-
1. HINTERGRUND DER ERFINDUNG
-
1.1 GEBIET DER ERFINDUNG
-
Die
vorliegende Erfindung betrifft ein Verfahren und ein System, mit
dem Chipkarten-Anwendungen
in einem Chipkarten-Anwendungssystem, in dem die genannte Chipkarte
und das genannte Terminal mit Mitteln zur Überprüfung des Karteninhabers anhand
einer persönlichen
Identifikationszahl, nachfolgend als PIN bezeichnet, einer Chipkarten-ID und
einer Terminal-ID ausgestattet sind, komfortabel durchgeführt werden
können.
-
1.2 STAND DER TECHNIK, BESCHREIBUNG UND NACHTEILE
-
Ein
persönliches
Token, beispielsweise eine SmartCard oder eine Chipkarte, werden
in zahlreichen Anwendungen eingesetzt. Der Inhaber einer Chipkarte
kann seine persönliche
Chipkarte oft in einer Vielzahl von Host-Terminals einsetzen, um
eine oder mehrere gewünschte
Anwendungen ausführen zu
können.
In einer programmgesteuerten Interaktion mit dem Anwendungsprogramm
des Host beginnt die Ausführung
der gewünschten
Anwendung, nachdem eine sogenannte Card Holder Verification, also
eine Überprüfung des
Karteninhabers – nachfolgend
CHV genannt – stattgefunden
hat.
-
Ein
Karteninhaber wird nach dem Stand der Technik gewöhnlich dadurch überprüft, dass
er zur Eingabe seiner PIN aufgefordert wird. Hierbei handelt es
sich um einen Geheimcode, der nur zwischen dem Chipkartenspeicher
und dem Chipkarteninhaber ausgetauscht wird, und der beispielsweise
aus 4 Ziffern besteht. Entspricht die eingegebene PIN-Nummer der
auf der Chipkarte gespeicherten Zahl, ist der Chipkarteninhaber
erfolgreich überprüft.
-
Nach
dieser Überprüfung kann
das auf der Karte gespeicherte Programm oder das Anwendungsprogramm
auf dem Host, mit dem die Karte verbunden ist, auf einige der auf
der Chipkarte gespeicherten und durch den genannten Prüfungsmechanismus
geschützten
Daten zugreifen.
-
In
den bisherigen Systemen kann die CHV, je nach Anwendung, vorübergehend
von dem autorisierten User unterdrückt werden, wodurch die Chipkartenanwendung
von der CHV befreit ist. In diesem Fall können jedoch die Karte und die
auf ihr gespeicherten Daten von jeder Person, die sich im Besitz der
Karte befindet, uneingeschränkt
verwendet werden. Es besteht also immer eine 'statische' Assoziation zwischen den Datenobjekten
auf der Karte, auf die zugegriffen werden soll, und der CHV.
-
Einerseits
kann jede ungeschützte
Chipkarte sehr leicht von jeder dritten Person, die sich im Besitz der
Karte befindet, z. B. bei einem Diebstahl, missbraucht werden. Die
CHV ist also sehr nützlich.
-
Andererseits
kann die CHV jedoch sehr unbequem sein, besonders in den Fällen, in
denen ein Terminal verwendet wird, das sich in einer „vertrauenswürdigen” Umgebung
befindet, beispielsweise im Haus des Karteninhabers. Der Chipkartenbenutzer wird
hier durch wiederholte CHVs belästigt.
-
In
der deutschen Offenlegungsschrift
DE-19813206 A1 wird eine chipkartengestützte, multifunktionale
Kommunikationseinrichtung für
Verbraucher, Handel etc. offenbart. Das dort offenbarte System ist
sehr komplex und deckt den Informationsbedarf der unterschiedlichsten
Interessenlagen im Markt in universellem Umfang. Dieses offene und komplexe
Chipkartenanwendungssystem ist deshalb nicht am Terminal installiert,
sondern ein über
Netzwerk verbundenes, komplexes Verwaltungssystem. In
DE-19813206 A1 wird aber
keine erfindungsgemäße Anpassung
des Sicherheitsmechanismus auf eine „vertrauenswürdige” Umgebung,
sondern lediglich eine Anpassung der Sicherheitsüberprüfung auf die Art der Chipkartenanwendung
offenbart.
