专利名称:卡发行系统和处理的制作方法
技术领域:
本发明一般涉及发行信用卡、智能卡、借记卡、ATM卡、身份卡、安全卡等的自动自助式卡发行机,尤其涉及增强自动式卡发行机的卡发行的安全性的过程。
背景技术:
载有用户特定信息的个人专用卡(如信用卡)通常通过邮件传送将卡发行给用户。在世界各地,不能充分依赖邮政系统。因此,信用卡和其他个人专业卡通常在金融机构或者发行卡的其他机构申请和发行。对于为了申请和/或获得发行卡而必须本人多次出现在这些机构的终端用户而言,这是十分不便的。
另外,存在许多这样的情况,当卡丢失、被盗、受损和/被毁时,用户需要能够便利地获得一张替换卡。在许多情况中,如在旅行时,持卡人为了获得一张替换卡或附加卡不得不访问金融机构,这是十分不便的。
为了解决这些问题,卡发行正在向使用自动自助式卡发行机来直接向客户发行个人专用卡发展。这些卡发行机在许多方面类似于自动柜员机(ATM)工作,允许客户选择所需卡的类型,机器用客户信息对卡作个人信息处理,接着将卡直接发行给客户。
在已经公布的PCT申请WO 92/17856中揭示了自动自助式卡发行机。这篇文献中描述的卡发行机能够在不出席的地方直接向客户发行个人专用卡,如信用卡(即MasterCard、Visa等),通过机器对卡作个人信息处理。
在自动自助式卡发行机中首要问题之一是对待通过机器发行的卡的安全性的要求。对于发行信用卡和其他高价值金融卡和零售卡的机器尤其如此,因为高的货币值是这些类型的卡所固有的。因此卡在机器内时必须保障其防盗或未经授权接触以及在机器外时(如在送到机器中或者从机器中送出时)保障其防盗或未经授权接触。
那么需要做的是解决有关从卡发行机发行卡的安全性问题的系统和方法。
发明内容
本发明提供为解决有关自动自助式卡发行的许多安全性问题而设计的一种卡发行机的安全卡发行方法以及一种卡发行系统。本发明依赖于增强卡发行过程安全性的措施组合。安全性措施包括在卡发行给客户之前对来自卡装载站点的卡的跟踪和审核,控制对卡的物理接触、实时报告和监视卡交易和接下来的存单目录变化。
在按照本发明的一个实施例中,提供一种卡发行机的卡发行方法,卡发行机从卡装载站点接收卡箱中的卡,卡发行机和卡装载站点与主机控制器进行通信。该方法包括在卡装载站点给卡箱装载卡;将所装载卡的所装载卡目录发送到主机控制器;将所装载卡箱从卡装载站点输送到卡发行机,并将卡箱装载到卡发行机中;确定所装载卡箱中的所接收卡目录;及比较所接收卡目录与所装载卡目录。
由于主机控制器知道被装载到卡箱中的卡的目录,比较在卡装载站点装载后的卡目录与将卡箱装载到机器中后的卡目录能够发现卡目录的差异,由此指示在将卡输送到卡发行机期间卡可能被偷窃。
按照另一个实施例,提供一种卡发行机的卡发行方法,卡发行机从卡装载站点接收卡箱中的卡。该方法包括在卡装载站点给卡箱装载卡,并将所装载卡的所装载卡目录存储到卡箱上设置的存储器中;将所装载卡箱从卡装载站点输送到卡发行机并将卡箱装载到卡发行机中;从卡盒存储器读出所装载卡目录;执行卡箱中实际卡的目录扫描,以确定实际卡目录;及比较读出的所装载卡目录与实际卡目录。
按照本发明的另一个方面,提供一种卡发行系统,包括卡发行机,具有一卡箱,适合于将通过卡发行机发行的多张卡保持在其中。卡箱包括存储卡箱中卡的目录信息的装置。系统进一步包括一卡装载站点,在该站点给卡箱装载卡;以及与卡发行机和卡装载站点通信的主机控制器。
本发明的各种附加优点一部分将从以下的描述中给出,一部分将从描述中显而易见,或者可以通过本发明的实践而掌握。通过权利要求书中具体指出的元件和组合的方式将能实现或达到本发明的优点。应当理解,以上的一般描述和以下的详细描述仅仅是示范和说明性的,不是对所主张的本发明的限制。
附图简述
图1是说明按照本发明原理的卡发行系统的方框图。
图2A是按照本发明的卡盒的透视图,卡盒处于封闭位置中。
图2B是处于部分敞开位置中的卡盒的透视图。
图3是卡盒的内腔以及一部分外壳的透视图。
图4是内腔的侧视图,说明其与锁定机构的相互作用。
图5A是内腔和锁定机构的俯视图。
图5B是驱动锁定机构的偏心机构的俯视图。
图6是卡盒外壳的透视图。
图7是电子示意图,说明与卡盒相关的电子电路。
图8是按照本发明的卡发行过程的一个实施例的方框图。
图9是说明卡发行系统的另一实施例的方框图。
图10是图9所示实施例的卡发行过程的方框图。
发明详述参考图1,在一个实施例中,本发明涉及从自动自助式卡发行机5发行诸如金融卡(例如信用卡、智能卡、借记卡等)的卡和/或安全卡(例如身份卡、存取卡等)的系统和方法。从卡发行机5发行的卡是从卡装载站点6提供的,这里卡被装载到一个或多个卡盒或卡箱中,然后将其输送到或者装载到卡发行机5,进行卡的下一步发行。卡发行机5和卡装载站点6各自与主机控制器7通信,后者协调卡发行机5和卡装载站点6的操作。
卡发行机5与卡装载站点6之间和卡装载站点6与主机控制器7的通信较佳地是通过调制解调器和电话线实现的。然而,如果需要的话可以使用其他通信方法,如经过无线通信。此外,卡发行机5与主机控制器7之间和卡装载站点6与主机控制器7之间的通信较佳地是利用传统加密技术实施加密,以增大通信的安全性。例如,可以使用DES加密。
卡发行机5是自动装置,类似于ATM,能够从卡源中提供的多种不同类型的卡中选择一种卡、如果需要对该卡作个人化信息处理,然后基于客户选择将卡发行给客户。
在一个卡盒或卡箱内可设置多张卡,每张卡具有其自身独立位置,由此允许在任何时候从卡发行机5检取任何一张卡以及允许卡发行机5知道每张卡在卡盒中的确切位置。卡发行机设置用户接口,以允许客户选择所需类型的卡,然后机器从卡盒检取适当的卡并将该卡送至个人信息处理模块,这里如果需要的话对卡作个人信息处理。在个人信息处理后,将卡送至投递模块,它将新作的个人信息处理卡投递给客户。
如前所述,卡盒较佳地与卡一起位于卡装载站点6,然后被输送到卡发行机5,这里将其装载到机器中,进行接下来的卡发行。有关从自动卡发行机的卡发行的安全性问题之一是需要保证在卡装载站点6与卡发行机之间的输送期间以及将卡盒装载到机器中之后卡的安全性。因此,卡盒应当设计成阻止对卡的未经授权访问,由此阻止卡的篡改和偷窃。
图2-7示出能够与本发明一起使用的用于保证卡的安全性的卡盒或卡箱10的一个实施方案。具体而言,卡盒10设计成允许将可被机器5读出的独特识别号码电子存储在其上,以保证正确的卡盒插入机器中。独特识别号码也可被卡装载站点6处的合适装置读出,以保证正确的卡盒10被装载到机器5中或者从机器5中返回该卡盒。
再有,卡盒10包括与其相关的电子锁定机构,用于锁定卡盒直至该卡盒被插入到机器5中且机器释放电子锁定机构为止。电子锁定机构较佳地保持被锁定直至收到与存储在该卡盒中的锁定代码相匹配的正确锁定代码为止,由此松开锁定机构并使卡盒被打开。锁定代码应当是按需可变化的,以进一步增大安全性。
卡盒10进一步设计成能够电子存储关于在机器5之外将其装载到卡盒10中的这些卡的目录信息以及存储关于在机器5使用过程中卡盒的当前卡目录的目录信息。当卡盒10被装载到机器5中时,机器5能够读出存储在卡盒中的目录信息以及执行其卡盒中卡的自身目录扫描,以保证卡盒中的卡与原始装载到卡盒中的卡匹配。
除了以上所述的电子安全性措施外,将卡盒10设计成具有独特机械安全性特性,阻止访问其中的卡。
参考图2A和2B,可以看到卡盒10包括内腔16,它基本上被外壳18围绕。内腔16和外壳18较佳地由镁、钢或其他坚固材料制成,以阻碍未经授权访问卡盒中物品的企图。
卡盒10通常是长条形,内腔16和外壳18沿封闭位置与敞开位置之间卡盒纵轴彼此间可相对滑动,正如图2A所示,在封闭位置上阻止接触内腔16的内部,在敞开位置上允许接触内腔16的内部。图2B示出部分敞开位置上的内腔16和外壳18。在一个实施例中,内腔16通常固定于机器5内的静止结构,使得外壳18相对于内腔滑动。然而,也可以这样实现,而是将外壳18固定于机器5内的静止结构,使得内腔16相对于外壳滑动。此外,可以将内腔16和外壳18设计成以滑动以外的方式彼此间相对移动。例如,内腔与外壳能够以枢轴方式彼此连接,使得内腔与外壳在封闭位置与敞开位置之间彼此相对旋转。
参考图3和4,可以看到内腔16包括顶板20和底板22,通过一对侧壁24,26彼此间隔开来,形成一个内部空间27。顶板和底板20,22形成有多个对准的槽28a,28b,多张卡30的顶边和底边容放于其中,从而使卡30维持在内腔16的内部空间27中。顶板和底板20、22上的槽28a、28b从内腔16的一侧延伸到另一侧,每个板上的槽沿卡盒的轴间隔开来,使得每张卡30维持在一个独立位置上。
能够将内腔16设计成维持任何数目的卡30,例如200-300张卡。由于每张卡30维持在一个独立位置上,在任何时候能够确定每张卡30在卡盒10中的位置并选择卡30中的任何一张。因此,卡30可以各种类型的,即VISA、MASTERCARD、借记卡等,由于能够选择任何一张卡,由此免除了每个不同卡类型需要一个卡盒。在1998年3月27日提交的继续专利申请09/049,250中中描述了从内腔选择一张卡的合适机构,该专利申请转让给DataCard股份有限公司,通过参考引入于此。
此外,卡30或是未作个人信息处理(例如空卡)或是已作个人信息处理,这依赖于卡盒10是否与能够对卡作个人信息处理的机器5一起使用。棒条32在在其每个端部连接到内腔16一侧上的端壁24、26,而内腔16的另一侧是敞开的,正如图5A所示,使得卡30只能从内腔16的敞开一侧抽出。
现在参考图3,可以看到,底板22在其每一面上包括一对向外延伸的凸缘33a、33b,在凸缘33a、33b中形成的通道34a、34b通常平行于内腔16纵轴延伸。通道34a、34b适合于容纳外壳18的互补部分,允许内腔16与外壳18的相对纵向滑动运动,正如以下将描述的。因此在每个凸缘33a、33b的端部形成一对径向唇缘35a、35b,其作用是阻止外壳与内腔断开连接,正如下文详细描述的。
正如图3进一步示出的,底板22设置有一对凸缘36a、36b,它们分别在凸缘33a、33b上延伸,阻止从上方接触通道34a、34b。凸缘33a、33b、通道34a、34b、唇缘35a、35b和凸缘36a、36b因此形成容纳外壳部分于其中的轨道,允许内腔16与外壳18沿卡盒10的纵轴相对滑动运动。
正如图6详细示出的,外壳18是由顶壁38、第一侧壁40、第二侧壁42和端壁44形成的一般空心结构。顶壁38可滑动地设置在顶板20上,侧壁40、42可滑动地设置在内腔16侧面上,使得内腔16的内部空间27中的卡30能够完全地被封闭,正如图2A所示。
