三方站点创建IPE域并将其发送到ISAS以进行构造。在任意一个以上的可替换方案中,从在POST处的数据输入引起IPE在POST本身或者在第三方站点或者在ISAS处被构造的角度看,在该意义上而言,IPE是从POST或者售票机装置处得到。
图3更加详细地示出了该过程,具体而言,在特定业务会话中所使用的ISAS与单个ISAM之间的通信。
ISAM所执行的ITSO业务的细节在ITSO方案中可以全部采用传统方式。
以上方法的优点在于●不需要每个POST安装一个ISAM。
●第三方网站动态地与ISAM阵列相关联。
●因特网客户与售票网站之间的动态关联。
提供用于访问第三方站点的客户终端(“客户介质接口”或者“CMI”),并且因此ISAS具有相连的智能卡读卡器装置,ITSO产品实体(“IPE”)、ITSO格式的并且用ITSO进行保护的“票”能够采用该类型CMD(“客户介质装置”)能够支持的最大安全等级远程地加载到CMD上。此外,如果CMD是双重接口(ISO 7816-3和ISO14443)的,则该读卡器装置不需要是ISO 1443读卡器,这是优势,因为这些读卡器要更加昂贵。
尽管已经实现了基于通过网络访问的智能卡阵列的方法,同时,这些方法仅仅是用于诸如Mondex钱包目的之类的应用,这些应用局限于在充当逻辑端(peer)的智能卡之间的“值传送”协议。本发明以上所述的方案提供了ISAM与多个不同类型的CMD之间的、根据CMD能够支持的安全等级和类型的、因特网上的、动态可配置的、安全的端对端(end-to-end)协议。该安全协议可以包括以下●由卡ID得到的对每个存储器扇区的访问密码。尽管其是“明确”传送的,但其在CMD处生成,并且仅仅能够用在一个特定CMD上。
●根据共享安全密钥(卡ID导出的)的相互验证。这给出了更高等级的对CMD是真实的保证,此外,仅仅在成功地相互认证之后才对CMD进行更新。
●基于共享安全密钥(会话和卡ID导出的)安全消息发送。这就确保了在之后的传输或者再现过程中从CMD读出或者写入CMD的数据不会被改变,因为采用基于密码的一次会话将其“盖戳”。这是高于保护IPE内容本身的安全等级的。
以上所述系统自身适应于出售交通票之外的各种情况,而该ITSO方案原本是为了交通票而开发的。特定兴趣之一在于处方诈骗。
处方诈骗采用很多方式进行。目前世界上广泛采用的基于纸张的系统容易被冒充医学专家、患者以及药房和其他人的诈骗者所滥用。一段时间以来,智能卡的使用被看作是帮助对付这些诈骗者的平台,并且患者使用的智能卡方案目前的发展通常被认为是超正确的方向发展的。然而,支持多个商业实体的一种完全灵活的方案尚未出现,所述商业实体可以是药房、药物业务或者更加重要的是公共部门团体,例如涉及津贴或者特许(concessionary)类型的医疗费用报销,其主要原因在于管理这种方案的商业的和安全的变化方面的复杂程度。
ITSO安全结构能够在进行很少修改后用于对于药物处方的安全的开出、履行、支付和报销的开放方案(“开放”意思是可以用于多个用户,其中一些用户是竞争者,例如Visa就是一种开放方案)。
参考标准ITSO规范,需要对该文档进行多处修改和改进以将ITSO方案应用到防止处方诈骗的领域,如下所述。
首先,患者持有的卡还必须是安全ID卡。将采用足够安全的登记程序将该卡发布给患者,以使整个方案的操作者能够确信患者的身份可以令人满意地验证并且没有发生重复登记情况。存在多种已知的加密和安全协议技术能够使用,并且这些技术本身并不是本申请的主题。
本方案中的其他“角色”也必须具有能够通过其智能卡进行验证的身份,例如写处方的医生或者其他写处方的人士(例如对慢性疾病状况进行重复处方延长的护士长),以及按处方拿药并接收付款的药方,其可以是全部的、部分的、直接的或者给予津贴。
患者的卡中具有安全数据结构,该安全数据结构在ITSO规范中称为ITSO壳(shell)。即,实际上是多种不同类型的票的电子钱包。这些票类型具有数据项模板,数据项在每个票中或者IPE(“ITSO产品实体”)中具有预先定义。还存在称为“私有”的IPE类型,其中没有定义数据项,仅仅采用ITSO安全机制来“盖戳”票数据,从而保证了其完整性。
上述采用远程ISAM阵列并在图中示出的系统,根据可以执行发出哪个安全的处方并按其拿药,来提供可实现的方案。首先,其避免了必须将ISAM安装在每个POST中的情况,在该情况下,是指安装在医生的诊疗室和在药房。此外,其提供了一种方法,采用该方法,能够通过网络(例如因特网或者内部互联网(私有网络)版本)安全地远程下载表示处方信息的电子票。该系统通过在一个(或多个)受控位置处放置安全提供元件(ISAM)来保证票的安全性,在处方的情况是指处方发出过程的安全性。然而,ISAM还能够位于其他位置处,例如在医生的诊疗室和在药房。
采用该过程,能够在因特网上在线地选择票、对其付款并将其传送到服务用户的卡上。该结构是基于两个网站的,第一个主要用于选择和付款,第二个用于安全的传送。如果现在所讨论的票实际上是指处方,则能够按照如下对在线过程进行修改。
现在能够理解在处方的情况中盖戳IPE和确认IPE的两个阶段。在第一实施例中,医生构造IPE,这是通过在医生的诊疗室中的POST处进行构造,或者通过将IPE域发送到第三方站点并在第三方站点处进行构造。IPE包括处方数据,并且其在SAM处被盖戳。在该过程中,患者的卡也在POST机处,从而IPE的盖戳是与患者的智能卡相关的。随后,患者能够出示其智能卡,并将能够在药房处的不同的POST机上根据患者的智能卡确认所盖戳的IPE。
医生验证处方管理网站并为患者开处方。在该过程中还涉及了医生的卡。在该时刻能够同时出示患者的卡,或者能够在随后登录以“获得”处方。然后患者在处方管理站点对自己进行验证,然后该站点使用前述的同样过程启动处方下载。
当患者在药店出示其卡时,药剂师终端可以具有ISAM,或者可以在因特网上连线到ISAM阵列服务器,该服务器确认处方并对其进行相应的修改/盖章(取决于处方是一次性的还是重复性的)。然后ISAM参与安全业务记录的创建,并在随后将安全业务记录上传,以根据任何用于所涉及的特定个人的商业协议和政策来进行付款和报销。
应该注意的是,处方发出还能够在医生终端处“离线”进行,只要该终端具有三个读卡器(一个用于医生,一个用于患者以及一个用于ISAM)。还可以偶尔查寻ISAM的处方发出业务记录,其提供于药剂师的处方记录的全部记录的对比。在减小不一致和很多类型的诈骗方面上,该“闭环回路”方案将会提供与交通票领域相同类型的益处。
权利要求
1.一种ITSO方案,其中,通过远离得到ITSO产品实体(IPE)的售票机装置的位置处的多个ITSO安全应用模块(“ISAM”)之一来执行所述IPE的盖戳;每个售票机装置通过控制装置而经由因特网或者其他网络连接到ISAM,该控制装置用于在由所述售票机装置发起的盖戳业务的整个过程中,从所述多个ISAM中选择可用的ISAM。
2.一种在ITSO方案中盖戳IPE的方法,其包括在售票机装置上生成ITSO产品实体(“IPE”)的域;并通过远离得到ITSO产品实体的售票机装置的位置处的多个ITSO安全应用模块(“ISAM”)之一来构造和盖戳所述IPE;每个售票机装置通过控制装置而经由因特网或者其他网络连接到ISAM,该控制装置用于在由所述售票机装置发起的盖戳业务的整个过程中选择可用的ISAM。
3.一种ITSO方案,其中,通过位于远离得到IPE以进行确认的确认装置的位置处的多个ISAM安全应用模块(“ISAM”)之一来执行所述IPE的确认;每个确认装置通过控制装置而经由因特网或者其他网络连接到ISAM,该控制装置在由所述确认装置发起的确认业务的整个过程中从所述多个ISAM中选择可用的ISAM。
4.一种在ITSO方案中确认IPE的方法,其包括从确认装置中生成ITSO产品实体(“IPE”);并通过位于远离得到IPE的确认装置的位置处的多个ITSO安全应用模块(“ISAM”)之一来确认所述IPE;每个确认装置通过控制装置而经由因特网或者其他网络连接到ISAM,该控制装置用于在由所述确认装置发起的确认业务的整个过程中从所述多个ISAM中选择可用的ISAM。
5.一种发出药品处方的方案,其中,由医生或者其他处方书写者发出处方信息,以创建通过位于远离产生ITSO产品实体(“IPE”)的零售装置的位置处的多个ITSO安全应用模块(“ISAM”)之一盖戳的所述IPE;每个零售装置通过控制装置而经由因特,网或者其他网络连接到ISAM,该控制装置在由所述零售装置发起的盖戳业务的整个过程中从阵列中选择可用的ISAM。
6.一种确认药品处方的方案,其中,在确认装置上出示处方信息,以生成ITSO产品实体(IPE),并通过远离出示IPE以进行确认的确认装置的位置处的多个ITSO安全应用模块(“ISAM”)之一来确认所述处方信息;每个确认装置通过控制装置而经由因特网或者其他网络连接到ISAM,该控制装置在由所述确认装置发起的确认业务的整个过程中从阵列中选择可用的ISAM。
7.一种发出药品处方的方法,包括从零售装置中生成表示处方信息的ITSO产品实体(IPE);并且通过位于远离生成IPE的零售装置的位置处的多个ITSO安全应用模块(“ISAM”)之一来盖戳所述IPE;每个零售装置通过控制装置而经由因特网或者其他网络连接到ISAM,该控制装置在由所述零售装置发起的盖戳业务的整个过程中用于从所述多个ISAM中选择可用的ISAM。
8.一种确认药品处方的方法,其中出示从确认装置得到的ITSO产品实体(IPE)形式的处方信息以进行确认;并且通过远离出示IPE以进行确认的确认装置的位置处的多个ITSO安全应用模块(“ISAM”)之一来确认所述IPE;每个确认装置通过控制装置而经由因特网或者其他网络连接到ISAM,该控制装置用于在由所述确认装置发起的确认业务的整个过程中从多个ISAM中选择可用的ISAM。
9.一种在根据权利要求
1、3或者5中任意一项所述的方案中使用的ISAM阵列,所述阵列包括多个ISAM和控制装置,所述控制装置响应通过因特网或者其他网络从远程位置处的零售或者确认装置发送给所述控制装置的零售或者确认请求;在由所述零售或者确认装置发起的盖戳或者确认业务的整个过程中,所述控制装置都用于从多个ISAM中选择可用的ISAM,并通过因特网或者其他网络将其连接到所述零售或者验证装置。
10.如权利要求
7所述的ISAM阵列,其中所述控制装置用于同时将多个零售或者确认装置连接到所述多个ISAM中相应的一个上。
11.如权利要求
1到8的任意一项所述的方法或者方案或者权利要求
9或者10所述的ISAM阵列,其中,将所述多个ISAM分为独立的各个逻辑组。
12.根据权利要求
11所述的方法、方案或者ISAM阵列,其中,在所述ISAM阵列处接收来自多个第三方的盖戳或者确认请求,每个所述第三方都被分配给各自的ISAM组。
13.用于对ITSO产品实体(IPE)进行盖戳或者确认的系统,包括接口,用于接收盖戳或者确认请求;IPE处理机,用于处理盖戳或者确认请求;以及多个ITSO安全访问模块(ISAM),用于接收所述盖戳或者确认请求,其中,所述接口和所述IPE处理机用于根据控制逻辑将所述盖戳或者确认请求呈示给一个或者一组ISAM。
14.如权利要求
13所述的系统,其中所述控制逻辑用于根据所述请求的源来选择适当的ISAM或者ISAM组。
15.根据以上任意一项权利要求
所述的方法、方案或者系统,其中,所述ISAM包括智能卡。
16.根据以上任意一项权利要求
所述的方法、方案或者系统,其中,所述ISAM被实现为一个或者多个服务器上的逻辑功能。
专利摘要
在一种ITSO方案中,通过远离生成ITSO产品实体(IPE)域的售票机装置的位置处的多个ITSO安全应用模块(“ISAM”)之一来执行所述IPE的构造和初始化盖戳。每个售票机装置通过控制装置而经由因特网或者其他网络连接到ISAM,该控制装置用于在由所述售票机装置发起的盖戳业务的整个过程中从所述多个ISAM中选择有效ISAM。还能够在通过因特网或者其他网络访问的远程ISAM阵列处执行IPE的确认。远程ISAM阵列能够用于各种ITSO应用,例如交通票出售活则会药品处方的安全系统。在后者方案中,由处方书写者提供的用于盖戳的处方信息采用IPE的形式,并且随后患者能够在药方或者其他供应者处确认该处方IPE。由于ITSO方案中固有的安全性,这种方案能够用于减少处方诈骗。
文档编号G07F7/10GK1998028SQ20058001555
公开日2007年7月11日 申请日期2005年5月16日
发明者巴里·西姆·霍克菲尔德, 迈克尔·彼得斯, 斯图尔特·威廉森 申请人:埃塞博斯有限公司导出引文BiBTeX, EndNote, RefMan