用于销售点装置的可验证电子日志及其使用方法

一般而言，本发明涉及销售点系统，特别涉及用于以这种交易为 基础的装置的日志。本发明还涉及使用销售点系统的方法。

在销售点或通常称作结帐线或柜台的地方发生面对面的零售交 易。正是在这个地方，顾客为购买的物品付款，通常用现金、支票、 充值或记帐卡。为提高销售效率，现今许多零售商使用电子装置以简 化和提供交易记录。这种销售点系统可以包括一个扫描仪用于读入编 码的产品信息，一个终端用于人工送入交易信息和存储现钞，一个显 示器用于显示交易信息和一台打印机，它可用于产生商务报告记录或 日志以及给顾客的打印数据。

作为结帐过程的一部分，通常要把购买的每个物品的售价送入销 售点终端。每个物品的价格及总价由销售点打印机打印在顾客收据上， 还可用这同一台销售点打印机打印在单独的日志上。通常还确定应付 税款并打印在顾客收据上。然后这顾客收据从打印机提供给顾客。

在两站销售点打印机的情况中，第二打印机站保持所有销售交易 的日志记录。这提供了核算销售活动的书面记录，如日记记录覆盖的 日志日段期间的毛销售量和收集的税款。这一信息可由例如税务机关 用来确定一零售商是否向税务机关提交了从顾客那里收集的全部税 款。

在政府机构从零售日志信息中受益的地方，如通过增值税法或销 售税法，各税法经常规定打印收据的格式和内容并规定收集销售数据 的安全方法。已知通过提供一个会计打印机，(如国际商用机器公司 (IBM,Armonk，纽约)生产的3F打印机)来响应这种“会计”要求。借 助这种会计打印机，一个具有专用非易失随机存取存储器(NVRAM) 和电子可编程只读存储器(EPROM)的安全(即破坏易显或抗破坏 的外壳)逻辑卡可以在物理上和逻辑上放在销售点终端和产生顾客收 据和日志记录的销售点打印机之间。

利用会计打印机，如3F型打印机，可以把销售点终端连接到一个 会计底层装置，它被固定在销售点打印机上，并通过通信链路(如串 行通信链路)控制全部打印功能。图1中显示这种会计底层装置的一 个例子。销售点终端10通过通信链路22与会计底层装置24相连。会 计打印机20本身又包括会计底层装置24和两站打印机26。会计底层 装置24包括会计处理器28或其他控制装置以控制日志和打印操作。 会计底层装置24进一步包括由电池支持的(非易失的)随机存取存储 器30用于存储日志期间的中间销售和税收总量。如图1中所示，会计 底层装置24进一步包括单独的程序EPROM32和会计存储器 EPROM34。提供一个单独的会计存储器EPROM34，封装在环氧树脂 中，用于永久存储数据，它通常包括若干个每日日志时间段的每日销 售和税收总量，这取决于会计存储器EPROM34的容量。然后，程序 EPROM32可用于由会计处理器28使用的程序信息或数据值。图1中 还显示一个日时间时钟36，它可用于跟踪交易和日志时间段。

两站打印机26由会计处理器28控制。第一打印站提供顾客收条 站，它的打印由会计处理器28控制，它保证提供给顾客的销售收据在 其上面有与特定交易相关的正确数据。第二打印站提供日志站，它按 逐个交易记录销售数据和每日报告。来自打印机26日志站的纸日志通 常被顺序存储，以用于遵循各种税务机关会计法规的税收结算。

具有会计税收法规的各个国家已表现出对于以数字电子日志记录 替代当前的日志纸带存储系统的兴趣。这种转变可以减少零售商的装 备、消耗品和记录处置与存储的费用。它能允许使用较低价格的单站 打印机和使纸张消耗减半。尽管零售商和会计机关可能认识到电子日 志的潜在好处，但始终担心这种电子日志文件会容易地被想要欺骗政 府的最终用户进行修改。

已经提出了一种解决方案，它们依赖于会计打印机装置的作法， 但使用电子日志。这一作法利用一个“检查和”，它是用由会计打印机 外部不知道的密钥防护的会计存储器中存储的全部数据计算出来的。 然后可将整个日志数据块从会计底层装置24传送到销售点终端10， 而不是保持在受防护的会计打印机中。然而，这一作法不能解决这样 一个可核实的电子日志系统的所有问题。例如，为了证明销售点终端 中的数据有效，必须把这些数据反馈到能从会计存储器得到相应检查 和的会计底层装置并与一个新的检查和比较，这个新的检查和是根据 由销售点终端下载的数据产生的。再有，取决于向销售点终端往返传 送的日志单元的大小，在会计底层装置中可能需要大量非易失随机存 取存储器。此外，在会计存储器EPROM中保持更长时间段的数据可 能是必要的，因为潜在的核实方法需要增大会计存储器EPROM的大 小。最后，这一作法受到的限制是它不容易允许日志记录的远程确认。

本发明的目的是提供一种能缓解上述问题的技术。

根据本发明，我们提供了一种方法，用于为销售点装置提供一个 可验证的电子日志系统，包含：接收与交易有关的交易信息；把交易 信息存储在一个随机存取存储器中；响应一个日志更新事件，根据随 机存取存储器中包含的交易信息确定一个数据签字；响应该日志更新 事件，把随机存取存储器中包含的交易信息传送到与该随机存取存储 器分离的日志存储器的第一部分；以及响应该日志更新事件，把数据 签字传送到日志存储器的第二部分。

也是根据本发明，我们提供了一个带有可验证的电子日志系统的 销售点装置，包含：接收交易信息的装置；确定日志更新事件的装置， 与接收装置相连并配置成存储交易信息的随机存取存储器；响应日志 更新事件，根据随机存取存储器的内容确定一数据签字的装置；具有 被配置成存储交易信息的第一部分和被配置成存储数据签字的第二部 分的日志存储器；以及响应该日志更新事件，将交易信息从随机存取 存储器传送到日志存储器第一部分和将数据签字从确定数据签字装置 传送到日志存储器第二部分的装置。

本发明的一个最佳实施例提供一个用于销售点装置的可验证电子 日志系统。它维护一个电子日志文件以替代两站销售点打印机的日志 打印站。交易信息存储在一个非易失随机存取存储器中。根据随机存 储存储器中的内容，为日志确定一个数据签字。交易信息和数据签字 被传送到单独的日志存储器。日志存储器可以例如驻留在销售点终端 上，可通过参考也被传送和保持在电子日志文件中的数据签字来检测 对日志交易信息的破坏。最好是数据签字被加密，例如用一种共享密 钥加密方案，而且相应的公用密钥从该装置传送并存储在电子日志文 件中，该装置(例如会计底层装置)在交易信息被创建时便跟踪这交 易信息。最好使用一种散列技术，从而可以利用一个较小的NVRAM 支持产生一个日志时段电子日志文件的交易信息集。于是，数据签字 是一个消息提要的加密版本，它是一个滑动值，反映出在一个日志期 间送到电子日志文件中的交易信息的总量。

在本发明的一个实施例中，提供了一种为销售点装置提供可验证 电子日志系统的方法。接收与交易有关的交易信息，如零售额和那些 销售之上的税收。交易信息存储在位于销售点装置内的随机存取存储 器中。响应一个日志更新事件，根据随机存取存储器中包含的信息， 确定一个数据签字。然后，响应该日志更新事件，将随机存取存储器 中包含的交易信息传送到与该随机存取存储器分离的日志存储器第一 部分中。日志存储器最好保持在一个销售点终端中，该终端例如通过 一通信网络与销售点装置相连。响应该日志更新事件，将数据签字传 送到日志存储器第二部分。

在本发明的方法方面的又一些实施例中，交易信息还传送给一个 打印机供打印，例如打印顾客销售收据。该打印机可以是一个会计打 印机，销售点装置可以是一个集成到该打印机中的会计处理器卡。交 易信息可以包括这些交易的销售量信息，而且在接收交易信息后可跟 着基于销售量计算应交税款。另一种作法是交易信息可包括应交税款。

在本发明的又一方面，可响应一个日志时段的完成而产生日志更 新事件。另一种作法是，利用散列技术之类的技术，可在随机存取存 储器中存储了预先确定的交易信息量时产生日志更新事件，此时可通 过覆盖先前存储的交易信息来重新使用随机存取存储器存储增加的交 易信息。在一个日志时段可以产生多个日志更新事件，于是根据散列 函数对该日志时段的每个日志更新事件重复存储交易信息、确定数据 签字、传送交易信息、传送数据签字和重用随机存取存储器各项操作， 从而周期性地把存储在随机存取存储器中的交易信息块传送到日志存 储器，同时把数据签字确定为与该日志时段收到的交易信息相关联的 一个滑动值。

在本发明的又另一方面中，可通过使用一个共享密钥对数据签字 加密来提供安全性。然后可响应多个日志更新事件中的至少一个，将 共享密钥传送到日志存储器的第三部分。然后可对可验证电子日志系 统进行检查。本发明的实施例中利用加密数据签名进行的检查操作包 括使用日志存储器第三部分中的共享密钥对日志存储器第二部分中的 数据签字进行解密。此外，使用散列技术，由日志存储器第一部分中 的交易信息确定验证数据签字。验证数字签字与解密的数据签字比较， 以确定日志存储器第一部分中的交易信息是否已被修改过从而不同于 该日志时段从随机存取存储器传送的交易信息。

尽管上面主要针对本发明的方法方面描述了本发明，但也提供了 系统和计算机程序产品。例如，提供了具有可验证电子日志系统的销 售点装置，它包括接收交易信息的装置和确定日志更新事件的装置。 一个随机存取存储器与接收装置相连，被配置成存储交易信息。一个 响应日志更新事件的装置根据随机存取存储器的内容确定数据签字。 还提供了一个日志存储器，它有第一部分配置成存储交易信息和第二 部分配置成存储数据签字。日志存储器与随机存取存储器是分离的， 而且最好是位于销售点装置的远处并在通信方面与销售点装置相连， 例如通过通信网络。提供了一个响应日志更新事件的装置，用于将交 易信息从随机存取存储器传送到日志存储器的第一部分，和将数据签 字从确定数据签字装置传送到日志存储器的第二部分。

于是，本发明的一个最佳实施例提供了一个可验证电子日志系统， 它可用于替代打印的日志记录。这为远程检查日志提供了降低的费用 和增强的能力，这种远程检查例如是由税务机关在一计算机通信网络 上进行的，同时仍保持检测破坏行为的能力。可以利用现已存在的硬 件，如现有的会计打印装置，来有利地实现本发明。

图1是传统会计打印机装置的方框图；

图2是根据本发明一个实施例的可验证电子日志的方框图；

图3是说明根据本发明一个实施例创建可验证电子日志文件的操 作的流程图；

图4是根据本发明的一个实施例的包括散列处理的可验证电子日 志方框图；

图5是根据本发明的一个实施例的可验证电子日志销售点装置的 方框图；

图6是说明根据本发明的一个实施例的验证操作的流程图。

下文中将参考附图更充分地描述本发明，在这些附图中显示了本 发明的最佳实施例。然而，本发明可以以许多不同的形式实现，不应 认为是限定于这里提出的实施例；相反，提供这些实施例只是为了使 本说明更详尽和完全，和向本领域技术人员充分地通报本发明的范围。 如本领域技术人员将会理解的那样，本发明可以作为方法、系统或计 算机程序产品来实现。因此，本发明可以采取硬件实施例、软件实施 例或把软件与硬件方面结合的实施例的形式。

本发明提供电子日志方法和系统，它保持对打印的或记为日志的 交易信息(如销售和税收数据)的控制。最好是，用标准的数据安全 性算法提供数据安全性。更具体地说，利用共享密钥方法，如RSA数 据安全公司提供的那种方法。对于每个销售点装置，产生公用(或共 享)的和私人的密钥并存储在它的安全存储器中。创建了一个电子日 志文件，如在与该销售点装置关联的销售点终端处创建，其日志内容 由销售点装置(如一个会计逻辑电路)控制。

对于本发明的一个具体实施例，其电子日志文件或存储器的各部 分示于图2。电子日志文件50包括第一部分52，它含有交易信息的未 加密列表，例如要打印到纸卷上和/或当前会计打印机日志站上的数 据。一个数据签字存储在电子日志文件50的第二部分54。数据签字 最好是一个加密的值，用于证明来自部分52的打印数据未曾被改变。 打印机公用或共享密钥存储在部分56中，用于对数据签字解密以验证 数据完整性。最后，在所示实施例中，一个打印机序列号存储在电子 日志存储器50的部分58中，以证明对各自装置而言在部分56中的公 用(共享)打印机密钥是正确的。由于公用/私人密钥加密算法的使用 是公知的，这里将不再进一步描述它们的操作，只是描述与本发明的 方法和系统中共享密钥的特定应用有关的内容。

如这里将进一步描述的那样，根据本发明的方法和系统，使用电 子日志存储器50将提供一个能证明破坏行为的电子日志。所造成的日 志数据的提供方式既能由零售商自由地使用以产生它自己的报告，又 能被例如税务机关检查。再有，这种检查既可由政府机关使用特殊设 施远程进行，又可由使用含有此可验证电子日志文件的装置(如销售 点(POS)终端)现场进行。

现在将参考图3的流程图，接下来参考图6的流程图，描述本发 明的操作。将会理解，所示流程图的每一块以及在流程图中若干块的 组合，都能由计算机程序指令实现。这些程序指令可提供给一个处理 器以产生一个机器，从而由处理器上执行的这些指令建立起实现流程 图的一块或多块中指定功能的装置。这些计算机程序指令可由一处理 器执行，使由该处理器完成一系列操作步骤以产生一个由计算机实现 的过程，从而使该处理器上执行的这些指令提供实现流程图的一块或 多块中指定功能的步骤。

因此，流程图所示各块支持为实现指定功能的各装置的组合、为 实现指定功能的各步骤的组合以及为实现指定功能的程序指令装置。 还应该理解，流程图的每一块以及流程图中多块的组合，能由专用的 基于硬件的系统实现，它完成指定的功能或步骤，或者由专用硬件和 计算机指令的组合来实现。

现在参考图3的流程图，在销售点操作过程中。本发明的销售点 装置(如会计处理器卡)按已知的程序产生打印和日志数据(块100)。 这种交易信息部分地按已知程序处置，即向销售点打印机发送顾客收 据信息(块102)。然而，日志数据暂存和存储在销售点装置的NVRAM 中，而不是象当前所作的那样传送到两站打印机的打印机日志站(块 102)。

然而，希望限制销售点装置(如会计底层装置)的NVRAM中保 持的数据量。通过限制电子日志系统所需缓存器的大小，可减少 NVRAM的费用以及单个数据传送到销售点终端或传送到在其上保持 电子日志文件的其他上游装置所需要的时间。因此，为使能周期性地 清除含有日志交易信息当前缓存区的NVRAM，使用了散列技术。已 知的存储器管理散列技术允许缓存的存储器内容块被相继传送而保持 一个小的滑动值，有时把该值称作消息提要，它在数学上唯一地对应 于整个被传送的信息内容。根据本发明对这种散列技术的应用进一步 示于图4。

在图3的块104中，销售点装置确定一个散列块是否已满。如果 该散列块尚未满，当收到额外的交易信息时操作返回块100。在块106， 一旦一个散列块已满，或者一个日志时段结束但有部分充满的散列块， 则销售点装置处理器(例如会计底层装置的会计处理器)对此数据块 散列，以在块106创建一个滑动提要。然后该会计处理器将原始数据 从该散列块发送到销售点终端或要保持该电子日志文件的其他装置， 并从本机NVRAM中删除该块，如块108中所示。

如块110所示，销售点终端或其他日志保持装置把最近接收的数 据块追加到电子日志文件50的打印数据部分52上。在块112，该系 统确定是否一个日志时段已经完成，它将触发关闭当前使用的电子日 志文件50。如果未完成，则操作返回块100至块112，继续接收和散 列交易信息。

如果该日志时段完成了，则会计处理器通过对消息提要加密来建 立一个数据签字值(块114)，然后将数据签字和打印机公用或共享密 钥传送出去供存储在电子日志文件/存储器50的各相应部分54、56中 (块115)。在不使用加密的实施例中，消息提要本身作为数据签字在 块115被传送，而没有公用或共享密钥要传送。一个装置标识，如产 生装置的序列号，也可被传送。

在块116，接收用的销售点终端或保持该电子日志文件的其他上游 装置将收到的数据签字和打印机公用密钥追加到电子日志文件50的 打印数据上。这便完成了一个日志时段并关闭该电子日志文件50。在 包括传送装置标识的实施例中，该标识也被追加上去。

应用于本发明的数据散列操作进一步示意性显示在图4中。如图 4中所示，非易失随机存取存储器120包括一部作为电子日志缓存区 122进行操作，部分124保持与散列功能126关联的消息提要，而数 据块通过电子日志缓存区122传送。如图4中所示，散列块#1至#N 相继传送通过电子日志缓存区122，它们被传送到销售点终端上的电 子日志文件50，并进一步传送通过散列功能126以更新滑动的消息提 要124。NVRAM120和散列功能126被包括在销售点终端118中。如 图4中所示，散列功能126使用当前滑动消息提要124和要被传送的 最近的散列块#X以产生更新过的消息提要，它本身又作为滑动的消 息提要迭代存储在非易失随机存取存储器120的部分124中。

现在参考图5，图中根据本发明，对于销售点装置118的实施例， 进一步显示了在一个日志时段结束时用于建立签字和完成文件的块 114至116中所示操作。在图5所示实施例中，在销售点终端发生的关 闭操作造成一个被关闭的电子日志存储器或文件，从而使用这里描述 的真实性技术不能检测出来的任何改变都不会发生。在图5所示实施 例中，打印机私人密钥132、打印机公用密钥134和打印机序列号136 都存储在电子可编程只读会计存储器130中。在日志时段的末尾，加 密算法138使用打印机私人密钥132和消息提要124产生一个数据签 字，它存储在电子日志文件150的数据签字部分54。打印机公用密钥 134和打印机序列号136分别被传送和分别存储在电子日志文件50的 部分56和58。

图中所示实施例使用会计存储器和非易失RAM130、120，由此可 见，本发明的系统和方法能使用硬件实现，如先前参考图1描述的会 计底层装置24。在这种情况中，可对随机存取存储器提供一部分专门 用作NVRAM120。再有，会计存储器EPROM34可用于存储对消息 提要进行加密时使用的加密信息，以提供加密的数据签字。

如本领域技术人员将会理解的那样，前面在图2、4和5中描述的 本发明可以由硬件、软件或二者的组合来提供。尽管在图4和5中描 述的销售点装置118的各部件部分地作为分离元件，但在实践中可以 由包括输入、输出端和运行软件代码的微处理器实现，由传统的或混 合的集成电路实现，由分离元件实现，或由这些的组合实现。例如， 存储器120可以包含在一处理器中，例如会计处理器28(图1)。类似 地，各种操作，例如散列功能126和加密算法138，可以在处理器(如 图1的会计处理器28)中实现。更一般地说，如前所述，根据本发明 进行的操作可在已存在的会计底层装置24的硬件中实现，当这样配置 时，它提供了根据本发明的销售点装置。

现在参考图6，现在将对本发明的一个实施例描述检验可验证电 子日志系统的操作。在块150，通过应用同意的加密算法138(图5)， 利用日志存储器中包含的共享密钥，对日志存储器中包含的数据签字 进行解码。在块152，利用同意的散列功能126，由电子日志数据部分 52中包含的交易信息确定一个验证数据签字。最后，在块154，将验 证数据签字与解密后的数据签字进行比较，以确定在日志存储器中的 交易信息是否已被修改，因而不同于在该日志时段期间由获取销售点 装置(如会计底层装置)的随机存取存储器原始传送的数据。如果这 两个值不匹配，则表明电子日志50的部分52中的打印数据未被验证， 表明部分52中的数据曾被破坏过。

本发明的可验证电子日志方法和系统使能在销售点终端产生安全 的会计日志文件，对此日志数据的任何破坏都能检索出来。根据本发 明进行的操作一般在当前已经制造的会计底层装置的硬件设计结构内 实现，其优点是不需要这种会计底层装置包括产生纸日志的两站打印 能力。再有，根据本发明进行的操作利用散列和对电子日志文件的上 游保持，从而允许维持已存在的会计存储器大小。交易信息不需要写 入会计装置的电子可编程只读存储器中，因为该日志文件可由会计底 层装置单元远程保持和验证。然而，可以继续使用会计存储器以提供 已知的会计打印装置目前提供的那些功能。因此，当本发明的方法与 使用如图1所示的会计存储器EPROM装置同时实现时，给定大小的 会计存储器EPROM34的寿命不受生成电子日志活动的影响。

本发明的方法和系统进一步提供了改进的能力，使得电子日志可 放在或者是销售点终端中或者是如网络计算机之类的装置中，它可远 离该终端但可以与该终端或使用网络接口的会计底层装置相连。因此， 不仅可以在不使用会计底层装置或打印机的情况下实现验证操作，而 且甚至可以从远离销售点终端的地方或保持电子日志的其他地方来实 现验证操作。