DE69901318T3 - Verfahren und gerät zur überprüfung des betriebszyklus eines tragbaren gegenstandes, insbesondere einer chipkarte - Google Patents

Verfahren und gerät zur überprüfung des betriebszyklus eines tragbaren gegenstandes, insbesondere einer chipkarte Download PDF

Info

Publication number
DE69901318T3
DE69901318T3 DE69901318T DE69901318T DE69901318T3 DE 69901318 T3 DE69901318 T3 DE 69901318T3 DE 69901318 T DE69901318 T DE 69901318T DE 69901318 T DE69901318 T DE 69901318T DE 69901318 T3 DE69901318 T3 DE 69901318T3
Authority
DE
Germany
Prior art keywords
state
transition
action
allowed
desired transition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69901318T
Other languages
English (en)
Other versions
DE69901318D1 (de
DE69901318T2 (de
Inventor
Marc Birkner
Luc Jean GIRAUD
Laurent Talvard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=9532895&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69901318(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Gemplus SA filed Critical Gemplus SA
Publication of DE69901318D1 publication Critical patent/DE69901318D1/de
Application granted granted Critical
Publication of DE69901318T2 publication Critical patent/DE69901318T2/de
Publication of DE69901318T3 publication Critical patent/DE69901318T3/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K13/00Conveying record carriers from one station to another, e.g. from stack to punching mechanism
    • G06K13/02Conveying record carriers from one station to another, e.g. from stack to punching mechanism the record carrier having longitudinal dimension comparable with transverse dimension, e.g. punched card
    • G06K13/07Transporting of cards between stations

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)

Description

  • Die Erfindung betrifft tragbare elektronische Gegenstände, wie zum Beispiel Karten mit elektronischem Mikroschaltkreis, sogenannte Chipkarten, die an elektronische Vorrichtungen angeschlossen werden, um letzteren besondere Funktionen im Rahmen einer oder mehrer eine Kontrolle ihrer Lebensstufen erfordernder Anwendungen zu erlauben. Besagte Karten werden nämlich allgemein in eine große Sicherheit gegen missbräuchliche Nutzung erfordernden Anwendungen (Banken, Kommunikation, Identität, Gesundheit, usw.) genutzt. So stellt die Patentschrift US 5473690 beispielhaft eine Chipkarte vor, die mehrere Anwendungen umfasst, deren Zugang per Codewort geschützt ist, wobei ein Codewort einem Benutzer vorbehalten ist. Bei Kenntnis eines Codewortes ist es möglich, die eine oder die andere Anwendung auszuwählen. Dennoch kann man eine Anwendung, für welchen Benutzer der Karte auch immer, nicht in Abhängigkeit der Lebensstufen besagter Karte deaktivieren oder die Nutzung beschränken.
  • Die Erfindung findet ganz allgemein auf jedes unabhängige integrierte System Anwendung, das mit einer Bearbeitungseinheit und Programm- und Datenspeichern versehen ist.
  • In der Fachwelt der Chipkarten ist bekannt, dass diese aus einem Zusammenbau einer Komponente (im allgemeinen mit einem Mikroprozessor, der über Datenbusse mit Speichern verbunden ist), einem Modul (das mithilfe eines leitenden Metalls realisiert wird) resultiert, an den besagte Komponente (im Rahmen einer sogenannten Chipkarte mit Kontakt) angeschlossen ist, um besagter Komponente zu erlauben, mit einer elektronische Lese- und/oder Schreibvorrichtung (oder Kopplervorrichtung) verbunden zu werden, und einem Kartenkörper, oder ganz allgemein einer Unterlage, auf der die Baugruppe Modul/Komponente integriert ist. Im Rahmen einer sogenannten Chipkarte ohne Kontakt wird besagtes Modul durch eine Antenne ersetzt, und die durch die Komponente gebildete Baugruppe und besagte Antenne wird innerhalb besagter Unterlage integriert.
  • Im Rahmen einer sogenannten Chipkarte ohne Kontakt wird besagtes Modul durch eine Antenne ersetzt, und die durch die Komponente und besagte Antenne gebildete Baugruppe wird in besagte Unterlage integriert.
  • Das Leben einer Chipkarte besteht allgemein aus zwei aufeinanderfolgenden Stufengruppen, die jeweils der Herstellung und der Nutzung besagter Karte entsprechen. Die Zusammensetzung der beiden Baugruppen bildet einen Lebenszyklus besagter Karte. Die Herstellung ei ner Chipkarte (mit oder ohne Kontakt) besteht aus mehreren Stufen.
  • Es ist nämlich zunächst notwendig, über eine elektronische Komponente zu verfügen, die initialisiert, isoliert und anschließend an ein Modul angeschlossen wird. Besagte Komponente und das Modul, an das sie angeschlossen ist, werden im Folgenden auf eine oder innerhalb einer Unterlage integriert (im Allgemeinen ein Kartenkörper aus Plastik), der seinerseits zu Identifizierungs- oder Werbezwecken bedruckt wird. Im Folgenden wurde die derart erhaltene Chipkarte initialisiert oder programmiert, um den Nutzungsbedingungen im Rahmen der Anwendungen zu genügen.
  • Die zweite Baugruppe der Lebensstufen einer Chipkarte entspricht ihrer Nutzung. Diese Baugruppe kann ihrer in mehrere Stufen unterteilt sein, wobei jede zum Beispiel der Einrichtung oder dem Wegfall von Diensten entspricht, die dem Benutzer durch die Karte in Abhängigkeit zum Beispiel seines Profils geboten werden.
  • Darüber hinaus intervenieren verschiedene Akteure (Komponentenhersteller, Chipkartenhersteller, Personalisierungszentrum der Karte, Kartenausgeber oder auch der Karteninhaber) während der verschiedenen Herstellungs- und Nutzungsstufen einer Chipkarte. So werden die Komponenten von den Herstellern der elektronischen Komponenten geliefert und mitunter auch teilweise auf einer Siliziumscheibe initialisiert. Diese Phase entspricht der Herstellungsstufe der Komponente. Die folgende Stufe ist die vom Hersteller der Chipkarte realisierte Einschlussphase. Sie umfasst die Isolierung einer Kompo nente der Siliziumscheibe, den Anschluss besagter Komponente an ein Modul (oder eine Antenne), die Integration der Baugruppe auf ihrer Unterlage oder ihrem Kartenkörper. Darauf folgt die Vorbereitung der im elektrisch programmierbaren Speicher der Komponente vorhandenen Anwendungsstruktur. Das ist Stufe der elektrischen Personalisierung, die vom Hersteller der Chipkarte oder von einem Personalisierungszentrum oder einem auf die Personalisierung von Karten spezialisierten Dritten oder vom Ausgeber selbst realisiert wird, der im Endeffet mit dem Vertrieb der Karten auf dem Markt beauftragt ist. Diese Phase der elektrischen Personalisierung kann daher in so viele Stufen aufgeteilt sein, wie es Akteure oder Zwischenstellen gibt. Im Anschluss daran haben wir zuvor gesehen, dass es während der Nutzung der Chipkarte interessant sein kann, verschiedene Stufen im Laufe der Entwicklung zum Beispiel des Nutzerprofils der Karte zu unterscheiden. Aus allen diesen Gründen ist es daher wichtig, die Lebensstufen einer Karte genauestens zu verfolgen, um jederzeit die laufende Stufe besagter Karte innerhalb ihres Lebenszyklus zu kennen. Darüber hinaus ist es unerlässlich, dass einerseits der Lese- oder Schreibzugriff des elektrisch programmierbaren Speichers der Komponente einer Karte während des Austauschs besagter Karte (oder der Komponente) zwischen den verschiedenen Akteuren geschützt wird und dass andererseits der Zugang zu besagtem Speicher allmählich in dem Maße beschränkt wird, wie die vorgenannten Lebensstufen der Karte aufeinanderfolgen, zum Beispiel durch Aktivieren oder Deaktivieren von Diensten. Und schließlich ist es manchmal ebenfalls wichtig, den Anwendungskontext der Chipkarte zu bestätigen, bevor der Träger derselben sie auf dem Markt nutzt. Ein Ausgeber einer Chipkarte, zum Beispiel vom Typ elektronischer Geldbeutel, muss zum Beispiel sicher sein, dass der Saldo besagter Karte vor der Ausgabe der Karte tatsächlich Null ist.
  • Um zu versuchen, diesen Forderungen gerecht zu werden, werden bis zum heutigen Tage verschiedene Lösungen genutzt. Einige Lösungen befinden sich nur außerhalb der Chipkarte (physische Sicherung der Räumlichkeiten, in denen besagte Karte hergestellt wird, Nutzung der ihrerseits gesicherten Transportmittel, usw.). Andere, zu ersteren komplementäre, diesmal jedoch innerhalb der Karte liegende oder in sie eingebaute Lösungen werden ebenfalls allgemein verwendet. So nutzt man Geheimnisse, die es erlauben, den Lese-/Schreibzugriff des Speichers der Komponente zu schützen und ebenfalls logische Indikatoren, die es erlauben, die verschiedenen Lebensstufen der Karte unwiderruflich zu verfolgen. Dafür werden die Bits innerhalb eines nicht löschbaren Speichers der Komponente der Chipkarte im aktiven Zustand am Ende der verschiedenen Lebensstufen der Karte positioniert (Herstellung und Initialisierung der Komponente durch den Hersteller besagter Komponente, Einschluss und Initialisierung des Speichers der Karte durch den Hersteller der Chipkarte, Vorbereitung der Anwendungsstruktur des Speichers der Chipkarte durch das Personalisierungszentrum oder den Kartenausgeber, usw.). In Abhängigkeit dieser Indikato ren passt das vom Mikroprozessor der Komponente der Chipkarte ausgeführte, innerhalb einer der Speicher besagter Komponente besagter Karte eingebaute Programm (oder das Betriebssystem) sein Verhalten allmählich im Verlauf der aufeinanderfolgenden Lebensstufen an. So können die Funktionen abgeändert, hinzugefügt oder annulliert werden.
  • Wie auch immer die bis zum heutigen Tage genutzten Lösungen aussehen, sie beruhen alle auf der Tatsache, dass die verschiedenen in die Herstellung einer Karte eingebundenen Akteure vertrauenswürdige Dritte sind. Nur Personen, die in der Lage sind, Komponenten oder Karten während ihres Transports zwischen zwei verschiedenen Akteuren abzufangen, gelten als potenzielle Betrüger, und die zuvor dargelegten Lösungen ermöglichen es, sich dieser zu entledigen. Die Anpassung des Betriebssystems der Karte in Abhängigkeit der unwiderruflichen Indikatoren bringt einen nicht zu vernachlässigenden Vorteil. Wenn die Komponenten- oder Kartenhersteller zum Beispiel Systemdaten oder Geheimnisse schreiben, kann der Ausgeber der Karte sich zum Beispiel nicht beliebig besagter Geheimnisse entledigen oder besagte Systemdaten verändern. Dennoch löst diese Lösung nicht das Problem einer betrügerischen Initialisierung der Karte oder eines unglücklichen Irrtums während besagter, von einem der Akteure vorgenommenen Initialisierung.
  • Die Erfindung bietet an, den Nachteilen des Standes der Technik abzuhelfen. Insbesondere besteht die Erfindung darin, das Betriebssystem einer Chipkarte mit Programmmitteln zu versehen, die es besagtem Betriebssystem ermöglichen, eine unwiderrufliche Änderung der Lebensstufe besagter Karte in Abhängigkeit einer Baugruppe zur Prüfung des Inhaltes der Speicher dieser selben Chipkarte zu beherrschen. Außerdem sieht die Erfindung vor, dass das Betriebssystem der Karte bei einer Änderung der Lebensstufe automatisch Aktionen auslösen kann, die es erlauben, die von besagtem Betriebssystem besagter Karte angebotenen Dienste anzupassen.
  • Zu diesem Zweck betrifft die Erfindung eine Kontrollvorrichtung des Lebenszyklus eines tragbaren elektronischen Gegenstandes gemäß Anspruch 1 und ein Kontrollverfahren gemäß Anspruch 11.
  • Bevorzugte Ausbildungsarten der Erfindung werden in den abhängigen Ansprüchen definiert.
  • Darüber hinaus betrifft die Erfindung einen tragbaren elektronischen Gegenstand, der insbesondere eine besagte Kontrollvorrichtung des Lebenszyklus beinhaltende Chipkarte sein kann.
  • Die Erfindung wird bei der Lektüre der nachfolgenden Beschreibung und der Prüfung der Figuren, die sie begleiten, besser verstanden. Diese werden nur beispielhaft angegeben und haben keinerlei einschränkenden Charakter der Erfindung.
  • Die Figuren zeigen:
  • 1: eine Komponente einer Chipkarte mit einer Prüfvorrichtung für den Übergang von einem Zustand zum anderen;
  • 2a und 2b: eine detaillierte Darstellung einer Übergangstabelle von einem Zustand zum anderen;
  • 3: eine detaillierte Darstellung einer Prüftabelle für die Übergänge;
  • 4: eine detaillierte Darstellung einer Aktionstabelle;
  • 5: eine Beschreibung der in dem von der Prüfvorrichtung der Übergänge genutzten Verfahren umgesetzten Stufen;
  • 6a bis 6d: die im Falle eines Beispiels einer Chipkarte vom Typ elektronischer Geldbeutel umgesetzten Besonderheiten.
  • In der Erfindung wird ein Zustand als Referenzzustand bezeichnet, von dem aus es möglich ist, infolge der Überschreitung eines in der im Programmspeicher eingebauten Übergangstabelle beschriebenen Übergangs in einen anderen Zustand umzuschwenken. Wie später beschrieben, ist es möglich, neue Zustände hinzuzufügen und damit auch neue Übergänge, nachdem der Herstellungszustand der Komponente stattgefunden hat. In diesem Fall spricht man von Zusatzzuständen, um diese im Gegensatz zu den Referenzzuständen zu bezeichnen. Weiterhin bezeichnet man den Zustand, in dem sich das integrierte System befindet, als laufenden Zustand.
  • 1 zeigt eine mit einer erfindungsgemäßen Prüfvorrichtung für Übergänge versehene Komponente 1 einer Chipkarte. Die Komponente umfasst eine mit den Speichern 3, 4, oder 5 über einen Kommunikationsbus 6 in Verbindung stehende Bearbeitungseinheit 2 oder auch einen Mikroprozessor. Ein nicht löschbarer Programmspeicher 4 (oder auch ROM) umfasst einerseits eine Programmbereich 7, wobei besagte Programme (oder auch Betriebssysteme des integrierten Systems) durch besagte Bearbeitungseinheit ausgeführt werden können, und andererseits einen Bereich vordefinierter Daten 10, der die von besagtem Betriebssystem genutzten Konstanten enthält. Unter besagten Konstanten des Bereichs 10 nutzt das ein Prüfmotor 9 genannte Programm enthaltende Betriebssystem 7 eine Übergangstabelle 11, die es ermöglicht, die Zustände zu präzisieren, in denen man, ausgehend vom laufenden Zustand, Zugriff auf eine Prüftabelle 12 hat, die es ermöglicht, jedem Übergang von einem Zustand zum anderen Prüfungen des Inhalts der Speicher 3, 4, und/oder 5 zuzuordnen. In einer Variante kann die Prüfmaschine 9 automatisch Aktionen bei der Überschreitung oder der Verweigerung der Überschreitung eines Übergangs auslösen. Dafür umfasst der Bereich 10 des Programmspeichers eine Aktionstabelle 13, die es erlaubt, jedem möglichen Übergang von einem Zustand zum anderen auszuführende Aktionen zuzuordnen.
  • Ein flüchtiger Speicher 3 (oder auch RAM, auf Englisch: Random Access Memory) erlaubt es der Verarbeitungseinheit 2, zeitweilig die aus den von den im Programmspeicher 4 eingebauten Programmen beschriebenen Berechnungen stammenden Ergebnisse oder auch Geheimnisse zu speichern. Der Inhalt des Speichers 3 wird jedes Mal gelöscht, wenn die Komponente 1 unter Strom gesetzt wird, oder bei jeden Befehl, diese wieder auf Null zu setzen.
  • Ein elektrisch löschbarer, allgemein die Technologie EEPROM (auf Englisch: Electrical Erasable Programmable Read Only Memory) nutzender Datenspeicher 5 umfasst einen die variablen zur Ausführung der Programme 7 notwendigen Daten enthaltenden Bereich 14. Dieser Bereich 14 umfasst insbesondere „laufender Zustand" genannte Daten 8, die es erlauben, den laufenden Zustand des tragbaren elektronischen Gegenstandes zu speichern. Der Datenspeicher 5 umfasst darüber hinaus einen Bereich 15, der optional Erweiterungen der Tabellen 11 bis 13 in dem Fall enthält, in dem es notwendig ist, Zustände zu den Referenzzuständen hinzuzufügen. Der Bereich 15 umfasst dann eine Erweiterung der Übergangstabelle 16, eine Erweiterung der Prüftabelle 17 und kann eine Erweiterung der Aktionstabelle 18 umfassen, wenn man den neuen Übergängen Zusatzzustände der Aktionen hinzuzufügen wünscht, wie zuvor bezüglich der Tabelle 13 beschrieben. Im Falle von Zusatzzuständen gegenüber den Referenzzuständen ist es mitunter unerlässlich, das Betriebssystem 7 aufzurüsten. Dafür kann der Speicher 5 weiterhin einen Bereich 19 umfassen, der die zusätzlichen Programme enthält, die ihrerseits durch die Verarbeitungseinheit 2 ausgeführt werden.
  • 2a zeigt eine mögliche Umsetzung der Übergangstabelle 11. Wenn man annimmt, dass es i Referenzzustände gibt, kann man sich eine i Spalten und i Zeilen beinhaltende Übergangstabelle vorstellen. Die Spalten entsprechen den Referenzzuständen, die in einem bestimmten Moment der laufende Zustand sein können. Die i ersten Zeilen entsprechen den Referenzzuständen, auf die man ausgehend vom laufenden Zustand Zugriff haben kann. Somit erlaubt der Wert eines einer Zeile und einer Spalte besagter Tabelle entsprechenden Kästchens der Übergangstabelle 11 entweder das Fehlen eines zugelassenen Übergangs (Zum Beispiel Wert Null – das ist beim Übergang 20 der Fall) zu kodieren, oder aber die Zulassung des Übergangs (Wert nicht Null – das ist der Fall beim Übergang 21). Im Fall eines zugelassenen Übergangs sucht die Prüfmaschine der Übergänge innerhalb der Prüftabelle 12 die auszuführenden Prüfungen, um die Überschreitung des angeforderten Übergangs zuzulassen oder abzulehnen.
  • 2b zeigt ebenfalls eine mögliche Umsetzung einer Übergangstabelle in dem Fall, in dem es möglich ist, Zustände (Zusatzzustände) zu den Referenzzuständen hinzuzufügen. Die Übergangstabelle umfasst im Verhältnis zu 2a eine zusätzliche Zeile. Die (1 + 1). Zeile erlaubt zu präzisieren, ob die Übergänge von einem laufenden Referenzzustand zu einem Zusatzzustand zugelassen werden. So zeigt der Wert des Kästchens 22 einen verbotenen Übergang von einem Referenzzustand zu einem Zusatzzustand an. Das Kästchen 23 zeigt an, dass es möglich ist, vom Referenzzustand Ei zum Zusatzzustand umzuschwenken. Eine Erweiterung 16 der Übergangstabelle ist also notwendig. Letztere umfasst j Zeilen, die j Zusatzzuständen entsprechen, auf die man ausgehend von (i + j) möglichen laufenden Zuständen zugreifen kann, die durch die (i + j) Spalten der Erweiterung 16 der Übergangstabelle dargestellt werden. So zeigt die Verbindung des Kästchens 23 der Übergangstabelle und des Kästchens 24 der Erweiterung 16 der Übergangstabelle der Prüfmaschine an, dass es möglich ist, vom Referenzzustand Ei zum Zusatzzustand E(i + 1) umzuschwenken.
  • 3 zeigt eine Umsetzung der Prüftabelle. Die Prüftabelle 12 ist im Bereich 10 der vordefinierten Daten des Speichers 4 eingebaut. Jeder zugelassene Übergang verfügt über einen Eingang in besagter Tabelle. Ein Eingang umfasst ein die Identifizierung des Übergangs erlaubendes Feld 30 und ein eine Referenz (oder Adresse) für ein Programm 32 des Betriebssystems 7 enthaltendes Feld 31. Die Prüfmaschine 9 kann somit in der Verarbeitungseinheit 9 die erforderlichen Kontrollen für die Zulassung der Überschreitung des Übergangs ausführen lassen. 3 bildet ebenfalls eine Struktur einer Erweiterung 17 der Prüftabelle ab. Auf dieselbe Weise wie Tabelle 12 umfasst die Erweiterung der Prüftabelle 17 einen Eingang pro möglichem Übergang. Jeder Eingang umfasst zwei Felder, ein die Identifizierung des Übergangs erlaubendes Feld 33 und ein eine Referenz (oder Adresse) eines Programms 35 des Betriebssystems oder, wie in 3 dargestellt, ein im Datenspeicher 5 (Bereich 19) eingebautes zusätzliches Programm enthaltendes Feld 34 (in Bereich 19).
  • 4 zeigt eine Darstellung der im Bereich 10 der im Speicherprogramm 4 vordefinierten Daten eingebauten Aktionstabelle 13. Bei einer Überschreitungsanforderung eines Übergangs ist es möglich, Aktionen auszulösen. Diese können von drei Arten sein: systematische Aktion, positive Aktion (das heißt, abhängig von der Tatsache, dass die Prüfungen zufriedenstellend sind) oder negative Aktion (das heißt, abhängig von der Tatsache, dass die Prüfungen nicht zufriedenstellend sind). 4 zeigt, dass bei jedem zugelassenen Übergang ein Eingang in die Aktionstabelle 13 besteht. Dieser Eingang umfasst 4 Felder: Das erste Feld 400 erlaubt die Identifizierung des Übergangs. Die drei anderen Felder 401, 402 und 403 enthalten jedes eine Referenz oder Adresse eines Programms 404, 405 oder 406 des Betriebssystems. Das Feld 401 ist einer systematischen Aktion dediziert, das Feld 402 einer positiven Aktion und das Feld 403 einer negativen Aktion. 4 zeigt ebenfalls eine Erweiterung 18 der Aktionstabelle. Diese Tabelle 18 ist im Bereich 15 des Datenspeichers 5 der Komponente 1 eingebaut. Die Erweiterung der Aktionstabelle 18 umfasst auf dieselbe Weise wie für die Aktionstabelle 13 einen Eingang pro möglichem Übergang. Ein Eingang umfasst 4 Felder. Das erste Feld 407 erlaubt die Identifizierung des Übergangs. Die drei anderen Felder 408, 409 und 410 beinhalten jedes eine Referenz oder Adresse eines Programms 411, 412 oder 413 des Betriebssystems oder, wie in 4 dargestellt, im Bereich 19 des Datenspeichers 5 der Komponente 1 eingebaute Programme. Das Feld 408 ist einer systematischen Aktion dediziert, das Feld 409 einer positiven Aktion und das Feld 410 einer negativen Aktion.
  • 5a beschreibt das die Bestätigung oder die Verweigerung der Überschreitung eines Übergangs von einem Zustand zum anderen, eines ersten Referenzzustandes zu einem anderen Referenzzustand erlaubende Verfahren. Die Überschreitungsanfrage eines Übergangs kann infolge eines Auftrages zur Kartenherstellung oder durch jeden anderen Akteur des Lebenszyklus der Chipkarte formuliert werden. Besagte Anfrage kann ebenfalls direkt durch die Karte selbst formuliert werden, zum Beispiel über eine einem Übergang zugeordnete Aktion. Im Rahmen der 5a ist der laufende Referenzzustand der Zustand Ei. Der Auftrag 50 zum Umschwenken des Zustandes Ei in den Zustand Ej ist formuliert. Die Stufe 51 besteht in der Prüfung der Übergänge 51 in der Tabelle, dass der Übergang vom Zustand Ei zum Zustand Ej zugelassen ist. In dem Fall, in dem dieser Übergang verboten ist, wird die Überschreitungsanforderung des Übergangs 50 verweigert. Der laufende Zustand bleibt der Zustand Ei. Wenn der Übergang jedoch zugelassen wird, führt die Prüfmaschine 9 die dem besagtem Übergang zugeordneten Prüfungen durch. Dafür bewertet die Prüfmaschine den dem Übergang T (Ei -> Ej) dedizierten Eingang der Prüftabelle 12. Die Ausführung besagter Prüfungen entspricht der Stufe 52 des Verfahrens. Die Prüfmaschine 9 führt die dem Übergang T (Ei -> Ej) zugeordneten systematischen Aktionen in Abhängigkeit des Eingangs der Aktionstabelle 13 der besagtem Übergang dedizierten Aktionen durch (Stufe 53). Wenn die bei der Überschreitungsanfrage des Übergangs 50 geforderten Prüfungen 54 nicht zufriedenstellend sind, bleibt der laufende Zustand unverändert. Die Prüfmaschine führt die negativen Aktionen (Stufe 55 des Verfahrens) in Abhängigkeit von dem Eingang der dem Übergang T (Ei -> Ej) zugeordneten Aktionstabelle 13 durch. Der Ablauf des Verfahrens ist dann beendet. Wenn die Prüfungen 54 jedoch zufrieden stellend sind, wird der laufende Zustand dann zum Zustand Ej (Stufe 56 des Verfahrens). Dann werden die positiven Aktionen (Stufe 57 des Verfahrens) in Abhängigkeit vom Eingangszustand der dem Übergang T (Ei -> Ej) zugeordneten Aktionstabelle 13 durchgeführt. Der Ablauf des Verfahrens ist beendet.
  • 5b beschreibt das die Bestätigung oder die Verweigerung der Überschreitung eines Übergangs von einem Zustand zum anderen, von einem ersten Zusatzzustand zu einem anderen Zusatzzustand erlaubende Verfahre. Der laufende Zusatzzustand ist Ei. Der Befehl 510 zum Umschwenken vom Zusatzzustand Ei in den Zusatzzustand (oder Referenzzustand) Ej wird formuliert. Die Stufe 511 des Verfahrens besteht in der Überprüfung in der Erweiterung der Übergangstabelle 16, dass der Übergang vom Zustand Ei in den Zustand Ej zugelassen ist. In dem Fall, in dem dieser Übergang verboten ist, wird die Überschreitungsanforderung dieses Übergangs 510 verweigert. Der laufende Zustand bleibt der Zustand Ei. Wenn der Übergang jedoch zugelassen wird, führt die Prüfmaschine 9 die besagtem Übergang zugeordneten Prüfungen durch. Dafür bewertet die Prüfmaschine den Eingang der Erweiterung der dem Übergang T (Ei -> Ej) dedizierten Prüftabelle 17. Die Durchführung besagter Prüfungen besteht in der Stufe 512 des Verfahrens. Die Prüfmaschine 9 führt die dem Übergang T (Ei -> Ej) zugeordneten systematischen Aktionen in Abhängigkeit vom Eingang der Erweiterung der Aktionstabelle 18 durch, deren Aktionen besagtem Übergang (Stufe 513 des Verfahrens) dediziert sind. Wenn die bei der Überschreitungsanfrage des Über gangs 510 geforderte Prüfung 514 nicht zufriedenstellend ist, bleibt der laufende Zustand unverändert. In Abhängigkeit des Eingangs der Erweiterung der dem Übergang T (Ei -> Ej) zugeordneten Aktionstabelle 18 führt die Prüfmaschine 9 die negativen Aktionen (Stufe 515 des Verfahrens) durch. Dann ist der Ablauf des Verfahrens beendet. Wenn die Prüfungen 514 jedoch zufriedenstellend sind, wird der laufende Zustand zum Zustand Ej (Stufe 516 des Verfahrens). Dann werden die positiven Aktionen in Abhängigkeit des Eingangszustandes der Erweiterung der dem Übergang T (Ei -> Ej) zugeordneten Aktionstabelle 18 durchgeführt (Stufe 517 des Verfahrens). Der Ablauf des Verfahrens ist beendet.
  • 5c beschreibt das die Bestätigung oder die Verweigerung der Überschreitung eines Übergangs von einem Zustand zum anderen, eines Referenzzustands zu einem Zusatzzustand erlaubende Verfahren. Der laufende Referenzzustand ist der Zustand Ei. Der Befehl 520 zum Umschwenken des Referenzzustandes Ei in den Zusatzzustand Ej wird formuliert. Die Stufe 528 des Verfahrens besteht in der Prüfung in der Übergangstabelle 11, dass ein Übergang vom laufenden Referenzzustand Ei zu einem Zusatzzustand zugelassen ist. Wenn ein derartiger Übergang verboten ist, ist das Verfahren beendet. Der laufende Zustand bleibt unverändert. Wenn jedoch ein Übergang vom besagten Referenzzustand in einen Zusatzzustand zugelassen ist, führt die Prüfmaschine die Stufen 521 bis 527 des Verfahrens durch, die jeweils mit den in Verbindung mit 5b beschriebenen Stufen 511 bis 517 identisch sind.
  • Ein Anwendungsbeispiel im Bereich des elektronischen Geldbeutels wird in Verbindung mit den 6a bis 6d vorgestellt. Besagte Anwendung erlaubt die Bezahlung von Einkäufen mithilfe von in einer Chipkarte gespeichertem „elektronischem Geld" anstelle von Bargeld. Der Einsatz einer derartigen Technik macht eine ebenso gesicherte Verwaltung der Karten notwendig wie die, die der Einsatz von Bargeld erfordert hätte. Zum Beispiel muss die Schaffung von fiktivem Geld verhindert werden. Die Sicherheit einer Chipkarte als elektronischer Geldbeutel beruht allgemein auf im Innern besagter Chipkarte gespeicherten Schlüsseln, die gesicherte Transaktionen durch den Einsatz von Verschlüsselungen erlauben. Eine derartige Karte verfügt über ein Betriebssystem, das einen Steuersatz und Leistungen bietet, die es erlauben, Geld gutzuschreiben oder abzuheben. Zu Beginn des Lebenszyklus der Chipkarte als elektronischer Geldbeutel ist besagte Chipkarte nicht initialisiert. Sie enthält keinerlei Information. 6a zeigt die vordefinierten Referenzzustände:
    • – Zustand E1 „unbeschriebene Karte" (Referenz 80): Es sind nur die die Bestätigung des Verhaltens des Datenspeichers 5 erlaubenden Testbefehle verfügbar (Prüfung, dass die Speicherkästchen der EEPROM-Technologie fehlerfrei gelesen und geschrieben werden können);
    • – Zustand E2 „getestete Karte" (Referenz 82): Die Testbefehle sind nicht mehr verfügbar. An ihrer Stelle sind allgemein als „physische Befehle" bezeichnete Befehle verfügbar (die zum Beispiel einen Schreib zugriff durch eine physische Adressierung unabhängig von jeglicher logischen Struktur vom Dateityp erlauben). Sie erlauben die Initialisierung der Karte (Schreiben im Bereich 14 des Datenspeichers der für die Funktion der Anwendung notwendigen logischen Komponenten, das heißt Dateien, Salden, usw.);
    • – Zustand E3 „initialisierte Karte" (Referenz 84): die physischen Befehle sind nicht mehr verfügbar. Logische, die Personalisierung der Karte erlaubende Befehle (Hinzufügen neuer logischer Strukturen und Initialisierung von Daten in besagten Strukturen) sind verfügbar. Weiterhin wird ein Abdeckungsmechanismus derart aktiviert, dass die Chipkarte nicht die Kohärenz dieser Daten verliert, wenn diese während der Ausführung einer der besagten logischen Befehle außer Spannung gesetzt wird.
    • – Zustand E4 „personalisierte Karte" (Referenz 86): Die der Anwendung elektronischer Geldbeutel (Lastschrift/Gutschrift) spezifischen logischen Befehle sind aktiviert.
  • Der Satz der verfügbaren Befehle entwickelt sich in Abhängig der Lebensstufe, in der sich die Chipkarte befindet. Die im Datenspeicher gespeicherten Informationen erlauben dem Betriebssystem, den Zustand zu erkennen, in dem sich die Chipkarte befindet. 6a zeigt darüber hinaus, dass im Rahmen einer Karte vom Typ elektronischer Geldbeutel alle Übergänge von Referenzzuständen aufeinanderfolgend (vom Zustand E1 zum Zustand E4) überschritten werden müssen, und zwar unwiderruflich. Jeder andere Übergang ist verboten. Es wird nur die Möglichkeit der späteren Nutzung der Zusatzzustände 88 geboten. Dieser mögliche Übergang wird mit der Referenz 87 bezeichnet. Das Betriebssystem in Abhängigkeit des laufenden Zustandes lässt nur einen für jeden Referenzzustand spezifischen Satz Befehle zu.
  • Die bei den Prüfungen und der Überschreitung eines Übergangs auszulösenden Aktionen werden wie folgt beschrieben:
    • – Übergang des Zustandes E1 zum Zustand E2 (notiert mit T (E1 -> E2) wird mit der Referenz 81 bezeichnet):
    • – Prüfung: keine
    • – Systematische Aktion: Löschen des Datenspeichers, um zu vermeiden, dass ein Betrüger dort vom Betriebssystem der Karte auswertbare Daten hinterlässt;
    • – Übergang des Zustandes E2 zum Zustand E3 (notiert mit T (E2 -> E3) und mit der Referenz 83 bezeichnet):
    • – Prüfung:
    • – Integrität der im Datenspeicher mit den physischen Befehlen geschriebenen Daten (Bestätigung eines Redundanzcodes für alle Daten);
    • – Prüfung des unbeschriebenen Zustandes des Speichers außerhalb besagter Daten;
    • – Positive Aktion:
    • – Aktivierung des Abdeckungsmechanismus;
    • – Übergang des Zustandes E3 zum Zustand E4 (notiert mit T (E3 -> E4) und der Referenz 85 bezeichnet):
    • – Prüfung:
    • – Nullsaldo des elektronischen Geldbeutels
    • – Aktion: keine
    • – Übergang des Zustandes E4 zu einem Zusatzzustand (notiert mit T (E4 -> Eadd) und mit der Referenz 87 bezeichnet):
    • – Prüfung: keine
    • – Aktion: keine
  • Die 6b bis 6d zeigen jeweils eine erfindungsgemäße Realisierung einer Übergangstabelle 11, eine Prüftabelle 12 und eine Aktionstabelle 13. Die Übergangstabelle 11, wie sie in Verbindung mit 6b beschrieben ist, erlaubt es, nur die Übergänge 81, 83, 85 und 87 zuzulassen. Dafür enthalten nur die Kästchen 60 bis 63 besagter Tabelle einen Wert, der nicht Null ist. Die anderen Kästchen der Übergangstabelle enthalten einen Nullwert, um anzuzeigen, dass jeder andere Übergang verboten ist. Die Übergangstabelle, wie sie in 6c dargestellt wird, erlaubt die Zuordnung der Prüfungen, denen zur Zulassung der Überschreitung der Übergänge 81, 83, 85 und 87 zu genügen ist, wobei besagte Übergänge von der Übergangstabelle 11 (6b) zugelassen sind. So umfasst der Eingang 64 der Prüftabelle 12 ein die Identifizierung erlaubendes Feld 641, dass besagter Eingang dem Übergang 81 dediziert ist. Der Eingang 64 umfasst weiterhin ein eine Null-Referenz enthaltendes Feld 642, um anzuzeigen, dass keine Prüfung angefordert ist, um die Überschreitung des Übergangs 81 zuzulassen. In einer Variante verfügt der Übergang 81 über keinen zugeordneten Eingang. Diese Variante wird später im Fall der Aktionstabelle dargestellt. Die Prüftabelle 12 umfasst einen Eingang 65, der jeweils ein Feld 651 umfasst, um anzuzeigen, dass der Eingang dem Übergang 83 zugeordnet ist, und ein Feld 652, das die Referenz eines Programms 67 enthält, das im Programmspeicher eingebaut ist, damit die Prüfmaschine die zuvor beschriebenen Prüfungen durchführen kann. Ebenso umfasst die Prüftabelle 12 einen Eingang 66, der jeweils ein Feld 661 zur Anzeige umfasst, dass der Eingang dem Übergang 83 zugeordnet ist, und ein Feld 662, das die Referenz eines Programms 68 enthält, das im Programmspeicher eingebaut ist, damit die Prüfmaschine die zuvor beschriebenen Prüfungen durchführen kann.
  • 6d stellt eine Realisierung der Aktionstabelle 13 dar. Besagte Tabelle umfasst einen Eingang 71, der ein Feld 711 umfasst, das die Anzeige erlaubt, dass besagter Eingang dem Übergang 81 zugeordnet ist. Derselbe Eingang 71 umfasst ein Feld 712, das die Referenz eines Programms 75 enthält, das im Programmspeicher eingebaut ist, damit die Prüfmaschine die dem Übergang 81 zugeordneten systematischen Aktionen durchführen kann. Der Eingang 71 umfasst darüber hinaus ein Feld 713 und ein Feld 714, das eine Null-Referenz umfasst, um dem Prüfmotor anzuzeigen, dass der Überschreitung des Übergangs 81 keine positive oder negative Aktion zugeordnet ist. Auf dieselbe Weise umfasst die Aktionstabelle 13 einen zweiten, die Felder 721 bis 724 beinhaltenden Eingang 72, um der Prüfmaschine anzuzeigen, dass besagter Eingang dem Übergang 83 zugeordnet ist, dass das Programm 74 als positive Aktion bei der Über schreitung besagten Übergangs auszuführen ist und dass keine systematische oder negative Aktion auszuführen ist. Das Fehlen des Eingangs in der dem Übergang 85 zugeordneten Aktionstabelle 13 zeigt an, dass keine (systematische, positive oder negative) Aktion bei der Überschreitung oder der Verweigerung der Überschreitung besagten Übergangs auszuführen ist.
  • Dank der oben beschriebenen Vorrichtung und des Verfahren wird der Lebenszyklus eines tragbaren elektronischen Gegenstandes beherrscht. Jeder Übergang von einem Zustand zum anderen ist unwiderruflich und die bei jeder Übergangsanforderung durchgeführten Prüfungen garantieren eine kohärente Speicherkonfiguration des Gegenstandes. Außerdem erlauben die systematischen, positiven oder negativen Aktionen die Anpassung des Verhaltens besagten Gegenstandes. Und schließlich kann der Lebenszyklus des Gegenstandes, in dem Fall, in dem die Zulassung eines oder mehrerer Übergänge von einem oder mehreren Referenzzuständen zu einem Zusatzzustand vorgesehen ist, leicht angereichert werden, zum Beispiel nachdem der Gegenstand auf den Markt gebracht worden ist, ohne dass der vordefinierte Lebenszyklus (der durch eine Aufeinanderfolge von Übergängen von einem Referenzzustand zu einem anderen Referenzzustand gebildet wird) abgeändert werden kann.
  • Jegliches Betrugsrisiko während der Initialisierung eines tragbaren elektronischen Gegenstandes oder jeglicher unglückliche Irrtum während besagter Initialisierung wird unter gleichzeitiger Beibehaltung einer hohen Anpassungsfähigkeit der Kontrolle des Lebenszyklus des Gegenstandes ausgeschaltet.

Claims (34)

  1. Kontrollvorrichtung des Lebenszyklus eines tragbaren elektronischen Objekts, wobei der Lebenszyklus durch eine Folge von Übergängen von einem Zustand zum anderen bestimmt wird, wobei die besagten Zustände die vom Objekt angebotenen Dienste bestimmen, wobei das besagte Objekt eine Verarbeitungseinheit (2), einen flüchtigen Speicher (3), Programmspeicher (4) und Datenspeicher (5) umfasst, wobei jeder dieser Speicher (3, 4, 5) einen eine Vielzahl von Konfigurationen definierenden Inhalt aufweist, dadurch gekennzeichnet, dass die Vorrichtung Kontrollmittel des Übergangs von einem ersten Zustand in einen zweiten Zustand des tragbaren elektronischen Objekts umfasst, die Zulassungs- und/oder Untersagungsmittel von Zustandsübergängen nutzen, die einen Zustandsübergang durch Nutzung einer Zustandsübergangstabelle (11) zulassen und/oder untersagen, so dass nur bestimmte Übergänge von allen möglichen Übergängen erlaubt sind.
  2. Vorrichtung gemäß Anspruch 1, dadurch gekennzeichnet, dass die Kontrollmittel je nach erlaubtem Zustandsübergang Prüfmittel des Inhalts des flüchtigen Speichers (3), der Datenspeicher (5) und der Programmspeicher (4) des tragbaren elektronischen Objekts umfassen.
  3. Vorrichtung gemäß Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Kontrollmittel umfassen: – außer der Tabelle (11) der erlaubten Zustandsübergänge, – eine Tabelle (12) der für jeden erlaubten Zustandsübergang durchzuführenden Prüfungen, – einen die besagten Tabellen nutzenden Prüfmotor (9).
  4. Vorrichtung gemäß einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, dass die Kontrollmittel des Übergangs von einem ersten Zustand in einen zweiten Zustand des tragbaren elektronischen Objekts umfassen: – eine Erweiterung (16) der Tabelle (11) der erlaubten Zustandsübergänge.
  5. Vorrichtung gemäß Anspruch 3, dadurch gekennzeichnet, dass die Kontrollmittel des Übergangs von einem ersten Zustand in einen zweiten Zustand des tragbaren elektronischen Objekts umfassen: – eine Erweiterung (16) der Tabelle (11) der erlaubten Zustandsübergänge; – eine Erweiterung (17) der Tabelle (12) der für jeden erlaubten Zustandsübergang durchzuführenden Prüfungen; und dass der Prüfmotor (9) die besagten Tabellenerweiterungen (16, 17) nutzt.
  6. Vorrichtung gemäß einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Kontrollmittel Mittel umfassen, die bei der Verarbeitung eines Übergangsfreigabewunsches von einem ersten Zustand in einen zweiten Zustand des tragbaren elektronischen Objekts das Auslösen von Aktionen ermöglichen.
  7. Vorrichtung gemäß Anspruch 6, wenn dieser von den Ansprüchen 4 oder 5 abhängig ist, dadurch gekennzeichnet, dass die Mittel, die bei der Verarbeitung eines Übergangsfreigabewunsches von einem ersten Zustand in einen zweiten Zustand des tragbaren elektronischen Objekts das Auslösen von Aktionen ermöglichen, eine Tabelle (13) mit von dem Prüfmotor (9) nutzbaren Aktionen umfassen.
  8. Vorrichtung gemäß Anspruch 7, dadurch gekennzeichnet, dass die Mittel, die bei der Verarbeitung eines Übergangsfreigabewunsches von einem ersten Zustand in einen zweiten Zustand des tragbaren elektronischen Objekts das Auslösen von Aktionen ermöglichen, eine Erweiterung (18) der Tabelle (13) der von dem Prüfmotor (9) nutzbaren Aktionen umfassen.
  9. Tragbares elektronisches Objekt mit einer Verarbeitungseinheit (2), einem flüchtigen Speicher (3), Programmspeichern (4) und Datenspeichern (5), dadurch gekennzeichnet, dass es die Kontrollvorrichtung des Lebenszyklus des Objekts gemäß einem der Ansprüche 1 bis 8 umfasst.
  10. Chipkarte mit einer Verarbeitungseinheit (2), einem flüchtigen Speicher (3), Programmspeichern (4) und Datenspeichern (5), dadurch gekennzeichnet, dass sie die Kontrollvorrichtung des Lebenszyklus der Karte gemäß einem der Ansprüche 1 bis 8 umfasst.
  11. Kontrollverfahren des Lebenszyklus eines tragbaren elektronischen Objekts, wobei der Lebenszyklus durch eine Folge von Übergängen von einem Zustand zum anderen bestimmt wird, wobei die besagten Zustände die vom Objekt angebotenen Dienste bestimmen, wobei das besagte Objekt eine Verarbeitungseinheit (2), einen flüchtigen Speicher (3), Programmspeicher (4) und Datenspeicher (5) umfasst, wobei jeder dieser Speicher (3, 4, 5) einen eine Vielzahl von Konfigurationen definierenden Inhalt aufweist, wobei das besagte Verfahren innerhalb des Objekts nach einem Zustandsübergangswunsch umgesetzt wird, dadurch gekennzeichnet, dass es die folgenden Schritte umfasst: – einen Bestätigungsschritt (51, 511, 528, 521) der Zulassung des besagten Wunsches durch Nutzung der Zulassungs- und/oder Untersagungsmittel der Zustandsübergänge, so dass nur bestimmte Übergänge von allen möglichen Übergängen erlaubt sind, wobei der besagte Schritt darin besteht, eine Tabelle (11) der erlaubten Übergänge zu analysieren; – einen Änderungsschritt (56, 516, 526) des aktuellen Zustands des Objekts, wenn der gewünschte Übergang erlaubt ist (51, 511, 528, 521).
  12. Verfahren gemäß Anspruch 11, dadurch gekennzeichnet, dass es einen Ausführungsschritt (53, 513, 523) systematischer Aktionen umfasst, die in Zusammenhang mit dem gewünschten Übergang stehen.
  13. Verfahren gemäß einem der Ansprüche 11 oder 12, dadurch gekennzeichnet, dass es umfasst: – einen Beurteilungsschritt (52, 512, 522) der Prüfungen der Konfiguration des Objekts, die mit einem erlaubten Übergang in Zusammenhang stehen, – und dass der Änderungsschritt (56, 516, 526) des aktuellen Zustands des Objekts erfolgt, wenn die besagten Prüfungen der Konfiguration des Objekts zufrieden stellend sind (54, 514, 524).
  14. Verfahren gemäß Anspruch 13, dadurch gekennzeichnet, dass es einen Ausführungsschritt (57, 517, 527) von positiven Aktionen umfasst, der durchgeführt wird, wenn der gewünschte Übergang erlaubt ist (51, 511, 528, 521) und wenn die mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen zufrieden stellend sind (54, 514, 524).
  15. Verfahren gemäß einem der Ansprüche 13 oder 14, dadurch gekennzeichnet, dass es einen Ausführungsschritt (55, 515, 525) von negativen Aktionen umfasst, wenn die mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen nicht zufrieden stellend sind (54, 514, 524).
  16. Verfahren gemäß einem der Ansprüche 11 bis 12, dadurch gekennzeichnet, dass es einen Ausführungs schritt (57, 517, 527) von positiven Aktionen umfasst, der durchgeführt wird, wenn der gewünschte Übergang erlaubt ist (51, 511, 528, 521).
  17. Verfahren gemäß Anspruch 12, dadurch gekennzeichnet, dass der Ausführungsschritt (53) systematischer Aktionen darin besteht: – einen Eingang (400, 401) einer dem gewünschten Übergang entsprechenden Aktionstabelle (13) zu nutzen, und – ein durch den besagten Eingang definiertes Aktionsprogramm (404) auszuführen.
  18. Verfahren gemäß einem der Ansprüche 13 bis 15, dadurch gekennzeichnet, dass der Beurteilungsschritt (52) der mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen darin besteht: – einen Eingang (30) einer Tabelle (12) der Prüfungen zu nutzen, und – eine von dem besagten Eingang definiertes Prüfprogramm (32) auszuführen.
  19. Verfahren gemäß Anspruch 14, dadurch gekennzeichnet, dass wenn der gewünschte Übergang erlaubt ist (51) und die mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen zufrieden stellend sind (54), der Ausführungsschritt (56) positiver Aktionen darin besteht: – einen Eingang (400, 402) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (405) auszuführen.
  20. Verfahren gemäß Anspruch 15, dadurch gekennzeichnet, dass der Ausführungsschritt (55) negativer Aktionen, wenn die mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen nicht zufrieden stellend sind (54), darin besteht: – einen Eingang (400, 403) der Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (406) auszuführen.
  21. Verfahren gemäß Anspruch 15, dadurch gekennzeichnet, dass der Ausführungsschritt (56) positiver Aktionen, wenn der gewünschte Übergang erlaubt ist, darin besteht: – einen Eingang (400, 402) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (405) auszuführen.
  22. Verfahren gemäß einem der Ansprüche 11 bis 16, das im Objekt umgesetzt wird nach einem Übergangswunsch von einem ersten zusätzlichen Zustand in einen zweiten zusätzlichen Zustand, dadurch gekennzeichnet, dass der Bestätigungsschritt (511) der Zulassung des besagten Wunsches darin besteht, eine Erweiterung (16) der Tabelle (11) der erlaubten Übergänge zu analysieren.
  23. Verfahren gemäß Anspruch 22, wenn dieser von dem Anspruch 12 abhängig ist, dadurch gekennzeichnet, dass der Ausführungsschritt (513) systematischer Aktionen darin besteht: – einen Eingang (407, 408) einer Erweiterung (18) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (411) auszuführen.
  24. Verfahren gemäß einem der Ansprüche 22 oder 23, wenn der Anspruch 22 von den Ansprüchen 12 bis 15 abhängt, dadurch gekennzeichnet, dass der Beurteilungsschritt (512) der mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen darin besteht: – einen Eingang (33) einer Erweiterung (17) einer Prüfungstabelle (12) zu nutzen, und – ein von dem besagten Eingang definiertes Prüfprogramm (35) auszuführen.
  25. Verfahren gemäß einem der Ansprüche 22 bis 24, wenn der Anspruch 22 von dem Anspruch 14 abhängt, dadurch gekennzeichnet, dass der Ausführungsschritt (516) positiver Aktionen, wenn der gewünschte Übergang erlaubt ist (511) und die mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen erfüllt sind (514), darin besteht: – einen Eingang (407, 409) einer Erweiterung (18) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (412) auszuführen.
  26. Verfahren gemäß einem der Ansprüche 22 bis 25, wenn der Anspruch 22 von dem Anspruch 15 abhängt, dadurch gekennzeichnet, das der Ausführungsschritt (515) negativer Aktionen, wenn die mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen nicht erfüllt sind (514), darin besteht: – einen Eingang (407, 410) einer Erweiterung (18) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (413) auszuführen.
  27. Verfahren gemäß einem der Anspruche 22 bis 23, wenn der Anspruch 22 von dem Anspruch 16 abhängt, dadurch gekennzeichnet, dass der Ausführungsschritt (516) positiver Aktionen, wenn der Übergangswunsch erlaubt ist (511), darin besteht: – einen Eingang (407, 409) einer Erweiterung (18) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (412) auszuführen.
  28. Verfahren gemäß einem der Ansprüche 11 bis 16, das im Objekt umgesetzt wird nach einem Übergangswunsch von einem Referenzzustand in einen zusätzlichen Zustand, dadurch gekennzeichnet, dass der Bestätigungsschritt (528, 521) der Zulassung des besagten Wunsches darin besteht, – die Zulassung eines Übergangs von dem besagten Referenzzustand in einen zusätzlichen Zustand durch Analyse der Tabelle (11) der erlaubten Übergänge zu bestätigen (528), – die Zulassung eines Übergangs von dem besagten Referenzzustand in den besagten zusätzlichen Zustand durch Analyse einer Erweiterung (16) der Tabelle (11) der erlaubten Übergänge zu bestätigen (521).
  29. Verfahren gemäß Anspruch 28, wenn dieser von dem Anspruch 12 abhängig ist, dadurch gekennzeichnet, dass der Ausführungsschritt (513) systematischer Aktionen darin besteht: – einen Eingang (407, 408) einer Erweiterung (18) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (411) auszuführen.
  30. Verfahren gemäß einem der Ansprüche 28 oder 29, wenn der Anspruch 28 von den Ansprüchen 13 bis 15 abhängt, dadurch gekennzeichnet, dass der Beurteilungsschritt (522) der mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen darin besteht: – einen Eingang (33) einer Erweiterung (17) einer Prüfungstabelle (12) zu nutzen, und – ein von dem besagten Eingang definiertes Prüfprogramm (35) auszuführen.
  31. Verfahren gemäß einem der Ansprüche 28 bis 30, wenn der Anspruch 28 von dem Anspruch 14 abhängt, dadurch gekennzeichnet, dass der Ausführungsschritt (526) positiver Aktionen, wenn der gewünschte Übergang erlaubt ist (528, 521) und die mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen erfüllt sind (524), darin besteht: – einen Eingang (407, 409) einer Erweiterung (18) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (412) auszuführen.
  32. Verfahren gemäß einem der Ansprüche 28 bis 30, wenn der Anspruch 28 von dem Anspruch 15 abhängt, dadurch gekennzeichnet, dass der Ausführungsschritt (525) negativer Aktionen, wenn die mit dem gewünschten Übergang in Zusammenhang stehenden Prüfungen nicht erfüllt sind (524), darin besteht: – einen Eingang (407, 410) einer Erweiterung (18) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (413) auszuführen.
  33. Verfahren gemäß einem der Anspruche 28 bis 29, wenn der Anspruch 28 von dem Anspruch 16 abhängt, dadurch gekennzeichnet, dass der Ausführungsschritt (526) positiver Aktionen, wenn der Übergangswunsch erlaubt ist (528, 521), darin besteht: – einen Eingang (407, 409) einer Erweiterung (18) einer Aktionstabelle (13) zu nutzen, der dem gewünschten Übergang entspricht, und – ein von dem besagten Eingang definiertes Aktionsprogramm (412) auszuführen.
  34. Verfahren gemäß einem der Ansprüche 11 bis 33, dadurch gekennzeichnet, dass das besagte Verfahren keine Freigabe eines Zustandsübergangs von einem zusätzlichen Zustand in einen Referenzzustand erlaubt.
DE69901318T 1998-11-13 1999-11-03 Verfahren und gerät zur überprüfung des betriebszyklus eines tragbaren gegenstandes, insbesondere einer chipkarte Expired - Lifetime DE69901318T3 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9814517 1998-11-13
FR9814517A FR2786008B1 (fr) 1998-11-13 1998-11-13 Procede et dispositif de controle du cycle de vie d'un objet portatif, notamment d'une carte a puce
PCT/FR1999/002678 WO2000030030A1 (fr) 1998-11-13 1999-11-03 Procede et dispositif de controle du cycle de vie d'un objet portatif, notamment d'une carte a puce

Publications (3)

Publication Number Publication Date
DE69901318D1 DE69901318D1 (de) 2002-05-23
DE69901318T2 DE69901318T2 (de) 2002-11-21
DE69901318T3 true DE69901318T3 (de) 2006-03-09

Family

ID=9532895

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69901318T Expired - Lifetime DE69901318T3 (de) 1998-11-13 1999-11-03 Verfahren und gerät zur überprüfung des betriebszyklus eines tragbaren gegenstandes, insbesondere einer chipkarte

Country Status (8)

Country Link
US (1) US7681029B1 (de)
EP (1) EP1129430B2 (de)
CN (1) CN1169089C (de)
AU (1) AU1050500A (de)
DE (1) DE69901318T3 (de)
ES (1) ES2176035T5 (de)
FR (1) FR2786008B1 (de)
WO (1) WO2000030030A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10133996B2 (en) * 2014-04-22 2018-11-20 International Business Machines Corporation Object lifecycle analysis tool

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2673476B1 (fr) * 1991-01-18 1996-04-12 Gemplus Card Int Procede securise de chargement de plusieurs applications dans une carte a memoire a microprocesseur.
US5301100A (en) * 1991-04-29 1994-04-05 Wagner Ferdinand H Method of and apparatus for constructing a control system and control system created thereby
DE69320900T3 (de) * 1992-08-13 2007-04-26 Matsushita Electric Industrial Co., Ltd., Kadoma IC-Karte mit hierarchischer Dateienstruktur
US5923884A (en) * 1996-08-30 1999-07-13 Gemplus S.C.A. System and method for loading applications onto a smart card
EP0938701B1 (de) * 1996-11-14 2003-11-05 Alcatel USA Sourcing, L.P. Generische software-zustandsmaschine und verfahren zur konstruktion von dynamischen objekten für ein anwendungsprogramm
US6233683B1 (en) * 1997-03-24 2001-05-15 Visa International Service Association System and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card

Also Published As

Publication number Publication date
ES2176035T5 (es) 2006-02-16
EP1129430A1 (de) 2001-09-05
ES2176035T3 (es) 2002-11-16
FR2786008A1 (fr) 2000-05-19
CN1169089C (zh) 2004-09-29
EP1129430B1 (de) 2002-04-17
EP1129430B2 (de) 2005-07-13
FR2786008B1 (fr) 2001-04-27
WO2000030030A1 (fr) 2000-05-25
US7681029B1 (en) 2010-03-16
CN1333900A (zh) 2002-01-30
DE69901318D1 (de) 2002-05-23
AU1050500A (en) 2000-06-05
DE69901318T2 (de) 2002-11-21

Similar Documents

Publication Publication Date Title
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE2837201C2 (de)
DE69813208T2 (de) Chipkarte mit datenumsetzer
DE69925810T2 (de) Verfahren und vorrichtung für eine reisebezogene multifunktionelle chipkarte
DE2760485C2 (de)
DE69320900T3 (de) IC-Karte mit hierarchischer Dateienstruktur
DE3700663C2 (de)
EP0268106B1 (de) System zur bargeldlosen Durchführung von Transaktionen
EP1065598A1 (de) Verfahren zum Zugriff auf einen Speicher und Speichereinrichtung hierfür
DE69932412T2 (de) Chipkartenkonfiguration
DE60008092T2 (de) Verfahren zur befehlverwaltung in mehreren anwendungsdatenbeständen und chipkarte zur durchführung des verfahrens
WO2003060721A2 (de) Verfahren und anordnung zum beschreiben von nv-memories in einer controller-architektur sowie ein entsprechendes computerprogrammprodukt und ein entsprechendes computerlesbares speichermedium
WO1998008199A1 (de) Chipkarte mit personalisierungsspeicher und verfahren zum ein- und ausgeben von daten
DE10324337B4 (de) Rechnersystem und zugehöriges Verfahren zum Durchführen eines Sicherheitsprogramms
CH656243A5 (de) Verfahren zur verarbeitung einer persoenlichen identifikationsnummer im zusammenhang mit einer ausweiskarte.
DE69901318T3 (de) Verfahren und gerät zur überprüfung des betriebszyklus eines tragbaren gegenstandes, insbesondere einer chipkarte
DE10048939B4 (de) Bedingte Unterdrückung der Überprüfung eines Karteninhabers
DE19811646C2 (de) Multifunktions-Chipkarte
WO2006087192A1 (de) Verfahren zur personalisierung eines tragbaren datenträgers
DE19709975C2 (de) Mikrocomputer
EP0696021A2 (de) Verfahren zur Bestimmung des aktuellen Geldbetrags in einem Datenträger und System zur Durchführung des Verfahrens
EP1634252B1 (de) Verfahren zum laden von tragbaren datenträgern mit daten
DE4441413C2 (de) Datenaustauschsystem
DE2858819C2 (de) Tragbarer Informationsträger für die Speicherung und Verarbeitung von Informationen
DE19719275A1 (de) System mit einem tragbaren Terminal und damit verbindbaren Datenträgern

Legal Events

Date Code Title Description
8363 Opposition against the patent
8366 Restricted maintained after opposition proceedings
R082 Change of representative

Ref document number: 1129430

Country of ref document: EP

Representative=s name: HOFFMANN - EITLE, DE