DE10136414A1 - Verfahren zum Bezug einer über ein Datennetz angebotenen Leistung - Google Patents

Verfahren zum Bezug einer über ein Datennetz angebotenen Leistung

Info

Publication number
DE10136414A1
DE10136414A1 DE10136414A DE10136414A DE10136414A1 DE 10136414 A1 DE10136414 A1 DE 10136414A1 DE 10136414 A DE10136414 A DE 10136414A DE 10136414 A DE10136414 A DE 10136414A DE 10136414 A1 DE10136414 A1 DE 10136414A1
Authority
DE
Germany
Prior art keywords
service
identifier
processing center
user
transaction medium
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10136414A
Other languages
English (en)
Inventor
Duc Tai Vu
Duc Christian Pho
Tschangiz Scheybani
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE10136414A priority Critical patent/DE10136414A1/de
Priority to AU2002331280A priority patent/AU2002331280A1/en
Priority to EP02767245A priority patent/EP1415285A2/de
Priority to JP2003517806A priority patent/JP2004537814A/ja
Priority to US10/484,498 priority patent/US8595131B2/en
Priority to RU2004105845/09A priority patent/RU2296367C2/ru
Priority to PCT/EP2002/008163 priority patent/WO2003012701A2/de
Priority to CNA028177320A priority patent/CN1554079A/zh
Publication of DE10136414A1 publication Critical patent/DE10136414A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/343Cards including a counter
    • G06Q20/3437Cards including a counter the counter having non-monetary units, e.g. trips
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0613Third-party assisted
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F17/00Coin-freed apparatus for hiring articles; Coin-freed facilities or services
    • G07F17/0014Coin-freed apparatus for hiring articles; Coin-freed facilities or services for vending, access and use of specific services not covered anywhere else in G07F17/00
    • G07F17/0021Access to services on a time-basis

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Vorgeschlagen wird ein Verfahren zum Bezug einer über eine Datennetz (20) vertriebenen Leistung gegen Präsentation eines Transaktionsmediums (2). Die Leistung wird dabei von einem Nutzer (1) mittels eines Nutzerendsystems (10) bei einem Diensteanbieter (40) bestellt. Dieser schaltet eine Abwicklungszentrale (30) ein, welche in einen Datenaustausch mit dem Transaktionsmedium (2) tritt, um von jenem einen notwendigen, für den Bezug der Leistung vorausgesetzten Beitrag in Gestalt bestimmter Daten einzufordern. Der Bestellvorgang und der Datenaustausch mit dem Transaktionsmedium (2) zur Beitragseinforderung sind über eine dem Transaktionsmedium (2) zugeordnete Kennung (KM) verknüpft, die von dem Nutzerendsystem (10) ermittelt wird und mittels derer Bestellvorgang und Beitragseinforderung jeweils gesichert werden.

Description

  • Die Erfindung geht aus von einem Verfahren nach der Gattung des Hauptanspruchs. Ein solches Verfahren ist z. B. aus dem von der Anmelderin herausgegebenen Prospekt "Geldkarte im Netz" aus dem Jahr 2000 bekannt. Darin wird das Bezahlen einer über das Internet bestellbaren Leistung mittels einer Geldkarte beschrieben. Ein vereinfachter Ablauf eines Bezahlungsvorganges ist auf der vierten Seite des Prospektes dargestellt. Danach wird mittels eines Heimcomputers über das Internet die Bestellung einer Leistung bei einem Diensteanbieter, z. B. einem Informationsdienst oder einem Online- Shop, ausgelöst. Der Diensteanbieter wendet sich hierauf an eine Zahlungszentrale und initiiert bei dieser die Ausführung eines Bezahlungsvorganges. Die Zahlungszentrale stellt nun über das Internet, den Heimcomputer und einen daran angeschlossenen Kartenleser eine Verbindung zu der Geldkarte her und bucht von dieser den geforderten Zahlbetrag ab. Die erfolgreiche Zahlung bestätigt die Zahlungszentrale sodann dem Diensteanbieter, welcher schließlich die geforderte Leistung ausliefert.
  • Das bekannte Verfahren ist hinsichtlich der eigentlichen Transaktionsphase, in der die Übermittlung des Zahlbetrages von der Geldkarte an die Zahlungszentrale., mithin die Übermittlung eines für den Bezug der Leistung notwendigen Beitrages von einem Transaktionsmedium an eine Anwicklungszentrale, erfolgt, sicher. Nicht durch das Verfahren abgesichert ist jedoch der der Transaktionsphase vorgeschaltete Bestellvorgang. Die Absicherung, daß eine von dem Diensteanbieter gelieferte Leistung tatsächlich die von einem Benutzer bestellte ist und daß der nachfolgend übermittelte Zahlbetrag mit dem zuvor vereinbarten übereinstimmt muß gesondert zwischen Nutzer und Diensteanbieter bewirkt werden. Werden keinerlei Sicherungsmaßnahmen ergriffen, kann ein Angriff auf den Bestell/Liefervorgang beispielsweise darin bestehen, daß eine von dem Diensteanbieter abgelieferte Leistung dem Angreifer statt dem ursprünglichen Besteller zugute kommt.
  • Grundsätzlich sind Techniken zur Absicherung des Bestellvorganges bekannt. Ein probates Mittel ist beispielsweise die Verschlüsselung des Datenaustausches. Bei den bekannten Techniken handelt es sich jedoch durchweg um an sich unabhängige Insellösungen, die es insbesondere für den Diensteanbieter erforderlich machen, zu jeder auf einer Nutzerseite einsetzbaren Insellösung ein komplementäres Gegenstück bereitzuhalten.
  • Es ist daher Aufgabe der Erfindung, ein Verfahren zum Bezug einer über ein Datennetz vertriebenen Leistung anzugeben, in dem ohne besondere zusätzliche Anforderungen an die eingesetzten Systemkomponenten schon der Bestellvorgang gesichert wird.
  • Diese Aufgabe wird gelöst durch ein Verfahren mit den Merkmalen des Hauptanspruchs. Das erfindungsgemäße Verfahren hat den Vorteil, daß zu seiner Umsetzung nur Systemkomponenten benötigt werden, die für die Durchführung einer Transaktionsphase ohnehin vorhanden sein müssen. Indem zur Absicherung des Bestellvorganges eine Kennung herangezogen wird, die aus der nachfolgenden Transaktionsphase extrahiert wurde und die dem verwendeten Transaktionsmedium fest zugeordnet ist, wird der Bestellvorgang homogen mit dem nachfolgenden Kompensationsvorgang verknüpft. Sollte es erforderlich sein, kann anhand der Kennung der Zusammenhang zwischen Bestellvorgang und der Transaktionsphase nachträglich eindeutig nachgewiesen werden. Durch die Gestaltung des Nutzerendsystems kann die Sicherheitsstufe dabei nach Bedarf eingestellt werden. Durch Nutzung eines in das Gesamtsystem integrierten, nicht als selbständige Baueinheit ausgeführten Transaktionsmediums läßt sich eine mittlere Sicherheitsstufe einstellen. Wird weiterhin die Funktionalität des Sicherheitsendgerätes in die Nutzernetzschnittstelle integriert, ergibt sich eine Ausgestaltung mit etwas verminderter Sicherheitsstufe, die aber besonders kostengünstig ausfällt und beispielsweise mittels eines üblichen PCs realisierbar ist. Unabhängig von der im Nutzerendsystem realisierten Sicherheitsstufe kann die Abwicklungszentrale dabei stets dieselbe Struktur besitzen. Das gesamte Verfahren kann anonym durchgeführt werden. Besonders geeignet ist das erfindungsgemäße Verfahren zum Laden eines bei einem Diensteanbieter geführten zweckgebundenen Kontos, beispielsweise zum Laden eines sogenannten Prepaid-Kontos bei einer Telefongesellschaft. Durch die Nutzung einer das Transaktionsmedium eindeutig bezeichnenden Kennung in Bestell- und Kompensationsvorgang ist es möglich, im Falle eines Fehlers auf eine unmittelbare Rückabwicklung des Verfahrens zu verzichten und stattdessen eine nachträgliche Richtigstellung der Verfahrensausführung unter Verwendung der Kennung des Transaktionsmediums vorzusehen. Durch die Kopplung eines Bezugsvorganges an eine einem Transaktionsmedium fest zugeordnete Kennung bietet sich dem Leistungsanbieter die Möglichkeit, ein Transaktionsmedium im Falle eines wiederholten Bezuges einer Leistung wiederzuerkennen.
  • Vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sowie zweckmäßige Weiterbildungen ergeben sich durch die in den Unteransprüchen angegebenen Maßnahmen.
  • Vorteilhaft erzeugt die Abwicklungszentrale nach Erhalt der Kennung des Transaktionsmediums ihrerseits eine Kennung, mittels derer ein gesamter Bezugsvorgang später eindeutig einem Transaktionsmedium und einer Abwicklungszentrale zugeordnet werden kann.
  • Zur weiteren Verbesserung der Sicherheit beim Bestellvorgang wird vorteilhaft die Zeit zwischen den einzelnen Verfahrensschritten überwacht; kommt es zu einer Überschreitung einer vorbestimmten Höchstzeit, wird der Bestellvorgang abgebrochen. Durch eine solche-Zeitüberschreitungsüberwachung wird insbesondere die Aufschaltung von Angreifern in den Bestellvorgang zusätzlich erschwert.
  • In zweckmäßiger Weiterbildung des erfindungsgemäßen Verfahrens werden die Kennung des Transaktionsmediums sowie die Kennung der Abwicklungszentrale sowohl im Nutzersystem wie in der Abwicklungszentrale selbst protokolliert.
  • In einer besonders vorteilhaften Umsetzung des erfindungsgemäßen Verfahrens fordert ein Nutzer eine gewünschte Leistung bei einem Diensteanbieter zunächst ihrer Art nach an, z. B. das Laden eines bestimmten Prepaid-Kontos bei einer Telefongesellschaft. Erst gegenüber der Abwicklungszentrale spezifiziert er dann den Empfänger und den Umfang der gewünschten Leistung. Durch diese Struktur wird erreicht, daß der Nutzer einerseits stets Kontakt mit dem Diensteanbieter aufnimmt, dieser jedoch selbst keine weiteren Maßnahmen zur Sicherung des Bestellvorganges ergreifen muß.
  • Zweckmäßig erfolgt die Zuordnung einer gewünschten Leistung zu einem Abnehmer durch Eingabe einer Referenzinformation am Nutzerendsystem und Übermittlung an die Abwicklungszentrale.
  • Ein Ausführungsbeispiel der Erfindung wird nachfolgend unter Bezugnahme auf die Zeichnung näher erläutert.
  • Es zeigen:
  • Fig. 1 den Aufbau eines zur Ausführung des vorgeschlagenen Verfahren geeigneten Systems,
  • Fig. 2 bis 7 in Form eines Flußdiagrammes die Durchführung des vorgeschlagenen Verfahrens auf einem solchen System.
  • Fig. 1 veranschaulicht den Aufbau eines Systems zum Bezug einer Leistung über ein Datennetz. Zu dem System gehört ein Nutzerendsystem 10, das über ein erstes Datennetz 20 mit einer Abwicklungszentrale 30 sowie einem Diensteanbieter 40 verbunden ist. Die Abwicklungszentrale 30 und der Diensteanbieter 40 sind desweiteren über ein zweites Datennetz 22 miteinander verbunden. Das zweite Datennetz 22 kann als separates Datennetz oder auch innerhalb des ersten Datennetzes 20 ausgebildet sein. Aus Gründen der Übersichtlichkeit sind die Netzteilnehmer 10, 30 und 40 jeweils nur einfach wiedergegeben, praktisch können sie jeweils mehrfach vorhanden sein. Typischerweise ist an dem Datennetz 20 eine Vielzahl von Nutzerendsystemen 10 sowie eine Vielzahl von Diensteanbietern 40 angeschlossen. In der Regel ist an das Datennetz 20 desweiteren auch eine Mehrzahl von Abwicklungszentralen 30 angeschlossen. Mehrere Abwicklungszentralen 30 können dabei jeweils über ein oder mehrere zweite Datennetze 22 jeweils mit einer Mehrzahl von Diensteanbietern 40 verbunden sein.
  • Das Nutzerendsystem 10 ermöglicht einem Nutzer 1 die Ermittlung, die Bestellung sowie die Kompensation einer über das Datennetz 20 bestellbaren Leistung durch die Bereitstellung bestimmter Daten, deren Besitz für den Bezug einer Leistung vorausgesetzt ist. Intern strukturiert es sich in ein Transaktionsmedium 2, ein zur Kommunikation mit dem Transaktionsmedium 2 ausgebildetes Sicherheitsendgerät 14 sowie eine Nutzernetzschnittstelle 19, welche zum einen mit dem Sicherheitsendgerät 14, zum anderen mit dem Datennetz 20 verbunden ist. Die physische Separierung der strukturellen Komponenten 2, 14, 19 richtet sich nach der gewählten Sicherheitsstufe. Für größtmögliche Sicherheit sind die Komponeneten 2, 14, 19 jeweils als eigenständige Baueinheiten ausgebildet, in einer mittleren Sicherheitsstufe sind Nutzernetzschnittstelle 19 und Sicherheitsendgerät 14 als eigenständige Baueinheiten ausgeführt, während das Transaktionsmedium 2 nur in virtueller Form, d. h. als Software-Lösung, vorhanden ist. Bei geringen Sicherheitsanforderungen können auch alle Komponenten 2, 14, 19 in einer einzelnen gemeinsamen Baueinheit realisiert sein.
  • Das Transaktionsmedium 2 befähigt einen Nutzer 1 zum Bezug einer über ein Datennetz 20 vertriebenen Leistung eines Diensteanbieters 40, für den die Erbringung eines Beitrages durch ein Transaktionsmedium 2 vorausgesetzt ist. Es ermöglicht die Durchführung von Transaktionen, für die der Besitz bestimmter Daten vorausgesetzt ist und in denen sensible Daten und Informationen zwischen dem Sicherheitsendgerät 14 und einem anderen Netzteilnehmer 30, 40 ausgetauscht werden. Beispielsweise ermöglicht es die Übermittlung von Zahlungsbeträgen an ein Geldkonto eines Zahlungsempfängers durch unmittelbare Entnahme von in elektronischer Form vorliegendem Geld von dem Transaktionsmedium 2 oder durch unwiderrufliches, mittelbares Veranlassen des Transfers eines Zahlungsbetrages von einem dem Transaktionsmedium 2 zugeordenten Geldkonto. Seine Sicherheitswirkung entfaltet das Transaktionsmedium 2 durch die gesicherte Unterbringung sensibler Daten auf einem speziell dafür ausgebildeten Medium, das vorzugsweise eine separate Einheit ist.
  • Das Transaktionsmedium 2 besitzt eine manipulationssichere Speichereinrichtung 4, in der Daten abgelegt sind, deren Besitz für den Bezug einer Leistung vorausgesetzt ist. Solche Daten können etwa Geld in elektronischer Form sein oder Daten, die einen direkten Zugriff auf ein in einer externen Einrichtung geführtes Geldkonto ermögliche. Daneben können in der Speichereinrichtung 4 Daten abgelegt sein, deren Bedeutung alleine in der durch sie dargestellten Information besteht, wie zum Beispiel kryptographische Schlüssel oder Zugangscodes. In demselben Transaktionsmedium 2 können auch Zahlungswege und Bezugsinformationen nebeneinander eingerichtet sein. Dem Transaktionsmedium 2 ist weiterhin eine individuelle Kennung KM zugeordnet, die auf dem Transaktionsmedium 2, zweckmäßig in der Speichereinrichtung 4, hinterlegt ist. Zusätzlich kann die Kennung KM auch in einer anderen Speichereinrichtung des Nutzerendsystems 10 oder bei einem über das Datennetz 20 verbundenen Netzteilnehmer gespeichert sein. Als Kennung KM dient eine Information, die nach Durchführung eine Vorverhandlungsphase mittels des Transaktionsmediums 2 im Rahmen der Durchführung einer Kompensationsphase genutzt wird.
