WO2002093512A2 - Virtuelle chipkarte - Google Patents

Virtuelle chipkarte Download PDF

Info

Publication number
WO2002093512A2
WO2002093512A2 PCT/CH2002/000205 CH0200205W WO02093512A2 WO 2002093512 A2 WO2002093512 A2 WO 2002093512A2 CH 0200205 W CH0200205 W CH 0200205W WO 02093512 A2 WO02093512 A2 WO 02093512A2
Authority
WO
WIPO (PCT)
Prior art keywords
vcc
key
chip card
data
encrypted
Prior art date
Application number
PCT/CH2002/000205
Other languages
English (en)
French (fr)
Other versions
WO2002093512A3 (de
Inventor
Walter Gygli
Markus Hof
William Grant Rothwell
Original Assignee
Eracom Technologies Schweiz Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eracom Technologies Schweiz Ag filed Critical Eracom Technologies Schweiz Ag
Priority to EP02717924A priority Critical patent/EP1388137A2/de
Publication of WO2002093512A2 publication Critical patent/WO2002093512A2/de
Publication of WO2002093512A3 publication Critical patent/WO2002093512A3/de

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor

Definitions

  • the invention relates to a virtual chip card and a method for accessing sensitive data stored on such a virtual chip card, and a system for storing and accessing such virtual chip cards.
  • This authorization check takes place, for example, via a communication link Communication with the computer of the cardholder's bank takes place. This communication can be used to check, for example, whether the cardholder's account still has sufficient cover for the desired payment amount or whether there is a suitable framework for a credit facility. If this is the case, the payment is authorized and the payment process is completed.
  • 3A and 3B illustrate the method steps when accessing the virtual chip card
  • FIG. 1 shows an exemplary embodiment of a virtual chip card VCC according to the invention.
  • the exemplary embodiment of the virtual chip card VCC shown in FIG. 1 is encrypted in its entirety with an inaccessible master key K BB and is stored in this encrypted form on the computer 3 (FIG. 2) of a service provider.
  • the virtual chip card VCC is therefore completely inaccessible to the staff of the service provider since it is stored in encrypted form and the staff of the service provider do not have the master key K BB (possibly with the exception of a few people such as the chief information officer) knows.
  • the virtual chip card VCC comprises a control part CP and a data part DP.
  • the data part DP contains the sensitive data, for example personal data, keys for asymmetrical encryption methods, passwords for computer applications, etc., but in a form encrypted with the key K.
  • the further communication between the inaccessible unit BB and the holder of the virtual chip card VCC (or the device 1) encrypted with the session key K s (step 52) instead.
  • data in plain text in the inaccessible unit BB is transmitted in encrypted form using the session key K s to the destination (that is to say to the device 1 or to the cardholder located there) or other operations are also carried out under the session key K s ,
  • the data is safe and not accessible to third parties, or any operations are carried out in a safe and inaccessible manner. At no time can unauthorized third parties access any confidential information, be it keys or data.
  • the virtual chip card is encrypted with the master key K BB in the inaccessible unit BB and, if necessary, in an updated form if the card holder has made changes returned in this form to the computer 3 of the service provider (step 53), where the - possibly updated - virtual chip card VCC is stored. Communication is then ended (step 54).
  • the virtual chip card VCC is stored on the computer 3 of the service provider, but in an encrypted form (namely encrypted with the master key K BB of the black box BB), which is used by the staff of the service provider cannot be decrypted.
  • the virtual chip card VCC were not encrypted with the master key K BB but were stored unencrypted on the computer 3, the data in plain text are nevertheless not readable by third parties, not even by the service provider staff.
  • the RVCC root chip card is created in the inaccessible unit BB (black box) and is able to have the issuing chip cards IVCC issued by the inaccessible unit BB.
  • a service provider is entitled to issue virtual (VCC) smart cards to its (end) customers, its computer must be authorized to do so by the inaccessible unit BB, i.e. it must receive an IVCC issuer chip card. Since the service provider should never have knowledge of the data on a VCC of an end customer, even when creating a VCC for a cardholder, the data at the service provider must not be in plain text.
  • the end customer requests the creation of a virtual chip card VCC, which in the exemplary embodiment described is stored in encrypted form (namely encrypted with the main key K BB of the black box) on the computer 3 (database) of the service provider, he must first compare to identify the service provider and to inform the service provider of the desired password (However, in encrypted form, namely encrypted with the public key of the inaccessible unit K PUB , BB , so that the service provider cannot read this password). The service provider will check the creditworthiness of the end customer.
  • the service provider determines that he is creating a virtual chip card VCC for the end customer and wants to save it in an encrypted form on his computer 3 (database) and make it available, he informs the inaccessible unit BB, which knows that the Service provider is authorized due to its issuer chip card IVCC to issue new virtual chip cards VCC.
  • the inaccessible unit BB then generates a corresponding virtual chip card VCC for the user (end customer of the service provider), decrypts the password communicated by the user with the public key K PUB , EB with the complementary private key, and assigns this password to the password to be created virtual chip card VCC and generates an associated checkerboard pattern.
  • the black box BB does not have to be a separate physical unit, but can be installed in software on the computer 3 of the service provider without the service provider personnel having the possibility of accessing the data of the virtual chip cards VCC.
  • two software components are installed on the computer 3 of the service provider when the Black Box BB is implemented in software, an administration software and a processing software.
  • VCC virtual chip card processing software and, on the other hand, management of the contents of the VCC virtual chip card database.
  • the management software can perform the following operations in particular: - Have a new virtual chip card VCC added - Delete existing virtual chip cards.
  • the processing software is for the service provider inaccessible and to a certain extent represents the Black Box BB. It has the following tasks in particular:

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Abstract

Es wird eine virtuelle Chipkarte (VCC) vorgeschlagen zum Speichern und Bereitstellen von sensitiven Daten. Die virtuelle Chipkarte (VCC) umfasst einen datenteil (DP), in welchem die sensitiven Daten in verschlüsselter Form gespeichert sind, sowie einen Kontrollteil (CP), in welchem zumindest der Schlüssel (K) zum Entschlüsseln der Daten im Datenteil (DP) in verschlüsselter Form enthalten ist. Ferner wird ein entsprechendes System zum Speichern solcher virtuellen Chipkarten (VCC) und zum Zugriff auf solche virtuellen Chipkarten (VCC) vorgeschlagen, sowie ein entsprechendes Zugriffsverfahren und schliesslich ein System zum Ausstellen von virtuellen Chipkarten (VCC) .

Description

Virtuelle Chipkarte
Die Erfindung betrifft eine virtuelle Chipkarte sowie ein Verfahren zum Zugriff auf sensitive Daten, die auf einer solchen virtuellen Chipkarte gespeichert sind, sowie ein System zum Speichern und zum Zugriff auf solche virtuelle Chipkarten.
Die Speicherung von sensitiven Daten auf Smart-Cards, die mit einem Chip versehen sind, ist heute bereits in hohem Masse verbreitet. Einige sehr bekannte Beispiele hierfür sind Karten für den Zahlungsverkehr (z.B. Kreditkarten oder EC-Karten) , Karten zum Verkehr mit Bankautomaten (Bankkarten), oder Karten wie sie z.B. in manchen Ländern im Verkehr mit Ärzten und Spitälern bereits im Einsatz sind. Die Verbreitung solcher Smart-Cards hat inzwischen derart zugenommen, dass jede einzelne Person häufig eine grosse Anzahl solcher Smart-Cards mit sich tragen muss, mehrere Passwörter auswendig kennen muss, und so weiter, was in hohem Masse beschwerlich für den Karteninhaber ist.
Ein bereits genanntes Beispiel betrifft den Zahlungsverkehr mittels solcher Smart-Cards. Der Zahlungsverkehr mit Hilfe solcher Karten läuft beispielsweise wie folgt ab: Der Kunde (Karteninhaber) wünscht vom Ort der Zahlung aus eine elektronische Abwicklung einer Zahlung. Dazu schiebt er seine Karte in ein dafür vorgesehenes Gerät ein. Dieses Gerät verlangt dann die Eingabe des persönlichen PIN-Codes. Nach erfolgter Eingabe des PIN-Codes wird auf dem Chip der Smart-Card überprüft, ob der eingegebene PIN-Code mit dem auf dem Chip gespeicherten PIN-Code übereinstimmt
(Autorisationsprüfung) , wodurch die Karte im Erfolgsfall "entsperrt" wird. An diese Autorisationsprüfung findet beispielsweise über eine Kommunikationsstrecke eine Kommunikation mit dem Rechner der Bank des Karteninhabers statt. Bei dieser Kommunikation kann z.B. überprüft werden, ob das Konto des Karteninhabers noch genügend Deckung für den gewünschten Zahlungsbetrag aufweist oder ein entsprechender Rahmen für einen Dispositionskredit besteht. Ist dies der Fall, wird die Zahlung autorisiert und der Zahlungsvorgang ist abgeschlossen.
Im Bankgeschäftsverkehr mittels Computer (z.B. "Internetbanking") werden häufig zur Autorisation einer
Transaktion (z.B. bei einer Überweisung) sowohl die Eingabe des Namens des Kontoinhabers als auch eines (statischen) "Passworts" oder einer "Passphrase" verlangt zur Autorisation des Benutzers, sowie die Eingabe einer (dynamischen, also für jede Transaktion andere)
Transaktionsnummer (TAN) , damit die Transaktion autorisiert wird. Der Benutzer erhält dazu bei der Anmeldung zum "Internetbanking" von seiner Bank vorab eine Liste von TANs, die bei Computer-Transaktionen der Reihe nach abgearbeitet werden müssen. Ist also die erste TAN bereits für eine Transaktion verwendet worden, muss der Karteninhaber in irgendeiner Weise vermerken, dass die erste TAN bereits benutzt wurde und bei der nächsten Transaktion die zweite TAN zu verwenden ist, und so weiter. Diese Vorgehensweise erhöht die Sicherheit gegen Missbrauch.
Generell können auf einer intelligenten körperlichen Chipkarte, die aktuell als eines der sichersten, wenn nicht als das sicherste Medium gilt, verschiedene Dinge gespeichert werden, wie z.B.:
- Informationen zur Authentisierung einer Person
- Private Schlüssel von asymmetrischen Verschlüsselungsverfahren
- weitere persönliche Daten wie Passwörter für Computer- Anwendungen
- sonstige schutzwürdige Daten aller Art
- Funktionen, welche die oben genannten Daten bearbeiten.
Dennoch weisen diese intelligenten körperlichen Chipkarten mehrere Nachteile auf. Zum einen müssen sie zu Ihrer Verwendung jeweils am gewünschten Ort vorhanden sein, d.h. der Benutzer muss sie bei sich tragen. Ausserdem muss ein geeignetes körperliches Lesegerät vorhanden sein. Weiterhin muss auf dem Computer, an welchen das Lesegerät angeschlossen ist, die passende Treiber-Software installiert sein. Schliesslich kann die Chipkarte verloren gehen, vergessen werden oder sie kann beschädigt oder gestohlen werden .
Hier will die Erfindung Abhilfe schaffen, indem sie die vorstehend genannten Nachteile beseitigt. Dies wird durch die Erfindung, wie sie in den unabhängigen Patentansprüchen charakterisiert ist, erreicht. Weitere vorteilhafte Ausgestaltungen ergeben sich aus den abhängigen Patentansprüchen.
Die der Erfindung zugrunde liegende Idee besteht in der Bereitstellung einer intelligenten virtuellen - also immateriellen - Chipkarte und in der Möglichkeit, von überall auf der Welt über ein beliebiges Netzwerk auf diese virtuelle Chipkarte zugreifen zu können und ihre Funktionen nutzen zu können, so wie wenn der Benutzer eine körperliche Chipkarte in den Schlitz eines körperlichen Lesegeräts geschoben hätte. Es braucht also bei der Verwendung dieser immateriellen Chipkarte diese nicht körperlich vorhanden zu sein, es braucht auch kein körperliches Lesegerät vorhanden zu sein, und die Chipkarte kann auch nicht vergessen werden oder verloren gehen oder gestohlen werden. Dies setzt allerdings voraus, dass weder beim Anlegen, noch bei der Speicherung noch bei der Verarbeitung noch bei der Übertragung der auf einer solchen Chipkarte enthaltenen Informationen ein Dritter Einsicht in die Daten oder
Passwörter nehmen kann. Entsprechende Verfahren hierfür bzw. Systeme hierfür werden deshalb ebenfalls vorgeschlagen.
Im folgenden wird die Erfindung anhand der Zeichnung näher erläutert. Es zeigen, in schematischer Darstellung:
Fig. 1 ein Ausführungsbeispiel einer erfindungsgemässen virtuellen Chipkarte,
Fig. 2 ein System mit den erforderlichen Komponenten zum Zugriff auf eine virtuelle Chipkarte,
Fig. 3A und 3B eine Darstellung der Verfahrensschritte beim Zugriff auf die virtuelle Chipkarte
und
Fig. 4 eine Darstellung der hierarchischen Anordnung von verschiedenen Typen von virtuellen Chipkarten beim
Anlegen von neuen Chipkarten.
In Fig. 1 ist ein Ausführungsbeispiel einer erfindungs- gemässen virtuellen Chipkarte VCC dargestellt. Das in Fig. 1 gezeigte Ausführungsbeispiel der virtuellen Chipkarte VCC ist gesamthaft mit einem unzugänglichen Hauptschlüssel KBB verschlüsselt und in dieser verschlüsselten Form auf dem Rechner 3 (Fig. 2) eines Service-Providers abgespeichert. Die virtuelle Chipkarte VCC ist somit für das Personal des Service-Providers gänzlich unzugänglich, da sie in verschlüsselter Form abgespeichert ist und das Personal des Service-Providers den Hauptschlüssel KBB (eventuell mit Ausnahme von einigen wenigen Personen wie z.B. dem Chief Information Officer) nicht kennt.
Es ist allerdings nicht zwingend, dass die virtuelle Chipkarte VCC verschlüsselt mit dem Schlüssel KBB auf dem Rechner 3 (Fig. 2) des Service-Providers abgespeichert ist, sie könnte grundsätzlich auch unverschlüsselt auf dem Rechner 3 abgespeichert sein. Zwar bestünde dann vom Prinzip her die Möglichkeit, dass das Personal des Service-Providers die abgespeicherte virtuelle Chipkarte VCC als Ganzes ansehen kann, aber die Daten auf einer solchen virtuellen Chipkarte VCC wären nach wie vor nicht einsehbar, wie im Folgenden noch klar werden wird.
Die virtuelle Chipkarte VCC umfasst einen Kontrollteil CP und einen Datenteil DP. In dem Datenteil DP sind die sensitiven Daten, beispielsweise persönliche Daten, Schlüssel für asymmetrische Verschlüsselungsverfahren, Passwörter für Computer-Anwendungen, etc. enthalten, allerdings in einer mit dem Schlüssel K verschlüsselten Form.
Der Kontrollteil CP der virtuellen Chipkarte VCC umfasst im hier gezeigten Ausführungsbeispiel den komplementären Schlüssel, mit welchem es möglich ist, die mit dem Schlüssel K verschlüsselten Daten im Datenteil DP zu entschlüsseln. Der komplementäre Schlüssel zum Entschlüsseln ist bei dem gezeigten Ausführungsbeispiel identisch mit dem Schlüssel K, mit welchem die Daten verschlüsselt worden sind (symmetrisches Verschlüsselungsverfahren) . Allerdings ist der komplementäre Schlüssel K zum Entschlüsseln der Daten nicht etwa unverschlüsselt im Kontrollteil CP vorhanden, sondern er liegt einerseits mit einem Passwort PW (oder einer "Passphrase") verschlüsselt vor - also statisch verschlüsselt - und andererseits in einer mit verschiedenen Transaktionsnummern Tl, T2, T3, ... , TN verschlüsselten Form (bzw. mit der Transaktionsnummer und einer Anzahl von Zeichen des Passworts PW) - also dynamisch verschlüsselt. Weiterhin ist bei dem hier gezeigten Ausführungsbeispiel im Kontrollteil beispielsweise noch der öffentliche Schlüssel KPUB des Inhabers der virtuellen Chipkarte VCC vorhanden. Weiterhin kann im Kontrollteil CP ein Zähler C vorhanden sein, welcher die Anzahl der Zugriffsversuche bei der Autorisationsprüfung zählt und beispielsweise die virtuelle Chipkarte VCC nach drei erfolglosen Autorisationsprüfungen im Rahmen von Zugriffsversuchen für weitere Zugriffsversuche sperrt .
In Fig. 2 ist schematisch ein System dargestellt mit den erforderlichen Komponenten für einen Zugriff auf die virtuelle Chipkarte VCC gemäss Fig. 1. Man erkennt in Fig. 2 ein Gerät 1 für den Internetzugang des Inhabers der virtuellen Chipkarte VCC, wie beispielsweise ein "Personal Computer" (PC), ein Terminal oder auch ein Mobiltelefon. Weiterhin erkennt man ein Netzwerk 2, z.B. das Internet, über welches die Kommunikation mit einem Rechner 3 des Service-Providers erfolgt. Auf diesem Rechner 3 des Service- Providers ist die virtuelle Chipkarte VCC des Benutzers gespeichert, allerdings verschlüsselt mit dem Hauptschlüssel KBB. Ferner erkennt man in Fig. 2 noch eine unzugängliche Einheit BB ("Black Box"), welche eine separate körperliche Einheit sein kann aber nicht notwendigerweise eine separate körperliche Einheit sein muss, sondern durchaus auch softwaremässig in dem Rechner 3 des Service-Providers realisiert sein kann.
Die Kommunikation zwischen dem Gerät 1 und dem Rechner 3 erfolgt über das Netzwerk 2, welches als Kommunikationsstrecke dient. Bei einem erwünschten Zugriff (Fig. 3A und 3B) auf die Daten im Datenteil DP (Fig. 1) der virtuellen Chipkarte VCC meldet sich zunächst der Inhaber einer virtuellen Chipkarte VCC mit Hilfe des Geräts 1 (z.B. PC) über das Netzwerk 2 (z.B. Internet) mit seinem Namen (und ggf. mit einer PIN) beim Rechner 3 des Service- Providers an (Schritt 41).
Der Rechner 3 prüft sodann, ob ein Karteninhaber mit diesem Namen existiert (Schritt 42). Existiert kein Karteninhaber mit diesem Namen, so wird die Kommunikation in geeigneter Weise beendet oder eine Nachricht übermittelt, dass kein Karteninhaber mit diesem Namen existiert (Schritt 43) . Existiert hingegen ein Karteninhaber mit dem eingegebenen Namen, so wird dessen mit dem Hauptschlüssel KBB verschlüsselte virtuelle Chipkarte VCC an die unzugängliche Einheit BB übertragen (Schritt 44). Diese Übertragung der virtuellen Chipkarte VCC an die unzugängliche Einheit BB kann nötigenfalls unter Verwendung eines anerkannt sicheren Verfahrens erfolgen.
Sodann findet der Aufbau einer sicheren, logischen Verbindung zwischen der unzugänglichen Einheit BB und dem Gerät 1 bzw. zwischen der unzugänglichen Einheit BB und dem am Gerät 1 sich befindenden Inhaber einer virtuellen Chipkarte VCC statt. Dies kann beispielsweise derart erfolgen, dass der Inhaber der virtuellen Chipkarte VCC einen Sessions-Schlüssel ("session-key") Ks bestimmt und diesen Sessions-Schlüssel Ks der unzugänglichen Einheit BB mitteilt. Dieser Sessions-Schlüssel Ks stellt sowohl den Verschlusselungsschlussel als auch den Entschlusselungs- schlussel für die nachfolgende Kommunikation zwischen dem Inhaber der virtuellen Chipkarte VCC (bzw. dem Gerat 1) und der unzugänglichen Einheit BB dar (symmetrisches Verschlüsselungsverfahren) . Der Sessions-Schlussel Ks kann naturlich nicht unverschlüsselt vom Inhaber einer virtuellen Chipkarte VCC (bzw. von dem Gerat 1) zu der unzugänglichen Einheit BB übertragen werden, da der Sessions-Schlussel Ks sonst von bosglaubigen Dritten eventuell abgefangen werden könnte. Folglich wird der Session-Schlüssel Ks zunächst mit dem öffentlichen Schlüssel KPUB,BB der unzugänglichen Einheit BB verschlüsselt (asymmetrisches Verschlusselungsverfahren) und in dieser verschlüsselten Form zu der unzugänglichen Einheit BB übertragen. Die unzugängliche Einheit BB kennt (als einzige) den zu ihrem öffentlichen Schlüssel komplementären privaten Schlüssel und kann nach Anwendung dieses privaten Schlusseis den ihr verschlüsselt mitgeteilten Sessions-Schlussel Ks lesen. Die weitere Kommunikation zwischen dem Inhaber der virtuellen Chipkarte VCC (bzw. zwischen dem Gerat 1) und der unzugänglichen Einheit BB kann jetzt - verschlüsselt mit dem Sessions- Schlussel Ks - stattfinden, denn jetzt kennt auch die unzugängliche Einheit BB den Sessions-Schlussel Ks.
In der unzugänglichen Einheit BB ist der zu dem
Hauptschlussel KBB komplementäre Schlüssel vorhanden. Dieser komplementäre Schlüssel ist bei dem hier gezeigten Ausfuhrungsbeispiel identisch mit dem Hauptschlussel KBB, mit welchem die virtuelle Chipkarte VCC verschlüsselt worden ist (symmetrisches Verschlusselungsverfahren) .
Die mit dem Hauptschlüssel KBB verschlüsselte virtuelle Chipkarte VCC wird in der Einheit BB mit dem zum Hauptschlussel KBB komplementären Schlüssel (ebenfalls KBB, symmetrisches Verschlüsselungsverfahren) entschlüsselt (Schritt 45) . Die virtuelle Chipkarte VCC liegt bei dem hier gezeigten Ausführungsbeispiel also überhaupt nur in der unzugänglichen Einheit BB unverschlüsselt vor. Diese ist jedoch selbst für das Personal des Service-Providers unzugänglich, selbst wenn die Einheit BB softwaremässig im gleichen Rechner 3 realisiert ist wie die Datenbank der virtuellen Chipkarten VCC. Lediglich einer einzigen besonders vertrauenswürdigen Person, z.B. dem Chief Information Officer des Service-Providers (und/oder sehr wenigen anderen Personen, z.B. seinem Stellvertreter) ist der zum Hauptschlüssel komplementäre Schlüssel KBB (und damit bei symmetrischen Verschlüsselungsverfahren natürlich auch der Hauptschlüssel KBB) bekannt. Das muss deshalb so sein, weil im Falle eines Defekts der unzugänglichen Einheit BB die verschlüsselten virtuellen Chipkarten VCC zwar auf dem Rechner 3 (Datenbank) des Service-Providers mit dem Hauptschlüssel KBB verschlüsselt gespeichert sind, aber ohne Kenntnis des komplementären Schlüssels KBB (der ja sonst nur in der unzugänglichen Einheit BB vorliegt) im Defektfall nicht mehr entschlüsselbar - und damit unbrauchbar - wären.
Wie bereits erwähnt, ist bei dem hier gezeigten Ausführungsbeispiel der gesamte Inhalt einer auf dem Rechner 3 des Service-Providers (Datenbank) gespeicherten virtuellen Chipkarte VCC für Dritte unzugänglich, weil die virtuelle Chipkarte VCC überhaupt nur in der unzugänglichen Einheit BB in entschlüsselter Form vorliegt. Selbst wenn der Inhalt der virtuellen Chipkarte VCC aber für Dritte zugänglich wäre (das wäre beispielsweise bei einer Variante der Fall, bei welcher die virtuellen Chipkarten VCC als Ganzes unverschlüsselt auf dem Rechner 3 abgespeichert wären) , so ist der Datenteil DP der Chipkarten VCC immer noch verschlüsselt und im Kontrollteil CP könnten allenfalls die ohnehin für den öffentlichen Zugang vorgesehenen Informationen, wie z.B. der öffentliche Schlüssel KPUB, im Klartext abgelesen werden.
Ausserdem wäre der mit dem Passwort PW verschlüsselte (und damit nicht erkennbare) komplementäre Schlüssel K zum Zugriff auf die Daten bzw. der mit den verschiedenen Transaktionsnummern Tl, T2, T3, ... , TN (bzw. mit den Transaktionsnummer zuzüglich einiger Zeichen des Passworts PW) verschlüsselte komplementäre Schlüssel K zwar grundsätzlich zugänglich. Mit diesen Informationen könnte allerdings ein unbefugter Dritter (insbesondere auch das Personal der Service-Providers) - aufgrund der Tatsache, dass diese Informationen verschlüsselt sind - nichts anfangen, selbst wenn er auf sie Zugriff hätte (was bei dem beschriebenen Ausführungsbeispiel nicht der Fall ist, aber bei der Variante ohne zusätzliche Verschlüsselung der virtuellen Chipkarte VCC mit dem Hauptschlüssel KBB der Fall wäre) .
Um auf das Zugriffsverfahren zurückzukommen, kann nach dem Entschlüsseln der virtuellen Chipkarte VCC in der unzugänglichen Einheit BB mit dem zu dem Hauptschlüssel KBB komplementären Schlüssel (ebenfalls KBB, symmetrisches Verschlüsselungsverfahren) beispielsweise der Karteninhaber gefragt werden, ob bei dem Zugriff auf die Daten, die im Datenteil DP der virtuellen Chipkarte VCC immer noch in verschlüsselter Form vorliegen (nämlich mit dem Schlüssel K verschlüsselt), das statische Passwort PW verwendet werden soll oder eine (dynamische) Transaktionsnummer
T1,T2,T3, ... ,TN (Schritt 46) bzw. eine Transaktionsnummer zuzüglich einiger Zeichen des Passworts PW. Die Kommunikation mit dem Karteninhaber im Hinblick auf diese Optionen findet dabei - wie oben beschrieben - verschlüsselt mit dem Sessions-Schlüssel Ks statt.
Entscheidet sich der Karteninhaber für den Zugriff über das (statische) Passwort PW, so wählt er diese Option aus und gibt das statische Passwort PW ein (Schritt 47) . Es wird dann in der Einheit BB der mit dem Schlüssel PW verschlüsselte komplementäre Schlüssel K entschlüsselt (Schritt 48) und mit Hilfe dieses komplementären Schlüssels
K werden dann die Daten im Datenteil DP entschlüsselt (Schritt 51) . Die Daten des Datenteils DP liegen dann in der unzugänglichen Einheit BB, aber eben ausschliesslich in der unzugänglichen Einheit BB, im Klartext vor.
Entscheidet sich der Karteninhaber hingegen für den Zugriff über die Transaktionsnummer (bzw. zuzüglich einiger weniger Zeichen des statischen Passworts) , so wählt er diese Option an und gibt die entsprechende Transaktionsnummer ein. Die Transaktionsnummern kann der Karteninhaber beispielsweise in Form einer seriellen Liste von Transaktionsnummer mit sich führen, wobei er überwachen muss, welche der
Transaktionsnummern bereits abgearbeitet sind, sodass er die jeweils korrekte Transaktionsnummer verwendet. Eine andere Möglichkeit ist, dass dem Karteninhaber anstelle einer seriellen Liste von Transaktionsnummern vorab ein "Schachbrettmuster" (z.B. per Kurierdienst) zugesandt wird. In den einzelnen Feldern dieses Schachbretts stehen Zeichen, und beim Zugriff kann eine Sequenz solcher Zeichen abgefragt werden. Beispielsweise würde also vom Karteninhaber bei einem Zugriff mittels Transaktionsnummer gefragt: Gib das Zeichen des Schachbrettmusters aus der ersten Spalte und der dritten Zeile ein, danach das Zeichen aus der zweiten Spalte und der vierten Zeile, danach das Zeichen aus der dritten Spalte und der ersten Zeile, etc.. Diese Art des Zugriffs mittels Transaktionsnummern hat den Vorteil, dass man sich als Karteninhaber nicht merken muss, welche Transaktionsnummern schon abgearbeitet sind, denn die jeweils erforderliche Transaktionsnummer wird Zeichen für Zeichen abgefragt (Schritt 49) . Zusätzlich kann ausser der Eingabe der jeweiligen Transaktionsnummer auch noch verlangt werden, dass der Karteninhaber eine Anzahl von Zeichen (z.B. die ersten vier Zeichen) seines statischen Passworts PW eingibt, was eine zusätzliche Sicherheit darstellt für den Fall, dass ein Karteninhaber sein "Schachbrettmuster" verlegt hat, verliert oder entwendet bekommt.
Der mit der Transaktionsnummer Tl, T2, T3, ... , TN bzw. der Transaktionsnummer und den zusätzlichen Zeichen des statischen Passworts verschlüsselte komplementäre Schlüssel K wird dann entschlüsselt (Schritt 50) und mit Hilfe dieses komplementären Schlüssels K werden dann die Daten im Datenteil DP entschlüsselt (Schritt 51). Die Daten des Datenteils DP liegen dann im Klartext in der unzugänglichen Einheit BB vor, aber eben ausschliesslich in der unzugänglichen Einheit BB.
Die Verschlüsselung/Entschlüsselung der Daten mit Hilfe des komplementären Schlüssels K erfolgt dabei - wie bereits beschrieben - mit Hilfe eines symmetrischen Verschlüsselungsverfahrens (gleicher Schlüssel K zum
Verschlüsseln wie zum Entschlüsseln) , weil ein solches von der Geschwindigkeit des Verschlüsselungs- bzw. Entschlüsselungsprozesses erheblich schneller ist als ein asymmetrisches Verschlüsselungsverfahren (Schlüssel zum Verschlüsseln und Schlüssel zum Entschlüsseln sind verschieden) .
Auch nach dem Entschlüsseln der Daten in der unzugänglichen Einheit BB findet die weitere Kommunikation zwischen der unzugänglichen Einheit BB und dem Inhaber der virtuellen Chipkarte VCC (bzw. dem Gerät 1) verschlüsselt mit dem Sessions-Schlüssel Ks (Schritt 52) statt. Insbesondere werden dabei im Klartext in der unzugänglichen Einheit BB vorliegende Daten unter Verwendung des Sessions-Schlüssels Ks an den Zielort (also zum Gerät 1 bzw. zum dort sich befindenden Karteninhaber) verschlüsselt übertragen oder auch sonstige Operationen unter dem Sessions-Schlüssel Ks durchgeführt. Die Daten sind auf diese Weise sicher und für Dritte nicht zugänglich an den Zielort gelangt, bzw. allfällige Operationen werden auf sichere und für Dritte unzugängliche Weise durchgeführt. Zu keiner Zeit können also unbefugte Dritte auf irgendeine vertrauliche Information zugreifen, seien es nun Schlüssel oder Daten.
Vor dem Abschluss der Kommunikation zwischen dem Karteninhaber (bzw. dem Gerät 1) und der unzugänglichen Einheit BB wird die virtuelle Chipkarte - ggf. in aktualisierter Form, falls der Karteninhaber Änderungen vorgenommen hat - mit dem Hauptschlüssel KBB in der unzugänglichen Einheit BB verschlüsselt und in dieser Form zum Rechner 3 des Service-Providers retourniert (Schritt 53), wo die - ggf. aktualisierte - virtuelle Chipkarte VCC gespeichert wird. Die Kommunikation wird dann beendet (Schritt 54) .
Wie bereits erwähnt, kann es sich bei den Daten auf einer solchen virtuellen Chipkarte VCC um
- Informationen zur Authentisierung einer Peson - private Schlüssel von asymmetrischen
Verschlüsselungsverfahren
- weitere persönliche Daten wie Passwörtern für Computer- Anwendungen
- sonstige schutzwürdige Daten - Funktionen, welche die Daten bearbeiten handeln.
Ein weiterer Aspekt betrifft die Art und Weise, wie solche virtuellen Chipkarten VCC ausgestellt (angelegt) werden können, ohne dass der Service-Provider zu irgendeinem Zeitpunkt Kenntnis von den Daten oder Passwörtern des Endkunden im Klartext erhält. Letztlich wird zwar (bei dem vorstehend beschriebenen Ausführungsbeispiel) die virtuelle Chipkarte VCC auf dem Rechner 3 des Service-Providers abgespeichert, jedoch in einer verschlüsselten Form (nämlich mit dem Hauptschlüssel KBB der Black Box BB verschlüsselt) , die vom Personal des Service-Providers nicht entschlüsselt werden kann. Selbst wenn jedoch die virtuelle Chipkarte VCC nicht mit dem Hauptschlüssel KBB verschlüsselt, sondern unverschlüsselt auf dem Rechner 3 abgespeichert werden würde, so sind die Daten im Klartext dennoch nicht lesbar für Dritte, nicht einmal für das Personal des Service- Providers .
Um dieses "sichere" Ausstellen von virtuellen Chipkarten zu ermöglichen, existieren erfindungsgemäss mehrere Levels
(mindestens zwei) von virtuellen Chipkarten. Während ein Endkunde, also z.B. ein Benutzer, als Karteninhaber eine gewöhnliche VCC erhält, existieren bei einem
Ausführungsbeispiel noch zwei weitere Levels von virtuellen Chipkarten, nämlich eine sogenannte Aussteller-Chipkarte IVCC ("Issuer-VCC") und eine sogenannt Wurzel-Chipkarte RVCC
("Root-VCC") , wie dies in Fig. 4 dargestellt ist.
Die Wurzel-Chipkarte RVCC wird in der unzugänglichen Einheit BB (Black Box) angelegt und ist in der Lage, die Ausstellung von Aussteller-Chipkarten IVCC durch die unzugängliche Einheit BB zu veranlassen. Wer eine solche Aussteller- Chipkarte IVCC besitzt, kann seinerseits einem Endkunden anbieten, verschlüsselte virtuelle Chipkarten VCC ausstellen zu lassen und diese auf seinem Rechner 3 zu speichern. Wenn also beispielsweise ein Service-Provider dazu berechtigt sein mochte, seinen (End-) Kunden virtuelle Chipkarten VCC auszustellen, so muss sein Rechner dazu von der unzugänglichen Einheit BB berechtigt werden, also eine Aussteller-Chipkarte IVCC erhalten. Da der Service-Provider zu keiner Zeit Kenntnis von den Daten auf einer VCC eines Endkunden haben soll, dürfen auch beim Anlegen einer VCC für einen Karteninhaber die Daten beim Service-Provider nicht im Klartext vorliegen.
Mit der beispielhaft beschriebenen Hierarchie von virtuellen Chipkarten (RVCC, IVCC, VCC) ist dies ohne Weiteres möglich. Mochte beispielsweise ein Endkunde bei einem Service- Provider eine verschlüsselte virtuelle Chipkarte VCC anlegen lassen, so nimmt er mit dem Service-Provider Kontakt auf (z.B. per Computer über die Homepage des Service-Providers). Damit der Service-Provider überhaupt virtuelle Chipkarten VCC ausstellen kann, benotigt er - wie oben beschrieben - eine Aussteller-Chipkarte IVCC. Hat er eine solche Aussteller-Chipkarte IVCC, so heisst das, dass die unzugängliche Einheit BB (Black Box) sich autorisiert sieht, bei einem entsprechenden Auftrag zur Erstellung einer virtuellen Chipkarte VCC diese auch auszustellen.
Wünscht der Endkunde die Erstellung einer virtuellen Chipkarte VCC, die bei dem beschriebenen Ausfuhrungsbeispiel in verschlüsselter Form (namlich mit dem Hauptschlussel KBB der Black Box verschlüsselt) auf dem Rechner 3 (Datenbank) des Service-Providers gespeichert wird, so hat er sich zunächst gegenüber dem Service-Provider auszuweisen und dem Service-Provider sein gewünschtes Passwort mitzuteilen (allerdings in verschlüsselter Form, nämlich mit dem öffentlichen Schlüssel der unzugänglichen Einheit KPUB,BB verschlüsselt, sodass der Service-Provider dieses Passwort nicht lesen kann) . Der Service-Provider wird die Bonität des Endkunden prüfen. Stellt der Service-Provider fest, dass er dem Endkunden eine virtuelle Chipkarte VCC anlegen und diese in verschlüsselter Form auf seinem Rechner 3 (Datenbank) abspeichern und bereit stellen möchte, so teilt er dies der unzugänglichen Einheit BB mit, die ja weiss, dass der Service-Provider aufgrund seiner Aussteller-Chipkarte IVCC berechtigt ist, neue virtuelle Chipkarten VCC ausstellen zu lassen. Die unzugängliche Einheit BB generiert dann eine entsprechende virtuelle Chipkarte VCC für den Benutzer (Endkunde des Service-Providers), entschlüsselt das vom Benutzer mit dem öffentlichen Schlüssel KPUB,EB verschlüsselt mitgeteilte Passwort mit dem dazu komplementären privaten Schlüssel, weist dieses Passwort der zu erstellenden virtuellen Chipkarte VCC zu, und generiert ein zugehöriges Schachbrettmuster. Die so generierte virtuelle Chipkarte VCC wird bei dem beschriebenen Ausführungsbeispiel mit Hilfe des Hauptschlüssels KBB in der unzugänglichen Einheit BB verschlüsselt, bevor sie an den Rechner 3 des Service- Providers retourniert wird, wo sie dann abgespeichert wird. Das Schachbrettmuster wird hingegen ohne Verschlüsselung mit dem Hauptschlüssel KBB an den Service-Provider übertragen (ggf. mit Hilfe eines anerkannt sicheren Verfahrens), wird dort ausgedruckt und beispielsweise über einen Kurierdienst dem Endkunden zugestellt.
Hat der Endkunde sein Schachbrettmuster erhalten, so kann er auf seine VCC zugreifen, und zwar in der Weise, wie es oben ausführlich beschrieben ist. Allerdings ist dabei zu beachten, dass beim ersten Zugriff des Endkunden (Karteninhaber) auf seine virtuelle Chipkarte VCC zuvor noch keine Identifizierung des Benutzers stattgefunden hat. Die Identifizierung des Karteninhabers muss also beim ersten Zugriff mit Hilfe einer Transaktionsnummer (Schachbrettmuster) bzw. mit einer Transaktionsnummer und einzelnen Zeichen des statischen Passworts erfolgen. Ist dieser Vorgang erfolgreich abgeschlossen, kann der Endkunde (Karteninhaber) in der Zukunft wählen, ob der Zugriff mittels statischem Passwort (oder Passphrase) PW erfolgen soll oder mittels Transaktionsnummer (bzw. Transaktionsnummer zuzüglich einer Anzahl von Zeichen aus dem statischen Passwort, siehe oben) . Ausserdem können Daten eingegeben und verändert werden etc.. Die virtuelle Chipkarte VCC steht jetzt mit allen ihren Funktionen dem Endkunden (Karteninhaber) zur Verfügung.
Auf ähnliche Weise kann die Generierung von Aussteller- Chipkarten IVCC erfolgen. Der Kunde ist hierbei ein Aussteller, also z.B. ein Service-Provider. Dieser nimmt Kontakt auf mit dem Chief Information Officer (CIO) bzw. derjenigen Person, welche den zum Hauptschlüssel KBB komplementären Schlüssel (hier ebenfalls KBB) kennt, und teilt dem Chief Information Officer mit, dass er die Erstellung einer Aussteller-Chipkarte IVCC wünscht. Nach erfolgter Bonitätsprüfung identifiziert sich der Chief Information Officer gegenüber der unzugänglichen Einheit BB mit Hilfe der Wurzel-Chipkarte RVCC und veranlasst dann, dass die unzugänglich Einheit BB doch bitte für den Service- Provider eine Aussteller-Chipkarte IVCC generieren möge. Ist diese Aussteller-Chipkarte IVCC generiert, weiss die unzugängliche Einheit BB, dass sie bei entsprechenden
Aufträgen zur Generierung von virtuellen Chipkarten VCC, die von dem Service-Provider mit dieser IVCC kommen, diese virtuellen Chipkarten VCC generieren kann. Die Wurzel- Chipkarte RVCC selbst wird beim Aufstarten der unzugänglichen Einheit BB automatisch mit Hilfe des Hauptschlüssels KBB generiert, indem der Chief Information Officer den Hauptschlüssel KBB eingibt und dann eine Wurzel- Chipkarte RVCC in der unzugänglichen Einheit BB angelegt wird. Das heisst, wer den Hauptschlüssel KBB kennt (z.B. der Chief Information Officer) , der kann auch die Wurzel- Chipkarte verwenden.
Wie bereits erwähnt, muss die Black Box BB keine separate körperlich Einheit sein, sondern kann softwaremässig auf dem Rechner 3 des Service-Providers installiert sein, ohne dass das Personal des Service-Providers die Möglichkeit hat, auf die Daten der virtuellen Chipkarten VCC zuzugreifen.
Auf dem Rechner 3 des Service-Providers sind bei der softwaremässigen Realisierung der Black Box BB im Prinzip also zwei Software-Komponenten installiert, eine Verwaltungssoftware und eine Verarbeitungssoftware.
Die Verwaltungssoftware ist gewissermassen das Bindeglied zwischen dem Gerät 1 des Karteninhabers am Zielort und der Datenbank der verschlüsselten virtuellen Chipkarten VCC auf dem Rechner 3. Sie erfüllt im wesentlichen zwei Aufgaben, nämlich einerseits die Gewährleistung der Kommunikation zwischen der Software des Geräts 1 und der
Verarbeitungssoftware der virtuellen Chipkarten VCC, und andererseits die Verwaltung des Inhalts der Datenbank der virtuellen Chipkarten VCC. Dazu kann die Verwaltungssoftware insbesondere die folgenden Operationen durchführen: - Veranlassen, dass eine neuen virtuelle Chipkarte VCC hinzugefügt wird - Löschen von bestehenden virtuellen Chipkarten.
Die Verarbeitungssoftware ist für den Service-Provider unzugänglich und stellt gewissermassen die Black Box BB dar. Sie hat insbesondere folgende Aufgaben:
- Verschlüsselung der Kommunikation mit der Software des Geräts 1 auf Anwendungsebene mit einem anerkannt sicheren Verfahren
- Authentifizierung des Inhabers einer virtuellen Chipkarte
- Bereitstellung des Inhalts einer virtuellen Chipkarte
- Verschlüsselung der Daten der virtuellen Chipkarte zwecks Abspeicherung auf der Datenbank mit einem anerkannt sicheren Verfahren.
Es lässt sich also festhalten, dass es auf diese Weise möglich ist, eine intelligente virtuelle - immaterielle - Chipkarte bereitzustellen und von überall auf der Welt über ein beliebiges Netzwerk auf diese virtuelle Chipkarte zugreifen zu können und ihre Funktionen nutzen zu können, so wie wenn der Benutzer eine körperliche Chipkarte in den Schlitz eines körperlichen Lesegeräts geschoben hätte. Diese braucht bei ihrer Verwendung nicht körperlich vorhanden zu sein, es braucht auch kein körperliches Lesegerät vorhanden zu sein, und die Chipkarte kann auch nicht vergessen werden oder verloren gehen. Weder bei der Speicherung, der Verarbeitung noch bei der Übertragung der auf einer solchen Chipkarte enthaltenen Informationen kann ein Dritter Einsicht nehmen.

Claims

Patentansprüche
1. Verfahren zum Zugriff auf sensitive Daten, die auf einer Chipkarte gespeichert und nach einer Autorisationsprüfung von dieser Chipkarte abrufbar sind, dadurch gekennzeichnet, dass die sensitiven Daten auf einer virtuellen Chipkarte (VCC) in verschlüsselter Form gespeichert sind, die ihrerseits auf einem Rechner (3) gespeichert ist, dass bei einem Zugriff auf die sensitiven Daten die virtuelle Chipkarte (VCC) von dem Rechner (3) , auf dem sie gespeichert ist, an eine unzugängliche Einheit (BB) übertragen wird, und dass in der unzugänglichen Einheit (BB) die angeforderten sensitiven Daten zunächst mit Hilfe eines Schlüssels (K) entschlüsselt und dann mit einem Übertragungsschlüssel (Ks) wieder verschlüsselt werden zum Zwecke der Übertragung über eine Kommunikationsstrecke (2) zu einem Zielort, wo die mit dem Übertragungsschlüssel (Ks) verschlüsselten sensitiven Daten mit einem zu dem Übertragungsschlüssel (Ks) komplementären Schlüssel (Ks) entschlüsselt werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die virtuelle Chipkarte (VCC) mit einem unzugänglichen Hauptschlüssel (KBB) verschlüsselt auf dem Rechner (3) gespeichert ist, und dass bei einem Zugriff auf die sensitiven Daten die mit dem Hauptschlüssel (KBB) verschlüsselte virtuelle Chipkarte (VCC) von dem Rechner (3), auf dem sie gespeichert ist, an die unzugängliche Einheit (BB) übertragen wird, wo ein zu dem Hauptschlüssel (KBB) komplementärer Schlüssel (KBB) vorhanden ist, und dass in der unzugänglichen Einheit (BB) zunächst die virtuelle Chipkarte (VCC) mit dem zum Hauptschlüssel (KBB) komplementären Schlüssel (KBB) entschlüsselt wird, bevor die sensitiven Daten mit dem Schlüssel (K) entschlüsselt werden.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass für den Zugriff auf die Daten ein statisches Passwort (PW) oder ein dynamisches Passwort (Tl, T2, T3, ... , TN) verwendet wird, welches vor dem Zugriff auf die Daten am Zielort eingegeben wird.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass am Zielort festgelegt wird, ob für den Zugriff ein statisches Passwort (PW) oder ein dynamisches Passwort (Tl, T2, T3, ... , TN) verwendet wird, und dass nach dieser Festlegung das statische (PW) oder das dynamische (T1,T2,T3, ... ,TN) Passwort am Zielort eingegeben wird.
5. Verfahren nach einem der Ansprüche 3 oder 4, dadurch gekennzeichnet, dass eine virtuelle Chipkarte (VCC) verwendet wird, die einen Kontrollteil (CP) und einen Datenteil (DP) umfasst, wobei in dem Datenteil (DP) die verschlüsselten sensitiven Daten enthalten sind, und wobei in dem Kontrollteil (CP) der Schlüssel (K) für die Entschlüsselung der im Datenteil (DP) enthaltenen verschlüsselten sensitiven Daten in einer mit einem Passwort (PW;T1,T2,T3, ... ,TN) verschlüsselten Form enthalten ist.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass eine virtuelle Chipkarte (VCC) verwendet wird, bei welcher im Kontrollteil (CP) der Schlüssel (K) zum Entschlüsseln der im Datenteil (DP) enthaltenen verschlüsselten sensitiven Daten vorhanden ist, und zwar sowohl in einer mit dem statischen Passwort (PW) verschlüsselten Form als auch in einer mit dem jeweiligen dynamischen Passwort (T1,T2,T3, ... ,TN) verschlüsselten Form.
7. Virtuelle Chipkarte (VCC) zum Speichern und Bereitstellen von sensitiven Daten, mit einem Datenteil (DP) , in welchem die sensitiven Daten in verschlüsselter Form gespeichert sind, sowie mit einem Kontrollteil (CP) , in welchem zumindest der Schlüssel (K) zum Entschlüsseln der Daten im Datenteil (DP) in verschlüsselter Form enthalten ist.
8. Virtuelle Chipkarte (VCC) nach Anspruch 7, bei welcher der Schlüssel (K) zum Entschlüsseln der im Datenteil (DP) gespeicherten Daten im Kontrollteil (CP) mit Hilfe eines dynamischen Passworts (Tl, T2, T3, ... , TN) verschlüsselt gespeichert ist.
9. Virtuelle Chipkarte (VCC) nach Anspruch 7 oder 8, bei welcher der Schlüssel (K) zum Entschlüsseln der im Datenteil (DP) gespeicherten Daten mit Hilfe eines statischen Passworts (PW) gespeichert ist.
10. Virtuelle Chipkarte (VCC) nach einem der Ansprüche 7 bis 9, bei welcher im Kontrollteil (CP) der öffentliche
Schlüssel (KPÜB) des Karteninhabers gespeichert ist.
11. Virtuelle Chipkarte (VCC) nach einem der Ansprüche 7 bis 10, bei welcher im Kontrollteil (CP) ein Zähler vorgesehen ist, welcher die Anzahl der erfolglosen Zugriffsversuche zählt und beim Überschreiten einer vorgegebenen Anzahl aufeinander folgender erfolgloser Zugriffsversuche den Zugriff auf die virtuelle Chipkarte (VCC) sperrt.
12. System zum Speichern und zum Zugriff auf virtuelle Chipkarten (VCC) , die gemäss einem der Ansprüche 7 bis 11 ausgebildet sind, mit einem Rechner (3), auf welchem die virtuellen Chipkarten (VCC) gespeichert sind, mit einem Gerät (1) zur Kommunikation mit dem Rechner (3) über eine Kommunikationsstrecke (2), über welche eine Verbindung zwischen dem Gerät (1) und dem Rechner (3) herstellbar ist, und mit einer unzugänglichen Einheit (BB) , zu welcher bei einem Zugriff auf die sensitiven Daten die virtuelle
Chipkarte (VCC) übertragen wird, wobei die unzugängliche Einheit (BB) Mittel umfasst, um mit Hilfe des im Kontrollteil (CP) der virtuellen Chipkarte (VCC) verschlüsselt vorhandenen Schlüssels (K) , mit welchem die Daten im Datenteil (DP) der virtuellen Chipkarte (VCC) verschlüsselt gespeichert sind, die Daten im Datenteil (DP) zu entschlüsseln und auf die Daten zuzugreifen, ferner mit Mitteln, um die Daten mit einem Übertragungsschlüssel (Ks) wieder zu verschlüsseln, um sie verschlüsselt über die Kommunikationsstrecke (2) zu dem Gerät (1) zu übertragen, wo sie mit Hilfe eines zum Übertragungsschlüssel (Ks) komplementären Schlüssels (Ks) von dem Gerät (1) entschlüsselt werden.
13. System nach Anspruch 12, dadurch gekennzeichnet, dass die virtuellen Chipkarten (VCC) auf dem Rechner mit einem unzugänglichen Hauptschlüssel (KBB) verschlüsselt gespeichert sind, und dass in der unzugänglichen Einheit (BB) ein zu dem Hauptschlüssel (KBB) komplementärer Schlüssel (KBB) vorhanden ist, wobei die unzugängliche Einheit (BB) Mittel umfasst, um die zu ihr übertragene verschlüsselte virtuelle Chipkarte (VCC) mit Hilfe des zu dem Hauptschlüssel (KB3) komplementären Schlüssels (KBB) in der unzugänglichen Einheit (BB) zu entschlüsseln, bevor die sensitiven Daten mit Hilfe des Schlüssels (K) entschlüsselt werden.
14. System zum Ausstellen von virtuellen Chipkarten (VCC) gemäss einem der Ansprüche 7 bis 11, welches System eine unzugängliche Einheit (BB) zum Ausstellen von virtuellen Aussteller-Chipkarten (IVCC) umfasst, welche virtuellen Aussteller-Chipkarten (IVCC) ihrerseits autorisiert sind zur Veranlassung des Ausstellens von virtuellen Chipkarten (VCC), mit einem Rechner (3), auf welchem eine solche Aussteller-Chipkarte (IVCC) gespeichert ist sowie die auf Veranlassung dieser Aussteller-Chipkarte (IVCC) erstellten virtuellen Chipkarten (VCC) , wobei beim Ausstellen einer virtuellen Chipkarte (VCC) auf Veranlassung einer Aussteller-Chipkarte (IVCC) eine virtuelle Chipkarte (VCC) erstellt und zu dem Rechner (3) übertragen wird, auf welchem sie gespeichert wird.
15. System nach Anspruch 14, dadurch gekennzeichnet, dass die unzugängliche Einheit (BB) Mittel umfasst, um die in der unzugänglichen Einheit (BB) erzeugten virtuellen Chip'karten (VCC) mit einem Hauptschlüssel (KBB) zu verschlüsseln und die so verschlüsselten virtuellen Chipkarten (VCC) zu dem Rechner (3) zu übertragen, auf welchem sie gespeichert werden.
PCT/CH2002/000205 2001-05-11 2002-04-12 Virtuelle chipkarte WO2002093512A2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP02717924A EP1388137A2 (de) 2001-05-11 2002-04-12 Virtuelle chipkarte

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH865/01 2001-05-11
CH8652001 2001-05-11

Publications (2)

Publication Number Publication Date
WO2002093512A2 true WO2002093512A2 (de) 2002-11-21
WO2002093512A3 WO2002093512A3 (de) 2003-02-20

Family

ID=4543564

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CH2002/000205 WO2002093512A2 (de) 2001-05-11 2002-04-12 Virtuelle chipkarte

Country Status (2)

Country Link
EP (1) EP1388137A2 (de)
WO (1) WO2002093512A2 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0769767A2 (de) * 1995-10-20 1997-04-23 Lucent Technologies Inc. Chipkarten verwendende gesicherte Geldüberweisungstechniken
DE19726451A1 (de) * 1996-11-17 1998-05-20 Tils Peter Geldkarte, insbesondere Kreditkarte, Euroscheckkarte, Krankenkassenkarte etc.
EP0950972A2 (de) * 1997-11-12 1999-10-20 Citicorp Development Center, Inc. System und Verfahren zum gesicherten Speichern von elektronischen Daten
WO2000067220A1 (en) * 1999-05-03 2000-11-09 The Chase Manhattan Bank A virtual private lock box

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0769767A2 (de) * 1995-10-20 1997-04-23 Lucent Technologies Inc. Chipkarten verwendende gesicherte Geldüberweisungstechniken
DE19726451A1 (de) * 1996-11-17 1998-05-20 Tils Peter Geldkarte, insbesondere Kreditkarte, Euroscheckkarte, Krankenkassenkarte etc.
EP0950972A2 (de) * 1997-11-12 1999-10-20 Citicorp Development Center, Inc. System und Verfahren zum gesicherten Speichern von elektronischen Daten
WO2000067220A1 (en) * 1999-05-03 2000-11-09 The Chase Manhattan Bank A virtual private lock box

Also Published As

Publication number Publication date
WO2002093512A3 (de) 2003-02-20
EP1388137A2 (de) 2004-02-11

Similar Documents

Publication Publication Date Title
DE69814406T2 (de) Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter
DE69435079T2 (de) Chipkarte für eine Vielzahl von Dienstleistungsanbietern und für entfernte Aufstellung derselben
DE69531711T2 (de) Sichere Geldübertragungstechniken mit Chipkarten
EP0281057B1 (de) Schaltungsanordnung zur Sicherung des Zugangs zu einem Datenverarbeitungssystem mit Hilfe einer Chipkarte
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
DE10297521T5 (de) Verbraucher-zentrisches kontext-bewußtes Vermittlungsmodell
DE3319919A1 (de) Schutzsystem fuer intelligenz-karten
WO2002023303A2 (de) Verfahren zum absichern einer transaktion auf einem computernetzwerk
DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
DE3044463A1 (de) Verfahren und vorrichtung zum codieren einer karte
EP0970447B1 (de) Netzwerkunterstütztes chipkarten-transaktionsverfahren
DE60008795T2 (de) Informatikvorrichtung zur anwendung von akkredtierungsdaten auf eine software oder auf einen dienst
DE102011116489A1 (de) Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts
DE60029379T2 (de) Verfahren und Gerät, die einem Rechnerbenutzer erlauben, vor der Eingabe von privilegierten Informationen ein System zu authentifizieren
DE4230866B4 (de) Datenaustauschsystem
DE102007008651A1 (de) Chipkarte und Verfahren zur Freischaltung einer Chipkarten-Funktion
EP1152379A2 (de) Verfahren zum anfordern der ausführung einer mit der karte verbundenen verpflichtung durch den kartenhalter und zum anerkennen dieser verpflichtung durch den kartenausgeber
WO2009121197A1 (de) System und verfahren zum bereitstellen von benutzermedien
WO1998050894A1 (de) System zum gesicherten lesen und bearbeiten von daten auf intelligenten datenträgern
DE69825410T2 (de) Verfahren zur Kompression von digitalen Zertifikaten zur Verwendung in einer Chipkarte
EP2399218B1 (de) Verfahren zur erzeugung eines identifikators
DE10297517T5 (de) Automatisiertes digitales Rechte-Management und Zahlungssystem mit eingebettetem Inhalt
DE10048939B4 (de) Bedingte Unterdrückung der Überprüfung eines Karteninhabers
DE60122912T2 (de) Verfahren zum liefern von identifikationsdaten einer bezahlkarte an einen anwender
WO2002093512A2 (de) Virtuelle chipkarte

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ CZ DE DE DK DK DM DZ EC EE EE ES FI FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SK SL TJ TM TN TR TT TZ UA UG US UZ VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
AK Designated states

Kind code of ref document: A3

Designated state(s): AE AG AL AM AT AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ CZ DE DE DK DK DM DZ EC EE EE ES FI FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SK SL TJ TM TN TR TT TZ UA UG US UZ VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A3

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2002717924

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2002717924

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP