AT409425B - System, chipkarte und sicherungsmechanismen für den elektronischen zahlungsverkehr mit chipkarte - Google Patents

System, chipkarte und sicherungsmechanismen für den elektronischen zahlungsverkehr mit chipkarte Download PDF

Info

Publication number
AT409425B
AT409425B AT127095A AT127095A AT409425B AT 409425 B AT409425 B AT 409425B AT 127095 A AT127095 A AT 127095A AT 127095 A AT127095 A AT 127095A AT 409425 B AT409425 B AT 409425B
Authority
AT
Austria
Prior art keywords
card
terminal
currency
transaction
transactions
Prior art date
Application number
AT127095A
Other languages
English (en)
Other versions
ATA127095A (de
Inventor
Ernst Dipl Ing Dr Piller
Original Assignee
Europay Austria Zahlungsverkeh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Europay Austria Zahlungsverkeh filed Critical Europay Austria Zahlungsverkeh
Priority to AT127095A priority Critical patent/AT409425B/de
Publication of ATA127095A publication Critical patent/ATA127095A/de
Application granted granted Critical
Publication of AT409425B publication Critical patent/AT409425B/de

Links

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description


   <Desc/Clms Page number 1> 
 



   Die vorliegende Erfindung betrifft ein System zur Durchführung des elektronischen Zahlungsverkehrs an Bankautomaten (wie   z. B. Geldausgabeautomaten), Point-of-Sale-Terminals   und Automaten jeder Art, bei dem alle sicherheitsrelevanten Daten in Chipkarten und Sicherheitsmodulen geschützt verwaltet werden, wichtige anwendungsspezifischen Daten in Terminalkarten oder Chipkarten verwaltet werden, die auch die Schlüssel dieser Anwendung verwahren und die Terminals über eine oder mehrere   Chipkartenleseeinheiten   für Terminalkarten verfügen, sodass sie dahingehend konzipiert sein   konnen,   dass eine Erweiterung des Systems um zusätzliche Anwendungen sehr einfach durch Stecken weiterer Terminalkarten erfolgen kann. 



   Der hier beschriebene elektronische Zahlungsverkehr nützt die integrierten Sicherheitsmechanismen von Mikroprozessorkarten, um sowohl für den Kunden als auch für den Systembetreiber höchste Sicherheit gewährleisten zu können. Dabei wird jedoch darauf geachtet, dass trotz aller Sicherheitsvorkehrungen der schnelle und reibungslose Ablauf des Zahlungsverkehrs nicht beeinträchtigt wird. 



   Derartige Systeme sind in vielen Publikationen (z. B. The ESPRIT Projekt CAFE - High Security   Digital Payment Systems ; D. Chaum : Untraceable Electronic Mail, Return   Adresses, and Digital   Pseudonyms ; A. Beutelspacher, T. Hueske, A. Pfau :   Kann man   mit Bits bezahlen ?)   beschrieben, patentiert   (z. B.   US 4 961 142 A, DE 4 126 809   A1,   EP 0 439 609   A1,   EP 0 616 447 A2, WO 96/26586   A1)   und   z. B.   in CEN EN 1546 in einer Norm dargestellt. In diesen Publikationen werden Online- und Offline-orientierte Systeme beschrieben, die meist nicht mit anderen Systemen kombinierbar sind.

   Ausserdem enthalten die offline-orientierten Systeme oftmals zentrale Kontrollmechanismen, die aber auf keine eigenen (rein zentralen) Schlüsseln basieren. Die Erfindung verringert bzw. eliminiert die Nachteile dieser Systeme und sie erlaubt es, die   Verfügbarkeit   zu erhöhen. 



   Die EP 0 439 609   A 1   enthält ein System mit Magnetstreifenkarten, die keine elektronischen Unterschriften erzeugen können. Dieses Patent unterscheidet sich deshalb schon wesentlich vom im Anmeldungsgegenstand beschriebenen Zahlungsverkehrssystem, das im Anspruch 1 von zwei elektronischen Unterschriften ausgeht, die durch Kundenkarten erzeugt werden. Alle weiteren Ansprüche beziehen sich auf Anspruch 1. Die EP 0 616 447 A2 und die WO 96/26586 A1 enthalten Systeme mit asymmetrischer Kryptographie. Diese Systeme benötigen zwei Schlüssel (die ein zusammengehöriges   Schlüsselpaar bilden),   wovon einer davon öffentlich und der andere geheim ist. Ein Schlüssel wird zur Verschlüsselung, der andere zur Entschlüsselung benötigt. 



