DE69318537T2

DE69318537T2 - Datenverarbeitung mit einem speicherkartensatz

Info

Publication number: DE69318537T2
Application number: DE69318537T
Authority: DE
Inventors: Andre Ch-1023 Crissier Kudelski
Original assignee: Nagra Plus SA
Current assignee: Nagravision SARL
Priority date: 1992-10-09
Filing date: 1993-10-08
Publication date: 1999-02-04
Anticipated expiration: 2013-10-09
Also published as: CN1096033C; CA2125488A1; US5497418A; WO1994009453A1; EP0616714A1; FR2696854A1; RU2160465C2; AU5150293A; AU665467B2; CA2125488C; JPH07502616A; DK0616714T3; EP0616714B1; DE69318537D1; GR3027582T3; ATE166167T1; CN1113581A; RU94045887A; ES2118260T3

Description

Die vorliegende Erfindung betrifft allgemein ein System zur Verwaltung der Datenspeicherung und der Ausführung spezifischer Programme mit Speicherkarten.

STAND DER TECHNIK

Man kennt eine grosse Zahl von Datenverarbeitungssystemen mit einem Satz von "Speicherkarten", zumindest einer "Station" oder "Verwaltungseinheit" und zumindest einem "Übertragungsnetz", das dazu bestimmt ist, zumindest eine "Speicherkarte" mit zumindest einer Station in Verbindung zu bringen.
Im nachfolgenden Text wird die Bezeichnung "Speicherkarte" oder Chipkarte für alle Arten von Karten verwendet, die einen elektronischen Schaltkreis und/oder ein passives Element enthalten, die es gestatten, numerische Daten zu speichern und die es ausserdem gegebenenfalls gestatten, logische Operationen auszuführen. Im nachfolgenden Text werden alle diese Karten entweder als "Speicherkarte" oder einfacher als "Karte" bezeichnet.
Diese bekannten Systeme haben Speicherkarten, bei denen es sich üblicherweise um Karten handelt, die zumindest je einen integrierten Schaltkreis enthalten, der eine Mikrosteuerung oder einen Mikroprozessor darstellt, der Speicher wie ROM, RAM, EPROM und/oder EEPROM einschliest, deren Zugriff durch ein im integrierten Schaltkreis gespeichertes Programm kontrolliert wird. Diese bekannten Systeme haben auch zumindest eine Verwaltungseinheit oder "Station", die sich ausserhalb der Speicherkarten befindet und über eine Berechtigung verfügt, in zumindest einer (im folgenden als "Privatzone" bezeichneten) Zone bestimmter oder aller Speicherkarten Lese- und/oder Schreiboperationen auszuführen.
Im nachfolgenden Text wird eine solche Station als "zentrale Station" oder "Verwaltungseinheit" bezeichnet, wenn sie über die Berechtigung verfügt, an "Privatzonen" auf den Speicherkarten zu gelangen, und als "Sekundärstation", wenn sie nicht über diese Berechtigung verfügt.
Seit es Speicherkarten gibt, ist eine gewisse Zahl von Anwendungen dieser Technologie aufgetaucht.
Eine erste bekannte Generation von. Speicherkarten machte von einer zentralen Station Gebrauch, die Geheimdaten in die Karte einschreiben konnte, während eine bestimmte Anzahl von Sekundärstationen die in der Karte enthaltenen nichtkritischen Daten abfragen konnte, also jene Daten, mit denen Geheimdaten nicht offenbart oder unterdrückt werden können.
Eine zweite bekannte Generation von Speicherkarten, die hauptsächlich im Bereich des Mautfernsehens eingesetzt wurde, sah für jede Karte eine veränderliche Anzahl von Sekundärstationen vor, deren jede frei und ausschliesslich über eine der in der Karte vorhandenen Privatzonen verfügen konnte. Im Bereich des Mautfernsehens sind zum Beispiel Vertreiber von Fernsehprogrammen die Sekundärstationen. Allgemein besteht jede Sekundärstation aus einem spezifischen Dienstleistungsanbieter oder einem spezifischen Fernsehprogrammvertreiber.
Diese Struktur der Speicherkarten verunmöglicht jede Verbindung zwischen den verschiedenen Privatzonen im Verhältnis zu den verschiedenen Hauptverwaltungseinheiten, so dass die Sicherheit des Systems gewährleistet ist. Somit hat ein Vertreiber von Fernsehprogrammen grundsätzlich keine Zugriffsberechtigung zu einer Privatzone auf einer Karte, die einem anderen Vertreiber von Fernsehprogrammen zugeteilt ist. Für jeden neuen Anbieter von Dienstleistungen oder jeden neuen Vertreiber von Fernsehprogrammen muss eine neue "Privatzone" auf der Karte eröffnet werden.
Die folgende (willkürlich vereinfachte) Situation kann betrachtet werden, um eine solche Situation zu veranschaulichen.
Angenommen, ein Mautfernsehabonnent X wünscht die drei Fernsehkanäle A, 8 und C zu abonnieren, so muss er mit jedem dieser Kanäle Verbindung aufnehmen, und die Kanäle veranlassen (über das gesendete Videosignal) die Einschreibung von Befehlen zur Eröffnung der betreffenden Privatzonen in der Karte des Abonnenten. Die Karte des Abonnenten X verfügt dann über vier auf der Karte eröffnete Privatzonen, nämlich eine "Senderzone" und die drei Privatzonen der drei Kanäle A, B und C. Die Eröffnung der Privatzonen wird von der zentralen Verwaltungsstation ausgeführt, die allein über die Berechtigung zur Eröffnung neuer Privatzonen verfügt, mit anderen Worten, die allein über die Berechtigung verfügt, die Gesamtmittel der Karte zu verwalten. Dieses Verwaltungsprinzip wird derzeit in der Eurocrypt-Norm des Mautfernsehens verwendet.
Diese bekannten Karten der zweiten Generation weisen die folgenden Nachteile auf.
Durch die Errichtung mehrerer Mautfernsehsysteme und mehrerer Datenverbreitungssysteme ergeben sich die folgenden Beschränkungen:
A. Die bekannten Systeme kopieren die klassischen Datenverarbeitungssysteme, das heisst, sie teilen einen Teil des Speichers in mehrere Zonen auf, deren jede für einen gegebenen Nutzer reserviert ist. Gleichzeitig wird angenommen, dass die zentrale Station (der Anbieter von Dienstleistungen) auf jede der Karten in identischer Weise zugreift, so wie es auch bei einem Rechner der Fall ist, der sich mit seinem Kennwort an die Maschine anschliesst.
B. Die verwendeten Verwaltungsmodelle basieren auf den Möglichkeiten, die vor Aufkommen der elektronischen Post bestanden. Das Modell wurde nicht unter Berücksichtigung der neuen Möglichkeiten überprüft, die aus dem Vorhandensein eines Datenflusses zwischen einem Videosignalsender und jeder Speicherkarte er wachsen, die sich in dem bei einem Mautfernsehabonnenten vorhandenen Decoder vorfindet.
C. Es hat sich erwiesen, dass die Strukturen der Datenverbreitung in Wirklichkeit viel komplizierter als die anfänglich vorgesehenen, einfachen Modelle sind, was die Möglichkeiten der Verwaltung ziemlich kompliziert und begrenzt.
D. Da beim Mautfernsehen hauptsächlich ein einseitig gerichterer Fluss zwischen dem Betreiber und der Speicherkarte besteht, kann man niemals ganz sicher sein, dass die Nachricht wirklich empfangen worden ist, was schwer zu simulierende betriebliche Schwierigkeiten mit sich bringt.
Diese oben unter A, B, C und D ausgesprochenen Beschränkungen werden besser verständlich bei der weiter unten im Zusammenhang mit den Fig. 4 bis 7 gegebenen Beschreibung.
Vergleichsdatenbanken sind zum Beispiel aus dem Dokument WO-A-91/08541 bekannt, in dem eine eine Vergleichsdatenbank speichernde Speichervorrichtung sowie ein Rechner mit Organen zum Lesen der benannten Speichervorrichtung beschrieben werden. Das Programm für die Erzeugung und/oder Verwaltung dieser Datenbank erstellt eine Datei, die einerseits Datenaufzeichnungen und andererseits Aufzeichnungen enthält, die die gespeicherten Daten und/oder die Beziehungen zwischen den gespeicherten Daten beschreiben. Diese Datenbank schliesst interne Beziehungen zwischen den Daten ein. Sie umfasst Aufzeichnungen, die Angaben über Zugriffsberechtigungen der verschiedenen Nutzer zu verschiedenen Teilen, Aufzeichnungen oder Feldern der Datenbank enthalten. Die in Gestalt von Aufzeichnungen gespeicherten Verknüpfungen im Inneren der Datenbank beschreiben verschiedene in der Datenbank gespeicherte Datentypen sowie ihre Adressen.
Andererseits beschreibt das Dokument WO-A-92/13322 ein gesichertes Ladeverfahren für mehrere Anwendungen in einer Speicherkarte. Dieses Dokument erwähnt eine Struktur und Organisation der Anwendungsdaten in einer Karte, bei der es nicht nötig ist, den Daten spezielle Orte im Speicher zuzuordnen. Diese Karte besitzt einen Speicher, der zusätzlich zum Datenspeicher auch eine Anwendungstabelle, eine Tabelle der Datentabellen, eine Tabelle der Berechtigungen und eine Tabelle der Codierschlüssel enthält. Eine Beziehung zwischen den Anwendungen, den Namen und vorzugsweise auch der Geheimcodes ist in der Anwendungstabelle gespeichert. Die Beziehungen, die zwischen einer gegebenen Anwendung und einer Datentabelle bestehen mögen, mit der diese Anwendung arbeitet, sind in der Tabelle der Datentabellen aufgezeichnet. Die Möglichkeiten der Wechselwirkung zwischen den verschiedenen Anwendungen werden in der Tabelle der Berechtigungen definiert. Die Anwendungen und die Codierschlüssel sind in der Tabelle der Codierschlüssel einander einzeln zugeordnet. Jeder Besitzer der zugehörigen Datentabelle kann jederzeit neue Berechtigungen in die Tabellen eintragen, die in der Tabelle der Berechtigungen vorhanden sind, oder Berechtigungen darin tilgen.

