SE511507C2 - Security module for transaction station and transaction station - Google Patents
Security module for transaction station and transaction stationInfo
- Publication number
- SE511507C2 SE511507C2 SE9702216A SE9702216A SE511507C2 SE 511507 C2 SE511507 C2 SE 511507C2 SE 9702216 A SE9702216 A SE 9702216A SE 9702216 A SE9702216 A SE 9702216A SE 511507 C2 SE511507 C2 SE 511507C2
- Authority
- SE
- Sweden
- Prior art keywords
- card
- transaction station
- transaction
- central computer
- cryptographic
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Networks & Wireless Communication (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Credit Cards Or The Like (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Abstract
Description
511 507 10 15 20 30 35 sedelautomaten, vilken klarsignal indikerar att transak- tionen godkänts. Vid mottagande av godkännandet matar sedelautomaten ut sedlar motsvarande det önskade uttags- beloppet från en sedelutmatare till användaren. Om centraldatorn fastställer att den angivna PIN-koden ej är korrekt för det angivna kontonumret, sänd en felsignal tillbaka till sedelautomaten, varvid denna antingen ger användaren ett ytterligare försök att mata in rätt PIN- kod, matar ut kortet till användaren utan att betala ut några pengar, eller beslagtar kortet. I vissa fall kan verifieringen av PIN-kod och liknande även ske i själva transaktionsstationen, s k off-line-verifiering. 511 507 10 15 20 30 35 the banknote machine, which clear signal indicates that the transaction has been approved. Upon receipt of the approval, the banknote dispenser issues banknotes corresponding to the desired withdrawal amount from a banknote dispenser to the user. If the central computer determines that the entered PIN is not correct for the specified account number, send an error signal back to the banknote machine, which either gives the user a further attempt to enter the correct PIN, outputs the card to the user without paying any money, or seize the card. In some cases, the verification of PIN code and the like can also take place in the transaction station itself, so-called off-line verification.
Vid överföring av transaktionsmeddelanden av ovan nämnda slag mellan transaktionsstationen och central- datorn är det nödvändigt eller önskvärt att åtminstone viss information överförs i krypterat tillstànd samt att meddelandena förses med autenticering i form av MAC- summor (”Message Authentication Codes”) eller liknande.When transmitting transaction messages of the above-mentioned type between the transaction station and the central computer, it is necessary or desirable that at least some information is transmitted in an encrypted state and that the messages are provided with authentication in the form of MAC ("Message Authentication Codes") or the like.
Detta säkerställer dels att informationen ej kan åtkommas eller avlyssnas av obehöriga, dels att mottagna meddelan- den ej förvanskats eller påverkats vid överföringen.This ensures that the information cannot be accessed or intercepted by unauthorized persons, and that received messages are not distorted or affected during the transmission.
För tillhandahållande av ovan nämnda och liknande kryptografiska funktioner, såsom kryptering, dekrypte- autenticering, utrustas transaktionsstationer ring, osv, med en s k säkerhetsmodul, i vilken kryptografiska nycklar och algoritmer för kommunikationen mellan transaktionsstation och centraldator tillhandahålls och exekveras. Säkerhetsmodulen är väsentligen fast eller stationärt ansluten till transaktionsstationen: I fallet med sedelautomater är säkerhetsmodulen generellt fast ansluten inuti ett säkerhetsskåp i automaten.For the provision of the above-mentioned and similar cryptographic functions, such as encryption, decryption authentication, transaction stations are equipped with ring, etc., with a so-called security module, in which cryptographic keys and algorithms for the communication between transaction station and central computer are provided and executed. The security module is essentially fixed or stationary connected to the transaction station: In the case of banknote machines, the security module is generally permanently connected inside a security cabinet in the machine.
Eftersom man vill försäkra sig om att obehöriga ej kan få tillgång till informationen i säkerhetsmodulen, dvs främst de kryptografiska nycklarna, skyddas säker- hetsmodulen genom att elektroniken är ingjuten i ett fysiskt skyddande hölje och genom att modulen utrustas med en förstörelsefunktion som, genom utnyttjande av lO 15 20 25 30 35 3 ds11 so? olika sensorelement, exempelvis en omslutande metallise- ring, är avsedd att förstöra de kryptografiska nycklarna och annan väsentlig programvara i den händelse någon försöker bryta upp säkerhetsmodulen.Since you want to ensure that unauthorized persons cannot access the information in the security module, ie mainly the cryptographic keys, the security module is protected by the electronics being encapsulated in a physically protective housing and by equipping the module with a destruction function which, by using lO 15 20 25 30 35 3 ds11 so? various sensor elements, such as an enclosing metallization, are intended to destroy the cryptographic keys and other essential software in the event that someone tries to break into the security module.
Säkerhetsmodulen är vidare vanligtvis försedd med ett batteri som säkerställer att de kryptografiska nycklarna hålls kvar i minnet även om strömförsörjningen till säkerhetsmodulen i övrigt tillfälligtvis upphör eller saknas, exempelvis vid strömavbrott eller när en sedelautomat kortvarigt stängs av för underhåll, repara- tion, uppdatering eller liknande. Batteriet är även verksamt den tid som går från det att säkerhetsmodulen förses med de kryptografiska nycklarna till dess att säkerhetsmodulen anbringas på plats i eller vid transak- tionsstationen och denna ansluts till nätspänning.Furthermore, the security module is usually equipped with a battery that ensures that the cryptographic keys are kept in memory even if the power supply to the security module is otherwise temporarily interrupted or missing, for example in the event of a power failure or when a banknote is briefly switched off for maintenance, repair, updating or the like. . The battery also operates the time that elapses from the time the security module is provided with the cryptographic keys until the security module is placed in place in or at the transaction station and this is connected to mains voltage.
Batteriet kan även i vissa fall vara nödvändigt för att bevara ovan nämnda förstörelsefunktion även i ett tillstånd då säkerhetsmodulen är frånkopplad.The battery may also in some cases be necessary to preserve the above-mentioned destruction function even in a state when the safety module is disconnected.
Ett problem med dessa typer av säkerhetsmoduler är att kraven på att innehållet skall vara skyddat mot avläsning av obehöriga, och de därav nödvändiga säker- hetsarrangemangen och förstörelsefunktionerna, medför extra svårigheter och kostnader vid tillverkning och utformning av säkerhetsmodulen.A problem with these types of security modules is that the requirements that the content must be protected against unauthorized reading, and the necessary security arrangements and destruction functions, entail extra difficulties and costs in the manufacture and design of the security module.
Ett annat problem är att det i de flesta fall nöd- vändiga batteriet, oavsett om detta är uppladdningsbart eller ej, uppvisar en begränsad garanterad funktionell livslängd, exempelvis 5 år. Detta innebär att säker- hetsmodulen, eller batteriet däri, måste bytas ut med jämna mellanrum, vilket för många typer av säkerhets- Följakt- ligen ställer detta krav på tillverkarens service- moduler inte är en helt okomplicerad process. organisation. Det innebär även begränsningar vad gäller möjligheten att lagerhålla säkerhetsmoduler. Dessutom måste förbrukade batterier omhändertas, vilket med hänsyn till miljöaspekter måste ske under kontrollerade former. 511 #507 4 10 15 20 25 30 35 Ett ytterligare problem är att felfunktion hos säkerhetsmodulen ej kan åtgärdas enkelt. Ofta måste servicepersonal bege sig ut till den felande transak- tionsstationen för att på plats byta ut eller åtgärda felet hos säkerhetsmodulen. Detta medför naturligtvis oönskade kostnader och tidsperioder då transaktions- stationen ej är brukbar.Another problem is that in most cases the necessary battery, regardless of whether it is rechargeable or not, has a limited guaranteed functional life, for example 5 years. This means that the safety module, or the battery in it, must be replaced at regular intervals, which for many types of safety. Consequently, this requirement for the manufacturer's service modules is not a completely uncomplicated process. organisation. It also means restrictions on the ability to stock security modules. In addition, spent batteries must be disposed of, which must be done in a controlled manner with regard to environmental aspects. 511 # 507 4 10 15 20 25 30 35 An additional problem is that the malfunction of the security module cannot be easily remedied. Service personnel often have to go to the faulty transaction station to replace or rectify the fault of the security module on site. This naturally entails undesirable costs and time periods when the transaction station is not usable.
Ett ändamål med föreliggande uppfinning är således att åstadkomma en enklare lösning som reducerar risken för att obehöriga skall kunna läsa ut innehållet i säkerhetsmodulen, främst de kryptografiska nycklarna.An object of the present invention is thus to provide a simpler solution which reduces the risk that unauthorized persons will be able to read out the contents of the security module, mainly the cryptographic keys.
Ett annat ändamål med uppfinningen är att åstadkomma en lösning som kringgår problemen som hör samman med batteriets begränsade livslängd. Ännu ett ändamål är att åstadkomma en lösning som gör det möjligt att enklare och snabbare åtgärda, underhålla och uppdatera säkerhetsmodulen.Another object of the invention is to provide a solution which circumvents the problems associated with the limited life of the battery. Another purpose is to provide a solution that makes it easier and faster to fix, maintain and update the security module.
Sammanfattning av uppfinningen Enligt en första aspekt på föreliggande uppfinning uppnås ovan nämnda och andra ändamål medelst ett IC-kort utformat att anordnas huvudsakligen stationärt i en kortläsare i, eller i anslutning till, en transaktions- station för att kryptografiskt bearbeta data som skall sändas från transaktionsstationen till en centraldator och/eller data som av transaktionsstationen mottas från en centraldator, varvid nämnda IC-kort utnyttjas vid betjäning av flera olika användare av nämnda transak- tionsstation, vilket IC-kort innefattar: organ för lagring av en eller flera kryptografiska nycklar; organ för mottagning av insignaler till kortet; organ för exekvering av en eller flera kryptografiska algoritmer med utnyttjande av en eller flera av nämnda krypto- grafiska nycklar i beroende av styrinformation som mottas i nämnda insignaler till kortet; och organ för utmatning av utsignaler, innefattande resultat av nämnda exekve- ring, från kortet. 10 15 20 25 30 35 5 fs11 so? Uppfinningen baseras således på idén att ersätta den konventionella säkerhetsmodulen med en IC-kortläsare som förses med ett IC-kort enligt uppfinningen, vilket till- handahåller de nycklar och algoritmer som behövs för kryptografisk bearbetning av kommunikation mellan transaktionsstationen och centraldatorn.Summary of the Invention According to a first aspect of the present invention, the above and other objects are achieved by means of an IC card designed to be arranged substantially stationary in a card reader in, or adjacent to, a transaction station for cryptographically processing data to be transmitted from the transaction station. to a central computer and / or data received by the transaction station from a central computer, said IC card being used in serving several different users of said transaction station, the IC card comprising: means for storing one or more cryptographic keys; means for receiving input signals to the card; means for executing one or more cryptographic algorithms using one or more of said cryptographic keys in dependence on control information received in said input signals to the card; and means for outputting output signals, including results of said execution, from the card. 10 15 20 25 30 35 5 fs11 so? The invention is thus based on the idea of replacing the conventional security module with an IC card reader provided with an IC card according to the invention, which provides the keys and algorithms needed for cryptographic processing of communication between the transaction station and the central computer.
Enligt föredragna utföringsformer utnyttjas IC- kortet för exempelvis kryptering, dekryptering och autenticering av meddelanden. IC-kortet lagrar således med fördel såväl masternycklar som sessionsnycklar och autenticeringsnycklar. Den föredragna algoritmen för kryptografisk bearbetning är den s.k. DES-algoritmen (DES - Data Encryption Standard) En inneboende fördelaktig egenskap hos IC-kort är att deras fysiska uppbyggnad är sådan att lagrade kryptografiska nycklar normalt ej kan läsas ut från kortet, med hänsyn tagen till vad som är praktiskt möjligt med dagens teknik. Således medför utnyttjandet av ett IC-kort enligt uppfinningen, såsom ersättning för den konventionella säkerhetsmodulen, ett inneboende skydd mot risken att någon obehörig skulle få tillgång till de hemliga nycklarna. Även om själva IC-kortet skulle hamna i orätta händer, kan denne likväl inte få tillgång till nycklarna. IC-korten i sig kan därför hanteras utan några speciella säkerhetsarrangemang. Om ett IC-kort i en transaktionsstation skulle drabbas av felfunktion, skulle ett nytt IC-kort helt enkelt kunna sändas över till de som ansvarar för transaktionsstationens löpande drift brevledes. Servicepersonal som ansvarar för underhåll av transaktionsstationer behöver heller inte bemöda sig om att förvara IC-korten under speciella säkerhetsarrange- mang, utan korten kan i princip hanteras såsom andra apparatkomponenter. Notera dock att uppfinningen enligt en tänkbar utföringsform ej är begränsad till att nycklarna inte skall kunna läsas ut ur kortet, även om detta i praktiken är ett mycket väsentligt särdag. 511 lO l5 20 25 30 35 507 Eftersom det minne som utnyttjas i IC-kortet enligt en föredragen utföringsform utgörs av ett beständigt minne, vanligtvis av EEPROM-typ, där informationen i minnescellerna ändras med hjälp av elektriska signaler men bevaras fysiskt utan att någon hållspänning krävs, undanröjs behovet av att tillhandahålla en separat reservspänningsmatning för IC-kortets minnesdel, vilket innebär en fördelaktig skillnad jämfört med den kända säkerhetsmodulen. Ingen spänningsmatning behövs heller för att bibehålla en aktiv säkerhetsfunktion i kortet då detta ej är placerat i kortläsaren, jämför med den konventionella säkerhetsmodulen, eftersom en säkerhets- funktion finns inneboende i IC-kortets uppbyggnad, såsom diskuterats ovan.According to preferred embodiments, the IC card is used for, for example, encryption, decryption and authentication of messages. The IC card thus advantageously stores master keys as well as session keys and authentication keys. The preferred algorithm for cryptographic processing is the so-called DES algorithm (DES - Data Encryption Standard) An inherently advantageous feature of IC cards is that their physical structure is such that stored cryptographic keys can not normally be read from the card, taking into account what is practically possible with today's technology. Thus, the use of an IC card according to the invention, as a replacement for the conventional security module, entails an inherent protection against the risk that someone unauthorized would gain access to the secret keys. Even if the IC card itself ends up in the wrong hands, it can still not gain access to the keys. The IC cards themselves can therefore be handled without any special security arrangements. If an IC card in a transaction station were to malfunction, a new IC card could simply be sent to those responsible for the day - to - day operation of the transaction station. Service personnel who are responsible for the maintenance of transaction stations also do not have to make an effort to store the IC cards during special security arrangements, but the cards can in principle be handled like other device components. Note, however, that according to a conceivable embodiment, the invention is not limited to the keys not being able to be read out of the card, even if in practice this is a very significant special day. Since the memory used in the IC card according to a preferred embodiment consists of a permanent memory, usually of the EEPROM type, where the information in the memory cells is changed by means of electrical signals but is physically preserved without any holding voltage. required, the need to provide a separate backup voltage supply for the memory part of the IC card is eliminated, which means an advantageous difference compared to the known security module. No power supply is needed either to maintain an active security function in the card as this is not located in the card reader, compared to the conventional security module, since a security function is inherent in the structure of the IC card, as discussed above.
IC-kort enligt uppfinningen är ej begränsade till en specifik kortstorlek. Olika utföringsformer av uppfin- ningen innefattar således exempelvis IC-kort av storleks- ID-OO som ID-OOO I detta sammanhang noteras att IC-kortet enligt typerna ID-1, (minikort) (plugin-kort). uppfinningen ej är att likställa med de olika typer av kort, såsom magnetkort eller IC-kort, som en användare av en transaktionsstation i vissa fall medför för att få tillgång till och utnyttja stationen, såsom normalt personligt utfärdade sedelautomatkort, kontokort eller liknande. Dessa typer av kort utnyttjas enbart mycket tillfälligt i transaktionsstationen vid betjäning av den specifika kortinnehavaren. IC-kortet enligt uppfinningen är istället avsett att vara huvudsakligen stationärt anordnat i, eller i anslutning till, transaktions- stationen. IC-kortet enligt uppfinningen utnyttjas således väsentligen kontinuerligt i transaktionsstatoinen vid betjäning av flera olika användare som besöker transaktionsstationen, vanligtvis en i taget.IC cards according to the invention are not limited to a specific card size. Thus, various embodiments of the invention include, for example, IC cards of size ID-OO as ID-OOO. In this context, it is noted that the IC card according to the types ID-1, (mini-card) (plug-in card). The invention is not to be equated with the different types of cards, such as magnetic cards or IC cards, which a user of a transaction station brings in certain cases to access and use the station, such as normally personally issued banknote cards, credit cards or the like. These types of cards are used only very temporarily in the transaction station when serving the specific cardholder. The IC card according to the invention is instead intended to be arranged substantially stationary in, or in connection with, the transaction station. The IC card according to the invention is thus used substantially continuously in the transaction station when serving several different users who visit the transaction station, usually one at a time.
Vidare inses att begreppet huvudsakligen stationärt innebär att IC-kortet enligt uppfinningen är anordnat permanent i transaktionsstationen under löpande drift, men att kortet självfallet kan bytas ut när så erfordras, 10 15 20 25 30 35 7 få 511 507 exempelvis vid felfunktion, vid byte eller uppdatering av nycklar, eller med jämna intervall såsom en ren upp- graderingsåtgärd.Furthermore, it is understood that the term mainly stationary means that the IC card according to the invention is arranged permanently in the transaction station during continuous operation, but that the card can of course be replaced when required, get 511 507 for example in case of malfunction, in case of change or updating keys, or at regular intervals such as a clean upgrade.
Enligt en andra aspekt på föreliggande uppfinning avser uppfinningen en transaktionsstation, avsedd att kommunicera med en centraldator och betjäna en användare vid genomförande av önskade finansiella transaktioner gentemot centraldatorn, vilken transaktionsstation inne- fattar: användargränssnitt för inmatning av data av en användare; och organ för kryptografisk bearbetning av data som skall sändas till och/eller mottas från central- datorn; varvid transaktionsstationen enligt uppfinningen kännetecknas av att nämnda organ för kryptografisk bearbetning innefattar en kortläsare avsedd att motta ett IC-kort enligt ovan nämnda första aspekt på föreliggande uppfinning.According to a second aspect of the present invention, the invention relates to a transaction station, intended to communicate with a central computer and serve a user in carrying out desired financial transactions towards the central computer, which transaction station comprises: user interface for entering data of a user; and means for cryptographic processing of data to be sent to and / or received from the central computer; wherein the transaction station according to the invention is characterized in that said means for cryptographic processing comprise a card reader intended to receive an IC card according to the above-mentioned first aspect of the present invention.
En transaktionsstation enligt uppfinningen utgörs enligt en speciellt föredragen utföringsform av en sedelautomat (”Automatic Teller Machine”), exempelvis av de slag som i Sverige tillhandahålls på allmänna platser, i banklokaler, osv, under varumärkena ”Bankomat” och "Minuten".According to a particularly preferred embodiment, a transaction station according to the invention consists of an automatic teller machine ("Automatic Teller Machine"), for example of the kind provided in Sweden in public places, in bank premises, etc., under the trademarks "ATM" and "Minuten".
Enligt ännu en föredragen utföringsform är nämnda kortläsare anordnad att motta nämnda IC-kort så att detta hålls oåtkomligt för en användare. Därmed minskar risken för att en användare medvetet eller av misstag avlägsnar IC-kortet enligt uppfinningen, vilket visserligen inte har någon större betydelse ur säkerhetssynpunkt, såsom diskuterats ovan, men likväl skulle innebära att trans- aktionsstationens krypteringsfunktion sätts ur funktion.According to yet another preferred embodiment, said card reader is arranged to receive said IC card so that it is kept inaccessible to a user. This reduces the risk of a user intentionally or accidentally removing the IC card according to the invention, which, although not of major importance from a security point of view, as discussed above, would nevertheless mean that the encryption function of the transaction station is deactivated.
Ett sätt att åstadkomma detta är att transaktionssta- tionen utformas så att användaren enbart har tillgång till ett visst gränssnitt, medan kortläsaren för IC- kortet enligt uppfinningen ej ingår i detta gränssnitt utan istället är placerad på annan plats. Exempelvis är nämnda kortläsare för IC-kortet enligt uppfinningen, enligt en ytterligare föredragen utföringsform, anordnad 511 so? 8 10 15 20 25 30 35 i ett säkerhetsskåp, exempelvis inuti transaktions- stationen eller i anslutning till transaktionsstationen.One way of achieving this is that the transaction station is designed so that the user only has access to a certain interface, while the card reader for the IC card according to the invention is not included in this interface but is instead located elsewhere. For example, said card reader for the IC card according to the invention, according to a further preferred embodiment, is arranged 511 so. 8 10 15 20 25 30 35 in a safe, for example inside the transaction station or adjacent to the transaction station.
Ett användargränssnitt enligt ovan innefattar med fördel organ för inmatning av en användaridentitet, såsom en ytterligare kortläsare för avläsning av ett konto- nummer som finns magnetiskt lagrat på användarens kontokort; organ för inmatning av en önskad finansiell transaktion, såsom en knappsats, och organ för inmatning av en behörighetskod, såsom en PIN-kod. Notera här att nämnda ytterligare kortläsare för avläsning av exempelvis ett kontonummer som finns lagrat på användarens kontokort ej utgör samma kortläsare som den som utnyttjas för att motta IC-kortet enligt uppfinningen. Enligt ett annat alternativ innefattar användargränsnittet en persondator med tillhörande monitor, tangentbord, mus eller liknande pekorgan.A user interface as above advantageously comprises means for entering a user identity, such as an additional card reader for reading an account number which is magnetically stored on the user's credit card; means for entering a desired financial transaction, such as a keypad, and means for entering an authorization code, such as a PIN code. Note here that said additional card reader for reading, for example, an account number stored on the user's credit card does not constitute the same card reader as the one used to receive the IC card according to the invention. According to another alternative, the user interface comprises a personal computer with associated monitor, keyboard, mouse or similar pointing devices.
Transaktionsstationen enligt uppfinningen innefattar med fördel organ för tillhandahållande av styrinforma- tion, såsom uppgifter om önskad typ av kryptografisk bearbetning samt för bearbetningen erforderlig informa- tion eller data, till nämnda IC-kort enligt uppfinningen, samt organ för mottagning av nämnda utsignaler från IC- kortet. Även om sedelautomater utgör en föredragen utfö- ringsform av uppfinningen, kan en transaktionsstation enligt uppfinningen även vara utformad som exempelvis en s.k. betalningsterminal som exempelvis finns i anslutning till kassor i livsmedelsaffärer, butiker och liknande, där kunden kan betala för köpta varor eller tjänster genom att exempelvis ange ett kontonummer, även här vanligtvis medelst ett magnetkort, och verifiera sin behörighet till detta genom att mata in korrekt PIN-kod.The transaction station according to the invention advantageously comprises means for providing control information, such as information on the desired type of cryptographic processing as well as information or data required for the processing, to said IC card according to the invention, and means for receiving said output signals from IC the card. Although banknote machines constitute a preferred embodiment of the invention, a transaction station according to the invention can also be designed as, for example, a so-called payment terminal which, for example, is located in connection with cash registers in grocery stores, shops and the like, where the customer can pay for purchased goods or services by, for example, entering an account number, also usually using a magnetic card, and verifying their authorization by entering the correct PIN -code.
Enligt en variant är en eller flera betalningsterminaler anslutna till en persondator som i sin tur kommunicerar med en centraldator hos en bank eller liknande.According to a variant, one or more payment terminals are connected to a personal computer which in turn communicates with a central computer at a bank or the like.
Ytterligare exempel på transaktionsstationer enligt uppfinningen innefattar persondatorterminaler som är 10 15 20 25 30 35 9 .ås11 507 konfigurerade att ge användaren möjlighet att på liknande sätt begära olika finansiella transaktioner gentemot en centraldator. Sådana persondatorterminaler kan exempelvis tillhandahållas för allmänheten på allmänna platser, på banker, på företag som en tjänst för företagets personal eller explicit för företagets ekonomifunktioner. Tekniken att tillhandahålla denna typ av möjlighet till finansi- ella transaktioner med hjälp av datorer i hemmen är mer eller mindre en realitet redan i dag. Även andra slags finansiella transaktioner och funktioner kan genomföras med transaktionsstationer enligt uppfinningen, såsom överföringar mellan olika bankkonton, saldoupplysningar, betalningsuppdrag, värde- papperstranskaktioner, osv. Beroende på tillämpning och aktuellt system kan även inhämtandet av uppgifter från användaren ske på många olika tänkbara sätt, exempelvis IC-kort, OSV. medelst utnyttjande av magnetkort, tangentbord eller knappsatser, pekbildskärmar, I fallet med betalningsterminaler, persondatorer och liknande är IC-kortläsaren enligt en utföringsform ansluten till en extern port därtill och bildar således en yttre enhet.Further examples of transaction stations according to the invention include personal computer terminals which are configured to enable the user to similarly request different financial transactions to a central computer. Such personal computer terminals can, for example, be provided to the public in public places, in banks, in companies as a service for the company's personnel or explicitly for the company's financial functions. The technology of providing this type of opportunity for financial transactions using computers in the home is more or less a reality already today. Other types of financial transactions and functions can also be carried out with transaction stations according to the invention, such as transfers between different bank accounts, balance information, payment orders, securities transactions, etc. Depending on the application and current system, the collection of data from the user can also take place in many different possible ways, for example IC cards, etc. by using magnetic cards, keyboards or keypads, touch screens. In the case of payment terminals, personal computers and the like, the IC card reader is according to one embodiment connected to an external port therefor and thus forms an external unit.
Ytterligare aspekter, ändamål, fördelar och särdrag avseende föreliggande uppfinning kommer att framgå av de bifogade patentkraven och beskrivningen nedan.Additional aspects, objects, advantages and features of the present invention will become apparent from the appended claims and the description below.
Kortfattad beskrivning av ritningarna En exemplifierande utföringsform av föreliggande uppfinning kommer nu att beskrivas med hänvisning till de bifogade ritningarna, pà vilka: Fig 1 schematiskt visar en perspektivvy av en transaktionsstation i form av en sedelautomat enligt föreliggande uppfinning; Fig 2 illustrerar ett schematiskt blockschema över transaktionsstationen i Fig l; Fig 3 illustrerar ett schematiskt blockschema över den integrerad kretsen på IC-kortet i Fig 2; 511 10 15 20 25 30 35 10 507 Fig 4 illustrerar ett flödsschema för styrdatorn i Fig 2; Fig 5 visar uppbyggnaden av ett exemplifierande meddelande som sänds från transaktionsstation till centraldatorn i Fig 2; och Fig 6 illustrerar ett flödesschema för den integre- rade kretsen i Fig 3.Brief Description of the Drawings An exemplary embodiment of the present invention will now be described with reference to the accompanying drawings, in which: Fig. 1 schematically shows a perspective view of a transaction station in the form of a banknote machine according to the present invention; Fig. 2 illustrates a schematic block diagram of the transaction station of Fig. 1; Fig. 3 illustrates a schematic block diagram of the integrated circuit on the IC card of Fig. 2; 511 10 15 20 25 30 35 10 507 Fig. 4 illustrates a flow chart of the control computer in Fig. 2; Fig. 5 shows the structure of an exemplary message sent from the transaction station to the central computer of Fig. 2; and Fig. 6 illustrates a flow chart of the integrated circuit of Fig. 3.
Detaljerad beskrivning av en föredragen utföringsform I Fig 1 visas en perspektivvy av en transaktions- station 100 i form av en sedelautomat i enlighet med en föredragen utföringsform av föreliggande uppfinning.Detailed Description of a Preferred Embodiment Fig. 1 shows a perspective view of a transaction station 100 in the form of a vending machine in accordance with a preferred embodiment of the present invention.
Transaktionsstationen 100 i Fig 1 innefattar en första kortläsare 110 (endast inmatningsöppningen visas), en knappsats 120, en monitor 130 och en skrivare 140 (endast utmatningsöppningen visas). Vidare innefattar transaktionsstationen en sedelbox med en sedelutmatare 160. det är föredraget att förvara med högre skyddsgrad, se Sedelboxen är, tillsammans med annan elektronik som Fig 2 nedan, inrymd i ett säkerhetsskàp 105 hos transaktionsstationen.The transaction station 100 in Fig. 1 includes a first card reader 110 (only the input slot is shown), a keypad 120, a monitor 130 and a printer 140 (only the output slot is shown). Furthermore, the transaction station comprises a banknote box with a banknote dispenser 160. It is preferred to store with a higher degree of protection, see The banknote box is, together with other electronics such as Fig. 2 below, housed in a safe 105 of the transaction station.
I Fig 2 visas ett schematiskt blockschema över transaktionsstationen i Fig 1. De delar och komponenter i Pig 1 som återfinns i Fig 2 är betecknade med motsvarande hänvisningsbeteckningar. Således visas i Fig 2 transak- tionsstationen 100 innefattande kortläsaren 110, knapp- satsen 120, monitorn 130 och skrivaren 140, vilka samt- liga är anordnade i ett övre utrymme i transaktions- stationen 100. Kortläsaren 110 är enligt denna utförings- form utformad att motta och läsa ett magnetkort 115 som medhas av besökaren eller användaren, dvs kortinne- havaren.Fig. 2 shows a schematic block diagram of the transaction station in Fig. 1. The parts and components in Fig. 1 found in Fig. 2 are denoted by the corresponding reference numerals. Thus, Fig. 2 shows the transaction station 100 comprising the card reader 110, the keypad 120, the monitor 130 and the printer 140, all of which are arranged in an upper space in the transaction station 100. According to this embodiment, the card reader 110 is designed to receive and read a magnetic card 115 that is carried by the visitor or user, ie the cardholder.
Vidare innefattar transaktionsstationen 100 en sedelbox 160, kortläsare 170 i vilken ett IC-kort 300 som uppvisar en en säkerhetsmodul i form av en andra integrerad krets 310 är anordnat, en styrdator 180 och en kommunikationsenhet 190. Eftersom extra högt átkomstskydd 10 15 20 25 30 35 ll 511 507 önskad för dessa typer av komponenter, är de anordnade i säkerhetsskåpet 105 i transaktionsstationens 100 nedre utrymme.Furthermore, the transaction station 100 comprises a banknote box 160, card reader 170 in which an IC card 300 having a security module in the form of a second integrated circuit 310 is arranged, a control computer 180 and a communication unit 190. Since extra high access protection 10 511 507 desired for these types of components, they are arranged in the security cabinet 105 in the lower space of the transaction station 100.
Transaktionsstationens 100 arbete styrs generellt av styrdatorn 180, som står i förbindelse med den första kortläsaren 110, knappsatsen 120, monitorn 130, skrivaren 140, sedelboxen/-utmataren 160 och den andra kortläsaren 170 via en gemensam kommunikationsbuss 150. Med hjälp av ett moden 195 kan transaktionsdatorn anslutas till ett telenät 197 och således på avstånd kommunicera med en centraldator 200.The operation of the transaction station 100 is generally controlled by the control computer 180, which communicates with the first card reader 110, the keypad 120, the monitor 130, the printer 140, the banknote box / dispenser 160 and the second card reader 170 via a common communication bus 150. By means of a mode 195 For example, the transaction computer can be connected to a telephone network 197 and thus communicate remotely with a central computer 200.
Den integrerade kretsen 310 på IC-kortet 300, som i sig eller tillsammans med den andra kortläsaren 170 kan anses bilda en säkerhetsmodul för transaktionsstationen 100, tillhandahåller de kryptografiska algoritmer och nycklar som utnyttjas vid överföring av meddelanden mellan transaktionsstationen 100 och centraldatorn 200.The integrated circuit 310 of the IC card 300, which in itself or together with the second card reader 170 can be considered to form a security module for the transaction station 100, provides the cryptographic algorithms and keys used in transmitting messages between the transaction station 100 and the central computer 200.
Exempel på arbetsrutiner för transaktionsdatorn i Pig 1 och 2 kommer att beskrivas nedan med hänvisning till Fig 4, 5 och 6.Examples of work routines for the transaction computer in Figs. 1 and 2 will be described below with reference to Figs. 4, 5 and 6.
I Fig 3 visas ett schematisk blockschema över IC- kortets 300 integrerade krets 310. Kretsen 310 är alltså utformad på IC-kortet med hjälp av konventionell teknik och kan således kommunicera med styrdatorn 180 när IC- kortet 300 är infört i den andra kortläsaren 170.Fig. 3 shows a schematic block diagram of the integrated circuit 310 of the IC card 300. The circuit 310 is thus formed on the IC card by means of conventional technology and can thus communicate with the control computer 180 when the IC card 300 is inserted in the second card reader 170.
IC-kortets 300 och den integrerade kretsens 310 grundläggande uppbyggnad, såsom anslutningar och arrangemang för överföring av data mellan kortläsaren 170 och den integrerade kretsen 310 och liknande funktioner, är väl kända inom teknikomràdet avseende IC-kort, och därför ges här ingen mer ingående beskrivning därav.The basic structure of the IC card 300 and the integrated circuit 310, such as connections and arrangements for transmitting data between the card reader 170 and the integrated circuit 310 and similar functions, are well known in the art of IC cards, and therefore no more detailed description is given here. hence.
IC-kortets 300 integrerade krets 310 innefattar generellt en mikroprocessor 315 och ett beständigt, skrivbart minne 320, 330, vanligtvis av EEPROM-typ.The integrated circuit 310 of the IC card 300 generally includes a microprocessor 315 and a persistent, writable memory 320, 330, usually of the EEPROM type.
EEPROM-minnet innefattar bl.a. en första uppsättning minnesfält 320 som lagrar de kryptografiska nycklar som utnyttjas vid kryptografisk bearbetning av meddelanden 511 -507 12 l0 15 20 25 30 35 som överförs mellan transktionsstationen lO0 och centraldatorn 200. Det finns vanligtvis tre olika typer av kryptografiska nycklar lagrade i minnesfälten 320.The EEPROM memory includes i.a. a first set of memory fields 320 which store the cryptographic keys used in cryptographic processing of messages 511 -507 12 l0 15 20 25 30 35 which are transmitted between the transaction station 100 and the central computer 200. There are usually three different types of cryptographic keys stored in the memory fields 320.
Dels s.k. autenticeringsnycklar som används vid auten- ticering av meddelanden, exempelvis för beräkning av (”MAC”), dels s.k. sessionsnycklar som används vid kryptering/dekryptering meddelandeautenticeringskoder av PIN-koder och annan känslig information som överförs mellan transaktionsstationen och centraldatorn, och dels en eller flera masternycklar som bl.a. används vid överföring av nya nycklar, dvs då gamla sessions- eller autenticeringsnycklar skall ersättas med nya nycklar via telenätet 197. Centraldatorn 200 har självfallet tillgång till sådana motsvarande nycklar som är nödvändiga för att i centralstationen hantera den kryptografisk bearbetade kommunikationen med transaktionsstationen.Partly s.k. authentication keys used in authentication of messages, for example for calculation of ("MAC"), partly so-called session keys used in encrypting / decrypting message authentication codes of PIN codes and other sensitive information transmitted between the transaction station and the central computer, and one or more master keys such as is used when transferring new keys, ie when old session or authentication keys are to be replaced with new keys via the telephone network 197. The central computer 200 of course has access to such corresponding keys as are necessary to handle the cryptographically processed communication with the transaction station in the central station.
Vidare är vart och ett av minnesfälten 320, dvs var och en av nycklarna, associerat med ett motsvarande fält hos en andra uppsättning minnesfält 330. I minnesfälten 330 lagras information som anger de tillämpningar eller funktioner för vilka den associerade nyckeln får utnyttjas, eftersom varje specifik nyckel vanligtvis enbart får användas för endast en viss typ av krypto- grafisk bearbetning eller för kryptografisk bearbetning av endast en viss typ av information.Furthermore, each of the memory fields 320, i.e. each of the keys, is associated with a corresponding field of a second set of memory fields 330. In the memory fields 330 information is stored which indicates the applications or functions for which the associated key may be used, since each specific key may usually only be used for only a certain type of cryptographic processing or for cryptographic processing of only a certain type of information.
Behandlingen i den integrerade kretsen 310 utförs i mikroprocessorn 315. Mikroprocessorn 315 är konfigurerad att utföra olika typer av kryptografisk bearbetning genom att exekvera olika programrutiner 340-370, vilka schema- tiskt illustreras åtskilda med streckade linjer i Fig 3, med utnyttjande av olika valda nycklar från minnesfältet 320. Programrutinerna i mikroprocessorn innefattar en mottagande/adresserande rutin som är konfigurerad att motta styrinformation från transaktionsstationen, före- trädesvis från styrdatorn 180. Sådan styrinformation innefattar exempelvis information om vilken typ av kryptografisk bearbetning som efterfrågas, vilken 10 15 20 25 30 35 13 511 507 kryptografisk nyckel som skall användas, ingående data som skall bearbetas, osv.The processing in the integrated circuit 310 is performed in the microprocessor 315. The microprocessor 315 is configured to perform different types of cryptographic processing by executing different program routines 340-370, which are schematically illustrated separated by broken lines in Fig. 3, using different selected keys. from the memory field 320. The program routines in the microprocessor comprise a receiving / addressing routine configured to receive control information from the transaction station, preferably from the control computer 180. Such control information includes, for example, information on the type of cryptographic processing requested, which 13 511 507 cryptographic key to be used, input data to be processed, etc.
I den föredragna utföringsformen utförs väsentligen all form av kryptografiska bearbetningen med hjälp av en DES-algoritm (DES - ”Data Encryption Standard”) DES-algoritmen i block 360 utnyttjas i en programrutin 360. således i det föredragna utförandet vid såväl kryptering som dekryptering och autenticering. Beroende på vilken typ av kryptografisk bearbetning som önskas utnyttjas en av flera olika förberedande programrutiner 351-353, vilka förbereder och konfigurerar den information som behövs i den efterföljande DES-algortimen 360 för att denna skall ge önskad typ av kryptografisk bearbetning. Exempelvis adresseras programrutinen 351 när dekryptering efter- frågas, programrutinen 352 när dekryptering önskas och programrutinen 353 när autenticering önskas. Respektive programrutin 351-353 hämtar då de nycklar som skall utnyttjas samt strukturerar de data som skall behandlas på lämpligt sätt, varefter själva den kryptografiska algoritmen utförs i rutinen 360.In the preferred embodiment, substantially all forms of the cryptographic processing are performed using a DES algorithm (DES - "Data Encryption Standard"). The DES algorithm in block 360 is used in a program routine 360. thus in the preferred embodiment in both encryption and decryption and authentication. Depending on the type of cryptographic processing desired, one of several different preparatory program routines 351-353 is used, which prepare and configure the information needed in the subsequent DES algorithm 360 to provide the desired type of cryptographic processing. For example, program routine 351 is addressed when decryption is requested, program routine 352 when decryption is desired, and program routine 353 when authentication is desired. The respective program routine 351-353 then retrieves the keys to be used and structures the data to be processed in an appropriate manner, after which the cryptographic algorithm itself is executed in the routine 360.
Vidare ingår en eller flera efterföljande program- rutiner 370 som sätter samman den bearbetade informa- tionen på lämpligt sätt och matar ut denna via kort- läsaren tillbaka till transaktionsstationens styrdator 180.Furthermore, one or more subsequent program routines 370 are included which compile the processed information in a suitable manner and output this via the card reader back to the transaction station's control computer 180.
Det inses av fackmannen inom teknikomràdet att den integrerade kretsens 310 och mikroprocessorns 315 funk- tion och uppbyggnad mycket väl kan realiseras på många olika sätt och att uppfinningen ej är begränsad till de exemplifierande programrutiner och minnesfält som beskri- vits ovan. Exempelvis kan de olika programrutinerna vara mer eller mindre integrerade i varandra. Själva program- rutinerna kan vara lagrade i ett minne på liknande sätt som informationen i minnesfälten 320 och 330 och kan då läsas in i mikroprocessorn när de efterfrågas. En viktig egenskap hos den integrerade kretsen 310 är dock att de kryptografiska nycklarna är lagrade på ett sådant sätt 511 šov 14 10 15 20 25 30 35 att de, med hänsyn till vad som är rimligt och tekniskt möjligt, ej kan läsas ut från kortet och därmed bli tillgängliga för obehöriga.It will be appreciated by those skilled in the art that the function and structure of the integrated circuit 310 and the microprocessor 315 may well be realized in many different ways and that the invention is not limited to the exemplary program routines and memory fields described above. For example, the various program routines may be more or less integrated into each other. The program routines themselves can be stored in a memory in a similar way as the information in the memory fields 320 and 330 and can then be read into the microprocessor when requested. An important feature of the integrated circuit 310, however, is that the cryptographic keys are stored in such a way that, in view of what is reasonable and technically possible, they cannot be read out from the card and thus becoming accessible to unauthorized persons.
Mikroprocessorn 315 kan exempelvis även innefatta programrutiner som exekveras vid byte eller uppdatering av nycklar, initiering av kort, osv.The microprocessor 315 may, for example, also include program routines that are executed when changing or updating keys, initializing cards, and so on.
Ett exempel på transaktionsstationens arbetssätt vid betjäning av en användare eller besökare kommer nu att beskrivas med hänvisning till Fig 4, som schematiskt illustrerar ett flödesschema för styrdatorn 180 i Pig 2.An example of the operation of the transaction station in serving a user or visitor will now be described with reference to Fig. 4, which schematically illustrates a flow chart of the control computer 180 in Fig. 2.
Den rutin som visas i Fig 4 initieras i steg S10 av att användaren matar in sitt magnetkort 115 i kortläsaren 110. I steg S12 läser kortläsaren 110 kortinnehavarens kontonummer, vilket finns magnetiskt lagrat på magnet- kortets 115 magnetremsa, och matar detta till styrdatorn 180 via bussen 150. I steg S14 instruerar därefter styr- datorn 180, med hjälp av monitorn 130, användaren att mata in sin PIN-kod med hjälp av knappsatsen 120, varefter den av användaren inmatade PIN-koden matas från knappsatsen 120 till styrdatorn 180 via bussen 150. I steg S16 instruerar därefter styrdatorn 180, med hjälp av monitorn 130, användaren att mata in önskat uttagsbelopp med hjälp av knappsatsen 120, varefter det av användaren inmatade beloppet matas från knappsatsen 120 till styr- datorn 180 via bussen 150.The routine shown in Fig. 4 is initiated in step S10 by the user inserting his magnetic card 115 into the card reader 110. In step S12, the card reader 110 reads the cardholder's account number, which is magnetically stored on the magnetic strip 115 of the magnetic card 115, and feeds it to the control computer 180 via the bus 150. In step S14, the control computer 180, by means of the monitor 130, then instructs the user to enter his PIN code by means of the keypad 120, after which the PIN code entered by the user is entered from the keypad 120 to the control computer 180 via the bus. 150. In step S16, the control computer 180 then, by means of the monitor 130, instructs the user to enter the desired withdrawal amount by means of the keypad 120, after which the amount entered by the user is fed from the keypad 120 to the control computer 180 via the bus 150.
Efter att ha inhämtat ovan nämnda uppgifter sänder styrdatorn i steg S18 en instruktion till det i transak- tionsstationen väsentligen stationärt anordnade IC-kortet 310, vilket bildar transaktionsstationens säkerhetsmodul, varvid detta instrueras att utföra kryptering av PIN- koden med utnyttjande av en angiven krypteringsnyckel.After obtaining the above information, in step S18, the control computer sends an instruction to the IC card 310 arranged substantially stationary in the transaction station, which forms the security module of the transaction station, this being instructed to perform encryption of the PIN code using a specified encryption key.
Instruktionen till IC-kortet innefattar således i detta fall styrinformation i form av en angivelse av efter- fràgad funktion data som skall bearbetas (den inmatade PIN-koden), nyckel som skall användas för bearbetningen. Om så önskas (kryptering), samt en angivelse av vilken 10 15 20 25 30 35 15 .511 507 skulle exempelvis även kontonumret ingå i den information som skall krypteras.The instruction for the IC card thus in this case includes control information in the form of an indication of the requested function, data to be processed (the entered PIN code), key to be used for the processing. If desired (encryption), as well as an indication of which 10 15 20 25 30 35 15 .511 507, for example, the account number would also be included in the information to be encrypted.
Efter det att IC-kortet returnerat den krypterade PIN-koden sätter styrdatorn i steg S20 samman användarens kontonummer, den krypterade PIN-koden och det önskade beloppet till ett enda sammanhängande meddelande.After the IC card returns the encrypted PIN code, in step S20, the control computer assembles the user's account number, the encrypted PIN code and the desired amount into a single coherent message.
I steg S22 sänder styrdatorn därefter detta meddel- ande till IC-kortet 310 och instruerar detta att beräkna en autenticeringskod (MAC) för meddelandet. instruktion till IC-kortet innefattar således i detta Denna fall styrinformation i form av en angivelse av efter- frågad funktion (beräkning av autenticeringskod), data som skall bearbetas (meddelandet bestående av konto- nummer, krypterad PIN-kod samt belopp), samt en angivelse av vilken nyckel som skall användas. exempelvis Ett Det färdiga meddelandet sänds därefter, till centraldatorn 200 i steg S24. exempel på ett sådant färdigt meddelande visas schema- tiskt i Fig 5, via telenätet 197, där meddelandet innefattar ett första fält 400 för användarens kontonummer, ett andra fält 410 för ett tredje fält 420 för det önskade uttagsbeloppet 420 samt ett fjärde fält för den krypterade PIN-koden, autenticeringskoden 430.In step S22, the control computer then sends this message to the IC card 310 and instructs it to calculate an authentication code (MAC) for the message. instruction to the IC card thus includes in this case control information in the form of an indication of the requested function (calculation of authentication code), data to be processed (the message consisting of account number, encrypted PIN code and amount), and a indication of which key to use. for example, a The completed message is then sent, to the central computer 200 in step S24. examples of such a completed message are shown schematically in Fig. 5, via the telephone network 197, where the message comprises a first field 400 for the user's account number, a second field 410 for a third field 420 for the desired withdrawal amount 420 and a fourth field for the encrypted PIN code, authentication code 430.
I steg 26 mottas därefter ett svar från central- datorn 200. autenticeringskod instruerar styrdatorn IC-kortet 300 i I det fall då svaret förväntas innefatta en steg S28 att autenticera svarsmeddelandet. Denna instruktion till IC-kortet innefattar således i detta fall styrinformation i form av en angivelse av efter- data som skall bearbetas frågad funktion (autenticering), (svarsmeddelandet), samt en angivelse av vilken nyckel som skall användas.In step 26, a response is then received from the central computer 200. authentication code instructs the control computer IC card 300 in In the case where the response is expected to include a step S28 to authenticate the response message. This instruction to the IC card thus in this case includes control information in the form of an indication of the after-data to be processed in the requested function (authentication), (the response message), and an indication of which key is to be used.
I det fall autenticeringen i IC-kortet ger som resultat att svarsmeddelandet av någon anledning ej är korrekt, övergår styrdatorn efter steg S28 till en programrutin som ej visas i Fig 4, vilken exempelvis kan innebära att transaktionsstationen 100 inväntar ett nytt 511 šov 16 10 20 25 30 35 svarsmeddelande från centraldatorn 200 eller att transak- tionsstationen avbryter den pågående transaktionen och matar ut magnetkortet 115 till användaren.In the event that the authentication in the IC card results in the response message being incorrect for some reason, the control computer after step S28 switches to a program routine not shown in Fig. 4, which may for example mean that the transaction station 100 waits for a new 511 šov 16 10 20 Response message from the central computer 200 or that the transaction station interrupts the current transaction and outputs the magnetic card 115 to the user.
I det fall svarsmeddelandet från centraldatorn är korrekt men anger att den önskade transaktionen ej god- kännes, exempelvis för att den inmatade PIN-koden är felaktig eller för att det önskade beloppet överskrider vad som finns tillgodo på användarens konto, övergår styrdatorn 180 efter steg S28 till en programrutin som ej visas i Fig 4, vilken exempelvis kan innebära att trans- aktionsstationen 100 avbryter den pågående transaktionen och matar ut magnetkortet 115 till användaren, att transaktionsstationen instruerar användaren att göra ett nytt försök med att mata in rätt PIN-kod eftersom den tidigare inmatade var felaktig, eller att transaktions- stationen omhändertar användarens magnetkort och avbryter transaktionen utan att mata ut detta till användaren.In the event that the response message from the central computer is correct but indicates that the desired transaction is not approved, for example because the entered PIN code is incorrect or because the desired amount exceeds what is credited to the user's account, the control computer 180 proceeds after step S28 to a program routine not shown in Fig. 4, which may, for example, mean that the transaction station 100 interrupts the current transaction and outputs the magnetic card 115 to the user, that the transaction station instructs the user to make a new attempt to enter the correct PIN code because it previously entered was incorrect, or that the transaction station disposes of the user's magnetic card and cancels the transaction without issuing this to the user.
Om däremot svarsmeddelandet autenticeras såsom varande korrekt och det dessutom innehåller ett godkän- nande av transaktionen, matar transaktionsstationen 100 i steg S30 ut önskat belopp från sedelboxen/-utmataren 160 till användaren, skriver den i steg S32 ut en transak- tionsrapport i form av en minneslapp till användaren med hjälp av skrivaren 140, samt matar den ut magnetkortet 115 från magnetkortläsaren till användaren i steg S34.If, on the other hand, the response message is authenticated as being correct and it also contains an approval of the transaction, in step S30 the transaction station 100 outputs the desired amount from the banknote box / dispenser 160 to the user, in step S32 it prints a transaction report in the form of a memory pad to the user using the printer 140, and outputs the magnetic card 115 from the magnetic card reader to the user in step S34.
Därefter återgår transaktionsstationen i steg S36 till ett viloläge i väntan på att ett magnetkort på nytt matas in till kortläsaren 110.Thereafter, in step S36, the transaction station returns to a standby state while waiting for a magnetic card to be re-inserted into the card reader 110.
Ett exempel på IC-kortets 300, dvs den integrerade kretsens 310, arbetssätt gentemot styrdatorn 180 i trans- aktionsstationen 100 kommer nu att beskrivas med hänvis- ning till Fig 6, som schematiskt illustrerar ett flödes- schema för mikroprocessorn 315 i Pig 3.An example of the operation of the IC card 300, i.e. the integrated circuit 310, towards the control computer 180 in the transaction station 100 will now be described with reference to Fig. 6, which schematically illustrates a flow chart of the microprocessor 315 in Fig. 3.
Den rutin som visas i Fig 6 initieras i steg B10 och B12 av att mikroprocessorn 315 (utnyttjande program- rutinen 340 i Fig 3) mottar en instruktion via bussen 150 från transaktionsstationens 100 styrdator 180. En sådan 10 15 20 25 30 35 17 , 511 507 instruktion kan exempelvis vara den instruktion som sänds från styrdatorn 180 till IC-kortet 300 i steg S18 steg S22 (begäran om beräkning (begäran om kryptering), av autenticeringskod) eller steg S28 (begäran om autenticering av svar) i det flödesschema som beskrivits med hänvisning till Fig 4 ovan.The routine shown in Fig. 6 is initiated in steps B10 and B12 by the microprocessor 315 (using the program routine 340 in Fig. 3) receiving an instruction via the bus 150 from the control computer 180 of the transaction station 100. Such a 17, 511 507 instruction may be, for example, the instruction sent from the control computer 180 to the IC card 300 in step S18 step S22 (request for calculation (request for encryption), of authentication code) or step S28 (request for authentication of response) in the flow chart described with reference to Fig. 4 above.
Mikroprocessorn 315 fastställer därefter vilken typ av funktion som efterfrågas, dvs önskad typ av krypto- grafisk bearbetning, samt vilken nyckel som skall användas för denna funktion, i steg B14 respektive B16 genom att dessa uppgifter härleds ur den mottagna instruktionen. Därefter kontrollerar mikroprocessorn 315 i steg B18 att informationen i det fält 330 som hör samman med minnesfältet 320 för den angivna nyckeln anger att nyckeln får utnyttjas för den efterfrågade funktionen. Om så ej är fallet, avbryts rutinen och meddelar IC-kortet 300 styrdatorn 180 att uppdraget ej kommer att utföras.The microprocessor 315 then determines the type of function requested, i.e. the desired type of cryptographic processing, and the key to be used for this function, in steps B14 and B16, respectively, by deriving this information from the received instruction. Thereafter, in step B18, the microprocessor 315 checks that the information in the field 330 associated with the memory field 320 for the specified key indicates that the key may be used for the requested function. If not, the routine is interrupted and the IC card 300 notifies the control computer 180 that the task will not be performed.
Beroende på vilken typ av funktion som skall utföras, kan denna och liknande slags förberedande inhämtning, kontroll samt formering av information som skall utnyttjas i själva den kryptografiska algoritmen utföras på olika sätt, såsom indikeras med de olika rutinerna 351-353 i Fig 3.Depending on the type of function to be performed, this and similar types of preparatory acquisition, control and formation of information to be used in the cryptographic algorithm itself can be performed in different ways, as indicated by the different routines 351-353 in Fig. 3.
I steg B20 exekveras därefter den kryptografiska bearbetningen, i det föredragna fallet men utnyttjande av DES-algoritmen i rutin 360 i Fig 3, i beroende av önskad kryptografisk funktion och nyckel enligt ovan.In step B20, the cryptographic processing is then executed, in the preferred case but utilization of the DES algorithm in routine 360 in Fig. 3, depending on the desired cryptographic function and key as above.
I steg B22 (programrutin 370 i Fig 3) sätts därefter resultatet av den kryptografiska bearbetningen i steg B20 samman på ett sätt som är föredraget i enlighet med den efterfrågade funktionen, varefter resultatet i steg B24 sänds tillbaka till styrdatorn (PC) 180.In step B22 (program routine 370 in Fig. 3), the result of the cryptographic processing in step B20 is then compiled in a manner preferred in accordance with the requested function, after which the result in step B24 is sent back to the control computer (PC) 180.
IC-kortet i steg B26 till ett viloläge i väntan på nya Därefter återgår instruktioner. Även om uppfinningen beskrivits ovan med hänvisning till en exemplifierande utföringsform därav, inses att 511 lO 20 25 30 18 507 olika modifieringar och förändringar kan genomföras inom ramen för uppfinningens skyddsomfång, vilket definieras av de bifogade patentkraven. Exempelvis kan utformningen av såväl transaktionsstationen i sin helhet och IC-kortet enligt uppfinningen variera beroende på aktuell tillämp- ning. Även om uppfinningen i den exemplifierande utför- ingsformen beskrivits i samband med uttag av sedlar från en sedelautomat, inses att uppfinningen kan utnyttjas för genomförande av andra typer av finansiella transaktioner gentemot centraldatorn. Likaså kan gränssnittet gentemot användaren innefatta andra typer av element än de som beskrivits ovan. Exempelvis kan gränssnittet mot använ- daren innefatta en PC med tangentbord, mus och bildskärm eller liknande. Kommunikationen mellan centraldatorn och transaktionsstationen enligt uppfinningen kan ske över olika typer av kommunikationsnät. Även om det är föredraget att IC-kortet enligt uppfinningen anordnas oåtkomligt för besökaren, helst i ett skyddsskåp, kan det även anordnas såväl åtkomligt som oskyddat, eftersom nycklarna är lagrade på ett sådant sätt att de likväl ej kan åtkommas av en utomstående.The IC card in step B26 to a standby mode while waiting for new Then the instructions return. Although the invention has been described above with reference to an exemplary embodiment thereof, it will be appreciated that various modifications and changes may be made within the scope of the invention, as defined by the appended claims. For example, the design of both the transaction station as a whole and the IC card according to the invention may vary depending on the current application. Although the invention in the exemplary embodiment has been described in connection with the withdrawal of banknotes from a banknote machine, it is understood that the invention can be used for carrying out other types of financial transactions vis-à-vis the central computer. Likewise, the interface to the user may include other types of elements than those described above. For example, the user interface may include a PC with a keyboard, mouse and monitor or the like. The communication between the central computer and the transaction station according to the invention can take place over different types of communication networks. Although it is preferred that the IC card according to the invention is arranged inaccessible to the visitor, preferably in a safe, it can also be arranged both accessible and unprotected, since the keys are stored in such a way that they can still not be accessed by an outsider.
Claims (15)
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SE9702216A SE511507C2 (en) | 1997-06-10 | 1997-06-10 | Security module for transaction station and transaction station |
| JP11503383A JP2000507380A (en) | 1997-06-10 | 1998-05-28 | Safety module |
| PCT/SE1998/001019 WO1998059327A1 (en) | 1997-06-10 | 1998-05-28 | Safety module |
| AU80447/98A AU8044798A (en) | 1997-06-10 | 1998-05-28 | Safety module |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SE9702216A SE511507C2 (en) | 1997-06-10 | 1997-06-10 | Security module for transaction station and transaction station |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| SE9702216D0 SE9702216D0 (en) | 1997-06-10 |
| SE9702216L SE9702216L (en) | 1998-12-11 |
| SE511507C2 true SE511507C2 (en) | 1999-10-11 |
Family
ID=20407326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| SE9702216A SE511507C2 (en) | 1997-06-10 | 1997-06-10 | Security module for transaction station and transaction station |
Country Status (4)
| Country | Link |
|---|---|
| JP (1) | JP2000507380A (en) |
| AU (1) | AU8044798A (en) |
| SE (1) | SE511507C2 (en) |
| WO (1) | WO1998059327A1 (en) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10015098A1 (en) * | 2000-03-28 | 2001-10-25 | Giesecke & Devrient Gmbh | Process and terminal for data transactions using smart card used in network system |
| AU2001256591A1 (en) * | 2000-06-26 | 2002-01-08 | Covadis Sa | Computer keyboard unit for carrying out secure transactions in a communications network |
| FR2825495B1 (en) * | 2001-05-31 | 2003-09-26 | Schlumberger Systems & Service | ELECTRONIC PAYMENT TERMINAL, CHIP CARD SUITABLE FOR SUCH A TERMINAL AND METHOD FOR LOADING A SECRET KEY INTO SUCH A TERMINAL |
| DE10235498A1 (en) * | 2002-08-02 | 2004-02-19 | Wincor Nixdorf International Gmbh | Device for performing secure transactions at an automated teller machine |
| US7831828B2 (en) | 2004-03-15 | 2010-11-09 | Cardiac Pacemakers, Inc. | System and method for securely authenticating a data exchange session with an implantable medical device |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3477331D1 (en) * | 1983-09-02 | 1989-04-20 | Visa Usa Inc | Cryptographic key management system |
| DE3579816D1 (en) * | 1984-02-09 | 1990-10-25 | Toshiba Kawasaki Kk | DATA PROCESSING TERMINAL. |
| US5148481A (en) * | 1989-10-06 | 1992-09-15 | International Business Machines Corporation | Transaction system security method and apparatus |
| US5228084A (en) * | 1991-02-28 | 1993-07-13 | Gilbarco, Inc. | Security apparatus and system for retail environments |
| JP3305737B2 (en) * | 1991-11-27 | 2002-07-24 | 富士通株式会社 | Confidential information management method for information processing equipment |
-
1997
- 1997-06-10 SE SE9702216A patent/SE511507C2/en not_active IP Right Cessation
-
1998
- 1998-05-28 AU AU80447/98A patent/AU8044798A/en not_active Abandoned
- 1998-05-28 WO PCT/SE1998/001019 patent/WO1998059327A1/en not_active Ceased
- 1998-05-28 JP JP11503383A patent/JP2000507380A/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO1998059327A1 (en) | 1998-12-30 |
| SE9702216L (en) | 1998-12-11 |
| SE9702216D0 (en) | 1997-06-10 |
| JP2000507380A (en) | 2000-06-13 |
| AU8044798A (en) | 1999-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5036461A (en) | Two-way authentication system between user's smart card and issuer-specific plug-in application modules in multi-issued transaction device | |
| US4961142A (en) | Multi-issuer transaction device with individual identification verification plug-in application modules for each issuer | |
| JP2996250B2 (en) | Transaction information system | |
| EP0219880B1 (en) | Data processing terminal device | |
| RU2762299C2 (en) | Method for system for generating security code of prepaid, debit and credit cards | |
| KR100338492B1 (en) | Value Transfer System | |
| US5854891A (en) | Smart card reader having multiple data enabling storage compartments | |
| CA1059630A (en) | Transaction execution system with secure data storage and communications | |
| US5854581A (en) | Transaction processing system and transaction processing method | |
| US5185798A (en) | Ic card system having a function of authenticating destroyed data | |
| EP0138386A2 (en) | Identification card | |
| US4317957A (en) | System for authenticating users and devices in on-line transaction networks | |
| JP3722751B2 (en) | Parameter distribution method in offline chip card terminal, chip card terminal and user chip card suitable for it | |
| NO170371B (en) | DEVICE COMMUNICATING WITH DATA SYSTEMS AND PROCEDURE FOR COMMUNICATION WITH DATA SYSTEMS | |
| WO1998007092A9 (en) | Smart card reader having multiple data enabling storage compartments | |
| EP2704078A1 (en) | Security module and method of securing payment information | |
| US6684334B1 (en) | Secure establishment of cryptographic keys using persistent key component | |
| CA2430456A1 (en) | Offline code based reloading system | |
| SE511507C2 (en) | Security module for transaction station and transaction station | |
| CN100392589C (en) | system and method for executing transaction and method for operating terminal | |
| CN101320498B (en) | Method and device for credit deposit | |
| Ogata et al. | An ATM security measure for smart card transactions to prevent unauthorized cash withdrawal | |
| JP2003006449A (en) | System and method for transaction processing, password number input device, transaction terminal, and host device | |
| Hassler | Java Card for e-payment Applications | |
| US6272475B1 (en) | Apparatus and method for the secure dispensing of bank papers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| NUG | Patent has lapsed |