DE69435079T2

DE69435079T2 - Chipkarte für eine Vielzahl von Dienstleistungsanbietern und für entfernte Aufstellung derselben

Info

Publication number: DE69435079T2
Application number: DE69435079T
Authority: DE
Inventors: Richard Manalapan Mandelbaum; Stephen Andrew Hackettstown Sherman; Diane R. Bernardsville Wetherington
Original assignee: AT&T Corp
Current assignee: AT&T Corp
Priority date: 1993-09-17
Filing date: 1994-09-07
Publication date: 2009-03-12
Anticipated expiration: 2014-09-08
Also published as: EP1816616A3; JP2003296685A; KR100336259B1; CA2131510C; EP1816616A2; JP2001084345A; NO943457L; EP0644513A3; JPH07152837A; DE69435079D1; EP0644513A2; EP0644513B1; US5544246A; CA2131510A1; KR950009480A; JP2006040307A; NO943457D0

Description

Die vorliegende Erfindung betrifft Chipkarten.
Durch Fortschritte in der Mikroelektronik ist es möglich geworden, eine enorme Menge von Datenverarbeitungsleistung auf kleinem Raum unterzubringen. Tatsächlich ist es möglich, effektiv einen gesamten Computer in einer Kreditkarte unterzubringen, wodurch eine Chipkarte erzeugt wird. Aufgrund der außerordentlichen Verarbeitungs- und Speicherfähigkeiten der Chipkarte wird erwartet, daß Chipkarten herkömmliche Kreditkarten verdrängen werden, mit denen typischerweise das Recht des Kartenhalters, ein gegebenes Konto zu belasten, bestätigt wird. Chipkarten werden zu einem höheren Grad sicherstellen, daß der Chipkartenbesitzer der rechtmäßige Halter ist. Dadurch wird ein großes Problem herkömmlicher Kreditkarten gelöst. Darüber hinaus werden Chipkarten mehr als eine "Autorisierungsvorrichtung" sein, um ein Konto zu belasten (oder darauf einzuzahlen). Zum Beispiel werden sie einen im voraus genehmigten Kredit "tragen".
Damit Chipkarten ihr Versprechen erfüllen können, müssen Dienstanbieter sich sicher fühlen, daß der Computer in der Chipkarte nicht für mißbräuchliche Zwecke benutzt werden kann. Um diesem Bedürfnis entgegenzukommen, wurden bereits mehrere Ansätze verwendet. Erstens werden Chipkarten mit einem Stromversorgungsport und einem einzigen Informationsdurchgangsport ausgestattet. Zweitens operiert der in die Chipkarte eingebettete Computer unter der Kontrolle eines Betriebssystems, wodurch sichergestellt wird, daß zu dem Computer gesendete Anweisungen keine Operationen ausführen, die für den Zweck der Karte und die Sicherheitsrichtlinien nachträglich sind; d. h. es sind nur Anweisungen erlaubt, die zulässige Datenbereiche lesen und verändern. Drittens bestehen die Ausgeber der heutigen Chipkarten darauf, die Karte am Standort des Anbieters zu füllen und nicht durch Fernkommunikation.
Der Speicher in Chipkarten ist groß genug, um die Programme und Daten einer Anzahl von Dienstanbietern zu halten. Das heißt, es besteht genug Speicher, um zum Beispiel VISA, AMERICAN EXPRESS und MASTERCARD eine Koexistenz auf einer einzigen Chipkarte zu ermöglichen. Es müssen nun jedoch noch Chipkarten entwickelt werden, die die Dienste von mehr als einem Dienstanbieter im kommerziellen Sinne erfolgreich getragen haben. Es wird angenommen, daß die Gründe für diesen derzeitigen Zustand mehrere Sicherheitsprobleme sind, die noch nicht gelöst wurden. Ein Problem entsteht zum Beispiel in Verbindung mit der Frage, wer der Eigentümer der Karte ist, und welche Befugnisse der Eigentümer über alle Dateien in dem Speicher der Chipkarte besitzt. Kommerziell ausgedrückt, besteht die Frage darin, wie weit der Eigentümer einer Chipkarte (der auch ein Dienstanbieter sein kann) Befugnisse über die Chipkarte besitzt, die mit der Sicherheit unvereinbar sind, die andere Dienstanbieter wünschen. Dies ist ein Problem des Vertrauens.
Ein zweites Problem betrifft Fernbeschaffung. Insbesondere ist es nicht erwünscht, daß der Chipkartenhalter einen Dienst nur installiert bekommt, indem er die Karte zu dem Anbieter bringt. Auch ist es nicht erwünscht, eine Abgabe der Chipkarte zu verlangen, wenn einer der Dienste auf der Chipkarte beendet werden soll. Statt dessen ist es wünschenswert und vielleicht sogar für kommerziellen Erfolg wesentlich Fernbeschaffung zu erlauben.
Wenn das Fernbeschaffungsproblem gelöst ist, betrifft ein drittes Problem die Notwendigkeit, Platz in der Chipkarte des Halters wiederzuverwenden, wenn alte Dienste beendet und neue Dienste installiert werden.
Ein viertes Problem betrifft den kommerziellen Konflikt zwischen konkurrierenden Diensten und den Wunsch bestimmter Anbieter, den Zugang ihrer Kunden zu konkurrierenden Diensten zu beschränken.
Kurzfassung der Erfindung
Ein Verfahren und eine Vorrichtung gemäß der vorliegenden Erfindung werden in den unabhängigen Ansprüchen definiert, auf die der Leser nun verwiesen wird. Bevorzugte Merkmale werden in den abhängigen Ansprüchen definiert.
Die oben beschriebenen Probleme werden mit einem Betriebssystem gelöst, das eine Koexistenz verschiedener Dienstanbieter auf einer Chipkarte ermöglicht, wobei weder die Dienstanbieter noch der Eigentümer der Chipkarte Zugang zu den Dateien hat, die für oder von jedem der residenten Dienstanbieter erstellt werden, wenn sie nicht im voraus autorisiert sind.
Das Betriebssystem der Chipkarte enthält ähnlich wie das Betriebssystem UNIX^® (registriertes Warenzeichen der UNIX System Laboratories) ein Wurzelverzeichnis, das dem Ausgeber/Eigentümer der Chipkarte gehört, und jeder Dienstanbieter ist ein "Benutzer", der durch den Ausgeber/Eigentümer installiert wird. Jeder solche Benutzer erhält ein Unterverzeichnis des Wurzelverzeichnisses und in dem Unterverzeichnis erzeugt der Benutzer Dateien und Unterverzeichnisse mit Dateien so wie es der Benutzer als notwendig erachtet.
Das Betriebssystem hält alle Benutzer der Chipkarte, einschließlich des Ausgebers/Eigentümers und des Halters der Chipkarte, davon ab, auf etwaige Dateien zuzugreifen, die einem etwaigen anderen Benutzer gehören, wenn dieser Benutzer wählt, einen solchen Zugang zu verhindern. Die Befugnis zum Ausschluß wird durch eine Paßwortdatei bewirkt, die dem Benutzer gehört und die von keinem anderen Benutzer, einschließlich dem Ausgeber/Eigentümer der Chipkarte, geändert werden kann. Wahlweise wird dem Ausgeber/Eigentümer der Chipkarte die Befugnis gegeben, alle Dateien eines gegebenen Benutzers zu löschen.
Das Betriebssystem enthält außerdem Mittel zur digitalen, durch Signatur ergänzten Kommunikation sowie zur vollständig verschlüsselten Kommunikation. Diese Möglichkeit schafft Vertrauen in die Fernkommunikation, die Fernbeschaffung gestattet, eine effektive Unterhaltung einer Datenbank, die alle in jeden Chipkarten enthaltenen Dienste verfolgt, und Neubeschaffung einer Chipkarte im Fall eines Verlusts oder allgemeinen Ausfalls der Chipkarte.
Kurze Beschreibung der Zeichnung
1 zeigt eine Baumstruktur des UNIX-Betriebssystems;
2 zeigt die Baumstruktur eines Chipkarten-Betriebssystems;
3 zeigt ein Login-Protokoll zwischen einer Chipkarte und ihrem Ausgeber/Eigentümer;
4 zeigt ein Protokoll, an dem eine Chipkarte, der Ausgeber/Eigentümer und ein Dienstanbieter beteiligt sind;
5 zeigt ein Protokoll für eine Chipkarte zum Erhalten von Diensten von einem Dienstanbieter;
6 zeigt ein Protokoll, an dem eine Chipkarte, ein Besucherbenutzer und ein Dienstanbieter beteiligt sind und 7 zeigt ein Protokoll zwischen einer Chipkarte und einem Besucherbenutzer ohne Verbindung mit einem Dienstanbieter;
8 zeigt eine Anordnung zur Fernbeschaffung von Chipkarten unter Verwendung des Telekommunikationsnetzes und
9 zeigt ein Flußdiagramm eines Betriebssystem befehls zum Herbeiziehen eines in einer Datei eines Dienstanbieters gespeicherten Werts.
Ausführliche Beschreibung
Es sind bereits mehrere Chipkarten-Betriebssysteme bekannt. Ein Beispiel ist das US-Patent 4,816,653 , ausgegeben an Anderl et al. am 28.3.1989 . Das nachfolgend beschriebene Betriebssystem weist viele Ähnlichkeiten zu diesem Betriebssystem und dem wohlbekannten UNIX-Betriebssystem auf. Eine kurze Beschreibung bestimmter wohlbekannter Aspekte des UNIX-Betriebssystems wird dabei helfen, das hier offenbarte Chipkarten-Betriebssystem zu verstehen.
Das UNIX-Betriebssystem
