DE69211407T2 - Verfahren zum elektronischen Bezahlen per Chipkarte mit Hilfe von numerierten Wertmarken und Karte zur Durchführung - Google Patents

Verfahren zum elektronischen Bezahlen per Chipkarte mit Hilfe von numerierten Wertmarken und Karte zur Durchführung

Info

Publication number
DE69211407T2
DE69211407T2 DE69211407T DE69211407T DE69211407T2 DE 69211407 T2 DE69211407 T2 DE 69211407T2 DE 69211407 T DE69211407 T DE 69211407T DE 69211407 T DE69211407 T DE 69211407T DE 69211407 T2 DE69211407 T2 DE 69211407T2
Authority
DE
Germany
Prior art keywords
card
bits
numbers
value
index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69211407T
Other languages
English (en)
Other versions
DE69211407D1 (de
Inventor
Louis Guillou
Jean-Jacques Quisquater
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Telediffusion de France ets Public de Diffusion
France Telecom SA
Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telediffusion de France ets Public de Diffusion, France Telecom SA, Philips Electronics NV filed Critical Telediffusion de France ets Public de Diffusion
Application granted granted Critical
Publication of DE69211407D1 publication Critical patent/DE69211407D1/de
Publication of DE69211407T2 publication Critical patent/DE69211407T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/02Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by keys or other credit registering devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/29Payment schemes or models characterised by micropayments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/343Cards including a counter
    • G06Q20/3433Cards including a counter the counter having monetary units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3672Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes initialising or reloading thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

  • Die Erfindung betrifft ein Verfahren zum elektronischen Zahlen mittels Chipkarte unter Zuhilfenahme von numerierten Wertmarken, außerdem betrifft sie eine Karte zur Ausführung dieses Verfahrens.
  • Man weiß, daß heute mehrere Typen von Chipkarten dazu benutzt werden, Waren und Dienstleistungen zu bezahlen. In Frankreich beispielsweise werden für öffentliche Telefone die Telefonkarten und die PASTEL-Karten (eingetragene Marke) verwendet; in den Geschäften werden die Bankkarten verwendet, und bei den VISIOPASS-Terminals (eingetragene Marke) des Gebührenfernsehens werden die PC2-Karten benutzt.
  • Bei den öffentlichen Telefonen ist der Verbrauch der Gebühreneinheiten in den Telefonkarten örtlich begrenzt und anonym. Statistiken vermitteln eine Vorstellung über den pro Kabine abgewickelten Telefonverkehr. Die Betriebsablesung beschränkt sich auf die Anzahl verbrauchter Einheiten und die angerufene Nummer. Weil es jedoch pro verbrauchte Einheit ein Bit gibt, läßt sich eine Auswertung der Ablesungen mit dem Ziel, mögliche falsche Telefonkarten aufzuspüren, nicht realisieren. Man kann ein "authentisches" Bit nicht von einem "gefälschten" Bit unterscheiden.
  • Der Fälschung wird mit Hilfe verschiedener baulicher Maßnahmen entgegengewirkt, beispielsweise durch Suche nach verdächtigen Fasern in der Telefonkarte oder durch Verifizieren von Mustern elektronischer Signale. Wenn die Anonymität sichergestellt ist, hängt der notdürftige Nachweis falscher Telefonkarten ab von der baulichen Sicherheit der öffentlichen Telefone. In den Geschäften wird bei jedem Vorgang mit einer Bank-Chipkarte eine Bescheinigung berechnet. Mit jeder Zahlung geht die Erstellung eines Vorgang-Auszugs einher, außerdem die Übertragung der entsprechenden Parameter (eine elektronische Rechnung aus mehreren hundert Bits) zu der Bank des Händlers zum Zweck der schließlichen Abrechnung mit der Bank des Kunden. Die Sicherheit ist zwar erhöht, jedoch gibt es keine Anonymität.
  • Für den bedingten Zugang werden Schlüsselkarten verwendet. Je nach den Versionen der Schlüssel erhält man Dienstleistungen für ein Abonnement, für eine Veranstaltung oder für eine Zeitspanne. Die PCO- Karte eignet sich für einen Börsendienst, der von dem ANTIOPE-Verfahren vertrieben wird. Die PC1-Karte dient zur Zugriffsteuerung auf das TRANSPAC. Die PC2-Karte verschafft Zugriff auf das Programm VISIOPASS (eingetragene Marke), das von FRANCE TELECOM entwickelt wurde. Die Authentitätsprüfung der Karte und die Abwicklung der Zugriffsberechtigungen sind in hohem Maße perfektioniert. Allerdings macht die Gebührenberechnung für Zeitspannen, die derzeit nur bei der PC1 und bald auch auf einer neuen Version der PC2 möglich ist, derzeit ausschließlich Gebrauch von einem einzigen Bit pro Wertmarke.
  • Zu erwähnen ist außerdem der Gebrauch von Bank-Karten für öffentliche Telefone: für jede Gebühreneinheit wird ein einziges Bit verbraucht. Während der Verbrauch der Einheiten anonym bleibt, führt der Verkauf jedes 120 Wertmarken umfassenden Blocks zu einer personenbezogenen Abrechnung, die über die Bankverbindung erfolgt.
  • Zahlreiche Dienste werden mit Hilfe von Wertmarken, Tickets, Bargeld oder deren elektronischer Gegenstücke bezahlt. Die elektronischen Gegenstücke in einer Chipkarte interessieren vor allem die Betreiber auf dem Gebiet des Transportwesens: Autobahn, U-Bahn, Zug, Bus, Tram, Taxi, Parken. Es gibt aber auch noch andere: Telefon, Funktelefon und die telematischen Dienste, beispielsweise.
  • Das durch diese Methoden aufgeworfene allgemeine Problem besteht darin, ein Verfahren für die Verwaltung der Wertmarken zu finden, welches wirtschaftlich ist und gleichzeitig die Anonymität der Zahlung und den Nachweis von Fälschungen gestattet.
  • Was die Zeitdauer-Gebührenberechnung angeht, kann man - solange pro Gebühreneinheit ein einziges Bit verbraucht wird - die Wertmarken nicht qualifizieren, um Fälschungen mit Hilfe einer Auswertung der Betriebsauszüge nachweisen und diagnostizieren. Außerdem kann man auch nicht die Konflikte zwischen verschiedenen einflußreichen Service-Anbietern in einem gemeinsamen Wertmarken-Fundus lösen.
  • Die vorliegende Erfindung zielt darauf ab, diesen Mangel dadurch zu beheben, daß ein Verfahren vorgeschlagen wird, gemäß dem mehrere Bits für jede Gebühreneinheit verwendet werden. Anders ausgedrückt: man numeriert die Wertmarken, um ihre Authentizität verifizieren zu können.
  • Diese Lösung erfüllt die oben angesprochenen diversen Forderungen: Anonymität, Durchführbarkeit und Fälschungssicherheit.
  • Das erfindungsgemäße Verfahren kann in jede Chipkarte eingebracht werden, darunter auch die neuen Versionen der Masken PC1, PC2, MP oder TB100, vorausgesetzt eine Anpassung, die das Speichern und die Behandlung von Wertmarken ermöglicht, die sich aus mehreren Bits zusammensetzen.
  • Die Druckschrift WO-A-85 03787 beschreibt ein Transaktionsverfahren und ein Transaktionssystem, bei dem eine Liste von Zufallszahlen erstellt wird, die den Transaktions-Zahlen entsprechen. Diese Liste von Zufallszahlen wird sowohl in einem Zentralprozessor als auch in einer tragbaren Einheit gespeichert; für eine Transaktion, die eine vorbestimmte Rangstufe aufweist, erstellt man einen Sicherheitscode, indem man einen Parameter der Transaktion mit der Zufallszahl kombiniert, die der Rangstufe dieser Transaktion entspricht. Dieser Sicherheitscode wird während der Transaktion verifiziert.
  • Diese Druckschrift vermittelt keine Anregung zur Bildung von numerierten Wertmarken, die als Funktion des Verlaufs der Transaktion abgebucht werden, indem sie dem Leistungserbringer übermittelt werden, die aber dennoch bezüglich des Anfangssatzes überwacht werden, der von der Ausgabeinstitution gebildet wird. Gemäß der zum Stand der Technik gehörenden Druckschrift verbraucht man nicht eine Mehrzahl von Zufallszahlen entsprechend dem Transaktionsvorgang, sondern man verwendet lediglich eine, und zwar nur eine dieser Zahlen zu dem Zweck, einen Sicherheitscode zu bilden, wie auch immer die Transaktion abläuft.
  • Bevor die besonderen Merkmale und Vorteile der Erfindung im einzelnen dargelegt werden, erscheint es nicht unangebracht, einen kurzen Überblick über das Thema der Chipkarten zu geben. Zu diesem Zweck wird unterschieden zwischen den sogenannten Telefonkarten, den Bankkarten und den in jüngerer Zeit aufgekommenen neuen Masken.
  • Was die Telefonkarten angeht, so handelt es sich bei diesen bekanntlich um elektronische Mittel, die zu dem Zwecke entwickelt wurden, Telekommunikationsleistungen zu bezahlen. Die FRANCE TELECOM verkauft derzeit Telefonkarten in versiegelter Umhüllung an anonyme Kunden. Jeden Monat werden etwa 5 000 000 Telefonkarten verkauft. Mehr als 100 000 000 Telefonkarten werden jedes Jahr hergestellt. Es ist ein expansiver Markt.
  • Die Bestandteile in diesen Telefonkarten haben Abmessungen von einigen Quadratmillimetern. Es handelt sich um einfache Speicher ohne Rechenfähigkeit. Ihre Hersteller möchten sie gerne auch für andere Zwecke einsetzen. Allerdings sind die damit verbundenen Probleme nur schwierig zu lösen, wenn man berücksichtigt, daß diese Chips nur sehr begrenzte logische Fähigkeiten aufweisen.
  • Mit der fortschreitenden Technologie und dem Aufkommen von Fälschungen befindet sich ein Telefonkartenprojekt der zweiten Generation in der Entwicklung. Das Bauteil ist ein mit einer verdrahteten Logik ausgestatteter Speicher, den man mit Hilfe einer festverdrahteten Rechnung als echt erkennen kann. Diese Bauteil hat den Zweck, Fälschungsmöglichkeiten zu begrenzen. Der Einsatz des Bauelements für andere Anwendungszwecke bedingt jedoch die Mitteilung von Informationen, die besser vertraulich oder gar geheim blieben. Auf jeden Fall sind in diesem Bauteil die Wertmarken immer noch auf ein einziges Bit pro Gebühreneinheit beschränkt, was es unmöglich macht, ein und denselben Wertmarkenvorrat zwischen mehreren Betreibern aufzuteilen.
  • Was nun die Bankkarten angeht, so sind heutzutage in Frankreich Chips in die Karten integriert. Diese Chips tragen die Maske M4. Die bislang erzeugte Anzahl von M4-Karten (nicht ausschließlich für die Banken) beläuft sich auf etwa 20 000 000. Die Abmessungen der Chips für M4 betragen heute 15 bis 20 mm².
  • Jede M4-Karte ist mit einem anderen Geheimschlüssel ausgestattet. In jedem System, welches die M4-Karten verwendet, können die Sicherheitsmodulen, die über den System-Hauptschlüssel verfügen, diesen internen, für jede von dem Modul behandelte Karte anderen Sicherheitsschlüssel rekonstruieren, ihn folglich dazu benutzen, die erhaltenen Resultate zu verifizieren oder die angewiesenen Aktionen zu sichern.
  • Die M4-Maske wird auf unterschiedliche Weise personalisiert. Die Bankkarten sind es gemäß dem Modus BO. Die M4-Karten werden für sehr verschiedene Zwecke eingesetzt. In der Praxis jedoch ist es sehr schwierig, zahlreiche Verwendungsarten in ein und derselben Maske- M4-Karte gemeinsam existieren zu lassen, da diese Maske zu diesem Zwecke nicht ausgestaltet wurde.
  • In jüngerer Zeit sind neue Masken aufgekommen, so zum Beispiel die PC2-Maske, die für das Gebührenfernsehen entwickelt wurde von CCETT (Centre Commun d'Etudes de Télédiffusion et Télécommunications) und Bull CPB, die von Bull CP8 entwickelte Maske MP und die von PHILIPS und Bull CP8 entwickelte Maske TB100. Jede Karte enthält eine (oder mehrere) Garnitur(en) kryptografischer Schlüssel. Innerhalb jeder Garnitur sind die zum Steuern der Systemelemente verwendeten Schlüssel (Betriebsschlüssel) von den zum Steuern des Zugangs zu Diensten (Benutzungsschlüssel) verwendeten Schlüssel verschieden. Diese Masken sind zu dem Zweck konzipiert, daß die Karte gemeinsam von mehreren eine Zugangsberechtigung erteilenden Einrichtungen und Dienstleistungserbringern benutzt wird. In einem Sicherheitsmodul muß ein Hauptschlüssel eingerichtet werden, der für diese verschiedenen Masken auch als "Mutterkarte" bezeichnet wird, um in der auch als "Tochterkarte" bezeichneten Karte eines Benutzers eine Einheit zu öffnen oder zu steuern.
  • Die in diesen jüngeren Masken entwickelten Konzepte werden gerade einer ISO-Normung unterzogen. In den Karten, die für verschiedene Anwendungen benutzt wird (sogenannte "Multi-Service"-Karten), hat eine Haupteinheit in Form einer als "Master File" (abgekürzt MF) bezeichneten Hauptkartei dedizierte Einheiten in Form von dedizierten Karteien erzeugt, die als "Dedicated Files" (abgekürzt DF) bezeichnet werden. Die dedizierten Einheiten konnten ihrerseits neue dedizierte Einheiten in rekursiver Weise erzeugen. Jede dieser Karteien (MF, DF) enthält verschiedene Elementarkarteien, die als "Elementary Files" (abgekürzt EF) bezeichnet werden. Das Hauptrecht, welches sich eine Haupteinheit oder dedizierte Einheit bewahrt, besteht in dem Recht über Leben und Tod bezüglich jeder ihr unmittelbar nachfolgenden dedizierten Einheit. Durch Töten einer Einheit tötet man ersichtlich gleichzeitig sämtliche ihrer Nachfolger mit.
  • In einer Multi-Service-Karte wird die die Karte ausgebende Institution repräsentiert durch die Haupteinheit, die einen Teil ihrer Vollmachten dadurch auf dedizierte Einheiten übertragen hat, daß sie ihnen einen Teil der Resourcen der Karte zugewiesen hat. In ein und derselben Karte existieren gemeinsam mehrere dedizierte Einheiten, ohne daß die Sicherheit der einen die Sicherheit der übrigen abträglich beeinflußt, und ohne daß die Haupteinheit die dedizierten Einheiten stört oder Zugang zu den für diese verfügbaren Geheimcodes hat.
  • Die Haupt-Betriebsabläufe, die während der Phase der "Benutzung" in dem Leben der Multi-Service-Karten ablaufen, sind folgende:
  • - Ausgabe: Sie besteht darin, daß von der die Karte ausgebenden Institution die Haupteinheit erzeugt wird;
  • - Personalisierung: Sie besteht darin, daß die Haupteinheit vervollständigt wird, damit sie einem Verbraucher zugeteilt wird,
  • - Deligierung: Sie besteht darin, daß die Resourcen der Karte erzeugt und einer dedizierten Einheit zugeordnet werden, welche in der Karte einen Ausgeber von Zugangsberechtigungen verkörpert,
  • - Valorisierung: Sie besteht darin, daß in einer dedizierten Einheit verschiedene Informationen notiert oder modifiziert werden, welche die Zugriffsberechtigungen verkörpern, oder einen Vertrag zwischen dem Verbraucher und einem Leistungserbringer beschreiben,
  • - Verbrauch: Er besteht darin, daß in einer dedizierten Einheit informationen notiert oder modifiziert werden, welche die Ausführung des Vertrags zwischen dem Verbraucher und einem Leistungserbringer beschreiben.
  • Um die Probleme zu lösen, die durch diese den Umgang mit Multi- Service-Karten kennzeichnenden Abläufe gegeben sind, verwenden die Masken heute kryptographische Algorithmen mit Geheimschlüssel in Verbindung mit einer Geheimschlüssel-Hirarchie. Der Ausgeber der Karten richtet eine Garnitur von Hauptschlüsseln ein, die in den Karten durch Sekundärschlüssel diversifiziert sind als Funktion von Daten, die sich von Karte zu Karte ändern (der Chip-Seriennummer oder der Verbraucher-Kontonummer beispielsweise). Jedes Sicherheitsmodul oder jede Mutterkarte registriert und verwendet einen oder mehrere Hauptschlüssel. Die ersten Schlüssel eines Emittenten von Zugangsberechtigungen oder eines Leistungserbringers werden folglich unter dem Schutz eines Schlüssels übertragen, der zu dem Ausgeber der Karte gehört.
  • Dennoch ist es nicht sehr sicher für den Emittenten der Zugriffsberechtigungen oder den Leistungserbringer, seine eigenen Geheimcodes unter die Geheimcodes eines anderen zu stellen, zum Beispiel des Kartenausgebers, und es ist auch nicht sicher für den Kartenausgeber, die Hauptschlüssel relativ anonym und in großer Zahl in seiner Kontrolle nicht unterliegenden Bereichen in die Sicherheitsmodulen einzuspeisen. Algorithmen mit öffentlichem Schlüssel werden zur Zeit in Karten eingesetzt, um die Verwaltung der Karten und ihre Echtheitsprüfung zu verbessern. Die Methoden mit überhaupt keiner Einbringung von Wissen sind das letzte Ergebnis von Algorithmen mit öffentlichem Schlüssel. Das im folgenden zu beschreibende erfindungsgemäße Verfahren ist dennoch unabhängig von der in den Karten verwendeten Kryptographie.
  • In allgemeinem Zusammenhang mit Chipkarten schlägt die vorliegende Erfindung ein Verfahren zum elektronischen Zahlen vor, welches die auf diesem Gebiet bekannten grundlegenden Operationen aufgreift, nämlich:
  • a) eine zur Ausgabe von elektronischem Geld befähigte Ausgabeinstitution ordnet Karten Zahlungsmittel zu, die als Wertmarken bezeichnet werden, wobei diese Wertmarken durch Binärinformation gebildet werden, die in eine Speicherkartei der Karte eingeschrieben sind,
  • b) um mit einer solchen Karte einen Leistungserbringer für einen Dienst zu entlohnen, belastet man die Karte mit einer gewissen Anzahl von Wertmarken zugunsten des Leistungserbringers,
  • c) der Leistungserbringer bucht die empfangenen Wertmarken und läßt sich dann von der Ausgabeinstitution entlohnen,
  • wobei das erfindungsgemäße Verfahren dadurch gekennzeichnet ist, daß
  • A) man in der Ausgabeinstitution einen Anfangssatz einer gewissen Zahl (t) von aufeinanderfolgenden Zahlen bildet und man aus diesem Satz gewisse Zahlen auf Quasi-Zufallsbasis herauszieht, wodurch ein Satz von für den Verkauf verfügbaren Zahlen übrig bleibt,
  • B) um Wertmarken einer bestimmten Karte zuzuordnen,
  • - man auf Quasi-Zufallsbasis gewisse Zahlen des Satzes von für den Verkauf verfügbaren Zahlen auswählt,
  • - man diese Zahlen der Karte als Wertmarken zuordnet, wobei jede Wertmarke (als "Ticket" bezeichnet) somit durch eine Gruppe von Bits gebildet wird, welche die als Wertmarke zugeordnete Zahl kodiert,
  • - man aus dem Satz von für den Verkauf verfügbaren Zahlen die so zugeordneten Zahlen herauszieht,
  • C) um eine Leistung mit Hilfe von Tickets zu bezahlen, die Karte dem Leistungserbringer die Zahlen dieser Tickets mitteilt,
  • D) der Leistungserbringer sämtliche Zahlen sammelt, die er von verschiedenen Karten erhalten hat, und sie an die Ausgabeinstitution zur Bezahlung seiner Dienst zurückgibt, wobei die Institution die Echtheit der so zurückübertragenen Zahlen verifiziert.
  • Die Ausgabeinstitution für die Zugangsberechtigungen kann eine Bank sein, die das elektronische Geld ausgibt, um jegliche Art von Diensten zu bezahlen, eine Stelle, die Reiseschecks ausgibt, oder auch eine Stelle, die Wertmarken ausgibt, die zum Bezahlen von speziellen Diensten nach Gebühreneinheiten dienen.
  • Die Numerierung von Wertmarken, bei der es sich um das wesentliche Kennzeichnungsmerkmal der Erfindung handelt, ermöglicht die Lösung der gestellten Aufgabe, nämlich die Kontrolle über die Echtheit der Wertmarken bei gleichzeitiger Beibehaltung der Anonymität.
  • Die vorliegende Erfindung betrifft außerdem eine Karte zum elektronischen Zahlen zum Durchführen des oben beschriebenen Verfahrens. Diese Karte, die eine Verbrauchskarte ist, weist auf:
  • - eine Speicherkartei, die von einer als Leitkarte bezeichneten Karte Binärinformationen empfangen kann, die die als Wertmarken bezeichneten Zahlungsmittel bilden,
  • - Dialogmittel für den Dialog mit einer als Betriebskarte bezeichneten Karte, die sich bei einem Leistungserbringer befindet,
  • - Mittel zum Belasten des Karteispeichers mit einer gewissen Anzahl von Wertmarken auf Anforderung seitens der Betriebskarte,
  • wobei diese Verbrauchskarte dadurch gekennzeichnet ist, daß der Karteispeicher in Form mehrerer Bit-Gruppen organisiert ist, von denen jede Bitgruppe eine Zahl kodiert, bei der es sich um die Zahl handelt, die als als "Ticket" bezeichnete Wertmarke zugeordnet ist, der Karteispeicher folglich einen Block von Tickets enthält, wobei die Mittel zum Belasten des Karteispeichers mit einer gewissen Anzahl von Tickets in der Lage sind, der Betriebskarte die Zahlen der zu belastenden Tickets mitzuteilen.
  • Die besonderen Merkmale und Vorteile der Erfindung ergeben sich besser im Lichte der nachfolgenden Beschreibung. Diese Beschreibung bezieht sich auf Ausführungsbeispiele, die lediglich erläuternden aber keineswegs beschränkenden Charakter haben, wobei sich die Beschreibung auf die beigefügten Zeichnungen bezieht. Es zeigen:
  • Fig. 1 schematisch die Organisation eines allgemeinen Systems zum Ausführen des erfindungsgemäßen Verfahrens;
  • Fig. 2 einen Satz von Zahlen,
  • Fig. 3 ein Verteilungsmuster,
  • Fig. 4 Verkaufsmuster,
  • Fig. 5 eine Ausführungsform eines Tickets mit zwei Achtergruppen,
  • Fig. 6 ein Kontrollmuster.
  • Allgemein und ohne Beschränkung kann das erfindungsgemäße Verfahren durch ein System realisiert werden, wie es in Fig. 1 dargestellt ist. Dieses System verwendet vier Typen von Chipkarten:
  • - Anfangsleitkarten (CIG) (vom Typ Großmutterkarte), die dazu dient, Leit-Mutterkarten zu erzeugen,
  • - Leit-Mutterkarten (CGest), die Wertmarken in die Verbrauchskarten einbringen,
  • - Verbrauchskarten (CCons) (vom Typ Tochterkarte), welche Zugriffsberechtigungen in Form von Wertmarken verkörpern,
  • - Betriebskarten (CExpl) (vom Typ Mutterkarte), die in den Verbrauchskarten (CCons) befindliche Wertmarken entnehmen.
  • Die Anfangsleitkarten (CIG), die Leit-Mutterkarten (CGest) und die Betriebs-Mutterkarten (CExpl) werden von einem Karten-Emittenten ausgegeben, der sie für die Ausgeber von Zugangsberechtigungen personalisiert.
  • Die Verbrauchs-Tochterkarten (CCons) werden ebenfalls von dem Kartenemittenten ausgegeben. Abhängig von den Vertriebsmodalitäten können diese Karten das Eigentum des Kartenemittenten bleiben oder in das Eigentum ihres Trägers übergehen. Vorzugsweise anonym, können sie dennoch personalisiert werden.
  • Man sieht, daß in gewissen Realisierungsformen der Kartenausgeber auch gleichzeitig der Ausgeber für Zugangsberechtigungen sein kann.
  • Ziel der Erfindung ist es, numerierte Wertmarken zu verkaufen, die als "Tickets" bezeichnet werden. Diese Tickets sind in aus Zahlen gebildeten Blöcken organisiert, die auf Zufallsbasis oder zumindest in für einen Betrachter zufällig erscheinender Weise in einem Satz enthalten sind. Die Verkäufe für jeden Satz werden freiwillig beschränkt, um einen beträchtlichen Anteil von nicht verkauften Zahlen zu behalten (beispielsweise in der Größenordnung von 50%), ebenfalls auf Zufalls- oder Pseudozufallsbasis ausgewählt. Lediglich der Ausgeber von Zugangsberechtigungen unterscheidet die "echten Wertmarken" von "falschen Wertmarken".
  • Die Leitkarten werden personalisiert, um die Verkäufer in die Verantwortung zu nehmen. Der Zufall oder zumindest der mit dem Pseudo- Zufall in Verbindung stehende scheinbare Zufall wird in die Numerierung der Wertmarken eingeführt, um
  • - den Anonymitätsschutz der Verbraucher zu gewährleisten,
  • - eine Auswertung der Betriebsabläufe zu ermöglichen, und so Anomalien nachzuweisen und zu diagnostizieren,
  • - die Aktivität von Leistungserbringern im Hinblick auf die Konkurrenz zu überwachen.
  • Dank der Numerierung der Wertmarken wird erfindungsgemäß die Fälschung bei ihrem Auftreten erkannt und lokalisiert. Das Ziel besteht letztendlich darin, den Fälscher in Unsicherheit zu wiegen.
  • Wenn nach einen Eingriff in eine Verbrauchskarte eine Schlüsselgarnitur und ein Block von Tickets in einem Satz aufgedeckt werden, kann man daraus falsche Karten ermitteln, die unentdeckt durchgegangen sind.
  • Wenn außerdem in der Folge des Eingriffs in eine Leitkarte eine Garnitur von Schlüsseln und eine Gruppe von verkaufbaren Nummern in einem Satz aufgedeckt werden, reicht es aus, daß die Verletzung der Karte angezeigt wird, damit die Bemühungen des Betrügers zunichte gemacht werden. Wenn der Diebstahl nicht angezeigt wird, stellt man dennoch den Betrug und den verdächtigen Verkäufer fest.
  • Wenn ferner ein Betreiber seinen Ertrag verbessern will, indem er in seine Betriebsabrechnungen Nummern zusätzlich einfügt, so kann er, wenn er Zahlen erfindet, nicht vermeiden, daß es sich dann um unverkaufte Nummern handelt, die die eigentlichen falschen Wertmarken sind. Wenn er bereits erhaltene Nummern wiederholt, so kann er sich dennoch ausdenken, daß der Betrug nicht umfangreich genug ist, um sich zu lohnen.
  • Soweit der Umfang eines Betrugs meßbar ist, kann man erwägen, die Schärfe von Sanktionen an das Ausmaß des Betrugs anzupassen.
  • Allgemein gesprochen, sind die in den verschiedenen Karten des Systems gemäß Fig. 1 enthaltenen Funktionen die folgenden:
    • Leitkarten:
  • Der Ausgeber von Zugriffsberechtigungen verteilt Leitkarten an Verkäufer. Jede Leitkarte bildet Blöcke von Tickets innerhalb des Rahmens eines Satzes, der durch einen Identifizierer, eine Gültigkeitszeitspanne und eine Garnitur von geheimen Schlüsseln definiert wird. Darin sind die Verkäufe von Blöcken nach Block-Typen verbuchbar. Jede Leitkarte kontrolliert ihre Operationen in einem Verkaufsmuster (dessen Aufbau weiter unten noch erläutert wird) in der Weise, daß jede Zahl nur ein einziges Mal verkauft werden kann. Der Identifizierer des Satzes und die Anzahl von verkauften Blöcken lassen sich in der Leitkarte beliebig abfragen.
  • Allerdings erfolgt die Abfrage des Verkaufsmuster unter dem Vorbehalt einer vorausgehenden Echtheitsprüfung des Ausgebers der Zugangsberechtigungen. Der Zustand des Musters wird durch die Leitkarte geliefert, vorzugsweise in kodierter Form, damit die Kenntnisnahme der an der Schnittstelle ausgetauschten Daten nicht die Möglichkeit schafft, den Zustand des Verkaufsmusters zu erfahren. Auf diese Weise kann der Ausgeber den aktuellen Zustand seiner Verkaufsmuster in den Leitkarten bei den Verkäufern aus der Ferne abfragen. Wenn der Verkauf abgeschlossen ist, wird die Leitkarte von dem Verkäufer an den Ausgeber der Zugriffsberechtigungen zurückgegeben.
  • Der Vorgang des Verkaufs eines Blocks von n Tickets beinhaltet die folgende, n-mal wiederholte Grundoperation: es wird per Zufall eine Zahl hergenommen; die erste verkaufbare Zahl nach dieser Zahl wird ausgewählt (wenn man die letzte Zahl wählt, gelangt man automatisch zu der ersten); das Verkaufsmuster wird in der Leitkarte dadurch aktualisiert, daß der Zustand des der verkauften Zahl entsprechenden Bits umgekehrt wird.
    • Verbrauchskarten:
  • Die Erzeugung eines Blocks aus n Tickets besteht darin, in eine dedizierte Kartei einer Verbrauchskarte einen Satz-Identifizierer, eine Gültigkeitszeitspanne, eine Garnitur geheimer Schlüssel und die n Tickets einzuschreiben. Die von der Leitkarte in die Verbrauchskarte übergehenden Zahlen sind vorzugsweise kodiert, damit eine Kenntnisnahme von den an der Schnittstelle ausgetauschten Daten nicht die Möglichkeit schafft, eine Liste der verkauften Zahlen zu erstellen.
  • Die Nummern von nicht verkauften Tickets in einem Block werden vorzugsweise in der Verbrauchskarte geheimgehalten. Sie werden nacheinander zum Zeitpunkt ihres Verbrauchs aufgedeckt. Ein aufgedecktes Ticket ist nicht mehr brauchbar und nicht länger geheim. Ein verbrauchtes Ticket wird in der Verbrauchskarte ungültig gemacht. Wenn es die Technologie erlaubt, können nicht zulässige Blöcke, sogar nicht zulässige Tickets, in der Verbrauchskarte gelöscht werden.
    • Betriebskarten:
  • Der Ausgeber von Zugriffsberechtigungen verteilt außerdem Betriebskarten an Leistungserbringer. Jede Betriebskarte sammelt Tickets in dem Rahmen von Sätzen, die jeweils definiert sind durch einen Identifizierer, eine Gültigkeitszeitspanne und eine Garnitur von geheimen Schlüsseln. Der Verbrauchsvorgang beinhaltet eine reziproke Echtheitsprüfung zwischen der Verbrauchskarte und der Betriebskarte, wozu einer der geheimen Schlüssel der Garnitur benutzt wird. Im Zuge dieser Authentifizierung werden auf Anforderung seitens der Betriebskarte hin der Betriebskarte Zahlen von der Verbrauchskarte übermittelt. Diese zwischen der Verbrauchskarte und der Betriebskarte übertragenen Zahlen sind vorzugsweise kodiert, damit eine Kenntnisnahme von den an der Schnittstelle ausgetauschten Daten nicht die Möglichkeit eröffnet, die Liste der verbrauchten Zahlen zu erzeugen.
  • Für jeden von ihm angetroffenen Satz sammelt der Leistungserbringer folglich Zahlen, die er in der ökonomischten Weise als geordnete Zahlenliste oder in Form des Verbrauchsmusters organisieren kann. In periodischen Abständen unterzeichnet er diese Listen oder Muster, beispielsweise durch einen Sicherheitscode, um sie dann an das Zentralsystem zwecks Buchung zurückzureichen, das heißt um die Bezahlung seiner Leistungen zu erreichen. Er erstellt Anomalitäts-Berichte, wenn er Sätze feststellt, die widersprüchlich sind oder eine spezielle Überwachung erfahren. Außerdem liefert ihm der Ausgeber der Zugangsberechtigungen schwarze Listen von Satz-Identifizierern und gewissen Tickets in gewissen Sätzen.
  • Im folgenden werden verschiedene spezielle Stufen des erfindungsgemäßen Verfahrens beschrieben.
  • Zunächst bildet man eine Folge von aufeinanderfolgenden Zahlen, die in Form eines Satzes organisiert sind. Ein Satz wird gebildet durch einen Identifizierer, eine Gültigkeitszeitspanne, eine Garnitur von geheimen Schlüsseln und ein Feld von t aufeinanderfolgenden Zahlen. Diese Informationen werden durch einen Ausgeber von Zugangsberechtigungen erzeugt. Fig. 2 zeigt schematisch ein Feld aus t aufeinanderfolgenden Zahlen (von 0 bis t-1).
  • Ein Satz kann beispielsweise 64 000 Wertmarken enthalten, die von bis 63 999 numeriert sind, jeweils mit Hilfe von 16 Bits kodiert. Der Verkauf kann beschränkt werden auf etwa 30 000 Zahlen innerhalb des Satzes. Ein Block kann 10, 20, 60, 90, 120 oder sogar 140 Tickets umfassen. Man kann auch Einheitsgrößen verkaufen, obschon dies nicht die Ausnutzung der Speicher in der Verbrauchskarte optimiert.
  • Bei einem Ausgabe- und Personalisierungsvorgang der Anfangsleitkarten erstellt der Kartenausgeber Anfangsleitkarten (vom Typ "Großmutter"), die eine dedizierte Kartei mit einem Identifikator, einem Primärschlüssel, einem Verteilungsmuster und einer Möglichkeit zum Zählen und Markieren von erzeugten Leitkarten enthält.
  • Ein Verkaufsmuster ist in Fig. 3 dargestellt. Es beinhaltet Q Wörter aus jeweils R Bits (zum Beispiel 250 Wörter mit jeweils 256 Bits). Sämtliche Bits sind zunächst im Zustand 1 (Teil a).
  • Der Ausgeber von Zugangsberechtigungen vervollständigt zunächst die dedizierte Kartei, um sie einem Satz zuzuordnen, indem er in sie den Identifizierer des Satzes und eine Garnitur von Geheimschlüsseln eingibt. Dann löscht er einen gewissen Anteil von Tickets, die niemals zum Verkauf gelangen werden. Zu diesem Zweck setzt er in jedem der Q Wörter des Verteilungsmusters eine gewisse Anzahl von Bits auf 0, die per Zufall oder zumindest auf dem Betrachter zufällig erscheinender Basis gewählt werden. Der so erhaltene Zustand des Musters ist im Teil b der Fig. 3 dargestellt. Man kann beispielsweise in jedem Wort aus 256 Bits 60 Bits auf 0 setzen. Auf diese Weise werden 15 000 Zahlen ausgesondert.
  • Der Ausgeber von Karten erstellt außerdem Leitkarten. Jede Leitkarte beinhaltet eine dedizierte Kartei mit einem Identifikator, einem Primärschlüssel, einer Möglichkeit zum Zählen der verkauften Blöcke und schließlich ein Verkaufsmuster. Ein Verkaufsmuster enthält Q Wörter mit jeweils R Bits, die zunächst alle auf 1 gesetzt sind (beispielsweise 250 Wörter mit jeweils 256 Bits). Der Kartenausgeber liefert diese Leitkarten an den Ausgeber von Zugangsberechtigungen.
  • Der Ausgeber von Zugangsberechtigungen vervollständigt zunächst die dedizierte Kartei, um sie einem Satz zuzuordnen, indem er den Identifizierer des Satzes und eine Garnitur von geheimen Schlüsseln in die Kartei eingibt. Außerdem richtet er soviel Zähler ein, wie es Typen von verkäuflichen Blöcken gibt. Ein Typ entspricht beispielsweise einer Anzahl von Tickets pro Block, oder speziellen Tarif-Bedingungen.
  • Anschließend erstellt er mit Hilfe der Anfangsleitkarte ein Verkaufsmuster, welches die Verteilung der Zahlen ermöglicht, die sich noch im Zustand 1 innerhalb des Verteilungsmusters befinden (Fig. 2b). Für jedes der Q Wörter des Verteilungsmusters wählt der Ausgeber unter den sich noch im Zustand 1 befindenden Bits eine gewisse Zufallszeit p aus, zumindest eine Zahl, die dem Betrachter als zufällig erscheint. Beispielsweise hat die Zahl p den Wert 36. Der Ausgeber setzt dann auf den Zustand 0:
  • - diese p Bits in dem Wort, welches dem in der Anfangsleitkarte befindlichen Verteilungsmuster entspricht (Fig. 3c),
  • - die (t-p) übrigen Bits in dem Wort, welches dem Verkaufsmuster in der Leitkarte entspricht, so daß ein Verkaufsmuster GV1 erhalten wird (Fig. 4a).
  • Um ein zweites Verkaufsmuster GV2 (Fig. 4b) zu schaffen, werden die gleichen Vorgänge ausgehend von dem neuen Verteilungsmuster durchgeführt (Fig. 3c). Diese Verkaufsmuster GV1 und GV2 sind also disjunkt insofern, als ein eine gewisse Bitstelle einnehmendes Bit in den beiden Mustern nicht gleichzeitig 1 sein kann. Folglich kann die Zahl des Satzes nur ein einziges Mal verkauft werden.
  • Als wesentliches Element einer dedizierten Kartei in einer Leitkarte gestattet das Verkaufsmuster die progressive Erstellung von Ticket- Blöcken sowie deren Verkauf:
  • - wenn das j-te Bit des Musters auf 1 ist, ist das entsprechende Ticket verkaufbar,
  • - wenn das j-te Bit auf 0 steht, ist das entsprechende Ticket nicht verkaufbar,
  • - beim Verkauf eines Tickets wechselt das entsprechende Bit von 1 auf 0.
  • Die Abfrage des Zustands der Verkaufsmuster ist dem Ausgeber der Zugangsberechtigungen dank einer Authentifizierung des Ausgebers mit Hilfe der Leitkarte vorbehalten.
  • Schließlich vervollständigt der Ausgeber der Zugangsberechtigungen die Leitkarte. In der Hauptkartei befindet sich beispielsweise eine Verkaufszeitspanne, die die Benutzung der Leitkarte beschränkt. In der für den Satz dedizierten Kartei befindet sich beispielsweise eine Verkaufsschwelle, die den Verkaufsumfang für die Leitkarte beschränkt. Beispielsweise kann die Verkaufsschwelle auf 244 fixiert werden.
  • Zusammengefaßt, für einen gegebenen Satz ist die Gesamtheit der verkaufbaren Tickets für jede Leitkarte disjunkt, und nach Abschluß des Verkaufs für einen gegebenen Satz bildet der für Gruppen von nicht verkaufbaren Nummern in der Gruppe von Leitkarten gemeinsame Teil die Gruppe von Nummern, die niemals verkauft werden, sei es durch anfängliche Entscheidung seitens des Ausgebers von Zugangsberechtigungen, wenn dieser das Verkaufsmuster initialisiert hat, sei es durch abschließende Entscheidung des Ausgebers der Zugangsberechtigungen, wenn er den Verkauf des Satzes in der Anfangsleitkarte abgeschlossen hat.
  • Der Ausgeber von Zugangsberechtigungen kann für denselben Satz mehrere Leitkarten einrichten, die gleiches Verkaufsvermögen besitzen. Jede dieser Leitkarten beinhaltet eine Untergruppe, die beispielsweise 9 000 Zahlen (250 mal (256-220)) beinhaltet, unter denen er bis zu 6 000 (250 mal (244-220)) verkaufen kann.
  • Dennoch kann das Verkaufsvermögen von einer Leitkarte zur anderen variieren. Der Ausgeber der Zugangsberechtigungen erstellt die Leitkarten nach Maßgabe des Bedarfs der Verkäufer.
  • In der Praxis kann eine Leitkarte natürlich mehrere Sätze verkaufen, wenn sie entsprechende dedizierte Karteien enthält.
  • Für den Verkauf von Ticket-Blöcken geht man folgendermaßen vor: Man erinnert sich, daß in jeder Leitkarte ein Verkaufsmuster existiert, welches Q Wörter mit jeweils R Bits enthält. Zu Beginn der Verkäufe gibt es in jedem dieser Wörter bereits R-p Bits im Zustand 0, die von dem Ausgeber der Zugangsberechtigungen festgelegt wurden (in dem obigen Beispiel sind Q=250, R=256, t=64 000 und p=36). In jeder einem Satz in jeder Leitkarte zugeordneten Datei wird ein laufender Zeiger gehalten (der bei dem Beispiel von Q=250 Wörtern eine Achtergruppe darstellt). Zu Beginn der Verkäufe, wenn die Leitkarte von dem Ausgeber von Zugangsberechtigungen an den Verkäufer ausgeliefert wird, zeigt er auf Null.
  • Es sei an die Übereinkommen bezüglich des Verkaufsmusters in der Leitkarte erinnert:
  • - wenn das Bit eine 1 ist, ist das entsprechende Ticket verkaufbar,
  • - wenn das Bit eine 0 ist, ist das entsprechende Ticket nicht verkaufbar,
  • - bei jedem Verkauf von Tickets wird das entsprechende Bit von 1 auf 0 gesetzt.
  • Zu Beginn jedes Verkaufs eines Blocks verifiziert die Leitkarte, daß das laufende Datum in der Verkaufszeitspanne liegt. Wenn die Zeitspanne noch nicht begonnen hat, lehnt die Karte den Verkauf ab. Wenn die Zeitspanne abgelaufen ist, macht die Karte die Verkaufsfunktion ungültig.
  • Während des Verkaufs wird bei jedem Ticket der Zeiger erhöht um 1 modulo Q (beispielsweise 250), das heißt, man geht zu dem nachfolgenden Wort weiter. Anschließend wird in der Leitkarte auf Zufallsbasis ein neuer Index erzeugt (der im vorliegenden Fall bei R=256 eine Achtergruppe darstellt). Wenn die entsprechende Wertmarke in dem R=256 Bits umfassenden, von dem Zeiger markierten Wort nicht verkaufbar ist (das Bit steht auf 0), wird der Index erhöht um 1 modulo R=256, bis in dem angezeigten Wort eine verkaufbare Wertmarke aufgefunden wird.
  • Die Zahl des verkauften Tickets enthält die Bits des Zeigers und diejenigen des Index, das sind 16 Bits im gewählten Beispiel. Der laufende Zeiger bildet die höherwertigen Stellen (mit Werten von 0 bis 249), und der laufende Index bildet die niedrigwertigen Stellen (mit Werten von 0 bis 255). Der laufende Index bildet die geheime Information, die von der Leitkarte in die Verbrauchskarte zu übertragen ist.
  • Es ist ohne weiteres möglich, die Zahlen der Tickets unter Verwendung einer Basis zu strecken. Die Anzahl des Tickets wird dann gebildet durch die Basis im höherwertigen Stellenbereich und die 16 vorausgehenden Bits niedriger Wertigkeit. Dies ermöglicht die Verwendung von umfangreicheren Sätzen.
  • Am Ende jedes Verkaufs von Blöcken aktualisiert die Leitkarte den Zähler für den entsprechenden Typ des verkauften Blocks. Dann zählt sie die Anzahl von Bits mit dem Wert 0 in dem Wort, auf das der laufende Zeiger zeigt. Wenn diese Zahl die zugelassen Schwelle erreicht hat oder sie übersteigt (in dem obigen Beispiel 244), wird die Verkaufsberechtigung in der dedizierten Kartei beendet. Als Folge schließt die Leitkarte die Verkäufe und macht automatisch die dedizierte Kartei ungültig.
  • Die Verwendung der Verbrauchskarten findet folgendermaßen statt: in einer Verbrauchskarte befinden sich Ticket-Blöcke, verkörpert durch dedizierte Karteien. Der Identifikator einer dedizierten Kartei kennzeichnet den Ausgeber von Zugriffsberechtigungen. Ein Ticket-Block enthält den Identifizierer des Satzes, eine Gültigkeits-Zeitdauer und eine Garnitur von geheimen Schlüsseln. Die Anzahl von Tickets des Blocks wird mit n bezeichnet, der laufende Zeiger des Blocks, der Maximalwert des Zeigers (zum Beispiel 250 in Form einer Achtergruppe), möglicherweise der Minimalwert des Zeigers (hier der Wert 0 in Form einer Achtergruppe) und schließlich eine Liste von n Indizes (beispielsweise jeweils in Form einer Achtergruppe eingeschrieben). Jeder dieser Indizes ist insofern geheim, als er nicht verbraucht wird. Durch Aufdeckung verbraucht die Karte das entsprechende Ticket.
  • Der Zeiger des Blocks in der Verbrauchskarte wird von dem Wert des laufenden Zeigers in der Leitkarte zu dem Zeitpunkt fixiert, zu dem die erste Zahl zur Bildung des Blocks ausgewählt wird.
  • Zum Verbrauchen von Tickets gibt die Verbrauchskarte zunächst den Maximalwert des Zeigers, den Minimalwert des Zeigers, dann den laufenden Zeiger an, der auf das erste nicht verbrauchte Ticket zeigt.
  • Anschließend deckt die Verbrauchskarte die Indizes der Tickets auf Anforderung hin auf.
  • Fig. 5 zeigt ein Ticket, welches dem Fall entspricht, bei dem der Zeiger P und der Index I Achtergruppen darstellen. Im dargestellten Beispiel entspricht das Ticket dem sechsten Wort und dem 34-ten Bit dieses Worts, was der Zahl 5x256+34=1314 entspricht.
  • Auf der Ebene des Zentralsystems werden für jeden ausgegebenen Satz die Leitinformationen in einem Kontrollmuster zusammengefaßt, welches folglich aus 3t Bits besteht, wobei t Bits für die Verbrauchsvorgänge und t Doppelbits jeweils für den Verkaufszustand dienen. Ein solches Kontrollmuster ist in Fig. 6 (Teil a) darstellt.
  • Wie in Fig. 6b dargestellt ist, wurde
  • - wenn das j-te Verbrauchsbit den Wert 1 hat, das j-te Ticket noch nicht durch einen Leistungserbringer präsentiert,
  • - wenn das j-te Verbrauchsbit den Wert 0 hat, das j-te Ticket bereits durch einen Leistungserbringer präsentiert.
  • Wie in Fig. 6c dargestellt ist,
  • - wird, wenn das j-te Verkaufs-Doppelbit 00 ist, das j-te Ticket nicht verkauft werden (Anfangsentscheidung des Ausgebers),
  • - wird, wenn das j-te Verkaufs-Doppelbit den Wert 01 hat, das j- te Ticket nicht verkauft werden (Verkaufsschluß),
  • - ist, wenn das j-te Verkaufs-Doppelbit den Wert 10 hat, das j-te Ticket bereits verkauft worden, und
  • - befindet sich, wenn das j-te Verkaufs-Doppelbit den Wert 11 hat, das j-te Ticket im Verkauf.
  • Jedesmal, wenn eine Leitkarte abgefragt oder zurückgeholt wird, oder ein Verbrauchsmuster zur Bezahlung vorgelegt wird, aktualisiert der Ausgeber der Zugangsberechtigungen das Kontrollmuster, welches dem Satz entspricht.
  • Von dem ersten Verbrauchsvorgang an wird ein Anomalie-Bericht erstellt, wenn das Ticket nicht verkauft wird, von dem zweiten Verbrauchsvorgang an in den übrigen Fällen. Es sei angemerkt, daß möglicherweise die den Verbrauch eines Tickets beschreibende Information früher an dem Kontrollmuster ankommt als die Information, die den Verkauf des Tickets beschreibt.
  • Der Anomalie-Bericht beinhaltet den Identifizierer des Satzes, die Zahl des Tickets und außerdem den Namen des Leistungserbringers, der das verdächtige Ticket zur Bezahlung vorgelegt hat. Der Ausgeber von Zugangsberechtigungen kann schließlich die Leitkarte auffinden, über die das verdächtige Ticket verkauft wurde. Die Spezifizierung der Anomalie-Berichte kann nach in Dienststellung des Systems verfeinert werden. Die Anomalie-Berichte müssen zugänglich sein durch den Identifizierer des Satzes und die Ticketnummer, außerdem auch für den Identifizierer des Leistungserbringers, sogar für den Identifizierer des Verkäufers.
  • Der Ausgeber von Zugangsberechtigungen kann außerdem den Leistungserbringern einen Teil der Information über die nicht verkauften Posten zur Verfügung stellen, um ihn an der Kontrolle teilhaben zu lassen. Zu diesem Zweck erstellt der Ausgeber der Zugangsberechtigungen eine Teil-Liste zur Kontrolle im Bereich der Mitte der zunächst eingerichteten Zahlen. Diese Kontrolliste kann in vorteilhafter Weise in die Betrieb skarte eingearbeitet werden.
  • Wenn die Übertragung der verbrauchten Zahlen zwischen der Verbrauchskarte und der Betriebskarte verschlüsselt erfolgt, ist die Kontrollliste möglicherweise nicht einmal für den Leistungserbringer abfragbar.
  • Für den Fall, daß eine Datei von Zugriffsberechtigungen einen Block von Tickets gemäß dem erfindungsgemäßen Verfahren verkörpert, ist eine Zusatzmarkierung nützlich, die den Zustand der Datei angibt (frei oder belegt).
  • Der Verbrauchsvorgang wird eingeleitet durch eine reziproke Echtheitsprüfung und einen Informationsaustausch (Identifikatoren, Identifizierer des Satzes, Datum und Stunde, Ticket-Bilanz) zwischen der Verbrauchskarte und der Betriebskarte. Diese Echtheitsprüfung verwendet aus der Garnitur einen Sicherheitsschlüssel, der für den betreffenden Leistungserbringer reserviert ist. Die dedizierte Datei, die den Block verkörpert, wird hierdurch in den "Zustand belegt" innerhalb der Verkaufskarte gebracht, welche anschließend von dem System entkoppelt werden kann.
  • Am Ende des Vorgangs erfolgt eine weitere reziproke Echtheitsprüfung zwischen der Verbrauchskarte und einer Betriebskarte (die nicht notwendiger Weise dieselbe Betriebskarte ist). Diese Authentifizierung verwendet aus der Garnitur einen Sicherheitsschlüssel, der zu demselben Leistungserbringer gehört. Die Betriebskarte fixiert die Anzahl angeforderter Tickets. Nach dem Verbrauchsvorgang (Aufdeckung der Zahlen) wird die Datei der Zugriffsberechtigungen "freigesetzt". Die verbrauchten Tickets können anschließend in der Verbrauchskarte zerstört werden.
  • Ist der Satz gesperrt, wird der Block nicht freigegeben, das heißt, die Datei bleibt im "Zustand belegt". Der Konsument wird gebeten, sich zum Verkaufsschalter zu begeben, um die Situation zu regeln.

Claims (15)

1. Verfahren zum elektronischen Zahlen mit Hilfe von Mikroprozessor-Karten, bei dem
a) eine zur Ausgabe von Zugangsrechten befähigte Ausgabeinstitution Karten Zahlungsmittel zuordnet, die als Wertmarken bezeichnet werden, welche durch Binärinformationen gebildet werden, die in eine Speicherkartei der Karte eingeschrieben sind;
b) um einen Leistungserbringer für einen Dienst zu entlohnen, man die Karte mit einer gewissen Anzahl von Wertmarken zugunsten des Leistungserbringers belastet;
c) der Leistungserbringer die erhaltenen Wertmarken bucht und sich dann von der Ausgabeinstitution entlohnen läßt;
dadurch gekennzeichnet, daß
A) man in der Ausgabeinstitution einen Anfangssatz einer gewissen Anzahl (t) von aufeinanderfolgenden Zahlen bildet und man aus diesem Satz gewisse Zahlen auf Quasi- Zufallsbasis herauszieht, wodurch ein Satz von für den Verkauf verfügbaren Zahlen übrigbleibt,
B) um Wertmarken einer bestimmten Karte zuzuordnen:
- man auf Quasi-Zufallsbasis gewisse Zahlen des Satzes von für den Verkauf verfügbaren Zahlen auswählt,
- man diese Zahlen der Karte als Wertmarken zuordnet, wobei jede Wertmarke (als Ticket bezeichnet) somit durch eine Gruppe von Bits gebildet wird, welche die als Wertmarke zugeordnete Zahl codiert,
- man aus dem Satz von für den Verkauf verfügbaren Nummern die so zugeordneten Nummern herauszieht,
C) um eine Leistung mit Hilfe von Tickets zu bezahlen, teilt die Karte dem Leistungserbringer die Zahlen dieser Tickets mit,
D) der Leistungserbringer übernimmt sämtliche Zahlen, die er von verschiedenen Karten erhalten hat und gibt sie an die Ausgabeinstitution zur Bezahlung seiner Dienste zurück, wobei die Institution die Echtheit der so zurückübertragenen Zahlen verifiziert.
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet,
daß zur Bildung des Satzes von für den Kauf verfügbaren Zahlen:
- man eine Folge von Bits nimmt, die sämtlich den Wert "1" haben, und deren Anzahl (t) der Anzahl von aufeinanderfolgenden Zahlen entspricht, die den von der Ausgabeinstitution definierten Anfangssatz bilden,
- man auf Quasi-Zufallsbasis gewisse dieser Bits auswählt und sie auf "0" setzt, wodurch ein Bitmuster aus "0" und "1" verbleibt, welches als Verteilungsmuster bezeichnet wird,
- jedes Bit dieses Verteilungsmusters durch seinen Stellenwert "j" die Zahl bezeichnet, die in dem durch die Ausgabeinstitution gebildeten Anfangssatz den gleichen Stellenwert hat, wobei diese Zahl dann als für den Verkauf verfügbar betrachtet wird, wenn das Bit des Verteilungsmusters den Wert "1" hat, hingegen als nicht für den Verkauf verfügbar betrachtet wird, wenn dieses Bit den Wert "0" hat.
3. Verfahren nach Anspruch 2,
dadurch gekennzeichnet,
daß man durch folgende Operationen Verkaufsmuster bildet:
- man nimmt eine Folge einer Anzahl (t) von Bits, die sämtlich den Wert "1" haben,
- man wählt in dem Verkaufsmuster eine Anzahl (p) von Bits mit dem Wert "1" aus,
- man setzt die (t-p) Bits der Folge von t Bits, deren Stellenwerte nicht den Stellenwerten der so in dem Verteilungsmuster ausgewählten p Bits mit dem Wert "1" entsprechen, auf den Wert "0", was eine Folge von p Bits mit dem Wert "1" und (t-p) Bits mit dem Wert "0" übrigläßt, welche ein Verkaufsmuster bildet,
- man setzt die in dem Verteilungsmuster gewählten p Bits auf "0",
- der Verkauf von Tickets auf einer Karte mit einem solchen Verkaufsmuster besteht darin, unter den Bits mit dem Wert "1" des Verkaufsmusters Bits auszuwählen, wobei der Stellenwert dieser ausgewählten Bits den Stellenwert der Zahlen angibt, die in dem von der Ausgabeinstitution gebildeten Satz von für den Verkauf verfügbaren Zahlen herzunehmen sind, diese Zahlen auf die Karte übertragen werden, und die entsprechenden Bits in dem Verkaufsmuster auf "0" gesetzt werden,
- sämtliche so gebildeten Verkaufsmuster werden durch disjunktive Bitfolgen gebildet, wobei jede Zahl des Satzes nur ein einziges Mal verkauft werden kann.
4. Verfahren nach einem der Ansprüche 2 und 3, dadurch gekennzeichnet, daß das Verteilungsmuster und die Verkäufsmuster in Form einer Anzahl Q von Worten mit jeweils einer Anzahl von R Bits organisiert sind, wobei jedes Bit dieser Muster festgelegt wird durch eine erste Gruppe von Bits, als Zeiger bezeichnet, welcher auf die Q Wörter zeigt, und eine zweite Gruppe von Bits, die als Index bezeichnet wird und eines der R Bits in dem bezeichneten Wort identifiziert, wobei ein Ticket somit durch zwei Gruppen von Bits numeriert wird.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß der Zeiger und der Index jeweils eine Achtergruppe bilden, jedes Ticket mithin durch zwei Achtergruppen numeriert wird, wobei eine höherwertige Achtergruppe ein Wortzeiger und eine niedrigwertige Achtergruppe ein Index ist.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß für den Verkauf eines Tickets der Zeiger um eine Einheit erhöht wird, um auf das in dem Verkäufsmuster folgende Wort zu zeigen, ein Index auf Zufallsbasis erzeugt wird, um ein Bit eines Worts zu bezeichnen, und, wenn dieses Bit den Wert "1" hat, der erhaltene Index auf die Karte übertragen wird, während dann, wenn dieses Bit den Wert "0" hat, der Index um eine Einheit erhöht wird, bis ein Bit mit dem Wert "1" angetroffen wird, woraufhin der so erhaltene Index dann auf die Karte übertragen wird.
7. Verfahren nach einem der Ansprüche 1 bis 6,
dadurch gekennzeichnet,
daß man ein Kontrollmuster bildet, welches aus einer Anzahl (t) von Gruppen zu jeweils drei Bits besteht, wobei jede Gruppe mit einem Stellenwert (j) aufweist:
- ein erstes Bit, welches durch seinen Zustand "0" oder "1" angibt, ob die Zahl mit dem gleichen Stellenwert j des Satzes von einer Karte verwendet wurde oder nicht,
- ein zweites und ein drittes Bit, die eine Doppelstelle bilden, deren verschiedene Zustände angeben, ob die Zahl mit dem Stellenwert j verkauft wurde, zum Verkauf steht oder nicht verkauft werden wird.
8. Verfahren nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet,
daß die dedizierte Kartei, die einen Block von Tickets in einer Verbrauchskarte verkörpert,
- in einer ersten Phase der reziproken Echtheitsprüfung zwischen der Verbrauchskarte und einer Betriebskarte in einen "Besetzt-Zustand" gebracht wird, und
- in einen "Frei-Zustand" zurückgestellt wird, nachdem die von der Betriebskarte angeforderte Anzahl von Tickets verbraucht ist.
9. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Zahlen der Tickets während der jeweiligen Übertragungen zwischen der Anfangs-Leitkarte und der Leitkarte, zwischen der Leitkarte und der Verbrauchskarte, zwischen der Verbrauchskarte und der Betriebskarte in verschlüsselter Form übertragen werden.
10. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß man für den Leistungserbringer eine Teil-Kontroll-Liste erstellt, in der die Zahlen angegeben sind, die niemals verkauft werden.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß die Teil-Kontroll-Liste des Leistungserbringers in die Betriebskarte integriert ist.
12. Karte zum elektronischen Zahlen zur Durchführung des Verfahrens nach Anspruch 1, wobei diese als Verbrauchskarte bezeichnete Karte aufweist:
- eine Speicherkartei, die von einer als Leitkarte bezeichneten Karte Binärinformationen empfangen kann, die die als Wertmarken bezeichneten Zahlungsmittel bilden,
- Dialogmittel für den Dialog mit einer als Betriebskarte bezeichneten Karte, die sich bei einem Dienstleistungserbringer befindet,
- Mittel zum Belasten des Karteispeichers mit einer gewissen Anzahl von Wertmarken auf Anforderung seitens der Betriebskarte,
wobei diese Verbrauchskarte dadurch gekennzeichnet ist, daß der Karteispeicher in Form mehrerer Bit-Gruppen organisiert ist, von denen jede Bitgruppe eine Zahl codiert, welche die Zahl ist, die als als "Ticket" bezeichnete Wertmarke zugeordnet ist, der Karteispeicher mithin einen Block von Tickets enthält, wobei die Mittel zum Belasten des Karteispeichers mit einer gewissen Anzahl von Tickets in der Lage sind, der Betriebskarte die Zahlen der zu belastenden Tickets mitzuteilen.
13. Karte nach Anspruch 12, dadurch gekennzeichnet, daß jede Gruppe von Bits der Kartei einen Zeiger und einen Index aufweist, wobei jedes Ticket des Karteispeichers mithin durch zwei Gruppen von Bits numeriert wird.
14. Karte nach Anspruch 13, dadurch gekennzeichnet, daß der Zeiger und der Index jeweils eine Achtergruppe bilden, jedes Ticket des Karteispeichers folglich durch zwei Achtergruppen numeriert wird, wobei eine höherwertige Achtergruppe ein Wortzeiger und eine niedrigwertige Achtergruppe ein Index ist.
15. Karte nach Anspruch 12,
dadurch gekennzeichnet,
daß sie Mittel aufweist, um
- die Kartei in einer ersten Phase der reziproken Echtheitsprüfung zwischen der Verbrauchskarte und der Betriebskarte in einen "Besetzt-Zustand" zu versetzen, und
- die Kartei in einen "Frei-Zustand" zurückzustellen, nachdem die von der Betriebskarte angeforderte Anzahl von Tickets belastet wurde.
DE69211407T 1991-04-03 1992-03-31 Verfahren zum elektronischen Bezahlen per Chipkarte mit Hilfe von numerierten Wertmarken und Karte zur Durchführung Expired - Fee Related DE69211407T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR9104035A FR2674976B1 (fr) 1991-04-03 1991-04-03 Procede de paiement electronique par carte a puce a l'aide de jetons numerotes permettant la detection de fraudes.

Publications (2)

Publication Number Publication Date
DE69211407D1 DE69211407D1 (de) 1996-07-18
DE69211407T2 true DE69211407T2 (de) 1997-02-06

Family

ID=9411418

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69211407T Expired - Fee Related DE69211407T2 (de) 1991-04-03 1992-03-31 Verfahren zum elektronischen Bezahlen per Chipkarte mit Hilfe von numerierten Wertmarken und Karte zur Durchführung

Country Status (5)

Country Link
US (1) US5305383A (de)
EP (1) EP0507669B1 (de)
JP (1) JP3299560B2 (de)
DE (1) DE69211407T2 (de)
FR (1) FR2674976B1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10034597A1 (de) * 2000-07-14 2002-01-24 Nicolas Adolph Verfahren zur bargeldlosen Zahlung
DE102004024167A1 (de) * 2004-05-14 2005-12-01 Alexander Paul Sträter System und Verfahren zum Verwalten und Handeln von Rabatten

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5453601A (en) * 1991-11-15 1995-09-26 Citibank, N.A. Electronic-monetary system
DE4219739A1 (de) * 1992-06-17 1993-12-23 Philips Patentverwaltung Verfahren und Schaltungsanordnung zum Prüfen einer Wertkarte
US5880769A (en) * 1994-01-19 1999-03-09 Smarttv Co. Interactive smart card system for integrating the provision of remote and local services
US5594493A (en) * 1994-01-19 1997-01-14 Nemirofsky; Frank R. Television signal activated interactive smart card system
US5799087A (en) 1994-04-28 1998-08-25 Citibank, N.A. Electronic-monetary system
NL1001376C2 (nl) * 1995-05-11 1996-11-12 Nederland Ptt Werkwijze voor het uitvoeren van een elektronische betalingstransactie met een variabel aantal betalingseenheden, alsmede betaalmiddel en stelsel voor toepassing van de werkwijze.
NL1000341C2 (en) * 1995-05-11 1996-11-12 Nederland Ptt Electronic payment transaction method for use with smart card
US5832089A (en) * 1995-06-07 1998-11-03 Sandia Corporation Off-line compatible electronic cash method and system
WO1996041316A2 (en) * 1995-06-07 1996-12-19 Kravitz David W Off-line compatible electronic cash method and system
US5892827A (en) * 1996-06-14 1999-04-06 Catalina Marketing International, Inc. Method and apparatus for generating personal identification numbers for use in consumer transactions
ES2193247T3 (es) 1996-05-24 2003-11-01 Jong Eduard Karel De Sistema y metodo de proteccion criptografica de comunicaciones.
US5943424A (en) * 1996-06-17 1999-08-24 Hewlett-Packard Company System, method and article of manufacture for processing a plurality of transactions from a single initiation point on a multichannel, extensible, flexible architecture
US5770843A (en) * 1996-07-02 1998-06-23 Ncr Corporation Access card for multiple accounts
US5839119A (en) * 1996-09-27 1998-11-17 Xerox Corporation Method of electronic payments that prevents double-spending
GB9624127D0 (en) * 1996-11-20 1997-01-08 British Telecomm Transaction system
US5857023A (en) * 1996-11-25 1999-01-05 Xerox Corporation Space efficient method of redeeming electronic payments
US5952638A (en) * 1996-11-25 1999-09-14 Xerox Corporation Space efficient method of electronic payments
US6021399A (en) * 1996-11-25 2000-02-01 Xerox Corporation Space efficient method of verifying electronic payments
EP0972276A1 (de) * 1997-03-26 2000-01-19 BRITISH TELECOMMUNICATIONS public limited company Transaktionssystem
US6341273B1 (en) 1997-03-26 2002-01-22 British Telecommunications Public Limited Company Electronic coin stick with potential for future added value
IL120585A0 (en) * 1997-04-01 1997-08-14 Teicher Mordechai Countable electronic monetary system and method
US6339824B1 (en) * 1997-06-30 2002-01-15 International Business Machines Corporation Method and apparatus for providing public key security control for a cryptographic processor
US6296183B1 (en) * 1997-12-23 2001-10-02 Qwest Communications Int'l., Inc. Telephony system for smart card usage
JP3574559B2 (ja) * 1998-01-27 2004-10-06 株式会社エヌ・ティ・ティ・データ 電子チケットシステム、回収端末、サービス提供端末、利用者端末、電子チケット回収方法及び記録媒体
US6549912B1 (en) * 1998-09-23 2003-04-15 Visa International Service Association Loyalty file structure for smart card
US7168615B2 (en) * 2001-09-24 2007-01-30 E2Interactive, Inc. Keycard for automating transaction requests
WO2001015100A1 (en) * 1999-08-26 2001-03-01 Eluv Holdings Ltd. Electronic currency, electronic wallet therefor and electronic payment systems employing them
US20020111907A1 (en) * 2000-01-26 2002-08-15 Ling Marvin T. Systems and methods for conducting electronic commerce transactions requiring micropayment
US7376621B1 (en) 2000-01-26 2008-05-20 Paybyclick Corporation Method and apparatus for conducting electronic commerce transactions using electronic tokens
US7328189B2 (en) 2000-01-26 2008-02-05 Paybyclick Corporation Method and apparatus for conducting electronic commerce transactions using electronic tokens
US7177838B1 (en) 2000-01-26 2007-02-13 Paybyclick Corporation Method and apparatus for conducting electronic commerce transactions using electronic tokens
FR2811443B1 (fr) * 2000-07-05 2002-10-11 Fingerprint Procede et systeme pour limiter la possibilite de transformation de donnees a constituer, notamment, des jetons de pre-paiement
US7822679B1 (en) * 2001-10-29 2010-10-26 Visa U.S.A. Inc. Method and system for conducting a commercial transaction between a buyer and a seller
US20030154153A1 (en) * 2002-01-31 2003-08-14 Steidlmayer J. Peter Composite commodity financial product
US6798353B2 (en) * 2002-04-24 2004-09-28 Itron Electricity Metering, Inc. Method of using flash memory for storing metering data
US7249060B2 (en) * 2002-08-12 2007-07-24 Paybyclick Corporation Systems and methods for distributing on-line content
US20040225573A1 (en) * 2003-05-09 2004-11-11 Ling Marvin T. Methods and apparatus for anonymously transacting internet shopping and shipping
US7676432B2 (en) * 2003-07-08 2010-03-09 Paybyclick Corporation Methods and apparatus for transacting electronic commerce using account hierarchy and locking of accounts
US20050066189A1 (en) * 2003-09-18 2005-03-24 MOSS Robert Methods and structure for scan testing of secure systems
US8571978B2 (en) 2004-06-17 2013-10-29 Visa International Service Association Method and system for providing assurance and financing services
US7711639B2 (en) * 2005-01-12 2010-05-04 Visa International Pre-funding system and method
US7614548B2 (en) * 2005-02-22 2009-11-10 Target Brands, Inc. Stored-value card assembly with a plurality of stored-value cards
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US10671980B2 (en) 2014-10-20 2020-06-02 Mastercard International Incorporated Systems and methods for detecting potentially compromised payment cards

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2439436A1 (fr) * 1978-10-18 1980-05-16 Chateau Michel Procede de dialogue entre un ordinateur et un de ses utilisateurs et application de ce procede aux paiements bancaires ou analogues
US4630201A (en) * 1984-02-14 1986-12-16 International Security Note & Computer Corporation On-line and off-line transaction security system using a code generated from a transaction parameter and a random number
US4870589A (en) * 1985-02-13 1989-09-26 Canon Kabushiki Kaisha Management apparatus for equipment
US4802218A (en) * 1986-11-26 1989-01-31 Wright Technologies, L.P. Automated transaction system
US5140634A (en) * 1987-09-07 1992-08-18 U.S Philips Corporation Method and apparatus for authenticating accreditations and for authenticating and signing messages
US4914698A (en) * 1988-03-16 1990-04-03 David Chaum One-show blind signature systems
US4987593A (en) * 1988-03-16 1991-01-22 David Chaum One-show blind signature systems
FR2633411B1 (fr) * 1988-06-28 1991-09-27 Schlumberger Ind Sa Systeme de gestion de supports d'informations portatifs
US5065429A (en) * 1989-04-03 1991-11-12 Lang Gerald S Method and apparatus for protecting material on storage media
US4996711A (en) * 1989-06-21 1991-02-26 Chaum David L Selected-exponent signature systems
ATE159603T1 (de) * 1990-01-29 1997-11-15 Security Techn Corp Wahlweise moderierte transaktionssysteme

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10034597A1 (de) * 2000-07-14 2002-01-24 Nicolas Adolph Verfahren zur bargeldlosen Zahlung
DE102004024167A1 (de) * 2004-05-14 2005-12-01 Alexander Paul Sträter System und Verfahren zum Verwalten und Handeln von Rabatten

Also Published As

Publication number Publication date
JP3299560B2 (ja) 2002-07-08
JPH06325055A (ja) 1994-11-25
EP0507669A1 (de) 1992-10-07
FR2674976B1 (fr) 1993-06-11
DE69211407D1 (de) 1996-07-18
EP0507669B1 (de) 1996-06-12
US5305383A (en) 1994-04-19
FR2674976A1 (fr) 1992-10-09

Similar Documents

Publication Publication Date Title
DE69211407T2 (de) Verfahren zum elektronischen Bezahlen per Chipkarte mit Hilfe von numerierten Wertmarken und Karte zur Durchführung
DE69831769T2 (de) System und Verfahren zur Kontrolle bzw. Überwachung
EP0608197B1 (de) Verfahren als Sicherheitskonzept gegen unbefugte Verwendung eines Zahlungsmittels beim bargeldlosen Begleichen an Zahlstellen
DE69900169T3 (de) Kreditkartensystem und verfahren
DE69215501T2 (de) Werttransfersystem
DE19539801C2 (de) Überwachung von Transaktionen mit Chipkarten
EP0646898A2 (de) System zur Durchführung von Transaktionen mit einer Multifunktionskarte mit elektronischer Börse
DE19607363A1 (de) Mehrfachanwendungs-Datenkarte
DD282308A5 (de) Schaltungsanordnung mit einer zumindest einen teil der anordnung enthaltenden karte fuer geschaefts-, indentifizierungs- und/oder betaetigungszwecke
DE69821545T2 (de) Elektronische Geldkarte, Empfangs-/Auszahlungsmaschine für elektronisches Geld und Editiervorrichtung für eine elektronische Geldkarte
DE19757501C1 (de) Verfahren zum Schutz von Transaktionsdaten
DE69725663T2 (de) Abrechnungsverfahren und System
DE19718115A1 (de) Chipkarte und Verfahren zur Verwendung der Chipkarte
DE4230866B4 (de) Datenaustauschsystem
DE60104976T2 (de) Verfahren zur Bereitstellung von Dienstleistungen
DE4322794C1 (de) Verfahren und Anordnung zum Abwickeln des Vertriebs von Waren und/oder Dienstleistungen unterschiedlicher Anbieter
EP0713188A2 (de) Verfahren und Chipkarte zum Dokumentieren einer erworbenen Berechtigung
WO1980002756A1 (en) Data transmission system
DE4427039C2 (de) Verfahren zur Bestimmung des aktuellen Geldbetrages in einem Datenträger und System zur Durchführung des Verfahrens
DE10009710A1 (de) Verfahren zum Austausch von Zahlungsinformationen im internetfähigen bargeldlosen Zahlungsverkehr
EP0968485A2 (de) Chipkarte und verfahren zur verwendung der chipkarte
EP0970449B1 (de) Tragbarer datenträger und verfahren zu dessen kryptographisch gesicherten benutzung mit austauschbaren kryptographischen schlüsseln
WO2021122763A1 (de) Verfahren zum auslösen eines bezahlvorganges
DE102006017911B4 (de) Elektronisches Bezahlsystem und Verfahren zum Ausführen eines Bezahlvorgangs
DE19616943C2 (de) Adapter-Vorrichtung zum Manipulieren eines Speicherbausteins einer Chipkarte und einen Anbieterterminal zum Erwerb von Waren und/oder Dienstleistungen mittels einer Chipkarte

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: FRANCE TELECOM, PARIS, FR ETABLISSEMENT PUBLIC DE

8339 Ceased/non-payment of the annual fee