NO170371B - Apparat som kommuniserer med datasystemer, og fremgangsmaate til kommunikasjon med datasystemer - Google Patents

Apparat som kommuniserer med datasystemer, og fremgangsmaate til kommunikasjon med datasystemer Download PDF

Info

Publication number
NO170371B
NO170371B NO85855008A NO855008A NO170371B NO 170371 B NO170371 B NO 170371B NO 85855008 A NO85855008 A NO 85855008A NO 855008 A NO855008 A NO 855008A NO 170371 B NO170371 B NO 170371B
Authority
NO
Norway
Prior art keywords
card
data
computer
code
computer system
Prior art date
Application number
NO85855008A
Other languages
English (en)
Other versions
NO855008L (no
NO170371C (no
Inventor
Preben Rahtgen
Original Assignee
Pengeinst Koebe Kreditkort
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=8108921&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=NO170371(B) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Pengeinst Koebe Kreditkort filed Critical Pengeinst Koebe Kreditkort
Publication of NO855008L publication Critical patent/NO855008L/no
Publication of NO170371B publication Critical patent/NO170371B/no
Publication of NO170371C publication Critical patent/NO170371C/no

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1058PIN is checked locally
    • G07F7/1066PIN data being compared to data on card

Landscapes

  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Communication Control (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Multi Processors (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Description

Oppfinnelsen angår et apparat i henhold til innledningen
av krav 1 samt en fremgangsmåte til kommunikasjon i henhold til innledningen av krav 13.
Det er blitt utviklet flere apparater, anlegg, systemer
m.v. til å identifisere innehaveren av et kort eller til å kontrollere innehaverens bemyndigelse eller autensitet med hensyn til et datasystem på grunnlag av data utlest fra eller stammende fra data som er avlest fra innehaverens kort av en kortleseterminal og på basis av en kode som er innført av kortets innehaver og bare kjent av dets lovlige innehaver.
Blant disse kjente systemer er der noen som utfører autensitetsverifikasjon on-line, mens andre utfører den off-
line. I et on-line-system er det vanlig å kryptere de data som er avlest fra eller stammer fra de fra kortet avleste data, og den av innehaveren innførte kode og å overføre de krypterte data og den krypterte kode til en fjern sentral behandlingsenhet. I den sentrale behandlingsenhet blir de krypterte data og den krypterte kode sammenlignet i kryptert eller dekryptert tilstand for å avgjøre om kortets innehaver,
dvs. den person som er i besittelse av vedkommende kort,
er positivt identifisert som den lovlige innehaver av kortet.
I et off-line-system blir dataene og koden sammenlignet med hverandre i en kortleseterminal i kryptert eller dekryptert tilstand for utførelse av den positive identifikasjon av innehaveren med hensyn til kortet. Etter at kortets innehaver er positivt identifisert, kan systemet tillate overføring av en pengesum til eller fra en konto som er identifisert ved kortet og dets innehaver, tillate adgang for kortets innehaver til et territorium, et område eller en sone som er omhyggelig avlåst, eller levere ut gjenstander, artikler m.v. til innehaveren i en på forhånd bestemt mengde, som er bestemt av kortets data, eller også i en mengde som er bestemt av innehaveren ved innføring av et tall svarende til vedkommende mengde.
Kortet kan være et optisk lesbart kort, dvs. et kort
som har gjennomsiktige og ikke-gjennomsiktige felter, eksempelvis kort med gjennomsiktige vinduer; det kan være et mekanisk lesbart kort med mekaniske dataidentifikasjonsmidler, f.eks.
utstansede felter; det kan være et magnetisk kort med mag-
netiske soner eller magnetstrimler hvor vedkommende
data er registrert; eller det kan være et aktivt eller elektronisk kort med integrerte elektroniske lagringsorganer som er forbundet med leseterminalen via elektroniske for-bindelsesmidler. Alternativt kan kortet være et kombinert optisk, mekanisk, magnetisk lesbart og elektronisk kort.
Imidlertid er det blitt vanlig å anvende kort med magnet-
strimler anordnet på dem sammen med et navn eller symbol som identifiserer kortsystemet eller datasystemet, eksempelvis kort i samsvar med bl.a. ISO standard 2894 (International Organization of Standardization), også kjent som ISO-kort.
Etter hvert som stadig flere funksjoner blir automatisert
og stadig flere kortsystemer lansert, er der oppstått et behov for et apparat som gjør det mulig å identifisere forskjellige kort- eller datasystemer og skaffe kommunikasjon til det riktige datasystem. Først og fremst har dette behov en komfort-side, siden en person kan kjøpe inn varer ved hjelp av forskjellige maskinlesbare kort, f.eks. et kort, vanligvis et kredittkort, som utstedes av vedkommende selskap eller firma,
et kredittkort utstedt av en kredittkort-organisasjon, eksempelvis Diners Club Card, Eurocard m.v. eller et slikt kort som et debiteringskort, f.eks. et kort utstedt av en bank-organisasjon, f.eks. "Dankort System". Men bortsett fra at det er bekvemt for brukerne at der skaffes et enkelt apparat til avlesning av kort utstedt av forskjellige kortutstedende organisasjoner, har forholdet også en meget viktig sikkerhets-messig side.
Et grunnleggende forhold er at de forskjellige organisasjoner eller datasystemer har forskjellige nivåer for data-sekretesse og datasikkerhet; som nevnt ovenfor verifiserer noen datasystemer identiteten av kortets innehaver resp.
av den person som er i besittelse av kortet, on-line, og andre utfører verifikasjon off-line, mens verifikasjonen ved visse datasystemer utføres kvasi-on-line ved at dataene utleses fra kortet og gis ut til en verifikasjonsblokk sammen med den av kortinnehaveren innførte hemmelige kode. Konvensjonelt inngår denne verifikasjonsblokk i en såkalt "back office"-datamaskin
Siden overføringen fra dataleseterminalen til "back office"-datamaskinen eller kontrollblokken meget lett kan bli tappet,
vil også et sammenhørende sett av data og kode, henholdsvis utlest fra kortet og innført av kortinnehaveren, kunne tappes. Følgelig kan den person som tapper overføringen, skaffe seg
en falsk kopi av kortet og bruke denne falske kopi som et lovlig kort, siden den hemmelige kode har vært røbet for ham. Derfor foreligger der, siden noen kort og datasystemer innebærer høy sekretesse og høy sikkerhet, en fare for at et kort med høy hemmelighets- og sikkerhetsgrad ved en ufor-siktighet kan bli presentert for en terminal med lav hemmeligholdelses- og sikkerhetsgrad av den lovlige kortinnehaver,
som også innfører den hemmelige kode til denne terminal med lav hemmeligholdelses- og sikkerhetsgrad, og denne terminal så røper informasjon, dvs. kortets data og den hemmelige kode.
Bortsett fra den ovennevnte risiko for at kortets data
og den hemmelige kode som bare er kjent for kortets lovlige innehaver, blir tilgjengelige på grunn av uoppmerksomhet,
vil en falsk eller villedende terminal fremskaffet av en person som ønsker å tappe sammenhørende sett av data og kode ved hjelp av den falske terminal og har tilsvarende identifika-sjoner som kortsystemet med høy hemmelighets- og sikkerhetsgrad, likeledes kunne tilgjengeliggjøre kortets data og den hemmelige kode, særlig i tilfeller hvor flere kortlesende terminaler hos forskjellige organisasjoner er anordnet side om side.
Det menes at tilveiebringelsen av et eneste apparat
som kommuniserer med de forskjellige datasystemer, er av største betydning for å oppnå et høyt hemmelighets- og sikkerhetsnivå, siden muligheten for å villede kortets innehaver blir redusert til et minimum når muligheten for å fremskaffe en pålitelig kopi eller villedende terminal blir redusert.
Imidlertid vil et enkelt apparat som kommuniserer med forskjellige datasystemer for å lese data fra et databærende kort og for å overføre de data og den kode som innføres av kortets innehaver, til de forskjellige datasystemer, i seg selv kunne gi mulighet for tilgjengelighet til datasystemer med den høye hemmelighets- og sikkerhetsgrad fra et datasystem med lav hemmelighets- og sikkerhetsgrad, siden apparatet meget lettvint vil kunne styres til en feilaktig modus hvor de data som leses fra kortet med høy hemmelighets- og sikkerhetsgrad, sammen med den tilsvarende kode blir gitt ut til et datasystem med lav hemmelighets- og sikkerhetsgrad.
Der er derfor et behov for et apparat som kommuniserer med flere enn ett datasystem for å oppnå de ovenfor omtalte fordeler med hensyn til sikkerhet som skaffes av et kombinert apparat, men allikevel stadig å eliminere risikoen for å muliggjøre tilgjengelighet til et datasystem med høy hemmelighets- og sikkerhetsgrad fra et datasystem med lav hemmelighets- og sikkerhetsgrad.
Dette behov blir tilfredsstilt med et apparat som kommuniserer med minst to forskjellige dataanlegg eller datasystemer og er innrettet til å motta data som stammer fra data lest fra et databærende kort, til å motta et kortidentifiserende signal som positivt identifierer kortet som et kort som hører til et første dataanlegg eller datasystem eller i stedet som et kort hørende til et annet dataanlegg eller datasystem og til å overføre dataene som stammer fra de fra kortet leste data til et første av dataanleggene eller datasystemene eller i stedet å verifisere autensiteten av en person som er i besittelse av kortet i forhold til et annet av dataanleggene eller datasystemene, hvor apparatet omfatter et datainnleseorgan til å motta dataene som stammer fra de fra kortet leste data og til å motta det kortidentifiserende signal, og et innleseorgan til å lese inn en personautensitetskode, og som i henhold til den foreliggende oppfinneles er kjennetegnet ved at det omfatter et første lagerorgan til å lagre en første krypteringsalgoritme og en transmisjonsprotokoll, et annet lagerorgan til å lagre en verifikasjonsalgoritme, et krypteringsorgan som styres av datainnleseorganet og av det første lagerorgan, til å kryptere dataene og koden slik at de data som stammer fra de fra kortet leste data og koden krypteres ved bruk av den første krypteringsalgoritme som er lagret i det første lagerorgan, forutsatt at kortet er identifisert som et kort som hører til det første dataanlegg eller det første datasystem, og utleses til det første dataanlegg eller datasystem styrt av den i det første lagerorgan lagrede transmisjonsprotokoll, og et komparatororgan som styres av datainnleseorganet og det annet lagerorgan, til å sammenligne de data som stammer fra de fra kortet leste data og koden, slik at det, forutsatt at kortet er identifisert som et kort som hører til det annet dataanlegg eller datasystem, overføres en autensitetskode til det annet dataanlegg eller det annet datasystem i det tilfelle at de data som stammer fra de fra kortet leste data, er verifisert i forhold til koden ved bruk av den i det annet lagerorgan lagrede verifikasjonsalgoritme eller i stedet overføres en ikke-autensitetskode til det annet dataanlegg eller datasystem i det tilfelle at de data som stammer fra de fra kortet leste data, ikke er verifisert i forhold til koden ved bruk av den i det annet lagerorgan lagrede verifikasjonsalgoritme.
I SE-B-426886 beskrives et anlegg til debitering og styring av penge- og varetransaksjoner. Anlegget omfatter flere terminaler og hver terminal kan aktiveres av forskjellige kontokort. Hver terminal kan kommunisere med et antall forskjellige sentrale kontoførende dataanlegg eller -systemer. Når en terminal aktiveres, kaller den, under veiledning av de data den avleser på kontokortet, det korrekte dataførende dataanlegg eller -system, som deretter kontrollerer kontoens status og så sender returinformasjon tilbake til terminalen som derpå på basis av informasjonene styrer det videre forløp.
SE-B-426886 beskriver ikke det problem at dataanleggene kan ha forskjellig hemmelighets- og sikkerhetsnivåer.
Den foreliggende oppfinnelse skaffer nettopp en
løsning på. det. ovennevnte, problem, idet oppfinnelsens idé eliminerer risikoen for å skaffe transparens til det første datasystem eller datasystemet med høy hemmelighets-og sikkerhetsgrad fra det annet datasystem eller datasystemet med lav hemmelighets- og sikkerhetsgrad, fordi personbemyndig-elseskoden dels, med hensyn til første datasystem, altså datasystemet med høy hemmelighets- og sikkerhetsgrad, blir gitt ut til første datasystem utelukkende i en kryptert tilstand, noe som i seg selv garanterer det høye sikkerhets-og hemmeligholdelsesnivå, og personautorisasjonskoden dels med hensyn til annet datasystem, altså datasystemet med lav hemmelighets- og sikkerhetsgrad, blir sammenlignet med de
data som stammer fra de fra kortet avleste data, utelukkende i sammenligningsinnretningen, og den ved hjelp av inngangsorganet innførte kode ikke under noen omstendighet blir gitt ut til annet datasystem, siden bemyndigelseskoden eller den negative bemyndigelseskode blir gitt ut utelukkende til den. Videre blir et sammenhørende sett av data stammende fra de
fra kortet avleste data, og den tilhørende kode ikke under noen omstendighet gitt ut til annet datasystem.
I den foreliggende sammenheng betyr uttrykket "data stammende fra de fra et kort avleste data" selve de data som avleses fra kortet, eller en hvilken som helst omformet eller behandlet versjon av de fra kortet avleste data. Således kan de data som mottas av datainngangsorganet hos apparatet ifølge oppfinnelsen, utgjøre selve de fra kortet avleste data eller hvilken som helst omsatt eller behandlet versjon av de fra kortet avleste data.
I henhold til en første utførelsesform for oppfinnelsen har apparatet et ytterligere krypteringsorgan, idet en annen krypteringsalgoritme er lagret i det annet lagerorgan, hvilket ytterligere krypteringsorgan styres av datainnleseorganet og av det annet lagerorgan på en slik måte, at, forutsatt at kortet er identifisert som et kort som hører til det annet dataanlegg eller det annet datasystem, krypteres de data som stammer fra de fra kortet leste data, og koden i det ytterligere krypteringsorgan ved bruk av den annen i det annet lagerorgan lagrede krypteringsalgoritme før sammenligningen av dataene og koden i komparatororganet.
Da der for kryptering av de data som stammer fra de fra kortet avleste data, med kode anvendes et individuelt krypteringsorgan med hensyn til første datasystem og da dataene og koden ytterligere krypteres ved anvendelse av en respektiv krypterinsalgoritme forut for verifikasjonen med hensyn til annet datasystem, blir tilsløringen ytterligere øket, siden muligheten for å knekke første datasystems krypteringskode basert på kjennskap til den krypterings- og kontrollmetode som benyttes til å kontrollere autorisasjonen av den person som er i besittelse av kortet, i forbindelse med annet datasystem, blir eliminert.
Ifølge den foreliggende oppfinnelse kan apparatet være utført slik at det kommuniserer med minst tre forskjellige dataanlegg eller datasystemer, og at det dessuten har et tredje lagerorgan til lagring av en ytterligere verifikasjonsalgoritme, idet kortidentifikasjonssignalet ytterligere sikkert identifiserer kortet som et kort som hører til det ene av de nevnte tre eller flere dataanlegg eller datasystemer, og idet datakomparatororganet ytterligere styres av datainnleseorganet og det tredje lagerorgan for å sammenligne de data som stammer fra de fra kortet leste data og koden, slik at det, forutsatt at kortet er identifisert som et kort som hører til det tredje dataanlegg eller datasystem, mates en autensitetskode til det tredje dataanlegg eller datasystem i det tilfelle at de data som stammer fra de fra kortet leste data, er verifisert i forhold til koden ved bruk av den i det tredje lagerorgan lagrede verifikasjonsalgoritme, eller i stedet en ikke-autensitetskode til det tredje dataanlegg eller datasystem i det tilfelle at de data som stammer fra de fra kortet leste data, ikke er verifisert i forhold til koden ved bruk av den i det tredje lagerorgan lagrede verifikasjonsalgoritme.
I denne utførelsesform hvor apparatet kommuniserer med tre eller flere datasystemer, kan sikkerhets- eller hemmelighetsnivået som forklart ovenfor, økes ytterligere ved at apparatet har enda et ytterligere krypteringsorgan, idet det i det tredje lagerorgan er lagret en tredje krypteringsalgoritme, hvilket enda ytterligere krypteringsorgan styres av datainnleseorganet og det tredje lagerorgan på en slik måte, at, forutsatt at kortet er identifisert med kort som hører til det tredje dataanlegg eller datasystem, krypteres de data som stammer fra de fra kortet leste data i det enda ytterligere krypteringsorgan ved bruk av den i det tredje lagerorgan lagrede tredje krypteringsalgoritme før sammenligningene av dataene og kodene i komparatororganet.
I den ovenfor angitte utførelsesform for oppfinnelsen, hvor data som stammer fra de fra kortet avleste data, og den kode som innføres ved hjelp av inngangsorganet, blir kryptert forut for sammenligningen av data og kode i kompara-torinnretningen, er det mulig, forutsatt at kortet identifiseres som et kort tilhørende annet datasystem eller som et kort tilhørende tredje datasystem, å la krypteringsorganene omfattende det førstnevnte krypteringsorgan, det ytterligere krypteringsorgan og det enn ytterligere krypteringsorgan, utgjøres av diskrete eller individuelle kryp-teringsorganer realisert med programvare eller maskinvare. Imidlertid kan krypteringsinnretningen, dvs. første kryp-ter ingsorgan, det ytterligere krypteringsorgan og det enn ytterligere krypteringsorgan utgjøres av ett enkelt krypteringsorgan.
Bortsett fra behovet for å skaffe et apparat som kommuniserer med minst to forskjellige datasystemer og elimini-
rer risikoen for å skaffe tilgjengelighet til datasystemet med høy sikkerhets- og hemmeligholdelsesgrad fra datasystemet med lav hemmeligholdelses- og sikkerhetsgrad, foreligger der et behov for et apparat som kommuniserer med minst to datasystemer med høy sikkerhets- og hemmelighetsgrad og eliminerer muligheten for å oppnå transparens til det ene datasystem fra det annet.
Dette behov tilfredsstilles av en utførelsesform og et apparat i henhold til foreliggende oppfinnelse, idet denne utførelsesform er kjennetegnet ved at det annet lagerorgan i stedet for å være innrettet til å lagre en verifikasjonsalgoritme, er innrettet til å lagre en annen krypteringsalgoritme og en annen transmisjonsprotokoll, og at komparatororganet er utelatt og krypteringen styres av datainnleseorganet og det ene av henholdsvis det første og det annet lagerorgan på en slik måte, at, forutsatt kortet er identifisert som et kort tilhørende det første dataanlegg eller datasystem, krypteres de data som stammer fra de fra kortet leste data, og koden, ved bruk av den første krypteringsalgoritme som er lagret i det første lagerorgan og leses ut til det første dataanlegg eller datasystem styrt av den første transmisjonsprotokoll som er lagret i det første lagerorgan, eller i stedet på en slik måte, at, forutsattt kortet er identifisert som et kort som hører til det annet dataanlegg eller datasystem, krypteres de data som stammer fra de fra kortet leste data, og koden ved bruk av den annen krypteringsalgoritme som er lagret i det annet lagerorgan og leses ut til det annet dataanlegg eller datasystem styrt av den annen transmisjonsprotokoll som er lagret i det annet lagerorgan.
Da det sammenhørende sett av data som stammer fra de
fra kortet avleste data og personautensitetskoden blir gitt ut til respektive datasystem i kryptert tilstand som i seg selv garanterer det høye hemmelighets- og sikkerhetsnivå av vedkommende datasystem, vil en feilaktig avgivelse av et sammenhørende sett av data og kode til et feilaktig datasystem ikke røpe personautorisasjonskoden til noen tredjemann, men det sammenhørende sett av data og kode i det ene datasystem blir tilgjengeliggjort for det annet datasystem i tilfellet av at sammenhørende sett av data og kode i et av datasystemene feilaktig blir gitt ut til det annet datasystem. Ved denne realiseringsform for den foreliggende oppfinnelse blir datasystemene derfor transparente for hverandre og også avhengige av hverandre, siden hemmelighets- og sikker-hetsnivået av det ene av datasystemene blir avhengig av det annet.
Like som i den innledningsvis omtalte utførelsesform i henhold til den foreliggende oppfinnelse kan sikkerhets- eller hemmelighetsnivået høynes ytterligere ved at apparatet har et ytterligere krypteringsorgan, idet det første av krypteringsorganene styres av datainnleseorganene og av det første lagerorgan på en slik måte, at, forutsatt kortet er identifisert som et kort som hører til det første dataanlegg eller det første datasystem, krypteres de data som stammer fra de fra kortet leste data, og koden i et første krypteringsorgan, og idet et annet av krypteringsorganene styres av datainnleseorganet og av det annet lagerorgan på en slik måte, at, forutsatt kortet er identifisert som et kort som tilhører det annet dataanlegg eller det annet datasystem, krypteres de data som stammer fra de fra kortet leste data, og koden i det annet krypteringsorgan .
I henhold til den foreliggende oppfinnelses lære kan apparatet ytterligere innrettes for å kommunisere med minst tre eller flere dataanlegg eller datasystemer og ha et tredje lagerorgan til lagring av en tredje krypteringsalgoritme og en tredje transmisjonsprotokoll, idet kortidentifikasjonssignalet ytterligere positivt identifiserer kortet som et kort som hører til det ene av de nevnte tre eller flere dataanlegg eller datasystemer, og idet krypteringsorganene ytterligere styres av det tredje lagerorgan på en slik måte, at, forutsatt kortet er identifisert som et kort hørende til det tredje dataanlegg eller datasystem, krypteres de data som stammer fra de fra kortet leste data, og koden ved bruk av den tredje krypteringsalgoritme som er lagret i det tredje lagerorgan, og leses ut til det tredje dataanlegg eller datasystem styrt av den tredje transmisjonsprotokoll som er lagret i det tredje lagerorgan.
Som forklart ovenfor kan intransparensen økes, forutsatt at der anvendes et individuelt krypteringsorgan i forbindelse med de enkelte datasystemer. Derfor kan det apparat som kommuniserer med tre eller flere datasystemer, ytterligere omfatte et tredje krypteringsorgan som styres slik ved hjelp av datainngangsorganet og tredje lagerorgan at data som stammer fra de fra kortet avleste data, og koden, forutsatt at kortet identifiseres som et kort tilhørende tredje datasystem, blir kryptert i tredje krypteringsorgan.
Bortsett fra et apparat som kommuniserer med tre eller flere datasystemer med høy sikkerhets- og hemmelighetsgrad,
er det mulig å skaffe et apparat som kombinerer anvisningene ved de ovennevnte sider av den foreliggende oppfinnelse,
dvs. et apparat som kommuniserer med minst to datasystemer med høy sikkerhets- og hemmelighetsgrad og et eller flere datasystemer med lav hemmelighets- og sikkerhetsgrad, og som ytterligere har et tredje lagerorgan for lagring av en verifikasjonsalgoritme samt et komparatororgan, idet kortidentifikasjonssignalet ytterligere positivt identifiserer kortet som et kort som tilhører det ene av de tre eller flere dataanlegg eller datasystemer, og idet komparatororganet styres av datainnleseorganet og av det tredje lagerorgan til sammenligning av de data som stammer fra de fra kortet leste data og koden på en slik måte, at det, forutsatt kortet er identifisert som et kort hørende til det tredje dataanlegg eller datasystem, avgis en autensitetskode til det tredje dataanlegg eller datasystem i det tilfelle at de data som stammer fra de fra kortet leste data, er verifisert i forhold til koden ved bruk av den i det tredje lagerorgan lagrede verifikasjonsalgoritme, eller at det i stedet avgis en ikke-autensitetskode til det tredje dataanlegg eller datasystem i det tilfelle, at de data
som stammer fra de fra kortet leste data, ikke er verifisert i forhold til koden ved bruk av den i det tredje lagerorgan lagrede verifikasjonsalgoritme.
I de ovenfor omtalte utførelsesformer for et i samsvar med oppfinnelsen utført apparat som kommuniserer med tre eller flere datasystemer, kan apparatet som forklart ovenfor, med fordel har et tredje krypteringsorgan, idet det i tredje lagerorgan ytterligere er lagret en tredje krypteringsalgoritme, og idet det tredje krypteringsorgan styres av datainnleseorganet og av det tredje lagerorgan på en slik måte, at, forutsatt kortet er identifisert som et kort som hører til det tredje dataanlegg, krypteres de data som stammer fra de fra kortet leste data, og koden i det tredje krypteringsorgan ved bruk av den i det tredje lagerorgan lagrede tredje krypteringsalgoritme før sammenligningen av dataene og kodene i komparatororganet.
De ovenfor beskrevne utførelsesformer for oppfinnelsen kan ytterligere ha et identifikasjonsorgan til å motta de data som stammer fra de fra det kortbærende kort leste data, og til å generere det kortidentifiserende signal som positivt identifiserer kortet som et kort tilhørende et av dataanleggene eller datasystemene eller som et kort som ikke hører til noen av dataanleggene eller datasystemene. Siden apparatet ifølge denne utførelsesform for oppfinnelsen frembringer kortiden-tif ikas jonssignalet på basis av de fra kortet avleste data, reduseres muligheten for å styre apparatet til en modus hvor dataene og en dermed sammenhengende kode blir kryptert ved bruk av en feilaktig krypteringsalgoritme eller et feilaktig krypteringsorgan.
Alternativt kan de ovenfor beskrevne utførelsesformer
for oppfinnelsen istedenfor identifikasjonsorganet omfatte et enkelt, manuelt betjenbart koblingsorgan som rett og slett aktiveres av den person som er i besittelse av kortet, og
som skal å innføre en personautensitetskode i apparatet.
Skjønt personen ved a aktivere koblingsorganet feilaktig kan bringe apparatet i en modus hvor de fra kortet avleste data og koden som innføres av personen, blir behandlet som.
om vedkommende data og kode tilhørte et datasystem med lav sikkerhets- og hemmelighetsgrad, til tross for at vedkommende data og kode i virkeligheten tilhører et datasystem med høyere sikkerhets- og hemmelighetsgrad, blir der ikke under noen omstendighet røbet noe sammenhørende sett av data og kode av datasystemet med den lave hemmelighets- og sikkerhetsgrad, siden apparatet ifølge oppfinnelsen leverer en ikke-autensitetskode eller alternativt under ekstreme og ytterst usannsynlige forhold en autensitetskode til datasystemet med lav sikkerhets- og hemmelighetsgrad.
I en ytterligere utførelsesform for apparatet ifølge oppfinnelsen, hvor dette omfatter et integrert identifikasjonsorgan, inneholdes ytterligere et utlesningsorgan til å lese dataene fra det databsrende kort. Følgelig er der dermed skaffet et selvstendig apparat til å utlese data fra det databærende kort og til å sende dataene og/eller å kontrollere bemyndigelsen av den person som er i besittelse av kortet.
I henhold til de foretrukne utførelsesformer for apparatet ifølge oppfinnelsen er der anordnet et temporært lagerorgan til forbigående å lagre de fra kortet avleste data og personautensitetskoden inntil sendingen av data fra datasy-stemenes apparater er avsluttet eller verifikasjon av autensiteten til den person som er i besittelse av kortet,
er avsluttet.
For å sette apparatet ifølge oppfinnelsen i stand til
å motta et svar fra nevnte første datasystem, et svar som utgjør en bekreftelse eller en manglende bekreftelse av autensitet som resultat av den verifikasjonsprosedyre som utføres av den sentrale behandlingsenhet hos dette første datasystem, kan apparatet ifølge oppfinnelsen ytterligere omfatte en datamottagerinnretning til å motta data fra datasystemene.
Videre kan apparatet ifølge oppfinnelsen omfatte en generator for tilfeldige tall som lagres i den temporære lagerinnretning og innføres i krypteringsorganet sammen med de data som skal krypteres i dette, og ennvidere gis ut til det nevnte første datasystem sammen med de data som gis til dette. Ved å kombinere et tilfeldig tall, data og kode og ytterligere kryptere kombinasjonen, reduserer man ytterligere muligheten for å knekke krypteringskoden, siden det frembragte tilfeldige tall selvsagt endrer de krypterte data på en måte som ikke kan forutsies.
I et "on-line"-verifikasjonsanlegg eller -system, overføres normalt, som forklart ovenfor, en autensitetskode fra datasystemets sentrale behandlingsenhet til apparatet eller terminalen etter at den sentrale behandlingsenhet har avsluttet verifikasjonen on-line. I den ovennevnte utførelsesform av apparatet ifølge oppfinnelsen med generator for tilfeldige tall kan der anordnes en ytterligere komparator til å sammenligne de data som overføres til den fra det første datasystem, og det tilfeldige tall som er lagret i den temporære lagerinnretning. Ved denne utførelsesform utgjøres autensitetskoden som sendes fra den sentrale behandlingsenhet til l,on-line"-verifikasjons-systemet, av det tilfeldige tall som har vært sendt til den sentrale behandlingsenhet sammen med dataene og koden i kryptert tilstand. Siden autensitetskoden utgjøres av det tilfeldige tall, som selvsagt endres på tilfeldig måte, kan overføringen av koden for bemyndigelse eller manglende bemyndigelse til apparatet fra datasystemets sentrale behandlingsenhet utføres i klartekst, altså i ukryptert tilstand.
For å gjøre det umulig å tappe apparatet, altså for
å eliminere muligheten for å trekke ut koder og data ved hjelp av et høyfølsomt elektronisk lytteutstyr, og også å eliminere muligheten for å tilgjengeliggjøre detaljer i apparatet med hensyn til dets utførelse og funksjoner og til deri lagrede data, eksempelvis det forbigående lagrede tall som frembringes av tilfeldighetsgeneratoren, samt personbemyn-autensitetskoden, ved å eksponere apparatet til radiomagnetisk stråling, særlig røntgenstråler og/eller ved å demontere hele apparatet, blir det foretrukket at apparatet ifølge oppfinnelsen har et radioopakt, fingrings- og tappingssikkert hus som i tilfellet av de ovennevnte første og andre sider ved den foreliggende oppfinnelse omslutter i det minste datainngangsorganet, inngangsorganet, lagerorganet,
krypteringsorganet, komparatororganet, det temporære lagerorgan, det ytterligere komparatororgan og tilfeldighetstallgeneratoren resp. datainngangsorganet, inngangsorganet, lagerorganet, krypteringsorganet, det temporære lagerorgan, det ytterligere komparatororgan og tilfeldighetstall-generatoranordningen. Det radioopake, fingrings- og tappingssikre hus kan, slik det er velkjent innen faget, dannes av et hus som omfatter en radioopak komponent, magnetiske og elektriske skjermningskomponenter og mekanisk meget sterke komponenter, som plater av bly og rustfritt stål. For å skaffe et fingringssikkert hus kan der benyttes en støpt komponent som omslutter apparatets elektroniske komponenter, og som kan omfatte elementer med stor styrke, f.eks. keramiske eller metalliske partikler eller strimler, som når de utsettes for mekanisk påkjenning, ødelegger støpedelen og frakobler og ødelegger vitale deler av apparatet, eksempelvis lagringsorganene. Videre kan det radioopake, fingrings- og tappingssikre hus innbefatte lys-, vibrasjons- og/eller støtdetek-terende sensorer som, slik det er velkjent innen faget, sletter lagringsorganene når de utsettes for lys, vibrasjoner eller støt.
Skjønt krypteringsorganene innrettes til å realisere en hvilken som helst krypteringsalgoritme som innebærer hemmelige eller offentlige nøkler, som en PKC-algoritme (Public Key Cryptography), hvor en offentlig tilgjengelig nøkkel anvendes til kryptering og en hemmelig nøkkel anvendes til dekryptering av de krypterte data og den krypterte kode, foretrekkes det for nærværende å utføre krypteringsorganet til å foreta DES-kryptering (DES: Data Encryption Standard) og la de respektive lagringsorganer omfatte hver sin DES-krypterings-nøkkel. DES er en krypteringsalgoritme som er godkjent av NBS (National Bureau of Standards) og består av en inn-ledende permutasjon, 16 identiske partielle algoritmer betegnet runder, en undertrykkelse av venstre og høyre halvdeler for å lette dekryptering, samt en permutasjon motsatt den opprinnelige. I hver runde blir et ord på 64 bits erstattet med et annet antall på 64 bits som styres av en 48 bit-nøkkel som ytterligere avledes fra en opprinnelig 56 bit-nøkkel. DES-kryptering skaffer et høyt hemmelighets- og sikkerhetsnivå og har vørt realisert i maskinvare.
Apparatets inngangsorgan som er innrettet til å innføre personautensitetskoden, kan være av hvilken som helst passende art, dog fortrinnsvis av en art som gir sekretesse for det skritt å føre inn den hemmelige personautensitetskode. Inngangsorganet kan utgjøres av et optisk leseorgan som er innrettet til å lese en persons fingeravtrykk eller andre biologiske karakteristika og omforme denne optiske eller på annen måte lesbare informasjon til en kode. Imidlertid er inngangsorganet ved den for nærværende foretrukne utførel-sesform for oppfinnelsen et tastatur, f.eks. et numerisk tastatur, et alfa-numerisk tastatur eller et heksadesimal-tastatur for inføring av en personidentifikasjonsskode (PIN) med et passende antall siffere eller tegn eller en hvilken som helst kombinasjon av slike. I den for nærværende foretrukne utførelsesform er personidentifikasjonstallet et firesifret desimaltall.
Normalt er overføringen av dataene og koden i kryptert tilstand til datasystemet et første skritt i en "on-line"-verifikasjon av kortinnehaverens autensitet med hensyn til datasystemet og med hensyn til kortet, hvoretter en pengesum blir overført til eller fra den bemyndigede kortinnehavers konto. Det tall som angir pengesummen, må føres inn i apparatet og overføres videre til vedkommende datasystem. Det tall som angir pengesummen, blir imidlertid fortrinnsvis innført fra et ytterligere inngangsorgan til krypteringsorganet sammen med de data som skal krypteres i dette, og blir gitt ut til det respektive datasystem sammen med de utgående data til dette. Ved å anordne et individuelt eller ytterligere inngangsorganet til innføring av krypteringsorganets nummer istedenfor å innføre tallet ved hjelp av apparatets numeriske tastatur, oppnår man en ytterligere fordel med hensyn til hemmeligholdelse og sikkerhet, siden det numeriske tastatur blir reservert utelukkende for innføring av personautensitets-eller personidentifikasjonskoden. Følgelig reduseres risikoen for ved uoppmerksomhet å gjøre personautensitetskoden tilgjengelig for et tredjemann ved å komme til å innføre personautensitetskoden istedenfor pengesummen som, slik det er velkjent innen faget, blir vist til personen med en visningsinnretning, idet inngangsorganet til innføring av pengesummen i apparatet blir adskilt fra inngangsorganet
til innføring av personautensitetskoden i dette. Normalt
blir det individuelle eller ytterligere inngangsorgan til å motta det tall som angir den pengesum som skal overføres, tilkoblet et eksternt apparat, f.eks. et kassaapparat, som leverer tallet.
Ved den for nærværende foretrukne utførelsesform for oppfinnelsen omfatter apparatet ytterligere en styreinnretning til å styre apparatets samlede funksjon. Ved å benytte en styreinnretning blir det mulig å la apparatets virkemåte styres selvstendig, slik at apparatet blir stoppet i tilfellet av en ødeleggelse eller feilaktig funksjon av en mindre rutine eller operasjon hos apparatet, så muligheten for feilaktig overføring av data og koder til et feilaktig datasystem og/ eller en feilaktig tilstand, f.eks. ukryptert tilstand,
blir forebygget.
Styreinnretningen kan fordelaktig være en mikroprosessor-innretning som gjør det mulig å utføre et stort antall kontroll- og styrerutiner, som styring eller kontroll av apparatets interne programvare, og blir dermed meget komplisert når det gjelder styrefunksjoner.
I de ovenfor omtalte utførelsesformer for oppfinnelsen kan lagringsorganet utgjøres av såkalte PROM<*>er (programmable read only memories) eller ROM<*>er (read only memories), og det temporære lagringsorgan kan fordelaktig utgjøres av et RAM (random access memory) som er meget lettvint å slette i tilfellet av et forsøk på inntrenging, som utredet ovenfor.
I det ovenfor omtalte selvstendige apparat som omfatter identifikasjons- og leseorganet, kan leseorganet fordelaktig være en magnetkortleser som omfatter en magnethodeanordning. Ved denne utførelsesform for oppfinnelsen er apparatet innrettet til å motta og lese data fra konvensjonelle magnetkort.
1 henhold til et tredje trekk ved oppfinnelsen skaffer denne fremgangsmåte til å kommunisere med minst to forskjellige dataanlegg eller datasystemer, til mottagelse av data som stammer fra data lest fra et databørende kort, og til overfø-ring av data som stammer fra de fra kortet leste data til et første av dataanleggene eller datasystemene eller i stedet til verifikasjon av autensiteten til en person som er i besittelse av kortet i forhold til et annet av dataanleggene eller datasystemene, hvilken fremgangsmåte omfatter lesning av data fra kortet ved hjelp av et leseorgan, identifikasjon av kortet på basis av de fra leseorganet mottatte data som et kort hørende til det første dataanlegg eller datasystem eller som et kort hørende til det annet dataanlegg eller datasystem eller som et kort som ikke hører til noen av dataanleggene eller datasystemene, og innlesning av en personautensitetskode, kjennetegnet ved at kryptering av de data som stammer fra de fra kortet leste data og koden, forutsatt at kortet er identifisert som et kort som hører til det første dataanlegg eller datasystem, idet de data som stammer fra de fra kortet leste data og koden krypteres ved bruk av en krypteringsalgoritme og leses ut til det første dataanlegg eller datasystem styrt av en transmisjonsprotokoll, sammenligning i et komparatororgan av de data som stammer fra de fra kortet leste data og koden, forutsatt at kortet er identifisert som et kort som hører til et annet dataanlegg eller datasystem, idet det til det annet dataanlegg eller datasystem overføres en autensitetskode i det tilfelle at de data som stammer fra de fra kortet leste data, verifiseres i forhold til koden ved bruk av en verifikasjonsalgoritme eller idet det i stedet overføres en ikke-autensitetskode til det annet dataanlegg eller datasystem i det tilfelle at de data som stammer fra de fra kortet leste data ikke verifiesres i forhold til koden ved bruk av verifikasjonsalgoritmen.
I henhold til en utførelsesform av fremgangsmåten er sammenligningen av data fra kortet og koden samt overføringen av en ikke kryptert autensitet er utelatt, og at de data som stammer fra de fra kortet leste data og koden, krypteres ved bruk av en første krypteringsalgoritme, forutsatt at kortet identifiseres som et kort hørende til et første dataanlegg eller datasystem, og leses ut til det første dataanlegg eller datasystem styrt av en første transmisjonsprotokoll eller i stedet slik at de data som stammer fra de fra kortet leste data, og koden krypteres ved bruk av en annen krypteringsalgoritme, forutsatt at kortet er identifisert som et kort som tilhører det annet dataanlegg eller datasystem, og utleses til det annet dataanlegg eller datasystem styrt av den annen transmisjonsprotokoll.
Oppfinnelsen vil nå bli beskrevet nærmere under henvisning til tegningen. Fig. 1 er et perspektivisk oversiktsbilde av et kunde-betjent apparat som utgjør den for nærværende foretrukne utførelsesform for et apparat ifølge oppfinnelsen og kommuniserer med to forskjellige dataanlegg eller datasystemer, hvorav det ene er et datasystem med høy hemmelighets- og sikkerhetsgrad og det annet er et datasystem med lav hemmelighets- og sikkerhetsgrad. Fig. 2 er et oversiktsbilde av et apparat som kan be-tjenes av en operatør og kommuniserer med apparatet på fig. 1. Fig. 3 er et oversiktsskjerna over et apparat ifølge oppfinnelsen ved tre forskjellige anvendelser.
Fig. 4 er et skjema over den foretrukne utførelsesform
for et apparat ifølge oppfinnelsen.
Fig. 5 er et skjema for en alternativ utførelsesform apparat ifølge oppfinnelsen. Fig. 6 viser gjennomskåret en sikkerhetsmodul hos et apparat ifølge oppfinnelsen, og Fig. 7 er et flytskjema som anskueliggjør den ytterst hemmelige og ytterst sikre kryptering og dekryptering i et "on-line"-dataanlegg eller -system.
Til venstre på fig. 3 er der vist to forskjellige anvendelser av et apparat 10 ifølge oppfinnelsen og til høyre på fig. 3 en tredje anvendelse av en alternativ utførelsesform eller realiseririgsform for et apparat ifølge oppfinnelsen sammen med et on-line-verifikasjonsdatasystem med høy hemmelighets og sikkerhetsgrad, vist som en blokk 40 som er inngrenset av en stiplet linje. Ved den første anvendelse, som er anskueliggjort innenfor den stiplede linje 12, kommuniserer apparatet 10 med et konvensjonelt kassaapparat 14 via en toveis dataoverføringsledning 16. Kassaapparatet 14 kommuniserer ennvidere med en såkalt "back office"- eller bakromsdatamaskin 18 via en dataoverføringsledning 20. I bakroms-datamaskinen 18 registreres de transaksjoner som foregår i kassaapparatet 14, og transaksjonene i andre kassaapparater tilsvarende apparatet 14 på fig. 3. Bakroms-datamaskinen 18 og de enkelte kassaapparater 14 kan tilsammen utgjøre et on-line-eller off-line- eller et semi-on-line-system, slik det er velkjent innen området forretnings-datamaskiner.
Apparatet 10 er innrettet til å motta maskinlesbare magnetkort utstedt av forskjellige kortutstedende organisa-
sjoner. I øvre høyre hjørne av blokken 12 er der vist tre kort 21, 22 og 23 som forutsettes utstedt av tre forskjellige kortutstedende organisasjoner, henholdsvis DK, XX og YY.
DK-kortet 21 er et kort tilhørende on-line-verifikasjonsdatasysterne 40 med høy hemmelighets- og sikkerhetsgrad, og XX-kortet
22 er utstedt av et selskap og omfatter kassaapparatet 14
og bakromsdatamaskinen 18. YY-kortet 2 3 kan være et kort utstedt av en organisasjon som utsteder kredittkort, f.eks.
et Diner's Club-kort, et Eurocard eller lignende, eller utstedt av et firma som i prinsippet tilsvarer det firma som utsteder XX-kortet 22. Alternativt kan YY-kortet 23 tilsvare DK-kortet
21, altså tilhøre et on-line-datasystem med høy hemmelighets-
og sikkerhetsgrad, i prinsippet make til datasystemet 40
på fig. 3.
Apparatet 10 er tilkoblet datasystemet 40 via en boks
25 som innbefatter en hovedforsyningsavdeling som også leverer energi til apparatet 10, samt en modem (modulator/demodulator). Foruten å levere energi til apparatet 10 kommuniserer boksen
25 med apparatet 10 via en toveis overføringslinje betegnet
26 (dupleks- eller halv-dupleks-overføring). Boksen 25 er tilkoblet datasystemet 40 via en dataoverføringslinje 28,
f.eks. en offentlig telefonlinje, som er tilkoblet et data-overf øringsnettverk 30 via et grensesnitt som ikke er vist på tegningen, og hvor den asynkrone overføring fra modemet 25 og apparatet 10 blir sammenfattet til en synkron dataover-føring (sendeprotokoll X21).
Til venstre nedentil på fig. 3 er der anskueliggjort
en annen anvendelse av apparatet 10 innenfor en blokk 32
inngrenset av en stiplet linje. Som ved den første anvendelse som er vist innenfor den stiplet innrammede blokk 12, kommuniserer apparatet 10 via dataoverføringslinjen 26, boksen 25, telefonlinjen 28 og overføringsnettverket 30 med det data-
system 40 med høy hemmelighets- og sikkerhetsgrad som er
vist til høyre oventil på fig. 3. Via en dataoverføringslinje 34 kommuniserer apparatet 10 ennvidere med en bakromsdatamaskin 18 som ytterligere via en overføringslinje 36 er tilkoblet en bensinpumpe 38 ved en veikant. Foruten DK-kortet 21 er apparatet 10 innrettet til å motta et ZZ-kort betegnet 24. ZZ-kortet 24 er et kort utstedt av det oljeselskap som driver bensinstasjonen, bensinpumpen 38 og bakromsdatamaskinen 18.
Apparatet 10, som senere vil bli beskrevet mer detaljert under henvisning til fig. 1, 4, 6 og 7, har en spalte 42
til å motta ett og ett av kortene 21-24, et visningsfelt 44 og et numerisk tastatur 46 som inngår i en sikkerhetsmodul
50 sammen med fire styretaster betegnet med henvisningstallet
48.
Til høyre nedentil på fig. 3 er der anskueliggjort
en tredje anvendelse av apparatet som er realisert i en alternativ utførelsesform for oppfinnelsen i en blokk 41, omrammet av en stiplet linje. Likedan som ved den ovenfor beskrevne annen anvendelse som er vist i den stiplet omrammede blokk 32, kommuniserer det apparat i samsvar med oppfinnelsen som er vist innenfor en stiplet omrammet blokk 49, med det on-line-verifikasjonsdatasystem 40 med høy hemmelighets- og sikkerhetsgrad som er vist oventil til høyre på fig. 3, via dataoverførings-linjen 26, boksen 25, telefonlinjen 28 og overføringsnett-
verket 30. Via dataoverføringslinjen 36 kommuniserer apparatet 49 med veikant-bensinpumpen 38. Som hovedkomponent innbefatter apparatet 49 sikkerhetsmodulen 50, som kommuniserer med bakroms-datamaskinen 18. De fire ovenfor omtalte styretaster som er betegnet med henvisningstallet 48, inngår likeledes i apparatet 49 og kommuniserer med bakromsdatamaskinen 18. Visningsfeltet 44 og kortspalten 42 hos en kortleser kommuniserer likeledes med bakromsdatamaskinen 18, som også kommuni-
serer med en kvitteringsskriver 47. Apparatet 49, som vil bli beskrevet mer detaljert senere under henvisning til fig.
5, 6 og 7, kan inneholdes i en veikantstender som ytterligere kan være innrettet til å motta notaer eller regninger for betaling av den innkjøpte bensin. Det skal nevnes at det apparat 49 som er vist nedentil til høyre på fig. 3, kan modifiseres til et apparat hvor en eller flere av de enkelte komponenter ligger fjernt. Således kan bakromsdatamaskinen 18 alernativt være en datamaskin av den type som er vist
til venstre nedentil på fig. 3. Imidlertid gjør opplegget ifølge den foreliggende oppfinnelse det mulig å skaffe et apparat som kommuniserer med et on-line-datasystem med høy hemmelighets- og sikkerhetsgrad og et datasystem med lav hemmelighets- og sikkerhetsgrad, som f.eks. et oljeselskap-datasystem med bakromsdatamaskinen 18, hvor de data som avleses fra kort, f.eks. et av kortene 22, 23 og 24, blir behandlet i bakromsdatamaskinen 18 før dataene eller en hvilken som helst omformet utgave av disse blir presentert for sikkerhetsmodulen 50, hvor de data som stammer fra de fra kortet avleste data, dvs. selve disse data eller en hvilken som helst omformet versjon av dem, levert fra bakromsdatamaskinen 18,
blir sammenlignet med en PIN-kode som ved hjelp av det numeriske tastatur 46 innføres av kunden eller den person som er i besittelse av vedkommende kort, slik det vil bli beskrevet nedenfor.
Ved den første anvendelse, som er anskueliggjort ved
den stiplet innrammede blokk 12, innfører en betjeningsperson de enkelte priser for de enkelte varer som skal kjøpes av kunden, i kassaapparatet. Etter å ha ført inn alle prisene i kassaapparatet lar betjeningspersonen dette beregne totalsummen, som via dataoverføringslinjen 20 blir gitt ut til bakromsdatamaskinen 18, og som også via dataoverføringslinjen 16 blir gitt ut til apparatet 10 og vist på dets visningsfelt
44. Mens betjeningspersonen ved kassaapparatet 14 innfører prisene i dette, beveger den person som innehar et kort 21, 22 eller 23, magnetkortet gjennom kortspalten 42 i apparatet 10. Derved blir de data som er lagret på kortet, innført i apparatet. Fra disse data blir der avledet kortidentifika-sjonsdata eller et kortidentifikasjonssignal som identifiserer kortet som et DK-kort, et XX-kort, et YY-kort eller et kort som ikke tilhører noen av disse kategorier, blant slike kort som kan aksepteres av apparatet 10. Kunden innfører også
det ovennevnte personidentifikasjonsnummer (en PIN-kode)
i apparatet, nemlig i sikkerhetsmodulen 50, ved hjelp av tastaturet 46. Denne PIN-kode er en hemmelig kode som bare er kjent av kunden.
Forutsatt at det aktuelle kort er et XX-kort, dvs.
et kort utstedt av vedkommende selskap, utfører apparatet
10, som det vil bli forklart nedenfor, en off-line-verifikasjon av autensiteten av den person som er i besittelse av kortet, med hensyn til kortet og dermed til formaet eller datasystemet, dvs. bakromsdatamaskinen 18. I tilfellet av at autensiteten av kunden eller personen som innehar XX-kortet 22, blir verifisert, gir apparatet 10 ut en verifiseringskode til kassaapparatet 14 via datoverføringslinjen 16 og ennvidere via dataoverføringslinjen 20 til bakromsdatamaskinen 18. Siden kunden er blitt identifisert som en lovlig og autorisert kortinnehaver, vil den i kassaapparatet 14 beregnede sum bli overført til bakromsdatamaskinen 18 og debitert kundens konto. Først må kunden imidlertid akseptere den sum som er vist i feltet 44, ved å påvirke en passende tast blant tastene 48, slik det vil bli forklart nedenfor. I tilfellet av at autensiteten av den person som er i besittelse av XX-kortet 22, ikke blir verifisert, gir apparatet 10 ut en negativ autensitetskode via dataoverføringslinjen 16 til kassaapparatet 14. I såfall blir det ikke tillatt kunden å kjøpe varene ved overføring av summen til bakromsdatamaskinen 18 og registrering av summen i en konto som tilsvarer det aktuelle kort 22.
Ved annen og tredje anvendelse av henholdsvis apparatet 10 i den stiplet innrammede blokk 32 til venstre nedentil på fig. 3 og apparatet 4 9 i den stiplet innrammede blokk
41 til høyre nedentil på fig. 3, må autensiteten av den person som er i besittelse av kortet, kontrolleres i forhold til bakroms-datamaskinsystemet inklusive bakroms-datamaskinen 18 når personen benytter ZZ-kortet 24, eller i forhold til det on-line-verifikasjonsdatasystem som er vist i den stiplet innrammede blokk 40 til høyre oventil på fig. 3, når personen benytter DK-kortet 21, innen bensinpumpen 38 startes. Ved denne off-line- eller on-line-verifikasjon benyttes en null-normal-verdi av pengesummen svarende til den mengde bensin som skal kjøpes. Forutsatt at autensiteten av personen som innehar kortet, har vært bekreftet i forhold til det datasystem som tilsvarer datakortet, kan personen kjøpe bensin og/eller andre varer hvis priser er registrert ved en kassaapparat-funksjon som ikke er vist på tegningen, men som i prinsippet svarer til det ovenfor beskrevne kassaapparat 14 som kommuni-
serer med bakromsdatamaskinen 18.
I tilfellet av at kunden benytter DK-kortet 21 i de anvendelser som er anskueliggjort i de stiplet innrammede blokker 12, 32 og 41, blir de fra kortet avleste data levert til sikkerhetsmodulen 50 og kryptert i denne sammen med den sum som er innført i apparatet fra kassaapparatet 14, såvel som den PIN-kode som er innført av kunden ved det numeriske tastatur 46, som det vil bli forklart mer detaljert senere under henvisning til fig. 7, og gitt ut i kryptert tilstand til boksen 25 samt overført videre gjennom den offentlige telefonlinje 28, og de ovennevnte data blir etter å
være konsentrert på ikke vist måte, via overføringsnettverket 30 innført i det on-line-verifikasjonsdatasystem som er vist i den stiplet innrammede blokk 40 til høyre oventil på fig. 3.
Der henvises nå til fig. 7, hvor sikkerhetsmodulen 50 hos apparatet 10 og apparatet 49 ifølge oppfinnelsen er vist oventil, mens den stiplet innrammede blokk i nedre del av figuren anskueliggjør on-line-verifikasjonsdatasysternet med høy sikkerhets- og hemmelighetsgrad. I prinsippet anskueliggjør fig. 7 den krypteringsrutine som utføres i sikkerhetsmodulen 50 forut for utsendelsen av data derfra til datasystemet 40, hvor der utføres en dekrypteringsrutine for å verifisere autensiteten av den person som er i besittelse av DK-kortet 21. Som nevnt ovenfor bærer DK-kortet 21 kortidentifikasjons-data og ennvidere en personautensitetskode (PVC). I en blokk 51, nemlig apparatets kortleseorgan, skaffes PVC-koden og kortidentifikasjonsdataene fra kortet. Den person som er i besittelse av kortet, innfører en PIN-kode som nevnt ovenfor ved hjelp av det numeriske tastatur 46. PIN-koden innføres i en krypteringsblokk 52 hvor PIN-koden blir kryptert ved anvendelse av en første krypteringsnøkkel K]_. Når personen aktiverer de ovennevnte styretaster 48, blir totalsummen B overført, forutsatt at kunden allerede har godtatt totalsummen, og hvis ikke, blir den ovennevnte nu11-normaIverdi for totalsummen KB overført. I en tilfeldighetstallgenerator 53 blir der frembragt et tilfeldig tall TT. Det tilfeldige tall TT, PVC-koden levert fra blokken 51, den fra styretastene
48 overførte totalsum B og den i blokken 52 innførte krypterte PIN-kode [PIN] K-L blir innført i en annen krypteringsblokk 54 og kryptert ved anvendelse av en annen krypterings-nøkkel K2. Siden sikkerhetsmodulen 50 er en enkelt modul blant flere moduler som kommuniserer med ett og samme on-line-datasystem, blir et sikkerhetsmodul-identifikasjonsnummer overført fra blokken 59 hos modulen 50 i klartekst sammen med annen krypteringsnøkkel-versjon av den krypterte PIN-
kode [PIN] K1, totalsummen B, PVC-koden og det tilfeldige tall TT, dvs. [[PIN] K 1 + B + PVC + TT] K2.
Som forklart ovenfor, blir PVC-koden, PIN-koden, totalsummen B og det tilfeldige tall TT gitt ut i kryptert tilstand fra apparatet 10 til boksen 25 og blir så via den offentlige telefonlinje 28, den ikke viste datakonsentrator og dataoverføringsnettet 30 innført i on-line-verifikasjonsdatasystemet 40 med høy hemmelighets- og sikkerhetsgrad. I en første blokk 55 av datasystemet blir dataene dekryptert ved anvendelse av en dekrypteringsnøkkel motsvarende krypterings-nøkkelen K2. Det tilfeldige tall TT, PVC-koden og totalsummen B blir gitt ut fra første dekrypteringsblokk 55 og innført i en separasjonsblokk 56. I separasjonsblokken 56 blir PVC-koden og det tilfeldige tall TT skilt fra totalsummen B, som blir levert ut til en blokk 57 for videre overføring til kontoregisteret m.v., mens PVC-koden og et tilfeldig tall TT blir innført
i en ytterligere separasjonsblokk 58, hvor PVC-koden og det tilfeldige tall TT blir skilt fra hverandre. PIN-koden leveres fra blokken 55 i en kryptert tilstand og innført i en annen dekrypteringsblokk 59 hvor den krypterte PIN-kode blir dekryptert ved anvendelse av en dekrypteringsnøkkel motsvarende krypteringsnøkkelen Kx. Klartekst-PIN-koden innføres i en blokk 60 hvor PIN-koden og PVC-koden blir kombinert. Siden PVC-koden innbefatter en DES- (Data Encryption Standard)kryptering av PIN-koden, blir den aktuelle kombinasjon av
kodene utført ved anvendelse av en DES-rutine. Fra blokken 60 blir der gitt ut en PVCV-kode til en blokk 61 hvor PVCV-koden blir sammenlignet med PVCV-koder fra et register 62
hvor der er lagret PVCV-koder svarende til anerkjente eller lovlige kort. Forutsatt at PVCV-koden inneholdes i PVCV-koderegisteret 62, blir der gitt ut et "ja" til en port 63 som sender det tilfeldige tall TT tilbake til modulen 50 som
den autensitetskode som bekrefter autensiteten av den person
som er i besittelse av kortet, med hensyn til kortet, og til on-line-verifikasjonsdatasystemet 40, dvs. som en lovlig og anerkjent kortinnehaver. Forutsatt at den PVCV-kode som
gis ut fra blokken 60, ikke inneholdes i PVCV-koderegisteret
. 62, gir komparatorblokken 61 ut et "nei" til en port
64 som avgir en negativ autensitetskode. Den kode, altså den
positive eller negative autensitetskode som overføres fra datasystemet 40, blir sammenlignet med det i tilfeldighetstallgeneratoren 53 frembragte tilfeldige tall TT i en kompa-ratorblokk 77 hos sikkerhetsmodulen 50. Resultatet av sammenligningen i komparatorblokken 77 gis ut til en utgangsterminal 78 som ytterligere er tilkoblet visningsfeltet 44 hos apparatet
10 via et passende grensesnitt.
Der henvises nå igjen til fig. 3, hvis øvre høyre del
er et flytskjema som anskueliggjør den ovennevnte on-line-verif ikas jon hos datasystemet 40. Da datasystemet 40 kommuniserer med et stort antall terminaler eller apparater svarende til apparatet 10 og apparatet 49, kommuniserer første dekrypteringsblokk 55 ytterligere med et nøkkelregister 65 som inneholder de enkelte nøkler som svarer til de enkelte apparaters individuelle krypteringsnøkler. På fig. 3 inngår portene 63 og 64, som også er vist på fig. 7, i en utgangsblokk 66,
hvis utgangsside er tilkoblet dataoverføringsnettverket 30
for å levere ut den positive eller negative autensitets-
kode til apparatet 10, og som mottar et "ja" eller "nei"
fra komparator- eller sammenligningsblokken 61
sammen med det tilfeldige tall TT som avgis fra
separasjonsblokken 56. På fig. 3 forekommer en ytterligere utgangsblokk 67 som innbefatter blokken 57 på
fig. 7 og ytterligere mottar et "ja" eller "nei" fra sammenligningsblokken 61. Utgangsblokken 67 kommuniserer med enkelte eksterne blokker 68, 69, 70. Hver av blokkene 68-70 kan være et bank-datamaskinsystem som adresseres fra utgangsblokken 67. Alternativt kan en av blokkene være et datamaskinsystem
som eies av en kredittkort-utstedende organisasjon, som f.eks. den organisasjon som utsteder YY-kortet 23. Således er YY-kortet et tilbehør i det on-line-datasystem 40 med høy hemmelighets- og sikkerhetsgrad som utfører den egentlige verifikasjon av autensiteten av den person som er i besittelse av YY-kortet 23, med hensyn til kortet og dermed til den organisasjon
som utsteder kreditkortene.
Fig. 4 gir et generelt skjematisk oversiktsbilde av apparatet 10 ifølge oppfinnelsen. Apparatet 10 inneholdes
i en blokk 72 som er innrammet med fullt opptrukken linje.
I blokken 7 2 er det ovennevnte sikkerhetsmodulhus 50 anordnet. På fig. 4 ses den ovennevnte kortopptaksspalte 42, og en magnethodeanordning 43 er plassert tett ved spalten slik at den kommer i nær kontakt med magnetstrimmelen på kortet, altså på et av kortene 21-24, når kortet føres gjennom spalten 42. Magnethodeanordningen 43 gir ut signaler til en første mikroprosessor 73 som styrer apparatets eksterne funksjoner slik det vil fremgå av den følgende beskrivelse.
Denne første mikroprosessor 73 er videre tilkoblet visningsfeltet 44, som tjener det formål å tilkjennegi den totalsum som mottas fra kassaapparatet 14 eller fra bakroms-datamaskinen 18, og å tilkjennegi resultatet av off-line-verifikasjonen eller alternativt on-line-verifikasjonen av autensiteten av den person som er i besittelse av kortet, med hensyn til kortet og dermed til henholdsvis off-line-datasystemet og on-line-datasystemet. Første mikroprosessor 7 3
er ytterligere koblet til og kommuniserer med et første og et annet utgangs/inngangs-organ henholdsvis 74 og 75 som kommuniserer med henholdsvis on-line-og off-line-datasystemene, dvs. datasystemet 40 og henholdsvis bakromsdatamaskinen 18 eller kassaapparatet 14.
Sentralt i sikkerhetsmodulen 50 er der anordnet en
annen mikroprosessor 76 som kommuniserer med første mikroprosessor 73 via et grensesnitt 79. I sikkerhetsmodulen 50 inneholder et krets 80 DES-krypteringsalgoritmen. Videre kommuniserer annen mikroprosessor 76 med den ovenfor omtalte tilfeldighetstallgenerator 53, med et PROM (programmable read only memory) 82 som inneholder det on-line-krypteringsprogram som der ble gjort rede for ovenfor under henvisning til fig.
7, og med et RAM (random access memory) 83 hvor den fra det databærende kort - dvs. et av kortene 21-24 - avleste PVC-kode ved hjelp av magnethodeanordningen 43 og første mikroprosessor 73 forbigående lagres sammen med den PIN-kode som innføres av kunden ved hjelp av det numeriske tastatur 46, det tilfeldige tall TT som frembringes av tilfeldighetstallgeneratoren 53, og totalsummen B som innføres fra kassaapparatet 14 eller
fra bakromsdatamaskinen 18 via det annet inngangs/utgangs-organ 75. Sikkerhetsmodulen 50 omfatter videre et nøkkellager eller RAM 84 til lagring av krypteringsnøkkelen som inngår i krypteringen av PVC-koden, en PIN-kode, totalsummen B og det tilfeldige tall TT, som forklart ovenfor under henvisning til fig. 7, for overføring til "on-line"-datasystemet 40
med høy hemmelighets- og sikkerhetsgrad. Ennvidere finnes der to PROM<*>er 85 og 86 som lagrer verifikasjonsalgoritmen for off-line-verifikasjon av autensiteten av den person som er i besittelse av det tilsvarende kort, med hensyn til kortet, f.eks. XX-kortet 22 eller ZZ-kortet 24 på fig. 3. RAM'ene 83 og 84, som i virkeligheten er flyktige RAM'er får effektivt fra en ytre energikilde med ytterligere støtte i et forsyningsbatteri 87.
I tilfellet av at den eksterne energikilde blir frakoblet apparatet, blir således dettes flyktige RAM'er forsynt fra støtte-forsyningsbatteriet 87. Imidlertid er støttebatteriet 87 ytterligere innrettet til, dersom uvedkommende forsøker å blande seg inn i sikkerhetsmodulen 50, å slette de nevnte RAM<1>er 83 og 84, og det fortrinnsvis via mekaniske vibrasjons-eller støtsensorer eller lysdetektorer tilkoblet hele sikkerhetsmodulens koblingsanordning, slik at denne i tilfellet av forsøk på inntrengen blir ødelagt ved påtrykning av over-spenning eller spenning med gal polaritet.
På fig. 5 ses et generelt oversiktsskjerna over apparatet 49 ifølge oppfinnelsen. Apparatet 49 omfatter først og fremst den ovenfor beskrevne sikkerhetsmodul 50 med tastatur 46,
de taster som er betegnet med 48, første mikroprosessor 73
som kommuniserer med on-line-datasystemet med høy hemmelighets-og sikkerhetsgrad via utgangs/inngangsorganet 74 og ytterligere kommuniserer med bakroms-datamaskinen 18, som også kan adresseres fra de ovennevnte fire taster med henvisningstallet 48. Bakromsdatamaskinen 18 kommuniserer ennvidere med visningsfeltet 44, magnethodeanordningen 43 og kvitteringsskriveren
47. Mens de data som avleses fra et kort, i utførelsen på
fig. 4 innføres direkte i første mikroprosessor 73, blir vedkommende data i apparatet 49 på fig. 5 først behandlet
i bakromsdatamaskinen 18. I tilfellet av at denne identifiserer kortet som et slikt som tilhører første datasystem,
kan bakromsdatamaskinen 18 f.eks. omforme de fra kortet avleste data og levere en behandlet eller omformet versjon av disse
til første mikroprosessor 73 og videre til sikkerhetsmodulen 50. Alternativt blir de fra kortet avleste data i tilfellet av at bakromsdatamaskinen 18 ikke identifiserer kortet som et som tilhører selve datasystemet, dvs. det system som innbefatter bakromsdatamaskinen 18, overført videre til mikroprosessoren 73 og innført i sikkerhetsmodulen 50.
Som nevnt ovenfor identifiserer de data som avleses
fra kortet ved hjelp av magnethodeanordningen 43, kortet som et der tilhører første datasystem, dvs. tilhører on-lihe-verifikasjons-datasystemet 40 med høy hemmelighets- og sikkerhetsgrad, som et kort tilhørende bakromsdatamaskin-systemet 18 eller som et kort som ikke tilhører noen av de to datamaskiner. Forutsatt at kortet er blitt identifisert av første mikroprosessor 73 eller av bakromsdatamaskinen 18 som et kort tilhørende annet datasystem, blir vedkommende data eller den ovennevnte omformede eller behandlede versjon av dem innført i kretsmodulen 50 fra første mikroprosessor 73 via grensesnittet 79 og videre innført i annen mikroprosessor 76 samt forbigående lagret i det tilhørende RAM. Som forklart ovenfor blir den person som er i besittelse av kortet, opp-fordret til å innføre PIN-koden ved hjelp av det numeriske tastatur 46, og PIN-koden gitt ut fra dette tastatur 46 til annen mikroprosessor 76 samt forbigående lagret i det til-hørende RAM 83. Siden første mikroprosessor 73 har identifisert kortet som et der tilhører off-line-datasystemet 18, adresserer annen mikroprosessor 76 PR0M'et 85 og utfører en algoritmisk sammenligning av PIN-koden og de i RAM'et 83 lagrede data under styring fra det i PR0M'et 85 lagrede program samt eventuelt ved anvendelse av en DES-krypteringsalgoritme som er lagret i lageret 80. Resultatet av sammenligningen eller autensitetsverifikasjonen er enten et "ja" eller et "nei", som gis ut fra annen mikroprosessor 76 til grensesnittet 79 og innføres i første mikroprosessor 73,
som gir ut en positiv eller negativ autensitetskode til annet inngangs/utgangs-organ 75 til off-line-verifikasjons-
systemet på fig. 4 eller til bakromsdatamaskinen 18 på fig.
5 og også eller videre til visningsfeltet 44 for å vise resultatet til den person som innehar kortet.
Forutsatt at kortet blir identifisert som et kort til-hørende datasystemet med høy hemmelighets- og sikkerhetsgrad, dvs. on-line-verifikasjonsdatasystemet 40, adresserer mikroprosessoren 76 tilfeldighetstallgeneratoren 53, som til mikroprosessoren avgir et frembragt tilfeldig tall TT som ytterligere blir lagret forbigående i RAM<1>et 83. I tilfellet av at et tall som representerer totalsummen B for de varer m.v. som skal anskaffes av den person som innehar kortet, blir innført via annet inngangs/utgangs-organ 75 og videre overført gjennom første mikroprosessor 73 til grensesnittet 79 og derfra blir avgitt til annen mikroprosessor 76 og innført i RAM'et 83
samt lagret i dette, blir PIN-koden, PVC-koden, det tilfeldige tall TT og totalsummen B kryptert av annen mikroprosessor 76, som forklart ovenfor under henvisning til fig. 4, ved anvendelse av den DES-krypteringalgoritme som er lagret i lageret 80, og den nøkkel som er lagret i nøkkellageret
84, som styres av krypteringsprogrammet hos PROM'et. Resultatet av krypteringsoperasjonen blir gitt ut fra annen mikroprosessor 76 via grensesnittet 79 til første mikroprosessor 73 og derfra overført via første inngangs/utgangsorgan 74 til on-line-verif ikas jonsdatasystemet 40 med høy hemmelighets- og sikkerhetsgrad, hvor verifikasjonen av PIN-koden med hensyn til vedkommende data blir utført som forklart ovenfor under henvisning til fig. 7. Fra on-line-verifikasjonsdatasystemet 40 mottar første inngang/utgangs-organ 74 resultatet av autensitetsverifikasjonen, enten det tilfeldige tall TT som representerer autensitetskoden, eller en negativ autensitetskode som overføres av første mikroprosessor 73, til grensesnittet 79 hos sikkerhetsmodulen 50 og videre til annen mikroprosessor 76. I annen mikroprosessor 76 blir resultatet, altså den positive eller negative autensitetkode, sammenlignet med det tilfeldige tall TT som er lagret i RAM'et 83. I tilfellet av at resuiltatet av on-line-autensitetskontrollen er autensitetskoden, dvs. at tilfeldighetstallet TT er blitt overført fra datasystemet 40 til apparatet 10, adresserer annen mikroprosessor 76 via grensesnittet 79 første mikroprosessor 73, som ytterligere vise resultatet, altså autensiteten, på viserfeltet 44, som vist på fig. 4, eller leverer resultatet til den på fig. 5 viste bakromsdatamaskin 18 som ytterligere viser resultatet på visningsfeltet 44. I tilfellet av at en negativ autensitetskode har vært overført fra datasystemet 40 til apparatet 10, avslører annen mikroprosessor ir X i : j ^_ -.' "i n ~ i j ' j i 1 mm —
er lagret i RAM<*>et, at autensitetskontrollen har vist manglende autensitet av den person som er i besittelse av kortet. Følgelig adresserer mikroprosessoren 76 første mikroprosessor 73 via grensesnittet 79, og første mikroprosessor 73 viser resultatet, altså den negative autensitet, på visningsfeltet
44 som vist på fig. 4, eller leverer resultatet til den på
fig. 5 viste bakromsdatamaskin 18, som ytterligere viser resultatet på visningsfeltet 44.
Når første mikroprosessor 73 skaffer visning av resultatet av on-line-autensitetsverifikasjonen på visningsfeltet 44 som styres enten av mikroprosessoren 76 som vist på fig. 4 eller av bakromsdatamaskinen 18 som vist på fig. 5, avgir første mikroprosessor 73 ytterligere en henholdsvis positiv eller negativ autensitetskode til off-line-datasystemet via annet inngangs/utgangsorgan 75 resp. via overføringslinjen 36.
Det skal fremheves at opplegget ifølge den foreliggende oppfinnelse gjør det umulig å styre apparatet til en modus hvor PIN-koden ved uoppmerksomhet eller feiltagelse blir avslørt i klartekst, siden PIN-koden avgis fra sikkerhetsmodulen 50 i en med høy hemmelighets- og sikkerhetsgrad kryptert tilstand utelukkende til datasystemet med høy hemmelighets- og sikkerhetsgrad.
De ovennevnte styretaster 48 som er vist på fig. 4
og 5, er betegnet henholdsvis B, C, CE og AC. Kunden kan aktivere tastene C, CE og AC etter å ha beveget sitt kort gjennom kortspalten 42. Tasten CE (forkortelse for "clear entry") gjør det mulig for kunden å slette et enkelt siffer av PIN-koden ved hjelp av tastaturet 46. Tasten C (forkortelse for "clear") gjør det mulig for kunden å slette PIN-koden
og hvilke som helst andre data som forbigående er lagret
i apparatet, dvs. de data som er avlest fra det databærende kort, og også det tilfeldige tall som er frembragt av tilfeldighetstallgeneratoren. Tasten AC (forkortelse for "accept") aktiveres av kunden forut for verifikasjonen av kunden som den lovlige kortinnehaver, enten on-line eller off-line, med hensyn til henholdsvis datasystemet 40 eller bakroms-datamaskinen 18 og etter at totalsummen har vært vist kunden på viserfeltet 44. Ved å aktivere tast AC godtar kunden den
totalsum som er vist på viserfeltet 44, for debitering av hans konto etter godkjennelsen av kortets innehaver, enten i bankregistrene 68, 69 eller 70 på fig. 3, eller kontoen i bakromsdatamaskinen 18 på fig. 3. Tast B (forkortelse for "balance") kan aktiveres av en person, f.eks. kassaapparatbe-tjeningen eller en kompetent person i firmaet på bensinstasjonen, i besittelse av et balansekort etter at han har beveget balansekortet gjennom kortspalten 42, hvorved data registrert på balansekortet blir avlest av magnethodeanordningen 43 og innført i annen mikroprosessor 76 via første mikroprosessor 73 og grensesnittet 79, hvoretter apparatet blir bragt i en tilstand hvor den akkumulerte sum som representerer det totale beløp som er registrert av apparatet og lagret i RAM'et 83, blir gitt ut derfra og avgitt via mikroprosessoren 76, grensesnittet 79, mikroprosessoren 73 og annet inngangs/ utgangs-organ 75 til bakromsdatamaskin-systemet 18.
På fig. 1 ses et samlet oversiktsbilde av den for nærværende foretrukne utførelsesform for apparatet 10 ifølge oppfinnelsen. Apparatet 10 rommes i en ytterkapsel 8 som omslutter og bærer sikkerhetsmodulen 50. På fig. 1 er tastaturet 46 hos sikkerhetsmodulen 50 vist sammen med de fire taster 48. Det skal påpekes at det, som det tydelig fremgår av fig. 4 og 5, ikke er nødvendig for korrekt funksjon av apparatet at de taster som er betegnet med 48, er anordnet i sikkerhetsmodulen 50, siden de funksjoner som bestemmes av disse fire taster, ikke under noen omstendighet influerer på oppfinnelsens opplegg med hensyn til utilgjengelighet,
høy sekretesse og høy sikkerhet. Som det fremgår av fig.
1, har ytterkapselen hos apparatet 10 et parti 9 som danner en skjerm som sikrer diskresjon for kunden som betjener tastene i tastaturet 46.
På fig. 2 ses et apparat som i sin helhet er betegnet med 114. Dette apparat 114 er et beløpregistreringsapparat som kommuniserer med apparatet på fig. 1. Beløpregistrerings-apparatet 114 utgjør i hovedsaken et apparat svarende til det kassaapparat 14 som er vist til venstre oventil på fig.
3 innenfor den stiplet begrensede blokk 12. Beløpregister-apparatet T14 rommes i en kapsel 145 og har et visningsfelt 144, et numerisk tastatur 146, funksjonstaster 148 og en kvitteringsskriver 147. Kapselen 145 har et papirreservoar dannet av en kapseldel 143.
På fig. 1 og 2 er styretastene henholdsvis 48 og 148 forsynt med tildels forkortede betegnelser. Således er tastene 48 betegnet med A (forkortelse for avstem), Sl.a. (forkortelse for slett alt), Slett og Godkj. (forkortelse for godkjenn). Tastene 148 er betegnet med Retur, Sl.a. (forkortelse for slett alt), Slett og Inn = beløp som skal betales.
På fig. 6 viser vertikalt gjennomskåret en utførelsesform for sikkerhetsmodulen 50, omfattende to radioopake, fingrings-og tappingssikre husdeler 90 og 91. Disse husdeler 90 og
'91 er fortrinnsvis laget av rustfri stålplate med høy styrke og er forsynt med etsede, graverte eller andre slags identifi-kasjoner. De to deler 90 og 91 er langs kantene fullstendig tett sammenholdt av en tetningsdel 92 som er sveiset til dem som antydet ved henholdsvis 93 og 94. I en nedbuktet sentral forsenkning i husdelen 90 som danner øvre husdel av sikkerhetsmodulen 50, er tastaturet 46 og styretastene 48, som er vist på fig. 1, 3, 4 og 5, anordnet på et bærende trykt kretskort 95. Individuelle kontaktorganer 96 og 97 anordnet på oversiden av det trykte kretskort 95 er innrettet til å kortsluttes med en kortslutningskomponent 98 ved ned-trykning av en tilsvarende tast 99. Kortslutningskomponentene, f.eks. kortslutningskomponenten 98, som samvirker med kontaktene 96 og 97, er innstøpt i en elastisk, luft- og fluidum-tett bærefilm 100. I det indre rom som begrenses av de to husdeler 90 og 91, er der anordnet en radioopak komponent, f.eks. en plate 101 av bly. På oversiden av denne plate 101 er der imidlertid anbragt et derfra isolert annet trykt kretskort 102. Dette trykte kretskort 102 bærer elektroniske komponenter, eksempelvis 103-107, til å realisere den utførelses-form for sikkerhetsmodulen som er vist skjematisk på fig.
1, 3, 4, 5 og 7. De enkelte lederstrimler på det trykte kretskort 102 er via loddeforbindelser, eksempelvis en loddefor-bindelse 108, forbundet med respektive lederstrimler på det trykte kretskort 95 som kommuniserer med de respektive kon-takter, f.eks. kontaktene 96, 97 på dette. Til venstre på fig. 6 er det trykte kretskort 102 holdt mellom husdelene 91 og 92 og ført gjennom en åpning i klemorganet 92, som
antydet ved 109. Gjennomføringsforbindelsen fra det trykte kretskort 102 tjener til kobling av sikkerhetsmodulen 50
til de øvrige komponenter av apparatet 10, dvs. til levering av effekt til dens elektroniske komponenter, f.eks. de elektroniske komponenter, og skaffe adgang for sikkerhetsmodulen 50 til og fra grensesnittet 79 på fig. 4. Det indre rom som er inngrenset av husdelene 90 og 91 og mellom de trykte kretskort 95 og 102 og den radioopake komponent eller plate 101,
er fylt med en støpemasse 110 av epoksyharpiks som har høy styrke, og som fester kretskortene og den radioopake komponent og ennvidere inneholder metalliske strimler eller tråder.
De metalliske strimler eller tråder i støpemassen 110 av epoksyharpiks tjener til å ødelegge den elektroniske krets og slette dataene og nøkkelen hos RAM'ene 83 og 84 som beskrevet ovenfor, i tilfellet av at det forsøkes å åpne sikkerhetsmodulen 50 ved mekaniske midler. Huset av rustfritt stål med husdelene 90 og 91, platen 101 og de metalliske strimler og tråder i støpemassen 110 skaffer en modul som ytterligere eliminerer muligheten for å avsløre detaljer ved apparatet med hensyn til dets utførelse eller funksjoner ved å utsette det for radiomagnetisk stråling, eksempelvis røntgenstråler, eller ved tapping av modulen med høyfølsomt elektronisk lytteutstyr, siden modulen er en magntisk og elektrisk avskjermet og radioopak modul.
Den elektroniske utformning av apparatet ifølge oppfinnelsen kan realiseres på flere måter som er nærliggende for en fagmann, idet de elektroniske komponenter som mikroprosessorene 73 og 76, PR0M'ene 82, 85 og 86, RAM'ene 83
og 84, tilfeldighetstallgeneratoren 53, DES-kretsen 80, meget lett kan kjøpes fra et stort antall produsenter. Programmer-ingen av PR0M'ene og mikroprosessoranordningene kan likeledes meget lettvint bli utført av en fagmann.
Eksempel
I en konstruktiv utformning eller utførelsesform for det ovenfor beskrevne apparat besto mikroprosessorene 73
og 76 av elektroniske kretser av typen 8080 levert fra selskapet Intel Corporation, PROM'ene 82, 85 og 86 besto av elektroniske kretser av type HN 462716 G levert fra selskapet
Hitachi, RAM<1>ene 83 og 84 besto av elektroniske kretser av
type 2114 L-2 levert fra selskapet Signetics, tilfeldighetstallgeneratoren 53 ble levert som programvare i mikroprosessoren 76, grensesnittet 79 besto av en elektronisk krets av type Z-80A SIO/2 levert fra selskapet Zilog, og batteriet eller støtte-effektkilden 87 besto av en litiumbatteripakke. DES-krypteringskretsen 80 besto av en 8294 datakrypteringsenhet levert fra selskapet Intel Corporation.
Skjønt oppfinnelsen ovenfor har vært beskrevet under henvisning til tegningen, er oppfinnelsen ikke begrenset til de utførelsesformer som er vist der. Således er det,
skjønt oppfinnelsen har vært beskrevet i en utførelsesform hvor krypteringen utføres ved hjelp av en DES-algoritme,
mulig å anvende en hvilken som helst annen krypteringsalgoritme som garanterer høy sekretesse og høy sikkerhet,
f.eks. en offentlig nøkkelalgoritme. Videre er det mulig å utføre off-line-verifikasjonen ved å anvende eller ikke anvende kryptering av de data og den kode som skal sammenlignes. Videre kan de data som avleses fra kortet eller stammer fra
data avlest fra kortet, verifiseres med hensyn til den PIN-
kode som innføres med sikkerhetsmodulens tastatur, i klartekst, dvs. direkte, ved anvendelse av den verifikasjonsalgoritme som er lagret i PR0M'ene eller, som nevnt ovenfor, i en hvilken som helst behandlet eller omformet versjon av de fra kortet avleste data. Ennvidere kan den sikkerhetsmodul som er vist på fig. 4, modifiseres ved at der kan anvendes flere inngangs/ utgangs-organer som tilsvarer inngangs/utgangs-organene 74
og 75 og kommuniserer med on-line-datasystemer med høy hemmelighets- og sikkerhetsgrad og med off-line-verifikasjonsdatasystemer med lav hemmelighets- og sikkerhetsgrad. Ved denne realiseringsform for oppfinnelsen blir det sammenhørende sett av PIN-kode og PVC-kode avgitt til datasystemene med høy hemmelighets- og sikkerhetsgrad utelukkende i en tilstand med høy hemmelighets- og sikkerhetsgrad styrt av respektive strengt hemmelige og høyt sikrede krypteringsalgoritmer,
nøkler og programmer, mens en kode for autensitet eller manglende autensitet avgis utelukkende til datasystemene med lav hemmelighets- og sikkerhetsgrad, og PIN-koden innføres
ved hjelp av tastaturet eller et sammenhørende sett av data som stammer fra de fra kortet avleste data, og PIN-koden ikke under noen omstendighet blir gjort tilgjengelig for datasystemene med lav hemmelighets- og sikkerhetsgrad.

Claims (14)

1. Apparat (10,49) som kommuniserer med minst to forskjellige dataanlegg eller datasystemer (18,40) og er innrettet til å motta data som stammer fra data lest fra et databærende kort (21,22,23,24), til å motta et kortidentifiserende signal som positivt identifiserer kortet (21,22,23,24) som et kort som hører til et første dataanlegg eller datasystem (40) eller i stedet som et kort hørende til et annet dataanlegg eller datasystem (18) og til å overføre dataene som stammer fra de fra kortet leste data til et første av dataanleggene eller datasystemene (40) eller i stedet å verifisere autensititeten av en person som er i besittelse av kortet i forhold til et annet av dataanleggene eller datasystemene (18), hvor apparatet omfatter et datainnleseorgan (79) til å motta dataene som stammer fra de fra kortet (21,22,23,24) leste data og til å motta det kortidentifiserende signal, og et innleseorgan (46) til å lese inn en personautensitetskode, karakterisert ved at det omfatter et første lagerorgan (80,82) til å lagre en første krypteringsalgoritme og en transmisjonsprotokoll, et annet lagerorgan (85,86) til å lagre en verifikasjonsalgoritme, et krypteringsorgan (82) som styres av datainnleseorganet (79) og av det første lagerorgan (80,82), til å kryptere dataene og koden slik at de data som stammer fra de fra kortet (21,22,23,24) leste data og koden krypteres ved bruk av den første krypteringsalgoritme som er lagret i det første lagerorgan (80,82), forutsatt at kortet (21) er identifisert som et kort som hører til det første dataanlegg eller det første datasystem (40), og utleses til det første dataanlegg eller datasystem (40) styrt av den i det første lagerorgan lagrede transmisjonsprotokoll, og et komparatororgan (76) som styres av datainnleseorganet (79) og det annet lagerorgan (85,86), til å sammenligne de data som stammer fra de fra kortet (22,23,24) leste data og koden, slik at det, forutsatt at kortet (22,23,24) er identifisert som et kort som hører til det annet dataanlegg eller datasystem (18), overføres en autensitetskode til det annet dataanlegg eller det annet datasystem (18) i det tilfelle at de data som stammer fra de fra kortet leste data, er verifisert i forhold til koden ved bruk av den i det annet lagerorgan (85,86) lagrede verifikasjonsalgoritme eller i stedet overføres en ikke-autensitetskode til det annet dataanlegg eller datasystem (18) i det tilfelle at de data som stammer fra de fra kortet (22,23,24) leste data, ikke er verifisert i forhold til koden ved bruk av den i det annet lagerorgan (85,86) lagrede verifikasjonsalgoritme.
2. Apparat i henhold til krav 1, karakterisert ved at det har et ytterligere krypteringsorgan, idet en annen krypteringsalgoritme er lagret i det annet lagerorgan (85,86), hvilket ytterligere krypteringsorgan styres av datainnleseorganet (79) og av det annet lagerorgan på en slik måte, at, forutsatt at kortet er identifisert som et kort som hører til det annet dataanlegg eller det annet datasystem (18), krypteres de data som stammer fra de fra kortet leste data, og koden i det ytterligere krypteringsorgan ved bruk av den annen i det annet lagerorgan lagrede krypteringsalgoritme før sammenligningen av dataene og koden i komparatororganet.
3. Apparat i henhold til krav 1 eller 2, karakterisert ved at det kommuniserer med minst tre forskjellige dataanlegg eller datasystemer, og at det dessuten har et tredje lagerorgan til lagring av en ytterligere verifikasjonsalgoritme, idet kortidentifikasjonssignalet ytterligere sikkert identifiserer kortet som et kort som hører til det ene av de nevnte tre eller flere dataanlegg eller datasystemer, og idet datakomparatororganet ytterligere styres av datainnleseorganet og det tredje lagerorgan for å sammenligne de data som stammer fra de fra kortet leste data og koden, slik at det, forutsatt at kortet er identifisert som et kort som hører til det tredje dataanlegg eller datasystem, mates en autensitetskode til det tredje dataanlegg eller datasystem i det tilfelle at de data som stammer fra de fra kortet leste data, er verifisert i forhold til koden ved bruk av den i det tredje lagerorgan lagrede verifikasjonsalgoritme, eller i stedet en ikke-autensitetskode til det tredje dataanlegg eller datasystem i det tilfelle at de data som stammer fra de fra kortet leste data, ikke er verifisert i forhold til koden ved bruk av den i det tredje lagerorgan lagrede verifika-sj onsalgoritme.
4. Apparat i henhold til krav 2 og 3, karakterisert ved at det har enda et ytterligere krypteringsorgan, idet det i det tredje lagerorgan er lagret en tredje krypteringsalgoritme, hvilket enda ytterligere krypteringsorgan styres av datainnleseorganet og det tredje lagerorgan på en slik måte at, forutsatt at kortet er identifisert med kort som hører til det tredje dataanlegg eller datasystem, krypteres de data som stammer fra de fra kortet leste data i det enda ytterligere krypteringsorgan ved bruk av den i det tredje lagerorgan lagrede tredje krypteringsalgoritme før sammenligningene av dataene og kodene i komparatororganet.
5. Apparat i henhold til krav 2 eller 4, karakterisert ved at krypteringsorganene utgjøres av et enkelt krypteringsorgan (82).
6. Apparat i henhold til et av kravene 1-4, karakterisert ved- at det annet lagerorgan i stedet for å være innrettet til å lagre en verifikasjonsalgoritme, er innrettet til å lagre en annen krypteringsalgoritme og en annen transmisjonsprotokoll, og at komparatororganet er utelatt og krypteringen styres av datainnleseorganet (79) og det ene av henholdsvis det første (80,82) og det annet lagerorgan (84,85) på en slik måte, at, forutsatt kortet (21) er identifisert som et kort (22,23,24) tilhørende det første dataanlegg eller datasystem (40), krypteres de data som stammer fra de fra kortet leste data, og koden, ved bruk av den første krypteringsalgoritme som er lagret i det første lagerorgan (80,83) og leses ut til det første dataanlegg eller datasystem (40) styrt av den første transmisjonsprotokoll som er lagret i det første lagerorgan, eller i stedet på en slik måte, at, forutsatt kortet er identifisert som et kort (22,23,24) som hører til det annet dataanlegg eller datasystem (40) , krypteres de data som stammer fra de fra kortet leste data, og koden ved bruk av den annen krypteringsalgoritme som er lagret i det annet lagerorgan (84,85) og leses ut til det annet dataanlegg eller datasystem (40) styrt av den annen transmisjonsprotokoll som er lagret i det annet lagerorgan.
7. Apparat i henhold til krav 6, karakterisert ved at det har et ytterligere krypteringsorgan, idet det første av krypteringsorganene (82) styres av datainnleseorganene (79) og av det første lagerorgan (83) på en slik måte, at, forutsatt kortet (21) er identifisert som et kort som hører til det første dataanlegg eller det første datasystem (40), krypteres de data som stammer fra de fra kortet leste data, og koden i et første krypteringsorgan, og idet et annet av krypteringsorganene (82) styres av datainnleseorganet (79) og av det annet lagerorgan (84,85) på en slik måte, at, forutsatt kortet er identifisert som et kort som tilhører det annet dataanlegg eller det annet datasystem (40), krypteres de data som stammer fra de fra kortet leste data, og koden i det annet krypteringsorgan.
8. Apparat i henhold til krav 6, innrettet til å kommunisere med minst tre eller flere dataanlegg eller datasystemer, karakterisert ved at det har et tredje lagerorgan (83,84,85) til lagring av en tredje krypteringsalgoritme og en tredje transmisjonsprotokoll, idet kortiden-tif ikasjonssignalet ytterligere positivt identifiserer kortet som et kort som hører til det ene av de nevnte tre eller flere dataanlegg eller datasystemer, og idet krypteringsorganene (82) ytterligere styres av det tredje lagerorgan på en slik måte, at, forutsatt kortet er identifisert som et kort hørende til det tredje dataanlegg eller datasystem, krypteres de data som stammer fra de fra kortet leste data, og koden ved bruk av den tredje krypteringsalgoritme som er lagret i det tredje lagerorgan, og leses ut til det tredje dataanlegg eller datasystem styrt av den tredje transmisjonsprotokoll som er lagret i det tredje lagerorgan.
9. Apparat i henhold til krav 7 og 8, karakterisert ved at det har et tredje krypteringsorgan som styres av datainnleseorganet og av det tredje lagerorgan på en slik måte, at, forutsatt kortet er identifisert som et kort som hører til det tredje dataanlegg eller datasystem, krypteres de data som stammer fra de fra kortet leste data, og koden i det tredje krypteringsorgan.
10. Apparat i henhold til krav 6 eller 7, karakterisert ved at det kommuniserer med minst tre eller flere dataanlegg eller datasystemer, og at det ytterligere har et tredje lagerorgan for lagring av en verifikasjonsalgoritme samt et komparatororgan, idet kortiden-tif ikasjonssignalet ytterligere positivt identifiserer kortet som et kort som tilhører det ene av tre eller flere dataanlegg eller datasystemer, og idet komparatororganet styres av datainnleseorganet og av det tredje lagerorgan til sammenligning av de data som stammer fra de fra kortet leste data, og koden på en slik måte, at det, forutsatt kortet er identifisert som et kort hørende til det tredje dataanlegg eller datasystem, avgis en autensitetskode til det tredje dataanlegg eller datasystem i det tilfelle at de data som stammer fra de fra kortet leste data, er verifisert i-forhold til koden ved bruk av den i det tredje lagerorgan lagrede verifikasjonsalgoritme, eller at det i stedet avgis en ikke-autensitetskode til det tredje dataanlegg eller datasystem i det tilfelle, at de data som stammer fra de fra kortet leste data, ikke er verifisert i forhold til koden ved bruk av den i det tredje lagerorgan lagrede verifikasjonsalgoritme.
11. Apparat i henhold til krav 7-10, karakterisert ved at det har et tredje krypteringsorgan, idet det i det tredje lagerorgan ytterligere er lagret en tredje krypteringsalgoritme, og idet det tredje krypteringsorgan styres av datainnleseorganet og av det tredje lagerorgan på en slik måte, at, forutsatt kortet er identifisert som et kort som hører til det tredje dataanlegg, krypteres de data som stammer fra de fra kortet leste data, og koden i det tredje krypteringsorgan ved bruk av den i det tredje lagerorgan lagrede tredje krypteringsalgoritme før sammenligningen av dataene og kodene i komparatororganet.
12. Apparat i henhold til et av de foregående krav, karakterisert ved at det ytterligere har et identifikasjonsorgan til å motta de data som stammer fra de fra det kprtbærende kort leste data, og til å generere det kortidentifiserende signal som positivt identifiserer kortet som et kort tilhørende et av dataanleggene eller datasystemene eller som et kort som ikke hører til noen av dataanleggene eller datasystemene.
13. Fremgangsmåte til kommunikasjon med minst to forskjellige dataanlegg eller datasystemer (18,40) til mottagelse av data som stammer fra data lest fra et databærende kort (21,22,23,24), og til overføring av data som stammer fra de fra kortet (21,22,23,24) leste data til et første av dataanleggene eller datasystemene (40) eller i stedet til verifikasjon av autensiteten til en person som er i besittelse av kortet i forhold til et annet av dataanleggene eller datasystemene (18), hvilken fremgangsmåte omfatter lesning av data fra kortet (21,22,23,24) ved hjelp av et lesebrgan, identifikasjon av kortet (21,22,23,24) på basis av de fra leseorganet mottatte data som et kort hørende til det første dataanlegg eller datasystem (40) eller som et kort hørende til det annet dataanlegg eller datasystem (18) eller som et kort som ikke hører til noen av dataanleggene eller datasystemene, og innlesning (46) av en personautensitetskode, karakterisert ved kryptering av de data som stammer fra de fra kortet (12) leste data og koden, forutsatt at kortet (21) er identifisert som et kort som hører til det første dataanlegg eller datasystem (40), idet de data som stammer fra de fra kortet leste data og koden krypteres ved bruk av en krypteringsalgoritme (82) og leses ut til det første dataanlegg eller datasystem (40) styrt av en transmisjonsprotokoll, sammenligning i et komparatororgan (76) av de data som stammer fra de fra kortet (22,23,24) leste data og koden, forutsatt at kortet (22,23,24) er identifisert som et kort som hører til et annet dataanlegg eller datasystem (18), idet det til det annet dataanlegg eller datasystem (18) overføres en autensitetskode i det tilfelle at de data som stammer fra de fra kortet (22,23,24) leste data, verifiseres i forhold til koden ved bruk av en verifikasjonsalgoritme eller idet det i stedet overføres en ikke-autensitetskode til det annet dataanlegg eller datasystem (18) i det tilfelle at de data som stammer fra de fra kortet (22,23,24) leste data ikke verifiseres i forhold til koden ved bruk av verifikasjonsalgoritmen.
14. Fremgangsmåte i henhold til krav 13, karakterisert ved at sammenligningen av data fra kortet og koden samt overføringen av en ikke kryptert autensitet er utelatt, og at de data som stammer fra de fra kortet leste data og koden, krypteres ved bruk av en første krypteringsalgoritme, forutsatt at kortet identifiseres som et kort hørende til et første dataanlegg eller datasystem, og leses ut til det første dataanlegg eller datasystem (40) styrt av en første transmisjonsprotokoll eller i stedet slik at de data som stammer fra de fra kortet leste data, og koden krypteres ved bruk av en annen krypteringsalgoritme, forutsatt at kortet er identifisert som et kort som tilhører det annet dataanlegg eller datasystem (40), og utleses til det annet dataanlegg eller datasystem styrt av den annen transmisjonsprotokoll.
NO85855008A 1984-04-12 1985-12-12 Apparat som kommuniserer med datasystemer, og fremgangsmaate til kommunikasjon med datasystemer NO170371C (no)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DK1907/84A DK190784D0 (da) 1984-04-12 1984-04-12 Fremgangsmaade og apparat til datatransmission
PCT/DK1985/000032 WO1985004742A1 (en) 1984-04-12 1985-04-09 An apparatus communicating with data systems and a method of communicating with data systems

Publications (3)

Publication Number Publication Date
NO855008L NO855008L (no) 1986-02-06
NO170371B true NO170371B (no) 1992-06-29
NO170371C NO170371C (no) 1992-10-07

Family

ID=8108921

Family Applications (1)

Application Number Title Priority Date Filing Date
NO85855008A NO170371C (no) 1984-04-12 1985-12-12 Apparat som kommuniserer med datasystemer, og fremgangsmaate til kommunikasjon med datasystemer

Country Status (8)

Country Link
US (1) US4882779A (no)
EP (1) EP0179104B1 (no)
JP (1) JPS61502014A (no)
AT (1) ATE56831T1 (no)
DE (1) DE3579781D1 (no)
DK (2) DK190784D0 (no)
NO (1) NO170371C (no)
WO (1) WO1985004742A1 (no)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2592268B1 (fr) * 1985-12-20 1988-10-28 Philips Ind Commerciale Enceinte protegee avec interrupteur electrique et son application
US4995081A (en) * 1988-03-21 1991-02-19 Leighton Frank T Method and system for personal identification using proofs of legitimacy
US5367150A (en) * 1988-09-26 1994-11-22 Hitachi Maxell, Ltd. Data processing system using IC card
DK279089D0 (da) * 1989-06-07 1989-06-07 Kommunedata I S Fremgangsmaade til overfoersel af data, et elektronisk dokument eller lignende, system til udoevelse af fremgangsmaaden samt et kort til brug ved udoevelse af fremgangsmaaden
US5870724A (en) * 1989-12-08 1999-02-09 Online Resources & Communications Corporation Targeting advertising in a home retail banking delivery service
USRE36310E (en) * 1990-06-07 1999-09-21 Kommunedata I/S Method of transferring data, between computer systems using electronic cards
EP0464562B1 (en) * 1990-06-29 1997-04-23 Digital Equipment Corporation Method and apparatus for decryption of an information packet having a format subject to modification
US5163098A (en) * 1990-09-06 1992-11-10 Dahbura Abbud S System for preventing fraudulent use of credit card
US5228084A (en) * 1991-02-28 1993-07-13 Gilbarco, Inc. Security apparatus and system for retail environments
FR2727223B1 (fr) * 1994-11-23 1997-01-17 Fast France Adv Sys Tech Sarl Terminal securise multifonction de saisie et de traitement, utilisable notamment dans le domaine bancaire, dans le domaine des jeux et dans le domaine de la gestion electronique de documents
US6988025B2 (en) * 2000-11-28 2006-01-17 Power Measurement Ltd. System and method for implementing XML on an energy management device
KR0149946B1 (ko) * 1995-01-20 1999-05-15 김광호 전자통장시스템 및 그 거래방법
US5949883A (en) * 1995-09-28 1999-09-07 Entrust Technologies Ltd. Encryption system for mixed-trust environments
JP3156562B2 (ja) * 1995-10-19 2001-04-16 株式会社デンソー 車両用通信装置及び走行車両監視システム
US7640185B1 (en) 1995-12-29 2009-12-29 Dresser, Inc. Dispensing system and method with radio frequency customer identification
DE19616943C2 (de) * 1996-04-27 2002-04-18 Venture Engineering Man Gmbh Adapter-Vorrichtung zum Manipulieren eines Speicherbausteins einer Chipkarte und einen Anbieterterminal zum Erwerb von Waren und/oder Dienstleistungen mittels einer Chipkarte
NZ332952A (en) * 1996-05-24 2000-04-28 Christopher John Stanford System with and method of cryptographically protecting communications
US5850443A (en) * 1996-08-15 1998-12-15 Entrust Technologies, Ltd. Key management system for mixed-trust environments
US5799083A (en) * 1996-08-26 1998-08-25 Brothers; Harlan Jay Event verification system
GB9620979D0 (en) * 1996-10-08 1996-11-27 Ncr Int Inc Keypad
US5915093A (en) * 1997-04-24 1999-06-22 Howard Berlin Computer network debit disk used for prepayment to transfer information from a central computer
US8024269B1 (en) 1997-08-27 2011-09-20 Datatreasury Corporation Remote image capture with centralized processing and storage
US6195447B1 (en) 1998-01-16 2001-02-27 Lucent Technologies Inc. System and method for fingerprint data verification
US6192477B1 (en) * 1999-02-02 2001-02-20 Dagg Llc Methods, software, and apparatus for secure communication over a computer network
US6526507B1 (en) 1999-02-18 2003-02-25 International Business Machines Corporation Data processing system and method for waking a client only in response to receipt of an authenticated Wake-on-LAN packet
US7571139B1 (en) 1999-02-19 2009-08-04 Giordano Joseph A System and method for processing financial transactions
US8538801B2 (en) 1999-02-19 2013-09-17 Exxonmobile Research & Engineering Company System and method for processing financial transactions
JP4434465B2 (ja) * 1999-11-16 2010-03-17 キヤノン株式会社 通信装置及び方法並びに記憶媒体
US6792334B2 (en) * 2000-04-18 2004-09-14 Chesterfield Holdings, Llc Vending machine for vending age-restricted products using an authorization card and associated methods
FR2811794B1 (fr) * 2000-07-12 2003-03-07 Tokheim Corp Appareil et procede de paiement par carte de debit dans une station de distribution de carburant
US7373372B1 (en) * 2000-09-08 2008-05-13 International Business Machines Corporation Method for accrediting event participants
FR2823928B1 (fr) * 2001-04-19 2003-08-22 Canal Plus Technologies Procede pour une communication securisee entre deux dispositifs
US20020165829A1 (en) * 2001-05-04 2002-11-07 Jones John A. Financial transaction processing system
US7237115B1 (en) * 2001-09-26 2007-06-26 Sandia Corporation Authenticating concealed private data while maintaining concealment
US7979348B2 (en) 2002-04-23 2011-07-12 Clearing House Payments Co Llc Payment identification code and payment system using the same
GB2395047B (en) * 2002-11-05 2005-11-16 Creditcall Comm Ltd Apparatus and method for secure transacting
US20050021954A1 (en) * 2003-05-23 2005-01-27 Hsiang-Tsung Kung Personal authentication device and system and method thereof
US7694330B2 (en) * 2003-05-23 2010-04-06 Industrial Technology Research Institute Personal authentication device and system and method thereof
US8725607B2 (en) 2004-01-30 2014-05-13 The Clearing House Payments Company LLC Electronic payment clearing and check image exchange systems and methods
US7792522B1 (en) 2006-01-13 2010-09-07 Positive Access Corporation Software key control for mobile devices
EP2808054B1 (en) * 2009-04-30 2019-01-02 Medtronic Inc. Grounding of a shield within an implantable medical lead
US20150235145A1 (en) * 2014-02-19 2015-08-20 Amadeus S.A.S. Open ticketless travel services
FR3026207B1 (fr) * 2014-09-22 2018-08-17 Prove & Run Terminal a affichage securise
US11295308B1 (en) 2014-10-29 2022-04-05 The Clearing House Payments Company, L.L.C. Secure payment processing
US11042882B2 (en) 2015-07-01 2021-06-22 The Clearing House Payments Company, L.L.C. Real-time payment system, method, apparatus, and computer program
US11694168B2 (en) 2015-07-01 2023-07-04 The Clearing House Payments Company L.L.C. Real-time payment system, method, apparatus, and computer program
US10740499B2 (en) * 2018-03-12 2020-08-11 Nuvoton Technology Corporation Active shield portion serving as serial keypad
US11436577B2 (en) 2018-05-03 2022-09-06 The Clearing House Payments Company L.L.C. Bill pay service with federated directory model support
US11605089B2 (en) * 2019-05-09 2023-03-14 7-Eleven, Inc. Remote data access using a network-enabled fuel dispensing system

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3941977A (en) * 1972-09-01 1976-03-02 The Mosler Safe Company Off-line cash dispenser and banking system
US3956615A (en) * 1974-06-25 1976-05-11 Ibm Corporation Transaction execution system with secure data storage and communications
SE410129B (sv) * 1977-02-14 1979-09-24 Diebold Inc Forfarande for verifiering av att innehavare av ett identifieringskort er en auktoriserad innehavare samt apparat for utforande av forfarandet
SE412130B (sv) * 1977-03-15 1980-02-18 Diebold Inc Anordning for att verifiera ett korts giltighet, vilket kort innehaller identifieringsdata
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US4186871A (en) * 1978-03-01 1980-02-05 International Business Machines Corporation Transaction execution system with secure encryption key storage and communications
JPS589981B2 (ja) * 1978-04-26 1983-02-23 オムロン株式会社 利用者識別装置
SE426886B (sv) * 1978-06-22 1983-02-14 Tempera Ab Anleggning for debitering och styrning av pennings- och varutransaktioner
US4304990A (en) * 1979-12-11 1981-12-08 Atalla Technovations Multilevel security apparatus and method
US4386266A (en) * 1980-02-11 1983-05-31 International Business Machines Corporation Method for operating a transaction execution system having improved verification of personal identification
US4523087A (en) * 1981-04-07 1985-06-11 Benton William M Transaction verification system using optical coupling data communication link
US4438824A (en) * 1981-04-22 1984-03-27 Siemens Corporation Apparatus and method for cryptographic identity verification
US4500750A (en) * 1981-12-30 1985-02-19 International Business Machines Corporation Cryptographic application for interbank verification
GB2131586B (en) * 1982-12-03 1985-11-20 Burroughs Corp Autoteller systems
US4593384A (en) * 1984-12-21 1986-06-03 Ncr Corporation Security device for the secure storage of sensitive data
US4713753A (en) * 1985-02-21 1987-12-15 Honeywell Inc. Secure data processing system architecture with format control

Also Published As

Publication number Publication date
DK190784D0 (da) 1984-04-12
DK163694B (da) 1992-03-23
DK574585A (da) 1985-12-11
EP0179104B1 (en) 1990-09-19
WO1985004742A1 (en) 1985-10-24
ATE56831T1 (de) 1990-10-15
DK574585D0 (da) 1985-12-11
DE3579781D1 (de) 1990-10-25
DK163694C (da) 1992-08-10
US4882779A (en) 1989-11-21
EP0179104A1 (en) 1986-04-30
JPS61502014A (ja) 1986-09-11
NO855008L (no) 1986-02-06
NO170371C (no) 1992-10-07

Similar Documents

Publication Publication Date Title
NO170371B (no) Apparat som kommuniserer med datasystemer, og fremgangsmaate til kommunikasjon med datasystemer
US4529870A (en) Cryptographic identification, financial transaction, and credential device
CA1232684A (en) Electronic transaction security system
US4357529A (en) Multilevel security apparatus and method
CA1210470A (en) Protection system for intelligent cards
US4924514A (en) Personal identification number processing using control vectors
US4386266A (en) Method for operating a transaction execution system having improved verification of personal identification
JP4309479B2 (ja) 取引カードの磁気ストライプへ値を送るシステム
EP0047285B1 (en) A system for authenticating users and devices in on-line transaction networks
US6850916B1 (en) Portable electronic charge and authorization devices and methods therefor
US7089214B2 (en) Method for utilizing a portable electronic authorization device to approve transactions between a user and an electronic transaction system
NO337079B1 (no) Elektronisk transaksjon
IL94633A (en) A data transfer system encoded in a key between computers
CA2410568A1 (en) Secure transactions with passive storage media
GB2261538A (en) Transaction authentication system
EP0138320B1 (en) Cryptographic key management system
EP2026236A2 (en) Biometric pin block
NO180507B (no) Anordning for behandling av transaksjoner med höy sikkerhet
NO319774B1 (no) Fremgangsmate og anordning for sikker avgivelse av pengesedler
EP0354771B1 (en) Personal identification number processing using control vectors
JPH11282983A (ja) 指紋データによる本人識別方法
Van Heurck Trasec: Belgian security system for electronic funds transfers
Read EFTPOS: electronic funds transfer at point of sale
SE511507C2 (sv) Säkerhetsmodul för transaktionsstation samt transaktionsstation
JP2523197B2 (ja) 暗証番号照合方式

Legal Events

Date Code Title Description
MM1K Lapsed by not paying the annual fees

Free format text: LAPSED IN OCTOBER 2003