DE19757501C1 - Verfahren zum Schutz von Transaktionsdaten - Google Patents

Verfahren zum Schutz von Transaktionsdaten

Info

Publication number
DE19757501C1
DE19757501C1 DE19757501A DE19757501A DE19757501C1 DE 19757501 C1 DE19757501 C1 DE 19757501C1 DE 19757501 A DE19757501 A DE 19757501A DE 19757501 A DE19757501 A DE 19757501A DE 19757501 C1 DE19757501 C1 DE 19757501C1
Authority
DE
Germany
Prior art keywords
data
transaction
signature
totals
payment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Revoked
Application number
DE19757501A
Other languages
English (en)
Inventor
Hermann Bublitz
Adam R Newth
Chris Holloway
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to DE19757501A priority Critical patent/DE19757501C1/de
Priority to EP98119424A priority patent/EP0926636B1/de
Priority to DE69829635T priority patent/DE69829635T2/de
Priority to US09/216,581 priority patent/US6219651B1/en
Application granted granted Critical
Publication of DE19757501C1 publication Critical patent/DE19757501C1/de
Anticipated expiration legal-status Critical
Revoked legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/102Bill distribution or payments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/363Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4093Monitoring of device authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/0826Embedded security module
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/08Counting total of coins inserted

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Cash Registers Or Receiving Machines (AREA)

Abstract

Die vorliegende Erfindung beschreibt den Schutz von Transaktionsdaten für den bargeldlosen Zahlungsverkehr mittels Börsenchipkarten (4) von ihrer Erstellung bis zur Verarbeitung. Bei jedem Zahlungsverkehr werden Transaktionsdaten TDi (10) über den individuellen Zahlungsvorgang erstellt sowie Summendaten SD (81) über die seit dem letzten Datenaustausch mit der Abrechnungsstelle angefallenen Zahlungstransaktionen zusammengefaßt. Die Transaktionsdaten TDi werden im Zahlungsterminal gespeichert. Die Summendaten SD werden im Sicherheitsmodul abgespeichert. Bei jeder Zahlungstransaktion werden die Summendaten auf die neue Summe ergänzt. Die Summendaten werden durch eine Summensignatur SSn (82) gesichert, die über jede Ergänzung der Summendaten angewendet wird. Hierbei dient der Wert der vorangegangenen Summensignatur (82') als Initialwert für die Bildung der neuen Summensignatur (82''). Zur Bildung der Summensignatur kann der Schlüssel des Zahlungsterminals oder ein separater eigener Schlüssel verwendet werden. Die Summensignatur wird ebenfalls im Sicherheitsmodul abgespeichert. Zur Abrechnung mit der Abrechnungsstelle werden die Summendaten, die Summensignatur und die Transaktionsdaten mittels einer Transaktionsdatei (12) an die Abrechnungsstelle gesendet. Die Abrechnungsstelle, die im Besitz des Schlüssels ist, erzeugt aus den einzelnen Transaktionsdaten eine Signatur nach dem erfinderischen Verfahren. Ist die Signatur mit der gesendeten Signatur identisch, kann eine ...

Description

Die Erfindung betrifft den Schutz von Transaktionsdaten für den bargeldlosen Zahlungsverkehr mittels Chipkarten von ihrer Erstellung in Zahlungsterminals bis zu ihrer Verarbeitung.
Moderne Arten des bargeldlosen Zahlungsverkehrs werden mit Chipkarten durchgeführt. Hierbei sind insbesondere Elektronische Börsen, Kreditkarten und Debitkarten zu erwähnen.
Auf einer Chipkarte können mehrere und verschiedene Zahlungsverkehrsanwendungen existieren, zum Beispiel elektronische Börse und Kreditkarte.
Die Chipkarte wird vor der Herausgabe an den Kunden initialisiert, d. h. es werden Anwendungsdaten und kryptographische Schlüssel zur Sicherung der Transaktionen, die es erlauben, die Chipkarte im Rahmen bestimmter Anwendungen zu nutzen, auf der Chipkarte gespeichert. Dem Kunden wird bei der Herausgabe der Chipkarte mitgeteilt, für welche Anwendungen seine Chipkarte nutzbar ist.
Möchte ein Kunde bei einem Händler eine Ware mit Hilfe seiner Börsenchipkarte bezahlen, so ist diese Transaktion an einem Zahlungsterminal ausführbar. Die Chipkarte wird in einen im Zahlungsterminal angeordneten Chipkartenleser eingeführt. Mit Hilfe des Chipkartenlesers können Daten von der Chipkarte gelesen oder Daten auf die Chipkarte geschrieben werden. Bei einer elektronischen Börsenanwendung wird das auf der Chipkarte gespeicherte Guthaben um den Betrag verringert, welcher für die Ware beim Händler zu zahlen ist.
Zur Ausführung der beschriebenen Zahlungsvorgänge weist das Zahlungsterminal insbesondere folgende Komponenten auf: einen Chipkartenleser, eine Tastatur zur Eingabe von Daten, ein Netzwerk und eine Software zur Steuerung der entsprechenden Transaktionen, ein Anzeigeeinheit zur Anzeige von Anweisungen an den Kunden, ein Sicherheitsmodul und eine Kommunikationsverbindung mit dem Hostsystem, speziell wenn Kredit/Debitkarten unterstützt werden.
Im Allgemeinen werden bei jedem Zahlungsverkehr Transaktionsdaten über den individuellen Zahlungsvorgang erstellt sowie Summendaten über die seit dem letzten Datenaustausch mit der Abrechnungsstelle angefallenen Transaktionen auf den neuesten Stand gebracht.
Transaktionsdaten enthalten unter anderen:
  • - Die Identifikation der Chipkarte des Kunden,
  • - den Betrag, die Währung, die Bank,
  • - die Identifikation des Händlers und des Zahlungsterminals, und
  • - eine kryptographische Sicherung (zweckmässig Signatur) der Transaktionsdaten zweckmässig mit dem Transaktionsschlüssel der Chipkarte.
Die Transaktionsdaten werden in einem kryptographisch gesichertem Protokoll zwischen der Chipkarte und dem Sicherheitsmodul unter der Verwendung der individuellen Transaktionsschlüssel auf der Chipkarte und in dem Sicherheitsmodul erstellt. Die Transaktionsdaten werden durch den individuellen Transaktionsschlüssel, der der Chipkarte zugeordnet ist, gesichert.
Die Transaktionsdaten werden in dem Zahlungsterminal bis zum Datenaustausch mit der Abrechnungsstelle abgespeichert.
Die Summendaten werden im Sicherheitsmodul gehalten und beim Datenaustausch mit der Abrechnungsstelle ausgelesen.
Summendaten enthalten zum Beispiel:
  • - Die Summe der Beträge der Transaktionen,
  • - die Anzahl der Transaktionen,
  • - die Identifikation des Händlers und des Zahlungsterminals, und
  • - eine kryptographische Sicherung (zweckmässig Signatur) der Summendaten zweckmässig mit dem dem Händler oder dem Zahlungsterminal zugeordnete Schlüssel im Sicherheitsmodul.
Beim Datenaustausch mit der Abrechnungsstelle wird eine Transaktionsdatei vom Zahlungsterminal an die Abrechnungsstelle übertragen. Die Transaktionsdatei besteht aus
  • - Kopfdaten, die die letzten Summendaten sowie Zahlungsterminal-spezifische Daten enthält, und
  • - wenn ein gewisser Mindeststandard an Sicherheit gefordert ist, die Transaktionsdaten jeder Transaktion.
Die Transaktionsdaten werden einzeln mit den individuellen Transaktionsschlüsseln gesichert. Der Transaktionsschlüssel befindet sich auf der individuellen Chipkarte. Transaktionsschlüssel können gestohlen werden, und Transaktionsdaten können von anderen Zahlungsterminals kopiert werden. Während der Speicherung der Transaktionsdaten im Zahlungsterminal und während ihrer Übertragung zur Abrechnungsstelle können deshalb Transaktionsdaten zu Ungunsten/Gunsten einzelner Karteninhaber gefälscht werden.
Deutsche Offenlegungsschrift DE 196 41 776 A1 beschreibt ein computerprogrammgesteuertes Verfahren zum gesicherten Aufbau einer Wähl-Leitungsverbindung und zur gesicherten Datenübertragung zwischen einem Chipkarten-Terminal und einer zentralen Datenverarbeitungsanlage unter Ausschluß unbefugten Zugriffes auf die Leitungsverbindung und/oder die Daten.
Es ist deshalb Aufgabe der vorliegenden Erfindung, ein zusätzliches Verfahren zum Schutz der Transaktionsdaten bereitzustellen, das den bisherigen Schutz gegen Fälschung erhöht und die Nachweisbarkeit einer Fälschung wesentlich erleichtert.
Diese Aufgabe wird durch die Merkmale des Anspruchs 1 gelöst. Weitere vorteilhafte Weiterbildungen der vorliegenden Erfindung sind in den Unteransprüchen niedergelegt.
Der wesentliche Vorteil, welcher mit der Erfindung gegenüber dem Stand der Technik erreicht wird, besteht darin, dass alle im Zahlungsterminal erzeugten Transaktionsdaten gegen Fälschung, mittels entwendeter Schlüssel, und gegen Austausch durch alte oder andernorts erzeugte Transaktionsdaten von ihrer Erzeugung im Sicherheitsmodul bis zur Verarbeitung in der Abrechnungsstelle geschützt sind. Das betrifft insbesondere die Speicherung im Zahlungsterminal und die Kommunikation zwischen Zahlungsterminal und der Abrechnungsstelle.
Bei einer zweckmässigen Ausführung der Erfindung wird im Sicherheitsmodul (SM) des Zahlungsterminals die Signatur über alle Transaktionsdaten, im folgenden Summensignatur (SS) genannt, während des Zeitraums zwischen zwei Übertragungen der Transaktionsdatei zur Abrechnungsstelle erzeugt.
Folgende Schritte laufen dabei ab:
  • 1. Im Sicherheitsmodul (SM) werden die Summendaten zurückgesetzt und die Summensignatur auf einen festen Wert (zweckmässig Null), der der Abrechnungsstelle bekannt ist, gesetzt.
    Die initiale Summensignatur SS wird Summensignatur SS0.
  • 2. Pro Zahlungs-Transaktion i (i = 1 bis i = n) im Zahlungsterminal laufen folgende Schritte ab:
    • 1. Die Transaktionsdaten (TDi) für die Transaktion werden erzeugt.
    • 2. Die Summendaten (SD) werden durch die Transaktionswerte ergänzt.
    • 3. Die Summensignatur (SSi) wird wie folgt neu gebildet:
      • 1. Die vorige Summensignatur (SSi-1) ist der Initialwert der neuen Signaturbildung,
      • 2. Mit diesem Initialwert wird eine Signatur über die gerade erzeugten TDi gebildet. Dabei wird der dem Händler oder dem Zahlungsterminal zugeordnete Schlüssel im SM verwendet.
      • 3. Die neue Signatur wird als SSi im SM abgespeichert.
    • 4. Die Summendaten und die SSi verbleiben im Sicherheitsmodul.
    • 5. Die Transaktionsdaten (TDi) werden an die Software im Zahlungsterminal übergeben. Sie werden im Zahlungsterminal oder andernorts abgespeichert bis zur Übertragung der Transaktionsdatei an die Abrechnungsstelle. Diese abgespeicherten Daten sind nicht gegen Fälschung und Vertauschung gesichert.
  • 3. Eine Übertragung der Transaktionsdatei zur Abrechnungsstelle wird initiiert. Das kann zum Beispiel durch die Abrechnungsstelle oder das Zahlungsterminal geschehen.
Folgende Schritte laufen ab:
  • - Die Software des Zahlungsterminals liest die
    Summendaten (SDn) und
    die Summensignatur (SSn) aus dem Sicherheitsmodul aus.
  • - Eine Transaktionsdatei wird mit vom Zahlungsterminal erzeugten Daten erzeugt,
    den Summendaten SDn,
    der Summensignature SSn, und
    den Transaktionsdaten TD1 bis TDn, die im Zahlungsterminal oder anderorts abgespeichert waren.
    • 1. Die Transaktionsdatei wird an die Abrechnungstelle übertragen.
    • 2. Die Abrechnungstelle, im Besitz des Schlüssels zur Prüfung der SS, erzeugt aus den Transaktionsdaten TD1-n eine Signatur nach dem unter 2.3 beschriebenen Verfahren, mit dem gleichen Initialwert wie im Zahlungsterminal benutzt. Ist diese Signatur identisch mit der vom Zahlungsterminal gesendeten, sind alle Transaktionsdaten TD1 bis TDn identisch mit den im Sicherheitsmodul des Zahlungsterminals erzeugten, das heisst, eine Fälschung oder Vertauschung im Zahlungsterminal oder während der Übertragung kann ausgeschlossen werden.
Die Signaturbildung im Zahlungsterminal und in der Abrechnungsstelle kann sowohl mit symmetrischen als auch mit asymmetrischen kryptographischen Verfahren ausgeführt werden.
Eine zweckmässige Weiterbildung der Erfindung sieht vor, dass statt des dem Händler oder dem Zahlungsterminal (für allgemeine Zwecke) zugeordneten Schlüssel ein spezieller Schlüssel nur für die Sicherung der Transaktionsdaten durch die SS benutzt wird. Dieser Schlüssel kann sowohl dem Händler als auch dem Zahlungsterminal oder anderen Einheiten zugeordnet werden.
Mehreren Sicherheitsmodulen bei einem Händler können zum Beispiel die gleichen Schlüssel für die Bildung der SS zugeordnet werden. Diese SMs können einer Filiale, einem Server oder anderen Betriebsgruppierungen Des Händlers entsprechen. Dieses Verfahren erleichtert die Verwaltung, die Sicherung und die Verteilung der Schlüssel.
Eine andere Weiterbildung der Erfindung sieht eine gemeinsame Vorrichtung zur Bildung der SS vor, wenn mehrere Sicherheitsmodule auf einem Datenträger vereinigt sind.
Dies ermöglicht eine SS über verschiedenartige Transaktionsdaten, zum Beispiel von Kreditkarten, Debitkarten, Börsen, zu erzeugen und gemeinsam an die Abrechnungsstelle zu übertragen. Dadurch wird der Aufwand sowohl im Zahlungsterminal als auch in der Abrechnungsstelle für die Erzeugung der SS als auch für die Verwaltung, die Sicherung und Verteilung der Schlüssel erleichtert.
Die vorliegende Erfindung wird an Hand eines bevorzugten Ausführungsbeispieles näher erläutert, wobei Fig. 1 eine schematische Darstellung eines Zahlungsterminals zeigt.
Nach Fig. 1 weist ein Zahlungsterminal 1 eine Anzeigeeinheit 2 und eine Tastatur 3 auf. Mit Hilfe der Anzeigeeinheit 2 werden einem Benutzer des Zahlungsterminals 1 Informationen angezeigt.
Hierzu gehören insbesondere die Aufforderung, bestimmte Eingaben über die Tastatur 3 zu machen.
Das Zahlungsterminal 1 kann genutzt werden, um Kunden eines Händlers die Möglichkeit zu geben, bargeldlos, zum Beispiel im Rahmen einer elektronischen Börse für Waren oder Dienstleistungen des Händlers zu zahlen. Hierfür kann das Zahlungsterminal 1 mit einem zentralen Netzwerk online über das Hostkommunikationsmodul 9 verbunden sein oder es kann als off-line-Gerät ausgebildet sein.
Wird mit dem Zahlungsterminal 1 ein bargeldloser Zahlungsvorgang ausgeführt, so wird auf der Anzeigeeinheit 2 beispielsweise der Betrag angezeigt, welcher von dem Kunden zu zahlen ist. Mittels der Tastatur 3 kann der Zahlungstyp ausgewählt werden, und der zu zahlende Betrag kann eingegeben und bestätigt werden.
Zur Steuerung des Zahlungsterminals 1 im Rahmen einer Benutzung durch den Kunden weist das Zahlungsterminal 1 ein Terminalmodul 6, welches im wesentlichen als ein Softwaremodul ausgebildet ist, auf. Das Terminalmodul 6 ist im Speicher einer Recheneinheit des Zahlungsterminals 1 angeordnet und wird von einem Prozessor der Recheneinheit zur Ausführung der Anwendungen genutzt. Das Terminalmodul 6 tauscht hierbei mit den verschiedenen Komponenten des Zahlungsterminals 1, insbesondere mit der Anzeigeeinheit 2, der Tastatur 3, einem Kartenleser 5, einem Sicherheitsmodul 8 und einem Hostkommunikationsmodul 9, Informationen aus. Beispielsweise dient der Informationsaustausch zwischen der Tastatur 3 und dem Terminalmodul 6 dazu, die über die Tastatur 3 durch den Kunden eingegebenen Daten zu verarbeiten.
Des weiteren werden zwischen dem Terminalmodul 6 und dem Kartenleser 5 Informationen ausgetauscht, um Daten von einer in den Kartenleser 5 eingeführten Chipkarte 4 zu lesen oder um Daten auf die Chipkarte 4 zu schreiben.
Möchte ein Kunde mit Hilfe seiner elektronischen Börse, oder einer anderen bargeldlosen Zahlungsverkehrsart die auf der Chipkarte 4 eingebracht ist, bezahlen, gibt der Händler den zu zahlenden Betrag mittels der Tastatur 3 ein. Das Terminalmodul 6 führt mit Hilfe der Recheneinheit die zum Lesen der Eingabe notwendigen Verfahrensschritte aus.
Das Terminalmodul 6 setzt den Kartenleser 5 in einen Zustand, in welchem dieser das Einführen einer Chipkarte erwartet.
Nachdem die Chipkarte 4 in den Kartenleser 5 eingeführt und ein korrekter Kontakt zwischen der Chipkarte 4 und dem Kartenleser 5 hergestellt wurde, sendet der Kartenleser 5 eine dementsprechende Information an das Terminalmodul 6.
Anschliessend ist eine Zahlungstransaktion auszuführen, im Rahmen dessen der zu zahlende Betrag von der elektronischen Börse auf der Chipkarte 4 abgebucht wird und der abgebuchte Betrag sowie die anderen Transaktionsdaten wie Chipkartendidentifikation, Waehrung, Börseninhaber im Zahlungsterminal 1 gespeichert werden, so dass der Händler diesen Betrag später von der Abrechnungstelle des Börseninhabers überwiesen bekommt.
Bei der Ausführung der Verfahrensschritte zur Abbuchung des zu zahlenden Betrages von der Chipkarte 4 wird ein Sicherheitsmodul 8 benutzt, um sicherheitsrelevante Daten auszutauschen und um einen Missbrauch der Börse zu verhindern.
Im Sicherheitsmodul 8 sind ausführbare Funktionen und Prozeduren gespeichert, mit deren Hilfe die Abbuchung des Zahlbetrages von der elektronischen Börse der Chipkarte 4 vollzogen werden kann, sowie kryptographische Schlüssel. Desweiteren werden Summendaten über die seit der letzten Abrechnung mit dem Börseninhaber angelaufenen Transaktionen im Sicherheitsmodul gehalten. Die Abbuchung wird von dem Terminalmodul 6 initiiert und umfasst einen Informationsaustausch zwischen der Chipkarte 4 und dem Sicherheitsmodul 8. Dieser Informationsaustausch weist die folgende Sequenz von Schritten auf:
  • 1. Die Transaktionsdaten (TDi) 10 für die Transaktion werden im Sicherheitsmodul 8 in Kooperation mit der Chipkarte 4 erzeugt.
  • 2. Die Summendaten (SD) 81 im Sicherheitsmodul 8 werden durch die Transaktionswerte ergänzt.
  • 3. Die Summensignatur 82 im Sicherheitsmodul 8 wird wie folgt ergänzt:
    • 1. Die vorige Summensignatur (SSi-1, 82') ist der Initialwert der neuen Signaturbildung,
    • 2. Mit diesem Initialwert wird eine Signatur über die gerade erzeugten TDi gebildet. Dabei wird der dem Händler oder dem Zahlungsterminal zugeordnete Schlüssel im SM verwendet.
    • 3. Die neue Signatur wird als Summensignatur SSi 82" im SM 8 abgespeichert.
  • 4. Die Summendaten 81 und die SSi 82 verbleiben im Sicherheitsmodule 8.
  • 5. Die Transaktionsdaten (TDi) 10 werden an die Terminalsoftware 6 übergeben. Sie werden in einem Speicher 7 im Zahlungsterminal oder ausserhalb des Zahlungsterminal bis zur Übertragung abgespeichert. Diese abgespeicherten Daten sind gegen Fälschung und Vertauschung nicht gesichert.
Am Ende eines Tages oder zu einem vom Händler oder der Abrechnungsstelle festgelegten Zeitpunkt werden die Transaktionsdaten zur Abrechnung and die Abrechnungsstelle 11 des Börseninhabers gesendet.
Dabei werden folgende Schritte ausgeführt:
  • - Die Terminalsoftware 6 liest die Summendaten 81 (SDn) und die Summensignatur 82 (SSn) aus dem Sicherheitsmodul 8 aus.
  • - Eine Transaktionsdatei 12 wird erzeugt mit vom Zahlungsterminal erzeugten Daten 121, die Transmission betreffend, nicht Bestandteil dieser Erfindung,
  • - den Summendaten 81 SDn,
  • - der Summensignatur 82 SSn und
  • - den Transaktionsdaten 10 i bis n, die im Speicher 7 im Zahlungsterminal oder anderorts abgespeichert waren.
  • - Die Transaktionsdatei 12 wird an die Abrechnungstelle 11 übertragen mittels des Kommunikationsmodul
  • - Die Abrechnungstelle 11, im Besitz des Schlüssels 13 zur Prüfung der SS, erzeugt aus den Transaktionsdaten 10 TDi bis TDn eine Signatur 82 nach dem gleichen im Sicherheitsmodul 8 benutzten Verfahren und mit dem gleichen Initialwert wie im Zahlungsterminal. Ist diese Signatur 82 identisch mit der vom Zahlungsterminal gesendeten Signatur, sind alle Transaktionsdaten TD1 bis TDn identisch mit den im Sicherheitsmodul des Zahlungsterminals erzeugten, das heisst, eine Fälschung oder Vertauschung im Zahlungsterminal oder während der Übertragung kann ausgeschlossen werden.

Claims (16)

1. Verfahren zum Schutz von Transaktiondaten für den bargeldlosen Zahlungsverkehr mittels Börsenchipkarten in einem Zahlungsterminal, wobei das Zahlungsterminal (1) zumindest aus einer Lese- und/oder Schreibvorrichtung (5), einer Eingabevorrichtung (3), zumindest einem Sicherheitsmodul (8) und einem Kommunikationsmodul (9) für die Herstellung einer Verbindung mit einem Datenverarbeitungssystem besteht, enthaltend folgende Schritte:
  • a) Einlegen der Börsenchipkarte (4) in eine Lese- und/oder Schreibvorrichtung (5),
  • b) Initiieren einer Transaktion zur Zahlung eines bestimmtes Betrages mit der Börsenchipkarte (4),
  • c) Erzeugen für jeden Zahlungsvorgang die entsprechenden Transaktionsdaten (10) über den einzelnen Zahlungsvorgang,
  • d) Erzeugen für jeden Zahlungsvorgang die entsprechenden Summendaten (81), wobei die Summendaten die Transaktionsdaten seit dem letzten Datenaustausch mit der Abrechnungsstelle (11) erfassen und
  • e) Erzeugen einer Summensignatur (82) über jede Ergänzung der Summendaten (81), wobei die neue Summensignatur SSi (82") aus dem Initialwert der vorangegangenen Summensignatur SSi-1 (82') gebildet wird.
2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, daß die Summendaten (81) im Sicherheitsmodul (8) nach einem Datenaustausch mit der Abrechnungsstelle zurückgesetzt werden und ein Initialwert für die Erzeugung der Summensignatur (82) festgelegt wird.
3. Verfahren nach Anspruch 1 bis 2 dadurch gekennzeichnet, daß die Transaktionsdaten TDi (10) zumindest aus folgenden Daten bestehen:
  • 1. die Identikation der Börsenchipkarte des Kunden
  • 2. den Abbuchungsbetrag, die Währung, die Bank
  • 3. die Identifikation des Händlers und des Zahlungsterminals
4. Verfahren nach Anspruch 1 bis 3 dadurch gekennzeichnet, dass die Transaktionsdaten für die Transaktion im Sicherheitsmodul in Kooperation mit der Chipkarte erzeugt werden.
5. Verfahren nach Anspruch 1 bis 4 dadurch gekennzeichnet, daß die erstellten Transaktionsdaten TDi (10) durch den Schlüssel der Börsenchipkarte gesichert werden.
6. Verfahren nach Anspruch 1 bis 5 dadurch gekennzeichnet, daß die Summendaten SD (81) zumindest aus folgenden Daten bestehen:
  • 1. die Summe der Beträge der Transaktionen
  • 2. die Anzahl der Transaktionen
  • 3. die Identifikation des Zahlungsterminals
7. Verfahren nach Anspruch 1 oder 6 dadurch gekennzeichnet, daß die Erzeugung der Summensignatur (82) mit dem krytographischen Schlüssel des dem Zahlungsterminal oder dem Händler zugeordneten Schlüssel erfolgt.
8. Verfahren nach Anspruch 1 bis 7 dadurch gekennzeichnet, daß die Transaktionsdaten bis zur Abrechnung mit der Abrechnungsstelle im Zahlungsterminal gespeichert bleiben.
9. Verfahren nach Anspruch 1 bis 8 dadurch gekennzeichnet, daß die Summendaten SD (81) bis zur Abrechnung mit der Abrechnungsstelle im Sicherheitsmodul (8) gespeichert werden.
10. Verfahren nach Anspruch 1 bis 9 dadurch gekennzeichnet, daß die Summensignatur bis zur Abrechnung mit der Abrechnungsstelle im Sicherheitsmodul gespeichert wird.
11. Verfahren nach Anspruch 1 bis 10 dadurch gekennzeichnet, daß das Erzeugen der Summensignatur SS sowohl mit symmetrischen als auch asymmetrischen Verfahren durchgeführt werden kann.
12. Verfahren nach Anspruch 1 bis 11 dadurch gekennzeichnet, daß ein spezieller Schlüssel nur für die Erzeugung der Summensignatur SS eingesetzt wird.
13. Verfahren nach Anspruch 1 bis 12 dadurch gekennzeichnet, daß bei mehreren Sicherheitsmodulen ein gemeinsamer Schlüssel und/oder eine gemeinsame Transaktionsdatei 12 verwendet wird.
14. Verfahren nach Anspruch 1 bis 13 dadurch gekennzeichnet, daß bei mehreren Sicherheitsmodulen, die auf einem Datenträger gespeichert sind, eine gemeinsame Vorrichtung zur Erzeugung der Summensignatur SS und/oder gemeinsame Transaktionsdatei verwendet wird.
15. Verfahren nach Anspruch 1 bis 14 gekennzeichnet durch folgende weitere Schritte:
  • a) Auslesen der Summendaten SD (81) und Summensignaturen SS (82) aus dem Sicherheitsmodul (8)
  • b) Erzeugen einer Transaktionsdatei (12) mit folgenden Daten:
    • a) Summendaten SD (81)
    • b) Summensignatur SS (82)
    • c) Transaktionsdaten TDi (10)
  • c) Senden der Transaktiondatei (12) an die Abrechnungsstelle (11)
  • d) Erzeugen aus den Transaktiondaten TDi (10) unter Verwendung des Schlüssels und dem zugeordneten Initialwert eine Summensignatur SS (82) nach Schritt e) des Verfahrens
  • e) Vergleiche die nach Schritt i) erzeugten Summensignaturen SS (82) mit den vom Sicherheitsmodul (8) gesendeten Summensignaturen (82)
16. Verfahren nach Anspruch 15 dadurch gekennzeichnet, dass Schritt g) entweder durch das Zahlungsterminal oder durch die Abrechnungsstelle initiiert wird.
DE19757501A 1997-12-23 1997-12-23 Verfahren zum Schutz von Transaktionsdaten Revoked DE19757501C1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE19757501A DE19757501C1 (de) 1997-12-23 1997-12-23 Verfahren zum Schutz von Transaktionsdaten
EP98119424A EP0926636B1 (de) 1997-12-23 1998-10-14 Schützen von Transaktionsdaten
DE69829635T DE69829635T2 (de) 1997-12-23 1998-10-14 Schützen von Transaktionsdaten
US09/216,581 US6219651B1 (en) 1997-12-23 1998-12-18 Protection of transaction data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19757501A DE19757501C1 (de) 1997-12-23 1997-12-23 Verfahren zum Schutz von Transaktionsdaten

Publications (1)

Publication Number Publication Date
DE19757501C1 true DE19757501C1 (de) 1999-09-16

Family

ID=7853158

Family Applications (2)

Application Number Title Priority Date Filing Date
DE19757501A Revoked DE19757501C1 (de) 1997-12-23 1997-12-23 Verfahren zum Schutz von Transaktionsdaten
DE69829635T Expired - Lifetime DE69829635T2 (de) 1997-12-23 1998-10-14 Schützen von Transaktionsdaten

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE69829635T Expired - Lifetime DE69829635T2 (de) 1997-12-23 1998-10-14 Schützen von Transaktionsdaten

Country Status (3)

Country Link
US (1) US6219651B1 (de)
EP (1) EP0926636B1 (de)
DE (2) DE19757501C1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10156783A1 (de) * 2001-11-19 2003-05-28 Giesecke & Devrient Gmbh Steuerung eines Zahlungsverkehrsterminals

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10202649A1 (de) * 2002-01-23 2003-07-31 Giesecke & Devrient Gmbh Sicherheitsmodul für ein Endgerät zum Transferieren von elektronischen Werteinheiten
US7327800B2 (en) * 2002-05-24 2008-02-05 Vecima Networks Inc. System and method for data detection in wireless communication systems
US7280981B2 (en) * 2002-08-27 2007-10-09 Visa U.S.A. Inc. Method and system for facilitating payment transactions using access devices
US8229855B2 (en) 2002-08-27 2012-07-24 Jean Huang Method and system for facilitating payment transactions using access devices
US7327795B2 (en) * 2003-03-31 2008-02-05 Vecima Networks Inc. System and method for wireless communication systems
US20040192218A1 (en) * 2003-03-31 2004-09-30 Oprea Alexandru M. System and method for channel data transmission in wireless communication systems
US8108920B2 (en) * 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
US7607008B2 (en) * 2004-04-01 2009-10-20 Microsoft Corporation Authentication broker service
US7702917B2 (en) 2004-11-19 2010-04-20 Microsoft Corporation Data transfer using hyper-text transfer protocol (HTTP) query strings
US20060123472A1 (en) * 2004-12-07 2006-06-08 Microsoft Corporation Providing tokens to access federated resources
US7603555B2 (en) * 2004-12-07 2009-10-13 Microsoft Corporation Providing tokens to access extranet resources
US7734484B2 (en) * 2005-10-17 2010-06-08 Cfph, Llc Products and processes for managing life instruments
US20070226015A1 (en) * 2005-10-17 2007-09-27 Lutnick Howard W Products and processes for processing information in a market for life instruments
US8788294B2 (en) * 2006-08-30 2014-07-22 Cfph, Llc Products and processes for indicating documents for a life based product
US8219423B2 (en) 2008-05-09 2012-07-10 Cfph, Llc Transferring insurance policies
GB2533379A (en) * 2014-12-18 2016-06-22 Ipco 2012 Ltd A system and server for receiving transaction requests
GB2533562A (en) 2014-12-18 2016-06-29 Ipco 2012 Ltd An interface, method and computer program product for controlling the transfer of electronic messages

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19641776A1 (de) * 1996-09-04 1997-03-13 Telecash Kommunikations Servic Computerprogrammgesteuertes Verfahren zum gesicherten Aufbau einer Wähl-Leitungsverbindung und zur gesicherten Datenübertragung zwischen einem Chipkarten-Terminal und einer zentralen Datenverarbeitungsanlage

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2651906B1 (fr) * 1989-09-08 1992-09-04 Automatisme Cie Gle Systeme permettant d'effectuer sans risque de fraude un paiement au moyen d'une carte electronique, et procede pour utiliser un tel systeme.
US5036461A (en) * 1990-05-16 1991-07-30 Elliott John C Two-way authentication system between user's smart card and issuer-specific plug-in application modules in multi-issued transaction device
NL9301271A (nl) * 1993-07-20 1995-02-16 Nederland Ptt Werkwijze en inrichting voor het registreren van gebruiksgegevens van op een betaalkaart werkende toestellen.
FR2717286B1 (fr) * 1994-03-09 1996-04-05 Bull Cp8 Procédé et dispositif pour authentifier un support de données destiné à permettre une transaction ou l'accès à un service ou à un lieu, et support correspondant.
GB9405362D0 (en) * 1994-03-18 1994-05-04 Transmo Limited Improved card charging system
FR2720848B1 (fr) * 1994-06-03 1996-07-26 Gemplus Card Int Procédé de conduite d'une transaction entre une carte à puce et un système d'information.
DE19539801C2 (de) * 1995-10-26 2001-04-19 Ibm Überwachung von Transaktionen mit Chipkarten

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19641776A1 (de) * 1996-09-04 1997-03-13 Telecash Kommunikations Servic Computerprogrammgesteuertes Verfahren zum gesicherten Aufbau einer Wähl-Leitungsverbindung und zur gesicherten Datenübertragung zwischen einem Chipkarten-Terminal und einer zentralen Datenverarbeitungsanlage

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10156783A1 (de) * 2001-11-19 2003-05-28 Giesecke & Devrient Gmbh Steuerung eines Zahlungsverkehrsterminals

Also Published As

Publication number Publication date
EP0926636B1 (de) 2005-04-06
US6219651B1 (en) 2001-04-17
EP0926636A1 (de) 1999-06-30
DE69829635T2 (de) 2006-06-22
DE69829635D1 (de) 2005-05-12

Similar Documents

Publication Publication Date Title
DE19757501C1 (de) Verfahren zum Schutz von Transaktionsdaten
DE69620750T2 (de) Wertüberweisungssystem
EP0608197B1 (de) Verfahren als Sicherheitskonzept gegen unbefugte Verwendung eines Zahlungsmittels beim bargeldlosen Begleichen an Zahlstellen
DE2560080C2 (de) Datenaustauschanordnung
DE69433480T2 (de) Verfahren und vorrichtung zum verteilen von zahlungsmitteln
DE69607041T2 (de) Verfahren zum geschützten elektronischen zahlungsmittels
DE69014817T2 (de) System zum Bezahlen oder Transferieren von Informationen mit einer als Geldbörse dienenden elektronischen Speicherkarte.
DE69215501T2 (de) Werttransfersystem
DE19755819C1 (de) Verteiltes Zahlungssystem und Verfahren für den bargeldlosen Zahlungsverkehr mittels einer Börsenchipkarte
EP0605070B1 (de) Verfahren zum Transferieren von Buchgeldbeträgen auf und von Chipkarten
DE69821545T2 (de) Elektronische Geldkarte, Empfangs-/Auszahlungsmaschine für elektronisches Geld und Editiervorrichtung für eine elektronische Geldkarte
DE19727386C1 (de) Verfahren zur Verarbeitung von Transaktionsdaten
DE19604876C1 (de) Verfahren zur Transaktionskontrolle elektronischer Geldbörsensysteme
DE19634418A1 (de) Verfahren zur Sicherung der Datenübertragung im elektronischen Zahlungsverkehr
EP0806747B1 (de) Verfahren und Anlage zum Transferieren von Geldbeträgen zwischen überschreibbaren Speichern einer Chipkarte
DE4427039C2 (de) Verfahren zur Bestimmung des aktuellen Geldbetrages in einem Datenträger und System zur Durchführung des Verfahrens
EP0909434B1 (de) Verfahren und vorrichtung zum laden von inputdaten in einen algorithmus bei der authentikation
DE69712263T2 (de) Verfahren zum Wiederaufladen von vorausbezahlten virtuellen Karten
DE69130321T2 (de) Datenübertragungssystem und datenübertragungsendeinrichtung
EP0789335A2 (de) Verfahren zum Abrechnen elektronischer Geldbörsensysteme mit Chipkarten
DE29621439U1 (de) Datenerfassungs- und Kartenbearbeitungssystem
DE4027735A1 (de) Verfahren und vorrichtung zur gesicherten datenfernuebermittlung
WO2000002170A1 (de) Verfahren zum schutz von daten auf einem datenträger sowie dazu ausgestaltete chipkarte, lesegerät und chipsatz
EP1371038B1 (de) Verfahren und vorrichtung zum durchführen mindestens eines gegen zahlung eines entgelts abzuwickelnden geschäfts
DE69830205T2 (de) Verfahren zum ermöglichen einer finanztransaktion in echtzeit zwischen zwei über ein computernetz verbundenen parteien und system zu seiner durchführung

Legal Events

Date Code Title Description
8100 Publication of patent without earlier publication of application
D1 Grant (no unexamined application published) patent law 81
8363 Opposition against the patent
8331 Complete revocation