EP1222563A2 - System for carrying out a transaction - Google Patents

System for carrying out a transaction

Info

Publication number
EP1222563A2
EP1222563A2 EP00949309A EP00949309A EP1222563A2 EP 1222563 A2 EP1222563 A2 EP 1222563A2 EP 00949309 A EP00949309 A EP 00949309A EP 00949309 A EP00949309 A EP 00949309A EP 1222563 A2 EP1222563 A2 EP 1222563A2
Authority
EP
European Patent Office
Prior art keywords
terminal
transaction
data
node computer
functionality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP00949309A
Other languages
German (de)
French (fr)
Inventor
Norbert Albrecht
Walter Hinz
Hermann Weilacher
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Publication of EP1222563A2 publication Critical patent/EP1222563A2/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/18Payment architectures involving self-service terminals [SST], vending machines, kiosks or multimedia terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/085Payment architectures involving remote charge determination or related payment systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/202Interconnection or interaction of plural electronic cash registers [ECR] or to host computer, e.g. network details, transfer of information from host to ECR or from ECR to ECR
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/204Point-of-sale [POS] network systems comprising interface for record bearing medium or carrier for electronic funds transfer or payment credit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F5/00Coin-actuated mechanisms; Interlocks
    • G07F5/18Coin-actuated mechanisms; Interlocks specially adapted for controlling several coin-freed apparatus from one place
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/001Interfacing with vending machines using mobile or wearable devices
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/002Vending machines being part of a centrally controlled network of vending machines

Definitions

  • the invention is based on a system according to the type of the main claim.
  • Such a system is known from EP-B-0 305 004. It describes a system for executing financial transactions, which provides user terminals, several of which are connected in parallel to a so-called concentrator. For their part, the concentrators are connected in parallel to a background bank system via a bank network. The connections between the system parts are secured independently of one another against researching the data traffic taking place via them. Security boxes, which are preferably designed in the form of smart cards, are used to secure the connections between terminals and concentrators. A key element of the system structure are the concentrators, which carry out the communication with the background system and have all the necessary means. The terminals connected to a concentrator are only able to communicate with the upstream concentrator. The structure of the terminals can thus be kept simple.
  • the device has a microprocessor unit, a memory device, an interface to an external program source and a number of subassemblies which can be controlled by controlling the microprocessor unit.
  • the modules are activated and controlled with the aid of application program packages which are transferred from the external program source to the memory device before the device is used for the first time.
  • the proposed concept permits the production of technically uniform devices which are matched to the place of use by loading corresponding application program packages on site.
  • a terminal in accordance with independent claim 9 and a method in accordance with independent claim 19 furthermore lead to the achievement of the object.
  • a terminal is not permanently determined by its technical design or equipment, but is variable and is only determined by software which it receives from an upstream node computer.
  • the technical design of the terminal there is only the requirement that they are capable of being supplied by the node computers
  • the end devices can be designed freely and in particular independently of their later functionality. End devices can advantageously be implemented in a technically uniform manner for very different transactions.
  • the terminal devices can be designed in a simple manner. In this way, the terminal-node computer interface can also be advantageously defined independently of the functionality of the terminal, thus regardless of the type of terminal and thus uniformly for all terminal types.
  • the free design of the terminal in a fixed framework in connection with a uniform design of the interfaces of the terminal node computer makes it much easier to set up new system software features and / or to change existing ones.
  • a particularly favorable embodiment provides that system changes are almost instantaneous take effect on the end devices.
  • each end device can be used to carry out several different transactions.
  • Terminal functionalities can also be set up at any time and the development of software for new functionalities is made considerably easier since interfaces, network or terminal peculiarities do not have to be taken into account.
  • Service and maintenance routines are also made significantly easier.
  • the proposed transaction system is suitable, among other things, for use in banking or payment applications, for issuing electronic tickets or as a health insurance card.
  • a terminal according to the invention according to independent claim 9 is characterized in that it enables the construction of a transaction system according to the main claim.
  • the inventive method according to independent claim 19 has the advantage that its implementation leads to a system according to the main claim.
  • FIG. 1 shows the structure of a transaction system
  • Figure 2 shows a section of the structure shown in Figure 1
  • Figure 3 is a flowchart illustrating the operation of a
  • FIG. 5 shows an example of a data exchange between a terminal and a node computer
  • FIG. 6 shows a data exchange when using a terminal
  • FIG. 1 shows a terminal 11 for executing a transaction, which is connected to a node computer 40 via a terminal network 30.
  • the node computer 40 is in turn connected to a central unit 60 via a background network 50.
  • Further terminals 10 can be connected to the terminal network 30 in parallel to the terminal 11, which terminals have the same basic structure as the terminal 11, but do not have to be identical to it.
  • Additional node computers 40 can be connected to the background network 50 parallel to the node computer 41, each of which in turn originates from a terminal network 30 to which one or more terminals 10 are connected.
  • Further central units 61 can also be connected to the background network 50 parallel to the central unit 60.
  • Terminal network 30 and background network 50 can be implemented in whole or in part as fixed or wireless networks;
  • the terminal network 30 can be implemented via the Internet. Accordingly, the connection of the terminals 10, 11, the node computers 40, 41 and also the central tral units 60, 61 to the respective networks 30, 50 wired and / or contactless.
  • the network structure shown in FIG. 1 enables a large number of different transactions to be carried out, inter alia for executing payment functions in the form of direct debit or as a wallet, credit card functions, customer card functions, end user applications, health insurance functions, service and maintenance functions or diagnostic functions.
  • FIG. 2 shows in more detail a section of the network structure illustrated in FIG. 1 with a terminal 11, a node computer 41 and a central unit 61.
  • a main component of the terminal 11 is a microprocessor 12, which is connected via a device-internal bus 16 to a memory device.
  • Device 20 an operating device 13, an image display unit 14, a user data interface 15, a contacting or contactless interface 16 to the terminal network 30 and a security box 17 is connected.
  • the memory device 20 is divided in a manner known per se into a volatile section 21, usually in the form of a RAM, which serves in particular as a working memory for the processor 12, and a non-volatile section 22, which in turn is in a read-only area 23, usually in the form of a ROM, and a readable and writable area 24, usually in the form of an EEPROM.
  • a volatile section 21 usually in the form of a RAM, which serves in particular as a working memory for the processor 12, and a non-volatile section 22, which in turn is in a read-only area 23, usually in the form of a ROM, and a readable and writable area 24, usually in the form of an EEPROM.
  • the read-only area 23 there are, in particular, original operating program data, which are indispensable for the production of a basic operational readiness of the terminal 11 and which must not be changed afterwards, in particular a bootstrap program for loading program packages to determine the terminal functionality.
  • the readable and writable area 24 there
  • the operating device 13 enables a user to initiate and / or continue a transaction. For this purpose, it has actuating means by means of which the user can generate control signals which are fed to the processor 12 via the bus 16. The input of the control signals is supported by displays on the image display unit 14.
  • the operating device is designed as a keypad, which can expediently be integrated into the image display unit 14 in the form of softkeys.
  • the operating device 13 can have means for identifying a user, for example devices that evaluate biometric data, such as a fingerprint recognition device.
  • the user data interface 15 is preferably designed as a read / write unit for communication with a portable data carrier 80, which forms part of the terminal 11 for the following description.
  • the data carrier 80 carries a microcomputer 81, which in turn has a microprocessor and a memory, the latter basically being able to be constructed like the memory device 20.
  • the communication between user data interface 15 and microcomputer 81 can be contact-based or contactless.
  • the portable data carrier 80 is expediently designed as a chip or magnetic stripe card, but can also have any other forms, such as the shape of a wristwatch.
  • the security box 17 supports the system security and contains information by means of which information output and received from the terminal network 30 via the interface 16 is encrypted or decrypted in order to prevent the unauthorized persons from researching the data traffic taking place via the terminal network 30.
  • the portable data carrier 80 contains information that is required to carry out a transaction using the terminal 11. Such information can be, for example, an account number for carrying out a bank transaction, a value memory content for carrying out a payment process, the name of an insurance company for preparing a medical treatment bill or a total memory content for recording bonus information.
  • the microcomputer 81 of the portable data carrier 80 can also contain data for producing a terminal functionality. Furthermore, it can contain operationally necessary components of the terminal-side processor 12, the terminal-side storage unit 20 or the security box 17, so that operation of the terminal 11 is only possible in unity with the portable data carrier 80.
  • the processor 12, the memory device 20 and / or the security box 17 can be dispensed with entirely or partially on the terminal side.
  • Other terminal components 13, 14 can also be implemented partially or entirely on the data carrier 80;
  • the selection and type of distribution can basically be freely designed according to the point of expediency.
  • the one or more node computers 40, 41 form servers for the terminals 10, 11, which execute the transactions triggered by the connected terminals 10, 11 in interaction with the terminals 10, 11 and thereby connect the terminals 10, 11 via the background network 50, 11 and central units 60, 61.
  • the node computers 40, 41 are equipped with correspondingly powerful processor units 44 and large storage devices 45.
  • processor unit 44 Via a tactless or contact-based first interface 42, processor unit 44 is connected to terminal network 30, via a contactless or contact-related second interface 43 to background network 50.
  • the node computer is provided to secure both data traffic to terminals 10, 11 and data traffic to background network 50 41 via a cipher box 46. It manages and processes information for encrypting or decrypting the data exchange taking place with the respective terminal 10, 11 or the respective central unit 60, 61. Encryption and decryption are based on mechanisms known per se.
  • the storage unit 45 therefore generally contains a large amount of data relating to the manufacture of the connected devices Terminals 10, 11 possible functionalities.
  • the central units 60, 61 typically have the form of conventional data centers, as can be found at network operators, banks, credit card institutes, charging centers, authorization centers, service centers and the like. Since central units 60, 61 are sufficiently known in this sense and they are used for the system according to the invention only in their known functions, their structure is not discussed in more detail here.
  • a characteristic property of the transaction system shown in FIG. 1 is that the respective functionality is not permanently assigned to the terminals 10, 11, but is determined by software that they receive from the node computers 41. The determination can be permanent or situational change depending on ons. Essential parts of a functionality can advantageously be relocated to the node computers 40, 41.
  • FIG. 2 illustrates this property using the sequence of steps when carrying out a transaction.
  • a user first triggers a transaction via the operating device 13, step 100.
  • the terminal processor 12 checks whether the data for the production of the functionality required for the intended transaction are available in the storage unit 20. If this is the case, the processor 12 immediately executes the first transaction steps possible with the existing data, step 102.
  • the processor 12 causes the user data interface 15, which is then designed as a reading unit, to read out the card data from the memory of the card microcomputer 81 and the user for inputting further control signals via the operating device 13, for example user identification information.
  • the processor 12 also generates a start sequence, step 106, which indicates which transaction was triggered and which contains information which identifies the respective terminal 10, 11.
  • the processor 12 If the check in step 102 reveals that the data for the production of a functionality required to carry out a transaction are not available in the memory unit 20, the processor 12 only forms the start sequence.
  • the processor 12 encrypts the start sequence and, if available, the data available on the basis of first executed transaction steps with the aid of the security information contained in the security box 17 and sends it via the terminal network 30 to the associated node computer 41.
  • Its processor unit 44 receives the data via the interface 42 and decrypts it using the decryption information contained in the cipher box 46.
  • the decrypted data is then checked by the processor unit 44 to determine whether it consists of only one start sequence or already contains the result data of the first transaction steps, step 110.
  • the processor unit 44 determines the terminal device functionality required to carry out the triggered transaction and checks, whether the associated data is present in the storage unit 45 of the node computer 41. If this is not the case, the processor unit 44 requests it from a central unit 60, 61 via the background network 50. If the required data are available, the processor unit 44 provides them for transmission to the terminal 11, step 116.
  • step 110 If the check in step 110 reveals that the first data received from the terminal 10, 11 already contain results of the first executed transaction steps, the processor unit 44 processes these and generates first response data. As a rule, it carries out a data exchange with the central units 60, 61 via the background network 50.
  • the processor unit 44 checks whether further data for the production of the required functionality are to be supplied to the terminal 11 for the execution of the next transaction steps, step 114. If so, it continues with the execution of the step 116 and checks whether the data still required are present in the storage unit 45. If it determines that the required data is not available in the storage unit 45, it requests it from the corresponding central unit 60, 61 via the background network 50. The data, if required, and the first response data are then sent by the node computer 40, 41 to the terminal 11 via the terminal network 30.
  • the terminal processor 12 takes over the data in the storage unit 20 he the execution of the first transaction steps. The resulting first data is sent back to the node computer 41, which then executes the sequence of steps 102.
  • the terminal processor 12 causes the next transaction steps to be carried out. If further data for the production of the functionality required to carry out the transaction were transmitted with the further response data, he takes this into the storage unit 20 and uses it directly to carry out the next transaction steps.
  • the data for establishing the functionality for carrying out the transaction can be retained in the storage unit after the transaction has been completed.
  • the terminal processor 12 then carries out the first transaction steps immediately after a transaction has been triggered, without first requesting the data from the node computer 41 to produce the required functionality.
  • the terminal 11 can carry out the transactions that are possible due to a functionality at any time without the need to request data from a node computer 40, 41.
  • the data for establishing the functionality for a transaction is deleted again after the transaction is completed.
  • the terminal processor 12 then reloads the data required to produce the required functionality each time a transaction is executed.
  • the storage device 20 can only consist of a volatile storage area 21 in addition to the area 23 for storing the original program data.
  • the transfer of data required to establish the functionality for a particular transaction does not necessarily have to be triggered by triggering the transaction itself. Rather, it can also take place independently of the actual initiation of a particular transaction. Any defined events can be triggered. For example, it can be provided that when a terminal is connected to a network for the first time, the data for the most important or most frequently carried out transactions is transferred to the terminal. In a variant of this, data for the most important or the most frequently executed transactions are loaded when any of the most important or most frequent transactions is triggered for the first time.
  • Another possible trigger event is the regular or on request implementation of service or maintenance measures on the end devices. In all cases, a data transmission once triggered can be used for the regular updating of functionalities already set up in a terminal; obsolete versions are overwritten with current ones in the memory of the end device.
  • FIG. 4 illustrates a possible sequence of data transmission from the node computer to the terminal that is not directly transaction-bound.
  • the sequence is initiated by the occurrence of a predetermined event, step 101, for example by reaching a service time.
  • the terminal 11 thereupon again forms a start sequence, step 106, which indicates which transaction was triggered and which contains information which identifies the respective terminal 11 and sends it to the associated node computer.
  • the node computer 41 checks whether the start sequence specifies immediately unambiguous data to be transmitted, step 111.
  • the node computer If this is not the case, the node computer generates a request to determine the data to be transmitted to the terminal and sends this to the terminal, step 113.
  • the terminal executes the request and names the desired data to the node computer in a corresponding response, step 115.
  • the node computer 41 checks whether the required data are present in the storage unit 45. If he determines that the required data is not available in his storage unit 45, he requests it from the corresponding central unit 61 via the background network 50. He then sends the data via the terminal network 30 to the terminal 1, step 119.
  • step 119 If the information about the data to be transmitted follows directly from the start sequence when it is checked in step 111, the node computer immediately executes step 119. Provision can also be made to equip the end devices with a selection of functionalities even when they are new. The selection can expediently include the most important or the most frequently used functionalities. If the storage capacity permits this in particular, all possible functionalities can also be set up on one terminal.
  • FIG. 5 illustrates a possible data exchange between a node computer 41 and a terminal 11 used as a payment transaction terminal.
  • the transaction is a payment transaction which entails the transfer of a sum of money from an account corresponding to chip card 80 at a first bank with central unit 61 to an account at a second bank with central unit 61.
  • the terminal 11 is a terminal installed at a dealer, to which a virtual dealer card, i. a data carrier implemented in the form of a chip card was created.
  • the payment transaction is triggered by inserting the chip card 80 into the user data interface 15 designed as a reading device. If the terminal device 11 detects that a transaction is to be carried out, the user's authorization to use the card 80 is first advantageously checked in a known manner, for example by Check a PIN. If this test is positive, the terminal 11 reads general card data, for example a card number, from the memory 83 of the chip card and / or a bank account. If the card enables several different transactions, for example, it can be operated either as a wallet or as a debit or credit card, the end device 11 causes the user to select a transaction, ie to select a payment method, by displaying it on the image display device 14.
  • general card data for example a card number
  • the terminal 11 provides data for terminal identification and date information.
  • the terminal forms a start sequence, step 200, from general card data, amount, terminal information data and date information, which it sends to the node computer 41.
  • the transmission of the start sequence and the entire subsequent data exchange between terminal 11 and node computer 41 are encrypted, with methods known per se being used for the encryption.
  • a first key is expediently assigned to the terminal 11 and is formed as part of the start sequence or, if appropriate, in an upstream step on the basis of the terminal identification. It subsequently serves as a comprehensive transport key with which the entire data exchange between terminal 11 and node computer 41 is secured.
  • a further key is expediently assigned to chip card 80 and is used to form data security codes, in particular to be able to check the integrity of data.
  • the node computer 41 determines the central unit 61 corresponding to the bank connection designated in the start sequence, in which the account belonging to the card 80 is created, step 202. It begins a data exchange with the determined central unit 61. For example, it first checks whether the intended payment transaction is even permitted. If the intended transaction is fundamentally possible thereafter, the node computer 41 transmits to the terminal 11 data which the terminal Set up device 11 to carry out the intended transaction and in particular include commands which cause user data interface 15 to carry out further accesses to chip card 80, step 204. In addition, the data contains commands which cause terminal device 11 to tell who the recipient is or should be the giver of a payment.
  • the received data and chip card commands are carried out by the terminal 11, step 206. If the chip card 80 is prepared to carry out a debit, the terminal 11 sends a feedback to the node computer 41 after encryption, step 208, which in the underlying example contains information that from the Card a payment is to be made to the virtual merchant card belonging to the terminal.
  • the node computer 41 determines to whom an amount to be debited or debited from the card 80 or the associated account should be credited or debited, in the assumed example of the virtual merchant card. Using the terminal information data sent in the start sequence, the node computer 41 therefore reads out the memory of the virtual dealer card and determines the central unit 60 associated with the dealer card. With this, it then opens a data exchange, step 210, in order to set up the virtual dealer card for booking.
  • the node computer 41 sends the terminal 11 booking commands which, on the terminal side, result in the entry of the debit in the memory of the chip card 80, step 218 the background network 50 executes the booking between the central units 60, 61 involved.
  • the terminal 11 makes the entry of the debit on the chip card, step 220, and acknowledges the completion of the transaction by sending a confirmatory feedback to the node computer 41, step 222.
  • the node computer 41 When the booking part of the transaction has ended, the node computer 41 generates control data which the terminal device 11 displays to show a document display of the executed transaction, i.e. Initiate via the booking process carried out on the image display device 14, step 224. If a document output is assigned to the terminal 11, for example in the form of a printer, the node computer 41 expediently also generates control data for printing out a document. It sends the control data to the terminal 11, which executes them without further processing, step 226.
  • FIG. 6 illustrates, as a further possible use of the transaction system shown in FIG. 2, a variant in which the terminal 11 is used to issue electronic tickets. It is assumed that the electronic ticket has the form of a data record which is inserted into the memory of a chip card 80. The end device 11 accordingly has a user data interface 15 in the form of a chip card contacting unit.
  • a ticket issuing transaction is triggered by the customer presenting the chip card 80 to the terminal 11 and / or, for example via the operating device 13, notifying that he wants to carry out the "electronic ticket" transaction, step 300, in order to acquire an electronic ticket. Detects the terminal 11 that a ticket issue transaction is to be carried out, a check of the loading authorization of the customer to use the chip card 80 for the intended transaction, for example in a known manner by checking a PIN.
  • the terminal 11 determines the card number of the chip card 80 and checks whether it is set up to carry out an "electronic ticket” transaction, Step 302. If this is not the case, it also determines whether sufficient free storage space is available to set up the functionality.
  • the terminal 11 then generates a start sequence 306 which contains the card number and a terminal identification. If the functionality required to carry out the “electronic ticket” transaction is not available in the storage unit 20 of the terminal 11, the start sequence 306 also contains information which indicates that the terminal 11 contains the data for setting up the functionality mentioned in the following application needed.
  • the start sequence 306 is encrypted by means of an overarching transport key assigned to the terminal 11, which is generated using the terminal identification as part of the start sequence or in an upstream, separate data exchange according to a conventional method.
  • the entire subsequent data exchange between terminal 11 and node computer 41 is secured with the transport key.
  • the generation and use of the key are based in a manner known per se on the fact that the communication participants independently of each other know a secret that is not about the end device.
  • tenetz 30 can be exchanged between terminal 11 and node computer 41.
  • the secret is stored on the one hand in the terminal 11, preferably in the security box 17, and is managed on the other side in the node computer 41 or via the background network 50 by the central units 60, 61. If a secret necessary for generating a key is not available in a node computer 41, the latter obtains it from the managing central unit 60, 61.
  • the encrypted start sequence 306 is sent by the terminal 11 to the assigned node computer 41.
  • its processor unit 44 checks whether the application “electronic ticket” is present in the memory unit 45 of the node computer 41, step 308. If this is not the case, the node computer 41, for example with the aid of the terminal device information, determines a central unit 60, 61, which has the data resalizing the application, and requests the data from it via the background network 50. Application data are available, step 310 , the node computer 41 transmits them to the terminal 11.
  • Its processor 12 accepts the application data in the memory unit 20 and executes the functionality set up, step 312.
  • the terminal 11 requests the customer here via the image display device 14 to select a ticket.
  • the selection is user-guided in the dialog.
  • the customer uses the operating device 13 in accordance with a request from the image display device 14 in each case to provide information which is necessary for determining the required ticket, such as the start and destination, travel time, number of people, travel class etc., step 314. These are in the terminal If all the information required to determine a ticket has been entered, the terminal 11 transmits the selection data to the node computer 41. From the data on the ticket selection received from the terminal 11, the node computer 41 determines a data record representing the electronic ticket, step 316.
  • the node computer 41 is expediently set up to perform simple and particularly frequently requested ticket determinations, such as the determination of a ticket of the local transport company, directly by to carry out the processor unit 44 of the node computer 41.
  • the determination of a ticket requires complex program sequences, which usually require the activation of a central unit 60, 61 via the background network 50.
  • the resulting ticket data record contains, in addition to the information used for the determination, the possible ticket alternatives and, in particular, the ticket price (s).
  • the node computer 41 then generates a chip card-specific key from the card number and a secret, which is also permanently stored in the chip card 80, which key subsequently serves to form a data security code, step 318.
  • the node computer 41 If the node computer 41 has generated a chip card-specific key, it thus forms a data security code for the resulting ticket data record, for example a MAC (Message Authentication Code), and encrypts the resulting ticket data block consisting of ticket data record and data security code with the aid of the transport key, step 320.
  • the resulting encrypted ticket data block the node computer 41 transmits to the terminal 11.
  • the incoming ticket data block decrypts the end device 11 with the help of the transport key that it, z. B. in the security box 17 on generated in the same way as the node computer 41.
  • the terminal 11 also carries out a preliminary check of the integrity of the ticket data record, for example by checking whether the decrypted ticket data record has certain values at defined positions.
  • the decoded ticket data set is forwarded by the terminal 11 to the chip card 80, which checks its integrity by checking the data security code using the chip card-specific key present on the chip card 80.
  • the terminal 11 prompts the customer by corresponding display on the image display unit 14 to check the electronic ticket for correctness and to confirm the purchase, step 322. If the ticket data record contains several possible electronic ticket alternatives, this requires this Terminal 11 prompts the customer to make a selection from the alternatives offered. In simple, no-alternative cases, for example when buying a ticket for a local transport company, the customer does not have to select and confirm the purchase.
  • the confirmed part of the ticket data record which makes up the selected ticket is first temporarily stored in the storage device 20 of the terminal 11, step 324. Furthermore, the terminal 11 initiates the payment of the electronic ticket. Scheins, step 326.
  • the payment process can be carried out by cash payment or, as described in connection with FIG. 5, by confiscation of electronic money stored on chip card 80.
  • the node computer 41 When the payment process is complete, the node computer 41 generates an acknowledgment signal, step 328, which it transmits to the node computer 41.
  • the node computer 41 After receiving the acknowledgment signal, the node computer 41 generates a control command which causes the processor 12 of the terminal 11 to transfer the ticket data record stored in the storage device 20 to the chip card 80.
  • the terminal 11 carries out the transfer of the electronic ticket to the chip card, step 330, and acknowledges the completion of the transaction by sending a confirmatory feedback to the node computer 41, step 332.
  • the receipt of this feedback in the node computer 41 can, for example, be followed by the output of a Connect receipt, for example by a printer connected to the terminal 11.
  • FIG. 7 illustrates, as a further possible use of the transaction system shown in FIG. 2, a variant in which a terminal is used in a health insurance card system.
  • the health insurance card again has the form of a chip card 80 and the functionality for handling health insurance cards is already present in the storage unit 20 of the terminal 11.
  • the terminal 11 is located, for example, in a doctor's office, a hospital or an institution for billing medical services, such as health insurance.
  • the medical staff are granted different access rights than the members of the health insurance.
  • a transaction using a health insurance card 80 hereinafter simply referred to as a card, is initiated by presenting the card 80 to the user data interface 15 of the terminal 11, step 400.
  • the terminal 11 then actuates via the image display unit 14 that a transaction using a health insurance card is requested was and prompts - in normal operation - the operator to indicate whether he wants to access the card 80 only for reading or writing and reading, step 402. Furthermore, it prompts the operator, step 404, to indicate which data stored on the card 80 he wants to access.
  • the data held in the memory device of the card 80 are expediently structured according to their factual nature, for example in terms of billing technology or medicine, this structure being further subdivided, for example, according to the type of medical specialty.
  • the outline areas are protected individually or in groups by area-based access keys against read and write access.
  • the access keys are preferably derived from the card-specific key and information characterizing the operator, for example a doctor, or the outline area, for example a medical specialty.
  • the terminal 11 prompts the operator via the image display unit 14 to identify himself, step 406. This can be done, for example, by means of the operating device 13 by entering a code for identifying a doctor , a hospital or health insurance. The terminal 11 also determines the card number of the card 80.
  • the terminal 11 forms a starting point from the information about the desired type of access, the card area to be accessed, the identification code, the number of the presented card 80 and the terminal identification. sequence, step 408, which it transmits to the assigned node computer 41.
  • the transmission is encrypted using a transport key, which is generated using the terminal device identification, if necessary, in an upstream data exchange step and with which the entire subsequent data exchange between terminal device 11 and node computer 41 is secured.
  • the start sequence 408 After the start sequence 408 has been received in the node computer 41, it forms a card-specific key with the aid of the card number and a secret assigned to the card 80. If the secret is not in the
  • Node computer 41 itself available, it determines it via the background network 50 from the managing central unit 60, 61.
  • the node computer 41 checks whether the information necessary for evaluating the start sequence 408 is in the memory 45. If this is not the case, it determines a central unit 60 suitable for evaluating the start sequence and initiates a data exchange with it via the background network 15, step 412. In the course of the following data exchange, the node computer 41 checks using the one transmitted with the start sequence 408 Operator identification codes as to whether operator access to card 80 is permitted. If this is the case, device data are provided in the node computer 41, which enable the terminal 11 to carry out the desired access to the card 80, step 414. The device data for this preferably include one or more access keys assigned to individual areas of the card 80.
  • the node computer 41 then uses the card-specific key to form a data backup code for the device data, step 416.
  • the data record consisting of device data and data backup code becomes then encrypted with the transport key and sent to the terminal 11.
  • an access type for emergencies is expediently set up in the terminal 11.
  • An emergency transaction is triggered like a transaction in normal operation, however in step 406 the operator does not identify himself by an individual identification, but by an emergency identification.
  • the node computer 41 or a central unit 60, 61 recognizes an emergency identification after generating a key for forming a data security code and a transport key, when evaluating the start sequence 408, it provides the node computer 41 with a set of access keys based on the card number, which is at least one Allows read access to all medical data on the health insurance card 80. To accelerate the execution of the transaction, provision can be made for an additional check of the authorization of the operator to be dispensed with.
  • the node computer provides the access key data record with a data backup code, step 416, encrypts both with the transport key and transmits the resulting data record to the terminal 11.
  • the functionality assigned in the terminals can be limited to passing data to a data carrier on the one hand, and extensive data processing can be set up directly by a terminal on the other hand.
  • the encryption vary with a transport key and data carrier-related key in a wide range, with encryption being completely eliminated on the one hand and additional encryption provided on the other.

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The invention relates to a system for carrying out transactions using terminals that basically enable the execution of a plurality of different transactions. To this end, the terminals (10, 11) are connected to at least one node computer (40, 41) by a terminal network (30) that can be set up for carrying out a transaction. Appropriateness to execute another transaction that has not been hitherto prepared can be subsequently established at any time without requiring any special setup measures. A terminal (10, 11) requests data from a node computer (40, 41) which responds to a triggering signal characterizing the other transaction, said data providing the functionality needed to carry out the other transaction. Execution of the transaction is then effected by interaction between the terminal (10, 11) and a node computer (40, 41).

Description

System zur Ausführung einer Transaktion System for executing a transaction
Die Erfindung geht aus von einem System nach der Gattung des Hauptanspruchs.The invention is based on a system according to the type of the main claim.
Ein solches ist bekannt aus der EP-B-0 305 004. Darin ist ein System zur Ausführung von Finanztransaktionen beschrieben, welches benutzerseitig Terminals vorsieht, von denen jeweils mehrere in Parallelanordnung mit einem sogenannten Konzentrator verbunden sind. Die Konzentratoren ihrerseits sind in Parallelanordnung über ein Banknetz mit einem Hintergrundbanksystem verbunden. Die Verbindungen zwischen den Systemteilen sind unabhängig voneinander gegen Ausforschen des über sie erfolgenden Datenverkehrs gesichert. Zur Sicherung der Verbindungen zwischen Terminals und Konzentratoren dienen Sicherheitsboxen, welche terminalseitig vorzugswei- se in Form von Smartcards ausgeführt sind. Maßgebliches Element der Systemstruktur sind die Konzentratoren, welche die Kommunikation mit dem Hintergrundsystem durchführen und über sämtliche dazu benötigte Mittel verfügen. Die mit einem Konzentrator verbundenen Terminals sind nur zur Kommunikation mit dem jeweils vorgeschalteten Konzentrator befähigt. Der Aufbau der Terminals kann dadurch einfach gehalten werden.Such a system is known from EP-B-0 305 004. It describes a system for executing financial transactions, which provides user terminals, several of which are connected in parallel to a so-called concentrator. For their part, the concentrators are connected in parallel to a background bank system via a bank network. The connections between the system parts are secured independently of one another against researching the data traffic taking place via them. Security boxes, which are preferably designed in the form of smart cards, are used to secure the connections between terminals and concentrators. A key element of the system structure are the concentrators, which carry out the communication with the background system and have all the necessary means. The terminals connected to a concentrator are only able to communicate with the upstream concentrator. The structure of the terminals can thus be kept simple.
Eine Schwierigkeit bei Vielteilnehmer-Systemen wie dem vorgenannten ist die Einrichtung neuer oder die Änderung bestehender Systemmerkmale. Die damit verbundene Problematik wird vor allem offensichtlich, wenn eine vorzunehmende Systemänderung, etwa die Einführung eines neuen Softwaresicherheitsmerkmals, mindestens zwei Systemteilnehmer betrifft und diese technisch nicht identisch sind. Für jeden Teilnehmertyp ist die Systemanpassung dann in der Regel typindividuell vorzunehmen. Ist die Funktionalität eines Endgerätes dabei nicht nachträglich änderbar, ist ein kompletter Aus- tausch des Endgerätes erforderlich. Aus der DE- AI -38 15 071 ist es desweiteren bekannt, ein Kommunikationssendgerät in Gestalt eines Bildschirmtextterminals oder eines Fernsehempfangsgerätes durch Nachladen von Programmpaketen an eine gegebene Nutzungssituation am Einsatzort anzupassen. Das Gerät verfügt über eine Mikroprozessoreinheit, eine Speichereinrichtung, eine Schnittstelle zu einer externen Programmquelle sowie über mehrere unter Steuerung der Mikroprozessoreinheit steuerbare Baugruppen. Aktivierung und Steuerung der Baugruppen erfolgen mit Hilfe von Applikationsprogrammpaketen, welche von der externen Programmquelle vor erstmaliger Nutzung des Gerätes in die Speichereinrichtung übertragen werden. Das vorgeschlagene Konzept gestattet die Fertigung technisch einheitlicher Geräte, die durch Laden von jeweils entsprechenden Applikationsprogrammpaketen vor Ort auf den Einsatzort abgestimmt werden.One difficulty with multi-subscriber systems like the one mentioned above is the creation of new or changing existing system features. The associated problem is particularly evident when a system change to be made, such as the introduction of a new software security feature, affects at least two system participants and these are not technically identical. For each participant type, the system adjustment is then usually made individually for each type. If the functionality of a device cannot be changed subsequently, a complete replacement of the device is required. From DE-AI-38 15 071 it is also known to adapt a communication terminal in the form of a screen text terminal or a television receiving device by reloading program packages to a given usage situation at the place of use. The device has a microprocessor unit, a memory device, an interface to an external program source and a number of subassemblies which can be controlled by controlling the microprocessor unit. The modules are activated and controlled with the aid of application program packages which are transferred from the external program source to the memory device before the device is used for the first time. The proposed concept permits the production of technically uniform devices which are matched to the place of use by loading corresponding application program packages on site.
Das in DE-A-38 15 071 beschriebene Konzept bietet den größten Nutzen, wenn die Kommunikationsgeräte herstellerseitig zur Ausführung aller überhaupt möglichen Funktionen vorbereitet sind und über alle dazu notwendigen Baugruppen sowie eine entsprechend groß ausgelegte Speichereinrichtung verfügen. Kommunikationsgeräte dieser Art lassen sich zwar durch Massenfertigung vergleichsweise günstig herstellen, sind aber für viele Anwendungen überdimensioniert. Die alltägliche Nutzung der Geräte setzt im übrigen voraus, daß das jeweilige Gerät bei der Einrichtung durch Laden eines entsprechenden Applikationsprogrammpaketes zur Ausführung der gewünschten Funktion vorbereitet wurde. Es können, anders ausgedrückt, nur Funktionalitäten genutzt werden, die in einem gesonderten Einrichtschritt zuvor eingerichtet wurden. Jede neue Funktionalität oder jede Änderung einer bestehenden muß in einem gesonderten Bedienungsschritt eingerichtet werden. Der Erfindung liegt die Aufgabe zugrunde, ein flexibles Transaktionssystem mit möglichst einfach aufgebauten Endgeräten anzugeben, das die Einführung neuer Systemmerkmale oder die Änderung bestehender vereinfacht.The concept described in DE-A-38 15 071 offers the greatest benefit if the communication devices have been prepared by the manufacturer for carrying out all possible functions and have all the necessary assemblies and a correspondingly large storage device. Communication devices of this type can be manufactured relatively cheaply by mass production, but are oversized for many applications. The everyday use of the devices also presupposes that the respective device was prepared for the execution of the desired function when it was set up by loading an appropriate application program package. In other words, only functionalities that were previously set up in a separate setup step can be used. Any new functionality or any change to an existing one must be set up in a separate operating step. The invention is based on the object of specifying a flexible transaction system with the simplest possible design of terminal devices, which simplifies the introduction of new system features or the modification of existing ones.
Diese Aufgabe wird gelöst durch ein System mit den Merkmalen desThis task is solved by a system with the characteristics of
Hauptanspruchs. Zur Lösung der Aufgabe führen desweiteren ein Endgerät gemäß unabhängigem Anspruch 9 sowie ein Verfahren gemäß dem unabhängigen Anspruch 19.Main claim. A terminal in accordance with independent claim 9 and a method in accordance with independent claim 19 furthermore lead to the achievement of the object.
Für das erfindungsgemäße System ist bezeichnend, daß die Funktionalität eines Endgerätes nicht durch seine technische Gestaltung bzw. Einrichtung dauerhaft festgelegt wird sondern variabel ist und erst durch Software bestimmt wird, welche es von einem vorgeschalteten Knotenrechner erhält. Hinsichtlich der technischen Ausgestaltung der Endgerätes besteht nur die Vorgabe, daß sie in der Lage sind, von den Knotenrechnern zugeführteIt is characteristic of the system according to the invention that the functionality of a terminal is not permanently determined by its technical design or equipment, but is variable and is only determined by software which it receives from an upstream node computer. With regard to the technical design of the terminal, there is only the requirement that they are capable of being supplied by the node computers
Software übernehmen und ausführen zu können. Im Rahmen dieser Vorgabe können die Endgeräte frei und insbesondere unabhängig von ihrer späteren Funktionalität ausgeführt sein. Vorteilhaft können dabei Endgeräte für ganz unterschiedliche Transaktionen technisch einheitlich ausgeführt sein. Durch Verlagerung wesentlicher Teile der möglichen Funktionalitäten in die Knotenrechner ist eine einfache Ausführung der Endgeräte möglich. In vorteilhafter Weise kann dadurch auch die Schnittstelle Terminal-Knotenrechner unabhängig von der Funktionalität des Endgerätes, damit unabhängig von der Art des Endgerätes und damit einheitlich für alle Terminalarten definiert werden. Die in einem festen Rahmen freie Gestaltbarkeit der Endgerätes in Verbindung mit einer einheitlichen Gestaltung der Schnittstellen Terminal- Knotenrechner erleichtert wesentlich die Einrichtung neuer Systemsoftwaremerkmale und/ oder die Änderung bestehender. Eine besonders günstige Ausgestaltung sieht vor, daß Systemänderungen nahezu verzögerungsfrei an den Endgeräten wirksam werden. Indem seine Funktionalität grundsätzlich jederzeit frei konfigurierbar ist, kann jedes Endgerät zur Ausführung mehrerer verschiedener Transaktionen verwendet werden. Auch lassen sich Terminalfunktionalitäten jederzeit neu einrichten und wird die Entwicklung von Software für neue Funktionalitäten wesentlich erleichtert, da Schnittstellen, Netz- oder Terminalbesonderheiten nicht zu beachten sind. Deutlich erleichtert werden desweiteren Service- und Wartungsroutinen.Take over and execute software. Within the framework of this specification, the end devices can be designed freely and in particular independently of their later functionality. End devices can advantageously be implemented in a technically uniform manner for very different transactions. By relocating essential parts of the possible functionalities to the node computers, the terminal devices can be designed in a simple manner. In this way, the terminal-node computer interface can also be advantageously defined independently of the functionality of the terminal, thus regardless of the type of terminal and thus uniformly for all terminal types. The free design of the terminal in a fixed framework in connection with a uniform design of the interfaces of the terminal node computer makes it much easier to set up new system software features and / or to change existing ones. A particularly favorable embodiment provides that system changes are almost instantaneous take effect on the end devices. Since its functionality can be freely configured at any time, each end device can be used to carry out several different transactions. Terminal functionalities can also be set up at any time and the development of software for new functionalities is made considerably easier since interfaces, network or terminal peculiarities do not have to be taken into account. Service and maintenance routines are also made significantly easier.
Das vorgeschlagene Transaktionssystem eignet sich unter anderem zur Ver- wendung in Bank- oder Zahlungsverkehrsanwendungen, zur Ausgabe elektronischer Fahrscheine oder als Krankenversicherungskarte.The proposed transaction system is suitable, among other things, for use in banking or payment applications, for issuing electronic tickets or as a health insurance card.
Ein erfindungsgemäßes Endgerät gemäß dem unabhängigen Anspruch 9 zeichnet sich dadurch aus, daß es den Aufbau eines Transaktionssystems gemäß Hauptanspruch ermöglicht.A terminal according to the invention according to independent claim 9 is characterized in that it enables the construction of a transaction system according to the main claim.
Das erfindungsgemäße Verfahren gemäß unabhängigem Anspruch 19 hat den Vorteil, daß seine Durchführung auf ein System gemäß dem Hauptanspruch führt.The inventive method according to independent claim 19 has the advantage that its implementation leads to a system according to the main claim.
Weitere zweckmäßige Ausgestaltungen und vorteilhafte Weiterbildungen des Systems gemäß Hauptanspruch, des Endgerätes gemäß unabhängigem Anspruch 9 bzw. des Verfahrens gemäß unabhängigem Anspruch 19 ergeben sich aus den jeweils rückbezogenen Unteransprüchen.Further expedient refinements and advantageous developments of the system according to the main claim, the terminal according to independent claim 9 and the method according to independent claim 19 result from the respective dependent claims.
Ein Ausführungsbeispiel der Erfindung wird nachfolgend unter Bezugnahme auf die Zeichnung näher erläutert. Es zeigen:An embodiment of the invention is explained below with reference to the drawing. Show it:
Figur 1 die Struktur eines Transaktionssystems,FIG. 1 shows the structure of a transaction system,
Figur 2 einen Ausschnitt aus der in Figur 1 gezeigten Struktur, Figur 3 ein Flußdiagramm zur Veranschaulichung des Betriebes einesFigure 2 shows a section of the structure shown in Figure 1, Figure 3 is a flowchart illustrating the operation of a
Transaktionssystems, Figur 4 ein Flußdiagramm einer Betriebsvariante,4, a flow chart of an operating variant,
Figur 5 ein Beispiel für einen Datenaustausch zwischen einem Endgerät und einem Knotenrechner, Fig. 6 einen Datenaustausch bei Verwendung eines Endgerätes zur5 shows an example of a data exchange between a terminal and a node computer, FIG. 6 shows a data exchange when using a terminal
Ausgabe eines elektronschen Fahrscheins, Fig. 7 einen Datenaustausch bei Verwendung eines Endgerätes zurIssue of an electronic ticket, Fig. 7 a data exchange when using a terminal
Handhabung von Krankenversicherungskarten.Handling health insurance cards.
Figur 1 zeigt ein Endgerät 11 zur Ausführung einer Transaktion, welches über ein Endgerätenetz 30 mit einem Knotenrechner 40 verbunden ist. Der Knotenrechner 40 ist seinerseits über ein Hintergrundnetz 50 mit einer Zentraleinheit 60 verbunden. An das Endgerätenetz 30 können parallel zum Endgerät 11 weitere Endgeräte 10 angeschlossen sein, welche dieselbe Grundstruktur wie das Endgerät 11 aufweisen, aber nicht baugleich mit diesem sein müssen. An das Hintergrundnetz 50 können parallel zum Knotenrechner 41 weitere Knotenrechner 40 angeschlossen sein, von denen jeweils wiederum ein Endgerätenetz 30 ausgeht, an das ein oder mehrere Endgeräte 10 angeschlossen sind. An das Hintergrundnetz 50 können weiterhin parallel zur Zentraleinheit 60 weitere Zentraleinheiten 61 angeschlossen sein. Endgerätenetz 30 und Hintergrundnetz 50 können ganz oder teilweise als Festoder drahtlose Netze ausgeführt sein; insbesondere das Endgerätenetz 30 kann dabei über das Internet realisiert sein. Entsprechend kann die Anbin- dung der Endgeräte 10, 11, der Knotenrechner 40, 41 und auch der Zen- traleinheiten 60, 61 an die jeweiligen Netze 30, 50 drahtgebunden und/ oder kontaktlos erfolgen.FIG. 1 shows a terminal 11 for executing a transaction, which is connected to a node computer 40 via a terminal network 30. The node computer 40 is in turn connected to a central unit 60 via a background network 50. Further terminals 10 can be connected to the terminal network 30 in parallel to the terminal 11, which terminals have the same basic structure as the terminal 11, but do not have to be identical to it. Additional node computers 40 can be connected to the background network 50 parallel to the node computer 41, each of which in turn originates from a terminal network 30 to which one or more terminals 10 are connected. Further central units 61 can also be connected to the background network 50 parallel to the central unit 60. Terminal network 30 and background network 50 can be implemented in whole or in part as fixed or wireless networks; In particular, the terminal network 30 can be implemented via the Internet. Accordingly, the connection of the terminals 10, 11, the node computers 40, 41 and also the central tral units 60, 61 to the respective networks 30, 50 wired and / or contactless.
Die in Fig. 1 dargestellte Netzstruktur ermöglicht die Durchführung einer Vielzahl von unterschiedlichen Transaktionen, unter anderem zur Ausführung von Zahlungsfunktionen in Form von Lastschriftverfahren oder als Geldbörse, Kreditkartenfunktionen, Kundenkartenfunktionen, Applikationen eines Endgerätenutzers, Krankenversicherungsfunktionen, Service- und Wartungsfunktionen oder Diagnosefunktionen.The network structure shown in FIG. 1 enables a large number of different transactions to be carried out, inter alia for executing payment functions in the form of direct debit or as a wallet, credit card functions, customer card functions, end user applications, health insurance functions, service and maintenance functions or diagnostic functions.
Fig. 2 zeigt in detaillierterer Form einen Ausschnitt aus der in Fig. 1 veranschaulichten Netzstruktur mit einem Endgerät 11, einem Knotenrechner 41 und einer Zentraleinheit 61. Ein Hauptbestandteil des Endgerätes 11 ist ein Mikroprozessor 12, welcher über einen geräteinternen Bus 16 mit einer Spei- chereinrichtung 20, einer Bedienvorrichtung 13, einer Bildanzeigeeinheit 14, einer Nutzerdatenschnittstelle 15, einer kontaktierenden oder kontaktlosen Schnittstelle 16 zum Endgerätenetz 30 sowie einer Sicherheitsbox 17 verbunden ist. Die Speichereinrichtung 20 gliedert sich in an sich bekannter Weise in einen flüchtigen Abschnitt 21, üblicherweise in Gestalt eines RAMs, der insbesondere als Arbeitsspeicher für den Prozessor 12 dient, sowie einen nichtflüchtigen Abschnitt 22, der wiederum in einen nur lesbaren Bereich 23, üblicherweise in Gestalt eines ROMs, sowie einen les- und beschreibbaren Bereich 24, üblicherweise in Gestalt eines EEPROMs, gegliedert ist. Im Nur- Lesebereich 23 befinden sich insbesondere Urbetriebsprogra mdaten, wel- ehe für die Herstellung einer Grundbetriebsbereitschaft des Endgerätes 11 unerläßlich sind und die nachträglich nicht mehr verändert werden dürfen, insbesondere ein Urladeprogramm zum Laden von Programmpaketen zur Festlegung der Endgerätefunktionalität. Im les- und beschreibbaren Bereich 24 finden sich vorzugsweise alle Daten, die in Verbindung mit im nur lesba- ren Bereich 23 enthaltenen Urbetriebsprogrammdaten die Funktionalität des Endgerätes herstellen.FIG. 2 shows in more detail a section of the network structure illustrated in FIG. 1 with a terminal 11, a node computer 41 and a central unit 61. A main component of the terminal 11 is a microprocessor 12, which is connected via a device-internal bus 16 to a memory device. Device 20, an operating device 13, an image display unit 14, a user data interface 15, a contacting or contactless interface 16 to the terminal network 30 and a security box 17 is connected. The memory device 20 is divided in a manner known per se into a volatile section 21, usually in the form of a RAM, which serves in particular as a working memory for the processor 12, and a non-volatile section 22, which in turn is in a read-only area 23, usually in the form of a ROM, and a readable and writable area 24, usually in the form of an EEPROM. In the read-only area 23 there are, in particular, original operating program data, which are indispensable for the production of a basic operational readiness of the terminal 11 and which must not be changed afterwards, in particular a bootstrap program for loading program packages to determine the terminal functionality. In the readable and writable area 24 there is preferably all the data that are associated with Ren area 23 contained original operating program data establish the functionality of the terminal.
Die Bedienvorrichtung 13 ermöglicht einem Benutzer das Auslösen und/ oder das Weiterführen einer Transaktion. Sie verfügt dazu über Betätigungsmittel, mittels derer der Benutzer Steuersignale erzeugen kann, welche über den Bus 16 dem Prozessor 12 zugeführt werden. Die Eingabe der Steuersignale wird durch Anzeigen auf der Bildanzeigeeinheit 14 unterstützt. In einer gängigen Ausführungsform ist die Bedienvorrichtung als Tastenfeld ausgeführt, welches zweckmäßig in Form von Softkeys in die Bildanzeigeeinheit 14 integriert sein kann. Zur Erhöhung der Systemsicherheit kann die Bedienvorrichtung 13 Mittel zur Identifizierung eines Benutzers aufweisen, etwa biometrische Daten auswertende Einrichtungen wie eine Fingerabdruckerkennungseinrichtung.The operating device 13 enables a user to initiate and / or continue a transaction. For this purpose, it has actuating means by means of which the user can generate control signals which are fed to the processor 12 via the bus 16. The input of the control signals is supported by displays on the image display unit 14. In a common embodiment, the operating device is designed as a keypad, which can expediently be integrated into the image display unit 14 in the form of softkeys. To increase the system security, the operating device 13 can have means for identifying a user, for example devices that evaluate biometric data, such as a fingerprint recognition device.
Die Nutzerdatenschnittstelle 15 ist vorzugsweise als Lese-/ Schreibeinheit zur Kommunikation mit einem tragbaren Datenträger 80 ausgebildet, welcher für die nachfolgende Beschreibung einen Teil des Endgerätes 11 bildet. Der Datenträger 80 trägt einen Mikrocomputer 81, der seinerseits einen Mi- kroprozessor sowie einen Speicher aufweist, wobei letzterer grundsätzlich wie die Speichereinrichtung 20 aufgebaut sein kann. Die Kommunikation zwischen Nutzerdatenschnittstelle 15 und Mikrocomputer 81 kann kontaktbehaftet oder kontaktlos erfolgen. Der tragbare Datenträger 80 ist zweckmäßig als Chip- oder Magnetstreifenkarte ausgeführt, kann aber auch belie- bige andere Erscheinungsformen haben, etwa die Gestalt einer Armbanduhr.The user data interface 15 is preferably designed as a read / write unit for communication with a portable data carrier 80, which forms part of the terminal 11 for the following description. The data carrier 80 carries a microcomputer 81, which in turn has a microprocessor and a memory, the latter basically being able to be constructed like the memory device 20. The communication between user data interface 15 and microcomputer 81 can be contact-based or contactless. The portable data carrier 80 is expediently designed as a chip or magnetic stripe card, but can also have any other forms, such as the shape of a wristwatch.
Die Sicherheitsbox 17 unterstützt die Systemsicherheit und beinhaltet Informationen, mittels derer über die Schnittstelle 16 an das Endgerätenetz 30 ausgegebene und von dort eingehende Informationen ver- bzw. entschlüsselt werden, um so ein Ausforschen des über das Endgerätenetz 30 erfolgenden Datenverkehrs durch Unberechtigte zu verhindern.The security box 17 supports the system security and contains information by means of which information output and received from the terminal network 30 via the interface 16 is encrypted or decrypted in order to prevent the unauthorized persons from researching the data traffic taking place via the terminal network 30.
Der tragbare Datenträger 80 enthält Informationen, die zur Durchführung einer Transaktion mit Hilfe des Endgerätes 11 benötigt werden. Solche Informationen können beispielsweise eine Kontonummer zur Durchführung einer Banktransaktion, ein Wertspeicherinhalt zur Durchführung eines Bezahlvorganges, der Name einer Versicherung zur Vorbereitung einer Krankenbehandlungsabrechnung oder ein Summenspeicherinhalt zur Aufzeich- nung von Bonusinformationen sein. Der Mikrocomputer 81 des tragbaren Datenträgers 80 kann darüber hinaus Daten zur Herstellung einer Endgerätefunktionalität enthalten. Weiterhin kann er betriebsnotwendige Bestandteile des endgeräteseitigen Prozessors 12, der endgeräteseitigen Speichereinheit 20 oder der Sicherheitsbox 17 enthalten, so daß ein Betrieb des Endgerätes 11 nur in Einheit mit dem tragbaren Datenträger 80 möglich ist. Soweit sie als Bestandteil des Datenträgers 80 ausgeführt sind, kann endgeräteseitig entsprechend auf den Prozessor 12, die Speichereinrichtung 20 und/ oder die Sicherheitsbox 17 ganz oder teilweise verzichtet werden. Auch andere Endgerätekomponenten 13, 14 können entsprechend teilweise oder ganz auf dem Datenträger 80 realisiert sein; Auswahl und Art der Verteilung sind dabei nach Zweckmäßigkeitsgesichtspunkten grundsätzlich frei gestaltbar.The portable data carrier 80 contains information that is required to carry out a transaction using the terminal 11. Such information can be, for example, an account number for carrying out a bank transaction, a value memory content for carrying out a payment process, the name of an insurance company for preparing a medical treatment bill or a total memory content for recording bonus information. The microcomputer 81 of the portable data carrier 80 can also contain data for producing a terminal functionality. Furthermore, it can contain operationally necessary components of the terminal-side processor 12, the terminal-side storage unit 20 or the security box 17, so that operation of the terminal 11 is only possible in unity with the portable data carrier 80. Insofar as they are designed as a component of the data carrier 80, the processor 12, the memory device 20 and / or the security box 17 can be dispensed with entirely or partially on the terminal side. Other terminal components 13, 14 can also be implemented partially or entirely on the data carrier 80; The selection and type of distribution can basically be freely designed according to the point of expediency.
Der oder die Knotenrechner 40, 41 bilden für die Endgeräte 10, 11 Server, welche die über die angeschlossenen End gerate 10, 11 ausgelösten Transak- tionen in Wechselwirkung mit den Endgeräten 10, 11 ausführen und dabei über das Hintergrundnetz 50 Verbindungen zwischen Endgeräten 10, 11 und Zentraleinheiten 60, 61 herstellen. Zur Durchführung dieser Funktionen sind die Knotenrechner 40, 41 mit entsprechend leistungsfähigen Prozessoreinheiten 44 sowie großen Speichereinrichtungen 45 ausgestattet. Über eine kon- taktlose oder kontaktbehaftete erste Schnittstelle 42 ist die Prozessoreinheit 44 mit dem Endgerätenetz 30 verbunden, über eine kontaktlose oder kontaktbehaftete zweite Schnittstelle 43 mit dem Hintergrundnetz 50. Zur Sicherung sowohl des Datenverkehrs zu den Endgerätes 10, 11 wie des Datenverkehrs zum Hintergrundnetz 50 hin verfügt der Knotenrechner 41 über eine Cipherbox 46. Sie verwaltet und verarbeitet Informationen zur Ver- bzw. Entschlüsselung des mit dem jeweiligen Endgerät 10, 11 bzw. der jeweiligen Zentraleinheit 60, 61 erfolgenden Datenaustausches. Ver- und Entschlüsselung basieren dabei auf an sich bekannten Mechanismen.The one or more node computers 40, 41 form servers for the terminals 10, 11, which execute the transactions triggered by the connected terminals 10, 11 in interaction with the terminals 10, 11 and thereby connect the terminals 10, 11 via the background network 50, 11 and central units 60, 61. To carry out these functions, the node computers 40, 41 are equipped with correspondingly powerful processor units 44 and large storage devices 45. Via a tactless or contact-based first interface 42, processor unit 44 is connected to terminal network 30, via a contactless or contact-related second interface 43 to background network 50. The node computer is provided to secure both data traffic to terminals 10, 11 and data traffic to background network 50 41 via a cipher box 46. It manages and processes information for encrypting or decrypting the data exchange taking place with the respective terminal 10, 11 or the respective central unit 60, 61. Encryption and decryption are based on mechanisms known per se.
Eine wichtige Funktion des Knotenrechners 41 bildet die Herstellung der zur Durchführung einer Transaktion benötigten Endgerätefunktionalität nach Auslösen der Transaktion an einem End gerät 10, 11. In der Speichereinheit 45 befinden sich deshalb in der Regel eine Vielzahl von Daten zur Herstel- lurig von auf den angeschlossenen Endgeräten 10, 11 möglichen Funktionalitäten.An important function of the node computer 41 is the production of the terminal functionality required to carry out a transaction after the transaction has been triggered on one terminal 10, 11. The storage unit 45 therefore generally contains a large amount of data relating to the manufacture of the connected devices Terminals 10, 11 possible functionalities.
Die Zentraleinheiten 60, 61 haben typischerweise die Gestalt üblicher Rechenzentren, wie sie bei Netzbetreibern, Banken, Kreditkarteninstituten, La- dezentralen, Autorisierungszentralen, Servicezentralen und dergleichen zu finden sind. Da Zentraleinheiten 60, 61 in diesem Sinne hinlänglich bekannt sind und sie für das erfindungsgemäße System nur in ihren bekannten Funktionen genutzt werden, wird auf ihren Aufbau hier nicht näher eingegangen.The central units 60, 61 typically have the form of conventional data centers, as can be found at network operators, banks, credit card institutes, charging centers, authorization centers, service centers and the like. Since central units 60, 61 are sufficiently known in this sense and they are used for the system according to the invention only in their known functions, their structure is not discussed in more detail here.
Eine charakteristische Eigenschaft des in Figur 1 dargestellten Transaktionssystems ist, daß den Endgeräten 10, 11 ihre jeweilige Funktionalität nicht fest zugeordnet ist, sondern durch Software festgelegt wird, die sie von den Knotenrechnern 41 erhalten. Die Festlegung kann dabei dauerhaft oder situati- onsabhängig wechselnd erfolgen. Vorteilhaft können wesentliche Teile einer Funktionalität in die Knotenrechner 40, 41 verlagert sein. Figur 2 veranschaulicht diese Eigenschaft anhand der Schrittfolge bei der Durchführung einer Transaktion.A characteristic property of the transaction system shown in FIG. 1 is that the respective functionality is not permanently assigned to the terminals 10, 11, but is determined by software that they receive from the node computers 41. The determination can be permanent or situational change depending on ons. Essential parts of a functionality can advantageously be relocated to the node computers 40, 41. FIG. 2 illustrates this property using the sequence of steps when carrying out a transaction.
Ein Benutzer löst zunächst über die Bedienvorrichtung 13 eine Transaktion aus, Schritt 100. Auf das Auslösesignal hin prüft der Endgeräteprozessor 12 , ob in der Speichereinheit 20 die Daten zur Herstellung der für die beabsichtigten Transaktion benötigten Funktionalität zur Verfügung stehen. Ist das der Fall, führt der Prozessor 12 die mit den vorhandenen Daten möglichen ersten Transaktionsschritte unmittelbar aus, Schritt 102. Beispielsweise veranlaßt der Prozessor 12 bei einer mittels einer Chipkarte 80 durchzuführenden Transaktion die dann als Leseeinheit ausgebildete Nutzerdatenschnittstelle 15 zum Auslesen der Kartendaten aus dem Speicher des Kartenmikro- Computers 81 sowie den Benutzer zur Eingabe weiterer Steuersignale über die Bedienvorrichtung 13, etwa einer Benutzeridentifizierungsinformation. Weiterhin erzeugt der Prozessor 12 eine Startsequenz, Schritt 106, die angibt, welche Transaktion ausgelöst wurde, und die eine Information enthält, die das jeweilige Endgerät 10, 11 identifiziert.A user first triggers a transaction via the operating device 13, step 100. In response to the trigger signal, the terminal processor 12 checks whether the data for the production of the functionality required for the intended transaction are available in the storage unit 20. If this is the case, the processor 12 immediately executes the first transaction steps possible with the existing data, step 102. For example, in the case of a transaction to be carried out by means of a chip card 80, the processor 12 causes the user data interface 15, which is then designed as a reading unit, to read out the card data from the memory of the card microcomputer 81 and the user for inputting further control signals via the operating device 13, for example user identification information. The processor 12 also generates a start sequence, step 106, which indicates which transaction was triggered and which contains information which identifies the respective terminal 10, 11.
Ergibt die Prüfung in Schritt 102, daß die Daten zur Herstellung einer zur Durchführung einer Transaktion benötigten Funktionalität in der Speichereinheit 20 nicht vorhanden sind, bildet der Prozessor 12 nur die Startsequenz. Die Startsequenz, und, sofern vorhanden, die aufgrund erster ausge- führter Transaktionsschritte vorliegenden Daten verschlüsselt der Prozessor 12 mit Hilfe der in der Sicherheitsbox 17 enthaltenen Sicherungsinformationen und sendet sie über das Endgerätenetz 30 an den zugehörigen Knotenrechner 41. Dessen Prozessoreinheit 44 empfängt die Daten über die Schnittstelle 42 und entschlüsselt sie mit Hilfe der in der Cipherbox 46 enthaltenen Entschlüsselungsinformationen. Die entschlüsselten Daten prüft die Prozessoreinheit 44 sodann darauf, ob sie nur aus einer Startsequenz bestehen oder bereits die Ergebnisdaten erster Transaktionsschritte beinhalten, Schritt 110. In erster em Fall ermittelt die Prozessoreinheit 44 aus der Startsequenz die zur Durchführung der ausgelösten Transaktion benötigte Endgerätefunktionalität und prüft, ob die dazugehörenden Daten in der Speichereinheit 45 des Knotenrechners 41 vorhanden sind. Ist das nicht der Fall, fordert die Prozessorein- heit 44 sie über das Hintergrundnetz 50 von einer Zentraleinheit 60, 61 an. Sind die erforderlichen Daten vorhanden, stellt die Prozessoreinheit 44 sie zur Übermittlung an das Endgerät 11 bereit, Schritt 116.If the check in step 102 reveals that the data for the production of a functionality required to carry out a transaction are not available in the memory unit 20, the processor 12 only forms the start sequence. The processor 12 encrypts the start sequence and, if available, the data available on the basis of first executed transaction steps with the aid of the security information contained in the security box 17 and sends it via the terminal network 30 to the associated node computer 41. Its processor unit 44 receives the data via the interface 42 and decrypts it using the decryption information contained in the cipher box 46. The decrypted data is then checked by the processor unit 44 to determine whether it consists of only one start sequence or already contains the result data of the first transaction steps, step 110. In the first case, the processor unit 44 determines the terminal device functionality required to carry out the triggered transaction and checks, whether the associated data is present in the storage unit 45 of the node computer 41. If this is not the case, the processor unit 44 requests it from a central unit 60, 61 via the background network 50. If the required data are available, the processor unit 44 provides them for transmission to the terminal 11, step 116.
Ergibt die Prüfung im Schritt 110, daß die vom Endgerät 10, 11 erhaltenen ersten Daten bereits Ergebnisse erster ausgeführter Transaktionsschritte beinhalten, bearbeitet die Prozessoreinheit 44 diese und erzeugt erste Antwortdaten. Dabei führt sie in der Regel über das Hintergrundnetz 50 einen Datenaustausch mit den Zentraleinheiten 60, 61.If the check in step 110 reveals that the first data received from the terminal 10, 11 already contain results of the first executed transaction steps, the processor unit 44 processes these and generates first response data. As a rule, it carries out a data exchange with the central units 60, 61 via the background network 50.
Im Anschluß an die Bearbeitung der Erstdaten prüft die Prozessoreinheit 44, ob dem Endgerät 11 für die Ausführung der nächsten Transaktionsschritte weitere Daten zur Herstellung der benötigten Funktionalität zuzuführen sind, Schritt 114. Bejahendenfalls fährt sie mit der Durchführung des Schrittes 116 fort und prüft, ob die noch benötigten Daten in der Speichereinheit 45 vorhanden sind. Stellt sie dabei fest, daß benötigte Daten in der Speichereinheit 45 nicht vorhanden sind, fordert sie sie über das Hintergrundnetz 50 von der entsprechenden Zentraleinheit 60, 61 an. Die Daten, sofern solche benötigt werden, sowie die ersten Antwortdaten sendet der Knotenrechner 40, 41 sodann über das Endgerätenetz 30 an das End gerät 11. Handelt es sich bei den vom Knotenrechner 41 zurückgesandten Antwortdaten ausschließlich um Daten zur Herstellung einer Funktionalität, d.h. waren die erforderlichen Daten beim Auslösen der Transaktion in der Speichereinheit 20 des Endgerätes 11 nicht vorhanden, übernimmt der Endgeräteprozessor 12 die Daten in die Speichereinheit 20. Anschließend veranlaßt er die Ausführung der ersten Transaktionsschritte. Die daraus resultierenden Erstdaten sendet er zurück an den Knotenrechner 41, welcher darauf die Schrittfolge 102 fortfolgend ausführt.Following the processing of the first data, the processor unit 44 checks whether further data for the production of the required functionality are to be supplied to the terminal 11 for the execution of the next transaction steps, step 114. If so, it continues with the execution of the step 116 and checks whether the data still required are present in the storage unit 45. If it determines that the required data is not available in the storage unit 45, it requests it from the corresponding central unit 60, 61 via the background network 50. The data, if required, and the first response data are then sent by the node computer 40, 41 to the terminal 11 via the terminal network 30. If the response data returned by the node computer 41 is exclusively data for the production of a functionality, ie if the necessary data were not available in the storage unit 20 of the terminal 11 when the transaction was triggered, the terminal processor 12 takes over the data in the storage unit 20 he the execution of the first transaction steps. The resulting first data is sent back to the node computer 41, which then executes the sequence of steps 102.
Beinhalten die vom Knotenrechner 41 an ein Endgerät 11 zurückgesandten Daten weiterführende Antwortdaten, veranlaßt der Endgeräteprozessor 12 die Ausführung der nächsten Transaktionsschritte. Wurden dabei mit den weiterführenden Antwortdaten weitere Daten zur Herstellung der zur Durchführung der Transaktion benötigten Funktionaltität übermittelt, übernimmt er diese in die Speichereinheit 20 und verwendet sie unmittelbar zur Ausführung der nächsten Transaktionsschritte.If the data returned by the node computer 41 to a terminal 11 contains further response data, the terminal processor 12 causes the next transaction steps to be carried out. If further data for the production of the functionality required to carry out the transaction were transmitted with the further response data, he takes this into the storage unit 20 and uses it directly to carry out the next transaction steps.
Die Daten zur Herstellung der Funktionalität zur Durchführung der Trans- aktion können nach Abschluß der Transaktion in der Speichereinheit erhalten bleiben. Bei der nächsten Ausführung der Transaktion führt der Endgeräteprozessor 12 dann die ersten Transaktionschritte nach dem Auslösen einer Transaktion unmittelbar durch, ohne vorher die Daten zur Herstellung der benötigten Funktionalität vom Knotenrechner 41 anzufordern. Das End- gerät 11 kann die aufgrund einer Funktionalität möglichen Transaktionen jederzeit ohne Notwendigkeit zur Anforderung von Daten von einem Knotenrechner 40, 41 erneut ausführen. Vorgesehen sein kann andererseits, daß die Daten zur Herstellung der Funktionalität für eine Transaktion nach Abschluß der Transaktion jeweils wieder gelöscht werden. Der Endgeräteprozessor 12 lädt dann bei jeder Transaktionsausführung die zur Herstellung der benötigten Funktionalität notwendigen Daten jeweils neu. Die Speichereinrichtung 20 kann in diesem Fall neben dem Bereich 23 zur Speicherung der Urprogrammdaten nur aus einem flüchtigen Speicherbereich 21 bestehen.The data for establishing the functionality for carrying out the transaction can be retained in the storage unit after the transaction has been completed. The next time the transaction is executed, the terminal processor 12 then carries out the first transaction steps immediately after a transaction has been triggered, without first requesting the data from the node computer 41 to produce the required functionality. The terminal 11 can carry out the transactions that are possible due to a functionality at any time without the need to request data from a node computer 40, 41. On the other hand, it can be provided that the data for establishing the functionality for a transaction is deleted again after the transaction is completed. The terminal processor 12 then reloads the data required to produce the required functionality each time a transaction is executed. In this case, the storage device 20 can only consist of a volatile storage area 21 in addition to the area 23 for storing the original program data.
Die Übertragung von zur Herstellung der Funktionalität für eine bestimmte Transaktion benötigten Daten muß nicht zwingend durch Auslösen der Transaktion selbst ausgelöst werden. Sie kann vielmehr auch unabhängig vom tatsächlichen Auslösen einer bestimmten Transaktion erfolgen. Auslöser können beliebige, definierte Ereignisse sein. Beispielsweise kann vorgesehen sein, beim erstmaligen Anschluß eines Endgerätes an ein Netz die Da- ten für die wichtigsten oder die am häufigsten ausgeführten Transaktionen in das Endgerät zu übertragen. In einer Variante hierzu werden Daten für die wichtigsten oder die am häufigsten ausgeführten Transaktionen geladen, wenn erstmals eine beliebige der wichtigsten oder häufigsten Transaktionen ausgelöst wird. Ein weiteres mögliches Auslöseereignis ist die regelmäßig oder auf Anforderung vorgenommene Durchführung von Service- oder Wartungsmaßnahmen an den Endgeräten. In allen Fällen kann eine einmal ausgelöste Datenübertragung zur regelmäßigen Aktualisierung von in einem Endgerät bereits eingerichteten Funktionalitäten genutzt werden; im Speicher des Endgerätes werden dabei überholte Versionen mit aktuellen über- schrieben.The transfer of data required to establish the functionality for a particular transaction does not necessarily have to be triggered by triggering the transaction itself. Rather, it can also take place independently of the actual initiation of a particular transaction. Any defined events can be triggered. For example, it can be provided that when a terminal is connected to a network for the first time, the data for the most important or most frequently carried out transactions is transferred to the terminal. In a variant of this, data for the most important or the most frequently executed transactions are loaded when any of the most important or most frequent transactions is triggered for the first time. Another possible trigger event is the regular or on request implementation of service or maintenance measures on the end devices. In all cases, a data transmission once triggered can be used for the regular updating of functionalities already set up in a terminal; obsolete versions are overwritten with current ones in the memory of the end device.
Fig. 4 veranschaulicht einen möglichen Ablauf einer nicht unmittelbar transaktionsgebundenen Datenübertragung vom Knotenrechner zum Endgerät. Der Ablauf wird durch Eintritt eines vorbestimmten Ereignisses eingeleitet, Schritt 101, etwa durch Erreichen eines Servicezeitpunktes.FIG. 4 illustrates a possible sequence of data transmission from the node computer to the terminal that is not directly transaction-bound. The sequence is initiated by the occurrence of a predetermined event, step 101, for example by reaching a service time.
Das Endgerät 11 bildet darauf wieder eine Startsequenz, Schritt 106, die an- gibt, welche Transaktion ausgelöst wurde, und die eine Information enthält, die das jeweilige Endgerät 11 identifiziert.und sendet sie an den zugehörigen Knotenrechner.The terminal 11 thereupon again forms a start sequence, step 106, which indicates which transaction was triggered and which contains information which identifies the respective terminal 11 and sends it to the associated node computer.
Der Knotenrechner 41 prüft, ob die Startsequenz unmittelbar eindeutig zu übertragende Daten festlegt, Schritt 111.The node computer 41 checks whether the start sequence specifies immediately unambiguous data to be transmitted, step 111.
Ist das nicht der Fall, erzeugt der Knotenrechner eine Anfrage zur Feststellung der dem Endgerät zu übertragenden Daten und sendet diese an das Endgerät, Schritt 113.If this is not the case, the node computer generates a request to determine the data to be transmitted to the terminal and sends this to the terminal, step 113.
Das Endgerät führt die Anfrage aus und benennt dem Knotenrechner in einer entsprechenden Rückmeldung die gewünschten Daten, Schritt 115.The terminal executes the request and names the desired data to the node computer in a corresponding response, step 115.
Der Knotenrechner 41 prüft darauf, ob die benötigten Daten in der Spei- chereinheit 45 vorhanden sind. Stellt er dabei fest, daß benötigte Daten in seiner Speichereinheit 45 nicht vorhanden sind, fordert er sie über das Hintergrundnetz 50 von der entsprechenden Zentraleinheit 61 an. Die Daten sendet er sodann über das Endgerätenetz 30 an das Endgerät 1, Schritt 119.The node computer 41 checks whether the required data are present in the storage unit 45. If he determines that the required data is not available in his storage unit 45, he requests it from the corresponding central unit 61 via the background network 50. He then sends the data via the terminal network 30 to the terminal 1, step 119.
Folgen die Informationen über die zu übertragenden Daten direkt aus der Startsequenz bei deren Prüfung in Schritt 111, führt der Knotenrechner unmittelbar Schritt 119 aus. Vorgesehen sein kann ferner, die Endgeräte bereits im Neuzustand mit einer Auswahl von Funktionalitäten auszurüsten. Die Auswahl kann zweckmäßig die wichtigsten oder die am häufigsten benutzten Funktionalitäten umfassen. Sofern insbesondere die Speicherkapazität das zuläßt, können auch alle möglichen Funktionalitäten auf einem Endgerät eingerichtet sein.If the information about the data to be transmitted follows directly from the start sequence when it is checked in step 111, the node computer immediately executes step 119. Provision can also be made to equip the end devices with a selection of functionalities even when they are new. The selection can expediently include the most important or the most frequently used functionalities. If the storage capacity permits this in particular, all possible functionalities can also be set up on one terminal.
Figur 5 veranschaulicht einen möglichen Datenaustausch zwischen einem Knotenrechner 41 und einem als Zahlungsverkehrterminal eingesetzten Endgerät 11. Bei dem dargestellten Datenaustausch sind wesentliche Teile der Funktionalität im Knotenrechner 41 realisiert. Es sei angenommen, daß die Daten zur Herstellung der Funktionalität "Zahlungsverkehr" bereits in der Speichereinheit 20 des Endgerätes 11 vorhanden sind und daß die mittels des Endgerätes 11 ausführbaren Transaktionen die Verwendung einer Chipkarte 80 voraussetzen. Bei der Transaktion handele es sich um einen Zah- lungs vor gang, der die Umbuchung eines Geldbetrages von einem zu der Chipkarte 80 korrespondierenden Konto bei einer ersten Bank mit der Zentraleinheit 61 auf ein Konto bei einer zweiten Bank mit der Zentraleinheit 61 nach sich ziehe. Bei dem Endgerät 11 handele es sich um um ein bei einem Händler installiertes Terminal, zu dem im zugeordneten Knotenrechner 41 eine virtuelle Händlerkarte, d.h. ein in Prograrnmform realisierter Datenträger nach Art einer Chipkarte angelegt sei.FIG. 5 illustrates a possible data exchange between a node computer 41 and a terminal 11 used as a payment transaction terminal. In the data exchange shown, essential parts of the functionality are implemented in the node computer 41. It is assumed that the data for the production of the “payment transactions” functionality are already present in the storage unit 20 of the terminal 11 and that the transactions that can be carried out by means of the terminal 11 require the use of a chip card 80. The transaction is a payment transaction which entails the transfer of a sum of money from an account corresponding to chip card 80 at a first bank with central unit 61 to an account at a second bank with central unit 61. The terminal 11 is a terminal installed at a dealer, to which a virtual dealer card, i. a data carrier implemented in the form of a chip card was created.
Das Auslösen der Zahlungstransaktion erfolgt durch Einbringen der Chipkarte 80 in die als Leseeinrichtung ausgeführte Nutzerdatenschnittstelle 15. Erkennt das Endgerät 11, daß eine Transaktion durchgeführt werden soll, erfolgt zweckmäßig zunächst in bekannter Weise eine Prüfung der Berechtigung des Benutzers zur Verwendung der Karte 80, etwa durch Prüfen einer PIN. Fällt diese Prüfung positiv aus, liest das Endgerät 11 aus dem Speicher 83 der Chipkarte allgemeine Kartendaten aus, etwa eine Kartennummer und/oder eine Bankverbindung. Ermöglicht die Karte mehrere verschiedene Transaktionen, ist sie etwa wahlweise als Geldbörse oder als Debit- oder Kreditkarte betreibbar, veranlaßt das End gerät 11 den Benutzer durch Anzeige auf der Bildanzeigevorrichtung 14 zur Auswahl einer Transaktion, d.h. zur Auswahl einer Zahlungsart. Darauf veranlaßt es den Benutzer durch Anzeige auf der Bildanzeigevorrichtung 14 zur Eingabe eines Betrages, der umgebucht werden soll. Desweiteren stellt das Endgerät 11 Daten zur Terminalidentifikation sowie eine Datumsinformation bereit. Aus allgemeinen Kartendaten, Betrag, Terminalinformationsdaten sowie Datumsinformation bildet das Endgerät eine Startsequenz, Schritt 200, welche es an den Knotenrechner 41 sendet. Das Senden der Startsequenz und der gesamte nachfolgende Datenaustausch zwischen Endgerät 11 und Knotenrechner 41 erfolgen verschlüsselt, wobei für die Verschlüsselung an sich bekannte Verfahren eingesetzt werden. Ein erster Schlüssel ist zweckmäßig dem Endgerät 11 zuge- ordnet und wird im Rahmen der Startsequenz oder gegebenenfalls in einem vorgeschalteten Schritt aufgrund der Endgeräteidentifikation gebildet. Er dient nachfolgend als übergreifender Transportschlüssel, mit dem der gesamte Datenaustausch zwischen Endgerät 11 und Knotenrechner 41 abgesichert wird. Ein weiterer Schlüssel ist zweckmäßig der Chipkarte 80 zuge- ordnet und wird zur Bildung von Datensicherungscodes genutzt, um insbesondere die Unversehrtheit von Daten prüfen zu können.The payment transaction is triggered by inserting the chip card 80 into the user data interface 15 designed as a reading device. If the terminal device 11 detects that a transaction is to be carried out, the user's authorization to use the card 80 is first advantageously checked in a known manner, for example by Check a PIN. If this test is positive, the terminal 11 reads general card data, for example a card number, from the memory 83 of the chip card and / or a bank account. If the card enables several different transactions, for example, it can be operated either as a wallet or as a debit or credit card, the end device 11 causes the user to select a transaction, ie to select a payment method, by displaying it on the image display device 14. Then, by displaying on the image display device 14, it causes the user to input an amount to be rebooked. Furthermore, the terminal 11 provides data for terminal identification and date information. The terminal forms a start sequence, step 200, from general card data, amount, terminal information data and date information, which it sends to the node computer 41. The transmission of the start sequence and the entire subsequent data exchange between terminal 11 and node computer 41 are encrypted, with methods known per se being used for the encryption. A first key is expediently assigned to the terminal 11 and is formed as part of the start sequence or, if appropriate, in an upstream step on the basis of the terminal identification. It subsequently serves as a comprehensive transport key with which the entire data exchange between terminal 11 and node computer 41 is secured. A further key is expediently assigned to chip card 80 and is used to form data security codes, in particular to be able to check the integrity of data.
Der Knotenrechner 41 ermittelt die zu der in der Startsequenz bezeichneten Bankverbindung korrespondierende Zentraleinheit 61, bei der das zu der Karte 80 gehörende Konto angelegt ist, Schritt 202. Mit der ermittelten Zentraleinheit 61 beginnt er einen Datenaustausch. Darin wird beispielsweise zunächt geprüft, ob der beabsichtigte Zahlungvorgang überhaupt zugelassen ist. Ist die beabsichtigte Transaktion danach grundsätzlich möglich, übermittelt der Knotenrechner 41 dem Endgerät 11 Daten, welche das End- gerät 11 zur Ausführung der beabsichtigten Transaktion einrichten und insbesondere Befehle umfassen, welche die Nutzerdatenschnittstelle 15 zur Ausführung von weiteren Zugriffen auf die Chipkarte 80 veranlassen, Schritt 204. Daneben enthalten die Daten Befehle, welche das Endgerät 11 veranlas- sen, mitzuteilen, wer der Empfänger bzw. der Geber einer Zahlung sein soll.The node computer 41 determines the central unit 61 corresponding to the bank connection designated in the start sequence, in which the account belonging to the card 80 is created, step 202. It begins a data exchange with the determined central unit 61. For example, it first checks whether the intended payment transaction is even permitted. If the intended transaction is fundamentally possible thereafter, the node computer 41 transmits to the terminal 11 data which the terminal Set up device 11 to carry out the intended transaction and in particular include commands which cause user data interface 15 to carry out further accesses to chip card 80, step 204. In addition, the data contains commands which cause terminal device 11 to tell who the recipient is or should be the giver of a payment.
Die erhaltenen Daten und Chipkartenbefehle führt das Endgerät 11 aus, Schritt 206. Ist die Chipkarte 80 zur Ausführung einer Abbuchung vorbereitet, übersendet das Endgerät 11 dem Knotenrechner 41 nach Verschlüsselung eine Rückmeldung, Schritt 208, welche im zugrundegelegten Beispiel eine Information beinhaltet, daß von der Karte eine Zahlung auf die dem Endgerät zugehörige virtuelle Händlerkarte erfolgen soll.The received data and chip card commands are carried out by the terminal 11, step 206. If the chip card 80 is prepared to carry out a debit, the terminal 11 sends a feedback to the node computer 41 after encryption, step 208, which in the underlying example contains information that from the Card a payment is to be made to the virtual merchant card belonging to the terminal.
Der Knotenrechner 41 bestimmt aus der Rückmeldung, wem ein von der Karte 80 oder dem zugehörigen Konto ab- bzw. aufzubuchender Betrag gutgeschrieben bzw.belastet werden soll, im angenommenen Beispiel der virtuellen Händlerkarte. Anhand der in der Startsequenz zugesandten Terminalinformationsdaten liest der Knotenrechner 41 daher den Speicher der virtuellen Händlerkarte aus, und ermittelt die der Händlerkarte zugehörige Zentraleinheit 60. Mit dieser eröffnet er sodann einen Datenaustausch, Schritt 210, um die virtuelle Händlerkarte zum Aufbuchen einzurichten.From the feedback, the node computer 41 determines to whom an amount to be debited or debited from the card 80 or the associated account should be credited or debited, in the assumed example of the virtual merchant card. Using the terminal information data sent in the start sequence, the node computer 41 therefore reads out the memory of the virtual dealer card and determines the central unit 60 associated with the dealer card. With this, it then opens a data exchange, step 210, in order to set up the virtual dealer card for booking.
Sind Chipkarte 80 und Händlerkarte vorbereitet, sendet der Knotenrechner 41 dem Endgerät 11 Buchungsbefehle, die endgeräteseitig die Eintragung der Abbuchung im Speicher der Chipkarte 80 bewirken, Schritt 218. Parallel dazu vermerkt er im Speicher der virtuellen Händlerkarte die entsprechende Aufbuchung und veranlaßt in einem Datenaustausch über das Hintergrundnetz 50 die Ausführung der Buchung zwischen den beteiligten Zentraleinheiten 60, 61. Das Endgerät 11 nimmt die Eintragung der Abbuchung auf der Chipkarte vor, Schritt 220, und quittiert den Abschluß der Transaktion durch Rücksendung einer bestätigenden Rückmeldung an den Knotenrechner 41, Schritt 222.Once the chip card 80 and the merchant card have been prepared, the node computer 41 sends the terminal 11 booking commands which, on the terminal side, result in the entry of the debit in the memory of the chip card 80, step 218 the background network 50 executes the booking between the central units 60, 61 involved. The terminal 11 makes the entry of the debit on the chip card, step 220, and acknowledges the completion of the transaction by sending a confirmatory feedback to the node computer 41, step 222.
Ist der buchungtechnische Teil der Transaktion beendet, erzeugt der Knotenrechner 41 Steuerdaten, welche das End gerät 11 zur Darstellung einer Beleganzeige über die ausgeführte Transaktion, d.h. über den ausgeführten Bu- chungsvorgang auf der Bildanzeigevorrichtung 14 veranlassen, Schritt 224. Ist dem Endgerät 11 eine Belegausgabe zugeordnet, etwa in Gestalt eines Druckers, erzeugt der Knotenrechner 41 zweckmäßig auch Steuerdaten zum Ausdruck eines Beleges. Die Steuerdaten sendet er an das Endgerät 11, das sie ohne weitere Verarbeitung zur Ausführung bringt, Schritt 226.When the booking part of the transaction has ended, the node computer 41 generates control data which the terminal device 11 displays to show a document display of the executed transaction, i.e. Initiate via the booking process carried out on the image display device 14, step 224. If a document output is assigned to the terminal 11, for example in the form of a printer, the node computer 41 expediently also generates control data for printing out a document. It sends the control data to the terminal 11, which executes them without further processing, step 226.
Fig. 6 veranschaulicht als weitere mögliche Nutzung des in Fig. 2 dargestellten Transaktionssystems eine Variante, in der das Endgerät 11 zur Ausgabe elektronischer Fahrscheine genutzt wird. Es wird angenommen, daß der elektronische Fahrschein die Gestalt eines Datensatzes hat, welcher in den Speicher einer Chipkarte 80 eingebracht wird. Das End gerät 11 besitzt entsprechend eine Nutzerdatenschnittstelle 15 in Gestalt einer Chipkartenkon- taktiereinheit.FIG. 6 illustrates, as a further possible use of the transaction system shown in FIG. 2, a variant in which the terminal 11 is used to issue electronic tickets. It is assumed that the electronic ticket has the form of a data record which is inserted into the memory of a chip card 80. The end device 11 accordingly has a user data interface 15 in the form of a chip card contacting unit.
Das Auslösen einer Fahrscheinausgabetransaktion erfolgt, indem der Kunde dem Endgerät 11 die Chipkarte 80 präsentiert und/ oder z.B. über die Bedienvorrichtung 13 mitteilt, daß er die Transaktion „elektronischer Fahrschein" ausführen will, Schritt 300, um einen elektronischen Fahrschein zu erwerben. Erkennt das Endgerät 11 hierauf, daß eine Fahrscheinausgabetransaktion durchgeführt werden soll, kann zunächst eine Prüfung der Be- rechtigung des Kunden zur Verwendung der Chipkarte 80 für die vorgesehene Transaktion vorgesehen sein, etwa in bekannter Weise durch Prüfen einer PIN.A ticket issuing transaction is triggered by the customer presenting the chip card 80 to the terminal 11 and / or, for example via the operating device 13, notifying that he wants to carry out the "electronic ticket" transaction, step 300, in order to acquire an electronic ticket. Detects the terminal 11 that a ticket issue transaction is to be carried out, a check of the loading authorization of the customer to use the chip card 80 for the intended transaction, for example in a known manner by checking a PIN.
Steht fest, daß die Transaktion „elektronischer Fahrschein" ausgeführt werden soll und daß der Kunde zur Durchführung der Transaktion berechtigt ist, ermittelt das Endgerät 11 die Kartennummer der Chipkarte 80 und prüft, ob es zur weiteren Ausführung einer Transaktion „elektronischer Fahrschein" eingerichtet ist, Schritt 302. Ist das nicht der Fall, stellt es ferner fest, ob ausreichend Freispeicherraum zur Einrichtung der Funktionalität verfügbar ist.If it is clear that the "electronic ticket" transaction is to be carried out and that the customer is authorized to carry out the transaction, the terminal 11 determines the card number of the chip card 80 and checks whether it is set up to carry out an "electronic ticket" transaction, Step 302. If this is not the case, it also determines whether sufficient free storage space is available to set up the functionality.
Nachfolgend erzeugt das Endgerät 11 eine Startsequenz 306, welche die Kartennummer sowie eine Endgeräteidentifikation beinhaltet. Ist die zur Durch- führung der Transaktion „elektronischer Fahrschein" benötigte Funktionalität in der Speichereinheit 20 des Endgerätes 11 nicht vorhanden, beinhaltet die Startsequenz 306 weiterhin eine Information, welche anzeigt, daß das Endgerät 11 die, im folgenden Applikation genannten Daten zur Einrichtung der Funktionalität benötigt.The terminal 11 then generates a start sequence 306 which contains the card number and a terminal identification. If the functionality required to carry out the “electronic ticket” transaction is not available in the storage unit 20 of the terminal 11, the start sequence 306 also contains information which indicates that the terminal 11 contains the data for setting up the functionality mentioned in the following application needed.
Die Startsequenz 306 wird mittels eines dem Endgerät 11 zugeordneten, übergreifenden Transportschlüssels verschlüsselt, welcher unter Verwendung der Endgeräteidentifikation im Rahmen der Startsequenz oder in einem vorgeschalteten, gesonderten Datenaustausch nach einem üblichen Ver- fahren generiert wird. Mit dem Transportschlüssel wird der gesamte nachfolgende Datenaustausch zwischen Endgerät 11 und Knotenrechner 41 abgesichert. Erzeugung und Nutzung des Schlüssels beruhen dabei in an sich bekannter Weise darauf, daß die Kornmunikationsteilnehmer unabhängig voneinander jeweils ein Geheimnis kennen, das nicht über das Endgerä- tenetz 30 zwischen Endgerät 11 und Knotenrechner 41 ausgetauscht werden kann. Das Geheimnis ist auf der einen Seite im Endgerät 11, vorzugsweise in der Sicherheitsbox 17, fest abgelegt und wird auf der anderen Seite im Knotenrechner 41 oder über das Hintergrundnetz 50 durch die Zentraleinheiten 60, 61 verwaltet. Ist ein zur Generierung eines Schlüssels notwendiges Geheimnis in einem Knotenrechner 41 nicht verfügbar, beschafft dieser es sich von der verwaltenden Zentraleinheit 60, 61.The start sequence 306 is encrypted by means of an overarching transport key assigned to the terminal 11, which is generated using the terminal identification as part of the start sequence or in an upstream, separate data exchange according to a conventional method. The entire subsequent data exchange between terminal 11 and node computer 41 is secured with the transport key. The generation and use of the key are based in a manner known per se on the fact that the communication participants independently of each other know a secret that is not about the end device. tenetz 30 can be exchanged between terminal 11 and node computer 41. The secret is stored on the one hand in the terminal 11, preferably in the security box 17, and is managed on the other side in the node computer 41 or via the background network 50 by the central units 60, 61. If a secret necessary for generating a key is not available in a node computer 41, the latter obtains it from the managing central unit 60, 61.
Die verschlüsselte Startsequenz 306 übersendet das Endgerät 11 an den zu- geordneten Knotenrechner 41. Dessen Prozessoreinheit 44 prüft nach Erhalt - und Entschlüsselung - der Startsequenz 306, ob die Applikation „elektronischer Fahrschein" in der Speichereinheit 45 des Knotenrechners 41 vorhanden ist, Schritt 308. Ist das nicht der Fall ermittelt der Knotenrechner 41, etwa mit Hilfe der Endgeräteinformation, eine Zentraleinheit 60, 61, wel- ehe über die die Applikation resalisierenden Daten verfügt und fordert über das Hintergrundnetz 50 von ihr die Daten an. Liegen Applikationsdaten bereit, Schritt 310, übermittelt der Knotenrechner 41 sie an das End gerät 11.The encrypted start sequence 306 is sent by the terminal 11 to the assigned node computer 41. After receiving and decrypting the start sequence 306, its processor unit 44 checks whether the application “electronic ticket” is present in the memory unit 45 of the node computer 41, step 308. If this is not the case, the node computer 41, for example with the aid of the terminal device information, determines a central unit 60, 61, which has the data resalizing the application, and requests the data from it via the background network 50. Application data are available, step 310 , the node computer 41 transmits them to the terminal 11.
Dessen Prozessor 12 übernimmt die Applikationsdaten in die Speicherein- heit 20 und führt die eingerichtete Funktionalität aus, Schritt 312. Das Endgerät 11 fordert den Kunden hierbei über die Bildanzeigevorrichtung 14 auf, einen Fahrschein auszuwählen. Die Auswahl erfolgt benutzergeführt im Dialog. Der Kunde macht dabei mittels der Bedienvorrichtung 13 jeweils gemäß einer Aufforderung durch die Bildanzeigevorrichtung 14 Angaben, die zur Ermittlung des benötigten Fahrscheines erforderlich sind, etwa Start- und Zielort, Fahrzeitpunkt, Anzahl der Personen, Reiseklasse usw., Schritt 314. Sind in das Endgerät 11 alle zur Ermittlung eines Fahrscheines notwendigen Angaben eingegeben worden, übermittelt das Endgerät 11 die Auswahldaten an den Knotenrechner 41. Aus den vom Endgerät 11 erhaltenen Angaben zur Fahrscheinauswahl ermittelt der Knotenrechner 41 einen den elektronischen Fahrschein repräsentierenden Datensatz, Schritt 316. Zweckmäßig ist der Knotenrechner 41 dabei dazu eingerichtet, einfache und besonders häufig angeforderte Fahrscheinermittlungen, etwa die Ermittlung eines Fahrscheines des lokalen Verkehrsbetriebes, unmittelbar durch die Prozessoreinheit 44 des Knotenrechners 41 vorzunehmen. In vielen Fällen bedingt die Ermittlung eines Fahrscheines allerdings komplexe Programmabläufe, die üblicherweise die Einschaltung einer Zentraleinheit 60, 61 über das Hintergrundnetz 50 erfordern. Der resultierende Fahrscheindatensatz beinhaltet neben den für die Ermittlung verwendeten Informationen ggf. die möglichen Fahrscheinalternativen sowie insbesondere den oder die Fahrpreise.Its processor 12 accepts the application data in the memory unit 20 and executes the functionality set up, step 312. The terminal 11 requests the customer here via the image display device 14 to select a ticket. The selection is user-guided in the dialog. In this case, the customer uses the operating device 13 in accordance with a request from the image display device 14 in each case to provide information which is necessary for determining the required ticket, such as the start and destination, travel time, number of people, travel class etc., step 314. These are in the terminal If all the information required to determine a ticket has been entered, the terminal 11 transmits the selection data to the node computer 41. From the data on the ticket selection received from the terminal 11, the node computer 41 determines a data record representing the electronic ticket, step 316. The node computer 41 is expediently set up to perform simple and particularly frequently requested ticket determinations, such as the determination of a ticket of the local transport company, directly by to carry out the processor unit 44 of the node computer 41. In many cases, however, the determination of a ticket requires complex program sequences, which usually require the activation of a central unit 60, 61 via the background network 50. The resulting ticket data record contains, in addition to the information used for the determination, the possible ticket alternatives and, in particular, the ticket price (s).
Sodann generiert der Knotenrechner 41 aus der Kartennummer sowie einem Geheimnis, das auch in der Chipkarte 80 fest abgelegt ist, einen chipkartenspezifischen Schlüssel, welcher nachfolgend zur Bildung eines Datensicherungscodes dient, Schritt 318.The node computer 41 then generates a chip card-specific key from the card number and a secret, which is also permanently stored in the chip card 80, which key subsequently serves to form a data security code, step 318.
Hat der Knotenrechner 41 einen chipkartenspezifischen Schlüssel erzeugt, bildet er damit zu dem resultierenden Fahrscheindatensatz einen Datensicherungscode, etwa einen MAC (Message Authentication Code) und verschlüsselt den resultierenden, aus Fahrscheindatensatz und Datensicherungscode bestehenden Fahrscheindatenblock mit Hilfe des Transportschlüssels, Schritt 320. Den resultierenden verschlüsseltem Fahrscheindatenblock übermittelt der Knotenrechner 41 an das End gerät 11.If the node computer 41 has generated a chip card-specific key, it thus forms a data security code for the resulting ticket data record, for example a MAC (Message Authentication Code), and encrypts the resulting ticket data block consisting of ticket data record and data security code with the aid of the transport key, step 320. The resulting encrypted ticket data block the node computer 41 transmits to the terminal 11.
Den angekommenen Fahrscheindatenblock entschlüsselt das End gerät 11 mit Hilfe des Transportschlüssels, den es, z. B. in der Sicherheitsbox 17, auf gleiche Weise wie der Knotenrechner 41 generiert. Dabei führt das Endgerät 11 zugleich eine Vorprüfung der Unversehrtheit des Fahrscheindatensatzes durch, indem es z.B. prüft, ob der entschlüsselte Fahrscheindatensatz an definierten Posititonen bestimmte Werte aufweist. Den entschlüsselten Fahr- scheindatensatz leitet das Endgerät 11 an die Chipkarte 80 weiter, welche durch Überprüfung des Datensicherungscodes mittels des auf der Chipkarte 80 vorhandenen chipkartenspezifischen Schlüssels seine Unversehrtheit kontrolliert.The incoming ticket data block decrypts the end device 11 with the help of the transport key that it, z. B. in the security box 17 on generated in the same way as the node computer 41. The terminal 11 also carries out a preliminary check of the integrity of the ticket data record, for example by checking whether the decrypted ticket data record has certain values at defined positions. The decoded ticket data set is forwarded by the terminal 11 to the chip card 80, which checks its integrity by checking the data security code using the chip card-specific key present on the chip card 80.
Erweist sich der Fahrscheindatensatz danach als unversehrt, fordert das Endgerät 11 den Kunden durch entsprechende Darstellung auf der Bildanzeigeeinheit 14 dazu auf, den elektronischen Fahrschein auf Richtigkeit zu prüfen und den Kauf zu bestätigen, Schritt 322. Beinhaltet der Fahrscheindatensatz mehrere mögliche elektronische Fahrscheinalternativen, fordert das Endgerät 11 den Kunden dabei auf, eine Auswahl aus den angebotenen Alternativen zu treffen. In einfachen, alternativlosen Fällen, beispielsweise bei Kauf eines Fahrscheins für einen lokalen Verkehrsbetrieb, sind Auswahl und Kaufbestätigung durch den Kunden nicht erforderlich.If the ticket data record then proves to be intact, the terminal 11 prompts the customer by corresponding display on the image display unit 14 to check the electronic ticket for correctness and to confirm the purchase, step 322. If the ticket data record contains several possible electronic ticket alternatives, this requires this Terminal 11 prompts the customer to make a selection from the alternatives offered. In simple, no-alternative cases, for example when buying a ticket for a local transport company, the customer does not have to select and confirm the purchase.
Ist der an das Endgerät 11 übersandte elektronische Fahrschein danach durch den Kunden akzeptiert, wird der bestätigte, den ausgewählten Fahrschein ausmachende Teil des Fahrscheindatensatzes zunächst in der Speichereinrichtung 20 des Endgerätes 11 zwischengespeichert, Schritt 324. Desweiteren veranlaßt das Endgerät 11 die Bezahlung des elektronischen Fahr- Scheins, Schritt 326. Der Bezahlvorgang kann durch Barzahlung oder etwa, wie in Zusammenhang mit Fig. 5 beschrieben, durch Einziehung von auf der Chipkarte 80 gespeicherten elektronischen Geld erfolgen. Ist der Bezahlvorgang abgeschlossen, erzeugt der Knotenrechner 41 ein Quittungssignal, Schritt 328, welches er an den Knotenrechner 41 übermittelt.If the electronic ticket sent to the terminal 11 is then accepted by the customer, the confirmed part of the ticket data record which makes up the selected ticket is first temporarily stored in the storage device 20 of the terminal 11, step 324. Furthermore, the terminal 11 initiates the payment of the electronic ticket. Scheins, step 326. The payment process can be carried out by cash payment or, as described in connection with FIG. 5, by confiscation of electronic money stored on chip card 80. When the payment process is complete, the node computer 41 generates an acknowledgment signal, step 328, which it transmits to the node computer 41.
Nach Erhalt des Quittungssignales erzeugt der Knotenrechner 41 einen Steuerbefehl, welcher den Prozessor 12 des Endgerätes 11 veranlaßt, den in der Speichereinrichtung 20 abgelegten Fahrscheindatensatz auf die Chipkarte 80 zu übertragen.After receiving the acknowledgment signal, the node computer 41 generates a control command which causes the processor 12 of the terminal 11 to transfer the ticket data record stored in the storage device 20 to the chip card 80.
Das Endgerät 11 nimmt die Übertragung des elektronischen Fahrscheines auf die Chipkarte vor, Schritt 330, und quittiert den Abschluß der Transaktion durch Rücksendung einer bestätigenden Rückmeldung an den Knotenrechner 41, Schritt 332. An den Eingang dieser Rückmeldung im Knotenrechner 41 kann sich beispielsweise die Ausgabe eines Beleges, etwa durch einen dem Endgerät 11 zugeschalteten Drucker anschließen.The terminal 11 carries out the transfer of the electronic ticket to the chip card, step 330, and acknowledges the completion of the transaction by sending a confirmatory feedback to the node computer 41, step 332. The receipt of this feedback in the node computer 41 can, for example, be followed by the output of a Connect receipt, for example by a printer connected to the terminal 11.
Fig. 7 veranschaulicht als weitere mögliche Nutzung des in Fig. 2 dargestellten Transaktionssystems eine Variante, in der ein Endgerät in einem Krankenversicherungskartensystem eingesetzt ist. Es wird angenommen, daß die Krankenversicherungskarte wiederum die Gestalt einer Chipkarte 80 aufweist und die Funktionalität zur Handhabung von Krankenversicherungskarten in der Speichereinheit 20 des Endgerätes 11 bereits vorhanden ist. Das Endgerät 11 befindet sich beispielsweise in einer Arztpraxis, einem Krankenhaus oder einer Institution zur Abrechnung medizinischer Leistungen, etwa einer Krankenversicherung. Dem medizinischen Personal sind dabei in Bezug auf die Krankenversicherungskarte 80 andere Zugriffsrechte eingeräumt als den Angehörigen der Krankenversicherung. Eine Transaktion unter Verwendung einer, nachfolgend einfach als Karte bezeichneten Krankenversicherungskarte 80 wird eingeleitet, indem die Karte 80 der Nutzerdatenschnittstelle 15 des Endgerätes 11 präsentiert wird, Schritt 400. Das Endgerät 11 betätigt darauf über die Bildanzeigeeinheit 14, daß eine Transaktion unter Verwendung einer Krankenversicherungskarte angefordert wurde und fordert - im Normalbetrieb - den Bediener auf anzugeben, ob er auf die Karte 80 nur lesend oder schreibend und lesend zugreifen möchte, Schritt 402. Weiter fordert es den Bediener auf, Schritt 404, anzugeben, auf welche auf der Karte 80 abgelegten Daten er zugreifen möchte. Die in der Speichereinrichtung der Karte 80 gehaltenen Daten sind zweckmäßig nach ihrer sachlichen Natur, z.B. abrechnungstechnisch oder medizinisch gegliedert, wobei diese Gliederung weiter z.B. nach Art des medizinischen Fachgebietes feinunterteilt ist. Die Gliederungsbereiche sind einzeln oder in Gruppen durch gebietsbezogene Zugriffsschlüssel gegen Lese- und Schreibzugriffe geschützt. Die Zugriffsschlüssel leiten sich vorzugsweise aus dem kartenspezifischen Schlüssel sowie einer den Bediener, etwa einen Arzt, oder den Gliederungsbereich, etwa ein medizinisches Fachgebiet, charakterisierenden Information ab.FIG. 7 illustrates, as a further possible use of the transaction system shown in FIG. 2, a variant in which a terminal is used in a health insurance card system. It is assumed that the health insurance card again has the form of a chip card 80 and the functionality for handling health insurance cards is already present in the storage unit 20 of the terminal 11. The terminal 11 is located, for example, in a doctor's office, a hospital or an institution for billing medical services, such as health insurance. With regard to the health insurance card 80, the medical staff are granted different access rights than the members of the health insurance. A transaction using a health insurance card 80, hereinafter simply referred to as a card, is initiated by presenting the card 80 to the user data interface 15 of the terminal 11, step 400. The terminal 11 then actuates via the image display unit 14 that a transaction using a health insurance card is requested was and prompts - in normal operation - the operator to indicate whether he wants to access the card 80 only for reading or writing and reading, step 402. Furthermore, it prompts the operator, step 404, to indicate which data stored on the card 80 he wants to access. The data held in the memory device of the card 80 are expediently structured according to their factual nature, for example in terms of billing technology or medicine, this structure being further subdivided, for example, according to the type of medical specialty. The outline areas are protected individually or in groups by area-based access keys against read and write access. The access keys are preferably derived from the card-specific key and information characterizing the operator, for example a doctor, or the outline area, for example a medical specialty.
Steht fest, welche Art Zugriff auf welchen Bereich der Karte 80 der Bediener wünscht, fordert das Endgerät 11 den Bediener über die Bildanzeigeeinheit 14 auf, sich zu identifizieren, Schritt 406. Dies kann beispielsweise mittels der Bedienvorrichtung 13 durch Eingabe eines Codes zur Identifizierung eines Arztes, eines Krankenhauses oder einer Krankenversicherung erfolgen. Desweiteren ermittelt das Endgerät 11 die Kartennummer der Karte 80.If it is clear what type of access to which area of the card 80 the operator desires, the terminal 11 prompts the operator via the image display unit 14 to identify himself, step 406. This can be done, for example, by means of the operating device 13 by entering a code for identifying a doctor , a hospital or health insurance. The terminal 11 also determines the card number of the card 80.
Aus den Angaben über gewünschte Zugriffsart, Kartenbereich, auf den zugegriffen werden soll, Identifikationscode, Nummer der präsentierten Karte 80 sowie aus der Endgeräteidentifikation bildet das Endgerät 11 eine Startse- quenz, Schritt 408, welche sie an den zugeordneten Knotenrechner 41 übermittelt. Die Übermittlung erfolgt verschlüsselt unter Verwendung eines Transportschlüssels, welcher unter Verwendung der Endgeräteidentifikation gegebenenfalls in einem vorgeschalteten Datenaustauschschritt generiert und mit dem der gesamte nachfolgende Datenaustausch zwischen Endgerät 11 und Knotenrechner 41 abgesichert wird.The terminal 11 forms a starting point from the information about the desired type of access, the card area to be accessed, the identification code, the number of the presented card 80 and the terminal identification. sequence, step 408, which it transmits to the assigned node computer 41. The transmission is encrypted using a transport key, which is generated using the terminal device identification, if necessary, in an upstream data exchange step and with which the entire subsequent data exchange between terminal device 11 and node computer 41 is secured.
Nach Eingang der Startsequenz 408 im Knotenrechner 41 bildet dieser mit Hilfe der Kartennummer sowie eines der Karte 80 zugeordneten Geheimnis- ses einen kartenspezifischen Schlüssel. Ist das Geheimnis dabei nicht imAfter the start sequence 408 has been received in the node computer 41, it forms a card-specific key with the aid of the card number and a secret assigned to the card 80. If the secret is not in the
Knotenrechner 41 selbst verfügbar, ermittelt er es über das Hintergrundnetz 50 von der verwaltendendem Zentraleinheit 60, 61.Node computer 41 itself available, it determines it via the background network 50 from the managing central unit 60, 61.
Sodann prüft der Knotenrechner 41, ob sich die zur Bewertung der Startse- quenz 408 notwendigen Informationen im Speicher 45 befinden. Ist das nicht der Fall, ermittelt er eine zur Bewertung der Startsequenz geeignete Zentraleinheit 60 und leitet mit dieser über das Hintergrundnetz 15 einen Datenaustausch ein, Schritt 412. Im Rahmen des folgenden Datenaustausches prüft der Knotenrechner 41 unter Verwendung des mit der Startsequenz 408 übe- tragenen Bedieneridentifikationscodes, ob der vom Bediener gewünschte Zugriff auf die Karte 80 zulässig ist. Ist das der Fall, werden im Knotenrechner 41 Einrichtungsdaten bereitgestellt, welche das Endgerät 11 befähigen, den gewünschten Zugriff auf die Karte 80 durchzuführen, Schritt 414. Vorzugsweise beinhalten die Einrichtungsdaten hierfür einen oder mehrere je- weils einzelnen Bereichen der Karte 80 zugeordnete Zugriffsschlüssel.The node computer 41 then checks whether the information necessary for evaluating the start sequence 408 is in the memory 45. If this is not the case, it determines a central unit 60 suitable for evaluating the start sequence and initiates a data exchange with it via the background network 15, step 412. In the course of the following data exchange, the node computer 41 checks using the one transmitted with the start sequence 408 Operator identification codes as to whether operator access to card 80 is permitted. If this is the case, device data are provided in the node computer 41, which enable the terminal 11 to carry out the desired access to the card 80, step 414. The device data for this preferably include one or more access keys assigned to individual areas of the card 80.
Zu den Einrichtungsdaten bildet der Knotenrechner 41 sodann mittels des kartenspezifischen Schlüssels einen Datensicherungscode, Schritt 416. Der aus Einrichtungsdaten und Datensicherungscode bestehende Datensatz wird anschließend mit dem Transportschlüssel verschlüsselt und an das Endgerät 11 übersandt.The node computer 41 then uses the card-specific key to form a data backup code for the device data, step 416. The data record consisting of device data and data backup code becomes then encrypted with the transport key and sent to the terminal 11.
Jenes entschlüsselt den eingegangenen Datensatz mit Hilfe des Transport- schlüsseis und führt dabei zugleich eine Vorprüfung des Datensatzes auf Unversehrtheit durch, z.B. durch Prüfen des Vorhandenseins bestimmter Datenwerte an definierten Positionen des Datensatzes. Fällt die Vorprüfung positiv aus, übermittelt das Endgerät 11 die Einrichtungsdaten an die Karte 80. Diese kontrolliert die Einrichtungsdaten mit Hilfe des kartenspezifischen Schlüssels durch Prüfen der Richtigkeit des Datensicherungscode auf Unversehrtheit. Wird die Unversehrheit der Einrichtungsdaten festgestellt, kann anschließend über das Endgerät 11 der gemäß den Einrichtungsdaten mögliche Zugriff auf die Karte 80 durchgeführt werden.The decrypts the received data record with the help of the transport key and at the same time carries out a preliminary check of the data record for integrity, e.g. by checking the existence of certain data values at defined positions in the data record. If the preliminary check is positive, the terminal 11 transmits the device data to the card 80. The latter checks the device data for integrity by means of the card-specific key by checking the correctness of the data backup code. If the integrity of the device data is ascertained, the card 80 can then be accessed via the terminal 11 according to the device data.
Neben den im Normalbetrieb durchführbaren Zugriffen ist im Endgerät 11 zweckmäßig noch eine Zugriffsart für Notfälle eingerichtet. Ausgelöst wird eine Notfalltransaktion wie eine Transaktion im Normalbetrieb, jedoch identifiziert sich der Bediener im Schritt 406 nicht durch eine persone individuel- le Identifikation, sondern durch eine Notfallidentifikation.In addition to the accesses that can be carried out in normal operation, an access type for emergencies is expediently set up in the terminal 11. An emergency transaction is triggered like a transaction in normal operation, however in step 406 the operator does not identify himself by an individual identification, but by an emergency identification.
Erkennt der Knotenrechner 41 bzw. eine Zentraleinheit 60, 61, nach Erzeugung eines Schlüssels zur Bildung eines Datensicherungscodes sowie eines Transportschlüssels, bei der Bewertung der Startsquenz 408 eine Notfallidentifikation, stellt er im Knotenrechner 41 anhand der Kartennummer einen Satz von Zugriffsschlüsseln bereit, welcher zumindest einen Lesezugriff auf alle auf der Krankenversicherungskarte 80 befindlichen medizinischen Daten ermöglicht. Zur Beschleunigung der Transaktionsausführung kann vorgesehen sein, daß auf eine zusätzliche Prüfung der Berechtigung des Bedieners verzichtet wird. Den Zugriffsschlüsseldatensatz versieht der Knotenrechner mit einem Datensicherungscode, Schritt 416, verschlüsselt beide mit dem Transportschlüssel und übermittelt den resultierenden Datensatz an das Endgerät 11.If the node computer 41 or a central unit 60, 61 recognizes an emergency identification after generating a key for forming a data security code and a transport key, when evaluating the start sequence 408, it provides the node computer 41 with a set of access keys based on the card number, which is at least one Allows read access to all medical data on the health insurance card 80. To accelerate the execution of the transaction, provision can be made for an additional check of the authorization of the operator to be dispensed with. The node computer provides the access key data record with a data backup code, step 416, encrypts both with the transport key and transmits the resulting data record to the terminal 11.
Dieses entschlüsselt den eingegangenen Datensatz wieder mit dem Transportschlüssel und leitet ihn der Karte 80 zur Prüfung auf Unversehrtheit mittels des kartenspezifischen Schlüssels weiter. Wird Unversehrtheit des übermittelten Schlüsseldatensatzes festgestellt, erlaubt das Endgerät 11 den Lesezugriff auf sämtliche auf der Karte 80 vorhandenen medizinischen Da- ten.This decrypts the received data record again with the transport key and forwards it to the card 80 for checking for integrity using the card-specific key. If the transmitted key data record is found to be intact, the terminal 11 allows read access to all medical data present on the card 80.
Unter Beibehaltung des grundlegenden Konzeptes, in einem Transaktionssystem die Funktionalität der nutzerseitigen Endgeräte durch vorgeschaltete Knotenrechner zu bestimmen, lassen sich das vorgeschlagene System, die zu seiner Realisierung eingesetzten Komponenten sowie das Betriebsverfahren in weitem Rahmen variieren. Dies gilt etwa für die physikalische Struktur der Endgeräte 10, 11. Deren Komponenten können zusammengefaßt sein, indem Speichereinheit 20, Prozessor 12, Kryptobox 17 und Bedienvorrichtung 13 beispielsweise eine Einheit bilden. An ein Endgerätenetz 30 können mehrere Knotenrechner 40, 41 angeschlossen sein, welche zur Ausführung unterschiedlicher Transaktionen dienen. Die möglichen Nutzungen des Systems sind selbstverständlich nicht auf die beschriebenen Ausführungsbeispiele beschränkt. Neben der Art der Transaktionen kann dabei insbesondere auch die Verteilung der Funktionalität auf Endgeräte und Knotenrechner variiert werden. Dabei kann sich die in den Endgeräte zugeordnete Funktionalität einerseits auf das Durchreichen von Daten an einen Datenträger beschränken, andererseits kann eine weitgehende Datenverarbeitung unmittelbar durch ein Endgerät eingerichtet werden. Ohne Beeinträchtigung des grundlegenden Gesamtkonzeptes läßt sich ferner das Verschlüsselungskon- zept mit Transportschlüssel und datenträgerbezogenem Schlüssel in einem weiten Rahmen variieren, wobei eine Verschlüsselung auf der einen Seite gänzlich entfallen, auf der anderen Seite zusätzliche Verschlüsselungen vorgesehen sein können. While maintaining the basic concept of determining the functionality of the user-side end devices in a transaction system by means of upstream node computers, the proposed system, the components used for its implementation and the operating method can be varied widely. This applies, for example, to the physical structure of the terminals 10, 11. Their components can be combined, for example, by forming a unit in the memory unit 20, processor 12, crypto box 17 and operating device 13. A plurality of node computers 40, 41 can be connected to a terminal network 30 and are used to carry out different transactions. The possible uses of the system are of course not limited to the exemplary embodiments described. In addition to the type of transactions, the distribution of the functionality among end devices and node computers can also be varied. The functionality assigned in the terminals can be limited to passing data to a data carrier on the one hand, and extensive data processing can be set up directly by a terminal on the other hand. Without affecting the basic overall concept, the encryption vary with a transport key and data carrier-related key in a wide range, with encryption being completely eliminated on the one hand and additional encryption provided on the other.

Claims

P a t e n t a n s p r ü c h e Patent claims
1. System zur Ausführung von Transaktionen mit einer Mehrzahl von Endgeräten, welche zur Ausführung einer Viel- zahl verschiedener Transaktionen geeignet sind, sowie einem Knotenrechner, der über ein Endgerätenetz mit den Endgeräten verbunden ist, wobei die Eignung eines Endgerätes zur Ausführung einer Transaktion über einen Knotenrechner herstellbar ist, indem dieser dem Endge- rät Daten übermittelt, welche dort die zur Ausführung der Transaktion benötigte Funktionalität einrichten, dadurch gekennzeichnet, daß zumindest ein Endgerät (10, 11) dazu ausgebildet ist, während seiner üblichen Nutzung die Einrichtung zur Ausführung einer weiteren Transaktion zu veranlassen, indem es auf ein im Zusammenhang mit der Ausführung einer Transaktion erzeugtes Auslösesignal hin von einem Knotenrechner (40, 41) Daten anfordert, welche die zur Ausführung der weiteren Transaktion benötigte Funktionalität herstellen.1. System for executing transactions with a plurality of terminals, which are suitable for executing a large number of different transactions, and a node computer which is connected to the terminals via a terminal network, the suitability of a terminal for executing a transaction via a Node computer can be produced by transmitting data to the terminal device which set up the functionality required for executing the transaction, characterized in that at least one terminal device (10, 11) is designed to carry out the device for executing a further one during its normal use To initiate the transaction by requesting data from a node computer (40, 41) in response to a trigger signal generated in connection with the execution of a transaction, which produce the functionality required to execute the further transaction.
2. System nach Anspruch 1, dadurch gekennzeichnet, daß die Ausführung wenigstens einer Transaktion in Wechselwirkung zwischen einem Endgerät (10, 11) und einem Knotenrechner (41) erfolgt.2. System according to claim 1, characterized in that the execution of at least one transaction takes place in interaction between a terminal (10, 11) and a node computer (41).
3. System nach Anspruch 1, dadurch gekennzeichnet, daß das Endgerät (10, 11) die Übermittlung der Daten zur Einrichtung der Funktionalität zur Ausführung der Transaktion veranlaßt. 3. System according to claim 1, characterized in that the terminal (10, 11) causes the transmission of the data to set up the functionality for executing the transaction.
4. System nach Anspruch 3, dadurch gekennzeichnet, daß das Endgerät (10, 11) eine Datenübermittlung auf den Eintritt eines vorbestimmten Ereignisses im Endgerät (10, 11) hin veranlaßt.4. System according to claim 3, characterized in that the terminal (10, 11) causes data transmission upon the occurrence of a predetermined event in the terminal (10, 11).
5. System nach Anspruch 3, dadurch gekennzeichnet, daß das Endgerät (10, 11) eine Datenübermittlung auf das Auslösen der bestimmten Transaktion im Endgerät (10, 11) hin veranlaßt.5. System according to claim 3, characterized in that the terminal (10, 11) causes data transmission upon triggering the particular transaction in the terminal (10, 11).
6. System nach Anspruch 1, dadurch gekennzeichnet, daß der Knotenrech- ner (40, 41) über ein Hintergrundnetz (50) mit mindestens einer Zentraleinheit (60, 61) verbunden und diese in eine Transaktion einbeziehbar ist.6. System according to claim 1, characterized in that the node computer (40, 41) via a background network (50) with at least one central unit (60, 61) and this can be included in a transaction.
7. System nach Anspruch 3, dadurch gekennzeichnet, daß der Knotenrechner (40, 41) Daten von der Zentraleinheit (60, 61) abrufen kann.7. System according to claim 3, characterized in that the node computer (40, 41) can retrieve data from the central unit (60, 61).
8. System nach Anspruch 1, dadurch gekennzeichnet, daß der Knotenrechner (40, 41) eine Cipherbox (17) besitzt, welche Informationen zur Ver- bzw. Entschlüsselung des mit dem Endgerät (10, 11) erfolgenden Datenverkehrs verarbeitet.8. System according to claim 1, characterized in that the node computer (40, 41) has a cipher box (17) which processes information for encryption or decryption of the data traffic taking place with the terminal (10, 11).
9. Endgerät zur Ausführung einer Transaktion mit einer Prozessoreinheit (12), einer damit verbundenen Speicherinrichtung (20) zur Aufnahme von9. Terminal for executing a transaction with a processor unit (12), a memory device (20) connected thereto for receiving
Daten, welche die Funktionalität der Prozessoreinheit (12) einrichten, - Mitteln (13, 14, 15) zum Auslösen einer Transaktion, sowie einer Schnittstelle (18) zur Verbindung mit einem Knotenrechner (41) über ein Endgerätenetz (30), dadurch gekennzeichnet, daß die Prozessoreinheit (12) im Zuge der üblichen Nutzung des Endgerätes (10, 11) auf ein im Zusammenhang mit der Ausführung einer Transaktion erzeugtes Auslösesignal hin die Einrichtung des Endgerätes (10, 11) zur Ausführung einer weiteren Transaktion veranlaßt, indem es von einem Knotenrechner (40, 41) Daten anfordert, welche die zur Ausführung der Transaktion benötigte Funktionalität herstellen.Data which set up the functionality of the processor unit (12), - means (13, 14, 15) for initiating a transaction, and an interface (18) for connection to a node computer (41) via a terminal network (30), characterized in that that the processor unit (12) in the course of the usual use of the terminal (10, 11) in connection with the Execution of a transaction-generated trigger signal causes the device (10, 11) to carry out another transaction by requesting data from a node computer (40, 41) that produce the functionality required to execute the transaction.
10. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es die Daten zur Einrichtung einer Funktionalität auf den Eintritt eines vorbestimmten Ereignisses hin vom Knotenrechner (41) anfordert.10. Terminal according to claim 9, characterized in that it requests the data for establishing a functionality upon the occurrence of a predetermined event from the node computer (41).
11. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß das vorbestimmte Ereignis das Auslösen einer Transaktion ist, deren Ausführung eine Funktionalität erfordert, die nur unvollständig oder gar nicht in der Speichereinheit (20) vorhanden ist.11. Terminal according to claim 9, characterized in that the predetermined event is the triggering of a transaction, the execution of which requires a functionality that is only incomplete or not at all in the memory unit (20).
12. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es eine Sicherheitsbox (17) aufweist, welche Informationen zur Ver- bzw. Entschlüsselung des mit dem Knotenrechner (40, 41) erfolgenden Datenverkehrs enthält..12. Terminal according to claim 9, characterized in that it has a security box (17) which contains information for encrypting or decrypting the data traffic taking place with the node computer (40, 41).
13. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß die Mittel zum Auslösen einer Transaktion eine Tastatur (13) und eine Display (14) umfassen.13. Terminal according to claim 9, characterized in that the means for triggering a transaction comprise a keyboard (13) and a display (14).
14. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es eine Vorrichtung (15) zum Lesen von tragbaren Datenträgern (80) aufweist.14. Terminal according to claim 9, characterized in that it has a device (15) for reading portable data carriers (80).
15. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es dem Knotenrechner (40, 41) zur Anforderung von Daten zur Einrichtung einer neuen Funktionalität eine Startsequenz (106) sendet, die eine Information zur Identifikation des Endgerätes (10, 11) beinhaltet. 15. Terminal according to claim 9, characterized in that it sends the node computer (40, 41) for requesting data to set up a new functionality a start sequence (106) which contains information for identification of the terminal (10, 11).
16. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß die Speichereinrichtung (20) und/ oder die Prozessoreinheit (12) zumindest teilweise auf einem tragbaren Datenräger (80) ausgebildet sind.16. Terminal according to claim 9, characterized in that the memory device (20) and / or the processor unit (12) are at least partially formed on a portable data carrier (80).
17. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß die Startsequenz (106) eine Information über die Art der ausgelösten Transaktion beinhaltet.17. Terminal according to claim 9, characterized in that the start sequence (106) contains information about the type of transaction triggered.
18. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es nach dem Auslösen einer Transaktion alle dazu in der Speichereinrichtung (20) bereits in Form von Daten vorhandenen und ausführbaren Programmbefehle ausführt und ggf. resultierende Zwischenergebnisse der Startsequenz (106) beifügt.18. Terminal according to claim 9, characterized in that it executes all the program commands already present and executable in the memory device (20) in the form of data after the initiation of a transaction and, if necessary, adds the resulting intermediate results to the start sequence (106).
19. Verfahren zur Ausführung einer Transaktion unter Verwendung eines Endgerätes, das über ein Endgerätenetz mit einem in die Transaktionsausführung eingebunden Knotenrechner verbunden ist, mit folgenden Schritten: - Auslösen einer Transaktion mittels des Endgerätes (10, 11),19. A method for executing a transaction using a terminal that is connected via a terminal network to a node computer integrated in the transaction execution, with the following steps: - triggering a transaction by means of the terminal (10, 11),
Übertragen einer die Transaktion bezeichnenden Startsequenz 106) vom Endgerät (10, 11) an den Knotenrechner (40, 41), Rückübertragen von Daten, welche im Endgerät (10, 11) die zur Ausführung der Transaktion benötigte Funktionalität herstellen, vom Knotenrechner (40, 41) an das Endgerät (10, 11).Transmission of a start sequence 106) denoting the transaction from the terminal (10, 11) to the node computer (40, 41), retransmission of data which produce in the terminal (10, 11) the functionality required to execute the transaction from the node computer (40, 41) to the terminal (10, 11).
20. Verfahren nach Anspruch 19, dadurch gekennzeichnet, daß das Endgerät (10, 11) nach Auslösen einer Transaktion prüft, inwieweit die bereits in der Speichereinrichtung (20) vorhanden Daten eine Ausführung der Trans- aktion ermöglichen und die Transaktion, soweit möglich, unmittelbar ausführt (104).20. The method according to claim 19, characterized in that the terminal (10, 11) checks after triggering a transaction to what extent the data already present in the memory device (20) an execution of the trans enable action and, if possible, execute the transaction immediately (104).
21. Verfahren zum Betrieb eines zur Ausführung einer Transaktion geeigne- ten Endgerätes, das über ein Endgerätenetz mit einem in die Transaktionsausführung eingebunden Knotenrechner verbunden ist, wobei zur Ausführung einer Transaktion wenigstens eine Funktionalität benötigt wird, mit folgenden Schritten:21. Method for operating a terminal suitable for executing a transaction, which is connected via a terminal network to a node computer integrated in the transaction execution, at least one functionality being required to execute a transaction, with the following steps:
Überwachen des Endgerätes (10, 11) auf Eintritt eines vorbestimmten Ereignisses, bei Eintritt eines vorbestimmten Ereignisses Übertragen einer eine Transaktion bezeichnenden Startsequenz (106) vom Endgerät (10, 11) an den Knotenrechner (40, 41),Monitoring the terminal (10, 11) for the occurrence of a predetermined event, upon the occurrence of a predetermined event transmitting a start sequence (106), which denotes a transaction, from the terminal (10, 11) to the node computer (40, 41),
Rückübertragen von Daten, welche im Endgerät (10,11) mindestens eine zur Ausführung der Transaktion benötigte Funktionalität herstellen, vom Knotenrechner (40, 41) an das Endgerät (10,11). Retransmission of data which produce at least one functionality required for executing the transaction in the terminal (10, 11) from the node computer (40, 41) to the terminal (10, 11).
EP00949309A 1999-07-12 2000-07-11 System for carrying out a transaction Ceased EP1222563A2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19932149 1999-07-12
DE19932149A DE19932149A1 (en) 1999-07-12 1999-07-12 System for executing transactions
PCT/EP2000/006577 WO2001004771A2 (en) 1999-07-12 2000-07-11 System for carrying out a transaction

Publications (1)

Publication Number Publication Date
EP1222563A2 true EP1222563A2 (en) 2002-07-17

Family

ID=7914272

Family Applications (1)

Application Number Title Priority Date Filing Date
EP00949309A Ceased EP1222563A2 (en) 1999-07-12 2000-07-11 System for carrying out a transaction

Country Status (9)

Country Link
US (1) US7433848B1 (en)
EP (1) EP1222563A2 (en)
JP (1) JP2003504759A (en)
CN (1) CN100392589C (en)
AU (1) AU6271500A (en)
BR (1) BR0012415A (en)
CA (1) CA2379136A1 (en)
DE (1) DE19932149A1 (en)
WO (1) WO2001004771A2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2269160C2 (en) 2001-03-16 2006-01-27 Де Ля Рю Интернэшнл Лимитед Device for processing documents
GB0106974D0 (en) * 2001-03-20 2001-05-09 Rue De Int Ltd Funds deposit apparatus
US7066335B2 (en) 2001-12-19 2006-06-27 Pretech As Apparatus for receiving and distributing cash
EP1512096A1 (en) 2002-06-10 2005-03-09 Rudolph Volker Electronic means of payment having individually adjustable security features for the internet or mobile networks
DE10331733A1 (en) * 2003-07-11 2005-01-27 Rene Lehmann Terminal e.g. for paying system in electronic transaction, has SIM which aids operation of terminal such as mobile phone with control equipment has in and output equipment to operate terminal
EP2005398A1 (en) * 2006-03-27 2008-12-24 Fabrizio Borracci A method for making a secure personal card and its working process
DE102009043090A1 (en) * 2009-09-25 2011-03-31 Wincor Nixdorf International Gmbh Device for handling notes of value
DE102009043093A1 (en) 2009-09-25 2011-03-31 Wincor Nixdorf International Gmbh Device for handling bank notes and cashbox for receiving banknotes
DE102009043091A1 (en) * 2009-09-25 2011-03-31 Wincor Nixdorf International Gmbh Device for handling notes of value
DE102010013202A1 (en) * 2010-03-29 2011-09-29 Giesecke & Devrient Gmbh A method for securely transferring an application from a server to a reader device

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL8702012A (en) 1987-08-28 1989-03-16 Philips Nv TRANSACTION SYSTEM CONTAINING ONE OR MORE HOST STATIONS AND A NUMBER OF DISTRIBUTED ENTRY STATIONS, WHICH ARE LINKABLE THROUGH A NETWORK SYSTEM WITH ANY HOST STATION, AS A CONSTRUCTION STATION AND END STATION SUITABLE FOR THE USE OF USE.
DE3815071A1 (en) 1988-05-04 1989-11-16 Loewe Opta Gmbh PROCESS FOR PROGRAMMING A SCREEN TEXT DEVICE
US5195130A (en) 1988-05-05 1993-03-16 Transaction Technology, Inc. Computer and telephone apparatus with user friendly computer interface and enhanced integrity features
US5815577A (en) * 1994-03-18 1998-09-29 Innovonics, Inc. Methods and apparatus for securely encrypting data in conjunction with a personal computer
US5715399A (en) * 1995-03-30 1998-02-03 Amazon.Com, Inc. Secure method and system for communicating a list of credit card numbers over a non-secure network
US6138140A (en) 1995-07-14 2000-10-24 Sony Corporation Data processing method and device
US5878141A (en) * 1995-08-25 1999-03-02 Microsoft Corporation Computerized purchasing system and method for mediating purchase transactions over an interactive network
US5809141A (en) * 1996-07-30 1998-09-15 Ericsson Inc. Method and apparatus for enabling mobile-to-mobile calls in a communication system
US6134705A (en) * 1996-10-28 2000-10-17 Altera Corporation Generation of sub-netlists for use in incremental compilation
JPH10337401A (en) * 1997-03-12 1998-12-22 Nukem Nuklear Gmbh Method and device for concentrating salt-containing solution
US6950939B2 (en) * 2000-12-08 2005-09-27 Sony Corporation Personal transaction device with secure storage on a removable memory device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO0104771A2 *

Also Published As

Publication number Publication date
DE19932149A1 (en) 2001-01-25
CN1610882A (en) 2005-04-27
BR0012415A (en) 2002-03-26
WO2001004771A2 (en) 2001-01-18
US7433848B1 (en) 2008-10-07
CN100392589C (en) 2008-06-04
AU6271500A (en) 2001-01-30
JP2003504759A (en) 2003-02-04
WO2001004771A3 (en) 2002-05-02
CA2379136A1 (en) 2001-01-18

Similar Documents

Publication Publication Date Title
DE69736752T2 (en) System and device for personalizing smart cards
DE69127560T2 (en) Mutual recognition system
DE69521156T2 (en) Method for authenticating a counter terminal in a system for making transfers
DE69332889T2 (en) HOST USER TRANSACTION SYSTEM
DE19539801C2 (en) Monitoring transactions with smart cards
DE2645564C2 (en) Automatic cash dispenser
DE69829642T2 (en) AUTHENTICATION SYSTEM WITH CHIP CARD
DE69500751T2 (en) Method for printing a transaction between a chip card and a data system
DE3700663C2 (en)
DE3044463C2 (en)
DE19755819C1 (en) Distributed payment system and method for cashless payment transactions using a stock exchange chip card
EP1222563A2 (en) System for carrying out a transaction
DE69512175T2 (en) METHOD AND DEVICE FOR GENERATING A COMMON KEY IN TWO DEVICES FOR IMPLEMENTING A COMMON ENCRYPTION PROCEDURE
AT401205B (en) SYSTEM FOR IDENTIFYING A CARD USER
EP1971108B1 (en) Identification of a user of a mobile terminal and generation of an action authorisation
DE69900566T2 (en) Procedure for personalizing an IC card
EP1066607A1 (en) Device and method for securely dispensing items with a monetary value
DE4441413C2 (en) Data exchange system
WO2016071196A1 (en) Method for altering a data structure stored in a chip card, signature device and electronic system
EP2169579A1 (en) Method and device for accessing a machine readable document
DE10136414A1 (en) Method for purchasing a service offered via a data network in return for a payment transaction lets a user apply an end user system to order a service from a service provider and link the whole process via a secure user-defined identifier.
EP1388138B1 (en) Method and arrangement for paying data accessible on a data network
WO2022253424A1 (en) Transaction system for cryptographic financial assets stored decentrally in a computer network
DE102013223082B4 (en) Identity Verification Process and Identity Verification System
EP1596615B1 (en) Sim card with variable memory and method therefore

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT

AX Request for extension of the european patent

Free format text: AL;LT;LV;MK;RO;SI

17P Request for examination filed

Effective date: 20021104

17Q First examination report despatched

Effective date: 20040727

17Q First examination report despatched

Effective date: 20040727

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20080708