DE2245027C2 - Geldausgabevorrichtung mit Prüfeinrichtung - Google Patents
Geldausgabevorrichtung mit PrüfeinrichtungInfo
- Publication number
- DE2245027C2 DE2245027C2 DE2245027A DE2245027A DE2245027C2 DE 2245027 C2 DE2245027 C2 DE 2245027C2 DE 2245027 A DE2245027 A DE 2245027A DE 2245027 A DE2245027 A DE 2245027A DE 2245027 C2 DE2245027 C2 DE 2245027C2
- Authority
- DE
- Germany
- Prior art keywords
- card
- security
- account
- data
- money
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F19/00—Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
- G07F19/20—Automatic teller machines [ATMs]
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F19/00—Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
- G07F19/20—Automatic teller machines [ATMs]
- G07F19/202—Depositing operations within ATMs
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F19/00—Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
- G07F19/20—Automatic teller machines [ATMs]
- G07F19/209—Monitoring, auditing or diagnose of functioning of ATMs
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F19/00—Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
- G07F19/20—Automatic teller machines [ATMs]
- G07F19/21—Retaining of the payment card by ATMs
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1025—Identification of user by a PIN code
- G07F7/1058—PIN is checked locally
- G07F7/1066—PIN data being compared to data on card
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Description
Die Erfindung bezieht sich auf eine üeldausgabevorrlchtung
mit einer Prüfeinrichtung für die Gültigkeit einer Zugang zur Geldausgabevorrichtung gewährenden
Berechtigungskarte und der Berechtigung Ihres Benutzers, wobei auf der Berechtigungskarte Daten aufgezeich-
net sind, die von einer Leseeinrichtung der Geldausgabevorrichtung
ablesbar und mit neuen Daten überschreibbar sind, mit einer in der Prüfeinrichtung enthaltenen
Verschlüsselungseinrichtung, die die von der Berechtigungskarte abgelesenen Daten nach einem bestimmten
Code verschlüsselt und mit einer Vergleichseinrichtung,
die die verschlüsselten Daten mit einem vom Benutzer über eine Tastatur der Geldausgabevorrichtung einzugebenden
Kennwort bzw. einer Kennziffer vergleicht und bei Übereinstimmung bzw. bei einem festlegbaren funktionellen
Zusammenhang ein Signal zur Freigabe des gewünschten Geldbetrages abgibt.
Es sind automatische Geldausgabevorrichtungen bekannt, bei denen ein von der die Geldausgabevortichtung
betreibenden Bank autorisierter Benutzer mittels einer Kreditkarte, die er zusammen mit einem über eine
Tastatur eingebbaren Kennwort In die automatische Geldausgabevorrichtung eingibt, jederzeit Geld von seiners1.
Konto abheben kann. Die von dem autorisierten
Bankkunden benutzte Kreditkarte enthält neben der Kontonummer des Bankkunden eine Sicherheitsinformation,
die bei Benutzung der automatischen Geldausgabevorrichtung von der Geldausgabevorrichtung abgelesen
und mit dem von dem Bankkunden eingegebenen Kennwort verglichen wird. Wird eine Übereinstimmung zwischen
der Sicherheitsinformation und dem eingegebenen Kennwort festgestellt, so kann ein bestimmter Geldbetrag
abgehoben werden, und in entsprechender Weise wird das konto des Bankkunden belastet.
Eine mit einer Berechtigungskarte zu bedienende Geldausgabevorrichtung der genannten Art ist aus der
Zeitschrift »Control Engineering« vom Mai 1968, S. 66, bekannt, bei der jedem zur Benutzung der Geldausgabevorrichtung
autorisierten Benutzer eine spezifische Geheimnummer und eine entsprechend verschlüsselte
Berechtigungskarte zugeteilt wird. Um Geld von der Geldausgabevorrichtung zu erhalten, muß der Benutzer
die Berechtigungskarte in die Geldausgabevorrichtung einfügen und anschließend über eine Tastatur seine spezifische
Geheimnummer In die Geldausgabevorrichtung eingeben. Sowohl die von der Berechtigungskarte abgelesene
Codenummer als auch die eingegebene Geheimnummer werden von der Geldausgabevorrichtung elektronisch
abgetastet und miteinander verglichen. Besteht zwischen beiden Ziffern eine bestimmte Beziehung, die
automatisch in periodischen Abständen von dem bekannten System verändert wird, so nimmt die dezentrale
Geldausgabevorrichtung Koniakt mit einer zentralen Steuereinheit auf, die bei ausreichender Deckuiig des
Kontos des Benutzers ein Freigabesignal an die dezentrale Geldausgabevorrichtung abgibt, die dann den
betreffenden Betrag auszahlt.
Bei der bekannten Geldausgabevorrichtung ist es jedoch möglich, daß eine Person, die Zugang zu einer
oder mehreren Kreditkanen und einer oder mehreren Kennworten ues Systems hat, das Sicherheitssystem
durchbrechen kann, da sie mit der auf der betreffenden Kreditkarte enthaltenen Information und unter Berücksichtigung
des Umstandes, daß sämtliche Kreditkarten und damit Sicherheitsinformationen auf der Kreditkarte
eines Systems in bestimmter Weise miteinander zusammenhängen, die Karte duplizieren und ohne Berechtigung
an den verschiedenen externen Schaltern anwenden kann.
Zur Überprüfung der Rechtmäßigkeit der Benutzung einer Kreditkarte ist aus der DE-OS 19 62 765 eine Einrichtung
bekannt, bei der auf der Kreditkarte eine Kartennummer oder Kennzahl aufgezeichnet ist, der eine
nur dem rechtmäßigen Benutzer mitgeteilte geheime Zahl zugeordnet ist, die sich durch Umsetzen der auf der
Karte befindlichen Kennzahl nach einer vorbestimmten Regel ergibt. Dabei wird die Kennzahl durch eine Schlüsselzahl
erweitert und mittels der Umsetzvorrlchtung die Reihenfolge bzw. Anordnung der die Karten-Kennzahl
bildenden Ziffern nach einer festen Regel geändert, die durch die zusätzliche Schlüsselzahl festgelegt ist. Danach
werden aus der umgestellten Karten-Kennzahl einige Ziffern nach einer weiteren, ebenfalls durch die Schlüsselzahl
bestimmten Regel entfernt und schließlich die die verbleibenden Ziffern der umgestellten Karten-Kennzahl
aulweisende Zahl als geheime Zahl der Karte verwendet.
Auch bei dieser bekannten Vorrichtung wird zumindest teilweise von der aul der Kreditkarte aufgeschriebenen
Kennzahl ausgegangen und die Benutzernummer durch Weglassen und Umjtellen der von der Berechtigungskarte
abgegebenen Zahl gewonnen. Dadurch enthält die Benutzernummer keine Zitier, die nicht ebenfalls
In der auf der Kreditkarte aufgezeichneten Zahl vorkommt,
so daß mit Hilfe mehrerer gefälschter Kreditkarten und entsprechend permutierten Benutzernummern
ein. unerlaubter Zugang möglich wird.
Aus der US-PS 32 21 304 ist ein Sicherheitssystem für eine automatische Geldausgabevorrichtung bekannt, bei
der dem autorisierten Kunden ebenfalls eine Kreditkarte ausgehändigt wird, auf der eine vorbestimmte Information
einschließlich einer Geheimzahl aufgezeichnet ist, wobei dem Kunden gleichzeitig eine Benutzernummer
mitgeteilt wird, die mit der auf der Kreditkarte aufgezeichneten Geheimzahl in einem vorbestimmten Zusammenhang
steht. Bei der bekannten Vorrichtung wird die vom autorisierten Benutzer eingegebene Benutzernumrrer
auf zweierlei Art verschlüsselt und die verschlüsselten Zahlen mit den von der Kreditkarte abgelesenen Zahlen
auf Übereinstimmung verglicher.. Dabei bezieht sich eine der beiden auf der Kreditkarte aufgezeichneten Zahlen
auf eine Aufzeichnung aus dem letzten Benutzungsfall
der Karte, während die andere Zahl aus dem vorletzten Benutzungsfall der Karte stammt. Die Berechtigung
wird aber bereits dann anerkannt, wenn wenigstens für eine der Zahlen Übereinstimmung besteht, so daß sich
das bekannte Sicherungssystem darauf beschränkt, die eingegebene Benutzemummer zu verschlüsseln und die
verschlüsselte Benutzemummer direkt mit der auf der Kreditkarte aufgezeichneten Ziffer zu vergleichen.
Dadurch ist das bekannte Sicherungssystem ebenfalls umgehbar, wenn mehrere Berechtigungs- oder Kreditkarten
und Benutzernummern bekannt sind, aus denen sich durch Permutation der jeweilige Sicherungsschlüssel
ableiten läßt.
Aufgabe der vorliegenden Erfindung ist es, eine automatische
Geldausgabevorrichtung der eingangs genannten Art zu schaffen, bei der die Gültigkeit der den
Zugang zur automatischen Geldausgabevorrichtung ermöglichenden Berechtigungskarte selbst in der Weise
überprüft wird, daß ein Duplizieren der Berechtigungskarte und des auf der Berechtigungskarte befindlichen
verschlüsselten Codewortes durch nicht autorisierte Personen unmöglich wird.
Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß die Leseeinrichtung sowohl einen Sicherheitskartenleser,
der eine auf die Berechi.gungskarte aufgezeichnete Sicherheitszahl erfaßt als auch einen Kontokartenleser,
der auf der Berechtigungskarte aufgezeichnete Kontonummern erfaßt, enthält, daß eine Verschlüsselungseinheit
mit mindestens einer Sicherheitstabellen-Einrichtung, deren Tabellen über eine gesicherte Eingabe änderbar
sind und eine mit dem Sicherheitskartenleser, dem Kontokartenleser, der Verschlüsselungselnheit und einer
zentralen Datenverarbeitungsanlage sowie wahlweise mit einem Drucker, Lochkartenleser oder dergleichen, verbundene
elektronische Logikeinheit vorgesehen ist, die die von dem Slcherheltskartenleser abgegebene Zahl entschlüsselt
und durch Vergleich mit in einer Tabelle enthaltenen Zahlen die Gültigkeit der Berechtigungskarte
überprüft und die die von dem Kontokartenleser erfaßten Kontozahlen mittels einer der Verschlüsselungseinheit
entnommenen Zufallszahl In modifizierte Kontozahlen umwandelt und die ein Sicherheitsmodul enthält, in dem
Qi_n modifizierten Kontozahlen zugeordnete veränderbare
Kennwerte gespeichert sind, die an einen nachgeschalteten Funktionsgenerator abgegeben werden, der eine veränderbare
Steuerschaltung zur Ausführung bestimmter arithmetischer Funktionen enthält und der ausgangsseltlg
mit einer Vergleichseinrichtung verbunden ist und daß der Ausgang der Vergleichseinrichtung sowohl mit
einer Geldausgabeeinheit als auch mit der elektronischen
Logikeinheit verbunden Ist und die Freigabe des vom Benutzer gewünschten Geldbetrages veranlaßt und
zurückmeldet.
Die erflndungsgemäße Lösung verhindert das Übertragen
und Entziffern einer Berechtigungskarte auf nachgemachte bzw. gefälschte Berechtigungskarten auch bei
Kenntnis mehrerer Berechiigungskarten eines Systems. Eine Benutzung einer nachgemachten oder gefälschten
Berechtigungskarte ohne gleichzeitige Kenntnis des erforderlichen Kennwortes, das in direktem Zusammenhang
mit der ordnungsgemäßen Berechtigungskarte steht, ist auch bei Kenntnis verschiedener Berechtigungskarten
und der daraus ableitbaren möglichen Zusammenhänge zwischen den auf der Berechtigungskarte
aufgezeichneten Daten und dem dem autorisierten Benutzer mitgeteilten Kennwort nicht möglich, da der
nicht autorisierte Benutzer den Sicherheitskartenleser nicht umgehen kann.
Vorteilhafte Ausgestaltungen der erfindungsgemäßen Lösung sind den Merkmalen der Unteransprüche zu entnehmen.
Die das Konto und die Sicherung gegen unberechtigte Benutzung betreffende Information, die von einer Karte
bei ihrer Benutzung abgelesen wird, wird somit vor dem Vergleich mit einer direkt in die Geldausgabevorrichtung
über die Dateneingabe der automatischen Geldausgabevorrichtung eingegebenen Information nach einem geheimen
Schlüssel modifiziert. Auf diese Welse werden die auf der Karte gespeicherten Daten nach einem vorbestimmten
Algorithmus vor dem Vergleich mit der durch den Kartenbenutzer in die Geldausgabevorrichtung eingegebenen
Information modifiziert. Dadurch 1st die persönliche Identifizierungsinformation von der Art des
Kennwortes, die im Zeitpunkt der Benutzung der Karten
In die automatische Geldausgabevorrichtung eingegeben wird, nicht identisch mit derjenigen von der Karte gelesenen
Information, die früher auf der Karte gespeichert wurde, sondern eine variable Information davon. Diese
Maßnahme erhöht die Systemsicherheit, indem das 4n
direkte Ablesen der auf der Karte gespeicherten Informationen oder Zeichen verhindert wird, aus der die zur
Betätigung der automatischen Geldausgabevorrichtung erforderliche Kennwortinformation abgeleitet werden
kann, so daß ein Duplizieren bzw. Fälschen einer Berechtigungskarte mit dazugehörigem Kennwort unmöglich
gemacht wird.
Wenn die Karte benutzt wird, wird die vorher auf der Karte gespeicherte Information gelesen und in die Geldausgabevorrichtung
eingegeben. Der abzvihehende Betrag wird in die Vorrichtung, beispielsweise über eine Schalttafel,
eingegeben, und das Kennwort oder eine andere Sicherheitsinformation, beispielsweise eine vier-, fünf-
oder sechsziffrige Zahl, wird gleichzeitig über eine Schalttafel in die Vorrichtung eingegeben. Die Kreditkarte
wird von der Geldausgabevorrichtung aufgenommen, und die früher gespeicherte Information betreffend
die Sicherheit und das Konto wird gelesen und gleichzeitig in die Maschine eingegeben und auf diese Weise diese
Information entsprechend einem Sicherheits- oder Geheim-Algorithmus logisch verarbeitet, um eine persönliche
Identifizierungszahl, beispielsweise von vorbestimmter Ziffernlänge, zu bilden.
Diese persönliche Identifikationszahl, die jetzt eine kryptographische oder logische Funktion der früher auf
der Karte gespeicherten und bei Eingabe in die Geldausgabevorrichtung gelesenen Information ist, ist jetzt zum
Vergleich mit der persönlichen Kontenslcherheits-Infor-
65 mation bereit, die von derjenigen Person eingegeben
wird, die die Karte vorgelegt hat. Die persönliche Identillkationszahl
kann eine mehrzilfrlge Zahl beliebiger
Länge sein, beispielsweise aus fünf, sechs oder sieben Ziffern bestehen. Diese Ziffern oder Kennwörter werden
beispielsweise über eine Schalttafel eingegeben und die Sicherheitsdaten oder die persönliche Identlllkatlonszahl,
die über die Schalttafel eingegeben wurde, werden mit
der persönlichen Identifikationszahl verglichen, die in der Geldausgabevorrichtung aus der von der Karte abgelesenen
Information gebildet wurde. Wenn der Vergleich positiv ausfällt, d. h. wenn beide Informationen übereinstimmen,
dann wird der normale Geldausgabezyklus eingeleitet. Wenn der Vergleich dagegen negativ ausfällt,
wird zweckmäßigerweise eine Lampe aufleuchten und dem Benutzer anzeigen, daß er die Zahl unrichtig eingegeben
hat. Der Benutzer kann eine vorbestimmte Anzahl von Malen, beispielsweise zweimal, versuchen, seine
Zahl richtig einzugeben. Wenn er innerhalb einer vorbestimmten Anzahl von Versuchen es nicht zuwege bringt,
die Zahl richtig einzugeben, wird die Karte zweckmäßig In der Geldausgabevorrichtung festgehalten, und der
Maschinenzyklus wird abgeschaltet, wodurch jede weitere Benutzung durch eine Person verhindert wird, die
die Karte in falscher Weise vorgelegt hat.
Anhand eines in der Zeichnung dargestellten Ausführungsbeispieles
soll der der Erfindung zugrunde liegende Gedanke näher erläutert werden. Es zeigt
Fig. 1 eine Ansicht einer für automatische Geldausgabevorrichtungen
verwendbaren Kreditkarte;
Fig. 2 eine Teilansicht einer automatischen Geldausgabevorrichtung;
Fig. 3 ein Blockschaltbild der Funktionseinheiten der
automatischen Geldausgabevorrichtung;
Fig. 4 eine symbolische Darstellung des kryptographischen
Algorithmus und der Bearbeitungseinheiten und
Fig. 5 ein Blockschaltbild der elektronischen Logikeinheit.
Fig. 1 zeigt eine Kreditkarte 9, die in einer automatischen Geldausgabevorrichtting verwendbar ist.
Jeder zur Benutzung einer automatischen Geldausgabevorrichtung
autorisierte Bankkunde erhält eine Kreditkarte der in Fig. 1 dargestellten Art, die vorgespeicherte
Informationen oder Daten enthält, die normalerweise für Bankgeschäfte benötigt werden. Diese Daten
sind auf verschiedenen Flächen der Karte gespeichert oder aufgeschrieben. So können beispielsweise der Name
der ausgebenden Bank, das Ablaufdatum oder dergleichen auf der Magnetspur 10 aufgezeichnet sein. Weiterhin
sind Daten bezüglich der Kontennummer des Kunden sowie zusätzliche Sicherheitsinformationen, beispielsweise
ein Kennwort, in Ziffernform verschlüsselt auf der Magnetspur 10 aufgezeichnet. Weitere Daten,
beispielsweise zur Begrenzung der Benutzungshäufigkeit der Karte innerhalb eines bestimmten Zeitraumes, können
In ähnlicher Weise in vorbestimmten Feldern auf den Magnetstreifen oder auf andere Weise entweder
sichtbar oder unsichtbar auf der Kartenfläche aufgezeichnet sein. Die Information oder Daten können in
verschiedenen Feldern auf der Karte in einer Weise verteilt sein, die ein leichtes Auslöschen oder Ausstreichen
verhindert.
Ein wichtiges Merkmal der Kreditkarte besteht darin, daß sie Sicherheitsinformationen trägt. Wenn dem Bankkunden
eine Karte ausgehändigt worden ist, wird ihm seine geheime Sicherheits- oder persönliche Identifikationszahl
mitgeteilt. Diese Zahl muß in die Maschine eingegeben werden, wenn der Kunde seine Kreditkarte
einer Geldausgabevorrichtung anbietet. Wie weller unten
noch genauer beschrieben werden wird, wird der Kartenbenutzer
als der rechtmäßige Eigentümer erkannt, wenn bei Benutzung der Karte eine vorbestimmte Beziehung
zwischen der Geheimzahl, die bei Eingabe der Karte in die Maschine eingegeben wird, und der persönlichen
Identifikationszahl besteht, die die Person in die Maschine eingibt. Auf diese Weise ist die Benutzung der
Karte autorisiert und Mißbrauch wird verhindert.
Fig. 2 zeigt in Vorderansicht eine automatische Geldausgabevorrichtung
11. Die Geldausgabevorrichtung selbst könnte beispielsweise an der Außenwand einer
Bank oder eines anderen Gebäudes befestigt sein, wobei die Vorderplatte öffentlich zugängilch ist. In die Wand
oder Halterung kann ein geeigneter Tresor eingebaut
sein, oder es können andere Vorkehrungen getroffen sein, die die Geldausgabevorrichtung vor unsachgemäßer
Bedienung schützen. Die Frontplatte 12 trägt ein Anzeigefenster 13, einen Eingabeschlitz 14 sowie eine Informationseingabevorrichtung
15 und einen Ausgabeschlitz 16. Diese erwähnten Vorrichtungen sind funktionsmäßig
bekannt.
Das Anzeigefenster 13 Ist in sechzehn Abschnitte gegliedert, von denen jeder eine programmierte Befehlsfolge dem Benutzer der Vorrichtung anzeigen kann. Aul
dem Anzeigefenster leuchten diejenigen Befehle auf, die In der nachstehenden Tabelle aufgeführt sind:
Fig. 2 Bezugszeichen |
Befehl für Benutzer |
A | öffne Tür |
B | leer |
C | nehme Karte |
D | gebe persönliche Identifikationszahl |
ein | |
E | warte |
F | wieder |
G | wähle Kontonummer |
H | Karte wird behalten |
I | 1-laufendes Konto |
wahlweise K |
2-Kreditkartenkonto 3-Sparkonto |
L | 4-Spezialkonto (gib Code an) |
M | Ungültige Eingabe |
N | Wähle Betrag |
O | Gebe Geldklammer zurück |
P | Karte zurückbehalten |
Zur Einleitung der Geldausgabe führt der Kunde seine Kane 9 in den Schlitz 14 ein. Wenn die Maschine nicht
betriebsbereit ist, wird LEER und NEHME KARTE angezeigt. Wenn die Karte nicht angenommen werden
kann, wird die Tür 17 sich nicht öffnen, und die Karte
kann nicht in die Geldausgabevorrichtung eingeführt werden. Unannehmbare Karten können jedoch auch in
einem gesonderten Behälter in der Maschine zurückgehalten werden.
Wenn eine annehmbare Karte eingeführt worden und In die Vorrichtung hineingezogen worden ist, wird die
Tür 17, die nur auf Wunsch vorgesehen zu werden braucht, ausgeklinkt, und die Abfolge der einzelnen Stu-
fen zur Ausgabe des Geldes kann eingeleitet werden, indem entsprechend dem ÖFFNE-TÜR-Befehl gehandelt
wird.
Nach Öffnen der Tür wird GEBE PERSÖNLICHE IDENTIFIKATIONSZAHL angezeigt, und der Kunde
wird sein persönliches Kennwort, beispielsweise eine Zahl, In die Schalttalel-Informatlonseingabe-Vorrlchtung
15 eindrucken, wie er das von einem Drucktastentelelon her gewöhnt ist. Wenn der Kunde während der Eingabe
einen Fehler macht, kann er das Kennwort durch Drükken der Taste CLEAR (CL) das Kennwort löschen. Er
kann danach erneut sein Kennwort drucken.
Wenn das letzte Zeichen oder die letzte Ziffer des Kennwortes eingegeben worden 1st, erlöscht die Anzeige
GEBE PERSÖNLICHE !DENTIFiKATlONSZAHL EIN,
und es wird die Anzeige WARTEN aufleuchten. Wenn die Zahl geprüft worden Ist, leuchtet entweder bei falsch
eingegebener Identifikationszahl erneut GEBE PERSÖNLICHE IDENTIFIKATIONSZAHL EIN auf, oder die
Karte wird zurückgehalten, wenn die Karte nicht gültig Ist oder wenn nach einer bestimmten Anzahl von Versuchen
die richtige Zahl nicht eingegeben wurde.
Wurde die persönliche Identifikationszahl richtig eingegeben,
so wird eine geeignete Ausgabesequenz für den Kunden eingeleitet oder die Anzeige WÄHLE KONTONUMMER erscheint. Die gültige Karte kann außerdem
zum Aufleuchten der verbleibenden Zahl der Benutzeranzeige 18 (8 Ist dargestellt) führen.
Die Anzeige WÄHLE KONTONUMMER kann nach Wahl des Benutzers und In Abhängigkeit von einem für
die Karte registrierten annehmbaren Code die Art der Konten, die belastet werden sollen, anzeigen, und zwar H
bis K gemäß der oben angegebenen Tabelle. Die Anzeigen WIEDER und UNGÜLTIGE EINGABE können für
den Fall einer falschen Eingabe durch den Kunden erscheinen, und zwar eine zulässige Anzahl von Malen,
oder über eine vorgegebene Zeltspanne hin, nach deren Ablauf die Maschine mit einem Fehlerprogramm fortfährt.
Wenn es dem Kunden gestattet ist, Beträge zu bestimmen, wird die Anzeige WÄHLE BETRAG aufleuchten,
und der Kunde wird den gewünschten Betrag eingeben. Wenn von dem Kunden ein Fehler gemacht wird oder
ein unrichtiger Betrag über die Schalttafel 15 eingegeben worden ist, können WIEDER und UNGÜLTIGE EINGABE
aufleuchten, um eine neue Wahl zu ermöglichen. Das Ausbleiben der Eingabe des richtigen Betrages kann
das Fehlerprogramm auslösen.
Nach Eingeben des gültigen Betrages wird die
gewünschte Währung (oder der auszugebende Betrag) von der Vorrichtung durch den Schütz 16 ausgegeben.
Jetzt wird die Anzeige GEBE GELDKLAMMER ZURÜCK aulleuchten. Jetzt wird von dem Kunden
erwartet, daß er die Geldklammer oder Quittung in den Schlitz 18, den Klammerrückgabeschlitz, zurückgibt.
Das System bringt dann die Daten auf" der Karte auf den neuen Stand oder zeichnet sie erneut auf, und die
Karte wird für den Fall, daß sie wieder benutzt werden darf, dem Kunden zurückgegeben. Wenn nicht, wird sie
zurückgehalten. Wenn die Karte nicht innerhalb einer bestimmten Zeitspanne nach Anbieten an den Kunden
herausgezogen wird, kann ein Alarm ausgelöst wenden.
Innerhalb der Bank oder an anderen Stellen kann weiterhin ein Warnzeichen erscheinen, wenn ein Fehler auftreten
sollte, der Beachtung verlangt. Wenn ein aufgetretener Fehler das Zurückhalten der Karte erfordert, dann
leuchtet die Anzeige KARTE ZURÜCKGEHALTEN auf.
Für den vorstehend beschriebenen Arbeltsablauf eignet sich besonders eine automatische Geldausgabevorrichtung,
In der zwei getrennte Einheiten, die In Flg. 3
gestrichelt umrandet sind, vorgesehen sind, die jedoch
auch zu einer einzigen Einheit zusammengefaßt sein können. Eine der Einheiten enthält einen Sicherheitskartenleser
SCP. Der Sicherheitskartenleser weist einen Lese-/Schrelbkopt' auf. Weiterhin ist ein Kontokartenleser
CR, ebenfalls mit einem Lese-/Schreibkopf vorgesehen.
Sowohl der CR wie auch der SCP stehen In Informationsaustausch
mit einer elektronischen Logikeinheit ELU. Die ELU wirkt als Steuereinheit für die Geldausgabevorrichtung
und kann durch Karten oder ein gelochtes Magnetband programmiert werden und an eine zentrale
Datenverarbeitungsanlage zur Realzeltsteuerung angeschlossen werden. Ein Drucker 19 Ist mit der ELU
verbunden, der die Geschäftstätigkeit ausdruckt.
Mit der elektronischen Logikeinheit ELU ist ein persönlicher
Identlflkationszahl-Generator PNG verbunden, der eine persönliche Identif'lkatlonszahl erzeugt. Die
erzeugte persönliche Identifikationszahl entspricht dem Kennwort, das In eine Vergleichsschaltung von dem
Kunden über die Schalttafel 15 eingegeben wird. Wenn
der Vergleich positiv ausfällt, wird ein Signal an eine
Geldausgabeeinheit CDU gegeben und es werden Bargeld oder andere Posten an den Kunden entsprechend dem
auf der Schalttafel 15 angeforderten Betrag ausgegeben. Der ausgegebene Betrag wird In der elektronischen Logik
registriert und freigegeben und das ausgegebene Geld auf dem Drucker 19 ausgedruckt.
Darüber hinaus kann die Kontonummer, die von der
Karte abgelesen wurde, auf dem Drucker 19 ausgedruckt werden, ebenso wie jeglicher Geldverkehr, der stattgefunden
hat.
Um einen hohen Sicherheitsfaktor in dem System sicherzustellen, sind In der automatischen Geldausgabevorrichtung
mehrere Prüfungen vorgesehen, die Mißbrauch verhindern. Die Karte 1st mit einer Feststellmöglichkelt
für das Karteneigentum ausgerüstet, worauf der Slcherheltskartenleser FCP anspricht. Es kann somit eine
Sicherheitsnachprüfung anhand der eingegebenen Karte ausgeführt werden. Die Sicherheitsidentifikation enthält
eine Slcherheits-»Zahl«, die innerhalb des Systems nachgeprüft werden kann.
Ferner hat die die Geldausgabevorrlchtung betreibende Bank die Möglichkeit, die Kontennummern, die der
Karte zugeordnet sind, zu überwachen, und das System
kann die Häufigkeit, mit der die Karte benutzt wird, dadurch prüfen, daß eine Benutzungsbegrenzerzahl UD
geprüft wird. Die Benutzungsbegrenzerzahl UD wird bei
jeder Benutzung der Karte abgeändert.
Weiterhin kann die Sicherheitstabelle LUl und/oder
die Sicherheitstabelle LUl In der cryptographischen Einheit
CU von der Bank durch Eingabe, beispielsweise eines Papierlochstreifens, modifiziert werden, was auch
durch Programm-Modifikation, etwa durch den Banksicherheitseingang BSI, geschehen kann. Weiterhin sind
die Aufzeichnungen sicher, weil ein eigener funktionsmäßiger Zusammenhang besteht, der geheim und
getrennt vom Zugriff auf andere Einheiten als Teil des persönlichen Identifikationszahl-Generators PNG bleibt.
Dieser funktionsmäßige Zusammenhang wird durch Abändern der Steuerschaltungskarten des PNG verändert.
Man sieht, daß sämtliche Prüfungen und Kontenstände innerhalb des Systems vor Mißbrauch sicher sind.
Das Verfahren, nach dem das System betrieben wird, kann durch den in Fig.4 dargestellten Algorithmus
erläutert werden. Die In Fig. 4 dargestellte Ausführungsf'orm
des Algorithmus liefert die Kontenzahlen ACX und
ACl sowie eine Benutzungsbeschränkungszahl UD auf
der Magnetspur 10. Diese werden von den Kartenlesern In der elektronischen ioglkelnhelt gelesen. Diese Zahlen
werden In dem S stern auf Zufallszahlen dadurch umgerechnet, daß eine Zufallszahl zur »welchen« Kontozahl
ACl, ACl, wie sie auf der Karte enthalten Ist, addiert
wird. Die auf diese Weise modifizierten Kontozahlen,
ίο jetzt MACIy MACl genannt, können dazu verwendet
werden, daß nach einem verschlüsselten Kennwort gesucht wird, das zu dem Kennwort des Kunden in
Beziehung steht, und zwar in Übereinstimmung mit dem funktioneilen Zusammenhang, der von der Schaltungs-
!5 steuerkarte des PNG bestimmt wird. Diese Beziehung
zwischen dem verschlüsselten Kennwort und dem entschlüsselten Kennwort, die dem Kunden bekannt und
die geheim Ist, schafft einen Dateischutz selbst dann,
wenn auf minderwertige Kennwörter zugegriffen wird.
Wenn das Kennwort von dem PNG verschlüsselt wurde, kann es mit dem verschlüsselten, dem Kunden bekannten
Kennv/ort verglichen werden, das über die Schalttafel In die Vergleichsschaltung CNC eingegeben wurde. Die
Vorrichtung kann in ein Ausgabeverweigerungsverfahren je nach wahrem oder falschem Ausgang der Vergleichsschaltung
CNC übergehen.
Um den Betrieb dieses Sicherheitssystems durch ein Beispiel weiter zu erläutern, nehme man an, daß die Kreditkarte
In die Vorrichtung eingegeben und gelesen wurde. Das SCP-Sicherheltsmerkmal der Karte enthält
eine spezielle Zahl. Diese Zahl wird durch die Logik der cryptographischen Einheit zugeführt. In der die LUl. die
von dem Banksicherheitseingang BSI gesteuert wird, die spezielle Zahl von ihrem Zufallsmerkmal dadurch
befreit, daß eine vorbestimmte geeignete Zufallszahl subtrahiert oder addiert wird. Diese Zufallszahl steht unter
Bankaufsicht und kann zu beliebiger Zeit durch die BSI verändert werden. Wenn somit beispielsweise die erste
Ziffer eine »1« Ist, dann wird nach dieser Zahl In der
ersten Spalte der Nachschautabelle gesucht. Eine »1« in der ersten Ziffer erzeugt eine »i« in einer neuen Zahl, die
die von ihrer Zufallsidentifikation befreite Zufallszahl ist. Dieser Schritt wird für jede Zahl der SCP durchlaufen.
Die so erzeugte bereinigte Zahl wird dann in ein Register
*5 eingeschrieben und mit der Nachschautabelle verglichen,
um zu bestimmen, ob die Karte ein gültiger Teil des Systems 1st. Wenn die so erzeugte'neue Zahl kein gültiger
Teil des Systems Ist, wird die SCV-Prüfung die Karte
zurückweisen und die Maschine mit dem Fehlerverfahren weiterlaufen lassen.
Wenn sie Teil des Systems ist, nimmt das Programm
für die Geldausgabe seinen Fortgang, während eine neue Zahl, die durch das vorstehend erwähnte Einmal-Zufallsverfahren
verschlüsselt wurde, in den SCP-Abschnitt der Karte eingefügt wird. Diese neue Zahl kann das Inverse
der bereinigten, in der SCV-Prüfung erzeugten Zahl sein
und somit zu der ursprünglichen SCP-Zahl zurückkehren.
Oder es kann eine abgeänderte Zahl sein mit der Veränderung, wie sie durch eine Benutzungs-Subtraktion
entsteht. In diesem Fall wird die abgeänderte Benutzungszahl MUD an der richtigen Stelle in die Nachschlagtabelle
eingefügt, ehe sie durch die LUl zurückgegeben und danach auf die Karte geschrieben wird. Diese
Modifikation verändert weiterhin die damit in Zusammenhang stehende Nachschlagtabelle für die Karten, so
daß bei der nächsten Benutzung der Karte keine Fehlerroutine durchlaufen wird. Die Abänderung der Dateizahlen
durch eine Zufalls- oder Geheimschrifttechnik mit
jinmaligem Nachschlagen garantiert, daß jede direkt von
der Karte gelesene Zahl vor einer Dechiffrierung sicher lsi.
Im weiteren Verlauf des Geldausgabe-Programms werden die Kontennummern, die von dem C/?-Leser von der
Karle abgelesen wurden, durch das oben beschriebene Zufallszahl-Einmalsysiem umgestellt, mit Ausnahme der
Nachschlaglabelle LUl. die eine andere Zufallszahlen-Additionssequenz
enthalt. Diese Kontennummern erscheinen daher als modifizierte Kontennummern, beispielsweise
als MACX und MACl. Diese modifizierten Kontennummern, die die Kennwort-Dateizahlen sind,
besitzen daher keine Beziehung mit der von der Karte gelesenen Kontennummer. Die Modifikation eines
Geheimschlüssels wird von der Bank über die SS/
bestimmt. Diese Modifikation kann jederzeit ausgeführt
werden und die gesamte Datei von Kennwortzahlen kann so verändert werden, daß sie an die neuen Zufallszahlen
von LUl und LUl angepaßt sind.
Die Kennzahl, die in der Datei in dem Sicherheitsmodul
SM vorhanden Ist, enthält die vorbestimmte funktionelle
Beziehung zu dem dem Kunden bekannten Kennwort, Ist jedoch nicht die gleiche Zahl. Wie beispielsweise
In Fig. 4 dargestellt, enthält die SM-Datei Kennwörter,
die ein Vielfaches von zwei der wahren Kennwortzahl sind. Diese funktionell Beziehung ist jedoch
niemandem außer der Bank selbst bekannt, die sie durch Einsetzen neuer funktloneller Schaltungskarten in die
ELU und PNG jederzeit ändern kann. Eine Wiederholung des SM oder ein minderwertiges SM wird das Kennwort
nicht beeinflussen. Wenn der Kunde den Betrag eingibt, den er bei einer Auszahlung abzurufen wünscht,
dann wird die durch das MA C repräsentierte Zahl von dem SM an den persönlichen Identlfikaiionszahi-Generator
PNG weitergegeben, wo das vorerwähnte Datei-Kennwort durch 2 dividiert und an die Vergleichsschaltung
CNC weitergegeben wird. Wenn der Kunde die richtige Kennwortzahl CB über die Schalttafel 15 eingibt, dann
veranlaßt die Identität dieser Zahl mit der von dem PNG erzeugten persönlichen Zahl die Fortführung des automatischen
Geldausgabe-Programms mit der Ausgaberoutine. Wenn die Identität jedoch nicht besteht, wird, wie
bereits erwähnt, eine Fehlerroutine eingeschlagen. Wenn das richtige Kennwort nicht innerhalb einer vorbestimmten
Zeitspanne für erneute Versuche eingegeben wird, wird die Kartenausgabe sowie die Ausgaberoutine
gesperrt, und die Karte wird in einem nicht dargestellten Ablagekasten gebracht und die Anzeige KARTE ZURÜCKGEHALTEN
tritt auf.
In einer bevorzugten Ausführungsform liest der SCP-Leser einen Wert, beispielsweise einen Ziffernwerk der
auf dem Magnetstrelfen 10 auf der Karte geheim aufgeschrieben und verschlüsselt ist. Der geheime und verschlüsselte
Wert wird mit demjenigen Wert verglichen, der durch das magnetische Ablesen eines Wertes von
einem verborgenen Streifen auf der Karte erzeugt wird. Dieser Streifen befindet sich in einer speziellen Position,
so daß der Lesekopf des Systems nur Karten liest, die einen Aufdruck auf der richtigen Stelle haben. Eine Messung
des geheimen und verschlüsselten Zahlenwertes auf dem Magnetstrelfen wird ausgeführt. Dies wird mit der
Nachschautabelle für die spezielle Karte oder direkt mit dem von dem verborgenen Streifen abgelesenen Wert
verglichen. Wenn eine Nachschlagtabelle vorgesehen ist, wird der Nachschlagtabellenwert mit dem Wert verglichen,
der verschlüsselt auf dem Magnetstreifen geheim aufgeschrieben ist, und wenn die Werte innerhalb sehr
eneer Toleranzen übereinstimmen, dann wird das
Geschäft weiter abgewickelt. Es erweist sich als zweckmäßig, wenn das Bestimmungssystem für die Werte die
Genauigkeit des Strichabslandes von magnetischen Tintenstrichen in dem verborgenen Magnetstrelfen einer
Plastikkarte bestimmt. Diese Karle ist mit zwei magnetischen Materialien bedruckt, die zwei verschiedene Tinten
aufweisen, wobei jede Tinte eine andere Koerzitivkraft
hat. Da bei den Druckdurchgängen aufgrund von Toleranzen ein Ausrichten In der Größenordnung von nicht
mehr als 0,05 mm möglich ist, muß das System Genauigkeiten von etwa 0,0125 mm messen können. Somit kann
der Betrag der Ausrichtung und der jeder bedruckten Karte zugeordnete Wert bestimmt werden. Dieser Wert
kann in der Nachschlagiabelle oder direkt auf der Magnetspur 10 gespeichert werden.
Auf der Magrseispur !0 sind Daten verschlüsselt, die
für die gesamte Lebensdauer der Karte feststehen. Diese enthalten die Kontennummem, das Ablaufdatum der
Karte, den Bankschlüssei oder dergleichen. Durch Verwendung komplizierter mathematischer Formeln können
diese Zahlen mit Hilfe eines Algorithmus und Nachschlagtafeln in Daten, nämlich in eine spezielle In
Geheimschrift geschriebene und verschlüsselte Zahl umgewandelt werden, die in dem System aufbewahrt
werden. Die betreffende Zahl kann für die Karte spezifisch sein, oder sie kann einem speziellen Konto einer
Karte zugeordnet sein, die mehr als ein bevollmächtigtes Konto betrifft. Diese Zahl wird dann zur Berechnung der
oben erwähnten persönlichen Identifikationszahl benutzt und die persönliche Zahl wird erzeugt. Diese persönliche
Zahl wird in keiner Form auf der Karte verschlüsselt,
sondern wird durch Berechnung unter Verwendung anderer verschlüsselter Daten gewonnen. Wenn die persönliche
Identlfikationszahl der Vergleichsschaltung CNC zugeführt wird, dann wird der Kunde aufgefordert,
über die Schalttafel seine persönliche Identlfikationszahl einzugeben. Dann wird eine Prüfung mit den verschlüsselten
Daten ausgeführt, die sich bei der Erzeugung der persönlichen Identifikalionszahl des Kunden innerhalb
des Systems ergaben, und das Geschäft wird weiter abgewickelt, wenn sich eine Identität ergibt. Der Algorithmus
und die einschlägigen mathematischen Formeln dienen zur Gewinnung der Nachschlagtabellen LUX und LU2,
die in der kryptographischen Einheit unter Überwachung der Bank gespeichert werden. Die Nachschlagtabellen
werden von der Bank aufgestellt und sind nur dieser bekannt. Sie werden in einem Speicherfeld gespeichert,
das gegen unerlaubten Zugriff gesichert ist. Jeder Schlüssel ist nur einmal vorhanden und kann an eine
dafür bestimmte Person, beispielsweise den Bankdirektor, ausgegeben und aufbewahrt werden. Die Bank kann
neue Nachschiagtabeiien aufstellen und zu jeder Zelt
eine Veränderung in den Nachschlagtabellen bewirken. Diese Nachschlagtabellen sind beispielsweise die oben
erwähnten Reihen von Zufallsziffern. Es sind zwar wenige Zufallszahlen in der Nachschlagtabelle als
»Schlüsselwörter« dargestellt, jedoch kann die Zahl außerordentlich vergrößert werden, um die Sicherheit des
Systems gegenüber Entschlüsselung zu verbessern. Das Verfahren zur Berechnung der Nachschlagtabellen kann
ebenfalls in der Sicherheitsverwahrung der Bank sein oder kann an die Bank in Form von Karten geliefert werden,
die unter Verschluß aufbewahrt werden können.
Jede ELU druckt eine Buchungsliste, beispielsweise als »schwarze Liste«, nach Maßgabe der während eines
Tages abgewickelten Geschäftstätigkeit. Diese Listen können von den Bankangestellten eingesehen oder mit
Daten aus einer zentralen Datenverarbeitungsanlage ver-
glichen werden, um zu bestimmen, ob die Liste ein Fehlverhalten
der Maschine oder nicht erlaubte Abhebungen enthält, die aufgrund eines Ausfalls der Sicherheitseinrichtung
möglich wurden, oder die auch nur aufgrund unehrlichen Bankpersonals, dem die Sicherheit des
Systems anvertraut wurde, ermöglicht wurden. Wenn ein Mißbrauch festgestellt wurde, kann die Bank den Kennwortalgorithmus
und die Nachschlagtabellen vollständig umstellen und damit die Geheimhaltung sämtlicher
Kennwörter wieder herstellen.
Das System wird weiter durch die Möglichkeit eines »on-line«-Abrufens von einer zentralen Datenverarbeitungsanlage
verbessert, so daß die Versuche zum Kopieren von Karten wesentlich besser festgestellt werden
können, wobei das gesamte System nicht mehr unter der Überwachung und Steuerung einer einzelnen Person
steht.
Die automatische Geldausgabevorrichtung besitzt also eine Sicherheitseinheit für den Schutz einer Karte, eine
kryptographische Einheit zur Modifizierung einer von der Karte abgelesenen Zahl, einen Generator für eine persönliche
Zahl zur Bestimmung eines Kennwortes auf der Grundlage einer aus der kryptographlschen Einheit abgeleiteten
Zahl, ferner eine Vergleichsschaltung, eine Kennworteingabe-Schalttafel, die mit der Vergleichsschaltung
verbunden Ist, und eine Ausgabeeinheit, die auf den wahren oder falschen Ausgang der Vergleichsschaltung
anspricht und deren Tätigkeit weiterhin von der richtigen Eingabe eines Kennwortes in die automatische
Geldausgabevorrichtung durch einen Kunden sowie von einem Kennwort abhängt, das von der automatischen
Geldausgabevorrichtung als richtiges Kennwort für ein gültiges Konto, repräsentiert durch eine Kreditkarte,
bestimmt wird.
Vorzugsweise sind die logische Einheit und die kryptographische Einheit Teile eines mikroprogrammlerbaren
Terminalrechners, wie er beispielsweise als Blockschaltbild in Flg. 5 dargestellt Ist. Die von der Karte
abgenommene Information wird von den Kartenlesern CR und 5CP von der Karte abgelesen. Der an entfernter
Stelle stehende Terminalrechner kann an die Kartenleser über einen Signalumsetzer 25 oder andere Eingangsgeräte
an die Leitungen 21 angeschlossen werden. Die einzelnen
Funktionen der ELU können durch den entfernt stehenden Prozessor 33 ausgeführt werden, der nachfolgend
anhand der Fig. 5 beschrieben wird.
Flg. 5 zeigt ein logisches Blockschaltbild eines Terminalrechners
für eine Geldausgabevorrichtung. S~weli es
für das genauere Verständnis hler notwendig erscheint, wird auf die US-Patentschrift 35 64 509 sowie die britische
Patentschrift 12 50 181 Bezug genommen.
Der Terminalrechner weist einen entfernt aufgestellten Prozessor 33, einen Datenkommunikationsprozessor 41
sowie einen Datenkommunikationspuffer 47 auf. Der Datenkommunikationsprozessor 41 und der Datenkommunlkatlonspuifer
47 ermöglichen den Austausch von «on-llne»-Mltteilungen über einen Signalumsetzer 25 und
eine Kommunlkatlonsleltung 21, beispielsweise mit einer
entfernt aufgestellten zentralen Datenverarbeitungsanlage. Diese Kommunikationsmöglichkeit gestattet es
dem entfernt aufgestellten Prozessor 33, Nachrichten von der zentralen Datenverarbeitungsanlage zu empfangen
und Nachrichten an die zentrale Datenverarbeitungsanlage zu senden, so daß auf diese Welse die laufenden
Aufzeichnungen und Geschäftstätigkeiten an dem entfernten Prozessor auf den neuesten Stand gebracht werden
können.
!rs der hler beschriebenen Ausführungsform werden die Funktionen der Nachschlagtabellen LUX und LUZ,
der elektronischen Einheit ELU, des Generators PNG und des Vergleichs der persönlichen Kennwortzahl CNC
von der Logik des entfernten Prozessors 33 ausgeführt. Der Hauptspeicher 34 kann eine rotierbare Magnetplatte
mit mehreren Lese-/Schreibköpfen für den Zugriff auf allgemeine Daten und einen gespeicherten Programmabschnitt
in dem Speicher aufweisen. Die In dem Hauptspeicher
34 gespeicherten Informationen und Daten werden In der arithmetischen Einheit verarbeitet, die einen
Addierer 61, eine Übertragschaltung 67 und eine Eingangsauswahlschaltung 60 umfaßt, und zwar entsprechend
den Programmbefehlen, die aus dem Hauptspeicher entnommen werden. Der Hauptspeicher wird von
dem Lese-/Schreibkopf-Adressenwähler 51 adressiert, der ein Adressenregister und eine zugehörige Auswahlmatrix
umfaßt, so daß Zugriff auf bezeichnete Teile des Hauptspeichers je nach der in das Adressenauswahlreglster
geladenen Adresse möglich 1st.
Für den Betrieb wird ein Mikrobefehlszähler, beispielsweise
ein Wort In dem Umlaufregister 53, normalerweise auf einen bestimmten Zählstand voreingestellt, der der
auszuführenden Sequenz der Programmstufen entspricht und entnimmt nacheinander die seriellen Stufen des in
dem Speicher gespeicherten Programms entsprechend den Zählstufen des nicht dargestellten Programmzählers.
Die aus dem Hauptspeicher geholten Mikrobefehle werden nacheinander in das Mikrobefehlsregister 55 geladen.
Der Ausgang des Mikrobefehlsregisters öffnet eine Steuermatrix
57, die über ein Feld von logischen Toren geeignete Steuersignale zur Steuerung der verschiedenen logischen
Funktionen erzeugt und den Addierer 61 und die Schleifenübertragung zwischen den Registern 53, 63 und
65 steuert.
Die Programmbefehle und anderen Daten können In
den Hauptspeicher 34 über die Schalttafel 37 oder andere
Speichereingabevorrichtungen, beispielsweise periphere Geräte In Form eines Band- oder Kartenlesers 38, eingegeben
werden. Die In den Prozessor eingegebene Informatlon
wird normalerweise über ein Eingangs-/Ausgangsregister
65 gelesen und dann unter Mikroprogrammsteuerung In den Hauptspeicher übertragen. Die
zeitliche und sequentielle Steuerung der verschiedenen Operationen des Rechners müssen dabei genau elngehalten
werden. Die zeitliche Steuerung wird vorzugsweise durch ein Steuerwerk 59 ausgeführt, das geeignete logische
Pegel oder Signale zum öffnen oder Vorbereiten von Toren zu Zeltpunkten erzeugt, die von einem
Maschinentakt bestimmt werden, wobei der Maschlnentakt beispielsweise durch eine Taktspur auf dem Hauptspeicher
vorgegeben sein kann. In Verbindung mit anderen logischen Signalen, die über verschiedene Eingangssteuergeräte eingegeben werden können, erzeugen die
taktbestimmten Signale zyklisch geeignete Steuersignale für die logischen Elemente.
Wie bereits erwähnt, besteht eine wesentliche Sicherheitsvorkehrung
darin, daß die Bank den zur Behandlung und Modifizierung der von einer Kreditkarte gelesener
Sicherheitsdaten verwendeten Slcherheltsalgorithmui periodisch modifizieren kann. In der praktischen erfln
dungsgemäßen Ausführung wird der Sicherheitsalgorith
mus In den Prozessor 33 eingelesen und In den Nach Schlagtabellen LU\ und LUl In einem vorbestimmter
Speicherbereich gespeichert. In ähnlicher Welse wird da:
Kennwort, das von einem die Kreditkarte an der Geld ausgabevorrichtung benutzenden Person eingegeber
wird, in den Speicher oder das Register 53 über di<
Schalttafel 37 eingelesen. Unter der oben kurz erwähnter
Mikroprogrammsteuerung behandelt der Prozessor 33 programmatisch die von dem Sicherheitsfeld der Kreditkarte
abgelesenen Daten entsprechend dem kryptographischen Algorithmus, der in den Nachschlagtabellen ELVX
und ELUl gespeichert ist. Dies kann beispielsweise durch wahlweises Adressieren der Tabellen in dem Speicher 34
geschehen, um eine neue Zahl zu erzeugen, die beispielsweise in einem Abschnitt des Registers 63 gespeichert
werden kann. Auf diese Weise können monoalphabetische oder polyalphabetische Substitutionen für jede Zitier
der Sicherheitsdaten ausgeführt werden, um eine neue
persönliche Identifikationszahl aus den von der Kreditkarte abgelesenen Sicherheitsdaten zu erzeugen.
Das von dem Kunden Ober die Schalttafel 37 eingegebene Kennwort kann dann logisch beispielsweise dadurch
verglichen werden, daß der Inhalt der Register S3 und 63 in dem Addierer 61 addiert und die Summe mit einer in
dem Speicher gespeicherten Konstanten verglichen wird. Alternativ kann ein direkter logischer Vergleich des über
die Schalttafel 37 eingegebenen Kennwortes und der persönlichen Zahl vorgenommen werden, die als Funktion
des Inhalts der In dem Hauptspeicher gespeicherten Nachschlagtabellen gewonnen wurde. In jedem Fall
bestimmt der Vergleich des Kennwortes und der aus den Sicherheitsdaten der Kreditkarte gewonnenen Zahl, ob
der Kunde, der die Vorrichtung zu bedienen versucht, die richtige Zahl eingegeben hat, wie sie von dem
kryptographlschen Algorithmus und den auf der Karte befindlichen Sicherheitsdaten bestimmt Ist, und ob somit
die Person rechtmäßigerweise die angebotene Kreditkarte
benutzt. Dieses Verfahren gibt der Bank die Möglichkeit, diejenigen Kartenbenutzer, die beispielsweise aus der
Geldausgabevorrichtung Geld entnehmen wollen, zu überwachen.
Man bemerke, daß der SCT-Leser bestimmt, ob die in
den Schlitz 14 eingesetzte Karte annehmbar ist oder nicht. Man entnimmt aus der vorstehenden Beschreibung
ferner, daß das verborgene magnetische Material magnetisiert Ist, wenn es In die Vorrichtung eingesetzt
wird. An dieser Stelle wird die Karte, die nach Einsetzen
In die Maschine magnetisiert wurde, mit der vorher
gewonnenen persönlichen Identifikationsdarstellung verglichen, die In der beschriebenen Welse eine Funktion
des Kennwortes 1st. Das Kennwort 1st als ein Faktor, eine Zahl, ein Größensymbol oder als eine alphanumerische
oder rein numerische Darstellung oder Kombinationen davon zu verstehen. Besonders zweckmäßig Ist ein
Kennwort In Form eines numerischen Faktors, der aus einer polyalphabetischen Tabelle bestimmt wird. Die persönliche
Identifikationsdarstellung oder das Kennwort ist mit dem Schlüsselwort verglelchfahig und kann ebenfalls
eine Faktorzahl, ein Größensymbol, eine alphanumerisehe
oder rein numerische Darstellung oder eine Kombination davon sein. Wenn nach dem Schreiben des
magnetischen Sicherheitsabschnittes auf der Karte festgestellt wird, daß die Karte unannehmbar ist, wird
die Karte zurückgewiesen. Die Sicherheitszahl, die auf
ίο der Karte verschlüsselt enthalten ist, kann auf der Karte
verbleiben, nachdem sie von der Vorrichtung zurückgewiesen wurde. Jedoch 1st die bloße Duplizierung der gewonnenen
Zahl eine Funktion der Sicherheitseinrichtung, die nicht feststellbar ist, wenn die Karte aus dem
Schreibsystem entfernt wird, und schmälert die Sicherheit des Systems nicht, weil der Wert aus dem magnetischen
Matertal in der Karte jedesmal dann gewonnen wird, wenn die Karte gelesen wird.
Dies kann von der Bank über die elektronische Logik, wie oben erwähnt, nachgeprüft werden. Indem der kryptographlsche Algorithmus, der In dem Hauptspeicher gespeichert Ist, periodisch geändert wird, kann ein Mißbrauch von Karten verhindert werden, so daß unbeaufsichtigte Vorrichtungen mit einer größeren Sicherheit gegenüber Mißbrauch verwendet werden können.
Dies kann von der Bank über die elektronische Logik, wie oben erwähnt, nachgeprüft werden. Indem der kryptographlsche Algorithmus, der In dem Hauptspeicher gespeichert Ist, periodisch geändert wird, kann ein Mißbrauch von Karten verhindert werden, so daß unbeaufsichtigte Vorrichtungen mit einer größeren Sicherheit gegenüber Mißbrauch verwendet werden können.
Wie dem Rechner-Fachmann ohne weiteres geläufig ist, können auch andere logische Schaltungen dazu dienen,
die oben beschriebenen logischen Funktionen Im Zusammenhang mit der Gewinnung der persönlichen
Identifikationszahl als kryptographlsche Funktion der auf der Kreditkarte gespeicherten Sicherheitsdaten zu verwirklichen.
In ähnlicher Welse können andere logische Einrichtungen zum Speichern des kryptographlschen
Algorithmus und zur Ausführung des Vergleichs zwlsehen der Im Inneren der Vorrichtung als Funktion des
Nachschlagtabellenlnhalts erzeugten Zahl und dem von dem Kunden eingegebenen Kennwort verwendet werden.
Bei der praktischen Ausführung Ist es besonders zweckmäßig,
eine mikroprogrammlerte Maschine zu benutzen, die eine größere Flexibilität bei der periodischen Abänderung
des kryptographlschen Algorithmus ermöglicht und damit eine größere Sicherheit für das Geldausgabesystem
schallt.
In der vorstehenden Beschreibung ist als spezielle Aus-
In der vorstehenden Beschreibung ist als spezielle Aus-
führungsform der verschiedenen Hardware-Elemente ein
mlkrcprogrammlerbarer Rechner erläutert worden, jedoch können auch Rechner mit anderen Eigenschaften
zur Ausführung der Erfindung benutzt werden.
Hierzu 3 Blatt Zeichnungen
Claims (6)
1. Geidausgabevorrichtung mit einer Prüfeinrichtung für die Gültigkeit einer Zugang zur Geldausgabevorrichtung
gewährenden Berechtigungskarte und der Berechtigung ihres Benutzers, wobei auf der Berechtigungskarte
Daten aufgezeichnet sind, die von einer Leseeinrichtung der Geldausgabevorrichtung ablesbar
und mit neuen Daten überschreibbar sind, mit einer in
der Prüfeinrichtung enthaltenen Verschlüsselungseinrichtung, die die von der Berechtigungskarte abgelesenen
Daten nach einem bestimmten Code verschlüsselt und mit einer Vergleichseinrichtung, die die verschlüsselten
Daten mit einem vom Benutzer über eine Tastatur aer Geldausgabevorrichtung einzugebenden
Kennwort bzw. einer Kennziffer vergleicht und bei Übereinstimmung bzw. bei einem festlegbaren funktionellen
Zusammenhang ein Signal zur Freigabe des gewünschten Geldbetrages abgibt, dadurch gekennzeichnet,
daß die Leseeinrichtung sowohl einen Sicherheitskartenleser (SCP), der eine auf die
Berechtigungskarte aufgezeichnete Sicherheitszahl erfaßt als auch einen Kontokartenleser [CR), der auf
der Berechtigungskarte aufgezeichnete Kontonummern erfaßt, enthält, daß eine Verschlüsselungseinheit
(CU) mit mindestens einer Sicherheitstabellen-Einrichtung (LUX, LUl), deren Tabellen über eine
gesicherte Eingabe (BSI) änderbar sind und eine mit
dem Sicherheitskartenleser (SCP), dem Kontokartenleser (CR), der Verschlüsselungseinheit (CU) und
einer zentralen Datenverarbeitungsanlage sowie wahlweise mit einem Drucker (19), Lochkartenleser oder
dergleichen verbundene elektronische Logikeinheit (ELU) vorgesehen Ist, die die von dem Slcherheltskartenleser
(SCP) abgegebene Zahl entschlüsselt und durch Vergleich mit In einer Tabelle enthaltenen Zahlen
die Gültigkeit der Berechtigungsl-.arte überprüft und die die von dem Kontokartenleser (CÄ) erfaßten
Kontozahlen (ACX, ACl) mittels einer der Verschlüsselungseinheit (CU) entnommenen Zufallszahl In
modifizierte Kontozahler. (MACX, MACl) umwandelt und die ein Sicherheitsmodul (SM) enthält, In dem
den modifizierten Kontozahlen (MACX, MACl) zugeordnete, veränderbare Kennwerte gespeichert sind, die
an einen nachgeschalteten Funktionsgenerator (PNG) abgegeben werden, der eine veränderbare Steuerschaltung
zur Ausführung bestimmter arithmetischer Funktionen enthält und der ausgangsseltlg mit einer
Vergleichseinrichtung (CNC) verbunden ist und daß der Ausgang der Vergleichseinrichtung (CNC) sowohl
mit einer Geldausgabeeinheit (CDU) als auch mit der elektronischen Logikeinheit (ELU) verbunden Ist und
die Freigabe des vom Benutzer gewünschten Geldbetrages veranlaßt und zurückmeldet.
2. Geldausgabevorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß auf der Benutzerkarte
zusätzlich zu den Kontonummern (ACX, ACl) eine Benutzungsbeschränkungszahl (UD) aufgezeichnet Ist,
mittels der die Nachschlagtabellen (LUX, LUD der Sicherheltstabellen-Einrlchtung
modH'izierbar und bei jeder Benutzung der Berechtigungskarte abänderbar
Ist.
3. Geldausgabevorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die auf der Berechtigungskarte
aulgezeichnete Sicherheitszahl In einem bestimmten Verhältnis zu dem Konto der Berechtigungskartc
steht.
4. Geldausgabevorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß der Funktionsgenerator
(PNG) in bestimmten Abständen mittels eines Programmwechsels zur Veränderung der vorbestimmten
funktioneilen Beziehung zu dem, einem autorisierten Benutzer bekannten Kennwort geändert wird.
5. Geldausgabevorrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die
Verschlüsselungseinheit (CU) eine Zufa!lsdaten-Tabelle aufweist, die derart modifizierbar ist, daß die von
der Leseeinrichtung erfaßten Daten unannehmbar sein können, obgleich die über die Prüfeinrichtung eingegebenen
Daten zu einem anderen Zeitpunkt, als sine andere Zufallsdaten-Tabelle verwendet wurde,
annehmbar waren.
6. Geldausgabeeinrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß als
elektronische Logtkelnheit (ELU) und Verschlüsselungseinrichtung
(CU) ein Prozessor (33) vorgesehen ist, der über einen Datenkommunikationsprozessor
(41) und einen Datenkommunikationspuffer (47) sowie einen Signalumsetzer (25) mit einer an eine zentrale
Datenverarbeitungsanlage angeschlossenen Kommunikationsleitung verbunden Ist und eine einen
Addierer (61), eine Übertragungsschaltung (67) und eine Hlngangswahlschaltung (60) umfassende arithmetische
Einheit enthält, in der die in einem Hauptspeicher (34) gespeicherten Programmbelehle und die
In ein erstes Register (63) geladenen modifizierten
JO Kontozahlen (MACX, MACl) bzw. Benutzerbegrenzungszahlen
(MUD) mit dem in ein zweites Register (53) geladenen, vom Benutzer eingegebenen Kennwort
addiert und die Summe mit einer in den Speicher (34) gespeicherten Konstanten verglichen wird, wobei
« In den Speicher (34) die Nachschlagtabellen (LUX,
LUD bzw. ein Verschlüsselungs-Algorithmus gespeichert und über den Datenkommunikationsprozessor
(41) und den Datenkommunikationspuffer (47) von der zentralen Datenverarbeitungsanlage veränderbar
sind.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB4761571A GB1383915A (en) | 1971-10-13 | 1971-10-13 | Automatic dispenser apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
DE2245027A1 DE2245027A1 (de) | 1973-04-19 |
DE2245027C2 true DE2245027C2 (de) | 1984-04-19 |
Family
ID=10445633
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE2245027A Expired DE2245027C2 (de) | 1971-10-13 | 1972-09-14 | Geldausgabevorrichtung mit Prüfeinrichtung |
Country Status (6)
Country | Link |
---|---|
BE (1) | BE789502A (de) |
BR (1) | BR7207111D0 (de) |
DE (1) | DE2245027C2 (de) |
FR (1) | FR2155959B1 (de) |
GB (1) | GB1383915A (de) |
NL (1) | NL7212703A (de) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3956615A (en) * | 1974-06-25 | 1976-05-11 | Ibm Corporation | Transaction execution system with secure data storage and communications |
CH581359A5 (de) * | 1974-10-01 | 1976-10-29 | Grey Lab Establishment | |
DE2700143A1 (de) * | 1976-01-06 | 1977-07-21 | Nedap Nv | Sicherung fuer anprobekabinen |
US4251874A (en) * | 1978-10-16 | 1981-02-17 | Pitney Bowes Inc. | Electronic postal meter system |
FR2497979B1 (fr) * | 1981-01-13 | 1987-12-04 | Lasserre Georges | Ensemble de controle permettant l'identification d'individus et procede mis en oeuvre dans un tel ensemble |
GB2130412B (en) * | 1982-02-19 | 1986-02-05 | John Wolfgang Halpern | Electronic money purse |
DE3406890A1 (de) * | 1984-02-25 | 1985-09-05 | Grundig E.M.V. Elektro-Mechanische Versuchsanstalt Max Grundig holländ. Stiftung & Co KG, 8510 Fürth | Befehlseingabe bei einem mikroprozessorgesteuerten videorecorder |
GB8425147D0 (en) * | 1984-10-04 | 1984-11-07 | Rigby Electronic Group Plc | Device for reading from substrate |
DE3604020A1 (de) * | 1986-02-08 | 1987-08-13 | Albert Henning | Sicherheitshuelle fuer eine mit einem datentraeger versehene karte |
FR2707407B1 (fr) * | 1993-07-06 | 1995-08-18 | Sagem | Terminal de saisie de données à validation manuelle. |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3221304A (en) * | 1961-02-23 | 1965-11-30 | Marquardt Corp | Electronic identification system employing a data bearing identification card |
GB1183336A (en) * | 1966-04-20 | 1970-03-04 | Rca Corp | Dispensing Apparatus |
JPS5113981B1 (de) * | 1969-03-04 | 1976-05-06 | ||
FR2059172A5 (de) * | 1969-08-25 | 1971-05-28 | Smiths Industries Ltd |
-
0
- BE BE789502D patent/BE789502A/xx not_active IP Right Cessation
-
1971
- 1971-10-13 GB GB4761571A patent/GB1383915A/en not_active Expired
-
1972
- 1972-09-14 DE DE2245027A patent/DE2245027C2/de not_active Expired
- 1972-09-20 NL NL7212703A patent/NL7212703A/xx not_active Application Discontinuation
- 1972-10-02 FR FR7234862A patent/FR2155959B1/fr not_active Expired
- 1972-10-12 BR BR007111/72A patent/BR7207111D0/pt unknown
Also Published As
Publication number | Publication date |
---|---|
DE2245027A1 (de) | 1973-04-19 |
GB1383915A (en) | 1974-02-12 |
FR2155959B1 (de) | 1976-08-20 |
BE789502A (de) | 1973-01-15 |
BR7207111D0 (pt) | 1973-08-30 |
NL7212703A (de) | 1973-04-17 |
FR2155959A1 (de) | 1973-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE3044463C2 (de) | ||
DE3704814C2 (de) | Karte mit integrierter Schaltung | |
DE3247846C2 (de) | ||
DE2901521C2 (de) | ||
DE3780070T2 (de) | Pin-pruefungszeit-bestimmungsmittel umfassendes chipkartenidentifikationssystem. | |
DE3622257C2 (de) | ||
DE602004003478T2 (de) | Virtuelle tastatur | |
DE2612693A1 (de) | Bargeldausgabevorrichtung | |
DE2645564C2 (de) | Automatischer Geldausgeber | |
DE2527784C2 (de) | Datenübertragungseinrichtung für Bankentransaktionen | |
DE2350418A1 (de) | Verfahren und einrichtung zur erstellung und auswertung von faelschungssicheren maschinell lesbaren zahlungsbelegen | |
DE2528668C3 (de) | Durch Karten betätigbare Einrichtung zur Ausgabe von Geld, von Waren, zur Betätigung von Sperren o.dgl. | |
DE2738113A1 (de) | Vorrichtung zur durchfuehrung von bearbeitungsvorgaengen mit einem in eine aufnahmeeinrichtung der vorrichtung eingebbaren identifikanden | |
DE1944134B2 (de) | Zugangs- bzw. Zugriff-Kontrollvorrichtung, beispielsweise für die Ausgabe von Banknoten | |
DE2512902A1 (de) | System zur uebertragung von daten mit hilfe eines unabhaengigen tragbaren gegenstandes und einer autonomen registriervorrichtung | |
DE2338365A1 (de) | Ueberpruefungs- oder kontrollsystem | |
DE2245027C2 (de) | Geldausgabevorrichtung mit Prüfeinrichtung | |
DE2009854B2 (de) | Einrichtung zur selbsttätigen Durchführung von Büroarbeiten, die bei Transaktionen in einer Bank oder dergleichen erforderlich sind | |
WO2006015573A1 (de) | Datenträger zur kontaktlosen übertragung von verschlüsselten datensignalen | |
DE3013211C2 (de) | ||
WO1980002756A1 (en) | Data transmission system | |
DE2509313C3 (de) | Einrichtung zum Prüfen der Benutzungsbefugnis des Benutzers einer Karte | |
EP1066607B1 (de) | Gerät und verfahren zur gesicherten ausgabe von wertscheinen | |
EP1178452B1 (de) | Verfahren für eine sichere Datenübertragung beim Warenverkauf | |
DE3148396C2 (de) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OD | Request for examination | ||
8128 | New person/name/address of the agent |
Representative=s name: EISENFUEHR, G., DIPL.-ING. SPEISER, D., DIPL.-ING. |
|
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |