-
Technisches
Gebiet
-
Die vorliegende Erfindung betrifft
allgemein Chipkarten und insbesondere Systeme und Verfahren zur Gewährleistung
sicherer Geldtransfers zwischen Chipkarten und Finanzinstitutionen.
-
Allgemeiner
Stand der Technik
-
Neuere Entwicklungsbemühungen haben
sich auf die Verwendung von Chipkarten als Vehikel für die Speicherung
und den Transfer von Geld konzentriert. (Chipkarten sind kreditkartengroße Einrichtungen,
die einen Onboard-Mikroprozessor und -Speicher enthalten.) Die Verwendung
von elektronischem Geld anstelle herkömmlicher Geldscheine und Münzen ist
aus mehreren Gründen
vorteilhaft. Häufig
ist es umständlich
und unzweckmäßig, große Geldbeträge mit sich
zu führen,
ganz zu schweigen von der allgegenwärtigen Gefahr des Diebstahls
oder Verlusts. Die Herstellung von Geldscheinen und Münzen ist
teuer und es besteht die Möglichkeit
der Fälschung.
Obwohl bestimmte Händler
unter Umständen
persönliche
Schecks annehmen, erweist sich die Verarbeitung dieser Transaktionen
häufig
als sehr zeitaufwendig. In der Praxis kommt es bei bestehenden Scheckprüfprozeduren
häufig
zu einer Zeitverzögerung,
die lang genug ist, um Kunden, die an den Kassen des Händlers Schlange
stehen, zu ärgern,
zu irritieren und/oder zu frustrieren.
-
Mit der bestehenden Technologie des
Stands der Technik ist es möglich,
Chipkarten als Einrichtungen zu verwenden, auf denen Geld elektronisch
gespeichert und transferiert werden kann. Ein System, das bloß Geld elektronisch
speichert und transferiert, ist jedoch für die Verwendung in vielen
realen Anwendungen praxisfern. Wie bei jedem elektronischen Datenspeicher-
und Transfersystem werden Kompromittierungen der Sicherheit möglich. Wenn
das Konzept des elektronischen Geldes jemals allgemein angenommen
werden soll, darf elektronisches Geld von den Anwendungsanbietern
oder von anderen Teilnehmern, wie zum Beispiel Händlern oder Kunden, niemals
verloren werden. Obwohl eine bestimmte Menge an Verlust elektronischen Geldes
annehmbar und unvermeidlich ist, müssen diese Verluste kleiner
als die derzeitig bei Kreditkarten, Bargeld oder Schecks auftretenden
Verluste sein. Vorbekannte elektronische Sicherheitsmaßnahmen
liefern kein elektronisches Geldsystem mit dem erforderlichen Sicherheitsgrad.
-
Bestehende Chipkarteneinrichtungen
sind nicht vollständig
ausfallunanfällig.
Zum Beispiel könnte
der Chipkartenhalter vergessen, die Chipkarte aus seiner Tasche
herauszunehmen und die Karte durch einen gesamten Wasch-/Trockenzyklus
laufen lassen, wodurch die Karte Hitze, mechanischen Vibrationen,
Wasser und chemisch korrosiven Mitteln, wie zum Beispiel Bleichmittel
und Waschmittel, ausgesetzt wird, was zum Ausfall einer Chipkarte
führen
könnte.
Nach einem Einrichtungsausfall hat der unglückliche Chipkartenhalter dann
den auf der nunmehr defekten Karte gespeicherten Geldbetrag verloren.
Es wird eine Wiederherstellungstechnik benötigt, die auf Chipkarten anwendbar
ist, die betriebsunfähig
geworden sind, so daß der
Chipkartenhalter aufgrund des Kartenausfalls keinen finanziellen
Verlust erleidet.
-
Viele elektronische Finanztransaktionssysteme
des Stands der Technik bieten nur wenig oder gar keine Kundenvertraulichkeit.
Dieser Mangel an Vertraulichkeit ist auf den Umstand zurückzuführen, daß derzeitige
Systemarchitekturen Zinszahlungen und/oder Schutz für verlorene/gestohlene
Karten anbieten. Die Kunden, die Vertraulichkeit wünschen,
müssen
folglich in bar bezahlen, um die Transaktionsanonymität zu erreichen.
Da herkömmliches
Papiergeld beinahe völlige
Anonymität
bietet, sollte das Konzept des elektronischen Geldes einen ähnlichen
Anonymitätsgrad
vorsehen. Auf jeden Fall sollte ein elektronisches System Anonymität auf Kundenanfrage
bereitstellen.
-
Aus US-A-5 175 416 ist ein Verfahren
zum Transferieren von Geldmitteln von einer ersten Chipkarte zu
einer zweiten Chipkarte bekannt, wie zum Beispiel von der Chipkarte
eines Benutzers zu der Chipkarte eines Einzelhändlers. Die erste Chipkarte
ist mit einer ersten Finanzinstitution verbunden, die das Konto
des Benutzers belastet und einen entsprechenden Auszahlungswert
in der ersten Karte verzeichnet. Die erste und die zweite Karte
werden dann verbunden und der Auszahlungswert in der ersten Karte
wird reduziert, und ein entsprechender Kreditwert wird in der zweiten
Chipkarte aufgezeichnet. Die zweite Chipkarte wird dann mit einer
zweiten Finanzinstitution verbunden und der Auszahlungswert in der
zweiten Karte wird reduziert und dieser Auszahlungswert wird in
dem Konto des Einzelhändlers
bei der zweiten Finanzinstitution verzeichnet.
-
Aus EP-A-0 479 617 ist ein Verfahren
und ein System zum Authentifizieren einer Chipkarte und einer Host-
oder Endgeräteeinrichtung
bekannt. Zuerst wird eine erste Menge von Authentifizierungsdaten
aus der Host-/Endgeräteeinrichtung
zu der Chipkarte gesendet und die Rechtmäßigkeit dieser Host-/Endgeräteeinrichtung
wird auf der Grundlage der empfangenen Daten bestimmt. Die Chipkarte
sendet dann eine zweite Menge von Authentifizierungsdaten zu der
Host-/Endgeräteeinrichtung,
um die Rechtmäßigkeit
der Chipkarte zu bestimmen. Das Senden der zweiten Authentifizierungsdaten
wird gesperrt, wenn bestimmt wird, daß die Chipkarte nicht rechtmäßig ist.
-
Kurze Darstellung der
Erfindung
-
Ein Verfahren und System gemäß der Erfindung
werden in den unabhängigen
Ansprüchen
definiert. Bevorzugte Formen werden in den abhängigen Ansprüchen definiert.
-
Systeme und Verfahren zur Gewährleistung
sicherer elektronischer Finanztransaktionen sind dadurch gekennzeichnet,
daß ein
Geldwert elektronisch auf einer Karte gespeichert wird, die eine
elektronische Sicherheitsverriegelung mit einem Geschlossen-Zustand
und einem Offen-Zustand enthält.
In dem Geschlossen-Zustand
verhindert die Verriegelung, daß die
Chipkarte jeglichen Betrag des Geldwerts transferiert, und in dem Offen-Zustand
ist die Chipkarte in der Lage, den gesamten Geldwert oder einen
Teil davon zu transferieren. Die Chipkarte enthält mehrere elektronische Sicherheitsschlüssel zum
Wechseln des Zustands der elektronischen Sicherheitsverriegelung
von dem Offen-Zustand zu dem Geschlossen-Zustand und zum Wechseln
des Zustands der elektronischen Sicherheitsverriegelung von dem
Geschlossen-Zustand zu dem Offen-Zustand.
-
Kurze Beschreibung
der Zeichnung
-
1 ist
ein Blockschaltbild eines sicheren Chipkartengeldtransfersystems;
-
2 ist
ein Diagramm, das eine sichere Finanztransaktion zwischen zwei Chipkarten
beschreibt;
-
3 ist
ein Flußdiagramm
der Operationssequenz zur Implementierung einer sicheren Chipkartenfinanztransaktion;
-
4A und 4B umfassen zusammen ein
Flußdiagramm
der Schritte einer Transaktion von Kartenhalter zu Kartenhalter;
-
5A und 5B umfassen zusammen ein
Flußdiagramm
der Prozedur zum Aktualisieren/Wechseln von Sicherheitsschlüsseln und
zum Addieren von Zinsen zu auf Chipkarten gespeichertem Geld;
-
6 ist
ein Blockschaltbild der Datenstrukturen, die während einer Finanztransaktion
von einer ersten Chipkarte zu einer zweiten Chipkarte transferiert
werden;
-
7 ist
ein Blockschaltbild der von Benutzerchipkarten und Bankchipkarten
verwendeten Datenstrukturen.
-
Ausführliche
Beschreibung
-
Es werden Techniken für den sicheren
Transfer eines Geldwerts (im folgenden „Geld") zwischen Chipkarten offengelegt. 1 ist ein Blockschaltbild
der Hardwarekomponenten und Datenstrukturen für ein sicheres Chipkartengeldtransfersystem.
Dieses System gewährleistet
außerdem
das Addieren von Zinszahlungen zu auf einer Chipkarte gespeichertem
Geld und das Prüfen
des auf einer Chipkarte gespeicherten Geldbetrags (Kontostand).
Aktivitäten,
wie zum Beispiel Geldtransfer zwischen Chipkarten, Addieren von
Zinszahlungen zu einer Chipkarte und Prüfen von Kontoständen, werden
als Finanztransaktionen bezeichnet.
-
Die Chipkarten 102, 104 werden
mehreren Kartenhaltern zur Verfügung
gestellt, darunter eine erste Chipkarte 102, die einem
ersten Kartenhalter zur Verfügung
gestellt wird, und eine zweite Chipkarte 104, die einem
zweiten Kartenhalter zur Verfügung
gestellt wird, wobei jede Chipkarte 102, 104 an
einer oder mehreren Finanztransaktionen teilnehmen kann, an denen
auf der Chipkarte gespeichertes elektronisches Geld beteiligt ist.
Der erste Kartenhalter kann zum Beispiel eine Bank, ein Händler oder
ein Verbraucher sein. Unabhängig von
der Identität
des ersten Kartenhalters kann der zweite Kartenhalter eine Bank,
ein Händler
oder ein Verbraucher sein. Wenn ein Kartenhalter ein Händler oder
ein Verbraucher ist, wird die von diesem Kartenhalter gehaltene
Chipkarte als eine Benutzerchipkarte bezeichnet.
-
Wenn ein Kartenhalter eine Bank ist,
wird die der Bank zur Verfügung
gestellte Chipkarte als Bankchipkarte bezeichnet. Banken können zu
mehreren Regionen organisiert werden, wobei jede Region aus einer oder
mehreren Zweigstellen besteht. In dieser Situation kann man drei
Subtypen von Bankchipkarten verwenden, wie zum Beispiel Bankzentralenchipkarten,
regionale Bankchipkarten und Zweigstellenbankchipkarten. Bankzentralenchipkarten
werden zur Bereitstellung von elektronischen Sicherheitsschlüsseln für andere
Chipkarten, wie zum Beispiel andere Bankchipkarten, von Händlern gehaltene
Chipkarten und/oder von Verbrauchern gehaltene Chipkarten, verwendet.
Diese Sicherheitsschlüssel
können
aktualisiert (d. h. periodisch gewechselt) werden, um den Transfer
von Geld zu/von einer Chipkarte zu erlauben und/oder zu sperren.
-
Bankzentralenchipkarten dienen zur
Bereitstellung von Zinszahlungen an andere Chipkarten, wie zum Beispiel
andere Bankchipkarten und Benutzerchipkarten (von Händlern oder
Kunden gehaltene Karten). Zinszahlungen können auf hierarchische Weise
in bezug auf eine vordefinierte Chipkartenhierarchie implementiert werden.
Zum Beispiel kann man mit einer Bankzentralenchipkarte Zinszahlungen
an regionale Bankchipkarten bereitstellen. Ähnlich kann man mit den regionalen
Bankchipkarten Zinszahlungen an Bankzweigstellenchipkarten bereitstellen,
die wiederum Zinszahlungen an von Verbrauchern und Händlern gehaltene
Karten bereitstellen. Die Chipkartenhierarchie ist in diesem Beispiel
also so strukturiert, daß eine
Bankzentralen chipkarte an der obersten Position der Hierarchie steht,
gefolgt durch regionale Bankchipkarten und Bankzweigstellenchipkarten.
Benutzerchipkarten befinden sich an der untersten Stelle der Hierarchie.
Die Mechanik von Zinszahlungen wird im folgenden ausführlicher
mit Bezug auf 1 beschrieben.
-
Jede Chipkarte 102, 104 enthält die nachfolgend
in Verbindung mit 1 beschriebenen
Datenstrukturen und Hardwareblöcke,
gleichgültig,
ob die Chipkarte eine Benutzerchipkarte oder eine Bankchipkarte
ist. Jede Chipkarte 102, 104 enthält jeweils
ein Sicherheitsschlüsselspeicherregister 112, 128 zur
Speicherung mehrerer (z. B. vier) elektronischer Sicherheitsschlüssel. Das
Sicherheitsschlüsselspeicherregister 112, 128 kann
in Form von Direktzugriffsspeicher (RAM) bereitgestellt werden.
Das Sicherheitsschlüsselregister 112, 128 ist
jeweils an eine Sicherheitsschlüsselregistereingabeeinrichtung 118, 124 angekoppelt,
die so ausgelegt ist, daß sie
Eingaben von einem Chipkartenlesernetzwerk 106 annimmt.
Auf diese Weise können
elektronische Sicherheitsschlüssel
von dem Chipkartenlesernetzwerk 106 in das Chipkartensicherheitsschlüsselspeicherregister 112 transferiert
werden. Die Sicherheitsschlüsselregistereingabeeinrichtung 118, 124 ist
so ausgestattet, daß sie
Eingangsdaten gemäß zur Zeit
existierenden Techniken der Chipkartendaten-Eingabe/Ausgabe (E/A), die Fachleuten
wohlbekannt sind, annimmt.
-
An das Sicherheitsschlüsselspeicherregister 112, 128 ist
jeweils eine Sicherheitsschlüsselregisterausgabeeinrichtung 114, 130 angekoppelt.
Diese Ausgabeeinrichtung 114, 130 ist so ausgestattet,
daß sie
den Inhalt des Sicherheitsschlüsselspeicherregisters 112, 128 jeweils
in das Chipkartenlesernetzwerk 106 kopiert. Das Sicherheitsschlüsselspeicherregister 112, 128 ist
an einen ersten Eingang jeweils einer Sicherheits schlüsselvergleichseinrichtung 110, 126 angekoppelt.
Ein zweiter Eingang der Sicherheitsschlüsselvergleichseinrichtung 110, 126 ist
jeweils mit einer Sicherheitsschlüsselvergleichseingabeeinrichtung 116, 122 verbunden.
-
Die Sicherheitsschlüsselvergleichseinrichtung 110, 126 ist
so ausgestattet, daß sie
die erste Eingabe mit der zweiten Eingabe vergleicht und an dem
Vergleichseinrichtungsausgang ein Signal erzeugt, so daß das erzeugte
Signal auf den Ergebnissen des Vergleichs basiert. Wenn mindestens
einer der an dem ersten Eingang vorliegenden Sicherheitsschlüssel mit
mindestens einem der dem zweiten Eingang vorgelegten Sicherheitsschlüssel identisch
ist, erzeugt die Sicherheitsschlüsselvergleichseinrichtung 110, 126 an
dem Vergleichseinrichtungsausgang ein Übereinstimmungssignal. Andernfalls
erzeugt die Sicherheitsschlüsselvergleichseinrichtung 110, 126 an
dem Vergleichseinrichtungsausgang ein Nichtübereinstimmungssignal.
-
Der Ausgang der Vergleichseinrichtung 110, 126 ist
jeweils an eine elektronische Sicherheitsverriegelung 108, 120 angekoppelt.
Die Sicherheitsverriegelung 108, 120 kann in einen
beliebigen von zwei sich gegenseitig ausschließenden Zuständen versetzt werden. In einem
ersten verriegelten Zustand verhindert die Sicherheitsverriegelung 108, 120,
daß die
Chipkarte 102, 104 Geld zu einer andere Chipkarte
transferiert. In einem zweiten unverriegelten Zustand gestattet
die Sicherheitsverriegelung 108, 120 einen Geldtransfer
zu einer anderen Chipkarte. Die Sicherheitsverriegelung 108, 120 ist
jeweils an den Ausgang der Vergleichseinrichtung 110, 126 angekoppelt.
Wenn die Vergleichseinrichtung 110, 126 das Übereinstimmungssignal
erzeugt, wird die Sicherheitsverriegelung 108, 120 in
den zweiten unverriegelten Zustand versetzt. Die Sicherheitsverriegelung 108, 120 wird
nach Empfang eines Nichtübereinstimmungssignals
aus der Vergleichs einrichtung 110, 126 in den
ersten verriegelten Zustand versetzt.
-
Die Funktionen der elektronischen
Sicherheitsverriegelung 108, 120 und der Sicherheitsschlüsselvergleichseinrichtung 110, 126 können unter
Verwendung einer Mikroprozessoreinrichtung des Typs implementiert
werden, der Fachleuten wohlbekannt ist und in verschiedenen existierenden
Chipkartenentwürfen
verwendet wird. Die Funktionen des Sicherheitsschlüsselspeicherregisters 112, 128 können unter
Verwendung des obenbeschriebenen Mikroprozessors implementiert werden,
und/oder ein solches Register kann in Form von Direktzugriffsspeicher
(RAM) bereitgestellt werden. Die Sicherheitsschlüsselregistereingabeeinrichtung 118, 124,
die Sicherheitsschlüsselvergleichseingabeeinrichtung 116, 122 und
die Sicherheitsschlüsselregisterausgabeeinrichtung 114, 130 wirken
unter der Kontrolle des obenbeschriebenen Mikroprozessors und können unter
Verwendung herkömmlicher
Einrichtungen für
Chipkartendaten-E/A implementiert werden, die den Austausch von
Daten zwischen einer Chipkarte 102, 104 und einem
Chipkartenlesernetzwerk 106 gewährleisten. Herkömmliche
Chipkartendaten-E/A-Einrichtungen und Chipkarten 102, 104 sind
Fachleuten wohlbekannt.
-
Das Chipkartenlesernetzwerk 106 umfaßt eine
Konfiguration von zwei oder mehr herkömmlichen Chipkartenleserports,
wie zum Beispiel einen ersten Chipkartenleserport 141 und
einen zweiten Chipkartenleserport 143. Der erste und der
zweite Chipkartenleserport 141, 143 sind von dem
Fachleuten wohlbekannten Typ, um im wesentlichen einen gleichzeitigen
Austausch von Daten zwischen zwei Chipkarten 102, 104 zu
gestatten. Der erste Chipkartenleserport 141 kann sich
an einem fernen Ort in bezug auf den zweiten Chipkartenleserport 143 befinden.
Folglich sind der erste und der zweite Chipkartenleserport 141, 143 über eine
Kommunikationsstrecke 150 miteinander verbunden. Falls
die Chipkartenleserports 141, 143 weit auseinander
liegen, kann diese Kommunikationsstrecke 150 Modems umfassen,
die über
eine herkömmliche
Telefonverbindung kommunizieren. Als Alternative können die
Chipkartenleserports 141, 143 zu einer einzigen
Struktur integriert und unter Verwendung einer Kommunikationsstrecke 150,
die zum Beispiel einfache Leitungspaare umfaßt, verbunden werden. Der erste
und der zweite Chipkartenleserport 141, 143 können auch
Chipkartenhaltereingabemittel enthalten, wie zum Beispiel ein Tastenfeld,
um die Eingabe von Daten, wie zum Beispiel PINs (Geheimzahlen) durch
Chipkartenhalter zu ermöglichen.
Diese Chipkartenleserports 141, 143 enthalten Dateneingabemittel 149, 151 und
Datenausgabemittel 145, 147, um jeweils Daten
aus einer Chipkarte anzunehmen und einer solchen zuzuführen. Das
Datenausgabemittel 145 des Chipkartenleserports 141 ist
mit dem Dateneingabemittel 151 des Chipkartenleserports 143 verbunden. Ähnlich wird
das Dateneingabemittel 149 des Chipkartenleserports 141 mit
dem Datenausgabemittel 147 des Chipkartenleserports 143 verbunden.
-
Der Datenfluß zwischen dem Chipkartenleserport 141 und
dem Chipkartenleserport 143 kann durch einen intern in
dem Chipkartenlesernetzwerk 106 angeordneten wahlweisen
Chipkartenlesermikroprozessor gesteuert werden. Der Chipkartenlesermikroprozessor
ist von einem Fachleuten wohlbekannten Typ. Wenn kein Chipkartenlesermikroprozessor
benutzt wird, verwendet man die Mikroprozessoren in den Chipkarten 102, 104 zur
Steuerung des Datenflusses über
das Chipkartenlesernetzwerk 106.
-
Zur Implementierung eines Geldaustauschs
zwischen zwei Chipkarten 102, 104 wirkt das System
von 1 wie folgt. Man
nehme an, daß Geld
von der Chipkarte 102 zu der Chipkarte 104 transferiert
werden soll. Die Chipkarte 102 wird in den Chipkartenleserport 141 eingeführt und
die Chipkarte 104 wird in den Chipkartenleserport 143 eingeführt. Der
Mikroprozessor in der Chipkarte 102 tauscht anfängliche
Handshake-Informationen
mit dem Mikroprozessor der Chipkarte 104 aus, um zu bestimmen,
daß beide
Chipkarten über
das Chipkartenlesernetzwerk 106 kommunizieren. Als nächstes sendet
die Sicherheitsschlüsselregisterausgabeeinrichtung 114 der
Chipkarte 102 ein Signal, daß ihre elektronischen Sicherheitsschlüssel darstellt,
zu dem Dateneingabemittel 149 des Chipkartenlesernetzwerks 106.
Die Sicherheitsschlüssel
werden zu dem Datenausgabemittel 147 transferiert und zu
der Sicherheitsschlüsselvergleichseingabeeinrichtung 122 der
Chipkarte 104 übermittelt.
-
Die Sicherheitsschlüsselvergleichseinrichtung 126 ruft
die in dem Sicherheitsschlüsselspeicherregister 128 auf
der Chipkarte 104 gespeicherten Sicherheitsschlüssel ab.
Wenn die Vergleichseinrichtung 126 bestimmt, daß mindestens
einer der aus der Chipkarte 102 empfangenen Sicherheitsschlüssel mit
mindestens einem der in dem Sicherheitsschlüsselspeicherregister 128 gespeicherten
Sicherheitsschlüssel übereinstimmt,
wird die elektronische Sicherheitsverriegelung 120 in der
Chipkarte 104 entriegelt, damit die Chipkarte 104 an
einer oder mehreren Finanztransaktionen mit der Chipkarte 102 teilnehmen
kann. Wenn jedoch keine der aus dem Sicherheitsschlüsselspeicherregister 128 abgerufenen
Sicherheitsschlüssel
mit irgendwelchen der aus der Chipkarte 102 empfangenen
Sicherheitsschlüssel übereinstimmen,
wird verhindert, daß die
Chipkarte 104 an jeglichen Finanztransaktionen teilnimmt.
-
Der von der Chipkarte 104 implementierte
Sicherheitsschlüsselvergleichsprozeß wird auch
von der Chipkarte 102 durchgeführt. Die Chipkarte 104 ruft
die in dem Sicherheitsschlüsselspeicherregister 128 gespeicherten
Sicherheitsschlüssel
ab und übermittelt
die Sicherheitsschlüssel
zu der Sicherheitsschlüsselregisteraus gabeeinrichtung 130.
Die Sicherheitsschlüssel
werden durch das Dateneingabemittel 151 des Chipkartenlesernetzwerks 106 empfangen
und zu dem Datenausgabemittel 145 gesendet. Das Datenausgabemittel 145 leitet
die Sicherheitsschlüssel
zu der Sicherheitsschlüsselvergleichseingabeeinrichtung 116 der
Chipkarte 102 weiter. Die Sicherheitsschlüsselvergleichseingabeeinrichtung 116 sendet
die Sicherheitsschlüssel
zu der Sicherheitsschlüsselvergleichseinrichtung 110.
Die in dem Sicherheitsschlüsselspeicherregister 112 gespeicherten
Sicherheitsschlüssel
werden indessen zu der Sicherheitsschlüsselvergleichseinrichtung 110 gesendet,
und dort werden die Sicherheitsschlüssel aus dem Speicherregister 112 mit
den aus der Chipkarte 104 empfangenen Sicherheitsschlüsseln verglichen.
Wenn mindestens einer der Sicherheitsschlüssel aus dem Speicherregister 112 und
mindestens einer der aus der Chipkarte 104 empfangenen
Sicherheitsschlüssel übereinstimmen,
liefert die Sicherheitsschlüsselvergleichseinrichtung 110 ein „Entriegelungs"-Signal zu der elektronischen
Sicherheitsverriegelung 108, die die Sicherheitsverriegelung
entriegelt, so daß die
Chipkarte 102 an einer oder mehreren Finanztransaktionen
mit der Chipkarte 104 teilnehmen kann. Wenn die Sicherheitsschlüssel jedoch
nicht übereinstimmen,
liefert die Vergleichseinrichtung 110 ein „Verriegelungs"-Signal zu der elektronischen
Sicherheitsverriegelung 108. Die elektronische Sicherheitsverriegelung 108 reagiert
auf das Verriegelungssignal, indem sie verhindert, daß die Chipkarte 102 an
jeglichen Finanztransaktionen teilnimmt.
-
Bei dem obenbeschriebenen Beispiel
müssen
die elektronischen Sicherheitsverriegelungen 108, 120 beider
Chipkarten 102, 104 entriegelt werden, damit eine
Finanztransaktion zwischen diesen Chipkarten stattfinden kann. Wenn
der obenbeschriebene Austausch von Sicherheitsschlüsseln zu
der Verriegelung einer oder beider der elektronischen Sicherheitsverrieglungen 108, 120 führt, können zwischen
den beiden Chipkarten 102 und 104 keine Finanztransaktionen
stattfinden.
-
Es kann jede beliebige gewünschte Anzahl
von Sicherheitsschlüsseln
verwendet werden, um den Anforderungen spezifischer Entwurfsanwendungen
zu genügen.
Gemäß einer
hier dargelegten Ausführungsform verwendet
jede Chipkarte 102, 104 vier Sicherheitsschlüssel, die
jeweils in dem Sicherheitsschlüsselspeicherregister 112, 128 gespeichert
werden. Die Sicherheitsschlüsselvergleichseinrichtung 110 vergleicht
alle vier in der Chipkarte 102 gespeicherten Sicherheitsschlüssel mit
allen vier aus der Chipkarte 104 empfangenen Sicherheitsschlüsseln. Ähnlich vergleicht
die Sicherheitsschlüsselvergleichseinrichtung 126 alle
vier in der Chipkarte 104 gespeicherten Sicherheitsschlüssel mit
allen vier aus der Chipkarte 102 empfangenen Sicherheitsschlüsseln. Wenn
mindestens zwei der Sicherheitsschlüssel übereinstimmen, wird die jeweilige
elektronische Sicherheitsverriegelung 108, 120 entriegelt.
Wenn weniger als zwei der vier Sicherheitsschlüssel übereinstimmen, wird die jeweilige
Sicherheitsverriegelung 108, 120 verriegelt.
-
Die Sicherheitsschlüssel können aktualisiert
und/oder verändert
werden, um eine verbesserte Systemsicherheit bereitzustellen. Bankchipkarten
dienen zur Aktualisierung/Änderung
der in den Benutzerchipkarten gespeicherten Sicherheitsschlüssel. Insbesondere
nehme man für
die Zwecke dieser Darstellung an, daß die Chipkarte 102 eine
Bankchipkarte ist. Bankchipkarten sind so ausgerüstet, daß sie einen Sicherheitsschlüssel aus
dem Bankchipkartensicherheitsschlüsselspeicherregister 112 abrufen
und den Schlüssel
zu der Bankchipkartensicherheitsschlüsselregisterausgabeeinrichtung 114 übermitteln
(Benutzerchipkarten sind ebenfalls derartig ausgestattet). Die Ausgabeeinrichtung 114 sendet
den Sicherheitsschlüssel
zu dem Dateneingabemittel 149 des Chipkartenlesernetzwerks 106,
zusammen mit einem Bankchipkartensignal, das dazu dient, Bankchipkarten
von allen anderen Arten von Chipkarten, wie zum Beispiel Benutzerchipkarten,
zu identifizieren.
-
Der Sicherheitsschlüssel und
das Bankchipkartensignal werden zu dem Datenausgabemittel 147 übermittelt.
Der Mikroprozessor der Chipkarte 104 erkennt das Bankchipkartensignal
an dem Datenausgabemittel 147 und plaziert als Reaktion
auf dieses Signal den Sicherheitsschlüssel an dem Datenausgabemittel 147 in
dem Sicherheitsschlüsselspeicherregister.
Wenn der frisch empfangene Sicherheitsschlüssel in dem Sicherheitsschlüsselspeicherregister 128 plaziert
wird, ersetzt er einen der zuvor existierenden in dem Register 128 gespeicherten
Sicherheitsschlüssel.
Auf diese Weise dienen Transaktionen zwischen Benutzerchipkarten
und Bankchipkarten zur Aktualisierung/-Änderung
eines oder mehrerer Sicherheitsschlüssel in Benutzerchipkarten.
Die Sicherheitsschlüssel
werden von Zeit zu Zeit geändert,
um ein verbessertes Sicherheitsmaß bereitzustellen. Die Schlüssel können periodisch
geändert
werden, d. h. in regelmäßigen Zeitintervallen, oder
als Alternative falls gewünscht
in zufälligen
Zeitintervallen geändert
werden.
-
Das Chipkartengeldtransfersystem
von 1 verwendet drei
Arten von Software: Austauschsoftware, Zins-/Schlüsselaktualisierungssoftware
und Administrationssoftware. Austauschsoftware (zum Beispiel das hier
in 7 (702)
als EXCH.EXE bezeichnete Programm) ermöglicht einen Geldtransfer von
einer Chipkarte zu einer anderen. Zins-/Schlüsselsoftware ermöglicht das
Durchführen
von Zinszahlungen auf eine Chipkarte und Administrationssoftware
ermöglicht
das Durchführen
verschiedener Verwaltungsfunktionen. Zu diesen Verwaltungsfunktionen
kann zum Beispiel das Aktualisieren einer Datei gehören, die
alle „schlechten" Chipkarten identifiziert
und auflistet und/oder das Aktualisieren einer Datei, die den aktuellen
an spezifische Chipkarten auszuzahlenden Zinssatz enthält. „Schlechte" Chipkarten sind
zum Beispiel defekte, ausgefallene, gestohlene, „fremde" (systemfremde) und/oder gefälschte Chipkarten.
Eine speziell gekennzeichnete administrative Chipkarte kann zur
Durchführung
der obenerwähnten
Verwaltungsfunktion in Verbindung mit einem Kartenleser und einem
Computer verwendet werden. Diese administrative Karte enthält die Hardware
und Datenstrukturen von 1.
Alle Software ist auf herkömmlichen
PCs ausführbar,
und/oder auf Chipkartenlesersoftwareplattformen, die Verarbeitungseinrichtungen
enthalten.
-
Ein Teil der von dem Chipkartengeldtransfersystem
verwendeten Software kann auf den Chipkarten 102, 104 verankert
sein. Falls gewünscht,
kann diese Software in eine ROM-Einrichtung auf der Chipkarte abgelegt
werden. Zum Beispiel kann man vorteilhafterweise drei Programme
auf den Chipkarten 102, 104 ablegen. Das erste
solche Programm ist eine Routine mit dem Titel EXCH.INI und liefert
die Datenstrukturen und Funktionen, die zur Implementierung von
Finanztransaktionen notwendig sind. Dieses Programm ermöglicht außerdem den
Chipkarten, elektronische Sicherheitsschlüssel und Zinszahlungen zu empfangen.
Dieses ausführbare
Programm ist vorzugsweise auf allen Benutzerchipkarten, einschließlich Bankzentralenchipkarten, verankert.
-
Das zweite Programm das auf den Chipkarten 102, 104 verankert
sein kann, hat den Titel INT.EXE und liefert die Datenstrukturen
und Funktionen, die notwendig sind, um elektronische Sicherheitsschlüssel zu aktualisieren.
Das Programm implementiert außerdem
den Prozeß des
Ausgebens von Zinsen an eine andere Bankchipkarte oder eine Benutzerchipkarte,
wie zum Beispiel eine Karte, die von einem Händler oder einem Verbraucher
gehalten wird. Die dritte Routine, die auf einer Chipkarte plaziert
werden kann, hat den Titel issue.exe und ermöglicht einer administrativen
Chipkarte, eine Bank- oder
Benutzerchipkarte auszugeben.
-
Das Chipkartengeldtransfersystem
(1) führt Finanztransaktionen
durch, bei denen zum Beispiel Geld von einer Karte zu einer anderen
transferiert wird. Geld wird jedoch nur unter Verwendung einer speziell gekennzeichneten
Bankzentralenchipkarte mit in 1 gezeigten
Hardware- und Datenstrukturen „erzeugt". Mit „Erzeugung" von Geld ist der
Umstand gemeint, daß in
diesem Fall Geld auf einer Chipkarte abgelegt wird, ohne daß Geld von
einer anderen Chipkarte genommen wird. Dasselbe allgemeine Konzept
gilt für
elektronische Sicherheitsschlüssel.
Diese Schlüssel
werden durch einen Systemadministrator in Bankzentralenchipkarten
geladen und dann über
das Kartenlesernetzwerk 106 elektronisch zu anderen Chipkarten
transferiert.
-
Die Chipkarten können zu einer hierarchischen
Struktur organisiert werden. Zum Beispiel enthält die oberste Ebene eine oder
mehrere Bankzentralenchipkarten, die zweite Ebene eine oder mehrere
regionale Bankchipkarten, auf der dritten Ebene befinden sich Bankzweigstellenchipkarten
und auf der vierten Ebene die Benutzerchipkarten, darunter Händlerchipkarten
und Verbraucherchipkarten. Sicherheitsschlüssel und Zinszahlungen fließen die
hierarchische Leiter von den obersten Ebenen herab zu den niederen
Ebenen.
-
Sicherheitsfunktionen für das Chipkartenfinanztransaktionssystem
werden durch elektronische Sicherheitsschlüssel durchgeführt. Zusätzlich zu
den Sicherheitsschlüsseln
können
auch proprietäre
Informationen zu dem System hinzugefügt werden, um einen verbesserten
Sicherheitsgrad bereitzustellen. Sicherheit ist jedoch ein relatives
Konzept. Praktisch ausgedrückt
gibt es ungeachtet des Grades der technischen Kompliziertheit, der
verwendet wird, überhaupt
kein unverletzliches Sicherheitssystem. Als Beispiel ist es bestimmt möglich, daß Fälscher ihre
eigenen Dollarscheine drucken. Die Kosten sind jedoch hoch und die
Strafen sind groß,
wenn man überführt wird.
Die Sicherheitsschlüssel 112, 114, 116 liefern
ein Maß der
Sicherheit, das dem durch den Dollargeldschein gelieferten in Hinblick
auf die obenerwähnten
Kosten und Strafen analog ist.
-
Die durch Sicherheitsschlüssel bereitgestellte
Sicherheit ist dergestalt, daß alle
an der Implementierung von Sicherheitsfunktionen für das Chipkartenfinanztransaktionssystem
beteiligten Einzelpersonen das System verlassen könnten, aber
keine dieser Einzelpersonen in der Lage wäre, das System ohne Erkennung und
unmittelbare Korrektur zu brechen. Um diesen Sicherheitsgrad bereitzustellen,
kann man sich nicht alleine auf proprietäre Informationen verlassen.
Proprietäre
Informationen sind jedoch wertvoll, um Attacken von außerhalb
befindlichen Einzelpersonen zu verhindern, die niemals mit dem Sicherheitssystem
affiliiert waren. Aus diesem Grund werden proprietäre Informationen
mit anderen Formen von Sicherheit kombiniert, um einen ansonsten
nicht möglichen
verbesserten Sicherheitsgrad bereitzustellen.
-
Sicherheitsschlüssel werden in Form von vier
Anwendungsschlüsseln
bereitgestellt, die auf jeder Chipkarte 102, 104 gespeichert
sind. Diese Anwendungsschlüssel
werden als numerische Werte in dem Speicher der Chipkarte 102, 104 gespeichert.
Während
jeder Finanztransaktion mit einer Bankzentralenchipkarte wird der
in einem Anwendungsschlüssel
gespeicherte numerische Wert aktualisiert. Es sind zwei gültige Anwendungsschlüssel erforderlich,
um eine Finanztransaktion erfolgreich zu implementieren. Die in
einer Bankzentralenchipkarte gespeicherten Anwendungsschlüssel werden
von Zeit zu Zeit aktualisiert, zum Beispiel dergestalt, daß jeder
Anwendungsschlüssel
für einen
Monat gültig
ist. Die maximale Zeit, für
die ein Kartenhalter ohne eine Banktransaktion auskommen kann, beträgt auf diese
Weise drei Monate. Diese Zahl kann jedoch verändert werden, um den Bedürfnissen
spezifischer Systemanforderungen zu genügen, indem jeder Chipkarte
weitere Anwendungsschlüssel
hinzugefügt
werden und/oder indem die Zeitdauer verändert wird, für die jeder
numerische Anwendungsschlüsselwert
gültig
ist. Die Bank könnte
acht Schlüssel
verwenden und einen Schlüssel
pro Tag ändern.
Auf diese Weise müßte jeder
Chipkartenhalter mindestens einmal pro Woche eine Finanztransaktion
mit der Bank durchführen.
Obwohl die Anwendungsschlüssel
periodisch in regelmäßigen Zeitintervallen
aktualisiert werden können,
ist die Periodizität
nicht erforderlich. Die Anwendungsschlüssel könnten auch dynamisch in unregelmäßigen Zeitintervallen
aktualisiert werden.
-
Um die Anwendungsschlüssel zu
implementieren, kann jede Chipkarte 102, 104 mit
einer Datei mit dem Namen KEY_NUMBER ausgestattet werden. Diese
Datei spezifiziert numerische Werte entsprechend spezifischen Anwendungsschlüsseln. KEY_NUMBER
speichert außerdem
das letzte Datum, für
das ein Schlüssel
aktualisiert wurde. Zum Beispiel können die numerischen Anwendungsschlüsselwerte
einmal pro Monat geändert
werden, wobei die numerischen Werte 51, 52, 53 und 54 jeweils den
Monaten 51 bis 54 entsprechen.
-
Damit zwei Chipkarten 102, 104 einen
erfolgreichen Geldtransfer implementieren können, müssen diese Chipkarten mindestens
zwei identische Anwendungsschlüssel
aufweisen. Wenn die Chipkarte 102 die Anwendungsschlüssel 49,
50, 51 und 52 enthält,
während
die Chipkarte 104 die Anwendungsschlüssel 51, 52, 53 und 54 enthält, kann
der Geldtransfer erfolgreich implementiert werden, da zwei identische
Schlüssel,
nämlich
51 und 52, vorliegen. Wenn die Anwendungsschlüssel der Chipkarte 102 jedoch
51, 52, 53 und 54 sind, während
die Anwendungsschlüssel
der Chipkarte 104 54, 55, 56 und 57 sind, wäre es nicht
möglich,
einen erfolgreichen Geldtransfer zwischen diesen beiden Chipkarten 102, 104 zu
implementieren.
-
Jeder Benutzerchipkarte 102, 104 wird
eine Kontonummer von 16 Stellen (8 Byte) zugewiesen. Eine oder mehrere
der Chipkarten 102, 104 kann verloren oder gestohlen
werden. Solche Karten sind als „schlechte" Karten bekannt und dürfen keine
Anwendungsschlüsselaktualisierungen
erhalten. Bankchipkarten, die jeder Ebene in der obenerwähnten Chipkartenbankhierarchie
entsprechen, können
8 K-Chipkarten sein, die so ausgestattet sind, daß sie Kontennummern
für bis
zu 600 schlechte Karten speichern. Unter der Annahme, daß bis zu
10% der Benutzerchipkarten 102, 104 in einem gegebenen
System verloren oder gestohlen werden können (diese Zahl entspricht
der Norm der Kreditkartenindustrie), kann eine Bankzentralenchipkarte
eine Gruppe von 6000 Benutzerchipkarten verwalten.
-
Die Verwaltung einer Gruppe von 6000
Benutzerchipkarten 102, 104 kann auf der hierarchischen
Ebene der regionalen Bank durchgeführt werden. Auf diese Weise
werden eine oder mehrere spezifische Anwendungsschlüsselaktualisierungen
auf einen vorbestimmten Teil der Kontonummern, z. B. 40 000 bis
46 000 beschränkt,
so daß diese
Kontonummern Chipkarten entsprechen, die von einer gegebenen regionalen
Bank und/oder einer gegebenen Bankzweigstelle versorgt werden. Um
dieses Zweigstellenbankszenario zu verbessern, kann angenommen werden,
daß jede
Bankzweigstelle nur Chipkarten mit Kontonummern in einem bestimmten
Umfang behandelt. Wenn diese Annahme gilt, dann müssen nur
vier Byte (die letzten vier Stellen) der Kontonummern auf der Bankzweigstellenebene
gespeichert werden.
-
Techniken zur Verwaltung schlechter
Chipkarten sind wichtig, da die Effektivität dieser Techniken die gesamte
Profitfähigkeit
oder den Verlust eines gegebenen Chipkartensystems bestimmen können. Wenn
Betreiber von Chipkartensystemen nicht sorgfältig sind und wenn unzureichende
Verwaltungstechniken für schlechte
Karten verwendet werden, kann der Betreiber letztendlich mehr Geld
pro Kunde verlieren als wiedergewonnen werden kann.
-
Nachdem die Schlüssel auf einer schlechten Karte
ablaufen, kann die Karte aus der Liste schlechter Karten entfernt
werden. Deshalb kann eine Bankzweigstellenkarte 1200 schlechte Kartennummern
speichern und eine Gruppe von 24 000 Benutzerkarten verwalten, unter
der Vorraussetzung, daß nur
5% der Benutzerchipkarten zu einem gegebenen Zeitpunkt auf der Liste
schlechter Karten stehen.
-
Wenn niemals mehr als 10% der Benutzerchipkarten,
die einer bestimmten Bankzweigstelle entsprechen, gestohlen werden,
dann wäre
die nächste
hierarchische Ebene (etwa die „regionale
Bank") in der Lage, 6000
Bankzweigstellenchipkarten zu behandeln. Die Gesamtzahl von Kunden
in diesem Szenario kann also 144 MILLIONEN betragen. Da es erwünscht sein
kann, eine größere Gesamtsystemkapazität bereitzustellen, kann
eine andere hierarchische Ebene verwendet werden, die als „Bankzentrale" bezeichnet wird.
Die Bankzentralenchipkarte 103 kann bis zu 6000 regionale
Bankkarten behandeln und kann also reichlich Gesamtsystemkapazität bereitstellen.
-
Bezüglich der Chipkartenaktualisierungszeit
nehme man an, daß es
(maximal) 10 Sekunden dauert, um eine Chipkarte zu aktualisieren.
Man nehme weiterhin an, daß 24
000 Leute ihre Schlüssel
in dieser einen Stunde aktualisieren wollen. Das System muß den Gegenwert
von 24 die volle Zeit arbeitenden Bankzweigstellenchip karten aufweisen.
Wenn die Bankzweigstellenchipkarten dupliziert werden, wird jeder
dieser Karten eine verschiedene Kontonummer ausgegeben, so daß der Erzeugungsprozeß durch
eine Chipkarte durchgeführt
und verwaltet werden kann. Eine gegebene Chipkartenkontonummer sollte
niemals mehr als einmal ausgegeben werden. Unter Berücksichtigung
dieser Reduktion beträgt
deshalb die maximale Anzahl von Benutzerchipkarten 102, 104 in
einer Region 6 Millionen. Da den Bankzweigstellenkarten Aktualisierungszeiten
zugewiesen werden können,
müssen
regionale Bankkarten nicht dupliziert werden.
-
Alle Sicherheitsschlüssel 1 werden
von einer Bankzentralenchipkarte erzeugt, die die Struktur der Chipkarte 102 aufweist
und weiterhin einen Zufallszahlengenerator enthält. Das Sicherheitsschlüsselspeicherregister
der Bankzentralenchipkarte wird mit den Sicherheitsschlüsseln geladen,
die zur Erzeugung und Aktualisierung aller anderen Chipkarten notwendig
sind. Nach dem Ausgabeprozeß der
ursprünglichen
Karte ist dies die Methode für
Sicherheitsschlüsselaktualisierungen.
Ein Befehl wird zu der Bankzentralenkarte gesendet, um ihre Datum-
und Sicherheitsschlüssel
zu aktualisieren. Die Bankzentralenkarte erzeugt einen neuen Sicherheitsschlüssel unter
Verwendung ihres Zufallszahlengenerators und aktualisiert einen
diesem neuen Sicherheitsschlüssel
entsprechenden ersten Anwendungsschlüssel und inkrementiert die
Datei KEY_NUMBER. Die Datei KEY_NUMBER wird mit einem neuen Datum
aktualisiert. An diesem Zeitpunkt kann auch ein neuer Zinssatz in
die Bankzentralenchipkarte geladen werden.
-
Nachdem die Bankzentralenchipkarte
ihre Sicherheitsschlüssel
aktualisiert, hat sie Transaktionen mit allen regionalen Bankchipkarten
eingeplant, um ihre Sicherheitsschlüssel zu aktualisieren. Die
regionalen Bankchipkarten aktualisieren dann die Bankzweig stellenchipkarten.
Und die Bank-Chipzweigstellenkarten aktualisieren schließlich die
Benutzerchipkarten.
-
Im allgemeinen kann Geld nur dann
zu einer Chipkarte addiert werden, wenn es von einer anderen Chipkarte
genommen wird. Die Ausnahme hierfür ist die Bankzentralenchipkarte.
Es existiert ein Bankzentralenkartenschlüssel, der Schlüsselwerte
enthält,
die mit den in der Bankzentralenchipkarte gespeicherten Anwendungsschlüsselwerten übereinstimmen.
Wer auch immer diesen Schlüssel
hält, kann
durch Aktualisieren der Kontostanddatei dieser Karte Geld erzeugen.
Diese Person kann die Anwendungsschlüssel auf der Bankzentralenkarte
nicht lesen. Um dieses Geld aus der Bankzentralenchipkarte die Pyramide
hinunter bis zu den Bankchipkarten 102, 104 zu
bringen, würde
ein regionaler Bankkartenhalter einen Transfer von z. B. 1 Million Kartendollar
im Austausch für
einen gleichen Transfer von Geld in einer anderen Form anfordern.
Der Bandzentralenkartenhalter genehmigt dies durch Eintippen des
korrekten Schlüssels
(der wahrscheinlich ein anderer Schlüssel als der zur Erzeugung
von Geld verwendete ist). Dieses Geld wandert die Pyramide von Karten hinunter,
bis es die Kartenhalter selbst erreicht. Wenn die Anwendung wächst, dann
sollte der Fluß von
Kartengeld niedrig und der Fluß anderen
Geldes hoch sein. Bei einem Kartengeldaustausch, an dem zwei Chipkarten
beteiligt sind, die Chipkarte 102 und die Chipkarte 104,
können
zum Beispiel die Karten Chipkarte 102 und Chipkarte 104 beliebige
der in 2 spezifizierten
Karten sein. Für
ein gegebenes Paar von Karten, Chipkarte 102 und Chipkarte 104,
beschreibt 2 die Beschaffenheit
der Finanztransaktion, die stattfinden kann.
-
Es wird nun der Finanztransaktionsfluß beschrieben.
Diese Transaktionen können über eine
Fernstrecke durchgeführt
werden. Die Transaktionen finden immer zwischen zwei Karten statt.
Chipkartenleser und PC- Software
dienen lediglich zur Verbindung der Karten und zur Bereitstellung
von Benutzereingaben. An beiden Enden der Stecke wird ein herkömmlicher
Chipkartenleser verwendet, wobei jeder Absender ein Tastenfeld für PIN- oder Schlüsseleingabe
(ähnlich
wie bei einem ATM oder Telefonadapter mit kleiner Tastatur) aufweist.
Diese Leser sind Fachleuten wohlbekannt.
-
Die Finanztransaktion verläuft wie
in 3 angegeben. Als
erstes wird im Block 301 die Chipkarte 102 (eine
erste Chipkarte) in den ersten Chipkartenleserport 141 (eines
ersten Chipkartenlesers) eingeführt.
Als nächstes
wählt der
der ersten Chipkarte, Chipkarte 102, entsprechende Kartenhalter
die Telefonnummer (wenn der Leser einen Telefonadapter enthält) oder
wählt das
korrekte Menüelement
(bei Verwendung eines ATM oder eines PC-gestützten Kartenlesers), um einen
Hostcomputer und/oder einen anderen Telefonadapter anzuwählen. Dies
bewirkt die Herstellung einer Verbindung entweder zu einem Hostcomputer
oder zu einem anderen Telefonadapter (Block 302).
-
Im Block 303 wird eine zweite
Chipkarte, Chipkarte 104, in den zweiten Chipkartenleserport 143 (eines zweiten
Chipkartenlesers) eingeführt.
Dann gibt der Kartenhalter der Chipkarte 102 „EXCH." oder äquivalenten Code:
in die Tastatur des ersten Chipkartenleserport 141 ein
(Block 304).
-
Im Block 305 fordert der
erste Chipkartenleserport 141 zur Eingabe von Informationen
auf, die zum Abschluß der
Finanztransaktion benötigt
werden. Zu diesen Informationen kann folgendes gehören:
- a. Auszahlung/Belastung/Zinsen
- b. Zu transferierender Geldbetrag
- c. Karten-PIN oder numerischer Wert des Sicherheitsschlüssels
-
Dann sendet der erste Chipkartenleserport 141 ein
Datenpaket zu dem zweiten Chipkartenleserport 143, das
die Finanztransaktion detailliert (Block 306).
-
Im Block 307 fordert der
zweite Chipkartenleserport 143 den der Chipkarte 104 entsprechenden
Kartenhalter zur Eingabe von Informationen auf, die zum Abschluß der Finanztransaktion
benötigt
werden. Zu diesen Informationen kann folgendes gehören:
- a. Auszahlung/Belastung/Zinsen
- b. Zu transferierender Geldbetrag
- c. Karten-PIN oder numerischer Wert des Sicherheitsschlüssels
-
Im Block 308 sendet der
zweite Chipkartenleserport 143 ein Datenpaket, das die
Finanztransaktion detailliert, zu dem ersten Chipkartenleserport 141.
Wenn die in den Blöcken 306 und 308 gesendeten
Datenpakete identisch sind, dann beginnt der durch die folgende
Tabelle spezifizierte Kartenleser die Transaktion durch Senden eines
numerischen Werts eines Sicherheitsschlüssels.
-
Deshalb ist es gleichgültig, welcher
Kartenhalter die Transaktion beginnt; von diesem Punkt an folgt sie
einem auf dem Transaktionstyp basierenden Standardfluß.
Finanztransaktion | Erster
Leser |
Chipkarte 102 sendet
Kartengeld zur Chipkarte 104 | Zweiter
Chipkartenleserport 143 |
Chipkarte 102 empfängt Kartengeld
aus der Chipkarte 104 | Erster
Chipkartenleserport 141 |
Chipkarte 102 empfängt Zinsen
und Sicherheitsschlüssel
aus der Chipkarte 104 | Erster
Chipkartenleserport 141 |
Chipkarte 102 sendet
Zinsen und Sicherheitsschlüssel
zu der Chipkarte 104 | Zweiter
Chipkartenleserport 143 |
-
Die folgenden Abschnitte beschreiben
die in der obigen Tabelle aufgelistete erste und letzte Finanztransaktion
im Einzelnen. Die beiden übrigen
Finanztransaktionen sind dieselben, wenn die Chipkarte 102 und die
Chipkarte 104 umgewechselt werden.
-
4A und 4B beschreiben die Schritte
einer Transaktion von Kartenhalter zu Kartenhalter. Die Chipkarte 102 steht
für Karte
1 und ist die Karte der Person, die „das Geld ausgibt". Die Chipkarte 104 steht
für Karte
2 und ist die Karte der Person, die „das Geld empfängt". Im Block 401 wird
die Chipkarte 102 eingeführt und eine Karten-PIN verifiziert
(dieser Verifikationsteilschritt ist bei Transaktionen mit einem
kleineren Betrag als in einer Datei MIN_TRANS gespeichert, wahlweise).
Als nächstes
wird die Chipkarte 104 eingeführt und die PIN verifiziert
(dieser Verifikationsteilschritt ist für alle Fälle wahlweise) (Block 402).
Im Block 403 führt
der zweite Chipkartenleserport 143 das zuvor beschriebene
Programm C_EXCH.EXE der Chipkarte 104 aus, wobei Eingangsvariablen
eine Auszahlung und einen Betrag A1 spezifizieren. Die Chipkarte 104 antwortet
mit der Sicherheitsschlüsselnummer
ihres ersten Schlüssels.
Dann sendet der zweite Chipkartenleserport 143 diese Sicherheitsschlüsselnummer
zu dem ersten Chipkartenleserport 141 (Block 404).
-
Der erste Chipkartenleserport 141 führt das
Programm C_EXCH.EXE der Chipkarte 102 mit Eingangsvariablen
aus, die Belastung, Betrag (A1) und die Schlüsselnummer der Chipkarte 104 spezifizieren.
Die Chipkarte 102 antwortet mit einer Schlüsselnummer
gleich dem ersten, zweiten oder dritten Sicherheitsschlüssel der
Chipkarte 104. Wenn keine der Schlüsselnummern in der Chipkarte
102 und
der Chipkarte 104 übereinstimmen,
dann kann die Chipkarte 102 nicht mit dem vorgeschlagenen
Schlüsselsatz
der Chipkarte 104 arbeiten und die Chipkarte 102 bricht
die Transaktion ab und aktualisiert die Datei BAD_KEY (Block 405).
Im Block 406 sendet der erste Chipkartenleserport 141 eine
Antwort zu dem zweiten Chipkartenleserport 143. Der zweite
Chipkartenleserport 143 sendet die Schlüsselnummerantwort zu der Chipkarte 104.
Dieser Schlüssel
wird zu dem ersten Sicherheitsschlüssel (APPKEY0 oder kurz AK0)
für den
Rest der Transaktion (Block 407). Die Chipkarte 102 fährt mit
dem Paket 1 (P1), das in APPKEY0 (AK0) verschlüsselt wird, fort. Dies wirkt
als eine Abfrage für
die Chipkarte 104. Die Chipkarte 102 aktualisiert
außerdem
ihre PASSBOOK-Datei (Block 408). Der erste Chipkartenleserport 141 sendet
dieses Paket zu dem zweien Chipkartenleserport 143 (Block 409). Die
Chipkarte 104 reagiert mit dem in AK0 verschlüsselten
Paket 2 (P2). Dies ist die Antwort auf die Abfrage und die Chipkarte 102 prüft, um sicherzustellen,
daß das
dritte Feld (öffentlicher
Name) von P1 umgeändert wurde
und ein gültiger
Name ist (nur ASCII-Zeichen in einem bestimmten Umfang enthält). Die
Chipkarte 104 aktualisiert ebenfalls ihre PASSBOOK-Datei (Block 410).
Der zweite Chipkartenleserport 143 sendet dieses Paket
zu dem ersten Chipkartenleserport 141 (Block 411).
Die Chipkarte 104 setzt ihre Antwort mit dem in APPKEY1
(AK1) verschlüsselten
Paket 3 (P3) fort. Dies wirkt als eine Abfrage für die Chipkarte 102 (Block 412).
Der zweite Chipkartenleserport 143 sendet dieses Paket
zu dem ersten Chipkartenleserport 141 (Block 413).
Die Chipkarte 102 belastet den Kartenkontostand mit dem
Betrag und aktualisiert die PASSBOOK-Datei (Block 414).
Die Chipkarte 102 antwortet mit dem in AK1 verschlüsselten
Paket 4 (P4). Dies ist die Antwort auf die Abfrage und die Chipkarte 104 prüft, um sicherzustellen,
daß das
dritte Feld (Auszahlungsbetrag) von P3 in P4 umgeändert wurde
und ein gültiges
Feld ist (den korrekten Auszahlungscode enthält, der von dem Belastungscode
verschieden ist und denselben Betrag wie in P3 enthält). Wenn
diese Felder nicht korrekt sind, wird die BAD_KEY-Datei aktualisiert
(Block 415). Der erste Chipkartenleserport 141 sendet
dieses Paket dem zweiten Chipkartenleserport 143 (Block 416).
Die Chipkarte 104 schreibt den Betrag auf ihren Kartenkontostand
gut und aktualisiert die PASSBOOK-Datei (Block 417).
-
Sicherheitsschlüsselaktualisierungen und Zinstransaktionen
werden mit Bezug auf 5A und 5B beschrieben. Dabei handelt
es sich um Transaktionen zwischen einer Benutzerkarte und einer
Bankzweigstellenkarte (oder äquivalent
der Zweigstellen- und regionalen Karte oder der regionalen und zentralen
Karte). Das folgende beschreibt die Schritte einer Transaktion von
Kartenhalter zu Bankzweigstelle. Die Chipkarte 102 steht
für Karte
1 und ist die Karte der Person, die „das Geld ausgibt", in diesem Fall
die Bankzweigstelle. Die Chipkarte 104 steht für Karte
2 und ist die Karte der Person, die „das Geld erhält", in diesem Fall
der Kartenhalter. An einer bestimmten Stelle während dieser Transaktion muß die PASSBOOK-Datei der Chipkarte 104 gelesen,
gespeichert und gelöscht
werden.
-
Block 501: Chipkarte 102 eingeführt und
PIN verifizieren. Dieser Schritt ist dasselbe, wie wenn jemand in
der Bank die Bankzweigstellenkarte in einen Kartenleser „lädt". Block 502:
die Chipkarte 104 eingeführt und PIN verifizieren. Dieser
Schritt stellt sicher, daß der
ordnungsgemäße Kartenhalter
immer noch die Karte besitzt und ist ähnlich der Verwendung Ihrer
Kontokarte an einem ATM (Sie können
fotografiert werden, um später
zu beweisen, daß es
Sie gewesen sind). Block 503: der zweite Chipkartenleserport 143 führt das C_EXCH.EXE
der Chipkarte 104 mit dem Argument 2 (Zinsen holen) aus.
Die Chipkarte 104 antwortet mit der Schlüsselnummer
ihres APPKEY0 (0 bis 255). Block 504: der zweite Chipkartenleserport 143 sendet
die Schlüsselnummer
zu dem ersten Chipkartenleserport 141. Block 505:
der erste Chipkartenleserport 141 führt das C_INT.EXE der Chipkarte 102 mit
dem Argument 3 (Zinsen auszahlen) und der Schlüsselnummer der Chipkarte 104 aus.
Die Chipkarte 102 antwortet mit einer Schlüsselnummer
gleich dem APPKEY0, APPKEY1 oder APPKEY2 der Chipkarte 104.
Wenn die Chipkarte 102 mit dem vorgeschlagenen Schlüsselsatz
nicht arbeiten kann, bricht sie die Transaktion ab und richtet eine
abgelaufene-Schlüsseldatei-Transaktion
ein. Block 506: der erste Chipkartenleserport 141 sendet
eine Antwort zu dem zweiten Chipkartenleserport 143. Block 507:
der zweite Chipkartenleserport 143 sendet die Schlüsselnummerantwort
zu der Chipkarte 104. Dieser Schlüssel wird für den Rest der Transaktion
zu APPKEY0. Block 508: die Chipkarte 102 setzt
die Antwort mit dem in APPKEY0 (AK0) verschlüsselten Paket 1 (P1) fort.
Dies wirkt als eine Abfrage für
die Chipkarte 104. Die Chipkarte 102 aktualisiert
außerdem
ihre PASSBOOK-Datei.
Block 509: der erste Chipkartenleserport 141 sendet
dieses Paket zu dem zweiten Chipkartenleserport 143. Block 510:
die Chipkarte 104 antwortet mit dem in AK0 verschlüsselten
Paket 2 (P2). Dies ist die Antwort auf die Abfrage, und die Chipkarte 102 prüft, um sicherzustellen,
daß das
dritte Feld (öffentlicher
Name) von P1 umgeändert
wurde und ein gültiger
Name ist (nur ASCII-Zeichen in einem bestimmten Umfang enthält). Die
Chipkarte 104 aktualisiert außerdem ihre PASSBOOK-Datei. Block 511:
der zweite Chipkartenleserport 143 sendet dieses Paket
zu dem ersten Chipkartenleserport 141. Block 512:
die Chipkarte 104 setzt die Antwort mit dem in APPKEY1
(AK1) verschlüsselten
Paket 5 (P5) fort. Dies wirkt als eine Abfrage für die Chipkarte 102.
Block 513: der zweite Chipkartenleserport 143 sendet
dieses Paket zu dem ersten Chipkartenleserport 141. Block 514:
die Chipkarte 102 prüft,
um sicherzustellen, daß das
dritte Feld (Kontostand) eine gültige
Prüfsumme und
ein logisches Datum und einen Zinssatz aufweist. Außerdem prüft sie das
vierte Feld (Kontonummer) gegen die BAD_CARD Datei. (Wenn sie die
Nummer in der BAD_CARD-Datei findet, leitet sie eine Ungültige-Karte-Transaktion ein.
Unter Verwendung ihrer Datum-Datei berechnet sie den Zinsbetrag
zur Auszahlung an die Chipkarte 104, belastet den Kartenkontostand
der Chipkarte 102 mit dem Betrag und aktualisiert ihre
PASSBOOK-Datei. Die Chipkarte 102 schaut außerdem, ob die Chipkarte 104 einen neuen
Schlüssel
benötigt,
und liefert, wenn dies der Fall ist, einen in P6. Block 515:
die Chipkarte 102 antwortet mit dem in AK1 verschlüsselten
Paket 6 (P6). Dies ist die Antwort auf die Abfrage und die Chipkarte 104 prüft, um sicherzustellen,
daß das
dritte bis fünfte
Feld von P5 umgeändert wurden
und gültig
sind. Block 516: der erste Chipkartenleserport 141 sendet
dieses Paket zu dem zweiten Chipkartenleserport 143. Block 517:
die Chipkarte 104 schreibt den Betrag ihrem Kartenkontostand
zu, ändert das
Datum und aktualisiert den Zinssatz, falls notwendig. Wenn das fünfte Feld
einen neuen Schlüssel
enthält, aktualisiert
sie ihre Anwendungsschlüssel
durch Ersetzen des ältesten
(APPKEY0) durch den neuen und Inkrementieren der Nummer in der KEY_NUMBER-Datei.
Außerdem
aktualisiert sie die PASSBOOK-Datei.
-
Die in 6 gezeigten
Datenpakete können
während
einer Finanztransaktion von einer ersten Chipkarte zu einer zweiten
Chipkarte transferiert werden. Paket 1 enthält die folgenden Felder und
Informationen: Feld 602: Zufallszahl. Das erste Feld ist
eine durch die Chipkarte 102 erzeugte Zufallszahl mit acht
Byte. Feld 603: Anwendungsnummer. Das zweite Feld ist eine
Anwendungs-ID-Nummer mit acht Byte, die für alle Kartenhalterkarten dieselbe
ist. Feld 604: öffentlicher
Name. Das dritte Feld ist ein Acht-Byte-ASCII-Name der Kartenhalter-Chipkarte 102.
Feld 605: Kontonummer oder Signatur. Das vierte Feld ist
entweder eine Acht-Byte- Signatur
der ersten drei Felder, die durch die Chipkarte 102 unter
Verwendung des APPKEY0 der Karte erzeugt wird, oder einfach nur
die Kontonummer der Chipkarte 102, falls keine Vertraulichkeit
gewünscht wird.
Diese vier Felder werden gemischt (zwei Byte auf einmal aus jedem
Feld) und in einem APPKEY0 verschlüsselt und von der Chipkarte 102 zu
der Chipkarte 104 gesendet.
-
Paket 2 enthält die folgenden Felder und
Informationen: Feld 607: Zufallszahl. Das erste Feld ist
die Acht-Byte-Zufallszahl,
die durch die Chipkarte 102 erzeugt und in dem Paket 1
empfangen wurde. Feld 608: Anwendungsnummer. Das zweite
Feld ist die Acht-Byte-Anwendungs-ID-Nummer,
die für
alle Kartenhalterkarten dieselbe ist. Feld 609: öffentlicher
Name. Das dritte Feld ist ein Acht-Byte-ASCII-Name der Kartenhalterchipkarte 104.
Feld 610: Kontonummer oder Signatur. Das vierte Feld ist
entweder eine Acht-Byte-Signatur
der ersten drei Felder, die durch die Chipkarte 104 unter
Verwendung des Schlüssels
0 der Karte erzeugt wird, oder lediglich die Kontonummer der Chipkarte 104,
falls keine Vertraulichkeit gewünscht
wird. Diese vier Felder werden gemischt (zwei Byte auf einmal aus
jedem Feld) und in einem APPKEY0 verschlüsselt und von der Chipkarte 104 zu
der Chipkarte 102 gesendet.
-
Paket 3 enthält die folgenden Felder und
Informationen: Feld 612: Zufallszahl. Das erste Feld ist
eine Acht-Byte-Zufallszahl,
die durch die Chipkarte 104 erzeugt wird. Feld 613:
Anwendungsnummer. Das zweite Feld ist die Acht-Byte-Anwendungs-ID-Nummer,
die für
alle Kartenhalterkarten dieselbe ist. Feld 614: Belastungsbetrag.
Das dritte Feld ist der von der Kontostanddatei der Chipkarte 102 abzuhebende
Betrag. Feld 615: Kontonummer oder Signatur. Das vierte
Feld ist entweder eine Acht-Byte-Signatur der ersten drei Felder,
die durch die Chipkarte 104 unter Verwendung des Schlüssels 0
der Karte erzeugt wird oder lediglich die Kontonummer der Chipkarte 104,
falls keine Vertraulichkeit gewünscht
wird. Diese vier Felder werden gemischt (zwei Byte auf einmal aus
jedem Feld) und in einem APPKEY1 verschlüsselt und von der Chipkarte 104 zu
der Chipkarte 102 gesendet.
-
Paket 4 enthält die folgenden Felder und
Informationen: Feld 617: Zufallszahl. Das erste Feld ist
die Acht-Byte-Zufallszahl,
die durch die Chipkarte 104 erzeugt und in dem Paket 3
empfangen wurde. Feld 618: Anwendungsnummer. Das zweite
Feld ist die Acht-Byte-Anwendungs-ID-Nummer,
die für
alle Kartenhalterkarten dieselbe ist. Feld 619: Auszahlungsbetrag.
Das dritte Feld ist der an die Kontostanddatei der Chipkarte 104 auszuzahlende
Betrag. Feld 620: Kontonummer oder Signatur. Das vierte
Feld ist entweder eine Acht-Byte-Signatur
der ersten drei Felder, die durch die Chipkarte 102 unter
Verwendung des Schlüssels
0 der Karte erzeugt wird, oder lediglich die Kontonummer der Chipkarte 102,
falls keine Vertraulichkeit gewünscht
wird. Diese vier Felder werden gemischt (zwei Byte auf einmal aus
jedem Feld) und in einem APPKEY1 verschlüsselt und von der Chipkarte 102 zu
der Chipkarte 104 gesendet.
-
Paket 5 enthält die folgenden Felder und
Informationen: Feld 622: Zufallszahl. Das erste Feld ist
die Acht-Byte-Zufallszahl,
die durch die Chipkarte 102 erzeugt und in dem Paket 1
empfangen wurde. Feld 623: Anwendungsnummer. Das zweite
Feld ist die Acht-Byte-Anwendungs-ID-Nummer,
die für
alle Kartenhalterkarten dieselbe ist. Feld 624: Kontostand.
Das dritte Feld enthält
die Kontostanddatei der Chipkarte 104 und ist 24 Byte lang.
Feld 625: Kontonummer oder Signatur. Das vierte Feld ist
entweder eine Acht-Byte-Signatur der ersten drei Felder, die durch
die Chipkarte 104 unter Verwendung des Schlüssels 0
(AK0) der Karte erzeugt wird, oder lediglich die Kontonummer der
Chipkarte 104, falls keine Vertraulichkeit gewünscht wird.
Diese vier Felder werden zu sechs Gruppen von acht Byte gemischt
und in einem APPKEY0 verschlüsselt
und von der Chipkarte 104 zu der Chipkarte 102 gesendet.
-
Paket 6 enthält die folgenden Felder und
Informationen: Feld 627: Zufallszahl. Das erste Feld ist
die Acht-Byte-Zufallszahl,
die durch die Chipkarte 104 erzeugt und in dem Paket 5
empfangen wurde. Feld 628: Anwendungsnummer. Das zweite
Feld ist die Acht-Byte-Anwendungs-ID-Nummer,
die für
alle Kartenhalterkarten dieselbe ist. Feld 629: Auszahlungsbetrag.
Das dritte Feld ist der Betrag, der an die BALANCE-Datei der Chipkarte 104 auszuzahlen
ist. Feld 630: Datum. Das vierte Feld ist das neue Datum
und der Zinssatz für
die BALANCE-Datei der Chipkarte 104. Feld 631:
Neuer Anwendungsschlüssel.
Das fünfte
Feld ist acht Byte lang und enthält
einen neuen Anwendungsschlüssel,
wenn die Chipkarte 104 nicht den neuesten Schlüssel besitzt. Feld 632:
Kontonummer oder Signatur. Das sechste Feld ist die Kontonummer
der Chipkarte 102, da sich Vertraulichkeit und Zinsen gegenseitig
ausschließen.
Diese sechs Felder werden zu sechs Gruppen von acht Byte gemischt
und in einem APPKEY1 verschlüsselt
und von der Chipkarte 102 zu der Chipkarte 104 gesendet.
-
Die von den Benutzerchipkarten 102, 104 verwendeten
Datenstrukturen sind in 7 gezeigt.
Jede Benutzerkarte enthält
die folgenden Dateien: ACCOUNT_NUMBER 701. Diese Datei
enthält
eine in acht Byte gepackte eindeutige 16stellige Kontonummer. C_EXCH.EXE 702.
Diese ausführbare
Datei wird oben beschrieben.
-
BALANCE 703. Diese Datei
enthält
den Kontostandbetrag der Karte, die Währung des Kontostands, das
letzte Datum, an dem Zinsen verzeichnet wurden, die Seriennummer
der Währung
und die Kontostand-Prüfsumme.
Der Kontostandbetrag ist vier Byte lang, wobei sechs Bit jedes Byte
zur Speicherung des Wert und zwei Bit als Prüfsummen verwendet werden. Die
Währung
des Kontostands ist ein Byte lang mit einem verschiedenen Code für jede Währung. Das
Datum der letzten Zinsen ist vier Byte lang mit zwei Stellen für den Monat,
zwei Stellen für
den Tag und vier Stellen für
das Jahr. Der Zinssatz ist drei Byte lang. Die Seriennummer der
Währung
ist vier Byte lang und stellt eine für die Karte eindeutige Nummer
dar (möglicherweise die
mit einem Master-Schlüssel
verschlüsselte
Kontonummer). Die Kontostand-Prüfsumme
ist acht Byte lang und stellt die ersten acht Byte der Datei dar,
die durch die zweiten acht Byte der Datei verschlüsselt und
dann durch einen Master-Schlüssel
verschlüsselt
wird. Die Kontostanddatei ist also 24 Byte lang.
-
APPKEY0 704 bis APPKEY3 707.
Diese Dateien enthalten die vier Anwendungsschlüssel, die jeweils acht Byte
lang sind. PASSBOOK 708. Diese Datei enthält den Audit-Trail ähnlich wie
bei einem PASSBOOK-Sparkonto. Jeder Eintrag ist 36 Byte lang und
es können
insgesamt 50 Einträge
gespeichert werden. Jeder Eintrag enthält die Kontonummer des anderen
Teilnehmers (oder die Signatur, falls Vertraulichkeit gewünscht wird)
(8 Byte), den öffentlichen
Namen des anderen Teilnehmers (8 Byte), die durch die andere Karte erzeugte
Zufallszahl (8 Byte), das Datum, falls bekannt (4 Byte), Auszahlung
oder Belastung oder Zinsen (1 Byte), den Transaktionsbetrag (3 Byte)
und den neuen Kontostand (4 Byte). Die Gesamtgröße dieser Datei beträgt 1800
Byte. Diese Datei wird bei gültigen
Banktransaktionen in die Bank heruntergeladen, solange keine Vertraulichkeit
gewünscht
wird. Wenn größere Dateien
für Händlerbenutzerkarten
benötigt
werden, können 8
K-Karten bereitgestellt werden und die PASSBOOK-Datei kann stark
erweitert werden.
-
KEY_INFO 709. Diese Datei
speichert die aktuelle APPKEY-Nummer und das letzte Datum, an dem die Schlüssel durch
die Bank aktualisiert wurden. Sie ist 5 Byte lang (1 für die Nummer
und 4 für
das Datum). BAD_KEY 710. Diese Datei speichert die Anzahl
von Schlechter-Schlüssel-Versuchen
und ist 2 Byte lang. Sie wird nach einer gültigen Banktransaktion zurückgesetzt.
Wenn diese Zahl eine eingestellte Grenze erreicht, wird die Karte
verriegelt. MIN_TRANS 711. Diese Datei speichert den Transaktionsbetrag, über den
hinaus eine PIN erforderlich ist. Diese Datei ist 3 Byte lang. MAX_TRANS 712.
Diese Datei speichert den Transaktionsbetrag, über den hinaus ein Schlüssel erforderlich
ist. Diese Datei ist 4 Byte lang. RANDOM_NUMBER 713. Diese
Datei enthält
den Zufallszahlen-Anfangswert, um sicherzustellen, daß die Zahlen
nicht in irgendeinem vorhersehbaren Muster wiederholt werden. Wenn
die ausführbare
Datei 700 Byte lang ist (genauso wie TCA), würde der auf der Karte benötigte Gesamtraum
etwa 2700 Byte betragen.
-
Zusätzlich zu den oben in Verbindung
mit 7 beschriebenen
Dateien enthält
jede Bankchipkarte die folgenden zusätzlichen Dateien, die auch
in 7 dargelegt sind:
BAD_CARD 801. Diese Datei speichert eine Liste von 4-Byte-Kontonummern,
die schlechte Karten sind. Sie kann insgesamt 1.200 Zahlen speichern,
für eine
Gesamtdateigröße von 4.00
Byte. VALID ACCOUNT 802. Diese Datei speichert die höchsten und
niedrigsten gültigen
Kontonummern für
Karten, die Schlüsselaktualisierungen
empfangen können.
Sie ist 32 Byte lang. C_INT.EXE 803. Diese ausführbare Datei
ermöglicht
der Karte, Zinsen auszuzahlen und Schlüssel zu aktualisieren. INTEREST 804.
Diese Datei speichert den täglichen
Zinssatz und ist 4 Byte lang.
-
In bezug auf Systembetrug und Betrugsverhinderung
gibt es, wenn der Chipkartensystembetreiber Geld besitzt, Betrüger. Betrüger sind
Leute, die gerne einen Teil des Geldes des Systembetreibers wegnehmen würden. Mögliche Angriffsmethoden
und Gegenmaßnahmen
werden nun beschrieben. ANGRIFF NR. 1. Versuch, Geld auf eine Karte
zu übertragen,
ohne Geld von einer anderen Karte zu nehmen. Dafür müßte ein Datenpaket zu der Karte
gesendet werden, das die korrekten Informationen für eine Auszahlung
enthält.
Es gibt drei mögliche
Mittel zum Angriff: A. Abspielangriffe, die nicht funktionieren,
da jedes Paket eine eindeutige Zufallszahl enthält. Der Systembetreiber muß sicherstellen,
daß jede
Karte mit einem anderen Zufallszahlenanfangswert startet und nicht
irgendwie auf ihren ursprünglichen
Anfangswert zurückgesetzt
werden kann. Da keine der Zufallszahlen jemals im Klartext gesendet
werden, bietet dies einigen Schutz. B. Zufallsversuche, Pakete zu
der Karte zu senden, die nicht funktionieren, weil nach einer bestimmten
Anzahl von Rateversuchen, die BAD_KEY-Datei eine Verriegelung der
Karte bewirkt. Dabei handelt es sich wirklich um das Äquivalent
von Versuchen, den Schlüssel
zu raten. C. Direktschlüsselangriff.
Unter der obenbeschriebenen Implementierung würde der Betrüger ein
gutes Paket erhalten und versuchen, es mit Zufallsschlüsseln zu
entschlüsseln,
bis er eine gültige
Anwendungsnummer erhält.
Dazu sind im Mittel zwei Entschlüsselungen
pro Paket und 263 verschiedene Schlüssel für erwarteten
Erfolg oder 584 Jahre mit einer 1 Milliarde Verschlüsselungen
pro Sekunde notwendig. Dies hängt
direkt mit der Sicherheit von DES zusammen und ist, worauf Sicherheit
basiert. Es kann eine Doppelverschlüsselung in risikoreichen Umgebungen
verwendet werden, zu Lasten einer Verlangsamung der Transaktions-
und Angriffszeiten.
-
ANGRIFF NR. 2. Stehlen einer gültigen Karte.
Alle Karten werden für
kleine Transaktionen durch PINs geschützt und können für größere Transaktionen durch Schlüssel geschützt werden.
Der Dieb könnte
die Karte für
Transaktionen unter der MIN_TRANS-Dateigrenze benutzen, bei der
nächsten
Zins-/Schlüsselaktualisierung
würde die
Karte jedoch ungültig
werden. Der Prozeß des
Ungültigmachens
könnte
auch für
größere Käufe an Kassenendgeräten geschehen,
wenn man sich über
PINs oder das Stehlen von Schlüsseln
von dem Kartenhalter sorgt. Wenn der Dieb versucht, das Kartengeld
in Geld umzuwandeln (Kaufen von Bargeld anstelle von Waren), zum
Beispiel durch Handeln mit einem anderen Kartenhalter, dann muß der Dieb
die PIN oder den Schlüssel
besitzen oder wird durch die Anzahl von Transaktionen begrenzt,
die in der PASSBOOK-Datei (50) gespeichert ist. Wenn der Benutzer
seine PIN nicht verliert, beträgt
deshalb der maximale erwartete Verlust 250 Dollar (wenn die MIN_TRANS-Datei
auf 5 Dollar gesetzt ist und keine Transaktionen in der PASSBOOK-Datei
gespeichert sind). Dieser Verlust kann auf Null überführt werden, indem die Anzahl
in der MIN_TRANS-Datei auf Null reduziert wird. Wenn die PIN verloren
wird, dann ist der Risikobetrag potentiell das Fünfzigfache der MAX_TRANS-Datei
oder des auf der Karte gespeicherten Betrags. Wenn MAX_TRANS auf 100
Dollar gesetzt ist, dann sind potentiell 5.000 Dollar in Gefahr.
Diese Karte ist also mehr wie Bargeld als eine ganz normale Kreditkarte
und muß sorgfältiger als
eine normale Kreditkarte behandelt werden.
-
Es versteht sich, daß die obenbeschriebenen
Ausführungsformen
lediglich die Prinzipien der Erfindung veranschaulichen und daß Fachleute
viele Varianten konzipieren können,
ohne vom Schutzumfang der Erfindung abzuweichen, der durch die angefügten Ansprüche definiert
wird.