WO2001013340A1 - Method for making authorization checks of transactions - Google Patents

Method for making authorization checks of transactions Download PDF

Info

Publication number
WO2001013340A1
WO2001013340A1 PCT/EP2000/007776 EP0007776W WO0113340A1 WO 2001013340 A1 WO2001013340 A1 WO 2001013340A1 EP 0007776 W EP0007776 W EP 0007776W WO 0113340 A1 WO0113340 A1 WO 0113340A1
Authority
WO
WIPO (PCT)
Prior art keywords
card
validation device
terminal
personal
validation
Prior art date
Application number
PCT/EP2000/007776
Other languages
German (de)
French (fr)
Inventor
Wolfgang Neifer
Original Assignee
Scm Microsystems Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Scm Microsystems Gmbh filed Critical Scm Microsystems Gmbh
Publication of WO2001013340A1 publication Critical patent/WO2001013340A1/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/347Passive cards
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • G07F7/1058PIN is checked locally

Definitions

  • the invention relates to a method for checking the authorization of transactions which are carried out at a terminal by means of a personal memory card and a personal identifier.
  • the invention further relates to a validation device for carrying out transactions at a terminal by means of a personal memory card and a personal identifier.
  • Typical transactions that are processed using a personal memory card are cash withdrawals at ATMs, cashless payment and access to personal services.
  • a personal memory card in particular a bank card or credit card
  • chip cards that contain an integrated semiconductor chip
  • memory cards with a magnetic stripe are widely used.
  • Chip cards often also contain a magnetic strip to enable the card to be used in various types of terminals.
  • the authorized user is expected to enter a PIN code.
  • the PIN code is entered at special terminals, which must meet certain minimum requirements to protect against spying on the PIN code during or after the entry.
  • transactions with ordinary memory cards such as bank or credit cards with magnetic stripes or with a chip can only be processed at specially secured terminals.
  • the invention provides a method which enables transactions to be processed using a personal memory card and a personal identifier, even at an open, unprotected terminal.
  • the personal identifier is detected on an autonomous validation device which has a card reader for the memory card and a detection device for the personal identifier.
  • the detected personal identifier is processed in the validation device with the personal data read from the memory card to form a validation code, which is transmitted in encrypted form to the terminal.
  • everyone Security-relevant operations when recording the personal identifier, in particular a PIN code are carried out on the autonomous validation device. This contains, for example, a keyboard for entering the PIN code.
  • the validity of the recorded personal identification is then checked on the basis of the personal data read from the memory card. If the result is positive, a validation code is generated that matches the data that is expected from a conventional card terminal after entering the appropriate PIN code. Since the validation code is transmitted to the terminal in encrypted form, it is not possible to spy on the personal identifier.
  • the terminal in turn, can communicate with the operator's network in a conventional manner over an ordinary telephone line using standard encryption techniques.
  • the autonomous validation device is particularly useful to design the autonomous validation device as a PC card, ie. H. as a plug-in card in PCMCIA format, in connection with an ordinary personal computer that has a slot for such a card.
  • the validation device according to the invention for carrying out the method thus contains:
  • the data required for validating the personal identifier are stored in the protected semiconductor chip. After recording the personal identifier and checking its validity based on the stored data, the semiconductor chip provides the validation code on demand. As soon as the autonomous validation device with the Terminal is coupled, a valid transaction can be carried out with this.
  • the personal identifier can consist of a fingerprint pattern alone or of the combination of such a fingerprint pattern with a PIN code. In any case, there is a correspondence of the personal identifier for the purpose of the validity check in the secured memory area of the semiconductor chip.
  • FIG. 1 schematically shows a side view of an autonomous validation device for carrying out the method in the form of a PC card designed as a card reader;
  • Fig. 2 schematically in plan view a personal memory card of the type bank or credit card with a magnetic stripe
  • FIG. 3 shows a further development of the validation device shown in FIG. 1 with an additional fingerprint sensor
  • FIG. 4 shows a further development of the validation device with a fingerprint sensor and a slot of the reading unit of the card reader which is accessible from the outside when the PC card is inserted.
  • the validation device shown in FIG. 1 largely corresponds in shape and dimensions to a conventional PC card, also referred to as a PCMCIA card.
  • a plug-in card has a flat housing with a base plate 10, a cover plate 12 and a multiple connector strip 14.
  • a slot 16 is formed between the base plate 10 and the cover plate 12 for inserting a memory card 18.
  • the base plate 10 forms a control panel with a keyboard 20 and, if necessary, also with a display 22.
  • the validation device contains at least one reading unit for the memory card 18.
  • kartc 18 can have a magnetic stripe 18a, an integrated chip 18b or both a magnetic stripe 18a and an integrated chip 18b.
  • the validation device is equipped with the appropriate reading units. Since these are known, they are not described in more detail here.
  • the validation device is autonomous and has both a power supply and the functionality required to check the validity of a PIN code entered via the keyboard 20 using the personal memory card 18.
  • For this functionality there is a special chip chip with a protected memory area in the housing Integrated PC card.
  • the semiconductor chip is integrated into the device in such a way that external access to protected areas is not possible. So-called tamper-resistant, highly secure semiconductor chips are available for this purpose. If an unauthorized access is attempted from outside, the protected memory areas are destroyed, so that the information stored therein is protected against unauthorized access.
  • a fingerprint sensor 24 is additionally provided.
  • This fingerprint sensor 24 is connected to the validation device via a flexible connection 26. Since the housing of the validation device is completely or at least almost completely accommodated in the slot of the terminal when plugged in, the fingerprint sensor 24 is provided as an external module in this embodiment.
  • a desk-shaped reading unit 28 is attached to the housing of the validation device of the type of a PC card, which remains outside the slot in the terminal when the validation device is inserted.
  • the reading unit 28 has a fingerprint sensor 24 and a slot 30 for pulling the magnetic strip of the memory card 18 on its oblique desk surface.
  • a magnetic read head is arranged opposite the magnetic strip of the memory card.
  • the slot 30 extends transversely to the longitudinal direction of the validation device.
  • the validity of the PIN code is now checked in the tamper-resistant semiconductor chip of the validation device on the basis of the information read from the memory card 18. If the result is positive, the semi-conductor chip generates a validation code that is available for retrieval.
  • the autonomous validation device can now be plugged into an open, unprotected terminal, which is used to carry out the transaction.
  • This terminal can advantageously be a personal computer, so that the operation for carrying out the transaction can be carried out using the keyboard and mouse and graphic operator guidance on the monitor.
  • a PIN code previously entered on the autonomous validation device can be validated by the captured fingerprint without removing the validation device from the slot of the terminal.
  • the magnetic stripe of the memory card 18 can be read over the entire length without any problems.
  • the magnetic stripe can only be read completely if the length of the housing of the validation device is extended correspondingly to the format of a PCMCIA card, for example in the form of a collar protruding from the slot of the terminal.
  • the terminal can be connected to the network of the operator or institute by modem over a normal telephone line.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

The invention relates to an authorization check of transactions which are executed at a terminal using a personal chip card and a personal identification number whereby the personal identification number is detected by an automatic validation unit. The validation unit has a card reader and a scanner for detecting the personal identification number. The personal identification detected and the personal data read from the chip card are converted to a validation code in the validation unit. Said validation code is then is transmitted to the terminal in encrypted form. The terminal may be open and unprotected because all security related operations are executed in the validation unit.

Description

Verfahren zur Berechtigungsprüfung bei Transaktionen Procedure for checking the authorization of transactions
Die Erfindung betrifft ein Verfahren zur Berechtigungsprüfung bei Transaktionen, die an einem Terminal mittels einer persönlichen Speicherkarte und einer persönlichen Kennung ausgeführt werden. Ferner betrifft die Erfindung ein Validierungsgerät zur Durchführung von Transaktionen an einem Terminal mittels einer persönlichen Speicherkarte und einer persönlichen Kennung.The invention relates to a method for checking the authorization of transactions which are carried out at a terminal by means of a personal memory card and a personal identifier. The invention further relates to a validation device for carrying out transactions at a terminal by means of a personal memory card and a personal identifier.
Typische Transaktionen, die unter Verwendung einer persönlichen Speicherkarte, insbesonere Bankkarte oder Kreditkarle, abgewickelt werden, sind Barabhebungen an Geldautomaten, bargeldlose Bezahlung und der Zugriff auf personenbezogene Dienstleitungen. Neben den Chipkarten, die einen integrierten Halbleiterchip enthalten, sind Speicherkarten mit einem Magnetstreifen weit verbreitet. Auch Chipkarten enthalten oft zusätzlich einen Magnetstreifen, um die Verwendung der Karte in verschiedenartigen Terminals zu ermöglichen.Typical transactions that are processed using a personal memory card, in particular a bank card or credit card, are cash withdrawals at ATMs, cashless payment and access to personal services. In addition to chip cards that contain an integrated semiconductor chip, memory cards with a magnetic stripe are widely used. Chip cards often also contain a magnetic strip to enable the card to be used in various types of terminals.
Für die Durchführung einer Transaktion wird vom berechtigten Benutzer die Eingabe eines PIN-Codes erwartet. Die Eingabe des PIN-Codes erfolgt an speziellen Terminals, die bestimmte Mindestvoraussetzungen zur Absicherung gegen ein Ausspionieren des PIN-Codes während oder nach der Eingabe erfüllen müssen. Derzeit können Transaktionen mit gewöhnlichen Speicherkarten wie Bank- oder Kreditkarten mit Magnetstreifen oder auch mit Chip nur an speziellen gesicherten Terminals abgewickelt werden.To carry out a transaction, the authorized user is expected to enter a PIN code. The PIN code is entered at special terminals, which must meet certain minimum requirements to protect against spying on the PIN code during or after the entry. At the moment, transactions with ordinary memory cards such as bank or credit cards with magnetic stripes or with a chip can only be processed at specially secured terminals.
Durch die Erfindung wird ein Verfahren zur Verfügung gestellt, das die Abwicklung von Transaktionen unter Verwendung einer persönlichen Speicherkarte und einer persönlichen Kennung auch an einem offenen, ungeschützten Terminal ermöglicht. Gemäß der Erfindung wird die persönliche Kennung an einem autonomen Validierungsgerät erfaßt, das einen Kartenleser für die Speicherkarte und eine Erfassungseinrichtung für die persönliche Kennung aufweist. Die erfaßte persönliche Kennung wird in dem Validierungsgerät mit den von der Speicherkarte gelesenen persönlichen Daten zu einem Validierungs-Code verarbeitet, der verschlüsselt zu dem Terminal übertragen wird. Bei diesem Verfahren werden alle sicherheitsrelevanten Operationen bei der Erfassung der persönlichen Kennung, insbesondere eines PIN-Codes, an dem autonomen Validierungsgerät vorgenommen. Dieses enthält beispielsweise eine Tastatur zur Eingabe des PIN-Codes. Im Inneren des autonomen Validierungsgeräls wird dann anhand der von der Speicherkarte ausgelesenen persönlichen Daten die Gültigkeit der erfaßten persönlichen Kennung (PIN-Code) überprüft. Bei positivem Ergebnis wird ein Validierungs-Code erzeugt, der mit den Daten übereinstimmt, die von einem üblichen Karten-Terminal nach Eingabe des zutreffenden PIN-Codes erwartet werden. Da der Validierungs-Code verschlüsselt zu dem Terminal übertragen wird, ist ein Ausspionieren der persönlichen Kennung nicht möglich. Das Terminal seinerseits kann auf herkömmliche Weise über eine gewöhnliche Telefonleitung mit dem Netz des Betreibers unter Anwendung üblicher Verschlüsselungstechniken kommunizieren .The invention provides a method which enables transactions to be processed using a personal memory card and a personal identifier, even at an open, unprotected terminal. According to the invention, the personal identifier is detected on an autonomous validation device which has a card reader for the memory card and a detection device for the personal identifier. The detected personal identifier is processed in the validation device with the personal data read from the memory card to form a validation code, which is transmitted in encrypted form to the terminal. With this procedure everyone Security-relevant operations when recording the personal identifier, in particular a PIN code, are carried out on the autonomous validation device. This contains, for example, a keyboard for entering the PIN code. In the interior of the autonomous validation device, the validity of the recorded personal identification (PIN code) is then checked on the basis of the personal data read from the memory card. If the result is positive, a validation code is generated that matches the data that is expected from a conventional card terminal after entering the appropriate PIN code. Since the validation code is transmitted to the terminal in encrypted form, it is not possible to spy on the personal identifier. The terminal, in turn, can communicate with the operator's network in a conventional manner over an ordinary telephone line using standard encryption techniques.
Besonders zweckmäßig ist die Ausbildung des autonomen Validierungsgeräts als PC-Karte, d. h. als steckbare Karte im Format PCMCIA, in Verbindung mit einem gewöhnlichen Personal-Computer, der einen Steckplatz für eine solche Karte aufweist.It is particularly useful to design the autonomous validation device as a PC card, ie. H. as a plug-in card in PCMCIA format, in connection with an ordinary personal computer that has a slot for such a card.
Das erfindungsgemäße Validierungsgerät für die Durchführung des Verfahrens enthält somit:The validation device according to the invention for carrying out the method thus contains:
- einen Kartenleser für die Speicherkarte;- a card reader for the memory card;
- eine Tastatur zur Eingabe eines Pin-Codes;- a keyboard for entering a pin code;
- einen Halbleiterchip mit einem gegen Zugriff von außen gesicherten Speicherbereich; unda semiconductor chip with a memory area secured against access from the outside; and
- ein Gehäuse zur tamperresistenten Aufnahme des Halbleiterchips.- A housing for tamper-resistant reception of the semiconductor chip.
In dem geschützten Halbleiterchip sind die zur Validierung der persönlichen Kennung erforderlichen Daten gespeichert. Nach Erfassung der persönlichen Kennung und Überprüfung ihrer Gültigkeit anhand der gespeicherten Daten stellt der Halbleitcrchip auf Abruf den Validierungs-Code bereit. Sobald nun das autonome Validierungsgerät mit dem Terminal gekoppelt wird, kann mit diesem eine gültige Transaktion durchgeführt werden.The data required for validating the personal identifier are stored in the protected semiconductor chip. After recording the personal identifier and checking its validity based on the stored data, the semiconductor chip provides the validation code on demand. As soon as the autonomous validation device with the Terminal is coupled, a valid transaction can be carried out with this.
Durch Verwendung eines zusätzlichen Fingerabdruck-Sensors kann die Sicherheit bei der Durchführung von Transaktionen erheblich gesteigert werden. Die persönliche Kennung kann aus einem Fingerabdruck-Muster allein oder aus der Kombination eines solchen Fingerabdruck-Musters mit einem PIN-Code bestehen. In jedem Falle ist eine Entsprechung der persönlichen Kennung zum Zweck der Gültigkeitsüberprüfung in dem gesicherten Speicherbereich des Halbleiterchips vorhanden.By using an additional fingerprint sensor, the security when carrying out transactions can be significantly increased. The personal identifier can consist of a fingerprint pattern alone or of the combination of such a fingerprint pattern with a PIN code. In any case, there is a correspondence of the personal identifier for the purpose of the validity check in the secured memory area of the semiconductor chip.
Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung mehrerer Ausführungsbeispiele und aus der Zeichnung, auf die Bezug genommen wird. In der Zeichnung zeigen:Further features and advantages of the invention result from the following description of several exemplary embodiments and from the drawing, to which reference is made. The drawing shows:
Fig. 1 schematisch in Seitenansicht ein autonomes Validierungsgerät zur Durchführung des Verfahrens in Form einer als Kartenleser ausgebildeten PC-Karte;1 schematically shows a side view of an autonomous validation device for carrying out the method in the form of a PC card designed as a card reader;
Fig. 2 schematisch in Draufsicht eine persönliche Speicherkarte vom Typ Bank- oder Kreditkarte mit Magnetstreifen;Fig. 2 schematically in plan view a personal memory card of the type bank or credit card with a magnetic stripe;
Fig. 3 eine Weiterbildung des in Fig. 1 gezeigten Validierungsgeräts mit einem zusätzlichen Fingerabdruck-Sensor; und3 shows a further development of the validation device shown in FIG. 1 with an additional fingerprint sensor; and
Fig. 4 eine Weiterbildung des Validierungsgeräts mit einem Fingerabdruck-Sensor und einem bei gesteckter PC-Karte von außen zugänglichen Schlitz der Leseeinheit des Kartenlesers.4 shows a further development of the validation device with a fingerprint sensor and a slot of the reading unit of the card reader which is accessible from the outside when the PC card is inserted.
Das in Fig. 1 gezeigte Validierungsgerät entspricht in Form und Abmessungen weitgehend einer üblichen PC-Karte, auch als PCMCIA- Karte bezeichnet. Eine solche steckbare Karte hat ein flaches Gehäuse mit einer Bodenplatte 10, einer Deckelplatte 12 und einer Vielfach- Steckerleiste 14. Zwischen der Bodenplatte 10 und der Deckelplatte 12 ist ein Schlitz 16 zum Einführen einer Speicherkarte 18 gebildet. Die Bodenplatte 10 bildet ein Bedienfeld mit einer Tastatur 20 und bei Bedarf auch mit einem -Anzeige leid 22. Das Validierungsgerät enthält wenigstens eine Lesecinheit für die Speicherkarte 18. Diese Speicher- kartc 18 kann einen Magnetstreifen 18a, einen integrierten Chip 18b oder auch sowohl einen Magnetstreifen 18a als auch einen integrierten Chip 18b aufweisen. Das Validierungsgerät ist mit den entsprechenden Leseeinheiten ausgestattet. Da diese bekannt sind, werden sie hier nicht näher beschrieben.The validation device shown in FIG. 1 largely corresponds in shape and dimensions to a conventional PC card, also referred to as a PCMCIA card. Such a plug-in card has a flat housing with a base plate 10, a cover plate 12 and a multiple connector strip 14. A slot 16 is formed between the base plate 10 and the cover plate 12 for inserting a memory card 18. The base plate 10 forms a control panel with a keyboard 20 and, if necessary, also with a display 22. The validation device contains at least one reading unit for the memory card 18. kartc 18 can have a magnetic stripe 18a, an integrated chip 18b or both a magnetic stripe 18a and an integrated chip 18b. The validation device is equipped with the appropriate reading units. Since these are known, they are not described in more detail here.
Das Validierungsgerät ist autonom und verfügt sowohl über eine Stromversorgung als auch über die notwendige Funktionalität zur Überprüfung der Gültigkeit eines über die Tastatur 20 eingegebenen PIN-Codes unter Verwendung der persönlichen Speicherkarte 18. Für diese Funktionalität ist ein spezieller Haibleilerchip mit einem geschützten Speicherbereich im Gehäuse der PC-Karte integriert. Der Halbleiterchip ist in solcher Weise in das Gerät integriert, daß ein Zugriff von außen auf geschützte Bereiche nicht möglich ist. Für diesen Zweck sind sogenannte tamperresistente hochsichere Halbleiterchips verfügbar. Bei dem Versuch eines unautorisierten Zugriffs von außen werden die geschützten Speicherbereiche zerstört, so daß die darin abgelegten Informationen gegen unberechtigten Zugriff geschützt sind.The validation device is autonomous and has both a power supply and the functionality required to check the validity of a PIN code entered via the keyboard 20 using the personal memory card 18. For this functionality there is a special chip chip with a protected memory area in the housing Integrated PC card. The semiconductor chip is integrated into the device in such a way that external access to protected areas is not possible. So-called tamper-resistant, highly secure semiconductor chips are available for this purpose. If an unauthorized access is attempted from outside, the protected memory areas are destroyed, so that the information stored therein is protected against unauthorized access.
Bei der in Fig. 3 gezeigten Ausführungsform ist zusätzlich ein Fingerabdruck-Sensor 24 vorgesehen. Dieser Fingerabdruck-Sensor 24 ist mit dem Validierungsgerät über eine flexible Verbindung 26 verbunden. Da das Gehäuse des Validierungsgeräts im gesteckten Zustand vollständig oder zumindest nahezu vollständig in dem Steckplatz des Terminals aufgenommen ist, wird bei dieser Ausführungsform der Fingerabdruck-Sensor 24 als externes Modul vorgesehen.In the embodiment shown in FIG. 3, a fingerprint sensor 24 is additionally provided. This fingerprint sensor 24 is connected to the validation device via a flexible connection 26. Since the housing of the validation device is completely or at least almost completely accommodated in the slot of the terminal when plugged in, the fingerprint sensor 24 is provided as an external module in this embodiment.
Bei der in Fig. 4 gezeigten Ausführungsform ist an das Gehäuse des Validierungsgeräts vom Typ einer PC-Karte eine pultförmige Leseeinheit 28 angesetzt, die außerhalb des Sleckplatzes im Terminal verbleibt, wenn das Validierungsgerät gesteckt ist. Die Leseeinheit 28 weist an ihrer schrägen Pultfläche einen Fingerabdruck-Sensor 24 sowie einen Schlitz 30 zum Durchziehen des Magnetslreifens der Speicherkartc 18 auf. In diesem Schlitz 30 ist ein magnetischer Lesekopf in Gegenüberstellung zu dem Magnelstreifen der Speicherkartc angeordnet. Der Schlitz 30 erstreckt sich quer zur Längsrichtung des Validierungsgeräts. Im Gebrauch des Validierungsgeräls zur Durchführung einer Transaktion wird zunächst die Speicherkarte 18 eingeschoben. Anschließend wird mittels der Tastatur 20 ein PIN-Code als persönliche Kennung eingegeben. Bei Ausführungen ohne Fingerabdruck-Sensor wird nun in dem tamperresistenten Halbleiterchip des Validierungsgeräts die Gültigkeit des PIN-Codes anhand der von der Speichcrkarle 18 gelesenen Informationen überprüft. Bei positivem Ergebnis erzeugt der Halbleilerchip einen Validierungs-Code, der zum Abruf bereitsteht. Das autonome Validierungsgerät kann nun in ein offenes, ungeschütztes Terminal gesteckt werden, an dem die Bedienung zur Durchführung der Transaktion erfolgt. Dieses Terminal kann in vorteilhafter Weise ein Personal- Computer sein, so daß die Bedienung zur Durchführung der Transaktion mit Tastatur und Maus sowie graphischer Bedienerführung auf dem Monitor erfolgen kann.In the embodiment shown in FIG. 4, a desk-shaped reading unit 28 is attached to the housing of the validation device of the type of a PC card, which remains outside the slot in the terminal when the validation device is inserted. The reading unit 28 has a fingerprint sensor 24 and a slot 30 for pulling the magnetic strip of the memory card 18 on its oblique desk surface. In this slot 30, a magnetic read head is arranged opposite the magnetic strip of the memory card. The slot 30 extends transversely to the longitudinal direction of the validation device. When using the validation device to carry out a transaction, the memory card 18 is first inserted. A PIN code is then entered as a personal identifier using the keyboard 20. In versions without a fingerprint sensor, the validity of the PIN code is now checked in the tamper-resistant semiconductor chip of the validation device on the basis of the information read from the memory card 18. If the result is positive, the semi-conductor chip generates a validation code that is available for retrieval. The autonomous validation device can now be plugged into an open, unprotected terminal, which is used to carry out the transaction. This terminal can advantageously be a personal computer, so that the operation for carrying out the transaction can be carried out using the keyboard and mouse and graphic operator guidance on the monitor.
Bei Ausführungen mit Fingerabdruck-Sensor kann ein zuvor an dem autonomen Validierungsgeräl eingegebener PIN-Code durch den erfaßten Fingerabdruck validiert werden, ohne das Validierungsgerät aus dem Steckplatz des Terminals zu entfernen.In versions with a fingerprint sensor, a PIN code previously entered on the autonomous validation device can be validated by the captured fingerprint without removing the validation device from the slot of the terminal.
Bei der in Fig. 4 gezeigten Ausführungsform kann der Magnetstreifen der Speicherkarte 18 über die gesamte Länge problemlos gelesen werden. Bei der in Fig. 1 gezeigten Ausführungsform kann der Magnetstreifen nur vollständig gelesen werden, wenn die Länge des Gehäuses des Validierungsgeräts abweichend vom Format einer PCMCIA-Karte entsprechend verlängert wird, beispielsweise in Form eines aus dem Steckplatz des Terminals herausragenden Kragens.In the embodiment shown in FIG. 4, the magnetic stripe of the memory card 18 can be read over the entire length without any problems. In the embodiment shown in FIG. 1, the magnetic stripe can only be read completely if the length of the housing of the validation device is extended correspondingly to the format of a PCMCIA card, for example in the form of a collar protruding from the slot of the terminal.
Die Verbindung des Terminals zum Netzwerk des Betreibers oder Instituts kann per Modem über eine gewöhnliche Telefonleitung erfolgen.The terminal can be connected to the network of the operator or institute by modem over a normal telephone line.
Durch das beschriebene Verfahren ist es möglich, mit den bestehenden und weil verbreiteten Bank- oder Kreditkarten geschützte Transaktionen an einem offenen, ungeschützten Terminal durchzuführen, beispielsweise an einem gewöhnlichen Arbeitsplatz-Rechner oder heimischen Personal- Computer. Dadurch werden dem Gebrauch dieser Karten Bereiche erschlossen, die bisher die Verwendung von speziellen geschützten Terminals erforderten. With the described method, it is possible to carry out protected transactions with the existing and because widespread bank or credit cards at an open, unprotected terminal, for example on an ordinary workstation computer or personal computer at home. This opens up areas for the use of these cards that previously required the use of special protected terminals.

Claims

Patentansprüche claims
1. Verfahren zur Berechtigungsprüfung bei Transaktionen, die an einem Terminal mittels einer persönlichen Speicherkarte und einer persönlichen Kennung ausgeführt werden, dadurch gekennzeichnet, daß die persönliche Kennung an einem autonomen Validierungsgerät erfaßt wird, das einen Kartenleser für die Speicherkarte und eine Erfassungseinrichtung für die persönliche Kennung aufweist, und die erfaßte persönliche Kennung in dem Validierungsgerät mit den von der Speicherkarte gelesenen persönlichen Daten zu einem Validierungs-Code verarbeitet wird, der verschlüsselt zu dem Terminal übertragen wird.1. A method for checking the authorization of transactions that are carried out at a terminal by means of a personal memory card and a personal identifier, characterized in that the personal identifier is detected on an autonomous validation device which has a card reader for the memory card and a detection device for the personal identifier has, and the detected personal identifier is processed in the validation device with the personal data read from the memory card to a validation code which is encrypted and transmitted to the terminal.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß zwischen dem Terminal und einer die Transaktion verwaltenden Organisation eine durch Verschlüsselung geschützte Verbindung aufgebaut und an die Organisation der Validierungs-Code als von dieser Organisation auf Verlangen erwarteter PIN-Code übertragen wird.2. The method according to claim 1, characterized in that a connection protected by encryption is established between the terminal and an organization managing the transaction and is transmitted to the organization of the validation code as a PIN code expected by this organization on request.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die persönlichen Daten in einem Magnetstreifen der Speicherkarte gespeichert sind.3. The method according to claim 1 or 2, characterized in that the personal data are stored in a magnetic strip of the memory card.
4. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die persönlichen Daten in einem in die Speicherkarte integrierten Halbleiterchip gespeichert sind.4. The method according to claim 1 or 2, characterized in that the personal data are stored in a semiconductor chip integrated in the memory card.
5. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die persönliche Kennung ein PIN-Code ist, der an einer Tastatur des Validierungsgeräts eingegeben wird.5. The method according to any one of the preceding claims, characterized in that the personal identifier is a PIN code which is entered on a keyboard of the validation device.
6. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die persönliche Kennung durch einen Fingerabdruck- Sensor am Validierungsgerät erfaßt wird. 6. The method according to any one of the preceding claims, characterized in that the personal identifier is detected by a fingerprint sensor on the validation device.
7. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß zusätzlich zu dem PIN-Code ein Fingerabdruck durch einen Fingerabdruck- Sensor am Validierungsgerät erfaßter wird.7. The method according to claim 5, characterized in that in addition to the PIN code, a fingerprint is detected by a fingerprint sensor on the validation device.
8. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß das Validierungsgerät einen tamperresistent geschützten Halbleiterchip aufweist, worin eine Entsprechung zu der persönlichen Kennung gespeichert wird.8. The method according to any one of the preceding claims, characterized in that the validation device has a tamper-resistant protected semiconductor chip, in which a correspondence to the personal identifier is stored.
9. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß das Validierungsgerät einen Magnetkartenleser beinhaltet.9. The method according to any one of the preceding claims, characterized in that the validation device includes a magnetic card reader.
10. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß das Validierungsgerät einen kombinierten Chipkarten- und Magnetkartenleser beinhaltet.10. The method according to any one of the preceding claims, characterized in that the validation device includes a combined chip card and magnetic card reader.
11. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß das Validierungsgerät als steckbare Karte, insbesondere als PC-Karte, ausgebildet ist.11. The method according to any one of the preceding claims, characterized in that the validation device is designed as a plug-in card, in particular as a PC card.
12. Verfahren nach den Ansprüchen 5, 7 und 11, dadurch gekennzeichnet, daß der PIN-Code bei ungesteckter PC-Karte an der Tastatur eingegeben wird und bei in das Terminal gesteckter PC-Karte der PIN- Code durch Erfassen des Fingerabdrucks an dem aus dem Steckplatz des Terminals herausragenden Fingerabdruck-Sensor validiert wird.12. The method according to claims 5, 7 and 11, characterized in that the PIN code is entered when the PC card is not inserted on the keyboard and when the PC card is inserted into the terminal, the PIN code by detecting the fingerprint on the the fingerprint sensor protruding from the slot of the terminal is validated.
13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, daß die Transaktion an einem offenen Terminal, insbesondere an einem Personal- Computer, durchgeführt wird.13. The method according to claim 12, characterized in that the transaction is carried out at an open terminal, in particular on a personal computer.
14. Validierungsgerät zur Durchführung von Transaktionen an einem Terminal mittels einer persönlichen Speicherkarte und einer persönlichen Kennung, gekennzeichnet durch: - einen Kartenleser für die Speicherkarte;14. Validation device for carrying out transactions at a terminal using a personal memory card and a personal identifier, characterized by: - a card reader for the memory card;
- eine Tastatur zur Eingabe eines PIN-Code;- A keyboard for entering a PIN code;
- einen Halbleiterchip mit einem gegen Zugriff von außen gesicherten Speicherbereich;a semiconductor chip with a memory area secured against access from the outside;
- ein Gehäuse zur tamperresistenten Aufnahme des Halbleiterchips.- A housing for tamper-resistant reception of the semiconductor chip.
15. Validierungsgerät nach Anspruch 14, dadurch gekennzeichnet, daß an dem Gehäuse ferner ein Fingerabdruck-Sensor angeordnet ist.15. Validation device according to claim 14, characterized in that a fingerprint sensor is further arranged on the housing.
16. Validierungsgerät nach Anspruch 14 oder 15, dadurch gekennzeichnet, daß das Gehäuse als PC-Karte ausgebildet ist.16. Validation device according to claim 14 or 15, characterized in that the housing is designed as a PC card.
17. Validierungsgerät nach Anspruch 16, dadurch gekennzeichnet, daß bei im Terminal gesteckter PC-Karte der Fingerabdruck-Sensor aus dem Steckplatz des Terminals herausragt.17. Validation device according to claim 16, characterized in that when the PC card is inserted in the terminal the fingerprint sensor protrudes from the slot of the terminal.
18. Validierungsgerät nach Anspruch 16, dadurch gekennzeichnet, daß der Kartenleser eine Leseeinheit mit einem Schlitz für das Durchziehen des Magnetstreifens der Speicherkarte umfaßt und der Schlitz der Leseeinheit bei im Terminal gesteckter PC-Karte von außen zugänglich ist.18. Validation device according to claim 16, characterized in that the card reader comprises a reading unit with a slot for pulling the magnetic strip of the memory card and the slot of the reading unit is accessible from the outside when the PC card is inserted in the terminal.
19. Validierungsgerät nach den Ansprüchen 17 und 18, dadurch gekennzeichnet, daß der Fingerabdruck-Sensor und die Leseeinheit an einem pultartigen Gehäuse angeordnet sind, das bei gesteckter PC-Karte aus dem Steckplatz des terminals herausragt.19. Validation device according to claims 17 and 18, characterized in that the fingerprint sensor and the reading unit are arranged on a desk-like housing which protrudes from the slot of the terminal when a PC card is inserted.
20. Validierungsgerät nach einem der Ansprüche 14 bis 19, dadurch gekennzeichnet, daß in dem Gehäuse ferner ein Chipkartenleser enthalten ist. 20. Validation device according to one of claims 14 to 19, characterized in that a chip card reader is also contained in the housing.
PCT/EP2000/007776 1999-08-12 2000-08-10 Method for making authorization checks of transactions WO2001013340A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19938096.1 1999-08-12
DE1999138096 DE19938096A1 (en) 1999-08-12 1999-08-12 Procedure for checking the authorization of transactions

Publications (1)

Publication Number Publication Date
WO2001013340A1 true WO2001013340A1 (en) 2001-02-22

Family

ID=7918079

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2000/007776 WO2001013340A1 (en) 1999-08-12 2000-08-10 Method for making authorization checks of transactions

Country Status (2)

Country Link
DE (1) DE19938096A1 (en)
WO (1) WO2001013340A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10203705A1 (en) * 2002-01-31 2003-08-14 Giesecke & Devrient Gmbh Electronic payment transfer process

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996018169A1 (en) * 1994-12-06 1996-06-13 Loren Kretzschmar Transaction verification apparatus & method
GB2309110A (en) * 1996-01-09 1997-07-16 Personal Biometric Encoders Lt Identification system
WO1998038567A1 (en) * 1997-02-28 1998-09-03 Dew Engineering And Development Limited Biometric input with encryption
DE29814427U1 (en) * 1998-08-11 1998-12-10 SCM Microsystems GmbH, 85276 Pfaffenhofen security system
DE29821644U1 (en) * 1998-12-04 1999-02-18 Stocko Metallwarenfab Henkels Authentication system for PC cards
EP0924655A2 (en) * 1997-12-22 1999-06-23 TRW Inc. Controlled access to doors and machines using fingerprint matching

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996018169A1 (en) * 1994-12-06 1996-06-13 Loren Kretzschmar Transaction verification apparatus & method
GB2309110A (en) * 1996-01-09 1997-07-16 Personal Biometric Encoders Lt Identification system
WO1998038567A1 (en) * 1997-02-28 1998-09-03 Dew Engineering And Development Limited Biometric input with encryption
EP0924655A2 (en) * 1997-12-22 1999-06-23 TRW Inc. Controlled access to doors and machines using fingerprint matching
DE29814427U1 (en) * 1998-08-11 1998-12-10 SCM Microsystems GmbH, 85276 Pfaffenhofen security system
DE29821644U1 (en) * 1998-12-04 1999-02-18 Stocko Metallwarenfab Henkels Authentication system for PC cards

Also Published As

Publication number Publication date
DE19938096A1 (en) 2001-02-15

Similar Documents

Publication Publication Date Title
DE10001672C2 (en) Electronic data storage medium with the ability to check fingerprints
EP0306892B1 (en) Circuitry of which at least a part contains a card for business, identification and/or actuation purposes
EP0355372B1 (en) Data carrier controlled terminal for a data exchange system
DE3784824T3 (en) System for granting access to memory area areas of a chip card for multiple applications.
EP0152024B1 (en) Portable data storing/processing device
DE69334182T2 (en) Method of using software and information system for applying this method
DE3809170C2 (en)
AT401205B (en) SYSTEM FOR IDENTIFYING A CARD USER
DE3706465C2 (en)
WO1998050894A1 (en) System for secured reading and processing of data on intelligent data carriers
DE4326735A1 (en) Computer arrangement having at least one smart card (chip card) reading device
WO2001013340A1 (en) Method for making authorization checks of transactions
DE102004039365A1 (en) Data carrier for contactless transmission of encrypted data signals
WO2013026771A1 (en) Identity-card holder
DE29814427U1 (en) security system
DE29804510U1 (en) Terminal for chip cards
DE19705620C2 (en) Arrangement and method for decentralized chip card identification
DE3706954C2 (en)
DE19816541A1 (en) Data exchange system using smart cards
EP1308873B1 (en) Reader for electronic data carriers with access authorisation
DE19502609C2 (en) Expansion unit for portable computers that have a double PCMCIA interface
EP0971324A1 (en) Method for protecting data on a data carrier and IC-card, reader and chipset configured in accordance with this method
WO2004019188A2 (en) Verification and granting of authorizations of use
DE102004026933B4 (en) System and method for authenticating a user
EP1489481A1 (en) Computer Input device with user identification

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP SG US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP