NO317406B1 - Verdioverforingssystem, omfattende elektroniske lommeboker - Google Patents
Verdioverforingssystem, omfattende elektroniske lommeboker Download PDFInfo
- Publication number
- NO317406B1 NO317406B1 NO19976105A NO976105A NO317406B1 NO 317406 B1 NO317406 B1 NO 317406B1 NO 19976105 A NO19976105 A NO 19976105A NO 976105 A NO976105 A NO 976105A NO 317406 B1 NO317406 B1 NO 317406B1
- Authority
- NO
- Norway
- Prior art keywords
- wallet
- wallets
- plan
- value
- cryptographic security
- Prior art date
Links
- 238000012546 transfer Methods 0.000 title claims abstract description 27
- 238000003860 storage Methods 0.000 claims description 5
- 238000002360 preparation method Methods 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 claims description 2
- 230000003993 interaction Effects 0.000 abstract 1
- WWYNJERNGUHSAO-XUDSTZEESA-N (+)-Norgestrel Chemical compound O=C1CC[C@@H]2[C@H]3CC[C@](CC)([C@](CC4)(O)C#C)[C@@H]4[C@@H]3CCC2=C1 WWYNJERNGUHSAO-XUDSTZEESA-N 0.000 description 14
- 210000002370 ICC Anatomy 0.000 description 12
- 238000010988 intraclass correlation coefficient Methods 0.000 description 12
- 230000008859 change Effects 0.000 description 7
- 238000013508 migration Methods 0.000 description 6
- 230000005012 migration Effects 0.000 description 6
- 238000012790 confirmation Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000000034 method Methods 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241001076195 Lampsilis ovata Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3552—Downloading or loading of personalisation data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
- Medicines Containing Plant Substances (AREA)
- Flow Control (AREA)
- Vehicle Waterproofing, Decoration, And Sanitation Devices (AREA)
- Feeding, Discharge, Calcimining, Fusing, And Gas-Generation Devices (AREA)
- Hardware Redundancy (AREA)
- Cash Registers Or Receiving Machines (AREA)
- Purses, Travelling Bags, Baskets, Or Suitcases (AREA)
Description
Foreliggende oppfinnelse vedrører et verdioverføringssystem der verdi blir overført mellom elektroniske lommebøker. Et slikt system ifølge innledningen i kravene 1 og 7 er omtalt for eksempel i patentsøknad WO 91/16691.
I systemet som er omtalt i nevnte patentpublikasjon blir det benyttet integrerte kretskort ("integrated circuit cards") eller "Smart cards" som applikasjonsbærerinnret-ninger ("application carrier devices") for å bære elektroniske lommebøker. En elektronisk lommebok er en programap-plikasjon som styrer lagerenheten i lageret på nevnte ACD med hensyn til en verdiopptegning som representerer "elektroniske kontanter". Ved å koble to ACDer sammen via grensesnittinnretninger ("interface devices") vil de respektive lommebøker bli sammenkoblet og utveksle en flerhet av meldinger som resulterer i overføringen av verdi fra en lommebok til den andre.
Det er innlysende at sikkerhet mot bedrageri er vitalt i forbindelse med et verdioverføringssystem. Fremstillings-prosessen i forbindelse med ICCer og stadig mere sofisti-kerte sikkerhetstiltak som innlemmes ved deres fremstilling og programmering, gjør det så å si umulig å etterligne smartkortene. Avbrytelse og duplisering av verdioverfør-ingsmeldingene blir forhindret ved hjelp av kryptografisk koding av meldinger som utveksles i en transaksjon. Til tross for de meget høye sikkerhetsnivåer som oppnås ved hjelp av moderne kryptografi, så foreligger det en teoretisk risiko for at et spesielt kryptografisk system kan kompromitteres, om ikke ved hjelp av kryptoanalyse så kanskje ved hjelp av brudd i en fysisk sikkerhet som fører til lekkasje av algoritmer eller nøkler.
En hensikt med den foreliggende oppfinnelse er å skaffe et verdioverføringssystem hvori det aktuelle kryptografiske system kan endres. Administrativt kan en endring utføres som et vanlig "føre var"-tiltak eller som reaksjon på et angrep mot det system som er i bruk.
I henhold til et aspekt ved oppfinnelsen er det skaffet et verdioverføringssystem omfattende en flerhet av elektronisk programmerte mikroprosessor-applikasj onsbærerinnretninger ("application carrier devices"), idet hver omfatter en elektronisk lommebok med et verdilager, idet nevnte ACDer er innrettet til å kunne kobles sammen i par slik at lomme-bøkene kan kobles og muliggjøre utveksling av verdi ved transaksjoner mellom lommebøkene, samtidig som verdiutveks-1ingen blir utført ved utvekslinger av meldinger som er sikret ved hjelp av en kryptografisk sikkerhetsplan, idet systemet ytterligere omfatter en sekvensiell serie av kryptografiske sikkerhetsplaner som strekker seg fra gamle til nye, og idet hver lommebok er programmert ved i det minste to plan i hver serie, samtidig som lommebøkene er ytterligere programmert til å identifisere og bruke, når de er koblet i et par, for å utveksle verdi mellom elektroniske lommebøker, den eldre eller eldste brukbare felles kryptografiske sikkerhetsplan for lommebokparet og til å hindre deretter som overdratt hvilken som helst eldre kryptografisk sikkerhetsplan for rekken i enhver lommebok. Med dette arrangement kan en første lommebok bli automatisk svitsjet fra et gammelt kryptografisk system til et nytt system når man møter en andre lommebok som har det nye system, men ikke det gamle. Ved svitsjing vil den første lommebok da ikke ha noe brukbart gammelt system og den kan da selv bevirke at andre lommebøker svitsjer til det nye system. Således, ved å la mengden av lommebøker bli tilført nye lommebøker som utelater det gamle kryptografiske system, vil det nye kryptografiske system migrere gjennom mengden av lommebøker ved en kjedereaksjon.
Det er å foretrekke at hver lommebok har en lagerregion hvori det er lagret en identifikator for den kryptografiske sikkerhetsplan som for tiden er i bruk av lommeboken, idet planidentifisererne blir utvekslet mellom et koblet par av lommebøker som en forberedelse ved en verdiutvekslings-transaksjon.
Mens det innses at lommebøkene kan ha tre eller flere kryptografiske systemer til hvilke de kan svitsjes i sekvens, vil en foretrukket utførelsesform for oppfinnelsen gå ut på at hver lommebok er programmert med to suksessive kryptografiske sikkerhetsplan i de sekvensielle rekker.
Det er å foretrekke at hver kryptografisk sikkerhetsplan omfatter i det minste én kryptografisk algoritme og i det minste én kryptografisk nøkkel og ledd i rekken skiller seg hva angår deres algoritmer og/eller deres nøkler. Den tidligere nevnte patentsøknad omtaler bruken av det såkalte RSA krypteringssystem, som er et asymmetrisk offent-lig/privat nøkkelsystem. Der blir det også omtalt utveksling av nøkler ved hjelp av nevnte DES-system. Krypter-ingsplanene ifølge den foreliggende oppfinnelse kan skille seg fra hverandre fordi de benytter forskjellige enkeltstående krypteringsalgoritmer, for eksempel RSA eller DES, eller fordi de kombinerer algoritmene fra forskjellige systemer eller fordi nøklene er forskjellige.
Suksessive kryptografiske planer i rekkene trenger ikke nødvendigvis være forskjellige. Det kan være ønskelig å tvinge nåværende smartkort mot foreldelse ved at de påvir-kes til å bli svitsjet til en ny kryptografisk plan selv om denne er den samme som den gamle. Således vil en utførel-sesform for oppfinnelsen gå ut på at suksessive ledd i rekkene av kryptografiske sikkerhetsplaner er de samme med unntagelse av at de er assosiert med forskjellige planidentifiserere, idet planidentifiserere blir lagret i lomme-bøkene og blir brukt til å identifisere den eldste felles kryptografiske plan for et par av koblede lommebøker og til å styre sperringen av eventuelle eldre kryptografiske sikkerhetsplaner ved rekkene i enhver lommebok.
Videre kan det være hensiktsmessig at selekterte ACDer kan være forsynt med to elektroniske lommebøker programmert med respektive og forskjellige kryptografiske sikkerhetsplaner, idet de selekterte ACDer er programmert, ved tilkobling til en andre ACD, til å selektere en lommebok slik at det tillates en transaksjon mellom lommeboken for nevnte andre ACD og den selekterte lommebok i henhold til kompatibilitet ved de lommebokrelaterte kryptografiske sikkerhetssystemer.
I henhold til et andre aspekt ved oppfinnelsen er det frem-skaffet et verdioverføringssystem omfattende en flerhet av elektronisk programmerte mikroprosessorapplikasjons-bærerinnretninger ("application carrier devices") som hver omfatter en elektronisk lommebok med et verdilager, idet nevnte ACDer er innrettet til å bli koblet sammen i par slik at lommebøkene kan kobles og muliggjøre at verdi blir utvekslet ved transaksjoner mellom lommebøkene, idet nevnte utveksling blir utført ved utveksling av meldinger som er sikret ved hjelp av en kryptografisk sikkerhetsplan, og dette system går ut på at selekterte ACDer er forsynt med to elektroniske lommebøker, programmert med respektive og forskjellige kryptografiske sikkerhetsplaner, idet nevnte selekterte ACDer er programmert, ved at de kobles til en andre ACD for å selektere en lommebok slik at det tillates en transaksjon mellom lommeboken for nevnte andre ACD og den selekterte lommebok i henhold til kompatibilitet ved de lommebokrelaterte kryptografiske sikkerhetssystemer. Med dette arrangement er det mulig å skaffe en avslutningsstrategi for en spesiell kryptografisk plan eller sett av planer. Ved å skaffe selekterte lommebøker, for eksempel enkelte kunder og banker, med duale lommebok-smartkort (ACDer), idet en lommebok har gamle planer og den andre lommebok har nye planer, er det mulig å isolere "gamle penger" fra "nye penger" mens man tillater transaksjoner med de gamle planer å fortsette, kanskje for et begrenset tidsintervall.
Oppfinnelsen vil nå bli ytterligere beskrevet under hen-visning til de vedføyde tegningsfigurer.
Fig. 1 er et skjematisk riss over en applikasjons-bærerinnretning i form av et integrert kretskort ("integrated circuit card") i et system i henhold til oppfinnelsen. Fig. 2 er et riss som illustrerer lagerallokasjon i en elektronisk lommebok lastet på nevnte ICC i henhold til fig. i. Fig. 3 er et skjema som viser en verdioverføringstransak-sjon mellom to lommebøker ved et system i henhold til oppfinnelsen. Fig. 4 er et riss som viser et lommebokarrangement for ut-førelse av kryptografisk avslutning i et system i henhold til oppfinnelsen.
Det skal forstås at den foreliggende oppfinnelse er en ut-vikling av det verdioverføringssystem som er omtalt i pa-tentsøknad WO 91/16691. Denne publikasjonen omtaler bruken av ICCer som applikasjons-bærerinnretninger for bæring av elektroniske lommebøker. De elektroniske lommebøker omfatter opptegninger av forskjellig art som rommes i elektronisk utviskbare, programmerbare leselagre (EEPROM) omfattende verdiopptegninger for eksisterende verdi, regn-skapsopptegning, etc. Lommeboken kan kobles via grense-snitt innretninger for utveksling av verdi i henhold til protokoller som innbefatter utveksling av kryptografisk sikre meldinger. Elektroniske kontanter kan således tas ut fra en bank, idet disse er utvekslet ved ikke-direkte transaksjoner med for eksempel enkeltstående kunder og løst inn ved en bank. Av rasjonelle grunner vil mange av de tekniske detaljer ved systemet ikke bli repetert her, men der det er nødvendig vil det gjøres henvisninger til nevnte tidligere patentfremstilling.
Fig. 1 illustrerer en applikasjons-bærerinnretning ("application carrier device") i form av en ICC 1. Nevnte ICC har på en overflate en kontaktpute 2 som bærer en flerhet av separate elektriske kontakter hvorved en ytre kraft-kilde kan tilkobles for å drive kortet, og en serie-kommu-nikasjonskanal kan etableres for overføring av data til og fra kortet. Kortet omfatter en mikroprosessor 3, en EEPROM 4 og et skrivelager (RAM) 5.
Nevnte EEPROM 4 rommer et operativsystem som omfatter tre undersystemer: (a) en filadministrator, (b) en kjøretids-utøver, og (c) en BIOS ("binary input/output system"). Ved innlasting blir operativsystemet benyttet for å laste inn i EEPROM en elektronisk lommebok, som utgjør en applikasjon, nemlig et program med assosierte datafiler.
Fig. 2 viser noen av elementene ved en elektronisk lommebok som skjematiske allokeringer av regioner hos nevnte EEPROM. Driften av lommeboken blir styrt ved hjelp av et program ved henvisningstall 6, som har assosierte datafiler. For eksempel forekommer det en verdiopptegning ved 7, trans-aksjonsbokføringer ved 8 og en utvetydig lommebokidentifi-serer ved 9. Sikkerhet blir bibeholdt ved bruken av kryptografiske planer og denne lommebok rommer to planer. Plan A har algoritmer ved 10 og et sett av kryptografiske nøkler ved 11. Plan B har algoritmer ved 12 og et sett av kryptografiske nøkler ved 13. En kryptofil 14 omfatter tre singel-byte-felter: avslutningsdomene 15, migrasjonsnivå 16 og migrert flagg 17.
Verdien av avslutningsdomenebyten indikerer det spesielle avslutningsdomene hvori lommeboken befinner seg. Lomme-bøker av forskjellige domener vil ikke kommunisere med hverandre. Dersom det er ønskelig med en hovedendring i systemet fra en spesiell avslutningsdato, så vil derfor alle nye lommebøker fra nevnte dato ha en ny avslutningsdomene-byte ved 15. I et spesielt domene vil det være de-finert en rekke kryptografiske planer. For eksempel, i det første domene kan rekken A, B, C, D, E forekomme, der A er den første eller eldste plan som kan brukes, og E er den siste, eller nyeste i rekken. Hver lommebok innbefatter to suksessive planer av rekkene. Det første sett av lomme-bøker vil omfatte planer A og B som kan betegne henholdsvis den initiale og den endelige plan for denne lommebok. Dette settet av lommebøker kan bli betegnet Issue 1.
Migrasjonsnivå-byten 16 rommer for eksempel "A" som indikerer at lommeboken innbefatter planer A og B, nemlig at lommeboken er Issue 1 i avslutningsdomenet. På en måte som vil bli beskrevet, kan lommeboken bli svitsjet irreversibelt fra å bruke plan A til å bruke plan B. Verdien av den migrerte flaggbyte 17 indikerer hvorvidt denne svitsjing har funnet sted. Således ved lesing av byter 15 - 17 kan man bestemme den spesielle kryptografiske plan som det er aktuelt å bruke for lommeboken.
Når to lommebøker, X og Y, kommuniserer for en verdiover-føring vil de brukte sikkerhetsplaner bli bestemt ved følg-ende regler: i) Dersom de aktuelle planer for X og Y er de samme, så blir denne plan brukt, og ingen planendringer finner sted,
ii) Dersom aktuelle planer for X og Y er forskjellige, befinner seg ved siden av hverandre i de kryptografiske rekker, samt dersom den tidligste av de to planer er den initiale plan for lommeboken som den tilhører, blir det utført en permanent svitsjing i lommeboken, idet man benytter dennes initiale plan slik at den alltid vil benytte sin endelige plan fra nå av. Således vil den "endelige" plan bli betegnet som den aktuelle plan, og den initiale plan ved denne lommebok blir aldri brukt på nytt,
iii) Dersom verken (i) eller (ii) er oppfylt, vil lommebøkene ikke kunne kommunisere.
Verdioverføringen kan ikke finne sted, og ingen endring blir utført for noens sikkerhetsplan.
Det vil forstås at verdioverføringer mellom Issue l lomme-bøker finner sted under bruk av plan A, fordi denne er den eldste felles plan for de to lommebøker. Når det er nød-vendig å fase ut plan A vil en Issue 2 for lommebøker bli frigjort, omfattende planer B og C. Når en verdioverføring finner sted mellom en Issue 1- og en Issue 2-lommebok, vil regel (ii) komme til virkning og det utføres en irreversi-bel svitsjing i Issue 1-lommeboken til å bruke plan B fra nå av. Deretter blir Issue 1-lommeboken en agent for endring i seg selv, fordi når en verdioverføring finner sted mellom nevnte og en andre Issue 1-lommebok, som ikke er blitt svitsjet til plan B, vil regel (ii) på nytt komme til virkning og den andre Issue 1 lommebok blir svitsjet til plan B. Svitsjingen blir utført ved endring av emigra-sjonsbyten 17 i nevnte EEPROM.
Gradvis, ved hjelp av en osmoseprosess, vil Issue 1-lomme-bøkene svitsje over til plan B. Endringen vil bli ganske rask dersom Issue 2 blir frigjort på bred basis (for eksempel til detaljuttak), skjønt teoretisk vil en lommebok være tilstrekkelig til å trigge hele prosessen.
En endring fra B til C blir utført på samme måte ved opp-rettelse av en Issue 3 med planer C og D. Når først denne Issue, og således plan C er etablert, vil Issue 1-lomme-bøker ikke lenger være brukbare.
Det skal noteres at endrings-svitsjingen ikke er avhengig av noen datoer. Dette er veloverveid, fordi datoer kan man ikke alltid stole på, og klokker er ikke alltid foreskrevet for alt utstyr. Det trengs ikke tas noen avgjørelse hva angår en plans levetid når lommebøkene som omfatter nevnte, blir utstedt.
Fig. 3 viser en salgspunktterminal 18 hos en detalj forhand-ler. Terminal 18 er en grensesnittinnretning og rommer detalj handlerens ICC 19 som omfatter detalj lommeboken 19a.
Den kunderelaterte ICC 1 ifølge fig. 1 og 2 kan settes inn i en spalte i hoveddelen av terminal 18. I dette eksempel har kundekortet 1 en lommebok la med planer A og B og detaljhandlerkortet 19 har en lommebok 19a med planer B og
C.
Som omtalt i tidligere nevnte patentfremstilling vil en verdioverførings-transaksjon omfatte tre essensielle kryptografisk signerte meldinger:
a) Forespørsel om fra betalingsmottager (de-
sending - taljhandler) lommeboken til betaler
(kunde) lommeboken med forespørsel om et avtalt beløp.
b) Betalingsverdi - fra betalerlommebok til betalingsmottagerlommebok
omfattende betalingskommandoen for betaling av V.
c) Bekreftelse - fra betalingsmottagerlommebok til betalerlommebok og bekreftelse av
mottagelse av verdi/beløp V.
Dette utgjør betalingsmeldingene og som omtalt i den tidligere patentfremstilling, er disse kryptografisk signert og verifisert.
Før betalingsfasen hvori betalingsmeldingene blir sendt, forekommer det en forbetalingsfase hvori informasjon blir utvekslet mellom lommebøkene vedrørende lommebokstatus. Denne informasjonen blir transmittert i klar tekst, dvs. ikke-kryptografisk. Data mottatt på dette trinn av en lommebok fra den andre lommebok utgjør såkalte "motpart-lommebokdata".
På fig. 3 er det vist en sekvens av meldinger for transaksjonen mellom kundelommeboken la og detaljhandlerlommeboken 19a. Meldinger over linjen 20 er for-betalingsmeldinger sendt i klartekst og meldinger under linjen 20 er kryptografisk signert. For det første, ved sending av spørre-kommandoer til begge lommebøker, vil terminalen 18 avlede responser som inneholder lommebokstatus-informasjon. Inn-lemmet i nevnte lommebok-statusinformasjon finner man verdien av byter 15 til 17, som kollektivt indikerer den aktuelle kryptografiske plan ved rekkene A til E under hvilken hver lommebok fungerer.
Lommebok la mottar en "betaling start betaler"-melding fra terminal 18 og fra motpart-lommebokdata blir det bestemt at lommebok 19a for nærværende befinner seg på plan B og ut-leder derfra at den (lommebok la) vil migrere til plan B.
Lommebok 19a mottar en "betaling start betalingsmottager"-melding fra terminal 18, og fra motpart-lommebokdata vil man oppfatte at lommebok la for nærværende er på plan A og vil migrere til plan B. Lommebok 19a sender en betaling-forespørsels-melding basert på plan B og inneholdende informasjon hva angår verdien byter 15 til 17 til sin EEPROM. Lommebok la forventer at lommebok 19a vil bruke plan B. Den kontrollerer betalingsforespørsels-signaturen ved bruk av plan B. Som del av kontrollen av den innkommende signa-tur, vil den kontrollere at den innkommende lommebok 19a har en korrekt forståelse av hvilken migrasjon som vil finne sted - dvs. lommebok la vil migrere og lommebok 19a vil ikke. På denne måte vil "eventuelle unormale tilstander kunne rettes. For eksempel er det ikke mulig for begge lommebøker å migrere. Dersom dette skulle bli indikert, så vil transaksjonen bli abortert, og ingen av lommebøkene vil migrere. Dersom betalingsforespørsel-signaturen er gyldig, vil lommebok la migrere irreversibelt til plan B ved å
sette byte 17 i sin EEPROM.
Lommebok la sender en betalingsverdi-melding til lommebok 19a. Denne er kryptografisk signert og omfatter informasjon vedrørende byter 15 til 17, hvilket viser at lommeboken la har migrert til plan B. Lommebok 19a bruker plan B til å kontrollere signaturen fra lommebok la. Sluttelig vil lommebok 19a sende en betalingsbekreftelse-melding til lommebok la, signert kryptografisk og her omfattende informasjon vedrørende tilhørende byter 15 til 17. Det skal således noteres at planstatus-informasjon blir først utvekslet i klar tekst mellom lommebøkene, og blir deretter inkorporert i alle tre av de grunnleggende kryptografisk signerte betalingsfase-meldinger. Informasjonen i disse signerte meldinger blir avledet internt i nevnte ICC, og kan ikke simuleres eksternt som et forsøk på bedragerimes-sig å påtvinge planmigrasjon.
En lignende prosedyre til den som beskrevet tidligere, finner sted når den kryptografiske plan for betalings-motta-ger -lommeboken skal bevirkes til å migrere på grunn av en transaksjon med en kundelommebok med en nyere aktuell plan. Her vil migrasjonen bli utført i betalingsmottagerens lommebok ved mottagelse av en gyldig signert betalingsverdi-melding.
Selv om den nevnte beskrivelse relaterer seg til progressiv migrasjon til suksessive kryptografiske planer, så vil det forekomme tilfeller der det er nødvendig å implementere avslutning. Avslutning er en strategi for å henlegge alle kryptografiske planer som hittil er i bruk i et system og starte på nytt med en ny kryptografisk plan eller rekke av planer. Avslutning kan for eksempel være nødvendig for å fremskaffe tilbakekalling av eksisterende ICCer dersom det skal implementeres en betydelig forbedring i systemet, eller dersom det er avdekket et alvorlig brudd på sikkerhe-ten.
For å kunne implementere avslutning vil spesielle ICCer kunne innlemmes i planen. Den tilhørende EEPROM for en slik ICC er vist på fig. 4 ved henvisningstall 21. Nevnte EEPROM har to lommebøker, 22 og 23, idet hver av dem har to kryptografiske planer.
I tilfelle av et sikkerhetsbrudd vil de to lommebøker ha planer tilhørende en "gammel" og en "ny" rekke og de to rekker vil være fullstendig distinkte og ikke-overlappende. Imidlertid, dersom systemet ikke er kryptografisk kompro-mittert og avslutning blir introdusert av administrative grunner, er det mulig at de to rekker kan være like.
Imidlertid tilhører de to lommebøker her forskjellige av-slutningsdomener og har forskjellige respektive verdier i byte 15. Programmene for lommebøkene vil derfor ikke gjen-kjenne noen felles kryptografisk plan i forhold til en andre lommebok med en forskjellig avslutningsdomeneverdi, fordi denne verdi er en del av den kryptografiske plan-identifiserer. Således vil lommebøker kunne utveksle verdi bare med lommebøker av det samme avslutningsdomene. Selek-tering av hvilken lommebok som skal brukes i ICC 21 blir utført ved hjelp av en programrutine som identifiserer verdien av byte 15 i kundelommeboken fra motpart-lommebokda-taene.
Fremskaffelsen av detaljhandlerkort med to lommebøker for forskjellige domener tillater transaksjoner å kunne fortsette med gamle lommebøker samtidig som nye kort blir introdusert. Denne periode med overlapping kan være tidsbegrenset. Følgene av arrangementet er at elektroniske kontanter som utstedes under det originale domene, blir isolert fra det tilsvarende under det nye domene, slik at eventuell skade på systemet som helhet, kan begrenses.
Claims (8)
1. Verdioverføringssystem omfattende en flerhet av elektronisk programmerte mikroprosessor-applikasjonsbærer-innretninger ACDer, idet hver omfatter en elektronisk lommebok med et verdilager, idet nevnte ACDer er innrettet til å kunne kobles sammen i par slik at lommebøkene kan kobles og muliggjøre utveksling av verdi ved transaksjoner mellom lommebøkene, samtidig som verdiutvekslingen blir utført ved utvekslinger av meldinger som er sikret ved hjelp av en kryptografisk sikkerhetsplan karakterisert ved at systemet videre omfatter en sekvensiell serie av kryptografiske sikkerhetsplaner som strekker seg fra gamle til nye, og idet hver lommebok er programmert ved i det minste to plan i hver serie, samtidig som lommebøkene er ytterligere programmert til å identifisere og bruke, når de er koblet i et par, for å utveksle verdi mellom elektroniske lommebøker, den eldre eller eldste brukbare felles kryptografiske sikkerhetsplan for lommebokparet og for å hindre deretter som overdratt hvilken som helst eldre kryptografisk sikkerhetsplan for rekken i enhver lommebok.
2. Verdioverføringssystem som angitt i krav 1, karakterisert ved at hver lommebok har en lagerregion hvori det er lagret en identifikator for den kryptografiske sikkerhetsplan som for tiden er i bruk av lommeboken, idet planidentifisererne blir utvekslet mellom et koblet par av lommebøker som en forberedelse ved en ver-diutvekslingstransaksjon.
3. Verdioverføringssystem som angitt i ett av de foregående krav,
karakterisert ved at hver lommebok er programmert med to suksessive kryptografiske sikkerhetsplaner i de sekvensielle rekker.
4. Verdioverføringssystem som angitt i ett av de foregående krav,
karakterisert ved at hver kryptografisk sikkerhetsplan omfatter i det minste én kryptografisk algoritme og i det minste én kryptografisk nøkkel og ledd i rekken skiller seg hva angår deres algoritmer og/eller deres nøkler.
5. Verdioverføringssystem som angitt i ett av de foregående krav,
karakterisert ved at suksessive ledd i rekkene av kryptografiske sikkerhetsplaner er de samme med unntagelse av at de er assosiert med forskjellige planidentifiserere, idet planidentifiserere blir lagret i lom-mebøkene og blir brukt til å identifisere den eldste felles kryptografiske plan for et par av koblede lommebøker og til å styre sperringen av eventuelle eldre kryptografiske sikkerhetsplaner ved rekkene i enhver lommebok.
6. Verdioverføringssystem som angitt i ett av de foregående krav,
karakterisert ved at selekterte ACDer kan være forsynt med to elektroniske lommebøker programmert med respektive og forskjellige kryptografiske sikkerhetsplaner, idet de selekterte ACDer er programmert, ved tilkobling til en andre ACD, til å selektere en lommebok slik at det tillates en transaksjon mellom lommeboken for nevnte andre ACD og den selekterte lommebok i henhold til kompatibilitet ved de lommebokrelaterte kryptografiske sikkerhetsplaner.
7. Verdioverføringssystem omfattende en flerhet av elektronisk programmerte mikroprosessorapplikasjons-bærerinnretninger ACDer som hver omfatter en elektronisk lommebok med et verdilager, idet nevnte ACDer er innrettet til å bli koblet sammen i par slik at lommebøkene kan kobles og muliggjøre at verdi blir utvekslet ved transaksjoner mellom lommebøkene, idet nevnte utveksling blir utført ved utveksling av meldinger som er sikret ved hjelp av en kryptografisk sikkerhetsplan, karakterisert ved at selekterte ACDer er forsynt med to elektroniske lommebøker, programmert med respektive og forskjellige kryptografiske sikkerhetsplaner, idet nevnte selekterte ACDer er programmert, ved at de kobles til en andre ACD for å selektere en lommebok slik at det tillates en transaksjon mellom lommeboken for nevnte andre ACD og den selekterte lommebok i henhold til kompatibilitet ved de lommebokrelaterte kryptografiske sikkerhetsplaner.
8. Verdioverføringssystem,
karakterisert ved at selekterte ACDer er forsynt med to elektroniske lommebøker, programmert med respektive og forskjellige kryptografiske sikkerhetsplaner, idet nevnte selekterte ACDer er programmert, ved at de kobles til en andre ACD for å selektere en lommebok slik at det tillates en transaksjon mellom lommeboken for nevnte andre ACD og den selekterte lommebok i henhold til kompatibilitet ved de lommebokrelaterte kryptografiske sikkerhetssystemer .
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB9513379.9A GB9513379D0 (en) | 1995-06-30 | 1995-06-30 | Electronic purse system |
| PCT/GB1996/001564 WO1997002548A1 (en) | 1995-06-30 | 1996-06-28 | Value transfer system |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| NO976105D0 NO976105D0 (no) | 1997-12-29 |
| NO976105L NO976105L (no) | 1998-02-27 |
| NO317406B1 true NO317406B1 (no) | 2004-10-25 |
Family
ID=10776946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO19976105A NO317406B1 (no) | 1995-06-30 | 1997-12-29 | Verdioverforingssystem, omfattende elektroniske lommeboker |
Country Status (28)
| Country | Link |
|---|---|
| US (1) | US6366894B1 (no) |
| EP (1) | EP0836731B1 (no) |
| JP (1) | JP3617054B2 (no) |
| KR (1) | KR100294613B1 (no) |
| CN (1) | CN1095150C (no) |
| AT (1) | ATE178424T1 (no) |
| AU (1) | AU697861B2 (no) |
| BG (1) | BG102127A (no) |
| BR (1) | BR9609640A (no) |
| CA (1) | CA2225936C (no) |
| CZ (1) | CZ404397A3 (no) |
| DE (1) | DE69601941T2 (no) |
| DK (1) | DK0836731T3 (no) |
| EE (1) | EE9700360A (no) |
| ES (1) | ES2129270T3 (no) |
| GB (2) | GB9513379D0 (no) |
| GR (1) | GR3030119T3 (no) |
| HK (1) | HK1005814A1 (no) |
| HU (1) | HUP9802765A2 (no) |
| IS (1) | IS4634A (no) |
| NO (1) | NO317406B1 (no) |
| NZ (1) | NZ311729A (no) |
| PL (1) | PL324265A1 (no) |
| SK (1) | SK179197A3 (no) |
| TR (1) | TR199701737T1 (no) |
| TW (1) | TW395108B (no) |
| WO (1) | WO1997002548A1 (no) |
| ZA (1) | ZA965544B (no) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5953705A (en) * | 1996-09-13 | 1999-09-14 | Fujitsu Limited | Ticketless system and processing method and memory medium storing its processing program |
| EP0949593A2 (en) | 1998-03-30 | 1999-10-13 | Citicorp Development Center | System, method and apparatus for value exchange utilizing value-storing apparatus |
| US8108307B1 (en) | 1998-03-30 | 2012-01-31 | Citicorp Development Center, Inc. | System, method and apparatus for value exchange utilizing value-storing applications |
| JP3537680B2 (ja) | 1998-10-22 | 2004-06-14 | 富士通株式会社 | プロトコル制御用集積回路 |
| JP2000276543A (ja) | 1999-03-26 | 2000-10-06 | Fujitsu Ltd | 数値データ処理装置および数値データ処理方法 |
| JP2003506771A (ja) * | 1999-07-28 | 2003-02-18 | モンデックス インターナショナル リミテッド | スマートカード間の通信システム及び方法 |
| WO2001020509A1 (fr) * | 1999-09-16 | 2001-03-22 | Matsushita Electric Industrial Co., Ltd. | Porte-monnaie electronique |
| GB9925227D0 (en) | 1999-10-25 | 1999-12-22 | Internet Limited | Data storage retrieval and access system |
| IT1315400B1 (it) * | 2000-02-23 | 2003-02-10 | Vittorio Pareti | Dispositivo per transazioni valutarie tra supporti magnetici dotati di memoria permanente riscrivibile. |
| US7233926B2 (en) * | 2000-03-07 | 2007-06-19 | Thomson Licensing | Electronic wallet system with secure inter-purses operations |
| US6834796B2 (en) * | 2000-08-31 | 2004-12-28 | Level Z, L.L.C. | Anonymous redemption and stored value system and method |
| US7640432B2 (en) * | 2000-12-11 | 2009-12-29 | International Business Machines Corporation | Electronic cash controlled by non-homomorphic signatures |
| US7580988B2 (en) * | 2001-04-05 | 2009-08-25 | Intertrust Technologies Corporation | System and methods for managing the distribution of electronic content |
| GB2409090B (en) * | 2001-04-06 | 2005-08-17 | Freedom Card Ltd | Payment system |
| DE10258769C5 (de) * | 2002-12-16 | 2017-08-17 | Giesecke & Devrient Gmbh | Kommunikation zwischen einem Bediengerät, einem Anbietermodul und einem Kundenmodul |
| US7627817B2 (en) | 2003-02-21 | 2009-12-01 | Motionpoint Corporation | Analyzing web site for translation |
| ITVA20050021A1 (it) * | 2005-04-01 | 2006-10-02 | Sergio Biucchi | Dispositivi informatici off-line per il sistema delle transazioni valutarie autogestite |
| US20060265736A1 (en) * | 2005-05-19 | 2006-11-23 | Gilbarco Inc. | Encryption system and method for legacy devices in a retail environment |
| JP2009020848A (ja) * | 2007-07-11 | 2009-01-29 | Taiji Inui | 中央銀行ないしは同等の機能を有する機関が法定通貨として発行することを目的とした電子マネーおよび電子マネーシステム。 |
| US9177313B1 (en) * | 2007-10-18 | 2015-11-03 | Jpmorgan Chase Bank, N.A. | System and method for issuing, circulating and trading financial instruments with smart features |
| US9230259B1 (en) | 2009-03-20 | 2016-01-05 | Jpmorgan Chase Bank, N.A. | Systems and methods for mobile ordering and payment |
| EP2682875A1 (en) | 2010-07-13 | 2014-01-08 | Motionpoint Corporation | Method of estimating a user's preferred language |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4709137A (en) * | 1984-04-16 | 1987-11-24 | Omron Tateisi Electronics Co. | IC card and financial transaction processing system using IC card |
| US4972472A (en) * | 1985-03-15 | 1990-11-20 | Tandem Computers Incorporated | Method and apparatus for changing the master key in a cryptographic system |
| JPH07104891B2 (ja) * | 1986-08-05 | 1995-11-13 | 沖電気工業株式会社 | 取引処理装置 |
| JPS6356785A (ja) | 1986-08-28 | 1988-03-11 | Toshiba Corp | 携帯可能記憶媒体処理装置 |
| GB9008362D0 (en) * | 1990-04-12 | 1990-06-13 | Hackremco No 574 Limited | Banking computer system |
| JP2930257B2 (ja) * | 1991-04-22 | 1999-08-03 | 株式会社東芝 | 携帯可能電子装置 |
| US5461217A (en) * | 1994-02-08 | 1995-10-24 | At&T Ipm Corp. | Secure money transfer techniques using smart cards |
| US5517568A (en) * | 1994-04-21 | 1996-05-14 | Motorola, Inc. | Method of detecting unauthorized use of a wireless communication channel |
-
1995
- 1995-06-30 GB GBGB9513379.9A patent/GB9513379D0/en active Pending
-
1996
- 1996-06-28 ES ES96922117T patent/ES2129270T3/es not_active Expired - Lifetime
- 1996-06-28 NZ NZ311729A patent/NZ311729A/xx not_active IP Right Cessation
- 1996-06-28 ZA ZA965544A patent/ZA965544B/xx unknown
- 1996-06-28 SK SK1791-97A patent/SK179197A3/sk unknown
- 1996-06-28 US US08/973,708 patent/US6366894B1/en not_active Expired - Lifetime
- 1996-06-28 HU HU9802765A patent/HUP9802765A2/hu unknown
- 1996-06-28 AU AU63105/96A patent/AU697861B2/en not_active Expired
- 1996-06-28 JP JP50491197A patent/JP3617054B2/ja not_active Expired - Lifetime
- 1996-06-28 KR KR1019970709937A patent/KR100294613B1/ko not_active IP Right Cessation
- 1996-06-28 PL PL96324265A patent/PL324265A1/xx unknown
- 1996-06-28 CZ CZ974043A patent/CZ404397A3/cs unknown
- 1996-06-28 TR TR97/01737T patent/TR199701737T1/xx unknown
- 1996-06-28 BR BR9609640-3A patent/BR9609640A/pt not_active Application Discontinuation
- 1996-06-28 DE DE69601941T patent/DE69601941T2/de not_active Expired - Fee Related
- 1996-06-28 WO PCT/GB1996/001564 patent/WO1997002548A1/en active IP Right Grant
- 1996-06-28 DK DK96922117T patent/DK0836731T3/da active
- 1996-06-28 EE EE9700360A patent/EE9700360A/xx unknown
- 1996-06-28 EP EP96922117A patent/EP0836731B1/en not_active Expired - Lifetime
- 1996-06-28 GB GB9725872A patent/GB2317733B/en not_active Expired - Lifetime
- 1996-06-28 CN CN96196495A patent/CN1095150C/zh not_active Expired - Lifetime
- 1996-06-28 AT AT96922117T patent/ATE178424T1/de not_active IP Right Cessation
- 1996-06-28 CA CA002225936A patent/CA2225936C/en not_active Expired - Lifetime
- 1996-07-11 TW TW085108419A patent/TW395108B/zh not_active IP Right Cessation
-
1997
- 1997-12-11 IS IS4634A patent/IS4634A/is unknown
- 1997-12-18 BG BG102127A patent/BG102127A/xx unknown
- 1997-12-29 NO NO19976105A patent/NO317406B1/no unknown
-
1998
- 1998-06-05 HK HK98104989A patent/HK1005814A1/xx not_active IP Right Cessation
-
1999
- 1999-04-30 GR GR990401201T patent/GR3030119T3/el unknown
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| NO317406B1 (no) | Verdioverforingssystem, omfattende elektroniske lommeboker | |
| US5175766A (en) | Signalling scheme for controlling data encryption device in an electronic fund transaction processing system | |
| EP0047285B1 (en) | A system for authenticating users and devices in on-line transaction networks | |
| EP0186981B1 (en) | Security module for an electronic funds transfer system | |
| US4961142A (en) | Multi-issuer transaction device with individual identification verification plug-in application modules for each issuer | |
| JP4251667B2 (ja) | アプリケーション履歴リストを有する集積回路カード | |
| CN101930644B (zh) | 一种银行卡支付系统中主密钥安全自动下载的方法及其系统 | |
| KR20000016729A (ko) | 퓨스(puce)카드 시스템에서의보안 프로세스 및 보안 시스템 | |
| GB2146815A (en) | Electronic fund transfer systems | |
| EA000730B1 (ru) | Способ защищенного дебетования электронного платежного средства | |
| US6983364B2 (en) | System and method for restoring a secured terminal to default status | |
| US6058483A (en) | Method for secure transfer of data by a communication network | |
| US5123047A (en) | Method of updating encryption device monitor code in a multichannel data encryption system | |
| US6253999B1 (en) | Electronic money safe using logical IC cards | |
| NO311153B1 (no) | Fremgangsmåte for å frembringe en nökkel som er felles for to anordninger, for å iverksette en felles kryptografisk prosedyre,samt tilhörende apparat | |
| CN101217366B (zh) | 一种带写保护的数字签名装置 | |
| US8397058B1 (en) | System and method for communication between smart cards | |
| KR20030043913A (ko) | 통신 장치의 방법 및 시스템과 보호된 데이터 전송을 위한장치 | |
| JP2003006449A (ja) | 取引処理システム、取引処理方法、暗証番号入力装置、取引端末、ホスト装置 | |
| MXPA97010209A (en) | Valo transfer system | |
| AU723525B2 (en) | A method for certifying a running total in a reader | |
| CN105991527A (zh) | 数据交互系统 | |
| CN105991535A (zh) | 数据交互方法 | |
| AU1873397A (en) | Method of securely storing and retrieving monetary data | |
| CN105991531A (zh) | 数据交互系统 |