-
Die vorliegende Erfindung bezieht
sich allgemein auf Sicherheitsmodul-Terminal-Systeme, wie z. B.
im Bereich der Kreditkarten, Debit-Karten, Wertkarten und Geldkarten.
Insbesondere bezieht sich die vorliegende Erfindung auf eine Verbesserung
der Sicherheit gegen die Verwendung verlorengegangener oder gestohlener
Karten durch Unbefugte.
-
In derzeit üblichen Sicherheitsmodul-Terminal-Systemen
werden die berechtigten Benutzer des Systems durch ein Sicherheitsmodul
repräsentiert, das
als eine kryptographische Einheit bzw. Kryptoeinheit fungiert, und
typischerweise eine Chipkarte ist. Eine Kryptoeinheit ist zumeist
dazu geeignet, kryptographische Schlüssel sicher gegen unerlaubten
Zugriff zu speichern und unter Verwendung dieser Schlüssel kryptographische
Algorithmen auszuführen.
Diese Algorithmen werden in der Regel auf Daten angewendet, die
von dem Sicherheitsmodul-Terminal-System
bereitgestellt werden, beispielsweise zur Authentisierung der Kryptoeinheit
im Rahmen eines Challenge/Response-Verfahrens oder zur Erzeugung
einer digitalen Signatur.
-
Ein besonderes Problem bei diesen
Systemen besteht darin, die Verwendung der Kryptoeinheiten bzw.
der Sicherheitsmodule ohne den ausdrücklichen Willen des berechtigten
Benutzers des Systems und somit den Mißbrauch bzw. die Benutzung
derselben durch Unbefugte auszuschließen. In der Vergangenheit wurde
hierzu eine vorherige Identifikation des Besitzers am Terminal gefordert,
um somit den berechtigten Benutzer von einem unbefugten unterscheiden
zu können. 10 zeigt die typischen Komponenten,
die herkömmlicher
Weise in Verbindung mit solchen Chipkarten-System verwendet werden.
Insbesondere zeigt 10 schematisch
ein Terminal 900 und ein Sicherheitsmodul 902,
das in eine Kontaktiereinheit 904 des Termi nals 900 eingeführt ist.
Das Terminal 900 weist neben der Kontaktiereinheit 904 eine
Ausgabeeinheit 906, eine Eingabeeinheit 908 und
eine Schnittstelle 910 zur Verbindung über ein Netzwerk 912 mit
beispielsweise einem Zentralrechner des Systems, wie z. B. einer
Bank, auf.
-
In 11 ist
schematisch der Vorgang einer Terminaltransaktion zwischen den Komponenten
von 10 dargestellt,
wie er herkömmlicher
Weise stattfand, um die Identifikation des augenblicklichen Kartenbesitzers
festzustellen. In 11 sind
die einzelnen Schritte während
eines Transaktionsvorgangs in Blöcken
dargestellt, die in chronologischer Reihenfolge von oben nach unten
angeordnet sind. Zudem ist die 11 in
drei Spalten angeordnet, von denen jede, wie es in jeder Spalte
oben angezeigt ist, dem Terminal, der IC-Karte bzw. dem Benutzer
zugeordnet ist. Jeder Block ist horizontal in derjenigen Spalte bzw.
denjenigen Spalten angeordnet, die entweder dem Terminal, der IC-Karte
oder dem Benutzer zugeordnet ist, je nachdem, wer an dem jeweiligen
Schritt aktiv beteiligt ist.
-
Nachdem der Benutzer, wie in 10 dargestellt, in einem
Schritt 920 die Kryptoeinheit 902, von der im folgenden
angenommen wird, daß es
sich um eine IC-Karte handelt, in die dafür vorgesehene Schnittstelle 904 des
Terminals 900 eingeführt
hat, wird in einem Schritt 922 zunächst eine Authentifikation
zwischen dem Terminal 900 des Systems auf der einen und
der IC-Karte 902 des Benutzers auf der anderen Seite durchgeführt, welche
lediglich dazu dient, daß sich
Terminal 900 und IC-Karte 902 gegenseitig als
zugelassene Kommunikationspartner ausweisen. Um die Identifikation
des augenblicklichen Besitzers der IC-Karte 902 festzustellen,
fordert das Terminal 900 über die Ausgabeeinheit 906 den
Benutzer der IC-Karte 902 in
einem Schritt 924 zur Eingabe eines Identifikationsparameters, wie
z. B. einer PIN bzw. persönlichen
Identifikationsnummer, auf. In einem Schritt 926 gibt der Besitzer über die
Eingabeeinheit 908 des Terminals 900 die PIN ein,
die geheim ist und normalerweise nur dem berechtigten Benutzer bekannt
ist. Innerhalb des Terminals 900 wird die eingegebene PIN
in einem Schritt 928 über
die Schnittstelle 904 an die IC-Karte 902 weitergeleitet. In
einem darauffolgenden Schritt 930 überprüft die IC-Karte 902,
ob die PIN richtig eingegeben wurde. Je nach Korrektheit der Eingabe
erfolgt daraufhin in einem Schritt 932 entweder ein Abbruch der
Transaktion am Terminal 900 oder die IC-Karte 902 bestätigt dem
Terminal 900 die korrekte Eingabe der PIN, woraufhin dem
Benutzer in einem Schritt 934 über
die Eingabeeinheit 908 Gelegenheit gegeben wird, die vorzunehmende
Transaktion näher
zu bestimmen. Im Schritt 936 führt
das Terminal schließlich
die Transaktion durch.
-
Obwohl der Mißbrauch der IC-Karte 902 durch
einen unbefugten Benutzer gebannt zu sein scheint, da die Kenntnis
der zur Durchführung
einer Transaktion notwendigen PIN allein beim berechtigten Benutzer
liegt, ergeben sich bei der oben dargestellten Vorgehensweise verschiedene
Probleme. Zunächst
muß sich
der berechtigte Benutzer die PIN neben einer Vielzahl von anderen
Geheimnummern, Paßwörtern und
dergleichen merken, was beschwerlich ist und die Gefahr mit sich
bringt, daß der
Benutzer die PIN vergißt
oder, um dies zu vermeiden, die PIN irgendwo notiert, wo sie durch
eine kriminelle Person entdeckt werden kann. Um diesem Problem zu
begegnen, wurden in der Vergangenheit die Verwendung von biometrischen
Merkmalen des berechtigten Benutzers als Identifikationsparameter
vorgeschlagen, wie z. B. ein Fingerabdruck oder eine Gesichtserkennung
oder dergleichen.
-
Obwohl durch biometrische Merkmale
das Problem des Sich-Merken-Müssens des
Kartenbenutzers überwunden
wird, bleibt für
den Benutzer weiterhin die Notwendigkeit, eine Eingabe durchzuführen, die
je nach Identifikationsparameter bzw. biometrischem Merkmal mehr
oder weniger aufwendig sein kann. Die Eingabe ist jedoch unbedingt
erforderlich, da sonst die Identifikation des augenblicklichen Kartenbenutzers
nicht durch geführt
und nicht festgestellt werden kann, ob der augenblickliche Kartenbesitzer
der berechtigte Kartenbesitzer ist. Bei Anwendungen, bei denen der
Wunsch nach einer bequemen Handhabung über den Schutz vor unberechtigter
Benutzung überwiegt,
werden deshalb keine PIN-Eingaben von Seiten des Benutzers verlangt, wie
z.B. bei Telefonkarten.
-
Es fehlt ein Sicherheitssystem zum
Schutz vor kriminellem Mißbrauch
von Sicherheitsmodulen, das auf Anwendungen zugeschnitten ist, die
einerseits mehr Sicherheit erfordern, als dies ohne Identifikationsüberprüfung des
Kartenbesitzers möglich
ist, und für
die aber andererseits der Aufwand für den Benutzer niedrig sein
sollte, wie z.B. bei Monats- oder Jahreskarten zur Überprüfung der
Fahrberechtigung im Nahverkehr. So ist an dem bisherigen Lösungsansatz
zur Vermeidung des unerlaubten Gebrauchs von Sicherheitsmodulen
durch Dritte mittels PIN nachteilhaft, daß die Erhöhung der Sicherheit mit dem
Preis bezahlt werden muß,
daß der
Zahlungsvorgang durch die integrierte Benutzeridentifikation bzw.
die Eingabe der PIN wesentlich verlängert wird.
-
Ein Hauptproblem bei der oben beschriebenen
Vorgehensweise zum Verhindern des kriminellen Mißbrauchs von IC-Karten, das
ungeachtet der verwendeten Identifikationsparameter, d.h. auch bei
der Verwendung von biometrischen Merkmalen, bestehen bleibt, besteht
darin, daß der
Kartenbesitzer gezwungen ist, seinen nur ihm bekannten persönlichen Identifikationsparameter
in einer ihm fremden Umgebung einzugeben und dem „System" anzuvertrauen. In
der unsicheren Umgebung mag es dem Kartenbesitzer nicht möglich sein,
seine PIN einzugeben, ohne der Beobachtung durch Dritte ausgesetzt
zu sein, wie z.B. durch Überwachungskameras
oder dergleichen, wodurch Dritte in die Kenntnis der PIN gelangen
können.
Zudem muß der
Kartenbesitzer bei der oben beschriebenen Vorgehensweise zwangsläufig seinen Identifikationsparameter
dem Terminal 900 und damit dem System gegenüber preisgeben
(Schritt 926 von 11).
Bei höchst
vertrauenswürdigen
Terminaleinrichtungen, wie z.B.
-
Bankautomaten, erscheint die Preisgabe
des Identifikationsparameters zwar unbedenklich zu sein, obwohl
auch hier bereits in der Vergangenheit Bankautomatenattrappen verwendet
worden sind, um Kartenbesitzern ein scheinbar echtes Terminal vorzuspielen,
um an die PIN des Kartenbesitzers zu gelangen. Größeres Unbehangen,
den Identifikationsparameter einem kriminellen Dritten preiszugeben,
sollte sich beim Karteneigentümer
jedoch im Bereich der bargeldlosen Zahlung einstellen, wie z.B.
an POS-Terminals (point-of-sales-Terminals) für Zahlungsverkehrsanwendungen.
Der Kartenbesitzer muß zwangsläufig auf
den vertraulichen Umgang seines eingegebenen Identifikationsparameters
in dem POS-Terminal vertrauen.
-
Zu beachten ist hierbei, daß, sobald
ein krimineller Dritter in Kenntnis des Identifikationsparameters
des berechtigten Besitzers gelangt, jegliche mit der IC-Karte des
berechtigten Kartenbesitzers ausführbaren Transaktionen ausführen kann,
sobald er in Besitz der IC-Karte gelangt, und zwar im Namen des
berechtigten Besitzers. Da diese beiden Komponenten letztlich den
berechtigten Benutzer des Systems mit all seinen Rechten im System
ausweisen, entsteht somit ein sehr hohes Schutzbedürfnis gegen den
oben beschriebenen Mißbrauch
des Sicherheitsmoduls.
-
Um diesem Defizit des möglichen
Mißbrauchs
der Identifikationsparameter nachzukommen, wurde in der Vergangenheit
eine aufwendige Technik verwendet, um den Mißbrauch über kostspielige Evaluierungen
nachzuweisen. Die Hersteller der Sicherheitsmodul-Terminal-Systeme
müssen
zur Akzeptanz ihrer Systeme sicherstellen, daß die verwendeten Terminals
angriffsgeschützt
sind und im Fall einer PIN als Identifikationsparameter die Eingabeeinheit 908,
die Ausgabeeinheit 906 und die Kontaktiereinheit 904 gegen
Ausspähen
und Manipulation sichern, was wiederum hohe Kosten verursacht.
-
Beispiele für Sicherheitsmodul-Terminal-Systeme
der obigen Art mit oder ohne Eingabe eines Identifikationsparameters
an der jeweiligen Terminalstelle sind in den folgenden Dokumenten
offenbart.
-
Die
JP10240368 beschreibt
ein Computersystem, das eine kontaktlose tragbare Karte dazu verwendet,
zu überprüfen, ob
ein Benutzer autorisiert ist, indem das Computersystem über eine
Kommunikationsschaltung, die in den Peripheriegeräten vorgesehen
ist, die Identifikationsinformationen von der Karte empfängt.
-
Ein ähnliches System wird in der
DE4015482 offenbart, die
sich auf ein Authentifizierungssystem für ein Datenverarbeitungsterminal
bezieht, das eine von einem Benutzer getragene Identifikationsplatte, wie
z.B. an einem Armband, abfragt.
-
Ein System mit biometrischen Identifikationsparametern
wird in der
JP10021469 beschrieben,
die sich auf eine Kassiervorrichtung für eine kontaktlose IC-Karte
zur Verwendung in einem Supermarkt bezieht. Die Kassiervorrichtung
empfängt über eine Kommunikationseinheit
von einem Speicher auf der IC-Karte
Informationen über
das Auge des Benutzers und vergleicht diese mit einer Erfassung
des Kartenbesitzers.
-
Die
JP11015936 beschreibt
ein Informationsverarbeitungssystem für das öffentliche Telefon, die auf
einer Datentransaktion zwischen einer kontaktlosen Prepaid-IC-Karte
und einem IC-Kartenleser basiert.
-
Die WO200051008-A1 beschreibt einen
hybriden IC-Chip und ein Verfahren zur Authentifikation eines anderen
Teilnehmers, bei dem eine Datenumwandlung von physischen Merkmalen
in identifikationsbasierte Daten vorgenommen wird.
-
Die
JP2000259786 bezieht
sich auf eine Authentifikationsvorrichtung für ein kontaktloses Raum-Betritt/Verlaß-Verwaltungssystem
in Gebäuden,
bei der ein ID-Code in einem Datenträger mit einem vorgespeicherten
Code und mit gelesenen Codes zur Beurteilung der Authentifikation
verglichen wird.
-
Die
DE19909916-A1 bezieht sich auf ein Verfahren
und eine Vorrichtung zur Erhebung von Parkgebühren. Jeder Parkplatz ist mit
einer Kommunikationsvorrichtung versehen, der eine Eingabevorrichtung,
eine Steuervorrichtung, eine Ausgabevorrichtung und eine Schnittstelle
für in
die Kommunikationsvorrichtung steckbare Identifikationskarten aufweist.
Die Kommunikationsvorrichtungen dienen als Terminals zur automatischen
Weiterleitung aller notwendigen Informationen zur Parkgebührenerhebung an
eine Steuervorrichtung.
-
Die
DE19719275-C2 bezieht sich auf ein System
mit einem tragbaren Terminal, welches zwei Aufnahmevorrichtungen
zum Herstellen einer Wirkverbindung mit einem darin eingeführten Datenträger sowie
Bedienelemente, Anzeigeelemente und eine Steuerschaltung aufweist.
In dem System existieren zueinander eindeutig zugeordnete Datenträger, wobei
einige Funktionen, die durch das Terminal durchgeführt werden
können,
nur durchgeführt
werden, wenn die in das Terminal augenblicklich eingeführten Datenträger einander
zugeordnet sind. Die Überprüfung hierüber erfolgt
in Mikroprozessoren der beiden Datenträger über eine gegenseitige Kommunikationsverbindung über die
beiden Aufnahmevorrichtungen des Terminals.
-
Die US 2002/0025062 A1 beschäftigt sich mit
einem Verfahren zur Identitätsverifikation.
Das Verfahren basiert auf der Idee, den üblicherweise zur Authentifikation
einer Person erforderlichen Akt der Unterschrift gleichzeitig dazu
zu verwenden, weitere biometrische Daten des unterschreibenden zur
Personenerkennung heranzuziehen, nämlich indem der Stift gleichzeitig
als Fingerabdruckscanner, DNA-Analysator oder dergleichen dient.
Der Einsatz dieses Verfahrens wird im Zusammenhang mit verschiedenen
Szenarien beschrieben. Unter anderem ermögliche der Stift eine Signaturverifikation
an POS-Terminals,
und zwar entweder mit kredit-ähnlichen
Karten oder anstelle solcher Karten. Die Verwendbarkeit des Verfahrens
wird in zwei Fälle
unterschieden, nämlich
in die Feststellung der Identität durch
eine Eins-Zu-Viele-Biometrieüberprüfung und eine
Eins-Zu-Eins-Biometrieüberprüfung. Die Überprüfungsverarbeitung
könne an
jedwedem Ort stattfinden, nämlich
an dem POS-Terminal, dem Stift selbst oder an irgendeinem regionalen
Computer. Ferner sei das Verfahren sowohl mit einem an einem Terminal
befestigten Stift, einem tragbaren als auch mit einem für die einzelne
Person persönlichen
Stift durchführbar.
In einem detailliert ausgeführten
Ausführungsbeispiel
umfasst der Stift ein Einfügeelement,
das eine verschlüsselte
Referenzidentifikation, wie z.B. einen verschlüsselten Fingerabdruck und den
Namen des Benutzers aufweist. Dieses Einfügelement wird von dem Benutzer
vor Benutzung des Stifts angefügt.
Sensoren seien damit an den POS-Terminals nicht mehr erforderlich,
da sich biometrische Sensoren bereits in dem Stift befänden. Als
ein wesentlicher Vorteil des Verfahrens wird beschrieben, dass es
möglich
sei, auch gänzlich
auf Karten zu verzichten, und diese durch den dort beschriebenen
Stift zu ersetzen. Ein weiterer Vorteil sei die Möglichkeit,
die Privatsphäre
zu erhöhen,
indem es möglich
sei, für
weniger sicherheitskritische Anwendungen auf persönliche Daten
des Benutzers zu verzichten und Leistungen unter Wahrung der Anonymität zu liefern.
-
Die
US
5,757,918 bezieht sich auf ein Verfahren und eine Vorrichtung
für eine
Benutzer- und Sicherheitsgerätauthentifikation.
Weitere Kommunikationspartner außer dem Terminal sind für eine Smart-Card
darin nicht vorgesehen.
-
Die
DE 4409645 A1 offenbart das Versehen einer
Karte mit einem elektronischen Teil, der Daten drahtlos nach außen sendet
und/oder von außen empfängt. Ein
System mit drei Kommunikationspartnern nicht offenbart.
-
Die
EP 0379333 A1 und WO 9845818 betreffen Informationsaustauschsysteme,
bei dem ein Sicherheitsmodul neben dem Termi nal noch mit einem weiteren
Kommunikationspartner kommuniziert. Die
US 6119096 bezieht sich auf die Verwendung
der Iriserkennung beim Passagier-Ceck-In. Auch dort wird keine mit
zwei Kommunikationspartner kommunizierende Karte offenbart.
-
Die
DE 10050298 A1 bezieht sich auf ein Authentisierungs- bzw. Autorisierungsverfahren
mittels eines persönlichen
elektronischen Gerätes.
Gemäß einem
dort beschriebenen Ausführungsbeispiel
ist das persönliche
elektronische Gerät
ein Handy. In das Handy wird eine Chipkarte eingeführt. Ein
Zahlungsvorgang mit einem Kassenterminal erfolgt dadurch, dass das
Kassenterminal auf drahtlosem Wege einen vorbestimmten Geldbetrag
vom Mobiltelefon anfordert. Das Mobiltelefon verfügt über einen Fingerabdruckscanner.
Vor der Durchführung
des Zahlungsvorgangs fordert das Mobiltelefon durch eine entsprechende
Mitteilung auf einem Display vom Benutzer eine Genehmigung des beabsichtigten Zahlungsvorganges
an. Erst wenn die Zahlung durch Fingerauflegung vom Benutzer genehmigt
wurde, leitet die Elektronik des Mobiltelefons die Zahlungsanfrage
des Kassenterminals an die Chipkarte weiter und überträgt zusätzlich den gescannten Fingerabdruck
an die Chipkarte. Die Chipkarte vergleicht dann den übertragenen
Fingerabdruck mit einem auf der Chipkarte gespeicherten Referenzdatensatz
und führt,
sofern sich eine Übereinstimmung
ergibt, über das
Mobiltelefon die entsprechende Datenkommunikation mit dem Kassenterminal
durch, um die Zahlung zu bewirken.
-
Die
DE 19812469 A1 beschäftigt sich mit einem Verfahren
zur Nutzung von Uhren in Verbindung mit Chipkarten. Insbesondere
beschreibt das Dokument die Möglichkeit,
dass eine Chipkarte mit einer Uhr über ein Gerät, wie z.B. einem Mobiltelefon,
in Verbindung steht. Ferner können
sowohl Armbanduhr als auch Chipkarte in Verbindung mit einem Rechnersystem
stehen.
-
Die
JP 11262061 A beschäftigt sich mit einer Erleichterung
bezüglich
der Eingabe von persönlichen
Identifikationsinfor mationen. Hierzu wird eine Uhr verwendet. Die
Uhr umfasst einen ID-Transmitter. Die Uhr ist in der Lage, mit einem
Mobiltelefon zu kommunizieren. Dieses kommuniziert wiederum mit einem
Servicenetzwerk. Das Dokument beschäftigt sich folglich nicht mit
einem System, bei dem ein Sicherheitsmodul mit einem Terminal kommuniziert und
zusätzlich
mit einer Autorisierungseinrichtung, an der Daten vom Benutzer eingegeben
werden.
-
Die
DE 19914506 A1 betrifft ein Sicherungsverfahren
zur Absicherung der Kommunikation zwischen einer mobilen Datenträgereinrichtung
und einem beliebigen System unter Verwendung datenträgereinrichtungs-externer
Informationen.
-
Die
DE 19929251 D2 beschäftigt sich mit einem Verfahren
und einer Einrichtung zum Aufbau einer Kommunikation zwischen einem
Anwendungsgerät
und einem Netz. Zwischen Anwendergerät, wie z.B. einem Mobiltelefon
und dem Netz wird ein persönlicher
Kommunikationsmodul angeordnet, in welchem die Daten und die Informationen
zum Aufbau der Kommunikation gespeichert werden. Der Kommunikationsmodul
vergleicht beispielsweise eine PIN mit einer bei der Personalisierung
des Kommunikationsmoduls eingespeicherten Referenzzahl, wobei bei
einem positiven Ergebnis der Kommunikationsmodul seine Grundfunktionen
freischaltet, also eine Kommunikation des Anwendergeräts mit dem
Netz ermöglicht.
Die Eingabe der PIN kann dabei beispielsweise über das Anwendergerät erfolgen.
-
Die
DE 10043499 A1 bezieht sich auf ein Verfahren
zur Datenübertragung.
-
Die
JP 04306760 A zeigt ein Erkennungsverfahren
für Besitzer
von Karten. Das Verfahren involviert drei Kommunikationspartner,
nämlich
einen in persönlichen
Dingen des Besitzers der Karte, wie z.B. eine Uhr, einen Ring oder
dergleichen, eingebettete Verarbeitungs/Speicher-Einrichtung, die
Karte selbst und einen Informationsprozessor. Die Karte überprüft die ein gebettete
Verarbeitungs/Speicher-Einrichtung dadurch, dass die sie eine von
der Verarbeitungs/Speicher-Einrichtung erhaltene verschlüsselte Version
von ursprünglich
erhaltenen Ausgaberückantwortdaten
auf ihre Richtigkeit überprüft, wobei
dies im wesentlichen dadurch ermöglicht
wird, dass in der Karte und der Verarbeitungs/Speicher-Einrichtung
am Anfang dieselben Anfangswerte für die chiffrierten Schlüsseldaten
und Ausgaberückantwortdaten
vorhanden sind und diese parallel zueinander aktualisiert werden.
Wenn durch die Überprüfung eine Übereinstimmung
der Aktualisierungen festgestellt wird, werden die Karten in einen
verwendbaren Zustand versetzt. In diesem Fall wird der Zugriff auf
den Informationsprozessor durch die Karten möglich. Das Erkennungsverfahren
ist darauf abgezielt, die Belastung für den Benutzer in einem Informationsverarbeitungsservicesystem,
das die Karten verwendet, nicht zu erhöhen und trotzdem den richtigen
Besitzer der Karten sicher festzustellen.
-
Die Aufgabe der vorliegenden Erfindung
besteht darin, ein neues Sicherheitskonzept für Sicherheitsmodul-Terminal-Systeme zu schaffen,
welches die Sicherheit erhöht.
-
Diese Aufgabe wird durch eine mobile
Authentifikationseinrichtung gemäß Anspruch
1, ein Autorisierungseinrichtung-Sicherheitsmodul-Terminal-System
gemäß Anspruch
9 und Verfahren gemäß Anspruch
10 oder 11 gelöst.
-
Der vorliegenden Erfindung liegt
die Erkenntnis zugrunde, daß von
der bisherigen Vorgehensweise, die Identifikationsinformationen
in einer unsicheren und dem Sicherheitsmodulbesitzer fremden Umgebung
mittels einer Eingabeeinheit des Terminals einzugeben und dem Sicherheitsmodul
die Identifikationsinformationen über die Schnittstelle zwischen Terminal
und Sicherheitsmodul zuzuführen,
abgegangen werden muß.
Erfindungsgemäß wird deshalb der
Identifikationsinformationsübertragungsweg
aus der Systemseite herausgetrennt, um von einer mobilen Autorisierungseinrichtung
des Besitzers zu dem Sicherheitsmodul auf drahtlose Weise stattzufinden. Hierzu
weist das Sicherheitsmodul erfindungsgemäß zwei Schnittstellen auf,
nämlich
eine zur Kommunikation mit dem Terminal und eine weitere zur drahtlosen Kommunikation
mit der mobilen Autorisierungseinrichtung. Die mobile Autorisierungseinrichtung
liefert dem Sicherheitsmodul zur dortigen Autorisierungs- bzw. Authentifikationsüberprüfung Identifikationsinformationen,
die in der Autorisierungseinrichtung entweder in einem Speicher
gespeichert sind oder auf sonstige Weise erzeugt werden, wie z.B. über biometrische
Sensoren, über
eine Tastatur oder dergleichen. Das Sicherheitsmodul, das die Überprüfung der
Identifikationsinformationen vornimmt, wie z.B. vorzugsweise über ein
Zero-Knowledge-Verfahren bzw. ein Zero-Knowledge-Protokoll, sendet
nur dann eine Anforderung einer Aktion bei dem Terminal, wie z.B.
einer Geldüberweisung,
wenn die Überprüfung erfolgreich
war. Anders ausgedrückt übernimmt
das Sicherheitsmodul nur dann die Rolle des Besitzers im System
ein, wenn es mit der mobilen Autorisierungseinrichtung in Verbindung
steht, und letztgenannte auch ihre Authentizität unter Verwendung der Identifikationsinformationen,
wie z.B. einem gegenseitig bekannten Geheimnis, nachgewiesen hat.
-
Aufgrund der Tatsache, daß erfindungsgemäß die Funktionsfähigkeit,
nämlich
die Anforderung einer Aktion bei dem Terminal, davon abhängig gemacht
wird, ob ihr durch die mobile Autorisierungseinrichtung die korrekten
Identifikationsinformationen geliefert werden, ist eine Identifikationsinformati onsabfrage über das
Terminal bzw. über
einen Umweg über
das System nicht erforderlich. Die Identifikationsinformationen
des Benutzers bleiben folglich in seinem privaten Bereich und müssen nicht,
wie früher üblich, einer
unbekannten Umgebung in Form des Terminals bzw. dem „System" anvertraut werden.
-
Wie bei früheren Systemen ohne Identifikationsüberprüfung des
Sicherheitsmodulbesitzers ist es nicht unbedingt notwendig, daß das Terminal
mit einer Eingabeeinheit und einer Ausgabeeinheit ausgestattet ist.
Im Gegensatz zu früheren
derartigen Systemen ohne Identifikationsüberprüfung des Sicherheitsmodulbesitzers
findet jedoch erfindungsgemäß trotzdem
eine Identifikationsüberprüfung über die zweite
Schnittstelle des Sicherheitsmoduls und über die kontaktlose Übertragung
zur mobilen Autorisierungseinrichtung statt. Ein Unbefugter, der
im Besitz des Sicherheitsmoduls, aber nicht der mobilen Autorisierungseinrichtung
des berechtigten bzw. zugelassenen Besitzers ist, kann mit dem Sicherheitsmodul allein
keine Aktionen bei dem Terminal veranlassen, da dem Sicherheitsmodul
die Identifikationsinformationen von der mobilen Autorisierungseinrichtung
fehlen. Der zusätzliche
Aufwand, dem der Sicherheitsmodulbesitzer für das Plus an Sicherheit ausgesetzt ist,
besteht lediglich darin, daß er
selbst zur Benutzung des Sicherheitsmoduls eine mobile Autorisierungseinrichtung
tragen muß,
die hierzu jedoch beispielsweise auf bequeme Weise in eine Taschenuhr, ein
Handy oder eine Brille des Besitzers integriert sein kann, die er
ohnehin bei sich trägt.
Im Vergleich zu früheren
PIN-Eingabe-Systemen muß für die erhöhte Sicherheit
folglich nicht der Preis einer verlängerten Transaktionszeit bezahlt
werden. Die Transaktionszeit, wie z.B. an Point-of-Sales bzw. Zahlungsorten,
ist folglich im Vergleich zu Systemen, die eine PIN-Eingabe erfordern,
verkürzt.
-
Für
Hochsicherheitsanwendungen, bei denen auch die Möglichkeit, daß ein krimineller
Dritter in Besitz sowohl des Sicherheitsmoduls als auch der mobilen
Autorisierungseinrichtung gelangt, berücksichtigt werden soll, kann
die mobile Au torisierungseinrichtung anstatt eines Speichers, in
dem identifikationsrelevante Informationen gespeichert sind, eine
Eingabeeinheit aufweisen, wie z.B. eine Tastatur oder einen Sensor,
zur Erfassung biometrischer Charakteristika, wie z.B. einen Lautsprecher
zur Spracherkennung, ein optisches Abbildungssystem zur Gesichtserkennung,
ein Schreibfeld zur Handschrifterkennung, einen optischen Scanner
zur Fingerabdruckerkennung oder dergleichen. Die Eingabe eines Identifikationsparameters
durch den Kartenbesitzer findet in diesem Fall im Unterschied zu
den bisherigen Systemen jedoch in einer sicheren Umgebung statt,
und die zu dem Sicherheitsmodul übertragenen Identifikationsinformationen
gehen in diesem Fall nicht den Umweg über einen Dritten bzw. eine
Systemkomponente, wie z.B. das Terminal.
-
Ein im Hinblick auf eine Einführung des
erfindungsgemäßen Sicherheitskonzepts
in einer bestehenden Infrastruktur bedeutender Vorteil der vorliegenden
Erfindung besteht darin, daß erfindungsgemäße Sicherheitsmodule
auch bei Terminals eingesetzt werden könnten, bei denen die Überprüfung von
Identifikationsinformationen bzw. Identifikationsparametern auf
der Sicherheitsmodulseite stattfindet, indem der der Benutzer dem
Terminal gegenüber eine
beliebige Schein-PIN angibt, die durch das Sicherheitsmodul nur
bestätigt
wird, wenn die geeignete Autorisierungseinrichtung anwesend ist.
-
Bevorzugte Ausführungsbeispiele der vorliegenden
Erfindung werden nachfolgend bezugnehmend auf die beiliegenden Zeichnungen
näher erläutert. Es
zeigen:
-
1 eine
schematische Zeichnung eines Terminals, eines Sicherheitsmoduls
und einer mobilen Autorisierungseinrichtung gemäß einem Ausführungsbeispiel
der vorliegenden Erfindung;
-
2 ein
schematisches Diagramm, das die wesentlichen Schritte einer Situation
darstellt, bei der ein Si cherheitsmodulbenutzer eine Aktion beim
Terminal anfordert, vor dem Hintergrund des Ausführungsbeispiels von 1;
-
3 eine
schematische Zeichnung eines Terminals, eines Sicherheitsmoduls
und einer mobilen Autorisierungseinrichtung gemäß einem weiteren Ausführungsbeispiel;
-
4 ein
schematisches Diagramm, das die wesentlichen Schritte einer Situation
darstellt, bei der ein Sicherheitsmodulbenutzer eine Aktion beim
Terminal anfordert, vor dem Hintergrund des Ausführungsbeispiels von 3;
-
5 eine
schematische Zeichnung eines Terminals, eines Sicherheitsmoduls
und einer mobilen Autorisierungseinrichtung gemäß einem weiteren Ausführungsbeispiel;
-
6 ein
schematisches Diagramm, das die wesentlichen Schritte einer Situation
darstellt, bei der ein Sicherheitsmodulbenutzer eine Aktion beim
Terminal anfordert, vor dem Hintergrund des Ausführungsbeispiels von 5;
-
7 ein
schematisches Blockdiagramm eines Sicherheitsmoduls gemäß der vorliegenden
Erfindung;
-
8 ein
schematisches Blockdiagramm einer mobilen Autorisierungseinrichtung
gemäß einem Ausführungsbeispiel
der vorliegenden Erfindung, bei dem die Identifikationsinformationen
in einem Speicher gespeichert sind;
-
9 ein
schematisches Diagramm einer mobilen Autorisierungseinrichtung gemäß einem Ausführungsbeispiel der
vorliegenden Erfindung, bei dem die Identifikationsinformationen
aus Identifikationsparametern abgeleitet werden, die von dem Benutzer
eingegeben werden;
-
10 eine
schematische Zeichnung eines Terminals und eines Sicherheitsmoduls
eines herkömmlichen
Sicherheitsmodul-Terminal-Systems; und
-
11 ein
schematisches Diagramm, das die wesentlichen Schritte bei der herkömmlichen
Vorgehensweise zur Identifizierung des Benutzers darstellt, vor
dem Hintergrund des IC-Karten-Terminal-Systems von 10.
-
Bevor im folgenden die vorliegende
Erfindung bezugnehmend auf die Zeichnungen näher erläutert wird, wird darauf hingewiesen,
daß gleiche oder
funktionsgleiche Elemente in den jeweiligen Figuren mit den gleichen
oder ähnlichen
Bezugszeichen versehen sind und daß, um Wiederholungen zu vermeiden,
eine wiederholte Beschreibung dieser Elemente vermieden wird.
-
Bezugnehmend auf 1 wird im folgenden ein Ausführungsbeispiel
der vorliegenden Erfindung beschrieben, bei dem die mobile Autorisierungseinrichtung
bzw. Identifikations- und Autorisierungseinheit, die im folgenden
kurz als IAE bezeichnet wird, keine Eingabeeinheit zur Eingabe von
Identifikationsparametern von dem Benutzer aufweist, sondern bei dem
die für
die Identifikationsinformationen notwendigen Informationen in einem
Speicher gespeichert sind.
-
1 zeigt
ein Terminal 10, ein Sicherheitsmodul 20 in Form
einer IC-Karte und die IAE 30. Die dargestellten Komponenten 10, 20 und 30 sind
Teil eines IAE-Sicherheitsmodul-Terminal-Systems, wie z.B. eines Systems für einen
sicheren bargeldlosen Zahlungsverkehr oder ein System zur Erhebung
von Fahrtkosten im öffentlichen
Nahverkehr. Das Terminal 10 gehört bei spielsweise einer Bank
oder einem Verkehrverbund. Die IC-Karte 20 ist beispielsweise von
dem Terminalbetreiber, d.h. z.B. der Bank oder dem Verkehrverbund,
herausgegeben worden, oder ist eine Mehranwendungs- bzw. Multiapplikationskarte,
die bei mehreren Sicherheitsmodul-Terminal-Systemen einsetzbar ist.
Auch die IAE 30 kann entweder von dem Terminalbetreiber
zur speziellen Verwendung mit den Sicherheitsmodulen dieses Betreibers herausgegeben
worden sein oder ist mit einer Mehrzahl unterschiedlicher Sicherheitsmodule
für verschiedene
Karten-Systeme einsetzbar. Das Sicherheitsmodul 20 und
die IAE 30 sind an einen berechtigten Benutzer herausgegeben
worden und sind diesem persönlich
zugeordnet. Die IC-Karte 20 erkennt entweder
mehrere IAEs an, wie z.B. die IAEs von berechtigten Benutzern, oder
ist einer speziellen IAE eindeutig zugeordnet. Beide Gegenstände, IC-Karte 20 und
IAE 30, werden von dem Benutzer bei sich getragen. Die
IAE 30 kann hierbei beispielsweise in eine Uhr, Brille
oder ein Handy des Benutzers integriert und in einer einzigen integrierten
Schaltung ausgeführt
sein.
-
Das Terminal 10 umfaßt eine
Schnittstelle 110 zur Kommunikation mit der IC-Karte 20,
die als eine Kontakt- oder kontaktlose Schnittstelle ausgeführt sein
kann, sowie eine Schnittstelle 112 zur Kommunikation des
Terminals 10 über
ein Bussystem 114 mit einer Zentrale (nicht gezeigt) des
IAE-Chipkarten-Terminal-Systems.
Das Sicherheitsmodul umfaßt eine
erste Schnittstelle 210 zur Kommunikation mit dem Terminal 10 und
ist entsprechend mit der Schnittstelle 110 des Terminals 10 entweder
als kontaktlose oder Kontaktschnittstelle ausgeführt. Ferner umfaßt das Sicherheitsmodul 20 eine
zweite Schnittstelle 212 zur drahtlosen Kommunikation 214 mit
der IAE 30. Schließlich
umfaßt
das Sicherheitsmodul 20 ferner eine Verarbeitungseinheit 216 zur
Steuerung der Funktionsweise des Sicherheitsmoduls 20,
wie sie im folgenden beschrieben werden wird.
-
Die IAE 30 umfaßt neben
einer kontaktlosen Schnittstelle 310 zur drahtlosen Kommunikation 214 mit
dem Sicherheitsmodul 20 ferner einen Speicher 312,
in dem der IAE 30 und dem Sicherheitsmodul 20 des
Benutzers zugeordnete Informationen gespeichert sind, aus denen
die Identifikationsinformationen ableitbar sind, oder die denselben
entsprechen, wie z.B. eine PIN des Benutzers der IAE 30 und
der IC-Karte 20. Die IAE 30 kann ferner eine Energiequelle 314 aufweisen,
wie z.B. eine Batterie, einen Akku, eine Photozelle oder dergleichen.
