DE69817543T2 - Automatische Datenrückgewinnung in Chipkarten - Google Patents

Automatische Datenrückgewinnung in Chipkarten Download PDF

Info

Publication number
DE69817543T2
DE69817543T2 DE69817543T DE69817543T DE69817543T2 DE 69817543 T2 DE69817543 T2 DE 69817543T2 DE 69817543 T DE69817543 T DE 69817543T DE 69817543 T DE69817543 T DE 69817543T DE 69817543 T2 DE69817543 T2 DE 69817543T2
Authority
DE
Germany
Prior art keywords
volatile memory
power failure
chip card
power
card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69817543T
Other languages
English (en)
Other versions
DE69817543D1 (de
Inventor
Michael Baentsch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Application granted granted Critical
Publication of DE69817543D1 publication Critical patent/DE69817543D1/de
Publication of DE69817543T2 publication Critical patent/DE69817543T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/30Means for acting in the event of power-supply failure or interruption, e.g. power-supply fluctuations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0701Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips at least one of the integrated circuit chips comprising an arrangement for power management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Power Sources (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)

Description

  • Technischer Bereich
  • Die vorliegende Erfindung befasst sich mit Chipkarten, wie beispielsweise SmartCards, hierfür vorgesehenen Kartenterminals sowie Methoden zur Sicherung und Rückgewinnung von auf den Chipkarten gespeicherten Informationen im Allgemeinen und einem Mechanismus zur automatischen Rückgewinnung der Informationen im Besonderen.
  • Hintergrund der Erfindung
  • Bei Chipkarten (Integrated Circuit Cards = ICCs), im Allgemeinen als SmartCards bezeichnet, handelt es sich um kleine Elektronikträger von der Größe einer Kreditkarte. Das Konzept der SmartCard hat sich schon vor dem Jahr 1985 in Europa etabliert und wird heutzutage in Telefonsystemen, Zahlautomaten und Personal Computern genutzt, um hier nur einige Anwendungsmöglichkeiten zu nennen.
  • Im Folgenden wird der Begriff Chipkarte verwendet, da ISO diesen Begriff verwendet, um all jene Geräte zusammenzufassen, in denen ein integrierter Schaltkreis auf einer Plastikkarte oder Ähnlichem eingesetzt wird.
  • Bis jetzt wurden Chipkarten nur auf eine Art von zwei möglichen verwendet. Entweder bieten Chipkarten einen einfachen, mehr oder weniger stoßfesten Speicher für eine kleine Anzahl an Daten, oder sie führen Sicherheitsoperationen durch, wie beispielsweise die Datenkennung oder eine auf Verschlüsselung basierende Identifikation, etwa den Einsatz eines Challenge-Response-Protokolls. Einige Anwendungen, wie Pre-Paid-Telefongebühren oder Kinokarten sowie Krankenkassen-Chipkarten mit persönlichen Daten, nutzen die zuerst genannte Eigenschaft. Chipkarten im zweiten genannten Bereich werden als Sicherheits-Token verwendet und führen Identifikationsprozeduren durch, beispielsweise beim Anmelden in einem Computersystem oder beim Öffnen entsprechend ausgestatteter Eingänge zu Bereichen, die nur von bestimmten Personen betreten werden dürfen.
  • Typische Chipkarten für die beiden Modusarten zum Betrieb oder zur Verwendung umfassen einen Mikroprozessor (Central Processing Unit = CPU), ein Read-Only-Memory (ROM), ein Random Access Memory (RAM) sowie einen nicht flüchtigen, programmierbaren Speicher, wie beispielsweise EEPROM (Electrically Erasable Programmable Read Only Memory). Zusätzlich umfasst eine Chipkarte normalerweise einen Bus (wie beispielsweise einen seriellen Bus) und E/A-Ports zur Verbindung mit einem Kartenterminal und zum Austausch nach draußen. Ein solcher Kartenterminal bietet die nötige Energie, die elektrischen Signale auf der Hardware-Ebene sowie die grundlegenden Kommunikationsprotokolle auf der Software-Ebene, um mit der Chipkarte zu kommunizieren. Es stehen zwei Arten von Kartenterminals zur Verfügung: Das teurere Modell umschließt die gesamte Chipkarte. Alternativ dazu und zum Senken der Kosten eines Kartenterminals ist es ebenfalls gängig, einen Kartenschlitz bereitzustellen, in den der Benutzer die Karte nach eigenem Belieben einführen und wieder entnehmen kann.
  • EP-A-0526 139 beschreibt eine Chipkarte mit einem Prozessor, einem flüchtigen Speicher, einem nicht flüchtigen Speicher, einem Mittel zur Stromverbindung, um externen Strom der Karte zuzuführen, ein Mittel zum Schutz vor Stromausfall, die die Energiezufuhr für einen kurzen Zeitraum aufrecht erhalten, fall die Energiezufuhr ausfällt und einen Detektor, der einen Ausfall der Energiezufuhr erkennen kann. Der Detektor für einen Ausfall der Energiezufuhr sorgt dafür, dass die Informationen vom flüchtigen Speicher auf den nicht flüchtigen Speicher übertragen werden, sobald ein Ausfall der Energiezufuhr erkannt wird, und das Mittel zum Ausfallschutz stellt die für diese Übertragung erforderliche Energie bereit.
  • WO 96/36947 beschreibt eine Technik zur Wiederherstellung von Transaktionen in einem Werteübertragungssystem.
  • Die meisten Chipkarten umfassen Komponenten in Form von integrierten Kreisläufen, die alle auf einer flexiblen Karte (beispielsweise aus PVC oder ABS) zusammen verschweißt sind. Die Maße dieser integrierten Kreisläufe (Integrated Circuits = ICs) betragen ungefähr 25 mm2 (Silikon-Stanzgröße). Eine normale Chipkarte verfügt über eine Größe von 85,6 mm × 53,98 mm × 0,76 mm. Es kann davon ausgegangen werden, dass die integrierten Schaltkreise auf den Chipkarten weiter schrumpfen und dabei noch leistungsfähiger werden, indem die Vorteile der sich weiter entwickelnden Halbleitertechnik genutzt werden.
  • Der Inhalt des ROM ist fest und kann nach dessen Herstellung durch das Halbleiter-Unternehmen nicht mehr verändert werden. Es handelt sich hier um einen kostengünstigen Speicher, das er minimalen Platz auf der Substratfläche beansprucht. Ein Nachteil des Rom besteht darin, dass sein Inhalt nicht mehr verändert werden kann und dass seine Herstellung Monate in Anspruch nimmt. Im Gegensatz dazu kann das EEPROM vom Benutzer gelöscht und mehrmals neu beschrieben werden. ROMs und EEPROMs sind nicht flüchtig. Mit anderen Worten, sie bewahren auch ohne jede Energiezufuhr ihren Inhalt. Bei einem RAM handelt es sich um einen flüchtigen Speicher und sobald die Energiezufuhr unterbrochen wird, geht dessen Dateninhalt verloren. Ein RAM bietet jedoch den Vorteil, dass er sehr viel schneller arbeitet als ROMs und EEPROMs. Auf der anderen Seite jedoch beansprucht der RAM sehr viel mehr Stanzgröße.
  • Chipkarten können zwei Formen aufweisen: mit oder ohne Kontakt. Die erste Form ist leicht zu erkenne an ihren goldenen Verbindungs-E/A-Ports. Obwohl nach ISO-Standard (7816-2) acht Kontakte definiert wurden, werden tatsächlich nur sechs Kontakte genutzt, um mit der Außenwelt zu kommunizieren. Die kontaktlose Karte kann ihre eigene Batterie umfassen, beispielsweise im Falle der „Super SmartCard", die über eine eingebaute Tatstatur und eine LCD-Anzeige verfügt. Im Allgemeinen jedoch wird die Betriebsenergie der Elektronik der kontaktlosen Karte über eine Induktionsschleife unter Verwendung niederfrequenter elektromagnetischer Strahlung zugeführt. Die Kommunikationssignale können auf ähnliche Weise übertragen werden oder sie können kapazitive Kopplung oder sogar eine optische Verbindung nutzen.
  • Die jüngsten Fortschritte in der Chipentwicklung ermöglichen die Einführung von FlashRAM für nicht flüchtigen Speicher und 32-Bit-Mikroprozessoren auf dem gleichen Silikongrund. Damit werden die Chipkarten genügend leistungsfähig, um einfache aber dennoch voll funktionstüchtige Anwendungen zu umfassen, wobei die einfachen Schreiben/Lesen bzw. Verschlüsselungs/Entschlüsselungs-Routinen bei weitem überboten werden, wie oben bereits beschrieben. Es könnten beispielsweise komplexe Sicherheitsoperationen, etwa vollständige Verschlüsselung oder elektronische Handelsprotokolle auf der Karte selbst ausgeführt werden, so dass sich diese Sicherheitsoperationen nicht länger auf einem Personal Computer befinden würden, was eine sehr unsichere Methode darstellt.
  • Bei den meisten Anwendungen in den einfachen, oben beschriebenen Lese/Schreib, beziehungsweise Verschlüsselungs/Entschlüsselungs-Szenarien stellte der Energieverlust durch das Entnehmen der karte zu jedem beliebigen Zeitpunkt kein ernsthaftes Problem dar. Um ein Beispiel für das erste Szenario zu nennen: Der Soll-/Haben-Betrag einer Telefonkarte kann jederzeit im festen Speicher auf der Chipkarte festgehalten werden, bevor eine Aktion (das heißt ein Anruf) stattfindet. Bei der zweiten Verwendungsart ist die Wiederherstellung sogar noch einfacher. Wenn eine Identifikation nicht beendet werden kann, verweigert die Karte einfach den Dienst. In beiden Fällen ist es möglich, dass die Funktionalität der Karte erhalten bleibt, falls der Benutzer die Karte zu früh aus dem Kartenterminal nimmt.
  • Es bestehen jedoch auch andere wichtige Anwendungen, wo eine verfrühte Entnahme der Karte oder eine Unterbrechung der Induktionsschleife für die Energiezufuhr zu einer kontaktlosen Chipkarte unter Verwendung elektromagnetischer Strahlung ein ernstes Problem darstellen kann, da dies zum sofortigen Verlust der Spannungszufuhr führt. Aufgrund des Verlustes der Spannungszufuhr geht der gesamte Inhalt des RAMs auf der Chipkarte und mit ihm die gesamte Übergangsstatus der Anwendung sofort und unwiderruflich verloren. Ein solcher Verlust des Anwendungsstatus kann möglicherweise großen Schaden in einem System anrichten, das auf ein solches Ereignis nicht vorbereitet ist.
  • Derzeit sind zwei Arten von Lösung für dieses Problem bekannt beziehungsweise werden derzeit für Chipkarten entwickelt. Entsprechend einem ersten Ansatz wird der RAM niemals bei Operationen eingesetzt, bei denen die Verwendung von Daten erforderlich ist, die permanent und konsistent gehalten werden müssen. Leider birgt die permanente Nutzung des nicht flüchtigen Speichers auch einige große Nachteile. Einer ist der große Leistungsverlust, da jeder Speicherschreibzugriff fünfhundert bis tausendmal langsamer ist als bei der Nutzung von EEPROM oder FlashRAM anstelle von RAM. Ein noch viel größeres Problem bedeutet die Beschränkung der Anzahl an garantierten Schreibzyklen (100.000 mal für EEPROM, 1.000.000 mal für FlashRAM). In der neuen Situation, in der speicherintensive Anwendungen wie kryptografische Protokolle kontinuierlich auf diesen Speicher zugreifen können, können diese Zahlen ganz leicht innerhalb von einigen Minuten erreicht werden. Nach dieser Zeit würde eine Chipkarte einfach den Betrieb einstellen oder ihre Zuverlässigkeit würde stark eingeschränkt werden.
  • Um dieses Problem zu lösen, wurde ein Ansatz entwickelt, für den das bekannte Transaktionskonzept aus der Datenbankentwicklung eingesetzt wird. Dieses Konzept erlaubt es Anwendungen, den RAM der Chipkarte zu verwenden, doch der Anwendungsentwickler muss sicherstellen, das kritische Datenstrukturen immer durch Transaktionsklammern gesichert werden. Als Transaktionsklammer wird ein Codesegment bezeichnet, das am Start mit einem Quellcodestatement „Transaktionsbeginn" und am Ende mit einem „Transaktion ausgeführt" (Erfolg) oder „Transaktion abgebrochen" (Fehler) gekennzeichnet ist. Die Semantik dieser Routinen sind aus der Datenbankprogrammierung bekannt und werden vom zugrunde liegenden Laufzeitsystem der Chipkarte bereitgestellt. Semantische Integritätsprüfungen sind schwer automatisch zur Verfügung zu stellen und daher verbleiben sie immer beim Anwendungsprogrammierer unter Verwendung von Transaktionsfunktionen. Details zum Transaktionskonzept werden gegeben in: The Transaction Concept: Virtue and limitations", J. N. Gray, Proc. 7th International Conference on Very Large Database Systems, 1981, SS. 144–154. Die Hauptprobleme bei diesem Lösungsansatz teilen sich in zwei Hälften. Zum einen ist die Fehlerhäufigkeit bei diesem Programmiertyp recht groß. Durch Auslassen von nur einer Transaktion bei einer entscheidenden Datenstruktur kann die gesamte Anwendung ein unerklärliches Verhalten aufweisen, sogar schlimmer noch, im Falle einer Anwendungsinteraktion auf einer Chipkarte, wie sie nun möglich ist, können auch andere Programme beschädigt werden, auch wenn diese korrekt programmiert wurden. Zweitens müssen Transaktionen für jede neue Anwendung auf jedem Typ von Chipkarte neu programmiert werden. In Kombination mit der Anzahl an gelieferten Einheiten muss das Kodieren und Testen sehr sorgfältig vorgenommen werden und ist daher sehr aufwändig.
  • Es ist ein Ziel der vorliegenden Erfindung, eine Chipkarte bereitzustellen, mit der Informationen automatisch zurückgewonnen werden können, nachdem die externe Energiezufuhr unterbrochen wurde.
  • Es ist ein weiteres Ziel der vorliegenden Erfindung, ein Schema bereitzustellen für die Speicherung und/oder Rückgewinnung von Informationen im Falle einer Unterbrechung der Energiezufuhr, die extern einer Chipkarte zugeführt wurde.
  • Es ist ein weiteres Ziel der vorliegenden Erfindung, verbesserte Kartenterminals bereitzustellen.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • In Übereinstimmung mit der vorliegenden Erfindung wird eine Chipkarte zur Verfügung gestellt, die Folgendes umfasst: einen Prozessor, einen flüchtigen Speicher, einen nicht flüchtigen Speicher, ein Mittel zur Energiezufuhr, so dass externe Energie der Karte zugeführt werden kann, ein Mittel zum Ausfallschutz, das die Energiezufuhr weiter aufrechterhält, nachdem die Energiezufuhr unterbrochen wurde, und einen Detektor für eine unterbrochene Energiezufuhr, der die Unterbrechung erkennt, wobei der Detektor für die Übertragung der Informationen vom flüchtigen Speicher zum nicht flüchtigen Speicher veranlasst, wenn eine Unterbrechung der Energiezufuhr erkannt wurde, und wobei das Mittel zum Ausfallschutz die erforderliche Energie für diese Informationsübertragung bereitstellt, wobei die genannte Karte dadurch gekennzeichnet ist, dass sie weiterhin Folgendes umfasst: ein Mittel zum Einsetzen eines Indikators für den Stromausfall (PF) in dem genannten nicht flüchtigen Speicher, wenn eine Energiezufuhrunterbrechung durch den genannten Detektor zur Energiezufuhrunterbrechung erkannt wird, damit nachvollzogen werden kann, dass eine Unterbrechung der Energiezufuhr stattgefunden hat, so dass das Mittel zum Ausfallschutz die Energie zum Setzen des genannten Indikators (PF) bereitstellen kann.
  • Ein anderer Aspekt der vorliegenden Erfindung ist nun die Bereitstellung eines Kartenterminals entsprechend Anspruch 23.
  • Ein anderer Aspekt der vorliegenden Erfindung ist nun die Bereitstellung einer Methode zum Schutz von Informationen, die in einem flüchtigen Speicher einer Chipkarte gespeichert sind, wobei die genannte Chipkarte weiterhin Folgendes umfasst: einen Prozessor, einen flüchtigen Speicher, einen nicht flüchtigen Speicher, ein Mittel zur Energiezufuhr, so dass externe Energie der Karte zugeführt werden kann, wobei die Methode die folgenden Schritte umfasst: Erkennen einer Unterbrechung der Energiezufuhr zur Chipkarte, Lesen der Informationen im flüchtigen Speicher und Übertragen dieser Informationen zum nicht flüchtigen Speicher, Schreiben der Informationen in den genannten nicht flüchtigen Speicher, Setzen eines Indikator zum Erkennen einer Unterbrechung der Energiezufuhr (PF) im genannten nicht flüchtigen Speicher, um nachvollziehen zu können , dass eine Unterbrechung der Stromzufuhr stattgefunden hat, sowie die Bereitstellung von Energie, bereitgestellt durch ein Mittel zum Ausfallschutz, das Teil der Chipkarte ist, zumindest während der Ausführung der oben beschriebenen Schritte.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist die Bereitstellung einer Methode zur Rückgewinnung von Informationen , die in einem nicht flüchtigen Speicher einer Chipkarte gespeichert waren, nachdem die Energiezufuhr von einer externen Energiequelle unterbrochen wurde, wobei die genannte Chipkarte weiterhin Folgendes umfasst: einen Prozessor, einen flüchtigen Speicher, einen nicht flüchtigen Speicher, ein Mittel zur Energiezufuhr, so dass externe Energie der Karte zugeführt werden kann, wobei die Methode die folgenden Schritt umfaßt: Bestimmen, ob ein Indikator für eine Unterbrechung der Energiezufuhr (PF) im nicht flüchtigen Speicher gesetzt wurde; wenn eine Unterbrechung der Energiezufuhr stattgefunden hat, Lesen der Informationen aus dem nicht flüchtigen Speicher und Übertragen dieser Informationen in den flüchtigen Speicher , Schreiben der Informationen in den genannten flüchtigen Speicher, so dass der Zustand der Chipkarte vor der Unterbrechung der externen Energiezufuhr wiederhergestellt wird.
  • Die vorliegende Erfindung befasst sich mit Chipkarten, Folgendes umfassend: ein Mikroprozessor, ein flüchtige Speicher (RAM), ein nicht flüchtiger Speicher (ROM, EEPROM), ein Mittel zur Verbindung, um externe Energie der Karte zuzuführen. Karten entsprechend der vorliegenden Erfindung umfassen ein Mittel zum Ausfallschutz, das im Falle einer Unterbrechung der Energiezufuhr für einen kurzen Zeitraum Energie liefert sowie einen Stromausfall-Detektor, der eine Unterbrechung der Energiezufuhr erkennt. Dieser Stromausfall- Detektor veranlasst die Übertragung der Informationen vom flüchtigen Speicher in den nicht flüchtigen Speicher, wenn eine Unterbrechung der Energiezufuhr erkannt wurde. Das Mittel zum Ausfallschutz stellt die Energie für diese Übertragung bereit.
  • Die vorliegende Erfindung befasst sich darüber hinaus mit einem Kartenterminal, wie er in Anspruch 2 beschrieben wird.
  • Die vorliegende Erfindung umfasst ebenfalls Methoden zum Speichern der Informationen in einem ständigen Speicher, wenn extern zugeführter Strom ausfällt sowie eine Methode zur automatischen Rückgewinnung nach einer solchen Unterbrechung.
  • Der Ansatz der vorliegenden Erfindung ermöglicht der Chipkarte eine vollständige Wiederherstellung nach einer Stromunterbrechung, ohne dass die Anwendung eingreifen muss. Rechenoperationen können beendet werden, ungeachtet der Dauer eines Stromausfalls. Die Erfindung kann leicht in bestehende und zukünftige Chipkarten implementiert werden. Weitere Vorteile werden in Verbindung mit der detaillierten Beschreibung gegeben.
  • BESCHREIBUNG DER ZEICHNUNGEN
  • Die Erfindung wird im Folgenden detailliert und mit Bezug auf die folgenden schematischen Zeichnungen beschrieben. Es ist zu beachten, dass die Figuren nicht in den richtigen Proportionen dargestellt sind.
  • 1 zeigt eine schematische Aufsicht eines ersten Ausführungsbeispiels in Übereinstimmung mit der vorliegenden Erfindung.
  • 2 zeigt ein schematisches Flussdiagramm zur Darstellung der Prozessschritte, die in einem System ausgeführt werden, entsprechend der vorliegenden Erfindung, im Falle eines Stromausfalls.
  • 3 zeigt ein schematisches Flussdiagramm zur Darstellung der Prozessschritte, die in einem System entsprechend der vorliegenden Erfindung ausgeführt werden, sobald wieder Strom zur Verfügung steht.
  • 4 zeigt eine schematische Aufsicht eines zweiten Ausführungsbeispiels in Übereinstimmung mit der vorliegenden Erfindung.
  • BESCHREIBUNG DER AUSFÜHRUNGSBEISPIELE
  • Das grundlegende Konzept der vorliegenden Erfindung wird in Verbindung mit einem ersten Ausführungsbeispiel beschrieben, welches wiederum in 1 dargestellt wird. In dieser Figur wird eine Chipkarte (Chipkarte) 10 gezeigt. Diese Karte enthält einen Mikroprozessor 12, einen ROM 11, einen EEPROM 13 sowie einen RAM 14, wie dies bei den meisten konventionellen Chipkarten der Fall ist. Die Chipkarte 10 umfasst weiterhin einen internen Bus 19, der den Austausch der Informationen und die Signale zwischen den Komponenten der Chipkarte 10 ermöglicht. Der interne Bus 19 ist normalerweise nicht mit den Eingabe/Ausgabe (E/A)-Ports verbunden, die hier als schwarze Kontaktstellen gezeigt werden. Um eine Manipulation der Chipkarten zu verhindern wird nur ein begrenzter Zugriff auf die Datenströme gestattet. Der Prozessor 12 kommuniziert über die E/A-Ports mit dem Kartenterminal (in 1 nicht gezeigt). Die Kommunikation wird mehr und mehr verschlüsselt.
  • Die Chipkarte 10 ist eine Kontaktkarte. Die E/A-Ports sind mit dem entsprechenden Mittel eines Kartenterminals verbunden. Wie in 1 gezeigt, wird Strom über den Port 17 (Grund, GND) und den Port 18 (positive Spannung, VCC) zugeführt. Die Spannung zwischen diesen beiden Ports 17 und 18 wird auf die Komponenten 11, 12, 13 und 14 der Chipkarte 10 angelegt. Da keine Batterie in die Karte 10 eingebaut ist, sind diese Komponenten vollständig auf extern zugeführten Strom angewiesen. Wenn während einer gerade stattfindenden Transaktion oder während des Betriebs der Karte diese Stromzufuhr unterbrochen wird (beispielsweise weil die Karte aus dem Kartenterminal herausgenommen wird), oder wenn ein Stromausfall stattfindet (beispielsweise weil die Spannung abfällt), geht der gesamte Inhalt des RAM 14 und definitiv der gesamte Inhalt der Prozessor-Register verloren und die Verarbeitung wird umgehend gestoppt. Mit anderen Worten, der aktuelle Anwendungsstatus geht verloren.
  • Um diese für die meisten Anwendungen inakzeptable Situation zu verhindern, umfasst ein erstes Ausführungsbeispiel ein Mittel zum Ausfallschutz, das dazu entwickelt wurde, für einen kurzen Zeitraum Strom bereitzustellen. Wie in 1 gezeigt, wird im vorliegenden Beispiel ein spezieller Kondensator 15 verwendet. Dieser Kondensator 15 wird so platziert, dass die Spannung zwischen der GND-Leitung 20 und der VCC-Leitung 21 für einen kurzen Zeitraum aufrecht erhalten werden kann.
  • Die Bereitstellung eines Kondensators reicht nicht aus, da dieser Kondensator den Abfall der Spannung lediglich hinauszögern würde. Wichtige Informationen im RAM 14 und in den Registern des Prozessors wären dennoch verloren. Zusätzlich zum Kondensator 15 umfasst das Mittel zum Ausfallschutz ein Mittel, das veranlasst, dass die Informationen vom flüchtigen Speicher zum nicht flüchtigen Speicher übertragen werden, was später noch beschrieben wird.
  • In Übereinstimmung mit der vorliegenden Erfindung wird ein Stromausfall-Detektor 16 bereitgestellt, der eine Stromunterbrechung erkennt und einen entsprechenden Bericht erstellt. In der vorliegenden Implementierung bilden ein Spannungsvergleicher zusammen mit einer entsprechenden Diode (nicht gezeigt) den Stromausfall-Detektor 16. Dieser Spannungsvergleicher erkennt einen Stromausfall (beispielsweise einen Stromausfall oder einen Spannungsabfall) und signalisiert (die Energieunterbrechung) dem Mittel zum Ausfallschutz, dass eine Unterbrechung der Energiezufuhr stattgefunden hat. Im vorliegenden Ausführungsbeispiel befindet sich ein Teil des Mittels zum Ausfallschutz innerhalb des Prozessors 12. Wie in 1 gezeigt, wird der Prozessor 12 über die Unterbrechung der Energiezufuhr über die Signalleitung 22 informiert. Das Mittel zum Ausfallschutz innerhalb des Prozessor 12 initiiert eine kurze Schrittsequenz zum Übertragen von Informationen vom RAM und/oder den Prozessor-Registern in einen nicht flüchtigen Speicher. Die Chipkarte 10 verfügt über einen nicht flüchtigen Speicher 13 (beispielsweise einen FlashRAM mit niedriger Spannung), der die vom RAM 14 und den Prozessor-Registern übertragenen Informationen empfängt und speichert. Wenn der Stromausfall-Detektor 16 eine Unterbrechung der Energiezufuhr erkennt, veranlasst er die Ausführung der folgenden Schritte:
    Lesen der im RAM und/oder den Prozessor-Registern gespeicherten Informationen
    Übertragen dieser Informationen in einen nicht flüchtigen Speicher (EEPROM 13 im vorliegenden Ausführungsbeispiel), und Schreiben dieser Informationen in einen nicht flüchtigen Speicher.
  • Sobald wieder Strom zur Verfügung steht, werden der RAM und/oder die Prozessor-Register im Ganzen oder teilweise wiederhergestellt, je nach der entsprechenden Implementierung, so dass die Rechenoperationen fortgesetzt werden können. Der Kondensator 15 wird automatisch neu geladen, wenn wieder Strom zur Verfügung steht, das heißt beim nächsten Eingeben der Karte in den Kartenterminal.
  • Entsprechend einem weiteren Ausführungsbeispiel der vorliegenden Erfindung, wird in der Chipkarte ein Datensatz gespeichert, der einer spätere Rekonstruktion von Ereignissen ermöglicht. Dieses Speichern des Datensatzes kann vereinfacht werden durch den Einsatz eines Zählers, der die Anzahl der aufgetretenen Stromausfälle zählt.
  • Es bestehen zwei verschiedene Möglichkeiten, den Prozessor 12 nach einem Stromausfall wieder mit Strom zu versorgen. Im ersten Ansatz wird er wieder mit Strom versorgt, sobald der externe Strom wieder vollständig zur Verfügung steht. In diesem Falle kann es einige Sekunden dauern, den Kondensator 15 neu zu laden. Wenn der externe Strom ausfällt, bevor der Kondensator 15 komplett neu geladen ist, besteht ein gewisses Risiko, dass ein Verlust von Informationen aus den Prozessor-Registern und/oder aus dem RAM 14 erneut stattfindet. Der mehr Sicherheit bietende zweite Ansatz sieht vor, den Prozessor erst dann wieder mit Strom zu versorgen, wenn der Kondensator 15 vollständig geladen wurde. Dieser Ansatz ist zuverlässiger, da ein weiterer Stromausfall erneut durch die Energie des Kondensator aufgefangen würde und somit kein Informationsverlust droht.
  • Die Implementierung des oben beschriebenen Kondensators 15 in einer Chipkarte gestaltet sich schwierig, da der Platz für diese Schaltkreise sehr begrenzt ist; die Karten müssen dünn, flexible, preisgünstig und sehr zuverlässig sein. Zusätzlich muss der Kondensator 15 über genügend Energie (hohe Kapazität) verfügen. Um die Spannung während eines vorbestimmten Zeitraums zu erhalten.
  • Das standardmäßige Modell zur Kondensatorentladung kann eingesetzt werden, um die erforderliche Kapazität zu schätzen, die genügend Energie liefert, während Informationen an einen nicht flüchtigen Speicher übertragen werden. Das Modell zur Entladung basiert auf einem Widerstandsgerät R, das einen Kondensator C entlädt. Die Differentialgleichung für die Spannung an C beträgt zu jeder Zeit der Entladung: UC(t) + R·C·d/dtUC(t) = 0
  • Diese Gleichung wird für die Spannung des Kondensators zu jedem Zeitpunkt während der Entladung [UC(t)] aufgelöst: UC(t) = U0·e–t/(R·C)
  • Die erforderliche Kapazität zum Aufrechterhalten einer Spannung von U nach t Sekunden während der Entladung führt zu: C = (R·1nU/U0)
  • Gesetzt R als UCC/Chipkarte als Spannung für den nicht flüchtigen Speicher (beispielsweise ein AMD FlashRAM Am29LV002 mit UCC = 3, wie in „Am29LV002 Specifications", AMD Corp. Publication Nr. 21191, Januar 1998 beschrieben) und mit Chipkarte als erforderlichen Strom zum Schreiben der Informationen in den nicht flüchtigen Speicher 13 (AMD FlasRAM AmLV002 mit Chipkarte = 30 mA im vorliegenden Ausführungsbeispiel) kann C basierend auf dem Umfang an erforderlicher Zeit zum Speichern eines einzelnen Bytes berechnet werden. Im vorliegenden Ausführungsbeispiel beträgt dieser Zeitraum weniger als 10 Millisekunden. Mit einer typischen (angenommenen) Chipkarte RAM Größe von einem KByte, ergeben sich für t weniger als 10 Millisekunden. Mit einer Überladung des Kondensator mit den üblichen 5 V (U0) in Kartenterminals ergibt sich für C ein betrag von 200 mikroFarad.
  • Um die notwendige Kapazität zu erzielen sind spezielle Kondensatoren mit hoher Kapazität erforderlich, die in eine Chipkarte integriert werden können. Die für eine Nutzung geeigneten Kondensatoren in Verbindung mit der vorliegenden Erfindung sollten über eine extrem hohe Kapazität in der Größenordnung mehrerer Farad pro Quadratzentimeter verfügen. Im vorliegenden Kontext wird ein so genannter HiCap Kondensator oder Super-Kondensator (SuperCap), SuperCap ist ein Warenzeichen von Baknor Industries, verwendet. Ein SuperCap ist ein keramischer Kondensator mit hoher Kapazität und mehreren Schichten (auch als MLC bezeichnet), der über eine Reihe von keramischen Schichten verfügt, die aus keramischen Streifen bestehen. Diese Streifen weisen eine Dicke von wenigen Mikrons auf.
  • Diese beiden Arten von Kondensatoren sind erst seit kurzem ausgereift. Sie können in einer Chipkarte Umgebung eingesetzt werden, wenn sie entsprechend entwickelt wurden, wie von M. G. Sullivan et al. demonstriert und beschrieben in: „An Electrochemical Capacitor Using Modified Glassy Carbon Electrodes", Electrochemical Capacitors II, Proceedings Bd. 96-25, SS. 192–201, The Electrochemical Society, Inc. 10 South Main Street, Pennington, NJ, 1997.
  • Um sicherzustellen, dass Informationen von einem flüchtigen Speicher (beispielsweise RAM 14) in einen nicht flüchtigen Speicher (beispielsweise FlashRAM 13) übertragen wurden, muss eine Software-Komponente eingesetzt werden. Diese Software-Komponente, die einen Teil des Mittels zum Ausfallschutz der vorliegenden Erfindung bildet, kann auf mindestens zwei der hier beschriebenen Arten implementiert werden. Entweder wird ein Stromausfall-Handler in ROM bereitgestellt, der den Prozessor 12 veranlasst, die in 2A und 2B gezeigten Schritte auszuführen, oder es kann ein benutzerdefinierter Stromausfall-Schaltkreis bereitgestellt werden, um die Unterbrechung in der gleichen Weise zu behandeln wie die Software-Komponente. Ein solcher benutzerdefinierter Stromausfall-Schaltkreis wird in Verbindung mit dem zweiten Ausführungsbeispiel (siehe 3) gezeigt.
  • In 2 werden die Schritte gezeigt, die von einem Stromausfall-Handler im Falle eines Stromausfalls ausgeführt werden, beispielsweise weil der externe Strom ausgefallen ist. Zunächst wird der Stromausfall durch einen entsprechenden Stromausfall-Detektor, beispielsweise einen Vergleicher 16, erkannt, wie er in Feld 30 dargestellt ist. Im nächsten Schritt (Feld 31) werden der Inhalt des flüchtigen Speichers (beispielsweise RAM 14) und/oder der Inhalt der Prozessor-Register in einen festen Speicher übertragen, etwa in den nicht flüchtigen FlashRAM 13. Dann wird ein Stromausfall-Bit gesetzt, wie in Feld 32 gezeigt. Da dieses PF-Bit beim Prozess der erneuten Inbetriebnahme verwendet wird, muss es ebenfalls im nicht flüchtigen Speicher gespeichert werden. Nach der Beendigung dieser Schritte wird die Energie durch das Mittel zum Ausfallschutz nicht mehr benötigt, da alle kritischen Informationen gesichert wurden.
  • Die Software-Komponente (fester Stromausfall-Handler) kann so programmiert werden, dass der Prozessor in einen Übergangsmodus eintritt und bestimmte Prozesse beendet oder Komponenten in der Chipkarte schließt, die viel Strom benötigen, damit das Mittel zum Ausfallschutz noch genügend Energie bereitstellen kann. Dann kann der Energieverlust der Chipkarte stattfinden, ohne dass eine Anwendungen innerhalb der Chipkarte zu Schaden kommt (siehe Feld 33).
  • Zukünftige Chipkarte (beispielsweise JavaCards) werden mit leeren Stellen oder ohne ein Anwendungsprogramm darauf hergestellt, und ein Anwendungsprogramm wird dann in den veränderbaren Speicher geladen, beispielsweise durch Herunterladen von einem Computer. Auf diese Weise kann das Anwendungsprogramm in einer Chipkarte von einer dazu autorisierten Person verändert werden. Die Software-Komponente, die den festen Stromausfall-Handler der vorliegenden Erfindung bildet, kann ebenfalls in die Chipkarte geladen werden, doch die Hardware, entsprechend der vorliegenden Erfindung, muss vorhanden sein.
  • Wenn die Chipkarte wieder in Betrieb genommen wird, werden einige Schritte ausgeführt, so dass die Chipkarte weiter Operationen ausführen kann, als hätte kein Stromausfall stattgefunden. Die entsprechenden Prozessschritte werden in 2B gezeigt. Wenn der Strom wieder zur Verfügung steht (Feld 40) wird eine Prüfung durchgeführt, um festzustellen, ob der PF-Bit gesetzt wurde (Feld 41). Wenn ein Stromausfall stattgefunden hat wurde dieser Bit gesetzt und der Status vor dem Stromausfall wird wiederhergestellt. Dies geschieht durch Kopieren oder Übertragen des Inhalts des nicht flüchtigen Speichers zurück zu ihren ursprünglichen Speicherstellen (Feld 42). Das heißt, der frühere Inhalt des RAM wird im nicht flüchtigen Speicher gelesen und in den RAM geschrieben. Wenn Register-Informationen gespeichert wurden, werden diese Informationen ebenfalls zurück in die Register geschrieben. Wenn dies einmal stattgefunden hat, kann der normale Betrieb wieder aufgenommen werden (Feld 43). Wenn kein Stromausfall während der Nutzung der Chipkarte stattgefunden hat, das heißt wenn der PF-Bit nicht gesetzt wurde, beginnt die Chipkarte entsprechend der vorliegenden Erfindung ihren normalen Betrieb (Feld 44).
  • Soweit eine auf einer Chipkarte ausgeführte Anwendung betroffen ist, sind mehrere Szenarien denkbar: Entweder hat der Programmierer des Anwendungsprogramm einen Stromausfall überhaupt nicht in Betracht gezogen. In den meisten Fällen ist dies kein Problem mehr, wenn der Lösungsansatz der vorliegenden Erfindung zum Einsatz kommt, da die Berechnung bei der nächsten Inbetriebnahme oder gleich nach Beendigung des Stromausfalls fortgesetzt wird. Wenn jedoch in der Anwendung E/A-Operationen anhängig sind, ist ein Timeout für diese Operationen sehr wahrscheinlich, da möglicherweise eine neue externe Umgebung nach der erneuten Inbetriebnahme gegeben ist. Dies ist ein Kommunikationsfehler, den die Anwendung in jedem Fall berücksichtigen muss, selbst wenn Stromausfälle kein Problem darstellen. Es ist nun möglich, eine Anwendung über einen Stromausfall zu informieren, beispielsweise mithilfe einer Benachrichtigung über eine explizite Ausnahme. Anwendungen können dann entsprechend reagieren, beispielsweise ohne Abbruch, aber durch Abkürzen von möglicherweise länger andauernden Operationen. Obwohl Transaktionen nun nicht mehr gegen einen Stromausfall geschützt werden müssen, können sie dennoch verwendet werden, um Anwendungen von diesem Ereignis in Kenntnis zu setzen, damit diese die entsprechenden Maßnahmen ergreifen können.
  • Bestimmte Chipkarte benötigen ein externes Taktsignal, das vom Kartenterminal gegeben werden muss. Wenn eine solche Chipkarte zu früh aus dem Kartenterminal gezogen wird, oder wenn im Terminal ein Stromausfall stattfindet, wird nicht nur die Energiezufuhr unterbrochen, sondern auch das Taktsignal steht der Chipkarte nicht zur Verfügung. Dies kann zu Problemen führen, wie etwa undefinierten Statusarten, wenn die Chipkarte Kreisläufe umfasst, die nicht ohne ein Taktsignal betrieben werden können. Im Folgenden wird ein zweites Ausführungsbeispiel der vorliegenden Erfindung beschrieben. Das Mittel zum Ausfallschutz dieses zweiten Ausführungsbeispiels umfasst ein spezielles Mittel, das ein Taktsignal zur Verfügung stellt. Dieses Ausführungsbeispiel wird in Verbindung mit 3 beschrieben.
  • Die Chipkarte umfasst ein gängiges Mittel zur Stromkopplung 52, das nach dem ISO Standard 7816 angeordnet ist. Externer Strom wird der Chipkarte 50 mithilfe der Kontaktstellen 57 (GND) und 58 (VCC) zugeführt. Externer Strom wird den Stromleitungen 20 und 21 zugeführt, die mit dem flüchtigen Speicher 14 und anderen Komponenten verbunden sind, um eine normale und/oder eine Standby-Spannung bereitzustellen. Das Mittel zum Ausfallschutz umfasst einen Kondensator 15 (ebenfalls sind mehrere Kondensatoren in paralleler Anordnung denkbar), einen Taktgeber 51 und einen benutzerdefinierten Stromausfall-Schaltkreis 53. Wie in 3 gezeigt, kann dieser Stromausfall-Schaltkreis mit dem internen Bus 19 verbunden werden, so dass er mit bestimmten Komponenten der Chipkarte 50 kommunizieren kann. Der Stromausfall-Detektor 16 signalisiert dem Stromausfall-Schaltkreis 53, dass ein Stromausfall stattgefunden hat. Zu diesem Zweck sind der Stromausfall-Schaltkreis 53 und der Stromausfall-Detektor 16 über die Signalleitung 22 miteinander verbunden. Die Chipkarte verhält sich ähnlich wird die Chipkarte 10, mit der Ausnahme, dass die in den 2A und 2B gezeigten Schritte ausgeführt werden oder vom Stromausfall-Schaltkreis 53 gesteuert werden.
  • Es bestehen verschiedene Wege zur Realisierung eines solchen Stromausfall-Schaltkreises. Mit Ausnahme des Kondensators können handelsübliche Komponenten (beispielsweise ein Prozessor und ein nicht flüchtiger Speicher) zusammen mit einer entsprechenden Software-Komponente oder entsprechender Hardware verwendet werden. Gut geeignet sind ASIS (Application Specific Integrated Circuits), unter der Voraussetzung, dass sie in eine Chipkarte eingebaut werden können.
  • Neben der wesentlichen Verringerung notwendiger Entwicklungsschritte für die Software von Chipkarten birgt eine Chipkarte entsprechend der vorliegenden Erfindung zwei weitere Vorteile. Durch Zusammenfügen einiger grundlegender nicht flüchtiger Speicherbereiche mit RAM-Platz können speicherintensive Anwendungen, die normalerweise mit festem Speicher arbeiten, entscheidend beschleunigt werden, da der entsprechend genutzte RAM-Inhalt bei einem Stromausfall garantiert in einen nicht flüchtigen Speicher übertragen werden kann. Die Art der Effizienz kann gegenüber konventionellen Chipkarten sowie jeder der darauf ausgeführten Anwendungen einen entscheidenden Wettbewerbsvorteil bieten.
  • Zweitens kann bei einer Überdimensionierung des Kondensators sogar nach dem Schreiben des RAM- und Register-Inhalts in den festen Speicher Strom einbehalten werden. Dieser Strom kann für Sicherheitsmechanismen verwendet werden, wie sie in der Patenanmeldung „PROTECTION OF SENSITIVE INFORMATION CONTAINED IN INTEGRATED CIRCUIT CARDS" beschrieben wird, mit dem gleichen Datum wie die vorliegende Erfindung (EP-A-09643361)
  • Das Mittel zur Stromverbindung ermöglicht die Zufuhr von externem Strom zur Chipkarte. Konventionelle Kontaktstellen. (Ports) oder kontaktlose Mittel zur Stromkopplung können eingesetzt werden. Wenn Kontaktstellen verwendet werden, ist die Stromzufuhr des Kartenterminals mit diesen Stellen verbunden, wenn die Chipkarte in den Kartenterminal eingeführt wird. Im Falle einer kontaktlosen Energiezufuhr ist das Mittel zur Stromzufuhr so gestaltet, dass eine Induktionsschleife mit der Energiezufuhr des Kartenterminals ermöglicht wird. In diesem Fall wird der Strom dem. integrierten Schaltkreis mithilfe einer Übertragung durch niederfrequente elektromagnetische Strahlung zugeführt.
  • Kartenterminals können verbessert werden, indem Eigenschaften hinzugefügt werden, mit denen anderen Systemen über stattgefundene Stromausfälle berichtet werden kann, wie etwa einer Kontrollstation oder einer Bedienerkonsole. Die Funktion zum Berichten von Ereignissen kann verwendet werden, um Probleme nachzuvollziehen, Ereignisse zu überwachen und Datensätze zu speichern. Der Stromausfall-Detektor der Chipkarte (beispielsweise der Vergleicher 16 in 1) entsprechend der vorliegenden Erfindung benachrichtigt das Mittel zum Ausfallschutz der Chipkarte über den Stromausfall. Ein verbesserter Kartenterminal umfasst ein Mittel für Ereignisberichte, der Eingaben von der Chipkarte erhält, wenn ein Stromausfall durch den Stromausfall-Detektor erkannt wurde. Dies wird realisiert, indem der Kartenterminal in die Lage versetzt wird, den PF-Bit zu lesen, der im Falle eines Ausfalls gesetzt wird. Der Kartenterminal kann von einem Stromausfall berichten, indem es entweder standardmäßige Ereignisberichtsprotokolle oder speziell entwickelte Mittel verwendet.
  • Die in Verbindung mit der vorliegenden Erfindung beschriebene Chipkarte sowie andere durch Hinzufügen von Komponenten entsprechend der vorliegenden Erfindung verbesserte Chipkarten können zu verschiedenen Zwecken und in Verbindung mit verschiedenen Anwendungen eingesetzt werden.
  • Es gibt zahlreiche Gründe für einen Stromausfall, von denen einige oben bereit genannt wurden. Selbst wenn eine Chipkarte in Verbindung mit einem ,sicheren, Kartenterminal verwendet wird, in dem die Chipkarte vollständig umschlossen ist und durch eine Sicherheitslasche gesichert ist, kann ein Stromausfall auftreten. Dies ist beispielsweise der Fall, wenn die Energiezufuhr des Kartenterminals unterbrochen wird oder wenn die Stromquelle ausgesteckt wird. In allen denkbaren Stromausfallsituationen ermöglicht die Chipkarte der vorliegenden Erfindung ein sicheres Schreiben der Informationen in einen festen Speicher. Je nach Implementierung und verfügbaren Ressourcen kann entschieden werden, alle Informationen vom flüchtigen in den festen Speicher zu übertragen oder nur die kritischen Informationen zu übertragen.
  • Die vorliegende Erfindung ermöglicht die Veränderung konventioneller Chipkarten durch einfaches Integrieren der wesentlichen Komponenten sowie der Hardware oder von Hardware und Software in Kombination. Die Erfindung ermöglicht einer Reihe von Anwendung die Rückgewinnung von Informationen nach einem Stromausfall.
  • Zusätzlich zu den oben beschriebenen Funktionen und Komponenten kann eine Chipkarte Fotos, Mini-Displays, Tastaturen und so weiter umfassen. In der Zukunft kann eine Chipkarte ebenfalls Mittel für eine drahtlose Kommunikation umfassen.

Claims (25)

  1. Eine Chipkarte (10,50), Folgendes umfassend: einen Prozessor (12), einen flüchtigen Speicher (14), einen nicht flüchtigen Speicher (13), ein Mittel zur Stromverbindung (17, 18, 57, 58), durch das externer Strom der Karte (10, 50) zugeführt werden kann, ein Mittel zum Ausfallschutz (15, 51), das den Strom im Falle eines Stromausfalls für einen kurzen Zeitraum weiter zuführt und einen Stromausfall-Detektor (16), der einen Stromausfall erkennt, wobei der Stromausfall-Detektor (16) veranlasst, dass Informationen vom flüchtigen Speicher (14) zum nicht flüchtigen Speicher (13) übertragen werden, sobald ein Stromausfall erkannt wird, und dass das Mittel zum Ausfallschutz (15) den Strom für eine solche Übertragung zur Verfügung stellt, wobei die genannte Karte (10, 50) dadurch gekennzeichnet ist, dass sie weiterhin ein Mittel zum Setzen einer Stromausfall-Kennung (PF) im genannten nicht flüchtigen Speicher (13) setzt, wenn ein Stromausfall durch den Stromausfall-Detektor (16) erkannt wird, um das Ereignis des Stromausfalls nachvollziehbar zu machen, wobei das Mittel zum Ausfallschutz (15) den Strom für das Setzen der Kennung (PF) zur Verfügung stellt.
  2. Eine Chipkarte nach Anspruch 1, wobei es sich bei der genannten Chipkarte (10, 50) um eine kontaktlose Karte handelt.
  3. Eine Chipkarte nach Anspruch 2, wobei das Mittel zur Stromverbindung (17, 18, 57, 58) die Erstellung einer Induktionsschleife mit einer externen Stromquelle ermöglicht, so dass der Chipkarte (10, 50) Strom zugeführt wird mithilfe einer Übertragung durch niederfrequente elektromagnetische Strahlung.
  4. Eine Chipkarte nach Anspruch 3, wobei der Stromausfall-Detektor (16) ein Mittel umfasst, um eine Unterbrechung und/oder Verringerung der Verbindungseffizienz der Induktionsschleife zu erkennen.
  5. Eine Chipkarte nach Anspruch 1, wobei das genannte Mittel Stromverbindung (17, 18, 57, 58) Kontaktstellen zur mechanischen Verbindung mit einer externen Stromquelle umfasst, so dass dieser Strom der Chipkarte (10, 50) zugeführt werden kann.
  6. Eine Chipkarte nach Anspruch 5, wobei der Stromausfall-Detektor (16) ein Mittel umfasst, um eine Unterbrechung der Energiezufuhr von der externen Energiequelle und/oder einen Spannungsabfall des bereitgestellt Stroms zu erkennen.
  7. Eine Chipkarte nach jedem der vorangegangenen Ansprüche, wobei es sich bei den Informationen, die vom flüchtigen Speicher (14) zum nicht flüchtigen Speicher (13) zu übertragen sind, um kritische Informationen handelt, die nach Beendigung des Stromausfalls wieder zur Verfügung stehen müssen.
  8. Eine Chipkarte nach Anspruch 1, wobei das genannte Mittel zum Ausfallschutz (15, 51) einen Kondensator (15) mit genügender Kapazität umfasst, um den Strom für die Dauer der Übertragung der Informationen bereitzustellen.
  9. Eine Chipkarte nach Anspruch 8, wobei der Kondensator (15) über eine Kapazität in der Größenordnung mehrerer Farads pro cm2 verfügt.
  10. Eine Chipkarte nach Anspruch 8, wobei es sich bei dem Kondensator (15) um einen High Capacitance Value Multi-Layer Ceramic Capacitor (MLC) handelt.
  11. Eine Chipkarte nach Anspruch 1, wobei das genannte Mittel zum Ausfallschutz (15, 51) einen Taktgeber (51) umfasst, der den Komponenten der Chipkarte (50) ein Taktsignal bereitstellt.
  12. Eine Chipkarte nach Anspruch 1, wobei das genannte Mittel zum Ausfallschutz (15, 51) einen Stromausfall-Handler umfasst, der die Übertragung der Informationen koordiniert.
  13. Eine Chipkarte nach Anspruch 1, wobei es sich bei dem genannten Stromausfall-Handler um eine Software-Komponente in einem nicht flüchtigen Speicher (11, 13) handelt, ausgeführt durch den Prozessor (12).
  14. Eine Chipkarte nach Anspruch 1, wobei der genannte Stromausfall-Handler als eine Kombination aus Hardware und Software implementiert ist.
  15. Eine Chipkarte nach Anspruch 1, der genannte Stromausfall-Handler in einem ASIC implementiert ist.
  16. Eine Chipkarte nach Anspruch 1, Hardware- und Software-Komponenten umfassend.
  17. Eine Chipkarte nach Anspruch 1, wobei mindestens ein Teil der Funktionen der Chipkarte in einem ASIC realisiert wurde.
  18. Eine Chipkarte nach Anspruch 16, wobei die Software-Komponente in einen nicht flüchtigen Speicher (11, 13) geladen wurde, vorzugsweise ein ROM.
  19. Eine Methode zum Schutz von Informationen, die in einem flüchtigen Speicher (14) einer Chipkarte (10, 50) gespeichert wurden, wobei die Chipkarte (10, 50) weiterhin Folgendes umfasst: einen Prozessor (12), einen nicht flüchtigen Speicher (13), ein Mittel zur Stromverbindung (17, 18, 57, 58), durch das externer Strom der Karte (10, 50) zugeführt werden kann, wobei die genannte Methode die folgenden Schritte umfasst: – Erkennen eines Ausfalls von extern zugeführtem Strom zur Chipkarte (10, 50), – Lesen der Informationen im flüchtigen Speicher (14) und Übertragen dieser Informationen in den nicht flüchtigen Speicher (13), – Schreiben der Informationen in den genannten nicht flüchtigen Speicher (13), – Zuführen von Strom unter der Voraussetzung, dass ein Mittel zum Ausfallschutz (15, 51) Teil der Chipkarte (10, 50) ist, zumindest während der Ausführung der obigen Schritte, wobei die Methode durch folgenden Schritt gekennzeichnet ist: – Setzen einer Stromausfall-Kennung (PF) im nicht flüchtigen. Speicher (13), um das Ereignis des Stromausfalls nachvollziehbar zu machen.
  20. Die Methode nach Anspruch 19, wobei nur kritische Informationen in den genannten nicht flüchtigen Speicher (13) geschrieben werden.
  21. Eine Methode zur Rückgewinnung von Informationen, die in einem nicht flüchtigen Speicher (13) einer Chipkarte (10, 50) nach einem Ausfall der externen Stromzufuhr gespeichert wurden, wobei die Chipkarte (10, 50) weiterhin Folgendes umfasst: einen Prozessor (12), einen flüchtigen Speicher (14), ein Mittel zur Stromverbindung (17, 18, 57, 58), durch das externer Strom der Karte (10, 50) zugeführt werden kann, wobei die Methode die folgenden Schritte umfasst: Inbetriebnahme der Chipkarte (10, 50), Erkennen, ob vor der Inbetriebnahme ein Ausfall des externen Stroms stattgefunden hat, indem eine Stromausfall-Kennung (PF) im nicht flüchtigen Speicher (13) gesetzt wurde, wenn ein Ausfall des extern zugeführten Stroms stattgefunden hat, Lesen der Informationen aus dem nicht flüchtigen Speicher (13) und Übertragen dieser Informationen in den flüchtigen Speicher (14), Schreiben der Informationen in den genannten flüchtigen Speicher (14), so dass der Status der Chipkarte vor dem Ausfall des extern zugeführten Stroms wiederhergestellt wird.
  22. Die Methode nach Anspruch 21, wobei der Status der Chipkarte vor dem Ausfall des extern zugeführten Stroms wiederhergestellt wird ohne Intervention durch das Anwendungsprogramm.
  23. Ein Kartenterminal zur Verwendung in Verbindung mit einer Chipkarte (10, 50), Folgendes umfassend: einen Prozessor (12), einen flüchtigen Speicher (14), einen nicht flüchtigen Speicher (13), ein Mittel zur Stromverbindung (17, 18, 57, 58), durch das externer Strom der Karte (10, 50) zugeführt werden kann, ein Mittel zum Ausfallschutz (15, 51), das im Falle eines Stromausfalls Strom für einen kurzen Zeitraum bereitstellt, ein Stromausfall-Detektor (16) zur Erkennung eines Stromausfalls, wobei der Stromausfall-Detektor (16) die Übertragung von Informationen von einem flüchtigen Speicher (13) zum nicht flüchtigen Speicher (13) veranlasst, wenn ein Stromausfall erkannt wird, und das Mittel zum Ausfallschutz (15, 51) den dafür erforderlichen Strom bereitstellt, wobei das genannte Kartenterminal ein Mittel für Ereignisberichte umfasst, um Informationen zu empfangen, die signalisieren, dass ein Stromausfall auf der genannten Chipkarte (10, 50) stattgefunden hat und um einem entfernten System von dem genannten Stromausfall zu berichten, dadurch gekennzeichnet, dass das genannte Mittel für Ereignisberichte Information von der genannten Chipkarte (10, 50) erhält, indem eine nicht flüchtige Stromausfall-Kennung (PF) von der Chipkarte (10, 50) gelesen wird und wobei die genannte Stromausfall-Kennung (PF) durch die genannte Chipkarte (10, 50) gesetzt wurde, nachdem ein Stromausfall erkannt wurde.
  24. Das Kartenterminal nach Anspruch 23, wobei das genannte Mittel für Ereignisberichte die Informationen von der genannten Chipkarte (10, 50) über eine Kontaktstelle erhalten.
  25. Das Kartenterminal nach Anspruch 23, wobei es sich bei dem genannten entfernten System um eine Bedienerkonsole oder um eine Leitstation handelt.
DE69817543T 1998-06-08 1998-06-08 Automatische Datenrückgewinnung in Chipkarten Expired - Lifetime DE69817543T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP98110424A EP0964360B1 (de) 1998-06-08 1998-06-08 Automatische Datenrückgewinnung in Chipkarten

Publications (2)

Publication Number Publication Date
DE69817543D1 DE69817543D1 (de) 2003-10-02
DE69817543T2 true DE69817543T2 (de) 2004-06-24

Family

ID=8232084

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69817543T Expired - Lifetime DE69817543T2 (de) 1998-06-08 1998-06-08 Automatische Datenrückgewinnung in Chipkarten

Country Status (9)

Country Link
US (1) US6536671B1 (de)
EP (1) EP0964360B1 (de)
JP (1) JP3639533B2 (de)
DE (1) DE69817543T2 (de)
HU (1) HUP0102407A3 (de)
IL (1) IL138862A0 (de)
PL (1) PL344683A1 (de)
TW (1) TWI221957B (de)
WO (1) WO1999064985A1 (de)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000003424A (ja) * 1998-04-17 2000-01-07 Hitachi Ltd メモリ内容移行制御部を備えたicカ―ド及びicカ―ドのデ―タ記憶方法
US6496939B2 (en) * 1999-09-21 2002-12-17 Bit Microsystems, Inc. Method and system for controlling data in a computer system in the event of a power failure
EP1192589B1 (de) * 2000-03-21 2004-06-02 Koninklijke Philips Electronics N.V. Kommunikationsvorrichtung zum schnellen und gleichzeitigen beschreiben einer vielzahl von datenträgern und zugehörige datenträger
JP2001283174A (ja) 2000-03-31 2001-10-12 Fujitsu Ltd Icカード、icチップ、データ保証方法および電源監視方法
US6473355B2 (en) * 2000-12-01 2002-10-29 Genatek, Inc. Apparatus for using volatile memory for long-term storage
JP3848152B2 (ja) * 2001-12-20 2006-11-22 株式会社東芝 多機能icカード
US6968465B2 (en) * 2002-06-24 2005-11-22 Hewlett-Packard Development Company, L.P. Multiple server in-rush current reduction
JP4153262B2 (ja) * 2002-08-21 2008-09-24 富士通株式会社 バスパワー装置
US7421594B2 (en) 2002-08-21 2008-09-02 Fujitsu Limited Bus power device and power-source control method
EP1426852A1 (de) * 2002-12-05 2004-06-09 Sony Ericsson Mobile Communications AB Verfahren zum automatischen Wiederstarten von einer Vorrichtung und Vorrichtung mit einer automatischen Wiederstartfunktion
AU2003289941A1 (en) * 2002-12-05 2004-06-23 Sony Ericsson Mobile Communications Ab Method for automatic restart of device and device with automatic restart
GB2408235B (en) * 2002-12-20 2005-09-21 Motorola Inc Secure smartcard system and method of operation
JP4307124B2 (ja) * 2003-03-28 2009-08-05 キヤノン株式会社 表示媒体廃棄装置及びシステム、並びにコンテンツ管理方法
US7416132B2 (en) 2003-07-17 2008-08-26 Sandisk Corporation Memory card with and without enclosure
US20050013106A1 (en) 2003-07-17 2005-01-20 Takiar Hem P. Peripheral card with hidden test pins
JP2007531083A (ja) 2003-07-17 2007-11-01 サンディスク コーポレイション 隆起部を備えたメモリカード
FR2864296B1 (fr) * 2003-12-17 2006-04-28 Gemplus Card Int Immunite aux variations de ressources limitees, fournies a un objet a interface duale
JP4701618B2 (ja) * 2004-02-23 2011-06-15 ソニー株式会社 情報処理装置及び情報処理方法、並びにコンピュータ・プログラム
DE602005021753D1 (de) * 2005-04-29 2010-07-22 Incard Sa Transaktionstapel für elektronische Geräte mit einem nichtflüchtigen Speicher, der eine begrenzte Anzahl von Schreibzyklen aufweist
EP1873641B1 (de) 2006-06-29 2009-08-19 Incard SA Komprimierungsverfahren zur Verwaltung der Speicherung von persistenten Daten eines nichtflüchtigen Speichers in einen Sicherungspuffer
EP1873642B1 (de) 2006-06-29 2009-08-19 Incard SA Transaktionsverfahren zur Speicherverwaltung von persistenten Daten in einem Transaktionstapel
US7988058B2 (en) * 2007-01-30 2011-08-02 Mastercard International Incorporated Payment device with audio and/or visual capability and associated method
CN201075737Y (zh) * 2007-07-20 2008-06-18 忆正存储技术(深圳)有限公司 一种掉电保护电路
US9921896B2 (en) 2007-08-30 2018-03-20 Virident Systems, Llc Shutdowns and data recovery to avoid read errors weak pages in a non-volatile memory system
US8677037B1 (en) * 2007-08-30 2014-03-18 Virident Systems, Inc. Memory apparatus for early write termination and power failure
US7908505B2 (en) * 2007-09-28 2011-03-15 International Business Machines Corporation Apparatus, system, and method for event, time, and failure state recording mechanism in a power supply
EP2273373A1 (de) * 2009-07-02 2011-01-12 Vodafone Holding GmbH Speichern von häufig geänderten Daten auf einer IC-Karte
JP6011272B2 (ja) * 2012-11-22 2016-10-19 富士通株式会社 ストレージ装置、復旧方法、および復旧プログラム
CN103678067A (zh) * 2013-12-19 2014-03-26 大唐微电子技术有限公司 一种智能卡掉电测试方法、测试设备和被测设备
EP3213324B1 (de) * 2014-10-31 2021-12-01 Hewlett-Packard Development Company, L.P. Leistungsverlustschutz
JP6293648B2 (ja) * 2014-12-02 2018-03-14 東芝メモリ株式会社 メモリデバイス
FR3038174B1 (fr) * 2015-06-29 2018-06-22 Idemia France Procede d'enregistrement mis en oeuvre par un microcircuit, et dispositif correspondant
US10401935B2 (en) 2016-05-03 2019-09-03 Samsung Electronics Co., Ltd. Storage device with a power source and persistent store that provides backup power to DRAM in a power loss event
US10482014B2 (en) * 2017-08-08 2019-11-19 Dell Products L.P. System and method of managing a memory medium
FR3104285B1 (fr) * 2019-12-05 2022-05-27 St Microelectronics Grenoble 2 Contrôle d’intégrité d’une mémoire

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS59229686A (ja) * 1983-06-09 1984-12-24 Toshiba Corp Icカ−ド
US5451762A (en) 1991-06-26 1995-09-19 Olympus Optical Co., Ltd. Optical card having guide patterns for information line positioning and optical card recording/reproducing apparatus
US5634000A (en) * 1991-07-31 1997-05-27 Ascom Autelca Ag Power-fail return loop
US5451763A (en) * 1994-07-05 1995-09-19 Alto Corporation Personal medical IC card and read/write unit
JP3571383B2 (ja) * 1994-10-19 2004-09-29 株式会社日立製作所 Icカード、icカードリードライト装置及び電子財布システム
EE9700304A (et) * 1995-05-15 1998-06-15 Mondex International Limited Rahaliste vahendite ülekandesüsteem
US5920726A (en) * 1997-06-12 1999-07-06 Apple Computer, Inc. System and method for managing power conditions within a digital camera device

Also Published As

Publication number Publication date
HUP0102407A2 (hu) 2001-10-28
JP3639533B2 (ja) 2005-04-20
EP0964360B1 (de) 2003-08-27
TWI221957B (en) 2004-10-11
EP0964360A1 (de) 1999-12-15
JP2002517868A (ja) 2002-06-18
PL344683A1 (en) 2001-11-19
WO1999064985A1 (en) 1999-12-16
IL138862A0 (en) 2001-10-31
US6536671B1 (en) 2003-03-25
DE69817543D1 (de) 2003-10-02
HUP0102407A3 (en) 2004-10-28

Similar Documents

Publication Publication Date Title
DE69817543T2 (de) Automatische Datenrückgewinnung in Chipkarten
DE69611613T2 (de) Interface für eine speicherkarte
DE10305587B4 (de) Integrierte Sicherheitshalbleiterschaltung und Halbleiterschaltungskarte und zugehöriges Überwachungsverfahren
DE60310139T2 (de) Erkennung von manipulation an einer chipkartenschnittstelle
AT503878A2 (de) Vorauszahlungssystem für energieerfassungsgeräte unter verwendung berührungsloser intelligenter karten mit automatischer vorrichtung zum abschalten der energie
DE69327181T3 (de) Massenspeicherkarte für einen Mikrocomputer
DE19947827A1 (de) Verfahren und Vorrichtung zur Löschung von Daten, wenn ein Problem erkannt ist
EP0128362B1 (de) Schaltungsanordnung mit einem Speicher und einer Zugriffskontrolleinheit
DE3801699A1 (de) Datenverarbeitungsanlage
DE102008030032A1 (de) Integrierte Halbleiterschaltung, Smartcard und Hacking-Detektionsverfahren
DE10319585B4 (de) Manipulationsgeschütztes Datenverarbeitungssystem und zugehöriges Verfahren zum Manipulationsschutz
DE69913142T2 (de) Vorrichtung und verfahren zur sicheren informationsverarbeitung
EP0712520A1 (de) Verfahren zur echtheitsprüfung eines datenträgers
EP2652665B1 (de) Portabler datenträger mit fehlbedienungszähler
DE10164419A1 (de) Verfahren und Anordnung zum Schutz von digitalen Schaltungsteilen
WO1998041880A2 (de) Integrierte schaltung und verfahren zum testen der integrierten schaltung
DE4042161A1 (de) Rom mit sicherheitsschaltung
DE10336568B4 (de) Betriebssystem für einen tragbaren Datenträger
WO2002009100A1 (de) Datenträger mit einem datenspeicher und einem zugriffszähler
EP1591864A2 (de) Verfahren zum Schützen von Daten eines Datenträgers gegen DFA-Angriffe
DE102005058878B4 (de) Datentransfervorrichtung und Verfahren zum Senden von Daten
WO2000002170A1 (de) Verfahren zum schutz von daten auf einem datenträger sowie dazu ausgestaltete chipkarte, lesegerät und chipsatz
DE102007027935A1 (de) Tragbarer Datenträger und Verfahren zur Personalisierung eines tragbaren Datenträgers
EP1530152B1 (de) Verfahren zum Betreiben eines tragbaren Datenträgers
DE102006054835A1 (de) Tragbarer Datenträger

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)
8328 Change in the person/name/address of the agent

Representative=s name: DUSCHER, R., DIPL.-PHYS. DR.RER.NAT., PAT.-ANW., 7