EP0377763A1 - Device for checking the authorization of the user of a product vending or service vending and accounting apparatus, using a machine-readable authorization permit - Google Patents

Device for checking the authorization of the user of a product vending or service vending and accounting apparatus, using a machine-readable authorization permit Download PDF

Info

Publication number
EP0377763A1
EP0377763A1 EP89100453A EP89100453A EP0377763A1 EP 0377763 A1 EP0377763 A1 EP 0377763A1 EP 89100453 A EP89100453 A EP 89100453A EP 89100453 A EP89100453 A EP 89100453A EP 0377763 A1 EP0377763 A1 EP 0377763A1
Authority
EP
European Patent Office
Prior art keywords
authorization
group
data processing
computer
computers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP89100453A
Other languages
German (de)
French (fr)
Inventor
Gert Dipl.-Ing. Miller
Erwin Busch
Klaus Brandts
Ulrich Dipl.-Ing. Wortelkamp
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Scheidt and Bachmann GmbH
Original Assignee
Scheidt and Bachmann GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Scheidt and Bachmann GmbH filed Critical Scheidt and Bachmann GmbH
Priority to EP89100453A priority Critical patent/EP0377763A1/en
Priority to NO89891448A priority patent/NO891448L/en
Priority to DK190489A priority patent/DK190489A/en
Priority to FI892173A priority patent/FI892173A/en
Publication of EP0377763A1 publication Critical patent/EP0377763A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption

Abstract

The invention relates to a device for checking the authorization of a user of a product-vending or service-providing or accounting appliance (1) by the use of a machine-readable authorization permit, especially a magnetic card, and a personal identification number (PIN). In such devices, all the appliances (1) are connected via data connections to an authorization station (4), the data transmission between the appliances (1) and authorization station (4) taking place by the use of a coding method with a secret key (S3). To increase the security of such a check and at the same time utilise the existing data-processing means including their networks for this check, the appliances (1) connected in groups to a group computer (2) are equipped with a cryptographic data-processing module (1a). The group computers (2) are also connected to their respective associated master computers (3) via cryptographic data-processing modules (2b,3a). The keys (S1,S2) for the cryptographic data-processing modules (1a,2a;2b,3a) on the one hand between the appliances (1) and group computers (2) and on the other hand between the group computers (2) and master computers (3) are different from one another and different from the key (S3) which is used for the cryptographic data-processing module (4a) at the authorization station (4). <IMAGE>

Description

Die Erfindung betrifft eine Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises, insbesondere einer Magnetkarte, und einer persönlichen Identi­fizierungsnummer (PIN), mit einer über Datenverbindungen mit sämtlichen Geräten verbundenen Autorisierungsstelle, wobei die Datenübertragung zwischen den Geräten und der Autorisierungs­stelle unter Anwendung eines Verschlüsselungsverfahrens mit geheimen Schlüsseln erfolgt.The invention relates to a device for checking the authorization of a user of a device for selling goods or for rendering or billing services using a machine-readable authorization card, in particular a magnetic card, and a personal identification number (PIN) with an authorization point connected to all devices via data connections, the data transmission between the devices and the authorization point using an encryption method using secret keys.

Geräte zum Warenverkauf oder zur Erbringung von Dienst­leistungen sind in unterschiedlichsten Ausführungen bekannt, beispielsweise in der Form von Zapfstellen zum Verkauf flüssiger oder gasförmiger Kraftstoffe oder als Geräte zur Ausgabe und Abrechnung von Berechtigungsausweisen für die Inanspruchnahme einer Dienstleistung, beispielsweise die Benutzung eines Transportmittels oder einer Parkfläche.Devices for the sale of goods or for the provision of services are known in a wide variety of designs, for example in the form of taps for the sale of liquid or gaseous fuels or as devices for issuing and billing authorization cards for the use of a service, for example the use of a means of transport or a parking area.

Um derartige Geräte ohne großen Personaleinsatz betreiben zu können, ist es bekannt, sie als selbstkassierende Automaten auszuführen. Hierbei ist die bezogene Ware unmittelbar nach Bezug durch Münzen oder Banknoten zu bezahlen, wogegen der Be­rechtigungsausweis entweder vor Inanspruchnahme der Dienst­leistung, beispielsweise beim Bezug einer Fahrkarte, oder nach Erbringung der Dienstleistung, beispielsweise bei Benutzung einer Parkfläche, zu bezahlen ist. Die Mehrzahl derartiger Automaten ist mit einer Wechselgeldrückgabe ausgestattet, so daß der Benutzer die Ware oder Dienstleistung nicht nur er­werben kann, wenn er den passenden Geldbetrag bereithält.To operate such devices without a lot of staff , it is known to run them as self-cashing machines. The purchased goods are to be paid for immediately after purchase by means of coins or banknotes, whereas the credentials must be paid either before using the service, for example when purchasing a ticket, or after the service has been provided, for example when using a parking space. The majority of such machines are equipped with a change of exchange so that the user cannot only purchase the goods or service if he has the appropriate amount of money ready.

Mit der zunehmenden Verbreitung von Kredit- und Debitkarten in Form von maschinenlesbaren Berechtigungsausweisen ergibt sich die Notwendigkeit, die Geräte zum Warenverkauf oder zur Er­bringung von Dienstleistungen derart auszustatten, daß sie auch unter Verwendung eines maschinenlesbaren Berechtigungs­ausweises benutzt werden können. Um die Benutzung durch Unbe­rechtigte oder mit Hilfe gefälschter Berechtigungsausweise zu unterbinden, wird jedem Besitzer eines maschinenlesbaren Be­rechtigungsausweises eine persönliche Identifizierungsnummer (PIN) zugeteilt, die nach einem bestimmten Algorithmus er­mittelt wird und vom Berechtigten geheimgehalten werden muß. Diese persönliche Identifizierungsnummer muß mit Hilfe einer Tastatur zusätzlich eingegeben werden, wenn der maschinenles­bare Berechtigungsausweis in das jeweilige Gerät eingeführt wird. Die maschinenlesbaren Daten und die persönliche Identi­fizierungsnummer werden über Datenverbindungen einer mit sämt­lichen Geräten verbundenen Autorisierungsstelle zugeführt, welche das jeweilige Gerät nur dann freigibt, wenn die Über­prüfung der beiden Datensätze durch die Autorisierungsstelle ergeben hat, daß sämtliche Daten richtig sind.With the increasing spread of credit and debit cards in the form of machine-readable credentials, there is a need to equip the devices for selling goods or providing services in such a way that they can also be used using a machine-readable credential. In order to prevent the use by unauthorized persons or with the help of forged authorization cards, every owner of a machine-readable authorization card is assigned a personal identification number (PIN), which is determined according to a specific algorithm and must be kept secret by the authorized person. This personal identification number must also be entered using a keyboard when the machine-readable authorization card is inserted into the respective device. The machine-readable data and the personal identification number are supplied via data connections to an authorization point connected to all devices, which the respective device only releases if the verification of the two data records by the authorization point has shown that all the data is correct.

Um zu verhindern, daß die zu einem bestimmten Berechtigungs­ausweis gehörende persönliche Identifizierungsnummer während des Datentransportes zwischen Gerät und Autorisierungsstelle ermittelt werden kann, erfolgt der Transport unter Anwendung eines Verschlüsselungsverfahrens mit einem geheimen Schlüssel. Zu diesem Zweck ist es bei den bekannten Geräten erforderlich, jedes einer bestimmten Autorisierungsstelle zugeordnete Gerät zum Warenverkauf oder zur Erbringung von Dienstleistungen mit einem kryptografischen Datenverarbeitungsmodul zu versehen, das die maschinengelesenen Daten des Berechtigungsausweises und die per Tastatur eingegebene persönliche Identifizierungs­nummer mit Hilfe eines Verschlüsselungsverfahrens mit dem geheimen Schlüssel verschlüsselt. Die verschlüsselten Daten werden erst beim Eingang in die Autorisierungsstelle durch ein entsprechendes Modul entschlüsselt.To prevent the personal identification number belonging to a certain ID card from being removed during of the data transport between the device and the authorization point can be determined, the transport is carried out using an encryption method with a secret key. For this purpose, it is necessary in the known devices to provide each device assigned to a specific authorization point for the sale of goods or for the provision of services with a cryptographic data processing module which contains the machine-read data of the authorization card and the personal identification number entered by keyboard using an encryption method with the encrypted secret key. The encrypted data is only decrypted by an appropriate module when it arrives at the authorization center.

Da jedes der zu einer Autorisierungsstelle gehörenden Geräte mit einem kryptografischen Datenverarbeitungsmodul ausge­stattet ist und diese Module wegen der Zugehörigkeit zu derselben Autorisierungsstelle identisch sind, bietet jedes Gerät die Möglichkeit zur Ausspionierung des geheimen Schlüs­sels. Als weiterer Nachteil kommt hinzu, daß die Geräte für die Öffentlichkeit zugänglich sind. Trotz einer aufwendigen kryptografischen Absicherung ist das bekannte Verschlüs­selungssystem deshalb verhältnismäßig unsicher.Since each of the devices belonging to an authorization point is equipped with a cryptographic data processing module and these modules are identical because they belong to the same authorization point, each device offers the possibility of spying on the secret key. Another disadvantage is that the devices are accessible to the public. Despite complex cryptographic security, the known encryption system is therefore relatively insecure.

Der Erfindung liegt die Aufgabe zugrunde, die Sicherheit der bekannten Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises und einer persönlichen Identifizie­rungsnummer ohne wesentliche Zusatzkosten erheblich zu er­höhen.The invention has for its object to significantly increase the security of the known device for checking the authorization of a user of a device for selling goods or for providing services using a machine-readable authorization card and a personal identification number without significant additional costs.

Die Lösung dieser Aufgabenstellung durch die Erfindung ist dadurch gekennzeichnet, daß die zur Verarbeitung von organisa­ torischen und betriebswirtschaftlichen Daten gruppenweise mit einem Gruppenrechner verbundenen Geräte zur Uberprüfung der Berechtigung eines Benutzers ebenso wie der Gruppenrechner je­weils mit einem kryptografischen Datenverarbeitungsmodul aus­gestattet sind, daß die Gruppenrechner ihrerseits mit einem jeweils für die organisatorische und betriebswirtschaftliche Datenverarbeitung vorhandenen, zugehörigen Leitrechner ebenfalls über kryptografische Datenverarbeitungsmodule ver­bunden sind und daß die Schlüssel für die kryptografischen Datenverarbeitungsmodule einerseits zwischen den Geräten und den Gruppenrechnern und andererseits zwischen den Gruppen­rechnern und den Leitrechnern unterschiedlich zueinander und unterschiedlich zu dem Schlüssel sind, der für das krypto­grafische Datenverarbeitungsmodul an der Autorisierungsstelle verwendet wird, das ebenfalls an jedem Leitrechner angeordnet ist.The solution to this problem by the invention is characterized in that the processing of organisa Toric and business data in groups with a group computer connected devices for checking the authorization of a user as well as the group computer are each equipped with a cryptographic data processing module that the group computers in turn are connected to an associated master computer for organizational and business data processing, also via cryptographic data processing modules and that the keys for the cryptographic data processing modules on the one hand between the devices and the group computers and on the other hand between the group computers and the master computers are different from one another and different from the key used for the cryptographic data processing module at the authorization point, which is also arranged on each master computer is.

Durch die erfindungsgemäße Weiterbildung der eingangs be­schriebenen, bekannten Einrichtung werden die mit dem ge­heimen, für die Autorisierungsstelle zuständigen Schlüssel ausgestatteten Datenverarbeitungsmodule lediglich an den Leit­rechnern eingesetzt, die außerhalb des Publikumszugangs in ge­sicherten Räumen stehen, so daß sich für den geheimen Schlüs­sel eine Sicherheitszone mit erheblich gesteigerter Sicherheit ergibt. Dieser Sicherheitszone werden zwei weitere Sicher­heitszonen vorgeschaltet. In der einen dieser Sicherheitszonen befinden sich die Gruppenrechner, in der anderen die für das Publikum zugänglichen Geräte. Da die für die jeweils zusammen­wirkenden kryptografischen Datenverarbeitungsmodule ver­wendeten Schlüssel der beiden zusätzlichen Sicherheitszonen unterschiedlich sind, würde selbst das Ausspionieren des zwi­schen den Geräten und den Gruppenrechnern verwendeten Schlüs­sels keinen Durchgriff zum Leitrechner und erst recht keinen Durchgriff zur Autorisierungsstelle ermöglichen. Durch die er­ findungsgemäße Weiterbildung ist demzufolge die Sicherheit der Überprüfungseinrichtung ganz entscheidend vergrößert worden, wozu lediglich zusätzliche kryptografische Datenverarbeitungs­module entsprechend der doppelten Anzahl der Gruppen- und Leitrechner erforderlich sind. Dieser Mehraufwand an krypto­grafischen Datenverarbeitungsmodulen wird insgesamt jedoch dadurch mehr als ausgeglichen, daß für die erfindungsgemäße Einrichtung nicht nur Gruppen- und Leitrechner Verwendung finden, die bereits für die Verarbeitung von organisatorischen und betriebswirtschaftlichen Daten der Geräte vorhanden sind, sondern daß auch deren vorhandenes Datenleitungsnetz für die Überprüfung der Berechtigung eines Benutzers herangezogen wird, so daß lediglich noch die Leitrechner mit der zuge­hörigen Autorisierungsstelle verbunden werden müssen. Die durch die erfindungsgemäße Weiterbildung erheblich gesteigerte Sicherheit muß demgemäß nicht mit zusätzlichem Hardwareaufwand erkauft werden.Due to the inventive development of the known device described at the outset, the data processing modules equipped with the secret key responsible for the authorization point are used only on the control computers which are outside the public access in secure rooms, so that there is a security zone for the secret key with significantly increased Security results. Two additional security zones are connected upstream of this security zone. The group computers are located in one of these security zones, the devices accessible to the public in the other. Since the keys of the two additional security zones used for the cryptographic data processing modules interacting in each case are different, even spying on the key used between the devices and the group computers would not allow access to the master computer and certainly no access to the authorization point. Through which he Further development according to the invention has consequently significantly increased the security of the checking device, for which purpose only additional cryptographic data processing modules corresponding to twice the number of group and master computers are required. This additional effort in cryptographic data processing modules is, however, more than compensated for by the fact that not only group and master computers are used for the device according to the invention, which are already available for processing organizational and business data of the devices, but also that their existing data line network for the Checking the authorization of a user is used, so that only the host computers have to be connected to the associated authorization point. The security, which is considerably increased by the further development according to the invention, does not therefore have to be purchased with additional hardware expenditure.

Eine zusätzliche Steigerung der Sicherheit läßt sich gemäß einem weiteren Merkmal der Erfindung dadurch erzielen, daß die Schlüssel für die kryptografischen Datenverarbeitungsmodule der jeweils an einen Leitrechner angeschlossenen Gruppen­rechner zueinander und/oder zu denen eines anderen, derselben Autorisierungsstelle zugeordneten Leitrechners unterschiedlich ausgebildet sind. Erfindungsgemäß können auch die Schlüssel für die kryptografischen Datenverarbeitungsmodule der jeweils an einen Gruppenrechner angeschlossenen Geräte zueinander unterschiedlich ausgebildet werden.According to a further feature of the invention, an additional increase in security can be achieved in that the keys for the cryptographic data processing modules of the group computers connected to a master computer are different from one another and / or from those of another master computer assigned to the same authorization point. According to the invention, the keys for the cryptographic data processing modules of the devices connected to a group computer can also be designed differently from one another.

Bei einer bevorzugten Ausführungsform der Erfindung sind die kryptografischen Datenverarbeitungsmodule an den Gruppen­rechnern als Sicherheitsmodul ausgebildet, das ausschließlich mit dem bestimmten Gruppenrechner funktionsfähig ist. Derartige Sicherheitsmodule sind gegen Ausspionieren der ge­ speicherten Daten und Programme geschützt. Damit ein derartiges Sicherheitsmodul nur für den einen bestimmten Gruppenrechner verwendbar ist und Manipulationen oder Ver­tauschen von Modulen ausgeschlossen sind, wird erfindungs­gemäß bei der Erstinbetriebnahme dem Sicherheitsmodul ein kryptografisches Kennzeichen eingegeben, das ausschließlich für diesen bestimmten Gruppenrechner vergeben ist.In a preferred embodiment of the invention, the cryptographic data processing modules on the group computers are designed as a security module that can only function with the specific group computer. Such security modules are against spying on the ge stored data and programs protected. In order that such a security module can only be used for one specific group computer and that manipulations or exchanges of modules are excluded, the security module is given a cryptographic identifier that is assigned exclusively for this specific group computer during initial commissioning.

Auf der Zeichnung ist ein Ausführungsbeispiel der erfindungs­gemäßen Einrichtung anhand eines Blockschaltbildes darge­stellt.In the drawing, an embodiment of the device according to the invention is shown using a block diagram.

Das Blockschaltbild zeigt eine Anzahl von Geräten 1, die je­weils zu Gruppen zusammengefaßt sind. Bei diesen Geräten 1 handelt es sich entweder um Geräte zum Warenverkauf, beispielsweise um Zapfstellen für flüssige und/oder gasförmige Kraftstoffe, oder um Geräte zur Erbringung von Dienst­leistungen, beispielsweise um Automaten zur Abrechnung von Parkgebühren. Die jeweils zu einer Tankstelle oder einem Park­haus gehörenden Geräte 1 sind gruppenweise jeweils mit einem Gruppenrechner 2 verbunden, der die organisatorischen und be­triebswirtschaftlichen Daten der zugehörigen Geräte ver­arbeitet. Mehrere dieser Gruppenrechner 2 sind ihrerseits einem Leitrechner 3 zugeordnet, der ebenfalls für die Ver­arbeitung der organisatorischen und betriebswirtschaftlichen Daten herangezogen wird. Ein derartiger Leitrechner 3 steht beispielsweise in der Zentrale einer Ölgesellschaft. Die beiden auf der Zeichnung dargestellten Leitrechner 3 können somit beispielsweise die in der Zentrale angeordneten Rechner zweier Ölgesellschaften sein, die über eine Mehrzahl von zwischengeschalteten Gruppenrechnern 2 mit sämtlichen Tank­stellen der Gesellschaft verbunden sind. Ein derartiges Daten­verarbeitungsnetz ist üblicherweise für die Verarbeitung organisatorischer und betriebswirtschaftlicher Daten vorhanden.The block diagram shows a number of devices 1, which are each grouped together. These devices 1 are either devices for the sale of goods, for example taps for liquid and / or gaseous fuels, or devices for the provision of services, for example machines for billing parking fees. The devices 1 belonging to a gas station or parking garage are each connected in groups to a group computer 2, which processes the organizational and business data of the associated devices. Several of these group computers 2 are in turn assigned to a master computer 3, which is also used for processing the organizational and business data. Such a master computer 3 is located, for example, in the headquarters of an oil company. The two host computers 3 shown in the drawing can thus be, for example, the computers in the central office of two oil companies, which are connected to all of the company's petrol stations via a plurality of intermediate group computers 2. Such a data processing network is usually available for processing organizational and business data.

Bei der auf der Zeichnung schematisch dargestellten Einrich­tung ist jedes Gerät 1 sowohl mit einer Tastatur als auch mit einem Magnetkartenleser versehen. Mit Hilfe dieses Magnet­kartenlesers ist es möglich, die Daten maschinenlesbarer Be­rechtigungsausweise, vorzugsweise von Eurocheque-Karten zu er­fassen. Die Tastatur dient dazu, die dem Inhaber des jeweiligen Berechtigungsausweises zugeteilte persönliche Identifizierungsnummer (PIN-Code) in das Gerät 1 einzugeben.In the device shown schematically in the drawing, each device 1 is provided with both a keyboard and a magnetic card reader. With the help of this magnetic card reader, it is possible to record the data of machine-readable authorization cards, preferably Eurocheque cards. The keyboard is used to enter the personal identification number (PIN code) assigned to the holder of the respective authorization card into the device 1.

Da eine Inbetriebnahme des jeweiligen Gerätes 1 nur dann er­folgen soll, wenn zuvor die Berechtigung des Benutzers anhand der maschinenlesbaren Daten seines Berechtigungsausweises und der von ihm eingegebenen persönlichen Identifizierungsnummer überprüft worden ist, erfolgt vor der Benutzungsfreigabe eine Überprüfung durch eine übergeordnete Autorisierungsstelle 4. Wie die Zeichnung zeigt, kann diese Autorisierungsstelle 4 mehreren selbständigen Betrieben zugeordnet sein und demzu­folge mit einer Mehrzahl von Leitrechnern 3 zusammenarbeiten.Since commissioning of the respective device 1 should only take place if the user's authorization has previously been checked using the machine-readable data of his authorization card and the personal identification number entered by him, a check is carried out by a higher-level authorization point 4 before the use is released. Like the drawing shows, this authorization point 4 can be assigned to several independent companies and consequently cooperate with a plurality of host computers 3.

Da verhindert werden muß, daß die vom jeweiligen Berechtigten über die Tastatur eingegebene persönliche Identifizierungs­nummer im Zusammenhang mit den maschinenlesbaren Daten seines Berechtigungsausweises, beispielsweise seiner Eurocheque-Kar­te, unbefugt abgefragt wird, ist jedes Gerät 1 mit einem kryptografischen Datenverarbeitungsmodul 1a ausgestattet, in dem die maschinell gelesenen und von Hand eingegebenen Daten mit einem bestimmten Schlüssel S₁ verschlüsselt werden, bevor sie über die auf der Zeichnung dargestellten Datenverbindungen an den jeweiligen Gruppenrechner 2 weitergegeben werden. Dieser Gruppenrechner 2 besitzt seinerseits ein krypto­grafisches Datenverarbeitungsmodul 2a, das die von den Geräten 1 gelieferten Daten zur Überprüfung der Berechtigung mit dem Schlüssel S₁ entschlüsselt, bevor diese Daten verarbeitet bzw. weitergegeben werden.Since it must be prevented that the personal identification number entered by the respective authorized person via the keyboard in connection with the machine-readable data of his authorization card, for example his Eurocheque card, is unauthorized, each device 1 is equipped with a cryptographic data processing module 1a, in which the machine Read and manually entered data are encrypted with a certain key S 1 before they are passed on to the respective group computer 2 via the data connections shown in the drawing. This group computer 2 in turn has a cryptographic data processing module 2a, which decrypts the data supplied by the devices 1 to check the authorization with the key S 1 before this data is processed or passed on.

Auch die Weitergabe der für die Überprüfung der Berechtigung erforderlichen Daten vom Gruppenrechner 2 an den Leitrechner 3 erfolgt nach entsprechender Verschlüsselung. Zu diesem Zweck ist der Ausgang jedes Gruppenrechners 2 und der Eingang jedes Leitrechners 3 wiederum jeweils mit einem kryptografischen Datenverarbeitungsmodul 2b bzw. 3a versehen, die unter Ver­wendung eines Schlüssels S₂ arbeiten. Auch der Transport der Daten zwischen Gruppenrechner 2 und Leitrechner 3 ist demzu­folge gegen unbefugte Abfrage geschützt.The data required for checking the authorization is also passed on from the group computer 2 to the master computer 3 after appropriate encryption. For this purpose, the output of each group computer 2 and the input of each host computer 3 are in turn each provided with a cryptographic data processing module 2b or 3a, which operate using a key S₂. The transport of the data between group computer 2 and master computer 3 is consequently protected against unauthorized interrogation.

Am Ausgang jedes Leitrechners 3 ist schließlich wiederum ein kryptografisches Datenverarbeitungsmodul 3b angeordnet, das mit dem kryptografischen Datenverarbeitungsmodul 4a der Auto­risierungsstelle 4 zusammenarbeitet, und zwar unter Benutzung des geheimen Schlüssels S₃, der originär von der Autori­sierungsstelle 4 zur Erstellung der persönlichen Identifi­zierungsnummer verwendet worden ist. Der unter Verwendung dieses geheimen Schlüssels S₃ erfolgende Datentransport findet somit in einer Sicherheitszone Z₁ statt, die bereits deshalb eine erhöhte Sicherheit aufweist, weil sowohl die Autorisie­rungsstelle 4 als auch die Leitrechner 3 in besonders abge­sicherten Räumen stehen und dem Publikum nicht zugänglich sind. Durch die voranstehend erwähnte Vorschaltung zweier weiterer Verschlüsselungsverfahren werden dieser Sicherheits­zone Z₁ zwei weitere Sicherheitszonen Z₂ und Z₃ vorgeschaltet, die ebenfalls in der Zeichnung eingetragen sind. Die Sicher­heitszone Z₂ hat hierbei eine höhere Sicherheit als die Sicherheitszone Z₃, weil sich auch die Gruppenrechner 2 in besonders abgesicherten Räumen befinden, wogegen die Geräte 1 dem Publikum zugänglich und damit besonderen Manipulations­möglichkeiten ausgesetzt sind.At the output of each host computer 3 is finally a cryptographic data processing module 3b, which cooperates with the cryptographic data processing module 4a of the authorization point 4, using the secret key S₃, which was originally used by the authorization point 4 to create the personal identification number. The data transport using this secret key S₃ thus takes place in a security zone Z₁, which already has increased security because both the authorization point 4 and the host computer 3 are in specially secured rooms and are not accessible to the public. Through the aforementioned upstream connection of two further encryption methods this security zone Z₁ two additional security zones Z₂ and Z₃ upstream, which are also entered in the drawing. The security zone Z₂ has a higher security than the security zone Z₃ because the group computers 2 are also located in specially secured rooms, whereas the devices 1 are accessible to the public and are therefore exposed to special manipulation possibilities.

Wie aus den voranstehenden Erläuterungen ersichtlich ist, läßt sich die Sicherheit der Überprüfung der Berechtigung eines Benutzers im Hinblick auf den hierbei zu verwendenden geheimen Schlüssel S₃ unter Einsatz der bereits für die Verarbeitung organisatorischer und betriebswirtschaftlicher Daten vor­handenen Datenverarbeitung (Gruppenrechner 2 und Leitrechner 3 einschließlich des zugehörigen Leitungsnetzes) dadurch wesent­lich steigern, daß nicht nur die Geräte 1 und die Autori­sierungsstelle 4, sondern auch die Gruppenrechner 2 und Leit­rechner 3 mit entsprechenden kryptografischen Datenver­arbeitungsmodulen versehen werden, so daß die Berechtigungs­überprüfung unter Einsatz der vorhandenen Datenverarbeitungen bei gleichzeitiger Schaffung zweier zusätzlicher Sicherheits­zonen Z₂ und Z₃ erfolgen kann. Mit der erfindungsgemäßen Ein­richtung ist es demzufolge möglich, beispielsweise auch Euro­cheque-Karten anstelle oder zusätzlich zu den bekannten Kreditkarten zur Abrechnung der bezogenen Ware oder erbrachten Dienstleistungen heranzuziehen.As can be seen from the above explanations, the security of checking the authorization of a With regard to the secret key S₃ to be used here, using the data processing (group computer 2 and control computer 3 including the associated line network) already available for the processing of organizational and business data, significantly increase that not only the devices 1 and the authorization point 4, but also the group computer 2 and master computer 3 are provided with corresponding cryptographic data processing modules, so that the authorization check can be carried out using the existing data processing while simultaneously creating two additional security zones Z₂ and Z₃. With the device according to the invention it is therefore possible, for example, to use Eurocheque cards instead of or in addition to the known credit cards for billing the purchased goods or services rendered.

Die Sicherheit der Einrichtung gegen unerlaubtes Ausspionieren insbesondere der geheimen persönlichen Identifizierungsnummern kann noch dadurch erhöht werden, daß der Schlüssel S₂ für die kryptografischen Datenverarbeitungsmodule 2b und 3a der je­weils einem Leitrechner 3 zugeordneten Gruppenrechner 2 zu­einander und/oder zu den Schlüsseln S₂ eines anderen Leit­rechners 3 unterschiedlich ausgebildet werden. Beim Aus­führungsbeispiel gemäß der Zeichnung kann demzufolge nicht nur ein unterschiedlicher Schlüssel S₂ für den linken und für den rechten Leitrechner 3 verwendet werden, sondern auch unter­schiedliche Schlüssel S₂ zwischen dem jeweiligen Leitrechner 3 und den ihm zugeordneten Gruppenrechnern 2.The security of the device against unauthorized spying, in particular of the secret personal identification numbers, can be increased further in that the key S₂ for the cryptographic data processing modules 2b and 3a of the group computer 2 assigned to a master computer 3 differ from one another and / or to the keys S₂ of another master computer 3 differently be formed. In the exemplary embodiment according to the drawing, therefore, not only a different key S₂ can be used for the left and right host computers 3, but also different keys S₂ between the respective host computer 3 and the group computers 2 assigned to it.

Schließlich ist es ebenfalls möglich, die Schlüssel S₁ für die kryptografischen Datenverarbeitungsmodule 1a und 2a der jeweils an einen Gruppenrechner 2 angeschlossenen Geräte 1 zu­einander unterschiedlich auszubilden. Hiermit würde erreicht, daß ein an einem bestimmten Gerät 1 ausspionierter Schlüssel S₁ nicht bei der Benutzung oder Manipulation an Geräten 1 ver­wendet werden kann, die mit einem anderen Gruppenrechner 2 zusammenarbeiten.Finally, it is also possible to design the keys S 1 for the cryptographic data processing modules 1 a and 2 a of the devices 1 connected to a group computer 2 differently from one another. This would achieve that a spied on a certain device 1 key S 1 can not be used in the use or manipulation of devices 1 that cooperate with another group computer 2.

Die kryptografischen Datenverarbeitungsmodule 2a bzw. 2b an den Gruppenrechnern 2 werden vorzugsweise als Sicherheitsmodul ausgebildet, das ausschließlich mit dem bestimmten Gruppen­rechner 2 funktionsfähig ist. Dies kann beispielsweise dadurch bewirkt werden, daß bei der Erstinbetriebnahme dem Sicher­heitsmodul ein kryptografisches Kennzeichen eingegeben wird, das ausschließlich für einen bestimmten Gruppenrechner 2 ver­geben wird.The cryptographic data processing modules 2a and 2b on the group computer 2 are preferably designed as a security module that can only function with the specific group computer 2. This can be achieved, for example, by entering a cryptographic identifier in the security module during initial commissioning, which is assigned exclusively to a specific group computer 2.

Bezugszeichenliste:Reference symbol list:

  • 1 Gerät1 device
  • 1a kryptografisches Datenverarbeitungsmodul1a cryptographic data processing module
  • 2 Gruppenrechner2 group computers
  • 2a kryptografisches Datenverarbeitungsmodul2a cryptographic data processing module
  • 2b kryptografisches Datenverarbeitungsmodul2b cryptographic data processing module
  • 3 Leitrechner3 host computers
  • 3a kryptografisches Datenverarbeitungsmodul3a cryptographic data processing module
  • 3b kryptografisches Datenverarbeitungsmodul3b cryptographic data processing module
  • 4 Autorisierungsstelle4 authorization authority
  • 4a kryptografisches Datenverarbeitungsmodul4a cryptographic data processing module
  • S₁ SchlüsselS₁ key
  • S₂ SchlüsselS₂ key
  • S₃ SchlüsselS₃ key
  • Z₁ SicherheitszoneZ₁ security zone
  • Z₂ SicherheitszoneZ₂ security zone
  • Z₃ SicherheitszoneZ₃ security zone

Claims (5)

1. Einrichtung zur Überprüfung der Berechtigung eines Be­nutzers eines Gerätes (1) zum Warenverkauf oder zur Er­bringung oder Abrechnung von Dienstleistungen unter Ver­wendung eines maschinenlesbaren Berechtigungsausweises, insbesondere einer Magnetkarte, und einer persönlichen Identifizierungsnummer (PIN), mit einer über Datenver­bindungen mit sämtlichen Geräten (1) verbundenen Autori­sierungsstelle (4), wobei die Datenübertragung zwischen den Geräten (1) und der Autorisierungsstelle (4) unter An­wendung eines Verschlüsselungsverfahrens mit einem geheimen Schlüssel (S₃) erfolgt,
dadurch gekennzeichnet,
daß die zur Verarbeitung von organisatorischen und be­triebswirtschaftlichen Daten gruppenweise mit einem Gruppenrechner (2) verbundenen Geräte (1) zur Überprüfung der Berechtigung eines Benutzers ebenso wie der Gruppen­rechner (2) jeweils mit einem kryptografischen Datenver­arbeitungsmodul (1a,2a) ausgestattet sind, daß die Gruppenrechner (2) ihrerseits mit einem jeweils für die organisatorische und betriebswirtschaftliche Datenver­arbeitung vorhandenen zugehörigen Leitrechner (3) ebenfalls über kryptografische Datenverarbeitungsmodule (2b,3a) ver­bunden sind und daß die Schlüssel (S₁, S₂) für die krypto­grafischen Datenverarbeitungsmodule (1a,2a; 2b,3a) einer­seits zwischen den Geräten (1) und den Gruppenrechnern (2) und andererseits zwischen den Gruppenrechnern (2) und den Leitrechnern (3) unterschiedlich zueinander und unter­schiedlich zu dem Schlüssel (S₃) sind, der für das krypto­grafische Datenverarbeitungsmodul (4a) an der Autorisie­rungsstelle (4) verwendet wird, das ebenfalls an jedem Leitrechner (3) (Modul 3b) angeordnet ist.1.Device for checking the authorization of a user of a device (1) to sell goods or to provide or bill services using a machine-readable authorization card, in particular a magnetic card, and a personal identification number (PIN) with a data connection to all devices (1 ) connected authorization point (4), the data transfer between the devices (1) and the authorization point (4) using an encryption method using a secret key (S₃),
characterized,
that the devices (1) for checking the authorization of a user, which are connected in groups with a group computer (2) for processing organizational and business data, as well as the group computer (2), are each equipped with a cryptographic data processing module (1a, 2a) that the group computer (2) are in turn connected to an associated host computer (3) for organizational and business data processing, also via cryptographic data processing modules (2b, 3a) and that the keys (S₁, S₂) for the cryptographic data processing modules (1a, 2a; 2b, 3a) on the one hand between the devices (1) and the group computers (2) and on the other hand between the group computers (2) and the host computers (3) are different from one another and different from the key (S₃) used for the cryptographic data processing module (4a) the authorization authority (4) is used, the is also arranged on each host computer (3) (module 3b). 2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Schlüssel (S₂) für die kryptografischen Datenverarbei­tungsmodule (2b) der jeweils an einen Leitrechner (3) ange­schlossenen Gruppenrechner (2) zueinander und/oder zu denen eines anderen, derselben Autorisierungsstelle (4) zuge­ordneten Leitrechners (3) unterschiedlich ausgebildet sind.2. Device according to claim 1, characterized in that the keys (S₂) for the cryptographic data processing modules (2b) each of the group computers (2) connected to a master computer (3) to one another and / or to another, the same authorization point (4) assigned master computer (3) are designed differently. 3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Schlüssel (S₁) für die kryptografischen Datenver­arbeitungsmodule (1a) der jeweils an einen Gruppenrechner (2) angeschlossenen Geräte (1) zueinander unterschiedlich ausgebildet sind.3. Device according to claim 1 or 2, characterized in that the keys (S₁) for the cryptographic data processing modules (1a) of each connected to a group computer (2) devices (1) are different from each other. 4. Einrichtung nach mindestens einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die kryptografischen Datenver­arbeitungsmodule (2a,2b) an den Gruppenrechnern (2) als Sicherheitsmodul ausgebildet sind, das ausschließlich mit dem bestimmten Gruppenrechner (2) funktionsfähig ist.4. Device according to at least one of claims 1 to 3, characterized in that the cryptographic data processing modules (2a, 2b) on the group computers (2) are designed as a security module which can only function with the specific group computer (2). 5. Einrichtung nach Anspruch 4, dadurch gekennzeichnet, daß bei der Erstinbetriebnahme dem Sicherheitsmodul ein krypto­grafisches Kennzeichen eingegeben wird, das ausschließlich für diesen Gruppenrechner (2) vergeben ist.5. Device according to claim 4, characterized in that a cryptographic identifier is entered during the initial commissioning, which is assigned exclusively for this group computer (2).
EP89100453A 1989-01-12 1989-01-12 Device for checking the authorization of the user of a product vending or service vending and accounting apparatus, using a machine-readable authorization permit Withdrawn EP0377763A1 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
EP89100453A EP0377763A1 (en) 1989-01-12 1989-01-12 Device for checking the authorization of the user of a product vending or service vending and accounting apparatus, using a machine-readable authorization permit
NO89891448A NO891448L (en) 1989-01-12 1989-04-07 DEVICE FOR AA REVIEW THE RIGHT TO A USER OF AN APPARATUS FOR PURCHASE OR FOR PURCHASE OR PROVISION OF SERVICES USING A MACHINEABLE IDENTIFICATION CARD.
DK190489A DK190489A (en) 1989-01-12 1989-04-19 PLANT FOR TESTING A USER'S ACCESS TO USING A DEVICE FOR SALE OR RENDERING OR SETTLEMENT OF SERVICES UNDER APPLICATION OF MACHINE PUBLIC JUSTIFICATION
FI892173A FI892173A (en) 1989-01-12 1989-05-05 ANORDNING FOER KONTROLL AV BEHOERIGHETEN HOS EN PERSON FOER ANVAENDNING AV EN APPARAT FOER FOERSAELJNING AV VAROR ELLER TJAENSTER ELLER FOER REDOVISNING GENOM BRUK AV ETT MASKINAVLAESBART BRUKSCERTIFATAT.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP89100453A EP0377763A1 (en) 1989-01-12 1989-01-12 Device for checking the authorization of the user of a product vending or service vending and accounting apparatus, using a machine-readable authorization permit

Publications (1)

Publication Number Publication Date
EP0377763A1 true EP0377763A1 (en) 1990-07-18

Family

ID=8200854

Family Applications (1)

Application Number Title Priority Date Filing Date
EP89100453A Withdrawn EP0377763A1 (en) 1989-01-12 1989-01-12 Device for checking the authorization of the user of a product vending or service vending and accounting apparatus, using a machine-readable authorization permit

Country Status (4)

Country Link
EP (1) EP0377763A1 (en)
DK (1) DK190489A (en)
FI (1) FI892173A (en)
NO (1) NO891448L (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2811794A1 (en) * 2000-07-12 2002-01-18 Tokheim Corp Debit card payment in petrol stations, uses local encryption at card terminal, based on code associated with terminal, before data is transmitted to central validation computer

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1981002655A1 (en) * 1980-03-10 1981-09-17 M Sendrow A system for authenticating users and devices in on-line transaction networks
EP0068805A1 (en) * 1981-06-26 1983-01-05 VISA U.S.A. Inc. End-to-end encryption system and method of operation
US4408203A (en) * 1978-01-09 1983-10-04 Mastercard International, Inc. Security system for electronic funds transfer system
EP0186981A2 (en) * 1984-12-12 1986-07-09 International Business Machines Corporation Security module for an electronic funds transfer system
FR2608338A1 (en) * 1986-12-15 1988-06-17 Dassault Electronique Device for exchanging confidential data between a series of terminals and a concentrator

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4408203A (en) * 1978-01-09 1983-10-04 Mastercard International, Inc. Security system for electronic funds transfer system
WO1981002655A1 (en) * 1980-03-10 1981-09-17 M Sendrow A system for authenticating users and devices in on-line transaction networks
EP0068805A1 (en) * 1981-06-26 1983-01-05 VISA U.S.A. Inc. End-to-end encryption system and method of operation
EP0186981A2 (en) * 1984-12-12 1986-07-09 International Business Machines Corporation Security module for an electronic funds transfer system
FR2608338A1 (en) * 1986-12-15 1988-06-17 Dassault Electronique Device for exchanging confidential data between a series of terminals and a concentrator

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2811794A1 (en) * 2000-07-12 2002-01-18 Tokheim Corp Debit card payment in petrol stations, uses local encryption at card terminal, based on code associated with terminal, before data is transmitted to central validation computer

Also Published As

Publication number Publication date
NO891448L (en) 1990-07-13
NO891448D0 (en) 1989-04-07
FI892173A0 (en) 1989-05-05
DK190489A (en) 1990-07-13
DK190489D0 (en) 1989-04-19
FI892173A (en) 1990-07-13

Similar Documents

Publication Publication Date Title
DE2527784C2 (en) Data transmission device for banking transactions
DE3809170C2 (en)
DE2645564C2 (en) Automatic cash dispenser
EP0172314A1 (en) Process and device for the electronically authorized identification of a matter
DE3103514A1 (en) METHOD AND DEVICE FOR CONTROLLING A SECURED TRANSACTION
EP0281059B1 (en) Data exchange system with a plurality of user terminals, each including an IC card reader
DE3044463A1 (en) METHOD AND DEVICE FOR CODING A CARD
DE2901521A1 (en) PERSONAL IDENTIFICATION SYSTEM
DE2528668C3 (en) Device operated by cards for issuing money, goods, operating locks or the like.
DE19753933A1 (en) Access control for service-on-demand system, e.g. pay television
WO2001059725A1 (en) Method for controlling the identity of users
DE102011116489A1 (en) A mobile terminal, transaction terminal and method for performing a transaction at a transaction terminal by means of a mobile terminal
DE102005005378A1 (en) Device for entering and transmitting encrypted signals
DE4230866B4 (en) Data exchange system
EP0400441B1 (en) Testing method for terminal communicating with IC-cards
DE102009016527A1 (en) A method and apparatus for securely entering an access code for secure access to an electronic service
EP0388700A1 (en) Method for generating a random cipher for the cryptographic transmission of data
EP1316929B1 (en) Cashless vending machine procedure
DE19803339B4 (en) Method and device for checking the access authorization of a user for a particularly protected facility
WO1980002756A1 (en) Data transmission system
EP1141904A1 (en) Method for the secure handling of money or units of value with pre-paid data carriers
EP0377763A1 (en) Device for checking the authorization of the user of a product vending or service vending and accounting apparatus, using a machine-readable authorization permit
DE60122912T2 (en) METHOD FOR DELIVERING IDENTIFICATION DATA OF A PAYMENT CARD TO A USER
EP0203543B2 (en) Method and device for verifying IC cards
WO1999049425A1 (en) Device and method for securely dispensing items with a monetary value

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH DE ES FR GB GR IT LI NL SE

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 19910119