DK163694B - Apparat, som kommunikerer med dataanlaeg, og en fremgangsmaade til kommunikation med dataanlaeg - Google Patents

Description

Den foreliggende opfindelse angår et apparat, som kommuni kerer med dataanlæg og en fremgangsmåde til kommunikation med dataanlæg.

i

DK 163694 B

Der er blevet udviklet flere apparater, anlæg, systemer, 5 etc. til identifikation af en person, som er i besiddelse af et kort, i det følgende benævnt en kortholder, eller til verifikation af kortholderens autenticitet i forhold til et dataanlæg eller et datasystem på basis af data læst fra eller hidrørende fra data læst fra kortholderens kort ved 10 hjælp af en kortlæseterminal og på basis af en kode indlæst af kortholderen og alene kendt af den legale kortholder.

Blandt disse kendte anlæg eller systemer foretager nogle autenticitetverifikationen on-line eller med direkte datatransmission, medens andre foretager autenticitetsverifika-15 tionen off-line eller ved indirekte datatransmission. I et on-line anlæg eller -system er det almindeligt at kryptere data læst fra eller hidrørende fra data læst fra kortet samt koden indlæst af kortholderen og at transmittere de krypterede data og den krypterede kode til en fjerntliggen-20 de central behandlingsenhed. I den centrale behandlipgs-enhed sammenlignes de krypterede data og den krypterede kode i krypteret eller i af- eller dekrypteret tilstand til bestemmelse af, om kortholderen, dvs. den person, som er i besiddelse af det aktuelle kort, positivt identificeres som 25 den legale kortholder. I et off-line anlæg eller -system sammenlignes dataene og koden med hinanden i kortlæsetermi-nalen i krypteret eller i ikke- krypteret tilstand til udførelse af den sikre eller positive identifikation af kortholderen i forhold til kortet. Efter en positiv identi-30 fikation af kortholderen kan systemet eller anlægget give tilladelse til en overførsel af et pengebeløb til eller fra en konto, som identificeres af kortet og af kortholderen, tillade adgang for kortholderen til et omhyggeligt aflåst område eller zone eller afgive varer, artikler, etc. til 35 kortholderen i en forudbestemt mængde, dvs. bestemt af kortets data eller i stedet i en mængde bestemt af korthol-

DK 163694 B

2 deren ved indlæsning af et tal svarende til den aktuelle mængde.

Kortet kan være et optisk læsbart kort, dvs. et kort med transparente og intransparente områder, såsom kort med 5 transparente vinduer? det kan være et mekanisk læsbart kort med mekaniske dataidentificerende organer, fx udstansede områder; det kan være et magnetkort med magnetiske zoner eller magnetbånd, i hvilke der er registreret data, eller det kan være et aktivt eller elektronisk kort med integre-10 rede elektroniske lagerorganer, der forbindes til læseter-minalen via elektroniske tilslutningsorganer. Kortet kan desuden være et kombineret optisk, mekanisk eller magnetisk læsbart og elektronisk kort. Det er imidlertid blevet almindeligt at benytte kort med magnetbånd anbragt på 15 kortet sammen med et navn eller et symbol, som identificerer kortsystemet eller dataanlægget eller -systemet, såsom kort, der svarer til fx ISO-standard 2894 (International Organization of Standardization), også kendt som ISO-kort.

20 Da stadig flere funktioner automatiseres, og da der udstedes stadigt flere kortsystemer, er der behov for et apparat, der gør det muligt at identificere forskellige kort- eller dataanlæg eller -systemer og at tilvejebringe kommunikation til de korrekte dataanlæg. Dette behov har i 25 første række et bekvemmelighedsaspekt, da en person kan købe varer ved hjælp af flere forskellige maskinlæsbare kort såsom et kort, sædvanligvis et kreditkort, der er udstedt af en forening eller et firma, et kreditkort udstedt af en kreditkortorganisation, såsom et Diners Club-30 kort, et Eurocard, etc. eller et kort, såsom et debetkort, fx et kort udstedt af en bank, såsom "Dankort-system". Ud over bekvemmelighedsaspektet ved tilvejebringelse af et enkelt apparat til læsning af kort udstedt af forskellige kortudstedende organisationer er der imidlertid et meget 35 vigtigt sikkerhedsaspekt.

DK 163694B

3

De forskellige organisationer eller dataanlæg eller -systemer har fundamentalt forskellige datahemmeligholdelses-og datasikkerhedsniveauer. Som nævnt ovenfor foretager visse datasystemer eller dataanlæg verifikationen af auten-5 ticiteten af kortholderen eller personen, som er i besiddelse af kortet, on-line, medens andre foretager verifikationen off-line, medens verifikationen i visse dataanlæg eller -systemer foretages semi-on-line, idet dataene læses fra kortet og udlæses til en verifikationsblok sammen med 10 den hemmelige kode, som indlæses af kortholderen. Denne verifikationsblok er sædvanligvis indeholdt i en såkaldt "back office computer". Da transmissionen fra kortlæseter-minalen til denne "back office computer" eller verifikationsblokken meget let kan tappes, kan et sammenhørende sæt 15 af data og kode, som henholdsvis læses fra kortet og indlæses af kortholderen, tappes. Den person, som tapper transmissionen, kan følgelig tilvejebringe en falsk kopi af kortet og benytte denne falske kopi som et legalt kort, da den hemmelige kode er afsløret for vedkommende. Da visse 20 kort- og dataanlæg indebærer høj hemmeligholdelse og høj sikkerhed, er der derfor en risiko for, at et højhemme-ligholdelses- og et højsikkerhedskort utilsigtet kan blive præsenteret for en lavhemmeligholdelses- og en lavsikkerhedsterminal af den legale kortholder, som også indlæser 25 den hemmelige kode til denne lavhemmeligholdelses- og lavsikkerhedsterminal, som afslører informationen, dvs. kortets data og den hemmelige kode.

Ud over den ovenfor beskrevne risiko for utilsigtet præsentation af kortdataene og den hemmelige kode, som alene 30 kendes af den legale kortholder, kan en falsk eller attrapterminal, som frembringes af en person, der ønsker at tappe samhørende sæt af data og kode ved hjælp af denne attrapterminal, og som har identifikationer svarende til et højhemmeligholdelses- og et højsikkerhedsdataanlæg eller 35 -system, også afsløre kortets data og den hemmelige kode, specielt i tilfælde, hvor flere kortlæseterminaler til

DK 163694 B

4 forskellige organisationer er anbragt ved siden af hinanden.

Det menes, at tilvejebringelsen af et enkelt apparat, der kommunikerer med de forskellige dataanlaeg eller -systemer, 5 er af den største betydning for opnåelse af et højt hemme-ligholdelses- og et højt sikkerhedsniveau, da muligheden for at snyde kortholderen minimeres, når muligheden for tilvejebringelse af en troværdig kopi eller attrapterminal reduceres.

10 Et simpelt apparat, som kommunikerer med forskellige da-taanlæg eller- systemer til læsning af data fra et databærende kort og til transmission af dataene og den af kortholderen indlæste kode til forskellige dataanlæg eller -systemer, kan imidlertid i sig selv give transparens til 15 højhemmeligholdelses- og højsikkerhedsdataanlæget eller -systemet fra lavhemmeligholdelses- og lavsikkerhedsdataan-lægget eller -systemet, da apparatet på simpel måde fejlagtigt kan styres til en driftstilstand, i hvilken de fra højhemmeligholdelses- og højsikkerhedskortet læste data 20 sammen med den tilhørende kode udlæses til et lavsikkerheds- og lavhemmeligholdelsesdataanlæg.

Der er derfor et behov for et apparat, der kommunikerer med mere end ét dataanlæg eller -system, til opnåelse af de ovenfor beskrevne sikkerhedsfordele, som opnås med et 25 kombineret apparat, men som eliminerer risikoen for tilvejebringelse af transparens til et højsikkerheds- og højhemmeligholdelsesdataanlæg fra et lavhjemmeligholdelses-og lavsikkerhedsdataanlæg.

Dette behov opfyldes med et apparat ifølge opfindelsen, 30 hvilket apparat er af den art, der kommunikerer med mindst to forskellige dataanlæg eller datasystemer og er indrettet til at modtage data hidrørende fra data læst fra et databærende kort, til at modtage et kortidentificerende signal, som positivt identificerer kortet som et kort hørende til

DK 163694 B

5 et første dataanlæg eller datasystem eller i stedet som et kort hørende til et andet dataanlæg eller datasystem og at transmittere dataene hidrørende fra de fra kortet læste data til et første af dataanlæggene eller datasystemerne 5 eller i stedet til at verificere autenticiteten af en person, som er i besiddelse af kortet, i forhold til et andet af dataanlæggene eller datasystemerne, og hvilket apparat omfatter: et dataindlæseorgan til at modtage dataene hidrørende fra 10 de fra kortet læste data og til at modtage det kortidentificerende signal, et indlæseorgan til at indlæse en personautenticitetskode, idet apparatet er ejendommeligt ved, at det omfatter et første lagerorgan til at lagre en første krypteringsal-15 goritme og en transmissionsprotokol, et andet lagerorgan til at lagre en verifikationsalgoritme, et krypteringsorgan, der styres af dataindlæseorganet og af det første lagerorgan, til at kryptere dataene og koden, så at de data, som hidrører fra de fra kortet læste data, og 20 koden krypteres ved benyttelse af den første krypteringsalgoritme, som er lagret i det første lagerorgan, forudsat kortet er identificeret som et kort hørende til det første dataanlæg eller det første datasystem, og udlæses til det første dataanlæg eller datasystem styret af den i det 25 første lagerorgan lagrede transmissionsprotokol, og et komparatororgan, der styres af dataindlæseorganet og det andet lagerorgan, til at sammenligne de data, som hidrører fra de fra kortet læste data, og koden, så at der, forudsat kortet er identificeret som et kort hørende til det andet 30 dataanlæg eller det andet datasystem, overføres en autenticitetskode til det andet dataanlæg eller det andet datasystem i det tilfælde, at de data, som hidrører fra de fra

DK 163694 B

6 kortet læste data, er verificeret i forhold til koden ved benyttelse af den i det andet lagerorgan lagrede verifikationsalgoritme eller i stedet overføres en ikke-autentici-tetskode til det andet dataanlæg eller datasystem i det 5 tilfælde, at de data, som hidrører fra de fra kortet læste data ikke er verificeret i forhold til koden ved benyttelse af den i det andet lagerorgan lagrede verifikationsalgoritme.

I SE B 426.886 beskrives et anlæg til debitering og styring 10 af penge- og varetransaktioner. Anlægget omfatter flere terminaler, og hver terminal kan aktiveres af forskellige kontokort. Hver terminal kan kommunikere med et antal forskellige centrale kontoførende dataanlæg eller -systemer. Når en terminal aktiveres kalder den, under vejledning 15 af de data den aflæser på kontokortet, det korrekte dataførende dataanlæg- eller system, der herefter kontrollerer kontoens status og derefter sender returinformation tilbage til terminalen, som derpå på basis af informationerne styrer det videre forløb.

20 SE B 426.886 beskriver ikke det problem, at dataanlæggene kan have forskellige hemmeligheds- og sikkerhedsniveauer.

Den foreliggende opfindelse tilvejebringer netop en løsning på det ovennævnte problem, idet opfindelsens ide eliminerer risikoen for tilvejebringelse af transparens til det første 25 dataanlæg eller det første datasystem eller højhemmeligheds- og højsikkerhedsdataanlægget eller -systemet fra det andet dataanlæg eller datasystem eller fra lavhemmeligheds-og lavsikkerhedsdataanlægget eller -systemet, da personautenticitet skoden på den ene side, i forhold til det første 30 dataanlæg eller det første datasystem, dvs. højhemmelig-heds- og højsikkerhedsdataanlægget eller -systemet, udlæses til det første dataanlæg eller det første datasystem udelukkende i en krypteret tilstand, som i sig selv garanterer det høje sikkerheds- og høje hemmelighedsniveau, og da 35 personautenticitetskoden på den anden side i forhold til

DK 163694 B

7 det andet dataanlæg eller datasystem, dvs. lavhemmeligheds-og lavsikkerhedsdataanlægget eller -systemet, udelukkende sammenlignes med de data, som hidrører fra de fra kortet læste data, i komparatororganet, samtidig med at den ved 5 hjælp af indlæseorganet indlæste kode under ingen omstændigheder udlæses til det andet dataanlæg eller datasystem, da der til dette udelukkende udlæses authenticitetskoden eller ikke-autenticitetskoden. Et sammenhørende sæt af data hidrørende fra de fra kortet læste data og kode udlæses 10 desuden under ingen omstændigheder til det andet dataanlæg eller datasystem.

