专利名称:用于安全支付有价证券的装置和方法
技术领域:
本发明涉及一种用于安全支付有价证券的装置和方法。
在DE OS 27 17 345中公开了一种支付装置,它所支付的存货尤其为钞票。在US 3,945,277里描述了一种自动付款装置,其中使用的是带有磁条的卡,以便给借记帐户及每次支付额的最大值进行编码。在US 3,675,816里也同样描述了一种自动付款机,它将机器可读的支票的数据和磁卡的数据进行比较,以便准许支付。在US 3,956,615里描述了一种自动付款机,其中,对于每次支付或交易,均通过数据通信装置与一中央授权计算机进行通信,而该中央授权计算机对这种支付进行同时授权和记帐。
对于所有已知的装置,如下方面是一样的,即控制装置、也被称为分离器的支付装置、凭证或磁卡的读取装置等均被布置在保护罩或者保险柜之内,从而防止未经许可的存取。对此,控制装置自然必须被保险箱保护起来,否则可能发生如下操作,即未经许可便把钱取走。只要控制装置是为此目的而专门研制的,并且其具有较低程度的复杂性和性能,就不会出现任何特殊的问题。
然而在大多数情况下,如果把装有相应复杂的操作系统和装有多兆字节代码程序的商用个人计算机用作控制计算机,则软件安全控制的花费就会特别大。而且,一些部件的原本无问题的更换总是利用打开保险箱来进行的,且通常只允许在特殊的监视下进行。
因此,本发明的任务是,给出一种用于支付受保护存放的有价证券的操作台,其组成部分如此地布置或工作,以便使运行控制部分基本位于保险箱之外。
发明叙述本发明的上述任务由如下设定的监控方式来完成,即,当超出每次允许的金额时便禁止支付,由此可以限制每次支付的(最大)金额,且其与剩余控制无关。
这涉及一种用于安全支付有价证券的装置和方法,其中,加有特征标记的释放消息含有要支付的有价证券的总价值,由一个校验器校验该特征标记,并且该总价值与要支付的有价证券的价值总和进行比较,在比较和对特征标记进行校验的基础上,如果特征标记无效或者该总价值小于该总和,则产生一个禁止信号,以禁止从支付口支付。
此处为了简化,用“有价证券”这个概念来代表所述有价值的对象;它们也可包括硬币、抵押票据、入场券等等,这在下文将进一步阐述。
下面结合附图,借助一实施例来阐述本发明,发明的其它特征与优点将在说明中给出。
本发明实施方案的说明
图1示出了一种用于支付有价证券的装置10。它包括一个控制器100,用来启动和监视该装置内的过程。该控制器也负责与用户之间的一般通信,为了实现此目的,它可以与一显示屏和键盘或指向装置(鼠标)相连接。该没有示出的通信装置譬如被用来以对话方式接收要支付的有价证券的种类和数量,如果有必要,也可被用来接收货币单位划分或其它数据。
控制器100通过连接器380与支付装置310相连,按照箭头所示的方向,该支付装置可从储备(没有示出)中准备好用来支付的有价证券320,并从支付口202进行支付。正如上述DE OS 27 17 345所说明的一样,支付装置310是由机械与电子部分组合而成。控制器100通过连接器380把作业传送给支付装置310。这些作业中尤其包含有从一个特定的储备盒中选出一定数目的有价证券,将其准备好并最终从支付口202支付出来。这种配置是众所周知的;图1中保护罩201内示出的其它组成部分是为本发明而规定的,它们将在下面进一步阐述。
此外,按照现有技术,至今使用的大部分自动付款机都装有一鉴别器500,它通常包括有磁卡或芯片卡读取机520。操作人员88将凭证卡77插入读卡机520的输入口502。于是对卡77进行校验。数据被传送给用一个特殊护罩保护起来的、以防止被篡改的安全模块510。在保护区域内有一键盘511用来输入密码。输入密码后,安全模块通过连接器580发送一个通常是加密过的消息。一般地,该消息经过控制器100和网络600的数据传输通路602而被送至授权计算机601。在此,如果要求支付的金额没有事先通知安全模块510,而它已包含在该加密的消息里,那么就由控制器在安全模块510的消息里补入该金额。然后授权计算机601进行记账,并给控制器100送回一个应答。在此,由操作台的操作用户来确定是否或何时在授权计算机内完成记帐事务。一般地,由授权计算机601首先发出一个准备有价证券的命令,并由该命令批准最终通过支付口202进行支付,由此完成交易。同样也可采取其它一些协议,譬如,在该种协议中规定一种帐目冲销。显然,本发明的作用就是脱离了实际中采用的、对支付进行详细控制的协议。
在最简单的情况下,应答包含有如下数据记帐的所需金额,以及今后还可支付的金额。控制器通过连接器380向支付器310发出相应的指令,而该支付器310把要支付的有价证券320准备好(或者已经准备好),并将其立即从支付口202支付出去。
假使没有在线连接602,也可以通过安全模块510来释放正常支付。在这种情况下,将把支付的价值储存下来,并在以后传送到授权计算机601。
显然,在防止非法支付的安全性方面,这种至今仍在使用的结构特别依赖于控制器100的正确功能,因此该控制器100与支付器310一起被包含在一特别保护的保险箱里,且该保险箱通常只有两个按“四眼原则”进入的钥匙。保险箱被打开后,不仅可以自由接近有价证券的储存器,而且可以自由接近控制器100及支付器310。
现在,本发明允许将控制器100布置在保险箱外面,并且可用大大简化的装置来代替它,尤其是在通信变化时,它不再与使用者、数据传送通路602以及其它在安全技术上无关紧要的变化相关。
按照本发明,在操作台10内另外布置一个控制器100,但它不需要特别保护,其性能对于防止非法支付的安全性是不重要的,由此对本发明也是不重要的。操作台内有一保险箱201,一方面,该保险箱包括有已知的、带有有价证券储备的支付器310。另一方面,该保险箱还通过连接器380接收来自由此基本上可保持不变的控制器100的命令。
新增加的是校验模块400内所包含的部件。在该优选实施方案中,校验模块是通过芯片卡来实现的;其替代和变更的方案将在下文进一步说明。
一方面,与现有技术一样,命令通过连接器380传送给支付器,以准备好一个或者多个有价证券320。在此采用了支付器310,它能够独立于控制器100而测定有价证券的价值数。这可以如此来实现,即装设一个操作台(图中没有示出),它让选择出来的有价证券通过并测定其值。也可以规定,有价证券放置在储备盒或者其它存储盒中,并且,该储备盒包括一个含有被储存有价证券的价值数的存储器,且由把有价证券装入储备盒的操作人员来调整该存储器。同样也有如下可能性,即虽然该数额由控制器传送并存储在支付器310里,但也可以通过一个没有示出的读数器由关闭保险箱的人员来校验该数据。之后,一种譬如通过保险箱的关闭而控制的开关可以禁止该存储器的其它改变。
如图1所示的实施方案,在有价证券320准备好时对其价值进行测定,并且通过连接器381表示出来,再送到累加器430。每次的总和将通过连接器483显示,并供给比较器420使用。
此外,本发明还包括一个校验器410。该校验器优选地做成芯片卡的形式或者包含在这类卡片中,它们的生产技术是众所周知的,并且其一定数目的通信协议是标准化的。芯片卡或者其它种模块带有一个接口、一个处理单元以及一个内部的、不是经过接口就能直接访问的存储器,它有如下优点,即如果随后进行的特征标记校验用到了加密方法,从而需要一个密钥时,它就可为该密钥提供一种最佳的安全存放。
校验器410接收一释放消息。该消息是通过连接器480从控制器100传至校验器410的。在实际中,释放消息大多是通过连接控制器与支付器310的接口进行传输的,并由该支付器进一步传输至校验器410。这是一种优选的解决办法,因为这样,接口便可以局部地位于保险箱201内。然而,因为支付器不改变释放消息,所以连接器480在结构上可以描述成从控制器100至校验器410。
释放消息的产生将在下面进一步阐述;首先规定,该消息除了管理信息外还要含有一总价值。该总价值是一个数,它与分配给有价证券的价值数或者其总和在逻辑上是可通约的。
该释放消息还包括一特征标记,用来防止篡改总价值。该特征标记优选地是一种根据现有技术而进行加密保护的特征标记,譬如按照“数据加密标准”DES的“消息鉴别码”MAC。也可选择采用其它的方法,特别是被称为“公用密钥”的方法。同样,释放消息里也可包含有冗余信息,并用DES或者其它适当的方法进行加密,然后在解密后可用冗余信息进行校验。众所周知,这种优选方案不仅保证了释放消息不被篡改-如此处所必需的,而且还保证了它不被查看。在这种情况下,使用芯片卡,也即使用带有接口、处理器和存储器的集成单元是有意义的,并且也是优选的,因为在存储器里可以存放必需的密钥,以便用来进行特征标记校验,且可靠地防止了被查看。但需要指出的是,采用的每个模块应能可靠地校验消息里的特征标记;模块的选择是在权衡了价格、使用以及所能达到的安全性后进行的。
如果特征标记表明,该消息不是伪造的,就可以取出里边包含的总计值,并送至比较器420。由于其逻辑结构,比较器可以从消息中得到该总计值和一个指示该总计值有效的二进制信号。因此,在图1中,连接器480分成了两部分连接器481用来传送特征标记,482用于将总计值表示出来。但是,这可优选地通过下述方法来进行简单编码,即由校验器410提取总计值,并且在特征标记不匹配时给出总计值为0;也就是说,总计值为0表示其无效,总计值大于0表示其有效。当通过对带有冗余信息的消息进行加密来形成特征标记时,总计值也可以只通过校验器410或者校验模块400来提供。相反地,如果特征标记方法不采取加密,此时释放消息的总计值则可以立即被取到,并且特征标记只能防止被篡改而不能防止被查看,这样,该总价值也可以从支付器310中取出,并送至比较器420。于是,比较器420只是从校验器410获得由连接器419表示的有效信号。这在安全技术上是可能的,但支付器必须要保证安全提取。
只要出现有效信号419错误或者目标总和超过了总计值,则比较器420产生一个禁止信号499。该禁止信号499作用于闭锁装置330,当闭锁装置激活时,如箭头C所示,将禁止通过支付口202支付有价证券。对于闭锁装置330的布置,有多种选择方案可供利用。这样,也可以采用一种电磁阀,它只在没有禁止信号时才打开。此时校验器可以直接布置在该阀的执行元件旁边,以便加大禁止信号499被篡改的难度。
优选地,有一种方案,其中支付器总通过一微控制器来控制。在微控制器的边上直接布置了用作校验模块400的芯片卡的接收端。释放消息480、价值数381或其总数483、以及禁止信号499均经单独的物理接口传送到芯片卡上,而该芯片卡的消息由控制支付器310的微控制器的程序来确定,并由该微控制器进行分析。因此若想干扰该连接器是很困难的。当单独出现禁止信号时,消息就必须只由一个比特的信息量来保证,而众所周知,这是难以处理的。譬如,可以让释放消息包含一交易号,而且在构造禁止信号时,可以将其转换成含有该交易号的释放信号,并由校验模块利用一种简单的特征标记方法来加上特征标记。因此闭锁装置330集成在支付器310内,如图1中的虚框300所示。
如果在释放消息中采用了交易号,则其优选地一起用特征标记来保护。同样,其它的、在这里不相关的信息也可以一起由特征标记来保护;这样,有效信号419便也可以使支付器310及控制器100被访问。
在一预先约定的表格中,同样可以用序号来代替交易号,以便校验器能识别和不采纳那些丢失的、重复的等类似的释放消息。该序号一起用特征标记来保护。
根据本发明的另一扩展方案,还为支付器310的控制程序装入一种芯片卡,因此在保险箱内有两个芯片卡,它们必须相互配合以便支付有价证券。
在优选的实施方案中,校验器410、比较器420及累加器430集成在校验模块400内,并用芯片卡的形式实现,因为这种芯片卡能可靠地提供必要的存储及计算能力。如同已经实现的,在本发明的方案中,累加器430及比较器420也可以一起配置在支付器的控制程序之中;当该控制程序被密封或做成芯片卡时尤其如此。当释放消息只是加有特征标记而没有被加密时,这还适用于总计值的取出。
在一种尤其优选的扩展方案中,对于支付器310的控制器,至少其与安全性相关的部分和校验模块400都是完全配置在芯片卡内的。因此,与要支付的有价证券一样,保险箱201内的控制可以以相同的方式由操作者进行监视。尤其是芯片卡与有价证券可以容易地取出,并可以譬如通过替代芯片卡来进行维修。操作台的工作人员在填充时不仅要准备好有价证券,而且要准备好一张由其保管的芯片卡,以确保软件不被篡改。
至此还没有阐述,上述组成部分在起始状态或者在被称为交易的支付过程结束后是如何复位的。这种信号通常用控制器100来取代,或者用支付器310及比较器410的计时器来取代。但这种技术对专业人员来说是已知的,因此在这里就没有必要作进一步说明。
到此为止的说明都是以如下内容为出发点,即多个有价证券320被准备好然后一起支付。在此,尤其是当有价证券的价值与总价值相等时,逻辑上也包括单个有价证券的支付。对于这种集中式的支付,释放消息必须在通过支付口202进行支付前预先立即存在;由此,装配有价证券与把释放消息传送至校验器可以时间交错地进行。对于递增式的支付,释放消息必须在支付第一张有价证券之前存在,以使禁止信号去活。
至此,说明中用到了一种比较器,它按“小于或等于”进行比较。也可以只把该校验限制在相等上。这意味着提高了安全性,但也降低了灵活性。这样,发明的基本思想没有任何改变,因此这样的比较器可以被看作是等效的。
本发明已借助一实施方案进行了阐述,在该实施方案中,为了实现对支付的限制,释放消息含有一总计值,而有价证券具有单一的数值并形成一总数。然而发明并不局限于此。释放消息也可以含有多种价值-譬如以不同的货币形式-和一个指示项,用以指示多种价值如何配合,在此它为一种异或门的形式。也可以将一用标准货币表示的总价值与当前的、由授权计算机授权的汇率一起给出,以便允许以混合价值的形式进行支付。在这种情况下,必须为测得的、由此一般可称为价值特征的价值数381补充一种货币信息。随后,相应的过程在比较器420及其周围部件中进行,由此形成了一种广义的限制器。
发明的一种扩展方案采用了校验器410,它包含有一个用于鉴别的单值数字。在这种情况下,释放消息也包含有校验器410的这个数字,并且保证它与总计值位于一起。因此可以安全地防止在操作台内使用对其不确定的释放消息。
在实际中,尽管对顾客中的承兑人来说,控制器100的通信性能及可靠性非常重要,但按照本发明的任务,该控制器在逻辑上并不是必要的部分。本发明的控制器仅传送释放消息,并且总由其信息源产生支付作业。此时释放消息甚至可以和控制器完全分开,譬如从授权计算机用无线方法进行传输。
甚至释放消息是否由一确定的授权计算机经一确定的路径到达校验器,都是无关紧要的。因此,鉴别器500是否和用什么形式来装设读卡机520及安全模块510,对本发明来说也不重要。按照至今仍在使用的一般系统,鉴别器500产生一消息并将其通过连接器580进行传送,该消息促使授权计算机601产生或者不产生释放消息。可选地,当没有为钞票的支付进行最优化时,可以使用一种已知的生物计量学的鉴别方法,它利用的是输至授权计算机601的键盘输入节奏。同样也可以使用准备好的、和家庭银行业一样的交易号,该家庭银行业至今是与德国的BTX系统一起使用的。这样,甚至鉴别器也不是必要的,因为键盘输入的节奏每次都不一样,或者使用后的交易号失去了它的值。