Das UNIX-Betriebssystem umfaßt eine Ansammlung von Dateien. Bestimmte sind Dateien, die hauptsächlich Informationen über im Zusammenhang stehende Dateien enthalten, und sie werden als Verzeichnisdateien oder Verzeichnisse bezeichnet. Andere sind Dateien, die Benutzerdaten enthalten, und sie sind "normale" Dateien. Außerdem kann bei dem UNIX-Betriebssystem ein Benutzer, der "Eigentümer" der Datei sein, kann zu einer spezifizierten durch die Datei anerkannten "Gruppe" gehören oder kann zu "anderen" gehören. Jede Datei enthält einen Datenteil, der die Dateieigenschaften spezifiziert, wie zum Beispiel Eigentümerschaft, Informationszugangsfähigkeiten in bezug auf die drei Arten von Benutzern usw. Der Eigentümer der Datei kann alle Dateieigenschaften ändern.
In bezug auf Architektur ist die erste und primäre Datei eine Wurzelverzeichnisdatei. Der Benutzer, der der Eigentümer dieses Verzeichnisses ist, ist effektiv der Eigentümer des gesamten Betriebssystems. Dieser Benutzer kann andere Dateien erzeugen, auf die die Wurzeldatei zeigt. Diese Dateien, die andere "Verzeichnis"-Dateien und auch "normale" Dateien sein können, werden in einer baumartigen Struktur als "unterhalb" des Wurzelverzeichnisses liegend betrachtet.
In vielen UNIX-Betriebssystemen wird eines der Verzeichnisse unter der Wurzel mit "etc." benannt und unter ihm befindet sich eine Datei mit der Kennzeichnung "passwd". Die volle Adresse bzw. der Pfadname dieser Datei ist "/etc./passwd" (die Datei "/" am Anfang jedes Pfadnamens bezeichnet die Wurzeladresse). Die Dateien "etc." und "passwd" gehören dem Systemadministrator, der in der Regel "Root" genannt wird, der auch der Eigentümer des Wurzelverzeichnisses ist. Die Datei "passwd" enthält eine verschlüsselte Repräsentation des Paßworts der Wurzel und der Zugang der Wurzel zu dem Betriebssystem wird erst erlaubt, nachdem sich die Wurzel durch Angeben des Paßworts einloggt. Das angegebene Paßwort wird verschlüsselt und mit dem in der Datei "passwd" gespeicherten verschlüsselten Paßwort verglichen. Wenn der Vergleich positiv ausfällt, wird der Benutzer akzeptiert und erhält Zugang zu anderen Dateien; d. h. der Benutzer wird "eingeloggt".
Mehrbenutzerfähigkeit wird bereitgestellt, indem es der Wurzel erlaubt wird, ein Unterverzeichnis unter dem Wurzelverzeichnis zu erzeugen und die Eigentümerschaft dieses Unterverzeichnisses an einen andern Benutzer zu übertragen. Die Wurzel kann dann in der Datei "passwd" ein Paßwort für diesen Benutzer installieren und ermöglicht dem Benutzer den Eintritt in das System an dieser Unterverzeichnisdatei, wenn dieser Benutzer sein Paßwort angibt. Der Benutzer hat die Möglichkeit, sein eigenes Paßwort zu modifizieren, aber nur durch einen durch das Betriebssystem bereitgestellten Befehl. Dieses Paßwort residiert in dem System nur in verschlüsselter Form und nur in der Datei "passwd".
Diese Architektur ist in 1 abgebildet.
Der Loginvorgang kann folgendermaßen zusammengefaßt werden. Ein unter dem UNIX-Betriebssystem arbeitender Computer beginnt mit der Ausführung einer Schleife, die den Eingangsport des Computers scannt. Wenn Verbindung durch einen Benutzer detektiert wird, wird die Steuerung von der Schleife an ein Programm abgegeben, das einen Dialog mit dem Benutzer beginnt. Das Programm sendet eine Nachricht "login:" zu dem Benutzer und wartet auf die Antwort des Benutzers. Der Benutzer identifiziert sich zum Beispiel durch Zurückgeben der Zeichenkette "htb", und dadurch wird der Benutzer dem Betriebssystem identifiziert. Das Programm fährt dann mit der Abfragenachricht "Password:" fort und der Benutzer muß eine Paßwortzeichenkette angeben. Das Programm verschlüsselt die Paßwortzeichenkette und vergleicht sie mit dem verschlüsselten Paßwort, das in der Datei "/etc./passwd" für den identifizierten Benutzer gefunden wird. Wenn die Übereinstimmung positiv ist, wird bestimmt, daß der Benutzer authentisch ist, und die Steuerung wird an eine Datei abgegeben, die der Wurzel gehört (in der Regel mit dem Namen ".profile"). Diese Datei setzt verschiedene Parameter für den Benutzer und gibt die Steuerung an eine andere Datei ab, die dem Benutzer (in der Regel auch mit dem Namen ".profile", aber diese Datei befindet sich in dem Verzeichnis, das diesem Benutzer gehört). Jegliche in der Datei ".profile" des Benutzers gefundenen Anweisungen werden ausgeführt, und der Computer wird in eine Schleife versetzt und wartet auf weitere Anweisungen von dem Benutzer.
Die Wurzel ist der Eigentümer aller Dateien, die das Betriebssystem ausmachen, sowie der "passwd"-Datei. Deshalb kann die Wurzel jegliche und alle Dateien modifizieren und ist deshalb ein "Superbenutzer". Sogar Dateien, die nicht der Wurzel gehören, unterliegen dennoch den Befehlen der Wurzel, da die Wurzel die Befugnis hat, die "passwd"-Datei sowie die Dateien, die die Fähigkeiten der Wurzel allgemein steuern, zu ändern. Diese Fähigkeit gibt der Wurzel die Befugnis, das Paßwort selbst zu ändern und deshalb kann die Wurzel sich immer zum Eigentümer einer Datei erklären. Deshalb ist es sinnvoll, daß die Wurzel von vorn herein alle Eigentümerbefugnisse besitzt. Kurz gefaßt, besitzt die Wurzel absolute Kontrolle und totales Wissen über alle Dateien in dem System.
Neben in der Lage zu sein, sich einzuloggen (durch Angeben des korrekten Paßworts) wird Benutzern die Möglichkeit gewährt, Dateien zu lesen, in Dateien zu schreiben und Dateien auszuführen – d. h. die Programmsteuerung an Dateien abzugeben. (Ohne die Befugnis, die Programmsteuerung an eine spezifizierte Datei abzugeben, kann nichts geschehen, denn die Ausführung eines Programms ist nichts weiter als das Abgeben der Steuerung an eine Datei.) Da die Wurzel Zugang zu allen Dateien in dem System besitzt, folgt, daß die Wurzel alle Dateien lesen, beschreiben und ausführen kann.
Alle vom System bereitgestellten Anweisungen in dem UNIX-Betriebssystem sind nur Dateien, die ausgeführt werden können, und diese Dateien können sich in einem beliebigen Verzeichnis befinden, so lange das System weiß, wo diese Dateien zu finden sind. Wie bereits erwähnt, besitzt die Wurzel alle diese Verzeichnisse und alle diese Dateien. Da die Wurzel die Lese- und Ausführungszulassungen all dieser Verzeichnisse und Dateien kontrolliert, folgt, daß die Wurzel jede Person (einschließlich seiner selbst, falls dies erwünscht wäre) davon abhalten kann, irgendeine Datei auszuführen, indem einfach die Zulassungen in dieser Datei begrenzt werden. Dadurch erhält die Wurzel die Befugnis zum Erstellen angepaßter Mengen von Dateien, deren Ausführung für bestimmte Gruppen von Benutzern blockiert wird. Anders ausgedrückt kann die Wurzel verschiedene eingeschränkte Betriebssysteme oder "eingeschränkte Shells" erzeugen, die weniger als alle in dem System verfügbaren Befehle umfassen.
Das Chipkarten-Betriebssystem
Durch die absolute Befugnis der Wurzel im UNIX-Betriebssystem wird sie für Chipkarten ungeeignet. Während absolut offensichtlich ist, daß Anbieter wie etwa VISA, MASTERCARD und AMERICAN EXPRESS es einander nicht erlauben werden, die Wurzel zu sein, ist es auch relativ wahrscheinlich, daß sie ohne nachweisbar ausreichende Sicherheitsmittel auch nicht wünschen würden, daß irgend jemand anderes die Wurzel ist. Dies ist Teil des Problems, das verhindert hat, daß die Chipkarte den kommerziellen Erfolg erlangt, den sie verdient.
2 zeigt eine Struktur, die auf diese Sensitivität von Dienstanbietern anspricht. Gemäß der Struktur von 2 besitzt die Wurzel das Wurzelverzeichnis und eine beliebige Anzahl von Dateien (Verzeichnisdateien oder normalen Dateien), die sie erzeugen möchte. Zum Beispiel enthält 2 eine Wurzelverzeichniskartendatei 10 und darunter befinden sich die Datei ".profile" 11, die Datei "passwd" 12, die "log"-Datei 17, die "filex"-Datei 13, die "filey"-Datei 14 und die "ID"-Datei 18. Außerdem finden sich unter der Wurzel mehrere Unterverzeichnisse, die jeweils als "HOME"-Verzeichnis eines Benutzers (Dienstanbieters) verwendet werden. Zum Beispiel enthält 2 eine Verzeichnisdatei 15 mit dem Namen "htb" (Halter der Chipkarte), eine Verzeichnisdatei 20 mit dem Namen "bankA" und eine Verzeichnisdatei 25 mit dem Namen "airlineA". Jedes dieser Verzeichnisse enthält eine "passwd"-Datei (16, 21 bzw. 26) unter dem assoziierten HOME-Verzeichnis des Benutzers sowie eine ".profile"-Datei. Diese Plazierung der Paßwortdateien hat bestimmte Vorteile, ist aber keine Anforderung.
Insbesondere wird die Eigentümerschaft jeder solcher Paßwortdateien dem Benutzer zugewiesen, der mit dieser Datei und dem Verzeichnis darüber assoziiert ist. Es kann auch vorteilhaft sein, den jeweiligen Benutzern Eigentümerschaft der Verzeichnisse 15, 20 und 25 zu gewähren.
2 zeigt ein zusätzliches wichtiges Verzeichnis (und einen Benutzer). Dabei handelt es sich um das "Besucher"-Verzeichnis 30, das der Eintrittspunkt für Nicht-Dienstanbieter ist, die mit der Chipkarte interagieren möchten.
Die Dateiarchitektur von 2 ist an ein Betriebssystem gekoppelt, das sich hauptsächlich dadurch von dem UNIX-Betriebssystem unterscheidet, daß das Betriebssystem der Struktur von 2 es der Wurzel nicht erlaubt, Dateien zu modifizieren, die nicht ihr gehören. Um sicherzustellen, daß diese Fähigkeit von der Wurzel nicht umgangen wird, erlaubt das Betriebssystem der Wurzel nicht, bestimmte Dateien zu modifizieren, die das Betriebssystem definieren (in gewissem Sinne gehören diese Dateien nicht der Wurzel). Ein Mittel zur Erzielung des letzteren Ergebnisses besteht darin, diese nicht der Wurzel gehörenden Betriebssystemdateien in einem Nurlesespeicher (ROM) einzuschließen. Zu allermindest enthält der ROM die Befehle/Module/Dateien, die das Schreiben in eine Datei bewirken. Genauer gesagt, wird das Schreiben in eine Datei auf jegliches eingeschränkt, das der Eigentümer der Datei spezifiziert (der Eigentümer einer Datei ist anfänglich der Benutzer, der die Datei erzeugt), und die Wurzel wird lediglich als ein weiterer Benutzer behandelt. Befehle, die das Schreiben in eine Datei bewirken, sind Betriebssystembefehle, die zum Beispiel Dateien verschieben, Dateien kopieren, Dateien abspeichern, Dateiattribute ändern (z. B. Eigentümerschaft) und Dateien umbenennen. Weitere Artikel, die in dem ROM oder typischer in einem "einmal beschreibbaren" Speicher installiert werden können (weil sie für jede Chipkarte einzigartig sind), sind das Wurzelpaßwort und die ID-Informationen der Chipkarte (d. h. die Dateien 12 und 18). Die ID-Informationen können einfach eine beliebige Zeichenkette sein oder können den Namen des Halters enthalten. Die Aufnahme des Namens des Halters wird wahrscheinlich von Händlern bevorzugt, die die ID-Informationen erhalten werden. Tatsächlich können sowohl das Wurzelpaßwort als auch die ID der Chipkarte in die Datei eingeschlossen werden, die das Wurzelverzeichnis einrichtet (d. h. im Block 10). In 2 sind diese jedoch unabhängige Dateien, um die Konzepte klarer zu veranschaulichen.
Eine Dateischreibbefugnis, die der Wurzel bei bestimmten Ausführungsformen gewährt wird, ist die Befugnis, eine beliebige Datei vollständig zu löschen (und dabei effektiv jede Datei, auf die die gelöschte Datei zeigt, zu löschen). Dazu gehören Verzeichnisdateien und normale Dateien, und es gilt für Dateien, die der Wurzel gehören und für Dateien, die nicht der Wurzel gehören. Eine solche Fähigkeit kann bei Ausführungsformen gegeben werden, bei denen Speicherplatz wiederzuverwenden ist, wenn ein gegebener Dienstanbieter dem Halter der Chipkarte keine Dienste mehr bereitstellt.
Ein anderer Unterschied zwischen dem Betriebssystem von 2 und dem eines Standard-UNIX-Betriebssystems besteht darin, daß ersteres ein Verschlüsselungsschlüsselpaar enthält, das in einer Datei installiert wird, die der Wurzel gehört (z. B. in "filex" 13) und dieses Schlüsselpaar für jede Chipkarte einzigartig ist. Das Paar enthält einen Privatschlüssel f, der von der Chipkarte geheimgehalten wird, und einen öffentlichen Schlüssel g, um dessen Geheimhaltung sich die Chipkarte nicht kümmert. Natürlich sind beide Schlüssel anfänglich dem Eigentümer/Ausgeber der Chipkarte bekannt, der auch der Wurzelbenutzer (d. h.
Superbenutzer) der Chipkarte ist, aber die Wurzel muß den Privatschlüssel nicht behalten (und würde wahrscheinlich wählen, dieses Wissen zu vernichten). Dieses Schlüsselpaar kann auch in einen entsprechenden Speicher "eingebrannt" werden, wie zum Beispiel den Speicher, der das Paßwort der Wurzel enthält, oder kann in die Datei aufgenommen werden, die das Wurzelverzeichnis definiert. Weiter unten findet sich mehr über Verschlüsselung mit öffentlichen Schlüsseln.
Der Umstand, daß das Paßwort des Verzeichnisses eines Benutzers in einer Datei gespeichert wird, die dem Benutzer gehört, ist ein Schlüsselunterschied zwischen dem UNIX-Betriebssystem und dem in 2 gezeigten Betriebssystem. Der Umstand, daß diese Paßwörter außer von den Eigentümern der Dateien von niemandem gelesen werden können, gestattet ein Speichern der Paßwörter in unverschlüsselter Form. Kombiniert mit der Einschränkung bezüglich Schreiben verhindert diese Organisation, daß die Wurzel zum Eigentümer jeglicher Datei (normale Datei oder Verzeichnisdatei) wird und verhindert somit, daß die Wurzel die von dem Eigentümer der Datei gesetzten Berechtigungen umgeht. Dieser Schlüsselunterschied ermöglicht, daß die Dateien eines Benutzers für die Wurzel sowie für andere Benutzer völlig undurchsichtig sind. Somit überwindet die Anordnung von 2 das "Vertrauensproblem" zwischen den Anbietern von Diensten und dem Ausgeber/Eigentümer der Chipkarte.
Transaktionssicherheit
Das nächste Problem, das behandelt werden muß, ist Transaktionssicherheit der Chipkarte. Dieses Konzept umschließt die Maßnahmen, die von dem Betriebssystem der Chipkarte und durch vereinbarte Kommunikationsprotokolle verwendet werden, um sicherzustellen, daß keine unbefugten Transaktionen stattfinden, die andernfalls den Halter oder beliebige der Dienstanbieter beeinträchtigen würden. Dazu gehören Aktivitäten der Wurzel, des Halters oder beliebiger der Dienstanbieter, eines beliebigen Besucher-Benutzers oder eines Eindringlings. (Ein Eindringling ist ein Beteiligter, der sich in eine Kommunikationssitzung zwischen einer Chipkarte und einem anderen Beteiligten einwirft und die echten Nachrichten durch seine Nachrichten ersetzt.) Ein Verfahren zum Abwehren von Eindringlingen besteht darin, Nachrichten zu konstruieren, die einen Datum- und Zeitstempel aufweisen, wobei mindestens dieser Teil der Nachricht verschlüsselt wird. Als Alternative kann die ganze Nachricht verschlüsselt werden. Außerdem kann gegebenenfalls das Kommunikationsprotokol den Austausch einer Bestätigungssequenz (die sich von Sitzung zu Sitzung unterscheidet) zwischen den Beteiligten erfordern. Außerdem ist es ein guter allgemeiner Ansatz, den Fluß heikler Informationen im Klartext (d. h. ohne Verschlüsselung) zu minimieren. Diese Techniken werden in den nachfolgend beschriebenen Login- und Kommunikationsprotokollen verwendet.
Verschlüsselung
Das Gebiet der Verschlüsselung ist nicht neu. Es folgt lediglich eine Zusammenfassung zweier Verschlüsselungstechniken, die in Verbindung mit der hier offenbarten Chipkarte verwendet werden können.
Wohlbekanntlich sieht der Ansatz des "gemeinsamen Geheimnisses" für die Verschlüsselung vor, daß die beiden kommunizierenden Beteiligten sich eine Geheimfunktion f teilen. Der Beteiligte, der eine Nachricht m senden möchte, verschlüsselt die Nachricht mit der Geheimfunktion, um eine verschlüsselte Nachricht f(m) zu bilden. Die verschlüsselte Nachricht wird gesendet und der empfangende Beteiligte entschlüsselt das empfangene Signal durch Bilden der Funktion f(f(m)). Die Funktion f ist dergestalt, daß das Entdecken der Nachricht m aus f(m) rechnerisch sehr schwierig ist, aber ein zweimaliges Anwenden der Funktion die ursprüngliche Nachricht wiederherstellt; d. h. f(f(m)) = m.
Der Ansatz des "gemeinsamen Geheimnisses" für die Verschlüsselung ist sehr gut, ihr Schwachpunkt liegt jedoch in der Notwendigkeit, die Geheimfunktion zu übermitteln d. h. gemeinsam zu benutzen. Wenn ein Lauscher während dieser singulären Kommunikationssitzung, bei der die Funktion gesendet wird, das gemeinsame Geheimnis erhält, ist es nicht mehr geheim.
Bei der Verschlüsselung mit öffentlichem Schlüssel behält jeder Beteiligte ein Element eines Paars von Schlüsseln f und g. Genauer gesagt hält ein Beteiligter einen Schlüssel (f) geheim, gibt den anderen Schlüssel (g) jedoch allen bekannt. Somit ist der Schlüssel g "öffentlich" und der Schlüssel f ist "privat". Das Paar f und g ist folgender Gestalt:

1. g(f(m)) = m.
2. sogar wenn g bekannt ist, kann die Funktion f nicht bestimmt werden und
3. es ist rechnerisch nicht praktikabel, die Nachricht m aus f(m) zu bestimmen.

Obwohl der Ansatz mit öffentlichem Schlüssel das oben beschriebene Problem der Schlüsselverteilung/-administration löst, hat er den Nachteil, daß Verschlüsselung und Entschlüsselung mit öffentlichem Schlüssel langsamer ist (mehr Rechenzeit erfordert) als der Ansatz mit dem "gemeinsamen Geheimnis".
Soweit es Chipkarten betrifft, hat die Geschwindigkeit der Kommunikation auf der Basis der Art von Beteiligtem, der mit der Chipkarte kommuniziert, verschiedene Grade der Wichtigkeit. Mit Bezug auf den Ausgeber/Eigentümer der Chipkarte und die Dienstanbieter ist eine niedrige Geschwindigkeit kein großer Nachteil, weil erwartet wird, daß diese Kommunikation selten ist und deshalb die Verarbeitungszeit "nicht wesentlich" ist. Bei der Kommunikation mit anderen (d. h. Händlern, die sich als Besucherbenutzer einloggen) ist Geschwindigkeit jedoch wichtig.
Das Geschwindigkeitsproblem wird gegebenenfalls gelöst, indem der Ansatz des "gemeinsamen Geheimnisses" mit dem Ansatz des öffentlichen Schlüssels kombiniert wird. Das heißt, wenn die Kommunikation eingeleitet wird, wird der Ansatz mit öffentlichem Schlüssel verwendet, um ein vorübergehendes "gemeinsames Geheimnis" zwischen der Chipkarte und dem Händler zu übermitteln. Genauer gesagt schlägt der Beteiligte, der den öffentlichen Schlüssel besitzt, ein "gemeinsames Geheimnis" vor und übermittelt es zu dem Beteiligten, der den privaten Schlüssel besitzt. Danach wird der schnellere Ansatz des "gemeinsamen Geheimnisses" verwendet, um die gesamten Nachrichten zu verschlüsseln.
Als Alternative kann ein Zertifizierungsansatz (unter Verwendung des gemeinsamen Geheimnisses) verwendet werden. Bei einem Zertifizierungsansatz wird die Nachricht im Klartext gesendet und wird mit einer "digitalen Signatur" abgeschlossen oder "signiert". Eine "digitale Signatur" ist eine Hasch-Operation der Nachricht (d. h. Hinzufügung der ASCII-Codes der Zeichen in der Nachricht in einer gewählten Restklasse), die codiert wird. Bei Anwendungen, bei denen sichergestellt wird, daß ein Eindringling die echten Daten nicht mit falschen Daten ersetzen kann, können die Informationen natürlich im Klartext gesendet werden (wahrscheinlich nach einem Verifikationsprozeß unter Verwendung des öffentlichen Schlüssels).
Die Verwendung des Ansatzes mit öffentlichem Schlüssel löst die meisten der Bedenken bezüglich Schlüsseladministrationen. Es verbleibt jedoch die Frage der anfänglichen Kenntnis des öffentlichen Schlüssels durch den Beteiligten, der mit der Chipkarte kommunizieren möchte, dies ist jedoch kein Problem, da die Chipkarte selbst diese Informationen geben kann.
Login durch Wurzel und Installation eines Dienstanbieters/Benutzers
Da Verschlüsselung sichere Kommunikation sicherstellt, kann der Ausgeber/Eigentümer der Chipkarte der Ferninstallation von Diensten vertrauen. Natürlich muß sich der Ausgeber/Eigentümer (d. h. die Wurzel) erst in die Chipkarte einloggen. Ein Protokoll für das Einloggen ist in 3 dargestellt, und in 4 ein Protokoll für Dienstinstallationsprozeß. Die mit der hier offenbarten Chipkarte mögliche physische Fernverbindung ist in 8 gezeigt.
Wie in 3 gezeigt, beginnt der Prozeß damit, daß der Besitzer (P) der Chipkarte als der rechtmäßige Halter (H) der Chipkarte (S) authentifiziert wird. Wie in 3 gezeigt, beginnt der Prozeß mit einer Aufforderung von der Chipkarte und einer Eingabe der PIN (Geheimzahl) des Besitzers in die Chipkarte. Die Verwendung der Verarbeitungsleistung der Chipkarte zum Authentifizieren des Besitzers hat den Vorteil, daß sie keine Übermittlung der PIN-Zeichenkette zu irgendwelchen Geräten erfordert, die die PIN erfassen könnten. Auch bei Anwendungen, bei denen P und S sich am Standort des Händlers befinden, ist es für den Händler möglich, einen selbständigen Apparat zu besitzen, der auf sichere Weise eine Schnittstelle mit der Chipkarte bereitstellt. Dieser Apparat kann mit Batterie betrieben sein, mit einer Tastatur und einem Display, und zertifiziert, keine weiteren Ports, keinen Prozessor und keinen beschreibbaren Speicher zu enthalten. Im Betrieb würde P in diesen selbständigen Apparat S einführen, die PIN über die Tastatur eingeben und die Chipkarte würde bestimmen, ob die PIN korrekt ist. Sie würde dann gegebenenfalls durch das Display eine "OK"-Nachricht ausgeben.
Wenn solche selbständigen Apparate nicht verfügbar sind (oder wenn die Kommunikation aus der Ferne erfolgt, zum Beispiel wenn ein "dummer" Kartenleser zu Hause beim Besitzer verwendet wird), wird die eingereichte PIN in der Chipkarte verarbeitet und die "OK"-Nachricht von der Chipkarte (an den Apparat des Händlers) wird "zeitgestempelt" und verschlüsselt. Dadurch wird nahegelegt, daß die Bestätigung von P als H zurückgestellt werden muß, bis die entsprechenden Verschlüsselungsschlüssel eingerichtet wurden und S Datum- und Zeitinformationen aufgeprägt wurden (dies ist nicht der in 3 gezeigte Ansatz).
Wieder mit Bezug auf 3 verifiziert S im allgemeinen, nachdem die Rechtmäßigkeit von H festgestellt wurde, daß der einloggende Benutzer ein gültiger Benutzer ist, und der Benutzer bestätigt, daß S eine gültige Chipkarte ist. Genauer gesagt geht das Protokoll von 3 in seiner Gesamtheit folgendermaßen vor:

a. S fordert zur Eingabe auf und P gibt eine PIN-Zeichenkette. (In der Chipkarte residiert die PIN in einer Datei, die der Wurzel gehört, die für den Halter zum Modifizieren offen ist, wie zum Beispiel die Datei 14 in 2.) S vergleicht die angegebene PIN-Zeichenkette mit der gespeicherten PIN-Zeichenkette, und wenn der Vergleich positiv ist, wird P als H bestätigt.
b. Nachdem H bestätigt ist, kann man sich der Kommunikation zwischen S und O zuwenden. S identifizierte sich selbst, indem sie O ihre ID-Nummer und eine Paßwortanfrage in Form einer Zufallszeichenkette RND1 gibt. c. O verschlüsselt RND1 mit dem Paßwort von O, um die Zeichenkette K₁ (RND1) zu bilden, und gibt sie an S zurück. Diese Form der Paßwortantwort wechselt offensichtlich von Sitzung zu Sitzung und stellt sicher, daß das wahre Paßwort von O nicht von einem Eindringling abgefangen wird. Es verbleibt die Frage, wo O die Paßwörter aller Chipkarten, die ihm gehören, hält und wie sicher eine solche Datenbank ist. Es ist jedoch tatsächlich nicht notwendig, daß O eine Datenbank von Paßwörtern hält. O benötigt lediglich eine einzige Keimzeichenkette, die, wenn sie mit den von S gelieferten Daten verarbeitet wird, das Paßwort der Chipkarte ergibt. Diese Daten sind die ID-Informationen.
d. Da die von der Chipkarte eingereichte Zeichenkette immer entweder dieselbe oder O zuvor unbekannt ist, kann ein zusätzlicher Authentifizierungsschritt wünschenswert sein, um sicherzustellen, daß die anfängliche Zeichenkette (ID, RND1) keine wieder abgespielte Aufzeichnung ist. Man erreicht dies, indem O eine Anfragenachricht RND2 zu S sendet, die zum Beispiel seine ID und eine Zufallszeichenkette umfaßt.
e. Auf der Basis der in der Zeichenkette RND2 enthaltenen ID bestimmt S, daß O der Benutzer ist, erhält den notwendigen Schlüssel (z. B. das Paßwort von O) und entschlüsselt K₁(RND1). Wenn die Entschlüsselung zu RND1 führt, bestimmt S, daß O rechtmäßig ist.
f. Danach verschlüsselt S die Zeichenkette RND2 mit dem Wurzelpaßwort von S und leitet die resultierende Zeichenkette K₁(RND2) zu O.
g. O entschlüsselt die Antwort K₁(RND2), und wenn die resultierende Zeichenkette RND2 ist, ist O einverstanden, daß S gültig ist. Dies beendet den Login-Prozeß, wobei O S eine Aufforderung gibt und in Bereitschaft wartet, Dienstanforderungen anzunehmen.

Es sei angemerkt, daß der oben beschriebene "Login- Prozeß scheinbar von dem vertrauten Login-Prozeß verschieden ist, bei dem der Computer, zu dem Zugang gerichtet ist, steuert. Der Computer fragt nach einer anfänglichen Identifikation des Benutzers und fragt dann nach einem Paßwort. Auf der Basis dieser anfänglichen Identifikation weiß der Computer, welches Paßwort zu erwarten ist. Hierbei scheint die Chipkarte dahingehend die Kontrolle zu besitzen, daß sie die Kommunikation (mit O) einleitet; statt eine anfängliche Identifikation anzufordern – um Informationen zu erhalten – gibt sie jedoch Informationen – die ID und RND1. Dadurch entsteht jedoch die Frage, ob die Antwort von O die anfängliche Identifikation oder das Paßwort ist; wenn sie das Paßwort ist, fragt sich, wie es weiß, ob das Paßwort korrekt ist. Die Antwort ist, daß die Antwort von O drei Zwecken dient: Sie identifiziert sich selbst im Sinne der anfänglichen Identifikation (durch die in RND1 enthaltene ID), sie authentifiziert sich selbst durch Verwenden des korrekten Schlüssels zum Verschlüsseln von RND1 und sie fragt mit RND2 bei S an, um in einem verschlüsselten Modus zurückgegeben zu werden.
Nachdem O eingeloggt ist, kann H eine Anforderung der Installation eines von dem Dienstanbieter (SP) angebotenen Dienstes übermitteln. Die Übermittlung bezüglich des konkreten durch O zu installierenden angeforderten Dienstes kann Interaktion mit einer Person umfassen, kann aber auch automatisiert werden. Zum Beispiel kann H den gewünschten Dienst zu S übermitteln und S kommuniziert mit O. 4 zeigt ein Protokoll zum Installieren von Dienst.

a. H leitet eine Dienstanforderung zu S
b. S verschlüsselt die Anforderung und leitet sie zu O weiter. Die elektronische Kommunikation zwischen O und S kann mit dem Privatschlüsselelement des öffentlichen Schlüssels in S verschlüsselt werden, wobei S ihren öffentlichen Schlüssel zu O sendet. Als Alternative kann die Kommunikation mit einem "gemeinsamen Geheimnis" der Chipkarte verschlüsselt werden. Für letzteres kann das Wurzelpaßwort ausgewählt werden, oder O kann S (unter Verwendung von Verschlüsselung mit öffentlichem Schlüssel wie oben beschrieben) ein vorübergehendes "gemeinsames Geheimnis" anbieten. In 4 dient das Wurzelpaßwort zur Verschlüsselung, wodurch die Anforderungszeichenkette K₁(REQ) erzeugt wird.
b. Mit Kenntnis des gewünschten Dienstes kontaktiert O SP, um zu verifizieren, daß SP zustimmt, H Dienste zu leisten.
c. Wenn die Bereitstellung des Dienstes für SP annehmbar ist, wählt O ein temporäres Paßwort, informiert SP über dieses Paßwort (wahrscheinlich durch verschlüsselte Kommunikation) und fährt fort, indem in S ein Verzeichnis und eine Paßwortdatei für SP erzeugt werden. d. Wenn die Paßwortdatei für den SP-Benutzer eingerichtet wird, wird das temporäre Paßwort zu S gesendet (wie oben beschrieben auf verschlüsselte Weise übermittelt) und die Eigentümerschaft des Verzeichnisses und der Paßwortdatei wird an SP transferiert (dieses Paßwort kann bei zukünftigen Kommunikationssitzungen mit SP als der Schlüssel des "gemeinsamen Geheimnisses" dienen). Außerdem kann zu diesem Zeitpunkt der Rest von SP benötigter Anwendungssoftware installiert werden, wobei O diese Dateien im verschlüsselten Modus sendet. Als Alternative kann vorgesehen werden, daß keine andere Software durch O installiert wird.
e. An diesem Punkt wird H informiert, SP für den letztlichen Aufbau zu kontaktieren.
f. H richtet einen Kommunikationsweg zwischen S und SP ein und verwendet dabei eine Login-Sequenz wie in 3 gezeigt, wobei aber als Verschlüsselungsschlüssel das temporäre SP-Paßwort verwendet wird.
g. Nachdem das Login zu SP hergestellt ist, sendet S eine Dienstanforderung aus und SP antwortet mit der Installation eines neuen Paßworts sowie jeglicher notwendiger Daten- und sonstiger Dateien, die nicht von O installiert wurden und von Daten. Dadurch wird der Dienstinstallationsprozeß abgeschlossen.

Dienstbereitstellung durch einen Dienstanbieter
Wie bereits erwähnt, ist ein Dienstanbieter einfach ein Benutzer, der ein zugewiesenes Verzeichnis in der Chipkarte besitzt. Der Dienstanbieter loggt sich ein, wenn der Besitzer Kommunikation zwischen der Chipkarte und dem Dienstanbieter herstellt. Wie zuvor sind an dem Login-Protokoll drei Elemente beteiligt:

(1) SP möchte bestätigen, daß P H ist,
(2) S möchte bestimmen, daß der eingeloggte Benutzer der wahre SP ist und
(3) SP möchte bestimmen, daß er mit einer gültigen S kommuniziert.

Diese drei Elemente werden in dem in Verbindung mit 3 offenbarten Protokoll ausgeführt. Nur nach einem erfolgreichen Login kann eine Dienstanforderung hervorgebracht werden. Eine Dienstanforderung kann zum Beispiel umfassen, daß H von SP (z. B. einer Bank) anfordert, "Geld" in S zu installieren, wodurch die "elektronische Börse von S gefüllt wird. Das Füllen der elektronischen Börse kann einfach darin bestehen, daß ein Wert in einer Datei installiert wird, die SP gehört. Dies ist in dem Flußdiagramm von 5 gezeigt.
Interaktion mit Händlern
Es wird erwartet, daß mit großem Abstand der Chipkartenhalter hauptsächlich wünschen wird, daß die Chipkarte mit Händlern interagiert, die Besucher-(V)-Benutzer sind. Die oben offenbarte Anordnung gestattet eine solche Interaktion auf zwei Weisen: direkte Interaktion zwischen der Chipkarte und einem Händler und eine dreifache Interaktion, an der die Chipkarte, der Händler und der Dienstanbieter beteiligt sind. Das Protokoll für den letzteren Ansatz (siehe 6) kann von folgender Gestalt sein:

a. P stellt Kommunikation zwischen S und V her (durch Überreichen von S an V oder durch Fernverbindung von S mit V).
b. S fordert zur Eingabe auf und P gibt die PIN-Zeichenkette an. Wenn dies korrekt ist, bestimmt S, daß P H ist und fährt mit der Standard-Login-Sequenz fort, wobei seine ID-Informationen und RND1 gesendet werden.
c. V stellt einen Kommunikationsweg mit SP her, identifiziert sich SP und leitet die ID-Informationen und RND1 weiter. d. Mit den ID-Informationen bestimmt SP sein Paßwort (vielleicht auch unter Verwendung einer mit Verarbeitung kombiniertem Keimzeichenkette) und verschlüsselt RND1 mit diesem Paßwort. Die resultierende Zeichenkette K₂(RND1) wird zusammen mit einer Zufallszeichenkette RND2 zu S gesendet. e. S bestimmt, ob SP das korrekte Paßwort bei der Bildung von K₂(RND1) verwendet hat und wenn die Schlußfolgerung positiv ist, verschlüsselt sie RND2 und leitet das Ergebnis K₂(RND2) zu SP weiter. f. Wenn SP bestätigt, daß S das korrekte Paßwort zum Verschlüsseln von RND2 verwendet hat, sendet er eine Aufforderung zu V, um den Händler zu informieren, daß er mit der Anforderung der Benutzung von S fortfahren kann. g. V fordert eine Handlung von SP an (wie zum Beispiel Löschen eines Werts aus dem Account von H bei SP oder wie etwa Modifizieren eines Werts in einer in S residierenden Datei, die SP gehört. h. SP erfüllt diese Anforderung und sendet gegebenenfalls einen entsprechenden Befehl mit dem SP-Paßwort verschlüsselt zu S.

Wenn gewünscht wird, daß die Chipkarte direkt mit dem Händler interagiert (oder einem Händler in Verbindung mit der Bank des Händlers oder einer bestimmten anderen Entität, die dem Händler einen Dienst bereitstellt und "an der Stelle" des Händlers steht), muß ein Mechanismus eingerichtet werden, um es Beteiligten, die keine im voraus hergestellte Beziehung mit der Chipkarte aufweisen, zu ermöglichen, sich in die Chipkarte einzuloggen. Das "Besucher"-Benutzerverzeichnis dient diesem Zweck und dieser Benutzer besitzt kein Paßwort. Das heißt, daß der Besucherbenutzer ein sehr unsicherer Benutzer ist, so daß der Zugang strikt kontrolliert werden muß.
Eine Frage, die beantwortet werden muß, ist zum Beispiel, ob ein solcher Besucherbenutzer Zugang zu Anwindungsdateien (Programmen) nur des von dem Händler spezifizierten Dienstanbieters oder zu Anwendungsdateien aller Dienstanbieter haben wird.
Wenn Zugang zu Anwendungsdateien aller Dienstanbieter gewährt werden soll, besteht die einfachste Anordnung darin, daß die Wurzel ein Besucher-Benutzerverzeichnis einrichtet, das kein Paßwort aufweist und eine eingeschränkte Shell aufweist, die es dem Besucherbenutzer ermöglicht, nur eine begrenzte Menge von Betriebssystembefehlen auszuführen; d. h. wobei die Variable PATH so eingerichtet wird, daß sie ein Verzeichnis, das der Wurzel gehört (das nur einige wenige Betriebssystembefehle enthält) und die SP-Verzeichnisse (oder gewählten Unterverzeichnisse der Dienstanbieter/Benutzer), die die ausführbaren Dateien, zu denen die SP Besucherbenutzern Zugang gewähren möchten, enthält.
Wenn Zugang zu Anwendungsdateien nur eines spezifischen SP gewährt werden soll, muß natürlich dieser SP spezifiziert werden und es müssen Mittel bereitgestellt werden, um nur die ausführbaren Dateien des spezifizierten SP aufzunehmen. Wieder läßt sich dies leicht mit einer eingeschränkten Shell erreichen, wobei die PATH-Variable das Verzeichnis (oder gewählte Unterverzeichnis) des spezifizierten SP enthält. Das in 7 abgebildete Protokoll kann folgendermaßen sein:

a. S fordert zur Eingabe auf und P gibt die PIN-Zeichenkette an. Wenn dies korrekt ist, bestimmt S, daß P H ist und fährt mit der Standard-"Login"-Sequenz fort, wobei ihre ID-Informationen und RND1 gesendet werden.
b. Da V keine Paßwörter besitzt, gibt er lediglich die Zeichenkette RND1 zurück.
c. Anhand dieser Antwort erkennt S, daß der Benutzer ein Besucherbenutzer ist und sendet ihren öffentlichen Schlüssel K_pu aus. (Der öffentliche Schlüssel könnte als Teil der ID-Informationen gesendet worden sein.) An diesem Punkt kann S auch eine "digitale Signatur" senden, die aus einer Nachricht abgeleitet wird, die den öffentlichen Schlüssel, die ID-Informationen und RND1 enthält. S kann auch eine verschlüsselte Zeichenkette senden, die ein (in 7 nicht gezeigtes) vorgeschlagenes "gemeinsames Geheimnis" darstellt. Das digitale Signal wird mit dem öffentlichen Schlüssel verschlüsselt.
d. V dechiffriert die "digitale Signatur" unter Verwendung des angegebenen öffentlichen Schlüssels. Wenn die dechiffrierte "digitale Signatur" mit der entsprechenden Zeichenkette übereinstimmt, sendet V RND2 aus.
e. S verschlüsselt RND2 mit ihrem privaten Schlüssel und antwortet mit K_pr(RND2).
f. V entschlüsselt diese Nachricht mit K_pu, und wenn V RND2 erhält, akzeptiert V, daß er mit S kommuniziert.
g. V sendet Zeit- und Datuminformationen mit K_pu, verschlüsselt zu S und S gibt eine Aufforderung zurück.
h. V sendet eine Anforderung zu S (die die Aktion, die V wünscht, und der SP, der verwendet werden soll, identifiziert) auch mit K_pu verschlüsselt und S antwortet mit einer Autorisierung, den spezifizierten SP zu kontaktieren. Die Autorisierung wird mit dem privaten Schlüssel K_pr verschlüsselt.

In der Regel möchte der Händler im Austausch für von dem Händler bereitgestellte Waren oder Dienstleistungen Gelder erhalten, die H gehören. Wie oben beschrieben, ist es gut möglich, daß ein Dienstanbieter, wie etwa eine Bank, eine "elektronische Börse" installiert, die einen Wert hält. Dieser Wert befindet sich in einer Datei, die dem Dienstanbieter gehört.
Der Händler möchte auf diese Datei zugreifen, und SP (in Verbindung mit dem H) ist bereit, diesen Zugang zu der Datei gewähren, aber nur auf sehr begrenzte und strickt kontrollierte Weise. Somit erzeugt SP eine Datei mit einem vorgeschriebenen Namen, der von dem Betriebssystem erwartet wird, füllt diese Datei mit einem Wert und ein spezifischer Betriebssystembefehl (der nicht der Wurzel gehört) greift auf die Datei zu und zieht eine Summe von dem in der Datei gefundenen Wert ab.
9 zeigt ein Flußdiagramm eines solchen Befehls. Der Befehl beginnt im Block 200 mit dem Durchsehen einer Datei (eines vorgeschriebenen Namens) in dem Besucher-Benutzerverzeichnis. Die Datei muß vier Einträge enthalten, die zum Beispiel durch ein Zeilenumbruchzeichen getrennt werden, und das Betriebssystem nimmt an, daß die vier Einträge folgendes umfassen: a) Datum und Uhrzeit, b) ID des Händlers, wie zum Beispiel Namen, Adresse und vielleicht einen Code, c) die abzuziehende Geldsumme und d) den Dienstanbieter, dessen "elektronische Börse" verwendet werden soll.
Wenn diese Datei nicht existiert oder nicht die erforderliche Anzahl von Einträgen aufweist, wird die Steuerung an Block 210 abgegeben, der den Händler (Besucherbenutzer) über die Unzulänglichkeit informiert. Wenn die Datei existiert, liest der Befehl den Wert in der Datei der "elektronischen Börse" des Dienstanbieters (SP) im Block 220. Diese Datei ist eine Datei mit einem vorgeschriebenen Namen. Block 230 wertet aus, ob die Summe, die der Händler abheben möchte, größer als der Wert in der elektronischen Börse ist. Wenn dem so ist, wird die Steuerung an den Block 240 abgegeben, der eine Zurückweisungsnachricht konstruiert und sie zu dem Händler und zu der Protokollierungsdatei in der Chipkarte weiterleitet. Wenn die Summe kleiner als der Wert ist, wird die Steuerung an Block 250 abgegeben, der die Protokollierungsdatei auf verschiedene Indizien für Betrug prüft. Dabei kann es sich um einen separaten Befehl handeln, der durch den ausgeführten Befehl aufgerufen wird. Wie in 3 abgebildet, kann Block 250 zu drei Arten von Ausgaben führen: eine, die einen potentiellen Betrugszustand nahelegt (z. B. dieser Händler hat die Chipkarte innerhalb eines vorgewählten Zeitintervalls mehr als eine vorgeschriebene Anzahl von Malen benutzt, das vom Händler angegebene Datum und die vom Händler angegebene Uhrzeit sind früher als die letzte in der Protokollierungsdatei gefundene Zeit usw.); eine andere, die auf eine vom SP bereitgestellte Schwellendatei anspricht, die den Händler anleitet, den SP zu der Transaktion zu konferenzieren; und die dritte, die einen Normalzustand anzeigt.
Der potentielle Betrugszustand wird durch in der Protokollierungsdatei des Halters gespeicherte Informationen gehandhabt (Block 260) und die Steuerung wird dann an Block 240 abgegeben. Die gespeicherten Informationen identifizieren den Händler, was versucht wurde, abzuheben, den Grund für die Zurückweisung usw. Dadurch werden dem Halter die notwendigen Informationen gegeben, um mit dem Ausgeber/Eigentümer der Karte und gegebenenfalls mit Behörden in Dialog zu treten. Falls erwünscht, wird die Chipkarte gesperrt, wenn ein Betrugszustand vermutet wird.
Wenn eine von SP gesetzte Schwelle überschritten wird (z. B. SP möchte, daß Abhebeautorisierung von oberhalb von 1000 Dollar "in Echtzeit" gewährt wird), wird im Block 720 eine Nachricht konstruiert und die Steuerung wird an Block 280 abgegeben.
Zu Block 280 kommt man auch direkt von Block 250 aus, wenn ein Normalzustand angegeben wird. Block 280 inkrementiert die in der Protokollierungsdatei der Chipkarte zu findende Sequenznummer und zieht die vom Händler gewünschte Summe von dem Betrag in der Wertdatei ab. Danach erzeugt Block 290 eine Zeichenkette, die die neue Sequenznummer, Datum und Uhrzeit, die Identifikationsinformationen des Händlers, die Summe und den SP umfaßt. Block 300 erzeugt eine digitale Signatur der Zeichenkette und Block 310 erzeugt eine Nachricht, die die im Block 220 konstruierte Nachricht, die in Block 300 konstruierte Zeichenkette und die digitale Signatur umfaßt. Als letztes wird diese Nachricht zu dem Händler und zu der Protokollierungsdatei der Chipkarte gesendet.
Der Apparat des Händlers unternimmt eines von zwei Dingen. Wenn sich zeigt, daß eine Nachricht, SP zu konferenzieren, vorliegt, verbindet sich der Apparat des Händlers mit SP und leitet die im Block 310 erzeugte Nachricht weiter. Der Händler erhält dann sofortige Gutschrift für die Summe (natürlich unter der Voraussetzung, daß auf der Basis der Signatur geschlossen wird, daß die Nachricht gültig ist). Wenn die vom Händler empfangene Nachricht nicht eine durch Block 220 konstruierte Nachricht enthält, kann der Händler die Autorisierungszeichenkette einfach speichern, solche Autorisierungszeichenketten über ein gewähltes Zeitintervall (zum Beispiel den gesamten Arbeitstag) sammeln und dann die Autorisierungszeichenketten zu den entsprechenden SP weiterleiten.
Es ist gezeigt, daß die Autorisierungszeichenkette mit dem privaten Schlüssel von S verschlüsselt wird, sie kann aber auch mit dem Paßwort des spezifizierten SP verschlüsselt werden. Die Autorisierungszeichenkette muß robust genug sein, um sicherzustellen, daß der Händler sie nicht einfach mehrmals dupliziert und zu dem SP sendet. Man kann dies auf mehrere Weisen erreichen, wie etwa durch den Datum- und Zeitstempel, eine Angabe der Werte von "zuvor" und "danach" in der Wertdatei, in dem S eine Sequenznummer liefert usw. Diese Autorisierungszeichenkette ist für V nicht dechiffrierbar und daher nicht veränderbar und die Sicherheit wird aufrechterhalten.
Chipkarten-Ausgeber/-Eigentümer als eine Dienstzentrale
Ein Aspekt der hier offenbarten Anordnung besteht darin, daß der Ausgeber/Eigentümer (O) der Chipkarte allgemeine Kenntnis von und Kontrolle über die Dienstanbieter besitzt, deren "Anmeldungen" auf der Chipkarte vorliegen. Erstens steuert O die Einrichtung eines Verzeichnisses des Dienstanbieters. Zweitens kann O jedes Verzeichnis auf Anforderung des Halters löschen oder immer dann, wenn O (mit oder ohne Zustimmung des Halters) Zugang zu der Chipkarte erhält. Drittens ist O der einzige Beteiligte, der die Identität aller Dienstanbieter, die sich die Chipkarte teilen, und verschiedene Einzelheiten über diese Dienstanbieter kennt. Viertens kann durch die Auslegung des Betriebs systems O steuern, zu wieviel Speicher jeder Dienstanbieter Zugang hat und kann somit die Anzahl der Dienstanbieter steuern, die auf einer Chipkarte "koexistieren" können. Fünftens kann O für bestimmte Arten von Transaktionen eine Gruppierung des Dienstanbieters definieren. Sechstens kann O für das Privilegium, auf der Chipkarte zu sein, jedem solchen Dienstanbieter proportional zu dem von dem Dienstanbieter eingenommenen Platz Gebühren berechnen.
Wie aus allem obigen hervorgehend, entstehen durch diese Anordnung mehrere Vorteile. Einer, der zuvor noch nicht erwähnt wurde, besteht darin, daß O die Befugnis hat, eine defekte Karte zu "reparieren" und alle Dienste auf ihr neu zu installieren (typische Befugnis eines Eigentümers). Umgekehrt besitzt O die Befugnis, alle Verzeichnisse zu löschen. Diese letztere Befugnis wird in Anspruch genommen, wenn bestimmt wird, daß ein Sicherheitsverstoß aufgetreten ist.
In bezug auf Sicherheit müssen vier Formen von Attacken betrachtet werden: eine besteht darin, daß ein Eindringling versucht, zur Wurzel zu werden, eine andere, wenn der Eindringling versucht, ein Dienstanbieter zu werden, eine dritte, wenn ein Beteiligter (Wurzel, ein Dienstanbieter und Eindringling, ein Besucher oder der Halter) versucht, mehr als das zugelassene zu tun, und eine vierte, wenn der Besitzer nicht der rechtmäßige Halter ist.
In bezug auf die erste Form von Attacke ist das Wurzelpaßwort der erste und der primäre Wachposten. Es ist insofern ein effektiver Wachposten, als das Betriebssystem dafür ausgelegt ist, die Chipkarte völlig zu sperren, wenn ein Login als Wurzel versucht wird, aber erfolglos bleibt. Zum Beispiel können alle Verzeichnisse gelöscht werden.
Ein Versuch, sich als Dienstanbieter einzuloggen, sollte nur wenig strenger behandelt werden. Somit kann bewirkt werden, daß ein Zähler erfolglose Versuche, sich als Dienstanbieter einzuloggen, verfolgt. Wenn die Anzahl erfolgloser Versuche einen vorgewählten Wert (zum Beispiel 4) übersteigt, sperrt sich die Chipkarte wieder selbst. In solchen Situationen kann es erwünscht sein, die Chipkartensperrung nur zu dem Verzeichnis des Dienstanbieters zu lenken, der der Gegenstand der Attacke war, oder zu allen Dienstanbieterverzeichnissen, aber nicht zu dem Wurzelverzeichnis.
Wie bereits erwähnt, werden die zahlreichsten Kontakte mit der Chipkarte durch Besucherbenutzer erfolgen. Während diese Kontakte flexibel sein müssen, müssen sie auch umsichtig sein. Während bei dem UNIX-Betriebssystem ein Versuch, einen Befehl auszuführen, der sich nicht in dem PATH befindet, zu einer gutartigen Nachricht führt, muß die Chipkarte diese Versuche, auf unzulässige Befehle zuzugreifen, überwachen. Wieder kann man einen Zähler verwenden, und wenn ein vorgewählter Zählwert überschritten wird, kann man die Kommunikation mit dem Besucher beenden, eine Nachricht in der Chipkarte speichern und die Karte für alle außer dem Halter sperren. Die Nachricht, die in dem Verzeichnis des Halters gespeichert werden würde, würde die Einzelheiten der abgebrochenen Transaktion enthalten. Ähnliche Aktionen könnten unternommen werden, wenn der Halter versucht, unzulässige Befehle auszuführen, aber die Diagnosenachricht würde dann in eine Datei geschrieben, die der Wurzel gehört.
Eine weitere Sicherheitsmaßnahme könnte sogar gültige Transaktionen durch den Besucher umfassen. Wie bereits beschrieben, ist eine der Dateien, die der Wurzel gehören, eine Protokollierungsdatei, die eine Aufzeichnung aller durch die Chipkarte ausgeführten Transaktionen führt. Diese Datei kann geprüft werden, um einen bestimmten Besucherbenutzer oder alle Besucherbenutzer auszuschließen, wenn es scheint, daß bestimmte Umstände vorliegen, wie zum Beispiel zu viele Transaktionen durch einen Besucher in einem gegebenen Zeitintervall, zu viele Transaktionen in einem gegebenen Zeitintervall usw.
Ein etwas anderes Sicherheitsproblem manifestiert sich, wenn die Beteiligten, die die Chipkarte kontaktieren, OK sind, aber der Besitzer der Karte das Problem ist. Hierbei kann leicht angenommen werden, daß die mit der Chipkarte interagierenden Beteiligten gerne bei der Verhinderung der Benutzung der Chipkarte mitwirken würden; an diesem Punkt und von nun an. Man kann dies auf mehrere Weisen erreichen. Wenn zum Beispiel während der Login-Sequenz bestimmt wird, daß die vom Besitzer angegebene ID falsch ist (zum Beispiel weil die Chipkarte eine gestohlene ist), kann der Händler einen Befehl ausführen, der eine Nachricht in eine der Wurzel gehörende Datei schreibt und die Karte sperrt. In einem solchen Fall kann die Karte nur durch Kontaktieren der Wurzel wiedergewonnen werden. Wenn die Wurzel die Diagnosenachricht in ihrer Datei liest, kann bestimmt werden, ob der Besitzer tatsächlich der wahre Halter ist oder nicht und es können entsprechende Maßnahmen getroffen werden.
Als Alternative kann der Apparat des Händlers automatisch die Chipkarte mit dem Ausgeber/Eigentümer der Karte verbinden. Der Eigentümer sperrt zuerst die Chipkarte und interagiert dann mit dem Prozessor der Chipkarte, um zu bestimmen, ob der Besitzer Befugnis hat, die Chipkarte zu besitzen. Wenn der Besitzer nicht diese Autorität besitzt, sperrt der Ausgeber/Eigentümer die Chipkarte.
Angesichts der oben offenbarten Struktur und des Betriebssystems der Chipkarte ist es klar, daß der Ausgeber/Eigentümer, der alle auf der Chipkarte zu findenden Dienste installiert, Kenntnis dieser Dienste hat. Das heißt, obwohl der Ausgeber/Eigentümer nicht die Befugnis hat, in Dateien einzudringen, die den verschiedenen Dienstanbietern gehören (obwohl er der Wurzelbesitzer der Chipkarte ist), kennt der Ausgeber/Eigentümer dennoch die spezifischen Dienstanbieter, die auf jeder seiner Chipkarten resident sind. Diese Kenntnis kann in einer dem Ausgeber/Eigentümer gehörenden Datenbank gehalten werden (obwohl jede Chipkarte auch diese Informationen über sich selbst halten kann).
Falls eine Chipkarte verloren oder zerstört wird, kann eine neue Chipkarte an den Halter mit allen Dienstanbietern im voraus installiert ausgegeben werden. Die einzigen Elemente, die nicht wiederhergestellt werden können, sind die von den verschiedenen Benutzern in der alten Datei erzeugten Daten-Dateien und die Paßwörter der Dienstanbieter. Wie bei anfänglichen Installationen kann eine Menge temporärer Paßwortdateien installiert werden. Die Dienstanbieter können dann von dem Ausgeber/Eigentümer kontaktiert werden, um sie über die temporären Paßwörter zu informieren, und der Halter kann dann die Dienstanbieter kontaktieren, um die Paßwörter zu modifizieren und die notwendigen Dateien in ihren jeweiligen Verzeichnissen zu füllen.
Prüfungskette
Wie bereits erwähnt, kann die Wurzel eine Protokollierungsdatei führen und darin eine Aufzeichnung jeder Transaktion speichern. Mit dieser Datei kann man dann verschiedene Schwellen verfolgen, die der Halter oder die Dienstanbieter möglicherweise auferlegen möchten.
Übermäßige Benutzungen einer Chipkarte können eine betrügerische Benutzung anzeigen. Wie bereits erwähnt, kann man solche Benutzungen durch sorgfältige Untersuchung der Protokollierungsdatei erkennen und stoppen.
Eine weitere Verwendung der Protokollierungsdatei betrifft perfekt gültige Benutzungen. Zum Beispiel kann ein Kredit bereitstellender Dienstanbieter wünschen, immer dann "in Echtzeit" informiert zu werden, wenn Gebühren über einer bestimmten Grenze anfallen, während "Batch"-Übertragungen von den Händlern (vielleicht am Ende des Arbeitstags) für alle kleineren Transaktionen erlaubt werden. In Verbindung mit der elektronischen Börse einer Chipkarte kann der Halter die Chipkarte anweisen, automatisch die Bank des Halters zu kontaktieren, wenn der Geldwert in der Chipkarte unter einer bestimmten Grenze liegt, und zusätzliche Gelder in die Chipkarte zu transferieren.
Eine weitere Verwendung der Prüfungskette betrifft die Auflösung von Streitigkeiten. Wenn ein Händler behauptet, daß die Chipkarte zum Erhalten von bestimmten Waren oder Dienstleistungen verwendet wurde und der Halter diese Behauptung bestreitet, kann man die Streitigkeit mit der Protokollierungsdatei auflösen.
Zusammenarbeit zwischen Dienstanbietern
Es ist gut möglich, daß Dienstanbieter kooperative Allianzen bilden. Solche Allianzen können verschiedene Aktivitäten spezifizieren, die immer dann in den Chipkarten ausgeführt werden, wenn auf die Chipkarte zugegriffen wird, oder wenn ein bestimmter Benutzer auf die Chipkarte zugreift. Die Anzahl solcher Möglichkeiten ist grenzenlos und das nachfolgende Beispiel ist lediglich eine Veranschaulichung.
Man nehme zum Beispiel an, daß Firma Z Geschäftsreisende verwendet, die erwartungsgemäß relativ regelmäßig Benzin kaufen müssen. Z hat wahrscheinlich einen Vertrag mit O, für alle Geschäftsreisenden (Halter) von Z eine Chipkarte auszugeben und O aufzufordern, Z als Dienstanbieter und G als Benzinanbieter zu installieren. Etwas später kann A eine Vereinbahrung mit Bank B als Anbieter von Kredit für die Geschäftsreisenden treffen. Dieser Dienst kann auf alle den Geschäftsreisenden gehörenden Chipkarten ferninstalliert werden, zum Beispiel durch Kooperation von G.
Genauer gesagt kann Z von G anfordern, immer dann eine Anforderung der Kommunikation mit O zu installieren, wenn eine Chipkarte mit G interagiert und sich A als ein Benutzer, aber nicht B als ein Benutzer findet. G muß lediglich den entsprechenden Befehl senden, wenn die richtige Art von Chipkarte in G eingeloggt wird.

1

STAND DER TECHNIK

2

Visitor: Besucher

3

100: Kommunikation herstellen
102: Eingabeaufforderung
107: Aufforderung

5

108: Eingabeaufforderung
114: Nachricht
113: Aufforderung
115: Anf.
116: K₂ (Anf.)
117: K₂ (Füllung)

4

120: Anforderung
122: Aufforderung
123: Verifizieren
125: Temporäres Paßwort
126: Verzeichnis und Dateien erzeugen
127: Aufforderung
128: K1 (Temporäres Paßwort)
129: Aufforderung
130: K1 (Installierter Dienst)
131: Aufforderung
132: Nachricht
136: Aufforderung
137: K2 (Dienstanforderung)
138: K2 (Neue Paßwort-Dienstdateien)

6

140: Eingabegruppe
145: Aufforderung
147: K2 (Füllung)

7

150: Eingabegruppe
154: Kpu, Digitale Signatur
157: Kpu, Datum und Uhrzeit
158: Aufforderung
159: Kpu (Abbuchung)
160: Kpr (Autorisierung)

8

1: Kartenleser
2: Telekommunikationsnetz
3: Dienstanbieter
4: Erfüllungszentrale

9

210: Händler auffordern
200: Liegen erforderliche Informationen vor: Zeit/Datum, ID des Händlers, Summe, Dienstanbieter
No: Nein
Yes: Ja
220: Wert in "Börsen"-Datei des spezifizierten SP lesen
230: Wert > Summe

Möglicher Betrug

250: Protokollierungsdatei prüfen und SEQ-Nummer erhalten
SP: Kontaktierung notwendig
260: Informationen in Datei des Halters protokollieren
270: Nachricht MESG konstruieren
280: SEQ inkrementieren und Summe von Wert abziehen
290: Zeichenkette:
300: SGN erzeugen
240: Nachricht: Zurückweisung
310: Nachricht = Zu Händler und zu Protokollierungsdatei

Claims

Mehrfachanwendungs-Chipkarte mit einem Prozessor und Speicher, in deren Verbindung es einen Ausgeber/Eigentümer, einen Halter und einen Dienstanbieter gibt, umfassend: ein Betriebssystem, das eine baumartige Dateistruktur enthält, die mit einer Datei beginnt, die Eigenschaften aufweist, die allein durch den Ausgeber/Eigentümer gesteuert werden; mehrere Dateien, die Teil der baumartigen Struktur bilden und jeweils Dateieigenschaften aufweisen, die allein durch den Ausgeber/Eigentümer gesteuert werden, wobei diese Dateien insofern ausführbare Dateien sind, als sie, wenn sie referenziert werden, an zulässigen Daten in dem Speicher operieren; eine erste Paßwortdatei (12), die nur dem Ausgeber/Eigentümer zugänglich ist, die Daten enthält und auf die der Ausgeber/Eigentümer zugreift, bevor der Ausgeber/Eigentümer Zugang zu den ausführbaren Dateien erhält; eine zweite Paßwortdatei (16), die nur dem Halter zugänglich ist, die Daten enthält und auf die der Halter zugreift, bevor der Halter Zugang zu den ausführbaren Dateien erhält; eine dritte Paßwortdatei (21), die nur dem Dienstanbieter zugänglich ist, die Daten enthält und auf die der Dienstanbieter zugreift, bevor der Dienstanbieter Zugang zu den ausführbaren Dateien erhält.
Verfahren in Verbindung mit einer von einem ersten Beteiligten (O) ausgegebenen Chipkarte (S), wobei die Chipkarte folgendes enthält: einen Speicher und ein Betriebssystem mit einer baumartigen Dateistruktur, die mit einer Verzeichnisdatei (10) beginnt, die Attribute aufweist, die allein durch den ersten Beteiligten (O) gesteuert werden, mehrere Dateien, die Teil der baumartigen Struktur bilden und jeweils Dateiattribute aufweisen, die allein durch den ersten Beteiligten (O) gesteuert werden, wobei diese Dateien insofern ausführbare Dateien sind, als sie, wenn sie referenziert werden, an zulässigen Daten in dem Speicher operieren, und eine erste Paßwortdatei (12), die nur dem ersten Beteiligten (O) zugänglich ist und auf die der erste Beteiligte (O) zugreift, bevor der erste Beteiligte Zugang zu den ausführbaren Dateien erhält; zum Installieren der Fähigkeit für einen zweiten Beteiligten (SP), einem Halter (P, H) der Chipkarte Dienste bereitzustellen, mit den folgenden Schritten: der Halter (P, H) hilft (100, 102, 103) bei der Herstellung der Kommunikation zwischen der Chipkarte (S) und dem ersten Beteiligten (O); ein Login-Protokoll (101, 104–107) zwischen der Chipkarte (S) und dem ersten Beteiligten (O) wird ausgeführt, wobei die in der ersten Paßwortdatei (12) enthaltenen Daten verwendet werden; es wird eine Anforderung (120–122) der Installation einer Dienstfähigkeit auf der Chipkarte für den zweiten Beteiligten (SP) zu dem ersten Beteiligten (O) übermittelt; der erste Beteiligte richtet eine Benutzerpaßwortdatei (16) in der Chipkarte ein, wobei die Benutzerpaßwortdatei (16) dafür ausgelegt ist, einen Teil der baumartigen Struktur zu bilden; der erste Beteiligte (O) fügt Daten in die Benutzerpaßwortdatei (16) ein und der erste Beteiligte (O) ändert Dateiattribute der Benutzerpaßwortdatei (16), damit sie nur dem zweiten Beteiligten (SP) zugänglich wird.
Verfahren nach Anspruch 2, ferner mit einem Schritt des Informierens des zweiten Beteiligten (SP) über die in der Benutzerpaßwortdatei gespeicherten Daten.
Verfahren nach Anspruch 2, ferner mit einem durch den ersten Beteiligten (O) nach dem Schritt des Übermittelns einer Anforderung der Installation zu dem ersten Beteiligten ausgeführten Schritt des Bestätigens (123, 124) bei dem zweiten Beteiligten (SP), daß der Anforderung der Installation des Dienstes stattgegeben werden soll.
Verfahren nach Anspruch 2, wobei die Kommunikation ein Telekommunikationsnetz verwendet.