   Die vorliegende Patentanmeldung benötigt in der Kundenkarte ebenso zwei Schlussel Es werden aber beide Schlüssel zur Erzeugung der elektronischen Unterschrift   (d. h.   zur Verschlüsselung) benutzt und nicht ein Schlüssel zur Verschlüsselung und einer zur Entschlüsselung. Diese beiden Schlüssel können gegenseitig nicht abgeleitet werden (stehen also in keinem gegenseitigen Bezug und bilden auch kein Schlüsselpaar) und sind von keiner PIN abhängig. Die Existenz zweier unabhängiger Schlüssel basiert beim Anmeldungsgegenstand auf der Idee, dass eine elektronische Unterschrift dezentral und eine zentral überprüft werden kann. 



   Auch die anderen oben angegebenen Patente und die Norm CEN 1546 verwenden keine zwei elektronischen Unterschriften zur Absicherung von Transaktionen. Sie unterscheiden sich deshalb schon wesentlich vom im Anmeldungsgegenstand beschriebenen Zahlungsverkehrssystem, das im Anspruch 1 von zwei elektronischen Unterschriften ausgeht, die durch Kundenkarten erzeugt werden. Alle weiteren Ansprüche beziehen sich auf Anspruch 1. 



   Im Anmeldungsgegenstand sind alle wichtigen Daten (personenbezogene Daten,   Schlüssel,   in Chipkarten und in Sicherheitsmodulen an Zentralrechnern geschützt. Der Zugriff auf diese Daten ist nur mit Kenntnis der entsprechenden Schlüssel und nach gegenseitiger Authentifikation zwischen Kundenkarte und Terminalkarte (bzw. Sicherheitsmodul am Zentralrechner) möglich. 



   Die Authentifikation zwischen den beiden Chipkarten erfolgt mittels symmetrischer oder asymmetrischer   Verschlüsselung,   wobei sowohl statische als auch dynamische Authentifikation vorgesehen sind. Authentifikation mit statischer asymmetrischer Verschlüsselung bedeutet, dass vereinbarte Datenfelder der Kundenkarte, die von der Terminalkarte frei gelesen werden können, zum Zeitpunkt der Kartenausgabe asymmetrisch verschlüsselt werden und dieser Wert (Zertifikat) in der Karte gespeichert wird. Bei der Authentifikation übergibt die Kundenkarte der Terminalkarte diese vereinbarten Werte und das Zertifikat. Die Terminalkarte entschlüsselt das Zertifikat und vergleicht das Ergebnis gegen die angelieferten Datenfelder.

   Bei der dynamischen asymmetrischen Ver- 

 <Desc/Clms Page number 2> 

 schlüsselung wird zum Zeitpunkt der Authentifikation von der Terminalkarte eine Zufallszahl bzw. eine ständig veränderte Zahl   (z. B. Zähler)   an die Kundenkarte übertragen, von dieser mittels eines asymmetrischen Algorithmus (z. B. RSA) verschlüsselt und dieser Wert an die   Terminalkarte   zurückgeschickt. Die Terminalkarte entschlüsselt den rückgemeldeten Wert und vergleicht den errechneten Wert mit der zuvor übertragenen Zahl. 



   Ebenso wird grosser Wert auf leichte Erweiterbarkeit gelegt, vor allem, dass es bei einer Erweiterung des Systems zu keinen Änderungen der Terminals und/oder des Zahlungsablaufes kommt. 



  Im Hinblick auf die Erweiterbarkeit, aber auch aus sicherheitstechnischen Gründen, erfolgt das Erkennen einer unterstützten bzw. die Ablehnung einer unbekannten Anwendung sowie die Verwaltung der Schlüssel nicht im Terminal sondern durch eine   Terminaikarte.   Diese Terminalkarte ist ebenfalls eine Chipkarte und besitzt ihre eigene Sicherheitslogik. Die Terminals verfügen über einen Chipkartenieser für die Kundenkarten und ein oder mehrere Chipkartenleser (Chipkartenkontaktiereinheiten) für Terminalkarten, die aus Platzgründen auch als Plug-In ausgeführt sein können. 



  Die Erweiterung um zusätzliche Applikationen   (z. B.   weitere Geldbörsen) erfolgt unter anderem durch das Stecken zusätzlicher Terminalkarten, die die Schlüssel und Daten dieser Applikationen beinhalten und verwalten. Ebenso kann die Umstellung von einer Kartengeneration auf die nächste durch das Stecken einer weiteren Terminalkarte erfolgen, sodass für die Dauer der Umstellung zwei Terminalkarten die selbe Anwendung, jedoch unterschiedliche Kundenkarten, servicieren (eine Terminalkarte für die auslaufende Kartengeneration und eine Terminalkarte für die neuen Kundenkarten). 



   Die Erfindung zeichnet sich vor allem durch spezielle Sicherheitsmerkmale aus. 



   Ein Sicherheitsmerkmal ist der Schutz aller Daten, die zwischen Terminal und Zentralrechner übertragen werden. Dieser Schutz tritt bereits im Terminal und in der Terminalkarte in Kraft und zeichnet sich durch die Verwendung eines   2-Schlüssel-Systemes   aus. Die Daten werden zudem mindestens doppelt gespeichert (bei der elektronischen Geldbörse alle Summensätze und die letzten n Einzeitransaktionen, bei   Offline-POS   alle Transaktionen), um bei Ausfall einer Komponente   ein "Recovery" durchführen   zu können. Die Sicherheit und Integrität der Daten wird durch die Verwendung von zwei elektronischen Unterschriften, die mit unterschiedlichen Schlüsseln der Kundenkarte erzeugt werden, gewährleistet.

   Zur Erzeugung der elektronischen Unterschriften kann jeder dafür geeignete kryptografische Algorithmus benutzt werden (sowohl symmetrische Verfahren wie   z. B.   der DES-Algorithmus als auch asymmetrische Verfahren wie z. B. RSA oder DSS). 



  Von diesen beiden elektronischen Unterschriften kann eine bereits im Terminal überprüft werden, da sie mit einem lokalen (dezentralen) Schlüssel generiert wird, der auch der Terminalkarte bekannt ist bzw. von dieser aus anderen Schlüsseln ein- oder mehrstufig ermittelt werden kann. Für die zweite Unterschrift wird ein zentraler Schlüssel verwendet, der nur am Zentralrechner bekannt ist bzw. dessen Ableitung von einem Masterkey nur am Zentralrechner nachvollzogen werden kann, da auch der zugehörige Masterkey nur dort bekannt ist. Sie kann daher erst im Rechenzentrum überprüft werden und bietet so einen zusätzlichen, erhöhten Schutz gegen Fälschungen von Transaktionen, da selbst bei Kenntnis des dezentralen Schlüssels (korruptes Terminal) keine korrekt unterschriebene Transaktion an den Zentralrechner übermittelt werden kann.

   Der Datensatz, der von der Kundenkarte (KK) an das Terminal geschickt wird, hat unter anderem folgenden Aufbau :
Transaktionsdaten (Kartennr,   Betrag,...), lokale   Unterschrift (KK), zentrale Unterschrift (KK)
Die Unterschrift mit dem lokalen Schlüssel wird vor Ort in der Terminalkarte geprüft und nicht an den Zentralrechner übermittelt. 



   Dafür wird jede Transaktion (bei Geldbörsenzahlungen der Summensatz des jeweiligen Geldbörsenpools = Verrechnungskonto) von der Terminalkarte unterschrieben, wobei ein zentraler Schlüssel verwendet wird. Wurde bei einer Geldbörsenzahlung eine Einzeltransaktion (Kontrolle) erzeugt, so wird auch diese von der Terminalkarte (TK) unterschrieben. Jede Transaktion, die am Zentralrechner eingereicht wird, ist somit durch zwei Unterschriften mit zentralen Schlüsseln gesichert. 



   Transaktionsdaten (Kartennr., Betrag,...), zentrale Unterschrift (KK), zentrale Unterschrift (TK)
Jede lokale Summe eines Geldbörsenpools wird nur von der Terminalkarte des Händlers unter Verwendung eines zentralen Schlüssels unterschrieben. 



   Transaktionsdaten (Zähler,   Währung,...), lokale Geldbörsenpoolsumme, zentrale   Unterschrift 

 <Desc/Clms Page number 3> 

 (TK)
Somit werden bei Geldbörsenzahlungen eine bzw. drei (wenn eine Einzeltransaktion erzeugt wurde) elektronische Unterschriften (zentraler Schlüssel der Terminalkarte auf Poolsumme, zentraler Schlüssel der Kundenkarte auf Einzeltransaktion, zentraler Schlüssel der Terminalkarte auf Einzeltransaktion) erzeugt. 



   Bei der   Anwendung "elektronische Geldbörse" werden   aus Kostengründen (und aus Gründen der Anonymität bei Geldbörsenzahlungen) je zugeordnetem Geldbörsenpool (Verrechnungskonto, das   z. B.   einer Bank zugeordnet ist) nur   Summenzähler   um den zu bezahlenden Betrag erhöht und von der Terminalkarte unterschrieben. Diese Summentransaktion wird immer erzeugt, da im Falle eines Terminalsystemzusammenbruches die letzte Summentransaktion notwendig ist. Zur Erhöhung der Sicherheit und der Kontrolle werden zufällig bzw. durch Systemparameter gesteuert Einzeltransaktionen erzeugt (müssen von der Kundenkarte und der Terminalkarte unterschrieben werden) und gespeichert. 



   Zusätzlich merkt sich die Karte die letzten n Transaktionen je Anwendung (elektronische Geldbörse, POS, ATM) in Logfiles, sodass auch der Karteninhaber über ein Beweismittel für bzw. gegen die Rechtmässigkeit von Transaktionen verfügt. Er wird somit einerseits nicht mehr die Rechtmässigkeit korrekt verbuchter Transaktionen bestreiten, kann andererseits aber auch beweisen, wenn eine Abbuchung zu Unrecht erfolgte. 



   Ein System kann   eventuell mehrere "Geldbörsen pools" enthalten,   in denen das elektronische Geld "geladen" wird. In diesem Fall müssen auch die Terminals die einzelnen Bezahlungen für die entsprechenden Pools trennen,   d. h.   pro Pool einen eigenen Summenzähler und eigene Summentransaktionen erzeugen. 



   Auf Seite der Kundenkarte wird die Sicherheit durch eine mindestens doppelte Speicherung des Geldbörsensaldos gesteigert, wobei der Saldo mindestens einmal in Form eines Betrages in der Karte steht. Die Kontrolle des Saldos erfolgt durch einen verschlüsselten Wert, der von der Karte intern bei jeder korrekten Transaktion (Laden oder Bezahlen) aus dem   Geldbetrag   errechnet wird und extern (Terminal, Zentralrechner) überprüft werden kann. Dadurch können sowohl Manipulationen am Betrag als auch der Abbruch einer Geldbörsentransaktion zu einem kritischen Zeitpunkt erkannt werden, da in solchen Fällen Saldo und Kontrollwert nicht übereinstimmen. 



   Das Datum für den   Kontrollwert   kann nur von der Karte selbst oder mit Kenntnis der entsprechenden Schlüssel beschrieben werden, sodass bei einer Manipulation des Saldos kein korrekter   Kontrollwert   in der Karte stehen kann. Eine Differenz zwischen Saldo und   Kontrollwert   kann nur durch einen Absturz des Terminals zwischen Abbuchung des Betrags vom Saldo und Erzeugung des Kontrollwerte verursacht werden, wenn das Terminal daraufhin nicht mehr in Betrieb geht oder die Korrekturfunktion der Terminalkarte nicht erfolgreich aufgerufen werden kann. Im Fall einer Unstimmigkeit zwischen Saldo und Kontrollwert kann aufgrund der Einträge im Logfile der 
 EMI3.1 
 gen soll. 



   Einen zusätzlichen Schutz gegen Manipulationen stellen die Einträge im Ladetransaktionslogfile dar. Sie werden bei jeder Geldbörsenladung vom Zentralrechner mit einer asymmetrischen Unterschrift   (z. B.   RSA) versehen angeliefert und von der Karte ins Logfile übernommen. Aufgrund der Unterschrift kann jedes Terminal, das den zugehörigen öffentlichen Schlüssel kennt, überprüfen, ob die letzte Geldbörsenladung von einem bestimmten Zentralrechner (Sicherheitsmodul) autorisiert wurde und somit korrekt erfolgte. allgemeine Transaktionsdaten, asymmetr. Unterschrift (Zähler, Geldbörsenaldo,   Ladewert,...)  
Zusätzlich können der Geldbörsensaldo und der Transaktionszähler (Einzeltransaktionen) aufgrund der Einträge im Ladetransaktionslogfile der Karte auf ihre Plausibilität geprüft werden.

   Diese Prüfung kann bei jeder Transaktion erfolgen, sollte jedoch zumindest bei jeder Ladetransaktion vorgenommen werden. Weiters werden die zufällig erzeugten Einzeltransaktionen (enthalten Geldbörsensaldo) bei den Einreichungen gegen die zuletzt erfolgte Ladetransaktion auf ihre Plausibilität geprüft, wobei Transaktionszähler und Geldbörsensaldo der letzten Ladung mit den aktuellen Werten der Karte verglichen werden und dabei auch alle anderen vorliegenden Einzeltransaktionen der Karte berücksichtigt werden. 



   Die Erfindung zeichnet sich auch dadurch aus, dass auf der Terminalkarte neben einer Wäh- 

 <Desc/Clms Page number 4> 

 rung noch   mehrere "Währungen" für geschlossene Geldbörsen   und im Terminal eine Währungstabelle für offene Geldbörsen anderer Länder angegeben werden können. Eine Währung ist die Hauptwährung (in der Regel die Landeswährung). Beim Bezahlvorgang wird zuerst von der Termi-   nalkarte   überprüft, ob die Währung der Kundenkarte mit der der Terminalkarte oder mit einer   "Währung" für   geschlossene Geldbörsen der Terminalkarte übereinstimmt. Wenn hier eine Übereinstimmung vorliegt, kann bezahlt werden. Ohne Übereinstimmung muss auf eine andere im Terminal eingebaute Terminalkarte oder eine Online im Zugriff stehende Terminalkarte umgeschaltet werden.

   Wenn die Währung der Kundenkarte nicht die Hauptwährung darstellt, muss die Währung der Kundenkarte in der Währungstabelle enthalten sein, ansonsten wird die Kundenkarte abgelehnt. 



   Die Währungstabelle ist in der Regel im Terminal gespeichert (und nicht in der   Terminalkarte),   da verschiedene Währungen oft verschiedene Terminalkarten erfordern. Sie enthält die aktuellen Kurse der angegebenen Währungen. Mit Hilfe der Währungstabelle kann mit der Kundenkarte stets in der eigenen Währung bezahlt werden, auch wenn sie im Ausland verwendet wird. Wenn die Währung der Kundenkarte nicht mit der Hauptwährung des Terminals übereinstimmt, sollte das Terminal den Zahlungsbetrag in beiden Währungen anzeigen. 
 EMI4.1 
 dienen nur für geschlossene Geldbörsen). 



   PATENTANSPRÜCHE : 
1. System zur Durchführung des elektronischen Zahlungsverkehrs an Bankautomaten (wie z.B. Geldausgabeautomaten), Point-of-Sale-Terminals und Automaten jeder Art, bei dem alle sicherheitsrelevanten Daten in Chipkarten und Sicherheitsmodulen geschützt verwaltet werden, wichtige anwendungsspezifischen Daten in Terminalkarten oder Chipkarten ver-   waltet   werden, die auch die Schlüssel dieser Anwendung verwahren und die Terminals über eine oder mehrere   Chipkartenieseeinheiten   für Terminalkarten verfügen, sodass sie dahingehend konzipiert sein können, dass eine Erweiterung des Systems um zusätzliche
Anwendungen sehr einfach durch Stecken weiterer Terminalkarten erfolgen kann, da- durch gekennzeichnet,

   dass der Sicherheitsmechanismus zum Schutz von Transaktio- nen durch Verwendung elektronischer Unterschriften sich dadurch auszeichnet, dass jede
Transaktion von der Kundenkarte zweimal unterschrieben wird und zwar unter Verwen- dung von zwei auf der Karte gespeicherten Schlüsseln, die nicht gegenseitig abgeleitet werden können und bei denen es sich um   einen "dezentral verwalteteten Offline-Schlüs-   sel" und um einen "zentral verwalteten   Online-Schlüssel" handelt,   wobei die Unterschrift mit dem dezentralen Schlüssel vor Ort Im Terminal überprüft wird, was eine sofortige Ab- lehnung einer Transaktion durch das Terminal ermöglicht und wobei die Unterschrift mit dem zentral verwalteten Schlüssel erst am Zentralrechner verifiziert werden kann,

   sodass selbst durch manipulierte Terminalsoftware mit Kenntnis oder Korrumpierung des dezent- ralen Schlüssels eine manipulierte Transaktion am Zentralrechner als verfälscht erkannt wird.

Claims (1)

  1. 2. System nach Anspruch 1, dadurch gekennzeichnet, dass der Sicherheitsmechanismus zum Ausschluss bestimmter Karten aus der Teilnahme am gesamten elektronischen Zah- lungsverkehr oder aus einem Teilbereich des elektronischen Zahlungsverkehrs sowohl auf der Chipkarte einzelne Anwendungen sperren kann als auch die Karte sich selbst sperren kann und für den kontobezogenen Zahlungsverkehr und für den anonymen Zahlungsver- kehr getrennte Sperrlisten geführt werden.
    3. System nach Anspruch 1, dadurch gekennzeichnet, dass der Sicherheitsmechanismus zum Schutz von Transaktionen zur Erhöhung der Sicherheit dahingehend erweitert wird, dass die Transaktionen zusätzlich von der Terminalkarte unterschrieben werden, wobei die Unterschriften, die von der Terminalkarte mit einem zentralen Schlüssel erzeugt werden, nur am Zentralrechner überprüft werden können und wobei zwischen kontobezogener und anonymer Zahlungstransaktion unterschieden wird und innerhalb der anonymen Zahlungs- <Desc/Clms Page number 5> transaktionen ein Summensatz, der nur von der Terminalkarte unterschrieben wird, und optional eine zufällig bzw.
    nach von Systemparametern vorgegebenen Kriterien erzeugte Etnzeitransaktion unterschrieben werden, während bei kontobezogenen Transaktionen immer die Einzeltransaktion unterschrieben wird.
    4. System nach Anspruch 1, dadurch gekennzeichnet, dass eine Authentifikation zwischen Kundenkarte und Terminalkarte mittels asymmetrischer Verschlüsselung erfolgt, wobei so- wohl statische als auch dynamische asymmetnsche Authentifikation möglich sind.
    5. System nach Anspruch 1, dadurch gekennzeichnet, dass der Saldo der elektronischen Geldbörse auf der Karte mindestens doppelt gespeichert ist, um unkorrekte Abbuchungen bzw. Manipulationen am Betrag erkennen zu können, wobei die Speicherung mindestens einmal als Datum mit dem Betrag im Klartext und mindestens einmal als abgeleiteter Wert erfolgt, sodass ohne Kenntnis der Berechnungsfunktion und der für das Schreiben dieses Wertes in die Karte erforderlichen Schlüssel bzw. Zugriffsrechte kein korrekter Betrag in die Karte geschrieben werden kann.
    6. System nach Anspruch 1 und 5, dadurch gekennzeichnet, dass Differenzen bei der min- destens doppelten Speicherung des Geldbörsenwertes nur mit Hilfe des Zentralrechners bereinigt werden können, wobei zur zusätzlichen Hebung der Sicherheit noch auf die Daten aus dem Logfile der Kundenkarte zurückgegriffen werden kann.
    7. System nach Anspruch 1, dadurch gekennzeichnet, dass bei jeder Ladung der elektroni- schen Geldbörse mit den Transaktionsdaten vom Zentralrechner, der jede Ladetransaktion autorisieren muss, ein Zertifikat an die Kundenkarte übertragen und dort im Logfile für Ladetransaktionen gespeichert wird, das sich durch asymmetnsche Verschlüsselung und Hashfunktion aus dem Transaktionszähler, dem Geldbörsensaldo, dem Ladebetrag und eventuell weiteren Parametern ergibt.
    8. System nach Anspruch 7, dadurch gekennzeichnet, dass jedes Terminal für die elektro- nische Geldbörse die Zertifikate der letzten Ladetransaktionen auf ihre Korrektheit über- prüfen kann, wobei ein asymmetrisches Verschlüsselungsverfahren zum Einsatz kommt, dessen geheimer Schlüssel nur dem Sicherheitsmodul des Zentralrechners, der die Lade- transaktion autorisiert, bekannt ist und dessen öffentlichen Schlüssel jedes vom System zugelassene Geldbörsenterminal kennt bzw. ableiten kann.
    9. System nach Anspruch 7, dadurch gekennzeichnet, dass bei jeder Ladetransaktion der elektronischen Geldbörse eine Plausibilitätsprufung der Zähler oder der eingereichten Ein- EMI5.1 Daten aus der letzten Ladetransaktion erfolgt, wobei auch die Zertifikate der letzten Lade- vorgänge überprüft werden.
    10. System nach Anspruch 1, dadurch gekennzeichnet, dass jede Terminalkarte neben einer offenen Geldbörse zusätzlich mehrere geschlossene Geldbörsen unterstützen kann, die jedoch auf der selben Währung wie die offene Geldbörse dieser Terminalkarte basieren müssen und sich von der offenen Geldbörse durch die Verwendung anderer Währungs- codes, die jedoch mit dem Kurs 1 : 1 zur offenen Währung umgerechnet werden, unter- scheiden.
    11. System nach Anspruch 1, dadurch gekennzeichnet, dass Karten in Fremdwährungen, die von eigenen Terminalkarten serviciert werden, durch die Verwendung einer Währungs- tabelle, die den jeweiligen Kurs der Fremdwährung zur Landeswährung, welche die Haupt- währung des Terminals ist, beinhaltet, dermassen unterstützt werden, dass der Kunde in seiner Währung bezahlen kann, und diese Bezahlung im Logfile seiner Karte auch in sei- ner Währung aufscheint, während für das Terminal und somit auch für den Händler der Zahlungsvorgang in der Landeswährung abgewickelt wird, wodurch mit einer internationa- len Geldbörse in allen Ländern, die diese unterstützen, die Bezahlung sowohl für den Kun- den als auch für den HÅandler in der jeweils eigenen Währung erfolgt.
AT127095A 1995-07-26 1995-07-26 System, chipkarte und sicherungsmechanismen für den elektronischen zahlungsverkehr mit chipkarte AT409425B (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AT127095A AT409425B (de) 1995-07-26 1995-07-26 System, chipkarte und sicherungsmechanismen für den elektronischen zahlungsverkehr mit chipkarte

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
AT127095A AT409425B (de) 1995-07-26 1995-07-26 System, chipkarte und sicherungsmechanismen für den elektronischen zahlungsverkehr mit chipkarte

Publications (2)

Publication Number Publication Date
ATA127095A ATA127095A (de) 2001-12-15
AT409425B true AT409425B (de) 2002-08-26

Family

ID=3510250

Family Applications (1)

Application Number Title Priority Date Filing Date
AT127095A AT409425B (de) 1995-07-26 1995-07-26 System, chipkarte und sicherungsmechanismen für den elektronischen zahlungsverkehr mit chipkarte

Country Status (1)

Country Link
AT (1) AT409425B (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4961142A (en) * 1988-06-29 1990-10-02 Mastercard International, Inc. Multi-issuer transaction device with individual identification verification plug-in application modules for each issuer
EP0439609A1 (de) * 1988-10-18 1991-08-07 Oki Electric Industry Company, Limited Klassifizierungssystem für persönliche ausweiszahlen
DE4126809A1 (de) * 1991-08-09 1993-02-11 Deutsche Telephonwerk Kabel Verfahren und anordnung zum durchfuehren von verrechnungen mittels zahlungskarten und formularen
EP0616447A2 (de) * 1993-03-19 1994-09-21 Deutsche Bundespost Telekom Verfahren zur gesicherten Datenübertragung über ungesicherte Verbindungen
WO1996026586A1 (en) * 1995-02-24 1996-08-29 Telia Ab Electronic transaction system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4961142A (en) * 1988-06-29 1990-10-02 Mastercard International, Inc. Multi-issuer transaction device with individual identification verification plug-in application modules for each issuer
EP0439609A1 (de) * 1988-10-18 1991-08-07 Oki Electric Industry Company, Limited Klassifizierungssystem für persönliche ausweiszahlen
DE4126809A1 (de) * 1991-08-09 1993-02-11 Deutsche Telephonwerk Kabel Verfahren und anordnung zum durchfuehren von verrechnungen mittels zahlungskarten und formularen
EP0616447A2 (de) * 1993-03-19 1994-09-21 Deutsche Bundespost Telekom Verfahren zur gesicherten Datenübertragung über ungesicherte Verbindungen
WO1996026586A1 (en) * 1995-02-24 1996-08-29 Telia Ab Electronic transaction system

Also Published As

Publication number Publication date
ATA127095A (de) 2001-12-15

Similar Documents

Publication Publication Date Title
DE3103514C2 (de) Verfahren und Vorrichtung zum Sichern von Transaktionen
DE69531711T2 (de) Sichere Geldübertragungstechniken mit Chipkarten
DE69215501T2 (de) Werttransfersystem
DE69019037T2 (de) Mehrebenen-Sicherheitsvorrichtung und -verfahren mit persönlichem Schlüssel.
EP0608197B1 (de) Verfahren als Sicherheitskonzept gegen unbefugte Verwendung eines Zahlungsmittels beim bargeldlosen Begleichen an Zahlstellen
DE69014817T2 (de) System zum Bezahlen oder Transferieren von Informationen mit einer als Geldbörse dienenden elektronischen Speicherkarte.
DE69620836T2 (de) Durch elektronische Geldüberweisungen mittels eines Bankenverbindungsnetzwerkes gesichertes Bezahlungssystem
DE3704814C3 (de) Karte mit integrierter Schaltung
DE69225197T2 (de) Elektronisches Zahlungsverkehrsystem
DE69607041T2 (de) Verfahren zum geschützten elektronischen zahlungsmittels
DE2527784C2 (de) Datenübertragungseinrichtung für Bankentransaktionen
DE69112975T2 (de) Geldüberweisungsgeraet.
DE60029455T2 (de) Elektronisches geld, zugehörige elektronische börse und diese anwendende elektronische bezahlungssysteme
DE69630738T2 (de) Verfahren und Einrichtung für ein elektronisches Geldsystem mit Ursprungserkennung
DE69900169T2 (de) Kreditkartensystem und verfahren
DE69500561T2 (de) Transaktionsverfahren mit einer chipkarte
US7143062B2 (en) Electronic cash eliminating payment risk
DE3044463C2 (de)
DE2350418C2 (de)
DD282308A5 (de) Schaltungsanordnung mit einer zumindest einen teil der anordnung enthaltenden karte fuer geschaefts-, indentifizierungs- und/oder betaetigungszwecke
DE19539801A1 (de) Überwachung von Transaktionen mit Chipkarten
DE4243851A1 (de) Verfahren zum Transferieren von Buchgeldbeträgen auf und von Chipkarten
DE69829635T2 (de) Schützen von Transaktionsdaten
DE19718547C2 (de) System zum gesicherten Lesen und Ändern von Daten auf intelligenten Datenträgern
JPS6061863A (ja) 暗号キー管理方法とシステム

Legal Events

Date Code Title Description
RER Ceased as to paragraph 5 lit. 3 law introducing patent treaties
ELJ Ceased due to non-payment of the annual fee