EP0377763A1 - Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises - Google Patents

Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises Download PDF

Info

Publication number
EP0377763A1
EP0377763A1 EP89100453A EP89100453A EP0377763A1 EP 0377763 A1 EP0377763 A1 EP 0377763A1 EP 89100453 A EP89100453 A EP 89100453A EP 89100453 A EP89100453 A EP 89100453A EP 0377763 A1 EP0377763 A1 EP 0377763A1
Authority
EP
European Patent Office
Prior art keywords
authorization
group
data processing
computer
computers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP89100453A
Other languages
English (en)
French (fr)
Inventor
Gert Dipl.-Ing. Miller
Erwin Busch
Klaus Brandts
Ulrich Dipl.-Ing. Wortelkamp
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Scheidt and Bachmann GmbH
Original Assignee
Scheidt and Bachmann GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Scheidt and Bachmann GmbH filed Critical Scheidt and Bachmann GmbH
Priority to EP89100453A priority Critical patent/EP0377763A1/de
Priority to NO89891448A priority patent/NO891448L/no
Priority to DK190489A priority patent/DK190489A/da
Priority to FI892173A priority patent/FI892173A/fi
Publication of EP0377763A1 publication Critical patent/EP0377763A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption

Definitions

  • the invention relates to a device for checking the authorization of a user of a device for selling goods or for rendering or billing services using a machine-readable authorization card, in particular a magnetic card, and a personal identification number (PIN) with an authorization point connected to all devices via data connections, the data transmission between the devices and the authorization point using an encryption method using secret keys.
  • a machine-readable authorization card in particular a magnetic card, and a personal identification number (PIN) with an authorization point connected to all devices via data connections, the data transmission between the devices and the authorization point using an encryption method using secret keys.
  • PIN personal identification number
  • Devices for the sale of goods or for the provision of services are known in a wide variety of designs, for example in the form of taps for the sale of liquid or gaseous fuels or as devices for issuing and billing authorization cards for the use of a service, for example the use of a means of transport or a parking area.
  • Every owner of a machine-readable authorization card is assigned a personal identification number (PIN), which is determined according to a specific algorithm and must be kept secret by the authorized person.
  • PIN personal identification number
  • This personal identification number must also be entered using a keyboard when the machine-readable authorization card is inserted into the respective device.
  • the machine-readable data and the personal identification number are supplied via data connections to an authorization point connected to all devices, which the respective device only releases if the verification of the two data records by the authorization point has shown that all the data is correct.
  • the transport is carried out using an encryption method with a secret key.
  • an encryption method with a secret key it is necessary in the known devices to provide each device assigned to a specific authorization point for the sale of goods or for the provision of services with a cryptographic data processing module which contains the machine-read data of the authorization card and the personal identification number entered by keyboard using an encryption method with the encrypted secret key.
  • the encrypted data is only decrypted by an appropriate module when it arrives at the authorization center.
  • each of the devices belonging to an authorization point is equipped with a cryptographic data processing module and these modules are identical because they belong to the same authorization point, each device offers the possibility of spying on the secret key.
  • Another disadvantage is that the devices are accessible to the public. Despite complex cryptographic security, the known encryption system is therefore relatively insecure.
  • the invention has for its object to significantly increase the security of the known device for checking the authorization of a user of a device for selling goods or for providing services using a machine-readable authorization card and a personal identification number without significant additional costs.
  • the solution to this problem by the invention is characterized in that the processing of organisa Toric and business data in groups with a group computer connected devices for checking the authorization of a user as well as the group computer are each equipped with a cryptographic data processing module that the group computers in turn are connected to an associated master computer for organizational and business data processing, also via cryptographic data processing modules and that the keys for the cryptographic data processing modules on the one hand between the devices and the group computers and on the other hand between the group computers and the master computers are different from one another and different from the key used for the cryptographic data processing module at the authorization point, which is also arranged on each master computer is.
  • the data processing modules equipped with the secret key responsible for the authorization point are used only on the control computers which are outside the public access in secure rooms, so that there is a security zone for the secret key with significantly increased Security results.
  • Two additional security zones are connected upstream of this security zone.
  • the group computers are located in one of these security zones, the devices accessible to the public in the other. Since the keys of the two additional security zones used for the cryptographic data processing modules interacting in each case are different, even spying on the key used between the devices and the group computers would not allow access to the master computer and certainly no access to the authorization point.
  • an additional increase in security can be achieved in that the keys for the cryptographic data processing modules of the group computers connected to a master computer are different from one another and / or from those of another master computer assigned to the same authorization point.
  • the keys for the cryptographic data processing modules of the devices connected to a group computer can also be designed differently from one another.
  • the cryptographic data processing modules on the group computers are designed as a security module that can only function with the specific group computer.
  • security modules are against spying on the ge stored data and programs protected.
  • the security module is given a cryptographic identifier that is assigned exclusively for this specific group computer during initial commissioning.
  • the block diagram shows a number of devices 1, which are each grouped together. These devices 1 are either devices for the sale of goods, for example taps for liquid and / or gaseous fuels, or devices for the provision of services, for example machines for billing parking fees.
  • the devices 1 belonging to a gas station or parking garage are each connected in groups to a group computer 2, which processes the organizational and business data of the associated devices.
  • a master computer 3 which is also used for processing the organizational and business data.
  • Such a master computer 3 is located, for example, in the headquarters of an oil company.
  • the two host computers 3 shown in the drawing can thus be, for example, the computers in the central office of two oil companies, which are connected to all of the company's petrol stations via a plurality of intermediate group computers 2.
  • Such a data processing network is usually available for processing organizational and business data.
  • each device 1 is provided with both a keyboard and a magnetic card reader. With the help of this magnetic card reader, it is possible to record the data of machine-readable authorization cards, preferably Eurocheque cards.
  • the keyboard is used to enter the personal identification number (PIN code) assigned to the holder of the respective authorization card into the device 1.
  • this authorization point 4 can be assigned to several independent companies and consequently cooperate with a plurality of host computers 3.
  • each device 1 Since it must be prevented that the personal identification number entered by the respective authorized person via the keyboard in connection with the machine-readable data of his authorization card, for example his Eurocheque card, is unauthorized, each device 1 is equipped with a cryptographic data processing module 1a, in which the machine Read and manually entered data are encrypted with a certain key S 1 before they are passed on to the respective group computer 2 via the data connections shown in the drawing.
  • This group computer 2 in turn has a cryptographic data processing module 2a, which decrypts the data supplied by the devices 1 to check the authorization with the key S 1 before this data is processed or passed on.
  • the data required for checking the authorization is also passed on from the group computer 2 to the master computer 3 after appropriate encryption.
  • the output of each group computer 2 and the input of each host computer 3 are in turn each provided with a cryptographic data processing module 2b or 3a, which operate using a key S2.
  • the transport of the data between group computer 2 and master computer 3 is consequently protected against unauthorized interrogation.
  • each host computer 3 At the output of each host computer 3 is finally a cryptographic data processing module 3b, which cooperates with the cryptographic data processing module 4a of the authorization point 4, using the secret key S3, which was originally used by the authorization point 4 to create the personal identification number.
  • the data transport using this secret key S3 thus takes place in a security zone Z1, which already has increased security because both the authorization point 4 and the host computer 3 are in specially secured rooms and are not accessible to the public.
  • this security zone Z1 two additional security zones Z2 and Z3 upstream, which are also entered in the drawing.
  • the security zone Z2 has a higher security than the security zone Z3 because the group computers 2 are also located in specially secured rooms, whereas the devices 1 are accessible to the public and are therefore exposed to special manipulation possibilities.
  • the security of checking the authorization of a With regard to the secret key S3 to be used here, using the data processing (group computer 2 and control computer 3 including the associated line network) already available for the processing of organizational and business data, significantly increase that not only the devices 1 and the authorization point 4, but also the group computer 2 and master computer 3 are provided with corresponding cryptographic data processing modules, so that the authorization check can be carried out using the existing data processing while simultaneously creating two additional security zones Z2 and Z3. With the device according to the invention it is therefore possible, for example, to use Eurocheque cards instead of or in addition to the known credit cards for billing the purchased goods or services rendered.
  • the security of the device against unauthorized spying in particular of the secret personal identification numbers, can be increased further in that the key S2 for the cryptographic data processing modules 2b and 3a of the group computer 2 assigned to a master computer 3 differ from one another and / or to the keys S2 of another master computer 3 differently be formed.
  • the key S2 for the cryptographic data processing modules 2b and 3a of the group computer 2 assigned to a master computer 3 differ from one another and / or to the keys S2 of another master computer 3 differently be formed.
  • not only a different key S2 can be used for the left and right host computers 3, but also different keys S2 between the respective host computer 3 and the group computers 2 assigned to it.
  • the cryptographic data processing modules 2a and 2b on the group computer 2 are preferably designed as a security module that can only function with the specific group computer 2. This can be achieved, for example, by entering a cryptographic identifier in the security module during initial commissioning, which is assigned exclusively to a specific group computer 2.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die Erfindung betrifft eine Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes (1) zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises, insbesondere einer Magnetkarte, und einer persönlichen Identifizierungsnummer (PIN). Bei derartigen Einrichtungen sind sämtliche Geräte (1) über Datenverbindungen mit einer Autorisierungsstelle (4) verbunden, wobei die Datenübertragung zwischen den Geräten (1) und der Autorisierungsstelle (4) unter Anwendung eines Verschlüsselungsverfahrens mit einem geheimen Schlüssel (S3) erfolgt. Um die Sicherheit bei einer derartigen Überprüfung zu erhöhen und gleichzeitig die vorhandenen Datenverarbeitungen einschließlich ihrer Netze für diese Überprüfung heranzuziehen, sind die gruppenweise mit einem Gruppenrechner (2) verbundenen Geräte (1) mit einem kryptografischen Datenverarbeitungsmodul (1a) ausgestattet. Auch die Gruppenrechner (2) sind mit ihrem jeweils zugehörigen Leitrechner (3) über kryptografische Datenverarbeitungsmodule (2b,3a) verbunden. Die Schlüssel (S1, S2) für die kryptografischen Datenverarbeitungsmodule (1a,2a; 2b, 3a) einerseits zwischen den Geräten (1) und den Gruppenrechnern (2) und andererseits zwischen den Gruppenrechnern (2) und den Leitrechnern (3) sind unterschiedlich zueinander und unterschiedlich zu dem Schlüssel (S3), der für das kryptografische Datenverarbeitungsmodul (4a) an der Autorisierungsstelle (4) verwendet wird.

Description

  • Die Erfindung betrifft eine Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises, insbesondere einer Magnetkarte, und einer persönlichen Identi­fizierungsnummer (PIN), mit einer über Datenverbindungen mit sämtlichen Geräten verbundenen Autorisierungsstelle, wobei die Datenübertragung zwischen den Geräten und der Autorisierungs­stelle unter Anwendung eines Verschlüsselungsverfahrens mit geheimen Schlüsseln erfolgt.
  • Geräte zum Warenverkauf oder zur Erbringung von Dienst­leistungen sind in unterschiedlichsten Ausführungen bekannt, beispielsweise in der Form von Zapfstellen zum Verkauf flüssiger oder gasförmiger Kraftstoffe oder als Geräte zur Ausgabe und Abrechnung von Berechtigungsausweisen für die Inanspruchnahme einer Dienstleistung, beispielsweise die Benutzung eines Transportmittels oder einer Parkfläche.
  • Um derartige Geräte ohne großen Personaleinsatz betreiben zu können, ist es bekannt, sie als selbstkassierende Automaten auszuführen. Hierbei ist die bezogene Ware unmittelbar nach Bezug durch Münzen oder Banknoten zu bezahlen, wogegen der Be­rechtigungsausweis entweder vor Inanspruchnahme der Dienst­leistung, beispielsweise beim Bezug einer Fahrkarte, oder nach Erbringung der Dienstleistung, beispielsweise bei Benutzung einer Parkfläche, zu bezahlen ist. Die Mehrzahl derartiger Automaten ist mit einer Wechselgeldrückgabe ausgestattet, so daß der Benutzer die Ware oder Dienstleistung nicht nur er­werben kann, wenn er den passenden Geldbetrag bereithält.
  • Mit der zunehmenden Verbreitung von Kredit- und Debitkarten in Form von maschinenlesbaren Berechtigungsausweisen ergibt sich die Notwendigkeit, die Geräte zum Warenverkauf oder zur Er­bringung von Dienstleistungen derart auszustatten, daß sie auch unter Verwendung eines maschinenlesbaren Berechtigungs­ausweises benutzt werden können. Um die Benutzung durch Unbe­rechtigte oder mit Hilfe gefälschter Berechtigungsausweise zu unterbinden, wird jedem Besitzer eines maschinenlesbaren Be­rechtigungsausweises eine persönliche Identifizierungsnummer (PIN) zugeteilt, die nach einem bestimmten Algorithmus er­mittelt wird und vom Berechtigten geheimgehalten werden muß. Diese persönliche Identifizierungsnummer muß mit Hilfe einer Tastatur zusätzlich eingegeben werden, wenn der maschinenles­bare Berechtigungsausweis in das jeweilige Gerät eingeführt wird. Die maschinenlesbaren Daten und die persönliche Identi­fizierungsnummer werden über Datenverbindungen einer mit sämt­lichen Geräten verbundenen Autorisierungsstelle zugeführt, welche das jeweilige Gerät nur dann freigibt, wenn die Über­prüfung der beiden Datensätze durch die Autorisierungsstelle ergeben hat, daß sämtliche Daten richtig sind.
  • Um zu verhindern, daß die zu einem bestimmten Berechtigungs­ausweis gehörende persönliche Identifizierungsnummer während des Datentransportes zwischen Gerät und Autorisierungsstelle ermittelt werden kann, erfolgt der Transport unter Anwendung eines Verschlüsselungsverfahrens mit einem geheimen Schlüssel. Zu diesem Zweck ist es bei den bekannten Geräten erforderlich, jedes einer bestimmten Autorisierungsstelle zugeordnete Gerät zum Warenverkauf oder zur Erbringung von Dienstleistungen mit einem kryptografischen Datenverarbeitungsmodul zu versehen, das die maschinengelesenen Daten des Berechtigungsausweises und die per Tastatur eingegebene persönliche Identifizierungs­nummer mit Hilfe eines Verschlüsselungsverfahrens mit dem geheimen Schlüssel verschlüsselt. Die verschlüsselten Daten werden erst beim Eingang in die Autorisierungsstelle durch ein entsprechendes Modul entschlüsselt.
  • Da jedes der zu einer Autorisierungsstelle gehörenden Geräte mit einem kryptografischen Datenverarbeitungsmodul ausge­stattet ist und diese Module wegen der Zugehörigkeit zu derselben Autorisierungsstelle identisch sind, bietet jedes Gerät die Möglichkeit zur Ausspionierung des geheimen Schlüs­sels. Als weiterer Nachteil kommt hinzu, daß die Geräte für die Öffentlichkeit zugänglich sind. Trotz einer aufwendigen kryptografischen Absicherung ist das bekannte Verschlüs­selungssystem deshalb verhältnismäßig unsicher.
  • Der Erfindung liegt die Aufgabe zugrunde, die Sicherheit der bekannten Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises und einer persönlichen Identifizie­rungsnummer ohne wesentliche Zusatzkosten erheblich zu er­höhen.
  • Die Lösung dieser Aufgabenstellung durch die Erfindung ist dadurch gekennzeichnet, daß die zur Verarbeitung von organisa­ torischen und betriebswirtschaftlichen Daten gruppenweise mit einem Gruppenrechner verbundenen Geräte zur Uberprüfung der Berechtigung eines Benutzers ebenso wie der Gruppenrechner je­weils mit einem kryptografischen Datenverarbeitungsmodul aus­gestattet sind, daß die Gruppenrechner ihrerseits mit einem jeweils für die organisatorische und betriebswirtschaftliche Datenverarbeitung vorhandenen, zugehörigen Leitrechner ebenfalls über kryptografische Datenverarbeitungsmodule ver­bunden sind und daß die Schlüssel für die kryptografischen Datenverarbeitungsmodule einerseits zwischen den Geräten und den Gruppenrechnern und andererseits zwischen den Gruppen­rechnern und den Leitrechnern unterschiedlich zueinander und unterschiedlich zu dem Schlüssel sind, der für das krypto­grafische Datenverarbeitungsmodul an der Autorisierungsstelle verwendet wird, das ebenfalls an jedem Leitrechner angeordnet ist.
  • Durch die erfindungsgemäße Weiterbildung der eingangs be­schriebenen, bekannten Einrichtung werden die mit dem ge­heimen, für die Autorisierungsstelle zuständigen Schlüssel ausgestatteten Datenverarbeitungsmodule lediglich an den Leit­rechnern eingesetzt, die außerhalb des Publikumszugangs in ge­sicherten Räumen stehen, so daß sich für den geheimen Schlüs­sel eine Sicherheitszone mit erheblich gesteigerter Sicherheit ergibt. Dieser Sicherheitszone werden zwei weitere Sicher­heitszonen vorgeschaltet. In der einen dieser Sicherheitszonen befinden sich die Gruppenrechner, in der anderen die für das Publikum zugänglichen Geräte. Da die für die jeweils zusammen­wirkenden kryptografischen Datenverarbeitungsmodule ver­wendeten Schlüssel der beiden zusätzlichen Sicherheitszonen unterschiedlich sind, würde selbst das Ausspionieren des zwi­schen den Geräten und den Gruppenrechnern verwendeten Schlüs­sels keinen Durchgriff zum Leitrechner und erst recht keinen Durchgriff zur Autorisierungsstelle ermöglichen. Durch die er­ findungsgemäße Weiterbildung ist demzufolge die Sicherheit der Überprüfungseinrichtung ganz entscheidend vergrößert worden, wozu lediglich zusätzliche kryptografische Datenverarbeitungs­module entsprechend der doppelten Anzahl der Gruppen- und Leitrechner erforderlich sind. Dieser Mehraufwand an krypto­grafischen Datenverarbeitungsmodulen wird insgesamt jedoch dadurch mehr als ausgeglichen, daß für die erfindungsgemäße Einrichtung nicht nur Gruppen- und Leitrechner Verwendung finden, die bereits für die Verarbeitung von organisatorischen und betriebswirtschaftlichen Daten der Geräte vorhanden sind, sondern daß auch deren vorhandenes Datenleitungsnetz für die Überprüfung der Berechtigung eines Benutzers herangezogen wird, so daß lediglich noch die Leitrechner mit der zuge­hörigen Autorisierungsstelle verbunden werden müssen. Die durch die erfindungsgemäße Weiterbildung erheblich gesteigerte Sicherheit muß demgemäß nicht mit zusätzlichem Hardwareaufwand erkauft werden.
  • Eine zusätzliche Steigerung der Sicherheit läßt sich gemäß einem weiteren Merkmal der Erfindung dadurch erzielen, daß die Schlüssel für die kryptografischen Datenverarbeitungsmodule der jeweils an einen Leitrechner angeschlossenen Gruppen­rechner zueinander und/oder zu denen eines anderen, derselben Autorisierungsstelle zugeordneten Leitrechners unterschiedlich ausgebildet sind. Erfindungsgemäß können auch die Schlüssel für die kryptografischen Datenverarbeitungsmodule der jeweils an einen Gruppenrechner angeschlossenen Geräte zueinander unterschiedlich ausgebildet werden.
  • Bei einer bevorzugten Ausführungsform der Erfindung sind die kryptografischen Datenverarbeitungsmodule an den Gruppen­rechnern als Sicherheitsmodul ausgebildet, das ausschließlich mit dem bestimmten Gruppenrechner funktionsfähig ist. Derartige Sicherheitsmodule sind gegen Ausspionieren der ge­ speicherten Daten und Programme geschützt. Damit ein derartiges Sicherheitsmodul nur für den einen bestimmten Gruppenrechner verwendbar ist und Manipulationen oder Ver­tauschen von Modulen ausgeschlossen sind, wird erfindungs­gemäß bei der Erstinbetriebnahme dem Sicherheitsmodul ein kryptografisches Kennzeichen eingegeben, das ausschließlich für diesen bestimmten Gruppenrechner vergeben ist.
  • Auf der Zeichnung ist ein Ausführungsbeispiel der erfindungs­gemäßen Einrichtung anhand eines Blockschaltbildes darge­stellt.
  • Das Blockschaltbild zeigt eine Anzahl von Geräten 1, die je­weils zu Gruppen zusammengefaßt sind. Bei diesen Geräten 1 handelt es sich entweder um Geräte zum Warenverkauf, beispielsweise um Zapfstellen für flüssige und/oder gasförmige Kraftstoffe, oder um Geräte zur Erbringung von Dienst­leistungen, beispielsweise um Automaten zur Abrechnung von Parkgebühren. Die jeweils zu einer Tankstelle oder einem Park­haus gehörenden Geräte 1 sind gruppenweise jeweils mit einem Gruppenrechner 2 verbunden, der die organisatorischen und be­triebswirtschaftlichen Daten der zugehörigen Geräte ver­arbeitet. Mehrere dieser Gruppenrechner 2 sind ihrerseits einem Leitrechner 3 zugeordnet, der ebenfalls für die Ver­arbeitung der organisatorischen und betriebswirtschaftlichen Daten herangezogen wird. Ein derartiger Leitrechner 3 steht beispielsweise in der Zentrale einer Ölgesellschaft. Die beiden auf der Zeichnung dargestellten Leitrechner 3 können somit beispielsweise die in der Zentrale angeordneten Rechner zweier Ölgesellschaften sein, die über eine Mehrzahl von zwischengeschalteten Gruppenrechnern 2 mit sämtlichen Tank­stellen der Gesellschaft verbunden sind. Ein derartiges Daten­verarbeitungsnetz ist üblicherweise für die Verarbeitung organisatorischer und betriebswirtschaftlicher Daten vorhanden.
  • Bei der auf der Zeichnung schematisch dargestellten Einrich­tung ist jedes Gerät 1 sowohl mit einer Tastatur als auch mit einem Magnetkartenleser versehen. Mit Hilfe dieses Magnet­kartenlesers ist es möglich, die Daten maschinenlesbarer Be­rechtigungsausweise, vorzugsweise von Eurocheque-Karten zu er­fassen. Die Tastatur dient dazu, die dem Inhaber des jeweiligen Berechtigungsausweises zugeteilte persönliche Identifizierungsnummer (PIN-Code) in das Gerät 1 einzugeben.
  • Da eine Inbetriebnahme des jeweiligen Gerätes 1 nur dann er­folgen soll, wenn zuvor die Berechtigung des Benutzers anhand der maschinenlesbaren Daten seines Berechtigungsausweises und der von ihm eingegebenen persönlichen Identifizierungsnummer überprüft worden ist, erfolgt vor der Benutzungsfreigabe eine Überprüfung durch eine übergeordnete Autorisierungsstelle 4. Wie die Zeichnung zeigt, kann diese Autorisierungsstelle 4 mehreren selbständigen Betrieben zugeordnet sein und demzu­folge mit einer Mehrzahl von Leitrechnern 3 zusammenarbeiten.
  • Da verhindert werden muß, daß die vom jeweiligen Berechtigten über die Tastatur eingegebene persönliche Identifizierungs­nummer im Zusammenhang mit den maschinenlesbaren Daten seines Berechtigungsausweises, beispielsweise seiner Eurocheque-Kar­te, unbefugt abgefragt wird, ist jedes Gerät 1 mit einem kryptografischen Datenverarbeitungsmodul 1a ausgestattet, in dem die maschinell gelesenen und von Hand eingegebenen Daten mit einem bestimmten Schlüssel S₁ verschlüsselt werden, bevor sie über die auf der Zeichnung dargestellten Datenverbindungen an den jeweiligen Gruppenrechner 2 weitergegeben werden. Dieser Gruppenrechner 2 besitzt seinerseits ein krypto­grafisches Datenverarbeitungsmodul 2a, das die von den Geräten 1 gelieferten Daten zur Überprüfung der Berechtigung mit dem Schlüssel S₁ entschlüsselt, bevor diese Daten verarbeitet bzw. weitergegeben werden.
  • Auch die Weitergabe der für die Überprüfung der Berechtigung erforderlichen Daten vom Gruppenrechner 2 an den Leitrechner 3 erfolgt nach entsprechender Verschlüsselung. Zu diesem Zweck ist der Ausgang jedes Gruppenrechners 2 und der Eingang jedes Leitrechners 3 wiederum jeweils mit einem kryptografischen Datenverarbeitungsmodul 2b bzw. 3a versehen, die unter Ver­wendung eines Schlüssels S₂ arbeiten. Auch der Transport der Daten zwischen Gruppenrechner 2 und Leitrechner 3 ist demzu­folge gegen unbefugte Abfrage geschützt.
  • Am Ausgang jedes Leitrechners 3 ist schließlich wiederum ein kryptografisches Datenverarbeitungsmodul 3b angeordnet, das mit dem kryptografischen Datenverarbeitungsmodul 4a der Auto­risierungsstelle 4 zusammenarbeitet, und zwar unter Benutzung des geheimen Schlüssels S₃, der originär von der Autori­sierungsstelle 4 zur Erstellung der persönlichen Identifi­zierungsnummer verwendet worden ist. Der unter Verwendung dieses geheimen Schlüssels S₃ erfolgende Datentransport findet somit in einer Sicherheitszone Z₁ statt, die bereits deshalb eine erhöhte Sicherheit aufweist, weil sowohl die Autorisie­rungsstelle 4 als auch die Leitrechner 3 in besonders abge­sicherten Räumen stehen und dem Publikum nicht zugänglich sind. Durch die voranstehend erwähnte Vorschaltung zweier weiterer Verschlüsselungsverfahren werden dieser Sicherheits­zone Z₁ zwei weitere Sicherheitszonen Z₂ und Z₃ vorgeschaltet, die ebenfalls in der Zeichnung eingetragen sind. Die Sicher­heitszone Z₂ hat hierbei eine höhere Sicherheit als die Sicherheitszone Z₃, weil sich auch die Gruppenrechner 2 in besonders abgesicherten Räumen befinden, wogegen die Geräte 1 dem Publikum zugänglich und damit besonderen Manipulations­möglichkeiten ausgesetzt sind.
  • Wie aus den voranstehenden Erläuterungen ersichtlich ist, läßt sich die Sicherheit der Überprüfung der Berechtigung eines Benutzers im Hinblick auf den hierbei zu verwendenden geheimen Schlüssel S₃ unter Einsatz der bereits für die Verarbeitung organisatorischer und betriebswirtschaftlicher Daten vor­handenen Datenverarbeitung (Gruppenrechner 2 und Leitrechner 3 einschließlich des zugehörigen Leitungsnetzes) dadurch wesent­lich steigern, daß nicht nur die Geräte 1 und die Autori­sierungsstelle 4, sondern auch die Gruppenrechner 2 und Leit­rechner 3 mit entsprechenden kryptografischen Datenver­arbeitungsmodulen versehen werden, so daß die Berechtigungs­überprüfung unter Einsatz der vorhandenen Datenverarbeitungen bei gleichzeitiger Schaffung zweier zusätzlicher Sicherheits­zonen Z₂ und Z₃ erfolgen kann. Mit der erfindungsgemäßen Ein­richtung ist es demzufolge möglich, beispielsweise auch Euro­cheque-Karten anstelle oder zusätzlich zu den bekannten Kreditkarten zur Abrechnung der bezogenen Ware oder erbrachten Dienstleistungen heranzuziehen.
  • Die Sicherheit der Einrichtung gegen unerlaubtes Ausspionieren insbesondere der geheimen persönlichen Identifizierungsnummern kann noch dadurch erhöht werden, daß der Schlüssel S₂ für die kryptografischen Datenverarbeitungsmodule 2b und 3a der je­weils einem Leitrechner 3 zugeordneten Gruppenrechner 2 zu­einander und/oder zu den Schlüsseln S₂ eines anderen Leit­rechners 3 unterschiedlich ausgebildet werden. Beim Aus­führungsbeispiel gemäß der Zeichnung kann demzufolge nicht nur ein unterschiedlicher Schlüssel S₂ für den linken und für den rechten Leitrechner 3 verwendet werden, sondern auch unter­schiedliche Schlüssel S₂ zwischen dem jeweiligen Leitrechner 3 und den ihm zugeordneten Gruppenrechnern 2.
  • Schließlich ist es ebenfalls möglich, die Schlüssel S₁ für die kryptografischen Datenverarbeitungsmodule 1a und 2a der jeweils an einen Gruppenrechner 2 angeschlossenen Geräte 1 zu­einander unterschiedlich auszubilden. Hiermit würde erreicht, daß ein an einem bestimmten Gerät 1 ausspionierter Schlüssel S₁ nicht bei der Benutzung oder Manipulation an Geräten 1 ver­wendet werden kann, die mit einem anderen Gruppenrechner 2 zusammenarbeiten.
  • Die kryptografischen Datenverarbeitungsmodule 2a bzw. 2b an den Gruppenrechnern 2 werden vorzugsweise als Sicherheitsmodul ausgebildet, das ausschließlich mit dem bestimmten Gruppen­rechner 2 funktionsfähig ist. Dies kann beispielsweise dadurch bewirkt werden, daß bei der Erstinbetriebnahme dem Sicher­heitsmodul ein kryptografisches Kennzeichen eingegeben wird, das ausschließlich für einen bestimmten Gruppenrechner 2 ver­geben wird.
    • Bezugszeichenliste:
    • 1 Gerät
    • 1a kryptografisches Datenverarbeitungsmodul
    • 2 Gruppenrechner
    • 2a kryptografisches Datenverarbeitungsmodul
    • 2b kryptografisches Datenverarbeitungsmodul
    • 3 Leitrechner
    • 3a kryptografisches Datenverarbeitungsmodul
    • 3b kryptografisches Datenverarbeitungsmodul
    • 4 Autorisierungsstelle
    • 4a kryptografisches Datenverarbeitungsmodul
    • S₁ Schlüssel
    • S₂ Schlüssel
    • S₃ Schlüssel
    • Z₁ Sicherheitszone
    • Z₂ Sicherheitszone
    • Z₃ Sicherheitszone

Claims (5)

1. Einrichtung zur Überprüfung der Berechtigung eines Be­nutzers eines Gerätes (1) zum Warenverkauf oder zur Er­bringung oder Abrechnung von Dienstleistungen unter Ver­wendung eines maschinenlesbaren Berechtigungsausweises, insbesondere einer Magnetkarte, und einer persönlichen Identifizierungsnummer (PIN), mit einer über Datenver­bindungen mit sämtlichen Geräten (1) verbundenen Autori­sierungsstelle (4), wobei die Datenübertragung zwischen den Geräten (1) und der Autorisierungsstelle (4) unter An­wendung eines Verschlüsselungsverfahrens mit einem geheimen Schlüssel (S₃) erfolgt,
dadurch gekennzeichnet,
daß die zur Verarbeitung von organisatorischen und be­triebswirtschaftlichen Daten gruppenweise mit einem Gruppenrechner (2) verbundenen Geräte (1) zur Überprüfung der Berechtigung eines Benutzers ebenso wie der Gruppen­rechner (2) jeweils mit einem kryptografischen Datenver­arbeitungsmodul (1a,2a) ausgestattet sind, daß die Gruppenrechner (2) ihrerseits mit einem jeweils für die organisatorische und betriebswirtschaftliche Datenver­arbeitung vorhandenen zugehörigen Leitrechner (3) ebenfalls über kryptografische Datenverarbeitungsmodule (2b,3a) ver­bunden sind und daß die Schlüssel (S₁, S₂) für die krypto­grafischen Datenverarbeitungsmodule (1a,2a; 2b,3a) einer­seits zwischen den Geräten (1) und den Gruppenrechnern (2) und andererseits zwischen den Gruppenrechnern (2) und den Leitrechnern (3) unterschiedlich zueinander und unter­schiedlich zu dem Schlüssel (S₃) sind, der für das krypto­grafische Datenverarbeitungsmodul (4a) an der Autorisie­rungsstelle (4) verwendet wird, das ebenfalls an jedem Leitrechner (3) (Modul 3b) angeordnet ist.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Schlüssel (S₂) für die kryptografischen Datenverarbei­tungsmodule (2b) der jeweils an einen Leitrechner (3) ange­schlossenen Gruppenrechner (2) zueinander und/oder zu denen eines anderen, derselben Autorisierungsstelle (4) zuge­ordneten Leitrechners (3) unterschiedlich ausgebildet sind.
3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Schlüssel (S₁) für die kryptografischen Datenver­arbeitungsmodule (1a) der jeweils an einen Gruppenrechner (2) angeschlossenen Geräte (1) zueinander unterschiedlich ausgebildet sind.
4. Einrichtung nach mindestens einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die kryptografischen Datenver­arbeitungsmodule (2a,2b) an den Gruppenrechnern (2) als Sicherheitsmodul ausgebildet sind, das ausschließlich mit dem bestimmten Gruppenrechner (2) funktionsfähig ist.
5. Einrichtung nach Anspruch 4, dadurch gekennzeichnet, daß bei der Erstinbetriebnahme dem Sicherheitsmodul ein krypto­grafisches Kennzeichen eingegeben wird, das ausschließlich für diesen Gruppenrechner (2) vergeben ist.
EP89100453A 1989-01-12 1989-01-12 Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises Withdrawn EP0377763A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
EP89100453A EP0377763A1 (de) 1989-01-12 1989-01-12 Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises
NO89891448A NO891448L (no) 1989-01-12 1989-04-07 Innretning for aa overproeve retten til en bruker av et apparat for varekjoep eller for anskaffelse eller oppgjoer av ytelser ved benyttelse av et maskinlesbart identifikasjonskort.
DK190489A DK190489A (da) 1989-01-12 1989-04-19 Anlaeg til proevning af en brugers adkomst til anvendelse af et apparat til varesalg eller til afgivelse af eller afregning af tjenesteydelser under anvendelse af et maskinaflaeseligt berettigelsesbevis
FI892173A FI892173A (fi) 1989-01-12 1989-05-05 Anordning foer kontroll av behoerigheten hos en person foer anvaendning av en apparat foer foersaeljning av varor eller tjaenster eller foer redovisning genom bruk av ett maskinavlaesbart brukscertifikat.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP89100453A EP0377763A1 (de) 1989-01-12 1989-01-12 Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises

Publications (1)

Publication Number Publication Date
EP0377763A1 true EP0377763A1 (de) 1990-07-18

Family

ID=8200854

Family Applications (1)

Application Number Title Priority Date Filing Date
EP89100453A Withdrawn EP0377763A1 (de) 1989-01-12 1989-01-12 Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises

Country Status (4)

Country Link
EP (1) EP0377763A1 (de)
DK (1) DK190489A (de)
FI (1) FI892173A (de)
NO (1) NO891448L (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2811794A1 (fr) * 2000-07-12 2002-01-18 Tokheim Corp Appareil et procede de paiement par carte de debit dans une station de distribution de carburant

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1981002655A1 (en) * 1980-03-10 1981-09-17 M Sendrow A system for authenticating users and devices in on-line transaction networks
EP0068805A1 (de) * 1981-06-26 1983-01-05 VISA U.S.A. Inc. Punkt-zu-Punkt Verschlüsselungssystem und Verfahren zu seinem Betrieb
US4408203A (en) * 1978-01-09 1983-10-04 Mastercard International, Inc. Security system for electronic funds transfer system
EP0186981A2 (de) * 1984-12-12 1986-07-09 International Business Machines Corporation Sicherheitsmodul für eine elektronische Geldüberweisungsvorrichtung
FR2608338A1 (fr) * 1986-12-15 1988-06-17 Dassault Electronique Dispositif pour l'echange de donnees confidentielles entre une serie de terminaux et un concentrateur

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4408203A (en) * 1978-01-09 1983-10-04 Mastercard International, Inc. Security system for electronic funds transfer system
WO1981002655A1 (en) * 1980-03-10 1981-09-17 M Sendrow A system for authenticating users and devices in on-line transaction networks
EP0068805A1 (de) * 1981-06-26 1983-01-05 VISA U.S.A. Inc. Punkt-zu-Punkt Verschlüsselungssystem und Verfahren zu seinem Betrieb
EP0186981A2 (de) * 1984-12-12 1986-07-09 International Business Machines Corporation Sicherheitsmodul für eine elektronische Geldüberweisungsvorrichtung
FR2608338A1 (fr) * 1986-12-15 1988-06-17 Dassault Electronique Dispositif pour l'echange de donnees confidentielles entre une serie de terminaux et un concentrateur

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2811794A1 (fr) * 2000-07-12 2002-01-18 Tokheim Corp Appareil et procede de paiement par carte de debit dans une station de distribution de carburant

Also Published As

Publication number Publication date
NO891448D0 (no) 1989-04-07
FI892173A (fi) 1990-07-13
DK190489D0 (da) 1989-04-19
NO891448L (no) 1990-07-13
FI892173A0 (fi) 1989-05-05
DK190489A (da) 1990-07-13

Similar Documents

Publication Publication Date Title
DE3886623T2 (de) Transaktionssystem mit einer oder mehreren zentralen Schnittstellen und mit einer Anzahl von verteilten Endstationen, welche an jede zentrale Schnittstelle über ein Netzwerk gekoppelt werden können; Concentrator und Endstation, geeignet für den Gebrauch in solch einem Transaktionssystem und Bedieneridentifizierungselement für den Gebrauch in einer solchen Endstation.
DE2527784C2 (de) Datenübertragungseinrichtung für Bankentransaktionen
DE3809170C2 (de)
DE69019037T2 (de) Mehrebenen-Sicherheitsvorrichtung und -verfahren mit persönlichem Schlüssel.
DE2645564C2 (de) Automatischer Geldausgeber
DE3044463C2 (de)
EP0172314A1 (de) Arbeits-Verfahren und Einrichtung zum elektronisch autorisierten Feststellen einer Sache
DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
EP0281059B1 (de) Datenaustauschsystem mit mehreren jeweils eine Chipkarten-Leseeinrichtung enthaltenden Benutzerterminals
DE2901521A1 (de) Persoenliches identifizierungssystem
DE2528668C3 (de) Durch Karten betätigbare Einrichtung zur Ausgabe von Geld, von Waren, zur Betätigung von Sperren o.dgl.
DE19753933A1 (de) Zugangskontrolleinrichtung für ein Service-on-demand System
EP1254436A1 (de) Verfahren zur nutzeridentitätskontrolle
DE102011116489A1 (de) Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts
DE4230866B4 (de) Datenaustauschsystem
DE102005005378A1 (de) Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen
EP0400441B1 (de) Verfahren zur Prüfung eines mit Chipkarten kommunizierenden Terminals
EP0388700A1 (de) Verfahren zur Generierung einer Zufallszahl für die verschlüsselte Übertragung von Daten
EP1316929B1 (de) Verfahren zur bargeldlosen Abwicklung von Automaten-Nutzungsvorgängen
WO1980002756A1 (en) Data transmission system
EP1141904A1 (de) Verfahren für die sichere handhabung von geld- oder werteeinheiten mit vorausbezahlten datenträgern
EP0377763A1 (de) Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises
DE60122912T2 (de) Verfahren zum liefern von identifikationsdaten einer bezahlkarte an einen anwender
EP0203543B2 (de) Verfahren und Anordnung zum Überprüfen von Chipkarten
EP1437668B1 (de) Verfahren zur bargeldlosen Zahlung von Waren oder Dienstleistungen unter Verwendung eines Mobilfunkendgerätes

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH DE ES FR GB GR IT LI NL SE

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 19910119