NO300438B1 - Terminal for levering av tjenester, med beskyttet fjern-innlasting - Google Patents
Terminal for levering av tjenester, med beskyttet fjern-innlasting Download PDFInfo
- Publication number
- NO300438B1 NO300438B1 NO903026A NO903026A NO300438B1 NO 300438 B1 NO300438 B1 NO 300438B1 NO 903026 A NO903026 A NO 903026A NO 903026 A NO903026 A NO 903026A NO 300438 B1 NO300438 B1 NO 300438B1
- Authority
- NO
- Norway
- Prior art keywords
- program
- zone
- confirmed
- loading
- terminal
- Prior art date
Links
- 238000011068 loading method Methods 0.000 title claims description 33
- 238000013475 authorization Methods 0.000 claims description 10
- 238000012546 transfer Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000005728 strengthening Methods 0.000 claims 1
- 101150101199 CHSB gene Proteins 0.000 abstract description 4
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 230000015654 memory Effects 0.000 abstract 9
- 230000003936 working memory Effects 0.000 abstract 1
- 238000012545 processing Methods 0.000 description 6
- 238000000034 method Methods 0.000 description 5
- AYEKOFBPNLCAJY-UHFFFAOYSA-O thiamine pyrophosphate Chemical compound CC1=C(CCOP(O)(=O)OP(O)(O)=O)SC=[N+]1CC1=CN=C(C)N=C1N AYEKOFBPNLCAJY-UHFFFAOYSA-O 0.000 description 4
- 238000012795 verification Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 101150045592 RSC1 gene Proteins 0.000 description 1
- 101100094096 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RSC2 gene Proteins 0.000 description 1
- 230000003416 augmentation Effects 0.000 description 1
- 244000309464 bull Species 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3552—Downloading or loading of personalisation data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Strategic Management (AREA)
- Accounting & Taxation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Microelectronics & Electronic Packaging (AREA)
- General Engineering & Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Communication Control (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
- Information Transfer Between Computers (AREA)
- Brushes (AREA)
- Charge And Discharge Circuits For Batteries Or The Like (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Pens And Brushes (AREA)
- Selective Calling Equipment (AREA)
Description
Den foreliggende oppfinnelse angår en terminal for levering av tjenester til en bruker, hvor terminalen er innrettet for å være beskyttet ved fjern-innlasting.
Evnen til å fjerninnlaste databehandlings-maskiner er kjent, men et problem som oppstår er å beskytte maskinen mot utidig eller til og med uredelig fjerninnlasting. Hvis en maskin omfatter lågere som er inndelt i bekreftede programsoner (CPZ) og ikke-bekreftede programsoner (NPZ), må det finnes en annen ordning som sikrer at programmer som fjerninnlastes i den bekreftede sone (CPZ) blir innlastet ved en fremgangsmåte som garanterer at det ikke blir uredelig innlastet . Et problem er også å frembringe et fleksibelt hybrid-system som gjør det mulig, i stor utstrekning, å være åpen og beskyttet samtidig, etter behov og avhengig av anvendelsen.
Dette problemet løses i henhold til oppfinnelsen ved til-veiebringelse av en terminal for levering av tjenester til en bruker ved utførelse av et tjenesteprogram og med en inn-last ings-styreenhet for å styre en første innlasting av programmet eller videre innlastinger for å oppdatere programmet fra en kilde utenfor terminalen, hvor styreenheten omfatter en informasjonsprosessor og et programlager. Terminalen kjenne-tegnes ved at programlageret er innrettet for å lagre tjenesteprogrammet og er oppdelt i en ikke-bekreftet sone og en bekreftet sone, hvor den bekreftede sonen har et sikkerhetsnivå som er høyere enn den ikke-bekreftede sonen, hvor et tjenesteprogram som er innlastet i den bekreftede sonen tillater utførelse av ytterligere operasjoner som ikke er tillatt i den ikke-bekreftede sonen, hvor en overføring av et tjenesteprogram fra den ikke-bekreftede sonen til den bekreftede sonen for forsterkning av programmet for å tillate de nevnte ytterligere operasjoner, krever autentifisering av et innhold i tjenesteprogrammet som ligger i den ikke-bekreftede sonen, ved å kontrollere at tjenesteprogrammet innbefatter autentifisering av data som identifiserer en myndighet med behørige rettigheter. Prosessoren innbefatter videre som kjennetegnende trekk et kommando-autoriserende ordregister, idet et kommando-autoriserende ord er inneholdt i registeret for å definere hvorvidt innlasting av tjenesteprogrammet i en hvilken som helst sone av programlageret fra en kilde utenfor terminalen er tillatt. Ytterligere kjennetegnende trekk er en kommando-styreenhet for å utføre kommandoer fra prosessoren for å laste tjenesteprogrammet inn i en hvilken som helst av den bekreftede og den ikke-bekreftede sone i programlageret, hvilken kommando-styreenhet leser det kommando-autoriserende ordet før utføring av prosessoren og tillater utføringen bare dersom autorisasjon gis av det kommando-autoriserende ordet, og en sikkerhetsanordning for innlastingsovervåkning, innbefattende et sett instruksjoner lagret i den bekreftede lagersonen, med hvilke instruksjoner prosessoren innlaster det kommando-autoriserende ordet i det kommandoautoriserende ordregisteret i prosessoren, basert på forutbestemte rettigheter tilknyttet terminalen og for autentifisering av et tjenesteprogram som skal overføres fra den ikke-bekreftede sonen til den bekreftede sonen, hvor lasting av et tjenesteprogram i programlageret omfatter lasting av det kommando-autoriserende ordet hvis ordet ikke allerede er innlastet, lesing av ordet og innlasting av programmet i en beordret lagersone dersom dette er tillatt, og hvis lastingen beordres i den bekreftede sonen og ikke er tillatt, lastes programmet inn i den ikke-bekreftede sonen og autentifiseres av sikker-het sanordningen for innlastings-overvåkning, og overføres til den bekreftede sonen dersom autentisering foreligger, idet tjenesteprogrammet utføres i den bekreftede sonen.
I en foretrukket utførelse av terminalen ifølge oppfinnelsen, omfatter det kommandoautoriserende ordet videre: et første felt for å autorisere en innlasting i og en lesning fra den ikke-bekreftede lagersonen;
et andre felt for å autorisere en innlasting i og en lesning fra den bekreftede lagersonen;
et tredje felt for å autorisere start av et program i den ikke-bekreftede lagersonen;
et fjerde felt for å autorisere start av et program i den bekreftede lagersonen; og
et femte felt for å autorisere åpning av en sesjon mellom terminalen og en ytre lasteanordning.
I en annen gunstig utførelse av terminalen ifølge oppfinnelsen omfatter denne en anordning for å forhindre tilgang til settet med instruksjoner i sikkerhetsanordningen unntatt ved en rutine-adresse som begynner med en spesifikk instruksjon.
Ytterligere karakteristika og fordeler ved den foreliggende oppfinnelse vil framgå av den følgende beskrivelse, under henvisning til tegningene, hvor: Fig. 1 viser et skjema av et system med en terminal ifølge
opp f inneIsen;
Fig. 2 viser et organisasjonskart over lagrene for en
terminal;
Fig. 3 viser innholdet av det ord for de to registrene som
uttrykker mulighetene som tilbys terminalen;
Fig. 4 er en oppsummering av inndelingen av lageret for
terminalen;
Fig. 5 representerer en fjerninnlastnings-fremgangsmåte
ifølge oppfinnelsen; og
Fig. 6 representerer informasjons-overføringen som kan
utføres mellom enhetene i oppfinnelsen. Figur 1 viser en hoved-datamaskin 1 forbundet gjennom en transmisjonslinje 2 med en terminal eller leser 3 som er fjernt fra hoveddatamaskinen 1. Terminalen 3 omfatter et sett lågere 30, 31, 32 organisert som følger. Et første lager 31 omfatter et flyktig lager av RAM-typen, et annet lager 32 omfatter et sikret lager av RAM-typen, sikret ved et batteri, eller et EEPROM lager og et tredje lager 30 omfatter et fast lager av PROM eller ROM-typen. Terminalen omfatter videre en leser 33, transportable enheter 34 som omfatter en mikrodata-maskinkrets, omfattende en mikroprosessor og et programmerbart lager, som kan forbindes utvendig via kontakter. For ytterligere detaljer av konstruksjonen av en slik transportabel
enhet, se fransk patentsøknad 2 401 459, tilsvarende US patent 4,211,919; for detaljer av mikrodatamaskinen forbundet med et programmerbart lager, se Fransk patentsøknad 2 4 61 3 01, som tilsvarer US patent nr 4,3 82,279.
Dette sett av lågere blir brukt som et utførbart og tolkbart programlager, og som en arbeidssone laget av generel-le registre. Arbeidssonen omfatter i hovedsak en del 314 av RAM-lageret 31. Programlageret (figur 2) inneholder 20 sider lager på 16 Kbyte hver av det flyktige lager 31. Det sikrede lager omfatter 36 sider på 16 Kbyte av lageret 32, og det faste lageret omfatter åtte sider på 16 Kbyte av lageret 30. Hver flyktig lagersone, sikret lagersone og fast lagersone er inndelt i to eller tre undersoner, kalt bekreftet programsone CPZ, ikke-bekreftet programsone NPZ og postkasser BL.
Underdivisjonene av lagrene definerer sikkerhetsnivåene for programmene i disse lagrene. Programmene som er lagret i en CPZ-sone kan således sies å ha et bekreftet sikkerhetsnivå, mens programmer som er lagret i en NPZ-sone, er programmer med ubekreftet sikkerhetsnivå. Postkassene er soner med styrt aksess, som kan nåes med en nøkkel. De inneholder hovedsake-lig data. Et tolknings- og ordrebehandlings-program (GDC) som ligger i et lager 34 av ROM- eller PROM-typen sikret tolkning mellom programmer som er skrevet i et høynivåspråk, uavhengig av maskinvaren som ble brukt, og det språk som er spesielt for mikroprosessoren installert i denne terminalen. Selve ordrebehandlingen har som oppgave å utføre en ordre autorisert ved en av kommando-gruppene ECW1, ECW2 som beskrevet nedenfor. Dette tolknings- og ordrebehandlingsprogrammet er gitt de største aksess-rettigheter, som er større enn for sonene NPZ eller CPZ. De programmer som er lagt inn i CPZ-sonene i lageret muliggjør lesning og skriving i alle MPZ- eller CPZ-sonene i det flyktige lager 31, det sikrede lager 32 eller det faste lager 30, men bare lesning og skriving under kontroll av tolkningsprogrammet og brukerprogrammet i postkasse-sonene; reglene for skriving og lesning blir definert av brukerpro-grammer i det øyeblikk postkassen blir skapt. Programmer som er innlagt i NPZ-sonene 311, 321, 301 er tildelt det ikke-bekref tede sikkerhetsnivå. Den eneste rettigheten de har er å utføre lesning/skrivning i NPZ-sonen 311, 321 i de sikrede og fastlagrede flyktige lågere, og de kan utføre lesning og skrivning bare under kontroll av tolknings-programmet 300 i postkasse-sonene 313, 323 i det flyktige 31 eller sikrede 32 lager.
Figur 4 oppsummerer inndeling av lågere i terminalen og de forskjellige aksessrettigheter til disse lågere.
Operasjon av systemet skal beskrives nedenfor.
En terminal utstyrt med en leser inneholder fra begynnel-sen minst en instruksjon CHSB i den sikrede lagersone. Kommandogruppene for denne instruksjonen klargjør akseptering eller ikke-akseptering av disse ordrer som sendes av den fjerninnlastede hoveddatamaskin. Disse instruksjonen CHSB omfatter to kommandoordgrupper ECW1 og ECW2, hvis biter som vist på figur 3 blir lastet inn i registrene i arbeidslageret 314 ved adressene FFED og FFEC i dette lageret, for å indikere for ordrebehandlingskretsen de ordrer som kan aksepteres eller ikke aksepteres. Ved utførelse og dekoding av en fjerninn-lastningsordre, en program-startordre, en leseordre eller en sesjons-åpningsordre, vil ordrebehandlingskretsen lese kommandoordene. Således, idet en starter med de minst betydningsfulle biter og fortsetter mot de mest betydningsfulle biter, autoriserer den første bit av den første gruppe ECW1 fjerninnlastning og lesning av sonen NPZ;
den andre bit autoriserer så fjerninnlastning og lesning av sonen CPZ;
den tredje bit autoriserer ekstern starting, fra hoved-datamaskinen 1, av et program i NPZ;
den fjerde bit autoriserer ekstern starting, fra hoved-datamaskinen 1 av et program i CPZ;
den femte betydningsfulle bit, som omfatter den første bit av det andre kommandoord ECW2, autoriserer fjerninnlasting og lesning av en register-databank bestående av en del av arbeidslageret 314;
den sjette bit som omfatter den andre bit av den andre gruppen ECW2 autoriserer åpning av en sesjon.
Når bitene for disse to ordene er på null, blir ikke de tilsvarende fjerninnlastnings-, programstarting- eller sesjonsåpning-ordre tatt i betraktning av ordrebehandlingen for terminalen; når disse bitene er på en, blir ordrene tatt i betraktning.
Ved levering har ordene ECW1 og ECW2 sine biter fastsatt som standard slik at de klargjør alle muligheter for akseptering av forskjellige ordrer. Dette vil følgelig autorisere hoved-datamaskinen til direkte fjerninnlastning av et TELESEC-program (3220) i CPZ-sonen, som følgelig vil tillate utførelse av sikret fjerninnlastning. Denne fjerninnlastningen kan ha eller ikke ha en forutgående bekreftelsesprosess.
En annen løsning kan også omfatte levering av terminale-ne, slik at de allerede er utstyrt i en CPZ-sone (322) i det sikrede lager med et program for sikret fjerninnlastning. Programmet vil om nødvendig modifisere registrene ECW1/ECW2 og utføre et sett instruksjoner som gjør det mulig å benytte to mulige scenarier. I et første scenario, ved en gren-instruksjon GOTO eller CALL fulgt av adressen (ADCPZ1) for begynnel-sen på det sikrede fjerninnlastningsprogram TELESEC, kan programmet som er fjerninnlastet av hoveddatamaskinen kalle dette programmet som er lagret i CPZ-sonen. Det er viktig at dette programmet må begynne med en inngangs-instruksjon (ENTRY). TELESEC-programmet vist på figur 5 omfatter bl.a en instruksjon TTP RSC1, RSC2 og ender med en instruksjon RET, som viker for det program som ligger i NPZ.
ENTRY-instruksjonen er et punkt for obligatorisk inngang av en rutine med bekreftet nivå for hvilket som helst program lagret i NPZ. Dette gjør det mulig å hindre at hoved-datamaskinen eller et program i NPZ kan aksessere noe punkt i et program lagret i CPZ. Som vist på figur 5, i det tilfellet hvor programmet i NPZ omfatter en instruksjon CALL AD CPZ2 som ønsker forbindelse med adressen CPZ2 i en sone CPZ, og instruksjonen til denne adressen er en annen enn ENTRY-instruksjonen, vil tolkningsprogrammet detektere en forbudt aksess.
Instruksjonen TPP klargjør omkopiering av en program-lagerblokk SCI i en program-lagerblokk SC2. Ikke desto min-dre, før denne instruksjonen blir utført vil tolkningsprogrammet verifisere at denne instruksjonen kan utføres, ved å sammenligne adressen ved hvilken instruksjonen TPP er lagret og adressen for lagerblokk SC". I det tilfellet hvor instruksjonen TPP er lagret i lagersonen NPZ og ønsker kopiering av en programblokk lagret i en sone NPZ til en programblokk lagret i en sone CPZ, vil ikke tolkningsprogrammet autorisere utførelsen av instruksjonen. I dette tilfellet vil tolknings-programmet stoppe, eller vil omdirigere seg selv til et sub-program for feilbehandling, for å signalisere til brukeren at tolkningsprogrammet ikke ønsket å utføre instruksjonen.
Tolkningsprogrammet utfører systematisk sjekking av enhver instruksjon, uansett hvor den kommer fra, ved å manipu-lere en adresse for å verifisere om den region til hvilken aksess er ønsket, er autorisert. Sjekkingen begynner ved den region som instruksjonen kommer fra. På denne måten blir det verifisert at det programnivå som tilsvarer den regionen instruksjonen kommer fra, virkelig er i samsvar med den tilsvarende aksess-autorisasjon for dette nivå som er vist på figur 4. Ordet ECW1 må således ha bit 0 og bit 2 på nivå "1", og ordet ECW2 må ha bit "1" på nivå "1" for å tillate åpning av en sesjon, for eksempel en fjerninnlastnings-sesjon. De eneste muligheter som blir beholdt, er for fjerninnlastning og lesning i sone NPZ for starting av et program i sone NPZ. Følgelig vil ethvert program som fjerninnlastes av hoved-datamaskinen i sone NPZ omfatte en instruksjon om å kalle programmet TELESEC som er anordnet i en sone CPZ, hvilket gjør det mulig å foreta en overføring fra en lagerblokk i en sone NPZ til en lagerblokk i en sone CPZ.
Et annet scenario kan bestå i å fjerninnlaste et program X i NPZ, og så bekrefte ektheten av dette programmet ved et bekreftelses- og sertifiseringsprogram i CPZ. Startingen av programmet X kan utføres ved en startinstruksjon RUN som kommer fra hoveddatamaskinen, hvis ECW autoriserer den.
Hvis programmet X blir startet mens det er i sonen NPZ, har programmet få rettigheter. En annen mulighet er å lagre programmet X i sonen CPZ, som man har sett ovenfor. I dette tilfellet har det alle rettigheter av et program i sone CPZ.
En bekreftelsesprosedyre kan for eksempel være lik den som er beskrevet i fransk patentsøknad nr. 86 08 654, inngitt 16. juni 1986, i navnet til det firmaet som gjør forretninger som BULL CP8. På lignende måte, en prosedyre for å bekrefte ektheten av data, kan for eksempel være lik den som er beskrevet i fransk patentsøknad nr. 86 10 206, inngitt 11. juli 1986, igjen i navnet BUL CP8. Ved å modifisere kommandoordene ECW1/ECW2, har man sett at tilstandene for fjerninnlasting fra en sone MPZ til en sone CPZ kan modifiseres, og ordrebehandlingsprogrammet er i stand til å bestemme disse tilstandene ved å lese kommandoordene ECW1/ECW2 som er lagret i registrene for arbeidssonen.
Det skal bemerkes at ECW1, ECW2 bestemmer et visst antall nivåer, som følger: Åpningen av sesjon kan autoriseres eller ikke; hvis ikke, er maskinen fullstendig stengt.
Åpning av en sesjon er autorisert; i dette tilfellet kan innlastning bli utført enten i CPZ eller NPZ i henhold til ECW. Ekstern starting kan imidlertid være forbudt, for å ha opsjonen av intern gyldighetsbekreftelse, ved en CALL eller GOTO-instruksjon, som tillater omdirigering til bekreftelses-programmet. Start-instruksjonen RUN, hvis den ikke allerede er autorisert, blir autorisert ved å modifisere ECW.
Mulighetene og fleksibiliteten av systemet ifølge oppfinnelsen er illustrert på figur 6.
Diagrammet vist på figur 6 illustrerer informasjons-overføring som kan oppnås mellom de følgende enheter av oppfinnelsen : - sone NPZ i programlageret; - sone CPZ i programlageret; - kilder, som kan være tastatur, skjermenhet o.s.v.; - datalagere omfattende en del av RAM (31);
- hoveddatamaskin.
Pilene på figuren indikerer retningen for informasjons-strømmen, og teksten forbundet med pilene definerer følgende: - instruksjon som tillater overføringsaksjon. Instruksjonen er som følger: - OUT eller IN, som er inngangs/utgangs-instruksjoner; - TPP, overføring fra programlager til programlager; - TPR eller GPTR, overføring fra programlager til datalager; - TRP eller PPTR, overføring fra datalager til programlager. - typen av lager hvor instruksjonen må være lagret. Typen er spesifisert av en eller to bokstaver i tillegg til bokstavordet.
Bokstaven c spesifiserer at instruksjonen bare er i CPZ. Små bokstaver c, n spesifiserer at instruksjonen er i CPZ eller NPZ. Sløyfen med nummer 60 betyr for eksempel at infor-masjonen kan overføres fra CPZ til CPZ bare ved hjelp av instruksjonen TPP som er lagret i CPZ.
Utvekslingen som er representert ved henvisningstallet 61 spesifiserer at informasjon kan bli overført mellom systemets ressurser og sone CPZ bare ved hjelp av en INN/UT-instruksjon lagret i sone CPZ.
Utvekslingen som er representert ved henvisningstallet 62 spesifiserer at informasjon kan overføres mellom en sone NPZ og en annen enhet i systemet bare ved hjelp av en instruksjon lagret i CPZ eller i NPZ.
Når det angår ordrebehandlingen, utfører den ordrer for fjerninnlastning/lesning som en funksjon av verdien ECW1/ECW2, fastsatt ved hjelp av instruksjonen CHSB, lagret bare i CPZ.
Claims (3)
1. Terminal for levering av tjenester til en bruker ved utførelse av et tjenesteprogram og med en innlastings-styreenhet for å styre en første innlasting av programmet eller videre innlastinger for å oppdatere programmet fra en kilde utenfor terminalen, hvor styreenheten omfatter en informasjonsprosessor og et programlager, karakterisert ved at programlageret er innrettet for å lagre tjenesteprogrammet og er oppdelt i en ikke-bekreftet sone (NPZ) og en bekreftet sone (CPZ), hvor den bekreftede sonen har et sikkerhetsnivå som er høyere enn den ikke-bekreftede sonen, hvor et tjenesteprogram som er innlastet i den bekreftede sonen tillater utførelse av ytterligere operasjoner som ikke er tillatt i den ikke-bekreftede sonen, hvor en overføring av et tjenesteprogram fra den ikke-bekreftede sonen til den bekreftede sonen for forsterkning av programmet for å tillate de nevnte ytterligere operasjoner, krever autentifisering av et innhold i tjenesteprogrammet som ligger i den ikke-bekreftede sonen, ved å kontrollere at tjenesteprogrammet innbefatter autentifisering av data som identifiserer en myndighet med behørige rettigheter;
idet prosessoren innbefatter et kommando-autoriserende ordregister, idet et kommando-autoriserende ord (ECW) er inneholdt i registeret for å definere hvorvidt innlasting av tjenesteprogrammet i en hvilken som helst sone av programlageret fra en kilde utenfor terminalen er tillatt;
en kommando-styreenhet for å utføre kommandoer fra prosessoren for å laste tjenesteprogrammet inn i en hvilken som helst av den bekreftede og den ikke-bekreftede sone i programlageret, hvilken kommando-styreenhet leser det kommando-autoriserende ordet før utføring av prosessoren og tillater utføringen bare dersom autorisasjon gis av det kommando-autoriserende ordet; og
en sikkerhetsanordning (TELESEC) for innlastingsovervåkning, innbefattende et sett instruksjoner lagret i den bekreftede lagersonen, med hvilke instruksjoner prosessoren innlås-ter det kommando-autoriserende ordet i det kommandoautoriserende ordregisteret 'i prosessoren, basert på forutbestemte rettigheter tilknyttet terminalen og for autentifisering av et tjenesteprogram som skal overføres fra den ikke-bekreftede sonen til den bekreftede sonen, hvor lasting av et tjenesteprogram i programlageret omfatter lasting av det kommando-autoriserende ordet (ECW) hvis ordet ikke allerede er innlastet, lesing av ordet og innlasting av programmet i en beordret lagersone dersom dette er tillatt, og hvis lastingen beordres i den bekreftede sonen og ikke er tillatt, lastes programmet inn i den ikke-bekreftede sonen og autentifiseres av sikker-het sanordningen (TELESEC) for innlastings-overvåkning, og overføres til den bekreftede sonen dersom autentisering foreligger, idet tjenesteprogrammet utføres i den bekreftede sonen.
2. Terminal ifølge krav 1,
karakterisert ved at det kommandoautoriserende ordet (ECW) videre omfatter: et første felt for å autorisere en innlasting i og en lesning fra den ikke-bekreftede lagersonen (NPZ); et andre felt for å autorisere en innlasting i og en lesning fra den bekreftede lagersonen (CPZ); et tredje felt for å autorisere start av et program i den ikke-bekreftede lagersonen (NPZ); et fjerde felt for å autorisere start av et program i den bekreftede lagersonen (CPZ); og et femte felt for å autorisere åpning av en sesjon mellom terminalen og en ytre lasteanordning.
3. Terminal ifølge krav 1,
karakterisert ved at den videre omfatter: en anordning for å forhindre tilgang til settet med instruksjoner i sikkerhetsanordningen (TELESEC) unntatt ved en rutine-adresse som begynner med en spesifikk instruksjon (ENTRY).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR8814604A FR2638868B1 (fr) | 1988-11-09 | 1988-11-09 | Systeme de telechargement securise d'un terminal et procede mis en oeuvr |
PCT/FR1989/000577 WO1990005347A1 (fr) | 1988-11-09 | 1989-11-08 | Systeme de telechargement securise d'un terminal et procede mis en o×uvre |
Publications (3)
Publication Number | Publication Date |
---|---|
NO903026D0 NO903026D0 (no) | 1990-07-06 |
NO903026L NO903026L (no) | 1990-09-06 |
NO300438B1 true NO300438B1 (no) | 1997-05-26 |
Family
ID=9371701
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
NO903026A NO300438B1 (no) | 1988-11-09 | 1990-07-06 | Terminal for levering av tjenester, med beskyttet fjern-innlasting |
Country Status (11)
Country | Link |
---|---|
EP (1) | EP0368752B1 (no) |
JP (1) | JPH0748178B2 (no) |
AT (1) | ATE164249T1 (no) |
CA (1) | CA2002349C (no) |
DE (1) | DE68928608T2 (no) |
DK (1) | DK175146B1 (no) |
ES (1) | ES2114852T3 (no) |
FR (1) | FR2638868B1 (no) |
NO (1) | NO300438B1 (no) |
SG (1) | SG139504A1 (no) |
WO (1) | WO1990005347A1 (no) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5367150A (en) * | 1988-09-26 | 1994-11-22 | Hitachi Maxell, Ltd. | Data processing system using IC card |
FR2679674A1 (fr) * | 1991-07-24 | 1993-01-29 | Infotel Marketing | Accessoire informatique pour transformer un terminal interactif de telematique en microordinateur. |
EP1298947B1 (en) | 1993-06-15 | 2012-01-25 | RPX Corporation | Telecommunications system |
US5705798A (en) * | 1994-12-16 | 1998-01-06 | Mastercard International Inc. | System and method for processing a customized financial transaction card |
FR2734934B1 (fr) * | 1995-05-30 | 1997-07-04 | Syseca | Carte a puce intelligente securisee |
DE19522527A1 (de) * | 1995-06-23 | 1997-01-02 | Ibm | Verfahren zur Vereinfachung der Kommunikation mit Chipkarten |
FR2740576B1 (fr) * | 1995-10-26 | 1998-01-23 | Ckd Sa | Systeme comprenant un terminal relie par une ligne de transmission a une unite centrale, et terminal pouvant recevoir des programmes teledecharges |
EP0825739A1 (en) * | 1996-08-15 | 1998-02-25 | Koninklijke KPN N.V. | Method of loading commands in the security module of a terminal |
WO1998009256A1 (de) * | 1996-08-30 | 1998-03-05 | Siemens Aktiengesellschaft | Verfahren zur vorbereitung der durchführung einer chipkarten-applikation und vorrichtungen zur durchführung dieses verfahrens |
FR2760865B1 (fr) * | 1997-03-13 | 1999-04-23 | Gemplus Card Int | Procede de controle de l'etancheite d'applications chargees dans un terminal multi-applicatif et terminal pour la mise en oeuvre |
AU749396B2 (en) * | 1997-09-09 | 2002-06-27 | Koninklijke Kpn N.V. | Method of loading commands in the security module of a terminal |
FR2776453B1 (fr) * | 1998-03-20 | 2000-05-19 | Gemplus Card Int | Procede de gestion securisee d'un compteur d'unites et module de securite mettant en oeuvre le procede |
FR2779018B1 (fr) | 1998-05-22 | 2000-08-18 | Activcard | Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS58116571A (ja) * | 1981-12-29 | 1983-07-11 | 富士通株式会社 | マイクロコンピユ−タに於ける命令暗号化方式及びその実施に使用されるマイクロコンピユ−タ |
DE3687671D1 (de) * | 1985-06-07 | 1993-03-18 | Siemens Ag | Verfahren und anordnung zur sicherung des zugriffs zu einer rechenanlage. |
GB2181281B (en) * | 1985-10-03 | 1989-09-13 | Isolation Systems Limited | Device for controlling access to computer peripherals |
DE3682476D1 (de) * | 1985-10-07 | 1991-12-19 | Toshiba Kawasaki Kk | Tragbares elektronisches geraet. |
US4742215A (en) * | 1986-05-07 | 1988-05-03 | Personal Computer Card Corporation | IC card system |
US4916738A (en) * | 1986-11-05 | 1990-04-10 | International Business Machines Corp. | Remote access terminal security |
-
1988
- 1988-11-09 FR FR8814604A patent/FR2638868B1/fr not_active Expired - Lifetime
-
1989
- 1989-11-06 CA CA002002349A patent/CA2002349C/fr not_active Expired - Lifetime
- 1989-11-08 EP EP89403068A patent/EP0368752B1/fr not_active Expired - Lifetime
- 1989-11-08 ES ES89403068T patent/ES2114852T3/es not_active Expired - Lifetime
- 1989-11-08 AT AT89403068T patent/ATE164249T1/de not_active IP Right Cessation
- 1989-11-08 DE DE68928608T patent/DE68928608T2/de not_active Expired - Lifetime
- 1989-11-08 WO PCT/FR1989/000577 patent/WO1990005347A1/fr unknown
- 1989-11-08 SG SG9605522-3A patent/SG139504A1/en unknown
- 1989-11-08 JP JP1511673A patent/JPH0748178B2/ja not_active Expired - Lifetime
-
1990
- 1990-07-06 NO NO903026A patent/NO300438B1/no not_active IP Right Cessation
- 1990-07-09 DK DK199001653A patent/DK175146B1/da not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
CA2002349C (fr) | 1996-12-31 |
DK165390D0 (da) | 1990-07-09 |
DK175146B1 (da) | 2004-06-14 |
ES2114852T3 (es) | 1998-06-16 |
ATE164249T1 (de) | 1998-04-15 |
NO903026L (no) | 1990-09-06 |
DK165390A (da) | 1990-08-22 |
WO1990005347A1 (fr) | 1990-05-17 |
JPH03500827A (ja) | 1991-02-21 |
NO903026D0 (no) | 1990-07-06 |
JPH0748178B2 (ja) | 1995-05-24 |
FR2638868B1 (fr) | 1990-12-21 |
FR2638868A1 (fr) | 1990-05-11 |
EP0368752B1 (fr) | 1998-03-18 |
EP0368752A1 (fr) | 1990-05-16 |
DE68928608D1 (de) | 1998-04-23 |
DE68928608T2 (de) | 1998-07-16 |
SG139504A1 (en) | 2008-02-29 |
CA2002349A1 (fr) | 1990-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5434999A (en) | Safeguarded remote loading of service programs by authorizing loading in protected memory zones in a terminal | |
JP2682700B2 (ja) | Icカード | |
US5894550A (en) | Method of implementing a secure program in a microprocessor card, and a microprocessor card including a secure program | |
US7318129B1 (en) | Flash memory protection scheme for secured shared BIOS implementation in personal computers with an embedded controller | |
JP2625587B2 (ja) | 暗号装置において実行されるべき制御ベクトル検査コードを与えるための方法及び装置 | |
US6371377B2 (en) | Card type recording medium and access control method for card type recording medium and computer-readable recording medium having access control program for card type recording medium recorded | |
US5163147A (en) | Computer system with file security function | |
US5252812A (en) | Program control system for portable data storage device | |
US4087856A (en) | Location dependence for assuring the security of system-control operations | |
KR100205740B1 (ko) | 복수의 마이크로 프로세서들간에 애플리케이션 데이터 및 절차들을 공유하기 위한 보안성 애플리케이션 카드 | |
NO300438B1 (no) | Terminal for levering av tjenester, med beskyttet fjern-innlasting | |
US6453397B1 (en) | Single chip microcomputer internally including a flash memory | |
US5828831A (en) | System for preventing unauthorized use of a personal computer and a method therefore security function, and methods of installing and detaching a security device to/from a computer | |
JPS58176746A (ja) | ソフトウエアを保護する方法および装置 | |
JPH11505355A (ja) | ポータブルデータ処理ユニットを含むデータ交換システム | |
KR20090095843A (ko) | 보안 기능을 갖는 프로세서 장치 | |
US5159183A (en) | Ic card | |
US7797553B2 (en) | Memory device | |
JPH0896106A (ja) | Icカード及びicカードシステム | |
JPH10105408A (ja) | 情報処理装置 | |
US6776346B1 (en) | Secured access device with chip card application | |
EP1130499A2 (en) | System and method for verifying safety of software | |
US20240211600A1 (en) | Method for reprogram with enhanced security | |
JPH11167525A (ja) | 不揮発性メモリ混載マイコン及びその不揮発性メモリ書換え方法並びに不揮発性メモリ混載マイコンの不揮発性メモリ書換えプログラムを記録した記録媒体 | |
JPH06309528A (ja) | Icカード |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MK1K | Patent expired |