  • Zur Gewährleistung einer größtmöglichen Sicherheit ist das Transaktionsmedium 2 vorzugsweise als selbständige Baueinheit ausgeführt. In einer zweckmäßigen Ausführung besitzt das Transaktionsmedium 2 die Gestalt eines tragbaren Datenträgers im Kreditkartenformat; insbesondere kann das Transaktionsmedium 2 eine Chipkarte sein. In letzterer Ausführung ist die Speichereinrichtung 4 im Chip der Karte realisiert und liegen die für den Bezug einer Leistung vorzulegenden, etwa elektronisches Geld oder einen Zugangscode repräsentierenden Daten sowie die Kennung KM in dem Kartenchip.
  • Sind die gestellten Sicherheitsanforderungen weniger hoch, kann von einer Ausführung als eigene Baueinheit auch abgesehen werden und das Transaktionsmedium 2 nur in virtueller Form ausgeführt sein, etwa als Softwarelösung im Sicherheitsendgerät 14, in der Nutzernetzschnittstelle 19 und/oder in einem über das Datennetz 20 verbundenen Netzteilnehmer. Es wird dann beispielsweise mit Hilfe eines von dem Nutzer 1 einzugebenden Zugangscodes, etwa einer PIN oder einer TAN (Transaktionsnummer) aufgerufen. Das Transaktionsmedium 2 kann ferner auch durch Zusammenwirken von mehreren separaten, verteilt angeordneten Komponenten gebildet sein, welche durch die Kennung KM miteinander verbunden sind. Beispielsweise kann es aus einem tragbaren Datenträger bestehen, auf dem die Kennung KM hinterlegt ist und einer zugehörigen Speichereinrichtung 4, die als Softwarelösung im Nutzerendsystem 10 oder in einem der über das Datennetz 20 verbundenen Netzteilnehmer realisiert ist.
  • Das Sicherheitsendgerät 14 korrespondiert zum einen zu dem Transaktionsmedium 2 und ermöglicht den Zugriff auf die in der Speichereinrichtung 4 abgelegten Daten. Zum anderen bildet es das nutzersystemseitige Ende einer sicheren Ende-zu-Ende-Verbindung. In dieser Funktion kontrolliert und sichert das Sicherheitsendgerät 2 den gesamten Datenaustausch im Rahmen des Verfahrens zum Bezug einer Leistung über ein Datennetz 20 und beinhaltet die dazu notwendigen Mittel. Insbesondere sichert es die Vorverhandlungsphase, liefert Bestätigungs- oder Fehlermeldungen und protokolliert den jeweils geführten Datenaustausch.
  • Kernelement des Sicherheitsendgerätes 14 ist eine Prozessorvorrichtung, die dazu ausgebildet ist, zwischen einem Transaktionsmedium 2 und einer Abwicklungszentrale 30 eine sichere Ende-zu-Ende-Verbindung herzustellen, d. h. eine Verbindung, deren Sicherheit nur durch die an einer Transaktion beteiligten Endgeräte bewirkt wird, und über diese sichere Verbindung unter Einbeziehung eines Nutzers 1 Bewegungen von Daten zwischen dem Transaktionsmedium 2 und der Abwicklungszentrale 30 auszuführen. Das Sicherheitsendgerät 14 verfügt hierzu über eine Zugriffseinrichtung 15, mittels derer es auf die auf dem Transaktionsmedium 2 gespeicherten Daten sowie auf die Kennung KM zugreifen kann. Vorzugsweise ermöglicht die Zugriffseinrichtung 15 Schreib- und Lesezugriffe in Bezug auf die auf dem Transaktionsmedium 2 befindlichen Daten, mithin sowohl die Entnahme von durch die Daten repräsentierten Inhalten von dem Transaktionsmedium 2 wie umgekehrt das Aufbringen von durch die Daten repräsentierten Inhalten auf das Transaktionsmedium 2. Das Sicherheitsendgerät 14 besitzt weiterhin Eingabemittel 16, vorzugsweise in Gestalt einer Tastatur, zur Übermittlung von Informationen durch einen Nutzer 1 an das Sicherheitsendgerät 14, sowie Ausgabemittel 17, zweckmäßig in Gestalt einer Anzeige, zur Mitteilung von Informationen durch das Sicherheitsendgerät 14 an einen Nutzer 1.
  • Das Sicherheitsendgerät 14 ist manipulationssicher ausgeführt, so daß eine unberechtigte Entnahme von Daten, etwa von Geldwerte repräsentierenden Daten, von dem Transaktionsmedium 2 oder die Erzeugung solcher Daten durch einen Nutzer 1 ausgeschlossen sind. Hierzu sind Zugriffseinrichtung 15, Eingabemittel 16 und Ausgabemittel 17 jeweils an sich manipulationssicher ausgeführt und so mit der Prozessorvorrichtung zu einer Einheit verbunden, daß ein hard- oder softwaremäßiger Angriff auf eine der Komponenten 15, 16, 17 nur unter deren Zerstörung möglich ist oder zumindest nur so durchgeführt werden kann, daß er unmittelbar sichtbar ist. Zur Gewährleistung der Sicherheit der bei einer Transaktion übertragenen Daten beinhaltet die Prozessoreinrichtung Mittel zur Ver- und Entschlüsselung von aus- bzw. eingehenden Daten sowie Mittel zur Authentifizierung von Zertifikaten, die von Transaktionspartnern erhalten wurden.
  • Bei Ausführung des Transaktionsmediums 2 als Chipkarte handelt es sich bei dem Sicherheitsendgerät 14 zweckmäßig um einen sogenannten Klasse 3- Chipkartenleser, d. h. um ein Gerät mit einer Zugriffseinrichtung 15 in Gestalt eines Chipkartenlesers, einer eigenen manipulationssicheren Tastatur, einer manipulationssicheren alphanumerischen Anzeige zur Darstellung sicherheitsrelevanter Daten vor der Übergabe an eine Chipkarte sowie einer Verschlüsselungssoftware.
  • Ist aufgrund der an die Sicherheit des Nutzerendsystems 10 gestellten Anforderungen eine manipulationssicher gestaltete Verknüpfung von Ein- und Ausgabemitteln mit der Prozessorvorrichtung verzichtbar, kann das Sicherheitsendgerät 14 auch als integraler Bestandteil der Nutzernetzschnittstelle 19 realisiert sein. Es besitzt in diesem Fall keine eigenen Ein- und Ausgabemittel sondern nutzt die von der Nutzernetzschnittstelle 19 bereitgestellten. Die Realisierung der Funktionalität des Sicherheitsendgerätes 14 kann dabei als Hardware-Einschubmodul mit unabhängiger Prozessorvorrichtung oder auch in Form einer reinen Softwarelösung unter Verwendung der Prozessorvorrichtung der Nutzernetzschnittstelle 19 erfolgen.
  • Die Nutzernetzschnittstelle 19 ist ein Gerät, das es einem Nutzer 1 erlaubt, über das Datennetz 20 interaktiv in Kontakt mit einer Abwicklungszentrale 30 oder einem Diensteanbieter 40 zu treten. Grundlage der Nutzernetzschnittstelle 19 ist ein Computer mit allen üblichen Strukturmerkmalen. Insbesondere besitzt die Nutzernetzschnittstelle 19 eine Ein/Ausgabevorrichtung 18, welche Wiedergabemittel, z. B. in Gestalt einer Bildanzeige, zur Darstellung von an die Nutzernetzschnittstelle 19 übertragenen Informationen sowie Eingabemittel, z. B. in Gestalt eines Tastenfeldes, die es dem Nutzer 1 ermöglichen, Informationen an einen an das Datennetz 20 angeschlossenen Netzteilnehmer 30, 40 zu übermitteln, besitzt. Desweiteren umfaßt die Nutzernetzschnittstelle 19 eine bidirektionale Schnittstelle zu dem Datennetz 20. Die Prozessorvorrichtung der Nutzernetzschnittstelle 19ist dazu vorbereitet, Informationen und Programmelemente über das Datennetz 20 zu beziehen und anzuwenden bzw. auszuführen. Eine typische Ausführungsform der Nutzernetzschnittstelle 19 ist die eines Heimcomputers. Daneben kann die Nutzernetzschnittstelle 19 aber auch durch ein öffentlich zugängliches Netzterminal, wie sie etwa in Internet-Cafés eingesetzt werden, oder durch ein entsprechend ausgestattetes Handy realisiert sein.
  • Bei dem Datennetz 20 handelt es sich vorzugsweise um das Internet. Entsprechend sind in diesem Fall die Netzteilnehmer 10, 30, 40 als Internetteilnehmer organisiert und angepaßt an die für dieses Netz geltenden technischen Vorgaben in ansich bekannter Weise aufgebaut. Daneben kann das Datennetz 20 aber auch durch jede andere Netzstruktur realisiert sein, die geeignet ist, eine Daten- oder Kommunikationsverbindung zwischen einer Mehrzahl von Netzteilnehmern 10, 30, 40 herzustellen. Das Datennetz 20 kann aus einer Zusammenschaltung von mehreren, physikalisch unterschiedlich ausgebildeten Netzen bestehen. Beispielsweise kann der Anschluß des Nutzerendsystems 10 über ein Mobilfunknetz erfolgen, welches über den Mobilfunknetzbetreiber mit einem Festnetz verknüpft ist.
  • Die Abwicklungszentrale 30 hat in der Regel die Gestalt einer Großrechenanlage mit hoher Rechenleistung, auf der in Form von Softwaremodulen Funktionen zur Ausführung von Transaktionen, in denen sensible Daten ausgetauscht werden, realisiert sind. Typischerweise befindet sich die Abwicklungszentrale 30 bei einem auf die Abwicklung von über ein Datennetz ausführbaren Transaktionen spezialisierten Dienstleister und ist nur für einen begrenzten, besonders autorisierten Personenkreis zugänglich. In einer praktisch bedeutenden Ausführungsform ist die Abwicklungszenztrale 30 eine Zahlungszentrale und dient zur Ausführung von Bezahlungsvorgängen über ein Datennetz 20, insbesondere das Internet.
  • Wesentliche Elemente der Abwicklungszentrale 30 sind ein Transaktionsmodul 32, ein damit verbundenes Kompensationsmodul 34 sowie ein mit den beiden vorgenannten Modulen verbundenes Routermodul 36; ein wichtiges Hardwareelement der Abwicklungszentrale 30 bildet eine Speichereinrichtung 37.
  • Das Transaktionsmodul 32 beinhaltet Mittel zur Steuerung des Datenaustausches mit Nutzerendsystemen 10 über das Datennetz 20 sowie mit Abwicklungszentralen 40 über das zweite Datennetz 22, Mittel zur Durchführung und Sicherung eines Bestellvorganges sowie Mittel zur Veranlassung der Lieferung einer Leistung.
  • Das Kompensationsmodul 34 dient zur Koordinierung und Abwicklung eines gesicherten Datenaustausches zur Einforderung eines von dem Transaktionsmediums 2 geforderten Beitrages, also etwa zur Ausführung eines Zahlungsvorganges, in Wechselwirkung mit einem Transaktionsmedium 2 über ein zugehöriges Sicherheitsendgerät 14 und verfügt über alle dazu notwendigen Programm- und Hardwaremittel. Es koordiniert ferner die Abwicklung verschiedener paralleler Bezugsvorgänge. Zudem verfügt das Kompensationsmodul 34 über eine Schnittstelle 35 zu einem Hintergrundsystem 39, auf dem im Zusammenhang mit der Durchführung eines Leistungsbezugsverfahrens notwendige Hintergrundvorgänge ausgeführt werden, deren Ausführung durch die Abwicklungszentrale 30 nicht möglich oder nicht zweckmäßig ist. Hintergrundvorgänge dieser Art sind zum Beispiel die Führung von Geldkonten und die Abwicklung von Transaktionen zwischen verschiedenen Geldkonten. Ein typisches Hintergrundsystem 39 sind entsprechend eine Bank oder ein Bankenverbund bzw. ein Clearingsystem, in dem ein dem Transaktionsmedium 2 sowie ein der Abwicklungszentrale 30 zugeordnetes Geldkonto geführt werden.
  • Das Routermodul 36 verwaltet den Datenaustausch zwischen dem Transaktionsmodul 32 und der Abwicklungszentrale 40 über das zweite Datennetz 22.
  • Die Speichereinrichtung 37 beinhaltet eine Datenbank 38 zur Aufnahme der Kennungen KM von Zahlungsmedien 2 sowie von Sitzungssschlüsseln RS, SS, die im Rahmen von Bezugsvorgängen in Verbindung mit den Kennungen KM verwendet werden. In der Speichereinrichtung 37 sind ferner zur Ausführung einer gesicherten Kommunikation über das Datennetz 20 ein öffentlicher Schlüssel ÖS der Abwicklungszentrale 30 sowie ein korrespondierender geheimer Schlüssel GS hinterlegt.
  • Der Diensteanbieter 40 ist in Bezug auf das Datennetz 20 ein Netzteilnehmer wie das Nutzerendsystem 10 oder die Abwicklungszentrale 30. Üblicherweise hat er die Gestalt eines Computers mit großer Leistungsfähigkeit, auf dem unter der Kontrolle eines Anlagebetreibers in Softwareform Dienste bereitgestellt sind, auf die ein Nutzer 1 über das Datennetz 20 zugreifen kann. Technisch kann der Diensteanbieter 40 dabei durch einen vernetzten Computerverbund realisiert sein, der sich nur logisch wie ein einzelner Netzteilnehmer verhält.
  • Bei den von dem Diensteanbieter 40 angebotenen Leistungen kann es sich grundsätzlich um jede Art von über ein Datennetz 20 vertreibbarer Ware oder Dienstleistung handeln, so z. B. um gegen gegen Entgelt gelieferte digitale Waren wie Softwareprogramme, gegen Entgelt gelieferte physisch vorhandene Konsumgüter oder um digitale Waren, die auf Nachweis einer Empfangsberechtigung geliefert werden wie etwa eine PIN (Persönliche Identifikations Nummer). Besonders geeignet ist das vorgeschlagene Verfahren für Leistungen, die von einem Diensteanbieter 40 erbracht werden, ohne daß der Nutzer 1 die Erbringung direkt prüfen kann. So eignet sich das Verfahren zum Beispiel für die Nutzung des Mobilfunknetzes eines Mobilfunkanbieters auf der Basis von vorausbezahlten Guthaben. Zusätzlich zu der eigentlichen Leistungserbringung unterstützt das vorgeschlagene Verfahren hier eine längerfristige Bindung zwischen einem Diensteanbieter 40 und einem Nutzer 1, da es den Nutzer 1 veranlaßt, sich an den Diensteanbieter 40 zu wenden.
  • Wesentliche strukturelle Elemente des Diensteanbieters 40 im Hinblick auf das hier beschriebene Verfahren sind eine Leistungsverwaltungseinrichtung 42, ein Nutzerdatenbereich 46 sowie ein Netzportal 44.
  • Von der Leistungsverwaltungseinrichtung 42 wird zu jeder an einen Nutzer 1 übergebenen Referenzinformation RI, anhand derer von dem Diensteanbieter 40 eine Leistung bestellbar ist, in dem Nutzerdatenbereich 46 eine Referenzdatei 47 geführt. Die Referenzdateien 47 sind vorzugsweise zweckbezogen und erlauben nur Transaktionen in Bezug auf eine einzelne oder eine Gruppe von festgelegten Leistungen. Praktisch dienen sie zum Beispiel zur Führung von Guthaben über Leistungen, die von dem Diensteanbieter 40 noch zu erbringen sind. Im Zusammenhang mit noch zu erbringenden, entgeltlichen Leistungen haben die Referenzdateien 47 die Funktion eines Guthabenkontos. Zweckmäßig ist in diesem Fall vorgesehen, daß die Erbringung einer Leistung nur erfolgt, wenn das zu seiner Bezahlung herangezogene Guthabenkonto 47 ausreichend gedeckt ist.
  • Das Netzportal 44 dient zur Herstellung des Erstkontaktes zwischen dem Diensteanbieter 40 und einem Nutzerendsystem 10. Es informiert einen Nutzer 1 über den Diensteanbieter 40 sowie die von dem Diensteanbieter 40 angebotenen Leistungen und liefert eine Anleitung für die Durchführung der Bezahlung einer gewünschten Leistung. Es beinhaltet hierzu in Software- Form vorliegende Datenpakete, die nach Aufruf über das Datennetz 20 an ein Nutzerendsystem 10 übertragen und dem Nutzer 1 dort zur Anzeige gebracht werden. Ist das Datennetz 20 das Internet, hat das Netzportal 44 die übliche Form eines Internetauftritts und ist für einen Nutzer 1 wie ein solches zugänglich.
  • Das Netzportal 44 stellt weiterhin Datenpakete mit Informationen und Programmelementen zur Durchführung eines Bezugsvorganges zur Verfügung. Diese im folgenden als Ladeapplet LA bezeichneten Datenpakete können dabei bei dem Diensteanbieter 40 selbst oder bei einem mit ihm verbundenen Netzteilnehmer, insbesondere in der Abwicklungszentrale 30, gespeichert sein. In letzterem Fall hält und übermittelt das Netzportal 44 Verweise auf den jeweiligen Ablageort. Die Ladeapplets LA bezeichnen eine Abwicklungszentrale 30, über die der Bezug einer ausgewählten Leistung erfolgen kann. Weiter enthalten die Ladeapplets LA jeweils Programmelemente, welche ein Nutzerendsystem 10 in die Lage versetzen, eine Bestellung und einen zugehörigen Bezahlvorgang über eine Abwicklungszentrale 30 auszuführen. Die Ladeapplets LA sind über das Datennetz 20 an ein Nutzerendsystem 10 übertragbar.
  • Der Diensteanbieter 40 besitzt ferner über eine Schnittstelle 48 eine Verbindung zu einem Hintergrundsystem 49, auf dem im Zusammenhang mit der Durchführung eines Leistungsbezugsverfahrens notwendige Hintergrundvorgänge ausgeführt werden, deren Ausführung durch den Diensteanbieter 40 selbst nicht möglich oder nicht zweckmäßig ist. Zu solchen Hintergrundvorgängen zählen insbesondere die Führung von Geldkonten sowie die Durchführung von Geldtransfers zwischen verschiedenen Geldkonten. Das Hintergrundsystem 49 wird entsprechend zum Beispiel von einer Bank, einem Bankenverbund oder einem Clearingsystem gebildet, in dem ein dem Dienstanbieter 40 zugeordnetes Geldkonto geführt wird. Das Hintergrundsystem 49 ist mit dem Hintergrundsystem 39 verbunden und kann auch identisch mit jenem sein.
  • Abwicklungszentrale 30 und Dienstanbieter 40 können ferner zusammenfallen und in Form eines einzelnen Netzteilnehmers realisiert sein. Ebenso kann auch das Hintergrundsystem 39, 49 integrierter Bestandteil der Abwicklungszentrale 30 oder des Diensteanbieters 40 sein. Ein Beispiel für einen Netzteilnehmer mit den Funktionalitäten der Abwicklungszentrale 30, des Diensteanbieters 40 und des Hintegrundsystems 39, 49 bildet eine Bank.
  • Unter Bezugnahme auf die Fig. 2 bis 7 wird nachfolgend die Nutzung des vorbeschriebenen Systems zum Bezug einer Leistung über das Datennetz 20 beschrieben.
  • Das Nutzungsverfahren gliedert sich grundsätzlich in eine Vorverhandlungsphase und in eine Transaktionsphase, welche letztere wiederum in eine Kompensationsphase und eine Lieferphase zerfällt. Die Durchführung der Vorverhandlungsphase und der Kompensationsphase erfolgen zwischen dem Nutzerendsystem 10, insbesondere dem Sicherheitsendgerät 14 und dem Transaktionsmedium 2, und der Abwicklungszentrale 30; in die Durchführung der Lieferphase ist auch der Diensteanbieter 40 einbezogen. In der Vorverhandlungsphase erfolgt unter Nutzung der Kennung KM die Bestellung einer Leistung, in der Kompensationsphase unter Nutzung der Kennung KM die Einforderung eines von dem Zahlungsmedium 2 als Voraussetzung für die Lieferung der Leistung zu erbringenden Beitrages und in der Lieferphase die Bereitstellung der Leistung zur Lieferung an den Nutzer 1.
  • Um das Verfahren anschaulicher beschreiben zu können, wird im folgenden grundsätzlich davon ausgegangen, daß es sich bei dem Diensteanbieter 40 um einen Mobilfunknetzbetreiber handelt, und ein Nutzer 1 über ein Nutzerendsystem 10 ein bei diesem Mobilfunknetzbetreiber 40 geführtes Netzzeitguthabenkonto mittels einer Geldkarte aufladen möchte, um ein Handy weiter benutzen zu können. Die Referenzdatei 47 fungiert in diesem Szenario als Netzzeitguthabenkonto, die Leistungsverwaltungseinrichtung 42 erscheint als Kontoverwaltungseinheit, das Transaktionsmedium 2 als Geldkarte; die von dem Diensteanbieter 40 erbrachte Leistung besteht in einer zeitlich begrenzten Zurverfügungstellung seines Netzes. Der von dem Transaktionsmedium 2 erbrachte, für den Bezug der Leistung notwendige Beitrag wird durch den Transfer von elektronischem Geld von der Geldkarte 2 auf ein dem Mobilfunknetzbetreiber zugeordnetes Geldkonto erbracht.
  • Das Verfahren ist nicht auf die vorgenannte Beispielanwendung beschränkt. Vielmehr ist es stets einsetzbar, wenn der Bezug einer über ein Datennetz 20 vertriebenen Leistung erfolgt, indem unter Verwendung einer einem Transaktionsmedium 2 zugeordneten Kennung KM nacheinander zunächst ein Bestellvorgang und anschließend eine Transaktionsphase ausgeführt werden. Eine weitere Anwendung dieser Art ist zum Beispiel der Bezug einer an sich kostenlosen, jedoch sicherheitskritischen Information, etwa einer PIN, welche nachfolgend den Zugang zu sonst gesperrten Leistungsangeboten eines Diensteanbieters 30 ermöglicht.
  • Die Nutzung setzt ein, indem ein Nutzer 1 über das Datennetz 20 mittels eines Nutzerendsystems 10 eine Verbindung zu dem Netzportal 44 eines Diensteanbieters 40 herstellt, das von dem Netzportal 44 daraufhin bereitgestellte Informationsangebot einsieht und aus dem Informationsgebot die Möglichkeit "Laden des vorausbezahlten Kontos" auswählt, Schritt 200. Auf diese Auswahl hin übermittelt das Netzportal 44 des Dienstanbieters 40 dem Nutzerendsystem 10 einen Startdatenblock, der Angaben über eine auszuwählende Abwicklungszentrale 30, unterstützte Zahlungsarten, eine Kontaktadresse AD für die Bearbeitung eventuell notwendiger Reklamationen sowie ein Ladeapplet LA bzw. eine Verweisung auf dessen Ablageort enthält, welches die Einbindung eines Sicherheitsendgerätes 14 in einen Bezugsvorgang sowie die Eingabe von benötigten Informationen durch den Nutzer 1 veranlaßt, Schritt 202. Die Durchführung des Schrittes 202 erfolgt vorzugsweise in einem Sicherheitsmodus, der von beiden an dem Datenaustausch beteiligten Seiten unmittelbar einsetzbar ist, beispielsweise unter einer Verschlüsselung gemäß dem SSL- Protokoll.
  • Ist das Ladeapplet LA in der Nutzernetzschnittstelle 19 eingegangen und installiert, stellt es über das Datennetz 20 eine Verbindung zu der in dem Startdatenblock bezeichneten Abwicklungszentrale 30 her.
  • Besteht die von dem Diensteanbieter 40 erbrachte Leistung in der Lieferung einer personenbezogenen Information, veranlaßt das Ladeapplet LA nach Herstellung der Verbindung zweckmäßig zunächst eine wechselseitige Authentisierung zwischen Nutzer 1 und Abwicklungszentrale 30, Schritt 203. Darin weisen sich Nutzer 1 und Abwicklungszentrale 30 wechselseitig ihre Authentizität nach, indem sie jeweils die Kenntnis eines vordefinierten Geheimnisses durch den Partner prüfen. Nutzerseitig kann das Geheimnis zum Beispiel in einer einzugebenden PIN bestehen oder auf einer, zweckmäßig mittels des Sicherheitsendgerätes 14 auslesbaren Signaturkarte hinterlegt sein, von der es ausgelesen wird.
  • Steht die Verbindung zu der Abwicklungszentrale 30 und ist, falls ein solcher Schritt vorgesehen ist, die Authentizität nachgewiesen, eröffnet das Ladeapplet LA die Vorverhandlungsphase. Hierzu veranlaßt es den Nutzer 1 durch Erzeugen einer entsprechenden Anzeige auf der Ein/Ausgabevorrichtung 18 eine Zahlungsart und eine gewünschte Ladesumme LS festzulegen, Schritt 204. Mittels der Eingabemittel der Ein/Ausgabevorrichtung 18 macht der Nutzer 1 die geforderten Angaben. Ist die Eingabe abgeschlossen, erzeugt das Ladeapplet LA eine Ladebotschaft B1, welche die gewählte Zahlungsart, die festgelegte Ladesumme LS und die Reklamationskontaktadresse AD enthält, Schritt 206.
  • Ist das Zahlungsmedium 2 nicht als physisch selbständige Baueinheit realisiert, erzeugt das Ladeapplet LA zusätzlich ferner eine individuelle Kennung KM für das Zahlungsmedium 2.
  • Die Ladebotschaft B1 übermittelt das Ladeapplet LA an das Sicherheitsendgerät 14, Schritt 208.
  • Nach Eingang der Ladebotschaft B1 im Sicherheitsendgerät 14 prüft jenes, ob das Transaktionsmedium 2 für die Zugriffseinrichtung 15 zugänglich ist. Ist das nicht der Fall, übermittelt das Sicherheitsendgerät 14 der Nutzernetzschnittstelle 19 eine Rückmeldung, welche jene auf den Wiedergabemitteln der Ein/Ausgabevorrichtung 18 zur Darstellung einer Aufforderung an den Nutzer 1 veranlaßt, der Zugriffseinrichtung 15 das Transaktionsmedium 2 zu präsentieren. Ist das Transaktionsmedium 2 nur virtuell realisiert, erhält der Nutzer 1 eine Aufforderung, es durch entsprechende Eingaben über die Ein/Ausgabeeinrichtung 18 zugänglich zu machen.
  • Ist das Transaktionsmedium 2 präsentiert und ein Zugriff darauf möglich, fordert das Sicherheitsendgerät 14 über die Zugriffseinrichtung 15 von dem Transaktionsmedium 2 dessen individuelle Kennung KM, Schritt 210. Das Transaktionsmedium 2 übermittelt dem Sicherheitsendgerät 14 hierauf seine individuelle Kennung KM, Schritt 212.
  • Erfolgt die Durchführung des Verfahrens ohne körperlich vorhandenes Transaktionsmedium 2, erhält das Sicherheitsendgerät 14 die Kennung KM durch das Ladeapplet LA in der in Schritt 208 versandten Botschaft. Das Ladeapplet LA kann die Kennung KM hierbei unmittelbar beinhalten. Es kann auch nur als Vermittler fungieren und die Kennung KM in einem gesonderten Datenaustausch über das Datennetz 20, zum Beispiel von der Abwicklungszentrale 30 beziehen. Vorgesehen sein kann zudem, daß die Kennung KM dem Nutzer 1 auf den Ausgabemitteln 17 des Sicherheitsendgerätes 14 zur Anzeige gebracht wird und vom Nutzer 1 bestätigt werden muß.
  • Die Kennung KM und die vom Nutzer 1 festgelegte Ladesumme LS werden vom Sicherheitsendgerät 14 zur weiteren Verwendung im nachfolgenden Verfahrensablauf gespeichert, Schritt 214. Desweiteren erzeugt das Sicherheitsendgerät 14 einen Sitzungsschlüssel SK, Schritt 216. Die Erzeugung des Sitzungsschlüssels SK erfolgt nach einem üblichen Verfahren, typischerweise nach einem auf der Erzeugung von Zufallszahlen beruhenden Verfahren. Darin kann auch das Transaktionsmedium 2 einbezogen sein und zum Beispiel eine Zufallszahl liefern. Den Sitzungsschlüssel SK speichert das Sicherheitsendgerät 14 für das weitere Verfahren analog zur Abspeicherung der Kennung KM, Schritt 218.
  • Anschließend veranlaßt das Sicherheitsendgerät 14 den Nutzer 1 durch eine entsprechende Anzeige auf den Ausgabemitteln 17 zur Eingabe einer Referenzinformation RI, welche die Bindung des Nutzers 1 zu dem Diensteanbieter 40 bezeichnet, Schritt 300. In dem zugrundegelegten Szenario des Ladens eines vorausbezahlten Netzzeitguthabenkontos bei einem Mobilfunknetzbetreiber besteht die Referenzinformation RI zum Beispiel in der Telefonnummer des zugehörigen Handys. Zur Erzielung einer größtmöglichen Sicherheit ist zweckmäßig vorgesehen, daß der Nutzer 1 die Referenzinformation RI durch eine Wiederholung der Eingabe bestätigt.
  • Liegt danach die vom Nutzer 1 eingegebene Referenzinformation RI vor, erzeugt das Sicherheitsendgerät 14 eine erste Vorverhandlungsbotschaft B2. Hierzu bildet es einen Informationsblock, welcher die Referenzinformation RI, den Sitzungsschlüssel SK, die Kennung KM sowie die Ladesumme LS beinhaltet und verschlüsselt diesen mit dem öffentlichen Schlüssel ÖS der Abwicklungszentrale 30, Schritt 302. Der öffentliche Schlüssel ÖS der Abwicklungszentrale 30 kann dabei innerhalb des von dem Netzportal 44 im Rahmen des Erstkontaktes erhaltenen Startdatenblock übermittelt worden sein. Alternativ kann auch ein gesonderter Verfahrensschritt vorgesehen sein, in dem das Sicherheitsendgerät 14 den öffentlichen Schlüssel ÖS der Abwicklungszentrale 30 von dieser anfordert.
  • Die danach vorliegende, durch Verschlüsselung gesicherte Vorverhandlungsbotschaft B2 wird über das Datennetz 20 an die durch das Ladeapplet LA bezeichnete Abwicklungszentrale 30 übermittelt, Schritt 304. Mit dem Absetzen der Botschaft B2 startet das Sicherheitsendgerät 14 zugleich eine Zeitüberwachung, Schritt 305. Damit werden eine oder mehrere Zeitspannen definiert, innerhalb derer eine oder mehrere vorbestimmte Botschaften von der Abwicklungszentrale 30 eingegangen sein müssen. Verstreicht eine Zeitspanne, ohne daß die jeweils erwartete Botschaft eingeht, wird das Verfahren abgebrochen. Überwacht werden beispielsweise die Zeitspannen bis zum Eingang einer zweiten Vorverhandlungsbotschaft B5 und/oder bis zum Beginn des Bezahlungsvorganges.
  • Nach Eingang dort entschlüsselt die Abwicklungszentrale 30 die gesicherte Vorverhandlungsbotschaft B2 mit dem zu dem bei der Verschlüsselung verwendeten öffentlichen Schlüssel ÖS korrespondierenden geheimen Schlüssel GS und ermittelt die Kennung KM des Transaktionsmediums 2 sowie den Sitzungsschlüssel SK, Schritt 306. Zugleich startet die Abwicklungzentrale 30 ihrerseits ebenfalls eine Zeitüberwachung, Schritt 307. Darin überwacht sie beispielsweise die Zeitspanne bis zum Eingang eines Freigabesignales B6.
  • Hierauf prüft die Abwicklungszentrale 30, Schritt 308, ob die Kennung KM bereits in ihrer Datenbank 38 gespeichert ist, Schritt 308. Ist das der Fall, prüft die Abwicklungszentrale 30, ob der zuletzt in Verbindung mit derselben Kennung KM gespeicherte Sitzungsschlüssel RS noch gültig ist, Schritt 310. Jedem Sitzungsschlüssel SS ist dabei eine vorbestimmte Geltungsdauer zugeordnet. Ist diese noch nicht abgelaufen, fordert die Abwicklungszentrale 30 durch eine Anfrage B3 über das Datennetz 20 von dem Sicherheitsendgerät 14 den dort gespeicherten letzten gültigen Sitzungsschlüssel PS, Schritt 402. Die Anfrage B3 wird durch Verschlüsselung mit dem übermittelten Sitzungsschlüssel SK gesichert.
  • Desweiteren übernimmt die Abwicklungszentrale 30 die übermittelte Referenzinformation RI, die übermittelte Ladesumme LS und die Kennung KM in die Speichereinrichtung 37, Schritt 316.
  • Ergibt die Prüfung in Schritt 308, daß die übermittelte Kennung KM noch nicht darin enthalten ist, übernimmt die Abwicklungszentrale 30 sie als Neueintrag in die Datenbank 38, Schritt 309.
  • Ergibt die Prüfung in Schritt 310, daß der zuletzt in Verbindung mit derselben Kennung KM gespeicherte Sitzungsschlüssel RS wegen Ablauf der Geltungdauer nicht mehr gültig ist, macht die Abwicklungszentrale 30 den übermittelten Sitzungsschlüssel SK zum neuen gültigen Sitzungsschlüssel SS und übernimmt ihn in ihre Speichereinrichtung 37, Schritt 314.
  • Das Sicherheitsendgerät 14 empfängt die Anfrage B3 und entschlüsselt sie mit dem Sitzungsschlüssel SK, Schritt 403. Anschließend bildet es seinerseits eine gesicherte Antwort B4, welche die Kennung KM des Transaktionsmediums 2 sowie den im letzten vorhergehenden Bezahlvorgang verwendeten Sitzungsschlüssel PS enthält, Schritt 406. Die Sicherung erfolgt durch Verschlüsseln mit dem öffentlichen Schlüssel ÖS der Abwicklungszentrale 30. Die so gesicherte Antwort B4 übermittelt das Sicherheitsendgerät 14 an die Abwicklungszentrale 30, Schritt 408.
  • Diese entschlüsselt die gesicherte Antwort B4 nach Eingang mit ihrem zu dem bei der Verschlüsselung verwendeten öffentlichen Schlüssel ÖS korrespondierenden geheimen Schlüssel GS, Schritt 410. Den aus der Entschlüsselung resultierenden vorhergehenden Sitzungsschlüssel PS vergleicht die Abwicklungszentrale 30 wiederum mit dem gespeicherten Sitzungsschlüssel RS, Schritt 412.
  • Stimmen beide nicht überein, übermittelt die Abwicklungszentrale 30 dem Sicherungsendgerät 14 eine Fehlermeldung und bricht die Kommunikation zum Sicherungsendgerät 14 ab, Schritt 413. Vorgesehen sein kann daneben auch, daß der Abbruch ohne Fehlermeldung erfolgt.
  • Ergibt die Prüfung im Schritt 412 Übereinstimmung der verglichenen Sitzungsschlüssel PS und RS, definiert die Abwicklungszentrale 30 den bereits gespeicherten, vorhergehenden Sitzungsschlüssel PS als neuen gültigen Sitzungsschlüssel SS, Schritt 414.
  • Im nächsten Schritt erzeugt die Abwicklungszentrale 30 eine Vorautorisierungskennung KV, Schritt 500. Die Vorautorisierungskennung KV dient zur eindeutigen Identifizierung einer Transaktion. Sie wird von der Abwicklungszentrale 30 gespeichert und unterstützt später vor allem im Falle eines Fehlers nach Abschluß der Vorverhandlungs- und der Kompensationsphase den Nachweis der erfolgreichen Ausführung der beiden Phasen. Zweckmäßig wird Vorautorisierungskennung KV durch Ausführung eines später nachvollziehbaren Algorithmus gewonnen, in besonders einfacher Weise ist die Vorautorisierungskennung eine fortlaufende Nummer.
  • Mittels der Vorautorisierungskennung KV bildet sie sodann eine zweite Vorverhandlungsbotschaft B5. Hierzu fügt die Abwicklungszentrale 30 die Vorautorisierungskennung KV mit den gespeicherten Informationen für die Kennung KM, die Ladesumme LS sowie die Referenzinformation RI zusammen, signiert diese Informationsgruppe mit dem geheimen Schlüssel GS der Abwicklungszentrale 30 und verschlüsselt sie ferner mit dem Sitzungsschlüssel SS, Schritt 502. Die resultierende zweite Vorverhandlungsbotschaft B5 übermittelt die Abwicklungszentrale 30 über das Datennetz 20 an das Sicherheitsendgerät 14, Schritt 504.
  • Dieses entschlüsselt die zweite Vorverhandlungsbotschaft B5 wieder unter Verwendung des Sitzungsschlüssels SS, Schritt 505, und prüft die Signatur mittels des öffentlichen Schlüssels ÖS der Abwicklungszentrale 30, Schritt 506. Desweiteren prüft es im Rahmen der Zeitüberwachung, ob die Vorverhandlungsbotschaft B5 innerhalb der zulässigen Zeitspanne eingegangen ist, Schritt 507. Die nach der Entschlüsselung vorliegenden Darstellungen für die Referenzinformation RI und die Ladesumme LS vergleicht das Sicherheitsendgerät 14 anschließend mit den zuvor gespeicherten entsprechenden Informationen, Schritt 508. Ergibt sich bei diesem Vergleich, daß eine oder mehrere der verglichenen Informationen nicht übereinstimmen, bricht das Sicherheitsendgerät 14 die Kommunikation zu der Abwicklungszentrale 30 ohne weitere Rückmeldung ab, Schritt 509.
  • Ergibt der Vergleich im Schritt 508 Übereinstimmung aller verglichenen Informationen, stellt das Sicherheitsendgerät 14 die Referenzinformation RI und die Ladesumme LS auf den Ausgabemitteln 17 dar und fordert den Nutzer 1 zur Bestätigung über die Eingabemittel 16 auf, Schritt 510. Über die Eingabemittel 16 des Sicherheitsendgerätes 14 bestätigt darauf der Nutzer 1 die Angaben, Schritt 512.
  • Ist die Bestätigung durch den Nutzer 1 erfolgt, erzeugt das Sicherheitsendgerät 14 ein Freigabesignal B6 und sendet dieses an die Abwicklnngszentrale 30, Schritt 514.
  • Die Abwicklungszentrale 30 erzeugt ferner ein Protokoll PA mit allen von an das Sicherheitsendgerät 14 übersandten Daten und Informationen. Das Protokoll PA übermittelt sie dem Sicherheitsendgerät 14, welches es prüft und ggf. um weitere, im Sicherheitsendgerät 14 vorhandene Informationen ergänzt, Schritt 516. Das Protokoll PA beinhaltet danach insbesondere die Vorautorisierungskennung KV sowie die Signatur der Abwicklungszentrale 30. So vervollständigt schickt es das Sicherheitsendgerät 14 an die Nutzernetzschnittstelle 19, wo es gespeichert wird. Mit Hilfe des Protokolles PA ist es einem Nutzer 1 im Falle eines anschließenden vorzeitigen Abbruches des Verfahrens möglich, ein Reklamation durchzuführen. Damit ist die Vorverhandlungsphase abgeschlossen und es schließt sich die Kompensationsphase mit der Einforderung des für den Bezug der Leistung von dem Transaktionsmedium 2 zu erbringenden Beitrages als erster Teil der Transaktionsphase an.
