DE4439266A1 - Datenübertragungssystem mit einem Terminal und einer tragbaren Datenträgeranordnung und Verfahren zum Wiederaufladen der tragbaren Datenträgeranordnung mittels des Terminals - Google Patents
Datenübertragungssystem mit einem Terminal und einer tragbaren Datenträgeranordnung und Verfahren zum Wiederaufladen der tragbaren Datenträgeranordnung mittels des TerminalsInfo
- Publication number
- DE4439266A1 DE4439266A1 DE4439266A DE4439266A DE4439266A1 DE 4439266 A1 DE4439266 A1 DE 4439266A1 DE 4439266 A DE4439266 A DE 4439266A DE 4439266 A DE4439266 A DE 4439266A DE 4439266 A1 DE4439266 A1 DE 4439266A1
- Authority
- DE
- Germany
- Prior art keywords
- terminal
- volatile
- wbb
- wba
- data carrier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0806—Details of the card
- G07F7/0813—Specific details related to card security
- G07F7/082—Features insuring the integrity of the data on or in the card
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0866—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
Landscapes
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Credit Cards Or The Like (AREA)
Description
Die Erfindung betrifft ein Datenübertragungssystem mit zumin
dest einem Terminal und mit zumindest einer tragbaren Daten
trägeranordnung, die mit einem nicht-flüchtigen Halbleiter
speicher versehen ist, der zumindest einen ersten als Zähler
fungierenden, einen abbuchbaren Geldwert repräsentierenden
Wertbereich aufweist sowie ein Verfahren zum Wiederaufladen
des Wertbereichs der tragbaren Datenträgeranordnung.
Eine solche tragbare Datenträgeranordnung ist beispielsweise
eine heute gebräuchliche Chipkarte, die beispielsweise als
Telefonkarte benutzt wird. In diesem Fall ist das stationäre
Terminal ein kartentauglicher Telefonapparat. Solche als
einfache Speicherkarten ausgeführten Chipkarten enthalten
einen nicht-flüchtigen Halbleiterspeicher, beispielsweise ein
EEPROM, das im wesentlichen als Zähler für die voraus bezahl
ten und abzubuchenden Telefoneinheiten fungiert. Das EEPROM
kann dabei beispielsweise gemäß der EP-B 0321 727 bzw. US-A
5,001,332 beschaltet sein, so daß es als mehrstufiger,
Abacus-ähnlicher Zähler arbeitet. Der Wert der Karte und
damit der Zählumfang des Zählers wird durch Beschreiben und
damit Blockieren der Bereiche des Zählers, die nicht mehr
erlaubt sein sollen, festgelegt. Vor dieser Festlegung hat
der Zähler immer den maximalen Zählumfang. Heute übliche
Telefonkarten sind nur einmal zu gebrauchen und werden nach
dem Gebrauch weggeworfen. Es ist aber auch der Gebrauch
solcher Chipkarten als elektronische Geldbörse im Gespräch.
Für diesen Zweck verwendbare Chipkarten sind nur sinnvoll,
wenn sie wiederaufladbar sind, wenn also der Zählerstand
wieder erhöht werden kann, nachdem ein gewisser Betrag abge
bucht worden ist. Diese Erhöhung des Zählerstands findet an
speziellen Ladeterminals statt, an denen der Benutzer entwe
der durch Bareinzahlung, mittels Kreditkarte oder durch
Angabe einer Kontonummer einen gewünschten Betrag auf seine
Karte aufbuchen kann. Beim Wiederaufladen des Zählers einer
Chipkarte kann es aufgrund des Aufbaus von EEPROMs erforder
lich sein, zunächst einen größeren Zählbereich oder den gesam
ten Zähler zu löschen, das heißt es wird vorübergehend ein zu
hoher Zählumfang eingestellt. Erst danach kann der neue
Zählerstand durch erneute Begrenzung des Zählumfangs durch
Programmiervorgänge eingestellt werden.
Wenn ein Benutzer in der Zeit zwischen dem Löschen des Zäh
lers und dem erneuten Programmieren die Karte aus dem Termi
nal zieht, hätte er einen zu hohen Betrag aufgebucht bekom
men, wodurch eine mißbräuchliche Manipulation ermöglicht
wird. Außerdem ist es denkbar, daß ein Benutzer den Datenver
kehr zwischen Terminal und Karte manipuliert, so daß auf
diese Weise ein zu hoher Betrag aufgebucht werden kann.
Die Manipulation der Daten auf den Übertragungsweg könnte
durch eine sogenannte elektronische Unterschrift verhindert
werden. Die zu übermittelnden Daten können außerdem mittels
eines geheimen Schlüssels verschlüsselt werden und können nur
mit einem bestimmten, eindeutig dem Absender der Daten zuzu
ordnenden Schlüssel entschlüsselt werden, wodurch der Absen
der eindeutig identifizierbar wird und die Daten nicht mani
puliert werden können, da der Verschlüsselungsschlüssel ge
heim ist. Eine solche Verschlüsselung und Entschlüsselung
erfordert jedoch ein aufwendiges und sehr schnelles Rechen
werk, das nur mit teuren Mikroprozessoren möglich ist, wie
sie beispielsweise in bereits bekannten Kryptokarten benutzt
werden.
Aufgabe der Erfindung ist es somit, ein gattungsgemäßes
Datenübertragungssystem und ein Verfahren anzugeben, bei dem
auf einfache Weise eine manipulationssichere Wiederaufladung
des Zählers der tragbaren Datenträgeranordnung möglich ist.
Die Aufgabe wird dadurch gelöst, daß in dem nicht-flüchtigen
Halbleiterspeicher ein zweiter Wertbereich vorhanden ist,
wobei nur jeweils einer der beiden Wertbereiche nicht-flüch
tig aktivierbar ist und der jeweils andere Wertbereich nur
vorläufig aktiviert werden kann.
Nicht-flüchtig aktivierbar bedeutet hierbei, daß die Informa
tion, welcher der beiden Wertbereiche zuletzt als Wertbe
reich, von dem abgebucht werden konnte, definiert war, auch
nach Abschalten der Betriebsspannung oder bei Unterbrechung
des Ladevorgangs erhalten bleibt. Das bedeutet, daß ein nur
vorläufig aktivierter Wertbereich nach Abschalten der Be
triebsspannung bzw. Unterbrechung des Ladevorgangs und Wie
dereinschalten der Betriebsspannung bzw. Neubeginn eines
Ladevorgangs wieder deaktiviert ist und nochmals vorläufig
aktiviert werden muß. Erst nach erfolgreichem und korrektem
Wiederaufladen der Chipkarte, d. h. erst nach korrektem
Begrenzen des Zählumfangs des nur vorläufig aktivierten
Wertbereichs entsprechend der Summe aus dem Restwert und
einem ins Terminal eingegebenen auf zubuchenden Wert wird der
nur vorläufig aktivierte Wertbereich nicht-flüchtig aktivier
bar geschaltet, wodurch der zuvor nicht-flüchtig aktivierte
Wertbereich deaktiviert wird und für einen neuen Ladevorgang
zunächst nur vorläufig aktiviert werden kann.
Wenn also ein Betrüger versuchen würde, beim Ladevorgang des
nur vorläufig aktivierten Wertbereichs nach dem Löschen des
Zählers und vor dem erneuten Begrenzen seines Zählumfangs
entsprechend dem einzugebenden Wert die Karte aus dem Termi
nal zu entfernen, so würde bei der nächsten Benutzung, also
beim nächsten Anlegen der Betriebsspannung weiterhin der
nicht-flüchtig aktivierbare Wertbereich aktiviert werden und
der zuvor nur vorläufig aktivierte Wertbereich wäre deakti
viert.
In vorteilhafter Weiterbildung der Erfindung sind die Wertbe
reiche des nicht-flüchtigen Speichers gemäß Anspruch 2 über
eine Auswahl-Logikschaltung mit einem nicht-flüchtigen Flag-
Speicher, dessen Zustand den nicht-flüchtig aktivierten
Wertbereich bestimmt, verbunden. Beim Abschalten der Be
triebsspannung bleibt der Zustand des nicht-flüchtigen Flag-
Speichers erhalten, wobei ein bestimmter Zustand immer dem
selben Wertbereich zugeordnet ist.
Zum vorläufigen Aktivieren des jeweils anderen Wertbereichs
ist in erfindungsgemäßer Weise die Auswahl-Logikschaltung mit
einem Ladesteuersignal beaufschlagbar. Dieses Ladesteuer
signal hat in seinem neutralen Zustand, d. h. dem Zustand
nach dem Anlegen der Betriebsspannung beispielsweise einen
logischen "0"-Pegel und wird zum vorläufigen Aktivieren des
neu zu ladenden Wertbereich entsprechend auf einen "1"-Pegel
umgeschaltet.
Das oder die Ausgangssignal(e) steuern eine Schaltvorrichtung
an, die die Wertbereiche mit einer Programmier-Logikschaltung
und einer Verifizier-Logikschaltung verbindet. Ein Wertbe
reich wird also dadurch aktiviert, daß er mit der Program
mier-Logikschaltung und der Verifizier-Logikschaltung verbun
den wird.
Die tragbare Datenträgeranordnung bzw. Chipkarte des erfin
dungsgemäßen Datenübertragungssystems und die vorteilhaften
Weiterbildungen dieses Systems werden durch ein Verfahren
gemäß dem Anspruch 5 wieder aufgeladen. Vorteilhafte Weiter
bildungen des Verfahrens sind in den abhängigen Ansprüchen
angegeben.
Die Erfindung wird nachfolgend mit Hilfe eines Ausführungs
beispiels anhand einer Figur näher erläutert. Dabei zeigt die
Figur in schematischer Form ein Ladeterminal sowie eine in
dieses eingeführte tragbare Datenträgeranordnung. Die erfin
dungswesentlichen Schaltungsanordnungen der beiden Teile des
Datenübertragungssystems sind in Form eines Blockschaltbilds
dargestellt.
Eine tragbare Datenträgeranordnung, im folgenden Karte ge
nannt, wobei auch andere Ausführungsarten, beispielsweise als
Schlüssel, denkbar sind, ist in der Figur in ein Ladeterminal
eines Datenübertragungssystems eingeführt. Die Karte beinhal
tet einen nicht-flüchtigen Speicher NVM, der in vorteilhafter
Weise durch ein EEPROM realisiert sein kann. Dieser Speicher
NVM ist dabei in mehrere Bereiche unterteilt, wovon zwei als
Wertbereiche WBA, WBB fungieren. Diese Wertbereiche WBA, WBB
sind in vorteilhafter Weise als mehrstufige Zähler ausgeführt
und beispielsweise gemäß der EP-B 0321 727 bzw. US-A
5,001,332 beschaltet. Solche Zähler sind Abwärtszähler, wenn
sie im gelöschten oder aufgeladenen Zustand den logischen
Zustand "1" und damit einen maximalen, durch die Anzahl der
Zählstufen und Bits pro Stufe bestimmten Zählumfang haben.
Durch Beschreiben einer geeigneten Anzahl oberer Stufen bzw.
einiger Bits der untersten dieser oberen Stufen läßt sich der
Zählumfang begrenzen und ab diesem Sollwert bis zum Endwert
"0" herunterzählen.
Die Wertbereiche WBA, WBB sind über eine Schaltvorrichtung SV
mit einer Programmier-Logikschaltung PL und einer Verifizier-
Logikschaltung VL verbunden. Die Programmier-Logikschaltung
PL und die Verifizier-Logikschaltung VL sind dabei Bestand
teile einer Steuereinrichtung ST. Innerhalb der Steuerein
richtung ST sind die Verbindungslinien der Schaltungsteile
strichliert dargestellt, womit angedeutet werden soll, daß
die jeweilige Verbindungslinie zur Steuereinrichtung ST
innerhalb der Steuereinrichtung ST auch mit anderen, nicht
dargestellten Teilen der Steuereinrichtung ST verbunden sein
kann.
