DE19723862C2 - Mobiler Datenträger für Sicherheitsmodule - Google Patents

Mobiler Datenträger für Sicherheitsmodule

Info

Publication number
DE19723862C2
DE19723862C2 DE1997123862 DE19723862A DE19723862C2 DE 19723862 C2 DE19723862 C2 DE 19723862C2 DE 1997123862 DE1997123862 DE 1997123862 DE 19723862 A DE19723862 A DE 19723862A DE 19723862 C2 DE19723862 C2 DE 19723862C2
Authority
DE
Germany
Prior art keywords
data carrier
mobile data
terminal
security
security modules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE1997123862
Other languages
English (en)
Other versions
DE19723862A1 (de
Inventor
Hermann R Bublitz
Steve G Lee
Adam R Newth
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to DE1997123862 priority Critical patent/DE19723862C2/de
Priority to GB9811597A priority patent/GB2326011B/en
Publication of DE19723862A1 publication Critical patent/DE19723862A1/de
Application granted granted Critical
Publication of DE19723862C2 publication Critical patent/DE19723862C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/363Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor

Description

Die Erfindung betrifft einen mobilen Datenträger, insbesondere eine Chipkarte, mit einem Prozessor, einem Speicher und einer Schnittstelle, wobei der mobile Datenträger in ein Terminal einsteckbar ist und wobei der mobile Datenträger über die Schnittstelle Daten mit dem Terminal austauschen kann.
Derartige mobile Datenträger werden beispielsweise in Verbindung mit einer elektronischen Börse genutzt. Bei der elektronischen Börse handelt es sich um eine moderne Art der bargeldlosen Bezahlung von Waren und Dienstleistungen. Hierbei gibt ein Geldinstitut, welches der Inhaber der elektronischen Börse ist, eine Chipkarte an einen Kunden aus und registriert die Daten des Kunden und der ausgegebenen Chipkarte. Zu den zu registrierenden Daten gehören insbesondere Art und Weise der Verwendung der Chipkarte, die Kredithöhe, die Gültigkeitsdauer und das Buchungsverfahren.
Die Chipkarte wird vor der Herausgabe an den Kunden initialisiert, d. h. es werden Anwendungsdaten auf der Chipkarte eingebracht, die es erlauben, die Chipkarte im Rahmen bestimmter Anwendungen zu nutzen. Dem Kunden wird bei der Herausgabe der Chipkarte mitgeteilt, für welche Anwendungen seine Chipkarte nutzbar ist.
Um mit der Chipkarte Waren und Dienstleistungen bezahlen zu können, muß auf der Chipkarte zunächst ein Geldbetrag gespeichert sein. Zu diesem Zweck übergibt der Kunde an einem Schalter des Geldinstitutes eine bestimmten Betrag als Bargeld oder läßt den bestimmten Betrag von seinem Konto abbuchen. Auf der Chipkarte wird dann ein Guthaben in der Höhe des bestimmten Betrages gespeichert. Bis zu dieser Höhe kann der Kunde die Chipkarte nun zur Bezahlung nutzen. Das Geldinstitut überweist denselben bestimmten Betrag auf ein Börsenkonto. Von diesem Börsenkonto erhält später ein Händler sein Geld, wenn der Kunde bei diesem Händler mit der Chipkarte bezahlt hat.
Ist das Guthaben verbraucht, muß die Chipkarte wieder geladen werden. Das Laden eines Guthabens auf die Chipkarte kann mit einem dazu geeigneten Lade-Terminal von einem Schalterbeamten des Geldinstitutes ausgeführt werden. Darüber hinaus sind hierfür beliebige mit dieser Funktion ausgestattete Bankautomaten nutzbar.
Möchte der Kunde zu einem späteren Zeitpunkt im Laden eines Händlers eine Ware mit Hilfe seiner Chipkarte bezahlen, so ist diese Transaktion an einem POS-Terminal (Point-of-sale- Terminal) ausführbar.
Die Chipkarte wird in einen im POS-Terminal angeordneten Chipkartenleser eingesteckt. Mit Hilfe des Chipkartenlesers können Daten von der Chipkarte gelesen werden oder Daten auf die Chipkarte geschrieben werden. Insbesondere wird das auf der Chipkarte gespeicherte Guthaben um den Betrag verringert, welcher für die Ware beim Händler zu zahlen ist. Es verbleibt ein Restguthaben auf der Chipkarte.
Im Rahmen der Transaktion beim Händler werden in dem POS- Terminal gleichzeitig die Daten gespeichert, die Informationen darüber enthalten, welches der zu zahlende Betrag war, welches Restguthaben verbleibt, welches Geldinstitut das Börsenkonto unterhält und weitere Kundendaten. Diese Daten werden in dem POS-Terminal als eine Transaktionseinheit gespeichert. Nach Ablauf eines Tages oder eines anderen Zeitraumes werden eine oder mehrere Transaktionseinheiten an das Geldinstitut, welches das Börsenkonto unterhält, übermittelt. Durch das Geldinstitut wird überprüft, ob die Transaktion beim Händler korrekt ausgeführt wurde. Wenn festgestellt wird, daß die Daten in der Transaktionseiheit auf einem korrekten Zahlungsvorgang basieren, wird der Zahlbetrag vom Börsenkonto an den Händler überwiesen.
Sowohl beim Laden der Chipkarte am Lade-Terminal, als auch beim Bezahlen mittels der Chipkarte am POS-Terminal des Händlers sind Sicherheitsstandards einzuhalten. Um Manipulationen der elektronischen Geldbörse auf der Chipkarte zu verhindern, werden für den Datenaustausch zwischen der Chipkarte und dem POS-Terminal und für den Datenaustausch zwischen der Chipkarte und dem Lade-Terminal sicherheitsrelevante Funktionen eingesetzt. Hierbei kann es sich insbesondere um das Verschlüsseln und Entschlüsseln von Daten handeln, die zwischen der Chipkarte und dem jeweiligen Terminal auszutauschen sind.
Die genaue Ausführung der sicherheitsrelevanten Funktionen hängt von der konkreten Anwendung, im Rahmen derer das jeweilige Terminal genutzt wird, ab. So kann vorgesehen sein, daß das POS-Terminal im Zusammenhang mit elektronischen Börsen verschiedener Geldinstitute nutzbar ist. Die hierfür jeweils genutzten Sicherheitsfunktionen können sich unterscheiden. Das POS-Terminal muß deshalb an die jeweilige elektronische Börse angepaßt werden. Desweiteren sollte auch ein Lade-Terminal für verschiedene elektronischen Börsen nutzbar sein.
Auch andere Terminals müssen an variierende Anwendungen angepaßt werden. So nutzt ein Terminal, welches den Zugang zu verschiedenen Anwendungen in einem Netzwerk erlaubt, für verschiedene Anwendungen verschiedene Prozeduren, die zu durchlaufen sind, um Zugang zur jeweiligen Anwendung zu bekommen. Die verschiedenen Prozeduren benötigen unterschiedliche sicherheitsrelevante Funktionen. Diese müssen jeweils zur Verfügung stehen.
Eine Möglichkeit zur flexiblen Anpassung von Terminals an verschiedene Anwendungen sind mobile Sicherheitsmodule. Ein derartiges mobiles Sicherheitsmodul ist aus der Patentschrift US-4 969 188 bekannt. Das bekannte Sicherheitsmodul ist als Chipkarte ausgebildet. Auf der Chipkarte sind insbesondere mehrere, hierarchisch geordnete kryptographische Schlüssel gespeichert.
Das bekannte Sicherheitsmodul ist in ein Basisgerät einsteckbar. Mit Hilfe des Basisgerätes können dann sicherheitsrelevante Operationen in einem Netzwerk ausgeführt werden. Die hierzu notwendigen sicherheitsrelevanten Funktionen sind auf der Chipkarte gespeichert. Hierdurch wird eine Trennung zwischen Hardware, die sicherheitsrelevante Daten aufweist, und Hardware, die keine sicherheitsrelevanten Daten aufweist, erreicht.
Nachteil der bekannten Lösung ist es, daß die Chipkarte mit dem darauf angeordneten Sicherheitsmodul nur für eine einzelne Anwendung des Basisgerätes nutzbar ist. Ist das Basisgerät im Zusammenhang mit einer elektronischen Börse als POS-Terminal ausgebildet, so bedeutet dies, daß für elektronische Börsen verschiedener Geldinstitute oder auch anderen Anwendungen des POS-Terminals jeweils eine andere Chipkarte notwendig ist.
EP 0 337 185 B1 beschreibt eine tragbare Datenträgeranordnung. In dieser Datenträgeranordnung ist ein zusätzlicher Datenspeicher vorgesehen, dessen Ansteuerung von der Steuereinheit geschützt ist. Das geschützte Ansteuern lässt sich auf verschiedene Weise durch integrierte kryptografische Schaltungsmittel verwirklichen. Die Erfindung ist unabhängig davon anwendbar, ob die integrierten Schaltungen einer Datenträgeranordnung in zwei oder mehrere durch Leitungen verbundene Bausteine aufteilt oder auf einem einzigen Datenträger vereinst sind.
In Beutelspacher, A. und a.: Chipkarten als Sicherheitswerkzeug Berlin, Springer-Verlag, 1991 Seite 85-87 werden unterschiedliche Aspekte einer multifunktionalen Chipkarte diskutiert.
Wie aus Seite 86, dritter Absatz hervorgeht, wird vorgeschlagen, eine derartige Chipkarte in ein CDF (Common Data Field) und ein ADF (Application Data Field) aufzuteilen. Im Rahmen der Erstpersonalisierung sollen dabei insbesondere geheime Schlüssel geladen werden, die zur Authentifizierung der Anwendungsanbieter dienen. Sollen Sicherheitsmechanismen bereitgestellt werden, die von den Anwendungsanbietern auf Wunsch benutzt werden können. Wie aus vorletztem Absatz der Seite 86 hervorgeht, sollen die ADF- Daten Schlüssel enthalten, die nicht der Kontrolle des Kartenherausgebers unterliegen. Der Anwendungsanbieter soll dabei seine Sicherheitspolitik selbständig festlegen können.
DE 195 36 169 A1 beschreibt die Integration mehrerer Anwendungsprogramme auf einer Chipkarte. Erfindungsgemäß erfolgt die Integration mehrerer Anwendungsprogramme auf einer Chipkarte durch eine Trennung und Entkoppelung der einzelnen Programme untereinander.
Hierbei erfolgt die Trennung unterschiedlicher Anwendungen auf einer Chipkarte mit einem Prozessor durch Einfügung einer Separation der Anwendungsteile im Speicherbereich der Chipkarte. Die Separation bewirkt, dass jede Anwendung nur auf einen festlegbaren Bereich innerhalb der Speichers zugreifen kann, und dass Zugriffe außerhalb des vorgegebenen Speicherbereichs für diese Anwendung unterbunden werden. Die Erfindung besteht in einer bevorzugten Ausführungsform aus unabhängigen Einheiten. Jeder dieser Einheiten besteht aus einem separaten Microprozessor und einer separaten Speichereinheit.
Jede einzelne der unabhängigen Einheiten stellt eine abgeschlossene Funktionseinheit dar. Die jeweilige Speichereinheit einer der unabhängigen Einheiten ist nur über den entsprechenden, dazugehörigen Mikroprozessor zugänglich und kann mittels entsprechender, im Stand der Technik bekannten Sicherungsverfahren, geschützt werden.
Aufgabe der vorliegenden Erfindung ist es deshalb, einen mobilen Datenträger der eingangs beschriebenen Art zu schaffen, der flexibel für eine Vielzahl von Anwendungen einsetzbar ist.
Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß auf dem mobilen Datenträger mindestens zwei Sicherheitsmodule angeordnet sind, wobei die mindestens zwei Sicherheitsmodule jeweils sicherheitsrelevante Daten und/oder sicherheitsrelevante Funktionen umfassen.
Der wesentliche Vorteil, welcher mit der Erfindung gegenüber dem Stand der Technik erreicht ist, besteht darin, daß der mobile Datenträger in einem Terminal nicht ausgetauscht werden muß, wenn ein Terminal für verschiedene Anwendungen nutzbar ist. Durch die Anordnung von mindestens zwei Sicherheitsmodulen auf dem mobilen Datenträger ist eine Materialeinsparung erreicht. Es muß nicht für jede Anwendung ein separater Datenträger mit jeweils einem Sicherheitsmodul hergestellt werden.
Ein weiterer Vorteil ist, daß bei der Herstellung eines mobilen Datenträgers neben den Sicherheitsmodulen, für die bereits zum Zeitpunkt der Herstellung feststeht, daß sie benutzt werden sollen, weitere Sicherheitsmodule auf dem Datenträger angeordnet werden können. Die weiteren Sicherheitsmodule sind als Optionen vorgesehen, die dann nutzbar sind, wenn der mobile Datenträger im Rahmen seiner Lebensdauer für weitere Anwendungen genutzt werden soll.
Vorteilhaft kann vorgesehen sein, daß mittels der mindestens zwei Sicherheitsmodule jeweils verschiedene Anwendungen, die eine Nutzung des Terminals umfassen, ausführbar sind. Durch die Benutzung eines der mindestens zwei Sicherheitsmodule für nur eine bestimmte Anwendung wird sichergestellt, daß ein Nutzer der bestimmten Anwendung keine Informationen über andere Anwendungen ausspionieren kann.
Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, daß mittels der mindestens zwei Sicherheitsmodule eine Ausführung von Anwendungen, die eine Nutzung des Terminals umfassen, verhinderbar ist. Hierdurch wird gewährleistet, daß die Ausführung einer Anwendung abgebrochen werden kann, wenn festgestellt wird, daß ein Benutzer versucht, das Terminal mißbräuchlich zu nutzen.
Eine vorteilhafte Weiterbildung der Erfindung sieht vor, daß auf dem mobilen Datenträger ein Betriebssystem installierbar ist, wobei die sicherheitsrelevanten Funktionen der mindestens zwei Sicherheitsmodule mit Hilfe des Betriebssystems ausführbar sind. Hierdurch ist eine effiziente Kommunikation zwischen dem mobilen Datenträger und dem Terminal ermöglicht.
Vorteilhaft kann vorgesehen sein, daß mit Hilfe des Betriebssystems ermittelbar ist, welches der mindestens zwei Sicherheitsmodule für eine Ausführung einer bestimmten Anwendung, die eine Nutzung des Terminals umfaßt, nutzbar ist. Hierdurch können beliebige Daten, die vom Terminal an die Chipkarte gesendet werden, mit minimalen Zeitaufwand dem entsprechenden Sicherheitsmodul zugeordnet werden.
Bei einer zweckmäßigen Ausführung der Erfindung sind die mindestens zwei Sicherheitsmodule jeweils mit Hilfe eine Passwortes schützbar, wodurch eine Sicherung gegen einen mißbräuchlichen Zugriff auf die Sicherheitsmodule ausbildbar ist.
Vorteilhaft kann vorgesehen sein, daß die mindestens zwei Sicherheitsmodule in verschiedenen Bereichen des Speichers angeordnet sind, wodurch bei Benutzung eines der zwei Sicherheitsmodule ein Ausspionieren des anderen Sicherheitsmoduls verhinderbar ist.
Zweckmäßig kann eine der Anwendungen, welche die Benutzung des Terminals vorsieht, eine elektronische Börse umfassen. Im Rahmen einer elektronischen Börse sind eine Vielzahl von POS- Terminals mit Sicherheitsmodulen auszustatten. Diese POS- Terminals sind an verschiedenen Orten angeordnet und sollen für möglichst verschieden Börsen nutzbar sein. Deshalb ist in diesem Fall ein mobiler Datenträger mit mindestens zwei Sicherheitsmodulen besonders vorteilhaft einsetzbar.
Vorteilhaft kann vorgesehen sein, daß das Sicherheitsmodul, welches für die Anwendung mit der elektronischen Börse nutzbar ist, eine Funktion zur Begrenzung eines Geldbetrages aufweist, wobei der Geldbetrag die Summe der Guthaben ist, die auf Chipkarten von Kunden der elektronischen Börse ladbar sind. Hierdurch ist bei einem Mißbrauch des Terminals der entstehende Schaden begrenzbar.
Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, daß der Gelbetrag die Summe der Guthaben in einem bestimmbaren Zeitraum umfaßt, wodurch eine zeitliche Nutzungsbegrenzung des Terminals für die Anwendung im Rahmen der elektronischen Börse ausführbar ist.
Zweckmäßig ist die Begrenzung des Gelbetrages nach einer Einabe eines vertraulichen Codes mittels einem Tasturfeld des Terminals veränderbar. So kann sichergestellt werden, daß nur vertrauenswürdige Personen, insbesondere Angestellten des Geldinstitutes, welches Inhaber der elektronischen Börse ist, die Begrenzung des Geldbetrages verändern oder erneuern.
Eine vorteilhafte Weiterbildung der Erfindung sieht vor, daß der Geldbetrag ausschließlich veränderbar ist, wenn zwischen dem Terminal und einer Rechenzentrale der elektronischen Börse eine on-line Verbindung ausgebildet ist. Hierdurch ist die Begrenzung des Geldbetrages ohne größeren Aufwand und zeiteffizient veränderbar oder erneuerbar.
Eine zweckmäßige Ausgestaltung der Erfindung besteht darin, daß das Terminal als off-line Terminal ausbildbar ist. In Verbindung mit off-line Terminals ist die Begrenzung des Geldbetrages besonders vorteilhaft, da bei diesen Terminals die Gefahr des Mißbrauchs, beispielsweise bei gestohlenen Terminals, besonders hoch ist.
Die vorteilhaften Ausführungen der Erfindung in den abhängigen Verfahrensansprüchen weisen die, im Zusammenhang mit den Merkmalen der Vorrichtungsansprüche genannten Vorteile entsprechend auf.
Die Erfindung wird im folgenden an Hand einer Zeichnung näher erläutert.
Fig. 1 zeigt eine schematische Darstellung einer Anordnung zur Ausführung eines Zahlungsvorganges bei einem Händler. Das Terminal 1 weist einen Kartenleser 2 auf. Mittels diesem Kartenleser 2 können sowohl Chipkarten 3 als auch Kreditkarten mit Magnetstreifen 4 gelesen werden. Das Terminal 1 ist als selbständiges Gerät ausführbar, aber auch eine Integrierung in einen Kassierautomaten ist vorsehbar. Des weiteren kann das Terminal 1 mit einem Rechenzentrum online verbunden sein oder auch an ein Netzwerk angeschlossen sein.
Im Terminal 1 ist ein Schreib-/Lesegerät 5 angeordnet. In das Schreib-/Lesegerät 5 wird der mobile Datenträger 6 eingesteckt.
Mit Hilfe des Schreib-/Lesegerätes 5 können Daten zwischen dem mobilen Datenträger 6 und dem Terminal 1 sowie zwischen dem mobilen Datenträger 6 und der Chipkarte 3 oder der Kreditkarte 4 ausgetauscht werden.
Der mobile Datenträger 6 ist vorzugsweise als eine Chipkarte ausgebildet. In diesem Fall ist das Schreib-/Lesegerät 5 als Chipkartenleser ausbildbar. Chipkarten weisen ein handliche Format auf und sind als Massenartikel herstellbar. Dem Fachmann bieten sich auch andere Möglichkeiten zur Ausführung des mobilen Datenträgers. So kann eine Ausbildung entsprechend dem Aufbau einer Steckkarte für einen Computer vorgesehen sein. Eine derartige Ausführung des mobilen Datenträgers 6 weist jedoch nicht die für die Chipkarte genannten Vorteile auf.
Je nach Ausbildung des mobilen Datenträgers 6 ist in dem Terminal 1 ein Schreib-/Lesegerät 5 anzuordnen, welches über eine Schnittstelle auf dem mobilen Datenträger 6 mit demselben kommunizieren kann.
Auf dem mobilen Datenträger 6 sind mindestens zwei Sicherheitsmodule 7, 8 aufgebracht. Die Sicherheitsmodule 7, 8 sind im Speicherbereich des mobilen Datenträgers 6 angeordnet. Sie können in einem einheitlichen Speicherbereich angeordnet sein. Aber auch eine Anordnung der Sicherheitsmodule 7, 8 in getrennten Speicherbereichen ist vorsehbar. Getrennte Speicherbereiche haben den Vorteil, daß es mit Hilfe der Trennung erschwert wird, bei der Nutzung eines Speichermoduls 7 im Rahmen einer Anwendung des Terminals, Daten aus dem Sicherheitsmodul 8 auszuspionieren.
Beide Sicherheitsmodule 7, 8 umfassen sicherheitsrelevante Daten und/oder sicherheitsrelevante Funktionen. Zu diesen sicherheitsrelevanten Daten gehören insbesondere kryptographische Schlüssel zum Verschlüsseln und Entschlüsseln von auszutauschenden Daten.
Möchte ein Kunde bei einem Händler bezahlen und hierzu die Anwendung 'Elektronische Börse' seiner Chipkarte 3 nutzen, so wird die Chipkarte 3 in den Kartenleser 2 eingeführt. Vom Terminal 1 wird danach eine Nachricht an den mobilen Datenträger 6 gesendet. Das auf dem mobilen Datenträger 6 installierte Betriebssystem entnimmt dieser Nachricht, welche Anwendung auszuführen ist. Mit Hilfe dieser Information wählt das Betriebssystem ein entsprechendes Sicherheitsmodul 7 aus. Dieses Sicherheitsmodul 7 steht dann zur weiteren Ausführung der Anwendung zur Verfügung.
Mit Hilfe der Ver- und Entschlüsselungsfunktionen des Sicherheitsmoduls 7 können im Rahmen der auszuführenden Anwendungen Daten zwischen der Chipkarte 3 und dem Terminal 1 ausgetauscht werden. Bei der Anwendung 'Elektronische Börse', werden mit Hilfe der sicherheitsrelevanten Funktionen des Sicherheitsmoduls 7 insbesondere eine Transaktionseinheit erstellt und das Guthaben auf der Chipkarte 3 um den Betrag verringert, welcher dem Händler zu zahlen ist. Die Transaktionseinheit umfaßt beispielsweise Informationen über den Kunden, den Händler und die elektronische Börse, welche genutzt wurde.
Mit Hilfe der Sicherheitsmodule 7, 8 ist einerseits bei deren Nutzung im Rahmen der elektronischen Börse stets prüfbar, ob Manipulationen an der Chipkarte 3 vorgenommen wurden. Andererseits ist der Ablauf der Transaktion am Terminal 1 selbst mittels der Sicherheitsmodule 7, 8 kontrollierbar. Wird eine Unkorrektheit in einem der beiden Fälle festgestellt, so kann die Ausführung der Transaktion mittels der Funktionen in den Sicherheitsmodulen 7, 8 ganz verhindert werden oder abgebrochen werden.
Möchte ein weiterer Kunde zu einem späteren Zeitpunkt mit der Kreditkarte 4 bezahlen, so wählt das Betriebssystem des mobilen Datenträgers 3 auf Anforderung durch das Terminal 1 das Sicherheitsmodul 8 aus. Es stehen dann die für die Anwendung 'Kreditkarte' notwendigen sicherheitsrelevanten Funktionen zur Verfügung.
Es kann vorteilhaft vorgesehen sein, daß die Sicherheitsmodule 7, 8 auf dem mobilen Datenträger zusätzlich durch ein Passwort geschützt sind. Das Passwort kann insbesondere Zahlen- und Buchstabenzeichen umfassen. Dies bedeutet, daß nachdem ein Sicherheitsmodul 7, 8 für eine bestimmte Anwendung ausgewählt wurde, zunächst eine Passworteingabe von dem Benutzer verlangt wird. Hierzu weist das Terminal 1 ein Tastaturfeld 9 auf. Erst nachdem der Benutzer das richtige Passwort eingegeben hat, steht das Sicherheitsmodul 7, 8 für die weitere Ausführung der Anwendung zur Verfügung. Gibt der Benutzer mehrmals ein falsches Passwort ein, wird die Anwendung abgebrochen.
Neben der Nutzung des erfindungsgemäßen mobilen Datenträgers 6 mit den Sicherheitsmodulen 7, 8 in einem Terminal 1, mittels welchem bei einem Händler gezahlt werden kann, ist es auch möglich, den mobilen Datenträger 6 in einem Bankterminal zu nutzen, wobei an dem Bankterminal ein Guthaben auf die Chipkarte 3 geladen werden kann. Auch bei dieser Anwendung sind sicherheitsrelevante Funktionen zum Laden des Guthabens auf die Chipkarte notwendig. Diese sicherheitsrelevanten Funktionen werden mit Hilfe der Sicherheitsmodule 7, 8 zur Verfügung getstellt.
Das Terminal 1 kann vorzugsweise auch als Ladegerät in Verbindung mit einer elektronischen Börse nutzbar sein. Mit Hilfe dieses Ladegerätes sind Geldbeträge als Guthaben auf die Chipkarten 3 der Kunden der elektronischen Börse ladbar. Bis zur Höhe dieser Guthaben kann der Kunde anschließend seine Chipkarte 3 zum Bezahlen bei den Händlern nutzen.
Die Sicherheitsmodule 7, 8 können, wenn das Terminal 1 auch als Ladegerät ausgebildet ist, eine Funktion aufweisen, mit deren Hilfe ein Höchtsbetrag für die ladbaren Geldbeträge festlegbar ist. Es kann ein Höchstbetrag für einen einzelnen Ladevorgang vorgesehen sein, aber auch eine Höchstbetrag für eine Summe von Ladevorgängen ist vorsehbar. Ist der Höchstbetrag erreicht, so ist im einen Fall verhinderbar, daß ein diesen Höchstbetrag übersteigendes Guthaben geladen wird. Im anderen Fall ist mit Hilfe der Funktion des Sicherheitsmoduls 7, 8 verhinderbar, das weitere Ladevorgänge an dem Terminal 1 ausgeführt werden können. Es muß dann der Höchstbetrag wieder erneuert werden.
Der jeweilige Höchstbetrag ist vorzugsweise bereits beim Aufbringen des Sicherheitsmoduls 7, 8 auf den mobilen Datenträger 3 festlegbar. Er ist aber auch im Verlauf der Lebensdauer des mobilen Datenträgers veränderbar. Beispielsweise kann autorisierten Personen mit Hilfe der Eingabe eines Codes mittels dem Tasturfeld 9 die Möglichkeit gegebenen werden, den Höchstbetrag zu erneuern oder zu verändern. Andererseits kann vorgesehen sein, daß der Höchstbetrag über eine on-line Verbindung des Terminals 1 zu einem Rechenzentrum des Inhabers der elektronischen Börse erneurbar und veränderbar ist.
Besonders vorteilhaft ist die Nutzung des Höchstbetrages auf den Sicherheitsmodulen 7, 8 in Verbindung mit off-line Terminals. Diese Terminals sind hierdurch vor unbegrenztem Mißbrauch schützbar. Wird ein solches Terminal gestohlen, so ist der Schaden dadurch begrenzbar, daß Ladevorgänge mittels dem Terminal nur für eine bestimmten, zeitlich begrenzten Zeitraum ausführbar sind.
BEZUGSZEICHENLISTE
1
Terminal
2
Kartenleser
3
Chipkarte
4
Kreditkarte
5
Schreib-/Lesegerät
6
mobiler Datenträger
7
,
8
Sicherheitsmodul
9
Tastaturfeld

Claims (11)

1. Mobiler Datenträger (6) als Zahlungsmittel zumindest enthaltend,
einen Prozessor,
einen Speicher
eine Schnittstelle, wobei der mobile Datenträger in ein Terminal einsteckbar ist und wobei der mobile Datenträger über die Schnittstelle Daten mit dem Terminal austauschen kann,
zumindest zwei Sicherheitsmodule (7, 8) zur Durchführung verschiedener Zahlungsanwendungen, wobei die Sicherheitsmodule (7, 8) jeweils sicherheitsrelevante Daten und/oder Sicherheitsrelevante Funktionen umfassen und daß die Sicherheitsmodule (7, 8) jeweils mit Hilfe eines Passwortes schützbar sind.
2. Mobiler Datenträger (6) nach Anspruch 1, dadurch gekennzeichnet, daß durch die Sicherheitsmodule (7, 8) eine Ausführung von Zahlungsanwendungen, die eine Nutzung des Terminals (1) umfassen, verhinderbar ist.
3. Mobiler Datenträger (6) nach Anspruch 1, dadurch gekennzeichnet, daß auf dem mobilen Datenträger (6) ein Betriebssystem installierbar ist, wobei die sicherheitsrelevanten Funktionen der Sicherheitsmodule (7, 8) mit Hilfe des Betriebssystems ausführbar sind.
4. Mobiler Datenträger (6) nach Anspruch 3, dadurch gekennzeichnet, daß mit Hilfe des Betriebssystems ermittelbar ist, welches Sicherheitsmodul (7, 8) für eine Ausführung einer bestimmten Zahlungsanwendung, die eine Nutzung des Terminals (1) umfaßt, nutzbar ist.
5. Mobiler Datenträger (6) nach Anspruch 1, dadurch gekennzeichnet, daß die Sicherheitsmodule (7, 8) in verschiedenen Bereichen des Speichers angeordnet sind.
6. Mobiler Datenträger (6) nach Anspruch 1, dadurch gekennzeichnet, daß eine der Zahlungsanwendungen, welche die Benutzung des Terminals (1) vorsieht, eine elektronische Börse umfaßt.
7. Mobiler Datenträger (6) nach Anspruch 6, dadurch gekennzeichnet, daß das Sicherheitsmodul, welches für die Zahlungsanwendung mit der elektronischen Börse nutzbar ist, eine Funktion zur Begrenzung eines Geldbetrages aufweist, wobei der Geldbetrag die Summe der Guthaben ist, die auf Chipkarten von Kunden der elektronischen Börse ladbar sind.
8. Mobiler Datenträger (6) nach Anspruch 7, dadurch gekennzeichnet, daß der Gelbetrag die Summe der Guthaben in einem bestimmbaren Zeitraum umfaßt.
9. Mobiler Datenträger (6) nach Anspruch 7, dadurch gekennzeichnet, daß die Begrenzung des Gelbetrages nach einer Eingabe eines vertraulichen Codes mittels einem Tasturfeld (9) des Terminals (1) veränderbar ist.
10. Mobiler Datenträger (6) nach Anspruch 7, dadurch gekennzeichnet, daß der Geldbetrag ausschließlich veränderbar ist, wenn zwischen dem Terminal (1) und einer Rechenzentrale der elektronischen Börse eine on-line Verbindung ausgebildet ist.
11. Mobiler Datenträger (6) nach Anspruch 7, dadurch gekennzeichnet, daß das Terminal (1) als off-line Terminal ausbildbar ist.
DE1997123862 1997-06-06 1997-06-06 Mobiler Datenträger für Sicherheitsmodule Expired - Fee Related DE19723862C2 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE1997123862 DE19723862C2 (de) 1997-06-06 1997-06-06 Mobiler Datenträger für Sicherheitsmodule
GB9811597A GB2326011B (en) 1997-06-06 1998-06-01 Mobile data carrier for security modules

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1997123862 DE19723862C2 (de) 1997-06-06 1997-06-06 Mobiler Datenträger für Sicherheitsmodule

Publications (2)

Publication Number Publication Date
DE19723862A1 DE19723862A1 (de) 1998-12-10
DE19723862C2 true DE19723862C2 (de) 2000-07-13

Family

ID=7831666

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1997123862 Expired - Fee Related DE19723862C2 (de) 1997-06-06 1997-06-06 Mobiler Datenträger für Sicherheitsmodule

Country Status (2)

Country Link
DE (1) DE19723862C2 (de)
GB (1) GB2326011B (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7319986B2 (en) 1999-09-28 2008-01-15 Bank Of America Corporation Dynamic payment cards and related management systems and associated methods
JP2004519773A (ja) * 2000-10-23 2004-07-02 ワークス・オペレーテイング・カンパニー 動的支払いカード及び関連管理システムと付随する方法
US7895119B2 (en) 2003-05-13 2011-02-22 Bank Of America Corporation Method and system for pushing credit payments as buyer initiated transactions

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0283432A1 (de) * 1987-02-17 1988-09-21 GRETAG Aktiengesellschaft Verfahren und Vorrichtung zum Schutz der Geheimelemente in einem Netz von Chiffriergeräten mit offener Schlüssel-Verwaltung
WO1992019078A1 (en) * 1991-04-12 1992-10-29 Comvik Gsm Ab Method in mobile telephone systems in which a subscriber identity module (sim) is allocated at least two identities which are selectively activated by the user
DE4131248A1 (de) * 1991-09-19 1993-02-04 Siemens Nixdorf Inf Syst Verfahren zur pruefung eines mit chipkarten kommunizierenden terminals
DE4333388A1 (de) * 1993-09-30 1995-04-06 Giesecke & Devrient Gmbh System zur Durchführung von Transaktionen mit einer Multifunktionskarte mit elektronischer Börse
EP0337185B1 (de) * 1988-04-11 1995-05-31 SPA Syspatronic AG Tragbare Datenträgeranordnung
DE19536169A1 (de) * 1995-09-29 1997-04-03 Ibm Multifunktionale Chipkarte
DE19611237A1 (de) * 1996-03-21 1997-09-25 Siemens Ag Multichipkarte

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5036461A (en) * 1990-05-16 1991-07-30 Elliott John C Two-way authentication system between user's smart card and issuer-specific plug-in application modules in multi-issued transaction device
US5578808A (en) * 1993-12-22 1996-11-26 Datamark Services, Inc. Data card that can be used for transactions involving separate card issuers

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0283432A1 (de) * 1987-02-17 1988-09-21 GRETAG Aktiengesellschaft Verfahren und Vorrichtung zum Schutz der Geheimelemente in einem Netz von Chiffriergeräten mit offener Schlüssel-Verwaltung
EP0337185B1 (de) * 1988-04-11 1995-05-31 SPA Syspatronic AG Tragbare Datenträgeranordnung
WO1992019078A1 (en) * 1991-04-12 1992-10-29 Comvik Gsm Ab Method in mobile telephone systems in which a subscriber identity module (sim) is allocated at least two identities which are selectively activated by the user
DE4131248A1 (de) * 1991-09-19 1993-02-04 Siemens Nixdorf Inf Syst Verfahren zur pruefung eines mit chipkarten kommunizierenden terminals
DE4333388A1 (de) * 1993-09-30 1995-04-06 Giesecke & Devrient Gmbh System zur Durchführung von Transaktionen mit einer Multifunktionskarte mit elektronischer Börse
DE19536169A1 (de) * 1995-09-29 1997-04-03 Ibm Multifunktionale Chipkarte
DE19611237A1 (de) * 1996-03-21 1997-09-25 Siemens Ag Multichipkarte

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BEUTELSPACHER, A.u.a.: Chipkarten als Sicherheits-werkzeug, Berlin, Springer-Verlag, 1991, S.85-87 *

Also Published As

Publication number Publication date
GB9811597D0 (en) 1998-07-29
GB2326011A (en) 1998-12-09
DE19723862A1 (de) 1998-12-10
GB2326011B (en) 2001-07-18

Similar Documents

Publication Publication Date Title
EP0306892B1 (de) Schaltungsanordnung mit einer zumindest einen Teil der Anordnung enthaltenden Karte für Geschäfts-, Identifizierungs-und/oder Betätigungszwecke
DE69912749T2 (de) System und verfahren zum sperren und freigeben einer chipkartenanwendung
EP0608197B1 (de) Verfahren als Sicherheitskonzept gegen unbefugte Verwendung eines Zahlungsmittels beim bargeldlosen Begleichen an Zahlstellen
EP0605070B1 (de) Verfahren zum Transferieren von Buchgeldbeträgen auf und von Chipkarten
WO2001069548A1 (de) Verfahren zur verbreitung von parametern in offline chipkarten-terminals, sowie dazu geeignete chipkarten-terminals und benutzerchipkarten
EP0355372A1 (de) Datenträger-gesteuertes Endgerät in einem Datenaustauschsystem
EP0895203A2 (de) Vorrichtung in Form eines Kartenbediengerätes
DE69829635T2 (de) Schützen von Transaktionsdaten
WO2006015573A1 (de) Datenträger zur kontaktlosen übertragung von verschlüsselten datensignalen
DE102005005378A1 (de) Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen
DE4230866B4 (de) Datenaustauschsystem
EP1393262A1 (de) Vorrichtung zur inanspruchnahme von leistungen
EP0990226A1 (de) System zum gesicherten lesen und bearbeiten von daten auf intelligenten datenträgern
DE19723862C2 (de) Mobiler Datenträger für Sicherheitsmodule
DE202006004368U1 (de) Transaktionseinrichtung und deren Lesegerät
DE19732762A1 (de) Vorrichtung in Form eines Kartenbediengerätes
DE4441038A1 (de) Verfahren zum Erwerb und Speichern von Berechtigungen mit Hilfe von Chipkarten
EP0889449B1 (de) Integriertes Zahlungsmodul für ein Terminal
DE4441413C2 (de) Datenaustauschsystem
WO1996013791A1 (de) Chipkarten-schreib/lesegerät
EP1035461A2 (de) Terminal für gesichertes Bestätigen von Daten und Verfahren hierzu
EP0970449B1 (de) Tragbarer datenträger und verfahren zu dessen kryptographisch gesicherten benutzung mit austauschbaren kryptographischen schlüsseln
DE19705620C2 (de) Anordnung und Verfahren zur dezentralen Chipkartenidentifikation
DE102005027709A1 (de) Verfahren zum Betreiben eines tragbaren Datenträgers
DE19616943C2 (de) Adapter-Vorrichtung zum Manipulieren eines Speicherbausteins einer Chipkarte und einen Anbieterterminal zum Erwerb von Waren und/oder Dienstleistungen mittels einer Chipkarte

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8125 Change of the main classification

Ipc: H04L 9/32

D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee