Система передачи данных с терминалом и переносным устройством носителя данных и способ для перезаряда переносного устройства носителя данных посредством терминала

 

Предлагаемые система передачи данных с терминалом и переносным устройством носителя данных и способ для перезаряда переносного устройства носителя данных посредством терминала относятся к области вычислительной техники, технический результат изобретения заключается в исключении манипулирования данными с целью злоупотреблений. В системе передачи данных, которая образована по меньшей мере одним терминалом и по меньшей мере одним переносным устройством носителя данных, например микросхемной картой, представляющая денежное значение область энергонезависимого накопителя (NVM) карты разделена на две области значений (WBA, WBB), из которых только одна (WBA или соответственно WBB) является активируемой независимо от энергопитания, а другая (WBB или соответственно (WBA) может активироваться только временно. При перезаряде карты новое состояние счетчика записывается вначале только в предварительно активируемую область значений (WBB) и только после проверки корректной записи эта область (WBB) включается с возможностью энергонезависимого активирования. 3 с. и 5 з.п. ф-лы, 1 ил.

Изобретение относится к системе передачи данных с по меньшей мере одним терминалом и по меньшей мере одним переносным устройством носителя данных, который снабжен энергонезависимым (нетеряемым) полупроводниковым накопителем, который содержит по меньшей мере первую, действующую в качестве счетчика, представляющую списываемое со счета денежное значение область значений, а также к способу перезаряда для области значений переносного устройства носителя данных.

Такое переносное устройство носителя данных, является, например, обычной сегодня микросхемной картой, которая используется, например, в качестве телефонной карты. В этом случае стационарный терминал является пригодным для работы с картами телефонным аппаратом. Такие микросхемные карты, выполненные в виде простых накопительных карт, содержат энергонезависимый полупроводниковый накопитель, например, EEPROM, который служит в основном в качестве счетчика заранее оплаченных и подлежащих списанию со счета телефонных единиц. EEPROM может быть при этом включен согласно EP-B 0 321 727 или соответственно US-A 5,001,332 так, что он работает как многоступенчатый подобный счетам счетчик. Значение карты и тем самым емкость счетчика устанавливается путем записи и тем самым блокирования областей счетчика, которые больше не должны быть разрешенными. Перед этой установкой счетчик всегда имеет максимальную емкость. Сегодня обычные телефонные карты могут использоваться только однократно и после использования выбрасываются. Однако также использование таких микросхемных карт называют в разговоре, как электронный кошелек. Применяемые для этой цели микросхемные карты являются целесообразными только тогда, если они являются перезаряжаемыми, то есть, если их емкость счетчика может быть снова повышена, после того как известная сумма была списана. Это повышение состояния счетчика происходит на специальных зарядных терминалах, на которых пользователь или путем оплаты наличными, посредством кредитной карты, или указания номера счета может занести желаемую сумму на свою карту. При перезаряде счетчика микросхемной карты вследствие конструкции EEPROM может требоваться вначале стереть большую область счетчики или весь счетчик, это означает, что временно устанавливается слишком высокая емкость счетчика. Только затем новое состояние счетчика может быть установлено посредством нового ограничения емкости счетчика за счет операций программирования.

Если пользователь во время между стиранием счетчика и новым программированием вынимает карту из терминала, то он получил бы записанным слишком высокую сумму, за счет чего становится возможной манипуляция для злоупотребления. Кроме того, возможно, что пользователь манипулирует обмен данных между терминалом и картой так, что таким образом также может быть занесена слишком высокая сумма.

Манипуляции данных на пути передачи можно воспрепятствовать посредством так называемой электронной подписи. Подлежащие передаче данные могут, кроме того, кодироваться посредством секретного кода и могут декодироваться только определенным, однозначно придаваемым в соответствие отправителю данных кодом, за счет чего отправитель является однозначно идентифицируемым и данные не могут манипулироваться, так как ключ кодирования является секретным. Для такого кодирования и декодирования однако требуется дорогой и очень быстрый вычислительный блок, что возможно только с дорогими микропроцессорами, которые, например, используются в уже известных криптокартах.

EP 0 398 545 A1 описывает способ и устройство для запоминания данных в энергонезависимом накопителе, который имеет по меньшей мере две области, в которые попеременно записывают следующие друг за другом данные. При этом каждая область может характеризоваться путем энергонезависимой установки флажка как действующий к определенному моменту времени, - например, моменту включения - накопитель. Так как каждому накопителю поставлен в соответствие собственный флажок, который может принимать два состояния, может однако случиться, что оба флажка принимают то же самое состояние. Поэтому в известном способе/ известном устройстве является необходимым определять действительно действующее состояние путем "арбитражной" логики.

В "нормальном случае" режима запоминания в известном устройстве оба флажка к определенному моменту времени всегда занимают то же самое установленное состояние, конечно, флажок, который не был установлен в последнее время, устанавливается в исходное состояние. Это, однако, означает, что всегда необходимой является операция записи и стирания, что требует дополнительного времени.

Задачей изобретения является поэтому указание соответствующих ограничительной части формулы изобретения системы передачи данных и способа, в которых простым образом является возможным защищенный от манипуляций перезаряд счетчика переносного устройства носителя данных быстро и с минимальными схемными затратами.

Эта задача решается за счет того, что в энергонезависимом полупроводниковом накопителе содержится вторая область значений, причем только соответственно одна из обоих областей значений является активируемой энергонезависимо, а соответственно вторая область значений может активироваться только временно.

Активируемая энергонезависимо при этом означает, что информация, какая из обоих областей значений была определена последней как область значений, с которой можно производить списывание, остается сохраненной также после отключения рабочего напряжения или при прерывании процесса заряда. Это означает, что только временно активированная область значений после отключения рабочего напряжения или при прерывании процесса заряда и повторном включении рабочего напряжения или при новом начале процесса заряда является снова деактивированной и должна еще раз временно активироваться. Только после успешного и корректного перезаряда микросхемной карты, то есть после корректного ограничения емкости счетчика только временно активированной области значений соответственно сумме из остаточного значения и заданного в терминале подлежащего занесению значения только временно активированная область значений включается как энергонезависимо активируемая, за счет чего ранее энергонезависимо активированная область значений деактивируется и для новой операции заряда вначале может активироваться только временно.

Таким образом, если мошенник попытался бы при процессе заряда только временно активированной области значений после стирания счетчика и перед новым ограничением своей емкости счетчика в соответствии с подлежащим заданию значением удалить карту из терминала, то при следующем использовании, то есть при следующем приложении рабочего напряжения энергонезависимо активируемая область значений была бы деактивирована.

В предпочтительном дальнейшем развитии изобретения области значений энергонезависимого накопителя согласно п. 2 формулы изобретения через логическую схему выбора соединены с энергонезависимым флаговым накопителем, состояние которого определяет энергонезависимо активированную область значений. При отключении рабочего напряжения состояние энергонезависимого флагового накопителя сохраняется, причем определенное состояние всегда придано в соответствие одной и той же области значений.

Для временного активирования соответственно другой области значений согласно изобретению логическая схема выбора является нагружаемой сигналом управления заряда. Этот сигнал управления заряда имеет в своем нейтральном состоянии, то есть состоянии после приложения рабочего напряжения, например, уровень логического нуля "0" и для временного активирования вновь заряжаемой области значений переключается соответственно на уровень "1".

Выходной сигнал или выходные сигналы управляют переключающим устройством, которое соединяет области значений с программирующей логической схемой и верифицирующей логической схемой. Область значений активируется таким образом только за счет того, что она соединяется с программирующей логической схемой и верифицирующей логической схемой.

Переносное устройство носителя данных, или соответственно микросхемная карта соответствующей изобретению системы передачи данных и предпочтительные формы дальнейшего развития этой системы перезаряжают согласно способу п. 8 формулы изобретения. Предпочтительные формы развития способа указаны в зависимых пунктах формулы изобретения.

Изобретение описывается ниже более подробно на примере выполнения с помощью одного чертежа. При этом чертеж показывает в схематической форме зарядный терминал, а также введенное в него переносное устройство носителя записи. Существенные для изобретения схемы обеих частей системы передачи данных представлены в виде блок-схемы (см. чертеж).

Переносное устройство носителя данных, в последующем называемое карта, причем возможными являются также другие виды выполнения, введено на чертеже в зарядный терминал системы передачи данных. Карта содержит энергонезависимый накопитель NVM, который предпочтительным образом может быть реализован в виде EEPROM. Этот накопитель NVM разделен при этом на несколько областей, две из которых служат в качестве областей значений WBA, WBB. Эти области значений WBA, WBB выполнены предпочтительным образом в виде многоступенчатых счетчиков и, например, подключены согласно EP-B 0321727 или соответственно US-A 5001332. Такие счетчики являются вычитающими счетчиками, если они в стертом или заряженном состоянии имеют логическое состояние "1" и тем самым максимальную, определенную количеством счетных ступеней и бит на ступень емкость счетчика. Путем записи подходящего количества верхних ступеней или соответственно некоторых бит самой нижней из этих верхних ступеней емкость счетчика может быть ограничена и с этого заданного значения он считает вниз до конечного значения "0".

Области значений WBA, WBB через переключающее устройство SV соединены с программирующей логической схемой PL и верифицирующей логической схемой VL. При этом программирующая логическая схема PL и верифицирующая логическая схема VL являются составными частями устройства управления ST. Внутри устройства управления ST соединительные линии частей схемы представлены штриховыми линиями, чем должно быть показано, что соответствующие соединительные линии к устройству управления ST внутри устройства управления ST могут быть соединены также с другими не представленными частями устройства управления ST.

Программирующая логическая схема PL служит для программирования или соответственно записи областей значений WBA, WBB и верифицирующая логическая схема VL для верификации или соответственно проверки записанных областей, правильно ли они записаны. Предпочтительным образом верифицирующая логическая схема VL служит также для создания электронной подписи значащего состояния.

Переключающее устройство SV управляется логической схемой выбора AL так, что только одна из областей значений WBA, WBB соединена с программирующей логической схемой PL и верифицирующей логической схемой VL и таким образом является активированной. Логическая схема выбора AL со своей стороны управляется флаговым накопителем FS и через сигнал управления заряда LAD устройством управления ST. Логическая схема выбора AL, например, может быть образована логической схемой исключающее ИЛИ EXOR с одним неинвертирующим и одним инвертирующих выходом. Флаговый накопитель FS является энергонезависимым накопителем и управляется сигналом PROG от устройства управления ST. Флаговый накопитель FS может принимать два состояния, причем каждое их этих состояний придано в соответствие одной области значений WBA, WBB. Так как состояние флагового накопителя FS запомнено энергонезависимо, при приложении рабочего напряжения к карте то есть, например, за счет введения карты в терминал, активируется соответствующая запомненному состоянию область значений WBA или соответственно WBB. Сигнал управления заряда LAD для этого принимает при приложении рабочего напряжения определенное состояние. Только после изменения состояния сигнала управления заряда LAD посредством переключающего устройства SV, которое управляется соответственно логической схемой выбора AL, временно активируется другая область значений WBB или соответственно WBA, а активированная до сих пор область значений WBA или соответственно WBB деактивируется. Временно потому, что состояние сигнала управления заряда является энергозависимым (исчезаемым) и при отключении рабочего напряжения, что, например, происходит при удалении карты из зарядного терминала, снова принимает свое определенное неактивное состояние так, что после любого отключения рабочего напряжения или согласно изобретению после каждого прерывания процесса заряда снова является активируемой или соответственно активирована область значений, определенная флаговым накопителем FS.

За счет сигнала программирования PROG от устройства управления ST к флаговому накопителю FS может быть произведено энергонезависимо изменение состояния флагового накопителя и тем самым смена активированной или соответственно активируемой области значений.

Энергонезависимый накопитель NVM содержит в качестве дальнейших областей накопитель подписи SIGSP, который поясняется позднее, зарядный счетчик LZ, которым могут считаться операции заряда, область KSD, в которой запомнены специфичные для карты данные, и область GC, в которой запомнен секретный код.

В устройстве управления ST, кроме того, содержится псевдослучайный генератор PZG, который находится в функциональном соединении с верифицирующей логической схемой VL и, кроме того, соединен с накопителем подписи SIGSP, зарядным счетчиком LZ, областью KSD и областью секретного кода GC энергонезависимого накопителя NVM. Этот псевдослучайный генератор PZG предпочтительным образом выполнен согласно EP-A 0616429.

Также в зарядном терминале содержится устройство управления STT, которое также содержит верифицирующую логическую схему VLT и псевдослучайный генератор PZGT, причем оба псевдослучайных генератора PZG и PZGT должны быть идентичными, если карта и терминал являются подлинными. Устройство управления ST карты и устройство управления STT терминала находятся в соединении друг с другом через линии LT1, LT2, чтобы иметь возможность обмениваться данными.

К началу процесса заряда терминал считывает специфичные для карты данные, актуальное состояние активированной и тем самым списываемой области значений WBA или соответственно WBB, а также состояние зарядного счетчика LZ и накопителя подписи SIGSP. Из специфичных для карты данных подлинный терминал может, например, посредством таблицы определить секретный код карты. Эти данные, а также другое случайное число, так называемый запрос (Challenge) вводятся в терминале в псевдослучайный генератор PZGT, который вычисляет ответ (Response). Как запрос, так и ответ передают после этого на карту. Там, также на основе данных, вычисляется ответ и сравнивается посредством компаратора, который также содержится в устройстве управления ST, с ответом, переданным от терминала. При совпадении терминал удостоверяется как подлинный, так как он, во-первых, был в состоянии определить правильный секретный код и, кроме того, имеет правильный псевдослучайный генератор PZGT.

Псевдослучайный генератор PZG или соответственно PZGT служит также для того, чтобы создавать электронную подпись содержания областей значений WBA, WBB, то есть их состояний счетчиков. Так как выходной сигнал псевдослучайного генератора зависит от секретного кода карты и может быть довычислен только с этим секретным кодом, при совпадении выходных сигналов псевдослучайного генератора PZG или соответственно PZGT должен применяться тот же самый секретный код. Таким образом, выходной сигнал псевдослучайного генератора может быть однозначно придан в соответствие определенной карте, что обозначается как подпись карты под состоянием счетчика.

Для того, чтобы путем анализа многих вычислительных операций нельзя было определить конструкцию псевдослучайного генератора и введенные данные, одно или несколько введенных данных являются переменными и изменяются также с каждой вычислительной операцией. Одним их таких данных является состояние зарядного счетчика LZ, которое с каждой новой зарядной операцией и таким образом с каждой новой операцией занесения повышается на единицу или соответственно устанавливается в исходное состояние, если емкость счетчика исчерпана.

Другим данным является содержание накопителя подписи SIGSP. В него вписывается результат предыдущего счета псевдослучайного генератора, которым является подпись предыдущего состояния счетчика. Таким образом обеспечивается, что выходной сигнал псевдослучайного генератора PZG повторяется только с пренебрежимо малой вероятностью и таким образом не может анализироваться.

В накопителе подписи SIGSP в варианте выполнения изобретения в качестве подписи операции заряда через зарядный терминал при каждой операции заряда может непосредственно вписываться новое значение.

Соответствующая изобретению операция заряда протекает простейшим образом так, что после введения карты в зарядный терминал и тем самым после приложения рабочего напряжения определенная за счет состояния флагового накопителя FS область значений WBA или WBB активирована и считывается терминалом. Путем изменения состояния сигнала управления заряда LAD другая область значений WBB или WBA временно активируется, а активированная перед этим область временно деактивируется. После этого теперь активированная область значений WBB или WBA стирается, причем ее счетчик принимает слишком большую емкость счетчика. После этого в терминале из ее старого состояния счетчика и введенного пользователем в терминал подлежащей зачислению суммы определяется новое состояние счетчика и переносится на карту. Если бы пользователь перед этим удалил карту из терминала, то он получил бы зачисленной слишком высокую сумму, если бы программирование области значений уже произошло окончательно и энергонезависимо. За счет нового введения карты в терминал, однако, согласно изобретению снова активируется та же область значений WBA или WBB со старым состоянием счетчика, так как состояние флагового накопителя FS еще не было изменено. Только если новое состояние счетчика было запрограммировано во временно активированную область значений WBB или WBA, состояние флагового накопителя FS за счет сигнала PROG от устройства управления ST изменяется, за счет чего новая область значений является активируемой энергонезависимо и активируется при каждом новом приложении рабочего напряжения, то есть при каждом введении карты в терминал, например, чтобы списать деньги.

Чтобы исключить манипуляции с новым состоянием счетчика при передаче от терминала на карту, в соответствующей изобретению форме дальнейшего развития способа после передачи нового состояния счетчика к карте там согласно выше описанному способу подписывается состояние счетчика. Подпись затем передается на терминал и там сравнивается с также определенной подписью. При совпадении обеспечивается, что к карте было передано правильное состояние счетчика. При несовпадении операция заряда прерывается, таким образом неправильное состояние счетчика не имеет никакого влияния на более поздние операции списывания со счета, так как состояние флагового накопителя FS еще не было изменено. Оно изменяется только после распознавания совпадения подписей и передачи соответствующего сигнала от терминала к карте.

В дальнейшей форме развития соответствующего изобретению способа терминал должен удостоверять свою подлинность по отношению к карте, прежде чем может стартоваться операция заряда. За счет этого обеспечивается, что никакой фальшивый зарядный прибор не может использоваться для занесения суммы на карту. Для этого удостоверения подлинности из считанных терминалом с карты данных и запроса вычисляют ответ, который вместе с запросом передают к карте и там сравнивают с также определенным посредством запроса и данных карты ответом. Только при совпадении ответов могут создаваться сигнал управления заряда LAD и также сигнал программирования PROG и тем самым начинаться операция заряда. Для этой цели в переносном устройстве носителя данных предусмотрены разрешающие устройства FGV1, FGV2, которые подходящим образом управляются от устройства управления ST. Такая операция заряда стартуется при этом, например, за счет повышения состояния зарядного счетчика LZ или за счет фиктивного (Dummy-) программирующего импульса. Фиктивный (Dummy-) программирующий импульс при этом является программирующим импульсом на недействительный адрес энергонезависимого накопителя NVM, который распознается устройством управления карты ST как управляющая команда.

Также после старта операции заряда, после того как терминал подтвердил свое полномочие и зарядный сигнал LAD создан, обманщику могло бы удаться оказать воздействие на значение состояния счетчика и вызвать программирующий сигнал PROG для энергонезависимого активирования состояния счетчика независимо от терминала. В дальнейшей форме развития соответствующего изобретению способа терминал перед созданием программирующего сигнала PROG должен еще раз доказать свои полномочия, это значит, еще раз удостоверить свою подлинность. Создание ответа при этом соответствует созданию ответа при первой проверке полномочий для старта операции заряда.

Чтобы помешать повторению ответа, который выдается устройством носителя данных в рамках вычисления подписи и может использоваться для создания программирующего сигнала PROG, для создания ответа соответствующим изобретению способом применяется данное, изменяющееся при каждом вычислении ответа. Это данное поставляется счетчиком ответа RZ, который энергонезависимо изменяют перед каждым вычислением ответа и состояние счетчика которого оказывает воздействие на вычисление ответа. Счетчик ответа RZ предпочтительным образом реализован как область энергонезависимого накопителя.

За счет соответствующей изобретению системы передачи данных и соответствующего изобретению способа достигается надежный перезаряд переносного устройства носителя данных, например микросхемной карты.

Формула изобретения

1. Система передачи данных с по меньшей мере одним терминалом и по меньшей мере одним переносным устройством носителя данных, которое снабжено полупроводниковым накопителем, который содержит по меньшей мере первую область значений, представляющую списываемое денежное значение, служащую в качестве счетчика, отличающаяся тем, что полупроводниковый накопитель содержит вторую область значений, служащую в качестве счетчика, причем области значений полупроводникового накопителя через логическую схему выбора соединены с энергонезависимым флаговым накопителем, который может принимать только два состояния, соответствующее состояние энергонезависимого флагового накопителя определяет одну из обеих областей значений в качестве активируемой энергонезависимо, при этом соответственно другая область значений имеет возможность временно активироваться только энергозависимо.

2. Система по п.1, отличающаяся тем, что логическая схема выбора выполнена с возможностью подачи на нее сигнала управления заряда для временного активирования энергозависимо активируемой области значений и временного деактивирования энергонезависимо активируемой области значений полупроводникового накопителя.

3. Система по п.1 или 2, отличающаяся тем, что содержит переключающее устройство между логической схемой выбора и полупроводниковым накопителем, при этом переключающее устройство выполнено с возможностью в зависимости от выходных сигналов логической схемы выбора соединять логическую схему программирования и логическую схему верификации с соответственно активированной областью значений полупроводникового накопителя.

4. Система по п.2, отличающаяся тем, что переносное устройство носителя данных содержит первое разрешающее устройство, которое выполнено с возможностью создания сигнала управления заряда только после положительного удостоверения подлинности терминала переносным устройством носителя данных.

5. Система по одному из пп.1 - 4, отличающаяся тем, что энергонезависимый флаговый накопитель выполнен с возможностью подачи на него сигнала программирования для осуществления преобразования временно активируемой области значений в энергонезависимо активируемую область значений.

6. Система по п.5, отличающаяся тем, что переносное устройство носителя данных содержит второе разрешающее устройство, которое выполнено с возможностью создания сигнала программирования только после положительного удостоверения подлинности терминала переносным устройством носителя данных.

7. Способ для перезаряда переносного устройства носителя данных, представляющего денежное значение, посредством терминала системы передачи данных согласно любому из пунктов 1 - 6, отличающийся тем, что выполняют следующие операции: а) считывают старое состояние счетчика энергонезависимо активируемой области значений из переносного устройства носителя данных посредством терминала, b) вычисляют новое состояние счетчика, исходя из старого состояния счетчика и введенных в терминал данных, подлежащих регистрации в терминале, с) передают новое состояние счетчика от терминала к переносному устройству носителя данных, d) записывают новое состояние счетчика в энергозависимо активированную посредством сигнала управления заряда область значений энергонезависимого накопителя, е) изменяют состояние флагового накопителя так, что область значений с новым состоянием счетчика становится активируемой энергонезависимо.

8. Способ для перезаряда переносного устройства носителя данных, представляющего денежное значение, посредством терминала системы передачи данных согласно любому из пунктов 1 - 6, отличающийся тем, что выполняют следующие операции: а) считывают старое состояние счетчика энергонезависимо активируемой области значений из переносного устройства носителя данных посредством терминала, b) вычисляют новое состояние счетчика, исходя из старого состояния счетчика и введенных в терминал данных, подлежащих регистрации в терминале, с) передают новое состояние счетчика от терминала к переносному устройству носителя данных,
d) записывают новое состояние счетчика в энергозависимо активированную посредством сигнала управления заряда область значений энергонезависимого накопителя,
е) снабжают новое состояние счетчика в переносном устройстве носителя данных подписью и передают подпись к терминалу,
f) определяют подпись нового состояния счетчика в терминале, сравнивают обе подписи и, в случае совпадения обеих подписей, изменяют состояние энергонезависимого флагового накопителя так, что область значений полупроводникового накопителя с новым состоянием счетчика становится активируемой энергонезависимо, а в случае несовпадения подписей способ прерывают.

Приоритет по пунктам:
30.09.94 - по пп.1 - 4, 7, 8;
03.11.94 - по пп.5 и 6.

РИСУНКИ

Рисунок 1



 

Похожие патенты:

Изобретение относится к электроизмерительной технике и может быть использовано в энергетике при измерении энергии постоянного и переменного тока

Изобретение относится к вычислительной и телевизионной технике

Изобретение относится к автоматике и приборостроению

Изобретение относится к вычислительной технике и может использоваться в автоматизированных системах безналичного расчета и оказания услуг, требующих идентификации личности пользователя и учета его индивидуальных показателей

Изобретение относится к автоматике и вычислительной технике

Изобретение относится к автоматике и вычислительной технике

Изобретение относится к системам для переноса денежных средств между электронными денежными фондами, обычно выполненными в виде карт с ИС или "Интеллектуальных" карт, через посредничество устройства сопряжения

Изобретение относится к считыванию информации с интеллектуальной карточки

Изобретение относится к защите интеллектуальных карточек с повторно загружаемыми прикладными задачами от постороннего доступа

Изобретение относится к системам перевода стоимости

Изобретение относится к средствам проверки подлинности носителя данных, в частности микромодульной платы

Изобретение относится к автоматам для оказания платных услуг с безналичной формой оплаты, в частности к автоматическим устройствам таксофонов с оплатой услуги по предоставлению связи с абонентом с помощью платежных карт двух типов - индукционной и чип-карты

Изобретение относится к автомату для выполнения транзакций, в котором осуществляется проверка работоспособности канала подачи листовых материалов клиенту перед их выдачей
Наверх