DE19626339A1 - Sicheres Laden von Anwendungen und Daten auf Chipkarten - Google Patents

Sicheres Laden von Anwendungen und Daten auf Chipkarten

Info

Publication number
DE19626339A1
DE19626339A1 DE19626339A DE19626339A DE19626339A1 DE 19626339 A1 DE19626339 A1 DE 19626339A1 DE 19626339 A DE19626339 A DE 19626339A DE 19626339 A DE19626339 A DE 19626339A DE 19626339 A1 DE19626339 A1 DE 19626339A1
Authority
DE
Germany
Prior art keywords
command
file structure
identifier
backup
area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE19626339A
Other languages
English (en)
Inventor
Walter Dipl Phys Haenel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to DE19626339A priority Critical patent/DE19626339A1/de
Priority to GB9712374A priority patent/GB2314948B/en
Priority to PL97320722A priority patent/PL184155B1/pl
Priority to HU9701130A priority patent/HUP9701130A3/hu
Priority to US08/884,786 priority patent/US6145080A/en
Priority to JP9173538A priority patent/JPH10171716A/ja
Publication of DE19626339A1 publication Critical patent/DE19626339A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Description

Die Erfindung betrifft das sichere Einbringen von Anwendungen und/oder Daten auf einer Chipkarte, die einen Speicher mit einer Dateistruktur aufweist, wobei bei dem Verfahren mittels mindestens einem Kommando eine veränderte Dateistruktur in dem Speicher erzeugt wird und/oder Daten aus dem Speicher gelesen werden und/oder Daten in den Speicher geschrieben werden.
Seit Mitte der achtziger Jahre finden Chipkarten in immer mehr Bereichen des täglichen Lebens Anwendung. Dieser Erfolg der Chipkarten beruht im wesentlichen auf ihrer hohen Manipulationssicherheit und ihrer Zuverlässigkeit. Desweiteren gewährleistet die Chiptechnologie eine große Flexibilität für eine Vielzahl von Anwendungen.
Die Herstellung einer Chipkarte bis zum Zeitpunkt, zu dem sie an einen Benutzer ausgegeben werden kann, ist in Rankl/Effing: Handbuch der Chipkarten, Karl Hanser Verlag, 1996 beschrieben. Nachdem ein Modul mit dem Halbleiterchip in die Karte eingebetet wurde, werden anschließend globale Daten und persönliche Daten des zukünftigen Kartenbenutzers auf der Chipkarte eingebracht. Hierbei werden vom Herausgeber der Chipkarte immer häufiger mehrere Anwendungen gleichzeitig auf der Chipkarte eingebracht.
Die innere Struktur der Chipkarte folgt im wesentlichen der Norm ISO 7816-4. Üblicherweise sind die Daten die zu einer Anwendung gehören in Dateien untergebracht, welche sich in einem Anwendungsverzeichnis befinden. Die Dateien und Anwendungsverzeichnisse werden von dem Kartenherausgeber auf der Chipkarte eingebracht. Soll nun von einem Anwendungsanbieter eine neue Anwendung auf eine bereits herausgegebene Chipkarte aufgebracht werden, so ist dem Sicherungssystem der Chipkarte besondere Aufmerksamkeit zu widmen. Dies gilt insbesondere, wenn es sich um Anwendungen handelt, welche sich nicht unter der Kontrolle des Kartenherausgebers befinden.
Unterstellt man dem Anwendungsanbieter ein Interesse, Daten des Herausgebers oder anderer Anwendungsanbieter auszuspionieren oder deren Sicherungssysteme, insbesondere kryptografische Schlüssel, zu benutzen, so besteht die Aufgabe, dieses Ausspionieren durch den Anwendungsanbieter zu verhindern.
Bei einem bekannten Verfahren werden Kommandos, welche zur Erzeugung von Dateien und Anwendungsverzeichnissen auf der Chipkarte verwendet werden können, vom Herausgeber der Chipkarte zertifiziert. Dies geschieht z. B. durch Anhängen eines MAC - Message Authentication Code. Hierbei wird mit Hilfe eines kryptografischen Schlüssels des Herausgebers ein individueller MAC des zu benutzenden Kommandos berechnet und an das Kommando angehängt. Ausgeführt wird dieses Verfahren von einer kryptografischen Anlage, die dem Anwendungsanbieter von dem Herausgeber zu Verfügung gestellt wird. Die Anlage bringt das Kommando in die von der Chipkarte akzeptierte Form.
Nachteil dieses bekannten Verfahrens ist es, daß das von der kryptografischen Anlage erzeugte Kommando noch in einem Verzeichnis verwendet werden kann, in welchem seine Benutzung nicht vorgesehen ist. Dies ist möglich, da sich die Kommandos auf vorausgehende Selektionskommandos verlassen, welche in ihrem Zugriff auf verschiedene Verzeichnisse nicht begrenzt sind. Es könnten so Daten und/oder kryptografische Schlüssel des Herausgebers oder anderer Anwendungsanbieter überschrieben oder verändert werden.
Es besteht ein weiteres Problem, wenn Anwendungen von einem Anwendungsanbieter nachträglich auf einer bereits herausgegebenen Chipkarte eingebracht werden sollen. Erlaubt es der Herausgeber dem Anwendungsanbieter neue Dateien zu erzeugen, kann dies vom Anwendungsanbieter ausgenutzt werden, um kryptografische Schlüssel auszuspionieren. Beim Erzeugen von neuen Dateien und den dazugehörenden Zugriffsrechten, ist es möglich, die Zugriffsrechte so zu setzen, daß beim Lesen von Daten aus der Datei und/oder dem Schreiben von Daten in die Datei der kryptografische Schlüssel des Herausgebers referenziert wird. Hierdurch kann der Herausgeber der Chipkarte als Absender von Daten vorgetäuscht werden, die aber tatsächlich dem Anwendungsanbieter zuzurechnen sind.
Es ist deshalb die Aufgabe der vorliegenden Erfindung, eine Möglichkeit zum sicheren Einbringen von Anwendungen in eine bereits herausgegebene Chipkarte zu schaffen.
Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß das Kommando nur in mindestens einem Teilbereich einer Gesamtdateistruktur verwendet wird, wobei die Dateistruktur und die veränderte Dateistruktur von der Gesamtdateistruktur umfaßt werden.
Der wesentliche Vorteil, welcher mit der Erfindung gegenüber dem Stand der Technik erreicht wird, ist die Gewährleistung des sicheren Einbringens einer Vielzahl verschiedener Anwendungen auf einer bereits herausgegebenen Chipkarte, wobei die Anwendungen von unabhängigen Anwendungsanbietern eingebracht werden können. Jeder Anwendungsanbieter kann die ihm durch den Herausgeber zertifizierten Kommandos nur einer bestimmten Umgebung auf der Chipkarte benutzen und hat somit keine Möglichkeit des Zugriffs auf Teilbereiche des Speichers der Chipkarte, die anderen Anwendungsanbietern oder ausschließlich dem Herausgeber vorbehalten sind.
Ein weiterer Vorteil der Erfindung besteht darin, daß mittels der Beschränkung der Benutzbarkeit der kryptografischen Schlüssel deren Benutzung vom Herausgeber der Chipkarte kontrollierbar ist.
Bei einer zweckmäßigen Ausführung der Erfindung wird mindestens eine Sicherung, insbesondere ein kryptografischer Schlüssel und/oder ein Paßwort, benutzt. Mit Hilfe der Verwendung von derartigen Sicherungen wird gewährleistet ein verbesserter Sicherheitsstandard beim Einbringen der Anwendungen auf der Chipkarte.
Vorteilhaft kann vorgesehen sein, daß die Sicherung nur in mindestens einem Teilbereich der Dateistruktur verwendet werden, wodurch das Risiko einer irrtümliche Benutzung einer Sicherung in anderen Teilbereichen der Gesamtdateistruktur vermindert wird.
Bei einer zweckmäßigen Weiterbildung der Erfindung wird dem Kommando und/oder der Sicherung jeweils mindestens eine Kennung zugeordnet. Eine Kennung hat den Vorteil, daß sie flexibel an die jeweiligen Benutzungsbedingungen angepaßt werden kann. Möchte der Herausgeber ein bestimmtes Kommando und/oder eine Sicherung mehreren Anwendungsanbietern zur Verfügung stellen, so kann dies mittels der Kennung ohne großen Aufwand realisiert werden.
Vorteilhaft kann vorgesehen sein, daß mittels der Kennung angezeigt wird, ob das Kommando und/oder die Sicherung in dem Teilbereich der Gesamtdateistruktur verwendet werden können. Hierdurch wird der Mißbrauch von Kommandos und/oder von Sicherungen in Anwendungsverzeichnissen der Chipkarte, für welche deren Benutzung nicht vorgesehen ist, verhindert.
Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, daß die Kennung des Kommandos und/oder die Kennung der Sicherung ermittelt werden, bevor das Kommando und/oder die Sicherung in dem Teilbereich der Gesamtdateistruktur verwendet werden sollen. Dieser Verfahrensschritt eröffnet die Option über kennungsabhängige nachfolgende Verfahrensschritte vor Beginn der Benutzung des Kommandos und/oder der Sicherung zu entscheiden.
Zweckmäßig kann die Verwendung des Kommandos und/oder der Sicherung in dem Teilbereich der Gesamtdateistruktur ausgeschlossen werden, falls die Kennung des Kommandos und/oder der Sicherung anzeigen, daß das Kommando und/oder die Sicherung nicht in dem Teilbereich der Gesamtdateistruktur verwendet werden können. Hierdurch wird die mißbräuchliche Benutzung eines Kommandos und/oder einer Sicherung in dem Teilbereich verhindert. Das geschieht vorteilhaft, bevor irgendwelche Datenmanipulationen mittels des Kommandos und/oder der Sicherung beginnen können.
Für die zweckmäßigen Ausgestaltungen der Erfindung in den abhängigen Ansprüchen 8 bis 11 gelten die im Zusammenhang mit den abhängigen Ansprüchen 4 bis 7 genannten Vorteile entsprechend. Besonders vorteilhaft ist die Vergabe der Kennung an den Teilbereich der Gesamtdateistruktur, wenn der Herausgeber einem Anwendungsanbieter für diesen Teilbereich mehrere Kommandos und/oder Sicherungen zertifizieren möchte. In diesem Fall wird einmalig eine Kennung mit den notwendigen Informationen an den Teilbereich vergeben. Es werden Verfahrensschritte zur Kennung der mehreren Kommandos und/oder Sicherungen eingespart.
Bei einer vorteilhaften Weiterbildung der Erfindung werden das Kommando und/oder die Sicherung in dem Teilbereich der Gesamtdateistruktur angeordnet, wodurch das Kommando und/oder Sicherung in dem Teilbereich gespeichert werden können, in welchem sie für eine mögliche Benutzung vorgesehen sind.
Für die Weiterbildungen der Erfindung in den abhängigen Ansprüchen 13 bis 15 gelten die im Zusammenhang mit den abhängigen Ansprüchen 5 bis 7 genannten Vorteile entsprechend.
Für die Ausgestaltungen der Erfindung in den abhängigen Ansprüchen 16 bis 18 gelten die im Zusammenhang mit den abhängigen Ansprüchen 9 bis 11 genannten Vorteile entsprechend.
Für die zweckmäßigen Ausführungen der Erfindung als Chipkarte in den Ansprüchen 19 bis 21 gelten die im Zusammenhang mit den dazugehörigen Verfahrensansprüchen genannten Vorteile entsprechend.
Bevorzugte Ausführungsbeispiele der Erfindung werden im folgenden mit Hilfe einer Zeichnung beschrieben. Dabei zeigen:
Fig. 1 eine schematische Darstellung eines bekannten Verfahrens zum Erzeugen einer Datei in einer vorhandenen Dateistruktur einer Chipkarte,
Fig. 2 eine schematische Darstellung eines erfindungsgemäßen Verfahrens zum Erzeugen einer Datei in einer vorhandenen Dateistruktur einer Chipkarte, wobei das Kommando APPL_CREATE_FILE Kennungsdaten aufweist, und
Fig. 3 eine schematische Darstellung eines erfindungsgemäßen Verfahrens zum Erzeugen einer Datei in einer vorhandenen Dateistruktur einer Chipkarte, wobei das Verzeichnis APPL_2 eine Kennung aufweist.
Der Kommunikationsablauf zwischen einem Terminal und einer Chipkarte basiert grundsätzlich auf dem sogenannten "Aufforderung-Antwort-Verfahren". Dies bedeutet, daß das Terminal ein Kommando als "Aufforderung" zur Chipkarte sendet, diese ihn daraufhin abarbeitet, eine Antwort erzeugt und diese dann an das Terminal als "Antwort" zurücksendet. Die Karte sendet also keine Daten aus, ohne vorher vom Terminal ein entsprechendes Kommando erhalten zu haben. Bei dem Terminal handelt es sich vorzugsweise um Schreib- und/oder Lesegeräte für Chipkarten.
Eines der wichtigsten Kommandos, das beim nachträglichen Einbringen von Anwendungen in den Speicher einer Chipkarte benutzt wird, ist das CREATE-Kommando. Mit ihm können neue Dateien und neue Dateiverzeichnisse insbesondere in einer vorhandenen Dateistruktur der Chipkarte erzeugt werden. Mittels des CREATE-Kommandos zur Erzeugung einer neuen Datei (CREATE_FILE) werden dabei im wesentlichen die folgenden Daten übertragen: Typ der zu erzeugenden Datei, Anwendungsidentifikation, Dateiidentifikation, Zugriffsbedingungen und Struktur der neuen Datei, Größe der Datei, Anzahl der Records, Länge der Records oder Länge jedes einzelnen Records.
In Fig. 1 ist der Ablauf eines bekannten Verfahrens zur Erzeugung einer neuen Datei in einer vorhandenen Dateistruktur auf einer Chipkarte schematisch dargestellt. Das Kommando CREATE_FILE wird mit Parametern und Daten an die Chipkarte gesendet. Auf der Chipkarte wird die neue Datei erzeugt, wobei die Eigenschaften (Größe, Typ, . . . ) der neuen Datei von den Kommandoparametern abhängig sind. Die Chipkarte sendet anschließend einen Returncode zum Terminal zurück. Aus diesem geht hervor, ob das CREATE_FILE-Kommando erfolgreich ausgeführt wurde.
Bei einer bevorzugten Ausführung des erfindungsgemäßen Verfahrens wird dem CREATE_FILE-Kommando zunächst eine Kennung zugeordnet. Das Kommando soll dann APPL_CREATE_FILE genannt werden. Die Vergabe einer Kennung kann insbesondere mittels des Anhängens von Kennungsdaten an den vorhanden Datensatz des CREATE_FILE-Kommandos erfolgen.
Die Kennungsdaten enthalten insbesondere Informationen darüber, in welchem Dateiverzeichnis das APPL_CREATE_FILE- Kommando verwendet werden darf. Das Dateiverzeichnis umfaßt einen beliebigen Teilbereich, mindestens jedoch eine Datei, der auf der Chipkarte vorhandenen Gesamtdateistruktur, die eine Vielzahl von Dateien aufweist. Die Kennungsdaten sind vorzugsweise mit Hilfe eines Datenbits ausführbar. Das Datenbit hat den Wert "1" oder "0", je nach dem, ob das APL_CREATE_FILE-Kommando in dem Verzeichnis benutzt werden darf oder nicht benutzt werden darf.
Die Kennungsdaten können auch den Namen des Dateiverzeichnisses, in welchem das APPL_CREATE_FILE-Kommando angewendet werden darf, enthalten.
Es kann auch eine Datenbitfolge in die Kennungsdaten aufgenommen werden. Dies ist insbesondere von Vorteil, wenn man die Verwendung eines beliebigen Kommandos in mehreren Dateiverzeichnissen zulassen möchte.
Fig. 2 zeigt eine schematische Darstellung des erfindungsgemäßen Verfahrens. Zunächst wird im Terminal das APPL_CREATE_FILE-Kommando einschließlich der Kennungsdaten definiert. Dieses Kommando wird danach an die Chipkarte gesendet, um einen Datei in einem Dateiverzeichnis APPL_1 zu erzeugen. Auf der Chipkarte wird nun ein Vergleich durchgeführt. Hierbei wird mit Hilfe der Kennungsdaten des empfangenen APPL_CREATE_FILE-Kommandos festgestellt, ob das empfangene APPL_CREATE_FILE-Kommando in dem Dateiverzeichnis APLL_1 verwendet werden darf. Ist das Ergebnis des Vergleichs positiv, d. h. das empfangene APPL_CREATE_FILE-Kommando darf in dem Dateiverzeichnis APPL_1 verwendet werden, so wird eine neue Datei erzeugt und anschließend wird ein Returncode an das Terminal zurückgesendet. Im Fall eines negativen Ergebnisses wird die weitere Abarbeitung des empfangenen Kommandos gestoppt und ein Fehlercode an das Terminal zurückgesendet. Aufgrund dieses Fehlercodes kann dann in einem Ausgabegerät des Terminals eine Fehlermeldung erzeugt werden, um den Benutzer des Terminals über die nicht erfolgte Abarbeitung des APPL_CREATE_FILE-Kommandos zu informieren.
Die Erfindung ist nicht auf Kommandos zur Veränderung der Dateistruktur der Chipkarte beschränkt. Die Vergabe einer Kommando-Kennung und die weiteren Schritte können auch in Verbindung mit Kommandos zum Lesen und/oder Schreiben von Daten auf der Chipkarte ausgeführt werden.
Alternativ zu den beschriebenen Ausführungen der Erfindung kann eine Kennung auch mit einem Dateiverzeichnis, d. h. mit einem Teilbereich des Dateistruktur auf der Chipkarte, verbunden werden. In diesem Fall weist das Dateiverzeichnis, und nicht das auszuführende Kommando die Kennung auf. Die Kennung des Dateiverzeichnisses enthält Informationen darüber, welche Kommandos in diesem Dateiverzeichnis verwendet werden dürfen.
Das erfindungsgemäße Verfahren im Fall einer Dateiverzeichnis- Kennung wird im folgenden am Beispiel des CREATE_FILE- Kommandos beschrieben. Wie sich zeigen wird, könnte hierbei auf eine Definition des neuen Kommandos APPL_CREATE_FILE verzichtet werden. Nachdem das Kommando CREATE_FILE an die Chipkarte übersendet wurde (Fig. 3), um eine neue Datei in dem Dateiverzeichnis APPL_2 zu erzeugen, wird auf der Chipkarte die Kennung des Verzeichnisses APPL_2 ermittelt und festgestellt, ob das Kommando CREATE_FILE in dem Verzeichnis APPL_2 verwendet werden darf. Das empfangene Kommando wird abgearbeitet, wenn dies die Kennung erlaubt. Ist das nicht der Fall, wird die Abarbeitung des Kommandos CREATE_FILE nicht begonnen und es wird ein Fehlercode an das Terminal zurückgesendet, um anschließend den Benutzer über die nicht erfolgte Ausführung des Kommandos im Dateiverzeichnis APPL_2 zu informieren.
Um den Sicherheitsanforderungen beim Einbringen von Daten auf eine Chipkarte zu genügen, werden sehr häufig Sicherungen, vorzugsweise kryptografische Schlüssel oder Paßwörter, benutzt. Auch hierbei ist mit Hilfe des erfindungsgemäßen Verfahrens eine Benutzungskontrolle, d. h. eine Begrenzung der Benutzung einer bestimmten Sicherung auf ein oder mehrere Dateiverzeichnisse, möglich. Die Benutzungskontrolle wird, wie bei der vorher beschriebenen Benutzungskontrolle der Kommandos, entweder mittels Anfügen einer Kennung an die Sicherung oder mittels einer Kennung des Dateiverzeichnisses, in welchem die Sicherung anzuwenden ist, erreicht.
Die Abläufe des erfindungsgemäßen Verfahrens nach Empfang einer Aufforderung von dem Terminal zur Benutzung einer Sicherung auf der Chipkarte entsprechen in diesen Fällen den in den vorhergehenden Abschnitten beschriebenen Abläufen im Zusammenhang mit der Benutzungskontrolle der Kommandos. Jeweils vor Benutzung einer Sicherung in einem speziellen Dateiverzeichnis wird mit Hilfe der Kennung der Sicherung und/oder der Kennung des Dateiverzeichnisses geprüft, ob eine Verwendung in diesem speziellen Dateiverzeichnis erlaubt ist und anschließend die Benutzung der Sicherung ermöglicht oder eine Fehlermeldung an das Terminal gesendet.
Bei einer weiteren bevorzugten Ausführung der Erfindung werden die Kommandos CREATE_FILE und/oder APPL_CREATE_FILE in dem Dateiverzeichnis APPL_3 angeordnet. Empfängt die Chipkarte nun eine Aufforderung von dem Terminal diese Kommandos zur Erzeugung einer Datei in einem Verzeichnis außerhalb des Verzeichnisses APPL_3 zu verwenden, so wird durch das erfindungsgemäße Verfahren sichergestellt, daß die Kommandos CREATE_FILE und/oder APPL_CREATE_FILE nur in Verzeichnissen außerhalb APPL_3 verwendet werden, für die dieses erlaubt ist. Um das im Fall des Kommandos APPL_CREATE_FILE zu erreichen, wird dieses Kommando mit Kennungsdaten versehen. Diesen Kennungsdaten ist zu entnehmen, ob das Kommando APPL_CREATE_FILE in einem anderen als dem Verzeichnis APPL_3 verwendet werden darf, wenn das erlaubt ist, in welchen Verzeichnissen.
Bei der alternativen Ausführung geht aus der Kennung des Verzeichnisses APPL_3 hervor, ob das Kommando CREATE_FILE außerhalb von APPL_3 verwendet werden darf. Ist dies laut Kennung nicht erlaubt, so wird eine entsprechende vom Terminal empfangene Aufforderung nicht ausgeführt. Es wird ein Fehlercode an das Terminal zurückgesendet.
Die in den letzten beiden Abschnitten beschriebenen erfindungsgemäßen Ausführungen, die dadurch charakterisiert sind, daß die zu benutzenden Kommandos in einem Dateiverzeichnis der Chipkarte angeordnet werden, sind ohne größeren Aufwand auf Sicherungen übertragbar. Auch die Sicherungen sind in einem Verzeichnis anordenbar. Die Kontrolle der Benutzung dieser Sicherungen außerhalb der Verzeichnisse, in welchen sie abgelegt wurden, erfolgt den im Zusammenhang mit den Kommandos beschriebenen Verfahren entsprechend.
Bei einer Weiterbildung der Erfindung kann die Benutzungskontrolle bestimmter Kommandos und/oder Sicherungen mittels einer Kombination von Kennungen an einem Kommando und/oder einer Sicherung und von Kennungen an einem Verzeichnis ausgeführt werden.

Claims (21)

1. Verfahren zum sicheren Einbringen von Anwendungen und/oder Daten auf einer Chipkarte, die einen Speicher mit einer Dateistruktur aufweist, wobei bei dem Verfahren
mittels mindestens einem Kommando eine veränderte Dateistruktur in dem Speicher erzeugt wird und/oder Daten aus dem Speicher gelesen werden und/oder Daten in den Speicher geschrieben werden,
dadurch gekennzeichnet, daß
das Kommando nur in mindestens einem Teilbereich einer Gesamtdateistruktur verwendet wird,
wobei die Dateistruktur und die veränderte Dateistruktur von der Gesamtdateistruktur umfaßt werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß mindestens eine Sicherung, insbesondere ein kryptografischer Schlüssel und/oder ein Paßwort, benutzt wird.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die Sicherung nur in mindestens einem Teilbereich der Dateistruktur verwendet werden.
4. Verfahren nach den Ansprüchen 1 oder 3, dadurch gekennzeichnet, daß dem Kommando und/oder der Sicherung jeweils mindestens eine Kennung zugeordnet wird.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß mittels der Kennung angezeigt wird, ob das Kommando und/oder die Sicherung in dem Teilbereich der Gesamtdateistruktur verwendet werden können.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß die Kennung des Kommandos und/oder die Kennung der Sicherung ermittelt werden, bevor das Kommando und/oder die Sicherung in dem Teilbereich der Gesamtdateistruktur verwendet werden sollen.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daß die Verwendung des Kommandos und/oder der Sicherung in dem Teilbereich der Gesamtdateistruktur ausgeschlossen werden, falls die Kennung des Kommandos und/oder der Sicherung anzeigen, daß das Kommando und/oder die Sicherung nicht in dem Teilbereich der Gesamtdateistruktur verwendet werden können.
8. Verfahren nach den Ansprüchen 1 oder 3, dadurch gekennzeichnet, daß dem Teilbereich der Gesamtdateistruktur mindestens eine Kennung zugeordnet wird.
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, daß mittels der Kennung des Teilbereiches der Gesamtdateistruktur angezeigt wird, ob das Kommando und/oder die Sicherung in dem Teilbereich der Gesamtdateistruktur verwendet werden können.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, daß die Kennung des Teilbereiches der Gesamtdateistruktur ermittelt wird, bevor das Kommando und/oder die Sicherung in dem Teilbereich der Gesamtdateistruktur verwendet werden sollen.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß die Verwendung des Kommandos und/oder der Sicherung in dem Teilbereich der Gesamtdateistruktur ausgeschlossen wird, falls durch die Kennung des Teilbereiches anzeigt wird, daß das Kommando und/oder die Sicherung nicht in dem Teilbereich der Gesamtdateistruktur verwendet werden können.
12. Verfahren nach den Ansprüchen 1 oder 3, dadurch gekennzeichnet, daß das Kommando und/oder die Sicherung in dem Teilbereich der Gesamtdateistruktur angeordnet werden.
13. Verfahren nach den Ansprüchen 4 und 12, dadurch gekennzeichnet, daß mittels der Kennung des Kommandos und/oder der Sicherung angezeigt wird, ob das Kommando und/oder die Sicherung außerhalb des Teilbereiches der Gesamtdateistruktur verwendet werden können.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß die Kennung des Kommandos und/oder der Sicherung ermittelt werden, bevor das Kommando und/oder die Sicherung außerhalb des Teilbereiches der Gesamtdateistruktur verwendet werden sollen.
15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, daß die Verwendung des Kommandos und/oder der Sicherung außerhalb des Teilbereiches der Gesamtdateistruktur ausgeschlossen wird, falls die Kennung des Kommandos und/oder der Sicherung anzeigen, daß das Kommando und/oder die Sicherung nicht außerhalb des Teilbereiches der Gesamtdateistruktur verwendet werden können.
16. Verfahren nach den Ansprüchen 8 und 12, dadurch gekennzeichnet, daß mittels der Kennung des Teilbereichs angezeigt wird, ob das Kommando und/oder die Sicherung außerhalb des Teilbereiches der Gesamtdateistruktur verwendet werden können.
17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, daß die Kennung des Teilbereiches ermittelt wird, bevor das Kommando und/oder die Sicherung außerhalb des Teilbereiches der Gesamtdateistruktur verwendet werden sollen.
18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, daß die Verwendung des Kommandos und/oder der Sicherung außerhalb des Teilbereiches der Gesamtdateistruktur ausgeschlossen wird, falls die Kennung des Teilbereiches anzeigt, daß das Kommando und/oder die Sicherung nicht außerhalb des Teilbereiches der Gesamtdateistruktur verwendet werden können.
19. Eine Chipkarte, die einen Speicher mit einer Basisdateistruktur aufweist, wobei auf der Chipkarte mittels mindestens einem Kommando eine erweiterte Dateistruktur in den Speicher einbringbar ist, Daten aus dem Speicher lesbar sind und/oder Daten in den Speicher schreibbar sind, und wobei dabei mindestens eine Sicherung, insbesondere ein kryptografischer Schlüssel und/oder ein Paßwort, benutzbar ist,
gekennzeichnet durch
Sicherheitsmittel zur Beschränkung einer Verwendbarkeit des Kommandos und/oder der Sicherung auf jeweils mindestens einen Teilbereich einer Gesamtdateistruktur,
wobei die Gesamtdateistruktur von der Basisstruktur und der erweiterten Dateistruktur gebildet ist.
20. Chipkarte nach Anspruch 19, dadurch gekennzeichnet, daß die Sicherheitsmittel als mindestens eine Kennung des Kommandos und/oder mindestens eine Kennung der Sicherung ausgebildet sind.
21. Chipkarte nach Anspruch 19, dadurch gekennzeichnet, daß die Sicherheitsmittel als mindestens eine Kennung des Teilbereiches der Gesamtdateistruktur ausgebildet sind.
DE19626339A 1996-07-01 1996-07-01 Sicheres Laden von Anwendungen und Daten auf Chipkarten Ceased DE19626339A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE19626339A DE19626339A1 (de) 1996-07-01 1996-07-01 Sicheres Laden von Anwendungen und Daten auf Chipkarten
GB9712374A GB2314948B (en) 1996-07-01 1997-06-14 Chipcard data transfer method
PL97320722A PL184155B1 (pl) 1996-07-01 1997-06-23 Sposób zabezpieczonego przesyłania programów użytkowych do pamięci karty mikroprocesorowej
HU9701130A HUP9701130A3 (en) 1996-07-01 1997-06-30 Method of safe writing applications and/or data into chipcard
US08/884,786 US6145080A (en) 1996-07-01 1997-06-30 Method for safely transferring data and applications onto a chipcard
JP9173538A JPH10171716A (ja) 1996-07-01 1997-06-30 データ及びアプリケーションをチップカード上に安全に転送する方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19626339A DE19626339A1 (de) 1996-07-01 1996-07-01 Sicheres Laden von Anwendungen und Daten auf Chipkarten

Publications (1)

Publication Number Publication Date
DE19626339A1 true DE19626339A1 (de) 1998-01-08

Family

ID=7798544

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19626339A Ceased DE19626339A1 (de) 1996-07-01 1996-07-01 Sicheres Laden von Anwendungen und Daten auf Chipkarten

Country Status (6)

Country Link
US (1) US6145080A (de)
JP (1) JPH10171716A (de)
DE (1) DE19626339A1 (de)
GB (1) GB2314948B (de)
HU (1) HUP9701130A3 (de)
PL (1) PL184155B1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009112279A1 (de) * 2008-03-14 2009-09-17 Giesecke & Devrient Gmbh Optimierte befehlsverarbeitung im rahmen der chipkarten-kommunikation
EP2270758A2 (de) * 2009-06-30 2011-01-05 Kabushiki Kaisha Toshiba Tragbare elektronische Vorrichtung, Verarbeitungsvorrichtung für die tragbare elektronische Vorrichtung und Datenverarbeitungsverfahren in einer tragbare elektronischen Vorrichtung

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19716015A1 (de) * 1997-04-17 1998-10-29 Ibm Einbringen von Information auf einer Chipkarte
DE19839847A1 (de) * 1998-09-02 2000-03-09 Ibm Speichern von Datenobjekten im Speicher einer Chipkarte
DE19947986A1 (de) * 1999-10-05 2001-04-12 Ibm System und Verfahren zum Herunterladen von Anwendungsteilen auf eine Chipkarte
JP2001118042A (ja) * 1999-10-19 2001-04-27 Hitachi Ltd カード監視方法
US20020040438A1 (en) * 2000-05-05 2002-04-04 Fisher David Landis Method to securely load and manage multiple applications on a conventional file system smart card
US6824064B2 (en) * 2000-12-06 2004-11-30 Mobile-Mind, Inc. Concurrent communication with multiple applications on a smart card
GB0212315D0 (en) * 2002-05-28 2002-07-10 Symbian Ltd Secure mobile wireless device with protected file systems
DE10234158A1 (de) * 2002-07-26 2004-02-05 Giesecke & Devrient Gmbh Einrichten eines Dateisystems in einem Datenträger

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3807997C2 (de) * 1987-03-13 1993-07-29 Mitsubishi Denki K.K., Tokio/Tokyo, Jp

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60160491A (ja) * 1984-01-31 1985-08-22 Toshiba Corp Icカードとicカード発行装置
US4816653A (en) * 1986-05-16 1989-03-28 American Telephone And Telegraph Company Security file system for a portable data carrier
JPH087720B2 (ja) * 1986-09-16 1996-01-29 富士通株式会社 複数サービス用icカードの領域アクセス方法
JPH01233590A (ja) * 1988-03-14 1989-09-19 Toshiba Corp 携帯可能電子装置
US5412717A (en) * 1992-05-15 1995-05-02 Fischer; Addison M. Computer system security method and apparatus having program authorization information data structures
JPH0744672A (ja) * 1993-07-28 1995-02-14 Oki Electric Ind Co Ltd Icカード及びicカードシステム
FR2713803B1 (fr) * 1993-12-07 1996-01-12 Gemplus Card Int Carte à mémoire et procédé de fonctionnement.
US5720033A (en) * 1994-06-30 1998-02-17 Lucent Technologies Inc. Security platform and method using object oriented rules for computer-based systems using UNIX-line operating systems
JP3691871B2 (ja) * 1995-03-20 2005-09-07 富士通株式会社 カード型記憶媒体
FR2743910B1 (fr) * 1996-01-19 1998-02-27 Solaic Sa Procede de mise en oeuvre d'un programme securise dans une carte a microprocesseur et carte a microprocesseur comportant un programme securise
EP0798673A1 (de) * 1996-03-29 1997-10-01 Koninklijke KPN N.V. Verfahren zum gesicherten Laden von Steuerbefehlen in eine Chipkarte
US5923884A (en) * 1996-08-30 1999-07-13 Gemplus S.C.A. System and method for loading applications onto a smart card

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3807997C2 (de) * 1987-03-13 1993-07-29 Mitsubishi Denki K.K., Tokio/Tokyo, Jp

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009112279A1 (de) * 2008-03-14 2009-09-17 Giesecke & Devrient Gmbh Optimierte befehlsverarbeitung im rahmen der chipkarten-kommunikation
EP2270758A2 (de) * 2009-06-30 2011-01-05 Kabushiki Kaisha Toshiba Tragbare elektronische Vorrichtung, Verarbeitungsvorrichtung für die tragbare elektronische Vorrichtung und Datenverarbeitungsverfahren in einer tragbare elektronischen Vorrichtung
EP2270758A3 (de) * 2009-06-30 2011-03-02 Kabushiki Kaisha Toshiba Tragbare elektronische Vorrichtung, Verarbeitungsvorrichtung für die tragbare elektronische Vorrichtung und Datenverarbeitungsverfahren in einer tragbare elektronischen Vorrichtung
US8112662B2 (en) 2009-06-30 2012-02-07 Kabushiki Kaisha Toshiba Portable electronic apparatus, processing apparatus for portable electronic apparatus, and data processing method in portable electronic apparatus

Also Published As

Publication number Publication date
PL184155B1 (pl) 2002-09-30
HUP9701130A2 (hu) 1998-04-28
JPH10171716A (ja) 1998-06-26
GB2314948B (en) 2000-10-04
PL320722A1 (en) 1998-01-05
HUP9701130A3 (en) 1999-04-28
GB9712374D0 (en) 1997-08-13
US6145080A (en) 2000-11-07
GB2314948A (en) 1998-01-14
HU9701130D0 (en) 1997-08-28

Similar Documents

Publication Publication Date Title
DE69730712T2 (de) Kommunikationssystem mit gesicherter, unabhängiger verwaltung mehrerer anwendungen pro gebraucherkarte, gebraucherkarte und verwaltungsverfahren dafür
DE19633466C2 (de) Nachinitialisierung von Chipkarten
DE19839847A1 (de) Speichern von Datenobjekten im Speicher einer Chipkarte
DE19536169A1 (de) Multifunktionale Chipkarte
EP0965076A1 (de) Elektronische datenverarbeitungseinrichtung und -system
DE3318101A1 (de) Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit
EP0811204B1 (de) Verarbeitung langer nachrichten in einer chipkarte
EP1196902B1 (de) Verfahren zum betreiben eines zur ausführung von nachladbaren funktionsprogrammen ausgebildeten datenträgers
DE102005022019A1 (de) Sichere Verarbeitung von Daten
DE19626339A1 (de) Sicheres Laden von Anwendungen und Daten auf Chipkarten
DE10324337B4 (de) Rechnersystem und zugehöriges Verfahren zum Durchführen eines Sicherheitsprogramms
DE60013518T2 (de) Versicherte Personalisierung von Chipkarten
WO1996028795A1 (de) Chipkarte mit geschütztem betriebssystem
DE3512785A1 (de) Verfahren zur zugriffssicherung
DE19716015A1 (de) Einbringen von Information auf einer Chipkarte
EP1722336A2 (de) Vorrichtung und Verfahren zur Erzeugung von Daten für eine Initialisierung von Sicherheitsdatenträgern
EP1634252B1 (de) Verfahren zum laden von tragbaren datenträgern mit daten
DE102010004446A1 (de) Verfahren zum Bereitstellen eines sicheren Zählers auf einem Endgerät
EP1927870B1 (de) Tragbarer Datenträger
DE19925195A1 (de) Verfahren für die sichere Verwaltung eines Speichers
DE102005056357A1 (de) Multithreading-fähige virtuelle Maschine
WO1998039743A2 (de) Verfahren zur durchführung von veränderungen in berechtigungsdatensätzen
EP0813722B1 (de) Lizenzkartengesteuertes chipkartensystem
DE10235381A1 (de) Verfahren zum Überspielen wenigstens eines Datensatzes aus einer externen Datenquelle in eine Recheneinheit, sowie Recheneinheit
EP2486489A1 (de) Portabler datenträger mit zusatzfunktionalität

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection