DE69823649T2 - Multi-anwendungs ic-kartensystem - Google Patents

Multi-anwendungs ic-kartensystem Download PDF

Info

Publication number
DE69823649T2
DE69823649T2 DE69823649T DE69823649T DE69823649T2 DE 69823649 T2 DE69823649 T2 DE 69823649T2 DE 69823649 T DE69823649 T DE 69823649T DE 69823649 T DE69823649 T DE 69823649T DE 69823649 T2 DE69823649 T2 DE 69823649T2
Authority
DE
Germany
Prior art keywords
card
application
data
cards
personalization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69823649T
Other languages
English (en)
Other versions
DE69823649D1 (de
Inventor
Barrington David Brighton EVERETT
James Stuart Bracknell MILLER
David Anthony Tunbridge Wells PEACHAM
Stephens Ian SIMMONS
Philip Timothy RICHARDS
Charles John Windlesham VINER
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Multos Ltd
Original Assignee
Mondex International Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=27268738&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69823649(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Priority claimed from GBGB9703591.9A external-priority patent/GB9703591D0/en
Application filed by Mondex International Ltd filed Critical Mondex International Ltd
Application granted granted Critical
Publication of DE69823649D1 publication Critical patent/DE69823649D1/de
Publication of DE69823649T2 publication Critical patent/DE69823649T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/0719Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips at least one of the integrated circuit chips comprising an arrangement for application selection, e.g. an acceleration sensor or a set of radio buttons
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3574Multiple applications on card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • G06Q20/35765Access rights to memory zones
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system

Description

  • HINTERGRUND DER ERFINDUNG
  • Integrierte Schaltungs-("IC")-Karten werden in zunehmendem Maße für viele verschiedene Zwecke in der heutigen Welt eingesetzt. Eine IC-Karte (auch Chipkarte genannt) hat typischerweise die Größe einer konventionellen Kreditkarte, die einen Computerchip mit einem Mikroprozessor, einem Festwertspeicher (ROM), einem elektrisch löschbaren programmierbaren Festwertspeicher (EEPROM), einem Ein-/Ausgabe-(E/A)-Mechanismus und sonstigen Schaltungen zum Unterstützen des Mikroprozessors bei seinen Betriebsabläufen beinhaltet. Eine IC-Karte kann eine einzelne Anwendung oder auch mehrere unabhängige Anwendungen in ihrem Speicher enthalten. MULTOSTM ist ein Multiapplikationsbetriebssystem, das auf IC-Karten, unter verschiedenen Plattformen, läuft und die Ausführung mehrerer Anwendungen auf der Karte selbst zulässt. So kann ein Kartenbenutzer viele auf der Karte gespeicherte Programme (z.B. Kredit/Debit-, elektronische Geldbörsen- [= Electronic Money/Purse] und/oder Loyalitätsanwendungen) unabhängig vom Terminaltyp (d.h. Geldausgabeautomat, Telefon und/oder POS) abarbeiten, in den die Karte für den Gebrauch eingesteckt wird.
  • Das Dokument EP-A-328 289 offenbart ein IC-Kartensystem, umfassend wenigstens eine IC-Karte, eine auf die genannte Karte zu aktualisierende Anwendung und Mittel zum Ermitteln, ob die genannte Karte qualifiziert ist, das Aktualisieren der genannten Anwendung auf die genannte Karte zu akzeptieren, wobei die genannte Karte Kartenpersonalisierungsdaten enthält und der genannten Anwendung Anwendungsgenehmiqungsdaten zugewiesen werden.
  • Auf eine konventionelle Einzelanwendungs-IC-Karte, wie z.B. eine Telefonkarte oder eine elektronische Cash-Karte, wird in ihrer Personalisierungsphase eine einzige Anwendung geladen. Diese Anwendung kann jedoch nach dem Ausgeben der Karte nicht mehr modifiziert oder geändert werden, selbst dann nicht, wenn eine solche Modifikation vom Kartenbenutzer oder Kartenausgeber gewünscht wird. Ferner müsste der Kartenbenutzer, wenn er die Durchführung einer Reihe verschiedener Anwendungsfunktionen durch von ihm ausgegebene IC-Karten wünscht, wie z.B. eine Electronic-Purse- und eine Kredit/Debit-Funktion, dann mehrere physische Karten mit sich führen, was recht umständlich und unpraktisch wäre. Wenn ein Anwendungsentwickler oder Kartenbenutzer wünscht, dass zwei verschiedene Anwendungen miteinander interagieren oder Daten miteinander austauschen, wie z.B. eine Purse-Anwendung, die mit einer Vielflieger-Loyalitätsanwendung interagiert, dann wäre der Kartenbenutzer gezwungen, mehrere Karten nacheinander in den Kartenaufnahmeterminal einzuführen und wieder herauszunehmen, was die Transaktion schwierig, langwierig und unpraktisch macht.
  • Die Anmelderin hat daher erkannt, dass es nützlich wäre, mehrere Anwendungen auf derselben IC-Karte zu speichern. So könnte ein Kartenbenutzer z.B. sowohl eine Purse-Anwendung als auch eine Kredit/Debit-Anwendung auf derselben Karte haben, so dass er auswählen könnte, welchen Zahlungstyp (elektronische Cash-Karte oder Kreditkarte) er für einen bestimmten Kauf benutzt. Es könnten mehrere Anwendungen auf einer IC-Karte vorgesehen werden, wenn ausreichend Speicherkapazität und ein Betriebssystem auf der Karte vorhanden ist, um mehrere Anwendungen zu unterstützen. Es könnten mehrere Anwendungen vorgewählt und in der Produktionsphase in den Speicher der Karte geladen werden, aber es wäre auch nützlich die Fähigkeit zu haben, Anwendungen nach Bedarf für die Kartennachproduktion zu laden und zu löschen.
  • Durch die erhöhte Fähigkeit und Leistung des Speicherns mehrerer Anwendungen auf einer einzelnen Karte ergeben sich neue technische Herausforderungen in Bezug auf Integrität und Sicherheit der Informationen (einschließlich Anwendungscode und zugehörige Daten), die zwischen der jeweiligen Karte und dem Applikationsprovider sowie innerhalb des gesamten Systems beim Laden und Löschen von Anwendungen überwunden werden müssen. Die Anmelderin hat ferner erkannt, dass es nützlich wäre, wenn man im IC-Kartensystem Daten zwischen Karten, Kartenausgebern, Systembetreibern und Applikationsprovidern austauschen und Anwendungen auf sichere Weise jederzeit entweder von einem Terminal oder ortsfern über eine Telefonleitung, über eine Internet- oder Intranet-Verbindung oder über einen anderen Datenkanal laden und löschen könnte. Da diese Datenübertragungsleitungen typischerweise keine sicheren Leitungen sind, müsste eine Reihe von Sicherheits- und Entitätsauthentifizierungstechniken ausgeführt werden, um sicherzustellen, dass über die Übertragungsleitungen gesendete Anwendungen nur auf die beabsichtigten Karten geladen werden.
  • Wie erwähnt, ist es wichtig – besonders dann, wenn dem Kartenhalter ständig eine Vielfalt neuer Anwendungen zur Verfügung steht – dass das System die Möglichkeit hat, der IC-Karte nach der Ausgabe Anwendungen hinzuzufügen. Dies ist äußerst vorteilhaft, weil dadurch die Lebensdauer der IC-Karten geschützt wird, weil die Karte sonst, wenn die Anwendung veraltet, nutzlos würde. In dieser Hinsicht hat die Anmelderin ferner erkannt, dass es zum Schutz vor einem unrechtmäßigen oder unerwünschten Laden von Anwendungen auf IC-Karten nützlich wäre, wenn das IC-Kartensystem die Fähigkeit hätte, den Ladevorgang zu steuern und wo notwendig oder gewünscht die Benutzung bestimmter Anwendungen auf eine begrenzte Gruppe oder Anzahl von Karten zu beschränken, so dass die Anwendungen für die IC-Karten im System "selektiv verfügbar" sind. Diese "Selektionsfähigkeit" würde es erlauben, Anwendungen z.B. zu einem gewünschten Zeitpunkt im Lebenszyklus der Karte zu laden und zu löschen. So könnte auch eine Anwendung nur auf die Karten geladen werden, die für den Empfang der gewählten Anwendung ausgewählt wurden.
  • Es ist demgemäß ein Vorteil einer bevorzugten Ausgestaltung der Erfindung, dass sie diese wichtigen Merkmale und insbesondere ein sicheres IC-Karten-System bereitstellt, das eine selektive Verfügbarkeit von Chipkartenanwendungen zulässt, die auf IC-Karten geladen werden können. Es können auch Anwendungen von der IC-Karte gelöscht werden.
  • Diese und andere Vorteile werden mit den Merkmalen der Ansprüche 1, 16, 23 und 28 erzielt. Bevorzugte Ausgestaltungen sind in den Ansprüchen 2–15, 17–22, 24–27 des vorliegenden Dokuments offenbart.
  • Weitere Aspekte, Merkmale und Vorteile von Ausgestaltungen der Erfindung gehen aus der nachfolgenden ausführlichen Beschreibung im Zusammenhang mit den beiliegenden Figuren hervor, die illustrative Ausgestaltungen der Erfindung zeigen. Dabei zeigt:
  • 1 ein Blockdiagramm der drei Stadien während der Lebenszeit einer Multiapplikations-IC-Karte in einem sicheren System;
  • 2 ein Blockdiagramm der Schritte des Kartenherstellungsprozesses;
  • 3 ein Ablaufdiagramm, das die Schritte beim Freigeben der einzelnen IC-Karten in dem sicheren System illustriert;
  • 4 ein Blockdiagramm eines IC-Kartenchips, der gemäß der Erfindung verwendet werden kann;
  • 5 ein Blockdiagramm, das die auf der IC-Karte gespeicherten Daten gemäß Anzeige in Block 307 von 3 illustriert;
  • 5A ein Schema der Datenstrukturen, die in einer IC-Karte resident sind und Personalisierungsdaten repräsentieren;
  • 6 ein Ablaufdiagramm, das die Schritte des Ladens einer Anwendung auf eine IC-Karte in dem sicheren System illustriert;
  • 7 ein Ablaufdiagramm, das die Prüfschritte wie in Block 601 von 6 angezeigt illustriert;
  • 8 ein Ablaufdiagramm, das die Schritte illustriert, die bei der Bestimmung durchgeführt wurden, ob eine Anwendung genehmigt wird;
  • 9 ein Blockdiagramm, das die Komponenten der Systemarchitektur für den Freigabeprozess einer IC-Karte in einem sicheren Multiapplikations-IC-Kartensystem zeigt; und
  • 10 ein Systemdiagramm von Entitäten, die an der Verwendung der IC-Karte nach deren Personalisierung beteiligt sind.
  • In allen Figuren werden dieselben Bezugsziffern und – zeichen, wenn nicht anders angegeben, zum Bezeichnen gleichartiger Merkmale, Elemente, Komponenten oder Teile der illustrierten Ausgestaltungen verwendet. Ferner wird der Erfindungsgegenstand zwar ausführlich mit Bezug auf die Figuren beschrieben, aber diese Beschreibung erfolgt in Verbindung mit den illustrativen Ausgestaltungen. Es ist beabsichtigt, dass Änderungen und Modifikationen an den beschriebenen Ausgestaltungen vorgenommen werden können, ohne vom wahren Umfang und Wesen des Erfindungsgegenstandes gemäß Definition in den beiliegenden Ansprüchen abzuweichen.
  • Eine Ausgestaltung gemäß der vorliegenden Erfindung stellt ein IC-Kartensystem und ein Verfahren bereit, die die Flexibilität bieten, gewählte Anwendungen über die Lebenszeit einer Multiapplikations-IC-Karte als Reaktion auf die Erfordernisse oder Wünsche von Kartenbenutzern, Kartenausgebern und/oder Anwendungsentwicklern zu laden und zu löschen. Ein Kartenbenutzer, der eine solche Karte hat, kann Anwendungen nach Bedarf selektiv laden und löschen, wenn der Kartenausgeber dies in Verbindung mit dem Systembetreiber oder der Zertifizierungsautorität ("CA") zulässt, die den Lade- und Löschprozess durch Zertifizieren der Übertragung von Informationen über den Prozess steuert.
  • Da Anwendungen selektiv auf die Karte geladen und von dieser gelöscht werden können, kann ein Kartenausgeber die Funktionalität einer einzelnen IC-Karte erweitern, ohne neue Karten ausgeben zu müssen. Außerdem können Anwendungsentwickler alte Anwendungen durch neue erweiterte Versionen ersetzen, und Anwendungen, die auf derselben Karte, die ein gemeinsames Multiapplikationsbetriebssystem verwendet, resident sind, können auf sichere Weise interagieren und Daten austauschen. So kann z.B. ein Vielflieger-Loyalitätsprogramm dem internen Konto eines Kartenbenutzers für jeden mit der Mondex-Purse oder einer Kredit/Debit-Anwendung ausgegebenen Dollar automatisch eine Vielfliegermeile gutschreiben. Durch Ermöglichen des selektiven Ladens und Löschens von Anwendungen erhält der Kartenbenutzer, vorbehaltlich der Anforderungen des Kartenausgebers, auch die Option, Loyalitätsprogramme nach Bedarf zu ändern.
  • Ein Kartenausgeber oder Anwendungsentwickler hat möglicherweise die Absicht, eine bestimmte Anwendung nur auf eine Karte für einen bestimmten Kartenbenutzer in einem Kartensystem zu laden. Eine regionale Bank möchte möglicherweise, dass eine proprietäre Anwendung nur auf den Karten resident ist, die die Bank ausgibt. Ausgestaltungen der vorliegenden Erfindung würden ein solches selektives Laden zulassen und es insbesondere ermöglichen zu verhindern, dass proprietäre Anwendungen auf unautorisierte, von Dritten ausgegebenen Karten geladen werden.
  • Um diese gewünschten Ziele zu erreichen, geben Ausgestaltungen der vorliegenden Erfindung jeder Karte eine bestimmte Kennung, indem sie "Kartenpersonalisierungsdaten" auf der Karte speichert. Ferner werden jeder Anwendung, die auf eine oder mehrere Karten in dem System geladen oder von ihr gelöscht werden sollen, "Anwendungsgenehmigungsdaten" zugewiesen, die die Karten vorgeben, auf die die Anwendungen geladen werden dürfen.
