DE2749710A1 - Verfahren und anordnung zum schutz von daten in datenverarbeitungsanlagen - Google Patents

Verfahren und anordnung zum schutz von daten in datenverarbeitungsanlagen

Info

Publication number
DE2749710A1
DE2749710A1 DE19772749710 DE2749710A DE2749710A1 DE 2749710 A1 DE2749710 A1 DE 2749710A1 DE 19772749710 DE19772749710 DE 19772749710 DE 2749710 A DE2749710 A DE 2749710A DE 2749710 A1 DE2749710 A1 DE 2749710A1
Authority
DE
Germany
Prior art keywords
output
memory
memory area
secured
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19772749710
Other languages
English (en)
Inventor
David John Roberts
John Simmons
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE2749710A1 publication Critical patent/DE2749710A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)

Description

2 7 4 9 7 Il O
Anmelderlns International Business Machine)
Corporation, Armonk, N.Y. 1O5O< heb-pi
Verfahren und Anordnung zum Schutz von Daten In Datenverarbeitungsanlagen
!Die Erfindung betrifft Datenverarbeitungsanlagen, die für die !Ausgabe von Dokumenten mit Geldeswert oder für die begrenzte !Ausgabe von Information geeignet sind, und betrifft insbesondere den Schutz der Datenverarbeitungsanlage gegen den unberechtigten Einsatz von Programmen zu betrügerischen Zwecken. ί
lViele derartige Anlagen sind Im Stand der Technik bekannt, !beispielsweise ein Kassenterminal zur Ausgabe von Bargeld. 1In einem solchen System besitzt der Bankkunde eine mit seiner Kontonummer versehene Bank- oder Kundenkarte, und es wird ihm 'seine Geheimnumner mitgeteilt. Der Bankkunde führt diese Karte in das Kassenterminal ein, und wenn die Karte als gültig erkannt wird, dann wird eine Eingabetastatur für den Kunden freigegeben, so daß er nunmehr seine nur ihm bekannte geheime Nummer sowie den gewünschten Bargeldbetrag eingeben kann. Die Datenverarbeitungsanlage überprüft dann die Geheimnummer und ihre Zuordnung zur richtigen Kontonummer und ob der angeforderte Betrag zulässig 1st, belastet das Konto und gibt das gewünschte Bargeld aus. Wenn eine dieser Bedlnjgungen nicht erfüllt 1st, dann wird an dem Kassenterminal I eine entsprechende Information angezeigt. Verlorene oder gestohlene Karten werden durch das Terminal bei betrügerischer Benutzung nicht herausgegeben. Es ist somit sehr schwierig für einen Benutzer eines solchen Terminals, auf betrügerische Weise Bargeld zu erhalten.
Ein anderes System ist beispielsweise in der Deutschen Patent-I anmeldung P 25 14 915.9 der Anmelderin beschrieben. In diesem
UK"6017 809821/0689
System werden Terminals für die Ausgabe von Karten, beispielsweise Eisenbahnfahrkarten benutzt. Das Terminal enthält eine Anzeigevorrichtung, die durch den Bediener solange verändert wird, bis eine genaue Wiedergabe der Daten für eine Fahrkarte erhalten wird. Wird die Karte verkauft, dann drückt der Bediener einen Knopf, so daß nunmehr das Terminal die Fahrkarte ausdruckt und den Verkauf registriert.
Bevor der Bediener die Eisenbahnstation verläßt, prüft der Stationsvorsteher den vom Bediener vereinnahmten Kassenbetrag
und vergleicht ihn mit dem gesamten aufgezeichneten Fahrkartenverkauf. Da der Bediener keine Fahrkarte drucken kann, ohne gleichzeitig den entsprechenden Geldwert des Fahrkartenverkaufs aufzuzeichnen, ist ein unentdeckter Betrug durch den Bediener schwierig.
Ein solches System kann beispielsweise einen Datenspeicher und eine Möglichkeit für eine Programmeingabe in den Speicher von einem angeschlossenen Gerät aufweisen, beispielsweise für eine Fehlerdiagnose.
Die Aufgabe der vorliegenden Erfindung besteht darin, eine j Anlage zu schaffen, bei der ein Betrug durch die nicht ge- j nehmigte Verwendung eines Programms schwierig ist.
Gemäß der vorliegenden Erfindung wird ein Verfahren zum Schutz von Daten in einer Datenverarbeitungsanlage gegen unberechtigte Programmierung geschaffen, wobei die Anlage mindestens einen Datenprozessor aufweist, der eine oder mehrere Ausgabegeräte steuert, die Wertdokumente oder begrenzt zugängige Information ausgeben können, gesteuert durch Ausgabebefehle oder ein berechtigtes Programm, mit einer gesicherten Speicherzone für diese Auegabebefehle sowie einer freien Speicherzone, in die der Bediener Programme laden kann sowie
ÜK976ÖT7 809821/0668
27497[IO
mit einer Überprüfung, ob ein Ausgabebefehl In der gesicherten Speicherzone seinen Ursprung hat, und Anhalten der Durchführung eines Ausgabebefehls, der nicht seinen Ursprung in der j
gesicherten Speicherzone hat.
Gemäß einem weiteren Merkmal der Erfindung können diese Wertdokumente oder die begrenzt zugängige Information nur in Ab- ' hängigkeit von Ausgabebefehlen aus der gesicherten Speicherzone abgegeben werden.
Ein Wertdokument ist dabei ein Dokument, das einen selbständigen Wert hat. Dieses Dokument kann beispielsweise gedruckt und durch die Auegabeeinheit für Dokumente ausgegeben werden, wie z.B. Eisenbahnfahrkarten, Flugscheine oder Versicherungspolicen oder auch Banknoten.
Begrenzt zugängige Information soll solche Information sein, zu denen ein nicht berechtigter Benutzer keinen Zugriff haben darf.
Die Erfindung wird nunmehr anhand von Ausführungsbeispielen in Verbindung mit den beigefügten Zeichnungen näher beschrieben.
In den Zeichnungen zeigtt
Fig. 1 ein Blockschaltbild einer Datenverarbeitungsanlage gemäß der Erfindung,
Fig. 2 die Sicherheitslogik der Fig. 1 Im einzelnen, Fig. 3 ein Blockschaltbild eines Steuergerätes für
eine Kartenausgabe gemäß dem Stande der Technik,
976 017 809821/0689
! 27A97 1
'Fig. 4 ein Blockschaltbild zur Anwendung der Erfindung auf das Steuergerät gemäß Fig. 3 und
Fig. 5 die in Fig. 4 verwendete Sicherheitslogik
im einzelnen.
: In der folgenden Beschreibung werden, soweit wie möglich, für gleiche Teile gleiche Bezugsziffern verwendet.
Das Blockschaltbild der Fig. 1 zeigt eine Zentraleinheit 1 einer Datenverarbeitungsanlage mit einer Ausgabeeinheit 2, durch die ein Wertdokument oder eine beschränkt zugängliche Information ausgegeben werden können, wie dies durch den Pfeil 3 angezeigt ist. Wenn das Wertdokument beispielsweise eine Eisenbahnfahrkarte oder ein Flugschein ist, kann die Fahrkarte oder der Flugschein durch die Ausgabeeinheit 2 selbst gedruckt werden. Wenn andererseits das Wertdokument eine Banknote ist, dann wird die Ausgabeeinheit die betreffende Banknote aus einem in der Ausgabeeinheit befindlichen Stapel von Banknoten ausgeben.
Der Zentraleinheit 1 ist ein Speicherbereich für Defehle und Daten zugeordnet. Der Speicherbereich hat zwei getrennte Speicherzonen, nämlich einen gesicherten Speicher 4 und einen frei zugänglichen Speicher 5. Der gesicherte Speicher 4 enthält Ausgabebefehle, bei deren Ausführung eine Ausgabeoperation ein Wertdokument oder eine beschränkt zugängliche Information 3 ausliefert. Dieser gesicherte Speicher ist so angeordnet, daß ein unbefugter Eingriff in die Ausgabebefehle schwer möglich ist. Der gesicherte Speicher 4 ist vorzugsweise ein Festwertspeicher, bei dem die Ausgabebefehle bereits bei der Herstellung fest eingegeben sind. Da dieser gesicherte Speicher 4 vorzugsweise ein bereits bei der Herstellung mit dem Speicherinhalt versehener Halbleiterspeicher
UK976017 609821/0689
27 49
ist, ist ein Eingriff in die Ausgabebefehle schwierig und dieser Speicher kann auch dadurch schwer ausgetauscht werden, daß man diesen gesicherten Speicher in einem fest verschlossenen Gehäuse unterbringt.
Der gesicherte Speicher 4 kann auch ein Lese/Schreibspeicher sein, jedoch müssen in diesem Fall besondere Vorsichtsmaßnahmen getroffen werden, um sicherzustellen, daß eine nichtberechtigte Person die Ausgabebefehle nicht verändern kann. Das kann beispielsweise in Form eines geheimen Kenncodes geschehen, der in die Zentraleinheit eingegeben werden muß, bevor ein Schreibzugriff nach dem gesicherten Speicher 4 möglich ist. Solche gesicherten Lese/Schreibspeicher sind in der Datenverarbeitungstechnik bekannt.
Der frei zugängliche Speicher 5 ist ein Lese/Schreibspeicher, der beispielsweise die von der Zentraleinheit benötigten Programme und Daten enthalten kann und der beispielsweise aus einer Kassette über die Leitung 6 durch die Maschinenbedienung geladen werden kann. Diese Möglichkeit muß vorgesehen sein, damit Diagnostikprogramnedurch den Kundendienstingenieur zur überprüfung der Anlage geladen werden können, da es unwirtschaftlich wäre« derartige Diagnoseprogramme ständig gespeichert zu halten. Die Datensammelleitung 7 dient der übertragung der Ausgabebefehle von dem gesicherten Speicher 4 nach der Zentraleinheit 1 in Abhängigkeit von durch die Zentraleinheit 1 an den gesicherten Speicher 4 übertragenen Adressen. Auf der Leitung 9 wird ein die Anwesenheit eines Ausgabebefehls anzeigendes Signal erzeugt. Die Datensammelleitung 8 dient der übertragung von anderen Befehlen oder Daten von dem frei zugänglichen Speicher 5 nach der Zentraleinheit 1 in Abhängigkeit von durch die Zentraleinheit 1 nach dem frei zugänglichen Speicher übertragenen Adressen. Auf der Leitung 10 wird ein die Anwesenheit «Ines vom frei
ÜK976cm 809821/0689
27497110
zugänglichen Speicher 5 kommenden Befehls anzeigendes Signal erzeugt« wobei es sich tatsächlich auch um einen unberechtigten Ausgabebefehl handeln kann.
Die Ausgabeeinheit 2 erzeugt auf der Leitung 11 ein die Betriebsbereitschaft der Ausgabeeinheit anzeigendes Signal, d.h., daß Ausgabebefehle verarbeitet werden. Die Leitungen 9,
10 und 11 führen nach einer Sicherheitslogik 12, die auf die über diese Leitungen ankommenden Signale anspricht und dann ein Stoppsignal auf Leitung 13 erzeugt, wenn die über Leitungen 10 und 11 ankommenden Signale anzeigen, daß die Ausgabeeinheit 2 einen vom frei zugänglichen Speicher 5 kommenden unberechtigten Auegabebefehl verarbeitet. Da diese Kombination von Signalen bedeuten kann, daß eine Person in betrügerischer Waise ein betrügerisches Programm über die Leitung 6 in den frei zugänglichen Speicher 5 geladen hat, und versucht, ein Wertdokument von der Ausgabeeinheit 2 in betrügerischer Weise zu erhalten, so sperrt das über Leitung 13 ankommende Stoppsignal das Arbeiten der Ausgabeeinheit und verhindert damit die Ausgabe eines Wertdokumente. Das auf Leitung 13 auftretende Signal kann außerdem zur Erzeugung eines Warnsignals bei der Zentraleinheit 1 oder einem anderen gewünschten Ort benutzt werden. Die anderen Möglichkeiten, die zu einem Stoppsignal führen können, sind Maschinenfehler, durch die fehlerhafte Signale auf den Leitungen 9, 10 und
11 auftreten können.
Die Sicherheitslogik 12 erzeugt auch ein Datensicherheitssignal, wenn die auf den Leitungen 9 und 11 auftretenden Signale anzeigen, daß ein Ausgabebefehl aus dem gesicherten Speicher 4 verarbeitet wird, was eine zulässige Betriebsart ist. Dieses gültige Sicherheitssignal kann beispielsweise für eine Sichtaaselge für eine zulässige Betätigung benutzt und an einem von der Zentraleinheit entfernten Ort angezeigt werden« oder aber als positives Entsperrsignal für die
UK 97β ΌΪΤ
809821/0689
27 4 97110
!Ausgabeeinheit 2 verwendet werden.
ι Wenn das System zur Zugriffskontrolle für beschränkt zugang·» liehe Information verwendet werden soll« dann kann ein nicht j berechtigter Bediener die begrenzt zugängliche Information !nicht über die Ausgabeeinheit 2 erhalten. Die zusätzliche Sicherheitslogik 12 macht einen Betrugsversuch durch Ein- !speisen eines betrügerischen Programms in den frei zugänglichen Speicher 5 mit dem Ziel, die Information durch Um-'gehung der normalen Sicherheitsüberprüfung durch einen berechtigten Benutzter zu erhalten« sehr schwierig. Wenn bei dem Betrugsversuch ein über Leitung 8 abgegebener Befehl als Aue-
Igabebefehl mißbraucht werden soll, dann wird die Ausgabeein-
heit 2 durch ein über Leitung 13 kommendes Signal gesperrt, ι und es wird Alarm gegeben. Die bis jetzt beschriebene Sicherheitslogik spricht insoweit an« daß sie die Ausgabe eines Wert· dokumente oder dgl. durch eine Ausgabeeinheit ausschließlich auf die Ausführung eines vom gesicherten Speicher stammenden
j Ausgabebefehle beschränkt. Obgleich in der bisher beschriej benen Aueführungsform die Überprüfung an den tatsächlich von den Speichern abgegebenen Ausgabebefehlen durchgeführt 1 wird« könnte diese überprüfung genausogut unter Verwendung , der von der Zentraleinheit 1 an die Speicher übertragenen Speicheradreflsignale durchgeführt werden. Dies ist tatsächlich die in einer weiteren Ausführungsform benutzte Technik« bei der der gesicherte Speicherbereich und der frei zugängliche Speicherbereich eine gemeinsame Eingabe/Ausgabeleitung aufweisen.
Die Zentraleinheit 1 kann dabei gleichzeitig mehr als eine Ausgabeeinheit 2 ansteuern. In diesem Fall benötigt jede zusätzliche Auegabeinheit 2 ihre eigene Sicherheitslogik 12« obgleich in manchen Fällen diese gemeinsam benutzt werden könnte.
UK976017 809821/0689
- ίο - I
Bei manchen Systemen» wie z.B. bei einem Kartenverkauf, ist es erforderlich, daß bei Ausgabe eines Wertdokuments eine Aufzeichnung über den Geldwert des Verkaufs erstellt wird, j so daß, falle gewünscht, der Kassenbestand gegen die Aufzeichnung der verkauften Karten überprüft werden kann. ,
Wenn daher bei einem Betrugsversuch eine Person an denjenigen Befehlen einen Eingriff versuchen sollte, die die Aufzeich- ' nung des Geldwertes steuern, dann könnte der Versuch unter- ' jnommen werden, das System nach Eingabe eines betrügerischen Programms in den frei zugänglichen Speicher 5 zu betreiben, mit dem Zweck, die Aufzeichnung des Geldwertes zu verhindern, um damit Wertdokumente ohne gleichzeitige Aufzeichnung über ihre Ausgabe zu erhalten. Dies kann wesentlich dadurch erschwert werden, daß die Befehle, die die Aufzeichnung des : Geldwert·· steuern, ebenfalls im gesicherten Speicher 4 abgespeichert sind, und daß ein den aktiven Betriebszustand der Ausgabeeinheit 2 anzeigendes Signal auf der Leitung 11 dann erzeugt wird, wenn Befehle zur Aufzeichnung des Geldwertes verarbeitet werden. Diese Art von Betrugsversuch würde dann ' durch die Sicherheitelogik festgestellt, die Ausgabeeinheit ' 2 gesperrt und, wie bereits beschrieben, ein Alarm erzeugt werden.
Fig. 2 zeigt die Sicherheitslogik in Fig. 1 im einzelnen und verwendet dieselben Bezugszeichen zur Kennzeichnung der Eingabe und Auegabeleitungen wie in Fig. 1. Ein UND-Glied 14 nimmt Eingangseignale über Leitung 9 und 11 auf. Eine Eins auf Leitung 9 zeigt an, daß ein Ausgabebefehl vom gesicherten Speicher 4 vorliegt, während eine Eins auf der Leitung 11 anzeigt, daß die Ausgabeeinheit 2 aktiv ist. Eine auf der Auegangsleitung 15 auftretende Eins ist dann als gültiges Sicherheitssignal anzusehen, was bedeutet, daß die Anlage in der gewünschten und beabsichtigten Betriebsart arbeitet.
0X976017 809821/0689
Ein UND-Glied 16 nimmt ebenfalls das einen Auegabebefehl anzeigende, über Leitung 9 ankommende Signal nach Inversion in der Inverterstufe 17 und ein über Leitung 11 ankommendes Signal auf, das anzeigt, daß die Ausgabeeinheit 2 aktiv 1st, und liefert über das ODER-Glied 18 ein Stoppsignal auf die Leitung 13. Ein UND-Glied 19 nimmt ein über Leitung 10 ankommendes, einen anderen vom frei zuganglichen Speicher 5 stammenden Befehl anzeigendes Signal und über Leitung 11 ein den aktiven Betriebszustand der Ausgabeeinheit 2 anzeigenden Signal auf und kann über das ODER-Glied 18 auf der Leitung 13 ein Stoppsignal erzeugen. Das Stoppsignal wird daher zu Eins, wenn die Ausgabeeinheit 2 aktiv ist, wahrend entweder kein einen Ausgabebefehl anzeigendes Signal vorhanden ist, oder wenn ein einen anderen Befehl anzeigendes Signal vorhanden ist oder wenn beide Bedingungen erfüllt sind, wodurch angezeigt wird, das das System in einem nichtbeabsichtigten Betriebszustand arbeitet, was auf einem Betrugsversuch zurückzuführen sein mag.
Fig. 3 ist ein Blockschaltbild einer Anlage für die Fahrki tenausgabe, bei welcher die Erfindung benutzt werden kann. Eine Kurzbeschreibung des Fahrkartenausgabesystems soll hier gegeben werden.
Das Fahrfcartiwmuffg^fr^ffypt·***" besteht zunfichst ans yiiwr überge* ordneten Zentraleinheit, die an einer Anzahl von örtlichen Steuergeräten 21 angeschlossen ist, an der eine Anzahl an Verkaufsstellen.vorgesehene Datenstationen angeschlossen sind. In der übergeordneten Zentraleinheit 1st Information in Form von logischen Tabellen seitenweise abgespeichert und kann im Bedarfsfall an die örtlichen Steuergeräte abgegeben und dort eingespeichert werden. Diese tabellenartig aufgebauten Speicher frfftwwi nwchfui rnMwHtr auswfthlbare Steuer—
UK 976 QIT
809821/0689
27497TO
worte für den Aufbau der Daten für eine Fahrkarte enthalten. Jeder mit dem Fahrkartenverkauf beauftragte Bahnbeamte kann dann eine Fahrkarte einfach dadurch erstellen, daß er in einem einfachen Auewahlverfahren, die erforderlichen, ihm auf einem Bildschirm angezeigten Daten auswählt. Außerdem kann der Beamte einige Daten für Fahrkarten aus örtlichen Untergruppen diese Tabellen auswählen, ohne daß er das normale Auswahlverfahren einhalten muß. So stehen dem Beamten einerseits alle Daten für irgendwelche im gesamten Eisenbahnnetz des Landes oder der Region erforderlichen Daten zur Verfügung, und außerdem ist vorgesehen, daß für die Fahrgäste seiner J Station für sehr oft gewünschte Verbindungen Fahrkarten rasch erstellt werden können.
Fig. 3 zeigt ein örtliches Steuergerät 21 zusammen mit zwei beim Fahrkartenverkauf angeordneten Datenstationen. Ein Zentraleinheit 1 ist mit einem Festwertspeicher (gesicherter Speicher) 4 und einem frei zugänglichen Speicher 5 für wahlfreien Zugriff verbunden. Ein Plattenspeicher 22 ist über eineiji Anschluß 23 mit der Zentraleinheit 1 verbunden. Ferner ist ein Datenfernübertragungsanschluß 24 vorgesehen, der die Zentraleinheit 1 mit der übergeordneten Zentraleinheit verbindet. Eine Eingabe/Ausgabesteuerung mit Multiplexbetrieb 25 verbindet die Zentraleinheit 1 mit zwei Druckeranschlüssen 2 und 2', an denen Drucker 26 bzw. 27 angeschlossen sind sowie mit zwei weiteren Anschlüssen 28 und 29, an denen Dateneingabestationen 30 bzw. 31 mit Bildschirmanzeige angeschlossen sind. Es sei darauf verwiesen, daß die Geräte 26, 27, 30 und 31 relativ einfache Geräte sind, die ihre eigene Stromversorgung und Anschlüsse für den Druck, für die Dateneingabe und Anzeige einschließlich nur der Decodier- und Steuerschaltungen für die Anzeige selbst aufweisen sowie mit einfachen Codierschaltungen für die Eingabetastatur ausgerüstet sind. Dl: wesentliche Datenorganisation für diese Anschlußgeräte wird
ÜK 976 °17 809821/0689
"274 9711
durch die Anschlüsse 2, 2', 28 und 29 vorgenommen. Im Betrieb spricht der Anschluß 2 auf die von der Dateneingabestation kommenden Daten an, gesteuert durch Programmbefehle Im Festwertspeicher 4 und im Speicher 5, und wählt damit die im Speicher 5 befindlichen Datenseiten für eine Übermittlung an
Idie Dateneingabe und Bildschirmanzeige und, wenn erforderlich, an die Drucker aus. Sind die angeforderten Daten nicht Im Speicher 5 enthalten, dann erzeugt die Zentraleinheit eine Anforderung für eine entsprechende Tabellenseite an die übergeordnete Zentraleinheit über den Datenfemübertragungsanschluß 24 und veranlaßt, daß die von dort übermittelten Daten Im Speicher 5 für sofortige oder spätere Verwendung durch das Steuergerät abgespeichert werden. Der Plattenspeicher 22 enthält andere Arten von Daten. Zunächst kann der Plattenspeicher statistische Daten, beispielsweise die Aufzeichnung der letzten hundert verkauften Fahrkarten, tägliche Gesamtsummen der Kasseneinnahmen, Gesamtsummen der Fahrkarten in verschiedenen Klassen usw. enthalten und diese Daten können durch das örtliche Steuergerät für Buchhaltungszwecke in der Weise ausgenutzt werden, daß der Plattenspeicher als Buchhaitungsjournal geführt wird. Ferner kann der Plattenspeicher 22 Wiederanlaufprogramme für das örtliche Steuergerät enthalten und kann ferner als Zwischenspeicher für von der übergeordneten Zentraleinheit aufgenommene Tabellenseiten dienen, so daß dadurch die Anzahl von Tabellenseiten, die im örtlichen Steuergerät eingespeichert sein können, erhöht wird. Die Zentraleinheit 1 kann diese Datenspeicherung organisieren, ι kann die erforderlichen Zwischensummen erstellen und berechnen und kann die erforderlichen Daten entweder auf Anforderung oder zu vorbestimmten Zeiten an die übergeordnete Zentraleinheit übertragen.
Die in Fig. 1 dargestellte Anordnung benötigt getrennte Leitungen vom gesicherten Speicher 4 und vom frei zugänglichen Speicher 5 nach der Zentraleinheit 1. In der in Fig. 3 darge-
UK 976 017 809821/0689
stellten Anordnung sind der als Festwertspeicher aufgebaute gesicherte Speicher 4 und der frei zugängliche Speicher 5 mit wahlfreiem Zugriff mit der Zentraleinheit über eine gemeinsame Eingabe/Ausgabe-Sammelleitung 31 verbunden, so daß die in Fig. 1 gezeigte Anordnung nicht verwendet werden kann.
In Fig. 4 wird die Speicherung für die Zentraleinheit durch den gesicherten Festwertspeicher 4 und durch den frei zugang- | liehen Speicher 5 mit wahlfreiem Zugriff gebildet, die über eine gemeinsame Eingabe/Ausgabe-Sammelleitung 31 angeschlossen sind. Die Speicher 4 und 5 sind beides Halbleiterspeicher, nur wurde der Festwertspeicher 4 bereits während der Herstellung durch entsprechenden Niederschlag einer metallischen Verdrahtung als Festspeicher hergestellt, wie dies in der Halbleiterspeichertechnik allgemein bekannt ist. Der gesicherte Speicher 4 kann daher als Festwertspeicher bei einem Betrugsversuch nur schwer geändert werden.
In diesem Fahrkartenverkaufssystem werden diejenigen Programme, die die Ausgabe der Fahrkarten (Wertdokumente) steuern, während der Herstellung fest im gesicherten Speicher 4 eingespeichert. Das bedeutet, daß dann, wenn durch das System Fahrkarten ausgegeben werden, das Verfahren durch ein Programm gesteuert wird, das bei einem Betrugsversuch nicht ohne große Schwierigkeiten geändert werden kann, wenn versucht werden sollte, Fahrkarten zu erhalten, ohne daß dabei die entsprechenden buchhalterischen Vorgänge und die Aufzeichnung der Verkäufe auf dem Plattenspeicher 22 durchgeführt werden.
Die Größe des an der Zentraleinheit 1 angeschlossenen Speichers wird nur von der Kostenseite her begrenzt. Daher können alle Programme, die nur selten benutzt werden (wie z.B. Diagnoseprogramme) nicht im gesicherten Festwertspeicher 4 untergebracht werden. Damit diese Programme benutzt werden können,
976 °17 Ö09821/0689
27SF7H0
- 15 müssen Möglichkeiten vorgesehen sein, damit diese Programme
;in den Lese/Schreibspeicher 5 mit wahlfreiem Zugriff eingespeichert werden können. Wenn Programme in den Lese/Schreibspeicher 5 geladen werden können, dann kann für den Inhalt dieser Programme zum Fertigungszeitpunkt nicht in gleicher Weise eine Garantie übernommen werden, wie für die im Festwertspeicher 4 liegenden Programme. Daher könnte es möglich sein, die im Lese/Schreibspeicher 5 eingespeicherten Programme so zur Steuerung des Systeme zu benutzten, daß auf betrügerische Weise Fahrkarten erhalten werden können.
Bei der Anordnung gemäß Fig. 3 kann ein Kundendienstingenieur über eine Kassette mit einem Anschluß an die Zentraleinheit 1 ein auf der Kassette gespeichertes Diagnoseprogramm an den Lese/Schreibspeicher 5 Übertragen.
Um zu verhindern, daß ein Programm, das über Leitung 6 in den Lese/Schreibspeicher 5 eingespeichert wird, mißbräuchlich ausgenutzt wird, ist die Sicherheitsschaltung gemäß Fig. 4 vorgesehen. Die dort verwendete Sicherheitslogik 12* erhält drei Eingangseignale und zwar einmal über eine Abzweigung 32 der SpeichersaoMlleitung 31, dann über Leitung 11 ein vom Auegabeanschluß 2' kommendes Signal, das dessen Aktivität anzeigt, sowie ein ebenfalls vom Ausgabeanschluß 2* kommendes Taktsignal. Die Sicherheitslogik 12* überprüft anhand dieser Eingangssignale, ob ein Ausgabebefehl dem gesicherten Speicher 4 entstammt oder nicht. Wenn Bedingungen festgestellt werden, aus denen sich ergibt, daß ein aus dem frei zugänglichen Speicher 5 stammender Befehl den Ausgabeanschluß 2* betätigt, dann wird auf der Leitung 13 ein Stoppsignal abgegeben, das bewirkt, daß der durch den Ausgabeanschluß 2* angesteuerte Drucker 26 gesperrt wird, während gleichseitig die Zentraleinheit 1 in ihren Ausgangszustand zurückgeführt wird. Unter diesen Bedingungen könnte eine be-
ÜK 976 °17 809821/0689
trügerisch verursachte Fahrkartenausgabe nicht zum Druck einer Fahrkarte führen.
Die Arbeitsweise der Sicherheitslogik 12' wird nunmehr Im einzelnen erläutert.
Bei dem Fahrkartenverkaufssystem gibt es eine Reihe von Verfahrensschritten zur Durchführung von Befehlen. Es sind dies die folgenden Schritte:
a) Abrufen des Befehls aus dem Speicher/
b) Decodieren des Befehls zur Feststellung der gewünschten Operation,
c) Auffinden der Adresse des nächsten Befehls,
d) Durchführen der durch den Befehl vorgegebenen Operation.
Um das Arbeiten der Zentraleinheit 1 zu beschleunigen, werden einzelnen Verfahrensschritte überlappt durchgeführt. Die zeitliche Ablauffolge einer Operation ist dabei wie folgt.
609821/0689
Interpretation der Eingabe/Ausgabe der Zentraleinheit 1
Signal
Zeit
Nächster Befehls Zyklus
CD O (D QO K>
Speicheradreßdäten auf Speichexadreesairoel— leitung
Datenadresse
^ j Signal auf der
ο Eingabe/Auegabe-
o> ' saBmelleltung
Adresse des An* Befehlscode Schlusses
Adresse des
nächsten Befehls
Datum
Durchzuführende Interpretation Obertragen der Sende Befehl an übertrage Daten Interpretiere
Funktion
des Befehls
Adresse zur Auswahl des E/A-Anschlusses 2'
die E/A-Einheit
nach E/A-AnschluB und hole
nächsten Befehl
nächsten Befehl
DK 976
Da nunmehr die Adresse des nächsten Befehls nach einem Ausgabebefehl für die Ausgabe eines Wertdokuments und dgl. immer der nächstfolgende Befehl ist (d.h. der Ausgabebefehl hat keine Verzweigung), muß die Adresse des nächsten Befehls im gleichen Teil des Speichers sein wie der vorhergehende Ausgabebefehl. Dies ist darauf zurückzuführen, daß die Befehle als Befehlefolge im gesicherten Speicher 4 abgespeichert sind.
Die Sicherheitslogik überprüft, ob die Speicheradresse des nächsten Befehls, wie sie von der Zentraleinheit 1 über die Leitung 31 Übertragen wird, innerhalb eines gültigen Adressenbereiche liegt, so daß die Ausgabeanschlüsse 2* oder 211 die Ausgabe von Wertdokumenten steuern können. Liegt die Adresse nicht innerhalb des vorbestimmten Bereiches, dann wird die gewünschte Operation nicht durchgeführt, und es wird ein Stoppsignal erzeugt.
Der gültige Bereich von Speicheradressen kann entweder zur Zeit der Herstellung festgelegt werden oder kann durch einen j innerhalb des zuvor festgelegten gültigen Bereichs liegenden Befehl zum einleitenden Laden eines Programms in ein Register geladen werden, wenn das Gerät eingeschaltet wird.
Fig. 5 zeigt die Sicherheitslogik 12* der Fig. 4 im einzelnen. In Fig. 3 sind zwei Anschlüsse dargestellt, die Fahrkarten liefern können, und somit sind zwei Leitungen 11 und 11* und ein ODER-Glied 40 erforderlich. In dem Fahrkartenausgabesystem sind für den gesamten Speicher 8 Moduln erforderlich, d.h., daß für die Sammelleitung 32 (Fig. 4) für die Adressenübertragung drei Leitungen 42, 43 und 44 erforderlich sind. Der Festwertspeicher 4 und der Lese/Schreibspeicher 5 bestehen hier jeweils aus einer ganzen Zahl von Moduln.
Die Adress«nv«rgl«iahsschaltung 48 enthält logische Schal-
ÜK 976 °17 809821/0689
27437
tungen, mit denen Überprüft werden kann, ob die über die Eingabe /Ausgabe-Sammelleitung 31 und die über Leitungen 42, 43 und 44 übertragenen Adressen nach dem gesicherten Speicher 4 oder nach dem frei zugänglichen Speicher 5 gerichtet sind. Für diese Überprüfung werden die auf diesen Leitungen ankommenden Adreßsignale durch ein über Leitung 33 vom Ausgabeanschluß 2· (2") ankommendes Adreßtaktsignal durch die Speichersammelleitung durabgeschaltet. Die Adressen werden dann über Leitungen 42', 43* und 44* an die Vergleichsschaltung 48 abgegeben. Liegen die einzelnen Bits der Adressen innerhalb des Adrefibereichs des gesicherten Festwertspeichers 4, dann wird auf der Ausgangsleitung 9 ein Signal erzeugt, daß anzeigt, daß aus dem gesicherten Speicher 4 ein Befehl abgerufen wird, wodurch der zugeordnete Ausgabeanschluß die Ausgabe eines Wertdokuments oder dgl. veranlaßt. Liegen die Adreßbits jedoch innerhalb des Adreßbereichs des Lese/Schreibspeichers 5, dann wird ein Ausgangssignal auf der Leitung 10 erzeugt, das anzeigt, daß aus dem frei zugänglichen Speicher ein Befehl abgerufen wird, durch den jedoch kein Wertdokument oder dgl. ausgegeben werden darf.
Die Leitungen 9 und 10 sind Eingangsleitungen der logischen Schaltung 49. Eine weitere Eingangsleitung der logischen Schaltung 49 ist die Leitung 11 oder die Leitung 11', die anzeigt, daß der Ausgabeanschluß 2' oder 2'* aufgrund der Aufnahme eines Auegabebefehls aktiv ist. Wie bereits erläutert, wird das den Ausgabeanschluß als aktiv kennzeichnende Signal auf der Leitung 11 oder 11* gegen die nächstfolgende, durch den Adreßtaktiapule auf Leitung 33 ausgewählte Adresse überprüft. Die Eingangesignale der logischen Schaltung 49 haben daher die gleiche Funktion wie die Eingangssignale der in Fig. 2 dargestellten logischen Schaltung» und die gleiche Logik wird zur Erzeugung der gleichen Auegangssignale benutzt, d.h. eines Stoppsignale auf der Leitung 13 und eines die Datensicherung ale gültig bezeichnendes Signal auf der LeI-tung 15.
ioaeii/o6ii
In der Anordnung nach Fig. 4 ist die Sicherheitslogik 12* ebenfalls dem Ausgabeanschluß 2* zugeordnet, jedoch mit dem einzigen Unterschied, daß das die Ausgabeeinheit als aktiv kennzeichnende Signal Über Leitung 11* und nicht über Leitung 11 zugeführt wird.
Zur Prüfung der Drucker 26 und 27 in Fig. 3 durch einen Kundendiensttechniker ist eine begrenzte Anzahl von Diagnoseausgabebefehlen im gesicherten Speicher 4 untergebracht. Mit diesen Diagnoseausgabebefehlen kann eine Fahrkarte mit einem besonderen Prüfmuster gedruckt werden. Der Kundendiensttechniker ruft diese Befehle dadurch ab, daß er ein entsprechendes Diagnoseprogramm im Lese/Schreibspeicher 5 einspeichert. Diagnosebefehle ohne Ausdrucken werden im Lese/Schreibspeicher 5 eingespeichert.
909821/068 9

Claims (1)

  1. PATENTANSPRÜCHE
    Verfahren zum Schützen einer Datenverarbeitungsanlage gegen die Benutzung von unberechtigten Programmen, mit einer Zentraleinheit, die eine oder mehrere Ausgabeeinheit(en) zur Ausgabe von Wertdokumenten oder be- ! schränkt zugänglicher Information, gesteuert durch Ausj gabebefehle eines berechtigten Programms, aufweist, da- ! durch gekennzeichnet, daß bei einem Programmlauf geprüft wird, ob die Auegabebefehle einem gesicherten Speicherbereich oder einem für das freie Laden von Programmen frei zugänglichen Speicherbereich entstammen ι und daß dann die Ausgabeoperation angehalten wird, wenn der Ausgabebefehl nicht dem gesicherten Speicherbereich ; entstammt.
    ! 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die geschützten Ausgabebefehle bereits bei der Fertigung in einem Festwertspeicher fest eingespeichert werden.
    ! ■'
    ι 3. Anordnung zur Durchführung eines Verfahrens nach Anspruch 1 mit einer Zentraleinheit und einer daran angeschlossenen Ausgabeeinheit und einem Arbeitsspeicher, dadurch gekennzeichnet, daß der mit der Zentraleinheit verbundene Arbeitsspeicher aus einem gesicherten Speicherbereich (4) und einem frei zugänglichen, frei programmierbaren Speicherbereich besteht und daß an die : von den beiden Speicherbereichen ausgehenden Steuerleitungen (7, 8) über Leitungen (9, 10) eine Sicherheitslogik (12; Fig. 2) angeschlossen ist, die die Ausgabebefehle auf ihre Herkunft aus dem gesicherten oder dem frei zugänglichen und programmierbaren Speicherbereich überprüft und dementsprechend die Ausgabe von Wertdokumenten durch die Ausgabeeinheit freigibt oder sperrt.
    ÜK976°" 909821/0889
    ORIGINAL INSPECTED
    4. Anordnung nach Anspruch 3, dadurch gekennzeichnet, daß der gesicherte Speicherbereich ein Festwertspeicher ist.
    5. Anordnung nach Anspruch 4, dadurch gekennzeichnet, daß die Sicherheitslogik über logische Schaltkreise (14, 15, 16, 17, 18, 19) beim Arbeiten einer Ausgabeeinheit (12) und bei gleichzeitigem Fehlen von aus dem gesicherten Speicherbereich (4) stammenden Ausgabebefehlen und/ oder bei aus dem frei zugänglichen Speicherbereich stammenden Ausgabebefehlen die angeschlossene Ausgabe-* einheit zu sperren vermag.
    6. Anordnung nach den Ansprüchen 3, 4, 5 oder 6, dadurch gekennzeichnet, daß Adreßsignale nach dem Datenspeicher und Ausgangesignale von dem Datenspeicher über eine gemeinsame Sammelleitung (31, 32) geleitet werden und daß die Sicherheitslogik (Fig. 2) zwischen nach dem gesicherten Speicherbereich und nach dem frei zugänglichen Speicherbereich gerichteten Adreßsignalen zu unterscheiden vermag und dann anzeigt, ob die anschließend abgegebenen Ausgabebefehle auf an den gesicherten Speicherbereich oder auf an den frei zugänglichen Speicherbereich gerichtete Adreßsignale zurückzuführen sind.
    7. Anordnung nach den Ansprüchen 3 bis 6, dadurch gekennzeichnet, daß ein weiterer Speicher vorgesehen ist, der in Abhängigkeit von Ausgabebefehlen, die die Ausgabe von Wertdokumenten oder gerichteter Information zur Folge haben, eine Aufzeichnung über die Ausgabe eines solchen Wertdokumentes oder einer solchen gesicherten Information abspeichert.
    ÜK 976 °17 809821/0689
DE19772749710 1976-11-18 1977-11-07 Verfahren und anordnung zum schutz von daten in datenverarbeitungsanlagen Withdrawn DE2749710A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB48195/76A GB1561482A (en) 1976-11-18 1976-11-18 Protection of data processing system against unauthorised programmes

Publications (1)

Publication Number Publication Date
DE2749710A1 true DE2749710A1 (de) 1978-05-24

Family

ID=10447723

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19772749710 Withdrawn DE2749710A1 (de) 1976-11-18 1977-11-07 Verfahren und anordnung zum schutz von daten in datenverarbeitungsanlagen

Country Status (5)

Country Link
US (1) US4183085A (de)
JP (1) JPS6049942B2 (de)
DE (1) DE2749710A1 (de)
FR (1) FR2371731A1 (de)
GB (1) GB1561482A (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0011136A1 (de) * 1978-11-13 1980-05-28 International Business Machines Corporation Schaltungsanordnung zum Integritätsschutz für einen Lese-/Schreib-Steuerspeicher
EP0049322A1 (de) * 1980-09-13 1982-04-14 Robert Bosch Gmbh Auslesesicherung bei Einchip-Mikroprozessoren

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
USRE32468E (en) * 1978-10-16 1987-08-04 Baker Protective Services, Inc. Central station alarm
US4465901A (en) * 1979-06-04 1984-08-14 Best Robert M Crypto microprocessor that executes enciphered programs
US4302810A (en) * 1979-12-28 1981-11-24 International Business Machines Corporation Method and apparatus for secure message transmission for use in electronic funds transfer systems
IT1128032B (it) * 1980-02-08 1986-05-28 Olivetti Ing C Spa Apparecchiatura per la dispensazione di banconote sotto il controllo di carte di credito
US4442484A (en) * 1980-10-14 1984-04-10 Intel Corporation Microprocessor memory management and protection mechanism
JPS57137957A (en) * 1981-02-20 1982-08-25 Hitachi Ltd Terminal connection system
US4513174A (en) * 1981-03-19 1985-04-23 Standard Microsystems Corporation Software security method using partial fabrication of proprietary control word decoders and microinstruction memories
US4442486A (en) * 1981-11-25 1984-04-10 U.S. Philips Corporation Protected programmable apparatus
NL8201847A (nl) * 1982-05-06 1983-12-01 Philips Nv Inrichting voor het beschermen tegen onbevoegd uitlezen van in een geheugen te memoriseren programmawoorden.
US4525599A (en) * 1982-05-21 1985-06-25 General Computer Corporation Software protection methods and apparatus
US4523271A (en) * 1982-06-22 1985-06-11 Levien Raphael L Software protection method and apparatus
US4558176A (en) * 1982-09-20 1985-12-10 Arnold Mark G Computer systems to inhibit unauthorized copying, unauthorized usage, and automated cracking of protected software
US4562305A (en) * 1982-12-22 1985-12-31 International Business Machines Corporation Software cryptographic apparatus and method
US4674047A (en) * 1984-01-31 1987-06-16 The Curators Of The University Of Missouri Integrated detonator delay circuits and firing console
US4823308A (en) * 1984-02-02 1989-04-18 Knight Technology Ltd. Microcomputer with software protection
CA1235821A (en) * 1984-06-28 1988-04-26 John Zolnowsky Data processor having module access control
US5109413A (en) * 1986-11-05 1992-04-28 International Business Machines Corporation Manipulating rights-to-execute in connection with a software copy protection mechanism
US5146575A (en) * 1986-11-05 1992-09-08 International Business Machines Corp. Implementing privilege on microprocessor systems for use in software asset protection
US4817140A (en) * 1986-11-05 1989-03-28 International Business Machines Corp. Software protection system using a single-key cryptosystem, a hardware-based authorization system and a secure coprocessor
JPH0827730B2 (ja) * 1986-11-07 1996-03-21 沖電気工業株式会社 シングルチップマイクロコンピュータ及びそのテスト方法
JP3025502B2 (ja) * 1987-03-16 2000-03-27 日立マクセル株式会社 半導体メモリ装置
US5134700A (en) * 1987-09-18 1992-07-28 General Instrument Corporation Microcomputer with internal ram security during external program mode
US4945468A (en) * 1988-02-01 1990-07-31 International Business Machines Corporation Trusted path mechanism for virtual terminal environments
US5014191A (en) * 1988-05-02 1991-05-07 Padgaonkar Ajay J Security for digital signal processor program memory
JPH0758502B2 (ja) * 1988-06-30 1995-06-21 三菱電機株式会社 Icカード
JP2682700B2 (ja) * 1989-05-09 1997-11-26 三菱電機株式会社 Icカード
US5483646A (en) * 1989-09-29 1996-01-09 Kabushiki Kaisha Toshiba Memory access control method and system for realizing the same
US6507909B1 (en) 1990-02-13 2003-01-14 Compaq Information Technologies Group, L.P. Method for executing trusted-path commands
JP2574887Y2 (ja) * 1990-12-13 1998-06-18 三洋電機株式会社 電池収納ケース
CA2078020C (en) * 1992-09-11 2000-12-12 Rodney G. Denno Combination pin pad and terminal
ATE412945T1 (de) * 1995-02-13 2008-11-15 Intertrust Tech Corp Systeme und verfahren für ein sicheres übertragungsmanagement und elektronischerrechtsschutz
US6948070B1 (en) 1995-02-13 2005-09-20 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6658568B1 (en) 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
US20060206397A1 (en) * 1995-02-13 2006-09-14 Intertrust Technologies Corp. Cryptographic methods, apparatus and systems for storage media electronic right management in closed and connected appliances
US7095854B1 (en) * 1995-02-13 2006-08-22 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US7133846B1 (en) 1995-02-13 2006-11-07 Intertrust Technologies Corp. Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management
US6157721A (en) * 1996-08-12 2000-12-05 Intertrust Technologies Corp. Systems and methods using cryptography to protect secure computing environments
US7165174B1 (en) 1995-02-13 2007-01-16 Intertrust Technologies Corp. Trusted infrastructure support systems, methods and techniques for secure electronic commerce transaction and rights management
US7143290B1 (en) * 1995-02-13 2006-11-28 Intertrust Technologies Corporation Trusted and secure techniques, systems and methods for item delivery and execution
US7133845B1 (en) * 1995-02-13 2006-11-07 Intertrust Technologies Corp. System and methods for secure transaction management and electronic rights protection
US5943422A (en) 1996-08-12 1999-08-24 Intertrust Technologies Corp. Steganographic techniques for securely delivering electronic digital rights management control information over insecure communication channels
US7124302B2 (en) * 1995-02-13 2006-10-17 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US7069451B1 (en) 1995-02-13 2006-06-27 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US5737418A (en) * 1995-05-30 1998-04-07 International Game Technology Encryption of bill validation data
CA2242596C (en) * 1996-01-11 2012-06-19 Mrj, Inc. System for controlling access and distribution of digital property
US20050021477A1 (en) * 1997-01-29 2005-01-27 Ganapathy Krishnan Method and system for securely incorporating electronic information into an online purchasing application
US7062500B1 (en) 1997-02-25 2006-06-13 Intertrust Technologies Corp. Techniques for defining, using and manipulating rights management data structures
US7092914B1 (en) 1997-11-06 2006-08-15 Intertrust Technologies Corporation Methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information
US7103574B1 (en) * 1999-03-27 2006-09-05 Microsoft Corporation Enforcement architecture and method for digital rights management
US6681212B1 (en) 1999-04-23 2004-01-20 Nianning Zeng Internet-based automated system and a method for software copyright protection and sales
US7430670B1 (en) 1999-07-29 2008-09-30 Intertrust Technologies Corp. Software self-defense systems and methods
EP1236115A4 (de) * 1999-11-14 2004-05-26 Networks Assoc Tech Inc Verfahren zur sicheren funktionsausführung durch anrufadressbestätigung
US7356696B1 (en) * 2000-08-01 2008-04-08 Lucent Technologies Inc. Proofs of work and bread pudding protocols
US7539828B2 (en) * 2000-08-08 2009-05-26 Faronics Corporation Method and system for automatically preserving persistent storage
US20020099944A1 (en) * 2001-01-19 2002-07-25 Bowlin Bradley Allen Method and apparatus which enable a computer user to prevent unauthorized access to files stored on a computer
US7925894B2 (en) * 2001-07-25 2011-04-12 Seagate Technology Llc System and method for delivering versatile security, digital rights management, and privacy services
US7036020B2 (en) * 2001-07-25 2006-04-25 Antique Books, Inc Methods and systems for promoting security in a computer system employing attached storage devices
EP1333350A1 (de) * 2002-01-30 2003-08-06 STMicroelectronics Limited Speichersicherungseinrichtung
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
US20060242406A1 (en) * 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
US8074287B2 (en) * 2004-04-30 2011-12-06 Microsoft Corporation Renewable and individualizable elements of a protected environment
JP2006048643A (ja) * 2004-07-08 2006-02-16 Namco Ltd 端末装置、プログラム、情報記憶媒体およびデータ処理方法
US8347078B2 (en) * 2004-10-18 2013-01-01 Microsoft Corporation Device certificate individualization
US20060089917A1 (en) * 2004-10-22 2006-04-27 Microsoft Corporation License synchronization
US8336085B2 (en) 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
US8725646B2 (en) * 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US9363481B2 (en) * 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
US7739505B2 (en) * 2005-04-22 2010-06-15 Microsoft Corporation Linking Diffie Hellman with HFS authentication by using a seed
US20060265758A1 (en) * 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
US7539890B2 (en) * 2006-04-25 2009-05-26 Seagate Technology Llc Hybrid computer security clock
US8028166B2 (en) * 2006-04-25 2011-09-27 Seagate Technology Llc Versatile secure and non-secure messaging
US8429724B2 (en) 2006-04-25 2013-04-23 Seagate Technology Llc Versatile access control system
WO2009004505A1 (en) * 2007-07-05 2009-01-08 Nxp B.V. Microprocessor in a security-sensitive system

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3508205A (en) * 1967-01-17 1970-04-21 Computer Usage Co Inc Communications security system
US3585606A (en) * 1969-09-12 1971-06-15 Ibm File protect circuit and method
GB1334528A (en) * 1969-11-12 1973-10-17 Honeywell Inf Systems Data processing systems
US3764742A (en) * 1971-12-23 1973-10-09 Ibm Cryptographic identification system
US3931504A (en) * 1972-02-07 1976-01-06 Basic Computing Arts, Inc. Electronic data processing security system and method
US3941977A (en) * 1972-09-01 1976-03-02 The Mosler Safe Company Off-line cash dispenser and banking system
US3916385A (en) * 1973-12-12 1975-10-28 Honeywell Inf Systems Ring checking hardware
US3943335A (en) * 1974-09-03 1976-03-09 Diebold, Incorporated Automatic banking equipment
US4109238A (en) * 1975-10-06 1978-08-22 1St Natl. Bank Of Atlanta Apparatus for verifying checks presented for acceptance

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0011136A1 (de) * 1978-11-13 1980-05-28 International Business Machines Corporation Schaltungsanordnung zum Integritätsschutz für einen Lese-/Schreib-Steuerspeicher
EP0049322A1 (de) * 1980-09-13 1982-04-14 Robert Bosch Gmbh Auslesesicherung bei Einchip-Mikroprozessoren

Also Published As

Publication number Publication date
US4183085A (en) 1980-01-08
JPS6049942B2 (ja) 1985-11-06
JPS5386138A (en) 1978-07-29
GB1561482A (en) 1980-02-20
FR2371731B1 (de) 1980-03-14
FR2371731A1 (fr) 1978-06-16

Similar Documents

Publication Publication Date Title
DE2749710A1 (de) Verfahren und anordnung zum schutz von daten in datenverarbeitungsanlagen
DE2837201C2 (de)
DE3809170C2 (de)
EP0355238B1 (de) Anlage mit einer Mehrzahl von selbstkassierenden Warenverkaufs- oder Dienstleistungsautomaten
DE3049607C3 (de) Verfahren zur Herstellung von Ausweiskarten und Vorrichtung zu dessen Durchführung
DE19517818C2 (de) Verfahren zur Ausgabe von individuellen Chipkarten an eine Mehrzahl von einzelnen Chipkartennutzer unter Verwendung einer neutralen Chipkartenausgabestation
EP2617016B1 (de) Verfahren für die bearbeitung von banknoten
DE3223034C2 (de) Verfahren zur Erkennung von gefälschten Datenträgern
DE3302628C2 (de)
EP0224639A1 (de) Verfahren zum Kontrollieren eines Speicherzugriffs auf einer Chipkarte und Anordnung zur Durchführung des Verfahrens
DE69406628T2 (de) Zugangskontrollsystem
DE69636153T2 (de) Tragbarer Speicherträger und Ausgabesystem dafür
AT401205B (de) System zur identifizierung eines kartenbenutzers
DE3318083A1 (de) Schaltungsanordnung mit einem speicher und einer zugriffskontrolleinheit
DE3601157C2 (de)
DE102020116943A1 (de) Verfahren zum Registrieren eines Ticketmediums
DE68905505T2 (de) Personenkontrollsystem unter verwendung von ic-karten.
DE69122486T2 (de) Überwachung und Steuerung von Frankiermaschinen
EP0970449B1 (de) Tragbarer datenträger und verfahren zu dessen kryptographisch gesicherten benutzung mit austauschbaren kryptographischen schlüsseln
EP0203543B1 (de) Verfahren und Anordnung zum Überprüfen von Chipkarten
DE2858819C2 (de) Tragbarer Informationsträger für die Speicherung und Verarbeitung von Informationen
DE1774984B2 (de) Steuereinrichtung für eine Ausgabevorrichtung Ausscheidung aus: 1574250
DE2933764A1 (de) Verfahren und einrichtung zum verschluesseln bzw. entschluesseln und sichern von daten
DE4201967C2 (de) Verfahren und Anordnung zum Sicherstellen der Integrität von auszudruckenden oder zu stempelnden Daten
EP0353530A1 (de) Verfahren zum Unterscheidbarmachen von elektronischen Schaltungen mit nichtflüchtigem Speicher

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee