DE69828291T2

DE69828291T2 - Tragbares informations- und transaktionsverarbeitungssystem und dazugehöriges verfahren mit biometrischer authorisierung und digitaler zertifikatssicherheit

Info

Publication number: DE69828291T2
Application number: DE69828291T
Authority: DE
Inventors: Stephane Maes; Jan Sedivy
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 1997-08-11
Filing date: 1998-07-30
Publication date: 2005-12-22
Anticipated expiration: 2018-07-31
Also published as: JP3476189B2; JP2001512876A; IL130068A0; HUP0004470A2; US6016476A; EP1004099B1; EP1004099A1; KR100471508B1; DE69828291D1; HUP0004470A3; WO1999008238A1; PL338353A1; IL130068A; KR20010022217A; CZ2000470A3

Description

GEBIET DER ERFINDUNG
Die vorliegende Erfindung betrifft ein tragbares Daten- und Transaktionsverarbeitungssystem und -verfahren und insbesondere ein tragbares Daten- und Transaktionsverarbeitungssystem und -verfahren, das sich zur Bereitstellung einer persönlichen Überprüfung vor der Verarbeitung von durch einen Benutzer angeforderten Finanztransaktionen der digitalen Zertifikatssicherheit und biometrischen Zugangsberechtigung bedient und persönliche Daten liefert.
HINTERGRUND DER ERFINDUNG
Im US-amerikanischen Einzelhandel hat sich weithin durchgesetzt, dass das Kaufen oder Verkaufen von Waren und Dienstleistungen mittels Kreditkarten an Datenkassen (Point Of Sale, POS) sowie das elektronische Überweisen von Geldbeträgen mittels Geldkarten an Geldautomaten (Automated Teller Machine, ATM) günstiger ist als die Verwendung von Bargeld zum Bezahlen von Waren, Dienstleistungen oder Verbindlichkeiten. Die Verwendung von Bargeld als Zahlungsmittel zum Kaufen von Waren oder zum Begleichen von Verbindlichkeiten wird aus mehreren Gründen allgemein als lästig angesehen. Erstens muss der Verbraucher Aufzeichnungen über sein Konto manuell erstellen und für Deckung auf seinen Konten sorgen, um solche Bargeldtransaktionen unter Kontrolle zu haben. Wenn der Verbraucher jedoch eine von einem Geldinstitut ausgegebene Kreditkarte verwendet, werden die seine Transaktionen durch dieses Geldinstitut aufgezeichnet und dem Verbraucher monatlich zugeschickt, wodurch sich die Kontoführung und der Kontoausgleich einfacher gestalten.
Außerdem stellt die Verwendung von Bargeld in finanzieller Hinsicht ein unsicheres Verfahren zum Schutz des Verbrauchers gegen Betrug und Diebstahl dar. Wenn beispielsweise ein Verbraucher der Meinung ist, dass er ein mangelhaftes oder überteuertes Erzeugnis gekauft hat, was bei schnellen Verbrauchertransaktionen häufig vorkommt, bei denen der Verbraucher möglicherweise erst nach dem Kauf Zeit zum vernünftigen Überlegen hat, kann er wesentlich leichter Verbindung mit seinem Geldinstitut aufnehmen, um die Bezahlung der mit einer Kreditkarte gekauften Waren zu stoppen, als von dem Händler das Bargeld zurückzubekommen, bei dem er die Waren gekauft hat. Außerdem kann ein Verbraucher Bargeld, das ihm gestohlen wurde oder das er verloren hat, praktisch gar nicht zurückbekommen. Wenn der Verbraucher hingegen Kreditkarten verloren hat oder sie ihm gestohlen wurden, kann er sich mit dem entsprechenden Geldinstitut in Verbindung setzen, um solche Kreditkarten zu sperren und neue Kreditkartenkonten zu erhalten.
Folglich geht die Entwicklung heute immer mehr in Richtung einer „bargeldlosen Gesellschaft", was zu einer deutlichen Zunahme der Verwendung von Kreditkarten, Geldkarten und speziellen Kundenkarten bei der Durchführung von Verbrauchertransaktionen geführt hat. Trotz der erkennbaren Vorteile der Geldkarten gegenüber Bargeld ist die Verwendung dieser Karten noch mit einigen Nachteilen verbunden. wenn der Verbraucher beispielsweise öfter eine große Anzahl von Geldkarten verwendet, muss er alle diese Karten bei sich tragen, um auf ein gewünschtes Konto zugreifen zu können. Wenn der Verbraucher eine so große Anzahl von Geldkarten bei sich tragen muss, kann das sehr lästig sein, da diese Karten in der Brieftasche oder Geldbörse des Verbrauchers eine Menge Platz in Anspruch nehmen. Außerdem muss der Verbraucher, wenn er die Brieftasche oder Geldbörse verloren hat oder sie ihm gestohlen wurde, sich wegen jeder Geldkarte mit dem Geldinstitut in Verbindung setzen, um das Konto zu sperren und so einen unberechtigten Benutzer am Gebrauch solcher Karten zu hindern, was auch eine lästige Aufgabe darstellt.
Ein weiterer Nachteil bei der Verwendung von Geldkarten besteht darin, dass Verbraucher vor dem unberechtigten Gebrauch verlorener oder gestohlener Karten nicht vollständig geschützt sind. Zum Beispiel kann ein Händler während einer Verbrauchertransaktion das Eigentumsrecht an einer Kreditkarte bestätigen, indem er die (normalerweise) auf der Rückseite der Kreditkarte befindliche Unterschrift des Berechtigten mit der Unterschrift auf der Kreditkartenquittung vergleicht. Für gewöhnlich vergleichen die Händler während einer solchen Transaktion diese Unterschriften jedoch nicht, und selbst wenn sie es tun, können sie solche Unterschriften nicht so sorgfältig und mit der erforderlichen Gründlichkeit vergleichen, dass sie kleinere Unterschiede zwischen der Unterschrift des Verbrauchers und der gefälschten Unterschrift des unberechtigten Verbrauchers erkennen. Deshalb kann während der Zeit zwischen dem Zeitpunkt, an dem die Kreditkarte verloren oder gestohlen wurde, und dem Zeitpunkt, da der Verbraucher den Verlust oder Diebstahl wahrnimmt und das Konto sperrt, ein unberechtigter Benutzer, der die Karte gefunden oder gestohlen hat, das Kreditkartenkonto des Verbrauchers mit einem größeren Betrag belasten, sodass der Verbraucher sich mit dem Geldinstitut über die unberechtigten Belastungen auseinandersetzen muss.
BESCHREIBUNG DER ERFINDUNG
Eine Aufgabe der Erfindung besteht daher darin, eine tragbare Daten- und Transaktionsverarbeitungsvorrichtung („Persönlicher Digitaler Assistent", PDA) bereitzustellen, in der ein Benutzer seine Kreditkarten-, Geldkarten- und/oder Kundenkartendaten sowie persönliche Daten speichern kann, um dann auf ausgewählte Daten zuzugreifen und diese auf eine Smartcard („Universalkarte") zu schreiben, die dann zum Starten einer Datenkassen-, Geldautomaten- oder Verbrauchertransaktion verwendet wird.
Eine weitere Aufgabe der vorliegenden Erfindung besteht darin, eine PDA-Einheit bereitzustellen, die zur Benutzerüberprüfung biometrische Sicherheitsmittel einsetzt, bevor der Benutzer auf die ausgewählten persönlichen und Finanzdaten zugreift und diese auf die Universalkarte schreibt.
Eine weitere Aufgabe der vorliegenden Erfindung besteht darin, eine PDA-Einheit mit digitaler Zertifikatssicherheit bereitzustellen, bei welcher der Benutzer von einem Zentralserver des Diensteanbieters einer solchen Universalkarte periodisch ein temporäres digitales Zertifikat in die PDA-Einheit herunterladen muss, bevor er auf die ausgewählten persönlichen und Finanzdaten zugreift und diese auf die Universalkarte schreibt.
Eine weitere Aufgabe der vorliegenden Erfindung besteht darin, eine PDA-Einheit mit digitaler Zertifikatssicherheit bereitzustellen, das mit der vorhandenen Infrastruktur (d.h. der ohne Veränderung unmittelbar einsetzbaren Infrastruktur) kompatibel ist und elektronische Datenübertragungssysteme mit biometrischer Sicherheit versieht, die gegenwärtig nicht in der Lage sind, eine biometrische Überprüfung durchzuführen.
Eine weitere Aufgabe der vorliegenden Erfindung besteht darin, eine PDA-Einheit mit digitaler Zertifikatssicherheit bereitzustellen, die auf alle Anwendungen oder Systeme erweitert werden kann, in denen Magnetkarten und/oder Smartcards verwendet werden, beispielsweise Zugangskontrollkarten für den Zugriff auf eine Automatendienstleistung oder den Zugang zu einem Gebäude, Geldkarten zum Durchführen von Geldautomatentransaktionen, Telefonkarten oder Mobiltelefonkarten (z.B. für das digitale GSM-Mobiltelefonfunksystem) zum Führen von Telefongesprächen und Mitarbeiterkarten für den Zugriff auf vertrauliche Daten.
Diese Aufgaben werden durch die in den anhängenden Ansprüchen dargelegte Erfindung gelöst. Die Patentanmeldung WO-A-9 417 498 beschreibt ein Transaktionssystem, in welchem Daten mehrerer Karten in ein Speichermodul des Inhabers übertragen und die Karten dann gelöscht werden. Die zu verwendenden Daten der Karte werden vor der Transaktion durch Eingeben einer PIN oder biometrischer Daten wieder zu einer Karte zurück übertragen. Für diese Datenrückübertragung wird jedoch kein Zertifikat verlangt. Aus der Patentanmeldung WO-A-9 522 810 sind zwar Zertifikate zum Genehmigen einer einzelnen Transaktion bekannt, jedoch gibt es keinen Vorschlag, die Lehren der beiden oben erwähnten Dokumente miteinander zu verknüpfen. Außerdem werden in der vorliegenden Erfindung alle Anwendungen durch ein spezielles Zertifikat genehmigt.
