EP1218862A1 - Verfahren zur initialisierung von mobilen datenträgern - Google Patents
Verfahren zur initialisierung von mobilen datenträgernInfo
- Publication number
- EP1218862A1 EP1218862A1 EP01944863A EP01944863A EP1218862A1 EP 1218862 A1 EP1218862 A1 EP 1218862A1 EP 01944863 A EP01944863 A EP 01944863A EP 01944863 A EP01944863 A EP 01944863A EP 1218862 A1 EP1218862 A1 EP 1218862A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- authorization
- data
- initialization
- network
- read
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000013475 authorization Methods 0.000 claims abstract description 215
- 238000004891 communication Methods 0.000 claims abstract description 19
- 239000000969 carrier Substances 0.000 claims description 41
- 238000013459 approach Methods 0.000 claims 2
- 238000012545 processing Methods 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 3
- 230000008520 organization Effects 0.000 description 8
- 238000012546 transfer Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- VJYFKVYYMZPMAB-UHFFFAOYSA-N ethoprophos Chemical compound CCCSP(=O)(OCC)SCCC VJYFKVYYMZPMAB-UHFFFAOYSA-N 0.000 description 1
- 238000011423 initialization method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3552—Downloading or loading of personalisation data
Abstract
Mit dem Verfahren werden mobile Datenträger (IM) an zugeordneten dezentralen Schreib- und Lesestationen (WR) im Rahmen eines Autorisierungssystems (A) initialisiert. An einer Autorisierungsinstanz (HA) in einer gesicherten Umgebung (g) werden durch Autorisierungsmittel (AM) Initialisierungsdaten (DI, A-I, I-I) erzeugt und über ein Netzwerk (N) in einer gesicherten Kommunikation und mit dem Autorisierungssystem (A) entsprechenden Sicherheitsregeln an eine dezentrale autorisierte Schreib- und Lesestation (A-WR) gesendet, wo die mobilen Datenträger (IM) mit den Initialisierungsdaten (DI) initialisiert werden, und/oder wobei die Initialisierungsdaten über das Netzwerk an eine dezentrale Schreib- und Lesestation (WR) gesendet werden, womit die Schreib- und Lesestation initialisiert wird. Dieses Initialisierungsverfahren ermöglicht neue Anwendungs- und Nutzungsmöglichkeiten solcher Systeme.
Description
VERFAHREN ZUR INITIALISIERUNG VON MOBILEN DATENTRÄGERN
Die Erfindung betrifft ein Verfahren zur Initialisierung von mobilen Datenträgern mit zugeordneten dezentralen Schreib- und Lesestationen im Rahmen eines Autorisierungssystems gemäss Oberbegriff von Patentanspruch 1. Mobile Datenträger (z.B. kontaktlose oder kontaktbehaftete Identifikationsmedien, Chipkarten oder Wertkarten usw.) ermöglichen dem Benutzer an zugeordneten Schreib- und Lesestationen die Ausübung von entsprechenden Applikationen wie den Zugriff auf Dienstleistungen (PC-Zugang) und Waren (Getränkeautomat, Restaurant) bzw. den Zugang zu geschützten Bereichen, Gebäuden, Sportstadien usw. Um diese Zugriffe bzw. die Ausübung von Applikationen zu ermöglichen ist die Initialisierung der Datenträger und der zugeordneten Schreib- und Lesestationen im Rahmen eines Autorisierungssystems mit entsprechenden Initialisierungsinformationen notwendig.
Diese Initialisierung kann sich auf anwendungsspezifische Daten (z.B. Aufbuchen, eines Geldwerts auf den Datenträger) und auf systemspezifische Daten (z.B. Nummer des Kartenherausgebers, Datenorganisation bei Multi-Applikationen, Zugriffsregeln auf Datenträger etc.) beziehen. Diese Initialisierungsdaten bzw. Applikationen können auch nach und nach, stufenweise und zu unterschiedlichen Zeitpunkten initialisiert und auch geändert werden.
BESTATIGUNGSKOPIE
Diese Initialisierung ist ein sicherheitskritischer und sehr äufwändiger Prozess, der auch örtlich stark eingeschränkt ist und nur an Orten in gesicherter Umgebung stattfinden kann. Ein Beispiel dazu ist in der WO 97/34265 beschrieben. Diese beschreibt ein System mit berührungslosen passiven elektronischen Datenträgern als Identifikationsmedien IM mit zugeordneten Schreib- und Lesestationen WR im Rahmen eines Autorisierungssystems A, wobei die Datenträger mehrere unabhängige Applikationen enthalten können. Hier muss jedes Identifikationsmedium und jede Anwendung gemäss den Regeln des hierarchischen Autorisierungssystem initialisiert werden. Für diese Initialisierung der Datenträger werden spezielle Programmier- Schreib- und Lesestationen sowie spezielle Autorisierungsmedien in gesicherter Umgebung benötigt und alle dezentralen Schreib- und Lesestationen können ebenfalls mit einem speziellen Autorisierungsmittel getauft bzw. initialisiert werden, um ihre Funktionen aufnehmen zu können.
Eine dezentrale Initialisierung von Datenträgern IM an diesen dezentralen Schreib- und Lesestationen meist in ungesicherter Umgebung ist hier nicht möglich. Die Initialisierung ist deshalb sehr aufwändig und eingeschränkt und die Initialisierung und Verwaltung der Autorisierungsmedien ist ebenfalls sicherheits kritisch und aufwändig.
Diese bekannten zentralen Initialisierungen eines jeden einzelnen Datenträgers mit speziellen Autorisierungsmitteln in gesicherter Umgebung ist deshalb sehr, aufwändig, wenig flexibel und sehr eingeschränkt. Es können damit nicht dezentral in ungesicherter Umgebung neue Anwendungen und neue Datenträger initialisiert und in Gebrauch genommen werden.
Wenn beispielsweise ein Bergrestaurant in einem Skigebiet,' in dem für verschiedene Applikationen berührungslose Identifikationsmedien als Skikarten ausgegeben sind, für seine Applikation und für seine Kunden eine Anwendungserweiterung, beispielsweise eine Loyality-Anwendung, in seiner Applikation hinzufügen möchte, so muss dazu jeder einzelne Datenträger, d.h. jede Skikarte, mit einem Initialisierungsgerät in einer gesicherten Umgebung und mit einem entsprechenden Initialisierungsmedium initialisiert werden, d.h. nicht im Bergrestaurant sondern im Tal unten an der Zentrale in diesem Skigebiet. Diese Vorgehensweise ist hier natürlich nicht praktikabel.
Eine ganz andere Art von Datenübertragung über ein Netz ist bei Kontaktkarten- Systemen bekannt, wo die ganze Organisation und alle Autorisierungen von einer einzigen Systemzentrale ausgehen müssen. So ist aus der DE 197 20 431 z.B. ein Verfahren zur elektronischen Personalisierung und Initialisierung von Chipkarten von einem zentralen Chipkarten-Administrationssystem aus bekannt. Diese Initialisierungen erfolgen über einen Kommunikationskanal an ein Chipkarten- Kontrollsystem bzw. Lesegerät, welches die Chipkarte physikalisch kontaktiert und die Daten direkt an die Chipkarte weiterleitet. Auch mit solchen Systemen ist die nachstehende Aufgabe nicht lösbar.
Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren bzw. ein System zu schaffen, welches diese bisherigen Beschränkungen bezüglich der Initialisierung von Datenträgern und dezentralen Schreib- und Lesestationen, der Erweiterung von Applikationen und der Ausgabe von neuen Datenträgem überwindet, welches eine wesentlich einfachere, vielseitigere und sichere Initialisierungsmethode bildet und damit auch neue Einsatzmöglichkeiten schafft, und welches insbesondere auch die Anwendung von berührungs losen Datenträgern ermöglicht.
Diese Aufgabe wird erfindungsgemäss gelöst durch ein Verfahren zur Initialisierung von mobilen Datenträgern gemäss Patentanspruch 1 und eine Anlage nach Patentanspruch 28. Durch die Initialisierung über ein Netz mit gesicherter Kommunikation und mit Autorisierungen durch Autorisierungsmittel an entfernten Autorisierungsinstanzen in gesicherter Umgebung werden die erwähnten weiteren Anwendungs- und Nutzungsmöglichkeiten solcher Systeme mit mobilen Datenträgern und dezentralen Schreib- und Lesestationen ganz entscheidend erweitert.
Die abhängigen Patentansprüche betreffen Weiterentwicklungen der Erfindung mit Erweiterung der Möglichkeiten in örtlicher Hinsicht, bezüglich Applikationen und Einführung neuer Datenträger und bezüglich neuer Arten von Nutzung, Einsatz und Anwendung. Entscheidend ist, dass damit im Prinzip auch alle dezentralen Schreibund Lesestationen in ungeschützter Umgebung für Initialisierungen einsetzbar sind, indem die Sicherheit durch die gesicherte Kommunikation über das Netz und durch die Anbindung an die entfernte Autorisierungsinstanz mit Autorisierungsmitteln in geschützter Umgebung gewährleistet wird. Dies ermöglicht auch ganz neue Anwendungsarten, beispielsweise eine Erfassung und Kontrolle von Lizenzzahlungen über dezentrale Schreib- und Lesestationen, die zusätzliche Abfrage persönlicher Daten vom Inhaber des Datenträgers oder des Inhabers der Schreib- und Lesestation kann die Sicherheit dezentraler Autorisierungen weiter erhöhen.
Im folgenden wird die Erfindung anhand von Figuren und Beispielen weiter erläutert. Es zeigen:
Fig. 1 ein Schema eines erfindungsgemässen Verfahrens zur
Initialisierung von Datenträgern über ein privates Netzwerk,
Fig. 2 ein Verfahren zur Initialisierung von Datenträgern über ein offenes Netzwerk,
Fig. 3 das erfindungsgemässe Verfahren zur Initialisierung von
Datenträgern und von dezentralen Schreib- und Lesestationen über ein Netzwerk durch Autorisierung an einer Autorisierungsinstanz mit Autorisierungsmitteln,
Fig. 4 die Initialisierung eines mobilen Datenträgers mit Autorisierungsund Initialisierungsinformationen,
Fig. 5 eine Initialisierung einer dezentralen Schreib- und Lesestation mit
Autorisierungs- und Initialisierungsinformationen,
Fig. 6 die Initialisierung einer Autorisierungsfunktion an einer dezentralen Schreib- und Lesestation,
Fig. 7 Initialisierungen von Applikationen über Netzwerke durch mehrere
Autorisierungsinstanzen,
Fig. 8 Initialisierungen durch mehrere Autorisierungsinstanzen über ein Netzwerk,
Fig. 9 Initialisierungen durch mehrere Autorisierungsinstanzen über mehrere Netzstufen,
Fig. 10 Initialisierungen durch mehrere Autorisierungsinstanzen über mehrere Netzstufen mit mehreren Autorisierungsstufen,
Fig. 11 schematisch die Organisation in einem Autorisierungssystem mit mehreren Autorisierungs- bzw. Organisationsstufen, mehreren
Autorisierungsinstanzen auf verschiedenen Autorisierungsstufen und mit mehreren unabhängigen Anwendern,
Fig. 12 die Initialisierung von Applikationen in einem neuen Datenträger,
Fig. 13 die Initialisierung von zusätzlichen Applikationen in einem Datenträger,
Fig. 14 Autorisierungen zur Initialisierung von Datenträgem über ein Netzwerk.
Die Fig. 1 - 3 illustrieren das erfindungsgemässe Verfahren zur Initialisierung von mobilen Datenträgem IM an zugeordneten dezentralen Schreib- und Lesestationen WR im Rahmen eines Autorisierungssystems A, das für das ganze System von Schreib- und Lesestationen, Datenträgem, Autorisierungsinstanzen und Autorisierungsmitteln gültige hierarchische Regeln festlegt, wie dies beispielsweise an einem System mit berührungs losen Identifikationsmedien in der WO 97/34265 beschrieben ist. Dieses bekannte System dient jedoch nur als ein mögliches Anwendungsbeispiel der Erfindung.
Das erfindungsgemässe Verfahren wird in Fig. 3 illustriert: Die Initialisierung von mobilen Datenträgem IM mit zugeordneten dezentralen Schreib- und Lesestationen A-WR und/oder von dezentralen Schreib- und Lesestationen WR erfolgt im Rahmen
eines für alle Systemelemente gültigen hierarchischen Autorisierungssystem A durch eine Autorisierung mit Autorisierungsmitteln AM an einer Autorisierungsinstanz HA in einer gesicherten Umgebung g, wo Initialisierungsdaten DI = A-I, I-I erzeugt und über ein Netzwerk N in einer gesicherten Kommunikation und mit dem Autorisierungssystem entsprechenden Sicherheitsregeln an eine dezentrale autorisierte Schreib- und Lesestation A-WR oder an eine dezentrale Schreib- und Lesestation WR gesendet werden. Die Initialisierungsdaten DI enthalten dabei Autorisierungsinformationen A-I, die von den Autorisierungsmitteln AM in die Autorisierungsinstanz eingegeben werden und Initialisierungsinformationen I-I, die auch in die Autorisierungsinstanz HA eingegeben oder aus dieser abgerufen werden.
An der dezentralen Schreib- und Lesestation A-WR werden die mobilen Datenträger IM mit den Initialisierungsdaten DI entsprechend, initialisiert und damit in initialisierte Datenträger IMj übergeführt, oder mit den Initialisierungsdaten DI wird die dezentrale Schreib- und Lesestation WR initialisiert und in eine initialisierte Schreib- und Lesestation übergeführt: WRk.
Die Fig. 1 und 2 illustrierten die gesicherte Kommunikation über ein Netzwerk N bis zu den dezentralen Schreib- und Lesestationen A-WR in ungesicherter Umgebung u.
Im Beispiel von Fig. 1 erfolgt dabei die Initialisierung über ein gesichertes privates Netzwerk Np, womit die gesicherte Umgebung bis an die Schreib- und Lesestationen gewährleistet wird.
Fig. 2 zeigt ein Beispiel der erfindungsgemässen Initialisierung über ein offenes Netz No mit einer Verschlüsselung und beidseitigen Sicherheitspforten Gl und G2, um die notwendige gesicherte Kommunikation über das offene Netz zu gewährleisten.
Durch die gesicherte Verbindung über das Netzwerk N werden die dezentralen Schreib- und Lesestationen WR bzw. A-WR, die sich normalerweise in ungesicherter Umgebung u befinden, in die gesicherte Umgebung der Autorisierungsinstanz HA eingebunden für die Initialisierungen und damit findet die Initialisierung in gesicherter Umgebung g statt. Nachdem die Initialisierung ausgeführt ist, kann die Ausführung von Applikationen mit den Identifikationsmedien IM an den Schreib- und Lesestationen WR wieder wie bisher in ungesicherter Umgebung stattfinden. Die gesicherte Umgebung g über das Netz muss also nur temporär für die Initialisierung hergestellt werden.
Mit den Fig. 4 - 6 werden verschiedene Initialisierungsvorgänge genauer dargestellt. In Fig. 4 werden zuerst mögliche Ausführung von Autorisierungsinstanzen HA und Autorisierungsmitteln AM illustriert.
Im Unterschied zu bekannten Kontaktkartensystemen, z.B. gemäss DE 197 20 431 mit einer einzigen zentralen Autorisierungs- und Organisationsstelle (Systemzentrale), von der aus alle Initialisierungen ausgeführt und verwaltet werden müssen, ist im erfindungsgemässen System keine solche Zentrale des Autorisierungssystems A notwendig. Das Autorisierungssystem A wird vielmehr durch die Einhaltung von hierarchischen Autorisierungsregeln bestimmt, wobei diese Autorisierungsregeln in verschiedenen örtlich verteilten Autorisierungsinstanzen HAi z.B. auf einem Chip oder als Programm implantiert und gespeichert sind. Diese Autorisierungsregeln bzw. die Autorisierungsmittel AM bilden im Prinzip eine
örtlich verteilte "virtuelle Autorisierungssystem-Zentrale" Ä. Die Zugehörigkeit zum System A für alle Schreib- und Lesestationen und alle Identifikationsmedien wird durch eine System-Grundvorbereitung oder Grundinitialisierung sichergestellt.
Zur Initialisierung einer neuen Applikation Appi mit den Initialisierungs- informationen I-I (Appi) ist eine der Organisationsstufe entsprechende Autorisierung mit den Autorisierungsinformationen A-I erforderlich. Mit den Autorisierungsmitteln AM werden diese dem Autorisierungssystem A entsprechenden Autorisierungsinformationen A-I an die Autorisierungsinstanz HA übermittelt. Die Autorisierungsinstanzen HA können dabei gemäss Fig. 4 z.B. aus einem Hostcomputer H mit den entsprechenden Autorisierungsregeln des Systems A oder auch aus einer entfernten Autorisierungs- Schreib- und Lesestation R-A-WR bestehen. Die Autorisierungsmittel AM können beispielsweise bestehen aus einem Autorisierungs-Identifikationsmedium AM-IM, das die Autorisierungsinformationen A-I enthält oder aus Autorisierungsdaten AM-I, die z.B. als Software (Programm) in einem Host H abgerufen bzw. ausgeführt werden kann. Bei einem physikalischen Autorisierungsmedium AM-IM erfolgt die den Sicherheitsanforderungen entsprechende Handhabung durch den Träger (Inhaber) des Autorisierungsmediums. Im Falle von Softwareprogrammen AM-I in einem Host H wird die Sicherheit gewährleistet durch eine Identifikation des Benutzers, z.B. mittels PIN Code oder biometrischen Daten oder durch ein zugeordnetes spezielles Identifikationsmedium (ID-AM).
In Fig. 4 ist die Initialisierung eines Datenträgers IM dargestellt. Dabei bezieht sich die Autorisierungsinformation A-I(j) auf die Autorisierung für die Initialisierung j eines Datenträgers IM. Die Initialisiemngsinformationen I-I (Appi) für eine neue
Applikation Appi werden in die Autorisierungsinstanz HA eingegeben, erzeugt oder
abgerufen und wie beschrieben über das Netz und die dezentralen autorisierten Schreib- und Lesestation A-WR im Datenträger IM initialisiert: IMj (mit Appi).
Fig. 5 zeigt die Initialisierung k einer Schreib- und Lesestation WR. Die Autorisierungsinformationen A-I(k) werden vom Autorisierungsmittel AM der Autorisierungsinstanz HA eingegeben, erzeugt oder abgerufen. Die Initialisierungsinformation I-I(k) wird ebenfalls in die Autorisierungsinstanz eingegeben. Zur Initialisierung der Schreib- und Lesestation WR, d.h. zur Überführung in eine WRk über ein Netzwerk wird zuerst die Autorisierungsinformation A-I(k) von der Autorisierungsinstanz HA auf die Schreib- und Lesestation WR übertragen, worauf anschliessend die Übertragung der Initialisierungsinformation I-I(k) erfolgt. In Analogie zur Initialisierung von neuen Applikationen auf einem Datenträger kann auch eine Initialisierung der Schreib- und Lesestation WR durch entsprechende Initialisierungsdaten I-I(k) erfolgen, mit denen beispielsweise zusätzliche Funktionen in der Schreib- und Lesestation eingeführt werden können.
Fig. 6 zeigt die Überführung bzw. Initialisierung einer dezentralen Schreib- und Lesestation WR in eine autorisierte Schreib- und Lesestation A-WR, um damit Initialisiemngen von mobilen Datenträgem IM ausführen zu können. Dazu muss die Schreib- und Lesestation WR zuerst mit der Autorisierungsfunktion FA initialisiert werden. Zuerst muss die Autorisierungsinformation A-I-FA von einem Autorisierungsmittel AM in die Autorisierungsinstanz HA eingegeben werden, worauf die Initialisierung bzw. die Überführung der dezentralen Schreib- und Lesestation WR in eine autorisierte Schreib- und Lesestation A-WR mit Autorisierungsfunktion FA ausgeführt wird. Anschliessend kann die Initialisierung von Applikationen wie bisher (Fig. 4) durch die Autorisierungsinformation A-I(j) für eine bestimmte
Applikation Appi und die entsprechende Initialisierungsinformation I-I (Appi) über das Netzwerk und die dezentrale autorisierte Schreib- und Lesestation A-WR im mobilen Datenträger IM vorgenommen werden: IMj mit I-I (Appi).
Diese Autorisierungsfunktion FA muss nicht permanent aktiviert sein, sie kann auch wieder gelöscht werden, bzw. mit der Netzverbindung unterbrochen oder nach einer bestimmten Zeit oder einer bestimmten Anzahl von Initialisierungen gelöscht werden, wodurch die autorisierte Schreib- und Lesestation A-WR wieder in eine gewöhnliche dezentrale Schreib- und Lesestation WR zurückgeführt wird.
In den Fig. 4 - 6 sind weitere mögliche Funktionen dargestellt, die über das Netzwerk N initialisiert bzw. ausgeführt werden können.
Statusinformationen S-I über Ereignisse an den autorisierten bzw. an den dezentralen Schreib- und Lesestationen A-WR, WR und oder an den mobilen Datenträgem IM können über das Netzwerk an entsprechende Autorisierungsinstanzen gemeldet und dort beispielsweise für Nutzungs- und Lizenzverrechnungen eingesetzt werden. Beispiele dazu werden später erläutert.
Als weitere Option ist es möglich, als Autorisierung eines rechtmässigen Benutzers für eine Initialisierung mit einem Identifikations-Autorisierungsmittel ID-AM dessen Identifikation ID-I zu überprüfen (Fig. 4, 5, 14).
Ganz wesentlich ist die gesicherte Kommunikation der Initialisierungsdaten DI über das Netzwerk, so dass die Sicherheit des gesamten Systems mit den mobilen
Datenträgem nicht durch die Daten-Übertragung über das Netzwerk beeinträchtigt wird.
Bei einer Kommunikation über private Netzwerke Np, z.B. über Firmennetzwerke, ist diese gewünschte Sicherheit gegeben.
Bei Übertragung der Initialisierungsdaten über öffentliche Netze No muss dafür eine gesicherte Kommunikation mit an sich bekannten Mitteln (Verschlüsselung und weiteren Sicherheitsfaktoren), gewährleistet werden. Dies gilt auch für eine Kommunikation über eine Kombination von offenen und privaten Netzwerken. Damit können im Prinzip beliebige Netze zur Übertragung der Initialisierungsdaten verwendet werden (wie LAN, WAN, Internet, Intranet und Extranet etc.).
Die erfindungsgemässe Initialisierung kann auch über ein virtuelles privates Netzwerk erfolgen, d.h. ein privates Datennetzwerk, das öffentliche Telecommunikationsnetze benützt, z.B. als Firmennetzwerk, wobei Verschlüsselungs- und Tunneling-Mechanismen sicherstellen, dass nur autorisierte Anwender Zugang erhalten, z.B. über das Internet IP (Intemetprotokoll), VPM (Virtual Private Networks).
Wesentlich ist, dass der Sicherheitsgrad dieser Kommunikation der Wichtigkeit der Initialisierung bzw. der Initialisiemngsdaten entsprechend gewährleistet wird. Dies sowohl bezüglich der Kommunikation über das Netz, im Prinzip die äussere Sicherheit bezüglich dem Netz, wie auch bezüglich der inneren Sicherheit im Autorisierungssystem A, welches verschiedene hierarchische Stufen OLi entsprechend der hierarchischen Definition und der Wichtigkeit der Anwendungen unterscheidet. Insgesamt muss eine der Wichtigkeit der Applikationen bzw. der Initialisiemngen entsprechende Sicherheit sowohl als äussere wie auch als innere
Sicherheit gewährt werden. Wobei natürlich die äussere Sicherheit bezüglich dem Netz nicht kleiner sein sollte als die gewünschte innere Sicherheit. Unterschiedliche Wichtigkeits- bzw. Autorisierungsstufen können beispielsweise sein: Das Laden einer zusätzlichen Applikation wie eine Treueprämie auf einer Kundenkarte eines Supermarkts erfordert nur eine relativ geringe Sicherheitsstufe, da der potentielle Schaden durch unautorisierte Handlungen gering ist. Anderseits erfordert z.B. die Zugangsberechtigung für Nutzungsstufen höchster Geheimhaltung in einem EDV-Datensystem oder die Initialisierung ganz neuer Datenträger und vor allem das Aufbuchen von Geldbeträgen eine hohe Sicherheitsstufe.
Fig. 7 illustriert nun ein Beispiel mit mehreren Autorisiemngsinstanzen HAI, HA2, HA3 mit je den entsprechenden Autorisierungsmitteln AMI, AM2, AM3 im Rahmen des Autorisierungssystems A, welche ihre eigenen unabhängigen Applikationen Appi, App2, App3 mit ihren Initialisiemngsdaten DU, DI2, DI3 über Netzwerke Nl, N2, N3 an entsprechende zugeordnete autorisierte Schreib- und Lesestationen A- WR senden, bei denen die mobilen Datenträger IM entsprechend initialisiert werden. Dabei können die Netzwerke unterschiedlich sein, z.B. Nl ein offenes Netz und N2 ein privates Netz, oder es können auch zwei oder mehr Autorisiemngsinstanzen das selbe Netzwerk, jedoch mit ihren eigenen Sicherheitsregeln, verwenden. Natürlich müssen die Schreib- und Lesestationen der Autorisierungsinstanz entsprechen, d.h. in diesem Beispiel ist die Lesestation A-WR2 nur der Autorisierungsinstanz HA3 zugänglich, d.h. dieser zugeordnet mit entsprechenden Applikationen App3, während die Schreib- und Lesestation A-WR1 in diesem Beispiel allen drei Autorisiemngsinstanzen HAI, HA2, HA3 mit ihren entsprechenden Applikationen Appi, App2, App3 zugeordnet und zugänglich ist. Analoges gilt für die Zuordnung der mobilen Datenträger IM, die auch einer oder mehreren Autorisiemngsinstanzen mit entsprechender Möglichkeit zur Initialisierung von deren Applikationen zugeordnet sind.
Die Fig. 8 - 11 illustrieren weitere Beispiele von Initialisiemngen über mehrere Netzwerke bzw. über mehrere Netzstufen (auch im gleichen Netz) mit mehreren Autorisiemngsinstanzen HA und Autorisiemngsmitteln AM sowie mit mehreren bzw. verschiedenen Autorisierungsstufen OLi.
Fig. 8 zeigt ein Beispiel mit mehreren Autorisiemngsinstanzen HAI, HA2 mit Autorisiemngsmitteln AMI, AM2 und mit verschiedenen Applikationen Appi, App2. Die entsprechenden Initialisiemngsdaten DU, DI2 werden über das gleiche Netzwerk in einer Stufe an die dezentralen autorisierten Schreib- und Lesestationen A-WR übermittelt zur Initialisierung von beiden Applikationen Appi, App2 in den Datenträgem IMj. Dies kann unabhängig von der Autorisiemngsstufe OLi (auch für verschiedene OLi der Autorisiemngsinstanzen HAi, der Autorisierungsmittel AMi, der Applikationen Appi ) erfolgen.
Fig. 9 zeigt analog zu Fig. 8 mehrere Autorisiemngsinstanzen HA und Autorisierungsmittel AM für Applikationen Appi, wobei jedoch die Initialisierung über mehrere Netzstufen Nl, N2 auf die autorisierten Schreib- und Lesestationen A- WR erfolgt. Die Netzstufen Nl und N2 können im gleichen oder auch in verschiedenen Netzen gebildet werden. Die Applikation Appi mit I-Il der Autorisiemngsinstanz HAI geht hier über die Netzstufe Nl in die Autorisiemngsinstanz HA2 und unverändert weiter über die Netzstufe N2 in die autorisierte Schreib- und Lesestation. Die Applikation App2 an der Autorisiemngsinstanz HA2 wird nur über die Netzstufe N2 geleitet. Auch dies ist unabhängig von der Autorisiemngsstufe OLi.
Fig. 10 zeigt ein weiteres Beispiel ähnlich Fig. 9 mit mehreren Autorisiemngsinstanzen, Applikationen und Netzstufen, wobei hier zwei Applikationen auf unter-
schiedlicher Autorisiemngsstufe dargestellt sind, wie z.B. die Applikation Appi auf OLn und die Applikation App2 auf OLn+1. Dieses Beispiel zeigt an der Applikation Appi der Autorisiemngsinstanz HAI, dass diese in der Autorisiemngsinstanz HA2 auch ergänzt werden kann in I-I1+, so dass die entsprechende Applikation im Datenträger IMj dieser Applikation Appl+ entspricht.
In Analogie zu dieser Veränderung oder Ergänzung einer Applikation in der Autorisiemngsinstanz kann auch in einer Schreib- und Lesestation z.B. nach Fig. 4 in der autorisierten Schreib- und Lesestation A-WR eine Initialisierungsinformation verändert oder ergänzt werden in I-I+.
Fig. 11 zeigt schematisch die Organisation in einem Autorisiemngssystem A mit mehreren Autorisiemngs- bzw. Organisationsstufen z.B. OLi = OL0 bis OL5, mit mehreren Autorisiemngsinstanzen HA auf verschiedenen Autorisiemngsstufen und mit mehreren unabhängigen Anwendern HAI, HA2, HA3 mit den unabhängigen Applikationen Appi, App2, App3. Die oberste Organisationsstufe OL0 entspricht der Stufe auf welcher eine Gmndinitialisiemng aller Schreib- und Lesestationen und aller Datenträger IM (z.B. über das Systemdatenfeld CDF) im Sinne einer Zugehörigkeit zum Autorisiemngssystem A durch verschiedene Autorisiemngsinstanzen HAiO oder diesen zugeordnete Autorisiemngsinstanzen HAiO.l erfolgt. Die Autorisiemngsregeln des Systems sichern die Unabhängigkeit und gegenseitige Nicht-Beeinflussbarkeit der unabhängigen Anwendungen Appi, App2, App3 der entsprechenden unabhängigen Anwender auf Organisationsstufe OLI. Ab der nächsten Autorisiemngsstufe OL2 bis OL5 z.B. kann ein unabhängiger Anwender seine Applikationen im Rahmen des Autorisiemngssystems A mit einem sekundären Unterautorisierungssystem AS selber organisieren und festlegen. Auch auf diesen Stufen ab OL2 können Autorisiemngsinstanzen HA mit den entsprechenden Autorisiemngsmitteln AM gebildet werden und zwischen den
verschiedenen, örtlich verteilten Autorisiemngsinstanzen HA können entsprechende Netzverbindungen und Initialisiemngen über Netzstufen realisiert werden, gemäss den erläuterten Regeln.
Mit dem Autorisiemngssystem A wird dabei gesichert, dass die Applikationen der verschiedenen Autorisiemngsinstanzen unabhängig voneinander und gegenseitig nicht beeinflussbar sind. Ein Beispiel mit mehreren unabhängigen Applikationen in einem Datenträger wird in Fig. 13 weiter illustriert. Dabei sind vor allem auch berührungslose und passive Identifikationsmedien bzw. Datenträger einsetzbar, die auch auf Distanz mit einer Schreib- und Lesestation kommunizieren können, z.B. an Eintrittspforten.
Es können erfindungsgemäss verschiedene Arten von Initialisiemngen über Netzwerke durchgeführt werden mit unterschiedlichen hierarchischen Stufen im Autorisiemngssystem A und entsprechend unterschiedlicher Sicherheitsanfordemng. Fig. 12 zeigt dazu ein Beispiel hoher hierarchischer Stufe und Sicherheits- anfordemng, bei dem ein systementsprechend vorbereiteter leerer mobiler Datenträger neu mit Applikationen initialisiert wird. Dieser Datenträger IM ist dabei durch Systemdaten des Autorisiemngssystems A in einem Systemdatenfeld CDF vorbereitet, welcher die Zugehörigkeit zum System A festlegt und sicherstellt, der jedoch noch keine Applikationen in einem dafür vorbereiteten Applikationsdatenfeld ADF enthält. Die Neuini tialisiemng DI mit den Initialisiemngsinformationen I-I von Applikationen App in diesem Applikationsdatenfeld ADF stellt eine erste obere Initialisierungsstufe dar.
Fig. 13 illustriert die Initialisierung von zusätzlichen neuen Applikationen, hier z.B. der Applikation App3, mit Initialisiemngsdaten DI3 einer Autorisiemngsinstanz HA3.
Als weiteres Beispiel zeigt Fig. 13 die Initialisierung einer Applikationserweitemng App2.2 einer Autorisiemngsinstanz HA2 zusätzlich zur bestehenden Applikation App2 mittels entsprechender Initialisiemngsdaten DI2.2. Dies wird am folgenden Beispiel Bergrestaurant für den Datenträger von Fig. 13 illustriert mit einer Datenorganisation in einem Datenträger IM mit mehreren unabhängigen Applikationen Appi, App2, Aρp3 und mit einem dem Autorisiemngssystem A entsprechenden festen Datenteil CDF. Die Applikation Appi seien z.B. Skilifte, die Applikation App2 das Bergrestaurant, das eine zusätzliche Erweitemng seiner Applikation App2.2 einführen möchte und das diese mit einer entsprechenden Initialisierung DI2.2 über das Netz direkt an Ort, im Bergrestaurant über seine Schreib- und Lesestation A-WR auf eine schon bestehende Skikarte bzw. Datenträger IM eines Gastes einschreiben kann - ohne dass dieser dazu ins Tal an eine autorisierte Schreibund Lesestation (des Herausgebers der Skikarte als Applikation Appi) mit Autorisierungsmedium fahren muss, wie dies bisher notwendig war.
Als weiteres Beispiel könnte derselbe Gast mit seiner Skikarte am Abend im Tal unten eine weitere unabhängige Applikation App3, z.B. Zutritt zu Sportanlagen, neu initialisieren lassen mit Initialisiemngsdaten DI3 der Autorisiemngsinstanz HA3, wenn diese auf seinem Datenträger noch nicht eingerichtet ist.
Fig. 12 zeigt als weitere Ausführungsvariante einen mobilen Datenträger, der einen
Applikationsmicroprozessor AppuP aufweist, welcher Applikationsprogramm-Daten I-I-Cod enthält. Mit solchen Datenträgem mit integrierter Intelligenz können kombinierte Applikationen realisiert werden, welche teilweise in der Schreib- und
Lesestation WR und teilweise im Datenträger IM enthalten sind und sie erlauben die Handhabung von Nutzerautorisiemngen ai (Fig. 14).
Die erfindungsgemässe Initialisierung über ein passendes gesichertes Netz kann ganz neue Anwendungen und Business-Modelle ermöglichen, z.B. initialisierungs- gebundene Businessmodelle durch Verwendung von Status-Informationen S-I, z.B.:
1. Lizenzverrechnung für neu initialisierte Datenträger und neu initialisierte Applikationen: Bei jeder Ini tialisiemng eines neuen Datenträgers oder einer neuen Applikation in einem Datenträger IM wird über das Netz bei der Autorisiemngsinstanz HA eine entsprechende vereinbarte Lizenzgebühr verrechnet.
2. Lizenzverrechnung für jede Nutzung: Wenn eine Applikation von einem Datenträger an einer Schreib- und Lesestation genutzt wird, so kann für diese Nutzung von der Autorisiemngsinstanz HA (z.B. einem Host H) eine Lizenzgebühr erhoben werden. Dies kann entweder laufend abgerechnet werden, falls die Schreib- und Lesestation WR online über das Netz mit der Autorisiemngsinstanz HA verbunden bleibt, oder die Verbindung über das Netz kann periodisch erfolgen. Dann können die Nutzungsdaten S-I in der Schreib- und Lesestation WR gespeichert und periodisch mit der Autorisiemngsinstanz HA ausgetauscht und abgerechnet werden.
Die erfindungsgemässe Ini tialisiemng über das Netz und die damit verbundene Kommunikation kann also je nach Anwendung sowohl mit einer dauernden
Netzverbindung oder auch nur periodisch erfolgen. Dabei könnten beispielsweise
zeitlich begrenzte Applikationen durch entsprechende periodische Initialisiemngen immer wieder erneuert werden (z.B. monatlich).
Fig. 14 illustriert verschiedene Varianten möglicher Initialisiemngen über ein Netzwerk, wobei die Initialisiemngen auch eine Initialisiemngskommunikation, bzw. eine Nutzungskommunikation und / oder eine Identifikationskommunikation zwischen Autorisiemngsinstanz HA, autorisierter Schreib- und Lesestation A-WR und Identifikationsmedium bzw. Datenträger IM enthalten. Eine Initialisiemng kann von der Autorisiemngsinstanz HA ausgehen oder sie kann auch von der Schreib- und Lesestation A-WR oder vom Inhaber des Datenträgers IM angefordert werden. Dazu ist je nach Art der neuen Initialisiemng bzw. der Applikation auch eine Nutzerautorisiemng, d.h. das Einverständnis des Inhabers 12 der Schreib- und Lesestation bzw. des Inhabers 13 des Datenträgers notwendig, welche als Autorisiemngsmittel beispielsweise persönliche Daten des Inhabers 12 der Schreibund Lesestation (aw) bzw. persönliche Daten (ai) des Inhabers 13 des Datenträgers sein können wie PIN-Codes, biometrische Daten usw. Analoges gilt auch für die Ausübung von Applikationen an der Schreib- und Lesestation durch den Datenträger. Je nach Art der Autorisiemng und von deren Nutzung kann somit °
eine Nutzerautorisiemng aw zur Initialisiemng durch die Schreib- und Lesestation bzw. deren Inhaber 12 erfolgen
oder es kann eine Nutzerautorisiemng ai zur Initialisiemng durch den Inhaber 13 des Datenträgers erfolgen
oder es "kann auch eine Autorisiemng zur Initialisiemng durch ein zusätzliches Identifikations-Autorisiemngsmittel ID-AM erfolgen.
Ein Ausfühmngsbeispiel sei z.B. das Aufladen von Geldkarten an einer Schreib- und Lesestation als Karten-Lesegerät. Hier kann vom Inhaber einer Geldkarte als Datenträger mit seiner Berechtigung, d.h. Nutzerautorisiemng ai (z.B. Kreditkartennummer und PIN-Code) über einen PC und das Internet auch Geld aufgeladen werden.
Mit dem erfindungsgemässen Verfahren können auch mehrstufige Initialisiemngen über Netzwerke ausgeführt werden, z.B. in mehreren dem Autorisiemngssystem A entsprechend hierarchisch abgestuften Schritten. Dies illustriert ein Beispiel dezentraler Herstellung und Distribution von Chip-Karten als Datenträger mit Bezug auf Fig. 11. Der Inhaber des Autorisiemngs-Systems A sei ein Hersteller HAO mit Hauptsitz und Zentrale in Europa, wo leere Karten bzw. Datenträger IM produziert werden, welche beispielsweise die Systemgmndorganisation mit dem Datenfeld CDF enthalten. Diese leeren Karten werden über ein Netzwerk an Tochterfirmen HA0.1 als Ländervertretungen, z.B. in den USA, geschickt, wo eine weitere Grundinitialisiemng der Karten auch von der Herstellerzentrale HAO aus als oberster Instanz ausgeführt werden kann. Die Tochterfirma HA0.1 vertreibt diese Karten mit unabhängigen Applikationen an unabhängige Anwender, welche die Autorisiemngsinstanzen HAI, HA2, HA3 darstellen und deren Karten durch einen Anwendercode unterschieden werden, welcher über das Netz bei der Tochterfirma HA0.1 durch die Zentrale HAO initialisiert werden kann, falls die Tochter HA0.1 dazu nicht berechtigt ist. HAO und HA0.1 sind auf Stufe OLO. Dies ergibt folgende Initialisierungsstufen
HAO -> HA0.1 -> HAI
Auf einer nächsten Hierarchiestufe werden dann diese Karten IM durch die Autorisiemngsinstanzen HAI, HA2, HA3 (d.h. die unabhängigen Anwender) mit ihren gewünschten Applikationen Appi, App2, App3 über weitere Organisationsstufen wiedemm an dezentralen autorisierten Schreib- und Lesestationen A- WR initialisiert. Durch Initialisiemngs- und Autorisiemngsregeln und hierarchische Abstufungen des Systems A wird sichergestellt, dass der Inhaber HAO des Autorisierungssystems A die Kontrolle über die Systemkompatibilität der Karten behalten kann und gleichzeitig für einen unabhängigen Anwender HAI, HA2 usw., dass er die Kontrolle über Karten mit seinen Applikationen im Rahmen seiner Befugnisse ab dem zugeordneten Organisationslevel (z.B. OLI) behält. Dies ergibt weitere Initialisierungsstufen, z.B.
HAI -> HA1.1 -> HAI.11 -> A-WR/IM
auf Organisationsstufen OLI bis OLn.
Die unabhängigen Anwender HAI, HA2, HA3 usw. mit den unabhängigen Applikationen sind auch auf dem Organisationslevel OLI.
Mit den angegebenen Beispielen und Ausführungen soll die universelle Einsetzbarkeit des erfindungsgemässen neuen Verfahrens vor allem auch für berührungslose Systeme und Identifkationsmedien illustriert werden.
Im Rahmen dieser Beschreibung werden die folgenden Bezeichnungen verwendet: N Netzwerk
No öffentliches Netzwerk
Np privates Netzwerk
Gl, G2 Sicherheitspforten für gesicherte Kommunikation über das Netz g gesicherte Umgebung u ungesicherte Umgebung IM mobiler Datenträger, Identifikationsmedium
IMj initialisierter IM
WR dezentrale Schreib- und Lesestation
WRk initialisierte WR j bezieht sich auf IM k bezieht sich auf WR
A-WR dezentrale autorisierte Schreib- und Lesestation
A Autorisiemngssystem
AS sekundäres Unterautorisiemngssystem
AM Autorisierungsmittel AM-IM Autorisiemngs-Identifikationsmedien
AM-I Autorisierungsdaten
HA Autorisiemngsinstanz, entfernte
H Hostcomputer
R-A-WR entfernte Autorisiemngs-Schreib- und Lesestation DI Initialisiemngsdaten
A-I Autorisierungsinformationen
A-I-FA Autorisierungsdaten für die Funktion A-WR
I-I Initialisiemngsinformationen
I-I-Cod Applikationsprogramm-Daten ID-AM Identifikations-Autorisiemngsmittel
ID-I Identifikations-Informationen
S-I Status- Informationen
OLi Autorisiemngsstufe, Organisationslevel
App Applikationen
AppuP Applikationsmicroprozessor
CDF Gmnddatenfeld, Gmndorganisation von A
ADF Applikationsdatenfeid
12 Inhaber von WR
13 Inhaber von IM aw Nutzerautorisiemng von WR ai Nutzerautorisiemng von IM
HO Systeminhaber
HO.1 Tochtergesellschaft von HO
Claims
1. Verfahren zur Initialisiemng von mobilen Datenträgem (IM) mit zugeordneten dezentralen Schreib- und Lesestationen (WR) und/oder von dezentralen Schreib- und Lesestationen (WR) im Rahmen eines Autorisiemngssystems (A), dadurch gekennzeichnet, dass durch eine Autorisiemng mit Autorisiemngsmitteln (AM) an einer Autorisiemngsinstanz (HA) in einer gesicherten Umgebung (g) Initialisiemngsdaten (DI, A-I, I-I) erzeugt und über ein Netzwerk (N) in einer gesicherten Kommunikation und mit dem Autorisiemngssystem entsprechenden Sicherheitsregeln an eine dezentrale autorisierte Schreib- und
Lesestation (A-WR) gesendet werden und wobei die mobilen Datenträger (IM) an der Schreib- und Lesestation (A- WR) mit den Initialisiemngsdaten (DI) entsprechend initialisiert werden (IMj) und/oder dass die Initialisiemngsdaten (DI) über das Netzwerk (N) an eine dezentrale Schreib- und Lesestation (WR) gesendet werden, womit die Schreib- und Lesestation initialisiert wird (WRk).
2. Verfahren nach Anspmch 1, dadurch gekennzeichnet, dass die Autorisiemngsinstanz (HA) durch einen Hostcomputer (H) oder durch eine entfernte Autorisiemngs-Schreib- und Lesestation (R-A-WR) gebildet wird.
3. Verfahren nach Anspmch 1 oder 2, dadurch gekennzeichnet, dass die Autorisiemngsmittel (AM) durch spezielle Autorisiemngs- Identifikations- medien (AM-IM) oder durch Autorisierungsdaten (AM-I) gebildet werden.
4. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass eine (nicht autorisierte) dezentrale Schreib- und Lesestation (WR) durch in den Initialisiemngsdaten (DI) enthaltene Funktions-Autorisierungsdaten (A-I-FA) zuerst in eine autorisierte Schreib- und Lesestation (A-WR) übergeführt wird, welche anschliessend mobile
Datenträger (IM) entsprechend den Initialisiemngsdaten initialisieren kann.
5. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass im Rahmen des Autorisiemngssystems (A) mehrere Autorisiemngsinstanzen (HAi) mit gleichen und/oder unterschiedlichen
Autorisiemngsstufen (OLi) vorgesehen sind.
6. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass mehrere Autorisierungsmittel (AMi) mit gleichen und/oder unterschiedlichen Autorisiemngsstufen (OLi) vorgesehen sind.
7. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass Initialisiemngsdaten (DI, A-I, I-I) über mehr als eine Netzstufe (Nl, N2) und/oder über mehr als eine Autorisiemngsinstanz (HAI, HA2) an die autorisierten Schreib- und Lesestationen (A-WR) bzw. die dezentralen Schreib- und Lesestationen (WR) übermittelt werden.
8. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Inititalisierungsdaten (DI) über ein gesichertes privates Netzwerk (Np) übermittelt werden.
9. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Initialisiemngsdaten über ein offenes Netzwerk (No) mit einer Verschlüsselung und beidseitigen Sicherheitspforten (Gl, G2) übermittelt werden.
10. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass mit den Initialisiemngsdaten (DI2.2) Applikationserweiterungen (App2.2) initialisiert werden.
11. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass mit den Initialisiemngsdaten (DI3) neue unabhängige Applikationen (App3) initialisiert werden.
12. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass in einem, mit einem Systemdatenfeld (CDF) vorbereiteten leeren mobilen Datenträger mit den Initialisiemngsdaten (DI) Applikationen (App) neu initialisiert werden.
13. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass über das Netzwerk (N) eine dauernde Verbindung zwischen Autorisiemngsinstanz (HA) und dezentralen Schreib- und Lesestation (A-WR, WR) besteht.
14. ' Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Verbindung zwischen Autorisiemngsinstanz (HA), und dezentralen Schreib- und Lesestationen (A-WR, WR) über das Netzwerk (N) nur zeitweise besteht und dabei ein Datenaustausch stattfindet.
15. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass für die Initialisiemng eine Nutzer-Autorisierung (aw) durch die Schreib- und Lesestation (A-WR, WR) bzw. deren Inhaber (12) erfolgt und/oder ein Identifikations-Autorisiemngsmittel (ID-AM) notwendig ist.
16. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass für eine Initialisiemng eine Nutzer-Autorisiemng (ai) durch den Datenträger bzw. den Inhaber (13) des Datenträgers erfolgt.
17. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass zur Autorisiemng von Initialisiemngen über das Netzwerk (N), wie auch zur Ausübung von Applikationen an der Schreibund Lesestation (A-WR, WR) bzw. am Datenträger (IM) persönliche Daten (aw) des Inhabers der Schreib- und Lesestation bzw. persönliche Daten (ai) des Inhabers des Datenträgers, wie PIN-Code oder biometrische Daten, als Autorisiemngsmittel eingesetzt werden.
18. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die mobilen Datenträger (IM) einen Applikations- Mikroprozessor (AppuP) zur Verarbeitung von Applikations-Programmdaten (I-I-Cod) enthalten.
19. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Datenträge (IM) als berührungslose, aktive oder passive Identifikationsmedien ausgebildet sind.
20. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die mobilen Datenträger (IM), die Autorisierungs- Identifikationsmedien (AM-IM) und die Identifikations-
Autorisiemngsmedien (ID-AM) aus den gleichen mobilen Datenträgem gebildet werden.
21. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass Statusinformationen (S-I) über Ereignisse an den autorisierten bzw. an den dezentralen Schreib- und Lesestationen (A-WR, WR) und/oder an den mobilen Datenträgem (IM) über das Netzwerk (N) an eine entsprechende Autorisiemngsinstanz (HA) gemeldet werderi.
22. Verfahren nach Ansprach 21, dadurch gekennzeichnet, dass die Statusinformationen (S-I) für Nutzungs- oder Lizenzverrechnungen verwendet werden.
23. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass jede neue Initialisierung eines Datenträgers (IM) für eine Nutzungs- oder Lizenzverrechnung über das Netzwerk (N) an die Autorisiemngsinstanz (HA gemeldet wird.
24. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass jede Nutzung einer Applikation an einer Schreib- und Lesestation (WR) für eine Nutzungs- oder Lizenzverrechung über das Netzwerk (N) an die Autorisiemngsinstanz (HA) gemeldet wird.
25. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass eine mehrstufige Initialisiemng der Datenträger (IM) über Netzwerke (N) vorgesehen ist, welche im Rahmen des Autorisierungs- Systems (A) in hierarchisch abgestuften Schritten erfolgt.
26. Mobiler Datenträger (IMj) mit einer nach dem Verfahren von Ansprach 1 durch Autorisiemng über ein Netzwerk (N) initialisierten Applikation (App).
27. Schreib- und Lesestation (WRk) mit einer nach dem Verfahren von Ansprach 1 durch Autorisierang über ein Netzwerk (N) initialisierten Applikation (k).
28. Anlage zur Initialisierung von mobilen Datenträgern (IM) mit zugeordneten dezentralen Schreib- und Lesestationen (WR) und/oder von dezentralen
Schreib- und Lesestationen (WR) im Rahmen eines Autorisierungssystems (A), dadurch gekennzeichnet, dass durch Autorisiemngsmittel (AM) an einer Autorisiemngsinstanz (HA) in einer gesicherten Umgebung (g) Initialisiemngsdaten (DI, A-I, I-I) erzeugt und über ein Netzwerk (N) in einer gesicherten Kommunikation und mit dem
Autorisierungssystem entsprechenden Sicherheitsregeln an eine dezentrale autorisierte Schreib- und Lesestation (A-WR) gesendet werden und dass die mobilen Datenträger (IM) an der Schreib- und Lesestation (A- WR) mit den Initialisierangsdaten (DI) entsprechend initialisiert werden (IMj) und/oder dass die Initialisiemngsdaten (DI) über das Netzwerk (N) an eine dezentrale Schreib- und Lesestation (WR) gesendet werden, womit die Schreib- und Lesestation (WR) initialisiert wird (WRk).
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CH13652000 | 2000-07-11 | ||
| CH136500 | 2000-07-11 | ||
| PCT/CH2001/000433 WO2002005225A1 (de) | 2000-07-11 | 2001-07-10 | Verfahren zur initialisierung von mobilen datenträgern |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP1218862A1 true EP1218862A1 (de) | 2002-07-03 |
Family
ID=4565418
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP01944863A Ceased EP1218862A1 (de) | 2000-07-11 | 2001-07-10 | Verfahren zur initialisierung von mobilen datenträgern |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7631187B2 (de) |
| EP (1) | EP1218862A1 (de) |
| JP (1) | JP2004503031A (de) |
| CN (1) | CN1193321C (de) |
| AU (1) | AU6725601A (de) |
| BR (1) | BR0106966A (de) |
| CA (1) | CA2384498C (de) |
| MX (1) | MXPA02002602A (de) |
| WO (1) | WO2002005225A1 (de) |
| ZA (1) | ZA200201905B (de) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1338996A1 (de) * | 2002-02-22 | 2003-08-27 | BetaResearch Gesellschaft für Entwicklung und Vermarktung digitaler Infrastrukturen mbH | Vorrichtung und Verfahren zur Personalisierung von Chipkarten |
| EP1642184A1 (de) * | 2003-07-04 | 2006-04-05 | Nokia Corporation | Schlüsselspeicher-administration |
| FR2879867A1 (fr) * | 2004-12-22 | 2006-06-23 | Gemplus Sa | Systeme d'allocation de carte a puce a un operateur de reseau |
| DE102006027200A1 (de) * | 2006-06-12 | 2007-12-27 | Giesecke & Devrient Gmbh | Datenträger und Verfahren zur kontaktlosen Kommunikation zwischen dem Datenträger und einem Lesegerät |
| EP2154623A1 (de) * | 2008-08-15 | 2010-02-17 | Legic Identsystems AG | Autorisierungssystem mit drahtloser Autorisierungsspeichervorrichtung |
| EP3022439B1 (de) | 2013-07-19 | 2019-06-05 | Fluid Management Operations LLC | Dreikammer taumelpumpe |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1997034265A1 (de) * | 1996-03-11 | 1997-09-18 | Kaba Schliesssysteme Ag | Identifikationsmedium mit passivem elektronischem datenträger |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US582876A (en) * | 1897-05-18 | Berger | ||
| FR2536928B1 (fr) | 1982-11-30 | 1989-10-06 | France Etat | Systeme pour chiffrer et dechiffrer des informations, du type utilisant un systeme de dechiffrement a cle publique |
| DE3736258A1 (de) * | 1987-10-27 | 1989-05-11 | Mannesmann Kienzle Gmbh | Datenkartenanordnung |
| US5623547A (en) | 1990-04-12 | 1997-04-22 | Jonhig Limited | Value transfer system |
| WO1993010509A1 (en) * | 1991-11-12 | 1993-05-27 | Security Domain Pty. Ltd. | Method and system for secure, decentralised personalisation of smart cards |
| US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
| US5396558A (en) * | 1992-09-18 | 1995-03-07 | Nippon Telegraph And Telephone Corporation | Method and apparatus for settlement of accounts by IC cards |
| DE4317380C1 (de) * | 1993-05-25 | 1994-08-18 | Siemens Ag | Verfahren zur Authentifikation zwischen zwei elektronischen Einrichtungen |
| FR2725537B1 (fr) | 1994-10-11 | 1996-11-22 | Bull Cp8 | Procede de chargement d'une zone memoire protegee d'un dispositif de traitement de l'information et dispositif associe |
| DE19517818C2 (de) * | 1995-05-18 | 1997-12-18 | Angewandte Digital Elektronik | Verfahren zur Ausgabe von individuellen Chipkarten an eine Mehrzahl von einzelnen Chipkartennutzer unter Verwendung einer neutralen Chipkartenausgabestation |
| CA2186415A1 (en) * | 1995-10-10 | 1997-04-11 | David Michael Claus | Secure money transfer techniques using smart cards |
| NL1001761C2 (nl) * | 1995-11-28 | 1997-05-30 | Ronald Barend Van Santbrink | Stelsel voor contactloze data-uitwisseling tussen een lees- en schrijf- eenheid en één of meer informatiedragers. |
| US5889941A (en) * | 1996-04-15 | 1999-03-30 | Ubiq Inc. | System and apparatus for smart card personalization |
| US5923884A (en) * | 1996-08-30 | 1999-07-13 | Gemplus S.C.A. | System and method for loading applications onto a smart card |
| US6317832B1 (en) * | 1997-02-21 | 2001-11-13 | Mondex International Limited | Secure multiple application card system and process |
| DE19708189C2 (de) * | 1997-02-28 | 2000-02-17 | Deutsche Telekom Mobil | Zu einem öffentlichen Mobilkommunikationssystem kompatibles nicht öffentliches Schnurlos-Kommunikationssystem |
| DE19710249C2 (de) * | 1997-03-12 | 2002-03-28 | Siemens Nixdorf Inf Syst | Netzwerkunterstütztes Chipkarten-Transaktionsverfahren und Anordnung zur Abwicklung von Transaktionen |
| US6233683B1 (en) * | 1997-03-24 | 2001-05-15 | Visa International Service Association | System and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card |
| US6488211B1 (en) | 1997-05-15 | 2002-12-03 | Mondex International Limited | System and method for flexibly loading in IC card |
| US6230267B1 (en) | 1997-05-15 | 2001-05-08 | Mondex International Limited | IC card transportation key set |
| DE19720431A1 (de) | 1997-05-15 | 1998-11-19 | Beta Research Ges Fuer Entwick | Vorrichtung und Verfahren zur Personalisierung von Chipkarten |
| EP0949595A3 (de) * | 1998-03-30 | 2001-09-26 | Citicorp Development Center, Inc. | Verfahren und System zum Verwalten von Anwendungen für eine multifunktionelle Chipkarte |
| US6092202A (en) * | 1998-05-22 | 2000-07-18 | N*Able Technologies, Inc. | Method and system for secure transactions in a computer system |
| US6871278B1 (en) * | 2000-07-06 | 2005-03-22 | Lasercard Corporation | Secure transactions with passive storage media |
| JP2002070375A (ja) * | 2000-09-05 | 2002-03-08 | Fujitsu Ltd | 電子鍵および電子鍵システム |
| DE10259384B3 (de) * | 2002-12-18 | 2004-05-13 | Siemens Ag | Vorrichtung zur Ermittlung des Energiezustandes eines Energiespeichers eines mobilen Datenträgers |
| DE102006008248A1 (de) * | 2006-02-22 | 2007-08-23 | Giesecke & Devrient Gmbh | Betriebssystem für eine Chipkarte mit einem Multi-Tasking Kernel |
-
2001
- 2001-07-10 AU AU67256/01A patent/AU6725601A/en not_active Abandoned
- 2001-07-10 EP EP01944863A patent/EP1218862A1/de not_active Ceased
- 2001-07-10 MX MXPA02002602A patent/MXPA02002602A/es unknown
- 2001-07-10 BR BR0106966-7A patent/BR0106966A/pt not_active Application Discontinuation
- 2001-07-10 CA CA2384498A patent/CA2384498C/en not_active Expired - Lifetime
- 2001-07-10 US US10/070,786 patent/US7631187B2/en not_active Expired - Fee Related
- 2001-07-10 CN CNB018027369A patent/CN1193321C/zh not_active Expired - Fee Related
- 2001-07-10 WO PCT/CH2001/000433 patent/WO2002005225A1/de active Application Filing
- 2001-07-10 JP JP2002508755A patent/JP2004503031A/ja active Pending
-
2002
- 2002-03-07 ZA ZA200201905A patent/ZA200201905B/en unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1997034265A1 (de) * | 1996-03-11 | 1997-09-18 | Kaba Schliesssysteme Ag | Identifikationsmedium mit passivem elektronischem datenträger |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2384498A1 (en) | 2002-01-17 |
| US7631187B2 (en) | 2009-12-08 |
| JP2004503031A (ja) | 2004-01-29 |
| BR0106966A (pt) | 2002-05-14 |
| ZA200201905B (en) | 2003-03-07 |
| MXPA02002602A (es) | 2003-06-30 |
| CA2384498C (en) | 2012-02-14 |
| CN1193321C (zh) | 2005-03-16 |
| US20030033527A1 (en) | 2003-02-13 |
| WO2002005225A1 (de) | 2002-01-17 |
| CN1393006A (zh) | 2003-01-22 |
| AU6725601A (en) | 2002-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0306892B1 (de) | Schaltungsanordnung mit einer zumindest einen Teil der Anordnung enthaltenden Karte für Geschäfts-, Identifizierungs-und/oder Betätigungszwecke | |
| DE69814406T2 (de) | Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter | |
| DE69925810T2 (de) | Verfahren und vorrichtung für eine reisebezogene multifunktionelle chipkarte | |
| DE69824437T2 (de) | Personalisieren von chipkarten | |
| DE69937010T2 (de) | Datenspeichervorrichtung und -verfahren | |
| DE69927643T2 (de) | Informationsverarbeitung und Datenspeicherung | |
| DE60132953T2 (de) | Datenspeicher und Datenspeicherverfahren, Datenverarbeitungsvorrichtung und Datenverfahren und zugehöriges Programm | |
| EP2626824A1 (de) | Management durch ein mobiles Endgerät bereitgestellter virtueller Brieftaschen | |
| DE10296888T5 (de) | System und Verfahren zur sicheren Eingabe und Authentifikation von verbraucherzentrierter Information | |
| DE10297521T5 (de) | Verbraucher-zentrisches kontext-bewußtes Vermittlungsmodell | |
| CH705774B1 (de) | Verfahren, System und Karte zur Authentifizierung eines Benutzers durch eine Anwendung. | |
| DE19718115A1 (de) | Chipkarte und Verfahren zur Verwendung der Chipkarte | |
| DE4230866B4 (de) | Datenaustauschsystem | |
| EP1218862A1 (de) | Verfahren zur initialisierung von mobilen datenträgern | |
| EP1423830A2 (de) | Verfahren zum betrieb von berührungslosen identifikationsmedien | |
| DE19938695A1 (de) | Verfahren und Vorrichtung zur elektronischen Abwicklung von bargeldlosen Zahlungen mittels Sicherheitsmodulen | |
| DE10297517T5 (de) | Automatisiertes digitales Rechte-Management und Zahlungssystem mit eingebettetem Inhalt | |
| DE4441038A1 (de) | Verfahren zum Erwerb und Speichern von Berechtigungen mit Hilfe von Chipkarten | |
| WO2000039758A1 (de) | Verfahren für die sichere handhabung von geld- oder werteeinheiten mit vorausbezahlten datenträgern | |
| EP1634252B1 (de) | Verfahren zum laden von tragbaren datenträgern mit daten | |
| DE19705620C2 (de) | Anordnung und Verfahren zur dezentralen Chipkartenidentifikation | |
| WO1992004694A1 (de) | Verfahren und vorrichtung zur gesicherten datenfernübermittlung | |
| DE60027605T2 (de) | System zum verteilen von fahrkarten über eine vielzahl von betreibern | |
| WO1998039745A2 (de) | Tragbarer datenträger und verfahren zu dessen kryptographisch gesicherten benutzung mit austauschbaren kryptographischen schlüsseln | |
| DE10151200A1 (de) | System, Verfahren und Computerprogramm-Produkt zur Erzeugung und/oder Verwendung einer mobilen Digitalkarte |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| 17P | Request for examination filed |
Effective date: 20020406 |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE TR |
|
| 17Q | First examination report despatched |
Effective date: 20070705 |
|
| REG | Reference to a national code |
Ref country code: DE Ref legal event code: R003 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED |
|
| 18R | Application refused |
Effective date: 20160501 |