DE3780002T3 - System für einen tragbaren datenträger. - Google Patents

System für einen tragbaren datenträger.

Info

Publication number
DE3780002T3
DE3780002T3 DE3780002T DE3780002T DE3780002T3 DE 3780002 T3 DE3780002 T3 DE 3780002T3 DE 3780002 T DE3780002 T DE 3780002T DE 3780002 T DE3780002 T DE 3780002T DE 3780002 T3 DE3780002 T3 DE 3780002T3
Authority
DE
Germany
Prior art keywords
file
data
data carrier
card
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE3780002T
Other languages
English (en)
Other versions
DE3780002D1 (de
DE3780002T2 (de
Inventor
Christoph Anderl
Oren Frankel
Avi Zahivi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AT&T Corp
Original Assignee
American Telephone and Telegraph Co Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=25342234&utm_source=***_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE3780002(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by American Telephone and Telegraph Co Inc filed Critical American Telephone and Telegraph Co Inc
Publication of DE3780002D1 publication Critical patent/DE3780002D1/de
Publication of DE3780002T2 publication Critical patent/DE3780002T2/de
Application granted granted Critical
Publication of DE3780002T3 publication Critical patent/DE3780002T3/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3555Personalisation of two or more cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • G06Q20/35765Access rights to memory zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Cash Registers Or Receiving Machines (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Selective Calling Equipment (AREA)

