专利名称:应用专用智能卡发布公章和/或标题的分布式系统的制作方法
技术领域:
本发明主要涉及一种用于发布公章(official stamp)和/或标题的分布系统,该系统尤其适合由那些意图自己直接发布自身的邮资标记(franking mark)和自己的公章的商业和/或工业和/或专业用户使用,对烟草商之类的全国性批发商而言,本发明涉及的是供个人使用的公章的分发系统,特别地,该公章即为邮票。
更为特别的是,本发明涉及一种系统,其中包含了遍布于国土并适于发布公章和/或标题的多个终端,并且还包含了为单个终端的操作者分配的相应的多个智能或激活卡。
此外,本发明还涉及一种遍布于国土并且用于发布公章和/或标题的本地终端以及相应智能卡,其中对这些设备进行了预先调整,以便作为系统内部的基本部分来运作。
为了简单起见,在描述过程中将会非常宽松地使用术语“公章”来表示对象和标题的完整范围,其中举例来说,所述公章通常是适合在验证和/或法律认可文件的过程中使用的邮票和/或印花税票和/或带邮戳的标题和/或普通标签和/或简单印记和/或其他相似对象。
背景技术:
当前有多种得到邮政总局认可的机械类、电机类或是电子或数字类设备是已知的,这些设备可以在商业贸易中使用,以便将打印和/或印章并置,从而证实已经支付了关于邮资的应缴款项。
众所周知,这种设备通常称为邮戳盖印机(franking machine),由于它能够满足大量邮政货运的盖邮戳操作中的安全性和实用性需要,因此在商业上取得了很大成功。
通常,自动产生邮票的系统是众所周知的,特别地,从与1925年3月24的美国专利1,530,852相对应并由Arthur H.Pitney发明第一台邮戳盖印机以来,这种系统已经应用了很长一段时间。
在现有技术中,邮戳盖印系统变成了人工干预减至最小的高度自动化的系统。
多年来,虽然邮戳盖印机的形状和结构发生了无数变化,但是其中一个需要却始终保持不变并且不断地引导着研究方向,那就是为邮政系统提供防范欺诈风险的更高安全等级。
实际上,在邮戳盖印机打印邮票或邮政印记的时候,它必须在绝对安全的条件下操作,从而避免或者至少最小化打印未经许可的邮票的风险以及随后出现的严重损害邮政总局的风险。
过去,在邮戳盖印机上实施的主要安全措施都具有物理特性。例如,在机械的邮戳盖印机中为打印设备和计算设备施加了安全部件。近年来则引入了那些基于加密技术应用的系统,以便确保数字打印的邮票的有效性。
然而,目前使用或建议的安全系统仅仅降低了与邮票的非法打印相关联的风险,但却没有完全消除这种风险。并且这种风险完全是由邮政总局在使用预付费卡打印邮票和使用远程支付系统的情况下产生的。
因此,从专利文献US5,111,030、US5,539,190、US5,917,924、US6,199,752中可以了解到其他那些用于发行邮资标记并且通常会发行邮票的系统,其中包括使用一个或多个智能卡,以便在管理那些用于产生邮票的数据以及设备的过程中确保更高的安全性。
特别地,这些解决方案可以在同一个邮戳盖印机上共同使用多个智能卡,由此允许不同用户使用邮戳盖印机。
然而不幸的是,这些解决方案同样存在着过于复杂并且无法通用于产生分布式公章发布系统的缺陷。
回到当前的上下文,邮戳盖印市场需要更为直接和有效的解决方案,以便在使用地发布邮票产品以及相似对象,例如印花税票,此外还需要那些能够允许服务供应商(邮政总局)及时检查市场趋势的解决方案。
一般来说,针对这些市场需求的解决方案必须满足多种标准,例如·服务灵活性;·降低用户或零售商在管理公章发布方面所要投入的现金金额的绝对最小值;·优化可用的大小和面额种类,从而满足用户的需要和/或客户的需求;·取决于邮政服务运营商需要的印记图形符号的可变性;以及·定制印记内容或者至少一部分印记内容、以便允许传递广告信息的可能性。
发明内容
因此,本发明的主要目的是制造一种用于发布公章和/或标题的系统,该系统是以使用多个遍布国土并且在物理和逻辑上受到保护的本地终端或邮戳盖印机为基础的,其中所述本地终端或邮戳盖印机能够改善现有技术所提供的发布系统的性能,特别简单,用途更广泛,并且还能在时间上确保更高的安全等级,从而防止非法使用邮戳盖印机来发布公章和/或标题。
本发明的另一个目的是允许“实时”产生公章,以便大幅削减零售商和最终用户在邮票和印花税票库存方面投入的资金额,此外还允许对那些当前可以在商业贸易中找到的公章面额种类进行优化。