I denne sammenhæng betyder udtrykket "data hidrørende fra de fra kortet læste data" selve de data, som læses fra kortet, eller en vilkårlig "offset" eller bearbejdet ver-15 sion af de fra kortet læste data. De data, som modtages af dataindlæseorganet i apparatet ifølge opfindelsen kan således udgøre selve de fra kortet læste data eller en vilkårlig "offset" eller bearbejdet version af de fra kortet læste data.

20 I overensstemmelse med en første udførelsesform for opfindelsen kan apparatet have et yderligere krypteringsorgan, idet der er lagret en anden krypteringsalgoritme i det andet lagerorgan, hvilket krypteringsorgan styres af dataindlæseorganet og af det andet lagerorgan på en sådan 25 måde, at forudsat kortet er identificeret som et kort hørende til det andet dataanlæg eller det andet datasystem, krypteres de data, som hidrører fra de fra kortet læste data, og koden i det yderligere krypteringsorgan ved benyttelse af den anden i det andet lagerorgan lagret kryp-30 teringsalgoritme før sammenligningen af dataene og koden i komparatororganet.

Når der benyttes et individuelt krypteringsorgan til kryptering af de data, som hidrører fra de fra kortet læste data, og koden i forhold til det første dataanlæg eller det 35 første datasystem, og når dataene og koden yderligere

DK 163694 B

8 krypteres ved benyttelse af en tilhørende krypteringsalgoritme før verifikationen i forhold til det andet dataanlæg eller det andet datasystem, forøges intransparensen yderligere, da muligheden for at bryde krypteringskoden til 5 det første dataanlæg eller det første datasystem baseret på kendskab til krypterings- og verifikationsproceduren, som benyttes ved verifikation af autenticiteten af den person, som er i besiddelse af korten, i forhold til det andet dataanlæg eller det andet datasystem, elimineres.

10 I overensstemmelse med den foreliggende opfindelses lære kan apparatet yderligere være indrettet til at kommunikere med tre eller flere dataanlæg eller datasystemer uden, at der tilvejebringes transparens til højsikkerheds- og høj-hemmeligholdelsesdataanlægget eller -systemet fra lavhemme-15 ligholdelses- og lavsikkerhedsdataanlæggene eller -systemerne. I denne udførelsesform for opfindelsen kan apparatet yderligere have et tredje lagerorgan til lagring af en yderligere verifikationsalgoritme, idet kortidentifika-tionssignalet yderligere sikkert identificerer kortet som 20 et kort hørende til det ene af de nævnte tre eller flere dataanlæg eller datasystemer, og idet komparatororganet yderligere styres af dataindlæseorganet og det tredje lagerorgan for at sammenligne de data, som hidrører fra de fra kortet læste data og koden, så at der, forudsat kortet 25 er identificeret som et kort hørende til det tredje dataanlæg eller datasystem, tilføres en autenticitetskode til det tredje dataanlæg eller datasystem i det tilfælde, at de data, som hidrører fra de fra kortet læste data, er verificeret i forhold til koden ved benyttelse af den i det 30 tredje lagerorgan lagrede verifikationsalgoritme, eller i stedet en ikke-autenticitetskode til det tredje dataanlæg eller datasystem i det tilfælde, at de data, som hidrører fra de fra kortet læste data, ikke er verificeret i forhold til koden ved benyttelse af den i det tredje lagerorgan 35 lagrede verifikationsalgoritme.

DK 163694 B

9 I denne udførelsesform for opfindelsen/ i hvilken udførelsesform apparatet kommunikerer med tre eller flere dataanlæg eller datasystemer/ kan sikkerheds- eller hemmelig-holdelsesniveauet forøges yderligere, således som det er 5 forklaret ovenfor, i en udførelsesform, i hvilken apparatet har endnu et yderligere krypteringsorgan, idet der i det tredje lagerorgan er lagret en tredje krypteringsalgoritme, idet endnu et yderligere krypteringsorgan styres af da-taindlæseorganet og det tredje lagerorgan på en sådan måde, 10 at, forudsat kortet identificeres som et kort hørende til det tredje dataanlæg eller datasystem, de data, som hidrører fra de fra kortet læste data, og koden krypteres i det endnu yderligere krypteringsorgan ved benyttelse af den i det tredje lagerorgan lagrede tredje krypteringsalgoritme 15 før sammenligningen af dataene og koden i komparatororga-net.

I den ovenfor beskrevne udførelsesform for opfindelsen, i hvilken udførelsesform de data, som hidrører fra de fra kortet læste data, og den ved hjælp af indlæseorganet 20 indlæste kode krypteres før sammenligningen af dataene og koden i komparatororganet, forudsat kortet er identificeret som et kort hørende til det andet dataanlæg eller datasystem eller som et kort hørende til det tredje dataanlæg eller datasystem, kan krypteringsorganerne omfattende det 25 førstnævnte krypteringsorgan, det yderligere krypteringsorgan og det endnu yderligere krypteringsorgan udgøres af diskrete eller individuelle krypteringsorganer, som er implementeret med software (programmel) eller hardware (materiel). Krypteringsorganerne, dvs. det første kryp-30 teringsorgan, det yderligere krypteringsorgan og det endnu yderligere krypteringsorgan kan imidlertid udgøres af et enkelt krypteringsorgan.

Ud over behovet for tilvejebringelse af et apparat, der kommunikerer med mindst to forskellige dataanlæg eller 35 datasystemer, og som eliminerer risikoen for tilvejebringelse af transparens til højsikkerheds- og højhemmelig-

DK 163694 B

10 holdelsesdataanlægget eller -systemet, er der et behov for et apparat, der kommunikerer med mindst to højsikkerheds-og højhemmeligholdelsesdataanlæg eller -systemer, hvilket apparat eliminerer muligheden for opnåelse af transparens 5 til det ene af dataanlæggene eller datasystemerne fra det andet.

Dette behov opfyldes med en udførelsesform for apparatet ifølge den foreliggende opfindelse, hvilken udførelsesform er ejendommelig ved, at det andet lagerorgan i stedet for 10 at være beregnet til at lagre en verifikationsalgoritme er beregnet til at lagre en anden krypteringsalgoritme og en anden transmissionsprotokol, og at komparatororganet er udeladt, idet krypteringen i stedet styres af dataindlæseorganet og det ene af det første og 15 andet lagerorgan på en sådan måde at, forudsat kortet er identificeret som et kort hørende til det første dataanlæg eller datasystem, de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af den første krypteringsalgoritme, som er lagret i det første lageror-20 gan, og udlæses til det første dataanlæg eller datasystem styret af den første transmissionsprotokol, som er lagret i det første lagerorgan, eller i stedet på en sådan måde, at, forudsat kortet er identificeret som et kort hørende til det andet dataanlæg eller datasystem, de data, som hidrører 25 fra de fra kortet læste data, og koden krypteres ved benyttelse af den anden krypteringsalgoritme, som er lagret i det andet lagerorgan, og udlæses til det andet dataanlæg eller datasystem styret af den anden transmissionsprotokol, som er lagret i det andet lagerorgan.

30 Da det sammenhørende sæt af data hidrørende fra de fra kortet læste data og personautenticitetskoden udlæses til et tilhørende dataanlæg eller datasystem i en krypteret tilstand, som i sig selv garanterer det høje hemmelighol-delses- og høje sikkerhedsniveau i det pågældende dataanlæg 35 eller datasystem, vil en fejlagtig udlæsning af et sammen-

DK 163694 B

11 hørende sæt af data og kode til et forkert dataanlæg eller datasystem ikke afsløre personautenticitetskoden til en tredje person, selv om de sammenhørende sæt af data og kode i det ene af dataanlæggene eller datasystemerne afsløres 5 for det andet dataanlæg eller datasystem i det tilfælde, hvor det sammenhørende sæt af data og kode i det ene af dataanlæggene eller datasystemerne fejlagtigt udlæses til det andet dataanlæg eller datasystem. I denne udførelsesform for den foreliggende opfindelse er dataanlæggene og 10 datasystemerne derfor indbyrdes transparente og ligeledes afhængige af hinanden, da hemmeligholdelses- og sikkerhedsniveauet i det ene af dataanlæggene eller datasystemerne afhænger af det andet.

Lige som i den indledningsvis omtalte udførelsesform for 15 den foreliggende opfindelse kan sikkerheds- eller hemmelig-holdelsesniveauet forøges yderligere ved, at apparatet har et yderligere krypteringsorgan, idet et første af krypteringsorganerne styres af dataindlæseorganet og af det første lagerorgan på en sådan måde, at, forudsat kortet er 20 identificeret som et kort hørende til det første dataanlæg eller det første datasystem, de data, som hidrører fra de fra kortet læste data, og koden krypteres i det første krypteringsorgan, og idet et andet af krypteringsorganerne styres af dataindlæseorganet og af det andet lagerogan på 25 en sådan måde, at, forudsat kortet er identificeret som et kort hørende til det andet dataanlæg eller det andet datasystem, de data, som hidrører fra de fra kortet læste data, og koden krypteres i det andet krypteringsorgan. 1 overensstemmelse med den foreliggende opfindelses lære 30 kan apparatet yderligere være indrettet til at kommunikere med tre eller flere dataanlæg eller datasystemer og yderligere have et tredje lagerorgan til lagring af en tredje krypteringsalgoritme og en tredje transmissionsprotokol, idet kortidentifikationssignalet yderligere positivt iden-35 tificerer kortet som et kort hørende til ét af de nævnte tre eller flere dataanlæg eller datasystemer, og idet

DK 163694 B

12 krypteringsorganerne yderligere styres af det tredje lagerorgan på en sådan måde, at, forudsat kortet er identificeret som et kort hørende til det tredje dataanlæg eller datasystem, de data, som hidrører fra de fra kortet læste 5 data, og koden krypteres ved benyttelse af den tredje krypteringsalgoritme, som er lagret i det tredje lagerorgan, og udlæses til det tredje dataanlæg eller datasystem styret af den tredje transmissionsprotokol, som er lagret i det tredje lagerorgan.

10 Som forklaret ovenfor kan intransparensen forøges, forudsat der benyttes individuelle krypteringsorganer i forbindelse med de enkelte dataanlæg eller datasystemer. Derfor kan ap-paratet, som kommunikerer med tre eller flere dataanlæg eller datasystemer, yderligere have et tredje krypterings-15 organ, som styres af dataindlæseorganet og af det tredje lagerorgan på en sådan måde, at, forudsat kortet er identificeret som et kort hørende til det tredje dataanlæg eller det tredje datasystem, de data, som hidrører fra de fra kortet læste data, og koden krypteres i det tredje kryp-20 teringsorgan.

Ud over et apparat, som kommunikerer med tre eller flere højsikkerheds- og højhemmeligholdelsesdataanlæg eller -systemer, kan der tilvejebringes et apparat, som kombinerer læren ifølge de ovenfor beskrevne aspekter af opfindelsen, 25 dvs. et apparat, som kommunikerer med mindst to høj sikkerheds- og højhemmeligholdelsesdataanlæg eller -systemer og ét eller flere lavhemmeligholdelses- og lavsikkerhedsda-taanlæg eller -systemer og yderligere har et tredje lagerorgan til lagring af en verifikationsalgoritme samt et 30 komparatororgan, idet kortidentifikationssignalet yderligere positivt identificerer kortet som et kort hørende til det ene af de tre eller flere dataanlæg eller datasystemer, og idet komparatororganet styres af dataindlæseorganet og af det tredje lagerorgan til sammenligning af de data, som 35 hidrører fra de fra kortet læste data, og koden på en sådan måde, at der, forudsat kortet er identificeret som et kort

DK 163694 B

13 hørende til det tredje dataanlæg eller datasystem, afgives en autenticitetskode til det tredje dataanlæg eller datasystem i det tilfælde, at de data, som hidrører fra de fra kortet læste data, er verificeret i forhold til koden ved 5 benyttelse af den i det tredje lagerorgan lagrede verifikationsalgoritme, eller at der i stedet afgives en ikke-autenticitetskode til det tredje dataanlæg eller datasystem i det tilfælde, at de data, som hidrører fra de fra kortet læste data, ikke er verificeret i forhold til koden ved 10 benyttelse af den i det tredje lagerorgan lagrede verifikationsalgoritme.

I de ovenfor beskrevne udførelsesformer for et apparat ifølge opfindelsen, hvilket apparat kommunikerer med tre eller flere dataanlæg eller datasystemer, kan apparatet som 15 forklaret ovenfor med fordel have et tredje krypteringsorgan, idet der i det tredje lagerorgan yderligere er lagret en tredje krypteringsalgoritme, og idet det tredje krypteringsorgan styres af dataindlæseorganet og af det tredje lagerorgan på en sådan måde, at, forudsat kortet er 20 identificeret som et kort hørende til det tredje dataanlæg, de data, som hidrører fra de fra kortet læste data, og koden krypteres i det tredje krypteringsorgan ved benyttelse af den i det tredje lagerorgan lagrede tredje krypteringsalgoritme før sammenligningen af dataene og koden i 25 komparatororganet.

De ovenfor beskrevne udførelsesformer for opfindelsen kan yderligere have et identifikationsorgan til at modtage de data, som hidrører fra de fra det databærende kort læste data, og til at generere kortidentifikationssignalet, som 30 positivt identificerer kortet som et kort hørende til et af dataanlæggene eller datasystemerne eller som et kort, der ikke hører til nogen af dataanlæggene eller datasystemerne.

Da apparatet ifølge denne udførelsesform for opfindelsen genererer kortidentifikationssignalet på basis af de fra 35 kortet læste data, reduceres muligheden for at styre apparatet til en tilstand, i hvilken dataene og en tilhørende

DK 163694 B

14 kode krypteres ved benyttelse af en forkert krypteringsalgoritme eller et forkert krypteringsorgan.

De ovenfor beskrevne udførelsesformer for opfindelsen kan i stedet for identifikationsorganet have et simpelt omkob-5 lingsorgan, der kan betjenes manuelt, og som på simpel måde aktiveres af den person, som er i besiddelse af kortet, og som også skal indlæse en personautenticitetskode i appara- tet. Selv om personen ved forkert aktivering af omkoblingsorganet kan bringe apparatet i en tilstand, i hvilken de 10 fra kortet læste data og koden indlæst af personen bearbejdes, som om dataene og koden hørte til et lavsikkerheds- og lavhemmeligholdelsesdataanlæg eller -system, selv om dataene og koden i virkeligheden hører til højsikkerheds- og højhemmeligholdelsesdataanlægget eller- systemet, afsløres 15 et samhørende sæt af data og kode under ingen omstændigheder af lavhemmeligholdelses- og lavsikkerhedsdataanlægget eller -systemet, da apparatet ifølge opfindelsen afgiver en ikke-autenticitetskode eller i stedet, under ekstreme og yderst usandsynlige betingelser, en autenticitetskode til 20 lavsikkerheds- og lavhemmeligholdelsesdataanlægget eller -systemet.

I en yderligere udførelsesform for apparatet ifølge opfindelsen med et integreret identifikationsorgan er der yderligere inkluderet et læseorgan til at læse dataene fra 25 det databærende kort. Følgelig tilvejebringes der et samlet apparat til læsning af data fra det databærende kort og til transmission af dataene og/eller til verifikation af autenticiteten af den person, som er i besiddelse af kortet. 1 overensstemmelse med de foretrukne udførelsesformer for 30 apparatet ifølge opfindelsen er der tilvejebragt et midlertidigt lagerorgan til midlertidig lagring af de fra kortet læste data samt personautenticitetskoden, indtil afslutningen af transmissionen af data fra apparatet til dataanlæggene eller datasystemerne eller afslutningen af

DK 163694 B

15 autenticitetsverifikationen for den person, som er i besiddelse af kortet.

For at gøre det muligt at lade apparatet ifølge opfindelsen modtage et svar fra det nævnte første dataanlæg eller 5 første datasystem, hvilket svar udgør en autenticitetsverifikation eller en ikke-autenticitetsverifikation som resultat af den verifikationsprocedure, som foretages i den centrale behandlingsenhed i det nævnte første dataanlæg eller datasystem, kan apparatet ifølge opfindelsen yderli-10 gere have et datamodtagerorgan til at modtage data fra dataanlæggene eller datasystemerne.

Apparatet ifølge opfindelsen kan yderligere have en tilfældighedstalgenerator, idet et tilfældigt tal, som genereres af tilfældighedstalsgeneratoren, lagres i det 15 midlertidige lagerorgan og indlæses i krypteringsorganet sammen med de data, som skal krypteres i samme, og yderligere udlæses til det første dataanlæg eller datasystem sammen med de data, som udlæses til samme. Ved at kombinere et tilfældigt tal, dataene og koden og yderligere kryptere 20 denne kombination reduceres muligheden for at bryde kryp- φ teringskoden yderligere, da det tilfældigt genererede tal naturligvis ændrer de krypterede data på en uforudsigelig måde. 1 et on-line-verifikationsanlæg eller -system transmitteres 25 der normalt en autenticitetskode, således som det er forklaret ovenfor, fra den centrale behandlingsenhed i dataanlægget eller datasystemet til apparatet eller terminalen efter, at den centrale behandlingsenhed har afsluttet online-veri fikat ionen. I den ovenfor beskrevne udførelsesform 30 for apparatet ifølge opfindelsen med tilfældighedstalge-neratororganet kan der være tilvejebragt et yderligere komparatororgan til at sammenligne de fra det første dataanlæg eller datasystem til apparatet transmitterede data og det i det midlertidige lagerorgan lagrede tilfældige 35 tal. I denne udførelsesform udgøres autenticitetskoden, som

DK 163694 B

16 transmitteres fra den centrale behandlingsenhed i on-line-verifikationsdataanlægget eller -systemet af det tilfældige tal, som tidligere er transmitteret til den centrale behandlingsenhed sammen med dataene og koden i en krypteret 5 tilstand. Når autenticitetskoden udgøres af det tilfældige tal, som naturligvis ændrer sig tilfældigt, kan transmissionen af autenticitets- eller ikke-autenticitetskoden til apparatet fra den centrale behandlingsenhed i dataanlægget eller datasystemet foretages i almindelig tekst, dvs. i 10 ikke-krypteret tilstand.

For at gøre det umuligt at tappe apparatet, dvs. for at eliminere muligheden for at tilvejebringe en udlæsning af koder og data ved hjælp af meget følsomt elektronisk lytteudstyr og yderligere eliminere muligheden for at afsløre 15 detaljer ved apparatet i henseende til apparatets konstruktion og funktioner samt data, såsom det midlertidigt lagrede tilfældige tal, som genereres af tilfældighedstalgenera-tororganet og den personlige autenticitetskode, som lagres i apparatet, ved at udsætte apparatet for radiomagnetisk 20 stråling, specielt røntgenstråler og/eller ved demontering af hele apparatet, foretrækkes det, at apparatet ifølge opfindelsen har et radiotæt, pille- og tapningsikkert hus, som i det ovennævnte første og andet aspekt af opfindelsen indeslutter i det mindste henholdsvis dataindlæseorganet, 25 indlæseorganet, lagerorganet, krypteringsorganet, kompara-tororganet, det midlertidige lagerorgan, det yderligere komparatororgan og tilfældighedstalgeneratororgane't og dataindlæseorganet, indlæseorganet, lagerorganet, krypteringsorganet, det midlertidige lagerorgan, det yderligere 30 komparatororgan og tilfældighedstalgeneratororganet. Det radiotætte, pille- og tapningssikre hus kan, således som det er velkendt inden for teknikken, udgøres af et hus med en radiotæt komponent, magnetiske og elektriske afskærmningskomponenter samt mekaniske komponenter af stor styrke, 35 såsom plader af bly og rustfri stål. Til frembringelse af et pilles ikkert hus, kan der være tilvejebragt en udstøb-ning, som indkapsler apparatets elektroniske komponenter i

DK 163694 B

17 huset, og som kan have elementer med stor styrke, såsom keramiske partikler eller metalstrimler, der, når de udsættes for mekanisk behandling, ødelægger udstøbningen og afbryder og ødelægger vitale dele i apparatet, såsom la-5 gerorganerne. Det radiotætte, pille- og tapningssikre hus kan desuden have lys-, vibrations- og/eller rystedetekteringsfølere, der, således som det er velkendt inden for teknikken, sletter lagerorganerne, når disse udsættes for lys, vibrationer eller stød.

10 Selv om krypteringsorganerne kan være indrettet til at foretage en krypteringsalgoritme omfattende hemmelige eller offentlige nøgler, såsom en PKC-algoritme (public-key cryptography), i hvilken der benyttes en offentligt kendt nøgle til krypteringen og en hemmelig nøgle til dekryp-15 tering af de krypterede data og den krypterede kode, foretrækkes det for øjeblikket, at krypteringsorganerne er indrettet til at foretage en DES-kryptering, og at de enkelte lagerorganer har en tilhørende DES-krypteringsnøgle (DES; data encryption standard). DES er en NBS- (National 20 Bureau of Standards) godkendt krypteringsalgoritme bestående af en første permutatering, 16 identiske partielle algoritmer benævnt runder, en ombytning af den venstre og højre halvdel til at lette krypteringen og en modsat initi-el permutering. I hver runde substitueres et ord på 64 bit 25 af et andet 64 bit tal styret af en 48 bit nøgle, som yderligere afledes af en oprindelig 56 bit nøgle. DES-krypteringen giver en høj grad af hemmeligholdelse og sikkerhed og er implementeret i hardware (materiel).

Apparatets indlæseorgan, der er indrettet til at indlæse 30 den personlige autenticitetskode, kan være af en vilkårlig passende type, men er fortrinsvis af en type, der tilvejebringer en vis hemmeligholdelse i forbindelse med indlæsningen af den hemmelige personlige autenticitetskode. Indlæseorganet kan være et optisk læseorgan, der er ind-35 rettet til at læse en persons fingeraftryk eller andre biologiske karakteristika og til at omsætte denne optisk

DK 163694B

18 eller på anden måde læsbare information til en kode. I den for øjeblikket foretrukne udførelsesform for opfindelsen er indlæseorganet imidlertid et tastatur, såsom et numerisk tastatur, et α-numerisk tastatur eller et hexadecimalta-5 statur til indlæsning af en personlig identifikationskode (PIN) med et vilkårligt antal cifre eller karakterer i en vilkårlig kombination af samme. I den for øjeblikket foretrukne udførelsesform er personidentifikationstallet et decimaltal med fire cifre.

10 Transmissionen af dataene og koden i en krypteret tilstand til dataanlægget eller datasystemet er normalt et første trin under en on-line- verifikation af kortholderens autenticitet i forhold til det pågældende dataanlæg eller datasystem og i forhold til kortet, hvorefter der overføres et 15 pengebeløb til eller fra den autoriserede kortholders konto. Det tal, som angiver pengebeløbet, skal indlæses i apparatet og yderligere transmitteres til det pågældende dataanlæg eller datasystem. Det tal, som angiver beløbet, indlæses imidlertid fortrinsvis fra et andet indlæseorgan 20 til krypteringsorganet sammen med de data, som skal krypteres i samme, og udlæses til det tilhørende dataanlæg eller datasystem sammen med de data, som udlæses dertil.

Ved tilvejebringelse af et individuelt eller andet indlæseorgan til indlæsning af tallet eller beløbet til kryp-25 teringsorganet i stedet for at indlæse tallet eller beløbet ved hjælp af apparatets numeriske tastatur, opnås der en yderligere hemmeligholdelses- og sikkerhedsfordel, da det numeriske tastatur udelukkende er reserveret indlæsning af personautenticitetskoden eller personidentifikationstallet.

30 Risikoen for utilsigtet afsløring af personautenticitetskoden for tredjemand ved utilsigtet indlæsning af personautenticitetskoden i stedet for pengebeløbet, der, således som det er velkendt inden for teknikken, vises for personen ved hjælp af et visningsorgan, reduceres følgelig, da 35 indlæseorganet til indlæsning af pengebeløbet i apparatet er adskilt fra indlæseorganet til indlæsning af personautenticitetskoden i apparatet. Det individuelle eller yder-

DK 163694 B

19 ligere indlæseorgan til at modtage det tal, som angiver det pengebeløb, som skal overføres, er normalt forbundet til et eksternt apparat, såsom et kasseapparat, som frembringer tallene.

5 I den for øjeblikket foretrukne udførelsesform for opfindelsen har apparatet yderligere et styreorgan til at styre apparatets samlede funktion. Ved tilvejebringelse af styreorganer bliver det muligt at styre apparatets funktion autonomt, så at apparatet slukkes, i tilfælde af, at en 10 mindre rutine eller funktion i apparatet ødelægges eller fungerer forkert, hvorved muligheden for fejlagtigt at transmittere data og koder til et forkert dataanlæg eller datasystem og/eller i en forkert tilstand, dvs. i ikke-krypteret tilstand, elimineres.

15 Styreorganet kan med fordel være et mikroprocessororgan, der gør det muligt at udføre et stort antal kontrol- og styrerutiner, såsom styring eller kontrol af hele apparatets software (programmel), og giver dermed en stor styringskompleksitet .

20 I de ovenfor beskrevne udførelsesformer for opfindelsen kan lagerorganerne udgøres af PROM'er (programmable read only memories, programmerbare læselagre) eller udgøres af ROM'er (read only memories, læselagre), og det midlertidige lagerorgan kan fordelagtigt udgøres af en RAM (random access 25 memory, lager med direkte tilgang), som meget let slettes, hvis der forsøges indtrængning, således som det er forklaret ovenfor. 1 det ovenfor beskrevne selvstændige apparat med identifikationsorganer og læseorganer kan læseorganerne med fordel 30 være et magnetkortlæseorgan med et magnethovedaggregat. I denne udførelsesform for opfindelsen er apparatet indrettet til at modtage og læse data fra konventionelle magnetkort.

DK 163694 B

20 I overensstemmelse med et andet aspekt tilvejebringer den foreliggende opfindelse en fremgangsmåde til kommunikation med mindst to forskellige dataanlæg eller datasystemer, til modtagelse af data hidrørende fra data læst fra et data-5 bærende kort og til transmission af data hidrørende fra de fra kortet læste data til et første af dataanlæggene eller datasystemerne eller i stedet til verifikation af autenticiteten af en person, som er i besiddelse af kortet, i forhold til et andet af dataanlæggene eller datasystemerne, 10 hvilken fremgangsmåde omfatter: læsning af dataene fra kortet ved hjælp af et læseorgan, identifikation af kortet på basis af de fra læseorganet modtagne data som et kort hørende til det første dataanlæg eller datasystem, som et kort hørende til det andet dataan-15 læg eller datasystem eller som et kort, der ikke hører til nogen af dataanlæggene eller datasystemerne, indlæsning af en personautenticitetskode, kryptering af de data, som hidrører fra de fra kortet læste data, og koden, forudsat kortet er identificeret som et 20 kort hørende til det første dataanlæg eller datasystem, idet de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af en krypteringsalgoritme og udlæses til det første dataanlæg eller datasystem styret af en transmissionsprotokol, og 25 sammenligning af de data, som hidrører fra de fra kortet læste data, og koden, forudsat kortet er identificeret som et kort hørende til det andet dataanlæg eller datasystem, idet der til det andet dataanlæg eller datasystem overføres en autenticitetskode i det tilfælde, at de data, som hidrø-30 rer fra de fra kortet læste data, verificeres i forhold til koden ved benyttelse af en verifikationsalgoritme, eller idet der i stedet overføres en ikke-autenticitetskode til det andet dataanlæg eller datasystem i det tilfælde, at de

DK 163694 B

21 data, som hidrører fra de fra kortet læste data, ikke verificeres i forhold til koden ved benyttelse af verifikationsalgoritmen .

I overensstemmelse med en udførelsesform for fremgangsmåden 5 er sammenligningen af data fra kortet og koden samt overføringen af en ikke-krypteret autenticitet er udeladt, og de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af en første krypteringsalgoritme, forudsat kortet identificeres som et kort høren-10 de til det første dataanlæg eller datasystem, og udlæses til det første dataanlæg eller datasystem styret af en første transmissionsprotokol, eller i stedet så at de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af en anden krypteringsalgoritme, 15 forudsat kortet er identificeret som et kort hørende til det andet dataanlæg eller datasystem, og udlæses til det andet dataanlæg eller datasystem styret af en anden transmissionsprotokol .

Opfindelsen vil i det følgende blive nærmere forklaret 20 under henvisning til tegningen, på hvilken fig. 1 viser under ét og i perspektiv et apparat, som betjenes af en kunde, og som udgør den for øjeblikket foretrukne udførelsesform for et apparat ifølge opfindelsen, hvilket apparat kommunikerer med to forskellige da-25 taanlæg eller datasystemer, af hvilke det ene er et høj-hemmeligholdelses- og højsikkerhedsdataanlæg eller -system, og af hvilke det andet er et lavhemmeligholdelses- og lav-sikkerhedsdataanlæg eller -system, fig. 2 under ét og i perspektiv et apparat, som betjenes af 30 en operatør, og som kommunikerer med det i fig. l viste apparat, fig. 3 under ét og skematisk tre forskellige anvendelser af et apparat ifølge opfindelsen, fig. 4 skematisk en foretrukken udførelsesform for et 35 apparat ifølge opfindelsen,

DK 163694 B

22 fig. 5 skematisk en anden udførelsesform for et apparat ifølge opfindelsen, fig. 6 et snit gennem et sikkerhedsmodul i et apparat ifølge opfindelsen og 5 fig. 7 skematisk højhemmeligholdelses- og højsikkerhedskrypteringen og dekrypteringen i et on-line-dataanlæg eller -system.

I venstre side af fig. 3 er vist to forskellige anvendelser af et apparat 10 ifølge opfindelsen, og i højre side af 10 fig. 3 er vist en tredje anvendelse af en alternativ udførelsesform eller implementation af et apparat ifølge opfindelsen sammen med et højhemmeligholdelses- og højsik-kerheds-on-line-verifikationsdataanlæg eller -system, der er vist i en blok, der er angivet med punkterede linjer og 15 angivet med henvisningsbetegnelsen 40. I sin første anvendelse, der er vist i en blok 12, angivet med en punkteret linje, kommunikerer apparatet 10 med et konventionelt kasseapparat 14 via en tovejsdatatransmissionslinje 16. Kasseapparatet 14 kommunikerer yderligere med en såkaldt 20 "back office computer" 18 via en datatransmissionslinje 20.

I denne "back office computer" 18 registreres transaktionerne i kasseapparatet 14 sammen med transaktionerne i andre kasseapparater svarende til det i fig. 3 viste kasseapparat 14. Denne "back office computer" 18 og de enkelte 25 kasseapparater 14 kan sammen udgøre et on-line-, et offline- eller et semi-on-line-dataanlæg eller -system, således som det er velkendt inden for butiksdataområdet.

Apparatet 10 er indrettet til at modtage maskinlæsbare magnetkort, der er udstedt af forskellige kortudstedende 30 organisationer. I det øverste højre hjørne i blokken 12 er vist tre kort angivet med henvisningsbetegnelsen henholdsvis 21, 22 og 23, og visende kort udstedt af tre forskellige kortudstedende organisationer henholdsvis DK, XX og YY.

Det DK-kort, som er angivet med henvisningsbetegnelsen 21, 35 er et kort, der hører til højhemmeligholdelses- og højsik-kerheds-on-line-verifikationsdataanlægget eller -systemet

DK 163694B

23 40, og XX-kortet, der er angivet med henvisningsbetegnelsen 22, er et kort udstedt af et firma og omfatter kasseapparatet 14 og "back office computeren" 18. YY-Kortet, der er angivet med henvisningsbetegnelsen 23, kan være et kort, 5 der er udstedt af en kreditkortudstedende organisation, såsom et Diners Club Card, et Eurocard eller lignende, eller være et kort, der er udstedt af et firma i alt væsentligt svarende til det firma, som udsteder XX-kortet angivet med henvisningsbetegnelsen 22. YY-Kortet angivet 10 med henvisningsbetegnelsen 23 kan i stedet svare til DK-kortet angivet med henvisningsbetegnelsen 21, dvs. kortet 23 kan høre til et højhemmeligholdelses- og højsikkerheds-on-line-dataanlæg eller -system i alt væsentligt identisk med det i fig. 3 viste dataanlæg eller datasystem 40.

15 Apparatet 10 er forbundet til dataanlægget eller datasystemet 40 via en kasse 25, der indeholder en strømforsyningssektion, som ligeledes afgiver strøm til apparatet 10, samt et modem (modulator/demodulator). Ud over at forsyne apparatet 10 med strøm kommunikerer kassen 25 med apparatet 20 10 via en tovejsdatatransmissionslinje, der er angivet med henvisningsbetegnelsen 26 (duplex eller halv-duplextrans- 4 mission). Kassen 25 er forbundet til dataanlægget eller datasystemet 40 via en datatransmissionslinje 28, såsom en offentlig telefonlinje, der er forbundet til et datatrans-25 missionsnetværk 30 via en grænseflade, som ikke er vist i figuren, i hvilken en asynkron transmission fra modemet 25 og fra apparatet 10 omsættes til en synkron duplextransmis-sion (transmissionsprotokol X21). 1 den nederste del af venstre side af fig. 3 er vist en 30 anden anvendelse af apparatet 10 i en blok 32, der er angivet med punkteret linje. Lige som i den første anvendelse, der er vist i blokken 12, der er angivet med punkteret linje, kommunikerer apparatet 10 via datatransmissionslinjen 26, kassen 25, telefonlinjen 28 og transmis-35 sionsnetværket 30 med højhemmeligholdelses- og højsikker-heds-on-line-verifikations-dataanlægget eller -systemet 40,

DK 163694 B

24 der er vist i den øverste del i højre side af fig. 3. Via en datatransmissionslinje 34 kommunikerer apparatet 10 yderligere med "back office computer"en 18, der yderligere via en datatransmissionslinje 36 er forbundet til en ben-5 zinstander 38. Ud over DK-kortet 21 er apparatet 10 indrettet til at modtage et ZZ-kort, der er angivet med henvisningsbetegnelsen 24. ZZ-Kortet 24 er et kort, der er udstedt af det olieselskab, som driver benzinstationen, benzinstanderen 38 og "back office computer"en 18.

10 Apparatet 10, der vil blive beskrevet mere detaljeret nedenfor under henvisning til fig. 1, 4, 6 og 7, har en spalte 42 til optagelse af ét af kortene 21-24, en visningsindretning 44 samt et numerisk tastatur 46, der er indeholdt i et sikkerhedsmodul 50 sammen med fire styre-15 taster, der er angivet med henvisningsbetegnelsen 48.

I den nederste del af højre side af fig. 3 er vist en tredje anvendelse af et apparat, som er implementeret i en alternativ udførelsesform for apparatet ifølge opfindelsen, i en blok 41, der er angivet med punkteret linje. Lige som 20 i den ovenfor beskrevne anden anvendelse, som er vist i den med punkteret linje angivne blok 32, kommunikerer det i den med punkteret linje angivne blok 49 viste apparat ifølge opfindelsen med højhemmeligholdelses- og højsikkerheds-on-line-verifikations-dataanlægget eller -systemet 40, som er 25 vist i den øverste del af højre side af fig. 3, via datatransmissionslinjen 26, kassen 25, telefonlinjen 28 og transmissionsnetværket 30. Via datatransmissionslinjen 36 kommunikerer apparatet 49 med benzinstanderen 38. Apparatet 49 indeholder sikkerhedsmodulet 50, der kommunikerer med 30 "back office computer"en 18. De ovennævnte fire styretaster, som er angivet med henvisningsbetegnelsen 48, er ligeledes inkluderet i apparatet 49, som kommunikerer med "back office computer"en 18. Visningsindretningen 44 og den kortoptagende spalte 42 i kortlæseren kommunikerer ligele-35 des med "back office computer"en 18, der desuden kommunikerer med en kvitteringsskriver 47. Apparatet 49, der vil

DK 163694 B

25 blive beskrevet mere detaljeret nedenfor under henvisning til fig. 5, 6 og 7, kan være indeholdt i en stander ved en kørebane, og kan yderligere være indrettet til at modtage pengesedler som betaling for den købte benzin. Det skal 5 nævnes, at det i den nederste del af højre side af fig. 3 viste apparat 49 kan modificeres til et apparat, i hvilket én eller flere af de enkelte komponenter er placeret andet steds. "Back office computer"en 18 kan således i stedet være en datamat eller computer af den type, der er vist i 10 den nederste del af højre side af fig. 3. Den foreliggende opfindelses ide gør det imidlertid muligt at tilvejebringe et apparat, der kommunikerer med et højhemmeligholdelses-og højsikkerheds-on-line-dataanlæg eller -system og et lavhemmeligholdelses- og lavsikkerhedsdataanlæg, såsom et 15 benzinselskabs dataanlæg eller- system, der omfatter "back office computer"en 18, i hvilken de fra kortet, fx et af kortene 22, 23 eller 24, læste data bearbejdes i "back office computer"en 18 før præsentation af dataene eller en eventuel "offset"-version af samme for sikkerhedsmodulet 20 50, i hvilket de data, som hidrører fra de fra kortet læste data, dvs. selve dataene eller en eventuelt "offset"-ver-sion af samme, som tilføres fra "back office computer"en 18, sammenlignes med en PIN-kode, der er blevet indlæst ved hjælp af det numeriske tastatur 46 af en kunde eller af den 25 person, som er i besiddelse af det pågældende kort, således som det vil blive forklaret nedenfor. 1 den første anvendelse, som er vist i blokken 12, der er angivet med punkteret linje, indlæser en kasseapparatoperatør de enkelte priser for de enkelte varer, som købes af en 30 kunde, i kasseapparatet 14. Efter at have indlæst alle priserne i kasseapparatet bringer kasseapparatoperatøren kasseapparatet til at beregne den total sum, som udlæses via datatransmissionslinjen 20 til "back office computer"en 18, og som også udlæses via datatransmissionslinjen 16 til 35 apparatet 10 og vises på visningsindretningen 44 i samme.

Medens kasseapparatoperatøren indlæser priserne i kasseapparatet 14, fører den person, som er i besiddelse af et

DK 163694 B

26 kort 21, 22 eller 23, magnetkortet gennem apparatet 10's kortoptagende spalte 42. Herved indlæses de på kortet lagrede data i apparatet. Fra disse data afledes kortidentificerende data eller et kortidentificerende signal, som 5 identificerer kortet som et DK-kort, et XX-kort, et YY-kort eller et kort, der ikke tilhører nogen af de kategorier, som accepteres af apparatet 10. Kunden indlæser også det ovennævnte personidentifikationstal (en PIN-kode), i apparatet, dvs. i sikkerhedsmodulet 50, ved hjælp af tasta-10 turet 46. Denne PIN-kode er en hemmelig kode, som kun kendes af kunden.

Forudsat det aktuelle kort er et XX-kort, dvs. et kort, der er udstedt af det pågældende firma, foretager apparatet 10, således som det vil blive forklaret nedenfor, en off-line-15 verifikation af autenticiteten af den person, som er i besiddelse af kortet i forhold til kortet og dermed i forhold til firmaet eller dataanlægget eller datasystemet, dvs.

"back office computer"en 18. I det tilfælde, at autenticiteten af kunden eller den person, som er i besiddelse af 20 XX-kortet 22, verificeres, udlæser apparatet 10 en autenticitetskode til kasseapparatet 14 via datatransmissionslinjen 16 og videre via datatransmissionslinjen 20 til "back office computer"en 18. Når brugeren er blevet identificeret som en legal og autoriseret indehaver af kortet, overføres 25 den sum, som er beregnet i kasseapparatet 14, derefter til "back office computer"en 18 og debiteres kundens konto.

Kunden skal imidlertid først acceptere den sum, som vises på visningsindretningen 44, ved at aktivere en tilhørende tast blandt tasterne 48, således som det vil blive for-30 klaret nedenfor. I det tilfælde, at autenticiteten af den person, som er i besiddelse af XX-kortet 22, ikke verificeres, udlæser apparatet 10 en ikke-autenticitetskode gennem datatransmissionslinjen 16 til kasseapparatet 14. I dette tilfælde får kunden ikke lov til at købe varerne ved 35 overførsel af summen til "back office computer"en 18 og ved registrering af summen på den konto, som svarer til det pågældende kort 22.

DK 163694 B

27 I den anden og tredje anvendelse af henholdsvis apparatet 10 og apparatet 49, der er vist i henholdsvis blokken 32, som er angivet med punkteret linje, i den nederste venstre side af fig. 3 og i blokken 41, der er angivet med punk-5 teret linje, i den nederste højre side af fig. 3, skal autenticiteten af den person, som er i besiddelse af kortet, verificeres i forhold til "back office computer"-anlægget eller- systemet, som omfatter "back office compu-ter"en 18, når personen benytter ZZ-kortet 24, eller i 10 forhold til on-line-verifikations-dataanlægget eller -systemet, der er vist i øverste højre side af fig. 3 i blokken 40, der er angivet med punkteret linje, når personen benytter DK-kortet 21, før benzinstanderen 38 tændes. Ved denne off-line eller on-lineverifikation benyttes en "nul-15 default"-værdi for det pengebeløb, som svarer til den mængde benzin, som er købt. Forudsat at autenticiteten af den person, som er i besiddelse af kortet, er blevet verificeret i forhold til det dataanlæg eller datasystem, som svarer til datakortet, kan personen købe benzin og/eller 20 andre varer, hvis priser registreres ved hjælp af en kasseapparatfunktion, der ikke er vist i figuren, men som i alt væsentligt svarer til det ovenfor beskrevne kasseapparat 14, som kommunikerer med "back office computer"en 18. 1 det tilfælde, at kunden benytter DK-kortet 21 ved de i 25 blokkene 12, 32 og 41, som er angivet med punkterede linjer, viste anvendelser, præsenteres de data, som læses fra kortet, for sikkerhedsmodulet 50 og krypteres i samme sammen med den sum, som indlæses til apparatet fra kasseapparatet 14 og den PIN-kode, som indlæses af brugeren ved 30 hjælp af det numeriske tastatur 46, således som det vil blive forklaret mere detaljeret nedenfor under henvisning til fig. 7, og udlæses i en krypteret tilstand til kassen 25 og transmitteres videre via den offentlige telefonlinje 28, den ovennævnte datakoncentrator, som ikke er vist på 35 tegningen, via transmissionsnetværket 30 og indlæses til on-line-verifikations-dataanlægget eller -systemet, der er

DK 163694 B

28 vist i den øverste del i højre side af fig. 3 i blokken 40, der er angivet med punkteret linje.

I fig. 7 er i den øverste del vist sikkerhedsmodulet 50 i apparatet 10 og i apparatet 49 ifølge opfindelsen, og 5 blokken 40, der er angivet med punkteret linje, angiver højsikkerheds- og højhemmeligholdelses- on-line-verifika-tions-dataanlægget eller -systemet, der er vist i nederste del af fig. 7. I fig. 7 er i princippet vist den krypteringsrutine, som foretages i sikkerhedsmodulet 50 før 10 transmission af data fra samme til dataanlægget eller datasystemet 40, i hvilket der foretages en dekrypterings-rutine til verifikation af autenticiteten af den person, som er i besiddelse af DK-kortet 21. Som nævnt ovenfor har DK-kortet 21 kortidentificerende data og desuden en per-15 sonverifikationskode (PVC). I en blok 51, nemlig kortlæse-organet i apparatet, frembringes PVC-koden og kortidentifikationsdataene fra kortet. Den person, som er i besiddelse af kortet, indlæser en PIN-kode, således som det er nævnt ovenfor, ved hjælp af det numeriske tastatur 46. PIN-Koden 20 indlæses i en krypteringsblok 52, i hvilken PIN-koden krypteres ved benyttelse af en første krypteringsnøgle K^.

Når personen aktiverer de ovennævnte styretaster, der er angivet med henvisningsbetegnelsen 48, overføres den totale sum B, forudsat brugeren allerede har accepteret den totale 25 sum, og hvis dette ikke er tilfældet, overføres den ovennævnte "nul-defaulf'-værdi for den totale sum B. I en tilfældighedstalgenerator 53 genereres et tilfældigt tal TT. Det tilfældige tal TT, PVC-koden, der frembringes af blokken 51, den totale sum B, som overføres fra styreta-30 sterne 48, samt den krypterede PIN-kode (PIN) Klf som genereres i blokken 52, indlæses i en anden krypteringsblok 54 og krypteres ved benyttelse af en anden krypteringsnøgle K2. Da sikkerhedsmodulet 50 er et enkelt blandt flere moduler, der kommunikerer med ét og samme on-line-dataanlæg 35 eller -system, overføres et sikkerhedsmodulidentificerende tal fra blokken 54 i modulet 50 i klar tekst sammen med den anden nøglekrypterede version af den krypterede PIN-kode

DK 163694 B

29 (PIN) K^, det totale beløb B, PVC-koden og det tilfældige tal TT, dvs. [[PIN] Kx + B + PVC + TT] K2.

Som forklaret ovenfor udlæses PVC-koden, PIN-koden, det totale beløb B og det tilfældige tal TT i en krypteret 5 tilstand fra apparatet 10 til kassen 25 og indlæses via den offentlige telefonlinje 28, via datakoncentratoren, der ikke er vist på tegningen, og via datatransmissionsnetværket 30 i højhemmeligholdelses- og højsikkerheds-on-line-verifikations-dataanlægget eller -systemet 40. I en første 10 blok 55 i dataanlægget eller datasystemet de- eller af-krypteres dataene ved benyttelse af en de- eller afkryp-teringsnøgle svarende til krypteringsnøglen K2. Det tilfældige tal TT, PVC-koden og det totale beløb B udlæses fra den første krypteringsblok 55 og indlæses i en separat blok 15 56. I blokken 56 separareres PVC-koden og det tilfældige tal TT fra det totale beløb B, som udlæses til en blok 57 til videre transmission til kontoregistre, etc., medens PVC-koden og det tilfældige tal TT indlæses i endnu en separationsblok 58, i hvilken PVC-koden og det tilfældige 20 tal TT separeres. PIN-Koden frembringes fra blokken 55 i en krypteret tilstand og indlæses i en anden de- eller af-krypteringsblok 59, i hvilken den krypterede PIN-kode de-eller afkrypteres ved benyttelse af en de- eller afkryp-teringsnøgle svarende til krypteringsnøglen PIN-Koden 25 indlæses i almindelig tekst i en blok 60, i hvilken PIN-koden og PVC-koden kombineres. Da PVC-koden indeholder en DES (data encryption standard) kryptering af PIN-koden, foretages kombinationen af koderne ved benyttelse af en DES-rutine. Fra blokken 60 udlæses en PVCV-kode til en blok 30 61, i hvilken PVCV- koden sammenlignes med FVCV-koder i et register 62, i hvilket PVCV-kodeme svarende til autoriserede eller legale kort er lagret. Forudsat PVCV-koden er indeholdt i PVCV-koderegisteret 62, udløses et "ja" til en port 63, der retransmitterer det tilfældige tal TT til 35 modulet 50 som den autenticitetskode, som verificerer autenticiteten af den person, som er i besiddelse af kortet, i forhold til kortet og i forhold til on-line-verifi-

DK 163694 B

30 kations-dataanlægget eller -systemet 40, dvs. som en legal og autoriseret kortihændehaver. Forudsat PVCV-koden udlæst fra blokken 60 ikke er indeholdt i PVCV-koderegisteret 62, udlæser sammenligningsblokken 61 et "nej" til en port 64, 5 som udlæser en ikke-autenticitetskode. Koden, dvs. autenticitetskoden eller ikke- autenticitetskoden transmitteret fra dataanlægget eller datasystemet 40 sammenlignes med det tilfældige tal TT, som genereres af tilfældighedstalgeneratoren 53, i en komparatorblok 77 i sikkerhedsmodulet 50.

10 Resultatet af sammenligningen i komparatorblokken 77 udlæses til en udlæserterminal 78, som igen er forbundet til visningsindretningen 44 i apparatet 10 via en passende grænseflade.

I fig. 3 viser den øverste del af højre side af samme figur 15 et rutediagram over den ovennævnte on-line-verifikation i dataanlægget eller datasystemet 40. Da dataanlægget eller datasystemet 40 kommunikerer med mange terminaler eller apparater svarende til apparatet 10 og apparatet 49, kommunikerer den første de- eller afkrypteringsblok 55 yderligere 20 med et nøgleregister 65, der indeholder de enkelte nøgler, som svarer til de enkelte krypteringsnøgler i de enkelte apparater. I fig. 3 er de porte 63 og 64, der ligeledes er vist i fig. 7, inkluderet i en udlæseblok 66, hvis udgang er forbundet til datatransmissionsnetværket 30 for afgivel-25 se af autenticitets- eller ikke-autenticitetskoden til apparatet 10, og som modtager et "ja" eller et "nej” fra komparator- eller sammenligningsblokken 61 sammen med det tilfældige tal TT, som afledes fra separationsblokken 56. I fig. 3 er inkluderet en ekstra udlæserblok 67, der inde-30 holder blokken 57, der er vist i fig. 7, og som yderligere modtager et "ja" eller "nej" fra saxnmenligningsblokken 61. Udlæserblokken 67 kommunikerer med individuelle ydre blokke 68, 69 eller 70. Hver af blokkene 68-70 kan være et bank-datamaskineanlæg eller -system, som adresseres fra udlæ-35 serblokken 67. Den ene af blokkene kan i stedet være et datamaskineanlæg eller -system, som ejes af en kreditkortudstedende organisation, såsom den organisation, som

DK 163694B

31 udsteder YY-kortet 23. YY-Kortet er således underordnet højhemmeligholdelses- og højsikkerheds-on-line-dataanlægget eller -systemet 40, der i virkeligheden foretager verifikationen af autenticiteten af den person, som er i besiddelse 5 af YY-kortet 23, i forhold til kortet og dermed i forhold til den kreditkortudstedende organisation.

I fig. 4 er under ét og skematisk vist apparatet 10 ifølge opfindelsen. Apparatet 10 er indesluttet i en blok 72, der er angivet med fuldt optrukken linje. I blokken 72 er 10 anbragt det ovennævnte sikkerhedsmodul 50. I fig. 4 er vist den ovennævnte kort optagende spalte 42, idet der tæt ved spalten er monteret et magnethovedaggregat 43, så at mag-nethovedaggregatet bringes i tæt kontakt med kortets magnetbånd, dvs. det ene af kortene 21-24, når kortet føres 15 gennem spalten 42. Magnethovedaggregatet 43 udlæser signaler til en første mikroprocessor 73, som styrer apparatets eksterne funktioner, således som det fremgår af beskrivelsen.

Den første mikroprocessor 73 er desuden forbundet til vis-20 ningsindretningen 44, der tjener det formål at vise det totale beløb, som modtages fra kasseapparat 14, eller fra "back office computer"en 18, og til visning af resultatet af off-line-verifikationen eller i stedet on-line-verifi-kationen af autenticiteten af den person, som er i besid-25 delse af kortet, i forhold til kortet og dermed i forhold til henholdsvis off-line-dataanlægget eller -systemet og on-line-dataanlægget eller -systemet. Den første mikroprocessor 73 er endvidere forbundet til og kommunikerer med et første og et andet udlæse/indlæseorgan henholdsvis 74 og 30 75, der kommunikerer med henholdsvis on-line og off-line- dataanlæggene og -systemerne, dvs. henholdsvis dataanlægget eller datasystemet 40 og "back office computer"en 18 eller kasseapparatet 14.

Centralt i sikkerhedsmodulet 50 er anbragt en anden mikor-35 processor 76, der kommunikerer med den første mikroproces-

DK 163694 B

32 sor 73 via en grænseflade 79. I sikkerhedsmodulet 50 indeholder kredsløbet 80 DES-krypteringsalgoritmen. Den anden mikroprocessor 76 kommunikerer desuden med den ovenfor beskrevne tilfældighedstalgenerator 53, med en PROM (pro-5 grammable read only memory) 82, der indeholder on-line krypteringsprogrammet, som er blevet beskrevet ovenfor under henvisning til fig. 7, samt en RAM (random access memory) 83, i hvilken PVC-koden, som læses fra det databærende kort, dvs. det ene af kortene 21-24, ved hjælp af 10 magnethovedaggregatet 43 og den første mikroprocessor 73 lagres midlertidigt sammen med PIN-koden, som indlæses af kunden ved hjælp af det numeriske tastatur 46, det tilfældige tal TT, som genereres af tilfældighedstalgeneratoren 53, samt det totale beløb B, som indlæses fra kasse-15 apparatet 14 eller fra "back office computer"en 18 via det andet indlæse/udlæseorgan 75. sikkerhedsmodulet 50 har yderligere et nøglelager eller en RAM 84, i hvilken krypteringsnøglen, som benyttes ved krypteringen af PVC- koden, en PIN-kode, det totale beløb B og det tilfældige tal TT, 20 således som det er forklaret ovenfor under henvisning til fig. 7, for transmission til højhemmeligholdelses- og højsikkerheds-on-line-verifikations-dataanlægget eller -systemet 40 lagres. To PROM'er 85 og 86 er endvidere inkluderet i apparatet, i hvilke PROM'er verifikationsalgoritmen 25 er lagret til off-line-verifikation af autenticiteten af den person, som er i besiddelse af det pågældende kort, i forhold til kortet, fx XX-kortet 22 eller ZZ-kortet 24, som er vist i fig. 3. RAM'erne 83 og 84, der er flygtige RAM'er, forsynes fra en ekstern strømforsyning og yderii-30 gere fra en "back up"-strømforsyning 87. I det tilfælde, at apparatets eksterne strømforsyning afbrydes, forsynes de flygtige RAM'er i apparatet fra "back up"-batteriforsy-ningen 87. Denne batteriforsyning 87 er imidlertid yderligere indrettet til at slette RAM'erne 83 og 84 i det til-35 fælde, at en person forsøger at bryde ind i sikkerhedsmodulet 50, fortrinsvis ved hjælp af mekaniske vibrationseller støddetektorer eller lysdetektorer, som er forbundet til hele kredsløbet i sikkerhedsmodulet, så at kredsløbet

DK 163694 B

33 ødelægges ved tilførsel af for store spændinger eller af en spænding med forkert polaritet til kredsløbet, i det tilfælde, at der gøres forsøg på indtrængen.

I fig. 5 er under ét og skematisk vist apparatet 49 ifølge 5 opfindelsen. Apparatet 49 omfatter det ovenfor beskrevne sikkerhedsmodul 50, som indeholder tastaturet 46, de taster, som er angivet med henvisningsbetegnelsen 48, den første mikroprocessor 73, som kommunikerer med højhemmelig-holdelses- og højsikkerheds-on-line-dataanlægget eller-10 systemet via udlæse/indlæseorganet 74 og yderligere kommunikerer med "back office computer"en 18, der ligeledes kan adresseres fra de ovennævnte fire taster, som er angivet med henvisningsbetegnelsen 48. Denne "back office computer" 18 kommunikerer yderligere med visnings indretningen 44, 15 magnethovedaggregatet 43 og kvitteringskriveren 47. Medens de data, som læses fra kortet, i fig. 4 indlæses direkte i den første mikroprocessor 73, bearbejdes dataene først i "back office computer"en 18 i det i fig. 5 viste apparat 49. I det tilfælde, at kortet identificeres af "back office 20 computer"en 18 som et kort, der hører til det første dataanlæg eller datasystem, kan "back office computer"en 18 bearbejde, fx forskyde eller frembringe en "offset"-version af de fra kortet læste data, og præsentere en bearbejdet eller "offset"-version af dataene for den første mikropro-25 cessor 73 og endvidere for sikkerhedsmodulet 50. I det tilfælde, at "back office computer"en 18 ikke identificerer kortet som et kort hørende til selve dataanlægget eller -systemet, dvs. det dataanlæg eller datasystem, som inkluderer "back office computer"en 18, overføres de data, som 30 læses fra kortet i stedet til mikroprocessoren 73 og indlæses i sikkerhedsmodulet 50.

Apparaterne 10 og 49 samt sikkerhedsmodulet 50 i disse apparater fungerer på følgende måde. Som nævnt ovenfor identificerer de data, som læses fra kortet ved hjælp af 35 magnethovedaggregatet 43, kortet som et kort hørende til det første dataanlæg, dvs. hørende til højhemmeligholdel-

DK 163694 B

34 ses- og højsikkerheds-on-line-verifikations-dataanlægget eller -systemet 40, som et kort hørende til "back office computer"-anlægget eller -systemet 18, eller som et kort, der ikke hører til nogen af de to dataanlæg eller datasy-5 stemer. Forudsat kortet er identificeret af den første mikroprocessor 73 eller af "back office computer"en 18 som et kort hørende til det andet dataanlæg eller datasystem, indlæses dataene eller den ovennævnte "offset"-version eller bearbejdede version af dataene i sikkerhedsmodulet 50 10 fra den første mikroprocessor 73 via grænsefladen 79 og indlæses videre i den anden mikroprocessor 76 og lagres midlertidigt i RAM'en. Som forklaret ovenfor anmodes den person, som er i besiddelse af kortet, om at indlæse PIN-koden ved hjælp af det numeriske tastatur 46, og PIN-koden 15 udlæses fra det numeriske tastatur 46 til den anden mikroprocessor 76 og lagres yderligere midlertidigt i RAM'en 83.

Når den første mikroprocessor 73 har identificeret kortet som et kort hørende til off-line-dataanlægget eller -systemet 18, adresserer den anden mikroprocessor 76 PROM'en 20 85 og foretager en algoritmisk sammenligning af PIN-koden og de data, som har været lagret i RAM'en 83 styret af det program, som er lagret i PROM'en 85 og eventuelt ved benyttelse af DES-krypteringsalgoritmen, som er lagret i lageret 80. Resultatet af sammenligningen eller autentici-25 tetsverifikationen er enten et "ja" eller et "nej", som udlæses fra den anden mikroprocessor 76 til grænsefladen 79 og indlæses i den første mikroprocessor 73, der udlæser en autenticitets- eller ikke-autenticitetskode til det anden indlæse/udlæseorgan 75 til off-line-verifikations-dataan-30 lægget eller -systemet, som er vist i fig. 4, eller til "back office computer"en 18, der er vist i fig. 5, og desuden eller yderligere til visningsindretningen 44 til visning af resultatet for den person, som er i besiddelse af kortet.

35 Forudsat kortet er identificeret som et kort hørende til højhemmeligholdelses- og højsikkerhedsdataanlægget, dvs. on-line-verifikations-dataanlægget eller -systemet 40,

DK 163694B

35 adresserer mikroprocessoren 76 tilfældighedstalgeneratoren 53, der udlæser et tilfældigt genereret tal TT til mikroprocessoren, idet det tilfældigt generede tal TT yderligere lagres midlertidigt i RAM'en 83. I det tilfælde, at et tal, 5 som repræsenterer det totale beløb B for de varer etc., som købes af den person, som er i besiddelse af kortet, indlæses eller er indlæst via det andet indlæse/udlæseorgan 75 og endvidere transmitteret gennem den første mikroprocessor 73 til grænsefladen 79 og udlæst fra samme til den anden 10 mikroprocessor 76 og indlæst i RAM'en 83 og lagret deri, krypteres PIN-koden, PVC-koden, det tilfældige tal TT og det totale beløb B ved hjælp af den anden mikroprocessor 76, således som det er forklaret ovenfor under henvisning til fig. 4 ved benyttelse af den i lageret 80 lagrede DES 15 krypteringsalgoritme og den i nøglelageret 84 lagrede nøgle styret af krypteringsprograramet i PROM'en 82. Resultatet af krypteringsprocessen udlæses fra den anden mikroprocessor 76 via grænsefladen 79 til den første mikroprocessor 73 og transmitteres fra denne via det første indlæse/udlæseorgan 20 74 til højhemmeligholdelses- og højsikkerheds-on-line- verifikations-dataanlægget eller -systemet 40, i hvilket verifikationen af PIN-koden i forhold til dataene foretages, således som det er forklaret ovenfor under henvisning til fig. 7. Fra on-lineverifikations-dataanlægget 25 eller- systemet 40 modtager det første indlæse/udlæseorgan 74 resultatet af autenticitetsverifikationen, enten det tilfældige tal TT, som repræsenterer autenticitetskoden, eller en ikke-autenticitetskode, der transmitteres via den første mikroprocessor 73 til grænsefladen 79 i sikkerheds- 30 modulet 50 og videre til den anden mikroprocessor 76. I den anden mikroprocessor 76 sammenlignes resultatet, dvs. autenticitetskoden eller ikke-autenticitetskoden med det tilfældige tal TT, som er lagret i RAM'en 83. I det tilfælde, at resultatet af on-line-autenticitetsverifikationen 35 er autenticitetskoden, dvs. det tilfældige tal TT er blevet retransmitteret fra dataanlægget 40 til apparatet 10, adresserer den anden mikroprocessor 76 via grænsefladen 79 den første mikroprocessor 73, der igen viser resultatet,

DK 163694 B

36 dvs. autorisationen, på visningsindretningen 44, der er vist i fig. 4, eller overfører resultatet til den i fig. 5 viste "back office computer" 18, som igen viser resultatet på visningsindretningen 44. I det tilfælde, at der fra 5 dataanlægget eller datasystemet 40 er transmitteret en ikke-autenticitetskode til apparatet 10, afslører mikroprocessoren 76 ved sammenligning af koden med det tilfældige tal TT, som er lagret i RAM'en 83, at autenticitetsverifikationen har resulteret i en ikke-autorisation af den 10 person, som er i besiddelse af kortet i forhold til kortet.

Den anden mikroprocessor 76 adresserer følgelig den første mikroprocessor 73 via grænsefladen 79, og den første mikroprocessor 73 viser resultatet, dvs. ikke-autorisationen, på visningsindretningen 44, der er vist i fig. 4, eller af-15 giver resultatet til "back office computer"en 18, der er vist i fig. 5, som igen viser resultatet på visningsindretningen 44.

Når den første mikroprocessor 73 frembringer visning af resultatet af on-line-autenticitetsverifikationen på vis-20 ningsindretningen 44 styret af den anden mikroprocessor 76, således som det er vist i fig. 4, eller styret af "back office computer"en 18, således som det er vist i fig. 5, udlæser den første mikroprocessor 73 yderligere en tilhørende autenticitets- eller ikke-autenticitetskode til 25 off-line-dataanlægget eller -systemet via henholdsvis det andet indlæse/udlæseorgan 75 eller via datatransmissionslinjen 36.

Det skal understreges, at den foreliggende opfindelses ide gør det umuligt at styre apparatet til en tilstand, i 30 hvilken PIN-koden utilsigtet eller fejlagtigt vises i almindelig tekst, da PIN-koden udelukkende udlæses fra sikkerhedsmodulet 50 i en højhemmeligholdelses- og høj-sikkerhedskrypteret tilstand til højhemmeligholdelses- og højsikkerhedsdataanlægget eller -systemet.

DK 163694B

37

De ovennævnte styretaster 48, der er vist i fig. 4 og 5, er angivet med henvisningsbetegnelserne henholdsvis B, C, CE og AC. Kunden kan betjene tasterne C, CE og AC efter at have ført sit kort gennem den kortoptagende spalte 42.

5 Tasten, der er angivet med CE (forkortelse for: '»clear entry") .gør det muligt for kunden at slette et enkelt ciffer i PIN-koden, medens PIN-koden indlæses ved hjælp af tastaturet 46. Tasten, der er angivet med C (forkortelse for: "clear") gør det muligt for kunden at slette PIN-koden 10 og eventuelle andre data, som midlertidigt er lagret i apparatet, dvs. de data, som er læst fra det databærende kort, og ligeledes det tilfældige tal, som er genereret af tilfældighedstalgeneratoren. Den tast, som er angivet med AC (forkortelse for: "accept"), aktiveres af kunden før 15 verifikationen af kunden som den legale kortholder, enten on-line eller off-line i forhold til henholdsvis dataanlægget eller datasystemet 40 eller "back office computer"en 18, og efter at det totale beløb er blevet vist for kunden på visnings indretningen 44. Ved aktivering af den tast, som 20 er angivet ved AC, accepterer kortholderen det totale beløb, som vises på visningsindretningen 44, og som skal debiteres kortholderens konto efter kortholderens tilladelse, enten i bankregistrene 68, 69 eller 70, der er vist i fig. 3, eller på konto i den i fig. 3 viste "back office 25 computer" 18. Den tast, som er angivet ved B (forkortelse for: "balance"), kan aktiveres af en person, fx en kasseapparatoperatør eller en person, der leder firmaet eller tankstationen, og som er i besiddelse af et balancekort, efter at balancekortet er ført gennem den kortoptagende 30 spalte 42, hvorved de data, som er registreret på balancekortet, læses af magnethovedaggregatet 43 og indlæses i den anden mikroprocessor 76 via den første mikroprocessor 73 samt grænsefladen 79, hvorefter apparatet bringes i en tilstand, i hvilken de akkumulerede beløb, som repræsen-35 terer det totale beløb, som er registeret af apparatet, og som er lagret i RAM'en 83, udlæses fra apparatet via mikroprocessoren 76, grænsefladen 79, mikroprocessoren 73 og

DK 163694 B

38 det andet indlæse/udlæseorgan 75 til "back office computer" -anlægget eller -systemet 18.

1 fig. 1 er under ét og skematisk vist den for øjeblikket foretrukne udførelsesform for apparatet 10 ifølge opfindel-5 sen. Apparatet 10 er indeholdt i et ydre hus 8, der indkapsler og understøtter sikkerhedsmodulet 50. I fig. 1 er tastaturet 46 i sikkerhedsmodulet 50 vist sammen med de fire taster, som er angivet med henvisningsbetegnelsen 48.

Det skal anføres, at det, således som det fremgår af fig. 4 10 og 5, ikke er afgørende for apparatets korrekte funktion, at de tasterne 48 er anbragt i sikkerhedsmodulet 50, da de funktioner, som bestemmes af disse fire taster under ingen omstændigheder påvirker ikke-transparens-, højhemmelig-holdelses- og højsikkerhedsideen ifølge den foreliggende 15 opfindelse. Som det fremgår af fig. 1, har apparatet 10 en ydre husdel 9, der udgør et afskærmningsorgan, som giver den kunde, som betjener tasterne i tastaturet 46, et vist "enerum".

I fig. 2 er vist et apparat, der under ét er angivet med 20 henvisningsbetegnelsen 114. Apparatet 114 er et beløbsregistreringsapparat, der kommunikerer med det i fig. 1 viste apparat. Beløbsregistreringsapparat 114 udgør i princippet et apparat svarende til det kasseapparat 14, som er vist i den øverste del af venstre side i fig. 3 i blokken 12, der 25 er angivet med punkteret linje. Beløbsregistreringsappara-tet 114 er indeholdt i et hus 145 og har en visningsindretning 144, et numerisk tastatur 146, funktionstaster 148 og en kvitteringsskriver 147. Huset 145 har et papirreservoir, der udgøres af en husdel 143.

30 I fig. 1 og 2 er styretasterne henholdsvis 48 og 148 angivet med danske forkortelser. Tasterne 48 er således angivet med A for afstem, slet alt, slet og godkend. Tasterne 148 er angivet med retur, slet alt, slet og ind.

DK 163694 B

39 I fig. 6 er vist et lodret snit gennem en udførelsesform for sikkerhedsmodulet 50 omfattende to radiotætte, pille-og tapningssikre husdele 90 og 91. Husdelene 90 og 91 er fortrinsvis fremstillet af rustfri stålplade med stor 5 styrke og har identifikationer, der er ætset, graveret eller på anden måde tilvejebragt på pladerne. De to dele 90 og 91 er langs deres kanter totalt forseglet til hinanden ved hjælp af en forseglingsdel 92, som er svejset til husdelene 90 og 91, således som det er angivet med hen-10 visningsbetegnelserne henholdsvis 93 og 94. I en nedadbøjet central udsparing i husdelen 90, der udgør den øverste husdel i sikkerhedsmodulet 50, er tastaturet 46 og de i fig. 1, 3, 4 og 5 viste styretaster 48 anbragt på en understøttende trykt kredsløbsplade 95. På oversiden af den 15 trykte kredsløbsplade 95 er anbragt kontaktterminaler 96 og 97, som er indrettet til at blive kortsluttet ved hjælp af en kortslutningskomponent 98 ved nedpresning af en tilhørende tast 99. Kortslutningskomponenterne, fx kortslutningskomponenten 98, som samvirker med terminalerne 96 og 20 97, er støbt i en elastisk, luft- og fugttæt understøttende film 100. I det indre rum, som defineres i de to husdele 90 og 91, er anbragt en radiotæt komponent, såsom en plade fremstillet af bly. På oversiden af pladen 101 er der, isoleret i forhold til denne, imidlertid anbragt en anden 25 trykt kredsløbsplade 102. Den trykte kredsløbsplade 102 understøtter elektroniske komponenter, såsom de elektroniske komponenter 103-107, der implementerer udførelsesformen for det i fig. l, 3, 4, 5 og 7 skematisk viste sikkerhedsmodul.

De enkelte baner på den trykte kredsløbsplade 102 er via 30 lodningsforbindelser, såsom en lodningsforbindelse 108, forbundet til tilhørende baner på den trykte kredsløbsplade 95, der står i forbindelse med tilhørende terminaler, fx terminalerne 96 og 97 på samme. I venstre side af fig. 6 er den trykte kredsløbsplade 102 indspændt mellem husdelene 91 35 og 92 og fører gennem en åbning i forseglingsdelen 92, således som det er angivet med henvisningsbetegnelsen 109.

Den gennemgående forbindelse for den trykte kredsløbsplade 102 tjener det formål at forbinde sikkerhedsmodulet 50 med

DK 163694 B

40 de resterende komponenter i apparatet 10, dvs. at tilføre strøm til de elektroniske komponenter i modulet, fx de elektroniske komponenter, og at tilvejebringe adgang til og fra grænsefladen 79, der er vist i fig. 4, i sikkerheds-5 modulet 50. Det indre rum, som afgrænses af husdelene 90 og 91 og mellem de trykte kredsløbsplader 95 og 102 og den radiotætte komponent eller plade 101 er fyldt med en ud-støbning 110 af højstyrke epoxyharpiks, der fastgør kredsløbspladerne og den radiotætte komponent og desuden inde-10 holder metalbånd eller -tråde. Metalbåndene eller -trådene, som er indeholdt i epoxyharpiksudstøbningen 110, tjener det formål at ødelægge det elektroniske kredsløb og slette dataene og nøglen i RAM'erne 83 og 84, således som det er beskrevet ovenfor, i det tilfælde, at der gøres forsøg på 15 at åbne sikkerhedsmodulet 50 ved hjælp af mekaniske midler.

Huset af rustfrit stål og omfattende husdelene 90 og 91, pladen 101 og metalbåndene og trådene, som er indeholdt i udstøbningen 110, tilvejebringer et modul, der yderligere eliminerer muligheden for at afsløre detaljer ved apparatet 20 i henseende til apparatets konstruktion og funktioner ved at udsætte apparatet for radiomagnetisk stråling, specielt røntgenstråler, eller ved at tappe modulet ved hjælp af meget følsomt elektronisk lytteudstyr, da modulet er et magnetisk og elektrisk skærm- og radiotæt modul.

25 Den elektroniske implementation af apparatet ifølge opfindelsen kan realiseres på talrige måder, der er åbenbare for fagfolk, da de elektroniske komponenter, såsom mikroprocessorerne 73 og 76, PROM'erne 82, 85 og 86, RAM'erne 83 og 84, tilfældighedstalgeneratoren 53, DES-kredsløbet 80 30 meget let kan købes fra et stort antal fabrikanter. Programmeringen af PROM'erne og af mikroprocesserorganerne kan også meget let foretages af fagfolk.

DK 163694 B

41

EKSEMPEL

I én implementation eller udførelsesform af det ovenfor beskrevne apparat udgjordes mikroprocessorerne 73 og 76 af elektroniske kredsløb af typen 8080 fra firmaet Intel 5 Corporation, PROM'erne 82, 85 og 86 udgjordes af elektroniske kredsløb af typen HN 462716 G fra firmaet Hitachi, RAM'erne 83 og 84 udgjordes af elektroniske kredsløb af typen 2114 L-2 fra firmaet Signetics, tilfældighedstalgeneratoren 53 udgjordes af software i mikroprocessoren 76, 10 grænsefladen 79 udgjordes af et elektronisk kredsløb af typen Z-80A SIO/2 fra firmaet Zilog, og batteri- eller "back up"-strømforsyning 87 udgjordes af et lithiumbatteri-element. DES-Krypteringskredsløbet 80 udgjordes af en type 8294 datakrypteringsenhed fra firmaet Intel Corporation.

15 Selv om opfindelsen er blevet beskrevet ovenfor under henvisning til tegningen, er opfindelsen ikke begrænset til de på tegningen viste udførelsesformer. Selv om opfindelsen er blevet beskrevet i en udførelsesform, i hvilken krypteringen foretages ved hjælp af en DES algoritme, kan vilkårlige 20 andre højhemmeligholdelses- og højsikkerhedssikrende krypteringsalgoritmer benyttes, fx en offentlig nøglealgoritme. Off-line-verifikationen kan desuden foretages med eller uden brug af kryptering af dataene og af koden, som skal sammenlignes indbyrdes. De data, som læses fra kortet eller 25 hidrører fra de fra kortet læste data, kan desuden verificeres i forhold til PIN-koden, som indlæses ved hjælp af tastaturet i sikkerhedsmodulet, i almindelig tekst, dvs. indirekte, ved benyttelse af den i PROM'erne lagrede verifikationsalgoritme eller, således som det er nævnt ovenfor 30 i en vilkårlig bearbejdet eller "offset"-version af de fra kortet læste data. Det i fig. 4 viste sikkerhedsmodul kan endvidere modificeres ved, at der tilvejebringes flere indlæse/udlæseorganer svarende til de indlæse/udlæseorga-ner, som er angivet med henvisningsbetegnelserne 74 og 75, 35 til kommunikation med tilhørende højhemmeligholdelses- og højsikkerheds-on-line-verifikations-dataanlæg eller -sy-

Claims (14)

1. Apparat, (10,49) der kommunikerer med mindst to forskellige dataanlæg eller 20 datasystemer (18,40), og er indrettet til at modtage data hidrørende fra data læst fra et databærende kort (21,22,23,24), til at modtage et kortidentificerende signal, som positivt identificerer kortet som et kort hørende til et første dataanlæg eller datasystem (40) eller i 25 stedet som et kort hørende til et andet dataanlæg eller datasystem (18) og til at transmittere dataene hidrørende fra de fra kortet læste data til et første af dataanlæggene eller datasystemerne (40) eller i stedet til at verificere autenticiteten af en person, som er i besiddelse af kortet, 30. forhold til et andet af dataanlæggene eller datasystemerne (18), hvilket apparat omfatter: et dataindlæseorgan (79) til at modtage dataene hidrørende fra de fra kortet (21,22,23,24) læste data og til at modtage det kortidentificerende signal og DK 163694B 43 et indlæseorgan (46) til at indlæse en personautenticitets-kode, kendetegnet ved, at det omfatter et første lagerorgan (80,82) til at lagre en første krypteringsalgorit-5 me og en transmissionsprotokol, et andet lagerorgan (85,86) til at lagre en verifikationsalgoritme, et krypteringsorgan (82), der styres af dataindlæseorganet (79) og af det første lagerorgan (80,82), der krypterer 10 dataene og koden, så at de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af den første krypteringsalgoritme, som er lagret i det første lagerorgan (80,82), forudsat kortet (21) er identificeret som et kort hørende til det første dataanlæg eller det 15 første datasystem (40), og udlæses til det første dataanlæg eller datasystem (40) styret af den i det første lagerorgan lagrede transmissionsprotokol, og et komparatororgan (76), der styres af dataindlæseorganet (79) og det andet lagerorgan (85,86), til at sammenligne de 20 data, som hidrører fra de fra kortet (22,23,24) læste data, og koden, så at der, forudsat kortet (22,23,24) er identificeret som et kort hørende til det andet dataanlæg (18) eller det andet datasystem (18), overføres en autenticitet skode til det andet dataanlæg eller det andet datasystem 25 i det tilfælde, at de data, som hidrører fra de fra kortet læste data, er verificeret i forhold til koden ved benyttelse af den i det andet lagerorgan lagrede verifikationsalgoritme eller i stedet overføres en ikke-autenticitets-kode til det andet dataanlæg eller datasystem i det til-30 fælde, at de data, som hidrører fra de fra kortet (22,23,24) læste data ikke er verificeret i forhold til koden ved benyttelse af den i det andet lagerorgan lagrede verifikationsalgoritme. DK 163694 B 44

2. Apparat ifølge krav 1, kendetegnet ved, at det har et yderligere kryp-teringsorgan, idet en anden krypteringsalgoritme er lagret i det andet lagerorgan (85,86), hvilket yderligere kryp-5 teringsorgan styres af dataindlæseorganet (79) og af det andet lagerorgan (85,86) på en sådan måde, at, forudsat kortet er identificeret som et kort (22,23,24) hørende til det andet dataanlæg (18) eller det andet datasystem (18), de data, som hidrører fra de fra kortet læste data, og 10 koden krypteres i det yderligere krypterings organ ved benyttelse af den anden i det andet lagerorgan lagrede krypteringsalgoritme før sammenligningen af dataene og koden i komparatororganet.

3. Apparat ifølge krav 1 eller 2, 15 kendetegnet ved, at det yderligere har et tredje lagerorgan til lagring af en yderligere verifikationsalgoritme, idet kortidentifikationssignalet yderligere sikkert identificerer kortet som et kort hørende til det ene af de nævnte tre eller flere dataanlæg eller datasystemer, 20 og idet komparatororganet yderligere styres af dataindlæseorganet og det tredje lagerorgan for at sammenligne de data, som hidrører fra de fra kortet læste data og koden, så at der, forudsat kortet er identificeret som et kort hørende til det tredje dataanlæg eller datasystem, tilføres 25 en autenticitetskode til det tredje dataanlæg eller datasystem i det tilfælde, at de data, som hidrører fra de fra kortet læste data, er verificeret i forhold til koden ved benyttelse af den i det tredje lagerorgan lagrede verifikationsalgoritme, eller i stedet en ikke-autenticitetskode 30 til det tredje dataanlæg eller datasystem i det tilfælde, at de data, som hidrører fra de fra kortet læste data, ikke er verificeret i forhold til koden ved benyttelse af den i det tredje lagerorgan lagrede verifikationsalgoritme.

4. Apparat ifølge krav 2 og 3, 35 kendetegnet ved, at det har endnu et yderligere krypteringsorgan, idet der i det tredje lagerorgan er DK 163694B 45 lagret en tredje krypteringsalgoritme, hvilket endnu et yderligere krypteringsorgan styres af dataindlæseorganet og det tredje lagerorgan på en sådan måde at, forudsat kortet er identificeret som et kort hørende til det tredje dataan-5 læg eller datasystem, de data, som hidrører fra de fra kortet læste data, og koden krypteres i det endnu yderligere krypteringsorgan ved benyttelse af den i det tredje lagerorgan lagrede tredje krypteringsalgoritme før sammenligningen af dataene og koden i komparatororganet.

5. Apparat ifølge krav 2 eller 4, kendetegnet ved, at krypteringsorganerne udgøres af et enkelt krypteringsorgan (82).

6. Apparat, ifølge et hvilket som helst af kravene 1-4 kendetegnet ved, at det andet lagerorgan i stedet 15 for at være beregnet til at lagre en verifikationsalgoritme er beregnet til at lagre en anden krypteringsalgoritme og en anden transmissionsprotokol, og at komparatororganet er udeladt og krypteringen styres af dataindlæseorganet (79) og det ene af det første (80,82) og 20 andet lagerorgan (84,85) på en sådan måde, at, forudsat kortet (21) er identificeret som et kort hørende til det første dataanlæg eller datasystem (40), de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af den første krypteringsalgoritme, som er 25 lagret i det første lagerorgan (80,83), og udlæses til det første dataanlæg eller datasystem (40) styret af den første transmissionsprotokol, som er lagret i det første lagerorgan, eller i stedet på en sådan måde at, forudsat kortet er identificeret som et kort (22,23,24) hørende til det andet 30 dataanlæg eller datasystem (40), de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af den anden krypteringsalgoritme, som er lagret i det andet lagerorgan (84,85), og udlæses til det andet dataanlæg eller datasystem (40) styret af den anden transmis-35 sionsprotokol, som er lagret i det andet lagerorgan. DK 163694 B 46

7. Apparat ifølge krav 6, kendetegnet ved, at det har et yderligere krypteringsorgan, idet et første af krypteringsorganerne (82) styres af dataindlæseorganet (79) og af det første lageror-5 gan (83) på en sådan måde, at, forudsat kortet (21) er identificeret som et kort hørende til det første dataanlæg eller det første datasystem (40), de data, som hidrører fra de fra kortet læste data, og koden krypteres i det første krypteringsorgan, og idet et andet af krypteringsorganerne 10 (82) styres af dataindlæseorganet (79) og af det andet lagerorgan (84,85) på en sådan måde, at, forudsat kortet er identificeret som et kort hørende til det andet dataanlæg eller det andet datasystem (40), de data, som hidrører fra de fra kortet læste data, og koden krypteres i det andet 15 krypteringsorgan.

8. Apparat ifølge krav 6, der er indrettet til at kommunikere med mindst tre eller flere dataanlæg eller -systemer, kendetegnet ved, at det har et tredje lagerorgan (83,84,85) til lagring af en tredje krypteringsalgoritme og 20 en tredje transmissionsprotokol, idet kortidentifikationssignalet yderligere positivt identificerer kortet som et kort hørende til det ene af de nævnte tre eller flere dataanlæg eller datasystemer, og idet krypteringsorganeme (82) yderligere styres af det tredje lagerorgan på en sådan 25 måde, at, forudsat kortet er identificeret som et kort hørende til det tredje dataanlæg eller datasystem, de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af den tredje krypteringsalgoritme, som er lagret i det tredje lagerorgan, og udlæses til det 30 tredje dataanlæg eller datasystem styret af den tredje transmissionsprotokol/ som er lagret i det tredje lagerorgan.

9. Apparat ifølge krav 7 og 8, kendetegnet ved, at det har et tredje krypte-35 ringsorgan, som styres af dataindlæseorganet og af det tredje lagerorgan på en sådan måde, at, forudsat kortet er DK 163694 B 47 identificeret som et kort hørende til det tredje dataanlæg eller -system, de data, som hidrører fra de fra kortet læste data, og koden krypteres i det tredje krypteringsorgan.

10. Apparat ifølge krav 6 eller 7, kendetegnet ved, at det kommunikerer med mindst tre eller flere dataanlæg eller -systemer, og at det yderligere har et tredje lagerorgan til lagring af en verifikationsalgoritme samt et komparatororgan, idet kortidentifi-10 kationssignalet yderligere positivt identificerer kortet som et kort hørende til det ene af de tre eller flere dataanlæg eller datasystemer, og idet komparatororganet styres af dataindlæseorganet og af det tredje lagerorgan til sammenligning af de data, som hidrører fra de fra 15 kortet læste data, og koden på en sådan måde, at der, forudsat kortet er identificeret som et kort hørende til det tredje dataanlæg eller datasystem, afgives en autenticitetskode til det tredje dataanlæg eller datasystem i det tilfælde, at de data, som hidrører fra de fra kortet læste 20 data, er verificeret i forhold til koden ved benyttelse af den i det tredje lagerorgan lagrede verifikationsalgoritme, eller at der i stedet afgives en ikke-autenticitetskode til det tredje dataanlæg eller datasystem i det tilfælde, at de data, som hidrører fra de fra kortet læste data, ikke er 25 verificeret i forhold til koden ved benyttelse af den i det tredje lagerorgan lagrede verifikationsalgoritme.

11. Apparat ifølge krav 7-10, kendetegnet ved, at det har et tredje krypteringsorgan, idet der i det tredje lagerorgan yderligere er 30 lagret en tredje krypteringsalgoritme, og idet det tredje krypteringsorgan styres af dataindlæseorganet og af det tredje lagerorgan på en sådan måde, at, forudsat kortet er identificeret som et kort hørende til det tredje dataanlæg, de data, som hidrører fra de fra kortet læste data, og 35 koden krypteres i det tredje krypteringsorgan ved benyttelse af den i det tredje lagerorgan lagrede tredje krypte- DK 163694B 48 ringsalgoritme før sammenligningen af dataene og koden i komparatororganet.

12. Apparat ifølge et hvilket som helst af de foregående krav, 5 kendetegnet ved, at det yderligere har et identifikationsorgan til at modtage de data, som hidrører fra de fra det databærende kort læste data, og til at generere det kortidentificerende signal, som positivt identificerer kortet som et kort hørende til et af dataanlæggene eller -10 systemerne eller som et kort, der ikke hører til nogen af dataanlæggene eller -systemerne.

13. Fremgangsmåde, til kommunikation med mindst to forskellige dataanlæg eller datasystemer (18,40), til modtagelse af data hidrørende fra 15 data læst fra et databærende kort (21,22,23,24) og til transmission af data hidrørende fra de fra kortet (21,22,23,24) læste data til et første af dataanlæggene eller datasystemerne (40) eller i stedet til verifikation af autenticiteten af en person, som er i besiddelse af 20 kortet, i forhold til et andet af dataanlæggene eller datasystemerne (18), hvilken fremgangsmåde omfatter: læsning af dataene fra kortet (21,22,23,24) ved hjælp af et læseorgan, identifikation af kortet på basis af de fra læseorganet 25 modtagne data som et kort hørende til det første dataanlæg eller datasystem (40), som et kort hørende til det andet dataanlæg eller datasystem (18) eller som et kort, der ikke hører til nogen af dataanlæggene eller datasystemerne, indlæsning (46) af en personautenticitetskode, (PIN), 30 kendetegnet ved kryptering af de data, som hidrører fra de fra kortet (21) læste data, og koden, forudsat kortet (21) er identificeret som et kort hørende til det DK 163694B 49 første dataanlæg eller datasystem (40), idet de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af en krypteringsalgoritme (82) og udlæses til det første dataanlæg eller datasystem styret af en 5 transmissionsprotokol, og sammenligning (76) af de data, som hidrører fra de fra kortet læste data, og koden, forudsat kortet er identificeret som et kort hørende til det andet dataanlæg eller datasystem (18), idet der til det andet dataanlæg eller 10 datasystem overføres en autenticitetskode i det tilfælde, at de data, som hidrører fra de fra kortet læste data, verificeres i forhold til koden ved benyttelse af en verifikationsalgoritme, eller idet der i stedet overføres en ikke-autenticitetskode til det andet dataanlæg eller data-15 system i det tilfælde, at de data, som hidrører fra de fra kortet læste data, ikke verificeres i forhold til koden ved benyttelse af verifikationsalgoritmen.

14. Fremgangsmåde, ifølge krav 13 kendetegnet ved, at sammenligningen af data fra 20 kortet og koden samt overføringen af en ikke-krypteret autenticitet er udeladt, og at de data, som hidrører fra de fra kortet læste data og koden, krypteres ved benyttelse af en første krypteringsalgoritme, forudsat kortet identificeres som et kort hørende til det første dataanlæg eller 25 datasystem, og udlæses til det første dataanlæg eller datasystem (40) styret af en første transmissionsprotokol, eller i stedet så at de data, som hidrører fra de fra kortet læste data, og koden krypteres ved benyttelse af en anden krypteringsalgoritme, forudsat kortet er identifi-30 ceret som et kort hørende til det andet dataanlæg eller datasystem (40), og udlæses til det andet dataanlæg eller datasystem styret af en anden transmissionsprotokol.