NO180507B - Anordning for behandling av transaksjoner med höy sikkerhet - Google Patents

Anordning for behandling av transaksjoner med höy sikkerhet Download PDF

Info

Publication number
NO180507B
NO180507B NO911754A NO911754A NO180507B NO 180507 B NO180507 B NO 180507B NO 911754 A NO911754 A NO 911754A NO 911754 A NO911754 A NO 911754A NO 180507 B NO180507 B NO 180507B
Authority
NO
Norway
Prior art keywords
data
signature
processing algorithm
unit
processing unit
Prior art date
Application number
NO911754A
Other languages
English (en)
Other versions
NO911754D0 (no
NO911754L (no
NO180507C (no
Inventor
Richard Besson
Original Assignee
Dassault Electronique
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dassault Electronique filed Critical Dassault Electronique
Publication of NO911754D0 publication Critical patent/NO911754D0/no
Publication of NO911754L publication Critical patent/NO911754L/no
Publication of NO180507B publication Critical patent/NO180507B/no
Publication of NO180507C publication Critical patent/NO180507C/no

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader
    • G07F7/088Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
    • G07F7/0886Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself the card reader being portable for interacting with a POS or ECR in realizing a payment transaction

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Storage Device Security (AREA)
  • Alarm Systems (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)
  • Non-Silver Salt Photosensitive Materials And Non-Silver Salt Photography (AREA)
  • Burglar Alarm Systems (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)
  • Cash Registers Or Receiving Machines (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

Oppfinnelsen gjelder sikring av data, og mer spesielt en databehandlingsanordning av den art som er angitt i den innledende del av det vedføyde patentkrav 1.
Oppfinnelsen kan anvendes ved transaksjoner med betalingskort ved hjelp av elektroniske betalingsapparater som er installert hos kjøpmannen, som også kalles salgssteds-terminaler eller inkasseringsterminaler.
Når det gjelder kjøpmannen, tar han for tiden ut beløpet for transaksjonen ved hjelp av en tastaturenhet på salgs-steds terminalen, mens når det gjelder kunden, kan han godkjenne transaksjonen ved sin signatur, eller også ved hjelp av sammensetningen av sin hemmelige kode på et separat lite apparat, som også kalles kundekasse.
Oftest foretas detaljerte forsiktighetsregler i forbindelse med kundekassen, for å beskytte hemmeligheten ved koden, og således oppnå en høy sikkerhetsgrad.
Søkeren foreslår nå fremstilling av en salgsstedsterminal som tilfredsstiller følgende to krav: 1) på samme tastaturenhet tillates samtidig sammensetningen av den hemmelige koden (hemmelig informasjon) og opptak av ikke hemmelige data forbundet med en trans-aksjon, slik som f.eks. dens beløp, og 2) sikring av behandlingen av de således opptatte data og/eller spesielt sammensetningen av den hemmelige koden.
En slik terminal oppnås ved hjelp av en databehandlingsanordning av den innledningsvis angitte art som er kjennetegnet ved de trekk som fremgår av den karakteriserende del av det vedføyde patentkrav 1.
I en slik anordning kan de data som opptas og/eller visualiseres av brukeren, behandles således ifølge deres natur for det første enten i klartekst eller i skiffer-kode, og for det andre behandles disse dataene når behandlingsalgoritmen er autentisk. Av dette oppnås en høy sikkerhetsgrad for behandling av data som opptas og/eller visualiseres av brukeren.
Ifølge en spesiell utførelsesform av oppfinnelsen omfatter hovedbehandlingsenheten en prosessor som er rettet mot to minner av hvilke minst det ene er permanent, og inneholder basisprogrammene for nevnte behandlingsalgoritme, hvilken dirigerer fordelingen av utskriften mellom de to minnene, og midler for riktighetskontroll som verifiserer signaturen av innholdet i de to minnene.
Det andre minnet er fortrinnsvis av den flyktige typen.
Ifølge en annen spesiell utførelsesform av oppfinnelsen verifiserer midlene for riktighetskontroll signaturen av minst en del av innholdet i de to minnene ifølge en kvasitilfeldig adgang.
Midlene for sikring av data omfatter fortrinnsvis midler for koding og/eller midler for komprimering av data.
I praksis oppnås signaturen for det hele eller partielle innhold av de to minnene ved hjelp av midlene for komprimering.
I en spesiell utførelsesform av oppfinnelsen lades basisprogrammene for behandlingen av algoritmen såvel som dens signatur som på forhånd er beregnet på et beskyttet ikke-tilgjengelig sted i det permanente minnet på et sted som likeledes er beskyttet og ikke tilgjengelig.
Ifølge et aspekt ved oppfinnelsen er anordningen utstyrt med en kommunikasjonsgrenseflate, slik som f.eks. et modem.
I en annen utførelsesform av oppfinnelsen lastes basisprogrammene for behandlingen av algoritmen såvel som dens signatur som på forhånd er beregnet, på et sted som er beskyttet og ikke tilgjengelig via kommunikasjonsgrenseflaten i det flyktige minnet på et sted som kan være ubeskyttet, og midlene for komprimering beregner signaturen for de basisprogrammene som lastes på denne måten, mens midlene for riktighetskontroll sammenligner den således beregnede signaturen med den signatur som er lastet via kommunikasjonsgrenseflaten.
Når det gjelder en kontrollert ikke autentisk behandling av en algoritme, kan denne behandling av algoritme erstattes med en ufyllende behandling av algoritme som lastes via kommunikasjonsgrenseflaten i det flyktige minnet med dets signatur som på forhånd er beregnet på et sted som er beskyttet og utilgjengelig, og midlene for komprimering beregner den signatur som er forbundet med den utfyllende algoritmen, mens midlene for kontroll av gyldighet sammenligner den således beregnede signaturen med den signatur som er lastet via kommunikasjonsgrenseflaten. Erstatningen av den kontrollerte og ikke auten-tiske behandlingen av algoritme med en utfyllende algoritme kan gjennomføres på et ubeskyttet sted.
I den utstrekning oppfinnelsen anvendes ved en transak-sjon med betalingskort, omfatter de data som skal behandles, data av typen hemmelig kode.
Ifølge et aspekt ved oppfinnelsen omfatter brukerenheten et tastatur som er beregnet for matrisiell analyse via linje og kolonne, mens hjelpebehandlingsenheten er istand til å påtrykke spørreimpulser på hver av linjene i tastaturet, samtidig som kolonnene i tastaturet granskes, idet en nedtrykket tast forårsaker en spesiell linje-kolonnekontakt, idet hjelpebehandlingsenheten er utstyrt med forbindelser i to retninger mot minst noen av kolonnene og linjene i tastaturet og omfatter midler for å simulere falske påvirkninger av tastene, og hvor minst noen av spørreimpulsene påtrykkes samtidig på minst en linje og minst en kolonne, hvilket hindrer muligheten for oppsnapping av den hemmelige koden ved spionasje på tastaturets linje- og kolonnetilstand.