上述目的是由这个用于发布公章和/或标题的系统实现的,其中该系统具有主独立权利要求中定义的特征,尤其包含了多个遍布国土的本地终端,以及为单个本地终端的操作者分配的相应的多个智能卡,其中每一个终端或邮戳盖印机都适合与单一的相应智能卡进行协作,反之亦然。
更详细地说,依照本发明的系统,在这里提供了不同的终端,以便经由通信网络来向中央控制单元(服务中心)发送那些与涉及公章发布的本地操作执行过程有关的数据,智能卡则转而是作为一个用于明确激活相应单个终端的装置使用的,此外,智能卡还被用作了一个通过将终端与外界相比较来识别和验证数据的装置。
本发明的这些及其它特征将从下文中参考附图所进行的关于优选实施例的描述中变得更为清楚,其中所述优选实施例是作为非限定性实例提供的,并且其中图1显示的是依照本发明用于发布公章和/或标题的系统的概括性框图,所述系统包括遍布于国土的多个本地终端;图2显示的是属于图1中的系统的常规本地终端的详细框图;图3显示的是适合与图2中的终端协作的常规智能卡或激活卡的功能图;图4示意性显示了由图2中的本地终端所发布的公章,例如用于邮递的邮票;以及图5是与图1中的系统结合使用而对关联于相应激活卡的各个本地终端进行初始化的初始化程序的流程图。
具体实施例方式
参考图1,依照本发明用于发布公章和/或标题25的系统一般是用数字10表示的,并且在下文中将公章和/或标题通称为公章,该系统包括多个部件,这些部件适合通过双向箭头15象征性表示的通信网络而在彼此之间进行协作,从而交换数据和信息以及共享资源和功能。
系统10可以生成的公章和/或标题25具有多种形式并且可以满足不同目的例如,它们可以包括用于递送包裹和/或邮寄文档的邮票、也可以是用于文档验证和/或法律文书的公证手续的刻印,甚至是施加和/或打印在所要验证的物品上的简单印记和/或其他对象。
系统10的主要部分包括在相应操作者之中并且遍布于国土的众多本地终端11,这些终端是为了实际发布公章和/或标题25而被提供的;服务中心12,在下文中也将其简称为中央单元,它适合从中心站对不同终端11进行控制并且执行整个系统10的控制功能;以及与服务中心12相关联并且适合为系统10提供支持功能的技术支持中心13。
作为基本特征,系统10还包括多个激活卡21,它们在物理上不同于终端11并被分配给了终端11的操作者,如稍后更全面描述的那样,这些激活卡旨在由操作者使用,以便激活终端11,以及还对终端进行预先设定,以便执行公章和/或标题的发布操作。
在结构和功能特性方面,这些激活卡21与在市场上现今到处存在的所谓的“智能卡”是相似的,因此,在下文中无差别地将其称为激活卡或智能卡。
如先前所述,智能卡是已知的并且已经广泛应用了一段时间,因此,基于简洁原因,在这里只对其进行概要描述,要了解更进一步的细节,可以参考关于这个主题的现有技术文献。
为了清楚起见,在这里只需要回想每一个智能卡或激活卡21都具有符合国际通用规则和标准的定义明确的结构和量度,并且所述智能卡或激活卡实际是由一个使用塑料材料制成的平面矩形形状的支架构成的,其中该支架包括具有计算和存储功能的微电子电路。
在智能卡21的表面上还具有多个触点20(图3),在将激活卡21插入相应读取器的时候,这些触点适合与相应的外部触点建立电连接,从而允许在读取器与智能卡21之间交换数据。
稍后将会通过描述本发明所设计的初始化程序来提供记录在典型的智能卡存储器中的数据的更多细节,其中所述程序具有对关联于相应智能卡21的指定本地终端11进行初始化的功能。
为了交换数据和信息以及共享资源,服务中心12转而连接到用数字14表示的那些已经存在于地域之中并且适合与系统10进行协作的主体和/或组织,例如意大利邮政总局(Italian Postal Authority(Poste Italiane)),此外,服务中心12还连接到用数字16表示的一个或多个与服务中心12订立了协定的银行,例如Post Office Bank(Banco Posta)。
特别地,与服务中心12订立协定的银行16是为了接纳和管理那些为终端11的操作者所建立的多个帐户16a而被提供的,其目的是记帐并记录那些在通过终端11所进行的公章25的发布操作中涉及的现金交易。
根据本发明的目的,在邮局外部,根据执行、使用和/或消耗大量公章和/或标题所进行的工作类型,可以将终端11分配给大范围的机构、办公室以及销售点。特别的,这些机构、办公室和销售点可以如下细分商业、工业、机构和社会用户、专业工作室,它们通常被称为“私人用户”或“直接用户”,并且是用一个由虚线分隔的区域17来表示的,这些用户直接将大量的公章、尤其是邮票用于自身的工作。当前,其中有很多必须处理大量信件的用户已经配备了邮政总局分发和/或推荐的设备,以便直接发布自己的邮资标记;邮票和/或供个人使用的其他公章的分发者,例如烟草商,其中所述分发者是用一个由虚线分隔的区域18象征性表示的,至少在意大利,这些分发者通常会分发那些与相似产品或垄断控制的商品相关联的邮票。如下文中更多描述的那样,本发明的系统10将会为这些分发者带来某些经济和安全方面的优点。
为了清楚起见,在图1中将那些遍布国土的本地终端11分组到如上所述的两种用户类型功能中。
相对于图1中的图示而言,图2中的图示旨在提供关于各个终端11的结构及其与系统10的其他部分的交互方式的更详细显示。
特别地,图2显示了每一个终端11如何在系统10的常规通信网络15内部与相应通信线路15a进行关联而与服务中心12交换数据和信息,其中该线路15a是用双向箭头表示的。
从结构的角度来看,每一个常规的本地终端11包括用图2中的矩形示意性表示的外壳11a,该外壳支持并容纳终端11的不同部件;适合通过例如外壳11a中的插槽11b而与相应智能卡或激活卡21协作的读取器22,如上所述,该智能卡或激活卡具有多种功能,尤其是激活终端11的功能;适合在终端11外部发布多个公章和/或标题25的打印机23,在图2中,该打印机是用矩形标签示意性显示的;存储单元24,其中包含了对发布公章和/或标题25的操作进行管理所需要的程序、数据和信息;接口电路27,该电路通常包含了所谓的调制解调器(源于调制器-解调器),它是为了管理终端11与服务中心12之间的通信、即通过线路15a所进行的数据和信号交换而提供的;显示器28,用于显示本地终端11所处理的数据和操作;键盘29,用于允许操作者将数据和指令输入终端11;以及电子控制单元26,它整体上包含了电子电路,在这个电子电路中通常包括一个负责控制终端11的常规操作的微处理器26a或CPU(中央处理单元)。
在终端11与服务中心12之间通过线路15a所进行的数据交换是依照经过测试的公知传输形态及协议来执行的,在这里将不再对其进行描述。
此外,打印机23具有已知的特性,例如热转移类型,由此该打印机适合借助热效应并且通过有选择地将墨水从色带传送到纸打印介质而生成标题和/或公章25。
公章为了更多地理解本发明,现在将参考图4来提供出现在公章或标签25上的数据和信息的一些细节,其中所述公章或标签25是由系统10内部的常规本地终端11发布的。
应该强调的是,出于清楚和有利时机的原因,以下描述将会引用一个公章25,其中将该公章配置成一个用于验证邮递文档的普通邮票,但是这其中并没有任何限制目的。
通常,由本发明的系统10所发布的邮票25具有一种材料结构、一种形状以及一个相关打印数据布局,这些特性与当前应用并且已知的那些自动邮戳盖印系统所发布的邮票的特性实际上是相同的。
非常有利的是,终端11的打印机23可以将邮票25打印在一张具有一个粘性侧面的纸上,由此很容易将邮票25贴到所要投递的相应文档上。
此外,打印机23也可以将邮票25作为直接打印在邮递文档上的印记而生成所述邮票25。
另一方面,对于出现在邮票25上的数据而言,在沿着一个顶面的方向,邮票25具有一个标有邮政总局符号或标志的区域25a,与区域25a相邻的是出于安全目的提供的荧光带25b,由此允许借助于邮政文档自动处理设备来管理邮戳。
在区域25a的下方,该邮票25具有一个定义了条形码的侧面25c,其中该条形码通常是作为棋盘格表示的,在荧光条25b的下方则是一个标有邮票25的金额的区域25d。
该金额打印在一个反光背景上,其目的是防止影印邮票25。
此外,在区域25d的下方,标签25具有大量数据,其功能是对邮票、相应的邮政服务类型进行识别。
最后,邮票25具有一组字母数字数据,这些字母数字数据通常用25e表示,其中一些字母数字数据采用了适合表征邮票25并为执行安全功能而特别提供的编码形式。
从以上描述中可知,标签25具有很容易适配和修改的特性及结构,这样一来,不但可以将标签25用作邮寄邮票,而且还可以将其用作印花税票或其他公章,其中不但可以将25用作用于邮递的邮票,而且还可以将其用作印花税票、很大范围的公章和/或标题中的其他公章或其他标题。
关于依照本发明来发布公章和/或标题的系统操作的描述现在将对用于发布公章和/或标题25的发明系统10的操作进行描述。
应该指出的是,作为前提,后续描述大体涉及的是系统10的操作部分,例如初始化程序,相对于现有技术,该程序最大程度地限定了本发明。