当选择了具有交易号的解决方法时,就这点而言,授权计算机在逻辑上也不是必需的。对此,在校验器里存入若干没有使用过的交易号。对于每次支付,用户输入一交易号,该号随后在释放消息里表现为特征标记。每个包含在释放消息里的交易号就是一个确保了限制的特征标记,在消息收到后它被从表格上删掉。对此,在每个交易号中可以注明限制的价值与种类,因此,虽然控制器100可以产生释放消息,但校验器另外还确保了限制是有效的,并且限制器确保只有当校验器收到一有效保护的释放消息时,才执行与其同时被传送来的支付通知。
本发明被描述为用于有价证券、典型地为用于钞票的支付。但先决条件仅仅是,在支付时必须能自动确定、比较、必要时也能总计被支付对象的价值特征。此处的例子是存储的钞票及硬币,其中,或者使用一种可靠的方法来进行价值确定,或者在放入保险箱时由操作人员输入该价值。后者当然也可以通过标记譬如储备箱来实现。
可选地,支付器可以在支付时才确定需要支付的价值,正如其适用于入场券和票据那样。一种多媒体应用可以支持用户在筹办的活动中选择座位,然后在支付时才打印出座位号与价格。对此,支付器可以确定出要支付的有价证券的价值和,因此发明仍然适用。
虽然优选地是首先集中有价证券,然后一同通过支付口支付出去,但递增式的支付也是可以的。在此,只要需要支付的有价证券的价值适时地加到总和上,使得禁止信号至少还可以阻止这些有价证券的支付,那么减法是没有必要的。
当然比较器也可以由减法器构成,它将下次要支付的有价证券的价值从校验过的总价值中减去,从而一起传送剩余值。因为比较器本来是优选地通过对控制支付器的微控制器进行编程来实现的,因此对专业人员来说,有多种方案他们都是熟悉的。需要指出的是,该微控制器不直接接收用户的输入;这个任务由上述控制器承担。可以想到,它仅有一最终释放键、一光电开关设备、一个接近传感器或者类似的东西。
权利要求
1.一种用来支付有价证券(320)的操作台(10),其中-装有一校验器(410),它*具有一个用来接收释放消息(480)的接收端,该消息包括一个或者多个极限值形式的限制以及一个用来防止该限制被篡改的特征标记,*具有一个用来校验特征标记的装置,它在特征标记有效时,为限制器(420)准备好有效的限制(482,419),-装有支付器(310),它*有一个用来接收一个或者多个支付作业的接收端,由这些作业来开始一个或多个有价证券(320)的支付,*包括一种装置,由它确定要支付的有价证券(320)的价值特征,并将其提供给限制器(420),-只要出现下述情况,限制器(420)便发出禁止信号(499),*不存在有效的限制(419)或者*价值特征(381,483)不满足限制(482),-并且禁止信号(499)的作用为,至少使不满足限制的有价证券不离开操作台。
2.按照权利要求1的操作台,其中-价值特征包含有一价值数,它对释放消息的限制值是可通约的,并且-每个要支付的有价证券的价值数被累加成一目标总和(483),并且-限制器(420)通过校验该目标总和(483)是否小于限制值(482)来校验是否满足该限制。
3.按照权利要求1或2的操作台,其中校验器(410)、支付器(310)和限制器(420)至少采用与要支付的有价证券(320)相同的方式来防止未经允许的访问。
4.按照权利要求1~3的任一条的操作台,其中校验器(410)存储有一个对每个校验器(410)来说为单值的系列号,并且只有当该系列号也被包含在释放消息里时,特征标记才被视作有效。
5.按照权利要求1~4的任一条的操作台,其中校验器(410)包括在校验模块(400)内,该校验模块含有一个接口、一处理器和一存储器,并且只有通过处理器的转接才可以通过接口访问存储器。
6.按照权利要求5的操作台,其中校验模块(400)还包括限制器(420)。
7.按照权利要求5或者6的操作台,其中校验模块(420)含有一永久存储器,里面记录了已实施过的支付。
8.按照权利要求5~7任一条的操作台,其中校验模块(420)为一芯片卡。
9.按照权利要求8的操作台,其中支付器(310)具有一电子控制器,紧靠该控制器旁边布置有一用于芯片卡的接收端。
10.按照上述权利要求任一条的操作台,其中禁止信号(499)位于支付器的旁边。
11.按照权利要求1或者2的操作台,其中支付器(310)包含有限制器(420)。
12.按照上述权利要求任一条的操作台,其中支付器的控制器有一部分位于芯片卡内。
13.按照权利要求12的操作台,其中支付器(310)的控制器和校验器一样位于同一芯片卡中。
14.按照上述权利要求任一条的操作台,其中属于一个释放消息的有价证券被集中起来一起支付。
15.按照上述权利要求任一条的操作台,其中价值特征在支付过程中被涂印在有价证券上。
16.用来支付有价证券(320)的操作台(10)的工作方法,其中-将一释放消息(480)传送到校验器(410),该消息包括一个或者多个极限值形式的限制以及一个用来防止该限制被篡改的特征标记,-校验器(410)随后校验该特征标记,判断是否存在有效的限制,以及将该限制传送到限制器(420),-将一个或多个支付作业传送给支付器(410),支付器(310)随后开始一个或多个有价证券(320)的支付,并且对每个要支付的有价证券确定一个或多个价值特征,并将此特征传送给限制器,-只要是校验器(410)没有传来有效的限制(482,419),或从支付器(310)传来的价值特征(381)不符合限制(482,419),则限制器(420)产生禁止信号(499),-禁止信号(499)的作用为,禁止由支付作业所确定的有价证券离开操作台。
17.按照权利要求16的方法,其中-价值特征包含有一价值数,它对释放消息的限制值是可通约的,并且-每个要支付的有价证券的价值数被累加成一目标总和(430,483),并且-限制器(420)通过校验该目标总和(483)是否小于限制值(482)来校验是否满足该限制。
18.按照权利要求16或者17的方法,其中每个校验器(410)存储有一个固有系列号,释放消息(480)包含有另一系列号,且在校验器(410)里将该另一系列号与该固有系列号进行比较,看其是否相等。
19.按照权利要求16~18任一条的方法,其中特征标记是一种用密码保护的校验和。
20.按照权利要求19的方法,其中特征标记除了对其它数据的限制进行保护外,还特别对交易号进行保护。
21.按照权利要求16~18任一条的方法,其中特征标记以此为内容,即释放消息包含有可校验的冗余信息,并且采用了一种优选地用密码进行保护的加密。
22.按照权利要求16~18任一条的方法,其中特征标记以此为内容,即释放消息均含有只一次有效的交易号,并且在校验器中存储有交易号表格,每个使用过的交易号被从该表格中删除。
全文摘要
用于安全支付有价证券的装置和方法,其中加有特征标记的释放消息包含有要支付的有价证券的总价值,由一个校验器校验该特征标记,并且该总价值与要支付的有价证券的价值总和进行比较,在比较与对特征标记进行校验的基础上,如果特征标记无效或者总价值小于总和,则产生一个禁止信号,以禁止从支付口支付。
文档编号G07F7/10GK1294724SQ99804419
公开日2001年5月9日 申请日期1999年2月1日 优先权日1998年3月23日
发明者M·诺尔特, R·维戈尔德 申请人:温科尼克斯多夫股份有限两合公司