DE2245027C2 - Geldausgabevorrichtung mit Prüfeinrichtung - Google Patents

Geldausgabevorrichtung mit Prüfeinrichtung

Info

Publication number
DE2245027C2
DE2245027C2 DE2245027A DE2245027A DE2245027C2 DE 2245027 C2 DE2245027 C2 DE 2245027C2 DE 2245027 A DE2245027 A DE 2245027A DE 2245027 A DE2245027 A DE 2245027A DE 2245027 C2 DE2245027 C2 DE 2245027C2
Authority
DE
Germany
Prior art keywords
card
security
account
data
money
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE2245027A
Other languages
English (en)
Other versions
DE2245027A1 (de
Inventor
Robert Kenley Surrey Black
Christopher Tonbridge Kent Hall
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unisys Corp
Original Assignee
Burroughs Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Burroughs Corp filed Critical Burroughs Corp
Publication of DE2245027A1 publication Critical patent/DE2245027A1/de
Application granted granted Critical
Publication of DE2245027C2 publication Critical patent/DE2245027C2/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/202Depositing operations within ATMs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/209Monitoring, auditing or diagnose of functioning of ATMs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/21Retaining of the payment card by ATMs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1058PIN is checked locally
    • G07F7/1066PIN data being compared to data on card

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Description

Die Erfindung bezieht sich auf eine üeldausgabevorrlchtung mit einer Prüfeinrichtung für die Gültigkeit einer Zugang zur Geldausgabevorrichtung gewährenden Berechtigungskarte und der Berechtigung Ihres Benutzers, wobei auf der Berechtigungskarte Daten aufgezeich-
net sind, die von einer Leseeinrichtung der Geldausgabevorrichtung ablesbar und mit neuen Daten überschreibbar sind, mit einer in der Prüfeinrichtung enthaltenen Verschlüsselungseinrichtung, die die von der Berechtigungskarte abgelesenen Daten nach einem bestimmten Code verschlüsselt und mit einer Vergleichseinrichtung, die die verschlüsselten Daten mit einem vom Benutzer über eine Tastatur der Geldausgabevorrichtung einzugebenden Kennwort bzw. einer Kennziffer vergleicht und bei Übereinstimmung bzw. bei einem festlegbaren funktionellen Zusammenhang ein Signal zur Freigabe des gewünschten Geldbetrages abgibt.
Es sind automatische Geldausgabevorrichtungen bekannt, bei denen ein von der die Geldausgabevortichtung betreibenden Bank autorisierter Benutzer mittels einer Kreditkarte, die er zusammen mit einem über eine Tastatur eingebbaren Kennwort In die automatische Geldausgabevorrichtung eingibt, jederzeit Geld von seiners1. Konto abheben kann. Die von dem autorisierten
Bankkunden benutzte Kreditkarte enthält neben der Kontonummer des Bankkunden eine Sicherheitsinformation, die bei Benutzung der automatischen Geldausgabevorrichtung von der Geldausgabevorrichtung abgelesen und mit dem von dem Bankkunden eingegebenen Kennwort verglichen wird. Wird eine Übereinstimmung zwischen der Sicherheitsinformation und dem eingegebenen Kennwort festgestellt, so kann ein bestimmter Geldbetrag abgehoben werden, und in entsprechender Weise wird das konto des Bankkunden belastet.
Eine mit einer Berechtigungskarte zu bedienende Geldausgabevorrichtung der genannten Art ist aus der Zeitschrift »Control Engineering« vom Mai 1968, S. 66, bekannt, bei der jedem zur Benutzung der Geldausgabevorrichtung autorisierten Benutzer eine spezifische Geheimnummer und eine entsprechend verschlüsselte Berechtigungskarte zugeteilt wird. Um Geld von der Geldausgabevorrichtung zu erhalten, muß der Benutzer die Berechtigungskarte in die Geldausgabevorrichtung einfügen und anschließend über eine Tastatur seine spezifische Geheimnummer In die Geldausgabevorrichtung eingeben. Sowohl die von der Berechtigungskarte abgelesene Codenummer als auch die eingegebene Geheimnummer werden von der Geldausgabevorrichtung elektronisch abgetastet und miteinander verglichen. Besteht zwischen beiden Ziffern eine bestimmte Beziehung, die automatisch in periodischen Abständen von dem bekannten System verändert wird, so nimmt die dezentrale Geldausgabevorrichtung Koniakt mit einer zentralen Steuereinheit auf, die bei ausreichender Deckuiig des Kontos des Benutzers ein Freigabesignal an die dezentrale Geldausgabevorrichtung abgibt, die dann den betreffenden Betrag auszahlt.
Bei der bekannten Geldausgabevorrichtung ist es jedoch möglich, daß eine Person, die Zugang zu einer oder mehreren Kreditkanen und einer oder mehreren Kennworten ues Systems hat, das Sicherheitssystem durchbrechen kann, da sie mit der auf der betreffenden Kreditkarte enthaltenen Information und unter Berücksichtigung des Umstandes, daß sämtliche Kreditkarten und damit Sicherheitsinformationen auf der Kreditkarte eines Systems in bestimmter Weise miteinander zusammenhängen, die Karte duplizieren und ohne Berechtigung an den verschiedenen externen Schaltern anwenden kann.
Zur Überprüfung der Rechtmäßigkeit der Benutzung einer Kreditkarte ist aus der DE-OS 19 62 765 eine Einrichtung bekannt, bei der auf der Kreditkarte eine Kartennummer oder Kennzahl aufgezeichnet ist, der eine nur dem rechtmäßigen Benutzer mitgeteilte geheime Zahl zugeordnet ist, die sich durch Umsetzen der auf der Karte befindlichen Kennzahl nach einer vorbestimmten Regel ergibt. Dabei wird die Kennzahl durch eine Schlüsselzahl erweitert und mittels der Umsetzvorrlchtung die Reihenfolge bzw. Anordnung der die Karten-Kennzahl bildenden Ziffern nach einer festen Regel geändert, die durch die zusätzliche Schlüsselzahl festgelegt ist. Danach werden aus der umgestellten Karten-Kennzahl einige Ziffern nach einer weiteren, ebenfalls durch die Schlüsselzahl bestimmten Regel entfernt und schließlich die die verbleibenden Ziffern der umgestellten Karten-Kennzahl aulweisende Zahl als geheime Zahl der Karte verwendet.
Auch bei dieser bekannten Vorrichtung wird zumindest teilweise von der aul der Kreditkarte aufgeschriebenen Kennzahl ausgegangen und die Benutzernummer durch Weglassen und Umjtellen der von der Berechtigungskarte abgegebenen Zahl gewonnen. Dadurch enthält die Benutzernummer keine Zitier, die nicht ebenfalls
In der auf der Kreditkarte aufgezeichneten Zahl vorkommt, so daß mit Hilfe mehrerer gefälschter Kreditkarten und entsprechend permutierten Benutzernummern ein. unerlaubter Zugang möglich wird.
Aus der US-PS 32 21 304 ist ein Sicherheitssystem für eine automatische Geldausgabevorrichtung bekannt, bei der dem autorisierten Kunden ebenfalls eine Kreditkarte ausgehändigt wird, auf der eine vorbestimmte Information einschließlich einer Geheimzahl aufgezeichnet ist, wobei dem Kunden gleichzeitig eine Benutzernummer mitgeteilt wird, die mit der auf der Kreditkarte aufgezeichneten Geheimzahl in einem vorbestimmten Zusammenhang steht. Bei der bekannten Vorrichtung wird die vom autorisierten Benutzer eingegebene Benutzernumrrer auf zweierlei Art verschlüsselt und die verschlüsselten Zahlen mit den von der Kreditkarte abgelesenen Zahlen auf Übereinstimmung verglicher.. Dabei bezieht sich eine der beiden auf der Kreditkarte aufgezeichneten Zahlen auf eine Aufzeichnung aus dem letzten Benutzungsfall der Karte, während die andere Zahl aus dem vorletzten Benutzungsfall der Karte stammt. Die Berechtigung wird aber bereits dann anerkannt, wenn wenigstens für eine der Zahlen Übereinstimmung besteht, so daß sich das bekannte Sicherungssystem darauf beschränkt, die eingegebene Benutzemummer zu verschlüsseln und die verschlüsselte Benutzemummer direkt mit der auf der Kreditkarte aufgezeichneten Ziffer zu vergleichen. Dadurch ist das bekannte Sicherungssystem ebenfalls umgehbar, wenn mehrere Berechtigungs- oder Kreditkarten und Benutzernummern bekannt sind, aus denen sich durch Permutation der jeweilige Sicherungsschlüssel ableiten läßt.
Aufgabe der vorliegenden Erfindung ist es, eine automatische Geldausgabevorrichtung der eingangs genannten Art zu schaffen, bei der die Gültigkeit der den Zugang zur automatischen Geldausgabevorrichtung ermöglichenden Berechtigungskarte selbst in der Weise überprüft wird, daß ein Duplizieren der Berechtigungskarte und des auf der Berechtigungskarte befindlichen verschlüsselten Codewortes durch nicht autorisierte Personen unmöglich wird.
Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß die Leseeinrichtung sowohl einen Sicherheitskartenleser, der eine auf die Berechi.gungskarte aufgezeichnete Sicherheitszahl erfaßt als auch einen Kontokartenleser, der auf der Berechtigungskarte aufgezeichnete Kontonummern erfaßt, enthält, daß eine Verschlüsselungseinheit mit mindestens einer Sicherheitstabellen-Einrichtung, deren Tabellen über eine gesicherte Eingabe änderbar sind und eine mit dem Sicherheitskartenleser, dem Kontokartenleser, der Verschlüsselungselnheit und einer zentralen Datenverarbeitungsanlage sowie wahlweise mit einem Drucker, Lochkartenleser oder dergleichen, verbundene elektronische Logikeinheit vorgesehen ist, die die von dem Slcherheltskartenleser abgegebene Zahl entschlüsselt und durch Vergleich mit in einer Tabelle enthaltenen Zahlen die Gültigkeit der Berechtigungskarte überprüft und die die von dem Kontokartenleser erfaßten Kontozahlen mittels einer der Verschlüsselungseinheit entnommenen Zufallszahl In modifizierte Kontozahlen umwandelt und die ein Sicherheitsmodul enthält, in dem Qi_n modifizierten Kontozahlen zugeordnete veränderbare Kennwerte gespeichert sind, die an einen nachgeschalteten Funktionsgenerator abgegeben werden, der eine veränderbare Steuerschaltung zur Ausführung bestimmter arithmetischer Funktionen enthält und der ausgangsseltlg mit einer Vergleichseinrichtung verbunden ist und daß der Ausgang der Vergleichseinrichtung sowohl mit
einer Geldausgabeeinheit als auch mit der elektronischen Logikeinheit verbunden Ist und die Freigabe des vom Benutzer gewünschten Geldbetrages veranlaßt und zurückmeldet.
Die erflndungsgemäße Lösung verhindert das Übertragen und Entziffern einer Berechtigungskarte auf nachgemachte bzw. gefälschte Berechtigungskarten auch bei Kenntnis mehrerer Berechiigungskarten eines Systems. Eine Benutzung einer nachgemachten oder gefälschten Berechtigungskarte ohne gleichzeitige Kenntnis des erforderlichen Kennwortes, das in direktem Zusammenhang mit der ordnungsgemäßen Berechtigungskarte steht, ist auch bei Kenntnis verschiedener Berechtigungskarten und der daraus ableitbaren möglichen Zusammenhänge zwischen den auf der Berechtigungskarte aufgezeichneten Daten und dem dem autorisierten Benutzer mitgeteilten Kennwort nicht möglich, da der nicht autorisierte Benutzer den Sicherheitskartenleser nicht umgehen kann.
Vorteilhafte Ausgestaltungen der erfindungsgemäßen Lösung sind den Merkmalen der Unteransprüche zu entnehmen.
Die das Konto und die Sicherung gegen unberechtigte Benutzung betreffende Information, die von einer Karte bei ihrer Benutzung abgelesen wird, wird somit vor dem Vergleich mit einer direkt in die Geldausgabevorrichtung über die Dateneingabe der automatischen Geldausgabevorrichtung eingegebenen Information nach einem geheimen Schlüssel modifiziert. Auf diese Welse werden die auf der Karte gespeicherten Daten nach einem vorbestimmten Algorithmus vor dem Vergleich mit der durch den Kartenbenutzer in die Geldausgabevorrichtung eingegebenen Information modifiziert. Dadurch 1st die persönliche Identifizierungsinformation von der Art des Kennwortes, die im Zeitpunkt der Benutzung der Karten In die automatische Geldausgabevorrichtung eingegeben wird, nicht identisch mit derjenigen von der Karte gelesenen Information, die früher auf der Karte gespeichert wurde, sondern eine variable Information davon. Diese Maßnahme erhöht die Systemsicherheit, indem das 4n direkte Ablesen der auf der Karte gespeicherten Informationen oder Zeichen verhindert wird, aus der die zur Betätigung der automatischen Geldausgabevorrichtung erforderliche Kennwortinformation abgeleitet werden kann, so daß ein Duplizieren bzw. Fälschen einer Berechtigungskarte mit dazugehörigem Kennwort unmöglich gemacht wird.
Wenn die Karte benutzt wird, wird die vorher auf der Karte gespeicherte Information gelesen und in die Geldausgabevorrichtung eingegeben. Der abzvihehende Betrag wird in die Vorrichtung, beispielsweise über eine Schalttafel, eingegeben, und das Kennwort oder eine andere Sicherheitsinformation, beispielsweise eine vier-, fünf- oder sechsziffrige Zahl, wird gleichzeitig über eine Schalttafel in die Vorrichtung eingegeben. Die Kreditkarte wird von der Geldausgabevorrichtung aufgenommen, und die früher gespeicherte Information betreffend die Sicherheit und das Konto wird gelesen und gleichzeitig in die Maschine eingegeben und auf diese Weise diese Information entsprechend einem Sicherheits- oder Geheim-Algorithmus logisch verarbeitet, um eine persönliche Identifizierungszahl, beispielsweise von vorbestimmter Ziffernlänge, zu bilden.
Diese persönliche Identifikationszahl, die jetzt eine kryptographische oder logische Funktion der früher auf der Karte gespeicherten und bei Eingabe in die Geldausgabevorrichtung gelesenen Information ist, ist jetzt zum Vergleich mit der persönlichen Kontenslcherheits-Infor-
65 mation bereit, die von derjenigen Person eingegeben wird, die die Karte vorgelegt hat. Die persönliche Identillkationszahl kann eine mehrzilfrlge Zahl beliebiger Länge sein, beispielsweise aus fünf, sechs oder sieben Ziffern bestehen. Diese Ziffern oder Kennwörter werden beispielsweise über eine Schalttafel eingegeben und die Sicherheitsdaten oder die persönliche Identlllkatlonszahl, die über die Schalttafel eingegeben wurde, werden mit der persönlichen Identifikationszahl verglichen, die in der Geldausgabevorrichtung aus der von der Karte abgelesenen Information gebildet wurde. Wenn der Vergleich positiv ausfällt, d. h. wenn beide Informationen übereinstimmen, dann wird der normale Geldausgabezyklus eingeleitet. Wenn der Vergleich dagegen negativ ausfällt, wird zweckmäßigerweise eine Lampe aufleuchten und dem Benutzer anzeigen, daß er die Zahl unrichtig eingegeben hat. Der Benutzer kann eine vorbestimmte Anzahl von Malen, beispielsweise zweimal, versuchen, seine Zahl richtig einzugeben. Wenn er innerhalb einer vorbestimmten Anzahl von Versuchen es nicht zuwege bringt, die Zahl richtig einzugeben, wird die Karte zweckmäßig In der Geldausgabevorrichtung festgehalten, und der Maschinenzyklus wird abgeschaltet, wodurch jede weitere Benutzung durch eine Person verhindert wird, die die Karte in falscher Weise vorgelegt hat.
Anhand eines in der Zeichnung dargestellten Ausführungsbeispieles soll der der Erfindung zugrunde liegende Gedanke näher erläutert werden. Es zeigt
Fig. 1 eine Ansicht einer für automatische Geldausgabevorrichtungen verwendbaren Kreditkarte;
Fig. 2 eine Teilansicht einer automatischen Geldausgabevorrichtung;
Fig. 3 ein Blockschaltbild der Funktionseinheiten der automatischen Geldausgabevorrichtung;
Fig. 4 eine symbolische Darstellung des kryptographischen Algorithmus und der Bearbeitungseinheiten und
Fig. 5 ein Blockschaltbild der elektronischen Logikeinheit.
Fig. 1 zeigt eine Kreditkarte 9, die in einer automatischen Geldausgabevorrichtting verwendbar ist.
Jeder zur Benutzung einer automatischen Geldausgabevorrichtung autorisierte Bankkunde erhält eine Kreditkarte der in Fig. 1 dargestellten Art, die vorgespeicherte Informationen oder Daten enthält, die normalerweise für Bankgeschäfte benötigt werden. Diese Daten sind auf verschiedenen Flächen der Karte gespeichert oder aufgeschrieben. So können beispielsweise der Name der ausgebenden Bank, das Ablaufdatum oder dergleichen auf der Magnetspur 10 aufgezeichnet sein. Weiterhin sind Daten bezüglich der Kontennummer des Kunden sowie zusätzliche Sicherheitsinformationen, beispielsweise ein Kennwort, in Ziffernform verschlüsselt auf der Magnetspur 10 aufgezeichnet. Weitere Daten, beispielsweise zur Begrenzung der Benutzungshäufigkeit der Karte innerhalb eines bestimmten Zeitraumes, können In ähnlicher Weise in vorbestimmten Feldern auf den Magnetstreifen oder auf andere Weise entweder sichtbar oder unsichtbar auf der Kartenfläche aufgezeichnet sein. Die Information oder Daten können in verschiedenen Feldern auf der Karte in einer Weise verteilt sein, die ein leichtes Auslöschen oder Ausstreichen verhindert.
Ein wichtiges Merkmal der Kreditkarte besteht darin, daß sie Sicherheitsinformationen trägt. Wenn dem Bankkunden eine Karte ausgehändigt worden ist, wird ihm seine geheime Sicherheits- oder persönliche Identifikationszahl mitgeteilt. Diese Zahl muß in die Maschine eingegeben werden, wenn der Kunde seine Kreditkarte
einer Geldausgabevorrichtung anbietet. Wie weller unten noch genauer beschrieben werden wird, wird der Kartenbenutzer als der rechtmäßige Eigentümer erkannt, wenn bei Benutzung der Karte eine vorbestimmte Beziehung zwischen der Geheimzahl, die bei Eingabe der Karte in die Maschine eingegeben wird, und der persönlichen Identifikationszahl besteht, die die Person in die Maschine eingibt. Auf diese Weise ist die Benutzung der Karte autorisiert und Mißbrauch wird verhindert.
Fig. 2 zeigt in Vorderansicht eine automatische Geldausgabevorrichtung 11. Die Geldausgabevorrichtung selbst könnte beispielsweise an der Außenwand einer Bank oder eines anderen Gebäudes befestigt sein, wobei die Vorderplatte öffentlich zugängilch ist. In die Wand oder Halterung kann ein geeigneter Tresor eingebaut sein, oder es können andere Vorkehrungen getroffen sein, die die Geldausgabevorrichtung vor unsachgemäßer Bedienung schützen. Die Frontplatte 12 trägt ein Anzeigefenster 13, einen Eingabeschlitz 14 sowie eine Informationseingabevorrichtung 15 und einen Ausgabeschlitz 16. Diese erwähnten Vorrichtungen sind funktionsmäßig bekannt.
Das Anzeigefenster 13 Ist in sechzehn Abschnitte gegliedert, von denen jeder eine programmierte Befehlsfolge dem Benutzer der Vorrichtung anzeigen kann. Aul dem Anzeigefenster leuchten diejenigen Befehle auf, die In der nachstehenden Tabelle aufgeführt sind:
Fig. 2
Bezugszeichen		 Befehl für Benutzer
A öffne Tür
B leer
C nehme Karte
D gebe persönliche Identifikationszahl
ein
E warte
F wieder
G wähle Kontonummer
H Karte wird behalten
I 1-laufendes Konto
wahlweise
K		 2-Kreditkartenkonto
3-Sparkonto
L 4-Spezialkonto (gib Code an)
M Ungültige Eingabe
N Wähle Betrag
O Gebe Geldklammer zurück
P Karte zurückbehalten
Zur Einleitung der Geldausgabe führt der Kunde seine Kane 9 in den Schlitz 14 ein. Wenn die Maschine nicht betriebsbereit ist, wird LEER und NEHME KARTE angezeigt. Wenn die Karte nicht angenommen werden kann, wird die Tür 17 sich nicht öffnen, und die Karte kann nicht in die Geldausgabevorrichtung eingeführt werden. Unannehmbare Karten können jedoch auch in einem gesonderten Behälter in der Maschine zurückgehalten werden.
Wenn eine annehmbare Karte eingeführt worden und In die Vorrichtung hineingezogen worden ist, wird die Tür 17, die nur auf Wunsch vorgesehen zu werden braucht, ausgeklinkt, und die Abfolge der einzelnen Stu-
fen zur Ausgabe des Geldes kann eingeleitet werden, indem entsprechend dem ÖFFNE-TÜR-Befehl gehandelt wird.
Nach Öffnen der Tür wird GEBE PERSÖNLICHE IDENTIFIKATIONSZAHL angezeigt, und der Kunde wird sein persönliches Kennwort, beispielsweise eine Zahl, In die Schalttalel-Informatlonseingabe-Vorrlchtung 15 eindrucken, wie er das von einem Drucktastentelelon her gewöhnt ist. Wenn der Kunde während der Eingabe einen Fehler macht, kann er das Kennwort durch Drükken der Taste CLEAR (CL) das Kennwort löschen. Er kann danach erneut sein Kennwort drucken.
Wenn das letzte Zeichen oder die letzte Ziffer des Kennwortes eingegeben worden 1st, erlöscht die Anzeige GEBE PERSÖNLICHE !DENTIFiKATlONSZAHL EIN, und es wird die Anzeige WARTEN aufleuchten. Wenn die Zahl geprüft worden Ist, leuchtet entweder bei falsch eingegebener Identifikationszahl erneut GEBE PERSÖNLICHE IDENTIFIKATIONSZAHL EIN auf, oder die Karte wird zurückgehalten, wenn die Karte nicht gültig Ist oder wenn nach einer bestimmten Anzahl von Versuchen die richtige Zahl nicht eingegeben wurde.
Wurde die persönliche Identifikationszahl richtig eingegeben, so wird eine geeignete Ausgabesequenz für den Kunden eingeleitet oder die Anzeige WÄHLE KONTONUMMER erscheint. Die gültige Karte kann außerdem zum Aufleuchten der verbleibenden Zahl der Benutzeranzeige 18 (8 Ist dargestellt) führen.
Die Anzeige WÄHLE KONTONUMMER kann nach Wahl des Benutzers und In Abhängigkeit von einem für die Karte registrierten annehmbaren Code die Art der Konten, die belastet werden sollen, anzeigen, und zwar H bis K gemäß der oben angegebenen Tabelle. Die Anzeigen WIEDER und UNGÜLTIGE EINGABE können für den Fall einer falschen Eingabe durch den Kunden erscheinen, und zwar eine zulässige Anzahl von Malen, oder über eine vorgegebene Zeltspanne hin, nach deren Ablauf die Maschine mit einem Fehlerprogramm fortfährt.
Wenn es dem Kunden gestattet ist, Beträge zu bestimmen, wird die Anzeige WÄHLE BETRAG aufleuchten, und der Kunde wird den gewünschten Betrag eingeben. Wenn von dem Kunden ein Fehler gemacht wird oder ein unrichtiger Betrag über die Schalttafel 15 eingegeben worden ist, können WIEDER und UNGÜLTIGE EINGABE aufleuchten, um eine neue Wahl zu ermöglichen. Das Ausbleiben der Eingabe des richtigen Betrages kann das Fehlerprogramm auslösen.
Nach Eingeben des gültigen Betrages wird die gewünschte Währung (oder der auszugebende Betrag) von der Vorrichtung durch den Schütz 16 ausgegeben. Jetzt wird die Anzeige GEBE GELDKLAMMER ZURÜCK aulleuchten. Jetzt wird von dem Kunden erwartet, daß er die Geldklammer oder Quittung in den Schlitz 18, den Klammerrückgabeschlitz, zurückgibt.
Das System bringt dann die Daten auf" der Karte auf den neuen Stand oder zeichnet sie erneut auf, und die Karte wird für den Fall, daß sie wieder benutzt werden darf, dem Kunden zurückgegeben. Wenn nicht, wird sie zurückgehalten. Wenn die Karte nicht innerhalb einer bestimmten Zeitspanne nach Anbieten an den Kunden herausgezogen wird, kann ein Alarm ausgelöst wenden.
Innerhalb der Bank oder an anderen Stellen kann weiterhin ein Warnzeichen erscheinen, wenn ein Fehler auftreten sollte, der Beachtung verlangt. Wenn ein aufgetretener Fehler das Zurückhalten der Karte erfordert, dann leuchtet die Anzeige KARTE ZURÜCKGEHALTEN auf.
Für den vorstehend beschriebenen Arbeltsablauf eignet sich besonders eine automatische Geldausgabevorrichtung, In der zwei getrennte Einheiten, die In Flg. 3 gestrichelt umrandet sind, vorgesehen sind, die jedoch auch zu einer einzigen Einheit zusammengefaßt sein können. Eine der Einheiten enthält einen Sicherheitskartenleser SCP. Der Sicherheitskartenleser weist einen Lese-/Schrelbkopt' auf. Weiterhin ist ein Kontokartenleser CR, ebenfalls mit einem Lese-/Schreibkopf vorgesehen. Sowohl der CR wie auch der SCP stehen In Informationsaustausch mit einer elektronischen Logikeinheit ELU. Die ELU wirkt als Steuereinheit für die Geldausgabevorrichtung und kann durch Karten oder ein gelochtes Magnetband programmiert werden und an eine zentrale Datenverarbeitungsanlage zur Realzeltsteuerung angeschlossen werden. Ein Drucker 19 Ist mit der ELU verbunden, der die Geschäftstätigkeit ausdruckt.
Mit der elektronischen Logikeinheit ELU ist ein persönlicher Identlflkationszahl-Generator PNG verbunden, der eine persönliche Identif'lkatlonszahl erzeugt. Die erzeugte persönliche Identifikationszahl entspricht dem Kennwort, das In eine Vergleichsschaltung von dem Kunden über die Schalttafel 15 eingegeben wird. Wenn der Vergleich positiv ausfällt, wird ein Signal an eine Geldausgabeeinheit CDU gegeben und es werden Bargeld oder andere Posten an den Kunden entsprechend dem auf der Schalttafel 15 angeforderten Betrag ausgegeben. Der ausgegebene Betrag wird In der elektronischen Logik registriert und freigegeben und das ausgegebene Geld auf dem Drucker 19 ausgedruckt.
Darüber hinaus kann die Kontonummer, die von der Karte abgelesen wurde, auf dem Drucker 19 ausgedruckt werden, ebenso wie jeglicher Geldverkehr, der stattgefunden hat.
Um einen hohen Sicherheitsfaktor in dem System sicherzustellen, sind In der automatischen Geldausgabevorrichtung mehrere Prüfungen vorgesehen, die Mißbrauch verhindern. Die Karte 1st mit einer Feststellmöglichkelt für das Karteneigentum ausgerüstet, worauf der Slcherheltskartenleser FCP anspricht. Es kann somit eine Sicherheitsnachprüfung anhand der eingegebenen Karte ausgeführt werden. Die Sicherheitsidentifikation enthält eine Slcherheits-»Zahl«, die innerhalb des Systems nachgeprüft werden kann.
Ferner hat die die Geldausgabevorrlchtung betreibende Bank die Möglichkeit, die Kontennummern, die der Karte zugeordnet sind, zu überwachen, und das System kann die Häufigkeit, mit der die Karte benutzt wird, dadurch prüfen, daß eine Benutzungsbegrenzerzahl UD geprüft wird. Die Benutzungsbegrenzerzahl UD wird bei jeder Benutzung der Karte abgeändert.
Weiterhin kann die Sicherheitstabelle LUl und/oder die Sicherheitstabelle LUl In der cryptographischen Einheit CU von der Bank durch Eingabe, beispielsweise eines Papierlochstreifens, modifiziert werden, was auch durch Programm-Modifikation, etwa durch den Banksicherheitseingang BSI, geschehen kann. Weiterhin sind die Aufzeichnungen sicher, weil ein eigener funktionsmäßiger Zusammenhang besteht, der geheim und getrennt vom Zugriff auf andere Einheiten als Teil des persönlichen Identifikationszahl-Generators PNG bleibt. Dieser funktionsmäßige Zusammenhang wird durch Abändern der Steuerschaltungskarten des PNG verändert.
Man sieht, daß sämtliche Prüfungen und Kontenstände innerhalb des Systems vor Mißbrauch sicher sind. Das Verfahren, nach dem das System betrieben wird, kann durch den in Fig.4 dargestellten Algorithmus erläutert werden. Die In Fig. 4 dargestellte Ausführungsf'orm des Algorithmus liefert die Kontenzahlen ACX und ACl sowie eine Benutzungsbeschränkungszahl UD auf der Magnetspur 10. Diese werden von den Kartenlesern In der elektronischen ioglkelnhelt gelesen. Diese Zahlen werden In dem S stern auf Zufallszahlen dadurch umgerechnet, daß eine Zufallszahl zur »welchen« Kontozahl ACl, ACl, wie sie auf der Karte enthalten Ist, addiert wird. Die auf diese Weise modifizierten Kontozahlen,
ίο jetzt MACIy MACl genannt, können dazu verwendet werden, daß nach einem verschlüsselten Kennwort gesucht wird, das zu dem Kennwort des Kunden in Beziehung steht, und zwar in Übereinstimmung mit dem funktioneilen Zusammenhang, der von der Schaltungs-
!5 steuerkarte des PNG bestimmt wird. Diese Beziehung zwischen dem verschlüsselten Kennwort und dem entschlüsselten Kennwort, die dem Kunden bekannt und die geheim Ist, schafft einen Dateischutz selbst dann, wenn auf minderwertige Kennwörter zugegriffen wird.
Wenn das Kennwort von dem PNG verschlüsselt wurde, kann es mit dem verschlüsselten, dem Kunden bekannten Kennv/ort verglichen werden, das über die Schalttafel In die Vergleichsschaltung CNC eingegeben wurde. Die Vorrichtung kann in ein Ausgabeverweigerungsverfahren je nach wahrem oder falschem Ausgang der Vergleichsschaltung CNC übergehen.
Um den Betrieb dieses Sicherheitssystems durch ein Beispiel weiter zu erläutern, nehme man an, daß die Kreditkarte In die Vorrichtung eingegeben und gelesen wurde. Das SCP-Sicherheltsmerkmal der Karte enthält eine spezielle Zahl. Diese Zahl wird durch die Logik der cryptographischen Einheit zugeführt. In der die LUl. die von dem Banksicherheitseingang BSI gesteuert wird, die spezielle Zahl von ihrem Zufallsmerkmal dadurch befreit, daß eine vorbestimmte geeignete Zufallszahl subtrahiert oder addiert wird. Diese Zufallszahl steht unter Bankaufsicht und kann zu beliebiger Zeit durch die BSI verändert werden. Wenn somit beispielsweise die erste Ziffer eine »1« Ist, dann wird nach dieser Zahl In der ersten Spalte der Nachschautabelle gesucht. Eine »1« in der ersten Ziffer erzeugt eine »i« in einer neuen Zahl, die die von ihrer Zufallsidentifikation befreite Zufallszahl ist. Dieser Schritt wird für jede Zahl der SCP durchlaufen. Die so erzeugte bereinigte Zahl wird dann in ein Register
*5 eingeschrieben und mit der Nachschautabelle verglichen, um zu bestimmen, ob die Karte ein gültiger Teil des Systems 1st. Wenn die so erzeugte'neue Zahl kein gültiger Teil des Systems Ist, wird die SCV-Prüfung die Karte zurückweisen und die Maschine mit dem Fehlerverfahren weiterlaufen lassen.
Wenn sie Teil des Systems ist, nimmt das Programm für die Geldausgabe seinen Fortgang, während eine neue Zahl, die durch das vorstehend erwähnte Einmal-Zufallsverfahren verschlüsselt wurde, in den SCP-Abschnitt der Karte eingefügt wird. Diese neue Zahl kann das Inverse der bereinigten, in der SCV-Prüfung erzeugten Zahl sein und somit zu der ursprünglichen SCP-Zahl zurückkehren. Oder es kann eine abgeänderte Zahl sein mit der Veränderung, wie sie durch eine Benutzungs-Subtraktion entsteht. In diesem Fall wird die abgeänderte Benutzungszahl MUD an der richtigen Stelle in die Nachschlagtabelle eingefügt, ehe sie durch die LUl zurückgegeben und danach auf die Karte geschrieben wird. Diese Modifikation verändert weiterhin die damit in Zusammenhang stehende Nachschlagtabelle für die Karten, so daß bei der nächsten Benutzung der Karte keine Fehlerroutine durchlaufen wird. Die Abänderung der Dateizahlen durch eine Zufalls- oder Geheimschrifttechnik mit
jinmaligem Nachschlagen garantiert, daß jede direkt von der Karte gelesene Zahl vor einer Dechiffrierung sicher lsi.
Im weiteren Verlauf des Geldausgabe-Programms werden die Kontennummern, die von dem C/?-Leser von der Karle abgelesen wurden, durch das oben beschriebene Zufallszahl-Einmalsysiem umgestellt, mit Ausnahme der Nachschlaglabelle LUl. die eine andere Zufallszahlen-Additionssequenz enthalt. Diese Kontennummern erscheinen daher als modifizierte Kontennummern, beispielsweise als MACX und MACl. Diese modifizierten Kontennummern, die die Kennwort-Dateizahlen sind, besitzen daher keine Beziehung mit der von der Karte gelesenen Kontennummer. Die Modifikation eines Geheimschlüssels wird von der Bank über die SS/ bestimmt. Diese Modifikation kann jederzeit ausgeführt werden und die gesamte Datei von Kennwortzahlen kann so verändert werden, daß sie an die neuen Zufallszahlen von LUl und LUl angepaßt sind.
Die Kennzahl, die in der Datei in dem Sicherheitsmodul SM vorhanden Ist, enthält die vorbestimmte funktionelle Beziehung zu dem dem Kunden bekannten Kennwort, Ist jedoch nicht die gleiche Zahl. Wie beispielsweise In Fig. 4 dargestellt, enthält die SM-Datei Kennwörter, die ein Vielfaches von zwei der wahren Kennwortzahl sind. Diese funktionell Beziehung ist jedoch niemandem außer der Bank selbst bekannt, die sie durch Einsetzen neuer funktloneller Schaltungskarten in die ELU und PNG jederzeit ändern kann. Eine Wiederholung des SM oder ein minderwertiges SM wird das Kennwort nicht beeinflussen. Wenn der Kunde den Betrag eingibt, den er bei einer Auszahlung abzurufen wünscht, dann wird die durch das MA C repräsentierte Zahl von dem SM an den persönlichen Identlfikaiionszahi-Generator PNG weitergegeben, wo das vorerwähnte Datei-Kennwort durch 2 dividiert und an die Vergleichsschaltung CNC weitergegeben wird. Wenn der Kunde die richtige Kennwortzahl CB über die Schalttafel 15 eingibt, dann veranlaßt die Identität dieser Zahl mit der von dem PNG erzeugten persönlichen Zahl die Fortführung des automatischen Geldausgabe-Programms mit der Ausgaberoutine. Wenn die Identität jedoch nicht besteht, wird, wie bereits erwähnt, eine Fehlerroutine eingeschlagen. Wenn das richtige Kennwort nicht innerhalb einer vorbestimmten Zeitspanne für erneute Versuche eingegeben wird, wird die Kartenausgabe sowie die Ausgaberoutine gesperrt, und die Karte wird in einem nicht dargestellten Ablagekasten gebracht und die Anzeige KARTE ZURÜCKGEHALTEN tritt auf.
In einer bevorzugten Ausführungsform liest der SCP-Leser einen Wert, beispielsweise einen Ziffernwerk der auf dem Magnetstrelfen 10 auf der Karte geheim aufgeschrieben und verschlüsselt ist. Der geheime und verschlüsselte Wert wird mit demjenigen Wert verglichen, der durch das magnetische Ablesen eines Wertes von einem verborgenen Streifen auf der Karte erzeugt wird. Dieser Streifen befindet sich in einer speziellen Position, so daß der Lesekopf des Systems nur Karten liest, die einen Aufdruck auf der richtigen Stelle haben. Eine Messung des geheimen und verschlüsselten Zahlenwertes auf dem Magnetstrelfen wird ausgeführt. Dies wird mit der Nachschautabelle für die spezielle Karte oder direkt mit dem von dem verborgenen Streifen abgelesenen Wert verglichen. Wenn eine Nachschlagtabelle vorgesehen ist, wird der Nachschlagtabellenwert mit dem Wert verglichen, der verschlüsselt auf dem Magnetstreifen geheim aufgeschrieben ist, und wenn die Werte innerhalb sehr eneer Toleranzen übereinstimmen, dann wird das
Geschäft weiter abgewickelt. Es erweist sich als zweckmäßig, wenn das Bestimmungssystem für die Werte die Genauigkeit des Strichabslandes von magnetischen Tintenstrichen in dem verborgenen Magnetstrelfen einer Plastikkarte bestimmt. Diese Karle ist mit zwei magnetischen Materialien bedruckt, die zwei verschiedene Tinten aufweisen, wobei jede Tinte eine andere Koerzitivkraft hat. Da bei den Druckdurchgängen aufgrund von Toleranzen ein Ausrichten In der Größenordnung von nicht mehr als 0,05 mm möglich ist, muß das System Genauigkeiten von etwa 0,0125 mm messen können. Somit kann der Betrag der Ausrichtung und der jeder bedruckten Karte zugeordnete Wert bestimmt werden. Dieser Wert kann in der Nachschlagiabelle oder direkt auf der Magnetspur 10 gespeichert werden.
Auf der Magrseispur !0 sind Daten verschlüsselt, die für die gesamte Lebensdauer der Karte feststehen. Diese enthalten die Kontennummem, das Ablaufdatum der Karte, den Bankschlüssei oder dergleichen. Durch Verwendung komplizierter mathematischer Formeln können diese Zahlen mit Hilfe eines Algorithmus und Nachschlagtafeln in Daten, nämlich in eine spezielle In Geheimschrift geschriebene und verschlüsselte Zahl umgewandelt werden, die in dem System aufbewahrt werden. Die betreffende Zahl kann für die Karte spezifisch sein, oder sie kann einem speziellen Konto einer Karte zugeordnet sein, die mehr als ein bevollmächtigtes Konto betrifft. Diese Zahl wird dann zur Berechnung der oben erwähnten persönlichen Identifikationszahl benutzt und die persönliche Zahl wird erzeugt. Diese persönliche Zahl wird in keiner Form auf der Karte verschlüsselt, sondern wird durch Berechnung unter Verwendung anderer verschlüsselter Daten gewonnen. Wenn die persönliche Identlfikationszahl der Vergleichsschaltung CNC zugeführt wird, dann wird der Kunde aufgefordert, über die Schalttafel seine persönliche Identlfikationszahl einzugeben. Dann wird eine Prüfung mit den verschlüsselten Daten ausgeführt, die sich bei der Erzeugung der persönlichen Identifikalionszahl des Kunden innerhalb des Systems ergaben, und das Geschäft wird weiter abgewickelt, wenn sich eine Identität ergibt. Der Algorithmus und die einschlägigen mathematischen Formeln dienen zur Gewinnung der Nachschlagtabellen LUX und LU2, die in der kryptographischen Einheit unter Überwachung der Bank gespeichert werden. Die Nachschlagtabellen werden von der Bank aufgestellt und sind nur dieser bekannt. Sie werden in einem Speicherfeld gespeichert, das gegen unerlaubten Zugriff gesichert ist. Jeder Schlüssel ist nur einmal vorhanden und kann an eine dafür bestimmte Person, beispielsweise den Bankdirektor, ausgegeben und aufbewahrt werden. Die Bank kann neue Nachschiagtabeiien aufstellen und zu jeder Zelt eine Veränderung in den Nachschlagtabellen bewirken. Diese Nachschlagtabellen sind beispielsweise die oben erwähnten Reihen von Zufallsziffern. Es sind zwar wenige Zufallszahlen in der Nachschlagtabelle als »Schlüsselwörter« dargestellt, jedoch kann die Zahl außerordentlich vergrößert werden, um die Sicherheit des Systems gegenüber Entschlüsselung zu verbessern. Das Verfahren zur Berechnung der Nachschlagtabellen kann ebenfalls in der Sicherheitsverwahrung der Bank sein oder kann an die Bank in Form von Karten geliefert werden, die unter Verschluß aufbewahrt werden können.
Jede ELU druckt eine Buchungsliste, beispielsweise als »schwarze Liste«, nach Maßgabe der während eines Tages abgewickelten Geschäftstätigkeit. Diese Listen können von den Bankangestellten eingesehen oder mit Daten aus einer zentralen Datenverarbeitungsanlage ver-
glichen werden, um zu bestimmen, ob die Liste ein Fehlverhalten der Maschine oder nicht erlaubte Abhebungen enthält, die aufgrund eines Ausfalls der Sicherheitseinrichtung möglich wurden, oder die auch nur aufgrund unehrlichen Bankpersonals, dem die Sicherheit des Systems anvertraut wurde, ermöglicht wurden. Wenn ein Mißbrauch festgestellt wurde, kann die Bank den Kennwortalgorithmus und die Nachschlagtabellen vollständig umstellen und damit die Geheimhaltung sämtlicher Kennwörter wieder herstellen.
Das System wird weiter durch die Möglichkeit eines »on-line«-Abrufens von einer zentralen Datenverarbeitungsanlage verbessert, so daß die Versuche zum Kopieren von Karten wesentlich besser festgestellt werden können, wobei das gesamte System nicht mehr unter der Überwachung und Steuerung einer einzelnen Person steht.
Die automatische Geldausgabevorrichtung besitzt also eine Sicherheitseinheit für den Schutz einer Karte, eine kryptographische Einheit zur Modifizierung einer von der Karte abgelesenen Zahl, einen Generator für eine persönliche Zahl zur Bestimmung eines Kennwortes auf der Grundlage einer aus der kryptographlschen Einheit abgeleiteten Zahl, ferner eine Vergleichsschaltung, eine Kennworteingabe-Schalttafel, die mit der Vergleichsschaltung verbunden Ist, und eine Ausgabeeinheit, die auf den wahren oder falschen Ausgang der Vergleichsschaltung anspricht und deren Tätigkeit weiterhin von der richtigen Eingabe eines Kennwortes in die automatische Geldausgabevorrichtung durch einen Kunden sowie von einem Kennwort abhängt, das von der automatischen Geldausgabevorrichtung als richtiges Kennwort für ein gültiges Konto, repräsentiert durch eine Kreditkarte, bestimmt wird.
Vorzugsweise sind die logische Einheit und die kryptographische Einheit Teile eines mikroprogrammlerbaren Terminalrechners, wie er beispielsweise als Blockschaltbild in Flg. 5 dargestellt Ist. Die von der Karte abgenommene Information wird von den Kartenlesern CR und 5CP von der Karte abgelesen. Der an entfernter Stelle stehende Terminalrechner kann an die Kartenleser über einen Signalumsetzer 25 oder andere Eingangsgeräte an die Leitungen 21 angeschlossen werden. Die einzelnen Funktionen der ELU können durch den entfernt stehenden Prozessor 33 ausgeführt werden, der nachfolgend anhand der Fig. 5 beschrieben wird.
Flg. 5 zeigt ein logisches Blockschaltbild eines Terminalrechners für eine Geldausgabevorrichtung. S~weli es für das genauere Verständnis hler notwendig erscheint, wird auf die US-Patentschrift 35 64 509 sowie die britische Patentschrift 12 50 181 Bezug genommen.
Der Terminalrechner weist einen entfernt aufgestellten Prozessor 33, einen Datenkommunikationsprozessor 41 sowie einen Datenkommunikationspuffer 47 auf. Der Datenkommunikationsprozessor 41 und der Datenkommunlkatlonspuifer 47 ermöglichen den Austausch von «on-llne»-Mltteilungen über einen Signalumsetzer 25 und eine Kommunlkatlonsleltung 21, beispielsweise mit einer entfernt aufgestellten zentralen Datenverarbeitungsanlage. Diese Kommunikationsmöglichkeit gestattet es dem entfernt aufgestellten Prozessor 33, Nachrichten von der zentralen Datenverarbeitungsanlage zu empfangen und Nachrichten an die zentrale Datenverarbeitungsanlage zu senden, so daß auf diese Welse die laufenden Aufzeichnungen und Geschäftstätigkeiten an dem entfernten Prozessor auf den neuesten Stand gebracht werden können.
!rs der hler beschriebenen Ausführungsform werden die Funktionen der Nachschlagtabellen LUX und LUZ, der elektronischen Einheit ELU, des Generators PNG und des Vergleichs der persönlichen Kennwortzahl CNC von der Logik des entfernten Prozessors 33 ausgeführt. Der Hauptspeicher 34 kann eine rotierbare Magnetplatte mit mehreren Lese-/Schreibköpfen für den Zugriff auf allgemeine Daten und einen gespeicherten Programmabschnitt in dem Speicher aufweisen. Die In dem Hauptspeicher 34 gespeicherten Informationen und Daten werden In der arithmetischen Einheit verarbeitet, die einen Addierer 61, eine Übertragschaltung 67 und eine Eingangsauswahlschaltung 60 umfaßt, und zwar entsprechend den Programmbefehlen, die aus dem Hauptspeicher entnommen werden. Der Hauptspeicher wird von dem Lese-/Schreibkopf-Adressenwähler 51 adressiert, der ein Adressenregister und eine zugehörige Auswahlmatrix umfaßt, so daß Zugriff auf bezeichnete Teile des Hauptspeichers je nach der in das Adressenauswahlreglster geladenen Adresse möglich 1st.
Für den Betrieb wird ein Mikrobefehlszähler, beispielsweise ein Wort In dem Umlaufregister 53, normalerweise auf einen bestimmten Zählstand voreingestellt, der der auszuführenden Sequenz der Programmstufen entspricht und entnimmt nacheinander die seriellen Stufen des in dem Speicher gespeicherten Programms entsprechend den Zählstufen des nicht dargestellten Programmzählers. Die aus dem Hauptspeicher geholten Mikrobefehle werden nacheinander in das Mikrobefehlsregister 55 geladen. Der Ausgang des Mikrobefehlsregisters öffnet eine Steuermatrix 57, die über ein Feld von logischen Toren geeignete Steuersignale zur Steuerung der verschiedenen logischen Funktionen erzeugt und den Addierer 61 und die Schleifenübertragung zwischen den Registern 53, 63 und 65 steuert.
Die Programmbefehle und anderen Daten können In den Hauptspeicher 34 über die Schalttafel 37 oder andere Speichereingabevorrichtungen, beispielsweise periphere Geräte In Form eines Band- oder Kartenlesers 38, eingegeben werden. Die In den Prozessor eingegebene Informatlon wird normalerweise über ein Eingangs-/Ausgangsregister 65 gelesen und dann unter Mikroprogrammsteuerung In den Hauptspeicher übertragen. Die zeitliche und sequentielle Steuerung der verschiedenen Operationen des Rechners müssen dabei genau elngehalten werden. Die zeitliche Steuerung wird vorzugsweise durch ein Steuerwerk 59 ausgeführt, das geeignete logische Pegel oder Signale zum öffnen oder Vorbereiten von Toren zu Zeltpunkten erzeugt, die von einem Maschinentakt bestimmt werden, wobei der Maschlnentakt beispielsweise durch eine Taktspur auf dem Hauptspeicher vorgegeben sein kann. In Verbindung mit anderen logischen Signalen, die über verschiedene Eingangssteuergeräte eingegeben werden können, erzeugen die taktbestimmten Signale zyklisch geeignete Steuersignale für die logischen Elemente.
Wie bereits erwähnt, besteht eine wesentliche Sicherheitsvorkehrung darin, daß die Bank den zur Behandlung und Modifizierung der von einer Kreditkarte gelesener Sicherheitsdaten verwendeten Slcherheltsalgorithmui periodisch modifizieren kann. In der praktischen erfln dungsgemäßen Ausführung wird der Sicherheitsalgorith mus In den Prozessor 33 eingelesen und In den Nach Schlagtabellen LU\ und LUl In einem vorbestimmter Speicherbereich gespeichert. In ähnlicher Welse wird da: Kennwort, das von einem die Kreditkarte an der Geld ausgabevorrichtung benutzenden Person eingegeber wird, in den Speicher oder das Register 53 über di< Schalttafel 37 eingelesen. Unter der oben kurz erwähnter
Mikroprogrammsteuerung behandelt der Prozessor 33 programmatisch die von dem Sicherheitsfeld der Kreditkarte abgelesenen Daten entsprechend dem kryptographischen Algorithmus, der in den Nachschlagtabellen ELVX und ELUl gespeichert ist. Dies kann beispielsweise durch wahlweises Adressieren der Tabellen in dem Speicher 34 geschehen, um eine neue Zahl zu erzeugen, die beispielsweise in einem Abschnitt des Registers 63 gespeichert werden kann. Auf diese Weise können monoalphabetische oder polyalphabetische Substitutionen für jede Zitier der Sicherheitsdaten ausgeführt werden, um eine neue persönliche Identifikationszahl aus den von der Kreditkarte abgelesenen Sicherheitsdaten zu erzeugen.
Das von dem Kunden Ober die Schalttafel 37 eingegebene Kennwort kann dann logisch beispielsweise dadurch verglichen werden, daß der Inhalt der Register S3 und 63 in dem Addierer 61 addiert und die Summe mit einer in dem Speicher gespeicherten Konstanten verglichen wird. Alternativ kann ein direkter logischer Vergleich des über die Schalttafel 37 eingegebenen Kennwortes und der persönlichen Zahl vorgenommen werden, die als Funktion des Inhalts der In dem Hauptspeicher gespeicherten Nachschlagtabellen gewonnen wurde. In jedem Fall bestimmt der Vergleich des Kennwortes und der aus den Sicherheitsdaten der Kreditkarte gewonnenen Zahl, ob der Kunde, der die Vorrichtung zu bedienen versucht, die richtige Zahl eingegeben hat, wie sie von dem kryptographlschen Algorithmus und den auf der Karte befindlichen Sicherheitsdaten bestimmt Ist, und ob somit die Person rechtmäßigerweise die angebotene Kreditkarte benutzt. Dieses Verfahren gibt der Bank die Möglichkeit, diejenigen Kartenbenutzer, die beispielsweise aus der Geldausgabevorrichtung Geld entnehmen wollen, zu überwachen.
Man bemerke, daß der SCT-Leser bestimmt, ob die in den Schlitz 14 eingesetzte Karte annehmbar ist oder nicht. Man entnimmt aus der vorstehenden Beschreibung ferner, daß das verborgene magnetische Material magnetisiert Ist, wenn es In die Vorrichtung eingesetzt wird. An dieser Stelle wird die Karte, die nach Einsetzen In die Maschine magnetisiert wurde, mit der vorher gewonnenen persönlichen Identifikationsdarstellung verglichen, die In der beschriebenen Welse eine Funktion des Kennwortes 1st. Das Kennwort 1st als ein Faktor, eine Zahl, ein Größensymbol oder als eine alphanumerische oder rein numerische Darstellung oder Kombinationen davon zu verstehen. Besonders zweckmäßig Ist ein Kennwort In Form eines numerischen Faktors, der aus einer polyalphabetischen Tabelle bestimmt wird. Die persönliche Identifikationsdarstellung oder das Kennwort ist mit dem Schlüsselwort verglelchfahig und kann ebenfalls eine Faktorzahl, ein Größensymbol, eine alphanumerisehe oder rein numerische Darstellung oder eine Kombination davon sein. Wenn nach dem Schreiben des magnetischen Sicherheitsabschnittes auf der Karte festgestellt wird, daß die Karte unannehmbar ist, wird die Karte zurückgewiesen. Die Sicherheitszahl, die auf
ίο der Karte verschlüsselt enthalten ist, kann auf der Karte verbleiben, nachdem sie von der Vorrichtung zurückgewiesen wurde. Jedoch 1st die bloße Duplizierung der gewonnenen Zahl eine Funktion der Sicherheitseinrichtung, die nicht feststellbar ist, wenn die Karte aus dem Schreibsystem entfernt wird, und schmälert die Sicherheit des Systems nicht, weil der Wert aus dem magnetischen Matertal in der Karte jedesmal dann gewonnen wird, wenn die Karte gelesen wird.
Dies kann von der Bank über die elektronische Logik, wie oben erwähnt, nachgeprüft werden. Indem der kryptographlsche Algorithmus, der In dem Hauptspeicher gespeichert Ist, periodisch geändert wird, kann ein Mißbrauch von Karten verhindert werden, so daß unbeaufsichtigte Vorrichtungen mit einer größeren Sicherheit gegenüber Mißbrauch verwendet werden können.
Wie dem Rechner-Fachmann ohne weiteres geläufig ist, können auch andere logische Schaltungen dazu dienen, die oben beschriebenen logischen Funktionen Im Zusammenhang mit der Gewinnung der persönlichen Identifikationszahl als kryptographlsche Funktion der auf der Kreditkarte gespeicherten Sicherheitsdaten zu verwirklichen. In ähnlicher Welse können andere logische Einrichtungen zum Speichern des kryptographlschen Algorithmus und zur Ausführung des Vergleichs zwlsehen der Im Inneren der Vorrichtung als Funktion des Nachschlagtabellenlnhalts erzeugten Zahl und dem von dem Kunden eingegebenen Kennwort verwendet werden. Bei der praktischen Ausführung Ist es besonders zweckmäßig, eine mikroprogrammlerte Maschine zu benutzen, die eine größere Flexibilität bei der periodischen Abänderung des kryptographlschen Algorithmus ermöglicht und damit eine größere Sicherheit für das Geldausgabesystem schallt.
In der vorstehenden Beschreibung ist als spezielle Aus-
führungsform der verschiedenen Hardware-Elemente ein mlkrcprogrammlerbarer Rechner erläutert worden, jedoch können auch Rechner mit anderen Eigenschaften zur Ausführung der Erfindung benutzt werden.
Hierzu 3 Blatt Zeichnungen

Claims (6)

Patentansprüche:
1. Geidausgabevorrichtung mit einer Prüfeinrichtung für die Gültigkeit einer Zugang zur Geldausgabevorrichtung gewährenden Berechtigungskarte und der Berechtigung ihres Benutzers, wobei auf der Berechtigungskarte Daten aufgezeichnet sind, die von einer Leseeinrichtung der Geldausgabevorrichtung ablesbar und mit neuen Daten überschreibbar sind, mit einer in der Prüfeinrichtung enthaltenen Verschlüsselungseinrichtung, die die von der Berechtigungskarte abgelesenen Daten nach einem bestimmten Code verschlüsselt und mit einer Vergleichseinrichtung, die die verschlüsselten Daten mit einem vom Benutzer über eine Tastatur aer Geldausgabevorrichtung einzugebenden Kennwort bzw. einer Kennziffer vergleicht und bei Übereinstimmung bzw. bei einem festlegbaren funktionellen Zusammenhang ein Signal zur Freigabe des gewünschten Geldbetrages abgibt, dadurch gekennzeichnet, daß die Leseeinrichtung sowohl einen Sicherheitskartenleser (SCP), der eine auf die Berechtigungskarte aufgezeichnete Sicherheitszahl erfaßt als auch einen Kontokartenleser [CR), der auf der Berechtigungskarte aufgezeichnete Kontonummern erfaßt, enthält, daß eine Verschlüsselungseinheit (CU) mit mindestens einer Sicherheitstabellen-Einrichtung (LUX, LUl), deren Tabellen über eine gesicherte Eingabe (BSI) änderbar sind und eine mit dem Sicherheitskartenleser (SCP), dem Kontokartenleser (CR), der Verschlüsselungseinheit (CU) und einer zentralen Datenverarbeitungsanlage sowie wahlweise mit einem Drucker (19), Lochkartenleser oder dergleichen verbundene elektronische Logikeinheit (ELU) vorgesehen Ist, die die von dem Slcherheltskartenleser (SCP) abgegebene Zahl entschlüsselt und durch Vergleich mit In einer Tabelle enthaltenen Zahlen die Gültigkeit der Berechtigungsl-.arte überprüft und die die von dem Kontokartenleser (CÄ) erfaßten Kontozahlen (ACX, ACl) mittels einer der Verschlüsselungseinheit (CU) entnommenen Zufallszahl In modifizierte Kontozahler. (MACX, MACl) umwandelt und die ein Sicherheitsmodul (SM) enthält, In dem den modifizierten Kontozahlen (MACX, MACl) zugeordnete, veränderbare Kennwerte gespeichert sind, die an einen nachgeschalteten Funktionsgenerator (PNG) abgegeben werden, der eine veränderbare Steuerschaltung zur Ausführung bestimmter arithmetischer Funktionen enthält und der ausgangsseltlg mit einer Vergleichseinrichtung (CNC) verbunden ist und daß der Ausgang der Vergleichseinrichtung (CNC) sowohl mit einer Geldausgabeeinheit (CDU) als auch mit der elektronischen Logikeinheit (ELU) verbunden Ist und die Freigabe des vom Benutzer gewünschten Geldbetrages veranlaßt und zurückmeldet.
2. Geldausgabevorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß auf der Benutzerkarte zusätzlich zu den Kontonummern (ACX, ACl) eine Benutzungsbeschränkungszahl (UD) aufgezeichnet Ist, mittels der die Nachschlagtabellen (LUX, LUD der Sicherheltstabellen-Einrlchtung modH'izierbar und bei jeder Benutzung der Berechtigungskarte abänderbar Ist.
3. Geldausgabevorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die auf der Berechtigungskarte aulgezeichnete Sicherheitszahl In einem bestimmten Verhältnis zu dem Konto der Berechtigungskartc steht.
4. Geldausgabevorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß der Funktionsgenerator (PNG) in bestimmten Abständen mittels eines Programmwechsels zur Veränderung der vorbestimmten funktioneilen Beziehung zu dem, einem autorisierten Benutzer bekannten Kennwort geändert wird.
5. Geldausgabevorrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die Verschlüsselungseinheit (CU) eine Zufa!lsdaten-Tabelle aufweist, die derart modifizierbar ist, daß die von der Leseeinrichtung erfaßten Daten unannehmbar sein können, obgleich die über die Prüfeinrichtung eingegebenen Daten zu einem anderen Zeitpunkt, als sine andere Zufallsdaten-Tabelle verwendet wurde, annehmbar waren.
6. Geldausgabeeinrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß als elektronische Logtkelnheit (ELU) und Verschlüsselungseinrichtung (CU) ein Prozessor (33) vorgesehen ist, der über einen Datenkommunikationsprozessor (41) und einen Datenkommunikationspuffer (47) sowie einen Signalumsetzer (25) mit einer an eine zentrale Datenverarbeitungsanlage angeschlossenen Kommunikationsleitung verbunden Ist und eine einen Addierer (61), eine Übertragungsschaltung (67) und eine Hlngangswahlschaltung (60) umfassende arithmetische Einheit enthält, in der die in einem Hauptspeicher (34) gespeicherten Programmbelehle und die In ein erstes Register (63) geladenen modifizierten
JO Kontozahlen (MACX, MACl) bzw. Benutzerbegrenzungszahlen (MUD) mit dem in ein zweites Register (53) geladenen, vom Benutzer eingegebenen Kennwort addiert und die Summe mit einer in den Speicher (34) gespeicherten Konstanten verglichen wird, wobei
« In den Speicher (34) die Nachschlagtabellen (LUX, LUD bzw. ein Verschlüsselungs-Algorithmus gespeichert und über den Datenkommunikationsprozessor (41) und den Datenkommunikationspuffer (47) von der zentralen Datenverarbeitungsanlage veränderbar sind.
DE2245027A 1971-10-13 1972-09-14 Geldausgabevorrichtung mit Prüfeinrichtung Expired DE2245027C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB4761571A GB1383915A (en) 1971-10-13 1971-10-13 Automatic dispenser apparatus

Publications (2)

Publication Number Publication Date
DE2245027A1 DE2245027A1 (de) 1973-04-19
DE2245027C2 true DE2245027C2 (de) 1984-04-19

Family

ID=10445633

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2245027A Expired DE2245027C2 (de) 1971-10-13 1972-09-14 Geldausgabevorrichtung mit Prüfeinrichtung

Country Status (6)

Country Link
BE (1) BE789502A (de)
BR (1) BR7207111D0 (de)
DE (1) DE2245027C2 (de)
FR (1) FR2155959B1 (de)
GB (1) GB1383915A (de)
NL (1) NL7212703A (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3956615A (en) * 1974-06-25 1976-05-11 Ibm Corporation Transaction execution system with secure data storage and communications
CH581359A5 (de) * 1974-10-01 1976-10-29 Grey Lab Establishment
DE2700143A1 (de) * 1976-01-06 1977-07-21 Nedap Nv Sicherung fuer anprobekabinen
US4251874A (en) * 1978-10-16 1981-02-17 Pitney Bowes Inc. Electronic postal meter system
FR2497979B1 (fr) * 1981-01-13 1987-12-04 Lasserre Georges Ensemble de controle permettant l'identification d'individus et procede mis en oeuvre dans un tel ensemble
GB2130412B (en) * 1982-02-19 1986-02-05 John Wolfgang Halpern Electronic money purse
DE3406890A1 (de) * 1984-02-25 1985-09-05 Grundig E.M.V. Elektro-Mechanische Versuchsanstalt Max Grundig holländ. Stiftung & Co KG, 8510 Fürth Befehlseingabe bei einem mikroprozessorgesteuerten videorecorder
GB8425147D0 (en) * 1984-10-04 1984-11-07 Rigby Electronic Group Plc Device for reading from substrate
DE3604020A1 (de) * 1986-02-08 1987-08-13 Albert Henning Sicherheitshuelle fuer eine mit einem datentraeger versehene karte
FR2707407B1 (fr) * 1993-07-06 1995-08-18 Sagem Terminal de saisie de données à validation manuelle.

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3221304A (en) * 1961-02-23 1965-11-30 Marquardt Corp Electronic identification system employing a data bearing identification card
GB1183336A (en) * 1966-04-20 1970-03-04 Rca Corp Dispensing Apparatus
JPS5113981B1 (de) * 1969-03-04 1976-05-06
FR2059172A5 (de) * 1969-08-25 1971-05-28 Smiths Industries Ltd

Also Published As

Publication number Publication date
DE2245027A1 (de) 1973-04-19
GB1383915A (en) 1974-02-12
FR2155959B1 (de) 1976-08-20
BE789502A (de) 1973-01-15
BR7207111D0 (pt) 1973-08-30
NL7212703A (de) 1973-04-17
FR2155959A1 (de) 1973-05-25

Similar Documents

Publication Publication Date Title
DE3044463C2 (de)
DE3704814C2 (de) Karte mit integrierter Schaltung
DE3247846C2 (de)
DE2901521C2 (de)
DE3780070T2 (de) Pin-pruefungszeit-bestimmungsmittel umfassendes chipkartenidentifikationssystem.
DE3622257C2 (de)
DE602004003478T2 (de) Virtuelle tastatur
DE2612693A1 (de) Bargeldausgabevorrichtung
DE2645564C2 (de) Automatischer Geldausgeber
DE2527784C2 (de) Datenübertragungseinrichtung für Bankentransaktionen
DE2350418A1 (de) Verfahren und einrichtung zur erstellung und auswertung von faelschungssicheren maschinell lesbaren zahlungsbelegen
DE2528668C3 (de) Durch Karten betätigbare Einrichtung zur Ausgabe von Geld, von Waren, zur Betätigung von Sperren o.dgl.
DE2738113A1 (de) Vorrichtung zur durchfuehrung von bearbeitungsvorgaengen mit einem in eine aufnahmeeinrichtung der vorrichtung eingebbaren identifikanden
DE1944134B2 (de) Zugangs- bzw. Zugriff-Kontrollvorrichtung, beispielsweise für die Ausgabe von Banknoten
DE2512902A1 (de) System zur uebertragung von daten mit hilfe eines unabhaengigen tragbaren gegenstandes und einer autonomen registriervorrichtung
DE2338365A1 (de) Ueberpruefungs- oder kontrollsystem
DE2245027C2 (de) Geldausgabevorrichtung mit Prüfeinrichtung
DE2009854B2 (de) Einrichtung zur selbsttätigen Durchführung von Büroarbeiten, die bei Transaktionen in einer Bank oder dergleichen erforderlich sind
WO2006015573A1 (de) Datenträger zur kontaktlosen übertragung von verschlüsselten datensignalen
DE3013211C2 (de)
WO1980002756A1 (en) Data transmission system
DE2509313C3 (de) Einrichtung zum Prüfen der Benutzungsbefugnis des Benutzers einer Karte
EP1066607B1 (de) Gerät und verfahren zur gesicherten ausgabe von wertscheinen
EP1178452B1 (de) Verfahren für eine sichere Datenübertragung beim Warenverkauf
DE3148396C2 (de)

Legal Events

Date Code Title Description
OD Request for examination
8128 New person/name/address of the agent

Representative=s name: EISENFUEHR, G., DIPL.-ING. SPEISER, D., DIPL.-ING.

D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee