EP2764666A1 - Transaktionssystem - Google Patents

Abstract

Verfahren in einer Transaktionseinheit (350, 450, 500) eines kontaktlosen Transaktionssystems, in welchem eine Terminaleinrichtung (100) vorgesehen ist, um Transaktionen mit in seinem Nahbereich angeordneten Transaktionseinheiten durch kontaktloses Übertragen von Transaktionsdaten auszuführen. In einer Transaktionseinheit (350, 450, 500) laufen folgende Schritte ab. Empfangen von Transaktionsdaten K-APDU der Terminaleinrichtung (100), die von einem Weiterleitungsendgerät (200) an die Transaktionseinheit (350, 450, 500) weitergeleitet worden sind; und Erzeugen einer Antwort A-APDU auf die empfangenen Transaktionsdaten K-APDU für die Terminaleinrichtung (100) durch eine Transaktionsapplikation (370, 470), wobei die Antwort an das Weiterleitungsendgerät (200) übertragen und von diesem an die Terminaleinrichtung (100) weitergeleitet werden soll. Die Transaktionseinheit (350, 450, 500) umfasst eine Weiterleitungserkennung (420, 520), welche anhand eines empfangenen Transaktionsendpunktsignals TES erkennt, dass die Transaktionsapplikation (370, 470) als entfernter Endpunkt einer weitergeleiteten Transaktion operiert.

Description

T r a n s a k t i o n s s y s t e m

Die vorliegende Erfindung betrifft ein Verfahren zum Durchführen einer Transaktion mit einer kontaktlos kommunizierenden Terminaleinrichrung sowie ein entsprechendes Transaktionssystem und zugehörige Komponenten.

Transaktionssysteme, welche auf kontaktlosem Weg verschiedene Transaktionen unterstützen, beispielsweise bargeldlose Bezahlung, Ticketing- Anwendungen, Zugangskontrolle oder dergleichen, sind weithin bekannt. Dabei wird die Transaktion in der Regel zwischen einer kontaktlos kommunizierenden Terminaleinrichtung und einem kontaktlos kommunizierenden portablen Datenträger eines Nutzers, beispielsweise einer Chipkarte, durchgeführt. Gelegentlich ist es bereits möglich, dass eine ansonsten auf einer Chipkarte ausgeführte Transaktionsapplikation auf einen Mobilfunkendgerät als portablem Datenträger ausführbar installiert werden kann. Das Mobilfunkendgerät unterstützt in diesem Fall eine kontaktlose Datenkommunikation mit der Terminaleinrichtung, beispielsweise mittels eines so genannten CLFs („Contactless Frontend"). Grundlage bilden dabei bekannte kontaktlo- se Datenübertragungsprotokolle, wie z.B. gemäß ISO/IEC 14443 (kontaktlose Chipkarte) oder das NFC-Protokoll („Near Field Communication") gemäß ISO/IEC 18092 (NFCIP-1) oder ISO/IEC 21481 (NFCIP-2) im Zusammenhang mit NFC-fähigen Mobilfunkendgeräten oder dergleichen. Nachteilig für einen Nutzer ist es dabei jedoch, dass zumeist für jede Anwendung eine eigene Terminaleinrichtung vorgesehen ist, welche ihrerseits einen zugehörigen, eigenen Datenträger - im Falle einer Chipkarte - oder zumindest eine entsprechende eigene Transaktionsapplikation - im Falle eines NFC-fähigen Mobilfunkendgeräts - erfordert. Der Nutzer muss also, möchte er verschiedene Transaktionen durchführen, den jeweils passenden portablen Datenträger mit sich führen oder zumindest zuerst die passende Transaktionsapplikation auf seinem Mobilfunkendgerät installieren. Die Anzahl notwendiger Chipkarten steigt dabei schnell. Eine Installation von di- versen Transaktionsapplikationen erfordert zumindest einigen Aufwand und führt auch hier schnell zu einer unübersichtlich großen Anzahl. Weiterhin ist die Installation zumeist im Vorfeld durchzuführen, d.h. nicht erst in dem Moment, in dem der Nutzer die Applikation gerne verwenden möchte, um beispielsweise in einer fremden Stadt eine U-Bahn zu benutzen. Schließ- lieh ist es erforderlich, falls eine Transaktionsapplikation auf einem Datenträger eine Bezahltransaktion unterstützen soll, dass jeweils ausreichend Guthaben auf dem entsprechenden Datenträger gespeichert ist.

Aufgabe der vorliegenden Erfindung ist es demnach, ein Transaktionssystem und ein Verfahren vorzuschlagen, welches den angesprochenen Nachteilen Rechnung trägt.

Diese Aufgabe wird durch die unabhängigen Patentansprüche gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den abhängigen Pa- tentansprüchen angegeben.

Ein erfindungsgemäßes Transaktionssystem umfasst zumindest eine kontaktlos kommunizierende Terminaleinrichtung, ein Weiterleitungsendgerät, ein Transaktionsendgerät und eine Servereinrichtung.

Ein kontaktloses Transaktionssystem umfasst eine Terminaleinrichtung, die Transaktionen mit in seinem Nahbereich angeordneten Transaktionseinheiten durch kontaktloses Übertragen von Transaktionsdaten ausführt. In einer Transaktionseineinheit wird das folgende Verfahren ausgeführt. Empfangen von Transaktionsdaten der TeiTriinaleinrichtung, die von einem Weiterlei- tungsendgerät an die Transaktionseinheit weitergeleitet worden sind; und Erzeugen einer Antwort auf die empfangenen Transaktionsdaten für die Terminaleinrichtung durch eine Transaktionsapplikation, wobei die Antwort an das Weiterleitungsendgerät übertragen und von diesem an die Terminaleinrichtung weitergeleitet werden soll. Erfindungsgemäß umfasst die Transaktionseinheit eine Weiterleitungserkennung, welche anhand eines empfangenen Transaktionsendpunktsignals erkennt, dass die Transaktionsapplikation als entfernter Endpunkt einer weitergeleiteten Transaktion operiert.

Ein erfindungsgemäßes Transaktionsendgerät zum Durchführen einer Transaktion mit einer kontaktlos kommunizierenden Terminaleinrichtung umfasst daher eine Weiterleitungserkennung (Transaktionsendpunktapplikation). Diese ist eingerichtet, ein Transaktionsendpunktsignal zu empfangen und anhand des Transaktionsendpunktsignals zu erkennen, dass das Transaktionsendgerät als Transaktionsendpunkt einer Kette von Transaktionsgeräten operiert.

Vorzugsweise empfängt das Transaktionsendgerät ein Transaktionsend- punktsignal. In der Regel sendet die Servereinrichtung das Transaktionsendpunktsignal an das Transaktionsendgerät. Die Servereinrichtung ist dementsprechend eingerichtet, ein Transaktionsendpunktsignal an das Transaktionsendgerät zu senden. Alternativ kann das Transaktionsendpunktsignal jedoch auch von dem Weiterleitungsendgerät erzeugt und (direkt oder über die Servereinrichtung) zur Transaktionseinheit gesendet werden.

Anhand des Transaktionsendpunktsignals erkennt das Transaktionsendgerät, dass es als Transaktionsendpunkt einer Kette von Transaktionsgeräten operiert. Ein Nutzer des Transaktionsendgeräts kann auf diese Weise dar- über informiert werden, dass, obwohl das Transaktionsendgerät nicht unmittelbar mit einer Terminaleinrichtung verbunden ist, trotzdem eine Transaktion mit einer solchen Terminaleinrichtung - über das Weiterleitungsendgerät und die Servereinrichtung - durchgeführt werden soll. Abhängig von dem Transaktionsendpunktsignal kann der Nutzer des Transaktionsendgeräts das Ausführen der Transaktion beispielsweise auch unterbinden oder nur bedingt zulassen.

Das Transaktionsendpunktsignal kann dazu dienen, das Weiterleitungsend- gerät und/oder die Servereinrichtung zu authentisieren. D.h. das Transaktionsendpunktsignal kann Authentisierungsinf ormationen bezüglich des Weiter leitungsendgeräts und/ oder der Servereinrichtung umfassen. Die Transaktionsendpunktapplikation des Transaktionsendgeräts ist allgemein eingerichtet, anhand eines empfangenen Transaktionsendpunktsignals Transakti- onsgeräte der Kette der Transaktionsgeräte zu authentifizieren, insbesondere das Weiterleitungsendgerät und/ oder die Servereinrichtung. Ein Nutzer des Transaktionsendgeräts kann beispielsweise abhängig von der Identität des Weiterleitungsendgeräts oder der Servereinrichtung ein Durchführen der Transaktion mit der Terminaleinrichtung erlauben, beschränkt erlauben, bei- spielsweise Bezahltransaktionen betragsmäßig begrenzen, oder gänzlich unterbinden.

In dem Transaktionsendgerät können dazu Voreinstellungen getroffen und von der Transaktionsendpunktapplikation verwaltet werden. D.h. Transak- tionen mit vorgegebenen Weiterleitungsendgeräten oder mit solchen Weiter- leitungsendgeräten, welche über eine vorgegebene Servereinrichtung vermittelt worden sind, können beispielsweise generell erlaubt werden, ohne dass eine Bestätigung des Nutzers erforderlich ist. Auf der anderen Seite kann beispielsweise vorgegeben werden, dass Transaktionen, welche über be- stimmte Weiterleitungsendgeräte durchgeführt werden sollen, stets eine Bestätigung durch den Nutzer erfordern. Auf diese Weise hat ein Nutzer stets volle Kontrolle über Transaktionen, welche mittels des Transaktionsendgeräts - im Rahmen des erfindungsgemäßen Systems - durchgeführt werden, ohne dass vermeidbarer Aufwand und unnötige Verzögerungen bei der Abwicklung gewünschter Transaktionen entstehen.

Das Transaktionsendpunktsignal (TES) ist im Transaktionssystem vorgesehen für eine Unterscheidung zwischen weitergeleiteten Transaktionen mit einer entfernten Terrninaleinrichtung und lokalen Transaktionen mit einer Terminaleinrichtung im Nahbereich der Transaktionseinheit. Es ist also ein zusätzliches explizit zu diesem Zweck vorgesehenes Signal. Es wird der Transaktionseinheit vorzugsweise als Daten einer Anwendungsschicht übertragen, d.h. wie die Transaktionsdaten in einer APDU.

Die Weiterleitungserkennung führt vor dem Erzeugen der Antwort durch die Transaktionsapplikation einen vom Vorliegen einer Weiterleitung abhängigen Vorbereitungsschritt durch. Alternativ kann auch davon gesprochen werden, dass die Transaktionseinheit in einen Weiterleitungsmodus umschaltet.

Als Vorbereitungsschritt (im Weiterleitungsmodus) wird eine auf der Transaktionseinheit vorhandene Weiterleitungsabwehrmaßnahme deaktiviert. Diese teils rechenzeitaufwändigen Maßnahmen könnten den Transaktionsab- lauf verlangsamen, wenn sie unnötig durchgeführt werden.

Als Vorbereitungsschritt (im Weiterleitungsmodus) werden ferner Sicherheitsvorgaben für weitergeleitete Transaktionen in der Transaktionseinheit geprüft.

Vorzugsweise sollte die Transaktionseinheit das Transaktionsendpunktsignal vor den Transaktionsdaten empfangen, um ausreichend Zeit für eventu- eile Vorbereitungsschritte zu haben. Dieser Zeitraum kann besonders groß gestaltet werden, wenn das Transaktionsendpunktsignal in Antwort auf die ersten Transaktionsdaten der Tenriinaleinrichtung für die Transaktion, welche ohne Weiterleitung durch das Weiterleitungsendgerät beantwortet werden, erzeugt und an die Transaktionseinheit gesendet wird.

In dem Verfahren zum Durchführen einer Transaktion zwischen einer kontaktlos kommunizierenden Terminaleinrichtung und einer Transaktionseinheit über ein Weiterleitungsendgerät vermittelt eine Servereinrichtung eine zum Durchführen der Transaktion notwendige Datenkommunikationsver- bindung zwischen dem Weiterleitungsendgerät und der Transaktionseinheit.

Als Transaktionsendgerät und als Weiterleitungsendgerät kann beispielsweise ein Mobilfunkendgerät, ein Smartphone, Notebook oder dergleichen verwendet werden. Die Datenkommunikation zwischen dem Weiterleitungs- endgerät und der Servereinrichtung sowie zwischen der Servereinrichtung und dem Transaktionsendgerät kann beispielsweise über ein geeignetes Kommunikationsnetzwerk, z.B. ein Mobilfunknetz, das Internet oder dergleichen erfolgen. Die Datenkommunikation zwischen der Terminaleinrichtung und dem Weiterleitungsendgerät und sowie zwischen dem Transakti- onsendgerät und einem portablen Datenträger erfolgt in der Regel über eines der vorstehend genannten, bekannten kontaktlosen Datenübertragungsprotokolle, wie beispielsweise ISO/IEC 4443, ISO/IEC 18092 (NFCIP-1) oder ISO/IEC 21481 (NFCIP-2). Das Transaktionssystem umfasst in der Regel eine Mehrzahl von Weiterlei- tungsendgeräten, eine Mehrzahl von - auch unterschiedlichen - Terminaleinrichtungen sowie eine Mehrzahl von Transaktionsendgeräten, welche wiederum jeweils selbst eingerichtet sein können, eine Mehrzahl von Transakti- onsapplikationen auszuführen und alternativ oder zusätzlich dazu mit verschiedenen portablen Datenträgern verbunden zu werden.

Im Rahmen des beschriebenen Transaktionssystems kann es vorgesehen sein, dass sich ein Weiterleitungsendgerät und eine Transaktionseinheit jeweils einmalig bei der Servereinrichtung registriert. Das jeweilige Gerät überträgt bei der Registrierung bei der Servereinrichtung beispielsweise eine eindeutige Kennung an die Servereinrichtung, mittels derer die Servereinrichtung im Folgenden das jeweilige Gerät identifizieren oder adressieren kann. Als Kennung kann beispielsweise eine Mobilfunknummer, eine IP- Adresse oder dergleichen verwendet werden.

Während der Registrierung kann beispielsweise bereits festgelegt werden, welches Weiterleitungsendgerät über die Servereinrichtung zum nachfolgenden Durchführen einer Transaktion mit welchem Transaktionsendgerät oder welchen Transaktionsendgeräten potentiell verbunden kann oder soll. Wird eine solche Paarung von Weiterleitungsendgerät und Transaktionsendgerät in dieser Phase gebildet, kann die Servereinrichtung dem Weiterleitungsendgerät bereits zu diesem Zeitpunkt Daten betreffend das Transaktionsendgerät bereitstellen, welche das Weiterleitungsendgerät später beim Aufbauen einer Datenkommunikationsverbindung mit der Terminaleinrichtung verwenden kann.

Wie bereits erwähnt, kann das Transaktionsendgerät eine zum Durchführen der Transaktion notwendige Transaktionsapplikation selbst umfassen und die Transaktion auf der Basis von unter Vermittlung der Servereinrichtung über das Weiterleitungsendgerät von der Terminaleinrichtung empfangenen Transaktionsdaten durchführen. Alternativ oder zusätzlich kann das Transaktionsendgerät zum Durchführen der Transaktion eine Datenkommunikation mit einem portablen Datenträger aufbauen, welcher eine zum Durchführen der Transaktion notwendige Transaktionsapplikation umfasst. Dabei führt der Datenträger die Transaktion auf der Basis von unter Vermittlung der Servereinrichtung über das Wei- terleirungsendgerät von der Terminaleinrichtung empfangenen Transaktionsdaten durch.

Das Weiterleitungsendgerät kann eingerichtet sein, eine Auswahlinformation zum Auswählen eines vorgegebenen Transaktionsendgeräts an die Server- einrichtung zu senden. Diese Aus Wahlinformation kann beispielsweise ein Transaktionsendgerät eines bestimmten Nutzers bezeichnen. In diesem Fall ist dem Nutzer des Weiterleitungsendgeräts in der Regel bekannt, dass das ausgewählte Transaktionsendgerät die von der Terminaleinrichtung angeforderte Transaktionsapplikation unterstützt. Die Servereinrichtung ist dem- entsprechend eingerichtet, die Datenkommunikationsverbindung zu dem durch die Auswahlinformation vorgegebenen Transaktionsendgerät zu vermitteln.

Alternativ oder zusätzlich kann das Weiterleitungsendgerät eingerichtet sein, eine Transaktionsinformation hinsichtlich einer auszuführenden Transaktion an die Servereinrichtung zu senden. In diesem Fall gibt das Weiterleitungsendgerät lediglich vor, dass eine Vermittlung an ein beliebiges Transaktionsendgerät gewünscht wird, welches die bezeichnete Transaktion unterstützt. Die Servereinrichtung ist eingerichtet, die Datenkommunikation zu einem solchen Transaktionsendgerät zu vermitteln, welches eine der Transaktion zugeordnete Transaktionsapplikation bereitstellt.

Allgemein kann die Servereinrichtung eingerichtet sein, ein Transaktions- endgerät auf Verfügbarkeit zu prüfen und gegebenenfalls zu aktivieren. Dies ist in der Regel lediglich dann möglich, wenn das entsprechende Transaktionsendgerät vorab bei der Servereinrichtung registriert worden ist.

Wie bereits angedeutet, kann die Servereinrichtung dem Weiterleitungsend- gerät und/ oder dem Transaktionsendgerät Transaktionsinitialisierungsdaten bereitstellen, vorzugsweise vor dem Durchführen einer Transaktion, beispielsweise bei einer vorstehend beschriebenen Registrierung. Transaktions- initialisierungsdaten können transaktionsunabhängig oder transaktionsabhängig sein.

Ein erfindungsgemäßes Transaktionssystem umfasst, wie bereits beschrieben, eine kontaktlos kommunizierende Terminaleinrichtung, ein Weiterlei- tungsendgerät, eine erfindungsgemäße Servereinrichtung sowie ein erfindungsgemäßes Transaktionsendgerät zum Durchführen eines erftndungs- gemäßen Verfahrens.

Im Folgenden wird die Erfindung mit Bezug auf die beiliegenden Zeichnungen beispielhaft beschrieben. Darin zeigen: Figur 1 eine Ausführungsform eines Transaktionssystems;

Figur 2 schematisch verschiedene Sicherheitselemente eines Weiterlei- tungsendgeräts; Figur 3 einen Ausschnitt der internen Struktur des Weiterleitungsend- geräts aus Fig. 2;

Figur 4 einen Ausschnitt der internen Struktur eines Transaktionsend- geräts in Verbindung mit einem portablen Datenträger;

Figur 5 einen Überblick über wesentliche Schritte eines Transaktionsverfahrens (Registrierung, Anmeldung, Transaktion); Figuren 6 und 7 einzelne Schritte im Rahmen der Transaktion aus Fig. 5 zwischen einer Terminaleinrichtung und weiteren an der Transaktion beteiligten Geräten.

Mit Bezug auf Fig. 1 umfasst das gezeigte Transaktionssystem 10 eine Termi- naleinrichtung 100, ein Weiterleitungsendgerät 200, eine Servereinrichtung 300, ein Transaktionsgerät 400 sowie einen portablen Datenträger 500.

In nachstehend beschriebenen Ausführungsformen des Transaktionssystems 10 können einzelne der Komponenten, beispielsweise der Datenträger 500 oder dieser und das Transaktionsendgerät 400 wegfallen.

Der Übersichtlichkeit halber ist in Fig. 1 jede der Komponenten nur einmal dargestellt worden. In der Regel umfasst das Transaktionssystem 10 aber eine oder wenige, miteinander verbundene Servereinrichtungen 300, eine Mehrzahl von Terminaleinrichtungen 100, eine Mehrzahl von Weiterlei- tungsendgeräten 200 und gegebenenfalls eine Mehrzahl von Transaktionsendgeräten 400, wobei jedes dieser Transaktionsendgeräte 400 optional mit einer Mehrzahl von portablen Datenträgern 500 verbunden werden kann. Eine Terminaleinrichtung 100 ist eingerichtet, über eine kontaktlose Datenkommunikation eine Transaktion mit einem dafür eingerichteten Gerät durchzuführen. Dabei muss dieses Gerät in der Lage sein, eine Datenkommunikation mit der Terminaleinrichtung 100 aufzubauen und eine Transak- tionsapplikation bereitzustellen, welche einer von der Terminaleinrichtung 100 vorgegebenen Transaktion zugeordnet ist. Die Terminaleinrichtung 100 kann beispielsweise als Zugangskontrollsystem, als Fahrkartenterminal im ÖPNV, als Bezahlterminal oder dergleichen eingerichtet sein. Die entsprechende Transaktion entspricht dann einer Authentisierungsapplikation, eventuell verbunden mit dem Nachweis eines geleisteten Eintrittspreises, oder die Bezahlapplikation einer vorgegebenen Dienstleistung, beispielsweise der Nutzung öffentlicher Verkehrsmittel oder dergleichen. Im Rahmen einer Bezahlapplikation wird dann beispielsweise eine elektronische Börse, welche auf der Transaktionseinheit gespeichert ist, belastet.

Es ist bekannt, als Geräte zum Durchführen solcher Transaktionen kontaktlos kommunizierende portable Datenträger 500, beispielsweise Chipkarten, zu verwenden. Die entsprechende Transaktionsapplikation ist dabei jeweils auf einem solchen Datenträger 500 gespeichert. In der Regel wird für jede der zahlreichen, verschiedenen Transaktionen, welche gegenüber einer Terminaleinrichtung 100 der beschriebenen Art durchgeführt werden kann, ein eigener, der entsprechenden Terminaleinrichtung 100 zugeordneter Datenträger 500 bereitgestellt. Dies hat zur Folge, dass ein Nutzer, möchte er verschiedene Transaktionen bei verschiedenen Terminals durchführen, jeweils die dazugehörigen portablen Datenträger bei sich tragen muss. Zusätzlich ist darauf zu achten, dass entsprechende Börsen, welche bei Bezahltransaktionen belastet werden, stets eine ausreichende Deckung aufweisen. Alternativ können einzelne der Transaktionsapplikationen ausführbar auf einem Transaktionsendgerät 400, beispielsweise einen Mobilfunkendgerät, installiert werden. Dieses kann dann, eine geeignete Datenkommunikationsschnittstelle vorausgesetzt, gegenüber der Terminaleinrichtung 100 wie ein Datenträger 500 auftreten und eine gewünschte Transaktion durchführen. Für den Nutzer ist hier nachteilig, dass eine gewünschte Transaktionsapplikation zumeist im Vorfeld installiert und gegebenenfalls eine dazugehörige Börse aufgeladen werden muss. Eine spontane Nutzung, insbesondere eine erstmalige oder nur einmalige Nutzung einer bisher unbekannten Transakti- onsapplikation, beispielsweise die Nutzung eines öffentlichen Verkehrsmittels in einer fremden, erstmals besuchten Stadt, ist dann nicht möglich, da die entsprechende Transaktionsapplikation auf dem mitgeführten Transaktionsendgerät 400 nicht installiert ist. Das in Fig. 1 dargestellte Transaktionssystem 10 kann vorteilhafte, nachstehend beschriebene Transaktionsverfahren unterstützen, mittels welcher die beschriebenen Nachteile bekannter Transaktionssysteme vermieden werden können. Ein Weiterleitungsendgerät 200 ist im Nahbereich der Terminaleinrichtung 100 angeordnet und eingerichtet, eine Datenkommunikationsverbindung mit der Terminaleinrichtung 100 aufzubauen. Eine Transaktion betreffende Transaktionsdaten werden von dem Weiterleitungsendgerät 200 nicht verarbeitet, sondern an eine entfernt angeordnete Transaktionseinheit weiter ge- leitet. Entsprechend ist das Weiterleitungsendgerät 200 eingerichtet, von der Transaktionseinheit empfangene Daten an die Terrriinaleinrichtung 100 weiterzuleiten. Das Weiterleitungsendgerät 200 umfasst zu diesem Zweck eine Weiterleitungsapplikation 280, welche mit Bezug auf Fig. 3 genauer beschrieben wird. Abhängig von der Ausgestaltung können sowohl die Server- einrichtung 300, das Transaktionsendgerät 400 als auch der portable Datenträger 500 können die Transaktionseinheit sein. Die konkrete Darstellung in Figur 1 ist ausgerichtet an dem Beispiel des Weiterleitens der Transaktionsdaten von dem Weiterleitungsendgerät 200 über die Servereinrichtung 300 und das Transaktionsendgerät 400 zu dem portablen Datenträger 500 als Transaktionseinheit.

Die Datenkommunikation zwischen der Terminaleinrichtung 100 und dem Weiterleitungsendgerät 200 wird gemäß einem bekannten kontaktlosen (Nahbereichs-)Kommunikationsprotokoll durchgeführt, beispielsweise gemäß ISO/IEC 14443, wie es im Zusammenhang mit kontaktlos kommunizierenden Chipkarten bekannt ist, oder gemäß einem der NFC-Protokolle („Near Field Communication"; ISO/IEC 18092 (NFCIP-1); ISO/IEC 21481 (NFCIP-2)). Das Weiterleitungsendgerät 200 umfasst dazu eine geeignete Datertkoirimurukatioraschnittstelle 210, welche nachstehend mit Bezug auf Fig. 2 beschrieben wird.

Gegenüber der Terminaleinrichtung 100 gibt sich das Weiterleitungsendgerät 200 in gewisser Weise als portabler Datenträger aus, operiert also in einem Modus„being card". Dieser Modus wird von der Datenkommunikationsschnittstelle 210 genauso unterstützt wie ein Modus„being reader", in welchem sich das Gerät gegenüber einem portablen Datenträger 500 als Terminaleinrichtung ausgeben kann. In analoger Weise wird die Datenkommunikation zwischen dem Transaktionsendgerät 400 und dem portablen Datenträger 500 hergestellt. Das Transaktionsendgerät 400 besitzt dazu eine der Daterücorrununikationsschnittstelle 210 entsprechende DatenkonTmurukationsschnittstelle 410 (vgl. Fig. 4). Allerdings operiert hier das Transaktionsendgerät 400 gegenüber dem portab- len Datenträger 500 als Terminal. Die bekannten technischen Details finden sich beispielsweise im„RFID-Handbuch", 5. Auflage, Hanser Verlag, München 2008, Kap. 11.6). Gemäß einer alternativen Ausführungsform kann der Datenträger 500 auch als kontaktbehaftet kommunizierender Datenträger ausgebildet sein, welcher mit dem Transaktionsendgerät 400 in bekannter Weise über ein geeignetes Lesegerät verbunden werden kann.

Die Datenkommunikation zwischen dem Weiterleitungsendgerät 200 und der Servereinrichtung 300 sowie, falls erforderlich, zwischen der Serverein- richtung 300 und dem Transaktionsendgerät 400, wird über ein geeignetes, bekanntes Kommunikationsnetzwerk hergestellt. Exemplarisch sind in Fig. 1 ein Mobilfunknetzwerk 1000 oder das Internet 2000 dargestellt.

Die Servereinrichtung 300 umf asst verschiedene Komponenten. Eine Regist- rierungsservereinrichtung 310 dient dazu, verschiedene Weiterleitungsend- geräte 200 und/ oder Transaktionsendgeräte 400 im Transaktionssystem 10 zu registrieren.

Ein Weiterleitungsendgerät 200 oder ein Transaktionsendgerät 400, welches Teil des Transaktionssystems 10 werde möchte, kann sich in einem Registrierungsschritt bei der Servereinrichtung 300 registrieren. Das Weiterleitungsendgerät 200 bzw. das Transaktionsendgerät 400 kann dazu mit einer Registrierungsapplikation ausgestattet sein, welche eine Verbindung zu der Servereinrichtung 300 aufbaut. Eine solche Anwendung kann auf einem Sicher- heitselement des entsprechenden Geräts 200, 400 installiert sein (vgl. Fig. 2).

Dabei können für jedes der Geräte 200, 400 Registrierungsdaten gespeichert werden, beispielsweise eine eindeutige Kennung des Geräts 200, 400, eine Mobilfunknummer, eine IP- Adresse oder dergleichen. Anhand dieser Daten kann die Servereinrichtung 300 das Gerät 200, 400 nachfolgend authentifizieren und gegebenenfalls adressieren.

Prinzipiell kann ein geeignet ausgestattetes Endgerät 200, 400, beispielsweise ein Mobilfunkendgerät, in dem Transaktionssystem 10 sowohl die Rolle eines Weiterleitungsendgeräts 200 als auch die Rolle eines Transaktionsendgeräts 400 spielen. Im Rahmen der Registrierung kann eine entsprechende Rollenauswahl getroffen werden, wobei ein Endgerät auch beide Rollen, wenn auch nicht im Rahmen derselben Transaktion, einnehmen kann. Weiter kann festgelegt werden, welches Weiter leitungsendgerät 200 mit welchem Transaktionsendgerät 400 zum Durchführen einer Transaktion prinzipiell vermittelt werden darf. Dabei kann ein Transaktionsendgerät 400 beispielsweise im Rahmen der Registrierung festlegen, dass lediglich eine fest vorgegebene Auswahl von eindeutig identifizierten Weiterleitungsendgeräten 200 in nachstehend beschriebener Weise auf eine Transaktionsapplikation des

Transaktionsendgeräts 400 oder eines damit verbundenen Datenträgers 500 zugreifen darf. Auf der anderen Seite kann ein Weiterleitungsendgerät 200 beispielsweise festlegen, dass die von ihm weitergeleiteten Transaktionsdaten von der Servereinrichtung 300 stets, falls verfügbar, an ein voreingestell- tes Transaktionsendgerät 400 weitergeleitet werden sollen. Die beschriebenen Registrierungsdaten werden von der Registrierungsservereinrichtung 310 gespeichert und verwaltet.

In einem weiteren, nachfolgend beschriebenen Schritt, wenn sich ein Weiter- leitungsendgerät 200 bei der Servereinrichtung 300 anmeldet, um in Vorbereitung einer Transaktion mit einer Terminaleinrichtung 100 erforderliche Transaktionsinitialisierungsdaten anzufordern, stellt die Servereinrichtung 300 dem Weiterleitungsendgerät 200 diese Transaktionsinitialisierungsdaten bereit. Dies kann auch bereits im Rahmen der Registrierung erfolgen. Inhalt und Bedeutung der Transaktionsinitialisierungsdaten werden nachfolgend genauer beschrieben.

Eine Update-Servereinrichtung 320 dient dazu, auf dem Weiterleitungsend- gerät 200 oder dem Transaktionsendgerät 400 zum Durchführen einer Transaktion im Rahmen des beschriebenen Transaktionssystems 10 gespeicherte Daten gegebenenfalls zu aktualisieren. Dies kann beispielsweise die Weiter- leitungsapplikation 280, 480 betreffen oder einzelne Transaktionsinitialisie- rungsdaten. Eine solche Aktualisierung erfolgt in der Regel über die Luft- schnittestelle („over the air", OTA) und wird von einem Nutzer des entsprechenden Endgeräts 200, 400 nicht bemerkt.

Eine Applikationsservereinrichtung 330 stellt eine Reihe verschiedener Transaktionsapplikationen 370 bereit. Mittels dieser Applikationsserverein- richtung 330 stellt die Servereinrichtung 300 die Funktionalität einer Transaktionseinheit bereit. Die Applikationsservereinrichtung 330 umfasst eine Vielzahl portabler Datenträger 350, die jeweils zumindest einen Transaktionstyp unterstützen, also eine Transaktionsapplikationen 370 für diesen Transaktionstyp aufweisen. Für unterschiedliche Transaktionstypen stellt die Servereinrichtung entsprechend unterschiedliche portable Datenträger 350 bereit. Somit kann die Applikationsservereinrichtung 330 durch eine Vielzahl herkömmlicher portabler Datenträger 350 in die Lage versetzt werden unterschiedlichste Transaktionstypen durchzuführen. Die Servereinrichtung 300 verwaltet Daten zu den Transaktionseinheiten, die weitergeleitete Transaktionsdaten verarbeiten können. Sie speichert die Daten beispielsweise in der Form einer Liste der Transaktionseinheiten. Zugeordnet zu der Transaktionseinheit wird eine (Weiterleitungs-) Adresse gespeichert. Die Weiterleitungsadresse ist geeignet, um (durch das Weiterlei- tungsendgerät 200 oder die Servereinrichtung 300) eine Datenkommunikation (über ein Netzwerk 1000,2000) mit der Transaktionseinheit aufzubauen. Insbesondere wird für die Transaktionseinheiten angegeben, welchen Transaktionstyp oder welche Transaktionstypen sie unterstützen. Ferner wird ein für die Transaktionseinheit, zumindest für den Transaktionstyp, eindeutiger Identifikator gespeichert. Schließlich können weiterhin eine Benutzerzuordnung zu den Transaktionseinheiten und ggf. benutzerspezifische Vorgaben für die Transaktionseinheiten gespeichert sein. Diese verwalteten Daten werden vorzugsweise von der Registrierungsservereinrichtung 310 erfasst.

Die Servereinrichtung 300 ist durch die Vermittlungsservereinrichtung 340 eingerichtet, um eine Transaktionseinheit aus den gespeicherten Transaktionseinheiten auszuwählen. Die Auswahl erfolgt abhängig von einem oder einer Kombination der folgenden Auswahlparameter: dem Weiterleitungs- end gerät 200 (bzw. dessen Benutzer und/ oder Standort), dem Transaktionstyp oder Vorgaben des Besitzer der Transaktionseinheit. Das Auswählen erfolgt vorzugsweise auf Anfrage durch ein Weiterleitungsendgerät 200. Es ist aber auch möglich vorab eine Transaktionseinheit, beispielsweise für einen bestimmten Transaktionstyp auf einem Weiterleitungsendgerät an einem bekannten Standort, auszuwählen.

Die Vermittlungsservereinrichtung 340 kann dem Weiterleitungsendgerät die Weiterleitungsadresse der ausgewählten Transaktionseinheit mitteilen. Das Weiterleitungsendgerät 200 wird mit Hilfe der Weiterleitungsadresse eine Datenkommunikation mit der ausgewählten Transaktionseinheit aufbauen. In der Figur 1 wurde jedoch darauf verzichtet darzustellen, dass das Weiterleitungsendgerät 200 somit über das Mobilfunknetz 1000 und/ oder das Internet 2000 eine von dem Server 300 unabhängige Verbindung zu dem Transaktionsendgerät 400 bzw. dem portablen Datenträger 500 aufbauen kann. In einem eher extremen Sonderfall könnte die Servereinrichtung 300 dem Weiterleitungsendgerät 200 sogar mitteilen, dass - trotz vorhandener Weiterleitungsoption - eine lokal auf dem Weiterleitungsendgerät 200 gespeicherte Applikation, z.b. die Applikation AID1 des Sicherheitselements 220, die Transaktion durchführen soll.

Die Vermittlungsservereinrichtung 340 ist ferner eingerichtet, für eine Transaktion über das Weiterleitungsendgerät 200 von der Terminaleinrichtung 100 weitergeleitete Transaktionsdaten an eine ausgewählte oder auszuwählende Transaktionseinheit 450,500 weiterzuleiten. Die Vermittlungsservereinrichtung 340 stellt somit zum Durchführen einer Transaktion im Rahmen des Transaktionssystems 10 eine indirekte Datenkommunikations Verbindung zwischen einem Weiterleitungsendgerät 200 und dem Transaktionsendgerät 400 her. Entsprechend muss die Weiterleitungsadresse in dieser Ausgestal- tung dem Weiterleitungsendgerät 200 nicht mitgeteilt werden.

In Fig. 2 ist eine mögliche Sicherheitsstruktur eines Endgeräts 200, 400 am Beispiel des Weiterleitungsendgeräts 200 gezeigt. Das Transaktionsendgerät 400 kann gleich oder ähnlich ausgestattet sein.

Zahlreiche Transaktionen zwischen der Terminaleinrichtung 100 und der Servereinrichtung 300, dem Transaktionseinheit 450 oder dem Datenträger 500 verwenden und verarbeiten sicherheitsrelevante oder vertrauliche Daten eines Nutzers, beispielsweise Authentisierungsdaten, Geldbeträge oder der- gleichen. Deshalb ist es wesentlich, dass die Transaktion betreffende Transaktionsdaten in den jeweiligen Geräten 200, 400, welche die Transaktionsdaten weiterleiten oder verarbeiten, sicher gespeichert und verwaltet werden. Dazu umfassen die entsprechenden Endgeräte 200, 400 verschiedene Sicher- heitselemente(-module) . Die Datenkoiruiiuiükatiorisschnittstelle 210, welche als NFC-Interface ausgebildet ist, kann selbst bereits ein Sicherheitselement umfassen, beispielsweise in Form einer sicheren Speicherkarte (nicht gezeigt).

Als weiteres Sicherheitselement umfasst ein als Mobilfunkendgerät ausgebildetes Endgerät 200 eine (U)SIM-Mobilfunkkarte 220. Diese kann selbst über eine eigene Antenne (nicht gezeigt) verfügen oder mit der Datenkommunikationsschnittstelle 210 verbunden sein und dieser gegebenenfalls als Sicherheitselement dienen.

Ein Controller 230 des Endgeräts 200 kann einen hardwareunterstützten, softwarebasiert gesicherten Bereich umfassen (beispielsweise gemäß der ARM-TrustZone-Technologie), welcher ein weiteres Sicherheitselement be- reitstellt. Sicherheitsrelevante Daten können in diesem gesicherten Bereich unter einem im Wesentlichen eigenen Sicherheitsbetriebssystem gesichert verarbeitet werden.

Schließlich kann das Endgerät 200 weitere bekannte Sicherheitselemente um- fassen, beispielsweise eine sichere Speicherkarte 250 oder dergleichen.

Schematisch sind in Fig. 3 Anteile der internen Struktur des Weiterleitungs- endgeräts 200 und in Fig. 4 des Transaktionsendgeräts 400 gezeigt. Die dem Weiterleitungsendgerät 200 von Fig. 3 als Sicherheitselement dienende SIM-Karte 220 umfasst eine aus dem Bereich der Chipkarten bekannte Datei EF_DIR. Darin enthaltene Daten, so genannte Applikations- Identifizierer (AIDs), zeigen an, welche Applikationen von dem Gerät 200 bzw. dessen SIM-Karte 220 unterstützt werden. Wenn also beispielsweise die Terminaleinrichtung 100 eine Datenkommunikations Verbindung mit dem Weiterleitungsendgerät 200 aufbaut und die Datei EF_DIR ausliest, geht die Terminaleinrichtung 100 davon aus, dass das Weiterleitungsendgerät 200 diejenigen Applikationen bereitstellt, die durch die Identifizier er AID1, AID2, AID3 und AID4 bezeichnet sind.

Tatsächlich unterstützt das Weiterleitungsendgerät 200, wie in Fig. 3 angedeutet, selbst lediglich eine Transaktionsapplikation 270, welche mit AID1 identifiziert wird. Die Einträge AID2, AID3 und AID4 sind dem Weiterlei- tungsendgerät 200 in einem nachfolgend näher beschriebenen Anmeldungsschritt von der Servereinrichtung 300 als Transaktionsinitialisierungsdaten 260 bereitgestellt worden. Eine Terminaleinrichtung 100, welche zum Durchführen einer Transaktion auf dem Weiterleitungsendgerät 200 beispielsweise eine mit AID3 bezeichnete Transaktionsapplikation erwartet, geht vorliegend davon aus, dass das Weiterleitungsendgerät 200 diese Transaktionsapplikation unterstützt und sendet entsprechende Transaktionsdaten, beispielsweise in Form von bekannten Kommando- APDUs. Da das Weiterleitungsendgerät 200 die Funktionalität bezüglich der mit AID3 bezeichneten Transaktionsapplikation mittels des Eintrags in der Datei EF_DIR nur„vortäuscht", leitet das Weiterleitungsendgerät 200 die empfangenen Kommandos mittels der Weiterleitungsapplikation 280 an die Servereinrichtung 300 oder eine Transaktionseinheit 400, 500 weiter (vgl. auch Fig. 7).

Wie auch anhand der weiteren Ausführungen deutlich wird, leitet das Wei- terleitungsendgerät Transaktionsdaten abhängig vom Transaktionstyp an unterschiedliche Transaktionseinheiten weiter. Die entsprechenden Transaktionsapplikationen sind enthalten in der Servereinrichtung 300 für die AID4 und AID5, in dem Transaktionsendgerät 400 für AID2 und in dem portablen Datenträger 500 für AID3. In Figur 3 ist die Liste der von dem Weiterleitungsendgerät unterstützten Transaktionstypen, in Form der Datei EF_DIR 260, im Sicherheitselement 220 des Weiterleitungsendgerätes 200 gespeichert. Die Liste kann aber ebenso wie die Weiterleitungsapplikation in anderen Einheiten des Weiterleitungsendgerätes 200 vorgesehen sein. Die Liste enthält echte Einträge, der tatsächlich lokal vorhandenen Transaktionsapplikationen, sowie virtuelle Einträge, der (nicht lokal vorhandenen bzw. nur) mittels Weiterleitung verfügbaren Transaktionsapplikationen.

Das Weiterleitungsendgerät leitet die Transaktionsdaten transparent, d.h. unverändert weiter. Daher kann auf das Sicherheitselement 220 für die Weiterleitung verzichtet werden. In der Regel wird im Rahmen der Transaktion zwischen der Teminaleinrichtung 100 und der Transaktionseinheit 300, 400, 500 ein sicherer Kanal aufgebaut, d.h. es findet eine Ende-zu-Ende Verschlüsselung statt. Das Sicherheitselement 220 ist jedoch ein geeigneter Speicher beispielsweise für die Anmeldungsdaten (Accountdaten) zur Anmeldung des Weiterleitungsendgerätes 200 gegenüber dem Server 300. Wie bereits erwähnt könnten zumindest die virtuellen Einträge der Liste 260 - vorzugsweise vorab - von der Servereinrichtung 300 zur Verfügung gestellt werden. Die Liste 260 kann dabei von der Servereinrichtung 300 dynamisch an einen Aufenthaltsort des Weiterleitungsendgeräts 200 angepasst werden und ggf. in Antwort auf einen Ortswechsel aktualisiert werden. Die Server- einrichtung 300 kann das Weiterleitungsendgerät nur die virtuellen Einträge oder die vollständige Liste mit virtuellen und echten Einträgen verwalten. Speichern wird die Servereinrichtung 300 für jedes Weiterleitungsendgerät 200 nur die echten Einträge und ggf. einen Verweis auf den aktuell gespeicherten Satz virtueller Einträge. Die Liste 260 bzw. zumindest deren virtuelle Einträge können auch nur bei Bedarf durch das Weiterleitungsendgerät 200 vom Server 300 abgefragt, also nicht vorab bereitgestellt, werden.

Wie nachfolgend beschrieben, kann eine Transaktionsapplikation auf der Servereinrichtung 300, mittels der Applikationsservereinrichtung 330, falls diese den fraglichen Transaktionstyp (beispielsweise durch die Applikation 370, bezeichnet mit AID4, vgl. Fig. 1) unterstützt, durchgeführt werden.

Falls nicht, ist die Vermittlungsserverapplikation 340 eingerichtet, die Trans- aktionsdaten an ein geeignetes, in nachstehend beschriebener Weise vermitteltes Transaktionsendgerät 400 weiterzuleiten. Falls das Transaktionsendgerät 400 bzw. dessen Sicherheitselement 450 die entsprechende Transaktionsapplikation 470, bezeichnet mit AID2, wie in Fig. 4 angedeutet, unterstützt, wird die Transaktionsapplikation 470 dort ausgeführt und ein entsprechen- des Antwortkommando wird über die Vermittlungsservereinrichtung 340 der Servereinrichtung 300 und mittels der Weiterleitungsapplikation 280 des Weiterleitungsendgeräts 200 an die Terminaleinrichtung 100 übertragen.

Falls auch das Transaktionsendgerät 400 die angeforderte Transaktion nicht selbst unterstützt, jedoch der Datenträger 500, wie für den Fall der Anforderung der Transaktionsapplikation AID3 in Fig. 4 angedeutet, kann eine Weiterleitungsapplikation 480 des Transaktionsendgeräts 400, welche im Wesentlichen der Weiterleitungsapplikation 280 des Weiterleitungsendgeräts 200 entspricht, die Transaktionsdaten (in der Form einer Kommando- APDU) an den Datenträger 500 weiterleiten (vgl. auch Fig. 7). Dort wird dann schließlich die Transaktionsapplikation AID3 ausgeführt. Ein entsprechende Antwort (Antwort- APDU) findet seinen Weg an die Terminaleinrichtung über das Transaktionsendgerät 400, die Servereinrichtung 300 und das Weiterleitungsendgerät 200 unter Vermittlung der Weiterleitungsapplikation 480, der Vermittlungsservereinrichtung 340 und der Weiterleitungsapplika- tion 280.

Figur 4 zeigt Komponenten eines Transaktionsendgerätes 400 sowie den por- tablen Datenträger 500. In dem Transaktionsendgerät sind unter anderem ein Sicherheitselement 450, das ebenso wie zuvor beschrieben ausgestaltet sein kann, und eine Schnittstelle zur kontaktlosen Nahbereichskommunikation 410 auf. Über die Schnittstelle 410 kann das Transaktionsendgerät beispielsweise mit dem Datenträger 500 kontaktlos kommunizieren. Das Transakti- onsendgerät 400 kann, ähnlich wie das Weiterleitungsendgerät ein mobiles Endgerät, wie ein Mobilfunkgerät, ein PDA oder Notebook sein. Als Transaktionsendgerät kann aber auch ein stationäres Gerät, wie ein PC, Netzwerkrechner oder ein Kartenlesegerät, dienen. In dem Sicherheitselement 450 des Transaktionsendgerätes 400 ist eine Transaktionsapplikation 470 mit der AID2 angeordnet. Im Sicherheitselement 450 sind in der dargestellten Ausgestaltung weiterhin eine Weiterlei- tungsapplikation 480 und eine Weiterleitungserkennung 420 angeordnet. Insbesondere die Weiterleitungsapplikation 480 wird in der Regel jedoch nicht im Sicherheitselement, sondern in dem Transaktionsendgerät 400 angeordnet sein.

Die Weiterleitungsapplikation 480 leitet die von dem Weiterleitungsendgerät 200 empfangenen Transaktionsdaten (Kommando- APDUs) an die Applikati- on 470 mit der AID2 im Sicherheitselement oder an die Applikation mit der AID3 im portablen Datenträger 500 weiter. Die Antwort (Antwort-APDUs) der Applikation sendet sie zurück an das Weiterleitungsendgerät 200. Der Übertragungsweg kann dabei mit oder ohne Einbindung der Servereinrichtung 300 ausgestaltet sein. Die Transaktionsapplikation 470 des Sicherheitselements 450 ist eingerichtet über die Schnittstelle 410 kontaktlose Transaktionen mit nicht dargestellten Terminaleinrichtungen durchzuführen. Wie die Terminaleinrichtung 100 geht also die Transaktionsapplikation 470 davon aus, dass sie an einer lokalen Transaktion im Nahbereich beteiligt ist. Diese Annahme gilt ebenso für den tragbaren Datenträger 500, der als lokaler Transaktionspartner im Nahbereich beispielsweise mit dem Transaktionsendgerät 400 (im Modus„Being Reader") agieren kann. Der an der Transaktion beteiligten Transaktionsein- heit 450, 500 wird daher vorliegend ein Transaktionsendpunktsignal übertragen. Das Transaktionsendpunktsignal ist vorgesehen, um der Transaktionseinheit 450, 500 zu signalisieren dass sie die Transaktion als entfernt angeordneter Endpunkt einer weitergeleiten Transaktion durchführt. In diesem Kontext werden nähere Details zur Weiterleitungserkennung 420 später mit Bezug auf Fig. 7 beschrieben.

Im Folgenden werden verschiedene Ausführungsformen eines Transaktionsverfahrens auf der Basis des mit Bezug auf die Figuren 1 bis 4 beschriebenen Transaktionssystems 10 beschrieben. Aufgrund der bereits geschilder- ten Vielzahl von Varianten, wird die jeweilige Ausgestaltung nur beispielhaft beispielsweise ausgehend von einer der Varianten beschrieben.

In Fig. 5 sind wesentliche Schritte bzw. Phasen eines Transaktionsverfahrens im Überblick dargestellt. Insbesondere die Phasen der Registrierung Sl, An- meidung S2 und Transaktion S3 können zeitlich unabhängig voneinander ablaufen. Beispielsweise erfolgt nach einmaliger Registrierung Sl täglich die Anmeldung S2 und danach beliebig oft Transaktionen S3. In einem ersten Schritt Sl, einem Registrierungsschritt, ist es erforderlich, dass sich das Weiterleitungsendgerät 200 und die Transaktionseinheiten 400, 500 bei der Servereinrichtung 300 registrieren. Dieser Schritt ist bereits vorstehend mit Bezug auf die Registrierungsservereinrichtung 310 ausführlich beschrieben worden.

In Schritt S2 meldet sich ein Endgerät 200, 400, insbesondere ein Weiterleitungsendgerät 200, bei der Servereinrichtung 300 für eine nachfolgende Transaktion (vgl. Schritt S3) an. Dabei wird in Teilschritt TS21 die Rolle des Endgeräts für die Transaktion festgelegt, d.h. es wird bestimmt, ob ein Endgerät als Weiterleitungsendgerät 200 oder als Transaktionsendgerät 400 an der Transaktion beteiligt ist. Dieser Teilschritt kann gegebenenfalls auch bereits während der Registrierung durchgeführt werden, falls ein Gerät stets nur als Weiterleitungsendgerät 200 oder nur als Transaktionsendgerät ope- rieren möchte.

In Teilschritt TS22 stellt die Servereinrichtung dem Weiterleitungsendgerät 200 Transaktionsinitialisierungsdaten bereit. Diese dienen dazu, ein Aufbauen einer Datenkommunikation zwischen einer Terminaleinrichtung 100 und dem Weiterleitungsendgerät 200 in Teilschritt TS31 während einer Initialisierungsphase zu ermöglichen bzw. zu erleichtern.

Um die Bedeutung der Transaktionsinitialisierungsdaten besser erläutern zu können, wird im Folgenden mit Bezug auf Fig. 6 kurz der Verlauf während einer solchen Initialisierungsphase zum Aufbau der entsprechenden Datenkommunikationsverbindung beschrieben, bevor, dann wieder mit Bezug auf Fig. 5, verschiedene Arten von Transaktionsinitialisierungsdaten beschrieben werden. Eine Terminaleinrichtung 100 erwartet für gewöhnlich als Transaktionspartner einen kontaktlos kommunizierenden Datenträger 500. Demgemäß ist der Ablauf beim Aufbau der Datenkommunikationsverbindung, wie er in Fig. 6 in den Schritten Tl bis T8 dargestellt wird, für den Fall illustriert, dass sich das Weiterleitungsendgerät 200 quasi als kontaktlos kommunizierende

Chipkarte vom Typ-A (gemäß ISO/IEC 14443) ausgibt. Ein Aufbau einer Datenkommunikation mit einem Typ-B-Datenträger verläuft abweichend, aber im Grunde ähnlich. Im Schritt Tl empfängt das Weiterleitungsendgerät ein REQUEST- Kommando, welches es im Schritt T2 mit einem vorgegeben ATQ- Kommando („ANSWER TO REQUEST") beantwortet. Die nachfolgenden Schritte T3 bis T6 dienen dem Auswählen des Weiterleitungsendgeräts 200 durch die Terminaleinrichtung 100. Dies ist notwendig, da sich gleichzeitig mehrere Kommunikationspartner in Reichweite der Terminaleinrichtung 100 befinden können. Dieses muss in der Lage sein, und dazu wird in Schritt T3 ein Antikollisionsverfahren gestartet, jeden einzelnen dieser möglichen Kommunikationspartner gezielt anhand eines eindeutigen Identifizierers, des in Schritt T4 von dem Weiterleitungsendgerät 200 zu diesem Zweck gesendeten UID, identifizieren und adressieren zu können. Nach Erhalt und Erkennen des Identifizierers UID wählt die Terminaleinrichtung 100 das Weiterleitungsendgerät 200 in Schritt T5 schließlich zur weiteren Datenkommunikation, d.h. zum Durchführen einer Transaktion, aus. Dies wird von der Terminaleinrichtung in Schritt T6 bestätigt. Die Schritte Tl bis T6 dienen lediglich der Auswahl des Weiterleitungsendgeräts und sind unabhängig von einer nachfolgend ausgeführten Transaktion.

Auch die Schritte T7 und T8 sind transaktionsunabhängig. Der von der Terminaleinrichtung 100 in Schritt T7 angeforderte und in Schritt T8 von dem Weiterleitungsendgerät 200 bereitgestellte Datensatz ATS („answer to se- lect") beschreibt im Wesentlichen Protokoll-Parameter eines Typ-A- Datenträgers, mit welchem die Terminaleinrichtung aufgrund des Verhaltens des Weiterleitungsendgeräts 200 glaubt, eine Datenkommunikation auf- zubauen. Diesem Datenträger könnte beispielsweise der Datenträger 500 entsprechen, mit welchem die Terminaleinrichtung 100 anschließend (vgl. Fig. 7, Schritte Tl bis T18) tatsächlich eine Transaktion mit zugehöriger Transaktionsapplikation 570 mit der AID3 durchführt. Ein Parameter des ATS- Datensatzes, der„FWI" („frame waiting integer"), definiert beispielsweise die maximale Wartezeit, welche die Terminaleinrichtung 100 (in der der initialen Phase nachfolgenden Transaktionsphase) nach Aussenden eines Kommandos auf die Antwort des Datenträgers zu warten hat. Nach Ablauf dieser Zeitspanne tritt ein so genannter„timeout" -Fehler auf. Des Weiteren umfasst der ATS-Datensatz herstellerspezifische Felder, so genannte„histo- rical bytes", welche frei definierbare Information umfassen können.

Prinzipiell wäre es möglich, dass das Weiterleitungsendgerät 200 mittels der Weiterleitungsapplikation 280 sämtliche von der Terminaleinrichtung 100 in den Schritten Tl, T3, T5 und T7 empfangenen Kommandos über die Vermitt- lungsservereinrichtung 340 der Servereinrichtung 300 und die Weiterleitungsapplikation 480 des Transaktionsendgeräts 400 an den Datenträger 500 weiterleitet (bzw. an die Applikationsservereinrichtung 340 oder das Transaktionsendgerät 400, falls diese die Transaktionsapplikation bereitstellen). Der Datenträger 500 hätte dann, genau, wie wenn er direkt - d.h. ohne die beschriebene Weiterleitung - eine Datenkommunikation mit der Terminaleinrichtung 100 aufgebaut hätte, entsprechende Antwort-Kommandos gesendet, welche auf dem umgekehrten Weg wieder an die Terminaleinrich- tung 100 weitergeleitet worden wären. Allerdings ist es gemäß dem beschriebenen Kommunikationsprotokoll erforderlich, dass einzelne der Antwortkommandos die Terminaleinrichtung 100 innerhalb genau vorgegebener, knapp bemessener Zeitintervalle erreichen, um als gültige Antwortkommandos zu gelten. Dies gilt insbesondere für ATQ (Schritt T2) und die Antworten auf die Antikollisionsanfragen

(Schritt T4). Eine Weiterleitung der Anfrage- und Antwortkommandos zum und vom Datenträger 500 kann wegen der auftretenden Datenübertragungsund Weiterleitungszeiten leicht zu einer Überschreitung der geforderten Zeitgrenzen und damit zum Scheitern des Aufbauens der Datenkommunika- tion zu der Terminaleinrichtung 100 führen.

Im Idealfall sind die Schritte Tl bis T8 nicht nur transaktionsunabhängig, also für unterschiedliche Transaktionstypen gleich, sondern sind vorgegebene Schritte zum Aufbauen der Kommunikationsverbindung gemäß einer Protokollschicht (also z. b. nach ISO 14443). Erst in den weiteren Schritten T9- T10 und Abschnitt A bzw. T9'-T12' und Abschnitt B werden Transaktionsdaten übertragen. Transaktionsdaten im vorliegenden Sinne sind Daten einer Applikationsschicht, die auch als Applikationsprotokolldaten bezeichnet werden können. Solche APDUs (Application Protocol Data Units) werden als Kommando- APDUs oder Antwort- APDUs versendet. Die in der Initialisierungsphase übertragenen Daten der Protokollschicht können entsprechend als Transportprotokolldaten bezeichnet werden.

Der vollständige ISO/IEC 14443-Protokollstack wird auch während der Zeit- punkte T9-T12 bzw. T9'-T12' im Weiterleitungsendgerät 200 abgearbeitet. Lediglich die im Transportprotokoll ISO/IEC 144443 eingebetteten (i. d. R. nach ISO/IEC 7816 codierten) Applikationsprotokolldaten werden also transparent an die Transaktionseinheit weiter geleitet werden. Die Applikationsprotokolldaten werden vom Weiterleitungsendgerät 200 über eine Netzwerkverbindung, an eine Transaktionseinheit 300, 00 oder 500, weitergeleitet.

Die Netzwerkverbindung wird durch das Weiterleitungsendgerät 200 auf ge- baut T51 in Antwort auf eine Selektion T5 oder T9 durch die Terminaleinrichtung 100. In Schritt T5 wird das Weiterleitungsendgerät 200 als Kommunikationspartner selektiert und in Schritt T9 eine Transaktionsapplikation (durch Angabe der AID). Die Netz Werkverbindung rechtzeitig, also vor dem Empfang von Transaktionsdaten, die einer transaktionsabhängigen Antwort bedürfen, aufzubauen, erleichtert die Einhaltung der vorgegebenen Wartezeiten bei der Bereitstellung von Antworten (A-APDUs) auf weitergeleitete Transaktionsdaten (K-APDUs).

Das Weiterleitungsendgerät 200 in Teilschritt TS22 (vgl. Fig. 5) von der Ser- vereinrichtung 300 mit Transaktionsinitialisierungsdaten ausgestattet. Diese können dem Weiterleitungsendgerät 200 dazu dienen, die Schritte Tl bis T8 aus Fig. 6 ohne Rückfrage bei der Servereinrichtung 300, dem Transaktionsendgerät 400 oder dem Datenträger 500 durchzuführen. Auf diese Weise können„timeout" -Fehler vermieden werden.

Als transaktionsunabhängige Transaktionsinitialisierungsdaten könnte das Weiterleitungsendgerät 200 beispielsweise von der Servereinrichtung 300 einen vollständigen Protokollstapel des entsprechenden Kommunikationsprotokolls, welches die Datenkommunikation zwischen dem Weiterleitungs- endgerät 200 und der Terminaleinrichtung 100 bestimmt, empfangen. Damit wird das Weiterleitungsendgerät 200 in die Lage versetzt, direkt mit der Terminaleinrichtung 100 zu kommunizieren, insbesondere gemäß der Schritte T2 und T6. In der Regel ist das Weiterleitungsendgerät 200 aber bereits eingerichtet die protokollgemäßen Schritte durchzuführen. Weitere transaktionsunabhängige Transaktionsinitialisierungsdaten sind der in Schritt T4 übertragene Identifizierer UID und/ oder der in Schritt T8 übertragene ATS-Datensatz. Im Falle eines Typ-B-Datenträgers sind ähnliche Da- tensätze vorgesehen, beispielsweise im Rahmen eines so genannten ATTRIB- Präfixes, welches ebenfalls Datenträgerparameter und einen Identifizierer umfasst.

Die Servereinrichtung 300 kann dem Weiterleitungsendgerät 200 in Teil- schritt TS221 von Fig. 5 die entsprechenden Transaktionsinitialisierungsda- ten (UID, ATS) bereitstellen. Diese können von der Servereinrichtung 300 geeignet erzeugt werden, beispielsweise in dem Fall, in dem die Servereinrichtung 300 selbst als Transaktionsendgerät dient - mittels der Applikationsservereinrichtung 340. Auf der anderen Seite, wenn eine Vermittlung der Datenkommunikation an ein Transaktionsendgerät 400 bzw. einen Datenträger 500 über ein Transaktionsendgerät 400 vorgesehen ist, können die Transaktionsinitialisierungsdaten (UID, ATS) der Servereinrichtung 300 durch das Transaktionsendgerät 400 vorab, beispielsweise bei der Registrierung (Sl) oder Anmeldung (S2; TS21) des Transaktionsendgeräts 400 bereit- gestellt worden sein. D.h. die Servereinrichtung 300 stellt dann dem Weiterleitungsendgerät 200 beispielsweise den UID und ATS des Datenträgers 500 bereit. Das Bereitstellen dieser Transaktionsinitialisierungsdaten kann gegebenenfalls auch bereits in der Registrierungsphase (Schritt Sl) vorgenommen werden. Dies gilt insbesondere dann, wenn zu diesem Zeitpunkt aus Sicht eines sich registrierenden Weiterleitungsendgeräts 200 bereits feststeht, mittels welchen Transaktionsendgeräts 400 eine spätere Transaktion unter Weiterleitung von Transaktionsdaten durch das Weiterleitungsendgerät 200 stattfinden soll. Optional können, wie in Schritt TS222 von Fig. 5 angedeutet, dem Weiterleitungsendgerät 200 während der Anmeldung auch bereits transaktionsabhängige Transaktionsini tialisierungsdaten durch die Servereinrichtung 300 bereitgestellt werden. Diese betreffen direkt eine nachfolgend auszuführende Transaktionsapplikation, beispielsweise eine mit AID3 bezeichnete Transaktionsapplikation. Eine einfache Ausführungsform transaktionsabhängiger Transaktionsinitialisierungsdaten sind Identifizierer (AIDs) der entsprechenden Applikationen. Diese sind mit Bezug auf Fig. 3 bereits beschrieben worden. Umfasst das Weiterleitungsendgerät 200 beispielsweise in einem ent- sprechenden Verzeichnis EF_DIR den Applikationsbezeichner AID3, so bedarf es, wenn die Terminaleinrichtung 100 zu Beginn einer an die Initialisierungsphase anschließenden Transaktionsphase (vgl. Fig. 6, Schritte T9, T10) eine Applikation auswählt, keiner Rückfrage des Weiterleitungsendgeräts bei der Servereinrichtung 300. Das Weiterleitungsendgerät 200 bestätigt die Selektion der Applikation T9 mit einer einfachen positiven Antwort T10 „ok". Diese Antwort einer Transaktionsapplikation auf eine Selektion ist weitgehend transaktionsunabhängig. Durch diese Ausgestaltung gewinnt das Weiterleitungsendgerät Zeit, um die Netzwerkverbindung aufzubauen T51 in Antwort auf die Applikationsselektion T9. Erst die weiteren Transak- tionsdaten der Phase A bedürfen einer transaktionsabhängigen Antwort der Transaktionseinheit und somit einer Weiterleitung. Für die wenigen Ausnahmefälle, in denen das Weiterleitungsendgerät 200 die Selektion T9 nicht einfach quittieren sondern weiterleiten soll, kann das Weiterleitungsendgerät 200 mit Hilfe der Transaktionsinitialisierungsdaten entsprechend instruiert werden.

Wird auf ein Bereitstellen von transaktionsabhängigen Transaktionsinitiali- sierungsdaten in Schritt S2 verzichtet, können dem Teilschritt TS222 entsprechende Maßnahmen zu einem späteren Zeitpunkt nachgeholt werden, wie dies in Fig. 6 mit Bezug auf die Schritte T9' bis T12' veranschaulicht wird. Möchte die Terrninaleinrichtung in Schritt T9' eine Applikation AID5 auswählen, zu welcher das Weiterleitungsendgerät 200 bisher keinen Bezeichnereintrag aufweist, leitet dieses das empfangene Kommando in Schritt T10' an die Servereinrichtung 300 weiter. Das heißt, das Weiterleitungsendgerät 200 ist allgemein eingerichtet, eine eine Transaktionsapplikation betreffende I- dentif ikationsinformation an die Servereinrichtung 300 weiterzuleiten, hier das von der Terminaleinrichtung 100 empfangene SELECT(AID5)- Kommando. Das Weiterleitungsendgerät 200 ist auch eingerichtet, transakti- onsabhängigen Transaktionsinitialisierungsdaten bei der Servereinrichtung 300 anzufordern. Das Weiterleiten des SELECT(AID5)-Kommandos bedeutet gleichzeitig ein Anfordern der seitens des Weiterleitungsendgeräts 200 benötigten Transaktionsinitialisierungsdaten zum Benantworten des Kommandos.

Die Servereinrichtung 300 liefert, vergleichbar zum vorstehend beschriebenen, entsprechende Transaktionsinitialisierungsdaten nun in Schritt TU' nach, welche das Weiterleitungsendgerät 200 in gewünschter Weise schließlich in Schritt T12' an die Terminaleinrichtung 100 weiterleitet.

Als weitere transaktionsabhängige Transaktionsinitialisierungsdaten könnte die Servereinrichtung 300 dem Weiterleitungsendgerät 200, beispielsweise in den Schritten TS222 (vgl. Fig. 5) oder TU' (vgl. Fig. 6), zusätzlich ausführbare Anteile der entsprechenden Transaktionsapplikation bereitstellen. Auf diese Weise kann nachfolgend das Ausführen der Transaktion beschleunigt werden, da einzelne Anteile der Transaktionsapplikation in dem Weiterleitungsendgerät 200 selbst ausgeführt werden können und dementsprechend weniger Daten zwischen verschiedenen Transaktionsgeräten weitergeleitet werden müssen. Sicherheitsrelevante Anteile einer entsprechenden Transakti- onsapplikation werden allerdings vorzugsweise stets in der Servereinrichtung 300, d.h. der Applikationsservereinrichtung 330, bzw. dem Transaktionsendgerät 400 oder dem damit gegebenenfalls verbundenen Datenträger 500 durchgeführt.

Letzteres ist jedoch nicht die bevorzugte Ausgestaltung, da der eigentliche Transaktionsablauf für alle Beteiligten, also auch für die Transaktionseinheit soweit wie möglich unverändert bleiben soll. Transaktionsdaten werden demnach immer weiter geleitet und erst entfernt in der Transaktionseinheit abgearbeitet bzw. beantwortet.

Das Bereitstellen von transaktionsabhängigen Transaktionsinitialisierungs- daten, insbesondere ein Installieren von ausführbaren Anteilen einer Transaktionsapplikation in dem Weiterleitungsendgerät 200 durch die Serverein- richtung 300, kann von einer Zustimmung eines Nutzers des Weiterleitungs- endgeräts 200 abhängig gemacht werden. Alternativ oder abhängig von der Art der zu installierenden Transaktionsinitialisierungsdaten kann aber auch eine automatische Installation vorgesehen sein, die keiner Nutzerinteraktion bedarf.

Seitens eines sich in Schritt S2 anmeldenden Transaktionsendgeräts 400 können Vorgaben gemacht werden, welche eine anstehende, durch das Weiterleitungsendgerät weitergeleitete Transaktion betreffen. Beispielsweise kann abhängig von der Transaktion oder der Identität des Weiterleitungsendge- räts ein Zugriff auf eine elektronische Börse auf dem Transaktionsendgerät 400 verboten oder in geeigneter Weise limitiert werden. Andere Vorgaben sind möglich. Mit Bezug auf die Figuren 6 und 7 werden nachfolgend einzelne Schritte und verschiedene Ausführungsformen des Transaktionsverfahrens im Rahmen des Schritts S3 aus Fig. 5, d.h. im Rahmen der eigentlichen Transaktion mit der Terminaleinrichtung 100, beschrieben.

Während der bereits vorstehend mit Bezug auf die Schritte Tl bis T8 beschriebenen Initialisierungsphase zum Aufbau einer Datenkommunikation kann das Weiterleitungsendgerät 200 der Terminaleinrichtung 100 eine Weiterleitungsinformation WLI übertragen. Damit zeigt das Weiterleitungsend- gerät 200 der Terminaleinrichtung 100 an, dass es eingerichtet ist, Transaktionsdaten, insbesondere Transaktionskommandos in Form von APDUs, an eine entfernte Transaktionseinheit 300, 400 oder 500 weiterzuleiten. Das Weiterleiten wird in dem Weiterleitungsendgerät 200 durch die Weiterleitungs- applikation 280 unterstützt.

Die Weiterleitungsinformation wird vorzugsweise in Form der Transaktions- initialisierungsdaten UID, ATS an die Terminaleinrichtung 100 übertragen. Diese Transaktionsinitialisierungsdaten hat das Weiterleitungsendgerät 200 zuvor (vgl. Teilschritt TS22; Fig. 5) von der Servereinrichtung 300 empfan- gen. Die Weiterleitungsinformation WLI kann beispielsweise mittels des UID derart übertragen werden, dass ein vorgegebener, der Terminaleinrichtung 100 bekannter Nummerbereich von UIDs für solche Weiterleitungsendgeräte 200 vorbehalten ist, die eine Weiterleitung von Transaktionsdaten unterstützen. Die Servereinrichtung 300 kann somit dem Weiterleitungsendgerät 200 in Teilschritt TS22 eine derartige„Weiterleitungs-UID" zuordnen. Das Weiterleitungsendgerät 200 gibt dann in Schritt T4 anstelle seiner eigenen gerätespezifischen UID die„Weiterleitungs-UID" an. Auf diese Weise kann die Weiterleitungsinformation WLI in effektiver Weise und ohne die Notwen- digkeit einer Protokollanpassung oder -Veränderung an die Terminaleinrichtung 100 übertragen werden.

Gemäß einer alternativen Ausführungsform kann die Weiterleitungsinforma- tion WLI auch, wie mit Bezug auf Schritt T8 angedeutet, mittels des ATS an die Terrninaleinrichtung 100 übertragen werden, beispielsweise mit Hilfe der vorstehend beschriebenen„historical bytes".

Die Weiterleitungsinformation WLI kann von dem Weiterleitungsendgerät 200 aber auch zu einem anderen Zeitpunkt, beispielsweise nach Abschluss der Initialisierungsphase und auf andere geeignete Weise, beispielsweise mittels eines eigens dafür definierten Kommandos, an die Terminaleinrichtung 100 übertragen werden. Dazu könnte die Terminaleinrichtung 100 beispielsweise vor Beginn der eigentlichen Datenkommunikation, nach Schritt T8, ein Kommando an das Weiterleitungsendgerät 200 senden, welches einer Abfrage der Weiterleitungsfähigkeit des Weiterleitungsendgeräts 200 dient.

Mittels des ATS können, unabhängig von der Weiterleitungsinformation WLI, die nachfolgende Datenkommunikation bestimmende Parameter sei- tens des Weiterleitungsendgeräts 200 eingestellt werden. Da das Weiterleitungsendgerät 200 die ATS-Daten als Transaktionsinitialisierungsdaten zuvor von der Servereinrichtung 300 erhält, obliegt es demnach der Servereinrichtung 300, geeignete Parameter für eine nachfolgende Transaktion einzustellen. Dies betrifft insbesondere Angaben über die maximale Zeit, welche die Terminaleinrichtung 100 nach Aussenden eines Kommandos auf die

Antwort des Weiterleitungsendgeräts 200 zu warten hat. Ein entsprechender Parameter, beispielsweise der vorstehend beschriebene ATS-Parameter „FWI" („frame waiting integer") kann seitens der Servereinrichtung 300 so hoch eingestellt werden, dass nicht aufgrund der Weiterleitung von Transak- tionsdaten an dieser Stelle vermeidbare Fehler eintreten. Die zulässige Antwortzeit des Weiterleitungsendgeräts 200 gegenüber der Terminaleinrichtung 100 kann also seitens der Servereinrichtung 300 angehoben werden. In einem Schritt T81 erkennt die Terminaleinrichtung anhand der empfangenen Weiterleitungsinf ormation, dass der lokal (im Nahbereich) angeordnete, vermeintliche Transaktionspartner eine weiterleitende Einheit ist. Sie kann anhand der Weiterleitungsinf ormation unterscheiden zwischen weiterleitenden Einheiten und lokalen Transaktionseinheiten. Sie erkennt also anhand der Weiterleitungsinf ormation, dass das lokal angeordnete Gerät die Transaktion nicht selbst ausführen wird. Darauf reagiert die Terminaleinrichtung 100 mit angepassten oder zusätzlichen Vorbereitungsschritten für die Transaktion. Zunächst entscheidet die Terminaleinrichtung 100, ob sie die Transaktionen durchführen möchte. Hat die Terminaleinrichtung 100 beispielsweise als Sicherheitsvorgabe gespeichert, dass ihr (oder der aktuelle) Transaktionstyp nur mit lokalen Transaktionseinheiten ausgeführt werden darf, setzt sie die Transaktion nicht fort. Vorliegend entscheidet sich die Terminaleinrichtung die Transaktion durchzuführen. Eine andere Sicherheitsvorgabe schreibt der Terminaleinrichtung vor, den Maximalbetrag (Transaktionslimit) auf einen geringeren Wert zu setzen als er für lokale Transaktionen.

Abweichend vom Verhalten der herkömmlichen Terminaleinrichtungen er- kennt die vorliegende Terminaleinrichtung 100 eine Weiterleitung und führt die Transaktion dennoch durch anstatt sie abzubrechen oder anderweitig ungültig zu machen. Eventuell in der Terminaleinrichtung vorhandene weitere Abwehr- und/ oder Erkennungsmechanismen für Weiterleitungen können dann abgeschaltet werden. Bekannte Ansätze sind in diesem Zusam- menhang Lauf zeitmessungen, Abstandsmessung oder speziell angepasste Transaktionsprotokolle.

Als besonders wichtiger Vorbereitungsschritt erfolgt ein Anpassen des Kommunikationsparameters Wartezeit für den Austausch der Transaktionsdaten. Die Wartezeit könnte auch in zusätzlichen Kommunikationsschritten auf Anfrage des Weiterleitungsendgerätes erhöht werden, soll aber hier bei erkannter Weiterleitung in der Terminaleinrichtung automatisch und somit schneller angepasst werden.

Im gezeigten Beispiel von Figur 6 wird die Weiterleitungsinformation in den Übertragungsprotokolldaten übertragen. Sie ist transaktionsunabhängig, d.h. sie gilt für alle Transaktionstypen. Bevorzugt wird die Weiterleitungsinformation jedoch für einen selektierten Transaktionstyp übertragen. Dies wäre beispielsweise möglich in Schritt T10. Entweder in den Übertragungsprotokolldaten des Schrittes T10, in denen die Transaktionsdaten übertragen werden, oder in den Transaktionsdaten selbst (Antwort:„ok") kann die Weiterleitungsinformation übermittelt werden. Beispielsweise erlaubt die ISO 7816- 4 leicht unterschiedlich codierte Antworten, die alle einer positiven Quittung „ok" entsprechen.

Mit Bezug auf Fig. 7 ist mit den Schritten TU bis T18 das Durchführen einer Transaktion zwischen der Terminaleinrichtung 100 und dem Datenträger 500 veranschaulicht. Die dazugehörigen Transaktionsdaten, Kommando- und Antwort- APDUs, werden dabei über das Weiterleitungsendgerät 200 zwischen der Terminaleinrichtung 100 und der Servereinrichtung 300 weitergeleitet (Schritte T12, T18). Die Servereinrichtung 300 ihrerseits vermittelt mittels der Vermittlungsservereinrichtung 340 eine Datenkommunikationsverbindung zwischen dem Weiterleitungsendgerät 200 und dem Transaktions- endgerät 400 (Schritte ΊΊ3, T17). Das Transaktionsendgerät 400 bedient sich in dieser Ausführungsform des Datenträgers 500 zum Durchführen der Transaktionsapplikation (AID3). Dabei operiert das Transaktionsendgerät 400 in gewisser Weise als zweites Weiterleitungsendgerät, indem es die Kommando- APDUs an den Datenträger 500 in Schritt T14 weiterleitet und in Schritt T15 empfangene Antwort- APDUs in Schritt T16 wieder an die Servereinrichtung 300 weiterleitet.

Alternativ (nicht gezeigt), in dem Fall, in dem das Transaktionsendgerät 400 eine Transaktionsapplikation, beispielsweise AID2, selbst ausführbar um- fasst (vgl. Fig. 4), können die Schritte T14 und T15 unterbleiben, da die Transaktionsapplikation direkt in dem Transaktionsendgerät 400 ausgeführt werden kann. Der restliche Ablauf bleibt wie beschrieben. Insbesondere bleibt es für die restlichen Transaktionsgeräte transparent, ob das Transakti- onsendgerät 400 selbst oder mit Hilfe des Datenträgers 500 die Transaktionsapplikation ausführt.

Nicht gezeigt sind wiederum ebenfalls die Alternativen, in welchen das Weiterleitungsendgerät 200 die Transaktionsdaten ohne Einbindung des Servers 300 an die und von der Transaktionseinheit 400, 500 weiterleitet.

Gemäß einer weiteren Ausführungsform, welche in Fig. 7 mit Bezug auf die Schritte T13' bis T16' beschrieben ist, kann ein Ausführen einer Transaktionsapplikation, beispielsweise AID5, auch in der Servereinrichtung 300 mit- tels der Applikationsservereinrichtung 330 durchgeführt werden. Hier sind ein separates Transaktionsgerät 400 und insbesondere ein Datenträger 500 verzichtbar bzw. nicht eingebunden. Die Applikationsservereinrichtung 330 stellt vorzugsweise eine Mehrzahl von Transaktionsapplikationen AID4, AID5 (vgl. Fig. 1) bereit und kann dadurch verschiedenste Transaktionen gegenüber verschiedensten Terminaleinrichrungen 100 unterstützen. Am elegantesten ist es, wenn die Applikationsservereinrichtung 330 eine Vielzahl von herkömmlichen portablen Datenträgern 350, für eine oder mehrere Transaktionstypen, aufweist, die entsprechend über ein kontaktloses Lesege- rät (Aufbau und Funktion ähnlich wie in Fig. 4 ) oder mehrere kontaktlose Lesegeräte als Transaktionseinheiten verwendet werden.

Sollte sich bei der Weiterleitung oder Verarbeitung der Transaktionsdaten in der Servereinrichtung 300 oder dem Transaktionsendgerät 400 eine Zeitver- zögerung ergeben, welche einen Fehler in der Datenkommunikation zwischen dem Weiterleitungsendgerät 200 und der Terminaleinrichtung 100 zur Folge hätte, so kann es vorgesehen sein, dass das Weiterleitungsendgerät 200 eine entsprechende Anfrage nach Verlängerung des Antwort-Intervalls, innerhalb dessen ein Antwort-Kommando bei der Terminaleinrichtung 100 eingegangen ist, an die Terminaleinrichtung 100 sendet (in Fig. 7 nicht gezeigt). Gemäß dem ISO/IEC 14443-Protokoll kann dies mittels einer„frame- waiting-time-extension" -Anfrage (FWX) geschehen.

In den vorstehend beschriebenen Ausführungsformen des Transaktionsver- fahrens ist das Weiterleitungsendgerät 200 jeweils eingerichtet, eine Transaktionsinformation, d.h. eine die Transaktionsapplikation betreffende Identifikationsinformation, an die Servereinrichtung 300 weiterzuleiten. Eine solche Identifikationsinformation kann beispielsweise ein Applikationsbezeichner (AID; AFI,„application family identifier" für Typ-B-Datenträger) oder der- gleichen sein. Auf diese Weise wird das Weiterleitungsendgerät 200 multi- applikationsfähig, ohne selbst eine einzige Transaktionsapplikation auf dem Weiterleitungsendgerät 200 ausführbar installiert bereitzustellen. Anhand der Identifikationsinformation erkennt die Servereinrichtung 300, welche Transaktionsapplikation gefordert ist. Falls diese durch die Applikationsser- vereinrichtung 330 unterstützt wird, kann sie bereits dort ausgeführt werden. Im anderen Fall kann die Vermittlungsservereinrichtung 340 entsprechende Transaktionsdaten an ein solches Transaktionsendgerät 400 weiterleiten, welches, eventuell mittels eines Datenträgers 500, die entsprechende Transaktionsapplikation unterstützt. Die Auswertung der Identifikationsinformation und anschließende Verarbeitung obliegt, wie beschrieben, der Servereinrichtung 300.

Wie mit Bezug auf Schritt T12 in Fig. 7 angedeutet, kann es vorgesehen sein, dass das Weiterleitungsendgerät 200 eine Auswahlinformation AI zum

Auswählen eines vorgegebenen Transaktionsendgeräts 400 an die Servereinrichtung 300 sendet. Die Auswahlinformation AI wird von der Vermittlungsservereinrichtung 340 verarbeitet und bei der Vermittlung des entsprechenden, seitens des Weiterleitungsendgeräts 200 ausgewählten Transaktions- endgeräts 400 berücksichtigt. Es ist auch möglich, dass eine entsprechende Auswahlinformation AI bereits in der Registrierungsphase (Sl; Fig. 5) oder der Anmeldephase (S2; Fig.5) an die Servereinrichtung 300 übertragen wird. Auf diese Weise kann ein Nutzer des Weiterleitungsendgeräts 200, vorzugsweise transaktionsabhängig, vorgeben, über welches Transaktionsendgerät 400 eine bestimmte Transaktion jeweils durchgeführt werden soll. Die Auswahlinformation AI kann aber so gestaltet sein, dass sie dem Weiterleitungsendgerät 200 alternativ den Aufbau einer direkten Verbindung zur Transaktionseinheit ermöglicht (ohne Einbindung der Servereinrichtung). Wie mit Bezug auf Schritt T13 in Fig. 7 und Schritt T91 in Figur 6 gezeigt, kann ein Transaktionsendpunktsignal TES an die Transaktionseinheit übertragen werden. Der zur Übertragung des Transaktionsendpunktsignal TES in Schritt T13 alternative Schritt 91 wird später beschrieben. In Schritt T13 überträgt die Servereinrichtung 300 dem Transaktionsendgerät 400 ein Transaktionsendpunktsignal TES. Anhand eines solchen Transaktionsendpunktsignals TES kann das Transaktionsendgerät 400 erkennen, dass es als Transaktionsendpunkt einer Kette von Transaktionsgeräten 200, 300, 400 operiert. Die Rolle des Transaktionsendpunktsignals ist also ähnlich zu der einer Weiterleitungsinformation. Zum Erkennen und weiteren Verarbeiten des Transaktionsendpunktsignals TES umfasst das Transaktionsendgerät 400 eine Weiterleitungserkennung 420 auf einem Sicherheitselement SE 450 (vgl. Fig. 4).

Das Erkennen des Operierens als Transaktionsendpunkt in einer weitergeleiteten Transaktion ist aus verschiedenen Gründen vorteilhaft. Beispielsweise wird eine bestimmte Transaktion, welche in beschriebener Weise über eine kontaktlose Datenkommunikation lokal durchgeführt wird, für den Nutzer eines Transaktionsendgeräts 400 regelmäßig nicht erkennbar sein. Es wird vielmehr in den üblichen Transaktionssystemen für Nahbereichslösungen davon ausgegangen, dass der Nutzer seinen tragbaren Datenträger 500 oder sein Endgerät 400 mit dem Sicherheitselement 450 in den Nahbereich des Transaktionsterminals bringt und somit die Transaktion auslöst. Auch in dem vorliegenden Systemansatz bedürfte es dazu keiner weiteren Interaktion des Nutzers, vorausgesetzt das Transaktionsendgerät 400 ist online und zuvor bei der Servereinrichtung 300 ordnungsgemäß registriert und angemeldet worden. Es kann daher vorgesehen werden, dass die Weiterleitungserkennung 420 eine Nutzerfreigabe für die weitergeleitete Transaktion, die bei lokaler (herkömmlicher) Ausführung keiner Nutzerfreigabe bedarf, anfordert. Ferner kann vorgesehen sein für Transaktionstypen mit / oder ohne herkömmlich vorgesehener Nutzerfreigabe eine Weiterleitungs-Zustimmung einzuholen, mit welcher der Nutzer explizit der Weiterleitung der Transaktionsdaten zustimmt. Der Nutzer des Transaktionsendgeräts 400 muss einem Durchführen der Transaktion aktiv zustimmen, bevor diese ausgeführt wird, beispielsweise durch Bedienung einer Taste oder dergleichen. Es kann aber auch vorgesehen sein, dass die Transaktion immer dann durchgeführt wird, wenn der Nutzer des Transaktionsendgeräts 400 die ausgelöst durch das Transaktionsendpunktsignal TES dem Nutzer angekündigte Transaktion nicht aktiv unterbricht (passive Freigabe). Das Transaktionsendpunktsignal TES kann zusätzlich Informationen umfassen, welche angeben, über welche weiteren Transaktionsgeräte 200, 300 die Transaktion durchgeführt werden soll. Insbesondere kann das Transaktionsendpunktsignal TES Authentisierungsinformationen betreffend die Servereinrichtung 300 oder das Weiterleitungsendgerät 200 umfassen. Die Transak- tionseinheit 350,450,500 kann daraufhin die Servereinrichtung 300 bzw. das Weiterleitungsendgerät 200 authentifizieren. Eine entsprechende Authentifi- zierungsmeldung kann einem Nutzer des Transaktionsendgeräts 400 angezeigt werden. Dieser kann dann beispielsweise abhängig von der Identität des jeweiligen Geräts einer Transaktion zustimmen oder nicht. Es ist auch möglich, dass in dem Transaktionsendgerät 400 Voreinstellungen getroffen sind, welche festlegen, dass bei Empfang eines Transaktionsendpunktsignals TES eine Benachrichtigung des Nutzers unterbleiben kann, wenn die Transaktion über anhand des Transaktionsendpunktsignals TES authentifizierte, als zulässig voreingestellte Transaktionsgeräte weitergeleitet worden ist.

Auch die Transaktionseinheit kann Abwehrmaßnahmen gegen Weiterlei- tungsangriffe umfassen. Bei Erkennung einer durch ein Transaktionsendpunktsignal TES angezeigten weitergeleiteten Transaktion, werden diese (teils sehr aufwändigen) Abwehrmaßnahmen deaktiviert. Zudem kann die Transaktionseinheit bei Vorliegen eines Transaktionsendpunktsignal TES Sicherheitsvorgaben für weitergeleitete Transaktion prüfen. Gegebenfalls verweigert die Transaktionseinheit entsprechend eine solche weitergeleitete Transaktion. Vorzugsweise führt sie aber vorbereitend auf die Transaktion folgende Anpassungen aus. Die Priorität der Transaktionsapplikation zur Ausführung auf der Transaktionseinheit wird erhöht. Somit wird die Antwortzeit der Transaktionseinheit optimiert. Beispielsweise kann eine Prioritätsstufe (in dem Betriebssystem der Transaktionseinheit) erhöht wer- den.

Ein Transaktionsendpunktsignal TES kann wie in Figur 7 gezeigt von der Servereinrichtung 300 erzeugt werden. Alternativ wird das Transaktionsendpunktsignal TES in dem Weiterleitungsendgerät 200 erzeugt. Allgemein wird das Transaktionsendpunktsignal als Daten einer Anwendungsschicht übertragen und von der Transaktionseinheit vorzugsweise vor den Transaktionsdaten empfangen.

Fig. 6 zeigt in eine besonders vorteilhafte Ausgestaltung, in welcher das Weiterleitungsendgerät 200 das erzeugte Transaktionsendpunktsignal TES in Antwort auf ein erstes Kommando T9 innerhalb der Transaktion erzeugt und in Schritt 91 an die Transaktionseinheit sendet. Da das Weiterleitungsendgerät 200 auf das erste empfangene Kommando T9 ohne Weiterleitung direkt antwortet T10, gewinnt die Transaktionseinheit 350, 450, 500 nach dem Er- kennen des empfangenen Transaktionsendpunktsignal TES Zeit, die entsprechenden Vorbereitungsschritte durchzuführen.

Mit Schritt T91 wird, nachdem der Transaktionstyp und somit der Transaktionspartner (in dem Weiterleitungsendgerät 200 oder der Servereinheit 300) bestimmbar ist die Kommunikationsverbindung zu der Transaktionseinheit 350,450,500 aufgebaut. Wie durch Schritt T92 in Figur 6 angedeutet, erkennt der Datenträger 500 das Transaktionsendpunktsignal TES und reagiert daraufhin wie zuvor beschrieben.

Das Transaktionsendpunktsignal kann in der Form eines modifizierten Transaktionsauswahlsignals an die Transaktionseinrichtung übertragen werden. Aus den nicht weitergeleiteten Transaktionsdaten„Select AID3" kann ein modifiziertes Auswahlsignal„Select AID-TES-3" erzeugt werden, welches an die Transaktionseinheit in Schritt T91 übertragen wird. Die Wei- terleitungserkennung 420, 520, wird durch diese K- APDU selektiert, führt die Vorbereitungsschritte durch und selektiert (intern) anschließend die Transaktionsapplikation mit der AID3 auf der Transaktionseinheit. Weiter alternativ könnte das Transaktionsendpunktsignal TES zwar auch in der Weiterleitungsapplikation 480, die in dem Transaktionsendgerät 400 oder in dessen Sicherheitselement 450 angeordnet ist, erzeugt werden. Diese Variante ist jedoch weniger sicher und kann technisch komplexer sein. Die Weiterleitungserkennung 420 ist vorzugsweise ein separater (Software-) Bestandteil des Sicherheitselements 450 oder des portablen Datenträgers 500. Das oben ausführlicher beschriebene veränderte Verhalten der Transaktionseinheit nach dem Erkennen eines Transaktionsendpunktsignals kann man auch wie folgt beschreiben. Wenn die Transaktionseinheit ein Transaktions- endpunktsignal empfängt, schaltet sie in einen Weiterleitungsmodus um und führt die (unveränderte) Transaktionsapplikation in diesem Modus aus. Somit kann die herkömmliche Transaktionsapplikation 470 in der Transaktionseinheit 450 oder im tragbaren Datenträger 500 unverändert erhalten bleiben.

Claims

P a t e n t a n s p r ü c h e

1. Verfahren in einer Transaktionseinheit (350, 450, 500) eines kontaktlo- sen Transaktionssystems, in welchem eine Terminaleinrichtung (100) vorgesehen ist, um Transaktionen mit in seinem Nahbereich angeordneten Transaktionseinheiten durch kontaktloses Übertragen von Transaktionsdaten auszuführen, und das Verfahren folgende Schritte in einer Transaktionseinheit (350, 450, 500) umfasst:

Empfangen von Transaktionsdaten (K-APDU) der Terminaleinrichtung

(100), die von einem Weiterleitungsendgerät (200) an die Transaktionseinheit (350, 450, 500) weitergeleitet worden sind; und

Erzeugen einer Antwort (A-APDU) auf die empfangenen Transaktionsdaten (K-APDU) für die Terminaleinrichtung (100) durch eine Transaktionsappli- kation (370, 470), wobei die Antwort an das Weiterleitungsendgerät (200) übertragen und von diesem an die Terminaleinrichtung (100) weitergeleitet werden soll;

dadurch gekennzeichnet, dass

die Transaktionseinheit (350, 450, 500) eine Weiterleitungserkennung

(420,520) umfasst, welche anhand eines empfangenen Transaktionsendpunktsignals (TES) erkennt, dass die Transaktionsapplikation (370,470) als entfernter Endpunkt einer weitergeleiteten Transaktion operiert.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Transaktionsendpunktsignal (TES) im Transaktionssystem vorgesehen ist, für eine Unterscheidung zwischen weitergeleiteten Transaktionen mit einer entfernten Terminaleinrichtung und lokalen Transaktionen mit einer Terminaleinrichtung im Nahbereich der Transaktionseinheit.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Weiterleitungserkennung (420) vor dem Erzeugen der Antwort durch die Transaktionsapplikation (370, 70) einen vom Vorliegen einer Weiterleitung abhängigen Vorbereitungsschritt durchführt.

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass der Vorbereitungsschritt ein Deaktivieren einer Weiterleitungsabwehrmaßnahme in der Transaktionseinheit (350, 450, 500) umfasst.

5. Verfahren nach einem der Ansprüche 3 bis 4, dadurch gekennzeichnet, dass der Vorbereitungsschritt ein Prüfen von Sicherheitsvorgaben für weitergeleitete Transaktionen in der Transaktionseinheit (350, 450, 500) um- fasst.

6. Verfahren nach einem der Ansprüche 3 bis 5, dadurch gekennzeichnet, dass der Vorbereitungsschritt eine für die Transaktion zusätzliche Benutzerinteraktion umfasst, wobei der Benutzer auf das Vorliegen einer wei- tergeleiteten Transaktion hingewiesen wird.

7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Benutzerinteraktion eine Freigabe der Transaktion durch den Benutzer als weitergeleitete Transaktion umfasst.

8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Transaktionsendpunktsignal (TES) in der Transaktionseinheit (350, 450, 500) vor den Transaktionsdaten empfangen (T91) wird.

9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Transaktionsendpunktsignal (TES) in Antwort auf die ersten Transaktionsdaten (T9) der Terminaleinrichtung (100) für die Transaktion, welche ohne Weiterleitung durch das Weiterleitungsendgerät beantwortet werden (T10), erzeugt und an die Transaktionseinheit gesendet wird (T91).

10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Servereinrichtung (300) das Transaktionsendpunktsignal (TES) erzeugt und an die Transaktionseinheit (350, 450, 500) sendet (T13,T14).

11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass das Weiterleitungsendgerät (200) das Transaktionsendpunktsignal (TES) erzeugt und an die Transaktionseinheit (350, 450, 500) sendet (T91).

12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass das Transaktionsendpunktsignal (TES) weiterhin das Weiterleitungsendgerät (200) und/ oder die Servereinrichtung (300) authentisiert.

13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeich- net, dass das Transaktionsendpunktsignal (TES) als Daten einer Anwendungsschicht auf die Transaktionseinheit übertragen wird.

14. Verfahren nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass ein Transaktionsendgerät (400) zum Durchführen der Transaktion eine Datenkommunikation mit einem portablen Datenträger (450, 500) als Transaktionseinheit aufbaut.

15. Verfahren nach einem der Ansprüche 1 bis 114, dadurch gekennzeichnet, dass die Servereinrichtung (300) dem Weiterleitungsendgerät (200) und/oder dem Transaktionsendgerät (400) Transaktionsinitialisierungsdaten bereitstellt.

16. Transaktionseinheit (350,450,500) mit einer Transaktionsapplikation (370,470,570) zum Durchführen einer Transaktion mit einer im Nahbereich angeordneten, kontaktlos kommunizierenden Terminaleinrichtung (100), gekennzeichnet durch eine Weiterleitungserkennung (420,520), welche anhand eines empfangenen Transaktionsendpunktsignals (TES) erkennt, dass die Transaktionseinheit als entfernter Transaktionsendpunkt in einer weiter- geleiteten Transaktion operiert.

17. Transaktionseinheit (350,450,500) nach Anspruch 16 eingerichtet ein Verfahren nach einem der Ansprüche 1 bis 15 auszuführen.

18. System (10), umfassend eine kontaktlos kommunizierende Terminaleinrichtung (100), ein Weiterleitungsendgerät (200), sowie ein Transaktionseinheit (350, 450, 500) nach einem der Ansprüche 16 oder 17.