Ifølge et annet aspekt ved oppfinnelsen er midlene for sikring av data tilpasset til å godkjenne de data som mottas fra en fjerntliggende enhet via modemet, eller å garantere data for transaksjonen som er sendt fra nevnte fjerntliggende enhet via nevnte modem.
Ifølge en annen viktig egenskap ved oppfinnelsen befinner anordningen seg i et hus som kan gripes med hånden.
Anordningen ifølge oppfinnelsen finner fordelaktig anvendelse ved godkjennelse av en telematisk installasjon omfattende en anordning ifølge oppfinnelsen forbundet med en fjern enhet (godkjennelse av ekstremer).
Andre egenskaper og fordeler ved oppfinnelsen vil fremgå ved å lese den etterfølgende, detaljerte beskrivelse, og de vedføyde tegninger i hvilke: figur 1 viser i frontsnitt en anordning for behandling av data som kan gripes ved hånden ifølge oppfinnelsen,
figur 2 viser anordningen i figur 1 fra siden, og
figur 3 er det elektriske skjema for kretser i det indre av behandlingsanordningen ifølge oppfinnelsen.
De medfølgende tegningene omfatter flere elementer av bestemt karakter. Som følge av dette er det inntatt i beskrivelsen ikke bare for bedre å forstå denne, men også i påkommende tilfeller å medvirke til definisjonen av oppfinnelsen.
I den detaljerte beskrivelse som følger betraktes for-øvrig bare tilfelle med en terminal for banktransaksjon-er, idet det observeres at anvendelsen av oppfinnelsen kan være mer generell.
På figur 1 betegner henvisningen TPC en transaksjons-terminal som kan gripes med hånden, og som kan være en terminal for elektronisk betaling (serie E 232 som selges av søkeren).
Denne terminalen har en generelt parallellepipedisk form som har et håndtak MH som kan gripes av brukeren med hånden, og en utvidet del RN som skal inneholde en utskriftsmodul IMP. Denne terminalen består av en øvre del PS og en nedre del PI som er innpasset i hverandre for å danne et hus.
En tastaturenhet CL befinner seg i den øvre delen PS av håndtaket MH. Tastene i tastaturet strekker seg over yttersiden av den øvre delen PS. Tastaturenheten har f.eks. tyve taster av hvilke atten er arrangert som en tavle med seks linjer og tre kolonner, og hvor to taster er fri. Det kan således defineres seks funksjonstaster F1, F2, F3, FN, ON/OFF, og en horisontal pil, ti nummer-taster fra 0 til 9, en nullstillingstast CORR og en kom-matast 00. De to frie tastene bestemmer f.eks. annul-lerings- og godkjennelsesfunksjonene.
En visualiseringsmodul VS er likeledes anbragt i den øvre delen PS av håndtaket MH. Visualiseringsmodulen omfatter en avlesningsanordning med flytende krystaller LCD og en lysende angivelsesanordning med dioder LED. Visualiseringsmodulen strekker seg mellom tastaturet CL og den utvidede delen RN. Fordelaktig har yttersiden av visualiseringsmodulen en lett helning for å tillate en bedre visualisering av modulens angivelser.
Avlesningsanordningen LCD omfatter f.eks. to rader på seksten element-bilder. På sin side omfatter den lysende angivelsesanordningen seks dioder som er kjennetegnet med LED-1 til LED-6. Disse diodene muliggjør angivelse av driftstilstanden for de forskjellige elementene i terminalen.
Som vist på figur 2 krysses terminalen i sin bredde av et spor F som er anordnet mellom visualiseringsmodulen VS og den utvidede delen RN. En kortavleser LISO omgir sporet F for å muliggjøre avlesning av et betalingskort av den klassiske typen når dette innføres i sporet og forflyttes langs dette i en eller annen retning.
En utskriftsmodul IMP befinner seg i den utvidede delen RN. Det dreier seg f.eks. om en stiftskriver. Papir-båndet avrives f.eks. ved hjelp av en skarp kant BT som trenger frem i forhold til den øvre delen PS av den utvidede delen RN.
En matningstilknytining LA er anbragt for å muliggjøre en ytre mating av terminalen.
Det er likeledes anordnet en tilknytning (ikke vist) for å muliggjøre en forbindelse av telematisk type mellom terminalen og fjerne behandlingsenheter.
Terminalens dimensjoner er f.eks. de følgende. Terminalens totale lengde er av størrelsesorden 270 mm. Lengden, bredden og tykkelsen av håndtaket MH er henholdsvis av størrelsesorden 110 mm, 90 mm og 50 mm. Lengden, bredden og tykkelsen av den utvidede delen RN er henholdsvis av
størrelsesorden 120 mm, 110 mm og 70 mm.
På det elektriske skjema i figur 3 gjenfinnes ved TPC terminalens ytre grenser.
Ifølge oppfinnelsen er terminalen TPC oppdelt i en sikret brukerenhet UUS og en hovedbehandlingsenhet UTP.
Som nevnt tidligere med henvisning til figurene 1 og 2 omfatter brukerenheten et tastatur CL med tyve taster, en lysende angivelsesanordning LED og en avleseranordning
LCD.
Ifølge en generell definisjon av oppfinnelsen er det anordnet en hjelpebehandlingsenhet UTA, med høy sikkerhet, som er tilknyttet for å sikre alle utvekslinger av data mellom brukerenheten UUS og hovedbehandlingsenheten
UTP.
Hjelpebehandlingsenheten består f.eks. av en integrert hybrid eller monolittisk krets som er beskyttet av har-piks .
Beskrivelsen av de elementer som utgjør terminalen ifølge oppfinnelsen omfatter tekniske informasjoner som er til-strekkelige til at fagmannen kan bruke den, særlig når det gjelder de elementer som utgjør hjelpebehandlingsenheten, selv om disse sistnevnte er beskrevet mer summar-isk, tatt i betraktning deres sikkerhetsanvendelse.
Hjelpebehandlingsenheten UTA omfatter en mikroprosessor PA og indre minner DA og TA som minst delvis er ikke-flyktige, og som er sammenbundet med en intern databuss med mikroprosessoren PA. De interne minnene DA og TA er f.eks. av typen RAM CMOS beskyttet av et batteri BATA nedsenket i harpiksen i fravær av mating av terminalen. En beskyttelseskrets MC, utstyrt med krypteringsmidler MCH og komprimeringsmidler MCO, er plassert i den hybride integrerte kretsen. Det er spesielt den som meddeler egenskapen med høy sikkerhet til hjelpebehandlingsenheten. Den omfatter hemmelige nøkler som kan kryptere dataene ifølge en internasjonal norm for kryptering av data, slik som den som kalles DES (Data Encryption Standard).
Den ytre databussen B1 muliggjør overføring av data mellom de elementer som utgjør CL og LCD i brukerenheten, og de i hjelpebehandlingsenheten UTA.
En styrelinje SLED som er montert mellom hjelpebehandlingsenheten og den lysende angivelsesanordningen LED muliggjør styring av diodene i nevnte lysende angivelsesanordning.
Det foreligger likeledes en ytre databuss B2 som mulig-gjør overføring av data mellom hjelpebehandlingsenheten og hovedbehandlingsenheten. Beskyttelseskretsen MC er plassert mellom den indre databussen i hjelpebehandlingsenheten og den ytre bussen B2. Hjelpebehandlingsenheten er således i stand til å overføre via nevnte beskyttelseskrets MC, de data som er digitalisert og lagret i de indre minnene DA og TA.
På sin side omfatter hovedbehandlingsenheten en mikroprosessor PP. Adressebussen B3 og gjennom en logisk komman-do LC for å komme til B4 mot et flyktig minne MV oppdelt i to flyktige minner MV1 og MV2, såvel som for å komme til B5 mot et permanent minne MM.
De to minnene MM og MV konserverer sitt innhold: det permanente minne MM på permanent måte, og det flyktige minne MV takket være beskyttelse av et batteri BATV. Ifølge oppfinnelsen inneholder det permanente minne MM basisprogrammene for algoritmebehandlingen og driften av adressefordelingen til de to minnene. Det flyktige minne MV inneholder programmer og data som kan fjernlades, slik det vil fremgå mer detaljert nedenfor.
De flyktige minnene MV1 og MV2 er f.eks. av typen RAM CMOS, idet kapasiteten for henholdsvis MV1 og MV2 har en verdi som f.eks. ligger mellom 32 kilobyte og 128 kilobyte. Det permanente minnet MM er f.eks. av typen EPROM. Dets kapasitet har en verdi som f.eks. ligger mellom 64 og 128 kilobyte.
Det kan bemerkes at et batteri BATT som er tilkoblet
forbindelsen LA beskytter driften av hele terminalen. En tilførsel BATV sikrer fordelaktig bibeholdelsen av informasjoner som inneholdes i RAM CMOS, i fravær av mating av terminalen. De informasjoner som inneholdes i RAM CMOS,
tapes umiddelbart i tilfelle av mekaniske angrep rettet mot matingen ved BATV.
Batteriet BATV sikrer likeledes driften av et time- og datostempel styrt av den logiske styring LC via et styresignal SHO.
En klokke BZ av summe typen kan likeledes styres av prosessoren PP ved hjelp av et styresignal SBZ avgitt fra prosessoren PP.
Det er behandlingsalgoritmen AT fra hovedbehandlingsenheten UTP som bestemmer driftstilstanden til den ytre databussen B2, det vil si den buss som overfører dataene enten ifølge en normal tilstand, eller ifølge en sikker-hetstilstand i hvilken dataene som f.eks. den hemmelige koden krypteres.
Søkeren har imidlertid observert at ondsinnede personer ulovlig kan modifisere behandlingsalgoritmen for å la en hemmelig kode gå i klart språk fra tastaturet til hovedbehandlingsenheten og forsøke å sperre nevnte hemmelige kode i det øyeblikk den behandles av hovedbehandlingsenheten.
Søkeren har derfor utstyrt hjelpebehandlingsenheten med midler som er egnet til å kontrollere ektheten av behandlingsalgoritmen AT, og som virker uavhengig. Følgelig er det til disse kontrollmidlene anordnet midler MI som er egnet til totalt å inhibere dataoverføringsmidlene B2 dersom ektheten ikke er bekreftet av denne kontrollen.
Ifølge en spesiell utførelsesform av oppfinnelsen er behandlingsalgoritmen personalisert, det vil si at en signatur er forbundet med behandlingsalgoritmen.
I praksis er det totale innholdet av minnene MV1 , MV2 og MM som særlig inneholder programmer som definerer behandlingsalgoritmen som er signert. Denne signatur utføres ved hjelp av komprimeringsmidlene MCO som inneholdes i hjelpebehandlingsenheten. Herav følger at kontrollen av ektheten av behandlingsalgoritmen består i å sammenligne signaturen av totalinnholdet av minnene MV1, MV2 og MM med den signatur som har beregnet på denne måten fra dette innholdet.
Signaturen av behandlingsalgoritmen er f.eks. beregnet ved hjelp av komprimeringsmetoden enten av den kjede-formede typen "Data Encryption Standard" (DES) eller ifølge en internasjonal digitaliseringsform kalt "Message Authentification Algorithm" (MAA) som har referansen ISO 8731 .
Innenfor området av en installasjon av en terminal ifølge oppfinnelsen hos kjøpmannen gjennomføres personaliser-ingen av behandlingsalgoritmen på følgende måte.
På et beskyttet og ikke tilgjengelig sted, som f.eks. et sikret arbeidssted, innføres hemmelige nøkler i beskyttelseskretsen MC. Terminalen er i en inhibert konfigura-sjon, det vil si at den ikke kan sikre sikkerhetsfunk-sjonen som f.eks. opptak av hemmelig kode.
Ved hjelp av en hvilken som helst lasteoperasjon: fjern-lasting, programmering av en PROM eller serieforbindelse, en behandlingsalgoritme såvel som den på forhånd beregnede signatur på nevnte beskyttede sted lastes i de flyktige minnene MV1 og MV2. Signaturen dekker kombinasjonen av minnene MV1 og MV2 for å unngå ulovlig anvendelse av ledig minneplass.
Mikroprosessoren PA utfører deretter ved hjelp av komprimeringsmidlene MCO beregningen av signaturen av den algoritme som således er lastet i hovedbehandlingsenheten, ifølge en kjedeformet nedtrykningsmetode DES eller MAA. Kontrollmidlene MA sammenligner tilslutt den således beregnede signaturen med den signatur som allerede er lastet.
Dersom signaturene er like, er terminalen operasjonsklar, det vil si den er ikke lenger inhibert og aksepterer oppdeling mellom kundebrukeren og kjøpmannsbrukeren. Det skal bemerkes at før denne likhet oppnås, forblir terminalen tilegnet ikke-sikrede funksjoner.
Så snart den er installert hos kjøpmannen og tilegnet kundebrukeren, tillater terminalen opptak av hemmelig kode og dens digitalisering DES ifølge et bankformat av typen VISA, ISO eller et spesielt bankkort.
Lesningen av kundebrukerens bankkort utføres ved hjelp av betalingskortets skriftleser LISO eller minnekortets skriftleser LCAM. Disse skriftleserne er forbundet ved hjelp av styringslinjer i to retninger LB med hovedmik-roprosessoren PP. Generelt er terminalen forbundet med fjerne betalingsenheter ved hjelp av en telematisk forbindelse TEL. I dette tilfelle er det anbragt et modem MOD mellom den telematiske forbindelsen og prosessoren PP for å muliggjøre overføring av den hemmelige digitaliserte koden til disse fjerne enhetene.
Det er dessuten anordnet et styresignal som overføres via styrelinjen SIMP som forbinder hovedprosessoren med ned-trykningsmodulen IMP for å tillate trykning på papir av dataene for transaksjonen.
Etter denne desinhiberingsfase av terminalen som er nevnt ovenfor, som har gjort det mulig å verifisere ektheten av den behandlingsalgoritme som er lastet i terminalen, blir denne operasjonsklar, det vil si at den tillater samtidig opptak av data for transaksjoner som sammensetningen av
den hemmelige koden.
Etter dens installasjon hos kjøpmannen er terminalen igjen sårbar for ulovlige logiske modifikasjoner som ondsinnede personer kan gjennomføre med henblikk på å sperre den hemmelige koden.
Ifølge oppfinnelsen har søkeren utviklet en fremgangsmåte for verifisering av ektheten, i en virkelig tid, av behandlingsalgoritmen etter installasjonen av terminal på et ikke beskyttet sted som medfører en løsning på dette problemet.
Under den desinhiberingsfasen av terminalen som er nevnt ovenfor, gjennomfører mikroprosessoren PA i hjelpebehandlingsenheten en oppdeling av bytene i behandlingsalgoritmen som inneholdes i minnene MV1, MV2 og MM (f.eks. ved oppdeling av 128 byter hver) og beregner en godkjenner som er forbundet med hver av disse oppdelingene ifølge en kjedeformet komprimeringsmetode DES. De således beregnede godkjennerne lagres tilslutt i de indre minnene i
hj elpebehandlingsenheten.
Hjelpebehandlingsenheten utfører likeledes beregning av den generelle signatur for hele behandlingsalgoritmen og lagringen av denne signatur i det indre minnet DA, TA. Kontrollmidlene MA verifiserer tilslutt den generelle signatur som var beregnet på denne måten og den som har ladet på forhånd. Dersom kontrollmidlene fastslår at signaturen er autentisk, er terminalen operasjonsklar.
Fra dette øyeblikk kan så hjelpebehandlingsenheten ut-spørre hovedbehandlingsenheten, for at denne skal forsyne den med byter fra en oppdeling av data fra det beskyttede minnet uttatt kvasitilfeldig.
I dette tilfelle beregner hjelpebehandlingsenheten den signatur som er forbundet med byte fra denne fordeling og sammenligner den således beregnede signatur med den som er lagret under desinhiberingsfasen av terminalen. I tilfelle av likhet mellom signaturene forblir terminalen operasjonsklar, fordi denne likheten viser at behandlingsalgoritmen ikke er modifisert ulovlig under dens installasjon hos kjøpmannen.
I tilfelle av ikke-autentisitet inntar hjelpebehandlingsenheten en av de to følgende stillinger: 1) utsettelse av de nøkkelord som inneholdes i beskyttelseskretsen og blokkering av tastaturet, eller også 2) awentning av en korrekt reinitialisering av behandlingsalgoritmen ved hjelp av fjernladning.
Det fremgår herav at den første stillingen er meget be-sværlig fordi den nødvendiggjør tilbakeføring til fabrik-ken for. innføring av nye nøkkelord, mens den andre stillingen er lettere forsåvidt som den består i på stedet å gjennomføre reinitialiseringsoperasjoner ved hjelp av en fj ernoverføring.
Mere nøyaktig foretas reinitialiseringen av algoritmen, det vil si erstatning ved en suppleringsalgoritme på følgende måte.
Når behandlingsalgoritmen er kontrollert ikke-autentisk, erstattes behandlingsalgoritmen med en supleringsbehand-lingsalgoritme som fjernlastes via modemet MD i det flyktig minne MV1, MV2 med sin signatur som på forhånd er beregnet på et ubeskyttet tilgjengelig sted.
Komprimeringsmidlene MCO beregner deretter den signatur som er forbundet med suppleringsbehandlingsalgoritmen.
Endelig sammenligner midlene for kontroll av autentisi-tert MA den således beregnede signaturen med den signatur som er lastet via modemet.
Søkeren har også observert at ondsinnede personer kan forsøke å oppsnappe en hemmelig kode i det øyeblikk den går fra brukerenheten til hjelpebehandlingsenheten.
Dette problemet løses ved hjelp av en hjelpebehandlingsenhet som gjør det mulig å hemme muligheten for oppsnapping av den hemmelige koden ved spionasje på stillingen til linjene og kolonnene i tastaturet.
I FR patentsøknad nr. 86 07901 deponert 2. juni 1986, har søkeren allerede beskyttet en enhet med sikkerhetstasta-tur som gjør det mulig å forbedre sikkerheten for en tastaturenhet spesielt for sammensetning av en hemmelig kode.
Som beskrevet i den ovenfor nevnte søknad, er hjelpebehandlingsenheten ifølge oppfinnelsen i stand til å påtrykke spørreimpulser på hver av linjene i tastaturet, samtidig som kolonnene i tastaturet undersøkes, idet en detrykket tast danner en spesiell linje-kolonnekontakt.
Hjelpebehandlingsenheten er dessuten utstyrt med forbindelser i to retninger mot kolonnene og linjene i tastaturet om-fatter midler for å simulere falske betjeninger av tastene. Spørreimpulsene påtrykkes samtidig på minst en linje og minst en kolonne, hvilket hemmer muligheten for oppsnapping av den hemmelige koden ved spionasje på tilstanden til linjene og kolonnene i tastaturet.
Fagmannen kan hente andre tekniske elementer som har relasjon til tastaturets sikkerhet i den ovenfor nevnte søknad i den grad dette utgjør en integrerende del av beskrivelsen.
Ifølge oppfinnelsen kan hjelpebehandlingsenheten også sikre sikkerhetsfunksjonene for terminalen.
F.eks. kan data som er avgitt fra en fjern enhet som f.eks. data forbundet med en banktransaksjon godkjennes, eller riktigheten kan verifiseres for data som er mottatt fra en fjern enhet slik som data fra en opposisjonsliste for bankkort sendt til terminalen av den fjerne enheten.
Ved å anvende samme skjema for kontroll av ekthet, slik som det som anvendes for data for behandlingsalgoritmen, blir det beregnet en signatur for alle data i forbindelse med en banktransaksjon.
Terminalen sender deretter signaturen til den fjerne enheten som kan dirigere banktransaksjonen via modemet.
Den fjerne enheten mottar data som er forbundet med banktransaksjonen, og den dermed forbundne signaturen. Den beregner deretter en signatur som har forbindelse med de således mottatte data for banktransaksjonen og verifiserer ektheten for den således beregnede signaturen med den således mottatte signaturen.
Samme type beskyttelse kan anvendes i motsatt retning for godkjennelse av data som er mottatt fra en fjern enhet.
Terminalen kan også fortrinnsvis godkjennes ifølge en metode som kalles "godkjennelse av ekstremer".
For godkjennelse av terminalen sendes et tilfeldig nøk-kelord fra den fjerne enheten til terminalen via den telematiske forbindelse. På terminalnivået digitaliseres nøkkelordet ved hjelp av digitaliseringsmidler. Deretter overføres det digitaliserte nøkkelordet til den fjerne enheten som fortsetter med sammenligning av det mottatte, digitaliserte nøkkelordet og det nøkkelord som er digitalisert av nevnte fjerne enhet, og verifiserer således terminalens autentisitet.
Godkjennelse av den andre enden, det vil si den fjerne enheten, gjennomføres ved å utnytte den metode som er nevnt foran.
De beskyttelser av typen programvare som er beskrevet foran ifølge oppfinnelsen, kan kompletteres med fysiske beskyttelser som har til hensikt å forbedre terminalens sikkerhet.
F.eks. er terminalen utstyrt med de fysiske beskyttel-sesegenskaper som er beskrevet i FR patentsøknad nr. 86.03945 som er innlevert av søkeren 19. mars 1986.
Denne parentsøknad utgjør en integrerende del av foreliggende beskrivelse.
På samme måte forbedres sikkerheten for terminalen vis-å-vis fjerne behandlingsenheter ved hjelp av den installasjon som er beskrevet i FR patentsøknad nr. 86.17485 som ble innlevert av søkeren 15. desember 1986.
Denne patentsøknad utgjør likeledes en integrerende del av foreliggende beskrivelse.
Oppsnapping av hemmelige data unngås takket være oppfinnelsen fra oppfattelsen av nevnte data til mottageren, oftest fjernt, særlig å anordne en hjelpebehandlingsenhet som for det første kontrollerer autentisiteten for behandlingsalgoritmen i terminalen og for det andre en forstyrrelse av logisk type av matrisen for opptak av den hemmelige koden mellom terminalens tastatur og hjelpebehandlingsenheten .
Oppfinnelsen medfører således en effektiv løsning på sikringen av nevnte hemmelige data som f.eks. en hemmelig kode.

Claims (15)

1 . Databehandlingsanordning omfattende i en og samme boks: en brukerenhet (UUS) for opptak (CL) og/eller visualisering (VS) av data, og en hovedbehandlingsenhet (UTP) for data ifølge en forhåndsbestent behandlingsalgoritme (AT),karakterisert ved at den dessuten i samme boks omfatter: en hjelpebehandlingsenhet (UTA) som er forbundet med og sikrer alle utvekslinger av data mellom brukerenheten (UUS) og hovedbehandlingsenheten (UTP) med høy sikkerhet til en fjerntliggende enhet, og omfattende: midler for sikring (MC) av data, midler for overføring av data (B2) som har en normal tilstand, og en sikret tilstand i hvilken minst de data som overføres i én retning er sikret, idet behandlingsalgoritmen (AT) for hovedenheten (UTP) bestemmer drifts-tUstanden for disse overføringsmidler av data (B2), midler (MA) som er egnet til å kontrollere autentisiteten for nevnte behandlingsalgoritme (AT), og som virker på selvstendig måte, og midler (MI) som er egnet til totalt å inhibere over-føringsmidlene av data (B2) dersom autentisiteten ikke er bekreftet av nevnte kontroll.
2. Anordning ifølge krav 1, karakterisert ved at hovedenheten (UTP) omfatter en prosessor (PP) som er rettet mot to minner (MV1 , MV2 og MM), hvorav minst det ene (MM) er permanent, og inneholder basisprogrammene for nevnte algoritme (AT), hvilken dirigerer fordelingen av adressen mellom de to minnene, (MV1, MV2 og MM), og ved at midlene for kontroll av en autentisitet (MA) verifiserer signaturen for innholdet i de to minnene (MV1, MV2 og MM).
3. Anordning ifølge krav 2, karakterisert ved at det andre minnet (MV1 og MV2) er av den flyktige typen.
4. Anordning ifølge et av de foregående krav, karakterisert ved at midlene for kontroll av autentisitet (MA) verifiserer signaturen for minst en del av innholdet i de to minnene ifølge en kvasitilfeldig adgang.
5. Anordning ifølge et hvilket som helst av de foregående krav, karakterisert ved at midlene for sikring av data (MC) omfatter midler for kryptering (MCH) og/eller midler for komprimering (MCO) av data.
6. Anordning ifølge et hvilket som helst av de foregående krav, karakterisert ved at signaturen for det totale eller partielle innholdet i de to minnene gjen-nomføres ved hjelp av komprimeringsmidler (MCO).
7. Anordning ifølge et hvilket som helst av de foregående krav, karakterisert ved at den er utstyrt med en kommunikasjonskontaktflate som f.eks. et modem (MD).
8. Anordning ifølge et av kravene 1 til 7, karakterisert ved at basisprogrammene for behandlingsalgoritmen (AT) såvel som den signatur som på forhånd er beregnet på et beskyttet og ikke-tilgjengelig sted lastes i det permanente minnet på et sted som likeledes er beskyttet og utilgjengelig.
9. Anordning ifølge krav 7, karakterisert ved at basisprogrammene for behandlingsalgoritmen (AT) såvel som dens signatur som på forhånd er beregnet på et beskyttet og ikke-tilgjengelig sted, lastes via kommunikasjonskontaktflaten (MD) i det flyktige minnet (MV1 og MV2) på et sted som kan være ubeskyttet, og at komprimeringsmidlene (MCO) beregner signaturen for de således lastede basisprogrammene, og at midlene for kontroll av autentisitet (MA) sammenligner den således beregnede signaturen med den signatur som er lastet via kommunikasjonskontaktflaten (MD) .
10. Anordning ifølge krav 7, karakterisert ved at når behandlingsalgoritmen er kontrollert til å være ikke-autentisk, erstattes behandlingsalgoritmen med en supplementeringsbe-handlingsalgoritme som er lastet via kommunikasjonskon-takt f laten (MD) i det flyktige minnet (MV1 og MV2) med dens signatur som på forhånd er beregnet på et beskyttet og ikke-tilgjengelig sted, og at komprimeringsmidlene (MCO) beregner den signatur som er forbundet med supple-ment er ingsbehandlingsalgoritmen, og at midlene for kontroll av autentisitet (MA) sammenligner den således beregnede signaturen via kommunikasjonskontaktflaten.
11. Anordning ifølge et hvilket som helst av de foregående krav, karakterisert ved at de data som skal behandles, omfatter data av typen hemmelig kode.
12. Anordning ifølge et hvilket som helst av de foregående krav, karakterisert ved at brukerenheten om-fatter: et tastaur (CL) som er beregnet for matrisiell analyse via linje og kolonne, mens hjelpebehandlingsenheten er istand til å påtrykke spørreimpulser på hver av linjene i tastaturet, samtidig som kolonnene i tastaturet granskes, idet en nedtrykket tast forårsaker en spesiell linje-kolonnekontakt, idet hjelpebehandlingsenheten (UTA) er utstyrt med forbindelser i to retninger mot minst noen av kolonnene og linjene i tastaturet (CL) og omfatter midler for å simulere falske påvirkninger av tastene, og hvor minst noen av spørreimpulsene påtrykkes samtidig på minst en linje og minst en kolonne, hvilket hindrer muligheten for oppsnapping av den hemmelige koden ved spionasje på tastaturets linje- og kolonnetilstand.
13. Anordning ifølge et hvilket som helst av de foregående krav, karakterisert ved at midlene for sikring av data (MC) er beregnet til å godkjenne data som mottas fra en fjern enhet ved hjelp av modemet (MD), eller å garantere de overføringsdata som avgis fra nevnte fjerne enhet ved hjelp av nevnte modem (MD), eller å godkjenne terminalen.
14. Anordning ifølge et hvilket som helst av de foregående krav, karakterisert ved at den er anbragt i et hus som kan holdes i hånden.
15. Anvendelse av anordningen ifølge et hvilket som helst av de foregående krav for godkjennelse av en installasjon omfattende nevnte anordning forbundet med minst en fjernenhet.
NO911754A 1990-05-10 1991-05-03 Anordning for behandling av transaksjoner med höy sikkerhet NO180507C (no)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR909005830A FR2661998B1 (fr) 1990-05-10 1990-05-10 Dispositif de traitement de donnees de haute securite a deux etats de fonctionnement.

Publications (4)

Publication Number Publication Date
NO911754D0 NO911754D0 (no) 1991-05-03
NO911754L NO911754L (no) 1991-11-11
NO180507B true NO180507B (no) 1997-01-20
NO180507C NO180507C (no) 1997-04-30

Family

ID=9396469

Family Applications (1)

Application Number Title Priority Date Filing Date
NO911754A NO180507C (no) 1990-05-10 1991-05-03 Anordning for behandling av transaksjoner med höy sikkerhet

Country Status (6)

Country Link
EP (1) EP0456548B1 (no)
AT (1) ATE124157T1 (no)
DE (1) DE69110544T2 (no)
FI (1) FI100621B (no)
FR (1) FR2661998B1 (no)
NO (1) NO180507C (no)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4129067C2 (de) * 1991-09-02 1995-04-13 Grundig Emv Elektronisches Gerät zur Durchführung einer Vielzahl von Funktionen
US5610981A (en) * 1992-06-04 1997-03-11 Integrated Technologies Of America, Inc. Preboot protection for a data security system with anti-intrusion capability
GB9503662D0 (en) * 1995-02-23 1995-04-12 Coveley Michael Free-roaming remote hand-held point-of-sale terminal
EP0807907A1 (en) * 1996-05-13 1997-11-19 Thomas De La Rue Limited System for securely accessing data from smart cards
WO1998014917A2 (en) * 1996-10-01 1998-04-09 Omega Digital Data Inc. Financial transaction terminal and components therefor
AU4447497A (en) * 1996-10-01 1998-04-24 Omega Digital Data Inc. A method of assembling and programming a secure personal identification numb er entry device
EP0874334A1 (en) * 1997-04-21 1998-10-28 Koninklijke KPN N.V. Secure application module for multiservice applications and a terminal provided with such a secure application module
AUPS265302A0 (en) * 2002-05-30 2002-06-20 Mcom Solutions Inc Display device and funds transaction device including the display device
JP4636809B2 (ja) 2004-03-31 2011-02-23 富士通フロンテック株式会社 情報処理端末およびその情報安全保護方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4277837A (en) * 1977-12-30 1981-07-07 International Business Machines Corporation Personal portable terminal for financial transactions
US4341951A (en) * 1980-07-02 1982-07-27 Benton William M Electronic funds transfer and voucher issue system
US4623965A (en) * 1984-02-27 1986-11-18 Wing Donald K Electronic checkbook
US4719338A (en) * 1985-08-12 1988-01-12 Ncr Corporation Pocket calculator with credit card controller and dispenser
FR2592502B1 (fr) * 1985-12-26 1990-03-30 Lefevre Jean Pierre Certificateur a memorisation sequentielle
GB2189741B (en) * 1986-03-15 1990-06-20 Reginald Charles David Vint Pocket size bank/credit card
US4870604A (en) * 1986-05-15 1989-09-26 Tokyo Tatsuno Co., Ltd. Portable data processing device
JP2623332B2 (ja) * 1988-02-03 1997-06-25 日立マクセル株式会社 Icカード及びその動作プログラム書込み方法
JPH01219982A (ja) * 1988-02-29 1989-09-01 Hitachi Maxell Ltd Icカード

Also Published As

Publication number Publication date
FR2661998A1 (fr) 1991-11-15
NO911754D0 (no) 1991-05-03
FI100621B (fi) 1998-01-15
DE69110544D1 (de) 1995-07-27
FR2661998B1 (fr) 1994-11-18
DE69110544T2 (de) 1996-03-07
NO911754L (no) 1991-11-11
EP0456548B1 (fr) 1995-06-21
FI912215A7 (fi) 1991-11-11
NO180507C (no) 1997-04-30
ATE124157T1 (de) 1995-07-15
EP0456548A1 (fr) 1991-11-13
FI912215A0 (fi) 1991-05-08

Similar Documents

Publication Publication Date Title
US5280527A (en) Biometric token for authorizing access to a host system
US7107454B2 (en) Signature system presenting user signature information
US5036461A (en) Two-way authentication system between user's smart card and issuer-specific plug-in application modules in multi-issued transaction device
US4961142A (en) Multi-issuer transaction device with individual identification verification plug-in application modules for each issuer
US6816058B2 (en) Bio-metric smart card, bio-metric smart card reader and method of use
EP0219880B1 (en) Data processing terminal device
US5163098A (en) System for preventing fraudulent use of credit card
US6957338B1 (en) Individual authentication system performing authentication in multiple steps
NO170371B (no) Apparat som kommuniserer med datasystemer, og fremgangsmaate til kommunikasjon med datasystemer
EP1693774B1 (en) Device for authentication of an individual
EP1142180A1 (en) Method and system for entry of encrypted and non-encrypted information on a touch screen
JPH0670818B2 (ja) 照合カード及びその認証方法
US6684334B1 (en) Secure establishment of cryptographic keys using persistent key component
GB2261538A (en) Transaction authentication system
NO180507B (no) Anordning for behandling av transaksjoner med höy sikkerhet
US20140195441A1 (en) Security aspects of a self-authenticating credit card
WO2000057262A1 (en) System for securing entry of encrypted and non-encrypted information on a touch screen
EP0272230B1 (en) An operator console for data communication purposes
NO319774B1 (no) Fremgangsmate og anordning for sikker avgivelse av pengesedler
JPH0750665A (ja) 本人確認装置及びその方法
NO172315B (no) Fremgangsmaate for aa forhindre uautorisert adgang til informasjoner
Rila et al. Security analysis of smartcard to card reader communications for biometric cardholder authentication
RU2507588C2 (ru) Способ повышения безопасности автоматизированной платежной системы
SE511507C2 (sv) Säkerhetsmodul för transaktionsstation samt transaktionsstation
KR20040079204A (ko) 전자통장의 보안시스템 및 그 방법

Legal Events

Date Code Title Description
MK1K Patent expired