为使信息完整,在这里将对系统10提供并与当前用于邮戳盖印以及发布公章的系统相似和/或相同的程序进行概述,但是这种描述仅仅是概括性的,同时,为了了解更多细节以及这里并未描述的内容,可以查阅已知技术以及关于这个主题的文献。
通常,对系统10的整体性操作、尤其是本地终端11发布公章和/或标题25的实际可用性而言,它们全都基于在系统10的每个终端11中为受保护并且不可修改的机器程序所提供的预先设定,此外还依赖于随时可用并在与服务中心12签订协定的银行16那里具有相应的帐户16a,其中所述协定是由终端11的操作者订立的,此外,这些操作和可用性还依赖于得到授权和确认的机构结合涉及所述帐户16a的参考记录而为智能卡21提供的不可逆定制。
实际上,只有在具有所述经过验证的银行存款并且在该存款中加入了适当金额的情况下,系统10才可以支持并管理现金收入记帐和信贷操作,这些操作都是终端11自行管理的发布公章和/或标题25的后续操作所必需的。
初始化过程和程序依照本发明的系统10的基本特征相一致的是,在实际发布公章和/或标题25之前,在初始化或安装阶段,必须结合相应的智能卡21来对每一个处于相应用户位置的本地终端11进行恰当的初始化,而在所谓的预初始化或个性化阶段已经转而以一种与相应存款或帐户16a明确关联的方式而对智能卡21进行了适当的预先调整和定制,其中所述存款帐户是由一个与服务中心12签订协定的银行16开户的。
初始化阶段确切并且恰当地包括在相应目标终端11中引入预先设定和定制的智能卡21,随后激活一个特定的初始化或安装程序,其中所述程序一般是用数字40表示的(图5)。
这个受保护并且不可修改的初始化程序或过程40整合在系统10的内部,尤其存储或预先加载到终端11的存储器24内部,该程序不但用于管理智能卡21的初始化,而且一般还对智能卡21与相应本地目标终端11之间的交互和数据交换进行控制,并且对本地目标终端11与中央单元12之间的交互和数据交换进行控制,由此构成了终端11的确切和恰当的机器程序,这个程序也称为固件。
这个初始化程序通常是响应于在相应目标终端11中引入了尚未初始化的智能卡21由系统10提出的,此外也可以根据终端11的通常操作者的命令来执行这个程序。
然而,在不脱离本发明范围的情况下,初始化过程还可以在安装终端的位置执行,或是在得到授权的中心由终端11的通常操作者之外的专业人员执行,特别地,这些专业人员具有由系统10的操作者核发的恰当的个人识别卡,以使他们能够执行安装程序。
在执行这个特殊程序的同时,该程序将会确保智能卡21与相关终端11建立一个具体的双向明确的对应关系,这样一来,一旦结束初始化阶段,那么只有在识别出相应智能卡21之后,才会启用本地终端11来发布标题和/或公章25,反之,智能卡21只适合由相应的操作者用于启用相应终端21。
特别地,这个特殊和双向明确的对应关系是以记录适当的数据和/或标识符及识别码为基础的,其中所述记录与终端11、相应激活卡21以及服务中心12这些包含在初始化过程中的不同部件是对应的,并且在使用过程中,所述数据、标识和标识码会以不可分离和明确的形式将这些部件相互绑定。
换句话说,初始化程序在预先考虑了用于发布公章25的终端11的未来应用的情况下,而在所述终端11与相应智能卡之间创建了明确和不可分解的绑定,其中所述绑定是以这样一种方式创建的,在这种方式中,其中一个设备在独立于另一个设备的情况下将无法工作或是使用,反之亦然。
为了增加对于本发明的理解,现在将参考图5中的流程图来提供该程序以及相关的初始化程序40的更多信息和细节,此外还提供了系统10如何支持该程序的信息和细节。
首先必须指出的是,从涉及包括系统10在内的电路之类的结构部件的物理角度,以及从涉及作为系统10的一部分而被整合和激活的程序的逻辑观点来看,以这个初始化或安装程序40为基本特征的系统10都是以一种定义了受保护的结构的方式,并且在系统10的操作者的排它控制下产生的。
正如先前所预期的那样,初始化程序40的有效执行过程是在所谓的预初始化或定制阶段之后,在图5中,这个预初始化或定制阶段是用数字41表示的,对仍旧是新卡、也就是处于供应或制造时的状态中的智能卡21而言,为了将其中每一个智能卡关联于相应帐户16a,在这个阶段将会预设或定制这些智能卡,其中所述相应帐户16a是由一个与服务中心12订立协定的银行16开设的。
特别的,这个定制处理是通过在各个智能卡21上记录那些用于识别相应银行帐户16a的所有者的数据来实施的。
为了便于理解描述,现在将参考图3来提供一些关于通用智能卡21的特性的信息,其中所述智能卡是依照这种产品通常采用的类型及标准来制造的。
