NO300438B1 - Terminal for levering av tjenester, med beskyttet fjern-innlasting - Google Patents

Terminal for levering av tjenester, med beskyttet fjern-innlasting Download PDF

Info

Publication number
NO300438B1
NO300438B1 NO903026A NO903026A NO300438B1 NO 300438 B1 NO300438 B1 NO 300438B1 NO 903026 A NO903026 A NO 903026A NO 903026 A NO903026 A NO 903026A NO 300438 B1 NO300438 B1 NO 300438B1
Authority
NO
Norway
Prior art keywords
program
zone
confirmed
loading
terminal
Prior art date
Application number
NO903026A
Other languages
English (en)
Other versions
NO903026L (no
NO903026D0 (no
Inventor
Christian Goire
Alain Sigaud
Eric Moyal
Original Assignee
Bull Cp8
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=9371701&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=NO300438(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Bull Cp8 filed Critical Bull Cp8
Publication of NO903026D0 publication Critical patent/NO903026D0/no
Publication of NO903026L publication Critical patent/NO903026L/no
Publication of NO300438B1 publication Critical patent/NO300438B1/no

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Communication Control (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)
  • Brushes (AREA)
  • Charge And Discharge Circuits For Batteries Or The Like (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Pens And Brushes (AREA)
  • Selective Calling Equipment (AREA)

Description

Den foreliggende oppfinnelse angår en terminal for levering av tjenester til en bruker, hvor terminalen er innrettet for å være beskyttet ved fjern-innlasting.
Evnen til å fjerninnlaste databehandlings-maskiner er kjent, men et problem som oppstår er å beskytte maskinen mot utidig eller til og med uredelig fjerninnlasting. Hvis en maskin omfatter lågere som er inndelt i bekreftede programsoner (CPZ) og ikke-bekreftede programsoner (NPZ), må det finnes en annen ordning som sikrer at programmer som fjerninnlastes i den bekreftede sone (CPZ) blir innlastet ved en fremgangsmåte som garanterer at det ikke blir uredelig innlastet . Et problem er også å frembringe et fleksibelt hybrid-system som gjør det mulig, i stor utstrekning, å være åpen og beskyttet samtidig, etter behov og avhengig av anvendelsen.
Dette problemet løses i henhold til oppfinnelsen ved til-veiebringelse av en terminal for levering av tjenester til en bruker ved utførelse av et tjenesteprogram og med en inn-last ings-styreenhet for å styre en første innlasting av programmet eller videre innlastinger for å oppdatere programmet fra en kilde utenfor terminalen, hvor styreenheten omfatter en informasjonsprosessor og et programlager. Terminalen kjenne-tegnes ved at programlageret er innrettet for å lagre tjenesteprogrammet og er oppdelt i en ikke-bekreftet sone og en bekreftet sone, hvor den bekreftede sonen har et sikkerhetsnivå som er høyere enn den ikke-bekreftede sonen, hvor et tjenesteprogram som er innlastet i den bekreftede sonen tillater utførelse av ytterligere operasjoner som ikke er tillatt i den ikke-bekreftede sonen, hvor en overføring av et tjenesteprogram fra den ikke-bekreftede sonen til den bekreftede sonen for forsterkning av programmet for å tillate de nevnte ytterligere operasjoner, krever autentifisering av et innhold i tjenesteprogrammet som ligger i den ikke-bekreftede sonen, ved å kontrollere at tjenesteprogrammet innbefatter autentifisering av data som identifiserer en myndighet med behørige rettigheter. Prosessoren innbefatter videre som kjennetegnende trekk et kommando-autoriserende ordregister, idet et kommando-autoriserende ord er inneholdt i registeret for å definere hvorvidt innlasting av tjenesteprogrammet i en hvilken som helst sone av programlageret fra en kilde utenfor terminalen er tillatt. Ytterligere kjennetegnende trekk er en kommando-styreenhet for å utføre kommandoer fra prosessoren for å laste tjenesteprogrammet inn i en hvilken som helst av den bekreftede og den ikke-bekreftede sone i programlageret, hvilken kommando-styreenhet leser det kommando-autoriserende ordet før utføring av prosessoren og tillater utføringen bare dersom autorisasjon gis av det kommando-autoriserende ordet, og en sikkerhetsanordning for innlastingsovervåkning, innbefattende et sett instruksjoner lagret i den bekreftede lagersonen, med hvilke instruksjoner prosessoren innlaster det kommando-autoriserende ordet i det kommandoautoriserende ordregisteret i prosessoren, basert på forutbestemte rettigheter tilknyttet terminalen og for autentifisering av et tjenesteprogram som skal overføres fra den ikke-bekreftede sonen til den bekreftede sonen, hvor lasting av et tjenesteprogram i programlageret omfatter lasting av det kommando-autoriserende ordet hvis ordet ikke allerede er innlastet, lesing av ordet og innlasting av programmet i en beordret lagersone dersom dette er tillatt, og hvis lastingen beordres i den bekreftede sonen og ikke er tillatt, lastes programmet inn i den ikke-bekreftede sonen og autentifiseres av sikker-het sanordningen for innlastings-overvåkning, og overføres til den bekreftede sonen dersom autentisering foreligger, idet tjenesteprogrammet utføres i den bekreftede sonen.
I en foretrukket utførelse av terminalen ifølge oppfinnelsen, omfatter det kommandoautoriserende ordet videre: et første felt for å autorisere en innlasting i og en lesning fra den ikke-bekreftede lagersonen;
et andre felt for å autorisere en innlasting i og en lesning fra den bekreftede lagersonen;
et tredje felt for å autorisere start av et program i den ikke-bekreftede lagersonen;
et fjerde felt for å autorisere start av et program i den bekreftede lagersonen; og
et femte felt for å autorisere åpning av en sesjon mellom terminalen og en ytre lasteanordning.
I en annen gunstig utførelse av terminalen ifølge oppfinnelsen omfatter denne en anordning for å forhindre tilgang til settet med instruksjoner i sikkerhetsanordningen unntatt ved en rutine-adresse som begynner med en spesifikk instruksjon.
Ytterligere karakteristika og fordeler ved den foreliggende oppfinnelse vil framgå av den følgende beskrivelse, under henvisning til tegningene, hvor: Fig. 1 viser et skjema av et system med en terminal ifølge
opp f inneIsen;
Fig. 2 viser et organisasjonskart over lagrene for en
terminal;
Fig. 3 viser innholdet av det ord for de to registrene som
uttrykker mulighetene som tilbys terminalen;
Fig. 4 er en oppsummering av inndelingen av lageret for
terminalen;
Fig. 5 representerer en fjerninnlastnings-fremgangsmåte
ifølge oppfinnelsen; og
Fig. 6 representerer informasjons-overføringen som kan utføres mellom enhetene i oppfinnelsen. Figur 1 viser en hoved-datamaskin 1 forbundet gjennom en transmisjonslinje 2 med en terminal eller leser 3 som er fjernt fra hoveddatamaskinen 1. Terminalen 3 omfatter et sett lågere 30, 31, 32 organisert som følger. Et første lager 31 omfatter et flyktig lager av RAM-typen, et annet lager 32 omfatter et sikret lager av RAM-typen, sikret ved et batteri, eller et EEPROM lager og et tredje lager 30 omfatter et fast lager av PROM eller ROM-typen. Terminalen omfatter videre en leser 33, transportable enheter 34 som omfatter en mikrodata-maskinkrets, omfattende en mikroprosessor og et programmerbart lager, som kan forbindes utvendig via kontakter. For ytterligere detaljer av konstruksjonen av en slik transportabel
enhet, se fransk patentsøknad 2 401 459, tilsvarende US patent 4,211,919; for detaljer av mikrodatamaskinen forbundet med et programmerbart lager, se Fransk patentsøknad 2 4 61 3 01, som tilsvarer US patent nr 4,3 82,279.
Dette sett av lågere blir brukt som et utførbart og tolkbart programlager, og som en arbeidssone laget av generel-le registre. Arbeidssonen omfatter i hovedsak en del 314 av RAM-lageret 31. Programlageret (figur 2) inneholder 20 sider lager på 16 Kbyte hver av det flyktige lager 31. Det sikrede lager omfatter 36 sider på 16 Kbyte av lageret 32, og det faste lageret omfatter åtte sider på 16 Kbyte av lageret 30. Hver flyktig lagersone, sikret lagersone og fast lagersone er inndelt i to eller tre undersoner, kalt bekreftet programsone CPZ, ikke-bekreftet programsone NPZ og postkasser BL.
Underdivisjonene av lagrene definerer sikkerhetsnivåene for programmene i disse lagrene. Programmene som er lagret i en CPZ-sone kan således sies å ha et bekreftet sikkerhetsnivå, mens programmer som er lagret i en NPZ-sone, er programmer med ubekreftet sikkerhetsnivå. Postkassene er soner med styrt aksess, som kan nåes med en nøkkel. De inneholder hovedsake-lig data. Et tolknings- og ordrebehandlings-program (GDC) som ligger i et lager 34 av ROM- eller PROM-typen sikret tolkning mellom programmer som er skrevet i et høynivåspråk, uavhengig av maskinvaren som ble brukt, og det språk som er spesielt for mikroprosessoren installert i denne terminalen. Selve ordrebehandlingen har som oppgave å utføre en ordre autorisert ved en av kommando-gruppene ECW1, ECW2 som beskrevet nedenfor. Dette tolknings- og ordrebehandlingsprogrammet er gitt de største aksess-rettigheter, som er større enn for sonene NPZ eller CPZ. De programmer som er lagt inn i CPZ-sonene i lageret muliggjør lesning og skriving i alle MPZ- eller CPZ-sonene i det flyktige lager 31, det sikrede lager 32 eller det faste lager 30, men bare lesning og skriving under kontroll av tolkningsprogrammet og brukerprogrammet i postkasse-sonene; reglene for skriving og lesning blir definert av brukerpro-grammer i det øyeblikk postkassen blir skapt. Programmer som er innlagt i NPZ-sonene 311, 321, 301 er tildelt det ikke-bekref tede sikkerhetsnivå. Den eneste rettigheten de har er å utføre lesning/skrivning i NPZ-sonen 311, 321 i de sikrede og fastlagrede flyktige lågere, og de kan utføre lesning og skrivning bare under kontroll av tolknings-programmet 300 i postkasse-sonene 313, 323 i det flyktige 31 eller sikrede 32 lager.
Figur 4 oppsummerer inndeling av lågere i terminalen og de forskjellige aksessrettigheter til disse lågere.
Operasjon av systemet skal beskrives nedenfor.
En terminal utstyrt med en leser inneholder fra begynnel-sen minst en instruksjon CHSB i den sikrede lagersone. Kommandogruppene for denne instruksjonen klargjør akseptering eller ikke-akseptering av disse ordrer som sendes av den fjerninnlastede hoveddatamaskin. Disse instruksjonen CHSB omfatter to kommandoordgrupper ECW1 og ECW2, hvis biter som vist på figur 3 blir lastet inn i registrene i arbeidslageret 314 ved adressene FFED og FFEC i dette lageret, for å indikere for ordrebehandlingskretsen de ordrer som kan aksepteres eller ikke aksepteres. Ved utførelse og dekoding av en fjerninn-lastningsordre, en program-startordre, en leseordre eller en sesjons-åpningsordre, vil ordrebehandlingskretsen lese kommandoordene. Således, idet en starter med de minst betydningsfulle biter og fortsetter mot de mest betydningsfulle biter, autoriserer den første bit av den første gruppe ECW1 fjerninnlastning og lesning av sonen NPZ;
den andre bit autoriserer så fjerninnlastning og lesning av sonen CPZ;
den tredje bit autoriserer ekstern starting, fra hoved-datamaskinen 1, av et program i NPZ;
den fjerde bit autoriserer ekstern starting, fra hoved-datamaskinen 1 av et program i CPZ;
den femte betydningsfulle bit, som omfatter den første bit av det andre kommandoord ECW2, autoriserer fjerninnlasting og lesning av en register-databank bestående av en del av arbeidslageret 314;
den sjette bit som omfatter den andre bit av den andre gruppen ECW2 autoriserer åpning av en sesjon.
Når bitene for disse to ordene er på null, blir ikke de tilsvarende fjerninnlastnings-, programstarting- eller sesjonsåpning-ordre tatt i betraktning av ordrebehandlingen for terminalen; når disse bitene er på en, blir ordrene tatt i betraktning.
Ved levering har ordene ECW1 og ECW2 sine biter fastsatt som standard slik at de klargjør alle muligheter for akseptering av forskjellige ordrer. Dette vil følgelig autorisere hoved-datamaskinen til direkte fjerninnlastning av et TELESEC-program (3220) i CPZ-sonen, som følgelig vil tillate utførelse av sikret fjerninnlastning. Denne fjerninnlastningen kan ha eller ikke ha en forutgående bekreftelsesprosess.
En annen løsning kan også omfatte levering av terminale-ne, slik at de allerede er utstyrt i en CPZ-sone (322) i det sikrede lager med et program for sikret fjerninnlastning. Programmet vil om nødvendig modifisere registrene ECW1/ECW2 og utføre et sett instruksjoner som gjør det mulig å benytte to mulige scenarier. I et første scenario, ved en gren-instruksjon GOTO eller CALL fulgt av adressen (ADCPZ1) for begynnel-sen på det sikrede fjerninnlastningsprogram TELESEC, kan programmet som er fjerninnlastet av hoveddatamaskinen kalle dette programmet som er lagret i CPZ-sonen. Det er viktig at dette programmet må begynne med en inngangs-instruksjon (ENTRY). TELESEC-programmet vist på figur 5 omfatter bl.a en instruksjon TTP RSC1, RSC2 og ender med en instruksjon RET, som viker for det program som ligger i NPZ.
ENTRY-instruksjonen er et punkt for obligatorisk inngang av en rutine med bekreftet nivå for hvilket som helst program lagret i NPZ. Dette gjør det mulig å hindre at hoved-datamaskinen eller et program i NPZ kan aksessere noe punkt i et program lagret i CPZ. Som vist på figur 5, i det tilfellet hvor programmet i NPZ omfatter en instruksjon CALL AD CPZ2 som ønsker forbindelse med adressen CPZ2 i en sone CPZ, og instruksjonen til denne adressen er en annen enn ENTRY-instruksjonen, vil tolkningsprogrammet detektere en forbudt aksess.
Instruksjonen TPP klargjør omkopiering av en program-lagerblokk SCI i en program-lagerblokk SC2. Ikke desto min-dre, før denne instruksjonen blir utført vil tolkningsprogrammet verifisere at denne instruksjonen kan utføres, ved å sammenligne adressen ved hvilken instruksjonen TPP er lagret og adressen for lagerblokk SC". I det tilfellet hvor instruksjonen TPP er lagret i lagersonen NPZ og ønsker kopiering av en programblokk lagret i en sone NPZ til en programblokk lagret i en sone CPZ, vil ikke tolkningsprogrammet autorisere utførelsen av instruksjonen. I dette tilfellet vil tolknings-programmet stoppe, eller vil omdirigere seg selv til et sub-program for feilbehandling, for å signalisere til brukeren at tolkningsprogrammet ikke ønsket å utføre instruksjonen.
Tolkningsprogrammet utfører systematisk sjekking av enhver instruksjon, uansett hvor den kommer fra, ved å manipu-lere en adresse for å verifisere om den region til hvilken aksess er ønsket, er autorisert. Sjekkingen begynner ved den region som instruksjonen kommer fra. På denne måten blir det verifisert at det programnivå som tilsvarer den regionen instruksjonen kommer fra, virkelig er i samsvar med den tilsvarende aksess-autorisasjon for dette nivå som er vist på figur 4. Ordet ECW1 må således ha bit 0 og bit 2 på nivå "1", og ordet ECW2 må ha bit "1" på nivå "1" for å tillate åpning av en sesjon, for eksempel en fjerninnlastnings-sesjon. De eneste muligheter som blir beholdt, er for fjerninnlastning og lesning i sone NPZ for starting av et program i sone NPZ. Følgelig vil ethvert program som fjerninnlastes av hoved-datamaskinen i sone NPZ omfatte en instruksjon om å kalle programmet TELESEC som er anordnet i en sone CPZ, hvilket gjør det mulig å foreta en overføring fra en lagerblokk i en sone NPZ til en lagerblokk i en sone CPZ.
Et annet scenario kan bestå i å fjerninnlaste et program X i NPZ, og så bekrefte ektheten av dette programmet ved et bekreftelses- og sertifiseringsprogram i CPZ. Startingen av programmet X kan utføres ved en startinstruksjon RUN som kommer fra hoveddatamaskinen, hvis ECW autoriserer den.
Hvis programmet X blir startet mens det er i sonen NPZ, har programmet få rettigheter. En annen mulighet er å lagre programmet X i sonen CPZ, som man har sett ovenfor. I dette tilfellet har det alle rettigheter av et program i sone CPZ.
En bekreftelsesprosedyre kan for eksempel være lik den som er beskrevet i fransk patentsøknad nr. 86 08 654, inngitt 16. juni 1986, i navnet til det firmaet som gjør forretninger som BULL CP8. På lignende måte, en prosedyre for å bekrefte ektheten av data, kan for eksempel være lik den som er beskrevet i fransk patentsøknad nr. 86 10 206, inngitt 11. juli 1986, igjen i navnet BUL CP8. Ved å modifisere kommandoordene ECW1/ECW2, har man sett at tilstandene for fjerninnlasting fra en sone MPZ til en sone CPZ kan modifiseres, og ordrebehandlingsprogrammet er i stand til å bestemme disse tilstandene ved å lese kommandoordene ECW1/ECW2 som er lagret i registrene for arbeidssonen.
Det skal bemerkes at ECW1, ECW2 bestemmer et visst antall nivåer, som følger: Åpningen av sesjon kan autoriseres eller ikke; hvis ikke, er maskinen fullstendig stengt.
Åpning av en sesjon er autorisert; i dette tilfellet kan innlastning bli utført enten i CPZ eller NPZ i henhold til ECW. Ekstern starting kan imidlertid være forbudt, for å ha opsjonen av intern gyldighetsbekreftelse, ved en CALL eller GOTO-instruksjon, som tillater omdirigering til bekreftelses-programmet. Start-instruksjonen RUN, hvis den ikke allerede er autorisert, blir autorisert ved å modifisere ECW.
Mulighetene og fleksibiliteten av systemet ifølge oppfinnelsen er illustrert på figur 6.
Diagrammet vist på figur 6 illustrerer informasjons-overføring som kan oppnås mellom de følgende enheter av oppfinnelsen : - sone NPZ i programlageret; - sone CPZ i programlageret; - kilder, som kan være tastatur, skjermenhet o.s.v.; - datalagere omfattende en del av RAM (31);
- hoveddatamaskin.
Pilene på figuren indikerer retningen for informasjons-strømmen, og teksten forbundet med pilene definerer følgende: - instruksjon som tillater overføringsaksjon. Instruksjonen er som følger: - OUT eller IN, som er inngangs/utgangs-instruksjoner; - TPP, overføring fra programlager til programlager; - TPR eller GPTR, overføring fra programlager til datalager; - TRP eller PPTR, overføring fra datalager til programlager. - typen av lager hvor instruksjonen må være lagret. Typen er spesifisert av en eller to bokstaver i tillegg til bokstavordet.
Bokstaven c spesifiserer at instruksjonen bare er i CPZ. Små bokstaver c, n spesifiserer at instruksjonen er i CPZ eller NPZ. Sløyfen med nummer 60 betyr for eksempel at infor-masjonen kan overføres fra CPZ til CPZ bare ved hjelp av instruksjonen TPP som er lagret i CPZ.
Utvekslingen som er representert ved henvisningstallet 61 spesifiserer at informasjon kan bli overført mellom systemets ressurser og sone CPZ bare ved hjelp av en INN/UT-instruksjon lagret i sone CPZ.
Utvekslingen som er representert ved henvisningstallet 62 spesifiserer at informasjon kan overføres mellom en sone NPZ og en annen enhet i systemet bare ved hjelp av en instruksjon lagret i CPZ eller i NPZ.
Når det angår ordrebehandlingen, utfører den ordrer for fjerninnlastning/lesning som en funksjon av verdien ECW1/ECW2, fastsatt ved hjelp av instruksjonen CHSB, lagret bare i CPZ.

Claims (3)

1. Terminal for levering av tjenester til en bruker ved utførelse av et tjenesteprogram og med en innlastings-styreenhet for å styre en første innlasting av programmet eller videre innlastinger for å oppdatere programmet fra en kilde utenfor terminalen, hvor styreenheten omfatter en informasjonsprosessor og et programlager, karakterisert ved at programlageret er innrettet for å lagre tjenesteprogrammet og er oppdelt i en ikke-bekreftet sone (NPZ) og en bekreftet sone (CPZ), hvor den bekreftede sonen har et sikkerhetsnivå som er høyere enn den ikke-bekreftede sonen, hvor et tjenesteprogram som er innlastet i den bekreftede sonen tillater utførelse av ytterligere operasjoner som ikke er tillatt i den ikke-bekreftede sonen, hvor en overføring av et tjenesteprogram fra den ikke-bekreftede sonen til den bekreftede sonen for forsterkning av programmet for å tillate de nevnte ytterligere operasjoner, krever autentifisering av et innhold i tjenesteprogrammet som ligger i den ikke-bekreftede sonen, ved å kontrollere at tjenesteprogrammet innbefatter autentifisering av data som identifiserer en myndighet med behørige rettigheter; idet prosessoren innbefatter et kommando-autoriserende ordregister, idet et kommando-autoriserende ord (ECW) er inneholdt i registeret for å definere hvorvidt innlasting av tjenesteprogrammet i en hvilken som helst sone av programlageret fra en kilde utenfor terminalen er tillatt; en kommando-styreenhet for å utføre kommandoer fra prosessoren for å laste tjenesteprogrammet inn i en hvilken som helst av den bekreftede og den ikke-bekreftede sone i programlageret, hvilken kommando-styreenhet leser det kommando-autoriserende ordet før utføring av prosessoren og tillater utføringen bare dersom autorisasjon gis av det kommando-autoriserende ordet; og en sikkerhetsanordning (TELESEC) for innlastingsovervåkning, innbefattende et sett instruksjoner lagret i den bekreftede lagersonen, med hvilke instruksjoner prosessoren innlås-ter det kommando-autoriserende ordet i det kommandoautoriserende ordregisteret 'i prosessoren, basert på forutbestemte rettigheter tilknyttet terminalen og for autentifisering av et tjenesteprogram som skal overføres fra den ikke-bekreftede sonen til den bekreftede sonen, hvor lasting av et tjenesteprogram i programlageret omfatter lasting av det kommando-autoriserende ordet (ECW) hvis ordet ikke allerede er innlastet, lesing av ordet og innlasting av programmet i en beordret lagersone dersom dette er tillatt, og hvis lastingen beordres i den bekreftede sonen og ikke er tillatt, lastes programmet inn i den ikke-bekreftede sonen og autentifiseres av sikker-het sanordningen (TELESEC) for innlastings-overvåkning, og overføres til den bekreftede sonen dersom autentisering foreligger, idet tjenesteprogrammet utføres i den bekreftede sonen.
2. Terminal ifølge krav 1, karakterisert ved at det kommandoautoriserende ordet (ECW) videre omfatter: et første felt for å autorisere en innlasting i og en lesning fra den ikke-bekreftede lagersonen (NPZ); et andre felt for å autorisere en innlasting i og en lesning fra den bekreftede lagersonen (CPZ); et tredje felt for å autorisere start av et program i den ikke-bekreftede lagersonen (NPZ); et fjerde felt for å autorisere start av et program i den bekreftede lagersonen (CPZ); og et femte felt for å autorisere åpning av en sesjon mellom terminalen og en ytre lasteanordning.
3. Terminal ifølge krav 1, karakterisert ved at den videre omfatter: en anordning for å forhindre tilgang til settet med instruksjoner i sikkerhetsanordningen (TELESEC) unntatt ved en rutine-adresse som begynner med en spesifikk instruksjon (ENTRY).
NO903026A 1988-11-09 1990-07-06 Terminal for levering av tjenester, med beskyttet fjern-innlasting NO300438B1 (no)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR8814604A FR2638868B1 (fr) 1988-11-09 1988-11-09 Systeme de telechargement securise d'un terminal et procede mis en oeuvr
PCT/FR1989/000577 WO1990005347A1 (fr) 1988-11-09 1989-11-08 Systeme de telechargement securise d'un terminal et procede mis en o×uvre

Publications (3)

Publication Number Publication Date
NO903026D0 NO903026D0 (no) 1990-07-06
NO903026L NO903026L (no) 1990-09-06
NO300438B1 true NO300438B1 (no) 1997-05-26

Family

ID=9371701

Family Applications (1)

Application Number Title Priority Date Filing Date
NO903026A NO300438B1 (no) 1988-11-09 1990-07-06 Terminal for levering av tjenester, med beskyttet fjern-innlasting

Country Status (11)

Country Link
EP (1) EP0368752B1 (no)
JP (1) JPH0748178B2 (no)
AT (1) ATE164249T1 (no)
CA (1) CA2002349C (no)
DE (1) DE68928608T2 (no)
DK (1) DK175146B1 (no)
ES (1) ES2114852T3 (no)
FR (1) FR2638868B1 (no)
NO (1) NO300438B1 (no)
SG (1) SG139504A1 (no)
WO (1) WO1990005347A1 (no)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5367150A (en) * 1988-09-26 1994-11-22 Hitachi Maxell, Ltd. Data processing system using IC card
FR2679674A1 (fr) * 1991-07-24 1993-01-29 Infotel Marketing Accessoire informatique pour transformer un terminal interactif de telematique en microordinateur.
EP1298947B1 (en) 1993-06-15 2012-01-25 RPX Corporation Telecommunications system
US5705798A (en) * 1994-12-16 1998-01-06 Mastercard International Inc. System and method for processing a customized financial transaction card
FR2734934B1 (fr) * 1995-05-30 1997-07-04 Syseca Carte a puce intelligente securisee
DE19522527A1 (de) * 1995-06-23 1997-01-02 Ibm Verfahren zur Vereinfachung der Kommunikation mit Chipkarten
FR2740576B1 (fr) * 1995-10-26 1998-01-23 Ckd Sa Systeme comprenant un terminal relie par une ligne de transmission a une unite centrale, et terminal pouvant recevoir des programmes teledecharges
EP0825739A1 (en) * 1996-08-15 1998-02-25 Koninklijke KPN N.V. Method of loading commands in the security module of a terminal
WO1998009256A1 (de) * 1996-08-30 1998-03-05 Siemens Aktiengesellschaft Verfahren zur vorbereitung der durchführung einer chipkarten-applikation und vorrichtungen zur durchführung dieses verfahrens
FR2760865B1 (fr) * 1997-03-13 1999-04-23 Gemplus Card Int Procede de controle de l'etancheite d'applications chargees dans un terminal multi-applicatif et terminal pour la mise en oeuvre
AU749396B2 (en) * 1997-09-09 2002-06-27 Koninklijke Kpn N.V. Method of loading commands in the security module of a terminal
FR2776453B1 (fr) * 1998-03-20 2000-05-19 Gemplus Card Int Procede de gestion securisee d'un compteur d'unites et module de securite mettant en oeuvre le procede
FR2779018B1 (fr) 1998-05-22 2000-08-18 Activcard Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS58116571A (ja) * 1981-12-29 1983-07-11 富士通株式会社 マイクロコンピユ−タに於ける命令暗号化方式及びその実施に使用されるマイクロコンピユ−タ
DE3687671D1 (de) * 1985-06-07 1993-03-18 Siemens Ag Verfahren und anordnung zur sicherung des zugriffs zu einer rechenanlage.
GB2181281B (en) * 1985-10-03 1989-09-13 Isolation Systems Limited Device for controlling access to computer peripherals
DE3682476D1 (de) * 1985-10-07 1991-12-19 Toshiba Kawasaki Kk Tragbares elektronisches geraet.
US4742215A (en) * 1986-05-07 1988-05-03 Personal Computer Card Corporation IC card system
US4916738A (en) * 1986-11-05 1990-04-10 International Business Machines Corp. Remote access terminal security

Also Published As

Publication number Publication date
CA2002349C (fr) 1996-12-31
DK165390D0 (da) 1990-07-09
DK175146B1 (da) 2004-06-14
ES2114852T3 (es) 1998-06-16
ATE164249T1 (de) 1998-04-15
NO903026L (no) 1990-09-06
DK165390A (da) 1990-08-22
WO1990005347A1 (fr) 1990-05-17
JPH03500827A (ja) 1991-02-21
NO903026D0 (no) 1990-07-06
JPH0748178B2 (ja) 1995-05-24
FR2638868B1 (fr) 1990-12-21
FR2638868A1 (fr) 1990-05-11
EP0368752B1 (fr) 1998-03-18
EP0368752A1 (fr) 1990-05-16
DE68928608D1 (de) 1998-04-23
DE68928608T2 (de) 1998-07-16
SG139504A1 (en) 2008-02-29
CA2002349A1 (fr) 1990-05-09

Similar Documents

Publication Publication Date Title
US5434999A (en) Safeguarded remote loading of service programs by authorizing loading in protected memory zones in a terminal
JP2682700B2 (ja) Icカード
US5894550A (en) Method of implementing a secure program in a microprocessor card, and a microprocessor card including a secure program
US7318129B1 (en) Flash memory protection scheme for secured shared BIOS implementation in personal computers with an embedded controller
JP2625587B2 (ja) 暗号装置において実行されるべき制御ベクトル検査コードを与えるための方法及び装置
US6371377B2 (en) Card type recording medium and access control method for card type recording medium and computer-readable recording medium having access control program for card type recording medium recorded
US5163147A (en) Computer system with file security function
US5252812A (en) Program control system for portable data storage device
US4087856A (en) Location dependence for assuring the security of system-control operations
KR100205740B1 (ko) 복수의 마이크로 프로세서들간에 애플리케이션 데이터 및 절차들을 공유하기 위한 보안성 애플리케이션 카드
NO300438B1 (no) Terminal for levering av tjenester, med beskyttet fjern-innlasting
US6453397B1 (en) Single chip microcomputer internally including a flash memory
US5828831A (en) System for preventing unauthorized use of a personal computer and a method therefore security function, and methods of installing and detaching a security device to/from a computer
JPS58176746A (ja) ソフトウエアを保護する方法および装置
JPH11505355A (ja) ポータブルデータ処理ユニットを含むデータ交換システム
KR20090095843A (ko) 보안 기능을 갖는 프로세서 장치
US5159183A (en) Ic card
US7797553B2 (en) Memory device
JPH0896106A (ja) Icカード及びicカードシステム
JPH10105408A (ja) 情報処理装置
US6776346B1 (en) Secured access device with chip card application
EP1130499A2 (en) System and method for verifying safety of software
US20240211600A1 (en) Method for reprogram with enhanced security
JPH11167525A (ja) 不揮発性メモリ混載マイコン及びその不揮発性メモリ書換え方法並びに不揮発性メモリ混載マイコンの不揮発性メモリ書換えプログラムを記録した記録媒体
JPH06309528A (ja) Icカード

Legal Events

Date Code Title Description
MK1K Patent expired