BESCHREIBUNG DER ERFINDUNG

Es ist ein Ziel der Erfindung, ein neues System der Datenverarbeitung vorzuschlagen, das einen Satz von Speicherkarten und zumindest eine Verwaltungseinheit umfasst und bei dem die Verwaltung der in den Speicherkarten enthaltenen Daten vereinfacht ist.
Es ist ein weiteres Ziel der Erfindung, ein derartiges System vorzuschlagen, in dem eine Veränderung in der Anzahl der Verwaltungseinheiten leichter abgewickelt werden kann.
Es ist ein weiteres Ziel der Erfindung, ein derartiges System vorzuschlagen, in dem eine Veränderung des Typs der Verwaltungseinheit leichter abgewickelt werden kann.
Es ist ein weiteres Ziel der Erfindung, ein derartiges System vorzuschlagen, in dem eine Veränderung in der Rangordnung bestimmter Berechtigungen oder bestimmter Verpflichtungen, die an mehrere zentrale Stationen geknüpft sind, leichter abge wickelt werden kann.
Gemäss einem noch weiteren Ziel der Erfindung stellen die Speicherkarten und die zentrale Verwaltungseinheit zusammen eine Vergleichsdatenbank dar.
Gemäss einem ihrer Aspekte betrifft die Erfindung ein zur Verwaltung der Datenspeicherung und der Ausführung spezifischer Programme bestimmtes System mit zumindest einer Verwaltungseinheit, mehreren Speicherkarten mit je einem zur Speicherung von zumindest bestimmten Daten in der Form von Befehlen bestimmten, beschreibbaren Speicher sowie einem zur Speicherung von zumindest einem der benannten spezifischen Programme bestimmten Speicher.
Andererseits umfasst das System zumindest ein Datenübertragungsorgan, das eine Datenübertragung zwischen zumindest einer Verwaltungseinheit und jeder Speicherkarte aufbauen kann, um eine bestimmte Anzahl von Befehlen zu übermitteln, die dazu bestimmt sind, in einer Speicherkarte gespeichert oder verwendet zu werden, während diese Karte mit einer Verwaltungseinheit verbunden ist.
Gemäss der Erfindung enthält jede zu irgend einem Zeitpunkt über ein Übertragungsorgan mit zumindest einer Verwaltungseinheit verbundene Speicherkarte in dem benannten beschreibbaren Speicher einen Datensatz, der durch die Speicherung von aufeinanderfolgenden, von der Verwaltungseinheit oder von mehreren Verwaltungseinheiten empfangenen Daten an beliebigen Adressen erstellt wurde, und zwar durch reelle oder virtuelle Verbindung der Karte. Der Datensatz, der logische Verknüpfungen enthält, die eine Verknüpfung zwischen den gespeicherten Daten ohne Rücksicht auf ihre Adresse oder die Reihenfolge ihres Eintreffens herstellen oder herzustellen gestatten, eventuell auch eine Verknüpfung mit anderen Daten, stellt somit eine Vergleichsdatenbank in der Karte dar, wobei der Satz gleichzeitig verbundener Karten ebenfalls eine Vergleichsdatenbank bildet. Schliesslich ist das benannte Programm dafür eingerichtet, den Datensatz der in der Karte (10) erstellten Vergleichsdatenbank so abzufragen, dass mit den untereinander durch zumindest eine logische Verknüpfung verknüpften Daten zumindest eine spezifische Operation ausgeführt werden kann.
In dieser Karte wird daher die Vergleichsdatenbank einerseits aus im Speicher vorgespeicherten Daten und andererseits aus von einer oder mehreren Datenverwaltungseinheiten empfangenen Daten gebildet, wobei die logischen Verknüpfungen der Vergleichsdatenbank entweder in den vorgespeicherten Daten oder in den empfangenen Daten oder in beiden enthalten sind, so dass eine spezifische Operation durch das oder jedes spezifische Programm nur ausgeführt werden kann, wenn die Vergleichsdatenbank durch die benannte Verbindung in der Karte erstellt worden ist.
Im Gegensatz zu den bekannten Karten wird somit die erfindungsgemässe Speicherkarte zum zentralen Element des Systems, da die Vergleichsdatenbank in der Karte selbst erstellt wird, was eine bessere Datenverwaltung ermöglicht und zahlreiche Vorteile bietet, die im folgenden aufgezählt werden.
Um auf diese Weise eine Vergleichsdatenbank zu erstellen, besteht jeder Befehl aus entweder zumindest einer numerischen Grösse oder einer logischen Verknüpfungsgrösse, die es gestattet, eine logische Verknüpfung zwischen zumindest zwei anderen Befehlen oder zumindest dem vorliegenden Befehl und zumindest einem anderen Befehl oder einer der benannten logischen Verknüpfungsgrössen in Gesellschaft mit zumindest einer numerischen Grösse aufzubauen.
Jeder Befehl oder Teilbefehl, der von einer logischen Verknüpfung betroffen ist, kann ein Befehl oder Teilbefehl sein, der entweder zum gegenwärtigen Zeitpunkt in der Speicherkarte gespeichert oder dazu bestimmt ist, später in der Speicherkarte gespeichert zu werden.
Jeder Befehl kann in dem beschreibbaren Speicher der Speicherkarte gespeichert werden, indem diesem Befehl ein oder meh rere Erkennungscodes beigeordnet werden, die es in der Folge gestatten, den oder die verschiedenen, so erstellten logischen Befehlssätze zu erkennen.
In einer Ausführungsform des Systems gestattet das Datenübertragungsorgan die Datenübertragung einzig und allein in der Richtung von einer Verwaltungseinheit bis zu einer beliebigen Speicherkarte, wenn diese mit dieser Einheit verbunden ist. Zum Beispiel stellt dieses System ein System für kontrollierten Zugriff wie zum Beispiel ein Mautfernsehsystem dar, in dem jede Speicherkarte eine im Besitz eines Systemabonnenten befindliche Karte ist, die an einen Systemdecoder angekoppelt werden kann, um eine kontrollierte Zugriffsfunktion ausführen zu können. Diese Verwaltungseinheit stellt entweder einen Speicherkartenverwaltungsdienst oder eine Sendestation für ein invertiertes Fernsehsignal dar, während das Datenübertragungsorgan durch einen Datenfunk mit elektromagnetischen Wellen, Satellit oder Kabel gegeben ist. Diese Verbindung kann eine reelle oder eine virtuelle Verbindung sein.
Vorteilhafterweise umfasst die Verwaltungseinheit ein Taktsteuerorgan, das eine Gruppe von Befehlen in einem bestimmten Takt wiederholt über das Datenübertragungsorgan so aussendet, dass alle Speicherkarten, die zu irgend einem Zeitpunkt gleichzeitig mit zumindest einer Verwaltungseinheit verbunden sind, innerhalb einer Periode des Taktes die Befehlsgruppe empfangen hat. Alle Speicherkarten, die somit gleichzeitig zu diesem Zeitpunkt angeschlossen sind, stellen dann eine betriebsbereite Vergleichsdatenbank dar.
Die Erfindung betrifft ebenfalls die Speicherkarte selbst, vom Typ der Mautfernsehkarte, Bankkarte oder anderer Karten für ein System mit kontrolliertem Zugriff oder dergleichen, die einen beschreibbaren Speicher umfasst, der einen Datensatz und zumindest ein Programm zur Ausführung spezifischer Operationen mit den gespeicherten Daten speichert.
Die Erfindung betrifft ebenfalls eine Speicherkartengruppe, in der jede Karte der Gruppe einen beschreibbaren Speicher umfasst, der dazu bestimmt ist, Daten zu speichern, sowie einen Speicher, der dazu bestimmt ist, zumindest ein spezifisches Programm zu speichern, während der Satz von Speicherkarten der Gruppe, die zu einem beliebigen Zeitpunkt gleichzeitig über ein Datenübertragungsorgan mit einer Verwaltungseinheit verbunden sind, zu diesem Zeitpunkt eine Vergleichsdatenbank darstellt.
Die Erfindung betrifft ebenfalls ein Verfahren zur Verwaltung und Ausführung spezifischer Programme in einem wie oben formulierten System.
In einer Anwendung wie zum Beispiel beim Mautfernsehen werden die Daten zwischen zumindest einer Verwaltungseinheit und den Speicherkarten einem von zumindest einer Verwaltungseinheit bis zu den Speicherkarten einseitig gerichteten Fluss zufolge übermittelt.
Für andere Anwendungen, namentlich im Bankenbereich, sind zumindest zwei verschiedene Verwaltungseinheiten vorgesehen, und die Daten werden zwischen den Verwaltungseinheiten und den Speicherkarten einem zweiseitig gerichteten Fluss zufolge übermittelt, während bestimmte Daten bei einer ersten Verbindung einer Speicherkarte mit einer ersten Verwaltungseinheit von dieser bis zu dieser Speicherkarte und dann bei einer weiteren, gleichzeitigen oder späteren Verbindung einer Speicherkarte mit einer anderen Verwaltungseinheit von dieser Speicherkarte bis zu dieser anderen Verwaltungseinheit übermittelt werden.
Daraus ergibt sich, dass bestimmte, spezifische Daten dann von der ersten zentralen Station bis zu der anderen zentralen Station übermittelt werden, selbst in Situationen, in denen aus Gründen der Sicherheit zum Beispiel die Verwaltungseinheiten zwischeneinander bestimmte, spezifische Daten nicht austauschen können. Eine besondere Anwendung im Bankenbereich besteht darin, dass der Nutzer der Karte die Möglichkeit hat, mit dieser Karte Operationen an verschiedenen Konten auszuführen, die von ver schiedenen Verwaltungseinheiten verwaltet werden.
Die klassischen Systeme gestatten es einem Betreiber, entsprechend der definierten Parameter private Speicherzonen ganz, partiell oder anteilig zu benutzen, indem sie ihn ermächtigen, in Abhängigkeit von gegebenen Anweisungen Operationen des Lesens, Schreibens, Abänderns und/oder Rechnens an gewissen, in einer bestimmten Zone befindlichen Daten auszuführen.
Das erfindungsgemässe System sieht vor, dass Operationen des Lesens, Schreibens, Abänderns und/oder Rechnens in Abhängigkeit von aufgefundenen Verknüpfungen erfolgen, was bedeutet, dass der Betreiber nicht zu einer definierten Zone, sondern zu Information Zugriff hat, die der vom Betreiber geforderten Verknüpfung genügt.
Die Zugriffsbedingungen werden in Abhängigkeit der Angaben gewährt, die durch Definition an die Zugriffsberechtigungen geknüpft sind und zum Beispiel aus einem Kennwort oder einem Codieralgormithmus bestehen können.
Zusammen mit der Fähigkeit, Berechtigungen für Zugriff oder Datennutzung abzuändern, bietet dieses neue System die Möglichkeit, die Nutzung der vorhandenen Speicherkapazität zu optimieren und nutzlos gewordene Speicheradressen zu verwerten.
Der Datenzugriff wird durch spezifische Programme gelenkt, die in einer Sprache vom Typ der "Sprache der Vergleichsdatenbank" abgefasst sind. Diese Programme können in kompilierter Form in der Speicherkarte vordefiniert, in kompilierter Form ferngeladen oder mit zu übersetzenden Makrobefehlen ferngeladen werden. Durch das Konzept des interpretierten Programms können die Rechte eines Betreibers beschränkt werden.
Anwendungen im Bankenbereich, die es vorsehen, dass mehrere Dienstleistungsanbieter vorhanden sind, können das Konzept einer Verknüpfung zwischen Betreibern verwenden, die durch Austausch der Chiffren hergestellt wird. In diesem Falle sendet der Verknüpfungsbeantrager Erkennungschiffren, die mit einer Kennmarke versehen sind (Vorgangskennung). Der Empfänger überprüft die Gültigkeit der Nachricht und speichert bei erfolgreicher Prüfung die Kennmarke. Dieses Konzept ermöglicht eine genaue Festlegung der Beziehungen zwischen den Zonen in einer Speicherkarte.
Das neue Konzept kann wie folgt verwendet werden:
A. Das Verwaltungssystem des Betreibers und die Gesamtheit aller Speicherkarten werden als eine Vergleichsdatenbank angesehen. Jede zwischen dem Verwaltungssystem des Betreibers und einem Teil der Speicherkarten ausgeführte Operation kann als eine Anweisung vom Typ "Verwaltungssprache der Vergleichsdatenbank" simuliert werden.
B. Eine gegebene Speicherkarte kann Bestandteil mehrerer Vergleichsdatenbanken sein, die zwischen dem Verwaltungssystem des Betreibers und Speicherkarten aufgebaut werden, d. h. sie kann zu mehreren Einheiten gehören.
C. Die von aussen kommenden Anweisungen und Datenanforderungen lösen die Ausführung eines Programms aus, das in einer Sprache vom Typ "Verwaltungssprache der Vergleichsdatenbank" abgefasst ist, wodurch die Berechtigung zum Zugriff auf Daten und die Abwicklung genau festgelegt werden können. Die Programme können in kompilierter oder zu interpretierender Form gespeichert sein.
D. Durch diese Struktur kann ein System erstellt werden, worin kein Systemelement alle Daten enthält. Verwaltungssysteme und dazugehörige Speicherkarten müssen zur Verfügung stehen, damit das System als. Ganzes funktionieren kann, wobei die Speicherkarten als Schnittstelle zwischen den verschiedenen Systemkomponenten dienen.
E. Die interne Struktur der Speicherkarte ist als Vergleichsdatenbank organisiert. Sie ermöglicht eine "dynamische" Verwaltung der Berechtigungen und anderer, gespeicherter Daten.
F. Die Struktur der Datenbank jeder Speicherkarte schafft eine Zuordnung der Daten untereinander wie auch zu den Programmen und zu den Codierschlüsseln (Sicherheit der Übermittlung). Der Begriff eines Codierschlüssels wird letzten Endes als eine Verknüpfung zwischen einer Information, dem Codierverfahren und dem Codierschlüssel angesehen.
G. Die Struktur der Datenbank gestattet es, zwischen der Verwaltungseinheit und der Speicherkarte die Daten in kompakter Form zu übermitteln, indem Angaben zur Abänderung der Datenbank gesendet werden, statt die Datenbank selbst zu übersenden, um davon eine Kopie zu fertigen. Durch die Struktur der Verknüpfung kann überprüft werden, dass alle Daten empfangen worden sind, bevor sie verwendbar gemacht werden.
H. Bei Bereitstellung dieses neuen Systems wird die gegenwärtige Speicherkartentechnologie ausgenutzt, was bedeutet, dass die Grösse des "beschreibbaren" Speichers verhältnismässig gering ist. Die Herstellung oder Überprüfung der Verknüpfungen geschieht durch vollständige Prüfung des Speichers. Der Speicher speichert einfach alle Daten in ihrer Reihenfolge und unter Einfügung der Verknüpfungsanweisungen. Hingegen gestattet dieses System niemals ein "direktes" Lesen einer Speicherzone. Nur das Lesen mit zwischengeschobener Verknüpfung ist möglich, sofern der Zugriff gestattet wurde.
I. Die Unterscheidung zwischen Daten, die verschiedenen Bewilligungen unterliegen, geschieht durch eine Verknüpfung mit einem Codieralgorithmus und einem Codierschlüssel oder einem Kennwort, nicht aber durch eine Zugriffskontrolle, die von einem Beglaubigungsverfahren bestimmt wird, das den Zugriff zu den Daten in einer ausgewählten Zone gestattet.
J. Die Speicherstruktur sieht keine im voraus festgelegten Orte der Speicherung für jede Funktion vor, d. h. für die Daten, Programme, Codierschlüssel und Gültigkeitsdaten. Der Speicher verfügt im Gegenteil über einen zusammenhängenden Raum, worin die Daten gespeichert werden und wo ihre Nutzung durch Verknüpfungen zwischen den Daten (Bedingungen) geregelt wird. Man kann sich diese Struktur vergegenwärtigen, indem man annimmt, dass der Speicher mit Angaben angefüllt ist, die ein Datum, ein Schlüssel, ein Guthaben, ein Programm und/oder allgemeine Daten sowie eine die Nutzungsbedingungen festlegende Verknüpfung sein können.
K. Das vorliegende System verfügt über ein System zur "Reinigung" von nicht genutzten Zonen. Die Reinigung wird durch eine Verknüpfung "Verfalldatum" ermöglicht, die es gestattet, automatisch die verfallenen Angaben oder Verknüpfungen zu eliminieren. Es ist natürlich ebenso möglich, bestimmte Zonen durch ausdrückliche Anweisung freizugeben.
L. Der Begriff eines Geldbeutels ist als System definiert, in dem die Herstellung einer Verknüpfung "gebührenpflichtig" ist. Jedoch dürfen nur "berechtigte" Verknüpfungen hergestellt werden und zu einer Belastung des Guthabens führen.
M. Neue Funktionen können in Gestalt von Prozessen ferngeladen werden, die auf verknüpfte Daten angewendet werden können. Durch dieses Verfahren ist es auch möglich, die Nutzung dieser neuen Funktionen auf ausgewählte Operationen zu beschränken.
N. Die Anforderungen zur Herstellung von Verknüpfungen können verwirklicht werden, entweder indem eine Speicherkarte direkt adressiert wird oder indem sie als zu einer Gruppe gehörig betrachtet wird, in der jede Karte durch einen rangmässig geordneten Code (der als bit map bezeichnet wird) adressiert wird. Der Begriff einer Adresse kann ebenfalls als eine Verknüpfung betrachtet werden.
O. Die Speicherkarten können ebenfalls Anweisungen empfangen, die eine spezifische Funktion (der Verschlüsselung zum Beispiel) verlangen. In solchen Fällen kann die anzuwendende Funktion durch eine Verknüpfung zu einer solchen Funktion definiert werden.
P. Die Gesamtheit der Anweisungen, die von einer Speicherkarte ausgeführt werden können, kann verschlüsselt sein.
Q. Der Datenaustausch zwischen Zonen kann in verschlüsselter Form und mit Kennmarken erfolgen, um eine Sicherheit zwischen den Zonen speziell bei Bankanwendungen zu gewährleisten.
Die Vorteile des neuen, erfindungsgemässen Konzepts sind wie folgt.
Im Gegensatz zum Speicherkartensystem der zweiten Generation gestattet das hier beschriebene System eine feinere Abstufung der Berechtigungen für einen Datenzugriff als durch eine für jeden "Betreiber" festgelegte Zugriffsberechtigung. Das vorgeschlagene System gestattet es, die Zugriffsberechtigungen für jede definierte Information zu definieren.
Durch dieses System wird es möglich, dass Speicherkarten eine zentrale Rolle in der Datenverwaltung spielen, da sie sich im Kern eines Systems befinden, statt nur als das Nebeneinander von Kopien der in einem Verwaltungssystem existierenden Daten angesehen zu werden.
In den klassischen Systemen muss der Datensatz in kompletter Form von einem Betreiber zusammengestellt werden, bevor er zur Speicherkarte übertragen wird. Das bedeutet, dass die Gesamtheit der einem Betreiber gehörenden Daten zusammengestellt werden muss, bevor sie zur Speicherkarte übertragen werden (selbst wenn es nicht nötig ist, diese Operation für alle Betreiber einer gegebenen Karte am gleichen Ort auszuführen).
Das vorgeschlagene System gestattet es, den Datensatz in jeder Speicherkarte zu erstellen. Diese Datenerstellung "in der Karte" ermöglicht eine optimale Ausnutzung des Begriffs des "geteilten Geheimnisses", da ein Abbild des Speicherkarteninhalts nicht konstruiert zu werden braucht, bevor der Inhalt übermittelt wird.
Dieses Konzept bedeutet, dass für einen gegebenen Betreiber die Daten zwischen seinem Verwaltungssystem und der Gesamtheit der Karten verteilt sind, da er ausser über die Speicherkarten keinen Zugriff zu bestimmten Verknüpfungen hat.
In der Praxis gestattet es die definierte Datenstruktur, dass die Daten innerhalb der Karte zusammengestellt werden, statt der Speicherkarte fertig übermittelt zu werden.
In anderen Worten wird ein neues System vorgeschlagen, das Speicherkarten umfasst, in denen die Daten nicht in vorher im Hinblick auf ihre Nutzung definierten Fächern gespeichert werden, sondern wo die Daten in Abhängigkeit vom verfügbaren oder verfügbar gemachten Platz im Speicher gespeichert werden und wo ihre Rolle durch die zugehörigen Nutzungsbedingungen festgelegt wird.

KURZE BESCHREIBUNG DER ZEICHNUNGEN

Diese sowie weitere Ziele, Merkmale und Vorteile werden besser aus der folgenden genauen Beschreibung einer Ausführungsform zu verstehen sein, die lediglich als nicht einschränkendes Beispiel gegeben und durch die beigefügten Figuren veranschaulicht wird, wovon
Fig. 1 ein System gemäss der vorliegenden Erfindung veranschaulicht;
Fig. 2 ein Diagramm ist, das die Art und Weise der Datenspeicherung in einer Speicherkarte des erfindungsgemässen Systems zeigt;
Fig. 3 in vereinfachter Weise die Struktur einer Speicherkarte eines erfindungsgemässen Systems darstellt;
Fig. 4 ein Beispiel einer allgemeinen Konfiguration des Vertriebs mehrerer Fernsehprogramme darstellt;
Fig. 5 ein weiteres Beispiel einer allgemeinen Konfiguration des Vertriebs mehrerer Fernsehprogramme darstellt;
Fig. 6 ein Beispiel der Speicherung und Verwendung von Daten darstellt, das dem Beispiel der Konfiguration der Fig. 5 in einem klassischen System entspricht; und
Fig. 7 ein Beispiel der Speicherung und Verwendung von Daten darstellt, das dem gleichen Beispiel der Konfiguration der Fig. 5 entspricht, aber in einem System gemäss der vorliegenden Erfindung.

BEVORZUGTE AUSFÜHRUNGSFORMEN

Ein Beispiel eines erfindungsgemässen Systems ist schematisch in Fig. 1 zu sehen. Dieses System besteht aus einer bestimmten Anzahl von Speicherkarten 10, einem Datenübertragungsnetz 12, zumindest einer an das Netz 12 angeschlossenen Verwaltungseinheit 14 (hier sind zwei Einheiten dargestellt) sowie zumindest einem an das Netz 12 angeschlossenen Terminal 16 (hier sind vier Terminals dargestellt). Eine Karte kann jederzeit mit den Einheiten 14 verbunden werden, während sie an ein Terminal 16 angekoppelt ist, das auch als Ankopplungsvorrichtung bezeichnet wird. Diese Verbindung kann reell oder virtuell sein.
Diese Konfiguration kann beispielsweise einem Bankkartensystem entsprechen. Im Falle des Mautfernsehens sind jedoch die Einheiten 14 Fernsehsender oder Agenturen, die bestimmte, mit dem Mautfernsehen verbundenen kommerziellen Dienstleistungen (Abonnementsverwaltung usw.) anbieten, das Netz 12 ist keine physische Leitung, sondern besteht aus der Ausbreitung des Videosignals in der Form elektromagnetischer Wellen, über Satelliten oder über Kabel, und die Ankopplungsvorrichtungen 16 sind die Decoder der Abonnenten, wobei ein Abonnent einen Decoder 16 und eine Karte 10 besitzt, die an den Decoder angekoppelt werden kann, damit er eine decodierte oder entzerrte Sendung empfangen kann.
Das erfindungsgemässe System kann also auf zwei grosse Familien angewendet werden, eine Familie vom Typ des Banknetzes und eine Familie vom Typ des Mautfernsehens. Der Unterschied zwischen diesen beiden Familien liegt hauptsächlich darin, dass in einem Banknetz die Daten zwischen dem Betreiber und der Karte in beiden Richtungen fliessen können, während in einem Mautfernsehen die Daten im wesentlichen in der Richtung vom Betreiber (Sendung) zur Karte (Empfang) fliessen.
In Fig. 2 sind eine bestimme Anzahl von Fächern zu sehen, die schematisch Daten darstellen, die in einem "beschreibbaren Speicher", zum Beispiel einem EEPROM, einer Speicherkarte 10 eines erfindungsgemässen Systems gespeichert sind, das zum Beispiel auf das Mautfernsehen angewendet wird. Im nachfolgenden Text werden als "beschreibbare Speicher" alle Speicher bezeichnet, die die Möglichkeit bieten, neue Daten zu speichern, gleichviel ob bestimmte, vorher gespeicherte Daten selektiv gelöscht werden können oder nicht. Man sieht, dass ein EEPROM somit dieser besonderen Definition eines "beschreibbaren Speichers" entspricht, dass aber ein RAM, der zum Beispiel von einer Hilfsbatterie gespeist wird, ebenfalls dieser Definition entspricht.
Wenn eine Karte 10 mit einer Verwaltungseinheit 14 eines Betreibers verbunden wird, so empfängt sie eine bestimmte Anzahl von vom Betreiber stammenden Daten.
Die Karte 10 enthält eine Speicherzone Z1, die eine bestimmte Anzahl spezifischer Programme PS-1, PS-2, PS-3 enthält, deren jedes einer Nutzungsart der Karte entspricht. Im Mautfernsehen zum Beispiel kann die Karte dazu dienen,
- eine empfangene Sendung zu decodieren (Programm PS-1),
- Zugriffsberechtigungen zu künftigen Sendungen zu kaufen (Programm PS-2),
- eine Veränderung des Sendungsguthabens zu erfahren (Programm PS-3),
- Veränderungen in den Zugriffsberechtigungen zu künftigen Sendungen aufzuzeichnen, die im Gefolge von Veränderungen zum Beispiel in der Organisation der Aussendung oder des Vertriebs von Fernsehprogrammen (zum Beispiel nach Fusionen oder Spaltungen bei Fernsehprogrammen) auftreten, usw.
Die Karte enthält weiter eine Speicherzone 22, deren Funktion nachfolgend genauer beschrieben wird.
Betrachten wir beispielsweise die Verwendung der Karte 10 zur Decodierung einer empfangenen Sendung. Der Betreiber sendet einen spezifischen Befehl DEC, der von der Karte empfangen wird, die sodann das Programm PS-1 aktiviert, das dieser Decodierfunk tion DEC der empfangenen Sendung entspricht. Der Betreiber sendet dann eine bestimmte Anzahl von Befehlen A1, A2, A3, ..., An, die aufeinanderfolgend in der Reihenfolge ihres Eintreffens in der Zone 22 der Karte gespeichert werden. Die Reihenfolge der Speicherung bzw. die Speicheradressen in der Zone 22 sind ohne Bedeutung. Eine der Eigenheiten des erfindungsgemässen Systems liegt darin, dass diese Befehle A1, A2, A3, ..., An "logische Verknüpfungen zwischen den Daten" einschliessen (die im folgenden einfach als "Verknüpfungen" bezeichnet werden).
Wie in Fig. 2 dargestellt, findet man zum Beispiel die folgenden Befehle (mit ihrer Bedeutung):

Befehl A1

OP Dieser Befehl betrifft die Bezeichnungen der konzessionierten Betreiber
OP1 Dieser konzessionierte Betreiber ist der Betreiber Nr. 1

Befehl A2

ABT Dieser Befehl betrifft eine erworbene Abonnementsberechtigungen
ABT1 Betrifft das Abonnement Nr. 1
DATE D1 Erster Gültigkeitstag D1 dieses Abonnements
DATE F8 Letzter Gültigkeitstag F8 dieses Abonnements
NIV 3 Empfangsberechtigungsstufe 3 (zum Beispiel kann Stufe 1 dem Sport entsprechen, Stufe 2 dem Sport und Film, Stufe 3 dem Sport, Film und Varieté, Stufe 4 allen Sendungen, usw.)

Befehl A3

ABT Dieser Befehl betrifft eine erworbene Abonnementsberechtigung
ABT2 Betrifft ein weiteres Abonnement Nr. 2
DATE D2 Erster Gültigkeitstag D2 dieses Abonnements
DATE F6 Letzter Gültigkeitstag F6 dieses Abonnements
NIV 4 Empfangsberechtigungsstufe 4
Man kann in der Folge weitere Befehlstypen antreffen, die wie folgt lauten (mit ihrer Bedeutung):

Befehl A4

DEC Dieser Befehl betrifft eine Decodierung
10 Verknüpfung 10 (bedeutet, dass alle Befehle, die die gleiche Verknüpfungsnummer haben, untereinander logisch verknüpft sind)
L-UND Logikverknüpfung UND (gewöhnlich findet man die klassischen Logikverknüpfungen UND, ODER, WEDER-NOCH usw.)
OP1 Der Betreiber, der diesen Befehl sendet, ist der Betreiber Nr. 1

Befehl A5

DEC Dieser Befehl betrifft eine Decodierung
10 Verknüpfung 10
L-UND Logikverknüpfung UND
ABT1 Der Betreiber, der diesen Befehl sendet, vertreibt ein Abonnement Nr. 1

Befehl A6

DEC Dieser Befehl betrifft eine Decodierung
10 Verknüpfung 10
L-UND Logikverknüpfung UND
NIV 2 Der Betreiber, der diesen Befehl sendet, vertreibt eine Sendung der Stufe 2
Die Befehle A1 bis A3 sind Berechtigungen, die der Karte 10 bereits früher erteilt worden sind. Anders gesagt, ist zu einem bestimmten Zeitpunkt ein konzessionierter Betreiber als Betreiber Nr. 1 gekennzeichnet worden (Befehl A1), dann hat ein konzessionierter Betreiber die Berechtigungen für das Abonnement Nr. 1 in die Karte eingeschrieben (Befehl A2), und zu einem anderen Zeitpunkt hat der gleiche Betreiber oder ein anderer konzessionierter Betreiber die Berechtigungen für das Abonnement Nr. 2 in die Karte eingeschrieben (Befehl A3).
Die Befehle A4 bis A6 sind Befehle, die ein Betreiber zur gleichen Zeit an die Karte gesendet hat, zu der er eine verzerrte Sendung ausstrahlt, wobei es diese Befehle gestatten, die Entzerrung (oder Decodierung) durch den Decoder, an den diese Karte angekoppelt ist, nur dann zu bewilligen, wenn die Bedingungen der durch die Karte erworbenen Berechtigungen erfüllt sind.
Bei Empfang der Befehle A4 bis A6 erkennt die Karte 10, dass diese Befehle eine Decodierfunktion betreffen (Code DEC), und aktiviert folglich ihr spezifisches Programm PS-1, das dazu dient, die Decodierung nur dann zuzulassen, wenn die Berechtigungen erworben worden sind. Dieses spezifische Programm PS-1 arbeitet daher wie folgt:
(1) Alle Befehle, die eine "Verknüpfung" zwischeneinander haben, das heisst, alle Befehle, die die selbe Verknüpfungsnummer tragen, werden betrachtet (in diesem Beispiel werden die drei Befehle A4, A5 und A6 als verknüpft betrachtet),
(2) die Logik der Verknüpfungen wird betrachtet (in diesem Beispiel sind die drei Befehle A4, A5 und A6 durch Logik-UND verknüpft),
(3) es wird überprüft, ob A4 überprüft worden ist (in diesem Beispiel wird überprüft, ob der Betreiber, der den Befehl A4 sendet, konzessioniert ist; die Antwort ist JA, da der Befehl A1 überprüft worden ist),
(4) wenn JA, wird überprüft, ob A5 überprüft worden ist (in diesem Beispiel wird überprüft, ob die Karte die Berechtigungen für das vertriebene Abonnement besitzt; die Antwort ist JA, da der Befehl A2 überprüft worden ist, was heisst, dass das vertriebene Abonnement ABT1 mit dem erworbenen Abonnement ABT1 übereinstimmt),
(5) wenn Ja, wird überprüft, ob A6 überprüft worden ist (in diesem Beispiel wird überprüft, ob die Karte die Berechtigungen für die Vertriebstufe besitzt; die Antwort ist JA, da der Befehl A2 überprüft worden ist, was heisst, dass die Stufe der vertriebenen Sendung (Stufe 2) für das Abonnement ABT1 tiefer als oder gleich hoch wie die in der Karte erworbene Stufe (Stufe 3) für das gleiche Abonnement ABT1 ist,
(6) wenn Ja, wird überprüft, ob das laufende Datum zwischen dem ersten und letzten Gültigkeitstag für das vertriebene Abonnement liegt (in diesem Beispiel ist die Antwort JA, wenn das laufende Datum zwischen D1 und F8 liegt, also zwischen dem ersten und letzten Gültigkeitstag des gleichen Abonnements ABT 1),
(7) das spezifische Programm PS-1 bewilligt sodann die Decodierung durch den Decoder 16, wenn es
eine Antwort JA auf den Befehl A4
UND eine Antwort JA auf den Befehl A5
UND eine Antwort JA auf den Befehl A6
UND eine Antwort JA für Schritt (7) erhalten hat; dieser Schritt ist ein spezifischer Schritt des Programms PS-1 (also eine Kontrolle, die speziell das Programm PS-1 betrifft, das dazu dient, die unumgänglichen Bedingungen für eine Bewilligung der Decodierung zu überprüfen).
Anders gesagt, überprüft das spezifische Programm das Vorhandensein der logischen Verknüpfungen zwischen den ankommenden Befehlen (in diesem Beispiel überprüft das spezifische Programm PS-1 die Befehle des Decodierangebots, das heisst die Befehle A4, A5 und A6, an Hand der Berechtigungen, die in der Karte erworben worden sind, also der durch die früher bereits gespeicherten Befehle A1, A2 und A3 definierten Berechtigungen). Das Programm kann auch zusätzliche Überprüfungen ausführen, die spezifisch die vom Programm zu erfüllende Funktion betreffen; in diesem Beispiel führt das Programm PS-1 die spezifische Überprüfung des Schritts (7) aus.
Wie man sieht, können in der Speicherzone 22 der Speicherkarte 10 nachfolgend die verschiedenen ankommenden Befehle A1, A2, usw. gespeichert werden, ohne dass die Reihenfolge der Speicherung von Bedeutung wäre. Wenn ein Befehl aufgehoben worden ist, können die darauffolgenden Befehle verschoben werden, um den freigewordenen Speicherplatz wieder zu besetzen, und zwar dann, wenn nicht alle Befehle die gleiche Länge besitzen. Wenn die Befehle so formatiert sind, dass sie alle die gleiche Länge besitzen, werden die auf einen aufgehobenen Befehl folgenden Befehle nicht versetzt, da ein neuer Befehl am freigewordenen Speicherplatz gespeichert werden kann.
Wenn ein spezifisches Programm ausgeführt wird, dann ist nämlich die Operation, in der alle zwischen den verschiedenen gespeicherten Befehlen bestehenden Verknüpfungen überprüft werden, eine Operation, die dadurch ausgeführt wird, dass aufeinanderfolgend alle gespeicherten Befehle abgefragt werden. Aus diesem Grunde hat also die Reihenfolge der Speicherung der verschiedenen Befehle keine Bedeutung.
Fig. 3 stellt die Struktur einer Speicherkarte eines Systems gemäss der vorliegenden Erfindung vor. Diese Speicherkarte 10 kann einen einzigen integrierten Schaltkreis 20 enthalten, der im wesentlichen eine Zentraleinheit (CPU) 22, einen Festspeicher ROM 24, einen Speicher mit wahlfreiem Zugriff RAM 26 und einen programmierbaren, elektrisch löschbaren Festspeicher EEPROM 28, einen Ein-Ausgabe-Schaltkreis (I/O) 30 sowie eine Datenübertragungsvorrichtung 32, die die verschiedenen Elemente verbindet, umfasst.
Der Speicher ROM 24 enthält die permanenten Daten, durch die die Ein- und Ausgaben verwaltet werden können, ein Basisprogramm für den Anlauf der Karte 10 sowie ein oder mehrere Programme, die die allgemeinen Anweisungen und Befehle der Datenbank definieren. Namentlich enthält der ROM 24 ein Steuerorgan für den EEPROM 28, das zu dem Zeitpunkt, an dem die Karte 10 mit einer Verwaltungseinheit 22 verbunden wird, die folgenden Operationen ausführt:
- Anweisung an den Speicher EEPROM 28, jeden von der Verwaltungseinheit 22 her ankommenden Befehl an irgend einer Speicheradresse zu speichern, die durch den Speicher EEPROM ausgewählt wird; und
- Voruntersuchung bei Eintreffen eines Befehls, um zu bestimmen, ob dieser Befehl bereits im Speicher EEPROM 28 gespeichert ist oder nicht, und Speicherung dieses Befehls an irgend einer Adresse des Speichers EEPROM 28, einzig und allein, wenn dieser Befehl noch nicht gespeichert ist.
Der Speicher EEPROM 28 kann die Gesamtheit der Befehle der Datenbank und gegebenenfalls noch weitere Anweisungen der Datenbank speichern, deren Löschung man wünschen könnte, sowie die spezifischen Programme PS-1, PS-2, PS-3 usw., auf die vorher schon Bezug genommen worden war.
Fig. 4 veranschaulicht eine allgemeine Konfiguration für die Organisation der Herstellung und des Vertriebs mehrerer Mautfernsehprogramme. Diese Konfiguration ist als Beispiel angeführt, und zwar allein zu dem Zweck, die Möglichkeiten der Anpassung und Weiterentwicklung des Systems gemäss der vorliegenden Erfindung aufzuzeigen. Wie in dieser Figur dargestellt, wird angenommen, dass in einer gegebenen Region mehrere Fernsehproduzenten P1, P2, P3 existieren. Der Produzent P1 produziert die Programme C1, C2 und C3. Der Produzent P2 produziert das Programm C4, der Produzent P3 produziert das Programm C5. Ausserdem existieren verschiedene Vertreiber (zum Beispiel ein Vertreiber, der die Verbreitung durch ein Netz auf der Basis elektromagnetischer Wellen gewährleistet, ein weiterer Sender, der die Verbreitung durch Kabel gewährleistet, usw.). In diesem Beispiel sind drei verschiedene Vertreiber D1, D2, D3 vorhanden.
Diese allgemeine Konfiguration muss der Gesamtheit der Karten des erfindungsgemässen Systems mitgeteilt werden. Diese Mitteilung kann zum Beispiel erfolgen, indem die Befehle, die diese Konfiguration beschreiben, in das Videosignal aller ausgesendeten Programme eingeführt werden (zum Beispiel während des senkrechten Strahlrücklaufs). Diese in allen ausgesendeten Programmen gleichzeitig erfolgende Aussendung der Befehle kann periodisch wiederholt werden, zum Beispiel bei jedem senkrechten Strahlrücklauf des Videosignals oder aller Sekunden. Folglich werden diese Befehle der allgemeinen Konfigurationsbeschreibung zu jedem Zeitpunkt, an dem eine Speicherkarte an einen Abonnentendecoder angekoppelt wird, der so betrieben wird, dass er eines der ausgesendeten Programme empfängt, automatisch in der Speicherkarte gespeichert. Diese Befehle der Konfigurationsbeschreibung sind wie folgt:
P1 = C1 + C2 + C3
P2 = C4
P3 = C5
D1 = P1 + P2 + P3
D2 = P1 + P2
D3 = P1 + P3
Die Bedeutung dieser hier mit Symbolen wiedergegebenen Befehle ist wie folgt. Der Produzent P1 darf die Programme C1, C2 und C3 herstellen, der Produzent P2 darf das Programm C4 herstellen, der Produzent P3 darf das Programm C5 herstellen, der Vertreiber D1 verbreitet die Sendungen der Produzenten P1, P2 und P3, der Vertreiber D2 verbreitet die Sendungen der Produzenten P1 und P2, der Vertreiber D3 verbreitet die Sendungen der Produzenten P1 und P3.
Wenn sich Veränderungen in dieser allgemeinen Konfiguration ergeben, wie das im Laufe der Zeit wahrscheinlich der Fall sein wird, werden alle Befehle, die in allen Speicherkarten enthalten sind, falsch. Jedoch ist, wie im folgenden ersichtlich wird, die Aktualisierung der in allen Speicherkarten enthaltenen Konfigurationsbefehle verhältnismässig einfach, wenn man ein System gemäss der vorliegenden Erfindung benutzt.
Es sei angenommen, dass zum Beispiel die allgemeine Konfiguration so abgeändert wird (wie in Fig. 3 in gestrichelten Linien angedeutet), dass der Produzent P2 zusätzlich ein Programm C6 herstellt und dass sich die Vertreiber D2 und D3 zusammenschliessen, um nur einen neuen Vertreiber D4 zu bilden, der physisch die Gesamtheit der Netze bewahrt, die zuvor den beiden Vertreibern D2 und D3 gehörten. Es ist ersichtlich, dass diese Veränderung der allgemeinen Konfiguration leicht in den Speicherkarten berücksichtigt werden kann. Dafür genügt es, zwei neue Befehle hinzuzufügen:
P2 = C6
D4 = D2 + D3
Alle alten Befehle behalten ihre Gültigkeit. Die neuen Befehle fügen die Logikverknüpfungen hinzu, die die Veränderungen der Konfiguration darstellen.
Diese Veränderung der allgemeinen Konfiguration kann tatsächlich auf logische Weise in Boolescher Algebra ausgedrückt werden, und diese logische oder Boolesche Beschreibung entspricht den neuen Verknüpfungen, die den bereits bestehenden hinzugefügt worden sind. Es versteht sich, dass dieses neue Konzept eine sehr grosse Erleichterung für die Verwaltung und Übertragung der Daten bringt, die den Speicherkarten des Systems übermittelt werden müssen.
Wenn man, nachdem der Öffentlichkeit eine erste Serie von Speicherkarten zur Verfügung gestellt worden war, die mit der soeben beschriebenen allgemeinen Konfiguration funktionieren, eine neue Serie von Speicherkarten vertreiben will, deren jede eine besondere Erweiterung der Empfangsmöglichkeiten gegenüber der von dieser allgemeinen Konfiguration gebotenen darstellt, wo sich zum Beispiel diese neue Serie von Speicherkarten dadurch auszeichnet, dass diese Karten in der Lage sein sollen, das Programm des Produzenten P3 über den Vertreiber D2 zu entzerren (was bei der ersten Kartenserie nicht gestattet ist), so genügt es, zu Anfang in allen Karten dieser zweiten Serie den folgenden Befehl zu speichern:
D2 = P3
Man könnte so eine grosse Zahl weiterer Möglichkeiten finden, um die kommerziellen Merkmale des erfindungsgemässen Systems unendlich abzuwandeln.
Fig. 5 bis 7 veranschaulichen eine erdachte allgemeine Konfiguration einer anderen Vertriebsorganisation mehrerer Mautfernsehprogramme, die einzig zur Veranschaulichung gegeben wird, um zu zeigen, wie die Datenspeicherung und der Ablauf spezifischer Programme in den Speicherkarten erfolgen, wenn man ein klassisches Verwaltungssystem (Fig. 6) und ein erfindungsgemässes Verwaltungssystem (Fig. 7) anwendet. Fig. 5 stellt in Symbolen die zeitliche Weiterentwicklung einer Organisation des Vertriebs von Mautfernsehprogrammen vor. Die Pfeile "a" zeigen die Organisation, die während einer Anfangszeit existiert, der Doppelpfeil "b" zeigt die Organisation, die während einer Folgezeit existiert, der Pfeil "c" zeigt die Organisation, die während einer weiteren, darauf folgenden Zeit existiert, und das Quadrat "d" zeigt eine Ergänzung der Organisation, die während einer weiteren Zeitfolge erfolgt.
Die anfängliche Organisation (Pfeile "a") enthält einen ersten Vertreiber F1, der ein einziges Fernsehprogramm G1 vertreibt. Die drei Speicherkarten M1, M2, M3 werden über diesen Vertreiber F1 auf eine Zeit von sechs Monaten für dieses Programm G1 abonniert. Die anfängliche Organisation enthält noch einen weiteren Vertreiber F2, der zwei weitere Programme G2 und G3 vertreibt. Die Karten M2, M3 und M4 (auf sechs Monate abonniert) werden über F2 für G2 abonniert, während die Karte M5 (auf zwölf Monate abonniert) über F2 für G3 abonniert wird.
Diese Organisation hat sich in der Folgezeit (Pfeile "b") in dem Sinne entwickelt, dass man übereingekommen ist, dass "jeder Abonnent für G2 ausserdem G3 empfangen darf und umgekehrt".
Diese Organisation hat sich in der Folge (Pfeil "c") noch weiter in dem Sinne entwickelt, dass man übereingekommen ist, dass "jeder Abonnent von F1 ausserdem die Programme von F2 empfangen darf, aber alle Abonnenten von F2 auch weiterhin nur die Programme von F2 empfangen dürfen".
Diese Organisation hat sich in der Folge noch weiter entwickelt (Quadrat "d"), und zwar in dem Sinne, dass man übereingekommen ist, dass "den Abonnenten, die nicht für G1 abonniert sind, eine kostenlose Verlängerung ihres Abonnements um drei Monate geboten wird".
In Fig. 6 (System des Standes der Technik) sind die Inhalte der Karten M1 bis M5 (erste Spalte der Figur) während der anfänglichen Organisation dargestellt. In jeder Karte sind also das oder die erlaubten Programme, der oder die erlaubten Vertreiber und die Zeitdauer d des Abonnements eingeschrieben. Ebenfalls dargestellt sind die Inhalte der Karten M1 bis M5 (zweite Spalte der Figur), um die Entwicklung der Organisation zu berücksichtigen (Pfeil "b"), und so fort. Man sieht, dass bei jeder Fortentwicklung der Organisation jede Karte einzeln behandelt werden muss, erstens, indem die Karte untersucht wird, um zu erfahren, welche Berechtigungen sie bereits enthält, und zweitens, indem in Abhängigkeit der bereits existierenden Berechtigungen gegebenenfalls neue Berechtigungen eingeschrieben werden. In der Praxis erfordert dieser Vorgang die Abfrage eines vorher aufgenommenen Abbildes jeder Karte in einem Verwaltungszentrum. Bei mehreren Millionen Karten ist die Arbeit unermesslich gross und kann nur äusserst ausnahmsweise, nicht aber zu jedem Zeitpunkt unternommen werden. Es wäre kommerziell sehr attraktiv, jederzeit eine Werbemeldung verbreiten zu können, die über eine anstehende Organisationsänderung informiert, und diese Änderung gleichzeitig auch auszuführen. Das ist mit den klassischen Karten nicht möglich.
In Fig. 7 (System gemäss unserer Erfindung) sieht man, dass es genügt, bei jeder Weiterentwicklung der Organisation den alten Regeln die neuen Logikregeln hinzuzufügen (das heisst neue Logikverknüpfungen hinzuzufügen). Es ist folglich nicht mehr erforderlich, in jeder Karte die bereits eingeschriebenen Berechtigungen zu "lesen", um zu entscheiden, von welcher neuen Berechtigung diese Karte Nutzen ziehen könnte. Allen Karten werden gleichzeitig die neuen Regeln (das heisst, die neuen Logikverknüpfungen) zugesandt, und jede Karte bestimmt in der Folge, welches ihre spezifischen Berechtigungen sind.
Wenn man das System des Standes der. Technik (Fig. 6) mit dem System unserer Erfindung (Fig. 7) vergleicht, kann man zum Beispiel sehen, dass die aus den Ereignissen b, c und d folgenden Befehle gemäss unserer Erfindung eine Speicherung von Befehlen logischer Verknüpfungen veranlassen, die für jede Änderung bei allen Karten die gleichen sind, während mit dem klassischen System bei jeder Änderung unterschiedliche Befehle an die verschiedenen Karten gesendet werden müssen. Es ist daher offensichtlich, dass das erfindungsgemässe System die Verwaltung der Karten beträchtlich vereinfacht.
Die ursprüngliche Motivation der Erfindung stammt also aus den begrenzten Möglichkeiten der Speicherkarte in den Mautfernseh-Anwendungen, wo die Einführung des Begriffs einer Datenbank in der Speicherkarte aus den folgenden Gründen erforderlich war:

A. Begriff der Bündelung

Statistisch gesehen entwickelt sich der Inhalt der Karten zu 95% auf implizite Art und Weise (einfache Erneuerung der Berechtigungen der Karte) und zu 5% durch individuelle Behandlung. In den klassischen Systemen werden alle Operationen (die Erneuerung und die individuellen Behandlungen) auf ähnliche Art und Weise ausgeführt, indem den Speicherkarten (oder den betroffenen Zonen) der neue Inhalt übermittelt wird. Dieses Verfahren ist bei der klassischen Konzeption das einzige praktisch verwendbare Verfahren. Es ist nämlich gefährlich, den Karten zu 100% unbegrenzte Berechtigungen zu erteilen und die Berechtigungen für 5% der Karten zu vernichten, um daraufhin die neuen Berechtigungen dafür einzuführen, da nicht garantiert werden kann, dass die Vernichtungsbefehle richtig eingetroffen sind.
Die hier vorgeschlagene Lösung gestattet es, zum Beispiel die Gesamtheit der Daten an ein Gültigkeitsdatum zu binden, das allein verlängert werden muss, so dass die Gültigkeit der Daten durch Senden eines einzigen Mitteilung verlängert werden kann, ohne dass die einzelnen Daten behandelt werden müssen. Für die durch individuelle Behandlung zu bearbeitenden 5% müssen neue Verknüpfungen aufgebaut werden.

B. Vielfach-Zulassungen

Bei der klassischen Mautfernsehverwaltung verwaltet der Dienstleistungsbetreiber die Gesamtheit der Abonnenten als einen einzigen, gleichförmigen Körper. Jede Errichtung und Abänderung eines Abonnements kann nur durch den Betreiber direkt ausgeführt werden. Gemäss dieser Logik werden so viele Betreiberzonen auf der Karte gebraucht, wie Betreiber eine Dienstleistung anbieten. In dieser Logik kann nur der "ursprüngliche" Betreiber einem Kunden, der nicht zahlt, den "Hahn abdrehen". Man betrachte zum Beispiel einen Kunden X, der über ein Kabelnetz R auf den Kanal A abonniert ist. Wenn der Kunde X dem Kabelnetz seine "Kabel"- gebühr nicht zahlt, muss das Netz R beim Kanal A nachsuchen, dass dem Kunden die Berechtigungen ausgesetzt werden, über die er verfügt. Durch diesen Stand der Dinge wird die Verwaltung beträchtlich erschwert, indem das Volumen der ausgetauschten Daten ansteigt, und zwar namentlich zwischen dem Netz R und dem Kanal A, aber auch zwischen dem Kanal A und dem Abonnenten X. Es macht sich ausserdem erforderlich, dass die Abrechnungszeiträume des Kanals A und des Netzes R aufeinander abgestimmt sind und das Netz R die Liste der im Zahlungsverzug befindlichen Kunden mitteilt.
Es ist natürlich in der Logik der klassischen Systeme möglich, dass der Kanal A die Verwaltung seiner Abonnenten (auf dem Netz R) völlig an das Netz R delegiert. Diese Lösung hat den Nachteil, dass vom Kanal A verlangt wird, dem Netz R beim Geschäft völlig zu vertrauen. Wenn diese Lösung nicht in Betracht kommt, kann das Netz R immer noch einen Techniker aussenden, um die Anschlussbuchse des Abonnenten zu versiegeln...
Das vorgeschlagene System gestattet es, diesen Fall auf elegante Weise zu lösen, indem die Möglichkeit, dass der Kanal A beim Abonnenten X empfangen werden kann, an eine "Zustimmungs"mitteilung des Netzes R gebunden wird. Zufolge dieses Prinzips kann das Netz R den Zugriff zu A gestatten oder nicht gestatten, ohne dass der Kanal gebeten werden müsste zu handeln. Ausserdem kann jetzt die Gültigkeitsdauer der Bewilligungen unterschiedlich sein.
Die Einführung dieser Lösung verlangt von Kanal A die Schaffung eines Abonnements von festgelegter Zeitdauer, das der Bedingung unterliegt, durch das Netz R die Zustimmung zu erhalten.
Die Schaffung solcher Verknüpfungen kann je nach den Kunden veränderlich sein, so dass das Schema der Konzessionierung der Kunden in Abhängigkeit von der Signalübertragung abgewandelt werden kann. Auf diese Weise kann ein Kunde Y über die Benutzung des Originalsignals für Kanal A abonniert werden, während der Kunde X durch das Netz R bedient wird.

C. Vertragusdauer und Zahlung

In der klassischen Definition von Abonnements entspricht die Vertragsdauer der Abrechnungsperiode, d. h. für ein Jahresabonnement erfolgt die Zahlung jährlich.
Um das Abonnieren zu erleichtern, räumen bestimmte Unternehmen die Möglichkeit ein, die Zahlungen ratenweise zu tätigen.
Beim Mautfernsehen ergibt sich hier ein Problem, wenn die Vertragsdauer ein Jahr beträgt, während die Zahlungen monatlich erfolgen. Wenn nämlich die Berechtigung für ein Jahr erteilt wird und der Kunde nach einem Monat nicht mehr zahlt, wird es erforderlich, auf der Speicherkarte die Berechtigung aufzuheben. Man kann aber keine Gewissheit haben, dass die Karte die Nachricht betreffend Aufhebung empfangen hat, und die Nachricht muss während der gesamten Vertragsdauer oft wiederholt werden. Diesem Problem könnte man dadurch begegnen, dass kürzere Berechtigungen erteilt werden (zwei Monate) und diese regelmässig verlängert werden; jedoch hat diese Lösung den Nachteil, dass sie nicht die Vertragstatsachen widerspiegelt (was ersichtlich wird, wenn die Berechtigungen abgefragt werden).
Das vorgeschlagene System hingegen gestattet es, einen Jahresvertrag vorzusehen, der, um gültig zu sein, an eine Bedingung gebunden ist, nämlich die, dass die Zahlung erfolgt ist. Man verfügt dann über einen Vertrag, der ein Jahr gültig ist, und eine monatliche Genehmigung "der Nutzung", die den monatlichen Zahlungen entspricht. Diese Lösung entspricht übrigens genau der Vertragsdefinition.

D. Vielfachvertrieb

Die klassische Betrachtungsweise der Mautfernsehsysteme sieht vor, dass jeder "Betreiber" direkten Zugriff auf eine reservierte Zone bei jedem Abonnenten habe. Diese Betrachtungsweise verpflichtet den Betreiber, jeden Abonnenten selbst zu verwalten.
Das vorgeschlagene System gestattet es einem Betreiber, die Verwaltung einer Gruppe von Abonnenten zu delegieren. Das bedeutet, dass ein Kanal A die Verwaltung eines Teiles der Abonnentenkarten (unter der Bedingung, dass die Koordinaten der Abonnenten-"Speicherkarten" zur Verfügung stehen) an ein Netz R1 und die Verwaltung eines anderen Teils der Karten an ein Netz R2 delegieren kann.
In diesem Falle verwalten Netze R1 und R2 die Abonnenten des Kanals A unabhängig voneinander. Sie haben ferner die Möglichkeit, den Kanal A in ein Kanal"paket" einzuschliessen, und zwar wiederum voneinander unabhängig. Durch diese Delegation kann der Kanal A einen "Satz" von N Abonnements anbieten, die einschliesslich der Rechnungstellung durch einen Unteranbieter verwaltet werden.
Das System gestattet es ferner, dass ein Kanal A die Gesamtheit seiner Abonnenten verwaltet, während die Codierung der Sendungen an ein oder mehrere andere Unternehmen delegiert wird.

E. Selbsttragende Struktur

Im klassischen Modell behält der Betreiber die Gesamtheit der Geheimnisse, die jeder Speicherkarte zugeordnet sind. Der Nachrichtenversand zwischen dem Sender und einer Speicherkarte erfolgt, indem die Bezugszeichen der zu benutzenden Verschlüsselungen angegeben werden, typischerweise die Nummer des Verwaltungs- oder Dienststellenschlüssels. Dieses Konzept ist in den Systemen mit Übertragung von Punkt zu Punkt weit verbreitet, aber seine Verwaltung wird schwierig, wenn die Architektur komplizierter wird.
Das vorgeschlagene System verwendet den Begriff von Schlüsseln, die mit einem Datentyp über eine bestimmte Zeitdauer verbunden sind, das heisst, die Daten bezüglich einer bestimmten Verknüpfung werden während einer gegebenen Zeitdauer übertragen, indem dazu ein bestimmter Schlüssel verwendet wird. Es ist auch möglich, gleichzeitig mehrere gültige Schlüssel einzusetzen.
Nach diesem Konzept ist es nicht erforderlich, die Bezugszeichen des verwendeten Schlüssels während einer Transaktion zu senden, wodurch sich die Verwaltung des Schlüssels vereinfacht. Das Codiersystem, das dezentralisiert sein kann, darf nur den Codierschlüssel kennen, um Daten zu senden, muss aber nicht die Bezugszeichen angeben.

F. "Bank"funktion

Die klassischen Systeme sehen vor, dass jeder Betreiber seine eigenen Guthaben verwaltet. Das Guthaben wird durch jeden Betreiber aufgefüllt und kann (durch den Abonnenten) nur für Belastungen verwendet werden, die diesen Betreiber betreffen.
Das vorgeschlagene System gestattet es, den Begriff eines "Bank"betreibers zu schaffen, der ein Guthaben verwalten kann, das einer bestimmten Anzahl von Betreibern zusammen gehört und das an bestimmte Verknüpfungen gebunden werden kann.
Die Bankfunktion erhebt eine Gebühr dafür, dass eine Verknüpfung hergestellt wird; im Austausch dafür gestattet die Bankfunktion, dass die Verknüpfung benutzt wird.

VERGLEICHENDE BEISPIELE AUS DEM BEREICH DES MAUTFERNSEHENS - MEHRKANALVERTRAG

Klassisches System:

Herkömmlicherweise wird ein Mehrkanal-Abonnementsvertrag durch Datenpflege der unabhängigen Berechtigungen für jeden der Kanäle behandelt. Wenn X auf die Kanäle A, B und C abonniert ist, so erhält die Speicherkarte seines Decoders die Zugriffsberechtigungen zu den Kanälen A, B und C unabhängig und für eine begrenzte Zeitdauer, die grundsätzlich der Zahlperiode entspricht. Bei Empfang jeder Zahlung übersendet der Betreiber die neuen, der bezahlten Zeitdauer entsprechenden Berechtigungen. Bei diesem Verfahren empfängt die Karte des Abonnenten ebenso viele Benachrichtigungen wie sie Abonnements hat, und zwar über die Benachrichtigungen hinaus, die die zu verwendenden Codierschlüssel betreffen.
Bei Nichtzahlung werden die Berechtigungen beim darauffolgenden Fälligkeitstermin nicht mehr verlängert, oder Anweisungen zur Aufhebung werden übersendet.
Die Berechtigungen werden nicht erneuert, wenn der Vertrag nicht verlängert wird.
Wenn ein weiterer Kanal in den Vertrag aufgenommen wird, müssen die entsprechenden Berechtigungen bei jedem Fälligkeitstermin ebenfalls verwaltet werden (ein zusätzlicher Auftrag).

Erfindungsgemässes System

Der für den Vertrieb der drei Kanäle verantwortliche Betreiber erstellt ein Basisvertragsgerüst, das an den Betreiber (um die Urheberschaft zu definieren), an eine Beschreibung der drei gewählten Kanäle, an die Vertragsdauer und an eine durch einen Abonnementsinkassoverantwortlichen verwaltete Zahlungsveränderliche gebunden ist.
Bei jeder Zahlung verlängert der Inkassoverantwortliche die Gültigkeit der Verknüpfung für die so gedeckte Zeitdauer. Bei jeder Vertragserneuerung verlängert der für den Vertrieb verantwortliche Betreiber einfach die Gültigkeit der Verknüpfung "Vertragsdauer".
Bei Nichtzahlung erneuert der Inkassoverantwortliche die Zahlungsverknüpfung nicht und/oder zerstört sie.
Der für den Vertrieb verantwortliche Betreiber verlängert die Vertragsdauer nicht, wenn der Vertrag nicht erneuert wird.
Wenn ein weiterer Kanal in den Vertrag aufgenommen wird, genügt es, den neuen Kanal mit einer Verknüpfung zum bestehenden Vertrag hinzuzufügen, alles weitere ist dann in den darauffolgenden Operationen inbegriffen.
Der hauptsächliche Unterschied zwischen den beiden Konzepten liegt im Unterschied zwischen dem klassischen Fall des Verwaltungssystems (der Betreiber muss ein Abbild der Speicherkarte erstellen, um es als Ganzes zu übertragen) und dem erfindungsgemässen Konzept, wonach nur die Veränderungen zu übersenden sind. Während ferner im klassischen Modell das Verwaltungszentrum des Betreibers gleichzeitig den Vertrag und die Zahlungen kontrolliert, können im zweiten Falle die beiden Funktionen durch zwei verschiedene Zentren ausgeübt werden.

VERGLEICHENDE BEISPIELE IM BEREICH DER BANKKARTE- DAS KONZEPT EINES GUTHABENS

Klassisches System:

Im klassischen System wird eine Bank-Speicherkarte als "Einzelbetreiber"karte betrachtet, was bedeutet, dass die Karte eine Identität besitzt, die an eine einzige Organisation gebunden ist. Der Begriff des Kennworts oder des Codieralgorithmus ist direkt an diesen Betreiber gebunden, was bedeutet, dass der Betreiber das Kennwort des Karteninhabers beaufsichtigt.
Die Verwendung einer solchen Karte ist erschwert, wenn die Nutzung der Karte in Systemen gestattet werden soll, die nicht vom Betreiber abhängen. In einem solchen Falle müsste der Betreiber entweder anderen Betreibern seine Geheimnisse enthüllen oder eine Echtzeitverbindung mit ihnen herstellen.
Eine andere Möglichkeit bestünde darin, für jeden Betreiber eine reservierte Zone zu schaffen, jedoch erlaubt eine solche Struktur keine Kontensperre bei Überschreitung des Guthabenlimits.
In allen Fällen ergibt sich also ein schwerfälliges und einschränkendes System.

Erfindungsgemässes System:

Angenommen der Kartenbesitzer X besitzt ein Konto bei der Bank A und wünscht, Geld bei den Banken B und C abheben zu können sowie über eine Art von Kreditkarte beim Pool P zu verfügen. Der Aussteller wird dann die folgenden Betreiberzonen auf der Speicherkarte schaffen:
X: Zone des Inhabers
A: Zone der das Konto führenden Bank
B: Zone der Bank B
C: Zone der Bank C
P: Zone des Pools P
Die Zone X enthält eine bedingte Verknüpfung, die nach Eingabe des Kennworts des Inhabers hergestellt wird. Die Verknüpfung kann nur als gültig angesehen werden, wenn das richtige Kennwort eingegeben worden ist.
Zone A enthält den Kontostand und eine Verknüpfung zur Zone X, um das Kennwort zu verlangen, eine bedingte Verknüpfung zu den Zonen B, C und P, eine Verknüpfung für die Funktion, das Guthaben des Kontos A zu belasten, sowie eine Verknüpfung zu den Verschlüsselungsfunktionen zwischen (A und B), (A und C) sowie (A und P). Diese Verknüpfungen werden durch Austausch von Chiffren hergestellt, die durch die Verschlüsselungsfunktionen validiert werden.
Die Zonen B, C und P enthalten eine bedingte Verknüpfung mit der Zone A, eine Verknüpfung mit den Verschlüsselungsfunktionen zu A, eine Verknüpfung mit der Verschlüsselungsfunktion zur Aussenwelt sowie eine Verknüpfung, die ein Belastungsbegehren definiert. Diese Verknüpfungen werden durch Austausch von Chiffren hergestellt, die durch die Verschlüsselungsfunktionen validiert werden.
Ein typischer Austausch vollzieht sich wie folgt:
1. Der Inhaber führt seine Karte in den Kartenleser des Betreibers P ein.
2. Der Betreiber identifiziert die Zone P durch einen Chiffrenaustausch und verlangt eine Verknüpfung mit der Guthabenbelastungsfunktion D.
3. Die Zone P stellt die Verknüpfung mit dem externen Betreiber her, stellt aber fest, dass die Verknüpfung, um gültig zu sein, durch eine Verknüpfung zur Zone A vervollständigt werden muss.
4. Die Zone A empfängt das Verknüpfungsbegehren von P, stellt aber fest, das diese Verknüpfung eine Verknüpfung zur Zone X sowie eine Verknüpfung "Guthabenbelastung" erfordert.
5. Die Zone X empfängt das Verknüpfungsbegehren von A, erfordert aber die Eingabe eines Kennworts. Die Zone X verlangt vom Kartenleser, das Kennwort zu präsentieren.
6. Zone X gewährt die Verknüpfung mit der Zone A, wenn das richtige Kennwort eingegeben wird.
7. Zone A kann nunmehr unter Vorbehält einer Belastung eine bedingte Verknüpfung mit der Zone P herstellen.
8. Zone P kann sodann die Verknüpfung mit dem externen Betreiber schliessen.
9. Die Funktion, mit der eine Belastung angefordert wird, kann im Austausch gegen die Belastung des Guthabens der Zone A ausgeführt werden.
10. Die Belastungsfunktion liefert eine chiffrierte Ermächtigung an die Zone P.
11. Die Zone P liefert eine chiffrierte Ermächtigung an den externen Betreiber.
12. Der externe Betreiber liefert eine chiffrierte Quittung an die Zone P.
13. Die Zone P liefert eine chiffrierte Quittung an die Zone A.
14. Die Zone A liefert eine chiffrierte Quittung an die Zone X.
Sämtliche zwischen den Zonen stattfindenden Operationen erfolgen chiffriert, damit die Rechtmässigkeit der Teilnehmer gewährleistet ist.
Mit diesem Konzept kann ein Datenaustausch innerhalb der Speicherkarte gemäss einer im voraus definierten Logik sowie zwischen Partnern mit vertraglichen Beziehungen erfolgen.
Für den Betreiber einer Zone ist es nicht möglich, die Geheimnisse eines anderen Betreibers zu erfahren, weil jeder Datenaustausch in Abhängigkeit von im voraus definierten Verknüpfungen erfolgt und durch "verschlüsselten" Austausch geschützt wird.

VERGLEICHENDE BEISPIELE AUS DEM BEREICH DER BEDINGTEN ENTSCHLÜSSELUNG

In Systemen mit kontrolliertem Zugriff wird die Entschlüsselung einer Information verlangt, und zwar in Abhängigkeit von Zugriffskriterien, die eine solche Entschlüsselung bewilligen.

Klassisches System:

Die klassischen Lösungen sehen vor, dass eine Speicherkarte das Ergebnis einer Entschlüsselung ausliefert, wenn ein Betreiber eine verschlüsselte Nachricht sendet und die Zugriffsbedingungen erfüllt sind. Die Zugriffsbedingungen werden zu Beginn festgelegt, zum Beispiel Zugriffsberechtigungen mit zeitlicher Gültigkeitsbegrenzung, Bezugszahl und gültigem Decodierschlüssel. Wenn die Bedingungen erfüllt sind, kann die Speicherkarte die entschlüsselte Information ausliefern. In diesem Schema ist vorgesehen, dass die Daten in Fächern gespeichert werden, die für jeden Datentyp spezifisch sind. Diese Lösung ist insofern beschränkt, als sie nur innerhalb der einem Betreiber reservierten Zone funktioniert und nicht zulässt, dass Zugriffsbedingungen im nachhinein neu festgelegt werden.

Erfindungsgemässes System:

Die erfindungsgemässe Lösung funktioniert nach einem Konzept, wo die Bedingungen in Gestalt eines Programms festgelegt worden sind, das in einer Sprache des SQL-Typs geschrieben ist. Das bedeutet, dass die Zugriffsbedingungen nach Belieben abgewandelt werden können, wobei nach Bedarf die bei anderen Betreibern vorhandenen Daten herangezogen werden können.
Die Auslieferung einer entschlüsselten Information ist nur möglich, wenn das Programm alle nötigen Prüfungen, wie sie defi niert sind, besteht. Es ist weiterhin möglich, verschiedene Pfade festzulegen, die zur Freigabe der Information führen können.
Normalerweise ist das die Information verarbeitende Programm kompiliert und kann nicht abgeändert werden. Um spätere Abänderungen zu ermöglichen, ist es jedoch möglich, ein neues (durch eine oberste Organisation) kompiliertes Programm fernzuladen und/oder einem Betreiber die Bewilligung zu erteilen, ein "zu interpretierendes" Programm fernzuladen, das es ihm gestattet, ein neues Zugriffsschema festzulegen.

Claims

1. Zur Verwaltung der Datenspeicherung und der Ausführung spezifischer Programme bestimmtes System mit

- zumindest einer Verwaltungseinheit (14),

- mehreren Speicherkarten (10) mit je einem zur Speicherung von zumindest bestimmten Daten in der Form von Befehlen (A1, A2, ..., An) bestimmten, beschreibbaren Speicher (28-Z2) sowie je einem zur Speicherung von zumindest einem der benannten spezifischen Programme (PS-1, PS-2, PS-3) bestimmten Speicher (21) und

- zumindest einem Datenübertragungsorgan (12), das eine Datenübertragung zwischen zumindest einer Verwaltungseinheit (14) und jeder Speicherkarte (10) aufbauen kann, um eine bestimmte Anzahl von Befehlen (A1, A2, ..., An) zu übermitteln, die dafür bestimmt sind, in einer Speicherkarte (10) gespeichert oder verwendet zu werden, während diese Karte mit einer Verwaltungseinheit verbunden ist,

dadurch gekennzeichnet; dass jede zu irgend einem Zeitpunkt über ein Übertragungsorgan (12) mit zumindest einer Verwaltungseinheit (14) verbundene Speicherkarte (10) in dem benannten beschreibbaren Speicher (28) einen Datensatz enthält, der durch die Speicherung von aufeinanderfolgenden, von der Verwaltungseinheit (14) oder von mehreren Verwaltungseinheiten (14) empfangenen Daten an beliebigen Adressen (22) erstellt wurde, wobei der Datensatz (A1, A2, ..., An) logische Verknüpfungen enthält, die eine Verknüpfung zwischen den gespeicherten Daten ohne Rücksicht auf ihre Adresse oder die Reihenfolge ihres Eintreffens herstellen oder herzustellen gestatten, eventuell auch eine Verknüpfung mit anderen Daten, wodurch in der Karte (10) eine Vergleichsdatenbank erstellt wird, und wobei der Satz gleichzeitig verbundener Karten ebenfalls eine Vergleichsdatenbank bildet; und dass das benannte spez i f i sche Programm (PS-1, PS-2, PS-3) dafür eingerichtet ist, den Datensatz (A1, A2,.., An) der in der Karte (10) erstellten Vergleichsdatenbank so abzufragen, dass mit den untereinander durch zumindest eine logische Verknüpfung verknüpften Daten zumindest eine spezifische Operation ausgeführt werden kann.

2. System gemäss Anspruch 1, dadurch gekennzeichnet, dass

- die in der Karte erstellte Vergleichsdatenbank einerseits aus im beschreibbaren Speicher (28) vorgespeicherten Daten (A1, A2, A3) und andererseits aus von einer oder mehreren Datenverwaltungseinheiten (14) empfangenen Daten (A4, A5, A6) gebildet wird,

- wobei die logischen Verknüpfungen der benannten, in der Karte erstellten Vergleichsdatenbank entweder in den vorgespeicherten Daten oder in den empfangenen Daten oder in beiden enthalten sind, so dass eine spezifische Operation durch das oder jedes spezifische Programm (PS-1, PS-2, PS-3) nur ausgeführt werden kann, wenn die Vergleichsdatenbank durch die benannte Verbindung in der Karte (10) erstellt worden ist.

3. System gemäss Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet,

- dass jede der benannten Speicherkarten (10) ein Steuerorgan (24) für den beschreibbaren Speicher (28) umfasst, das dafür eingerichtet ist, zu dem Zeitpunkt, zu dem die Speicherkarte (10) mit zumindest einer Verwaltungseinheit (14) verbunden ist, die folgenden Operationen auszuführen:

- Anweisung an den beschreibbaren Speicher (28), jeden von der Verwaltungseinheit (14) her ankommenden Befehl (A1, A2, ..., An) an irgend einer Speicheradresse zu speichern,

- Voruntersuchung bei Eintreffen eines der benannten Befehle (A1, A2, ..., An), um zu bestimmen, ob dieser ankommende Befehl bereits im beschreibbaren Speicher (28) gespeichert ist oder nicht, und Speicherung dieses ankommenden Befehls an irgend einer Adresse des beschreibbaren Speichers, einzig und allein wenn dieser ankommende Befehl noch nicht im beschreibbaren Speicher gespeichert ist,

- und dass jeder der benannten Befehle (A1, A2, ..., An) aus

- entweder zumindest einer numerischen Grösse

- oder einer logischen Verknüpfungsgrösse, die es gestattet, eine logische Verknüpfung zwischen zumindest zwei anderen Befehlen oder zumindest dem vorliegenden Befehl und zumindest einem anderen Befehl aufzubauen,

- oder einer der benannten logischen Verknüpfungsgrössen in Gesellschaft mit zumindest einer numerischen Grösse besteht und

- dass die Speicherkarte (10) ein Organ einschliesst, um den Ablauf von zumindest einem in der Speicherkarte gespeicherten spezifischen Programm (PS-1, PS-2, PS-3) anzuweisen, wobei für diesen Ablauf zumindest ein logischer Befehlssatz verwendet wird, der aus allen logisch untereinander verknüpften und unter den benannten, im beschreibbaren Speicher der Speicherkarte ge speicherten Befehlen ausgewählten Befehlen erstellt wurde.

4. System gemäss Anspruch 3, dadurch gekennzeichnet, dass jeder der benannten Befehle (A1, A2, ..., An) oder Teilbefehle, der von einer der benannten logischen Verknüpfungen betroffen ist, ein Befehl oder Teilbefehl ist, der entweder zum gegenwärtigen Zeitpunkt in der Speicherkarte (10) gespeichert oder dazu bestimmt ist, später in der Speicherkarte gespeichert zu werden.

5. System gemäss Anspruch 3, dadurch gekennzeichnet, dass jeder der benannten Befehle (A1, A2, ..., An) so in dem benannten, beschreibbaren Speicher (28) der Speicherkarte gespeichert wird, dass diesem Befehl ein oder mehrere Erkennungscodes beigeordnet werden, die es in der Folge gestatten, den oder die verschiedenen benannten, so erstellten logischen Befehlssätze zu erkennen.

6. System gemäss einem beliebigen der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das benannte, zumindest eine Datenübertragungsorgan (12) die Datenübertragung einzig und allein in der Richtung von einer Verwaltungseinheit (14) bis zu einer beliebigen Speicherkarte (10) gestattet, wenn diese mit dieser Einheit verbunden ist.

7. System gemäss Anspruch 6, dadurch gekennzeichnet, dass das benannte System ein System für kontrollierten Zugriff wie zum Beispiel ein Mautfernsehsystem ist, worin

jede Speicherkarte (10) eine im Besitz eines Systemabonnenten befindliche Karte ist, die mit einem Systemdecoder (16) verbunden werden kann, um eine kontrollierte Zugriffsfunktion ausführen zu können,

die benannte Verwaltungseinheit (14) entweder ein Speicherkartenverwaltungsdienst oder eine Sendestation für ein invertiertes Fernsehsignal ist und

das benannte Datenübertragungsorgan (12) durch einen Datenfunk mit elektromagnetischen Wellen, Satellit oder Kabel gegeben ist.

8. System gemäss einem beliebigen der vorangehenden Ansprüche, dadurch gekennzeichnet, dass

die benannte, zumindest eine Verwaltungseinheit (14) ein Taktsteuerungsorgan umfasst, das dafür eingerichtet ist, eine Gruppe der benannten Befehle in einem bestimmten Takt wiederholt in das benannte, zumindest eine Datenübertragungsorgan einzuspeisen,

und zwar so, dass alle Speicherkarten (10), die zu irgend einem Zeitpunkt gleichzeitig mit zumindest einer Verwaltungseinheit (14) verbunden sind, innerhalb einer Periode des benannten Taktes die benannte Gruppe von Befehlen empfangen hat, wobei alle Speicherkarten, die also zu diesem Zeitpunkt gleichzeitig verbunden sind, dann eine betriebsbereite Vergleichsdatenbank bilden.

9. Verfahren zur Verwaltung einer Datenspeicherung und eines Ablaufs spezifischer Programme, das die folgenden Schritte umfasst

- Einrichtung von zumindest einer Verwaltungseinheit (14),

- Einrichtung mehrerer Speicherkarten (10),

- Einrichtung von zumindest einem Datenübertragungsorgan (12), das eine Datenübertragung zwischen zumindest einer Verwaltungseinheit (14) und jeder Speicherkarte (10) aufbauen kann, und

- Übermittlung einer bestimmten Anzahl von Befehlen über eines der benannten Datenübertragungsorgane (12), und zwar in der Weise, dass diese Befehle in einer Speicherkarte gespeichert werden, während diese Speicherkarte (10) mit einer Verwaltungseinheit (14) verbunden ist,

und ausserdem durch die folgenden Schritte gekennzeichnet ist:

- Speicherung von zumindest bestimmten der benannten Daten (A1, A2, ..., An) in einem beschreibbaren Speicher (28) jeder Speicherkarte, wobei der Satz der gespeicherten Daten (A1, A2, ..., An) durch Speicherung an beliebigen Adressen (22) der durch Verbindung der Karte (10) empfangenen aufeinanderfolgenden Daten erstellt wird und der Datensatz (A1, A2, ..., An) logische Verknüpfungen enthält, die eine Verknüpfung zwischen den gespeicherten Daten ohne Rücksicht auf ihre Adresse oder die Reihenfolge ihres Eintreffens herstellen oder herzustellen gestatten, eventuell auch eine Verknüpfung mit anderen Daten, wodurch in der Karte eine Vergleichsdatenbank erstellt wird, und

- Speicherung von zumindest einem der benannten spezifischen Programme (PS-1, PS-2, PS-3) in einem Speicher (21) jeder Speicherkarte (10), wobei das benannte Programm (PS-1, PS-2, PS-3) dafür eingerichtet ist, den Datensatz (A1, A2, ..., An) der in der Karte (10) erstellten Vergleichsdatenbank so abzufragen, dass mit den untereinander durch zumindest eine logische Verknüpfung verknüpften Daten eine spezifische Operation ausgeführt werden kann.

10. Verfahren gemäss Anspruch 9, dadurch gekennzeichnet, dass es ausserdem die folgenden Schritte umfasst:

- Einrichtung eines Steuerungsorgans (24) für den beschreibbaren Speicher (28) in jeder der benannten Speicherkarten (10), damit zu dem Zeitpunkt, zu dem die Speicherkarte (10) mit zumindest einer Verwaltungseinheit (14) verbunden ist, die folgenden Operationen ausgeführt werden:

- Anweisung an den beschreibbaren Speicher (28), jeden von der Verwaltungseinheit (14) her ankommenden Befehl an irgend einer Speicheradresse zu speichern,

-Einrichtung jedes der benannten Befehle (A1, A2, ..., An) dergestalt, dass er aus

- entweder zumindest einer numerischen Grösse

- Anweisung in der Speicherkarte (10), dass zumindest eines der in der Speicherkarte gespeicherten spezifischen Programme (PS-1, PS-2, PS-3) abläuft, wobei für diesen Ablauf zumindest ein logischer Befehlssatz verwendet wird, der aus allen logisch untereinander verknüpften Befehlen erstellt wurde, die unter den benannten, im beschreibbaren Speicher (28) der Speicherkarte gespeicherten Befehlen (A1, A2, ..., An) ausgewählt wurden.

11. Verfahren gemäss einem beliebigen der Ansprüche 9 und 10, dadurch gekennzeichnet, dass die benannten Daten (A1, A2, ..., An) zwischen zumindest einer Verwaltungseinheit (14) und den Speicherkarten (10) einem von zumindest einer Verwaltungseinheit bis zu den Speicherkarten einseitig gerichteten Fluss zufolge übermittelt werden.

12. Verfahren gemäss einem beliebigen der Ansprüche 9 und 10, dadurch gekennzeichnet, dass

zumindest zwei verschiedene Verwaltungseinheiten (14) vorgesehen sind,

die benannten Daten zwischen den Verwaltungseinheiten (14) und den Speicherkarten (10) einem zweiseitig gerichteten Fluss zufolge übermittelt werden und

bestimmte Daten (A1, A2, ..., An) bei einer ersten Verbindung einer Speicherkarte mit einer ersten Verwaltungseinheit von dieser bis zu dieser Karte und dann bei einer weiteren gleichzeitigen oder nachfolgenden Verbindung einer Speicherkarte mit einer anderen Verwaltungseinheit von dieser Speicherkarte bis zu dieser anderen Verwaltungseinheit übermittelt werden.

13. Speicherkarte (10) vom Typ der Mautfernsehkarte, Bankkarte oder anderer Karten für ein System mit kontrolliertem Zugriff oder dergleichen, die einen beschreibbaren Speicher (28) umfasst, der einen Datensatz (A1, A2, ..., An) und zumindest ein Programm (PS-1, PS-2, PS-3) zur Ausführung spezifischer Operationen mit den gespeicherten Daten speichert,

dadurch gekennzeichnet, dass der Satz der gespeicherten Daten durch die Speicherung von aufeinanderfolgenden Daten an beliebigen Adressen erstellt wird, wobei diese Daten durch Verbindung der Karte mittels eines Datenübertragungsorgans (12) mit einer oder mehreren Datenverwaltungseinheiten (14) eines oder mehrerer Systeme mit kontrolliertem Zugriff oder dergleichen empfangen wurden,

während der Datensatz (A1, A2, ..., An) logische Verknüpfungen umfasst, die eine Verknüpfung zwischen den gespeicherten Daten ohne Rücksicht auf ihre Adresse oder die Reihenfolge ihres Eintreffens herstellen oder herzustellen gestatten, eventuell auch eine Verknüpfung mit anderen Daten, wodurch in der Karte (10) eine Vergleichsdatenbank erstellt wird,

wobei das benannte Programm (PS-1, PS-2, PS-3) dafür eingerichtet ist, den Datensatz (A1, A2, ..., An) der in der Karte (10) erstellten Vergleichsdatenbank so abzufragen, dass mit den untereinander durch zumindest eine logische Verknüpfung verknüpften Daten zumindest eine spezifische Operation ausgeführt werden kann.

14. Speicherkarte gemäss Anspruch 13, dadurch gekennzeichnet, dass

die Vergleichsdatenbank einerseits aus im beschreibbaren Speicher (28) vorgespeicherten Daten (A1, A2, A3) und anderer seits aus von einer oder mehreren Datenverwaltungseinheiten (14) empfangenen Daten (A4, A5, A6) gebildet wird,

wobei die logischen Verknüpfungen der Vergleichsdatenbank entweder in den vorgespeicherten Daten oder in den empfangenen Daten oder in beiden enthalten sind, so dass eine spezifische Operation durch das oder jedes Programm (PS-1, PS-2, PS-3) nur ausgeführt werden kann, wenn die Vergleichsdatenbank durch die benannte Verbindung in der Karte (10) erstellt worden ist.

15. Speicherkarte gemäss Anspruch 13 oder 14, dadurch gekennzeichnet, dass sie ein Steuerungsorgan (24) für den beschreibbaren Speicher (28) umfasst, wobei dieses Organ dafür eingerichtet ist, zu dem Zeitpunkt, zu dem die Karte (10) mit zumindest einer Verwaltungseinheit (14) verbunden ist, die folgenden Operationen auszuführen:

- Anweisung an den beschreibbaren Speicher (28), jeden von der Verwaltungseinheit (14) her ankommenden Befehl (A1, A2,..., An) an irgend einer Speicheradresse (22) zu speichern,

- Voruntersuchung bei Eintreffen eines der benannten Befehle, um zu bestimmen, ob dieser ankommende Befehl bereits im beschreibbaren Speicher (28) gespeichert ist oder nicht, und Speicherung dieses ankommenden Befehls an irgend einer Adresse (22) des beschreibbaren Speichers, einzig und allein wenn dieser ankommende Befehl noch nicht im beschreibbaren Speicher gespeichert ist.

16. Speicherkartensatz gemäss Anspruch 14 oder 15, dadurch gekennzeichnet, dass der Satz, der aus mehreren Speicherkarten (10) zusammengesetzt ist, die zu einem beliebigen Zeitpunkt gleichzeitig über ein Datenübertragungsorgan (12) mit einer Verwaltungseinheit (14) verbunden sind, zu diesem Zeitpunkt eine Vergleichsdatenbank darstellt.

17. Verwendung einer oder mehrerer Speicherkarten gemäss einem beliebigen der Ansprüche 13, 14 oder 15 oder eines Satzes von Speicherkarten gemäss Anspruch 16, um den Zugriff zu einem System mit kontrolliertem Zugriff wie zum Beispiel einem Mautfernsehsystem oder einem Banksystem zu verwalten.

18. Verwendung gemäss Anspruch 17 für ein Mautfernsehsystem, dadurch gekennzeichnet, dass die benannten Daten zwischen zumindest einer Verwaltungseinheit (14) und den Speicherkarten (10) einem von zumindest einer Verwaltungseinheit (14) bis zu den Speicherkarten (10) einseitig gerichteten Fluss zufolge übermittelt werden.

19. Verwendung gemäss Anspruch 17 für ein Banksystem, dadurch gekennzeichnet, dass zumindest zwei verschiedene Verwaltungseinheiten (14) vorgesehen sind und die benannten Daten zwischen den Verwaltungseinheiten (14) und den Speicherkarten (10) einem zweiseitig gerichteten Fluss zufolge übermittelt werden.

20. Verwendung gemäss Anspruch 19, dadurch gekennzeichnet, dass bestimmte Daten bei einer ersten Verbindung einer Speicherkarte mit einer ersten Verwaltungseinheit von dieser bis zu dieser Speicherkarte und dann bei einer weiteren gleichzeitigen oder nachfolgenden Verbindung einer Speicherkarte mit einer anderen Verwaltungseinheit von dieser Speicherkarte bis zu dieser anderen Verwaltungseinheit übermittelt werden.