-
In
der europäischen
Patentschrift
EP-0752143
B1 werden biometrische Personenauthentifizierungssysteme
offenbart, wobei es sich um die Identifizierung von Personen und
andererseits um biometrische Daten wie beispielsweise Fingerabdrücke handelt.
Dabei wird wahlweise eine zusätzliche
Authentifizierung von biometrischen Daten zur Vermeidung von einer
fehlerhaften Authentifizierung bereitgestellt, wobei mehrere biometrische
Parameter verglichen werden.
-
Eine
Belästigung
des Karteninhabers in einer „vertrauenswürdigen” Umgebung
durch wiederholte CHVs wird mit den in
EP-0752143 B1 offenbarten
Systemen nicht vermieden.
-
In
der deutschen Patentschrift
DE-3736190 A1 ist
ein System und Verfahren zur Steuerung des Zugriffs auf Chipkarten,
zu denen jeweils mehrere Benutzer Zugriff haben, offenbart. Dabei
wird zur Nachrichtenübermittlung
eine Chipkarte zwischen einer Zentrale als Systemverwaltung und
dem Ort eines externen Terminals per Post hin- und hergeschickt.
Zur Sicherung der Chipkartenanwendung dienen auf der Karte gespeicherte
Terminal-ID, Benutzerkennnummern sowie eine Systemverwaltungskennnummer,
deren Richtigkeit die Chipkarte selbst prüft.
-
Auch
das in
DE-3736190A1 offenbarte
System und Verfahren erspart den Karteninhabern in einer „vertrauenswürdigen” Umgebung
nicht eine wiederholte CHV für
den Start des Betriebes einer Chipkartenanwendung.
-
1.3 AUFGABEN DER ERFINDUNG
-
Es
ist also Aufgabe der vorliegenden Erfindung, ein Verfahren und ein
System für
den Betrieb von Chipkartenanwendungen bereitzustellen, ein Verfahren
bei dem die CHV an bestimmten Terminals entfallen kann.
-
2. ZUSAMMENFASSUNG UND VORTEILE DER ERFINDUNG
-
Diese
Aufgabe der Erfindung wird erfüllt durch
die in den beigefügten
Nebenansprüchen
genannten Merkmale. Weitere vorteilhafte Anordnungen und Ausführungsbeispiele
der Erfindung werden in den jeweiligen Unteransprüchen dargelegt.
-
Entsprechend
den Grundprinzipien der vorliegenden Erfindung wird vorgeschlagen,
mindestens ein Terminalgerät
in einer vertrauenswürdigen
Umgebung für
eine im Gebrauch befindliche Chipkarte zu definieren, mit dem ein
CHV-Dialog unterdrückt
wird und eine CHV innerhalb des Systems und für den User unbemerkt durchgeführt wird.
Alternativ kann die CHV auch intern im System unterdrückt werden. Mit
der Erfindung gibt es grundsätzlich
zwei verschiedene Möglichkeiten,
um dies zu erreichen.
-
Zum
einen wird die Chipkarte dem User-Terminal in einer vertrauenswürdigen Umgebung
(dem Terminal zuhause) mit einer eindeutigen ID des genannten Terminals
zugeordnet. Dieser Schritt wird in der weiteren Beschreibung als 'Assoziation' zwischen Chipkarte
und Terminal bezeichnet. Wenn die Chipkarte später in ein beliebiges anderes
Terminal eingeführt
wird, erhält
die Chipkarten-Anwendung die Terminal-ID von dem Terminal und vergleicht
sie mit ihrer eigenen Terminal-ID, die auf der Chipkarte gespeichert
ist. Wenn beide zusammenpassen, wird das Terminal als vertrauenswürdig betrachtet
und fordert den User nicht zur Eingabe seiner PIN auf, gibt jedoch
diese Information für
den User und für
ihn verdeckt an die Chipkarte weiter.
-
Zum
anderen ist die Chipkarte dem Home-Terminal zugeordnet, wodurch
die eindeutige ID der Chipkarte in dem Terminal gespeichert wird. Wenn
die Chipkarte in ein beliebiges Terminal eingeführt wird, liest das Terminal
die ID der Chipkarte und vergleicht sie mit der in dem Terminal
gespeicherten ID. Wenn die ID dem Terminal bekannt ist, fordert
dieses den User nicht zur Eingabe seiner PIN auf, sondern gibt diese
Information für
den User an die Chipkarte weiter.
-
Entsprechend
einem vorteilhaften Aspekt der vorliegenden Erfindung wird vorgeschlagen,
das Terminalgerät
mit einer Speichereinheit auszurüsten, beispielsweise
einem Vektor oder einem Array, in der eine Vielzahl von aus einer
Chipkarten-ID und einem PIN bestehenden Paarungen gespeichert werden können. Hiermit
kann eine Vielzahl von Usern zugeordnet werden, die jeweils über eine
Chipkarte verfügen,
wenn diese ein gemeinsames vertrauenswürdiges Terminal benutzen möchten.
-
Weiter
kann, entsprechend einem weiteren vorteilhaften Aspekt der vorliegenden
Erfindung, die Chipkarte mit einer Speichereinheit ausgestattet sein,
beispielsweise einem Vektor, in der eine Vielzahl von Terminal-IDs
gespeichert werden können. Hierdurch
ist es möglich,
eine Vielzahl von vertrauenswürdigen
Terminals mit derselben Chipkarte zu benutzen. Dies hat besondere
Vorteile bei Chipkarten für
mehrere Zwecke bzw. mehrere Anwendungen, d. h., wenn für die verschiedenen,
auf der Chipkarte gespeicherten Anwendungen unterschiedliche Terminals
benutzt werden.
-
Entsprechend
einem weiteren Aspekt der vorliegenden Erfindung wird vorgeschlagen,
wieder löschbare
und erneuerbare Assoziationen zwischen Chipkarten-ID und PIN herzustellen.
Das Terminal löscht
eine Assoziation zwischen einer Chipkarten-ID und einer PIN und
prüft die
PIN erneut, wenn die Chipkarte einen Fehlercode ausgegeben hat,
nachdem sie eine PIN erhalten hat, die zusammen mit einer bestimmten
Chipkarten-ID gespeichert war, d. h., wenn die PIN nicht der PIN
entspricht, die in dem Vektor auf dem Terminal gespeichert ist.
Dieses Merkmal kann relevant sein, wenn die PIN der Chipkarte in
einem Dialog mit einem anderen Terminal geändert wurde. Hiermit kann vermieden
werden, dass eine Chipkarte durch wiederholtes Einführen in
ein Terminal und der damit verbundenen Übertragung einer falschen PIN
an das Terminal gesperrt wird. Desweiteren kann ein User in Verbindung
mit dem vertrauenswürdigen
Terminal eine neue PIN erzeugen, wenn er die alte PIN vergessen
hatte.
-
Es
ist vorteilhaft, nur ID-Paare in dem genannten Chipkartenvektor
oder dem genannten Terminalvektor zu speichern, anstatt eine PIN
ohne zugeordnete Geräte-ID, entweder
der Chipkarte oder des Terminals, zu speichern. Hierdurch wird der Steuerungsfluss
der vorgeschlagenen Methode vereinfacht.
-
Des
weiteren kann es von Vorteil sein, die erste Assoziation zwischen
der Terminal-ID und der Chipkarten-ID durch Steuermittel zu steuern,
die über
das Netzwerk, an welches das Terminal angeschlossen werden kann,
bereitgestellt werden. Der Kartenaussteller hat dadurch die Möglichkeit,
bestimmte Terminal-Chipkarten-Kombinationen aus dem Netz auszuschließen, beispielsweise
wenn die Sicherheit kompromitiert wurde.
-
3. KURZE BESCHREIBUNG DER
ZEICHNUNGEN
-
Die
vorliegende Erfindung wird mit Hilfe eines Beispiels beschrieben
und ist nicht beschränkt durch
die Form der Figuren der beiliegenden Zeichnungen. Es zeigt:
-
1 eine
schematische Darstellung eines Chipkarten-Anwendungssystems, das die wesentlichen
Datenobjekte und Entitäten
zeigt, die an der Erfindungsmethode beteiligt sind;
-
2 eine
schematische Darstellung, welche die wesentlichen Schritte des Steuerungsflusses während der
Erfindungsmethode der CHV-Dialogunterdrückung entsprechend dem grundlegenden
Konzept der Erfindung zeigt; und
-
3 eine
schematische Darstellung, welche die wesentlichen Schritte des Steuerungsflusses während der
Erfindungsmethode entsprechend einem weiteren vorteilhaften Aspekt
der vorliegenden Erfindung zeigt, nämlich die Fähigkeit, eine Chipkarte einem
Terminal neu zuzuordnen;
-
4 eine
schematische Darstellung eines Dialogs zwischen Terminal und Chipkarte
während der
ersten Assoziation zwischen der Chipkarten-ID und der Terminal-ID.
-
4. BESCHREIBUNG DES BEVORZUGTEN
AUSFÜHRUNGSBEISPIELS
-
Unter
allgemeiner Bezugnahme auf die Figuren und besonderer Bezugnahme
auf 1 werden die wesentlichen Speicherstrukturen der
Erfindungsmethode im folgenden beschrieben.
-
Eine
Chipkarte 10 wird gezeigt, die in ein Terminal 12 eingeführt wird.
In diesem exemplarischen Ausführungsbeispiel
ist das Terminalgerät
ein Bildschirmtelefon, d. h. eine Telefoneinrichtung, mit der zusätzlich Daten
für den
Zugang zum Internet angezeigt und eingegeben werden können. Die
spezielle Anwendungsart ist jedoch für die Beschreibung der vorliegenden
Erfindung nicht von primärem
Interesse.
-
Auf
der Chipkarte befindet sich ein Speicherfeld 14, in dem
die ID der Chipkarte gespeichert ist. In einem weiteren Feld ist
die PIN gespeichert. Da es sich bei der Chipkarte in 1 um
eine Chipkarte für mehrere
Anwendungen handelt, werden zwei Speicherbereiche, 18 und 20,
dargestellt, in denen die Anwendungen 1 und 2 gespeichert sind.
-
Das
Bildschirmtelefon 12 umfasst einen Speicherbereich 22,
der als Array oder als Vektor organisiert ist, um N Wertpaare von
Chipkarten-IDs und zugehörigen
PINs zu speichern. Jedes Paar ist in einer Reihe des Vektors dargestellt.
Weiter wird ein Speicherfeld 15 bereitgestellt, in dem
die eindeutige Terminal-ID gespeichert ist. Ein logischer Verarbeitungsschaltkreis 26,
der auf alle Speicherfelder zugreifen kann und mit dem die Interaktion
zwischen dem Bildschirmtelefon 12 und der Chipkarte 10 abgewickelt
wird, die für
die Ausführung
einer bestimmten Chipkartenanwendung erforderlich ist, ist schematisch
dargestellt.
-
In
dem in 1 dargestellten Fall soll die in dem Feld 18 gespeicherte
Anwendung 1 Teil der genannten Chipkartenanwendung für das Bildschirmtelefon
sein.
-
Die
Methode der Erfindung zum Betrieb der genannten Chipkartenanwendung
wird unter Bezugnahme auf die zweite oben erwähnte Alternative und unter
Hinweis auf 2 ausführlicher beschrieben. Bevor
die dort dargestellten Schritte ausgeführt werden können, muss
die Chipkarte 10, die einem bestimmten User X, dem Chipkarteninhaber,
gehört,
im Sinne der vorliegenden Erfindung initialisiert werden. Dies bedeutet,
dass die Chipkarte mindestens einem bevorzugten Terminal zugeordnet
werden muss, dem sogenannten 'vertrauenswürdigen' Terminal. Dieses Terminal
befindet sich in einer sicheren Umgebung, und zwar sicher in dem
Sinne, dass ein Missbrauch der Chipkarte während einer Chipkartenanwendung nicht
als realistisch betrachtet werden muss. Eine solche Umgebung kann
beispielsweise die häusliche Umgebung
des Users X sein.
-
Die
grundlegenden Schritte und der für
diese Erst-Assoziation erforderliche Informationsaustausch sind
in 4 schematisch dargestellt. Die Abkürzung 'MMI' bedeutet Mensch-Maschine-Interface.
-
Die
Chipkarte wird zunächst
in das Terminal eingeführt.
-
Anschließend wird
das in dem Terminal gespeicherte Anwendungsprogramm gestartet und
die Terminal-ID wird vom Terminal an die Chipkarte übertragen,
Schritt 410. Falls die Chipkarte mit dem Terminal nicht
kompatibel ist, was man anhand der Terminal-ID erkennen kann, kann
die Chipkarte zurückgewiesen
und eine weitere Bearbeitung beendet werden.
-
Wenn
die Chipkarte von dem Terminal akzeptiert wurde, wird im nächsten Schritt, 420,
die Chipkarten-ID 14 von der Chipkarte in den Prozessor 20 des
Terminals eingelesen. Wie bereits unter Bezugnahme auf 1 beschrieben
wurde, sind in dem Terminal eine Vielzahl von Chipkarten-IDs mit
den jeweiligen PINs gespeichert, die für die mit der vorliegenden
Erfindung beabsichtigte komfortable Chipkartennutzung akzeptiert
werden.
-
Die
tatsächlich
von der Chipkarte abgelesene Chipkarten-ID wird jetzt mit den im
Speichervektor 22 des Terminals gespeicherten Chipkarten-IDs
verglichen. Da dieser Vektor ursprünglich leer ist oder zumindest
nicht mit der Chipkarten-ID
des Users X gefüllt
ist, wird bei einem Vergleich keine übereinstimmende ID gefunden
und der User wird aufgefordert, seine PIN einzugeben. Nach den bisherigen, nach
dem Stand der Technik wiederholten Eingaben und Überprüfungen – Schritte 430, 440 – wird der User
von dem Terminalprogramm gefragt, ob er die PIN zusammen mit der
Chipkarten-ID in dem Bildschirmtelefon speichern möchte. Der
User gibt dann seine PIN ein und nach einer Überprüfung wird das ID-Paar, das
aus der Chipkarten-ID des Users X und der PIN des Users X besteht,
an einer Stelle des Speichervektors 22 gespeichert, die
bisher in dem Terminal noch nicht benutzt wurde. Die erste Assoziation
zwischen einer Chipkarten-ID und einer Terminal-ID ist damit abgeschlossen.
-
Anhand
von 2 soll jetzt die komfortable Betriebsmöglichkeit
der Erfindung beschrieben werden. Der User X möchte die Chipkartenanwendung starten,
führt seine
Chipkarte in das Bildschirmtelefon ein und die Chipkarten-ID, zusammen
mit einer optionalen Information über den Chipkarten-User, z. B. der Name
des Users, wird von der Chipkarte in den Terminalprozessor eingelesen,
Schritt 210.
-
In
einem nächsten
Schritt, 220, wird die genannte Chipkarten-ID mit den in dem
Vektor 22 gespeicherten Chipkarten-IDs verglichen. Wenn
in dem Speicher die Chipkarten-ID zusammen mit einer PIN gefunden
wird, wird diese gespeicherte PIN von dem Terminal an die Chipkarte
gesendet, Schritt 230. Der Chipkartenprozessor prüft, ob die
genannte PIN in Ordnung ist, oder nicht. Falls sie in Ordnung ist,
kann der User seine Chipkarte benutzen, ohne seine PIN eingeben
zu müssen,
Schritt 240, wie es von der Methode der Erfindung beabsichtigt
war.
-
Für den Fall,
dass bei der Überprüfung der PIN
durch die Chipkarte festgestellt wird, dass die PIN nicht korrekt
ist, und für
den Fall, dass in dem früheren
Schritt 220 kein zusammengehöriges Paar aus einer Chipkarten-ID
und einer PIN gefunden wurde, wird der User gebeten, seine PIN einzugeben,
Schritt 250. Dann gibt der User seine PIN ein und das Terminal
sendet die PIN zurück
an die Chipkarte, Schritt 260.
-
Der
Chipkartenprozessor vergleicht die frisch eingegebene PIN mit der
PIN, die in dem in 1 dargestellten PIN-Feld 16 gespeichert
ist. Wenn die beiden PINs nicht identisch sind, wird der User aufgefordert,
seine Eingabe zu wiederholen. Er hat hierzu beispielsweise drei
Versuche.
-
Wenn
die eingegebene PIN mit der auf der Chipkarte gespeicherten PIN
identisch ist, wird der User gefragt, ob er die PIN in dem Terminal
speichern möchte,
damit Terminal und Karte zur späteren
Verwendung zugeordnet werden können,
Schritt 270. Siehe auch 4. Falls
der User dies wünscht,
wird das aus der Chipkarten-ID und der PIN bestehende Kennungspaar
in dem Vektor 22 an einer freien Stelle gespeichert, Schritt 280.
-
Wenn
der User die PIN nicht in dem Vektor speichern möchte, entfällt der oben genannte Schritt 280 und
die Chipkarte kann für
die gewünschte
Chipkartenanwendung vom User verwendet werden.
-
Wie
auf der Zeichnung zu erkennen ist, ist die kurze und einfache Möglichkeit,
den Karteninhaber-Überprüfungsdialog
zu unterdrücken,
auf der linken Seite des Diagramms dargestellt. Der Weg verläuft gerade
von oben nach unten, wobei die Schritte 210, 220, 230 und 240 nacheinander
ausgeführt
werden. Der User X muss seine PIN nicht eingeben, da er das vertrauenswürdige Terminal
für seine
Chipkartenanwendung gewählt
hat.
-
Wenn
der User X ein anderes Terminal gewählt hätte, das sich an einem Ort
befindet, der beispielsweise für
die Öffentlichkeit
zugänglich
ist und der nicht als 'vertrauenswürdig' gilt, würde sich
aus dem Such- und Vergleichsschritt 220 ergeben, dass die
PIN nicht in dem Vektor gespeichert ist. Der User müsste dann
also seine PIN eingeben.
-
Unter
Bezugnahme auf 3 wird ein weiterer vorteilhafter Aspekt
der vorliegenden Erfindung ausführlicher
beschrieben, durch den der User in die Lage versetzt wird, eine
bestehende Assoziation zwischen einer Chipkarten-ID und einer PIN
zu löschen, und
sie durch eine neue Assoziation zu ersetzen. Wie man aus der ausführlichen
nun folgenden Beschreibung entnehmen kann, funktioniert dieses Verfahren auch
dann, wenn der User seine alte PIN vergessen hat, weil er aus der
Tatsache Nutzen ziehen kann, dass die PIN nicht für die Eingabe
an seinem vertrauenswürdigen
Terminal erforderlich ist.
-
In
einem ersten Schritt 305 führt der User X seine Chipkarte
in den Chipkartenleser des Terminals ein, woraufhin die Chipkarten-ID
von dem Anwendungsprozessor des Terminals gelesen wird.
-
Zusätzlich und
optional wird von der Karte auch eine weitere User-Information,
beispielsweise der Name des Users, gelesen, um anstelle des Chipkarten-ID
dem User den User-Namen anzuzeigen.
-
In
einem nächsten
Schritt 310 wird die Chipkarten-ID in dem Vektor 22 gesucht,
wie weiter oben unter Bezugnahme auf 2 beschrieben
wird. Falls die Chipkarten-ID mit einer zugehörigen PIN gespeichert ist,
wird ein Dialog gestartet, in dem der User die neue PIN eingeben
kann, Schritt 315. Die neue und die alte PIN werden dann
von dem Terminalprozessor an die Chipkarte gesendet, um die alte
PIN mit dem auf der Chipkarte gespeicherten Wert zu vergleichen,
Schritt 320.
-
Falls
die alte PIN mit dem auf der Chipkarte gespeicherten Wert identisch
war, wird das zugehörige
Paar aus einer Chipkarten-ID und einer PIN mit der neuen PIN in
dem Vektor 22 überschrieben, Schritt 325.
Die PIN-Änderungsprozedur
ist hiermit abgeschlossen.
-
Wenn
die alte PIN nicht mit der auf der Chipkarte gespeicherten PIN identisch
ist, wird ein Dialog gestartet, in dem der User die alte PIN und
anschließend
die neue PIN eingeben kann, Schritt 330.
-
In
Schritt 335 werden dann die PIN-Änderungsbefehle, die aus der
alten PIN und der neuen PIN bestehen, an die Chipkarte übersandt,
wo die Identität
der alten PIN überprüft wird,
wie weiter oben beschrieben.
-
Falls
die Chipkarte die Aktualisierung der PIN akzeptiert hat, wird der
User aufgefordert, eine Speicherung der neuen PIN zusammen mit der
Chipkarten-ID zu akzeptieren, Schritt 340. Falls die Speicherung
gewünscht
wird, wird die Chipkarten-ID zusammen mit dem neuen PIN in dem Vektor 22 gespeichert,
Schritt 345, während
die Prozedur ohne Speicherung beendet wird, wenn dies nicht gewünscht wird.
-
Falls
sich aus der Identitätsprüfung der
alten PIN, die im Anschluss an den weiter oben beschriebenen Schritt 335 durchgeführt wurde,
ergibt, dass die alte PIN nicht mit der neuen PIN identisch ist, kann
dem User nicht die Speicherung der neuen PIN angeboten werden.
-
Stattdessen
wird der User erneut zur Eingabe der alten PIN und anschließend der
neuen PIN aufgefordert, wie unter Bezugnahme auf Schritt 330 beschrieben
wurde. Der Steuerungsvorgang wird dann wie oben beschrieben fortgesetzt,
wobei der User eine begrenzte Anzahl von Neuversuchen hat.
-
Wenn
in Schritt 310 festgestellt wird, dass sich die Chipkarten-ID
unter den Paarsequenzen befindet, kann der User vorteilhafterweise
dieselbe Prozedur zur Erstellung eines neuen Paares aus Chipkarten-ID
und PIN in dem Vektor 22 anwenden, wie in 2.
Dieser Schritt ist jedoch in diesem Kontext optional.
-
Es
sei hier darauf hingewiesen, dass es normalerweise in Schritt 315 nicht
erforderlich ist, dass der User die alte PIN eingibt, wenn er für die beschriebene
Prozedur das vertrauenswürdige
Terminal verwendet. Bei einem nicht vertrauenswürdigen Terminal muss der User
dagegen sowohl die alte als auch die neue PIN eingeben.
-
Dieses
Merkmal der Erfindung kann von einem User vorteilhaft in regelmäßigen Abständen aus Sicherheitsgründen ausgeführt werden,
oder wenn der Verdacht besteht, dass seine PIN Dritten bekannt geworden
ist.
-
Die
oben beschriebene Konfiguration kann natürlich modifiziert werden und
weitere zusätzliche und
andere Merkmale umfassen. Beispielsweise kann ein ähnlicher
Mechanismus, wie er oben beschrieben wird, ausgeführt werden,
wobei die Geräte-ID
des Terminals auf der Chipkarte gespeichert wird, anstatt die Chipkarten-ID
in dem Terminal zu speichern.
-
Die
Frage, wo man die logischen Schaltkreise des Programms, das die
in 2 und 3 beschriebenen Schritte ausführt, unterbringen
soll, hängt
grundsätzlich
von der jeweils verwendeten Chipkartenanwendung ab. Normalerweise
befindet sich die genannte Logik auf der Seite des Terminals, weil
das Terminal die Chipkarte im allgemeinen dominiert. Es gibt jedoch
auch spezielle Fälle
von Chipkartenanwendungen, beispielsweise Chipkarten in einem Mobiltelefon – die sogenannten
SIM, d. h. Subscriber Identity Module – bei denen eine auf der Chipkarte,
in diesem Falle der SIM, untergebrachte Programmlogik spezielle
Vorteile haben kann. In diesen Fällen
wird die SIM-Karte von dem Mobiltelefon zyklisch abgefragt, um die
oben beschriebenen Schritte auszuführen.
-
Wenn
die Logik auf dem SIM-Chip und in dem mobilen Telefon implementiert
wird, ist das Telefon konfigurierbar, so dass es nur mit der jeweiligen SIM-Karte
des Users X eingesetzt werden kann. Um dies zu erreichen, müsste das
Mobiltelefon mit einem Dialog initialisiert werden, in dem die ID
der SIM-Karte dem Prozessor des Mobiltelefons bekannt gegeben wird,
der die Funktion des oben beschriebenen Terminalprozessors hat,
und die SIM-Karten-ID müsste
in einem Speicherbereich im Prozessor des mobilen Telefons gespeichert
werden. Mit diesem Merkmal kann also beispielsweise der Diebstahl
eines Mobiltelefons unattraktiv gemacht werden, weil das Mobiltelefon
nicht mit der SIM-Karte einer anderen Person betrieben werden kann.
-
Wie
man aus der obigen Beschreibung erkennen kann, können die Merkmale der Erfindung sehr
einfach implementiert werden.
-
Die
oben beschriebene Unterdrückungsmethode
kann auch in anderen Umgebungen vorteilhaft eingesetzt werden. Ein
Beispiel wären
Umgebungen, zu denen der Zugang auf andere Weise kontrolliert wird,
beispielsweise durch einen Sicherheitsmechanismus, der mit den Türen des
Raums verbunden ist, in dem sich das fragliche Terminalgerät befindet.
-
In
der obigen Spezifikation wurde die Erfindung unter Bezugnahme auf
ein spezifisches exemplarisches Ausführungsbeispiel der Erfindung
beschrieben. Es dürfte
jedoch offensichtlich sein, dass hieran verschiedene Modifizierungen
und Änderungen
vorgenommen werden können,
ohne insgesamt vom Erfindungsgedanken und Umfang der Erfindung,
wie er in den Ansprüchen
im Anhang dargelegt wird, abzuweichen. Die Spezifikation und die
Zeichnungen sind dementsprechend nicht als Einschränkung, sondern
vielmehr als Anschauungsbeispiele zu betrachten.
-
Die
vorliegende Erfindung kann in der Hardware, in der Software oder
einer Kombination aus Hard- und Software realisiert werden. Jede
Art von Computersystem oder andere Vorrichtung, mit der die hierin
beschriebenen Methoden ausgeführt
werden können,
ist geeignet. Eine typische Kombination aus Hardware und Software
könnte
ein Terminalrechnersystem sein, mit einem Computerprogramm, das, wenn
es geladen und ausgeführt
wird, das Computersystem so steuert, dass es die hierin beschriebenen
Methoden ausführt.
Das gleiche gilt z. B. für
auf einer Chipkarte gespeicherte JAVA-Applets.
-
Die
vorliegende Erfindung kann auch in ein Computerprogrammprodukt eingebettet
sein, das alle Merkmale umfasst, welche die Implementierung der
hierin beschriebenen Methoden ermöglichen, und die – wenn sie
in ein Computersystem geladen werden – diese Methoden ausführen können.
-
Computerprogrammmittel
oder Computerprogramm im vorliegenden Kontext ist jeder Ausdruck,
in jeder Sprache, jedem Code oder jeder Notation, einer Gruppe von
Befehlen, die dazu dienen, bei einem System mit Informationsverarbeitungsfähigkeit
eine bestimmte Funktion auszuführen,
entweder direkt oder nach einem oder beiden der folgenden Vorgänge:
- a) nach Umwandlung in eine andere Sprache,
einen anderen Code oder eine andere Notation;
- b) Wiedergabe in einer anderen Materialform.