每一个智能卡21内部都具有一个存储器35,该存储器中保存了两个分别由35a和35b表示的数据字串,每一个数据字串都定义了一个密钥,其中第一个密钥35a是保密的,也就是说,该密钥内嵌在智能卡21上记录的数据内部并且可以用于数据加密操作,但是不能读取或导出该数据,因此它是用虚线矩形来表示的,而第二密钥35b则是公开的,也就是说,它是可获取、可读和可导出的,由此可以对使用第一秘密密钥35a加密的数据进行解密。
在一个智能卡上存在这样两个密钥,其中一个是私有而另一个则是公有的,这两个密钥的存在可以用于支持双重非对称密钥算法,并且熟悉分区技术的人员将会调用这种算法,以便借助同一个智能卡来产生所谓的“电子签名”。
此外,正如那些对智能卡涉及签名操作的应用进行调节和控制的标准和机构所需要的那样,每一个智能卡21都会将另一个字串35c保存在其存储器中,该字串是依照X.509标准产生的,其中记录了与智能卡21及其预定用途有关的多个数据和信息。
经过授权或验证的主体将对这个数据字串35c执行电子签名或认证,因此在这里还可以将这个数据字串称为“证书”。
特别地,作为本发明的系统10的一部分所使用的智能卡21是预先定制的,因此,数据字串或证书35c还包含了一个针对与服务中心签订协议的银行16所开户的帐户中的特定帐户或存款的引用,以便管理与终端11发布公章25的活动有关的现金交易。
此外,每个智能卡21都包括另一个数据字串35d,它定义了一个可以与个人识别码或是表示个人识别号的PIN相比较的信息项,并且适合将智能卡21限定成仅供其持有者使用。
正如在下文中将会更好地理解的那样,初始化程序利用了这种在常规智能卡中已知和秘密、可用和不可用的数据结构和布局,以便能够将其用作激活预期协作的单个终端的装置,以及通过将所述终端与外界相对比来识别和验证数据的装置。
此外,依照本发明的这个特征,每一个旨在集成到系统10中的本地终端11都是在制造时预先设定的,由此包含了记录在存储器24(图2)中的适合明确识别同一个终端11的信息。每一个终端11的这个预设阶段构成了用于在终端11上执行初始化程序40的先决条件,因此,这个预设阶段是用图5中的流程图顶部的标签39表示的。
特别地,这个记录信息包含了称为“明文”或显性码的第一个码24a,它与终端11的序列号准确对应并且通常是由一个序列号定义的,此外,该信息包含称为受保护或不可见码的第二个码24b,它是在制造终端的时候由特定算法随机获取的,由此也可将其称为随机码。
这两个采用明文和不可见形式的码24a和24b可以在属于系统10的全体终端内部明确识别指定终端11,为此目的,这些码将会在初始化阶段之前预先传递到服务中心12,以便更新其数据库12a(图1)。
实际上,服务中心12由此可以确切了解哪些终端11属于系统10并且准确识别这些终端。
如先前所述,在预初始化或定制阶段41的开端及其实施过程中,智能卡21是预先设定的,并且每一个智能卡都与一个相应的银行帐户相关联。
因此,依照阶段42,以这种方式预设但尚未初始化的智能卡21将会插入到未来与之永久协作的相应终端11的读取器22中,以便激活并允许该终端发布公章25。
这时,系统10识别终端11中存在已定制但尚未初始化的智能卡21,如标签43所示,这时已经准备好激活并执行初始化程序。
现在,在执行这个程序的同时,该程序将会激活第一阶段44,其中将会组合可视码24a、不可视码24b以及其他信息,例如执行初始化操作的时间和日期,并且将会把这些信息记录在一个可以简称为“文件”的数据字串中,由此为终端11定义了所谓的“指纹”,也就是与所述终端11明确关联的信息。
这时,初始化程序将由此获取的终端11的指纹与插入该终端11的智能卡21相关联,从而借助智能卡21的计算和存储资源来处理该指纹。
详细地说,在步骤45,初始化程序将会结合内嵌在智能卡21的存储器35中的秘密密钥35a来处理终端11的指纹,结果将会产生一个称为“已签名”的新指纹,这是因为所述新指纹是借助智能卡21的秘密密钥35a所定义的签名来进行加密的。
因此,很明显,这个已签名指纹具有使之与指定智能卡21以及生成它的指定终端11的组合明确关联的特性。
此外,在阶段46,初始化程序与记录在智能卡21的存储器中的数据进行交互,特别地,该程序会在这个存储器中记录一个用户无法得到的新密码,以此取代先前的个人识别码或PIN。
这样一来,智能卡或激活卡21将会进行初始化,同时用户将不再能够得到其中记录的用于定义PIN的数据字串,此后,在终端11的排它控制下,也就是在终端11所归属的常规系统10的间接控制下,该数据字串将会继续传递。换句话说,对智能卡21的拥有者而言,智能卡21的PIN是禁止得到的,并且该PIN只能由系统10的内部程序使用。
最后,在步骤47,这个用智能卡21签名的指纹将会发送到与终端11相关联的服务中心。
在步骤48,该程序最终通过在服务中心12内部自动激活一个用于对关联于经过初始化的激活卡21的公钥进行记录的操作而停止执行初始化程序。
在这个记录过程中,激活卡21的公钥是基于在系统10的内部启用并与指定终端11相关联的已知公钥35b以及相关证书35c而被官方识别的,其中所述激活卡是结合所述终端来进行初始化的,并且所述激活卡以后注定与所述终端进行永久协作。
详细地说,该程序将会更新服务中心12的数据库12a,并且由此将激活卡21的公钥35b关联于那些已被传送并在属于系统10的全体终端11中明确识别指定终端11的编码,此外还将这个指定本地终端11与一个特定的银行帐户16a相耦合,其中所述帐户16a与经过初始化的智能卡21是对应的。
此外,在这个步骤中还会启用激活卡21,以便激活那些与资源应用相关联的请求,其中举例来说,所述资源可以是与服务中心12相连并用于支持所述服务中心12的技术支持中心13。
服务中心转而从智能卡21那里获取带有签名的指纹,以便在用户向相应终端11之中插入智能卡21来激活公章25的发布处理的时候将其用作识别和认定装置。
从所描述的内容可知,很明显,这个初始化程序或过程具有牢固明确地绑定指定终端11、用于在未来只激活指定终端11的指定激活卡21以及服务中心12的效果,其中所述服务中心执行的是从中心站控制并监视指定终端11以及相应激活卡21的功能。
此外该程序还会导致在初始化操作之前,即使激活卡借助数据(密钥、证书)而在形式上是完整的,但是由于系统10不能对其进行识别,因此所述激活卡21也还是不能用于激活任何终端11,并且也无法实现来自服务中心的操作请求,并且所述激活卡仅仅适合在初始化操作之后使用,并且它只适合与初始化时所在的终端11结合使用。
换句话说,只有在执行了初始化过程之后,才可以在系统10中实际使用激活卡21来激活公章25的发布处理,并且所述使用至少是在只与初始化时所在终端11结合使用的限制下进行的。
特别地,一旦进行了初始化,则激活卡21是在这个目标终端11的排它控制下进行传递的,由此可以从终端11中移除激活卡,以便禁止使用该激活卡,此外,该激活卡是不能与系统10中的其他终端结合使用的。
因此,从所描述的内容可以清楚了解,系统10以及各个终端11相对于外界的记录服从于初始化程序的执行过程。
本发明的系统的稳态操作一旦结束初始化程序,那么在系统10的框架内部,终端11和相应智能卡21将会准备以严格和明确的关系来进行工作,以便激活那些用于发布公章25的常规操作。
为此目的,操作者始终会先将经过初始化的相应智能卡21插入指定本地终端11的读取器22中,这样一来,系统10识别所述智能卡明确关联于所述终端11,并且作为响应,系统10将允许终端11发布公章25。
在系统10识别智能卡21之后,特别地,操作者可能通过操作键盘29来要求终端11借助打印机23发布期望类型的公章25。
举例来说,期望类型的公章可以与操作者提供给终端的指令和命令相一致的邮票,例如图4所示的邮票。
更概括地说,每一个终端11通过结合相应激活卡21所进行的发布公章和/或标题的标准操作都包含了大量的操作和程序,作为一般规则,这些操作和程序是根据目前已知并且得到了广泛尝试和测试的步骤来完成(roll out)和再现的。因此,在这里并没有详细描述这些已知的操作和过程,而是仅仅给出了与之相关的一些概要信息。
特别地,在指定终端11每次发布公章25的时候,系统10都会为公章25所设想价目表和金额来对关联于指定终端11的帐户16a中的可用现金总额进行更新。
此外,终端11的稳态使用还允许借助服务中心12来对关联于指定终端11的帐户16a进行周期性“充值”操作。
特别地,这个充值操作包括更新系统10内部的贷款总额计算机,以及将交易细节记录在系统10的存储器中。
此外还提供了用于管理充值以及涉及银行16的相关补偿的特殊程序,并且提供了用于激活对抗欺诈活动的防范措施的特定程序,尤其是用于产生统计值并且通过调查来检测是否存在欺诈行为的程序。
一般来说,在执行了安装过程之后的系统10的稳态操作中,单独激活卡21的公钥已经记录在服务中心12以及银行16的数据库中,并且这些公钥将被用于识别来自终端11的请求或者至少对任意数据率进行识别,此外,这些密钥还关联于在银行16那里开户的相关帐户16a。
此外,在绝对安全的情况下,使用服务中心12记录的激活卡21的公钥及其与唯一的本地终端11之间的联系还被用于执行特殊的服务功能,也就是在终端11与服务中心12或是远程技术支持中心13之间进行数据交换(例如服务和资费表更新、远程操作等等)。
此外,很明显,借助于自身特性以及每一个终端11中安装的机器程序的不变性,本发明的系统10允许将借助终端11所进行的发布公章25的操作仅限于相应银行帐户16a上的剩余存款。
此外,很明显,服务中心12可以对单个终端11自主执行的控制操作进行大量的控制。
权利要求
1.一种用于发布公章和/或标题(25)的分布式系统(10),包括中央控制单元(12);多个遍布国土并且适于发布所述公章和/或标题(25)的本地终端(11),所述中央单元(12)适合通过通信和控制网络(15,15a)来对所述本地终端(11)进行控制;多个为所述本地终端(11)的操作者分配的智能卡(21),提供所述智能卡用于由所述操作者使用来激活和启动所述本地终端(11),以便发布所述公章(25);以及与所述中央单元(12)、所述本地终端(11)以及所述智能卡(21)相关联的初始化程序(40);其中提供所述初始化程序(40)用于结合指定本地终端(11)以及指定智能卡(21)来进行初始化,由此在所述指定终端(11)与所述指定智能卡(21)之间建立双向明确的对应和协作关系,以便在初始化阶段之后,在所述系统(10)的框架内部,所述指定智能卡(21)只能与所述相应的指定终端(11)进行协作,反之亦然。
2.根据权利要求1的系统,其中所述初始化程序可以在将所述指定智能卡插入相应的指定终端之后执行,并且提供所述程序用于激活以下步骤在指定字串中记录与所述指定本地终端(11)相关的“明文”码(24a)和不可见或受保护码(24b),以便获取所述本地终端(11)明确定义的信息或指纹;以及使用在所述指定智能卡(21)上给出的秘密密钥(35a)来对所述指定本地终端的所述指纹进行签名,以便产生一个发送到所述中央单元(12)的已签名指纹。
3.根据权利要求2的系统,其中所述初始化程序(40)的执行是在定制步骤之后执行的,定制步骤的目的是将所述指定智能卡(21)与所述系统(10)的框架中提供的指定帐户(16a)相关联,以及定制所述指定智能卡(21)。
4.根据权利要求2的系统,其中所述初始化程序(40)的执行从属于在所述指定本地终端(11)的存储器(24)中记录所述“明文”码(24a)和所述受保护码(24b)。
5.根据权利要求2的系统,其中所述初始化程序(40)的执行将会确定在所述中央控制单元(12)上记录所述指定智能卡(21),以及所述指定智能卡在所述系统(10)的框架内部能够与用以初始化所述指定智能卡(21)的所述指定本地终端(11)相关联。
6.根据权利要求2的系统,其中还通过提供所述初始化程序(40)来激活以下步骤对记录在所述指定智能卡上并且通常用于定义所述智能卡持有者的个人标识码(PIN)的指定数据字串(35d)进行修改,以便禁止所述智能卡的用户使用所述个人标识码(PIN)。
7.根据权利要求2的系统,其中所述初始化程序通过使用所谓的双重非对称密钥算法来执行所述指定本地终端指纹的签名。
8.根据权利要求1的系统,其中所述初始化程序(40)安装在所述系统的每一个本地终端上,并且为每一个本地终端(11)构成了一个真实恰当并且受到保护和不可修改的机器程序。
9.根据权利要求1的系统,其中所述初始化程序(40)的执行是响应于将尚未初始化的智能卡插入相应的本地目标终端由系统(10)提出的。
10.根据权利要求1的系统,其中所述公章(25)包括邮票和/或印花税票和/或带有邮戳的标题和/或标签和/或类似印记。
11.根据权利要求1的系统,其中提供所述指定本地终端(11)和相应的指定智能卡(21)是为了在没有所述中央单元干预的情况下对与所述公章发布相关联的本地操作的执行过程进行自主控制,并且其中提供所述指定本地终端是为了向所述中心单元周期性传送所述本地操作中固有的数据。
12.一种用于在发布公章和/或标题(25)的分布式系统(10)的框架内部预设和初始化智能卡(21)的方法,所述智能卡具有一个指定的数据字串(35d),该字串通常是为了定义所述智能卡持有者的个人标识码(PIN)而被提供的,所述方法包括以下步骤预先定制(41)所述智能卡(21),以便将其与所述系统内部整合的银行帐户(16a)相关联;将所述经过定制的智能卡(21)插入(42)属于所述系统(10)的指定目标终端(11);对所述指定数据字串(35d)进行修改(46),以使所述智能卡(21)的持有者不能使用所述字串,由此禁止使用所述个人标识码;以及使用如此修改的所述指定字串,以便将智能卡(21)明确关联于其所插入的指定终端(11)。
13.一种为在发布公章和/或标题(25)的分布式系统(10)的框架内部使用而被预设的智能卡(21),其中该系统包括遍布领土并且服务于多个相应用户的多个本地终端(11),所述智能卡(21)在存储器(35)中以记录形式包含了第一多个可读数据,该数据定义的是所述智能卡(21)的公钥(35b);第二多个嵌入式数据,该数据定义的是所述智能卡(21)的秘密密钥(35a);以及经过修改的指定字串,它定义的是所述智能卡的用户不能使用的信息,其中所述经过修改的数据字串是通过修改指定字串(35d)而被获取的,该字串通常适合为智能卡持有者定义个人标识码(PIN),由此使所述数据字串(35d)所定义的信息无法在所述智能卡(21)的用户的外部使用,而是只能在所述系统(10)的内部使用,以便将所述智能卡(21)明确关联于相应的指定终端(11)。
14.一种为了在用于发布公章和/或标题(25)的更概括的系统(10)中操作而进行了预先设定的本地终端(11),包括存储器(24),其中以记录形式包含了与所述本地终端(11)的序列号相对应的第一明文码(24a),以及在制造所述本地终端时生成的第二不可视码(24b);以及预先加载到所述终端中的初始化程序(40),其中提供所述初始化程序是为了在指定字串中记录所述第一码(24a)和所述第二码(24b),由此获取适合明确识别所述本地终端(11)的信息或指纹,此外,提供所述初始化程序还用于将所述指纹发送给插入所述终端(11)并且将会在未来与所述本地终端(11)唯一协作的智能卡(21)。
15.一种邮局的邮戳盖印系统(10),包括中央控制单元(12);多个适于发布粘贴在将要邮递的邮寄对象上的邮资元件(25)的本地终端(11),其中所述邮资元件可以是邮票和/或标签和/或类似印记;多个分配给所述本地终端的操作者的智能卡(21),其中提供所述智能卡是为了与所述本地终端(11)进行协作,以便识别相应的操作者,并且允许所述终端发布所述邮资元件(25);用于所述中央单元与所述本地终端之间的数据传递和交换,以便允许所述中央单元(12)控制所述本地终端(11)的通信网络(15);与所述中央单元(12)、所述本地终端(11)和所述智能卡(21)相关联的初始化程序(40);其中提供所述初始化程序(40)是为了在预先的初始化过程中通过组合来对指定智能卡(21)以及相应指定终端(11)进行初始化,其中一旦进行了初始化,则所述指定智能卡(21)和所述相应的指定终端(11)将会建立一个双向单意的对应关系,以便在所述预先初始化步骤后,只有在识别了所述相应的智能卡(21)之后,所述指定本地终端(11)才能发布所述邮资元件(25),而所述指定智能卡(21)适合由相应的操作者使用,并且只能启用所述相应的指定终端(11)。
16.根据权利要求15的系统,其中所述邮资元件转而是由递送相应邮寄物品的资费表确定的,并且其中处于所述邮戳盖印系统框架内部的每一个所述本地终端都与一个充值帐户相关联,所述充值帐户适于包含依照本地终端所发布的邮资元件金额而逐渐减少的现金总额。
全文摘要
本发明涉及发布公章和/或标题(25)的分布式系统(10),包括中央控制单元或服务中心(12),遍布国土并且实际发布公章和/或标题(25)的多个本地终端(11),以及分配给本地终端操作者的多个智能卡(21),提供初始化程序(40)以通过组合来对系统的指定本地终端和指定智能卡进行初始化,从而在其之间建立双向单意的对应和协作关系,以便在进行了初始化后,在系统内部指定终端(11)与指定智能卡(21)只能在彼此之间进行协作,而将所有其他终端及所有其他智能卡排除在外。特别地,初始化程序借助智能卡的秘密密钥(35a)来对智能卡意图专门协作的目标终端所定义的数据字串(24a,24b)进行“签名”或加密,由此建立双向单意的对应关系。
文档编号G07B17/04GK1717706SQ200380104300
公开日2006年1月4日 申请日期2003年10月30日 优先权日2002年10月30日
发明者吉安卡罗·托尼诺, 皮尔·D·迪贝奈德托, 吉奥维尼·夸拉蒂 申请人:意大利电信股份公司