DE3889017T2 - Datenkartenschaltungen. - Google Patents

Datenkartenschaltungen.

Info

Publication number
DE3889017T2
DE3889017T2 DE3889017T DE3889017T DE3889017T2 DE 3889017 T2 DE3889017 T2 DE 3889017T2 DE 3889017 T DE3889017 T DE 3889017T DE 3889017 T DE3889017 T DE 3889017T DE 3889017 T2 DE3889017 T2 DE 3889017T2
Authority
DE
Germany
Prior art keywords
switch
data card
irreversible
input
actuated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE3889017T
Other languages
English (en)
Other versions
DE3889017D1 (de
Inventor
Michel Bron
Anil Gercekci
Peter David Hudson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NXP USA Inc
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Publication of DE3889017D1 publication Critical patent/DE3889017D1/de
Application granted granted Critical
Publication of DE3889017T2 publication Critical patent/DE3889017T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07363Means for preventing undesired reading or writing from or onto record carriers by preventing analysis of the circuit, e.g. dynamic or static power analysis or current analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3558Preliminary personalisation for transfer to user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)
  • Semiconductor Integrated Circuits (AREA)

Description

  • Diese Erfindung betrifft Datenkarten des Typs, bei dem ein integrierter Schaltkreis auf einem Halbleiter-Chip in eine Plastikkarte eingebettet ist, deren Größe ungefähr der Größe der sehr oft verwendeten Kredit- oder Scheckkarten entspricht. Solche Karten können sogenannte "Smart-Cards sein, die einen Mikroprozessor enthalten und für billige Debetkarten als Ersatz für Münzen bei Anwendungen, wie z. B. öffentlichen Telefonen, verwendet werden können.
  • Solche Karten müssen in der Lage sein, einen angemessenen Schutz gegen Mißbrauch und betrügerische Manipulation zu bieten. Wie zum Beispiel aus einem Artikel mit dem Titel "Intelligent Non-Volatile Memory for Smart Cards" von Robert DeFrancesco und Hartmuk Schrenk in IEEE Transactions on Consumer Electronics Vol. CE-32, Nr. 3, August 1986, Seiten 604-607, hervorgeht, ist das Speichern von Information als eine Ladung in einem nichtflüchtigen Speicher vorteilhaft, da es möglich ist, die Ladungen entweder mikroskopisch oder chemisch zu ermitteln oder sie während der Untersuchung ungültig zu machen.
  • Die in solchen Karten verwendeten Halbleiter-Chips enthalten im allgemeinen einen nichtflüchtigen elektronischen Zähler, der durch einen binären Aufwärtszähler und ein elektrisch löschbares PROM (EEPROM) gebildet wird. Das EEPROM wird mit einem Zählerwert programmiert, der den Wert der übrig gebliebenen oder benutzten Dienste anzeigt, und kann, wenn erforderlich, auch eine persönliche Identifikationsnummer (PIN) enthalten. Wenn eine neue Karte erstmals ausgegeben wird, wird in das EEPROM auch ein Anfangszählerwert einprogrammiert. Es ist jedoch möglich, daß Karten gestohlen oder anderweitig betrügerich erlangt werden bevor sie initialisiert worden sind, was es dem Betrüger erlaubt, sie mit dem Anfangszählerwert zu programmieren.
  • US-Patent Nr. 4,105,156 offenbart eine IC-Karte mit einem Speicher zum Speichern eines Schutzcodes, der die Karte nach der Herstellung und vor der Initialisierung schützt. Ein Benutzer gibt Daten in die Karte ein, indem er zuerst die Schutzcodenummer und dann die Daten eingibt. Wenn einmal die Dateneingabe vollendet ist, wird ein Gatter zerstört, so daß der Schutzcode im dem Speicher unzugänglich gespeichert ist, wodurch eine weitere Initialisierung der Karte verhindert wird.
  • Deutsche Patentanmeldung Nr. DE-A-3523237 und Europäische Patentanmeldung Nr. EP-A-0212615 offenbaren IC-Karten, bei denen Zugang zu einem Speicherbereich erlaubt ist, wenn ein Transportcode, der in der Karte gespeichert ist, mit einem extern angelegten Code übereinstimmt.
  • Es ist somit eine Aufgabe der vorliegenden Erfindung, ein erhöhtes Maß an Sicherheit gegen den Diebstahl nicht initialisierter Karten bereitzustellen und den für die Karte benötigten Speicherplatz zu verringern.
  • Folglich stellt die Erfindung eine Datenkarte des Typs bereit, der einen integrierten Schaltkreis auf einem in einer Karte eingebetteten Halbleiter-Chip umfaßt, wobei der Schaltkreis einen nichtflüchtigen Speicher mit einem darin vorprogrammierten Transportcode, Steuerschaltungen zum Steuern des Schaltkreises, einen Vergleicher mit einem ersten Eingang, der mit einem Eingangsknoten des Schaltkreises verbunden ist, um einen extern angelegten Code zu empfangen, und einem zweiten Eingang, der mit dem Speicher verbunden ist, um den extern angelegten und den Transportcode zu vergleichen, und einen ersten irreversiblen Schalter enthält,
  • wobei der erste irreversible Schalter mit einem Ausgang des Vergleichers verbunden ist, so daß der erste irreversible Schalter betätigt wird, wenn der extern angelegte und der Transportcode übereinstimmen;
  • wobei die Datenkarte gekennzeichnet ist durch:
  • eine erste Abtasteinrichtung, die zwischen die Steuerschaltung und den ersten Schalter geschaltet ist, um abzutasten, ob der erste Schalter betätigt worden ist, wodurch der Transportcode aus dem Speicher gelöscht und die Initialisierung des Speichers durch die Steuerschaltung freigegeben wird, wenn der erste Schalter betätigt worden ist,
  • und
  • eine Sperreinrichtung, die mit der Steuerschaltung verbunden ist, um zu verhindern, daß der Speicher gelesen oder programmiert wird, wenn der erste Schalter nicht betätigt worden ist.
  • Die Initialisierung des Speichers, der bevorzugt einen elektrisch löschbaren programmierbaren Nurlesespeicher (EEPROM) umfaßt, kann das Einprogrammieren eines persönlichen Sicherheitscodes und eines Anfangszählerwert in den Speicher einschließen.
  • Der irreversible Schalter umfaßt vorzugsweise eine Sicherung, die durch Anlegen eines Hochstromimpulses durchgeschmolzen wird.
  • Es wird natürlich einzusehen sein, daß, obwohl eine solche Datenkarte einen verbesserten Sicherheitsgrad gegen den Diebstahl nicht initialisierter Karten besitzt, wenn solche Karten illegal erlangt werden, es möglich sein kann, zu versuchen, verschiedene extern angelegte Codes einzugeben, bis der Richtige gefunden wird. Obwohl dies, abhängend von der Länge des Codes, eine große Zahl von Versuchen mit sich bringen kann, wäre es wünschenswert, die Sicherheit der Karte noch weiter zu verbessern, um Versuche in großer Zahl zu verhindern.
  • Folglich kann die Debetkarte weiter einen zweiten irreversiblen Schalter umfassen, vorzugsweise ebenfalls eine Sicherung, der mit einem Ausgang des Vergleichers verbunden ist, so daß der zweite irreversible Schalter betätigt wird, wenn der extern angelegte und der Transportcode nicht übereinstimmen.
  • Die Debetkarte umfaßt vorzugsweise weiter eine zweite Abtasteinrichtung, die zwischen die Steuerschaltung und den zweiten Schalter geschaltet ist, um abzutasten, ob der zweite Schalter betätigt worden ist, sowie eine Abschalteinrichtung zum Abschalten des Schaltkreises, wenn der zweite Schalter betätigt worden ist.
  • In einer bevorzugten Ausführung sind der erste und zweite Schalter parallel mit dem Ausgang des Vergleichers verbunden, so daß die Ausgabe eines Signals von dem Vergleicher veranlaßt, daß entweder der erste oder der zweite Schalter betätigt wird.
  • Beide irreversiblen Schalter sind vorzugsweise Sicherungen mit einer gleichen Empfindlichkeit.
  • Es ist klar, daß eine Datenkarte mit irreversiblen Schaltern zwischen verschiedenen Betriebsarten während der Herstellung durch Aktivieren der Schalter nicht getestet werden kann, um zu prüfen, ob der Schaltkreis in den verschiedenen Betriebsarten zufriedenstellend arbeitet, da dies die Aktivierung der Schalter beinhalten würde, die dann zerstört werden würden.
  • Folglich kann die Debetkarte weiter eine Testeinrichtung umfassen, um den Zustand eines irreversiblen Schalters zu simulieren, wodurch der Schaltkreis getestet werden kann, ohne den irreversiblen Schalter zu aktivieren.
  • In einer bevorzugten Ausführung wird die Testeinrichtung durch ein Testsignal freigegeben, um einen Test zu beginnen, und enthält einen dritten irreversiblen Schalter, vorzugsweise eine Sicherung, die bei Beendigung des Tests betätigt wird. Die Testeinrichtung kann eine Logikschaltung umfassen, die bevorzugt den Zustand des ersten und des zweiten irreversiblen Schalters simuliert.
  • Die vorliegende Erfindung wird nun ausführlicher als Beispiel unter Bezugnahme auf die Zeichnungen beschrieben. Inhalt der Zeichnungen:
  • Fig. 1 ist ein Blockschaltbild eines Teils eines integrierten Schaltkreises zur Verwendung in erfindungsgemäßen Debetkarten.
  • Fig. 2 ist ein Ablaufplan zum Betrieb des Schaltkreises von Fig. 1 im Transportmodus.
  • Fig. 3 ist ein Ablaufplan zum Betrieb des Schaltkreises von Fig. 1 im Benutzermodus.
  • Fig. 4 ist eine Ausführung einer Schaltung zum Testen der Funktion des Schaltkreises von Fig. 1.
  • Fig. 5 ist eine zweite Ausführung einer Schaltung zum Testen der Funktion des Schaltkreises von Fig. 1.
  • Wie Fig. 1 zeigt, umfaßt ein integrierter Schaltkreis für eine Debetkarte einen nichtflüchtigen Zähler, ein Schieberegister 4 und einen Nurlesespeicher (ROM) 6 oder ein programmierbares ROM. Dieses ROM 6 wird für die Identifikation des Kartentyps gemäß den ISO-Normen verwendet. Der nichtflüchtige Zähler ist aus einem binären Aufwärtszähler 2 ohne Umgriff und aus entsprechenden elektrisch löschbaren PROM-Bits (EEPROM) 8 gebildet. Die Funktion des EEPROM und der übrigen Schaltung erfordert eine Programmsteuerschaltung 10. Die Steuerschaltung hat drei Versorgungseingänge - einen Programmierspannungseingang 12, einen Versorgungsspannungseingang 14 und einen Referenzspannungseingang 16. Er hat ferner drei Anschlüsse - einen Daten-Ein/Ausgabeport 18, einen Takteingang 20 und einen Rückstelleingang 22.
  • Beim normalen Gebrauch durch einen Benutzer, nachstehend "Benutzermodus" genannt, folgt der Ablauf den im Ablaufdiagramm von Fig. 3 gezeigten Schritten. Wenn die Karte für eine Transaktion in ein Dienstleistungsgerät eingeführt wird, wird der Schaltkreis mit Strom versorgt und zurückgesetzt (40). Die in dem EEPROM 8 gespeicherten Daten werden an den Zähler 2 übertragen (42). Zu dieser Zeit werden auch die in dem ROM 6 gespeicherten Daten an das Schieberegister 4 übertragen, um zu prüfen, ob die Karte für die Transaktion gültig ist.
  • Wenn diese Prüfung erfolgt ist, kann der Benutzer die Karte kontrollieren (44), um den Wert in dem Zähler 2 über das Schieberegister 4 zu lesen (46), um zu prüfen, ob der mit der Karte maximal verfügbare Kredit schon erreicht worden ist. Wenn noch Kredit vorhanden ist, kann der Benutzer eine Dienstleistung erlangen, wobei der Zähler 2 inkrementiert (48) wird und jedes zusätzliche Bit einem vorbestimmten Geldwert, z. B. einem Cent, entspricht. Nach dem Ende der Transaktion wird, bevor die Stromversorgung abgeschaltet und die Karte herausgezogen wird, der in dem Zähler 2 gespeicherte Wert in das nichtflüchtige EEPROM programmiert (50). Wenn die Karte das nächste Mal benutzt wird, wird der Zähler 2 mit diesem neuen Wert voreingestellt.
  • Wie aus dem Obigen ersichtlich ist, muß, bevor eine Karte einem Benutzer übergeben werden kann, diese durch Programmieren des EEPROM mit dem Betrag des verfügbaren Kredits initialisiert werden.
  • Um eine Sicherheit gegen unberechtigte Initialisierung gestohlener Karten in der Zeit zwischen der Herstellung und der berechtigten Initialisierung, d. h. während der Zeit der Lagerung und des Transports, nachstehend Transportmodus, zu bieten, wird in das EEPROM 8 ein Sicherheits- oder Transportcode einprogrammiert. Dieser Transportcode ist am Ausgangsanschluß 18 nicht lesbar und wird während der Initialisierungsphase gelöscht.
  • Die Prozedur, der zum Starten der Initialisierungsphase zu folgen ist, ist in Fig. 2 der Karte im Transportmodus dargestellt. Nach Einschalten der Stromversorgung und Rückstellen des Schaltkreises (52) wird ein Code in den Schaltkreis eingegeben (54) und durch einen Vergleicher 24 mit dem Transportcode verglichen (56). Wenn die beiden Codes übereinstimmen, wird ein mit dem Ausgang des Vergleichers 24 verbundener irreversibler Schalter in Form einer Sicherung 26 durchgeschmolzen (58). Die Abtasteinrichtung 32 ermittelt, ob die Sicherung 26 durchgeschmolzen ist oder nicht und leitet das Ergebnis an die Steuerschaltung 10.
  • Wenn ermittelt wird, daß die Sicherung 26 durchgeschmolzen worden ist, d. h. daß der richtige Code eingegeben worden ist, wird der Transportcode gelöscht und neue Daten zur Initialisierung der Karte werden eingegeben (60) und in das EEPROM 8 einprogrammiert (62). Die Karte ist nun im Benutzermodus und beim nächsten Anlegen der Stromversorgung wird der Funktionsablauf dem in Fig. 3 gezeigten folgen.
  • Durch Verwendung der gleichen Speicherstellen sowohl für den Transportcode als auch später für den Zählerwert der Karte im Benutzermodus wird kein weiterer Speicherplatz für die Karten benötigt, während eine größere Sicherheit geboten wird. Diese Doppelnutzung erlaubt somit einen dichten Entwurf des Schaltkreises auf dem Halbleiterchip und verhindert auch die Entdeckung des Transportcodes, sobald eine Karte für die öffentliche Verwendung initialisiert worden ist, da er gelöscht und überschrieben wird.
  • Es wird einleuchten, daß, wenn solche Karten, wie oben beschrieben, im Transportmodus gestohlen werden, durch Betrüger noch verschiedene Versuche unternommen werden könnten, um die Codes passend zu machen. Deshalb ist eine zweite Sicherung 28 vorgesehen, ebenfalls mit dem Ausgang des Vergleichers 24 verbunden, die durchgeschmolzen (64) wird, wenn der eingegebene Code und der Transportcode nicht übereinstimmen. In diesem Fall ermittelt die Abtasteinrichtung 34, daß die Sicherung 28 durchgeschmolzen worden ist, und weiteres Eingeben und Vergleichen von Codes mit dem gespeicherten Transportcode wird durch die Sperreinrichtung 30 blockiert, so daß sich die Karte in einem Sperrmodus befindet.
  • Es ist wichtig, daß die Funktion des Chips im Transportmodus symmetrisch ist, ganz gleich welche der beiden Sicherungen durchgeschmolzen ist. Dies soll einem Betrüger zuvorkommen, der versucht, das Durchschmelzen der Sicherung 28 nach Eingeben eines falschen Codes zu vermeiden, indem er z. B. den an den Chip angelegten Strom oder die Spannung begrenzt, wenn die Sicherung 28 durchgeschmolzen sein sollte. Deshalb sind beide Sicherungen 26 und 28 identisch, benötigen den gleichen Stromwert zu ihrem Durchschmelzen und sind parallel mit dem Ausgang des Vergleichers und mit der gleichen Versorgungsspannung verbunden, so daß es unmöglich ist, auch bei Veränderungen in der Versorgungsspannung, einen der Sicherungsschaltungsausgänge zu ändern, ohne den anderen zu ändern. Aus den gleichen Gründen sind auch beide Abtasteinrichtungen 32 und 34 identisch.
  • Außerdem darf die Karte nur vom Transportmodus in den Benutzermodus gehen, wenn die Sicherung 26 durchgeschmolzen und die Sicherung 28 nicht durchgeschmolzen ist (68). Wenn dies nicht der Fall ist, z. B. wenn beide Sicherungen irgendwie durchgeschmolzen sind, wird die Karte ebenfalls in den Sperrmodus gebracht. Die Karte ist somit im Transportmodus gegen unberechtigte Initialisierung gesichert, da nur ein Versuch beim Eingeben eines Codes erlaubt ist, um den Transportcode zu treffen.
  • Mithin sind drei verschiedene Betriebsarten für die Karte vorgeschlagen worden - der Benutzermodus, der Transportmodus und der Sperrmodus. In jeder dieser Betriebsarten sind verschiedene Funktionen nicht verfügbar. Um die Karte während oder nach der Herstellung zu testen, muß es möglich sein, sicherzustellen, daß das Durchschmelzen der einzelnen Sicherung den Modus der Karte tatsächlich ändern und die mit dem einzelnen Modus verbundenen einzelnen Funktionen erlauben oder sperren wird. Sicher kann dies nicht durch tatsächliches Durchschmelzen der Sicherung getestet werden, da dies nicht umkehrbar ist. Deshalb ist ein weiterer, Testmodus genannter Modus vorgesehen, der von den anderen Modi durch eine weitere Sicherung, die bei Vollendung des Tests durchgeschmolzen wird, getrennt ist.
  • Der Testmodus wird durch eine Logikschaltung bereitgestellt, die die anderen Modi durch Einklinken von Steuer- und Testsignalen simuliert und sie anstelle des wirklichen Zustands der Sicherungen benutzt.
  • Fig. 4 zeigt eine Ausführung einer solchen Logikschaltung. In dieser Schaltung wird ein Testsignal an den Knoten 70, ein Daten- oder Steuersignal an Knoten 72 und ein Taktsignal an den Knoten 74 angelegt. Die Sicherungen 26 und 28 sind als zwischen VDD und Masse geschaltet dargestellt. Die Signale von den Sicherungen 26 und 28 sind über jeweilige Inverter 76 und 78 mit jeweiligen UND-Gattern 80 und 82 verbunden, deren andere Eingänge über einen Inverter 84 mit dem Testsignal von Knoten 70 verbunden sind. Das nicht invertierte Testsignal von Knoten 70 ist mit den ersten Eingängen der jeweiligen UND-Gatter 86 und 88 verbunden, deren andere Eingänge jeweils mit den Ausgängen der Flipflops 90 und 92 verbunden sind. Die Flipflops werden von den Ausgängen der UND-Gatter 94 und 96 gesetzt, die als Eingänge die Test- und Datensignale bzw. die Test- und Taktsignale haben, so daß ein Flipflop 90 den Zustand der Sicherung 26 und das andere Flipflop 92 den Zustand der Sicherung 28 simuliert.
  • Indem die Ausgänge der UND-Gatter 80, 86 und 82, 88 jeweils den ODER- Gattern 100 und 102 zugeführt werden, hängt der Ausgang der ODER- Gatter nur von dem Zustand der Flipflops 90 und 92, wenn ein Testsignal vorhanden ist, oder nur von dem Zustand der Sicherungen 26 und 28 ab, wenn kein Testsignal vorhanden ist. Diese Ausgänge werden dann von den betreffenden Abtasteinrichtungen 32 und 34 abgetastet. Bei Ende des Tests wird eine zwischen den Knoten 70 und das UND-Gatter 94 geschaltete Sicherung (nicht gezeigt) durchgeschmolzen, so daß der Ausgang der ODER-Gatter 100 und 102 einzig vom Zustand der Sicherungen 26 und 28 abhängt.
  • Eine andere Ausführung einer geeigneten Logikschaltung zeigt Fig. 5, wo die UND-Gatter 80 und 82 und die ODER-Gatter 100 und 102 für jede Sicherung durch ein einziges EXKLUSIV-ODER-Gatter 104 und 106 ersetzt sind. Alle anderen Teile dieser Schaltung sind die gleichen wie in Fig. 4 gezeigt, und die Ausgänge von den EXKLUSIV-ODER-Gattern 104 und 106 sind die gleichen wie von den ODER-Gattern 100 und 102.
  • Es wird einleuchtend sein, daß, obwohl ein serielles Anlegen der Testdaten an die Flipflops dargestellt ist, abhängig von der Verfügbarkeit der Schaltungseingänge ein paralleles Anlegen ebenfalls möglich ist. Es wird ebenfalls einleuchten, daß, obwohl nur zwei Logikschaltungen zur Simulation des Zustands der Sicherungen dargestellt sind, verschiedene andere Ausführungen ebenfalls möglich sind.

Claims (12)

1. Datenkarte des Typs, der einen integrierten Schaltkreis auf einem in einer Karte eingebetteten Halbleiter-Chip umfaßt, wobei der Schaltkreis einen nichtflüchtigen Speicher (8) mit einem darin vorprogrammierten Transportcode, eine Steuerschaltung (10) zum Steuern des Schaltkreises, einen Vergleicher (24) mit einem ersten Eingang, der mit einem Eingangsknoten des Schaltkreises verbunden ist, um einen extern angelegten Code zu empfangen, und einem zweiten Eingang, der mit dem Speicher (8) verbunden ist, um den extern angelegten und den Transportcode zu vergleichen, und einen ersten irreversiblen Schalter (26) enthält,
wobei der erste irreversible Schalter (26) mit einem Ausgang des Vergleichers (24) verbunden ist, so daß der erste irreversible Schalter (26) betätigt wird, wenn der extern angelegte und der Transportcode übereinstimmen;
wobei die Datenkarte gekennzeichnet ist durch:
eine erste Abtasteinrichtung (32), die zwischen die Steuerschaltung (10) und den ersten Schalter (26) geschaltet ist, um abzutasten, ob der erste Schalter (26) betätigt worden ist, wodurch der Transportcode aus dem Speicher (8) gelöscht und die Initialisierung des Speichers (8) durch die Steuerschaltung (10) freigegeben wird, wenn der erste Schalter (26) betätigt worden ist, und
eine Sperreinrichtung (30), die mit der Steuerschaltung (10) verbunden ist, um zu verhindern, daß der Speicher (8) gelesen oder programmiert wird, wenn der erste Schalter (26) nicht betätigt worden ist.
2. Datenkarte nach Anspruch 1, weiter umfassend einen zweiten irreversiblen Schalter (28), der mit einem Ausgang des Vergleichers (24) verbunden ist, so daß der zweite irreversible Schalter (28) betätigt wird, wenn der extern angelegte und der Transportcode nicht übereinstimmen.
3. Datenkarte nach Anspruch 2, weiter umfassend eine zweite Abtasteinrichtung (34), die zwischen die Steuerschaltung (10) und den zweiten Schalter (28) geschaltet ist, um abzutasten, ob der zweite Schalter betätigt worden ist, und eine Abschalteinrichtung, die mit der Steuerschaltung verbunden ist, um den Schaltkreis unbrauchbar zu machen, wenn der zweite Schalter betätigt worden ist.
4. Datenkarte nach Anspruch 2 oder 3, bei der der erste (26) und der zweite (28) Schalter parallel mit dem Ausgang des Vergleichers verbunden sind, so daß die Ausgabe eines Signals von dem Vergleicher veranlaßt, daß entweder der erste oder der zweite Schalter betätigt wird.
5. Datenkarte nach einem der vorangehenden Ansprüche, bei der der erste irreversible Schalter (26) eine Sicherung ist.
6. Datenkarte nach einem der Ansprüche 2 bis 5, bei der der zweite irreversible Schalter (28) eine Sicherung ist.
7. Datenkarte nach Anspruch 6, bei der der erste und der zweite irreversible Schalter Sicherungen mit der gleichen Empfindlichkeit sind, so daß der gleiche Strom erforderlich ist, um jede Sicherung durchzuschmelzen.
8. Datenkarte nach einem der vorangehenden Ansprüche, weiter umfassend eine Testeinrichtung, um den Zustand des irreversiblen Schalters zu simulieren, wodurch der Schaltkreis getestet werden kann, ohne den irreversiblen Schalter zu aktivieren.
9. Datenkarte nach Anspruch 8, bei der die Testeinrichtung ein Flipflop (90), dessen Ausgang mit einem ersten Eingang eines UND-Gatters (86) verbunden ist, wobei ein zweiter Eingang des UND-Gatters geschaltet ist, um ein Testsignal (TEST) zu empfangen, und ein EXKLUSIV-ODER- Gatter (104) umfaßt, dessen erster Eingang mit dem Ausgang des UND- Gatters (86) und dessen zweiter Eingang mit dem irreversiblen Schalter (26) verbunden ist.
10. Datenkarte nach Anspruch 8, bei der die Testeinrichtung ein Flipflop (90), dessen Ausgang mit einem ersten Eingang eines ersten UND- Gatters (86) verbunden ist, wobei ein zweiter Eingang des ersten UND- Gatters (86) geschaltet ist, um ein Testsignal (TEST) zu empfangen, ein zweites UND-Gatter (80), dessen erster Eingang mit dem irreversiblen Schalter (26) verbunden ist, und dessen zweiter Eingang das Testsignal über einen Inverter (84) empfängt, und ein ODER-Gatter (100) umfaßt, das geschaltet ist, um an seinen Eingängen die Ausgänge der zwei UND-Gatter zu empfangen.
11. Datenkarte nach einem der Ansprüche 9 bis 10, umfassend eine erste und zweite Testeinrichtung, um den Zustand des ersten bzw. zweiten irreversiblen Schalters zu simulieren.
12. Datenkarte nach einem der Ansprüche 8 bis 11, bei der die Testeinrichtung einen dritten irreversiblen Schalter enthält, der bei Abschluß des Tests betätigt wird.
DE3889017T 1987-06-30 1988-03-07 Datenkartenschaltungen. Expired - Lifetime DE3889017T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB8715268A GB2206431B (en) 1987-06-30 1987-06-30 Data card circuits

Publications (2)

Publication Number Publication Date
DE3889017D1 DE3889017D1 (de) 1994-05-19
DE3889017T2 true DE3889017T2 (de) 1994-10-20

Family

ID=10619782

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3889017T Expired - Lifetime DE3889017T2 (de) 1987-06-30 1988-03-07 Datenkartenschaltungen.

Country Status (5)

Country Link
US (1) US4841133A (de)
EP (1) EP0297209B1 (de)
DE (1) DE3889017T2 (de)
GB (1) GB2206431B (de)
HK (1) HK4994A (de)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2626095B1 (fr) * 1988-01-20 1991-08-30 Sgs Thomson Microelectronics Systeme de securite pour proteger des zones de programmation d'une carte a puce
JPH04501026A (ja) * 1988-04-22 1992-02-20 マジェラン コーポレーション(オーストラリア)プロプライエタリー リミテッド トークン及び支払装置
FR2633420B1 (fr) * 1988-06-28 1992-02-21 Schlumberger Ind Sa Support d'informations et systeme de gestion de tels supports
JPH02202642A (ja) * 1989-02-01 1990-08-10 Toshiba Corp プログラム動作監視装置
GB8923155D0 (en) * 1989-10-13 1989-11-29 Emi Plc Thorn Improvements in or relating to financial transaction cards
US5029207A (en) * 1990-02-01 1991-07-02 Scientific-Atlanta, Inc. External security module for a television signal decoder
US5237610A (en) * 1990-02-01 1993-08-17 Scientific-Atlanta, Inc. Independent external security module for a digitally upgradeable television signal decoder
FR2661533A1 (fr) * 1990-04-27 1991-10-31 Matra Communication Procede de condamnation d'un organe electronique a memoire et carte electronique comportant un organe electronique condamne.
US6958706B2 (en) * 1990-07-27 2005-10-25 Hill-Rom Services, Inc. Patient care and communication system
US5822544A (en) * 1990-07-27 1998-10-13 Executone Information Systems, Inc. Patient care and communication system
US5291399A (en) * 1990-07-27 1994-03-01 Executone Information Systems, Inc. Method and apparatus for accessing a portable personal database as for a hospital environment
US5374818A (en) * 1992-03-09 1994-12-20 Control Module Inc. Identification means with integral memory device
FR2695235B1 (fr) * 1992-08-31 1994-10-21 Solaic Sa Procédé de fabrication d'une carte intelligente comportant un micro-circuit à mémoire inscriptible.
JPH06236316A (ja) * 1992-12-18 1994-08-23 Toshiba Corp 情報伝送システム
DE4243888A1 (de) 1992-12-23 1994-06-30 Gao Ges Automation Org Datenträger und Verfahren zur Echtheitsprüfung eines Datenträgers
US5638530A (en) * 1993-04-20 1997-06-10 Texas Instruments Incorporated Direct memory access scheme using memory with an integrated processor having communication with external devices
US5650761A (en) * 1993-10-06 1997-07-22 Gomm; R. Greg Cash alternative transaction system
US5753899A (en) * 1993-10-06 1998-05-19 Gomm; R. Greg Cash alternative transaction system
IL107967A (en) * 1993-12-09 1996-12-05 News Datacom Research Ltd Apparatus and method for securing communication systems
FR2716280B1 (fr) * 1994-02-11 1996-04-12 Solaic Sa Procédé de protection des composants de cartes à mémoire contre des utilisations frauduleuses.
US5768605A (en) * 1994-03-16 1998-06-16 Itel Corporation Method and apparatus for power management of a PCMCIA card
GB2288048A (en) * 1994-03-29 1995-10-04 Winbond Electronics Corp Intergrated circuit
MY125706A (en) 1994-08-19 2006-08-30 Thomson Consumer Electronics High speed signal processing smart card
DE69526300T2 (de) * 1994-09-30 2003-01-23 Microchip Tech Inc Schaltkreis und seine Wirkungsweise
FR2731536B1 (fr) * 1995-03-10 1997-04-18 Schlumberger Ind Sa Procede d'inscription securisee d'informations dans un support portable
US6035037A (en) * 1995-08-04 2000-03-07 Thomson Electronic Consumers, Inc. System for processing a video signal via series-connected high speed signal processing smart cards
US5852290A (en) * 1995-08-04 1998-12-22 Thomson Consumer Electronics, Inc. Smart-card based access control system with improved security
GB2307783B (en) * 1995-09-30 2000-04-05 Motorola Ltd Enhanced security semiconductor device, semiconductor circuit arrangement, and method of production thereof
DE19622063A1 (de) * 1996-05-31 1997-05-22 Siemens Ag Vorrichtung zum Schützen eines Chips vor unberechtigtem Zugriff
DE19634135C2 (de) * 1996-08-23 1998-07-02 Siemens Ag Halbleiterschaltung, insbesondere zur Verwendung in einem integrierten Baustein
FR2767624B1 (fr) * 1997-08-21 2002-05-10 Activcard Dispositif portable electronique pour systeme de communication securisee, et procede d'initialisation de ses parametres
US6651172B1 (en) * 1999-05-28 2003-11-18 Advanced Micro Devices, Inc. Multi-phase EEPROM reading for network interface initialization
GB9921324D0 (en) 1999-09-09 1999-11-10 Ncr Int Inc Electronic mailbox for receiving a package containing an electronic postage stamp
FI116172B (fi) * 2000-11-28 2005-09-30 Setec Oy Ohjelmien asennus mikropiirille
KR100378198B1 (ko) * 2001-05-08 2003-03-29 삼성전자주식회사 반도체 장치의 모드 제어 회로 및 이를 구비하는 반도체메모리 장치
DE10162308A1 (de) * 2001-12-19 2003-07-03 Philips Intellectual Property Verfahren und Anordnung zur Zugriffssteuerung auf EEPROMs sowie ein entsprechendes Computerprogrammprodukt und eine entsprechendes computerlesbares Speichermedium
DE10224767A1 (de) * 2002-06-04 2003-12-18 Scm Microsystems Gmbh Personalisiertes digitales Datenverarbeitungssystem
JP2004302845A (ja) * 2003-03-31 2004-10-28 Canon Inc 不正アクセス防止方法
DE10338032B4 (de) * 2003-08-19 2009-12-17 Infineon Technologies Ag Prozessor mit elektronischen Sicherungen zum Speichern von Geheimdaten
US7274283B2 (en) * 2004-04-29 2007-09-25 International Business Machines Corporation Method and apparatus for resisting hardware hacking through internal register interface
US7442583B2 (en) * 2004-12-17 2008-10-28 International Business Machines Corporation Using electrically programmable fuses to hide architecture, prevent reverse engineering, and make a device inoperable
FR2895608B1 (fr) * 2005-12-23 2008-03-21 Trusted Logic Sa Procede pour la realisation d'un compteur securise sur un systeme informatique embarque disposant d'une carte a puce

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3641499A (en) * 1969-12-22 1972-02-08 William A Housman Card and verification system having card voiding element
US4105156A (en) * 1976-09-06 1978-08-08 Dethloff Juergen Identification system safeguarded against misuse
DE3523237A1 (de) * 1985-06-28 1987-01-02 Siemens Ag Anordnung zum sichern des transports von chipkarten
JPH0632102B2 (ja) * 1985-08-22 1994-04-27 カシオ計算機株式会社 Icカ−ドの照合方式

Also Published As

Publication number Publication date
DE3889017D1 (de) 1994-05-19
GB8715268D0 (en) 1987-08-05
HK4994A (en) 1994-01-28
EP0297209A2 (de) 1989-01-04
GB2206431A (en) 1989-01-05
US4841133A (en) 1989-06-20
EP0297209B1 (de) 1994-04-13
GB2206431B (en) 1991-05-29
EP0297209A3 (en) 1990-11-07

Similar Documents

Publication Publication Date Title
DE3889017T2 (de) Datenkartenschaltungen.
DE3876009T2 (de) Chipkarten.
DE3041109C2 (de)
DE2621269C2 (de) Datenaustauschsystem mit wenigstens einer Datenträgeranordnung
DE2760486C2 (de)
DE2738113C2 (de) Vorrichtung zur Durchführung von Bearbeitungsvorgängen mit einem Identifikanden
DE69500346T2 (de) Verbesserte Speicherselbstprüfung
DE69100003T2 (de) Sicherheitsverriegelung fuer integrierten schaltkreis.
DE60122853T2 (de) Verfahren und Vorrichtung zum Speichern von Daten in einem integrierten Schaltkreis
DE2621271C2 (de) Tragbarer Datenträger
EP0207320B1 (de) Integrierte Schaltung und Verfahren zum Sichern von geheimen Codedaten
EP0676073B2 (de) System zur echtheitsprüfung eines datenträgers
DE2837201A1 (de) Transportierbarer informationstraeger mit einem mikroprozessor und einem programmierbaren totspeicher
DE10324875A1 (de) Störimpuls-Detektionsschaltung, intelligente Karte und Störimpulsangriff-Schutzverfahren
DE3523237A1 (de) Anordnung zum sichern des transports von chipkarten
DE102005056940B4 (de) Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes
GB1582989A (en) Security systems
DE102004014644A1 (de) Integrierter Schaltkreis
WO1995034054A1 (de) Verfahren zur echtheitsprüfung eines datenträgers
DE69835282T2 (de) Schaltungsanordnung zur Spannungsüberwachung und Speicherkarte mit einer solchen Schaltung
DE69628180T2 (de) Beglaubigungsverfahren für einen verdrahteten mikroschaltkreis
DE19615394C2 (de) Speicherkarte
US5264742A (en) Security locks for integrated circuit
DE19548903C2 (de) Verfahren zur Durchführung eines Geheimcodevergleiches bei einem mikroprozessorgestützten tragbaren Datenträger
DE10360998B4 (de) Schutz von Chips gegen Attacken

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: FREESCALE SEMICONDUCTOR, INC. (N.D.GES.D. STAATES