Die Programmier-Logikschaltung PL dient zum Programmieren
bzw. Beschreiben der Wertbereiche WBA, WBB und die Verifi
zier-Logikschaltung VL zum Verifizieren bzw. Überprüfen der
beschriebenen Bereiche, ob richtig beschrieben wurde. In
vorteilhafter Weise dient die Verifizier-Logikschaltung VL
auch zur Erzeugung einer elektronischen Signatur eines Wert
zustandes.
Die Schaltvorrichtung SV wird von einer Auswahl-Logikschal
tung AL derart angesteuert, daß jeweils nur einer der Wertbe
reiche WBA, WBB mit der Programmier-Logikschaltung PL und
Verifizier-Logikschaltung VL verbunden und dadurch aktiviert
ist. Die Auswahl-Logikschaltung AL wird ihrerseits von einem
Flag-Speicher FS und über ein Ladesteuersignal LAD von der
Steuereinrichtung ST angesteuert. Die Auswahl-Logikschaltung
AL kann beispielsweise mit einem EXOR-Gatter mit einem nicht-
invertierenden und einem invertierenden Ausgang gebildet
sein. Der Flag-Speicher FS ist ein nicht-flüchtiger Speicher
und wird über ein Signal PROG von der Steuereinrichtung ST
angesteuert. Der Flag-Speicher FS kann zwei Zustände einneh
men, wobei jeder dieser Zustände einem der Wertbereiche WBA,
WBB zugeordnet ist. Da der Zustand des Flag-Speichers FS
nicht-flüchtig gespeichert ist, wird bei Anlegen der Be
triebsspannung an die Karte, d. h. beispielsweise durch
Einführen der Karte in das Ladeterminal, der dem jeweils
gespeicherten Zustand entsprechende Wertbereich WBA bzw. WBB
aktiviert. Das Ladesteuersignal LAD nimmt hierzu beim Anlegen
der Betriebsspannung einen definierten Zustand ein. Erst nach
Ändern des Zustands des Ladesteuersignals LAD wird mittels
der Schaltvorrichtung SV, die von der Auswahl-Logikschaltung
AL entsprechend angesteuert wird, der jeweils andere Wertbe
reich WBB bzw. WBA vorläufig aktiviert und der zuvor akti
vierte Wertbereich WBA bzw. WBB deaktiviert. Vorläufig
deshalb, weil der Zustand des Ladesteuersignals flüchtig ist
und bei Abschalten der Betriebsspannung, was z. B. durch
Entfernen der Karte aus dem Ladeterminal erfolgt, wieder
seinen definierten inaktiven Zustand einnimmt, so daß nach
jedem Abschalten der Betriebsspannung oder erfindungsgemäß
nach jedem Unterbrechen eines Ladevorgangs wieder der durch
den Flag-Speicher FS definierte Wertbereich aktivierbar bzw.
aktiviert ist.
Durch ein Signal PROG von der Steuereinrichtung ST zum Flag-
Speicher FS kann eine Änderung des Zustands des Flagspeichers
und damit der Austausch des aktivierten bzw. aktivierbaren
Wertbereichs nicht-flüchtig durchgeführt werden.
Der nicht-flüchtige Speicher NVM enthält als weitere Bereiche
einen Signaturspeicher SIGSP, der später erläutert wird,
einen Ladezähler LZ, mit dem die Ladevorgänge gezählt werden
können, einen Bereich KSD, in dem kartenspezifizische Daten
abgespeichert sind und einen Bereich GC, in dem ein geheimer
Code gespeichert ist.
In der Steuereinrichtung ST ist außerdem ein Pseudo-Zufalls-
Generator PZG enthalten, der in Wirkverbindung mit der Veri
fizier-Logikschaltung VL steht und außerdem mit dem Signatur
speicher SIGSP, dem Ladezähler LZ, dem Bereich KSD und dem
Geheimcodebereich GC des nicht-flüchtigen Speichers NVM
verbunden ist. Dieser Pseudo-Zufallsgenerator PZG ist in
vorteilhafter Weise gemäß der EP-A 0 616 429 aufgebaut.
Auch im Ladeterminal ist eine Steuereinrichtung STT enthal
ten, die ebenfalls eine Verifizier-Logikschaltung VLT und
einen Pseudo-Zufallsgenerator PZGT enthält, wobei die beiden
Pseudo-Zufallsgeneratoren PZG und PZGT identisch sein müssen,
wenn die Karte und das Terminal echt sind. Die Steuereinrich
tung ST der Karte und die Steuereinrichtung STT des Terminals
stehen über Leitungen LT1, LT2 miteinander in Verbindung, um
Daten austauschen zu können.
Zu Beginn eines Ladevorgangs liest das Terminal die karten
spezifischen Daten, den aktuellen Stand des aktivierten und
damit abbuchbaren Wertbereichs WBA bzw. WBB sowie den Stand
des Ladezählers LZ und des Signaturspeichers SIGSP. Aus den
kartenspezifischen Daten kann ein echtes Terminal beispiels
weise mittels einer Tabelle den Geheimcode der Karte ermit
teln. Diese Daten sowie eine weitere Zufallszahl, die soge
nannte Challenge, werden im Terminal in den Pseudo-Zufallsge
nerator PZGT eingegeben, der eine Response berechnet. Sowohl
die Challenge als auch die Response werden daraufhin an die
Karte übermittelt. Dort wird ebenfalls anhand der Daten eine
Response berechnet und mit der vom Terminal übermittelten
Response mittels eines Komparators, der ebenfalls in der
Steuereinrichtung ST enthalten ist, verglichen. Bei Überein
stimmung hat sich das Terminal als echt ausgewiesen, da es
zum einen in der Lage war, den richtigen Geheimcode zu ermit
teln, und außerdem den richtigen Pseudo-Zufallsgenerator PZGT
hat.
Der Pseudo-Zufallsgenerator PZG bzw. PZGT dient auch dazu,
eine elektronische Signatur des Inhalts der Wertbereiche WBA,
WBB, also derer Zählerstände zu erzeugen. Da das Ausgangs
signal des Pseudo-Zufallsgenerators von dem Geheimcode der
Karte abhängt und nur mit diesem geheimen Code nachgerechnet
werden kann, muß bei Übereinstimmung von Ausgangssignalen des
Pseudo-Zufallsgenerators PZG bzw. PZGT derselbe geheime Code
verwendet worden sein. Somit ist das Ausgangssignal eines
Pseudo-Zufallsgenerators eindeutig einer bestimmten Karte
zuordenbar, was als Signatur der Karte unter dem Zählerstand
bezeichnet wird.
Damit durch eine Analyse mehrerer Berechnungsvorgänge der
Aufbau des Pseudo-Zufallsgenerators und die eingegebenen
Daten nicht ermittelt werden können, sind ein oder mehrere
der eingegebenen Daten veränderbar und verändern sich auch
mit jedem Berechnungsvorgang. Eines dieser Daten ist der
Stand des Ladezählers LZ, der mit jedem neuen Ladevorgang und
damit mit jedem neuen Buchungsvorgang um 1 erhöht wird bzw.
rückgesetzt wird, wenn der Zählumfang erschöpft ist.
Ein anderes Datum ist der Inhalt des Signaturspeichers SIGSP.
In diesen wird jeweils das Ergebnis einer vorherigen Rechnung
des Pseudo-Zufallsgenerators eingeschrieben, die ja eine
Signatur des vorherigen Zählerstandes ist. Damit ist sicher
gestellt, daß sich das Ausgangssignals des Pseudo-Zufallsge
nerators PZG nur mit verschwindender Wahrscheinlichkeit
wiederholt und somit nicht analysiert werden kann.
In den Signaturspeicher SIGSP kann in einer Variante der
Erfindung als Signatur des Ladevorgangs über das Ladeterminal
bei jedem Ladevorgang ein neuer Wert direkt eingeschrieben
werden.
Ein erfindungsgemäßer Ladevorgang läuft in einfachster Weise
derart ab, daß nach Einführen der Karte in das Ladeterminal
und damit nach Anlegen einer Betriebsspannung der durch den
Zustand des Flag-Speichers FS definierte Wertbereich WBA oder
WBB aktiviert ist und vom Terminal ausgelesen wird. Durch
Ändern des Zustands des Ladesteuersignals LAD wird der andere
Wertbereich WBB oder WBA vorläufig aktiviert und der zuvor
aktivierte vorläufig deaktiviert. Dann wird der nunmehr
aktivierte Wertbereich WBB oder WBA gelöscht, wobei dessen
Zähler einen zu großen Zählumfang annimmt. Daraufhin wird im
Terminal aus dessen alten Zählerstand und dem vom Benutzer
ins Terminal eingegebenen auf zubuchenden Betrag ein neuer
Zählerstand ermittelt und an die Karte übertragen. Würde der
Benutzer vorher die Karte aus dem Terminal entfernen, hätte
er einen zu hohen Betrag aufgebucht bekommen, wenn die Pro
grammierung des Wertbereichs bereits endgültig und nicht-
flüchtig erfolgt wäre. Durch erneutes Einführen der Karte in
das Terminal wird aber in erfindungsgemäßer Weise wieder der
vorherige Wertbereich WBA bzw. WBB mit dem alten Zählerstand
aktiviert, da der Zustand des Flag-Speichers FS noch nicht
geändert worden war. Erst wenn der neue Zählerstand in den
vorläufig aktivierten Wertbereich WBB bzw. WBA einprogram
miert wurde, wird der Zustand des Flag-Speicher FS durch ein
Signal PROG von der Steuereinrichtung ST geändert, wodurch
der neue Wertbereich nicht-flüchtig aktivierbar ist und bei
jedem neuen Anlegen der Betriebsspannung, also bei jedem
Einführen der Karte in ein Terminal aktiviert wird, bei
spielsweise um Geld abzubuchen.
Um eine Manipulation des neuen Zählerstandes bei der Übertra
gung vom Terminal zur Karte zu verhindern, wird in erfin
dungsgemäßer Weiterbildung des Verfahrens nach dem Übertragen
des neuen Zählerstandes zur Karte dort gemäß dem oben be
schriebenen Verfahren der Zählerstand signiert. Die Signatur
wird anschließend zum Terminal übertragen und dort mit einer
ebenfalls ermittelten Signatur verglichen. Bei Übereinstim
mung ist sichergestellt, daß der richtige Zählerstand zur
Karte übertragen wurde. Bei Nicht-Übereinstimmung wird der
Ladevorgang abgebrochen, wodurch der falsche Zählerstand
keinen Einfluß auf spätere Abbuchvorgänge hat, da der Zustand
des Flag-Speichers FS noch nicht geändert wurde. Dieser wird
erst nach Erkennen der Übereinstimmung der Signaturen und
Übermitteln eines entsprechenden Signals vom Terminal an die
Karte geändert.
In Weiterbildung des erfindungsgemäßen Verfahrens muß sich
das Terminal gegenüber der Karte authentifizieren, bevor ein
Ladevorgang gestartet werden kann. Dadurch ist sicherge
stellt, daß kein falsches Ladegerät zum Aufbuchen einer Karte
benutzt werden kann. Für diese Authentifizierung werden aus
den vom Terminal aus der Karte gelesenen Daten und einer
Challenge eine Response berechnet, die zusammen mit der
Challenge an die Karte übermittelt und dort mit einem eben
falls mittels der Challenge und den Kartendaten berechneten
Response verglichen wird. Nur bei Übereinstimmung der Respon
ses können das Ladesteuersignal LAD und auch das Programmier
signal PROG erzeugt und damit ein Ladevorgang begonnen wer
den. Zu diesem Zweck sind in der tragbaren Datenträgeranord
nung Freigabevorrichtungen FGV1, FGV2 vorgesehen, die von der
Steuereinrichtung ST geeignet angesteuert werden. Ein solcher
Ladevorgang wird dabei beispielsweise durch Erhöhen des
Standes des Ladezählers LZ oder durch einen Dummy-Program
mierimpuls gestartet. Ein Dummy-Programmierimpuls ist dabei
ein Programmierimpuls auf eine nicht-gültige Adresse des
nicht-flüchtigen Speichers NVM, der von der Steuereinrichtung
ST der Karte als Steuerbefehl erkannt wird.
Auch nach dem Start eines Ladevorganges, nachdem das Terminal
seine Berechtigung nachgewiesen hat und das Ladesignal LAD
erzeugt worden ist, könnte es einem Betrüger gelingen, Ein
fluß auf den Wert des Zählerstandes zu nehmen und das Pro
grammiersignal PROG zur nicht-flüchtigen Aktivierung des
Zählerstandes unabhängig vom Terminal auszulösen. In einer
Weiterbildung des erfindungsgemäßen Verfahrens muß vor Erzeu
gung des Programmiersignals PROG das Terminal noch einmal
seine Berechtigung nachweisen, das heißt, es muß sich noch
einmal authentifizieren. Die Erzeugung der Responses ent
spricht dabei der bei der ersten Berechtigungsprüfung zum
Start eines Ladevorgangs.
Um eine Wiederholung von Responses zu verhindern, die von der
Datenträgeranordnung im Rahmen einer Signaturberechnung
ausgegeben werden und zur Erzeugung des Programmiersignals
PROG ausgenutzt werden könnten, wird zur Erzeugung einer
Response in erfindungsgemäßer Weise ein sich bei jeder
Responseberechnung änderndes Datum verwendet. Dieses Datum
wird durch einen Responsezähler RZ geliefert, der vor jeder
Responseberechnung nicht-flüchtig geändert wird und dessen
Zählerstand die Responseberechnung beeinflußt. Der Response
zähler RZ ist in vorteilhafter Weise als Bereich des nicht-
flüchtigen Speichers realisiert.
Durch das erfindungsgemäße Datenübertragungssystem und das
erfindungsgemäße Verfahren wird eine sichere Wiederaufladung
einer tragbaren Datenträgereinrichtung, beispielsweise einer
Chipkarte erreicht.
Claims (19)
1. Datenübertragungssystem mit zumindest einem Terminal und
mit zumindest einer tragbaren Datenträgeranordnung, die mit
einem nicht-flüchtigen Halbleiterspeicher (NVM) versehen ist,
der zumindest einen ersten als Zähler fungierenden, einen
abbuchbaren Geldwert repräsentierenden Wertbereich (WBA)
aufweist,
dadurch gekennzeichnet,
daß der nicht-flüchtige Halbleiterspeicher (NVM) einen zwei
ten als Zähler fungierenden Wertbereich (WBB) aufweist, wobei
nur jeweils einer der beiden Wertbereiche (WBA bzw. WBB)
nicht-flüchtig aktivierbar ist und der jeweils andere Wertbe
reich (WBB bzw. WBA) nur vorläufig aktiviert werden kann.
2. Datenübertragungssystem nach Anspruch 1, dadurch gekenn
zeichnet, daß die Wertbereiche (WBA, WBB) des nicht-flüchti
gen Speichers (NVM) über eine Auswahl-Logikschaltung (AL) mit
einem nicht-flüchtigen Flagspeicher (FS), dessen Zustand den
nicht-flüchtig aktivierten Wertbereich (WBA bzw. WBB) be
stimmt, verbunden sind.
3. Datenübertragungssystem nach Anspruch 2, dadurch gekenn
zeichnet, daß die Auswahl-Logikschaltung (AL) mit einem
Ladesteuersignal (LAD) beaufschlagbar ist, das die vorläufige
Aktivierung des nicht nicht-flüchtig aktivierten Wertbereichs
(WBB bzw. WBA) bewirkt und den nicht-flüchtig aktivierten
Wertbereich (WBA bzw. WBB) vorläufig deaktiviert.
4. Datenübertragungssystem nach Anspruch 2 oder 3, dadurch
gekennzeichnet, daß zwischen der Auswahl-Logikschaltung (AL)
und dem nicht-flüchtigen Speicher (NVM) eine Schaltvorrich
tung (SV) vorgesehen ist, die in Abhängigkeit von dem oder
den Ausgangssignal(en) der Auswahl-Logikschaltung (AL) eine
Programmier-Logikschaltung (PL) und eine Verifizier-Logik
schaltung (VL) mit dem jeweils aktiven Wertbereich (WBA bzw.
WBB) verbindet.
5. Datenübertragungssystem nach Anspruch 3, dadurch gekenn
zeichnet, daß in der Datenträgeranordnung eine erste Freiga
bevorrichtung (FGV1) vorgesehen ist, die die Erzeugung eines
Ladesignals (LAD) erst nach einer positiven Authentifizierung
des Terminals zuläßt.
6. Datenübertragungssystem nach einem der Ansprüche 2 bis 5,
dadurch gekennzeichnet, daß der nicht-flüchtige Flagspeicher
(FS) mit einem Programmiersignal (PROG) beaufschlagbar ist,
das die Umwandlung des vorläufig aktivierten Wertbereichs
(WBB bzw. WBA) in den nicht-flüchtig aktivierbaren Wertbe
reich (WBA bzw. WBB) veranlaßt.
7. Datenübertragungssystem nach Anspruch 6, dadurch gekenn
zeichnet, daß in der Datenträgeranordnung eine zweite Freiga
bevorrichtung (FGV2) vorgesehen ist, die die Erzeugung des
Programmersignals (PROG) erst nach einer positiven Authenti
fizierung des Terminals zuläßt.
8. Datenübertragungssystem nach Anspruch 5 oder 7, dadurch
gekennzeichnet, daß der nicht-flüchtige Halbleiterspeicher
(NVM) einen als nicht-flüchtige Zählvorrichtung fungierenden
Freigabebereich (FGB) aufweist, in dem jeder Versuch zur
Erlangung der Freigabe nicht-flüchtig registrierbar ist und
der aufeinanderfolgende Freigabeprozeduren unterscheidbar
macht.
9. Verfahren zum Wiederaufladen einer einen Geldwert reprä
sentierenden tragbaren Datenträgeranordnung mittels eines
Terminals eines Datenübertragungssystem gemäß einem der
Ansprüche 1 bis 8 mit den Schritten:
- a) Lesen des alten Zählerstandes des nicht-flüchtig akti vierten Wertbereichs (WBA bzw. WBB) aus der tragbaren Da tenträgeranordnung mittels des Terminals
- b) Berechnen eines neuen Zählerstandes aus dem alten Zähler stand und in das Terminal eingegebenen aufzubuchenden Da ten im Terminal
- c) Übertragen des neuen Zählerstandes vom Terminal zur tragbaren Datenträgeranordnung
- d) Schreiben des neuen Zählerstandes in den mittels des Ladesteuersignals (LAD) nur flüchtig aktivierten Wertbe reich (WBA bzw. WBB) des nicht-flüchtigen Speichers (NVM)
- e) nicht-flüchtig Aktivieren des Wertbereichs (WBB bzw. WBA) mit dem neuen Zählerstand durch Ändern des Zustands des Flagspeichers (FS).
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet,
daß nach dem Schritt d) folgende weiteren Schritte durchge
führt werden:
- d1) Signieren des neuen Zählerstandes in der tragbaren Daten trägeranordnung und Übertragen der Signatur zum Terminal
- d2) Ermitteln der Signatur des neuen Zählerstandes im Termi nal und Vergleichen der beiden Signaturen,
daß der Schritt e) nur nach Übereinstimmung der beiden Signa
turen durchgeführt wird und
daß bei Nicht-Übereinstimmung der beiden Signaturen das Verfahren abgebrochen wird.
daß bei Nicht-Übereinstimmung der beiden Signaturen das Verfahren abgebrochen wird.
11. Verfahren nach Anspruch 9 oder 10, dadurch gekennzeich
net, daß nach dem Schritt a) folgende weiteren Schritte
durchgeführt werden:
- a1) Lesen von für die tragbare Datenträgeranordnung spezifi schen Daten aus der tragbaren Datenträgeranordnung mit tels des Terminals
- a2) Erzeugen einer Challenge und Ermitteln einer Response aus der Challenge und zumindest einem Teil der spezifischen Daten und dem alten Zählerstand im Terminal
- a3) Übermitteln der Challenge und der Response vom Terminal zur tragbaren Datenträgeranordnung
- a4) Ermitteln einer Response aus der Challenge in der tragba ren Datenträgeranordnung und Vergleichen der beiden Re sponses.
12. Verfahren nach Anspruch 9, 10 oder 11, dadurch gekenn
zeichnet, daß nach dem Schritt d) bzw. d2) folgende weiteren
Schritte durchgeführt werden:
- d3) Lesen von für die tragbare Datenträgeranordnung spezifi schen Daten aus der tragbaren Datenträgeranordnung mit tels des Terminals
- d4) Erzeugen einer Challenge und Ermitteln einer Response aus der Challenge und zumindest einem Teil der spezifischen Daten und dem alten Zählerstand im Terminal
- d5) Übermitteln der Challenge und der Response vom Terminal zur tragbaren Datenträgeranordnung
- d6) Ermitteln einer Response aus der Challenge in der tragba ren Datenträgeranordnung und Vergleichen der beiden Re sponses
und daß nur bei Übereinstimmung der beiden Responses mit
Schritt e) fortgefahren wird und bei Nicht-Übereinstimmung
das Verfahren abgebrochen wird.
13. Verfahren nach einem der Ansprüche 10 bis 12, dadurch
gekennzeichnet, daß zum Signieren eines Zählerstandes oder
zum Erzeugen einer Response ein sich mit jedem Ladevorgang
änderndes Datum verwendet wird und daß die Erzeugung einer
Signatur oder einer Response mittels eines Pseude-Zufalls-
Generators (PZG) erfolgt.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß
das Datum der Wert eines Ladezählers (LZ) ist, der jeden
Ladevorgang zählt.
15. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß
das Datum der Wert eines Signaturspeichers (SIGSP) ist, in
den die Signatur des alten Werts des jeweils nicht-flüchtig
aktiven Wertbereichs (WBA bzw. WBB) eingeschrieben wird.
16. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß
das Datum der Wert eines Signaturspeichers (SIGSP) ist, in
den als Signatur des Ladevorgangs über das Ladeterminal bei
jedem neuen Ladevorgang ein neuer Wert eingeschrieben wird.
17. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß
vor jeder Responseberechnung ein Responsezähler (RZ) nicht-
flüchtig geändert und als sich änderndes Datum verwendet
wird.
Priority Applications (12)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE4439266A DE4439266A1 (de) | 1994-09-30 | 1994-11-03 | Datenübertragungssystem mit einem Terminal und einer tragbaren Datenträgeranordnung und Verfahren zum Wiederaufladen der tragbaren Datenträgeranordnung mittels des Terminals |
AT95931886T ATE163786T1 (de) | 1994-09-30 | 1995-09-19 | Datenübertragungssystem mit einem terminal und einer tragbaren datenträgeranordnung und verfahren zum wiederaufladen der tragbaren datenträgeranordnung mittels des terminals |
CN95196343.0A CN1091911C (zh) | 1994-09-30 | 1995-09-19 | 数据传送系统及对可携带数据载体重加载的方法 |
JP51126396A JP3504952B2 (ja) | 1994-09-30 | 1995-09-19 | ターミナルおよび携帯可能なデータキャリア装置を有するデータ伝送システムおよびターミナルにより携帯可能なデータキャリア装置の再チャージ方法 |
EP95931886A EP0783741B1 (de) | 1994-09-30 | 1995-09-19 | Datenübertragungssystem mit einem terminal und einer tragbaren datenträgeranordnung und verfahren zum wiederaufladen der tragbaren datenträgeranordnung mittels des terminals |
KR1019970702002A KR100374071B1 (ko) | 1994-09-30 | 1995-09-19 | 터미널과휴대용데이터캐리어장치를갖고있는데이터전송시스템및이터미널에의하여상기휴대용데이터캐리어장치를재충전하는방법 |
UA97031487A UA41418C2 (uk) | 1994-09-30 | 1995-09-19 | Система передачі даних з терміналом і переносним носієм даних та спосіб перезавантаження переносного носія даних за допомогою термінала |
DE59501580T DE59501580D1 (de) | 1994-09-30 | 1995-09-19 | Datenübertragungssystem mit einem terminal und einer tragbaren datenträgeranordnung und verfahren zum wiederaufladen der tragbaren datenträgeranordnung mittels des terminals |
PCT/DE1995/001286 WO1996010810A1 (de) | 1994-09-30 | 1995-09-19 | Datenübertragungssystem mit einem terminal und einer tragbaren datenträgeranordnung und verfahren zum wiederaufladen der tragbaren datenträgeranordnung mittels des terminals |
ES95931886T ES2113754T3 (es) | 1994-09-30 | 1995-09-19 | Sistema de transmision de datos con un terminal y una disposicion de soporte de datos portatil y procedimiento para recargar la disposicion de soporte de datos portatil por medio del terminal. |
RU97106803A RU2134904C1 (ru) | 1994-09-30 | 1995-09-19 | Система передачи данных с терминалом и переносным устройством носителя данных и способ для перезаряда переносного устройства носителя данных посредством терминала |
US08/828,720 US5889266A (en) | 1994-09-30 | 1997-03-31 | Data transfer system having a terminal and a portable data carrier configuration and method for recharging the portable data carrier configuration using the terminal |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE4435137 | 1994-09-30 | ||
DE4439266A DE4439266A1 (de) | 1994-09-30 | 1994-11-03 | Datenübertragungssystem mit einem Terminal und einer tragbaren Datenträgeranordnung und Verfahren zum Wiederaufladen der tragbaren Datenträgeranordnung mittels des Terminals |
Publications (1)
Publication Number | Publication Date |
---|---|
DE4439266A1 true DE4439266A1 (de) | 1996-04-11 |
Family
ID=6529720
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE4439266A Withdrawn DE4439266A1 (de) | 1994-09-30 | 1994-11-03 | Datenübertragungssystem mit einem Terminal und einer tragbaren Datenträgeranordnung und Verfahren zum Wiederaufladen der tragbaren Datenträgeranordnung mittels des Terminals |
DE59501580T Expired - Lifetime DE59501580D1 (de) | 1994-09-30 | 1995-09-19 | Datenübertragungssystem mit einem terminal und einer tragbaren datenträgeranordnung und verfahren zum wiederaufladen der tragbaren datenträgeranordnung mittels des terminals |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE59501580T Expired - Lifetime DE59501580D1 (de) | 1994-09-30 | 1995-09-19 | Datenübertragungssystem mit einem terminal und einer tragbaren datenträgeranordnung und verfahren zum wiederaufladen der tragbaren datenträgeranordnung mittels des terminals |
Country Status (3)
Country | Link |
---|---|
KR (1) | KR100374071B1 (de) |
DE (2) | DE4439266A1 (de) |
UA (1) | UA41418C2 (de) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0831433A1 (de) * | 1996-09-24 | 1998-03-25 | Koninklijke KPN N.V. | Verfahren zum Durchführen von wiedergewinnbaren Transaktionen mit Chipkarten, Verfahren zum Wiedergewinnen einer solchen Transaktion, als auch eine Chipkarte, die wiedergewinnbare Transaktionen erlaubt |
FR2757661A1 (fr) * | 1996-12-24 | 1998-06-26 | Gemplus Card Int | Procede de transfert securise de donnees par un reseau de communication |
FR2777371A1 (fr) * | 1998-04-09 | 1999-10-15 | Innovatron Electronique | Procede pour modifier de maniere indivisible une pluralite d'emplacements de la memoire non volatile d'une carte a microcircuit |
WO2000019384A1 (de) | 1998-09-30 | 2000-04-06 | Infineon Technologies Ag | Schaltungsanordnung und verfahren zum authentifizieren des inhalts eines speicherbereichs |
DE19858840A1 (de) * | 1998-12-19 | 2000-06-21 | Orga Kartensysteme Gmbh | Verfahren zum bidirektionalen Datentransfer zwischen einem Terminal und einer Chipkarte sowie Chipkarte |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3638505A1 (de) * | 1986-11-11 | 1988-05-19 | Gao Ges Automation Org | Datentraegeranordnung mit integriertem schaltkreis |
-
1994
- 1994-11-03 DE DE4439266A patent/DE4439266A1/de not_active Withdrawn
-
1995
- 1995-09-19 UA UA97031487A patent/UA41418C2/uk unknown
- 1995-09-19 KR KR1019970702002A patent/KR100374071B1/ko not_active IP Right Cessation
- 1995-09-19 DE DE59501580T patent/DE59501580D1/de not_active Expired - Lifetime
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3638505A1 (de) * | 1986-11-11 | 1988-05-19 | Gao Ges Automation Org | Datentraegeranordnung mit integriertem schaltkreis |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998013793A1 (en) * | 1996-09-24 | 1998-04-02 | Koninklijke Kpn N.V. | Method of making recoverable smart card transactions |
EP0831433A1 (de) * | 1996-09-24 | 1998-03-25 | Koninklijke KPN N.V. | Verfahren zum Durchführen von wiedergewinnbaren Transaktionen mit Chipkarten, Verfahren zum Wiedergewinnen einer solchen Transaktion, als auch eine Chipkarte, die wiedergewinnbare Transaktionen erlaubt |
US6070795A (en) * | 1996-09-24 | 2000-06-06 | Koninklijke Kpn N.V. | Method of making recoverable smart card transactions, a method of recovering such a transaction, as well as a smart card allowing recoverable transactions |
FR2757661A1 (fr) * | 1996-12-24 | 1998-06-26 | Gemplus Card Int | Procede de transfert securise de donnees par un reseau de communication |
WO1998028719A1 (fr) * | 1996-12-24 | 1998-07-02 | Gemplus S.C.A. | Procede de transfert securise de donnees par un reseau de communication |
US6058483A (en) * | 1996-12-24 | 2000-05-02 | Gemplus S. C. A. | Method for secure transfer of data by a communication network |
AU759733B2 (en) * | 1998-04-09 | 2003-04-17 | Innovatron Electronique (Societe Anonyme) | A method of modifying in indivisible manner a plurality of non-volatile memory locations in a microcircuit card, in particular in a contactless card |
FR2777371A1 (fr) * | 1998-04-09 | 1999-10-15 | Innovatron Electronique | Procede pour modifier de maniere indivisible une pluralite d'emplacements de la memoire non volatile d'une carte a microcircuit |
WO1999053451A1 (fr) * | 1998-04-09 | 1999-10-21 | Innovatron Electronique, Societe Anonyme | Procede pour modifier de maniere indivisible une pluralite d'emplacements de la memoire non volatile d'une carte a microcircuit, notamment une carte sans contact |
US7370203B1 (en) | 1998-04-09 | 2008-05-06 | La Regie Autonome Des Transports Parisiens | Method for indivisibly modifying a plurality of sites in a microcircuit card non volatile memory, in particular a contactless card |
WO2000019384A1 (de) | 1998-09-30 | 2000-04-06 | Infineon Technologies Ag | Schaltungsanordnung und verfahren zum authentifizieren des inhalts eines speicherbereichs |
US6708890B2 (en) | 1998-09-30 | 2004-03-23 | Infineon Technologies Ag | Circuit configuration and method for authenticating the content of a memory area |
US6402026B1 (en) | 1998-12-19 | 2002-06-11 | Orga Kartensysteme Gmbh | Smart card and method for bidirectional data transfer between a terminal and a smart card |
EP1011080A1 (de) * | 1998-12-19 | 2000-06-21 | Orga Kartensysteme GmbH | Verfahren zum bidirektionalen Datentransfer zwischen einem Terminal und einer Chipkarte sowie Chipkarte |
DE19858840A1 (de) * | 1998-12-19 | 2000-06-21 | Orga Kartensysteme Gmbh | Verfahren zum bidirektionalen Datentransfer zwischen einem Terminal und einer Chipkarte sowie Chipkarte |
Also Published As
Publication number | Publication date |
---|---|
KR100374071B1 (ko) | 2003-08-19 |
UA41418C2 (uk) | 2001-09-17 |
DE59501580D1 (de) | 1998-04-09 |
KR970706557A (ko) | 1997-11-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0783741B1 (de) | Datenübertragungssystem mit einem terminal und einer tragbaren datenträgeranordnung und verfahren zum wiederaufladen der tragbaren datenträgeranordnung mittels des terminals | |
DE69500346T2 (de) | Verbesserte Speicherselbstprüfung | |
DE3700663C2 (de) | ||
DE69021935T2 (de) | Verfahren zum Überprüfen der Integrität eines Programms oder von Daten und Einrichtung zur Durchführung dieses Verfahrens. | |
DE3103514A1 (de) | Verfahren und vorrichtung zum steuern einer gesicherten transaktion | |
WO1989004022A1 (en) | Process for verifying the authenticity of a data medium with integrated circuit | |
DE3318101A1 (de) | Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit | |
EP0823104B1 (de) | Elektronische börsenkarte und verfahren zum wiederaufladen einer elektronischen börsenkarte | |
DE4439266A1 (de) | Datenübertragungssystem mit einem Terminal und einer tragbaren Datenträgeranordnung und Verfahren zum Wiederaufladen der tragbaren Datenträgeranordnung mittels des Terminals | |
DE10218795B4 (de) | Verfahren zum Herstellen eines elektronischen Sicherheitsmoduls | |
DE19618471C2 (de) | Verfahren zum Transferieren von Geldbeträgen zwischen überschreibbaren Speichern einer Chipkarte | |
DE102007041370B4 (de) | Chipkarte, elektronisches Gerät, Verfahren zur Herstellung einer Chipkarte und Verfahren zur Inbenutzungnahme einer Chipkarte | |
EP1722336A2 (de) | Vorrichtung und Verfahren zur Erzeugung von Daten für eine Initialisierung von Sicherheitsdatenträgern | |
DE19716015A1 (de) | Einbringen von Information auf einer Chipkarte | |
DE69900566T2 (de) | Verfahren zur Personalisierung einer IC-Karte | |
EP0818749A2 (de) | Verfahren und System zum Sichern von Daten | |
EP0353530B1 (de) | Verfahren zum Unterscheidbarmachen von elektronischen Schaltungen mit nichtflüchtigem Speicher | |
EP1342209B1 (de) | Verfahren zur entwertung eines datenträgers | |
EP0607950B1 (de) | Verfahren und Datenträgeranordnung zur Echtheitserkennung von Speicherchips | |
EP0570828A2 (de) | Verfahren und Datenträgeranordnung zur Echtheitserkennung von Speicherchips | |
EP1397886B1 (de) | Authentifikation mittels eines challenge-response-verfahrens | |
DE19750849C2 (de) | Verfahren zur Sicherung einer elektronischen Geldbörse gegen übermäßige Benutzung | |
DE102007027935A1 (de) | Tragbarer Datenträger und Verfahren zur Personalisierung eines tragbaren Datenträgers | |
EP1118065B1 (de) | Schaltungsanordnung und verfahren zum authentifizieren des inhalts eines speicherbereichs | |
WO1996010811A1 (de) | Verfahren zum erzeugen elektronischer signaturen und verwendung eines pseudo-zufallsgenerators hierzu |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8130 | Withdrawal |