DE3752390T2

DE3752390T2 - Automatisiertes Transaktionssystem mit einem ein zum Drucken authorisierendes Merkmal habenden modularen Druckkopf

Info

Publication number: DE3752390T2
Application number: DE3752390T
Authority: DE
Inventors: Christopher San Fransisco Wright; Stephen Los Angeles Hills Bristow
Original assignee: Pitney Bowes Inc
Current assignee: Pitney Bowes Inc
Priority date: 1986-09-02
Filing date: 1987-09-01
Publication date: 2007-09-13
Anticipated expiration: 2007-09-02
Also published as: DK228888A; DE3752146T3; NO881800D0; DE3750958T2; DE3752247T2; FI882047A0; WO1988001818A1; EP0294397B1; ATE345553T1; DE3752146T2; EP0740275A2; ATE160456T1; EP0619565B1; DE3752146D1; JPH01500863A; ATE175512T1; EP0619564B1; AU605443B2; DE3752390D1; DE3750958T3

Description

Die Erfindung betrifft einen Drucker zur Verwendung mit einer Transaktionsstation.
Sie ist auf ein automatisches Transaktionssystem anwendbar, das eine Benutzerkarte mit einem Mikroprozessor zum Ausführen von gesicherten Transaktionen aufnimmt, bei denen ein Artikel oder ein Wertposten von einer Station ausgegeben wird und ein Kontostand, der in einem Speicher der Karte gespeichert ist, belastet wird. Insbesondere ist die Erfindung auf ein Portotransaktionssystem anwendbar, bei dem innerhalb der Mikroprozessorkarte ein Portokonto geführt wird und für Transaktionen mit Portodruck- und Messstationen verwendet wird.
EP-A-0 087 385 und EP-A-0 011 721 beschreiben mikroprozessorgesteuerte mit Druckvorrichtungen.
Verkaufspunkt-(Point-of-sale oder POS)-Stationen und automatische Ausgabemaschinen (ATM) sind im Zusammenhang mit verschiedenen Typen von Karten, die an Benutzer für Verkaufs- oder Kredittransaktionen ausgegeben werden, verwendet worden. Beispielsweise geben Banken regelmäßig Kontokarten aus, die eine auf einem Streifen gespeicherte magnetisch codierte Zahl aufweisen, um über ATM Stationen auf das Konto des Benutzers zuzugreifen. Kreditkarten, die codierte magnetische Streifen aufweisen, werden in ATM oder POS Stationen eingefügt, um auf ein zentrales Kontosystem zur Autorisierung einer Kredit-Transaktion zuzugreifen. Es sind auch Vorschläge gemacht worden, Karten zu verwenden, die große nicht-flüchtige Speicher umfassen, z.B. eine Speicherung mit einem magnetischen oder optischen Speicher oder einem Speicher mit einer integrierten Schaltung (IC), um für einen Benutzerspezifische Information, beispielsweise eine medizinische Geschichte, bibliographische Geschichte, das Führen eines Kontostands und einer Transaktionsgeschichte, etc., zu speichern und zurückzugewinnen.
Diese herkömmlichen Systeme verwenden allgemein eine Karte, die einen passiven Speicher aufweist, der in einem Kartenleser oder einer von einem Verkäufer geführten computerisierten Station gelesen wird. Die Sicherheit der Karten ist problematisch, da die meisten herkömmlicherweise verwendeten Kontokarten passiv sind und sich selbst oder die bestimmten Transaktionen, für die sie verwendet werden, nicht autentifizieren. Anstelle davon wird ein On-line-Zugriff durch eine Station an ein zentrales Kontosystem, beispielsweise Bank- oder Kreditkarten-Kontoaufzeichnungen, zur Bestätigung jeder Transaktion benötigt. Diese Anforderung stellt an Verkäufer, beispielsweise Bankzweigstellen und Geschäfte, die die Stationseinrichtungen halten müssen, sowie an den Betreiber des zentralen Kontosystems, der einen ausreichenden On-line-Zugriff für sämtliche Benutzer des Systems bereitstellen und die Sicherheit des gesamten Systems gewährleisten muss, Belastungen hinsichtlich der Zugriffszeit und der Kosten.
Im Gegensatz dazu weisen Off-line-Transaktionen, d.h. zwischen einem Benutzer mit einer autorisierten Karte und einer Station, die nicht mit einem zentralen Kontosystem verbunden ist, den Vorteil auf, dass der Verkäufer jede Transaktion nicht bestätigen muss. Ein Kartenhalter fügt die Karte lediglich in eine Station ein, um für einen Kauf zu bezahlen, und der Betrag der Transaktion wird von dem autorisierten Betrag der Karte abgezogen. Bei Off-line- Transaktionen kann die Verantwortung des Verkäufers verringert werden und der Transaktionsprozess vereinfacht werden, so dass eine Transaktion mit Hilfe der Verwendung von weitläufig verteilten Benutzerkarten und automatischen Stationen vollständig automatisiert werden kann.
Jedoch sind Off-line-Transaktionen gegenüber der Verwendung von gefälschten Karten und einer Herumhantierung an den Stationen verletzlicher. Somit müssen die Karten sicher und die Transaktionen auf kleine Beträge begrenzt werden. Als ein Beispiel von herkömmlichen Kartensicherheitsmaßnahmen kann eine Speicherkarte in eine Anzahl von Sektoren mit einem begrenzten Wert aufgeteilt werden, die getrennt für gültig erklärt werden und irreversibel mit jeder Transaktion debitiert werden, wie in den U.S. Patenten 4,204,113 und 4,256,955 von Giraud et al. offenbart ist. Eine persönliche Identifikationsnummer (PIN) kann in den Speicher der Karte zur Zeit der Ausgabe eingeschrieben werden und bei jeder Transaktion von dem Benutzer angefordert werden. Die Stationen werden allgemein gesichert, indem sie in Bereichen aufgestellt werden, zu denen der Zugriff eingeschränkt oder überwacht wird. Jedoch erhöhen diese Anforderungen die Kosten für den Betrieb des Systems und gleichzeitig verringern sie deren Verwendbarkeit.
Die Verfeinerung einer Fälschung von Karten und des Kreditbetrugs hat mit der weit verbreiteten Verwendung von Konto- und Kreditkarten zugenommen und immer schärfere Sicherheitsmaßnahmen werden gegenwärtig benötigt, um die Gültigkeit von Kartentransaktionen sicherzustellen. Herkömmliche Mikroprozessorkarten verwenden permanente Programme zum Steuern eines Zugriffs auf Daten, die auf der Karte gespeichert sind, speichern eine gewählte Benutzer-PIN zur Bestätigung eines autorisierten Benutzers und verhindern die Verwendung der Karte, wenn ein nicht autorisierter Benutzer erfasst wird, beispielsweise nach einer begrenzten Anzahl von unrichtigen PIN-Eingaben. Obwohl derartige Mikroprozessorkarten eine größere Sicherheit als passive Karten bereitstellen, ist das System noch dahingehend verwundbar, dass eine gestohlene Karte für nicht autorisierte Transaktionen in jeder Station verwendet werden kann und in die Stationen selbst eingedrungen werden kann, sobald eine PIN eines gültigen Benutzers festgestellt worden ist. Diese Verletzbarkeit kann durch Begrenzen des autorisierten Betrags der Karte, der Steuerung eines Zugriffs auf die Stationen oder die Anforderung einer On-line-Bestätigung von Transaktionen, kompensiert werden. Jedoch erhöhen derartige Maßnahmen wiederum die Kosten des Systems und setzen deren Verwendbarkeit herab.
Ein potentieller Bereich einer Anwendung von automatisierten Systemen, die Konto- oder Kreditkarten verwenden, ist in Portoverkaufs- und Messmaschinen. Der Kauf von Porto- und Versende-Transaktionen werden vorwiegend persönlich mit Bargeld durch Ausgabemaschinen an Postämtern durchgeführt. Nur begrenzte Typen von Portobriefmarken können von öffentlichen Verkaufsmaschinen gekauft werden. Die meisten privaten Portomessmaschinen haben begrenzte Betriebsmerkmale und die Messeinrichtungen davon müssen periodisch zu einem Postamt entfernt werden, um wiederaufgefüllt zu werden. Die Größe und das Gewicht der Messeinrichtung erlaubt keinen einfachen Transport. Einige Messsysteme können durch einen entfernten Computer wiederaufgefüllt werden, aber der Anrufer muss noch das Computerzentrum anrufen und die Befehle des Operators auf der Frankiermaschine manuell ausführen.
Die Beseitigung von Bargeldkäufen, persönlichen Versende-Transaktionen, nicht erforderlichen Beschränkungen auf automatisierte postalische Dienste, und einer physikalischen Wiederauffüllung von Portomessmaschinen könnten die Warteschlangen an Postämtern beträchtlich verringern und die weitere Verbreitung von Portoverkaufs- und Messmaschinen für die Bequemlichkeit von Benutzern beträchtlich verbessern und einen größeren Zugriff auf postalische Dienste bereitstellen. Die Verwendung von Konto- oder Kreditkarten für automatisierte postalische Maschinen ist in Erwägung gezogen worden. Jedoch würden die Sicherheitsprobleme bei herkömmlichen Karten-automatisierten Systemen erfordern, dass Benutzerkarten nur für relativ kleine Beträge von vorbezahltem Porto für gültig erklärt werden, dass Verkaufs- und Messmaschinen große postalische Produkte bereitstellen und mit begrenzten Gesamtportobeträgen wiederaufgefüllt werden und dass ein Zugriff auf die Maschinen strikt gesteuert werden muss. Diese Beschränkungen sind ein wesentliches Hindernis, die zu der Schwierigkeit einer Implementierung eines automatischen postalischen Transaktionssystems beitragen.
Gemäß der Erfindung ist ein Drucker zur Verwendung mit einer Transaktionsstation vorgesehen, die einen Eingabeabschnitt zum Eingeben einer Aufforderung zum Drucken eines Wertzeichens und einen Betriebsabschnitt, um die Station in die Lage zu versetzen, das Drucken des angeforderten Wertzeichens auf einen Artikel auszuführen, aufweist, dadurch gekennzeichnet, dass: der Drucker als eine getrennte Sektion in der Station gebildet ist und einen Druckkopf mit einem dedizierten Mikroprozessor darin zum Steuern des Druckkopfes hat; eine erste Tintenzuführung vorgesehen ist, um sichtbare menschlich-lesbare Tinte dem Druckkopf zuzuführen; eine zweite Tintenzuführung vorgesehen ist, um unsichtbare maschinen-lesbare Tinte dem Druckkopf zuzuführen; die Stationen Verbindungsleitungen zum Verbinden des Druckkopf-Mikroprozessors mit der Betriebssektion der Station hat, und die Betriebssektion ein gespeichertes Programm zum Empfangen der Wertfreimachungsvermerkanforderung, die zu der Station eingegeben wird, und Senden einer Druckinstruktion zu dem Druckkopf enthält; und der Druckkopf-Mikroprozessor enthält ein gespeichertes Programm zum Empfangen der Druckinstruktion von der Stationsbetriebsektion, Drucken des angeforderten Wertfreimachungsvermerkes mit sichtbarer Tinte von der ersten Tintenzuführung auf einem Artikel, Generieren eines Authentifizierungscodes, der dem angeforderten Wertfreimachungsvermerkes eindeutig entspricht, und Drucken des Authentifizierungscodes mit unsichtbarer Tinte von der zweiten Tintenzuführung auf dem Artikel, wodurch der gedruckte sichtbare Wertfreimachungsvermerk anschließend durch Maschinenlesen des unsichtbaren Authentifizierungscodes und Vergleichen dessen mit dem sichtbaren Wertfreimachungsvermerk als authentisch verifiziert werden kann.
Die obigen Prinzipien, Vorteile und Merkmale der Erfindung werden mit näheren Einzelheiten im Zusammenhang mit den folgenden Zeichnungen nachstehend beschrieben. In den Zeichnungen zeigen:
1 schematisch eine bevorzugte Ausführungsform einer automatisierten postalischen Transaktionsstation unter Verwendung einer Mikroprozessorkarte gemäß einer Ausführungsform der Erfindung;
2a einen Aufbau in der Ausführungsform aus 1 zum Ausführen einer gesicherten Handshake-Erkennungsprozedur zwischen der Mikroprozessorkarte und einem Wertausgabeabschnitt der Station, und 2b die Handshake-Sequenz umreißt;
3 die mehreren Sicherheitsebenen, die von dem System in 1 bereitgestellt werden;
4 eine andere Ausführungsform der postalischen Transaktionsstation der Erfindung, die eine Ratenkarte (Gebührenkarte) zum automatischen Berechnen von postalischen Beträgen aufnimmt;
5 ein Flussdiagramm des Betriebs der Station aus 4;
6a die Verwendung von codierten Marken zur Autentifizierung einer von einer postalischen Transaktionsstation gedruckten Postmarke;
6b eine beispielhafte Ausbildung einer Autentifizierungs-Codierung;
7 schematisch eine bevorzugte Ausführungsform einer optischen Waage und einer automatischen Begleitschein-Druckstation und einer optischen Waage unter Verwendung einer Mikroprozessorkarte und einer Spezialdienstkarte gemäß einer anderen Ausführungsform der Erfindung;
8 ein Flussdiagramm des Betriebs der Station aus 7;
9 eine Standardausbildung eines Begleitscheins und von Cursor-Eingabeaufforderungen zum Beschreiben seiner Informationsfelder;
10 schematisch eine bevorzugte Ausführungsform einer automatisierten Wiederauffüllungs-Station unter Verwendung einer Mikroprozessorkarte, einer Masterkarte und einer Supervisorkarte gemäß einer weiteren Ausführungsform der Erfindung;
11 ein Flussdiagramm des Betriebs der Station aus 10; und
12 das integrierte System von Mikroprozessorkarten, Speicherkarten und Stationen gemäß einer anderen Ausführungsform der Erfindung.
Angesichts der vorangehende Nachteile und Probleme herkömmlicher Systeme beschreibt das Folgende ein automatisiertes Transaktionensystem, welches Sicherheitsmerkmale hat, die die weit verbreitete Verwendung von Konto- oder Kreditkarten für Offline-Transaktionen und die Verbreitung von automatisierten Transaktionsstationen unterstützen wird, zu denen der Zugang nicht strikt gesteuert werden muss. Es wird auch ein interaktives Karten-/Stationssystem beschrieben, in dem die Karte und die Station jeweils ein Sicherheitsmerkmal aufweisen, das den Abschluss einer angeforderten Transaktion verhindert, außer wenn eine gesicherte Handshake-Erkennungsprozedur gegenseitig zwischen der Karte und der Station ausgeführt wird, so dass sie einander als zum Ausführen einer Transaktion autorisiert erkennen. Insbesondere ist es wünschenswert, dass die Karte und die Station zusammenarbeiten, um ein gleichzeitiges Ausgeben eines Werts von der Station und ein Debitieren eines autorisierten Betrags durch die Karte auszuführen.
Es ist insbesondere beabsichtigt, das oben erwähnten automatisierte Transaktionssystem auf Portomessmaschinen anzuwenden. Ein weiteres Ziel besteht darin, eine Neuerzeugung von Karten-automatisierten postalischen Stationen bereitzustellen, die im Bereich von postalischen Produkten und angebotenen Diensten eine größere Flexibilität aufweisen, wobei die Stationen individuell gesichert sind, auf sie in relativ unbeschränkten Gebieten zugegriffen werden kann, und die Karten an irgendeiner gewünschten Stelle durch gesicherte Wiederauffüllungs-Stationen, die von dem Ausgeber für gültig erklärt worden sind, wiederaufgefüllt werden können.
In Übereinstimmung mit dem Zweck und den Zielen verwendet ein automatisiertes Kartentransaktionssystem eine Karte mit einem gesicherten, sich darauf befindlichen Mikroprozessor, der arbeitet, um zu bestätigen, dass eine angeforderte Transaktion autorisiert ist, und um dann eine interaktive Handshake-Erkennungsprozedur mit einem in dem Wertausgabeabschnitt einer automatisierten Station fest vorgesehenen Mikroprozessor zu initiieren. Auf einen erfolgreichen Abschluss der Handshake-Prozedur hin, Aktivieren der Karten-Mikroprozessor und der Ausgabeabschnitt-Mikroprozessor gleichzeitig die Ausgabe des angeforderten Artikels oder Wertpostens und die Debitierung eines autorisierten Werts von der Karte.
Eine besondere Ausführungsform verwendet eine gegenseitige Handshake-Erkennungsprozedur, die wie folgt ausgeführt wird: (1) auf eine Bestätigung hin, dass eine angeforderte Transaktion autorisiert ist, überträgt die Karte an die Station ein Wort, das eine zufallsmäßig erzeugte oder irgendeine andere Objektzahl verschlüsselt mit einem ersten fest installierten Algorithmus und einer in der Karte gespeicherten Schlüsselzahl umfasst; (2) die Station decodiert die Zahl unter Verwendung eines entsprechenden inversen ersten Algorithmus und der Schlüsselzahl; (3) die Station sendet an die Karte ein zweites Wort zurück, das die decodierte Zufallszahl verschlüsselt mit einem zweiten fest installierten Algorithmus und der Schlüsselzahl umfasst; (4) die Karte decodiert das zweite Wort unter Verwendung eines entsprechenden inversen zweiten Algorithmus und der Schlüsselzahl und vergleicht die decodierte Zahl mit der ursprünglich gesendeten; (5) wenn die Zahlen übereinstimmen, dann debitiert der Karten-Mikroprozessor seinen autorisierten Betrag um den angezeigten Betrag der Transaktion und sendet ein Aktivierungssignal an die Station, um mit der Transaktion weiterzumachen; und (6) auf einen Empfang des Aktivierungssignals hin aktiviert der Ausgabe-Mikroprozessor den Ausgabeabschnitt, um die Transaktion zu beenden. Das gesendete Aktivierungssignal kann auch durch die obigen Algorithmen oder durch ein ähnliches Verfahren verschlüsselt und decodiert werden.
Das oben beschriebene interaktive mit Karten automatisierte Transaktionssystem kann auf Porto-Messmaschinen angewendet werden. In einer Ausführungsform weist eine Porto-Messstation einen Schlitz zur Aufnahme einer Mikroprozessorkarte, die mit einem autorisierten Betrag ausgegeben wird, einen Druckkopf mit einem gesicherten Mikroprozessor, der mit dem Karten-Mikroprozessor in Wechselwirkung tritt, einer Tastatur, einer Anzeige und einem Operations-Mikroprozessor, der eine eingetastete Eingabe des angeforderten Portobetrags annimmt, die eingetastete Eingabe anzeigt, die Karte für eine Autorisierung befragt und die Portodruck-Transaktion initiiert und dann die Maschine für die nächste Transaktion zurücksetzt oder eine Reihe von Transaktionen in einem Wiederholungsmodus ausführt, auf.
In einer verwandten Ausführungsform weist eine Porto-Messstation einen ersten Schlitz zur Aufnahme einer Benutzer-Mikroprozessorkarte, einen zweiten Schlitz zur Aufnahme einer postalischen Ratenkarte, einen Druckkopf mit einem gesicherten Mikroprozessor, eine Tastatur und andere Mittel zur Eingabe von Codes des Absendeorts und des Zielorts (Postleitzahlcodes), Mittel zur Eingabe des Gewichts und der Portoklasse des zu versendenden Artikels und einen Operations-Mikroprozessor mit einem Programm zum Berechnen des richtigen Portos auf Grundlage der Auflistungen der Ratenkarte und der eingetasteten Information auf.
Das mit Karten automatisierte postalische Transaktionssysteme kann einfach nicht nur auf die postalischen Produkte und Dienste des U.S. Postdienstes angewendet werden, sondern auch auf private Beförderer und Paketzustellfirmen. In einer weiteren Ausführungsform weist eine postalische Begleitschein-Station einen dritten Schlitz zur Aufnahme einer Spezialdienst-Karte auf, auf der Daten gespeichert sind, aus denen die Station postalische und Zustellungsdienst-Information auf standardmäßigen – Formvorlagen drucken kann. Beispielsweise kann die Spezialdienste-Karte verwendet werden, um Postamt-Vorlagen, beispielsweise für zertifiziertes Postgut oder eingeschriebenes Postgut, oder die Begleitscheine von privaten Befördererfirmen, zu bedrucken. Die Station ist auch mit einer Vollbild-Anzeige der Begleitschein-Vorlage versehen, fordert den Benutzer zur Eingabe von Information durch programmierte Cursorbewegungen auf und weist Befehlstasten zum Eingeben der Absender- und der Empfängerinformation, der Raten- oder Dienstklasse, der Begleitscheinnummer, der Befördererinformation, etc. auf.
Als untergeordnete Merkmale können die Mikroprozessor-Karten konfiguriert werden, um verschiedene Zugriffstypen auf die Stationen nach Wunsch bereitzustellen, z.B. begrenzte Anzahlen oder Typen von Benutzern in begrenzten Anzahlen oder Typen von Maschinen, unbegrenzte Benutzer in begrenzten Maschinen, begrenzte Benutzer in unbegrenzten Maschinen oder nicht begrenzte Benutzer in nicht begrenzten Maschinen. Die verschiedenen Zugriffstypen können durch Speichern von Schlüsselzahlen in der Karte zur Identifizierung von autorisierten Benutzern und/oder Maschinen und/oder durch Speichern von Schlüsselzahlen in dem Stations-Operationsmikroprozessor zur Identifizierung von autorisierten Benutzern implementiert werden. Die Benutzerkarten können zur Zeit einer Ausgabe hinsichtlich der Beschränkungen auf die Beträge und Typen von einzelnen Transaktionen und für eine vorübergehende oder permanente Sperrung auf eine Erfassung eines nicht autorisierten Benutzers oder einer nicht autorisierten Karte hin konfiguriert werden. Ein anderes Systemmerkmal ist die Speicherung einer Historie von Transaktionen, die von der Karte ausgeführt werden, und die Neuberechnung des übrigen Stands, d.h. des verbleibenden Betrags auf jede Transaktionsaufforderung hin, um Kartenspeicherplatz einzusparen. Ein getrennter Transaktionsdrucker kann verwendet werden, um einen Ausdruck der Transaktionsgeschichte der Karte zu ermitteln.
Die Porto-Messstationen gemäß der Erfindung sind auch mit Mitteln versehen, um einem Postamt oder einem Beförderer zu ermöglichen, die Portozeichen oder Begleitscheine, die gedruckt werden, zu autentifizieren. In einer Ausführungsform druckt der Stationsdrucker in oder unter das Postzeichen eine codierte Nummer oder eine Sequenz von Markierungen entsprechend einem Element des Postzeichens, beispielsweise dem Portobetrag, der Stations-Identifikationsnummer und/oder des Postleitzahlcodes des Absenders. Die Zeichen können durch Drucken einer magnetisch oder optisch lesbaren Farbe verschleiert oder unsichtbar gemacht werden, um eine Herumhantierung oder eine nicht autorisierte Simulation zu verhindern. Sie können dann von dem Postamt oder der privaten Befördererfirma mittels einer Maschine gelesen werden, um zu bestimmen, ob das gedruckte Postzeichen von einem autorisierten Drucker gedruckt wurde, und um gleichzeitig eine Audit-Verfolgung an dem Absender bereitzustellen.
Gemäß einer weiteren Entwicklung stellt ein integriertes System von Mikroprozessorkarten und Stationen Transaktionsmöglichkeiten bereit, die eine weitverbreitete Verwendung und einen bequemen Zugriff für Benutzer bereitstellt. Der autorisierte Betrag der Benutzerkarte kann hinsichtlich der Gültigkeit zu Anfang überprüft werden und von einer Master-Wiederauffüllungskarte, die einen größeren autorisierten Betrag aufweist, wiederaufgefüllt werden, vorzugsweise in Verbindung mit einer Supervisor-Karte, die unter einer strikten Verteilungssteuerung ausgegeben wird. Eine Wiederauffüllungs-Station ist mit drei Einfügungsschlitzen für die drei Karten versehen und weist ein Operationsprogramm auf, um die Identität der Master-Wiederauffüllungskarte und der Benutzerkarte zu überprüfen, um zu bestimmen, ob sie zur Verwendung in der Wiederauffüllungs-Station gültig sind. Auf eine Löschung hin muss die gesicherte Handshake-Erkennungsprozedur erfolgreich zwischen den Mikroprozessoren der Supervisor- und Masterkarten ausgeführt werden, um eine Debitierung der Masterkarte mit dem Wiederauffüllungsbetrag und eine Kreditierung der Benutzerkarte zur ermöglichen. Wenn die Benutzerkarte eine neue Karte ist, dann werden eine Gültigkeitsüberprüfungs-Prozedur und die Auswahl und die Speicherung einer Benutzer-PIN ausgeführt.
Das mit Karten automatisierte Transaktionssystem weist eine breite Anwendbarkeit auf viele andere Typen von Kauf- oder Kredittransaktionen zusätzlich zu postalischen Diensten und Produkten auf. Beispielsweise kann es auch für Kreditkarten-Transaktionen, eine Inventursteuerung, Frachtbriefe, automatische Bargeldmaschinen oder im Grunde genommen auf jeden anderen Transaktionstyp angewendet werden, bei dem ein Benutzerkonto durch eine automatisierte Station im Austausch für einen Artikel oder einen Wertposten sicher debitiert werden muss. Das System ist insbesondere in Off-line-Transaktionen vorteilhaft, bei denen verteilte Stationen, die keinen strikten Zugangskontrollen unterliegen, verwendet werden.
Wie in dem folgenden beschrieben wird, verwendet ein automatisiertes Transaktionssystem eine Mikroprozessorkarte in einer automatisierten Transaktionsstation (nachstehend auch als Terminal bezeichnet). Verschiedene Arten von Mikroprozessorkarten sind kommerziell verfügbar und die Technologie einer Herstellung von derartigen Karten und einer Verwendung von diesen in Stationseinrichtungen wird gut verstanden. Beispielsweise stellt Micro Card Technologies Inc. aus Dallas, Texas, die Micro Card Mask M4 Karte her, die eine Standard-(ISO)-Größe, ähnlich wie eine Kreditkarte, mit einem 8-Bit Mikroprozessor, 8 Kontakt-Pins, einem 9600 bps asynchronem seriellen Austauschprotokoll, 12,8 KBits eines Nur-Lese-Speichers (ROM), 288 Bits eines Speichers mit wahlfreiem Zugriff (RAM) und 8 KBits eines löschbaren/programmierbaren ROMs (EPROMs) ist. Ein Feld von elektrischen Kontakten, die in einem Abschnitt der Karte vorgesehen sind, stellen eine Verbindung zu den entsprechenden Kontakten in der Station her, um den Kartenmikroprozessor in die Lage zu versetzen, Daten mit der Station auszutauschen. Es ist natürlich verständlich, dass andere Typen von Daten-Kommunikationsverbindungen verwendet werden können, beispielsweise durch eine magnetische Induktion.
Die herkömmliche Mikroprozessorkarte, so wie sie in der vorliegenden Erfindung verwendet wird, arbeitet durch Ausführen eines intern gespeicherten Programms (Firmware), auf das von außen nicht zugegriffen werden kann. Die Firmware kann in einer zufallsmäßigen Weise geschrieben werden, um sie gegenüber einer Herumhantierung von außen zu sichern. Ein elektrisch programmierbarer (EPROM) Speicherabschnitt, der dem Mikroprozessor der Karte zugeordnet ist, ist allgemein in drei Zonen aufgeteilt: eine Geheimzone, auf die nur von innen zugegriffen werden kann; eine geschützte Lese/Schreibzone, auf die zugegriffen werden kann, nachdem eine Schlüsselnummer oder PIN bestätigt worden ist, und eine freie Lesezone. Die Karte wird in einer Station verwendet, um gewünschte Funktionen in Abhängigkeit von Regeln, Prozeduren und Daten auszuführen, die in der Karte und der Station gespeichert sind oder dort ausgeführt werden.
Wenn herkömmliche Mikroprozessorkarten an einzelne Benutzer ausgegeben werden, wird eine Gültigkeitsüberprüfungs-Prozedur auf einer Gültigkeitsüberprüfungs-Station ausgeführt. Die Prozedur fordert den Ausgeber allgemein dazu auf, die Seriennummer des richtigen Herstellers der Karte einzugeben, um zu bestätigen, dass die Karte autorisiert ist. Eine PIN wird dann von dem Kartenhalter zugeordnet oder gewählt und in der Geheimzone gespeichert. Ferner kann auch eine Geheimschlüsselnummer, die für den Ausgeber einzigartig ist und einer Klasse oder einer chronologischen Serie von Kartenhaltern gemeinsam ist, in der Geheimzone gespeichert werden. In einigen Kartensystemen wird der Geheimschlüssel als ein Argument eines Verschlüsselungsalgorithmus verwendet, um ein verschlüsseltes Wort an die Station zur Überprüfung zu senden. Wenn das Wort von der Station decodiert werden kann, um den Geheimschlüssel abzuleiten, wird angenommen, dass die Karte authentisch ist. Auf einen Abschluss der Gültigkeitsüberprüfungs-Prozedur hin ändert die Karten-MPU irreversibel ihr Programm so, dass keine weiteren Wörter in die Geheimspeicherzone geschrieben werden können. Danach muss ein Benutzer bei einer Verwendung der Karte die richtige PIN eingeben, um zu bestätigen, dass die Karte gerade von ihrem autorisierten Benutzer verwendet wird. Herkömmliche Mikroprozessorkarten weisen auch das Merkmal einer vorübergehenden oder permanenten Sperrung der Karte von einer Verwendung auf, wenn eine Abfolge von unrichtigen PIN Eingaben auf einer Station erfasst wird.
Zur Zeit der Ausgabe wird für die Karte, die gerade ausgegeben wird, ein Betrag in Geldwerten oder anderen Einheiten für gültig erklärt. In herkömmlichen Karten wird der Betrag permanent in einen einer Vielzahl von Transaktionssektoren in der geschützten Speicherzone geschrieben. Jedesmal, wenn die Karte mit einem neuen Betrag "gefüllt" werden soll, wird einer der Sektoren entsperrt und mit einem neuen Betrag von dem Ausgeber beschrieben. Somit kann ein begrenzter autorisierter Betrag jedesmal eingeschrieben werden und die Karte wird dann mehrmals wiederaufgefüllt, bevor ihr Speicherplatz aufgebracht ist. Dies ist ein Sicherheitsmerkmal zur Minimierung eines Geldverlusts für den Fall, dass die Karte verlorengeht oder gestohlen wird. Der autorisierte Betrag wird bei jeder Transaktion dekrementiert und ein neuer Stand wird eingeschrieben, bis der Stand aufgebraucht ist. Obwohl irgendein Betrag oder irgendein Stand in den Transaktionsspeicher der Karte geschrieben werden kann, kann die Karte als weiteres Sicherheitsmerkmal verhindern, dass ein Stand eingeschrieben wird, der eine vorgegebene Grenze oder einen vorher eingeschriebenen Stand überschreitet.
Ein automatisiertes Transaktionssystem mit Karte wird nun beschrieben. Es sei darauf hingewiesen, dass die Erfindung nicht auf Ausführungsformen beschränkt ist, obwohl bestimmte Ausführungsformen beschrieben werden, sondern sämtliche Modifikationen und Variationen beinhaltet, die die Prinzipien der Erfindung verwenden. Für den Zweck dieser Beschreibung wird für die Transaktionsstation eine Portomessstation zum Drucken einer Postmarke auf ein Etikett, einen Umschlag oder einen Begleitschein für Artikel, die versendet oder verschickt werden sollen, gewählt. Jedoch ist selbstverständlich, dass die allgemeinen Prinzipien der Erfindung eine breite Anwendbarkeit haben. Beispielsweise kann die Station auch eine Bargeld- oder Artikel- Ausgabemaschine oder ein Drucker sein, der Gültigkeitsüberprüfungsmarkierungen, Coupons, Belege, Fahrkarten, Inventurdokumente etc. druckt.
Portomessstation
Unter Bezugnahme auf 1 ist eine Mikroprozessorkarte 10, wie voranstehend beschrieben, dafür ausgelegt, um in einen Karteneinfügungsschlitz 11 einer automatisierten Stationseinrichtung 20 eingefügt zu werden. Die Smartkarte 10 weist einen Kontaktabschnitt 12 auf, der eine Anzahl von Kontakten 13 aufweist, die mit den Pinherausführungen eines IC Chips verbunden sind, der eine Mikroprozessoreinheit (Karten-MPU) 60 umfasst, die unter eine Schutzschicht des Kartenkontaktabschnitts 12 laminiert ist. Die Kontakte 13 werden mit entsprechenden Kontakten 23 eines Stationskontaktabschnitts 22 auf eine Einfügung der Karte 10 in den Schlitz 11 in die mit dem Pfeils A angedeutete Richtung in Eingriff gebracht. Wenn die Karte eingefügt ist, liegt ihre führende Kante an einem Teil des Stationskontaktabschnitts 22 an, der in die gleiche Richtung, mit einem Pfeil B angedeutet, bewegt wird, um so einen betriebsmäßigen elektrischen Kontakt mit dem Kartenkontaktabschnitt 12 einzugehen. Ein Auslöseschalter 22a ist an der Basis des Schlitzes 11 vorgesehen und triggert ein Startsignal an einen Operationsmikroprozessor (Stations-MPU) 30, wenn die Karte vollständig an ihre Position in dem Schlitz eingefügt worden ist.
Der Karten-MPU 60 führt ein intern gespeichertes (Firmware) Programm aus, um zu überprüfen, ob eine angeforderte Transaktion autorisiert ist und um vor einer Debitierung des Kartenkontostands eine gesicherte Handshake-Erkennungsprozedur (die nachstehend noch näher erläutert wird) mit einem Mikroprozessor in der Station auszuführen.
Obwohl die Handshake-Prozedur mit einem Operationsmikroprozessor für die Station oder einem zu der Station entfernten ausgeführt werden kann, wird in der Erfindung bevorzugt, dass die Prozedur mit einem gesicherten Mikroprozessor ausgeführt wird, der in dem tatsächlichen Wertausgabeabschnitt der Station eingebettet ist. Der Wertausgabeabschnitt ist ein getrenntes Element in der Station und sein Mikroprozessor wird physikalisch gesichert gemacht, beispielsweise durch Vergießen in Epoxydharz, so dass irgendein Versuch, daran herumzuhantieren, dazu führen würde, dass der Wertausgabeabschnitt außer Betrieb genommen wird. Für die postalische Transaktionsstation der Erfindung ist der Mikroprozessor in der Druckereinheit eingebettet, die das Postzeichen druckt.
Die Stationskontakte 23 werden mit den funktionellen Teilen der Station einschließlich einer Taktsynchronisationsverbindung 24, einer Rücksetzverbindung 25, einer Betriebsspannungs-Vcc-Verbindung 26, einem Eingabe/Ausgabe-(I/O)-Port 27, einer EPROM-Schreibspannungs-Vpp-Verbindung 28 und einer Masseverbindung 29 verbunden. Der Stations-MPU 30 steuert die Schnittstelle mit der Karte und den Betrieb der verschiedenen Teile der Station, einschließlich einer Tastatur 31, einer Anzeige 32, beispielsweise einer LCD Anzeige, und eines Postzeichen-Druckers 40, der der Wertausgabeabschnitt der Station ist. Eine Leistungsquelle Vo ist mit einer Batterie und/oder einer externen AC oder DC Leitung versehen, um die verschiedenen Teile der Station mit Energie zu versorgen.
Der Drucker 40 weist eine Mikroprozessoreinheit (Drucker-MPU) 41 auf, die individuell und in einzigartiger Weise den Betrieb eines Druckkopfs 42, beispielsweise eines elektrothermischen oder Anschlagdruckkopfs, steuert. Die MPU 41 führt ein internes Programm (Firmware) wie der Kartenmikroprozessor aus, so dass an ihm von außen nicht herumhantiert werden kann. Das interne Programm der Drucker-MPU umfasst einzigartige Verschlüsselungsalgorithmen parallel zu denjenigen, die in dem Mikroprozessor der Karte gespeichert sind, der von dem Hersteller installiert wird, so dass die Drucker-MPU eine gesicherte Handshake-Erkennungsprozedur mit dem Mikroprozessor der Karte ausführen kann, um eine angeforderte Transaktion zu autorisieren. Die MPU 41 ist auch integral mit dem Druckkopf 42 gebildet, beispielsweise durch Einbetten in Epoxydharz oder dergleichen, so dass auf sie ohne eine Zerstörung des Druckkopfs nicht zugegriffen werden kann. Somit kann der Druckkopf 42 der Portomessstation 20 nur durch die MPU 41 betrieben werden und wird ein Postzeichen nur dann drucken, wenn die Handshake-Erkennungsprozedur und ein Postzeichen-Druckbefehl zwischen der Karten-MPU und der Drucker-MPU 41 ausgeführt worden sind.
Wenn eine Station von dem Ausgeber an einem Ort installiert werden soll oder an ein Zwischengeschäft zur Feldverwendung verteilt werden soll, kann der Ausgeber eine Gültigkeitsüberprüfungs-Prozedur für die Station ausführen, die ähnlich wie diejenige für die Karte ist. Eine Geheimschlüsselnummer kann in die Geheimspeicherzone der Drucker-MPU 41 eingeschrieben werden, so dass Portodruck-Transaktionen nur mit Karten, die mit der entsprechenden Geheimschlüsselnummer versehen sind, ausgeführt werden können. Somit werden Karten, die von anderen Ausgebern für gültig erklärt werden, obwohl sie von dem gleichen Hersteller erhalten worden sind, in den Maschinen des zuerst erwähnten Ausgebers nicht verwendbar sein.
Die Stations-MPU kann natürlich für die Handshake-Erkennungsprozedur verwendet werden. Jedoch wird bevorzugt, dass die Prozedur von dem Teil ausgeführt wird, der tatsächlich den Wertposten ausgibt, und dass die Stations-MPU für andere Stationsoperationen betreibbar gelassen wird. Eine Maschinen-ID-Nummer (MIN) kann der Station ebenfalls zugewiesen werden, so dass sie in der auf der Karte geführten Transaktionsgeschichte aufgezeichnet werden kann. Als ein weiteres Merkmal kann die MIN für eine oder mehrere Stationen des Ausgebers in Karten gespeichert werden, die nur in diesen Stationen verwendet werden sollen. Somit können die Stationen in einem automatisierten Stationssystem, das für eine Firma vorgesehen ist, innerhalb der Firma nur mit den Karten verwendet werden, die an die Angestellten dieser Firma ausgegeben worden sind, die die Geheimschlüsselnummer der Firma besitzen und optional können die Stationen innerhalb einer Abteilung der Firma konfiguriert werden, um nur Karten anzunehmen, die mit dem MINs von Maschinen dieser Abteilung versehen sind.
Der interaktive Betrieb des Karten/Stationssystem wird nachstehend beschrieben. Auf eine Einführung einer Karte in einen Schlitz 11 hin wird der Auslöseschalter 22a getriggert und die Stations-MPU 30 initiiert eine Identifikationsaufforderungsprozedur, um zu bestätigen, dass die Karte gerade von einem autorisierten Benutzer verwendet wird. Beispielsweise kann die Stations-MPU das Erscheinen einer Eingabeaufforderung auf der Anzeige 32 bewirken, die den Benutzer auffordert, eine PIN einzugeben. Die von dem Benutzer eingegebene Zahl wird von der Stations-MPU an die Karten-MPU gesendet, wo sie mit der PIN Nummer (den PIN Nummern), die in der Geheimzone des Speichers der Karte gespeichert ist (sind), verglichen wird. Wenn die Zahl übereinstimmt, informiert die Karten-MPU die Stations-MPU 30, um weiterzumachen. Wenn die Karte zur Verwendung nur in bestimmten Maschinen beschränkt ist, kann die Karte die MIN der Station anfordern und sie mit einer gespeicherten Liste von autorisierten Stationsnummern vergleichen. Wenn die Station zur Verwendung nur mit bestimmten Karten beschränkt ist, dann kann die Station die PIN oder eine Kartenidentifikation oder eine Kontonummer mit einer gespeicherten Liste von autorisierten Kartennummern vergleichen. Als ein weiteres Sicherheitsmerkmal kann das Kartenprogramm die Anzahl von unrichtigen PIN Eingaben, die versucht werden, oder ein Kartenablaufdatum, das in einen Speicher zur Zeit der Ausgabe geschrieben wird, überprüfen. Wenn die Eingaben einer unrichtigen PIN eine vorgegebene Anzahl überschreiten oder wenn das von der Stations-MPU 30 angezeigte gegenwärtige Datum nach dem Ablaufdatum liegt, kann die Karten-MPU 60 die Karte gegenüber einer weiteren Verwendung sperren, bis der Benutzer sie von dem Ausgeber erneut für gültig erklärt gelassen hat.
Wenn die anfänglichen Bestätigungsprozeduren vorbei sind, fordert die Stations-MPU 30 den Benutzer als nächstes zur Eingabe von Information für eine Portotransaktion auf. Der Benutzer gibt auf einer Tastatur 31 den angeforderten Portobetrag und als weitere Option den Postleitzahlcode des Orts des Absenders und das Datum, ein. So wie die Information nacheinander zugeführt wird, d.h. "Betrag", "Postleitzahlcode" und "Datum", wird sie auf einer Anzeige 32 zur Bestätigung angezeigt. Alternativ kann das Datum von der Stations-MPU 30 geführt und für eine Benutzerbestätigung angezeigt werden. Wenn sämtliche richtige Information eingegeben worden ist, wird eine Kante eines Umschlags 51, der verschickt werden soll, oder ein Etikett oder ein Versendeformblatt, das an einem zu verschickenden Artikel angebracht werden soll, in einen Schlitz 50 auf einer Seite der Portomessstation 20 eingefügt. Die Bewegung des Etiketts oder des Umschlags kann gesteuert werden, um es/ihn zu dem Druckkopf auszurichten, wie in herkömmlichen Messmaschinen vorgesehen. Der Benutzer drückt dann die "Drucken" Taste, um eine Portodrucktransaktion zu initiieren.
Handshake-Erkennungsprozedur
Die tatsächliche Ausführung einer Wertaustauschtransaktion wird von einer gegenseitigen Handshake-Erkennungsprozedur zwischen einem gesicherten Mikroprozessor, der den Kartenkontostand führt und einem gesicherten Mikroprozessor, der den Wertausgabebetrieb steuert, gesichert ausgeführt. Die Karten-MPU muss den Mikroprozessor des Wertausgabeabschnitts als gültig erkennen, und umgekehrt, um eine Transaktion auszuführen. Der Karten- und der Wertausgabeabschnitt können deshalb jeweils autonom und gegenüber einer Fälschung oder einer betrugsmäßigen Verwendung geschützt bleiben, selbst wenn die Sicherheit des anderen durchbrochen worden ist. Da sie autonom sind, können die Karten und die Stationen weitläufig mit einem geringen Risiko eines Aufbrechens des Systems und ohne die Notwendigkeit für strikte Zugriffssteuerungen verteilt werden. Gegenüber herkömmlichen mit Karten automatisierten Transaktionssystemen weist es somit beträchtliche Kosten- und Sicherheitsvorteile auf.
Nachstehend wird eine verschlüsselte Zweiweg-Handshake-Ausführungsform beschrieben. Jedoch ist selbstverständlich, dass irgendeine gegenseitige Handshake-Prozedur, mit der die Karten- und Ausgabe-Mikroprozessoren die anderen als autorisiert erkennen können, um eine angeforderte Transaktion auszuführen, eingesetzt werden kann. In der bevorzugten Portostations-Ausführungsform wird die Handshake-Prozedur zwischen der Karten-MPU 60 und der Drucker-MPU 41 ausgeführt. Wenn das Signal der "Drucken" Taste von der Stations-MPU 30 empfangen wird, dann öffnet die letztere, wie schematisch in 2a dargestellt, einen Kanal 61 für eine Kommunikation zwischen der Karten-MPU 60 und der Drucker-MPU 61. Ein "Beginn" Signal und der Betrag der angeforderten Transaktion, d.h. des Portos, wird von der Stations-MPU 30 an die Karten- MPU 60 gesendet und ein ähnliches "Beginn" Signal wird an die Drucker-MPU 41 gesendet, um den Weg für eine Handshake-Prozedur vorzubereiten.
Unter Bezugnahme auf 2b initiiert die Karten-MPU 60 die Handshake-Prozedur auf einen Empfang des "Beginn" Signals hin, indem sie zunächst überprüft, ob der angeforderte Betrag für die Transaktion verfügbar ist. Als ein vorteilhaftes Merkmal überprüft die Karten-MPU 60 den verfügbaren Betrag der Karte und (wenn dies in dem Programm der Karte implementiert ist), ob die angeforderte Transaktion innerhalb irgendwelcher von dem Kartenausgeber spezifizierten Grenzen ist. Beispielsweise kann die Verwendung der Karte auf einen maximalen Portobetrag und/oder eine maximale Portoklasse für jede Transaktion oder eine kumulative Gesamtzahl von Transaktionen begrenzt werden. Nachdem festgestellt ist, dass die angeforderte Transaktion autorisiert ist, verschlüsselt die Karten-MPU 60 eine Objektzahl N, die eine zufallsmäßig erzeugte Zahl sein kann, mit einer Verschlüsselungszahl k1 (die die PIN des Benutzers sein kann), die in der Geheimzone ihres Speichers gespeichert ist, mit einem ersten Verschlüsselungsalgorithmus E1 und sendet das sich ergebende Wort W1 durch den Handshake-Kanal 61 der Stations-MPU 30 an die Drucker-MPU 41.
Auf einen Empfang des Worts W1 hin decodiert die Drucker-MPU 41 die Zahl unter Verwendung der gleichen Zahl k1 durch den inversen Algorithmus E1'. Die Zahl k1 kann eine in dem Speicher der Drucker-MPU zur Zeit einer Gültigkeitsüberprüfung gespeicherten Geheimschlüsselzahl sein, oder in einem offenen System kann sie die PIN sein, die von dem Benutzer auf der Station eingegeben wird, oder eine Kombination von beiden. Die Drucker-MPU 41 verschlüsselt dann die decodierte Zahl mit der Zahl k1 durch einen zweiten Verschlüsselungsalgorithmus E2, um ein zweites Wort W2 an die Karten-MPU 60 zurückzusenden.
Auf einen Empfang des Worts W2 hin decodiert die Karten-MPU 60 die Zahl wieder unter Verwendung der Schlüsselzahl k1 durch den inversen zweiten Algorithmus E2' und vergleicht die decodierte Zahl mit der Zahl, die sie bei der ersten Übertragung verwendet hat. Wenn die Zahlen übereinstimmen, dann ist die Handshake-Prozedur erfolgreich abgeschlossen worden und die MPUs der Karte und des Druckers haben einander als autorisiert erkannt, um die angeforderte Transaktion auszuführen. Die Karten-MPU zieht dann den Portobetrag von dem Kartenwert ab und sendet einen Druckbefehl und den Portobetrag an die Drucker MPU. Die Drucker-MPU druckt das Porto auf den Umschlag 51 in Zusammenarbeit mit der Stations-MPU 30, die die Bewegung des Umschlags unter dem Druckkopf steuert. Die Drucker-MPU sendet dann ein "Ende" Signal an die Stations-MPU 30, die dementsprechend den Handshake-Kanal 61 ausschaltet und sich selbst zurücksetzt, um die nächste Transaktionsaufforderung zu empfangen.
In der bevorzugten Ausführungsform speichert die Karten-MPU 60 nur den Betrag der Transaktion in ihrer Transaktionsaufzeichnung und sie speichert den neuen Stand nicht. Anstelle davon wird der Stand aus dem ursprünglich autorisierten Betrag und der gespeicherten Geschichte von Transaktions-Debitierungen zu der Zeit neu berechnet, wenn eine Transaktion angefordert wird. Diese Prozedur ersetzt die Rechenkraft der MPU, um einen beträchtlichen Betrag des EPROM Speicherplatzes der Karte einzusparen.
Das mit Karten automatisierte Transaktionssystem ist mit einer hohen Sicherheit auf einer Vielzahl von Ebenen versehen, was besonders vorteilhaft für Off-line-Transaktionen ist, bei denen eine große Anzahl von ausgegebenen Karten und weitläufig verteilte Stationseinrichtungen beteiligt sind. Wie in 3 dargestellt sind die Verschlüsselungsalgorithmen auf der ersten Sicherheitsebene I von dem Hersteller vorgesehen, der Geheimschlüssel, PIN, und/oder MIN sind von dem Ausgeber auf der Sicherheitsebene II vorgesehen, die PIN wird auf der Sicherheitsebene III von einem bestimmten Benutzer verwendet und die MIN und/oder der Geheimschlüssel wird auf einer Sicherheitsebene IV verwendet, um eine bestimmte (bestimmte) Maschine (Maschinen) zu betreiben.
Auf der Ebene I ist der Druckkopf der Station nur dann betreibbar, um einen Wert auszugeben, d.h. ein Porto zu drucken, wenn die von dem Hersteller vorgesehenen Verschlüsselungsalgorithmen mit denjenigen der Karte übereinstimmen, um dadurch einen Schutz gegen gefälschte Karten und Stationen bereitzustellen. Selbst wenn die Sicherheit des Herstellers aufgebrochen worden ist und die Verschlüsselungsalgorithmen von einem Fälscher ermittelt worden sind, kann ein Geheimschlüssel auf der Ebene II von dem Ausgeber zugeordnet und bei der Handshake-Prozedur verwendet werden, wodurch die Verwendung von gefälschten Karten und Stationen, die den Geheimschlüssel nicht aufweisen, verhindert wird. Auf der Sicherheitsebene III kann eine Karte zum Betreiben einer Station nur dann verwendet werden, wenn die richtige PIN bekannt ist und wenn anfängliche Bestätigungsprozeduren durchlaufen sind. Auf der Sicherheitsebene IV kann eine Karte nur in einer bestimmten Station, die von der richtigen MIN identifiziert wird, verwendet werden.
Eine verwandte Ausführungsform ist in 4 dargestellt, die eine zweite Karte mit postalischen Kartendaten verwendet, die in einem Speicher gespeichert sind, um das richtige Porto automatisch zu berechnen. Eine Station 20, ähnlich wie die voranstehend beschriebene umfasst einen zweiten Schlitz 91 für eine "Raten" Karte 90. Die Station weist einen Schlitz 50 auf, in den ein postalisches Etikett oder ein Umschlag 51 eingefügt wird, um von dem Drucker 40 bedruckt zu werden. Für ein Paket 52 wird das Etikett 51 dann an dem Paket zur Versendung angebracht. Eine Waage 53 kann mit der Station und der MPU 30 verbunden sein, um das Gewicht des Umschlags oder des Pakets 52 bereitzustellen.
Die Ratenkarte weist eine Speichereinrichtung 92 auf, vorzugsweise ein IC ROM, auf die von der Stations-MPU 30 durch den Kontaktabschnitt 93, der in Kontakt mit den Stiftanschlüssen der Speichereinrichtung in Eingriff steht, zugegriffen wird und von der Stations-MPU 30 gelesen wird. Schalter 22a und 92a stellen Signale bereit, wenn die Benutzer- und Ratenkarten in die jeweiligen Schlitze eingefügt worden sind. Eine Einfügung der Benutzerkarte initiiert einen Betrieb der Station. Wenn eine Ratenkarte nicht eingefügt ist, kann die Stations-MPU 30 anstelle davon den geeigneten postalischen Betrag von dem Benutzer durch eine Eingabeaufforderung auf der Anzeige 32 anfordern. Die Stations-MPU kann auch einen Modus zum Lesen von postalischen Raten (Gebühren) von der Ratenkarte aufweisen.
Der Programmbetrieb der Porto-Messstation 20 ist in Blockschaltbildform in 5 dargestellt. Auf eine Einfügung der Benutzerkarte 10 in den Schlitz 11 hin werden die voranstehend beschriebenen Benutzerbestätigungsprozeduren zwischen der Stations-MPU 30 und der Karten-MPU 60 ausgeführt. Wenn eine nicht autorisierte Karte oder ein nicht autorisierter Benutzer erfasst wird, dann wird die Karte gesperrt und die Stationsoperationen werden beendet. Wenn eine gültige Benutzerkarte bestätigt wird, dann überprüft das Stationsprogramm, ob eine Ratenkarte 90 eingefügt ist und ob sie gültig ist. Die Gültigkeit kann durch die Ausgabenummer der Karte oder durch ein angezeigte Ablaufdatum angezeigt werden. Wenn keine Ratenkarte vorhanden ist, dann fordert die Stations-MPU den Benutzer auf, das gewünschte Porto einzugeben und geht zu dem Druckschlüssel-Entscheidungsblock 97. Wenn ein gültige Ratenkarte vorhanden ist, dann fordert das Stationsprogramm die Codes für den Absendeort und den Zielort des Artikels und die gewünschte Postgutklasse an. Das Programm prüft dann nach einem Signal von der Waage 53, die das Gewicht des Artikels anzeigt. Wenn keine Waage angeschlossen ist oder kein Gewicht angezeigt wird, dann fordert das Programm den Benutzer auf, die Information einzugeben.
Der Ratenkarten-Speicher enthält eine gegenwärtige Auflistung der Raten für einen bestimmten Beförderer aufgeteilt gemäß der Zonenklassifikationen, dem Gewicht und/oder dem Postguttyp. Für den U.S. Postdienst wird der Portobetrag auf Grundlage der Postleitzahlcodes des Absendeorts und des Zielorts, der Postgutklasse und des Gewichts berechnet, indem in Tabellen nachgeschlagen wird, die in dem Ratenkarten-Speicher 92 gespeichert sind. Wenn die "Drucken" Taste gedrückt wird, dann sendet das Stationsprogramm das "Beginn" Signal an die Karten-MPU und an die Drucker-MPU, um die Handshake-Prozedur und Debitierungs- und Druckoperationen wie voranstehend beschrieben auszuführen. Wenn eine "Auto" Modus-Taste der Station gedrückt worden ist oder der Benutzer wählt, im Ansprechen auf eine Eingabeaufforderung fortzufahren, dann kehrt das Stationsprogramm an den Beginn der Transaktionsschleife, die mit dem Block 94 bezeichnet ist, zurück. Der "Auto" Modus kann auch im Zusammenhang mit einem automatischen Zuführer zur Postmarkierung einer Serie von Umschlägen oder Etiketten verwendet werden. Der Stationsbetrieb wird beendet, wenn die Transaktionsschleife nicht fortgesetzt wird oder wenn die Handshake-Prozedur nicht abgeschlossen ist.
Postmarken-Autentifizierung
Es wird nun eine Postmarken-Autentifizierungsprozedur beschrieben. Die Prozedur ist als ein Sicherheitsmerkmal vorgesehen, um das Drucken eines gefälschten Portozeichens von einem Drucker, Kopierer oder einer anderen Faksimileeinrichtung zu verhindern, die von dem Ausgeber des voranstehend beschriebenen Karten/Stationssystems nicht autorisiert ist. Herkömmliche Hochauflösungsdrucker und Graphikmöglichkeiten von Personalcomputern stellen ein zunehmendes Risiko dar, das Wertbestätigungszeichen, wie beispielsweise Postzeichen, Tickets, Coupons, etc. durch einen Fälscher simuliert werden können. In dem vorliegenden System wird ein darunter liegender und/oder unsichtbarer Maschinen-lesbarer Code zuerst gedruckt und dann mit einer vom Menschen lesbaren Portomarke überdruckt. Der Code kann von dem Ausgeber des Portokarten/Stationssystems in einzigartiger Weise gewählt und periodisch geändert werden, um irgendwelche Vorteile zu verhindern, wenn ein nicht autorisierter Zugriff auf den Code erreicht wird. Ferner kann der Code mit Farbe gedruckt werden, die in dem normalen Lichtspektrum unsichtbar ist, so dass er nur mit einem magnetischen, infraroten oder ultravioletten Leser lesbar ist.
Unter Bezugnahme auf ein in 6a und 6b gezeigtes Beispiel weist eine herkömmliche gedruckte Portomarke (Postzeichen) ein Logo oder ein graphisches Design 70, einen Text 71, der anzeigt, dass das Porto durch den U.S. Postdienst ausgegeben wird, Zahlen 72, die den Portobetrag anzeigen, sowie das Datum 73, die Stadt 74, das Land 75 und den Postleitzahlcode 76 des Absendeorts und die Identifikationsnummer 77 der Frankiermaschine, von der das Postzeichen gedruckt wurde, auf. Codierte Zeichen 78 werden unterhalb des sichtbaren Postzeichens in einem vorgegebenen Codefeld 79 in unsichtbarer, von einer Maschine lesbarer Farbe gedruckt. Der Algorithmus für die codierten Zeichen wird von dem Ausgeber gewählt, wobei beispielsweise das binäre Äquivalent des Portobetrags, d.h. "90" Cents in 6a, dargestellt wird, was in binärer Form in 6b gezeigt ist. Die codierten Zeichen können irgendein anderes Element des Postzeichens sein, beispielsweise die Maschinen-Identifikationsnummer oder ein Postleitzahlcode. Alternativ kann ein Strichcode 83 mit einem Postzeichen-Informationsabschnitt 83a und einem Prüfcodeabschnitt 83b gedruckt werden, die auf Grundlage der Postzeichenelemente verschlüsselt werden. Das Postzeichenelement und/oder der Verschlüsselungsalgorithmus kann in einzigartiger Weise von dem Ausgeber gewählt werden. Sogar wenn die codierten Zeichen in sichtbarer Form gedruckt werden, wird die Verschlüsselung eines variablen Postzeichenelements, beispielsweise des Postleitzahlcodes des Absenders, des Datums oder des Portobetrags, Kopieren erschweren.
Das Drucken des Portozeichen- und Autentifizierungscodes kann einfach in dem Karten/Stationssystem, das in 1 gezeigt ist, eingebaut werden. Der Drucker 42 ist mit einem Speicher 43 versehen, an den Daten, die die sichtbare Information des Postzeichens und den berechneten binären oder einen anderen gewählten Prüfcode oder einen umgewandelten Strichcode darstellen, von der Stations-MPU 30 gesendet werden und in dem diese Daten gespeichert werden. Die Festgraphik des Postzeichens kann in einem der MPU 30 zugeordneten Speicher gespeichert werden, was bevorzugt wird, wenn die gleiche Station die Möglichkeit eines Druckens einer Vielzahl von Postzeichengraphiken von verschiedenen Beförderern und/oder Dienstklassen aufweist, oder sie kann permanent in einem Abschnitt des Druckerspeichers 43 gespeichert werden. Die feste Graphik kann anstelle davon in dem Speicher einer Karte gespeichert werden und von der Stations-MPU 30 in dem Druckerspeicher 43 für eine angeforderte Transaktion geladen werden. Alternativ kann die feste Graphik auf einer Druckwalze vorgesehen werden, die mit dem Druckkopf arbeitet, wenn nur ein Typ von Postzeichen gedruckt werden soll.
In der bevorzugten Ausbildung ist der Druckkopf 42 ein Anschlagdrucker, der zwei Farbbänder 42a und 42b aufweist, eines mit unsichtbarer von einer Maschine lesbarer Farbe und das andere mit einer sichtbaren Farbe. Wenn die Handshake-Prozedur abgeschlossen worden ist und der Druckbefehl von der Karten-MPU 60 ausgegeben worden ist, dann greift die Drucker-MPU 41 auf die in dem Speicher 43 gespeicherten Daten zu und druckt in einem ersten Durchlauf die codierten Zeichen in unsichtbarer Farbe und druckt dann in einem zweiten Durchlauf die sichtbare Postzeicheninformation.
Wie in 6a dargestellt, wenn Postgut oder andere Artikel danach an ein zentrales Postgutverzweigungs- und Verteilungssystem, beispielsweise dasjenige des U.S. Postdienstes oder eines privaten Beförderers, gebracht werden, dann kann das Postzeichen unter einen Detektor 80 geführt werden, der einen Leser 81 für ein sichtbares Lichtspektrum und einen Codeleser 82, beispielsweise einen magnetischen, infraroten oder ultravioletten Leser, oder einen Strichcodeleser 83 für Strichcodezeichen, aufweist. Wenn die Codezeichen nicht vorhanden sind oder wenn der Prüfcode nicht mit dem Element des für eine Codierung gewählten Postzeichens übereinstimmt, kann eine Audit-Aufzeichnung über die fehlende Übereinstimmung durchgeführt werden, beispielsweise durch Aufzeichnen der Maschinen-Identifikationsnummer, des Datums und des Postleitzahlcodes des Absendeorts. Eine Untersuchung der Quelle des nicht autorisierten Portos kann dann eingeleitet werden, wenn zahlreiche Artikel angetroffen werden, die nicht autorisierte Postzeichen führen. Die Postzeichen-Autentifizierungszeichen der Erfindung stellen somit eine zusätzliche Sicherheitsebene gegenüber einer Fälschung bereit, was in herkömmlichen postalischen Messmaschinen nicht angeboten wird.
Station für einen postalischen Begleitschein
Eine weitere Modifikation ist in 7 dargestellt, die zum Drucken von standardmäßigen Begleitscheinen für Versendeartikel unter Verwendung eines breiten Bereichs von postalischen oder privaten Befördererdiensten ausgelegt ist. Eine Station 20' enthält einen Schlitz 11 für eine Benutzerkarte 10, eine Stations-MPU 30, einen Drucker 40 und eine Drucker-MPU 41, eine Tastatur 31' und eine Anzeige 32', wie voranstehend unter Bezugnahme auf 1 beschrieben. Die Station enthält auch einen zweiten Schlitz 91 für eine "Raten" Karte 90 und einen dritten Schlitz 101 für eine "Spezialdienste" Karte 100. Die Station weist auch einen Schlitz 50 auf, in den ein standardmäßiger Begleitschein 51' eingefügt wird, um von dem Drucker 40 bedruckt zu werden. Der Begleitschein 51' wird dann an dem Umschlag oder dem Paket 52 zur Versendung angebracht. Eine Waage 53 kann mit der Station und der MPU 30 verbunden sein, um automatisch das Gewicht des Pakets 52 bereitzustellen.
Die Raten- und Spezialdienste-Karten weisen Speichereinrichtungen 92 bzw. 102 auf, die vorzugsweise IC ROMs sind, auf die von der Stations-MPU 30 durch Kontaktabschnitte 93 bzw. 103, die in Kontakt mit den Stiftanschlüssen der Speichereinrichtungen stehen, zugegriffen werden und von denen die Stations-MPU 30 liest. Schalter 22a, 92a und 102a stellen Erfassungssignale bereit, wenn die Karten in die jeweiligen Schlitze eingefügt worden sind. Eine Anzeige 32' stellt ein vollständiges Feld entsprechend dem Erscheinungsbild des Begleitscheins bereit und die Tastatur 31' umfasst einen vollständigen Satz von alphanumerischen Zeichen und Befehlstasten.
Der Ratenkarten-Speicher enthält eine gegenwärtige Auflistung der Raten für einen bestimmten Beförderer. Wenn beispielsweise der Beförderer der U.S. Postdienst ist, dann werden die Postamt-Raten gemäß der Zonen-Klassifikationen, dem Gewicht und der Postgutklasse aufgelistet. Der Speicher der Spezialdienste-Karte enthält ein Programm zum Ausfüllen eines standardmäßigen Begleitscheins gemäß der Information und gemäß der Zeichen, die von dem Postdienst eines bestimmten Beförderers angefordert werden und die diesen Postdienst identifizieren. Wenn beispielsweise der Beförderer der U.S. Postdienst ist, dann kann die Spezialdienst-Karte die Programme zum Drucken von Begleitscheinen für Expresspostgut, zertifiziertes Postgut, eingeschriebenes Postgut, versichertes Postgut, etc. bereitstellen.
Der Programmbetrieb der postalischen Begleitschein-Station 20' ist in Blockschaltbildform in 8 dargestellt und ein Beispiel eines Begleitscheins ist in 9 gezeigt. Auf eine Einfügung der Benutzerkarte 10 in den Schlitz 11 hin werden die Benutzerbestätigungsprozeduren, die voranstehend beschrieben wurden, zwischen der Stations-MPU 30 und der Karten-MPU 60 ausgeführt. Wenn eine nicht autorisierte Karte oder ein nicht autorisierter Benutzer erfasst wird, dann wird die Karte gesperrt und die Stationsoperationen werden beendet. Mit einer gültigen Benutzerkarte überprüft das Stationsprogramm dann, ob eine Ratenkarte 90 und/oder eine Spezialdienste-Karte 100 eingefügt ist und ob jede gültig ist. Eine Gültigkeit kann durch die Ausgabenummer der Karte oder durch ein angezeigtes Ablaufdatum bestimmt werden. Wenn keine Ratenkarte oder Spezialdienste-Karte vorhanden ist, dann fordert die Stations-MPU den Benutzer auf, das gewünschte Porto einzugeben und geht dann zu dem Drucktasten- Entscheidungsblock 121. Die Station wird dann verwendet, um ein Postzeichen zu drucken oder ein Portoetikett zu bedrucken, wie voranstehend beschrieben. Wenn eine gültige Dienste-Karte vorhanden ist, dann zeigt das Stationsprogramm ein Menü von Versende- oder Befördererdiensten von der Dienste-Karte an und fordert den Benutzer auf, einen Dienst zu wählen.
Die Stations-MPU 30 lädt das gewählte Dienstprogramm von der Dienstkarte und führt es aus, wie mit dem Block 118 angezeigt. Für typische Befördererdienste zeigt das Dienstprogramm einen standardmäßigen Beförderer-Begleitschein an, der von dem gewählten Beförderer verwendet wird. Wenn beispielsweise der Expresspostgut-Dienst des U.S. Postdienstes gewählt wird, wird der in 9 gezeigte Schein angezeigt. Der Schein enthält ein Beförderer-Identifikationsfeld 130, ein Dienstklassen-Feld 131 und Zeiger auf der Anzeige zum Einfügen der Information in die Felder 132–137 und 140–146. Eine Begleitschein-Identifikationsnummer in einem Strichcode 138 und Zeichen 139 werden für die Transaktion gewählt und angezeigt. Vorzugsweise weist die Dienste-Karte eine Liste von reservierten Begleitschein-Nummern auf, die sequentiell für jede abgeschlossene Transaktion inkrementiert werden. Wenn eine Transaktion nicht beendet ist, dann wird die Nummer für die nächste Transaktion aufgespart. Wie voranstehend beschrieben kann der Strichcode einen Abschnitt enthalten, der eine Verschlüsselung eines Elements der Begleitschein-Information ist, so dass die Authentizität des Scheins von einer Maschinen-Verarbeitung des Begleitscheins überprüft werden kann.
Das Dienste-Programm, so wie es von der Stations-MPU 30 ausgeführt wird, verwendet als nächstes Cursor-Eingabeaufforderungen, um den Benutzer aufzufordern, Information für bestimmte Felder bereitzustellen, beispielsweise die Postleitzahlcodes oder den Absendeort und den Zielort 132 und 133 und die Adressen des Absenders und des Empfängers 140 und 141. Wenn der Benutzer jeder einzelne Information zuführt und eine "Eingabe" Taste drückt, dann veranlasst das Programm den Cursor, sich auf das nächste Informationsfeld, welches eingefüllt werden soll, zu verschieben, wie mit den Pfeilen C in 9 angedeutet. Die Felder 134 und 135 für das Datum und die Zeit können von dem Benutzer angefordert werden oder von der Station zugeführt werden, wenn sie mit einer Uhr und einem Kalender versehen ist. Das Gewicht 136 kann von dem Ausgang der Waage 53 bereitgestellt werden, wenn sie mit der Station verbunden ist, oder es kann von dem Benutzer zugeführt werden. Die Maschinen-Identifikationsnummer (MIN) wird von der Station für das Feld 137 zugeführt.
Auf Grundlage der Postleitzahlcodes des Absendeorts und des Zielorts und des Gewichts werden der Portobetrag, andere Dienstkosten und der Gesamtbetrag 144–146 kalkuliert und unter einer Programmsteuerung unter Verwendung der Ratenkarte, wenn geeignet, angezeigt. Der gesamte Transaktionsbetrag wird gespeichert. Wenn die "Drucken" Taste gedrückt wird, dann sendet das Stationsprogramm das "Beginn" Signal an die Karten-MPU und die Drucker-MPU, um die Handshake-Prozedur und die Debitierungs- und Druckoperationen wie voranstehend beschrieben auszuführen. Wenn eine "Auto" Modus-Taste der Station gedrückt wird oder der Benutzer wählt, im Ansprechen auf eine Eingabeaufforderung fortzufahren, dann kehrt das Stationsprogramm an den Beginn der Transaktionsschleife zurück, wie mit dem Block 113 angedeutet. Die Stationsoperation wird beendet, wenn die Transaktionsschleife nicht fortgesetzt wird oder wenn die Handshake-Prozedur nicht beendet ist.
Die Station kann zum Programmieren und zum Drucken der Begleitscheine von anderen gewählten Beförderern oder Diensten durch Einfügen der geeigneten Benutzer-, Raten- und/oder Dienst-Karten verwendet werden. Für die Bequemlichkeit des automatisierten Stations-Systems ist es wünschenswert, wenn sämtliche postalischen und Begleitschein-Ausbildungen auf eine oder eine begrenzte Anzahl von Ausbildungsvorlagen standardisiert werden können.
Wiederauffüllungs-Station
Eine andere Modifikation ist die Bereitstellung einer Benutzerkarten-Wiederauffüllungsstation, die an irgendeiner gewünschten postalischen Geschäfts- oder Verteilungsstelle für die Bequemlichkeit des Ausgebers der Karten oder Benutzer geführt werden kann. Ein neuer Betrag kann in die Benutzerkarte "gefüllt" werden, d.h. an einen autorisierten Betrag, der in der Benutzerkarte geführt wird, kreditiert werden, und eine Master-Wiederauffüllungskarte mit einem größeren Betrag zur Verteilung wird entsprechend debitiert. Die gesicherte Handshake-Erkennungsprozedur wird ausgeführt, bevor die Transaktion autorisiert wird. Die Wiederauffüllungs-Station kann auch verwendet werden, um neue Karten für gültig zu erklären, die ausgegeben werden sollen.
Eine beispielhafte Ausführungsform der Wiederauffüllungs-Station ist in 10 gezeigt, mit einem ersten Schlitz 161 für eine Master-Wiederauffüllungskarte 160, einem zweiten Schlitz 171 für eine Supervisor-Karte 170, einem dritten Schlitz 174 für eine Benutzerkarte 10, einem Stationsmikroprozessor 30'', einer Tastatur 31'' und einer Anzeige 32". Jede Karte ist von dem voranstehend beschriebenen Typ mit gesicherten Mikroprozessoren (MPU) 162, 172 bzw. 60 in Kontakt mit den jeweiligen Anschlusskontakten 163, 173 und 175. Schalter 162a, 172a und 176 stellen Erfassungssignale bereit, wenn die Karten in ihre jeweiligen Schlitze eingefügt sind. Der Betrieb der Stations-MPU 30'' wird nach einer Einführung einer Masterkarte 160 und einer Supervisor-Karte 170 freigeschaltet.
Eine Master-Wiederauffüllungskarte wird anfänglich von einem zentralen Ausgeber gekauft, beispielsweise dem U.S. Postdienst, einem autorisierten Händler für den zentralen Ausgeber, oder einer privaten Befördererfirma. Sie ist allgemein dafür vorgesehen, um von einer lokalen Wiederauffüllungs-Einheit gekauft zu werden, die einen Dienst für einzelne Benutzer bereitstellt, beispielsweise einer Bankzweigstelle, einem Geschäft oder einer Firmenabteilung. In der bevorzugten Ausführungsform ist sie mit einem festen Wert hergestellt und bleibt gesperrt, bis sie von einer Supervisor-Karte des zentralen Ausgebers aktiviert wird. Die für die Handshake-Prozedur verwendeten Verschlüsselungsalgorithmen sind bereits in ihre MPU-Firmware geschrieben und sie wird aktiviert, um die Handshake-Prozedur auszuführen, wenn die Geheimschlüsselzahl von einer Supervisor-Karte während der Aktivierungsprozedur installiert wird. Sobald sie aktiviert ist, wird der Masterkarten-Stand für Wiederauffüllungs-Transaktionen debitiert, bis er verbraucht ist. Eine Historie von sämtlichen Debitierungs-Transaktionen wird in der Masterkarte geführt.
Eine Supervisor-Karte wird von dem zentralen Ausgeber in den Gewahrsam einer Person oder eines Managers der lokalen Wiederauffüllungs-Einheit gegeben und eine Supervisor-PIN wird zugewiesen. Die Supervisor-Karte wird verwendet, um sämtliche Masterkarten zu entsperren, die an die Wiederauffüllungseinheit verkauft worden sind, und um eine Aufzeichnung der Seriennummern der Masterkarten für nachfolgende Kartenbestätigungsprozeduren zu führen. Sie wird verwendet, um Kreditierungstransaktionen an Benutzerkarten zu autorisieren und führt eine Transaktionsaufzeichnung von sämtlichen Wiederauffüllungsoperationen und der Identität der Empfänger-Benutzerkarten. Die Supervisor-Karte wird mit den Handshake-Verschlüsselungsalgorithmen in einer Firmware hergestellt und kann von dem zentralen Ausgeber mit einer Geheimschlüsselnummer versehen werden, die in den Master- und Benutzerkarten installiert werden soll. Die Master- und Supervisorkarten zusammen ermöglichen, dass Benutzerkarten in zweckdienlicher Weise an weitläufig verteilten lokalen Einheiten ohne das Erfordernis einer On-line-Bestätigung jeder Wiederauffüllungstransaktion von dem zentralen Ausgeber wiederaufgefüllt werden können. Alternativ kann die Benutzerkarte von der Masterkarte alleine wiederaufgefüllt werden, wobei die Handshake-Prozedur zwischen der MPU der Benutzerkarte und der MPU der Masterkarte ausgeführt wird. Jedoch ist die Verwendung einer steuernden Supervisor-Karte als eine zusätzliche Sicherheitsebene zum Abwehren einer Fälschung oder einer betrugsmäßigen Verwendung der Masterkarten mit dem höheren Wert bevorzugt.
Der Betrieb der Wiederauffüllungs-Station wird nun für das bevorzugte System mit drei Karten unter Bezugnahme auf das Blockschaltbild in 11 beschrieben. Auf eine Initiierung des Stations-Programms hin wird die Masterkarte im Block 180 überprüft, um zu bestimmen, ob sie bereits aktiviert ist. Wenn nicht, dann folgt die Station einer Aktivierungsprozedur im Block 181 zum Bestätigen der Supervisor-PIN, zum Überprüfen der Masterkarten-Seriennummer, zum Installieren einer Geheimschlüsselzahl in der Masterkarte, zum Ausführen der Handshake-Prozedur, dann zum Entsperren des Kontostands der Masterkarte und zum Aufzeichnen der Seriennummer, des Kontostands, des Datums und anderer Transaktionsinformation der Masterkarte.
Wenn die Masterkarte bereits aktiviert worden ist, überprüft die Supervisorkarte die Seriennummer der Masterkarte gegenüber ihrer Aufzeichnung von autorisierten Masterkarten. Wenn die Masterkarte nicht autorisiert ist, dann geht das Stationsprogramm zu einer Endprozedur im Block 197. Mit einer autorisierten Masterkarte überprüft das Stationsprogramm, ob die in die Station eingefügte Benutzerkarte neu ist oder wiederaufgefüllt werden soll. Für eine neue Benutzerkarte führt die Wiederauffüllungsstation an den Blöcken 190–193 eine Gültigkeitsüberprüfungs-Prozedur aus, die ein Überprüfen der bestimmten Kartenseriennummer mit der in ihrem Speicher eingebetteten Nummer, ein Aufzeichnen der Identifikationsinformation des Benutzers und ein Zuweisen einer Benutzer-PIN enthält. Im Block 192 fordert die Station den Betreiber zur Eingabe von irgendwelchen Beschränkungen hinsichtlich der Beträge oder des Typs von Transaktionen, für die die Karte verwendet werden kann, der Identifikationsnummern der Stationen, auf die die Karte beschränkt ist, oder eines Ablaufdatums, wenn von dem Ausgeber benötigt, auf. Die Gültigkeitsüberprüfungs-Prozedur wird beendet, indem die Geheimschlüsselnummer installiert und die Geheimspeicherzone verschlossen wird.
Wenn die Benutzerkarte wiederaufgefüllt werden soll, wird die Benutzer-PIN bestätigt und dann wird die Karte auf irgendeinen Kontostand geprüft, der in Richtung auf den neuen Betrag oder auf das Konto des Benutzers hin kreditiert werden soll. Der alte Speicherabschnitt wird dann für weitere Transaktionen gesperrt und kann nur zum Auslesen einer Transaktionshistorie verwendet werden. Auf eine Aufforderung nach einem neuen Betrag hin, entweder für eine neue Karte, die für gültig erklärt worden ist, oder für eine Karte, die wiederaufgefüllt werden soll, eröffnet die Stations-MPU 30'' einen Handshake-Kanal und die voranstehend beschriebene Handshake-Prozedur wird zwischen der Master-MPU 162 und der Supervisor-MPU 172 ausgeführt. Wenn die Handshake-Prozedur beendet ist, wird der Master-Kontostand debitiert und die Supervisorkarte schreitet fort, um einen neuen Transaktionsspeicherabschnitt in der Benutzerkarte zu öffnen, in die der neue Stand geschrieben wird. Das Programm stellt dann am Block 197 eine Endauswahl von weiteren Operationen bereit, die auf der Wiederauffüllungs-Station ausgeführt werden können. Beispielsweise kann eine andere Wiederauffüllungs-Transaktion verarbeitet werden, die Supervisorkartenaufzeichnung kann aktualisiert werden, auf die neu für gültig befundene Benutzer- oder Masterkarte kann eine Seriennummer oder eine Kontonummer eingeprägt werden, wenn die Station mit einer Prägemaschine verbunden ist, oder Operationen können beendet werden.
Das beschriebene Wiederauffüllungs-System ist auf verschiedenen Sicherheitsebenen geschützt. Zunächst wird eine Supervisor-Karte benötigt und die Benutzerkarte muss durch die Benutzer-PIN für gültig erklärt werden. Die Masterkarte muss von der Supervisor-Karte für gültig erklärt werden und muss die Handshake-Prozedur ausführen, bevor die Benutzerkarte mit einem neuen Betrag kreditiert wird. Das Karten/Stationssystem weist den hauptsächlichen Vorteil auf, dass die Debitierung des Kartenstands in dem gleichen Zeitrahmen ausgeführt wird, in dem der Wert-Ausgabebetrieb ausgeführt wird und der Austausch für jede Transaktion nur dann ausgeführt werden kann, wenn die gegenseitige Handshake-Erkennungsprozedur zwischen den gesicherten Mikroprozessoren, die jeden Teil steuern, ausgeführt wird. Ferner kauft der zentrale Ausgeber das Karten/Stationssystem von dem Hersteller mit einem gegebenen Satz von Verschlüsselungsalgorithmen und wählt dann einen einzigartigen Geheimschlüssel, der dem Hersteller nicht bekannt ist. Somit wird ein Eindringen in die Sicherheit des Herstellers die Sicherheit des Systems des Ausgebers nicht kompromittieren. Durch Ausgeben von Karten mit definierten Ablaufdaten oder Seriennummern oder durch periodisches Ändern der Geheimschlüssel kann ein Ausgebersystem für Fälscher noch undurchdringbarer gemacht werden.
Die Benutzerkarte ist nicht lediglich eine passive Aufzeichnung einer Kontonummer und eines Kontostands, sondern arbeitet anstelle davon, um einen echten Schutz gegenüber einer nicht autorisierten Verwendung der Karte bereitzustellen, beispielsweise, wenn eine Abfolge von unrichtigen PIN-Eingaben durchgeführt wird, wenn die Karte über ihr Ablaufdatum hinaus oder in einer nicht autorisierten Maschine verwendet wird, oder wenn eine angeforderte Transaktion über vorgegebene Grenzen hinausgeht. In ähnlicher Weise ist der Wert-Ausgabeteil der Station durch das physikalische Verbinden des Drucker-Mikroprozessors mit dem Druckkopf davor geschützt, dass an ihm herumhantiert wird.
Da ferner die postalischen und Wiederauffüllungs-Transaktionen mit Karten ausgeführt werden, die von einem zentralen Ausgeber ausgegeben werden, und nur in dem System des Ausgebers stattfinden, sind sie vor gefälschten Karten oder Karten, die von einem anderen System ausgegeben werden, geschützt. Ein System eines Ausgebers bleibt somit gegenüber Systemen von sämtlichen anderen Ausgebern verschlossen und mehrere Systeme können die gleichen Stationen ohne eine gegenseitige Störung verwenden. Beispielsweise können der U.S. Postdienst und mehrere private Beförderer jeweils ein getrenntes Ausgeber-System bilden, das seine eigenen Karten ausgibt. Ein Benutzer kann eine Karte von jedem System kaufen und die richtige Karte in jeder Station, die an einer lokalen Einheit (Zweigstellen-Postamt, Bankzweigstelle, lokales Geschäft) geführt wird, verwenden, um ein autorisiertes Porto oder einen autorisierten Begleitschein zur Verwendung in dem entsprechenden System zu erzeugen. Dann werden Benutzer den Vorteil eines gesicherten und bequemen Zugriffs auf einen breiten Bereich von postalischen und Befördererdiensten aufweisen.
Wie oben beschrieben, umfassen die Mikroprozessorkarten (Benutzer, Master und Supervisor), die Speicherkarten (Raten und Spezialdienste) und die Stationen (Messstation, Begleitschein-Druckstation und Wiederauffüllungs-Station) bilden ein integriertes postalisches Transaktionssystem, das im Vergleich mit herkömmlichen postalischen Maschinen einen beträchtlich verbesserten Zugriffs-, Zweckdienlichkeits- und Sicherheitsgrad aufweist. Das Gesamtsystem ist in 12 dargestellt. Es ermöglicht, dass weitläufig ausgegebene Benutzerkarten in weitläufig verteilten Portomess- und Begleitschein-Druckstationen verwendet werden, mit den geeigneten Raten- und/oder Dienstkarten, um auf eine Vielzahl von postalischen und Fördererdiensten zuzugreifen. Die Wiederauffüllungs-Stationen ermöglichen einem zentralen Ausgeber, einen postalischen monetären Wert an Benutzer an weitläufig verteilten Orten zu verteilen. Strikte physikalische Zugriffssteuerungen werden nicht benötigt, die Notwendigkeit zum Begrenzen der postalischen Beträge und der Dienste, die von ausgegebenen Karten erzielbar ist, ist verringert, persönliche Kauftransaktionen werden vermieden und eine On-line-Bestätigung von einem zentralen Kontobüro wird umgangen. Die Karten und Stationen werden konfiguriert, um autonom zu sein, und dennoch wird eine gegenseitige Erkennung und eine Bestätigung der Gültigkeit und der Transaktionsbeträge benötigt, wodurch ein hoher Sicherheitsgrad für das System bereitgestellt wird.
Die Erfindung ist nicht auf die beschriebenen automatisierten postalischen Stationen beschränkt. Die Prinzipien können auf irgendeine andere Wertaustauschtransaktion angepasst werden, bei der es gewünscht wird, eine Kontokarte in einem off-line automatisierten Stationssystem zu verwenden. Somit können die beschriebenen Smartkarten und Wertausgabestationen auch zum Ausgeben von Bargeld zum Drucken von Fahrkarten, zur Ausgabe von Coupons etc. verwendet werden und der Benutzer kann eine Vielzahl von Karten besitzen, die jeweils von einem zentralen Ausgeber für den bequemen Kauf von verschiedenen Wertartikeln ausgegeben werden. Durch Implementieren von Smartkarten- und Stations-MPU-Programmen, die nach autorisierten Maschinen-Identifikationsnummern und Kartenseriennummern prüfen, oder die Handshake-Prozedur mit unterschiedlichen Algorithmen und/oder Geheimschlüsseln ausführen, kann ein System des Ausgebers auch so konfiguriert werden, dass die Karten des Ausgebers und die Stationen für bestimmte Familien, Serien oder Orte offen oder beschränkt gemacht werden können.
Da Konzept schließt auch andere Merkmale ein, die nützliche Zusätze zu den voranstehend beschriebenen zentralen Konzepten sind. Beispielsweise kann ein Transaktionshistorien-Drucker bereitgestellt werden, von dem ein Benutzer eine Aufzeichnung von in der Smartkarte gespeicherten Transaktionen auf die Eingabe der richtigen PIN hin drucken kann. Die verschiedenen Karten können mit Kerben oder einer Kante oder mit codierten Schlüsselelementen versehen werden, um eine Einfügung der falschen Karte in einen unrichtigen Stationsschlitz oder in eine Station eines anderen Ausgebersystems zu verhindern. Ferner kann das System auf On-line-Transaktionssysteme angewendet werden. Beispielsweise kann die Stations-MPU mit einer Telefonleitung oder einem lokalen Netz zu einem zentralen Verarbeitungsamt für eine Genehmigung der Transaktion vor der Ausführung der Transaktion verbunden sein. Eine On-line-Bestätigung kann für Initialisierungs- und Wiederauffüllungs-Transaktionen gewünscht werden, die weniger häufig sind und einem höheren Wert als Kauf-Transaktionen durchgeführt werden. Als ein weiteres Sicherheitsmerkmal kann die Karte oder können Serien von Karten mit Verschlüsselungsalgorithmen und/oder Geheimschlüsselnummern ausgegeben werden, die periodisch geändert werden, und die Verschlüsselungsalgorithmen und Geheimschlüssel, die den Karten entsprechen, die für eine Transaktion angeboten werden, können in die Station geladen werden, wenn die Stations-MPU eine On-line-Verbindung mit dem zentralen Amt herstellt.
Auf Grundlage der vorangehenden Offenbarung sind viele andere Peripheriemerkmale und Modifikationen und Änderungen hinsichtlich der Prinzipien der Erfindung Personen, die mit automatisierten Stationen und Smartkarten-Systemen vertraut sind, offensichtlich. Es ist beabsichtigt, dass die Ausführungsformen und Merkmale, die hier beschrieben sind, und sämtliche weiteren Merkmale, Modifikationen und Variationen in dem zulässigen Umfang der Erfindung, so wie er in den beigefügten Ansprüchen definiert ist, enthalten sind.

Claims

Drucker (40) zur Verwendung mit einem Transaktionsterminal (20), der einen Eingabeabschnitt (31) zum Eingeben einer Anforderung zum Ausdrucken eines Wertzeichens und einen Betriebsabschnitt (30) aufweist, um den Terminal in die Lage zu versetzen, das Ausdrucken des angeforderten Wertzeichens auf einen Gegenstand auszuführen, dadurch gekennzeichnet, dass: der Drucker (40) als ein separater Abschnitt in dem Terminal ausgebildet ist und einen Druckkopf aufweist, in dem sich ein dedizierter Mikroprozessor (41) zum Steuern des Druckkopfes befindet; eine erste Tintenversorgung vorhanden ist, um dem Druckkopf eine sichtbare, mit dem menschlichen Auge lesbare Drucktinte zuzuführen; eine zweite Tintenversorgung vorhanden ist, um dem Druckkopf eine unsichtbare, maschinenlesbare Drucktinte zuzuführen; der Terminal (20) Verbindungsleitungen aufweist, um den Druckkopf-Mikroprozessor (41) mit dem Betriebsabschnitt (30) des Terminals zu verbinden, und der Betriebsabschnitt ein gespeichertes Programm enthält, um die in den Terminal eingegebene Wertzeichen-Anforderung zu empfangen und einen Druckbefehl an den Druckkopf zu senden; und der Druckkopf-Mikroprozessor (41) ein gespeichertes Programm enthält, um den Druckbefehl von dem Betriebsabschnitt (30) des Terminals zu empfangen, das angeforderte Wertzeichen (75) mit sichtbarer Drucktinte aus der ersten Tintenversorgung auf einen Gegenstand zu drucken, einen Authentifizierungscode (79) zu erzeugen, der unverwechselbar dem angeforderten Wertzeichen entspricht, und Drucken des Authentifizierungscodes mit unsichtbarer Drucktinte aus der zweiten Tintenversorgung auf den Gegenstand zu drucken, wodurch das aufgedruckte sichtbare Wertzeichen anschließend durch Maschinenlesen des unsichtbaren Authentifizierungscodes und Vergleichen des unsichtbaren Authentifizierungscodes mit dem sichtbaren Wertzeichen als authentisch verifiziert werden kann.
Drucker zur Verwendung mit einem Transaktionsterminal nach Anspruch 1, wobei der Druckkopf-Mikroprozessor (41) dauerhaft physisch in dem Druckkopf dergestalt befestigt ist, dass er nicht physisch manipuliert werden kann, ohne den Druckkopf unbrauchbar zu machen.
Drucker zur Verwendung mit einem Transaktionsterminal nach Anspruch 1, wobei der Druckkopf, der Druckkopf-Mikroprozessor (41), die erste Tintenversorgung und die zweite Tintenversorgung zusammen physisch in einer modularen Einheit untergebracht sind, die herausnehmbar in dem Terminal installiert ist.
Drucker zur Verwendung mit einem Transaktionsterminal nach Anspruch 1, wobei der Druckkopf-Mikroprozessor (41) ein gespeichertes Sicherheitsprogramm enthält, um ein Sicherheitsprocedere durch den Betriebsabschnitt des Terminals auszuführen, um zu validieren, ob eine eingegebene Wertzeichen-Anforderung eine valide Anforderung ist, und den Druckkopf nur dann in die Lage zu versetzen, das Wertzeichen auf den Artikel zu drucken, wenn die Anforderung validiert wurde.
Drucker zur Verwendung mit einem Transaktionsterminal nach einem der vorangehenden Ansprüche, wobei das aufzudruckende sichtbare Zeichen ein Postwertzeichen ist, das einen Portobetrag enthält, und der Druckkopf-Mikroprozessor dafür geeignet ist, das gespeicherte Programm auszuführen, um einen Authentifizierungscode zu erzeugen, der unverwechselbar dem aufzudruckenden Portobetrag entspricht.
Drucker zur Verwendung mit einem Transaktionsterminal nach einem der vorangehenden Ansprüche, wobei das aufzudruckende sichtbare Zeichen ein Postwertzeichen ist, das einen Portobetrag enthält, und der Druckkopf-Mikroprozessor dafür geeignet ist, das gespeicherte Programm auszuführen, um den Portobetrag als einen Strichcode zu verschlüsseln, und den Strichcode als den unsichtbaren Authentifizierungscode mit dem Postwertzeichen aufzudrucken.