Wie es durch die gestrichelte Darstellung der Energiequelle 314 in 1 gezeigt ist, kann diese
Energiequelle jedoch auch fehlen, wenn, wie es im folgenden näher erörtert werden
wird, das Sicherheitsmodul 20 ausgelegt ist, um die IAE 30 während einer
Terminalsitzung kontaktlos mit elektromagnetischer Energie zu versorgen.
-
Die IAE 30 kann beispielsweise
in eine Taschenuhr, eine Brille oder eine Handy des berechtigten
Besitzers integriert sein, oder ist als eine in sich abgeschlossene
Vorrichtung ausgebildet. Alternativ kann die Vorrichtung aus einer
Kombination einer IC-Karte und einer der im vorhergehenden genannten
Vorrichtungen, die Fähigkeit
zur drahtlosen Kommunikation 214 aufweist, bestehen.
-
Nachdem im vorhergehenden bezugnehmend
auf 1 der Aufbau der
einzelnen Komponenten des IAE-IC-Karte-Terminal-Systems beschrieben
worden ist, wird im folgenden bezugnehmend auf 2 die Funktionsweise derselben anhand
einer Situation beschrieben, bei der der IC-Karten-Besitzer eine
Aktion an dem Terminal 10 durchführen möchte, wie z.B. eine Abbuchung
von einem zentral geführten
Konto oder die Erlangung einer Zutrittsberechtigung zu einem Raum,
zu dem nur berechtigte Personen Zutritt haben. Bei der Beschreibung
von 2 wird ferner auf 1 Bezug genommen. Ferner
wird bezüglich 2 exemplarisch angenommen,
daß die
IAE 30 eine eigene Energiequelle 314 besitzt.
-
Die Darstellung in 2 entspricht derjenigen von 11. Folglich sind die einzelnen
Schritte während
der Transaktion in Blöcken
dargestellt, die vertikal in chronologischer Reihenfolge von oben nach
unten und horizontal in Spalten angeordnet sind, die dem Terminal 10,
der IC-Karte 20, der IAE 30 bzw. dem Benutzer
zugeordnet sind, um anzuzeigen, welcher Schritt von wem durchgeführt wird.
-
In einem Schritt 400 befindet sich
der Benutzer unmittelbar vor dem Terminal 10 und schaltet
die IAE 30 beispielsweise per Knopfdruck oder dergleichen
ein, woraufhin die IAE 30 über ihre Schnittstelle 310 in
einem Schritt 410 versucht, die drahtlose Kommunikation 214 mit
der IC-Karte 20 aufzubauen. In einem Schritt 404 erfolgt
daraufhin eine Abfrageaufforderung von dem Sicherheitsmodul 20 an
die IAE 30, mit der die IC-Karte 20 von der IAE 30 die
Identifikationsinformationen anfordert, wobei lediglich exemplarisch
und zum einfacheren Verständnis
angenommen wird, daß es
sich bei den Identifikationsinformationen um eine PIN handelt. Auf
die PIN-Abfrageaufforderung
hin liest die IAE 30 in einem Schritt 406 aus dem
Speicher 312 die PIN aus und übermittelt dieselbe an die
IC-Karte 20. In einem Schritt 408 nimmt das Sicherheitsmodul 20 bzw.
die Steuereinheit 216 eine Überprüfung der von der IAE 30 übermittelten
PIN vor, wie z.B. durch Vergleich mit einer in der IC-Karte 20 gespeicherten
vorbestimmten PIN.
-
Die zur Überprüfung der in dem Speicher 312 gespeicherten
Identifikationsinformationen vorgesehenen Schritte 406 und 408 werden
natürlich vorzugsweise
in Verbindung mit kryptologischen Verfahren durchgeführt. Zudem
kann die Überprüfung mehr
Schritte als beschrieben aufweisen. Zusätzlich kann die Überprüfung beiderseitig
durchgeführt
werden, für
eine beidseitige Authentifikation, wie z.B. durch Austausch eines
Geheimnisses, wie z.B. des Identifikationsparameters selbst. Insbesondere
kann die PIN-Übermittlung
im Schritt 406 beispielsweise auf verschlüsselte Art durchgeführt werden,
bei der die Überprüfung im
Schritt 408 durch den Vergleich mit einer in verschlüsselter
Form gespeicherten vorbestimmten PIN durchgeführt wird. Bevorzugt wird allerdings
ein Zero-Knowledge-Verfahren
bzw. -Protokoll, da bei diesem Protokoll an die Stelle der im vorhergehenden
beschriebenen Übermittlung
einer PIN als Identifikationsparameter im Schritt 406 ein durch
das jeweilige Zero-Knowledge-Protokoll definierter Datenaustausch
tritt, bei dem die eigentlichen Identifikationsparameter in der
IAE 30 weder in verschlüsselter
noch im Klartext an die IC-Karte 20 übertragen werden, sondern die
IAE 30 die gespeicherten Identifikationsinformationen dazu
verwendet, geeignet ausgewählte
oder zufällig
ausgewählte
Zahlen von der IC-Karte 20 zu verschlüsseln und das Ergebnis an die
IC-Karte 20 zurückzusenden.
Die IC-Karte kann basierend auf den Antworten der IAE 30 im
Laufe des Zero-Knowledge-Protokolls
zumindest bis zu einem gewissen Grad ausschließen, daß es sich bei ihrem Kommunikationspartner
an der Schnittstelle 212 nicht um eine IAE 30 handelt,
die dem autorisierten Benutzer zugeordnet ist. Der Vorteil an der
Verwendung des Zero-Knowledge-Protokolls besteht folglich darin,
daß die
eigentlichen Identifikationsinformationen nicht übertragen werden müssen, und somit
ein Abhören
des Dialogs vermieden wird.
-
Wieder bezugnehmend auf 2 wird darauf hingewiesen,
daß angenommen
wird, daß die PIN-Überprüfung nach
den Schritten 406 und 408 iterativ, beispielsweise jede Sekunde,
wiederholt wird, wobei dies in 2 der Übersichtlichkeit
halber jedoch nicht gezeigt ist. Der Benutzer, der im Schritt 400
die IAE 30 eingeschaltet hat, und von dem Kommunikationsaufbau 402 und
der PIN-Überprüfung nach
den Schritten 406 und 408 nichts bemerkt, führt in einem Schritt 410 die
IC-Karte 20 in das Terminal 10 bzw. in die dafür vorgesehene
Schnittstelle 110 ein. Eine darauffolgende im Schritt 412
stattfindende gegenseitige Authentifikation zwischen dem Terminal 10 und
der IC-Karte 20 stellt für beide Kommunikationspartner
sicher, daß es
sich bei dem Terminal 10 bzw. der IC-Karte 20 um
zugelassene Systemkomponenten handelt.
-
Noch vor einer Anforderung einer
Transaktion bei dem Terminal überprüft die IC-Karte 20 in
einem Schritt 414 die von der IAE 30 empfangene PIN und
bricht die Terminalsitzung ab, falls die Überprüfung erfolglos ist bzw. ergibt,
daß die
PIN falsch ist. Ist die PIN jedoch korrekt, fordert die IC-Karte 20 von dem
Terminal 10 die Ausführung
einer Transaktion in einem Schritt 416. Die Anforderung von Schritt
416 kann darin bestehen, daß die
IC-Karte die Authentifikation in Schritt 414 nicht korrekt durchführt oder
einen sonstigen in einem Kommunikationsprotokoll zwischen IC-Karte 20 und
Terminal 10 festgelegten Schritt nicht ausführt, wie
z.B. den Kommunikationsaufbau selbst, so daß, anders ausgedrückt, die
Aktivierung der Verkopplung mit dem Terminal erst gar nicht stattfindet,
wenn nicht der richtige Identifikationsparameter geliefert wurde.
Auf die Anforderung der Transaktion im Schritt 416 hin führt das
Terminal 10 die Transaktion aus, wie z.B. das Öffnen einer
Tür, die
Abbuchung eines festen Betrages von einem Konto des Benutzers, wie
z.B. beim Betreten einer U-Bahn
oder dergleichen. Nach Ausführung
der Transaktion 418, was dem Benutzer beispielsweise über ein
geeigneten Tonsignal oder dergleichen mitgeteilt wird, schaltet
der Benutzer in einem Schritt 420 die IAE 30 wieder aus,
woraufhin die IC-Karte 20 keine
Identifikationsinformationen mehr empfängt, und somit eine Anforderung
einer Transaktion von einem Terminal gemäß Schritt 416 nicht mehr durchführt.
-
Bezugnehmend auf 2 wird darauf hingewiesen, daß eine,
wie im vorhergehenden beschrieben, iterativ wiederholte PIN-Überprüfung gemäß den Schritten 406 und 408
nicht notwendig ist, sondern daß statt
dessen beispielsweise die Schritte 402 – 408 nur einmal direkt vor
dem Schritt 414 durchgeführt
werden. In diesem Fall würden
die Schritte 402 – 408
von der IC-Karte 20 aus
eingeleitet werden, unmittelbar bevor die IC-Karte 20 über die Anforderung der Transaktion
entscheiden muß.
Alternativ könnten die
Schritte 402 – 408
nur einmal unmittelbar nach dem Einschalten der IAE ausgeführt werden,
wo bei nach erfolgreicher PIN-Überprüfung in
der IC-Karte mittels eines in der IC-Karte vorgesehenen Zeitgebers
(nicht gezeigt) eine Zeitdauer festgelegt wird, bis zu der hin die
IC-Karte 20 freigeschaltet
bzw. benutzbar ist bzw. die PIN-Überprüfung als
erfolgreich ansieht. Auf diese Weise könnte die IC-Karte 20 auch
in Fällen
angewendet werden, bei denen die drahtlose Kommunikation 214 während der
Terminalsitzung, d.h. während
der Zeit, in der die IC-Karte 20 in das Terminal 10 eingeführt ist,
aufgrund von beispielsweise eines Schließmechanismus an der Schnittstelle 110 unterbrochen
ist.
-
Bezugnehmend auf 3 wird im folgenden ein Ausführungsbeispiel
eines IAE-IC-Karten-Terminal-Systems beschrieben, bei dem das Terminal
einem herkömmlichen
Terminal entspricht, das eigentlich für herkömmliche IC-Karten herkömmlicher IC-Karten-Terminal-Systeme
vorgesehen ist, und das die Ausführung
einer Transaktion wie früher
notwendig von einer PIN-Eingabe
des Benutzers abhängig macht.
-
Die in 3 gezeigten
Komponenten entsprechen denjenigen von 1, mit der Ausnahme, daß das Terminal 10' zusätzlich zu
den Schnittstellen 110 und 112 eine Eingabeeinheit 116 und
eine Ausgabeeinheit 118 aufweist, und daß die IC-Karte 20' ein anderes
Protokoll zur Kommunikation mit dem Terminal 10' verwendet.
Zusätzlich
ist im Unterschied zu 1 die
IC-Karte 20' in einer in
die Schnittstelle 110 des Terminals 10' eingeführten Stellung
gezeigt.
-
Bezugnehmend auf die 3 und 4 wird
im folgenden die Funktionsweise des Systems von 3 beschrieben, nämlich für den Fall, daß das Terminal 10' ein Terminal
ist, das eine PIN-Eingabe von dem Benutzer erwartet. Der Vorgang
am Terminal 10' ist
auf die gleiche Weise dargestellt wie in 2. In einem Schritt 500 schaltet der
Benutzer zunächst
die IAE 30 ein, woraufhin in einem Schritt 502 ein Kommunikationsaufbau
zwischen der IAE 30 und der IC-Karte 20' einsetzte Wie
im vorhergehenden bezugnehmend auf die Schritte 404, 406 und 408 beschrieben,
erfolgt daraufhin eine Überprüfung der
in der IAE gespeicherten PIN in den Schritten 504, 506 und 508,
wobei die Schritte 506 und 508 iterativ wiederholt werden. Auf das
Einschalten der IAE 30 in dem Schritt 500 hin führt der
Benutzer in einem Schritt 510 die IC-Karte 20' in das Terminal 10' ein, woraufhin
eine Authentifikation zwischen dem Terminal 10' und der IC-Karte 20' in einem Schritt
512 einsetzt. Wie es für
herkömmliche
IC-Karten notwendig ist, um einen kriminellen Mißbrauch durch Unbefugte zu
verhindern, unternimmt das Terminal in einem Schritt 514 eine PIN-Abfrage, indem sie
auf der Ausgabeeinheit 118 eine entsprechende Anweisung
an den Benutzer ausgibt. Der Benutzer führt daraufhin in einem Schritt
516 eine Eingabe an der Eingabeeinheit 116 durch. Im Unterschied
zu Kartenbenutzern von herkömmlichen
IC-Karten ist es bei der IC-Karte 20' des vorliegenden Systems nicht
notwendig, das sich der Benutzer eine PIN merkt, auch nicht die
in der IAE gespeicherte. Von der letztgenannten muß dem Benutzer
nicht einmal die Existenz bekannt sein. Der Benutzer gibt in dem
Schritt 516 statt dessen vielmehr eine Schein-PIN, also eine zufällige Zahlenfolge,
an der Eingabeeinheit 116 des Terminals 10' ein, die das
Terminal in einem Schritt 518 an die IC-Karte 20' weiterleitet.
Ab diesem Zeitpunkt erwartet das Terminal eine PIN-Ok-Rückgabe von
der IC-Karte 20',
d.h. eine Anzeige, daß die
Schein-PIN korrekt ist. Bevor die IC-Karte 20' jedoch dem
Terminal 10' gegenüber anzeigt,
daß die
Schein-PIN korrekt ist, ersetzt sie die Prüfung hinsichtlich der Identität des Benutzers,
die bei herkömmlichen
IC-Karten durch die von dem Benutzer eingegebene PIN durchgeführt wird,
durch die sich iterativ wiederholende PIN-Überprüfung gemäß der Schritte 506 und 508, die
einer Anwesenheitsprüfung
der dem berechtigten Besitzer der IC-Karte 20' zugeordneten
IAE 30 entspricht. Ergibt die PIN-Überprüfung, daß die von
der IAE 30 übermittelte
PIN falsch ist, so bricht die IC-Karte die Terminalsitzung in einem
Schritt 520 ab. Ist die von der IAE 30 übermittelte PIN jedoch korrekt und
ist somit die Überprüfung erfolgreich,
so gibt die IC-Karte 20 dem Terminal 10 das von
dem Terminal 10 erwartete PIN-Ok-Signal zurück, was
der Anforderung einer Transaktion in dem in 2 gezeigten Ausführungsbeispiel entspricht und
dem Terminal vorspielt, die eingegebene Schein-PIN habe den Besitzer
autorisiert.
-
An der Eingabeeinheit 116 des
Terminals 10' wird
nun dem Benutzer Gelegenheit gegeben, die auszuführende Transaktion in einem
Schritt 524 näher
zu bestimmen, wie z.B. durch Eingabe eines abzubuchenden Geldbetrags.
In einem Schritt 526 führt das
Terminal 10' die
von dem Benutzer eingegebene Transaktion aus. Nach ausgeführter Transaktion schaltet
der Benutzer in einem Schritt 528 die IAE 30 aus, wodurch
die IC-Karte 20' nicht
mehr mit der zu ihrer Funktionsfähigkeit
notwendigen PIN versorgt wird.
-
5 zeigt
ein weiteres Ausführungsbeispiel der
vorliegenden Erfindung. Bei diesem Ausführungsbeispiel unterscheidet
sich das Terminal von demjenigen von 2 dadurch,
daß dasselbe
eine Eingabeeinheit und eine Ausgabeeinheit aufweist. Im Gegensatz
zu dem Terminal von 3 ist
das Terminal 10'' jedoch nicht
für herkömmliche
IC-Karten ausgelegt und es erwartet keine PIN-Eingabe des Benutzers,
sondern es ist für
IC-Karten ausgelegt, die die in 2 beschriebene
Anforderung einer Transaktion anzeigen. Zusätzlich unterscheidet sich die
in 5 gezeigte IAE 30' von derjenigen
von 1 und 2 dadurch, daß sie anstatt
des Speichers eine Eingabeeinheit 316 und eine Ausgabeeinheit 318 aufweist, die
in dem vorliegenden Ausführungsbeispiel
eine Tastatur und eine Anzeige, wie z.B. ein LCD-Display, sind.
-
Bezugnehmend auf die 5 und 6 wird
im folgenden die Funktionsweise des Systems von 5 während
einer Terminalsitzung beschrieben. Zunächst schaltet der Benutzer
die IAE 30' in
einem Schritt 600 ein, wenn die Terminalsitzung bevorsteht. Daraufhin
führt der
Benutzer seine IC-Karte 20 in das Terminal 10'' in einem Schritt 602 ein, woraufhin
eine Authentifikation zwischen dem Terminal" und der IC-Karte 20 in einem
Schritt 604 stattfindet. Das Terminal 10'' erwartet
im weiteren Verlauf eine Anforderung von der IC-Karte 20 nach
einer Transaktion. Zuvor überprüft die IC-Karte 20 jedoch
eine von der IAE 30' zu übermittelnde
PIN. Bei diesem Ausführungsbeispiel
leitet die IC-Karte 20 die Kommunikation mit dem IAE 30' zu einem Zeitpunkt
während
der Kommunikation mit dem Terminal 10'' ein,
bevor das Terminal 10'' die Anforderung
von der IC-Karte 20 erwartet. Es setzt deshalb in einem
Schritt 606 eine Kommunikation zwischen der IAE 30' und der IC-Karte 20 ein,
die eine gegenseitige Authentifikation, wie z.B. ein Challenge-Response-Verfahren,
umfassen kann, um für
beide Kommunikationspartner sicherzustellen, daß es sich bei dem Kommunikationspartner
um eine zugelassene Komponente des IAE-IC-Karte-Terminal-Systems
handelt. In einem Schritt 608 sendet die IC-Karte 20 ein
PIN-Abfrageaufforderungssignal an die IAE 30'. Daraufhin fordert die IAE 30' in einem Schritt
610 den Benutzer über
die Ausgabeeinheit 318 dazu auf, eine PIN einzugeben. Der Benutzer
gibt deshalb in einem Schritt 612 über die Eingabeeinheit 316 der
IAE 30',
d.h. in einer ihm gewohnten, privaten Umgebung, seine nur ihm bekannte
PIN ein. Die IAE 30' leitet
in einem darauffolgenden Schritt 614 über die drahtlose Kommunikation 214 die
eingegebene PIN an die IC-Karte 20 weiter. Die IC-Karte 20 überprüft daraufhin
in einem Schritt 616 die PIN und bricht in einem Schritt 618 die
Terminalsitzung ab, falls die PIN falsch ist. Ist die PIN jedoch
korrekt, zeigt die IC-Karte 20 in einem Schritt 620 dem
Terminal 10'' eine Anforderung
nach einer Transaktion an. Dem Benutzer wird daraufhin in einem
Schritt 622 Gelegenheit gegeben, über die Eingabeeinheit 116 die
auszuführende
Transaktion näher
zu spezifizieren, wie z.B. die Höhe
eines abzubuchenden Geldbetrags. In einem Schritt 624 führt das Terminal 10'' dann die Transaktion aus. In einem Schritt
626 schaltet der Benutzer die IAE 30' wieder aus.
-
Ein Vorteil einer Ausgabeeinrichtung
an der IAE besteht darin, daß dieselbe
zur vertrauenswürdigen
Ausgabe von Transak tionsdaten oder Mitteilungen an den Besitzer
verwendet werden kann.
-
Wie es aus den vorhergehenden drei
Ausführungsbeispielen
deutlich wurde, findet eine Übertragung
von Identifikationsinformationen, von denen die IC-Karte die Anforderung
einer Transaktion abhängig
macht, nur zwischen IAE und IC-Karte statt, so daß diese
Informationen im privaten Bereich des Benutzers verbleiben und nicht
einem Dritten und insbesondere dem Terminal bzw. dem System anvertraut
werden müssen.
Die Kontrolle über
die IC-Karte 20 und der Identifikationsinformationen verbleiben somit
beim Besitzer und werden diesem nicht wie bei herkömmlichen
Sicherheitsmodul-Terminal-Systemen
entzogen. Dies dürfte
wiederum die Akzeptanz der erfindungsgemäßen Systeme erhöhen. Zusätzlich wird
dadurch, daß die
vertraulich zu behandelnden Identifikationsinformationen nicht durch
das Terminal verlaufen, die Infrastruktur für erfindungsgemäße Systeme
kostengünstiger,
weil auf aufwendige Technik und gegebenenfalls Sicherheitsevaluierungen
für Systemkomponenten,
wie z.B. das Terminal, verzichtet werden kann.
-
Insbesondere macht das bezugnehmend
auf die 3 und 4 beschriebene Ausführungsbeispiel deutlich,
daß bei
einer entsprechenden Implementierung der IC-Karte die existierende
Infrastruktur von Terminals verwendet werden kann. Den Terminals wird
ein beliebiges Identifikationsmerkmal präsentiert, das die IC-Karte
nicht bewertet, sondern verwirft, wobei die IC-Karte daraufhin die
Freigabe der vom System angeforderten Funktion von der oben beschriebenen
Autorisierungsüberprüfung abhängig macht.
-
Hinsichtlich des Terminals wird darauf
hingewiesen, daß das
Terminal vorgesehen sein kann, um in Abhängigkeit von der Anforderung
der IC-Karte jegliche Aktion auszuführen. Diese Aktionen umfassen
beispielsweise das Öffnen
einer Tür,
eine Abbuchung von einem Konto, die Nutzung eines öffentlichen
Tele fons oder dergleichen. Je nach auszuführender Aktion bieten die im
vorhergehenden beschriebenen Ausführungsbeispiele Möglichkeiten, das
IAE-IC-Karten-Terminal-System an die von der Anwendung auferlegten
Anforderungen an Sicherheit einerseits und unaufwendiger Bedienbarkeit
andererseits zu erfüllen.
Bei dem Ausführungsbeispiel von 1 für den Fall einer IAE ohne eigener
Energiequelle, die über
die IC-Karte mit elektromagnetischer Energie versorgt wird, die
die IC-Karte wiederum von dem Terminal erhält, setzt beispielsweise die drahtlose
Kommunikation zwischen IAE und IC-Karte auf das Einführen der
IC-Karte in das Terminal hin automatisch ein, so daß dem Benutzer
kein zusätzlicher
Bedienaufwand auferlegt wird, als dies bei herkömmlichen Karten-Terminal-Systemen
der Fall ist, bei denen keine Überprüfung von
Identifikationsparametern durchgeführt wird. Die Sicherheit gegen
einen Mißbrauch
der IC-Karte durch Unbefugte ist jedoch deutlich erhöht, da ein
unbefugter Besitzer der IC-Karte mit derselben an dem Terminal keine
Aktion auslösen
kann, wenn er nicht auch in Besitz der IAE ist.
-
Für
Anwendungen mit höheren
Anforderungen an die Sicherheit bietet das Ausführungsbeispiel von 5 und 6 die Gewähr, daß ein unbefugter Dritter, der
in Besitz der IC-Karte und der zugeordneten IAE gelangt, zur Auslösung einer
Aktion an dem Terminal die Kenntnis des nur dem berechtigten Besitzer bekannten
Geheimnisses erfordert. Dieses Geheimnis, das in den vorhergehenden
Ausführungsbeispielen
als PIN beschrieben wurde, kann der Benutzer in seiner ihm vertrauten
Umgebung eingeben, so daß es
für den
unbefugten Dritten schwieriger ist, das Geheimnis „abzuschauen".
-
Es wird darauf hingewiesen, daß auch eine von
Terminal zu Terminal verschiedene Sicherheitsstufe, mit oder ohne
Identifikationsparametereingabe des Besitzers an der IAE, vorgesehen
sein kann, so daß die
Eingabe nicht bei jeder Verwendung der IC-Karte erforderlich ist.
-
Bezugnehmend auf die 2, 4 und 6 wird noch darauf hingewiesen,
daß es
möglich
ist, die Authentifikation 412, 412, 512, 606 zwischen
Terminal und IC-Karte erst nach der Identifikation des Benutzers
bzw. der Überprüfung der
PIN durch die IAE 414, 520, 618 durchzuführen. Dies
ist darin vorteilhaft, daß von
der IC-Karte keine Informationen preisgegeben werden, solange nicht
feststeht, daß der Benutzer
von der IC-Karte als berechtigter Benutzer erkannt wurde.
-
Im folgenden wird bezugnehmend auf 7 der Aufbau einer IC-Karte
gemäß einem
Ausführungsbeispiel
der vorliegenden Erfindung beschrieben. Die IC-Karte von 7, die allgemein mit 700 bezeichnet
ist, umfaßt
ein Kontaktfeld 702, eine zentrale Verarbeitungseinheit 704,
eine Rechnereinheit 706 zur Durchführung von Rechenaufgaben, wie
z.B. einer Ver/Entschlüsselung,
einen Speicher 708, der mindestens auch einen nichtflüchtigen
Teil aufweist, sowie eine kontaktlose Schnittstelle 710.
Die Kontakteinheit 702 ist zur Kontaktierung der entsprechenden
Schnittstelle eines Kontaktterminals vorgesehen und könnte bei
einem anderen Ausführungsbeispiel anders
ausgeführt
sein, um eine kontaktlose Kopplung mit einem kontaktlosen Terminal
zu erzielen. Die zentrale Verarbeitungseinheit ist mit dem Kontaktfeld 702 verbunden,
um über
dieselbe Daten 712 von dem Terminal zu erhalten und zu
demselben zu senden. Ferner ist die zentrale Verarbeitungseinheit 704 mit
der Rechnereinheit 706, dem Speicher 708 und der
kontaktlosen Schnittstelle 710 verbunden. Die Betriebsenergie
zur Energieversorgung der Rechnereinheit 706, der zentralen
Verarbeitungseinheit 704 und des Speichers 708 wird
entweder über
das Terminal über
die Kontakteinheit 702 geliefert, wie es durch einen gestrichelten
Pfeil 714 angedeutet wird, oder wird der IC-Karte 700 von
der IAE kontaktlos in Form von elektromagnetischer Energie zugeführt, wie
es durch eine gestrichelte Welle 716 angedeutet wird. Alternativ
kann auch eine Kombination der beiden Energieversorgungen vorgesehen
sein. Ferner kann die kontaktlose Schnittstelle 710 neben
einer drahtlosen Kommunikation 718 ferner vorgesehen sein,
um umgekehrt die IAE in Form von elektromagnetischer Energie 716 mit
Energie zu versorgen, die die IC-Karte selbst wiederum von dem Terminal über das
Kontaktfeld 702 erhält.
-
Die zentrale Verarbeitungseinheit 704 übernimmt
die Steuerung der IC-Karte 700, wie sie im vorhergehenden
bezugnehmend auf die 2, 4 und 6 beschrieben wurde, unter Befolgung
eines geeigneten Kommunikationsprotokolls zwischen Terminal und
IC-Karte bzw. eines
Kommunikationsprotokolls zwischen IAE und IC-Karte. In der Rechnereinheit 706 werden
Ver/Entschlüsselungsaufgaben
im Hinblick auf Kommunikationen und gegebenenfalls Authentifikationen
mit dem Terminal und/oder der IAE und insbesondere im Hinblick auf
die Überprüfung der
von der IAE über
die Schnittstelle 710 drahtlos übermittelten Identifikationsinformationen
durchgeführt.
In dem Speicher 708 sind beispielsweise ein Betriebssystem
und auf demselben lauffähige
Applikationen gespeichert sowie Daten, die zur Überprüfung der von der IAE drahtlos übermittelten
Identifikationsinformationen notwendig sind. Bei besonders einfachen
Implementierungen, bei denen die Identifikationsinformationen von
der IAE in einer Form übertragen
werden, die eine direkte mit den in dem Speicher 708 gespeicherten
Daten ermöglichen,
kann die Rechnereinheit 706 fehlen, und es sein lediglich Referenzidentifikationsinformationen
in dem Speicher 708 gespeichert. Im Fall der Überprüfung des Geheimnisses
durch ein Challenge-Response-Protokoll ist beispielsweise ein entsprechender
Code zur Ausführung
des Protokolls sowie ein IC-Karten-Schlüssel in
dem Speicher 708 gespeichert.
-
Bezugnehmend auf 8 wird ein Ausführungsbeispiel für eine IAE
beschrieben, die keine Eingabeeinheit und keine Ausgabeeinheit aufweist.
Die in 8 gezeigte IAE,
die allgemein mit 800 angezeigt ist, umfaßt eine
kontaktlose Schnittstelle 802 zur drahtlosen Kommunikation 804 mit
der IC-Karte, eine zentrale Verarbeitungseinheit 806, einen
Speicher 808 und wahlweise eine Energiequelle 810 zur Versorgung
der IAE 800 mit der notwendigen Betriebsenergie, wie z.B.
eine Batterie, ein Akku, eine Photozelle oder dergleichen. Alternativ
ist die kontaktlose Schnittstelle 802 ausgebildet, um aus
von der IC-Karte gelieferter elektromagnetischer Energie 812 die zum
Betrieb der IAE notwendige elektrische Energie zu erzeugen. In dem
Fall, daß die
IAE 800 eine eigene Energiequelle 810 besitzt,
kann die kontaktlose Schnittstelle 802 vorgesehen sein,
um zusätzlich
zu der drahtlosen Kommunikation 804 mit der IC-Karte ferner
elektromagnetische Energie 812 zu erzeugen, um die IC-Karte
mit der notwendigen Betriebsenergie zu versorgen, beispielsweise
dann, während
dieselbe sich nicht in einem Terminal befindet. Die zentrale Verarbeitungseinheit 806 ist
mit der Schnittstelle 802 und dem Speicher 808 verbunden.
Gegebenenfalls ist ferner eine Recheneinheit 814 zur Durchführung von
Ver/Entschlüsselungsaufgaben
vorgesehen, die ebenfalls mit der zentralen Verarbeitungseinheit 806 verbunden
ist. Die IAE von 8 kann
beispielsweise in einem IC integriert sein oder aus einer Kombination
einer IC mit einem elektronischen Gerät, wie z.B. einem Handy, einer
Armbanduhr, oder dergleichen, bestehen.
-
Die zentrale Verarbeitungseinheit 806 steuert
die Funktionsweise der IAE 800 gemäß den 2, 4,
und 8 und übernimmt
insbesondere Aufgaben betreffend ein Kommunikationsprotokoll zwischen
der IAE und der IC-Karte. In dem Speicher 810, der zumindest
auch einen nichtflüchtigen
Teil aufweist, sind Informationen gespeichert, aus denen die der
IC-Karte zur Überprüfung zu übermittelnden Identifikationsinformationen
zumindest ableitbar sind, oder in denen diese direkt gespeichert
sind. Rechenaufgaben betreffend Ver- und Entschlüsselungen, die während der
Kommunikation und/oder Authentifikation mit der IC-Karte durchzuführen sind, und
insbesondere in Hinblick auf die Antworten auf die Fragen der IC-Karte
gemäß dem Zero-Knowledge-Protokoll,
falls ein solches verwendet wird, werden von der zentralen Verarbeitungseinheit 806 an
die Recheneinheit 808 verwiesen.
-
In 9 ist
ein zu 8 alternatives
Ausführungsbeispiel
für eine
IAE 800' gezeigt,
die beispielsweise bei dem Ausführungsbeispiel
von 5 und 6 verwendet werden kann.
Die IAE 800' umfaßt eine kontaktlose
Schnittstelle 802 zur drahtlosen Kommunikation 804 mit
der IC-Karte 20, eine mit derselben verbundene zentrale
Verarbeitungseinheit 806, einen Speicher 808 und
eine Energiequelle 810, wie z.B. eine Batterie, ein Akku
oder eine Photozelle. Die Kontaktlosschnittstelle 802 ist
gegebenenfalls dazu geeignet, die IC-Karte kontaktlos mit Energie 812 zu versorgen.
Es ist ferner eine Recheneinheit 814 vorgesehen. Die zentrale
Verarbeitungseinheit 806, die Recheneinheit 808 und
der Speicher 808 sind über einen
Bus 816 miteinander verbunden. Über den Bus 816 sind
mit der zentralen Verarbeitungseinheit 806 ferner eine
oder mehrere Eingabeeinheiten 818 und eine oder mehrere
Ausgabeeinheiten 820 verbunden. Die Eingabeeinheiten 818 umfassen
beispielsweise eine Tastatur 818a, einen biometrischen
Sensor 818b zum Erfassen biometrischer Charakteristika des
Benutzers, wie z.B. eines Fingerabdrucks, von Gesichtsmerkmalen
oder einer Unterschrift, und/oder ein Mikrophon 818c zur
Spracherkennung. Die Aufgabeeinheiten 820 umfassen beispielsweise
eine Anzeigeeinheit 820a, wie z.B. eine LCD-Anzeige, und/oder
einen Lautsprecher 820b.
-
Die zentrale Verarbeitungseinheit 806 steuert
die Funktionsweise der IAE 800' wie in den 2, 4 und 6 beschrieben. Insbesondere übernimmt
sie Aufgaben betreffend ein Kommunikationsprotokoll zwischen IAE
und IC-Karte. Ferner steuert die zentrale Verarbeitungseinheit 806 die
Benutzereingabevorgänge,
wie sie bei dem Ausführungsbeispiel
von 5 und 6 beschrieben wurden, und
gibt hierbei die an den Benutzer auszugebenden Aufforderungen über den
Bus 816 an den Ausgabeeinheiten 820 an den Benutzer
aus und empfängt
die von dem Benutzer über
die Eingabeeinheiten 818 eingegebenen Daten über den
Bus 816. In dem Speicher 808, der zumindest auch
einen nichtflüchtigen
Teil aufweist, sind beispielsweise ein Betriebssystem und Programme
bzw. Applikationen gespeichert. In dem Speicher 808 müssen jedoch
im unterschied zu den vorhergehenden Ausführungsbeispielen keine Identifikationsinformationen
oder Identifikationsparameter gespeichert sein, da Identifikationsparameter
von dem Benutzer über
eine der Eingabeeinheiten 818 eingegeben werden können. In
dem Speicher 808 können
jedoch Algorithmen bzw. Protokolle zur Übermittlung der Identifikationsinformationen
gespeichert sein, wie z.B. zur Verarbeitung des eingegebenen Identifikationsparameters
gemäß dem Zero-Knowledge-Protokoll.
In dem Fall der Eingabe biometrischer Merkmale kann ferner ein Programm
vorgesehen sein, das aus den Bilddaten, Tondaten oder anderen biometrisch
erfaßten
Daten Identifikationsparameter ableitet. Die Rechnereinheit 808 ist
vorgesehen, um Ver/Entschlüsselungsaufgaben
im Hinblick auf beispielsweise eine Kommunikation und eine Authentifikation
mit der IC-Karte vorzunehmen, und insbesondere im Hinblick auf notwendige
Ver/Entschlüsselungen
basierend auf den Identifikationsparametern, die von dem Benutzer
an den Eingabeeinheiten 812 eingegeben werden. Die über die
Eingabeeinheiten von dem Benutzer eingegebenen Identifikationsparameter
könnten
alternativ jedoch auch ohne vorhergehende kryptologische Verarbeitung drahtlos
an die IC-Karte übermittelt
werden. Wie im vorhergehenden erörtert
wird zur Umwandlung der Identifikationsparameter in geeignete Identifikationsinformationen
ein Zero-Knowledge-Protokoll
bevorzugt, da es den Vorteil aufweist, daß die eingegebenen Identifikationsparameter
nach außen
hin nicht preisgegeben werden müssen
und auch nicht in der IC-Karte
in irgendeiner Form gespeichert sein müssen.
-
Es wird darauf hingewiesen, daß die Schnittstelle
der IC-Karte für das Terminal
ferner zur kontaktlosen Datenübertragung
ausgeführt
sein kann. Für
diesen Fall könnten
die beiden Schnittstellen zur IAE und dem Terminal als eine Kontaktlosschnittstelle
ausgeführt
sein, die mehrere Kommunikationsverbindungen simultan unterstützt. Zudem
ist die Erfindung nicht auf die im vorhergehenden beschriebenen IC-Karten
als Sicherheitsmodule beschränkt.
Sicherheitsmodule, die mit der vor liegenden Erfindung verwendet
werden können,
können
auch andere Formen aufweisen.
-
- 10
- Terminal
- 20
- IC-Karte
- 30
- IAE
- 110
- Schnittstelle
- 112
- Schnittstelle
- 114
- Bus
- 116
- Eingabeeinheit
- 118
- Ausgabeeinheit
- 210
- Schnittstelle
- 212
- Schnittstelle
- 214
- Kontaktlose Übertragung
- 216
- Verarbeitungseinheit
- 310
- Schnittstelle
- 312
- Speicher
- 314
- Energiequelle
- 316
- Eingabeeinheit
- 318
- Ausgabeeinheit
- 700
- IC-Karte
- 702
- Kontaktfeld
- 704
- Zentrale
Verarbeitungseinheit
- 706
- Recheneinheit
- 708
- Speicher
- 710
- Kontaktlosschnittstelle
- 712
- Datenverbindung
- 714
- Energie
- 716
- Energieübertragung
- 718
- Datenübertragung
- 800
- IAE
- 802
- Kontaktlosschnittstelle
- 804
- Kontaktlose Übertragung
- 806
- Zentrale
Verarbeitungseinheit
- 808
- Speicher
- 810
- Energiequelle
- 812
- Energieübertragung
- 814
- Recheneinheit
- 816
- Bus
- 818
- Eingabeeinheit
- 820
- Ausgabeeinheit
- 900
- Terminal
- 902
- IC-Karte
- 904
- Schnittstelle
- 906
- Ausgabeeinheit
- 908
- Eingabeeinheit
- 910
- Schnittstelle
- 912
- Bus