每个侧壁40、42包括向内弯转凸缘46a、46b,适合于可滑动地设置在两组凸缘33a、33b与36a、36b之间,正如图2A和2B中看到的。在凸缘46a、46b的底部上形成轨道48a、48b,分别可滑动地被容纳在通道34a、34b中,这样外壳18和内腔16彼此间可相对滑动。凸缘46a、33b和轨道48a、48b因此形成滑块,可容纳在内腔16的轨道中,允许内腔与外壳之间作相对滑动运动。
轨道48a、48b仅沿凸缘46a、46b的底部的一部分延伸,因为正如图3所示,邻近内腔16的一端对每个通道34a、34b作填充,由此形成多个挡块50(只有一个可看见),当内腔16和外壳18到达封闭位置时挡块50适合于与轨道48a、48b啮合,由此阻止运动超过闭合位置。
正如从图2A-2B能够看到的,当轨道48a,48b设置在通道34a,34b中时,唇缘35a,35b阻止轨道48a,48b受力作用被推到通道34a,34b之外。因此,试图获得对卡盒内容访问的人不能迫使侧壁40、42或凸缘46a,46b向外,因为轨道48a、48b将与唇缘35a、35b接触,由此阻止这种运动。此外,由于凸缘36a、36b覆盖通道34a、34b,试图获得对卡盒内容访问的人不能向上窥视凸缘46a、46b。因此,滑槽和轨道的设计难以打开卡盒,以获得对卡的访问。
参考图4,图中示出底板22延伸超过顶板20,从而在端壁26与底板22端部之间在内腔16的端部出现空间52。邻近端壁44的外壳18的端部设置有锁定机构54和卡盒电子电路56(被固定于外壳),当外壳18处于封闭位置中时被设置在空间52中。
具体地,最好如图3所示,外壳18的端部包括由固定于顶壁38内表面的板60和连接于板60并向着面向侧壁40的底板22向下延伸的板62形成的腔体58。腔体58被外壳18的端壁44隔离。锁定机构54包括连接于板62并设置在腔体58内侧的电机64。此外,一对侧板66、68连接于板62并向着外壳18另一侧壁42延伸。锁定机构54的锁定容纳构件70固定在侧板66、68之间,在构件70中可滑动地设置一受电机64驱动的锁定构件72,用于选择性地锁定外壳18和内腔16。
最好如图5A-5B所示,锁定容纳构件70是用具有中心凹口76的通道74形成。锁定构件72包括适合于被容纳在通道74中的棒条78和被容纳在中心凹口76中的凸起80,由此锁定构件72可相对于构件70向上和向下滑动。电机64的可旋转输出轴84通过板62延伸,并合适连接于锁定构件72,使得电机64的旋转输入被转换为锁定构件72的向上和向下直线运动。
图5B示出将旋转输入转换为直线输出运动的一种类型机构。该机构包括连接于电机64的输出轴84的圆盘82。圆盘82包括固定于其的偏心销86,它被设置在锁定构件72的孔中。当轴84旋转时,垂直力通过销86施加在锁定构件72上,由此向上和向下驱动锁定构件72,这取决于轴84的旋转方向。
正如从图3和4看到的,凸起80延伸超过棒条78,由此形成指状物88,用于锁定内腔16和外壳18。凸缘36b中包括一个槽90,允许指状物88向下穿过到通道34b中。此外,正如图6中虚线所示,凸缘46b包括一个通孔92,允许指状物88穿过凸缘36b。因此,当外壳18和内腔16处于封闭位置以及锁定构件72向下被驱动时,指状物88通过槽90和孔92延伸到通道34b中,由此阻止内腔16与外壳18的相对滑动运动。为了允许向敞开位置的滑动运动,必须向上通过驱动滑动构件72从通道34b、孔92和槽90抽出指状物88。
在腔体58中还设置了用于控制电机64操作以及给卡盒10提供各种电子安全特性的卡盒电子电路56。正如图3所示,电路板100安装在侧壁40,卡盒电子电路56设置在电路板100上。
图7是卡盒电子电路56的电路示意图,包括起卡盒10控制器作用的微处理器102。提供第一存储器装置104,其中存储有唯一地识别卡盒10的唯一识别号码。识别号码较佳地至少有48位,是唯一的,且不应是可变的,以防止某人改变号码。供本发明使用的合适存储器装置104包括由德克萨斯州Dallas半导体公司制造的DS2401硅系列器件。
提供另一存储器装置106,用于将锁定代码电子存储在其中,通过驱动器输出108控制锁定机构54的操作。锁定代码应当至少有48位。存储器装置106还能够包括控制逻辑,用于控制电子电路56的操作。供本发明使用的合适存储器装置106包括普通4kB EEPROM。
卡盒10在将其插入后必须接收来自机器5的正确锁定代码,以便允许锁定机构松解卡盒。一旦接收正确锁定代码,便通过驱动器输出108将电力送至电机64,由此驱动电机64,后者向上驱动锁定构件72,抽出指状物88。当抽出指状物88时,则能够打开卡盒。
较佳地,为了安全起见,锁定代码是可变的,因此,存储器装置106必须能够写入,从而能够改变锁定代码。然而,锁定代码应当只有在收到适当安全授权时才是可变的。例如,改变锁定代码的授权可以被直接链接到打开卡盒的能力的人(即,当卡盒被物理或电子打开时,授权改变锁定代码)。有关卡盒10打开/闭合状态的信息通过互锁输入110提供给控制器102,后者连接于一个或多个感测卡盒开/闭状态或者感测锁定机构54的状况的传感器,由此提供卡盒是否能够打开的指示。
较佳地,为了安全目的,锁定代码是可变的,因此存储器装置106必须能够写入以致于能够改变锁定代码。然而,锁定代码只有在收到适当安全授权时才应改变。例如,改变锁定代码的授权能够被直接链路到有能力打开卡盒的人(即当卡盒被物理或电学打开时授权改变锁定代码)。有关卡盒10开/闭状态的信息通过互锁输入110提供给控制器102,后者与感测卡盒开/闭状态或者感测锁定机构54状况的一个或多个传感器连接,由此提供卡盒是否能被打开的指示。
存储器装置106还存储有关卡盒10中所包含的卡30的目录信息。在允许对信息作访问的任何时刻,目录必须是可读的,存储在存储器装置106中的目录信息较佳地利用已知加密技术加密,以增大目录数据的安全性以及防止篡改数据。主机控制器7或机器5设置有适当解密能力,以便能够读出加密的目录数据。
由于存储器装置106能够写入,卡盒目录信息在装载时能够初始存储在其中以及在卡盒在机器中使用时能够周期性地更新目录信息。然而,较佳地目录信息只有在卡盒未被锁定时才被更新。
因此,在卡盒10中装载卡30时,有关卡的信息,如每张卡的类型及其在卡盒中的独立位置能够被存储在存储器装置112中。一旦输送到和装载在机器5中,机器能够执行卡盒中卡的扫描并将结果与存储在存储在存储器装置112中的目录信息进行比较,以确定是否存在差异。如果存在差异,则指示已经发生一张或多张卡的潜在篡改或盗窃。在卡盒保持在机器中期间,机器能够更新卡盒的当前目录信息,如将卡分发给客户后。
为了有助于进行卡盒中卡的扫描,最好对每张卡编码以允许机器通过读出每张卡上的编码确定卡是否存在以及卡的类型。编码可以提供在具有磁条的卡的磁条上,智能卡的智能卡芯片上,或者在每张卡的专门提供的编码位置上。通过读出编码,目录扫描能够确定正确的卡是否在卡盒中正确的各离散位置上,有助于检测是否存在潜在篡改或盗窃。
为了阻碍篡改电子电路56,包含电子电路56和电机64的腔体58中的元件较佳地被罐封或者被密封。此外,正如从图中显而易见的,无论卡盒处于打开还是关闭位置,腔体58和电子电路58都是不可接触的,由此进一步增大安全性。
为了向或来自卡盒10提供电能输入和数据输入/输出,在外壳18的外部上(如与电路板100相对的侧壁40上)设置具有四个触块114a-d(如图2A-B所示)的四引脚电子电路接口114。电子电路56包括两个引脚116、118,它们与两个触块114a、114b连接,由此将电力输入提供给卡盒。另一引脚120与其余两个触块114a、114d中的一个连接,从而能够将数据输入到卡盒或者从其输出数据。
卡盒的外壳18在其邻近接口114的外部表面上进一步包括一按钮116。该按钮116从外壳向外凸起,将其设计成配合到机器5中形成的插口中。按钮116形成使卡盒10相对于机器对准位置的装置,以保证在插入机器中时卡盒获得正确对准。因此,如果卡盒未被适当插入,那么按钮将不会配合到相应的插口中。此外,由于按钮116位于接口114附近,触块114a-d将未被啮合,以提供电力或数据通信,除非按钮116适当配合到插口中。较佳地,接口的两个触块114c、114d被短路在一起,这使得机器12能够识别卡盒10已经正确地插入。因此,在卡盒已经适当插入前不会出现打开卡盒。
虽然这里描述并示出了使用两个分别的存储器装置,但是应当认识到,如果需要的话,本发明可以使用单个存储器装置代替两个分别的存储器装置。然而,如果使用单个存储器装置,则不得不以不能改变的方式存储识别号码。
现在参考图8,示意性地说明来自卡发行机5的卡发行的过程150。在块152,目录履行请求由主机控制器7传送到卡装载站点6。响应于卡发行机5上的卡补给需求,由主机控制器7确定该目录履行请求。为了便于描述起见,假设装载在卡装载站点上的卡盒10将替代卡发行机中已经就位的卡盒,因此目录履行请求不仅应当计及已经从机器5分发的卡,而且还计及仍然保存在机器中的卡。然而,可以设想,目录履行请求能够仅反映已经发行的这些卡,使得装载在卡装载站点6上的卡仅仅补充已经在机器5中的卡。
在块154,唯一卡盒识别号码从卡装载站点6传送到主机控制器7,以致于主机控制器知道哪个卡盒正在被装载。此外,主机控制器7计算被用于控制锁定机构54操作的一个新锁定代码。
在块156,按照目录履行请求装载卡盒。一旦装载完成,将一幅卡目录图发送到主机控制器7,这里将其存储在存储器中。此外,主机控制器7将新的锁定代码发送到卡装载站点6,从而能够将其编程在卡盒中。
在块158,目录图以及新的锁定代码被编程到卡盒存储器中,然后将卡盒闭合且锁定。因此,已经被装载到卡盒中的卡的目录为主机控制器7所知,还被存储在卡盒上的存储器中。在卡盒被闭合和锁定后,在块160,将卡盒输送且装载到机器5中。
一旦卡盒已经适当地装载到机器中,同时卡盒仍然被锁定,在块162,卡发行机5读出卡盒识别号码和目录图,并将它们发送到主机控制器7。在块164,主机控制器7通过比较由机器传送的识别号码和目录图与由卡装载站点6传送的识别号码和目录图,鉴别已经将正确的卡盒插入机器中。如果得到适当鉴别,主机控制器7将锁定代码发送到卡发行机5,从而使卡盒能够被打开。
在块166,当卡盒被打开时,卡发行机5执行卡盒中卡的目录扫描。目录扫描是通过描绘每张卡在卡盒中的位置和类型进行的。然后将目录扫描发送到主机控制器,以验证所存储的目录图。因此,存储在卡盒存储器中的目录图不仅与初始装载的目录图作比较,而且装载后卡盒中的实际卡目录也与初始装载目录图作比较。
在块168,由于在使用期间卡盒中卡被腾空,卡盒存储器中的目录图以及主机控制器7的目录图能够被连续更新,如在每张卡发行后,以保证卡目录的更新版本在所有时间都是已知的。因此,每次发行卡时,有关卡类型及其在卡盒中的以前位置的信息能够被发送到主机控制器,以便更新卡目录图。此外,装载之后能够进行周期性目录扫描,以验证实际卡目录未作改变,已知卡发行除外。
在经过一段预定使用时间后,或者当卡目录开始慢速运行时,在块170,卡发行机5将补给请求传送到主机控制器7,后者又确定在块152被传送到卡装载站点的目录履行请求。
因此,本发明的卡发行过程150为从自动自助式卡发行机的卡发行提供了安全措施。过程150从装载到卡盒中的这点一直到从发行机器发行给客户的这点对卡进行审核和跟踪。另外,个别卡交易以及卡发行机操作的操作异常情况的实时监视和报告进一步增强卡发行过程的安全性。
虽然以上描述的实施例在卡发行过程期间依赖于与主机控制器7的通信,但是卡发行并不需要与主机控制器通信。
图9示出不需要与主机控制器通信的一个实施例,尤其是用于在卡盒插入机器5时验证卡目录的用途。在这个实施例中,在卡装载站点处给卡盒装载卡,将卡目录存储在卡盒存储器中,正如前一实施例中一样。在卡装载站点6确定锁定代码并将其编程到存储器中。另外,还将一个加密锁定代码存储在存储器中。机器5设置有卡盒插入其中时对锁定代码密钥解密的能力,从而使机器5能够打开锁定机构,无需与主机控制器通信。本实施例中的卡盒ID不是是否允许卡盒打开的决定因素,ID简单地可以被用作跟踪目的,以表明某一特定卡盒已经插入机器中。
在对锁定代码密钥解密并将锁定代码密钥传送到卡盒由此解开锁定机构并使卡盒能够被打开时,机器打开卡盒并实际执行卡盒中卡的目录扫描,将目录扫描与存储在卡盒存储器中的卡盒目录作比较,以确定任何差异。在检测到差异的情况中,机器5具有关闭卡盒和阻止交易和/或将检测到的差异发送到主机控制器的选项以及从主机控制器接收进一步指令。
因此,卡盒的验证和鉴别是由机器5本地进行的,无需与主机控制器7通信。然而,正如图9中虚线表示的,机器5与主机控制器7之间以及卡装载站点与控制器7之间的通信仍然能够发生,可是这种通信不是针对决定卡盒是否应当打开以及卡目录是否正确的目的。
图10示出与图9所示系统一起使用的卡发行过程180。在块182,基于预定的所需卡目录给卡盒10装载卡。在块184,一旦装载完成(或者根据需要在装载之前或之后),将卡目录图以及与操纵锁定机构的锁定代码和加密锁定代码密钥一起存储在卡盒存储器中。锁定代码和锁定代码密钥或是可由装载位置本地确定,或者可与主机控制器通信。
在块186,将卡盒输送到并装载在机器5中。然后在块188,机器读出目录图。此外,机器对锁定代码密钥解密,并将密钥返回送至卡盒。如果锁定代码密钥正确,锁定机构能够解开锁定,以允许卡盒打开。然后,如果锁定代码密钥不正确,卡盒仍然保持锁定,由此阻止来自该卡盒的卡交易。
假设锁定代码密钥正确,卡盒被机器5打开,在块190,机器实际执行卡盒中卡的目录扫描。然后将目录扫描与从卡盒存储器读出的目录图作比较,以检测是否存在任何差异。因此,在本实施例中,打开卡盒的职权以及卡目录的校验是由机器5本地进行的,无需与主机控制器7通信或者要其介入。
与前一实施例中一样,当发生卡交易以及卡盒腾空卡时,在块192,机器将保持瞬时卡目录的跟踪,以及保持当前卡目录的更新记录。
以上说明、例子和数据提供对制造和使用本发明组成部分的完整描述。由于能够作出本发明的许多实施例,而不偏离本发明精神和范围,本发明归属于以下所附的权利要求书。
权利要求
1.一种从卡发行机的卡发行方法,所述卡发行机从卡装载站点接收卡箱中的卡,卡发行机和卡装载站点与主机控制器进行通信,其特征在于所述方法包括在卡装载站点给所述卡箱装载卡;将所装载卡的所装载卡目录发送到主机控制器;将所装载卡箱从所述卡装载站点输送到所述卡发行机,并将所述卡箱装载到所述卡发行机中;确定所述所装载卡箱中的所接收卡目录;及将所接收卡目录与所装载卡目录作比较。
2.如权利要求1所述的方法,其特征在于所述卡箱包括存储信息的装置,以及进一步包括把所装载卡目录存储在所述存储信息的装置中。
3.如权利要求2所述的方法,其特征在于确定所接收卡目录包括从所述存储信息装置中读出所装载卡目录。
4.如权利要求3所述的方法,其特征在于比较所述所接收卡目录与所述所装载卡目录包括将读出的所装载卡目录发送到主机控制器,并将读出的所装载卡目录与所述所装载卡目录进行比较。
5.如权利要求2所述的方法,其特征在于确定所接收卡目录包括利用所述卡发行机取得所述所装载卡箱中卡的实际卡目录。
6.如权利要求5所述的方法,其特征在于比较所述所接收卡目录与所述所装载卡目录包括将所述实际卡目录发送到所述主机控制器,以及比较所述实际卡目录与所述所装载卡目录。
7.如权利要求1所述的方法,其特征在于进一步包括将卡目录履行请求从所述主机控制器发送到所述卡装载站点,以及其中,给所述卡箱装载卡包括基于所述卡目录履行请求给所述卡箱装载卡。
8.如权利要求2所述的方法,其特征在于所述卡箱上包括用于锁定所述卡箱的电子锁定机构,所述电子锁定机构可通过锁定代码操作,以及进一步包括在所述卡装载站点把所述锁定代码存储在所述存储信息装置中。
9.如权利要求8所述的方法,其特征在于进一步包括将所述锁定代码从所述主机控制器发送到所述卡发行机,以便操作所述电子锁定机构。
10.如权利要求2所述的方法,其特征在于所述卡箱包括存储在所述存储信息装置中的唯一识别号码,以及进一步包括将所述唯一识别号码从所述卡装载站点发送到所述主机控制器、在所述卡箱被装载到所述卡发行机中之后读出该唯一识别号码、以及比较所发送的唯一识别号码与读出的唯一识别号码。
11.如权利要求1所述的方法,其特征在于进一步包括当所述卡箱腾空卡时更新所述卡箱中的卡目录。
12.一种从卡发行机的卡发行方法,所述卡发行机从卡装载站点接收卡箱中的卡,其特征在于所述方法包括在卡装载站点给所述卡箱装载卡,并将所述所装载卡的所装载卡目录存储到所述卡箱上设置的存储器中;将所装载卡箱从所述卡装载站点输送到所述卡发行机,并将所述卡箱装载到所述卡发行机中;从卡盒存储器读出所装载卡目录;执行所述卡箱中实际卡的目录扫描,以确定实际卡目录;及将读出的所装载卡目录与所述实际卡目录作比较。
13.一种卡发行系统,其特征在于所述系统包括卡发行机,具有一卡箱,适合于将通过所述卡发行机发行的多张卡保持在其中,所述卡箱包括存储所述卡箱中卡的目录信息的装置;以及卡装载站点,在此将给所述卡箱装载卡。
全文摘要
为解决有关自动自助式卡发行的安全性问题而设计的一种从卡发行机进行安全卡发行的方法以及一种卡发行系统。本发明依赖于增强卡发行过程安全性的措施的组合。安全性措施包括在卡发行给客户之前对来自卡装载站点的卡的跟踪和审核、控制对卡的物理接触、以及实时报告和监视卡交易和接下来目录变化。
文档编号G06Q10/00GK1367912SQ99816861
公开日2002年9月4日 申请日期1999年11月5日 优先权日1998年11月10日
发明者H·V·霍勒克, W·F·克雷策, D·R·海尔格莫, F·C·巴格奥尔 申请人:咨询卡有限公司