Die Ausführungsart der Erfindung besteht in einem tragbaren Client-PDA mit einem Sensorbildschirm ( Touchscreen) oder einer anderen gleichwertigen Benutzeroberfläche, zu der ein Mikrofon und eine lokale Zentraleinheit (Central Processing Unit, CPU) zur Verarbeitung sprachaktivierter Befehle und zur Verarbeitung biometrischer Daten zur biometrischen Überprüfung eines Benutzers gehören. Die vorliegende Ausführungsart beinhaltet einen Speicher zum Speichern von persönlichen und Finanzdaten des Benutzers und eine E/A-Möglichkeit (Eingabe/Ausgabe) zum Schreiben und Lesen von Daten in bzw. aus verschiedenen Karten wie beispielsweise Smartcards, Magnetkarten, optische Karten oder ERROM-Karten (Electrically Alterable Read-Only Memory, Elektrisch veränderbarer Nur-Lese-Speicher). Die vorliegende Erfindung beinhaltet eine Universalkarte, bei der es sich um eine von einem Diensteanbieter bereitgestellte übliche standardmäßige Smartcard mit einem unverwechselbaren Aufdruck (d.h. einer Kontonummer) handelt, auf welche ausgewählte persönliche und Finanzdaten zur Durchführung diverser Transaktionen heruntergeladen werden können, die im PDA gespeichert sind. Der PDA enthält vorzugsweise einen Modem und einen seriellen und/oder einen parallelen Anschluss, um eine direkte Datenübertragung zu Peripherieeinheiten zu ermöglichen. Der PDA ist auch in der Lage, Daten über drahtlose Verbindungswege wie beispielsweise Funk- (HF) und Infrarotübertragung (IR) zu senden oder zu empfangen.
Die vorliegende Erfindung arbeitet in zwei Modi, d.h. einem Client-/Server-Modus und einem lokalen Modus. Der Client-/Server-Modus wird periodisch durchgeführt, um von einem Zentralserver des Diensteanbieters des PDA und der Universalkarte ein temporäres digitales Zertifikat herunterzuladen. Der Client-/Server-Modus erfolgt durch Herstellen einer Datenübertragungsverbindung zwischen dem PDA und einem Zentralserver des Diensteanbieters über Modem oder drahtlose Verbindung. Nachdem die Verbindung hergestellt wurde, überprüft der Zentralserver den Benutzer entweder biometrisch oder durch eine PIN bzw. ein Kennwort oder eine Kombination beider und erzeugt dann ein temporäres digitales Zertifikat, das in den PDA heruntergeladen wird. Ein nicht abgelaufenes temporäres digitales Zertifikat ist erforderlich, um auf ausgewählte im PDA gespeicherte Daten zuzugreifen und diese auf die Universalkarte zu schreiben.
Dann wird zum Starten einer Verbrauchertransaktion der lokale Betriebsmodus des PDA durchgeführt. Im lokalen Modus wählt der Benutzer vorzugsweise eine der zuvor registrierten und im PDA gespeicherten Kreditkarten aus, indem er einen Befehl in das Mikrofon des PDA spricht, wobei die CPU den gesprochenen Befehl verarbeitet und den Benutzer überprüft. Alternativ kann die Überprüfung (d.h. die lokale Überprüfung) durch Verwendung biometrischer Daten, einer PIN oder eines Kennwortes oder einer Kombination dieser Daten erfolgen. Nach der lokalen Überprüfung werden die ausgewählten Daten aus dem Speicher abgerufen und auf die Universalkarte geschrieben, die dann zum Starten der Transaktion bereit ist. Wenn jedoch kein gültiges digitales Zertifikat zur Verfügung steht, werden die ausgewählten Daten nicht auf die Universalkarte geschrieben, obwohl der Benutzer die lokale Überprüfung möglicherweise bereits bestanden hat.
Die vorliegende Erfindung macht auf vorteilhafte Weise den Aufwand, dass ein Benutzer eine Vielzahl von Geldkarten und/oder Kreditkarten mit sich tragen muss, die er häufig benutzt, entbehrlich. Die Finanzdaten für jede Karte können im PDA gespeichert und bei Bedarf auf die Universalkarte geschrieben werden. Wenn die Universalkarte verloren geht oder gestohlen wird, braucht der Benutzer sich lediglich mit dem Diensteanbieter in Verbindung zu setzen, um die Karte zu sperren und ein neues Konto zu eröffnen. Außerdem ist eine verlorene oder gestohlene Universalkarte für einen unberechtigten Benutzer aufgrund der biometrischen und digitalen Zertifikatssicherheit ohne Nutzen, die den unberechtigten Zugang auf die persönlichen und Finanzdaten des Benutzers verhindert.
Ferner kann die vorliegende Erfindung sofort eingesetzt werden, ohne dass Änderungen an der vorhandenen Infrastruktur vorgenommen werden müssen, da der PDA und die Universalkarte in allen Systemen eingesetzt werden können, die Magnetkarten oder Smartcards für die elektronische Datenübertragung verwenden, beispielsweise an Datenkassen (POS) oder Geldautomaten (ATM), in denen direkt abgebucht werden kann.
KURZBESCHREIBUNG DER ZEICHNUNGEN
1 ist ein Blockschaltbild, das die Elemente einer tragbaren Daten- und Transaktionsverarbeitungsvorrichtung gemäß einer Ausführungsart der vorliegenden Erfindung darstellt;
2a und 2b zeigen eine Universalkarte gemäß einer Ausführungsart der vorliegenden Erfindung;
3 ist ein Blockschaltbild, welches das Zusammenwirken der tragbaren Daten- und Transaktionsverarbeitungsvorrichtung in Verbindung mit der Verarbeitung einer Transaktion gemäß der vorliegenden Erfindung zeigt;
4 ist ein Ablaufdiagramm, welches den Client-/Server-Betriebsmodus gemäß der vorliegenden Erfindung veranschaulicht;
5 ist ein Ablaufdiagramm, welches den lokalen Betriebsmodus gemäß der vorliegenden Erfindung veranschaulicht;
6 ist ein Ablaufdiagramm, welches einen anderen lokalen Betriebsmodus gemäß der vorliegenden Erfindung veranschaulicht.
DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSARTEN
Es sei darauf hingewiesen, dass dieselben oder ähnliche in den Figuren dargestellte Komponenten durchgehend mit denselben Bezugsnummern bezeichnet sind. Ferner versteht es sich, dass die hier beschriebenen Elemente oder Baugruppen gemäß der vorliegenden Erfindung in unterschiedlichen Formen von Hardware, Software oder einer Kombination beider realisiert werden können. Vorzugsweise sind die Hauptelemente der biometrischen Überprüfung und die Spracherkennungselemente als Software realisiert und können jede geeignete und bevorzugte Prozessorarchitektur zur Durchführung der Erfindung durch Programmierung eines oder mehrerer Universalprozessoren beinhalten. Da einige der hier beschriebenen Komponenten der Erfindung vorzugsweise als Softwaremodule ausgeführt werden, ist es außerdem klar, dass sich die Verbindungen, so wie sie in den Figuren dargestellt sind, je nach der Art und Weise, wie die Erfindung programmiert ist, unterscheiden können. Selbstverständlich können zur Realisierung der Erfindung auch Spezialprozessoren verwendet werden.
Das Blockschaltbild in 1 zeigt Elemente der tragbaren Daten- und Transaktionsverarbeitungsvorrichtung (PDA) 10 gemäß einer Ausführungsform der vorliegenden Erfindung. Kernstück der Vorrichtung ist eine Zentraleinheit (CPU) 12, die mittels in einem Speicher 14 gespeicherter und durch die CPU 12 ausgeführter Programme die Funktion der PDA-Einheit 10 steuert. Insbesondere enthält die CPU 12 ein Akustikprozessormodul 16 zur Verarbeitung von Sprachbefehlen, die über ein Mikrofon 18 in die PDA-Einheit 10 eingegeben werden. Das Akustikprozessormodul 16 dient auch zur lokalen Sprecherüberprüfung. Die CPU 12 enthält auch ein Prozessormodul 20 für digitale Zertifikate zur Verarbeitung eines während des (später ausführlich zu erörternden) Client-/Server-Betriebsmodus empfangenen digitalen Zertifikats und ein Biometrieprozessormodul 22 zur Verarbeitung biometrischer Daten zusätzlich oder alternativ zu den Sprachdaten, um die Benutzerüberprüfung durchzuführen. Die CPU 12 enthält ferner ein Verschlüsselungs-/Entschlüsselungsmodul 24 zur Verschlüsselung der persönlichen und Finanzdaten vor der Speicherung im Speicher 14 und zur Entschlüsselung dieser Daten beim Zugriff durch den Benutzer. Obwohl die vorliegende der Veranschaulichung dienende Ausführungsart die CPU 12 zeigt, welche das Modul 20 für digitale Zertifikate, das Verschlüsselungs-/Entschlüsselungsmodul 24, das Akustikprozessormodul 16 und das Biometrieprozessormodul 22 umfasst, ist klar, dass solche Module auch als Spezialmodule realisiert werden können, die jeweils einen Prozessor, einen zugehörigen Speicher und gespeicherte Programme zur Ausführung solcher Funktionen aufweisen.
Die PDA-Einheit 10 enthält eine Smartcardlese-/-schreibeinheit 30 (die in der Technik bekannt ist) zum Lesen und Schreiben von Daten auf bzw. von verschiedenen Karten, z.B. Magnetkarten, IC-Karten und/oder EAROM-Karten (die bekannte Standards und Techniken verwenden). Während des lokalen Betriebsmodus der PDA-Einheit 10 wird eine Universalkarte 26 der vorliegenden Erfindung in die Smartcardlese-/-schreibeinheit 30 gesteckt, und nach der Überprüfung des Benutzers werden ausgewählte persönliche und Finanzdaten auf die Universalkarte 26 geschrieben. Wenn die Universalkarte 26 nicht benutzt wird, kann sie in einem Smartcard-Aufbewahrungsfach 32 der PDA-Einheit 10 aufbewahrt werden.
Die PDA-Einheit 10 enthält eine Benutzeroberfläche/-anzeige 34, die vorzugsweise ein LCD-Sensorbildschirm (Liquid Crystal Display, Flüssigkristallanzeige) zum Anzeigen und/oder Eingeben von Daten, die sich auf die Operationen oder Funktionen der PDA-Einheit 10 beziehen. Alternativ kann die Oberfläche/Anzeige 24 aus einer Tastatur und einem herkömmlichen LCD-Bildschirm bestehen. Außerdem kann die PDA-Einheit 10 akustisch mit dem Benutzer kommunizieren oder von ihm Daten über einen Lautsprecher 26 anfordern, der funktionsmäßig über eine Text-/Sprachumsetzereinheit 38 mit der CPU 12 verbunden ist. Die Text-/Sprachumsetzereinheit 38 setzt Signale aus der CPU 12 in synthetische Sprache um, die dann über den Lautsprecher 36 ertönt. Die PDA-Einheit 10 kann so konfiguriert werden, dass die Informationen auf dem Bildschirm angezeigt und gleichzeitig als synthetische Sprache ausgegeben werden. Außerdem kann die PDA-Einheit 10 ohne Bildschirm (oder nur mit einem reduzierten Bildschirm) betrieben werden und sich zur Übermittlung der Informationen an den Benutzer eines solchen Geräts allein auf die Text-/Sprachfunktionen beschränken.
Zur Erfassung biometrischer Daten (außer den über das Mikrofon 18 empfangenen Sprachdaten) wie beispielsweise eines Finger-, Daumen- oder Handflächenabdrucks, einer Handschriftenprobe, Blutgefäßmusters der Netzhaut oder einer Kombination dieser Kennzeichen kann auch ein herkömmlicher Biometriesensor 40 bereitgestellt werden, um alternativ zur oder als Ergänzung der biometrischen Sprachüberprüfung eine biometrische Überprüfung zu ermöglichen. Diese Daten werden dann durch das Biometrieprozessormodul 22 verarbeitet, um den Benutzer vor dem Zugriff auf die im Speicher 14 gespeicherten persönlichen und Finanzdaten zu überprüfen. Dem Fachmann ist klar, dass die biometrischen Überprüfungsmerkmale der PDA-Einheit durch eine PIN (Personal Identification Number, persönliche Kennzahl) oder ein Kennwort zur Benutzerüberprüfung ersetzt oder ergänzt werden können.
Die PDA-Einheit 10 kann vorzugsweise mit mehreren Datenanschlüssen wie beispielsweise einem seriellen Anschluss 42 und einem parallelen Anschluss 44 (die bekannte Standards für Computerschnittstellen verwenden) ausgerüstet sein, die funktionsmäßig mit der CPU 12 verbunden sein können, sowie einer Telefonleitungsschnittstelle 46 (unter Verwendung einer bekannten Schnittstellenverbindung), um ein Mittel zur Herstellung einer Datenübertragungsverbindung zwischen der PDA-Einheit 10 und anderen Peripherieeinheiten wie zum Beispiel Computer, Modems und Druckern bereitzustellen. Zur Herstellung einer drahtlosen Datenübertragungsverbindung kann die Einheit vorzugsweise mit einem Funkprozessormodul 48 ausgestattet sein, das funktionsmäßig mit der CPU 12 und einem Funkanschluss 50 verbunden ist, um mittels herkömmlicher Konstruktionen und Techniken über den Funkanschluss 50 empfangene Funkdaten zu verarbeiten und Sendesignale zu erzeugen, die über den Funkanschluss 50 gesendet werden. Die Einheit kann auch mit einem IR-Prozessormodul 52 ausgestattet sein, das funktionsmäßig zwischen die CPU 12 und einen IR-Anschluss 54 geschaltet ist, um mittels herkömmlicher Konstruktionen und Techniken ankommende optische Daten zu verarbeiten und optische Sendesignale zu erzeugen. Vorzugsweise enthält die PDA-Einheit 10 ein DTMF-Prozessormodul (Dual Tone Multi-Frequency, Mehrfrequenzwahlverfahren) 58 und einen Modem 58, die zwischen die CPU 12 und die Telefonleitungsschnittstelle 46 geschaltet sind. Die Übertragung von Finanzdaten kann unter Verwendung bekannter Verfahren auch über einen Modem und/oder durch eine Mehrfrequenzübertragung über eine Telefonleitung erfolgen. Die Mehrfrequenzübertragung kann zur Verarbeitung der PINs zur Überprüfung und Berechtigung des Benutzers eingesetzt werden.
2a und 2b zeigen eine Darstellung der Universalkarte 26 gemäß einer Ausführungsart der vorliegenden Erfindung. Die Universalkarte 26 ist im Wesentlichen eine standardmäßige Smartcard, die entweder einen Magnetstreifen 28 (2a) oder einen integrierten Chip (IC) 29 (2b) oder beides zur Speicherung der ausgewählten Daten enthält, welche während des lokalen Betriebsmodus der PDA-Einheit 10 mittels der Smartcardlese-/-schreibeinheit 30 aus dem Speicher 14 abgerufen und auf die Universalkarte 26 geschrieben werden.
Auf die (vom Serviceprovider ausgegebene) Universalkarte 26 ist eine persönliche Universalkartennummer 27 aufgedruckt, die der durch den Diensteanbieter zugeteilten Kontonummer des Benutzers entspricht (analog zur Kontonummer auf einer Kreditkarte oder einer Geldkarte ).
Im Folgenden wird ausführlicher erörtert, dass zur Überprüfung des Benutzers bei Datenkassentransaktionen anstelle des magnetischen Lesegeräts zum magnetischen Lesen des Magnetstreifens 28 der Universalkarte 26 die Universalkartennummer 27 verwendet werden kann, indem diese mittels eines herkömmlichen mechanischen Lesegeräts abgetastet wird. Die persönliche Universalkartennummer 27 kann auch in solchen Fällen zur Überprüfung des Benutzers verwendet werden, in denen Verbrauchertransaktionen aus der Distanz über ein Telefon stattfinden. In einem solchen Fall wird, wie im Folgenden erläutert wird, nach Überprüfung des Benutzers auf der PDA-Einheit 10 eine Berechtigungsnummer angezeigt, die nur für das aktuelle digitale Zertifikat gilt. Die Berechtigungsnummer kann zusammen mit der persönlichen Universalkartennummer 27 zur Überprüfung des Benutzers verwendet werden.
3 stellt ein Blockschaltbild dar, welches das Zusammenwirken der PDA-Einheit 10 bei der Verarbeitung einer Transaktion gemäß der vorliegenden Erfindung zeigt. Zuerst muss der Benutzer der PDA-Einheit 10 und der Universalkarte 26 (1 und 2) eine Anmeldeprozedur beim Diensteanbieter ausführen. Die Anmeldung besteht darin, dass der Benutzer eine Universalkarte 26 mit einer speziellen Kontonummer (d.h. der auf die Universalkarte 26 aufgedruckten persönlichen Kartennummer 27) erhält und dem Diensteanbieter seine Kreditkarten- oder Geldkartendaten mitteilt, damit die Geldinstitute, die solche Karten ausgegeben haben, die Daten überprüfen können. Diese Daten werden dann in einem Zentralserver 60 des Diensteanbieters gespeichert. Der Benutzer kann dann diese Daten nacheinander in die PDA-Einheit 10 herunterladen, indem er eine Datenübertragungsverbindung (L1) zum Zentralserver 60 herstellt. Alternativ können die Kreditkarten oder Geldkarten in die PDA-Einheit 10 geladen werden, indem die in diesen Karten enthaltenen Daten direkt mittels der Smartcardlese-/-schreibeinheit 30 der PDA-Einheit 10 gelesen werden. In einer solchen Situation vergleicht die PDA-Einheit 10 die Benutzer-ID der Kreditkarten mit der Benutzer-ID der PDA-Einheit, um den Benutzer zu überprüfen und so zu verhindern, dass ein Benutzer die Daten von Karten einer anderen Person in seine PDA-Einheit 10 herunterlädt. Sollte die PDA-Einheit nicht in der Lage sein, den Inhaber einer Karte zu überprüfen, welche gerade über die Smartcardlese-/schreibeinheit 30 direkt heruntergeladen wird (d.h., wenn die Karte nicht den Namen ihres Inhabers enthält), muss der Benutzer die Karte anmelden, indem er dem Diensteanbieter die Kartendaten mitteilt (um eine Freigabe vom jeweiligen Geldinstitut zu erhalten) und eine Verbindung zum Zentralserver 60 herstellt, um die Kartendaten herunterzuladen.
Zur Anmeldung gehört auch, dass dem Diensteanbieter persönliche Daten wie beispielsweise die Sozialversicherungsnummer, die Adresse, der Mädchenname und das Geburtsdatum des Benutzers mitgeteilt werden, die im Zentralserver 60 gespeichert werden. Diese Daten dienen dann zur Überprüfung des Benutzers während des Client-/Servermodus vor der Ausgabe eines digitalen Zertifikats. Der Diensteanbieter stellt eine persönliche Kennnummer PIN und die Universalkarte 26 mit einer persönlichen Kontonummer 27 zur Verfügung. Diese Daten werden zusammen mit biometrischen Daten wie beispielsweise Sprachmustern (Modellen) des Benutzers zur Überprüfung des Benutzers während des Client-/Servermodus im Zentralserver 60 des Diensteanbieters gespeichert, um ein digitales Zertifikat zu erhalten (Erörterung folgt später). Der Zentralserver 60 ist ein Computer, der so programmiert ist, dass er die hier beschriebenen Funktionen wie beispielsweise biometrische Überprüfung, Spracherkennung und Erzeugen und Herunterladen eines temporären digitalen Zertifikats ausführen kann.
Im Folgenden wird unter Bezug auf 1, 3 und 4 der Client-/Servermodus der vorliegenden Erfindung beschrieben. Wie oben bereits erwähnt, muss der Benutzer periodisch eine Verbindung zwischen der PDA-Einheit 10 und dem Zentralserver 60 des Diensteanbieters (Verbindung L1 in 3) herstellen, um vor dem Starten einer Verbrauchertransaktion ein gültiges digitales Zertifikat vom Zentralserver 60 zu erhalten. Das digitale Zertifikat stellt speziell eine verschlüsselte binäre Datei dar, die in die PDA-Einheit 10 heruntergeladen werden muss, bevor persönliche oder Finanzdaten des Benutzers auf die Universalkarte 26 geschrieben werden können. Das digitale Zertifikat enthält (unter anderem) Daten zur Kontonummer der PDA-Einheit 10, das Datum, an welchem das digitale Zertifikat erteilt wurde, und sein Verfallsdatum sowie die für jede angemeldete Karte geltenden Einschränkungen. Das digitale Zertifikat wird im Speicher 14 der PDA-Einheit 10 gespeichert.
Vor dem Ausführen einer Transaktion (d.h. vor dem Herunterladen ausgewählter Kartendaten aus dem Speicher 14 auf die Universalkarte 26), wird das digitale Zertifikat mittels des Verschlüsselungs-/Entschlüsselungsmoduls 24 entschlüsselt und in das Prozessormodul 20 für digitale Zertifikate geladen, in welchem es verarbeitet wird, um seine Gültigkeit zu ermitteln.
Um das digitale Zertifikat zu erhalten, muss der Benutzer eine Datenübertragungsverbindung (Verbindung L1 in 3) zum Zentralserver 60 des Diensteanbieters herstellen (Schritt 100 in 4). Die Verbindung kann durch Einwählen in den Zentralserver 60 über eine Telefonleitung über den Modem 58 und die Telefonleitungsschnittstelle 46 hergestellt werden. Die vorliegende Erfindung berücksichtigt auch den Fall, dass die Verbindung zum Zentralserver 60 über einen digitalen Datenübertragungskanal wie beispielsweise das Internet, ein Intranet oder ein lokales Netz hergestellt werden kann. Alternativ kann die Verbindung zwischen der PDA-Einheit 10 und dem Zentralserver 60 über eine drahtlose Verbindung hergestellt werden, z.B. über den Funkanschluss 50 und das Funkprozessormodul 48. Ferner kann die PDA-Einheit 10 mit dem Zentralserver auch über einen speziellen Geldautomaten (oder zum Beispiel über Telefonzellen) verbunden werden, der die Verbindung zum Zentralserver 60 über ein Intranet und das TCP/IP-Protokoll herstellt. Es ist klar, dass die PDA-Einheit 10 funktionsmäßig entweder direkt (z.B. über die seriellen oder parallelen Anschlüsse 42 und 44) oder durch eine drahtlose Verbindung über den Funkanschluss 50 oder den IR-Anschluss 54 mit der Telefonzelle verbunden sein kann. Wie oben bereis gezeigt, ist dem Fachmann klar, dass über jeden herkömmlichen Datenübertragungskanal auf den Zentralserver 60 der vorliegenden Erfindung zugegriffen werden kann.
Nach dem Herstellen der Verbindung wird der Benutzer aufgefordert (entweder durch Text auf der Benutzeroberfläche/-anzeige 34 oder verbal über die Text-/Sprachumsetzereinheit 38 und den Lautsprecher 36), bestimmte Überprüfungsdaten einzugeben (Schritt 102). Diese Daten werden dann über die Datenübertragungsverbindung L1 zum Zentralserver 60 übertragen. Speziell kann der Zentralserver 60 dem Benutzer eine Reihe von Fragen stellen (die zufällig aus der Gesamtheit der während des Anmeldeprozesses gestellten und beantworteten Fragen ausgewählt werden). Diese Fragen werden durch die CPU 12 der PDA-Einheit 10 empfangen und entweder auf der Benutzeroberfläche 34 angezeigt oder zur Text-/Sprachumsetzereinheit 38 gesendet, wo sie in synthetische Sprache umgewandelt und dann über den Lautsprecher 36 dem Benutzer hörbar übermittelt werden. Der Zentralserver 60 kann den Benutzer auch auffordern, die PIN einzugeben, die er während des Anmeldeprozesses erhalten hat.
Wenn solche Überprüfungsdaten nicht innerhalb einer vorgegebenen Zeit eingegeben werden (Schritt 104), trennt der Zentralserver 60 automatisch die Datenübertragungsverbindung L1, und es wird kein digitales Zertifikat heruntergeladen (Schritt 106). Wenn der Benutzer die verlangten Überprüfungsdaten jedoch rechtzeitig eingibt (Schritt 104), verarbeitet der Zentralserver 60 diese Daten (Schritt 108). Der Benutzer kann die verlangten Überprüfungsdaten liefern, indem er die Antworten auf die gestellten Fragen in das Mikrofon 18 spricht. Die Audiosignale werden dann durch die CPU 12 empfangen und zum Akustikprozessormodul 16 weitergeleitet, um die Antworten des Benutzers dort zu verarbeiten und anschließend über die Datenübertragungsverbindung L1 zum Zentralserver 60 zu senden. Außerdem kann der Benutzer seine eigene PIN über die Benutzerschnittstelle/-anzeige 34 eingeben. Diese PIN wird dann durch das DTMF-Modul 56 verarbeitet, um entsprechende Tonsignale zu erzeugen, die durch den Zentralserver 60 empfangen und verarbeitet werden können. Vorzugsweise kann die PIN z.B. durch die Ansage „Meine PIN ist 3456" in das Mikrofon eingegeben werden, wobei die Audiosignale durch das Akustikprozessormodul 16 verarbeitet und dann über die eingerichtete Datenübertragungsverbindung L1 zum Zentralserver 60 gesendet werden.
Während der Benutzer die geforderten Überprüfungsdaten eingibt, beginnt der Zentralserver 60 mit der Verarbeitung der Überprüfungsdaten (Schritt 108). Speziell führt der Zentralserver 60 eine Überprüfung des Sprechers durch, um die Sprachmodelle des Benutzers, die durch die CPU 12 der PDA-Einheit 10 verarbeitet und kompiliert wurden, mit den Sprachmustern des Benutzer zu vergleichen, die während des Anmeldeprozesses im Zentralserver 60 gespeichert wurden. Ferner vergleicht der Zentralserver 60 die durch den Benutzer gegebenen Antworten mit den während des Anmeldeprozesses gegebenen Antworten, um deren Übereinstimmung zu ermitteln. Der Zentralserver 60 kann auch überprüfen, ob die durch den Benutzer eingegebene PIN derjenigen PIN entspricht, die während des Anmeldeprozesses ausgegeben wurde. Wenn der Zentralserver 60 nach der Verarbeitung der Überprüfungsdaten feststellt, dass es sich bei dem Benutzer nicht um einen berechtigten Benutzer handelt (Schritt 110), wird die Datenübertragungsverbindung L1 unterbrochen und kein digitales Zertifikat heruntergeladen (Schritt 106).
Es ist klar, dass die vorliegende Erfindung jedes herkömmliche Sprach-/Sprechererkennungssystem verwenden kann. Die vorliegende Erfindung ist in keiner Weise auf die Verwendung von Einzelheiten oder Methoden eines möglicherweise verwendeten bestimmten Sprach-/Sprechererkennungssystems beschränkt oder davon abhängig. Vorzugsweise wird durch den Zentralserver 60 und die PDA-Einheit 10 als Sprechererkennungssystem gemäß der vorliegenden Erfindung ein System verwendet, das eine textunabhängige Sprechererkennung durchführt und zufällig ausgewählte Fragen stellt, d.h. eine Kombination von Spracherkennung, textunabhängiger Sprechererkennung und natürlicher Sprachanalyse unter Verwendung akustischer und nichtakustischer Modelle, um Schutz vor unberechtigtem Zugriff auf eine Dienstleistung/Einrichtung (d.h. den Zentralserver 60) zu bieten, wie es in der US-Patentschrift 08/871 784, eingereicht am 11. Juni 1997, unter dem Titel „Apparatus And Methods For Speaker Verification/Identification/Classification Employing Non-Acoustic And/Or Acoustic Models and Databases" beschrieben wird, die ebenfalls an den Anmelder der vorliegenden Erfindung abgetreten wurde. Insbesondere beruht das textunabhängige Sprechererkennungssystem auf einer abschnittsweisen Merkmalklassifikation, die in der US-Patentschrift 08/788 471, eingereicht am 28. Januar 1997, unter dem Titel „Text Independent Speaker Recognition for Transparent Command Ambiguity Resolution and Continuous Access Control" ausführlich beschrieben wird und ebenfalls an den Anmelder der vorliegenden Erfindung abgetreten wurde.
In der oben zitierten US-Patentschrift 08/871 784 wurde erläutert, dass der textunabhängigen Sprechererkennung der Vorzug gegeben wird gegenüber der textabhängigen oder auf Texteingaben basierenden Sprechererkennung, da die Sprechererkennungsfunktion, wenn sie textunabhängig ist, in einer für den Anrufer transparenten Weise parallel zu anderen Spracherkennungsfunktionen ausgeführt werden kann. Es ist jedoch klar, dass die vorliegende Erfindung eine textabhängige oder auf Texteingaben basierende Sprecherüberprüfung verwenden kann.
Ferner ist klar, dass ein automatisches Sprach-/Sprechererkennungssystem, das in der US-Patentschrift 08/873 079, eingereicht am 11. Juni 1997, unter dem Titel „Portable Acoustic Interface For Remote Access to Automatic Speech/Speaker Recognition Server" beschrieben wird, bei der vorliegenden Erfindung vorzugsweise eingesetzt werden kann, um bei fernen Transaktionen zwischen der PDA-Einheit 10 und dem Zentralserver 60 eine korrekte Spracherkennung zu gewährleisten.
Insbesondere gibt es, wie in der oben erwähnten US-Patentschrift 08/873 079 erläutert wird, bei der Fernübertragung zwischen Server-/Client-Systemen, welche die automatische Sprach-/Sprechererkennung verwenden, bestimmte Probleme. Hierzu gehören der Verlust an Datengenauigkeit durch Verschlechterung der über einen Datenübertragungskanal übertragenen Sprachdaten und durch die wechselnden Hintergrundgeräusche auf der Benutzerseite, welche die Genauigkeit der Spracherkennung verringern. Solche Probleme lassen sich durch die Vorverarbeitung der Sprachsignale beheben, die über den Datenübertragungskanal zum Server übertragen werden. Diese Vorverarbeitung beinhaltet die Kennzeichnung der akustischen Merkmale der Sendeeinheit, der Umgebung, des Sprechers und des Datenübertragungskanals, wobei diese Daten in der Weise verarbeitet werden, dass der Zentralserver Vergleichswerte festlegt, geeignete Decodierungsmodelle und -algorithmen auswählt, um den Sprecher zu erkennen oder um die Sprache durch Modellierung der Kanalübertragungsfunktion und der Hintergrundgeräusche zu decodieren, um die Wortfehlerrate des Gesprochenen zu verringern oder eine korrekte Sprechererkennung durchzuführen.
Wenn der Benutzer jedoch in 4 erkannt wurde (Schritt 110), fordert der Zentralserver 60 den Benutzer auf, bestimmte Transaktionseinschränkungen einzugeben wie zum Beispiel die zu verwendenden speziellen Geldkartendaten, den maximalen Ausgabebetrag während der Gültigkeit des temporären digitalen Zertifikats und/oder den Zeitraum, während dessen das temporäre digitale Zertifikat gültig sein soll (Schritt 112). Der Zentralserver 60 empfängt diese Daten, verarbeitet sie und erzeugt und codiert dann ein digitales Zertifikat mit den durch den Benutzer angeforderten Beschränkungen (Schritt 114). Dieses digitale Zertifikat wird dann durch den Zentralserver 60 verschlüsselt und über die eingerichtete Datenübertragungsverbindung L1 in das Verarbeitungsmodul 20 für digitale Zertifikate der CPU 12 heruntergeladen (Schritt 116). Es ist klar, dass die vorliegende Erfindung als Verschlüsselungs-/Entschlüsselungsprozess ein beliebiges bekanntes Verschlüsselungsverfahren bzw. einen Algorithmus verwenden kann wie zum Beispiel den in Bruce Schneider, „Applied Cryptography", zweite Auflage, Verlag Wiley, 1996, beschriebenen Prozess. Das digitale Zertifikat wird dann im Speicher 14 der PDA-Einheit 10 gespeichert. Sobald der Benutzer im Besitz eines gültigen digitalen Zertifikats ist, kann er den lokalen Betriebsmodus der PDA-Einheit 10 ausführen.
Aus dem oben Gesagten ergibt sich, dass die vorliegende Erfindung zusätzlich zur biometrischen Überprüfung zur Erlangung des erforderlichen digitalen Zertifikats vom Zentralserver 60 einen PIN- oder Kennwortschutz verwenden kann. Außerdem können im Rahmen der vorliegenden Erfindung die in der oben zitierten US-Patentschrift 08/873 079 beschriebenen Verfahren zur Fernberechtigung, zum Zurücksetzen oder Aufheben der Kennwörter, Zugangsberechtigungen, PINs und/oder Chiffrier-/Dechiffrierschlüssel des Benutzers verwendet werden, wobei der Benutzer eine Datenübertragungsverbindung zum Zentralserver 60 (über die PDA-Einheit 10) einrichten kann, um z.B. eine Änderung der PIN zu verlangen.
Im Folgenden wird unter Bezug auf 1, 3 und 5 der lokale Betriebsmodus der vorliegenden Erfindung beschrieben. Der lokale Betriebsmodus wird gestartet, indem der Benutzer eine zuvor angemeldete Kreditkarte auswählt, die im Speicher 14 gespeichert ist (Schritt 200). Der Auswahlprozess erfolgt vorzugsweise durch Sprachbefehle (z.B., indem in das Mikrofon 18 gesprochen wird: „Ich möchte meine American-Express-Karte benutzen"). Diese Sprachbefehle werden dann durch die CPU 12 empfangen und im Akustikprozessormodul 16 verarbeitet. Es ist klar, dass bei der vorliegenden Erfindung eine beliebige bekannte Befehls- und Steuereinrichtung zur Spracherkennung verwendet werden kann, um die Spracherkennungsfunktionen gemäß der vorliegenden Erfindung auszuführen, zum Beispiel das handelsübliche System IBM VIAVOICE GOLD mit großem Wortschatz.
Alternativ kann die gewünschte Karte über die Benutzeroberfläche/-anzeige 34 ausgewählt werden. Dann durchsucht die CPU 12 den Speicher 14 nach den gewünschten Daten (Schritt 202). Wenn die Karte nicht zuvor während des Anmeldeprozesses in der PDA-Einheit 10 gespeichert worden war, wird der Benutzer aufgefordert, eine andere Karte auszuwählen (Schritt 204).
Wenn die gewünschten Kartendaten im Speicher gefunden werden, muss zunächst eine biometrische Überprüfung erfolgen, bevor die Kartendaten auf die Universalkarte 26 geschrieben werden können. Alternativ kann, wie oben erwähnt, anstelle oder zusätzlich zur biometrischen Überprüfung eine PIN- oder Kennwortüberprüfung erfolgen. Bei der bevorzugten Ausführungsart der vorliegenden Erfindung unter Verwendung von Sprachbefehlen zur Auswahl der gewünschten Karte fungiert das Mikrofon 18 als biometrischer Sensor zum Aufnehmen biometrischer Sprachdaten. Diese biometrischen Sprachdaten werden dann zum Akustikprozessormodul 16 gesendet, in welchem diese Daten verarbeitet werden (Schritt 206), indem die eingegebenen biometrischen Sprachdaten mit den im Speicher 14 gespeicherten Sprachmodellen des Benutzers verglichen werden.
Obwohl eine solche Überprüfung mittels eines herkömmlichen Verfahren durchgeführt werden kann, wird bei der vorliegenden Erfindung den in den oben zitierten US-Patentschriften 08/871 784 und 08/788 471 beschriebenen Verfahren zur Sprecherüberprüfung der Vorzug gegeben.
Bei einer anderen Ausführungsart der vorliegenden Erfindung kann anstelle oder in Verbindung mit dem Mikrofon ein biometrischer Sensor 40 eines beliebigen bekannten Typs dazu verwendet werden, durch das Biometrieprozessormodul 22 zu verarbeitende biometrische Daten mittels bekannter Verfahren zu erfassen, z.B. Daten von Finger-, Daumen- oder Handflächenabdrücken, Handschriftendaten, Daten zum Blutgefäßmuster der Netzhaut oder deren Kombination. Auch hier kann bei einer weiteren Ausführungsart der vorliegenden Erfindung anstelle oder zusätzlich zu solchen biometrischen Überprüfungsverfahren eine PIN- oder Kennwortüberprüfung erfolgen.
Nach der Verarbeitung der biometrischen Daten durch das Akustikprozessormodul 16 (wenn die Sprachüberprüfung verwendet wird) oder das Biometrieprozessormodul 22 (wenn andere biometrische Überprüfungsverfahren verwendet werden) oder durch beide wird ermittelt, ob es sich bei dem Benutzer um einen berechtigten Benutzer handelt (Schritt 208). Wenn der Benutzer nicht bestätigt wird, werden die ausgewählten Kartendaten nicht auf die Universalkarte 26 geschrieben (Schritt 210). wenn der Benutzer bestätigt wird, wird das digitale Zertifikat (das zuvor im Client-/Servermodus erhalten wurde) aus dem Speicher 14 abgerufen und in das Prozessormodul 20 für digitale Zertifikate geladen. Das Prozessormodul 20 für digitale Zertifikate verarbeitet das digitale Zertifikat, um zu ermitteln, ob es noch gültig (d.h. noch nicht abgelaufen) ist und ob die Verwendung der ausgewählten Karte aufgrund der während des Client-/Servermodus durch den Benutzer für diese Karte festgelegten Einschränkungen nicht erlaubt ist (Schritt 212). Wenn das digitale Zertifikat nicht gültig (d.h. abgelaufen) ist, werden die ausgewählten Kartendaten nicht auf die Universalkarte 26 geschrieben (Schritt 210).
Wenn das digitale Zertifikat gültig (d.h. nicht abgelaufen) ist, werden die angeforderten Kartendaten aus dem Speicher 14 abgerufen und im Verschlüsselungs-/Entschlüsselungsmodul 24 gespeichert. Dann werden die ausgewählten Kartendaten durch das Verschlüsselungs-/Entschlüsselungsmodul 24 unter Verwendung eines Chiffrierschlüssels verschlüsselt, der nur der PDA-Einheit 10 bekannt ist (Schritt 214). Dann werden die verschlüsselten Kartendaten zur Smartcardlese-/-schreibeinheit 30 gesendet, wo sie auf die Universalkarte 26 geschrieben werden (Schritt 216). Dann wird die Universalkarte 26 der Smartcardlese-/-schreibeinheit 30 entnommen und durch die magnetische Leseeinheit des Transaktionsterminals 80 geschoben (3) (Schritt 218). Dann werden die Transaktionsdaten des Verbrauchers über die Datenübertragungsleitung L4 zum entsprechenden Geldinstitut 70 gesendet (Schritt 220).
Bei einer Weiterentwicklung des Transaktionsterminals 80 kann das POS- oder Geldautomat-Transaktionsterminal 80 einen Quittungsbeleg auf die Universalkarte 26 schreiben (Schritt 222). Durch dieses Merkmal ist der Benutzer in der Lage, einen Buchungsbeleg zu erhalten, indem er die Universalkarte 26 in die Smartcardlese-/-schreibeinheit 30 steckt und die Belegdaten in den Speicher 14 der PDA-Einheit 10 lädt (Schritt 224). Anschließend kann der Benutzer diese Daten in einen Personal Computer übertragen, der eine Buchhaltungssoftware wie zum Beispiel die unter der Handelsmarke QUICKEN bekannte Software enthält.
Es ist von Vorteil, dass die vorliegende Erfindung sofort in der vorhandenen Infrastruktur eingesetzt werden kann, da die Universalkarte 26 mit allen elektronischen Kreditkarten- und/oder Smartcard-Geldüberweisungssystemen kompatibel ist (z.B. Systemen, die Geldkarten, Kundenkarten, Kreditkarten, Zugangsberechtigungskarten, Telefonkarten und/oder Dienstleistungskarten verarbeiten).
Es ist klar, dass die vorliegende Erfindung zur Speicherung und Erlangung persönlicher Daten wie beispielsweise medizinischer Daten, Finanzdaten und anderer vertraulicher Daten verwendet werden kann, auf die man zugreifen kann und die auf die Universalkarte 26 geschrieben oder auf der Benutzeroberfläche/-anzeige 34 angezeigt werden können (wobei ein gültiges digitales Zertifikat und eine lokale Benutzerüberprüfung vorausgesetzt werden). Zum Beispiel können Mediziner mit speziellen Smartcards auf bestimmte medizinische Daten aus der PDA-Einheit eines Patienten (nach Überprüfung des Patienten) zugreifen, indem diese Daten mittels der Smartcardlese-/-schreibeinheit der PDA-Einheit 10 auf die Smartcard geschrieben werden. Alternativ können diese Daten über eine drahtlose Verbindung zwischen der PDA-Einheit des Patienten und der PDA-Einheit des Arztes übertragen werden.
Ferner ist klar, dass die Erfindung ohne Verwendung der Universalkarte 26 mit elektronischen Geldübertragungssystemen oder Transaktionsterminals zusammenarbeiten kann, wenn diese über eine drahtlose oder eine Direktverbindung verfügen. Speziell kann die Verbrauchertransaktion, wie in 5 durch die gestrichelten Linien dargestellt, durch Direktübertragung der ausgewählten Kartendaten von der PDA-Einheit über eine eingerichtete Datenübertragungsverbindung L2 zum Geldautomat- oder POS-Transaktionsterminal erfolgen (Schritt 228, 3) (d.h. über den seriellen Anschluss 42, den parallelen Anschluss 44, den Modem 42, den IR-Anschluss 54 oder den Funkanschluss 50), ohne die Kartendaten abzurufen und auf die Universalkarte 26 zu schreiben. Ferner kann ein Quittungsbeleg der Transaktion über die Datenübertragungsverbindung L2 direkt zur PDA-Einheit 10 übertragen werden (Schritt 230). Es ist klar, dass bei dieser Ausführungsart die CPU 12 der PDA-Einheit 10 das Abrufen der ausgewählten Kartendaten und deren Übertragung zum Transaktionsterminal 80 unterbindet, wenn der Benutzer nicht biometrisch überprüft wurde und/oder das digitale Zertifikat nicht gültig ist (Schritt 226). Bei dieser bestimmten Ausführungsart der vorliegenden Erfindung tritt die PDA-Einheit 10 selbst an die Stelle der Universalkarte 26, wodurch es überflüssig wird, zuerst die ausgewählten Kartendaten auf die Universalkarte 26 zu schreiben und diese dann durch die Magnetleseeinheit des POS- oder Geldautomat-Transaktionsterminals zu schieben.
Die vorliegende Erfindung stellt auf vorteilhafte Weise eine biometrische Sicherheit für Transaktionen bereit, bei denen keine elektronische Datenübertragung erfolgt, wie beispielsweise bei Transaktionen mit herkömmlichen mechanischen Kreditkartenlesegeräten oder Transaktionen, die aus der Distanz über das Telefon durchgeführt werden. In derartigen Situationen kann ein Händler bestätigen, dass der Benutzer die lokale Überprüfung durch Verwendung der persönlichen Universalkartennummer 27 (2) in Verbindung mit einer Berechtigungsnummer erfolgreich durchlaufen hat, welche auf dem aktuell gültigen digitalen Zertifikat beruht und nach der Überprüfung des Benutzers erzeugt wurde.
6 zeigt als Beispiel ein Ablaufdiagramm, das den lokalen Modus der PDA-Einheit 10 während einer Verbrauchertransaktion aus der Distanz (bzw. mit einem mechanischen Lesegerät) darstellt. Wenn bei Verwendung der PDA-Einheit 10 im lokalen Modus der Benutzer biometrisch überprüft wird (Schritt 308) und die PDA-Einheit 10 ein noch nicht abgelaufenes digitales Zertifikat (Schritt 310) enthält, werden die ausgewählten Kartendaten aus dem Speicher 14 abgerufen und entschlüsselt (Schritt 314). Dann werden die gewünschten Kreditkartendaten zusammen mit einer Berechtigungsnummer auf der Benutzeroberfläche/-anzeige 34 angezeigt (Schritt 316). Diese Daten können dann dem Händler mündlich mitgeteilt werden, damit die Transaktion erfolgen kann. Wenn der Benutzer nicht biometrisch bestätigt wird oder die PDA-Einheit 10 ein abgelaufenes digitales Zertifikat enthält, werden die ausgewählten Kartendaten und die Berechtigungsnummer nicht angezeigt (Schritt 312).
Der Händler kann überprüfen, ob die lokale Überprüfung des Benutzer erfolgreich verlaufen ist, indem er eine Datenübertragungsverbindung L3 (3) zum Zentralserver 60 herstellt. Wenn die ausgewählten Kartendaten einer zuvor beim Diensteanbieter der PDA-Einheit 10 und der Universalkarte 26 angemeldeten (d.h. registrierten) Kreditkarte entsprechen und der Händler die ausgewählten Kartendaten zum Geldinstitut übermittelt (oder das Geldinstitut anruft, um die Gültigkeit der Kreditkarte zu bestätigen), wird er aufgefordert, die Berechtigungsnummer (die nach erfolgreicher Überprüfung des Benutzers erzeugt wird) zusätzlich zum Verfallsdatum der Kreditkarte anzugeben. Der Händler übermittelt dann die Kreditkartennummer 27 und die angezeigte Berechtigungsnummer zum Zentralserver 60. Da die Berechtigungsnummer eine Funktion des noch nicht abgelaufenen digitalen Zertifikats ist, das im Client-/Servermodus vom Zentralserver 60 erhalten wurde, teilt der Zentralserver 60 dem Händler mit, dass der Benutzer erfolgreich überprüft wurde (Schritt 318).
Es ist klar, dass die lokale Überprüfung auch durch eine Unterschriftenprüfung erfolgen kann, indem ein digitalisiertes Bild der gültigen Unterschrift des Benutzers mittels bekannter Techniken auf der Benutzeroberfläche/-anzeige 34 angezeigt wird, sodass ein Händler die digitalisierte Unterschrift auf dem Bildschirm mit der durch den Benutzer vorgelegten Unterschrift vergleichen kann, um eine weitere Bestätigung zu erhalten. Ferner kann die vorliegende Erfindung jede herkömmliche druckempfindliche Anzeigevorrichtung verwenden, bei welcher der Benutzer der PDA-Einheit 10 seine Unterschrift auf dem Bildschirm leisten kann, die dann verarbeitet und mit einer im Speicher 14 der PDA-Einheit 10 gespeicherten authentischen digitalisierten Unterschrift verglichen wird. Ein Beispiel für ein solches Verfahren wird in „Automatic On-Line Signature Verification" von Vic Nalwa, Proc. IEEE, S. 215 bis 239, Februar 1997, beschrieben.
Ferner ist klar, dass die PDA-Einheit 10 und das System der vorliegenden Erfindung so konfiguriert werden kann, dass ein höheres Sicherheitsniveau der Benutzerüberprüfung erreicht wird, indem das Geldinstitut (z.B. die Kreditkartengesellschaft) die Identität des Verbrauchers während der Kauftransaktion überprüfen kann. Vorausgesetzt, die lokale Überprüfung (biometrisch, PIN und/oder Kennwort) ist erfolgreich verlaufen und vom Zentralserver 60 ist zuvor ein gültiges digitales Zertifikat heruntergeladen worden, kann die PDA-Einheit 10 speziell so programmiert sein, dass sie die ausgewählten Kartendaten sowie eine Datei mit den persönlichen Kenndaten des Benutzers in verschlüsselter Form auf die Universalkarte 26 herunterlädt, wozu unter anderem der Name und die (durch den Diensteanbieter der PDA-Einheit 10 und der Universalkarte 26 ausgegebene) Kontonummer des Benutzers gehören. Die ausgewählten Kartendaten werden zusammen mit der verschlüsselten Datendatei (über die Universalkarte, Funk oder Infrarot) zur Datenkasse übermittelt und dann in verschlüsselter Form zusammen mit den Angaben zum Kauf direkt zum verarbeitenden Geldinstitut gesendet.
Auf ähnliche Weise werden bei Kauftransaktionen mit fernen Diensten (z.B. über das Internet mit einer Händler-Website) die ausgewählten Kartendaten in verschlüsselter Form zusammen mit den verschlüsselten Benutzerdaten über einen Modem (TCP/IP) zum fernen Dienst (d.h. zur Website) übertragen und dann in verschlüsselter Form zum Geldinstitut gesendet. Es ist klar, dass die Übertragung der verschlüsselten Daten zur Händler-Website entweder direkt vom Modem 58 der PDA-Einheit 10 oder durch Herunterladen dieser Daten auf die Universalkarte 26 erfolgen kann, die dann durch einen mit einem Kartenleser und einem Modem ausgestatteten PC gelesen und gesendet werden.
Vorausgesetzt, die Kreditkarte war vorher beim Diensteanbieter angemeldet worden, verfügt das verarbeitende Geldinstitut über den passenden Schlüssel (der während der Anmeldung durch den Diensteanbieter bereitgestellt wurde), um zur Überprüfung des Benutzers die übermittelten Daten zu decodieren (d.h. zu entschlüsseln). Folglich würde das Geldinstitut dem Händler eine Berechtigungsnummer für die Transaktion zur Verfügung stellen, wenn der Verbraucher erfolgreich überprüft wurde, oder bei fehlgeschlagener Überprüfung die Transaktion ablehnen und dem Händler mitteilen, das der Verbraucher zur Nutzung der ausgewählten Karte nicht berechtigt ist. Alternativ kann die PDA-Einheit 10 so programmiert sein, dass sie eine Kopie des gültigen temporären digitalen Zertifikats in verschlüsselter Form (sowie die ausgewählten Kartendaten in verschlüsselter Form) auf die Universalkarte 26 herunterlädt, wobei das digitale Zertifikat mit den zur Identifizierung des Benutzers erforderlichen Daten (zusammen mit den ausgewählten Kartendaten) zum entsprechenden Geldinstitut gesendet wird.
Die vorliegende Erfindung ist bisher als eine separate tragbare Einheit dargestellt worden. Dem Fachmann ist jedoch klar, dass die Konfiguration der vorliegenden Erfindung in andere CPU-basierte System wie beispielsweise Mobiltelefone, tragbare Laptop-Rechner, Netzwerkrechner (Network Computer, NC) oder einen PC integriert sein kann, in den die Komponenten der oben beschriebenen PDA-Einheit 10 eingebaut sind. Zum Beispiel kann ein mit der Smartcardlese-/-schreibeinheit 30 der PDA-Einheit 10 ausgestatteter tragbarer Laptop-Rechner über einen Modem oder einen Internetserver mittels Protokollen wie z.B. des TCP/IP-Protokolls direkt mit dem Zentralserver 60 verbunden sein, um ein gültiges digitales Zertifikat herunterzuladen.
Außerdem können die Funktionen und Komponenten der PDA-Einheit 10 in ein Mobiltelefon eingebaut sein, wobei die Verbindung zum Zentralserver 60 über einen Mobilfunk-Datenübertragungskanal erfolgen kann, der entweder analog oder digital (z.B. CDMA, GSM usw.) sein kann.
Dem Fachmann ist klar, dass zum Ausführen der Verfahren und Funktionen der vorliegenden Erfindung anstelle der vorliegenden PDA-Einheit auch ein spezielles Geldautomat-, Telefonzellen- oder Datenkassenterminal eingesetzt werden kann, sodass die Notwendigkeit des physischen Besitzes der PDA-Einheit 10 entfällt. Zum Beispiel kann eine Smartcard mit einem darauf gespeicherten gültigen digitalen Zertifikat und den Kenndaten des Benutzers (z. B. biometrischen Daten (Sprachmuster), PIN und/oder Kennwort) sowie Kartendaten in ein Geldautomat-, Telefonzellen- oder Datenkassenterminal gesteckt werden, das mit biometrischen Sensoren wie beispielsweise einem Mikrofon ausgestattet ist. Der Geldautomat kann dann den Benutzer biometrisch oder mittels der PIN oder des Kennworts überprüfen. Vorausgesetzt, das digitale Zertifikat ist gültig, kann der Geldautomat die Smartcard initialisieren, die dann beispielsweise zum Durchführen einer Kauftransaktion verwendet werden kann. Die Smartcard kann dann während der Gültigkeitsdauer des digitalen Zertifikats (d.h., bis das digitale Zertifikat abläuft) oder bis zum Laden einer anderen Karte genutzt werden. Bei der vorliegenden Ausführungsart kann die Smartcard für eine begrenzte Anzahl von Transaktionen genutzt werden.
Das digitale Zertifikat kann mittels jedes Verfahrens auf die Smartcard heruntergeladen werden, das den PIN-Verarbeitungsverfahren analog ist, die in der oben erwähnten US-Patentschrift 08/873 079 „Portable Acoustic Interface For Remote Access to Automatic Speech/Speaker Recognition Server" beschrieben werden. Zum Beispiel kann der Benutzer eine Datenübertragungsverbindung zum Zentralserver 60 des Diensteanbieters über einen Personal Computer mit einem Smartcardleser herstellen, wobei ein gültiges digitales Zertifikat auf die Smartcard heruntergeladen werden kann, nachdem der Benutzer seine Kenndaten wie beispielsweise Benutzer-ID, PIN, Seriennummer der Smartcard und/oder biometrische Daten eingegeben hat.
Ferner ist klar, dass die PDA-Einheit 10 der vorliegenden Erfindung als persönliches Kreditkartenzentrum genutzt werden kann, um Geldbeträge mittels Kreditkarten oder Geldkarten direkt zwischen Personen, die über solche PDA-Einheiten verfügen, zu übertragen. Beispielsweise sei angenommen, dass der Benutzer A dem Benutzer B einen bestimmten Geldbetrag schuldet. Der Benutzer A führt die lokale Überprüfung durch (vorausgesetzt, der Benutzer A verfügt über ein gültiges digitales Zertifikat), um auf seine Universalkarte ausgewählte Kreditkarten- oder Geldkartendaten herunterzuladen. Dann übergibt der Benutzer A die Universalkarte dem Benutzer B, der diese in die Smartcardlese-/-schreibeinheit 30 der PDA-Einheit 10 des Benutzers B steckt. Der Benutzer B wählt dann den von der Universalkarte (d.h. der ausgewählten Kreditkarte) auf eines der durch den Benutzer B angemeldeten Geldkonten (z.B. Kreditkartenkonten) zu übertragenden (zu belastenden) Geldbetrag. Der Benutzer B erhält dann die während der lokalen Überprüfung durch die PDA-Einheit des Benutzers A erzeugte Berechtigungsnummer und gibt diese in die PDA-Einheit des Benutzers B ein. Diese Prozedur kann natürlich auch direkt (z.B. über eine IR-Verbindung) und ohne den faktischen Austausch der Universalkarte erfolgen.
Zum Schutz vor Betrugshandlungen muss die durch die PDA-Einheit des Benutzers A erzeugte Berechtigungsnummer in die PDA-Einheit des Benutzers B eingegeben werden, nachdem der Transaktionsbetrag in die PDA-Einheit des Benutzers A eingegeben und durch den Benutzer A bestätigt wurde. Mit anderen Worten, die PDA-Einheit des Benutzers B muss so konfiguriert sein, dass die Berechtigungsnummer des Benutzers A erst dann durch die PDA-Einheit des Benutzers B akzeptiert wird, nachdem der Geldbetrag in die PDA-Einheit des Benutzers B eingegeben worden ist. Außerdem muss die PDA-Einheit des Benutzers B so konfiguriert sein, dass die in die PDA-Einheit des Benutzers B eingegebene Berechtigungsnummer des Benutzers A nur für eine Transaktion gültig ist (d.h. für einen in die PDA-Einheit des Benutzers B eingegebenen Geldbetrag), sodass der gesamte Prozess für jede weitere Transaktion zwischen Benutzer A und Benutzer B wiederholt werden muss. Zum Schutz vor Betrug kann die PDA-Einheit des Benutzers A alternativ so konfiguriert sein, dass die durch die PDA-Einheit des Benutzers A erzeugte Berechtigungsnummer den auf das Konto des Benutzers B zu übertragenden Geldbetrag in verschlüsselter Form enthält, also in einer versteckten Form, sodass der Benutzer B keinen Zugriff auf diesen Betrag hat und diesen nicht verändern kann.
Nach dem Eingeben der Berechtigungsnummer des Benutzers A stellt der Benutzer B eine Datenübertragungsverbindung zum Diensteanbieter her, um zu überprüfen, ob die Berechtigungsnummer der persönlichen Universalkartennummer des Benutzers A entspricht, und dann den Betrag auf das ausgewählte Konto des Benutzers B übertragen zu lassen (vorausgesetzt, das Konto ist beim Diensteanbieter registriert).
Der Fachmann kann zur Realisierung der vorliegenden Erfindung zum Übertragen der ausgewählten Kartendaten verschiedene Verfahren in Betracht ziehen. In naher Zukunft können zum Beispiel Daten zwischen Personen und Systemen über ein privates Netz (Personal Area Network, PAN) übertragen werden, welches spezielle elektronische Geräte miteinander verbindet, die über einen Sender/Empfänger verfügen, am Körper getragen werden und die Leitfähigkeit des menschlichen Körpers nutzen.
Ein solches Konzept kann bei der vorliegenden Erfindung genutzt werden, indem die ausgewählten Daten nicht durch eine Magnetkarte oder eine Smartcard oder durch drahtlose Übertragung, sondern durch persönlichen Kontakt (z.B. durch Händedruck) übertragen werden. Die vorliegenden Erfindung kann speziell in die CPU oder eine PAN-Einheit integriert sein, wobei die ausgewählten Kartendaten an Empfangseinheiten wie beispielsweise Geldautomaten oder Datenkassen übertragen werden können, die mit der passenden Software und Hardware ausgestattet sind, die den Datenaustausch über das PAN ermöglicht.

Claims

Tragbare Daten- und Transaktionsverarbeitungseinheit, welche Folgendes umfasst: eine Zentraleinheit (12) zum Steuern der Funktionsweise und zum Steuern einer Vielzahl von Operationen der Vorrichtung; ein Speichermittel (14), das funktionsmäßig mit der Zentraleinheit verbunden ist, zum Speichern von persönlichen und Finanzdaten und zum Speichern eines temporären digitalen Zertifikats; funktionsmäßig mit der Zentraleinheit verbundene Datenübertragungsmittel (42 bis 54) zum Herstellen einer Datenübertragungsverbindung zu einem an einem fernen Standort befindlichen zentralen Server-Computer, um das temporäre digitale Zertifikat zu erhalten; ein Benutzerschnittstellenmittel (34), das funktionsmäßig mit der Zentraleinheit verbunden ist, zum Auslösen mindestens einer aus der Vielzahl von Operationen der Einheit und zum Auswählen eines Teils von einigen der persönlichen und Finanzdaten aus dem Speichermittel; eine mit der Zentraleinheit verbundene entnehmbare Universalkarte (26) zum Empfangen des ausgewählten Teils einzelner persönlicher und Finanzdaten; und ein funktionsmäßig mit der Zentraleinheit verbundenes Programmiermittel (20) zum Schreiben des ausgewählten Teils von einigen der persönlichen und Finanzdaten auf die Universalkarte als Reaktion auf das temporäre digitale Zertifikat, wobei das Programmiermittel daran gehindert wird, den ausgewählten Teil von einigen der persönlichen und Finanzdaten auf die Universalkarte zu schreiben, wenn das temporäre digitale Zertifikat ungültig ist.
Einheit nach Anspruch 1, welche ferner ein funktionsmäßig mit der Zentraleinheit verbundenes Prüfmittel (22, 40) zum Überprüfen eines berechtigten Benutzers und zum Verhindern umfasst, dass das Programmiermittel den ausgewählten Teil von einigen der persönlichen und Finanzdaten nur dann in die Universalkarte schreibt, wenn von dem berechtigten Benutzer der Einheit Prüfdaten bereitgestellt werden.
Einheit nach Anspruch 2, wobei das Prüfmittel ein biometrisches Prüfmittel (22, 40) beinhaltet und die Prüfdaten biometrische Daten sind.
Einheit nach Anspruch 3, wobei das biometrische Prüfmittel Folgendes beinhaltet: biometrische Sensormittel (40) zum Erfassen der biometrischen Daten; und biometrische Verarbeitungsmittel (22) zum Verarbeiten der biometrischen Daten in der Weise, dass man ermitteln kann, ob die biometrischen Daten von dem berechtigten Benutzer bereitgestellt wurden.
Einheit nach Anspruch 3, wobei die biometrischen Daten aus einem Finger-, Daumen- oder Handflächenabdruck, einem Sprachmuster, einer Handschriftprobe oder einem Netzhautgefäßmuster und einer Kombination davon abgeleitet werden.
Einheit nach Anspruch 4, wobei das biometrische Prüfmittel eine Sprecherüberprüfung durchführt und die biometrischen Daten Sprachdaten sind.
Einheit nach Anspruch 6, wobei die Sprecherüberprüfung eine textunabhängige Sprecherüberprüfung ist.
Einheit nach Anspruch 1, welche ferner ein funktionsmäßig mit der Zentraleinheit verbundenes Verschlüsselungs-/Entschlüsselungsmittel (22) zum Verschlüsseln der persönlichen und Finanzdaten vor dem Speichern dieser Daten im Speichermittel und zum Entschlüsseln des ausgewählten Teils von einigen der gespeicherten persönlichen und Finanzdaten umfasst.
Vorrichtung nach Anspruch 1, welche ferner funktionsmäßig mit der Zentraleinheit verbundene Spracherkennungsmittel (16, 18) zum Verarbeiten von Sprachbefehlen von einem berechtigten Benutzer an die Vorrichtung umfasst.
Vorrichtung nach Anspruch 9, wobei das Spracherkennungsmittel ein Mikrofon (10) zum Empfangen von Stimmsignalen und zum Umwandeln der Stimmsignale in elektrische Signale sowie ein funktionsmäßig mit dem Mikrofon verbundenes akustisches Verarbeitungsmittel (16) zum Verarbeiten der Sprachbefehle beinhaltet.
Daten- und Transaktionsverarbeitungssystem, welches Folgendes umfasst: eine tragbare Daten- und Transaktionsverarbeitungseinheit (10) mit: einer Zentraleinheit (12) zum Steuern der Funktionsweise und zum Steuern einer Vielzahl von Operationen der Vorrichtung; ein funktionsmäßig mit der Zentraleinheit verbundenes Speichermittel (14) zum Speichern von persönlichen und Finanzdaten und zum Speichern eines temporären digitalen Zertifikats; funktionsmäßig mit der Zentraleinheit verbundene Prüfmittel (22, 40) zum Empfangen und Verarbeiten von Prüfdaten von einem berechtigten Benutzer zur Überprüfung des berechtigten Benutzers; funktionsmäßig mit der Zentraleinheit verbundene Datenübertragungsmittel (42 bis 54) zum Senden und Empfangen von Daten über einen Datenübertragungskanal; ein funktionsmäßig mit der Zentraleinheit verbundenes Benutzerschnittstellenmittel (34) zum Auslösen mindestens einer aus der Vielzahl von Operationen der Einheit und zum Auswählen eines Teils von einigen der persönlichen und Finanzdaten aus dem Speichermittel; ein Mittel (20) zum Übertragen eines ausgewählten Teils von einigen der persönlichen und Finanzdaten als Reaktion auf das temporäre digitale Zertifikat zu einem Peripheriesystem zum Starten einer Transaktion; und einen mit dem Datenübertragungskanal verbundenen fernen zentralen Server-Computer (60) zum Erzeugen des digitalen Zertifikats, wobei das digitale Zertifikat über den Datenübertragungskanal zu der tragbaren Daten- und Transaktionsverarbeitungsvorrichtung übertragen und im Speichermittel der Vorrichtung gespeichert wird.
System nach Anspruch 11, wobei der zentrale Server-Computer (60) ein Mittel zur Verarbeitung der von der tragbaren Vorrichtung übertragenen Prüfdaten zur Überprüfung des berechtigten Benutzers beinhaltet, wobei das digitale Zertifikat zu der tragbaren Vorrichtung übertragen wird, wenn der berechtigte Benutzer bestätigt worden ist.
Verfahren zum Ausführen einer elektronischen Datenübertragungstransaktion in einem tragbaren Daten- und Transaktionsverarbeitungssystem mit einem Client/Server-Betriebsmodus und einem lokalen Betriebsmodus, wobei das Verfahren die folgenden Schritte umfasst: Ausführen des Client/Server-Betriebsmodus zum Erhalten eines temporären digitalen Zertifikats, wobei der Client/Server-Modus die folgenden Schritte umfasst: Verbinden einer tragbaren und fern vom zentralen Server-Computer befindlichen Daten- und Transaktionsverarbeitungsvorrichtung (10) über den Datenübertragungskanal (21) mit einem zentralen Server-Computer (60), wobei der zentrale Server-Computer über in einem Speicher gespeicherte Prüfdaten eines berechtigten Benutzers verfügt; Eingeben der Prüfdaten in die tragbare Vorrichtung (10); Übertragen der eingegebenen Prüfdaten über den Datenübertragungskanal (61) zum zentralen Server-Computer (60); Verarbeiten der dem zentralen Server-Computer (60) bereitgestellten Prüfdaten unter Verwendung der gespeicherten Prüfdaten des berechtigten Benutzers zu dessen Überprüfung; und Übertragen des temporären digitalen Zertifikats über die Datenübertragungsleitung (61), wenn der berechtigte Benutzer nach der Verarbeitung der übertragenen Prüfdaten bestätigt wird; und Ausführen des lokalen Betriebsmodus, wobei der lokale Betriebsmodus die folgenden Schritte umfasst: Bereitstellen der Prüfdaten eines berechtigten Benutzers des Systems; Verarbeiten der Prüfdaten zur Überprüfung des berechtigten Benutzers; Ermitteln, ob das temporäre digitale Zertifikat gültig ist; Auswählen eines Teils von einigen der persönlichen und Finanzdaten; und Übertragen des ausgewählten Teils von einzigen der persönlichen und Finanzdaten zum externen System, wenn der berechtigte Benutzer bestätigt wird und festgestellt wird, dass das temporäre digitale Zertifikat gültig ist.