DE69316516T2 - Gesichertes Chipkartensystem mit wiederverwendbarer Prototypkarte - Google Patents

Gesichertes Chipkartensystem mit wiederverwendbarer Prototypkarte

Info

Publication number
DE69316516T2
DE69316516T2 DE69316516T DE69316516T DE69316516T2 DE 69316516 T2 DE69316516 T2 DE 69316516T2 DE 69316516 T DE69316516 T DE 69316516T DE 69316516 T DE69316516 T DE 69316516T DE 69316516 T2 DE69316516 T2 DE 69316516T2
Authority
DE
Germany
Prior art keywords
card
prototype
password
commands
issuer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69316516T
Other languages
English (en)
Other versions
DE69316516D1 (de
Inventor
Shiro Atsumi
Toshinari Kondo
Yoshihiro Shona
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Publication of DE69316516D1 publication Critical patent/DE69316516D1/de
Application granted granted Critical
Publication of DE69316516T2 publication Critical patent/DE69316516T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/229Hierarchy of users of accounts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Description

  • Die vorliegende Erfindung betrifft ein IC-Karten-System wie beispielsweise ein Bankkarten-System, und insbesondere ein IC-Karten-System, das sicher ist, und das dennoch entwickelt werden kann, ohne eine große Anzahl von Karten zu verbrauchen.
  • Brieftaschengroße Karten, die ähnlich aussehen wie herkömmliche Kreditkarten, in die jedoch integrierte Schaltungen (ICs) eingebettet sind, werden von Institutionen wie z.B. Banken als bequeme Einrichtung zur Verwaltung finanzieller und anderer Daten herausgegeben. Diese Karten, die allgemein als "Smart Cards" bekannt sind, werden hier im nachfolgenden als IC-Karten bezeichnet. Ein IC-Karten-System umfaßt nicht nur die IC-Karten selbst, sondern auch verschiedene Software. Die Software weist beispielsweise eine Ausstellungs Programm, das bei der Ausstellung der Karten für den Endbenutzer verwendet wird, sowie Anwendungsprogramme auf, die zur Verarbeitung der Karten verwendet werden, wenn diese in Karten-Verarbeitungsvorrichtungen wie z.B. einen Geldautomaten eingeführt werden.
  • Ein Merkmal von IC-Karten-Systemen besteht darin, daß sie äußerst sicher gemacht werden können, indem die Karten mit Paßwörtern geschützt werden, und indem bestimmte Daten auf den Karten vor Veränderung geschützt werden, und zwar auch vor Veränderung durch eine Person, die das Paßwort kennt. Typischerweise werden die Karten von einer Institution (dem Karten- Hersteller) hergestellt und dann von einer anderen Institution (dem Karten- Aussteller) auf den Endbenutzer aussteht. Bei einem herkömmlichen System programmiert der Karten-Hersteller die Karten mit einem Hersteller-Paßwort, das nur dem Karten-Hersteller und dem Karten-Aussteller bekannt ist. Wenn der Karten-Aussteller vom Karten-Hersteller eine Karte empfängt, ändert er das Paßwort in ein Aussteller-Paßwort, das nur der Karten-Aussteller kennt, speichert bestimmte Aussteller-Daten und Anwendungsdaten auf der Karte und setzt Schutzbits, die dauerhaft verhindern, daß einige dieser Daten geändert werden. Wenn der Karten-Aussteller die Karte auf einen Endbenutzer ausstellt, speichert er weitere informationen auf der Karte, z.B. den Namen, die Adresse und die persönliche Kennziffer des Benutzers. Einige dieser Informationen können ebenfalls dauerhaft vor Änderungen geschützt werden.
  • Ein Endbenutzer kann die Daten auf seiner Karte nicht manipulieren, weil er das Aussteller-Paßwort nicht kennt. Wenn die Karte von einem Dritten gestohlen wird, kann diese Person die Daten aus demselben Grund nicht manipulieren. Wenn dieser Dritte eine Karte vom Karten-Hersteller stiehlt, kann er sie trotzdem nicht manipulieren, da er das Hersteller-Paßwort nicht kennt. Der Karten-Hersteller selbst ist nicht mehr in der Lage, eine Karte zu manipulieren, sobald der Karten-Aussteller das Paßwort geändert hat. Auch wenn jemand, der das Paßwort des Ausstellers kennen und dieses benutzen würde, um nicht autorisierten Zugriff auf eine bereits ausgestellte Karte zu erhalten, wäre er darüber hinaus aufgrund des dauerhaften Schutzes der Daten auf der Karte nicht in der Lage, die Karte nochmals auf sich selbst ausstellen zu lassen. Auf diese Weise kann die IC-Karte praktisch gegen alle Arten von Manipulationen gesichert werden, egal, ob es sich um einen Endbenutzer, einen Dritten, den Karten- Hersteller oder einen Angestellten der die Karte herausgebenden Institution handelt.
  • Ein Nachteil dieser Sicherheitsvorkehrungen besteht jedoch darin, daß der Karten-Aussteller gezwungen ist, bei dem Prozeß, seine Software zu entwickeln und ihre Fehler zu beseitigen, eine große Anzahl von Karten zu verbrauchen. Dies trifft insbesondere dann zu, wenn, was häufig der Fall ist, die Software durch das Verfahren der empirischen Lösung (trial and error) entwickelt wird. Man nehme z.B. einen einen Karten-Aussteller, der ein Ausstellungs- Programm entwickelt. Er stellt eine erste Version des Programms fertig und testet sie durch die Ausstellung einer ersten Karte an einen imaginären Endbenutzer. Die Karte wird dann getestet, indem geprüft wird, ob sie die korrekten Daten enthält und mit der Anwendungssoftware korrekt funktioniert. Wenn irgendwelche Mängel entdeckt werden, wird das Ausstellungs-Programm modifiziert, und das modifizierte Programm wird durch die Ausstellung einer zweiten Karte getestet. Selbst dann, wenn keine Probleme festgestellt werden, werden zusätzliche Karten ausgestellt, um das Programm unter unterschiedlichen Ausstellungs-Szenarien zu testen.
  • Dieser Vorgang wird solange wiederholt, bis das Ausstellungs- Programm vollständig entwickelt, getestet und von Fehlern befreit worden ist. Für jeden Test wird eine neue Karte benötigt, weil der dauerhafte Datenschutz, der bei der Ausstellung jeder Karte zur Anwendung gebracht wird, verhindert, daß die Karte für einen anderen Test nochmals verwendet wird. Somit wird bei jedem Test eine Karte verbraucht. Da der Programmentwicklungsprozeß typischerweise viele Tests beinhaltet, müssen auf diese Weise viele Karten geopfert werden.
  • Eine Aufgabe der vorliegenden Erfindung besteht daher darin, zu ermöglichen, daß IC-Karten-System-Software entwickelt und getestet werden kann, ohne dabei IC-Karten zu verbrauchen.
  • Eine weitere Aufgabe der vorliegenden Erfindung besteht darin, bestehende Sicherheitsn iveaus zu gewährleisten.
  • Gemäß einem ersten Aspekt der vorliegenden Erfindung wird ein Satz IC-Karten geschaffen, der folgendes umfaßt:
  • eine Prototyp-IC-Karte, die folgendes speichert: ein Hersteller-Paßwort, einen Standardsatz von von Befehlen, um ein Aussteller-Paßwort zu schreiben und das Hersteller-Paßwort zu löschen, und um Anwendungsdaten auf die Prototyp-IC- Karte zu schreiben, sowie einen Initialisierungsbefehl, um das Aussteller-Paßwort und die Anwendungsdaten zu löschen; und
  • zumindest eine Herstellungs-IC-Karte, die folgendes speichert: ein Hersteller-Paßwort, einen Standardsatz von Befehlen, um ein Aussteller-Paßwort zu schreiben und das Hersteller-Paßwort zu löschen, und um Anwendungsdaten auf die Herstellungs-IC-Karte zu schreiben, eine Versionsnummer, um die Herstellungs-IC-Karte von der Prototyp-IC-Karte zu unterscheiden, und einen Versions-Lesebefehl, um die Versionsnummer zu lesen;
  • wobei der auf der Herstellungs-IC-Karte gespeicherte Standardsatz von Befehlen im wesentlichen identisch ist; und wobei der Initialisierungsbefehl nicht auf der Herstellungs-IC-Karte gespeichert ist.
  • Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird ein IC Karten-Satz geschaffen, der folgendes umfaßt:
  • eine Prototyp-IC-Karte, die programmiert ist, einen Standardsatz von Befehlen zum Lesen und Schreiben von Daten auf der bzw. auf die Prototyp-IC- Karte sowie einen Initialisierungsbefehl zum Initialisieren der Daten auszuführen; und
  • zumindest eine Herstellungs-IC-Karte, die programmiert ist, den Standardsatz von Befehlen auszuführen, die Daten auf der Prototyp-IC-Karte zu lesen und auf sie zu schreiben, und die programmiert ist, einen Versions- Lesebefehl auszuführen, der eine Versionsnummer liest, welche die Herstellungs- IC-Karte von der Prototyp-IC-Karte unterscheidet, die jedoch nicht programmiert ist, den Initialisierungsbefehl auszuführen;
  • wobei die Ausführung des Initialisierungsbefehls und zumindest einiger Befehle des Standardsatzes von Befehlen zunächst in Abhängigkeit von der Eingabe eines korrekten Aussteller-Paßwortes erfolgt; und wobei der Initialisierungsbefehl das Paßwort auf einen voreingestellten Wert initialisiert.
  • Anhand eines Beispiels wird nun eine Ausführungsform der vorliegenden Erfindung unter Bezugnahme auf die Zeichnung beschrieben, in der: Figur 1 ein Blockdiagramm einer integrierten Schaltung in einer IC-Karte ist;
  • Figur 2 Prototyp- und Herstellungskarten in verschiedenen Stadien der Programmierung zeigt;
  • Figur 3 ein Flußdiagramm ist, das die Verwendung einer Prototypkarte zur Entwicklung eines Karten-Ausstellungsprogramms eläutert;
  • Figur 4 ein Flußdiagramm ist, das die Ausgabe von Herstellungskarten erläutert; und
  • Figur 5 ein Flußdiagramm ist, das die Benutzung der Herstellungskarten durch Endbenutzer erläutert.
  • Figur 1 ist ein Blockdiagramm einer integrierten Schaltung, die bei dem erfindungsgemäßen IC-Karten-System verwendet werden kann. Die Schaltung umfaßt eine Zentraleinheit (CPU) 1, ein Interface 2, einen maskenprogrammierbaren Festwertspeicher (Masken-ROM) 3, einen nichtflüchtigen Datenspeicher 4 und einen flüchtigen Direktzugriffsspeicher (RAM) 5. Das interface 2 ermöglicht es der CPU 1, mit einer externen Karten- Verarbeitungsvorrichtung wie beispielsweise einem Geldautomaten zu kommunizieren. Der Datenspeicher 4 umfaßt beispielsweise einen sogenannten Überlagerungs bzw. Flash-Speicher oder einen elektrisch löschbaren programmierbaren Festwertspeicher (EEPROM). Das RAM 5 wird während der Programmausführung als Arbeitsbereich verwendet. Die Schaltungsblöcke in Figur 1 sind dem Fachmann wohlbekannt, so daß auf eine detaillierte Beschreibung verzichtet wird.
  • IC-Karten, die die integrierte Schaltung gemäß Figur 1 enthalten, werden vom Karten-Hersteller an den Karten-Aussteller geliefert, der sie dann auf Endbenutzer aussteht. Der Karten-Hersteller kann die integrierte Schaltung selbst herstellen oder sie von einem IC-Hersteller erhalten. In beiden Fällen programmiert der Karten-Hersteller den Masken-ROM 3, beispielsweise indem er dem IC- Hersteller die Masken-Daten zur Verfügung stellt. Sobald die IC-Karte hergestellt ist, ist es physikalisch unmöglich, den Inhalt der des Masken-ROM 3 zu ändern. Der Inhalt des Datenspeichers 4 kann jedoch im Gegensatz dazu geändert werden. Der Datenspeicher 4 wird sowohl vom Karten-Hersteller als auch vom Karten-Aussteller programmiert.
  • Figur 2 zeigt zwei Typen von IC-Karten in verschiedenen Programmierungsstadien, wobei die Inhalte ihres maskenprogrammierbaren ROM 3 und des Datenspeichers 4 angegeben werden. Einer dieser Typen, der in Figur 2 oben dargestellt ist, ist eine vom Karten-Aussteller während der Programmentwicklung verwendete Prototypkarte. Der andere Typ, der in Figur 2 unten dargestellt ist, ist eine Herstellungskarte, die an Endbenutzer ausgegeben wird.
  • Wenn der Karten-Hersteller 6 eine Prototypkarte herstellt, ist dies anfangs eine leere Prototypkarte 7. "Leer" bedeutet, daß sich der Datenspeicher 4 in einem Anfangszustand befindet und beispielsweise nur aus Einsen bestehende Daten oder nur aus Nullen bestehende Daten enthält. Das Masken-ROM 3 einer leeren Prototypkarte 7 enthält Programme, die einen Standardsatz 8 von Befehlen ausführen, der Lese-, Schreib-, Schutz- sowie andere Befehle umfaßt. Die in den Masken-ROM 3 programmierten Lese- und Schreibbefehle können verwendet werden, um im Datenspeicher 4 Daten zu lesen und zu schreiben. Der Schutzbefehl kann verwendet werden, um im Datenspeicher 4 spezifizierte Daten vor weiterer Änderung durch den Schreibbefehl zu schützen. Das Masken-ROM 3 enthält darüber hinaus ein Initialisierungsbefehl-Programm 9, das den mittels des Schutzbefehls gesetzten Schutz aufhebt und den Anfangszustand des Datenspeichers 4 wiederherstellt, wobei alle mittels des Schreibbefehls geschriebenen Daten gelöscht werden.
  • Die Details der Programmierung der oben genannten Befehle sind dem Fachmann bekannt. Der Schutzbefehl beispielsweise kann programmiert werden, um spezifizierte Bereiche des Datenspeichers 4 mit Schreibschutz zu versehen, indem im Datenspeicher 4 entsprechende Schutzbits gesetzt werden. Der Schreibbefehl kann eine Prüfroutine umfassen, die den Schreibbefehl daran hindert, (1) irgendwelche Schutzbits zu setzen oder zu löschen; und (2) in einen schreibgeschützten Bereich zu schreiben, d.h. in einen Bereich, dessen Schutzbit gesetzt wurde. Der Initialisierungsbefehl 9 kann den gesamten Datenspeicher 4 löschen, wodurch auch die Schutzbits gelöscht werden.
  • Die Schreib-, Schutz- und Initialisierungsbefehle (sowie möglicherweise weitere Befehle) sind so programmiert, daß sie nur ausgeführt werden können, indem zuerst ein Paßwort eingegeben wird. Wenn das Paßwort eingegeben ist, wird es beispielsweise im RAM 5 gespeichert und durch den Vergleich mit einem im Datenspeicher 4 gespeicherten Paßwort-Wert überprüft. Dieser Paßwortschutz kann aus dem Schreibbefehl - und möglicherweise auch aus anderen Befehlen -entfernt werden, wenn die Karte ausgestellt wird. Auf der leeren Prototypkarte 7 ist der im Datenspeicher 4 gespeicherte Paßwort-Wert ein aus lauter Einsen oder Nullen bestehender Anfangswert.
  • Nach der Herstellung der leeren Prototypkarte 7 geht der Karten- Hersteller 6 dazu über, die Karte durch Änderung des Paßwortes zu schützen, wodurch die leere Prototypkarte 7 in eine geschützte Prototypkarte 10 umgewandelt wird. insbesondere gibt der Karten-Hersteller 6 das (aus lauter Einsen oder Nullen bestehende) Anfangspaßwort ein, wodurch er das Recht erwirbt, den Schreibbefehl auszuführen, und verwendet anschließend den Schreibbefehl, um ein Hersteller-Paßwort 11 in den Datenspeicher 4 zu schreiben. Das Hersteller-Paßwort 11 ist sowohl dem Karten-Hersteller 6 als auch dem Karten-Aussteller 12 bekannt, wird jedoch vor Dritten geheimgehalten.
  • Wenn der Karten-Aussteller 12 die geschützte Prototypkarte 10 vom Karten-Hersteller 6 erhält, verwendet er sein Ausstellungs-Programm, um Daten in den Datenspeicher 4 zu schreiben, wodurch er die Karte in eine ausgestellte Prototypkarte 13 umwandelt. Insbesondere gibt das Ausstellungs-Programm das Hersteller-Paßwort 11 ein, wodurch das Recht erworben wird, den Schreibbefehl auszuführen. Als nächstes verwendet das Ausstellungs-Programm den Schreibbefehl, um das Hersteller-Paßwort 11 in ein Aussteller-Paßwort 14 zu ändern, das nur dem Aussteller bekannt ist. Anschließend schreibt das Ausstellungs-Programm Aussteller-Daten 15 und Anwendungsdaten 16 in den Datenspeicher 4 und verwendet den Schutzbefehl, um das Paßwort 14 und geeignete Teile der Aussteller-Daten 15 sowie der Anwendungsdaten 16 vor weiterer Änderung zu schützen.
  • Zu diesem Zeitpunkt ist die ausgestellte Prototypkarte 13 auf einen imaginären Endbenutzer ausgestellt worden, dessen Name sowie weitere Endbenutzer-Daten alle (aus lauter Einsen oder Nullen bestehende) Anfangswerte aufweisen. Der Karten-Aussteller 12 verwendet die ausgesstellte Prototypkarte 13 für Testzwecke, wie weiter unten beschrieben wird. Nachdem der Test abgeschlossen ist, bestellt der Karten-Aussteller 12 eine bestimmte Menge von Herstellungskarten vom Karten-Hersteller 6.
  • Eine leere Herstellungskarte 17 ist dasselbe wie eine leere Prototypkarte 7, mit dem Unterschied, daß sie anstelle des Initialisierungsbefehls 9 einen Versions-Lesebefehl 18 aufweist, der eine Versionsnummer liest. Die Versionsnummer ist vorzugsweise eine im Masken-ROM 3 gespeicherte Nummer, die die Herstellungskarte von einer Prototypkarte unterscheidet. Prototypkarten weisen entweder eine unterschiedliche Versionsnummer oder keine Versionsnummer auf. Beispielsweise kann die Versionsnummer im Versions- Lesebefehl-Programm enthalten sein, das auf Prototypkarten nicht vorhanden ist.
  • Nach der Herstellung einer leeren Herstellungskarte 17 wandelt der Karten-Hersteller 6 diese in eine geschützte Herstellungskarte 19 um, indem er das Hersteller-Paßwort 11 schreibt, und dann liefert er sie an den Karten-Aussteller 12. Wenn der Karten-Aussteller 12 eine geschützte Herstellungskarte 19 empfängt, verwendet er sofort das Austellungs-Programm, um das Aussteller-Paßwort 14, Aussteller-Daten 15 und Anwendungsdaten 16 in den Datenspeicher 4 zu schreiben und geeignete Teile dieser Daten vor weiterer Änderung zu schützen, wodurch er die Karte in eine ausgestellte Herstellungskarte 20 umwandelt.
  • Wenn der Karten-Aussteller 12 die Karte an einen Endbenutzer 21 überträgt, verwendet er das Ausstellungs-Programm erneut, um die Karte in eine personalisierte Herstellungskarte 22 umzuwandeln. insbesondere gibt das Ausstellungs-Prog ramm nun das Aussteller-Paßwort 14 ein und verwendet dann den Schreibbefehl, um Endbenutzer-Daten 23 in den Datenspeicher 4 zu schreiben. Die Endbenutzer-Daten 23 umfassen beispielsweise den Namen, die Adresse sowie eine persönliche Kennziffer (PIN-Nummer) des Endbenutzers, wobei letztere ein Geheimcode ist, der nur dem Karten-Aussteller 12 und dem Endbenutzer 21 bekannt ist. Das Ausstellungs-Programm kann auch geeignete Teile der Endbenutzer-Daten 23 vor Änderung schützen, den Paßwortschutz aus dem Schreibbefehl sowie eventuell aus anderen Befehlen, wie weiter oben angegeben, entfernen und sie, beispielsweise basierend auf dem PIN-Code des Endbenutzers, durch alternative Formen des Schutzes ersetzen. Der Endbenutzer 21 kann die personalisierte Herstellungs-Karte 22 nun für den vorgesehenen Zweck, z.B. zur Durchführung von Finanztransaktionen, verwenden.
  • Die Verwendung einer Prototypkarte bei der Entwicklung eines Ausstellungs-Programms ist in Figur 3 dargestellt. Im Schritt S1 schützt der Karten- Hersteller die Prototypkarte, indem er das Hersteller-Paßwort in sie schreibt. Im Schritt 52 liefert der Karten-Hersteller die Prototypkarte an den Karten-Aussteller.
  • Im Schritt 53 empfängt der Karten-Aussteller die Prototypkarten-Lieferung. Im Schritt 4 stellt der Karten-Aussteller die Prototypkarte aus, wobei er das in der Entwicklung befindliche Ausstellungs-Programm verwendet. Im Schritt S5 wird die Prototypkarte getestet und überprüft, indem sie beispielsweise in eine Karten- Testvorrichtung eingeführt wird. Falls der Schritt S5 anzeigt, daß das Ausstellungs- Programm modifiziert werden muß, wird dies im Schritt S6 durchgeführt, anschließend wird die Karte im Schritt S7 unter Verwendung des Initialisierungsbefehls initialisiert. Im Schritt S8 gibt der Karten-Aussteller den anfänglichen (aus lauter Nullen oder lauter Einsen bestehenden) Paßwort-Wert ein und führt dann den Schreibbefehl aus, um das Paßwort in das Hersteller-Paßwort zu ändern, wodurch der Zustand der Karte wiederhergestellt wird, wie er bei Lieferung der Karte im Schritt S3 war.
  • Das Verfahren geht nun wieder zu Schritt S4: die Karte wird unter Verwendung des modifizierten Ausstellungs-Programms erneut ausgestellt und anschließend wieder getestet und überprüft. Die Prototypkarte kann den Zyklus durch die Schritte S4, S5, S6, S7 und S8 so oft durchlaufen, wie es notwendig ist, bis das Ausstellungs-Programm fertiggestellt und gründlich getestet und von Fehlern befreit worden ist. Wenn alle Tests beendet sind und im Schritt S5 ein zufriedenstellendes Ergebnis erzielt worden ist, erklärt der Karten-Aussteller anschließend im Schritt S9 das Ausstellungs-Programm für fertiggestellt.
  • Dementsprechend kann das Ausstellungs-Programm unter Verwendung nur einer einzigen Prototypkarte vollständig entwickelt, getestet und von Fehlern befreit (debugged) werden. Es ist im Gegensatz zum Stand der Technik nicht notwendig, eine große Anzahl Herstellungskarten zu verbrauchen.
  • Figur 4 erläutert die Ausstellung einer Herstellungskarte. Im Schritt Sil schützt der Karten-Hersteller die Herstellungskarte, indem er das Hersteller- Paßwort schreibt. Im Schritt S12 liefert der Karten-Hersteller die Herstellungskarte an den Karten-Aussteller, der die Lieferung im Schritt S13 erhält. im Schritt S14 stellt der Karten-Aussteller die Herstellungskarte unter Verwendung des fertiggestellten Ausstellungs-Programms aus und macht sie mit den Daten des Endbenutzers zu einer personalisierten Karte. Im Schritt S15 wird die personalisierte Karte an den Endbenutzer ausgegeben.
