DE4441413C2 - Datenaustauschsystem - Google Patents
DatenaustauschsystemInfo
- Publication number
- DE4441413C2 DE4441413C2 DE4441413A DE4441413A DE4441413C2 DE 4441413 C2 DE4441413 C2 DE 4441413C2 DE 4441413 A DE4441413 A DE 4441413A DE 4441413 A DE4441413 A DE 4441413A DE 4441413 C2 DE4441413 C2 DE 4441413C2
- Authority
- DE
- Germany
- Prior art keywords
- pin
- data
- secured
- exchange system
- applications
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Revoked
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3572—Multiple accounts on card
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/363—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user
Description
Die Erfindung betrifft ein Datenaustauschsystem,
bestehend aus einem Grundgerät und einem tragbaren
Datenträger.
Derartige Grundgeräte - gelegentlich als Terminals
bezeichnet - dienen der Aufnahme des Datenträgers
(Chipkarte) und dem Austausch von Daten mit der Karte und
der Kommunikation mit einem Benutzer.
Auf Chipkarten (tragbaren Datenträgern) werden zunehmend
mehr Börsenanwendungen eingesetzt. Eine derartige
Börsenanwendung besteht unter anderem aus einem Datenfeld
(Börse), das einen Verfügungsrahmen (Kredit) oder
geldwerten Betrag beinhaltet. Mit geeigneten Kommandos
und unter Berücksichtigung der Sicherheitsstruktur der
Börsenanwendung kann aus diesem Betragsfeld ein Kredit
(post-paid) oder Geldbetrag (pre-paid) abgebucht werden.
Die Sicherheitsstruktur wird im allgemeinen durch eine
Authentifikation des Endgerätes gegenüber der
Börsenanwendung über Challenge-Response Verfahren mit
kryptologischen Algorithmen und zugehörigen Schlüsseln
(Keys) repräsentiert. Zusätzlich ist die Eingabe der
Geheimnummern (PIN = Personal Identification Number) des
Karteninhabers notwendig. (Die PIN wird bei ISO/ETSI-An
wendungen Card Molder Verification CMV genannt.) Dies
dient zum Schutz der Börsenanwendung bei Verlust der
Karte, ein Finder/Dieb kann ohne Kenntnis der PIN keine
Beträge abbuchen. Ein Beispiel für derartige Anwendungen
(PIN-gesicherte Anwendungen) ist die Kredit-Börse des
Deutschen Kreditgewerbes, die im EC-Cash-Bereich
eingesetzt werden soll.
Nun gibt es andererseits Endgeräte (Grundgeräte)
beziehungsweise Anwendungen, die Beträge aus einer Börse
abbuchen wollen, jedoch aus organisatorischen oder
technischen Gründen keine PIN-Prüfung durchführen können.
Als Beispiel soll hier die Telefonbörse der Deutschen
Bundespost Telekom genannt werden. Ebenso kann dies für
Anwendungen zutreffen, die nur kleinere Beträge abbuchen
wollen, wie zum Beispiel Getränke-, Parkhaus-,
Zigaretten- oder Fahrscheinautomaten. Eine PIN-Eingabe
des Karteninhabers ist hier entweder zu umständlich
beziehungsweise unzumutbar -zum Beispiel
Zigarettenautomat) oder technisch zu teuer
(Sonderausstattung der Endgeräte mit Eingabetastatur und
gegebenenfalls Datenverschlüsselung). Auch gibt es
Sicherheitsbedenken, eine PIN an relativ ungesicherten
Endgeräten einzugeben, (zum Beispiel verschlüsselte EC-
Cash-PIN darf nicht an Endgeräten ohne PIN-Kryptomodul
eingegeben werden).
Aus diesem Grund ist es sinnvoll, ein Verfahren
bereit zustellen, das die Abbuchung von Beträgen aus
Börsenanwendungen in beschränktem Maße auch ohne
PIN-Prüfung erlaubt. Hauptaugenmerk muß hier auf die
Minimierung des Mißbrauchs bei Kartenverlust gesetzt
werden.
Die Abbuchung von der Börse als der PIN-gesicherten
Anwendung erfolgt durch eine Routine. Der Zugriff auf die
Börse wird durch einen Satz von Zugriffsbedingungen (AC =
access condition) gesteuert. Da eine Routine nicht zwei
Sätzen von Zugriffsbedingungen genügen kann - der Zugriff
wäre sonst nicht eindeutig geregelt - kann die nicht
PIN-gesicherte Anwendung nicht die gleiche Routine
(einschließlich AC) benutzen wie die PIN-gesicherte
Anwendung.
In DE-Z: Elektronik, H. Lemme, Der Mikrorechner in der
Brieftasche, 20/1993, s. 58, wurde die Einführung eines
separaten Betragsfeldes auf der Karte beschrieben, wobei
aus einer PIN-gesicherten Anwendung auf das separate
Betragsfeld gebucht wird. Von dem zweiten Betragsfeld
sollen dann Zahlungen (Buchungen) ohne PIN-Sicherung
möglich sein.
Die Einführung eines zweiten Betragsfeldes für eine nicht
PIN-gesicherte Anwendung erscheint aufwendig, da hierfür
eine neue Anwendung (PIN-gesichertes Umbuchen, Abgleich
beider Felder, Konsistenzprüfung des Sequenzzählers)
Implementiert werden müßte. Außerdem würde ein
Funktionsausfall bei einer Börse die Karte insgesamt
blockieren. Die Einführung eines zweiten Betragsfeldes
würde zu einer weitreichenden Änderung der Schnittstelle
Karte - Terminal führen und erscheint daher nicht
sinnvoll.
Aufgabe der Erfindung war es, in begrenztem Umfang eine
Abbuchung von der PIN-gesicherten Börse durch eine nicht
PIN-gesicherte Anwendung zu ermöglichen.
Zur Lösung dieser Aufgabe wird eine virtuelle zweite
Börse eingerichtet. Dabei erfolgt die Abbuchung von der
PIN gesicherten Börse. Diese Abbuchungen für nicht
PIN-gesicherte Anwendungen werden in einem Kontrollfeld
registriert und der Inhalt des Kontrollfeldes wird mit
einem auf der Karte gespeicherten Maximalwert verglichen.
Wenn der Inhalt des Kontrollfeldes ein Ausschöpfen der
durch den Maximalwert festgelegten, nicht PIN-gesicherten
Anwendungen anzeigt, erfolgt keine Abbuchung aus der
PIN-gesicherten Börse mehr. Als Maximalwert kann eine Anzahl
von nicht PIN-gesicherten Anwendungen vorgegeben werden.
Im Kontrollfeld werden dann die Anwendungen (auf- oder
absteigend) gezählt. Bevorzugt wird als Maximalwert ein
Höchstgeldbetrag gespeichert. Im Kontrollfeld werden dann
die mit den nicht PIN-gesicherten Anwendungen abgebuchten
Beträge summiert (auf- oder absteigend). Hierdurch
erfolgt die Abbuchung scheinbar von einer nicht
PIN-gesicherten, virtuellen Börse.
Durch die Verwaltung in der virtuellen zweiten Börse in
Kontrollfeld und Maximalwert wird der bei Verlust der
Karte entstehende Geldverlust begrenzt. Die
grundsätzliche Sicherung durch die PIN bleibt erhalten.
Das Prinzip soll am Beispiel einer Börse nach ETSI/ISO-
Betriebssystem aufgezeigt werden. Es wird davon
ausgegangen, daß ein Betragsfeld existiert (EF_Kredit),
aus dem ein Buchungsbetrag mittels einer Routine REDUCE
abgebucht wird. Zur Durchführung der Routine muß eine PIN
geprüft sein und ein Authentifikationsschlüssel (Kennung
= Key) bekannt sein. Es kann mehrere korrekte
Authentifikationsschlüssel geben, dann muß mindestens
einer bekannt sein. Beim Aufruf der Routine wird, zum
Beispiel der Index der vom Grundgerät abgegebenen
Kennung, als Parameter übergeben. Es existiert ein
Datenfeld mit Anwendungsinformationen (EF_Info), und eine
neues Datenfeld (Kontrollfeld) für die
Kommandoüberwachung der neuen Routine wird angelegt
(EF_Usage).
Zusätzlich wird eine weitere Routine (REDUCE2)
hinzugefügt, die denselben Ablauf wie REDUCE ohne
PIN-Prüfung gewährleistet. Dies kann im Rahmen eines
gesonderten endgeräte- beziehungsweise
anwendungsspezifischen Kommandos oder durch eine
Programmverzweigung des ursprünglichen Kommandos
geschehen. In diesem Fall muß dem Kommando wenigstens ein
Parameter mitgegeben werden, um den Aufrufer
beziehungsweise die Anwendung zu identifizieren. Dies
kann über einen Index für eine Kennung (Key-Nummer)
erfolgen.
Für die Grundgeräte erfolgt zum Beispiel eine
Reservierung von Key-Bereichen für die neue Abbuch-
Routine. Die ursprüngliche Routine REDUCE arbeitet zum
Beispiel nur mit den Keys A-X, die neue Routine mit den
Keys Y-Z. Die Keys A-X werden an Endgeräte gegeben, die
mit PIN abbuchen, die Keys Y-Z an Endgeräte ohne
PIN-Prüfung. Durch diese Einschränkung des Bereiches kann ein
Kommandoaufrufer eindeutig identifiziert werden, da das
Kommando eine korrekte Authentifikation mit dem gewählten
Key voraussetzt.
Alternativ können Zusatzinformationen zu den Kennungen in
einem Datenfeld der Karte abgelegt werden, die die
Auswahl der relevanten Abbuch-Routine steuern.
In dem Kontrollfeld (EF_Usage) wird zum Beispiel die
maximale Höhe des Betrages, der mit der REDUCE2-Routine
(ohne PIN) abgebucht werden kann, von der Karte
überwacht. Dieses Datenfeld beinhaltet dann die Summe
aller Abbuchungen von REDUCE2. Alternativ kann auch ein
Maximalwert durch das REDUCE2-Kommando heruntergezählt
werden. Dieser Kontrollbetrag im EF_Usage steht in
direktem Zusammenhang mit dem Betrag im EF_Kredit. Wird
aus dem EF_Kredit ein Betrag mit REDUCE2 abgebucht, so
wird derselbe Betrag im EF_Usage verbucht. Hat das
EF_Usage einen ungültigen Wert, (zum Beispiel größer als
der erlaubte Maximalbetrag oder Null), kann REDUCE2 nicht
mehr ausgeführt werden. Dies erfolgt zusätzlich zu der
durch REDUCE durchgeführten Prüfung der Kreditlinie in
EF_Kredit.
In einem Informationsfeld der Karte (EF_Info) kommt ein
neuer Wert hinzu. Hier wird vom Börsenbetreiber zum
Beispiel der maximale Betrag festgelegt, der ohne PIN aus
dem EF_Kredit mit der Routine REDUCE2 abgebucht werden
darf. Beim Verlust der Karte entspricht dieser Betrag dem
maximalen Schaden, der dem Kunden entstehen kann.
Das REDUCE-Kommando kann um folgende Funktion erweitert
werden:
Jedesmal wenn das Kommando korrekt abgeschlossen wurde (nach korrekter PIN-Prüfung), so restauriert das Kommando den Inhalt von EF_Usage. Dies kann durch ein Setzen des EF_Usage auf Null oder auf den Maximalbetrag geschehen. Damit wird nach einer korrekten PIN-Prüfung, (der tatsächliche Karteninhaber wurde identifiziert), sowie den weiteren üblichen anwendungsspezifischen Autorisierungsverfahren der Maximalbetrag für weitere Abbuchungen ohne PIN freigegeben. Ein Finder/Dieb der Karte kann immer höchstens diesen Maximalbetrag verbrauchen, da er ohne Kenntnis der PIN das EF_Usage nicht erneuern kann.
Jedesmal wenn das Kommando korrekt abgeschlossen wurde (nach korrekter PIN-Prüfung), so restauriert das Kommando den Inhalt von EF_Usage. Dies kann durch ein Setzen des EF_Usage auf Null oder auf den Maximalbetrag geschehen. Damit wird nach einer korrekten PIN-Prüfung, (der tatsächliche Karteninhaber wurde identifiziert), sowie den weiteren üblichen anwendungsspezifischen Autorisierungsverfahren der Maximalbetrag für weitere Abbuchungen ohne PIN freigegeben. Ein Finder/Dieb der Karte kann immer höchstens diesen Maximalbetrag verbrauchen, da er ohne Kenntnis der PIN das EF_Usage nicht erneuern kann.
Claims (5)
1. Datenaustauschsystem mit einem Grundgerät zur
Aufnahme eines tragbaren Datenträgers, mit
Einrichtungen im Grundgerät zur Aufnahme und Abgabe
von Daten aus dem und an den Datenträger sowie zur
Verarbeitung von Daten, mit Einrichtungen auf dem
Datenträger zur Aufnahme und Abgabe von Daten aus dem
und an das Grundgerät sowie zur Verarbeitung von
Daten, wobei auf dem Datenträger wenigstens eine
Anwendung durch eine PIN gesichert ist und dieser
PIN-gesicherten Anwendung eine Börse zugeordnet ist
und auf dem Datenträger ein Kontrollfeld zur
Registrierung von nicht PIN-gesicherten Anwendungen
angelegt ist, ein Maximalwert für nicht
PIN-gesicherte Anwendungen auf dem tragbaren Datenträger
gespeichert ist und bei durch Vergleich zwischen dem
Maximalwert und dem Kontrollfeld festgestelltem
Überschreiten des Maximalwertes der Zugriff nur noch
auf die PIN-gesicherte Anwendung begrenzt ist.
2. Datenaustauschsystem nach Anspruch 1, dadurch
gekennzeichnet, daß vom Grundgerät eine Kennung zu
den Datenträgern gesendet wird, wobei für
PIN-Anwendungen die Kennung aus einem ersten und für
nicht PIN-gesicherte Anwendungen aus einem zweiten
Satz von Kennungen ausgewählt ist.
3. Datenaustauschsystem nach Anspruch 1, dadurch
gekennzeichnet, daß vom Grundgerät eine Kennung zu
dem Datenträger gesendet wird und aus einem
zusätzlichen Datenfeld der Karte die zugehörige
Abbuchroutine bestimmt und ausgewählt wird.
4. Datenaustauschsystem nach Anspruch 2 oder 3, dadurch
gekennzeichnet, daß im Kontrollfeld der Maximalbetrag
von nicht PIN-gesicherten Anwendungen überwacht wird.
5. Datenaustauschsystem nach einem der Ansprüche 1 bis 4,
dadurch gekennzeichnet, daß nach jeder
PIN-gesicherten Anwendung im Kontrollfeld der Maximalwert
restauriert wird.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE4441413A DE4441413C2 (de) | 1994-03-29 | 1994-11-22 | Datenaustauschsystem |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE4410905 | 1994-03-29 | ||
DE4417793 | 1994-05-20 | ||
DE4441413A DE4441413C2 (de) | 1994-03-29 | 1994-11-22 | Datenaustauschsystem |
Publications (2)
Publication Number | Publication Date |
---|---|
DE4441413A1 DE4441413A1 (de) | 1995-11-30 |
DE4441413C2 true DE4441413C2 (de) | 1997-03-06 |
Family
ID=25935188
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE4441413A Revoked DE4441413C2 (de) | 1994-03-29 | 1994-11-22 | Datenaustauschsystem |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE4441413C2 (de) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0784301B1 (de) | 1996-01-08 | 2002-10-16 | Jürgen Dethloff | Verfahren und System zum Bezahlen von Leistungen sowie tragbarer Datenträger für ein derartiges System |
DE19611632A1 (de) * | 1996-03-25 | 1997-10-02 | Deutsche Telekom Ag | Off-Line-Datenstationen mit virtueller On-Line-Fähigkeit |
DE19615303A1 (de) * | 1996-04-18 | 1997-10-23 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Zahlung aus Chipkarten mit Börsenfunktion |
DE19750849C2 (de) * | 1997-11-17 | 1999-11-11 | Deutsche Telekom Ag | Verfahren zur Sicherung einer elektronischen Geldbörse gegen übermäßige Benutzung |
JP3038654B2 (ja) * | 1998-06-24 | 2000-05-08 | 富士通株式会社 | 電子キャッシングカードの決済システム |
-
1994
- 1994-11-22 DE DE4441413A patent/DE4441413C2/de not_active Revoked
Also Published As
Publication number | Publication date |
---|---|
DE4441413A1 (de) | 1995-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE2760485C2 (de) | ||
EP0306892B1 (de) | Schaltungsanordnung mit einer zumindest einen Teil der Anordnung enthaltenden Karte für Geschäfts-, Identifizierungs-und/oder Betätigungszwecke | |
DE2645564C2 (de) | Automatischer Geldausgeber | |
DE2738113A1 (de) | Vorrichtung zur durchfuehrung von bearbeitungsvorgaengen mit einem in eine aufnahmeeinrichtung der vorrichtung eingebbaren identifikanden | |
DE3103514A1 (de) | Verfahren und vorrichtung zum steuern einer gesicherten transaktion | |
DE3412663A1 (de) | Chipkartensystem | |
EP0172314A1 (de) | Arbeits-Verfahren und Einrichtung zum elektronisch autorisierten Feststellen einer Sache | |
EP0895203A2 (de) | Vorrichtung in Form eines Kartenbediengerätes | |
DE4243851A1 (de) | Verfahren zum Transferieren von Buchgeldbeträgen auf und von Chipkarten | |
DE102011116489A1 (de) | Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts | |
DE4230866B4 (de) | Datenaustauschsystem | |
DE19718547C2 (de) | System zum gesicherten Lesen und Ändern von Daten auf intelligenten Datenträgern | |
DE4441413C2 (de) | Datenaustauschsystem | |
DE19604876C1 (de) | Verfahren zur Transaktionskontrolle elektronischer Geldbörsensysteme | |
DE19732762A1 (de) | Vorrichtung in Form eines Kartenbediengerätes | |
EP1222563A2 (de) | System zur ausführung einer transaktion | |
DE19609232A1 (de) | Verfahren und Vorrichtung zum universellen und gesicherten Zugang zu angebotenen Multimediadiensten über das Telefonnetz | |
EP1141904A1 (de) | Verfahren für die sichere handhabung von geld- oder werteeinheiten mit vorausbezahlten datenträgern | |
EP1060607A1 (de) | Verfahren und vorrichtung zum universellen und gesicherten zugang zu telefonnetzen | |
DE19816541C2 (de) | Datenaustauschsystem | |
EP1635302A1 (de) | Speicherkarte und Verfahren zum Abfragen von Informationen von einer Speicherkarte | |
DE19705620C2 (de) | Anordnung und Verfahren zur dezentralen Chipkartenidentifikation | |
EP1152377B1 (de) | Verfahren und Endgerät zur Durchführung von Transaktionen unter Einschaltung eines tragbaren Datenträgers | |
WO2000002170A1 (de) | Verfahren zum schutz von daten auf einem datenträger sowie dazu ausgestaltete chipkarte, lesegerät und chipsatz | |
DE19524822C1 (de) | Einrichtung zur Überprüfung der Berechtigung und zur Benutzung von geschützten Diensten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
D2 | Grant after examination | ||
8363 | Opposition against the patent | ||
8331 | Complete revocation |