DE602005005853T2 - Verfahren, system und mikrocontrollerkarte zur kommunikation von anwendungsdiensten von einer mikrocontrollerkarte zu einem endgerät - Google Patents

Verfahren, system und mikrocontrollerkarte zur kommunikation von anwendungsdiensten von einer mikrocontrollerkarte zu einem endgerät Download PDF

Info

Publication number
DE602005005853T2
DE602005005853T2 DE602005005853T DE602005005853T DE602005005853T2 DE 602005005853 T2 DE602005005853 T2 DE 602005005853T2 DE 602005005853 T DE602005005853 T DE 602005005853T DE 602005005853 T DE602005005853 T DE 602005005853T DE 602005005853 T2 DE602005005853 T2 DE 602005005853T2
Authority
DE
Germany
Prior art keywords
services
card
application
terminal
identification data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602005005853T
Other languages
English (en)
Other versions
DE602005005853D1 (de
Inventor
Christophe Foesser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus SA filed Critical Gemplus SA
Publication of DE602005005853D1 publication Critical patent/DE602005005853D1/de
Application granted granted Critical
Publication of DE602005005853T2 publication Critical patent/DE602005005853T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Telephone Function (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Credit Cards Or The Like (AREA)

Description

  • Diensten bezüglich einer in einer Mikrorechnerkarte, ebenfalls Chipkarte oder IC-Karte genannt, gespeicherten Applikation an ein Terminal.
  • Das Terminal nimmt die Chipkarte auf und kann gemäß einem ersten Beispiel ein Mobilfunkterminal sein, für das die Chipkarte vom Typ UICC (Universal Integrated Circuit Card) ist. Bei der Chipkarte handelt es sich beispielsweise um eine SIM-Karte (Subscriber Identity Module) für ein zellulares Funkkommunikationsnetz vom Typ GMS, oder um ein Identitätsmodul USIM für ein mehrfach zugängliches Netz mit Verteilung über CDMA-Codes (Coded Division Multiple Acces) der dritten Generation (3GPP) vom Typ UMTS (Universal Mobile Telecommunications System). Gemäß anderen Beispielen kann das Terminal ein Bankterminal für eine Abbuchungs- oder Kreditkarte sein, oder ein Persönlicher Computer (PC) mit einem Chipkarten-Lesegerät, oder auch ein kleines Kommunikationsgerät wie ein persönlicher Digitalassistent (PDA), das eine in es eingeführte Chipkarte lesen kann.
  • Im Allgemeinen kann eine Mikrorechnerkarte, die eine oder mehrere jeweils mit einem oder mehren Diensten verbundene Applikationen implementiert, dem Terminal nicht direkt Daten bezüglich der von einer Applikation angebotenen Dienste übermitteln. Die Verbindung zwischen dem Terminal und der Karte ist eine Master-Slave-Verbindung, bei der das Terminal der Master und die Karte der Slave ist. Die Daten werden zwischen der Karte und dem Terminal gemäß einem gewidmeten Kommunikationsprotokoll ausgetauscht, das der Norm ISO 7816-3 entspricht. Die Karte verwendet einen Mechanismus vom pro-aktiven Typ, um Aktionen im Terminal auszulösen, der die Karte periodisch abfragt.
  • Bei diesem Verbindungstyp entdeckt das Terminal selbst die Dienste, die von der Karte angeboten werden können. Dann muss die Karte einen Befehl des Terminals abwarten bezüglich des Diensts der Applikation, den das Terminal verwenden möchte, um dem Terminal die in der Karte gespeicherten Daten dieses Dienstes zu übermitteln. Der Befehl des Terminals erfolgt auf Befehl des Benutzers des Terminals oder einer Stelle außerhalb der am Terminal angeschlossenen Karte.
  • Gemäß 1 umfasst ein bekanntes Dienstübermittlungsverfahren zwischen der Karte und dem Terminal die Schritte E1 bis E8.
  • Der erste Schritt E1 zeigt an, dass ein Benutzer des Terminals oder das Terminal selbst, in dem die Mikrorechnerkarte eingefügt ist, auf einen Dienst einer in der Karte gespeicherten Applikation zugreifen möchte. Das Terminal als Kunde überträgt an die Karte einen Befehl, um die Applikation in Schritt E2 zu wählen. Bei diesem Befehl handelt es sich beispielsweise um den genormten Befehl „SELECT". Nach dem Befehl überträgt die Karte in Schritt E3 an das Terminal eine Statusnachricht, die den Befehl des Terminals quittiert. Diese erste Statusnachricht umfasst nur Kopffelder; beispielsweise enthält die erste Nachricht zwei Bytes, die erfolgreich anzeigen, dass die Applikation in der Karte vorhanden ist, oder den Misserfolg des Befehls des Terminals, was auf eine Anomalie oder auf das Nichtvorhandensein der Applikation in der Karte hinweist. Die erste Statusnachricht ist beispielsweise der Hexadezimalwert 0x9000 gemäß der Norm ISO 7816. Die Nachricht umfasst kein an das Terminal zu übertragendes Datenfeld so lange es dieses nicht verlangt hat. Beim nächsten Schritt E4 befragt (polling) das Terminal die Karte periodisch bezüglich ihres Status, beispielsweise alle 500 ms. Möchte die Karte Daten an das Terminal übertragen, übermittelt ihm die Karte beim Schritt E5 eine zweite Statusnachricht mit der Angabe, dass die Karte einen oder mehrere im Zusammenhang mit der Applikation zu deklarierende Dienste besitzt. Die zweite Statusnachricht ist zum Beispiel der Hexadezimalwert 0x61xx gemäß der Norm ISO 7816. Bei Erhalt dieser Nachricht überträgt das Terminal bei Schritt E6 einen Befehl an die Karte, damit sie den oder die Dienste der Applikation identifizierende Daten übermittelt. Bei diesem Befehl handelt es sich beispielsweise um den genormten Befehl ISO 7816 „GET RESPONSE". Dann überträgt die Karte bei Schritt E7 Identifikationsdaten des oder der Dienste in einer oder mehreren Nachrichten, die eine Statuskopfzeile haben.
  • So lange die Identifikationsdaten des Dienstes dem Terminal nicht mitgeteilt wurden, kann die Karte den oder die Dienste der Applikation nicht zulassen.
  • Sobald diese Daten an das Terminal übertragen wurden, übermittelt die Karte sie nicht mehr bis zu einer Aktualisierung (reset) des oder der Dienste der Applikation.
  • Dieses Verfahren verlangt mehrere Befehls- und Antwortschritte E2 bis E7 zwischen dem Terminal und der Karte, damit die Karte dem Terminal Daten bezüglich der Dienste einer Applikation übermittelt. Die Zwischenschritte E3 bis E6 verzögern die Kommunikation der Dienstdaten der Karte zum Terminal und im Allgemeinen an die Außenwelt der Karte. Wenn die Applikation zahlreiche Dienste anbietet, sind häufig mehrere Nachrichten erforderlich, um die Dienste zu identifizieren, was die Kommunikation der Daten um so mehr verzögert.
  • Gemäß einem anderen bekannten, in Banksystemen implementierten Verfahren werden verfügbare Applikationen von einer Mikrorechnerkarte vom Typ EMV an das Terminal übertragen. Wie beim vorangehenden Verfahren erfordert dieses Verfahren ebenfalls mehrere Befehls- und Antwortaustausche zwischen dem Terminal und der Karte, damit die Karte Daten bezüglich der Applikationen an das Terminal überträgt.
  • Die Aufgabe der Erfindung besteht darin, in einer Mikrorechnerkarte die Zugriffszeit auf Applikationsdienstdaten von einem Terminal zu reduzieren und damit Dienste schnell von der Karte an die Außenwelt derselben zu übermitteln.
  • Zur Lösung dieser Aufgabe wird ein Verfahren für die Übermittlung von einem oder mehrerer Dienste einer in einer Mikrorechnerkarte gespeicherten Applikation an ein Terminal, bei dem das Terminal sofort nach jeder Wahl der Applikation an die Karte einen die gewählte Applikation identifizierenden Wahlbefehl überträgt, dadurch gekennzeichnet, dass es in der Karte eine Wahl von aktiven Diensten unter mit der Applikation verbundenen Diensten umfasst, nach dem Wahlbefehl, um dynamisch eine Identifikationsdatenliste der aktiven Dienste zu erstellen, und eine Übertragung von der Karte zum Terminal einer Antwortnachricht die die Identifikationsdaten der aktiven Dienste umfasst.
  • Im Sinn der Erfindung ist eine Applikation mit einem oder mehreren Diensten verbunden.
  • Das erfindungsgemäße Verfahren ermöglicht einen direkten Austausch von Daten vom Typ Befehl – Antwort in beiden Richtungen zwischen dem Terminal und der Karte, was in dem bekannten, oben beschriebenen System unmöglich ist.
  • Demnach werden die Identifikationsdaten bezüglich Diensten einer in der Mikrorechnerkarte gespeicherten Applikation sofort an das Terminal übertragen, ohne dass dieses Befehle versenden muss, um einen einzigen Dienst zur Zeit zu entdecken.
  • Der Benutzer des Terminals nimmt über einen einzigen Befehl alle von einer selben Applikation angebotenen Dienste zur Kenntnis.
  • Das erfindungsgemäße Verfahren umfasst demnach eine Mindestanzahl von Austauschschritten zwischen der Karte und dem Terminal, um Daten von der Karte an das Terminal zu übertragen. Das bekannte, zuvor beschriebene Verfahren führt fünf Austauschschritte zwischen der Karte und dem Terminal aus, bevor die Karte Daten an das Terminal übermitteln kann.
  • Nach einem Merkmal der Erfindung umfasst das Verfahren bei der Wahl der mit der Applikation verbundenen aktiven Dienste eine Prüfung der Aktivität der Dienste, um die aktiven Dienste zu ermitteln und die Identifikationsdaten der aktiven Dienste zu lesen, um die Liste dynamisch zu erstellen.
  • Nach einem anderen Merkmal der Erfindung ist nach der Übertragung (S6) einer Antwortnachricht (REP) mit den Identifikationsdaten der mit der Applikation verbundenen aktiven Dienste von der Karte zum Terminal eine Analyse der genannten Identifikationsdaten vorgesehen, um die von den Identifikationsdaten identifizierten, mit der Applikation verbundenen aktiven Dienste zu übermitteln.
  • Ein weiteres Ziel der Erfindung ist ein System für die Übermittlung von einem oder mehrerer Dienste einer in einer Mikrorechnerkarte gespeicherten Applikation an ein Terminal, bei dem das Terminal sofort nach jeder Wahl der Applikation an die Karte einen die gewählte Applikation identifizierenden Wahlbefehl überträgt. Dieses System ist dadurch gekennzeichnet, dass die Karte ein Mittel umfasst, um aktive Dienste unter mit der Applikation verbundenen Diensten zu wählen, nach dem Wahlbefehl, um dynamisch eine Identifikationsdatenliste der aktiven Dienste zu erstellen und eine Antwortnachricht von der Karte zum Terminal zu übertragen, die die Identifikationsdaten der aktiven Dienste umfasst.
  • Vorzugsweise umfasst das Terminal ein Mittel, um die Identifikationsdaten der Antwortnachricht zu analysieren, um die mit der Applikation verbundenen und von den Identifikationsdaten identifizierten aktiven Dienste zu übermitteln.
  • Die Elemente, bei denen es sich um das Wahlmittel und um das Analysemittel handelt, ermöglichen einen direkten Datenaustausch in beiden Richtungen vom Typ Befehl – Antwort, was in dem bekannten, zuvor beschriebenen Kommunikationssystem nicht möglich ist.
  • Das Wahlmittel aktiver Dienste greift indirekt auf die verschiedenen Dienste der vom Terminal gewählten Applikation zu, was dem Benutzer des Terminals oder dem Terminal selbst zahlreiche Suchen und Befehle an die Karte erspart für jeden Dienst oder jede Dienstgruppe einer Applikation. In Beantwortung eines Befehls kann das Terminal Identifikationsdaten über alle Dienste einer einzigen in der Karte gespeicherten Applikation erhalten.
  • Nach einem anderen Merkmal der Erfindung umfasst die Antwortnachricht zwei erste Kopffelder, die die eventuelle Präsenz anderer Felder angeben, ein drittes Feld, das die Länge eines vierten Felds angibt, und das vierte Feld, das die Identifikationsdaten der mit der gewählten Applikation verbundenen aktiven Dienste enthält.
  • Demnach greift das Terminal direkt auf die Applikationen zu und indirekt auf die mit jeder Applikation verbundenen Dienste.
  • Die Erfindung betrifft ferner eine Mikrorechnerkarte für die Übermittlung von einem oder mehrerer Dienste einer Applikation an ein Terminal, das sofort nach jeder Wahl der Applikation an die Karte einen die gewählte Applikation identifizierenden Wahlbefehl übertragen hat. Die Karte ist dadurch gekennzeichnet, dass sie ein Mittel umfasst, um aktive Dienste unter mit der Applikation verbundenen Diensten zu wählen, nach dem Wahlbefehl, um dynamisch eine Identifikationsdatenliste der aktiven Dienste zu erstellen und eine Antwortnachricht zum Terminal zu übertragen, die die Identifikationsdaten der aktiven Dienste umfasst.
  • Nach einem anderen Merkmal der Karte umfasst sie eine erste Softwareschicht, die den in der Karte gespeicherten Applikationen gewidmet ist, und eine zweite Softwareschicht, die den in der Karte gespeicherten Diensten gewidmet ist, wobei jede Applikation und jeder Dienst eine Schnittstelle umfasst, um die Applikationen und Dienste, die ein gemeinsames Format aufweisen, zu verbinden.
  • Andere Merkmale und Vorteile der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung einer bevorzugten Ausführung der Erfindung, die als nicht begrenzendes Beispiel dient, unter Bezugnahme auf die entsprechenden beigefügten Zeichnungen, in denen:
  • 1, bereits kommentiert, ein Algorithmus des bekannten Dienstübermittlungsverfahrens ist;
  • 2 ein Blockdiagramm eines Applikationsdienst-Übermittlungssystems gemäß einer Ausführung der Erfindung ist;
  • 3 und 4 die Verbindung von Applikationen und Diensten der Erfindung zeigen;
  • 5 eine zum Teil Eigentümerantwortnachricht gemäß einer Ausführung der Erfindung zeigt; und
  • 6 ein Algorithmus eines Applikationsdienst-Übermittlungsverfahrens gemäß einer Ausführung der Erfindung ist.
  • Unter Bezugnahme auf 2 umfasst ein Übermittlungssystem gemäß der Erfindung mindestens ein Terminal T und eine Mikrorechnerkarte C.
  • Das Terminal T umfasst einen Prozessor PT, einen Speicher MT und ein Mikrorechnerkarten-Lesegerät LT. Das Lesegerät LT nimmt zumindest teilweise die Mikrorechnerkarte mit oder ohne elektrischen Kontakt auf. Das Terminal T kann ebenfalls eine Netzschnittstelle IR aufweisen, um mit der Außenwelt zu kommunizieren. Bei der Netzschnittstelle handelt es sich beispielsweise um eine Funkschnittstelle, wenn das Terminal ein Mobil in einem zellularen Digitalfunkkommunikationsnetz vom Typ GSM oder UMTS ist. Gemäß einem anderen Beispiel umfasst die Netzschnittstelle einen Modem, um über Internet mit einem Web-Server zu kommunizieren, oder mit einem privaten Server über eine gemietete oder spezialisierte Verbindung. Die verschiedenen Elemente des Terminals sind über einen bidirektionalen Bus BT miteinander verbunden. Das Terminal BT umfasst in Form eines Softwaremoduls einen Antwortanalysator AR, der in den Speichern MT enthalten ist. Der Analysator AR decodiert und analysiert eine von der Mikrorechnerkarte C übertragene Nachricht, die Dienstdaten der in der Karte C gespeicherten Applikation enthält.
  • Bekannterweise umfasst die Mikrorechnerkarte C, ebenfalls Chipkarte oder IC-Karte genannt, hauptsächlich einen Prozessor PC, drei Speicher MC1 bis MC3 und einen Eingangs-/Ausgangsport PES, der an das Lesegerät mit oder ohne elektrischem Kontakt angeschlossen werden kann, um Befehle und Antworten zwischen dem Terminal T und der Karte C auszutauschen. Die einzelnen Elemente der Karte sind mit einem bidirektionalen Bus BC miteinander verbunden.
  • Der Speicher M1 ist vom Typ ROM und umfasst das Betriebssystem der Karte sowie eine virtuelle Maschine, auf die sich das Betriebssystem stützt. Authentifizierungs-, Kommunikations- und Applikationsalgorithmen sind im Speicher M1 implementiert. Der Speicher M2 ist ein nicht flüchtiger Speicher vom Typ EEPROM, der benutzerbezogene Merkmale enthält wie eine Identifikationsnummer eines die Karte besitzenden Benutzers, ein Teilnahmeprofil, einen vertraulichen Code, usw. Der Speicher M3 ist ein Speicher RAM, der zur Verarbeitung der zwischen dem Prozessor PC der Karte C und dem im Terminal T enthaltenen Prozessor PR auszutauschenden Daten dient.
  • Erfindungsgemäß enthalten die Speicher MC1 und MC2 einen Antwortgenerator GR in Form eines Softwaremoduls. Der Antwortgenerator prüft die Aktivität von mit einer Applikation verbundenen Diensten, die zuvor vom Terminal T gewählt wurde, um dynamisch eine Identifikationsliste der aktiven Dienste zu erstellen. Der Antwortgenerator GR formatiert ebenfalls eine an das Terminal T zu übertragende Antwortnachricht, die die Liste der Identifikationsdaten der aktiven mit der Applikation verbundenen Dienste enthält.
  • Die vorzugsweise Multiapplikationskarte umfasst eine virtuelle Maschine, die der Technologie Javacard entsprechen kann und von dem Prozessor der Mikrorechnerkarte C gesteuert wird. Jede Applikation ist dann eine Applet, die über die Schnittstelle jeweils einen oder mehrere Dienste abruft, je nach Wunsch eines externen Benutzers, beispielsweise über eine Tastatur des Terminals T als Bankterminal oder Mobilterminal, das an die Mikrorechnerkarte angeschlossen ist.
  • Gemäß 3 und 4 umfasst die Softwarearchitektur der Karte C zwei Softwareschichten CH1 und CH2. Die erste Schicht CH1 ist den in der Karte gespeicherten Applikationen AP gewidmet. Jede Applikation enthält eine Schnittstelle IT, um sich anhand von Befehlen und Antworten direkt mit dem Terminal zu verbinden, oder über das Terminal mit einer Stelle außerhalb der Karte. Die zweite Schicht CH2 ist den in der Karte gespeicherten Diensten SE gewidmet.
  • Die Identifikationsdaten eines Dienstes, der informationstechnisch mit einer Applikation verbunden ist, bilden eine Unteridentifikationsnummer einer Identifikationsnummer der Applikation.
  • Das Terminal T oder eine externe Stelle greift indirekt auf die Dienste zu, die mit einer Applikation verbunden sind, die zuvor über die genannte Applikation und über den Antwortgenerator gewählt wurden. Die Schnittstellen IA und IS sind jeweils in jedem Dienst SE und in jeder Applikation AP vorgesehen, um Dienste SE und Applikationen AP, die ein gemeinsames Anschlussformat haben, miteinander zu verbinden. Gemäß 3 ist eine Applikation AP mit zwei Diensten SE1 und SE2 verbunden. Soll ein neuer Dienst SE in der Karte C installiert werden, so wird er bei einer oder mehreren Applikationen AP1, AP2 deklariert, die ein gemeinsames Format mit dem Dienst haben, und zwar über die jeweiligen Schnittstellen IA und IS der genannten Applikationen und des genannten Dienstes, wie in 4 dargestellt.
  • Die Schnittstellen IA und IS führen den Antwortgenerator GR zu den mit einer Applikation verbundenen Diensten. Unter Bezugnahme auf 3 werden ein oder mehrere mit einer Applikation AP verbundene Dienste SE1, SE2 über Befehle aktiviert und desaktiviert, die vom Terminal oder von einer externen Stelle kommen, oder durch die Applikation selbst. Die Aktivierung, die Desaktivierung, die Installation, die Entnahme der Installation, die Hinzufügung und das Löschen von Diensten in Bezug auf eine oder mehrere Applikationen entwickeln sich dynamisch im Verlauf einer Session zwischen der Karte und dem Terminal.
  • Für ein besseres Verständnis der Erfindung werden nachfolgend mehrere Applikationsanordnungen (Applets) mit ihren zugeordneten Diensten vorgestellt. Die Mikrorechnerkarte kann verschiedene Applikationstypen anbieten, die voneinander unabhängig sind oder nicht und auf der Karte C gespeichert sind.
  • Bei einer ersten Ausführung bieten mehrere unabhängige, in der Mikrorechnerkarte gespeicherte Applikationen jeweils einen einzigen Dienst an. Beispielsweise verwaltet eine Bankkartenapplikation einen Verwaltungsdienst eines Bankkontos, und eine elektronische Geldbörsenapplikation verwaltet einen Verwaltungsdienst einer Geldbörse. Diese Dienste sind häufig direkt in ihren Applikationen integriert. Bei einem anderen Beispiel gewährt eine der Applikationen einen gesicherten Zugang zu einem persönlichen Computer, die andere einen gesicherten Zugang zu einem Raum.
  • Gemäß einer dritten, in 3 dargestellten Ausführung ist eine einzige Internet-Dienstapplikation AP in die Mikrorechnerkarte implementiert und verwaltet einen Providerdienst von nicht gesicherten Web-Seiten SE1 und einen Providerdienst von gesicherten Web-Seiten SE2. Bei einem anderen Beispiel verwaltet eine Applikation mehrerer Konten von Benutzern jeweils gemäß mehrerer verschiedener Dienste der Karte.
  • Gemäß einer dritten, in 4 dargestellten Ausführung wird ein gemeinsamer Dienst SE von mehreren verschiedenen, in die Mikrorechnerkarten implementierten Applikationen AP1, AP2 gewährt. Beispielsweise greifen Partnerfirmen jeweils auf eine Treueapplikation zu. Diese Treueapplikationen bieten einen gleichen Verwaltungsdienst von Treuepunkten. Gemäß einem anderen Beispiel ist ein Dienst für die Verschlüsselung einer elektronischen Signatur mit persönlichen Daten des Inhabers der Karte von mehreren Applikationen zugänglich, vorausgesetzt dass sie dafür von einem Zertifizierungsserver über eine Verbindung durch das Terminal berechtigt werden.
  • 5 zeigt die Struktur einer von der Karte C an das Terminal T übermittelten Antwortnachricht REP. Die Nachricht ist zum Teil eine Eigentümernachricht und umfasst vier Felder C1 bis C4. Die ersten beiden Felder C1 und C2 bilden die Kopfzeile der Nachricht. Das dritte Feld gibt die Länge der zu übertragenden Daten an. Das vierte Feld C4 umfasst Identifikationsdaten von aktiven Diensten, die an das Terminal T übermittelt werden sollen. Diese Daten enthalten Identifikationsinformationen oder eine zusammenfassende Liste sämtlicher aktiver Dienste, die mit einer in einem vorherigen Befehl vom Terminal bezeichneten Applikation verbunden sind.
  • Die Antwortnachricht REP gemäß der Erfindung verwendet beispielsweise die Norm ISO 7816 bezüglich der Identifikationskarten und der IC-Karten, ohne die Hardwarestruktur der Terminals und der Karten zu verändern.
  • Die ersten beiden Felder C1 und C2 sind genormt und beschreiben den Inhalt der nächsten Felder C3 und C4. Beispielsweise erfordert ein zuvor vom Terminal gewünschter Wahlbefehl eine Rücksendung von Daten in einem Dateiformat. Gemäß einem anderen Beispiel zeigt der Hexadezimalwert 0x85 der Norm ISO 7816 an, dass die Karte Daten übermittelt, die nichts mit dem Dateiformat zu tun haben, in Beantwortung des Befehls des Terminals. Das dritte und vierte Feld C3 und C4 der Nachricht sind Eigentümerfelder, die beispielsweise Portnummern oder Adressen enthalten, die Dienste einer zuvor vom Terminal gewählten Bankapplikation identifizieren. Wenn der Hexadezimalwert der Identifikationsnummer eines ersten Dienstes 0x2760 und der Wert der Identifikationsnummer eines zweiten Dienstes 0x27CB ist, lautet die Antwortnachricht REP wie folgt:
    C1 C2 C3 C4
    0x62 0x85 0x04 0x27 0x60 0x27 0xCB
  • Unter Bezugnahme auf 6 umfasst das Übermittlungsverfahren gemäß der Erfindung die Schritte S1 bis S8. Das Verfahren wird gleichzeitig im Terminal T und in der Mikrorechnerkarte C umgesetzt, um alle mit einer Applikation verbundenen Dienste zu übermitteln, wobei die Dienste und die Applikation mindestens im Speicher MC2 der Mikrorechnerkarte C gespeichert sind.
  • Das Dienstübermittlungsverfahren wird bei der Wahl der Applikation durch das Terminal ausgelöst. Diese Wahl kann aus einer Initialisierung oder aus einer Aktualisierung der Applikation und/oder mindestens einer ihrer Dienste in der Karte resultieren. Nach der Wahl überträgt die Karte Identifikationsdaten aller aktiven Dienste der Applikation an das Terminal, bis zu einer nächsten Wahl der Applikation.
  • Bei Schritt S1 wählt der Benutzer des Terminals oder eine andere über das Terminal zugelassene Kundenstelle beispielsweise anhand eines Formulars oder einer Zugriffseite eine in der Karte C gespeicherte Applikation. Das Terminal T erstellt dann einen Befehl SELECT, um die gewählte Applikation zu identifizieren und abzurufen. Der Befehl SELECT wird vom Terminal T über das Lesegerät LT und den Eingangs-/Ausgangsport PES bei Schritt S2 an die Karte C übertragen.
  • Nach Empfang des Befehls SELECT wählt der Antwortgenerator GR bei Schritt S3 die aktiven Dienste unter den nicht aktiven und den aktiven Diensten, die im Speicher MC2 der Karte verzeichnet und mit der Applikation verbunden sind, um dynamisch bei Schritt S4 eine Identifikationsdatenliste der genannten aktiven Dienste zu erstellen. Die Wahl der aktiven Dienste umfasst eine Prüfung der Aktivität der mit der Applikation verbundenen Dienste, um die aktiven Dienste zu erfassen, beispielsweise durch Lesen des Status eines die Aktivität/Inaktivität anzeigenden Bits, der den Identifikationsdaten eines jedes Dienstes im Speicher MC2 zugeordnet ist, und durch Lesen der Identifikationsdaten der aktiven Dienste. Der Antwortgenerator erstellt dynamisch die Liste mit den Identifikationsdaten der aktiven Dienste und verzeichnet die erstellte Liste im Speicher MC2.
  • Bei Schritt S5 bildet der Antwortgenerator eine zum Teil Eigentümerantwortnachricht REP, wie unter Bezugnahme auf 5 beschrieben, die die Identifikationsdaten aller aktiven Dienste der gewählten Applikation umfasst, die in der zuvor erstellten Liste enthalten sind. Dann überträgt die Karte C bei Schritt S6 die Antwortnachricht REP an das Terminal T, über den Eingangs-/Ausgangsport PES und das Lesegerät LT, an den Antwortanalysator AR im Terminal T. Der Analysator AR analysiert bei Schritt 57 die Antwortnachricht REP, um die Identifikationsdaten aller Dienste der gewählten Applikation auszulesen und zu decodieren. Schließlich werden bei Schritt S8 die Identifikationsdaten der aktiven Dienste der gewählten Applikation übertragen, indem sie in den Speichern MT des Terminals T abgelegt werden und/oder sie werden über die Netzschnittstelle IR an zugelassene Stellen übertragen.
  • Der in die Karte C integrierte Antwortgenerator GR und der in das Terminal T integrierte Antwortanalysator AR tragen zum direkten erfindungsgemäßen Transfer eines Befehls mit Abfrage einer Applikation vom Terminal zur Karte und einer Antwort mit der Identifikation des oder der aktiven Dienste der gewählten Applikation von der Karte an das Terminal bei. Ferner trägt der Antwortgenerator GR in der Karte mit der Applikation dazu bei, den Befehl für jede gewählte Applikation zu steuern, um direkt auf die Dienste der Applikation aufgrund eines Befehls des Terminals zuzugreifen.
  • Als Variante des erfindungsgemäßen Verfahrens, bei der Erstellung der dynamischen Liste durch den Antwortgenerator GR der Karte, können bestimmte Identifikationsdaten von aktiven, mit der vom Terminal gewählten Applikation verbundenen Diensten und die nicht an das Terminal übertragen werden können, in der Liste gemäß Hardware-, Software- oder Verhaltensmerkmalen des Terminals oder einer externen Stelle maskiert werden. Diese Merkmale sind der Karte vorher bekannt, die sie beispielsweise bei der Eröffnung einer Übermittlungssession S0 zwischen dem Terminal und der Karte verzeichnet, wie oben in 6 gezeigt.
  • Beispielsweise beziehen sich die Merkmale des Terminals auf die Merkmale der Benutzerschnittstelle bezüglich des Bildschirms des Terminals, oder von spezifischen Peripheriegeräten wie ein Drucker. Gemäß einem anderen Beispiel bezüglich Verhaltensmerkmalen untersagt eine Applikation die Übermittlung eines aktiven Dienstes, wie eines Öffnungsdienstes einer gesicherten Web-Seite, an ein Terminal, wenn das Terminal kaum gesichert ist.

Claims (10)

  1. Verfahren für die Übermittlung von einem oder mehrerer Dienste einer in einer Mikrorechnerkarte (C) gespeicherten Applikation an ein Terminal (T), bei dem das Terminal (T) sofort nach jeder Wahl (S1) der Applikation an die Karte (C) einen die gewählte Applikation identifizierenden Wahlbefehl (SELECT) überträgt, dadurch gekennzeichnet, dass es in der Karte eine Wahl von aktiven Diensten unter mit der Applikation verbundenen Diensten umfasst, nach dem Wahlbefehl (SELECT), um dynamisch (S4) eine Identifikationsdatenliste der aktiven Dienste zu erstellen, und eine Übertragung (S6) von der Karte zum Terminal einer Antwortnachricht (REP) die die Identifikationsdaten der aktiven Dienste umfasst.
  2. Verfahren gemäß Anspruch 1, bei dem die Wahl (S3) der mit der Applikation verbundenen aktiven Dienste eine Prüfung der Aktivität der Dienste umfasst, um die aktiven Dienste zu ermitteln und die Identifikationsdaten der aktiven Dienste zu lesen, um die Liste dynamisch zu erstellen.
  3. Verfahren gemäß Anspruch 1 oder 2, das nach der Übertragung (S6) einer Antwortnachricht (REP) mit den Identifikationsdaten der mit der Applikation verbundenen aktiven Dienste von der Karte zum Terminal eine Analyse (S7) der genannten Identifikationsdaten umfasst, um die von den Identifikationsdaten identifizierten, mit der Applikation verbundenen aktiven Dienste zu übermitteln.
  4. Verfahren gemäß einem der Ansprüche 1 bis 3, bei dem die Liste der Identifikationsdaten der aktiven Dienste entsprechend Merkmalen des Terminals erstellt wird, die der Karte vorher bekannt sind, durch Maskierung in der genannten Liste der nicht an das Terminal übertragbaren Identifikationsdaten aktiver Dienste.
  5. System für die Übermittlung von einem oder mehrerer Dienste einer in einer Mikrorechnerkarte (C) gespeicherten Applikation an ein Terminal (T), bei dem das Terminal (T) sofort nach jeder Wahl der Applikation an die Karte (C) einen die gewählte Applikation identifizierenden Wahlbefehl (SELECT) übertragen kann, dadurch gekennzeichnet, dass die genannte Karte (C) ein Mittel umfasst, um aktive Dienste unter mit der Applikation verbundenen Diensten zu wählen, nach dem Wahlbefehl (SELECT), um dynamisch eine Identifikationsdatenliste der aktiven Dienste zu erstellen und eine Antwortnachricht (REP) von der Karte (C) zum Terminal (T) zu übertragen, die die Identifikationsdaten der aktiven Dienste umfasst.
  6. System gemäß Anspruch 5, bei dem das Terminal (T) ein Mittel (AR) umfasst, um die Identifikationsdaten der Antwortnachricht (REP) zu analysieren, um die mit der Applikation verbundenen und von den Identifikationsdaten identifizierten aktiven Dienste zu übermitteln.
  7. System gemäß Anspruch 5 oder 6, bei dem die Antwortnachricht (REP) zwei Kopffelder (C1, C2) umfasst, die die eventuelle Präsenz anderer Felder (C3, C4) angeben, ein drittes Feld (C3), das die Länge eines vierten Felds angibt, und ein viertes Feld (C4), das die Identifikationsdaten der mit der gewählten Applikation verbundenen aktiven Dienste enthält.
  8. System gemäß einem der Ansprüche 5 bis 7, bei dem eine oder mehrere Applikationen (AP1, AP2) mit einem Dienst (SE) verbunden sind.
  9. Mikrorechnerkarte (C) für die Übermittlung von einem oder mehrerer Dienste einer Applikation an ein Terminal (T), das sofort nach jeder Wahl der Applikation an die Karte (C) einen die gewählte Applikation identifizierenden Wahlbefehl (SELECT) übertragen hat, dadurch gekennzeichnet, dass sie ein Mittel (GR) umfasst, um aktive Dienste unter mit der Applikation verbundenen Diensten zu wählen, nach dem Wahlbefehl (SELECT), um dynamisch eine Identifikationsdatenliste der aktiven Dienste zu erstellen und eine Antwortnachricht (REP) zum Terminal (T) zu übertragen, die die Identifikationsdaten der aktiven Dienste umfasst.
  10. Mikrorechnerkarte gemäß Anspruch 9, mit einer ersten Softwareschicht (CH1), die den in der Karte gespeicherten Applikationen (AP) gewidmet ist, und einer zweiten Softwareschicht (CH2), die den in der Karte gespeicherten Diensten (SE) gewidmet ist, wobei jede Applikation und jeder Dienst eine Schnittstelle (IA, IS) umfasst, um die Applikationen und Dienste, die ein gemeinsames Format aufweisen, zu verbinden.
DE602005005853T 2004-11-30 2005-11-14 Verfahren, system und mikrocontrollerkarte zur kommunikation von anwendungsdiensten von einer mikrocontrollerkarte zu einem endgerät Active DE602005005853T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0412702 2004-11-30
FR0412702A FR2878677B1 (fr) 2004-11-30 2004-11-30 Communication de service d'application depuis une carte a microcontroleur vers un terminal
PCT/EP2005/055967 WO2006058839A1 (fr) 2004-11-30 2005-11-14 Procede, systeme et carte a microcontroleur pour la communication de services d'application depuis une carte a microcontroleur vers un terminal

Publications (2)

Publication Number Publication Date
DE602005005853D1 DE602005005853D1 (de) 2008-05-15
DE602005005853T2 true DE602005005853T2 (de) 2009-04-02

Family

ID=34952278

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602005005853T Active DE602005005853T2 (de) 2004-11-30 2005-11-14 Verfahren, system und mikrocontrollerkarte zur kommunikation von anwendungsdiensten von einer mikrocontrollerkarte zu einem endgerät

Country Status (9)

Country Link
US (1) US8550341B2 (de)
EP (1) EP1817890B1 (de)
JP (1) JP4780110B2 (de)
CN (1) CN101112064B (de)
AT (1) ATE391389T1 (de)
DE (1) DE602005005853T2 (de)
ES (1) ES2306241T3 (de)
FR (1) FR2878677B1 (de)
WO (1) WO2006058839A1 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2916928A1 (fr) 2007-06-01 2008-12-05 France Telecom Procede de selection d'une application installee sur un module securise, terminal et module de securite associes.
EP2129172A1 (de) * 2008-05-30 2009-12-02 Gemplus Verfahren, Token und System zur Verarbeitung eines Dienstes
EP2320395A1 (de) * 2009-11-05 2011-05-11 Multos International Pty Ltd. Verfahren zur Bereitstellung von Daten während eines Anwendungsauswählprozesses
CN101866435A (zh) * 2010-06-23 2010-10-20 深圳市江波龙电子有限公司 一种实现智能卡多应用的系统、方法及手持设备
CA2818567C (en) * 2010-11-19 2015-01-27 Shaun Iversen Method for the creation of a dynamic data record within a payment system environment application
CN104135504B (zh) 2014-02-11 2015-12-30 腾讯科技(深圳)有限公司 一种基于应用的服务提供方法、装置及系统
FR3040510B1 (fr) * 2015-08-27 2018-08-10 Ingenico Group Dispositif et procede securisation de commandes echangees entre un terminal et circuit integre
US11132673B1 (en) * 2018-04-25 2021-09-28 Dmitry Mikhailov Use of secure chips for storage of hashed data and private keys in hardware cryptowallets
US10592710B1 (en) 2018-10-02 2020-03-17 Capital One Services, Llc Systems and methods for cryptographic authentication of contactless cards

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6157966A (en) * 1997-06-30 2000-12-05 Schlumberger Malco, Inc. System and method for an ISO7816 complaint smart card to become master over a terminal
US6553375B1 (en) * 1998-11-25 2003-04-22 International Business Machines Corporation Method and apparatus for server based handheld application and database management
FI114434B (fi) * 1999-05-11 2004-10-15 Nokia Corp Viestintälaitteet
US7240830B2 (en) * 2002-02-15 2007-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Layered SIM card and security function
CN100334547C (zh) * 2002-02-18 2007-08-29 雅斯拓股份有限公司 数据处理装置和数据处理装置的存储空间的优化处理方法
US6986458B2 (en) * 2002-12-11 2006-01-17 Scheidt & Bachmann Gmbh Methods and systems for user media interoperability
JP4322021B2 (ja) * 2003-02-06 2009-08-26 株式会社ルネサステクノロジ メモリカード
JP4308551B2 (ja) * 2003-03-06 2009-08-05 株式会社ルネサステクノロジ メモリカードおよびホスト装置
JP4597568B2 (ja) * 2003-07-15 2010-12-15 パナソニック株式会社 セキュアデバイス、情報処理端末、及び情報処理システム
US7191288B2 (en) * 2004-02-24 2007-03-13 Sun Microsystems, Inc. Method and apparatus for providing an application on a smart card

Also Published As

Publication number Publication date
CN101112064A (zh) 2008-01-23
US8550341B2 (en) 2013-10-08
FR2878677B1 (fr) 2007-02-02
US20090020603A1 (en) 2009-01-22
JP4780110B2 (ja) 2011-09-28
ES2306241T3 (es) 2008-11-01
ATE391389T1 (de) 2008-04-15
FR2878677A1 (fr) 2006-06-02
CN101112064B (zh) 2012-05-30
EP1817890B1 (de) 2008-04-02
JP2008522303A (ja) 2008-06-26
DE602005005853D1 (de) 2008-05-15
EP1817890A1 (de) 2007-08-15
WO2006058839A1 (fr) 2006-06-08

Similar Documents

Publication Publication Date Title
DE602005005853T2 (de) Verfahren, system und mikrocontrollerkarte zur kommunikation von anwendungsdiensten von einer mikrocontrollerkarte zu einem endgerät
DE60211071T2 (de) System zum herunterladen eines programms an das teilnehmeridentifikationsmodul
EP2033137B1 (de) Datenträger und verfahren zur kontaktlosen kommunikation zwischen dem datenträger und einem lesegerät
DE69534181T2 (de) System mit Endgerät und Karte, Karte und Endgerät
EP2417550B1 (de) Verfahren zur durchführung einer applikation mit hilfe eines tragbaren datenträgers
DE69826009T2 (de) Smart-kartensteuerung vom endgerät und von netz-betriebsmitteln
DE69127560T2 (de) Gegenseitiges Erkennungssystem
DE3784824T2 (de) System zum gewaehren des zugangs in speicherfeldbereiche einer chipkarte fuer mehrere anwendungen.
DE69813208T2 (de) Chipkarte mit datenumsetzer
DE69400549T3 (de) IC-Karten-Übertragungssystem
DE60222410T2 (de) Auslösung einer anwendung auf einer chipkarte
EP2626824A1 (de) Management durch ein mobiles Endgerät bereitgestellter virtueller Brieftaschen
EP2567345B1 (de) Verfahren zum lesen eines rfid-tokens, rfid-karte und elektronisches gerät
EP2393032B1 (de) Verfahren zum ausführen einer applikation mit hilfe eines tragbaren datenträgers
DE602005005038T2 (de) Kontaktlose karte
AT505078B9 (de) Verfahren und system zum auslesen von daten aus einem speicher eines fernen geräts durch einen server
EP1423830B1 (de) Verfahren zum betrieb von berührungslosen identifikationsmedien
WO2006008223A1 (de) Verfahren, mit welchem ein endgerät informationen, die mit einem epc-code assoziiert werden, aus einem epc-netzwerk holen kann
DE60206592T2 (de) Offset Sicherheitsverfahren zum Datenaustausch
WO1999027730A1 (de) Verfahren und informationssystem zur übertragung von informationen auf identifikationskarten
EP1610218B1 (de) Tragbarer Datenträger, System mit einem solchen Datenträger und Verfahren zum Betreiben eines solchen Datenträgers
EP1737194B1 (de) Tragbarer Datenträger
WO2011033030A1 (de) Verfahren zum installieren und konfigurieren von applikationen auf einem portablen datenträger
EP1571591B1 (de) Verwendung eines RFID-Tags um mit einem Mobilgerät auf eine Hypertext-Seite zuzugreifen
EP3451263A1 (de) Sicherheitssystem zur ausführung einer elektronischen anwendung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1817890

Country of ref document: EP

Representative=s name: PRINZ & PARTNER PATENTANWAELTE RECHTSANWAELTE, 803