  • Nach Erhalt des Freigabesignales B6 kontrolliert die Abwicklungszentrale 30 zunächst im Rahmen der Zeitüberwachung, ob es innerhalb der zulässigen Zeitspanne eingegangen ist, Schritt 517. Ist das der Fall, leitet die Abwicklungszentrale 30 einen an sich bekannten Bezahlungsvorgang über das Datennetz 20 ein, Schritt 518. Hierbei kontrolliert zunächst das Sicherheitsendgerät 14 im Rahmen der Zeitüberwachung, ob der Beginn des Bezahlungsvorganges innerhalb der zulässigen Zeitspanne erfolgt ist, Schritt 519. Ist das der Fall, schließt sich die Durchführung des Bezahlungsvorganges an.
  • Der Bezahlungsvorgang erfolgt zwischen dem Nutzerendsystem 10 und dem Kompensationsmodul 34 in der Abwicklungszentrale 30. Er beruht wie die Vorverhandlungsphase auf der Nutzung der Kennung KM des Transaktionsmediums 2. Durch die Einbindung der Kennung KM in den Bezahlungsvorgang und in die Vorverhandlungsphase wird zwischen beiden Verfahrensabschnitten eine direkte inhaltliche Verbindung hergestellt. Anhand der Kennung KM kann später gegebenenfalls eine Zuordnung vorgenommen werden.
  • Der Bezahlungsvorgang kann von dem Typ sein, wie er in der einleitend referierten Veröffentlichung "Geldkarte im Netz" beschrieben ist. Zunächst wird dabei das Bestehen einer sicheren Ende-zu-Ende-Verbindung zwischen Abwicklungszentrale 30 und Sicherheitsendgerät 14 sichergestellt, indem sich Transaktionsmedium 2 und Abwicklungszentrale 30 wechselseitig authentisieren. Dabei wird zur Ermittlung eines Schlüssels für die Verschlüsselung die Kennung KM des Transaktionsmediums 2 herangezogen und mit ihrer Hilfe ein Schlüssel bzw. ein Schlüsselpaar abgeleitet. Die Kennung KM bildet damit ein eindeutiges Bindeglied zwischen dem Bestellvorgang und dem Bezahlungsvorgang. Unter Verwendung des Schlüssels bzw. des Schlüsselpaares erfolgt anschließend ein Datenaustausch, in dem das im Speicher 4 des Transaktionsmediums 2 befindliche elektronische Geld um den Zahlungsbetrag, d. h. die Ladesumme LS, vermindert und ein entsprechender Betrag der Abwicklungszentrale 30 gutgeschrieben wird, der Zahlungsbetrag mithin von dem Transaktionsmedium 2 an die Abwicklungszentrale 30 transferiert wird.
  • Der Bezahlungsvorgang muß nutzerseitig nicht zwingend unter Verwendung derselben strukturellen Mittel erfolgen, die für die Vorverhandlungsphase eingesetzt wurden. Möglich ist zum Beispiel auch, ein besonderes Zahlungsmedium einzusetzen, das mit dem Transaktionsmedium 2 über die Kennung KM verbunden, aber nicht mit dem Transaktionsmedium 2 identisch ist und/oder auf den Einsatz des Sicherheitsendgerätes 14 zu verzichten. Allerdings muß in ersterem Fall die Kennung KM entweder im Nutzerendsystem 10 oder bei einem über das Datennetz 20 verbundenen Netzteilnehmer gespeichert sein oder von dem Nutzer 1 manuell eingegeben werden.
  • Verläuft der Bezahlungsvorgang nicht erfolgreich, wird das gesamte Bezugsverfahren beendet, Schritt 521. Der Nutzer 1 erhält eine im Rahmen des Bezahlungsvorganges vorgesehene Fehlermeldung.
  • Verläuft der Bezahlungsvorgang erfolgreich, bestätigt das Kompensationsmodul 34 dies dem Transaktionsmodul 32 durch Übermittlung eines Bestätigungssignales, das die Kennung KM enthält. Die Kompensationsphase ist damit abgeschlossen.
  • Die Abwicklungszentrale 30 leitet nun im Rahmen der Transaktionsphase die Lieferphase ein. Mittels des Routermodules 36 stellt sie hierbei über das Hintergrunddatennetz 22 eine Verbindung zu dem Diensteanbieter 40 her und übermittelt ihm eine Ladeaufforderung B7, Schritt 600. Diese enthält die Vorautorisierungskennung KV, die Referenzinformation RI, die Kennung KM und die Ladesumme LS.
  • Nach Eingang bei dem Diensteanbieter 40 bildet die Leistungsverwaltungseinrichtung 42 ein der Ladesumme LS entsprechendes Netzzeitguthaben, Schritt 602. Erfolgt die Inanspruchnahme der von dem Nutzer 1 bestellten Leistung, im Beispiel das Telefonieren im Mobilfunknetz des Netzbetreibers, indem ein vorhandenes Netzzeitguthaben reduziert wird, lädt der Diensteanbieter 40 das Netzzeitguthaben in die in der Ladeaufforderung B7 bezeichnete Referenzdatei 47.
  • Im Zusammenhang mit der Leistungserbringung kann vorgesehen sein, daß dem der Referenzinformation RI zugeordneten Nutzer 1 Werteinheiten übermittelt werden, welche dem Netzzeitguthaben, mithin der Ladesumme LS entsprechen. Ist das der Fall, nimmt der Diensteanbieter 40 die Erzeugung der Werteinheiten nach Eingang der Ladesumme LS vor, Schritt 604.
  • Die Werteinheiten werden dem Nutzer 1 übermittelt. Parallel hierzu wird in der Referenzdatei 47 das Netzzeitguthaben verwaltet.
  • Bei der Verwendung von Werteinheiten kann andererseits auch vorgesehen sein, von einem Laden der Referenzdatei 47 abzusehen und dem Nutzer 1 das Netzzeitguthaben in Form von Werteinheiten gänzlich zu übermitteln. Bei der Inanspruchannahme der Leistung werden die Werteinheiten dann wieder vom Nutzer 1 an den Diensteanbieter 40 zurückgegeben und damit verbraucht. In der Referenzdatei 47 erfolgt in diesem Fall zweckmäßig eine Kontrollverwaltung.
  • Verlaufen das Laden der Referenzdatei 47 und/oder die Erzeugung von Werteinheiten erfolgreich, übermittelt der Diensteanbieter 40 an die Abwicklungszentrale 30 ein Quittungssignal B8, Schritt 606. Wurden solche erzeugt, übermittelt der Diensteanbieter 40 der Abwicklungszentrale 30 desweiteren zusammen mit dem Quittungssignal B8 oder unmittelbar anschließend die Werteinheiten, Schritt 607.
  • Auf den Erhalt des Quittungssignales B8 bildet die Abwicklungszentrale 30 ihrerseits eine Ladequittung B9, welche die Referenzinformation RI, die Ladesumme LS, die Vorautorisierungskennung KV und die Kennung KM enthält. Die Ladequittung signiert sie mit dem geheimen Schlüssel GS der Abwicklungszentrale 30 und verschlüsselt sie mit dem Sitzungsschlüssel SS, Schritt 608. Die solchermaßen gebildete Ladequittung B9 übermittelt sie über das Datennetz 20 an das Nutzerendsystem 10, Schritt 610. Zusammen oder unmittelbar im Anschluß daran übermittelt sie dem Nutzerendsystem 10 ferner die ggf. gebildeten Werteinheiten, Schritt 611.
  • Tritt beim Laden des Nutzerkontos 47 im Schritt 602 ein Fehler auf oder erhält die Abwicklungszentrale 30 nach dem Absetzen einer Ladeaufforderung B7 kein Quittungssignal B8 von dem Diensteanbieter 40, erzeugt die Abwicklungszentrale 30 eine provisorische Ladequittung 810, Schritt 612. Diese enthält zum einen dieselben Angaben, wie sie eine Ladequittung B9 nach erfolgreichem Ladevorgang enthält. Zusätzlich enthält die provisorische Ladequittung B10 einen Unsicherheitshinweis FU, welcher das mögliche Vorliegen eines Fehlers anzeigt und welcher eine Kontaktadresse enthält, unter der der Nutzer 1 den Fehler reklamieren kann, Schritt 614. Auch die provisorische Ladequittung B10 wird ebenfalls mit dem geheimen Schlüssel GS der Abwicklungszentrale signiert und dem Sitzungsschlüssel SS verschlüsselt.
  • Die Ladequittung B9 bzw. die provisorische Ladequittung B10 werden vom Sicherheitsendgerät 14 mittels des Sitzungsschlüssels SS entschlüsselt, Schritt 616. Das nach der Entschlüsselung vorliegende Ergebnis, d. h. die Bestätigung über die erfolgreiche Ausführung des Ladevorganges bei Erhalt einer Ladequittung B9 bzw. den Hinweis auf einen möglichen Fehler bei Erhalt einer provisorischen Ladequittung B10 zusammen mit der übermittelten Reklamationskontaktadresse, stellt das Sicherheitsendgerät 14 sodann dem Nutzer 1 über die Ausgabemittel 17 dar, Schritt 616. Desweiteren veranlaßt das Sicherheitsendgerät die Speicherung gegebenfalls übermittelter Werteinheiten, Schritt 619. Diese kann in einer der Komponenten des Nutzerendsystems 10, bei einem über das Datennetz 20 verbundenen Netzteilnehmer oder auch in einer externen Einrichtung, etwa in einem Handy erfolgen.
  • Hieran anknüpfend kann die Bildung einer Bestätigung über der Empfang der Werteinheiten durch das Sicherheitsendgerät 14 und deren Rücksendung an die Abwicklungszentrale 30 vorgesehen sein, Schritt 620. Die Maßnahme ist insbesondere zweckmäßig, wenn es sich bei den Werteinheiten um Daten handelt, deren Bedeutung in der Kenntnisnahme durch einen Nutzer 1 besteht oder die nachfolgend für eine wiederholte Nutzung dauerhaft auf dem Transaktionsmedium 2 verbleiben, etwa um eine PIN oder einen kryptographischen Schlüssel.
  • Über den gesamten erfolgten Datenaustausch bildet die Abwicklungszentrale 30 ein Protokoll PB, welches das Protokoll PA weiterschreibt. Das gesamte Protokoll PB oder zumindest die gegenüber dem Protokoll PA neu hinzugekommenen Teile übermittelt sie dem Sicherheitsendgerät 14, welches es prüft und um die nur im Sicherheitsendgerät 14 vorliegenden Informationen ergänzt. Das Protokoll PB enthält danach alle wesentlichen von der Abwicklungszentrale 30 sowie von dem Diensteanbieter 40 mit dem Nutzerendsystem 10 über das Datennetz 20 ausgetauschten Informationen. Das vollständige Protokoll PB übergibt das Sicherheitsendgerät 14 an die Nutzernetzschnittstelle, wo es gespeichert wird, Schritt 622.
  • Unter Beibehaltung des zugrundeliegenden Gedankens, eine im Rahmen eines Leistungsbezuges zur Durchführung der Bestellung der Leistung vorgeschaltete Vorverhandlungsphase unter Verwendung einer einem verwendeten Transaktionsmedium zugeordneten Kennung KM zu sichern und sie über diese Kennung KM mit der nachfolgenden Kompensations- und Lieferphase zu verknüpfen, gestattet das vorbeschriebene Verfahren eine Reihe von Ausgestaltungen. So ist das vorbeschriebene Verfahren vor allem nicht auf Anwendungen beschränkt, in denen eine Leistung gegen Übermittlung eines Zahlungsbetrages oder eines Äquivalentes geliefert wird. An Stelle der Übermittlung eines Zahlungsbetrages kann in der Transaktionsphase vielmehr jede andere Operation treten, die einen Zugriff auf sensible Daten auf dem Transaktionsmedium 2 beinhaltet. Beispielsweise kann das Verfahren zur Übermittlung einer PIN oder eines Zugangscodes von einer Abwicklungszentrale 30 an ein Nutzerendsystem 10 eingesetzt werden. Im Rahmen des Bezahlungsvorganges in der Kompensationsphase erfolgt dann nicht der Transfer eines Zahlungsbetrages sondern der Austausch oder die bloße Präsentation eines geheimen Datensatzes.
  • Ferner muß es in der Kompensationsphase nicht zwangsläufig zu einer Änderung von Daten auf dem Transaktionsmedium 2 kommen. Vielmehr kann vorgesehen sein, daß die für den Bezug einer Leistung notwendigen, bestimmten Daten nur vorgelegt und geprüft werden.
  • Für den Fall, daß nur eine geringe Sicherheitsstufe verlangt ist, kann die Kopplung zwischen der Vorverhandlungsphase, der Kompensationsphase und der Lieferphase in abgeschwächter Form erfolgen. Beispielsweise kann die Kennung KM eines Transaktionsmediums 2 in der Abwicklungszentrale 30 in einen einfachen Standardwert umgesetzt werden, welcher lediglich das Vorliegen einer Kennung KM bestätigt.
  • Variierbar ist die Gestaltung der Zeitüberwachungen. Neben den beschriebenen können weitere oder auch andere Zeitspannen überwacht werden. Die Überwachung kann auch Korrelierungen zwischen unterschiedliche Zeitspannen beinhalten. Vielfach ausgestaltbar sind desweiteren die Netzteilnehmer 10, 30 und 40. Dabei können insbesondere sowohl Komponenten zusammengefaßt oder auf eine Vielzahl von weiteren Komponenten verteilt ausgeführt sein.
  • In einem breitem Rahmen ausgestaltbar sind ferner die eingesetzten Verschlüsselungstechniken. Dabei können sowohl andere Prinzipien zur Verwendung kommen als auch zusätzliche Verschlüsselungen.

Claims (22)

1. Verfahren zum Bezug einer über ein Datennetz von einem Diensteanbieter angebotenen Leistung gegen Präsentation eines Transaktionsmediums, wobei die Leistung mittels eines Nutzerendsystems bei dem Diensteanbieter bestellt wird, welcher darauf die Einschaltung einer Abwicklungszentrale bewirkt, die anschließend in einen Datenaustausch mit dem Transaktionsmedium tritt, um von diesem einen notwendigen, für den Bezug der Leistung vorausgesetzten Beitrag in Gestalt bestimmter Daten einzufordern, dadurch gekennzeichnet, daß das Nutzerendsystem (10) vor dem Eintritt in den Datenaustausch zur Beitragseinforderung eine dem Transaktionsmedium (2) zugeordnete Kennung (KM) ermittelt, diese an die Abwicklungszentrale (30) schickt und von jener zur Bestätigung zurückerhält.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß als Kennung (KM) eine Information verwendet wird, die auch im nachfolgenden Datenaustausch zur Beitragseinforderung zur Anwendung gelangt.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der von dem Transaktionsmedium (2) eingeforderte Beitrag in der Übermittlung eines Zahlbetrages besteht.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Abwicklungszentrale (30) nach Erhalt der Kennung der (KM) eine Vorautorisierungskennung (KV) ermittelt und zusammen mit der Kennung (KM) an das Nutzerendsystem (10) schickt.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß die Vorautorisierungskennung (KV) bei jedem Bezugsvorgang individuell gebildet wird.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Abwicklungszentrale (30) die Zeit vom Eingang der Kennung (KM) des Transaktionsmediums (2) bis zum Eingang eines Freigabesignales (B5) für den Datenaustausch zur Beitragseinforderung überwacht.
7. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Sicherheitsendgerät (14) die Zeit vom Absenden der Kennung (KM) des Transaktionsmediums (2) bis zum Beginn des Datenaustausches zur Beitragseinforderung überwacht.
8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Kennung (KM) des Transaktionsmediums (2) im Nutzerendsystem (10) gespeichert wird.
9. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die eine angeforderte Leistung von dem Diensteanbieter (40) nur geliefert wird, wenn der Abwicklungszentrale (30) zuvor die eingeforderte Leistung von dem Transaktionsmedium (2) zugegangen ist.
10. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß dem Nutzerendsystem (10) bei Auftreten eines Fehlers nach erfolgreicher Durchführung des Datenaustausches zur Einforderung des Beitrages des Transaktionsmediums (2) von der Abwicklungszentrale (30) eine provisorische Ladequittung übermittelt wird (B10), welche eine Information enthält, welche es erlaubt, den Fehler nachträglich zu reklamieren.
11. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Zuordnung einer angeforderten Leistung zu einem Nutzer (1) durch eine von dem Nutzerendsystem (10) an die Abwicklungszentrale (30) übermittelten Referenzinformation (RI) hergestellt wird.
12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, daß die Referenzinformation (RI) zusammen mit der Kennung (KM) des Transaktionsmediums (2) zur Bestätigung an das Nutzerendsystem (10) zurückgeschickt wird.
13. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Anforderung der Leistung beim Diensteanbieter (40) zunächst nur der Art nach erfolgt und erst der Abwicklungszentrale (30) gegenüber eine Zuordnung zu einem Nutzer (1) stattfindet.
14. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß bei Bezug einer dem Umfang nach skalierbaren Leistung diese beim Diensteanbieter (40) nur der Art nach angefordert wird und erst der Abwicklungszentrale (30) der Umfang mitgeteilt wird.
15. Abwicklungszentrale, die ein Transaktionsmodul zur Durchführung eines Datenaustausches mit einem Nutzerendsystem, ein Routermodul zur Einrichtung einer Datenverbindung zu einem Diensteanbieter, sowie ein Kompensationsmodul aufweist, dadurch gekennzeichnet, daß das Transaktionsmodul (32) in einer ersten Verfahrensphase eine Kennung (KM) des Nutzerendsystems (10) einholt und mit einer über ein Nutzerendsystem (10) angeforderten Leistung des Diensteanbieters (40) verknüpft, und anschließend das Kompensationsmodul (34) in einer zweiten Verfahrensphase unter Verwendung derselben Kennung (KM) einen für den Bezug der Leistung vorausgesetzten Beitrag eines Transaktionsmediums (2) von dem Nutzerendsystem (10) einfordert.
16. Verfahren zum Betrieb einer Abwicklungszentrale nach Anspruch 15, dadurch gekennzeichnet, daß das Transaktionsmodul (32) nach Erhalt des eingeforderten Beitrages vom Nutzerendsystem (10) den Diensteanbieter (40) auffordert, die angeforderte Leistung zu erbringen.
17. Verwendung eines Sicherheitsendgerätes, welches für die Durchführung eines manipulationssicheren Datenaustausches über ein Datennetz unter Zugriff auf ein Zahlungsmedium ausgebildet ist, in einem Verfahren zum Bezug einer über das Datennetz vertriebenen Leistung, dadurch gekennzeichnet, daß es in einer Vorverhandlungsphase eingesetzt wird, um eine Kennung (KM) von dem Transaktionsmedium (2) zu ermitteln und damit den Vorgang zur Bestellung der Leistung zu sichern, wobei in der nachfolgenden Transaktionsphase dieselbe Kennung (KM) genutzt wird, um die Erbringung eines notwendigen, für den Bezug der Leistung vorausgesetzten Beitrag in Gestalt bestimmter Daten durch das Transaktionsmedium (2) zu sichern.
18. Anordnung zur Ausführung eines Verfahrens nach Anspruch 1 mit einem Nutzerendsystem, einem Datennetz, einer Abwicklungszentrale sowie einem Diensteanbieter, dadurch gekennzeichnet, daß die Abwicklungszentrale (30) ein Transaktionsmodul (32) zur Durchführung der Bestellung der Leistung sowie ein Kompensationsmodul (34) zur Einforderung des von dem Transaktionsmedium (2) zu erbringenden Beitrages enthält.
19. Anordnung nach Anspruch 18, dadurch gekennzeichnet, daß das Nutzerendsystem (10) ein Sicherheitsendgerät (14) beinhaltet, welches die Ermittlung einer auf einem Transaktionsmedium (2) befindlichen Kennung (KM) erlaubt.
20. Anordnung nach Anspruch 18, dadurch gekennzeichnet, daß das Sicherheitsendgerät (14) über Speichermittel verfügt, um darin eine von einem Transaktionsmedium (2) ausgelesene Kennung (KM) zu speichern.
21. Anordnung nach Anspruch 18, dadurch gekennzeichnet, daß in der Abwicklungszentrale (30) die Funktionalitäten zur Durchführung des Bestellvorganges und zur Durchführung des Datenaustausches zur Beitragseinforderung in getrennten Modulen (32, 34) eingerichtet sind.
22. Sicherheitsendgerät zur Verwendung in einem Verfahren nach Anspruch 1, das eine Zugriffseinrichtung zum Zugriff auf ein Transaktionsmedium aufweist und das über eine Nutzernetzschnittstelle an ein Datennetz anschließbar ist, dadurch gekennzeichnet, daß es über eine Speichereinrichtung verfügt, in der es eine Information über einen von dem Transaktionsmedium (2) zu erbringenden Beitrag (LS) sowie eine Kennung (KM) des Transaktionsmediums (2) abspeichert.
DE10136414A 2001-07-26 2001-07-26 Verfahren zum Bezug einer über ein Datennetz angebotenen Leistung Withdrawn DE10136414A1 (de)

Priority Applications (8)

Application Number Priority Date Filing Date Title
DE10136414A DE10136414A1 (de) 2001-07-26 2001-07-26 Verfahren zum Bezug einer über ein Datennetz angebotenen Leistung
AU2002331280A AU2002331280A1 (en) 2001-07-26 2002-07-22 Method for paying for a service offered by means of a data network
EP02767245A EP1415285A2 (de) 2001-07-26 2002-07-22 Verfahren zum bezug einer über ein datennetz angebotenen leistung
JP2003517806A JP2004537814A (ja) 2001-07-26 2002-07-22 データ・ネットワークを介して提供されるサービスの取得方法
US10/484,498 US8595131B2 (en) 2001-07-26 2002-07-22 Method for paying for a service offered by means of a data network
RU2004105845/09A RU2296367C2 (ru) 2001-07-26 2002-07-22 Способ получения или приобретения услуги, предлагаемой через информационную сеть
PCT/EP2002/008163 WO2003012701A2 (de) 2001-07-26 2002-07-22 Verfahren zum bezug einer über ein datennetz angebotenen leistung
CNA028177320A CN1554079A (zh) 2001-07-26 2002-07-22 为借助于数据网络提供的服务付费的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10136414A DE10136414A1 (de) 2001-07-26 2001-07-26 Verfahren zum Bezug einer über ein Datennetz angebotenen Leistung

Publications (1)

Publication Number Publication Date
DE10136414A1 true DE10136414A1 (de) 2003-02-20

Family

ID=7693163

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10136414A Withdrawn DE10136414A1 (de) 2001-07-26 2001-07-26 Verfahren zum Bezug einer über ein Datennetz angebotenen Leistung

Country Status (8)

Country Link
US (1) US8595131B2 (de)
EP (1) EP1415285A2 (de)
JP (1) JP2004537814A (de)
CN (1) CN1554079A (de)
AU (1) AU2002331280A1 (de)
DE (1) DE10136414A1 (de)
RU (1) RU2296367C2 (de)
WO (1) WO2003012701A2 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT503263A2 (de) * 2006-02-27 2007-09-15 Bdc Edv Consulting Gmbh Vorrichtung zur erstellung digitaler signaturen
RU2414749C1 (ru) * 2008-08-08 2011-03-20 Вячеслав Олегович Долгих Персональный носитель данных
RU2388053C1 (ru) * 2008-11-06 2010-04-27 Александр Геннадьевич Рожков Способ проверки транзакций, автоматическая система для проверки транзакций и узел для проверки транзакций (варианты)
US8621212B2 (en) * 2009-12-22 2013-12-31 Infineon Technologies Ag Systems and methods for cryptographically enhanced automatic blacklist management and enforcement
US8468343B2 (en) * 2010-01-13 2013-06-18 Futurewei Technologies, Inc. System and method for securing wireless transmissions
US8630411B2 (en) 2011-02-17 2014-01-14 Infineon Technologies Ag Systems and methods for device and data authentication

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CH682700A5 (de) 1991-07-29 1993-10-29 Andreas Peiker Verfahren zum automatischen Verifizieren und Bestätigen von Aufträgen resp. Bestellungen.
US5715314A (en) * 1994-10-24 1998-02-03 Open Market, Inc. Network sales system
US5809143A (en) * 1995-12-12 1998-09-15 Hughes; Thomas S. Secure keyboard
SE512748C2 (sv) 1997-05-15 2000-05-08 Access Security Sweden Ab Förfarande, aktivt kort, system samt användning av aktivt kort för att genomföra en elektronisk transaktion
NO311468B1 (no) 1999-03-16 2001-11-26 Ilya Kruglenko Fremgangsmåte og system for sikker netthandel
US6873974B1 (en) * 1999-08-17 2005-03-29 Citibank, N.A. System and method for use of distributed electronic wallets
EP1218865B1 (de) 1999-09-24 2003-07-23 Robert Hodgson Vorrichtung und verfahren für sichere geldautomatdebitkarten- und kreditkartenzahlungstransaktionen über das internet
WO2001045008A1 (en) * 1999-12-16 2001-06-21 Debit.Net, Inc. Secure networked transaction system
IL133771A0 (en) 1999-12-28 2001-04-30 Regev Eyal Closed loop transaction
US20010047336A1 (en) * 2000-04-03 2001-11-29 Maycock Sidney M. Credit card management system
US6931382B2 (en) * 2001-01-24 2005-08-16 Cdck Corporation Payment instrument authorization technique
US20020178063A1 (en) * 2001-05-25 2002-11-28 Kelly Gravelle Community concept for payment using RF ID transponders
US20020188549A1 (en) * 2001-06-11 2002-12-12 Mark Nordlicht Selectable market transaction over a network

Also Published As

Publication number Publication date
RU2296367C2 (ru) 2007-03-27
JP2004537814A (ja) 2004-12-16
WO2003012701A2 (de) 2003-02-13
AU2002331280A1 (en) 2003-02-17
WO2003012701A3 (de) 2003-11-06
CN1554079A (zh) 2004-12-08
US20040243474A1 (en) 2004-12-02
EP1415285A2 (de) 2004-05-06
RU2004105845A (ru) 2005-06-10
US8595131B2 (en) 2013-11-26

Similar Documents

Publication Publication Date Title
DE69631706T2 (de) System zum Ermöglichen des Bestellens und Bezahlens von Dienstleistungen mittels eines Kommunikationsnetzwerkes
EP1240631B1 (de) Zahlungstransaktionsverfahren und zahlungstransaktionssystem
DE60200081T2 (de) Sichere Benutzer- und Datenauthenifizierung über ein Kommunikationsnetzwerk
DE60104411T2 (de) Verfahren zur übertragung einer zahlungsinformation zwischen einem endgerät und einer dritten vorrichtung
EP2415228B1 (de) Verfahren zum lesen von attributen aus einem id-token über eine mobilfunkverbindung
DE69838003T2 (de) Verfahren zum etablieren des vertrauenswürdigkeitgrades eines teilnehmers während einer kommunikationsverbindung
DE10212619A1 (de) Sichere Benutzerauthentisierung über ein Kommunikationsnetzwerk
DE29624480U1 (de) System zum Ermöglichen des Bestellens und Bezahlens von Dienstleistungen mittels eines Kommunikationsnetzwerkes
EP0970447B1 (de) Netzwerkunterstütztes chipkarten-transaktionsverfahren
DE60209809T2 (de) Verfahren zur digitalen unterschrift
WO2014079597A1 (de) Verfahren, vorrichtung und dienstleistungsmittel zur authentifizierung eines kunden für eine durch ein dienstleistungsmittel zu erbringende dienstleistung
EP1282087A1 (de) Verfahren zur Durchführung von Transaktionen von elektronischen Geldbeträgen zwischen Teilnehmerendgeräten eines Kommunikationsnetzes, Transaktionsserver und Programmmodul hierfür
DE10125017A1 (de) Verfahren zum Erbringen von Diensten in einem Datenübertragungsnetz und zugehörige Komponenten
DE10143876A1 (de) Blockierungs-Server
DE10213072A1 (de) Verfahren zum Betrieb eines einem Mobilfunknetz zugeordneten Abrechnungssystems zur Abrechnung einer kostenpflichtigen Benutzung von Daten und Datenübertragungsnetz
EP1326216A1 (de) Verfahren und Vorrichtung zur elektronischen Zahlung durch mobile Kommunikationsgeräte
DE10136414A1 (de) Verfahren zum Bezug einer über ein Datennetz angebotenen Leistung
DE102005062061B4 (de) Verfahren und Vorrichtung zum mobilfunknetzbasierten Zugriff auf in einem öffentlichen Datennetz bereitgestellten und eine Freigabe erfordernden Inhalten
EP2397960B1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem
EP1027801B1 (de) Verrechnungsverfahren in einem telekommunikationssystem
EP1047028A1 (de) Kommunikationssytem und Verfahren zur effizienten Durchführung von elektronischen Transaktionen in mobilen Kommunikationsnetzen
EP1274971A2 (de) Verfahren zur sicheren bezahlung von lieferungen und leistungen in offenen netzwerken
DE19913096A1 (de) Verfahren und Vorrichtung zur elektronischen Abwicklung von Kauf- und Verkaufshandlungen
WO2003070493A2 (de) Datenverarbeitungssystem und verfahren zur elektronischen zahlungsvermittlung
WO2002048978A2 (de) Verhahren und vorrichtung zur übertragung von elektronischen werteinheiten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0017600000

Ipc: G06Q0020020000

Effective date: 20121019

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130201