Description

  • Die Erfindung betrifft ein System für den Betrieb von tragbaren Datenträgern, wie intelligenten Karten, und insbesondere ein System für das Übertragen und Austauschen von Daten zwischen einem Träger und einer zugeordneten Station.
  • Die Verwendung von Kreditkarten für Einkäufe, im Bankwesen und bei anderen Transaktionen ist so populär geworden, daß die meisten Personen heutzutage dazu nur noch wenig Bargeld benötigen. Die Karte, die typischerweise aus Plastik hergestellt ist und in welche die Kontonummer und der Name des Kontoinhabers eingeprägt sind, dient allein dazu, ein berechtigtes Konto, das mit einer Transaktion belastet werden soll, bei einer Bank oder bei einem Kreditinstitut zu identifizieren. Ein Magnetstreifen auf der Rückseite einiger Karten enthält die gleichen Informationen, ist aber maschinenlesbar, um die Transaktion zu beschleunigen. Alle Kontoinformationen sind bei der Bank oder dem Kreditinstitut gespeichert.
  • Da im allgemeinen die Transaktionen an einem der Bank oder dem Kreditinstitut fernliegenden Ort vorgenommen werden, ist es einfach für eine Person, eine entwendete Karte zu benutzen, oder für einen legitimierten Besitzer versehentlich sein Kreditlimit zu überziehen. Die meisten Kaufleute verlangen deshalb, daß vor Abschluß eines Kaufes oberhalb eines relativ geringen Betrages, wie z. B. 50 Dollar, die Berechtigung von der Bank oder dem Kreditinstitut in geeigneter Weise bestätigt wird. Sogar mit automatischem telefonischen Ruf ist die Prozedur beschwerlich und kostet Zeit. Darüberhinaus wird eine separate Karte für jedes Konto benötigt.
  • Mit dem Auftreten der jüngsten Fortschritte in der Mikroelektronik ist es jedoch nun möglich, eine große Menge an Rechenkapazität und an Speicher auf der Karte selbst unterzubringen, um eine "Intelligente Karte" oder einen "Tragbaren Datenträger" zu erstellen. Die Karte könnte die Kontonummern sämtlicher Abbuchungskonten des Besitzers, die Kontenstunde aller dieser Konten, die Kreditlimite aller dieser Konten enthalten und konnte mit jeder Transaktion auf den aktuellen Stand gebracht werden. Die Karte konnte ebenfalls andere, wie z. B. persönliche Daten, die Größe der Familienmitglieder für Kleiderkäufe, persönliche Telefonverzeichnisse usw. tragen. Die Arten der persönlichen Daten sind nur durch das Vorstellungsvermögen begrenzt.
  • Die Technologie, um all dieses auf einer Karte mit Standardgröße unterzubringen, existiert. Jedoch besteht immer noch das Problem der Bereitstellung geeigneter Sicherheit für die Daten auf der Karte. Derartige Sicherheitsregeln benötigen einen limitierenden Zugriff auf die interne Dateistruktur der Karte, wahrend dabei der einfache Zugriff für die darin für den berechtigten Benutzer enthaltenen Daten erlaubt wird.
  • Die WO-A 8707060, die einen Teil des Standes der Technik gemäß Artikel. 54(3) EPÜ bildet, offenbart ein IC-Kartensystem, das einen programmierten Mikroprozessor und einen nichtflüchtigen Schreib/Lesespeicher (EPROM) eingebettet in einer Datenkarte enthält, die in dem System verwendet wird. Der Datenspeicherbereich des Speichers in der Karte ist in eine oder mehrere Datenzonen segmentierbar, deren jede entweder keinen Zugriffscode oder einen oder mehrere Zugriffscodes zum Eingeben in die Karte benötigt, um auf diese Zonen (Schreiben und/oder Lesen) zuzugreifen. Die Segmentierung des Kartenspeichers und die Zuordnung benötigter Zugriffscodes wird durch das Schreiben einer Zonendefinitionstabelle und das Schreiben eines oder mehrerer Zugriffscodes in den Kartenspeicher unter Verwendung eines speziellen Zugriffscodes erreicht, der in dem Mikroprozessorprogramm festgelegt ist. Die Zugriffscodes für die Datenzonen sind so auf der Datenkarte gespeichert und der programmierte Mikroprozessor in der Karte vergleicht eingehende Codes mit den gespeicherten Codes, um zu bestimmen, ob Zugriff auf eine bestimmte Datenzone erlaubt ist. Die Zugriffscodes für die Datenzonen des Kartenspeichers sind in einer zweiten Karte gespeichert, die als Kontrollkarte bezeichnet wird. Diese Kontrollkarte und die Datenkarte werden in einer Zweikarten-Schreib/Leseeinrichtung mit einer Übertragungsverbindung versehen. In dieser Weise werden die benötigten Zugriffscodes von der Kontrollkarte auf die Datenkarte übertragen, wenn der Zugriff auf eine Datenzone in dieser benötigt wird und die in der Kontrollkarte gespeicherten Zugriffscodes müssen nicht irgendeiner Person bekannt werden.
  • DE-A-27 38 113 und WO-A-87 06 747 (welche zum Stand der Technik gemäß § 54/3 EPC gehören) offenbaren Systeme, welche dem Aufbau des in Anspruch 1 beschriebenen Systems ähnlich sind.
  • Erfindungsgemäß wird ein Datenträgersystem geschaffen, wie es in Anspruch 1. beschrieben ist.
  • Ein derartiges tragbares Datenträgersystem mit hoher Sicherheit kann bei einer Vielfalt von Anwendungen verwendet werden, vom Telefonieren mit Kundenrepertoire bis zum Speichern individueller medizinischer und/oder bankbezogener Aufzeichnungen. In dem System ist ein tragbarer Datenträger oder eine intelligente Karte enthalten, die sehr wie eine normale Kreditkarte aussieht und sich auch so anfühlt. Diese Karte enthält jedoch einen Computer, einen elektrisch löschbaren programmierbaren Nur-Lesespeicher (EEPROM) und ebenfalls Schaltungen für das Empfangen eines kombinierten Versorgungs- und Zeitsignals von einer Kartenschreib/Leseeinrichtung, die bei einer zugehörigen Station mit untergebracht ist. Diese Kartenbestandteile und Schaltungen empfangen und senden ebenfalls Datensignale zwischen der Karte und, über die Schreib/Leseeinrichtung, der zugehörigen Station. Die Karte betreibt ein ausführendes Betriebssystem (auch: Ausführungsbetriebssystem), auf welches von der Station mittels eines Satzes von gemeinsam verstandenen Befehlsprimitiven (auch als Befehlsgrundelement bezeichnet) zugegriffen wird. Diese Befehlsprimitiven manipulieren das Kartendateisystem in Übereinstimmung mit Regeln, die für die Kartensicherheit benötigt werden. Die Verwendung des ausführenden Betriebssystems hält einen Eindringling davon ab, Zugriff zu der Datenbasis in der Karte zu erhalten. Zusätzlich ist die Verschlüsselung von Daten, wie sie für die Karte zur Verfügung steht, ebenfalls für die speziellen sensiblen Anwendungen erhältlich.
  • Die persönlichen Daten eines Kunden befinden sich in vielen Dateien des EEPROMs auf der Karte. Geeignete Anwendungssoftware, die sich in der Station befindet, ermöglicht, wenn ein geeignetes Passwort mit vorliegt, den Aufruf und die Modifizierung dieser Dateien. Die Sicherheit für die Karte wird durch das Erfordernis eines separaten Passwortes für das Erlangen eines Zugriffs für jeden bestimmten Level der Interaktion zwischen der Karte und der zugehörigen Station bereitgestellt. Die Anzahl von nacheinander folgenden, nicht erfolgreichen Zugriffsversuchen ist auf eine festgelegte Anzahl für jeden Sicherheitslevel limitiert. Die Karte kann derart konfiguriert rein, daß wenn diese Anzahl überschritten wird, diese entweder in diesem Sicherheitslevel gesperrt wird oder die Datenbasis der gesamten Karte gelöscht wird. Falls die Karte zum Sperren konfiguriert ist, ist irgendein Level oberhalb des gesperrten Levels in der Lage, diesen zu entsperren. Dies erlaubt eine Aufgliederung der Karteninstandhaltung auf den niedrigstmöglichen Level oberhalb des gesperrten Levels. Und die Sicherheit ist weiter erhöht, da die Karte ebenfalls einen Benutzer für die Bereitstellung eines fakultativen Paßwortes erfordert, bevor der Zugriff auf bestimmte benannte Dateien erlaubt wird.
  • Da jede der viele Dateien ihre eigene Dateisicherheit auf der Karte haben kann, können viele Anwendungen oder verschiedene Konten in diesen Dateien ohne Konflikte oder Beeinträchtigungen existieren. Die maximale Anzahl von auf der Karte erlaubten Dateien ist nur durch den auf der Karte verfügbaren Speicher begrenzt.
  • Einem Benutzer, der auf einem bestimmten Sicherheitslevel den Zugriff hergestellt hat, ist es gestattet, das Passwort auf diesem Level oder irgend einem Level unter diesem zu ändern. Somit kann ein Passwort, wenn es verloren oder vergessen ist, überschrieben werden durch Zugang zur Karte bei einem höheren Sicherheitslevel und Eingeben eines Passwortkommandos. In dieser Weise muß das verlorene Passwort nicht wiedergefunden werden.
  • Eine Software mit hohem Standard ist zur Verfügung gestellt, um alle Interaktionen zwischen der Station und der Schreib/Leseeinrichtung oder der Karte zu unterstützen. Als Ergebnis muß sich ein Anwendungsprogrammierer nicht mit den langweiligen Details der Karteninterna oder des Kommunikationsprotokolls auskennen. Sein Code greift direkt auf die Bibliothek zu und die Bibliothek steht in Verbindung mit der Karte.
  • Die Bibliothek ist in vier Abschnitte aufgeteilt: Einen Kartenbibliotheksabschnitt, der für die direkte Tabellierung von Kartenkommandos zur Verfügung steht, einen Kartenschreib/Lese-Bibliotheksabschnitt, der für die direkte Tabellierung von Schreib/Lesebefehlen zur Verfügung steht, einen zusammengesetzten Bibliotheksabschnitt, welcher Karten und/oder Schreib/Lesegerätebefehle enthält und schließlich einen Kontrollabschnitt, der gemeinsame Kontrollfunktionen, die sich in der Station befinden, enthält. Diese Funktionen enthalten Details der Initialisierung, des Beendens und der Kontrolle und/oder Steuerung der Anschlußschaltungen und der logischen Einrichtungen. Diese Bibliothek funktioniert somit als Softwareschnittstelle und stellt einen Weg zur Verfügung, um auf Einrichtungen und Dateien zuzugreifen, der typischen Computerprotokollen stark ähnelt und die Belastungen der Anwendungsprogrammierer erleichtert. Die Sicherheit ist erhöht, da die Anwendungssoftware der Station, welche die Daten einer Datei empfangt und interpretiert nur einen aneinanderhängenden Strom von Bytes, welche die im Zugriff befindliche Anwendung betreffen, sieht. Somit wird einem Benutzer einer speziellen Anwendung keine Information über andere Anwendungen auf der Karte oder über die interne Kartendateistruktur zur Verfügung gestellt. Die Erfindung und ihr Betriebsmodus wird in der folgenden Beschreibung in Verbindung mit den beiliegenden Zeichnungen näher erläutert.
  • Es zeigen:
  • Fig. 1 eine funktionelle Blockdarstellung der wesentlichen Funktionskomponenten eines tragbaren Datenträgersystems und ihren allgemeinen gegenseitigen Wechselwirkungen,
  • Fig. 2 eine Tabelle, die sechs Sicherheitstufen zeigt, für die ein Zugriff auf den tragbaren, im System nach Fig. 1 verwendeten Datenträger möglich ist,
  • Fig. 3 das Dateisystem für Daten, die auf dem Datenträger enthalten sind, der in zwei Bereiche, den Kopf und den Datenabschnitt, eingeteilt ist,
  • Fig. 4 die drei Sektionen jeder Datei, die in dem Datenabschnitt des tragbaren Datenträgersystems untergebracht ist,
  • Fig. 5 den hierarchichen Aufbau der Normal-Sicherheit Klassen-Stufen, die ein fakultatives Passwort pro Datei und ein Nur-Anfügen-Merkmal verwenden
  • Fig. 6 eine Tabelle mit Befehlsprimitiven, die zum Kommunizieren mit dem Betriebssystem des tragbaren Datenträgers benutzt werden,
  • Fig. 7 ein Flußdiagramm, das eine Login-Folge erläutert, die einen unberechtigten Zugriff auf den tragbaren Datenträger zu verhindern hilft,
  • Fig. 8 die Softwarehierarchie des tragbaren Datenträgersystems, die so aufgebaut ist, dass sie mit dem im System verwendeten Protokoll zusammenarbeitet,
  • Fig. 9 ein Nachrichtenformat, das zum Kommunizieren zwischen den wesentlichen Untersystemen des tragbaren Datenträgersystems ausgebildet ist,
  • Fig. 10 ein Flußdiagramm, das die Entscheidung in der Verbindungsebene erläutert, die den Betriebsablauf der Anwendungsstation mittels eines Halb-Duplex-Protokolls steuert,
  • Fig. 11 ein Flußdiagramm, das die Entscheidung in der Verbindungsebene erläutert, die den Betriebsablauf des Lesers/Schreibers und des tragbaren Datenträgers mittels eines Halb-Duplex-Protokolls steuert.
  • In allen Zeichnungen sind gleiche Elemente mit gleichen Bezugsnummern versehen.
  • In Fig. 1 ist ein tragbarer Datenträger (PDC = portable data carrier) gezeigt, der zum leichteren Verständnis in drei Untersysteme eingeteilt werden kann. Das erste Untersystem ist ein tragbarer Datenträger oder eine Karte 10, die einen Speicher enthält, der speichern und Informationen für einen Benutzer aktualisieren kann. Das zweite Untersystem ist ein Kartenleser/schreiber 15, der die Karte mit einer Station 18, dem dritten Untersystem, verbindet. Dieses letzte Untersystem ist eine geeignet zusammengestellte Anwenderstation mit einem Computer oder einer der Öffentlichkeit zugänglichen Workstation, die die zum Zugriff auf den Kartenspeicher notwendige Anwendersoftware steuert. Die Anwendersoftware befindet sich in der Station und ermöglicht den Abruf und die Abänderung der im Kartenspeicher 10 abgelegten Information.
  • Die Karte 10 steuert ein ausführendes Betriebssystem, auf das über einen Satz von Befehlsprimitiven des Betriebssystems zugegriffen wird. Diese Befehlsprimitive beeinflussen ein Dateisystem der Karte gemäß den Regeln, die von der Kartensicherheit verlangt werden.
  • Einige in der Karte 10 angeordnete Hauptkomponenten bilden einen Mikrocomputer 110, einen elektrisch löschbaren, programmierbaren Lesespeicher (EEPROM) 115, eine analoge Schnittstellenschaltung 130, die Sekundärwicklung 121 eines Transformators 120 und kapazitive Platten 125 bis 128.
  • Der Mikrocomputer 110 enthält einen zentralen Prozessor und Speichereinheiten in Form eines Speichers mit direktem Zugriff und einen Nur-Lesespeicher. Der Mikrocomputer 110, der unter der Steuerung der im internen Nur-Lesespeicher abgelegten Firmensoftware betrieben wird, formatiert Daten, die unmittelbar zum EEPROM 115 und über den Leser/Schreiber 15 zu der Station 18 übertragen werden. Der gesamte EEPROM oder ein Teil von ihm kann ein integraler Bestandteil des Mikrocomputers oder auch ein getrenntes Teil sein. Der Mikrocomputer 110 interpretiert ebenso die von der Station 18 kommenden Befehlsprimitive, die im Leser/Schreiber empfangen werden.
  • Durch die Verwendung eines EEPROM 115 in der Karte 10 erhält der berechtigte Benutzer die Möglichkeit, bestimmte Anwendungsdateien in der Speichersektion der Karte nach Wunsch mit neuen und unterschiedlichen Daten in einer berechtigten, zugeordneten Anwendungsstation neu zu programmieren. Die Daten können mehrmals in den EEPROM geschrieben, aus ihm gelesen oder gelöscht werden, solange eine Betriebsspannung angelegt ist. Wird die Betriebsspannung abgeschaltet, bleiben alle Datenänderungen im EEPROM erhalten und abrufbar, wann immer die Karte mit Energie gespeist wird.
  • Die analoge Schnittstellenschaltung 130 stellt Einrichtungen bereit, die die Speicherkarte 10 mit dem Leser/Schreiber 15 verbinden. Die Schnittstelle bietet mehrere Funktionen einschließlich der Betriebspannungsversorgung, die aus der magnetischen Energie gewonnen wird, die vom Leser/Schreiber 15 in die Karte 10 gekoppelt wird; sie überträgt ebenso Daten zwischen dem Leser/Schreiber 15 und dem Mikrocomputer 110 der Karte 10. Die Betriebsleistung der Karte 10 wird über eine induktive Schnittstelle mittels der Sekundärwicklung 121 eines Transformators 120 an die analoge Schnittstellenschaltung 130 angelegt. Dieser Transformator entsteht, sobald die Sekundärwicklung der Karte 10 in Wirkverbindung mit einer Primärwicklung 122 des Lesers/Schreibers 15 steht. Die Station 18 liefert die Betriebsleistung für den Leser/Schreiber 15 und für die Karte 10.
  • Der Transformator 120 kann vorteilhafterweise einen Ferritkern 123 auf dem Leser/Schreiber enthalten, um eine erhöhte Kopplung zwischen der Primärwicklung 122 des Transformators und der Sekundärwicklung 121 zu erzielen. Ein zweiter Kern 124 kann auch im Transformator 120 vorhanden und mit der Sekundärwicklung 121 der Karte verbunden sein, um den Kopplungswirkungsgrad weiter zu erhöhen. Bei diesen Anordnungen, die über genügend Leistung verfügen und bei denen es auf den Wirkungsgrad nicht ankommt, können beide Kerne entfallen.
  • Ein Datenempfang und eine Übertragung von der Karte 10 geschieht über eine kapazitive Schnittstelle, die mit der analogen Schnittstelle 130 verbunden ist. Die kapazitive Schnittstelle umfasst vier Kondensatoren, die entstehen, sobald die Elektroden oder Platten 125 bis 128 der Karte 10 mit den entsprechenden Elektroden oder Platten 155 bis 158 des Lesers/Schreibers 15 in Eingriff stehen. Zwei dieser Kondensatoren werden benutzt, um Daten von dem Leser/Schreiber 15 zur Karte 10 zu übertragen, wohingegen die verbleibenden Kondensatoren verwendet werden, um Daten von der Karte 10 zum Leser/Schreiber 15 zu übertragen. Die Kombination von induktiver Schnittstelle und kapazitiver Schnittstelle bildet die vollständige Übertragungsschnittstelle zwischen dem Leser/Schreiber 15 und der Speicherkarte 10.
  • Einige Komponenten des Lesers/Schreibers 15 entsprechen funktionell denen auf der Karte 10. Solche Komponenten sind beispielsweise eine analoge Schnittstellenschaltung 140 und ein Mikrocomputer 150. Außerdem enthält der Leser/Schreiber 15 eine Energieversorgung 162 und eine Eingang/Ausgang-Schnittstelle 160. Die Energieversorgung 162 wird benutzt, um eine Leistung bereitzustellen und ein Taktsignal vom Leser/Schreiber 15 über den Transformator 120 zur Karte 10 zu koppeln. Die Eingang/Ausgang-Schnittstelle ist prinzipiell ein universeller, asynchroner Empfanger-Übertrager (UART = universal asynchronous receiver transmitter), der vorteilhafterweise in dem Mikrocomputer 150 vorgesehen ist. Der UART kommuniziert mit der Anwenderstation 18, die eine amtliche Herausgabestation, private Herausgabestation, eine herausgebende Austellerstation, eine öffentliche Telefonstation oder eine andere, geeignet zusammengestellte Station sein kann.
  • Die Sicherheit des PDC-Systems ist in zwei breite Bereiche eingeteilt. Der erste Bereich ist auf die Identifikation und Berechtigung gerichtet, um sicherzustellen, dass die Station zum einen (1) mit einer berechtigten Karte und zum anderen (2) mit einer berechtigten Anwenderdatei der Karte kommuniziert. Der zweite Bereich betrifft die Steuerung des Zugriffs auf die Dateien der Karte und die Begrenzung der Anwendung der Kartenbefehle durch eine Anwendung der Station, wobei eine Anwendung ein Konto oder dergleichen ist, das auf bestimmte Daten in einer Date der Karte zugreift. Ohne eine geeignete Legalisierungsprozedur zur Unterdrückung von Betrugsabsichten, könnte das System das Stationsprotokoll simulieren und dabei Informationen über das PDC-System gewinnen.
  • Ein Verfahren zur Sicherung, daß die Station mit einer berechtigten Datei einer berechtigten Karte kommuniziert, wird erreicht, indem jeder Karte eine eigene Seriennummer zugeordnet wird, die ganz oder teilweise mit einem verborgenen, in der Station liegenden Anwendungspasswort benutzt wird. Diese Nummern werden algorithmisch manipuliert, um einen Berechtigungscode zu erzeugen, der in der Anwendungsdatei der Karte zur Zeit der Erzeugung gespeichert ist. Wahrend aufeinanderfolgender Transaktionen muß dieser Code vorteilhafterweise mit einem ähnlichen Code, der unabhängig von der Station erzeugt wird, verglichen werden.
  • Um eine Sicherheitsleistung für das Karten-Datei-System und für die Kartenbefehle bereitzustellen und außerdem eine Flexibilität in der Handhabung verschiedener Anwendungstypen zu ermöglichen, verwendet die Karte sechs verschiedene Sicherheitsstufen. Diese Sicherheitsstufen ermöglichen es, daß die Karte zwei Quellen schützen kann, das Karten-Datei-System und die Kartenbefehle. Der Zugriff zu einem der Quellen ist eine Funktion der berechtigten Login-Stufe, des angeforderten Befehls, der Datei, auf die zugegriffen werden muß, und solcher zusätzlicher Beschränkungen, wie sie vom Kartenbesitzer festgelegt werden.
  • In Fig. 2 sind die sechs Login-Sicherheitsstufen gezeigt. Die ersten vier unteren Stufen sind in einer normalen Sicherheitsklasse angeordnet und für den Gebrauch in einem öffentlichen Umfeld verfügbar. Die erste und unterste Stufe in der hierarchichen Sicherheitsstufe ist eine öffentliche Login- Stufe für allgemeine Informationen, die für den Zugriff kein Passwort benötigt. Ärztliche Informationen und Sicherheitsidentifikationsnummern oder bibliographische Karteninformationen sind Beispiele für öffentliche Daten, die eine Person vielleicht in dieser Stufe erhalten möchte. Wenn die Karte initialisiert oder in einer Station zurückgesetzt wird, gelangt sie hinauf in die öffentliche Login-Stufe.
  • Die zweite Stufe ist die Benutzer-Stufe, die für den Zugriff ein Benutzer-Passwort verlangt. Ein Benutzer kann bestimmte Gut- und Lastschriften in dieser Stufe haben. Die dritte Stufe ist die Nebenausstellerstufe, die für den Zugriff ebenso ein Passwort verlangt und im allgemeinen die Stufe darstellt, die in einer vom Hauptaussteller oder dem Kartenbesitzer genehmigten Anwendung benutzt wird.
  • Die vierte Sicherheitsstufe verbleibt beim Hauptaussteller. In dieser Stufe wird die Karte formatiert und ausgestellt. Es folgt nun ein Beispiel, wie diese Stufen benützt werden können: Eine Bank stellt Karten aus, die Gut- oder Lastschriften enthalten. Diese Bank genehmigt ebenso die Benutzung ihrer Karte den Einzelverkäufern, die ihre eigenen Gut- oder Lastschriften auf der Karte einrichten. In diesem Beispiel ist die Bank der Hauptaussteller und die Verkäufer sind die Nebenaussteller. Der Kartenhalter ist natürlich der Benutzer. Jede Abrechnung in diesem Beispiel wird durch eine gesonderte Datei abgewickelt, wobei nur Personen oder Programme mit den richtigen Ausweisen für eine besondere Datei auf diese in einer geeigneten Anwendungsstation zugreifen können.
  • Die zwei oberen Sicherheitsstufen, der Entwickler und der übergeordnete Benutzer, sind in einer erweiterten Sicherheitsklasse angeordnet, die die Benutzung der Befehle, die nicht über die Stufen in der normalen Sicherheitsklasse verfügbar sind ermöglicht.
  • Die fünfte oder übergeordnete Benutzerstufe ist die Fabrik, die für die Konstruktion, das Testen und das Initialisieren der Blankokarten in der Weise veranwortlich ist, dass die Sicherheit erleichtert wird und widerrechtlich angeeignete Blankokarten nicht verwendet werden können.
  • Die sechste und höchste Stufe letztlich ist die Entwicklerstufe der Karte. Sowohl der übergeordnete Benutzer als auch die Entwicklersicherheitsstufe sind so ausgebildet, dass sie auf den gesamten Inhalt des Karten-Dateisystems einschließlich des Kartensystemkopfs zugreifen können, wie später noch näher erläutert wird.
  • Da mehrere Dateien mit ihren eigenen Ausweisen auf der Karte existieren, können mehrere Anwendungen entsprechend in diesen gesonderten Dateien bestehen, ohne sich gegenseitig zu beeinflussen. Man kann sich leicht eine Person vorzustellen, die zehn oder mehr separate Gut- oder Lastschriften, ein elektronisches Scheckbuch und einen Sicherheitspass für den Zugriff auf ihr Appartement auf einer einzigen Karte besitzt. Die Aussteller und die Benutzer brauchen hinsichtlich der Folgen einer widerrechtlichen Aneignung nur wenig Sorge zu haben, da die Karte verlangt, dass ein Benutzer sich mittels eines Passwortes identifiziert, bevor der Zugriff auf Dateien, die nicht in der öffentlichen Stufe liegen, ermöglicht wird.
  • In Fig. 3 ist das Karten-Dateisystem gezeigt, das in zwei Bereiche, den Kopf, der den Verwaltungsteil darstellt, und das die Anwendungsdateien enthaltene Datensegment, eingeteilt ist.
  • Der Kopf hoher Sicherheit 35 enthält Informationen, wie beispielsweise die Seriennummer der Karte, die Passworte für jede Login-Stufe, die Anzahl der erfolglosen Passwortversuche jeder Stufe, ein Sperrbyte, das anzeigt, daß die Login-Stufen gesperrt sind, die Größe der festen Datensätze in der Datenbank und die Speichergröße in Kilobytes des EEPROM 115. Ein direkter Zugriff auf den Kopfbereich ist nur in den zwei oberen Sicherheitsstufen möglich.
  • Das Datensegment 30 der Karte ist in feste Datensätze eingeteilt, deren Länge von n Bytes durch den Hauptaussteller festgesetzt wird. Jeder benutzte Datensatz 31, 32 und 33 ist einer besonderen Datei zugeordnet. Die Identifikation der richtigen Datei erfolgt über das erste Byte eines jeden Datensatzes, der dieser Dateiidentifikationsnummer zugeordnet ist.
  • Die Karte verfügt über keine Dateiverzeichnis und über keine Zeiger zwischen den verschiedenen Datensätzen derselben Datei. Die Dateidatenordnung wird nicht durch angrenzende Datensätze sondern durch eine lineare Ordnung angezeigt. Das Betriebssytem der Karte tastet die Adresse im EEPROM von der niedrigsten zu höchsten Adresse ab. Der erste mit der besonderen Dateiidentifikationsnummer aufgefundene Datensatz ist der erste in dieser Datei und der letzte mit dieser Dateiidentifikationsnummer aufgefundene Datensatz ist der letzte in dieser Datei. Das Betriebsystem der Karte liest die Datensätze einer Datei, solange jeder Datensatz in der besonderen Datei angetroffen wird. Die maximale Größe und Anzahl der auf der Karte erlaubten Dateien wird lediglich durch die Speichergröße im EEPROM begrenzt. Die eine Datei lesende Anwendungssoftware der Station sieht nur einen angrenzenden Bytestrom, der von der internen Dateistruktur der Karte unabhängig ist.
  • In Fig. 4 sind die drei Bereiche einer jeden Datei in dem Datensegment eines Karten-Dateisystems in Einzelheiten dargestellt. Ein Vorbereich 41, der in dem ersten Datensatz einer jeden Datei angeordnet ist, enthält die Dateiidentifikationsnummer 42 und Sicherheitsbytes 43, 44 und 45. Die Dateiidentifikationsnummer ist eine Hexadezimalzahl zwischen 1 und FE einschließlich. Die Hexadezimalzahl 00 und FF sind zum Anzeigen eines unbenutzen Datensatzes und des Endes des verfügbaren Speichers im EEPROM entsprechend reserviert.
  • Die Sicherungsbytes 43 bis 45 bestimmen den Dateizugang. Das erste Byte 43 stellt den Lesezugang dar, der die minimale Stufe, bei der die Datei gelesen werden kann, bezeichnet. Das zweite Byte 44 stellt den Schreib/Lese-Zugang dar, der die minimale Stufe, bei der die Datei gelesen und eingeschrieben werden kann, bezeichnet.
  • Deshalb ist der Lesezugang einer Datei von dem Schreib/Lese-Zugang einer Datei zu trennen. Verschiedene Sicherheitsstufen können ebenso für den Lese- und gegen den Schreib/Lese-Zugriff festgelegt werden. Beispielsweise kann der Lesezugang einer Datei in der öffentlichen Stufe liegen, um einen Zugriff zu öffentlichen Informationen zu ermöglichen, wohingegen der Schreibzugang in der Benutzerstufe festgelegt sein kann, der das Schreiben in die Datei ohne Zustimmung des Benutzers verbietet.
  • In Fig. 5 ist der hierarchische Aufbau der normalen Sicherheitsklassenstufen gezeigt, die fakultative Passworte und und ein Merkmal "Nur-Anfügen" verwenden. Um die Flexibilität bei der Benutzung der Karte zu erhöhen, kann jede Datei auf der Karte in ihren Sicherungsbytes eine Forderung enthalten, wonach ein fakultatives Passwort eingegeben werden muß, bevor der Zugriff zu einer besonderen Datei freigegeben wird. Diese Forderung besteht zusätzlich neben dem Verlangen, daß sich der Benutzer in der geforderten Sicherheitsstufe des Betriebssystems der Karte befinden muß, um einen Zugriff auf eine in dieser Stufe geschützten Datei zu erhalten. Im Beispiel verlangt deshalb eine Datei mit Schreib/Lesezugang, die ein fakultatives Schreibpasswort enthält, von einem Benutzer:
  • 1. Sich eintragen in die Karte in der Benutzerstufe und Öffnen der Datei, um sie zu lesen. Um allerdings in diese Datei zu schreiben muß der Benutzer:
  • 1. Sich in die Karte in der Benutzerstufe eintragen und
  • 2. die Datei zum Einschreiben öffnen, indem das fakultative Passwort eingetragen wird. Dies trifft nicht für eine Person zu, die sich in einer Stufe eingetragen hat, die höher ist als der Zugriffszugang auf eine verlangte Datei. Eine Person, die sich in einer solchen Stufe eingetragen hat, kann einen Zugriff zu dieser Datei sogar dann erhalten, wenn ein fakultatives Passwort in der bezeichneten Sicherheitsstufe gefordert wird.
  • Der hierarchiche Aufbau der normalen Sicherheitsklassenstufen ist derart ausgebildet, daß der Hauptaussteller in und unterhalb seiner Stufe jede Datei lesen und in jede Datei schreiben kann. Der Nebenaussteller kann in und unterhalb seiner Stufe jede Datei lesen und in jede Datei schreiben. In ähnlicher Weise kann der Kartenhalter in seiner oder in der öffentlichen Stufe jede Datei lesen und in jede Datei schreiben.
  • In einer zweckmäßigen Anwendung kann das Sicherungsbyte 45 in Fig. 4 gesetzt werden, um einen Nur-Anfügen-Modus auszuführen, der dem Benutzer ermöglicht, in eine Datei Daten einzufügen ohne existierende Daten zu überschreiben. Es werden Datensätze, die die geeignete Anwendungsdatei widerspiegeln, erzeugt, damit diese Daten so angenommen werden können, wie sie eingegeben worden sind. Deshalb kann eine Datei sowohl für eine Lese/Anfügeerlaubnis als auch für eine Schreib/Leseerlaubnis gekennzeichnet werden.
  • Ein Informationsbereich 46 einer Datei enthält die aktuellen Daten, die in jedem Datensatz dieser Datei untergebracht sind. Ein Suffix-Bereich 47 mit einer Zahl M im letzten Byte 48 des letzten Datensatzes N zeigt die Anzahl der Anwendungsdatenbytes in dem letzten Datensatz an.
  • Auf das ausführende Betriebssytem der Karte wird über die normalen Sicherheitsklassenstufen unter Benutzung der allgemein verständlichen Befehlsprimitiven zugegriffen, die in Fig. 6 gezeigt sind. Diese Befehlsprimitive steuern den Sicherheitszugriff der Karte, die Dateierzeugung, den Dateizugriff und ebenso Verwaltungs- und Testhandlungen. Zusätzliche Befehlsprimitive sind für die Login-Stufen des übergeordneten Benutzers oder Entwicklers verfügbar.
  • Die Funktion dieser Befehlsprimitiven kann über eine Beschreibung der Funktion des Login-Befehls erläutert werden. Um sich in die Karte einzutragen, wird der Benutzer aufgefordert, eine Login-Stufe und ein Passwort zu bestimmen. Dieses Passwort wird intern durch den Kartenalgorithmus mit dem richtigen Passwort in der selben Login-Stufe des Kartenkopfes verglichen. Wenn ein Kartenbenutzer versucht, einen Zugriff auf eine Datei mit einer Login-Stufe zu erhalten, die niedriger ist als die von der Datei geforderten, dann wird der Zugang, die Datei entweder für das Lesen oder das Schreiben/Lesen zu öffnen, verweigert.
  • Die Passworte für jede Sicherheitsstufe werden in dem Kartenkopf untergebracht, wenn die Karte hergestellt wird. Der Passwortbefehl erlaubt dem Benutzer in einer eingetragenen Sicherheitsstufe, das Passwort in seiner Stufe oder irgendeiner unteren Stufe zu ändern. Geht ein Passwort verloren oder wird es vergessen, dann kann es neu geschrieben werden, indem man sich in die Karte in einer höheren Sicherheitsstufe einträgt und den Passwortbefehl benutzt. Auf diese Weise muß das verlorene Passwort nicht wiedergefunden werden.
  • Die Anzahl aufeinanderfolgender erfolgloser Login-Versuche pro Sicherheitsstufe ist auf eine bestimmte Zahl begrenzt. Wenn die Zahl überschritten wird, kann die Karte so konfiguriert werden, daß sie entweder in der Sicherheitsstufe sperrt oder die Datenbank der gesamten Karte löscht. Ist die Karte gesperrt, so kann sie in jeder Stufe oberhalb der gesperrten Stufe entriegelt werden. Das ermöglicht eine Verlagerung der Kartenaufrechterhaltung in die niedrigste Stufe, die oberhalb der gesperrten Stufe noch möglich ist. Die Anzahl der Mißerfolge ist im Kopfbereich des EEPROM in einem geeigneten "Passwort-Mißerfolg-Zähler" gespeichert.
  • Es ist ebenso möglich, eine Datei zu schützen, die ein fakultatives Passwort erfordert. Dateien können individuell in der gleichen Weise geschützt werden wie die Karte, indem ein Bit in den Dateischutzbytes gesetzt wird, um, wenn gewünscht, eine Datei zu löschen. Deshalb hat eine Person nur eine bestimmte Anzahl von Versuchen, eine Datei zu öffnen, die ein fakultatives Passwort verlangt, bevor die Karte gesperrt wird oder die Daten in der Datei gelöscht werden.
  • In Fig. 7 ist ein Flußdiagramm des Teils des Kartenbetriebssystems gezeigt, der ein unzulässiges Login in die Karte zu verhindern hilft. Immer wenn ein Login-Befehl eingegeben, wird, wird zuerst der Passwortmißerfolgzähler aktualisiert, um einen Passwortmißerfolg wiederzugeben. Als nächstes wird das eingegebene Passwort gegen das Passwort im Kartenkopf geprüft. Wenn das richtige Passwort eingegeben worden ist, wird der Passwortzähler gelöscht. Durch dieses Leistungsmerkmal werden hochentwickelte gewaltsame Angriffe auf das Passwort mittels einer Ausstattung verhindert, die die Betriebsleistung für die Karte nach erfolglosen Login-Versuchen aber vor dem Aktualisieren des Mißerfolgzählers, der den Mißerfolg wiedergibt, abschalten kann.
  • Um die Entwicklung in der Anwendungssoftware zu erleichtern, wurde eine Softwarebibliothek hoher Fähigkeit entworfen, um alle Wechselwirkungen zwischen der Station und dem Schreiber/Leser und ebenso zwischen der Station und der Karte zu unterstützen. Deshalb muß sich ein Anwendungsprogrammierer nicht mit langweiligen Einzelheiten des Karteninternen oder Kommunikationsprotokolls beschäftigen. Sein Code kommuniziert unmittelbar mit der Bibliothek und die Bibliothek mit der Karte.
  • Die Bibliothek ist in vier Bereiche eingeteilt: Einen Kartenverzeichnisbereich, der für eine direkte Abbildung der Kartenbefehle sorgt, wie dies in Fig. 6 gezeigt ist, einen Schreiber/Leser-Verzeichnisbereich, der für eine direkte Abbildung der Schreiber/Leser-Befehle sorgt, einen zusammengesetzten Verzeichnisbereich, der Karten- und/oder Schreiber/Leser-Befehle enthält und schließlich einen Steuerbereich, der in der Station untergebrachte gemeinsame Steuerbefehle enthält. Diese Funktionen enthalten Einzelheiten über Initialisierung, Beenden und Steuern von Toren und logischen Geräten. Diese Bibliothek funktioniert deshalb wie eine Softwareschnittstelle und zeigt einen Weg, auf Gerate und Dateien zuzugreifen. Von daher ähnelt es sehr stark typischen Computerprotokollen, die dem Anwendungsprogrammierer die Arbeit erleichtern.
  • In dem Betriebsystem der Karte ist eine Zuteilung von Datensätzen, eine Auflösung der Zuteilung von Datensätzen und ein Sammeln wertloser Daten vorgesehen. Werden Informationen in der Datei gelöscht, gibt die Karte alle frei gewordenen Datensätze an das verfügbare Pool von Datensätzen zurück und ordnet die benutzten Datensätze in linearer Reihenfolge an, indem wertlose Daten gesammelt werden. Dadurch, dass wertlose Daten gesammelt werden, werden alle unbenutzten Datensätze der Karte am Ende des Kartenspeichers gesammelt. Die Zuteilung erforderlicher, zusätzlicher Datensätze wird automatisch durchgeführt, wenn über den letzte Datensatz einer Datei hinweggeschrieben wird. Dadurch, daß die verfügbaren Datensätze immer am Ende der Karte bleiben, werden neue Datensätze einer Datei immer dem vorherigen Ende der Datei zugeteilt, wodurch die lineare Reihenfolge der Datensätze jeder Datei erhalten bleibt.
  • Die Informationen über die Zuteilung und Auflösung der Zuteilung von Datensätzen ist für die Anwendung in der Station nicht verfügbar. Die Sicherheit wird erhöht, da die Anwendung lediglich angrenzende Daten ohne irgendwelche Implementierungsdetails sieht. Auch ist ein direkter Zugriff auf die Anwendungsdateien im Rohformat den Benutzern, die einen Zugriff zu diesen in der normalen Sicherheitsklassenstufe befindlichen Befehlen haben, nicht erlaubt. Ein Zugriff zu der gesamten Karte ist nur den Benutzern erlaubt, die einen Zugriff zu den in der erweiterten Sicherheitsklassenstufe befindlichen Befehlen haben, um eine strenge Sicherheit während der Herstellung und dem Testen der Karte zu gewährleisten.
  • In Fig. 8 ist die Softwarehierarchie gezeigt, die zum Betrieb im Kommunikationprotokoll des PDC-Systems untergebracht ist. Eine Anwendungsebene 181 in der Station 18 kommuniziert mit der Karte und ebenso mittels einer Terminalschnittstelle 187 über ein Terminal 187 mit dem Benutzer oder mittels einer Datenbankschnittstelle 184 mit einer fakultativen Datenbank. Um den Zugriff zur Karte 10 zu erleichtern, kommuniziert die Anwendungsebene 180 mit der Bibliotheksebene 185, die bereits oben diskutiert wurde. Diese kommuniziert der Reihe nach mit der Linkebene 186, die die aktuellen Transaktionen steuert, mit dem Schreiber/Leser 15 und der Karte 10.
  • Obwohl die Station 18 über eine serielle Schnittstelle mit dem Schreiber/Leser 15 verbunden ist, kommuniziert sie unmittelbar sowohl mit der Karte 10 als auch mit dem Schreiber/Leser 15. Jede für die Karte 10 bestimmte Nachricht wir deshalb transparent über den Schreiber/Leser 15 zur Karte 10 übertragen. Die Bestimmungsadresse befindet sich in dem Präambelbereich der Nachricht. Ein für den erfindungsgemäßen Gebrauch geeignetes Nachrichtenformat ist in Fig. 9 gezeigt, das später noch ausführlich beschrieben wird.
  • Der Schreiber/Leser 15 und die Karte 10 implementieren das gleiche Übertragungsprotokoll im Halbduplexbetrieb wie die Station in der Datenverbindungsebene 186. Die Karte 10 ist völlig inaktiv und kann überhaupt keine Transaktion mit der Station 18 einleiten. Der Schreiber/Leser 15 unterscheidet sich davon in einem Punkt, daß er das Signal 'Achtung' zur Station über eine in der seriellen Schnittstelle vorgesehenen Trägerdetektionsleitung übertragt, die beide verbindet. Die Station 18 spricht auf das Achtung-Signal nach Beendigung irgendeiner aktuellen Transaktion an, in die sie dann verwickelt ist. Als nächstes fragt die Station den Schreiber/Leser 15, um den Grund des Achtung-Signals festzustellen. Ein Beispiel dafür, daß der Schreiber/Leser 15 solch ein Achtung-Signal liefert liegt vor, wenn die Karte 10 in einem auf dem Schreiber/Leser 15 untergebrachten Steckplatz (nicht gezeigt) eingesetzt wird und für die Kommunikation mit der Station 18 an der richtigen Stelle sitzt. Ein zweites Beispiel liegt vor, wenn die Karte 10 aus dem Steckplatz des Schreiber/Lesers 15 herausgezogen wird.
  • Der Schreiber/Leser weist zwei Ebenen auf, eine Verbindungsebene 151 und eine Befehlsebene 152. Die Verbindungsebene 151 arbeitet als transparentes Medium zwischen der Station 18 und der Karte 10, über das Befehle oder Meldungen zwischen der Station 18 und der Karte 10 übermittelt werden. Die Verbindungsebene 151 des Schreiber/Lesers 15 stellt, wenn nötig, eine Zwischenspeicherung und Umwandlung der Baudrate bereit. Die Übertragungsrate zwischen der Karte 10 und dem Schreiber/Leser 15 beträgt 19200 Baud. Wenn die Baudrate zwischen der Station 18 und dem Schreiber/Leser 15 niedriger ist als die Baudrate zwischen dem Schreiber/Leser 15 und der Karte 10, führt der Schreiber/Leser 15 eine Umwandlung der Baudrate durch und speichert die Nachricht derart, dass sie als Block von angrenzenden Daten zur Karte geschickt werden. Die zweite Ebene in dem Schreiber/Leser ist die Befehlsebene. Diese Ebene des Schreiber/Lesers spricht auf die Daten an, die von der Station 18 speziell an den Schreiber/Leser adressiert sind.
  • Protokolldaten werden über die Kommunikationverbindung seriell, d. h. Zeichen für Zeichen, geschickt. Ein Zeichen ist von einem Startbit und einem Stopbit eingerahmt. Die Nachrichten angrenzender Zeichenblöcke werden zu jeder Zeit innerhalb der Schranken des Halbduplex-Protokolls initiiert. Die Station 18 und der Schreiber/Leser 15 oder die Karte 10 tauschen Informationen in einem vorbestimmten Nachrichtenpaket aus. Ein Paket enthält Steuerinformationen, die angeben, wo Daten in dem Paket beginnen und enden und ebenso Informationen zum Prüfen der Einheit der Nachrichtendaten.
  • Mehr Einzelheiten sind der Fig. 9 in Verbindung mit Fig. 8 zu entnehmen, die ein geeignetes, erfindungsgemäßes Nachrichtenformat zeigt, bei dem die Station 18 den Schreiber/Leser 15 oder die Karte 10 adressiert. Das Nachrichtenformat besteht aus einer Präambel 91 zum Adressieren des Schreiber/Lesers 15 oder der Karte 10 und einer Beginn-des- Rahmen-Steuerfolge 92 zum Markieren des Beginns der Nachricht (DLE STY). In dem Nachrichtenformat ist als nächstes ein Verbindungsstatus 93 untergebracht, der entweder Informationen über eine positive (ACK) oder eine negative Rückmeldung (NAK) der übertragenen Nachricht, Informationen darüber, ob sich wahrend der Übertragung ein Fehler ereignet hat, sowie eine Folgezahl (Tag) der laufenden Nachricht enthält. Jede Nachricht ist einer Folgezahl zugeordnet. Ein Modulo 8 Schema wird unter Benutzung der drei wertniedrigsten Bits des Verbindungs-Statusbytes im Nachrichtenformat verwendet.
  • Dann folgt das Befehls- und Datenfeld 94, welches die übertragenen Daten gefolgt von einer Ende des Rahmens- Steuerfolge 95 enthält, die das Ende einer Nachricht (DLE ETX) markiert. Zum Schluß wird eine Prüfsumme 96 aus zwei Bytes unter Anwendung eines Algorithmus erzeugt, der in einem Artikel mit dem Titel "An Arithmetic Checksum for Serial Transmission," J. G. Fletcher, IEEE Transactions on Communications, Volume Com-30, Jan. 1982. pp 247-252 beschrieben ist.
  • Eine von dem Schreiber/Leser 15 oder von der Karte 10 zur Station 18 zurückgeschickte Nachrichtenpaketmeldung stimmt vollständig mit der durch die Station erzeugten überein. Das in Fig. 9 dargestellte Nachrichtenformat ist daher für Kommunikationen zwischen allen Untersystemen verwendbar. Die Präambel einer von der Station 18 gesendeten Nachricht besteht aus 8 Bytes. Eine Nachricht gilt als durch die Station 18 richtig empfangen, wenn mindestens drei dieser aufeinanderfolgenden Präambeln durch das Untersystem erfasst werden, mit dem sie dann versucht, zu kommunizieren.
  • Um eine Kommunikation mit dem Schreiber/Leser 15 oder der Karte 10 einzuleiten, sendet die Station 18 eine Verbindungsrücksetznachricht. Die Kommunikation mißlingt, wenn die Station eine negative Rückmeldung (NAK) empfängt oder eine vorbestimmte Zeit abläuft, bevor eine Meldung empfangen worden ist.
  • Ist erst einmal eine Kommunikation mit dem Schreiber/Leser 15 aufgebaut, so informiert dieser die Station 18, wenn die Karte 10 eingesetzt oder bereits aktiv ist. Nachdem die Karte 10 eingesetzt ist, sendet der Schreiber/Leser 15 ein Achtungssignal zur Station 18. Stellt die Station fest, dass die eingesetzte Karte vielmehr eine intelligente Karte ist als beispielsweise nur ein Magnetstreifen, dann schickt die Station eine Verbindungsrücksetznachricht an die Karte, um sie zu initialisieren. Ist die Karte erst einmal initialisiert, erwartet die Karte Befehle von der Anwendungsebene 151 der Station 18. Wird eine Anforderung empfangen, so wird sie in einer Befehlsebene 101 der Karte 10 verarbeitet und eine Meldung zur Station 18 zurückgeschickt, während die Karte 10 auf den nächsten Befehl wartet. Die Station 18 kann willkürlich wählen, welches Untersystem adressiert und welche Nachricht ausgesendet werden soll, d. h. entweder eine Verbindungsrücksetznachricht oder einen Befehl.
  • Fig. 10 zeigt ein Flußdiagramm, das das Verfahren der Station 18 erläutert, eine Verbindungsebenenentscheidung zu treffen. Beim Kommunizieren mit dem Schreiber/Leser 15 oder der Karte 10 wahrend einer normalen Transaktion, sendet die Station eine Nachricht und löst einen Zeitgeber aus. Danach empfangt die Station entweder eine Meldung von dem Untersystem, mit dem es dann zu kommunizieren versucht oder der Zeitgeber lauft ab. Wenn das Verbindungsstatusbyte in der für die Station bestimmte Nachrichtenmeldung eine positive Rückmeldung (ACK) enthält, bedeutet dies, daß die Transaktion erfolgreich beendet worden ist und der Folgezahlwert wird um Modulo 8 erhöht. Die Meldung wird nunmehr an die Anwendungsebene 181 der Station 18 weitergereicht.
  • Wenn eine negative Rückmeldung (NAK) empfangen wird, werden mindestens zwei weitere Verbindungsversuche unternommen und der Folgezahlwert bleibt derselbe. Die Station bittet nicht um eine erneute Übertragung, sondern übertragt den letzten Befehl. Wird nach drei Versuchen keine positive Rückmeldung (ACK) empfangen, wird die Verbindungsstufenfehlerentdeckung eingeleitet.
  • Fig. 11 zeigt ein Flußdiagramm, das das Verfahren, eine Verbindungsebenenentscheidung zu treffen, sowohl für den Schreiber/Leser 15 als auch für die Karte 10 erläutert. Es wird nun Bezug genommen auf die Fig. 8 und 10. Bei der Rückkommunikation während einer normalen Transaktion überwacht der Schreiber/Leser 15 oder die Karte 10 die Folgezahl jeder empfangenen Nachricht, um zu entscheiden, ob die gegenwärtige Anforderung eine neue Transaktion ist oder eine Rücksendeanforderung für eine vorherige Transaktion. Wenn der aktuelle Folgezahlwert sich vom Folgezahlwert der vorherigen Transaktion unterscheidet, wird die ankommende Nachricht als eine neue Transaktion behandelt. Ist der aktuelle Folgezahlwert gleich dem vorherigen Wert, dann wird eine Rückübertragung von der Station 18 angefordert. Der Schreiber/Leser 15 oder die Karte 10 antwortet immer auf die Folgezahl, die dem letzten gültigen bearbeiteten Befehl entspricht. Mißlingt daher eine augenblickliche Übertragung, d. h. eine "schlechte Nachricht", so antwortet die Verbindungsebene mit einer negativen Rückmeldung (NAK) und der letzten gültigen Folgezahl. Ein "Null"-Befehl bewirkt, dass der Schreiber/Leser 15 oder die Karte 10 die folgende Folgezahl auf die empfangene rücksetzt. Beim Rücksetzen setzt der Schreiber/Leser 15 oder die Karte 10 die Folgezahl auf einen ungültigen Wert, um sicherzustellen, dass die ankommende Nachricht als eine neue behandelt wird.
  • Das Ende einer Kartensitzung kann durch die Station 18, die den Schreiber/Leser 15 auffordert, die Karte 10 abzuschalten, oder durch den Benutzer eingeleitet werden, der die Karte 18 herauszieht. Im letzten Fall beendet der Schreiber/Leser 15 automatisch die Energieversorgung des gesamten Kartensteckplatzes und übertragt ein "Achtungssignal" an die Station 18. Daraufhin sendet die Station einen "Statusanforderungsbefehl" an den Schreiber/Leser 15. Als Antwort darauf unterrichtet der Schreiber/Leser 15 die Station 18, dass die Karte 10 herausgezogen wurde und die Verbindungsebene meldet nach drei erfolglosen Versuchen, mit der Karte 10 zu kommunizieren, Kommunikationsfehler an die Anwendungsebene. Das ist notwendig, da nur die Anwendungsebene den Schreiber/Leser für inaktiv erklären kann.

Claims (13)

1. Tragbares Datenträgersystem mit
einem tragbaren Datenträger (10) zur Speicherung und Verarbeitung änderbarer Daten, wobei der tragbare Datenträger einen Rechner (110) zur Bereitstellung eines Ausführungsbetriebssystems auf dem tragbaren Datenträger und einen änderbaren Speicher (115) zur Bereitstellung von Daten für den Rechner zur Verarbeitung durch das Ausführungsbetriebssystem aufweist, wobei das Ausführungsbetriebssystem mehrere Dateien (31 bis 33) in einer Datensegmentzone (30) des änderbaren Speichers erzeugt, um die jeder Datei zugeordneten änderbaren Daten zu speichern, wobei die Anordnung der Daten für jede Datei in der Datensegmentzone vom Ausführungsbetriebssystem gesteuert wird, wobei neue Datensätze für jede Datei an Orten in der Datensegmentzone mit höheren Adressen als das vorherige Dateiende angeordnet sind, wobei nicht benutzte Datensätze am oberen Adressende der Datensegmentzone derart angeordnet sind, dass jede Datei eine Vielzahl von vorbestimmten Datensätzen mit fester Länge umfasst, welche in der Datensegmentzone verteilt sind, wobei jeder Datensatz eine Dateikennung umfasst, welche für eine der Dateien spezifisch ist, wobei das Ausführungsbetriebssystem die Datensegmentzone von der niedrigsten zur höchsten Adresse durchsucht, um auf eine ausgewählte Datei der mehreren Dateien zuzugreifen, Datensätze gewinnt, welche für die Dateikennung enthalten, welche die ausgewählte Datei spezifisch ist, und die ausgewählte Datei als Folge von gewonnenen Datensätzen festlegt,
einer Anwendungsstation (18) zur Verarbeitung von Daten von dem Datenträger, wobei das Ausführungsbetriebssystem eine Eingangs-/Ausgangs- Datenschnittstelle auf dem Datenträger für einen Nachrichtenverkehr mit der Anwendungsstation bereitstellt und die Daten zwischen dem Datenträger und der Anwendungsstation über eine kontaktlose Schnittstelleneinrichtung (125 bis 128, 152 bis 158) gekoppelt werden, und
einer Nachrichtenübertragungseinrichtung (15, 102, 151, 186) zur Bereitstellung Nachrichtenübertragungen zwischen der Anwendungsstation und dem Datenträger über die Nachrichtenübermittlungseinrichtung durch Befehlsfolgen in Verbindung tritt und das Ausführungsbetriebssystem unter Ansprechen auf die Befehlsfolgen auf die änderbaren Daten zum Lesen bzw. Schreiben zugreift und diese Daten über die Nachrichtenübertragungseinrichtung an die Anwendungsstation gibt.
2. Tragbares Datenträgersystem nach Anspruch 1, bei dem die Nachrichtenübertragungseinrichtung einen tragbaren Datenträger-Lese-/Schreibeinrichtung (15) umfaßt, die eine Nachrichtenübertragungsschnittstelle zum Koppeln von Daten zwischen der Anwendungsstation und dem tragbaren Datenträger bereitstellt.
3. Tragbares Datenträgersystem nach Anspruch 2, bei dem die kontaktlose Schnittstelleneinrichtung eine kapazitive Koppeleinrichtung zur Übertragung von Daten von der Lese-/Schreibeinrichtung zum tragbaren Datenträger und vom tragbaren Datenträger zu der Lese-/Schreibeinrichtung enthält.
4. Tragbares Datenträgersystem nach Anspruch 1, bei dem der änderbare Speicher im tragbaren Datenträger weiterhin eine Kopfzone (35) enthält, wobei die Kopfzone ein erstes Paßwort zur Prüfung der Identität einer Person enthält, die versucht, auf die Daten im tragbaren Datenträger zuzugreifen.
5. Tragbares Datenträgersystem nach Anspruch 4, bei dem ein Zugriff zu jeder Datei zum Zweck einer gewünschten Transaktion durch ein zweites Paßwort gesteuert wird, das einer Person zugeordnet ist, die zur Durchführung von Transaktionen im tragbaren Datenträger autorisiert ist.
6. Tragbares Datenträgersystem nach Anspruch 5, bei dem jede Datei (41) im tragbaren Datenträger Datei-Zugangsinformationen enthält, um den für eine Person zugelassenen Zugriffstyp zu definieren.
7. Tragbares Datenträgersystem nach Anspruch 6, bei dem die Datei-Zugangsinformationen in dem tragbaren Datenträger einen Schreibzugang, einen Lesezugang und einen Anfügungszugang umfassen, eine erste Datei (43) mit einem Lesezugang einer Person nur erlaubt, Daten in der Datei zu lesen, eine zweite Datei (44) mit einem Schreibzugang einer Person erlaubt, Daten in der Datei zu lesen und Daten in die Datei zu schreiben, und eine dritte Datei (45) mit einem Lese- und einem Schreibzugang einer Person nur erlaubt, Daten in der Datei zu lesen und Daten an die Datei anzufügen.
8. Tragbares Datenträgersystem nach Anspruch 7, mit ferner mehreren Sicherheitsstufen, die hierarchisch so angeordnet sind, dass sie einen niedrigste Sicherheitsstufe, eine höchste Sicherheitsstufe und mehrere zwischengelegene Sicherheitsstufen umfassen, wobei der Zugriff zu jeder Sicherheitsstufe durch ein entsprechendes Paßwort gesteuert wird, das nur einer Person zugeordnet ist, die für einen Zugriff auf die Daten dieser Sicherheitsstufe autorisiert ist.
9. Tragbares Datenträgersystem nach Anspruch 8, bei dem die Datei-Zugangsinformationen entsprechend der Sicherheitsstufe zugeordnet werden können, wobei eine erste Sicherheitsstufe höherer Ordnung die Erlaubnis hat, Daten in der zweiten Datei zu lesen und Daten in diese Datei zu schreiben und eine zweite niedrigere Sicherheitsstufe nur die Erlaubnis hat, Daten in der zweiten Datei zu lesen.
10. Tragbares Datenträgersystem nach Anspruch 8, bei dem die Datei-Zugangsinformationen entsprechend der Sicherheitsstufe zugeordnet werden können, wobei eine erste Sicherheitsstufe höherer Ordnung die Erlaubnis hat, Daten in der zweiten Datei zu lesen und Daten in diese Datei zu schreiben und eine zweite niedrigere Sicherheitsstufe nur die Erlaubnis hat, Daten in der zweiten Datei zu lesen und Daten an die Daten in der zweiten Datei anzufügen.
11. Tragbares Datenträgersystem nach Anspruch 1, bei dem der tragbare Datenträger Daten und einen besonderen Zugriffscode zur Überprüfung der Identität einer Person enthält, die versucht, auf die Daten im tragbaren Datenträger zurückzugreifen, und der tragbare Datenträger aufweist:
eine Zähleinrichtung zur Aufzeichnung aller Zugriffsversuche, wobei die Zähleinrichtung einen Zählwert jedesmal dann weiterschaltet, wenn ein Code dem tragbaren Datenträger extern dargeboten wird, Prüfeinrichtung, die eine Anzeige liefert,
wenn der extern bereitgestellte Code unter Übereinstimmung mit dem im tragbaren Datenträger gespeicherten Code verglichen wird, und
eine Zählrückstelleinrichtung zur Rückstellung des durch die Zähleinrichtung weitergeschalteten Zählwertes auf den vorhergehenden Zählwert, wobei die Zählrückstelleinrichtung unter Ansprechen darauf aktiviert wird, dass die Prüfeinrichtung einen übereinstimmenden Vergleich anzeigt, und ein Datenzugriff gestattet wird, und die Zählrückstelleinrichtung inaktiv bleibt, wenn die Prüfeinrichtung keinen übereinstimmenden Vergleich anzeigt.
12. Tragbares Datenträgersystem nach Anspruch 11, bei dem die Zähleinrichtung bis zu einer vorbestimmten Zahl zählt und bei Erreichen dieser Zahl alle Daten aus dem tragbaren Datenträger gelöscht werden.
13. Tragbares Datenträgersystem nach Anspruch 11, bei dem die Zähleinrichtung bis zu einer vorbestimmten Zahl zählt und bei Erreichen dieser Zahl sich sperrt, wodurch weitere Zugriffsversuche verhindert werden.
DE3780002T 1986-05-16 1987-04-20 System für einen tragbaren datenträger. Expired - Lifetime DE3780002T3 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US06/863,973 US4816654A (en) 1986-05-16 1986-05-16 Improved security system for a portable data carrier
PCT/US1987/000912 WO1987007062A1 (en) 1986-05-16 1987-04-20 System for a portable data carrier

Publications (3)

Publication Number Publication Date
DE3780002D1 DE3780002D1 (de) 1992-07-30
DE3780002T2 DE3780002T2 (de) 1993-01-28
DE3780002T3 true DE3780002T3 (de) 2000-11-23

Family

ID=25342234

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3780002T Expired - Lifetime DE3780002T3 (de) 1986-05-16 1987-04-20 System für einen tragbaren datenträger.

Country Status (8)

Country Link
US (1) US4816654A (de)
EP (1) EP0268615B2 (de)
JP (1) JP2795435B2 (de)
KR (1) KR910009297B1 (de)
AT (1) ATE77706T1 (de)
CA (1) CA1293325C (de)
DE (1) DE3780002T3 (de)
WO (1) WO1987007062A1 (de)

Families Citing this family (110)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR910002131B1 (ko) * 1985-10-28 1991-04-04 가부시키가이샤 도시바 휴대할 수 있는 전자장치
US4800520A (en) * 1985-10-29 1989-01-24 Kabushiki Kaisha Toshiba Portable electronic device with garbage collection function
FR2591008B1 (fr) * 1985-11-30 1991-05-17 Toshiba Kk Dispositif electronique portatif
DE58909106D1 (de) * 1988-07-20 1995-04-20 Syspatronic Ag Spa Datenträger-gesteuertes Endgerät in einem Datenaustauschsystem.
US5200600A (en) * 1988-08-29 1993-04-06 Hitachi Maxell, Ltd. IC card and method for writing information therein
JP2750704B2 (ja) * 1988-08-29 1998-05-13 日立マクセル株式会社 Icカードの情報書込み方式及びicカード
US5247164A (en) * 1989-01-26 1993-09-21 Hitachi Maxell, Ltd. IC card and portable terminal
US5442645A (en) * 1989-06-06 1995-08-15 Bull Cp8 Method for checking the integrity of a program or data, and apparatus for implementing this method
JPH0314083A (ja) * 1989-06-12 1991-01-22 Toshiba Corp 携帯可能電子装置
FR2654237B1 (fr) * 1989-11-03 1992-01-17 Europ Rech Electr Lab Procede de protection contre l'inhibition non autorisee d'ecriture de certaines zones de memoire d'une carte a microprocesseur, et dispositif de mise en óoeuvre.
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
JP2993158B2 (ja) * 1990-04-05 1999-12-20 三菱電機株式会社 数値制御装置
DE59004248D1 (de) * 1990-07-20 1994-02-24 Siemens Nixdorf Inf Syst Verfahren zur Verhinderung unzulässiger Abweichungen vom Ablaufprotokoll einer Anwendung bei einem Datenaustauschsystem.
JPH04143881A (ja) * 1990-10-05 1992-05-18 Toshiba Corp 相互認証方式
US5326476A (en) 1991-04-19 1994-07-05 Althin Medical, Inc. Method and apparatus for kidney dialysis using machine with programmable memory
CA2097308A1 (en) * 1991-10-01 1993-04-02 Terrie Frane Memory write protection method and apparatus
JP3329496B2 (ja) * 1992-11-04 2002-09-30 富士通株式会社 Icカード
US5493665A (en) * 1992-12-21 1996-02-20 Base 10 Systems, Inc. Portable memory device and method of securing the integrity of stored data therein utilizing a starting address and a stored memory cycle number
EP0624851A1 (de) * 1993-05-13 1994-11-17 Angewandte Digital Elektronik GmbH Anwender-Verbindungsteil zwischen Karten- und Systemebene
DE69435322D1 (de) 1993-06-15 2010-12-23 Celltrace Llc Telekommunikationssystem
US5544246A (en) * 1993-09-17 1996-08-06 At&T Corp. Smartcard adapted for a plurality of service providers and for remote installation of same
FR2713803B1 (fr) * 1993-12-07 1996-01-12 Gemplus Card Int Carte à mémoire et procédé de fonctionnement.
US5578808A (en) * 1993-12-22 1996-11-26 Datamark Services, Inc. Data card that can be used for transactions involving separate card issuers
DE69402955T2 (de) * 1994-02-08 1997-08-14 Belle Gate Investment B.V., Den Haag Datenauswechselsystem mit tragbaren Datenverarbeitungseinheiten
EP0757336B1 (de) * 1995-08-04 2000-11-22 Belle Gate Investment B.V. Datenaustauschlsysteme mit tragbaren Datenverarbeitungseinheiten
US5572441A (en) * 1994-04-04 1996-11-05 Lucent Technologies Inc. Data connector for portable devices
US6019394A (en) * 1994-04-28 2000-02-01 Ncr Corporation Multiple function interactive product label
JP3519134B2 (ja) * 1994-08-10 2004-04-12 富士通株式会社 ソフトウェア使用量測定装置およびマルチメディア情報出力装置
JP3395863B2 (ja) * 1994-08-10 2003-04-14 富士通株式会社 ソフトウエア管理モジュール、ソフトウエア再生管理装置およびソフトウエア再生管理システム
JPH0855021A (ja) * 1994-08-10 1996-02-27 Fujitsu Ltd 鍵認証方式
JP3439838B2 (ja) 1994-08-10 2003-08-25 富士通株式会社 ソフトウエア従量課金・再生装置
JP3531978B2 (ja) * 1994-08-10 2004-05-31 富士通株式会社 ソフトウエアの課金方式
JPH0856356A (ja) * 1994-08-10 1996-02-27 Fujitsu Ltd 符号化装置および復号化装置
JPH0855164A (ja) * 1994-08-10 1996-02-27 Fujitsu Ltd ソフトウェア配送システム、中継装置およびユーザ端末装置
JPH0854951A (ja) * 1994-08-10 1996-02-27 Fujitsu Ltd ソフトウェア使用量管理装置
MY125706A (en) 1994-08-19 2006-08-30 Thomson Consumer Electronics High speed signal processing smart card
JP3542088B2 (ja) * 1994-09-09 2004-07-14 富士通株式会社 データコンテンツ利用システム
JPH0883232A (ja) * 1994-09-09 1996-03-26 Fujitsu Ltd ファイルサーバシステム
JP3647907B2 (ja) * 1994-09-09 2005-05-18 富士通株式会社 暗号化ソフトウェアの解凍システム
JPH0877263A (ja) 1994-09-09 1996-03-22 Fujitsu Ltd ソフトウェア処理装置
US5675627A (en) * 1994-11-29 1997-10-07 Lucent Technologies Inc. Integrated pager and calling card
US6636970B2 (en) 1995-02-14 2003-10-21 Fujitsu Limited Software encoding using a combination of two types of encoding and encoding type identification information
SK102897A3 (en) * 1995-02-17 1998-03-04 Europay Int Sa Integrated circuit controlled transaction management system
JPH08272924A (ja) * 1995-03-29 1996-10-18 Mitsubishi Electric Corp Icカード
JPH08287653A (ja) * 1995-04-12 1996-11-01 Fujitsu Ltd 光記録媒体
JPH08305662A (ja) * 1995-05-02 1996-11-22 Fujitsu Ltd クライアント認証システムおよび方法
DE19522527A1 (de) * 1995-06-23 1997-01-02 Ibm Verfahren zur Vereinfachung der Kommunikation mit Chipkarten
US6001211A (en) * 1995-07-18 1999-12-14 Oki Electric Industry Co., Ltd. Method of producing a tag device with IC capacitively coupled to antenna
JP3150575B2 (ja) * 1995-07-18 2001-03-26 沖電気工業株式会社 タグ装置及びその製造方法
US6035037A (en) * 1995-08-04 2000-03-07 Thomson Electronic Consumers, Inc. System for processing a video signal via series-connected high speed signal processing smart cards
US5852290A (en) * 1995-08-04 1998-12-22 Thomson Consumer Electronics, Inc. Smart-card based access control system with improved security
US6385645B1 (en) 1995-08-04 2002-05-07 Belle Gate Investments B.V. Data exchange system comprising portable data processing units
US5936542A (en) * 1995-09-11 1999-08-10 Nomadix, Llc Convention ID badge system
JPH09106329A (ja) * 1995-10-12 1997-04-22 Mitsubishi Electric Corp メモリカード
US6194992B1 (en) 1997-04-24 2001-02-27 Nomadix, Llc Mobile web
DE19705301C1 (de) * 1997-02-13 1998-10-01 V W B Gmbh Einrichtung zur berührungslosen Informations- und Energieübertragung
US6575372B1 (en) 1997-02-21 2003-06-10 Mondex International Limited Secure multi-application IC card system having selective loading and deleting capability
US6317832B1 (en) * 1997-02-21 2001-11-13 Mondex International Limited Secure multiple application card system and process
AU2204997A (en) * 1997-03-12 1998-09-29 Nomadix, Llc Convention id badge system
US6328217B1 (en) 1997-05-15 2001-12-11 Mondex International Limited Integrated circuit card with application history list
US6385723B1 (en) 1997-05-15 2002-05-07 Mondex International Limited Key transformation unit for an IC card
US6220510B1 (en) 1997-05-15 2001-04-24 Mondex International Limited Multi-application IC card with delegation feature
US6164549A (en) * 1997-05-15 2000-12-26 Mondex International Limited IC card with shell feature
US6488211B1 (en) 1997-05-15 2002-12-03 Mondex International Limited System and method for flexibly loading in IC card
US6230267B1 (en) 1997-05-15 2001-05-08 Mondex International Limited IC card transportation key set
US6357665B1 (en) 1998-01-22 2002-03-19 Mondex International Limited Configuration of IC card
US6736325B1 (en) 1998-01-22 2004-05-18 Mondex International Limited Codelets
FR2774195A1 (fr) * 1998-01-27 1999-07-30 Gemplus Card Int Carte a microprocesseur comportant un circuit de communication cable
US6742120B1 (en) 1998-02-03 2004-05-25 Mondex International Limited System and method for controlling access to computer code in an IC card
EP1053536B1 (de) * 1998-02-03 2003-09-10 Mondex International Limited System und verfahren zur kontrolle des zugangs zu dem computercode in einer chipkarte
US6793143B2 (en) * 1998-03-12 2004-09-21 Giesecke & Devrient Gmbh Data carrier
US6920468B1 (en) * 1998-07-08 2005-07-19 Ncr Corporation Event occurrence detection method and apparatus
JP2002526988A (ja) 1998-09-29 2002-08-20 サン・マイクロシステムズ・インコーポレーテツド 音声上へのデータの重畳方法
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US6922835B1 (en) 1999-01-22 2005-07-26 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges
US6633984B2 (en) 1999-01-22 2003-10-14 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using an entry point object
US7093122B1 (en) 1999-01-22 2006-08-15 Sun Microsystems, Inc. Techniques for permitting access across a context barrier in a small footprint device using shared object interfaces
US6907608B1 (en) 1999-01-22 2005-06-14 Sun Microsystems, Inc. Techniques for permitting access across a context barrier in a small footprint device using global data structures
US6823520B1 (en) 1999-01-22 2004-11-23 Sun Microsystems, Inc. Techniques for implementing security on a small footprint device using a context barrier
US10973397B2 (en) 1999-03-01 2021-04-13 West View Research, Llc Computerized information collection and processing apparatus
US8636648B2 (en) 1999-03-01 2014-01-28 West View Research, Llc Endoscopic smart probe
US8068897B1 (en) 1999-03-01 2011-11-29 Gazdzinski Robert F Endoscopic smart probe and method
US7914442B1 (en) 1999-03-01 2011-03-29 Gazdzinski Robert F Endoscopic smart probe and method
KR20020010926A (ko) 1999-06-10 2002-02-06 헨드리쿠스 하롤트 판 안델 분리된 메모리 영역 내에 상이한 버전의 데이터 세트를저장하는 장치 및 메모리 내의 데이터 세트를 갱신하는 방법
JP2001056848A (ja) * 1999-08-19 2001-02-27 Nec Corp Icコードのコマンド実行制御方法、icカード、icカードプログラムを記録した記録媒体
US7178031B1 (en) * 1999-11-08 2007-02-13 International Business Machines Corporation Wireless security access management for a portable data storage cartridge
WO2001040910A1 (en) 1999-12-06 2001-06-07 De Jong, Eduard, Karel Computer arrangement using non-refreshed dram
CN1327356C (zh) 1999-12-07 2007-07-18 太阳微***公司 具有控制读取之微处理器的计算机可读介质和与该介质通信的计算机
CN1398385B (zh) 1999-12-07 2010-06-02 太阳微***公司 识别装置、与识别装置通信的终端和验证照相图象的方法
AUPQ585100A0 (en) 2000-02-25 2000-03-16 Canon Kabushiki Kaisha Customisable filter interface
AU764748B2 (en) * 2000-02-25 2003-08-28 Canon Kabushiki Kaisha Customisable filter interface
US6362972B1 (en) 2000-04-13 2002-03-26 Molex Incorporated Contactless interconnection system
US6612852B1 (en) 2000-04-13 2003-09-02 Molex Incorporated Contactless interconnection system
ATE315810T1 (de) * 2000-09-19 2006-02-15 Koninkl Philips Electronics Nv Datenträger mit zusatzvorrichtung
US6700076B2 (en) * 2000-09-28 2004-03-02 Eic Corporation Multi-layer interconnect module and method of interconnection
US7310734B2 (en) 2001-02-01 2007-12-18 3M Innovative Properties Company Method and system for securing a computer network and personal identification device used therein for controlling access to network components
US7079652B1 (en) * 2001-05-01 2006-07-18 Harris Scott C Login renewal based on device surroundings
US6814285B1 (en) 2001-07-13 2004-11-09 Chip B. Stroup Credit information storage and transferring device
US7822703B1 (en) * 2001-12-31 2010-10-26 Aol Llc Automatic verification of a user
US7478248B2 (en) * 2002-11-27 2009-01-13 M-Systems Flash Disk Pioneers, Ltd. Apparatus and method for securing data on a portable storage device
EP1467565A1 (de) * 2003-04-07 2004-10-13 STMicroelectronics Limited Integrierter Schaltkreis zur Entschlüsselung von Rundfunksignalen
JP4682498B2 (ja) * 2003-04-09 2011-05-11 ソニー株式会社 通信装置及び通信装置のメモリ管理方法
JP4624732B2 (ja) * 2003-07-16 2011-02-02 パナソニック株式会社 アクセス方法
US20050261970A1 (en) * 2004-05-21 2005-11-24 Wayport, Inc. Method for providing wireless services
US7523495B2 (en) * 2006-04-19 2009-04-21 Multos Limited Methods and systems for IC card application loading
EP2026529A1 (de) 2007-07-12 2009-02-18 Wayport, Inc. Vorrichtungsspezifische Autorisierung an verteilten Standorten
US8695087B2 (en) * 2008-04-04 2014-04-08 Sandisk Il Ltd. Access control for a memory device
US11610188B2 (en) 2020-04-15 2023-03-21 Capital One Services, Llc Systems and methods for ATM integrated card fabricator

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3941977A (en) * 1972-09-01 1976-03-02 The Mosler Safe Company Off-line cash dispenser and banking system
US3906460A (en) * 1973-01-11 1975-09-16 Halpern John Wolfgang Proximity data transfer system with tamper proof portable data token
FR2304965A2 (fr) * 1974-03-25 1976-10-15 Innovation Ste Int Procede et dispositif de commande electronique
DE2738113C2 (de) 1976-09-06 1998-07-16 Gao Ges Automation Org Vorrichtung zur Durchführung von Bearbeitungsvorgängen mit einem Identifikanden
FR2392447A1 (fr) * 1977-05-26 1978-12-22 Cii Honeywell Bull Systeme de traitement d'informations protegeant le secret d'informations confidentielles
FR2401459A1 (fr) * 1977-08-26 1979-03-23 Cii Honeywell Bull Support d'information portatif muni d'un microprocesseur et d'une memoire morte programmable
US4095739A (en) * 1977-08-26 1978-06-20 A-T-O Inc. System for limiting access to security system program
CA1111567A (en) * 1977-12-30 1981-10-27 Paul E. Stuckert Personal portable terminal for financial transactions
FR2471000B1 (fr) * 1979-11-30 1985-06-28 Dassault Electronique Procede et dispositif de controle du nombre de tentatives d'acces a une memoire electronique, notamment celle d'un circuit integre d'un objet comme une carte de credit ou une carte d'achat
GB2092353B (en) * 1981-01-30 1984-05-31 Halpern John Wolfgang Token
US4532507A (en) * 1981-08-25 1985-07-30 American District Telegraph Company Security system with multiple levels of access
DE3318101A1 (de) * 1983-05-18 1984-11-22 Siemens AG, 1000 Berlin und 8000 München Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit
JPS60160491A (ja) * 1984-01-31 1985-08-22 Toshiba Corp Icカードとicカード発行装置
JPS60176186A (ja) * 1984-02-23 1985-09-10 Omron Tateisi Electronics Co Icカ−ドシステム
US4660168A (en) * 1984-03-14 1987-04-21 Grant Elwyn E Apparatus for completing a customer initiated ATM transaction
JPH0614326B2 (ja) * 1984-03-31 1994-02-23 株式会社東芝 Icカ−ド
DE3412663A1 (de) * 1984-04-04 1985-10-17 Siemens AG, 1000 Berlin und 8000 München Chipkartensystem
US4650975A (en) * 1984-08-30 1987-03-17 Casio Computer Co., Ltd. IC card and an identification system thereof
US4692604A (en) * 1984-10-25 1987-09-08 American Telephone And Telegraph Company, At&T Bell Laboratories Flexible inductor
JPS61177585A (ja) * 1985-02-04 1986-08-09 Toshiba Corp 携帯用電子装置密封体
US4795898A (en) 1986-04-28 1989-01-03 American Telephone And Telegraph Company Personal memory card having a contactless interface using differential data transfer

Also Published As

Publication number Publication date
EP0268615B1 (de) 1992-06-24
CA1293325C (en) 1991-12-17
KR880701422A (ko) 1988-07-27
DE3780002D1 (de) 1992-07-30
KR910009297B1 (ko) 1991-11-09
JP2795435B2 (ja) 1998-09-10
DE3780002T2 (de) 1993-01-28
ATE77706T1 (de) 1992-07-15
US4816654A (en) 1989-03-28
WO1987007062A1 (en) 1987-11-19
JPH01500379A (ja) 1989-02-09
EP0268615B2 (de) 2000-07-26
EP0268615A1 (de) 1988-06-01

Similar Documents

Publication Publication Date Title
DE3780002T3 (de) System für einen tragbaren datenträger.
DE3780571T2 (de) Sicherheitssystem fuer den datenbestand eines tragbaren datentraegers.
DE3780008T2 (de) Anlage fuer einen tragbaren datentraeger mit mehreren anwendungsdatenbestaenden.
DE69807210T2 (de) Gesichertes mehrzweckkartensystem und -verfahren
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE602004009039T3 (de) Halbleiterspeicherkarte und programm zu ihrer steuerung
DE69814406T2 (de) Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter
DE60021465T2 (de) Sicherheitsverwaltungssystem, Datenverteilungsvorrichtung und tragbares Terminalgerät
DE69435079T2 (de) Chipkarte für eine Vielzahl von Dienstleistungsanbietern und für entfernte Aufstellung derselben
DE60119400T2 (de) Datenverarbeitungssystem, tragbare elektronische Vorrichtung, Zugangsvorrichtung zur tragbaren elektronischen Vorrichtung, und Verfahren zum Gebrauch von Speicherraum
DE69826318T2 (de) Kartenaktivierung an der verteilungsstelle
DE69334182T2 (de) Verfahren zur Anwendung von Software und Informationssystem zur Anwendung dieses Verfahrens
DE69927643T2 (de) Informationsverarbeitung und Datenspeicherung
DE69821545T2 (de) Elektronische Geldkarte, Empfangs-/Auszahlungsmaschine für elektronisches Geld und Editiervorrichtung für eine elektronische Geldkarte
DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
DE19755819C1 (de) Verteiltes Zahlungssystem und Verfahren für den bargeldlosen Zahlungsverkehr mittels einer Börsenchipkarte
DE19718115A1 (de) Chipkarte und Verfahren zur Verwendung der Chipkarte
EP2272025B1 (de) System und verfahren zum bereitstellen von benutzermedien
DE69825410T2 (de) Verfahren zur Kompression von digitalen Zertifikaten zur Verwendung in einer Chipkarte
DE19604876C1 (de) Verfahren zur Transaktionskontrolle elektronischer Geldbörsensysteme
DE102012002619B3 (de) Universalkarte zur Vereinfachung des Gebrauchs einer Vielzahl von Karten
DE102004039365A1 (de) Datenträger zur kontaktlosen Übertragung von verschlüsselten Datensignalen
EP0968485A2 (de) Chipkarte und verfahren zur verwendung der chipkarte
DE19856362C2 (de) Datenaustauschsystem
EP0971324A1 (de) Verfahren zum Schutz von Daten auf einem Datenträger sowie dazu ausgestaltete Chipkarte, Lesegerät und Chipsatz

Legal Events

Date Code Title Description
8363 Opposition against the patent
8328 Change in the person/name/address of the agent

Free format text: BLUMBACH, KRAMER & PARTNER, 65193 WIESBADEN

8366 Restricted maintained after opposition proceedings