DE60025509T2 - Verfahren , vorrichtung und terminal zum beglaubigen des ergebnisses eines datenträgerbefehls - Google Patents

Verfahren , vorrichtung und terminal zum beglaubigen des ergebnisses eines datenträgerbefehls Download PDF

Info

Publication number
DE60025509T2
DE60025509T2 DE60025509T DE60025509T DE60025509T2 DE 60025509 T2 DE60025509 T2 DE 60025509T2 DE 60025509 T DE60025509 T DE 60025509T DE 60025509 T DE60025509 T DE 60025509T DE 60025509 T2 DE60025509 T2 DE 60025509T2
Authority
DE
Germany
Prior art keywords
command
token
sensitive
terminal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60025509T
Other languages
English (en)
Other versions
DE60025509D1 (de
Inventor
Lukasz Wlodarczyk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Axalto SA
Original Assignee
Axalto SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axalto SA filed Critical Axalto SA
Application granted granted Critical
Publication of DE60025509D1 publication Critical patent/DE60025509D1/de
Publication of DE60025509T2 publication Critical patent/DE60025509T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0833Card having specific functional components
    • G07F7/084Additional components relating to data transfer and storing, e.g. error detection, self-diagnosis

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)
  • User Interface Of Digital Computer (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Paper (AREA)
  • Lock And Its Accessories (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Description

  • Die vorliegende Erfindung betrifft ein Verfahren, ein System sowie das Terminal zum Authentifizieren eines Befehlausführungsergebnisses in einem Jeton, der an ein Terminal angeschlossen ist, wobei dieses Terminal eine Vorrichtung zur Kommunikation einer Information an einen Anwender umfasst und besagten Befehl an diesen Jeton überträgt, wobei der Jeton nach besagter Ausführung an das Terminal ein Ergebnis überträgt.
  • Die Erfindung bietet in Bereichen wie dem Bankbereich, Telefon- und Gesundheitsbereich, die ein Authentifizieren eines Befehlausführungsergebnisses erfordern, eine besonders vorteilhafte Anwendung. Dies ist zum Beispiel bei Transaktionsvorgängen im Internet der Fall, zu denen es zwischen einem Käufer einer Dienstleistung und einem Anbieter einer solchen Dienstleistung kommt. Beim Anbieter handelt es sich zum Beispiel um einen Autohändler. Der als Anwender bezeichnete Anbieter besitzt einen Jeton, der an ein Terminal angeschlossen ist, das wiederum mit einem Kommunikationsnetz verbunden ist. Der Käufer besitzt eine Bescheinigung in der Art, wie sie in der von ISO herausgegebenen Norm X509 definiert ist. Diese Bescheinigung ist einzigartig und für einen Käufer spezifisch. Sie ist bekannt und enthält Daten wie einen bekannten Schlüssel, Name und elektronische Anschrift des Käufers, Gültigkeitsdaten der Bescheinigung usw. Wenn der Käufer einen Wagen kaufen will, erteilt er über das Kommunikationsnetz einen Transaktionsauftrag. Um den Transaktionsauftrag zwischen Käufer und Anbieter zu prüfen, umfasst ein bekanntes Verfahren nach dem Stand der Technik folgende Schritte:
    • – man sendet die Bescheinigung des Käufers an den Anbieter,
    • – man berechnet für die sensiblen Daten des Transaktionsauftrags eine Signatur, wofür ein als privat bezeichneter Schlüssel verwendet wird, der dem Käufer zugeordnet ist,
    • – man überträgt den Transaktionsauftrag und die besagte Signatur über das Kommunikationsnetz an das Terminal des Anbieters,
    • – man führt im Jeton, der an das Terminal des Anbieters angeschlossen ist, einen Signaturprüfbefehl des Transaktionsauftrags durch, wofür der bekannte Schlüssel des Käufers verwendet wird, der sich in seiner Bescheinigung befindet,
    • – man zeigt am Bildschirm des Terminals eine Mitteilung an, die das Ergebnis der Prüfung reflektiert und
    • – man genehmigt die Transaktion, wenn das angezeigte Ergebnis positiv ist.
  • Obwohl der Anbieter dank dieses Verfahrens die Signatur eines Transaktionsauftrags prüfen kann, liefert dieses Verfahren dem Anbieter nicht die volle Garantie dafür, dass die Daten des Transaktionsauftrags auf seinem Terminal nicht vorher durch einen Betrüger, der das Netz ausspioniert, geändert wurden. Wenn der Transaktionsauftrag zum Beispiel eine Lieferadresse für das Auto enthält, kann ein Betrüger diese Adresse ändern und sich den Wagen auf Kosten des Käufers liefern lassen. Natürlich wird die Prüfung der Signatur falsch sein, aber der Betrüger kann ebenfalls über das Netz das Terminal des Anbieters mit einem Virus schädigen, der das Ergebnis der Signaturprüfung aus dem Jeton abfängt und dazu führt, dass am Bildschirm dieses Terminals anstelle eines falschen Ergebnisses ein positives Ergebnis angezeigt wird.
  • Die europäische Patentanmeldung EP 0 881 590 betrifft ein Kommunikationsprotokoll für asynchrone Speicherkarten. Wenn ein Lesegerät für asynchrone Karten eine Antwort verlangt, ist das Lesegerät der Karte untergeordnet, die der Meister der Situation ist, in der sie ihre Antwort gibt. Die Erfindung besteht darin, das Kartenlesegerät zum Meister der Situation zu machen, in der die Mitteilung der Antwort gesendet wird, um mehrere Karten parallel zueinander testen und personalisieren zu können und somit die Dauer für Test und Personalisierung dieses Kartentyps optimieren zu können.
  • Daher ist ein technisches Problem, das es durch den Gegenstand der vorliegenden Erfindung zu lösen gilt, ein Authentifizierungsverfahren eines Ergebnisses einer Befehlsausführung in einem an ein Terminal angeschlossenen Jeton vorzuschlagen, wobei dieses Terminal eine Vorrichtung zur Kommunikation einer Information an einen Anwender umfasst und besagten Befehl an diesen Jeton überträgt, wobei der Jeton nach der besagten Ausführung ein Ergebnis an das Terminal überträgt, wodurch vermieden werden kann, dass ein Betrüger das Ergebnis der Ausführung eines Befehls abfängt und verändert, ohne dass der Anwender des Jetons dies bemerkt, wobei dieses Verfahren zudem einfach anzuwenden ist.
  • Eine Lösung zum gestellten technischen Problem wird in den Ansprüchen 1, 8 und 9 definiert.
  • Wie im Anschluss näher dargestellt, ermöglichen Verfahren, System und Terminal der Erfindung durch die Übertragung einer Antwort, die das Ergebnis der Befehlsausführung wiedergibt und mindestens eine digitalisierbare Information umfasst, die von einem Anwender des Jetons im Falle eines sensiblen Ergebnisses eingegeben wird, dass der Anwender sicher sein kann, dass die von der Kommunikationseinrichtung des Terminals übertragene Antwort tatsächlich dem vom besagten Jeton erstellten Ergebnis entspricht.
  • Die folgende Beschreibung anhand der beiliegenden Zeichnungen versteht sich als nicht einschränkendes Beispiel und gibt deutlich zu verstehen, worin die Erfindung besteht und wie sie umgesetzt werden kann.
  • Die 1 ist ein Schema eines Terminals und eines Jetons.
  • Die 2 ist ein Schema eines ersten Datenaustausches zwischen dem Terminal und dem Jeton der Abbildung 1.
  • Die 3 ist ein Schema eines zweiten Austausches zwischen dem Terminal und dem Jeton der 1.
  • Die 4 ist ein Schema eines dritten Austausches zwischen dem Terminal und dem Jeton der 1.
  • Die vorliegende Darstellung der Erfindung bezieht sich auf das Beispiel einer Transaktion über das Internet. Trotzdem versteht es sich, dass die Erfindung ganz allgemein bei jeder anderen Applikation anzuwenden ist, die eine Prüfung einer Befehlsausführung erfordert, wenn ein Terminal nicht gesichert ist.
  • In 1 sind ein TOKEN-Jeton und ein Terminal T dargestellt. Das Terminal ist an ein Kommunikationsnetz NET angeschlossen und umfasst eine Kommunikationseinrichtung S für Informationen an einen Anwender sowie ein Applikationsprogramm P oder eine Software, durch die eine oder mehrere Dienstleistungen angeboten werden können. Der Jeton ist an eine Schnittstelle I angeschlossen, die eine Eingabevorrichtung K für Informationen umfasst. Zum Erbringen einer Dienstleistung wird vom Applikationsprogramm P ein Befehl CD in den Jeton gesendet, um ausgeführt zu werden, wie zum Beispiel eine Signaturprüfung bezüglich einer Transaktion. Ein Befehl CD umfasst Eingabeparameter PAR. Zum Beispiel umfasst ein Befehl zur Signaturprüfung Parameter wie:
    • – die zu prüfende Signatur
    • – die signierten Daten der Transaktion.
  • Zum Authentifizieren eines Ausführungsergebnisses des Befehls CD im besagten TOKEN-Jeton prüft man in einem Schritt vor dem Senden des Befehls CD durch den Terminal T im TOKEN-Jeton mithilfe des Applikationsprogramms P, ob der Befehl ein sensibles Merkmal enthält. Ein Befehl enthält ein sensibles Merkmal, wenn das Ergebnis dieses Befehls für die einwandfreie Funktion und die Sicherheit des Jetons sowie für die angebotene Dienstleistung – hier die Transaktion – von Bedeutung ist. Selbstverständlich bestimmt man im Voraus für jede Dienstleistung im Applikationsprogramm P Indizien für eine einwandfreie Funktion und man ordnet jeden Befehl ein, indem man ihm ein sensibles Merkmal zuteilt oder nicht. Zum Beispiel geht man davon aus, dass eine Signaturprüfung ein sensibles Merkmal enthält, während eine Aktualisierung alter Daten eines Transaktionsauftrags kein sensibles Merkmal enthält.
  • Anschließend sendet man den Befehl CD ausgehend vom Terminal T in den TOKEN-Jeton.
  • Wenn der Befehl CD kein sensibles Merkmal enthält, führt man den Befehl im Jeton aus und gegebenenfalls teilt man dem Anwender des Jetons das Ergebnis des Befehls mithilfe der Kommunikationseinrichtung S des Terminals T mit.
  • Anderenfalls überträgt man bei jedem Befehl mit einem sensiblen Merkmal, wie z. B. bei einem Befehl zur Signaturprüfung, vom Terminal T auf den besagten TOKEN-Jeton eine Sicherungsinformation SINF sowie eine Formatierungsinformation FINF der besagten mindestens einen digitalisierbaren Information NB, die im besagten Jeton zu berücksichtigen sind. Zum Beispiel muss das Format vom Typ binär oder ASCII sein. Mithilfe der Sicherungsinformation SINF teilt man dem besagten Jeton mit, dass ein sensibler Befehl geschickt wird. Gemäß einer nicht einschränkenden besonderen Ausführungsart handelt es sich bei den besagten Sicherungsinformationen SINF und Formatierungsinformationen FINF um Eingabeparameter des geschickten Befehls CD.
  • Zum Beispiel umfasst ein Befehl zur Signaturprüfung Parameter wie:
    • – die zu prüfende Signatur,
    • – die signierten Daten der Transaktion,
    • – die Sicherungsinformation,
    • – die Formatierungsinformation.
  • In einem zweiten Schritt gibt man für jedes potenziell sensible Ergebnis des Befehls mindestens eine digitalisierbare Information NB mittels der Schnittstelle I ein, die die Eingabevorrichtung K umfasst. Gemäß einer ersten nicht einschränkenden Ausführungsart handelt es sich bei der Eingabevorrichtung K um eine Tastatur. Gemäß einer zweiten Ausführungsart handelt es sich bei der Vorrichtung um einen Touch Screen. Es kann aber auch ein Mikrophon sein.
  • Gemäß einer besonderen nicht einschränkenden Ausführungsweise handelt es sich bei der bzw. den digitalisierbaren Informationen NB um Eingabeparameter des zum Ausführen übertragenen Befehls CD. Wie es die 2 zeigt, umfasst der Befehl zur Signaturprüfung Parameter wie:
    • – die zu prüfende Signatur
    • – die signierten Daten der Transaktion
    • – die Sicherungsinformation SINF
    • – die Formatierungsinformation FINF
    • – eine digitalisierbare Information NB1, die einem ersten potenziell sensiblen Ergebnis entspricht,
    • – eine zweite digitalisierbare Information NB2, die einem zweiten potenziell sensiblen Ergebnis entspricht usw.
  • Unter einem potenziell sensiblen Ergebnis versteht man ein Ergebnis, das die Sicherheit der durch das Applikationsprogramm P angebotenen Dienstleistungen P gefährden könnte, wenn es dem Betrüger gelingt, dieses Ergebnis zu ändern.
  • Es lässt sich feststellen, dass ein Ergebnis eines Befehls in einem bestimmten Zusammenhang sensibel sein kann und in einem anderen nicht. Das sensible Merkmal des Ergebnisses wird auch beim Konzipieren des Applikationsprogramms P eingeschätzt.
  • Die Ausführung eines Befehls CD kann potenziell ein positives oder ein negatives Ergebnis liefern. Außerdem kann es unterschiedliche Arten eines positiven oder negativen Ergebnisses geben. Zum Beispiel kann es für einen Aktualisierungsbefehl von geheimen Daten in einem Jeton ein erstes negatives Ergebnis geben, das einen Schreibfehler anzeigt, ein zweites negatives Ergebnis, das anzeigt, dass der Jeton nicht verfügbar ist und dass ein späterer Versuch durchgeführt werden kann oder ein positives Ergebnis, das eine einwandfreie Ausführung des Befehls anzeigt. In der Regel wird die Art eines Ergebnisses mithilfe eines einzigartigen zugeordneten Zustandwerts SW bereitgestellt, der vom besagten Jeton rückgemeldet wird. Man kann zum Beispiel davon ausgehen, dass nur die negativen Ergebnisse sensibel sind. Anschließend werden eine oder mehrere digitalisierbare Informationen NB nur für diese zwei möglichen negativen Ergebnisse eingegeben.
  • Im Beispiel der 3 geht man für einen Befehl zur Signaturprüfung davon aus, dass man zwischen einem einzigen positiven Ergebnis und einem einzigen negativen Ergebnis die Wahl hat und dass beide ein sensibles Merkmal haben. Das heißt, dass die Signatur entweder richtig oder falsch ist. Mit einer Eingabevorrichtung K – hier eine Tastatur – gibt man digitalisierbare Informationen ein, in diesem Beispiel die Zahlen eins, zwei und fünf für eine richtige Signatur und die Zahlen drei, sechs und sieben für eine falsche Signatur.
  • Anschließend vermeidet man, dieselben digitalisierbaren Informationen oder logische Folgen digitalisierbarer Informationen zu verwenden, damit ein Betrüger diese Informationen nicht analysieren kann und keinen Wert der folgenden Information findet. Vorteilhafterweise ist diese mindestens eine digitalisierbare Information NB zufällig. Somit kann der Betrüger die besagte mindestens eine digitalisierbare Information NB weder simulieren, vorhersehen noch erraten.
  • Gemäß einer ersten nicht einschränkenden Ausführungsweise ist der besagte TOKEN-Jeton eine Karte mit integriertem Schaltkreis und die Schnittstelle I ist ein Lesegerät.
  • Gemäß einer zweiten Ausführungsweise ist der besagte Jeton ein elektronischer Sicherheitsschlüssel, wie zum Beispiel die auf Englisch häufig als „dongle" bezeichneten Schlüssel mit einer seriellen Schnittstelle oder auch elektronische Schlüssel, die eine Schnittstelle vom Typ USB umfassen.
  • Gemäß einer anderen Ausführungsweise ist der besagte Jeton eine Karte vom Typ PCMCIA.
  • Vorteilhafterweise informiert man den Anwender des besagten Jetons, dass die Schnittstelle I auf die Eingabe der besagten mindestens einen digitalisierbaren Information NB wartet. Diese Information wird zum Beispiel über eine Mitteilung gegeben, die durch die Kommunikationseinrichtung S des Terminals T an den Anwender übertragen wird, wobei der Anwender aufgefordert wird, die digitalisierbare(n) Information(en) entsprechend den sensiblen Ergebnissen einzugeben bzw. eine vokale Mitteilung zu machen, begleitet vom Blinken eines Lichtalarms auf der Schnittstelle I.
  • In einem dritten Schritt überträgt man die besagte mindestens eine eingegebene Information NB an besagten TOKEN-Jeton und man formatiert sie gemäß der vorab übertragenen Formatierungsinformation FINF. Das Formatieren erfolgt direkt im Jeton oder in der Schnittstelle I. Selbstverständlich erfolgt im letzteren Fall das Formatieren vor der Übertragung der besagten Information NB an besagten TOKEN-Jeton.
  • In einem vierten Schritt wird der besagte Befehl CD im besagten Jeton ausgeführt. Diese Ausführung führt zu einem Ergebnis RES. Der TOKEN-Jeton umfasst Assoziierungsmittel eines Ergebnisses RES mit der entsprechenden besagten mindestens einen digitalisierbaren Information NB (nicht dargestellt). Auf diese Weise löst der besagte Jeton, nachdem festgestellt wurde, dass die Sicherungsinformation SINF vorhanden ist, die besagten Assoziierungsmittel aus. Gemäß einer anderen nicht eingeschränkten Ausführungsweise kann man prüfen, ob die besagte Sicherungsinformation SINF aktiviert ist oder nicht, wobei die besagte Information in diesem Fall immer als Parameter eines Befehls CD vorhanden ist.
  • In einem fünften Schritt überträgt man, wie in 4 zu sehen ist, vom besagten TOKEN-Jeton an das Terminal T eine Antwort A, die das Ergebnis RES der Ausführung des Befehls wiedergibt, wobei die besagte Antwort A für ein sensibles Ergebnis die besagte mindestens eine digitalisierbare Information NB enthält, die diesem Ergebnis zugeordnet ist.
  • Gemäß einer ersten Ausführungsvariante umfasst die Antwort A die besagte mindestens eine digitalisierbare Information NB und den dem Ergebnis assoziierten einzigartigen Zustandswert SW. Vorzugsweise umfasst gemäß einer zweiten Ausführungsvariante die vom besagten Jeton an das Terminal übertragene Antwort A ausschließlich die besagte mindestens eine digitalisierbare Information NB.
  • Es lässt sich feststellen, dass aufgrund der Verbindung zwischen Jeton und Schnittstelle I jeder beschriebene Informationsaustausch auf gesicherte Weise über die besagte Schnittstelle I läuft, da ein Betrüger nur schwer die Kommunikationen zwischen dem Jeton und der besagten Schnittstelle I ausspionieren kann.
  • Wenn das Ergebnis sensibel ist, prüft man schließlich in einem letzten Schritt mithilfe der Kommunikationseinrichtung S des besagten Terminals T, dass die besagte Antwort tatsächlich die besagte mindestens eine digitalisierbare eingegebene Information NB enthält.
  • Gemäß einer nicht einschränkenden Ausführungsweise handelt es sich bei der Kommunikationseinrichtung S um eine vokale Einrichtung. Gemäß dem in vorausgehender 3 aufgeführten Beispiel handelt es sich bei der Kommunikationseinrichtung S um einen Bildschirm. Bei einem positiven Ergebnis überträgt man bei einer Signaturprüfung an das Terminal T die Zahlen eins, zwei und fünf, die anschließend auf dem Bildschirm angezeigt werden. Bei einem negativen Ergebnis werden die Zahlen drei, sechs und sieben angezeigt. Der Anbieter prüft somit auf dem Bildschirm seines Terminals, ob alles gut abgelaufen ist. Ein Betrüger, der versucht, das Ergebnis eines Befehls zu ändern, kennt die vom Anwender des Jetons eingegebenen Zahlen nicht. Wenn das Ergebnis der Prüfung negativ ist und der Betrüger es in ein positives Ergebnis umwandelt, enthält im Beispiel der Signaturprüfung die auf dem Bildschirm angezeigte Antwort A nicht die dem negativen Ergebnis entsprechenden eingegebenen Zahlen. Somit schließt der Anbieter trotz einer Mitteilung über die einwandfreie Ausführung des Befehls, dass es trotzdem zu einem Fehler gekommen ist und lehnt den Transaktionsauftrag ab. Bei einem negativen Ergebnis gilt das gleiche.
  • Trotzdem kann das Terminal T einen Virus enthalten, der einen Befehl durch einen anderen ersetzt. Folglich prüft der Anwender des Jetons, ohne es zu wissen, das Ausführungsergebnis eines Befehls, der unerlaubt anstelle eines anderen Befehls gesendet und ausgeführt wurde. Daher gibt man vorteilhafter Weise vor der Ausführung eines sensiblen Befehls CD mithilfe der Schnittstelle I eine Hinweisinformation IINF ein, die angibt, welch sensibler Befehl auszuführen ist (nicht dargestellt). Diese wird an den besagten TOKEN-Jeton übertragen. Vorzugsweise erfolgt die Eingabe der Hinweisinformation IINF während der Eingabe der digitalisierbaren Informationen. Folglich wird im TOKEN-Jeton mithilfe der Hinweisinformation IINF geprüft, ob der vom Terminal T gesendete Befehl CD dem vom Anwender erwarteten Befehl entspricht. Wenn die Prüfung positiv ist, ist alles gut verlaufen und man führt die vorab beschriebenen Schritte ab dem dritten Schritt durch. Anderenfalls teilt man dem Anwender mit, dass es zu einem Fehler kam. Es lässt sich feststellen, dass die Eingabe der Hinweisinformation IINF für den Fall nützlich ist, in dem man mehrere sensible Befehle definiert. Wenn ein einziger Befehl CD als sensibel definiert wird, erfolgt die Prüfung an diesem einzigen Befehl automatisch im TOKEN-Jeton und der Anwender gibt keine Hinweisinformation ein.

Claims (9)

  1. Authentifizierungsverfahren eines Befehlausführungsergebnisses (CD) in einem System mit einem Terminal (T) und einem an diesem angeschlossenen Jeton (TOKEN), wobei das Terminal (T) eine Kommunikationseinrichtung (S) und das Verfahren einen Ausführungsschritt umfassen, bei dem der Jeton einen Befehl ausführt, dadurch gekennzeichnet, dass das Verfahren umfasst: – eine Vorbereitungsphase, bei der das System prüft, ob der Befehl (CD) vorab für die Sicherheit des Systems als sensibel eingestuft wurde, wobei der Befehl (CD) verschiedene Ergebnisse erzeugen kann und jedes davon für die Sicherheit des Systems vorab als sensibel oder nicht sensibel eingestuft wird, wenn der Befehl für die Sicherheit des Systems vorab als sensibel eingestuft wurde, umfasst das Verfahren – eine Schutzphase, bei der das System für alle vorab als sensibel eingestuften Ergebnisse des Befehls (CD) die Eingabe mindestens einer digitalisierbaren Information (NB) mit einer dem Jeton und dem Terminal (T) zugeordneten Schnittstelle (I) verlangt, wobei die Schnittstelle (I) eine Eingabevorrichtung (K) umfasst und die mindestens eine digitalisierbare Information an den Jeton übertragen wird, – eine Antwortphase, bei der eine Antwort (A), die das Ergebnis der Ausführung des Befehls (CD) wiedergibt, vom Jeton (TOKEN) an das Terminal (T) übertragen wird, wobei die Antwort für ein Ergebnis des vorab als sensibel eingestuften Befehls (CD) die mindestens eine digitalisierbare Information (NB), die dem Ergebnis assoziiert ist, umfasst, – eine Authentifizierungsphase, bei der, wenn das Ergebnis des Befehls (CD) vorab als sensibel eingestuft wurde, das System mithilfe der Kommunikationseinrichtung (S) des Terminals (T) prüft, ob die Antwort (A) die mindestens eine digitalisierbare Information (NB) enthält, die dem Ergebnis entspricht.
  2. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass es eine zusätzliche Phase umfasst, gemäß der man den Anwender des besagten Jetons informiert, dass die Schnittstelle (I) die Eingabe der besagten mindestens einen digitalisierbaren Information (NB) erwartet.
  3. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die besagte mindestens eine digitalisierbare Information (NB) zufällig ist.
  4. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass es einen zusätzlichen Schritt umfasst, gemäß dem man vom Terminal (T) an besagten Jeton (NB) eine Sicherungsinformation (SINF) sowie eine Formatierungsinformation (FINF) der besagten mindestens einen digitalisierbaren Information (NB) überträgt.
  5. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass es einen zusätzlichen Schritt umfasst, gemäß dem man vor der Ausführung eines vorab als sensibel eingestuften Befehls (CD) mithilfe der Schnittstelle (I) eine Hinweisinformation (IINF) eingibt, wobei die besagte Information den auszuführenden und vorab als sensibel eingestuften Befehl angibt.
  6. Verfahren gemäß Anspruch 5, dadurch gekennzeichnet, dass es einen zusätzlichen Schritt umfasst, gemäß dem man im Jeton (TOKEN) mithilfe der Hinweisinformation (IINF) überprüft, ob der vom Terminal (T) gesendete Befehl (CD) dem vom Anwender erwarteten Befehl entspricht.
  7. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass der besagte Jeton (TOKEN) eine Karte mit integriertem Schaltkreis und die Schnittstelle (I) ein Lesegerät ist.
  8. System mit einem Terminal (T) und einem an diesen angeschlossenen Jeton (TOKEN), wobei der Terminal (T) eine Kommunikationseinrichtung (S) umfasst und der Jeton zur Ausführung eines Befehls angeordnet ist, dadurch gekennzeichnet, dass das System umfasst: – ein Prüfmittel zum Prüfen, ob der Befehl (CD) vorab für die Sicherheit des Systems als sensibel eingestuft wurde, wobei der Befehl (CD) zu verschiedenen Ergebnissen führen kann und jedes davon vorab als sensibel oder nicht sensibel für die Sicherheit des Systems eingestuft wurde. – ein Schutzmittel, das angeordnet wird, um zu ermitteln, ob der Befehl vorab für die Sicherheit des Systems als sensibel eingestuft wurde und um in diesem Fall für alle Ergebnisse des vorab als sensibel eingestuften Befehls (CD) die Eingabe mindestens einer digitalisierbaren Information (NB) mithilfe einer Schnittstelle (I) zu verlangen, die dem Jeton und dem Terminal (T) zugeordnet ist, wobei die Schnittstelle (I) eine Eingabevorrichtung (K) umfasst und die mindestens eine digitalisierbare Information an den Jeton übertragen wird, – ein Antwortmittel, um vom Jeton an das Terminal (T) eine Antwort (A) zu übertragen, die das Ergebnis der Ausführung des Befehls (CD) wiedergibt, wobei die Antwort für ein Ergebnis des vorab als sensibel eingeordneten Befehls (CD) die mindestens eine digitalisierbare Information (NB) enthält, die dem Ergebnis zugeordnet ist, – ein Authentifizierungsmittel, um zu ermitteln, ob das Ergebnis des Befehls (CD) vorab als sensibel eingestuft worden ist und wenn dem so ist, um mithilfe der Kommunikationseinrichtung (S) des Terminals (T) zu prüfen, ob die Antwort (A) die mindestens eine digitalisierbare Information (NB) enthält, die dem Ergebnis entspricht.
  9. Terminal (T), das angeordnet wird, um in einem System gemäß Anspruch 8 in Einsatz zu kommen, wobei das Terminal umfasst: – ein Prüfmittel zum Prüfen, ob der Befehl (CD) vorab für die Sicherheit des Systems als sensibel eingestuft wurde, wobei der Befehl (CD) zu verschiedenen Ergebnissen führen kann und jedes davon vorab als sensibel oder nicht sensibel für die Sicherheit des Systems eingestuft wurde. – ein Schutzmittel, das angeordnet wird, um zu ermitteln, ob der Befehl vorab für die Sicherheit des Systems als sensibel eingestuft wurde und um in diesem Fall für alle Ergebnisse des vorab als sensibel eingestuften Befehls (CD) die Eingabe mindestens einer digitalisierbaren Information (NB) mithilfe einer Schnittstelle (I) zu verlangen, die dem Jeton und dem Terminal (T) zugeordnet ist, wobei die Schnittstelle (I) eine Eingabevorrichtung (K) umfasst und die mindestens eine digitalisierbare Information an den Jeton übertragen wird, – ein Authentifizierungsmittel, um zu ermitteln, ob das Ergebnis des Befehls (CD) vorab als sensibel eingestuft worden ist und wenn dem so ist, um mithilfe der Kommunikationseinrichtung (S) des Terminals (T) zu prüfen, ob die Antwort (A) die mindestens eine digitalisierbare Information (NB) enthält, die dem Ergebnis entspricht.
DE60025509T 1999-10-29 2000-10-17 Verfahren , vorrichtung und terminal zum beglaubigen des ergebnisses eines datenträgerbefehls Expired - Lifetime DE60025509T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9913632 1999-10-29
FR9913632A FR2800487B1 (fr) 1999-10-29 1999-10-29 Procede d'authentification du resultat d'une commande dans un jeton
PCT/FR2000/002894 WO2001031595A1 (fr) 1999-10-29 2000-10-17 Procede d'authentification du resultat d'une commande dans un jeton

Publications (2)

Publication Number Publication Date
DE60025509D1 DE60025509D1 (de) 2006-04-06
DE60025509T2 true DE60025509T2 (de) 2006-09-07

Family

ID=9551569

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60025509T Expired - Lifetime DE60025509T2 (de) 1999-10-29 2000-10-17 Verfahren , vorrichtung und terminal zum beglaubigen des ergebnisses eines datenträgerbefehls

Country Status (7)

Country Link
US (1) US6779718B1 (de)
EP (1) EP1226560B1 (de)
CN (1) CN1159685C (de)
AT (1) ATE315816T1 (de)
DE (1) DE60025509T2 (de)
FR (1) FR2800487B1 (de)
WO (1) WO2001031595A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003028283A1 (en) * 2001-09-21 2003-04-03 Telefonaktiebolaget Lm Ericsson (Publ) Arrangement and method for execution of code
US7243853B1 (en) * 2001-12-04 2007-07-17 Visa U.S.A. Inc. Method and system for facilitating memory and application management on a secured token
US20040139021A1 (en) 2002-10-07 2004-07-15 Visa International Service Association Method and system for facilitating data access and management on a secure token
US8803894B2 (en) * 2005-04-14 2014-08-12 Hewlett-Packard Development Company, L.P. Object identifier

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3731736A1 (de) * 1986-09-27 1988-04-07 Toshiba Kawasaki Kk Verarbeitungssystem fuer tragbare elektronische vorrichtung
JPH05250523A (ja) * 1992-03-06 1993-09-28 Toshiba Corp 処理方式
FR2764073B1 (fr) * 1997-05-30 1999-07-16 Sgs Thomson Microelectronics Protocole de communication pour carte a memoire asynchrone
US6085249A (en) * 1997-10-24 2000-07-04 Pictra, Inc. Method and apparatuses for transferring data for multiple applications through a single communication link in response to authentication information
FR2774196B1 (fr) * 1998-01-27 2000-03-17 Gemplus Card Int Carte a memoire asynchrone
US6092202A (en) * 1998-05-22 2000-07-18 N*Able Technologies, Inc. Method and system for secure transactions in a computer system
US6615194B1 (en) * 1998-06-05 2003-09-02 Lucent Technologies Inc. System for secure execution of credit based point of sale purchases
US20020178370A1 (en) * 1999-12-30 2002-11-28 Gurevich Michael N. Method and apparatus for secure authentication and sensitive data management

Also Published As

Publication number Publication date
EP1226560B1 (de) 2006-01-11
FR2800487B1 (fr) 2001-11-30
EP1226560A1 (de) 2002-07-31
FR2800487A1 (fr) 2001-05-04
US6779718B1 (en) 2004-08-24
WO2001031595A1 (fr) 2001-05-03
DE60025509D1 (de) 2006-04-06
ATE315816T1 (de) 2006-02-15
CN1408104A (zh) 2003-04-02
CN1159685C (zh) 2004-07-28

Similar Documents

Publication Publication Date Title
DE19539801C2 (de) Überwachung von Transaktionen mit Chipkarten
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE69913929T2 (de) Gesichertes Bezahlungsverfahren
DE3700663C2 (de)
EP2417550B1 (de) Verfahren zur durchführung einer applikation mit hilfe eines tragbaren datenträgers
EP2174281A2 (de) Virtuelle prepaid- oder kreditkarte und verfahren und system zur bereitstellung einer solchen und zum elektronischen zahlungsverkehr
DE3044463A1 (de) Verfahren und vorrichtung zum codieren einer karte
EP3748521B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP3743844B1 (de) Blockchain-basiertes identitätssystem
DE102008028701B4 (de) Verfahren und System zum Erzeugen einer abgeleiteten elektronischen Identität aus einer elektronischen Hauptidentität
DE102006048797A1 (de) Verfahren zum Ausführen einer Applikation mit Hilfe eines tragbaren Datenträgers
EP1062641A1 (de) Verfahren und vorrichtung zur prüfung eines biometrischen merkmals
DE60029379T2 (de) Verfahren und Gerät, die einem Rechnerbenutzer erlauben, vor der Eingabe von privilegierten Informationen ein System zu authentifizieren
DE102007041370B4 (de) Chipkarte, elektronisches Gerät, Verfahren zur Herstellung einer Chipkarte und Verfahren zur Inbenutzungnahme einer Chipkarte
EP1152379A2 (de) Verfahren zum anfordern der ausführung einer mit der karte verbundenen verpflichtung durch den kartenhalter und zum anerkennen dieser verpflichtung durch den kartenausgeber
DE60025509T2 (de) Verfahren , vorrichtung und terminal zum beglaubigen des ergebnisses eines datenträgerbefehls
CH656243A5 (de) Verfahren zur verarbeitung einer persoenlichen identifikationsnummer im zusammenhang mit einer ausweiskarte.
EP2932446A1 (de) Reputationssystem und verfahren
EP3125464B1 (de) Sperrdienst für ein durch einen id-token erzeugtes zertifikat
EP3304804A1 (de) Verfahren zur bereitstellung eines persönlichen identifikationscodes eines sicherheitsmoduls
DE19818998B4 (de) Verfahren zum Schutz vor Angriffen auf den Authentifizierungsalgorithmus bzw. den Geheimschlüssel einer Chipkarte
EP1152377B1 (de) Verfahren und Endgerät zur Durchführung von Transaktionen unter Einschaltung eines tragbaren Datenträgers
DE102009021011A1 (de) Elektronischer Schlüssel zur Authentifizierung
DE102021003724A1 (de) Verfahren zur ldentifikation einer Person durch eine Kreditkartennummer und ldentifikationssystem
WO2022253424A1 (de) Transaktionssystem für dezentral in einem rechnernetzwerk gespeicherte kryptographische vermögenswerte

Legal Events

Date Code Title Description
8364 No opposition during term of opposition