DE2708316A1

DE2708316A1 - Verfahren und einrichtung zur gueltigkeitsueberpruefung einer karte

Info

Publication number: DE2708316A1
Application number: DE19772708316
Authority: DE
Inventors: Michael Ray Kronewitter; Harold Kay Mccune
Original assignee: Diebold Inc
Current assignee: Diebold Nixdorf Inc
Priority date: 1977-02-25
Filing date: 1977-02-25
Publication date: 1978-08-31
Also published as: DE2708316C2

Description

Titel: Verfahren und Einrichtung zur Gültigkeitsüber-
prüfung einer Karte.
Beschreibung Die Erfindung betrifft ganz allgemein Karten-Verifizierungseinrichtungen und, etwas genauer, eine KarLen-Verifizierungs einrichtung, die mit auf der Karte enthaltenen Daten arbeitet, die eine Institut;szahl und eine iKonto- oder Identifizierungznummer darstellen.
bei kommerziellen Transaktionen und anderen Anwendungen sind maschinenlesbare Identifizierungskarten vorherrschend geworden. Beispielsweise wird in Sicherheitssystemen häufig eine Identifi zi erunskarte verwendet, uln Zutritt zu einer bewachten iltiche zu erlangen. Bei Kauftransaktionen mit einer Kreditkarte ermöglicht eine maschinenlesbare Identifizierungskarte, die einem Verkäufsautomat vorgezeigt wird, einen Kreditkarteninhaber bzw. -besitzer ein Konto zu belasten, das von dem die Karte ausgebenden Institut geführt wird. Im kommerziellen Bankverkehr wurden für begrenzten Service unbeunchte Bankterminals geschaffen, die mit einer Ausrüstung arbeiten, die auf eine maschinenlesbare Identifizierungskarte anspricht. Die Karte ist häufig aus einem Kunststoff hergestellt und enthält ulaschinenlesbare Information in Form von beispielsweise eingepreßten oder erhabenen Zeichen, oeffnungen, elektrisch leitenden Segmenten oder magnetisch lesbaren Bereichen, die eine Kundenkontonummer und andere Information, beispielsweise ein Gültigkeitsablaufdatum und den Beruf oder Status des Kunden enthalten.
In einem automatischen Bargeldzahlungssystem händigt das unbewachte Bankterminal oder die automatisierte Registriervorrichtung dem Kunden zu jeder Tag- und Nachtzeit Geld aus, wenn es günstig auf die maschinenlesbare Karte anspricht. Eine in einem solchen System verwendete Bargeldabgabevorrichtung ist in der US-SS 3 943 335 beschrieben.
Das unbewachte Terminal wurde als eine alleinstehende Betriebseinheit konstruiert. Um die Vorteile des Service und die Sicherheit von ón-line-Systemen auf alleinstehende Einheiten auszudehnen, wurde das unbewachte Bankterminal seither in on-line-Verarbeitungseinrichtungen bzw. System einbezogen, die zu jedem Finanzinstitut gehören, das den Service anbietet.
Typischerweise lesen automatisierte Banksysteme auf der Karte enthaltene Daten, wie beispielsweise die Zeitdauer der Berechtigung, die zulässige Transaktionsmenge, das Datum der letzten Benutzung, den Kontostand und die Kontonummer. Wenn der Besitzer der Karte der berechtigte Besitzer ist, wird die geforderte Transaktion, beispielsweise eine Bargeldentnahme, durchgeführt. Die dabei ablaufenden Vorgänge enthalten das abfragen des Kontos des Besitzers im Hinblick auf ausreichendes Kapital, das Belasten des Kontos mit der Menge der Transaktion und die Abgabe des Bargeldes an den Kunden. Ein solches System hat zu einem wirksamen und wirtschaftlichen Bankgeschäft geführt, das zu jeder Taf und Nachtzeit möglich ist.
Eine Hauptschwierigkeit mit bisherigen automatisierten Bankstationen und mit anderen Systemen, die maschinenlesbare Identifizierungsmittel verwenden, lag in der System sicherheit. Eine extrem große Anzahl von Kundenidentifizierungskarten, die von einer großen Anzahl Instituten ausgeliefert wurden, haben ein weitverbreitetes Problem geschaffen, das in der Teilnahme nicht-berechtiger Kartenbesitzer liegt. Im Hinblick auf einen breiten Handel mit gestohlenen Kreditkarten und die Fälschung von Karten ist ein Verkäufer oder ein Finanzinstitut nicht mehr sicher, daß der Besitzer der Karte zum Durchfüiiren von Transaktionen im System berechtigt ist.
Um diese Schwierigkeit zu vermeiden, wurde vorgeschlagen, die Kontonummer umzuwandeln, um eine geheime Nummer zu entwickeln, die nur dem autorisierten Besitzer der Karte bei deren Ausgabe mitgeteilt wird. Im Gebrauch gibt der Besitzer der Karte die geheime Nummer mittels eines Tastenfeldes oder einer ätiiilichen Vorrichtung in das System ein.
Die auf der Karte enthaltenen Daten werden von einer Abtastvorrichtung im Terminal gelesen und von einem Nummernumsetzer umgewandelt. Wenn die wngewandelte Nummer zur geheimen Nummer in günstiger Korrelation steht, wird der tiartenbesitzer als berechtigt betrachtet und die gewünschte Transaktion wird durchgeführt, vorausgesetzt, daß zumindest die Karte noch nicht abt,elaufen ist und auf dem Konto ausreichendes Kapital ist, damit die gewünschte Entnahme abgedeckt iss.
Wenn auch die Verwendung einer aus den Daten der Karte zur Verifizierung abgeleiteter geheimen Nummer die Systemsicherheit merklich erhöht, wurde doch der Code zum Umwandeln der Kontonummer in die geheime Nummer, der zwar sehr schwierig zu erfahren ist, gelegentlich von einem nicht-berechtigten Besitzer verwendet.
Es wurden Systeme entwickelt, um die Möglichkeit zu vermindern, daS ein nicht-berechtigter Kartenbesitzer die geheime Nummer aus den auf der Karte enthaltenen Daten herleitet. Beispielsweise arbeitet gemäß der US-PS 3 794 813 ein Verifizierungssystem mit einer Wahrheitstabelle, um eine geheime Nummer bzw. Lahl aus der auf der Karte registrierten Kontonummer herzuleiten. Daten zum Adressieren der Wahrheitstabelle werden logisch von willkürlich gewählten Bits aus einem Zelt digital codierter, auf der Karte enthaltenen Ziffern hergeleitet. Zur willkürlichen Auswahl der auf der Karte enthaltenen Ziffer ist eine komplexe Schaltungsanordnung vorgesehen, die bestimmte Bits binär codicrter, auf der Karte registrierter Ziffern selektiv entnimmt. Eine Bank oder ein anderes Institut ist, wenn es einmal willkürlich bestimmte der Bits zum Bilden von Adressenwörtern für die Wahrheitstabelle durch Betätigen der Schalteranordnung gewählt hat, auf diese Wahl beschränkt und die Verwendung der Karte ist auf die Bank oder das andere Institut beschränkt.
Das unbeaufsichtigte Bankterminal hat zwar den Zugang des Kunden zu seinem Konto zu jeder Tag-und Nachtzeit ermöglicht, der Runde ist jedoch immer noch auf einen geographischen Bereich beschränkt, in der: das Institut Terminals installiert hat. Wünschenswert ist, dem munden auch Zugang zu seinem Konto über Terminals anderer Institute zu ermöglichen, wodurch der Kunde nicht länger auf einen geographischen Bereich beschränkt ist. Zugang zu einem von einem Institut geführten Konto über ein anderes damit zusammenarbeitendes Institut wird in Bankkreisen als Austausch bezeichnet und wird auf wechselseitiger Basis vorgesehen, wobei die zusammenarbeitenden Institute übereinkommen, Transaktionen über Verbindungen zwischen on-line-Systemen auszustauschen.
Damit in einem Kartengültigkeitserklärungssystem eine Austauschmöglichkeit besteht, muß ein System geschaffen werden, das unter zusammenarbeitenden Instituten in einem Austauschnetzwerk kompatibel ist, dabei aber ein Vermischen bzw. Durcheinanderkommen der Buchungen vermeidet. Entsprechend ist es notwendig, das allen Kunden der zusammenarbeitenden Institute eine Standardkarte ausgegeben wird, wobei die Karten derart codiert sind, dai. das jeweilige Institut, das das Konto führt, identifizierbar ist, die Karten aber durch die Terminals der zusammenarbeitenden Institute verarbeitbar sind. Es besteht derzeit ein Bedarf an einem Verifizierungssystem, das den Austausch zwischen verschiedenen zusammenarbeitenden Instituten ermöglicht und gegenüber nicht-berechtigten Kartenbesitzern im hohen Grade immun ist.
Für die Gewährleistung maximaler Sicherheit besteht ein wichtiges Gebot darin, daß der berechtigte Besitzer der Karte die Geheimzahl nicht nn einer Stelle registriert, die für einen möglichen nicht-berechtigten Benutzer der Karte zugänglich ist. Beispielsweise könnte in dem Fall, daß der berechtigte Besitzer, um die Geheimzahl nicht zu vergessen, diese Geheimzahl auf die Oberfläche der Karte aufschrcibt, die Karte von einem nichtberechtigten Kartcninhaber benutzt werden, um Bargeld auf Rechnung des berechtigten Besitzers abzuheben, da der unberechtigte Besitzer in der Lage ware, die Geheimzahl iiber ein Tastenfeld einzugeben.
Es wurde vorgeschlagen, als Gedächtnisstütze dem berechtigten Besitzer. der Karte zu ermöglichen, bei Ausgabe der Karte seine eigene Geheimzahl zu wählen. Beispielsweise könnte der berechtigte Besitzer sein Geburtsjahr als seine Geheimzahl wählen, um die Möglichkeit möglichst klein zu halten, daß er die Zahl im folgenden vergißt. In der U-P0< 3 786 420 ist als Sicherheitshilfe ein Kartengültigkeitsüberprüfungssystem mit einer Vorrichtung vorgesehen, die einem Kunden ermöglicht, die erste Ziffer einer vielziffrigen geheimen Zahl bei Ausgabe der Karte zu wählen. Die verbleibenden Ziffern der geheimen Zahl bzw summer werden dann vom System erzeugt und die vielziffrige, dem berechtigten Benutzer ausgegebene Geheimzahl steht in keiner ermittelbaren Beziehung zu der ausgewählten Ziffer und dient daher nicht als Gedächtnisstütze. Wünschenswert ist, ein System bzw. eine Einrichtung mit der beschriebenen Eigenschaft zu schaffen, die dem berechtigten Besitzer der Karte die Wahl aller Ziffern seiner Geheimzahl ermöglicht, wodurch die gewählte Geheimzahl zu einer Zahl wird, die dauerhaft auf der Karte vor der Wahl der Geheimzahl durch den Kunden registrierten Daten entspricht.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Einrichtung zur Gültigkeitsüberprüfung einer Karte zu schaffen, die den genannten Anforderungen entspricht.
Die Lösung dieser Aufgabe ist in den Ansprüchen gekennzeichnet.
Erfindungsgemäß wird somit bei einem Verfahren und einer Einrichtung zum Verifizieren, daß der Besitzer einer Identifizierungskarte der berechtigte Besitzer an irgend einem Institut in einem Netzwerk von zusammenarbeitenden Instituten ist, eine Karte mit ersten und zweiten Daten, beispielsweise einer Institutsidentifizierungszahl und einer kontomlmnzer, maschinengelesen, und in eine andere Zahl umgesetzt, die mit einer vom Kartenbesitzer über eine geeignete Vorrichtung, beispielsweise ein Tastenfeld, eingegebenen Geheimzahl korreliert ist. Wenn die umgesetzte Zahl der Geheimzahl entspricht, wird die Gewünschte Transaktion durchgeführt und dem mittels der ersten Daten identifizierten Institut mitgeteilt bzw. dieses wird damit belastet. Beim Umsetzen der Zahl adressieren Ziffer der auf der Karte enthaltenen Daten hintereinander Pseudowahlfrei einen Festspeicher <read only memory), der Random-Zeichen (Bytes , von denen jedes acht Bits enthält). In einer ersten Betriebsweise adressieren die Ziffern der Institutsidentifizierungszahl den Fest speicher, wodurch in diesem ein liandom-Ausgangsszeichen erzeugt wird. In einer zweiten Betriebsweise wird eine Ziffer des Random-Ausgangszeichens wiederholt logisch kombiniert, beispielsweise durch eine EXOLUSIVE OX-Verarbeitung wobei jede Ziffer der Kontonummer neue Daten bildet, die zum Rückadressieren des'gleichen Speichers verwendet werden, der durch die Institutsidentifizierungszahl adressiert wird, wodurch ein pseudo-wahlfreise-Rückführungs-Adressenschema gebildet wird. Eine der. Ziffern, vorzuL-sweise die niedrigatwertige Stelle der Kontonummer wird wiederum verwendet, um den Speicher in pseudo-wahlfreier-Weise zu adressieren und in einer dritten Betriebsweise ist eine Ziffer des endgdltigen,vom Speicher erzeugten Zeichens oder der persönliche Identifizierungszahl (P.I.N.) mit einer Ziffer der am Tastenfeld gespeicherten Geheimzahl korreliert.
Zusätzliche Ziffern der Kontonummer werden ähnlich verarbeitet, um Ziffern der P.I.N. für eine 1:1-Korrelation mit den verbleibenden Ziffern der Geheimzahl zu bilden, und eine günstige Korrelation zwischen den Ziffern der Geheimzahl und den P.I.N.-Ziffern zeigt an, daß der Besitzer der Karte ein berechtigter Besitzer bzw. Inhaber ist.
Miteinander zusammenarbeit;ende Institute haben compatible Terminalsund identisch programmierte Festspeicher verifizieren die echtheit der Besitzer der von irgend einem der zusaminenarbeitenden Institute ausgegebenen Karten. Weil die Speicher an jedem Institut identisch programmiert sind, bewirkt eine eine Institusidentifizierungszahl und eine Kontonummer tragende Karte, wenn sie dem Nummernumsetzer zugerührt ist, das Erzeugen einer positiv korrelierenden P.I.N. im Verifizierungssystem an irgend einem der zusammenarbeitenden Institute. Das System, das an jedem Institut auf die auf der Karte registrierte Institutsidentifizierungszahl anspricht, bewirkt, daß die berechtigterweise durchgeführte Transaktion zu Lasten desjenigen Institut; geht, an dem da Kont;o geführt wird, wodurch eine Austauschmöglichkeit besteht und vcrmieden wird, daß die Rechnungsstellung zwischen den verschiedenen Instituten durcheinander kommt.
Um die Sicherheit weitcr zu erhöhen, kann die über das Tastenfeld eingegebene Geheimzahl zum Adressieren eines zweiten Festspeicher verwendet werden, dessen Ausgang mit der Zahl verglichen wird, die vom auf die auf der Karte enthaltenen ersten und zweiten Daten ansprechenden Nummernumsetzer erzeugt wird. Eine vom Kunden bei Ausgabe der Karte gewählte Geheiinzahl kann als Adresse für den zweiten Festspeicher verwendet werden, in dem auf der Karte eine Zusatzzahl enthalten ist. Die Zusatzzahl wird mit der über das Tastenfeld eingegebenen Geheimzahl kombiniert und bildet ein Adressenbyte, und der Ausgang des zweiten Festopeichers ist mit der .I.N. korreliert.
Ilit der Erfindung wird somit ein Verfahren und eine Einrichtung zur Gültigkeitsüberprüfung geschaffen, bei dem bzw. der eine Gcheimzahl iufl einer .)i einer Karte registrierten Daten hergeleitet wird und die auf der karte enthaltenen Daten und die Gcheimzahl keine sichtbare bzw. augängliche logische oder mathematische Beziehung miteinander haben.
Das erfindungsgemäße Verfahren und die erfindungsgemäße Einrichtung ermöglichen einen Austausch unter zusommenarbeitenden Instituten.
Alle Ziffern der Gcheimzahl können vom Kunden bei Ausgabe der Karte gewählt werde.
Die Erfindung läßt sich wie folgt zusammenfassen: Es wird ein Vcriiizierungsverfahren und eine Einrichtung zum Durchführen des Verfahrens geschaffen, mit dem bzw.
der festgestellt werden kann, ob ein Besitzer oder Inhaber einer Karte berechtigt ist, eine Transaktion über ein on-line-Terminal eines Instituts in einem Netzwerk von zusammenarbeitenden Instituten, beispielsweise Banken, durchzuführen; das Verfahren und die Einrichtung sind auch dort verwendbar, wo beispielsweise Zugang zu einer Sicherheitsdatczfflile in ein ein Computer erhalten werden soll, ein Sicherheitsbereich betreten werden soll, eine Verkaufstransaktion durchgeführt werden soll und on-lineautomatisierte Registriervorrichtungen in Banken betrieben werden sollen. In der bevorzugten Ausführungsform enthält die harte Information mit ersten Daten, die das ein Konto eines berechtigten Kartenbesitzers führende Institut identifizieren und zweiten Daten, die das Konto identifizieren.
Die ersten und zweiten Daten werden von der Karte maschinell gelesen und eine aus den Daten hergeleitete Geheimzahl, die nur dem berechtigten Besitzer der Karte bekannt ist, wird vom Kartenbesitzer bzw. Inhaber über ein Tastenfeld eingegeben. Die ersten Daten werden zum Adressieren eines Festspeichers mit darin gespeicherten Random-Zeichen verwendet. Die vom Speicher ausgegebenen Random-Zeichenziffern werden der Reihe nach mit jeder Ziffer der zweiten Daten EXKLUSIVE OR verarbeitet und das Ergebnis wird dem Adressenterminal des Speichers zugeführt, um unter im Speicher gespeicherten Random-Daten eine Pseudo-Random-Vektorverarbeitung hervorzurufen. Vorgewählte Ziffern der vom Speicher erzeugten Zeichen sind mit Ziffern der Geheimzahl korreliert, um eine "go-no go"-Anzeige zu erzeugen, wn festzustellen, ob der Besitzer der karte zum Durchführen von Transaktionen im System berechtigt ist. mittels einer Zusatzzahl auf der Karte köinien alle Ziffern der Geheimzahl vom Inhaber der Karte bei deren Aus;abe solbst gewählt werden. Die Zusatzzahl setzt die Ziffer der vom Karteninhaber gewählten Geheimzahl in Ziffern um, die den vorgewählten Ziffern des im Speicher erzeugten Zeichens entsprechen. Die Karte kann an jedem Institut eines iietzwerks zusammenarbeitender Institute verifiziert werden, die Verifizierungssysteme mit identisch proprammierten Festspeichern haben. Die ersten auf der Karte enthaltenen Daten bewirken, daß die Transaktion dem Institut, das das Konto führt, in Rechnung gestellt wird und verhindern ein Durcheinnderkommen der Transaktionsregistrierungen unter den zusammenarbeitenden Instituten.
Als Beispiel für einen der oben genannten bewacht,en Bereiche für deren Betretung die Erfindung verwendbar ist, sei ein Warenhaus genannt.
Die Erfindung wird im folgenden anhand schematischer Zeichnungen beispielsweise und mit weiteren Einzelheiten erlautert.
bs stellen dar: Fig. 1 ein vereinfachtes Blockschaltbild einer Verifizierungseinrichtung; Fig. 2 ein Schaltbild des Nummernumsetzers und ein vereinfachtes Blockschaltbild eines Folgesteuergliedes der Verifizierungseinrichtung; Fig. 3 ein Schaltbild eines Hexadecimal/BCD-Wandlers und eines digitalen Comparators zum Vergleichon von Ziffern der P.I.N. mit entsprechenden Ziffern der Gcheimzahl; Fig. 4 ein Schaltbild des Zählers der Verifizierungseinrichtung zum Erzougen eines vom Comparator abhängigen "go-no go"-Signals; Fig. 5a bis 5c Schaltbilder von Teilen des Folgesteuergliedes der Verifizierungseinrichtung; Fig. 6 ein Schaltbild einer wahlfrei vorhandenen Vorrichtung zum Umsetzen einer vom Kunden gewählten Geheimzahl in eine P.I.N. und Fig. ? ein Blockschaltbild eiiier Vorrichtung zum Erzeugen einer Geheirnzahl aus Daton,die auf einer Karte bei deren Ausgabe vorhanden sind.
In Fig. 1 ist ein vereinfachtes Blockschaltbild einer erfindungsgemäßen Einrichtung zur Gültigkeitsüberprüfung bzw. Verifizierung dargestellt. Eine für die Einrichtung verwendbare Identifizierungskarte 10 enthält Felder von Daten, wie die Felder 12, 14 und 16. Vorzugsweise enthalten die Felder 12, 14 und 16 jeweils Daten, die (1) das Institut, das die Karte ausgegeben hat oder ein Konto des authorisierten Kartenbesitzers führt, (2) die Kartenkontonummer und (3) andere Daten, beispielsweise den Kontostand und das Ablaufdatum identifizieren. Die Daten in den Feldern 12, 14 und 16 sind in jedwelcher geeigneten Form aufgebracht, beispielsweise eingeprägt, ausgestanzt oder in Form von elektrisch leitenden Bereichen vorhanden, vorzugsweise sind sie auf einem Magnetstreifen in geeigneter Form enthaltene Bits.
Ein Kartenlesegerät 18 ist eine herkömmliche Kartenabtasteinholt, die die Identi@zierungskarte 10 aufnimmt und auf der Karte enthaltene Daten in elektrische Signale in hexadecimaler Form umwandelt, wobei die Daten aus den Feldern 12, 14 und 16 in Schieberegister 42, 44 und 45 eingebracht und dort gespeichert werden. Die Daten aus dem Kartenlesege@ät 18 werden einem Nummernumsetzer 30, einer Institutsidentifizierungseinheit 26 und einem zentralen Buchungs- bzw. Verrechnungssystem 28 zugeführt.
Die der Institutsidentifizierungszahl und der Kontonummer entsprechenden Daten aus den Feldern 12 und 14 werden dem Nummernumsetzer 30 zugeführt, die Daten aus den Feldern 12, 14 und 16 werden deTn zentralen Verrechnungssystem 28 zugeführt.
Erfindungsgemäß enthält der Nummernumsetzer 30 einen Festspeicher (read only memery), der anfänglich durch die Ziffern des Institutsidentifizierungsfeldes 12 und dann, indem Daten vom Ausgang des Speichers rückgekoppelt und ein Teil der Rückkopplungsdaten logisch mit Ziffern des Kontonummernfeldes 1/l verlulüpft werden, pseudo- wahlfrei adressiert wird, wobei bestimmte te der Speicherausgangsdaten die Kontonummerumsetzung bilden. Vom Speicher abgeleitete Ausgangsdaten, die im folgonden als Personenidentifizierungsnummer (P.I.N.) bezeichnet werden, weisen keine feststellbare Bezichung zu den von der Karte gelesenen Daten auf.
Während der Verifizierung der Karte 10wird die vom Dummernumsetzer 30 erzeugte P.I.N. mit einer Gcheimzahl M korreliort, die vom Kartenbesitzer bzw. Inhaber über ein Tastenfeld 22 eingegeben wird. Die Ziffern der Geheimzahl M sind auf einer 1:1-Basis jnit Ziffern der P.I.N. in Comparator 24 korreliert. Der Comparator 211 erzeugt ein "go-no go"-Signal entsprechend der Korrelation.
Jedes der Institute eines cooperativen Netzwerks von Instituten ist mit der Verifizierungscinrichtung gemäß der Erfindung ausgerüstet, wobei jede Einrichtung bzw. jedes System einen identischen Hummernumsetzer 30 aufweist.
Die Institutsidentifizierungseinheit 26 ist ein binäres Register, das die Institetsidentifizierungsdaten 12 speichert und die Daten in ein zentrales Verrechnun pasystem 28 überträgt, um das ausgebende Institut mit der Transaktion zu belasten. Die Institutsidentifizierungsdaten 12 bilden die erste oder "Schlüssel"-Adresse des Speichers des Umsetzers 30 und bewirken zusätzlich, daß die Transaktion, wenn sie durchgeführt worden kann, dem identifizierken Institut in Rechnung gestellt wird.
Von den zusammenarbeitenden Instituten ausgegebene Standardkarten 10 sind im Verifizierungssystem an jedem der im Netzwerk zusammenarbeitenden Institute verifizierbar.
Sollte eine Karte, die von einem nicht cooperierenden Institut ausgegeben worden ist, einem Kartenlesegerät 18 zur Verifizierung zugeführt werden, bewirkt das aufängliche Adressieren des Speichers mit der Institusidentifizierungszahl und das nachfolgende Adressieren mit der Kontonummer, daß der Speicher eine P.I.N. erzeugt, die nicht mit der Geheimzahl korreliert, selbst wenn die auf der Karte enthaltene Kontonummer identisch mit einer Kontonummer ist, die unter den cooperierenden Instituten bereits in Bcnutzung ist. Damit der Speicher eine korrelierbare P.I.N. erzeugen kann, müssen die die Institutsidentifizierungszahl betreffenden Daten des Feldes 12 und die Kontonummerdaten des Feldes 14 auf der Karte 10, wenn sie dem Umsetzer 30 zugeführt werden, die vorweggenommene seudo-Random-Vektorbildung des Speichers erzeugen , um die richtige P.I.N.
zu erzeugen.
lin Betrieb schiebt der Kunde die Karte 10 ist das Kartenlesegerät 18 ein und gibt seinc Geheimzahl manuell über das Tastenfeld 22 ein. Die Ausgangsdaten des kartenlesegerätes 18 werden dem zentralen Verrechnungssystem 28, der Institusidentifizierungseinheit 26 und einem Nummernumsetzer 30 zugeführt. Das zentrale Verrechnungssystem 28 befindet sich an einer dem die Transaktion durchführenden Institutes zugänglichen Stelle und enthält; einen Computerspeicher und eine Datenverarbeitungseinrichtung an sich bekannter Bauart, wie sie gegenwärtig für Bankgeschäfte verwendet werden. Der Nummernumsetzer 30 wird pscudo-wahlfrei von den Institutsidentifizierungsdaten des Feldes 12 und den kontonummerdaten des Foldes 14 adressiert, um eine P.I.N. zu erzeugen, die mit den Geheimzahldaten korreliert ist, die im Tastenfeld 22 am Comparator 24 gespeichert sind. Im zentralen Verrechnungssystem 28 werden weiters die vom Feld 16 der Karte 10 hergeleiteten Daten zugeführt, die beispielsweise den Status des kartenbesitzers, das Ablaufdatum der Karte und audere Iaformation darstellen.
Angenommen, der Kartenbesitzer ist, festgestellt vom Comparator 24, der berechtigte Besitzer bzw. Inhaber und eine geforderte Bargeldentnahme-Transaktion ist zulässig, dann wird Bargeld von einer Bargeldausgabeeinheit 31 ausgegeben und die Transaktion wird dem die Karte ausstellenden Institut entsprechend den in der Institutsidentifizierungscinheit 26 gespeicherten Daten in Rechnung gestellt. In einer Anzeigeeinheit 23 ist für den Kunden ein "go"- oder "no go"-Signal sichtbar, wobei die Anzeigeeinheit 33 eine alphanumerische oder eine Signallampenanzeige oder etwas ähnliches sein kann.
Die Institutsidentifizierungsdaten den Felde 12 werden vom Kartenlesegerät 18 einem binären Schieberegister 42 als zwei Hexadecimalziffern)A1A2) zugeführt. Die Kontonummerdaten vom Feld 14 werden dem Schieberegister 44 als mehrere Ziffern (Z1Z2...ZN) zugeführt, von denen jede hexadeciinal codiert ist. Dic Funktionsweise der Register 42 und 44 wird weiter unten genauer erläutert. Die Daten des Feldes 16 werden dem Register 45 zugeführt, damit sie in das zentrale Verrechnungssystem 28 gelangen können.
Das Register 26 dient als zusätzliches Soeicherregister für die Institusidentifizerungszahl und führt die Daten dem zentralen Verrechnungssystem 28 zu, um eine zulässige Transaktion dem idontifizierten Institut in Rechnung zu stellen. Das in Fig. 2 genauer dargestellte Register 26 kann am Beginn eine" Verifizierungszyklus durch ein Ladesteuersignal (LD), wie später erläutert wird, beladen werden. Alternativ kann das Register 26 mittels eines Abfragesignals Leladen werden, das vom zentralen Verrechnungssystem 28 erzeugt wird und anzeigt, daß eine gewünschte Transaktion, basierend auf dem Ergebnis eines Kartenverifizierungszyklus und anderen Daten, beispielsweise dem Kontostand, als zulässig festgestellt ist;. Die in das Register 26 eingebrachten Institutsidentifizierungsdaten werden dann dem System 27 zugeführt, um die Transektion dem identifizierten Institut in Rechnung zu stellen.
Bezugnehmend auf FIL. 2 enthält der Nummernumsetzer 30 einen Festspeicher tO, ein Folgesteuerglied 46, eine EXCLUSIVE OR-Schaltung 51, gesteuerte Schalter 50, 52, 54, 56 und Register 42, 44 und 48. Als ROM 40 kann jedwelcher Speicher verwendet werden, der als Festspeicher betreibbar ist, wie beispielsweise ein Halbleiterspeicher oder ein Magnetkern; vorzugsweise wird ein programmierbarer MOSFET-Festspeicher (ROM) aufgrund seiner kleinen Abmessung und seiner einfachen Programmierbarkeit vorwendet. Ein solcher ROM ist beispielsweise der Typ Inten 1602A, der so programmiert ist, daß er 256 Bytes mit Random-Hexadecimalwerten zwischen 00 und 255 ohne Wiederholung onthält (die Zahl 255 ist als FF hexadecimal dargestellt; Hexadecimalzahlen sind entsprechend Tabelle 1-3, S. 13 Minicomputers for Engineers and Scientists, Korn, 1973, MeGraw-Hill, Inc.) dargestellt.
Das ROM 40 wird durch ein Adressenbyte mit zwei Ziffern adressiert, von denen jede vier hexadecimal codierte Bits aufweist. Die vier Bits der ersten und zweiten Ziffer werden den Terminuls I1-I4 und I5-I8 des ROM 40 zugeführt.
Jedes gespeicherte Byte des ROm 40 ist von Adressonterminals I1-I8 her adressierbar; jedoch besteht keine fests-tellbare Beziehung zwischen den gespeicherten Bytes und den Adressenbytes.
Die Schalter 50, 52, 54 und 56 sind Verknüfungsglieder mit drei Zustands-Totem-Pol-Ausgängen, wie beispielsweise das von Texas Instruments, Inc.,hergestellte SN 74125, das selektiv Daten zwischen seinen Eingängen und Ausgängen durchläßt, je nach dem Zustand von Steueranschlüssen CT; ein dem Anschluß CT zugeführtes logisches Null-Signal stellt einen zugehörigen Schalter an und ein logisches Eins-Signal stellt ihn au. Die Schalter 5O, 52, 54 und 56 empfängen Adressdaten aus den Registern 42 und 48 und der EXCLUSIVE OR-Schaltung 51 und führen diese Daten den Adressanschlüssen I1-I8 des ROM 40 entsprechend dem Institutsidentifizierungszahlsignal (lIN) unf frddrn Komplement (IIN), das den Klemmen CT vom Sequenzglied 46 zugeführt wird. Das Register i2 wird dadurch ein Registerladesignal (LD) gesteuert, das Register 48 wird mittels eines Rückführungstastsignals (FS), das Register 44 mittels eines Ladesignals (LL) und eines Kontoziffernschiebesignals (ZSP) gesteuert. Alle in Klammern aufgeführten Steuersignale werden vom Steuerglied 46 in der weiter unten beschriebenen Weise erzeugt.
Die Register 42, 44 und 48 speichern zeitweilig Institutsidentifizierungszahldaten, Kontonummerdaten und ausgangsdaten des ROM 40 unter Steuorung von Signalen (LD) und (FS). Die von der Karte 19 ausgelesenen Institutsidentifizierungszahldaten worden bit-parallel in das Register 42 geladen und die Rontonummerdaten werden bit-parallel in das Register 44 geladen. Das Register 48 dient als ein zeitweiliger Speicher für die vom ROM 40 ausgegebenen Daten, so daß beim erncuten Adressieren den ROM 40 vorher zugegriffene Daten nicht verleren werden. Jedes der Register 42, 44 und 48 enthält: (a) einen Tast (strebe) Anschluß S, der, wenn ihm ein lmpuls zugeführt wird, bewirkt, daß die den Eingängen des Registers bit-parallel zugeführten Daten im Register gespeichert werden und (b) einen Schiebeanschluß SH, der, wenn er einen Impuls empfängt, ein serielles Verschieben der gespeicherten Daten bewirkt. Ein Rogister wie das von Texas Instruments, lnc. gefertigte SH 74199 eignet sich für diese Anwendung.
Der Schiebeanschluß SH wird nur im Register 44 verwendet.
Der Umsetzer 30 funktioniert in drei Betriebsarten, nämlich (a)einer Institutsidentifizierungszahlert IIN, wobei das ROM 40 anfänglich mit der Institutsidentifizierungszahl adressiert wird, (b) einer Kundenkontonummerart CAN, wobei das ROM 40 unter Vorwendung der Kontonummer adressiert wird, und (c) einer Personenidentifizierungszahl erzeugenden Art PING, wobei die Ziffern der P.I.N. von Bytes hergeleitet werden, die von ROM 40 erzengt werden. In der Institutsidentifizierungszahlart wird ein Institutsidentifizierungsziffern A1A2 darstellendes Adressenbyte den ROM 40 Adressenanschlüssen I1-I8 zugeführt; in der Kontonummerart werden ROM-Ausgangsdaten von Ausgangsanrückgeführt schlüssen O1-O4 zu den Adressenanschlüssen I1-I4@und Daten von Ausgangsanschlüssen O5-O8 .werden rückgeführt und mit einzelnen Ziffern ZN der Kontonummer EXCLUSIVE OR verarbeitet, bevor sie Adressenanschlüssen I5-I8 zugeführt werden.
In der RIN. orzeugenden Art werden die Ziffern der P.I.N.
vom R011 40 erzeugt.
Ziffern A1A2 der Institutsidentifizierungszahl, die im Register 42 gespeichert sind, werden Adressenanschlüssen I1-I8 des ROM 40 über Schalter 52 und 54 zugeführt, die durch Beaufschlagen ihrer Anschlüsse CT mit dem Steuersignal (IIN) angeschaltet werden. Das vom Steuerglied 46 erzeugte Signal (IIN) ist während der Institutsidentifizierungsbetriebsart eine logische Null. Dem durch die Ziffern A1A2 gebildeten Adresseiibyte entsprechend ist ein im HOI.' 40 gespeichertes Zweiziffern-Byte in hexadecimaler Form, das, wenn es adressiert ist, asynchron an Ausgangsanschlüssen O1-O8 des ROM erzeugt wird.
Das Ausgangsbyte wird im Register 48 nicht gespeichert, wenn nicht dem Tasteingang S des Registers 48 ein erster Tastimpuls (FS) vom Steuerglied 46 zugeführt wird. Das erste Ausgangszeichen des ROH 40, das nur von der Institutsidentifizierungszahl A1A2 abhängt, dient als Startpunktadresse oder "Schlüssel" für die Pseudo-Random-Adressierung des ROM. Die Institutsidenfitizierungszahl wird den Adressenanschlüssen I1-I8 des ROM 40 nur einmal zugeführt und wird danach durch Öffnen der Schalter 52 und 54 mittels einer Steuersignals (IIN) entfernt, das eine logische Eins ist, wenn das System nicht; in Institutsidentifizierungszahlbetriebsart arbeitet.
Die ersten vier Bits des vom ROM 40 an seinen Ausgangsanschlüssen O1-O4 erzeugten Byte werden an die Eingangsanschlüsse des Schalters SO rückgeführt und die zweiten vier Bits an den Ausgangsanschlüssen O5-O8 werden ZU anderen Eingangsanschlüssen der EXCLUSIVE OR-Schaltung 51 rückgeführt. Die Eingänge zu den anderen Eingangsanschlüssen der EXCLUSIVE OR-Schaltung 51 kommen vom Register 44 und enthalten eine erste Ziffer Z1 der Kontonummer.
Vorzugsweise ist die erste Ziffer der Kontonummer, die dem Reigster 44 zugeführt wird, die am niedrigstwertige Stelle der Kontonummer, weil die codierten Kontonummerziffern ZN entsprechend ihrem Wert im Feld 14 der Karte 10 angeordnet und im Speicher 44 gespeichert sind. Die Zufälligkeit (Randomness) der erzeugten Daten wird zum Teil durch die Ordnung des Eintritts der Ziffern Z11 gesteuert; eine. liobe Randomness tritt auf, wenn die Ziffern ZN, begiiinend mit der niedrigstwertigen Stelle sukkzessive eingegeben werden. Es sei jedoch darauf hingewiesen, daß jede Ziffer der Kontonummer die erste, dem Umsetzer 30 während der Kontonummerbetriebsart zugeführte Ziffer sein könnte; alle Ziffern werden während eines Verifizierungszyklus wenigstens einmal zugeführt.
Die im Register 44 gespeicherten Ziffern der Kontonummer werden,jeweils eine Ziffer (4 Bits) durch Beaufschlagen des Anschlusses S11 des Registers 44, mit einem seriellen Schiebeimpuls (ZSP), weitergegeben, Die Schiebeimpulse (ZSP), die vom Steuerglied 46 erzeugt werden, bestehen aus Iinpulszügen mit vier Impulsen je Zug (da jede im Speicher 44 gespeicherte Ziffer vier Ziffern enthält).
Eine Rückführungsschaltung 44a bewirkt eine Betriebsweise des Registers 44 als Umlaufschieberegister, wodurch vom Register ausgehende Daten seinem Eingang wieder zugeführt werdon. Die seriell vom Register 44 ausgegebenen Kontonummernziffern werden entsprechend seriell dem Register wieder zugeführt und bei der Kontonummernbetriebsart werden umgelaufene Ziffern zum erneuten Adressieren des ROM 40 verwendet. Weil die Schalter 50 und 5G mittels eines Steuersignals (II@) aui dem Steuerglied isG bei Institutszablbetriebsart abgeschaltet sind, werden die vom ROM 40 an den Ausgangsanschlüssen O1-O8 erzeugten Bytes von den Adressenanschlüssen I1-I8 des ROM 40 bis zum Beginn der Kontonummerbetriebsweise isoliert.
Unter Steuerung des Steuergliedes 46 wird die Kontonummerbetriebsart durch Erzeugen eines Kontonummerbetriebsart-Steuersignals (CAN) in Form einer logischen Eins gestartet.
In der Kontonummerbetriebsart werden die Schalter 52 2 und 54 durch ein logisches Eins-Signal (IIN) abgeschaltet und die Schalter 50 und 56 durch ein logisches Null-Signal (IIN) angeschaltet. Weil die Institutsidentifzierungszahl A1A2 nicht wieder zur Adressierung des ROM 40 verwendet wird, bleiben die Schalter 52 uiid 54 während des Restes des Verifizierungszyklus aus.
Da die Schalter 50 und 56 bei Kontonummerbetriebsart aus-und die Schalter 52 und 54 eingeschaltet sind, wird das Ausgangsbyte des ROM 40, das im Register Z gespeichert ist, den Adressenanschlüssen I1-I8 des ROM 40 zugeführt; die erste Ausgangsziffer an den Anschlüssen 01-O0 des ROM 40 wird durch den Schalter 50 unmittelbar den Adressenanschlüssen I1-I8 zugeführt und die zweite Ausgangsziffer an den Anschlüssen O5-O8 wird mit der im Register 44 gespeicherten Ziffer Z1 der Kontonummer EXCLUSIVE OR verarbeitet; das Ergebnis wird den Adressenanschlüssen I5-I8 zugeführt. Unmittelbar nach Zufuhr des nouen Adressenbytes zu den Adressenanschlüssen I1-I8 des ROM 40 wird an den Anschlüssen 01-08 ein neues Ausgangsbyte entsprechend der Programmierung des ROM 4O erzeugt. Wenn ein zweites Rückführungsausgangssignal (FS)aus dem Steuerglied 46 dem Auslöseanschluß S des Registers 48 zugeführt wird, wird das neuc ROM 40-Ausgangsbyte im Register 48 gespeichert, um das vorher darin gespeicherte Byte zu ersetzen. Das nun im Register 48 gespeicherte zweiziffrige Byte wird den Adressenanschlüssen I1-I8 des ROM 40 wieder zugeführt, wobei die zweite an den Anschlüssen O5-O8 des ROM 40 erzeugte Ziffer zuerst; mit der Ziffer Z1 dci' Kontonummer in der EXCLUSIVE OR-Schaltung 51 EXCLUSIVE OR verarbeitet wird. Unter Steuerung des Steuergliedes 46 wird der beschriebene Adressenzyklus sukksessive durch sukzessives Beaufschlagen des Anschlusses S des Registers 48 mit Rückführ ungsauslöseimpulsen (FS) eine willkürliche Anzahl häufig wiederholt, vorzugsweise sieben Mal. Die Anzahl sieben wird bevorzugt, weil sie normalerweise mit einem handelsüblichen achtstufigen Schieberegister 84, das weiter unten beschrieben wird, erzeugt wird; en kann jedoch jedwleche ganze Zahl verwendet werden.
Als Ergebnis den sukzessiven Adressierens des 1011 40 mit seinen Ausgangsdaten erfolgt ein pseudo-wahlfrei-Adressieren des ROM 40, wodurch das ROM 40 pseudo-zufällig-verktoriell arbeitet und eine Serie psaudo-zufälligen-Ausgangsbytes erzeugt.
Die oben beschriebene Betriebssequenz ist in Tabelle 1 am Ende der Beschreibung dargestellt, wobei das Programmieren des ROM 40, die Institutsuidentifizierungszahl A1A2 und die niedrigstwertige Kontonummerziffer Z1 als Beispiel angegeben sind. In der Tabelle I erscheinen acht Sequenzstufen und nicht sieben, weil die anfängliche oder "Schlüssel"-Adresse, die die Institutsidentifizierungszahl (bdispielsweise 10011000) verwendet, initaufgenommen ist.
Im Beispiel der Tabelle 1 wird nach sieben aufeinanderfolgenden Zyklen der Adressierung des ROH 40, wodurch sieben random-gespeicherte Byte; pseudo-random zugegriffen werden, um das Byte 10111000 zu erzeugen, unter Steuerung des Steuergliedes 46 die nächst niedrige Ziffer Z2 der im Register 44 gespeicherten Kontonummer mit Schiebeimpulsen (ZSP) in die letzten vier Stufen des Registers 44 geschoben. Die Ziffer Z2 der Kontonummer wird zum Pseudo-wahl freien-Adressieren des ROM 40 in gleicher Weise wie oben anhand der Ziffer Z1 beschrieben, vorwendet.
Unter Steuerung des Rückkopplungsauslösesignals (Fs) werden für jede der restlichen Ziffern Z3...Z10 der Kontonummer sieben Zyklen der Rückführ ungssdressierung wiederholt.
ilit einer Kundenkontonummer von beispielsweise zehn Ziffern erfolgen im ROM 40 71 Zugriffe (es sei in Erinnerung gerufen, daß das ROH 110 unter Verwendung der Institutsidentifizierungszahl in der IIN-Betriebsart einmal adressiert wurde). Zu dieser Zeit wurden die vom ROM 40 erzeugten Bytes nur verwendet, um Pseude-Random-Vektoren der im ROH lO gespeicherten Random-Daten zu erzeugen. Noch wurde keines der Ausgangsdaten Zlt!l Korrelieren mit der Geheimzalil ver wendet.
Nachdem alle Ziffern Z1-Z10 der Kontonummer zum Erzeugen von Pseudo-Random-Adressen für das ROM 110 verwendet worden sind, werden die vier niedrigstwertigen Ziffern * Z1 bis Z4, die im Register 44 mittels der Leitung 44a umgelaufen sind, wiederum verwendet, um das ROM 40 unter Steuerung der Rückführungstastsignale (FS) pseudo-wahlfrei zu adressieren. Die am niedrigstwertige Ziffer Z1 wird vorwendet, um das ROM 40 sieben Mal zu adressieren und die erste Ziffer des vom ROH 40 an den Ausgangsanschlüssen 01-04 erzeugten Bytes stellt die erste Ziffer der P.I.N. dar. Das Steuerglied 116 erzeugt nun ein P.I.N.-Erzeugungsbetriebsartsteuersignal (PING), das die Bcaufschlagung des Registers 48 mit Rückführungstestsignalen @ (FS) hindert, wodurch die gespeicherten P.I.N.-Daten darin während der Korrelation mit einer entsprechenden Ziffer 111 der Geheimzahl im Comparator 24 gespeichert bleiben. Nach einem Vergleichs-@ lesst significant@ zyklus erzeugt das Steuerglied 46 cin logisches Einseignal (CAN), das bewirkt, daß der Umsetzer 30 wiederum in der Kontenbetriebsart arbeitet, wodurch das ROM 40 mit einer Ziffer Z2 zum Erzeugen der zweiten Ziffer der P.I.N. adressiert wird. Das Erzeugen der Betriebsartsteuersignale ist weiter unten anhand den Folgesteuergliedes 46 genauer beschrieben.
Die Ziffern Z2, Z3 und Z4 der Kontonummer werden einzeln verwendet, um ROM 40 pseudo-wahlf@ei zu adressieren, wobei jede Ziffer den ROM 40 sieben Mal in Kontonummernbetriebsart adressiert; und die zweite, dritte und vierte Ziffer der an den Ausgangsanschlüssen 01-04 des ROH erzeugten P.I.N. mit der zweiten, dritten und vierten Ziffer der Geheimzahl in P.I.N.-Betriebsart verglichen wird.
Die viert Bits jeder vom ROM 40 an den Ausgangsanschlüssen 05-08 erzeugten P.I.N.-Ziffer werden nicht für eine Korrelation mit der Geheimzahl verwendet und bleiben unberücksichtigt. Die obige Betriebssequenz mit der eine höchstwertige Ziffer der P.I.11. mit beispielsweise einem numerischen Wcrt 0101 erzeugt; wird, ist in Tabelle II am Ende der Beschreibung dargestellt. Die siebenstufige Sequenz erstreckt sich zwischen den Sequenzzahlen 113 und 119, wie ebenfalls aus Tabelle IV am Ende der Beschreibung ersichtlich und weiter unten diskutiert. Dieser Sequenz geh. eine Ladesequenz (eine Stufe),eine Il@-Betriebsart (Eine Stufe), zehn CAN-Sequenzen (siebzig Stufen) und zehn Schiebesequenzen (vierzig St;ufen) voraus. Diese Stugen eind in Tabelle IV ausgeführt.
Die von ROM 40 erzeugten Ziffern sind hexadecimal, während die Ziffern der vom Tastenfeld 15 erzeugten Geheimzahl binär codiert decimal (BCD) sind. Entsprechend muß vor der Korrelation bzw. in Beziehungsetzung im Comparator 24 eiiic Hexadecimal-in-BCD-Umwandlung für die vom ROH 40 erzeugt ten Ziffern erfolgen. Gemäß Fig. 3 empfängt eine Hexadecimal/BCD-Umsetzerschaltung 53 Ziffern von den Ausgangsanschlüssen O1-O4 des ROM 40 in hexadecimaler Form und setzt die Ziffern in BCD-Form um.
Im Umsetzer 53 erfolgt die Hexadecimal-in-BCD-Umsetzung dadurch, daß digital bestimmt wird, ob der Wert der hexadecimalen Ziffer von den Ausgangsanschlüssen 01-04 des ROM kleiner als 6 (0110) ist und, falls ja, acht (1000) zuaddiert wird. Wenn die Ziffer einen Wert größer oder gleich sechs hat, wird sie unmittelbar verwendet.
Tabelle III zeigt das Ergebnis der Hexadecimal/BCD-Umsetzung unter Verwendung des obigen Umsetzungsalgorithmus. Wenn die Komplementärwerte der erhaltenen Ziffern BCD* gebildet werden, ergibt sich die mit BCD** überschriebene Spalte. Es sei darauf hingewiesen, dal die Decimalziffern zwei bis sieben zweimal beim Uinwandcln der hexadecimalen Ziffern 0 bis 15 in die decimalen Ziffern O bis 9 erscheinen.
Entsprechend treten die Ziffern 0, 1, 8 und 9 weniger häufig als die restlichen Ziffern 2 bis 7 auf. Diese fehlende Gleichmäßigkeit der spektralen Dichte durch die ungleichmäßige gegenseitige Beziehung macht die Umsetzung zwischen auf der Karte enthaltenen Informationen und der Geheimzahl nicht wesentlich mehr vorhersehbar. In Fig. 3 empfängt jede der Leitungen a, b, c und d der dargestellten Schaltung bit-parallel ein Bit der vom ROM 40 an den Ausgangsanschlüssen 01-Q erzeugten Hexadecimalziffer aus vier Bits.
Die Umsetzung in BCD-Darstellung erfolgt durch ein Verknüplungsglied 60 und einem Inverter 62, die zwischen dem Ausgang des Registers 48 (Fig. 2) und dem Eingang des Comparators 24 liegen. Der Comparator 24 enthält vier EXCLUSIVE OR-Verknüpfungsglieder 24a, 24b, 24c und 24d, die jede an den Ausgangsanschlüssen O1-O4 des ROM 40 erzeugte, aus vier Bits bestehende Ziffer der P.I.N. mit jeder aus vier Bits bestehenden Ziffer der über das Tastenfeld eingegebenen Geheimzahl H vergleichen, und enthält weiter Verknüpfungsglieder 66 und 66a.
Jeder den Leitungen a, b, c und d zugeführten hexadecimalen Ziffer mit einem oder kleiner als sechs (0110) wird durch das Verknüpfungsglied 60 die Binärziffer mit dem numerischen Wert acht (1000) aufaddiert, während Zifferm mit einem Wert größer oder gleich 6 (0110) dem Comparator 24 zugeführt werden, ohne daß ihnen die Ziffer 1000 hinzuaddiert wird. Im Beispiel der Tabelle 11 wird die an den Anschlüssen O1-O4 des ROM 40 erzeugte Ziffer 0101 den Eingangsanschlüssen a, b, c, d des Umsetzers 53 zugeführt. Der Umsetzer 62 und das Verknüpfungsglied 60 setzen die Ziffer 0101 in die Ziffer 1101 wn, bevor sie dem Comparator 24 zugeführt wird. Die Ziffer 1101 ist das binäre Komplement der BCD-Ziffer 0010, das der hexadecimalen Ziffer 0101 entspricht, wie in Tabelle III dargestellt. Dic oben genannte komplementäre BCD-Ziffer wird dem Comparator 24 zugeführt, um mit einer Ziffer der Geheimzahl verglichen zu werden, von der nicht das Komplement gebildet ist. Da jede Stufe des Comparators 24 ein EXCLUSIVE OR-Verknüpfungsglied ist, erzeugt jede Stufe ein logisches Eins-Signal, wenn immer die ihm zugeführten Eingangssignale einander entgegengesetzt sind, d.h. eine logische Eins und eine logische Hull sind.
Aus diesem Grunde werden die Ziffern der über das Tastenfeld 22 eingegebenen Geheimzahl dem Comparator 24 direkt zugeführt; von ihnen wird nicht der komplementäre Wert gebildet. Im vorliegenden Beispiel erzeugt der Comparator 24 für die vom Tastenfeld erzeugte Ziffer 0010 ein logisches Eins-Signal. Eine in Fig. 4 dargestellte Zählschaltung 70 spricht auf die voin binären Umsetzer 6Ga erzeugten logischen Eins-Signale an.
Die Zählschaltun6 70 enthält ein Paar Schieberegister 71 und 72, wie beispielsweise das von Texas Instruments, Inc.
gefertigte SN 74(33, mit vier Bits und seriellem Ein-und serielles Ausgang. Der Ausgangsanschluß des Vcrknüpfungsgliedes 69 ist über einen binären Inverter 69a mit dem Eingangsanschluß Ii' des Schieberegisters 72 verbunden. Der Eingangsanschluß 2 des Verlcnüpfungsgliedes 69 empfängt ein vom Steuer glied 46 erzeugtes Taktsignal (COMPCLK).
(COMPCLK)-Siglal wird während der P.I.N. erzeugenden Betriebsart erzeugt; und wird vom Rückführungstastsignal (FS) hergeleitet. Für jeden der sieben Rückfuhrungstastimpulse des Signals () wird, wie weiter unten anhand des Steuergliedes 46 genauer beschrieben, ein Impuls des (COMPCLK)-Signals erzeugt. Während der P.I.N. erzeugenden Betriebsart wird verhindert, daß das Signal (PS) dem Register 48 zugeführt wird und ein Impuls des (COMPCLK)-Signab wird während des Erzeugens jeder Ziffer der P.I.N. seriell. in das Register 71 geladen. Jedesmal wenn dem Eingangsanschluß 2 des Verknüpfungsgliedes 69 ein logisches Eins-(COMPCLK)Signal zugeführt wird, wird das logische Eins-Signal ebenfalls seriell in die erste Stufe des Schieberegisters 71 geladen. Wenn, zusammenfallend mit dem Erzeugen eines logischen Eins-(COMPCLK)Signals aus dem Sequenzglied 46, ein positiver Vergleich im Comparator 24 zwischen einer Ziffer der Geheimzahl und einer im ROM 40 erzeugten P.I.N.-Ziffer vorhanden ist, wird dem Eingangsanschluß 1 des Vcrknüpfungsgliedes 69 ein logisches Eins-Signal zugeführt. Daraufhin ändert sich der Ausgangsanschluß des NAND-VerknüpfungaGliedes 69 zu einer logischen Null, und durch Signalinvertierung im binären Inverter 69a wird in das Register 72 ein logisches Eins-Signal seriell geladen. Jedes in das Schieberegister 69 geladene logische Eins-Signal zeigt das Auftreten eines P.I.N. erzeugenden Zyklus an; jedes in das Schieberegister 72 geladene logische Eins-Signal zeigt einen günstigen Vergleich zwischen einer Ziffer der erzeugten P.I.N. und einer entsprechenden Ziffer der Geheimzahl II an, die im Tastenfeld 22 gespeichert ist. Nach dem Erzeugen von vier Ziffern für die P.I.N., wodurch vier Impulse des (COMPCLK)-Signals seriell in das vierstufige Schieberegister 71 Geladen sind, wird an dessen Ausgang ein logisches Eins-Signal erzeugt. Wenn und nur wenn alle vier Vergleiche positiv sind, was anzeigt, daß die vier Ziffern der im ROH 40 erzeugten P.I.N. identisch mit den vier Ziffern der Geheimzahl sind, wird ein logisches Null-"go"-Signal am Ausgangsanschluß des NAND-Verknüpfungsgliedes 74 erzeugt. Wenn erwünscht, kann das Signal vom binären Inverter 74a invertiert werden.
Die Register 71 und 72 enthalten jedes genau eine Stufe für jede Ziffer der Geheimzahl. In der bevorzugten Ausführungsform wird zwar eine vierziffrige Geheimzahl bevorzugt, es kann jedoch jede Anzahl von Ziffern verwendet werden.
Das Folgesteuerglied 46 erzeugt Takt- und Sequenzsteuersignale für die Verifizierungseinrichtung. Die in Klammern enthaltenen Angaben identifizieren vom Steuerglied 46 erzeugte Signale. Die Scquenzsteuersignale enthalten Betriebsartsteuersignale (IlN), CAN) und (PING), was bedeutet, Institutsidentifizierungszahl-, Kundenkontennummer- und P.I.N. erzeugende Betriebsart; logisches Eins-Registerladesignal (LD) zum Steuern des Einspeicherns von vom Kartenlesegerät 18 gelesenen Daten in die Register 42 und 44; logisches Eins-Rückführungstastsignal (rs) zum Steuern des Speicherns der Ausgangsdaten des ROM 40 im Register 48 während des Pseudo-wahlfreien-Adressierens des ROM, logisches Eins-Compärator-Taktsignal (COMPCLK) zum Zählen der Anzahl der vom ROM 40 erzeugten P.I.N.-Ziffern und logische Eins-Schiebeimpulse (ZSP) zum seriellen Verschieben von Kontonummerziffern ZN im Register 44.
Das Steuerglied 46 erzeugt weiterern Taktsignal (CL), das das Basistaktsignal des Systems ist. Das Taktsignal (CL) wird im Steuerglied 46 mittels eines üblichen, frei laufenden flultivibrators erzeugt; die gesamte Sequenz bzw. Folgesteuerung der Vorgänge im System wird vom Taktsignal (CL) synchronisiert. (Rückstell-) und (Anzeige-) Signale steuern die genannten Funktionen im System.
Folgesteuergeräte sind bekannt und können in vielen Bauarten ausgeführt sein, einschließlich Festspeichersteuerung (read only storage control), Zählerdecodersteuerung u.ä.; beispielsweise könnte zum Erzeugen der notwendigen Steuersignale zum Laden der Register 42 und 44, zur Steuerung der Schalter 50, 52, 54 und 56, zum Auslösen des Registers 48, zum Abfragen des Comparators 24 und zum Schieben von Ziffern im Register 44 entsprechend einer programmierten Sequenz ein Festspeicher (read only storage) verwendet werden. Die vollständige Betriebsfolge des Steuergliedes 45 ist für eine zehnziffrige Kontonummer am Ende der Beschreibung in Tabelle IV dargestellt.
Fig. 5a bis 5c sind Logikschaltungen einer Ausführungsform des Steuergliedes 46. Ein in Fig. 5a dargestelltes Schieberegister 82 erzeugt ein Registerladesignal (LD), Betriebsartsteuersign-ale (I2i), (CA1i) und (PING), ein Anzeigesignal (DISPLAY) zum Anzeigen des "go"- oder tno go"-Signals nach dem Verifizierungszyklus und eines Rückstellsignals (RESET). Fig. 5b und 5c zeigen die Logikschaltung zum Iferleiten von Steuersignalen (FS), (COMPCLK) und (ZSP) aus den vom Schieberegister 82 erzeugten Signalen.
In Fig. 5a erzeugt ein Zeitgeber bzw. eine Taktquelle 80, die Basis-Taktquelle des Systems, Taktimpulse (CL), für den Schiebeanschluß (cn-) des Registers 82. Ein Setz-Rücksetz-Flip-Flop 81 wird anfänglich gesetzt, um auf ein (Rücksetz-)Signal einen logischen Eins-Signalausgang zu erzeugen. (Rücksetz) wurde am LÄde eines vorhergehenden Verifizierungszylkus zuge führt. Das i'lip-llop 81 führt das logische Eins-Signal dem Eingangsanschluß (IIN) der ersten Stufe des Registers 82 zu. Der Ausgang des Flip-Flops 81 wird dann während des zweiten vom Taktimpulsgenerator 80 erzeugten Taktimpulses (CL) mittels einer Rückkopplungsschaltung 81a auf ein logisches Null-Signal rückgesetzt; die Rückkopplungsschaltung 81a liegt zwischen dem Ausgang der ersten Stufe des Registers 82 und dem Rücksetzanschluß R des Flip-Flops 81. Da die Taktquelle 80 zusätzliche Impulse an den Schiebeanschluß SH des Registers 82 erzeugt,wird ein einziges logisches Eins-Bit seriell Stufe für Stufe von links nach rechts im Register 82 gemäß Fig. 5a durchgeschoben. Die erste Stufe des Registers 82 erzeugt das Ladesignal (LD), das den Registern 42 und 44 zugeführt wird. Die restlichen Stufen erzeugen Betriebsartsteuersignale (lIN), (CAN), (PING), die dem Umsetzer 30 zugeführt werden. Gemeinsam bezeichnete Ausgangsanschlüsse, beispielsweise CAN, sind miteinander über eine logische OR-Schaltung (nicht dargestellt) verbunden. Die logische OR-Schaltungr ist vorzugsweise hart-verdrahtet, um die Menge der erforderlichen Schaltungshardware zu vermindern.
Verallgemeinernd ist festzustellen, daß die zweite Stufe des Registers 82 einen Impuls eines Betriebsartsteuersignals (ihn) erzeugt und daß Impulse des Betriebsartsteuersignals (CAN) in den Stufen 3, 4, 5 ... (11N + 9) des Registers 82 erzeugt werden, wobei N die Ziffernzahl der Kontonummer ist. In Tabelle IV, in der beispielsweise eine zehnziffrige Kontonummer verwendet wird, wird das (CAN-)Steuersignal in den Stufen 3-119 des Registers 82 erzeugt. Das Betriebsartsteuersignal (PING) wird im Register 82 erzeugt, nachdem alle Kontonummerziffern Z1-ZN zum pseudo-wahlfreien-Adressieren des ROM 40 verwendet worden sind und die niedrigstwertige Ziffer Z1 ein zweites Hal verwendet worden ist, um das ROM 40 (in Stufe 120 des Registers 82 in Tabelle IV) pseudo-wahlfrei zu adressieren. Das P.I.N.-erzeugende-Betriebsart-Steuersignal (PING) verhindert, daß Rück!hrung9tastsignale dem Register 48 zugeführt werden, wobei zu dieser Zeit jede im ROM 40 erzeugte Ziffer der P.I.N. nit entsprechenden Ziffern der Geheimzahl im Comparator 24 verglichen wird. Das Betriebsartsteuersignal (PING) wird vom Register 82 nach der zweiten Zufuhr der Ziffern der Kontonummer erzeugt, die im Register 44 umlaufen, um den ROM 40 pseudo-wahlfrei zu adressieren.
