EP1710760B1 - Gesicherte Freigabe von Einrichtungen - Google Patents

Gesicherte Freigabe von Einrichtungen Download PDF

Info

Publication number
EP1710760B1
EP1710760B1 EP05007519.1A EP05007519A EP1710760B1 EP 1710760 B1 EP1710760 B1 EP 1710760B1 EP 05007519 A EP05007519 A EP 05007519A EP 1710760 B1 EP1710760 B1 EP 1710760B1
Authority
EP
European Patent Office
Prior art keywords
code
determined
parameter
pin
control centre
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Not-in-force
Application number
EP05007519.1A
Other languages
English (en)
French (fr)
Other versions
EP1710760A1 (de
Inventor
Norbert Miller
Erwin Busch
Josef Lowis
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Scheidt and Bachmann GmbH
Original Assignee
Scheidt and Bachmann GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Scheidt and Bachmann GmbH filed Critical Scheidt and Bachmann GmbH
Priority to EP05007519.1A priority Critical patent/EP1710760B1/de
Priority to PL05007519T priority patent/PL1710760T3/pl
Publication of EP1710760A1 publication Critical patent/EP1710760A1/de
Application granted granted Critical
Publication of EP1710760B1 publication Critical patent/EP1710760B1/de
Not-in-force legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/205Housing aspects of ATMs
    • G07F19/2055Anti-skimming aspects at ATMs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/207Surveillance aspects at ATMs

Definitions

  • the invention relates to a method for releasing at least one device in which the release is at least partially controlled by at least one first code. Moreover, the invention relates to a device and a system for calculating a release code. Moreover, the invention relates to a computer program product and a computer program with instructions executable on a processor such that at least one device is released, wherein the release is at least partially controlled by a first code.
  • Such codes may be, for example, personal identification numbers (PIN).
  • PIN personal identification numbers
  • the PIN can be linked to other parameters via an encryption method.
  • This is, for example, the 3DES encryption method, which is also used in the banking industry.
  • 3DES encryption method using two secret keys in a three-step process, the parameter is encrypted with the first key, decrypted with the second key, and finally encrypted with the second key.
  • the result is a PIN that is uniquely linked to the parameter.
  • a comparison PIN can then be calculated using the parameters in the device using the identical, secret key.
  • the comparison PIN is compared with the entered PIN. If they match, they can be released.
  • the publication BE 1006817 A6 generally relates only to a release system in which release keys are communicated in a bidirectional communication between the devices.
  • the publication EP 1 260 659 describes a method for controlling an electronic lock. From her is known that a lock can be easily adjusted to the requirements of a user, without the need for a bespoke manufacture of the appropriate locks is required.
  • a method for personalizing a key memory in an ATM during commissioning by the service technician using a portable personalization device is known.
  • the personalization device is connected to a security module on site.
  • a secure connection is established between the security module and the personalizer to unlock.
  • the security module sends a public key of a module key pair, whose private key is stored in a secret key memory, to the personalizer.
  • the public key of the module key pair is signed by the security module by means of a private key of a signing key pair and transmitted back to the security module.
  • the signed, certified key, which is transmitted back to the security module represents a code. After transmission of the code, the connection between personalizer and security module is disconnected and the security module is released and in normal operating condition.
  • the WO 03/014858 A2 relates to a method for activating a vending machine.
  • a customer identifies the vending machine and, if necessary, the desired product.
  • at least the unique serial number of the vending machine is transmitted to a central office.
  • a number is calculated using the serial number, a time and a secret mathematical function. This result is transmitted by the control center to the customer. He enters the solution in the vending machines.
  • the vending machine knows both his own Serial number, the time as well as the magic mathematical function.
  • the vending machine compares the entered result with the result calculated by the vending machine. If the result of the comparison is positive, the vending machine is activated.
  • the document DE 100 05 487 A1 describes a method for user identity control at a service terminal.
  • a terminal for example a mobile telephone, has a code generation device. With the help of the mobile phone, the payment is made at a service terminal.
  • WO 2005/022474 A1 a method for performing electrical online transactions is described.
  • a bank customer logs in to an authentication server with a password. This happens via a first communication channel.
  • the customer then receives an encrypted unique identifier from a security server via a second communication channel. This identifier is sent back to the authentication server via the first communication channel for authentication, which has also received the identifier from the security server. If the comparison result is positive, the transaction is completed.
  • the US 2004/0022542 A1 includes a method and system for wirelessly activating a target object.
  • the system includes a target object, a communication device, an activation device, and a central network device.
  • the target object used is, for example, a CD or a DVD.
  • a user sends a PIN and an identification number of the target object to the central network device. These checks the received data, for example. In the case of a positive check, the central network device sends an activation signal to the communication device. The target object is activated via the activation device.
  • a secret PIN known only to the customer
  • PINPad a keyboard
  • a customer card is used to read a customer number or an account number by means of a card reader, with the aid of which the PIN was generated.
  • the PIN is checked in the chip of the customer card or online by querying a central office for accuracy.
  • the four-eyes principle is pursued. This principle is based on the fact that two local technicians install and activate the card reader together with the PinPad if necessary. The two service technicians install the card reader in the front panel and connect it to the PinPad. To activate the card reader, the security-relevant data must be fed into the card reader.
  • the PIN and the personnel number of the two service technicians are queried in accordance with the four-eye principle.
  • a first service technician enters his PIN and personnel number into the PinPad.
  • a comparison PIN can be calculated with the help of the personnel number and a partial release can be made if there is a match.
  • the second service technician can also enter his PIN and personnel number into the PinPad.
  • a check is performed in the PinPad. In the event that both PINs belong to the entered personnel numbers, a release of the PinPad can take place.
  • the security-relevant data can then be transmitted to the card reader in order to activate it.
  • Facilities may include PinPads, card readers, ATMs, ticket machines, access barriers, Lockers, parking machines, track systems or other technical facilities.
  • the release of such a device may be that actions are triggered, data released or transmitted.
  • a code is generated which is determined by parameters of at least two entities. These parameters together with the code can be entered into the device and checked there. If the code is suitable for releasing the device, it is released.
  • At least two of the entities are spatially separated.
  • the spatial separation of the entities and the dependence of the first code on the two entities can ensure that the release of the device is secure. It is not possible that, for example, a person on site alone generates the first code and thus releases the device. Rather, two spatially separated entities must be involved in the generation of the code, which prevents a manipulation by only a single person on the device allows the release.
  • At least one entity is a person and the parameters determined by this entity are personal parameters.
  • the first code is generated with parameters of at least two persons, which are spatially separated.
  • the personal parameters may be, for example, personal data, personnel numbers, names, addresses, dates of birth or other parameters.
  • the personal parameters can be specified by the persons themselves.
  • At least one entity is the device to be released, and the parameters determined by this entity are device-related parameters.
  • Device-related parameters may be, for example, station identifications, manufacturer information or station names.
  • the device-related parameters can be determined with the help of the device itself. For example, these can be read on the device or the device outputs this automatically.
  • the device is formed of a PinPad and a card reader.
  • the device related parameters may be related to both the PinPad and the card reader.
  • the parameters related to the card reader may be transferred from the card reader to the PinPad and output from the PinPad.
  • a release can be designed particularly reliably if, according to an advantageous exemplary embodiment, the parameters determined by an entity are time-related parameters.
  • the time-related parameters may be the current date, the current time, or the number of days since a key date.
  • the time-related parameters it is possible that the first code has only a certain validity period.
  • a time related parameter may represent a particular day. The code generated with this time-related parameter can then only release on that one day.
  • the parameters determined by an entity are order-related parameters.
  • order numbers are generated. Each individual release order can thus be assigned a unique number. This allows the release of facilities to be traced back. With the order number can be traced, by means of which entity the code was generated and for which device this code was used. This allows a preservation of evidence in the event of fraud.
  • At least one parameter determined by a device-side entity is transmitted to a center remote from the device.
  • Device-side entities may be, for example, the device itself, devices connected to the device, or persons working on the device.
  • parameters can be determined which can only be determined directly on site at the device. If these parameters, which can only be detected on site, are transmitted to a remote control center and used there to generate a code, it is ensured that no code can be generated in the control center which is not intended directly for a specific device.
  • At least one parameter determined by a central-entity and at least one parameter determined by the device-side entity are used for the calculation of the first code.
  • the central entity can be a technician in the central office or any device in the central office. This ensures that the first code is dependent on both central and device-side entities. This ensures that the first code can only be calculated by the interaction of the locally separated entities.
  • the parameter determined by the central-entity is transmitted to the device.
  • the release can only be made with the help of institution-side and central-entity entities. It is no longer possible, for example, for two service technicians to look over the shoulder when entering the personnel number and PIN and thus to spy on each other's PIN in order to be able to manipulate other card readers.
  • the at least one parameter determined by the central entity be at least partially encrypted. This prevents the parameter from being made known by the central entity in plain text outside the central.
  • the centrally calculated first code is transmitted to the device.
  • the centrally calculated first code is entered into the device together with the parameters determined by the central entity in order to be able to check the correctness of the first code.
  • the centrally calculated first code is checked on the device side, at least with the aid of the at least one central-side parameter transmitted by the center.
  • the first code is entered into the device together with the parameters transmitted by the center.
  • the device can then calculate a comparison code and compare it with the first code.
  • the first code be calculated on the central side and the device side with the same calculation rule.
  • the first code is calculated using the parameters from the central entity and the parameters from the device-side entity.
  • the first code is entered together with the parameters determined by the central-entity and the parameters determined by the device-side entity.
  • a comparison code can be calculated with the same calculation rule to check whether the first code is actually in the center with the same Information was created. If the first code and the comparison code match, a release can at least partially take place.
  • At least the first code is calculated by means of a symmetric encryption method.
  • a DES encryption method can be used. It is also possible to use a 3DES encryption method.
  • the encryption methods may have key lengths of 56 bits and 112 bits, respectively.
  • encryption methods according to the CAST-128 algorithm, the Twofish algorithm, the Blowfish algorithm and the asymmetric IDEA algorithm are possible.
  • the release of the device be controlled at least by the first code and a second code.
  • the second code may be a PIN entered by a device-side entity as well as a corresponding device-side entity parameter. It is understood that the second code serves as a further safeguard against manipulation attempts. However, release can be done with only the first code, if so specified.
  • the second code is determined with the aid of personal parameters.
  • a PIN can be generated as a second code.
  • the second code can be entered into the facility along with the personal parameters.
  • In the device can be a comparison code with the help of personal parameters are compared with the entered second code.
  • the names of the codes as the first code and the second code do not specify their order. Rather, the order of the two codes is arbitrary for a release. Also, in addition to the first and the second code even more codes may be necessary for release.
  • the first code be transmitted via a direct electronic communication link between the device and the center.
  • the electronic communication connection can be wired or wireless, packet-switched or circuit-switched.
  • the transmission can be done for example via mobile, wireless LAN, Internet, ISDN or DSL.
  • the first code can be transmitted directly from the center to the device without, for example, a service technician is involved in the field in the transmission.
  • the on-site service technician could trigger the generation of the first code at headquarters by entering his personal code along with his personal information. After entering his personal code with his personal parameters, the institution may review the personal code. If the check is correct, the center can be automatically prompted by the facility to generate the first code, for example, by the on-site service engineer's personal parameters and facility-related Parameters are transmitted to the control center. In the center then the first code with the personal parameters of the service technician on site, the facility-related parameters and central parameters can be generated and transmitted back to the device.
  • the central-side parameters may include, for example, a personnel number and a PIN of an employee in the central office.
  • the parameters used to generate the first code are transmitted.
  • the device is enabled to generate a comparison code that can be compared to the first code. If there is a match then the complete release can take place.
  • a further subject of the invention is a device comprising input means for inputting parameters from at least two entities and for inputting at least one first code, and release means for at least partially releasing the device upon positive verification of at least the first code determined using parameters from at least two entities ,
  • An additional subject matter of the invention is a system for calculating a release code, having a previously described device and a control center, characterized in that the control center is set up to calculate at least one first code with the aid of parameters from at least two entities.
  • Another aspect of the invention relates to a computer program product and a computer program with instructions executable on a processor such that at least one device is released, wherein the release is at least partially controlled by at least one first code and the first code is determined by means of parameters of at least two entities.
  • Fig. 1 shows a vending machine 2 with a housed in a housing 4 PinPad 6 and accommodated in a housing 8 card reader 10.
  • the vending machine 2 may for example be a ticket machine or ATM.
  • a microprocessor 12 and a memory area 14 are arranged in the housing 4.
  • the housing 4 is a "temper responsive" housing, which means that the housing 4 can not be opened nondestructively. When opening the housing 4, all data stored in the microprocessor 12 and memory area 14 is lost.
  • a card reader 10, a microprocessor 16 and a memory area 18 are arranged in the vending machine 2 in the housing 8.
  • the housing 8 is also a "temper responsive" housing.
  • the interfaces may be conventional communication interfaces, such as Firewire (IEEE1394), RS232 or USB.
  • the card reader 10 has a chip contacting unit 24 and a card slot 26.
  • the housing 8 is designed so that in the vending machine 2 in a front panel only the card reader 10 can be seen and the microprocessor 16 and the memory area 18 are arranged invisibly inside the vending machine 2.
  • a customer with a chip card 28 can actuate the vending machine 2.
  • the chip card 28 is inserted into the card slot 26 and the chip contacts of the chip 30 contacted by means of the chip contacting unit 24.
  • Customer data for example an account number, can be read out via the chip contacts of the chip 30.
  • the read-out account number can be transmitted via the microprocessor 16, the interface 22, the data line 24 and the interface 20 to the microprocessor 12.
  • the customer can use the PinPad 6 to enter their personal PIN.
  • it is encrypted after the input with the aid of the microprocessor 16 and at least one stored in the memory area 14 secret key and sent via a network operator computer to an authorization point.
  • the authorization center can verify the PIN online with the help of the account number and correct the action desired by the customer at the vending machine 2 also via the network operator computer.
  • An offline PIN check can be carried out in the chip 30 of the chip card 28.
  • the PIN entered by a customer into the PinPad 6 is transmitted via the microprocessor 12, the interface 20, the data line 24 and the interface 22 to the microprocessor 16. Since the PIN is transmitted outside the housing 4, 8, and thus is no longer within the "temper responsive" areas, the PIN entered into the PinPad 6 is encrypted in the microprocessor 12 and decrypted after transmission via the data line 24 in the microprocessor 16.
  • 16 secret keys are stored in the memory areas 14, 18.
  • the decrypted PIN is applied via the chip contacting unit 24 directly to the chip contacts of the chip 30.
  • the PIN is applied to the chip contacts of the chip 30 unencrypted.
  • a PIN check is performed, and in the case of a positive check, a desired action by the customer at the vending machine 2 is effected via the microprocessor 16.
  • the PIN is in plain text.
  • the chip contacting unit 24 is connected to the chip contacting unit of the dummy in the front wall of the vending machine 2 via a data line.
  • the PIN check in the chip 30 takes place without the customer noticing anything.
  • the PIN can be tapped in plain text. If this happens, the attacker can easily use the PIN in the future, possibly triggering a payment transaction with a compromised card at another vending machine.
  • the Card reader 10 without losing its functionality, can be removed from the front wall of the vending machine 2 and replaced by a dummy.
  • the Card reader 10 is provided with a sensor 32 which detects the removal of the card reader 10 from the front wall of the vending machine 2. In this case, all data stored on the microprocessor 16 and in the storage area 18 is cleared. Characterized in that the data in the microprocessor 16 and in the memory area 18 have been deleted, an encrypted PIN transmitted by the microprocessor 12 in the microprocessor 16 can no longer be decrypted and a plain text transmission of the PIN to the chip contacting unit 24 is impossible.
  • the secret information in particular the keys for the decryption of the PIN transmitted encrypted on the data line 24, must be loaded from the PinPad 6 into the card reader 10.
  • the 4-eyes principle is used for this.
  • a field service technician having installed the card reader 10 in the front wall of the vending machine 2, will be prompted to enter his personal PIN and personnel number into the PinPad 6.
  • a comparison PIN is calculated in the microprocessor 12 using at least one secret key and compared with the PIN entered by the service technician. If these two match, the service technician entered the correct PIN associated with his personnel number.
  • a second field service technician will then be prompted to enter his PIN and personnel number into the PinPad 6.
  • This second PIN is also checked by means of the microprocessor 12.
  • all security-relevant keys are loaded from the PinPad 6 in the card reader 10 via the interface 20, the data line 24 and the interface 22.
  • the data is encrypted to prevent a tap on the data line 24.
  • the keys After the keys have been transmitted, they are stored in the memory area 18 of the card reader 10 and can henceforth be used for the decryption of encrypted PIN.
  • the card reader is now again suitable for offline PIN verification.
  • a disadvantage of the described method is that two service technicians must be present on site to activate a card reader 10. This is associated with high costs. In addition, it is possible that the service technicians spy and spy on the PIN and personnel number of the other service technician. It would then be possible for a single field service technician to activate an activation of a card reader 10.
  • a method has been developed which allows to carry out the exchange and activation of the card reader on site with only one service technician, while maintaining the four-eye principle.
  • FIG. 2 shows a system for carrying out the method according to the invention.
  • a service technician 34 can service the activation of a card reader 10 in a vending machine 2 on site.
  • the service technician 34 or the vending machine 2 is connected via a communication link 36 to a communication network 38.
  • the communication link 36 may be, for example be a mobile connection.
  • a communication link 40 is made with a central 42.
  • a service technician 44 may accompany the activation of the ticket reader for vending machines 2.
  • a bidirectional data communication between the control center 42 and service technician 44 and vending machine 2 and service technician 34 is ensured via the communication link 36, the communication network 38 and the communication link 40.
  • Fig. 3 shows a flowchart of a method according to the invention.
  • a service technician 34 drives to a vending machine 2 to activate a card reader 10.
  • the card reader 10 After installation of the card reader 10 in the vending machine 2, this card reader 10 logs on via the data line 24 at the PinPad 6. At registration, for example, the card reader 10 may transmit its terminal identification (TID), station number (STAT_ID) and station issuer number (STAT_ISS) to the PinPad 6. In addition, a further identifier (S & B_ID) and a constant (K1) can be transmitted to the PinPad 6. This information is device-side parameter. The device-side parameters are transmitted from the card reader 10 or the vending machine 2 to the PinPad 6 (50).
  • TID terminal identification
  • STAT_ID station number
  • STAT_ISS station issuer number
  • K1 constant
  • This information is device-side parameter.
  • the device-side parameters are transmitted from the card reader 10 or the vending machine 2 to the PinPad 6 (50).
  • the PinPad 6 notifies (52) the service technician 34 that the card reader must be activated. It is also conceivable that the service technician 34 immediately on the PinPad 6 by entering a shortcut activation of a card reader 10 begins.
  • the service technician 34 enters his personal identification number (PIN_ST) and his personnel number (PNR_ST) in the PinPad 6 (54).
  • PIN_ST the entered PIN_ST is checked in microprocessor 12.
  • the operation PIN_ST ( ( 3 ⁇ OF e K SB_Key ( PNR_ST
  • the parameters x are encoded in a three-level DES method with two secret keys K SB_Key .
  • the PIN_ST entered by the service technician has already been determined with the same parameters and calculation rule. If the PIN_ST entered matches the calculated one, a first step of releasing a card reader 10 has taken place.
  • the PinPad 6 notifies the service technician 34 of the successful Partial Release (56) 56. In addition, the PinPad 6 displays the device-related parameters such as TID, STAT_ID, STAT_ISS, DAT, K1 to the service technician 34.
  • the service technician 34 transmits (58) the device-related parameters together with his own personnel number (PNR_ST) via a communication link to the control center 42.
  • the service technician also transmits a time stamp DAT the central office.
  • the timestamp can represent the current day and allows the release to be limited to a specific day.
  • the central 42 requests the service technician 44 in the center (60) to announce his personnel number (PNR_RM) and / or his PIN (PIN_RM).
  • the service technician 44 transmits (62) his personnel number and / or his PIN to a computer in the center 42.
  • the personnel number of the service technician 44 is encrypted in the center.
  • the personnel number of the service technician 44 (PNR_RM), the terminal number (TID), a second constant (K2), the additional identifier (S & B_ID) and the current date (DAT) are used for this purpose.
  • the current date (DAT) may also have been calculated using a number of days since a key date.
  • PNR_RM * ( ( 3 ⁇ OF e K SB_Key ( PNR_RM
  • the encrypted personnel number PNR_RM * is truncated to 3 decimal places using MOD 0xF000 and MOD 1000.
  • a unique order number (AUFT_ID) is generated in the control center 42.
  • AUFT_ID the order number
  • PNR_RM * the encrypted personnel number
  • DAT the date
  • the encrypted order number is truncated to two decimal places using MOD 0xF00.
  • the PIN_AT contains an encrypted 6-digit decimal value, which is generated by means of 3-DES from the personnel number of the service technician on site (PNR_ST), the encrypted order number (ORDER *), the terminal number (TID), the station number (STAT_ID) and the station issuer. Number STAT_ISS is formed.
  • the entire process of creating the PIN_AT with all associated parameters is archived in the control center 42 in terms of database technology. In cases of fraud or manipulation, it is always possible to comprehend the card reader commissioning completely.
  • the data is stored in the control center 42 for at least 3 years.
  • the parameters Personnel no. of the technician in the control center PNR-RM, personnel no. Service technician on site PNR_ST, terminal ID TID, order number AUFT_ID, station number STAT_ID, station error STAT_ISS, time stamp DAT.
  • the control center 42 transmits (64) to the service technician 34 via the communication network 38 the generated order number AUFT_ID and the PIN_AT containing the encrypted personnel number PNR_RM *.
  • the center 42 may also provide this information directly transferred to the PinPad 6.
  • a mobile connection for data transmission can be used.
  • the service technician 34 enters into the PinPad 6 the data just obtained (66).
  • the service technician 34 has already communicated his personnel number PNR_ST to the PinPad 6 (54).
  • PIN_AT ( ( 3 ⁇ OF e K SB_Key ( PNR_ST
  • the PIN_AT calculated in the PinPad 6 is entered with the PIN_AT entered into the PinPad 6 by the service technician 34 compared (6). In the case of a positive comparison, the service technician 34 is informed of the successful release (68).
  • keys (key) for decrypting PIN are transmitted from the PinPad 6 to the card reader 10 via the data line (70).
  • the keys (key) are transferred from the memory area 14 via the interface 20, the data line 24 and the interface 22 to the memory area 18.
  • the security-relevant data transmitted here, in particular the keys (key) for the offline PIN check, differ regularly from the keys (K SB_Key ) for carrying out the above-described 4-eyes principle by means of 3DES.
  • the 3DES encryption is based on the fact that the keys K SB_KEY are secret. If these keys are no longer secret for some reason, it is possible to load new keys K SB_KEY into the memory area 14 of the pin pad 6 by means of a remote transmission so that subsequent checks of the PIN are again safe.
  • the inventive method is characterized in particular by the fact that the costs for a second service technician can be saved on site.
  • the method according to the invention is further distinguished by the fact that the entities involved in the activation do not know each other and therefore can not spy on each other.

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Description

  • Die Erfindung betrifft ein Verfahren zur Freigabe zumindest einer Einrichtung, bei dem die Freigabe zumindest teilweise durch mindestens einen ersten Code kontrolliert wird. Darüber hinaus betrifft die Erfindung eine Einrichtung sowie ein System zur Berechnung eines Freigabecodes. Außerdem betrifft die Erfindung ein Computerprogrammprodukt und ein Computerprogramm mit Instruktionen ausführbar auf einem Prozessor derart, dass zumindest eine Einrichtung freigegeben wird, wobei die Freigabe zumindest teilweise durch einen ersten Code kontrolliert wird.
  • Heutzutage ist es üblich, sicherheitsrelevante Einrichtungen mittels Codes vor einer Freigabe zu sichern. Solche Codes können beispielsweise persönliche Identifikationsnummern (PIN) sein. Die PIN können über ein Verschlüsselungsverfahren mit anderen Parametern verknüpft sein. Hierzu eignet sich beispielsweise das 3DES Verschlüsselungsverfahren, das auch in der Kreditwirtschaft eingesetzt wird. Bei diesem Verschlüsselungsverfahren wird mit Hilfe von zwei geheimen Schlüsseln in einem dreistufigen Verfahren der Parameter mit dem ersten Schlüssel verschlüsselt, mit dem zweiten Schlüssel entschlüsselt und schließlich mit dem zweiten Schlüssel verschlüsselt. Das Ergebnis ist eine PIN, die eindeutig mit dem Parameter verknüpft ist.
  • Zur Freigabe kann dann mit Hilfe der Parameter in der Einrichtung unter Nutzung der identischen, geheimen Schlüssel eine Vergleichs-PIN errechnet werden. Die Vergleichs-PIN wird mit der eingegebenen PIN verglichen. Bei Übereinstimmung kann eine Freigabe erfolgen.
  • Aus der US 5,668,876 ist ein Authentifizierungsverfahren bekannt, bei dem eine Bedieneinheit (personal unit) zum Identifizieren eines Benutzers verwendet wird. Hierzu wird nach dem Challenge-and-Response Verfahren ein Challenge Code an die Personal Unit übermittelt und in dieser zusammen mit einer PIN ein Response Code erzeugt. Mit Hilfe des Response Codes lässt sich die Authentizität des Benutzers einwandfrei nachweisen und eine Freigabe einer Einrichtung erzeugern.
  • Die Druckschrift BE 1006817 A6 betrifft im Allgemeinen lediglich ein Freigabesystem, bei dem Freigabeschlüssel in einer bidirektionalen Kommunikation zwischen den Einrichtungen übermittelt werden.
  • Die Druckschrift EP 1 260 659 beschreibt ein Verfahren zur Steuerun eines elektronischen Schlossen. Aus ihr ist bekannt, dass ein Schloss in einfacher Art und Weise an die Anforderungen eines Anwenders eingestellt werden kann, ohne dass eine Einzelfertigung der entsprechenden Schlösser erforderlich ist.
  • Das Dokument XP-002268702 "Sicherheitstechnik" beschreibt ganz allgemein Verfahren zur. Benutzeridentifikation, beispielsweise mit Hilfe einer Geheimzahl.
  • Aus der Druckschrift WO 2004/056030 ist ein Verfahren für die Personalisierung eines Schlüsselspeichers in einem Geldautomaten während der Inbetriebnahme durch den Servicetechniker mit Hilfe eines transportablen Personalisiergeräts bekannt. Das Personalisierungsgerät wird vor Ort mit einem Sicherheitsmodul verbunden. Zwischen dem Sicherheitsmodul und dem Personalisierer wird zum Freischalten eine gesicherte Verbindung aufgebaut. Über die gesicherte Verbindung sendet der Sicherheitsmodul einen öffentlichen Schlüssel eines Modulschlüsselpaares, dessen privater Schlüssel in einem geheimen Schlüsselspeicher abgelegt ist, an den Personaliesierer. Im Personalisierer wird mittels eines privaten Schlüssels eines Signierschlüsselpaares der öffentliche Schlüssel des Modulschlüsselpaares vom Sicherheitsmodul signiert und zurück an das Sicherheitsmodul übertragen. Der signierte, zertifizierte Schlüssel, der an das Sicherheitsmodul zurück übertragen wird, stellt einen Code dar. Nach Übertragung des Codes wird die Verbindung zwischen Personalisierer und Sicherheitsmodul abgebaut und der Sicherheitsmodul ist freigeschaltet und im normalen Betriebszustand.
  • Die WO 03/014858 A2 betrifft ein Verfahren zum Aktivieren eines Verkaufsautomaten. Hierzu identifiziert ein Kunde den Verkaufsautomaten und gegebenenfalls das gewünschte Produkt. Anschließend wird zumindest die eindeutige Seriennummer des Verkaufsautomaten an eine Zentrale übermittelt. In der Zentrale wird mit Hilfe der Seriennummer, einer zeitangabe und einer geheimen mathematischen Funktion eine Nummer berechnet. Dieses Ergebnis übermittelt die Zentrale wiederum an den Kunden. Dieser gibt die Lösung in den Verkaufsautomaten ein. Der Verkaufsautomat kennt dabei sowohl seine eigene Seriennummer, die Zeitangabe als auch die geheirne mathematische Funktion. Der Verkaufsautomat vergleicht das eingegebene Ergebnis mit dem vom Verkaufsautomaten berechneten Ergebnis. Bei einem positiven Vergleichsergebnis wird der Verkaufsautomat aktiviert.
  • Das Dokument DE 100 05 487 A1 beschreibt ein Verfahren zur Nutzeridentitätskontrolle an einem Dienstterminal. Ein Endgerät, beispielsweise ein Mobiltelefon, weist eine Codegenerierungseinrichtung auf. Mit Hilfe des Mobiltelefons erfolgt die Bezahlung an einem Dienstterminal.
  • In der WO 2005/022474 A1 wird ein Verfahren zur Durchführung elektrischer online Transaktionen beschrieben. Ein Bankkunde meldet sich bei einem Authentifizierungsserver mit einem Passwort an. Dies geschieht über einen ersten Kommunikationskanal. Über einen zweiten Kommunikationskanal erhält der Bankkunde daraufhin einen verschlüsselten eindeutigen Bezeichner von einem Sicherheitsserver. Diesen Bezeichner sendet er über den ersten Kommunikationskanal zur Authentifizierung wieder an den Authentifizierungsserver, der vom Sicherheitsserver ebenfalls den Bezeichner empfangen hat. Bei einem positiven vergleichsergebnis wird die Transaction vollzogen.
  • Die US 2004/0022542 A1 umfasst ein Verfahren und ein System zum kabellosen Aktivieren eines Zielobjekts. Das System enthält ein Zielobjekt, eine Kommunikationseinrichtung eine Aktivierungseinrichtung und eine zentrale Netzwerkeinrichtung. Als Zielobjekt wird beispielsweise eine CD oder eine DVD verwendet. Ein Benutzer sendet eine PIN und eine Identifizierungsnummer des Zielobjekts zur zentralen Netzwerkeinrichtung. Diese überprüft die empfangenen Daten, beispielsweise. Bei einer positiven überprüfung sendet die zentrale Netzwerkeinrichtung ein Aktivierungssignal-an die Kommunikationseinrichtung. Das Zielobjekt wird über die Aktivierungseinrichtung aktiviert.
  • Beispielsweise bei Geldautomaten in der Kreditwirtschaft, aber auch bei anderen benutzergesteuerten Automaten, bei denen die Benutzer selbsttätig sicherheitsrelevante Aktionen ausführen können, beispielsweise das Abheben von Geld, ist es notwendig, dass die hierfür erforderlichen geheimen Kundeninformationen von Dritten nicht abgehört werden können.
  • Bei der Abwicklung von Geldgeschäften werden Kunden aufgefordert, über eine Tastatur (PinPad) eine nur den Kunden bekannte geheime PIN einzugeben. Parallel wird von einer Kundenkarte mittels eines Kartenlesers eine Kundennummer oder eine Kontonummer ausgelesen, mit deren Hilfe die PIN erzeugt wurde. Für die Karteninhaberprüfung wird die PIN im Chip der Kundenkarte oder Online durch Rückfrage bei einer Zentrale auf Richtigkeit geprüft.
  • Dadurch, dass der Kartenleser unbemerkt aus der Frontwand des Geldautomaten ausgebaut werden und durch eine Attrappe ersetzt werden kann, ergeben sich für potentielle Angreifer Manipulationsmöglichkeiten. Insbesondere die Überprüfung der PIN in der Karte selber bietet aufgrund einer Übertragung der PIN auf die Karte im Klartext eine Angriffsmöglichkeit. Hier ist beispielsweise der so genannte "Kellen Angriff" bekannt geworden. Um diesen zu verhindern, ist vorgeschlagen worden, den Kartenleser über eine Sensorik mit dem Gehäuse des Geldautomaten zu verbinden. Die Sensorik bewirkt, dass, sobald der Kartenleser aus seiner Einbauposition von der Frontwand des Geldautomaten entfernt wird, alle sicherheitsrelevanten Daten im Kartenleser gelöscht werden. Dann ist der ausgebaute Kartenleser, auch wenn er im Gehäuse verbleibt, nicht mehr in der Läge, die vom PinPad verschlüsselt übertragene PIN zu entschlüsseln um eine Überprüfung der PIN in der Karte zu ermöglichen.
  • Um Kartenleser bei Ihrer Inbetriebnahme mit den sicherheitsrelevanten Daten zu speisen, wird das 4-Augen-Prinzip verfolgt. Dieses Prinzip beruht darauf, dass zwei Techniker vor Ort gemeinsam den Kartenleser und gegebenenfalls das PinPad einbauen und aktivieren. Die beiden Servicetechniker bauen den Kartenleser in die Frontwand ein und verbinden ihn mit dem PinPad. Um den Kartenleser zu aktivieren, müssen die sicherheitsrelevanten Daten in den Kartenleser eingespeist werden.
  • Hierzu wird gemäß des 4-Augen-Prinzips die PIN sowie die Personalnummer der beiden Servicetechniker abgefragt. Zunächst gibt ein erster Servicetechniker sein PIN und seine Personalnummer in das PinPad ein. Im PinPad kann mit Hilfe der Personalnummer eine Vergleichs-PIN errechnet werden und eine Teilfreigabe kann bei Übereinstimmung erfolgen. Der zweite Servicetechniker kann ebenfalls seine PIN und seine Personalnummer in das PinPad eingeben. Eine Überprüfung wird im PinPad durchgeführt. Für den Fall, dass beide PINs zu den eingegebenen Personalnummern gehören, kann eine Freigabe des PinPads erfolgen. Die sicherheitsrelevanten Daten können danach an den Kartenleser übertragen werden, um diesen zu aktivieren.
  • Durch die Eingabe sowohl des Pins als auch der Personalnummern von zwei Servicetechnikern ist gewährleistet, dass diese sich gegenseitig überwachen. Weiter wird im PinPad eine Protokolldatei geschrieben, in der die Daten der Servicetechniker, die die Freigabe bewirkt haben zusammen mit weiteren Daten gespeichert werden. Im Manipulationsfall kann im Nachhinein nachverfolgt werden, welche beiden Servicetechniker an der Aktivierung des Kartenlesers beteiligt waren.
  • Nachteilig an dem beschriebenen Verfahren ist jedoch, dass für die Installation jedes einzelnen Kartenlesers zwei Servicetechniker vor Ort sein müssen. Dies ist mit erheblichen Kosten verbunden. Auch kann nicht ausgeschlossen werden, dass die Personalnummer und die PIN eines Servicetechnikers von einem anderen Servicetechniker ausgespäht wird, beispielsweise bei der Eingabe in das PinPad. Im PinPad ist nicht überprüfbar, ob zwei unabhängige Personen Personalnummer und die entsprechende PIN eingegeben haben, oder ob diese Daten von nur einem Servicetechniker eingegeben wurden. Dies eröffnet eine Vielzahl von Manipulationsmöglichkeiten.
  • Es ist daher eine Aufgabe der Erfindung, ein Verfahren sowie eine Einrichtung und ein System zur Verfügung zu stellen, welches eine kostengünstige Aktivierung von Einrichtungen ermöglicht. Eine weitere Aufgabe besteht darin, die Freigabe von Einrichtungen vor Manipulationen zu sichern.
  • Zur Lösung dieser Aufgabe schlägt die Erfindung ein Verfahren zur Freigabe zumindest einer Einrichtung nach Anspruch 1 vor. Einrichtungen können hierbei PinPads, Kartenleser, Geldautomaten, Ticketautomaten, Zugangsschranken, Schließfächer, Parkautomaten, Gleisanlagen oder sonstige technische Einrichtungen sein.
  • Die Freigabe einer solchen Einrichtung kann darin bestehen, dass Aktionen ausgelöst werden, Daten freigegeben oder übertragen werden.
  • Zur Freigabe der Einrichtung wird ein Code generiert, der von Parametern von zumindest zwei Entitäten ermittelt wird. Diese Parameter zusammen mit dem Code können in die Einrichtung eingegeben werden und dort überprüft werden. Ist der Code geeignet, die Einrichtung freizugeben, erfolgt die Freigabe.
  • Zumindest zwei der Entitäten sind räumlich getrennt. Durch die räumliche Trennung der Entitäten und die Abhängigkeit des ersten Codes von den zwei Entitäten kann gewährleistet werden, dass die Freigabe der Einrichtung sicher ist. Es ist nicht möglich, dass beispielsweise eine Person vor Ort alleine den ersten Code erzeugt und somit die Einrichtung freigibt. Vielmehr müssen zwei räumlich getrennte Entitäten bei der Erzeugung des Codes eingebunden werden, was verhindert, dass eine Manipulation durch nur eine einzelne Person an der Einrichtung die Freigabe ermöglicht.
  • Mindestens eine Entität ist eine Person, und die von dieser Entität ermittelten Parameter sind personenbezogene Parameter. Der erste Code wird mit Parametern von zumindest zwei Personen erzeugt, die räumlich voneinander getrennt sind. Die personenbezogenen Parameter können beispielsweise Personaldaten, Personalnummern, Namen, Adressen, Geburtsdaten oder sonstige Parameter sein. Die personenbezogenen Parameter können von den Personen selbst angegeben werden.
  • Mindestens eine Entität ist die freizugebende Einrichtung und die von dieser Entität ermittelten Parameter sind einrichtungsbezogene Parameter. Einrichtungsbezogene Parameter können beispielsweise Stationsidentifikationen, Herstellerinformationen oder Stationsnamen sein. Die einrichtungsbezogenen Parameter lassen sich mit Hilfe der Einrichtung selbst ermitteln. Beispielsweise können diese an der Einrichtung abgelesen werden oder die Einrichtung gibt diese automatisch aus. Beispielsweise ist es möglich, dass die Einrichtung aus einem PinPad und einem Kartenleser gebildet ist. In diesem Fall können die einrichtungsbezogenen Parameter sowohl auf das PinPad als auch auf den Kartenleser bezogen sein. Beispielsweise können bei der Installation des Kartenlesers die auf den Kartenleser bezogenen Parameter vom Kartenleser auf das PinPad übertragen werden und von dem PinPad ausgegeben werden.
  • Besonders sicher lässt sich eine Freigabe gestalten, wenn gemäß eines vorteilhaften Ausführungsbeispiels die von einer Entität ermittelten Parameter zeitbezogene Parameter sind. Beispielsweise können die zeitbezogenen Parameter das aktuelle Datum, die aktuelle Uhrzeit, oder die Anzahl der Tage seit einem Stichtag sein. Mit den zeitbezogenen Parametern ist es möglich, dass der erste Code nur eine gewisse Gültigkeitsdauer hat. Beispielsweise kann ein zeitbezogener Parameter einen bestimmten Tag repräsentieren. Der Code, der mit diesem zeitbezogenen Parameter erzeugt wird, kann dann nur an diesem einen Tag eine Freigabe bewirken.
  • Es ist ebenfalls bevorzugt, wenn die von einer Entität ermittelten Parameter auftragsbezogene Parameter sind.
  • Beispielsweise ist es möglich, dass Auftragsnummern erzeugt werden. Jedem einzelnen Freigabeauftrag kann somit eine eindeutige Nummer zugeordnet werden. Dadurch kann die Freigabe von Einrichtungen zurückverfolgt werden. Mit der Auftragsnummer kann nachvollzogen werden, mittels welcher Entitäten der Code erzeugt wurde und für welche Einrichtung dieser Code verwendet wurde. Dies ermöglicht eine Beweissicherung im Betrugsfall.
  • Zur Verwirklichung des 4-Augen-Prinzips wird beansprucht, dass zumindest ein von einer einrichtungsseitigen Entität ermittelter Parameter an eine von der Einrichtung entfernte Zentrale übermittelt wird. Einrichtungsseitige Entitäten können beispielsweise die Einrichtung selbst, an die Einrichtung angeschlossene Vorrichtungen oder Personen die an der Einrichtung arbeiten sein. Mit Hilfe der einrichtungsseitigen Entität können Parameter ermittelt werden, die nur vor Ort unmittelbar an der Einrichtung feststellbar sind. Werden diese nur vor Ort feststellbaren Parameter an eine entfernte Zentrale übermittelt und dort zur Erzeugung eines Codes verwendet, wird gewährleistet, dass in der Zentrale kein Code erzeugt werden kann, der nicht unmittelbar für eine bestimmte Einrichtung bestimmt ist.
  • Für die Berechnung des ersten Codes wird mindestens ein von einer zentralseitigen Entität ermittelter Parameter und mindestens ein von der einrichtungsseitigen Entität ermittelter Parameter verwendet. Die zentralseitige Entität kann dabei ein Techniker in der Zentrale oder auch eine beliebige Einrichtung in der Zentrale sein. Hierdurch wird gewährleistet, dass der erste Code sowohl von zentralseitigen als auch von einrichtungsseitigen Entitäten abhängig ist. Dies gewährleistet, dass nur durch ein Zusammenwirken der örtlich voneinander getrennten Entitäten der erste Code berechnet werden kann.
  • Zur Gewährleistung, dass in der Einrichtung der in der Zentrale errechnete erste Code überprüft werden kann und dass dieser erste Code abhängig von Parametern zentralseitiger Entitäten ist, wird der von der zentralseitigen Entität ermittelte Parameter an die Einrichtung übermittelt. In diesem Fall kann die Freigabe nur unter Mithilfe von einrichtungsseitigen und zentralseitigen Entitäten erfolgen. Es ist nicht mehr möglich, dass sich beispielsweise zwei Servicetechniker bei der Eingabe von Personalnummer und PIN über die Schulter schauen und somit die PIN des jeweils anderen erspähen, um bei der Freigabe von weiteren Kartenlesern Manipulationen vornehmen zu können.
  • Um zu verhindern, dass der von der zentralseitigen Entität ermittelte Parameter im Klartext an eine einrichtungsseitige Entität übermittelt wird, wird vorgeschlagen, dass der mindestens eine von der zentralseitigen Entität ermittelte Parameter zumindest teilweise verschlüsselt wird. Dadurch wird verhindert, dass der Parameter von der zentralseitigen Entität im Klartext außerhalb der Zentral bekannt gemacht wird.
  • Um die Freischaltung mittels des zentralseitig berechneten ersten Codes zu bewirken, wird der zentralseitig berechnete erste Code an die Einrichtung übermittelt. Hierbei ist es insbesondere vorteilhaft, wenn der zentralseitig berechnete erste Code zusammen mit den von der zentralseitigen Entität ermittelten Parametern in die Einrichtung eingegeben werden, um die Richtigkeit des ersten Codes überprüfen zu können.
  • Der zentralseitig berechnete erste Code wird einrichtungsseitig zumindest mit Hilfe des mindestens einen von der Zentrale übermittelten zentralseitigen Parameters überprüft. Hierbei wird beispielsweise in die Einrichtung der erste Code zusammen mit den von der Zentrale übermittelten Parametern eingegeben. In der Einrichtung kann dann ein Vergleichscode berechnet und dieser mit dem ersten Code verglichen werden.
  • Um eine leichte Überprüfung des ersten Codes zu gewährleisten, wird vorgeschlagen, dass der erste Code zentralseitig und einrichtungsseitig mit derselben Rechenvorschrift berechnet wird. In der Zentrale wird mit Hilfe der Parameter von der zentralseitigen Entität und der Parameter von der einrichtungsseitigen Entität der erste Code berechnet. In der Einrichtung wird der erste Code zusammen mit den von der zentralseitigen Entität ermittelten Parametern und der einrichtungsseitigen Entität ermittelten Parametern eingegeben. In der Einrichtung kann ein Vergleichscode mit derselben Rechenvorschrift errechnet werden, um zu prüfen, ob der erste Code tatsächlich in der Zentrale mit denselben Informationen erstellt wurde. Stimmen erster Code und Vergleichscode überein, kann eine Freigabe zumindest teilweise erfolgen.
  • Weiter ist es bevorzugt, dass zumindest der erste Code mittels eines symmetrischen Verschlüsselungsverfahren berechnet wird. Hierbei kann beispielsweise ein DES Verschlüsselungsverfahren zum Einsatz kommen. Auch ist es möglich, ein 3DES Verschlüsselungsverfahren einzusetzen. Die Verschlüsselungsverfahren können Schlüssellängen von 56 Bit bzw. 112 Bit aufweisen. Ferner sind Verschlüsselungsverfahren nach dem CAST-128 Algorithmus, dem Twofish-Algorithmus, dem Blowfish-Algorithmus und dem asymmetrischen IDEA-Algorithmus möglich.
  • Um zu gewährleisten, dass die Freigabe nur dann erfolgt, wenn zwei voneinander unabhängige Codes vorhanden sind, wird vorgeschlagen, dass die Freigabe der Einrichtung zumindest durch den ersten Code und einen zweiten Code kontrolliert wird. Beispielsweise kann der zweite Code ein von einer einrichtungsseitigen Entität eingegebener PIN sowie ein entsprechender Parameter der einrichtungsseitigen Entität sein. Es versteht sich, dass der zweite Code als weitere Sicherung gegenüber Manipulationsversuchen dient. Eine Freigabe kann jedoch mit nur dem ersten Code erfolgen, wenn dies so festgelegt wurde.
  • Besonders bevorzugt ist es, wenn der zweite Code mit Hilfe von personenbezogenen Parametern ermittelt wird. Hierbei kann beispielsweise mit Hilfe einer Personalnummer ein PIN als zweiter Code erzeugt werden. Der zweite Code kann zusammen mit den personenbezogenen Parametern in die Einrichtung eingegeben werden. In der Einrichtung kann ein Vergleichscode mit Hilfe der personenbezogenen Parameter errechnet werden, der mit dem eingegebenen zweiten Code verglichen wird.
  • Durch die Bezeichnung der Codes als erster Code und zweiter Code ist deren Reihenfolge nicht festgelegt. Vielmehr ist für eine Freigabe die Reihenfolge der beiden Codes beliebig. Auch können neben dem ersten und dem zweiten Code noch weitere Codes zur Freigabe notwendig sein.
  • Um zu verhindern, dass der zentralseitig berechnete erste Code anderen Entitäten als der Einrichtung selbst bekannt gemacht wird, wird vorgeschlagen, dass der erste Code über eine direkte elektronische Kommunikationsverbindung zwischen der Einrichtung und der Zentrale übermittelt wird. Die elektronische Kommunikationsverbindung kann dabei drahtgebunden oder drahtlos, paketvermittelt oder leitungsvermittelt sein. Die Übertragung kann dabei beispielsweise über Mobilfunk, Wireless-LAN, Internet, ISDN oder DSL erfolgen. Der erste Code kann unmittelbar von der Zentrale an die Einrichtung übermittelt werden, ohne dass beispielsweise ein Servicetechniker vor Ort in die Übertragung verwickelt ist.
  • Der Servicetechniker vor Ort könnte die Generierung des ersten Codes in der Zentrale durch die Eingabe seines personenbezogenen Codes zusammen mit seinen personenbezogenen Daten auslösen. Nach der Eingabe seines personenbezogenen Codes mit seinen personenbezogenen Parametern kann die Einrichtung den personenbezogenen Code überprüfen. Ist die Überprüfung korrekt, kann die Zentrale automatisch von der Einrichtung dazu aufgefordert werden, den ersten Code zu erzeugen, indem beispielsweise die personenbezogenen Parameter des Servicetechnikers vor Ort und einrichtungsbezogene Parameter an die Zentrale übermittelt werden. In der Zentrale kann dann der erste Code mit den personenbezogenen Parametern des Servicetechnikers vor Ort, den einrichtungsbezogenen Parametern und zentralseitigen Parametern erzeugt und zurück an die Einrichtung übermittelt werden. Zu den zentralseitigen Parametern können beispielsweise auch eine Personalnummer und ein PIN eines Mitarbeiters in der Zentrale gehören. Zusammen mit der Übermittlung des ersten Codes werden die Parameter, die zur Erzeugung des ersten Codes verwendet wurden, übermittelt. Die Einrichtung wird in die Lage versetzt, einen Vergleichscode zu erzeugen, der mit dem ersten Code verglichen werden kann. Bei einer Übereinstimmung kann dann die vollständige Freigabe erfolgen.
  • Ein weiterer Gegenstand der Erfindung ist eine Einrichtung umfassend Eingabemittel zur Eingabe von Parametern von zumindest zwei Entitäten und zur Eingabe mindestens eines ersten Codes, und Freigabemittel zur zumindest teilweisen Freigabe der Einrichtung bei positiver Überprüfung zumindest des ersten mit Hilfe von Parametern von zumindest zwei Entitäten ermittelten Codes.
  • Ein zusätzlicher Gegenstand der Erfindung ist ein System zur Berechung eines Freigabecodes, mit einer zuvor beschriebenen Einrichtung und einer Zentrale, dadurch gekennzeichnet, dass die Zentrale zur Berechnung zumindest eines ersten Codes mit Hilfe von Parametern von zumindest zwei Entitäten eingerichtet ist.
  • Ein weiterer Aspekt der Erfindung betrifft ein Computerprogrammprodukt sowie ein Computerprogramm mit Instruktionen ausführbar auf einem Prozessor derart, dass zumindest eine Einrichtung freigegeben wird, wobei die Freigabe zumindest teilweise durch mindestens einen ersten Code kontrolliert wird und der erste Code mit Hilfe von Parametern von zumindest zwei Entitäten ermittelt wird.
  • Weitere Vorteile ergeben sich aus den nachgeordneten Ansprüchen.
  • Die Erfindung wird nachfolgend anhand einer Ausführungsbeispiele zeigenden Zeichnung näher erläutert. In der Zeichnung zeigen:
    • Fig. 1
    einen Verkaufsautomaten mit einem PinPad und einem Kartenleser;
    Fig. 2
    ein System mit einem Verkaufsautomaten und einer davon entfernten Zentrale;
    Fig. 3
    ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens.
  • Fig. 1 zeigt einen Verkaufsautomaten 2 mit einem in einem Gehäuse 4 untergebrachten PinPad 6 und in einem Gehäuse 8 untergebrachten Kartenleser 10. Der Verkaufsautomat 2 kann beispielsweise ein Ticketautomat oder ein Geldautomat sein.
  • Neben dem PinPad 6 sind in dem Gehäuse 4 ein Mikroprozessor 12 und ein Speicherbereich 14 angeordnet. Das Gehäuse 4 ist ein "temper responsive" Gehäuse, was bedeutet, dass das Gehäuse 4 nicht zerstörungsfrei geöffnet werden kann. Beim Öffnen des Gehäuses 4 gehen alle im Mikroprozessor 12 und Speicherbereich 14 gespeicherten Daten verloren.
  • Weiterhin sind im Verkaufsautomat 2 in dem Gehäuse 8 ein Kartenleser 10, ein Mikroprozessor 16 und ein Speicherbereich 18 angeordnet. Das Gehäuse 8 ist ebenfalls ein "temper responsive" Gehäuse.
  • Eine Kommunikation zwischen dem Mikroprozessor 12 und dem Mikroprozessor 16 innerhalb des Verkaufsautomaten 2, außerhalb der Gehäuse 4, 8 erfolgt über Schnittstellen 20, 22 und Datenleitung 24. Die Schnittstellen können herkömmliche Kommunikationsschnittstellen sein, beispielsweise Firewire (IEEE1394), RS232 oder USB.
  • Der Kartenleser 10 weist eine Chip-Kontaktiereinheit 24 und einen Kartenschlitz 26 auf. Das Gehäuse 8 ist so gestaltet, dass in den Verkaufsautomaten 2 in einer Frontblende lediglich der Kartenleser 10 zu sehen ist und der Mikroprozessor 16 und der Speicherbereich 18 unsichtbar im Inneren des Verkaufsautomaten 2 angeordnet sind.
  • Im Regelfall, nachdem der Kartenleser 10 aktiviert wurde, kann ein Kunde mit einer Chipkarte 28 den Verkaufsautomaten 2 betätigen. Hierzu wird die Chipkarte 28 in den Kartenschlitz 26 eingeführt und die Chipkontakte des Chips 30 mit Hilfe der Chip-Kontaktiereinheit 24 kontaktiert. Über die Chipkontakte des Chips 30 können Kundendaten, beispielsweise eine Kontonummer, ausgelesen werden.
  • Die ausgelesene Kontonummer kann über den Mikroprozessor 16, die Schnittstelle 22, die Datenleitung 24 und die Schnittstelle 20 an den Mikroprozessor 12 übertragen werden.
  • Der Kunde kann das PinPad 6 dazu verwenden, seine persönliche PIN einzugeben. Im Falle einer Online-Überprüfung der Gültigkeit der PIN wird diese nach der Eingabe mit Hilfe des Mikroprozessors 16 und zumindest eines in dem Speicherbereich 14 gespeicherten geheimen Schlüssels verschlüsselt und über einen Netzbetreiberrechner zu einer Autorisierungsstelle gesendet. Die Autorisierungsstelle kann Online die PIN mit Hilfe der Kontonummer auf Richtigkeit überprüfen und die vom Kunden am Verkaufsautomaten 2 gewünschte Aktion ebenfalls über den Netzbetreiberrechner bewirken.
  • Eine Offline-PIN-Überprüfung kann in dem Chip 30 der Chipkarte 28 erfolgen. Hierzu wird die von einem Kunden in das PinPad 6 eingegebene PIN über den Mikroprozessor 12, die Schnittstelle 20, die Datenleitung 24 und die Schnittstelle 22 an den Mikroprozessor 16 übertragen. Da die PIN außerhalb der Gehäuse 4, 8 übertragen wird, und somit nicht mehr innerhalb der "temper responsive" Bereiche ist, wird die in das PinPad 6 eingegebene PIN im Mikroprozessor 12 verschlüsselt und nach der Übertragung über die Datenleitung 24 im Mikroprozessor 16 entschlüsselt. Für die Ver- und Entschlüsselung der PIN in den Mikroprozessoren 12, 16 sind geheime Schlüssel in den Speicherbereichen 14, 18 abgespeichert.
  • Die entschlüsselte PIN wird über die Chip-Kontaktiereinheit 24 unmittelbar an die Chipkontakte des Chips 30 angelegt. Hierbei liegt die PIN an den Chipkontakten des Chips 30 unverschlüsselt an. Im Chip 30 wird eine Überprüfung der PIN durchgeführt und im Falle einer positiven Überprüfung wird über den Mikroprozessor 16 eine vom Kunden am Verkaufsautomaten 2 gewünschte Aktion bewirkt.
  • Die Offline-Überprüfung der PIN birgt jedoch Manipulationsrisiken. Wie bereits erwähnt, ist lediglich der Kartenleser 10 in der Frontwand des Verkaufsautomaten 2 zu erkennen. Es besteht nun die Möglichkeit, den Kartenleser 10 von der Frontwand des Gehäuses 2 zu entfernen und eine Attrappe eines Kartenlesers in der Frontwand des Verkaufsautomaten 2 einzubauen. Diese Attrappe verfügt ebenfalls über eine Chip-Kontaktiereinheit. Die Chip-Kontaktiereinheit der Attrappe ist mit der Chip-Kontaktiereinheit 24 des ausgebauten Kartenlesers 10 verbunden. Der Kartenleser 10 kann im Inneren des Gehäuses 2 versteckt sein. Im Falle der Offline-PIN-Überprüfung wird, wie vorher erwähnt, über den Mikroprozessor 16 die in das PinPad 6 eingegebene PIN an den Kartenleser 10 übertragen. An der Chip-Kontaktiereinheit 24 des Kartenlesers 10, der sich im Inneren des Verkaufsautomaten 2 befindet, liegt die PIN im Klartext an. Über eine Datenleitung ist die Chip-Kontaktiereinheit 24 mit der Chip-Kontaktiereinheit der Attrappe in der Frontwand des Verkaufsautomaten 2 verbunden. Die PIN-Überprüfung im Chip 30 erfolgt, ohne dass der Kunde etwas bemerkt. Jedoch kann auf der Datenleitung zwischen der Chip-Kontaktiereinheit 24 und der Chip-Kontaktiereinheit der Attrappe die PIN im Klartext abgegriffen werden. Geschieht dies, kann der Angreifer ohne weiteres in Zukunft die PIN verwenden, um eventuell mit einer manipulierten Karte an einem anderen Verkaufsautomaten einen Zahlungsvorgang auszulösen.
  • Die oben beschriebene Manipulationsmöglichkeit besteht daher, weil der Kartenleser 10, ohne seine Funktionalität zu verlieren, aus der Frontwand des Verkaufsautomaten 2 ausgebaut und durch eine Attrappe ersetzt werden kann. Um einen solchen Missbrauch zu verhindern, wird der Kartenleser 10 mit einer Sensorik 32 versehen, die den Ausbau des Kartenlesers 10 aus der Frontwand des Verkaufsautomaten 2 detektiert. In diesem Fall werden alle auf dem Mikroprozessor 16 und im Speicherbereich 18 gespeicherten Daten gelöscht. Dadurch, dass die Daten im Mikroprozessor 16 und im Speicherbereich 18 gelöscht wurden, kann eine vom Mikroprozessor 12 verschlüsselt übertragene PIN im Mikroprozessor 16 nicht mehr entschlüsselt werden und eine Klartextübertragung der PIN an die Chip-Kontaktiereinheit 24 wird unmöglich.
  • Für eine Wiederinbetriebnahme des Kartenlesers 10 oder für einen Neueinbau eines Kartenlesers 10 muss dieser aktiviert werden. Bei der Aktivierung müssen die geheimen Informationen, insbesondere die Schlüssel für die Entschlüsselung der auf der Datenleitung 24 verschlüsselt übertragenen PIN vom PinPad 6 in den Kartenleser 10 geladen werden.
  • Hierzu wird das 4-Augen-Prinzip eingesetzt. Ein Servicetechniker vor Ort wird, nachdem er den Kartenleser 10 in die Frontwand des Verkaufsautomaten 2 eingebaut hat, aufgefordert, seine persönliche PIN und seine Personalnummer in das PinPad 6 einzugeben. Mit Hilfe der Personalnummer wird im Mikroprozessor 12 unter Verwendung zumindest eines geheimen Schlüssels eine Vergleichs-PIN errechnet und diese mit der vom Servicetechniker eingegebenen PIN verglichen. Stimmen diese beiden überein, hat der Servicetechniker die korrekte, seiner Personalnummer zugehörige PIN eingegeben.
  • Danach wird ein zweiter Servicetechniker vor Ort aufgefordert, seine PIN und seine Personalnummer in das PinPad 6 einzugeben. Diese zweite PIN wird gleichfalls mit Hilfe des Mikroprozessors 12 überprüft. Sind beide PIN mit den entsprechenden Personalnummern verknüpft, werden über die Schnittstelle 20, die Datenleitung 24 und die Schnittstelle 22 alle sicherheitsrelevanten Schlüssel vom PinPad 6 in den Kartenleser 10 geladen. Bei dieser Übertragung werden die Daten verschlüsselt, um einen Abgriff auf der Datenleitung 24 zu verhindern. Nach der Übertragung der Schlüssel werden diese im Speicherbereich 18 des Kartenlesers 10 gespeichert und können fortan für die Entschlüsselung von verschlüsselten PIN verwendet werden. Der Kartenleser eignet sich nun wieder für die Offline-Überprüfung von PIN.
  • Nachteilig bei dem beschriebenen Verfahren ist jedoch, dass zwei Servicetechniker vor Ort anwesend sein müssen, um einen Kartenleser 10 zu aktivieren. Dies ist mit hohen Kosten verbunden. Außerdem ist es möglich, dass sich die Servicetechniker ausspähen und die PIN und Personalnummer des jeweils anderen Servicetechnikers erspähen. Dann wäre es möglich, dass ein einzelner Servicetechniker vor Ort eine Aktivierung eines Kartenlesers 10 bewirkt.
  • Erfindungsgemäß ist ein Verfahren entwickelt worden, welches es erlaubt, den Austausch und die Aktivierung des Kartenlesers vor Ort mit nur einem Servicetechniker durchzuführen, wobei jedoch dass 4-Augen-Prinzip gewahrt bleibt.
  • Fig. 2 zeigt ein System zur Durchführung des erfindungsgemäßen Verfahrens. Ein Servicetechniker 34 kann die Aktivierung eines Kartenlesers 10 in einem Verkaufsautomaten 2 vor Ort betreuen. Der Servicetechniker 34 bzw. der Verkaufsautomat 2 ist über eine Kommunikationsverbindung 36 mit einem Kommunikationsnetz 38 verbunden. Die Kommunikationsverbindung 36 kann dabei beispielsweise eine Mobilfunkverbindung sein. Über das Kommunikationsnetz 38 wird eine Kommunikationsverbindung 40 mit einer Zentrale 42 hergestellt. In der Zentrale 42 kann ein Servicetechniker 44 die Aktivierung des Kartenlesers für Verkaufsautomaten 2 begleiten. Eine bidirektionale Datenkommunikation zwischen Zentrale 42 und Servicetechniker 44 sowie Verkaufsautomat 2 und Servicetechniker 34 ist über die Kommunikationsverbindung 36, das Kommunikationsnetz 38 und die Kommunikationsverbindung 40 gewährleistet.
  • Fig. 3 zeigt ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens. Zunächst fährt ein Servicetechniker 34 zu einem Verkaufsautomaten 2 um einen Kartenleser 10 zu aktivieren.
  • Nach dem Einbau des Kartenlesers 10 in den Verkaufsautomaten 2 meldet sich dieser Kartenleser 10 über die Datenleitung 24 bei dem PinPad 6 an. Bei der Anmeldung kann der Kartenleser 10 beispielsweise seine Terminalidentifikation (TID), seine Stationsnummer (STAT_ID) und seine Stations-Issuer-Nummer (STAT_ISS) an das PinPad 6 übermitteln. Darüber können an das PinPad 6 eine weitere Kennung (S&B_ID) sowie eine Konstante (K1) übermittelt werden. Diese Informationen sind einrichtungsseitige Parameter. Die einrichtungsseitigen Parameter werden von dem Kartenleser 10 bzw. dem Verkaufsautomaten 2 an das PinPad 6 übertragen (50).
  • Das PinPad 6 meldet (52) dem Servicetechniker 34, dass der Kartenleser aktiviert werden muss. Es ist auch denkbar, dass der Servicetechniker 34 unmittelbar am PinPad 6 durch Eingabe einer Tastenkombination eine Aktivierung eines Kartenlesers 10 beginnt.
  • Für die Aktivierung des Kartenlesers 10 gibt der Servicetechniker 34 seine persönliche Identifikationsnummer (PIN_ST) sowie seine Personalnummer (PNR_ST) in das PinPad 6 ein (54). Im PinPad 6 wird im Mikroprozessor 12 die eingegebene PIN_ST überprüft. Hierzu wird in dem Mikroprozessor 12 die Operation PIN_ST = ( ( 3 DES e K SB_Key ( PNR_ST | S & B_ID | k 1 ) MOD 0 xF 00000 ) MOD 1000000 )
    Figure imgb0001
     durchgeführt. Beim oben verwendeten 3DESe KSB_Key (x) Verfahren werden die Parameter x in einem dreistufigen DES Verfahren mit zwei geheimen Schlüsseln KSB_Key verschlüsselt. Die PIN_ST die der Servicetechniker eingegeben hat, ist bereits zuvor mit selbigen Parametern und der gleichen Rechenvorschrift ermittelt worden. Stimmt die eingegebene PIN_ST mit der errechneten überein, ist ein erster Schritt einer Freigabe eines Kartenlesers 10 erfolgt.
  • Das PinPad 6 meldet dem Servicetechniker 34 die erfolgreiche Teilfreigabe (56) 56. Darüber hinaus zeigt das PinPad 6 dem Servicetechniker 34 einrichtungsbezogene Parameter wie beispielsweise TID, STAT_ID, STAT_ISS, DAT, K1 an.
  • Der Servicetechniker 34 übermittelt (58) die einrichtungsbezogenen Parameter zusammen mit seiner eigenen Personalnummer (PNR_ST) über eine Kommunikationsverbindung an die Zentrale 42. Weiter übermittelt der Servicetechniker einen Zeitstempel DAT an die Zentrale. Der Zeitstempel kann den aktuellen Tag repräsentieren und ermöglicht die Begrenzung der Freigabe auf einen bestimmten Tag.
  • Die Zentrale 42 fordert den Servicetechniker 44 in der Zentrale auf (60), seine Personalnummer (PNR_RM) und/oder seine PIN (PIN_RM) bekannt zu geben. Der Servicetechniker 44 übermittelt (62) seine Personalnummer und/oder seine PIN an einen Rechner in der Zentrale 42.
  • Nach Überprüfung der Personalnummer (PNR_RM) und der PIN (PIN_RM) in der Zentrale 42, beispielsweise ebenfalls mittels 3DES, wird die Generierung eines Auftrags freigegeben. Die Erzeugung eines neuen Auftrags muss erneut mit PIN und PNR_RM freigegeben werden.
  • Zunächst wird in der Zentrale die Personalnummer des Servicetechnikers 44 verschlüsselt. Hierzu wird die Personalnummer des Servicetechnikers 44 (PNR_RM), die Terminalnummer (TID), eine zweite Konstante (K2), die weitere Kennung (S&B_ID) und das aktuelle Datum (DAT) verwendet. Das aktuelle Datum (DAT) kann auch mittels einer Anzahl von Tagen seit einem Stichtag errechnet worden sein. In der Zentrale 42 wird eine codierte Personalnummer (PNR_RM*) mittels einer Verschlüsselung gemäß PNR_RM * = ( ( ( 3 DES e K SB_Key ( PNR_RM | S & B_ID | TID | DAT | K 2 ) MOD 0 xF 000 ) MOD 1000
    Figure imgb0002
     erzeugt. Die verschlüsselte Personalnummer PNR_RM* wird auf 3 Dezimalstellen mittels MOD 0xF000 und MOD 1000 trunkiert.
  • Nachdem die verschlüsselte Personalnummer PNR_RM* erzeugt wurde, wird in der Zentrale 42 eine eindeutige Auftragsnummer (AUFT_ID) erzeugt. Mit Hilfe der Auftragsnummer (AUFT_ID), der verschlüsselten Personalnummer (PNR_RM*), des Datums (DAT) und weiteren Parametern wird eine verschlüsselte Auftragsnummer (AUFTRAG*) mittels AUFTRAG * = ( ( 3 DES e K SB_Key ( AUFT_ID | PNR_RM * | S & B_ID | DAT ) MOD 0 xF 00 )
    Figure imgb0003
     errechnet. Die verschlüsselte Auftragsnummer wird auf zwei Dezimalstellen mittels MOD 0xF00 trunkiert.
  • Schließlich wird in der Zentrale 42 eine PIN (PIN_AT) mittels PIN_AT = ( ( ( 3 DES e K SB_Key ( PNR_ST | AUFTRAG * | TID | STAT_ID | STAT_ISS ) MOD 0 xF 00000 ) MOD 1000000 ) & 0 xFFF 000 ) + PNR_RM * )
    Figure imgb0004
     berechnet. Die PIN_AT enthält einen verschlüsselten 6-stelligen Dezimalwert, der mittels 3-DES aus Personalnummer des Servicetechnikers vor Ort (PNR_ST), der verschlüsselten Auftragsnummer (AUFTRAG*), der Terminalnummer (TID), der Stationsnummer (STAT_ID) und der Stations-Issuer-Nummer STAT_ISS gebildet wird.
  • Da beim 3DES-Verfahren mit Schlüssellängen von bis zu 112 Bit gearbeitet wird, ist die so ermittelte Ziffer zu lang, weshalb diese mittels MOD 0xF00000 und MOD 1000000 auf 6 Dezimalstellen trunkiert wird. Dieser 6-stellige Dezimalwert wird ferner in seinen letzten drei Stellen auf NULL mittels &0xFFF000 gesetzt. Zur Erzeugung der PIN_AT wird anstelle der letzten drei Ziffern die verschlüsselte Personalnummer PNR_RM* angehängt.
  • Der gesamte Vorgang der Erstellung der PIN_AT mit allen zugehörigen Parametern wird in der Zentrale 42 datenbanktechnisch archiviert. Im Betrugs- bzw. Manipulationsfall besteht jederzeit die Möglichkeit, die Kartenleserinbetriebnahme lückenlos nachzuvollziehen. Die Daten werden in der Zentrale 42 mindestens 3 Jahre gespeichert. Hierbei können die Parameter Personal-Nr. des Technikers in der Zentrale PNR-RM, Personal-Nr. ServiceTechniker vor Ort PNR_ST, Terminal Id TID, Auftragsnummer AUFT_ID, Stationsnummer STAT_ID, Stationsissuer STAT_ISS, Zeitstempel DAT.
  • Die Zentrale 42 übermittelt (64) an den Servicetechniker 34 über das Kommunikationsnetz 38 die generierte Auftragsnummer AUFT_ID sowie die PIN_AT, die die verschlüsselte Personalnummer PNR_RM* enthält. Alternativ kann die Zentrale 42 diese Information auch unmittelbar an das PinPad 6 übertragen. Hierzu kann beispielsweise eine Mobilfunkverbindung zur Datenübertragung genutzt werden.
  • Der Servicetechniker 34 gibt in das PinPad 6 die soeben erhaltenen Daten ein (66). Der Servicetechniker 34 hat bereits seine Personalnummer PNR_ST dem PinPad 6 mitgeteilt (54). Im PinPad 6 kann mit den erhaltenen Informationen eine verschlüsselte Auftragsnummer AUFTRAG* mittels AUFTRAG * = ( ( 3 DES e K SB_Key ( AUFT_ID | PNR_RM * | S & B_ID | DAT ) MOD 0 xF 00 )
    Figure imgb0005
     errechnet werden. Mit Hilfe der so ermittelten verschlüsselten Auftragsnummer AUFTRAG* kann eine PIN_AT im PinPad 6 mittels PIN_AT = ( ( ( 3 DES e K SB_Key ( PNR_ST | AUFTRAG * | TID | STAT_ID | STAT_ISS ) MOD 0 xF 00000 ) MOD 1000000 ) & 0 xFFF 000 ) + PNR_RM * )
    Figure imgb0006
     errechnet werden.
  • Die in dem PinPad 6 errechnete PIN_AT wird mit der vom Servicetechniker 34 in das PinPad 6 eingegebenen PIN_AT verglichen (6). Bei einem positiven Vergleich wird dem Servicetechniker 34 die erfolgreiche Freigabe mitgeteilt (68).
  • Darüber hinaus werden von dem PinPad 6 an den Kartenleser 10 über die Datenleitung 24 Schlüssel (Key) zur Entschlüsselung von PIN übertragen (70). Hierzu werden die Schlüssel (Key) aus dem Speicherbereich 14 über die Schnittstelle 20, die Datenleitung 24 und die Schnittstelle 22 an den Speicherbereich 18 übertragen. Bei dieser Übertragung der Schlüssel (Key) kann ebenfalls eine Verschlüsselung erfolgen. Die hierbei übertragenen sicherheitsrelevanten Daten, insbesondere die Schlüssel (Key) für die Offline-PIN-Überprüfung, unterscheiden sich regelmäßig von den Schlüsseln (KSB_Key) für die Durchführung des oben geschilderten 4-Augen-Prinzips mittels 3DES.
  • Die 3DES-Verschlüsselung beruht darauf, dass die Schlüssel KSB_KEY geheim sind. Sollten diese Schlüssel aus irgendwelchen Gründen nicht mehr geheim sein, so ist es möglich, mittels einer Fernübertragung neue Schlüssel KSB_KEY in den Speicherbereich 14 des PinPads 6 zu laden, so dass nachfolgende Überprüfungen von PIN wieder sicher sind.
  • Das erfindungsgemäße Verfahren zeichnet sich insbesondere dadurch aus, dass die Kosten für einen zweiten Servicetechniker vor Ort eingespart werden können. Das erfindungsgemäße Verfahren zeichnet sich ferner dadurch aus, dass die Entitäten, die an der Freischaltung beteiligt sind, voneinander nichts wissen und somit sich einander nicht ausspähen können.

Claims (17)

  1. Verfahren zur Freigabe einer technischen Einrichtung (2, 6, 10), bei dem die Freigabe zumindest teilweise durch mindestens einen ersten Code (PIN_AT) kontrolliert wird,
    - wobei ein von der Einrichtung (2, 6, 10) ermittelter einrichtungsbezogener Parameter (TID, STAT_ID, STAT_ISS) an eine von der Einrichtung räumlich entfernte Zentrale (42) übermittelt wird,
    - wobei sich der einrichtungsbezogene Parameter (TID, STAT_ID, STAT_ISS) mit Hilfe der Einrichtung (2, 6, 10) selbst ermitteln lässt,
    dadurch gekennzeichnet,
    - dass ein einrichtungsseitig ermittelter personenbezogener Parameter (PNR_ST) an die von der Einrichtung (2, 6, 10) räumlich entfernte Zentrale (42) übermittelt wird,
    - wobei der einrichtungsseitig ermittelte personenbezogene Parameter (PNR_ST) ein personenbezogener Parameter einer ersten Person (34) vor Ort der Einrichtung (2, 6, 10) ist,
    - dass der erste Code (PIN_AT) mit Hilfe eines zentralseitig ermittelten personenbezogenen Parameters (PNR_RM), des einrichtungsseitig ermittelten personenbezogenen Parameters (PNR_ST), eines von der Zentrale (42) ermittelten zentralseitigen Parameters (AUFT_ID) und des einrichtungsbezogenen Parameters (TID, STAT_ID, STAT_ISS) in der Zentrale berechnet wird,
    - wobei der zentralseitig ermittelte personenbezogene Parameter (PNR_RM) ein personenbezogener Parameter einer zweiten Person (44) ist, die räumlich von der ersten Person (34) getrennt ist,
    - dass der von der Zentrale (42) ermittelte zentralseitige Parameter (AUFT_ID) an die Einrichtung (2, 6, 10) übermittelt wird,
    - dass der ersten Code (PIN_AT) an die Einrichtung (2, 6, 10) übermittelt wird, und
    - dass der erste Code einrichtungsseitig zumindest mit Hilfe des von der Zentrale (42) ermittelten zentralseitigen Parameters überprüft wird,
    - wobei die Einrichtung (2, 6, 10) bei positiver Überprüfung des ersten Codes (PIN_AT) zumindest teilweise freigegeben wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der von der Einrichtung (2, 6, 10) ermittelte Parameter ein zeitbezogener Parameter (DAT) ist.
  3. Verfahren nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, dass der von der Einrichtung (2, 6, 10) ermittelte Parameter ein auftragsbezogener Parameter ist.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der von der Zentrale (42) ermittelte Parameter zumindest teilweise verschlüsselt wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der erste Code (PIN_AT) zentralseitig und einrichtungsseitig mit derselben Rechenvorschrift berechnet wird.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der erste Code (PIN_AT) mit Hilfe eines symmetrischen Verschlüsselungsverfahrens berechnet wird.
  7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Freigabe der Einrichtung (2, 6, 10) zumindest durch den ersten Code (PIN_AT) und einen zweiten Code (PIN_ST) kontrolliert wird.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass der zweite Code (PIN_ST) mit Hilfe von personenbezogenen Parametern (PNR_ST) der ersten Person (34) ermittelt wird.
  9. Verfahren nach einem der Ansprüche 7 oder 8, dadurch gekennzeichnet,dass der zweite Code (PIN_ST) zumindest mit Hilfe von mindestens dem personenbezogenen Parameter (PNR_ST) der ersten Person (34) einrichtungsseitig überprüft wird.
  10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass zumindest der erste Code (PIN_AT) über eine direkte elektronische Kommunikationsverbindung zwischen der Einrichtung (2, 6, 10) und der Zentrale (42) übermittelt wird.
  11. System zur Berechnung eines Freigabecodes
    - mit einer technischen Einrichtung (2, 6, 10), umfassend
    - Mittel zur Ausgabe eines von der Einrichtung (2, 6, 10) ermittelten einrichtungsbezogenen Parameters (TID, STAT_ID, STAT_ISS),
    - wobei sich der einrichtungsbezogene Parameter (TID, STAT_ID, STAT_ISS) mit Hilfe der Einrichtung (2, 6, 10) selbst ermitteln lässt,
    - Eingabemittel zur Eingabe eines einrichtungsseitig ermittelten personenbezogenen Parameters (PNR_ST),
    - wobei der einrichtungsseitig ermittelte personenbezogene Parameter (PNR_ST) ein personenbezogener Parameter einer ersten Person (34) vor Ort der Einrichtung (2, 6, 10) ist, und
    - mit einer räumlich von der Einrichtung (2, 6, 10) getrennten Zentrale (42),
    - wobei die Zentrale (42) zur Berechnung eines ersten Codes (PIN_AT) mit Hilfe eines zentralseitig ermittelten personenbezogenen Parameters (PNR_RM), des einrichtungsseitig ermittelten personenbezogenen Parameters (PNR_ST), eines von der Zentrale (42) ermittelten zentralseitigen Parameters (AUFT_ID) und des einrichtungsbezogenen Parameters (TID, STAT_ID, STAT_ISS) eingerichtet ist,
    - wobei der zentralseitig ermittelte personenbezogene Parameter (PNR_RM) ein personenbezogener Parameter einer zweiten Person (44) ist, die räumlich von der ersten Person (34) getrennt ist,
    - wobei die Eingabemittel ferner zur Eingabe des von der Zentrale (42) ermittelten ersten Codes (PIN_AT) und des von der Zentrale (42) ermittelten zentralseitigen Parameters (AUFT_ID) eingerichtet sind, und
    - wobei die Einrichtung (2, 6, 10) ferner umfasst Freigabemittel zur zumindest teilweisen Freigabe der Einrichtung (2, 6, 10) bei positiver Überprüfung des ersten Codes (PIN_AT) mit Hilfe des von der Zentrale (42) übermittelten, von der Zentrale (42) ermittelten zentralseitigen Parameters (AUFT_ID).
  12. System nach Anspruch 11, gekennzeichnet durch einrichtungsseitige Rechenmittel zur Berechnung eines Vergleichscodes zumindest mit Hilfe der eingegebenen Parameter.
  13. System nach Anspruch 11, gekennzeichnet durch einrichtungsseitige Vergleichsmittel zum Vergleichen des berechneten Vergleichscodes mit dem ersten Code.
  14. System nach Anspruch 11, dadurch gekennzeichnet,
    dass die Freigabemittel zur zumindest teilweisen Freigabe der Einrichtung bei Übereinstimmung zumindest des ersten Codes mit dem Vergleichscode eingerichtet sind.
  15. System nach einem der Ansprüche 11 bis 14,
    dadurch gekennzeichnet,
    dass die Rechenmittel zur Berechnung des Codes mittels einer symmetrischen Verschlüsselungsvorschrift eingerichtet sind.
  16. Computerprogramm mit Instruktionen ausführbar auf einem Prozessor derart, dass zumindest eine Einrichtung eines Systems nach Anspruch 11 mittels eines Verfahrens nach Anspruch 1 freigegeben wird.
  17. Computerprogrammprodukt umfassend ein Computerprogramm mit Instruktionen ausführbar auf einem Prozessor derart, dass zumindest eine Einrichtung eines Systems nach Anspruch 11 mittels eines Verfahrens nach Anspruch 1 freigegeben wird.
EP05007519.1A 2005-04-06 2005-04-06 Gesicherte Freigabe von Einrichtungen Not-in-force EP1710760B1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP05007519.1A EP1710760B1 (de) 2005-04-06 2005-04-06 Gesicherte Freigabe von Einrichtungen
PL05007519T PL1710760T3 (pl) 2005-04-06 2005-04-06 Bezpieczne zwalnianie urządzeń

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP05007519.1A EP1710760B1 (de) 2005-04-06 2005-04-06 Gesicherte Freigabe von Einrichtungen

Publications (2)

Publication Number Publication Date
EP1710760A1 EP1710760A1 (de) 2006-10-11
EP1710760B1 true EP1710760B1 (de) 2013-11-27

Family

ID=34934804

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05007519.1A Not-in-force EP1710760B1 (de) 2005-04-06 2005-04-06 Gesicherte Freigabe von Einrichtungen

Country Status (2)

Country Link
EP (1) EP1710760B1 (de)
PL (1) PL1710760T3 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2810139C1 (ru) * 2020-07-01 2023-12-22 Сфинкс Электроникс Гмбх Унд Ко Кг Способ и система для запуска или администрирования офлайн-устройства управления

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008021046A1 (de) * 2008-04-26 2009-10-29 Wincor Nixdorf International Gmbh Verfahren zur Inbetriebnahme einer Tastatur eines Selbstbedienungsterminals

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10005487A1 (de) * 2000-02-08 2001-08-09 Siemens Ag Verfahren zur Nutzeridentitätskontrolle
WO2003014858A2 (en) * 2001-08-09 2003-02-20 Scott Edward James Garratt Method to activate a vending machine
WO2004056030A2 (de) * 2002-12-17 2004-07-01 Wincor Nixdorf International Gmbh Personalisierung von sicherheitsmoduln

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BE1006817A6 (nl) * 1993-03-19 1994-12-13 Laureyssens Dirk Random slot.
US5668876A (en) * 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
EP1260659A3 (de) * 2001-05-23 2004-02-04 Burg-Wächter Kg Verfahren zur Steuerung eines elektronischen Schlosses

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10005487A1 (de) * 2000-02-08 2001-08-09 Siemens Ag Verfahren zur Nutzeridentitätskontrolle
WO2003014858A2 (en) * 2001-08-09 2003-02-20 Scott Edward James Garratt Method to activate a vending machine
WO2004056030A2 (de) * 2002-12-17 2004-07-01 Wincor Nixdorf International Gmbh Personalisierung von sicherheitsmoduln

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2810139C1 (ru) * 2020-07-01 2023-12-22 Сфинкс Электроникс Гмбх Унд Ко Кг Способ и система для запуска или администрирования офлайн-устройства управления

Also Published As

Publication number Publication date
PL1710760T3 (pl) 2014-04-30
EP1710760A1 (de) 2006-10-11

Similar Documents

Publication Publication Date Title
DE69031889T2 (de) Verfahren zur Erzeugung einer einmaligen Zahl für eine Mikroschaltungskarte und Verwendung derselben zur Zusammenarbeit der Karte mit einem Wirtssystem
DE69521156T2 (de) Verfahren zum Authentisieren eines Schalterterminals in einem System zur Durchführung von Überweisungen
DE3044463C2 (de)
EP0030381B1 (de) Verfahren und Vorrichtung zur Erzeugung und späteren Kontrolle von gegen Nachahmung, Verfälschung und Missbrauch abgesicherten Dokumenten und Dokument zu dessen Durchführung
DE69531278T2 (de) Verfahren und Vorrichtung zum Laden einer geschützten Speicherzone in einem Datenverarbeitungsgerät
DE3809170C2 (de)
EP2215609B1 (de) Verfahren zum freischalten einer chipkartenfunktion mittels fernüberprüfung
DE19860177C2 (de) Verfahren und Vorrichtung zur benutzerkontrollierten Freischaltung von Chipkartenfunktionen
EP2949094A1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem automat
EP1254436A1 (de) Verfahren zur nutzeridentitätskontrolle
DE102011116489A1 (de) Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts
EP1687932B1 (de) Autorisierung einer Transaktion
WO2011131359A1 (de) Verfahren zur handhabung von elektronischen tickets
EP2996299B1 (de) Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem
WO1998050894A1 (de) System zum gesicherten lesen und bearbeiten von daten auf intelligenten datenträgern
DE102007041370B4 (de) Chipkarte, elektronisches Gerät, Verfahren zur Herstellung einer Chipkarte und Verfahren zur Inbenutzungnahme einer Chipkarte
EP1710760B1 (de) Gesicherte Freigabe von Einrichtungen
EP0117907B1 (de) Verfahren zur Überprüfung elektronischer Daten sowie Modul für das Verfahren
WO2001004771A2 (de) System zur ausführung einer transaktion
DE69110544T2 (de) Vorrichtung zur Bearbeitung von Hochsicherheitsdaten mit zwei Betriebsständen.
EP1066607B1 (de) Gerät und verfahren zur gesicherten ausgabe von wertscheinen
DE10020562C1 (de) Verfahren zum Beheben eines in einer Datenverarbeitungseinheit auftretenden Fehlers
EP1854001A1 (de) Verfahren zur gesicherten funktionsfreischaltung von modulen
EP1650716A1 (de) Verfahren zur Verwaltung von Benutzerrechten für ein codegesichertes Objekt
DE4201967C2 (de) Verfahren und Anordnung zum Sicherstellen der Integrität von auszudruckenden oder zu stempelnden Daten

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20060320

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR LV MK YU

17Q First examination report despatched

Effective date: 20070111

AKX Designation fees paid

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

R17C First examination report despatched (corrected)

Effective date: 20100927

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

INTG Intention to grant announced

Effective date: 20130426

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

INTG Intention to grant announced

Effective date: 20131001

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: AT

Ref legal event code: REF

Ref document number: 642983

Country of ref document: AT

Kind code of ref document: T

Effective date: 20131215

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REG Reference to a national code

Ref country code: CH

Ref legal event code: NV

Representative=s name: TROESCH SCHEIDEGGER WERNER AG, CH

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502005014091

Country of ref document: DE

Effective date: 20140116

REG Reference to a national code

Ref country code: NL

Ref legal event code: T3

REG Reference to a national code

Ref country code: NL

Ref legal event code: T3

REG Reference to a national code

Ref country code: LT

Ref legal event code: MG4D

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20140327

REG Reference to a national code

Ref country code: PL

Ref legal event code: T3

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20140327

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502005014091

Country of ref document: DE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20140828

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502005014091

Country of ref document: DE

Effective date: 20140828

REG Reference to a national code

Ref country code: FR

Ref legal event code: ST

Effective date: 20141231

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140430

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: PL

Payment date: 20160331

Year of fee payment: 12

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20140228

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: HU

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT; INVALID AB INITIO

Effective date: 20050406

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131127

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: IE

Payment date: 20160426

Year of fee payment: 12

Ref country code: GB

Payment date: 20160422

Year of fee payment: 12

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: NL

Payment date: 20170426

Year of fee payment: 13

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: BE

Payment date: 20170425

Year of fee payment: 13

Ref country code: LU

Payment date: 20170425

Year of fee payment: 13

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20170406

REG Reference to a national code

Ref country code: IE

Ref legal event code: MM4A

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20170406

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20170406

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 20180420

Year of fee payment: 14

Ref country code: DE

Payment date: 20180420

Year of fee payment: 14

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: AT

Payment date: 20180424

Year of fee payment: 14

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PL

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20170406

REG Reference to a national code

Ref country code: NL

Ref legal event code: MM

Effective date: 20180501

REG Reference to a national code

Ref country code: BE

Ref legal event code: MM

Effective date: 20180430

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20180406

Ref country code: NL

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20180501

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20180430

REG Reference to a national code

Ref country code: DE

Ref legal event code: R119

Ref document number: 502005014091

Country of ref document: DE

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

REG Reference to a national code

Ref country code: AT

Ref legal event code: MM01

Ref document number: 642983

Country of ref document: AT

Kind code of ref document: T

Effective date: 20190406

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20190430

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20191101

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20190430

Ref country code: AT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20190406