EA002994B1 - Способ изменения неделимым образом множества ячеек энергонезависимой памяти в карточке с микросхемой, в частности в бесконтактной карточке - Google Patents

Способ изменения неделимым образом множества ячеек энергонезависимой памяти в карточке с микросхемой, в частности в бесконтактной карточке Download PDF

Info

Publication number
EA002994B1
EA002994B1 EA200001048A EA200001048A EA002994B1 EA 002994 B1 EA002994 B1 EA 002994B1 EA 200001048 A EA200001048 A EA 200001048A EA 200001048 A EA200001048 A EA 200001048A EA 002994 B1 EA002994 B1 EA 002994B1
Authority
EA
Eurasian Patent Office
Prior art keywords
card
terminal
command
session
memory
Prior art date
Application number
EA200001048A
Other languages
English (en)
Other versions
EA200001048A1 (ru
Inventor
Стефан Дидье
Франсуа Грие
Original Assignee
Энноватрон Электроник Сосьете Аноним
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=9525063&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=EA002994(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Энноватрон Электроник Сосьете Аноним filed Critical Энноватрон Электроник Сосьете Аноним
Publication of EA200001048A1 publication Critical patent/EA200001048A1/ru
Publication of EA002994B1 publication Critical patent/EA002994B1/ru

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3672Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes initialising or reloading thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3676Balancing accounts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/10Programming or data input circuits
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99951File or database maintenance
    • Y10S707/99952Coherency, e.g. same view to multiple users
    • Y10S707/99953Recoverability

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Finance (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Credit Cards Or The Like (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Карточку временно подключают к терминалу во время выполнения транзакции, причем транзакция включает в себя подачу из терминала в карточку множества команд изменения, каждая из которых содержит, по меньшей мере, одну операцию записи в память карточки соответствующего элемента данных, обозначенного этой командой, причем различные элементы данных, записываемые таким образом, являются взаимозависимыми. Способ включает выполнение карточкой следующих этапов: а) после соответствующего приема соответствующих команд из терминала она изменяет содержимое памяти карточки путем условной записи в памяти карточки каждого из упомянутых независимых элементов данных информации без потери предыдущих значений, соответствующих упомянутым элементам, а затем б) завершают изменения либо подтверждением, либо отклонением всех упомянутых изменений, так что при последующих операциях команды, выполненные на этапе а), либо будут все учтены, либо все будут безрезультатными.

Description

Изобретение относится к карточкам с микросхемами, а более конкретно - к карточкам с микропроцессорами, которые сами вносят различные изменения в свою собственную энергонезависимую память.
При выполнении транзакции (деловой операции), память в общем случае изменяется один или несколько раз и, естественно, необходимо гарантировать, что все изменения были выполнены правильно, до наступления того момента, когда понадобится использовать вновь записанную информацию, и что эта вновь записанная информация будет проигнорирована или стерта в случае ошибки или записи, страдающей искажениями.
В патенте США № 4877945А описано, как обнаружить аномалию, которая возникает при осуществлении последовательности записи множества элементов данных, чтобы предотвратить продолжение транзакции на ошибочной основе.
В случае аномалии, также целесообразно иметь возможность восстановить статус-кво, т. е. обеспечить для следующей транзакции такое положение, чтобы можно было обрабатывать значения информации, которые были записаны в карточку, до осуществления неправильной транзакции.
В вышеупомянутом патенте США № 4877945А это преимущество не предлагается, поскольку в некоторых случаях старые значения информации будут потеряны во время осуществления неправильной транзакции, так что будет невозможно восстановить упомянутую информацию до ее ранее существовавшего состояния; по меньшей мере, это будет не просто сделать на основе информации, содержащейся в карточке.
В международной заявке ^Θ-Α-89/02140 описан один такой способ работы, но он применим только в случае, когда изменен один элемент информации или когда изменяют множество элементов информации независимо друг от друга.
Однако во многих случаях необходимо изменять множество элементов информации в течение одной транзакции, и их считают взаимозависимыми, когда их нужно обрабатывать вместе, чтобы гарантировать, что все изменения внесены во множество элементов информации надлежащим образом.
Риск несовершенной или незавершенной транзакции, связанный с множеством независимых элементов информации, является высоким, в частности, в случае карточек бесконтактного типа, в которых не ощущаются границы объема, в пределах которого карточка может правильно работать в терминале. При таких обстоятельствах существует значительный риск неожиданного прерывания связи между карточкой и терминалом до окончания обработки или вследст вие переходного возмущения, например - прохождения некоторой массы металла рядом.
Примером (который, естественно, не является ограничительным) служит применение такой карточки в транзакции дистанционного заказа билетов, т.е. для доступа в общественную транспортную сеть, когда карточка играет две роли: роль, присущую билету для проезда, и роль, присущую электронному кошельку.
Уже предложены несколько решений, преодолевающих в какой-то степени вышеупомянутые трудности и способствующих неделимому внесению множества записей или других изменений в независимые элементы данных.
Например, в конкретном приложении, о котором шла речь выше, известные системы начинают работу дебетованием кошелька, а затем они регистрируют права на проезд, приобретенные пользователем. Если пользователь извлекает карточку между этими двумя операциями, то пользователя приглашают представить карточку снова и повторно начинают запись прав на проезд. Однако, если пользователь уйдет, не представляя карточку снова, то он останется ни с чем. Очевидно, что невозможно действовать в обратном порядке, поскольку пользователь тогда попытался бы забрать карточку до дебетования кошелька.
Такое решение подразумевает, что терминал специально сконфигурирован с возможностью - в случае прерывания - активизировать проведение обработки для управления повторным началом транзакции (повторной вставкой карточки в терминал по запросу). Помимо усложнения программного обеспечения терминала, такое решение не вполне удовлетворительно, поскольку, как упоминалось, пользователь попрежнему может остаться ни с чем в случае, если транзация не начинается снова.
Другое решение заключается в пересечении (просмотре) данных, когда терминал сохраняет информацию о состоянии кошелька в карточке, и наоборот. Однако это решение неудовлетворительно в любом случае, потому что, помимо своей сложности, оно увеличивает объем данных, которыми обмениваются карточка и терминал, а значит - замедляет проведение транзакции. Его также трудно применить, когда большое число (три или более) записей приходится делать неделимыми.
Одна из задач изобретения состоит в том, чтобы предложить способ, обеспечивающий внесение множества изменений в памяти карточки неделимым образом.
Другая задача изобретения состоит в том, чтобы предложить такой способ, которым могла бы полностью управлять карточка. Таким образом, этот способ может быть реализован без изменения терминалов и без какой-либо потребности в проведении обработки в терминалах, при этом способ использует синтаксис существующих команд и поэтому является очень гибким в смысле команд, которые можно выбирать.
Способ, согласно изобретению является способом того типа, при котором карточку временно подключают к терминалу во время проведения транзакции, причем транзакция включает в себя подачу из терминала в карточку множества команд изменения, каждая из которых содержит, по меньшей мере, одну операцию записи в память карточки соответствующего элемента данных, обозначенного этой командой, при этом различные элементы данных, записываемые таким образом, являются взаимозависимыми. Способ согласно изобретению отличается тем, что включает выполнение карточкой следующих этапов: а) после соответствующего приема соответствующих команд из терминала она изменяет содержимое памяти карточки путем условной записи в памяти карточки каждого из упомянутых независимых элементов данных информации без потери предыдущих значений, соответствующих упомянутым элементам, а затем б) оканчивает изменения, либо все их подтверждая, либо все их отклоняя, так что при последующих операциях команды, выполненные на этапе а), либо будут все учтены, либо все будут безрезультатными.
Таким образом, принцип, на котором основано изобретение, заключается в том, что группируют воедино множества изменений, которые нужно внести неделимым образом за один этап а), а затем - после осуществления изменений в карточке верифицируют все эти изменения. Если верификация успешна, то на следующей операции, проводимой карточкой (во время той же транзакции или во время последующей транзакции), доступное содержимое обязательно будет отражать изменения, которые внесены.
И наоборот, любое прерывание в работе карточки, имеющее место на этапе а), уничтожит все внесенные изменения, и данные в энергонезависимой памяти останутся в состоянии, имевшем место перед этапом а).
В конкретной реализации способа согласно изобретению в случае подтверждения на этапе б) флаг, подтверждающий надлежащее выполнение, записывают в памяти карточки, а когда карточка впоследствии принимает команду, требующую осуществить считывание или изменение, по меньшей мере, одного из элементов данных, записанных на этапе а), или соответствующего ему значения, карточка начинает работать, проверяя состояние флага, и если он не записан, карточка игнорирует или удаляет условные записи, сделанные ранее на этапе а), и выполняет команду на основе упомянутых предыдущих значений, соответствующих элементам данных. Если во время проверки карточкой состояния флага обнаруживается, что он записан, то карточка может выполнять операции копирования условных записей, сделанных на этапе а).
В наиболее предпочтительном варианте реализации изобретения карточка пригодна для работы в двух режимах, а именно: во внутрисеансовом режиме, в котором записи делают путем выполнения этапов а) и б), и во внесеансовом режиме, в котором внесение записей не подтверждается для всех этапов а) и б).
Начало сеанса может быть неявным, например, путем обнуления карточки, или оно может последовать за командой, вызывающей два действия: выполнение предварительно определенной операции и интерпретацию в качестве команды начать сеанс.
Например, когда обычно сертифицируемая запись не сопровождается сертификатом, карточка автоматически начинает сеанс, во время которого происходит обработка записи.
Точно так же завершение сеанса может быть неявным и происходить после команды, которая вызывает два действия: выполнение предварительно определенной операции и интерпретацию в качестве команды завершить сеанс.
Например, операция дебетования кошелька завершает сеанс, исключая таким образом любую необходимость задержать передачу получаемого сертификата и давая возможность сделать неотличимыми сертификаты сеанса и сертификаты транзакций, осуществляемых с помощью кошельков.
В наиболее предпочтительном варианте реализации изобретения способ включает функцию аутентификации, объединенную с функцией завершения этапа б), за счет чего происходит принудительное отклонение этапа б) в случае безуспешной аутентификации.
В первом варианте реализации изобретения упомянутую аутентификацию выполняет карточка, которая аутентифицирует терминал и/или данные, которыми терминал обменивается с карточкой, причем карточка контролирует криптографический сертификат, создаваемый терминалом и передаваемый в карточку, и подтверждает изменения, внесенные на этапе б), только в случае, если сертификат признан правильным.
В режиме с сеансом можно предусмотреть такое условие, что, когда карточка принимает из терминала команды изменения содержимого памяти, включая создание криптографического сертификата, упомянутую верификацию проводят, если прием команды происходит вне сеанса, и не проводят, если прием команды происходит в сеансе.
Иными словами, те из команд, которые карточка выполняет на этапе б) и которые должны в обычных обстоятельствах (т.е. вне сеанса) верифицировать криптографический сертификат, больше не включают эту верификацию, когда их выполняют в сеансе, при этом сертификат сеанса, аутентифицирующий терминал выполняет эквивалентную функцию.
Во втором варианте реализации изобретения упомянутую аутентификацию выполняет терминал, который аутентифицирует карточку и/или данные, которыми обмениваются терминал и карточка, причем карточка создает и передает криптографический сертификат обычным способом в терминал, если и только если изменения подтверждены на этапе б).
В режиме с сеансом можно предусмотреть такое условие, что, когда карточка принимает из терминала команды изменения содержимого памяти, включая создание криптографического сертификата, упомянутое создание осуществляют, если прием команды происходит вне сеанса, и не осуществляют, если прием команды происходит в сеансе.
Иными словами, те из команд, которые выполняются карточкой на этапе б) и которые должны в обычных обстоятельствах (т.е. вне сеанса) создавать криптографический сертификат, больше не включают это создание, когда они выполняются в сеансе, при этом сертификат сеанса, аутентифицирующий терминал выполняет эквивалентную функцию.
Предусмотрено и такое условие, что, когда карточка на этапе б) принимает из терминала команды изменения содержимого памяти, включая создание множества криптографических сертификатов, эти сертификаты запоминают на этапе б), а затем вместе передаются в терминал, только в случае, если изменения подтверждены на этапе б).
Иными словами, предусмотрено условие задержки передачи карточкой криптографических сертификатов, создаваемых по командам на этапе б). В частности, если сертифицированная команда записи создает некоторый сертификат записи, то будет целесообразным, чтобы сертификат покидал карточку только после осуществления записи без отмены.
В конкретном варианте реализации изобретения, по меньшей мере, некоторые из команд, которые могут быть выполнены на этапе б), включают в себя необязательный запрещающий атрибут, и если карточка выполняет такую команду в сеансе на этапе б), то изменения, вносимые по упомянутой команде, остаются в силе независимо от результата этапа б).
Иными словами, атрибут определяет, выполнялась ли команда в сеансе (т.е. будет аннулирована, если сеанс не завершен) или вне сеанса (т.е. все равно будет результативной, хотя и выполнена вне сеанса, даже если хронологически она проходит в сеансе).
В наиболее предпочтительном варианте реализации изобретения, после этапа б) и в случае подтверждаемых изменений, изобретение также предусматривает следующую последовательность этапов: г) терминал выполняет свою функцию после подтверждения карточкой, и д) в случае, если терминал выполнит упомянутую функцию надлежащим образом, информацию о ратификации записывают в карточку для последующего доступа путем считывания.
Такая ратификация сеанса информирует карточку о том, что терминал на самом деле оказался способным принимать решения (т.е. снимает препятствие в приложении, где речь идет о получении доступа в общественную транспортную сеть) с последующим проведением сеанса.
Следует отметить, что карточка управляет этой ратификацией, не нуждаясь в дополнительной записи (копировании условных записей, являющемся операцией, которую рано или поздно придется выполнить). Кроме того, это копирование выполняется на карточке лишь при условии, что на терминале надлежащим образом выполнено действие, т.е. только в случае, если вся транзакция удовлетворяет требованиям.
При выполнении всех операций, которыми управляет карточка, можно в предпочтительном варианте реализации изобретения предусмотреть условие выполнения команды записи на этапе д) как неявной команды, при этом любая команда, принимаемая карточкой после этапа б), интерпретируется как команда записи информации о ратификации в карточку.
Другие характеристики и преимущества станут ясны из нижеследующего описания двух вариантов реализаций изобретения.
В этих примерах и далее по всему тексту слово обозначить употребляется в смысле задать один из множества и относится к действию, которое заключается в характеристике некоторого конкретного элемента информации среди различных элементов информации, содержащихся в карточке.
Такое обозначение может быть неявным, поскольку сама команда задает конкретный элемент информации; например, команда дебетовать сумму х из кошелька обозначает ячейку памяти, которая содержит значение элемента данных баланса кошелька.
Обозначение также может быть явным, как, например, в нижеследующем примере 1, где предусмотрено условие, согласно которому команды записи имеют адрес или идентификатор сектора, и при этом команды помечены индексом ΐ.
Пример 1.
Предлагается карточка, которая запоминает 100 восьмибайтовых значений и может выполнить следующие команды:
- считывание восьмибайтового значения ν как заданного индексом ί в диапазоне 1-100;
- запись восьмибайтового значения ν как заданного индексом ί в диапазоне 1-100;
- начало сеанса;
- завершение сеанса.
Карточка должна обеспечивать проведение до трех записей в пределах одного сеанса.
Обычно для обозначения значений в энергонезависимой памяти (например, электрически стираемой программируемой постоянной памяти - ЭСППП) используют прописные буквы, а для обозначения значений в энергозависимой памяти (оперативной памяти или памяти с произвольным доступом - ППД, содержимое которой теряется при отключении питания) используют строчные буквы.
Одна зона энергонезависимой памяти выделена для запоминания основных данных карточки (окончательных записей):
- У[1], для ί в диапазоне 1-100: 100 х 8 байт. Другая зона энергонезависимой памяти выделена для запоминания механизма сеанса и содержит
- Т[к], для _) в диапазоне 1-3: 3х8 байт, содержащее значения, записанные во время сеанса (условные записи);
- 1[к], для _) в диапазоне 1-3: 3х8 байт, содержащее индексы, записанные во время сеанса; и
- С: счетный байт, который записывается в конце сеанса.
С кодирует число записей, сделанных в сеансе; подходящий механизм четности (например, связывающий дополнение упомянутого значения) дает возможность обнаружить случай, когда значение, запомненное в упомянутом счетном байте, является неопределенным.
Операции происходят следующим образом.
Этап 0: в некоторый момент между подачей электропитания в карточку и выполнением первой команды осуществляется проверка С. Если он представляет собой значение, которое определено в диапазоне 1-3, то, для к от 1 до С, из таблицы У[1] копируют значение Т[к] с индексом 1[к]. Затем С устанавливают равным нулю, а внутреннюю переменную _) устанавливают равной -1 (чтобы указать, что сеанс не начался).
Этап 1: при считывании проводят тест, чтобы увидеть, соблюдается ли неравенство _) > 0, и если оно соблюдается, то запрашиваемый индекс ί сравнивают со значениями 1[к] для к от _) до 1 в убывающем порядке. Если имеет место совпадение, то возвращают Т[к]. Во всех остальных случаях возвращают У[1].
Этап 2: в начале сеанса инициализируют у устанавливая его на 0 (если сеанс уже начался, то этот этап аннулируется).
Этап 3: при каждой записи, если _) = -1 (сеанс не начался), переданное значение ν записывают в Т[0], переданный индекс ν записывают в Ι[0], а затем записывают С = 1, после чего ν записывают в У[1] и записывают С = 0; если 0 < _) < 3 (запись в сеансе), то _) увеличивают на 1, ν записывают в Т[]], а ί записывают в Ι[]]; если _) = 3, происходит отказ от операции (превышен предел записей в сеансе).
Этап 4: при закрытии сеанса, если _) > 0, _) записывают в С, а затем, для _) от 1 до С, копируют значение Т|)| с индексом Ι|)| из таблицы У[ ]. Затем С устанавливают равным 0, а.) - равным -1.
Становится ясным, что хотя электропитание карточки может быть прервано в любой момент, и что считываемые значения будут правильными, т.е. для каждого индекса ί это будет последнее значение, записанное не в сеансе, или записанное в сеансе, который завершен (запись завершена или сеанс завершен в момент, когда в С записали ненулевое значение).
Чтобы воспрепятствовать некоторым операциям, если криптографический сертификат, представляемый в карточку, является неправильным, и/или чтобы обеспечить выдачу криптографических сертификатов в карточку в конце некоторых операций, вводится криптография.
Используемые криптографические сертификаты основаны на известном типе криптографии. Например, сертификат сеанса, аутентифицирующий карточку (или терминал) получают путем применения защищенного алгоритма хеширования (ЗАХ) на карточке и на терминале к данным, представляемым карточкой (или терминалом) и к некоторому случайному числу, представляемому терминалом (или карточкой), когда начинается сеанс; код аутентификации сообщения (КАС), который получается в результате, подписывается карточкой (или терминалом) с помощью алгоритма цифровой подписи (АлЦП) и с использованием секретного ключа, содержащегося в карточке (или терминале); терминал (или карточка) верифицирует подпись, пользуясь открытым ключом. Для получения КАС и/или формирования подписей также можно использовать симметричный криптографический алгоритм, такой как стандарт шифрования данных (СШД).
В одном варианте реализации изобретения этап получения КАС является общим в обоих направлениях аутентификации и имеет отношение ко всем данным сеанса. При использовании симметричной криптографии сертификат, аутентифицирующий карточку, и сертификат, аутентифицирующий терминал, получают за один этап шифрования КАС, а соответствующие сертификаты карточки и терминала получают из них с помощью элементарной операции, такой как извлечение некоторых предварительно определенных битов.
Пример 2.
В этом примере реализации изобретения данные памяти организованы в виде секторов, причем каждый сектор содержит четыре поля:
1. данные;
2. идентификатор (ключа доступа, разрешающего выбор сектора);
3. релевантность: для определения того, какой сектор является релевантным (подходя щим), если два сегмента имеют одинаковый идентификатор; и
4. контроль: для верификации того, что три предшествующих поля не искажены (например, путем проведения контроля на четность).
Сектор обозначают его идентификатором, причем это обозначение заменяет обозначение адреса. Процедура записи в сектор имеет идентификатор в качестве параметра вместе с данными для связи с таким идентификатором. Процедура считывания сектора имеет идентификатор в качестве своего параметра, и она возвращает данные, которые были связаны с идентификатором в последнем случае проведения записи с использованием такого идентификатора (или надлежащее указание, если идентификатор ранее никогда не использовался). Иными словами, вместо индексируемого доступа реализуется ассоциативный тип доступа.
Во время процедуры считывания сектора карточка осуществляет поиск секторов, имеющих идентификаторы, содержащие запрашиваемое значение, и являющиеся неискаженными (что определяется полем контроля). Когда множество секторов удовлетворяет этим двум критериям, конкретный сектор сохраняется на основании поля релевантности.
При записи сектора карточка записывает в доступном секторе следующее: запрашиваемые данные, идентификатор, поле релевантности, такое, что во время процедуры считывания этот сектор будет наиболее релевантным из неискаженных секторов, обладающих этим идентификатором, и поле контроля, согласующее три предыдущих поля (иными словами, управление записью таково, что последующее считывание может происходить надлежащим образом).
За процедурой записи предпочтительно следует стирание сектора, который оказался нерелевантным (неподходящим), путем записи нового сектора, что делает новый сектор доступным.
Предпочтительно также предусмотреть систему, которая обеспечивает чистку памяти (сбор ненужной информации (мусора)), т.е. систему для восстановления секторов, которые не используются либо потому, что они искажены, либо потому, что они не релевантны.
Предпочтительно предусмотреть систему, которая распределяет износ, являющийся результатом записи, гарантируя, что не всегда используются одни и те же секторы, например путем выбора сектора случайным образом среди секторов, которые доступны.
Предпочтительный в общем случае вариант процедуры поиска сектора заключается в том, что используют преимущество этапа поиска для стирания секторов, которые, как обнаружилось, искажены, и/или секторов, которые не являются наиболее релевантными, обновляя таким образом три сектора (что занимает время в процессе конкретного считывания, способст вуя ускорению последующих считываний и записей). Предпочтительно, перед стиранием сектора, который, как обнаружилось, оказался неискаженным, но нерелевантным, снова проводят запись в релевантный сектор, поскольку запись в него могла быть произведена не надлежащим образом.
Рабочая зона памяти равна числу доступных секторов минус один сектор, который должен оставаться стертым. Все секторы (включая стертый сектор) динамически распределяются в пределах памяти.
Если данные приходится структурировать в файлах, например, в случае применения стандарта 7816-4 Международной организации по стандартизации и Международной электротехнической комиссии (ИСО/МЭК), то идентификатор сектора подразделяют на два субполя: идентификатора поля и идентификатора для сектора в пределах файла.
Неограничительная реализация операций считывания-записи с использованием этой конкретной структуры сектора приведена ниже.
Далее следует описание (неограничительной) реализации операций считывания-записи с использованием этой конкретной структуры сектора.
- Поле контроля содержит выраженное в двоичном коде число нулевых битов в остальных трех полях; было обнаружено, что если имеет место некоторая проблема, такая как прерванная запись или стирание, которая изменяет любое число битов в секторе, в одном и том же направлении, то контроль значения поля контроля всегда может способствовать обнаружению возникновения этой проблемы.
- Поле релевантности представляет собой целое число в диапазоне 0-3, закодированное на 2-х битах.
- Процедура считывания обеспечивает последовательное считывание всех секторов до тех пор, пока не обнаружится первый сектор, который обладает искомым идентификатором и который не искажен. Если сектор не обнаружен, то процедура оканчивается сообщением сектор не обнаружен. Если первый такой сектор обнаружен, то его положение запоминают вместе с его данными и его релевантностью р. Поиск продолжается. Если обнаружен второй сектор, который обладает искомым идентификатором и который не искажен, то проверяют, является ли его релевантность с.| остатком от целочисленного деления числа р+1 на 3, если его релевантность является упомянутым остатком, то второй сектор повторно записывают, первый сектор стирают и возвращают данные из второго сектора; в противном случае, повторно записывают первый сектор, стирают второй сектор и возвращают данные из первого сектора. Если второй сектор не обнаружен и если релевантность первого сектора равна 3 ( р=3), то этот сектор стирают и выдают сообщение сектор не обна ружен; в противном случае, возвращаемые данные поступают из первого обнаруженного сектора.
Процедура записи начинается аналогично вышеописанной процедуре считывания. Если обнаружен ранее запомненный сектор, который должен быть возвращен процедурой считывания для заданного идентификатора, то положение этого сектора сохраняют с его релевантностью р (которая равна 0, 1 или 2); если такой сектор не обнаружен, то выбирают свободный сектор (с использованием процедуры, описанной ниже) и записывают в упомянутый сектор поля идентификатора, данных, релевантности р=3 и контроля, а положение и релевантность упомянутого сектора сохраняют. В обоих случаях процедура продолжается выбором свободного сектора (с использованием процедуры, описанной ниже). В этот сектор записывают поля идентификатора, данных, релевантности (вычисляемой как остаток от целочисленного деления числа р+1 на 3) и контроля. Затем ранее запомненный сектор, если он есть, стирают.
- Для поиска свободного сектора число η обнаруженных свободных сторон инициализируют при нуле. Проводят последовательную проверку секторов. Для каждого сектора, который не является пустым и который искажен, осуществляют стирание сектора, так что он становится пустым (внося таким образом вклад в вышеупомянутую чистку памяти); если сектор не искажен и если его релевантность не соответствует р=3, то в еще не просканированной (не просмотренной) зоне осуществляют поиск другого неискаженного сектора, имеющего тот же идентификатор, и если его обнаруживают, то стирают нерелевантный сектор, действуя так же, как при считывании; если в конце этого процесса сектор оказывается пустым, то дают приращение числу η обнаруженных свободных секторов и извлекают случайное целое число в диапазоне от 0 до η-1; если это целое число равно 0, то положение пустого сектора запоминают. Если просканированы все секторы, все непустые секторы не искажены, никакие два сектора не имеют одинаковый идентификатор, то число η пустых секторов известно, и один из них запоминают в качестве случайного выбора, сделанного равновероятным образом. Если свободный сектор не обнаружен, то процедуру записи прерывают.
Ниже описывается способ, с помощью которого карточка может управлять сеансами неделимых изменений, используя такую конкретную структуру сектора.
Для запоминания неделимых изменений карточка имеет N стертых секторов, доступных в энергонезависимой памяти (где N соответствует числу неделимых изменений, внесение которых может потребоваться во время одного сеанса). Кроме того, карточка управляет зоной энергонезависимой памяти (не входящей в сек торы), которая предназначена для управления сеансом и которую называют описателем сеанса.
Эта реализация не имеет аутентификации, специфичной для сеанса.
Описатель сеанса определяется на трех полях:
- списка ссылок на неделимые секторы (ССНС);
- контрольного значения при создании списка ссылок на неделимые секторы (КЗСССНС); и
- контрольного значения, учитывающего список ссылок на неделимые секторы (КЗУССНС), для определения того, завершен ли сеанс.
Этап 0: инициализация: перед первым доступом к данным после ближайшего по времени прерывания работы карточки, например, после сброса в исходное состояние, карточка должна гарантировать, что описатель сеанса стерт. Необходимо учесть несколько случаев в зависимости от состояния описателя сеанса:
- он полностью стерт: карточка оставляет его неизменным;
- он не полностью стерт, а КЗУССНС верен: карточка осуществляет поиск всех секторов, ставших устаревшими, и стирает их (при необходимости), заменяя теми, которые записаны (из тех, на которые есть ссылки в списке), а затем стирает описатель сеанса;
- он не полностью стерт, КЗУССНС стерт или неверен, а КЗСССНС верен: карточка стирает секторы, заданные в ССНС, а затем стирает описатель сеанса; или он не полностью стерт, КЗУССНС стерт или неверен и КЗСССНС стерт или неверен: карточка стирает описатель сеанса.
Этап 1: начало сеанса: карточка осуществляет поиск N стертых секторов, а затем записывает список ссылок на них в КЗСССНС в описателе сеанса (предполагается, что он был стерт).
Этап 2: протекание сеанса: карточка принимает команды. Когда одна из них вызывает одно или несколько изменений, секторы, используемые для записи этих изменений, являются секторами, записанными в ССНС, а их количество в сумме составляет до N измененных секторов.
Этап 3: завершение сеанса: чтобы завершить сеанс, карточка осуществляет запись КЗУССНС, который гарантирует учет ССНС и его КЗСССНС. После этого она осуществляет поиск всех секторов, которые стали устаревшими, и стирает их, заменяя теми, которые записаны (из тех, на которые есть ссылки в списке). Затем она стирает описатель сеанса.
Кроме того, поскольку именно карточка управляет ратификацией, то управление сеансом включает следующие модификации.
Этап 0: инициализация: в случае, когда описатель сеанса не полностью стерт, а
КЗУССНС верен, карточка осуществляет поиск всех секторов, ставших устаревшими, и стирает их, заменяя теми, которые записаны (из тех, на которые есть ссылки в списке), но не стирает описатель сеанса.
Этап 1: начало сеанса: карточка записывает в энергозависимой памяти, что сеанс начался. Если описатель сеанса не является пустым, то карточка указывает, что предыдущий сеанс не ратифицирован, и путем анализа ССНС может даже указать, какие элементы данных не ратифицированы. В любом случае, она не изменяет описатель сеанса.
Этап 2: протекание сеанса: во время первой команды с неделимыми изменениями, карточка стирает описатель сеанса и, при необходимости, осуществляет поиск N стертых секторов, а затем записывает ССНС и его КЗУССНС.
Этап 3: завершение сеанса: карточка записывает в энергозависимой памяти, что начавшихся сеансов нет. Всякий раз, когда это случается, она не стирает описатель сеанса.

Claims (13)

1. Способ изменения содержимого энергонезависимой памяти карточки с микросхемой, в частности бесконтактной карточки, согласно которому карточку временно подключают к терминалу во время выполнения транзакции, в частности транзакции дистанционного заказа билетов, причем транзакция включает в себя подачу из терминала в карточку множества команд изменения, каждая из которых содержит, по меньшей мере, одну операцию записи в память карточки соответствующего элемента данных, обозначенного упомянутой командой изменения, при этом различные элементы данных, записываемые таким образом, являются взаимозависимыми, отличающийся тем, что карточкой
а) после соответствующего приема соответствующих команд из терминала изменяют содержимое памяти карточки путем временной записи в памяти карточки каждого из взаимозависимых элементов данных информации без потери предыдущих значений, соответствующих упомянутым элементам, а затем
б) завершают изменения содержимого памяти ячейки либо подтверждением, либо отклонением всех упомянутых изменений, так что при последующих операциях команды, выполняемые на этапе а), либо будут все учтены, либо все будут безрезультатными.
2. Способ по п.1, отличающийся тем, что в случае подтверждения на этапе б) флаг, подтверждающий надлежащее выполнение, записывают в памяти карточки, а когда карточка впоследствии принимает команду, требующую осуществить считывание или изменение, по меньшей мере, одного из элементов данных, записанных на этапе а), или соответствующего ему значения, карточкой на чинают проверять состояние флага, и если он не записан, карточкой игнорируют или удаляют записи, сделанные ранее на этапе а), и выполняют команду на основе упомянутых предыдущих значений, соответствующих элементам данных.
3. Способ по п.2, отличающийся тем, что при проверке карточкой состояния флага и обнаружении того, что он записан, карточкой выполняют операции копирования условных записей, сделанных на этапе а).
4. Способ по одному из пп.1 или 2, отличающийся тем, что карточка выполнена с возможностью работы в двух режимах, а именно, во внутрисеансовом режиме, при котором записи вносят путем выполнения этапов а) и б), и во внесеансовом режиме, при котором внесение записей не подтверждают для всех этапов а) и б).
5. Способ по любому одному из пп.1-4, отличающийся тем, что выполняют функцию аутентификации в сочетании с функцией завершения этапа б), в случае безуспешной аутентификации на этапе б) выполняют отклонение всех упомянутых изменений.
6. Способ по п.5, отличающийся тем, что упомянутую аутентификацию выполняют карточкой, аутентифицирующей терминал и/или данные, которыми терминал обменивается с карточкой, причем карточкой контролируют криптографический сертификат, создаваемый терминалом и передаваемый в карточку, и подтверждают изменения, внесенные на этапе б), только в случае, если сертификат признан правильным.
7. Способ по п.6, отличающийся тем, что карточка выполнена с возможностью работы в двух режимах, а именно, во внутрисеансовом режиме, при котором записи вносят путем выполнения этапов а) и б), и во внесеансовом режиме, при котором внесение записей не подтверждают для всех этапов а) и б), и тем, что при приеме карточкой из терминала команды изменения содержимого памяти, включая верификацию криптографического сертификата, упомянутую верификацию выполняют при приеме команды во внесеансовом режиме и не выполняют при приеме команды во внутрисеансовом режиме.
8. Способ по п.5, отличающийся тем, что упомянутую функцию аутентификации выполняют терминалом, аутентифицирующим карточку и/или данные, которыми обмениваются терминал и карточка, причем карточкой создают и передают криптографический сертификат условным образом в терминал только при подтверждении изменений на этапе б).
9. Способ по п.1, отличающийся тем, что карточка выполнена с возможностью работы в двух режимах, а именно, во внутрисеансовом режиме, при котором записи вносят путем выполнения этапов а) и б), и во внесеансовом режиме, при котором внесение записей не подтверждают для всех этапов а) и б), и тем, что при приеме карточкой из терминала команды изменения содержимого памяти, включая создание криптографического сертификата, упомянутое создание криптографического ключа выполняют при приеме команды во внесеансовом режиме и его не выполняют при приеме команды во внутрисеансовом режиме.
10. Способ по одному из пп.1 или 2, отличающийся тем, что при приеме карточкой из терминала команды изменения содержимого памяти, включая создание множества криптографических сертификатов, упомянутые сертификаты запоминают на этапе б), а затем передают вместе в терминал, при подтверждении упомянутых изменений на этапе б).
11. Способ по п.1, отличающийся тем, что, карточка выполнена с возможностью работы в двух режимах, а именно, во внутрисеансовом режиме, при котором записи вносят путем выполнения этапов а) и б), и во внесеансовом режиме, при котором внесение записей не подтверждают для всех этапов а) и б), и тем, что по меньшей мере, некоторые из команд, которые могут быть выполнены на этапе б), включают в себя необязательный запрещающий атрибут, и если карточкой выполняют упомянутую команду во внутрисеансовом режиме на этапе б), то изменения, вносимые по упомянутой команде, оставляют в силе независимо от результата этапа б).
12. Способ по одному из пп.1 или 2, отличающийся тем, что после этапа б) и при подтверждении упомянутых изменений
г) терминалом выполняют его функцию после упомянутого подтверждения карточкой и
д) при выполнении упомянутой функции надлежащим образом терминалом информацию о ратификации записывают в карточку для последующего доступа путем считывания.
13. Способ по п.12, отличающийся тем, что команда записи на этапе д) является неявной командой, при этом любую команду, принимаемую карточкой после этапа б), интерпретируют как команду записи информации о ратификации в карточку.
EA200001048A 1998-04-09 1999-04-09 Способ изменения неделимым образом множества ячеек энергонезависимой памяти в карточке с микросхемой, в частности в бесконтактной карточке EA002994B1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9804453A FR2777371B1 (fr) 1998-04-09 1998-04-09 Procede pour modifier de maniere indivisible une pluralite d'emplacements de la memoire non volatile d'une carte a microcircuit
PCT/FR1999/000837 WO1999053451A1 (fr) 1998-04-09 1999-04-09 Procede pour modifier de maniere indivisible une pluralite d'emplacements de la memoire non volatile d'une carte a microcircuit, notamment une carte sans contact

Publications (2)

Publication Number Publication Date
EA200001048A1 EA200001048A1 (ru) 2001-06-25
EA002994B1 true EA002994B1 (ru) 2002-12-26

Family

ID=9525063

Family Applications (1)

Application Number Title Priority Date Filing Date
EA200001048A EA002994B1 (ru) 1998-04-09 1999-04-09 Способ изменения неделимым образом множества ячеек энергонезависимой памяти в карточке с микросхемой, в частности в бесконтактной карточке

Country Status (21)

Country Link
US (1) US7370203B1 (ru)
EP (1) EP1070303B1 (ru)
JP (2) JP4708564B2 (ru)
KR (1) KR100562090B1 (ru)
CN (1) CN1180383C (ru)
AR (1) AR019035A1 (ru)
AT (1) ATE355574T1 (ru)
AU (1) AU759733B2 (ru)
BR (1) BR9910116A (ru)
CA (1) CA2324879C (ru)
DE (1) DE69935317T2 (ru)
DK (1) DK1070303T3 (ru)
EA (1) EA002994B1 (ru)
ES (1) ES2283110T3 (ru)
FR (1) FR2777371B1 (ru)
IL (1) IL138927A0 (ru)
PT (1) PT1070303E (ru)
TR (1) TR200002933T2 (ru)
TW (1) TW484063B (ru)
UA (1) UA65611C2 (ru)
WO (1) WO1999053451A1 (ru)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1223565A1 (en) * 2001-01-12 2002-07-17 Motorola, Inc. Transaction system, portable device, terminal and methods of transaction
JP3820999B2 (ja) 2002-01-25 2006-09-13 ソニー株式会社 近接通信システム及び近接通信方法、データ管理装置及びデータ管理方法、記憶媒体、並びにコンピュータ・プログラム
EP1533706A4 (en) * 2002-06-10 2006-05-10 Ken Sakamura IC card, terminal equipment and data communication method

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0754536B2 (ja) * 1986-02-17 1995-06-07 株式会社日立製作所 Icカ−ド利用システム
JPS63120391A (ja) * 1986-11-10 1988-05-24 Hitachi Ltd Icカ−ド
GB8720332D0 (en) * 1987-08-28 1987-10-07 Mars Inc Data carrying devices
US7028187B1 (en) * 1991-11-15 2006-04-11 Citibank, N.A. Electronic transaction apparatus for electronic commerce
US5453601A (en) * 1991-11-15 1995-09-26 Citibank, N.A. Electronic-monetary system
US5557518A (en) * 1994-04-28 1996-09-17 Citibank, N.A. Trusted agents for open electronic commerce
FR2689662B1 (fr) * 1992-04-01 1994-05-20 Gemplus Card International Procede de protection d'une carte a puce contre la perte d'information.
FR2701578B1 (fr) * 1993-02-16 1995-03-31 Gemplus Card Int Procédé d'écriture dans une mémoire non volatile, notamment dans une carte à mémoire.
US5869825A (en) * 1993-09-07 1999-02-09 Ziarno; Witold A. Method of processing monetary transaction data by batch off-loading of the data from a portable, hand-held electronic device, device and system therefor
US6868408B1 (en) * 1994-04-28 2005-03-15 Citibank, N.A. Security systems and methods applicable to an electronic monetary system
US5799087A (en) * 1994-04-28 1998-08-25 Citibank, N.A. Electronic-monetary system
US6088797A (en) * 1994-04-28 2000-07-11 Rosen; Sholom S. Tamper-proof electronic processing device
US5539828A (en) * 1994-05-31 1996-07-23 Intel Corporation Apparatus and method for providing secured communications
WO1996007256A1 (fr) * 1994-08-30 1996-03-07 Kokusai Denshin Denwa Co., Ltd. Systeme de certification
NL9401406A (nl) * 1994-08-31 1996-04-01 Nederland Ptt Betaalsysteem met verbeterde integriteit.
DE4439266A1 (de) * 1994-09-30 1996-04-11 Siemens Ag Datenübertragungssystem mit einem Terminal und einer tragbaren Datenträgeranordnung und Verfahren zum Wiederaufladen der tragbaren Datenträgeranordnung mittels des Terminals
FR2725537B1 (fr) * 1994-10-11 1996-11-22 Bull Cp8 Procede de chargement d'une zone memoire protegee d'un dispositif de traitement de l'information et dispositif associe
US5701343A (en) * 1994-12-01 1997-12-23 Nippon Telegraph & Telephone Corporation Method and system for digital information protection
KR0160685B1 (ko) * 1995-03-31 1998-12-15 김광호 칩인 카드에 의한 사용방지 기능을 가진 퍼스널 컴퓨터의 카드 리드/라이트 콘트롤러
FR2733615B1 (fr) * 1995-04-26 1997-06-06 France Telecom Carte a memoire et procede de mise en oeuvre d'une telle carte
NL1001376C2 (nl) * 1995-05-11 1996-11-12 Nederland Ptt Werkwijze voor het uitvoeren van een elektronische betalingstransactie met een variabel aantal betalingseenheden, alsmede betaalmiddel en stelsel voor toepassing van de werkwijze.
JP3272213B2 (ja) * 1995-10-02 2002-04-08 インターナショナル・ビジネス・マシーンズ・コーポレーション Icカード及び情報処理装置の認証方法
EP0795844A1 (en) * 1996-03-11 1997-09-17 Koninklijke KPN N.V. Method of securely modifying data on a smart card
US5892902A (en) * 1996-09-05 1999-04-06 Clark; Paul C. Intelligent token protected system with network authentication
EP0851396A1 (en) * 1996-12-23 1998-07-01 Koninklijke KPN N.V. System for increasing a value of an electronic payment card
FR2757661B1 (fr) 1996-12-24 1999-01-22 Gemplus Card Int Procede de transfert securise de donnees par un reseau de communication
GB2321741B (en) * 1997-02-03 2000-10-04 Certicom Corp Data card verification system
FR2762118B1 (fr) * 1997-04-11 1999-07-16 Gemplus Card Int Procedure securisee de controle de transfert d'unites de valeur dans un systeme de jeu a carte a puce
FR2764413B1 (fr) * 1997-06-10 1999-07-09 Sgs Thomson Microelectronics Procede d'authentification de circuit integre
DE19757653C2 (de) * 1997-12-15 2003-07-17 Francotyp Postalia Ag Verfahren und postalisches Gerät mit einer Chipkarten-Schreib/Leseeinheit zum Nachladen von Änderungsdaten per Chipkarte
US6216227B1 (en) * 1998-06-29 2001-04-10 Sun Microsystems, Inc. Multi-venue ticketing using smart cards

Also Published As

Publication number Publication date
CA2324879C (fr) 2008-02-05
IL138927A0 (en) 2001-11-25
JP2011070692A (ja) 2011-04-07
AU3152399A (en) 1999-11-01
CA2324879A1 (fr) 1999-10-21
CN1180383C (zh) 2004-12-15
FR2777371B1 (fr) 2001-10-26
FR2777371A1 (fr) 1999-10-15
UA65611C2 (ru) 2004-04-15
EP1070303A1 (fr) 2001-01-24
DE69935317T2 (de) 2007-10-31
PT1070303E (pt) 2007-06-05
WO1999053451A1 (fr) 1999-10-21
AR019035A1 (es) 2001-12-26
ATE355574T1 (de) 2006-03-15
BR9910116A (pt) 2000-12-26
TW484063B (en) 2002-04-21
JP4708564B2 (ja) 2011-06-22
ES2283110T3 (es) 2007-10-16
AU759733B2 (en) 2003-04-17
JP4838381B2 (ja) 2011-12-14
DE69935317D1 (de) 2007-04-12
US7370203B1 (en) 2008-05-06
EP1070303B1 (fr) 2007-02-28
KR20010042577A (ko) 2001-05-25
EA200001048A1 (ru) 2001-06-25
CN1296601A (zh) 2001-05-23
DK1070303T3 (da) 2007-06-25
TR200002933T2 (tr) 2000-12-21
JP2002511623A (ja) 2002-04-16
KR100562090B1 (ko) 2006-03-17

Similar Documents

Publication Publication Date Title
US5923884A (en) System and method for loading applications onto a smart card
US6718314B2 (en) Multi-purpose transaction card system
US4186871A (en) Transaction execution system with secure encryption key storage and communications
JP4598857B2 (ja) Icカード、およびそのアクセス制御方法
EP1223565A1 (en) Transaction system, portable device, terminal and methods of transaction
KR100760275B1 (ko) 가상 메모리를 운영하기 위한 수단을 포함하는 칩 카드,그와 관련된 통신 방법 및 프로토콜
US20070136797A1 (en) Secure device and system for issuing ic cards
JPH0863531A (ja) チップカードと情報システム間のトランザクションの実施方法
KR100948120B1 (ko) 휴대 가능 정보 기록 매체
JP2002512715A (ja) 安全なマルチアプリケーションカードシステムおよびプロセス
KR20000005081A (ko) 명령을 스마트 카드에 안전하게 로딩하기 위한 방법
EP2270758A2 (en) Portable electronic apparatus, processing apparatus for portable electronic apparatus, and data processing method in portable electronic apparatus
US6662283B1 (en) Secure memory management method
EA002994B1 (ru) Способ изменения неделимым образом множества ячеек энергонезависимой памяти в карточке с микросхемой, в частности в бесконтактной карточке
JPH11306301A (ja) 期限つきセキュリティステータスを有するicカード
JP3231466B2 (ja) キーを記憶した情報記録媒体
JP5235460B2 (ja) 端末、情報記憶媒体、サービス提供システム及びデータ更新方法
US20220335420A1 (en) Memory management in a transaction processing device
JP2006350593A (ja) 偽造防止コードを用いたクレジットカード又はキャッシュカードの偽造防止システム、及び偽造防止方法
JPH06309531A (ja) Icカードに与える命令フォーマットのチェック方法
TW200536339A (en) Transaction system
MXPA00009892A (en) Method for indivisibly modifying a plurality of sites in a microcircuit card non volatile memory, in particular a contactless card
EP1204080A1 (en) Method and system for adding a service to an apparatus comprising a memory and a processor
CN118694534A (zh) 安全交易单元、令牌参考寄存器、电子支付交易系统和令牌注册方法
JPH09198318A (ja) Icカード

Legal Events

Date Code Title Description
MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): AM AZ BY KZ KG MD TJ TM

MK4A Patent expired

Designated state(s): RU