使用验证码保护在线单据的系统与方法.pdf

一种用于通过网络提供验证码的系统与方法，该验证码用于例如在线打印的彩票等单据的验证。该系统包括单据打印终端，该终端含有密钥，该密钥与特定游戏参与下注信息一起用于一个数学函数中，以生成发送给中央服务器的单据码。该中央服务器存储该接收到的单据码，且对希望在该终端打印的该单据生成验证码，并将该验证码发送回该终端以打印在该发售的单据上。该验证码可以是该单据码的进一步数学处理。通过比较该单据上的验证码和服务器存储的验证码和/或单据码进行该单据的检验。

1.  一种用于通过网络提供验证码的系统，该验证码用于游戏单据，该系统包括：
一个或多个终端，各个终端分别包括单据打印装置，各个终端含有伪随机密钥生成器，且有选择地接收参与游戏的下注，并生成一张带有单据特有信息的游戏参与单据，各个终端还生成单据码，其包含利用至少所述密钥和参与特定游戏的下注的数学函数，并且各个终端有选择性将该单据特有信息和单据码发送给网络上的另一计算机设备；
至少一个与该网络通信的服务器，该服务器接收从一个或多个所述终端发送的单据特有信息和单据码，且存储该单据特有信息和单据码，并将至少用于打印在游戏单据上的序列号发送给一个或多个所述终端；以及
其中，在接收到来自至少一个所述服务器的验证码之后，各个终端打印一张包括所接收的所述验证码的游戏单据。

2.  根据权利要求1所述的系统，其中，所述游戏单据为彩票。

3.  根据权利要求1所述的系统，其中，所述单据码包含进一步利用该单据特有信息的数学函数。

4.  根据权利要求1所述的系统，其中，所述单据特有信息为票券序列号。

5.  根据权利要求1所述的系统，其中，所述数学函数为散列函数。

6.  根据权利要求1所述的系统，其中，所述终端对于每一张打印的游戏参与单据变更所述密钥。

7.  根据权利要求1所述的系统，其中，所述验证码包含对所接收的单据码进行的另一数学函数。

8.  一种通过网络提供验证码用于检验游戏单据的方法，，该方法包括以下步骤：
在服务器上接收由一终端通过网络传送的单据特有信息和单据码，其中，该终端含有密钥且有选择地接收对参与游戏的下注，并有选择地生成带有单据特有信息的游戏单据，该终端还生成单据码，其包含利用至少所述密钥和参与特定游戏的下注的数学函数，且各个终端有选择地将单据特有信息与单据码传送给该网络上的另一计算机设备；
在所述服务器上存储该单据特有信息和单据码；
生成明文序列号；以及
至少将用于生成游戏单据的所述序列号传送给一个或多个所述终端。

9.  根据权利要求8所述的方法，进一步包括以下步骤：
在所述服务器上接收一验证码；
将所述验证码与存储的单据特有信息和所述单据码进行比较，以指示所述验证码是否有效。

10.  根据权利要求9所述的方法，其中，比较所述验证码的步骤是将所接收的验证码与从特定终端接收到的存储的单据特有信息和单据码进行比较。

11.  根据权利要求8所述的方法，其中，生成验证码的步骤包含对所接收的单据码进行数学函数。

12.  根据权利要求11所述的方法，其中，生成验证码的步骤包含对所接收的单据码进行散列函数。

13.  根据权利要求8所述的方法，其中，生成验证码的步骤包含对所接收的单据特有信息和单据码进行数学函数。

14.  一种用于生成游戏参与单据的计算机设备，包括：
单据打印装置；
与网络相连的通信接口；与
控制器，该控制器含有密钥，并有选择地接收对参与游戏的下注，且有选择地生成带有单据特有信息的游戏参与单据，该控制器进一步生成单据码，其包含利用至少所述密钥和参与特定游戏的下注的数学函数，且该控制器有选择地将该单据特有信息和单据码传送给该网络上的另一计算机设备，该控制器有选择地从该网络上的另一计算机设备接收一验证码；以及
其中，该单据打印装置打印包括接收到的所述验证码的游戏参与单据。

15.  根据权利要求14所述的设备，其中，所述单据码包含进一步利用所述单据特有信息的数学函数。

16.  根据权利要求14所述的设备，其中，所述游戏单据为彩票。

17.  根据权利要求14所述的设备，其中，所述数学函数为散列函数。

18.  根据权利要求16所述的设备，其中，所述单据特有信息为票券序列号。

19.  根据权利要求15所述的设备，其中，所述控制器对于打印的每张游戏单据变更所述密钥。

20.  根据权利要求14所述的设备，其中，所述数学函数是非对称加密算法。

使用验证码保护在线单据的系统与方法
相关申请的交叉引用
本申请是2005年1月19日提交的、序列号为No.11/039,748的美国专利申请的部分延续申请，其要求序列号为No.60/568,773的美国临时专利申请的优先权，这里通过引用包含这些申请的全部内容。
技术领域
本发明一般涉及单据检验的方法。本发明尤其涉及出于检验和验证目的，通过网络提供验证码以嵌入在单据中或打印在单据上的系统和方法。
背景技术
目前存在几种已知的、将安全措施嵌入到单据中，以帮助证明该单据可信的方法。最基础的方法为在单据上加盖或浮饰可见的图章。在单据的底层使用水印或条带，或使用变色墨水等方法也为人们所熟知，这些都为察看该单据的人即时可见。目前还存在其他保持单据的可信度不为察看者即时可见的方法，例如微字印刷，或者使用热敏或光敏墨水等。
单据验证的一个特别重要的方面涉及到彩票。在绝大多数情况下，仅拥有一张中奖的彩票就赋予彩票持有人获取奖励的权利。因而，对这张出示的彩票进行验证就十分重要。例如，在很多国家和地区十分普遍的在线彩票必须实时地被打印并呈送给购买者，其中交易数据通过一个热敏式打印机或击打式打印机打印在彩票上。为了增加安全性，彩票典型地使用预先印制的、在印制衬底的背面带有序列号、以及在票券衬底带有荧光和其他墨水的存票，以帮助证明该彩票的可信度及完整性。由于预先打印着序列号的存票的分发是由一个不同于控制交易数据打印实体的实体来维护，该预先打印的序列号在确定中奖彩票的可信度上提供了很多安全性。当一张中奖彩票被提出兑奖时，可在存票序列号和交易数据之间进行查帐索引。
但是，这种增加的存纸安全性具有成本高以及追踪存票的物流管理等缺点。并且，由于将存票与在给定时间由给定销售者打印的在线彩票相关联所导致的劳动密集特性典型地妨碍了该方法用于除大额中奖彩票外的所有彩票。最后，一个可以进入控制交易数据打印系统的内部人员可以在确定一张大额中奖彩票在一个零售点处售出后立刻简单地从该处购买一张彩票，以违法地获知适当的存票序列号范围。
通过对票券提供商的交易数据库或打印的票券序列号进行加密可以对在线彩票安全性添加第二级防御。该加密阻止了票券提供商的、含有中将彩票列表的数据库和实际的、当场打印的在线票券的序列号之间可即时辨别的关联性。这一措施防止能够进入中奖数据库的内部人员伪造中奖票券的序列号。进一步来说，该加密技术具有同时保护大额兑奖和小额兑奖的优点，而不会由于物流的限制将存票序列号限于验证高额欺诈。但是，这一在线序列号加密方法依赖于内部人员不知晓加密密钥。并且，在线序列号加密对票券提供商的所有销售交易造成了处理负担，并在私密的加密/解密密钥丢失的情况下，有可能将所有合法的兑奖排除在外。
相应地，提供一种不依赖于预先印制的衬底，以允许对远程打印的单据进行检验的方法是十分有利的。进一步地，特别是对于在线彩票来说，这一方法应该允许以最小的成本对所有打印单据的检验与验证。因此，本发明主要旨在一种通过网络提供用于单据的验证码的新颖的系统和方法。
发明内容
本发明是一种用于通过网络提供验证码的系统与方法，该验证码用于例如在线打印的彩票等单据的验证。使用打印在彩票上的验证码可同时防范伪造与内部人员的攻击。在一个实施方式中，本发明是一种用于通过网络提供验证码的系统，该验证码用于游戏参与单据，该系统包括一个或多个终端，各个终端分别包括单据打印装置，其中，各个终端含有密钥，且选择性地接收参与游戏的下注，并生成一张带有单据特有信息的游戏参与单据，各个终端还生成单据码，其包含利用至少该密钥和参与特定游戏的下注的数学函数，并选择性地将该单据特有信息和单据码发送给该网络上的另一计算机设备。该系统包括至少一个与该网络通信的服务器，该服务器接收该一个或多个终端发送的单据特有信息和单据码，存储该单据特有信息和单据码，并将至少一个用于打印在游戏参与单据上的验证码发送给该一个或多个终端。在接收到来自该至少一个服务器的验证码之后，各个终端打印一张包括该接收到的验证码的游戏参与单据。因而可通过比较单据上的验证码和存储于服务器上的单据码来进行单据的检验。
在另一个实施方式中，本发明是一种通过网络提供验证码的方法，该验证码用于游戏参与单据的检验，该方法包括以下步骤：在服务器端接收由终端通过网络发送的单据特有信息和单据码，其中该终端含有密钥且选择性地接收参与游戏的下注，并选择性地生成带有单据特有信息的游戏参与单据，该终端还生成单据码，其包含利用至少该密钥和参与特定游戏的下注的数学函数，并将单据特有信息与单据码发送给该网络上的另一计算机设备。然后该方法包括以下步骤：在服务器端存储该单据特有信息和单据码，基于所接收的单据特有信息和单据码生成验证码，并至少将用于生成游戏参与单据的验证码发送给一个或多个终端。
在又一个实施方式中，本发明包括一种用于生成游戏参与单据的计算机设备，该计算机设备包括单据打印装置，与网络相连的通信接口以及控制器，该控制器含有密钥，并选择性地接收参与游戏的下注，且选择性地生成带有单据特有信息的游戏参与单据，该控制器进一步生成单据码，其包含利用至少该密钥和参与特定游戏的下注的数学函数，且该控制器选择性地将该单据特有信息和单据码发送给例如中央服务器的该网络上的另一计算机设备，该控制器选择性地接收用于打印在票券上的验证码。
由于本发明允许对远程打印的、例如彩票等单据的检验，而不需要预先印制的衬底，本发明相应地提供了一定优势。该过程可以电子地完成以最小化成本，使得任何单据都可以被经济地验证。事实上，特别对于在线彩票来说，由于验证码和基于密钥的加密的使用比预先打印序列号的存票以及由票券提供商的加密产生的在线票券序列号更安全，本发明能够减少对这些措施的需求。
在阅读以下附图说明、具体实施方式和权利要求书之后，本发明的其他目的、特征和优势将显而易见。
附图说明
图1是提供验证码至打印的在线彩票的系统的框图，其中验证码的一密钥通过网络被传送至一服务器；
图2A是一张打印的在线彩票，该彩票示出了由中央彩票站点提供的标准序列号；
图2B是一张与图2A类似的、打印的在线彩票，该彩票带有打印的、包括验证码部分的序列号；
图2C是一张与图2B类似的、打印的在线彩票，该彩票带有为数字代码的验证码；
图3是在线彩票销售终端的计算机平台的一个实施方式的框图；
图4是在线彩票销售终端上执行过程的一个实施方式的流程图，该终端基于密钥和票券下注值的散列为彩票生成单据码，并将该单据码发送给服务器；
图5是票券提供商服务器上执行过程的一个实施方式的流程图，该服务器用于接收单据码和其他单据特有信息，为该票券生成验证码，而后将票券序列号和验证码发送给请求分售在线彩票的终端；
图6是票券提供商服务器上执行过程的一个实施方式的流程图，通过接收票券验证码和将该验证码与存储的验证码进行比较来对票券进行验证。
具体实施方式
参照附图，在各附图中相似的标号代表相似的元件。图1是一个用于通过网络14提供用于例如在线彩票(图2A至2C)等单据中的验证码的系统10的示意图。一个或多个票券分售终端16分别包括一个单据打印装置18。这种票券分售终端的例子包括Scientific Games有限公司销售的Extrema，Sagem销售的T-2000以及GTECH有限公司销售的Altura。在该实施方式中，这一个或多个通过网络14与服务器12通信的终端16发售打印的、带有序列号和验证码的票券。更具体地，在票券于终端16售出时对下注数据形成带密钥的加密散列，该带密钥的散列验证码作为在下注请求时被发送给中央服务器12的下注数据的数字信号。该服务器12生成一标准的票券序列号并将散列单据码连同下注数据与生成的序列号一起记录下来。一旦记录完毕，该服务器12将新生成的序列号发送给生成该请求的终端16。该终端16继而打印含有该接收到的、来自服务器12的序列号与验证码(或用于产生该散列的伪随机密钥)的在线票券40。总而言之，散列的单据码通过对带有由终端16产生的密钥的明文下注数据进行散列而生成，且该散列密钥在下注请求时并不被发送给服务器12，而是可被打印在售出的票券40上，或者被终端16所删除。由于终端16在伪随机散列密钥被打印在票券40上和/或被用于生成发送给服务器12的单据码后，将该密钥删除，对于终端16或服务器12来说，理论上没有办法重新产生该特定的散列密钥以产生该单据码。
为了对打印的票券提供单据安全，终端12生成验证码(例如散列密钥)并将其在票券打印时附加在标准的票券日期和序列号之后。如图2A至2C所示，本发明是保护例如在线彩票等单据的传统方法的替代手段。图2A是打印的在线彩票20的一个实施方式，该彩票带有游戏标记22(典型地是彩票玩家选择的一系列数字)和由中央彩票站点(这里为服务器12)提供的一标准序列号24。图2B是与图2A类似的、打印的在线彩票30，该彩票带有打印的、由四位数字日期32、十位票券提供商发放的数字序列号34和十六位散列密钥部分36组成的序列号，该密钥也由终端16提供。
图2C是一张与图2B类似的、打印的在线彩票，该彩票带有为数字代码的验证码42。在本实施方式中，终端16通过生成十进制表示的散列密钥而产生该数字代码。终端12的该密钥对于每张票券可以变更，并可以随下注值变化，验证码在分售该彩票时是伪随机的。
彩票机构仅仅能够为一特定彩票终端16进行信号“检验”。换句话说，检验者必须拥有由终端16发送的原始单据码的数据，该原始单据码可根据打印的票券20上的验证码重新生成，并使用其信息对票券20的验证进行检验。在一个实施方式中，终端16对票券20的某些特有数据，优选地对每张票券都不同的下注值进行散列(数学概要)，该特有数据还可以包括另外的数据，例如日期32、序列号34与典型为例如大的素数等数学值的一个本地密钥。而后，该密钥被用于进行散列，且被加密的该散列成为票券20的单据码。在另一端，服务器12接收该单据码，并生成一验证码发送给终端16用于打印在票券20上，该验证码可以仅仅是票券序列号，或者是该单据码的进一步散列或其他数学函数。
尽管系统10被示为特别用于保护彩票，其他单据，例如现金、债券、法律文书以及其他打印的或远程的媒介也可以为了安全使用本发明富有创造性的系统。进一步，验证码也可以以其他数据格式被存储，例如条形码44，或其他一维或两维的数据存储媒体等。一旦生成了单据码，终端16将该单据码及例如下注数据等其他单据特有数据发送给服务器12。在一个实施方式中，服务器12继而生成验证码，以用于发回终端12并打印在票券20上。在另一实施方式中，当服务器12接收到下注数据和散列之后，其生成唯一的序列号，存储该序列号、散列及下注数据，并将序列号发回终端16。终端16接收到该序列号并将其与下注数据或散列密钥打印出来。
服务器12继而可以为所有终端16维护单据码和/或验证码的记录，将其作为一份进行彩票验证时使用的查询表。如图6中的过程所进一步描述地，当一张中奖彩票被一台终端16提出进行验证时，优选地，日期32、序列号34以及验证码36(可以仅仅是散列密钥)被传输给服务器12，服务器12查找曾经生成该彩票的终端16，以及与该终端16售出的票券相关联的验证码/单据码。在一个实施方式中，服务器12将验证码42解密以获取单据码，并检验票券20有效。因此，如果号码相同，该彩票是可信的，并且是在正确的时间在正确的销售者处打印。相反，如果经解密的验证码42与对票券20所存储的单据码不同，则该彩票可能是伪造的，该玩家应当通过其他方法验证以获取奖励。当然，在本发明富有创造性的方法之后可以调用单据电子检验的进一步步骤以对该彩票进行检验。
在另一个实施方式中，服务器12使用发送来的散列密钥，形成该密钥和下注数据的一加密散列，以证实票券20有效。因此，如果新生成的散列与在票券销售时发送给服务器12的散列相同，该彩票就是可信的，并且是在正确的时间在正确的销售者处打印。相反，如果该新生成的散列与存储的散列不匹配，则该彩票可能是伪造的，该玩家应当通过其他方法验证以获取奖励。
使用验证码保护彩票20的一个优点在于，可保护系统10的安全避免内部人员伪造，同时允许序列号24在票券提供商与打印的彩票20上都是明文。这与基于加密或密钥散列措施的中央服务器12不同，这些措施为了确保安全，需要保持密钥不为系统10的所有内部人员所知。如果为每张票券生成一个伪随机密钥，在对下注值进行散列期间，单据码将会完全随机，使得强力攻击式的解密无法奏效。
虽然系统10确实需要一个初始密钥，但是安全性是来自基于单据码的数学函数的验证码。单据码在终端16处产生后，密钥变更并且不留任何记录，使得获知单据码的唯一方法就是正确地解密验证码。
图3是在线彩票销售终端16的计算机平台的一个实施方式的框图。该计算机平台包括一个单据打印装置52，用于控制合适的打印机构以打印在线彩票20；一个与网络14相连的通信接口54；一个控制器50，以及存储器56，它们都通过一总线58进行通信。在本实施方式中，控制器50产生一伪随机密钥，并选择性地接收参与彩票游戏的下注，随后将下注数据和一个散列通过通信接口54传输给中央服务器12，中央服务器12返回一明文的序列号26，然后控制器50选择性地生成一例如票券40的游戏参与单据，该单据具有例如明文序列号26和伪随机地产生的散列密钥等单据特有信息。
图4是执行于在线彩票销售终端16上的过程的一个实施方式的流程图。如步骤60所示，一个密钥在终端16上被生成。并且如决策62处所示，随后对彩票是否被请求在终端16上销售做出一个决定。如果在决策62处彩票没有被请求销售，则该过程在决策62处进入等待状态，直至彩票被请求销售。如果在决策62处彩票已被请求销售，则如步骤64所示，获取下注信息，并且如步骤66所示，从该密钥和该下注信息的组合生成一单据码66。然后如步骤68所示，下注数据和单据码等单据特有信息被发送给服务器12。而后如决策70所示，对是否此时生成新密钥做出一个决定。如果是此时生成新密钥，则该过程返回步骤60以重新生成一密钥，该生成可以随每个票券请求而频繁发生。如果在决策70处不要求新密钥，则该过程返回决策62以确定彩票是否被请求销售。
图5是执行于票券提供商服务器12上的过程的一个实施方式的流程图。如步骤80所示，服务器12接收来自终端16的分售一张彩票的请求。而后如步骤82所示，从该数据中获取下注数据和与该下注数据相关联的散列。然后，如步骤84所示，服务器12生成明文序列号，并如步骤86所示，存储序列号、下注数据和散列。接着如步骤88所示，明文序列号被发送回请求的终端16以包含在打印的票券上。在本实施方式中，终端16继而打印带有明文序列号、下注数据和散列密钥(该散列密钥没有被发送给服务器12)的票券30。
图6是执行于票券提供商服务器12上的、对接收的彩票数据进行验证的过程的一个实施方式的流程图。如步骤100所示，服务器12接收到彩票40的序列号34和日期32，以及来自该打印票券40的散列密钥。然后，如决策102所示，对服务器12是否有票券存储记录或是否可获得纪录做出一个决定。如果在决策102处服务器12没有存储的记录或没有服务器12可获得的记录，如错误104所示，为该彩票验证过程输出一个错误。否则，如果在决策102处存在对于该票券的验证码的纪录，则如步骤106所示，服务器12重新取回存储的票券信息和散列。然后，如步骤108所示，服务器12使用接收到的散列密钥和取回的所存储的下注数据生成新的散列。而后，如决策110所示，对新的散列与存储的散列是否匹配做出一个决定。若在决策110处两散列不匹配，则如步骤112所示，该过程将返回该票券不可信，验证过程结束。否则，若在决策108处验证码匹配，则如步骤114所示，该过程将返回该票券可信，验证过程结束。来自于该票券的其他数据可以类似地在本检验过程中使用，这对本领域的一般技术人员是显而易见的。在一个实施方式中，验证码42可以通过对单据码非对称地加密而得，通过确认相关联的验证码解密得到接收到的单据码，验证票券有效。
由于终端16上密钥生成的伪随机特性，可以审核散列密钥或存储于服务器12的其他验证码以确保保持随机性，因而验证码的加密的安全性很高。由于在系统10中，服务器12需维护包括所有验证码的数据库，可以对该数据库进行审核以确保终端16确实在选择伪随机密钥。出于审核的目的，如果验证码数据库通过两个一般测试，就可以被假定为是随机的：(1)看起来随机；与(2)不可预测。它对于一给定的单据码，必须在计算上不可预测出下一个验证码。
为了确保随机性，第三方(例如彩票机构)可以进行一些自动测试，以确保第二(散列或公共)密钥数据库是随机的。一个测试是判断“1”和“0”在整个第二(散列或公共)密钥数据库中的分布是否大约相同。进一步地，大约一半的行程(run)(相同比特的序列)的长度应为1，四分之一的行程的长度为2，八分之一的行程长度为3，依次类推。并且，对于“1”和“0”的行程长度分布应大致相同。最后，当现有的无损压缩算法被应用于第二(散列或公共)密钥数据库时，压缩率不应超过25％。为了确保第二密钥数据库的随机性，以上所有特性都可以通过对其结果进行“卡方”(chi-squared)测试而被量化，该测试是本领域熟知的、一种用于测量样本值与期望值的偏差的数学测试。
为了确保不可预测性，审核员可以被合理地保证：通过简单搜寻多个数据库查找重复的密钥或密钥的顺序是不可能预测公共密钥的顺序的。尽管可能有较少数量的密钥重复，但是如果重复的等级过高卡方测试将会显示出。
虽然已经披露了本发明的优选和替代实施方式，但是应理解，在不脱离如权利要求所列的本发明的基本精神和范围的情况下，可以对各元件的形式和排布与各方法的步骤进行某些改变。不仅如此，尽管本发明的元件是以单数形式描述或要求权利，除非明确地陈述其仅限于单数，其复数形式也是可以想到的。