DE3889017T2 - Datenkartenschaltungen. - Google Patents
Datenkartenschaltungen.Info
- Publication number
- DE3889017T2 DE3889017T2 DE3889017T DE3889017T DE3889017T2 DE 3889017 T2 DE3889017 T2 DE 3889017T2 DE 3889017 T DE3889017 T DE 3889017T DE 3889017 T DE3889017 T DE 3889017T DE 3889017 T2 DE3889017 T2 DE 3889017T2
- Authority
- DE
- Germany
- Prior art keywords
- switch
- data card
- irreversible
- input
- actuated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000012360 testing method Methods 0.000 claims description 31
- 230000002427 irreversible effect Effects 0.000 claims description 28
- 239000004065 semiconductor Substances 0.000 claims description 5
- 230000003213 activating effect Effects 0.000 claims description 4
- 230000035945 sensitivity Effects 0.000 claims description 2
- 238000009877 rendering Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000007664 blowing Methods 0.000 description 3
- 238000005070 sampling Methods 0.000 description 2
- 238000013479 data entry Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000000034 method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/073—Special arrangements for circuits, e.g. for protecting identification code in memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/073—Special arrangements for circuits, e.g. for protecting identification code in memory
- G06K19/07309—Means for preventing undesired reading or writing from or onto record carriers
- G06K19/07363—Means for preventing undesired reading or writing from or onto record carriers by preventing analysis of the circuit, e.g. dynamic or static power analysis or current analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/073—Special arrangements for circuits, e.g. for protecting identification code in memory
- G06K19/07309—Means for preventing undesired reading or writing from or onto record carriers
- G06K19/07372—Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3558—Preliminary personalisation for transfer to user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Business, Economics & Management (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
- Credit Cards Or The Like (AREA)
- Semiconductor Integrated Circuits (AREA)
Description
- Diese Erfindung betrifft Datenkarten des Typs, bei dem ein integrierter Schaltkreis auf einem Halbleiter-Chip in eine Plastikkarte eingebettet ist, deren Größe ungefähr der Größe der sehr oft verwendeten Kredit- oder Scheckkarten entspricht. Solche Karten können sogenannte "Smart-Cards sein, die einen Mikroprozessor enthalten und für billige Debetkarten als Ersatz für Münzen bei Anwendungen, wie z. B. öffentlichen Telefonen, verwendet werden können.
- Solche Karten müssen in der Lage sein, einen angemessenen Schutz gegen Mißbrauch und betrügerische Manipulation zu bieten. Wie zum Beispiel aus einem Artikel mit dem Titel "Intelligent Non-Volatile Memory for Smart Cards" von Robert DeFrancesco und Hartmuk Schrenk in IEEE Transactions on Consumer Electronics Vol. CE-32, Nr. 3, August 1986, Seiten 604-607, hervorgeht, ist das Speichern von Information als eine Ladung in einem nichtflüchtigen Speicher vorteilhaft, da es möglich ist, die Ladungen entweder mikroskopisch oder chemisch zu ermitteln oder sie während der Untersuchung ungültig zu machen.
- Die in solchen Karten verwendeten Halbleiter-Chips enthalten im allgemeinen einen nichtflüchtigen elektronischen Zähler, der durch einen binären Aufwärtszähler und ein elektrisch löschbares PROM (EEPROM) gebildet wird. Das EEPROM wird mit einem Zählerwert programmiert, der den Wert der übrig gebliebenen oder benutzten Dienste anzeigt, und kann, wenn erforderlich, auch eine persönliche Identifikationsnummer (PIN) enthalten. Wenn eine neue Karte erstmals ausgegeben wird, wird in das EEPROM auch ein Anfangszählerwert einprogrammiert. Es ist jedoch möglich, daß Karten gestohlen oder anderweitig betrügerich erlangt werden bevor sie initialisiert worden sind, was es dem Betrüger erlaubt, sie mit dem Anfangszählerwert zu programmieren.
- US-Patent Nr. 4,105,156 offenbart eine IC-Karte mit einem Speicher zum Speichern eines Schutzcodes, der die Karte nach der Herstellung und vor der Initialisierung schützt. Ein Benutzer gibt Daten in die Karte ein, indem er zuerst die Schutzcodenummer und dann die Daten eingibt. Wenn einmal die Dateneingabe vollendet ist, wird ein Gatter zerstört, so daß der Schutzcode im dem Speicher unzugänglich gespeichert ist, wodurch eine weitere Initialisierung der Karte verhindert wird.
- Deutsche Patentanmeldung Nr. DE-A-3523237 und Europäische Patentanmeldung Nr. EP-A-0212615 offenbaren IC-Karten, bei denen Zugang zu einem Speicherbereich erlaubt ist, wenn ein Transportcode, der in der Karte gespeichert ist, mit einem extern angelegten Code übereinstimmt.
- Es ist somit eine Aufgabe der vorliegenden Erfindung, ein erhöhtes Maß an Sicherheit gegen den Diebstahl nicht initialisierter Karten bereitzustellen und den für die Karte benötigten Speicherplatz zu verringern.
- Folglich stellt die Erfindung eine Datenkarte des Typs bereit, der einen integrierten Schaltkreis auf einem in einer Karte eingebetteten Halbleiter-Chip umfaßt, wobei der Schaltkreis einen nichtflüchtigen Speicher mit einem darin vorprogrammierten Transportcode, Steuerschaltungen zum Steuern des Schaltkreises, einen Vergleicher mit einem ersten Eingang, der mit einem Eingangsknoten des Schaltkreises verbunden ist, um einen extern angelegten Code zu empfangen, und einem zweiten Eingang, der mit dem Speicher verbunden ist, um den extern angelegten und den Transportcode zu vergleichen, und einen ersten irreversiblen Schalter enthält,
- wobei der erste irreversible Schalter mit einem Ausgang des Vergleichers verbunden ist, so daß der erste irreversible Schalter betätigt wird, wenn der extern angelegte und der Transportcode übereinstimmen;
- wobei die Datenkarte gekennzeichnet ist durch:
- eine erste Abtasteinrichtung, die zwischen die Steuerschaltung und den ersten Schalter geschaltet ist, um abzutasten, ob der erste Schalter betätigt worden ist, wodurch der Transportcode aus dem Speicher gelöscht und die Initialisierung des Speichers durch die Steuerschaltung freigegeben wird, wenn der erste Schalter betätigt worden ist,
- und
- eine Sperreinrichtung, die mit der Steuerschaltung verbunden ist, um zu verhindern, daß der Speicher gelesen oder programmiert wird, wenn der erste Schalter nicht betätigt worden ist.
- Die Initialisierung des Speichers, der bevorzugt einen elektrisch löschbaren programmierbaren Nurlesespeicher (EEPROM) umfaßt, kann das Einprogrammieren eines persönlichen Sicherheitscodes und eines Anfangszählerwert in den Speicher einschließen.
- Der irreversible Schalter umfaßt vorzugsweise eine Sicherung, die durch Anlegen eines Hochstromimpulses durchgeschmolzen wird.
- Es wird natürlich einzusehen sein, daß, obwohl eine solche Datenkarte einen verbesserten Sicherheitsgrad gegen den Diebstahl nicht initialisierter Karten besitzt, wenn solche Karten illegal erlangt werden, es möglich sein kann, zu versuchen, verschiedene extern angelegte Codes einzugeben, bis der Richtige gefunden wird. Obwohl dies, abhängend von der Länge des Codes, eine große Zahl von Versuchen mit sich bringen kann, wäre es wünschenswert, die Sicherheit der Karte noch weiter zu verbessern, um Versuche in großer Zahl zu verhindern.
- Folglich kann die Debetkarte weiter einen zweiten irreversiblen Schalter umfassen, vorzugsweise ebenfalls eine Sicherung, der mit einem Ausgang des Vergleichers verbunden ist, so daß der zweite irreversible Schalter betätigt wird, wenn der extern angelegte und der Transportcode nicht übereinstimmen.
- Die Debetkarte umfaßt vorzugsweise weiter eine zweite Abtasteinrichtung, die zwischen die Steuerschaltung und den zweiten Schalter geschaltet ist, um abzutasten, ob der zweite Schalter betätigt worden ist, sowie eine Abschalteinrichtung zum Abschalten des Schaltkreises, wenn der zweite Schalter betätigt worden ist.
- In einer bevorzugten Ausführung sind der erste und zweite Schalter parallel mit dem Ausgang des Vergleichers verbunden, so daß die Ausgabe eines Signals von dem Vergleicher veranlaßt, daß entweder der erste oder der zweite Schalter betätigt wird.
- Beide irreversiblen Schalter sind vorzugsweise Sicherungen mit einer gleichen Empfindlichkeit.
- Es ist klar, daß eine Datenkarte mit irreversiblen Schaltern zwischen verschiedenen Betriebsarten während der Herstellung durch Aktivieren der Schalter nicht getestet werden kann, um zu prüfen, ob der Schaltkreis in den verschiedenen Betriebsarten zufriedenstellend arbeitet, da dies die Aktivierung der Schalter beinhalten würde, die dann zerstört werden würden.
- Folglich kann die Debetkarte weiter eine Testeinrichtung umfassen, um den Zustand eines irreversiblen Schalters zu simulieren, wodurch der Schaltkreis getestet werden kann, ohne den irreversiblen Schalter zu aktivieren.
- In einer bevorzugten Ausführung wird die Testeinrichtung durch ein Testsignal freigegeben, um einen Test zu beginnen, und enthält einen dritten irreversiblen Schalter, vorzugsweise eine Sicherung, die bei Beendigung des Tests betätigt wird. Die Testeinrichtung kann eine Logikschaltung umfassen, die bevorzugt den Zustand des ersten und des zweiten irreversiblen Schalters simuliert.
- Die vorliegende Erfindung wird nun ausführlicher als Beispiel unter Bezugnahme auf die Zeichnungen beschrieben. Inhalt der Zeichnungen:
- Fig. 1 ist ein Blockschaltbild eines Teils eines integrierten Schaltkreises zur Verwendung in erfindungsgemäßen Debetkarten.
- Fig. 2 ist ein Ablaufplan zum Betrieb des Schaltkreises von Fig. 1 im Transportmodus.
- Fig. 3 ist ein Ablaufplan zum Betrieb des Schaltkreises von Fig. 1 im Benutzermodus.
- Fig. 4 ist eine Ausführung einer Schaltung zum Testen der Funktion des Schaltkreises von Fig. 1.
- Fig. 5 ist eine zweite Ausführung einer Schaltung zum Testen der Funktion des Schaltkreises von Fig. 1.
- Wie Fig. 1 zeigt, umfaßt ein integrierter Schaltkreis für eine Debetkarte einen nichtflüchtigen Zähler, ein Schieberegister 4 und einen Nurlesespeicher (ROM) 6 oder ein programmierbares ROM. Dieses ROM 6 wird für die Identifikation des Kartentyps gemäß den ISO-Normen verwendet. Der nichtflüchtige Zähler ist aus einem binären Aufwärtszähler 2 ohne Umgriff und aus entsprechenden elektrisch löschbaren PROM-Bits (EEPROM) 8 gebildet. Die Funktion des EEPROM und der übrigen Schaltung erfordert eine Programmsteuerschaltung 10. Die Steuerschaltung hat drei Versorgungseingänge - einen Programmierspannungseingang 12, einen Versorgungsspannungseingang 14 und einen Referenzspannungseingang 16. Er hat ferner drei Anschlüsse - einen Daten-Ein/Ausgabeport 18, einen Takteingang 20 und einen Rückstelleingang 22.
- Beim normalen Gebrauch durch einen Benutzer, nachstehend "Benutzermodus" genannt, folgt der Ablauf den im Ablaufdiagramm von Fig. 3 gezeigten Schritten. Wenn die Karte für eine Transaktion in ein Dienstleistungsgerät eingeführt wird, wird der Schaltkreis mit Strom versorgt und zurückgesetzt (40). Die in dem EEPROM 8 gespeicherten Daten werden an den Zähler 2 übertragen (42). Zu dieser Zeit werden auch die in dem ROM 6 gespeicherten Daten an das Schieberegister 4 übertragen, um zu prüfen, ob die Karte für die Transaktion gültig ist.
- Wenn diese Prüfung erfolgt ist, kann der Benutzer die Karte kontrollieren (44), um den Wert in dem Zähler 2 über das Schieberegister 4 zu lesen (46), um zu prüfen, ob der mit der Karte maximal verfügbare Kredit schon erreicht worden ist. Wenn noch Kredit vorhanden ist, kann der Benutzer eine Dienstleistung erlangen, wobei der Zähler 2 inkrementiert (48) wird und jedes zusätzliche Bit einem vorbestimmten Geldwert, z. B. einem Cent, entspricht. Nach dem Ende der Transaktion wird, bevor die Stromversorgung abgeschaltet und die Karte herausgezogen wird, der in dem Zähler 2 gespeicherte Wert in das nichtflüchtige EEPROM programmiert (50). Wenn die Karte das nächste Mal benutzt wird, wird der Zähler 2 mit diesem neuen Wert voreingestellt.
- Wie aus dem Obigen ersichtlich ist, muß, bevor eine Karte einem Benutzer übergeben werden kann, diese durch Programmieren des EEPROM mit dem Betrag des verfügbaren Kredits initialisiert werden.
- Um eine Sicherheit gegen unberechtigte Initialisierung gestohlener Karten in der Zeit zwischen der Herstellung und der berechtigten Initialisierung, d. h. während der Zeit der Lagerung und des Transports, nachstehend Transportmodus, zu bieten, wird in das EEPROM 8 ein Sicherheits- oder Transportcode einprogrammiert. Dieser Transportcode ist am Ausgangsanschluß 18 nicht lesbar und wird während der Initialisierungsphase gelöscht.
- Die Prozedur, der zum Starten der Initialisierungsphase zu folgen ist, ist in Fig. 2 der Karte im Transportmodus dargestellt. Nach Einschalten der Stromversorgung und Rückstellen des Schaltkreises (52) wird ein Code in den Schaltkreis eingegeben (54) und durch einen Vergleicher 24 mit dem Transportcode verglichen (56). Wenn die beiden Codes übereinstimmen, wird ein mit dem Ausgang des Vergleichers 24 verbundener irreversibler Schalter in Form einer Sicherung 26 durchgeschmolzen (58). Die Abtasteinrichtung 32 ermittelt, ob die Sicherung 26 durchgeschmolzen ist oder nicht und leitet das Ergebnis an die Steuerschaltung 10.
- Wenn ermittelt wird, daß die Sicherung 26 durchgeschmolzen worden ist, d. h. daß der richtige Code eingegeben worden ist, wird der Transportcode gelöscht und neue Daten zur Initialisierung der Karte werden eingegeben (60) und in das EEPROM 8 einprogrammiert (62). Die Karte ist nun im Benutzermodus und beim nächsten Anlegen der Stromversorgung wird der Funktionsablauf dem in Fig. 3 gezeigten folgen.
- Durch Verwendung der gleichen Speicherstellen sowohl für den Transportcode als auch später für den Zählerwert der Karte im Benutzermodus wird kein weiterer Speicherplatz für die Karten benötigt, während eine größere Sicherheit geboten wird. Diese Doppelnutzung erlaubt somit einen dichten Entwurf des Schaltkreises auf dem Halbleiterchip und verhindert auch die Entdeckung des Transportcodes, sobald eine Karte für die öffentliche Verwendung initialisiert worden ist, da er gelöscht und überschrieben wird.
- Es wird einleuchten, daß, wenn solche Karten, wie oben beschrieben, im Transportmodus gestohlen werden, durch Betrüger noch verschiedene Versuche unternommen werden könnten, um die Codes passend zu machen. Deshalb ist eine zweite Sicherung 28 vorgesehen, ebenfalls mit dem Ausgang des Vergleichers 24 verbunden, die durchgeschmolzen (64) wird, wenn der eingegebene Code und der Transportcode nicht übereinstimmen. In diesem Fall ermittelt die Abtasteinrichtung 34, daß die Sicherung 28 durchgeschmolzen worden ist, und weiteres Eingeben und Vergleichen von Codes mit dem gespeicherten Transportcode wird durch die Sperreinrichtung 30 blockiert, so daß sich die Karte in einem Sperrmodus befindet.
- Es ist wichtig, daß die Funktion des Chips im Transportmodus symmetrisch ist, ganz gleich welche der beiden Sicherungen durchgeschmolzen ist. Dies soll einem Betrüger zuvorkommen, der versucht, das Durchschmelzen der Sicherung 28 nach Eingeben eines falschen Codes zu vermeiden, indem er z. B. den an den Chip angelegten Strom oder die Spannung begrenzt, wenn die Sicherung 28 durchgeschmolzen sein sollte. Deshalb sind beide Sicherungen 26 und 28 identisch, benötigen den gleichen Stromwert zu ihrem Durchschmelzen und sind parallel mit dem Ausgang des Vergleichers und mit der gleichen Versorgungsspannung verbunden, so daß es unmöglich ist, auch bei Veränderungen in der Versorgungsspannung, einen der Sicherungsschaltungsausgänge zu ändern, ohne den anderen zu ändern. Aus den gleichen Gründen sind auch beide Abtasteinrichtungen 32 und 34 identisch.
- Außerdem darf die Karte nur vom Transportmodus in den Benutzermodus gehen, wenn die Sicherung 26 durchgeschmolzen und die Sicherung 28 nicht durchgeschmolzen ist (68). Wenn dies nicht der Fall ist, z. B. wenn beide Sicherungen irgendwie durchgeschmolzen sind, wird die Karte ebenfalls in den Sperrmodus gebracht. Die Karte ist somit im Transportmodus gegen unberechtigte Initialisierung gesichert, da nur ein Versuch beim Eingeben eines Codes erlaubt ist, um den Transportcode zu treffen.
- Mithin sind drei verschiedene Betriebsarten für die Karte vorgeschlagen worden - der Benutzermodus, der Transportmodus und der Sperrmodus. In jeder dieser Betriebsarten sind verschiedene Funktionen nicht verfügbar. Um die Karte während oder nach der Herstellung zu testen, muß es möglich sein, sicherzustellen, daß das Durchschmelzen der einzelnen Sicherung den Modus der Karte tatsächlich ändern und die mit dem einzelnen Modus verbundenen einzelnen Funktionen erlauben oder sperren wird. Sicher kann dies nicht durch tatsächliches Durchschmelzen der Sicherung getestet werden, da dies nicht umkehrbar ist. Deshalb ist ein weiterer, Testmodus genannter Modus vorgesehen, der von den anderen Modi durch eine weitere Sicherung, die bei Vollendung des Tests durchgeschmolzen wird, getrennt ist.
- Der Testmodus wird durch eine Logikschaltung bereitgestellt, die die anderen Modi durch Einklinken von Steuer- und Testsignalen simuliert und sie anstelle des wirklichen Zustands der Sicherungen benutzt.
- Fig. 4 zeigt eine Ausführung einer solchen Logikschaltung. In dieser Schaltung wird ein Testsignal an den Knoten 70, ein Daten- oder Steuersignal an Knoten 72 und ein Taktsignal an den Knoten 74 angelegt. Die Sicherungen 26 und 28 sind als zwischen VDD und Masse geschaltet dargestellt. Die Signale von den Sicherungen 26 und 28 sind über jeweilige Inverter 76 und 78 mit jeweiligen UND-Gattern 80 und 82 verbunden, deren andere Eingänge über einen Inverter 84 mit dem Testsignal von Knoten 70 verbunden sind. Das nicht invertierte Testsignal von Knoten 70 ist mit den ersten Eingängen der jeweiligen UND-Gatter 86 und 88 verbunden, deren andere Eingänge jeweils mit den Ausgängen der Flipflops 90 und 92 verbunden sind. Die Flipflops werden von den Ausgängen der UND-Gatter 94 und 96 gesetzt, die als Eingänge die Test- und Datensignale bzw. die Test- und Taktsignale haben, so daß ein Flipflop 90 den Zustand der Sicherung 26 und das andere Flipflop 92 den Zustand der Sicherung 28 simuliert.
- Indem die Ausgänge der UND-Gatter 80, 86 und 82, 88 jeweils den ODER- Gattern 100 und 102 zugeführt werden, hängt der Ausgang der ODER- Gatter nur von dem Zustand der Flipflops 90 und 92, wenn ein Testsignal vorhanden ist, oder nur von dem Zustand der Sicherungen 26 und 28 ab, wenn kein Testsignal vorhanden ist. Diese Ausgänge werden dann von den betreffenden Abtasteinrichtungen 32 und 34 abgetastet. Bei Ende des Tests wird eine zwischen den Knoten 70 und das UND-Gatter 94 geschaltete Sicherung (nicht gezeigt) durchgeschmolzen, so daß der Ausgang der ODER-Gatter 100 und 102 einzig vom Zustand der Sicherungen 26 und 28 abhängt.
- Eine andere Ausführung einer geeigneten Logikschaltung zeigt Fig. 5, wo die UND-Gatter 80 und 82 und die ODER-Gatter 100 und 102 für jede Sicherung durch ein einziges EXKLUSIV-ODER-Gatter 104 und 106 ersetzt sind. Alle anderen Teile dieser Schaltung sind die gleichen wie in Fig. 4 gezeigt, und die Ausgänge von den EXKLUSIV-ODER-Gattern 104 und 106 sind die gleichen wie von den ODER-Gattern 100 und 102.
- Es wird einleuchtend sein, daß, obwohl ein serielles Anlegen der Testdaten an die Flipflops dargestellt ist, abhängig von der Verfügbarkeit der Schaltungseingänge ein paralleles Anlegen ebenfalls möglich ist. Es wird ebenfalls einleuchten, daß, obwohl nur zwei Logikschaltungen zur Simulation des Zustands der Sicherungen dargestellt sind, verschiedene andere Ausführungen ebenfalls möglich sind.
Claims (12)
1. Datenkarte des Typs, der einen integrierten Schaltkreis auf einem
in einer Karte eingebetteten Halbleiter-Chip umfaßt, wobei der
Schaltkreis einen nichtflüchtigen Speicher (8) mit einem darin
vorprogrammierten Transportcode, eine Steuerschaltung (10) zum Steuern des
Schaltkreises, einen Vergleicher (24) mit einem ersten Eingang, der
mit einem Eingangsknoten des Schaltkreises verbunden ist, um einen
extern angelegten Code zu empfangen, und einem zweiten Eingang, der
mit dem Speicher (8) verbunden ist, um den extern angelegten und den
Transportcode zu vergleichen, und einen ersten irreversiblen Schalter
(26) enthält,
wobei der erste irreversible Schalter (26) mit einem Ausgang des
Vergleichers (24) verbunden ist, so daß der erste irreversible Schalter
(26) betätigt wird, wenn der extern angelegte und der Transportcode
übereinstimmen;
wobei die Datenkarte gekennzeichnet ist durch:
eine erste Abtasteinrichtung (32), die zwischen die Steuerschaltung
(10) und den ersten Schalter (26) geschaltet ist, um abzutasten, ob
der erste Schalter (26) betätigt worden ist, wodurch der Transportcode
aus dem Speicher (8) gelöscht und die Initialisierung des Speichers
(8) durch die Steuerschaltung (10) freigegeben wird, wenn der erste
Schalter (26) betätigt worden ist, und
eine Sperreinrichtung (30), die mit der Steuerschaltung (10) verbunden
ist, um zu verhindern, daß der Speicher (8) gelesen oder programmiert
wird, wenn der erste Schalter (26) nicht betätigt worden ist.
2. Datenkarte nach Anspruch 1, weiter umfassend einen zweiten
irreversiblen Schalter (28), der mit einem Ausgang des Vergleichers (24)
verbunden ist, so daß der zweite irreversible Schalter (28) betätigt
wird, wenn der extern angelegte und der Transportcode nicht
übereinstimmen.
3. Datenkarte nach Anspruch 2, weiter umfassend eine zweite
Abtasteinrichtung (34), die zwischen die Steuerschaltung (10) und den
zweiten Schalter (28) geschaltet ist, um abzutasten, ob der zweite
Schalter betätigt worden ist, und eine Abschalteinrichtung, die mit der
Steuerschaltung verbunden ist, um den Schaltkreis unbrauchbar zu
machen, wenn der zweite Schalter betätigt worden ist.
4. Datenkarte nach Anspruch 2 oder 3, bei der der erste (26) und der
zweite (28) Schalter parallel mit dem Ausgang des Vergleichers
verbunden sind, so daß die Ausgabe eines Signals von dem Vergleicher
veranlaßt, daß entweder der erste oder der zweite Schalter betätigt wird.
5. Datenkarte nach einem der vorangehenden Ansprüche, bei der der
erste irreversible Schalter (26) eine Sicherung ist.
6. Datenkarte nach einem der Ansprüche 2 bis 5, bei der der zweite
irreversible Schalter (28) eine Sicherung ist.
7. Datenkarte nach Anspruch 6, bei der der erste und der zweite
irreversible Schalter Sicherungen mit der gleichen Empfindlichkeit
sind, so daß der gleiche Strom erforderlich ist, um jede Sicherung
durchzuschmelzen.
8. Datenkarte nach einem der vorangehenden Ansprüche, weiter
umfassend eine Testeinrichtung, um den Zustand des irreversiblen Schalters
zu simulieren, wodurch der Schaltkreis getestet werden kann, ohne den
irreversiblen Schalter zu aktivieren.
9. Datenkarte nach Anspruch 8, bei der die Testeinrichtung ein
Flipflop (90), dessen Ausgang mit einem ersten Eingang eines UND-Gatters
(86) verbunden ist, wobei ein zweiter Eingang des UND-Gatters
geschaltet ist, um ein Testsignal (TEST) zu empfangen, und ein EXKLUSIV-ODER-
Gatter (104) umfaßt, dessen erster Eingang mit dem Ausgang des UND-
Gatters (86) und dessen zweiter Eingang mit dem irreversiblen
Schalter (26) verbunden ist.
10. Datenkarte nach Anspruch 8, bei der die Testeinrichtung ein
Flipflop (90), dessen Ausgang mit einem ersten Eingang eines ersten UND-
Gatters (86) verbunden ist, wobei ein zweiter Eingang des ersten UND-
Gatters (86) geschaltet ist, um ein Testsignal (TEST) zu empfangen,
ein zweites UND-Gatter (80), dessen erster Eingang mit dem
irreversiblen Schalter (26) verbunden ist, und dessen zweiter Eingang das
Testsignal über einen Inverter (84) empfängt, und ein ODER-Gatter
(100) umfaßt, das geschaltet ist, um an seinen Eingängen die
Ausgänge der zwei UND-Gatter zu empfangen.
11. Datenkarte nach einem der Ansprüche 9 bis 10, umfassend eine
erste und zweite Testeinrichtung, um den Zustand des ersten bzw.
zweiten irreversiblen Schalters zu simulieren.
12. Datenkarte nach einem der Ansprüche 8 bis 11, bei der die
Testeinrichtung einen dritten irreversiblen Schalter enthält, der bei
Abschluß des Tests betätigt wird.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB8715268A GB2206431B (en) | 1987-06-30 | 1987-06-30 | Data card circuits |
Publications (2)
Publication Number | Publication Date |
---|---|
DE3889017D1 DE3889017D1 (de) | 1994-05-19 |
DE3889017T2 true DE3889017T2 (de) | 1994-10-20 |
Family
ID=10619782
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE3889017T Expired - Lifetime DE3889017T2 (de) | 1987-06-30 | 1988-03-07 | Datenkartenschaltungen. |
Country Status (5)
Country | Link |
---|---|
US (1) | US4841133A (de) |
EP (1) | EP0297209B1 (de) |
DE (1) | DE3889017T2 (de) |
GB (1) | GB2206431B (de) |
HK (1) | HK4994A (de) |
Families Citing this family (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2626095B1 (fr) * | 1988-01-20 | 1991-08-30 | Sgs Thomson Microelectronics | Systeme de securite pour proteger des zones de programmation d'une carte a puce |
JPH04501026A (ja) * | 1988-04-22 | 1992-02-20 | マジェラン コーポレーション(オーストラリア)プロプライエタリー リミテッド | トークン及び支払装置 |
FR2633420B1 (fr) * | 1988-06-28 | 1992-02-21 | Schlumberger Ind Sa | Support d'informations et systeme de gestion de tels supports |
JPH02202642A (ja) * | 1989-02-01 | 1990-08-10 | Toshiba Corp | プログラム動作監視装置 |
GB8923155D0 (en) * | 1989-10-13 | 1989-11-29 | Emi Plc Thorn | Improvements in or relating to financial transaction cards |
US5029207A (en) * | 1990-02-01 | 1991-07-02 | Scientific-Atlanta, Inc. | External security module for a television signal decoder |
US5237610A (en) * | 1990-02-01 | 1993-08-17 | Scientific-Atlanta, Inc. | Independent external security module for a digitally upgradeable television signal decoder |
FR2661533A1 (fr) * | 1990-04-27 | 1991-10-31 | Matra Communication | Procede de condamnation d'un organe electronique a memoire et carte electronique comportant un organe electronique condamne. |
US6958706B2 (en) * | 1990-07-27 | 2005-10-25 | Hill-Rom Services, Inc. | Patient care and communication system |
US5822544A (en) * | 1990-07-27 | 1998-10-13 | Executone Information Systems, Inc. | Patient care and communication system |
US5291399A (en) * | 1990-07-27 | 1994-03-01 | Executone Information Systems, Inc. | Method and apparatus for accessing a portable personal database as for a hospital environment |
US5374818A (en) * | 1992-03-09 | 1994-12-20 | Control Module Inc. | Identification means with integral memory device |
FR2695235B1 (fr) * | 1992-08-31 | 1994-10-21 | Solaic Sa | Procédé de fabrication d'une carte intelligente comportant un micro-circuit à mémoire inscriptible. |
JPH06236316A (ja) * | 1992-12-18 | 1994-08-23 | Toshiba Corp | 情報伝送システム |
DE4243888A1 (de) † | 1992-12-23 | 1994-06-30 | Gao Ges Automation Org | Datenträger und Verfahren zur Echtheitsprüfung eines Datenträgers |
US5638530A (en) * | 1993-04-20 | 1997-06-10 | Texas Instruments Incorporated | Direct memory access scheme using memory with an integrated processor having communication with external devices |
US5650761A (en) * | 1993-10-06 | 1997-07-22 | Gomm; R. Greg | Cash alternative transaction system |
US5753899A (en) * | 1993-10-06 | 1998-05-19 | Gomm; R. Greg | Cash alternative transaction system |
IL107967A (en) * | 1993-12-09 | 1996-12-05 | News Datacom Research Ltd | Apparatus and method for securing communication systems |
FR2716280B1 (fr) * | 1994-02-11 | 1996-04-12 | Solaic Sa | Procédé de protection des composants de cartes à mémoire contre des utilisations frauduleuses. |
US5768605A (en) * | 1994-03-16 | 1998-06-16 | Itel Corporation | Method and apparatus for power management of a PCMCIA card |
GB2288048A (en) * | 1994-03-29 | 1995-10-04 | Winbond Electronics Corp | Intergrated circuit |
MY125706A (en) | 1994-08-19 | 2006-08-30 | Thomson Consumer Electronics | High speed signal processing smart card |
DE69526300T2 (de) * | 1994-09-30 | 2003-01-23 | Microchip Tech Inc | Schaltkreis und seine Wirkungsweise |
FR2731536B1 (fr) * | 1995-03-10 | 1997-04-18 | Schlumberger Ind Sa | Procede d'inscription securisee d'informations dans un support portable |
US6035037A (en) * | 1995-08-04 | 2000-03-07 | Thomson Electronic Consumers, Inc. | System for processing a video signal via series-connected high speed signal processing smart cards |
US5852290A (en) * | 1995-08-04 | 1998-12-22 | Thomson Consumer Electronics, Inc. | Smart-card based access control system with improved security |
GB2307783B (en) * | 1995-09-30 | 2000-04-05 | Motorola Ltd | Enhanced security semiconductor device, semiconductor circuit arrangement, and method of production thereof |
DE19622063A1 (de) * | 1996-05-31 | 1997-05-22 | Siemens Ag | Vorrichtung zum Schützen eines Chips vor unberechtigtem Zugriff |
DE19634135C2 (de) * | 1996-08-23 | 1998-07-02 | Siemens Ag | Halbleiterschaltung, insbesondere zur Verwendung in einem integrierten Baustein |
FR2767624B1 (fr) * | 1997-08-21 | 2002-05-10 | Activcard | Dispositif portable electronique pour systeme de communication securisee, et procede d'initialisation de ses parametres |
US6651172B1 (en) * | 1999-05-28 | 2003-11-18 | Advanced Micro Devices, Inc. | Multi-phase EEPROM reading for network interface initialization |
GB9921324D0 (en) | 1999-09-09 | 1999-11-10 | Ncr Int Inc | Electronic mailbox for receiving a package containing an electronic postage stamp |
FI116172B (fi) * | 2000-11-28 | 2005-09-30 | Setec Oy | Ohjelmien asennus mikropiirille |
KR100378198B1 (ko) * | 2001-05-08 | 2003-03-29 | 삼성전자주식회사 | 반도체 장치의 모드 제어 회로 및 이를 구비하는 반도체메모리 장치 |
DE10162308A1 (de) * | 2001-12-19 | 2003-07-03 | Philips Intellectual Property | Verfahren und Anordnung zur Zugriffssteuerung auf EEPROMs sowie ein entsprechendes Computerprogrammprodukt und eine entsprechendes computerlesbares Speichermedium |
DE10224767A1 (de) * | 2002-06-04 | 2003-12-18 | Scm Microsystems Gmbh | Personalisiertes digitales Datenverarbeitungssystem |
JP2004302845A (ja) * | 2003-03-31 | 2004-10-28 | Canon Inc | 不正アクセス防止方法 |
DE10338032B4 (de) * | 2003-08-19 | 2009-12-17 | Infineon Technologies Ag | Prozessor mit elektronischen Sicherungen zum Speichern von Geheimdaten |
US7274283B2 (en) * | 2004-04-29 | 2007-09-25 | International Business Machines Corporation | Method and apparatus for resisting hardware hacking through internal register interface |
US7442583B2 (en) * | 2004-12-17 | 2008-10-28 | International Business Machines Corporation | Using electrically programmable fuses to hide architecture, prevent reverse engineering, and make a device inoperable |
FR2895608B1 (fr) * | 2005-12-23 | 2008-03-21 | Trusted Logic Sa | Procede pour la realisation d'un compteur securise sur un systeme informatique embarque disposant d'une carte a puce |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3641499A (en) * | 1969-12-22 | 1972-02-08 | William A Housman | Card and verification system having card voiding element |
US4105156A (en) * | 1976-09-06 | 1978-08-08 | Dethloff Juergen | Identification system safeguarded against misuse |
DE3523237A1 (de) * | 1985-06-28 | 1987-01-02 | Siemens Ag | Anordnung zum sichern des transports von chipkarten |
JPH0632102B2 (ja) * | 1985-08-22 | 1994-04-27 | カシオ計算機株式会社 | Icカ−ドの照合方式 |
-
1987
- 1987-06-30 GB GB8715268A patent/GB2206431B/en not_active Expired
-
1988
- 1988-03-07 DE DE3889017T patent/DE3889017T2/de not_active Expired - Lifetime
- 1988-03-07 EP EP88103491A patent/EP0297209B1/de not_active Expired - Lifetime
- 1988-03-30 US US07/175,390 patent/US4841133A/en not_active Expired - Lifetime
-
1994
- 1994-01-20 HK HK49/94A patent/HK4994A/xx not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
DE3889017D1 (de) | 1994-05-19 |
GB8715268D0 (en) | 1987-08-05 |
HK4994A (en) | 1994-01-28 |
EP0297209A2 (de) | 1989-01-04 |
GB2206431A (en) | 1989-01-05 |
US4841133A (en) | 1989-06-20 |
EP0297209B1 (de) | 1994-04-13 |
GB2206431B (en) | 1991-05-29 |
EP0297209A3 (en) | 1990-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE3889017T2 (de) | Datenkartenschaltungen. | |
DE3876009T2 (de) | Chipkarten. | |
DE3041109C2 (de) | ||
DE2621269C2 (de) | Datenaustauschsystem mit wenigstens einer Datenträgeranordnung | |
DE2760486C2 (de) | ||
DE2738113C2 (de) | Vorrichtung zur Durchführung von Bearbeitungsvorgängen mit einem Identifikanden | |
DE69500346T2 (de) | Verbesserte Speicherselbstprüfung | |
DE69100003T2 (de) | Sicherheitsverriegelung fuer integrierten schaltkreis. | |
DE60122853T2 (de) | Verfahren und Vorrichtung zum Speichern von Daten in einem integrierten Schaltkreis | |
DE2621271C2 (de) | Tragbarer Datenträger | |
EP0207320B1 (de) | Integrierte Schaltung und Verfahren zum Sichern von geheimen Codedaten | |
EP0676073B2 (de) | System zur echtheitsprüfung eines datenträgers | |
DE2837201A1 (de) | Transportierbarer informationstraeger mit einem mikroprozessor und einem programmierbaren totspeicher | |
DE10324875A1 (de) | Störimpuls-Detektionsschaltung, intelligente Karte und Störimpulsangriff-Schutzverfahren | |
DE3523237A1 (de) | Anordnung zum sichern des transports von chipkarten | |
DE102005056940B4 (de) | Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes | |
GB1582989A (en) | Security systems | |
DE102004014644A1 (de) | Integrierter Schaltkreis | |
WO1995034054A1 (de) | Verfahren zur echtheitsprüfung eines datenträgers | |
DE69835282T2 (de) | Schaltungsanordnung zur Spannungsüberwachung und Speicherkarte mit einer solchen Schaltung | |
DE69628180T2 (de) | Beglaubigungsverfahren für einen verdrahteten mikroschaltkreis | |
DE19615394C2 (de) | Speicherkarte | |
US5264742A (en) | Security locks for integrated circuit | |
DE19548903C2 (de) | Verfahren zur Durchführung eines Geheimcodevergleiches bei einem mikroprozessorgestützten tragbaren Datenträger | |
DE10360998B4 (de) | Schutz von Chips gegen Attacken |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: FREESCALE SEMICONDUCTOR, INC. (N.D.GES.D. STAATES |