EP0377763A1 - Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises - Google Patents
Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises Download PDFInfo
- Publication number
- EP0377763A1 EP0377763A1 EP89100453A EP89100453A EP0377763A1 EP 0377763 A1 EP0377763 A1 EP 0377763A1 EP 89100453 A EP89100453 A EP 89100453A EP 89100453 A EP89100453 A EP 89100453A EP 0377763 A1 EP0377763 A1 EP 0377763A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- authorization
- group
- data processing
- computer
- computers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
Definitions
- the invention relates to a device for checking the authorization of a user of a device for selling goods or for rendering or billing services using a machine-readable authorization card, in particular a magnetic card, and a personal identification number (PIN) with an authorization point connected to all devices via data connections, the data transmission between the devices and the authorization point using an encryption method using secret keys.
- a machine-readable authorization card in particular a magnetic card, and a personal identification number (PIN) with an authorization point connected to all devices via data connections, the data transmission between the devices and the authorization point using an encryption method using secret keys.
- PIN personal identification number
- Devices for the sale of goods or for the provision of services are known in a wide variety of designs, for example in the form of taps for the sale of liquid or gaseous fuels or as devices for issuing and billing authorization cards for the use of a service, for example the use of a means of transport or a parking area.
- Every owner of a machine-readable authorization card is assigned a personal identification number (PIN), which is determined according to a specific algorithm and must be kept secret by the authorized person.
- PIN personal identification number
- This personal identification number must also be entered using a keyboard when the machine-readable authorization card is inserted into the respective device.
- the machine-readable data and the personal identification number are supplied via data connections to an authorization point connected to all devices, which the respective device only releases if the verification of the two data records by the authorization point has shown that all the data is correct.
- the transport is carried out using an encryption method with a secret key.
- an encryption method with a secret key it is necessary in the known devices to provide each device assigned to a specific authorization point for the sale of goods or for the provision of services with a cryptographic data processing module which contains the machine-read data of the authorization card and the personal identification number entered by keyboard using an encryption method with the encrypted secret key.
- the encrypted data is only decrypted by an appropriate module when it arrives at the authorization center.
- each of the devices belonging to an authorization point is equipped with a cryptographic data processing module and these modules are identical because they belong to the same authorization point, each device offers the possibility of spying on the secret key.
- Another disadvantage is that the devices are accessible to the public. Despite complex cryptographic security, the known encryption system is therefore relatively insecure.
- the invention has for its object to significantly increase the security of the known device for checking the authorization of a user of a device for selling goods or for providing services using a machine-readable authorization card and a personal identification number without significant additional costs.
- the solution to this problem by the invention is characterized in that the processing of organisa Toric and business data in groups with a group computer connected devices for checking the authorization of a user as well as the group computer are each equipped with a cryptographic data processing module that the group computers in turn are connected to an associated master computer for organizational and business data processing, also via cryptographic data processing modules and that the keys for the cryptographic data processing modules on the one hand between the devices and the group computers and on the other hand between the group computers and the master computers are different from one another and different from the key used for the cryptographic data processing module at the authorization point, which is also arranged on each master computer is.
- the data processing modules equipped with the secret key responsible for the authorization point are used only on the control computers which are outside the public access in secure rooms, so that there is a security zone for the secret key with significantly increased Security results.
- Two additional security zones are connected upstream of this security zone.
- the group computers are located in one of these security zones, the devices accessible to the public in the other. Since the keys of the two additional security zones used for the cryptographic data processing modules interacting in each case are different, even spying on the key used between the devices and the group computers would not allow access to the master computer and certainly no access to the authorization point.
- an additional increase in security can be achieved in that the keys for the cryptographic data processing modules of the group computers connected to a master computer are different from one another and / or from those of another master computer assigned to the same authorization point.
- the keys for the cryptographic data processing modules of the devices connected to a group computer can also be designed differently from one another.
- the cryptographic data processing modules on the group computers are designed as a security module that can only function with the specific group computer.
- security modules are against spying on the ge stored data and programs protected.
- the security module is given a cryptographic identifier that is assigned exclusively for this specific group computer during initial commissioning.
- the block diagram shows a number of devices 1, which are each grouped together. These devices 1 are either devices for the sale of goods, for example taps for liquid and / or gaseous fuels, or devices for the provision of services, for example machines for billing parking fees.
- the devices 1 belonging to a gas station or parking garage are each connected in groups to a group computer 2, which processes the organizational and business data of the associated devices.
- a master computer 3 which is also used for processing the organizational and business data.
- Such a master computer 3 is located, for example, in the headquarters of an oil company.
- the two host computers 3 shown in the drawing can thus be, for example, the computers in the central office of two oil companies, which are connected to all of the company's petrol stations via a plurality of intermediate group computers 2.
- Such a data processing network is usually available for processing organizational and business data.
- each device 1 is provided with both a keyboard and a magnetic card reader. With the help of this magnetic card reader, it is possible to record the data of machine-readable authorization cards, preferably Eurocheque cards.
- the keyboard is used to enter the personal identification number (PIN code) assigned to the holder of the respective authorization card into the device 1.
- this authorization point 4 can be assigned to several independent companies and consequently cooperate with a plurality of host computers 3.
- each device 1 Since it must be prevented that the personal identification number entered by the respective authorized person via the keyboard in connection with the machine-readable data of his authorization card, for example his Eurocheque card, is unauthorized, each device 1 is equipped with a cryptographic data processing module 1a, in which the machine Read and manually entered data are encrypted with a certain key S 1 before they are passed on to the respective group computer 2 via the data connections shown in the drawing.
- This group computer 2 in turn has a cryptographic data processing module 2a, which decrypts the data supplied by the devices 1 to check the authorization with the key S 1 before this data is processed or passed on.
- the data required for checking the authorization is also passed on from the group computer 2 to the master computer 3 after appropriate encryption.
- the output of each group computer 2 and the input of each host computer 3 are in turn each provided with a cryptographic data processing module 2b or 3a, which operate using a key S2.
- the transport of the data between group computer 2 and master computer 3 is consequently protected against unauthorized interrogation.
- each host computer 3 At the output of each host computer 3 is finally a cryptographic data processing module 3b, which cooperates with the cryptographic data processing module 4a of the authorization point 4, using the secret key S3, which was originally used by the authorization point 4 to create the personal identification number.
- the data transport using this secret key S3 thus takes place in a security zone Z1, which already has increased security because both the authorization point 4 and the host computer 3 are in specially secured rooms and are not accessible to the public.
- this security zone Z1 two additional security zones Z2 and Z3 upstream, which are also entered in the drawing.
- the security zone Z2 has a higher security than the security zone Z3 because the group computers 2 are also located in specially secured rooms, whereas the devices 1 are accessible to the public and are therefore exposed to special manipulation possibilities.
- the security of checking the authorization of a With regard to the secret key S3 to be used here, using the data processing (group computer 2 and control computer 3 including the associated line network) already available for the processing of organizational and business data, significantly increase that not only the devices 1 and the authorization point 4, but also the group computer 2 and master computer 3 are provided with corresponding cryptographic data processing modules, so that the authorization check can be carried out using the existing data processing while simultaneously creating two additional security zones Z2 and Z3. With the device according to the invention it is therefore possible, for example, to use Eurocheque cards instead of or in addition to the known credit cards for billing the purchased goods or services rendered.
- the security of the device against unauthorized spying in particular of the secret personal identification numbers, can be increased further in that the key S2 for the cryptographic data processing modules 2b and 3a of the group computer 2 assigned to a master computer 3 differ from one another and / or to the keys S2 of another master computer 3 differently be formed.
- the key S2 for the cryptographic data processing modules 2b and 3a of the group computer 2 assigned to a master computer 3 differ from one another and / or to the keys S2 of another master computer 3 differently be formed.
- not only a different key S2 can be used for the left and right host computers 3, but also different keys S2 between the respective host computer 3 and the group computers 2 assigned to it.
- the cryptographic data processing modules 2a and 2b on the group computer 2 are preferably designed as a security module that can only function with the specific group computer 2. This can be achieved, for example, by entering a cryptographic identifier in the security module during initial commissioning, which is assigned exclusively to a specific group computer 2.
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Lock And Its Accessories (AREA)
Abstract
Die Erfindung betrifft eine Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes (1) zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises, insbesondere einer Magnetkarte, und einer persönlichen Identifizierungsnummer (PIN). Bei derartigen Einrichtungen sind sämtliche Geräte (1) über Datenverbindungen mit einer Autorisierungsstelle (4) verbunden, wobei die Datenübertragung zwischen den Geräten (1) und der Autorisierungsstelle (4) unter Anwendung eines Verschlüsselungsverfahrens mit einem geheimen Schlüssel (S3) erfolgt. Um die Sicherheit bei einer derartigen Überprüfung zu erhöhen und gleichzeitig die vorhandenen Datenverarbeitungen einschließlich ihrer Netze für diese Überprüfung heranzuziehen, sind die gruppenweise mit einem Gruppenrechner (2) verbundenen Geräte (1) mit einem kryptografischen Datenverarbeitungsmodul (1a) ausgestattet. Auch die Gruppenrechner (2) sind mit ihrem jeweils zugehörigen Leitrechner (3) über kryptografische Datenverarbeitungsmodule (2b,3a) verbunden. Die Schlüssel (S1, S2) für die kryptografischen Datenverarbeitungsmodule (1a,2a; 2b, 3a) einerseits zwischen den Geräten (1) und den Gruppenrechnern (2) und andererseits zwischen den Gruppenrechnern (2) und den Leitrechnern (3) sind unterschiedlich zueinander und unterschiedlich zu dem Schlüssel (S3), der für das kryptografische Datenverarbeitungsmodul (4a) an der Autorisierungsstelle (4) verwendet wird.
Description
- Die Erfindung betrifft eine Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises, insbesondere einer Magnetkarte, und einer persönlichen Identifizierungsnummer (PIN), mit einer über Datenverbindungen mit sämtlichen Geräten verbundenen Autorisierungsstelle, wobei die Datenübertragung zwischen den Geräten und der Autorisierungsstelle unter Anwendung eines Verschlüsselungsverfahrens mit geheimen Schlüsseln erfolgt.
- Geräte zum Warenverkauf oder zur Erbringung von Dienstleistungen sind in unterschiedlichsten Ausführungen bekannt, beispielsweise in der Form von Zapfstellen zum Verkauf flüssiger oder gasförmiger Kraftstoffe oder als Geräte zur Ausgabe und Abrechnung von Berechtigungsausweisen für die Inanspruchnahme einer Dienstleistung, beispielsweise die Benutzung eines Transportmittels oder einer Parkfläche.
- Um derartige Geräte ohne großen Personaleinsatz betreiben zu können, ist es bekannt, sie als selbstkassierende Automaten auszuführen. Hierbei ist die bezogene Ware unmittelbar nach Bezug durch Münzen oder Banknoten zu bezahlen, wogegen der Berechtigungsausweis entweder vor Inanspruchnahme der Dienstleistung, beispielsweise beim Bezug einer Fahrkarte, oder nach Erbringung der Dienstleistung, beispielsweise bei Benutzung einer Parkfläche, zu bezahlen ist. Die Mehrzahl derartiger Automaten ist mit einer Wechselgeldrückgabe ausgestattet, so daß der Benutzer die Ware oder Dienstleistung nicht nur erwerben kann, wenn er den passenden Geldbetrag bereithält.
- Mit der zunehmenden Verbreitung von Kredit- und Debitkarten in Form von maschinenlesbaren Berechtigungsausweisen ergibt sich die Notwendigkeit, die Geräte zum Warenverkauf oder zur Erbringung von Dienstleistungen derart auszustatten, daß sie auch unter Verwendung eines maschinenlesbaren Berechtigungsausweises benutzt werden können. Um die Benutzung durch Unberechtigte oder mit Hilfe gefälschter Berechtigungsausweise zu unterbinden, wird jedem Besitzer eines maschinenlesbaren Berechtigungsausweises eine persönliche Identifizierungsnummer (PIN) zugeteilt, die nach einem bestimmten Algorithmus ermittelt wird und vom Berechtigten geheimgehalten werden muß. Diese persönliche Identifizierungsnummer muß mit Hilfe einer Tastatur zusätzlich eingegeben werden, wenn der maschinenlesbare Berechtigungsausweis in das jeweilige Gerät eingeführt wird. Die maschinenlesbaren Daten und die persönliche Identifizierungsnummer werden über Datenverbindungen einer mit sämtlichen Geräten verbundenen Autorisierungsstelle zugeführt, welche das jeweilige Gerät nur dann freigibt, wenn die Überprüfung der beiden Datensätze durch die Autorisierungsstelle ergeben hat, daß sämtliche Daten richtig sind.
- Um zu verhindern, daß die zu einem bestimmten Berechtigungsausweis gehörende persönliche Identifizierungsnummer während des Datentransportes zwischen Gerät und Autorisierungsstelle ermittelt werden kann, erfolgt der Transport unter Anwendung eines Verschlüsselungsverfahrens mit einem geheimen Schlüssel. Zu diesem Zweck ist es bei den bekannten Geräten erforderlich, jedes einer bestimmten Autorisierungsstelle zugeordnete Gerät zum Warenverkauf oder zur Erbringung von Dienstleistungen mit einem kryptografischen Datenverarbeitungsmodul zu versehen, das die maschinengelesenen Daten des Berechtigungsausweises und die per Tastatur eingegebene persönliche Identifizierungsnummer mit Hilfe eines Verschlüsselungsverfahrens mit dem geheimen Schlüssel verschlüsselt. Die verschlüsselten Daten werden erst beim Eingang in die Autorisierungsstelle durch ein entsprechendes Modul entschlüsselt.
- Da jedes der zu einer Autorisierungsstelle gehörenden Geräte mit einem kryptografischen Datenverarbeitungsmodul ausgestattet ist und diese Module wegen der Zugehörigkeit zu derselben Autorisierungsstelle identisch sind, bietet jedes Gerät die Möglichkeit zur Ausspionierung des geheimen Schlüssels. Als weiterer Nachteil kommt hinzu, daß die Geräte für die Öffentlichkeit zugänglich sind. Trotz einer aufwendigen kryptografischen Absicherung ist das bekannte Verschlüsselungssystem deshalb verhältnismäßig unsicher.
- Der Erfindung liegt die Aufgabe zugrunde, die Sicherheit der bekannten Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises und einer persönlichen Identifizierungsnummer ohne wesentliche Zusatzkosten erheblich zu erhöhen.
- Die Lösung dieser Aufgabenstellung durch die Erfindung ist dadurch gekennzeichnet, daß die zur Verarbeitung von organisa torischen und betriebswirtschaftlichen Daten gruppenweise mit einem Gruppenrechner verbundenen Geräte zur Uberprüfung der Berechtigung eines Benutzers ebenso wie der Gruppenrechner jeweils mit einem kryptografischen Datenverarbeitungsmodul ausgestattet sind, daß die Gruppenrechner ihrerseits mit einem jeweils für die organisatorische und betriebswirtschaftliche Datenverarbeitung vorhandenen, zugehörigen Leitrechner ebenfalls über kryptografische Datenverarbeitungsmodule verbunden sind und daß die Schlüssel für die kryptografischen Datenverarbeitungsmodule einerseits zwischen den Geräten und den Gruppenrechnern und andererseits zwischen den Gruppenrechnern und den Leitrechnern unterschiedlich zueinander und unterschiedlich zu dem Schlüssel sind, der für das kryptografische Datenverarbeitungsmodul an der Autorisierungsstelle verwendet wird, das ebenfalls an jedem Leitrechner angeordnet ist.
- Durch die erfindungsgemäße Weiterbildung der eingangs beschriebenen, bekannten Einrichtung werden die mit dem geheimen, für die Autorisierungsstelle zuständigen Schlüssel ausgestatteten Datenverarbeitungsmodule lediglich an den Leitrechnern eingesetzt, die außerhalb des Publikumszugangs in gesicherten Räumen stehen, so daß sich für den geheimen Schlüssel eine Sicherheitszone mit erheblich gesteigerter Sicherheit ergibt. Dieser Sicherheitszone werden zwei weitere Sicherheitszonen vorgeschaltet. In der einen dieser Sicherheitszonen befinden sich die Gruppenrechner, in der anderen die für das Publikum zugänglichen Geräte. Da die für die jeweils zusammenwirkenden kryptografischen Datenverarbeitungsmodule verwendeten Schlüssel der beiden zusätzlichen Sicherheitszonen unterschiedlich sind, würde selbst das Ausspionieren des zwischen den Geräten und den Gruppenrechnern verwendeten Schlüssels keinen Durchgriff zum Leitrechner und erst recht keinen Durchgriff zur Autorisierungsstelle ermöglichen. Durch die er findungsgemäße Weiterbildung ist demzufolge die Sicherheit der Überprüfungseinrichtung ganz entscheidend vergrößert worden, wozu lediglich zusätzliche kryptografische Datenverarbeitungsmodule entsprechend der doppelten Anzahl der Gruppen- und Leitrechner erforderlich sind. Dieser Mehraufwand an kryptografischen Datenverarbeitungsmodulen wird insgesamt jedoch dadurch mehr als ausgeglichen, daß für die erfindungsgemäße Einrichtung nicht nur Gruppen- und Leitrechner Verwendung finden, die bereits für die Verarbeitung von organisatorischen und betriebswirtschaftlichen Daten der Geräte vorhanden sind, sondern daß auch deren vorhandenes Datenleitungsnetz für die Überprüfung der Berechtigung eines Benutzers herangezogen wird, so daß lediglich noch die Leitrechner mit der zugehörigen Autorisierungsstelle verbunden werden müssen. Die durch die erfindungsgemäße Weiterbildung erheblich gesteigerte Sicherheit muß demgemäß nicht mit zusätzlichem Hardwareaufwand erkauft werden.
- Eine zusätzliche Steigerung der Sicherheit läßt sich gemäß einem weiteren Merkmal der Erfindung dadurch erzielen, daß die Schlüssel für die kryptografischen Datenverarbeitungsmodule der jeweils an einen Leitrechner angeschlossenen Gruppenrechner zueinander und/oder zu denen eines anderen, derselben Autorisierungsstelle zugeordneten Leitrechners unterschiedlich ausgebildet sind. Erfindungsgemäß können auch die Schlüssel für die kryptografischen Datenverarbeitungsmodule der jeweils an einen Gruppenrechner angeschlossenen Geräte zueinander unterschiedlich ausgebildet werden.
- Bei einer bevorzugten Ausführungsform der Erfindung sind die kryptografischen Datenverarbeitungsmodule an den Gruppenrechnern als Sicherheitsmodul ausgebildet, das ausschließlich mit dem bestimmten Gruppenrechner funktionsfähig ist. Derartige Sicherheitsmodule sind gegen Ausspionieren der ge speicherten Daten und Programme geschützt. Damit ein derartiges Sicherheitsmodul nur für den einen bestimmten Gruppenrechner verwendbar ist und Manipulationen oder Vertauschen von Modulen ausgeschlossen sind, wird erfindungsgemäß bei der Erstinbetriebnahme dem Sicherheitsmodul ein kryptografisches Kennzeichen eingegeben, das ausschließlich für diesen bestimmten Gruppenrechner vergeben ist.
- Auf der Zeichnung ist ein Ausführungsbeispiel der erfindungsgemäßen Einrichtung anhand eines Blockschaltbildes dargestellt.
- Das Blockschaltbild zeigt eine Anzahl von Geräten 1, die jeweils zu Gruppen zusammengefaßt sind. Bei diesen Geräten 1 handelt es sich entweder um Geräte zum Warenverkauf, beispielsweise um Zapfstellen für flüssige und/oder gasförmige Kraftstoffe, oder um Geräte zur Erbringung von Dienstleistungen, beispielsweise um Automaten zur Abrechnung von Parkgebühren. Die jeweils zu einer Tankstelle oder einem Parkhaus gehörenden Geräte 1 sind gruppenweise jeweils mit einem Gruppenrechner 2 verbunden, der die organisatorischen und betriebswirtschaftlichen Daten der zugehörigen Geräte verarbeitet. Mehrere dieser Gruppenrechner 2 sind ihrerseits einem Leitrechner 3 zugeordnet, der ebenfalls für die Verarbeitung der organisatorischen und betriebswirtschaftlichen Daten herangezogen wird. Ein derartiger Leitrechner 3 steht beispielsweise in der Zentrale einer Ölgesellschaft. Die beiden auf der Zeichnung dargestellten Leitrechner 3 können somit beispielsweise die in der Zentrale angeordneten Rechner zweier Ölgesellschaften sein, die über eine Mehrzahl von zwischengeschalteten Gruppenrechnern 2 mit sämtlichen Tankstellen der Gesellschaft verbunden sind. Ein derartiges Datenverarbeitungsnetz ist üblicherweise für die Verarbeitung organisatorischer und betriebswirtschaftlicher Daten vorhanden.
- Bei der auf der Zeichnung schematisch dargestellten Einrichtung ist jedes Gerät 1 sowohl mit einer Tastatur als auch mit einem Magnetkartenleser versehen. Mit Hilfe dieses Magnetkartenlesers ist es möglich, die Daten maschinenlesbarer Berechtigungsausweise, vorzugsweise von Eurocheque-Karten zu erfassen. Die Tastatur dient dazu, die dem Inhaber des jeweiligen Berechtigungsausweises zugeteilte persönliche Identifizierungsnummer (PIN-Code) in das Gerät 1 einzugeben.
- Da eine Inbetriebnahme des jeweiligen Gerätes 1 nur dann erfolgen soll, wenn zuvor die Berechtigung des Benutzers anhand der maschinenlesbaren Daten seines Berechtigungsausweises und der von ihm eingegebenen persönlichen Identifizierungsnummer überprüft worden ist, erfolgt vor der Benutzungsfreigabe eine Überprüfung durch eine übergeordnete Autorisierungsstelle 4. Wie die Zeichnung zeigt, kann diese Autorisierungsstelle 4 mehreren selbständigen Betrieben zugeordnet sein und demzufolge mit einer Mehrzahl von Leitrechnern 3 zusammenarbeiten.
- Da verhindert werden muß, daß die vom jeweiligen Berechtigten über die Tastatur eingegebene persönliche Identifizierungsnummer im Zusammenhang mit den maschinenlesbaren Daten seines Berechtigungsausweises, beispielsweise seiner Eurocheque-Karte, unbefugt abgefragt wird, ist jedes Gerät 1 mit einem kryptografischen Datenverarbeitungsmodul 1a ausgestattet, in dem die maschinell gelesenen und von Hand eingegebenen Daten mit einem bestimmten Schlüssel S₁ verschlüsselt werden, bevor sie über die auf der Zeichnung dargestellten Datenverbindungen an den jeweiligen Gruppenrechner 2 weitergegeben werden. Dieser Gruppenrechner 2 besitzt seinerseits ein kryptografisches Datenverarbeitungsmodul 2a, das die von den Geräten 1 gelieferten Daten zur Überprüfung der Berechtigung mit dem Schlüssel S₁ entschlüsselt, bevor diese Daten verarbeitet bzw. weitergegeben werden.
- Auch die Weitergabe der für die Überprüfung der Berechtigung erforderlichen Daten vom Gruppenrechner 2 an den Leitrechner 3 erfolgt nach entsprechender Verschlüsselung. Zu diesem Zweck ist der Ausgang jedes Gruppenrechners 2 und der Eingang jedes Leitrechners 3 wiederum jeweils mit einem kryptografischen Datenverarbeitungsmodul 2b bzw. 3a versehen, die unter Verwendung eines Schlüssels S₂ arbeiten. Auch der Transport der Daten zwischen Gruppenrechner 2 und Leitrechner 3 ist demzufolge gegen unbefugte Abfrage geschützt.
- Am Ausgang jedes Leitrechners 3 ist schließlich wiederum ein kryptografisches Datenverarbeitungsmodul 3b angeordnet, das mit dem kryptografischen Datenverarbeitungsmodul 4a der Autorisierungsstelle 4 zusammenarbeitet, und zwar unter Benutzung des geheimen Schlüssels S₃, der originär von der Autorisierungsstelle 4 zur Erstellung der persönlichen Identifizierungsnummer verwendet worden ist. Der unter Verwendung dieses geheimen Schlüssels S₃ erfolgende Datentransport findet somit in einer Sicherheitszone Z₁ statt, die bereits deshalb eine erhöhte Sicherheit aufweist, weil sowohl die Autorisierungsstelle 4 als auch die Leitrechner 3 in besonders abgesicherten Räumen stehen und dem Publikum nicht zugänglich sind. Durch die voranstehend erwähnte Vorschaltung zweier weiterer Verschlüsselungsverfahren werden dieser Sicherheitszone Z₁ zwei weitere Sicherheitszonen Z₂ und Z₃ vorgeschaltet, die ebenfalls in der Zeichnung eingetragen sind. Die Sicherheitszone Z₂ hat hierbei eine höhere Sicherheit als die Sicherheitszone Z₃, weil sich auch die Gruppenrechner 2 in besonders abgesicherten Räumen befinden, wogegen die Geräte 1 dem Publikum zugänglich und damit besonderen Manipulationsmöglichkeiten ausgesetzt sind.
- Wie aus den voranstehenden Erläuterungen ersichtlich ist, läßt sich die Sicherheit der Überprüfung der Berechtigung eines Benutzers im Hinblick auf den hierbei zu verwendenden geheimen Schlüssel S₃ unter Einsatz der bereits für die Verarbeitung organisatorischer und betriebswirtschaftlicher Daten vorhandenen Datenverarbeitung (Gruppenrechner 2 und Leitrechner 3 einschließlich des zugehörigen Leitungsnetzes) dadurch wesentlich steigern, daß nicht nur die Geräte 1 und die Autorisierungsstelle 4, sondern auch die Gruppenrechner 2 und Leitrechner 3 mit entsprechenden kryptografischen Datenverarbeitungsmodulen versehen werden, so daß die Berechtigungsüberprüfung unter Einsatz der vorhandenen Datenverarbeitungen bei gleichzeitiger Schaffung zweier zusätzlicher Sicherheitszonen Z₂ und Z₃ erfolgen kann. Mit der erfindungsgemäßen Einrichtung ist es demzufolge möglich, beispielsweise auch Eurocheque-Karten anstelle oder zusätzlich zu den bekannten Kreditkarten zur Abrechnung der bezogenen Ware oder erbrachten Dienstleistungen heranzuziehen.
- Die Sicherheit der Einrichtung gegen unerlaubtes Ausspionieren insbesondere der geheimen persönlichen Identifizierungsnummern kann noch dadurch erhöht werden, daß der Schlüssel S₂ für die kryptografischen Datenverarbeitungsmodule 2b und 3a der jeweils einem Leitrechner 3 zugeordneten Gruppenrechner 2 zueinander und/oder zu den Schlüsseln S₂ eines anderen Leitrechners 3 unterschiedlich ausgebildet werden. Beim Ausführungsbeispiel gemäß der Zeichnung kann demzufolge nicht nur ein unterschiedlicher Schlüssel S₂ für den linken und für den rechten Leitrechner 3 verwendet werden, sondern auch unterschiedliche Schlüssel S₂ zwischen dem jeweiligen Leitrechner 3 und den ihm zugeordneten Gruppenrechnern 2.
- Schließlich ist es ebenfalls möglich, die Schlüssel S₁ für die kryptografischen Datenverarbeitungsmodule 1a und 2a der jeweils an einen Gruppenrechner 2 angeschlossenen Geräte 1 zueinander unterschiedlich auszubilden. Hiermit würde erreicht, daß ein an einem bestimmten Gerät 1 ausspionierter Schlüssel S₁ nicht bei der Benutzung oder Manipulation an Geräten 1 verwendet werden kann, die mit einem anderen Gruppenrechner 2 zusammenarbeiten.
- Die kryptografischen Datenverarbeitungsmodule 2a bzw. 2b an den Gruppenrechnern 2 werden vorzugsweise als Sicherheitsmodul ausgebildet, das ausschließlich mit dem bestimmten Gruppenrechner 2 funktionsfähig ist. Dies kann beispielsweise dadurch bewirkt werden, daß bei der Erstinbetriebnahme dem Sicherheitsmodul ein kryptografisches Kennzeichen eingegeben wird, das ausschließlich für einen bestimmten Gruppenrechner 2 vergeben wird.
-
- 1 Gerät
- 1a kryptografisches Datenverarbeitungsmodul
- 2 Gruppenrechner
- 2a kryptografisches Datenverarbeitungsmodul
- 2b kryptografisches Datenverarbeitungsmodul
- 3 Leitrechner
- 3a kryptografisches Datenverarbeitungsmodul
- 3b kryptografisches Datenverarbeitungsmodul
- 4 Autorisierungsstelle
- 4a kryptografisches Datenverarbeitungsmodul
- S₁ Schlüssel
- S₂ Schlüssel
- S₃ Schlüssel
- Z₁ Sicherheitszone
- Z₂ Sicherheitszone
- Z₃ Sicherheitszone
Claims (5)
1. Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes (1) zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises, insbesondere einer Magnetkarte, und einer persönlichen Identifizierungsnummer (PIN), mit einer über Datenverbindungen mit sämtlichen Geräten (1) verbundenen Autorisierungsstelle (4), wobei die Datenübertragung zwischen den Geräten (1) und der Autorisierungsstelle (4) unter Anwendung eines Verschlüsselungsverfahrens mit einem geheimen Schlüssel (S₃) erfolgt,
dadurch gekennzeichnet,
daß die zur Verarbeitung von organisatorischen und betriebswirtschaftlichen Daten gruppenweise mit einem Gruppenrechner (2) verbundenen Geräte (1) zur Überprüfung der Berechtigung eines Benutzers ebenso wie der Gruppenrechner (2) jeweils mit einem kryptografischen Datenverarbeitungsmodul (1a,2a) ausgestattet sind, daß die Gruppenrechner (2) ihrerseits mit einem jeweils für die organisatorische und betriebswirtschaftliche Datenverarbeitung vorhandenen zugehörigen Leitrechner (3) ebenfalls über kryptografische Datenverarbeitungsmodule (2b,3a) verbunden sind und daß die Schlüssel (S₁, S₂) für die kryptografischen Datenverarbeitungsmodule (1a,2a; 2b,3a) einerseits zwischen den Geräten (1) und den Gruppenrechnern (2) und andererseits zwischen den Gruppenrechnern (2) und den Leitrechnern (3) unterschiedlich zueinander und unterschiedlich zu dem Schlüssel (S₃) sind, der für das kryptografische Datenverarbeitungsmodul (4a) an der Autorisierungsstelle (4) verwendet wird, das ebenfalls an jedem Leitrechner (3) (Modul 3b) angeordnet ist.