In Sequenz wird das (PING) von den Stufen (11N + 10) ...
(11N + 16) des Speicherregisters 82 erzeugt. Wenn das Bit im Register 82 zur Stufe (11N + 9) (Stufe 119 bei N = 10) verschoben wird, wird die erste Ziffer der erzeugten P.I.N. im Register 48 gespeichert. Das Steuersignal (PING) wird angelegt, um zu verhindern, daß das Register 48 durch einen Rückfuhrungstastimpuls (PS) ausgelöst wird, bis die gespeicherte Ziffer mit der entsprechenden Ziffer der über das Tastenfeld eingegebenen Geheimzahl verglichen worden ist. Das (CAI#)Betriebsartsteuersignal wird wieder vom Register 82 in der Stufe (11N + 17) erzeugt und das ROM 40 wird pseudo-wahifrei unter Verwendung der nächst niedrigwertigen Ziffer Z2 der Kontonummer adressiert.
Die Kontonummerziffer Z2 wird im Register 44 durch Erzeugen von Schiebeimpulsen (ZSP) aus der Schaltung gemäß Fig. 5c in eine Position zum Adressieren des ROM 40 geschoben.
Wenn das im Register 82 gespeicherte Bit in die Stufe (11N + 27) (Stufe 137 bei N = 10 wie in Tabelle IV) geschoben ist, wird die zweite Ziffer der vom ROM 40 erzeugten P.I.N. im Register 48 gespeichert und das (PING-)Signal wird angelegt, um das Beaufschlagen des Registers 48 mit Rückführungstastimpulsen während eines Vergleichs der gespeicherten Ziffer mit der entsprechenden Ziffer einer m-ziffrigen Geheimzahl M zu verhindern. Das abalechselnde Erzeugen von Betriebsartsteuersignalen (PING) und (CAN), was jeweils dem Erzeugen und Vergleich der dritten und vierten P.I.N.-Ziffern mit den dritten und vierten Ziffern der Geheimzahl M entspricht, ist in Tabelle IV für eine zehnziffrige Kontonummer und eine vierziffrige Geheimzahl (N = 10, m = 4) dargestellt. Nach dem Verifizierungszyklus der Stufe (11N + 18m-1) des Registers 82 (Stufe 181 in Tabelle IV) wird vom Speicherregister 82 ein Anzeigesignal (Anzeige) erzeugt, um das "go-" oder "no go"-Ergebnis der Verifizierung anzuzeigen. Der Anzeigeeinheit 33 der Fig. 1 wird ein Steuer signal (Anzeige) zugeführt.
In der bevorzugten Ausführungsform werden die Signale (LD), (IIN), (CAN), (PING), (DISPLAY) und (RESET) vom Schieberegister 82 zur Verfügung gestellt; die restlichen Signale werden aus vom Register 82 zur Verfügung Gestellten Signalen mittels einer logischen Schaltung hergeleitet.
Fig. 5b ist ein Logikschaltbild einer Schaltung zum Erzeugen,entsprechend don vom Schieberegister 82 erzeugten Signalen, der Signale (FS) und (COHPCLK). Der Rückführungstastimmpuls (FS) wird dem Steuerregister 48 zugeführt; das Comparatortaktsignal (COHPCLK) wird Zählschaltungen 71 und 72 jedesmal zugeführt, wenn ein positiver Vergleich zwischen einer Ziffer der P.I.fl. und einer entsprechenden Ziffer der Geheimzahl 11 in der P.I.N. erzeugenden Betriebsart erfolgt ist.
Das Rückführungstastsignal . (l'S) enthält eine Gruppe von Impulszügen, vorzugsweise sieben Impulse je Zug, die während der Kontonummerbetriebsart entsprechend dem Betriebsartsteuersignal (CAN) erzeugt wird. Zusätzlich wird ein einzelner Taktimpuls (FS) während der Institutsidentifizierungzahlt @riebsart zugeführt, wobei das ROM 40 anfänglich mit den Institutsidentifizierungszahldaten adressiert wird.
Ein achtstufiges scrielles Schieberegister 8 wird von Schiebeimpulsen gesteuert, die vom NAND-Verknüpfungsglied 85 und OR-Verknüpfungsglied ? erzeugt sind. Die parallelen Ausgänge der Stufen des Registers liegen normalerweise auf einer logischen Eins. Schiebeimpulse werden dem Schiebeanschluß SH des Registers 84 während der Kontonummer-und der P.I.N. erzeugenden Betriebsart zugeführt. Der 4-Ausgang eines Setz-Rücksetz-Flip-Flops 89, der mit dem Eingangsanschluß IN des Registers 84 verbunden ist, lädt ein einzelnes logisches Null-Signal in die erste Stufe des Schieberegister. Danach wird das Flip-Flop 89 automatisch mittels einer mit dem Rücksetzanschluß R verbundenen Rücksetzschaltung 89a rückgesetzt. Das Verknüpfungsglied 86, das mit der ersten und achten Stufe des Registers 84 verbunden ist, führt dem Flip-Flop 86a ein logisches Eins-Signal zu, wenn das im register 84 gespeicherte logische tiull-Signal sich in dessen erster oder achter Stufe befindet. Das J-K-Blip-Blop 86a wird als Toggle-Flip-Flop Getrieben und führt einem Eingang des Verknüpfungsgliedes 88 ein logisches Eins-Signal zu, während die logische Null im Register 84 sich in den Stufen 2 bis 8 befindet. Dem anderen Eingang des Verknüpfungsgliedes 88 wird das Tastsignal (CL) aus dem Taktsignalgenerator 80 zugeführt. Während der CAN-und PING-Betriebsarten erzeugt das Verknüpfungsglied 88, entsprechend dem Taktsignal (CL) und dem Flip-Flop 86a, mit dem Taktimpulsgemeratur 80 synchronisierte Impulszüge, wobei jeder Impulszug sieben Impulse enthält. Ein Verknüpfungsglied 90 bewirkt, daß dem Impulszug nur während der IIN-Betriebsart ein Impuls hinzuaddiert wird. Ein OR-Verknüpfungsglied 92 erzeugt einen Impulszug, der sowohl den * bistabiles Flip-Flop vom Verknüpfungsglied 88 erzeugten impulszug als auch den einzigen Impuls enthält, der während der IIN-Betriebsart vom Verknüpfungsglied 90 erzeugt wird. Der über einen binären Inverter 95a einen iIAND-Verknüpfung-sglied 95 zugeführte (PING) verhindert $während der PING-Betriebsart ein Rückführungstast@ignal (FS).
Während der PING-Betriebsart werden im Register 48 gespeicherte P.I.N.-Ziffern mit Ziffern der über das Tastenfeld eingegebonen Geheimzahl M verglichen.
Das (COMPCLK)-Signal, das dem Auslösezähler 70 einmal während jedes von sieben Adressenzyklen des ROM 40 in der P.I.N. erzeugenden Betriebsart zugeführt wird, wird durch eine logische NAND-Verarbeitung des Ausgangssignals einer Stufe des Registers 84 mit dem Betriebsartsteuersignal (PING) im Verknüpfungsglied 90 hergeleitet. Das NAND-Verknüpfungsglied 94 ist zwar mit dom Ausgangsanschluß der vierten Stufe des Registers 84 verbunden dargestellt, es könnte jedoch mit irgend einer der Stufen 2 bis 8 verbunden sein. Von der letzten Stufe des Registers 84.
wird ein Ausgangssignal hergeleitet. Dieses Ausgangssignal wird dazu verwendet, die Erzeugung der Kontonummerschiebeimpulse (ZSP) zu synchronisieren, wie in Fig. 5c dargestellt.
Bezugnehmend auf Fig. 5c werden (ZSP-)Impulse vom Schaltwerk bzw. Steuerglied 46 erzeugt und werden bei CAN-Betriebsart dem Schieberegister Litt in Fig. 2 zugeführt.
Die (ZSP-)Impulse enthalten Züge von vier Impulsen, die auf jeden Satz von sieben, vom ROM 40 erzeugten Pseudo-Random-Adressen hin ausgelöst werden. Jeder Zug von Impulsen (ZsP) wird dem Schiebeanschluß SH des Schieberegisters 44 zugeführt, um das Vorrücken um vier Stufen von im Register gespeicherten Bits, d.h. eine Ziffer, zu bewirken. Ein NAND-Vorknüpfungsglied 99 spricht auf (CL) (vom Taktgenerator 80 erzeugt), ein Flip-Flop 96 und (CAN) an. Während der CAN-Betriebsart wird einem Eingangsanschluß des NAND-VcrknüpfunGsgliedes 90 ein logisches Eins-Signal zugeführt. Wenn von der letzten Stufe des Registers 84 ein logisches Nullsignal erzeugt wird, liefert das Flip-Flop 96 ein logisches Eins-Signal an das Verknüpfungsglied 99. Unter der beschriebenen Bedingung liefert das NAND-Verknüpfungsglied 99 Taktimpulse (CL) an den Schiebeanschluß SH des vierstufigen seriellen Schieberegisters 98.
Alle Bausteine des beschriebenen Systems sind herkömmlich aufgebaut und vorzugsweise in TTL-Logik gebildet. Das System könnte auch nach anderen Typen von Logikfamilien aufgebaut sein, beispielsweise in DTL-, Ri'L- oder MOS-Logik, die TTI-LoCik wird jedoch im hinblick auf die relativ hohe Geschwindigkeit und die hohe Unempfindlichkeit gegenüber Rauschen der TTL-Familic vorgezogen. Es könnte auch ein Aufbau der Schaltung in CMOS-Technik verwendet werden, insbesondere wenn eine hohe Unempfindlichkeit gegen Rauschen erwünscht ist.
Ein wichtiger Aspekt der Erfindung liegt darin, daß die Institutsidentifizierungszahl nicht nur ein "Schlüssel" oder Startpunkt für das pseudo-wahlfreie-Addressieren des ROM 40 ist, sondern auch ein Mittel bildet, um eine Transalction dem Institut in Reclinung zu stellen, das die Karte ausstellt oder das identifizierte Konto führt. Wenn Institute zu einem Austauschnetzwerk gehören, in dem es einem Kunden, der nn einem Institut ein Konto besitzt, möglich ist, bei einem cooperierenden Institut Transaktionen durchzuführen, ermöglicht die Erfindung solche Transaktionen, verhindert aber, daß die Abrechnungen durcheinander kommen. An jedem cooperierenden Institut spricht die Verifizierungseinrichtung auf die auf dem Feld 12 der Karte 10 angeordnete Institutsidentifizierungszalil an und überträgt ein die Institutsidentifizierungszahl darstellendes Signal zu einem zentralen Abrechnungsnetzwerk, um das Netzwerk darüber zu informieren, daß die gerade erfolgende Transaktion dem Institut mit der Identifizierungszahl in Rechnung zu stellen ist. Wcil zusammenarbeitende Institute identische Festspeicher ROM 40 aufwen, ist eine Standardkarte an allen zusammenarbeitenden Instituten verifizierbar und wird die Transaktion nur dem identifizierten Institut in Rechnung gestellt. Auf diese Weise kann ein Bankkunde von seinem Sparkonto an der Bank B von einem unbeaufsichtigten Terminal an der Bank s Geld abheben oder ein Verkäufer kann einen Lreditkauf gegen eine Kroditsumme mit einem Kreditinstitut C an einem Vorkaufsterminal durchführen, das Kredit vom Kreditinstitut C und anderen annimmt.
Als Beispiel sei angenommen, daß ein Kunde eine warte mit einer ontonummer 0123456789 und einer Institutsidentifizierungsnummer 12 bei sich trägt, die, wenn sie in das Verifizierunfrsterminal des ausgebenden Instituts eingegeben wird, eine P.I.H. von 1234 (hexadecimal) erzeugt.
Wenn die Karte einem anderen Institut mit der Identifizierungszahl 15 präsentiert wird, wird dort ebenfalls die P.I.N.
1234 (hexadecimal) erzeugt, weil die Speicher an den beiden Instituten identisch programmiert sind und das System nur auf die auf der Karte enthaltenen Daten anspricht. Die Einrichtung am Institut 15, die auf die Institutsidentifizierungszahl auf dem Feld 12 der Karte anspricht, verifiziert nicht nur, daß der Besitzer der Karte der berechtigte Besitzer ist, sondern stellt die Transaktion dem Konto 012ç456789 des Instituts mit der Identifizierungszahl 12 in Rechnung. Die Transaktion wird keinem Konto in Rechnung gestellt, das zwar die identische Xontonummer hat, aber am Institut 15 geführt wird. Dagegen erzeugt eine Karte mit einer Institutsidentifizierungszahl eines nicht-cooperierenden Instituts, wenn sie der erfindungsgemäßen Verifizierungseinrichtung eingegeben wird, eine P.I.N., die nicht mit der vorbestimmten Geheimzahl korrelierbar ist, selbst wenn die Kontonummer identisch mit der des obigen Beispiels ist, denn die nicht-cooperierende Institutsnummer erzeugt eine Startpunktadresse oder einen "Schlüssel" ür den ROM 40, der von dem des obigen Beispiels verschieden ist.
Somit können bei verschiedenen Instituten identische Kontonummern gleichzeitig aktiv sein bzw. benutzt werden, da aber die Institutsidentifizierungszahl jedes Instituts nur einmal vorhanden ist, werden anhand der auf der Karte enthaltenen Daten nur einmal vorkommende Y.I.i4.s erzeugt und die Transaktion wird nur dem identifizierten Institut in Rechnung gestellt.
Wenn die Standardkarte dem Verifizierungssystem eines nicht cooperierenden Instituts angeboten wird, wird eine unkorrelierbare P.I.N. erzeugt, weil die Verifizierungssysteme von nicht cooperierenden Instituten estspeicher (ROM 40) enthalten, die verschieden von denen cooperierender Institute programmiert sind. Selbstverständlich können die nicht cooperierenden Institute in einem anderen System cooperierender Institute zusammenarbeiten, die mit erfindungsgemäßen Verifizierungseinriclitungen mit identisch programmierten ROH 40s ausgerüstet sind.
Wenn die dem Kunden mitgeteilte Geheimzahl die pseudorandom-erzeugte P.I.N. ist, die im Nummernumsetzer 30 aus der Institutsidentifizierunszah1 und Kontonummer hergeleitet ist, wird die über das Tastenfeld vom Kunden eingegebene Geheimzahl direkt mit der vom ROM 40 während eines Verifizierungszyklus erzeugten P.I.N. verglichen.
Als eine Gedächtnishilfe für den Kunden ist es vorteilhaft, ihm zu ermöglichen, eine Geheimzahl auszuwahlen, die er sich leicht merken kann, und die ausgewählte Zahl dann während der Verifizierung in eine korrelierbare Zahl umzuwandeln.
Wenn die Geheimzahl vom Kunden bei Ausgabe der Karte gewählt wird, wird der vom Kunden gewählten P.I.N. eine Zusatzzahl aufaddiert, um die sich ergebende P.I.N. zu bilden, die mit der vom ROM LO erzeugten P.I.N. einen positiven Vergleich ergibt. Die Beziehung für die Kartenverifizierung ist durch folgende Gleichung gegeben: (CSPIN)10 + (OFFSET)10 = (GPIN)10 (ohne Übertrag) , wobei CSPIN die vom Kunden gewählte Personenidontifizierungszahl, OFISET eine Umwandlungs- oder Zusatzzahl und GPIN die im ROM 40 erzeugte P.I.N. sind.
Die Zusatzzahl OFFSET ist auf der karte 10 vorzugsweise im Feld 14 enthalten und wird zur Zeit der Ausgabe der Karte anhand der folgenden Glcichunß bestimmt: (OFFSET)10 = (GPIN)10 - (CSPIN)10 (ohne Leihen) .
Um das Auftreten negativer (OFFSET)10-Ziffern zu verhindern, wird vor der Subtraktion zu jeder Ziffer der (GPIN)10, die kleiner als die entsprechende Ziffer der (CSPIN)10 ist, die Zahl "10" einzeln addiert.
Beim Verifizieren kann die aus der vom hunden gewählten Geheimzahl und der Zusatzzahl hergeleitete P.I.N. mittels einer Decimaladdierschaltung ohne Übertrag erzeugt werden.
Eine andere Einrichtung zum Addieren derGeheimzahl und der (Zusatzzahl in Decimalweise ohne Übertrag besteht darin, einen Festspeicher vorzusehen, der so programmiert ist, daß cr Zeichen erzeugt, die die decimale Summe ohne Ubertrag jeder Ziffer der Geheimzahl und Zusatzzahl darstellen.
In Fig. 6 ist ein ROM 110 so programmiert, daß er an seinen Anschlüssen O1O4 die Decimalsumme ohne Ubertragung von zwei Vier-Bit-Ziffern, d.h. einer Geheimzahlziffer und einer Zusatzzahlziffer, erzeugt, die seinen Adressenterminals I1-I4 und I5-I8 zugeführt sind. Das Register 112 speichert die Ziffern der Geheimzahl 01, die über das Tastenfeld vom Kunden eingegeben sind, und ein Register 114 speichert die Ziffern der Zusatzzahl OFFSET, die vom Kartenlesegerät 18 von der harte 10 abgelesen werden.
Diese Register werden parallel mit Hilfe des Signals (LL) geladen. Wenn die Geheimzahl eine vierziffrige Zahl M1M2M3M4 ist, enthalten die Register 112 und 114 jedes sechzehn Stufen.
Nachdem das erste PING-)Signal erscheint, ermöglicht eine Schiebeschaltung 11G, daß die Daten in den Registern 112 und 114 seriell und gleichzeitig mit denen im Register 44 verschoben werden. Dies bewirkt, daß die Zusatzzahl und die Geheimzahl mit der richtigen GPIN zum Vergleich synchronisiert sind.
Die Schiebeschaltung 116 enthält ein D-Typ-Flip-Flop 124, ein NAND-Verknüpfungsglied 12G und einen Inverter 128.
Das Flip-Flop 124, das auf den ersten (PING) nach Rückstellen anspricht, stellt die Tatsache fest, daß die PING-CAN-Sequenz eingegebon worden ist und führt einem Eingang des NAND 126 eine logische amins zu. Dem anderen Eingangsanschluß des NAND 126 wird ZSP zugeführt. Das NAND 126 versorgt über einen Inverter 128 die Anschlüsse SH der Register 112 und 114 für den Rest der P2iG-CAN-Sequenz mit den erforderlichen Schiebeimpulsen. Rücksetzen beendet diese Impulse für die anfängliche CAN-Sequenz.
Fig. 7 ist ein vereinfachtes Blockschaltbild der Vorrichtung zum Erzeugen einer Geheimzahl für einen Kunden bei Aus6abe der Karten. Ein Geheimzahlgencrator 130 enthält ein Register 132 für die zeitweilige Speicherung von Institutsidentifizierungszahldaten und Kundenkontonummerdaten, eine Steuerschaltung 134, einen ersten Festspeicher 136 (ROM) und einen zweiten Festspeicher 138 (ROM). Das Register 132 ist gleich den Registern 42 und 44 der Fig. 2, die Steuerschaltung 134 ist gleich den Schaltern 50, 52, 54, 56 und der EXCLUSIVE OR-Schaltung 51 und der ROli 13G ist gleich dem ROH 40.
Der ROM 138 ist invers zum ROH 110 in Fig. 6, d.h. ist derart programmiert, daß er den Unterschied zwischen den einzelnen Ziffern der CSPIN und GPIN in Basis 10 erzeugt, um die Zusatzzahl OiSET zu erzeugten. Damit keine negativen (OFFSET)10-Ziffern auftreten, wird vor der Subtraktion die Zahl "10" individuell jeder Ziffer der (CSPIN)10 zuaddiert. Wieder kann der ROH 138 eine decimale Subtraktionsschaltung sein. Ein ROM wird jedoch bevorzugt, weil er einfach erhältlich ist und identisch mit dem ROM 138 und ROM 40 ist. Ein (nicht-dargestelltes) Steuerglied wie das Steuerglied 46 der 1?ig. 2 erzeugt Takt- und Steuersignale für den Generator 130. Entsprechend einer dcm Register 132 eingegebenen Institutsidentifizierungszahl und Kundenkontonummer erzeugt der Gcheimzahlgenerator 130 an seinen Ausgang eine Geheinzahl für eine alpha-numensche Anzeige oder einen Drucker, um den Kunden über seine Geheimzahl zu informieren. Dieser Vorgang nurde anhand Fi£:. 2 genauer beschrieben.
Beim Verifizierungssystem 30 der Fig. 2 wurde die P.I.N.
dem Comparator 24 zum Vergleich mit der Geheimzahl zugeführt.
Wenn keine kundengewählte P.I.N. (CSPIN) verwendet wird, vertraut der Kunde die GPIN dem Speicher an; wenn eine CSPIN verwendet wird, wird die OFFSET von der Decimalsubtraktionsschaltung 138 abgeleitet, die die kundengewählte P.I.N. von der ROH 136 erzeugten P.I.N. decimal subtrahiert, wobei die sich ergebende OFFSET im Feld 14 der Karte 10 festgehalten wird. Die Karte 10 kuin vor ihrer Ausgabe auf ihr registrierte Daten, wie Institutsidentifizierungszahldaten und Kontonummerdaten aufweisen, wobei die Daten von der Vorrichtung gemäß Pig. 7 mit Hilfe herkömmlicher Kartenlesevorrichtungen, beispielsweise einem Magnetsensor, gelesen werden, die Vorrichtung die OFFSET und P.I.N.
erzeugt und dann die Zusatzzahlen auf der Karte registriert.
Alternativ können alle Daten einschließlich der Zusatz zahldaten auf der Karte bei deren Ausgabe aufgezeichnet werden, wobei die Institutidentifizierungs- und Kundenkontonummerdaten der Vorrichtung der Fig. 7 zugeführt werden und die Identifizierungsdaten zusammen mit den erzeugten Zusatzzahldaten auf die Karte aufgezeichnet werden.
Die vorangegangene Diskussion der Erfindung bezog sich primär auf den Bankverkehr, die Erfindung ist jedoch nicht darauf beschränkt. Die erfindungsgemäßen Verfahren und Vorrichtungen sind zum Feststellen der Gültigkeit jedwelcher Karte oder ähnlichen Gegenstandes mit einer Kontonummer und anderen, für Kreditzwecke verwendeten Zeichen, zum Erhalten von Zugang ZU einem Sicherheitssystem oder für andere Identifizierungszwecke voll verwendbar.
Von besonderer WichtiL?keit ist, da.' die Institutsidentifizierungszahldaten, die im Register 2G zur Abfrage mittels des zentralen Verrechnungssystems gespeichert sind, sowohl für das anfängliche Adressieren oder den "Schlüssel" des ROM 40 zu Beginn eines Pseudo-Randem-Adressenzyklus bei Verifizierung einer Karte verwendet werden und um eine berechtigte Transaktion dem identifizierten Institut in Rechnung zu stellen, Im vorgehenden wurde als Beispiel eine zweiziffrige Institutidentifizierungszahl beschrieben, es können jedoch auch drei oder mehr Ziffern verwendet werden, wodurch zwei der Ziffern als Schlüsseladressen-Byte für das ROH 40 gewählt werden und das zentrale Verrechnungssystem 28 auf alle Ziffern zur Identifizierung anspricht.
Als Beispiel für mögliche Abänderungen sei genannt, daß die Kontonummer und die Geheimzahl jegliche Zifferzahl enthalten können; für die Geheimzahl bilden vier Ziffern eine Obergrenze, weil der Kunde sich die Geheimzahl merken muß. Jede Kontonummerziffer adressiert den ROH 40 zwar in der bevorzugten Ausführungsform sieben Mal in pseudo-wahlfreier-Weise, es könnte jedoch jedwelche andere Anzahl verwendet werden. Desweiteren wurde beschrieben, daß die vom ROM 40 erzeugten Ausgangsdaten EXCLUSIVE OR mit Ziffern der Kontonummer verarbeitet werden, um Pseudo-Random-Adressen zu erzeugen; es können jedoch auch andere logische oder arithmetische Operationen mit den Ausgangsdaten erfolgen, um Pseudo-Wjidorn-Adressen zu erzeugen, vorausgesetzt, daß die jeweilige verwendete Operation die Zufälligkeit (Randomncss) der Ausgangsdaten nicht wesentlich verschlechtert.
TABELLEN 1 bis IV: T A B E L L E I Sequenz Nr. A1 A2 Z1 I1-I8 01-08 2 10011000 # 10011000 11100011 3 # 0100 11100111 01001101 4 # 0100 01001001 11011100 5 # 0100 11011000 01110011 6 # 0100 01110111 11011110 7 # 0100 11011010 11000111 8 0100 11000011 10010101 .9 0100 10010001 10111000 # = ohne Bedeutung T A B E L L E II Sequenz Nr. A1 A2 Z1 I1-I8 01-08 112 10011001 113 0100 10011101 01001011 114 # 0100 01001111 01011101 115 # 0100 01011001 10111110 116 # 0100 10111010 11101001 117 # 0100 11101101 01101011 118 # 0100 01101111 10001001 119 # 0100 10001101 01010011 #= ohne Bedeutung Ziffer der P.I.N. T A B E L L E III Komplement Decimal Hexadecimal BCD* BCD** Decimal 0 0000 1000 0111 7 1 0001 1001 0110 6 2 0010 1010 0101 5 3 0011 1011 0100 4 4 0100 1100 0011 3 5 0101 1101 0010 2 6 0110 0110 1001 -9 7 0111 0111 1000 8 8 1000 1000 0111 7 9 1001 1001 0110 6 10 1010 1010 0101 5 11 1011 1011 0100 4 12 1100 1100 0011 3 13 1101 1101 0010 2 14 1110 1110 0001 1 15 1111 1111 0000 0 * Vom Umsetzer 53 dem Comparator 24 zugeführt ** Vom Tastenfeld 22 dem Comparator 24 zugeführt T A B E L L E IV Takt-Impuls Nr. LD IIN CAN PING FS ZSP COMPCLK A n z e i Rückg setz e 1 1 0 0 0 0 0 0 0 0 2 0 1 0 0 1 0 0 0 0 3 0 0 1 0 1 0 0 0 0 4. 0 0 1 0 1 0 0 0 0 5 0 0 1 0 1 0 0 0 0 6 0 0 1 0 1 0 0 0 0 7 0 0 1 0 1 0 0 0 0 8 0 0 1 0 1 0 0 0 0 9 0 0 1 0 1 0 0 0 0 10 0 0 1 0 0 1 0 0 0 11 0 0 1 0 0 1 0 0 -0 12 0 0 1 0 0 1 0 0 0 13 0 0 1 0 0 1 0 0 0 14 0 0 1 0 1 0 0 0 0 15 0 0. 1 0 1 0 0 0 0 16 0 0 1 0 1 0 0 0 0 17 0 0 1 0 1 0 0 0 0 18 0 0 1 0 1 0 0 0 0 19 ' O 0 1 0 1 0 0 0 0 20 0 0 1 0 1 0 0 0 0 21 0 0 1 0 0 1 0 0 0 22 0 0 1 0 0 1 0 0 0 23 0 0 1 0 0 1 0 0 0 24 0 0 1 0 0 1 0 0 0 25 0 0 1 0 1 0 0 0 0 26 0 0 1 0 1 0 0 0 0 27 0 0 1 0 1 0 0 0 0 28 0 0 1 0 1 0 0 0 0 29 0 0 1 0 1 0 0 0 0 30 0 0 1 0 1 0 0 0 0 31 0 0 1 0 1 0 0 0 0 32 0 0 1 0 0 1 0 0 0 33 0 0 1 0 0 l 0 0 0 34 0 u 1 0 0 1 0 0 0 35 0 0 1 0 0 1 0 0 0 36 0 0 1 0 1 0 -o 0 0 37 0 0 1 0 1 0 0 0 0 38 0 0 1 0 1 0 0 0 0 39 0 0 1 0 1 0 0 0 0 40 0 0 1 0 1 0 0 0 0 41 0 0 1 0 1 0 0 0 0 42 0 0 1 0 1 0 0 0 0 43 0 0 1 0 0 1 0 0 0 44 0 0 1 0 0 1 0 0 0 45 0 0 1 0 0 1 0 0 0 46 0 0 1 0 0 1 0 0 0 47 0 0 1 0 1 0 0 0 0 48 0 0 1 0 1 0 0 0. 0 49 0 0 1 0 1 0 0 0 0 50 0 0 1 0 1 0 0 0 0 51 0 0 1 0 1 0 0 0 0 52 0 0 1 0 1 0 0 0 0 53. 0 0 1 0 1 0 0 0 0 54 0 3 1 0 0 1 0 0 0 0 55 0 0 1 0 0 1 0 0 0 56 0 0 1 0 0 1 0 0 0 57 0 0 1 0 0 1 0 0 0 58 0 0 1 0 1 0 0 0 0 59 0 0 1 0 1 0 0 0 0 60 0 0 1 0 1 0 0 0 0 61 0 0 1 0 1 0 0 0 0 62 0 0 1 0 1 0 0 0 0 63 0 0 1 0 1 0 0 0 0 64 0 0 1 0 1 0 0 0 0 65 0 0 1 0 0 1 0 0 0 66 0 0 1 0 0 1 0 0 0 67 0 0 1 0 0 1 0 0 0 68 0 0 1 0 0 1 0 0 0 69 0 0 1 0 1 0 0 0 0 70 0 0 1 0 1 0 0 0 0 71 0 0 1 0 1 0 @0 0 0 72 0 0 1 0 1 0 0 0 0 73 0 0 1 0 1 0 0 0 0 74 0 0 1 0 1 0 0 0 0 75 0 0 1 0 1 0 0 0 0 76 0 0 1 0 0 1 0 0 0 77 0 0 1 0 0 1 0 0 0 78 0 0 1 0 O l O 0 0 79 0 0 1 0 0 1 0 0 0 80 0 0 1 0 1 0 0 0 0 81 0 0 1 0 1 0 0 0 0 82 0 0 1 0 1 0 0 0 0 83 0 - 0 1 0 1 0 0 0 0 84 0 0 1 0 l 0 0 0 0 85 0 0 1 0 1 0 .0 0 . 0 86 0 0 1 0 1 0 0 0 0 87 0 0 1 0 0 1 0. 0 0 88 0 0 1 0 0 l 0 0 0 89 0 0 1 0 0 1 0 0 0 90 0 0 1 0 0 1 0 0 0 91 0 0 1 0 1 0 0 0 0 92 0 0 1 0 1 0 0 0 0 93 0 0 1 0 1 0 0 0 0 94 0 0 1 0 1 0 0 0 0 95 0 0 1 0 l 0 0 0 0 96 0 0 1 0 1 0 0 0 0 97 0 0 1 0 1 0 0 0 0 98 0 0 1 0 0 1 0 0 0 99 o o i o o 1 o o o 100 0 0 1 0 0 1 0 0 0 101 0 0 1 0 0 1 0 0 0 102 0 0 1 0 1 0 0 0 0 103 0 0 1 0 1 0 0 0 0 104 0 0 1 0 1 0 0 0 0 105 0 0 1 0 1 0 ' 0 0 0 106 0 0 1 0 1 0 0 0 0 107 0 0 1 0 1 0 0 0 0 108 0 0 1 0 1 0 0 0 0 109 0 0 1 0 0 1 0 0 0 110 0 0 1 0 0 1 0 0 0 111 0 0 1 0 0 1 0 0 0 112 0 0 1 0 0 1 0 0 0 113 0 0 1 0 1 0 0 0 0 114 0 0 1 0 1 0 0 0 0 115 0 0 1 0 1 0 0 0 0 116 - 0 0 1 0 1 0 0 0 0 117 0 0 1 0 1 0 0 0 0 118 0 0 1 0 1 0 0 0 0 119 0 0 1 0 1 0 0 0 0 120 0 0 0 1 0 0 0 0 0 121 0 0 0 1 0 0 0 0 0 122 0 0 0 1 0 0 0 0 0 123 0 0 0 1 0 0 1 0 0 124 0 0 0 1 0 0 0 0 0.
125 0 0 0 1 0 0 0 0 0 126- 0 0 0 1 0 0 0 0 0 127 0 O. 1 0 0 1 0 0 0 128 0 0 1 0 0 1 0 0 0 129 0 0 1 0 0 1 0 0 0 130 0 0 1 0 0 1 0 0 0 131 . 0 0 0 1 0 1 0 0 0 0 132 0 0 1 0 1 0 0 0 0 133 0 0 1 0 1 0. 0 0 0 0 134 0 0 1 0 1 0 0 0 0 135 0 0 1 0 1 0 0 0 0 136 0 0 1 0 1 0 0 0 0 137 0 0 1 0 1 0 0 0 0 138 0 0 0 1 0 0 0 0 0 139 0 0 0 1 0 0 0 0 0 140 0 0 0 1 0 0 0 0 0 141 0 0 0 1 0 0. 1 0 0 142 0 0 0 1 0 0 0 0 0 143 0 0 0 1 0 0 0 0 0 144 0 0 0 1 0 0 0 0 0 145 0 0 1 0 0 1 0 0 0 146 0 0 1 0 0 1 0 0 0 147 0 0 1 0 0 1 0 0 0 148 0 0 1 0 0 1 0 0 0 149 0 0 1 0 1 0 0 0 0 150 0 0 1 0 1 0 0 0 0 151 0 0 1 0 1 0 0 0 0 152 0 0 1 0 1 0 0 0 0 153 0 0 1 0 1 0 0 0 0 154 0 0 1 0 1 0 0 0 0 155 0 0 1 0 1 0 0 0 0 156 0 0 0 1 0 0 0 0 0 157 0 0 0 1 0 0 0 0 0 158 0 .0 0 1 0 0 0 0 0 159 0 0 0 1 0 0 1 0 0 160 0 0 0 1 0 0 0 0 0 161 0 0 0 1 0 0 0 0 0 162 0 0 0 1 0 0 0 0 0 163 0 0 1 0 0 1 0 0 0 164 0 0 1 0 0 1 0 0 0 165 0 0 1 0 0 1 0 0 0 166 0 0 1 0 0 1 ' 0 0 0 167 0 0 1 0 1 0 0 0 0 168 0 0 1 0 1 0 0 0 169 0 0 1 0 1 0 0 0 0 170 0 0 1 0 1 0. 0 0 0 171 0 0 1 0 1 0 0 0 0 172 0 0 1 0 1 0 0 0 0 173 0 0 1 0 1 0 0 0 0 174 0 0 0 1 0 0 0 0 0 175 0 0 0 1 0 0 0 0 0 176 0 0 0 1 0 0 0 0 0 177 0 0 0 1 0 0 1 0 0 178 0 0 0 1 0 0 0 0 0 179 0 0 0 1 0 0 0 0 0 180 0 0 0 1 0 0 0 0 0 181 0 0 0 0 0 0 0 1 0 182 0 ~ 0 0 0 0 0 0 0 1 L e e r s e i t e

Claims

P A T E N T A N S P R Ü C H E Verfahren zum Verifizieren, daß der Besitzer einer Karte berechtigt ist, ein Terminal eines Verbundsystems zu verwenden, wobei die Karte Zusatzdaten und wenigstens erste und zweite Daten enthält und der berechtigte Besitzer sich Geheimzahldaten merk-t, die vom berechtigten Besitzer bei Ausgabe der Karte gewählt sind, dadurch g e k e n n -z e i c h n e t , daß Speicherplätze in einem ersten adressierbaren Speicher mit den ersten und zweiten Daten pseudo-wahlfreiadressiert werden, damit der Speicher erste Ausgangsdaten erzeugt, Speicherplätze in einem zweiten adressierbaren Speicher mit Geheimzahldaten und Zusatzzahldaten adressiert werden, damit der zweite Speicher zweite Ausgangsdaten erzeugt, die ersten und zweiten Ausgangsdaten zueinander in Beziehung gesetzt werden und ein "go"- - oder "no go"-Signal entsprechend dem Ergebnis der in Beziehungsetzung erzeugt wird.

(2) Verfahren nach Anspruch 1, dadurch g e k e n n -z e i c h n e t , daß eine zuläzsibe Transaktion einer Institution in Rechnung gestellt wird, die mittels der ersten Daten identifiziert wird.

(3) Verfahren nach Anspruch 1, dadurch g e k e n n -z e i c h n e t , daß die Zusatzzahldaten auf der Karte enthalten sind.

(4) Verfahren nach Anspruch 1, dadurch g e k e n n -z e i c h n e t , daß zum pseudo-.wGhlfreien Adressieren gehört: Adressieren eines Speicherplatzes im ersten adressierbaren Speicher und Veranlassen des ersten adressierbaren Speichers zum Erzeugen eines ersten husgangssigllals, logisches Verknüpfen des ersten Ausgangssignals und der zweiten Daten zum Bilden eines zusammengesetzten Signals und Adressiercn des ersten adressierbaren Speichers mit dem zusammengesetzten Signal und Veranlassen des zweiten adrcssierbnren Speichers zum Erzeugen der ersten Ausgangsdaten.

(5) Verfahren zum Bestimmen, ob der Besitzer einer Karte der berechtigte Besitzer ist, wobei die Karte erste Daten zum Identifizieren einer Institution und zweite Daten zum Identifizieren einer Kontonummer enthält und der berechtiOte Besitzer als einziger im Besitz einer von den ersten und zweiten Daten abgeleiteten Geheimzahlen ist, dadurch g e k e n n z e i c h n e t , dad die Karte abgetastet wird und die ersten und zweiten auf ihr enthaltenen Daten in elektrische Signal umgewandelt werden, die Geheimzahl in elektrische Signale umgewandelt wird, ein Speicherplatz eines adressierbaren Speichers mit den ersten Datenadressiert wird, wodurch der Speicher ein erstes Ausgangssignal erzeugt, das erste Ausgangssignal mit dem zweiten Datensignal logisch kombiniert wird, der Speicher mit dem kombinierten Signal adressiert wird, wodurch er ein zweites Ausgangssignal erzeugt, das zweite Ausgangssignal mit dem Geheimzahlsignal verglichen wird und ein Gültigkeitssignal entsprechend dem Ergebnis des Vergleiches erzeugt wird.

(6) Verfahren nach Anspruch 5, dadurch g e k c n nz e i c h n c t , daß eine berechtigterweise durchgeführtc Transaktion einer durch die ersten Daten identifizierte Institution in Rechnung gestellt wird.

(7) Verfahren zum Erzeugen von Geheimzahldaten aus Daten, die auf eine Karte aufgebracht werden sollen, wobei die Daten erste Nummerndaten zum Identifizieren einer Institution und zweite Nummerdaten zum Identifizieren eines Kontos 311 der Institution enthalten, u; e k c n n -z e i c h n c t; durch folgende Verfahrensschritte: (a) Adressieren einen adressierbaren Speichers, in dem Random-Daten gespeichert siud, mit den ersten Nummerdaten und Veraulassen des Speichers zum Erzeugen von Ausgangsdaten, (b) legisches Kombinieren der Ansgangsdaten mit einer Ziffer der Kontonummerdaten zur Bildung erster kombinierter Daten, (c) Adrcssicren des Speichers mit den ersten kombinierten Daten und Veranlassen des Speichers zum erzeugen neuer Ausgangsdaten, (d) n-maliges Wiederholen der Stufen (d) und (c), n> 0, (e) Wiederholen der Stufen (b), (c) und (d) fiir jede verbleibende Ziffer der Kontonummer, (f) Wiederholen der Stufen (b), (c) und (d) für eine Ziffer der Kontonummer und (g) Anzeigen von Ausgangsdaten des Speichers, die eine erste Ziffer der Geheimzahldaten enthalten.

(8) ) Verfahren nach Anspruch 7, G e k e n n z e i c h -n e t durch die Stufen: Wiederholen der Stufen (f) für wenigstens eine weitere Ziffer der Kontonummerdaten und Anzeigen der vom Speicher erzeugten Daten, wobei diese erzeugten Daten verbleibende Ziffern der Geheimzahldaten enthalten.

(9) Verfahren zum Bestimmen, ob der Besitzer einer Karte berechtigt ist, eine gewulscllte Transaktion an einem On-line-Terminal einer Institution in einem Netzwerk zusammenarbeitender Institutionen durchzuführen, wobei die Karte Daten enthält, zu denen erste Nummerdaten zum Identifizieren einer Institution und zweite Nummerdaten zum Identifizieren eines Kontos an der Institution gehören und der Besitzer der Karte Geheimzahldaten weiß, die mit den auf der Karte enthaltenen Daten in Beziehung stehen, g e k e n n z e i c h n e t durch folgende Verfahrensstufen: (a) Speichern der Geheimzahldaten; (b) Adressieren eines adressierbaren Speichers, in dem Random-Daten gespeichert sind, mit den ersten Nummerdaten und Veranlassen des Speichers zum Erzeugen von Ausgangsdaten, (c) logisches Kombinieren der Ausgangsdaten mit einer Ziffer der Kontonummerdaten zur Bildung erster kombinierter Daten, (d) Adressieren des Speichers mit den ersten kombinierten Daten und Veranlassen des Speichers zum Erzeugen neuer Ausgangsdaten, (e) n-maliges Wiederholen der Stufen (c) und (d), n>O, (f) Wiederholen der Stufen (c), (d) und (e) für jede verbleibende Ziffer der Kontonummer, (g) Wiederholen der Stufen (c), (d) und (e) für eine Ziffer der Kontonummer, (h) Speichern von Ausgangsdaten des Speichers, die eine erste Ziffer der erzeugten Geheimzahldaten enthalten, (i) in Beziehungsetzen der erzeugten Geheimzahldaten mit den vom Kunden gewußten Geheimzahldaten und (j) Erzeugen eines "go"- oder "no go"-Signals, das das Ergebnis der Stufe (i) anzeigt.

(10) Verfahren nach Anspruch 9, g e k e n n z e i c h -n e t durch folgende zusätzliche Stufen: Wiederholen der Stufe (6) für wenigstens eine weitere Ziffer der Kontonummerdaten und Speichern der sich ergebenden Daten des Speichers, die verbleibenden Ziffern der erzeugten Geheimzahldaten enthalten, wobei die zusätzlichen Stufen unmittelbar der Stufe (h) folgen.

(11) Verfahren nach Anspruch 9, dadurch 6 e k e n n -z e i c h n e t , daß die gewünschte Transaktion dem durch die ersten Nummerdaten identifizierten Institut auf ein "go"-Sisnal hin in Rechnung gestellt werden.

(12) Verfahren zum Erzeugen eines Signals, das eine Pseudo-Random-Zahl darstellt, entsprechend ersten und zweiten Eingangssignalen, die bekannte Zahlen darstellen, e e k e n n z e i c h n e t durch folgende Stufen: Adressieren eines Speicherplatzes in einem adressierbaren Speicher mit ersten EingangssiGnalen, damit der Speicher ein erstes Ausgangssignal erzeugt, logisches Kombinieren des ersten Ausgangssignals mit dem zweiten Sin"angssignal, um kombinierte Signale zu erzeugen, Adressieren des Speichers mit den kombinierten Signalen, damit der Speicher das die Pseudo-Random-Zahl darstellende Signal erzeugt und Anzeigen des erzeugten Pseudo-Random-Zahl-Signals.

(13) Einrichtung zur Gültigkeitsüberprüfung einer Karte, die Identifizierungsdaten enthält, wobei von den Identifizierungsdaten hergeleitete Daten mit manuell eingegebenen, von einem Kunden gewählten Geheimzahldaten in Beziehung gesetzt werden, g e k e n n z e i c h -n e t durch eine erste Vorrichtung (fO) zum Umsetzen der auf der Karte (10) enthaltenen Daten in erste umgesetzte Daten, eine zweite Einrichtung (22) zum Umsetzen der vom Kunden gewählten Zahldaten in zweite übersetzte Daten und eine Einrichtung (24) zum in Beziehungsetzen der ersten umgesetzten Daten mit den zweiten umgesetzten Daten, um ein "go"- oder "no go"-Signal zu erzeugen.

(14) Einrichtung zum Erzeugen eines Signals, das eine Pseudo-Random-Zahl darstellt, entsprechend ersten und zweiten Eingangssignalen, die bekannte Zahlen darstellen, g e k e n nz e i c h n e t durch einen adressierbaren Speicher (40), eine auf das erste Bingan6ssigrnal ansprechende Vorrichtung (42) zum Adressieren eines Speicherplatzes des Speichers und Veranlassen des Speichers zum Erzeugen eines ersten Ausgangssignals, eine Vorrichtung (44) zum logischen Kombinieren des ersten Ausgangssignals und des zweiten Eingangssignals, um ein anderes Signal zum Adressieren des Speichers daraus herzuleiten und den Speicher zu veranlassen, das die Pseudo-Random-Zahl darstellende Signal zu erzeugen.

(15) In einem System zum Ausgeben einer Identifizierungs karte, die Daten mit eine Institutsidentifizierungszahl darstellenden und eine Kontonummer darstellenden Zeichen enthält, eine Vorrichtung zum Erzeugen von Ziffern von Geheimzahldateii, die den genannten Daten entsprechen, g e k e n n z e i c h n e t durch einen programmierten, Random-Byte enthatnden Speicher (i-S0), eine auf die Institutsidentifizierungszahlzeichen ansprechende Vorrichtung (42), um einen Speicherplatz im Speicher zu adressieren und den Speicher zu veranlassen, ein Ausgangsbyte zu erzeugen, eine Einrichtung (44) zum logischen Kombinieren eines Teils des Speicherausgangsbytes mit einer Ziffer der Kontonummerzeichen zum Erzeugen eines kombinierten Signals und eine EinrichtunG (56) zum Adressieren des Speichers (40) mit dem kombinierten Signal, damit der Speicher eine Ziffer der Geheimzahl erzeugt.

(16) Einrichtung nach Anspruch 15, g e k e n n -z e i c h n e t durch eine Vorrichtung zum Anzeigen der Ziffern.

(17) In einem Kartenverifizierungssystem der Art, bei der eine auf einer Karte enthaltene Kontonummer in eine umgesetzte Nummer umgesetzt wird und dann die umgesetzte Nummer mit einer Geheimzahl in Beziehung gesetzt wird, die nur dem berechtigten Besitzer der Karte bekannt ist, um ein Signal zu erzeugen, da.3 die Gültigkeit der Karte anzeigt, G e k e n n z e i c h n e t durch eine auf der Karte (10) enthaltenen Institutsidentifizierungsdaten ansprechende Einrichtung (18, 42, 30) zum Bestimmen der Umsetzung der Kontonummer und eine auf die Institutsidentifizierungsdaten ansprechende Einrichtung (26, 28), um einer identifizieren Institution eine Transaktion in Rechnung zu stellen.

(18) System nach Anspruch 17, dadurch g e k e n n -z e i c h n e t , daß die die Umsetzung bestimmende Vorrichtung einen adressierbaren Speicher (40) mit darin.

wahlfrei gespeicherten Bytes enthält, und daß die Institutsidentifizierungsdaten ein anfängliches Adressenbyte zum pseudo-wahlfreien Adressieren des adressierbaren Speichers bilden.

(19) System nach Anspruch 17, dadurch g e k e n n -z e i c h n e t , daß die Vorrichtung zum in Rechnungstellen der Transaktion ein Speicherregister (42) enthält, um die Institutsidentifizierungsdatenzahl zu speichern und eine Vorrichtung (26) enthält, um die Institutsidentifizierungszahldaten an ein zentrales Verrechnungssystem zu übertragen.

(20) System zum Feststellen, ob der Besitzer einer Earte berechtigt ist, eine Transaktion durchzuführen, wobei die Karte erste, ein Institut identifizierende Daten und zweite, eine Kontonummer identifizierende Daten enthält und der Besitzer dem System Geheimzahldaten eingibt, die von den ersten und zweiten Daten hergeleitet sind, g e k e n n z e i c h n e t durch einen adressierbaren Speicher (40), eine auf die ersten Daten ansprechende Vorrichtung (42,52,54) zum Adressieren eines Speicherplatzes des Speichers und Veranlassen des Speichers zum Erzeugen eines ersten Ausgangssignals, eine auf das erste Ausgangssignal und die zweiten Daten ansprechende Vorrichtung (44,51,56) zum Adressieren des Speichers und Veranlassen des Speichers zum Erzeugen eines zweiten Ausgangssignals, eine Vorrichtung (24) zum Vergleichen des zweiten Ausgangssignals mit den Geheimzahldaten und zum Erzeugen eines gO"- - oder "no go"-SiOrllals, eine Vorrichtung zum Erzeugen eines Gültigkeitssignals, entsprechend dem "go"- oder "no go"-Signal und eine Vorrichtung (26,28) zum Belasten eines durch die ersten Daten identifiziertan Instituts mit der authorisierten Transaktion.

(21) System nach Anspruch 20, dadurch g e k e n n -z e i c h n e t , daß die auf ds erste Ausgangssignal und die zweiten Eingangssignaldaten ansprechende Adressiervorrichtung eine Vorrichtung (51) zur logischen Kombination des ersten Ausgangssignals und der zweiten Daten enthält, um ein Adressenbyte für den Speicher (40) zu bilden.

(22) System nach Anspruch 20, dadurch g e k e n n -z e i c h n e t , daß die Vergleichsvorrichtung eine EXCLUSIVE OR-Schaltung (24a bis 24<1) enthält, um Bits des zweiten Ausgangssignals mit Bits der Geheimzahldaten zu vergleichen.

(23) System nach Anspruch 20, dadurch g e k e n n -z e i c h n e t , daß die Vorrichtung zum in Rechnung stellen ein Speicherregister (42) zum Speichern der ersten Daten und eine Vorrichtung (26) zum Zuführen der Oespeicherten Daten zu einem zentralen Verrechnungssystem (28) enthält.

(24) Einrichtung zum Verifizieren der Authentizität einer Karte, die Identifizierungsdaten enthält, wobei von den Identifizierungsdaten abgeleitete Daten mit vom Kunden gewählten Geheimzahldaten korreliert sind, g e k e n n z e i c h n e t durch eine erste Vorrichtung (v0) zum Umsetzen der auf der Karte enthaltenen Identifizierungsdaten in erste umgesetzte Daten, eine zweite Vorrichtung (22) zum Umsetzen der vom Kunden gewählten Zahldaten in zweite umgesetzte Daten und eine Vorrichtung (24) zum in Beziehung setzen der ersten umgesetzten Daten mit den zweiten umgesetzten Daten und zum Erzeugen eines "go"- oder "no go"-Signals.

(25) Einrichtung nach Anspruch 24, dadurch g e k e n n -z e i c h n e t , daß die zweite Vorrichtung eine Vorrichtung (110, 112, 114) zum Kombinieren der vom Kunden gewählten Geheimzahldaten mit Zusatzzahldaten enthält, um die zweiten umgesetzten Daten zu erzeugen.

(26) Einrichtung nach Anspruch 25, dadurch g e k e n n -z e i c h n e t , daß die Kombinationsvornchtung einen adressierbaren Speicher (110) enthält, der derart programmiert ist, daß er die zweiten umgesetzten Daten entsprechend den vom Kunden gewählten Geheimzahldaten und den Zusatzzahldaten erzeugt.

(27) Einrichtung nach Anspruch 25, dadurch g e k e n n -z e i c h n e t , daß die Kombinationsvorrichtung eine Vorrichtung zum Addieren der Zusatzzahldaten und der vom wunden gewählten Geheimzahldaten ohne UbertraÖ enthält.

(28) Einrichtung nach Anspruch 24, dadurch g e k e n n -z e i c h n e t , daß die Identifizierungsdaten erste und zweite Datensegmente enthalten und die erste Umsetzeinrichtung (30) einen adressierbaren Speicher (40) und eine auf die ersten und zweiten Datenseginente ansprechende Vorrichtung (42, 44, 51, 50, 52, 54, 46) enthält, um den adressierbaren Speicher pseudo-.wahlfrei zu adressieren.

(29) Einrichtung nach Anspruch 28, dadurch g e k e n n -z e i c h n e t , daß die Vorrichtung zum .pseudo-wahlfreien Adressieren eine auf das erste Datensegment ansprechende Vorrichtung (42) enthält, um einen Speicherplatz des Speichers (40) zu adressieren und den Speicher zu veranlassen, ein erstes Ausgangssignal zu erzeugen'und eine auf das erste Ausgangssignal und das zweite Datenseginent ansprechende Vorrichtung (51) enthält, um den Speicher zu adressieren und ihn zu veranlassen, die ersten unter setzten Daten zu erzeugen.

(30) Transaktionsaustauschsystem unter zusammenarbeitenden Finanzinstituten, wobei die Institute an berechtigte hunden eine Standardkarte mit Daten ausgeben, die Institut sidentifi zi erung szahldaten und Kontonumm erdat en enthalten,und wobei jeder berechtigte Benutzer aus den Identifizierungs- und Kontonummerdaten abgeleitete Geheimzahldaten eingibt, g e k e n n z e i c h n e t durch eine Vorrichtung (30) zum Umsetzen der Institutsidentifizierungszahldaten und der Kontonummerdaten in Identifizierungsdaten, die eine nicht-feststellbare persönliche Identifizierungszahl darstellen, eine Vorrichtung (24) zum in gegenseitige Beziehung setzen der Identifizierungsdaten mit den Geheimzahldaten, um ein "go"- - oder "no go"-Signal zu erzeuGen und eine auf das "go"-SiGnal und die Institutsidentifizierungszahldaten ansprechende Vorrichtung (28), um eine erwünschte Transaktion einem durch die Identifizierungszahldaten identifizierten Institut in Rechnung zu stellen.

(31) Transaktionsaustauschsystem nach Anspruch 30, dadurch g e k e n n z e i c h n e t , daß die Umsetzvorrichtung einen adressierbaren Speicher (4-0) mit darin gespeicherten Raudom-Bytes enthält und daß das System weiter eine Einrichtung (48, 51) zum pseudo-wahlfreien Adressiesn von Speicherplätzen des adressierbaren Speichers enthält, um Ausgangsbytes zu erzeugen, wobei bestimmte dieser Bytes Ziffern der nicht-feststellbaren persönlichen Identifizierungszahl enthalten.

(52) Transaktionsaustauschsystem nach Anspruch 31, dadurch g e k e n n z e i c h n e t , daß die Umsetzvorrichtung eine Vorrichtung (51) zum sukkzessiven logischen Kombinieren von vom adressierbaren Speicher (40) erzeugten Daten mit Ziffern der Kontonummerdaten enthält, um Pseudo-Random-Adressenbytes zum Adressieren von Speicherplätzen des adressierbaren Speichers zu bilden.

(33) Transaktionsaustauschsystem nach Anspruch 30, dadurch g e k e n nz e i c h n e t , daß die Korreliervorrichtung (2') einen digitalen Comparator enthält.

( ) System zum Ausgeben eines Identifizierungsmittels, das Daten enthält, die in Identifizierungsdaten umsetzbar sind, wobei die Identifizierungsdaten zu ausgewählen Nummerdaten in Beziehung setzbar sind, g e k e n n -z e i c h n c t durch eine Vorrichtung (130) zum Umsetzen gewählter Nummerdaten in die Identifizierungsdaten, eine Vorrichtung (158) zum kombinieren der gewählten Nummerdaten und der Identifizierungsdaten zum Erzeugen von Zusatzzahldaten und eine Vorrichtung zum Aufbringen der Zusatzzahldaten auf das Identifizierungsmittel.

(35) System nach Anspruch 34, dadurch G e k e n n -z e i c h n e t , daß die Kombiniervorrichtung (138) eine Vorrichtung zum numerischen Substrahieren der gewählten Nummerdaten von den Identifizierungsdaten enthält.

(36) System nach Anspruch 34, bei dem die auf dem liittel enthaltenen Daten magnetisch aufgebracht sind, dadurch g e k e n n z e i c h n e t , daß eine Vorrichtung (18) zum magnetischen Abtasten der aufgebrachten Daten vorgesehen ist und daß die Aufbringvorrichtung eine Yorrichtung zum magnetischen Aufbringen der Zusatzzahldaten auf das mittel enthält.

(7) Kartenverifizierungssystem zum Verifizieren, ob ein eine Identifizierungskarte präsentierender Kunde berechtigt ist, eine Transaktion durchzuführen, wobei die Karte Identifizierungsdaten enthält, die mit vom berechtigten Kunden bei Ausgabe der Karte gewählten Geheimzahldaten korrelierbar sind, G e k e n n -z e i c h n e t durch eine erste Vorrichtung (30) zum Umsetzen der Identifizierungsdaten in erste umgesetzte Daten, eine zweite Vorrichtung (22; 110; 112; 114) zum Umsetzen der gewählten Daten in zweite umgesetzte Daten, eine Vorrichtung (24) zum Vergleichen der ersten und zweiten umgesetzben Daten und zum Erzeugen eines "go"- oder "no go"-Signals und eine auf das "go"-Si6nal ansprechende Vorrichtung (28) zum Durchführen einer gewünschten Transaktion.

(38) System nach Anspruch 7, dadurch g e l e n n -z e i c h n e t , daß die auf der Karte enthaltenen Daten erste und zweite Segmente enthalten und daß die erstze Umsetzvorrichtung (30) eine auf die ersten und zweiten Segmente ansprechende Vorrichtung (42; 44; 51) zum pseudo-wahlfreien Adressieren eines adressierbaren Speichers (40) und zum Erzeugen eines die ersten umgesetzten Daten anzeigenden Ausganßssirgnals enthält.

(39) System nach Anspruch 7, gek e n n z e i c h -n e t durch eine auf eines der Segmente ansprechende Vorrichtung (26; 28 zum Belasten eines durch das eine Segment identifizierten Instituts mit einer durchgeführten Transaktion.

(40) System nach Anspruch 38, dadurch ge k e n n -z e i c h n e t , dal3 die zweite Vorrichtung eine Vorrichtung (110) zum Kombinieren der ausgewählten Daten und Zusatzdaten und zum Erzeugen eines die zweiten umgesetzten Daten darstellenden Ausgangssignals enthält.

(41) System nach Anspruch 40, dadurch g e k e n n -z e i c h n e t , daß die Kob1nationsvorrichtung einen adressierbaron Speicher (110) enthält, wobei die ausgewählten Daten und Zusatzdaten ein Adressenbyte zum Adressieren von Speicherplätzen im adrossierbaren Speicher bilden.