DE69801770T2 - Datenverwaltungsverfahren in einer chipkarte - Google Patents

Datenverwaltungsverfahren in einer chipkarte

Info

Publication number
DE69801770T2
DE69801770T2 DE69801770T DE69801770T DE69801770T2 DE 69801770 T2 DE69801770 T2 DE 69801770T2 DE 69801770 T DE69801770 T DE 69801770T DE 69801770 T DE69801770 T DE 69801770T DE 69801770 T2 DE69801770 T2 DE 69801770T2
Authority
DE
Germany
Prior art keywords
card
chip
memory
code
management code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69801770T
Other languages
English (en)
Other versions
DE69801770D1 (de
Inventor
Gilles Lisimaque
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus SA filed Critical Gemplus SA
Publication of DE69801770D1 publication Critical patent/DE69801770D1/de
Application granted granted Critical
Publication of DE69801770T2 publication Critical patent/DE69801770T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/223Payment schemes or models based on the use of peer-to-peer networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/363Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4093Monitoring of device authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Credit Cards Or The Like (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Description

  • Diese Erfindung betrifft ein Verwaltungsverfahren von im Speicher einer Chipkarte gespeicherten Daten. Die Erfindung betrifft den Transfer der Informationen von einer Karte auf eine andere, insbesondere wenn die Ausgangskarte kurz vor ihrem Verfalldatum steht und von einer Karte mit verlängerter Laufzeit ersetzt werden muss, die im übrigen die gleichen Systemeigenschaften, die gleichen in der Elektronikschaltung registrierten Informationen besitzt.
  • Aus dem Bereich der Chipkarten oder im allgemeinen der tragbaren Objekte mit Elektronikchip sind beispielsweise elektronische Geldbörsen bekannt. Bei derartigen Verwendungen werden im Speicher einer Chipkarte abgespeicherte Geldeinheiten auf eine andere übertragen und von der ersten gelöscht. Von vornherein gibt es keine Gültigkeitsgrenze. Außerdem sind im Bankbereich Chipkarten bekannt, deren Kartenkörper eine Aufprägung aufweist, die das Verfalldatum der Karte im Klartext angibt. Diese Vorsichtsmassnahme des Verfalldatums hat zwei Interessen. Zum einen ermöglicht sie, die Alterung der elektronischen Schaltungen zu berücksichtigen und ihr Auswechseln zu fördern. Zum anderen bewirkt sie die Rückgabe ab die Ausgabestelle der in den Verkehr gebrachten Karten, so dass diese Stelle insgesamt die Transaktionsmittel kontrollieren kann, die sie zur Verfügung stellt.
  • Mit der exponentiellen Entwicklung der von den Chipkarteninhabern gesteuerten Applikationen dürfte das Auswechseln der abgelaufenen Chipkarten nicht mehr unbedingt von einer Ausgabestelle vorgenommen werden: es sollte vor Ort erfolgen können, im Bedarfsfall mit gemeinsamen Chipkarten- Lese- und Aufzeichnungsgeräten.
  • Die Benutzungsprinzipien der Chipkarten umfassen die Notwendigkeit, einen Geheimcode oder einen persönlichen Identifikationscode (PIN) eingeben zu müssen, und den Vergleich dieses Codes mit einem im Speicher des Chips gespeicherten Code. Ist der Vergleich erfolgreich, kann die Applikation, d. h. in der Praxis die Aushändigung eines Produkts oder die Erbringung einer Dienstleistung, die der Transaktion entsprechen, oder selbst eine Zahlung, mit der Karte durchgeführt werden. Im gegenteiligen Fall erhält der Inhaber eine Ablehnung. Dieser Vergleich erfolgt gesichert.
  • Das Problem, das besteht, wenn man Informationen von einer Karte auf eine andere übertragen möchte, ist ein Verwaltungsproblem dieser Geheimcodes oder im allgemeinen der Verwaltungscodes, die die kontrollierte Verwaltung der im Speicher der Karten gespeicherten Daten ermöglichen. Denn diese in der einen oder anderen Form im Speicher des Chips der Karte gespeicherten Codes werden von der Ausgabestelle entsprechend Identifikationsdaten der Karte und dieser Stelle eigenen Daten erzeugt. Demzufolge wird es unmöglich, eine automatische Verlängerung der Gültigkeit der Karten durch das Ersetzen von abgelaufenen Karten durch Karten mit längeren Laufzeiten ohne den Eingriff dieser. Ausgabestelle zu organisieren. Denn ein derartiger Schritt würde bedeuten, allen Organismen oder selbst allen Lesegeräten, die diese Verlängerung gewährleisten könnten, alle Geheimnisse bezüglich der Erarbeitung der Geheimcodes, die dieser Ausgabestelle eigen sind, zur Verfügung zu stellen.
  • Der Zweck der Erfindung besteht dennoch darin, dieses zukünftige Problem zu lösen, indem sie ein Aufzeichnungsprotokoll dieser Verwaltungscodes einrichtet. Das Protokoll berücksichtigt die alten Verwaltungscodes oder zumindest Informationen bezüglich alter Karten, von denen die Daten stammen, die in der neuen Karte aufgezeichnet werden.
  • Erfindungsgemäß benutzt man einen Verschlüsselungsalgorithmus, um einen neuen Verwaltungscode zu erzeugen, der einerseits eine Identifizierungsinformation der neuen Karte und andererseits eine Information bezüglich der alten Karte berücksichtigt. In einem Sonderfall sind die Informationen bezüglich der alten Karte die Identifizierungsinformationen der alten Karte. In einem anderen Fall wird der Verwaltungscode der alten Karte verwendet. Alle anderen Informationen bezüglich der alten Karte können benutzt werden.
  • Bei der Benutzung kann der Benutzer dann gebeten werden, den Geheimcode einzugeben, der dem Verwaltungscode der zweiten Karte entspricht. Bei bestimmten Fällen von besonderen Überprüfungen kann er gebeten werden, außerdem in einer zweiten Etappe oder einer ersten Etappe einen Geheimcode einzugeben, der dem Verwaltungscode der ersten Karte entspricht, um die Übereinstimmung der Erarbeitung des zweiten Verwaltungscodes zu überprüfen.
  • Der Zweck der Erfindung ist demnach ein Verwaltungsverfahren von in einem ersten Speicher eines ersten Chips einer ersten Chipkarte gespeicherten Daten, bei dem
  • - man einen ersten Verwaltungscode erzeugt, mit einem ersten Verschlüsselungsalgorithmus, ab einem Mutterschlüssel und einer ersten Identifizierungsinformation der ersten Chipkarte,
  • - man diesen ersten Verwaltungscode im ersten Speicher aufzeichnet,
  • - man die erste Karte mit einem Chipkartenlesegerät in Verbindung setzt,
  • - man eine Edition von im ersten Speicher gespeicherten Daten genehmigt, wenn ein in das Lesegerät eingegebener Code mit dem ersten aufgezeichneten Verwaltungscode kompatibel ist, dadurch gekennzeichnet, dass
  • man einen zweiten Verwaltungscode erzeugt, mit einem zweiten Verschlüsselungsalgorithmus, ab einer Information bezüglich der ersten Karte und einer zweiten Identifizierungsinformation einer zweiten Chipkarte,
  • - man diese Information bezüglich der ersten Karte und diesen zweiten Verwaltungscode in einem zweiten Speicher eines zweiten Chips der zweiten Chipkarte aufzeichnet,
  • - man die Edition von im zweiten Speicher gespeicherten Daten genehmigt, wenn ein dem Lesegerät angegebener Geheimcode mit dem zweiten aufgezeichneten Verwaltungscode kompatibel ist.
  • Zum besseren Verständnis der Erfindung dient die nachfolgende Beschreibung sowie die beigefügten Figuren. Sie sind nur zur Information angegeben und schränken die Erfindung keinesfalls ein. Die Figuren zeigen:
  • - Fig. 1: Eine schematische Darstellung einer für die Umsetzung des erfindungsgemäßen Verfahrens brauchbaren Vorrichtung;
  • - Fig. 2: Die wesentlichen Etappen der Umsetzung des erfindungsgemäßen Verfahrens;
  • - Fig. 3: Die bevorzugte Überprüfungsweise der Legalität des Besitzes einer Chipkarte eines Inhabers;
  • - Fig. 4: Die schematische Darstellung eines symmetrischen Algorithmus, der ermöglicht, einen Verwaltungscode ab einem vorherigen Verwaltungscode wiederzufinden.
  • Fig. 1 zeigt eine für die Umsetzung des erfindungsgemäßen Datenverwaltungsverfahrens brauchbare Vorrichtung. Diese Figur zeigt ein Lesegerät 1 zum Lesen eines tragbaren Chipobjekts 2 oder einer Chipkarte, die in den Schlitz 3 des Lesegeräts eingeführt ist. Dieses Lesegerät umfasst wie üblich einen Bildschirm 4 zur Anzeige der vom Lesegerät editierten Meldungen und eine Tastatur 5, die einem Bediener, dem Karteninhaber, ermöglicht, eine Transaktion zwischen dem Lesegerät 1 und der Chipkarte 2 zu organisieren. In einem Beispiel kann das Lesegerät über verschiedene Mittel entweder in Echtzeit oder verzögert mit einem Master-System 6 verbunden sein. In einem Beispiel können diese Mittel eine Funkverbindung über zwei Antennen 7 und 8 sowie ihr zugeordnetes Sende-/Empfangssystem umfassen, die jeweils am Lesegerät und am Master-System angeschlossen sind.
  • Die Erfindung betrifft insbesondere den Transfer von in einer abgelaufenen Chipkarte 9 (deren Verfalldatum beispielsweise 1996 war) enthaltenen Informationen in eine neue Chipkarte 2 mit einem viel späteren Gültigkeitsdatum (2007). Die Karte 9 sowie die Karte 2 weisen jeweils einen Elektronikchip 10 und Verbindungsmittel mit dem Lesegerät 1 auf. In einem Beispiel bestehen diese Verbindungsmittel einfach nur aus einem Stecker 11. Andere Verbindungslösungen sind bekannt.
  • Auf Fig. 2 werden die Etappen des erfindungsgemäßen Verfahrens detaillierter gezeigt. Dort sind ebenfalls die alte Chipkarte 9 und die neue Chipkarte 2 dargestellt. Die Chipkarte ist mit einer in einem Speicher des Chips aufgezeichneten Information 12 ausgestattet, die eine Seriennummer der Karte oder des Chips darstellt. Bei einer Bankanwendung kann diese Seriennummer ebenfalls eine Bankkontonummer sein oder ihr entsprechen.
  • Das Erarbeitungsprinzip eines Verwaltungscodes besteht darin, einen Mutterschlüssel 100 zu benutzen. Ein Mutterschlüssel ist also eine Kette von binären Zeichen: in einem Beispiel hat ein Mutterschlüssel eine Länge von 1024 Bits. Die Seriennummer der Karte oder des Chips kann ebenfalls in einer binären Form vorhanden sein. Dann befinden sich die beiden entsprechenden binären Zeichenketten in einem Verschlüsselungsalgorithmus, der symbolisch von dem Bezugszeichen 13 dargestellt ist. Der Verschlüsselungsalgorithmus 13 hat zum Ergebnis die Erzeugung eines ersten Verwaltungscodes. In einem Beispiel wird der Verschlüsselungsalgorithmus 13 vom bei einem Sender der Karte zur Verfügung stehenden Master-System umgesetzt, bevor dieser Sender beschließt, die Chipkarte an ihren Benutzer zu senden. Während einer sogenannten Personalisierungsoperation liest der Sender mit einem speziellen Chipkarten-Lesegerät die Seriennummer der Karte und erzeugt mit einem Algorithmus 13 und einem nur dem Sender bekannten Mutterschlüssel 100 einen ersten Verwaltungscode 14. Das Master-System zeichnet den ersten Verwaltungscode 14 im Speicher des Chips der Karte auf. In bekannter Weise kann diese Aufzeichnung an einem Platz des Chips der Karte 9 durchgeführt werden. Dieser Platz kann ebenfalls hinsichtlich seiner Lokalisierung von der mit der Karte zu verwaltenden Applikation, erste Applikation 27, abhängen.
