DE69900566T2 - Verfahren zur Personalisierung einer IC-Karte - Google Patents
Verfahren zur Personalisierung einer IC-KarteInfo
- Publication number
- DE69900566T2 DE69900566T2 DE1999600566 DE69900566T DE69900566T2 DE 69900566 T2 DE69900566 T2 DE 69900566T2 DE 1999600566 DE1999600566 DE 1999600566 DE 69900566 T DE69900566 T DE 69900566T DE 69900566 T2 DE69900566 T2 DE 69900566T2
- Authority
- DE
- Germany
- Prior art keywords
- card
- access code
- access
- memory
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 22
- 238000012360 testing method Methods 0.000 claims description 11
- 238000012795 verification Methods 0.000 claims description 2
- 230000015654 memory Effects 0.000 description 42
- 230000006870 function Effects 0.000 description 14
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002427 irreversible effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000007664 blowing Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000002542 deteriorative effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 201000009032 substance abuse Diseases 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3552—Downloading or loading of personalisation data
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Networks & Wireless Communication (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
- Credit Cards Or The Like (AREA)
Description
- Die vorliegende Erfindung betrifft ein Verfahren zur Personalisierung einer Chipkarte, das dazu bestimmt ist, von einer beliebigen Person eingesetzt zu werden. Ziel der Erfindung ist somit die Förderung der Verbreitung der Chipkarten durch Erleichterung der Programmierung, insbesondere im Rahmen zahlreicher Anwendungen, beispielsweise vom Typ Java Card.
- Im Bereich Chipkarte sind die Chipkartenhersteller, die Dienstleistungsanbieter oder Güterverkäufer und die Benutzer bekannt. Ein Chipkartenhersteller stellt typischerweise einen integrierten Schaltkreis her oder läßt einen solchen herstellen, umfassend einen Mikroprozessor, eine programmierbare und/oder nicht programmierbare RAM-Speichereinheit und eine Ausgangsschnittstelle in Verbindung mit einem Stecker oder eine Funkübertragungsschaltung. Der Hersteller ist auch im allgemeinen für die Anbringung des Elektronikmoduls verantwortlich, das auf diese Weise in einer Chipkarte oder allgemeiner in einem Chipträger gebildet wird.
- Wenn der Begriff Chipkarte verwendet wird, ist in der weiteren Folge dieser Darlegung darunter ein Chipträger zu verstehen, wobei dieser alle erforderlichen Formen haben kann: die Standardform einer Karte, die Form des Normjetons, der in den GSM-Telefonen verwendbar ist, ein Chipschlüssel, der in einem Fernsehdecoder verwendbar ist, oder jene eines Ringes, usw...
- In einem energieunabhängigen Speicher des integrierten Schaltkreises installiert der Hersteller überdies ein Betriebssystem für diesen integrierten Schaltkreis. Dieses Betriebssystem ist in der Lage, den Zugriff auf die Speicher, auf die Kommunikationsschnittstelle und auf die Peripheriegeräte (Uhr, Zähler...) des Mikroprozessors zu steuern. Es ist auch in der Lage, die Ausführung gewisser wesentlicher Operationen zu kontrollieren. Im allgemeinen ist aus Sicherheitsgründen das Betriebssystem somit in der Lage, intern einen Vergleich eines an der Schnittstelle aufscheinenden Geheimcodes mit einem in dem Geheimspeicher gespeicherten Geheimcode anzustellen. Insbesondere kann nur der Mikroprozessor auf diesen Geheimspeicher zugreifen, ohne dass die Möglichkeit besteht, diesen Geheimcode auf einem externen Bus des integrierten Schaltkreises zu editieren. Im Erfolgsfall genehmigt die Überprüfung die Weiterführung des Verfahrens.
- Das Betriebssystem besitzt auch eine Kontrollfunktion, durch die es dem Benutzer eine Änderung des Inhalts gewisser Speicher ermöglicht, insbesondere eines Programmspeichers, um in diesen Befehle eines Programms einer Anwendung oder Benutzungsparameter dieses Programms zu schreiben, insbesondere Grenzen für die Benutzung eines für diese Anwendung bestimmten Datenspeichers.
- Der Chipkartenhersteller übermittelt sodann die Chipkarten an einen Dienstleistungsanbieter, beispielsweise eine Bank (oder einen Güterverkäufer). In der Folge dieser Darlegung bedeutet Dienstleistungsanbieter jede Institution, die Transaktionen leitet. Der Dienstleistungsanbieter führt die Personalisierung der Karte durch, indem er auf ihr für seine Dienstleistungen spezifische Programme aufzeichnet. So können diese Programme im Falle einer Anwendung für eine Bank Programme umfassen, die eine Geldabhebung von einem Geldscheinautomaten, die Anzeige eines der Karte entsprechenden Bankkontos, die Ausgabe von Banküberweisungen usw. ermöglichen. Ferner umfassen die Programme der Anwendung des Dienstleistungsanbieters im allgemeinen ein diesem Dienstleistungsanbieter eigenes Sicherungsprogramm. Um diese Personalisierung durchzuführen, muß der Dienstleistungsanbieter Zugriff auf die Kontrollfunktion haben (cf. FR-A-2 687 816).
- Natürlich kann es nicht sein, dass die Möglichkeiten, die den Dienstleistungsanbietern im Hinblick auf die Änderung des Inhalts der Karte geboten werden, später auch dem Benutzer der Karte angeboten werden. Wäre dies der Fall, wäre vorstellbar, dass dieser Benutzer, der besonders geschickt ist, die Programme des Dienstleistungsanbieters fälschen würde, um sich die gebotenen Vorteile einzuräumen. Um solche Handlungen zu verhindern, wurde ein zweifacher Mechanismus eingerichtet.
- Zuerst erfordert der Mechanismus der Personalisierung die Angabe eines speziellen Zugriffscodes für die Personalisierung durch den Dienstleistungsanbieter. Im Falle einer erfolgreichen Präsentation dieses speziellen Personalisierungscodes hat der Dienstleistungsanbieter Zugriff auf uneingeschränkte Funktionen des Betriebssystems und kann nun folglich den Programmspeicher und den Datenspeicher natürlich für Anwenderteile organisieren.
- Sodann, wenn der Dienstleistungsanbieter die Operationen der Personalisierung der Karte beendet hat, kann er den Zugriff auf diese Personalisierungsfunktion verriegeln. Im allgemeinen ist die Verriegelung irreversibel. Sie umfasst beispielsweise das Durchbrennen einer Sicherung oder das Kippen einer Kippschaltung in einen irreversiblen Zustand, die energieunabhängige Speicherzellen umfasst, die in einen Zustand geschrieben sind (programmiert oder gelöscht), während keine Schaltung in dem Speicher vorhanden ist, um sie in den anderen Zustand zu schreiben.
- Es stellte sich als notwendig heraus, dass, um die Operationen der Personalisierung zu sichern, der Zugriffscode auf die Kontrollfunktion oder allgemeiner auf die Funktion der Personalisierung der Karte geheim ist und nur unter gewissen Vorsichtsmaßnahmen an den Dienstleistungsanbieter weitergegeben wird. In der Praxis wurde zum Beispiel eingeführt, dass die Chipkarten in den Besitz des Dienstleistungsanbieters mit einem Transportmittel, beispielsweise einem Lieferwagen, gelangen, während die geheimen Zugriffscodes diesem Dienstleistungsanbieter über einen anderen Weg, beispielsweise mit der Post, zugestellt werden. Für die Personalisierung teilt der Dienstleistungsanbieter jeder Karte einen geheimen Zugriffscode zu. Beispielsweise führt er die Korrespondenz Karte - Zugriffscode durch, indem er in einer Liste die Seriennummern der Chipkarten sucht und die Geheimcodes gegenüber diesen Seriennummern angegeben findet.
- Es ist überdies bekannt, dass die Zugriffscodes auch nicht als solche verwendbar sind. Sie sind also verschlüsselt, und der Dienstleistungsanbieter muß eine Entschlüsselungsmaschine verwenden, um für jede Karte individuell über seinen Kontrollzugriffscode verfügen zu können. Die Entschlüsselungsmaschine ihrerseits ist Gegenstand einer Vereinbarung zwischen dem Hersteller und dem Dienstleistungsanbieter.
- Es ist zu sehen, dass dieses System, das durch die Erfahrung gesichert und gesteuert wird, für eine Massenverbreitung der Chipkarten nicht günstig ist. Es ist zum Beispiel nicht vorstellbar, dass eine kleine Firma, beispielsweise Verwalter eines städtischen Parkplatzes, einen derart komplizierten Weg einschlägt, um wenigen Benutzern eine Dienstleistung zur Verfügung zu stellen, bei der überdies eine Möglichkeit besteht, die Missbräuche im Falle einer Verschlechterung des Systems auszuschalten. Aus diesem Grund verwenden diese Dienstleistungsanbieter Verfahren, bei denen die Informationen über die Genehmigung oder Benutzung der Dienstleistung in Magnetkarten gespeichert sind, die wesentlich einfacher zu programmieren sind. Der Nachteil dieser Magnetkarten besteht natürlich darin, dass sie eben aus diesem Grund sehr leicht missbräuchlich verwendet werden können, und dass diese Systeme nicht wirklich beständig genug sind.
- Bei der Erfindung wurde versucht, den Dienstleistungsanbietern, beliebigen Anbietern insbesondere kleiner Firmen, Chipkarten mit all der Sicherheit, die diese Chipkarten bieten, zur Verfügung zu stellen, ohne diesen Dienstleistungsanbietern vorschreiben zu müssen, mit einem Hersteller ein Vorzugsverhältnis einzugehen, ohne den Erfordernissen der Kartenserien unterworfen zu sein, für die im Prinzip Maschinen zur Verschlüsselung oder Entschlüsselung der Geheimcodes vorgesehen sind. Ziel der Erfindung ist, den Verkauf von neuen Chipkarten in der Einheit mit einer Möglichkeit der kompletten Programmierung durch den Benutzer- Dienstleistungsanbieter zu ermöglichen, ohne vor irgendjemandem Rechenschaft ablegen zu müssen. Aber natürlich unter Nutzung der Zugriffssicherheit bei der Programmierung.
- Erfindungsgemäß wird dieses Ziel auf sehr einfache Weise erreicht. Es wurde vorgesehen, dass ganz einfach der Zugriffscode mit einer Kontrollfunktion der Karte einerseits in der Karte enthalten ist und andererseits bei der ersten Verbindung oder den ersten Verbindungen der Karte mit einem Leseterminal dieser Karte editiert wird. Dadurch wird der Geheimcode somit editiert und kann zum Nutzen des Dienstleistungsanbieters verfügbar sein. Dieser nutzt die flüchtige Anzeige dieser Edition, um sie überdies zu notieren und in der Folge wieder zu verwenden, um seine Karte, sooft er dies wünscht, zu personalisieren.
- Es ist sofort zu sehen, dass ein Kartenbenutzer nun in der Lage sein möchte, seine eigene Karte an Ort und Stelle des vorhergehenden Dienstleistungsanbieters zu ändern, um in sie die Dienstleistungen eines oder mehrerer Dienstleistungsanbieter, Parkplatzverwaltungsfirma, Kinosaalverwaltungsfirma usw. einzufügen oder nicht. Aus diesem Grund steuert der Benutzer den Aspekt der Mehrfachnutzung seiner Chipkarte. Natürlich können die Möglichkeiten, die dem Benutzer selbst geboten werden, auch dem Dienstleistungsanbieter angeboten werden, der auf diese Weise einen Satz Karten kaufen und diese in der Folge programmieren kann. Erfindungsgemäß kann nur der die Möglichkeiten der Karte ändern, der über einen Zugriffscode für Kontrolle - Personalisierung verfügt. Die Kontrolle kann somit eingeschränkter als eine Personalisierung sein, insbesondere wenn bei der Personalisierung eine Abteilung des Speichers gestattet wird, während bei der Kontrolle nur eine Verwendung von bereits gebildeten Abteilungen genehmigt ist.
- Die Erfindung betrifft somit ein Verfahren zur Personalisierung einer Chipkarte, bei dem
- - die Chipkarte mit einer Kontrollfunktion versehen wird,
- - der Zugriff auf diese Funktion durch eine Überprüfung eines Zugriffscodes geschützt wird,
- - ein Steuerterminal mit der Chipkarte verbunden wird, und
- - die Kontrollfunktion eingesetzt wird, um die Chipkarte zu personalisieren,
- dadurch gekennzeichnet, dass
- - eine Verbindung der Chipkarte mit dem Terminal getestet wird, um zu erfahren, ob es sich um eine Erstverbindung handelt, und
- - falls es sich um eine Erstverbindung handelt, ein Zugriffscode für die Kontrolle der Chipkarte aufgedeckt wird.
- Die Erfindung wird durch Studie der nachfolgenden Beschreibung und der zugehörigen Figuren besser verständlich. Diese haben nur hinweisenden Charakter und sind für die Erfindung keineswegs einschränkend. Die Figuren zeigen:
- Fig. 1: eine Chipkarte und ein Leseterminal für diese Chipkarte, die verwendbar ist, um das erfindungsgemäße Verfahren durchzuführen;
- Fig. 2: die wesentlichen Schritte des erfindungsgemäßen Verfahrens; und
- Fig. 3: eine schematische Darstellung einer Verbesserung des erfindungsgemäßen Verfahrens.
- Fig. 1 zeigt eine Chipkarte 1 und einen Chipkartenleser 2, die für den Einsatz des erfindungsgemäßen Verfahrens verwendet werden können. Der Chip der Karte 1 umfaßt herkömmlicherweise einen Mikroprozessor 3, der über einen oder mehrere Steuer-, Adress- und Datenbusse 4 mit einer Eingangs-/Ausgangsschnittstelle 5 (beispielsweise ganz einfach ein Normstecker) verbunden ist, einen Arbeitsspeicher 6, einen Programmspeicher 7 einen Datenspeicher 8 und einen Speicher 9, der das Betriebssystem enthält.
- Üblicherweise wird der Speicher 6 von energieabhängigen Registem von Speicherzellen statischen (eventuell dynamischen) Typs gebildet. Die Speicher 7 und 8 sind normalerweise energieunabhängige, zumindest für einen Teil ihres Inhalts programmierbare Speicher. Sie sind beispielsweise auf Basis von energieunabhängigen Speicherzellen des Typs EEPROM mit einem Transistor mit offenem Gitter in der Speichervorrichtung aufgebaut. Der Speicher 9, der das Betriebssystem umfasst, ist normalerweise ein energieunabhängiger Speicher, der durch Überdeckung erhalten wird. Er kann dennoch ein Speicher des Typs PROM sein, der programmiert aber nicht gelöscht werden kann. Eventuell kann der Speicher 9 nur ein Teil des Speichers 7, des Speichers 8 oder der Einheit dieser beiden mit einer besonderen Adressierung sein.
- Der Speicher 9 umfaßt einen Teil 10 des Betriebssystems, der die stärksten Zugriffe in dem dargestellten System ermöglicht. Der Speicher 9 kann überdies einen Kontrollteil 11 umfassen, dessen Möglichkeiten in bezug auf jene des Teils 10 begrenzt sein können. In der Praxis sind die Teile 10 und 11 nicht geographisch in dem Speicher 9 individualisiert. Die hier aufgezeichneten Befehle unterliegen Filterungen, die von den Schaltungen des Mikroprozessors durchgeführt werden, der ihre Ausführung genehmigt oder nicht. In der Praxis sind die bei der Kontrolle verwendbaren Befehle Makro-Befehle der Befehle des Betriebssystems: ihre Anzahl ist jedoch begrenzt, und die Art dieser Makro-Befehle selbst begrenzt den Kontrollmodus. Es wäre dennoch möglich, einen Kontrollmodus vorzusehen, der Zugriff auf alle Funktionen des Basisbetriebssystems ermöglicht.
- Auf bei der Erfindung vorgesehene bevorzugte Weise sind die Kontrollfunktionen des Betriebssystems Funktionen, mit denen es möglich ist, in dem Programmspeicher 7 zu schreiben oder zu löschen, während dies normalerweise einem Benutzer nicht gestattet ist. Sie sind auch Funktionen, mit denen es möglich ist, Zuteilungen in dem Datenspeicher 8 zu bestimmen, insbesondere durch Start- und Endadressen Ai, Aj und Ak für Daten, die sich auf Anwendungen A oder B beziehen, die Programmen PA und PB, die in dem Speicher 7 gespeichert sind, entsprechen.
- Der Speicher 8 umfaßt insbesondere in einem Teil 12, in dem nicht oder nicht mehr geschrieben werden kann: die Seriennummer der Karte, den Herstellercode, den Identitätscode oder dergleichen, sowie einen Satz von Zugriffscodes in einen Bereich 13 des Teils 12. Außer diesem Bereich 13 sind die anderen Bereiche bei der Erfindung optional.
- Die Chipkarte 1 ist dazu bestimmt, mit einem Leser 2 in Verbindung gebracht zu werden, dessen innere Funktionsstruktur im wesentlichen dieselbe wie jene der Karte 1 ist. Ferner besitzt der Leser 2 einen Satz Steuertasten 14 und einen Anzeigebildschirm 15, mit denen er Steuerungen kontrollieren und anzeigen kann, die die Transaktion mit der Karte ermöglichen. Der erfindungsgemäße Leser 2 ist zumindest ein Elementarleser. In einem Beispiel ist der Leser 2 ein Leser des Typs Kontrollleser für die Anzahl von noch verfügbaren Telefoneinheiten in einer Telefonkarte (die eine einfache Speicherkarte ist). In der Praxis handelt es sich wahrscheinlicher um einen Mikrocomputer, mit dem der Dienstleistungsanbieter oder der Benutzer die Chipkarte personalisiert.
- Fig. 2 zeigt die wesentlichen Schritte des erfindungsgemäßen Verfahrens. Während eines ersten Schrittes 16 wird die Chipkarte an den Stecker des Lesers 2 angeschlossen. Sodann folgt eine gewisse Anzahl von Operationen, die normalerweise von dem Betriebssystem 10 gesteuert werden und darin bestehen zu überprüfen, ob die Unterspannungssetzung des integrierten Schaltkreises korrekt ist, ob die Versorgungsspannung korrekt ist, ob die von der inneren Uhr des Mikroprozessors 3 erzeugte Frequenz korrekt ist usw. Wenn diese rein physischen Operationen gestartet wurden, folgt auf den Anschluß im allgemeinen eine Operation 17 des Erkennens. Die Operation 17 des Erkennens ist eine herkömmliche Operation, die darin besteht, einen Betreiber, den Dienstleistungsanbieter oder den Benutzer, aufzufordern, einen Geheimcode zu wählen. Dieses Wählen des Geheimcodes wird von dem Mikroprozessor 3 mit einem der in dem Bereich 13 gespeicherten Geheimcodes verglichen. Der Vergleich ist komplex und umfasst im allgemeinen die Verschlüsselung des Codes, der durch einen Algorithmus des Typs DES oder RSA, der durch einen Sitzungsschlüssel parametriert ist, dargestellt wird. Zur einfacheren Erklärung kann allerdings angenommen werden, dass der Vergleich direkt ist.
- Wenn dieser Vergleich positiv ist, kann die Operationsfolge abgewickelt werden. Andernfalls schließt sich der Mikroprozessor an einen Befehl des Betriebssystems an, der nur den Misserfolg der Transaktion hervorrufen kann und jede weitere Intervention verhindert. Im allgemeinen wird die Anzahl von Misserfolgen aufgezeichnet, und nach einer begrenzten Zahl von Misserfolgen, beispielsweise drei, ruft das Betriebssystem 10 das Kippen einer Information in den Bereich 13 des Zugriffscodes hervor, um die Karte zu verriegeln.
- Das Programm zur Überprüfung des Geheimcodes kann in dem Teil 10 des Betriebssystems 9 enthalten sein. Eventuell könnte es in einem Teil des Speichers 7 gespeichert sein, dies würde allerdings erfordern, den Zugriff auf diesen Speicherteil zu blockieren.
- Wenn das Erkennen erfolgreich abgeschlossen ist, sofern es gestartet wurde, da es für die Erfindung nicht erforderlich ist, begibt sich der Mikroprozessor 3 in eine Operation 18 der Erwartung eines Befehls. Definitiv wartet er auf eine von dem Leser 2 kommende Meldung. Wenn die Meldung, die von dem Leser 2 kommt, eine Kontrollanforderungsmeldung oder eine analoge Meldung ist, die dazu neigt, die Makro-Befehle des Teils 11 des Betriebssystems 9 durch den Mikroprozessor 3 ausführen zu lassen, ist eine Konfiguration vorhanden, bei der Benutzer oder Dienstleistungsanbieter die Karte personalisieren möchte. Daher möchte der Mikroprozessor 3 in einem Test 19 nach der Phase 18 der Befehlserwartung wissen, ob der Befehl, den er erhält, ein Befehl zur Kontrolle der Karte ist oder nicht. Ist dies nicht der Fall, wird eine Bearbeitungsfolge in einer Operation 20 gestartet. Diese Folge umfasst weitere Tests und weitere Operationen.
