DE19626339A1 - Sicheres Laden von Anwendungen und Daten auf Chipkarten - Google Patents
Sicheres Laden von Anwendungen und Daten auf ChipkartenInfo
- Publication number
- DE19626339A1 DE19626339A1 DE19626339A DE19626339A DE19626339A1 DE 19626339 A1 DE19626339 A1 DE 19626339A1 DE 19626339 A DE19626339 A DE 19626339A DE 19626339 A DE19626339 A DE 19626339A DE 19626339 A1 DE19626339 A1 DE 19626339A1
- Authority
- DE
- Germany
- Prior art keywords
- command
- file structure
- identifier
- backup
- area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3576—Multiple memory zones on card
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
Description
Die Erfindung betrifft das sichere Einbringen von Anwendungen
und/oder Daten auf einer Chipkarte, die einen Speicher mit
einer Dateistruktur aufweist, wobei bei dem Verfahren mittels
mindestens einem Kommando eine veränderte Dateistruktur in dem
Speicher erzeugt wird und/oder Daten aus dem Speicher gelesen
werden und/oder Daten in den Speicher geschrieben werden.
Seit Mitte der achtziger Jahre finden Chipkarten in immer mehr
Bereichen des täglichen Lebens Anwendung. Dieser Erfolg der
Chipkarten beruht im wesentlichen auf ihrer hohen
Manipulationssicherheit und ihrer Zuverlässigkeit.
Desweiteren gewährleistet die Chiptechnologie eine große
Flexibilität für eine Vielzahl von Anwendungen.
Die Herstellung einer Chipkarte bis zum Zeitpunkt, zu dem sie
an einen Benutzer ausgegeben werden kann, ist in Rankl/Effing:
Handbuch der Chipkarten, Karl Hanser Verlag, 1996 beschrieben.
Nachdem ein Modul mit dem Halbleiterchip in die Karte
eingebetet wurde, werden anschließend globale Daten und
persönliche Daten des zukünftigen Kartenbenutzers auf der
Chipkarte eingebracht. Hierbei werden vom Herausgeber der
Chipkarte immer häufiger mehrere Anwendungen gleichzeitig auf
der Chipkarte eingebracht.
Die innere Struktur der Chipkarte folgt im wesentlichen der
Norm ISO 7816-4. Üblicherweise sind die Daten die zu einer
Anwendung gehören in Dateien untergebracht, welche sich in
einem Anwendungsverzeichnis befinden. Die Dateien und
Anwendungsverzeichnisse werden von dem Kartenherausgeber auf
der Chipkarte eingebracht. Soll nun von einem
Anwendungsanbieter eine neue Anwendung auf eine bereits
herausgegebene Chipkarte aufgebracht werden, so ist dem
Sicherungssystem der Chipkarte besondere Aufmerksamkeit zu
widmen. Dies gilt insbesondere, wenn es sich um Anwendungen
handelt, welche sich nicht unter der Kontrolle des
Kartenherausgebers befinden.
Unterstellt man dem Anwendungsanbieter ein Interesse, Daten
des Herausgebers oder anderer Anwendungsanbieter
auszuspionieren oder deren Sicherungssysteme, insbesondere
kryptografische Schlüssel, zu benutzen, so besteht die
Aufgabe, dieses Ausspionieren durch den Anwendungsanbieter zu
verhindern.
Bei einem bekannten Verfahren werden Kommandos, welche zur
Erzeugung von Dateien und Anwendungsverzeichnissen auf der
Chipkarte verwendet werden können, vom Herausgeber der
Chipkarte zertifiziert. Dies geschieht z. B. durch Anhängen
eines MAC - Message Authentication Code. Hierbei wird mit
Hilfe eines kryptografischen Schlüssels des Herausgebers ein
individueller MAC des zu benutzenden Kommandos berechnet und
an das Kommando angehängt. Ausgeführt wird dieses Verfahren
von einer kryptografischen Anlage, die dem Anwendungsanbieter
von dem Herausgeber zu Verfügung gestellt wird. Die Anlage
bringt das Kommando in die von der Chipkarte akzeptierte Form.
Nachteil dieses bekannten Verfahrens ist es, daß das von der
kryptografischen Anlage erzeugte Kommando noch in einem
Verzeichnis verwendet werden kann, in welchem seine Benutzung
nicht vorgesehen ist. Dies ist möglich, da sich die Kommandos
auf vorausgehende Selektionskommandos verlassen, welche in
ihrem Zugriff auf verschiedene Verzeichnisse nicht begrenzt
sind. Es könnten so Daten und/oder kryptografische Schlüssel
des Herausgebers oder anderer Anwendungsanbieter überschrieben
oder verändert werden.
Es besteht ein weiteres Problem, wenn Anwendungen von einem
Anwendungsanbieter nachträglich auf einer bereits
herausgegebenen Chipkarte eingebracht werden sollen. Erlaubt
es der Herausgeber dem Anwendungsanbieter neue Dateien zu
erzeugen, kann dies vom Anwendungsanbieter ausgenutzt werden,
um kryptografische Schlüssel auszuspionieren. Beim Erzeugen
von neuen Dateien und den dazugehörenden Zugriffsrechten, ist
es möglich, die Zugriffsrechte so zu setzen, daß beim Lesen
von Daten aus der Datei und/oder dem Schreiben von Daten in
die Datei der kryptografische Schlüssel des Herausgebers
referenziert wird. Hierdurch kann der Herausgeber der
Chipkarte als Absender von Daten vorgetäuscht werden, die aber
tatsächlich dem Anwendungsanbieter zuzurechnen sind.
Es ist deshalb die Aufgabe der vorliegenden Erfindung, eine
Möglichkeit zum sicheren Einbringen von Anwendungen in eine
bereits herausgegebene Chipkarte zu schaffen.
Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß das
Kommando nur in mindestens einem Teilbereich einer
Gesamtdateistruktur verwendet wird, wobei die Dateistruktur
und die veränderte Dateistruktur von der Gesamtdateistruktur
umfaßt werden.
Der wesentliche Vorteil, welcher mit der Erfindung gegenüber
dem Stand der Technik erreicht wird, ist die Gewährleistung
des sicheren Einbringens einer Vielzahl verschiedener
Anwendungen auf einer bereits herausgegebenen Chipkarte, wobei
die Anwendungen von unabhängigen Anwendungsanbietern
eingebracht werden können. Jeder Anwendungsanbieter kann die
ihm durch den Herausgeber zertifizierten Kommandos nur einer
bestimmten Umgebung auf der Chipkarte benutzen und hat somit
keine Möglichkeit des Zugriffs auf Teilbereiche des Speichers
der Chipkarte, die anderen Anwendungsanbietern oder
ausschließlich dem Herausgeber vorbehalten sind.
Ein weiterer Vorteil der Erfindung besteht darin, daß mittels
der Beschränkung der Benutzbarkeit der kryptografischen
Schlüssel deren Benutzung vom Herausgeber der Chipkarte
kontrollierbar ist.
Bei einer zweckmäßigen Ausführung der Erfindung wird
mindestens eine Sicherung, insbesondere ein kryptografischer
Schlüssel und/oder ein Paßwort, benutzt. Mit Hilfe der
Verwendung von derartigen Sicherungen wird gewährleistet ein
verbesserter Sicherheitsstandard beim Einbringen der
Anwendungen auf der Chipkarte.
Vorteilhaft kann vorgesehen sein, daß die Sicherung nur in
mindestens einem Teilbereich der Dateistruktur verwendet
werden, wodurch das Risiko einer irrtümliche Benutzung einer
Sicherung in anderen Teilbereichen der Gesamtdateistruktur
vermindert wird.
Bei einer zweckmäßigen Weiterbildung der Erfindung wird dem
Kommando und/oder der Sicherung jeweils mindestens eine
Kennung zugeordnet. Eine Kennung hat den Vorteil, daß sie
flexibel an die jeweiligen Benutzungsbedingungen angepaßt
werden kann. Möchte der Herausgeber ein bestimmtes Kommando
und/oder eine Sicherung mehreren Anwendungsanbietern zur
Verfügung stellen, so kann dies mittels der Kennung ohne
großen Aufwand realisiert werden.
Vorteilhaft kann vorgesehen sein, daß mittels der Kennung
angezeigt wird, ob das Kommando und/oder die Sicherung in dem
Teilbereich der Gesamtdateistruktur verwendet werden können.
Hierdurch wird der Mißbrauch von Kommandos und/oder von
Sicherungen in Anwendungsverzeichnissen der Chipkarte, für
welche deren Benutzung nicht vorgesehen ist, verhindert.
Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, daß
die Kennung des Kommandos und/oder die Kennung der Sicherung
ermittelt werden, bevor das Kommando und/oder die Sicherung in
dem Teilbereich der Gesamtdateistruktur verwendet werden
sollen. Dieser Verfahrensschritt eröffnet die Option über
kennungsabhängige nachfolgende Verfahrensschritte vor Beginn
der Benutzung des Kommandos und/oder der Sicherung zu
entscheiden.
Zweckmäßig kann die Verwendung des Kommandos und/oder der
Sicherung in dem Teilbereich der Gesamtdateistruktur
ausgeschlossen werden, falls die Kennung des Kommandos
und/oder der Sicherung anzeigen, daß das Kommando und/oder die
Sicherung nicht in dem Teilbereich der Gesamtdateistruktur
verwendet werden können. Hierdurch wird die mißbräuchliche
Benutzung eines Kommandos und/oder einer Sicherung in dem
Teilbereich verhindert. Das geschieht vorteilhaft, bevor
irgendwelche Datenmanipulationen mittels des Kommandos
und/oder der Sicherung beginnen können.
Für die zweckmäßigen Ausgestaltungen der Erfindung in den
abhängigen Ansprüchen 8 bis 11 gelten die im Zusammenhang mit
den abhängigen Ansprüchen 4 bis 7 genannten Vorteile
entsprechend. Besonders vorteilhaft ist die Vergabe der
Kennung an den Teilbereich der Gesamtdateistruktur, wenn der
Herausgeber einem Anwendungsanbieter für diesen Teilbereich
mehrere Kommandos und/oder Sicherungen zertifizieren möchte.
In diesem Fall wird einmalig eine Kennung mit den notwendigen
Informationen an den Teilbereich vergeben. Es werden
Verfahrensschritte zur Kennung der mehreren Kommandos und/oder
Sicherungen eingespart.
Bei einer vorteilhaften Weiterbildung der Erfindung werden das
Kommando und/oder die Sicherung in dem Teilbereich der
Gesamtdateistruktur angeordnet, wodurch das Kommando und/oder
Sicherung in dem Teilbereich gespeichert werden können, in
welchem sie für eine mögliche Benutzung vorgesehen sind.
Für die Weiterbildungen der Erfindung in den abhängigen
Ansprüchen 13 bis 15 gelten die im Zusammenhang mit den
abhängigen Ansprüchen 5 bis 7 genannten Vorteile entsprechend.
Für die Ausgestaltungen der Erfindung in den abhängigen
Ansprüchen 16 bis 18 gelten die im Zusammenhang mit den
abhängigen Ansprüchen 9 bis 11 genannten Vorteile
entsprechend.
Für die zweckmäßigen Ausführungen der Erfindung als Chipkarte
in den Ansprüchen 19 bis 21 gelten die im Zusammenhang mit den
dazugehörigen Verfahrensansprüchen genannten Vorteile
entsprechend.
Bevorzugte Ausführungsbeispiele der Erfindung werden im
folgenden mit Hilfe einer Zeichnung beschrieben. Dabei
zeigen:
Fig. 1 eine schematische Darstellung eines bekannten
Verfahrens zum Erzeugen einer Datei in einer
vorhandenen Dateistruktur einer Chipkarte,
Fig. 2 eine schematische Darstellung eines
erfindungsgemäßen Verfahrens zum Erzeugen einer
Datei in einer vorhandenen Dateistruktur einer
Chipkarte, wobei das Kommando APPL_CREATE_FILE
Kennungsdaten aufweist, und
Fig. 3 eine schematische Darstellung eines
erfindungsgemäßen Verfahrens zum Erzeugen einer
Datei in einer vorhandenen Dateistruktur einer
Chipkarte, wobei das Verzeichnis APPL_2 eine Kennung
aufweist.
Der Kommunikationsablauf zwischen einem Terminal und einer
Chipkarte basiert grundsätzlich auf dem sogenannten
"Aufforderung-Antwort-Verfahren". Dies bedeutet, daß das
Terminal ein Kommando als "Aufforderung" zur Chipkarte sendet,
diese ihn daraufhin abarbeitet, eine Antwort erzeugt und diese
dann an das Terminal als "Antwort" zurücksendet. Die Karte
sendet also keine Daten aus, ohne vorher vom Terminal ein
entsprechendes Kommando erhalten zu haben. Bei dem Terminal
handelt es sich vorzugsweise um Schreib- und/oder Lesegeräte
für Chipkarten.
Eines der wichtigsten Kommandos, das beim nachträglichen
Einbringen von Anwendungen in den Speicher einer Chipkarte
benutzt wird, ist das CREATE-Kommando. Mit ihm können neue
Dateien und neue Dateiverzeichnisse insbesondere in einer
vorhandenen Dateistruktur der Chipkarte erzeugt werden.
Mittels des CREATE-Kommandos zur Erzeugung einer neuen Datei
(CREATE_FILE) werden dabei im wesentlichen die folgenden Daten
übertragen: Typ der zu erzeugenden Datei,
Anwendungsidentifikation, Dateiidentifikation,
Zugriffsbedingungen und Struktur der neuen Datei, Größe der
Datei, Anzahl der Records, Länge der Records oder Länge jedes
einzelnen Records.
In Fig. 1 ist der Ablauf eines bekannten Verfahrens zur
Erzeugung einer neuen Datei in einer vorhandenen Dateistruktur
auf einer Chipkarte schematisch dargestellt. Das Kommando
CREATE_FILE wird mit Parametern und Daten an die Chipkarte
gesendet. Auf der Chipkarte wird die neue Datei erzeugt,
wobei die Eigenschaften (Größe, Typ, . . . ) der neuen Datei von
den Kommandoparametern abhängig sind. Die Chipkarte sendet
anschließend einen Returncode zum Terminal zurück. Aus diesem
geht hervor, ob das CREATE_FILE-Kommando erfolgreich
ausgeführt wurde.
Bei einer bevorzugten Ausführung des erfindungsgemäßen
Verfahrens wird dem CREATE_FILE-Kommando zunächst eine Kennung
zugeordnet. Das Kommando soll dann APPL_CREATE_FILE genannt
werden. Die Vergabe einer Kennung kann insbesondere mittels
des Anhängens von Kennungsdaten an den vorhanden Datensatz des
CREATE_FILE-Kommandos erfolgen.
Die Kennungsdaten enthalten insbesondere Informationen
darüber, in welchem Dateiverzeichnis das APPL_CREATE_FILE-
Kommando verwendet werden darf. Das Dateiverzeichnis umfaßt
einen beliebigen Teilbereich, mindestens jedoch eine Datei,
der auf der Chipkarte vorhandenen Gesamtdateistruktur, die
eine Vielzahl von Dateien aufweist. Die Kennungsdaten sind
vorzugsweise mit Hilfe eines Datenbits ausführbar. Das
Datenbit hat den Wert "1" oder "0", je nach dem, ob das
APL_CREATE_FILE-Kommando in dem Verzeichnis benutzt werden
darf oder nicht benutzt werden darf.
Die Kennungsdaten können auch den Namen des
Dateiverzeichnisses, in welchem das APPL_CREATE_FILE-Kommando
angewendet werden darf, enthalten.
Es kann auch eine Datenbitfolge in die Kennungsdaten
aufgenommen werden. Dies ist insbesondere von Vorteil, wenn
man die Verwendung eines beliebigen Kommandos in mehreren
Dateiverzeichnissen zulassen möchte.
Fig. 2 zeigt eine schematische Darstellung des
erfindungsgemäßen Verfahrens. Zunächst wird im Terminal das
APPL_CREATE_FILE-Kommando einschließlich der Kennungsdaten
definiert. Dieses Kommando wird danach an die Chipkarte
gesendet, um einen Datei in einem Dateiverzeichnis APPL_1 zu
erzeugen. Auf der Chipkarte wird nun ein Vergleich
durchgeführt. Hierbei wird mit Hilfe der Kennungsdaten des
empfangenen APPL_CREATE_FILE-Kommandos festgestellt, ob das
empfangene APPL_CREATE_FILE-Kommando in dem Dateiverzeichnis
APLL_1 verwendet werden darf. Ist das Ergebnis des Vergleichs
positiv, d. h. das empfangene APPL_CREATE_FILE-Kommando darf in
dem Dateiverzeichnis APPL_1 verwendet werden, so wird eine
neue Datei erzeugt und anschließend wird ein Returncode an das
Terminal zurückgesendet. Im Fall eines negativen Ergebnisses
wird die weitere Abarbeitung des empfangenen Kommandos
gestoppt und ein Fehlercode an das Terminal zurückgesendet.
Aufgrund dieses Fehlercodes kann dann in einem Ausgabegerät
des Terminals eine Fehlermeldung erzeugt werden, um den
Benutzer des Terminals über die nicht erfolgte Abarbeitung des
APPL_CREATE_FILE-Kommandos zu informieren.
Die Erfindung ist nicht auf Kommandos zur Veränderung der
Dateistruktur der Chipkarte beschränkt. Die Vergabe einer
Kommando-Kennung und die weiteren Schritte können auch in
Verbindung mit Kommandos zum Lesen und/oder Schreiben von
Daten auf der Chipkarte ausgeführt werden.
Alternativ zu den beschriebenen Ausführungen der Erfindung
kann eine Kennung auch mit einem Dateiverzeichnis, d. h. mit
einem Teilbereich des Dateistruktur auf der Chipkarte,
verbunden werden. In diesem Fall weist das Dateiverzeichnis,
und nicht das auszuführende Kommando die Kennung auf. Die
Kennung des Dateiverzeichnisses enthält Informationen darüber,
welche Kommandos in diesem Dateiverzeichnis verwendet werden
dürfen.
Das erfindungsgemäße Verfahren im Fall einer Dateiverzeichnis-
Kennung wird im folgenden am Beispiel des CREATE_FILE-
Kommandos beschrieben. Wie sich zeigen wird, könnte hierbei
auf eine Definition des neuen Kommandos APPL_CREATE_FILE
verzichtet werden. Nachdem das Kommando CREATE_FILE an die
Chipkarte übersendet wurde (Fig. 3), um eine neue Datei in dem
Dateiverzeichnis APPL_2 zu erzeugen, wird auf der Chipkarte
die Kennung des Verzeichnisses APPL_2 ermittelt und
festgestellt, ob das Kommando CREATE_FILE in dem Verzeichnis
APPL_2 verwendet werden darf. Das empfangene Kommando wird
abgearbeitet, wenn dies die Kennung erlaubt. Ist das nicht
der Fall, wird die Abarbeitung des Kommandos CREATE_FILE nicht
begonnen und es wird ein Fehlercode an das Terminal
zurückgesendet, um anschließend den Benutzer über die nicht
erfolgte Ausführung des Kommandos im Dateiverzeichnis APPL_2
zu informieren.
Um den Sicherheitsanforderungen beim Einbringen von Daten auf
eine Chipkarte zu genügen, werden sehr häufig Sicherungen,
vorzugsweise kryptografische Schlüssel oder Paßwörter,
benutzt. Auch hierbei ist mit Hilfe des erfindungsgemäßen
Verfahrens eine Benutzungskontrolle, d. h. eine Begrenzung der
Benutzung einer bestimmten Sicherung auf ein oder mehrere
Dateiverzeichnisse, möglich. Die Benutzungskontrolle wird,
wie bei der vorher beschriebenen Benutzungskontrolle der
Kommandos, entweder mittels Anfügen einer Kennung an die
Sicherung oder mittels einer Kennung des Dateiverzeichnisses,
in welchem die Sicherung anzuwenden ist, erreicht.
Die Abläufe des erfindungsgemäßen Verfahrens nach Empfang
einer Aufforderung von dem Terminal zur Benutzung einer
Sicherung auf der Chipkarte entsprechen in diesen Fällen den
in den vorhergehenden Abschnitten beschriebenen Abläufen im
Zusammenhang mit der Benutzungskontrolle der Kommandos.
Jeweils vor Benutzung einer Sicherung in einem speziellen
Dateiverzeichnis wird mit Hilfe der Kennung der Sicherung
und/oder der Kennung des Dateiverzeichnisses geprüft, ob eine
Verwendung in diesem speziellen Dateiverzeichnis erlaubt ist
und anschließend die Benutzung der Sicherung ermöglicht oder
eine Fehlermeldung an das Terminal gesendet.
Bei einer weiteren bevorzugten Ausführung der Erfindung werden
die Kommandos CREATE_FILE und/oder APPL_CREATE_FILE in dem
Dateiverzeichnis APPL_3 angeordnet. Empfängt die Chipkarte
nun eine Aufforderung von dem Terminal diese Kommandos zur
Erzeugung einer Datei in einem Verzeichnis außerhalb des
Verzeichnisses APPL_3 zu verwenden, so wird durch das
erfindungsgemäße Verfahren sichergestellt, daß die Kommandos
CREATE_FILE und/oder APPL_CREATE_FILE nur in Verzeichnissen
außerhalb APPL_3 verwendet werden, für die dieses erlaubt ist.
Um das im Fall des Kommandos APPL_CREATE_FILE zu erreichen,
wird dieses Kommando mit Kennungsdaten versehen. Diesen
Kennungsdaten ist zu entnehmen, ob das Kommando
APPL_CREATE_FILE in einem anderen als dem Verzeichnis APPL_3
verwendet werden darf, wenn das erlaubt ist, in welchen
Verzeichnissen.
Bei der alternativen Ausführung geht aus der Kennung des
Verzeichnisses APPL_3 hervor, ob das Kommando CREATE_FILE
außerhalb von APPL_3 verwendet werden darf. Ist dies laut
Kennung nicht erlaubt, so wird eine entsprechende vom Terminal
empfangene Aufforderung nicht ausgeführt. Es wird ein
Fehlercode an das Terminal zurückgesendet.
Die in den letzten beiden Abschnitten beschriebenen
erfindungsgemäßen Ausführungen, die dadurch charakterisiert
sind, daß die zu benutzenden Kommandos in einem
Dateiverzeichnis der Chipkarte angeordnet werden, sind ohne
größeren Aufwand auf Sicherungen übertragbar. Auch die
Sicherungen sind in einem Verzeichnis anordenbar. Die
Kontrolle der Benutzung dieser Sicherungen außerhalb der
Verzeichnisse, in welchen sie abgelegt wurden, erfolgt den im
Zusammenhang mit den Kommandos beschriebenen Verfahren
entsprechend.
Bei einer Weiterbildung der Erfindung kann die
Benutzungskontrolle bestimmter Kommandos und/oder Sicherungen
mittels einer Kombination von Kennungen an einem Kommando
und/oder einer Sicherung und von Kennungen an einem
Verzeichnis ausgeführt werden.
Claims (21)
1. Verfahren zum sicheren Einbringen von Anwendungen
und/oder Daten auf einer Chipkarte, die einen Speicher
mit einer Dateistruktur aufweist, wobei bei dem Verfahren
mittels mindestens einem Kommando eine veränderte Dateistruktur in dem Speicher erzeugt wird und/oder Daten aus dem Speicher gelesen werden und/oder Daten in den Speicher geschrieben werden,
dadurch gekennzeichnet, daß
das Kommando nur in mindestens einem Teilbereich einer Gesamtdateistruktur verwendet wird,
wobei die Dateistruktur und die veränderte Dateistruktur von der Gesamtdateistruktur umfaßt werden.
mittels mindestens einem Kommando eine veränderte Dateistruktur in dem Speicher erzeugt wird und/oder Daten aus dem Speicher gelesen werden und/oder Daten in den Speicher geschrieben werden,
dadurch gekennzeichnet, daß
das Kommando nur in mindestens einem Teilbereich einer Gesamtdateistruktur verwendet wird,
wobei die Dateistruktur und die veränderte Dateistruktur von der Gesamtdateistruktur umfaßt werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß
mindestens eine Sicherung, insbesondere ein
kryptografischer Schlüssel und/oder ein Paßwort, benutzt
wird.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß
die Sicherung nur in mindestens einem Teilbereich der
Dateistruktur verwendet werden.
4. Verfahren nach den Ansprüchen 1 oder 3, dadurch
gekennzeichnet, daß
dem Kommando und/oder der Sicherung jeweils mindestens
eine Kennung zugeordnet wird.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß
mittels der Kennung angezeigt wird, ob das Kommando
und/oder die Sicherung in dem Teilbereich der
Gesamtdateistruktur verwendet werden können.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß
die Kennung des Kommandos und/oder die Kennung der
Sicherung ermittelt werden, bevor das Kommando und/oder
die Sicherung in dem Teilbereich der Gesamtdateistruktur
verwendet werden sollen.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daß
die Verwendung des Kommandos und/oder der Sicherung in
dem Teilbereich der Gesamtdateistruktur ausgeschlossen
werden, falls die Kennung des Kommandos und/oder der
Sicherung anzeigen, daß das Kommando und/oder die
Sicherung nicht in dem Teilbereich der
Gesamtdateistruktur verwendet werden können.
8. Verfahren nach den Ansprüchen 1 oder 3, dadurch
gekennzeichnet, daß
dem Teilbereich der Gesamtdateistruktur mindestens eine
Kennung zugeordnet wird.
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, daß
mittels der Kennung des Teilbereiches der
Gesamtdateistruktur angezeigt wird, ob das Kommando
und/oder die Sicherung in dem Teilbereich der
Gesamtdateistruktur verwendet werden können.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, daß
die Kennung des Teilbereiches der Gesamtdateistruktur
ermittelt wird, bevor das Kommando und/oder die Sicherung
in dem Teilbereich der Gesamtdateistruktur verwendet
werden sollen.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß
die Verwendung des Kommandos und/oder der Sicherung in
dem Teilbereich der Gesamtdateistruktur ausgeschlossen
wird, falls durch die Kennung des Teilbereiches anzeigt
wird, daß das Kommando und/oder die Sicherung nicht in
dem Teilbereich der Gesamtdateistruktur verwendet werden
können.
12. Verfahren nach den Ansprüchen 1 oder 3, dadurch
gekennzeichnet, daß
das Kommando und/oder die Sicherung in dem Teilbereich
der Gesamtdateistruktur angeordnet werden.
13. Verfahren nach den Ansprüchen 4 und 12, dadurch
gekennzeichnet, daß
mittels der Kennung des Kommandos und/oder der Sicherung
angezeigt wird, ob das Kommando und/oder die Sicherung
außerhalb des Teilbereiches der Gesamtdateistruktur
verwendet werden können.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß
die Kennung des Kommandos und/oder der Sicherung
ermittelt werden, bevor das Kommando und/oder die
Sicherung außerhalb des Teilbereiches der
Gesamtdateistruktur verwendet werden sollen.
15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, daß
die Verwendung des Kommandos und/oder der Sicherung
außerhalb des Teilbereiches der Gesamtdateistruktur
ausgeschlossen wird, falls die Kennung des Kommandos
und/oder der Sicherung anzeigen, daß das Kommando
und/oder die Sicherung nicht außerhalb des Teilbereiches
der Gesamtdateistruktur verwendet werden können.
16. Verfahren nach den Ansprüchen 8 und 12, dadurch
gekennzeichnet, daß
mittels der Kennung des Teilbereichs angezeigt wird, ob
das Kommando und/oder die Sicherung außerhalb des
Teilbereiches der Gesamtdateistruktur verwendet werden
können.
17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, daß
die Kennung des Teilbereiches ermittelt wird, bevor das
Kommando und/oder die Sicherung außerhalb des
Teilbereiches der Gesamtdateistruktur verwendet werden
sollen.
18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, daß
die Verwendung des Kommandos und/oder der Sicherung
außerhalb des Teilbereiches der Gesamtdateistruktur
ausgeschlossen wird, falls die Kennung des Teilbereiches
anzeigt, daß das Kommando und/oder die Sicherung nicht
außerhalb des Teilbereiches der Gesamtdateistruktur
verwendet werden können.
19. Eine Chipkarte, die einen Speicher mit einer
Basisdateistruktur aufweist, wobei auf der Chipkarte
mittels mindestens einem Kommando eine erweiterte
Dateistruktur in den Speicher einbringbar ist, Daten aus
dem Speicher lesbar sind und/oder Daten in den Speicher
schreibbar sind, und wobei dabei mindestens eine
Sicherung, insbesondere ein kryptografischer Schlüssel
und/oder ein Paßwort, benutzbar ist,
gekennzeichnet durch
Sicherheitsmittel zur Beschränkung einer Verwendbarkeit des Kommandos und/oder der Sicherung auf jeweils mindestens einen Teilbereich einer Gesamtdateistruktur,
wobei die Gesamtdateistruktur von der Basisstruktur und der erweiterten Dateistruktur gebildet ist.
gekennzeichnet durch
Sicherheitsmittel zur Beschränkung einer Verwendbarkeit des Kommandos und/oder der Sicherung auf jeweils mindestens einen Teilbereich einer Gesamtdateistruktur,
wobei die Gesamtdateistruktur von der Basisstruktur und der erweiterten Dateistruktur gebildet ist.
20. Chipkarte nach Anspruch 19, dadurch gekennzeichnet, daß
die Sicherheitsmittel als mindestens eine Kennung des
Kommandos und/oder mindestens eine Kennung der Sicherung
ausgebildet sind.
21. Chipkarte nach Anspruch 19, dadurch gekennzeichnet, daß
die Sicherheitsmittel als mindestens eine Kennung des
Teilbereiches der Gesamtdateistruktur ausgebildet sind.
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19626339A DE19626339A1 (de) | 1996-07-01 | 1996-07-01 | Sicheres Laden von Anwendungen und Daten auf Chipkarten |
GB9712374A GB2314948B (en) | 1996-07-01 | 1997-06-14 | Chipcard data transfer method |
PL97320722A PL184155B1 (pl) | 1996-07-01 | 1997-06-23 | Sposób zabezpieczonego przesyłania programów użytkowych do pamięci karty mikroprocesorowej |
HU9701130A HUP9701130A3 (en) | 1996-07-01 | 1997-06-30 | Method of safe writing applications and/or data into chipcard |
US08/884,786 US6145080A (en) | 1996-07-01 | 1997-06-30 | Method for safely transferring data and applications onto a chipcard |
JP9173538A JPH10171716A (ja) | 1996-07-01 | 1997-06-30 | データ及びアプリケーションをチップカード上に安全に転送する方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19626339A DE19626339A1 (de) | 1996-07-01 | 1996-07-01 | Sicheres Laden von Anwendungen und Daten auf Chipkarten |
Publications (1)
Publication Number | Publication Date |
---|---|
DE19626339A1 true DE19626339A1 (de) | 1998-01-08 |
Family
ID=7798544
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19626339A Ceased DE19626339A1 (de) | 1996-07-01 | 1996-07-01 | Sicheres Laden von Anwendungen und Daten auf Chipkarten |
Country Status (6)
Country | Link |
---|---|
US (1) | US6145080A (de) |
JP (1) | JPH10171716A (de) |
DE (1) | DE19626339A1 (de) |
GB (1) | GB2314948B (de) |
HU (1) | HUP9701130A3 (de) |
PL (1) | PL184155B1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009112279A1 (de) * | 2008-03-14 | 2009-09-17 | Giesecke & Devrient Gmbh | Optimierte befehlsverarbeitung im rahmen der chipkarten-kommunikation |
EP2270758A2 (de) * | 2009-06-30 | 2011-01-05 | Kabushiki Kaisha Toshiba | Tragbare elektronische Vorrichtung, Verarbeitungsvorrichtung für die tragbare elektronische Vorrichtung und Datenverarbeitungsverfahren in einer tragbare elektronischen Vorrichtung |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19716015A1 (de) * | 1997-04-17 | 1998-10-29 | Ibm | Einbringen von Information auf einer Chipkarte |
DE19839847A1 (de) * | 1998-09-02 | 2000-03-09 | Ibm | Speichern von Datenobjekten im Speicher einer Chipkarte |
DE19947986A1 (de) * | 1999-10-05 | 2001-04-12 | Ibm | System und Verfahren zum Herunterladen von Anwendungsteilen auf eine Chipkarte |
JP2001118042A (ja) * | 1999-10-19 | 2001-04-27 | Hitachi Ltd | カード監視方法 |
US20020040438A1 (en) * | 2000-05-05 | 2002-04-04 | Fisher David Landis | Method to securely load and manage multiple applications on a conventional file system smart card |
US6824064B2 (en) * | 2000-12-06 | 2004-11-30 | Mobile-Mind, Inc. | Concurrent communication with multiple applications on a smart card |
GB0212315D0 (en) * | 2002-05-28 | 2002-07-10 | Symbian Ltd | Secure mobile wireless device with protected file systems |
DE10234158A1 (de) * | 2002-07-26 | 2004-02-05 | Giesecke & Devrient Gmbh | Einrichten eines Dateisystems in einem Datenträger |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3807997C2 (de) * | 1987-03-13 | 1993-07-29 | Mitsubishi Denki K.K., Tokio/Tokyo, Jp |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS60160491A (ja) * | 1984-01-31 | 1985-08-22 | Toshiba Corp | Icカードとicカード発行装置 |
US4816653A (en) * | 1986-05-16 | 1989-03-28 | American Telephone And Telegraph Company | Security file system for a portable data carrier |
JPH087720B2 (ja) * | 1986-09-16 | 1996-01-29 | 富士通株式会社 | 複数サービス用icカードの領域アクセス方法 |
JPH01233590A (ja) * | 1988-03-14 | 1989-09-19 | Toshiba Corp | 携帯可能電子装置 |
US5412717A (en) * | 1992-05-15 | 1995-05-02 | Fischer; Addison M. | Computer system security method and apparatus having program authorization information data structures |
JPH0744672A (ja) * | 1993-07-28 | 1995-02-14 | Oki Electric Ind Co Ltd | Icカード及びicカードシステム |
FR2713803B1 (fr) * | 1993-12-07 | 1996-01-12 | Gemplus Card Int | Carte à mémoire et procédé de fonctionnement. |
US5720033A (en) * | 1994-06-30 | 1998-02-17 | Lucent Technologies Inc. | Security platform and method using object oriented rules for computer-based systems using UNIX-line operating systems |
JP3691871B2 (ja) * | 1995-03-20 | 2005-09-07 | 富士通株式会社 | カード型記憶媒体 |
FR2743910B1 (fr) * | 1996-01-19 | 1998-02-27 | Solaic Sa | Procede de mise en oeuvre d'un programme securise dans une carte a microprocesseur et carte a microprocesseur comportant un programme securise |
EP0798673A1 (de) * | 1996-03-29 | 1997-10-01 | Koninklijke KPN N.V. | Verfahren zum gesicherten Laden von Steuerbefehlen in eine Chipkarte |
US5923884A (en) * | 1996-08-30 | 1999-07-13 | Gemplus S.C.A. | System and method for loading applications onto a smart card |
-
1996
- 1996-07-01 DE DE19626339A patent/DE19626339A1/de not_active Ceased
-
1997
- 1997-06-14 GB GB9712374A patent/GB2314948B/en not_active Expired - Lifetime
- 1997-06-23 PL PL97320722A patent/PL184155B1/pl not_active IP Right Cessation
- 1997-06-30 US US08/884,786 patent/US6145080A/en not_active Expired - Fee Related
- 1997-06-30 HU HU9701130A patent/HUP9701130A3/hu unknown
- 1997-06-30 JP JP9173538A patent/JPH10171716A/ja active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3807997C2 (de) * | 1987-03-13 | 1993-07-29 | Mitsubishi Denki K.K., Tokio/Tokyo, Jp |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009112279A1 (de) * | 2008-03-14 | 2009-09-17 | Giesecke & Devrient Gmbh | Optimierte befehlsverarbeitung im rahmen der chipkarten-kommunikation |
EP2270758A2 (de) * | 2009-06-30 | 2011-01-05 | Kabushiki Kaisha Toshiba | Tragbare elektronische Vorrichtung, Verarbeitungsvorrichtung für die tragbare elektronische Vorrichtung und Datenverarbeitungsverfahren in einer tragbare elektronischen Vorrichtung |
EP2270758A3 (de) * | 2009-06-30 | 2011-03-02 | Kabushiki Kaisha Toshiba | Tragbare elektronische Vorrichtung, Verarbeitungsvorrichtung für die tragbare elektronische Vorrichtung und Datenverarbeitungsverfahren in einer tragbare elektronischen Vorrichtung |
US8112662B2 (en) | 2009-06-30 | 2012-02-07 | Kabushiki Kaisha Toshiba | Portable electronic apparatus, processing apparatus for portable electronic apparatus, and data processing method in portable electronic apparatus |
Also Published As
Publication number | Publication date |
---|---|
PL184155B1 (pl) | 2002-09-30 |
HUP9701130A2 (hu) | 1998-04-28 |
JPH10171716A (ja) | 1998-06-26 |
GB2314948B (en) | 2000-10-04 |
PL320722A1 (en) | 1998-01-05 |
HUP9701130A3 (en) | 1999-04-28 |
GB9712374D0 (en) | 1997-08-13 |
US6145080A (en) | 2000-11-07 |
GB2314948A (en) | 1998-01-14 |
HU9701130D0 (en) | 1997-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69730712T2 (de) | Kommunikationssystem mit gesicherter, unabhängiger verwaltung mehrerer anwendungen pro gebraucherkarte, gebraucherkarte und verwaltungsverfahren dafür | |
DE19633466C2 (de) | Nachinitialisierung von Chipkarten | |
DE19839847A1 (de) | Speichern von Datenobjekten im Speicher einer Chipkarte | |
DE19536169A1 (de) | Multifunktionale Chipkarte | |
EP0965076A1 (de) | Elektronische datenverarbeitungseinrichtung und -system | |
DE3318101A1 (de) | Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit | |
EP0811204B1 (de) | Verarbeitung langer nachrichten in einer chipkarte | |
EP1196902B1 (de) | Verfahren zum betreiben eines zur ausführung von nachladbaren funktionsprogrammen ausgebildeten datenträgers | |
DE102005022019A1 (de) | Sichere Verarbeitung von Daten | |
DE19626339A1 (de) | Sicheres Laden von Anwendungen und Daten auf Chipkarten | |
DE10324337B4 (de) | Rechnersystem und zugehöriges Verfahren zum Durchführen eines Sicherheitsprogramms | |
DE60013518T2 (de) | Versicherte Personalisierung von Chipkarten | |
WO1996028795A1 (de) | Chipkarte mit geschütztem betriebssystem | |
DE3512785A1 (de) | Verfahren zur zugriffssicherung | |
DE19716015A1 (de) | Einbringen von Information auf einer Chipkarte | |
EP1722336A2 (de) | Vorrichtung und Verfahren zur Erzeugung von Daten für eine Initialisierung von Sicherheitsdatenträgern | |
EP1634252B1 (de) | Verfahren zum laden von tragbaren datenträgern mit daten | |
DE102010004446A1 (de) | Verfahren zum Bereitstellen eines sicheren Zählers auf einem Endgerät | |
EP1927870B1 (de) | Tragbarer Datenträger | |
DE19925195A1 (de) | Verfahren für die sichere Verwaltung eines Speichers | |
DE102005056357A1 (de) | Multithreading-fähige virtuelle Maschine | |
WO1998039743A2 (de) | Verfahren zur durchführung von veränderungen in berechtigungsdatensätzen | |
EP0813722B1 (de) | Lizenzkartengesteuertes chipkartensystem | |
DE10235381A1 (de) | Verfahren zum Überspielen wenigstens eines Datensatzes aus einer externen Datenquelle in eine Recheneinheit, sowie Recheneinheit | |
EP2486489A1 (de) | Portabler datenträger mit zusatzfunktionalität |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8131 | Rejection |