-
Die
Erfindung betrifft einen Drucker zur Verwendung mit einer Transaktionsstation.
-
Sie
ist auf ein automatisches Transaktionssystem anwendbar, das eine
Benutzerkarte mit einem Mikroprozessor zum Ausführen von gesicherten Transaktionen
aufnimmt, bei denen ein Artikel oder ein Wertposten von einer Station
ausgegeben wird und ein Kontostand, der in einem Speicher der Karte gespeichert
ist, belastet wird. Insbesondere ist die Erfindung auf ein Portotransaktionssystem
anwendbar, bei dem innerhalb der Mikroprozessorkarte ein Portokonto
geführt
wird und für
Transaktionen mit Portodruck- und Messstationen verwendet wird.
-
EP-A-0
087 385 und EP-A-0 011 721 beschreiben mikroprozessorgesteuerte
mit Druckvorrichtungen.
-
Verkaufspunkt-(Point-of-sale
oder POS)-Stationen und automatische Ausgabemaschinen (ATM) sind
im Zusammenhang mit verschiedenen Typen von Karten, die an Benutzer
für Verkaufs- oder Kredittransaktionen
ausgegeben werden, verwendet worden. Beispielsweise geben Banken
regelmäßig Kontokarten
aus, die eine auf einem Streifen gespeicherte magnetisch codierte
Zahl aufweisen, um über ATM
Stationen auf das Konto des Benutzers zuzugreifen. Kreditkarten,
die codierte magnetische Streifen aufweisen, werden in ATM oder
POS Stationen eingefügt,
um auf ein zentrales Kontosystem zur Autorisierung einer Kredit-Transaktion zuzugreifen.
Es sind auch Vorschläge
gemacht worden, Karten zu verwenden, die große nicht-flüchtige Speicher umfassen, z.B.
eine Speicherung mit einem magnetischen oder optischen Speicher
oder einem Speicher mit einer integrierten Schaltung (IC), um für einen
Benutzerspezifische Information, beispielsweise eine medizinische
Geschichte, bibliographische Geschichte, das Führen eines Kontostands und
einer Transaktionsgeschichte, etc., zu speichern und zurückzugewinnen.
-
Diese
herkömmlichen
Systeme verwenden allgemein eine Karte, die einen passiven Speicher aufweist,
der in einem Kartenleser oder einer von einem Verkäufer geführten computerisierten
Station gelesen wird. Die Sicherheit der Karten ist problematisch,
da die meisten herkömmlicherweise
verwendeten Kontokarten passiv sind und sich selbst oder die bestimmten
Transaktionen, für
die sie verwendet werden, nicht autentifizieren. Anstelle davon
wird ein On-line-Zugriff durch eine Station an ein zentrales Kontosystem,
beispielsweise Bank- oder Kreditkarten-Kontoaufzeichnungen, zur
Bestätigung
jeder Transaktion benötigt.
Diese Anforderung stellt an Verkäufer,
beispielsweise Bankzweigstellen und Geschäfte, die die Stationseinrichtungen
halten müssen,
sowie an den Betreiber des zentralen Kontosystems, der einen ausreichenden
On-line-Zugriff für sämtliche
Benutzer des Systems bereitstellen und die Sicherheit des gesamten
Systems gewährleisten muss,
Belastungen hinsichtlich der Zugriffszeit und der Kosten.
-
Im
Gegensatz dazu weisen Off-line-Transaktionen, d.h. zwischen einem
Benutzer mit einer autorisierten Karte und einer Station, die nicht
mit einem zentralen Kontosystem verbunden ist, den Vorteil auf,
dass der Verkäufer
jede Transaktion nicht bestätigen
muss. Ein Kartenhalter fügt
die Karte lediglich in eine Station ein, um für einen Kauf zu bezahlen, und der
Betrag der Transaktion wird von dem autorisierten Betrag der Karte
abgezogen. Bei Off-line- Transaktionen
kann die Verantwortung des Verkäufers
verringert werden und der Transaktionsprozess vereinfacht werden,
so dass eine Transaktion mit Hilfe der Verwendung von weitläufig verteilten
Benutzerkarten und automatischen Stationen vollständig automatisiert
werden kann.
-
Jedoch
sind Off-line-Transaktionen gegenüber der Verwendung von gefälschten
Karten und einer Herumhantierung an den Stationen verletzlicher. Somit
müssen
die Karten sicher und die Transaktionen auf kleine Beträge begrenzt
werden. Als ein Beispiel von herkömmlichen Kartensicherheitsmaßnahmen
kann eine Speicherkarte in eine Anzahl von Sektoren mit einem begrenzten
Wert aufgeteilt werden, die getrennt für gültig erklärt werden und irreversibel mit
jeder Transaktion debitiert werden, wie in den U.S. Patenten 4,204,113
und 4,256,955 von Giraud et al. offenbart ist. Eine persönliche Identifikationsnummer
(PIN) kann in den Speicher der Karte zur Zeit der Ausgabe eingeschrieben
werden und bei jeder Transaktion von dem Benutzer angefordert werden.
Die Stationen werden allgemein gesichert, indem sie in Bereichen
aufgestellt werden, zu denen der Zugriff eingeschränkt oder überwacht
wird. Jedoch erhöhen
diese Anforderungen die Kosten für den
Betrieb des Systems und gleichzeitig verringern sie deren Verwendbarkeit.
-
Die
Verfeinerung einer Fälschung
von Karten und des Kreditbetrugs hat mit der weit verbreiteten Verwendung
von Konto- und Kreditkarten zugenommen und immer schärfere Sicherheitsmaßnahmen werden
gegenwärtig
benötigt,
um die Gültigkeit
von Kartentransaktionen sicherzustellen. Herkömmliche Mikroprozessorkarten
verwenden permanente Programme zum Steuern eines Zugriffs auf Daten,
die auf der Karte gespeichert sind, speichern eine gewählte Benutzer-PIN
zur Bestätigung
eines autorisierten Benutzers und verhindern die Verwendung der
Karte, wenn ein nicht autorisierter Benutzer erfasst wird, beispielsweise
nach einer begrenzten Anzahl von unrichtigen PIN-Eingaben. Obwohl
derartige Mikroprozessorkarten eine größere Sicherheit als passive
Karten bereitstellen, ist das System noch dahingehend verwundbar,
dass eine gestohlene Karte für
nicht autorisierte Transaktionen in jeder Station verwendet werden
kann und in die Stationen selbst eingedrungen werden kann, sobald
eine PIN eines gültigen
Benutzers festgestellt worden ist. Diese Verletzbarkeit kann durch
Begrenzen des autorisierten Betrags der Karte, der Steuerung eines
Zugriffs auf die Stationen oder die Anforderung einer On-line-Bestätigung von
Transaktionen, kompensiert werden. Jedoch erhöhen derartige Maßnahmen
wiederum die Kosten des Systems und setzen deren Verwendbarkeit
herab.
-
Ein
potentieller Bereich einer Anwendung von automatisierten Systemen,
die Konto- oder Kreditkarten verwenden, ist in Portoverkaufs- und
Messmaschinen. Der Kauf von Porto- und Versende-Transaktionen werden
vorwiegend persönlich
mit Bargeld durch Ausgabemaschinen an Postämtern durchgeführt. Nur
begrenzte Typen von Portobriefmarken können von öffentlichen Verkaufsmaschinen gekauft
werden. Die meisten privaten Portomessmaschinen haben begrenzte
Betriebsmerkmale und die Messeinrichtungen davon müssen periodisch
zu einem Postamt entfernt werden, um wiederaufgefüllt zu werden.
Die Größe und das
Gewicht der Messeinrichtung erlaubt keinen einfachen Transport.
Einige Messsysteme können
durch einen entfernten Computer wiederaufgefüllt werden, aber der Anrufer
muss noch das Computerzentrum anrufen und die Befehle des Operators
auf der Frankiermaschine manuell ausführen.
-
Die
Beseitigung von Bargeldkäufen,
persönlichen
Versende-Transaktionen,
nicht erforderlichen Beschränkungen
auf automatisierte postalische Dienste, und einer physikalischen
Wiederauffüllung von
Portomessmaschinen könnten
die Warteschlangen an Postämtern
beträchtlich
verringern und die weitere Verbreitung von Portoverkaufs- und Messmaschinen
für die
Bequemlichkeit von Benutzern beträchtlich verbessern und einen
größeren Zugriff
auf postalische Dienste bereitstellen. Die Verwendung von Konto-
oder Kreditkarten für
automatisierte postalische Maschinen ist in Erwägung gezogen worden. Jedoch
würden
die Sicherheitsprobleme bei herkömmlichen
Karten-automatisierten Systemen erfordern, dass Benutzerkarten nur
für relativ
kleine Beträge
von vorbezahltem Porto für
gültig
erklärt
werden, dass Verkaufs- und
Messmaschinen große
postalische Produkte bereitstellen und mit begrenzten Gesamtportobeträgen wiederaufgefüllt werden
und dass ein Zugriff auf die Maschinen strikt gesteuert werden muss.
Diese Beschränkungen
sind ein wesentliches Hindernis, die zu der Schwierigkeit einer Implementierung
eines automatischen postalischen Transaktionssystems beitragen.
-
Gemäß der Erfindung
ist ein Drucker zur Verwendung mit einer Transaktionsstation vorgesehen, die
einen Eingabeabschnitt zum Eingeben einer Aufforderung zum Drucken
eines Wertzeichens und einen Betriebsabschnitt, um die Station in
die Lage zu versetzen, das Drucken des angeforderten Wertzeichens
auf einen Artikel auszuführen,
aufweist, dadurch gekennzeichnet, dass: der Drucker als eine getrennte
Sektion in der Station gebildet ist und einen Druckkopf mit einem
dedizierten Mikroprozessor darin zum Steuern des Druckkopfes hat;
eine erste Tintenzuführung
vorgesehen ist, um sichtbare menschlich-lesbare Tinte dem Druckkopf
zuzuführen;
eine zweite Tintenzuführung
vorgesehen ist, um unsichtbare maschinen-lesbare Tinte dem Druckkopf
zuzuführen;
die Stationen Verbindungsleitungen zum Verbinden des Druckkopf-Mikroprozessors mit
der Betriebssektion der Station hat, und die Betriebssektion ein
gespeichertes Programm zum Empfangen der Wertfreimachungsvermerkanforderung,
die zu der Station eingegeben wird, und Senden einer Druckinstruktion
zu dem Druckkopf enthält;
und der Druckkopf-Mikroprozessor enthält ein gespeichertes Programm
zum Empfangen der Druckinstruktion von der Stationsbetriebsektion,
Drucken des angeforderten Wertfreimachungsvermerkes mit sichtbarer
Tinte von der ersten Tintenzuführung
auf einem Artikel, Generieren eines Authentifizierungscodes, der
dem angeforderten Wertfreimachungsvermerkes eindeutig entspricht,
und Drucken des Authentifizierungscodes mit unsichtbarer Tinte von
der zweiten Tintenzuführung auf
dem Artikel, wodurch der gedruckte sichtbare Wertfreimachungsvermerk
anschließend
durch Maschinenlesen des unsichtbaren Authentifizierungscodes und
Vergleichen dessen mit dem sichtbaren Wertfreimachungsvermerk als
authentisch verifiziert werden kann.
-
Die
obigen Prinzipien, Vorteile und Merkmale der Erfindung werden mit
näheren
Einzelheiten im Zusammenhang mit den folgenden Zeichnungen nachstehend
beschrieben. In den Zeichnungen zeigen:
-
1 schematisch
eine bevorzugte Ausführungsform
einer automatisierten postalischen Transaktionsstation unter Verwendung
einer Mikroprozessorkarte gemäß einer
Ausführungsform
der Erfindung;
-
2a einen
Aufbau in der Ausführungsform
aus 1 zum Ausführen
einer gesicherten Handshake-Erkennungsprozedur zwischen der Mikroprozessorkarte
und einem Wertausgabeabschnitt der Station, und 2b die
Handshake-Sequenz umreißt;
-
3 die
mehreren Sicherheitsebenen, die von dem System in 1 bereitgestellt
werden;
-
4 eine
andere Ausführungsform
der postalischen Transaktionsstation der Erfindung, die eine Ratenkarte
(Gebührenkarte)
zum automatischen Berechnen von postalischen Beträgen aufnimmt;
-
5 ein
Flussdiagramm des Betriebs der Station aus 4;
-
6a die
Verwendung von codierten Marken zur Autentifizierung einer von einer
postalischen Transaktionsstation gedruckten Postmarke;
-
6b eine
beispielhafte Ausbildung einer Autentifizierungs-Codierung;
-
7 schematisch
eine bevorzugte Ausführungsform
einer optischen Waage und einer automatischen Begleitschein-Druckstation und
einer optischen Waage unter Verwendung einer Mikroprozessorkarte
und einer Spezialdienstkarte gemäß einer anderen
Ausführungsform
der Erfindung;
-
8 ein
Flussdiagramm des Betriebs der Station aus 7;
-
9 eine
Standardausbildung eines Begleitscheins und von Cursor-Eingabeaufforderungen zum
Beschreiben seiner Informationsfelder;
-
10 schematisch
eine bevorzugte Ausführungsform
einer automatisierten Wiederauffüllungs-Station
unter Verwendung einer Mikroprozessorkarte, einer Masterkarte und
einer Supervisorkarte gemäß einer
weiteren Ausführungsform
der Erfindung;
-
11 ein
Flussdiagramm des Betriebs der Station aus 10; und
-
12 das
integrierte System von Mikroprozessorkarten, Speicherkarten und
Stationen gemäß einer
anderen Ausführungsform
der Erfindung.
-
Angesichts
der vorangehende Nachteile und Probleme herkömmlicher Systeme beschreibt
das Folgende ein automatisiertes Transaktionensystem, welches Sicherheitsmerkmale
hat, die die weit verbreitete Verwendung von Konto- oder Kreditkarten für Offline-Transaktionen
und die Verbreitung von automatisierten Transaktionsstationen unterstützen wird,
zu denen der Zugang nicht strikt gesteuert werden muss. Es wird
auch ein interaktives Karten-/Stationssystem
beschrieben, in dem die Karte und die Station jeweils ein Sicherheitsmerkmal
aufweisen, das den Abschluss einer angeforderten Transaktion verhindert,
außer
wenn eine gesicherte Handshake-Erkennungsprozedur gegenseitig zwischen
der Karte und der Station ausgeführt
wird, so dass sie einander als zum Ausführen einer Transaktion autorisiert
erkennen. Insbesondere ist es wünschenswert, dass
die Karte und die Station zusammenarbeiten, um ein gleichzeitiges
Ausgeben eines Werts von der Station und ein Debitieren eines autorisierten
Betrags durch die Karte auszuführen.
-
Es
ist insbesondere beabsichtigt, das oben erwähnten automatisierte Transaktionssystem
auf Portomessmaschinen anzuwenden. Ein weiteres Ziel besteht darin,
eine Neuerzeugung von Karten-automatisierten postalischen Stationen
bereitzustellen, die im Bereich von postalischen Produkten und angebotenen
Diensten eine größere Flexibilität aufweisen, wobei
die Stationen individuell gesichert sind, auf sie in relativ unbeschränkten Gebieten
zugegriffen werden kann, und die Karten an irgendeiner gewünschten
Stelle durch gesicherte Wiederauffüllungs-Stationen, die von dem
Ausgeber für
gültig
erklärt
worden sind, wiederaufgefüllt
werden können.
-
In Übereinstimmung
mit dem Zweck und den Zielen verwendet ein automatisiertes Kartentransaktionssystem
eine Karte mit einem gesicherten, sich darauf befindlichen Mikroprozessor,
der arbeitet, um zu bestätigen,
dass eine angeforderte Transaktion autorisiert ist, und um dann
eine interaktive Handshake-Erkennungsprozedur mit einem in dem Wertausgabeabschnitt
einer automatisierten Station fest vorgesehenen Mikroprozessor zu
initiieren. Auf einen erfolgreichen Abschluss der Handshake-Prozedur hin,
Aktivieren der Karten-Mikroprozessor und der Ausgabeabschnitt-Mikroprozessor
gleichzeitig die Ausgabe des angeforderten Artikels oder Wertpostens
und die Debitierung eines autorisierten Werts von der Karte.
-
Eine
besondere Ausführungsform
verwendet eine gegenseitige Handshake-Erkennungsprozedur, die wie
folgt ausgeführt
wird: (1) auf eine Bestätigung hin,
dass eine angeforderte Transaktion autorisiert ist, überträgt die Karte
an die Station ein Wort, das eine zufallsmäßig erzeugte oder irgendeine
andere Objektzahl verschlüsselt
mit einem ersten fest installierten Algorithmus und einer in der
Karte gespeicherten Schlüsselzahl
umfasst; (2) die Station decodiert die Zahl unter Verwendung eines
entsprechenden inversen ersten Algorithmus und der Schlüsselzahl;
(3) die Station sendet an die Karte ein zweites Wort zurück, das
die decodierte Zufallszahl verschlüsselt mit einem zweiten fest
installierten Algorithmus und der Schlüsselzahl umfasst; (4) die Karte
decodiert das zweite Wort unter Verwendung eines entsprechenden
inversen zweiten Algorithmus und der Schlüsselzahl und vergleicht die
decodierte Zahl mit der ursprünglich
gesendeten; (5) wenn die Zahlen übereinstimmen,
dann debitiert der Karten-Mikroprozessor seinen autorisierten Betrag
um den angezeigten Betrag der Transaktion und sendet ein Aktivierungssignal
an die Station, um mit der Transaktion weiterzumachen; und (6) auf
einen Empfang des Aktivierungssignals hin aktiviert der Ausgabe-Mikroprozessor
den Ausgabeabschnitt, um die Transaktion zu beenden. Das gesendete
Aktivierungssignal kann auch durch die obigen Algorithmen oder durch
ein ähnliches
Verfahren verschlüsselt
und decodiert werden.
-
Das
oben beschriebene interaktive mit Karten automatisierte Transaktionssystem
kann auf Porto-Messmaschinen angewendet werden. In einer Ausführungsform
weist eine Porto-Messstation einen Schlitz zur Aufnahme einer Mikroprozessorkarte,
die mit einem autorisierten Betrag ausgegeben wird, einen Druckkopf
mit einem gesicherten Mikroprozessor, der mit dem Karten-Mikroprozessor in
Wechselwirkung tritt, einer Tastatur, einer Anzeige und einem Operations-Mikroprozessor,
der eine eingetastete Eingabe des angeforderten Portobetrags annimmt, die
eingetastete Eingabe anzeigt, die Karte für eine Autorisierung befragt
und die Portodruck-Transaktion initiiert und dann die Maschine für die nächste Transaktion
zurücksetzt
oder eine Reihe von Transaktionen in einem Wiederholungsmodus ausführt, auf.
-
In
einer verwandten Ausführungsform
weist eine Porto-Messstation
einen ersten Schlitz zur Aufnahme einer Benutzer-Mikroprozessorkarte, einen zweiten Schlitz
zur Aufnahme einer postalischen Ratenkarte, einen Druckkopf mit
einem gesicherten Mikroprozessor, eine Tastatur und andere Mittel
zur Eingabe von Codes des Absendeorts und des Zielorts (Postleitzahlcodes),
Mittel zur Eingabe des Gewichts und der Portoklasse des zu versendenden
Artikels und einen Operations-Mikroprozessor mit einem Programm
zum Berechnen des richtigen Portos auf Grundlage der Auflistungen
der Ratenkarte und der eingetasteten Information auf.
-
Das
mit Karten automatisierte postalische Transaktionssysteme kann einfach
nicht nur auf die postalischen Produkte und Dienste des U.S. Postdienstes
angewendet werden, sondern auch auf private Beförderer und Paketzustellfirmen.
In einer weiteren Ausführungsform
weist eine postalische Begleitschein-Station einen dritten Schlitz
zur Aufnahme einer Spezialdienst-Karte auf, auf der Daten gespeichert
sind, aus denen die Station postalische und Zustellungsdienst-Information
auf standardmäßigen – Formvorlagen
drucken kann. Beispielsweise kann die Spezialdienste-Karte verwendet
werden, um Postamt-Vorlagen, beispielsweise für zertifiziertes Postgut oder
eingeschriebenes Postgut, oder die Begleitscheine von privaten Befördererfirmen,
zu bedrucken. Die Station ist auch mit einer Vollbild-Anzeige der
Begleitschein-Vorlage versehen, fordert den Benutzer zur Eingabe
von Information durch programmierte Cursorbewegungen auf und weist
Befehlstasten zum Eingeben der Absender- und der Empfängerinformation,
der Raten- oder Dienstklasse, der Begleitscheinnummer, der Befördererinformation,
etc. auf.
-
Als
untergeordnete Merkmale können
die Mikroprozessor-Karten konfiguriert werden, um verschiedene Zugriffstypen
auf die Stationen nach Wunsch bereitzustellen, z.B. begrenzte Anzahlen oder
Typen von Benutzern in begrenzten Anzahlen oder Typen von Maschinen,
unbegrenzte Benutzer in begrenzten Maschinen, begrenzte Benutzer
in unbegrenzten Maschinen oder nicht begrenzte Benutzer in nicht
begrenzten Maschinen. Die verschiedenen Zugriffstypen können durch
Speichern von Schlüsselzahlen
in der Karte zur Identifizierung von autorisierten Benutzern und/oder
Maschinen und/oder durch Speichern von Schlüsselzahlen in dem Stations-Operationsmikroprozessor
zur Identifizierung von autorisierten Benutzern implementiert werden. Die
Benutzerkarten können
zur Zeit einer Ausgabe hinsichtlich der Beschränkungen auf die Beträge und Typen
von einzelnen Transaktionen und für eine vorübergehende oder permanente
Sperrung auf eine Erfassung eines nicht autorisierten Benutzers
oder einer nicht autorisierten Karte hin konfiguriert werden. Ein
anderes Systemmerkmal ist die Speicherung einer Historie von Transaktionen,
die von der Karte ausgeführt
werden, und die Neuberechnung des übrigen Stands, d.h. des verbleibenden
Betrags auf jede Transaktionsaufforderung hin, um Kartenspeicherplatz
einzusparen. Ein getrennter Transaktionsdrucker kann verwendet werden,
um einen Ausdruck der Transaktionsgeschichte der Karte zu ermitteln.
-
Die
Porto-Messstationen gemäß der Erfindung
sind auch mit Mitteln versehen, um einem Postamt oder einem Beförderer zu
ermöglichen,
die Portozeichen oder Begleitscheine, die gedruckt werden, zu autentifizieren.
In einer Ausführungsform
druckt der Stationsdrucker in oder unter das Postzeichen eine codierte
Nummer oder eine Sequenz von Markierungen entsprechend einem Element
des Postzeichens, beispielsweise dem Portobetrag, der Stations-Identifikationsnummer
und/oder des Postleitzahlcodes des Absenders. Die Zeichen können durch
Drucken einer magnetisch oder optisch lesbaren Farbe verschleiert
oder unsichtbar gemacht werden, um eine Herumhantierung oder eine
nicht autorisierte Simulation zu verhindern. Sie können dann von
dem Postamt oder der privaten Befördererfirma mittels einer Maschine
gelesen werden, um zu bestimmen, ob das gedruckte Postzeichen von
einem autorisierten Drucker gedruckt wurde, und um gleichzeitig
eine Audit-Verfolgung an dem Absender bereitzustellen.
-
Gemäß einer
weiteren Entwicklung stellt ein integriertes System von Mikroprozessorkarten
und Stationen Transaktionsmöglichkeiten
bereit, die eine weitverbreitete Verwendung und einen bequemen Zugriff
für Benutzer bereitstellt.
Der autorisierte Betrag der Benutzerkarte kann hinsichtlich der
Gültigkeit
zu Anfang überprüft werden
und von einer Master-Wiederauffüllungskarte,
die einen größeren autorisierten
Betrag aufweist, wiederaufgefüllt
werden, vorzugsweise in Verbindung mit einer Supervisor-Karte, die
unter einer strikten Verteilungssteuerung ausgegeben wird. Eine
Wiederauffüllungs-Station
ist mit drei Einfügungsschlitzen
für die
drei Karten versehen und weist ein Operationsprogramm auf, um die
Identität
der Master-Wiederauffüllungskarte
und der Benutzerkarte zu überprüfen, um
zu bestimmen, ob sie zur Verwendung in der Wiederauffüllungs-Station
gültig
sind. Auf eine Löschung
hin muss die gesicherte Handshake-Erkennungsprozedur erfolgreich zwischen
den Mikroprozessoren der Supervisor- und Masterkarten ausgeführt werden,
um eine Debitierung der Masterkarte mit dem Wiederauffüllungsbetrag
und eine Kreditierung der Benutzerkarte zur ermöglichen. Wenn die Benutzerkarte
eine neue Karte ist, dann werden eine Gültigkeitsüberprüfungs-Prozedur und die Auswahl
und die Speicherung einer Benutzer-PIN ausgeführt.
-
Das
mit Karten automatisierte Transaktionssystem weist eine breite Anwendbarkeit
auf viele andere Typen von Kauf- oder Kredittransaktionen zusätzlich zu
postalischen Diensten und Produkten auf. Beispielsweise kann es
auch für
Kreditkarten-Transaktionen,
eine Inventursteuerung, Frachtbriefe, automatische Bargeldmaschinen
oder im Grunde genommen auf jeden anderen Transaktionstyp angewendet werden,
bei dem ein Benutzerkonto durch eine automatisierte Station im Austausch
für einen
Artikel oder einen Wertposten sicher debitiert werden muss. Das System
ist insbesondere in Off-line-Transaktionen vorteilhaft,
bei denen verteilte Stationen, die keinen strikten Zugangskontrollen
unterliegen, verwendet werden.
-
Wie
in dem folgenden beschrieben wird, verwendet ein automatisiertes
Transaktionssystem eine Mikroprozessorkarte in einer automatisierten
Transaktionsstation (nachstehend auch als Terminal bezeichnet).
Verschiedene Arten von Mikroprozessorkarten sind kommerziell verfügbar und
die Technologie einer Herstellung von derartigen Karten und einer Verwendung
von diesen in Stationseinrichtungen wird gut verstanden. Beispielsweise
stellt Micro Card Technologies Inc. aus Dallas, Texas, die Micro
Card Mask M4 Karte her, die eine Standard-(ISO)-Größe, ähnlich wie
eine Kreditkarte, mit einem 8-Bit Mikroprozessor, 8 Kontakt-Pins,
einem 9600 bps asynchronem seriellen Austauschprotokoll, 12,8 KBits
eines Nur-Lese-Speichers (ROM), 288 Bits eines Speichers mit wahlfreiem
Zugriff (RAM) und 8 KBits eines löschbaren/programmierbaren ROMs
(EPROMs) ist. Ein Feld von elektrischen Kontakten, die in einem
Abschnitt der Karte vorgesehen sind, stellen eine Verbindung zu
den entsprechenden Kontakten in der Station her, um den Kartenmikroprozessor
in die Lage zu versetzen, Daten mit der Station auszutauschen. Es
ist natürlich
verständlich,
dass andere Typen von Daten-Kommunikationsverbindungen verwendet
werden können,
beispielsweise durch eine magnetische Induktion.
-
Die
herkömmliche
Mikroprozessorkarte, so wie sie in der vorliegenden Erfindung verwendet
wird, arbeitet durch Ausführen
eines intern gespeicherten Programms (Firmware), auf das von außen nicht
zugegriffen werden kann. Die Firmware kann in einer zufallsmäßigen Weise
geschrieben werden, um sie gegenüber
einer Herumhantierung von außen
zu sichern. Ein elektrisch programmierbarer (EPROM) Speicherabschnitt,
der dem Mikroprozessor der Karte zugeordnet ist, ist allgemein in
drei Zonen aufgeteilt: eine Geheimzone, auf die nur von innen zugegriffen
werden kann; eine geschützte
Lese/Schreibzone, auf die zugegriffen werden kann, nachdem eine
Schlüsselnummer oder
PIN bestätigt
worden ist, und eine freie Lesezone. Die Karte wird in einer Station
verwendet, um gewünschte
Funktionen in Abhängigkeit
von Regeln, Prozeduren und Daten auszuführen, die in der Karte und
der Station gespeichert sind oder dort ausgeführt werden.
-
Wenn
herkömmliche
Mikroprozessorkarten an einzelne Benutzer ausgegeben werden, wird
eine Gültigkeitsüberprüfungs-Prozedur
auf einer Gültigkeitsüberprüfungs-Station
ausgeführt.
Die Prozedur fordert den Ausgeber allgemein dazu auf, die Seriennummer
des richtigen Herstellers der Karte einzugeben, um zu bestätigen, dass
die Karte autorisiert ist. Eine PIN wird dann von dem Kartenhalter
zugeordnet oder gewählt
und in der Geheimzone gespeichert. Ferner kann auch eine Geheimschlüsselnummer,
die für
den Ausgeber einzigartig ist und einer Klasse oder einer chronologischen
Serie von Kartenhaltern gemeinsam ist, in der Geheimzone gespeichert
werden. In einigen Kartensystemen wird der Geheimschlüssel als
ein Argument eines Verschlüsselungsalgorithmus verwendet,
um ein verschlüsseltes
Wort an die Station zur Überprüfung zu
senden. Wenn das Wort von der Station decodiert werden kann, um
den Geheimschlüssel
abzuleiten, wird angenommen, dass die Karte authentisch ist. Auf
einen Abschluss der Gültigkeitsüberprüfungs-Prozedur
hin ändert
die Karten-MPU irreversibel ihr Programm so, dass keine weiteren
Wörter
in die Geheimspeicherzone geschrieben werden können. Danach muss ein Benutzer
bei einer Verwendung der Karte die richtige PIN eingeben, um zu
bestätigen,
dass die Karte gerade von ihrem autorisierten Benutzer verwendet
wird. Herkömmliche
Mikroprozessorkarten weisen auch das Merkmal einer vorübergehenden
oder permanenten Sperrung der Karte von einer Verwendung auf, wenn
eine Abfolge von unrichtigen PIN Eingaben auf einer Station erfasst
wird.
-
Zur
Zeit der Ausgabe wird für
die Karte, die gerade ausgegeben wird, ein Betrag in Geldwerten oder
anderen Einheiten für
gültig
erklärt.
In herkömmlichen
Karten wird der Betrag permanent in einen einer Vielzahl von Transaktionssektoren
in der geschützten
Speicherzone geschrieben. Jedesmal, wenn die Karte mit einem neuen
Betrag "gefüllt" werden soll, wird
einer der Sektoren entsperrt und mit einem neuen Betrag von dem
Ausgeber beschrieben. Somit kann ein begrenzter autorisierter Betrag
jedesmal eingeschrieben werden und die Karte wird dann mehrmals
wiederaufgefüllt,
bevor ihr Speicherplatz aufgebracht ist. Dies ist ein Sicherheitsmerkmal
zur Minimierung eines Geldverlusts für den Fall, dass die Karte
verlorengeht oder gestohlen wird. Der autorisierte Betrag wird bei
jeder Transaktion dekrementiert und ein neuer Stand wird eingeschrieben,
bis der Stand aufgebraucht ist. Obwohl irgendein Betrag oder irgendein
Stand in den Transaktionsspeicher der Karte geschrieben werden kann,
kann die Karte als weiteres Sicherheitsmerkmal verhindern, dass ein
Stand eingeschrieben wird, der eine vorgegebene Grenze oder einen
vorher eingeschriebenen Stand überschreitet.
-
Ein
automatisiertes Transaktionssystem mit Karte wird nun beschrieben.
Es sei darauf hingewiesen, dass die Erfindung nicht auf Ausführungsformen beschränkt ist,
obwohl bestimmte Ausführungsformen
beschrieben werden, sondern sämtliche
Modifikationen und Variationen beinhaltet, die die Prinzipien der
Erfindung verwenden. Für
den Zweck dieser Beschreibung wird für die Transaktionsstation eine Portomessstation
zum Drucken einer Postmarke auf ein Etikett, einen Umschlag oder
einen Begleitschein für
Artikel, die versendet oder verschickt werden sollen, gewählt. Jedoch
ist selbstverständlich,
dass die allgemeinen Prinzipien der Erfindung eine breite Anwendbarkeit
haben. Beispielsweise kann die Station auch eine Bargeld- oder Artikel- Ausgabemaschine oder
ein Drucker sein, der Gültigkeitsüberprüfungsmarkierungen,
Coupons, Belege, Fahrkarten, Inventurdokumente etc. druckt.
-
Portomessstation
-
Unter
Bezugnahme auf 1 ist eine Mikroprozessorkarte 10,
wie voranstehend beschrieben, dafür ausgelegt, um in einen Karteneinfügungsschlitz 11 einer
automatisierten Stationseinrichtung 20 eingefügt zu werden.
Die Smartkarte 10 weist einen Kontaktabschnitt 12 auf,
der eine Anzahl von Kontakten 13 aufweist, die mit den
Pinherausführungen
eines IC Chips verbunden sind, der eine Mikroprozessoreinheit (Karten-MPU) 60 umfasst,
die unter eine Schutzschicht des Kartenkontaktabschnitts 12 laminiert
ist. Die Kontakte 13 werden mit entsprechenden Kontakten 23 eines
Stationskontaktabschnitts 22 auf eine Einfügung der
Karte 10 in den Schlitz 11 in die mit dem Pfeils
A angedeutete Richtung in Eingriff gebracht. Wenn die Karte eingefügt ist,
liegt ihre führende
Kante an einem Teil des Stationskontaktabschnitts 22 an,
der in die gleiche Richtung, mit einem Pfeil B angedeutet, bewegt
wird, um so einen betriebsmäßigen elektrischen
Kontakt mit dem Kartenkontaktabschnitt 12 einzugehen. Ein
Auslöseschalter 22a ist
an der Basis des Schlitzes 11 vorgesehen und triggert ein
Startsignal an einen Operationsmikroprozessor (Stations-MPU) 30,
wenn die Karte vollständig
an ihre Position in dem Schlitz eingefügt worden ist.
-
Der
Karten-MPU 60 führt
ein intern gespeichertes (Firmware) Programm aus, um zu überprüfen, ob
eine angeforderte Transaktion autorisiert ist und um vor einer Debitierung
des Kartenkontostands eine gesicherte Handshake-Erkennungsprozedur (die nachstehend
noch näher
erläutert
wird) mit einem Mikroprozessor in der Station auszuführen.
-
Obwohl
die Handshake-Prozedur mit einem Operationsmikroprozessor für die Station
oder einem zu der Station entfernten ausgeführt werden kann, wird in der
Erfindung bevorzugt, dass die Prozedur mit einem gesicherten Mikroprozessor
ausgeführt wird,
der in dem tatsächlichen
Wertausgabeabschnitt der Station eingebettet ist. Der Wertausgabeabschnitt
ist ein getrenntes Element in der Station und sein Mikroprozessor
wird physikalisch gesichert gemacht, beispielsweise durch Vergießen in Epoxydharz,
so dass irgendein Versuch, daran herumzuhantieren, dazu führen würde, dass
der Wertausgabeabschnitt außer
Betrieb genommen wird. Für
die postalische Transaktionsstation der Erfindung ist der Mikroprozessor
in der Druckereinheit eingebettet, die das Postzeichen druckt.
-
Die
Stationskontakte 23 werden mit den funktionellen Teilen
der Station einschließlich
einer Taktsynchronisationsverbindung 24, einer Rücksetzverbindung 25,
einer Betriebsspannungs-Vcc-Verbindung 26, einem Eingabe/Ausgabe-(I/O)-Port 27,
einer EPROM-Schreibspannungs-Vpp-Verbindung 28 und
einer Masseverbindung 29 verbunden. Der Stations-MPU 30 steuert
die Schnittstelle mit der Karte und den Betrieb der verschiedenen
Teile der Station, einschließlich
einer Tastatur 31, einer Anzeige 32, beispielsweise
einer LCD Anzeige, und eines Postzeichen-Druckers 40, der der Wertausgabeabschnitt der
Station ist. Eine Leistungsquelle Vo ist mit einer Batterie und/oder
einer externen AC oder DC Leitung versehen, um die verschiedenen
Teile der Station mit Energie zu versorgen.
-
Der
Drucker 40 weist eine Mikroprozessoreinheit (Drucker-MPU) 41 auf,
die individuell und in einzigartiger Weise den Betrieb eines Druckkopfs 42, beispielsweise
eines elektrothermischen oder Anschlagdruckkopfs, steuert. Die MPU 41 führt ein
internes Programm (Firmware) wie der Kartenmikroprozessor aus, so
dass an ihm von außen
nicht herumhantiert werden kann. Das interne Programm der Drucker-MPU umfasst einzigartige
Verschlüsselungsalgorithmen
parallel zu denjenigen, die in dem Mikroprozessor der Karte gespeichert
sind, der von dem Hersteller installiert wird, so dass die Drucker-MPU
eine gesicherte Handshake-Erkennungsprozedur
mit dem Mikroprozessor der Karte ausführen kann, um eine angeforderte
Transaktion zu autorisieren. Die MPU 41 ist auch integral
mit dem Druckkopf 42 gebildet, beispielsweise durch Einbetten
in Epoxydharz oder dergleichen, so dass auf sie ohne eine Zerstörung des
Druckkopfs nicht zugegriffen werden kann. Somit kann der Druckkopf 42 der
Portomessstation 20 nur durch die MPU 41 betrieben werden
und wird ein Postzeichen nur dann drucken, wenn die Handshake-Erkennungsprozedur
und ein Postzeichen-Druckbefehl
zwischen der Karten-MPU und der Drucker-MPU 41 ausgeführt worden
sind.
-
Wenn
eine Station von dem Ausgeber an einem Ort installiert werden soll
oder an ein Zwischengeschäft
zur Feldverwendung verteilt werden soll, kann der Ausgeber eine
Gültigkeitsüberprüfungs-Prozedur
für die
Station ausführen,
die ähnlich wie
diejenige für
die Karte ist. Eine Geheimschlüsselnummer
kann in die Geheimspeicherzone der Drucker-MPU 41 eingeschrieben
werden, so dass Portodruck-Transaktionen
nur mit Karten, die mit der entsprechenden Geheimschlüsselnummer
versehen sind, ausgeführt
werden können.
Somit werden Karten, die von anderen Ausgebern für gültig erklärt werden, obwohl sie von dem
gleichen Hersteller erhalten worden sind, in den Maschinen des zuerst
erwähnten Ausgebers
nicht verwendbar sein.
-
Die
Stations-MPU kann natürlich
für die Handshake-Erkennungsprozedur
verwendet werden. Jedoch wird bevorzugt, dass die Prozedur von dem
Teil ausgeführt
wird, der tatsächlich
den Wertposten ausgibt, und dass die Stations-MPU für andere
Stationsoperationen betreibbar gelassen wird. Eine Maschinen-ID-Nummer
(MIN) kann der Station ebenfalls zugewiesen werden, so dass sie
in der auf der Karte geführten
Transaktionsgeschichte aufgezeichnet werden kann. Als ein weiteres
Merkmal kann die MIN für
eine oder mehrere Stationen des Ausgebers in Karten gespeichert
werden, die nur in diesen Stationen verwendet werden sollen. Somit können die
Stationen in einem automatisierten Stationssystem, das für eine Firma
vorgesehen ist, innerhalb der Firma nur mit den Karten verwendet
werden, die an die Angestellten dieser Firma ausgegeben worden sind,
die die Geheimschlüsselnummer
der Firma besitzen und optional können die Stationen innerhalb
einer Abteilung der Firma konfiguriert werden, um nur Karten anzunehmen,
die mit dem MINs von Maschinen dieser Abteilung versehen sind.
-
Der
interaktive Betrieb des Karten/Stationssystem wird nachstehend beschrieben.
Auf eine Einführung
einer Karte in einen Schlitz 11 hin wird der Auslöseschalter 22a getriggert
und die Stations-MPU 30 initiiert eine Identifikationsaufforderungsprozedur, um
zu bestätigen,
dass die Karte gerade von einem autorisierten Benutzer verwendet
wird. Beispielsweise kann die Stations-MPU das Erscheinen einer
Eingabeaufforderung auf der Anzeige 32 bewirken, die den
Benutzer auffordert, eine PIN einzugeben. Die von dem Benutzer eingegebene
Zahl wird von der Stations-MPU an die Karten-MPU gesendet, wo sie mit
der PIN Nummer (den PIN Nummern), die in der Geheimzone des Speichers
der Karte gespeichert ist (sind), verglichen wird. Wenn die Zahl übereinstimmt, informiert
die Karten-MPU die Stations-MPU 30, um weiterzumachen.
Wenn die Karte zur Verwendung nur in bestimmten Maschinen beschränkt ist,
kann die Karte die MIN der Station anfordern und sie mit einer gespeicherten
Liste von autorisierten Stationsnummern vergleichen. Wenn die Station
zur Verwendung nur mit bestimmten Karten beschränkt ist, dann kann die Station
die PIN oder eine Kartenidentifikation oder eine Kontonummer mit
einer gespeicherten Liste von autorisierten Kartennummern vergleichen. Als
ein weiteres Sicherheitsmerkmal kann das Kartenprogramm die Anzahl
von unrichtigen PIN Eingaben, die versucht werden, oder ein Kartenablaufdatum,
das in einen Speicher zur Zeit der Ausgabe geschrieben wird, überprüfen. Wenn
die Eingaben einer unrichtigen PIN eine vorgegebene Anzahl überschreiten
oder wenn das von der Stations-MPU 30 angezeigte gegenwärtige Datum
nach dem Ablaufdatum liegt, kann die Karten-MPU 60 die
Karte gegenüber
einer weiteren Verwendung sperren, bis der Benutzer sie von dem
Ausgeber erneut für
gültig
erklärt
gelassen hat.
-
Wenn
die anfänglichen
Bestätigungsprozeduren
vorbei sind, fordert die Stations-MPU 30 den Benutzer als
nächstes
zur Eingabe von Information für
eine Portotransaktion auf. Der Benutzer gibt auf einer Tastatur 31 den
angeforderten Portobetrag und als weitere Option den Postleitzahlcode
des Orts des Absenders und das Datum, ein. So wie die Information
nacheinander zugeführt
wird, d.h. "Betrag", "Postleitzahlcode" und "Datum", wird sie auf einer
Anzeige 32 zur Bestätigung
angezeigt. Alternativ kann das Datum von der Stations-MPU 30 geführt und
für eine Benutzerbestätigung angezeigt
werden. Wenn sämtliche
richtige Information eingegeben worden ist, wird eine Kante eines
Umschlags 51, der verschickt werden soll, oder ein Etikett
oder ein Versendeformblatt, das an einem zu verschickenden Artikel
angebracht werden soll, in einen Schlitz 50 auf einer Seite
der Portomessstation 20 eingefügt. Die Bewegung des Etiketts
oder des Umschlags kann gesteuert werden, um es/ihn zu dem Druckkopf
auszurichten, wie in herkömmlichen
Messmaschinen vorgesehen. Der Benutzer drückt dann die "Drucken" Taste, um eine Portodrucktransaktion
zu initiieren.
-
Handshake-Erkennungsprozedur
-
Die
tatsächliche
Ausführung
einer Wertaustauschtransaktion wird von einer gegenseitigen Handshake-Erkennungsprozedur
zwischen einem gesicherten Mikroprozessor, der den Kartenkontostand
führt und
einem gesicherten Mikroprozessor, der den Wertausgabebetrieb steuert,
gesichert ausgeführt.
Die Karten-MPU muss den Mikroprozessor des Wertausgabeabschnitts
als gültig
erkennen, und umgekehrt, um eine Transaktion auszuführen. Der Karten-
und der Wertausgabeabschnitt können
deshalb jeweils autonom und gegenüber einer Fälschung oder einer betrugsmäßigen Verwendung
geschützt
bleiben, selbst wenn die Sicherheit des anderen durchbrochen worden
ist. Da sie autonom sind, können
die Karten und die Stationen weitläufig mit einem geringen Risiko
eines Aufbrechens des Systems und ohne die Notwendigkeit für strikte
Zugriffssteuerungen verteilt werden. Gegenüber herkömmlichen mit Karten automatisierten
Transaktionssystemen weist es somit beträchtliche Kosten- und Sicherheitsvorteile
auf.
-
Nachstehend
wird eine verschlüsselte
Zweiweg-Handshake-Ausführungsform
beschrieben. Jedoch ist selbstverständlich, dass irgendeine gegenseitige
Handshake-Prozedur, mit der die Karten- und Ausgabe-Mikroprozessoren
die anderen als autorisiert erkennen können, um eine angeforderte
Transaktion auszuführen,
eingesetzt werden kann. In der bevorzugten Portostations-Ausführungsform
wird die Handshake-Prozedur zwischen der Karten-MPU 60 und
der Drucker-MPU 41 ausgeführt. Wenn das Signal der "Drucken" Taste von der Stations-MPU 30 empfangen
wird, dann öffnet
die letztere, wie schematisch in 2a dargestellt,
einen Kanal 61 für
eine Kommunikation zwischen der Karten-MPU 60 und der Drucker-MPU 61.
Ein "Beginn" Signal und der Betrag
der angeforderten Transaktion, d.h. des Portos, wird von der Stations-MPU 30 an
die Karten- MPU 60 gesendet
und ein ähnliches "Beginn" Signal wird an die
Drucker-MPU 41 gesendet, um den Weg für eine Handshake-Prozedur vorzubereiten.
-
Unter
Bezugnahme auf 2b initiiert die Karten-MPU 60 die
Handshake-Prozedur auf einen Empfang des "Beginn" Signals hin, indem sie zunächst überprüft, ob der
angeforderte Betrag für
die Transaktion verfügbar
ist. Als ein vorteilhaftes Merkmal überprüft die Karten-MPU 60 den
verfügbaren Betrag
der Karte und (wenn dies in dem Programm der Karte implementiert
ist), ob die angeforderte Transaktion innerhalb irgendwelcher von
dem Kartenausgeber spezifizierten Grenzen ist. Beispielsweise kann
die Verwendung der Karte auf einen maximalen Portobetrag und/oder
eine maximale Portoklasse für
jede Transaktion oder eine kumulative Gesamtzahl von Transaktionen
begrenzt werden. Nachdem festgestellt ist, dass die angeforderte
Transaktion autorisiert ist, verschlüsselt die Karten-MPU 60 eine
Objektzahl N, die eine zufallsmäßig erzeugte Zahl
sein kann, mit einer Verschlüsselungszahl
k1 (die die PIN des Benutzers sein kann), die in der Geheimzone
ihres Speichers gespeichert ist, mit einem ersten Verschlüsselungsalgorithmus
E1 und sendet das sich ergebende Wort W1 durch den Handshake-Kanal 61 der
Stations-MPU 30 an die Drucker-MPU 41.
-
Auf
einen Empfang des Worts W1 hin decodiert die Drucker-MPU 41 die
Zahl unter Verwendung der gleichen Zahl k1 durch den inversen Algorithmus E1'. Die Zahl k1 kann
eine in dem Speicher der Drucker-MPU zur Zeit einer Gültigkeitsüberprüfung gespeicherten
Geheimschlüsselzahl
sein, oder in einem offenen System kann sie die PIN sein, die von dem
Benutzer auf der Station eingegeben wird, oder eine Kombination
von beiden. Die Drucker-MPU 41 verschlüsselt dann die decodierte Zahl
mit der Zahl k1 durch einen zweiten Verschlüsselungsalgorithmus E2, um
ein zweites Wort W2 an die Karten-MPU 60 zurückzusenden.
-
Auf
einen Empfang des Worts W2 hin decodiert die Karten-MPU 60 die
Zahl wieder unter Verwendung der Schlüsselzahl k1 durch den inversen zweiten
Algorithmus E2' und
vergleicht die decodierte Zahl mit der Zahl, die sie bei der ersten Übertragung
verwendet hat. Wenn die Zahlen übereinstimmen,
dann ist die Handshake-Prozedur erfolgreich abgeschlossen worden
und die MPUs der Karte und des Druckers haben einander als autorisiert
erkannt, um die angeforderte Transaktion auszuführen. Die Karten-MPU zieht
dann den Portobetrag von dem Kartenwert ab und sendet einen Druckbefehl
und den Portobetrag an die Drucker MPU. Die Drucker-MPU druckt das
Porto auf den Umschlag 51 in Zusammenarbeit mit der Stations-MPU 30,
die die Bewegung des Umschlags unter dem Druckkopf steuert. Die Drucker-MPU
sendet dann ein "Ende" Signal an die Stations-MPU 30,
die dementsprechend den Handshake-Kanal 61 ausschaltet
und sich selbst zurücksetzt,
um die nächste
Transaktionsaufforderung zu empfangen.
-
In
der bevorzugten Ausführungsform
speichert die Karten-MPU 60 nur den Betrag der Transaktion
in ihrer Transaktionsaufzeichnung und sie speichert den neuen Stand
nicht. Anstelle davon wird der Stand aus dem ursprünglich autorisierten
Betrag und der gespeicherten Geschichte von Transaktions-Debitierungen
zu der Zeit neu berechnet, wenn eine Transaktion angefordert wird.
Diese Prozedur ersetzt die Rechenkraft der MPU, um einen beträchtlichen
Betrag des EPROM Speicherplatzes der Karte einzusparen.
-
Das
mit Karten automatisierte Transaktionssystem ist mit einer hohen
Sicherheit auf einer Vielzahl von Ebenen versehen, was besonders
vorteilhaft für
Off-line-Transaktionen
ist, bei denen eine große
Anzahl von ausgegebenen Karten und weitläufig verteilte Stationseinrichtungen
beteiligt sind. Wie in 3 dargestellt sind die Verschlüsselungsalgorithmen
auf der ersten Sicherheitsebene I von dem Hersteller vorgesehen,
der Geheimschlüssel,
PIN, und/oder MIN sind von dem Ausgeber auf der Sicherheitsebene
II vorgesehen, die PIN wird auf der Sicherheitsebene III von einem
bestimmten Benutzer verwendet und die MIN und/oder der Geheimschlüssel wird
auf einer Sicherheitsebene IV verwendet, um eine bestimmte (bestimmte)
Maschine (Maschinen) zu betreiben.
-
Auf
der Ebene I ist der Druckkopf der Station nur dann betreibbar, um
einen Wert auszugeben, d.h. ein Porto zu drucken, wenn die von dem
Hersteller vorgesehenen Verschlüsselungsalgorithmen
mit denjenigen der Karte übereinstimmen,
um dadurch einen Schutz gegen gefälschte Karten und Stationen bereitzustellen.
Selbst wenn die Sicherheit des Herstellers aufgebrochen worden ist
und die Verschlüsselungsalgorithmen
von einem Fälscher
ermittelt worden sind, kann ein Geheimschlüssel auf der Ebene II von dem
Ausgeber zugeordnet und bei der Handshake-Prozedur verwendet werden,
wodurch die Verwendung von gefälschten
Karten und Stationen, die den Geheimschlüssel nicht aufweisen, verhindert
wird. Auf der Sicherheitsebene III kann eine Karte zum Betreiben
einer Station nur dann verwendet werden, wenn die richtige PIN bekannt
ist und wenn anfängliche
Bestätigungsprozeduren
durchlaufen sind. Auf der Sicherheitsebene IV kann eine Karte nur
in einer bestimmten Station, die von der richtigen MIN identifiziert
wird, verwendet werden.
-
Eine
verwandte Ausführungsform
ist in 4 dargestellt, die eine zweite Karte mit postalischen
Kartendaten verwendet, die in einem Speicher gespeichert sind, um
das richtige Porto automatisch zu berechnen. Eine Station 20, ähnlich wie
die voranstehend beschriebene umfasst einen zweiten Schlitz 91 für eine "Raten" Karte 90.
Die Station weist einen Schlitz 50 auf, in den ein postalisches
Etikett oder ein Umschlag 51 eingefügt wird, um von dem Drucker 40 bedruckt
zu werden. Für
ein Paket 52 wird das Etikett 51 dann an dem Paket
zur Versendung angebracht. Eine Waage 53 kann mit der Station
und der MPU 30 verbunden sein, um das Gewicht des Umschlags oder
des Pakets 52 bereitzustellen.
-
Die
Ratenkarte weist eine Speichereinrichtung 92 auf, vorzugsweise
ein IC ROM, auf die von der Stations-MPU 30 durch den Kontaktabschnitt 93, der
in Kontakt mit den Stiftanschlüssen
der Speichereinrichtung in Eingriff steht, zugegriffen wird und
von der Stations-MPU 30 gelesen wird. Schalter 22a und 92a stellen
Signale bereit, wenn die Benutzer- und Ratenkarten in die jeweiligen
Schlitze eingefügt
worden sind. Eine Einfügung
der Benutzerkarte initiiert einen Betrieb der Station. Wenn eine
Ratenkarte nicht eingefügt
ist, kann die Stations-MPU 30 anstelle davon den geeigneten
postalischen Betrag von dem Benutzer durch eine Eingabeaufforderung
auf der Anzeige 32 anfordern. Die Stations-MPU kann auch einen
Modus zum Lesen von postalischen Raten (Gebühren) von der Ratenkarte aufweisen.
-
Der
Programmbetrieb der Porto-Messstation 20 ist in Blockschaltbildform
in 5 dargestellt. Auf eine Einfügung der Benutzerkarte 10 in
den Schlitz 11 hin werden die voranstehend beschriebenen
Benutzerbestätigungsprozeduren
zwischen der Stations-MPU 30 und der Karten-MPU 60 ausgeführt. Wenn
eine nicht autorisierte Karte oder ein nicht autorisierter Benutzer
erfasst wird, dann wird die Karte gesperrt und die Stationsoperationen
werden beendet. Wenn eine gültige
Benutzerkarte bestätigt
wird, dann überprüft das Stationsprogramm,
ob eine Ratenkarte 90 eingefügt ist und ob sie gültig ist.
Die Gültigkeit
kann durch die Ausgabenummer der Karte oder durch ein angezeigte
Ablaufdatum angezeigt werden. Wenn keine Ratenkarte vorhanden ist,
dann fordert die Stations-MPU den Benutzer auf, das gewünschte Porto
einzugeben und geht zu dem Druckschlüssel-Entscheidungsblock 97.
Wenn ein gültige Ratenkarte
vorhanden ist, dann fordert das Stationsprogramm die Codes für den Absendeort
und den Zielort des Artikels und die gewünschte Postgutklasse an. Das
Programm prüft
dann nach einem Signal von der Waage 53, die das Gewicht
des Artikels anzeigt. Wenn keine Waage angeschlossen ist oder kein
Gewicht angezeigt wird, dann fordert das Programm den Benutzer auf,
die Information einzugeben.
-
Der
Ratenkarten-Speicher enthält
eine gegenwärtige
Auflistung der Raten für
einen bestimmten Beförderer
aufgeteilt gemäß der Zonenklassifikationen,
dem Gewicht und/oder dem Postguttyp. Für den U.S. Postdienst wird
der Portobetrag auf Grundlage der Postleitzahlcodes des Absendeorts
und des Zielorts, der Postgutklasse und des Gewichts berechnet,
indem in Tabellen nachgeschlagen wird, die in dem Ratenkarten-Speicher 92 gespeichert
sind. Wenn die "Drucken" Taste gedrückt wird,
dann sendet das Stationsprogramm das "Beginn" Signal an die Karten-MPU und an die
Drucker-MPU, um die Handshake-Prozedur und Debitierungs- und Druckoperationen
wie voranstehend beschrieben auszuführen. Wenn eine "Auto" Modus-Taste der Station
gedrückt
worden ist oder der Benutzer wählt,
im Ansprechen auf eine Eingabeaufforderung fortzufahren, dann kehrt
das Stationsprogramm an den Beginn der Transaktionsschleife, die
mit dem Block 94 bezeichnet ist, zurück. Der "Auto" Modus
kann auch im Zusammenhang mit einem automatischen Zuführer zur Postmarkierung
einer Serie von Umschlägen
oder Etiketten verwendet werden. Der Stationsbetrieb wird beendet,
wenn die Transaktionsschleife nicht fortgesetzt wird oder wenn die
Handshake-Prozedur nicht abgeschlossen ist.
-
Postmarken-Autentifizierung
-
Es
wird nun eine Postmarken-Autentifizierungsprozedur beschrieben.
Die Prozedur ist als ein Sicherheitsmerkmal vorgesehen, um das Drucken
eines gefälschten
Portozeichens von einem Drucker, Kopierer oder einer anderen Faksimileeinrichtung
zu verhindern, die von dem Ausgeber des voranstehend beschriebenen
Karten/Stationssystems nicht autorisiert ist. Herkömmliche
Hochauflösungsdrucker
und Graphikmöglichkeiten
von Personalcomputern stellen ein zunehmendes Risiko dar, das Wertbestätigungszeichen,
wie beispielsweise Postzeichen, Tickets, Coupons, etc. durch einen
Fälscher
simuliert werden können.
In dem vorliegenden System wird ein darunter liegender und/oder
unsichtbarer Maschinen-lesbarer Code zuerst gedruckt und dann mit
einer vom Menschen lesbaren Portomarke überdruckt. Der Code kann von
dem Ausgeber des Portokarten/Stationssystems in einzigartiger Weise
gewählt und
periodisch geändert
werden, um irgendwelche Vorteile zu verhindern, wenn ein nicht autorisierter Zugriff
auf den Code erreicht wird. Ferner kann der Code mit Farbe gedruckt
werden, die in dem normalen Lichtspektrum unsichtbar ist, so dass
er nur mit einem magnetischen, infraroten oder ultravioletten Leser
lesbar ist.
-
Unter
Bezugnahme auf ein in 6a und 6b gezeigtes
Beispiel weist eine herkömmliche gedruckte
Portomarke (Postzeichen) ein Logo oder ein graphisches Design 70,
einen Text 71, der anzeigt, dass das Porto durch den U.S.
Postdienst ausgegeben wird, Zahlen 72, die den Portobetrag
anzeigen, sowie das Datum 73, die Stadt 74, das
Land 75 und den Postleitzahlcode 76 des Absendeorts
und die Identifikationsnummer 77 der Frankiermaschine, von
der das Postzeichen gedruckt wurde, auf. Codierte Zeichen 78 werden
unterhalb des sichtbaren Postzeichens in einem vorgegebenen Codefeld 79 in unsichtbarer,
von einer Maschine lesbarer Farbe gedruckt. Der Algorithmus für die codierten
Zeichen wird von dem Ausgeber gewählt, wobei beispielsweise das
binäre Äquivalent
des Portobetrags, d.h. "90" Cents in 6a,
dargestellt wird, was in binärer
Form in 6b gezeigt ist. Die codierten
Zeichen können irgendein
anderes Element des Postzeichens sein, beispielsweise die Maschinen-Identifikationsnummer oder
ein Postleitzahlcode. Alternativ kann ein Strichcode 83 mit
einem Postzeichen-Informationsabschnitt 83a und einem Prüfcodeabschnitt 83b gedruckt
werden, die auf Grundlage der Postzeichenelemente verschlüsselt werden.
Das Postzeichenelement und/oder der Verschlüsselungsalgorithmus kann in
einzigartiger Weise von dem Ausgeber gewählt werden. Sogar wenn die
codierten Zeichen in sichtbarer Form gedruckt werden, wird die Verschlüsselung
eines variablen Postzeichenelements, beispielsweise des Postleitzahlcodes
des Absenders, des Datums oder des Portobetrags, Kopieren erschweren.
-
Das
Drucken des Portozeichen- und Autentifizierungscodes kann einfach
in dem Karten/Stationssystem, das in 1 gezeigt
ist, eingebaut werden. Der Drucker 42 ist mit einem Speicher 43 versehen,
an den Daten, die die sichtbare Information des Postzeichens und
den berechneten binären
oder einen anderen gewählten
Prüfcode
oder einen umgewandelten Strichcode darstellen, von der Stations-MPU 30 gesendet
werden und in dem diese Daten gespeichert werden. Die Festgraphik
des Postzeichens kann in einem der MPU 30 zugeordneten Speicher
gespeichert werden, was bevorzugt wird, wenn die gleiche Station
die Möglichkeit
eines Druckens einer Vielzahl von Postzeichengraphiken von verschiedenen
Beförderern
und/oder Dienstklassen aufweist, oder sie kann permanent in einem
Abschnitt des Druckerspeichers 43 gespeichert werden. Die feste
Graphik kann anstelle davon in dem Speicher einer Karte gespeichert
werden und von der Stations-MPU 30 in dem Druckerspeicher 43 für eine angeforderte
Transaktion geladen werden. Alternativ kann die feste Graphik auf
einer Druckwalze vorgesehen werden, die mit dem Druckkopf arbeitet,
wenn nur ein Typ von Postzeichen gedruckt werden soll.
-
In
der bevorzugten Ausbildung ist der Druckkopf 42 ein Anschlagdrucker,
der zwei Farbbänder 42a und 42b aufweist,
eines mit unsichtbarer von einer Maschine lesbarer Farbe und das
andere mit einer sichtbaren Farbe. Wenn die Handshake-Prozedur abgeschlossen
worden ist und der Druckbefehl von der Karten-MPU 60 ausgegeben
worden ist, dann greift die Drucker-MPU 41 auf die in dem Speicher 43 gespeicherten
Daten zu und druckt in einem ersten Durchlauf die codierten Zeichen
in unsichtbarer Farbe und druckt dann in einem zweiten Durchlauf
die sichtbare Postzeicheninformation.
-
Wie
in 6a dargestellt, wenn Postgut oder andere Artikel
danach an ein zentrales Postgutverzweigungs- und Verteilungssystem,
beispielsweise dasjenige des U.S. Postdienstes oder eines privaten Beförderers,
gebracht werden, dann kann das Postzeichen unter einen Detektor 80 geführt werden,
der einen Leser 81 für
ein sichtbares Lichtspektrum und einen Codeleser 82, beispielsweise
einen magnetischen, infraroten oder ultravioletten Leser, oder einen
Strichcodeleser 83 für
Strichcodezeichen, aufweist. Wenn die Codezeichen nicht vorhanden
sind oder wenn der Prüfcode
nicht mit dem Element des für
eine Codierung gewählten
Postzeichens übereinstimmt,
kann eine Audit-Aufzeichnung über die
fehlende Übereinstimmung
durchgeführt
werden, beispielsweise durch Aufzeichnen der Maschinen-Identifikationsnummer,
des Datums und des Postleitzahlcodes des Absendeorts. Eine Untersuchung
der Quelle des nicht autorisierten Portos kann dann eingeleitet
werden, wenn zahlreiche Artikel angetroffen werden, die nicht autorisierte Postzeichen
führen. Die
Postzeichen-Autentifizierungszeichen der Erfindung stellen somit
eine zusätzliche
Sicherheitsebene gegenüber
einer Fälschung
bereit, was in herkömmlichen
postalischen Messmaschinen nicht angeboten wird.
-
Station für einen
postalischen Begleitschein
-
Eine
weitere Modifikation ist in 7 dargestellt,
die zum Drucken von standardmäßigen Begleitscheinen
für Versendeartikel
unter Verwendung eines breiten Bereichs von postalischen oder privaten
Befördererdiensten
ausgelegt ist. Eine Station 20' enthält einen Schlitz 11 für eine Benutzerkarte 10, eine
Stations-MPU 30, einen Drucker 40 und eine Drucker-MPU 41,
eine Tastatur 31' und
eine Anzeige 32',
wie voranstehend unter Bezugnahme auf 1 beschrieben.
Die Station enthält
auch einen zweiten Schlitz 91 für eine "Raten" Karte 90 und einen dritten Schlitz 101 für eine "Spezialdienste" Karte 100.
Die Station weist auch einen Schlitz 50 auf, in den ein standardmäßiger Begleitschein 51' eingefügt wird, um
von dem Drucker 40 bedruckt zu werden. Der Begleitschein 51' wird dann an
dem Umschlag oder dem Paket 52 zur Versendung angebracht.
Eine Waage 53 kann mit der Station und der MPU 30 verbunden sein,
um automatisch das Gewicht des Pakets 52 bereitzustellen.
-
Die
Raten- und Spezialdienste-Karten weisen Speichereinrichtungen 92 bzw. 102 auf,
die vorzugsweise IC ROMs sind, auf die von der Stations-MPU 30 durch
Kontaktabschnitte 93 bzw. 103, die in Kontakt
mit den Stiftanschlüssen
der Speichereinrichtungen stehen, zugegriffen werden und von denen
die Stations-MPU 30 liest. Schalter 22a, 92a und 102a stellen
Erfassungssignale bereit, wenn die Karten in die jeweiligen Schlitze
eingefügt
worden sind. Eine Anzeige 32' stellt
ein vollständiges
Feld entsprechend dem Erscheinungsbild des Begleitscheins bereit und
die Tastatur 31' umfasst
einen vollständigen
Satz von alphanumerischen Zeichen und Befehlstasten.
-
Der
Ratenkarten-Speicher enthält
eine gegenwärtige
Auflistung der Raten für
einen bestimmten Beförderer.
Wenn beispielsweise der Beförderer der
U.S. Postdienst ist, dann werden die Postamt-Raten gemäß der Zonen-Klassifikationen,
dem Gewicht und der Postgutklasse aufgelistet. Der Speicher der Spezialdienste-Karte
enthält
ein Programm zum Ausfüllen
eines standardmäßigen Begleitscheins
gemäß der Information
und gemäß der Zeichen,
die von dem Postdienst eines bestimmten Beförderers angefordert werden
und die diesen Postdienst identifizieren. Wenn beispielsweise der
Beförderer
der U.S. Postdienst ist, dann kann die Spezialdienst-Karte die Programme
zum Drucken von Begleitscheinen für Expresspostgut, zertifiziertes
Postgut, eingeschriebenes Postgut, versichertes Postgut, etc. bereitstellen.
-
Der
Programmbetrieb der postalischen Begleitschein-Station 20' ist in Blockschaltbildform
in 8 dargestellt und ein Beispiel eines Begleitscheins
ist in 9 gezeigt. Auf eine Einfügung der Benutzerkarte 10 in
den Schlitz 11 hin werden die Benutzerbestätigungsprozeduren,
die voranstehend beschrieben wurden, zwischen der Stations-MPU 30 und
der Karten-MPU 60 ausgeführt. Wenn eine nicht autorisierte
Karte oder ein nicht autorisierter Benutzer erfasst wird, dann wird
die Karte gesperrt und die Stationsoperationen werden beendet. Mit
einer gültigen
Benutzerkarte überprüft das Stationsprogramm dann,
ob eine Ratenkarte 90 und/oder eine Spezialdienste-Karte 100 eingefügt ist und
ob jede gültig
ist. Eine Gültigkeit
kann durch die Ausgabenummer der Karte oder durch ein angezeigtes
Ablaufdatum bestimmt werden. Wenn keine Ratenkarte oder Spezialdienste-Karte
vorhanden ist, dann fordert die Stations-MPU den Benutzer auf, das
gewünschte
Porto einzugeben und geht dann zu dem Drucktasten- Entscheidungsblock 121.
Die Station wird dann verwendet, um ein Postzeichen zu drucken oder
ein Portoetikett zu bedrucken, wie voranstehend beschrieben. Wenn
eine gültige
Dienste-Karte vorhanden ist, dann zeigt das Stationsprogramm ein
Menü von
Versende- oder Befördererdiensten
von der Dienste-Karte an und fordert den Benutzer auf, einen Dienst
zu wählen.
-
Die
Stations-MPU 30 lädt
das gewählte Dienstprogramm
von der Dienstkarte und führt
es aus, wie mit dem Block 118 angezeigt. Für typische Befördererdienste
zeigt das Dienstprogramm einen standardmäßigen Beförderer-Begleitschein an, der von
dem gewählten
Beförderer
verwendet wird. Wenn beispielsweise der Expresspostgut-Dienst des U.S.
Postdienstes gewählt
wird, wird der in 9 gezeigte Schein angezeigt.
Der Schein enthält
ein Beförderer-Identifikationsfeld 130,
ein Dienstklassen-Feld 131 und Zeiger auf der Anzeige zum
Einfügen
der Information in die Felder 132–137 und 140–146.
Eine Begleitschein-Identifikationsnummer in
einem Strichcode 138 und Zeichen 139 werden für die Transaktion
gewählt
und angezeigt. Vorzugsweise weist die Dienste-Karte eine Liste von
reservierten Begleitschein-Nummern auf, die sequentiell für jede abgeschlossene
Transaktion inkrementiert werden. Wenn eine Transaktion nicht beendet
ist, dann wird die Nummer für
die nächste
Transaktion aufgespart. Wie voranstehend beschrieben kann der Strichcode einen
Abschnitt enthalten, der eine Verschlüsselung eines Elements der
Begleitschein-Information
ist, so dass die Authentizität
des Scheins von einer Maschinen-Verarbeitung des Begleitscheins überprüft werden
kann.
-
Das
Dienste-Programm, so wie es von der Stations-MPU 30 ausgeführt wird,
verwendet als nächstes
Cursor-Eingabeaufforderungen,
um den Benutzer aufzufordern, Information für bestimmte Felder bereitzustellen,
beispielsweise die Postleitzahlcodes oder den Absendeort und den
Zielort 132 und 133 und die Adressen des Absenders
und des Empfängers 140 und 141.
Wenn der Benutzer jeder einzelne Information zuführt und eine "Eingabe" Taste drückt, dann
veranlasst das Programm den Cursor, sich auf das nächste Informationsfeld,
welches eingefüllt
werden soll, zu verschieben, wie mit den Pfeilen C in 9 angedeutet.
Die Felder 134 und 135 für das Datum und die Zeit können von
dem Benutzer angefordert werden oder von der Station zugeführt werden,
wenn sie mit einer Uhr und einem Kalender versehen ist. Das Gewicht 136 kann
von dem Ausgang der Waage 53 bereitgestellt werden, wenn
sie mit der Station verbunden ist, oder es kann von dem Benutzer
zugeführt
werden. Die Maschinen-Identifikationsnummer (MIN) wird von der Station
für das Feld 137 zugeführt.
-
Auf
Grundlage der Postleitzahlcodes des Absendeorts und des Zielorts
und des Gewichts werden der Portobetrag, andere Dienstkosten und
der Gesamtbetrag 144–146 kalkuliert
und unter einer Programmsteuerung unter Verwendung der Ratenkarte, wenn
geeignet, angezeigt. Der gesamte Transaktionsbetrag wird gespeichert.
Wenn die "Drucken" Taste gedrückt wird,
dann sendet das Stationsprogramm das "Beginn" Signal an die Karten-MPU und die Drucker-MPU,
um die Handshake-Prozedur und die Debitierungs- und Druckoperationen
wie voranstehend beschrieben auszuführen. Wenn eine "Auto" Modus-Taste der
Station gedrückt
wird oder der Benutzer wählt,
im Ansprechen auf eine Eingabeaufforderung fortzufahren, dann kehrt
das Stationsprogramm an den Beginn der Transaktionsschleife zurück, wie mit
dem Block 113 angedeutet. Die Stationsoperation wird beendet,
wenn die Transaktionsschleife nicht fortgesetzt wird oder wenn die
Handshake-Prozedur nicht beendet ist.
-
Die
Station kann zum Programmieren und zum Drucken der Begleitscheine
von anderen gewählten
Beförderern
oder Diensten durch Einfügen der
geeigneten Benutzer-, Raten- und/oder Dienst-Karten
verwendet werden. Für
die Bequemlichkeit des automatisierten Stations-Systems ist es wünschenswert,
wenn sämtliche
postalischen und Begleitschein-Ausbildungen
auf eine oder eine begrenzte Anzahl von Ausbildungsvorlagen standardisiert
werden können.
-
Wiederauffüllungs-Station
-
Eine
andere Modifikation ist die Bereitstellung einer Benutzerkarten-Wiederauffüllungsstation, die
an irgendeiner gewünschten
postalischen Geschäfts-
oder Verteilungsstelle für
die Bequemlichkeit des Ausgebers der Karten oder Benutzer geführt werden
kann. Ein neuer Betrag kann in die Benutzerkarte "gefüllt" werden, d.h. an
einen autorisierten Betrag, der in der Benutzerkarte geführt wird,
kreditiert werden, und eine Master-Wiederauffüllungskarte mit einem größeren Betrag
zur Verteilung wird entsprechend debitiert. Die gesicherte Handshake-Erkennungsprozedur
wird ausgeführt,
bevor die Transaktion autorisiert wird. Die Wiederauffüllungs-Station kann
auch verwendet werden, um neue Karten für gültig zu erklären, die
ausgegeben werden sollen.
-
Eine
beispielhafte Ausführungsform
der Wiederauffüllungs-Station ist in 10 gezeigt,
mit einem ersten Schlitz 161 für eine Master-Wiederauffüllungskarte 160,
einem zweiten Schlitz 171 für eine Supervisor-Karte 170,
einem dritten Schlitz 174 für eine Benutzerkarte 10,
einem Stationsmikroprozessor 30'',
einer Tastatur 31'' und einer Anzeige 32". Jede Karte
ist von dem voranstehend beschriebenen Typ mit gesicherten Mikroprozessoren
(MPU) 162, 172 bzw. 60 in Kontakt mit
den jeweiligen Anschlusskontakten 163, 173 und 175.
Schalter 162a, 172a und 176 stellen Erfassungssignale
bereit, wenn die Karten in ihre jeweiligen Schlitze eingefügt sind.
Der Betrieb der Stations-MPU 30'' wird
nach einer Einführung
einer Masterkarte 160 und einer Supervisor-Karte 170 freigeschaltet.
-
Eine
Master-Wiederauffüllungskarte
wird anfänglich
von einem zentralen Ausgeber gekauft, beispielsweise dem U.S. Postdienst,
einem autorisierten Händler
für den
zentralen Ausgeber, oder einer privaten Befördererfirma. Sie ist allgemein
dafür vorgesehen,
um von einer lokalen Wiederauffüllungs-Einheit gekauft
zu werden, die einen Dienst für
einzelne Benutzer bereitstellt, beispielsweise einer Bankzweigstelle,
einem Geschäft
oder einer Firmenabteilung. In der bevorzugten Ausführungsform
ist sie mit einem festen Wert hergestellt und bleibt gesperrt, bis
sie von einer Supervisor-Karte des zentralen Ausgebers aktiviert
wird. Die für
die Handshake-Prozedur verwendeten Verschlüsselungsalgorithmen sind bereits in
ihre MPU-Firmware geschrieben und sie wird aktiviert, um die Handshake-Prozedur
auszuführen, wenn
die Geheimschlüsselzahl
von einer Supervisor-Karte während
der Aktivierungsprozedur installiert wird. Sobald sie aktiviert
ist, wird der Masterkarten-Stand für Wiederauffüllungs-Transaktionen
debitiert, bis er verbraucht ist. Eine Historie von sämtlichen
Debitierungs-Transaktionen
wird in der Masterkarte geführt.
-
Eine
Supervisor-Karte wird von dem zentralen Ausgeber in den Gewahrsam
einer Person oder eines Managers der lokalen Wiederauffüllungs-Einheit
gegeben und eine Supervisor-PIN wird zugewiesen. Die Supervisor-Karte
wird verwendet, um sämtliche
Masterkarten zu entsperren, die an die Wiederauffüllungseinheit
verkauft worden sind, und um eine Aufzeichnung der Seriennummern
der Masterkarten für
nachfolgende Kartenbestätigungsprozeduren
zu führen.
Sie wird verwendet, um Kreditierungstransaktionen an Benutzerkarten
zu autorisieren und führt eine
Transaktionsaufzeichnung von sämtlichen
Wiederauffüllungsoperationen
und der Identität
der Empfänger-Benutzerkarten.
Die Supervisor-Karte wird mit den Handshake-Verschlüsselungsalgorithmen
in einer Firmware hergestellt und kann von dem zentralen Ausgeber
mit einer Geheimschlüsselnummer
versehen werden, die in den Master- und Benutzerkarten installiert
werden soll. Die Master- und Supervisorkarten zusammen ermöglichen,
dass Benutzerkarten in zweckdienlicher Weise an weitläufig verteilten
lokalen Einheiten ohne das Erfordernis einer On-line-Bestätigung jeder
Wiederauffüllungstransaktion
von dem zentralen Ausgeber wiederaufgefüllt werden können. Alternativ
kann die Benutzerkarte von der Masterkarte alleine wiederaufgefüllt werden, wobei
die Handshake-Prozedur zwischen der MPU der Benutzerkarte und der
MPU der Masterkarte ausgeführt
wird. Jedoch ist die Verwendung einer steuernden Supervisor-Karte
als eine zusätzliche
Sicherheitsebene zum Abwehren einer Fälschung oder einer betrugsmäßigen Verwendung
der Masterkarten mit dem höheren
Wert bevorzugt.
-
Der
Betrieb der Wiederauffüllungs-Station wird
nun für
das bevorzugte System mit drei Karten unter Bezugnahme auf das Blockschaltbild
in 11 beschrieben. Auf eine Initiierung des Stations-Programms
hin wird die Masterkarte im Block 180 überprüft, um zu bestimmen, ob sie
bereits aktiviert ist. Wenn nicht, dann folgt die Station einer
Aktivierungsprozedur im Block 181 zum Bestätigen der
Supervisor-PIN, zum Überprüfen der
Masterkarten-Seriennummer, zum Installieren einer Geheimschlüsselzahl in
der Masterkarte, zum Ausführen
der Handshake-Prozedur, dann zum Entsperren des Kontostands der
Masterkarte und zum Aufzeichnen der Seriennummer, des Kontostands,
des Datums und anderer Transaktionsinformation der Masterkarte.
-
Wenn
die Masterkarte bereits aktiviert worden ist, überprüft die Supervisorkarte die
Seriennummer der Masterkarte gegenüber ihrer Aufzeichnung von
autorisierten Masterkarten. Wenn die Masterkarte nicht autorisiert
ist, dann geht das Stationsprogramm zu einer Endprozedur im Block 197.
Mit einer autorisierten Masterkarte überprüft das Stationsprogramm, ob
die in die Station eingefügte
Benutzerkarte neu ist oder wiederaufgefüllt werden soll. Für eine neue
Benutzerkarte führt
die Wiederauffüllungsstation
an den Blöcken 190–193 eine
Gültigkeitsüberprüfungs-Prozedur
aus, die ein Überprüfen der
bestimmten Kartenseriennummer mit der in ihrem Speicher eingebetteten
Nummer, ein Aufzeichnen der Identifikationsinformation des Benutzers
und ein Zuweisen einer Benutzer-PIN enthält. Im Block 192 fordert
die Station den Betreiber zur Eingabe von irgendwelchen Beschränkungen
hinsichtlich der Beträge
oder des Typs von Transaktionen, für die die Karte verwendet werden
kann, der Identifikationsnummern der Stationen, auf die die Karte
beschränkt
ist, oder eines Ablaufdatums, wenn von dem Ausgeber benötigt, auf. Die
Gültigkeitsüberprüfungs-Prozedur
wird beendet, indem die Geheimschlüsselnummer installiert und die
Geheimspeicherzone verschlossen wird.
-
Wenn
die Benutzerkarte wiederaufgefüllt werden
soll, wird die Benutzer-PIN bestätigt
und dann wird die Karte auf irgendeinen Kontostand geprüft, der
in Richtung auf den neuen Betrag oder auf das Konto des Benutzers
hin kreditiert werden soll. Der alte Speicherabschnitt wird dann
für weitere Transaktionen
gesperrt und kann nur zum Auslesen einer Transaktionshistorie verwendet
werden. Auf eine Aufforderung nach einem neuen Betrag hin, entweder
für eine
neue Karte, die für
gültig
erklärt
worden ist, oder für
eine Karte, die wiederaufgefüllt
werden soll, eröffnet
die Stations-MPU 30'' einen Handshake-Kanal
und die voranstehend beschriebene Handshake-Prozedur wird zwischen
der Master-MPU 162 und der Supervisor-MPU 172 ausgeführt. Wenn
die Handshake-Prozedur beendet ist, wird der Master-Kontostand debitiert
und die Supervisorkarte schreitet fort, um einen neuen Transaktionsspeicherabschnitt
in der Benutzerkarte zu öffnen, in
die der neue Stand geschrieben wird. Das Programm stellt dann am
Block 197 eine Endauswahl von weiteren Operationen bereit,
die auf der Wiederauffüllungs-Station
ausgeführt
werden können.
Beispielsweise kann eine andere Wiederauffüllungs-Transaktion verarbeitet
werden, die Supervisorkartenaufzeichnung kann aktualisiert werden,
auf die neu für
gültig
befundene Benutzer- oder Masterkarte kann eine Seriennummer oder
eine Kontonummer eingeprägt
werden, wenn die Station mit einer Prägemaschine verbunden ist, oder
Operationen können
beendet werden.
-
Das
beschriebene Wiederauffüllungs-System
ist auf verschiedenen Sicherheitsebenen geschützt. Zunächst wird eine Supervisor-Karte
benötigt
und die Benutzerkarte muss durch die Benutzer-PIN für gültig erklärt werden.
Die Masterkarte muss von der Supervisor-Karte für gültig erklärt werden und muss die Handshake-Prozedur
ausführen, bevor
die Benutzerkarte mit einem neuen Betrag kreditiert wird. Das Karten/Stationssystem
weist den hauptsächlichen
Vorteil auf, dass die Debitierung des Kartenstands in dem gleichen
Zeitrahmen ausgeführt wird,
in dem der Wert-Ausgabebetrieb ausgeführt wird und der Austausch
für jede
Transaktion nur dann ausgeführt
werden kann, wenn die gegenseitige Handshake-Erkennungsprozedur zwischen den gesicherten
Mikroprozessoren, die jeden Teil steuern, ausgeführt wird. Ferner kauft der
zentrale Ausgeber das Karten/Stationssystem von dem Hersteller mit
einem gegebenen Satz von Verschlüsselungsalgorithmen
und wählt
dann einen einzigartigen Geheimschlüssel, der dem Hersteller nicht
bekannt ist. Somit wird ein Eindringen in die Sicherheit des Herstellers die
Sicherheit des Systems des Ausgebers nicht kompromittieren. Durch
Ausgeben von Karten mit definierten Ablaufdaten oder Seriennummern
oder durch periodisches Ändern
der Geheimschlüssel kann
ein Ausgebersystem für
Fälscher
noch undurchdringbarer gemacht werden.
-
Die
Benutzerkarte ist nicht lediglich eine passive Aufzeichnung einer
Kontonummer und eines Kontostands, sondern arbeitet anstelle davon,
um einen echten Schutz gegenüber
einer nicht autorisierten Verwendung der Karte bereitzustellen,
beispielsweise, wenn eine Abfolge von unrichtigen PIN-Eingaben durchgeführt wird,
wenn die Karte über
ihr Ablaufdatum hinaus oder in einer nicht autorisierten Maschine
verwendet wird, oder wenn eine angeforderte Transaktion über vorgegebene
Grenzen hinausgeht. In ähnlicher
Weise ist der Wert-Ausgabeteil der Station durch das physikalische
Verbinden des Drucker-Mikroprozessors mit dem Druckkopf davor geschützt, dass
an ihm herumhantiert wird.
-
Da
ferner die postalischen und Wiederauffüllungs-Transaktionen mit Karten ausgeführt werden, die
von einem zentralen Ausgeber ausgegeben werden, und nur in dem System
des Ausgebers stattfinden, sind sie vor gefälschten Karten oder Karten,
die von einem anderen System ausgegeben werden, geschützt. Ein
System eines Ausgebers bleibt somit gegenüber Systemen von sämtlichen
anderen Ausgebern verschlossen und mehrere Systeme können die gleichen
Stationen ohne eine gegenseitige Störung verwenden. Beispielsweise
können
der U.S. Postdienst und mehrere private Beförderer jeweils ein getrenntes
Ausgeber-System bilden, das seine eigenen Karten ausgibt. Ein Benutzer
kann eine Karte von jedem System kaufen und die richtige Karte in
jeder Station, die an einer lokalen Einheit (Zweigstellen-Postamt,
Bankzweigstelle, lokales Geschäft)
geführt
wird, verwenden, um ein autorisiertes Porto oder einen autorisierten
Begleitschein zur Verwendung in dem entsprechenden System zu erzeugen. Dann
werden Benutzer den Vorteil eines gesicherten und bequemen Zugriffs
auf einen breiten Bereich von postalischen und Befördererdiensten
aufweisen.
-
Wie
oben beschrieben, umfassen die Mikroprozessorkarten (Benutzer, Master
und Supervisor), die Speicherkarten (Raten und Spezialdienste) und die
Stationen (Messstation, Begleitschein-Druckstation und Wiederauffüllungs-Station)
bilden ein integriertes postalisches Transaktionssystem, das im Vergleich
mit herkömmlichen
postalischen Maschinen einen beträchtlich verbesserten Zugriffs-,
Zweckdienlichkeits- und Sicherheitsgrad aufweist. Das Gesamtsystem
ist in 12 dargestellt. Es ermöglicht, dass
weitläufig
ausgegebene Benutzerkarten in weitläufig verteilten Portomess-
und Begleitschein-Druckstationen verwendet werden, mit den geeigneten
Raten- und/oder Dienstkarten, um auf eine Vielzahl von postalischen
und Fördererdiensten zuzugreifen.
Die Wiederauffüllungs-Stationen
ermöglichen
einem zentralen Ausgeber, einen postalischen monetären Wert
an Benutzer an weitläufig
verteilten Orten zu verteilen. Strikte physikalische Zugriffssteuerungen
werden nicht benötigt,
die Notwendigkeit zum Begrenzen der postalischen Beträge und der
Dienste, die von ausgegebenen Karten erzielbar ist, ist verringert,
persönliche
Kauftransaktionen werden vermieden und eine On-line-Bestätigung von
einem zentralen Kontobüro
wird umgangen. Die Karten und Stationen werden konfiguriert, um
autonom zu sein, und dennoch wird eine gegenseitige Erkennung und
eine Bestätigung
der Gültigkeit
und der Transaktionsbeträge
benötigt,
wodurch ein hoher Sicherheitsgrad für das System bereitgestellt
wird.
-
Die
Erfindung ist nicht auf die beschriebenen automatisierten postalischen
Stationen beschränkt. Die
Prinzipien können
auf irgendeine andere Wertaustauschtransaktion angepasst werden,
bei der es gewünscht
wird, eine Kontokarte in einem off-line automatisierten Stationssystem
zu verwenden. Somit können
die beschriebenen Smartkarten und Wertausgabestationen auch zum
Ausgeben von Bargeld zum Drucken von Fahrkarten, zur Ausgabe von
Coupons etc. verwendet werden und der Benutzer kann eine Vielzahl
von Karten besitzen, die jeweils von einem zentralen Ausgeber für den bequemen
Kauf von verschiedenen Wertartikeln ausgegeben werden. Durch Implementieren
von Smartkarten- und Stations-MPU-Programmen, die nach autorisierten
Maschinen-Identifikationsnummern
und Kartenseriennummern prüfen,
oder die Handshake-Prozedur mit unterschiedlichen Algorithmen und/oder
Geheimschlüsseln
ausführen,
kann ein System des Ausgebers auch so konfiguriert werden, dass
die Karten des Ausgebers und die Stationen für bestimmte Familien, Serien
oder Orte offen oder beschränkt
gemacht werden können.
-
Da
Konzept schließt
auch andere Merkmale ein, die nützliche
Zusätze
zu den voranstehend beschriebenen zentralen Konzepten sind. Beispielsweise
kann ein Transaktionshistorien-Drucker bereitgestellt werden, von
dem ein Benutzer eine Aufzeichnung von in der Smartkarte gespeicherten
Transaktionen auf die Eingabe der richtigen PIN hin drucken kann.
Die verschiedenen Karten können
mit Kerben oder einer Kante oder mit codierten Schlüsselelementen
versehen werden, um eine Einfügung
der falschen Karte in einen unrichtigen Stationsschlitz oder in
eine Station eines anderen Ausgebersystems zu verhindern. Ferner
kann das System auf On-line-Transaktionssysteme angewendet werden. Beispielsweise
kann die Stations-MPU mit einer Telefonleitung oder einem lokalen
Netz zu einem zentralen Verarbeitungsamt für eine Genehmigung der Transaktion
vor der Ausführung
der Transaktion verbunden sein. Eine On-line-Bestätigung kann
für Initialisierungs-
und Wiederauffüllungs-Transaktionen gewünscht werden,
die weniger häufig
sind und einem höheren
Wert als Kauf-Transaktionen durchgeführt werden. Als ein weiteres
Sicherheitsmerkmal kann die Karte oder können Serien von Karten mit Verschlüsselungsalgorithmen
und/oder Geheimschlüsselnummern
ausgegeben werden, die periodisch geändert werden, und die Verschlüsselungsalgorithmen
und Geheimschlüssel,
die den Karten entsprechen, die für eine Transaktion angeboten
werden, können
in die Station geladen werden, wenn die Stations-MPU eine On-line-Verbindung
mit dem zentralen Amt herstellt.
-
Auf
Grundlage der vorangehenden Offenbarung sind viele andere Peripheriemerkmale
und Modifikationen und Änderungen
hinsichtlich der Prinzipien der Erfindung Personen, die mit automatisierten Stationen
und Smartkarten-Systemen vertraut sind, offensichtlich. Es ist beabsichtigt,
dass die Ausführungsformen
und Merkmale, die hier beschrieben sind, und sämtliche weiteren Merkmale,
Modifikationen und Variationen in dem zulässigen Umfang der Erfindung,
so wie er in den beigefügten
Ansprüchen definiert
ist, enthalten sind.