  • Vorzugsweise sind die Verwaltungscodes demnach geheim und an unverletzlichen Plätzen gespeichert.
  • Fig. 3 zeigt ein bevorzugtes Benutzungsbeispiel einer Chipkarte oder eines tragbaren Chipobjekts, die für eine Applikation eines derartigen Verwaltungscodes 14 ausgestattet sind. Wenn ein Bediener, der Benutzer, seine Chipkarte in das Lesegerät 1 steckt, erzeugt dieser einen Zufall 15, eine zufällige Bitkette. Dieser Zufall 15 wird insbesondere über den Stecker 11 an den Chip der Karte 9 gesendet. Dieser nimmt dann eine Verschlüsselung des Zufalls 15 mit dem Verwaltungscode 14 vor und erzeugt einen von dem Zufall verschlüsselten Verwaltungscode 16. Zur gleichen Zeit gibt der Bediener auf der Tastatur 5 einen Geheimcode ein. Dieser Geheimcode wird an das Lesegerät 1 gesendet. Das Lesegerät 1 nimmt in der gleichen Weise wie die Karte 9 die Verschlüsselung 17 des Geheimcodes mit dem Wert des Zufalls 15 vor, der diesem Lesegerät bekannt ist. Eine Vergleichsschaltung 18 des Lesegeräts, bzw. eine Vergleichsschaltung 19 der Karte, nimmt den Vergleich des von dem Zufall verschlüsselten Verwaltungscode 16 mit dem von dem Zufall verschlüsselten Geheimcode 17 vor. Bei Übereinstimmung ist das Ergebnis der Vergleichsschaltung 18 oder 19 positiv, und die mit der Karte 9 geplante Transaktion kann fortgesetzt werden.
  • Diese Fortsetzung der Transaktionen umfasst insbesondere die Edition von im ersten Speicher der ersten Karte 9 gespeicherten Daten, wenn der dem Lesegerät vorgeschlagene Geheimcode mit dem ersten aufgezeichneten Verwaltungscode 14 kompatibel ist.
  • Denn das Lesegerät erzeugt häufig einerseits ein für die Transaktion repräsentatives Ticket 20 oder andererseits, in unsichtbarer Weise, eine für diese Transaktion repräsentative Aufzeichnung in seinem Speicher. Diese Aufzeichnung soll ihrerseits verzögert oder in Echtzeit an das Master-System übertragen werden. Das Ticket 20 sowie die Aufzeichnung beinhalten Angaben zur Transaktion, insbesondere mindestens einen Identifizierungsteil der Chipkarte 2, beispielsweise die bisher angenommene Seriennummer 12 oder eine Kontonummer oder andere, in der Karte 9 aufgezeichnete Informationen. Allein die Tatsache, dass diese Informationen auf dem Ticket 20 oder auf der Aufzeichnung des Lesegeräts 1 erscheinen, bedeutet, dass sie im übrigen editiert wurden. Denn in der Praxis möchte man durch den Vergleich eine derartige Edition und demnach die Fortsetzung der Transaktion blockieren oder zulassen.
  • Bei der Erfindung wurde davon ausgegangen, dass man es mit einer Karte 9 zu tun hat und dass man den Inhalt des Chips 10 dieser Karte 9 in ein Chip einer neuen Karte 2 übertragen möchte. Erfindungsgemäß erzeugt man mit einem Algorithmus 21, ausgehend von einer Information bezüglich der Karte 9 und einer Identifizierungsinformation der zweiten Karte 2, einen zweiten Verwaltungscode 22.
  • In einem besonderen Beispiel ist die Information bezüglich der ersten Karte gerade die Seriennummer 12, und die Information bezüglich der zweiten Karte 9 ist ebenfalls eine Seriennummer 23 dieser zweiten Karte.
  • Als Information bezüglich der ersten Karte hätte man jedoch ebenfalls den ersten Verwaltungscode 14 oder eine andere Information benutzen können.
  • Bei der Erfindung erfolgt die Umsetzung des Algorithmus 21 durch ein Lesegerät 1 eines üblichen Typs, das jedoch mit einer Software ausgestattet ist, um während einer Erzeugungssitzung des Codes 22 das Auslesen der nützlichen Informationen aus der Karte 9 zu bewirken, die Extrahierung der Karte 9 und den Einsatz der Austauschkarte 2 anzufordern, die nützlichen Identifizierungsdaten in die Karte 2 einzulesen, den Code 22 zu errechnen und ihn in der Karte 2 aufzuzeichnen. Um diese Erzeugung der Verwaltungscodes zu vereinfachen, kann die Umsetzungssoftware des Algorithmus zumindest teilweise in der Karte 9 (oder/und in der Karte 2) gespeichert sein. Für mehr Sicherheit kann die Umsetzung sogar vom Mikroprozessor der Karte durchgeführt werden.
  • Um die Erklärung zu vereinfachen, ist man davon ausgegangen, dass der Algorithmus 21 den Empfang von drei Zeichenketten benötigt. Der Algorithmus 13 erhält vorzugsweise die erste Seriennummer 12, ein zweites Mal die erste Seriennummer 12 sowie den Mutterschlüssel 100. In einem Beispiel ist der Algorithmus 21 der gleiche wie der Algorithmus 13. Für den Algorithmus 21 können die drei nützlichen Informationen die Seriennummer 23, die Seriennummer 12 und der Mutterschlüssel 100 sein. Dieser Schlüssel 100 kann sogar vom Code 14 ersetzt werden. Man erzeugt demnach erfindungsgemäß einen zweiten Verwaltungscode 22 mit dem zweiten Verschlüsselungsalgorithmus 21. Der so erzeugte zweite Verwaltungscode 22 wird dann in der zweiten Karte 2 aufgezeichnet, gleichzeitig mit der Information bezüglich der ersten Karte (12 oder 14), die für die Erarbeitung dieses zweiten Verwaltungscodes gedient hat. In dem Beispiel wird die Seriennummer 12 der ersten Karte 9 ebenfalls in der zweiten Karte 2 aufgezeichnet.
  • Fig. 2 zeigt ebenfalls, dass sich der Mechanismus verlängern kann, wenn man eine mit einer dritten Seriennummer 25 ausgestattete dritte Chipkarte 24 benutzt. Dann kann man mit dieser dritten Karte 24 unter den gleichen Bedingungen mit einem dem Algorithmus 21 ähnlichen Algorithmus 27 einen dritten Verwaltungscode 26 erzeugen. In diesem Fall werden im Speicher der dritten Karte 24 die Informationen bezüglich der zweiten Karte 2 gespeichert: die Seriennummer 23. Man kann jedoch ebenfalls in der dritten Karte 24 die Information bezüglich der ersten Karte 9, d. h. die Seriennummer 12, speichern.
  • Für die Karte 9 wurde eine erste Applikation 27 dargestellt. Diese Applikation ist eine erste Weise, die Karte 9 zu benutzen. Diese Karte 9 sollte erfindungsgemäß vorzugsweise eine Multiapplikationskarte ein. In diesem Fall ist der Verwaltungscode 14 ein Verwaltungscode für eine Applikation. Für andere Applikationen 28 oder 29 findet man die gleichen Elemente wieder. Wenn man auch eine gleiche Seriennummer 12 (die gleiche für die ganze Karte oder den ganzen Chip) benutzen kann, sollten die anderen Verwaltungscodes jedoch unterschiedlich sein. Dies kann leicht erreicht werden, indem man von verschiedenen, von den betroffenen Applikation abhängigen Mutterschlüsseln 100 parametrierte Algorithmen 13 benutzt. Der Mutterschlüssel 100 kann im übrigen in der Karte 9, an der Stelle der der Applikation 27, 28 oder 29 zugeordneten Speicherzone gespeichert werden. Der Algorithmus 13 wird dann von einem von der Applikation abhängigen Schlüssel I00 parametriert.
  • Wenn dann erkannt wird, dass der Inhaber der Karte 2 ein richtiger Inhaber ist, tauschen das Lesegerät 1 und die Chipkarte 2 gemäss Fig. 2 Informationen aus. In diesem Fall ist der betroffene Verwaltungscode jedoch jetzt der Code 22 bezüglich der zweiten Karte und nicht mehr der Code 14 bezüglich der ersten. Der Bediener muss demnach einen dem Code 22 entsprechenden Geheimcode eingeben.
  • Erfindungsgemäß ist es möglich zu prüfen, ob die zweite Karte 2 eine rechtsmäßige Erbin des Inhalts der ersten Karte 9 ist. Diese Prüfung kann auf Anfrage stattfinden, indem man vom Lesegerät 1, oder alternativ von der Chipkarte 2, einerseits dem Algorithmus 13 und andererseits den Algorithmen 16 und 17 entsprechende Verschlüsselungsoperationen durchführen lässt. Der Bediener muss demnach einen dem Code 22 entsprechenden Geheimcode eingeben. Anders ausgedrückt, ab der ersten in der zweiten Karte 2 zur Verfügung stehenden Seriennummer 14 ist es gemäss den Angaben im oberen Teil von Fig. 2 möglich, den ersten Verwaltungscode 14 wiederzufinden. Wenn die Karte 2 dann mit diesem Verwaltungscode 14 ausgestattet ist, kann sie den Algorithmus 16 ab dem Zufall umsetzen. In diesem Fall kann man den Inhaber bitten, nicht den neuen Geheimcode sondern den alten Geheimcode einzugeben. In einem Beispiel kann die Durchführungsanfrage dieser komplexeren Prüfung beispielsweise im Durchschnitt ein von hundert Mal zufällig verlangt werden. Selbstverständlich hat ein Misserfolg der Prüfung die gleichen Konsequenzen auf die Abwicklung der Fortsetzung der Transaktion zur Folge.
  • Der Algorithmus 21 sollte sich vorzugsweise vom Algorithmus 13 unterscheiden, kann jedoch der gleiche sein. Wenn er unterschiedlich ist, soll der Algorithmus 21 vorzugsweise ein sogenannter symmetrischer Algorithmus sein. Ein symmetrischer Algorithmus 31 ist auf Fig. 4 dargestellt. Die Besonderheit eines symmetrischen Algorithmus besteht darin, dass er öffentliche Schlüssel CPu gepaart mit privaten Schlüsseln CPr benutzt. Der symmetrische Charakter des Algorithmus 31 ergibt sich dann aus der Tatsache, dass die vom Mutterschlüssel 32 im symmetrischen Algorithmus 31 chiffrierten Daten 30 verschlüsselte Daten 33 erzeugen. Wenn diese Daten 33 ihrerseits von dem gleichen, dann vom Tochterschlüssel 34 parametrierten Algorithmus 31 verschlüsselt werden, erzeugt die zweite Umsetzung des Algorithmus 31 die Ausgangsdaten 30. Bei einem Beispiel kann man für einen gleichen öffentlichen Mutterschlüssel CPu viele verschiedene private Tochterschlüssel CPr haben. Die Diversifizierung der Schlüssel bedient sich der Seriennummer der Karten, so dass jede Karte einen Schlüssel, einen unterschiedlichen Verwaltungscode 14, besitzt. Man sieht, dass wenn der Algorithmus 13 oder der Algorithmus 21 symmetrische Algorithmen sind, und wenn man die Daten 30 durch die Seriennummer 12 ersetzt, man dann als verschlüsselte Daten den Tochterschlüssel 34 selbst erhält.
  • Erfindungsgemäß fügt man außerdem den im Speicher der Karte 9 gespeicherten Daten ein Übertragungsattribut zu. Und man genehmigt die Edition dieser Daten, insbesondere um sie dem Wert dieses Attributs entsprechend in den zweiten Speicher zu kopieren. In diesem Fall kopiert man diese Daten in die zweite Chipkarte 2 zur gleichen Zeit wie dieses Attribut. In der Praxis gibt dieses Attribut über eine Notwendigkeit Auskunft, zum Zeitpunkt des Kopierens einen zweiten Verwaltungscode zu erzeugen oder nicht. In bestimmten Fällen ist der von den Algorithmen 13 und 21 umgesetzte Mechanismus erforderlich, in anderen Fällen wird er nicht ausgeführt.
  • In einem anderen Fall gibt das Übertragungsattribut über die Notwendigkeit Auskunft, das Kopieren vom Master-System kontrollieren zu lassen. In diesem Fall, zum Zeitpunkt der Edition der zu kopierenden Daten, wird das sie betreffende Attribut gelesen. Wenn der Eingriff des Master-Systems erforderlich ist, wird ein Anschluss zum Master-System 6 hergestellt. Dieses Kopieren kann dann in Echtzeit oder verzögert mit oder ohne Übertragung der Daten zum Master-System stattfinden.

Claims (13)

1. Verwaltungsverfahren von in einem ersten Speicher eines ersten Chips (10) einer ersten Chipkarte (9) gespeicherten Daten, bei dem
- man einen ersten Verwaltungscode (14) erzeugt (13), mit einem ersten Verschlüsselungsalgorithmus (13), ab einem Mutterschlüssel (100) und einer ersten Identifizierungsinformation (12) der ersten Chipkarte,
- man diesen ersten Verwaltungscode im ersten Speicher aufzeichnet,
- man die erste Karte mit einem Chipkartenlesegerät (1) in Verbindung setzt,
- man eine Edition (20) von im ersten Speicher gespeicherten Daten genehmigt, wenn ein in das Lesegerät eingegebener Code mit dem ersten aufgezeichneten Verwaltungscode kompatibel (8, 19) ist, dadurch gekennzeichnet, dass
- man einen zweiten Verwaltungscode (22) erzeugt (21), mit einem zweiten Verschlüsselungsalgorithmus (21), ab einer Information (12) bezüglich der ersten Karte und einer zweiten Identifizierungsinformation (23) einer zweiten Chipkarte,
- man diese Information (12) bezüglich der ersten Karte und diesen zweiten Verwaltungscode (22) in einem zweiten Speicher eines zweiten Chips der zweiten Chipkarte (2) aufzeichnet,
- man die Edition von im zweiten Speicher gespeicherten Daten genehmigt, wenn ein dem Lesegerät angegebener Geheimcode mit dem zweiten aufgezeichneten Verwaltungscode kompatibel ist:
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste und zweite Verwaltungscode Geheimcodes sind.
3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass der zweite Algorithmus im Chip der Karte umgesetzt wird.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass sich der erste Verschlüsselungsalgorithmus vom zweiten Verschlüsselungsalgorithmus unterscheidet, und dass der zweite Verschlüsselungsalgorithmus symmetrisch (31) ist.
5. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der erste Verschlüsselungsalgorithmus gleichzeitig der zweite Verschlüsselungsalgorithmus ist.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Information bezüglich der ersten Karte die erste Identifizierungsinformation der ersten Karte oder des ersten Chips ist.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Information bezüglich der ersten Karte der erste Verwaltungscode der ersten Karte oder des ersten Chips ist.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass man beispielsweise im Lesegerät (1) ein Verwaltungscodewort auf der Basis der Information bezüglich der ersten Karte erzeugt, und dass man prüft, ob die Karte authentisch ist, wenn dieses zweite Verwaltungscodewort mit einem Geheimwort kompatibel ist.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass man den im ersten Speicher gespeicherten Daten ein Übertragungsattribut zuordnet, dass man die Edition dieser Daten genehmigt, um entsprechend dem Wert dieses Attributs in den zweiten Speicher kopiert zu werden, dass man diese Daten und dieses Attribut in den zweiten Speicher kopiert, wobei dieses Attribut über eine Notwendigkeit Auskunft gibt, zum Zeitpunkt des Kopieren einen zweiten Geheimcode zu erzeugen.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass man, um die Edition der im zweiten Speicher enthaltenen Daten nur unter der Kontrolle eines Master-Systems zu genehmigen, ein Übertragungsattribut zuordnet, das über eine Notwendigkeit dieser Kontrolle durch ein Master-System Auskunft gibt, dass man dieses Attribut vor der Edition liest, und dass man ein Editionsprogramm startet, wenn das gelesene Attribut dies gestattet.
11. Verfahren nach einem der Ansprüche 9 bis 10, dadurch gekennzeichnet, dass das Übertragungsattribut die Edition zum Kopieren der betroffenen Daten untersagt.
12. Verfahren nach einem der Ansprüche 9 bis 11, dadurch gekennzeichnet, dass man die Informationen verzögert in den zweiten Speicher kopiert.
13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass die Karte eine Multiapplikationskarte (27-29) ist, wobei die Daten jeweiligen Verwaltungscodes zugeordnet sind.
DE69801770T 1997-11-25 1998-11-24 Datenverwaltungsverfahren in einer chipkarte Expired - Fee Related DE69801770T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9714802A FR2771528B1 (fr) 1997-11-25 1997-11-25 Procede de gestion des donnees dans une carte a puce
PCT/FR1998/002510 WO1999027504A1 (fr) 1997-11-25 1998-11-24 Procede de gestion des donnees dans une carte a puce

Publications (2)

Publication Number Publication Date
DE69801770D1 DE69801770D1 (de) 2001-10-25
DE69801770T2 true DE69801770T2 (de) 2002-07-04

Family

ID=9513772

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69801770T Expired - Fee Related DE69801770T2 (de) 1997-11-25 1998-11-24 Datenverwaltungsverfahren in einer chipkarte

Country Status (10)

Country Link
EP (1) EP1034517B1 (de)
JP (1) JP2001524724A (de)
CN (1) CN1280695A (de)
AT (1) ATE205954T1 (de)
AU (1) AU740143B2 (de)
CA (1) CA2310122A1 (de)
DE (1) DE69801770T2 (de)
ES (1) ES2164463T3 (de)
FR (1) FR2771528B1 (de)
WO (1) WO1999027504A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2809555B1 (fr) * 2000-05-26 2002-07-12 Gemplus Card Int Securisation d'echanges de donnees entre des controleurs
ATE317572T1 (de) 2000-08-17 2006-02-15 Dexrad Pty Ltd Übertragung von daten zur echtheitsprüfung
JP3557181B2 (ja) * 2001-05-14 2004-08-25 株式会社東芝 Icカード発行システム
FI114362B (fi) * 2001-12-12 2004-09-30 Setec Oy Menetelmä laitteen salaisen avaimen ottamiseksi käyttöön toisessa laitteessa
AU2003226577A1 (en) * 2002-04-10 2003-10-20 Axalto Sa Method and devices for replacing an old identification device by a new identification device
EP1353303A1 (de) * 2002-04-10 2003-10-15 SCHLUMBERGER Systèmes Konto-Zuweisungsverfahren für neues Identifizierungsgerät
WO2005020134A1 (ja) * 2003-08-22 2005-03-03 Fujitsu Limited Icカード運用管理システム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0224147A3 (en) * 1985-11-19 1988-09-21 Siemens Aktiengesellschaft Berlin Und Munchen Method for transferring identification codes to credit cards
FR2654236B1 (fr) * 1989-11-03 1992-01-17 Europ Rech Electr Lab Procede de protection contre l'utilisation frauduleuse de cartes a microprocesseur, et dispositif de mise en óoeuvre.
US5648647A (en) * 1992-12-31 1997-07-15 Seiler; Dieter G. Anti-fraud credit card dispatch system
FR2717286B1 (fr) * 1994-03-09 1996-04-05 Bull Cp8 Procédé et dispositif pour authentifier un support de données destiné à permettre une transaction ou l'accès à un service ou à un lieu, et support correspondant.

Also Published As

Publication number Publication date
ES2164463T3 (es) 2002-02-16
EP1034517B1 (de) 2001-09-19
ATE205954T1 (de) 2001-10-15
FR2771528B1 (fr) 2000-01-14
AU740143B2 (en) 2001-11-01
AU1437999A (en) 1999-06-15
CA2310122A1 (fr) 1999-06-03
CN1280695A (zh) 2001-01-17
DE69801770D1 (de) 2001-10-25
JP2001524724A (ja) 2001-12-04
WO1999027504A1 (fr) 1999-06-03
FR2771528A1 (fr) 1999-05-28
EP1034517A1 (de) 2000-09-13

Similar Documents

Publication Publication Date Title
DE69814406T2 (de) Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter
DE69500751T2 (de) Verfahren zum Druckführen einer Transaktion zwischen einer Chipkarte und einem Datensystem
DE3811378C3 (de) Informationsaufzeichnungssystem
DE69901585T2 (de) Kartenausgabe für ein Mehrzahl von Veranstaltungen mit Chipkarten
DE2901521C2 (de)
DE69016765T2 (de) Verfahren zur Erzeugung einer Pseudozufallszahl in einem Datenbearbeitungssystem und ein System zur Ausführung dieses Verfahrens.
DE69215501T2 (de) Werttransfersystem
DE69127560T2 (de) Gegenseitiges Erkennungssystem
DE69805155T2 (de) Integrierte Schaltung und Chipkarte mit einer solchen Schaltung
DE69821159T2 (de) System und Verfahren zur Authentifikation, und Vorrichtung und Verfahren zur Authentifikation
DE3700663C2 (de)
DE3781612T2 (de) Verfahren zum beglaubigen der echtheit von daten, ausgetauscht durch zwei vorrichtungen, die oertlich oder entfernt mittels einer uebertragungsleitung verbunden sind.
DE69927643T2 (de) Informationsverarbeitung und Datenspeicherung
DE69031868T2 (de) Verfahren zur personenidentifizierung mittels berechtigungsbeweis
DE4142964C2 (de) Datenaustauschsystem mit Überprüfung der Vorrichtung auf Authentisierungsstatus
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
EP0030381B1 (de) Verfahren und Vorrichtung zur Erzeugung und späteren Kontrolle von gegen Nachahmung, Verfälschung und Missbrauch abgesicherten Dokumenten und Dokument zu dessen Durchführung
DE60133542T2 (de) Authentifizierungsverfahren
DE3319919A1 (de) Schutzsystem fuer intelligenz-karten
DE3426006A1 (de) Authentisierungsanordnung zwischen einem scheckkartenleser und einer scheckkarte beim datenaustausch
DE19839847A1 (de) Speichern von Datenobjekten im Speicher einer Chipkarte
DE60035852T2 (de) Verfahren und System zur elektronischen Authentifizierung
DE3809795A1 (de) Informationsuebertragungssystem unter verwendung von ic-karten
DE69801770T2 (de) Datenverwaltungsverfahren in einer chipkarte
AT401205B (de) System zur identifizierung eines kartenbenutzers

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee