DE4441413C2 - Datenaustauschsystem - Google Patents

Datenaustauschsystem

Info

Publication number
DE4441413C2
DE4441413C2 DE4441413A DE4441413A DE4441413C2 DE 4441413 C2 DE4441413 C2 DE 4441413C2 DE 4441413 A DE4441413 A DE 4441413A DE 4441413 A DE4441413 A DE 4441413A DE 4441413 C2 DE4441413 C2 DE 4441413C2
Authority
DE
Germany
Prior art keywords
pin
data
secured
exchange system
applications
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Revoked
Application number
DE4441413A
Other languages
English (en)
Other versions
DE4441413A1 (de
Inventor
Dieter Hovemeyer
Achim Pietig
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia Germany GmbH
Original Assignee
Orga Kartensysteme GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=25935188&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE4441413(C2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Orga Kartensysteme GmbH filed Critical Orga Kartensysteme GmbH
Priority to DE4441413A priority Critical patent/DE4441413C2/de
Publication of DE4441413A1 publication Critical patent/DE4441413A1/de
Application granted granted Critical
Publication of DE4441413C2 publication Critical patent/DE4441413C2/de
Anticipated expiration legal-status Critical
Revoked legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3572Multiple accounts on card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/363Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user

Description

Die Erfindung betrifft ein Datenaustauschsystem, bestehend aus einem Grundgerät und einem tragbaren Datenträger.
Derartige Grundgeräte - gelegentlich als Terminals bezeichnet - dienen der Aufnahme des Datenträgers (Chipkarte) und dem Austausch von Daten mit der Karte und der Kommunikation mit einem Benutzer.
Auf Chipkarten (tragbaren Datenträgern) werden zunehmend mehr Börsenanwendungen eingesetzt. Eine derartige Börsenanwendung besteht unter anderem aus einem Datenfeld (Börse), das einen Verfügungsrahmen (Kredit) oder geldwerten Betrag beinhaltet. Mit geeigneten Kommandos und unter Berücksichtigung der Sicherheitsstruktur der Börsenanwendung kann aus diesem Betragsfeld ein Kredit (post-paid) oder Geldbetrag (pre-paid) abgebucht werden. Die Sicherheitsstruktur wird im allgemeinen durch eine Authentifikation des Endgerätes gegenüber der Börsenanwendung über Challenge-Response Verfahren mit kryptologischen Algorithmen und zugehörigen Schlüsseln (Keys) repräsentiert. Zusätzlich ist die Eingabe der Geheimnummern (PIN = Personal Identification Number) des Karteninhabers notwendig. (Die PIN wird bei ISO/ETSI-An­ wendungen Card Molder Verification CMV genannt.) Dies dient zum Schutz der Börsenanwendung bei Verlust der Karte, ein Finder/Dieb kann ohne Kenntnis der PIN keine Beträge abbuchen. Ein Beispiel für derartige Anwendungen (PIN-gesicherte Anwendungen) ist die Kredit-Börse des Deutschen Kreditgewerbes, die im EC-Cash-Bereich eingesetzt werden soll.
Nun gibt es andererseits Endgeräte (Grundgeräte) beziehungsweise Anwendungen, die Beträge aus einer Börse abbuchen wollen, jedoch aus organisatorischen oder technischen Gründen keine PIN-Prüfung durchführen können. Als Beispiel soll hier die Telefonbörse der Deutschen Bundespost Telekom genannt werden. Ebenso kann dies für Anwendungen zutreffen, die nur kleinere Beträge abbuchen wollen, wie zum Beispiel Getränke-, Parkhaus-, Zigaretten- oder Fahrscheinautomaten. Eine PIN-Eingabe des Karteninhabers ist hier entweder zu umständlich beziehungsweise unzumutbar -zum Beispiel Zigarettenautomat) oder technisch zu teuer (Sonderausstattung der Endgeräte mit Eingabetastatur und gegebenenfalls Datenverschlüsselung). Auch gibt es Sicherheitsbedenken, eine PIN an relativ ungesicherten Endgeräten einzugeben, (zum Beispiel verschlüsselte EC- Cash-PIN darf nicht an Endgeräten ohne PIN-Kryptomodul eingegeben werden).
Aus diesem Grund ist es sinnvoll, ein Verfahren bereit zustellen, das die Abbuchung von Beträgen aus Börsenanwendungen in beschränktem Maße auch ohne PIN-Prüfung erlaubt. Hauptaugenmerk muß hier auf die Minimierung des Mißbrauchs bei Kartenverlust gesetzt werden.
Die Abbuchung von der Börse als der PIN-gesicherten Anwendung erfolgt durch eine Routine. Der Zugriff auf die Börse wird durch einen Satz von Zugriffsbedingungen (AC = access condition) gesteuert. Da eine Routine nicht zwei Sätzen von Zugriffsbedingungen genügen kann - der Zugriff wäre sonst nicht eindeutig geregelt - kann die nicht PIN-gesicherte Anwendung nicht die gleiche Routine (einschließlich AC) benutzen wie die PIN-gesicherte Anwendung.
In DE-Z: Elektronik, H. Lemme, Der Mikrorechner in der Brieftasche, 20/1993, s. 58, wurde die Einführung eines separaten Betragsfeldes auf der Karte beschrieben, wobei aus einer PIN-gesicherten Anwendung auf das separate Betragsfeld gebucht wird. Von dem zweiten Betragsfeld sollen dann Zahlungen (Buchungen) ohne PIN-Sicherung möglich sein.
Die Einführung eines zweiten Betragsfeldes für eine nicht PIN-gesicherte Anwendung erscheint aufwendig, da hierfür eine neue Anwendung (PIN-gesichertes Umbuchen, Abgleich beider Felder, Konsistenzprüfung des Sequenzzählers) Implementiert werden müßte. Außerdem würde ein Funktionsausfall bei einer Börse die Karte insgesamt blockieren. Die Einführung eines zweiten Betragsfeldes würde zu einer weitreichenden Änderung der Schnittstelle Karte - Terminal führen und erscheint daher nicht sinnvoll.
Aufgabe der Erfindung war es, in begrenztem Umfang eine Abbuchung von der PIN-gesicherten Börse durch eine nicht PIN-gesicherte Anwendung zu ermöglichen.
Zur Lösung dieser Aufgabe wird eine virtuelle zweite Börse eingerichtet. Dabei erfolgt die Abbuchung von der PIN gesicherten Börse. Diese Abbuchungen für nicht PIN-gesicherte Anwendungen werden in einem Kontrollfeld registriert und der Inhalt des Kontrollfeldes wird mit einem auf der Karte gespeicherten Maximalwert verglichen. Wenn der Inhalt des Kontrollfeldes ein Ausschöpfen der durch den Maximalwert festgelegten, nicht PIN-gesicherten Anwendungen anzeigt, erfolgt keine Abbuchung aus der PIN-gesicherten Börse mehr. Als Maximalwert kann eine Anzahl von nicht PIN-gesicherten Anwendungen vorgegeben werden. Im Kontrollfeld werden dann die Anwendungen (auf- oder absteigend) gezählt. Bevorzugt wird als Maximalwert ein Höchstgeldbetrag gespeichert. Im Kontrollfeld werden dann die mit den nicht PIN-gesicherten Anwendungen abgebuchten Beträge summiert (auf- oder absteigend). Hierdurch erfolgt die Abbuchung scheinbar von einer nicht PIN-gesicherten, virtuellen Börse.
Durch die Verwaltung in der virtuellen zweiten Börse in Kontrollfeld und Maximalwert wird der bei Verlust der Karte entstehende Geldverlust begrenzt. Die grundsätzliche Sicherung durch die PIN bleibt erhalten.
Das Prinzip soll am Beispiel einer Börse nach ETSI/ISO- Betriebssystem aufgezeigt werden. Es wird davon ausgegangen, daß ein Betragsfeld existiert (EF_Kredit), aus dem ein Buchungsbetrag mittels einer Routine REDUCE abgebucht wird. Zur Durchführung der Routine muß eine PIN geprüft sein und ein Authentifikationsschlüssel (Kennung = Key) bekannt sein. Es kann mehrere korrekte Authentifikationsschlüssel geben, dann muß mindestens einer bekannt sein. Beim Aufruf der Routine wird, zum Beispiel der Index der vom Grundgerät abgegebenen Kennung, als Parameter übergeben. Es existiert ein Datenfeld mit Anwendungsinformationen (EF_Info), und eine neues Datenfeld (Kontrollfeld) für die Kommandoüberwachung der neuen Routine wird angelegt (EF_Usage).
Zusätzlich wird eine weitere Routine (REDUCE2) hinzugefügt, die denselben Ablauf wie REDUCE ohne PIN-Prüfung gewährleistet. Dies kann im Rahmen eines gesonderten endgeräte- beziehungsweise anwendungsspezifischen Kommandos oder durch eine Programmverzweigung des ursprünglichen Kommandos geschehen. In diesem Fall muß dem Kommando wenigstens ein Parameter mitgegeben werden, um den Aufrufer beziehungsweise die Anwendung zu identifizieren. Dies kann über einen Index für eine Kennung (Key-Nummer) erfolgen.
Für die Grundgeräte erfolgt zum Beispiel eine Reservierung von Key-Bereichen für die neue Abbuch- Routine. Die ursprüngliche Routine REDUCE arbeitet zum Beispiel nur mit den Keys A-X, die neue Routine mit den Keys Y-Z. Die Keys A-X werden an Endgeräte gegeben, die mit PIN abbuchen, die Keys Y-Z an Endgeräte ohne PIN-Prüfung. Durch diese Einschränkung des Bereiches kann ein Kommandoaufrufer eindeutig identifiziert werden, da das Kommando eine korrekte Authentifikation mit dem gewählten Key voraussetzt.
Alternativ können Zusatzinformationen zu den Kennungen in einem Datenfeld der Karte abgelegt werden, die die Auswahl der relevanten Abbuch-Routine steuern.
In dem Kontrollfeld (EF_Usage) wird zum Beispiel die maximale Höhe des Betrages, der mit der REDUCE2-Routine (ohne PIN) abgebucht werden kann, von der Karte überwacht. Dieses Datenfeld beinhaltet dann die Summe aller Abbuchungen von REDUCE2. Alternativ kann auch ein Maximalwert durch das REDUCE2-Kommando heruntergezählt werden. Dieser Kontrollbetrag im EF_Usage steht in direktem Zusammenhang mit dem Betrag im EF_Kredit. Wird aus dem EF_Kredit ein Betrag mit REDUCE2 abgebucht, so wird derselbe Betrag im EF_Usage verbucht. Hat das EF_Usage einen ungültigen Wert, (zum Beispiel größer als der erlaubte Maximalbetrag oder Null), kann REDUCE2 nicht mehr ausgeführt werden. Dies erfolgt zusätzlich zu der durch REDUCE durchgeführten Prüfung der Kreditlinie in EF_Kredit.
In einem Informationsfeld der Karte (EF_Info) kommt ein neuer Wert hinzu. Hier wird vom Börsenbetreiber zum Beispiel der maximale Betrag festgelegt, der ohne PIN aus dem EF_Kredit mit der Routine REDUCE2 abgebucht werden darf. Beim Verlust der Karte entspricht dieser Betrag dem maximalen Schaden, der dem Kunden entstehen kann.
Das REDUCE-Kommando kann um folgende Funktion erweitert werden:
Jedesmal wenn das Kommando korrekt abgeschlossen wurde (nach korrekter PIN-Prüfung), so restauriert das Kommando den Inhalt von EF_Usage. Dies kann durch ein Setzen des EF_Usage auf Null oder auf den Maximalbetrag geschehen. Damit wird nach einer korrekten PIN-Prüfung, (der tatsächliche Karteninhaber wurde identifiziert), sowie den weiteren üblichen anwendungsspezifischen Autorisierungsverfahren der Maximalbetrag für weitere Abbuchungen ohne PIN freigegeben. Ein Finder/Dieb der Karte kann immer höchstens diesen Maximalbetrag verbrauchen, da er ohne Kenntnis der PIN das EF_Usage nicht erneuern kann.

Claims (5)

1. Datenaustauschsystem mit einem Grundgerät zur Aufnahme eines tragbaren Datenträgers, mit Einrichtungen im Grundgerät zur Aufnahme und Abgabe von Daten aus dem und an den Datenträger sowie zur Verarbeitung von Daten, mit Einrichtungen auf dem Datenträger zur Aufnahme und Abgabe von Daten aus dem und an das Grundgerät sowie zur Verarbeitung von Daten, wobei auf dem Datenträger wenigstens eine Anwendung durch eine PIN gesichert ist und dieser PIN-gesicherten Anwendung eine Börse zugeordnet ist und auf dem Datenträger ein Kontrollfeld zur Registrierung von nicht PIN-gesicherten Anwendungen angelegt ist, ein Maximalwert für nicht PIN-gesicherte Anwendungen auf dem tragbaren Datenträger gespeichert ist und bei durch Vergleich zwischen dem Maximalwert und dem Kontrollfeld festgestelltem Überschreiten des Maximalwertes der Zugriff nur noch auf die PIN-gesicherte Anwendung begrenzt ist.
2. Datenaustauschsystem nach Anspruch 1, dadurch gekennzeichnet, daß vom Grundgerät eine Kennung zu den Datenträgern gesendet wird, wobei für PIN-Anwendungen die Kennung aus einem ersten und für nicht PIN-gesicherte Anwendungen aus einem zweiten Satz von Kennungen ausgewählt ist.
3. Datenaustauschsystem nach Anspruch 1, dadurch gekennzeichnet, daß vom Grundgerät eine Kennung zu dem Datenträger gesendet wird und aus einem zusätzlichen Datenfeld der Karte die zugehörige Abbuchroutine bestimmt und ausgewählt wird.
4. Datenaustauschsystem nach Anspruch 2 oder 3, dadurch gekennzeichnet, daß im Kontrollfeld der Maximalbetrag von nicht PIN-gesicherten Anwendungen überwacht wird.
5. Datenaustauschsystem nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß nach jeder PIN-gesicherten Anwendung im Kontrollfeld der Maximalwert restauriert wird.
DE4441413A 1994-03-29 1994-11-22 Datenaustauschsystem Revoked DE4441413C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE4441413A DE4441413C2 (de) 1994-03-29 1994-11-22 Datenaustauschsystem

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE4410905 1994-03-29
DE4417793 1994-05-20
DE4441413A DE4441413C2 (de) 1994-03-29 1994-11-22 Datenaustauschsystem

Publications (2)

Publication Number Publication Date
DE4441413A1 DE4441413A1 (de) 1995-11-30
DE4441413C2 true DE4441413C2 (de) 1997-03-06

Family

ID=25935188

Family Applications (1)

Application Number Title Priority Date Filing Date
DE4441413A Revoked DE4441413C2 (de) 1994-03-29 1994-11-22 Datenaustauschsystem

Country Status (1)

Country Link
DE (1) DE4441413C2 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0784301B1 (de) 1996-01-08 2002-10-16 Jürgen Dethloff Verfahren und System zum Bezahlen von Leistungen sowie tragbarer Datenträger für ein derartiges System
DE19611632A1 (de) * 1996-03-25 1997-10-02 Deutsche Telekom Ag Off-Line-Datenstationen mit virtueller On-Line-Fähigkeit
DE19615303A1 (de) * 1996-04-18 1997-10-23 Deutsche Telekom Ag Verfahren und Vorrichtung zur Zahlung aus Chipkarten mit Börsenfunktion
DE19750849C2 (de) * 1997-11-17 1999-11-11 Deutsche Telekom Ag Verfahren zur Sicherung einer elektronischen Geldbörse gegen übermäßige Benutzung
JP3038654B2 (ja) * 1998-06-24 2000-05-08 富士通株式会社 電子キャッシングカードの決済システム

Also Published As

Publication number Publication date
DE4441413A1 (de) 1995-11-30

Similar Documents

Publication Publication Date Title
DE2760485C2 (de)
EP0306892B1 (de) Schaltungsanordnung mit einer zumindest einen Teil der Anordnung enthaltenden Karte für Geschäfts-, Identifizierungs-und/oder Betätigungszwecke
DE2645564C2 (de) Automatischer Geldausgeber
DE2738113A1 (de) Vorrichtung zur durchfuehrung von bearbeitungsvorgaengen mit einem in eine aufnahmeeinrichtung der vorrichtung eingebbaren identifikanden
DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
DE3412663A1 (de) Chipkartensystem
EP0172314A1 (de) Arbeits-Verfahren und Einrichtung zum elektronisch autorisierten Feststellen einer Sache
EP0895203A2 (de) Vorrichtung in Form eines Kartenbediengerätes
DE4243851A1 (de) Verfahren zum Transferieren von Buchgeldbeträgen auf und von Chipkarten
DE102011116489A1 (de) Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts
DE4230866B4 (de) Datenaustauschsystem
DE19718547C2 (de) System zum gesicherten Lesen und Ändern von Daten auf intelligenten Datenträgern
DE4441413C2 (de) Datenaustauschsystem
DE19604876C1 (de) Verfahren zur Transaktionskontrolle elektronischer Geldbörsensysteme
DE19732762A1 (de) Vorrichtung in Form eines Kartenbediengerätes
EP1222563A2 (de) System zur ausführung einer transaktion
DE19609232A1 (de) Verfahren und Vorrichtung zum universellen und gesicherten Zugang zu angebotenen Multimediadiensten über das Telefonnetz
EP1141904A1 (de) Verfahren für die sichere handhabung von geld- oder werteeinheiten mit vorausbezahlten datenträgern
EP1060607A1 (de) Verfahren und vorrichtung zum universellen und gesicherten zugang zu telefonnetzen
DE19816541C2 (de) Datenaustauschsystem
EP1635302A1 (de) Speicherkarte und Verfahren zum Abfragen von Informationen von einer Speicherkarte
DE19705620C2 (de) Anordnung und Verfahren zur dezentralen Chipkartenidentifikation
EP1152377B1 (de) Verfahren und Endgerät zur Durchführung von Transaktionen unter Einschaltung eines tragbaren Datenträgers
WO2000002170A1 (de) Verfahren zum schutz von daten auf einem datenträger sowie dazu ausgestaltete chipkarte, lesegerät und chipsatz
DE19524822C1 (de) Einrichtung zur Überprüfung der Berechtigung und zur Benutzung von geschützten Diensten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8363 Opposition against the patent
8331 Complete revocation