DE3780008T2 - Anlage fuer einen tragbaren datentraeger mit mehreren anwendungsdatenbestaenden. - Google Patents

Anlage fuer einen tragbaren datentraeger mit mehreren anwendungsdatenbestaenden.

Info

Publication number
DE3780008T2
DE3780008T2 DE8787903156T DE3780008T DE3780008T2 DE 3780008 T2 DE3780008 T2 DE 3780008T2 DE 8787903156 T DE8787903156 T DE 8787903156T DE 3780008 T DE3780008 T DE 3780008T DE 3780008 T2 DE3780008 T2 DE 3780008T2
Authority
DE
Germany
Prior art keywords
file
access
data
card
data carrier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE8787903156T
Other languages
English (en)
Other versions
DE3780008D1 (de
Inventor
Christoph Anderl
Oren Frankel
Avi Zahivi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AT&T Corp
Original Assignee
American Telephone and Telegraph Co Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by American Telephone and Telegraph Co Inc filed Critical American Telephone and Telegraph Co Inc
Application granted granted Critical
Publication of DE3780008D1 publication Critical patent/DE3780008D1/de
Publication of DE3780008T2 publication Critical patent/DE3780008T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3555Personalisation of two or more cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • G06Q20/35765Access rights to memory zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)
  • Circuits Of Receivers In General (AREA)
  • Telephonic Communication Services (AREA)
  • Radar Systems Or Details Thereof (AREA)

Description

  • Die Erfindung betrifft tragbare Datenträger, beispielsweise intelligente Karten mit elektrischen Speichern zum Aufnehmen von Daten, und insbesondere eine Anordnung zum Speichern der Daten, die in solchen tragbaren Datenträgern für mehrere Anwendungen enthalten sind.
  • Die Verwendung von Kreditkarten bei Einkäufen, im Bankwesen und bei anderen Transaktionen ist so populär geworden, daß die meisten Personen heutzutage dafür nur noch wenig Bargeld benötigen. Die Karte, die typischerweise aus Plastik ist und in die die Kontonummer und der Name des Kontoinhabers eingraviert sind, dient allein dazu, ein berechtigtes Konto, mit dem eine Transaktion bezahlt werden soll, bei einer Bank oder einem Kreditinstitut zu identifizieren. Ein Magnetstreifen auf der Rückseite einiger Karten enthält die gleichen Informationen, ist aber maschinenlesbar, um die Transaktion zu beschleunigen. Alle Kontoinformationen sind bei einer Bank oder einem Kreditinstitut gespeichert, wobei für jedes Konto eine gesonderte Karte erforderlich ist.
  • Viele Konsumenten tragen aus Bequemlichkeit bei der Abwicklung ihrer tägichen Kaufgeschäfte nach ihrer Wahl mehrere Kreditkarten mit sich herum. Eine einzelne Kreditkarte ist leicht, kompakt und handlich. Fünf, sechs, sieben oder mehr Karten sind sperrig, unförmig und zum Tragen in einer Tasche, Brieftasche oder Geldbeutel weniger geeignet. Um dem Konsumenten das Tragen einer einzigen Karte zu ermöglichen, wurden mehrere verschiedene Gesellschaft-Kreditkartensysteme vorgestellt und dazu verwendet. Eine solche Anordnung mit einer Hauptplatine, die in einer Brieftasche getragen werden kann, ist an jeden Kreditkartenbenutzer ausgegeben worden. Die Platine enthält eine Anzeige oder andere Einrichtungen zum Identifizieren des berechtigten Benutzers sowie eine Anzeige oder Mikroschaltung zum Feststellen, welche Gesellschaften den Kredit eines Benutzers verlängert haben.
  • Auch wenn eine solche Anordnung dort befriedigend ist, wo es nur wenige potentielle Kreditberechtigte gibt und somit genügend Platz auf der Hauptplatte verfügbar ist, ist sie doch in solchen Anwendungsfälle unbefriedigend, in denen viele Kreditberechtigte oder Rechnungsdaten verlangt werden, die aufrechterhalten und auf mehreren Gesellschafts- Kreditkarten aktuallisiert werden müssen. Wird dem Durchschnittsbenutzer erst einmal bewußt, daß er seine Kreditbefugnisse auf einer einzigen Karte unterbringen kann, dann ist es auch denkbar, daß er all seine Zahlungsbilanzen, Kreditbeschränkungen all seiner Konten und andere persönliche Daten, wie z.B. die Körpergröße der Familienmitglieder für Kleiderkäufe, persönliche Telefonverzeichnisse usw. auf der Karte unterbringen will. Das Bedürfnis, besondere, identifizierende Kennzeichen für jedes Konto oder eine spezielle Schaltung oder Kundensoftware für jedes Konto auf der Karte zu haben, begrenzte die Anzahl der Konten, die auf einem solchen Kartentyp enthalten sein konnten, erheblich.
  • Die WO-A-8707060, die nach Artikel 54(3) EPÜ den Stand der Technik bildet, offenbart ein IC-Kartensystem, das einen programmierten Mikroprozessor und einen nicht flüchtigen Schreib/Lese-Speicher (EPROM) enthält, der auf einer Informationskarte eingebettet ist, die in dem System verwendet wird. Der Datenspeicherbereich des Speichers auf der Karte ist in eine oder mehrere Zonen einteilbar,von denen jede entweder keinen, einen oder mehrere Zugriffscode verlangt, die in die Karte eingegeben werden müssen, um auf diese Zone zu zugreifen (schreiben und /oder lesen). Das Einteilen des Kartenspeichers und die Zuordnung der verlangten Zugiffscode wird erreicht, indem eine Zonen-Definitiontabelle und ein oder mehrere Zugriffscode in den Kartenspeicher geschrieben werden, wobei ein spezieller Zugriffscode verwendet wird, der permanent in dem Mikroprozessor-Programm untergebracht ist. Die Zugriffscode für die Datenzonen sind deshalb auf der Informationskarte gespeichert; der programmierte Mikroprozessor auf der Karte vergleicht einlaufende Code mit den gespeicherten Codes, um festzustellen, ob ein Zugriff zu einer besonderen Datenzone möglich ist. Die Zugriffscode für die Datenzonen des Kartenspeichers sind auf einer zweiten Karte gespeichert, die als Steuerkarte bezeichnet wird. Die Steuerkarte und die Informationskarte sind mittels zweier Kartenschreiber/leser zusammengeschaltet. Auf diese Weise werden die erforderlichen Zugriffscode von der Steuerkarte zur Informationskarte übertragen, wenn ein Zugriff auf eine Datenzone verlangt wird, wobei die in der Steuerkarte gespeicherten Zugriffscode nicht jeder Person bekannt werden müssen.
  • Erfindungsgemäß wird ein Datenträger geschaffen, wie er in dem Anspruch 1 umschrieben ist.
  • Ein solcher tragbarer Datenträger oder eine solche intelligente Karte hat typischerweise die Größe einer normalen Plastikkreditkarte, die für verschiedene Anwendungen, von der Kundenrepertoirwahl bis zum Speichern von persönlichen ärztlichen und/oder Bankeintragungen, verwendet werden kann. Obwohl die Karte wie eine herkömmliche Kreditkarteaussieht und sich auch so anfühlt, enthält sie einen Computer, einen elektrisch löschbaren Lesespeicher (EEPROM) sowie eine Schaltung zum Empfangen eines kombinierten Leistungs- und Zeitsignals von einem einer Station zugeordneten Kartenschreiber/leser. Diese Kartenkomponenten und diese Schaltung empfangen und übertragen ferner über den Schreiber/Leser Datensignale zwischen der Karte und der zugeordneten Station.
  • Die persönlichen Informationen eines Teilnehmers liegen in mehreren Dateien des EEPROM der Karte. Eine geeignete in der Station untergebrachte Anwendersoftware ermöglicht das Auslesen und Verändern dieser Dateien, wenn die Station von einem geeigneten Passwort angesprochen wird. Die Sicherheit der Karte wird unter der Forderung eines gesonderten Passworts sichergestellt, mit dem ein Zugriff zu jeder gekennzeichneten Wechselwirkungsstufe zwischen der Karte und der entsprechenden Station erhalten wird. Die Sicherheit wird noch erhöht, da die Karte von dem Benutzer verlangt, sich durch ein optionales Passwort zu idntifizieren, bevor ein Zugriff zu bestimmten gekennzeichneten Dateien erlaubt wird. Ferner ist nur eine begrenzte Anzahl falscher Login-Versuche erlaubt, bevor die Karte gesperrt wird, um weitere Wechselwirkungen zwischen der Karte und der Station in einer versuchten Login-Stufe zu verhindern.
  • Da jede Datei ihre eigene Ausweisung (Dateisicherheit) auf der Karte besitzt, können mehrere Anwendungen oder gesonderte Konten in diesen Dateien bestehen, ohne sich gegenseitig zu stören. Ein Benutzer kann leicht 10 oder mehr gesonderte Gutoder Lastschriften, ein elektronisches Scheckbuch und sogar eine Sicherheitskennung für einen Zugriff auf seine Wohnung oder Haus gleichzeitig auf derselben Karte haben. Die maximale auf der Karte mögliche Anzahl von Dateien ist nur durch den verfügbaren Speicher begrenzt.
  • Die Karte steuert ein ausführendes Betriebssystem, auf das über einen Satz von Betriebssystemprimitiven zugegriffen wird. Diese Befehlsprimitive manipulieren das Kartendateisystem gemäß den Regeln, die von der Kartensicherheit verlangt werden. Die Verwendung des ausführenden Betriebssystems verhindert, daß ein Eindringling Zugang zu der Datenbank der vorliegenden Karte erhält. Außerdem ist eine Datenverschlüsselung, wie sie für die Karte vorgesehen ist, auch für die besonders empfindlichen Anwendungen vorgesehen.
  • Das Dateisystem der Karte ist in zwei Bereiche eingeteilt, nämlich den Kopf, der den Verwaltungsbereich darstellt und den Datenbereich, der die Anwendungsdateien enthält, eingeteilt.
  • Der Kopf hoher Sicherheit enthält Informationen, beispielsweise die Kartenseriennummer, die Passworte für verschiedene Login-Stufen, eine Anzahl erfolgloser, aufeinanderfolgender Login-Versuche für jede Login-Stufe und die Speichergröße der Karte, die zum Speichern in der Karte benutzt wird. Ein direkter Zugriff zum Kopfsektor ist für den normalen Benutzer nicht möglich.
  • Der Datenbereich der Karte ist in feste Datensätze eingeteilt. Jeder Datensatz, der Daten enthält, ist einer besonderen Datei zugeornet. Die Identifizierung der richtigen Datei erfolgt durch das erste Byte jedes Datensatzes, der der Dateiidentifikationsnummer zugeornet ist.
  • Wird eine Datei durch das Kartenbetriebssystem durchforscht, dann stellt der erste , mit einer Identifikationsnummer versehene Datensatz den ersten Datensatz in dieser Datei dar, wohingegen der letzte, mit dieser Identifkationsnummer versehene Datensatz der letzte Datensatz in dieser Datei ist. Das Kartenbetriebssystem liest die Datensätze einer Datei, sobald jeder Datensatz in der besonderen Datei angetroffen wird. Eine Stations-Anwendersoftware, die die aus einer Datei stammenden Daten empfängt und interpretiert, sieht lediglich einen zusammenhängenden Bytestrom, der zu der Anwendung gehört, auf die zugegriffen wird. Deshalb werden einem Benutzer einer bestimmten Anwendung keine Informationen über andere Anwendungen der Karte oder über die interne Dateistruktur der Karte bereitgestellt.
  • Die Erfindung und ihr Betriebsmodus wird in der folgenden Beschreibung in Verbindung mit den beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • Fig.1 eine funktionelle Blockdarstellung der wesentlichen Funktionskomponenten eines tragbaren Datenträgersystems und ihren allgemeinen gegenseitigen Wechselwirkungen,
  • Fig.2 eine Tabelle, die sechs Sicherheitstufen zeigt, für die ein Zugriff auf den tragbaren, im System nach Fig.1 verwendeten Datenträger möglich ist,
  • Fig.3 das Dateisystem für Daten, die auf dem Datenträger enthalten sind, der in zwei Bereiche, den Kopf und den Datenabschnitt, eingeteilt ist,
  • Fig.4 die drei Sektionen jeder Datei, die in dem Datenabschnitt des tragbaren Datenträgersystems untergebracht ist,
  • Fig.5 den hierarchichen Aufbau der Normal-Sicherheit- Klassen-Stufen, die ein fakultatives Passwort pro Datei und ein Nur-Anfügen-Merkmal verwenden,
  • Fig.6 eine Tabelle mit Befehlsprimitiven, die zum Kommunizieren mit dem Betriebssystem des tragbaren Datenträgers benutzt werden,
  • Fig.7 ein Flußdiagramm, das eine Login-Folge erläutert, die einen unberechtigten Zugriff auf den tragbaren Datenträger zu verhindern hilft,
  • Fig.8 die Softwarehierarchie des tragbaren Datenträgersystems, die so aufgebaut ist, daß sie mit dem im System verwendeten Protokoll zusammenarbeitet,
  • Fig.9 ein Nachrichtenformat, das zum Kommunizieren zwischen den wesentlichen Untersystemen des tragbaren Datenträgersystems ausgebildet ist,
  • Fig.10 ein Flußdiagramm, das die Entscheidung in der Verbindungsebene erläutert, die den Betriebsablauf der Anwendungsstation mittels eines Halb-Duplex-Protokolls steuert,
  • Fig.11 ein Flußdiagramm, das die Entscheidung in der Verbindungsebene erläutert, die den Betriebsablauf des Lesers/Schreibers und des tragbaren Datenträgers mittels eines Halb-Duplex-Protokolls steuert.
  • In allen Zeichnungen sind gleiche Elemente mit gleichen Bezugsnummern versehen.
  • In Fig.1 ist ein tragbarer Datenträger (PDC= portable data carrier) gezeigt, der zum leichteren Verständnis in drei Untersysteme eingeteilt werden kann. Das erste Untersystem ist ein tragbarer Datenträger oder eine Karte 10, die einen Speicher enthält, der speichern und Informationen für einen Benutzer aktualisieren kann. Das zweite Untersystem ist ein Kartenleser/schreiber 15, der die Karte mit einer Station 18, dem dritten Untersystem, verbindet. Dieses letzte Untersystem ist eine geeignet zusammengestellte Anwenderstation mit einem Computer oder einer der Öffentlichkeit zugänglichen Workstation, die die zum Zugriff auf den Kartenspeicher notwendige Anwendersoftware steuert. Die Anwendersoftware befindet sich in der Station und ermöglicht den Abruf und die Abänderung der im Kartenspeicher 10 abgelegten Information.
  • Die Karte 10 steuert ein ausführendes Betriebssystem, auf das über einen Satz von Befehlsprimitiven des Betriebssystems zugegriffen wird. Diese Befehlsprimitive beeinflussen ein Dateisystem der Karte gemäß den Regeln, die von der Kartensicherheit verlangt werden.
  • Einige in der Karte 10 angeordnete Hauptkomponenten bilden einen Mikrocomputer 110, einen elektrisch löschbaren, programmierbaren Lesespeicher (EEPROM) 115, eine analoge Schnittstellenschaltung 130, die Sekundärwicklung 121 eines Transformators 120 und kapazitive Platten 125 bis 128.
  • Der Mikrocomputer 110 enthält einen zentralen Prozessor und Speichereinheiten in Form eines Speichers mit direktem Zugriff und einen Nur-Lesespeicher. Der Mikrocomputer 110, der unter der Steuerung der im internen Nur-Lesespeicher abgelegten Firmensoftware betrieben wird, formatiert Daten, die unmittelbar zum EEPROM 115 und über den Leser/Schreiber 15 zu der Station 18 übertragen werden. Der gesamte EEPROM oder ein Teil von ihm kann ein integraler Bestandteil des Mikrocomputers oder auch ein getrenntes Teil sein. Der Mikrocomputer 110 interpretiert ebenso die von der Station 18 kommenden Befehlsprimitive, die im Leser/Schreiber empfangen werden.
  • Durch die Verwendung eines EEPROM 115 in der Karte 10 erhält der berechtigte Benutzer die Möglichkeit, bestimmte Anwendungsdateien in der Speichersektion der Karte nach Wunsch mit neuen und unterschiedlichen Daten in einer berechtigten, zugeordneten Anwendungsstation neu zu programmieren. Die Daten können mehrmals in den EEPROM geschrieben, aus ihm gelesen oder gelöscht werden, solange eine Betriebsspannung angelegt ist. Wird die Betriebsspannung abgeschaltet, bleiben alle Datenänderungen im EEPROM erhalten und abrufbar, wann immer die Karte mit Energie gespeist wird.
  • Die analoge Schnittstellenschaltung 130 stellt Einrichtungen bereit, die die Speicherkarte 10 mit dem Leser/Schreiber 15 verbinden. Die Schnittstelle bietet mehrere Funktionen einschließlich der Betriebspannungsversorgung, die aus der magnetischen Energie gewonnen wird, die vom Leser/Schreiber 15 in die Karte 10 gekoppelt wird; sie überträgt ebenso Daten zwischen dem Leser/Schreiber 15 und dem Mikrocomputer 110 der Karte 10. Die Betriebsleistung der Karte 10 wird über eine induktive Schnittstelle mittels der Sekundärwicklung 121 eines Transformators 120 an die analoge Schnittstellenschaltung 130 angelegt. Dieser Transformator entsteht, sobald die Sekundärwicklung der Karte 10 in Wirkverbindung mit einer Primärwicklung 122 des Lesers/Schreibers 15 steht. Die Station 18 liefert die Betriebsleistung für den Leser/Schreiber 15 und für die Karte 10.
  • Der Transformator 120 kann vorteilhafterweise einen Ferritkern 123 auf dem Leser/Schreiber enthalten, um eine erhöhte Kopplung zwischen der Primärwicklung 122 des Transformators und der Sekundärwicklung 121 zu erzielen. Ein zweiter Kern 124 kann auch im Transformator 120 vorhanden und mit der Sekundärwicklung 121 der Karte verbunden sein, um den Kopllungswirkungsgrad weiter zu erhöhen. Bei diesen Anordnungen, die über genügend Leistung verfügen und bei denen es auf den Wirkungsgrad nicht ankommt, können beide Kerne entfallen.
  • Ein Datenempfang und eine Übertragung von der Karte 10 geschieht über eine kapazitive Schnittstelle, die mit der analogen Schnittstelle 130 verbunden ist. Die kapazitive Schnittstelle umfaßt vier Kondensatoren, die entstehen, sobald die Elektroden oder Platten 125 bis 128 der Karte 10 mit den entsprechenden Elektroden oder Platten 155 bis 158 des Lesers/Schreibers 15 in Eingriff stehen. Zwei dieser Kondensatoren werden benutzt, um Daten von dem Leser/Schreiber 15 zur Karte 10 zu übertragen, wohingegen die verbleibenden Kondensatoren verwendet werden, um Daten von der Karte 10 zum Leser/Schreiber 15 zu übertragen. Die Kombination von induktiver Schnittstelle und kapazitiver Schnittstelle bildet die vollständige übertragungsschnittstelle zwischen dem Leser/Schreiber 15 und der Speicherkarte 10.
  • Einige Komponenten des Lesers/Schreibers 15 entsprechen funktionell denen auf der Karte 10. Solche Komponenten sind beispielsweise eine analoge Schnittstellenschaltung 140 und ein Mikrocomputer 150. Außerdem enthält der Leser/Schreiber 15 eine Energieversorgung 162 und eine Eingang/Ausgang-Schnittstelle 160. Die Energieversorgung 162 wird benutzt, um eine Leistung bereitzustellen und ein Taktsignal vom Leser/Schreiber 15 über den Transformator 120 zur Karte 10 zu koppeln. Die Eingang/Ausgang-Schnittstelle ist prinzipiell ein universeller, asynchroner Empfänger-Übertrager (UART= universal asynchronous receiver transmitter), der vorteilhafterweise in dem Mikrocomputer 150 vorgesehen ist. Der UART kommuniziert mit der Anwenderstation 18, die eine amtliche Herausgabestation, private Herausgabestation, eine herausgebende Austellerstation, eine öffentliche Telefonstation oder eine andere, geeignet zusammengestellte Station sein kann.
  • Die Sicherheit des PDC-Systems ist in zwei breite Bereiche eingeteilt. Der erste Bereich ist auf die Identfikation und Berechtigung gerichtet, um sicherzustellen, daß die Station zum einen (1) mit einer berechtigten Karte und zum anderen (2) mit einer berechtigten Anwenderdatei der Karte kommuniziert. Der zweite Bereich betrifft die Steuerung des Zugriffs auf die Dateien der Karte und die Begrenzung der Anwendung der Kartenbefehle durch eine Anwendung der Station, wobei eine Anwendung ein Konto oder dergleichen ist, das auf bestimmte Daten in einer Date der Karte zugreift.
  • Ohne eine geeignete Legalisierungsprozedur zur Unterdrückung von Betrugsabsichten, könnte das System das Stationsprotokoll simulieren und dabei Informationen über das PDC-System gewinnen.
  • Ein Verfahren zur Sicherung, daß die Station mit einer berechtigten Datei einer berechtigten Karte kommuniziert, wird erreicht, indem jeder Karte eine eigene Seriennummer zugeordnet wird, die ganz oder teilweise mit einem verborgenen, in der Station liegenden Anwendungspasswort benutzt wird. Diese Nummern werden algorithmisch manipuliert, um einen Berechtigungscode zu erzeugen, der in der Anwendungsdatei der Karte zur Zeit der Erzeugung gespeichert ist. Während aufeinanderfolgender Transaktionen muß dieser Code vorteilhafterweise mit einem ähnlichen Code, der unabhängig von der Station erzeugt wird, verglichen werden.
  • Um eine Sicherheitsleistung für das Karten-Datei-System und für die Kartenbefehle bereitzustellen und außerdem eine Flexibilität in der Handhabung verschiedener Anwendungstypen zu ermöglichen, verwendet die Karte sechs verschiedene Sicherheitsstufen. Diese Sicherheitsstufen ermöglichen es, daß die Karte zwei Quellen schützen kann, das Karten-Datei-System und die Kartenbefehle. Der Zugriff zu einem der Quellen ist eine Funktion der berechtigten Login-Stufe, des angeforderten Befehls, der Datei, auf die zugegriffen werden muß, und solcher zusätzlicher Beschränkungen, wie sie vom Kartenbesitzer festgelegt werden.
  • In Fig.2 sind die sechs Login-Sicherheitsstufen gezeigt. Die ersten vier unteren Stufen sind in einer normalen Sicherheitsklasse angeordnet und für den Gebrauch in einem öffentlichen Umfeld verfügbar. Die erste und unterste Stufe in der hierarchichen Sicherheitsstufe ist eine öffentliche Login- Stufe für allgemeine Informationen, die für den Zugriff kein Passwort benötigt. Ärztliche Informationen und Sicherheitsidentifikationsnummern oder bibliographische Karteninformationen sind Beispiele für öffentliche Daten, die eine Person vielleicht in dieser Stufe erhalten möchte. Wenn die Karte initialisiert oder in einer Station zurückgesetzt wird, gelangt sie hinauf in die öffentliche Login-Stufe.
  • Die zweite Stufe ist die Benutzer-Stufe, die für den Zugriff ein Benutzer-Passwort verlangt. Ein Benutzer kann bestimmte Gut- und Lastschriften in dieser Stufe haben. Die dritte Stufe ist die Nebenausstelierstufe, die für den Zugriff ebenso ein Passwort verlangt und im allgemeinen die Sufe darstellt, die in einer vom Hauptaussteller oder dem Kartenbesitzer genehmigten Anwendung benutz wird.
  • Die vierte Sicherheitsstufe verbleibt beim Hauptaussteller. In dieser Stufe wird die Karte formatiert und ausgestellt. Es folgt nun ein Beispiel, wie diese Stufen benützt werden können: Eine Bank stellt Karten aus, die Gut- oder Lastschriften enthalten. Diese Bank genehmigt ebenso die Benutzung ihrer Karte den Einzelverkäufern, die ihre eigenen Gut- oder Lastschriften auf der Karte einrichten. In diesem Beispiel ist die Bank der Hauptaussteller und die Verkäufer sind die Nebenaussteller. Der Kartenhalter ist natürlich der Benutzer. Jede Abrechnung in diesem Beispiel wird durch eine gesonderte Datei abgewickelt, wobei nur Personen oder Programme mit den richtigen Ausweisen für eine besondere Datei auf diese in einer geeigneten Anwendungsstation zugreifen können.
  • Die zwei oberen Sicherheitsstufen, der Entwickler und der übergeordnete Benutzer, sind in einer erweiterten Sicherheitsklasse angeordnet, die die Benutzung der Befehle, die nicht über die Stufen in der normalen Sicherheitsklasse verfügbar sind ermöglicht.
  • Die fünfte oder übergeordnete Benutzerstufe ist die Fabrik, die für die Konstruktion, das Testen und das Initialisieren der Blankokarten in der Weise veranwortlich ist, daß die Sicherheit erleichtert wird und widerrechtlich angeeignete Blankokarten nicht verwendet werden können.
  • Die sechste und höchste Stufe letztlich ist die Entwicklerstufe der Karte. Sowohl die übergeordnete Benutzerals auch die Entwicklersicherheitsstufe sind so ausgebildet, daß sie auf den gesamten Inhalt des Karten-Dateisystems einschließlich des Kartensystemkopfs zugreifen können, wie später noch näher erläutert wird.
  • Da mehrere Dateien mit ihren eigenen Ausweisen auf der Karte existieren, können mehrere Anwendungen entsprechend in diesen gesonderten Dateien bestehen, ohne sich gegenseitig zu beeinflussen. Man kann sich leicht eine Person vorzustellen, die zehn oder mehr separate Gut- oder Lastschriften, ein elektronisches Scheckbuch und einen Sicherheitspass für den Zugriff auf ihr Appartement auf einer einzigen Karte besitzt. Die Aussteller und die Benutzer brauchen hinsichtlich der Folgen einer widerrechtlichen Aneignung nur wenig Sorge zu haben, da die Karte verlangt, daß ein Benutzer sich mittels eines Passwortes identifiziert, bevor der Zugriff auf Dateien, die nicht in der öffentlichen Stufe liegen, ermöglicht wird.
  • In Fig.3 ist das Karten-Dateisystem gezeigt, das in zwei Bereiche, den Kopf, der den Verwaltungsteil darstellt, und das die Anwendungsdateien enthaltene Datensegment, eingeteilt ist.
  • Der Kopf hoher Sicherheit 35 enthält Informationen, wie beispielsweise die Seriennummer der Karte, die Passworte für jede Login-Stufe, die Anzahl der erfolglosen Passwortversuche jeder Stufe, ein Sperrbyte, das anzeigt,daß die Login-Stufen gesperrt sind, die Größe der festen Datensätze in der Datenbank und die Speichergröße in Kilobytes des EEPROM 115. Ein direkter Zugriff auf den Kopfbereich ist nur in den zwei oberen Sicherheitsstufen möglich.
  • Das Datensegement 30 der Karte ist in feste Datensätze eingeteilt, deren Länge von n Bytes durch den Hauptaussteller
  • festgesetzt wird. Jeder benutzte Datensatz 31, 32 und 33 ist einer besonderen Datei zugeordnet. Die Identifikation der richtigen Datei erfolgt über das erste Byte eines jeden Datensatzes, der dieser Dateiidentifikationsnummer zugeordnet ist.
  • Die Karte verfügt über keine Dateiverzeichnis und über keine Zeiger zwischen den verschiedenen Datensätzen derselben Datei. Die Dateidatenordnung wird nicht durch angrenzende Datensätze sondern durch eine lineare Ordnung angezeigt. Das Betriebssytem der Karte tastet die Adresse im EEPROM von der niedrigsten zu höchsten Adresse ab. Der erste mit der besonderen Dateiidentifikationsnummer aufgefundene Datensatz ist der erste in dieser Datei und der letzte mit dieser Dateiidentifikationsnummer aufgefundene Datensatz ist der letzte in dieser Datei. Das Betriebsystem der Karte liest die Datensätze einer Datei, solange jeder Datensatz in der besonderen Datei angetroffen wird. Die maximale Größe und Anzahl der auf der Karte erlaubten Dateien wird lediglich durch die Speichergröße im EEPROM begrenzt. Die eine Datei lesende Anwendungssoftware der Station sieht nur einen angrenzenden Bytestrom, der von der internen Dateistruktur der Karte unabhängig ist.
  • In Fig.4 sind die drei Bereiche einer jeden Datei in dem Datensegmenteines Karten-Dateisystems in Einzelheiten dargestellt. Ein Vorbereich 41, der in dem ersten Datensatz einer jeden Datei angeordnet ist, enthält die Dateiidentifikationsnummer 42 und Sicherheitsbytes 43, 44 und 45. Die Dateiidentifikationsnummer ist eine Hexadezimalzahl zwischen 1 und FE einschließlich. Die Hexadezimalzahl 00 und FF sind zum Anzeigen eines unbenutzen Datensatzes und des Endes des verfügbaren Speichers im EEPROM entsprechend reserviert.
  • Die Sicherungsbytes 43 bis 45 bestimmen den Dateizugang. Das erste Byte 43 stellt den Lesezugang dar, der die minimale Stufe, bei der die Datei gelesen werden kann, bezeichnet. Das zweite Byte 44 stellt den Schreib/Lese-Zugang dar, der die minimale Stufe, bei der die Datei gelesen und eingeschrieben werden kann, bezeichnet.
  • Deshalb ist der Lesezugang einer Datei von dem Schreib/Lese- Zugang einer Datei zu trennen. Verschiedene Sicherheitsstufen können ebenso für den Lese- und gegen den Schreib/Lese-Zugriff festgelegt werden. Beispielsweise kann der Lesezugang einer Datei in der öffentlichen Stufe liegen, um einen Zugriff zu öffentlichen Informationen zu ermöglichen, wohingegen der Schreibzugang in der Benutzerstufe festgelegt sein kann, der das Schreiben in die Datei ohne Zustimmung des Benutzers verbietet.
  • In Fig.5 ist der hierarchiche Aufbau der normalen Sicherheitsklassenstufen gezeigt, die fakultative Passworte und ein Merkmal "Nur-Anfügen" verwenden. Um die Flexibilität bei der Benutzung der Karte zu erhöhen, kann jede Datei auf der Karte in ihren Sicherungsbytes eine Forderung enthalten, wonach ein fakultatives Passwort eingegeben werden muß, bevor der Zugriff zu einer besonderen Datei freigegeben wird. Diese Forderung besteht zusätzlich neben dem Verlangen, daß sich der Benutzer in der geforderten Sicherheitsstufe des Betriebssystems der Karte befinden muß, um einen Zugriff auf eine in dieser Stufe geschützten Datei zu erhalten. Im Beispiel verlangt deshalb eine Datei mit Schreib/Lesezugang, die ein fakultatives Schreibpasswort enthält, von einem Benutzer:
  • 1. Sich eintragen in die Karte in der Benutzerstufe und
  • 2. Öffnen der Datei, um sie zu lesen.
  • Um allerdings in diese Datei zu schreiben muß der Benutzer:
  • 1. Sich in die Karte in der Benutzerstufe eintragen und
  • 2. die Datei zum Einschreiben öffnen, indem das fakultative Passwort eingetragen wird. Dies trifft nicht für eine Person zu, die sich in einer Stufe eingetragen hat, die höher ist als der Zugriffszugang auf eine verlangte Datei. Eine Person, die sich in einer solchen Stufe eingetragen hat, kann einen Zugriff zu dieser Datei sogar dann erhalten, wenn ein fakultatives Passwort in der bezeichneten Sicherheitsstufe gefordert wird.
  • Der hierarchiche Aufbau der normalen Sicherheitsklassenstufen ist derart ausgebildet, daß der Hauptaussteller in und unterhalb seiner Stufe jede Datei lesen und in jede Datei schreiben kann. Der Nebenaussteller kann in und unterhalb seiner Stufe jede Datei lesen und in jede Datei schreiben. In ähnlicher Weise kann der Kartenhalter in seiner oder in der öffentlichen Stufe jede Datei lesen und in jede Datei schreiben.
  • In einer zweckmäßigen Anwendung kann das Sicherungsbyte 45 in Fig.4 gesetzt werden, um einen Nur-Anfügen-Modus auszuführen, der dem Benutzer ermöglicht, in eine Datei Daten einzufügen ohne existierende Daten zu überschreiben. Es werden Datensätze, die die geeignete Anwendungsdatei widerspiegeln, erzeugt, damit diese Daten so angenommen werden können, wie sie eingegeben worden sind. Deshalb kann eine Datei sowohl für eine Lese/Anfügenerlaubnis als auch für eine Schreib/Leseerlaubnis gekennzeichnet werden.
  • Ein Informationsbereich 46 einer Datei enthält die aktuellen Daten, die in jedem Datensatz dieser Datei untergebracht sind. Ein Suffix-Bereich 47 mit einer Zahl M im letzten Byte 48 des letzten Datensatzes N zeigt die Anzahl der Anwendungsdatenbytes in dem letzten Datensatz an.
  • Auf das ausführende Betriebssytem der Karte wird über die normalen Sicherheitsklassenstufen unter Benutzung der allgemein verständlichen Befehlsprimitiven zugegriffen, die in Fig.6 gezeigt sind. Diese Befehlsprimitive steuern den Sicherheitszugriff der Karte, die Dateierzeugung, den Dateizugriff und ebenso Verwalungs- und Testhandlungen. Zusätzliche Befehlsprimitive sind für die Login-Stufen des übergeordneten Benutzers oder Entwicklers verfügbar.
  • Die Funktion dieser Befehlsprimitiven kann über eine Beschreibung der Funktion des Login-Befehls erläutert werden. Um sich in die Karte einzutragen, wird der Benutzer aufgefordert, eine Login-Stufe und ein Passwort zu bestimmen. Dieses Passwort wird intern durch den Kartenalgorithmus mit dem richtigen Passwort in der selben Login-Stufe des Kartenkopfes verglichen. Wenn ein Kartenbenutzer versucht, einen Zugriff auf eine Datei mit einer Login-Stufe zu erhalten, die niedriger ist als die von der Datei geforderten, dann wird der Zugang, die Datei entweder für das Lesen oder das Schreiben/Lesen zu öffnen, verweigert.
  • Die Passworte für jede Sicherheitsstufe werden in dem Kartenkopf untergebracht, wenn die Karte hergestellt wird. Der Passwortbefehl erlaubt dem Benutzer in einer eingetragenen Sicherheitsstufe das Passwort in seiner Stufe oder irgendeiner unteren Stufe zu ändern. Geht ein Passwort verloren oder wird es vergessen, dann kann es neu geschrieben werden, indem man sich in die Karte in einer höheren Sicherheitsstufe einträgt und den Passwortbefehl benutzt. Auf diese Weise muß das verlorene Passwort nicht wiedergefunden werden.
  • Die Anzahl aufeinanderfolgender erfolgloser Login-Versuche pro Sicherheitsstufe ist auf eine bestimmte Zahl begrenzt. Wenn die Zahl überschritten wird, kann die Karte so konfiguriert werden, daß sie entweder in der Sicherheitsstufe sperrt oder die Datenbank der gesamten Karte löscht. Ist die Karte gesperrt, so kann sie in jeder Stufe oberhalb der gesperrten Stufe entriegelt werden. Das ermöglicht eine Verlagerung der Kartenaufrechterhaltung in die niedrigste Stufe, die oberhalb der gesperrten Stufe noch möglich ist. Die Anzahl der Mißerfolge ist im Kopfbereich des EEPROM in einem geeigneten "Passwort-Mißerfolg-Zähler" gespeichert.
  • Es ist ebenso möglich, eine Datei zu schützen, die ein fakultatives Passwort erfordert. Dateien können individuell in der gleichen Weise geschützt werden wie die Karte, indem ein Bit in den Dateischutzbytes gesetzt wird, um, wenn gewünscht, eine Datei zu löschen. Deshalb hat eine Person nur eine bestimmte Anzahl von Versuchen, eine Datei zu öffnen, die ein fakultatives Passwort verlangt, bevor die Karte gesperrt wird oder die Daten in der Datei gelöscht werden.
  • In Fig.7 ist ein Flußdiagramm des Teils des Kartenbetriebssystems gezeigt, der ein unzulässiges Login in die Karte zu verhindern hilft. Immer wenn ein Login-Befehl eingegeben wird, wird zuerst der Passwortmißerfolgzähler aktualisiert, um einen Passwortmißerfolg widerzugeben. Als nächstes wird das eingegebene Passwort gegen das Passwort im Kartenkopf geprüft. Wenn das richtige Passwort eingegeben worden ist, wird der Passwortzähler gelöscht. Durch dieses Leistungsmerkmal werden hochentwickelte gewaltsame Angriffe auf das Passwort mittels einer Ausstattung verhindert, die die Betriebsleistung für die Karte nach erfolglosen Login- Versuchen aber vor dem Aktualisieren des Mißerfolgzählers, der den Mißerfolg widergibt, abschalten kann.
  • Um die Entwicklung in der Anwendungssoftware zu erleichtern, wurde eine Softwarebibliothek hoher Fähigkeit entworfen, um alle Wechselwirkungen zwischen der Station und dem Schreiber/Leser und ebenso zwischen der Station und der Karte zu unterstützen. Deshalb muß sich ein Anwendungsprogrammierer nicht mit langweiligen Einzelheiten des Karteninternen oder Kommunikationsprotokolls beschäftigen. Sein Code kommuniziert unmittelbar mit der Bibliothek und die Bibliothek mit der Karte.
  • Die Bibliothek ist in vier Bereiche eingeteilt: Einen Kartenverzeichnisbereich, der für eine direkte Abildung der Kartenbefehle sorgt, wie dies in Fig.6 gezeigt ist, einen Schreiber/Leser-Verzeichnisbereich, der für eine direkte Abbildung der Schreiber/Leser-Befehle sorgt, einen zusammengesetzten Verzeichnisbereich, der Karten- und/oder Schreiber/Leser-Befehle enthält und schließlich einen Steuerbereich, der in der Station untergebrachte gemeinsame Steuerbefehle enthält. Diese Funktionen enthalten Einzelheiten über Initialisierung, Beenden und Steuern von Toren und logischen Geräten. Diese Bibliothek funktioniert deshalb wie eine Softwareschnittstelle und zeigt einen Weg, auf Geräte und Dateien zuzugreifen. Von daher ähnelt es sehr stark typischen Computerprotokollen,die dem Anwendungsprogrammierer die Arbeit erleichtern.
  • In dem Betriebsystem der Karte ist eine Zuteilung von Datensätzen, eine Auflösung der Zuteilung von Datensätzen und ein Sammeln wertloser Daten vorgesehen. Werden Informationen in der Datei gelöscht, gibt die Karte alle frei gewordenen Datensätze an das verfügbare Pool von Datensätzen zurück und ordnet die benutzten Datensätze in linearer Reihenfolge an, indem wertlose Daten gesammelt werden. Dadurch, daß wertlose Daten gesammelt werden, werden alle unbenutzten Datensätze der Karte am Ende des Kartenspeichers gesammelt. Die Zuteilung erforderlicher, zusätzlicher Datensätze wird automatisch durchgeführt, wenn über den letzte Datensatz einer Datei hinweggeschrieben wird. Dadurch, daß die verfügbaren Datensätze immer am Ende der Karte bleiben, werden neue Datensätze einer Datei immer dem vorherigen Ende der Datei zugeteilt, wodurch die lineare Reihenfolge der Datensätze jeder Datei erhalten bleibt.
  • Die Informationen über die Zuteilung und Auflösung der Zuteilung von Datensätzen ist für die Anwendung in der Station nicht verfügbar. Die Sicherheit wird erhöht, da die Anwendung lediglich angrenzende Daten ohne irgendwelche Implementierungsdetails sieht. Auch ist ein direkter Zugriff auf die Anwendungsdateien im Rohformat den Benutzern, die einen Zugriff zu diesen in der normalen Sicherheitsklassenstufe befindlichen Befehlen haben, nicht erlaubt. Ein Zugriff zu der gesamten Karte ist nur den Benutzern erlaubt, die einen Zugriff zu den in der erweiterten Sicherheitsklassenstufe befindlichen Befehlen haben, um eine strenge Sicherheit während der Herstellung und dem Testen der Karte zu gewährleisten.
  • In Fig.8 ist die Softwarehierarchie gezeigt, die zum Betrieb im Kommunikationprotokoll des PDC-Systems untergebracht ist. Eine Anwendungsebene 181 in der Station 18 kommuniziert mit der Karte und ebenso mittels einer Terminalschnittstelle 187 über ein Terminal 187 mit dem Benutzer oder mittels einer Datenbankschnittstelle 184 mit einer fakultativen Datenbank. Um den Zugriff zur Krte 10 zu erleichtern, kommuniziert die Anwendungebene 180 mit der Bibliotheksebene 185, die bereits oben diskutiert wurde. Diese kommuniziert der Reihe nach mit der Linkebene 186, die die aktuellen Transaktionen steuert, mit dem Schreiber/Leser 15 und der Karte 10.
  • Obwohl die Station 18 über eine serielle Schnittstelle mit dem Schreiber/Leser 15 verbunden ist, kommuniziert sie unmittelbar sowohl mit der Karte 10 als auch mit dem Schreiber/Leser 15. Jede für die Karte 10 bestimmte Nachricht wir deshalb transparent über den Schreiber/Leser 15 zur Karte 10 übertragen. Die Bestimmungsadresse befindet sich in dem Präambelbereich der Nachricht. Ein für den erfindungsgemäßen Gebrauch geeignetes Nachrichtenformat ist in Fig.9 gezeigt, das später noch ausführlich beschrieben wird.
  • Der Schreiber/Leser 15 und die Karte 10 implementieren das gleiche Übertragungsprotokoll im Halbduplexbetrieb wie die Station in der Datenverbindungsebene 186. Die Karte 10 ist völlig inaktiv und kann überhaupt keine Transaktion mit der Station 18 einleiten. Der Schreiber/Leser 15 unterscheidet sich davon in einem Punkt, daß er das Signal 'Achtung' zur Station über eine in der seriellen Schnittstelle vorgesehenen Trägerdetektionsleitung überträgt, die beide verbindet. Die Station 18 spricht auf das Achtung-Signal nach Beendigung irgendeiner aktuellen Transaktion an, in die sie dann verwickelt ist. Als nächstes fragtdie Station den Schreiber/Leser 15, um den Grund des Achtung-Signals festzustellen.Ein Beispiel dafür, daß der Schreiber/Leser 15 solch ein Achtung-Signal liefert liegt vor, wenn die Karte 10 in einem auf dem Schreiber/Leser 15 untergebrachten Steckplatz (nicht gezeigt) eingesetzt wird und für die Kommunikation mit der Station 18 an der richtigen Stelle sitzt. Ein zweites Beispiel liegt vor, wenn die Karte 10 aus dem Steckplatz des Schreiber/Lesers 15 herausgezogen wird.
  • Der Schreiber/Leser weist zwei Ebenen auf, eine Verbindungsebene 151 und eine Befehlsebene 152. Die Verbindungsebene 151 arbeitet als transparentes Medium zwischen der Station 18 und der Karte 10, über das Befehle oder Meldungen zwischen der Station 18 und der Karte 10 übermittelt werden.Die Verbindungsebene 151 des Schreiber/Lesers 15 stellt, wenn nötig, eine Zwischenspeicherung und Umwandlung der Baudrate bereit. Die Übertragungsrate zwischen der Karte 10 und dem Schreiber/Leser 15 beträgt 19200 Baud. Wenn die Baudrate zwischen der Station 18 und dem Schreiber/Leser 15 niedriger ist als die Baudrate zwischen dem Schreiber/Leser 15 und der Karte 10, führt der Schreiber/Leser 15 eine Umwandlung der Baudrate durch und speichert die Nachricht derart, daß sie als Block von angrenzenden Daten zur Karte geschickt werden.Die zweite Ebene in dem Schreiber/Leser ist die Befehlsebene. Diese Ebene des Schreiber/Lesers spricht auf die Daten an, die von der Station 18 speziell an den Schreiber/Leser adressiert sind.
  • Protokolldaten werden über die Kommunikationverbindung seriell, d.h. Zeichen für Zeichen, geschickt. Ein Zeichen ist von einem Startbit und einem Stopbit eingerahmt. Die Nachrichten angrenzender Zeichenblöcke werden zu jeder Zeit innerhalb der Schranken des Halbduplex-Protokolls initiiert. Die Station 18 und der Schreiber/Leser 15 oder die Karte 10 tauschen Informationen in einem vorbestimmten Nachrichtenpaket aus. Ein Paket enthält Steuerinformationen, die angeben, wo Daten in dem Paket beginnen und enden und ebenso Informationen zum Prüfen der Einheit der Nachrichtendaten.
  • Mehr Einzelheiten sind der Fig.9 in Verbindung mit Fig.8 zu entnehmen, die ein geeignetes,erfindungsgemäßes Nachrichtenformat zeigt, bei dem die Station 18 den Schreiber/Leser 15 oder die Karte 10 adressiert. Das Nachrichtenformat besteht aus einer Präambel 91 zum Adressieren des Schreiber/Lesers 15 oder der Karte 10 und einer Beginn-des-Rahmen-Steuerfolge 92 zum Markieren des Beginns der Nachricht (DLE STX). In dem Nachrichtenformat ist als nächstes ein Verbindungsstatus 93 untergebracht, der entweder Informationen über eine positive (ACK) oder eine negative Rückmeldung (NAK) der übertragenen Nachricht, Informationen darüber, ob sich während der Übertragung ein Fehler ereignet hat, sowie eine Folgezahl ( Tag ) der laufenden Nachricht enthält. Jede Nachricht ist einer Folgezahl zugeordnet. Ein Modulo 8 Schema wird unter Benutzung der drei wertniedrigsten Bits des Verbindungs-Statusbytes im Nachrichtenformat verwendet.
  • Dann folgt das Befehls- und Datenfeld 94, welches die übertragenen Daten gefolgt von einer Ende-des Rahmens- Steuerfolge 95 enthält, die das Ende einer Nachricht (DLE ETX) markiert. Zum Schluß wird eine Prüfsumme 96 aus zwei Bytes unter Anwendung eines Algorithmus erzeugt, der in einem Artikel mit dem Titel " An Arithmatic Checksum for Serial Transmission," J.G. Fletcher, IEEE Transactions on Communications,Volume Com-30, Jan.1982.pp 247-252 beschrieben ist.
  • Eine von dem Schreiber/Leser 15 oder von der Karte 10 zur Station 18 zurückgeschickte Nachrichtenpaketmeldung stimmt vollständig mit der durch die Station erzeugten überein. Das in Fig.9 dargestellte Nachrichtenformat ist daher für Kommunikationen zwischen allen Untersystemen verwendbar. Die Präambel einer von der Station 18 gesendeten Nachricht besteht aus 8 Bytes. Eine Nachricht gilt als durch die Station 18 richtig empfangen, wenn mindestens drei dieser aufeinanderfolgenden Präambeln durch das Untersystem erfaßt werden, mit dem sie dann versucht, zu kommunizieren.
  • Um eine Kommunikation mit dem Schreiber/Leser 15 oder der Karte 10 einzuleiten, sendet die Station 18 eine Verbindungsrücksetznachricht. Die Kommunikation mißlingt, wenn die Station eine negative Rückmeldung (NAK) empfängt oder eine vorbestimmte Zeit abläuft bevor eine Meldung empfangen worden ist.
  • Ist erst einmal eine Kommunikation mit dem Schreiber/Leser 15 aufgebaut, so informiert dieser die Station 18, wenn die Karte 10 eingesetzt oder bereits aktiv ist. Nachdem die Karte 10 eingesetzt ist, sendet der Schreiber/Leser 15 ein Achtungssignal zur Station 18. Stellt die Station fest, das die eingesetzte Karte vielmehr eine intelligente Karte ist als beispielsweise nur ein Magnetstreifen, dann schickt die Station eine Verbindungsrücksetznachricht an die Karte, um sie zu initialisieren. Ist die Karte erst einmal initialisiert, erwartet die Karte Befehle von der Anwedungsebene 151 der Station 18. Wird eine Anforderung empfangen, so wird sie in einer Befehlsebene 101 der Karte 10 verarbeitet und eine Meldung zur Station 18 zurückgeschickt, während die Karte 10 auf den nächsten Befehl wartet. Die Station 18 kann willkürlich wählen, welches Untersystem adressiert und welche Nachricht ausgesendet werden soll, d.h. entweder eine Verbindungsrücksetznachricht oder einen Befehl.
  • Fig.10 zeigt ein Flußdiagramm, das das Verfahren der Station 18 erläutert, eine Verbindungsebenenentscheidung zu treffen. Beim Kommunizieren mit dem Schreiber/Leser 15 oder der Karte 10 während einer normalen Transaktion, sendet die Station eine Nachricht und löst einen Zeitgeber aus. Danach empfängt die Station entweder eine Meldung von dem Untersystem, mit dem es dann zu kommunizieren versucht oder der Zeitgeber läuft ab. Wenn das Verbindungsstatusbyte in der für die Station bestimmte Nachrichtenmeldung eine positive Rückmeldung (ACK) enthält, bedeutet dies, daß die Transaktion erfolgreich beendet worden ist und der Folgezahlwert wird um Modulo 8 erhöht. Die Meldung wird nunmehr an die Anwendungsebene 181 der Station 18 weitergereicht.
  • Wenn eine negative Rückmeldung (NAK) empfangen wird, werden mindestens zwei weitere Verbindungsversuche unternommen und der Folgezahlwert bleibt derselbe. Die Station bittet nicht um eine erneute Übertragung, sondern überträgt den letzten Befehl. Wird nach drei Versuchen keine positive Rückmeldung (ACK) empfangen, wird die Verbindungsstufenfehlerentdeckung eingeleitet.
  • Fig.11 zeigt ein Flußdiagramm, das das Verfahren, eine Verbindungsebenenentscheidung zu treffen, sowohl für den Schreiber/Leser 15 als auch für die Karte 10 erläutert. Es wird nun bezuggenommen auf die Figuren 8 und 10. Bei der Rückkommunikation während einer normalen Transaktion überwacht der Schreiber/Leser 15 oder die Karte 10 die Folgezahl jeder empfangenen Nachricht, um zu entscheiden, ob die gegenwärtige Anforderung eine neue Transaktion ist oder eine Rücksendeanforderung für eine vorherige Transaktion. Wenn der aktuelle Folgezahlwert sich vom Folgezahlwert der vorherigen Transaktion unterscheidet, wird die ankommende Nachricht als eine neue Transaktion behandelt. Ist der aktuelle Folgezahlwert gleich dem vorherigen Wert, dann wird eine Rückübertragung von der Station 18 angefordert. Der Schreiber/Leser 15 oder die Karte 10 antwortet immer auf die Folgezahl, die dem letzten gültigen bearbeiteten Befehl entspricht. Mißlingt daher eine augenblickliche Übertragung, d.h. eine "schlechte Nachricht", so antwortet die Verbindungsebene mit einer negativen Rückmeldung (NAK) und der letzten gültigen Folgezahl. Ein "Null"-Befehl bewirkt, daß der Schreiber/Leser 15 oder die Karte 10 die folgende Folgezahl auf die empfangene rücksetzt. Beim Rücksetzen setzt der Schreiber/Leser 15 oder die Karte 10 die Folgezahl auf einen ungültigen Wert, um sicherzustellen, daß die ankommende Nachricht als eine neue behandelt wird.
  • Das Ende einer Kartensitzung kann durch die Station 18, die den Schreiber/Leser 15 auffordert, die Karte 10 abzuschalten, oder durch den Benutzer eingeleitet werden, der die Karte 18 herauszieht. Im letzten Fall beendet der Schreiber/Leser 15 automatisch die Energieversorgung des gesamten Kartensteckplatzes und überträgt ein "Achtungssignal" an die Station 18. Daraufhin sendet die Station einen "Statusanforderungsbefehl" an den Schreiber/Leser 15. Als Antwort darauf unterrichtet der Schreiber/Leser 15 die Station 18, daß die Karte l0 herausgezogen wurde und die Verbindungsebene meldet nach drei erfolglosen Versuchen, mit der Karte 10 zu kommunizieren, Kommunikationsfehler an die Anwendungsebene. Das ist notwendig, da nur die Anwendungsebene den Schreiber/Leser für inaktiv erklären kann.

Claims (11)

1. Tragbarer Mehrzweck-Datenträger (10) mit einer Vielzahl von Dateien (31-33) zur Speicherung änderbarer Daten, wobei jede Datei selektiv durch eine zugeordnete Station (18) für einen Zugriff zu gewünschten, änderbaren Daten adressierbar ist, der Zugriff zu einer bestimmten Datei für eine gewünschte Transaktion nur für einen Benutzer zugelassen ist, der zur Durchführung von Transaktionen innerhalb der bestimmten Datei autorisiert ist, der Zugriff zu dem tragbaren Datenträger durch ein erstes Passwort gesteuert wird, das einem zur Ausführung von Transaktionen im tragbaren Datenträger autorisierten Benutzer zugeordnet ist, jede Datei im tragbaren Datenträger Datei-Zugangsinformationen (41) zur Definition des zugelassenen Zugriffstyps enthält, die Datei- Zugangsinformationen einen Lesezugang, einen Schreibzugang und einen Anfügungszugang umfassen, eine erste Datei (43) mit einem Lesezugang, einem Benutzer nur erlaubt, Daten in der Datei zu lesen, eine zweite Datei (44) mit einem Schreibzugang einem Benutzer erlaubt, Daten in der Datei zu lesen und Daten in die Datei zu schreiben und eine dritte Datei (45) mit einem Lese- und einem Anfügungszugang einem Benutzer nur erlaubt, Daten in der Datei zu lesen und Daten an die Datei anzufügen.
2. Mehrzweck-Datenträger nach Anspruch 1, bei dem der Zugriff zu jeder bestimmten Datei für eine gewünschte Transaktion durch ein zweites Passwort gesteuert wird, das einem zur Durchführung von Transaktionen in der bestimmten Datei autorisierten Benutzer zugeordnet ist.
3. Mehrzweck-Datenträger nach Anspruch 2, mit ferner mehreren Sicherheitsstufen, die hierachisch so angeordnet sind, daß sie eine niedrigste Sicherheitsstufe, eine höchste Sicherheitsstufe und mehrere weitere, dazwischen gelegene Sicherheitsstufen umfassen, wobei der Zugriff zu jeder Sicherheitsstufe durch ein entsprechendes Passwort gesteuert wird, das nur einem Benutzer zugeordnet ist, der für einen Zugriff zu den Daten auf dieser Sicherheitsstufe autorisiert ist.
4. Mehrzweck-Datenträger nach Anspruch 2, bei dem die Datei-Zugangsinformationen entsprechend der Sicherheitsstufe zugeordnet werden können, eine erste Sicherheitsstufe höherer Ordnung, die Erlaubnis hat, Daten in der zweiten Datei (44) zu lesen und Daten in die zweite Datei zu schreiben, und eine zweite, niedrigere Sicherheitsstufe die Erlaubnis hat, nur Daten in der zweiten Datei zu lesen.
5. Mehrzweck-Datenträger nach Anspruch 3, bei dem die Datei-Zugangsinformationen entsprechend der Sicherheitsstufe zugeordnet werden können, eine erste Sicherheitsstufe höherer Ordnung die Erlaubnis, Daten in der zweiten Datei zu lesen und Daten in die zweite Datei zu schreiben und eine zweite, niedrige Sicherheitsstufe die Erlaubnis hat, Daten in der zweiten Datei zu lesen und nur Daten an die Daten in der zweiten Datei anzufügen.
6. Mehrzweck-Datenträger nach Anspruch 1, mit ferner Dateien, die wählbar durch mehrere zugeordnete Stationen für einen Zugriff zu gewünschten änderbaren Daten adressierbar sind, wobei der Zugriff zu jeder bestimmten Datei durch die Konfiguration jeder zugeordneten Station gesteuert wird.
7. Mehrzweck-Datenträger nach Anspruch 6, bei dem der Zugriff zu der bestimmten Datei für eine gewünschte Transaktion durch ein Passwort gesteuert wird, das der zur Durchführung von Transaktionen in der bestimmten Datei autorisierten Station zugeordnet ist.
8. Mehrzweck-Datenträger nach Anspruch 7, bei dem der Zugriff zu dem Datenträger durch ein Passwort gesteuert wird, das einem zur Durchführung von Transaktionen mit dem Datenträger autorisierten Benutzer zugeordnet ist.
9. Mehrzweck-Datenträger nach Anspruch 8, bei dem jede Datei im Datenträger Datei- Zugangsinformationen zur Definition des Zugriffstyps enthält, der für einen Benutzer an der zugeordneten Station zugelassen ist.
10. Mehrzweck-Datenträger nach Anspruch 9, bei dem die Datei-Zugangsinformationen im Datenträger einen Lesezugang, einen Schreibzugang und einen Anfügungszugang enthalten, eine erste Datei mit einem Lesezugang, einem Benutzer an einer geeignet konfigurierten Station nur gestattet, Daten in der Datei zu lesen, eine zweite Datei mit einem Schreibzugang einem Benutzer gestattet, Daten in der Datei zu lesen und Daten in die Datei zu schreiben und eine dritte Datei mit einem Lese- und einem Anfügungszugang einem Benutzer nur gestattet, Daten in der Datei zu lesen und Daten an die Datei anzufügen.
11. Mehrzweck-Datenträger nach Anspruch 10, mit ferner mehreren Sicherheitsstufen, die hierachisch so angeordnet sind, daß sie eine niedrigste Sicherheitsstufe, eine höchste Sicherheitsstufe und mehrere dazwischen gelegene Sicherheitsstufen umfassen, wobei der Zugriff zu jeder Sicherheitsstufe durch ein entsprechendes Passwort gesteuert wird, das nur einem Benutzer zugeordnet ist, der für einen Zugriff zu den Daten auf der Sicherheitsstufe autorisiert ist.
DE8787903156T 1986-05-16 1987-04-20 Anlage fuer einen tragbaren datentraeger mit mehreren anwendungsdatenbestaenden. Expired - Lifetime DE3780008T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US86397486A 1986-05-16 1986-05-16
PCT/US1987/000913 WO1987007063A1 (en) 1986-05-16 1987-04-20 Arrangement for a portable data carrier having multiple application files

Publications (2)

Publication Number Publication Date
DE3780008D1 DE3780008D1 (de) 1992-07-30
DE3780008T2 true DE3780008T2 (de) 1992-12-24

Family

ID=25342238

Family Applications (1)

Application Number Title Priority Date Filing Date
DE8787903156T Expired - Lifetime DE3780008T2 (de) 1986-05-16 1987-04-20 Anlage fuer einen tragbaren datentraeger mit mehreren anwendungsdatenbestaenden.

Country Status (7)

Country Link
EP (1) EP0270571B1 (de)
JP (1) JP2661930B2 (de)
KR (1) KR920008755B1 (de)
AT (1) ATE77707T1 (de)
CA (1) CA1287920C (de)
DE (1) DE3780008T2 (de)
WO (1) WO1987007063A1 (de)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU658111B3 (en) * 1992-11-05 1995-03-30 Coms21 Pty Ltd Secure access control system
RU2121162C1 (ru) * 1992-11-05 1998-10-27 Комс 21 Лимитед Система управления безопасным доступом
US5954583A (en) * 1992-11-05 1999-09-21 Com21 Limited Secure access control system
JPH08272924A (ja) * 1995-03-29 1996-10-18 Mitsubishi Electric Corp Icカード
DK0757336T3 (da) 1995-08-04 2001-03-19 Belle Gate Invest B V Data-Udvekslings-System omfattende bærbare databehandlingsenheder
US6397330B1 (en) * 1997-06-30 2002-05-28 Taher Elgamal Cryptographic policy filters and policy control method and apparatus
KR100382181B1 (ko) * 1997-12-22 2003-05-09 모토로라 인코포레이티드 단일 계좌 휴대용 무선 금융 메시지 유닛
US6148354A (en) 1999-04-05 2000-11-14 M-Systems Flash Disk Pioneers Ltd. Architecture for a universal serial bus-based PC flash disk
DE19937529A1 (de) 1999-08-09 2001-03-01 Giesecke & Devrient Gmbh Tragbarer Datenträger und Verfahren zur Nutzung in einer Mehrzahl von Anwendungen
WO2001015098A1 (en) * 1999-08-26 2001-03-01 Gamut Interactive Smart card database
DK1246042T3 (da) * 2000-02-21 2009-03-23 Trek 2000 Int Ltd Bærbar datalagringsanordning
SG152026A1 (en) * 2000-02-21 2009-05-29 Trek Technology Singapore Pte A portable data storage device
CZ296706B6 (cs) 2000-02-21 2006-05-17 Trek 2000 International Ltd Prenosné zarízení pro uchovávání dat
CN100347667C (zh) 2001-06-27 2007-11-07 索尼公司 集成电路器件、信息处理设备、信息存储器件的存储管理方法、移动终端设备、半导体集成电路器件、以及使用移动终端设备的通信方法
JP2005011151A (ja) 2003-06-20 2005-01-13 Renesas Technology Corp メモリカード
US20050167512A1 (en) * 2003-12-15 2005-08-04 Matsushita Electric Industrial Co., Ltd. Secure device and information processing apparatus
DE102005032542A1 (de) * 2005-07-12 2007-01-18 Giesecke & Devrient Gmbh Verwaltung von Applikationen in einem tragbaren Datenträger
KR100700484B1 (ko) * 2005-07-20 2007-03-28 주식회사 유비닉스 비휘발성 메모리용 데이터 기록 관리 시스템 및 그 방법
CN103888248B (zh) * 2012-12-24 2017-12-08 ***股份有限公司 智能卡的密钥管理方法、***及相应的智能卡

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2092353B (en) * 1981-01-30 1984-05-31 Halpern John Wolfgang Token
FR2539897B1 (fr) * 1983-01-20 1988-12-30 Cii Honeywell Bull Procede et dispositif pour habiliter le detenteur d'un objet portatif tel qu'une carte, a acceder par cette carte a au moins un service dispense par au moins un organisme habilitant
JPS60160491A (ja) * 1984-01-31 1985-08-22 Toshiba Corp Icカードとicカード発行装置
JPH0614326B2 (ja) * 1984-03-31 1994-02-23 株式会社東芝 Icカ−ド
DE3412663A1 (de) * 1984-04-04 1985-10-17 Siemens AG, 1000 Berlin und 8000 München Chipkartensystem
DE3585227D1 (de) * 1985-03-07 1992-02-27 Omron Tateisi Electronics Co Chipkartensystem.
US4742215A (en) * 1986-05-07 1988-05-03 Personal Computer Card Corporation IC card system

Also Published As

Publication number Publication date
KR880701423A (ko) 1988-07-27
CA1287920C (en) 1991-08-20
ATE77707T1 (de) 1992-07-15
WO1987007063A1 (en) 1987-11-19
EP0270571A1 (de) 1988-06-15
JPH01500378A (ja) 1989-02-09
KR920008755B1 (ko) 1992-10-09
JP2661930B2 (ja) 1997-10-08
DE3780008D1 (de) 1992-07-30
EP0270571B1 (de) 1992-06-24

Similar Documents

Publication Publication Date Title
DE3780571T2 (de) Sicherheitssystem fuer den datenbestand eines tragbaren datentraegers.
DE3780002T3 (de) System für einen tragbaren datenträger.
DE3780008T2 (de) Anlage fuer einen tragbaren datentraeger mit mehreren anwendungsdatenbestaenden.
DE602004009039T3 (de) Halbleiterspeicherkarte und programm zu ihrer steuerung
DE69730712T2 (de) Kommunikationssystem mit gesicherter, unabhängiger verwaltung mehrerer anwendungen pro gebraucherkarte, gebraucherkarte und verwaltungsverfahren dafür
DE69717475T2 (de) Mehrfachtickets auf chipkarten
DE60021465T2 (de) Sicherheitsverwaltungssystem, Datenverteilungsvorrichtung und tragbares Terminalgerät
DE3784824T3 (de) System zum Gewähren des Zugangs in Speicherfeldbereiche einer Chipkarte für mehrere Anwendungen.
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE69433897T2 (de) Zugangskontrolle für tragbare datenspeichermedien
DE69807210T2 (de) Gesichertes mehrzweckkartensystem und -verfahren
DE69826318T2 (de) Kartenaktivierung an der verteilungsstelle
DE68919483T2 (de) Chipkarten.
DE60119400T2 (de) Datenverarbeitungssystem, tragbare elektronische Vorrichtung, Zugangsvorrichtung zur tragbaren elektronischen Vorrichtung, und Verfahren zum Gebrauch von Speicherraum
DE69927643T2 (de) Informationsverarbeitung und Datenspeicherung
DE69821545T2 (de) Elektronische Geldkarte, Empfangs-/Auszahlungsmaschine für elektronisches Geld und Editiervorrichtung für eine elektronische Geldkarte
DE19718115A1 (de) Chipkarte und Verfahren zur Verwendung der Chipkarte
EP2272025B1 (de) System und verfahren zum bereitstellen von benutzermedien
DE69825410T2 (de) Verfahren zur Kompression von digitalen Zertifikaten zur Verwendung in einer Chipkarte
DE102012002619B3 (de) Universalkarte zur Vereinfachung des Gebrauchs einer Vielzahl von Karten
EP0970449B1 (de) Tragbarer datenträger und verfahren zu dessen kryptographisch gesicherten benutzung mit austauschbaren kryptographischen schlüsseln
DE19856362C2 (de) Datenaustauschsystem
DE10028821A1 (de) Chipkarte mit Lesekennungen
EP3215957A1 (de) Chipkarte, chipkartensystem und verfahren zum zugriff auf eine chipkarte
DE102005056274A1 (de) Verfahren zum Betrieb eines Chipkartensystems, Chipkarte und Chipkartensystem

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8328 Change in the person/name/address of the agent

Free format text: BLUMBACH, KRAMER & PARTNER, 65193 WIESBADEN

8339 Ceased/non-payment of the annual fee