WO1998039744A2 - Datenträger zum erwerb und zur speicherung von berechtigungen und verfahren zur speicherung der berechtigungen - Google Patents

Datenträger zum erwerb und zur speicherung von berechtigungen und verfahren zur speicherung der berechtigungen Download PDF

Info

Publication number
WO1998039744A2
WO1998039744A2 PCT/EP1998/001268 EP9801268W WO9839744A2 WO 1998039744 A2 WO1998039744 A2 WO 1998039744A2 EP 9801268 W EP9801268 W EP 9801268W WO 9839744 A2 WO9839744 A2 WO 9839744A2
Authority
WO
WIPO (PCT)
Prior art keywords
authorization
data carrier
data
authorizations
security module
Prior art date
Application number
PCT/EP1998/001268
Other languages
English (en)
French (fr)
Other versions
WO1998039744A3 (de
Inventor
Siegfried Hartleif
Frank Schaefer-Lorinser
Original Assignee
Deutsche Telekom Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom Ag filed Critical Deutsche Telekom Ag
Priority to HU0004236A priority Critical patent/HUP0004236A3/hu
Priority to EP98913658A priority patent/EP0970448A2/de
Publication of WO1998039744A2 publication Critical patent/WO1998039744A2/de
Publication of WO1998039744A3 publication Critical patent/WO1998039744A3/de
Priority to NO994234A priority patent/NO994234L/no

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/363Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system

Definitions

  • the invention relates to a data carrier, in particular a chip card, for acquiring authorizations and for storing data records which represent the authorizations acquired, by means of a security module, and methods for storing the authorizations.
  • Permissions are often acquired in daily life; Examples of this are authorizations to use means of transport or swimming pools.
  • permissions are also stored in electronic form on so-called chip cards, which are often used to settle monetary amounts, e.g. contain an electronic wallet.
  • the invention is based on the object of specifying a chip card which can be used in different authorization systems with different data formats. In a method for storing the authorizations, in particular the payment of the price for the authorization is to be guaranteed.
  • the data records are each subdivided into a first area with a data structure to be used by the operators of a specific authorization system using the data carrier and into a second, freely writable area, the data structure of which can be individually selected by the operators.
  • a subdivision of the data records enables the respective operator to store his own specific information in the data record in addition to the generally necessary data. Only data in a fixed, predefined format are stored in the firmly structured area, so that this data can be used at any point in the authorization system. In the free area there is space for freely formatted information from the operator.
  • storage space is provided in the first area for storing essential features of a respective authorization. This provides additional information that describes the nature of the authorization concerned and with which the consistency of the authorization can be checked.
  • the price is an essential feature of an entitlement. If the price does not match the type of authorization, this is not plausible and there is a suspicion of fraud.
  • the essential features of a respective authorization to be stored are stored in a data format to be used by the operators. This means that an authorization can be created and checked at any location in the application area.
  • Part of the operator's information should be available to the individual user of the chip card. For example, you can easily use a portable reader to determine how many times you can still enter the swimming pool with a permit, or the like.
  • An advantageous further development of the invention therefore provides that the second area is divided into a first partial area that can be written by the operators and a second non-codable area that can be read by the general public.
  • the operator's coding system can thus be accommodated with a read-friendly information section in the freely formattable area.
  • the operators of the authorization system are accommodated if the operators can select the quantitative division of the second area into sub-areas. Since the storage space on modern chip cards has so far been limited, such a provision is very useful.
  • the first partial area can be separated by at least one special character. This allows you to clearly determine where the sub-areas are separated and is not dependent on agreements or standards.
  • a reasonable method for generating an authorization is specified according to the invention in that, when an authorization is requested by a user, the security module initiates actions that are necessary for the formation of the authorization, in particular debiting the purchase price from an electronic wallet, and only after this has been successfully completed Actions created the record for permission on the disk.
  • the security module checks, whether the price to be paid to acquire the authorization was debited from a credit stored on the data carrier before the authorization was created and a data record representing the authorization was saved.
  • the chip card itself also contains an electronic wallet from which the amounts of money for the acquisition of the authorizations are paid, this is easily possible.
  • the security module itself adds identification features to the data record of a respective authorization. In the event of fraudulent misuse of the security module concerned, information about the course of the attempted fraud can be obtained.
  • control devices when checking a respective authorization, find out by means of a plausibility check whether the essential features are from the data record the authorization match the authorization. If the result of this check is negative, the control device refuses to redeem the authorization. This makes it difficult, for example, to cheat an expensive authorization at a low price, because in this case the price is an essential characteristic of the authorization and the control device recognizes the deviation from the normal price.
  • FIG. 1 shows a terminal as a block diagram and a chip card according to the invention
  • Fig. 4 is a flowchart for checking an authorization
  • FIG 5 shows an overview of the data flows between the chip card and the end devices.
  • the 1 comprises a terminal 1, which contains a processor 2, a security module 3 and a card writing and reading device 4. Furthermore, a keyboard 5 is provided for inputs by a user, if necessary.
  • the security module 3 is designed in such a way that data and program changes as well as reading programs and data are not possible.
  • the individual modules of the terminal 1 are connected to one another by data lines 6.
  • a chip card 7 can be inserted into the writing and reading device 4.
  • the data record of an authorization ET on the chip card 7, which is shown in FIG. 2, is composed of a predetermined area AF and a freely structurable area AU.
  • the price P is stored in addition to the data DU necessary for the use of the authorization ET and an identifier ID for the security module.
  • the free area AU is in turn divided into a part CP coded by the operator and an uncoded part FP which can be read with a simple portable reading device, for example the indication of start and destination in the case of a ticket.
  • the information in the coded part CP is evaluated, for example, during controls and contains operator-specific information about the type and usability of the authorization ET.
  • FIGS. 3 and 4 represent essential parts of programs that run in the terminal or in a control device.
  • the security module 3 Before the creation of an authorization ET by the security module 3, as shown in FIG. 3, it reads the price P valid for the requested authorization ET in a step 31 after the start 30 and checks at 32 whether this price P is previously from a credit CA stored on the chip card 7 (FIG. 1) has been debited. If this is not the case, the authorization ET is denied at 33. If so, and if all other conditions are met, the authorization ET is created at 34 on the chip card 7 and the program is ended at 35. If an authorization ET is now to be used, after a start 40 (FIG.
  • control device reads the price P stored in the fixed area AF of the authorization ET and checks at 42 whether this price P is plausible for that in the coded part CP or information in the fixed part AF. If not, the redemption of the authorization ET is denied at 44, otherwise the redemption is released at 43 and the program is ended at 45. All data flows between the control device and the chip card 7 are cryptographically secured by the security module 3.
  • the terminal 1 at 51 gives the security module 3 the command to generate the authorization at a price P.
  • the security module debits the corresponding amount P from the electronic wallet 7b of the chip card 7 at 52 and receives a confirmation at 52a that the amount has been debited. It creates the complete at 53
  • the security module does not interpret the authorization data. It only ensures that all data transfers are cryptographically secure.
  • the security module 3' If the user wants to redeem the authorization on a control device 1 ', the security module 3' present there reads the data of the authorization cryptographically secured from the card, determines its authenticity on the basis of the cryptographic coding and passes it to the control device 1 at 55 ' further. This checks the price of the authorization at 56 according to FIG. 4 and checks whether it is in order. If so, the authorization is redeemed.
  • the security modules 3, 3 'must therefore be able to understand the price of the authorization in order to be able to make debits from the electronic wallet 7a. They also ensure cryptographically secure data transmission. The plausibility checks, however, are carried out by the two terminals 1, 1 'themselves.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Finance (AREA)
  • Storage Device Security (AREA)

Abstract

Bei einem Datenträger, insbesondere Chipkarte, zum Erwerb von Berechtigungen und zur Speicherung von Datensätzen, welche die erworbenen Berechtigungen darstellen, durch ein Sicherheitsmodul, sind die Datensätze jeweils unterteilt in einen ersten Bereich mit einer von den Betreibern eines bestimmten, den Datenträger nutzenden Berechtigungssystems zu verwendenden Datenstruktur und in einen zweiten, frei beschreibbaren Bereich, dessen Datenstruktur von den Betreibern individuell wählbar ist. Ferner werden Verfahren zur Speicherung der Berechtigungen angegeben.

Description

Datenträger zum Erwerb und zur Speicherung von Berechtigungen und Verfahren zur Speicherung der Berechtigungen
Die Erfindung betrifft einen Datenträger, insbesondere Chipkarte, zum Erwerb von Berechtigungen und zur Speicherung von Datensätzen, welche die erworbenen Berechtigungen darstellen, durch ein Sicherheitsmodul, sowie Verfahren zur Speicherung der Berechtigungen.
Im täglichen Leben werden häufig Berechtigungen erworben; Beispiele dafür sind Berechtigungen zur Benutzung von Verkehrsmitteln oder Schwimmbädern. Auf sogenannten Chipkarten, die oft zur Abrechnung von Geldbeträgen verwendet werden, also zum Beispiel eine elektronische Geldbörse enthalten, werden heutzutage auch Berechtigungen in elektronischer Form gespeichert.
Eine wesentliche Frage für die Akzeptanz seitens der Betreiber, wie beispielsweise der Benutzer elektronischer Berechtigungssysteme, liegt darin, inwieweit sie flächendeckend innerhalb eines sehr großen Einsatzgebietes nutzbar und dennoch flexibel und sicher genug sind, um die unterschiedlichen Ansprüche der einzelnen Betreiber befriedigen zu können, ohne daß potentiellen Betrügern die Arbeit erleichtert wird. Der Erfindung liegt die Aufgabe zugrunde, eine Chipkarte anzugeben, die in unterschiedlichen Berechtigungssystemen mit verschiedenen Datenformaten einsetzbar ist. Bei einem Verfahren zur Speicherung der Berechtigungen soll insbesondere die Zahlung des Preises für die Berechtigung gewährleistet werden.
Bei dem erfindungsgemäßen Datenträger ist vorgesehen, daß die Datensätze jeweils unterteilt sind in einen ersten Bereich mit einer von den Betreibern eines bestimmten, den Datenträger nutzenden Berechtigungssystems zu verwendenden Datenstruktur und in einen zweiten, frei beschreibbaren Bereich, dessen Datenstruktur von den Betreibern individuell wählbar ist. Eine Unterteilung der Datensätze ermöglicht es dem jeweiligen Betreiber, zusätzlich zu den allgemein notwendigen Daten seine eigenen spezifischen Angaben in dem Datensatz zu hinterlegen. In dem fest strukturierten Bereich werden nur Daten in einem fest vorgegebenen Format hinterlegt, so daß diese Daten an jeder Stelle des Berechtigungssystems nutzbar sind. In dem freien Bereich ist Platz für frei formatierte Angaben des Betreibers.
Um einen weiteren Schutzmechanismus gegen betrügerische Handlungen zu erreichen, ist bei einer ersten Ausgestaltung der Erfindung vorgesehen, daß im ersten Bereich Speicherplatz zur Speicherung wesentlicher Merkmale einer jeweiligen Berechtigung vorgesehen ist. Damit stehen zusätzliche Informationen zur Verfügung, die die Natur der betroffenen Berechtigung näher beschreiben und mit deren Hilfe die Konsistenz der Berechtigung geprüft werden kann.
Bei einer Berechtigung, die gegen Zahlung eines Geldbetrags erworben wird, wird vorzugsweise angenommen, daß der Preis ein wesentliches Merkmal einer Berechtigung ist. Stimmt der Preis nicht mit der Art der Berechtigung überein, so ist dies nicht plausibel und der Verdacht auf Betrug liegt nahe. Damit die Berechtigung im gesamten Einsatzgebiet verwendet werden kann, ist in einer weiteren erfindungsgemäßen Ausgestaltung vorgesehen, daß die zu speichernden wesentlichen Merkmale einer jeweiligen Berechtigung in einem von den Betreibern zu verwendenden Datenformat gespeichert werden. Dadurch kann eine Berechtigung an jedem Ort des Einsatzgebietes erstellt und geprüft werden.
Ein Teil der betreibereigenen Informationen soll dem einzelnen Benutzer der Chipkarte offen zur Verfügung stehen. So kann man beispielsweise mit einem tragbaren Lesegerät leicht ermitteln, wie oft man mit einer Berechtigung noch ins Schwimmbad darf, oder ähnliches. Eine vorteilhafte Weiterbildung der Erfindung sieht darum vor, daß der zweite Bereich in einen ersten von den Betreibern codiert beschreibbaren und in einen zweiten uncodiert beschreibbaren, für die Allgemeinheit lesbaren Teilbereich geteilt ist. Damit kann das Codierungssystem des Betreibers mit einem lesefreundlichen Informationsteil im frei formatierbaren Bereich untergebracht werden.
Den Betreibern des Berechtigungssystems kommt es entgegen, wenn die quantitative Aufteilung des zweiten Bereiches in Teilbereiche von den Betreibern wählbar ist. Da der Speicherplatz auf modernen Chipkarten bislang noch begrenzt ist, ist eine derartige Vorkehrung sehr nützlich.
Bei dem praktischen Einsatz einer erfindungsgemäß allgemeingültigen Chipkarte kann es weiterhin vorteilhaft sein, wenn der erste von dem zweiten Teilbereich durch mindestens ein Sonderzeichen trennbar ist. Damit kann man eindeutig feststellen, wo die Teilbereiche getrennt sind, und ist nicht auf Absprachen oder Normen angewiesen. Ein sinnfälliges Verfahren zur Erzeugung einer Berechtigung wird erfindungsgemäß dadurch angegeben, daß bei Anforderung einer Berechtigung durch einen Benutzer das Sicherheitsmodul Handlungen, die für die Bildung der Berechtigung notwendig sind, insbesondere das Abbuchen des Kaufpreises von einer elektronischen Geldbörse, einleitet und erst nach erfolgreichem Abschluß dieser Handlungen den Datensatz für die Berechtigung auf dem Datenträger erstellt. Um das Speichern einer Berechtigung ohne Zahlung des Preises für die Berechtigung - etwa durch Manipulation an einem ungeschützten Teil eines Endgerätes oder an der Verbindung zwischen dem Endgerät und der Chipkarte - zu verhindern, ist bei einer Weiterbildung des erfindungsgemäßen Verfahrens vorgesehen, daß das Sicherheitsmodul überprüft, ob der zum Erwerb der Berechtigung zu zahlende Preis von einem Guthaben, das auf dem Datenträger gespeichert ist, abgebucht wurde, bevor die Berechtigung erstellt und ein die Berechtigung darstellender Datensatz gespeichert wird. In den Fällen, in denen die Chipkarte selbst auch eine elektronische Geldbörse enthält, aus der die Geldbeträge zum Erwerb der Berechtigungen beglichen werden, ist dies leicht möglich.
Bei einer Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, daß das Sicherheitsmodul dem Datensatz einer jeweiligen Berechtigung Identifizierungsmerkmale seiner selbst hinzufügt. Damit können im Falle eines betrügerischen Mißbrauchs des betroffenen Sicherheitsmoduls Informationen zum Hergang des Betrugsversuchs gewonnen werden .
Um ein Umgehen der beim Erstellen einer Berechtigung vorgenommenen Schutzmaßnahmen zu erkennen, ist in einer nächsten vorteilhaften Ausgestaltung der Erfindung vorgesehen, daß Kontrollgeräte beim Überprüfen einer jeweiligen Berechtigung mittels einer Plausibilitätsprüfung herausfinden, ob die wesentlichen Merkmale aus dem Datensatz der Berechtigung zu der Berechtigung passen. Ist das Ergebnis dieser Prüfung negativ, so verweigert das Kontrollgerät die Einlösung der Berechtigung. Auf diese Weise wird ein Erschwindeln beispielsweise einer teuren Berechtigung zu einem niedrigen Preis erschwert, weil der Preis in diesem Fall ein wesentliches Merkmal der Berechtigung ist und das Kontrollgeröt die Abweichung vom Normalpreis erkennt.
Ausführungsbeispiele der Erfindung sind in der Zeichnung anhand mehrerer Figuren dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
Fig. 1 ein Endgerät als Blockschaltbild sowie eine erfindungsgemäße Chipkarte,
Fig. 2 einen Datensatz einer erfindungsgemäßen Chipkarte,
Fig. 3 ein Flußdiagramm zum Erstellen einer Berechtigung,
Fig. 4 ein Flußdiagramm zum Kontrollieren einer Berechtigung und
Fig. 5 eine Übersicht über die Datenflüsse zwischen der Chipkarte und den Endgeräten.
Gleiche Teile sind in den Figuren mit gleichen Bezugszeichen versehen. Insbesondere in den Flußdiagrammen sind nur die zur Erläuterung der Erfindung erforderlichen Schritte dargestellt.
Das Blockschaltbild gemäß Fig. 1 umfaßt ein Terminal 1, das einen Prozessor 2, ein Sicherheitsmodul 3 und ein Karten-Schreib- und Lesegerät 4 enthält. Ferner ist eine Tastatur 5 vorgesehen für Eingaben durch einen Benutzer, falls solche erforderlich sind. Das Sicherheitsmodul 3 ist derart gestaltet, daß Daten- und Programmänderungen sowie ein Auslesen von Programmen und Daten nicht möglich sind. Die einzelnen Baugruppen des Terminals 1 sind durch Datenleitungen 6 miteinander verbunden. In das Schreib- und Lesegerät 4 kann eine Chipkarte 7 eingeführt werden.
Der Datensatz einer Berechtigung ET auf der Chipkarte 7, der in Fig. 2 dargestellt ist, setzt sich aus einem fest vorgegebenen Bereich AF und einem frei strukturierbaren Bereich AU zusammen. In dem fest vorgegebenen Bereich AF ist beispielsweise der Preis P zusätzlich zu den, für die Benutzung der Berechtigung ET notwendigen Daten DU und einen Identifizierer ID für das Sicherheitsmodul gespeichert. Der freie Bereich AU ist seinerseits aufgeteilt in einen vom Betreiber codierten Teil CP und einen uncodierten Teil FP, der mit einem einfachen tragbaren Lesegerät lesbar ist, beispielsweise bei einem Fahrschein die Angabe von Start und Ziel. Die Informationen in dem codierten Teil CP werden beispielsweise bei Kontrollen ausgewertet und enthalten betreiberspezifische Angaben über die Art und die Nutzbarkeit der Berechtigung ET.
Die Flußdiagramme gemäß den Figuren 3 und 4 stellen wesentliche Teile von Programmen dar, die im Endgerät bzw. in einem Kontrollgerät ablaufen. Vor der Erstellung einer Berechtigung ET durch das Sicherheitsmodul 3 liest dieses, wie in Fig. 3 dargestellt, nach dem Start 30 in einem Schritt 31 den für die angeforderte Berechtigung ET gültigen Preis P und prüft bei 32, ob dieser Preis P zuvor von einem, auf der Chipkarte 7 (Fig. 1 ) gespeicherten Guthaben CA abgebucht wurde. Ist dies nicht der Fall, wird die Berechtigung ET bei 33 verweigert. Falls doch, und falls alle sonstigen Bedingungen erfüllt sind, wird die Berechtigung ET bei 34 auf der Chipkarte 7 erstellt und das Programm bei 35 beendet. Soll nun eine Berechtigung ET genutzt werden, so liest nach einem Start 40 (Fig. 4) bei 41 das Kontrollgerät den im festen Bereich AF der Berechtigung ET gespeicherten Preis P und prüft bei 42, ob dieser Preis P plausibel zu den, im codierten Teil CP oder im festen Teil AF stehenden Informationen paßt. Falls nicht, so wird die Einlösung der Berechtigung ET bei 44 verweigert, anderenfalls wird die Einlösung bei 43 freigegeben und das Programm bei 45 beendet. Alle Datenflüsse zwischen dem Kontrollgerät und der Chipkarte 7 werden vom Sicherheitsmodul 3 kryptographisch gesichert .
In Fig. 5 sind die Datenflüsse zwischen einer Chipkarte und zwei Endgeräten 1 , 1 ' eines die Chipkarte unterstützenden Berechtigungssystems in zeitlicher Abfolge dargestellt. Nach der Anforderung einer Berechtigung durch einen Benutzer gibt das Terminal 1 bei 51 dem Sicherheitsmodul 3 den Befehl, die Berechtigung zu einem Preis P zu erzeugen. Das Sicherheitsmodul bucht bei 52 den entsprechenden Betrag P von der elektronischen Geldbörse 7b der Chipkarte 7 ab und erhält bei 52a eine Bestätigung, daß der Betrag abgebucht wurde. Es erzeugt bei 53 den kompletten
Berechtigungsdatensatz im entsprechenden Bereich 7a der Chipkarte 7. Das Sicherheitsmodul interpretiert die Berechtigungsdaten nicht. Es sorgt lediglich dafür, daß alle Datentransfers kryptographisch gesichert vonstatten gehen.
Will der Benutzer die Berechtigung an einem Kontrollgerät 1 ' einlösen, so liest das dort vorhandene Sicherheitsmodul 3' bei 54 die Daten der Berechtigung kryptographisch gesichert von der Karte ein, stellt anhand der kryptographischen Codierung ihre Authentizität fest und reicht sie bei 55 an das Kontrollgerät 1 ' weiter. Dieses kontrolliert bei 56 nach Fig. 4 den Preis der Berechtigung und prüft, ob er in Ordnung ist. Falls ja, wird die Berechtigung eingelöst. Die Sicherheitsmodule 3, 3' müssen also den Preis der Berechtigung verstehen können, um Abbuchungen von der elektronischen Geldbörse 7a vornehmen zu können. Außerdem sorgen sie für eine kryptographisch gesicherte Übertragung der Daten. Die Plausibilitatsprufungen werden dagegen von den beiden Endgeräten 1, 1' selbst vorgenommen.

Claims

Ansprüche
1. Datenträger, insbesondere Chipkarte, zum Erwerb von Berechtigungen und zur Speicherung von Datensätzen (ET), welche die erworbenen Berechtigungen darstellen, durch ein Sicherheitsmodul, dadurch gekennzeichnet, daß die Datensätze (ET) jeweils unterteilt sind in einen ersten Bereich (AF) mit einer von den Betreibern eines bestimmten, den Datenträger nutzenden Berechtigungssystems zu verwendenden Datenstruktur und in einen zweiten, frei beschreibbaren Bereich (AU), dessen Datenstruktur von den Betreibern individuell wählbar ist.
2. Datenträger nach Anspruch 1, dadurch gekennzeichnet, daß im ersten Bereich (AF) Speicherplatz zur Speicherung wesentlicher Merkmale einer jeweiligen Berechtigung vorgesehen ist.
3. Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Preis (P) ein wesentliches Merkmal einer Berechtigung ist.
4. Datenträger nach einem der Ansprüche 2 oder 3, dadurch gekennzeichnet, daß die zu speichernden wesentlichen Merkmale einer jeweiligen Berechtigung in einem von den Betreibern zu verwendenden Datenformat gespeichert werden.
5. Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der zweite Bereich (AU) in einen ersten (CP) von den Betreibern codiert beschreibbaren und in einen zweiten (FP) uncodiert beschreibbaren, für die Allgemeinheit lesbaren Teilbereich geteilt ist.
6. Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die quantitative Aufteilung des zweiten Bereiches (AU) in Teilbereiche (CP, FP) von den Betreibern wählbar ist.
7. Datenträger nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der erste (CP) von dem zweiten (FP) Teilbereich durch mindestens ein Sonderzeichen trennbar ist.
8. Verfahren zur Speicherung von Berechtigungen unter Verwendung eines Datenträgers nach einem der vorhergehenden Ansprüche, wobei in Endgeräten (1) des Berechtigungssystems jeweils ein Sicherheitsmodul (3) vorgesehen ist, das über kryptographische Verfahren mit dem Datenträger (7) und Verrechnungsstellen kommuniziert und für die Erstellung von Berechtigungen (ET) auf dem Datenträger (7) ausgerüstet ist, und wobei Kontrollgeräte vorgesehen sind, welche die Berechtigungen (ET) überprüfen, dadurch gekennzeichnet, daß bei Anforderung einer Berechtigung durch einen Benutzer das Sicherheitsmodul (3) Handlungen, die für die Bildung der Berechtigung (ET) notwendig sind, insbesondere das Abbuchen des Kaufpreises (P) von einer elektronischen Geldbörse (7a), einleitet, und erst nach erfolgreichem Abschluß dieser Handlungen den Datensatz für die Berechtigung (ET) auf dem Datenträger (7) erstellt.
9. Verfahren zur Speicherung von Berechtigungen unter Verwendung eines Datenträgers, insbesondere einer Chipkarte, wobei der Datenträger mit einem ein Sicherheitsmodul enthaltenden Endgerät verbunden wird und durch Eingabe am Endgerät eine Berechtigung angefordert wird, dadurch gekennzeichnet, daß das Sicherheitsmodul (3) überprüft, ob der zum Erwerb der Berechtigung zu zahlende Preis (P) von einem Guthaben, das auf dem Datenträger (7) gespeichert ist, abgebucht wurde, bevor die Berechtigung (ET) erstellt wird.
10. Verfahren nach einem der Ansprüche 8 oder 9 , dadurch gekennzeichnet, daß das Sicherheitsmodul (3) dem Datensatz (ET) einer jeweiligen Berechtigung Identifizierungsmerkmale (ID) seiner selbst hinzufügt.
11. Verfahren nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, daß Kontrollgeräte beim Überprüfen einer jeweiligen Berechtigung eine Plausibilitätsprüfung (32) vornehmen, ob die wesentlichen Merkmale aus dem Datensatz (ET) der Berechtigung zu der Berechtigung passen.
PCT/EP1998/001268 1997-03-06 1998-03-05 Datenträger zum erwerb und zur speicherung von berechtigungen und verfahren zur speicherung der berechtigungen WO1998039744A2 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
HU0004236A HUP0004236A3 (en) 1997-03-06 1998-03-05 Data carrier, especially chip card for acquiring authorizations and memorizing data records and methods for memorizing authorizations
EP98913658A EP0970448A2 (de) 1997-03-06 1998-03-05 Datenträger zum erwerb und zur speicherung von berechtigungen und verfahren zur speicherung der berechtigungen
NO994234A NO994234L (no) 1997-03-06 1999-09-01 Databaerer for å erverve og å memorere autorisasjoner og fremgangsmåte for å memorere autorisasjoner

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19709272.1 1997-03-06
DE19709272 1997-03-06

Publications (2)

Publication Number Publication Date
WO1998039744A2 true WO1998039744A2 (de) 1998-09-11
WO1998039744A3 WO1998039744A3 (de) 1999-01-14

Family

ID=7822496

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP1998/001268 WO1998039744A2 (de) 1997-03-06 1998-03-05 Datenträger zum erwerb und zur speicherung von berechtigungen und verfahren zur speicherung der berechtigungen

Country Status (4)

Country Link
EP (1) EP0970448A2 (de)
HU (1) HUP0004236A3 (de)
NO (1) NO994234L (de)
WO (1) WO1998039744A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003010723A1 (de) * 2000-03-25 2003-02-06 Reno Byckiewicz Hsm-key und hsm-adapter (extern + intern)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2204973A (en) * 1987-05-19 1988-11-23 Gen Electric Co Plc Data processing system
FR2642202B1 (fr) * 1989-01-25 1994-02-18 Urba 2000 Systeme de paiement electronique de transports et de services publics par cartes a microcircuit
DE3911667C2 (de) * 1989-04-10 2000-06-21 Bosch Gmbh Robert Bediengerät zum bargeldlosen Entrichten von Fahrgeld
FR2726385B1 (fr) * 1994-10-28 1997-01-03 Hello Systeme de controle d'acces par cartes a microcircuit, notamment pour la gestion de l'acces a des quartiers urbains a circulation automobile limitee
JP3614480B2 (ja) * 1994-11-18 2005-01-26 株式会社日立製作所 電子チケット販売・払戻システム及びその販売・払戻方法
EP0823694A1 (de) * 1996-08-09 1998-02-11 Koninklijke KPN N.V. In Chipkarten gespeicherte Tickets

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003010723A1 (de) * 2000-03-25 2003-02-06 Reno Byckiewicz Hsm-key und hsm-adapter (extern + intern)

Also Published As

Publication number Publication date
HUP0004236A2 (hu) 2001-05-28
WO1998039744A3 (de) 1999-01-14
NO994234L (no) 1999-10-28
NO994234D0 (no) 1999-09-01
HUP0004236A3 (en) 2004-03-01
EP0970448A2 (de) 2000-01-12

Similar Documents

Publication Publication Date Title
EP0074381B1 (de) Kassier-einrichtung mit einem Computer
EP0306892B1 (de) Schaltungsanordnung mit einer zumindest einen Teil der Anordnung enthaltenden Karte für Geschäfts-, Identifizierungs-und/oder Betätigungszwecke
DE2512902B2 (de) Datenaustauschsystem
EP0605070A2 (de) Verfahren zum Transferieren von Buchgeldbeträgen auf und von Chipkarten
EP1103922A2 (de) Kartenbuchung mittels einer virtuellen Eintrittskarte
DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
DE19755819C1 (de) Verteiltes Zahlungssystem und Verfahren für den bargeldlosen Zahlungsverkehr mittels einer Börsenchipkarte
DE3835479C2 (de)
EP0722154B1 (de) Verfahren zum Verkaufen von Datensätzen sowie Verkaufsautomat und Verkaufs-System für Telekommunikations-Software
DE19604876C1 (de) Verfahren zur Transaktionskontrolle elektronischer Geldbörsensysteme
DE69110930T2 (de) Verwaltungssystem mit Informationsträgern für Autoparkgebühren.
EP0784300B1 (de) Verfahren zum Abrechnen elektronischer Geldbörsensysteme
EP0713188A2 (de) Verfahren und Chipkarte zum Dokumentieren einer erworbenen Berechtigung
EP0757337A2 (de) Einheit aus Datenspeicherkarte und Schreib-/Lese-Gerät
WO1998039744A2 (de) Datenträger zum erwerb und zur speicherung von berechtigungen und verfahren zur speicherung der berechtigungen
EP0789335A2 (de) Verfahren zum Abrechnen elektronischer Geldbörsensysteme mit Chipkarten
DE19756736A1 (de) System zur Aktivierung von Kartenfunktionen bei geldbetätigten Automaten
DE2858829C2 (de) Verfahren zum Betreiben eines mit einem Mikroprozessor und wenigstens einem programmierbaren ROM-Speicher versehenen Informationsträgers
EP0970449A2 (de) Tragbarer datenträger und verfahren zu dessen kryptographisch gesicherten benutzung mit austauschbaren kryptographischen schlüsseln
DE10046166A1 (de) Mehrteilige Vorrichtung zur Abrechnung von Entgelt für die Benutzung mautpflichtiger Verkehrswege
DE19856362C2 (de) Datenaustauschsystem
DE19853730C2 (de) Verfahren und Vorrichtung zum Identifizieren und Behandeln von kritischen Chipkartenkommandos
CH677703A5 (en) Automatic car park control system - uses optical and/or acoustic scanning of each vehicle eliminating need for parking tickets
DE69210273T2 (de) Verwaltungssystem von Mitteln zur Dienstleistungszahlung mit Hilfe eines tragbaren Informationsträgers
EP0718812A1 (de) Verfahren zur Indentifikation des Benutzers eines Taxameters

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): HU NO

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): AT BE CH DE DK ES FI FR GB GR IE IT LU MC NL PT SE

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 1998913658

Country of ref document: EP

AK Designated states

Kind code of ref document: A3

Designated state(s): HU NO

AL Designated countries for regional patents

Kind code of ref document: A3

Designated state(s): AT BE CH DE DK ES FI FR GB GR IE IT LU MC NL PT SE

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWP Wipo information: published in national office

Ref document number: 1998913658

Country of ref document: EP

WWR Wipo information: refused in national office

Ref document number: 1998913658

Country of ref document: EP

WWW Wipo information: withdrawn in national office

Ref document number: 1998913658

Country of ref document: EP