dadurch gekennzeichnet,
daß die zur Verarbeitung von organisatorischen und betriebswirtschaftlichen Daten gruppenweise mit einem Gruppenrechner (2) verbundenen Geräte (1) zur Überprüfung der Berechtigung eines Benutzers ebenso wie der Gruppenrechner (2) jeweils mit einem kryptografischen Datenverarbeitungsmodul (1a,2a) ausgestattet sind, daß die Gruppenrechner (2) ihrerseits mit einem jeweils für die organisatorische und betriebswirtschaftliche Datenverarbeitung vorhandenen zugehörigen Leitrechner (3) ebenfalls über kryptografische Datenverarbeitungsmodule (2b,3a) verbunden sind und daß die Schlüssel (S₁, S₂) für die kryptografischen Datenverarbeitungsmodule (1a,2a; 2b,3a) einerseits zwischen den Geräten (1) und den Gruppenrechnern (2) und andererseits zwischen den Gruppenrechnern (2) und den Leitrechnern (3) unterschiedlich zueinander und unterschiedlich zu dem Schlüssel (S₃) sind, der für das kryptografische Datenverarbeitungsmodul (4a) an der Autorisierungsstelle (4) verwendet wird, das ebenfalls an jedem Leitrechner (3) (Modul 3b) angeordnet ist.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Schlüssel (S₂) für die kryptografischen Datenverarbeitungsmodule (2b) der jeweils an einen Leitrechner (3) angeschlossenen Gruppenrechner (2) zueinander und/oder zu denen eines anderen, derselben Autorisierungsstelle (4) zugeordneten Leitrechners (3) unterschiedlich ausgebildet sind.
3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Schlüssel (S₁) für die kryptografischen Datenverarbeitungsmodule (1a) der jeweils an einen Gruppenrechner (2) angeschlossenen Geräte (1) zueinander unterschiedlich ausgebildet sind.
4. Einrichtung nach mindestens einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die kryptografischen Datenverarbeitungsmodule (2a,2b) an den Gruppenrechnern (2) als Sicherheitsmodul ausgebildet sind, das ausschließlich mit dem bestimmten Gruppenrechner (2) funktionsfähig ist.
5. Einrichtung nach Anspruch 4, dadurch gekennzeichnet, daß bei der Erstinbetriebnahme dem Sicherheitsmodul ein kryptografisches Kennzeichen eingegeben wird, das ausschließlich für diesen Gruppenrechner (2) vergeben ist.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP89100453A EP0377763A1 (de) | 1989-01-12 | 1989-01-12 | Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises |
NO89891448A NO891448L (no) | 1989-01-12 | 1989-04-07 | Innretning for aa overproeve retten til en bruker av et apparat for varekjoep eller for anskaffelse eller oppgjoer av ytelser ved benyttelse av et maskinlesbart identifikasjonskort. |
DK190489A DK190489A (da) | 1989-01-12 | 1989-04-19 | Anlaeg til proevning af en brugers adkomst til anvendelse af et apparat til varesalg eller til afgivelse af eller afregning af tjenesteydelser under anvendelse af et maskinaflaeseligt berettigelsesbevis |
FI892173A FI892173A (fi) | 1989-01-12 | 1989-05-05 | Anordning foer kontroll av behoerigheten hos en person foer anvaendning av en apparat foer foersaeljning av varor eller tjaenster eller foer redovisning genom bruk av ett maskinavlaesbart brukscertifikat. |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP89100453A EP0377763A1 (de) | 1989-01-12 | 1989-01-12 | Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises |
Publications (1)
Publication Number | Publication Date |
---|---|
EP0377763A1 true EP0377763A1 (de) | 1990-07-18 |
Family
ID=8200854
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP89100453A Withdrawn EP0377763A1 (de) | 1989-01-12 | 1989-01-12 | Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP0377763A1 (de) |
DK (1) | DK190489A (de) |
FI (1) | FI892173A (de) |
NO (1) | NO891448L (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2811794A1 (fr) * | 2000-07-12 | 2002-01-18 | Tokheim Corp | Appareil et procede de paiement par carte de debit dans une station de distribution de carburant |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1981002655A1 (en) * | 1980-03-10 | 1981-09-17 | M Sendrow | A system for authenticating users and devices in on-line transaction networks |
EP0068805A1 (de) * | 1981-06-26 | 1983-01-05 | VISA U.S.A. Inc. | Punkt-zu-Punkt Verschlüsselungssystem und Verfahren zu seinem Betrieb |
US4408203A (en) * | 1978-01-09 | 1983-10-04 | Mastercard International, Inc. | Security system for electronic funds transfer system |
EP0186981A2 (de) * | 1984-12-12 | 1986-07-09 | International Business Machines Corporation | Sicherheitsmodul für eine elektronische Geldüberweisungsvorrichtung |
FR2608338A1 (fr) * | 1986-12-15 | 1988-06-17 | Dassault Electronique | Dispositif pour l'echange de donnees confidentielles entre une serie de terminaux et un concentrateur |
-
1989
- 1989-01-12 EP EP89100453A patent/EP0377763A1/de not_active Withdrawn
- 1989-04-07 NO NO89891448A patent/NO891448L/no unknown
- 1989-04-19 DK DK190489A patent/DK190489A/da not_active Application Discontinuation
- 1989-05-05 FI FI892173A patent/FI892173A/fi not_active Application Discontinuation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4408203A (en) * | 1978-01-09 | 1983-10-04 | Mastercard International, Inc. | Security system for electronic funds transfer system |
WO1981002655A1 (en) * | 1980-03-10 | 1981-09-17 | M Sendrow | A system for authenticating users and devices in on-line transaction networks |
EP0068805A1 (de) * | 1981-06-26 | 1983-01-05 | VISA U.S.A. Inc. | Punkt-zu-Punkt Verschlüsselungssystem und Verfahren zu seinem Betrieb |
EP0186981A2 (de) * | 1984-12-12 | 1986-07-09 | International Business Machines Corporation | Sicherheitsmodul für eine elektronische Geldüberweisungsvorrichtung |
FR2608338A1 (fr) * | 1986-12-15 | 1988-06-17 | Dassault Electronique | Dispositif pour l'echange de donnees confidentielles entre une serie de terminaux et un concentrateur |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2811794A1 (fr) * | 2000-07-12 | 2002-01-18 | Tokheim Corp | Appareil et procede de paiement par carte de debit dans une station de distribution de carburant |
Also Published As
Publication number | Publication date |
---|---|
NO891448L (no) | 1990-07-13 |
FI892173A0 (fi) | 1989-05-05 |
NO891448D0 (no) | 1989-04-07 |
FI892173A (fi) | 1990-07-13 |
DK190489A (da) | 1990-07-13 |
DK190489D0 (da) | 1989-04-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69521156T2 (de) | Verfahren zum Authentisieren eines Schalterterminals in einem System zur Durchführung von Überweisungen | |
DE3886623T2 (de) | Transaktionssystem mit einer oder mehreren zentralen Schnittstellen und mit einer Anzahl von verteilten Endstationen, welche an jede zentrale Schnittstelle über ein Netzwerk gekoppelt werden können; Concentrator und Endstation, geeignet für den Gebrauch in solch einem Transaktionssystem und Bedieneridentifizierungselement für den Gebrauch in einer solchen Endstation. | |
DE2527784C2 (de) | Datenübertragungseinrichtung für Bankentransaktionen | |
DE3809170C2 (de) | ||
DE69019037T2 (de) | Mehrebenen-Sicherheitsvorrichtung und -verfahren mit persönlichem Schlüssel. | |
DE69525577T2 (de) | Verfahren zum Handhaben der Sicherheit einer Speicherkarte und Speicherkarte | |
DE2645564C2 (de) | Automatischer Geldausgeber | |
DE3044463C2 (de) | ||
EP0172314A1 (de) | Arbeits-Verfahren und Einrichtung zum elektronisch autorisierten Feststellen einer Sache | |
DE3103514A1 (de) | Verfahren und vorrichtung zum steuern einer gesicherten transaktion | |
EP0281059B1 (de) | Datenaustauschsystem mit mehreren jeweils eine Chipkarten-Leseeinrichtung enthaltenden Benutzerterminals | |
DE2901521A1 (de) | Persoenliches identifizierungssystem | |
DE2528668C3 (de) | Durch Karten betätigbare Einrichtung zur Ausgabe von Geld, von Waren, zur Betätigung von Sperren o.dgl. | |
DE19753933A1 (de) | Zugangskontrolleinrichtung für ein Service-on-demand System | |
WO2001059725A1 (de) | Verfahren zur nutzeridentitätskontrolle | |
DE102011116489A1 (de) | Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts | |
DE69330743T2 (de) | Verfahren zur Beurkundung einer Informationseinheit durch eine andere | |
DE4230866B4 (de) | Datenaustauschsystem | |
DE102005005378A1 (de) | Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen | |
EP1316929B1 (de) | Verfahren zur bargeldlosen Abwicklung von Automaten-Nutzungsvorgängen | |
WO1980002756A1 (en) | Data transmission system | |
EP1141904A1 (de) | Verfahren für die sichere handhabung von geld- oder werteeinheiten mit vorausbezahlten datenträgern | |
EP0377763A1 (de) | Einrichtung zur Überprüfung der Berechtigung eines Benutzers eines Gerätes zum Warenverkauf oder zur Erbringung oder Abrechnung von Dienstleistungen unter Verwendung eines maschinenlesbaren Berechtigungsausweises | |
DE60122912T2 (de) | Verfahren zum liefern von identifikationsdaten einer bezahlkarte an einen anwender | |
EP0203543B2 (de) | Verfahren und Anordnung zum Überprüfen von Chipkarten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AT BE CH DE ES FR GB GR IT LI NL SE |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN |
|
18D | Application deemed to be withdrawn |
Effective date: 19910119 |