- Ist dies hingegen der Fall, startet bei der Erfindung der Mikroprozessor 3 bei der Ausführung von spezifischen Befehlen seines Betriebssystems 9 einen zweiten Test 21. Der Test 21 soll in Erfahrung bringen, ob der Zugriff im Kontrollmodus der Karte zum ersten Mal oder nicht erfolgt. Ist dies nicht zum ersten Mal der Fall, fordert das Betriebssystem 10 in einer Operation 22 den Betreiber auf, den geheimen Zugriffscode im Kontrollmodus anzugeben (der sich normalerweise von dem allgemeinen geheimen Erkennungscode des Schrittes 17 unterscheidet). Falls dieses Erkennen erfolgreich stattfindet, wird der Kontrollmodus in einer Folge 23 von Operationen eröffnet. Wie vorher angeführt, kann diese Folge von Operationen 23 eine Fernladung einer Anwendung PB in den Speicher 7 umfassen. Diese Fernladung kann als Test durchgeführt werden. Sie kann eine endgültige Aktivierung einer Anwendung umfassen, die provisorisch ferngeladen wurde. Sie kann überdies die Änderung einer bestehenden Anwendung PA umfassen. Diese Art von Operation ist im Stand der Technik bekannt.
- Falls hingegen der Zugriff im Kontrollmodus zum ersten Mal erfolgt, startet der Teil 10 des erfindungsspezifischen Betriebssystems 9 einen Makro-Befehl 24. Der Makrobefehl 24 umfaßt zwei wesentliche Teile.
- Zuerst ruft er die Aufdeckung, insbesondere die Edition, des Zugriffscodes im Kontrollmodus hervor. Beispielsweise besteht dieser Makro-Befehl darin, in dem Bereich 13 den Zugriffscode im Kontrollmodus (oder im Personalisierungsmodus) abzulesen und diesen auf dem Bildschirm 15 des Lesers 2 anzuzeigen. In diesem Fall hat der Betreiber den editierten geheimen Zugriffscode zu notieren und bei sich aufzubewahren. Im Bedarfsfalle kann vorgesehen werden, dass diese Edition zu einer Eintragung dieses Zugriffscodes in eine in dem Speicher 8 oder in dem Leser 2 enthaltene Datei führen. In der Folge könnte der Betreiber sooft er möchte auf diese Datei zugreifen, um seinen Zugriffscode im Kontrollmodus zu erfahren (für die Programmierung im Personalisierungsmodus des Speichers 7 und des Speichers 8).
- Nach der Operation 24 kann der Betreiber, da er nun über den geheimen Zugriffscode verfügt, den Befehl 22 und die Folge der Operationen 23 wie oben neu starten.
- Der Makro-Befehl 24 umfaßt überdies einen zweiten wesentlichen Zählteil. Um nämlich zu erfahren, ob der Zugriff im Kontrollmodus bereits erfolgt ist, muß dieser vorher gezählt worden sein. Daher wird bei dem Makro-Befehl 24 ein Zählen durchgeführt. Dieses Zählen kann auf eins begrenzt sein. In diesem Fall kann nur ein einziges Mal durch den Test 21 auf den Makro-Befehl 24 zugegriffen werden, der die Edition des Zugriffscodes im Kontrollmodus hervorruft. Wenn hingegen das Zählen mit einem Wert N nach oben begrenzt ist, startet der Test 21 den Makro-Befehl 24, bis das Zählen diesen Wert N erreicht hat. Das Ergebnis des Zählens, das durch den Makro-Befehl 24 durchgeführt wurde, wird beispielsweise in dem Speicher 8 in einem geschützten Bereich 13 gespeichert. Um gegen Betrügereien sicher zu sein, ist es vorzuziehen, dass der Zählvorgang vor dem Editionsvorgang erfolgt. Auf diese Weise wird nämlich vermieden, mehr Zugriff im Kontrollmodus als vorgesehen zu gewähren. Es ist nämlich bekannt, dass die Betrüger versuchen, die Karten 1 aus den Lesern 2 herauszuziehen, sobald sie die Information, die sie interessiert, erhalten haben, bevor dieser Erhalt für sie gezählt wird. Bei der Erfindung wird diese Praxis vermieden, indem die Edition aufgezeichnet wird, noch bevor sie gestartet wird.
- Wie beschrieben folgt der Test 21 auf einen Test 19, bei dem in Erfahrung gebracht werden soll, ob die Intervention des Betreibers ein Auftrag zum Einsatz eines Kontrollmodus der Chipkarte war oder nicht. Dieser Modus ist ein bevorzugter Modus. Jedoch es könnte vorgesehen werden, dass der Test 21 direkt nach der Anschlussphase 16 gestartet wird. In diesem Fall würde die Operation 24 den geheimen Zugriffscode im Kontrollmodus editieren, in Abhängigkeit vom Zählen bis N, auch wenn der Dienstleistungsanbieter zu diesem Zeitpunkt nicht plant, eine Personalisierung der Karte durchzuführen.
- Die Verbindung des Makro-Befehls 22 mit dem Makro-Befehl 24 kann durchgeführt werden, entweder indem eine verzögerte Edition stattfindet, wenn der geheime Zugriffscode im Kontrollmodus X Y Z flüchtig auf dem Bildschirm 15 des Terminals 2 angezeigt wird, oder in einer positiven Form, indem von dem Betreiber eine Bestätigung (ausgeführt in Form eines Drückens auf eine Genehmigungstaste oder eine Eingangstaste) gefordert wird, bevor zu dem Makro-Befehl 22 übergegangen wird.
- Fig. 3 zeigt eine bevorzugte Editionsart des geheimen Zugriffscodes im Kontrollmodus. Vorzugsweise ist dieser Zugriffscode im Kontrollmodus verschlüsselt. In dem Beispiel ermöglicht es ein Verschlüsselungsalgorithmus 25 dem Hersteller, den geheimen Zugriffscode 26 in Abhängigkeit von einem Privatschlüssel 27 zu ändern, den der Hersteller besitzt und den dieser letztgenannte streng vertraulich behandelt. Vorzugsweise kann die Zähloperation 25 die Verschlüsselung des Zugriffscodes 26, der Seriennummer 28 der Karte sowie jener des Codes und des Namens des Herstellers 29 umfassen. Das verschlüsselte codierte Wort, das in dem Register 13 durch den Hersteller gespeichert wird, umfasst somit stillschweigend eine Zugriffscodeinformation, die Information über die Seriennummer und/oder die Information über Herstellerreferenzen.
- Aus diesem Grund weist die letzte Edition des Geheimcodes, hervorgerufen während des Makro-Befehls 24, einen verschlüsselten Zugriffscode 30 auf. In diesem verschlüsselten Zugriffscode kann der Zugriffscode X Y Z selbst in Klarschrift erscheinen. Allerdings kann nach oder vor ihm auch eine Folge von Buchstaben kommen, die sich aus der Verschlüsselung durch den Algorithmus 25 ergibt. Oder aber der Zugriffscode X Y Z wird selbst verschlüsselt und erscheint nicht in Klarschrift. In diesem Fall ermöglicht es seine Edition 31 nicht, an sich den Zugriffscode im Kontrollmodus zu bestimmen.
- In diesem letztgenannten Fall wird bei einer Entschlüsselungsmaschine 32 ein Algorithmus zur Entschlüsselung des Inhalts dessen, das bei dem Befehl 24 editiert wurde, eingesetzt (der Code 30 mit dem Code X Y Z in Klarschrift und die zusätzlichen Buchstaben, oder der verschlüsselte Code 31). Diese Entschlüsselung wird selbst durch einen öffentlichen Schlüssel 33 parametriert. Der öffentliche Schlüssel 33 ist mit dem Privatschlüssel 27 verbunden. Er ermöglicht es gemäß dem eingegebenen Code 30 oder dem Code 31, eine Kohärenzmeldung 34 bzw. den Zugriffscode im Kontrollmodus 35, der selbst in Klarschrift erscheint, zu erzeugen.
- Beispielsweise kann die Kohärenzmeldung 34 die Aufdeckung des Namens des Herstellers umfassen. In dem Maße, als der Hersteller ein bekannter Hersteller ist und sein Name beispielsweise auf einer auf der Chipkarte aufgedruckten Graphik erscheint, kann der Dienstleistungsanbieter oder ganz allgemein der Benutzer die Herkunft der Chipkarte, die er gekauft hat, feststellen und sich nicht nur mit der auf der Karte zu sehenden Graphik zufrieden geben. Es ist nämlich unbedingt zu verhindern, dass Betriebssysteme 10, die von Betrügern erfunden wurden, zu einem gegebenen Zeitpunkt die Weitergabe von Geheimcodes der Karte hervorrufen können (insbesondere durch Kommunikationswege im Übertragungsmodus). Diese Weitergabe würde es somit diesen Betrügern ermöglichen, sie auf betrügerische Weise einzusetzen. Wenn somit der Name des Herstellers 29 durch den Privatschlüssel 27 in dem Algorithmus 25 verschlüsselt wurde, erscheint dieser Name stillschweigend in den Meldungen 30 oder 31. Die Entschlüsselung durch den öffentlichen Schlüssel 33 in der Maschine 32 ruft die Edition des Namens des echten Herstellers hervor. Es versteht sich, dass ein Betrüger, wenn er nicht den richtigen Privatschlüssel besitzt, in der Karte nur unzusammenhängende Meldungen 30 oder 31 speichern kann. Der Benutzer oder Dienstleistungsanbieter, der sich nun den öffentlichen Schlüssel verschafft, beispielsweise durch Anschluß an die Internet-Seite des Herstellers, sieht nicht den Namen des Herstellers aufscheinen, der mit diesem öffentlichen Schlüssel aufgedeckt werden sollte. Dieser öffentliche Schlüssel wird nämlich nicht dem von dem Betrüger verwendeten Privatschlüssel entsprechen, da dieser den geheimen Privatschlüssel, den der Hersteller besitzt, nicht kennt. Wenn ferner der Algorithmus 25, anstatt die Edition einer Meldung 30 hervorzurufen, die den Zugriffscode in Klarschrift umfasst, die Edition einer Meldung 31 hervorruft, in der der Zugriffscode verschlüsselt ist, besteht für den Code, der schließlich in der Meldung 35 erhalten wird, kein Grund, zu der betreffenden Karte zu passen. Diese ist somit verloren.
- Der Einsatz des Algorithmus 25 erfolgt bei dem Hersteller. Der Einsatz der Entschlüsselung 32 kann bei dem Leser 2 durchgeführt werden. Als Variante kann er durch den Mikroprozessor 3 erfolgen, der nun die für diesen Algorithmus 32 erforderlichen Befehle in dem Teil 10 des Speichers 9 des Betriebssystems lesen würde. Die Algorithmen 25 und 32 können überdies den Zugriffscode überhaupt nicht betreffen. So kann ein bekannter Hersteller Paare von zu verschlüsselnder Meldung - Meldung in Klarschrift liefern. Wenn die Karte eine authentische Karte ist, wenn sie den Algorithmus 32 des Herstellers umfasst, ergibt die Entschlüsselung der zu verschlüsselnden Meldung die Meldung in Klarschrift. Der Benutzer kann sich nun davon überzeugen, dass seine Karte authentisch ist. Um den Algorithmus gegenüber seiner Kryptanalysis nicht instabil zu machen, kann die Anzahl von Paaren begrenzt sein. Als Variante können die Operationen der Fig. 3 außerhalb der Karte, beispielsweise auf einer Internet-Seite erfolgen.
- Im Bedarfsfalle kann der Zugriffscode im Kontrollmodus, wie für die Erkennungscodes, von dem Benutzer nach seinem Belieben geändert werden. Wenn ferner der Zugriffscode in einer Datei editiert wird, kann eine Verriegelung dieser Datei durchgeführt werden, um endgültig den Zugriff auf sie zu verbieten oder den Zugriff auf diese Datei unter gewissen Bedingungen zu gestatten.
Claims (10)
1. Verfahren zur Personalisierung einer Chipkarte (1), bei dem
- die Chipkarte mit einer Funktion (11) der Kontrolle ausgestattet wird,
- der Zugriff auf diese Funktion durch eine Überprüfung eines
Zugriffscodes geschützt wird (22),
- die Kontrollfunktion eingesetzt wird (11), um die Chipkarte zu
personalisieren,
dadurch gekennzeichnet, dass
- eine Verbindung der Chipkarte mit dem Terminal getestet wird (21),
um zu erfahren, ob es sich um eine erste Verbindung handelt, und
- wenn es sich um eine erste Verbindung handelt, ein Zugriffscode im
Kontrollmodus für die Chipkarte aufgedeckt wird (24).
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass für den
Test der Verbindung der Chipkarte mit dem Terminal
- mit dem Terminal eine Kontrollfunktion der Chipkarte aufgerufen
wird,
- der Aufruf (19) der Kontrollfunktion getestet wird, um zu erfahren, ob
es sich um einen ersten Aufruf dieser Kontrollfunktion handelt, und
- wenn es ein erster Aufruf ist, der Kontrollzugriffscode editiert wird.
3. Verfahren nach einem der Ansprüche 1 bis 2, dadurch
gekennzeichnet, dass
- die Anzahl von Erstverbindungen gezählt wird und der Zugriffscode
nicht mehr editiert wird, wenn diese Anzahl einen gegebenen Wert (N)
erreicht, der in der Karte voraufgezeichnet ist (13).
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass
- vorher die Anzahl von Erstverbindungen aufgezeichnet wird und
sodann der Zugriffscode editiert wird, wenn die aufgezeichnete Zahl kleiner
als der voraufgezeichnete Wert ist.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch
gekennzeichnet, dass
- der Zugriffscode (X Y Z) auf einem Bildschirm (15) des Terminals
editiert wird.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch
gekennzeichnet, dass
- der Zugriffscode in einer Datei der Chipkarte oder des Terminals
editiert wird.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass
- der Zugriff auf die Datei nach Konsultation verriegelt wird.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch
gekennzeichnet, dass
- der Kontrollzugriffscode verschlüsselt wird, um eine Kohärenz
desselben zu bewirken,
- und dieser nach der Edition entschlüsselt wird, um dessen Kohärenz
zu überprüfen.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch
gekennzeichnet, dass
- die Kontrollfunktion eingesetzt wird und
- der Zugriffscode geändert wird.
10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch
gekennzeichnet, dass
- mit dem Terminal ein Zugriffscode auf diese Kontrollfunktion gewählt
wird (14) und im Falle eines Erfolges
- die Kontrollfunktion eingesetzt wird, um die Karte zu personalisieren.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9806107A FR2778768B1 (fr) | 1998-05-14 | 1998-05-14 | Procede de personnalisation d'une carte a puce |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE69900566D1 DE69900566D1 (de) | 2002-01-24 |
| DE69900566T2 true DE69900566T2 (de) | 2002-07-18 |
Family
ID=9526366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE1999600566 Expired - Fee Related DE69900566T2 (de) | 1998-05-14 | 1999-04-23 | Verfahren zur Personalisierung einer IC-Karte |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP0957461B1 (de) |
| DE (1) | DE69900566T2 (de) |
| ES (1) | ES2165724T3 (de) |
| FR (1) | FR2778768B1 (de) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102005007581A1 (de) * | 2005-02-18 | 2006-08-31 | Giesecke & Devrient Gmbh | Verfahren zur Personalisierung eines tragbaren Datenträgers |
| DE102014007022A1 (de) | 2014-05-13 | 2015-11-19 | Giesecke & Devrient Gmbh | Implementierung einer sicheren Laufzeitumgebung eines mobilen Endgeräts |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7197633B2 (en) | 2003-07-30 | 2007-03-27 | Xerox Corporation | Wireless machine post-launch configuration and option upgrade |
| EP1622098A1 (de) | 2004-07-30 | 2006-02-01 | ST Incard S.r.l. | Verfahren zur gesicherten Personalisierung einer IC-Karte |
| WO2007105120A1 (en) * | 2006-03-14 | 2007-09-20 | Nxp B.V. | Automatically configurable smart card and method of automatically configuring a smart card |
| FR3023941B1 (fr) * | 2014-07-21 | 2017-11-24 | Oberthur Technologies | Procede de personnalisation d'une carte a microcircuit |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS60160491A (ja) * | 1984-01-31 | 1985-08-22 | Toshiba Corp | Icカードとicカード発行装置 |
| DE3833241A1 (de) * | 1988-09-30 | 1990-04-05 | Deutsche Bundespost | Verfahren zur programmierung von chipkarten |
| FR2687816B1 (fr) * | 1992-02-24 | 1994-04-08 | Gemplus Card International | Procede de personnalisation d'une carte a puce. |
| DE19507044C2 (de) * | 1995-03-01 | 2000-04-06 | Deutsche Telekom Ag | Verfahren zur Erzeugung und Verteilung persönlicher Identifikations-Nummern (PIN) |
| DE19507043B4 (de) * | 1995-03-01 | 2006-11-23 | Deutsche Telekom Ag | Verfahren zur Erzeugung und Verteilung unpersonalisierter vertraulicher elektronischer Schlüssel |
| DE19633466C2 (de) * | 1996-08-20 | 2001-03-01 | Ibm | Nachinitialisierung von Chipkarten |
-
1998
- 1998-05-14 FR FR9806107A patent/FR2778768B1/fr not_active Expired - Fee Related
-
1999
- 1999-04-23 ES ES99400995T patent/ES2165724T3/es not_active Expired - Lifetime
- 1999-04-23 EP EP19990400995 patent/EP0957461B1/de not_active Expired - Lifetime
- 1999-04-23 DE DE1999600566 patent/DE69900566T2/de not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102005007581A1 (de) * | 2005-02-18 | 2006-08-31 | Giesecke & Devrient Gmbh | Verfahren zur Personalisierung eines tragbaren Datenträgers |
| DE102014007022A1 (de) | 2014-05-13 | 2015-11-19 | Giesecke & Devrient Gmbh | Implementierung einer sicheren Laufzeitumgebung eines mobilen Endgeräts |
Also Published As
| Publication number | Publication date |
|---|---|
| DE69900566D1 (de) | 2002-01-24 |
| ES2165724T3 (es) | 2002-03-16 |
| EP0957461B1 (de) | 2001-12-12 |
| FR2778768A1 (fr) | 1999-11-19 |
| FR2778768B1 (fr) | 2000-07-28 |
| EP0957461A1 (de) | 1999-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE69823649T2 (de) | Multi-anwendungs ic-kartensystem | |
| DE69529103T2 (de) | Verfahren zum Handhaben der Sicherheit einer Speicherkarte, und Speicherkarte und geeignete Transaktionsvorrichtung | |
| DE3700663C2 (de) | ||
| DE69717475T2 (de) | Mehrfachtickets auf chipkarten | |
| DE69814406T2 (de) | Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter | |
| DE69527867T2 (de) | Verfahren und Vorrichtung zum Authentifizieren eines Datanträgers, bestimmt zum Zulassen einer Transaktion oder des Zuganges zu einer Dienstleistung oder zu einem Ort; und entsprechender Datenträger | |
| DE69807210T2 (de) | Gesichertes mehrzweckkartensystem und -verfahren | |
| DE69012692T2 (de) | Karte mit festverdrahteter Mikroschaltung und Verfahren zur Durchführung einer Transaktion zwischen einer solchen Karte und einem Endgerät. | |
| EP0976113B1 (de) | Verfahren zur erzeugung eines guthabens mittels eines vorausbezahlten wertgutscheins | |
| DE69834180T2 (de) | Schlüsseltransformationseinheit für eine chipkarte | |
| DE69607041T2 (de) | Verfahren zum geschützten elektronischen zahlungsmittels | |
| DE69710588T2 (de) | In chipkarten gespeicherte tickets | |
| DE69813645T2 (de) | Chipkarte, System zum Verarbeiten von Chipkarten und Verfahren zum Beglaubigen von Chipkarten | |
| DE69836633T2 (de) | Datentransportschlüsselsatz für chipkarten | |
| DE69805155T2 (de) | Integrierte Schaltung und Chipkarte mit einer solchen Schaltung | |
| DE69419967T2 (de) | Chip von IC Karte mit Mitteln zur Begrenzung der Anzahl von Authentifizierungen | |
| EP1099197B1 (de) | Vorrichtung zum liefern von ausgangsdaten als reaktion auf eingangsdaten und verfahren zum überprüfen der authentizität und verfahren zum verschlüsselten übertragen von informationen | |
| DE19839847A1 (de) | Speichern von Datenobjekten im Speicher einer Chipkarte | |
| DE69016765T2 (de) | Verfahren zur Erzeugung einer Pseudozufallszahl in einem Datenbearbeitungssystem und ein System zur Ausführung dieses Verfahrens. | |
| DE3103514A1 (de) | Verfahren und vorrichtung zum steuern einer gesicherten transaktion | |
| DE4230866B4 (de) | Datenaustauschsystem | |
| DE69900566T2 (de) | Verfahren zur Personalisierung einer IC-Karte | |
| WO2001004771A2 (de) | System zur ausführung einer transaktion | |
| DE19901829A1 (de) | Schaltungsanordnung zur elektronischen Datenverarbeitung | |
| DE69801770T2 (de) | Datenverwaltungsverfahren in einer chipkarte |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8364 | No opposition during term of opposition | ||
| 8339 | Ceased/non-payment of the annual fee |