DE3689543T2

DE3689543T2 - Chipkartensystem.

Info

Publication number: DE3689543T2
Application number: DE3689543T
Authority: DE
Inventors: Turpen Daughters; Patricia Mcginnis
Original assignee: PERSONAL COMPUTER CARD CORP
Current assignee: PERSONAL COMPUTER CARD CORP
Priority date: 1986-05-07
Filing date: 1986-08-22
Publication date: 1994-08-11
Anticipated expiration: 2006-08-23
Also published as: US4742215A; IL82432A0; EP0271495B1; AU597359B2; KR880701424A; EP0271495A1; JPH01500305A; AU7248787A; DE3689543D1; WO1987007060A1; TR22988A

Description

Technischer Bereich

Ein Microfiche-Anhang, der 145 Bilder auf zwei Karten beinhaltet, ist in der Spezifikation enthalten und wird im folgenden als Anhang 1 bezeichnet.

Hintergrund der Erfindung

Die vorliegende Erfindung bezieht sich auf ein Integrierte-Schaltung- (IC)Informationskartensystem unter Verwendung einer Karte mit einem Integrierten-Schaltungs-Chip oder -Chips, die einen programmierbaren Prozessor und einen nichtflüchtigen Lese/Schreib-Speicher zum Speichern von Daten und für den Zugriff auf die Daten benötigten Zugriffscodes enthält.
Verschiedene Arten von Informationskarten sind entwickelt worden, die Speichermedien zum Speichern von Information, die den Benutzer der Karte identifiziert, und anderer Information einschließen. Eine derartige Karte ist die gewöhnliche Kreditkarte oder Identifikationskarte aus Kunststoff, die eine auf der Karte eingeprägte Beschriftung trägt, um die Identität des Inhabers, eine Identifikations- oder Kontonummer und möglicherweise andere Information anzuzeigen. Zusätzlich hat die gewöhnliche Kredit- oder Informationskarte aus Kunststoff auf ihrer Rückseite einen Magnetstreifen zum magnetischen Speichern von Daten. Die auf dem Magnetstreifen gespeicherten Daten verifizieren typischerweise die auf der Vorderseite der Karte eingeprägte Information und enthalten zusätzliche Information. Derartige Magnetstreifen-Kunststoffkarten sind zwar preiswert herzustellen und herauszugeben, bieten aber verhältnismäßig wenig Sicherheit gegenüber unautorisiertem oder betrügerischem Zugriff auf die auf dem offen liegenden Magnetstreifen gespeicherte Information, da solche Information leicht unter Verwendung einfach erhältlicher Geräte gelesen oder verändert werden kann. Außerdem können die auf dem Magnetstreifen aufgenommenen Daten durch Schmutz, Kratzer oder Berührung des Magnetstreifens mit magnetischen Materialien verzerrt oder zerstört werden. Ferner ist die Kapazität einer solchen Magnetstreifen-Kunststoffkarte auf etwa 0,5 KBit bis 1,7 KBit oder etwa 70 bis 200 alphanumerische Zeichen beschränkt.
Ein anderer Kartentyp, bekannt als Laserkarte, ähnelt der Magnetstreifen-Kunststoffkarte, ersetzt aber den Magnetstreifen durch einen Streifen aus reflektierendem Material. In der Laserkarte wird Information durch das Brennen mikroskopischer Löcher in die Oberfläche des reflektierenden Streifens mit einem Laser niedriger Leistung gespeichert. Obwohl die Laserkarte zu sehr hohen Datenspeicherkapazitäten bis zu 1 Million Bits fähig ist, bietet sie ebenfalls keinen angemessenen Schutz gegen unautorisierten Zugriff auf die auf dem offenliegenden reflektierenden Streifen gespeicherten Daten, der mit der richtigen Ausrüstung leicht gelesen oder beschrieben werden kann.
Noch ein weiterer Informationskartentyp enthält einen Integrierte- Schaltungs-Speicher entweder als Nur-Lese- oder als Schreib/Lese-Variante. Eine solche Speicherkarte hat typischerweise eine Vielzahl elektrischer Kontakte, die an einer oder mehreren Kanten der Karte oder auf einer Seite der Karte liegen, um elektrischen Zugriff auf Adreß-, Daten- und jegliche Steueranschlüsse des Speichers in der Karte zu ermöglichen. Solche Speicherkarten bieten jedoch im allgemeinen verhältnismäßig wenig oder keinen Schutz gegenüber unautorisiertem Zugriff auf die in der Karte gespeicherten Daten, da der Inhalt des Kartenspeichers in den meisten Fällen mit der geeigneten Ausrüstung leicht ausgelesen werden kann oder diesem etwas hinzugefügt werden kann. Desweiteren verwenden manche Speicherkarten einen flüchtigen Speicher, der eine teure eingebaute Stromversorgung in der Karte erfordert, um den Verlust der im Kartenspeicher gespeicherten Daten zu verhindern. Die vorerwähnten Schwächen von Speicherkarten haben ihre Verwendung im wesentlichen eingeschränkt.
Noch ein weiterer Typ einer Informationskarte, bekannt als die Karte mit verdrahteter Logik, enthält eine integrierte, festverdrahtete Logikschaltung zusammen mit einem nichtflüchtigen Integrierte-Schaltungs-Speicher, um verbesserte Sicherheit für die im Speicher gespeicherten Daten bereitzustellen. In einer solchen Karte kann der Zugriff auf den Speicher ganz unter der Kontrolle der festverdrahteten Logikschaltung stehen, die die Eingabe eines geheimen Codes oder Schlüssels erfordern kann, bevor Zugriff auf die Daten gewährt wird. Wegen der beschränkten Verarbeitungsmöglichkeiten der festverdrahteten Logikschaltung waren die Karten mit verdrahteter Logik auf verhältnismäßig einfache Anwendungen wie Bezahlung und Aufzeichnung von Telefonaten beschränkt.
Die neueste Generation von Informationskarten, die normalerweise als "intelligente" oder "smarte" Karten bezeichnet wird, enthält eine programmierbare integrierte Prozessorschaltung zusammen mit einer nichtflüchtigen integrierten Speicherschaltung in der Karte. Da der programmierbare Prozessor stark erweiterte Verarbeitungsfähigkeiten bereitstellt, kann die Karte ein hochentwickeltes Sicherheitssystem zum Verhindern von unautorisiertem oder betrügerischem Zugriff auf einige oder alle im Kartenspeicher gespeicherten Daten enthalten.
Ein derartiges Sicherheitssystem wird im U.S. Patent No. 4,211,919 beschrieben, das Michael Ugon erteilt und am 8. Juli 1980 herausgegeben wurde. In diesem Sicherheitssystem ist der Kartenspeicher in drei besondere Zonen unterteilt, nämlich: eine Geheimzone, in der Lese- und Schreiboperationen nur durch den internen Prozessor der Karte erlaubt sind; eine Arbeitszone, in der Lese- und Schreiboperationen direkt durch eine externe Karten-Leser/Schreiber-Vorrichtung erlaubt sind; und eine Lesezone, in der nur Leseoperationen direkt durch die Karten-Leser-/Schreiber-Vorrichtung erlaubt sind. Die Geheimzone des Kartenspeichers enthält wenigstens einen Schlüssel oder Code, der mit einem von einer Karten-Leser/Schreiber-Vorrichtung empfangenen Schlüssel verglichen wird, um zu bestimmen, ob eine besondere Zugriffsoperation auf die Arbeitszone zulässig ist.
Das oben beschriebene Karten-Sicherheitssystem hat das Problem, daß die Datensegmente der Arbeitszone nur im Anwendungsprogramm des Hostrechners des Kartensystems definiert werden können und deshalb die Komplexität eines derartigen Anwendungsprogramms erhöht wird. Außerdem haben alle Daten in der Arbeitszone jeweils nur eine einzige Sicherheitsstufe für Lese- und Schreiboperationen, das heißt, mit Eingabe des richtigen Schlüssels oder der richtigen Kombination von Schlüsseln kann die gesamte Arbeitszone gelesen oder geschrieben werden.
Bei vielen Anwendungen für Informationskarten ist es wünschenswert, die Flexibilität zu haben, die Datenzonen des Kartenspeichers innerhalb der Karte selbst definieren zu können und verschiedene Sicherheitsstufen für Lese- oder Schreiboperationen in den verschiedenen Datenzonen zuweisen zu können, um sich nach der einzelnen Anwendung zu richten. Zum Beispiel wäre es bei einer Anwendung in der Gesundheitsfürsorge, bei der die Karte zum Speichern von Daten verwendet wird, die einen Empfänger der Gesundheitsfürsorge betreffen, angemessen, den Zugriff auf bestimmte Kategorien von Daten nur auf bestimmte Klassifizierungen von Gesundheitsfürsorgepersonal (z. B. Ärzte, Apotheker, etc.) zu beschränken und ähnlich die Befugnis zum Hinzufügen oder Verändern der Daten im Kartenspeicher zu beschränken. Es ist deshalb wünschenswert, die verschiedenen Datenkategorien, die den Empfänger der Gesundheitsfürsorge betreffen, in verschiedenen Zonen des wie in der Karte definierten Kartenspeichers zu speichern und jeder Datenzone basierend auf einem oder mehreren Zugriffsschlüsseln eine geeignete Zugriffs-Sicherheitsstufe für Lese- und Schreiboperationen zuzuweisen.
Folglich gibt es klarerweise einen Bedarf für eine IC-Karten-Struktur und ein Verfahren, bei dem der Kartenspeicher in eine gewünschte Anzahl von Datenzonen aufgeteilt werden kann, nachdem diese Karte hergestellt wurde und bei dem jeder Datenzone des Kartenspeichers basierend auf einem oder mehreren Zugriffsschlüsseln eine jeweilige Sicherheitsstufe für Lese- oder Schreiboperationen in dieser Zone zugewiesen werden kann. Ein System, das eine IC-Karte und ein Verfahren verwendet, kann vorteilhaft Vorkehrungen zum Verhindern der Verbreitung der Kenntnis der Zugriffsschlüssel oder von Kombinationen solcher Schlüssel, die die Sicherheitsstufen für die Datenzonen des Kartenspeichers definieren, und zum Initialisieren der Karten (d. h. Definieren der Datenzonen des Kartenspeichers, Zuweisen der jeweiligen Sicherheitsstufen zu jeder Datenzone und Laden der richtigen Daten in die verschiedenen Datenzonen des Kartenspeichers) für jede Anwendung auf der Grundlage einer Massenproduktion enthalten.
Aus EP-A-0 152 024 ist eine IC-Informationskarte bekannt, die folgendes umfaßt: eine Eingabe/Ausgabe-Einrichtung in der Karte, um wenigstens Daten, Befehle und Schlüsselcodes zu empfangen; eine nichtflüchtige Speichereinrichtung mit einer Vielzahl von adressierbaren Bit-Speicherstellen; eine Einrichtung in der Karte, die auf die Zonendefinitionsdaten und einen in der Karte gespeicherten Schlüsselcode zum Erlauben des Zugriffs auf vorherbestimmte Zonen reagiert, falls ein eingegebener, empfangener Tastenschlüssel mit dem in der Karte gespeicherten Tastenschlüssel übereinstimmt. Ein Zonenzugriffs-Kontroller speichert ein Paßwort und eine Zugriffsbedingung für jede Zone im Speicher.
Eine ähnliche IC-Karte ist aus der US Patentschrift 4,211,919 bekannt. Diese IC-Karte hat in der Karte eine Speichereinrichtung mit unterschiedlichen Zonen mit unterschiedlichen Zugriffsbedingungen. Wenigstens eine Zone des Speichers enthält wenigstens einen Schlüssel oder Code, der mit einem von einer außerhalb des Datenträgers liegenden Vorrichtung empfangenen Schlüssel verglichen wird, um zu bestimmen, ob eine einzelne Operation zulässig ist.
Aus der US Patentschrift 4,211,919 ist desweiteren ein Initialisierungssystem für aus EP-A-0 1 52 024 bekannte IC-Informationskarten bekannt.

Zusammenfassung der Erfindung

Entsprechend der vorliegenden Erfindung werden eine IC-Informationskarte, Systeme zum Verwenden und Initialisieren derartiger Karten und Verfahren zum Segmentieren des Kartenspeichers und zum Verhindern der Verbreitung der Kenntnis von Zugriffscodes bereitgestellt, die die Grenzen und Probleme des Stands der Technik wie oben beschrieben überwinden oder wenigstens mildern.
Die IC-Informationskarte gemäß der vorliegenden Erfindung umfaßt eine Eingabe/Ausgabeeinrichtung in der Karte um wenigstens Daten, Befehle und Tastenschlüssel zu empfangen und um wenigstens Daten bereitzustellen. Zusätzlich enthält die Karte eine nichtflüchtige Lese/Schreib- Speichereinrichtung in der Karte, wobei die Speichereinrichtung eine Vielzahl von adressierbaren Bit-Speicherstellen hat. Außerdem enthält die Karte eine erste Einrichtung in der Karte, die auf einen ersten Befehl, Zonendefinitionsdaten und einen von der Eingabe/Ausgabeeinrichtung empfangenen, eingegebenen Tastenschlüssel reagiert, um den eingegebenen Tastenschlüssel mit einem ersten in der Karte gespeicherten Tastenschlüssel zu vergleichen und um, nur falls der empfangene Tastenschlüssel mit dem ersten Tastenschlüssel übereinstimmt, die Zonendefinitionsdaten in einen ersten Bereich der Speichereinrichtung zu schreiben, wobei die Zonendefinitionsdaten ein oder mehrere Zonendefinitionsworte aufweisen, von denen jedes einer jeweiligen Datenzone in einem zweiten Bereich der Speichereinrichtung entspricht, und jedes Zonendefinitionswort wenigstens die Anfangsadresse der zugehörigen Datenzone und die Größe der zugehörigen Datenzone ziert.
Für jede der Datenzonen können Sicherheitsstufen spezifiziert werden durch Ausstatten der Karte mit einer zweiten Einrichtung, die auf einen zweiten Befehl, Tastenschlüsseldaten, die einen oder mehrere zusätzliche Tastenschlüssel aufweisen und einen durch die Eingabe/Ausgabe-Einrichtung empfangenen eingegebenen Tastenschlüssel reagiert, zum Vergleichen des eingegebenen Tastenschlüssels mit dem ersten Tastenschlüssel und, nur falls der eingegebene Tastenschlüssel mit dem ersten Tastenschlüssel übereinstimmt, zum Schreiben der zusätzlichen Tastenschlüssel in einen dritten Bereich der Speichereinrichtung, und wobei jedes Zonendefinitionswort desweiteren entweder keinen Tastenschlüssel oder einen oder mehrere des ersten Tastenschlüssels und den oder die zusätzlichen Tastenschlüssel als zum Empfang durch die Eingabe/Ausgabeeinrichtung erforderlich spezifiziert, um Daten aus der zugehörigen Zone zu lesen und entweder keinen Tastenschlüssel oder einen oder mehrere des ersten Tastenschlüssels und des oder der zusätzlichen Tastenschlüssel als zum Empfang durch die Eingabe/Ausgabeeinrichtung erforderlich spezifiziert, um Daten in die zugehörige Datenzone zu schreiben.
In der bevorzugten Ausführungsform der IC-Informationskarte wird eine dritte Einrichtung in der Karte bereitgestellt, die auf einen Lesebefehl, einen eine bestimmte Datenzone, von der Daten zu lesen sind, spezifizierenden Code und jeglichen oder jegliche von der Eingabe/Ausgabe-Einrichtung empfangene eingegebene Tastenschlüssel reagiert, um jeglichen eingegebenen Tastenschlüssel oder eingegebene Tastenschlüssel mit jeglichem Tastenschlüssel oder Tastenschlüsseln zu vergleichen, die als erforderlich spezifiziert sind, um in der bestimmten Datenzone Daten zu lesen, um der Eingabe/Ausgabeeinrichtung Daten aus der bestimmten Zone bereitzustellen, wenn der eingegebene Tastenschlüssel oder die eingegebenen Tastenschlüssel mit dem Tastenschlüssel oder den Tastenschlüsseln übereinstimmt, die als erforderlich spezifiziert sind, um Daten aus der bestimmten Datenzone zu lesen, oder wenn kein Tastenschlüssel als erforderlich spezifiziert ist, um Daten aus der bestimmten Datenzone zu lesen. In der bevorzugten Ausführungsform wird auch eine vierte Einrichtung bereitgestellt, die auf einen Schreibbefehl, einen eine bestimmte der Datenzonen, in die Daten zu schreiben sind, spezifizierenden Code, in die ausgewählte Zone zu schreibende Daten und jeglichen von der Eingabe/Ausgabeeinrichtung empfangenen Tastenschlüssel oder eingegebene Tastenschlüssel, um jeglichen eingegebenen Tastenschlüssel oder eingegebene Tastenschlüssel mit jeglichem als zum Schreiben von Daten in die ausgewählte Datenzone als erforderlich spezifizierten Tastenschlüssel oder Tastenschlüsseln zu vergleichen, und zum Schreiben der empfangenen Daten in die ausgewählte Datenzone, wenn der oder die eingegebenen Tastenschlüssel mit dem Tastenschlüssel oder den Tastenschlüsseln übereinstimmen, die als erforderlich spezifiziert sind, um Daten in die ausgewählte Datenzone zu schreiben, oder wenn kein Tastenschlüssel als erforderlich spezifiziert ist, um Daten in die ausgewählte Datenzone zu schreiben.
Außerdem werden in der bevorzugten Ausführungsform der IC-Informationskarte Daten in jeder Datenzone als aufeinanderfolgend angeordnete Datensätze gespeichert und jedes Zonendefinitionswort spezifiziert desweiteren die maximale Anzahl der Datensätze, die in der zugehörigen Zone gespeichert werden können, die Länge der Daten in jedem Datensatz in der zugehörigen Zone und einen Zonenzuordnungsbereich in der Speichereinrichtung zum Abspeichern von Daten, die den Ort des nächsten in der zugehörigen Zone zu speichernden Datensatzes anzeigen. Jeder in einer Datenzone gespeicherte Datensatz enthält ein Prüfsummen-Byte und ein Datensatz-Statusbyte, das die Gültigkeit des Datensatzes anzeigt. Zusätzlich spezifiziert jedes Zonendefinitionswort desweiteren, ob die der Eingabe/Ausgabeeinrichtung durch die dritte Einrichtung als Antwort auf einen Lesebefehl und einen die von der zugehörigen Zone zu lesenden Daten spezifizierenden Code bereitgestellten Daten nur der letzte in die zugehörige Zone zu schreibende Datensatz, oder alle in der zugehörigen Zone gespeicherten Datensätze in der Reihenfolge, in der derartige Datensätze in die zugehörige Zone geschrieben werden, sind.
Eine zusätzliche Eigenschaft der bevorzugten Ausführungsform der IC-Informationskarte entsprechend der vorliegenden Erfindung ist das "Verriegeln" der Karte nach einer spezifizierten Anzahl von aufeinanderfolgenden erfolglosen Versuchen, auf die Karte zuzugreifen. Diese Eigenschaft ist auf die folgende Art und Weise implementiert. Die Speichereinrichtung enthält desweiteren eine Vielzahl von aufeinanderfolgend geordneten Verriegelungszustandsworten, die ein erstes und ein letztes Verriegelungszustandswort umfassen, wobei jedes Verriegelungszustandswort eine vorbestimmte Anzahl von aufeinanderfolgend geordneten Bitpositionen aufweist, die eine erste und eine letzte Bitposition umfassen, wobei jede Bitposition jedes Verriegelungszustandsworts ursprünglich in einem zweiten binären Zustand ist. Zusätzlich umfaßt die Karte desweiteren eine fünfte Einrichtung in der Karte, die auf eine nicht zustandegekommene Übereinstimmung eines eingegebenen Tastenschlüssels mit einem in der Karte gespeicherten Tastenschlüssel als Ergebnis eines Tastenschlüsselvergleichs reagiert, der durch die erste, zweite, dritte oder vierte Einrichtung ausgeführt wurde, um einen ersten binären Zustand in die niederwertigste Bitposition zu schreiben, die in dem zweiten binären Zustand des niederwertigsten Verriegelungszustandsworts ist, in dem die höchstwertige Bitposition in dem zweiten binären Zustand ist. Die fünfte Einrichtung reagiert auf eine Übereinstimmung eines eingegebenen Tastenschlüssels mit einem in der Karte gespeicherten Tastenschlüssel, die direkt nach dem Fehlschlagen der Übereinstimmung eines eingegebenen Tastenschlüssels mit einem in der Karte gespeicherten Tastenschlüssel als ein Ergebnis eines Vergleichs, der durch die erste, zweite, dritte oder vierte Einrichtung ausgeführt wird, auftritt, um einen ersten binären Zustand in die höchstwertige Bitposition des Verriegelungszustandsworts zu schreiben, in die durch die fünfte Einrichtung als Antwort auf das direkt vorhergegangene Fehlschlagen einer Übereinstimmung eines eingegebenen Tastenschlüssels mit einem in der Karte gespeicherten Tastenschlüssel ein erster binärer Zustand geschrieben worden ist. Die Karte weist desweiteren eine sechste Einrichtung in der Karte auf, die auf ein Verriegelungszustandswort, bei dem alle außer seiner höchsten Bitposition in dem ersten binären Zustand sind, reagiert, um die Karte in einen verriegelten Zustand zu bringen, in dem wenigstens der Lese- und Schreibzugriff auf die ersten und zweiten Bereiche des Speichers verhindert wird. Schließlich enthält die Karte eine siebte Einrichtung in der Karte, die auf einen Entriegelungsbefehl und einen oder mehrere eingegebene Tastenschlüssel reagiert, zum Vergleich des eingegebenen Tastenschlüssels oder der eingegebenen Tastenschlüssel mit einem vorausgewählten Tastenschlüssel oder Tastenschlüsseln, die in der Karte gespeichert sind und zum Schreiben eines ersten binären Zustands in die höchstwertige Bitposition des Verriegelungszustandswortes, bei dem alle außer der höchstwertigen Bitposition in dem ersten binären Zustand sind, um die Karte aus ihrem verriegelten Zustand freizugeben, falls der eingegebene Tastenschlüssel oder die Tastenschlüssel mit dem vorausgewählten Tastenschlüssel oder den vorausgewählten Tastenschlüsseln übereinstimmen.
In der bevorzugten Ausführungsform der IC-Informationskarte entsprechend der Erfindung, sind die erste, zweite, dritte, vierte, fünfte, sechste und siebte Einrichtung in einem geeignet programmierten Mikroprozessor enthalten, der betriebsmäßig mit der Eingabe/Ausgabe-Einrichtung verknüpft ist und die Speichereinrichtung enthält einen programmierbaren Nur-Lese-Speicher, der betriebsmäßig mit dem Mikroprozessor verbunden ist.
Die oben beschriebene IC-Informationskarte gemäß der Erfindung wird vorteilhaft verwendet in Zusammenhang mit einer Zwei-Karten-Leser/Schreiber-Einrichtung mit einem ersten und einem zweiten Einlaß zum Aufnehmen jeweils der ersten und zweiten Karte und einer Kopplungseinrichtung zum Koppeln an deren Eingabe/Ausgabe-Einrichtung, um wenigstens Befehle, Daten und Tastenschlüssel zu empfangen und um wenigstens Daten bereitzustellen, und einer Leser/Schreib-Speichereinrichtung. Die Leser/Schreib-Einrichtung enthält desweiteren eine erste Einrichtung, die auf die Kopplungseinrichtung reagiert, die einen Befehl zum Lesen der zweiten Karte, einen Code, der eine bestimmte Zone in der zweiten Karte spezifiziert, aus der Daten zu lesen sind, und jeglichen Tastenschlüssel oder jegliche Tastenschlüssel empfängt, die in die erste Karte einzugeben sind, um der Eingabe/Ausgabe-Einrichtung der ersten Karte einen oder mehrere Lesebefehle zusammen mit einem Code oder Codes, die die Datenzone oder Datenzonen der Speichereinrichtung der ersten Karte spezifizieren, in denen der Tastenschlüssel oder die Tastenschlüssel gespeichert sind, die zum Lesen von Daten in der bestimmten Zone der zweiten Karte erforderlich sind, gespeichert sind und jeglichen Tastenschlüssel oder jegliche Tastenschlüssel, die von der Kopplungseinrichtung empfangen werden, bereitzustellen. Die erste Einrichtung überträgt dann einen derartigen erforderlichen Tastenschlüssel oder derartige erforderliche Tastenschlüssel zur Leser/Schreib-Speichereinrichtung, falls der Tastenschlüssel oder die Tastenschlüssel, die von der Kopplungseinrichtung empfangen wurden, mit dem oder den jeweiligen Tastenschlüssel oder Tastenschlüsseln übereinstimmen, die erforderlich sind, um eine oder mehrere Datenzonen der ersten Karte zu lesen, oder, falls keine Tastenschlüssel erforderlich sind, um derartige Datenzonen zu lesen. Danach stellt die erste Einrichtung der Eingabe/Ausgabe-Einrichtung der zweiten Karte den Lesebefehl, einen Code, der die bestimmte Datenzone spezifiziert, und den oder die Tastenschlüssel zum Lesen von Daten in der bestimmten Zone, die von der Speichereinrichtung der ersten Karte zur Leser/Schreib-Speichereinrichtung übertragen werden, bereit und überträgt jegliche Daten, die von der Eingabe/Ausgabe- Einrichtung der zweiten Karte bereitgestellt werden, zur Leser/Schreib- Speichereinrichtung.
Die Zwei-Karten-Leser/Schreib-Einrichtung enthält ebenfalls eine zweite Einrichtung, die auf die Kopplungseinrichtung reagiert, die einen Befehl zum Schreiben auf die zweite Karte, einen Code, der eine ausgewählte Zone in der zweiten Karte spezifiziert, in der Daten zu schreiben sind, die in der ausgewählten Zone zu schreibenden Daten und jeglichen oder jegliche Tastenschlüssel, die in die Karte einzugeben sind, empfängt, um der Eingabe/Ausgabe-Einrichtung der ersten Karte einen oder mehrere Lesebefehle zusammen mit einem Code oder Codes, die die Datenzone oder Datenzonen der Speichereinrichtung der ersten Karte spezifizieren, wo der oder die Tastenschlüssel gespeichert sind, die erforderlich sind, um Daten in die ausgewählte Zone der zweiten Karte zu schreiben, und jeglichen Tastenschlüssel oder jegliche Tastenschlüssel, die von der Kopplungseinrichtung empfangen werden, bereitzustellen. Die zweite Einrichtung überträgt dann den oder die derartigen erforderlichen Tastenschlüssel zur Leser/Schreib-Speichereinrichtung, wenn der oder die von der Kopplungseinrichtung empfangenen Tastenschlüssel mit dem oder den jeweiligen Tastenschlüsseln übereinstimmen, die erforderlich sind, um eine oder mehrere Datenzonen der Speichereinrichtung der ersten Karte zu lesen, oder wenn keine Tastenschlüssel erforderlich sind, um derartige Datenzonen zu lesen. Danach stellt die zweite Einrichtung der Eingabe/Ausgabe-Einrichtung der zweiten Karte den Schreibbefehl, einen Code, der die ausgewählte Zone spezifiziert, die in der ausgewählten Zone zu schreibenden Daten und den oder die Tastenschlüssel, die erforderlich sind, um Daten in der ausgewählten Zone zu schreiben, die von der Speichereinrichtung der ersten Karte zum Leser/Schreib-Speicher übertragen wurden, bereit.
Somit wird entsprechend der vorliegenden Erfindung durch Verwendung der IC-Informationskarte mit der Zwei-Karten-Leser/Schreib-Einrichtung in der vorausgehenden Art und Weise die Verbreitung der Kenntnis der zum Zugriff auf die Datenzonen einer Karte erforderlichen Tastenschlüssel vermieden. In der bevorzugten Ausführungsform enthält die erste Karte eine Datenzone, die einen Identifikationscode speichert, der für diese Karte einzigartig ist. Der Identifikationscode der ersten Karte wird von der Leser/Schreib-Einrichtung gelesen und im Leser/Schreib-Speicher nach der ersten Einführung der Karte in die Leser/Schreib-Einrichtung gespeichert. Der Identifikationscode in der ersten Karte wird vor jedem Lese- oder Schreibzugriff auf die zweite Karte wieder gelesen und mit dem Identifikationscode, der in der Leser/Schreib-Einrichtung gespeichert ist, verglichen. Wenn der Identifikationscode, der vor dem Zugriff auf die zweite Karte gelesen wird, nicht mit dem Identifikationscode, der in der Leser/Schreib-Einrichtung gespeichert ist, übereinstimmt, wird der Zugriff auf die zweite Karte verhindert.
Desweiteren werden gemäß der Erfindung die oben beschriebenen IC-Informationskarten durch ein Initialisierungssystem initialisiert, das eine Eingabeeinrichtung zum Aufnehmen jeweils einer der zu initialisierenden Karten zu einem Zeitpunkt und zum Koppeln an die Eingabe/Ausgabe-Einrichtung der dabei aufgenommenen Karte und eine Initialisierungsspeichereinrichtung zum Speichern des ersten Tastenschlüssels, geeigneter Zonendefinitionsdaten und eines zusätzlichen Tastenschlüssels oder zusätzlicher Tastenschlüssel enthält. Zusätzlich enthält das Initiaiisierungssystem eine erste Initialisierungseinrichtung zum Schreiben der in der Initialisierungsspeichereinrichtung gespeicherten Zonendefinitionsdaten in den ersten Bereich der durch die Eingabeeinrichtung aufgenommenen Karte unter Verwendung eines ersten Befehls und des ersten in der Initialisierungsspeichereinrichtung gespeicherten Tastenschlüssels. Außerdem enthält das Initialisierungssystem eine zweite Initialisierungseinrichtung zum Schreiben des oder der zusätzlichen Tastenschlüssel, die im Initialisierungsspeicher gespeichert sind, in einen dritten Bereich der Speichereinrichtung der von der Eingabeeinrichtung aufgenommenen Karte unter Verwendung eines zweiten Befehls und des ersten in der Initialisierungsspeichereinrichtung gespeicherten Tastenschlüssels.
Das Initialisierungssystem gemäß der bevorzugten Ausführungsform der Erfindung wird auch dazu verwendet, die Datenzonen der IC-Informationskarte mit den für eine bestimmte Anwendung geeigneten Daten zu laden. Dies wird erreicht durch das Ausstatten der Karte mit einer zweiten Speichereinrichtung wie einem Magnetstreifen zum Speichern eines Datei- Identifikationscodes und des Initialisierungssystems mit einer Einrichtung zum Lesen des zweiten Speichers wie eines Magnetstreifenlesers zum Erhalten des Datei-Identifikationscodes einer Karte, die von der Aufnahmeeinrichtung des Systems aufgenommen wird. Zusätzlich enthält das Initialisierungssystem eine Massenspeichereinrichtung zum Speichern einer Vielzahl von Datendateien, von denen jede mit einer jeweiligen Datei-Identifikationsnummer verknüpft ist, wobei jede Datendatei eine Vielzahl von Datensegmenten hat, die den jeweiligen Datenzonen einer Karte entsprechen, wie sie durch die von der ersten Initialisierungseinrichtung in die Karte geschriebenen Zonendefinitionsdaten definiert sind. Es ist desweiteren eine dritte Initialisierungseinrichtung enthalten, die auf den Datei-Identifikationscode reagiert, der durch die Einrichtung zum Lesen der zweiten Speichereinrichtung erhalten wird, um in den Datendateien in der Massenspeichereinrichtung die mit diesem Datei-Identifikationscode verknüpfte Datendatei zu suchen. Das Initialisierungssystem enthält desweiteren eine vierte Initialisierungseinrichtung zum Schreiben der Segmente der verknüpften Datendatei in die entsprechenden Datenzonen der Speichereinrichtung der durch die Eingabeeinrichtung aufgenommenen Karte unter Verwendung eines Schreibbefehls und eines geeigneten Tastenschlüssels oder geeigneter Tastenschlüssel, die, wenn überhaupt, für das Schreiben von Daten in jede entsprechende Datenzone erforderlich sind.
Gemäß der vorliegenden Erfindung wird desweiteren ein Verfahren zum Segmentieren des Datenspeicherbereichs des IC-Karten-Speichers in eine Vielzahl von Segmenten, von denen jedes zuweisbare Attribute einschließlich einer zuweisbaren Sicherheitsstufe hat, und ein Verfahren zum Verhindern der Ausbreitung der Kenntnis der Zugriffscodes für eine IC-Informationskarte durch Speichern derartiger Codes in einer Kontrollkarte und Verwenden einer Zwei-Karten-Lese/Schreib-Einrichtung bereitgestellt.
Fachleuten für den Stand der Technik werden sich mit Bezug auf die folgende detaillierte Beschreibung der Erfindung, die anhängenden Ansprüche und die begleitenden Zeichnungen zahlreiche andere Vorzüge und Ziele zeigen.

Kurze Beschreibung der Zeichnungen

Fig. 1 ist ein Blockdiagramm des IC-Informationskartensystems gemäß der Erfindung;
Fig. 2A ist eine Draufsicht der IC-Informationskarte gemäß der Erfindung;
Fig. 2B ist eine aufgerichtete Querschnittsansicht der IC-Karte aus Fig. 2A entlang der Linie 2B-2B;
Fig. 3 ist ein schematisches elektrisches Diagramm der CPU und des EPROM der IC-Informationskarte gemäß der Erfindung;
Fig. 4 verdeutlicht die Speicheraufteilung des Speichers in der IC- Informationskarte gemäß der Erfindung;
Fig. 5 verdeutlicht das Datensatz-Statusbyte eines Datensatzes;
Fig. 6 verdeutlicht den Sicherheitsstufen-Definitionsteil eines Zonendefinitionswortes im Speicher der IC-Informationskarte gemäß der Erfindung;
Fig. 7 zeigt einen Speicherauszug, der sowohl die Testadresse, die System- und Benutzerbereiche als auch die Beziehung zwischen physikalischen und logischen Adressen der IC-Informationskarte gemäß der Erfindung darstellt;
Fig. 8 zeigt einen Speicherauszug, der den Sicherheits-Management-Bereich, den Zonendefinitionsbereich und den Datenbereich des Speichers der IC-Informationskarte gemäß der Erfindung darstellt;
Fig. 8A zeigt einen Speicherauszug, der die Organisation einer einzelnen Datenzone der IC-Informationskarte gemäß der Erfindung darstellt;
Fig. 9 ist ein Flußdiagramm, das allgemein den Betrieb der IC-Informationskarte nach Empfang eines Befehls vom Leser/Schreiber zeigt;
Fig. 10 ist ein Blockdiagramm des IC-Informationskarten-Lesers/Schreibers gemäß der Erfindung;
Fig. 11 ist ein schematisches Diagramm der Interfaceschaltung für die Karten-Transporteinheit für den IC-Informationskarten-Schreiber/Leser von Fig. 10;
Fig. 1 2 und Fig. 13 zeigen zusammen das schematische Diagramm des IC-Informationskarten-Schreibers/Lesers von Fig. 10;
Fig. 14 zeigt die Speicheraufteilung von ROM und RAM des IC-Informationskarten-Schreibers/Lesers von Fig. 10;
Fig. 1 5 zeigt die Konfiguration der Software für das IC-Informationskartensystem gemäß der Erfindung in Form eines Blockdiagramms;
Fig. 16 zeigt ein Blockdiagramm des IC-Informationskarten-Initialisierungssystems gemäß der Erfindung;
Fig. 17 zeigt einen Speicherauszug, der die allgemeine Organisation einer Hauptkarte für den IC-Informationskarten-Initialisierer gemäß der Erfindung darstellt;
Fig. 18 bis Fig. 22 zeigen
Flußdiagramme, die den Initialisierer- Programmfluß gemäß der Erfindung repräsentieren;
Fig. 23 bis Fig. 39 zeigen die Befehlsprotokolle des BIOS-Programms des IC-Informationskarten-Lesers/Schreibers gemäß der Erfindung;
Fig. 40A und Fig. 40B zeigen
Flußdiagramme, die den Prozeßfluß des Anwendungsprogramms des IC-Informationskarten-Lesers/Schreibers gemäß der Erfindung repräsentieren;
Fig. 41 bis Fig. 91B zeigen die Flußdiagramme des Programms des Mikroprozessors der IC-Informationskarte gemäß der Erfindung; und
Fig. 92 bis Fig. 107B zeigen die Kommunikationsprotokolle für die Befehle des Programms des IC-Informationskarten-Initialisierers gemäß der Erfindung.

Detaillierte Beschreibung der bevorzugten Ausführungsformen

Wie in Fig. 1 gezeigt umfaßt ein IC-Kartensystem 100 gemäß der Erfindung eine IC-Karte 10, die über ihre Kontakte 24 mit den entsprechenden Kontakten in einem Leser/Schreiber (R/W) 14 verbunden ist. Das System umfaßt ebenfalls einen Hostrechner 16, der mit dem Leser/Schreiber 14 durch eine elektrische Verbindung 18 verbunden ist, die eine RS-232-C- Kommunikationsverbindung umfassen kann. Der Hostrechner 16 kann ein IBM Modell XT sein. Wie unten beschrieben werden wird, hat der Leser/Schreiber 14 zwei Aufnahmen oder Einlässe zum gleichzeitigen Aufnehmen von bis zu zwei IC-Karten 10. Die einzelnen Komponenten des Systems werden jetzt genauer beschrieben werden.

IC-Karte

Die IC-Karte 10 hat wie in Fig. 2A und Fig. 2B gezeigt vorzugsweise dieselbe allgemeine Größe wie eine gewöhnliche Magnetstreifen-Kreditkarte mit einer Größe von 54 auf 84 auf 0,76 mm. Die IC-Karte hat einen Magnetstreifen 19 und enthält eine CPU 20 und einen nichtflüchtigen Speicher in Form eines PROM oder EPROM 22. Alternativ kann eine Speichervorrichtung wie ein EEPROM, d. h. ein elektrisch löschbarer programmierbarer Nur- Lese-Speicher als Speichervorrichtung verwendet werden. Das IC-Modul, das die CPU 20 und das EPROM 22 umfaßt, ist in der Karte 10 unter Verwendung des Fachleuten für den Stand der Technik bekannten Zwischenschichten-Laminierverfahrens eingeschlossen.
Das IC-Modul kann mittels acht Anschlüssen C1 bis C8 wie in Fig. 2A gezeigt elektrisch mit dem Leser/Schreiber 14 verbunden werden. Sowohl die Kartengröße als auch die elektrischen Anschlüsse C1 bis C8 sind so entworfen, daß sie die ISO-(International Organisation for Standardisation)Standards für IC-Karten erfüllen. Diese Standards sehen im wesentlichen acht Anschlüsse C1 bis C8 vor, die in der in Fig. 2A gezeigten Anordnung untergebracht und positioniert sind, wobei die Abmessungen eines jeden Anschlusses 2,0 auf 3,9 mm und die vertikalen und horizontalen Abstände von Kante zu Kante jeweils 0,54 mm und 7,62 mm sind. Die Anschlüsse C1 bis C8 sind daran angepaßt, mit entsprechenden Kontakten (nicht gezeigt) im Leser/Schreiber 14 ineinanderzugreifen.
Fig. 3 zeigt die elektrischen Verbindungen zwischen den Anschlüssen C1 bis C8, der CPU 20 und dem EPROM 22 genauer. Die CPU kann ein 8-Bit-Mikroprozessor vom Modell 8049 sein. Das EPROM kann vom Modell 2764 C mit einer Speicherkapazität von 64 KBit (d. h. 8 KByte) sein. Die elektrischen Verbindungen zwischen der CPU 20 und dem EPROM 22 schließen einen Steuerbus 26, der zwei Leitungen umfaßt, einen Adreßbus 28, der 13 Leitungen umfaßt, und einen Datenbus 30, der 8 Leitungen umfaßt, ein. Obwohl die besondere Ausführungsform die CPU 20 und das EPROM 22 als separate IC-Chips zeigt, versteht es sich, daß Äquivalente dieser beiden Komponenten auf einem einzelnen IC-Chip hergestellt werden können.
Bezüglich C1 bis C8 und mit Bezug auf Fig. 3 wird der Anschluß C1 als VCC bezeichnet und stellt der CPU und dem Speicher die Spannung (+ 5 Volt) bereit. Der Anschluß C2, bezeichnet als RST, ist der Rücksetzanschluß der CPU. Der Anschluß C3, bezeichnet als CLK, ist der Taktanschluß der CPU. Der Anschluß C5, bezeichnet als GND, ist die Masse. Der Anschluß C6, bezeichnet als VPP, ist der Lese/Schreib-Spannungsanschluß des EPROM (obwohl in manchen Ausführungsformen die einzelne 5 Volt Spannungsquelle C1 diesem Zweck genügt). Der Anschluß C7, bezeichnet als I/O, ist der Dateneingabe/Ausgabeanschluß für die Übertragung von Daten zum und vom Leser/Schreiber. Die Anschlüsse C4 und C8 werden gegenwärtig in der beispielhaften Karte nicht verwendet.

IC-Karten-Speicher

Eine einzigartige Eigenschaft der vorliegenden Erfindung besteht in der Bereitstellung eines Benutzer-(Daten-) Speicherbereichs im EPROM 22 der Karte, der wahlweise in eine Anzahl von Zonen aufgeteilt werden kann, wobei auf jede von diesen wahlweise zugegriffen (zum Lesen, Schreiben oder zu beidem) werden kann, wenn ein vom Benutzer in die Karte eingegebener Schlüssel oder Paßwortcode solchen Zugriff für diese bestimmte Zone erlaubt.
Der Speicher der IC-Karte wird mit Bezug auf Fig. 4 beschrieben werden, die den Datenbereich eines IC-Karten-Speichers zeigt, der in eine Vielzahl von Zonen, deren Anzahl 1 bis 255 sein kann, aufgeteilt ist. Jede Zone wird weiter in einen Zonenzuordnungsbereich und eine Anzahl von 1 bis 255 Datensätzen aufgeteilt. Jeder Datensatz wird weiter in drei Segmente aufgeteilt, wobei das erste das Segment ist, in dem die Daten gespeichert werden, das zweite ein Prüfbyte und das dritte ein Datensatz- Statusbyte ist. Die Länge der Datensätze kann wahlweise vom Benutzer als bis zu 253 Bytes definiert werden, so daß die gesamte Größe des Datensatzes einschließlich des Prüfbytes (CB) und des Datensatz-Statusbytes (SB) bis zu 255 Bytes beträgt.
Das Prüfbyte (CB) wird dazu verwendet, verzerrte Daten in einem Datensatz zu detektieren. Wenn ein Datensatz geschrieben wird, berechnet die IC-Karte unter Verwendung dieser Daten zum Beispiel durch eine Prüfsummierung unter Verwendung des Zweierkomplement-Verfahrens einen Wert und schreibt diesen Wert in den Raum für das Prüfbyte. Wenn ein Datensatz gelesen wird, prüft die IC-Karte durch Ausführen derselben Berechnung und durch Vergleich des berechneten Wertes mit dem als Prüfbyte gespeicherten Wert die Unversehrtheit der Daten. Das Datensatz-Statusbyte (SB) wird verwendet, um Datensatz-Attribute wie die Datengültigkeit zu definieren und wird unter Verwendung der Datensatz-Statusbyte- Schreib-Lese-Befehle des IC-Karten-Programms gelesen oder geschrieben.

Zonendefinition

Die Attribute jeder Zone werden durch das Schreiben einer Zonendefinitionstabelle in das EPROM der IC-Karte definiert. Für jede Zone können die folgenden Zonenattribute definiert werden:
1) Datensatzlänge (Anzahl von Bytes)
2) Anzahl der Datensätze
3) Sicherheitsstufe
4) UPDATE/HISTORY

(a) Datensatzlänge

Die Länge der Daten pro Datensatz wird ausgedrückt als die Anzahl der Bytes im Datensatz. Der kürzeste zulässige Datensatz ist 1 Byte und der längste zulässige Datensatz ist 253 Bytes.

(b) Anzahl der Datensätze

Die Anzahl der Datensätze in jeder Zone kann von 1 bis 255 reichen.

(c) Sicherheitsstufe

Dieses Attribut bezieht sich auf die Zugriffsstufe zum Zeitpunkt des Schreibens oder Lesens eines Datensatzes. Die IC-Karte erfordert normalerweise, daß ein oder zwei Tastenschlüssel entsprechend der für eine Zone definierten Sicherheitsstufe in die Karte eingegeben werden, bevor das Lesen oder Schreiben von Daten in der Zone erlaubt wird. Wenn ein in der Karte für eine bestimmte Zone gespeicherter Tastenschlüssel nicht mit dem von einer externen Quelle (z. B. einem IC-Karten-Leser/Schreiber) eingegebenen Code übereinstimmt, können in dieser Zone Daten nicht gelesen oder geschrieben werden. Die Sicherheits-Kontrollfunktionen der IC-Karte gemäß der vorliegenden Erfindung werden im folgenden in weiterer Ausführlichkeit beschrieben werden.

(d) UPDATE/HISTORY

Dieses Attribut bezieht sich auf den Modus des Lesens von Daten aus der Zone. Falls eine Zone als "UPDATE" definiert ist, wird nur der als letztes geschriebene Datensatz in der Zone erhalten, wenn die Zone gelesen wird. Falls eine Zone als "HISTORY" definiert ist, werden alle Datensätze in der Zone in der Reihenfolge, in der sie geschrieben wurden, erhalten, wenn die Zone gelesen wird. Ob eine bestimmte Zone als UPDATE- Zone oder als HISTORY-Zone zu definieren ist, hängt von der Benutzeranwendung ab.

Daten Lesen/Schreiben

(a) Daten schreiben

Daten werden der Reihe nach in Einheiten von Datensätzen in eine Zone geschrieben. Zum Beispiel, wenn in Zone Nr. N Daten bis zu Datensatz Nr. 1 geschrieben worden sind, werden zusätzliche Daten in Datensatz Nr. 2 geschrieben.

(b) Daten lesen

Daten werden zu einem Zeitpunkt nur aus einer Zone gelesen. Das Verfahren des Lesens der Datensätze hängt davon ab, ob die Zone als UP- DATE oder HISTORY definiert wird. Falls die Zone als UPDATE definiert ist, wird nur der letzte geschriebene Datensatz in der Zone gelesen. Im obigen Beispiel wird Datensatz Nr. 2, der der letzte war, der geschrieben wurde, gelesen, falls Zone Nr. N als UPDATE definiert ist. Falls die Zone als HI- STORY definiert ist, werden alle Datensätze in der Zone in der Reihenfolge, in der die Datensätze geschrieben wurden, gelesen. Im obigen Beispiel werden Daten aus der Zone Nr. N in der Reihenfolge Datensatz Nr. 1 und Datensatz Nr. 2 gelesen, falls diese Zone als HISTORY definiert ist.

(c) Datensatz-Statusbyte

Der Aufbau des Datensatz-Statusbytes ist in Fig. 5 gezeigt. Jedem der Bits M0 bis M7 des Datensatz-Statusbytes kann eine spezielle Bedeutung im Datensatz gegeben werden. Die Bedeutung jedes Bits muß im Voraus durch die Systemanwendung definiert werden, die die IC-Karte verwendet. Das Bit M7 wird normalerweise dazu verwendet, "Datensatz- Löschung" oder "unnötiger Datensatz" anzuzeigen. Das Datensatz-Statusbyte kann geschrieben oder gelesen werden, indem ein geeigneter Befehl an die IC-Karte ausgegeben wird.

Tastenschlüssel (Paßwortcodes)

Diese IC-Karte benötigt einen Paßwortcode wenn Daten im Kartenspeicher gelesen oder geschrieben werden, um unautorisierte Verwendung der Karte zu vermeiden. Der Paßwortcode wird in Anwendungen, die keine Sicherheit erfordern, nicht benötigt, wie im folgenden beschrieben werden wird.
Es gibt die folgenden vier Typen von Schlüsseln oder Paßwortcodes:
1) Hersteller-Schlüssel (M-Schlüssel) 8 Byte
2) Personalisierungs-Schlüssel (P-Schlüssel) 8 Byte
3) Organisations-Schlüssel (O-Schlüssel) 8 Byte
4) PIN 4 Byte

(a) Hersteller-Schlüssel (M-Schlüssel)

Der M-Schlüssel wird im Maskenprogramm des Mikroprozessors der IC-Karte definiert. Deshalb kann er auf keine Weise von außen gelesen werden. Der M-Schlüssel ist ein Paßwortcode, der aus 8 Byte besteht und wird durch den Hersteller vor der Herstellung des IC spezifiziert. Der M- Schlüssel muß durch den Hersteller und den Systembenutzer kontrolliert werden und sollte dem Benutzer der IC-Karte nicht bekanntgemacht werden. Der M-Schlüssel wird nur für interne Diagnoseaktivitäten in der Karte verwendet (Mit dem hier erwähnten Systembenutzer ist die Partei gemeint, die die initialisierten Karten an Benutzerorganisationen ausgibt).

(b) Personalisierungs-Schlüssel (P-Schlüssel)

Der P-Schlüssel wird im Maskenprogramm des Mikroprozessors der IC-Karte definiert. Deshalb kann er auf keine Weise von außen gelesen werden. Der P-Schlüssel ist ein Paßwortcode, der aus 8 Byte besteht und kann durch den Systembenutzer auf Anfrage vor der Herstellung der IC- Karte spezifiziert werden. Der P-Schlüssel muß durch den Systembenutzer kontrolliert werden und sollte dem Benutzer der IC-Karte nicht bekanntgemacht werden. Der P-Schlüssel wird bei folgenden Gelegenheiten verwendet:
(1) um einen Organisations-Schlüssel zu schreiben;
(2) um einen PIN-Schlüssel zu schreiben;
(3) um Zonendefinitionstabellen zu schreiben; und
(4) wenn der Systembenutzer eine spezifische Zone für sich selbst verwendet.

(c) Organisations-Schlüssel (O-Schlüssel)

Der O-Schlüssel ist ein 8-Byte-Paßwortcode, den der Systembenutzer definieren kann, nachdem die Karte hergestellt wurde. Wenn er mit einem PIN-Code kombiniert wird, kann der O-Schlüssel eine zusätzliche Sicherheitsstufe für die Karte bereitstellen. Obwohl der O-Schlüssel abhängig von der Anwendung auf verschiedene Arten verwendet werden kann, wird er normalerweise als ein höherrangiger Schlüssel als der PIN-Schlüssel verwendet. Der O-Schlüssel wird im EPROM der IC-Karte gespeichert. Der O- Schlüssel kann auch dazu verwendet werden, den PIN-Schlüssel in das EPROM zu schreiben.

(d) PIN-Schlüssel

Der PIN-(Persönliche Identifikations-Nummer)Schlüssel ist ein 4-Byte Paßwortcode, den der Systemverwender definieren kann nachdem die Karte hergestellt wurde. Wie im Fall des O-Schlüssels kann dieser Schlüssel durch die Anwendung ebenfalls auf verschiedene Weise verwendet werden, aber die gewöhnliche Verwendung des PIN-Schlüssels ist als ein privater Paßwortcode des IC-Karten-Benutzers. Der PIN-Schlüssel wird ebenfalls im EPROM der IC-Karte gespeichert.

Sicherheits-Kontrollfunktion

(a) Sicherheitsstufe

Die Sicherheitsstufe jeder Zone wird in der Zonendefinitionstabelle definiert. Der hier verwendete Ausdruck "Sicherheitsstufe" bedeutet den Schlüssel oder die Kombination von Schlüsseln aus den definierten (P- Schlüssel, O-Schlüssel und PIN), die erforderlich sind, um eine Lese- oder Schreiboperation in einer bestimmten Zone durchzuführen. Lese- und Schreiboperationen für eine gegebene Zone können unterschiedliche Sicherheitsstufen haben. Ein 6-Bit-Teil eine Zonendefinitionswortes, der zum Definieren der Sicherheitsstufen für das Lesen und Schreiben in einer bestimmten Zone verwendet wird und die verschiedenen Sicherheitsstufen gemäß der Erfindung werden in Fig. 6 verdeutlicht.
Die verschiedenen in der IC-Karte gemäß der vorliegenden Erfindung verfügbaren Sicherheitsstufen und der oder die nötigen Schlüssel für jede Sicherheitsstufe sind in Tabelle A zusammengefaßt. Tabelle A
Sicherheitsstufe nötige(r) Schlüssel
0 Zugriff unmöglich
1 PIN
2 O-Schlüssel
3 PIN oder O-Schlüssel
4 PIN und O-Schlüssel
5 P-Schlüssel
6 undefiniert
7 kein Schlüssel erforderlich

(b) Verriegelung der Karte

Wie oben erklärt erfordert die IC-Karte einen Paßwortcode oder Paßwortcodes wie durch die Zonendefinitionstabelle definiert, um in einer Zone zu lesen oder zu schreiben. Wenn ein eingegebener Schlüssel dreimal hintereinander nicht mit einem erforderlichen Schlüssel übereinstimmt, wird die Karte "verriegelt" oder von weiterer Verwendung ausgeschlossen. Die "Verriegelungs"-Funktion bezieht sich auf alle Operationen der IC-Karte (z. B. Schreiben eines PIN- oder O-Schlüssels, Lesen oder Schreiben einer Zonendefinitionstabelle, Lesen oder Schreiben eines Datensatz-Statusbytes, etc.), bei denen ein Schlüssel benötigt wird und ist nicht nur auf das Lesen oder Schreiben eines Datensatzes beschränkt.

(c) Entriegeln der Karte

Ist sie einmal verriegelt, kann die Karte nicht verwendet werden. Sie kann jedoch durch Ausgeben eines "UNLOCK" bzw. Entriegelungsbefehls an die Karte verwendbar gemacht werden. Vor dem Entriegeln der Karte muß vorsichtig bestimmt werden, ob der Grund für das Verriegeln der Karte ein einfacher Fehler beim Merken eines erforderlichen Schlüssels auf seiten des Kartenbenutzers war, oder ein Versuch eines unautorisierten Zugriffs auf die Karte. Der O-Schlüssel (oder P-Schlüssel) und der PIN- Schlüssel werden beide zum Entriegeln einer Karte benötigt. Die Entriegelungsfunktion kann auf einer einzelnen Karte nur bis zu 486 mal ausgeführt werden.

Speicheraufteilung

Fig. 7 zeigt die Speicheraufteilung einer IC-Karte gemäß der vorliegenden Erfindung. Die Karte enthält ein EPROM. Der 64 KBit Speicher besteht aus den folgenden drei Bereichen:
1) Testadresse;
2) Systembereich; und
3) Benutzerbereich.

(a) Testadresse

Diese ist eine physikalische Adresse. Die Adressen 0, 1, 2, 4, 8, 16, 32, 64, 128, 256, 512, 1024, 2048 und 4096 werden zum Zeitpunkt der Herstellung oder während der Verwendung der IC-Karte zum Testen verwendet. Während eines derartigen Tests werden die Daten bei 00H, 11H, 22H, 33H, 44H, 55H, 66H, 77H, 88H, 99H, AAH, BBH, CCH und DDH der Reihe nach in die Testadressen geschrieben. Wenn die Testdaten nicht korrekt an jeder Testadresse gelesen oder geschrieben werden können, wird ein Hardwarefehler angezeigt.

(b) Systembereich

Dieser Bereich wird vom Hersteller der Karte verwendet und ist im allgemeinen weder für den System- noch für den Kartenbenutzer zugänglich. Dieser Bereich wird zum Prüfen der Funktion der Karte, zum Kontrollieren der Karte und zum Erweitern der Anwendung verwendet. Die Größe dieses Bereichs ist 11 9 Byte.

(c) Benutzerbereich

Dieser Bereich speichert Benutzerdaten und hat eine Größe von 8058 Byte. Dieser Bereich ist speziell als "logische Adresse" definiert.
logische Adresse = 0 - 8057 (1F79H) (1)
Falls nicht anderweitig spezifiziert, bedeutet der Begriff "Adresse" wie hier verwendet "logische Adresse".

Formatieren oder Initialisierung der IC-Karte

Vor dem Lesen oder Schreiben eines Datensatzes im IC-Karten-Speicher muß der Speicher formatiert (initialisiert) werden, um einer bestimmten Anwendung für das IC-Kartensystem zu entsprechen. Das Formatieren des IC-Karten-Speichers besteht aus den folgenden beiden Operationen:
1) Schreiben von Tastenschlüsseln; und
2) Schreiben einer Zonendefinitionstabelle.
(a) Schreiben von Tastenschlüsseln Der PIN-Schlüssel (4 Byte) und der O-Schlüssel (8 Byte) müssen in den IC-Karten-Speicher geschrieben werden. Falls die jeweiligen Sicherheitsstufen aller Zonen als "kein Schlüssel erforderlich" definiert sind, brauchen PIN und O-Schlüssel nicht in die Karte geschrieben werden. Einmal hineingeschrieben, können der PIN-Schlüssel und der O-Schlüssel nicht verändert werden.

(b) Schreiben von Zonendefinitionstabellen

Wie oben beschrieben, sind die Zonendefinitionsattribute wie folgt
1) Datensatzlänge;
2) Anzahl der Datensätze;
3) Sicherheitsstufe (für Lesen und Schreiben); und
4) UPDATE/HISTORY Datensatz-Lesemodus.
Zusätzlich zu den obenstehenden müssen auch die folgenden Zonendefinitionsattribute definiert werden:
5) Zonen-Anfangsadresse; und
6) Anzahl der Belegungsbytes.
Ein für jede Zone in den IC-Karten-Speicher geschriebenes Zonendefinitionswort ist 6 Byte lang und enthält Codes, die die obigen sechs Attribute repräsentieren.
Fig. 8 zeigt die Speicheraufteilung einer IC-Karte zum Zeitpunkt der Zonendefinition. Ein Sicherheits-Management-Bereich 705 des IC-Karten- Speichers wird verwendet, um Information für das Detektieren einer unautorisierten Verwendung der Karte zu detektieren. Der Bereich 705 enthält auch drei Statusbits, die jeweils anzeigen, ob der PIN-Schlüssel und der O- Schlüssel geschrieben worden sind und ob ein Zonendefinitionsbereich 706 geschlossen worden ist. Die PIN-Schlüssel und O-Schlüssel selbst werden im Speicherbereich 705 gespeichert.
Der Rest des Sicherheits-Management-Bereichs 705 (243 Byte) wird in 486 4-Bit Nibbles aufgeteilt. Von diesen Nibbles wird jeweils eines pro Zeitpunkt dazu verwendet, erfolglose Versuche auf den IC-Karten-Speicher zuzugreifen, aufzuzeichnen. Jedes Mal wenn ein eingegebener Schlüssel nicht mit einem erforderlichen Schlüssel übereinstimmt, wird das nächste folgende von Null verschiedene Bit des gegenwärtigen Nibble, das dazu verwendet wird, um erfolglose Zugriffsversuche aufzuzeichnen, auf Null gesetzt. Wenn die drei niederwertigsten Bits des gegenwärtigen Nibble alle auf Null gesetzt sind, ist die Karte "verriegelt". Die Karte kann "entriegelt" werden, indem das höchstwertige Bit des gegenwärtigen Nibble auf Null gesetzt wird. Ein Zugriff, bei dem der eingegebene Schlüssel mit dem erforderlichen Schlüssel übereinstimmt, setzt den Zählerstand zurück. Falls das gegenwärtige Nibble irgendwelche erfolglose Zugriffsversuche aufgezeichnet hat, sind alle Bits des gegenwärtigen Nibble auf Null gesetzt. Das Entriegeln oder Zurücksetzen der Karte bewirkt, daß weitere erfolglose Versuche im nächsten folgenden Nibble aufgezeichnet werden.
Fig. 8A zeigt die Speicheraufteilung einer einzelnen Zone 707 wie in Fig. 8 angezeigt. Jede Zone enthält einen Zuordnungsbereich 721, der verwendet wird, um Information darüber zu speichern, welche Datensätze in der Zone geschrieben worden sind. Die Bits im Zuordnungsbereich 721 werden dazu verwendet, den nächsten zugänglichen zu schreibenden Datensatz zu verfolgen. Das niederwertigste Bit des ersten Byte des Zonenzuordnungsbereichs 721 wird auf Null gesetzt, wenn ein erster Datensatz 725 der Zone geschrieben wird. Das nächste niederwertigste Bit im ersten Byte des Zonenzuordnungbereichs 721 wird auf Null gesetzt, wenn ein zweiter Datensatz 726 der Zone geschrieben wird. Der Prozeß dauert an, solange jeder folgende Datensatz geschrieben wird, es wird ein jeweiliges Bit für jeden Datensatz gesetzt, bis die maximale Anzahl von Datensätzen, wie in einem Zonendefinitionswort 703 für diese Zone spezifiziert, geschrieben ist. Wenn ein letzter zugeordneter Datensatz 727 geschrieben ist, können in die Zone 707 keine weiteren Datensätze geschrieben werden, obwohl die Daten in der Zone noch gelesen werden können. In der vorliegenden beispielhaften Ausführungsform befindet sich der Zonenzuordnungsbereich für jede Zone innerhalb der Zone selbst. In einigen Fällen kann es jedoch wünschenswert sein, die Zonenzuordnungsbereiche für alle Zonen zusammen in einem getrennten Bereich des Kartenspeichers an zuordnen.
Das Prüfbyte (CB) 723 wurde bereits in Zusammenhang mit Fig. 4 diskutiert. Das Statusbyte (SB) 724 wurde bereits in Zusammenhang mit Fig. 4 und Fig. 5 diskutiert.
Im IC-Karten-Speicher können bis zu 255 Zonen definiert werden. Da die Anfangsadresse einer Zone im Zonendefinitionswort gespeichert wird, kann es unbenutzten Speicherraum zwischen dem Ende des Zonendefinitionstabellenbereichs und dem Beginn der ersten Zone geben. Ein ähnlicher unbenutzter Speicherraum kann zwischen zwei aneinanderliegenden Zonen vorkommen.

(c) Zonengröße

Die Größe einer Zone Nr. "n" (ausgedrückt als L(n), Anzahl der Bytes) wird unter Verwendung der folgenden Formel berechnet:
L(n) = m(n)·(I(n) + 2) + M(n)/8 (2)
wobei I(n) die Datensatzlänge als Anzahl von Bytes und m(n) die Anzahl der Datensätze ist. Dezimalbrüche werden auf die nächsthöhere ganze Zahl gerundet.

(d) Berechnung der Zonenadresse

Nimmt man an, daß die Anzahl der zu definierenden Zonen M ist, daß dieselbe Adresse nicht für zwei oder mehr Stellen verwendet wird und daß kein unbenutzter Speicherraum existiert, wird die Anfangsadresse S(N) der N-ten Zone wie folgt berechnet:
S(N)= L(n)+6M+256 (3)
Die Endadresse E(N) der N-ten Zone wird wie folgt berechnet:
E(N)= L(n)+6M+255 (4)
Aus den obigen Formeln wird die letzte Adresse E(M) des IC-Karten-Speichers wie folgt berechnet:
E(M)= L(n)+6M+255 (5)
Wegen der Begrenzung des IC-Karten-Speichers gilt jedoch für die letzte Adresse E(M) wie folgt:
E(M)≤8057 (6)
Wegen der Begrenzung des zugänglichen RAM-Pufferraums darf das Produkt aus Datensatzlänge und Anzahl der Datensätze 2048 nicht übersteigen.
I(n)·m(n)≤2048 (800H) (7)

Betrieb der IC-Karte

Fig. 9 ist ein Flußdiagramm des Betriebs der IC-Karte. Gemäß diesem Flußdiagramm empfängt die IC-Karte als erstes bei 801 einen Befehl vom Leser/Schreiber. Dann führt die IC-Karte bei 803 eine Prüfung durch, um zu bestimmen, ob der Befehl durch die Karte unterstützt wird. Wenn der Befehl nicht gültig ist, wird bei 804 ein Fehlercode erzeugt, der das anzeigt und die Verarbeitung endet. Wenn der Befehl jedoch gültig ist, wird er bei 805 ausgeführt und als Ergebnis der Ausführung des Befehls wird bei 806 die Ausgabe bereitgestellt.

Beschreibung der Befehle

Die IC-Karte verwendet 15 Befehle, die in 8 verschiedene Gruppen klassifiziert werden, nämlich IC-Karten-Hardwaretest, Formatieren, Schlüssel-Schreiben, Zonen-Lesen/Schreiben, übrige in einer Zone zu schreibende Datensätze, Datensatz-Zustands-Management und Lesen der Versionsinformation des Kartenprogramms. Es sollte beachtet werden, daß einige Befehle bestimmte Schlüssel und Parameter für die Ausführung erfordern. Die Befehle der IC-Karte gemäß der vorliegenden Erfindung sind hier in Tabelle B aufgeführt.

Ergebnis der Ausführungen durch die IC-Karte (Antworten)

Die IC-Karte informiert den Leser/Schreiber über das Ergebnis der Ausführung eines Befehls. Falls der Befehl einen Lesebefehl enthält, werden die durch die Ausführung des Lesebefehls erhaltenen Daten in die dem Leser/Schreiber bereitgestellte Antwort eingeschlossen. Die eine Befehlsausführung durch die IC-Karte anzeigende Antwort kann die Form eines oder mehrere Rückgabecodes annehmen.

Leser/Schreiber-Komponente

Der Leser/Schreiber 14, der mit dem Hostrechner 16 über eine RS- 232C Übertragungsverbindung 18 verbunden ist und der eine oder zwei IC- Karten aufnimmt, wird jetzt beschrieben werden. Fig. 10 ist ein Blockdiagramm eines Lesers/Schreibers 14, das zwei mit 1 und 2 numerierte Einlässe (914 und 915) zum Aufnehmen der oben beschriebenen IC-Informationskarten zeigt. Die jeweiligen Leser/Schreiber-Einlässe sind mit Karten-Interfaces (I/F) 902 und 901 verbunden, die wiederum über einen Daten/ Adreßbus 903 mit anderen Komponenten im Leser/Schreiber verbunden sind. Ebenfalls mit den Karten-Interfaces 902 und 901 verbunden sind jeweilige Summer oder Tonübertrager 904 und 905, von denen jeder eine unterschiedliche Frequenz, z. B. 600 Hertz und 2400 Hertz erzeugen kann. Ein RAM-Speicher 906 mit 8 KByte, ROM-Speicher 907 und 907A mit insgesamt 16 KByte und eine CPU 908 in Form eines Z80A Mikroprozessors sind ebenfalls mit dem Daten/Adreßbus 903 verbunden. Ein RS-232C-Interface 909 ist ebenfalls mit dem Daten/Adreßbus 903 verbunden. Der Leser/Schreiber 14 ist mit einer Stromversorgung 910 ausgestattet, die durch einen Rauschfilter 911 90 bis 130 Volt Wechselspannung aufnimmt und die Gleichspannungen von 5 Volt, + 12 Volt und -12 Volt bereitstellt.
Als Teil der Leser/Schreiber-Einlässe 914 und 915 sind Karten- Transportierer zum Transportieren der Karten in die und aus den Leser/ Schreiber-Einlässen. Derartige Transportierer sind von verschiedenen Herstellern wie der Toppan Moore Company Ltd., Tokyo, Japan kommerziell erhältlich. Ein schematisches elektrisches Diagramm des Interface für einen derartigen Karten-Transportierer ist in Fig. 11 gezeigt. Im unteren Teil der Figur sind die den Anschlüssen der IC-Karte bereitgestellten elektrischen Verbindungen gezeigt.
Wenn eine IC-Karte in einen der Leser/Schreiber-Einlässe einführt wird, wird eine Magnetspule aktiviert und die jeweilige Karte wird im Leser/ Schreiber 14 an ihrem Platz gehalten. Zu diesem Zeitpunkt werden eine entsprechende Karten-Einführungszustands-LED 912 oder 913 wie in Fig. 10 gezeigt erleuchtet. Wenn die die Karte betreffenden Handlungen vollendet sind, kann die eingeführte Karte durch Drücken eines Kartenauswurf- Knopfes 916 oder 917 für den Einlaß, in den die Karte eingesetzt ist, entfernt werden. Falls der Kartenauswurf-Knopf jedoch während des Betriebs der IC-Karte, d. h. während eine IC-Karten-Betriebsanzeige-LED 918 oder 919 leuchtet, gedrückt wird, wird der Kartenauswurf-Knopf nicht arbeiten. Die Karte kann wie unten beschrieben auch durch einen vom Hostrechner erteilten Befehl ausgeworfen werden. Wenn die Karte ausgeworfen wird, wird die Karten-Einführungszustands-LED 912 oder 913 ausgelöscht.
Ein detaillierteres schematisches Diagramm des Lesers/Schreibers gemäß der Erfindung ist in Fig. 12 und Fig. 13 gezeigt. Fig. 12 zeigt auf der linken Seite die Z80A-CPU-Einheit 908, die oben links mit einem Takt verbunden ist, der einen ihrer Eingänge treibt. Auf der linken Seite dieser Figur sind ebenfalls sowohl eine Rücksetz-Schaltung als auch Verbindungen zur Strom-LED und der Verbindungsstecker für die Stromversorgung bereitgestellt. Oben rechts in Fig. 1 2 sind die ROMs 907 und 907A und das RAM 906 gezeigt, die mit der Z80A-CPU 908 durch einen Adreßbus im oberen Teil der Figur und einen Datenbus in der Mitte der Figur verbunden sind. Im mittleren unteren Teil der Figur ist eine DIP-Schalter-Anordnung zur Baudraten-Auswahl gezeigt, die auch Rechteck-Wellen ausgibt, um die jeweiligen Summer zu treiben. Im unteren Teil dieser Figur ist ebenfalls das RS-232C-Interface gezeigt, das mit dem Baudraten-Auswahl- Chip und dem Kabelstecker zum RS-232C-Interface verbunden ist.
Mit Bezug auf Fig. 13 sind die Karten-Interface-Einheiten 901 und 902 jeweils in den rechts und links liegenden Teilen der Figur gezeigt. Jede der Interface-Einheiten ist mit dem Datenbus im oberen Teil der Figur und jeweils über Steckerleisten CN2 und CN3 mit den verschiedenen Magnetspulen in den jeweiligen Transporteinheiten der Leser/Schreiber-Aufnahmen 914 und 915 verbunden. Der Summer 905 für die Karte I/F1 kann mit den Anschlüssen a und b im unteren rechten Teil der Figur verbunden werden und der Summer 904 für die Karte I/F2 kann mit den Anschlüssen c und d unten in der Mitte der Figur verbunden werden.
Die Speicheraufteilung des Lesers/Schreibers wird in Fig. 14 verdeutlicht. Dieser Speicherauszug zeigt den BIOS-Programmbereich, der in einem Teil des 8 KByte Bereichs des ROM1 907 resident ist und den Puffer für das BIOS, der in einem Teil des 8 KByte Bereichs des RAM 906 vorhanden ist.

Software des Sicherheitssystems der IC-Karte

Fig. 1 5 zeigt die Struktur der Software, die für das vorliegende IC- Kartensystem bereitgestellt wird in einfacher Blockform. Wie in dieser Figur gezeigt ist, enthält der Hostrechner 16 das Host-Anwendungsprogramm und den Eingabe/Ausgabe-(I/O-)Bearbeiter. Der I/O-Bearbeiter des Host kommuniziert mit dem Leser/Schreiber 14 durch das BIOS-Programm des Lesers/Schreibers. Der Leser/Schreiber hat ebenfalls ein Anwendungsprogramm. Die Kommunikation mit der IC-Karte 10 erfolgt wie gezeigt durch das BIOS-Programm des Lesers/Schreibers. Die IC-Karte hat ebenfalls ihr eigenes Kartenprogramm, das in ihrem Mikroprozessor-Speicher resident ist.
Das Host-Anwendungsprogramm wird gemäß den besonderen geschäftlichen Anforderungen des IC-Kartensystem-Benutzers vorbereitet. Der I/O-Bearbeiter des Host stellt die grundlegende Eingabe/Ausgabe-Routine für die Kommunikation zwischen dem Hostrechner und dem Leser/Schreiber bereit. Das BIOS-Programm ist der Eingabe/Ausgabe-Bearbeiter für den IC-Karten-Leser/Schreiber und kann über die RS-232C-Verbindung zum Hostrechner Eingabe/Ausgabe-Operationen, Eingabe/Ausgabe- Operationen zu den und von den IC-Karten und andere Funktionen ausführen. Typische andere Funktionen schließen das Anschalten und Ausschalten der internen Summer 904 und 905 des Lesers/Schreibers und das Prüfen, ob eine Karte eingesetzt oder nicht eingesetzt ist, ein. Das Anwendungsprogramm des Lesers/Schreibers wird gemäß den Erfordernissen des Systems vorbereitet. Das Kartenprogramm, das während der Chipherstellung in die CPU der IC-Karte eingebaut wird, steuert wie oben beschrieben die Konfiguration und den Zugriff der IC-Karte und des Kartenspeichers.
Das Leser/Schreiber-Programm ist so entworfen, daß es dem Hostrechner den Zugriff auf die in der IC-Karte gespeicherten Daten erleichtert, um die Funktionen der IC-Karte voll auszunützen. Die vom Hostrechner ausgegebenen Befehle können grob in die folgenden Befehlstypen unterteilt werden: Steuerbefehle für den Leser/Schreiber, Datensatz-Steuerbefehle, IC-Karten-Ausgabebefehle (IC-Karten-Formatierbefehl) und Befehle, die mit der Sicherheit zusammenhängen. Das Anwendungsprogramm des Lesers/Schreibers implementiert die BIOS-Befehle des Lesers/Schreibers, die in Tabelle B aufgeführt sind. Es sollte beachtet werden, daß der Hostrechner und der IC-Karten-Leser/Schreiber über eine Telekommunikationsverbindung über Modem/Akustikkoppler verbunden werden können.
Das Anwendungsprogramm des Lesers/Schreibers in der bevorzugten Ausführungsform enthält einen Sicherheitsplan, der eine der zwei Karten als Kontrollkarte und die zweite als Anwendungs- oder Benutzerkarte verwendet. Dieses Vorgehen erhöht die Gesamtsicherheit des Systems durch Vermeidung der Verbreitung der Kenntnis der Schlüssel, die zum Zugriff auf die verschiedenen Zonen des IC-Karten-Speichers erforderlich sind. Zum Beispiel muß der O-Schlüssel keiner Person bekannt sein, da er in der Kontrollkarte gespeichert werden kann. Deshalb ist dieser Schlüssel jemandem, der einen unautorisierten Zugriffsversuch auf die Benutzerkarte machen will, nicht leicht zugänglich. Zusätzlich eliminiert der Zwei-Karten-Ansatz die Notwendigkeit der Eingabe der Zugriffsschlüssel und anderer Information durch den Systembenutzer.
Das in Fig. 40 dargestellte Leser/Schreiber-Anwendungsprogramm arbeitet wie folgt. Nach der Initialisierung 4001 wird ein eindeutiges Feld (Seriennummer) von der Kontrollkarte gelesen und für spätere Vergleiche im Leser/Schreiber gespeichert, Prozeß 4003. Dann können unter Verwendung der Prozesse 4004 bis 4014 verschiedene Schlüssel aus den geschützten Zonen in der Kontrollkarte gelesen werden, z. B. O-Schlüssel, PIN-Schlüssel und jegliche zusätzliche benutzerdefinierte Schlüssel, und für eine spätere Verwendung beim Zugriff auf die Anwendungs- oder Benutzerkarte im Leser/Schreiber gespeichert werden. Es ist anzumerken, daß diese Schlüssel auch vom Hostrechner in den Leser/Schreiber-Speicher geladen werden können. Die Befehle vom Hostrechner spezifizieren, welche Art(en) von Schlüssel(n) für den spezifischen Vorgang erforderlich ist(sind). Das Anwendungsprogramm des Lesers/Schreibers interpretiert die Befehle und gibt unter Verwendung der vorher gespeicherten Schlüssel die BIOS- Befehle aus, die nötig sind, um den spezifizierten Vorgang zu erreichen. An diesem Punkt kommen die zusätzlichen Sicherheitseigenschaften des Leser/Schreiber-Anwendungsprogramms ins Spiel. Vor dem Ausgeben eines Befehls, der einen oder mehrere Schlüssel erfordert, an die Benutzerkarte prüft das Leser/Schreiber-Anwendungsprogramm bei 4009 die Seriennummer der Kontrollkarte, um sicherzustellen, daß die Kontrollkarte nicht geändert wurde. Falls sie verändert wurde, werden die Seriennummer der Kontrollkarte und die anwendbaren Schlüssel im Leser/Schreiber auf Null gesetzt und es wird eine Fehlermeldung zum Hostrechner zurückgegeben. Unter solchen Bedingungen wird der Befehl an die Benutzerkarte nicht ausgeführt. Die durch das Leser/Schreiber-Anwendungsprogramm definierten Befehle sind in Tabelle E aufgeführt.
Wie in Fig. 14 gezeigt, belegt der Bereich des Benutzerprogramms die Speicherstellen von 1000H bis 1FFFH, oder von 1000H bis 3FFFH, falls das optionale ROM2 verwendet wird. Die Speicherstellen bei den Adressen EOOOH bis EOFFH im RAM-Bereich, d. h. 256 Byte werden als Datenpuffer und als Stapel für das BIOS-Programm verwendet und belassen den RAM- Bereich von E100H bis FFFFH als Benutzerspeicher.

Komponenten und Betrieb des Ausgabesystems

Die IC-Karten können auf mehrere Arten formatiert (initialisiert) und personalisiert werden. Die beiden Begriffe "Formatieren" und "Initialisierung" beziehen sich auf das Schreiben des O-Schlüssels, der Zonendefinitionstabelle und, optional, des PIN-Schlüssels in den IC-Karten-Speicher. Der Begriff "Personalisierung" bezieht sich auf das Schreiben geeigneter Datensätze in die Datenzonen des IC-Karten-Speichers.
Ein Aspekt der vorliegenden Erfindung ist, eine große Anzahl von IC- Karten für eine bestimmte Anwendung auf Basis einer Massenproduktion zu formatieren und zu personalisieren. Um dies zu erreichen, wird eine Anordnung wie in Fig. 16 gezeigt verwendet, die einen Initialisierer (I/Z) 50 umfaßt, der in Zusammenhang mit dem Hostrechner 16 verwendet wird. Der Hostrechner in der bevorzugten Ausführungsform ist ein IBM-XT mit einem Bildschirm, einer Tastatur, einem Drucker, einer 10 MB Festplatte und einem oder mehreren Doppel-Floppydiskettenlaufwerken. Der Initialisierer 50 und der Hostrechner sind durch eine RS232-C Kommunikationsverbindung miteinander verbunden.
Gemäß dem Personalisierungsprozeß sind die jeweiligen in die IC- Karten zu ladenden Datendateien auf der Festplatte oder Floppy-Diskette oder einem anderen Massenspeichermedium gespeichert und es wird mittels eines persönlichen Codes für jede persönliche, auf dem Massenspeichermedium gespeicherte Datendatei auf diese zugegriffen. Jede zu personalisierende IC-Karte ist mit einem Magnetstreifen entsprechend dem üblichen Format ausgestattet und ist mit einem persönlichen Code für die Adressierung einer entsprechenden persönlichen Datendatei auf dem Massenspeichermedium magnetisch codiert. Die magnetische Codierung des Magnetstreifens wird unter Verwendung gewöhnlicher Techniken vorzugsweise auf der zweiten Spur des Streifens gemäß dem ABA-Standard oder JIS Typ I, oder auf der ersten Spur gemäß JIS Typ II durchgeführt.
Der Initialisierer 50 hat einen Eingangsschlitz oder Eingangsbehälter zum Aufnehmen von Karten und einen Kartenbearbeiter zum automatischen Bewegen jeder Karte durch einen Magnetstreifenleser zu elektrischen Kontakten im Initialisierer, die den elektrischen Kontakt zu den jeweiligen Kontakten C1 bis C8 der IC-Karte herstellen. Jede Karte wird zuerst durch Schreiben des O-Schlüssels, der Zonendefinitionstabelle und, optional, des PIN-Schlüssels in den Kartenspeicher initialisiert. Derartige Initialisierungsinformation und der P-Schlüssel, der erforderlich ist, bevor die Initialisierungsinformation in den Kartenspeicher geschrieben werden kann, sind vorher in den Initialisierer eingegeben worden und werden im Speicher des Initialisierers gespeichert. Die Initialisierungsinformation und der P-Schlüssel werden vorzugsweise mittels einer Hauptkarte in den Initialisierer eingeben, wie unten detaillierter beschrieben werden wird.
Nach der Initialisierung wird, falls die Karte im Initialisierer zu personalisieren ist, der persönliche Code auf dem Magnetstreifen gelesen und zum Hostrechner übertragen. Als Antwort auf den Empfang des persönlichen Codes der Karte adressiert der Rechner die entsprechende persönliche Datendatei auf dem Massenspeichermedium und personalisiert die Karte durch das Schreiben der Daten in der Datei in die vorher definierten Zonen des IC-Karten-Speichers. Die initialisierten und personalisierten Karten werden dann ausgeworfen.
Um ein derartiges System zu betreiben, müssen Hauptkarten 52, eine oder mehrere IC-Karten 10 und einige Datendateien vorbereitet werden. Es gibt vier Typen von Hauptkarten 52, eine für jede Operation des Initialisierers. Alle Hauptkarten werden vorher gemäß einem vorbestimmten Format mit der für die jeweilige Operation nötigen Information beschrieben. Die auf die Hauptkarten geschriebene Information schließt einen unterschiedlichen Identifikationscode für jede Operation und eine Stapelnummer, die für die Kontrolle der Ausgabe nötig ist, ein. Fig. 17 ist ein Speicherauszug einer Hauptkarte 52.
Die unterschiedlichen Operationen des IC-Karten-Initialisierers schließen das Formatieren (Initialisieren), Personalisieren, Entriegeln und Formatieren (Initialisieren) mit Personalisierung ein.
Die zum Formatieren und Personalisieren nötigen Dateien schließen eine Z. D.T.-(Zonendefinitionstabellen-) Datendatei und eine Indexdatei ein. Die Z.D.T.-Datei wird zum Formatieren oder zum Formatieren mit Personalisierung verwendet. Falls die Z.D.T.-Daten in die Hauptkarte geschrieben werden, muß die Z.D.T-Datei nicht in dem mit dem Hostrechner zusammenhängenden Speicher gespeichert werden.
Die Indexdatei wird zum Personalisieren oder zum Formatieren mit Personalisierung verwendet. Die Datei enthält die Datensatzlänge, die Feldkonfiguration und die Feldnummer der persönlichen Datendatei, wobei die Feldnummer für die Suche verwendet wird. Für die Personalisierung oder für das Formatieren mit Personalisierung wird auch eine Entsprechungsdatei für Zone und Feld, in der der Zusammenhang zwischen den Zonennummern im Kartenspeicher und den Feldern der persönlichen Datendatei definiert wird, verwendet. Schließlich wird eine persönliche Datendatei für die Personalisierung oder für das Formatieren mit Personalisierung verwendet. Diese Datei wird vom Benutzer des Systems vorbereitet und besteht aus Datensätzen fester Länge ohne Header und enthält ein Feld für die Datensatzsuche.
Der Hostrechner hat ein Hauptprogramm zum Ausführen der Initialisierung (Formatieren), der Personalisierung, des Entriegelns oder sowohl von Initialisierung (Formatieren) als auch Personalisierung einer IC-Karte. Die Z.D.T.-Datendatei, die persönlichen Datendateien, die Indexdatei und die Entsprechungsdatei für Zone und Feld müssen alle erzeugt werden, bevor eine IC-Karte durch das Hauptprogramm initialisiert und personalisiert wird. Das Hauptprogramm benötigt ebenfalls eine Hauptkarte, auf die die erforderlichen Daten in einem bestimmten Format geschrieben sind.

Hauptprogramm

Fig. 18 ist ein Flußdiagramm, das den Vorbetriebsteil des Hauptprogramms zeigt. Das Programm fragt den Benutzer zuerst, ob die Kommunikationsparameter Baudrate, Parität, Stopbit und Bytelänge jeweils auf ihre Standardwerte 9600, keine, 2 und 8 gesetzt werden sollen. Falls nicht, wird der Benutzer dann aufgefordert, andere Werte für diese Parameter einzugeben. Dann wird das Paßwort erfragt und wenn das eingegebene Paßwort zufriedenstellend ist, werden für die Verifizierung durch den Benutzer Datum und Zeit angezeigt. Wenn Datum und Zeit nicht richtig sind, sollte der Benutzer "n" eingeben, was bewirkt, daß das Programm das System nach DOS zurückkehren läßt, um die Eingabe des korrekten Datums und der korrekten Zeit zu erlauben. Ist dies geschehen und wurde das Programm neu gestartet, vollendet das System, falls nötig, den Vorbetrieb. Danach zeigt der Schirm die fünf Menüpunkte Formatieren, Personalisierung, Entriegeln, Formatieren mit Personalisierung und Ende an. Der Benutzer wählt aus, welchen dieser fünf Menüpunkte er wünscht. Die ersten vier Menüpunkte werden jetzt beschrieben.

Formatieren (Initialisierung)

Fig. 19 zeigt das Flußdiagramm für das Formatierungsprogramm. Wenn dieser Menüpunkt ausgewählt wird, wird die Hauptkarte vom Benutzer eingeführt und die PIN-Nummer für die Hauptkarte wird erfragt und vom Benutzer eingegeben. Wenn die eingeführte Hauptkarte die ZDT-Daten und den O-Schlüssel enthält (oder einen entsprechenden Schlüssel für eine unterschiedliche Ausführungsform), werden derartige Daten und Schlüssel automatisch gelesen und die Hauptkarte wird ausgeworfen. Das Programm bittet den Benutzer dann, die Anzahl der zu formatierenden Karten einzugeben. Falls die eingeführte Hauptkarte die ZDT-Daten nicht enthält, liest das System die ZDT-Datendatei von dem mit dem Hostrechner verbundenen Speicher. Dann wird der Dateiinhalt angezeigt und vom Benutzer geprüft. Falls die eingeführte Hauptkarte die O-Schlüssel-Daten nicht enthält, werden diese Daten durch den Benutzer mit der Tastatur eingegeben. Dann ist die Verarbeitung der Hauptkarte vollendet und die zu formatierenden IC- Karten werden dann in den Initialisierer eingeführt. Jedesmal wenn eine Karte formatiert wird, wird der Benutzer gefragt, ob das Formatieren für die übrigen Karten fortgesetzt werden soll oder nicht oder ob das Formatieren beendet werden soll. Wenn die gewünschte Anzahl von Karten formatiert worden ist, kehrt das Hauptprogramm zum Menü zurück.

Personalisierung

Fig. 20 zeigt das Flußdiagramm für das Personalisierungsprogramm. Gemäß diesem Programm wird das Einführen der Hauptkarte gefordert und falls die eingeführte Hauptkarte als korrekt angesehen wird, wird vom Benutzer die Eingabe der PIN-Nummer für die Hauptkarte gefordert. Falls die Hauptkarte den O-Schlüssel enthält, liest das System den Schlüssel automatisch und die Hauptkarte wird ausgeworfen. Falls jedoch die Hauptkarte die O-Schlüssel-Daten nicht enthält, muß der Benutzer diese Daten über die Tastatur eingeben. Das System liest dann die drei für die Personalisierung nötigen Dateien, nämlich die Indexdatei, die persönliche Datendatei und die Entsprechungsdatei für Zone und Feld. Nachdem das System die Inhalte aller nötigen Dateien gelesen hat, fordert es zum Einführen der zu personalisierenden Karten auf. Die an diesem Punkt in den Initialisierer eingeführten Karten müssen vorher formatiert worden sein und auf ihren Magnetstreifen müssen die geeigneten Daten codiert sein, um dem Hostrechner zu ermöglichen, auf dem Massenspeichermedium die richtige persönliche Datendatei zu finden.
Die IC-Karten werden dann nacheinander in den Initialisierer eingeführt. Der Initialisierer liest den Magnetstreifen auf jeder Karte, um den persönlichen Code zu finden und erhält die persönliche Datendatei, die diesem persönlichen Code entspricht, vom Massenspeichermedium und schreibt die persönlichen Daten aus der Datei in den IC-Karten-Speicher. Zu diesem Zeitpunkt kann auch der PIN-Schlüssel in die IC-Karte geschrieben werden. Die PIN-Nummer kann vom Systemverwender auch zu einem späteren Zeitpunkt in die IC-Karte geschrieben werden. Nachdem jede Karte personalisiert ist, erfragt das System, ob die weitere Personalisierung der übrigen Karten fortgesetzt werden soll. Sind einmal alle Karten personalisiert worden oder bei einem vorzeitigen Ende des Personalisierungsprozesses kehrt das Hauptprogramm zum Menü zurück.

Entriegelungsprozeß

Fig. 21 zeigt die Flußdiagramm-Prozedur für den Entriegelungsprozeß. Gemäß diesem Prozeß bittet das Programm den Benutzer, die Hauptkarte einzuführen und den PIN-Schlüssel für die Hauptkarte einzugeben.
Dann wird durch den Benutzer von der Tastatur des Hostrechners aus der O-Schlüssel eingegeben, falls die eingeführte Hauptkarte diesen Schlüssel nicht enthält. Dann wird die Hauptkarte entfernt und dann werden die zu entriegelnden IC-Karten eingeführt. Dann werden die zu jeder Karte gehörenden individuellen PIN-Schlüssel eingegeben und das System prüft sie, um zu sehen, ob diese PIN-Nummern korrekt sind. Nachdem jede Karten entriegelt ist (oder wenn die Entriegelung wegen einer ungeeigneten PIN- Nummer verweigert wird), wird die Karte ausgeworfen und der Benutzer hat die Wahl, mit weiterem Entriegeln der anderen Karten fortzufahren oder zum Menü zurückzukehren.

Kombiniertes Formatieren und Personalisierung

Fig. 22 zeigt das Flußdiagramm für das kombinierte Formatieren (Initialisierung) mit Personalisierung. Dieses Flußdiagramm ist im wesentlichen eine Kombination der einzelnen Schritte aus den Formatierungs- und Personalisierung-Flußdiagrammen der Fig. 19 und 20.

Ausgabedatei

Eine XREPORT genannte Ausgabedatei (in der X abhängig von der Art der vom Initialisierer ausgeführten Operation, d. h. Formatieren, Personalisierung, Entriegeln oder kombiniertes Formatieren und Personalisieren, durch F, P, U oder C ersetzt sein kann) wird während des Betriebs des Initialisierers vorbereitet. Alle während des Betriebs gemachten Fehler werden in einer Datei namens XERROR aufgezeichnet, in der X durch F, P, U oder C ersetzt sein kann. Alle Dateiinhalte können unter Verwendung gewöhnlicher Dateibehandlungseinrichtungen geprüft werden.

Spezifikation der Initialisierer-Kommunikation

Jegliche Kommunikation zwischen dem Hostrechner und dem Initialisierer erfolgt in einem Zeichenkettenformat, das zwei die Länge der Zeichenkette anzeigende Bytes, ein den Typ der Zeichenkette anzeigendes Byte, die Datenbytes und ein abschließendes, die Prüfsumme anzeigendes Byte umfaßt. Die Länge der Zeichenkette ist ein Zwei-Byte Feld, das die Länge der gesamten Zeichenkette ausschließlich des Prüfsummen-Byte am Ende der Zeichenkette anzeigt (die Reihenfolge des Feldes ist niederwertigstes Byte zuerst und höchstwertiges Byte zuletzt). Es gibt vier Arten von Zeichenketten, nämlich eine Befehls-Zeichenkette (bezeichnet durch 01), eine Daten-Zeichenkette (02), eine Informations-Zeichenkette (03) und eine Kontroll-Zeichenkette (04). Die Daten können jede Anzahl von Bytes sein, die entsprechend dem Zeichenkettentyp benötigt wird. Die Prüfsumme ist die Summe aller Daten der Zeichenkette bis gerade vor der Prüfsumme und wird im Zweierkomplement-Format bereitgestellt.
Das Format der Befehls-Zeichenkette ist im wesentlichen dasselbe allgemeine Format wie oben gezeigt, mit der Ausnahme, daß die Daten einen Befehlscode und Parameter umfassen. Das Format für die Daten-Zeichenkette ist ebenfalls im wesentlichen dasselbe wie oben beschrieben, mit der Ausnahme, daß die Daten ein Feld, das die Anzahl der Datenelemente anzeigt, und ein weiteres Feld, das die Länge der Daten in Bytes anzeigt, einschließen. Das Format für die Informations-Zeichenkette ist im wesentlichen dasselbe wie das oben beschriebene, mit der Ausnahme, daß die Länge der Zeichenkette auf fünf festgesetzt ist und die Daten Fehlertyp und detaillierte Fehlerbeispiele enthalten. Das Format für die Kontroll-Zeichenkette ist im allgemeinen ebenfalls dasselbe wie das oben beschriebene, mit der Ausnahme, daß die Länge der Zeichenkette auf vier festgesetzt ist und der Kontrollcode einer von drei Typen, nämlich 01H, das ACK anzeigt, 02H, das NAK anzeigt, 03H, das EOT anzeigt, ist.

Programmlisting und Befehlscodes

Ein ausgedrucktes Listing für das grundlegende Eingabe/Ausgabe- System (BIOS) des Lesers/Schreibers gemäß der Erfindung ist in Anhang I enthalten. Ein Listing der BIOS-Befehle wird in Tabelle C bereitgestellt. Die Tabelle D führt diese Befehle auf und zeigt sowohl die zwischen dem Leser/Schreiber und der IC-Karte während der Befehlsausführung übertragene Information als auch das Zeichenkettenformat.
Die Fig. 23 bis 39 verdeutlichen die Befehlsprotokolle zwischen dem Leser/Schreiber und der IC-Karte und zeigen die Richtung und die Reihenfolge der Befehle, Parameter, Rückgabe- und Fehlercodes zwischen dem Leser/Schreiber und der IC-Karte. Die in diesen Figuren dargestellten Befehle entsprechen im allgemeinen vielen der BIOS-Befehle, die in Tabelle C aufgeführt sind.
Ein ausgedrucktes Listing des Leser/Schreiber-Anwendungsprogramms gemäß der vorliegenden Erfindung ist ebenfalls in Anhang 1 enthalten. Die im Leser/Schreiber-Anwendungsprogramm verwendeten Befehle sind hier in Tabelle E gezeigt, die auch das für die Befehle verwendete Protokoll veranschaulicht.
Die Fig. 41 bis 91B sind Flußdiagramme des Programms der IC- Karte gemäß der vorliegenden Erfindung. Ein gedrucktes Listing des Programms der IC-Karte gemäß der Erfindung ist in Anhang 1 enthalten.
Die Fig. 92 bis 108B veranschaulichen das Befehlsprotokoll zwischen dem Hostrechner und dem Initialisierer (I/Z) während des Initialisierungsprozesses.
Obwohl eine besondere Ausführungsform eines IC-Karten-Sicherheitssystems gezeigt und beschrieben wurde, werden den Fachleuten für den Stand der Technik leicht zahlreiche Veränderungen und Modifikationen einfallen. Die Erfindung soll nicht auf die gezeigte und beschriebene Ausführungsform beschränkt sein, sondern erläutert lediglich die Anwendung der Grundsätze der Erfindung, deren Anwendungsbereich in den anhängenden Ansprüchen dargelegt ist. Tabelle B Befehlscode Mnemonic Funktion (hex) PIN-Code schreiben Organisationsschlüssel schreiben Zonendefinitionstabelle schreiben Zonendefinitionstabellenbereich schließen Zonendefinitonstabelle lesen Datensätze in einer Zone lesen Datensätze in eine Zone schreiben Datensätze in eine Zone schreiben mit Verifizierung Datensatz-Statusbyte markieren Datensatz-Statusbyte eine Zone lesen verriegelte Karte entriegeln Anzahl verbleibender Datensätze lesen Kartentest bei der Herstellung Karten-Lesetest Maskenprogrammdaten (Namen lesen Tabelle C BIOS-Befehlsliste (BIHWTC1 1C) Befehlscode Mnemonic Funktion (hex) Kartenleser #1 auswählen Kartenleser #2 auswählen Summer an Summer aus Dateneingabe Datenausgabe Karte wird geprüft IC-Karten Leser/Schreiber initialisieren Kartenauswurf Zone lesen Zone schreiben Zone schreiben mit Verifizierung Datensatz-Statusbyte lesen Datensatz-Statusbyte schreiben PIN-Code schreiben Organisationsschlüssel schreiben Zonendefinitionstabelle lesen Zonendefinitionstabelle schreiben Zonendefinitionstabellenbereich schließen Sicherheitsverriegelung lösen verbleibende Anzahl von Datensätzen lesen Kartentest bei der Herstellung Karten-Lesetest (Test bei der Verwendung) Maskenprogrammdaten lesen
Bemerkung: der Befehlscode und ein weiterer Parameter sollten vor dem BIOS-Aufruf im A-Register und den richtigen Registern gesetzt werden. Tabelle D Befehl Eingabe Rückgabe SELCR1 nichts CDINCK A: Rückgabecode BZON BZOFF INIT Leser #1auswählen Nur einmal beim Anschalten verwendbar CEJCT SDIN (DE: Pufferadresse C: Anzahl der Eingabebytes (einschließlich CR, LF Code) C Byte SDOUT DE: Pufferadresse der Ausgabedaten PINWR HL: Pufferadresse A: Rückgabecode HL Tabelle D (Fortsetzung) Befehl Eingabe Rückgabe OKEYWR HL: Pufferadresse A: Rückgabecode WRZDT B: Zonennummer CLZDA RDZDT benötigt einen von d rei Schlüsseln B: Zonennummer C: Schlüsseltyp Eingabe Rückgabe RDZN B: Zonennummer Datensatz Prüfbyte
Der zweite Schlüsseltyp und der zweite Schlüssel sind nicht immer nötig (und für niedrigste Sicherheitsstufe wird auch der erste Schlüssel nicht benötigt) Tabelle D (Fortsetzung) Befehl Eingabe Rückgabe WRZN B, C, HL: wie beim Befehl RDZN E: Datenlänge (L Byte) IY: Pufferadresse der Schreibdaten A: Rückgabecode zu schreibende Daten WRZNWV B, C, HL, E, IY: wie beim Befehl WRZN STWR B, C, HL: wie beim Befehl RDZN D: Datensatznummer Bit-Nummer (0-7) STRD D: Datensatzanzahl (IX:Pufferadresse für Statusbytes) UNLOCK benötigt 2 von 3 Schlüsseln HL: Pufferadresse des Schlüssels REMAIN D: Anzahl der übrigen Datensätze in der Zone Tabelle D (Fortsetzung) Befehl Eingabe Rückgabe MTEST (30H) nichts A: Rückgabecode Verwendung durch Hersteller 1. Schritt: Kartenspeicher auf Leere prüfen, 2. Schritt: Test-Schreiben und Verifizieren. Test-Schreiben bedeutet das Schreiben von Testdaten an Testadressen (siehe untenstehende Tabelle). Nach dem Befehl MTEST sieht der Kartenspeicher folgendermaßen aus: Adr.(hex) Daten (hex) RTEST (31H) nichts A: Rückgabecode (Ergebnis) Testdaten an Testadresse prüfen RDMPD (IX: Pufferadresse für die Maskenprogrammdaten Tabelle E Befehle des Leser/Schreiber-Anwendungsprogramms Befehl Eingabe Ausgabe Kommentar Lies # übriger Transaktionen zum Schreiben in der Zone Schlüssel für die Karte, auf die zugegriffen wird, muß vorher gesetzt sein RM Befehl RMP Zone RMO Rückgabecode RMB verbleibender Datensätze RME Befehl Schlüsseltyp Schlüssel Zone Schlüssel ist nicht voreingestellt Zone Lesen LRN RP RO RB RE Tabelle E (Fortsetzung) Befehle des Leser/Schreiber-Anwendungsprogramms Befehl Eingabe Ausgabe Kommentar Zone Schreiben WN WP WO WB Befehl Zone Daten Rückgabecode Schlüssel für die Karte, auf die zugegriffen wird, muß vorher gesetzt sein WE Schlüsseltyp Schlüssel Schlüssel nicht nicht voreingestellt Schreiben mit Verifizierung VN VP VO VB VE Tabelle E (Fortsetzung) Befehle des Leser/Schreiber-Anwendungsprogramms Befehl Eingabe Ausgabe Kommentar Lesen Zonendefinition ZN ZP ZO ZB Befehl Zone Rückgabecode Zonendefinitionsbytes Schlüssel für die Karte, auf die zugegriffen wird, muß vorher gesetzt sein ZE Schlüsseltyp Schlüssel Schlüssel ist nicht voreingestellt Karte in Prüfung CD Leser/Schreiber liefert Fehlerrcode, falls die Karte nicht eingesetzt ist Auswahl des Kartenmoduls C1 C2 kein Rückgabecode Tabelle E (Fortsetzung) Befehle des Leser/Schreiber-Anwendungsprogramms Befehl Eingabe Ausgabe Kommentar Kartenauswurf CE Befehl Rückgabecode Karte aus gewähltem Modul auswerfen Karten-Anwendungsprüfung CA Befehl Anwendungsinformation Anwendungstyp ist in Zone 1 - keine Sicherheit Hole Schlüssel vom Host GP GO Schlüssel Holt den Schlüssel und speichert ihn für spätere Verwendung - für die eingeloggte Karte anwendu- Karte Hole Schlüssel von der Kontrollkarte GCP GCO GC Pin für die Kontrollkarte muß vorher gesetzt werden (vom Host) Tabelle E (Fortsetzung) Befehle des Leser/Schreiber-Anwendungsprogramms Befehl Eingabe Ausgabe Kommentar Test der Karte TR Befehl Rückgabecode Einfache Lesetest-Routine Statusbyte lesen SR SRP SRO SRB Zone Datensätze Staatusbyte 1 bis n Schlüssel für die Karte, auf die zugegriffen wird, muß vorher gesetzt sein SRE Schlüsseltyp Schlüssel Schlüssel ist nicht voreingestellt Statusbyte schreiben SWn SWP SWO SWB Schlüssel für die Karte, auf die zugegriffen wird, muß vorher gesetzt sein Tabelle E(Fortsetzung) Befehle des Leser/Schreiber-Anwendungsprogramms Befehl Eingabe Ausgabe Kommentar SWE Befehl Schlüsseltyp Schlüssel Zone Datensatz Bit (0-7) Rückgabecode Schlüssel ist nicht voreingestellt Leser/Schreiber-Version angeben VRS Versionsinformation Gibt die Version des EPROMS im Leser/Schreiber zurück verriegelte Karte entriegeln UN Entriegelt eine Karte, die durch die Sicherheit verriegelt wurde. Vor Verwendung müssen PIN und O-Schlüssel gesetzt werden Summer-Steuerung BN BF Schaltet Summer für eingeloggtes Kartenmodul an (BN) oder aus (BF) Kartenversion angeben DR Versions-Information Gibt die Version des Programms in der Karte zurück Tabelle E (Fortsetzung) Befehle des Leser/Schreiber-Anwendungsprogramms Befehl Eingabe Ausgabe Kommentar PIN in die Karte schreiben KP Befehl O-Schlüssel (zu schreibende) PIN Rückgabecode Schreibt die PIN für Sicherheitsverwendung in die Karte
Allgemeine Information:
Alle Befehle und zur Karte gesandten Parameter, falls für einen bestimmten Befehl vorhanden, werden durch ein ASCII Wagenrücklauf-Zeilenvorschub- Zeichen paar abgeschlossen. Zusätzlich werden alle Datenübertragungen vom Leser/Schreiber ebenfalls durch ein ASCII Wagenrücklauf-Zeilenvorschub-Zeichenpaar abgeschlossen.
Alle Befehle, die einen Schlüssel zum Ablauf erfordern (außer es ist eine Auswahl an Schlüsseln vorhanden), erfordern, daß der Schlüssel für den Leser/Schreiber vorher gesetzt wird - entweder vom Host oder von der Kontrollkarte. Die E-(Entweder-)Option erfordert, daß der Schlüsseltyp und der Schlüssel vom Host-Programm eingegeben werden. Die Befehlscodes sind: NOP Karte hinein Karte heraus magnetische Daten schreiben magnetische Daten lesen Kontaktgeber ab Kontaktgeber auf Zone schreiben Zone mit Daten lesen Zone ohne Daten lesen Formatieren Entriegeln Sensor prüfen jede Ausgabeeinrichtung ein jede Ausgabeeinrichtung aus Daten übertragen PIN schreiben

Claims

1. IC-Informations-Karte mit:

einer Eingabe/Ausgabe-Einrichtung (24) in der Karte, um wenigstens Daten, Befehle und Tastenschlüssel zu empfangen und um wenigstens Daten bereitzustellen;

einer nicht-flüchtigen Lese/Schreib-Speicher-Einrichtung (22) in der Karte (10), wobei die Speichereinrichtung eine Vielzahl von adressierbaren Bit-Speicherstellen hat;

einer ersten Einrichtung (20) in der Karte, die auf einen ersten Befehl, Zonendefinitionsdaten und einen von der Eingabe/Ausgabe-Einrichtung (24) eingegebenen Tastenschlüssel reagiert, um den eingegebenen Tastenschlüssel mit einem erst in der Karte gespeicherten Tastenschlüssel zu vergleichen, und zum Schreiben der Zonendefinitionsdaten in einen ersten Bereich der Speichereinrichtung (22), falls der empfangene Tastenschlüssel mit dem ersten Tastenschlüssel übereinstimmt, wobei die Zonendefinitionsdaten ein oder mehrere Zonendefinitionsworte (701, . . . , 704) aufweisen, wobei jedes einer jeweiligen Datenzone (707) in einem zweiten Bereich der Speichereinrichtung entspricht, und jedes Zonendefinitionswort wenigstens die Anfangsadresse der zugehörigen Datenzone und der Größe der zugehörigen Datenzone spezifiziert.

2. IC-Informations-Karte (10) nach Anspruch l, bei der die Karte desweiteren eine zweite Einrichtung (20) in der Karte aufweist, die auf einen zweiten Befehl, Tastenschlüsseldaten, die wenigstens ein oder mehrere Tastenschlüssel aufweisen und einen durch die Eingabe/Ausgabe-Einrichtung (24) empfangenen eingegebenen Tastenschlüssel reagiert, um den eingegebenen Tastenschlüssel mit dem ersten Tastenschlüssel zu vergleichen, und zum Schreiben der Tastenschlüsseldaten in einen dritten Bereich der Speichereinrichtung, falls der eingegebene Tastenschlüssel mit dem ersten Tastenschlüssel übereinstimmt, und wobei jedes Zonendefinitionswort desweiteren entweder keinen Tastenschlüssel oder einen oder mehrere des ersten Tastenschlüssels und den oder die zusätzlichen Tastenschlüssel als zum Empfang durch die Eingabe/Ausgabe-Einrichtung (24) erforderlich spezifiziert, um Daten von der jeweiligen Zone zu lesen und entweder kein Tastenschlüssel oder einer oder mehrere der ersten Tastenschlüssel und der oder die zusätzlichen Tastenschlüssel als zum Empfangen durch die Eingabe/Ausgabe-Einrichtung (24) als erforderlich spezifiziert, um Daten in die zugehörige Datenzone zu schreiben.

3. IC-Informations-Karte (10) nach Anspruch 2, bei der die Karte desweiteren eine dritte Einrichtung (20) in der Karte aufweist, die von der Eingabe/Ausgabe-Einrichtung (24) einen Lesebefehl, einen eine bestimmte der Datenzonen, (707) von der Daten zu lesen sind, spezifizierenden Code und jeglichen eingegebenen Tastenschlüssel oder eingegebenen Tastenschlüssel empfangen, um jeglichen eingegebenen Tastenschlüssel oder eingegebene Tastenschlüssel mit einem Tastenschlüssel oder Tastenschlüsseln zu vergleichen, die als erforderlich spezifiziert sind, um dann in der bestimmten Datenzone (707) zu lesen und zum Bereitstellen von Daten von der bestimmten Zone an der Eingabe/Ausgabe-Einrichtung (24) falls der eingegebene Tastenschlüssel oder die eingegebenen Tastenschlüssel mit dem Tastenschlüssel oder den Tastenschlüsseln übereinstimmen, die als erforderlich spezifiziert worden sind, um Daten von der bestimmten Datenzone (707) zu lesen, oder falls kein Tastenschlüssel als erforderlich spezifiziert worden ist, um Daten von der bestimmten Datenzone (707) zu lesen, und wobei die Karte desweiteren eine vierte Einrichtung (20) in der Karte aufweist, die auf einen Schreibbefehl, einen eine bestimmte der Datenzonen (707), in die Daten einzuschreiben sind, spezifizierenden Code, in die ausgewählte Zone einzuschreibende Daten und jeglichen Tastenschlüssel oder Tastenschlüssel reagiert, um jeglichen eingegebenen Tastenschlüssel oder Tastenschlüssel mit einem Tastenschlüssel oder Tastenschlüsseln zu vergleichen, die als erforderlich spezifiziert worden sind, um Daten in die ausgewählte Datenzone (707) zu schreiben und zum Schreiben der empfangenen Daten in die ausgewählte Datenzone (707), falls der eingegebene Tastenschlüssel oder die Tastenschlüssel mit dem Tastenschlüssel oder den Tastenschlüsseln übereinstimmen, die als erforderlich spezifiziert worden sind, um dann in die ausgewählte Datenzone (707) zu schreiben, oder falls kein Tastenschlüssel als erforderlich spezifiziert worden ist, um Daten in die ausgewählte Datenzone (707) zu schreiben.

4. Eine Ic-Informationskarte (10) nach Anspruch 3, bei der Daten in jeder Zone (707) als aufeinanderfolgend angeordnete Datensätze (722, . . . , 727) gespeichert werden und jedes Zonendefinitionswort (701, . . . , 704) desweiteren die maximale Anzahl der Datensätze, die in der zugehörigen Zone gespeichert werden können, die Längen der Daten in jedem Datensatz in der zugehörigen Zone und einen Zonenzuordnungsbereich (721) in der Speichereinrichtung (22), zum Abspeichern von Daten am Ort des nächsten in der zugehörigen Zone (707) zu speichernden Datensatzes anzeigt, spezifiziert.

5. IC-Informationskarte (10) nach Anspruch 4, bei der der Zonenzuordnungsbereich (721) in der zugehörigen Zone (707) angeordnet ist und eine mehrere aufeinanderfolgende geordnete Bit-Positionen enthält, die jeweils mit einer zugehörigen Datensatzposition in der Zone verknüpft sind, wobei jede Bit-Position des Zonenzuordnungsbereiches (721) einen ersten oder einen zweiten binären Zustand aufweist, der davon abhängt, ob oder ob nicht die Datensatzposition die mit dieser Bit-Position verknüpft ist, jeweils einen Datensatz enthält, und bei der die vierte Einrichtung (20) desweiteren auf den Inhalt des Zonenzuordnungsbereiches (721) der ausgewählten Zone (707) reagiert, um einen Datensatz (722, . . ., 727) in der ausgewählten Zone in dieser Datensatzposition zu schreiben, die mit der niederwertigsten Bit-Position des Zonenzuordnungsbereiches (721) verknüpft ist, die den zweiten binären Zustand enthält, und zum Schreiben eines ersten binären Zustandes in diese niederwertigste Bit-Position, die den zweiten binären Zustand enthält.

6. IC-Informationskarte (10) nach Anspruch 4, bei der jeder Datensatz (722, . . . , 727), der in einer Datenzone (707) gespeichert ist ein Prüfsummen-Byte und ein zweites Zustands-Byte aufweist, das die Gültigkeit der Daten in dem Datensatz (722, . . . , 727) anzeigt.

7. IC-Informationskarte (10) nach Anspruch 4, bei der jedes Zonendefinitionswort (701, . . . , 704) desweiteren spezifiziert, ob die der Eingabe/Ausgabe-Einrichtung (24) durch die dritte Einrichtung (20) bereitgestellten Daten in Antwort auf einen Lesebefehl und einen von der zugehörigen Zone (707) zu lesenden Daten spezifizierenden Code nur der letzte Datensatz ist, der in die zugehörige Zone (707) oder alle Datensätze (722, . . . , 727) ist, die in der zugehörigen Zone (707) in der Reihenfolge gespeichert sind, in der diese Datensätze (722, 727) in die zugehörige Zone (707) geschrieben sind.

8. IC-Informationskarte (10) nach Anspruch 3, bei der der dritte Bereich der Speichereinrichtung (22) desweiteren eine Vielzahl von aufeinanderfolgend geordneten Sperrzustandsworten enthält, die ein erstes und ein letztes Sperrzustandswort umfassen, wobei jedes Sperrzustandswort eine vorbestimmte Anzahl von aufeinanderfolgend geordneten Bit-Positionen aufweist, die eine erste und eine letzte Bit-Position umfassen, wobei jede Bit-Position jedes Sperrzustandswortes ursprünglich in einem zweiten binären Zustand ist, und wobei die Karte desweiten eine fünfte Einrichtung (20) in der Karte aufweist, die auf eine nicht zustandegekommene Übereinstimmung eines eingegebenen Tastenschlüssels mit einem in der Karte gespeicherten Tastenschlüssel als Ergebnis eines Tastenschlüsselvergleichs reagiert, der durch die erste (20), zweite (20), dritte (20) oder vierte (20) Einrichtung ausgeführten Vergleiches wurde, um einen ersten binären Zustand in die niederwertigste Bit-Position zu schreiben, die in dem zweiten binären Zustand des niederwertigsten Verriegelungszustandswortes ist, in der die höchstwertige Bit-Position in dem zweiten binären Zustand ist, wobei die fünfte Einrichtung (20) auf eine Übereinstimmung eines eingegebenen Tastenschlüssels mit einem in der Karte gespeicherten Tastenschlüssel reagiert, die direkt nach einem Fehlschlagen einer Übereinstimmung eines eingegebenen Tastenschlüssels mit einem in der Karte gespeichertem Tastenschlüssel als ein Ergebnis eines Vergleiches der durch die erste (20), zweite (20), dritte (20) oder vierte (20) Einrichtung ausgeführt wird, um einen ersten binären Zustand in die höchstwertige Bit-Position des Sperrzustandswortes zu schreiben, in die ein erster binärer Zustand durch die fünfte Einrichtung geschrieben worden ist, als Antwort auf das direkt vorhergegangene Fehlschlagen einer Übereinstimmung eines eingegebenen Tastenschlüssels mit einem in der Karte gespeicherten Tastenschlüssel, und daß die Karte (10) desweiteren eine sechste Einrichtung (20) in der Karte aufweist, die auf ein Verriegelungszustandswort, bei dem alle außer seiner höchstwertigen Bit-Position in dem ersten binären Zustand sind, um die Karte in einen verriegelten Zustand zu bringen, in dem wenigstens ein Lese- und Schreibzugriff zu den ersten und zweiten Bereichen der Speichereinrichtung (22) verhindert sind, und eine siebte Einrichtung (20) in der Karte vorgesehen ist, die auf einen Entriegelungsbefehl und einen oder mehrere eingegebene Tastenschlüssel zum Vergleich des eingegebenen Tastenschlüssels oder der Tastenschlüssel mit einem vorausgewählten Tastenschlüssel oder Tastenschlüsseln, die in der Karte (10) gespeichert sind, und zum Schreiben eines binären Zustands in der höchstwertigen Bit-Position des Sperrzustandswortes, bei dem sämtliche außer der höchstwertigen Bit-Position in dem ersten binären Zustand sind, um die Karte aus ihrem gesperrten Zustand freizugeben, falls der eingegebene Tastenschlüssel oder die Tastenschlüssel mit einem vorausgewählten Tastenschlüssel oder vorausgewählten Tastenschlüsseln übereinstimmen.

9. IC-Informationskart 10 nach Anspruch 8, bei der die ersten (20), zweiten (20), dritten (20), vierten (20), fünften (20), sechsten (20) und siebten (20) Einrichtungen in einem geeignet programmierten Mikroprozessor (20) vorgesehen sind, der betriebsmäßig mit der Eingabe/Ausgabe-Einrichtung (24) verknüpft ist und die Speichereinrichtung (22) einen programmierbaren Nur-Lese-Speicher aufweist, der betriebsmäßig mit dem Mikroprozessor verbunden ist.

10. IC-Informationskartensystem mit: einer ersten (52) und zweiten (10) IC-Informationskarte, von denen jede folgendes aufweist:

a) eine Eingabe/Ausgabe-Einrichtung (24) in der Karte, um wenigstens Daten, Befehle und Tastenschlüssel zu empfangen und wenigstens Daten bereitzustellen,

b) eine Einrichtung zum Speichern eines ersten Tastenschlüssels,

c) eine nicht-flüchtige Speichereinrichtung (22) in der Karte (10), die einen ersten Bereich hat, um einen oder mehrere Tastenschlüssel zu speichern und einen zweiten Bereich, der in eine Vielzahl von Datenzonen (701, . . . , 704) unterteilt ist, wobei jede der Datenzonen (707) definiert ist, um entweder keinen Tastenschlüssel oder einen oder mehrere spezifizierte des ersten Tastenschlüssel zu benötigen, und der Tastenschlüssel oder die Tastenschlüssel in dem ersten Bereich gespeichert sind, um in die Karte eingegeben zu werden, um Daten in dieser Datenzone (707) zu lesen, und um entweder keinen Tastenschlüssel oder einen oder mehrere spezifizierte der ersten Tastenschlüssel zu benötigen und der Tastenschlüssel oder die Tastenschlüssel in dem ersten Bereich gespeichert sind, um die Karte eingegeben zu werden, um Daten in dieser Datenzone (707) einzuschreiben,

d) eine erste Einrichtung (20) in der Karte, die auf die einen Lesebefehl empfangende Eingabe/Ausgabe-Einrichtung (24) reagiert, ein Code eine bestimmte der Datenzonen (707) spezifiziert, in der Daten und jeglicher eingegebene Tastenschlüssel oder Tastenschlüssel zu lesen sind, um jeglichen eingegebenen Tastenschlüssel oder Tastenschlüssel mit einem Tastenschlüssel oder Tastenschlüssel zu vergleichen, die als erforderlich spezifiziert sind, um Daten in der bestimmten Datenzone (707) zu lesen, und um Daten von der bestimmten Zone (707) an die Eingabe/Ausgabe-Einrichtung (24) bereitzustellen, falls der eingegebene Tastenschlüssel oder die Tastenschlüssel mit dem Tastenschlüssel oder den Tastenschlüsseln übereinstimmen, die als erforderlich spezifiziert sind, um Daten in der bestimmten Datenzone (707) zu lesen, oder falls kein Tastenschlüssel als erforderlich spezifiziert ist, um Daten von der bestimmten Datenzone zu lesen und

e) eine zweite Einrichtung (20) in der Karte, die auf die einen Schreibbefehl empfangende Eingabe/Ausgabe-Einrichtung (24) reagiert, einen Code, der eine ausgewählte der Datenzonen (707) spezifiziert, in die Daten einzuschreiben sind, in die ausgewählte Zone (707) einzuschreibende Daten und jegliche eingegebene Tastenschlüssel oder Tastenschlüssel zum Vergleichen jegliches eingegebenen Tastenschlüssels oder Tastenschlüsseln mit jeglichem Tastenschlüssel oder Tastenschlüsseln, die als erforderlich spezifiziert sind, um Daten in die ausgewählte Datenzone (707) zu schreiben, und um die empfangenen Daten in die ausgewählte Zone (707) zu schreiben, falls der eingegebene Tastenschlüssel oder die Tastenschlüssel mit dem Tastenschlüssel oder den Tastenschlüsseln übereinstimmen, die als erforderlich spezifiziert sind, um Daten in die ausgewählte Datenzone (707) einzuschreiben, oder falls kein Tastenschlüssel als erforderlich spezifiziert ist, um Daten in die ausgewählte Zone (707) zu schreiben, wobei die Speichereinrichtung der ersten Karte (52) eine oder mehrere Datenzonen (707) aufweist, von denen jede eine entsprechende oder eine Kombination des ersten Tastenschlüssel und des Tastenschlüssel oder der Tastenschlüssel speichert, die in dem ersten Bereich der Speichereinrichtung (22) der zweiten Karte (10) gespeichert sind; und

eine IC-Karten-Leser/Schreib-Einrichtung (14) mit:

a) einem ersten (914) und einem zweiten (915) Einlaß zum Aufnehmen der ersten (52) und zweiten (10) Karten, zur jeweiligen Kopplung an die Eingabe/Ausgabe-Einrichtung (24),

b) einer Kopplungseinrichtung zum Empfangen von wenigstens Befehlen, Daten und Tastenschlüsseln und zum Bereitstellen von wenigsten Daten (909),

c) einer Leser/Schreib-Speichereinrichtung (906),

d) einer ersten Einrichtung (908), die auf die Kopplungseinrichtung (909) reagiert, die einen Befehl zum Lesen der zweiten Karte (10) empfängt, einen Code, der eine bestimmte Zone (707) in der zweiten Karte (10) spezifiziert, in der Daten zu lesen sind und jegliche der Tastenschlüssel oder Tastenschlüssel in die erste Karte (52) einzugeben sind, um der Eingabe/Ausgabe- Einrichtung (24) der ersten Karte (52) einen oder mehrere Befehle zusammen mit einem Code oder Codes bereitzustellen, die die Datenzone oder Zonen (707) der Speichereinrichtung (22) der ersten Karte (52) eren, wobei der Tastenschlüssel oder die Tastenschlüssel, die notwendig sind, um in der bestimmten Zone (707) der zweiten Karte (10) Daten zu lesen, gespeichert sind und jeglicher Tastenschlüssel oder Tastenschlüssel durch die Kopplungseinrichtung (909) empfangen werden, um einen derartigen benötigten Tastenschlüssel oder Tastenschlüssel an die Leser-/Schreibspeicher-Einrichtung (906) zu übertragen, falls der Tastenschlüssel oder die Tastenschlüssel, die von der Kopplungseinrichtung (909) empfangen werden mit einem entsprechenden Tastenschlüssel oder Tastenschlüsseln übereinstimmen, die erforderlich sind, um eine oder mehrere Datenzonen (707) der Speichereinrichtung (22) der ersten Karte (52) zu lesen, oder falls keine Tastenschlüssel erforderlich sind um derartige Datenzonen (707) zu lesen, zum Bereitstellen eines Lesebefehles an die Eingabe/Ausgabe-Einrichtung (24) der zweiten Karte (10), ein Code, der die bestimmte Datenzone (707) und den Tastenschlüssel oder die Tastenschlüssel zum Lesen von Daten in der bestimmten Zone (707) spezifiziert, die von der Speichereinrichtung (22) der ersten Karte (52) an die Leser-/Schreibspeicher-Einrichtung (906) übertragen werden und zum Übertragen jeglicher Daten, die durch die Eingabe/Ausgabe-Einrichtung (24) der zweiten Karte (10) an die Leser-/Schreibspeicher-Einrichtung (906) bereitgestellt werden, und

e) eine zweite Einrichtung (908), die auf die einen Befehl zu der zweiten Karte (10) zu schreiben empfangende Kopplungseinrichtung (909) reagiert, ein Code, der eine ausgewählte Zone (707) in der zweiten Karte (10) festlegt, in die Daten einzuschreiben sind, in die ausgewählte Zone (707) einzuschreibende Daten, und jeglicher in die erste Karte (52) einzugebende Tastenschlüssel oder einzugebende Tastenschlüssel, um die Eingabe/Ausgabe-Einrichtung (24) der ersten Karte mit einem oder mehreren Befehlen zusammen mit einem Code oder Codes zu versorgen, die die Datenzone oder Zonen (707) der Speichereinrichtung (22) der ersten Karte (52) spezifizieren, wobei der Tastenschlüssel die Tastenschlüssel, die benötigt werden, um Daten in die ausgewählte Zone (707) der zweiten Karte (10) zu schreiben, gespeichert werden und jeglicher Tastenschlüssel oder Tastenschlüssel, die durch die Kopplungseinrichtung (909) empfangen werden, um einen derartigen benötigten Tastenschlüssel oder Tastenschlüssel an die Leser-/Schreibspeicher-Einrichtung (906) weiterzuleiten, falls der Tastenschlüssel oder die Tastenschlüssel, die von der Kopplungseinrichtung (909) empfangen werden, mit dem entsprechenden Tastenschlüssel oder Tastenschlüsseln übereinstimmen, die erforderlich sind, um eine oder mehrere Datenzonen (707) der Speichereinrichtung (22) der ersten Karte (52) zu lesen, oder falls keine Tastenschlüssel erforderlich sind, um derartige Datenzonen (707) zu lesen, und um der Eingabe/Ausgabe-Einrichtung (24) der zweiten Karte (10) den Schreibbefehl, einen Code, der die ausgewählte Zone (707) spezifiziert, die in die ausgewählte Zone (707) zu schreibenden Daten und den Tastenschlüssel oder die Tastenschlüssel, um Daten in die ausgewählte Zone (707) zu schreiben bereitzustellen, die von der Speichereinrichtung (22) der ersten Karte (52) zu dem Leser-/Schreibspeicher (906) übertragen werden.

11. IC-Informationskartensystem nach Anspruch 10, bei dem die Speichereinrichtung (22) der ersten Karte (52) eine erste Datenzone (705) aufweist, die einen Identifizierungscode für die Karte (10) enthält, und bei der die Leser-/Schreibeinrichtung (14) desweiteren eine dritte Einrichtung (908) aufweist, um die erste Zone (705) der Speichereinrichtung (22) der ersten Karte (52) zu lesen, nach einem anfänglichen Koppeln der ersten Karte (52) an die Leser-/Schreibeinrichtung (14) und einem Übertragen des Identifizierungscode darin zu der Leser-/Schreibspeichereinrichtung (906), und um die erste Zone (705) der Speichereinrichtung (22) der ersten Karte (52) jedesmal zu lesen, wenn die Kopplungseinrichtung (909) einen Befehl erhält, die zweite Karte (10) zu lesen oder einen Befehl in die zweite Karte (10) zu schreiben und den darin gelesenen Inhalt mit dem Identifikationscode zu vergleichen, der in der Leser-/Schreibspeichereinrichtung (906) gespeichert ist, wobei die dritte Einrichtung (908) wenigstens ein Lesen und ein Schreiben der Speichereinrichtung (22) der zweiten Karte (10) verhindert, falls der Inhalt der ersten Datenzone (705) der Speichereinrichtung (22) der ersten Karte nicht mit dem Identifikationscode übereinstimmt, der in der Leser-/Schreibspeichereinrichtung (906) gespeichert ist.

12. Initialisierungssystem (50) für IC-Informationskarten, die jeweils eine erste Einrichtung (20) in der Karte aufweisen, die auf einen ersten Befehl, Zonendefinitionsdaten und einen von der Eingabe/Ausgabe-Einrichtung (24) empfangenen eingegebenen Tastenschlüssel reagiert, um den eingegebenen Tastenschlüssel mit einem ersten Tastenschlüssel zu vergleichen, der in der Karte gespeichert ist, um die Zonendefinitionsdaten in einem ersten Bereich der Speichereinrichtung (22) nur dann einzuschreiben, falls der empfangene Tastenschlüssel mit dem ersten Tastenschlüssel übereinstimmt, wobei die Zonendefinitionsdaten eine oder mehrere Zonendefinitionsworte (701, . . . , 704) aufweisen, von denen jedes einer jeweiligen Datenzone in einem zweiten Bereich der Speichereinrichtung entspricht, wobei jedes Zonendefinitionswort (701, . . . 704) wenigstens die Anfangsadresse der zugehörigen Datenzone (707) und die Größe der zugehörigen Datenzone (707) spezifiziert, und eine zweite Einrichtung (20) in der Karte auf einen zweiten Befehl reagiert, Tastenschlüsseldaten einen oder mehrere zusätzliche Tastenschlüssel und einen eingegebenen Tastenschlüssel aufweisen, der von der Eingabe/Ausgabe-Einrichtung (24) zum Vergleichen des eingegebenen Tastenschlüssels mit dem ersten Tastenschlüssel und zum Schreiben der Tastenschlüsseldaten in einen dritten Datenbereich der Speichereinrichtung nur dann, wenn der eingegebene Tastenschlüssel mit dem ersten Tastenschlüssel übereinstimmt, und wobei jedes Zonendefinitionswort (701, . . . , 704) desweiteren festlegt, daß entweder kein Tastenschlüssel oder einer oder mehrere der ersten Tastenschlüssel und der zusätzliche Tastenschlüssel oder die zusätzlichen Tastenschlüssel notwendig sind, um von der Eingabe/Ausgabe-Einrichtung (24) empfangen zu werden, um Daten von der zugehörigen Zone (707) zu lesen und entweder kein Tastenschlüssel oder einer oder mehrere der ersten Tastenschlüssel und der zusätzliche Tastenschlüssel oder die zusätzlichen Tastenschlüssel von der Eingabe/Ausgabe-Einrichtung (24) empfangen werden müssen, um Daten in die entsprechende Datenzone (707) zu schreiben, wobei das System folgendes aufweist:

eine Eingabe-Einrichtung zum Aufnehmen jeweils einer Karte zu einem Zeitpunkt, um initialisiert zu werden und zum Koppeln der Eingabe/Ausgabe-Einrichtung (24) der dabei aufgenommenen Karte;

eine Initialisierungsspeichereinrichtung zum Speichern des ersten Tastenschlüssels, geeigneter Zonendefinitionsdaten und eines zusätzlichen Tastenschlüssels oder zusätzlicher Tastenschlüssel;

einer ersten Initialisierungseinrichtung zum Schreiben der Zonendefinitionsdaten, die in der Initialisierungsspeichereinrichtung gespeichert sind, in den ersten Bereich der Speichereinrichtung der Karte, die durch die Eingabeeinrichtung aufgenommen ist, unter Verwendung des ersten Befehles und des ersten Tastenschlüssels, der in der Intialisierungsspeichereinrichtung gespeichert ist; und

eine zweite Initialisierungseinrichtung zum Schreiben des zusätzlichen Tastenschlüssels oder zusätzlicher Tastenschlüssel, die in dem Initialisierungsspeicher gespeichert sind, in den dritten Bereich der Speichereinrichtung der Karte, die von der Eingabe-Einrichtung aufgenommen ist, unter Verwendung des zweiten Befehles und des ersten Tastenschlüssel, der in der Initialisierungsspeichereinrichtung gespeichert ist.

13. IC-Informationskarteninitialisiertungssystem (50) nach Anspruch 12, bei dem ein erster Tastenschlüssel, die Zonendefinitionsdaten und die zusätzlichen Tastenschlüssel in einer Hauptkarte (52) gespeichert sind, die in der Aufnahmeeinrichtung aufgenommen ist, bevor die erste der zu initialisierenden Karten aufgenommen ist, und das System desweiteren eine dritte Initialisierungseinrichtung aufweist, um den ersten Tastenschlüssel, die Zonendefinitionsdaten und den zusätzlichen oder die zusätzlichen Tastenschlüssel von der Hauptkarte in die Initialisierungsspeichereinrichtung zu übertragen.

14. IC-Informationskarteninitialisierungsysystem (50) nach Anspruch 12, bei der das System desweiteren eine automatische Zuführeinrichtung aufweist, um eine Vielzahl der zu initialisierenden Karten aufzunehmen und um die Karten eine nach der anderen der Aufnahmeeinrichtung zuzuführen und eine automatischen Empfangseinrichtung, um eine Karte zu empfangen, nachdem die Zonendefinitionsdaten und der zusätzliche oder die zusätzlichen Tastenschlüssel in ihre Speichereinrichtung geschrieben worden sind.

15. IC-Informationskarteninitialisierungsysystem (50) nach Anspruch 12, bei der die Karte desweiteren eine dritte Einrichtung (20) in der Karte aufweist, die auf einen Schreibbefehl reagiert, einen Code, der eine ausgewählte der Datenzonen in die Daten einzuschreiben sind spezifiziert, in die ausgewählte Zone einzuschreibende Daten und jeglichen eingegebenen Tastenschlüssel oder Tastenschlüssel, die von der Eingabe/Ausgabe-Einrichtung (24) empfangen worden sind, um jeglichen eingegebenen Tastenschlüssel oder Tastenschlüssel mit einem Tastenschlüssel oder Tastenschlüssel, die als erforderlich spezifiziert worden sind, um Daten in die ausgewählte Datenzone (707) zuschreiben, zu vergleichen und um die empfangenen Daten in die ausgewählte Datenzone (707) einzuschreiben, falls der eingegebene Tastenschlüssel oder die Tastenschlüssel mit dem Tastenschlüssel oder den Tastenschlüsseln übereinstimmen, die als erforderlich spezifiziert worden sind, um Daten in die ausgewählte Datenzone einzuschreiben, oder falls kein Tastenschlüssel als erforderlich spezifiziert worden ist, um Daten in die ausgewählte Datenzone (707) zu schreiben, und eine zweite Speichereinrichtung (19), um einen Datei-Identifizierungscode zu speichern, und wobei das System desweiteren umfaßt:

eine Einrichtung zum Lesen der zweiten Speichereinrichtung (19), um den Datei-Identifikationscode einer von der Aufnahmeeinrichtung aufgenommenen Karte zu erhalten;

eine Massenspeichereinrichtung (16), um eine Vielzahl von Daten-Dateien zu speichern, die jeweils mit einer entsprechenden Datei-Identifikationsnummer verknüpft sind, wobei jede Daten-Datei eine Vielzahl von Datensegmenten hat, die entsprechenden Datenzonen (707) einer Karte (10) entsprechen, wie sie durch die Zonendefinitionsdaten (701, . . . , 704), die in die Karte (10) durch die ersten Initialisierungseinrichtung eingeschrieben sind, definiert sind;

eine dritte Initialisierungseinrichtung, die auf den Dateienidentifikationscode reagiert, der von der Leseeinrichtung der zweiten Speichereinrichtung (19) erhalten worden ist, um die Daten-Dateien in der Massenspeichereinrichtung (16) für die Daten-Dateien mit dem Datei-Identifikationscode zu durchsuchen; und

eine vierte Initialisierungseinrichtung, um die Segmente der zugehörigen Daten-Dateien in entsprechende Datenzonen (707) der Speichereinrichtung (22) der Karte (10) zu schreiben, die in der Aufnahmeeinrichtung aufgenommen ist, unter Verwendung des Schreibbefehls und einem entsprechenden Tastenschlüssel oder Tastenschlüssel, falls diese erforderlich sind, um Daten in jede zugehörige Datenzone (707) zu schreiben.

16. IC-Informationskarteninitialisierungssystem (50) nach Anspruch 15, bei der die zweite Speichereinrichtung (19) der Karte (10) ein Magnetstreifen auf der Karte und die Einrichtung zum Lesen der zweiten Speichereinrichtung ein Magnetstreifenleser ist.

17. In einer IC-Informationskarte (10), die eine nicht-flüchtige Speichereinrichtung (22) aufweist, die eine Vielzahl von adressierbaren Bit-Speicherstellen hat, ein Verfahren zu Segmentierung eines Datenspeicherbereiches der Speichereinrichtung (22) in eine Vielzahl von Datenzone (707), wobei jede zuweisbare Attribute, inklusive einer zuweisbaren Sicherheitszugriffsebene umfaßt, wobei das Verfahren die folgenden Schritte umfaßt:

Definieren erster, zweiter und dritter Bereiche in der Speichereinrichtung (22), wobei der dritte Bereich der Datenspeicherbereich ist;

Benötigen der Eingabe in die Karte (10) wenigstens eines ersten Tastenschlüssels, um in den ersten oder in den zweiten Bereich der Speichereinrichtung (22) zu schreiben;

Schreiben wenigstens eines oder mehrerer Tastenschlüssel in den ersten Bereich der Speichereinrichtung durch Eingeben des ersten Tastenschlüssels und jeglicher zusätzlich erforderlichen Tastenschlüssel; und

Schreiben von Zonendefinitionsdaten in den zweiten Bereich der Speichereinrichtung (22) durch Eingeben des ersten Tastenschlüssel und jeglicher zusätzlicher Tastenschlüssel, wobei die Zonendefinitionsdaten ein oder mehrere Zonendefinitionsworte (701, . . . , 704) aufweisen, von denen jedes einer entsprechenden Datenzone (707) in dem dritten Bereich der Speichereinrichtung (22) entspricht, wobei jedes Zonendefinitionswort wenigstens die Anfangsadresse der entsprechenden Zone (707), die Größe der entsprechenden Zone (707), und ob kein Tastenschlüssel oder ein oder mehrere des ersten Tastenschlüssels und der Tastenschlüssel oder die Tastenschlüssel in dem ersten Bereich in die Karte (10) einzugeben notwendig sind, spezifiziert, um Daten in der entsprechenden Datenzone (707) zu lesen, und ob kein Tastenschlüssel oder einer oder mehrere des ersten Tastenschlüssels und der Tastenschlüssel oder die Tastenschlüssel in dem ersten Bereich in die Karte (10) einzugeben erforderlich sind, um Daten in die zugehörige Zone (707) zu schreiben.

18. Verfahren nach Anspruch 17, bei dem Daten in jeder Datenzone (707) als aufeinanderfolgend angeordnete Datensätze (722, 727) gespeichert sind, und jedes Zonendefinitionswort (701, . . . , 704) desweiteren die maximale Anzahl von Datensätzen, die in der zugehörigen Zone (707) gespeichert werden können, die Länge der Daten in jedem Datensatz (722, . . . , 727) in der zugehörigen Zone (707) und einen Zonenzuordnungsbereich (721) in der Speichereinrichtung (22) spezifiziert, um Daten zu speichern, die den Ort des nächsten Datensatzes (722, . . . , 727) angeben, die in der zugehörigen Zone (707) gespeichert sind.

19. In einer IC-Informationskarte (10), die eine nichtflüchtige Speichereinrichtung (22) aufweist, die eine oder mehrere Datenzonen (707) hat, von denen jede die Eingabe eines entsprechenden Tastenschlüssel oder einer Kombination von Tastenschlüsseln erfordert, um Daten in der Datenzone (707) zu lesen und einen entsprechenden Tastenschlüssel oder eine Kombination von Tastenschlüsseln erfordert, um Daten in die Datenzone (707) zu schreiben, ein Verfahren, um das Verbreiten des jeweiligen Tastenschlüssels oder der Tastenschlüssel, die erforderlich sind, um die Datenzonen (707) der Karte zu lesen oder zu beschreiben, zu vermeiden, mit folgenden Schritten:

Speichern des entsprechenden Tastenschlüssels oder der Tastenschlüssel, die notwendig sind, um die Datenzonen (707) der Speichereinrichtung (22) der Karte (10) zu lesen oder zu beschreiben, in einer getrennten Steuerkarte (52); und

Übertragen eines notwendigen Tastenschlüssels oder Tastenschlüssel aus der Steuerkarte (52) in die Karte (10) durch zwei Lese-/Schreib-Einrichtungen (14), indem eine ausgewählte der Datenzonen (707) in der Speichereinrichtung (22) der Karte (10) gelesen oder beschrieben wird, auszuführen ist.