改進的售票方案的製作方法

2023-05-06 23:26:56

專利名稱：改進的售票方案的製作方法
技術領域：
本發明涉及使用ITSO方案的基本結構的改進售票方案。本文檔中，術語「ITSO」意指由英國政府提出並結合到歐洲標準EN 1545中的公同操作售票智慧卡組織(Interoperable Ticketing SmartcardOrganisation)標準，並且涉及當前有效的版本和將來可能有效的版本。從以下描述中可以看到，術語「售票方案」不僅僅包括傳統的交通售票操作，還包括其中可以對票據、代幣、貨券或者處方進行確認以兌現貨物或者服務的任何安全方案中。
現有ITSO方案的安全結構依賴於在各種售票用途的每個服務終端(POST)處包括(無論是售票或者驗票)ITSO安全應用模塊(「ISAM」)。明確的是，對於蓋票戳(ticket franking)而言，在乘坐公共汽車或者經過十字轉門時，ISAM所執行的方案管理功能必須在非常短的時間內完成，以免阻礙服務。
因此，在現有方案中，ISAM必需實體地安裝在POST中，從而使得業務能夠「離線」於任何中央主機而進行，否則中央主機會變得很慢，並且尤其是在與諸如公共汽車之類的車輛進行通信方面花費巨大。
然而，應該理解，在購票該特定情況下，這種「因為高速所以離線」的爭論是沒有根據的；票的選擇和購買事件能夠花費很多秒甚至很多分鐘來完成。此外，通過安裝ISAM對所有現有售票POST進行升級意味著不利成本問題，從而更加經濟地提供ITSO售票的替代方式。
在廣義上，根據本發明，提供了一種ITSO方案，其中能夠通過在遠離得到IPE的售票機(retailer)裝置的位置處的多個ITSO安全應用模塊(「ISAM」)之一來執行ITSO產品實體(IPE)的蓋戳(seal)或者確認(validation)；每個售票機服務裝置通過控制裝置而經由網際網路或者其他網絡連接到一個或者多個ISAM，該控制裝置用於在由售票機裝置發起的蓋戳或者確認業務的整個過程中從多個ISAM中選擇可用ISAM。IPE的「蓋戳」在某種意義上是提供稱為「消息驗證碼(MAC)」的驗證碼。其能夠採用例如DES算法之類的多種已知算法實現。實質上，IPE具有創建並與IPE一同存儲的籤名，從而能夠之後能夠通過檢查籤名或者驗證碼來確認IPE。
IPE的確認是檢查在蓋戳IPE時所產生的在先生成的驗證碼的過程。確認也稱為「驗證」，並在遠離售票機裝置的ISAM處進行所述確認。在本發明所述的實施例中，蓋戳IPE的過程是在遠離售票機裝置的ISAM處進行的。此外，驗證或者確認IPE的過程也是在遠離售票機裝置的ISAM處進行的。
這種方案特別適合於如上所述的交通票的出售，但是也適合於對代幣、貨券或者其他「票據」進行蓋戳的時間不緊要的其他情況中。特別是，所述方案可以用於確認製藥配備和藥物的處方。本發明還提供了用於產生藥品處方的情況，其中，醫生或者其他處方書寫者採用根據以上概述的本發明的方案而蓋戳的ITSO產品實體(「IPE」)形式發送處方信息。類似地，根據本發明，通過在採用ITSO產品實體(「IPE」)形式的確認裝置處出示處方信息，並通過在遠離用於確認所出示的IPE的(如POST的)確認裝置處的多個ITSO安全應用模塊(「ISAM」)之一處對信息進行確認，來確認藥品處方；每個確認裝置都通過控制裝置而通過網際網路或者其他網絡連接到ISAM，該控制裝置用於在由確認裝置發起的確認業務整個過程中從一組ISAM中選擇可用ISAM。本發明還提供用於上面概述的該種方案中的ISAM陣列，該陣列包括多個ISAM和控制裝置，其響應位於遠程位置的售票機或確認設備從網際網路或者其他網絡上發送到控制裝置的售票機或確認設備請求，該控制裝置用於從多個ISAM中選擇可用的ISAM，並在由售票機或者確認裝置發起的蓋戳或確認業務的整個過程中，將該ISAM通過網際網路或者其他網絡連接到售票機或者確認裝置。
ISAM的「隊列」是多個ISAM的邏輯分組。這允許對於IPE的蓋戳或者驗證的多個請求能夠在任何時間被提交並進行並行處理。控制裝置能夠為任何給定的蓋戳或驗證請求確定適當的ISAM。另外，ISAM能夠在陣列中以邏輯分組進行排列，從而可以例如對於任何蓋戳或驗證請求的源提供特定分組的ISAM。在本發明的一個實施例中，所述源可以是特定的售票機或者操作者，從而可以將所述給定售票機或者操作者的請求提供給陣列中ISAM組中相應的一個。根據本發明，現在將參考附圖採用實例的方式描述分布在網際網路上的POST系統。


圖1是本系統體系結構的概觀的方框圖；圖2以圖表形式示出事件流的概觀；以及圖3詳細示出了事件流程。
ITSO方案使用包含與業務相關的數據的ITSO產品實體(「IPE」)工作，並且採用如上所述的算法該數據進行蓋戳、確認或者驗證。ITSO產品實體(IPE)本身包括多個IPE域(field)，IPE域共同包括IPE。將IPE域組合為IPE的過程稱為構造。在所述的實施例中，IPE的構造可以在作出確認請求的的售票機裝置(POST)上進行，或者售票機裝置可以簡單地將IPE域提供給第三方站點，在該處用IPE域構成IPE。不管選擇那一種方式，都是在遠離售票機裝置的ISAM處對IPE進行蓋戳的。另外，對於已經蓋戳的IPE的任何驗證或確認的請求也在遠程ISAM裝置進行。IPE的域也稱為組件。
從圖1中可以看出，實現本發明的系統包括兩個網站伺服器。其中一個(「SAM陣列網站」或者ISAS)具有連接的ISAM「陣列」，該陣列通過網際網路連接到另一個網站伺服器上，該伺服器帶有由售票機運行的第三方網站(「第三方網站」)，其向作為票的購買者的客戶提供選擇功能。
ISAM陣列可以具有任何數量的ISAM；在該情況下假設陣列中有X個這樣的ISAM。類似地，在另一個伺服器上可以有任何數量的第三方網站(事實上可以有任意多個第三方伺服器，並且每個第三方伺服器都可以具有任意數量的第三方網站)；在該情況下，假設有Y個這樣的網站。可以依次地從巨大數量Z個裝置訪問每個售票網站，希望購票的人可以訪問每個所述Z個裝置。
ISAM以及管理層的作用類似電話交換機，在每個會話的基礎上將X個ISAM路由到Y個第三方網站，第三方網站再進而路由到Z個終端(「客戶介質接口裝置」)。因此存在X×Y×Z個可能連接，並且這允許在一個以上的第三方網絡售票網站及更多個終端之間共享一個ISAM陣列圖1所示的採用集線器形式的邏輯和物理組件與IPE處理機(handler)的組合提供了控制裝置，通過該控制裝置能夠將IPE的確認或蓋戳的請求分配到SAM陣列中適當的一個SAM或者SAM組。
在圖2和3中更加詳細的描述了按照以上聯繫圖1的概述所實現的ITSO方案的事件流程。從圖2中可以看出，用戶採用普通方式登錄到第三方網站，並且採用普通方式在客戶與第三方站點之間處理購票業務，直到完成付款並確定了票的細節為止。在該時刻，第三方網站聯繫ITSO Sam陣列網站(「ISAS」)來建立會話。ISAS建立會話，並將會話標識符傳送回第三方站點進而傳送給用戶。ISAS(「客戶介質接口」)使用由第三方站點建立的票的細節，初始化與客戶的會話，直到完成票的蓋戳業務為止。
在該實施例中，IPE域是在第三方網站生成的，並且被發送到構成IPE的ISAS。然後由ISAS將IPE發送到ISAM以進行蓋戳。如先前所述，還可能在售票機裝置或者第三方網站處完全地構造IPE。本實施例(源自ITSO方案)的額外特徵是採用一種有效的方式將構成IPE的IPE域放在一起，從而移除域之間的任何插入字符(padding)，以確保IPE的結構在大小上很小，從而可以進行隨後在用戶智慧卡(用戶介質裝置)上的存儲。
如所述，IPE的生成可以是在POST處構造整個IPE，或者可以在POST處創建IPE域並將其發送到第三方站點以進行構造，或者可以在第三方站點創建IPE域並將其發送到ISAS以進行構造。在任意一個以上的可替換方案中，從在POST處的數據輸入引起IPE在POST本身或者在第三方站點或者在ISAS處被構造的角度看，在該意義上而言，IPE是從POST或者售票機裝置處得到。
圖3更加詳細地示出了該過程，具體而言，在特定業務會話中所使用的ISAS與單個ISAM之間的通信。
ISAM所執行的ITSO業務的細節在ITSO方案中可以全部採用傳統方式。
以上方法的優點在於●不需要每個POST安裝一個ISAM。
●第三方網站動態地與ISAM陣列相關聯。
●網際網路客戶與售票網站之間的動態關聯。
提供用於訪問第三方站點的客戶終端(「客戶介質接口」或者「CMI」)，並且因此ISAS具有相連的智慧卡讀卡器裝置，ITSO產品實體(「IPE」)、ITSO格式的並且用ITSO進行保護的「票」能夠採用該類型CMD(「客戶介質裝置」)能夠支持的最大安全等級遠程地加載到CMD上。此外，如果CMD是雙重接口(ISO 7816-3和ISO14443)的，則該讀卡器裝置不需要是ISO 1443讀卡器，這是優勢，因為這些讀卡器要更加昂貴。
儘管已經實現了基於通過網絡訪問的智慧卡陣列的方法，同時，這些方法僅僅是用於諸如Mondex錢包目的之類的應用，這些應用局限於在充當邏輯端(peer)的智慧卡之間的「值傳送」協議。本發明以上所述的方案提供了ISAM與多個不同類型的CMD之間的、根據CMD能夠支持的安全等級和類型的、網際網路上的、動態可配置的、安全的端對端(end-to-end)協議。該安全協議可以包括以下●由卡ID得到的對每個存儲器扇區的訪問密碼。儘管其是「明確」傳送的，但其在CMD處生成，並且僅僅能夠用在一個特定CMD上。
●根據共享安全密鑰(卡ID導出的)的相互驗證。這給出了更高等級的對CMD是真實的保證，此外，僅僅在成功地相互認證之後才對CMD進行更新。
●基於共享安全密鑰(會話和卡ID導出的)安全消息發送。這就確保了在之後的傳輸或者再現過程中從CMD讀出或者寫入CMD的數據不會被改變，因為採用基於密碼的一次會話將其「蓋戳」。這是高於保護IPE內容本身的安全等級的。
以上所述系統自身適應於出售交通票之外的各種情況，而該ITSO方案原本是為了交通票而開發的。特定興趣之一在於處方詐騙。
處方詐騙採用很多方式進行。目前世界上廣泛採用的基於紙張的系統容易被冒充醫學專家、患者以及藥房和其他人的詐騙者所濫用。一段時間以來，智慧卡的使用被看作是幫助對付這些詐騙者的平臺，並且患者使用的智慧卡方案目前的發展通常被認為是超正確的方向發展的。然而，支持多個商業實體的一種完全靈活的方案尚未出現，所述商業實體可以是藥房、藥物業務或者更加重要的是公共部門團體，例如涉及津貼或者特許(concessionary)類型的醫療費用報銷，其主要原因在於管理這種方案的商業的和安全的變化方面的複雜程度。
ITSO安全結構能夠在進行很少修改後用於對於藥物處方的安全的開出、履行、支付和報銷的開放方案(「開放」意思是可以用於多個用戶，其中一些用戶是競爭者，例如Visa就是一種開放方案)。
參考標準ITSO規範，需要對該文檔進行多處修改和改進以將ITSO方案應用到防止處方詐騙的領域，如下所述。
首先，患者持有的卡還必須是安全ID卡。將採用足夠安全的登記程序將該卡發布給患者，以使整個方案的操作者能夠確信患者的身份可以令人滿意地驗證並且沒有發生重複登記情況。存在多種已知的加密和安全協議技術能夠使用，並且這些技術本身並不是本申請的主題。
本方案中的其他「角色」也必須具有能夠通過其智慧卡進行驗證的身份，例如寫處方的醫生或者其他寫處方的人士(例如對慢性疾病狀況進行重複處方延長的護士長)，以及按處方拿藥並接收付款的藥方，其可以是全部的、部分的、直接的或者給予津貼。
患者的卡中具有安全數據結構，該安全數據結構在ITSO規範中稱為ITSO殼(shell)。即，實際上是多種不同類型的票的電子錢包。這些票類型具有數據項模板，數據項在每個票中或者IPE(「ITSO產品實體」)中具有預先定義。還存在稱為「私有」的IPE類型，其中沒有定義數據項，僅僅採用ITSO安全機制來「蓋戳」票數據，從而保證了其完整性。
上述採用遠程ISAM陣列並在圖中示出的系統，根據可以執行發出哪個安全的處方並按其拿藥，來提供可實現的方案。首先，其避免了必須將ISAM安裝在每個POST中的情況，在該情況下，是指安裝在醫生的診療室和在藥房。此外，其提供了一種方法，採用該方法，能夠通過網絡(例如網際網路或者內部網際網路(私有網絡)版本)安全地遠程下載表示處方信息的電子票。該系統通過在一個(或多個)受控位置處放置安全提供元件(ISAM)來保證票的安全性，在處方的情況是指處方發出過程的安全性。然而，ISAM還能夠位於其他位置處，例如在醫生的診療室和在藥房。
採用該過程，能夠在網際網路上在線地選擇票、對其付款並將其傳送到服務用戶的卡上。該結構是基於兩個網站的，第一個主要用於選擇和付款，第二個用於安全的傳送。如果現在所討論的票實際上是指處方，則能夠按照如下對在線過程進行修改。
現在能夠理解在處方的情況中蓋戳IPE和確認IPE的兩個階段。在第一實施例中，醫生構造IPE，這是通過在醫生的診療室中的POST處進行構造，或者通過將IPE域發送到第三方站點並在第三方站點處進行構造。IPE包括處方數據，並且其在SAM處被蓋戳。在該過程中，患者的卡也在POST機處，從而IPE的蓋戳是與患者的智慧卡相關的。隨後，患者能夠出示其智慧卡，並將能夠在藥房處的不同的POST機上根據患者的智慧卡確認所蓋戳的IPE。
醫生驗證處方管理網站並為患者開處方。在該過程中還涉及了醫生的卡。在該時刻能夠同時出示患者的卡，或者能夠在隨後登錄以「獲得」處方。然後患者在處方管理站點對自己進行驗證，然後該站點使用前述的同樣過程啟動處方下載。
當患者在藥店出示其卡時，藥劑師終端可以具有ISAM，或者可以在網際網路上連線到ISAM陣列伺服器，該伺服器確認處方並對其進行相應的修改/蓋章(取決於處方是一次性的還是重複性的)。然後ISAM參與安全業務記錄的創建，並在隨後將安全業務記錄上傳，以根據任何用於所涉及的特定個人的商業協議和政策來進行付款和報銷。
應該注意的是，處方發出還能夠在醫生終端處「離線」進行，只要該終端具有三個讀卡器(一個用於醫生，一個用於患者以及一個用於ISAM)。還可以偶爾查尋ISAM的處方發出業務記錄，其提供於藥劑師的處方記錄的全部記錄的對比。在減小不一致和很多類型的詐騙方面上，該「閉環迴路」方案將會提供與交通票領域相同類型的益處。
權利要求
1.一種ITSO方案，其中，通過遠離得到ITSO產品實體(IPE)的售票機裝置的位置處的多個ITSO安全應用模塊(「ISAM」)之一來執行所述IPE的蓋戳；每個售票機裝置通過控制裝置而經由網際網路或者其他網絡連接到ISAM，該控制裝置用於在由所述售票機裝置發起的蓋戳業務的整個過程中，從所述多個ISAM中選擇可用的ISAM。
2.一種在ITSO方案中蓋戳IPE的方法，其包括在售票機裝置上生成ITSO產品實體(「IPE」)的域；並通過遠離得到ITSO產品實體的售票機裝置的位置處的多個ITSO安全應用模塊(「ISAM」)之一來構造和蓋戳所述IPE；每個售票機裝置通過控制裝置而經由網際網路或者其他網絡連接到ISAM，該控制裝置用於在由所述售票機裝置發起的蓋戳業務的整個過程中選擇可用的ISAM。
3.一種ITSO方案，其中，通過位於遠離得到IPE以進行確認的確認裝置的位置處的多個ISAM安全應用模塊(「ISAM」)之一來執行所述IPE的確認；每個確認裝置通過控制裝置而經由網際網路或者其他網絡連接到ISAM，該控制裝置在由所述確認裝置發起的確認業務的整個過程中從所述多個ISAM中選擇可用的ISAM。
4.一種在ITSO方案中確認IPE的方法，其包括從確認裝置中生成ITSO產品實體(「IPE」)；並通過位於遠離得到IPE的確認裝置的位置處的多個ITSO安全應用模塊(「ISAM」)之一來確認所述IPE；每個確認裝置通過控制裝置而經由網際網路或者其他網絡連接到ISAM，該控制裝置用於在由所述確認裝置發起的確認業務的整個過程中從所述多個ISAM中選擇可用的ISAM。
5.一種發出藥品處方的方案，其中，由醫生或者其他處方書寫者發出處方信息，以創建通過位於遠離產生ITSO產品實體(「IPE」)的零售裝置的位置處的多個ITSO安全應用模塊(「ISAM」)之一蓋戳的所述IPE；每個零售裝置通過控制裝置而經由因特，網或者其他網絡連接到ISAM，該控制裝置在由所述零售裝置發起的蓋戳業務的整個過程中從陣列中選擇可用的ISAM。
6.一種確認藥品處方的方案，其中，在確認裝置上出示處方信息，以生成ITSO產品實體(IPE)，並通過遠離出示IPE以進行確認的確認裝置的位置處的多個ITSO安全應用模塊(「ISAM」)之一來確認所述處方信息；每個確認裝置通過控制裝置而經由網際網路或者其他網絡連接到ISAM，該控制裝置在由所述確認裝置發起的確認業務的整個過程中從陣列中選擇可用的ISAM。
7.一種發出藥品處方的方法，包括從零售裝置中生成表示處方信息的ITSO產品實體(IPE)；並且通過位於遠離生成IPE的零售裝置的位置處的多個ITSO安全應用模塊(「ISAM」)之一來蓋戳所述IPE；每個零售裝置通過控制裝置而經由網際網路或者其他網絡連接到ISAM，該控制裝置在由所述零售裝置發起的蓋戳業務的整個過程中用於從所述多個ISAM中選擇可用的ISAM。
8.一種確認藥品處方的方法，其中出示從確認裝置得到的ITSO產品實體(IPE)形式的處方信息以進行確認；並且通過遠離出示IPE以進行確認的確認裝置的位置處的多個ITSO安全應用模塊(「ISAM」)之一來確認所述IPE；每個確認裝置通過控制裝置而經由網際網路或者其他網絡連接到ISAM，該控制裝置用於在由所述確認裝置發起的確認業務的整個過程中從多個ISAM中選擇可用的ISAM。
9.一種在根據權利要求1、3或者5中任意一項所述的方案中使用的ISAM陣列，所述陣列包括多個ISAM和控制裝置，所述控制裝置響應通過網際網路或者其他網絡從遠程位置處的零售或者確認裝置發送給所述控制裝置的零售或者確認請求；在由所述零售或者確認裝置發起的蓋戳或者確認業務的整個過程中，所述控制裝置都用於從多個ISAM中選擇可用的ISAM，並通過網際網路或者其他網絡將其連接到所述零售或者驗證裝置。
10.如權利要求7所述的ISAM陣列，其中所述控制裝置用於同時將多個零售或者確認裝置連接到所述多個ISAM中相應的一個上。
11.如權利要求1到8的任意一項所述的方法或者方案或者權利要求9或者10所述的ISAM陣列，其中，將所述多個ISAM分為獨立的各個邏輯組。
12.根據權利要求11所述的方法、方案或者ISAM陣列，其中，在所述ISAM陣列處接收來自多個第三方的蓋戳或者確認請求，每個所述第三方都被分配給各自的ISAM組。
13.用於對ITSO產品實體(IPE)進行蓋戳或者確認的系統，包括接口，用於接收蓋戳或者確認請求；IPE處理機，用於處理蓋戳或者確認請求；以及多個ITSO安全訪問模塊(ISAM)，用於接收所述蓋戳或者確認請求，其中，所述接口和所述IPE處理機用於根據控制邏輯將所述蓋戳或者確認請求呈示給一個或者一組ISAM。
14.如權利要求13所述的系統，其中所述控制邏輯用於根據所述請求的源來選擇適當的ISAM或者ISAM組。
15.根據以上任意一項權利要求所述的方法、方案或者系統，其中，所述ISAM包括智慧卡。
16.根據以上任意一項權利要求所述的方法、方案或者系統，其中，所述ISAM被實現為一個或者多個伺服器上的邏輯功能。
全文摘要
在一種ITSO方案中，通過遠離生成ITSO產品實體(IPE)域的售票機裝置的位置處的多個ITSO安全應用模塊(「ISAM」)之一來執行所述IPE的構造和初始化蓋戳。每個售票機裝置通過控制裝置而經由網際網路或者其他網絡連接到ISAM，該控制裝置用於在由所述售票機裝置發起的蓋戳業務的整個過程中從所述多個ISAM中選擇有效ISAM。還能夠在通過網際網路或者其他網絡訪問的遠程ISAM陣列處執行IPE的確認。遠程ISAM陣列能夠用於各種ITSO應用，例如交通票出售活則會藥品處方的安全系統。在後者方案中，由處方書寫者提供的用於蓋戳的處方信息採用IPE的形式，並且隨後患者能夠在藥方或者其他供應者處確認該處方IPE。由於ITSO方案中固有的安全性，這種方案能夠用於減少處方詐騙。
文檔編號G07F7/10GK1998028SQ200580015555
公開日2007年7月11日 申請日期2005年5月16日 優先權日2004年5月14日
發明者巴裡·西姆·霍克菲爾德, 麥可·彼得斯, 斯圖爾特·威廉森 申請人:埃塞博斯有限公司