  • Figur 5 erläutert die Verwendung einer personalisierten Herstellungskarte durch den Endbenutzer. Im Schritt S21 führt der Endbenutzer die Karte in die Karten-Verarbeitungsvorrichtung beispielsweise einer Bank ein, und die Vorrichtung detektiert, daß die Karte eingeführt worden ist. Im Schritt S22 befiehlt ein Standardprogramm in der Vorrichtung der Karte, den Versions- Lesebefehl auszuführen, um so die Versionsnummer von der Karte zu lesen. Im Schritt S23 wird die Versionsnummer überprüft. Wenn die Versionsnummer zutreffend ist, wird im Schritt S24 ein Anwendungsprogramm gestartet. Im Schritt S25 liest und überprüft das Anwendungsprogramm auf der Karte gespeicherte Anwendungsdaten. Wenn diese Prüfung positiv ausfällt, führt das Anwendungsprogramm im Schritt S26 den Dienst aus, auf dessen Ausführung es programmiert worden ist, z.B. die Durchführung einer Finanztransaktion. Wenn dieser Dienst beendet ist, endet das Anwendungsprogramm im Schritt S27, und im Schritt S28 wird die Karte ausgeworfen.
  • Der Vorgang in Figur 5 weist mehrere eingebaute Schutzvorkehrungen auf. Wenn die Karte nicht programmiert ist, um den Versions-Lesebefehl auszuführen (z.B. wenn die Karte eine Prototypkarte ist), wird erstens die Versionsüberprüfung im Schritt S23 logischerweise negativ ausfallen. Ein negatives Ergebnis der Überprüfung im Schritt 23 führt dazu, daß zum Schritt S28, dem Auswerfen der Karte, gesprungen wird. Wenn die auf der Karte gespeicherte Versionsnummer unzutreffend ist, wird zweitens das Ergebnis im Schritt S23 wieder negativ ausfallen und die Karte wird wieder ausgeworfen. Drittens wird, wenn die im Schritt S25 gelesenen Anwendungsdaten unzutreffend sind (z.B. wenn die Karte von einem anderen Aussteller ausgegeben wurde), das Anwendungsprogramm zum Schritt S28 springen, und die Karte wird wiederum ausgeworfen.
  • Dementsprechend schafft das erfundene Kartensystem die gleichen Sicherheitsmerkmale wie beim Stand der Technik. Eine Herstellungskarte wird zunächst durch das Hersteller-Paßwort, dann durch das Aussteller-Paßwort und darüber hinaus durch den permanenten Schreibschutz geschützt, der bei verschiedenen Daten angewendet wird, wenn die Karte ausgestellt wird, wodurch eine nochmalige Ausstellung der Karte verhindert wird.
  • Eine Prototypkarte ist sogar noch besser geschützt, weil sie den Versionslesebefehl nicht aufweist. Wenn sie in eine Karten-Verarbeitungsvorrichtung eingeführt wird, fällt die Prototypkarte bei der Versionsprüfung im Schritt S23 gemäß Figur 5 durch und sie wird ausgeworfen, bevor mit irgendeiner Anwendungsverarbeitung begonnen werden kann. Auch wenn jemand eine leere Prototypkarte erhält, die nicht durch ein Paßwort geschützt ist, deren Inhalt er zwar nach Belieben manipulieren kann, so kann er dennoch die Karte nicht benutzen. Dasselbe gilt für jemanden, der eine geschützte Prototypkarte 10 oder eine ausgestellte Prototypkarte 13 stiehlt.
  • Das oben beschriebene IC-Karten-System ist nur eine der vielen möglichen Ausführungsformen der Erfindung. Es gibt zahlreiche Möglichkeiten, das System zu modifizieren, zum Beispiel wie folgt:
  • Es wurde beschrieben, daß die Versionsnummer im Masken-ROM 3 gespeichert wird, wo sie nicht verändert werden kann. Da Prototypkarten jedoch keinen Versions-Lesebefehl aufweisen, ist es möglich, die Versionsnummer im Datenspeicher 4 zu speichern. Dies schafft zusätzliche Flexibilität, da es dem Karten-Aussteller ermöglicht wird, verschiedene Versionsnummern zu schreiben, ohne Änderungen der Daten des Masken-ROM veranlassen zu müssen.
  • Wenn die Versionsnummer im Masken-ROM 3 gespeichert ist, ist es möglich, die Prototypkarte mit einem Versions-Lesebefehl zu versehen, ohne die Sicherheit des Systems zu kompromittieren, solange Prototypkarten und Herstellungskarten unterschiedliche Versionsnummern aufweisen. Wenn eine Prototypkarte in eine Karten-Verarbeitungsvorrichtung eingeführt wird, fällt sie bei der Versionsüberprüfung im Schritt S23 gemäß Figur 5 dennoch durch, da diese Überprüfung so ausgelegt ist, daß Karten zurückgewiesen werden, die Prototyp- Versionsnummern aufweisen.
  • Es wurde beschrieben, daß der Initialisierungsbefehl eine Prototypkarte in den leeren Zustand zurücksetzt, so daß der Aussteller das Hersteller-Paßwort schreiben muß, um die Karte in den Zustand bei ihrer Lieferung zurückzuversetzen. Eine alternative Möglichkeit besteht darin, den Initialisierungsbefehl das Hersteller-Paßwort schreiben zu lassen. Zur weiteren Sicherheit kann der Hersteller zwei unterschiedliche Paßworte verwenden, eines für Prototypkarten und eines für Herstellungskarten.
  • Die Prototypkarte kann nicht nur während der Entwicklung des Ausstellungs-Programms verwendet werden, sondern auch während der Entwicklung des Anwendungsprogramms sowie anderer System-Software.
  • Fachleute werden erkennen, daß noch weitere Modifikationen vorgenommen werden können, ohne vom Schutzumfang der Erfindung abzuweichen, wie sie nachfolgend beansprucht wird.

Claims (12)

1. IC-Karten-Satz mit:
einer Prototyp-IC-Karte (10), die folgendes speichert: ein Hersteller- Paßwort (11), einen Standardsatz von Befehlen (8), um ein Aussteller-Paßwort zu schreiben und das Hersteller-Paßwort zu löschen, und um Anwendungsdaten auf die Prototyp-IC-Karte zu schreiben, sowie einen Initialisierungsbefehl (9), um das Herausgeber-Paßwort und die Anwendungsdaten zu löschen; und
zumindest einer Herstellungs-IC-Karte (19), die folgendes speichert: ein Hersteller-Paßwort (11), einen Standardsatz von Befehlen (8), um ein Aussteller- Paßwort zu schreiben und das Hersteller-Paßwort zu löschen, und um Anwendungsdaten auf die Herstellungs-IC-Karte zu schreiben, eine Versionsnummer, um die Herstellungs-IC-Karte von der Prototyp-IC-Karte zu unterscheiden, und einen Versions-Lesebefehl (18), um die Versionsnummer zu lesen;
wobei der auf der Herstellungs-IC-Karte gespeicherte Standardsatz von Befehlen im wesentlichen identisch ist; und wobei der Initialisiewngsbefehl nicht auf der Herstellungs-IC-Karte gespeichert ist.
2. IC-Karten-Satz nach Anspruch 1, bei dem der Standardsatz von Befehlen einen Befehl umfaßt, um eine Änderung spezifizierter Daten auf der Prototyp-IC-Karte und der Herstellungs-IC-Karte zu verhindern; und bei dem der Initialisierungsbefehl auf der Prototyp-IC-Karte, der zu der Änderung spezifizierter Daten auf der Prototyp-IC-Karte in der Lage ist, diesen Befehl zu "bergehen, um eine Änderung spezifizierter Daten zu verhindern.
3. IC-Karten-Satz nach Anspruch 1, bei dem die Prototyp-IC-Karte zumindest entweder die Versionsnummer oder den Versions-Lesebefehl nicht speichert.
4. IC-Karten-Satz nach Anspruch 1, bei dem die Ausführung des Initialisierungsbefehls und zumindest eines Standardsatzes von Befehlen zunächst in Abhängigkeit von der Eingabe eines korrekten Aussteller-Paßwortes (14) erfolgt.
5. IC-Karten-Satz nach Anspruch 4, bei dem der Initialisierungsbefehl das Aussteller-Paßwort auf einen nicht geheimen Wert initialisiert.
6. IC-Karten-Satz nach Anspruch 4, bei dem der Initialisierungsbefehl das Aussteller-Paßwort auf das Hersteller-Paßwort (11) initialisiert.
7. IC-Karten-Satz nach Anspruch 4, bei dem der Standardsatz von Befehlen jeder Prototyp-IC-Karte und Herstellungs-IC-Karte in einem Masken-ROM (3) gespeichert ist.
8. IC-Karten-Satz nach Anspruch 1, bei dem der Initialisierungsbefehl in einem Masken-ROM (3) gespeichert ist.
9. IC-Karten-Satz nach Anspruch 1, bei dem der Versions-Lesebefehl in einem Masken-ROM (3) gespeichert ist.
10. IC-Karten-Satz nach Anspruch 1, bei dem die Versionsnummer in einem Masken-ROM (3) gespeichert ist.
11. IC-Karten-Satz nach Anspruch 1, bei dem das Hersteller-Paßwort und das Aussteller-Paßwort in einem nichtflüchtigen Speicher (4) gespeichert sind, der elektrisch beschrieben und neu beschrieben werden kann.
12. IC-Karten-Satz mit:
einer Prototyp-IC-Karte (10), die programmiert ist, einen Standardsatz von Befehlen (8) zum Lesen und Schreiben von Daten auf der bzw. auf die Prototyp-IC-Karte sowie einen Initialisierungsbefehl (9) zum Initialisieren der Daten auszuführen; und
zumindest einer Herstellungs-IC-Karte (19), die programmiert ist, den Standardsatz von Befehlen auszuführen, die Daten auf der Prototyp-IC-Karte lesen und schreiben, und die programmiert ist, einen Versions-Lesebefehl auszuführen, der eine Versionsnummer (18) liest, welche die Herstellungs-IC-Karte von der Prototyp-IC-Karte unterscheidet, die jedoch nicht programmiert ist, den 1 nitialisierungsbefehl auszuführen;
wobei die die Ausführung des Initialisierungsbefehls und zumindest einiger Befehle des Standardsatzes von Befehlen zunächst in Abhängigkeit von der Eingabe eines korrekten Paßwortes erfolgt; und
wobei der Initialisierungsbefehl das Paßwort auf einen voreingestellten Wert initialisiert.
DE69316516T 1992-10-15 1993-10-11 Gesichertes Chipkartensystem mit wiederverwendbarer Prototypkarte Expired - Fee Related DE69316516T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP4277256A JP2935613B2 (ja) 1992-10-15 1992-10-15 Icカードおよびicカードシステム

Publications (2)

Publication Number Publication Date
DE69316516D1 DE69316516D1 (de) 1998-02-26
DE69316516T2 true DE69316516T2 (de) 1998-08-27

Family

ID=17580996

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69316516T Expired - Fee Related DE69316516T2 (de) 1992-10-15 1993-10-11 Gesichertes Chipkartensystem mit wiederverwendbarer Prototypkarte

Country Status (4)

Country Link
US (1) US5442165A (de)
EP (1) EP0593244B1 (de)
JP (1) JP2935613B2 (de)
DE (1) DE69316516T2 (de)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0896106A (ja) * 1994-09-29 1996-04-12 Mitsubishi Electric Corp Icカード及びicカードシステム
DE19508722A1 (de) * 1995-03-10 1996-09-12 Siemens Ag Lizenzkartengesteuertes Chipkartensystem
DE69632992T2 (de) * 1995-12-08 2005-07-21 Kabushiki Kaisha Toshiba, Kawasaki Verfahren und System zum Ausgeben vor tragbaren Datenträgern
US6112985A (en) * 1996-03-07 2000-09-05 Siemens Aktiengesellschaft License-card-controlled chip card system
US5889941A (en) * 1996-04-15 1999-03-30 Ubiq Inc. System and apparatus for smart card personalization
US6202155B1 (en) 1996-11-22 2001-03-13 Ubiq Incorporated Virtual card personalization system
JPH10214232A (ja) * 1997-01-30 1998-08-11 Rohm Co Ltd Icカードおよびicカードの運用方法
US6402028B1 (en) 1999-04-06 2002-06-11 Visa International Service Association Integrated production of smart cards
US6804730B1 (en) * 1999-11-17 2004-10-12 Tokyo Electron Device Limited Access control device, access control method, recording medium, and computer data signal for controlling allowance of access to storage area using certification data
FR2809847B1 (fr) * 2000-06-06 2002-08-30 Gemplus Card Int Procede de personnalisation electrique de carte a puce
EP1187065A3 (de) * 2000-09-05 2002-07-31 ACG Aktiengesellschaft für Chipkarten und Informationssysteme Verfahren zur Serienherstellung von Chips, insbesondere für SIM-Karten
JP2005134953A (ja) * 2003-10-28 2005-05-26 Dainippon Printing Co Ltd 未設定icカード、icカード発行システム及びicカードアプリケーションの発行方法
FR2865085B1 (fr) * 2004-01-08 2006-07-21 Ercom Engineering Reseaux Comm Systeme de gestion de cles pour usage cryptophonique, notamment en mettant en oeuvre une infrastructure de gestion de cles publiques (pki)
US20050197859A1 (en) * 2004-01-16 2005-09-08 Wilson James C. Portable electronic data storage and retreival system for group data
US7922081B2 (en) * 2004-04-01 2011-04-12 Hitachi, Ltd. Identification information managing method and system
JP4706220B2 (ja) 2004-09-29 2011-06-22 ソニー株式会社 情報処理装置および方法、記録媒体、並びにプログラム
WO2010126994A1 (en) * 2009-04-28 2010-11-04 Mastercard International Incorporated Apparatus, method, and computer program product for recovering torn smart payment device transactions
US8533484B2 (en) * 2010-03-29 2013-09-10 Verifone, Inc. Password-protected physical transfer of password-protected devices

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3041393C2 (de) * 1980-11-03 1984-05-17 Stockburger, Hermann, 7742 St Georgen Verfahren zum Erstellen einer vorgegebenen Anzahl von ein Speichermedium aufweisenden Berechtigungskarten
JP2564480B2 (ja) * 1985-07-16 1996-12-18 カシオ計算機株式会社 Icカ−ドシステム
JPS6356785A (ja) * 1986-08-28 1988-03-11 Toshiba Corp 携帯可能記憶媒体処理装置
JPH0259937A (ja) * 1988-08-26 1990-02-28 Hitachi Maxell Ltd Icカード
JP2682700B2 (ja) * 1989-05-09 1997-11-26 三菱電機株式会社 Icカード
JPH0452890A (ja) * 1990-06-15 1992-02-20 Mitsubishi Electric Corp Icカード

Also Published As

Publication number Publication date
EP0593244A2 (de) 1994-04-20
DE69316516D1 (de) 1998-02-26
EP0593244B1 (de) 1998-01-21
US5442165A (en) 1995-08-15
EP0593244A3 (de) 1995-05-24
JPH06131515A (ja) 1994-05-13
JP2935613B2 (ja) 1999-08-16

Similar Documents

Publication Publication Date Title
DE69316516T2 (de) Gesichertes Chipkartensystem mit wiederverwendbarer Prototypkarte
DE69811254T2 (de) Sicherer speicher mit multiplen sicherheitsebenen
DE3782328T2 (de) Chipkarte mit externer programmiermoeglichkeit und verfahren zu ihrer herstellung.
DE69404674T2 (de) Speicherkarte und verfahren zum betrieb
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE69223920T2 (de) Mikroschaltung für eine Chipkarte mit einem geschützten, programmierbaren Speicher
DE69127641T2 (de) Vorrichtung und Verfahren zum Verwalten von Chipkartentransaktionen
DE2837201C2 (de)
DE2621271C2 (de) Tragbarer Datenträger
DE68915300T3 (de) Chipkarte und Verfahren zum Einschreiben seines Arbeitsprogramms.
DE69021935T2 (de) Verfahren zum Überprüfen der Integrität eines Programms oder von Daten und Einrichtung zur Durchführung dieses Verfahrens.
DE3811378C3 (de) Informationsaufzeichnungssystem
DE3700663C2 (de)
DE69100003T2 (de) Sicherheitsverriegelung fuer integrierten schaltkreis.
DE69316576T2 (de) IC Karte mit alterunggeschützten Daten und Programmen
EP1321887A1 (de) Verfahren und Anordnung zur Verifikation von NV-Fuses sowie ein entsprechendes Computerprogrammprodukt und ein entsprechendes computerlesbares Speichermedium
DE69500116T2 (de) Betriebsverfahren einer Chipkarte
DE10164415A1 (de) Verfahren und Anordnung zur Programmierung und Verifizierung von EEPROM-Pages sowie ein entsprechendes Computerprogrammprodukt und ein entsprechendes computerlesbares Speichermedium
EP0128362A1 (de) Schaltungsanordnung mit einem Speicher und einer Zugriffskontrolleinheit
DE69636153T2 (de) Tragbarer Speicherträger und Ausgabesystem dafür
WO1996028795A1 (de) Chipkarte mit geschütztem betriebssystem
DE69835282T2 (de) Schaltungsanordnung zur Spannungsüberwachung und Speicherkarte mit einer solchen Schaltung
EP1338970B1 (de) Verfahren und Anordnung zur Zugriffssteuerung auf EEPROMs sowie ein entsprechendes Computerprogrammprodukt und ein entsprechendes computerlesbares Speichermedium
EP0127809A1 (de) Schaltungsanordnung mit einem Speicher und einer Zugriffskontrolleinheit
DE3025044A1 (de) Vorrichtung fuer den schutz des zugangs zu einem dauerspeicher bei einer datenverarbeitungsanlage

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee