WO2001004771A2 - System zur ausführung einer transaktion - Google Patents

System zur ausführung einer transaktion Download PDF

Info

Publication number
WO2001004771A2
WO2001004771A2 PCT/EP2000/006577 EP0006577W WO0104771A2 WO 2001004771 A2 WO2001004771 A2 WO 2001004771A2 EP 0006577 W EP0006577 W EP 0006577W WO 0104771 A2 WO0104771 A2 WO 0104771A2
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
transaction
data
node computer
functionality
Prior art date
Application number
PCT/EP2000/006577
Other languages
English (en)
French (fr)
Other versions
WO2001004771A3 (de
Inventor
Norbert Albrecht
Walter Hinz
Hermann Weilacher
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Priority to EP00949309A priority Critical patent/EP1222563A2/de
Priority to US10/030,078 priority patent/US7433848B1/en
Priority to JP2001510106A priority patent/JP2003504759A/ja
Priority to BR0012415-0A priority patent/BR0012415A/pt
Priority to CA002379136A priority patent/CA2379136A1/en
Priority to AU62715/00A priority patent/AU6271500A/en
Publication of WO2001004771A2 publication Critical patent/WO2001004771A2/de
Publication of WO2001004771A3 publication Critical patent/WO2001004771A3/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/18Payment architectures involving self-service terminals [SST], vending machines, kiosks or multimedia terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/085Payment architectures involving remote charge determination or related payment systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/202Interconnection or interaction of plural electronic cash registers [ECR] or to host computer, e.g. network details, transfer of information from host to ECR or from ECR to ECR
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/204Point-of-sale [POS] network systems comprising interface for record bearing medium or carrier for electronic funds transfer or payment credit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F5/00Coin-actuated mechanisms; Interlocks
    • G07F5/18Coin-actuated mechanisms; Interlocks specially adapted for controlling several coin-freed apparatus from one place
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/001Interfacing with vending machines using mobile or wearable devices
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F9/00Details other than those peculiar to special kinds or types of apparatus
    • G07F9/002Vending machines being part of a centrally controlled network of vending machines

Definitions

  • the invention is based on a system according to the type of the main claim.
  • Such a system is known from EP-B-0 305 004. It describes a system for executing financial transactions, which provides user terminals, several of which are connected in parallel to a so-called concentrator. For their part, the concentrators are connected in parallel to a background bank system via a bank network. The connections between the system parts are secured independently of one another against researching the data traffic taking place via them. Security boxes, which are preferably designed in the form of smart cards, are used to secure the connections between terminals and concentrators. A key element of the system structure are the concentrators, which carry out the communication with the background system and have all the necessary means. The terminals connected to a concentrator are only able to communicate with the upstream concentrator. The structure of the terminals can thus be kept simple.
  • the device has a microprocessor unit, a memory device, an interface to an external program source and a number of subassemblies which can be controlled by controlling the microprocessor unit.
  • the modules are activated and controlled with the aid of application program packages which are transferred from the external program source to the memory device before the device is used for the first time.
  • the proposed concept permits the production of technically uniform devices which are matched to the place of use by loading corresponding application program packages on site.
  • a terminal in accordance with independent claim 9 and a method in accordance with independent claim 19 furthermore lead to the achievement of the object.
  • a terminal is not permanently determined by its technical design or equipment, but is variable and is only determined by software which it receives from an upstream node computer.
  • the technical design of the terminal there is only the requirement that they are capable of being supplied by the node computers
  • the end devices can be designed freely and in particular independently of their later functionality. End devices can advantageously be implemented in a technically uniform manner for very different transactions.
  • the terminal devices can be designed in a simple manner. In this way, the terminal-node computer interface can also be advantageously defined independently of the functionality of the terminal, thus regardless of the type of terminal and thus uniformly for all terminal types.
  • the free design of the terminal in a fixed framework in connection with a uniform design of the interfaces of the terminal node computer makes it much easier to set up new system software features and / or to change existing ones.
  • a particularly favorable embodiment provides that system changes are almost instantaneous take effect on the end devices.
  • each end device can be used to carry out several different transactions.
  • Terminal functionalities can also be set up at any time and the development of software for new functionalities is made considerably easier since interfaces, network or terminal peculiarities do not have to be taken into account.
  • Service and maintenance routines are also made significantly easier.
  • the proposed transaction system is suitable, among other things, for use in banking or payment applications, for issuing electronic tickets or as a health insurance card.
  • a terminal according to the invention according to independent claim 9 is characterized in that it enables the construction of a transaction system according to the main claim.
  • the inventive method according to independent claim 19 has the advantage that its implementation leads to a system according to the main claim.
  • FIG. 1 shows the structure of a transaction system
  • Figure 2 shows a section of the structure shown in Figure 1
  • Figure 3 is a flowchart illustrating the operation of a
  • FIG. 5 shows an example of a data exchange between a terminal and a node computer
  • FIG. 6 shows a data exchange when using a terminal
  • FIG. 1 shows a terminal 11 for executing a transaction, which is connected to a node computer 40 via a terminal network 30.
  • the node computer 40 is in turn connected to a central unit 60 via a background network 50.
  • Further terminals 10 can be connected to the terminal network 30 in parallel to the terminal 11, which terminals have the same basic structure as the terminal 11, but do not have to be identical to it.
  • Additional node computers 40 can be connected to the background network 50 parallel to the node computer 41, each of which in turn originates from a terminal network 30 to which one or more terminals 10 are connected.
  • Further central units 61 can also be connected to the background network 50 parallel to the central unit 60.
  • Terminal network 30 and background network 50 can be implemented in whole or in part as fixed or wireless networks;
  • the terminal network 30 can be implemented via the Internet. Accordingly, the connection of the terminals 10, 11, the node computers 40, 41 and also the central tral units 60, 61 to the respective networks 30, 50 wired and / or contactless.
  • the network structure shown in FIG. 1 enables a large number of different transactions to be carried out, inter alia for executing payment functions in the form of direct debit or as a wallet, credit card functions, customer card functions, end user applications, health insurance functions, service and maintenance functions or diagnostic functions.
  • FIG. 2 shows in more detail a section of the network structure illustrated in FIG. 1 with a terminal 11, a node computer 41 and a central unit 61.
  • a main component of the terminal 11 is a microprocessor 12, which is connected via a device-internal bus 16 to a memory device.
  • Device 20 an operating device 13, an image display unit 14, a user data interface 15, a contacting or contactless interface 16 to the terminal network 30 and a security box 17 is connected.
  • the memory device 20 is divided in a manner known per se into a volatile section 21, usually in the form of a RAM, which serves in particular as a working memory for the processor 12, and a non-volatile section 22, which in turn is in a read-only area 23, usually in the form of a ROM, and a readable and writable area 24, usually in the form of an EEPROM.
  • a volatile section 21 usually in the form of a RAM, which serves in particular as a working memory for the processor 12, and a non-volatile section 22, which in turn is in a read-only area 23, usually in the form of a ROM, and a readable and writable area 24, usually in the form of an EEPROM.
  • the read-only area 23 there are, in particular, original operating program data, which are indispensable for the production of a basic operational readiness of the terminal 11 and which must not be changed afterwards, in particular a bootstrap program for loading program packages to determine the terminal functionality.
  • the readable and writable area 24 there
  • the operating device 13 enables a user to initiate and / or continue a transaction. For this purpose, it has actuating means by means of which the user can generate control signals which are fed to the processor 12 via the bus 16. The input of the control signals is supported by displays on the image display unit 14.
  • the operating device is designed as a keypad, which can expediently be integrated into the image display unit 14 in the form of softkeys.
  • the operating device 13 can have means for identifying a user, for example devices that evaluate biometric data, such as a fingerprint recognition device.
  • the user data interface 15 is preferably designed as a read / write unit for communication with a portable data carrier 80, which forms part of the terminal 11 for the following description.
  • the data carrier 80 carries a microcomputer 81, which in turn has a microprocessor and a memory, the latter basically being able to be constructed like the memory device 20.
  • the communication between user data interface 15 and microcomputer 81 can be contact-based or contactless.
  • the portable data carrier 80 is expediently designed as a chip or magnetic stripe card, but can also have any other forms, such as the shape of a wristwatch.
  • the security box 17 supports the system security and contains information by means of which information output and received from the terminal network 30 via the interface 16 is encrypted or decrypted in order to prevent the unauthorized persons from researching the data traffic taking place via the terminal network 30.
  • the portable data carrier 80 contains information that is required to carry out a transaction using the terminal 11. Such information can be, for example, an account number for carrying out a bank transaction, a value memory content for carrying out a payment process, the name of an insurance company for preparing a medical treatment bill or a total memory content for recording bonus information.
  • the microcomputer 81 of the portable data carrier 80 can also contain data for producing a terminal functionality. Furthermore, it can contain operationally necessary components of the terminal-side processor 12, the terminal-side storage unit 20 or the security box 17, so that operation of the terminal 11 is only possible in unity with the portable data carrier 80.
  • the processor 12, the memory device 20 and / or the security box 17 can be dispensed with entirely or partially on the terminal side.
  • Other terminal components 13, 14 can also be implemented partially or entirely on the data carrier 80;
  • the selection and type of distribution can basically be freely designed according to the point of expediency.
  • the one or more node computers 40, 41 form servers for the terminals 10, 11, which execute the transactions triggered by the connected terminals 10, 11 in interaction with the terminals 10, 11 and thereby connect the terminals 10, 11 via the background network 50, 11 and central units 60, 61.
  • the node computers 40, 41 are equipped with correspondingly powerful processor units 44 and large storage devices 45.
  • processor unit 44 Via a tactless or contact-based first interface 42, processor unit 44 is connected to terminal network 30, via a contactless or contact-related second interface 43 to background network 50.
  • the node computer is provided to secure both data traffic to terminals 10, 11 and data traffic to background network 50 41 via a cipher box 46. It manages and processes information for encrypting or decrypting the data exchange taking place with the respective terminal 10, 11 or the respective central unit 60, 61. Encryption and decryption are based on mechanisms known per se.
  • the storage unit 45 therefore generally contains a large amount of data relating to the manufacture of the connected devices Terminals 10, 11 possible functionalities.
  • the central units 60, 61 typically have the form of conventional data centers, as can be found at network operators, banks, credit card institutes, charging centers, authorization centers, service centers and the like. Since central units 60, 61 are sufficiently known in this sense and they are used for the system according to the invention only in their known functions, their structure is not discussed in more detail here.
  • a characteristic property of the transaction system shown in FIG. 1 is that the respective functionality is not permanently assigned to the terminals 10, 11, but is determined by software that they receive from the node computers 41. The determination can be permanent or situational change depending on ons. Essential parts of a functionality can advantageously be relocated to the node computers 40, 41.
  • FIG. 2 illustrates this property using the sequence of steps when carrying out a transaction.
  • a user first triggers a transaction via the operating device 13, step 100.
  • the terminal processor 12 checks whether the data for the production of the functionality required for the intended transaction are available in the storage unit 20. If this is the case, the processor 12 immediately executes the first transaction steps possible with the existing data, step 102.
  • the processor 12 causes the user data interface 15, which is then designed as a reading unit, to read out the card data from the memory of the card microcomputer 81 and the user for inputting further control signals via the operating device 13, for example user identification information.
  • the processor 12 also generates a start sequence, step 106, which indicates which transaction was triggered and which contains information which identifies the respective terminal 10, 11.
  • the processor 12 If the check in step 102 reveals that the data for the production of a functionality required to carry out a transaction are not available in the memory unit 20, the processor 12 only forms the start sequence.
  • the processor 12 encrypts the start sequence and, if available, the data available on the basis of first executed transaction steps with the aid of the security information contained in the security box 17 and sends it via the terminal network 30 to the associated node computer 41.
  • Its processor unit 44 receives the data via the interface 42 and decrypts it using the decryption information contained in the cipher box 46.
  • the decrypted data is then checked by the processor unit 44 to determine whether it consists of only one start sequence or already contains the result data of the first transaction steps, step 110.
  • the processor unit 44 determines the terminal device functionality required to carry out the triggered transaction and checks, whether the associated data is present in the storage unit 45 of the node computer 41. If this is not the case, the processor unit 44 requests it from a central unit 60, 61 via the background network 50. If the required data are available, the processor unit 44 provides them for transmission to the terminal 11, step 116.
  • step 110 If the check in step 110 reveals that the first data received from the terminal 10, 11 already contain results of the first executed transaction steps, the processor unit 44 processes these and generates first response data. As a rule, it carries out a data exchange with the central units 60, 61 via the background network 50.
  • the processor unit 44 checks whether further data for the production of the required functionality are to be supplied to the terminal 11 for the execution of the next transaction steps, step 114. If so, it continues with the execution of the step 116 and checks whether the data still required are present in the storage unit 45. If it determines that the required data is not available in the storage unit 45, it requests it from the corresponding central unit 60, 61 via the background network 50. The data, if required, and the first response data are then sent by the node computer 40, 41 to the terminal 11 via the terminal network 30.
  • the terminal processor 12 takes over the data in the storage unit 20 he the execution of the first transaction steps. The resulting first data is sent back to the node computer 41, which then executes the sequence of steps 102.
  • the terminal processor 12 causes the next transaction steps to be carried out. If further data for the production of the functionality required to carry out the transaction were transmitted with the further response data, he takes this into the storage unit 20 and uses it directly to carry out the next transaction steps.
  • the data for establishing the functionality for carrying out the transaction can be retained in the storage unit after the transaction has been completed.
  • the terminal processor 12 then carries out the first transaction steps immediately after a transaction has been triggered, without first requesting the data from the node computer 41 to produce the required functionality.
  • the terminal 11 can carry out the transactions that are possible due to a functionality at any time without the need to request data from a node computer 40, 41.
  • the data for establishing the functionality for a transaction is deleted again after the transaction is completed.
  • the terminal processor 12 then reloads the data required to produce the required functionality each time a transaction is executed.
  • the storage device 20 can only consist of a volatile storage area 21 in addition to the area 23 for storing the original program data.
  • the transfer of data required to establish the functionality for a particular transaction does not necessarily have to be triggered by triggering the transaction itself. Rather, it can also take place independently of the actual initiation of a particular transaction. Any defined events can be triggered. For example, it can be provided that when a terminal is connected to a network for the first time, the data for the most important or most frequently carried out transactions is transferred to the terminal. In a variant of this, data for the most important or the most frequently executed transactions are loaded when any of the most important or most frequent transactions is triggered for the first time.
  • Another possible trigger event is the regular or on request implementation of service or maintenance measures on the end devices. In all cases, a data transmission once triggered can be used for the regular updating of functionalities already set up in a terminal; obsolete versions are overwritten with current ones in the memory of the end device.
  • FIG. 4 illustrates a possible sequence of data transmission from the node computer to the terminal that is not directly transaction-bound.
  • the sequence is initiated by the occurrence of a predetermined event, step 101, for example by reaching a service time.
  • the terminal 11 thereupon again forms a start sequence, step 106, which indicates which transaction was triggered and which contains information which identifies the respective terminal 11 and sends it to the associated node computer.
  • the node computer 41 checks whether the start sequence specifies immediately unambiguous data to be transmitted, step 111.
  • the node computer If this is not the case, the node computer generates a request to determine the data to be transmitted to the terminal and sends this to the terminal, step 113.
  • the terminal executes the request and names the desired data to the node computer in a corresponding response, step 115.
  • the node computer 41 checks whether the required data are present in the storage unit 45. If he determines that the required data is not available in his storage unit 45, he requests it from the corresponding central unit 61 via the background network 50. He then sends the data via the terminal network 30 to the terminal 1, step 119.
  • step 119 If the information about the data to be transmitted follows directly from the start sequence when it is checked in step 111, the node computer immediately executes step 119. Provision can also be made to equip the end devices with a selection of functionalities even when they are new. The selection can expediently include the most important or the most frequently used functionalities. If the storage capacity permits this in particular, all possible functionalities can also be set up on one terminal.
  • FIG. 5 illustrates a possible data exchange between a node computer 41 and a terminal 11 used as a payment transaction terminal.
  • the transaction is a payment transaction which entails the transfer of a sum of money from an account corresponding to chip card 80 at a first bank with central unit 61 to an account at a second bank with central unit 61.
  • the terminal 11 is a terminal installed at a dealer, to which a virtual dealer card, i. a data carrier implemented in the form of a chip card was created.
  • the payment transaction is triggered by inserting the chip card 80 into the user data interface 15 designed as a reading device. If the terminal device 11 detects that a transaction is to be carried out, the user's authorization to use the card 80 is first advantageously checked in a known manner, for example by Check a PIN. If this test is positive, the terminal 11 reads general card data, for example a card number, from the memory 83 of the chip card and / or a bank account. If the card enables several different transactions, for example, it can be operated either as a wallet or as a debit or credit card, the end device 11 causes the user to select a transaction, ie to select a payment method, by displaying it on the image display device 14.
  • general card data for example a card number
  • the terminal 11 provides data for terminal identification and date information.
  • the terminal forms a start sequence, step 200, from general card data, amount, terminal information data and date information, which it sends to the node computer 41.
  • the transmission of the start sequence and the entire subsequent data exchange between terminal 11 and node computer 41 are encrypted, with methods known per se being used for the encryption.
  • a first key is expediently assigned to the terminal 11 and is formed as part of the start sequence or, if appropriate, in an upstream step on the basis of the terminal identification. It subsequently serves as a comprehensive transport key with which the entire data exchange between terminal 11 and node computer 41 is secured.
  • a further key is expediently assigned to chip card 80 and is used to form data security codes, in particular to be able to check the integrity of data.
  • the node computer 41 determines the central unit 61 corresponding to the bank connection designated in the start sequence, in which the account belonging to the card 80 is created, step 202. It begins a data exchange with the determined central unit 61. For example, it first checks whether the intended payment transaction is even permitted. If the intended transaction is fundamentally possible thereafter, the node computer 41 transmits to the terminal 11 data which the terminal Set up device 11 to carry out the intended transaction and in particular include commands which cause user data interface 15 to carry out further accesses to chip card 80, step 204. In addition, the data contains commands which cause terminal device 11 to tell who the recipient is or should be the giver of a payment.
  • the received data and chip card commands are carried out by the terminal 11, step 206. If the chip card 80 is prepared to carry out a debit, the terminal 11 sends a feedback to the node computer 41 after encryption, step 208, which in the underlying example contains information that from the Card a payment is to be made to the virtual merchant card belonging to the terminal.
  • the node computer 41 determines to whom an amount to be debited or debited from the card 80 or the associated account should be credited or debited, in the assumed example of the virtual merchant card. Using the terminal information data sent in the start sequence, the node computer 41 therefore reads out the memory of the virtual dealer card and determines the central unit 60 associated with the dealer card. With this, it then opens a data exchange, step 210, in order to set up the virtual dealer card for booking.
  • the node computer 41 sends the terminal 11 booking commands which, on the terminal side, result in the entry of the debit in the memory of the chip card 80, step 218 the background network 50 executes the booking between the central units 60, 61 involved.
  • the terminal 11 makes the entry of the debit on the chip card, step 220, and acknowledges the completion of the transaction by sending a confirmatory feedback to the node computer 41, step 222.
  • the node computer 41 When the booking part of the transaction has ended, the node computer 41 generates control data which the terminal device 11 displays to show a document display of the executed transaction, i.e. Initiate via the booking process carried out on the image display device 14, step 224. If a document output is assigned to the terminal 11, for example in the form of a printer, the node computer 41 expediently also generates control data for printing out a document. It sends the control data to the terminal 11, which executes them without further processing, step 226.
  • FIG. 6 illustrates, as a further possible use of the transaction system shown in FIG. 2, a variant in which the terminal 11 is used to issue electronic tickets. It is assumed that the electronic ticket has the form of a data record which is inserted into the memory of a chip card 80. The end device 11 accordingly has a user data interface 15 in the form of a chip card contacting unit.
  • a ticket issuing transaction is triggered by the customer presenting the chip card 80 to the terminal 11 and / or, for example via the operating device 13, notifying that he wants to carry out the "electronic ticket" transaction, step 300, in order to acquire an electronic ticket. Detects the terminal 11 that a ticket issue transaction is to be carried out, a check of the loading authorization of the customer to use the chip card 80 for the intended transaction, for example in a known manner by checking a PIN.
  • the terminal 11 determines the card number of the chip card 80 and checks whether it is set up to carry out an "electronic ticket” transaction, Step 302. If this is not the case, it also determines whether sufficient free storage space is available to set up the functionality.
  • the terminal 11 then generates a start sequence 306 which contains the card number and a terminal identification. If the functionality required to carry out the “electronic ticket” transaction is not available in the storage unit 20 of the terminal 11, the start sequence 306 also contains information which indicates that the terminal 11 contains the data for setting up the functionality mentioned in the following application needed.
  • the start sequence 306 is encrypted by means of an overarching transport key assigned to the terminal 11, which is generated using the terminal identification as part of the start sequence or in an upstream, separate data exchange according to a conventional method.
  • the entire subsequent data exchange between terminal 11 and node computer 41 is secured with the transport key.
  • the generation and use of the key are based in a manner known per se on the fact that the communication participants independently of each other know a secret that is not about the end device.
  • tenetz 30 can be exchanged between terminal 11 and node computer 41.
  • the secret is stored on the one hand in the terminal 11, preferably in the security box 17, and is managed on the other side in the node computer 41 or via the background network 50 by the central units 60, 61. If a secret necessary for generating a key is not available in a node computer 41, the latter obtains it from the managing central unit 60, 61.
  • the encrypted start sequence 306 is sent by the terminal 11 to the assigned node computer 41.
  • its processor unit 44 checks whether the application “electronic ticket” is present in the memory unit 45 of the node computer 41, step 308. If this is not the case, the node computer 41, for example with the aid of the terminal device information, determines a central unit 60, 61, which has the data resalizing the application, and requests the data from it via the background network 50. Application data are available, step 310 , the node computer 41 transmits them to the terminal 11.
  • Its processor 12 accepts the application data in the memory unit 20 and executes the functionality set up, step 312.
  • the terminal 11 requests the customer here via the image display device 14 to select a ticket.
  • the selection is user-guided in the dialog.
  • the customer uses the operating device 13 in accordance with a request from the image display device 14 in each case to provide information which is necessary for determining the required ticket, such as the start and destination, travel time, number of people, travel class etc., step 314. These are in the terminal If all the information required to determine a ticket has been entered, the terminal 11 transmits the selection data to the node computer 41. From the data on the ticket selection received from the terminal 11, the node computer 41 determines a data record representing the electronic ticket, step 316.
  • the node computer 41 is expediently set up to perform simple and particularly frequently requested ticket determinations, such as the determination of a ticket of the local transport company, directly by to carry out the processor unit 44 of the node computer 41.
  • the determination of a ticket requires complex program sequences, which usually require the activation of a central unit 60, 61 via the background network 50.
  • the resulting ticket data record contains, in addition to the information used for the determination, the possible ticket alternatives and, in particular, the ticket price (s).
  • the node computer 41 then generates a chip card-specific key from the card number and a secret, which is also permanently stored in the chip card 80, which key subsequently serves to form a data security code, step 318.
  • the node computer 41 If the node computer 41 has generated a chip card-specific key, it thus forms a data security code for the resulting ticket data record, for example a MAC (Message Authentication Code), and encrypts the resulting ticket data block consisting of ticket data record and data security code with the aid of the transport key, step 320.
  • the resulting encrypted ticket data block the node computer 41 transmits to the terminal 11.
  • the incoming ticket data block decrypts the end device 11 with the help of the transport key that it, z. B. in the security box 17 on generated in the same way as the node computer 41.
  • the terminal 11 also carries out a preliminary check of the integrity of the ticket data record, for example by checking whether the decrypted ticket data record has certain values at defined positions.
  • the decoded ticket data set is forwarded by the terminal 11 to the chip card 80, which checks its integrity by checking the data security code using the chip card-specific key present on the chip card 80.
  • the terminal 11 prompts the customer by corresponding display on the image display unit 14 to check the electronic ticket for correctness and to confirm the purchase, step 322. If the ticket data record contains several possible electronic ticket alternatives, this requires this Terminal 11 prompts the customer to make a selection from the alternatives offered. In simple, no-alternative cases, for example when buying a ticket for a local transport company, the customer does not have to select and confirm the purchase.
  • the confirmed part of the ticket data record which makes up the selected ticket is first temporarily stored in the storage device 20 of the terminal 11, step 324. Furthermore, the terminal 11 initiates the payment of the electronic ticket. Scheins, step 326.
  • the payment process can be carried out by cash payment or, as described in connection with FIG. 5, by confiscation of electronic money stored on chip card 80.
  • the node computer 41 When the payment process is complete, the node computer 41 generates an acknowledgment signal, step 328, which it transmits to the node computer 41.
  • the node computer 41 After receiving the acknowledgment signal, the node computer 41 generates a control command which causes the processor 12 of the terminal 11 to transfer the ticket data record stored in the storage device 20 to the chip card 80.
  • the terminal 11 carries out the transfer of the electronic ticket to the chip card, step 330, and acknowledges the completion of the transaction by sending a confirmatory feedback to the node computer 41, step 332.
  • the receipt of this feedback in the node computer 41 can, for example, be followed by the output of a Connect receipt, for example by a printer connected to the terminal 11.
  • FIG. 7 illustrates, as a further possible use of the transaction system shown in FIG. 2, a variant in which a terminal is used in a health insurance card system.
  • the health insurance card again has the form of a chip card 80 and the functionality for handling health insurance cards is already present in the storage unit 20 of the terminal 11.
  • the terminal 11 is located, for example, in a doctor's office, a hospital or an institution for billing medical services, such as health insurance.
  • the medical staff are granted different access rights than the members of the health insurance.
  • a transaction using a health insurance card 80 hereinafter simply referred to as a card, is initiated by presenting the card 80 to the user data interface 15 of the terminal 11, step 400.
  • the terminal 11 then actuates via the image display unit 14 that a transaction using a health insurance card is requested was and prompts - in normal operation - the operator to indicate whether he wants to access the card 80 only for reading or writing and reading, step 402. Furthermore, it prompts the operator, step 404, to indicate which data stored on the card 80 he wants to access.
  • the data held in the memory device of the card 80 are expediently structured according to their factual nature, for example in terms of billing technology or medicine, this structure being further subdivided, for example, according to the type of medical specialty.
  • the outline areas are protected individually or in groups by area-based access keys against read and write access.
  • the access keys are preferably derived from the card-specific key and information characterizing the operator, for example a doctor, or the outline area, for example a medical specialty.
  • the terminal 11 prompts the operator via the image display unit 14 to identify himself, step 406. This can be done, for example, by means of the operating device 13 by entering a code for identifying a doctor , a hospital or health insurance. The terminal 11 also determines the card number of the card 80.
  • the terminal 11 forms a starting point from the information about the desired type of access, the card area to be accessed, the identification code, the number of the presented card 80 and the terminal identification. sequence, step 408, which it transmits to the assigned node computer 41.
  • the transmission is encrypted using a transport key, which is generated using the terminal device identification, if necessary, in an upstream data exchange step and with which the entire subsequent data exchange between terminal device 11 and node computer 41 is secured.
  • the start sequence 408 After the start sequence 408 has been received in the node computer 41, it forms a card-specific key with the aid of the card number and a secret assigned to the card 80. If the secret is not in the
  • Node computer 41 itself available, it determines it via the background network 50 from the managing central unit 60, 61.
  • the node computer 41 checks whether the information necessary for evaluating the start sequence 408 is in the memory 45. If this is not the case, it determines a central unit 60 suitable for evaluating the start sequence and initiates a data exchange with it via the background network 15, step 412. In the course of the following data exchange, the node computer 41 checks using the one transmitted with the start sequence 408 Operator identification codes as to whether operator access to card 80 is permitted. If this is the case, device data are provided in the node computer 41, which enable the terminal 11 to carry out the desired access to the card 80, step 414. The device data for this preferably include one or more access keys assigned to individual areas of the card 80.
  • the node computer 41 then uses the card-specific key to form a data backup code for the device data, step 416.
  • the data record consisting of device data and data backup code becomes then encrypted with the transport key and sent to the terminal 11.
  • an access type for emergencies is expediently set up in the terminal 11.
  • An emergency transaction is triggered like a transaction in normal operation, however in step 406 the operator does not identify himself by an individual identification, but by an emergency identification.
  • the node computer 41 or a central unit 60, 61 recognizes an emergency identification after generating a key for forming a data security code and a transport key, when evaluating the start sequence 408, it provides the node computer 41 with a set of access keys based on the card number, which is at least one Allows read access to all medical data on the health insurance card 80. To accelerate the execution of the transaction, provision can be made for an additional check of the authorization of the operator to be dispensed with.
  • the node computer provides the access key data record with a data backup code, step 416, encrypts both with the transport key and transmits the resulting data record to the terminal 11.
  • the functionality assigned in the terminals can be limited to passing data to a data carrier on the one hand, and extensive data processing can be set up directly by a terminal on the other hand.
  • the encryption vary with a transport key and data carrier-related key in a wide range, with encryption being completely eliminated on the one hand and additional encryption provided on the other.

Abstract

Vorgeschlagen wird ein System zur Ausführung von Transaktionen mit Endgeräten, welche grundsätzlich die Ausführung einer Vielzahl verschiedener Transaktionen erlauben. Die Endgeräte (10, 11) sind dazu über ein Endgerätenetz (30) mit mindestens einem Knotenrechner (40, 41) verbunden, über den sie zur Ausführung einer Transaktion einrichtbar sind. Die Eignung zur Ausführung einer weiteren, bis dahin nicht vorbereiteten Transaktion lässt sich dabei jederzeit ohne spezielle Einrichtungsmassnahmen nachträglich herstellen. Ein Endgerät (10, 11) fordert dazu auf ein die weitere Transaktion bezeichnendes Auslösesignal hin von einem Knotenrechner (40, 41) Daten an, welche die zur Ausführung der weiteren Transaktion benötigte Funktionalität herstellen. Die Ausführung der Transaktion erfolgt dann in Wechselwirkung zwischen einem Endgerät (10, 11) und einem Knotenrechner (40, 41).

Description

System zur Ausführung einer Transaktion
Die Erfindung geht aus von einem System nach der Gattung des Hauptanspruchs.
Ein solches ist bekannt aus der EP-B-0 305 004. Darin ist ein System zur Ausführung von Finanztransaktionen beschrieben, welches benutzerseitig Terminals vorsieht, von denen jeweils mehrere in Parallelanordnung mit einem sogenannten Konzentrator verbunden sind. Die Konzentratoren ihrerseits sind in Parallelanordnung über ein Banknetz mit einem Hintergrundbanksystem verbunden. Die Verbindungen zwischen den Systemteilen sind unabhängig voneinander gegen Ausforschen des über sie erfolgenden Datenverkehrs gesichert. Zur Sicherung der Verbindungen zwischen Terminals und Konzentratoren dienen Sicherheitsboxen, welche terminalseitig vorzugswei- se in Form von Smartcards ausgeführt sind. Maßgebliches Element der Systemstruktur sind die Konzentratoren, welche die Kommunikation mit dem Hintergrundsystem durchführen und über sämtliche dazu benötigte Mittel verfügen. Die mit einem Konzentrator verbundenen Terminals sind nur zur Kommunikation mit dem jeweils vorgeschalteten Konzentrator befähigt. Der Aufbau der Terminals kann dadurch einfach gehalten werden.
Eine Schwierigkeit bei Vielteilnehmer-Systemen wie dem vorgenannten ist die Einrichtung neuer oder die Änderung bestehender Systemmerkmale. Die damit verbundene Problematik wird vor allem offensichtlich, wenn eine vorzunehmende Systemänderung, etwa die Einführung eines neuen Softwaresicherheitsmerkmals, mindestens zwei Systemteilnehmer betrifft und diese technisch nicht identisch sind. Für jeden Teilnehmertyp ist die Systemanpassung dann in der Regel typindividuell vorzunehmen. Ist die Funktionalität eines Endgerätes dabei nicht nachträglich änderbar, ist ein kompletter Aus- tausch des Endgerätes erforderlich. Aus der DE- AI -38 15 071 ist es desweiteren bekannt, ein Kommunikationssendgerät in Gestalt eines Bildschirmtextterminals oder eines Fernsehempfangsgerätes durch Nachladen von Programmpaketen an eine gegebene Nutzungssituation am Einsatzort anzupassen. Das Gerät verfügt über eine Mikroprozessoreinheit, eine Speichereinrichtung, eine Schnittstelle zu einer externen Programmquelle sowie über mehrere unter Steuerung der Mikroprozessoreinheit steuerbare Baugruppen. Aktivierung und Steuerung der Baugruppen erfolgen mit Hilfe von Applikationsprogrammpaketen, welche von der externen Programmquelle vor erstmaliger Nutzung des Gerätes in die Speichereinrichtung übertragen werden. Das vorgeschlagene Konzept gestattet die Fertigung technisch einheitlicher Geräte, die durch Laden von jeweils entsprechenden Applikationsprogrammpaketen vor Ort auf den Einsatzort abgestimmt werden.
Das in DE-A-38 15 071 beschriebene Konzept bietet den größten Nutzen, wenn die Kommunikationsgeräte herstellerseitig zur Ausführung aller überhaupt möglichen Funktionen vorbereitet sind und über alle dazu notwendigen Baugruppen sowie eine entsprechend groß ausgelegte Speichereinrichtung verfügen. Kommunikationsgeräte dieser Art lassen sich zwar durch Massenfertigung vergleichsweise günstig herstellen, sind aber für viele Anwendungen überdimensioniert. Die alltägliche Nutzung der Geräte setzt im übrigen voraus, daß das jeweilige Gerät bei der Einrichtung durch Laden eines entsprechenden Applikationsprogrammpaketes zur Ausführung der gewünschten Funktion vorbereitet wurde. Es können, anders ausgedrückt, nur Funktionalitäten genutzt werden, die in einem gesonderten Einrichtschritt zuvor eingerichtet wurden. Jede neue Funktionalität oder jede Änderung einer bestehenden muß in einem gesonderten Bedienungsschritt eingerichtet werden. Der Erfindung liegt die Aufgabe zugrunde, ein flexibles Transaktionssystem mit möglichst einfach aufgebauten Endgeräten anzugeben, das die Einführung neuer Systemmerkmale oder die Änderung bestehender vereinfacht.
Diese Aufgabe wird gelöst durch ein System mit den Merkmalen des
Hauptanspruchs. Zur Lösung der Aufgabe führen desweiteren ein Endgerät gemäß unabhängigem Anspruch 9 sowie ein Verfahren gemäß dem unabhängigen Anspruch 19.
Für das erfindungsgemäße System ist bezeichnend, daß die Funktionalität eines Endgerätes nicht durch seine technische Gestaltung bzw. Einrichtung dauerhaft festgelegt wird sondern variabel ist und erst durch Software bestimmt wird, welche es von einem vorgeschalteten Knotenrechner erhält. Hinsichtlich der technischen Ausgestaltung der Endgerätes besteht nur die Vorgabe, daß sie in der Lage sind, von den Knotenrechnern zugeführte
Software übernehmen und ausführen zu können. Im Rahmen dieser Vorgabe können die Endgeräte frei und insbesondere unabhängig von ihrer späteren Funktionalität ausgeführt sein. Vorteilhaft können dabei Endgeräte für ganz unterschiedliche Transaktionen technisch einheitlich ausgeführt sein. Durch Verlagerung wesentlicher Teile der möglichen Funktionalitäten in die Knotenrechner ist eine einfache Ausführung der Endgeräte möglich. In vorteilhafter Weise kann dadurch auch die Schnittstelle Terminal-Knotenrechner unabhängig von der Funktionalität des Endgerätes, damit unabhängig von der Art des Endgerätes und damit einheitlich für alle Terminalarten definiert werden. Die in einem festen Rahmen freie Gestaltbarkeit der Endgerätes in Verbindung mit einer einheitlichen Gestaltung der Schnittstellen Terminal- Knotenrechner erleichtert wesentlich die Einrichtung neuer Systemsoftwaremerkmale und/ oder die Änderung bestehender. Eine besonders günstige Ausgestaltung sieht vor, daß Systemänderungen nahezu verzögerungsfrei an den Endgeräten wirksam werden. Indem seine Funktionalität grundsätzlich jederzeit frei konfigurierbar ist, kann jedes Endgerät zur Ausführung mehrerer verschiedener Transaktionen verwendet werden. Auch lassen sich Terminalfunktionalitäten jederzeit neu einrichten und wird die Entwicklung von Software für neue Funktionalitäten wesentlich erleichtert, da Schnittstellen, Netz- oder Terminalbesonderheiten nicht zu beachten sind. Deutlich erleichtert werden desweiteren Service- und Wartungsroutinen.
Das vorgeschlagene Transaktionssystem eignet sich unter anderem zur Ver- wendung in Bank- oder Zahlungsverkehrsanwendungen, zur Ausgabe elektronischer Fahrscheine oder als Krankenversicherungskarte.
Ein erfindungsgemäßes Endgerät gemäß dem unabhängigen Anspruch 9 zeichnet sich dadurch aus, daß es den Aufbau eines Transaktionssystems gemäß Hauptanspruch ermöglicht.
Das erfindungsgemäße Verfahren gemäß unabhängigem Anspruch 19 hat den Vorteil, daß seine Durchführung auf ein System gemäß dem Hauptanspruch führt.
Weitere zweckmäßige Ausgestaltungen und vorteilhafte Weiterbildungen des Systems gemäß Hauptanspruch, des Endgerätes gemäß unabhängigem Anspruch 9 bzw. des Verfahrens gemäß unabhängigem Anspruch 19 ergeben sich aus den jeweils rückbezogenen Unteransprüchen.
Ein Ausführungsbeispiel der Erfindung wird nachfolgend unter Bezugnahme auf die Zeichnung näher erläutert. Es zeigen:
Figur 1 die Struktur eines Transaktionssystems,
Figur 2 einen Ausschnitt aus der in Figur 1 gezeigten Struktur, Figur 3 ein Flußdiagramm zur Veranschaulichung des Betriebes eines
Transaktionssystems, Figur 4 ein Flußdiagramm einer Betriebsvariante,
Figur 5 ein Beispiel für einen Datenaustausch zwischen einem Endgerät und einem Knotenrechner, Fig. 6 einen Datenaustausch bei Verwendung eines Endgerätes zur
Ausgabe eines elektronschen Fahrscheins, Fig. 7 einen Datenaustausch bei Verwendung eines Endgerätes zur
Handhabung von Krankenversicherungskarten.
Figur 1 zeigt ein Endgerät 11 zur Ausführung einer Transaktion, welches über ein Endgerätenetz 30 mit einem Knotenrechner 40 verbunden ist. Der Knotenrechner 40 ist seinerseits über ein Hintergrundnetz 50 mit einer Zentraleinheit 60 verbunden. An das Endgerätenetz 30 können parallel zum Endgerät 11 weitere Endgeräte 10 angeschlossen sein, welche dieselbe Grundstruktur wie das Endgerät 11 aufweisen, aber nicht baugleich mit diesem sein müssen. An das Hintergrundnetz 50 können parallel zum Knotenrechner 41 weitere Knotenrechner 40 angeschlossen sein, von denen jeweils wiederum ein Endgerätenetz 30 ausgeht, an das ein oder mehrere Endgeräte 10 angeschlossen sind. An das Hintergrundnetz 50 können weiterhin parallel zur Zentraleinheit 60 weitere Zentraleinheiten 61 angeschlossen sein. Endgerätenetz 30 und Hintergrundnetz 50 können ganz oder teilweise als Festoder drahtlose Netze ausgeführt sein; insbesondere das Endgerätenetz 30 kann dabei über das Internet realisiert sein. Entsprechend kann die Anbin- dung der Endgeräte 10, 11, der Knotenrechner 40, 41 und auch der Zen- traleinheiten 60, 61 an die jeweiligen Netze 30, 50 drahtgebunden und/ oder kontaktlos erfolgen.
Die in Fig. 1 dargestellte Netzstruktur ermöglicht die Durchführung einer Vielzahl von unterschiedlichen Transaktionen, unter anderem zur Ausführung von Zahlungsfunktionen in Form von Lastschriftverfahren oder als Geldbörse, Kreditkartenfunktionen, Kundenkartenfunktionen, Applikationen eines Endgerätenutzers, Krankenversicherungsfunktionen, Service- und Wartungsfunktionen oder Diagnosefunktionen.
Fig. 2 zeigt in detaillierterer Form einen Ausschnitt aus der in Fig. 1 veranschaulichten Netzstruktur mit einem Endgerät 11, einem Knotenrechner 41 und einer Zentraleinheit 61. Ein Hauptbestandteil des Endgerätes 11 ist ein Mikroprozessor 12, welcher über einen geräteinternen Bus 16 mit einer Spei- chereinrichtung 20, einer Bedienvorrichtung 13, einer Bildanzeigeeinheit 14, einer Nutzerdatenschnittstelle 15, einer kontaktierenden oder kontaktlosen Schnittstelle 16 zum Endgerätenetz 30 sowie einer Sicherheitsbox 17 verbunden ist. Die Speichereinrichtung 20 gliedert sich in an sich bekannter Weise in einen flüchtigen Abschnitt 21, üblicherweise in Gestalt eines RAMs, der insbesondere als Arbeitsspeicher für den Prozessor 12 dient, sowie einen nichtflüchtigen Abschnitt 22, der wiederum in einen nur lesbaren Bereich 23, üblicherweise in Gestalt eines ROMs, sowie einen les- und beschreibbaren Bereich 24, üblicherweise in Gestalt eines EEPROMs, gegliedert ist. Im Nur- Lesebereich 23 befinden sich insbesondere Urbetriebsprogra mdaten, wel- ehe für die Herstellung einer Grundbetriebsbereitschaft des Endgerätes 11 unerläßlich sind und die nachträglich nicht mehr verändert werden dürfen, insbesondere ein Urladeprogramm zum Laden von Programmpaketen zur Festlegung der Endgerätefunktionalität. Im les- und beschreibbaren Bereich 24 finden sich vorzugsweise alle Daten, die in Verbindung mit im nur lesba- ren Bereich 23 enthaltenen Urbetriebsprogrammdaten die Funktionalität des Endgerätes herstellen.
Die Bedienvorrichtung 13 ermöglicht einem Benutzer das Auslösen und/ oder das Weiterführen einer Transaktion. Sie verfügt dazu über Betätigungsmittel, mittels derer der Benutzer Steuersignale erzeugen kann, welche über den Bus 16 dem Prozessor 12 zugeführt werden. Die Eingabe der Steuersignale wird durch Anzeigen auf der Bildanzeigeeinheit 14 unterstützt. In einer gängigen Ausführungsform ist die Bedienvorrichtung als Tastenfeld ausgeführt, welches zweckmäßig in Form von Softkeys in die Bildanzeigeeinheit 14 integriert sein kann. Zur Erhöhung der Systemsicherheit kann die Bedienvorrichtung 13 Mittel zur Identifizierung eines Benutzers aufweisen, etwa biometrische Daten auswertende Einrichtungen wie eine Fingerabdruckerkennungseinrichtung.
Die Nutzerdatenschnittstelle 15 ist vorzugsweise als Lese-/ Schreibeinheit zur Kommunikation mit einem tragbaren Datenträger 80 ausgebildet, welcher für die nachfolgende Beschreibung einen Teil des Endgerätes 11 bildet. Der Datenträger 80 trägt einen Mikrocomputer 81, der seinerseits einen Mi- kroprozessor sowie einen Speicher aufweist, wobei letzterer grundsätzlich wie die Speichereinrichtung 20 aufgebaut sein kann. Die Kommunikation zwischen Nutzerdatenschnittstelle 15 und Mikrocomputer 81 kann kontaktbehaftet oder kontaktlos erfolgen. Der tragbare Datenträger 80 ist zweckmäßig als Chip- oder Magnetstreifenkarte ausgeführt, kann aber auch belie- bige andere Erscheinungsformen haben, etwa die Gestalt einer Armbanduhr.
Die Sicherheitsbox 17 unterstützt die Systemsicherheit und beinhaltet Informationen, mittels derer über die Schnittstelle 16 an das Endgerätenetz 30 ausgegebene und von dort eingehende Informationen ver- bzw. entschlüsselt werden, um so ein Ausforschen des über das Endgerätenetz 30 erfolgenden Datenverkehrs durch Unberechtigte zu verhindern.
Der tragbare Datenträger 80 enthält Informationen, die zur Durchführung einer Transaktion mit Hilfe des Endgerätes 11 benötigt werden. Solche Informationen können beispielsweise eine Kontonummer zur Durchführung einer Banktransaktion, ein Wertspeicherinhalt zur Durchführung eines Bezahlvorganges, der Name einer Versicherung zur Vorbereitung einer Krankenbehandlungsabrechnung oder ein Summenspeicherinhalt zur Aufzeich- nung von Bonusinformationen sein. Der Mikrocomputer 81 des tragbaren Datenträgers 80 kann darüber hinaus Daten zur Herstellung einer Endgerätefunktionalität enthalten. Weiterhin kann er betriebsnotwendige Bestandteile des endgeräteseitigen Prozessors 12, der endgeräteseitigen Speichereinheit 20 oder der Sicherheitsbox 17 enthalten, so daß ein Betrieb des Endgerätes 11 nur in Einheit mit dem tragbaren Datenträger 80 möglich ist. Soweit sie als Bestandteil des Datenträgers 80 ausgeführt sind, kann endgeräteseitig entsprechend auf den Prozessor 12, die Speichereinrichtung 20 und/ oder die Sicherheitsbox 17 ganz oder teilweise verzichtet werden. Auch andere Endgerätekomponenten 13, 14 können entsprechend teilweise oder ganz auf dem Datenträger 80 realisiert sein; Auswahl und Art der Verteilung sind dabei nach Zweckmäßigkeitsgesichtspunkten grundsätzlich frei gestaltbar.
Der oder die Knotenrechner 40, 41 bilden für die Endgeräte 10, 11 Server, welche die über die angeschlossenen End gerate 10, 11 ausgelösten Transak- tionen in Wechselwirkung mit den Endgeräten 10, 11 ausführen und dabei über das Hintergrundnetz 50 Verbindungen zwischen Endgeräten 10, 11 und Zentraleinheiten 60, 61 herstellen. Zur Durchführung dieser Funktionen sind die Knotenrechner 40, 41 mit entsprechend leistungsfähigen Prozessoreinheiten 44 sowie großen Speichereinrichtungen 45 ausgestattet. Über eine kon- taktlose oder kontaktbehaftete erste Schnittstelle 42 ist die Prozessoreinheit 44 mit dem Endgerätenetz 30 verbunden, über eine kontaktlose oder kontaktbehaftete zweite Schnittstelle 43 mit dem Hintergrundnetz 50. Zur Sicherung sowohl des Datenverkehrs zu den Endgerätes 10, 11 wie des Datenverkehrs zum Hintergrundnetz 50 hin verfügt der Knotenrechner 41 über eine Cipherbox 46. Sie verwaltet und verarbeitet Informationen zur Ver- bzw. Entschlüsselung des mit dem jeweiligen Endgerät 10, 11 bzw. der jeweiligen Zentraleinheit 60, 61 erfolgenden Datenaustausches. Ver- und Entschlüsselung basieren dabei auf an sich bekannten Mechanismen.
Eine wichtige Funktion des Knotenrechners 41 bildet die Herstellung der zur Durchführung einer Transaktion benötigten Endgerätefunktionalität nach Auslösen der Transaktion an einem End gerät 10, 11. In der Speichereinheit 45 befinden sich deshalb in der Regel eine Vielzahl von Daten zur Herstel- lurig von auf den angeschlossenen Endgeräten 10, 11 möglichen Funktionalitäten.
Die Zentraleinheiten 60, 61 haben typischerweise die Gestalt üblicher Rechenzentren, wie sie bei Netzbetreibern, Banken, Kreditkarteninstituten, La- dezentralen, Autorisierungszentralen, Servicezentralen und dergleichen zu finden sind. Da Zentraleinheiten 60, 61 in diesem Sinne hinlänglich bekannt sind und sie für das erfindungsgemäße System nur in ihren bekannten Funktionen genutzt werden, wird auf ihren Aufbau hier nicht näher eingegangen.
Eine charakteristische Eigenschaft des in Figur 1 dargestellten Transaktionssystems ist, daß den Endgeräten 10, 11 ihre jeweilige Funktionalität nicht fest zugeordnet ist, sondern durch Software festgelegt wird, die sie von den Knotenrechnern 41 erhalten. Die Festlegung kann dabei dauerhaft oder situati- onsabhängig wechselnd erfolgen. Vorteilhaft können wesentliche Teile einer Funktionalität in die Knotenrechner 40, 41 verlagert sein. Figur 2 veranschaulicht diese Eigenschaft anhand der Schrittfolge bei der Durchführung einer Transaktion.
Ein Benutzer löst zunächst über die Bedienvorrichtung 13 eine Transaktion aus, Schritt 100. Auf das Auslösesignal hin prüft der Endgeräteprozessor 12 , ob in der Speichereinheit 20 die Daten zur Herstellung der für die beabsichtigten Transaktion benötigten Funktionalität zur Verfügung stehen. Ist das der Fall, führt der Prozessor 12 die mit den vorhandenen Daten möglichen ersten Transaktionsschritte unmittelbar aus, Schritt 102. Beispielsweise veranlaßt der Prozessor 12 bei einer mittels einer Chipkarte 80 durchzuführenden Transaktion die dann als Leseeinheit ausgebildete Nutzerdatenschnittstelle 15 zum Auslesen der Kartendaten aus dem Speicher des Kartenmikro- Computers 81 sowie den Benutzer zur Eingabe weiterer Steuersignale über die Bedienvorrichtung 13, etwa einer Benutzeridentifizierungsinformation. Weiterhin erzeugt der Prozessor 12 eine Startsequenz, Schritt 106, die angibt, welche Transaktion ausgelöst wurde, und die eine Information enthält, die das jeweilige Endgerät 10, 11 identifiziert.
Ergibt die Prüfung in Schritt 102, daß die Daten zur Herstellung einer zur Durchführung einer Transaktion benötigten Funktionalität in der Speichereinheit 20 nicht vorhanden sind, bildet der Prozessor 12 nur die Startsequenz. Die Startsequenz, und, sofern vorhanden, die aufgrund erster ausge- führter Transaktionsschritte vorliegenden Daten verschlüsselt der Prozessor 12 mit Hilfe der in der Sicherheitsbox 17 enthaltenen Sicherungsinformationen und sendet sie über das Endgerätenetz 30 an den zugehörigen Knotenrechner 41. Dessen Prozessoreinheit 44 empfängt die Daten über die Schnittstelle 42 und entschlüsselt sie mit Hilfe der in der Cipherbox 46 enthaltenen Entschlüsselungsinformationen. Die entschlüsselten Daten prüft die Prozessoreinheit 44 sodann darauf, ob sie nur aus einer Startsequenz bestehen oder bereits die Ergebnisdaten erster Transaktionsschritte beinhalten, Schritt 110. In erster em Fall ermittelt die Prozessoreinheit 44 aus der Startsequenz die zur Durchführung der ausgelösten Transaktion benötigte Endgerätefunktionalität und prüft, ob die dazugehörenden Daten in der Speichereinheit 45 des Knotenrechners 41 vorhanden sind. Ist das nicht der Fall, fordert die Prozessorein- heit 44 sie über das Hintergrundnetz 50 von einer Zentraleinheit 60, 61 an. Sind die erforderlichen Daten vorhanden, stellt die Prozessoreinheit 44 sie zur Übermittlung an das Endgerät 11 bereit, Schritt 116.
Ergibt die Prüfung im Schritt 110, daß die vom Endgerät 10, 11 erhaltenen ersten Daten bereits Ergebnisse erster ausgeführter Transaktionsschritte beinhalten, bearbeitet die Prozessoreinheit 44 diese und erzeugt erste Antwortdaten. Dabei führt sie in der Regel über das Hintergrundnetz 50 einen Datenaustausch mit den Zentraleinheiten 60, 61.
Im Anschluß an die Bearbeitung der Erstdaten prüft die Prozessoreinheit 44, ob dem Endgerät 11 für die Ausführung der nächsten Transaktionsschritte weitere Daten zur Herstellung der benötigten Funktionalität zuzuführen sind, Schritt 114. Bejahendenfalls fährt sie mit der Durchführung des Schrittes 116 fort und prüft, ob die noch benötigten Daten in der Speichereinheit 45 vorhanden sind. Stellt sie dabei fest, daß benötigte Daten in der Speichereinheit 45 nicht vorhanden sind, fordert sie sie über das Hintergrundnetz 50 von der entsprechenden Zentraleinheit 60, 61 an. Die Daten, sofern solche benötigt werden, sowie die ersten Antwortdaten sendet der Knotenrechner 40, 41 sodann über das Endgerätenetz 30 an das End gerät 11. Handelt es sich bei den vom Knotenrechner 41 zurückgesandten Antwortdaten ausschließlich um Daten zur Herstellung einer Funktionalität, d.h. waren die erforderlichen Daten beim Auslösen der Transaktion in der Speichereinheit 20 des Endgerätes 11 nicht vorhanden, übernimmt der Endgeräteprozessor 12 die Daten in die Speichereinheit 20. Anschließend veranlaßt er die Ausführung der ersten Transaktionsschritte. Die daraus resultierenden Erstdaten sendet er zurück an den Knotenrechner 41, welcher darauf die Schrittfolge 102 fortfolgend ausführt.
Beinhalten die vom Knotenrechner 41 an ein Endgerät 11 zurückgesandten Daten weiterführende Antwortdaten, veranlaßt der Endgeräteprozessor 12 die Ausführung der nächsten Transaktionsschritte. Wurden dabei mit den weiterführenden Antwortdaten weitere Daten zur Herstellung der zur Durchführung der Transaktion benötigten Funktionaltität übermittelt, übernimmt er diese in die Speichereinheit 20 und verwendet sie unmittelbar zur Ausführung der nächsten Transaktionsschritte.
Die Daten zur Herstellung der Funktionalität zur Durchführung der Trans- aktion können nach Abschluß der Transaktion in der Speichereinheit erhalten bleiben. Bei der nächsten Ausführung der Transaktion führt der Endgeräteprozessor 12 dann die ersten Transaktionschritte nach dem Auslösen einer Transaktion unmittelbar durch, ohne vorher die Daten zur Herstellung der benötigten Funktionalität vom Knotenrechner 41 anzufordern. Das End- gerät 11 kann die aufgrund einer Funktionalität möglichen Transaktionen jederzeit ohne Notwendigkeit zur Anforderung von Daten von einem Knotenrechner 40, 41 erneut ausführen. Vorgesehen sein kann andererseits, daß die Daten zur Herstellung der Funktionalität für eine Transaktion nach Abschluß der Transaktion jeweils wieder gelöscht werden. Der Endgeräteprozessor 12 lädt dann bei jeder Transaktionsausführung die zur Herstellung der benötigten Funktionalität notwendigen Daten jeweils neu. Die Speichereinrichtung 20 kann in diesem Fall neben dem Bereich 23 zur Speicherung der Urprogrammdaten nur aus einem flüchtigen Speicherbereich 21 bestehen.
Die Übertragung von zur Herstellung der Funktionalität für eine bestimmte Transaktion benötigten Daten muß nicht zwingend durch Auslösen der Transaktion selbst ausgelöst werden. Sie kann vielmehr auch unabhängig vom tatsächlichen Auslösen einer bestimmten Transaktion erfolgen. Auslöser können beliebige, definierte Ereignisse sein. Beispielsweise kann vorgesehen sein, beim erstmaligen Anschluß eines Endgerätes an ein Netz die Da- ten für die wichtigsten oder die am häufigsten ausgeführten Transaktionen in das Endgerät zu übertragen. In einer Variante hierzu werden Daten für die wichtigsten oder die am häufigsten ausgeführten Transaktionen geladen, wenn erstmals eine beliebige der wichtigsten oder häufigsten Transaktionen ausgelöst wird. Ein weiteres mögliches Auslöseereignis ist die regelmäßig oder auf Anforderung vorgenommene Durchführung von Service- oder Wartungsmaßnahmen an den Endgeräten. In allen Fällen kann eine einmal ausgelöste Datenübertragung zur regelmäßigen Aktualisierung von in einem Endgerät bereits eingerichteten Funktionalitäten genutzt werden; im Speicher des Endgerätes werden dabei überholte Versionen mit aktuellen über- schrieben.
Fig. 4 veranschaulicht einen möglichen Ablauf einer nicht unmittelbar transaktionsgebundenen Datenübertragung vom Knotenrechner zum Endgerät. Der Ablauf wird durch Eintritt eines vorbestimmten Ereignisses eingeleitet, Schritt 101, etwa durch Erreichen eines Servicezeitpunktes.
Das Endgerät 11 bildet darauf wieder eine Startsequenz, Schritt 106, die an- gibt, welche Transaktion ausgelöst wurde, und die eine Information enthält, die das jeweilige Endgerät 11 identifiziert.und sendet sie an den zugehörigen Knotenrechner.
Der Knotenrechner 41 prüft, ob die Startsequenz unmittelbar eindeutig zu übertragende Daten festlegt, Schritt 111.
Ist das nicht der Fall, erzeugt der Knotenrechner eine Anfrage zur Feststellung der dem Endgerät zu übertragenden Daten und sendet diese an das Endgerät, Schritt 113.
Das Endgerät führt die Anfrage aus und benennt dem Knotenrechner in einer entsprechenden Rückmeldung die gewünschten Daten, Schritt 115.
Der Knotenrechner 41 prüft darauf, ob die benötigten Daten in der Spei- chereinheit 45 vorhanden sind. Stellt er dabei fest, daß benötigte Daten in seiner Speichereinheit 45 nicht vorhanden sind, fordert er sie über das Hintergrundnetz 50 von der entsprechenden Zentraleinheit 61 an. Die Daten sendet er sodann über das Endgerätenetz 30 an das Endgerät 1, Schritt 119.
Folgen die Informationen über die zu übertragenden Daten direkt aus der Startsequenz bei deren Prüfung in Schritt 111, führt der Knotenrechner unmittelbar Schritt 119 aus. Vorgesehen sein kann ferner, die Endgeräte bereits im Neuzustand mit einer Auswahl von Funktionalitäten auszurüsten. Die Auswahl kann zweckmäßig die wichtigsten oder die am häufigsten benutzten Funktionalitäten umfassen. Sofern insbesondere die Speicherkapazität das zuläßt, können auch alle möglichen Funktionalitäten auf einem Endgerät eingerichtet sein.
Figur 5 veranschaulicht einen möglichen Datenaustausch zwischen einem Knotenrechner 41 und einem als Zahlungsverkehrterminal eingesetzten Endgerät 11. Bei dem dargestellten Datenaustausch sind wesentliche Teile der Funktionalität im Knotenrechner 41 realisiert. Es sei angenommen, daß die Daten zur Herstellung der Funktionalität "Zahlungsverkehr" bereits in der Speichereinheit 20 des Endgerätes 11 vorhanden sind und daß die mittels des Endgerätes 11 ausführbaren Transaktionen die Verwendung einer Chipkarte 80 voraussetzen. Bei der Transaktion handele es sich um einen Zah- lungs vor gang, der die Umbuchung eines Geldbetrages von einem zu der Chipkarte 80 korrespondierenden Konto bei einer ersten Bank mit der Zentraleinheit 61 auf ein Konto bei einer zweiten Bank mit der Zentraleinheit 61 nach sich ziehe. Bei dem Endgerät 11 handele es sich um um ein bei einem Händler installiertes Terminal, zu dem im zugeordneten Knotenrechner 41 eine virtuelle Händlerkarte, d.h. ein in Prograrnmform realisierter Datenträger nach Art einer Chipkarte angelegt sei.
Das Auslösen der Zahlungstransaktion erfolgt durch Einbringen der Chipkarte 80 in die als Leseeinrichtung ausgeführte Nutzerdatenschnittstelle 15. Erkennt das Endgerät 11, daß eine Transaktion durchgeführt werden soll, erfolgt zweckmäßig zunächst in bekannter Weise eine Prüfung der Berechtigung des Benutzers zur Verwendung der Karte 80, etwa durch Prüfen einer PIN. Fällt diese Prüfung positiv aus, liest das Endgerät 11 aus dem Speicher 83 der Chipkarte allgemeine Kartendaten aus, etwa eine Kartennummer und/oder eine Bankverbindung. Ermöglicht die Karte mehrere verschiedene Transaktionen, ist sie etwa wahlweise als Geldbörse oder als Debit- oder Kreditkarte betreibbar, veranlaßt das End gerät 11 den Benutzer durch Anzeige auf der Bildanzeigevorrichtung 14 zur Auswahl einer Transaktion, d.h. zur Auswahl einer Zahlungsart. Darauf veranlaßt es den Benutzer durch Anzeige auf der Bildanzeigevorrichtung 14 zur Eingabe eines Betrages, der umgebucht werden soll. Desweiteren stellt das Endgerät 11 Daten zur Terminalidentifikation sowie eine Datumsinformation bereit. Aus allgemeinen Kartendaten, Betrag, Terminalinformationsdaten sowie Datumsinformation bildet das Endgerät eine Startsequenz, Schritt 200, welche es an den Knotenrechner 41 sendet. Das Senden der Startsequenz und der gesamte nachfolgende Datenaustausch zwischen Endgerät 11 und Knotenrechner 41 erfolgen verschlüsselt, wobei für die Verschlüsselung an sich bekannte Verfahren eingesetzt werden. Ein erster Schlüssel ist zweckmäßig dem Endgerät 11 zuge- ordnet und wird im Rahmen der Startsequenz oder gegebenenfalls in einem vorgeschalteten Schritt aufgrund der Endgeräteidentifikation gebildet. Er dient nachfolgend als übergreifender Transportschlüssel, mit dem der gesamte Datenaustausch zwischen Endgerät 11 und Knotenrechner 41 abgesichert wird. Ein weiterer Schlüssel ist zweckmäßig der Chipkarte 80 zuge- ordnet und wird zur Bildung von Datensicherungscodes genutzt, um insbesondere die Unversehrtheit von Daten prüfen zu können.
Der Knotenrechner 41 ermittelt die zu der in der Startsequenz bezeichneten Bankverbindung korrespondierende Zentraleinheit 61, bei der das zu der Karte 80 gehörende Konto angelegt ist, Schritt 202. Mit der ermittelten Zentraleinheit 61 beginnt er einen Datenaustausch. Darin wird beispielsweise zunächt geprüft, ob der beabsichtigte Zahlungvorgang überhaupt zugelassen ist. Ist die beabsichtigte Transaktion danach grundsätzlich möglich, übermittelt der Knotenrechner 41 dem Endgerät 11 Daten, welche das End- gerät 11 zur Ausführung der beabsichtigten Transaktion einrichten und insbesondere Befehle umfassen, welche die Nutzerdatenschnittstelle 15 zur Ausführung von weiteren Zugriffen auf die Chipkarte 80 veranlassen, Schritt 204. Daneben enthalten die Daten Befehle, welche das Endgerät 11 veranlas- sen, mitzuteilen, wer der Empfänger bzw. der Geber einer Zahlung sein soll.
Die erhaltenen Daten und Chipkartenbefehle führt das Endgerät 11 aus, Schritt 206. Ist die Chipkarte 80 zur Ausführung einer Abbuchung vorbereitet, übersendet das Endgerät 11 dem Knotenrechner 41 nach Verschlüsselung eine Rückmeldung, Schritt 208, welche im zugrundegelegten Beispiel eine Information beinhaltet, daß von der Karte eine Zahlung auf die dem Endgerät zugehörige virtuelle Händlerkarte erfolgen soll.
Der Knotenrechner 41 bestimmt aus der Rückmeldung, wem ein von der Karte 80 oder dem zugehörigen Konto ab- bzw. aufzubuchender Betrag gutgeschrieben bzw.belastet werden soll, im angenommenen Beispiel der virtuellen Händlerkarte. Anhand der in der Startsequenz zugesandten Terminalinformationsdaten liest der Knotenrechner 41 daher den Speicher der virtuellen Händlerkarte aus, und ermittelt die der Händlerkarte zugehörige Zentraleinheit 60. Mit dieser eröffnet er sodann einen Datenaustausch, Schritt 210, um die virtuelle Händlerkarte zum Aufbuchen einzurichten.
Sind Chipkarte 80 und Händlerkarte vorbereitet, sendet der Knotenrechner 41 dem Endgerät 11 Buchungsbefehle, die endgeräteseitig die Eintragung der Abbuchung im Speicher der Chipkarte 80 bewirken, Schritt 218. Parallel dazu vermerkt er im Speicher der virtuellen Händlerkarte die entsprechende Aufbuchung und veranlaßt in einem Datenaustausch über das Hintergrundnetz 50 die Ausführung der Buchung zwischen den beteiligten Zentraleinheiten 60, 61. Das Endgerät 11 nimmt die Eintragung der Abbuchung auf der Chipkarte vor, Schritt 220, und quittiert den Abschluß der Transaktion durch Rücksendung einer bestätigenden Rückmeldung an den Knotenrechner 41, Schritt 222.
Ist der buchungtechnische Teil der Transaktion beendet, erzeugt der Knotenrechner 41 Steuerdaten, welche das End gerät 11 zur Darstellung einer Beleganzeige über die ausgeführte Transaktion, d.h. über den ausgeführten Bu- chungsvorgang auf der Bildanzeigevorrichtung 14 veranlassen, Schritt 224. Ist dem Endgerät 11 eine Belegausgabe zugeordnet, etwa in Gestalt eines Druckers, erzeugt der Knotenrechner 41 zweckmäßig auch Steuerdaten zum Ausdruck eines Beleges. Die Steuerdaten sendet er an das Endgerät 11, das sie ohne weitere Verarbeitung zur Ausführung bringt, Schritt 226.
Fig. 6 veranschaulicht als weitere mögliche Nutzung des in Fig. 2 dargestellten Transaktionssystems eine Variante, in der das Endgerät 11 zur Ausgabe elektronischer Fahrscheine genutzt wird. Es wird angenommen, daß der elektronische Fahrschein die Gestalt eines Datensatzes hat, welcher in den Speicher einer Chipkarte 80 eingebracht wird. Das End gerät 11 besitzt entsprechend eine Nutzerdatenschnittstelle 15 in Gestalt einer Chipkartenkon- taktiereinheit.
Das Auslösen einer Fahrscheinausgabetransaktion erfolgt, indem der Kunde dem Endgerät 11 die Chipkarte 80 präsentiert und/ oder z.B. über die Bedienvorrichtung 13 mitteilt, daß er die Transaktion „elektronischer Fahrschein" ausführen will, Schritt 300, um einen elektronischen Fahrschein zu erwerben. Erkennt das Endgerät 11 hierauf, daß eine Fahrscheinausgabetransaktion durchgeführt werden soll, kann zunächst eine Prüfung der Be- rechtigung des Kunden zur Verwendung der Chipkarte 80 für die vorgesehene Transaktion vorgesehen sein, etwa in bekannter Weise durch Prüfen einer PIN.
Steht fest, daß die Transaktion „elektronischer Fahrschein" ausgeführt werden soll und daß der Kunde zur Durchführung der Transaktion berechtigt ist, ermittelt das Endgerät 11 die Kartennummer der Chipkarte 80 und prüft, ob es zur weiteren Ausführung einer Transaktion „elektronischer Fahrschein" eingerichtet ist, Schritt 302. Ist das nicht der Fall, stellt es ferner fest, ob ausreichend Freispeicherraum zur Einrichtung der Funktionalität verfügbar ist.
Nachfolgend erzeugt das Endgerät 11 eine Startsequenz 306, welche die Kartennummer sowie eine Endgeräteidentifikation beinhaltet. Ist die zur Durch- führung der Transaktion „elektronischer Fahrschein" benötigte Funktionalität in der Speichereinheit 20 des Endgerätes 11 nicht vorhanden, beinhaltet die Startsequenz 306 weiterhin eine Information, welche anzeigt, daß das Endgerät 11 die, im folgenden Applikation genannten Daten zur Einrichtung der Funktionalität benötigt.
Die Startsequenz 306 wird mittels eines dem Endgerät 11 zugeordneten, übergreifenden Transportschlüssels verschlüsselt, welcher unter Verwendung der Endgeräteidentifikation im Rahmen der Startsequenz oder in einem vorgeschalteten, gesonderten Datenaustausch nach einem üblichen Ver- fahren generiert wird. Mit dem Transportschlüssel wird der gesamte nachfolgende Datenaustausch zwischen Endgerät 11 und Knotenrechner 41 abgesichert. Erzeugung und Nutzung des Schlüssels beruhen dabei in an sich bekannter Weise darauf, daß die Kornmunikationsteilnehmer unabhängig voneinander jeweils ein Geheimnis kennen, das nicht über das Endgerä- tenetz 30 zwischen Endgerät 11 und Knotenrechner 41 ausgetauscht werden kann. Das Geheimnis ist auf der einen Seite im Endgerät 11, vorzugsweise in der Sicherheitsbox 17, fest abgelegt und wird auf der anderen Seite im Knotenrechner 41 oder über das Hintergrundnetz 50 durch die Zentraleinheiten 60, 61 verwaltet. Ist ein zur Generierung eines Schlüssels notwendiges Geheimnis in einem Knotenrechner 41 nicht verfügbar, beschafft dieser es sich von der verwaltenden Zentraleinheit 60, 61.
Die verschlüsselte Startsequenz 306 übersendet das Endgerät 11 an den zu- geordneten Knotenrechner 41. Dessen Prozessoreinheit 44 prüft nach Erhalt - und Entschlüsselung - der Startsequenz 306, ob die Applikation „elektronischer Fahrschein" in der Speichereinheit 45 des Knotenrechners 41 vorhanden ist, Schritt 308. Ist das nicht der Fall ermittelt der Knotenrechner 41, etwa mit Hilfe der Endgeräteinformation, eine Zentraleinheit 60, 61, wel- ehe über die die Applikation resalisierenden Daten verfügt und fordert über das Hintergrundnetz 50 von ihr die Daten an. Liegen Applikationsdaten bereit, Schritt 310, übermittelt der Knotenrechner 41 sie an das End gerät 11.
Dessen Prozessor 12 übernimmt die Applikationsdaten in die Speicherein- heit 20 und führt die eingerichtete Funktionalität aus, Schritt 312. Das Endgerät 11 fordert den Kunden hierbei über die Bildanzeigevorrichtung 14 auf, einen Fahrschein auszuwählen. Die Auswahl erfolgt benutzergeführt im Dialog. Der Kunde macht dabei mittels der Bedienvorrichtung 13 jeweils gemäß einer Aufforderung durch die Bildanzeigevorrichtung 14 Angaben, die zur Ermittlung des benötigten Fahrscheines erforderlich sind, etwa Start- und Zielort, Fahrzeitpunkt, Anzahl der Personen, Reiseklasse usw., Schritt 314. Sind in das Endgerät 11 alle zur Ermittlung eines Fahrscheines notwendigen Angaben eingegeben worden, übermittelt das Endgerät 11 die Auswahldaten an den Knotenrechner 41. Aus den vom Endgerät 11 erhaltenen Angaben zur Fahrscheinauswahl ermittelt der Knotenrechner 41 einen den elektronischen Fahrschein repräsentierenden Datensatz, Schritt 316. Zweckmäßig ist der Knotenrechner 41 dabei dazu eingerichtet, einfache und besonders häufig angeforderte Fahrscheinermittlungen, etwa die Ermittlung eines Fahrscheines des lokalen Verkehrsbetriebes, unmittelbar durch die Prozessoreinheit 44 des Knotenrechners 41 vorzunehmen. In vielen Fällen bedingt die Ermittlung eines Fahrscheines allerdings komplexe Programmabläufe, die üblicherweise die Einschaltung einer Zentraleinheit 60, 61 über das Hintergrundnetz 50 erfordern. Der resultierende Fahrscheindatensatz beinhaltet neben den für die Ermittlung verwendeten Informationen ggf. die möglichen Fahrscheinalternativen sowie insbesondere den oder die Fahrpreise.
Sodann generiert der Knotenrechner 41 aus der Kartennummer sowie einem Geheimnis, das auch in der Chipkarte 80 fest abgelegt ist, einen chipkartenspezifischen Schlüssel, welcher nachfolgend zur Bildung eines Datensicherungscodes dient, Schritt 318.
Hat der Knotenrechner 41 einen chipkartenspezifischen Schlüssel erzeugt, bildet er damit zu dem resultierenden Fahrscheindatensatz einen Datensicherungscode, etwa einen MAC (Message Authentication Code) und verschlüsselt den resultierenden, aus Fahrscheindatensatz und Datensicherungscode bestehenden Fahrscheindatenblock mit Hilfe des Transportschlüssels, Schritt 320. Den resultierenden verschlüsseltem Fahrscheindatenblock übermittelt der Knotenrechner 41 an das End gerät 11.
Den angekommenen Fahrscheindatenblock entschlüsselt das End gerät 11 mit Hilfe des Transportschlüssels, den es, z. B. in der Sicherheitsbox 17, auf gleiche Weise wie der Knotenrechner 41 generiert. Dabei führt das Endgerät 11 zugleich eine Vorprüfung der Unversehrtheit des Fahrscheindatensatzes durch, indem es z.B. prüft, ob der entschlüsselte Fahrscheindatensatz an definierten Posititonen bestimmte Werte aufweist. Den entschlüsselten Fahr- scheindatensatz leitet das Endgerät 11 an die Chipkarte 80 weiter, welche durch Überprüfung des Datensicherungscodes mittels des auf der Chipkarte 80 vorhandenen chipkartenspezifischen Schlüssels seine Unversehrtheit kontrolliert.
Erweist sich der Fahrscheindatensatz danach als unversehrt, fordert das Endgerät 11 den Kunden durch entsprechende Darstellung auf der Bildanzeigeeinheit 14 dazu auf, den elektronischen Fahrschein auf Richtigkeit zu prüfen und den Kauf zu bestätigen, Schritt 322. Beinhaltet der Fahrscheindatensatz mehrere mögliche elektronische Fahrscheinalternativen, fordert das Endgerät 11 den Kunden dabei auf, eine Auswahl aus den angebotenen Alternativen zu treffen. In einfachen, alternativlosen Fällen, beispielsweise bei Kauf eines Fahrscheins für einen lokalen Verkehrsbetrieb, sind Auswahl und Kaufbestätigung durch den Kunden nicht erforderlich.
Ist der an das Endgerät 11 übersandte elektronische Fahrschein danach durch den Kunden akzeptiert, wird der bestätigte, den ausgewählten Fahrschein ausmachende Teil des Fahrscheindatensatzes zunächst in der Speichereinrichtung 20 des Endgerätes 11 zwischengespeichert, Schritt 324. Desweiteren veranlaßt das Endgerät 11 die Bezahlung des elektronischen Fahr- Scheins, Schritt 326. Der Bezahlvorgang kann durch Barzahlung oder etwa, wie in Zusammenhang mit Fig. 5 beschrieben, durch Einziehung von auf der Chipkarte 80 gespeicherten elektronischen Geld erfolgen. Ist der Bezahlvorgang abgeschlossen, erzeugt der Knotenrechner 41 ein Quittungssignal, Schritt 328, welches er an den Knotenrechner 41 übermittelt.
Nach Erhalt des Quittungssignales erzeugt der Knotenrechner 41 einen Steuerbefehl, welcher den Prozessor 12 des Endgerätes 11 veranlaßt, den in der Speichereinrichtung 20 abgelegten Fahrscheindatensatz auf die Chipkarte 80 zu übertragen.
Das Endgerät 11 nimmt die Übertragung des elektronischen Fahrscheines auf die Chipkarte vor, Schritt 330, und quittiert den Abschluß der Transaktion durch Rücksendung einer bestätigenden Rückmeldung an den Knotenrechner 41, Schritt 332. An den Eingang dieser Rückmeldung im Knotenrechner 41 kann sich beispielsweise die Ausgabe eines Beleges, etwa durch einen dem Endgerät 11 zugeschalteten Drucker anschließen.
Fig. 7 veranschaulicht als weitere mögliche Nutzung des in Fig. 2 dargestellten Transaktionssystems eine Variante, in der ein Endgerät in einem Krankenversicherungskartensystem eingesetzt ist. Es wird angenommen, daß die Krankenversicherungskarte wiederum die Gestalt einer Chipkarte 80 aufweist und die Funktionalität zur Handhabung von Krankenversicherungskarten in der Speichereinheit 20 des Endgerätes 11 bereits vorhanden ist. Das Endgerät 11 befindet sich beispielsweise in einer Arztpraxis, einem Krankenhaus oder einer Institution zur Abrechnung medizinischer Leistungen, etwa einer Krankenversicherung. Dem medizinischen Personal sind dabei in Bezug auf die Krankenversicherungskarte 80 andere Zugriffsrechte eingeräumt als den Angehörigen der Krankenversicherung. Eine Transaktion unter Verwendung einer, nachfolgend einfach als Karte bezeichneten Krankenversicherungskarte 80 wird eingeleitet, indem die Karte 80 der Nutzerdatenschnittstelle 15 des Endgerätes 11 präsentiert wird, Schritt 400. Das Endgerät 11 betätigt darauf über die Bildanzeigeeinheit 14, daß eine Transaktion unter Verwendung einer Krankenversicherungskarte angefordert wurde und fordert - im Normalbetrieb - den Bediener auf anzugeben, ob er auf die Karte 80 nur lesend oder schreibend und lesend zugreifen möchte, Schritt 402. Weiter fordert es den Bediener auf, Schritt 404, anzugeben, auf welche auf der Karte 80 abgelegten Daten er zugreifen möchte. Die in der Speichereinrichtung der Karte 80 gehaltenen Daten sind zweckmäßig nach ihrer sachlichen Natur, z.B. abrechnungstechnisch oder medizinisch gegliedert, wobei diese Gliederung weiter z.B. nach Art des medizinischen Fachgebietes feinunterteilt ist. Die Gliederungsbereiche sind einzeln oder in Gruppen durch gebietsbezogene Zugriffsschlüssel gegen Lese- und Schreibzugriffe geschützt. Die Zugriffsschlüssel leiten sich vorzugsweise aus dem kartenspezifischen Schlüssel sowie einer den Bediener, etwa einen Arzt, oder den Gliederungsbereich, etwa ein medizinisches Fachgebiet, charakterisierenden Information ab.
Steht fest, welche Art Zugriff auf welchen Bereich der Karte 80 der Bediener wünscht, fordert das Endgerät 11 den Bediener über die Bildanzeigeeinheit 14 auf, sich zu identifizieren, Schritt 406. Dies kann beispielsweise mittels der Bedienvorrichtung 13 durch Eingabe eines Codes zur Identifizierung eines Arztes, eines Krankenhauses oder einer Krankenversicherung erfolgen. Desweiteren ermittelt das Endgerät 11 die Kartennummer der Karte 80.
Aus den Angaben über gewünschte Zugriffsart, Kartenbereich, auf den zugegriffen werden soll, Identifikationscode, Nummer der präsentierten Karte 80 sowie aus der Endgeräteidentifikation bildet das Endgerät 11 eine Startse- quenz, Schritt 408, welche sie an den zugeordneten Knotenrechner 41 übermittelt. Die Übermittlung erfolgt verschlüsselt unter Verwendung eines Transportschlüssels, welcher unter Verwendung der Endgeräteidentifikation gegebenenfalls in einem vorgeschalteten Datenaustauschschritt generiert und mit dem der gesamte nachfolgende Datenaustausch zwischen Endgerät 11 und Knotenrechner 41 abgesichert wird.
Nach Eingang der Startsequenz 408 im Knotenrechner 41 bildet dieser mit Hilfe der Kartennummer sowie eines der Karte 80 zugeordneten Geheimnis- ses einen kartenspezifischen Schlüssel. Ist das Geheimnis dabei nicht im
Knotenrechner 41 selbst verfügbar, ermittelt er es über das Hintergrundnetz 50 von der verwaltendendem Zentraleinheit 60, 61.
Sodann prüft der Knotenrechner 41, ob sich die zur Bewertung der Startse- quenz 408 notwendigen Informationen im Speicher 45 befinden. Ist das nicht der Fall, ermittelt er eine zur Bewertung der Startsequenz geeignete Zentraleinheit 60 und leitet mit dieser über das Hintergrundnetz 15 einen Datenaustausch ein, Schritt 412. Im Rahmen des folgenden Datenaustausches prüft der Knotenrechner 41 unter Verwendung des mit der Startsequenz 408 übe- tragenen Bedieneridentifikationscodes, ob der vom Bediener gewünschte Zugriff auf die Karte 80 zulässig ist. Ist das der Fall, werden im Knotenrechner 41 Einrichtungsdaten bereitgestellt, welche das Endgerät 11 befähigen, den gewünschten Zugriff auf die Karte 80 durchzuführen, Schritt 414. Vorzugsweise beinhalten die Einrichtungsdaten hierfür einen oder mehrere je- weils einzelnen Bereichen der Karte 80 zugeordnete Zugriffsschlüssel.
Zu den Einrichtungsdaten bildet der Knotenrechner 41 sodann mittels des kartenspezifischen Schlüssels einen Datensicherungscode, Schritt 416. Der aus Einrichtungsdaten und Datensicherungscode bestehende Datensatz wird anschließend mit dem Transportschlüssel verschlüsselt und an das Endgerät 11 übersandt.
Jenes entschlüsselt den eingegangenen Datensatz mit Hilfe des Transport- schlüsseis und führt dabei zugleich eine Vorprüfung des Datensatzes auf Unversehrtheit durch, z.B. durch Prüfen des Vorhandenseins bestimmter Datenwerte an definierten Positionen des Datensatzes. Fällt die Vorprüfung positiv aus, übermittelt das Endgerät 11 die Einrichtungsdaten an die Karte 80. Diese kontrolliert die Einrichtungsdaten mit Hilfe des kartenspezifischen Schlüssels durch Prüfen der Richtigkeit des Datensicherungscode auf Unversehrtheit. Wird die Unversehrheit der Einrichtungsdaten festgestellt, kann anschließend über das Endgerät 11 der gemäß den Einrichtungsdaten mögliche Zugriff auf die Karte 80 durchgeführt werden.
Neben den im Normalbetrieb durchführbaren Zugriffen ist im Endgerät 11 zweckmäßig noch eine Zugriffsart für Notfälle eingerichtet. Ausgelöst wird eine Notfalltransaktion wie eine Transaktion im Normalbetrieb, jedoch identifiziert sich der Bediener im Schritt 406 nicht durch eine persone individuel- le Identifikation, sondern durch eine Notfallidentifikation.
Erkennt der Knotenrechner 41 bzw. eine Zentraleinheit 60, 61, nach Erzeugung eines Schlüssels zur Bildung eines Datensicherungscodes sowie eines Transportschlüssels, bei der Bewertung der Startsquenz 408 eine Notfallidentifikation, stellt er im Knotenrechner 41 anhand der Kartennummer einen Satz von Zugriffsschlüsseln bereit, welcher zumindest einen Lesezugriff auf alle auf der Krankenversicherungskarte 80 befindlichen medizinischen Daten ermöglicht. Zur Beschleunigung der Transaktionsausführung kann vorgesehen sein, daß auf eine zusätzliche Prüfung der Berechtigung des Bedieners verzichtet wird. Den Zugriffsschlüsseldatensatz versieht der Knotenrechner mit einem Datensicherungscode, Schritt 416, verschlüsselt beide mit dem Transportschlüssel und übermittelt den resultierenden Datensatz an das Endgerät 11.
Dieses entschlüsselt den eingegangenen Datensatz wieder mit dem Transportschlüssel und leitet ihn der Karte 80 zur Prüfung auf Unversehrtheit mittels des kartenspezifischen Schlüssels weiter. Wird Unversehrtheit des übermittelten Schlüsseldatensatzes festgestellt, erlaubt das Endgerät 11 den Lesezugriff auf sämtliche auf der Karte 80 vorhandenen medizinischen Da- ten.
Unter Beibehaltung des grundlegenden Konzeptes, in einem Transaktionssystem die Funktionalität der nutzerseitigen Endgeräte durch vorgeschaltete Knotenrechner zu bestimmen, lassen sich das vorgeschlagene System, die zu seiner Realisierung eingesetzten Komponenten sowie das Betriebsverfahren in weitem Rahmen variieren. Dies gilt etwa für die physikalische Struktur der Endgeräte 10, 11. Deren Komponenten können zusammengefaßt sein, indem Speichereinheit 20, Prozessor 12, Kryptobox 17 und Bedienvorrichtung 13 beispielsweise eine Einheit bilden. An ein Endgerätenetz 30 können mehrere Knotenrechner 40, 41 angeschlossen sein, welche zur Ausführung unterschiedlicher Transaktionen dienen. Die möglichen Nutzungen des Systems sind selbstverständlich nicht auf die beschriebenen Ausführungsbeispiele beschränkt. Neben der Art der Transaktionen kann dabei insbesondere auch die Verteilung der Funktionalität auf Endgeräte und Knotenrechner variiert werden. Dabei kann sich die in den Endgeräte zugeordnete Funktionalität einerseits auf das Durchreichen von Daten an einen Datenträger beschränken, andererseits kann eine weitgehende Datenverarbeitung unmittelbar durch ein Endgerät eingerichtet werden. Ohne Beeinträchtigung des grundlegenden Gesamtkonzeptes läßt sich ferner das Verschlüsselungskon- zept mit Transportschlüssel und datenträgerbezogenem Schlüssel in einem weiten Rahmen variieren, wobei eine Verschlüsselung auf der einen Seite gänzlich entfallen, auf der anderen Seite zusätzliche Verschlüsselungen vorgesehen sein können.

Claims

P a t e n t a n s p r ü c h e
1. System zur Ausführung von Transaktionen mit einer Mehrzahl von Endgeräten, welche zur Ausführung einer Viel- zahl verschiedener Transaktionen geeignet sind, sowie einem Knotenrechner, der über ein Endgerätenetz mit den Endgeräten verbunden ist, wobei die Eignung eines Endgerätes zur Ausführung einer Transaktion über einen Knotenrechner herstellbar ist, indem dieser dem Endge- rät Daten übermittelt, welche dort die zur Ausführung der Transaktion benötigte Funktionalität einrichten, dadurch gekennzeichnet, daß zumindest ein Endgerät (10, 11) dazu ausgebildet ist, während seiner üblichen Nutzung die Einrichtung zur Ausführung einer weiteren Transaktion zu veranlassen, indem es auf ein im Zusammenhang mit der Ausführung einer Transaktion erzeugtes Auslösesignal hin von einem Knotenrechner (40, 41) Daten anfordert, welche die zur Ausführung der weiteren Transaktion benötigte Funktionalität herstellen.
2. System nach Anspruch 1, dadurch gekennzeichnet, daß die Ausführung wenigstens einer Transaktion in Wechselwirkung zwischen einem Endgerät (10, 11) und einem Knotenrechner (41) erfolgt.
3. System nach Anspruch 1, dadurch gekennzeichnet, daß das Endgerät (10, 11) die Übermittlung der Daten zur Einrichtung der Funktionalität zur Ausführung der Transaktion veranlaßt.
4. System nach Anspruch 3, dadurch gekennzeichnet, daß das Endgerät (10, 11) eine Datenübermittlung auf den Eintritt eines vorbestimmten Ereignisses im Endgerät (10, 11) hin veranlaßt.
5. System nach Anspruch 3, dadurch gekennzeichnet, daß das Endgerät (10, 11) eine Datenübermittlung auf das Auslösen der bestimmten Transaktion im Endgerät (10, 11) hin veranlaßt.
6. System nach Anspruch 1, dadurch gekennzeichnet, daß der Knotenrech- ner (40, 41) über ein Hintergrundnetz (50) mit mindestens einer Zentraleinheit (60, 61) verbunden und diese in eine Transaktion einbeziehbar ist.
7. System nach Anspruch 3, dadurch gekennzeichnet, daß der Knotenrechner (40, 41) Daten von der Zentraleinheit (60, 61) abrufen kann.
8. System nach Anspruch 1, dadurch gekennzeichnet, daß der Knotenrechner (40, 41) eine Cipherbox (17) besitzt, welche Informationen zur Ver- bzw. Entschlüsselung des mit dem Endgerät (10, 11) erfolgenden Datenverkehrs verarbeitet.
9. Endgerät zur Ausführung einer Transaktion mit einer Prozessoreinheit (12), einer damit verbundenen Speicherinrichtung (20) zur Aufnahme von
Daten, welche die Funktionalität der Prozessoreinheit (12) einrichten, - Mitteln (13, 14, 15) zum Auslösen einer Transaktion, sowie einer Schnittstelle (18) zur Verbindung mit einem Knotenrechner (41) über ein Endgerätenetz (30), dadurch gekennzeichnet, daß die Prozessoreinheit (12) im Zuge der üblichen Nutzung des Endgerätes (10, 11) auf ein im Zusammenhang mit der Ausführung einer Transaktion erzeugtes Auslösesignal hin die Einrichtung des Endgerätes (10, 11) zur Ausführung einer weiteren Transaktion veranlaßt, indem es von einem Knotenrechner (40, 41) Daten anfordert, welche die zur Ausführung der Transaktion benötigte Funktionalität herstellen.
10. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es die Daten zur Einrichtung einer Funktionalität auf den Eintritt eines vorbestimmten Ereignisses hin vom Knotenrechner (41) anfordert.
11. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß das vorbestimmte Ereignis das Auslösen einer Transaktion ist, deren Ausführung eine Funktionalität erfordert, die nur unvollständig oder gar nicht in der Speichereinheit (20) vorhanden ist.
12. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es eine Sicherheitsbox (17) aufweist, welche Informationen zur Ver- bzw. Entschlüsselung des mit dem Knotenrechner (40, 41) erfolgenden Datenverkehrs enthält..
13. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß die Mittel zum Auslösen einer Transaktion eine Tastatur (13) und eine Display (14) umfassen.
14. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es eine Vorrichtung (15) zum Lesen von tragbaren Datenträgern (80) aufweist.
15. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es dem Knotenrechner (40, 41) zur Anforderung von Daten zur Einrichtung einer neuen Funktionalität eine Startsequenz (106) sendet, die eine Information zur Identifikation des Endgerätes (10, 11) beinhaltet.
16. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß die Speichereinrichtung (20) und/ oder die Prozessoreinheit (12) zumindest teilweise auf einem tragbaren Datenräger (80) ausgebildet sind.
17. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß die Startsequenz (106) eine Information über die Art der ausgelösten Transaktion beinhaltet.
18. Endgerät nach Anspruch 9, dadurch gekennzeichnet, daß es nach dem Auslösen einer Transaktion alle dazu in der Speichereinrichtung (20) bereits in Form von Daten vorhandenen und ausführbaren Programmbefehle ausführt und ggf. resultierende Zwischenergebnisse der Startsequenz (106) beifügt.
19. Verfahren zur Ausführung einer Transaktion unter Verwendung eines Endgerätes, das über ein Endgerätenetz mit einem in die Transaktionsausführung eingebunden Knotenrechner verbunden ist, mit folgenden Schritten: - Auslösen einer Transaktion mittels des Endgerätes (10, 11),
Übertragen einer die Transaktion bezeichnenden Startsequenz 106) vom Endgerät (10, 11) an den Knotenrechner (40, 41), Rückübertragen von Daten, welche im Endgerät (10, 11) die zur Ausführung der Transaktion benötigte Funktionalität herstellen, vom Knotenrechner (40, 41) an das Endgerät (10, 11).
20. Verfahren nach Anspruch 19, dadurch gekennzeichnet, daß das Endgerät (10, 11) nach Auslösen einer Transaktion prüft, inwieweit die bereits in der Speichereinrichtung (20) vorhanden Daten eine Ausführung der Trans- aktion ermöglichen und die Transaktion, soweit möglich, unmittelbar ausführt (104).
21. Verfahren zum Betrieb eines zur Ausführung einer Transaktion geeigne- ten Endgerätes, das über ein Endgerätenetz mit einem in die Transaktionsausführung eingebunden Knotenrechner verbunden ist, wobei zur Ausführung einer Transaktion wenigstens eine Funktionalität benötigt wird, mit folgenden Schritten:
Überwachen des Endgerätes (10, 11) auf Eintritt eines vorbestimmten Ereignisses, bei Eintritt eines vorbestimmten Ereignisses Übertragen einer eine Transaktion bezeichnenden Startsequenz (106) vom Endgerät (10, 11) an den Knotenrechner (40, 41),
Rückübertragen von Daten, welche im Endgerät (10,11) mindestens eine zur Ausführung der Transaktion benötigte Funktionalität herstellen, vom Knotenrechner (40, 41) an das Endgerät (10,11).
PCT/EP2000/006577 1999-07-12 2000-07-11 System zur ausführung einer transaktion WO2001004771A2 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
EP00949309A EP1222563A2 (de) 1999-07-12 2000-07-11 System zur ausführung einer transaktion
US10/030,078 US7433848B1 (en) 1999-07-12 2000-07-11 System for carrying out a transaction
JP2001510106A JP2003504759A (ja) 1999-07-12 2000-07-11 トランザクションを実行するためのシステム
BR0012415-0A BR0012415A (pt) 1999-07-12 2000-07-11 Sistema para execução de uma transação
CA002379136A CA2379136A1 (en) 1999-07-12 2000-07-11 System for carrying out a transaction
AU62715/00A AU6271500A (en) 1999-07-12 2000-07-11 System for carrying out a transaction

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19932149A DE19932149A1 (de) 1999-07-12 1999-07-12 System zur Ausführung von Transaktionen
DE19932149.3 1999-07-12

Publications (2)

Publication Number Publication Date
WO2001004771A2 true WO2001004771A2 (de) 2001-01-18
WO2001004771A3 WO2001004771A3 (de) 2002-05-02

Family

ID=7914272

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2000/006577 WO2001004771A2 (de) 1999-07-12 2000-07-11 System zur ausführung einer transaktion

Country Status (9)

Country Link
US (1) US7433848B1 (de)
EP (1) EP1222563A2 (de)
JP (1) JP2003504759A (de)
CN (1) CN100392589C (de)
AU (1) AU6271500A (de)
BR (1) BR0012415A (de)
CA (1) CA2379136A1 (de)
DE (1) DE19932149A1 (de)
WO (1) WO2001004771A2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7066335B2 (en) 2001-12-19 2006-06-27 Pretech As Apparatus for receiving and distributing cash
US7353210B2 (en) 2002-06-10 2008-04-01 Ralf Hochwimmer Electronic means of payment with individually settable security features for the internet or for mobile networks

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002238747A1 (en) * 2001-03-16 2002-10-03 De La Rue International Limited Document handling machine
GB0106974D0 (en) * 2001-03-20 2001-05-09 Rue De Int Ltd Funds deposit apparatus
DE10331733A1 (de) * 2003-07-11 2005-01-27 Rene Lehmann Bezahlsystem
BRPI0709403A2 (pt) * 2006-03-27 2011-07-12 Matteo Amoruso método para fabricar um cartão de segurança (protegido) pessoal dotado de dois processadores e cartão
DE102009043090A1 (de) 2009-09-25 2011-03-31 Wincor Nixdorf International Gmbh Vorrichtung zur Handhabung von Wertscheinen
DE102009043093A1 (de) * 2009-09-25 2011-03-31 Wincor Nixdorf International Gmbh Vorrichtung zur Handhabung von Wertscheinen und Geldkassette zur Aufnahme von Wertscheinen
DE102009043091A1 (de) * 2009-09-25 2011-03-31 Wincor Nixdorf International Gmbh Vorrichtung zur Handhabung von Wertscheinen
DE102010013202A1 (de) * 2010-03-29 2011-09-29 Giesecke & Devrient Gmbh Verfahren zum sicheren Übertragen einer Anwendung von einem Server in eine Lesegeräteinheit

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0305004A1 (de) * 1987-08-28 1989-03-01 Koninklijke Philips Electronics N.V. Transaktionssystem mit einer oder mehreren zentralen Schnittstellen und mit einer Anzahl von verteilten Endstationen, welche an jede zentrale Schnittstelle über ein Netzwerk gekoppelt werden können; Concentrator und Endstation, geeignet für den Gebrauch in solch einem Transaktionssystem und Bedieneridentifizierungselement für den Gebrauch in einer solchen Endstation
EP0397908A1 (de) * 1988-05-04 1990-11-22 Loewe Opta Gmbh Verfahren zur bestimmungsgemässen Programmierung eines Bildschirmtextgerätes
EP0666681A2 (de) * 1989-11-09 1995-08-09 Transaction Technology, Inc. Rechner- und Telefoneinrichtung mit benuzerfreundlicher Rechnerschnittstelle und erhöhten Integritätseigenschaften
EP0753811A1 (de) * 1995-07-14 1997-01-15 Sony Corporation Verfahren und Vorrichtung zur Datenverarbeitung

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5815577A (en) * 1994-03-18 1998-09-29 Innovonics, Inc. Methods and apparatus for securely encrypting data in conjunction with a personal computer
US5715399A (en) * 1995-03-30 1998-02-03 Amazon.Com, Inc. Secure method and system for communicating a list of credit card numbers over a non-secure network
US5878141A (en) * 1995-08-25 1999-03-02 Microsoft Corporation Computerized purchasing system and method for mediating purchase transactions over an interactive network
US5809141A (en) * 1996-07-30 1998-09-15 Ericsson Inc. Method and apparatus for enabling mobile-to-mobile calls in a communication system
US6120550A (en) * 1996-10-28 2000-09-19 Altera Corporation Design file templates for implementation of logic designs
JPH10337401A (ja) * 1997-03-12 1998-12-22 Nukem Nuklear Gmbh 含塩溶液の濃縮のための方法及び装置
US6950939B2 (en) * 2000-12-08 2005-09-27 Sony Corporation Personal transaction device with secure storage on a removable memory device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0305004A1 (de) * 1987-08-28 1989-03-01 Koninklijke Philips Electronics N.V. Transaktionssystem mit einer oder mehreren zentralen Schnittstellen und mit einer Anzahl von verteilten Endstationen, welche an jede zentrale Schnittstelle über ein Netzwerk gekoppelt werden können; Concentrator und Endstation, geeignet für den Gebrauch in solch einem Transaktionssystem und Bedieneridentifizierungselement für den Gebrauch in einer solchen Endstation
EP0397908A1 (de) * 1988-05-04 1990-11-22 Loewe Opta Gmbh Verfahren zur bestimmungsgemässen Programmierung eines Bildschirmtextgerätes
EP0666681A2 (de) * 1989-11-09 1995-08-09 Transaction Technology, Inc. Rechner- und Telefoneinrichtung mit benuzerfreundlicher Rechnerschnittstelle und erhöhten Integritätseigenschaften
EP0753811A1 (de) * 1995-07-14 1997-01-15 Sony Corporation Verfahren und Vorrichtung zur Datenverarbeitung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CANNON G. L., VANDYKE W. R., STRICKLIN D. M.: "DOWNLOADABLE PAGER FUNCTIONALITY" MOTOROLA TECHNICAL DEVELOPMENTS, MOTOROLA INC., SCHAUMBURG, ILLINOIS, US, Bd. 18, März 1993 (1993-03), Seiten 91-93, XP000349572 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7066335B2 (en) 2001-12-19 2006-06-27 Pretech As Apparatus for receiving and distributing cash
US7353210B2 (en) 2002-06-10 2008-04-01 Ralf Hochwimmer Electronic means of payment with individually settable security features for the internet or for mobile networks

Also Published As

Publication number Publication date
CN1610882A (zh) 2005-04-27
DE19932149A1 (de) 2001-01-25
JP2003504759A (ja) 2003-02-04
WO2001004771A3 (de) 2002-05-02
EP1222563A2 (de) 2002-07-17
AU6271500A (en) 2001-01-30
US7433848B1 (en) 2008-10-07
CN100392589C (zh) 2008-06-04
BR0012415A (pt) 2002-03-26
CA2379136A1 (en) 2001-01-18

Similar Documents

Publication Publication Date Title
DE69736752T2 (de) System und Vorrichtung zum Personalisieren von Chipkarten
DE19539801C2 (de) Überwachung von Transaktionen mit Chipkarten
DE69332889T2 (de) Host-benutzer-transaktionssystem
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE2645564C2 (de) Automatischer Geldausgeber
DE69814406T2 (de) Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
DE19681381B4 (de) Kreditkartensystem und Verwendung einer Kreditkarte in einem derartigen Kreditkartensystem
DE3044463C2 (de)
DE3700663C2 (de)
DE60119400T2 (de) Datenverarbeitungssystem, tragbare elektronische Vorrichtung, Zugangsvorrichtung zur tragbaren elektronischen Vorrichtung, und Verfahren zum Gebrauch von Speicherraum
DE19755819C1 (de) Verteiltes Zahlungssystem und Verfahren für den bargeldlosen Zahlungsverkehr mittels einer Börsenchipkarte
WO2001004771A2 (de) System zur ausführung einer transaktion
AT401205B (de) System zur identifizierung eines kartenbenutzers
EP1971108B1 (de) Identifikation eines Benutzers eines Mobilterminals und Generierung einer Aktionsberechtigung
EP0696021B1 (de) Verfahren zur Bestimmung des aktuellen Geldbetrags in einem Datenträger und System zur Durchführung des Verfahrens
EP0806747A2 (de) Verfahren und Anlage zum Transferieren von Geldbeträgen zwischen überschreibbaren Speichern einer Chipkarte
EP1066607A1 (de) Gerät und verfahren zur gesicherten ausgabe von wertscheinen
DE4441413C2 (de) Datenaustauschsystem
EP2169579A1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument
DE10136414A1 (de) Verfahren zum Bezug einer über ein Datennetz angebotenen Leistung
EP1388138B1 (de) Verfahren und anordnung zum bezahlen von über ein datennetz abrufbaren datenangeboten
EP3215977A1 (de) Verfahren zur änderung einer in einer chipkarte gespeicherten datenstruktur, signaturvorrichtung und elektronisches system
DE102013223082B4 (de) Identitätsverifikationsverfahren und Identitätsverifikationssystem
EP1596615B1 (de) Sim-karte mit veränderbarem speicher und methode dafür

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CR CU CZ DK DM DZ EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2000949309

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2379136

Country of ref document: CA

WWE Wipo information: entry into national phase

Ref document number: 008116369

Country of ref document: CN

WWE Wipo information: entry into national phase

Ref document number: 10030078

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 2000949309

Country of ref document: EP