  • Der Typ der personalisierten Daten kann von den Erfordernissen und Anforderungen des Kartensystems abhängen. In der nachfolgend ausführlicher beschriebenen bevorzugten Ausgestaltung beinhalten die Personalisierungsdaten eindeutige Kartenidentifikations-Bezeichnungsdaten, Kartenausgeber, Produktklasse oder -typ (vom Kartenausgeber definiert) sowie das Datum der Personalisierung. Es brauchen jedoch nicht alle diese Datenelemente verwendet zu werden, und es können weitere Elemente einbezogen werden.
  • Die mit einer Anwendung assoziierten
  • Anwendungsgenehmigungsdaten, die ebenfalls nachfolgend ausführlicher beschrieben werden, können ein einziger Wert in einem Kennungsfeld sein oder könnten mehrere Werte in dem Kennungsfeld beinhalten. So könnten beispielsweise die Anwendungsgenehmigungsdaten im Kartenausgeberfeld sowohl die Produktklasse A als auch die Produktklasse B einer bestimmten Bank X repräsentieren, was bedeutet, dass die Anwendung auf Karten geladen werden könnte, die als von der Bank X ausgegebene Produktklassen A und B bezeichnet sind (gemäß Anzeige im Kartenprodukt-ID-Feld der Personalisierungsdaten der Karte).
  • Außerdem könnte ein "Globalwert" im Ausgeberfeld (oder einem anderen Feld) der Anwendungsgenehmigungsdaten gespeichert werden, der anzeigt, dass alle IC-Karten in dem System mit diesem Genehmigungsfeld übereinstimmen würden, unabhängig davon, wer die Karte ausgegeben hat. In diesem Fall stimmt z.B. ein im Anwendungsgenehmigungs-Kartenausgeberfeld gespeicherter Datenwert von null mit allen Personalisierungs-Kartenausgeberfeldern der Karten überein.
  • 1 zeigt die drei Schritte, die bei der Bereitstellung einer funktionsfähigen Multiapplikations-IC-Karte in einem sicheren System beteiligt sind. Der erste Schritt ist der Kartenherstellungsschritt 101. Der zweite Schritt ist der Personalisierungsschritt 103, bei dem Kartenpersonalisierungsdaten (auch Entitätsauthentifizierungsdaten genannt) auf die Karte geladen werden. Der dritte Schritt ist der Anwendungsladeschritt 105, bei dem geprüft wird, ob eine Karte zum Empfangen einer Anwendung qualifiziert ist, d.h. wo die Personalisierungsdaten anhand der Anwendungsgenehmigungsdaten geprüft werden, die mit der zu ladenden Anwendung assoziiert sind. Jeder dieser drei Schritte wird nachfolgend ausführlich beschrieben.
  • Kartenherstellung
  • 2 zeigt die Schritte, die bei der Herstellung einer IC-Karte in einem sicheren System notwendig sind. In Schritt 201 wird die physische IC-Karte durch Produzieren der integrierten Schaltung auf Silicium und deren Platzieren auf der Karte hergestellt. Der integrierte Schaltungschip beinhaltet RAM-, ROM- und EEPROM-Speicher. Bei der Herstellung der Karte wird zunächst in Schritt 203 ein globaler Public-Key des Systembetreibers (in diesem Fall Zertifizierungsautorität (CA) genannt) auf jeder Karte im ROM gespeichert. So kann die Karte authentifizieren, ob die Quelle einer Nachricht zu ihr von der CA stammt, da der Public-Key auf der Karte mit dem Geheimschlüssel der CA verglichen wird.
  • Spezifischer ausgedrückt, über diesen auf der Karte gespeicherten Public-Key kann die individuelle Karte mit dem Private-Key der CA signierte Daten überprüfen. Der Public-Key der CA, der auf der Karte gespeichert ist, wird nur zum Ermitteln benutzt, ob die zu der Karte gesendeten Daten mit dem richtigen Private-Key der CA signiert wurden. So kann die Karte die Quelle jeder von der CA kommenden Nachricht prüfen.
  • In Schritt 205 wird ein Kartenfreigabeschlüssel in einen sicheren Teil des EEPROM in der Karte eingefügt, um die kartenspezifische Vertraulichkeit während der Freigabe zu erleichtern, und in Schritt 207 wird eine Kartenkennung in den EEPROM der Karte eingefügt. Die Kennung, auf die von jedem Terminal zugegriffen werden kann, erlaubt es dem System, die Identität der Karte in späteren Prozessen zu ermitteln. Die Kennung ist frei verfügbar und wird nicht zum Authentifizieren von Nachrichten verwendet.
  • Schritt 209 speichert den Betriebssystemcode im ROM auf der Karte, einschließlich eventueller Grundelemente, die vom Betriebssystem abgerufen oder unterstützt werden. Die Grundelemente werden in maschinenabhängiger Sprache (z.B. Assembler-Sprache) geschrieben und im ROM gespeichert. Die Grundelemente sind Subroutinen, die vom Betriebssystem oder von auf der Karte residenten Anwendungen abgerufen werden können, z.B. mathematische Funktionen (Multiplizieren oder Dividieren), Datenabruf-, Datenmanipulations- oder Verschlüsselungsalgorithmen. Die Grundelemente können sehr rasch ausgeführt werden, weil sie in der maschinenabhängigen Sprache des Prozessors geschrieben sind.
  • Nach der Herstellung der IC-Karten werden diese zu einem Personalisierungsbüro ("PB") gesendet, um die Karte freizugeben und zu personalisieren, indem Kartenpersonalisierungsdaten im Speicher der Karte gespeichert werden. Die Begriffe Freigabe und Personalisierung werden hier untereinander austauschbar verwendet, um die Vorbereitungsschritte anzuzeigen, die durchgeführt werden, um auf sichere Weise eine Anmeldung auf die Karte zu laden. Die individuellen Karten werden vorzugsweise in Serien hergestellt und zu einem Personalisierungsbüro in einer Gruppe zur Verarbeitung gesendet.
  • Kartenfreigabe/-personalisierung
  • 3 zeigt die Schritte des Kartenfreigabeprozesses, wenn die Karte bei einem Personalisierungsbüro ankommt. Das Personalisierungsbüro kann der Kartenausgeber (z.B. eine Bank oder ein anderes Finanzinstitut) oder ein Dritter sein, der den Service für den Kartenausgeber ausführt. Das Personalisierungsbüro konfiguriert die Karte auf einen spezifischen Benutzer oder eine spezifische Benutzerklasse.
  • 3 zeigt speziell die Schritte, die durchgeführt werden, um jede IC-Karte, die in dem System aktiv sein soll, freizugeben und zu personalisieren. Die Karten können in einen Terminal eingeführt werden, der mit IC-Karten kommuniziert und die Kartenkennungsdaten (die zuvor beim Herstellungsprozess auf die Karte geladen wurden – siehe Schritt 207) liest. Diese Kartenidentifikationsdaten werden in Schritt 301 von der Karte gelesen. Der Terminal sendet effektiv einen Befehl "Identifikationsdaten holen" zur Karte, und die Karte gibt die Identifikationsdaten zum Terminal zurück.
  • Das PB verarbeitet eine Gruppe von Karten gleichzeitig und erstellt zunächst eine Liste mit IC-Karten-Identifikationsdaten für die Gruppe von Karten, die es personalisiert. Das PB sendet diese Liste von Identifikationsdaten dann elektronisch (oder auf andere Weise) zur Zertifizierungsautorität ("CA"), die einen Personalisierungs- (oder Freigabe-) Datenblock für jede Kartenkennung erzeugt. Der Datenblock beinhaltet die Kartenpersonalisierungsdaten, die zu einer Anzahl von Kennungsfeldern organisiert sind, und einen individuellen Key-Set für die Karte, wie nachfolgend erörtert wird. Diese Datenblöcke werden dann verschlüsselt und zum PB gesendet (Schritt 302). Das PB stimmt dann die Karten anhand der Kartenidentifikationsdaten auf die verschlüsselten Datenblöcke ab und lädt jeden Datenblock separat auf die abgestimmte Karte. Um zu gewährleisten, dass die CA die Kontrolle über die Identität der Karte und die Integrität des Systems behält, erhält das PB niemals Kenntnis über den Inhalt der übertragenen Datenblöcke. Einige Aspekte der Personalisierung werden vom Kartenausgeber von der CA für deren bevorzugtes Management der von ihnen ausgegebenen Karten angefordert. Es werden die folgenden zusätzlichen Schritte durchgeführt.
  • Schritt 303 prüft zunächst, ob ein im EEPROM der Karte gespeichertes Freigabebit bereits gesetzt ist. Ist es bereits gesetzt, dann wurde die Karte bereits konfiguriert und personalisiert, und der Freigabeprozess endet wie in Schritt 304 gezeigt. Eine Karte kann nicht zweimal freigegeben und personalisiert werden. Ist das Bit nicht gesetzt, dann wird der Prozess mit Schritt 305 fortgesetzt.
  • In Schritt 305 wird der individualisierte Karten-Key-Set (dieser Schlüsselsatz wird bei der CA generiert) für die Karte, die gerade freigegeben wird, auf der Karte gespeichert. Die Keys können später bei der kartenexternen Prüfung (d.h. um zu prüfen, ob die Karte eine authentische Karte ist) verwendet werden. Diese Prüfung ist notwendig, um die Karte als diejenige zu authentifizieren, für die die Anwendung beabsichtigt ist.
  • In Schritt 307 werden bei der CA vier verschiedene, für den MULTOS Security Manager (MSM) charakteristische Datenelemente (ansonsten hierin als Personalisierungsdaten bezeichnet) für die Karte erzeugt, die für ein sicheres und korrektes Laden und Löschen von Anwendungen auf eine und von einer bestimmte(n) Karte verwendet werden. Die MSM-Charakteristiken ermöglichen auch das Laden von Anwendungen auf spezifische Klassen von identifizierten Karten. (Diese MSM-Charakteristiken werden in Verbindung mit 5 näher beschrieben.)
  • Jetzt können auch noch je nach Systemdesignbedarf weitere Daten auf der Karte gespeichert werden, wie z.B. eine Adresstabelle oder weitere Subroutinen.
  • In Schritt 311 wird das Freigabebit im EEPROM der Karte gesetzt, was bedeutet, dass der Freigabeprozess für die jeweilige Karte beendet ist. Wenn dieses Bit gesetzt ist, kann kein weiterer Freigabeprozess auf der Karte erfolgen. Dadurch wird gewährleistet, dass nur ein Personalisierungs- und Freigabeprozess an der Karte erfolgen kann, so dass ein illegaler Eingriff in die Karte oder eine versehentliche Änderung der Karte verhindert wird. In der bevorzugten Ausgestaltung wird das Freigabebit nicht bei der Herstellung der Karte, sondern am Ende des Freigabeprozesses gesetzt.
  • 4 zeigt ein Beispiel für ein Blockdiagramm eines IC-Kartenchips, der hergestellt und personalisiert wurde. Der IC-Kartenchip befindet sich auf einer IC-Karte für den Gebrauch. Die IC-Karte beinhaltet vorzugsweise eine Zentraleinheit 401, einen RAM 403, einen EEPROM 405, einen ROM 407, einen Timer 409, eine Steuerlogik 411, E/A-Ports 413 und einen Sicherheitsschaltkomplex 415, die über einen konventionellen Datenbus miteinander verbunden sind.
  • Die Steuerlogik 411 in Speicherkarten bietet genügend Sequenzierung und Umschaltung für die Handhabung von Lese- Schreib-Zugriff auf den Speicher der Karte durch die Ein/Ausgabeports. Die CPU 401 kann mit ihrer Steuerlogik Berechnungen durchführen, auf Speicherstellen zugreifen, Speicherinhalt modifizieren und Ein-/Ausgabeports verwalten. Einige Karten haben einen Koprozessor zum Handhaben komplexer Berechnungen wie Verschlüsselungsalgorithmen. Ein-/Ausgabeports 413 werden nur gesteuert von einer CPU und von Steuerlogik für Kommunikationen zwischen der Karte und einem Kartenannahmegerät verwendet. Der Timer 409 (der einen Taktimpuls erzeugt oder bereitstellt) steuert die Steuerlogik 411 und die CPU 401 durch die Schrittfolge zur Durchführung von Speicherzugriff, Speicherlesen oder – schreiben, Verarbeitung und Datenkommunikation an. Ein Timer kann für Anwendungsmerkmale wie Rufdauer verwendet werden. Ein Sicherheitsschaltkomplex 415 beinhaltet schmelzbare Verbindungen, die die Ein-/Ausgabeleitungen zum internen Schaltkomplex nach Bedarf zum Testen während der Herstellung verbinden, die aber nach Testabschluss zerstört ("durchgebrannt") werden, um einen späteren Zugriff zu verhindern. Die Personalisierungsdaten zum Qualifizieren der Karte werden an einer sicheren Stelle des EEPROM 405 gespeichert. Der Vergleich zwischen den Personalisierungsdaten und Anwendungsgenehmigungsdaten erfolgt durch die CPU 401.
  • 5 zeigt die Schritte zum Erstellen und Laden der vier Elemente der Kartenpersonalisierungsdaten in den Speicher der IC-Karten, und 5A zeigt ein Schema von Bitmaps für jedes Kennungsfeld, das im Speicher einer IC-Karte resident ist, die Personalisierungsdaten gemäß der vorliegenden Erfindung enthält. Jede Datenstruktur für jedes Kennungsfeld hat ihren eigenen Deskriptor-Code. In Schritt 501 wird die Datenstruktur für das Kennungsfeld "Karten-ID" mit der Bezeichnung "msm_mcd_permissions_mcd_no" geladen. Diese Nomenklatur bedeutet die "MULTOS system manager_MULTOS card device_permissions_MULTOS Kartengerätenummer". Diese Zahl hat zwar typischerweise eine Länge von 8 Bytes wie in 5A gezeigt, aber die Daten könnten jede beliebige Länge haben, die eine eindeutige Nummer für die Karte bedeutet. In der bevorzugten Ausgestaltung sind 2 Bytes als Signalindikator dediziert, 2 Bytes umfassen ein MULTOS Injection Security Module ID (MISM ID), die anzeigt, welches Sicherheitsmodul die injizierten Keys bei der Herstellung in die Karte injiziert hat, und 4 Bytes umfassen eine Seriennummer der Integrated Circuit Card (ICC), die die an diesem MISM erzeugte individuelle Karte identifiziert.
  • In Schritt 503 wird die Datenstruktur für das Kennungsfeld "Issuer ID" (Ausgeber-ID) mit der Bezeichnung "msm_mcd_permissions_mcd_issuer_id" geladen. Diese, Nomenklatur bedeutet eine MULTOS-Kartengeräteausgeber-Identifikationsnummer. Jedem Kartenausgeber (wie z.B. einer bestimmten Bank, einem bestimmten Finanzinstitut oder einem anderen an einer Anwendung beteiligten Unternehmen) wird eine eindeutige Nummer in dem Kartensystem zugeordnet. Jede IC-Karte in dem MULTOS-System enthält Informationen über den Kartenausgeber, der die Karte personalisiert hat oder für die Karte verantwortlich ist. Ein Kartenausgeber bestellt eine bestimmte Anzahl von Karten bei einem Hersteller und führt den hierin beschriebenen Personalisierungsprozess durch oder lässt ihn durchführen. So bestellt beispielsweise eine regionale Bank 5000 Karten, die an ihre Kunden verteilt werden. Die Datenstruktur "mcd_issuer_id" auf diesen Karten gibt an, welcher Ausgeber die Karten ausgegeben hat. In der bevorzugten Ausgestaltung hat die Datenstruktur eine Länge von 4 Bytes (wie in 5A bei 503A gezeigt), so dass viele verschiedene Ausgeber im System möglich sind, obwohl die Länge der Datenstruktur je nach den Bedürfnissen des Kartensystems variieren kann. In Schritt 505 wird die Datenstruktur für das Kennungsfeld "Product ID" mit der Bezeichnung "msm_mcd_permissions_mcd_issuer_product_id" geladen. Diese Nomenklatur bedeutet die MULTOS-Kartengeräteausgeber-Produktidentifikationsnummer. Jeder Kartenausgeber kann verschiedene Klassen von Produkten oder Karten haben, zwischen denen er möglicherweise unterscheiden will. So könnte beispielsweise eine Bank eine gewöhnliche Kreditkarte mit einer Produkt-ID, eine Gold-Kreditkarte mit einer anderen Produkt-ID und eine Platinkarte mit noch einer anderen Produkt-ID ausgeben. Der Kartenausgeber möchte möglicherweise bestimmte Anwendungen nur auf eine Klasse von Kreditkarten laden. Der Benutzer einer Gold-Kreditkarte, der eine Jahresgebühr zahlt, ist möglicherweise zu einer größeren Vielfalt von Anwendungen berechtigt als ein Benutzer einer gewöhnlichen Kreditkarte, der keine Jahresgebühr zahlt. Das Produkt-ID-Feld identifiziert die Karte als eine bestimmte Klasse und erlaubt es dem Kartenausgeber später, die Produkt-ID zu prüfen und nur Anwendungen auf Karten zu laden, die mit der gewünschten Klasse übereinstimmen.
  • Eine weitere Unterscheidungsmöglichkeit zwischen Produkten wäre der Anwendungstyp, wie z.B. nach Anwendungskategorien wie Finanzen, Recht, Medizin und/oder Freizeit/Erholung, oder durch Zuweisen bestimmter Anwendungen zu einer Gruppe von Karten. So stellt beispielsweise ein Kartenausgeber möglicherweise verschiedene Loyalitätsprogramme mit verschiedenen Unternehmen zu verschiedenen Sätzen von Kartenbenutzern zur Verfügung. So kann beispielsweise eine Bank ein Loyalitätsprogramm für American Airlines® und ein Loyalitätsprogramm für British Airways® für verschiedene Regionen des Landes haben, je nach dem, wo die Airlines fliegen. Über den Produkttyp kann der Ausgeber die Produktklassifizierung der Karte während des Personalisierungsvorgangs festlegen. Beim Laden von Anwendungen auf die Karte wird die Produkttyp-Identifikationsnummer auf jeder Karte geprüft, um sicherzustellen, dass sie mit dem Kartentyp übereinstimmt, auf den der Ausgeber laden möchte. Die Produkttyp-Datenstruktur ist vorzugsweise ein Indexiermechanismus (im Gegensatz zu der anderen Personalisierungstruktur) von 8 Bits (wie bei 505A in 5A gezeigt), könnte jedoch jede beliebige Länge haben, je nach den Erfordernissen des Kartensystems. In der illustrierten Ausgestaltung würde sich die resultierende Anweisung darauf beziehen, das zweite Bit (da der angezeigte Wert des Bytes 2 ist) in der zu durchsuchenden Array zu finden (siehe Erörterung von Schritt 809 unten).
  • In Schritt 507 wird die Datenstruktur für die Kennungsfelddaten mit der Bezeichnung "msm_mcd_permissions_mcd_controls_data_date" geladen. Diese Nomenklatur bedeutet MULTOS-Kartengerätedatensteuerdatum oder, mit anderen Worten, das Datum, an dem die Karte personalisiert wurde, so dass beispielsweise der Anwendungslader Daten auf Karten laden kann, die nach einem bestimmten Datum datiert sind, Karten vor einem bestimmten Datum (z.B. für Anwendungs-Updates) laden oder Karten mit einem bestimmten Datendatum laden kann. Die Informationen können Jahr, Monat und Tag der Personalisierung oder bei Bedarf auch weniger Informationen beinhalten. Die Datenstruktur data date hat vorzugsweise eine Länge von 1 Byte (siehe 507A in 5A), könnte aber jede beliebige Länge haben, je nach den Erfordernissen des jeweiligen benutzten Kartensystems.
  • Wenn alle Personalisierungsdatenstrukturen geladen und in der Karte gespeichert sind, dann ist die Karte nach Ausgeber, Produktklasse, Datum und Identifikationsnummer (bei Bedarf auch mit anderen Datenfeldern) identifiziert und kann ihre Identität nicht mehr ändern; diese Felder können im Speicher der Karte nicht verändert werden. Wenn ein Kartenbenutzer die in der Karte gespeicherte product_id ändern möchte, um Zugang zu anderen Anwendungen zu erhalten, die für einen anderen Produkttyp zur Verfügung steht, dann muss dem Benutzer eine neue Karte ausgegeben werden, die die korrekten Personalisierungsdaten enthält. Dieses System steht im Einklang mit einer Situation, in der der Besitzer einer Goldkarte eine neue Karte erhält, wenn die Klassifizierung auf Platin geändert wird.
  • Nach dem Freigeben und Personalisieren der Karte durch Speichern ihres individuellen Karten-Key-Set, ihrer MSM-Personalisierungscharakteristiken und des Freigabebits wie in 3 beschrieben, können jetzt Anwendungen in den Speicher der Karte geladen werden.
  • Laden von Anwendungen
  • Der Anwendungsladeprozess enthält eine Reihe von Sicherheits- und Kartenkonfigurationschecks, um das sichere und ordnungsgemäße Laden einer Anwendung auf die beabsichtigte IC-Karte zu gewährleisten. Dieser Anwendungsladeprozess erfolgt vorzugsweise im Personalisierungsbüro, so dass die Karte bei der Ausgabe eine oder mehrere Anwendungen enthält. Die Karte kann bestimmte gemeinsame Anwendungen enthalten, die auf jeder von dem Ausgeber verschickten Karte vorhanden sind, wie z.B. eine Electronic-Purse-Anwendung oder eine Kredit/Debit-Anwendung. Alternativ könnte das Personalisierungsbüro die freigegebenen Karten zu einem Dritten zum Laden von Anwendungen senden. Das im ROM jeder Karte gespeicherte Multiapplikationsbetriebssystem und die MSM-Personalisierungsdaten der Karte sind so ausgelegt, dass ein späteres Laden und Löschen von Anwendungen nach dem Ausgeben der Karte je nach den Wünschen des jeweiligen Kartenbenutzers und des verantwortlichen Kartenausgebers möglich sind. So könnte eine ältere Version einer auf der IC-Karte gespeicherten Anwendung durch eine neue Version der Anwendung ersetzt werden. Es könnte auch eine zusätzliche Loyalitätsanwendung zur Karte hinzugefügt werden, nachdem sie anfänglich zum Kartenbenutzer gesendet wurde, weil die Anwendung jetzt neu zur Verfügung steht oder der Benutzer die neue Anwendung benutzen möchte. Diese Lade- und Löschfunktionen für Anwendungen können direkt durch einen Terminal oder auch über Telefonleitungen, Datenleitungen, ein Netzwerk wie z.B. das Internet oder eine beliebige andere Weise zum Übertragen von Daten zwischen zwei Objekten (Entitäten) durchgeführt werden. Im vorliegenden IC-Kartensystem gewährleistet der Prozess des Übertragens des Anwendungsprogramms und der Daten, dass nur IC-Karten, die die richtigen Personalisierungsdaten enthalten und die dem Anwendungsgenehmigungsprofil entsprechen, qualifiziert sind und das entsprechende Anwendungsprogramm und die Daten empfangen.
  • 6 zeigt die bevorzugten Schritte, die beim Laden einer Anwendung auf eine IC-Karte im MULTOS-IC-Kartensystem durchgeführt werden. Für dieses Beispiel lädt das Personalisierungsbüro eine Anwendung von einem Terminal, der dieselbe Karte freigegeben hat. In Schritt 601 wird ein vom Terminal eingeleiteter "Öffnungsbefehl" ausgeführt, der eine Voransicht der Karte durchführt, um sicherzustellen, dass die Karte qualifiziert ist, das Laden einer spezifischen Anwendung zu akzeptieren. Mit dem Öffnungsbefehl erhält die Karte die Genehmigungsdaten der Anwendung, die Größe der Anwendung und die Anweisung zu ermitteln (1), ob das Freigabebit gesetzt ist, was anzeigt, dass die Karte personalisiert ist; (2) ob der Anwendungscode und die zugehörigen Daten auf den existierenden Speicherplatz auf der Karte passen; und (3) ob die Personalisierungsdaten, die der zu ladenden Anwendung zugewiesen wurden, das Laden der Anwendung auf die jeweilige Karte bei der Ausgabe zulassen. Der Öffnungsbefehl könnte auch zusätzliche Checks durchführen, die das Kartensystem möglicherweise verlangt. Diese Prüfschritte während der Ausführung des Öffnungsbefehls werden nachfolgend ausführlich in Verbindung mit 7 beschrieben.
  • Nach dem Ausführen des Öffnungsbefehls wird dem Anwendungslader über das Terminal mitgeteilt, ob die Karte die richtigen Identifikationspersonalisierungsdaten enthält und ob genügend Platz im Speicher der Karte für den Anwendungscode und die zugehörigen Daten vorhanden ist. Wenn nicht genügend Speicherplatz vorhanden ist, dann wird der Karte eine negative Antwort zurückgegeben und der Prozess wird abnormal beendet. Wenn die Identifikationspersonalisierungsdaten nicht mit den Anwendungsgenehmigungsdaten übereinstimmen, wird in Schritt 603 eine Warnantwort gegeben, aber der Prozess wird mit den Lade- und Erstellungsschritten fortgesetzt. Alternativ wird der Prozess, wenn keine Übereinstimmung vorliegt, automatisch abnormal beendet. Gibt die Karte dem Terminal in Schritt 605 eine positive Antwort, dann geht der Anwendungslader vorzugsweise auf die nächsten Schritten über. Der Öffnungsbefehl erlaubt der Anwendung eine Voransicht der Karte vor dem Start von Übertragungen von Code und Daten.
  • In Schritt 607 werden dann Anwendungscode und Daten in den EEPROM der IC-Karte geladen. Der tatsächliche Ladevorgang erfolgt in Verbindung mit dem Erstellungsschritt 609, der den Ladeprozess vollendet und die Anwendung befähigt, nach dem Laden auf der IC-Karte abzulaufen. Die Kombination aus Öffnungs-, Lade- und Erstellungsbefehl wird vom Terminal oder einer anderen Anwendungsproviderquelle zur Durchführung des Anwendungsladeprozesses zur IC-Karte gesendet. Das Betriebssystem in den IC-Karten wird zur Durchführung eines bestimmten Satzes von Anweisungen in Bezug auf jeden dieser Befehle programmiert, so dass die IC-Karte mit den Anweisungen vom Terminal kommuniziert und diese ordnungsgemäß ausführt.
  • In Schritt 609 wird der Erstellungsbefehl ausgeführt, der wenigstens die folgenden Tätigkeiten umfasst: (1) prüfen, ob ein Anwendungsladezertifikat von der CA signiert (verschlüsselt) ist und die Anwendung somit als eine ordnungsgemäße Anwendung für das System authentifiziert; und (2) Prüfen der auf der Karte gespeicherten Kartenpersonalisierungsdaten anhand des Genehmigungsprofils für die zu ladende Anwendung, um die Karte zum Laden zu qualifizieren. Nach Bedarf können auch andere Prüfungen durchgeführt werden. Verläuft einer der Checks erfolglos, dann wird eine Störungsantwort 610 gegeben und der Prozess abgebrochen. Die Anwendung wird nach dem erfolgreichen Durchlaufen dieser Checks in den Speicher der Karte geladen.
  • 7 zeigt die verschiedenen Schritte des Öffnungsschrittes 601 von 6 ausführlicher. In Schritt 701 wird ermittelt, ob das Freigabe- (d.h. Steuer-) Bit gesetzt ist. Dieses Bit wird gesetzt, wenn die Karte ihren Personalisierungsprozess vollendet hat und ihr die Personalisierungsdaten zugewiesen wurden. Eine Anwendung kann nur dann auf eine IC-Karte im Kartensystem geladen werden, wenn die Karte die Personalisierungsdaten enthält. Ist das Freigabebit nicht gesetzt, dann wurde die Karte nicht personalisiert, und daher gibt die Karte dem Terminal eine negative Antwort 703. Ist das Freigabebit gesetzt, dann wurde die Karte freigegeben und die Testbedingungen werden mit Schritt 711 fortgesetzt.
  • In Schritt 711 wird geprüft, ob genügend Platz im Speicher auf der Karte vorhanden ist, um Anwendungscode und zugehörige Daten zu speichern. Anwendungen haben typischerweise assoziierte Daten, die sich auf ihre Funktionen beziehen. Diese Daten werden verwendet und manipuliert, wenn die Anwendung abgearbeitet wird. Speicherplatz im Speicher einer IC-Karte ist aufgrund des relativ großen für den EEPROM benötigten physikalischen Speicherplatzes und aufgrund der Art und Weise, in der er in die integrierte Schaltung passt, die klein genug sein muss, damit sie auf eine Karte mit der Größe einer Kreditkarte passt, ein ständiges Anliegen. Ein Beispiel für die Größe eines bestimmten EEPROM auf einer IC-Karte ist 16 KB, aber die tatsächliche Größe variiert. Anwendungen können von 1 KB oder weniger für eine sehr einfache Anwendung bis hin zu verfügbaren Speicherplatzgrößen für höher entwickelte Anwendungen reichen. Die mit einer Anwendung assoziierten Daten können von keinen im Kartenspeicher gespeicherten Daten bis zu einer Größe reichen, die durch die Menge an verfügbarem Speicherplatz beschränkt ist. Diese verschiedenen Größen von Anwendungscode und Daten nehmen ständig in dem Maße zu, in dem Anwendungen immer fortschrittlicher und diverser werden.
  • MULTOS als Betriebssystem ist nicht durch die Anzahl von Anwendungen und zugehörigen Daten begrenzt, die es auf der Karte speichern kann. So können fünf Anwendungen in den verfügbaren Speicherplatz der Karte passen, der Kartenbenutzer hat weitaus größere Funktionalität, als wenn nur ein oder zwei Anwendungen auf der Karte gespeichert wären. Wenn der Speicher einer Karte voll ist, kann jedoch keine neue Anwendung auf die Karte geladen werden, es sei denn, dass eine andere, ausreichend große Anwendung samt ihres Codes und ihrer Daten gelöscht werden kann. Daher ist das Prüfen der Menge an verfügbarem Speicherplatz auf der Karte ein wichtiger Schritt. Wenn nicht genügend Raum vorhanden ist, wird eine Zuwenig-Platz-Antwort 713 an das Terminal zurückgegeben. Der Anwendungslader kann dann entscheiden, ob eine andere existierende Anwendung auf der Karte gelöscht werden soll, um für die neue Anwendung Platz zu machen. Das Löschen ist davon abhängig, ob der Kartenausgeber ein Anwendungslöschzertifikat von der CA hat. Wenn genügend Speicherplatz auf der Karte vorhanden ist, wird der Prozess mit Schritt 715 fortgesetzt.
  • Nachfolgend wird ein Beispiel für das Testen von Speicherplatz in Schritt 711 beschrieben. Die in diesem Beispiel verwendeten Zahlen sollen den Umfang der Erfindung in keiner Weise einschränken, sondern dienen nur zum Illustrieren von Speicherplatzanforderungen. Eine IC-Karte kann bei der Herstellung zunächst 16 KB an verfügbarem EEPROM haben. Die für das Betriebssystem notwendigen Betriebssystemdaten können 2 KB Speicherplatz einnehmen. Somit wären 14 KB übrig. Der Code einer Electronic-Purse-Anwendung wird im EEPROM gespeichert und nimmt 8 KB Speicherplatz ein. Die von der Purse-Anwendung benötigten Daten können zusätzliche 4 KB Speicherplatz im EEPROM einnehmen. Der Speicherplatz, der dann noch für andere Anwendungen frei wäre, betrüge somit 2 KB (16 KB – 2 KB – 8 KB – 4 KB = 2 KB). Wenn ein Kartenausgeber eine Kredit/Debit-Anwendung auf die Karte laden möchte, deren Code in diesem Beispiel eine Größe von 6 KB hat, dann passt die Anwendung nicht auf den Speicher der IC-Karte. Daher kann die Anwendung die neue Anwendung nicht laden, ohne zuvor die Purse-Anwendung von der Karte zu entfernen. Würde eine neue Kredit/Debit-Anwendung in den EEPROM der IC-Karte geladen, dann müsste sie Code oder Daten einer anderen Anwendung überschreiben. Es wird verhindert, dass der Anwendungslader dies tut.
  • 8 zeigt die Schritte, die beim Ermitteln durchgeführt werden, ob die Personalisierungsdaten der Karte unter den zulässigen Satz von Karten fallen, auf die die Anwendung bei der Ausgabe geladen werden können. Diese Schritte werden vorzugsweise während der Ausführung des "Erstellen"-Befehls durchgeführt. Diese Schritte können jedoch zu jedem beliebigen Zeitpunkt während des Ladens oder Löschens einer Anwendung durchgeführt werden. Wie zuvor beschrieben, wird die Karte durch Speichern von Daten personalisiert, die für die Karte spezifisch sind (MSM-Personalisierungsdaten), einschließlich: eine für eine individuelle Karte spezifische Karten-ID-Bezeichnung, wobei die Kartenausgebernummer den Ausgeber der Karte, den Produkttyp der Karte wie z.B. eine Gold- oder Platinkarte, sowie das Datum angibt, an dem die Karte personalisiert wurde. Diese Daten kennzeichnen die Karte eindeutig von allen anderen IC-Karten im System.
  • Demgemäß können Anwendungen selektiv auf individuellen Karten im IC-Kartensystem auf praktisch jeder Basis gespeichert werden, einschließlich der folgenden. Eine Anwendung kann selektiv auf Karten geladen werden, die eine oder mehrere spezifische Kartennummern enthalten. Eine Anwendung kann selektiv auf eine oder mehrere Karten geladen werden, die eine vorgegebene Kartenausgeber-ID enthalten. Ferner kann eine Anwendung nur auf einen vom jeweiligen Kartenausgeber vorgegebenen Produkttyp geladen werden, und/oder die Anwendung kann nur auf Karten geladen werden, die ein e) vorgegebene (s) Personalisierungsdatum oder -datumsserie tragen. Jedes Personalisierungsdatenelement erlaubt das selektive Laden einer Anwendung auf bestimmte Karten oder Gruppen von Karten und gewährleistet, dass Karten ohne die entsprechenden Genehmigungen die Anwendung nicht empfangen. Je nach Bedarf können außer den vier beschriebenen auch noch andere Personalisierungsdatentypen verwendet werden.
  • Die Auswahl von IC-Karten, auf die eine bestimmte Anwendung geladen werden kann, wird durch die Verwendung von "Anwendungsgenehmigungsdaten" ermöglicht, die der Anwendung zugewiesen werden und die wenigstens einen Satz von Karten repräsentieren, auf die die Anwendung geladen werden kann. Der Satz kann auf praktisch jedem Faktor basieren, wie z.B. unter anderem: Kartennummer, Kartenausgeber, Produkttypen und/oder Personalisierungsdaten. Die Personalisierungsdaten der einzelnen Karte identifizieren zwar typischerweise eine bestimmte Nummer, einen Kartenausgeber, einen Produkttyp und ein Datum, aber die Genehmigungsdaten der Anwendung können eine Kartennummer oder eine Blankogenehmigung, einen Kartenausgeber oder eine Blankogenehmigung sowie eine Reihe von Produkttypen und Datumsangaben anzeigen.
  • So könnte beispielsweise ein Vielflieger-Loyalitätsprogramm so konfiguriert werden, dass es auf Karten in verschiedenen Produktklassen geladen und verwendet werden kann, die zu einem Kartenausgeber gehören. Darüber hinaus können die Anwendungsgenehmigungsdaten anzeigen, dass das Loyalitätsprogramm auf Gold- und Platin-Produkttypen verwendet werden kann, wenn die Karte nach dem Mai 1998 ausgegeben wurde. Somit wird mit dem MSM-Genehmigungscheck ermittelt, ob die individuellen Personalisierungsdaten der Karte im zulässigen oder genehmigten Satz von Karten enthalten sind, wonach die Anwendung geladen werden kann. Wenn ja, dann wird die Anwendung geladen.
  • Um den Vergleichsprozess zu beschleunigen, kann eine alternative Ausgestaltung das Setzen von einer oder mehreren Genehmigungsdaten auf null beinhalten, was eine Blankogenehmigung für diese Daten bedeutet. Wenn z.B. für den "Kartennummer"-Eintrag in den Anwendungsgenehmigungsdaten eine Null oder ein anderer Wert, der anzeigt, dass alle Karten unabhängig von ihrer Nummer geladen werden dürfen, gesetzt wird, dann weiß das System, dass keine Karte auf der Basis ihrer Kartennummer zurückgewiesen wird. Ebenso bestehen, wenn in den Anwendungsgenehmigungsdaten "Issuer ID" eine Null gesetzt wird, alle Karten den "Ausgeber"-Testvergleich. Dieses Merkmal bietet höhere Flexibilität beim Wählen von Gruppen von Karten. Der Null-Indikator könnte auch für andere Genehmigungsdaten nach Bedarf verwendet werden.
  • Gemäß 8 werden die einzelnen Genehmigungsdaten in der gezeigten Reihenfolge geprüft, dies könnte aber auch in einer anderen Reihenfolge geschehen, da, wenn eine der Genehmigungen erfolglos verläuft, verhindert wird, dass die Anwendung auf die geprüfte IC-Karte geladen wird. Die Genehmigungen werden vorzugsweise in der gezeigten Reihenfolge geprüft. In Schritt 801 wird geprüft, ob der Anwendungsgenehmigungs-Produkttypensatz die im Speicher der Karte gespeicherte Produkttypennummer der Karte umfasst. Jedem Kartenprodukttyp wird vom Systembetreiber eine Nummer zugewiesen. Die Produkttypen werden für jeden Kartenausgeber vorgegeben, weil verschiedene Kartenausgeber verschiedene Produkttypen haben werden. Die Karten werden selektiv geprüft, um zu gewährleisten, dass Anwendungen nur auf Karten des autorisierten Produkttyps geladen werden. Der Anwendungsgenehmigungs-Produkttypensatz kann eine Länge von 32 Byte haben, die mehrere akzeptable Produkttypen beinhalten, oder er kann eine andere Länge haben, je nach den Erfordernissen des Systems. Unter Verwendung der Datenstruktur 505A als Beispiel, würde das Betriebssystem Bit Nr. 2 in der 256-Bit-Array (32 Byte × 8 Bit pro Byte) prüfen, die von der 32 Byte langen Anwendungsgenehmigungs-Datenstruktur resultieren. Wenn der Genehmigungscheck erfolglos verläuft, gibt die Karte in Schritt 803 eine Störungsmeldung an das Terminal. Wenn der Produkttypencheck erfolgreich verläuft (wenn Bit Nr. 2 z.B. den Wert 1 hat), dann wird der Prozess mit Schritt 805 fortgesetzt.
  • In Schritt 805 wird geprüft, ob der in den Anwendungsgenehmigungen zulässige Kartenausgebernummernsatz die im Speicher der Karte gespeicherte Ausgebernummer der Karte enthält oder ob der Anwendungsgenehmigungs-Ausgeberdatenwert null ist (was bedeutet, dass alle Karten diesen individuellen Genehmigungscheck bestehen). Jedem Kartenausgeber wird vom Systembetreiber eine Nummer zugewiesen, und die Karten werden selektiv geprüft, um zu gewährleisten, dass Anwendungen nur auf Karten geladen werden, die von autorisierten Kartenausgebern verteilt wurden. Der Anwendungsgenehmigungs-Kartenausgebernummernsatz kann eine Länge von 4 Byte haben, wenn ein Ausgeber designiert ist, oder er kann länger sein, je nach den Erfordernissen des Systems. Wenn der Ausgebercheck erfolglos verläuft, gibt die Karte eine Störungsmeldung in Schritt 807 an das Terminal. Verläuft der Check erfolgreich, dann wird der Prozess mit Schritt 809 fortgesetzt.
  • In Schritt 809 wird geprüft, ob der Anwendungsgenehmigungs-Datumssatz das im Speicher der Karte gespeicherte Datendatum der Karte umfasst. Das Datum, an dem die IC-Karte personalisiert wurde, wird gespeichert und beinhaltet vorzugsweise wenigstens den Monat und das Jahr. Die Karten werden selektiv geprüft, um zu gewährleisten, dass Anwendungen nur auf Karten mit dem autorisierten Personalisierungsdatum geladen werden. Der Anwendungsgenehmigungs-Datumssatz kann eine Länge von 32 Byte haben, die mehrere Daten beinhalten, oder kann eine andere Länge haben, je nach den Erfordernissen des Systems. Wenn der Datumsgenehmigungscheck erfolglos verläuft, gibt die Karte in Schritt 811 eine Störungsmeldung an das Terminal. Wenn der Datumscheck erfolgreich verläuft, wird der Prozess mit Schritt 813 fortgesetzt.
  • In Schritt 813 wird geprüft, ob der in den Anwendungsgenehmigungen zulässige Kartennummernsatz die im Kartenspeicher gespeicherte ID-Nummer der Karte umfasst oder ob die in den Anwendungsgenehmigungen zulässigen Kartennummerndaten null sind (was anzeigt, dass alle Karten diesen individuellen Genehmigungscheck bestehen). Das Testen der Genehmigungen erfolgt an der Karte während der Ausführung der Öffnungs-, Lade- und Erstellungsbefehle. Der Anwendungsgenehmigungs-Kartennummerndatensatz kann eine Länge von 8 Byte haben, wenn eine Nummer designiert ist, oder er kann länger sein, je nach den Erfordernissen des Systems. Wenn der Kartennummerncheck erfolglos verläuft, gibt die Karte eine Störungsmeldung in Schritt 815 an das Terminal. Verläuft der Check erfolgreich, dann wird der Prozess mit Schritt 817 fortgesetzt.
  • Zusammenfassung des IC-Kartensystem-Prozesses
  • 9 zeigt die Komponenten der Systemarchitektur für den Karteninitialisierungsprozess einer IC-Karte in einem sicheren Multiapplikations-IC-Kartensystem. Das System umfasst einen Kartenhersteller 102, ein Personalisierungsbüro 104, einen Anwendungslader 106, die initialisierte IC-Karte 107, den Kartenbenutzer 109 und die Zertifizierungsautorität 111 für das gesamte sichere Multiapplikationssystem. Der Kartenbenutzer 131 ist die Person oder Entität, die die gespeicherten Anwendungen auf der IC-Karte verwenden wird. So bevorzugt beispielsweise ein Kartenbenutzer möglicherweise eine IC-Karte, die sowohl eine Electronic-Purse-Anwendung mit elektronischem Bargeld (z.B. MONDEXTM) als auch eine Kredit/Debit-Anwendung (z.B. die EMV-Anwendung MasterCard®) auf derselben IC-Karte hat. Es folgt eine Beschreibung einer Art und Weise, in der der Kartenbenutzer eine IC-Karte erhalten würde, die die gewünschten Anwendungen auf sichere Weise beinhaltet.
  • Der Kartenbenutzer würde einen Kartenausgeber 113 wie z.B. eine Bank kontaktieren, die IC-Karten ausgibt, und eine IC-Karte anfordern, auf denen die beiden Anwendungen im Speicher einer einzelnen IC-Karte resident sind. Der integrierte Schaltungschip für die IC-Karte würde vom Hersteller 102 hergestellt und in der Form eines IC-Chips auf einer Karte zum Kartenausgeber 113 (oder einer für diesen agierende Entität) gesendet. Wie oben erörtert (siehe Schritte 201209), werden die Daten während des Herstellungsprozesses vom Hersteller 102 über einen Datenkanal zur Karte 107 übertragen 115 und im Speicher der IC-Karte 107 gespeichert. (In dieser Figur beschriebene Datenkanäle könnten eine Telefonleitung, eine Internet-Verbindung oder ein beliebiges anderes Übertragungsmedium sein.) Die Zertifizierungsautorität 111, die Verschlüsselungs/Entschlüsselungs-Keys für das gesamte System führt, überträgt (117) Sicherheitsdaten (d.h. den globalen Public-Key) zum Hersteller über einen Datenkanal, der vom Hersteller zusammen mit anderen Daten auf die Karte gesetzt wird, wie z.B. den Kartenfreigabe-Key und die Kartenkennung. Das Multiapplikationsbetriebssystem der Karte wird vom Hersteller ebenfalls im ROM gespeichert und auf die Karte gesetzt. Nach der anfänglichen Verarbeitung der Karten werden diese zum Kartenausgeber zur Personalisierung und zum Laden der Anwendung gesendet.
  • Der Kartenausgeber 113 führt zwei separate Funktionen aus oder lässt sie von einer anderen Entität ausführen. Zunächst personalisiert das Personalisierungsbüro 104 die IC-Karte 107 auf die oben beschriebenen Weisen, und dann lädt der Anwendungslader 106 die Anwendung unter der Voraussetzung, dass die Karte qualifiziert ist, wie oben beschrieben wurde.
  • Was die Personalisierung betrifft, so wird ein individualisierter Karten-Key-Set von der CA generiert und auf der Karte gespeichert (siehe 3). Der Karte wird ferner eine spezielle Identität unter Verwendung von MSM-Personalisierung (siehe 3, Schritt 307, und 5) gegeben. Diese enthält eine Karten-ID-Nummer, eine Ausgeber-ID-Nummer, die den Kartenausgeber identifiziert, der die Karte verarbeitet hat, eine Kartenprodukttypennummer, die vom Kartenausgeber vorgegeben wird, und das Datum, an dem die Personalisierung stattfand. Nach dem Personalisieren der Karte müssen Anwendungen auf die Karte geladen werden, damit die Karte die gewünschten Funktionen ausführen kann.
  • Der Anwendungslader 106, der denselben Terminal oder Datenkanal verwenden könnte wie das Personalisierungsbüro 104, muss zunächst ermittelt haben, ob die Karte zum Akzeptieren der Anwendung qualifiziert ist. Dieser Vergleich fand auf der Karte selbst (von dessen Betriebssystem angewiesen) unter Verwendung der Genehmigungsinformationen statt. Die Karte lädt somit, wenn sie qualifiziert ist, selektiv die Anwendung auf sich selbst auf der Basis der Identität der Karte und der Anweisungen des Kartenausgebers. Der Anwendungslader kommuniziert (119) mit der IC-Karte über einen Terminal oder über einen anderen Datenkanal. Nach dem Laden der Anwendungen auf die Karte wird diese dem Kartenbenutzer 109 für den Gebrauch zugestellt.
  • Das hierin beschriebene sichere Multiapplikations-IC-Kartensystem ermöglicht das selektive Laden und Löschen von Anwendungen zu jedem beliebigen Zeitpunkt im Lebenszyklus der IC-Karte nach deren Personalisierung. Somit könnte ein Kartenbenutzer auch eine personalisierte Karte ohne Anwendungen empfangen und dann eine gewünschte Anwendung über eine allgemeine Übertragungsleitung wie z.B. eine Telefonleitung oder eine Internet-Verbindung wählen.
  • 10 ist ein Systemdiagramm von Entitäten, die an der Verwendung einer IC-Karte nach deren Personalisierung beteiligt sind. Das System beinhaltet eine IC-Karte 151, einen Terminal 153 und eine Anwendungslade-/-löschentität 155, die Zertifizierungsautorität 157, einen Kartenausgeber 171 und andere IC-Karten 159 in dem System. Die Pfeile zeigen Kommunikationen zwischen den jeweiligen Entitäten an. Die CA 157 erleichtert das Laden und Löschen von Anwendungen. Nach dem Bereitstellen der MSM-Genehmigungsdaten und des kartenspezifischen Key-Set zur Karte während der Kartenfreigaben lässt es die CA zu, dass Anwendungen später geladen und gelöscht werden, vorzugsweise durch Ausgeben eines Anwendungszertifikats. Anwendungsspezifische Schlüssel werden für die Authentifizierung von Kommunikationen zwischen einer Karte und einem Terminal benötigt. Die IC-Karte 151 kann auch mit anderen IC-Karten 159 kommunizieren. Der Kartenausgeber 171 ist an allen Entscheidungen des Ladens und Löschens von Anwendungen für eine Karte beteiligt, die er ausgegeben hat. Alle Kommunikationen werden authentifiziert und sicher in dem System übertragen.
  • So verwendet beispielsweise die IC-Karte 151 das folgende Verfahren, um eine neue Anwendung auf die Karte zu laden. Die IC-Karte 101 ist mit dem Terminal 153 verbunden, und der Terminal fordert das Laden einer Anwendung an. Der Terminal 153 kontaktiert die Anwendungslade-/-löschentität 155, die infolge dessen und in Verbindung mit dem Kartenausgeber 171 Anwendungscode, Daten und Anwendungsgenehmigungsdaten (zusammen mit eventuellen weiteren notwendigen Daten) zum Terminal 153 sendet. Der Terminal 153 fragt dann die Karte 151 ab, um zu gewährleisten, dass sie die richtige Karte ist, auf die die Anwendung geladen werden darf. Wenn die IC-Karte die oben beschriebenen Checks besteht, wird die Anwendung auf die Karte 151 geladen. Die CA 157 gibt das Anwendungslade- oder – löschzertifikat aus, das es ermöglicht, dass die Anwendung auf die Karte geladen oder von dieser gelöscht wird. Dieses Beispiel zeigt eine Art und Weise des Ladens der Anwendung, aber es sind auch Variationen nach denselben Prinzipien möglich, wie beispielsweise ein direktes Laden der Anwendung bei der Anwendungslade-/-löschentität 155.
  • Die obigen Ausführungen illustrieren lediglich die Grundsätze der Erfindung. Es ist klar, dass Fachpersonen in der Lage sein werden, zahlreiche Systeme und Methoden zu erdenken, die, auch wenn sie nicht ausdrücklich hier gezeigt oder beschrieben wurden, die Grundsätze der Erfindung ausgestalten und somit in den Umfang der Erfindung gemäß Definition in den beiliegenden Ansprüchen fallen.
  • Es ist beispielsweise verständlich, dass die MSM-Personalisierungs- und Genehmigungsdaten nicht nur zum Laden von Anwendungen auf IC-Karten, sondern auch zum Löschen von Anwendungen von den genannten Karten verwendet werden können. Dieselben Checks, die MSM-Genehmigungen und das Laden von Anwendungen involvieren, werden zum Löschen von Anwendungen durchgeführt. Ein Löschzertifikat von der CA, die das Löschen einer Anwendung autorisiert, kontrolliert, von welchen Karten die Anwendung gelöscht werden darf. Dies erfolgt über die Personalisierungsdaten, die auf jeder IC-Karte gespeichert sind, und den hierin beschriebenen Genehmigungscheck.
  • Ferner können die Daten auch auf Personal Computer oder andere Geräte angewendet werden, auf die Anwendungen geladen werden können, die nicht physikalisch auf Karten geladen werden. Außerdem können die Genehmigungsdaten der Anwendung tatsächlich Daten beinhalten, die für einen Satz oder für Sätze von Karten repräsentativ sind, die ausgeschlossen anstatt eingeschlossen werden sollen, d.h. Karten, auf die die Anwendung nicht geladen werden kann.

Claims (25)

  1. IC-Kartensystem, umfassend wenigstens eine IC-Karte, eine auf die genannte Karte zu ladende Anwendung und Mittel zum Ermitteln, ob die genannte Karte qualifiziert ist, das Laden der genannten Anwendung auf die genannte Karte zu akzeptieren, wobei die genannte IC-Karte Kartenpersonalisierungsdaten enthält und der genannten Anwendung Anwendungsgenehmigungsdaten zugewiesen werden, die wenigstens einen Satz von IC-Karten repräsentieren, auf die die genannte Anwendung geladen werden kann, und wobei das genannte Ermittlungsmittel die genannten Kartenpersonalisierungsdaten mit den genannten Anwendungsgenehmigungsdaten vergleicht, und wobei die genannte Anwendung in Abhängigkeit von dem Ergebnis des genannten Vergleichs auf die genannte IC-Karte geladen wird.
  2. IC-Kartensystem nach Anspruch 1, wobei die genannten Personalisierungsdaten Daten umfassen, die für eine eindeutige Kartenidentifikationsbezeichnung repräsentativ sind.
  3. IC-Kartensystem nach Anspruch 1 oder 2, wobei die genannten Personalisierungsdaten Daten umfassen, die für einen Kartenausgeber repräsentativ sind.
  4. IC-Kartensystem nach einem der Ansprüche 1 bis 3, wobei die genannten Personalisierungsdaten Daten umfassen, die für eine Produktklasse repräsentativ sind.
  5. IC-Kartensystem nach einem der Ansprüche 1 bis 4, wobei die genannten Personalisierungsdaten Daten umfassen, die für ein Datum repräsentativ sind.
  6. IC-Kartensystem nach einem der Ansprüche 1 bis 5, wobei der genannte Genehmigungsdatensatz einen oder mehrere Ausgeber von IC-Karten beinhaltet.
  7. IC-Kartensystem nach einem der Ansprüche 1 bis 6, wobei der genannte Genehmigungsdatensatz eine oder mehrere Produktklassen beinhaltet.
  8. IC-Kartensystem nach einem der Ansprüche 1 bis 7, wobei der genannte Genehmigungsdatensatz einen mehrere Daten umfassenden Datumsbereich beinhaltet.
  9. IC-Kartensystem nach einem der Ansprüche 1 bis 8, wobei der genannte Genehmigungsdatensatz alle IC-Karten beinhaltet, die versuchen, die Anwendung zu laden.
  10. IC-Kartensystem nach einem der Ansprüche 1 bis 9, ferner umfassend Mittel, um das Laden der genannten Anwendung auf die genannte Karte freizugeben.
  11. IC-Kartensystem nach Anspruch 10, wobei das genannte Freigabemittel Mittel zum Speichern von Personalisierungsdaten auf der genannten Karte umfasst.
  12. IC-Kartensystem nach Anspruch 11, wobei das genannte Freigabemittel Mittel zum Setzen eines Enablement-Bits umfasst.
  13. IC-Kartensystem nach Anspruch 12, ferner umfassend Mittel zum Prüfen des Enablement-Bits vor dem Freigeben der genannten IC-Karte, um zu ermitteln, ob die genannte Karte bereits freigegeben ist oder nicht.
  14. IC-Kartensystem nach Anspruch 13, ferner umfassend Mittel zum Prüfen des Enablement-Bits vor dem Freigeben, [sic] die genannte Karte bereits freigegeben ist.
  15. Verfahren zum Laden einer Anwendung auf eine IC-Karte, umfassend den Schritt des Ermittelns, ob die genannte IC-Karte qualifiziert ist, das Laden der genannten Anwendung auf die genannte Karte zu akzeptieren, wobei der genannte Ermittlungsschritt ferner die folgenden Schritte umfasst: Laden von Personalisierungsdaten auf die genannte Karte; Zuweisen von Genehmigungsdaten zu der genannten Anwendung, die wenigstens einen Satz von IC-Karten repräsentieren, auf die die genannte Anwendung geladen werden kann; Vergleichen der genannten Personalisierungsdaten mit den genannten Genehmigungsdaten; und Laden der genannten Anwendung auf die genannte bereitgestellte IC-Karte in Abhängigkeit von dem Ergebnis des Vergleichs.
  16. Verfahren nach Anspruch 15, ferner umfassend den ersten Schritt des Freigebens der genannten Karte, auf die die genannte Anwendung geladen werden soll.
  17. Verfahren nach Anspruch 16, wobei der genannte Freigabeschritt den Schritt des Speicherns von Personalisierungsdaten auf der genannten Karte beinhaltet.
  18. Verfahren nach Anspruch 17, wobei der genannte Freigabeschritt den Schritt des Setzens eines Enablement-Bits beinhaltet, das anzeigt, dass die Karte freigegeben ist.
  19. Verfahren nach Anspruch 18, wobei vor dem genannten Freigabeschritt ein Prüfschritt durchgeführt wird, um zu ermitteln, ob die genannte Karte freigegeben ist.
  20. Verfahren zum Löschen einer Anwendung von einer IC-Karte, umfassend den Schritt des Ermittelns, ob die genannte IC-Karte zum Löschen der genannten Anwendung qualifiziert ist, auf der Basis von Genehmigungsdaten, die mit der genannten Anwendung assoziiert sind, wobei der genannte Ermittlungsschritt die folgenden Schritte beinhaltet: Laden von Personalisierungsdaten auf die genannte Karte; Zuweisen von Genehmigungsdaten zu der genannten Anwendung, die wenigstens einen Satz von IC-Karten repräsentieren, von denen die genannte Anwendung gelöscht werden kann; Vergleichen der genannten Personalisierungsdaten mit den genannten Genehmigungsdaten; und Löschen der genannten Anwendung von der genannten IC-Karte, vorausgesetzt, dass die genannten Personalisierungsdaten in den genannten Satz von Karten fallen, von denen die genannte Anwendung gelöscht werden kann.
  21. Verfahren nach Anspruch 15 oder 20, wobei die genannten Personalisierungsdaten Daten umfassen, die für eine Kartenidentifikationsbezeichnung repräsentativ sind.
  22. Verfahren nach Anspruch 15, 20 oder 21, wobei die genannten Personalisierungsdaten Daten umfassen, die für einen Kartenausgeber repräsentativ sind.
  23. Verfahren nach einem der Ansprüche 15 oder 20 bis 22, wobei die genannten Personalisierungsdaten Daten umfassen, die für eine Produktklasse repräsentativ sind.
  24. Verfahren nach einem der Ansprüche 15 oder 20 bis 23, wobei die genannten Personalisierungsdaten ferner Daten umfassen, die für ein Datum repräsentativ sind.
  25. IC-Kartensystem, umfassend wenigstens eine IC-Karte, eine von der genannten Karte zu löschende Anwendung und Mittel zum Ermitteln, ob die genannte Karte qualifiziert ist, die genannte Anwendung von der genannten Karte zu löschen, wobei die genannte IC-Karte Kartenpersonalisierungsdaten enthält und der genannten Anwendung ein Anwendungsgenehmigungsdatensatz zugewiesen wird, der wenigstens einen Satz von IC-Karten repräsentiert, von denen die genannte Anwendung gelöscht werden kann, wobei das genannte Ermittlungsmittel die genannten Kartenpersonalisierungsdaten mit den genannten Anwendungsgenehmigungsdaten vergleicht, und ob die genannte Anwendung von der genannten IC-Karte gelöscht wird, hängt von dem Ergebnis des genannten Vergleichs ab, so dass in dem Fall, dass die Kartenpersonalisierungsdaten mit dem genannten Genehmigungsdatensatz übereinstimmen, die Karte qualifiziert ist und die Anwendung gelöscht wird.
DE69823649T 1997-02-21 1998-02-19 Multi-anwendungs ic-kartensystem Expired - Lifetime DE69823649T2 (de)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
GBGB9703591.9A GB9703591D0 (en) 1997-02-21 1997-02-21 Multiple application computer system
GB9703591 1997-02-21
US4651497P 1997-05-15 1997-05-15
US46514P 1997-05-15
US09/023,057 US6575372B1 (en) 1997-02-21 1998-02-12 Secure multi-application IC card system having selective loading and deleting capability
US23057 1998-02-12
PCT/GB1998/000531 WO1998037526A1 (en) 1997-02-21 1998-02-19 Multi-application ic card system

Publications (2)

Publication Number Publication Date
DE69823649D1 DE69823649D1 (de) 2004-06-09
DE69823649T2 true DE69823649T2 (de) 2005-06-16

Family

ID=27268738

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69823649T Expired - Lifetime DE69823649T2 (de) 1997-02-21 1998-02-19 Multi-anwendungs ic-kartensystem

Country Status (8)

Country Link
US (2) US6575372B1 (de)
EP (1) EP0963580B1 (de)
JP (2) JP2001513231A (de)
AR (1) AR011449A1 (de)
AU (1) AU736325B2 (de)
CA (1) CA2281576C (de)
DE (1) DE69823649T2 (de)
WO (1) WO1998037526A1 (de)

Families Citing this family (93)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DK0757336T3 (da) 1995-08-04 2001-03-19 Belle Gate Invest B V Data-Udvekslings-System omfattende bærbare databehandlingsenheder
US6317832B1 (en) * 1997-02-21 2001-11-13 Mondex International Limited Secure multiple application card system and process
FR2775375A1 (fr) * 1998-02-23 1999-08-27 Solaic Sa Chargement de programmes informatiques en blocs
US7636694B1 (en) * 1998-09-18 2009-12-22 Mastercard International Incorporated Apparatus and method for generating an electronic-commerce personal identification number cryptographically related to an ATM personal identification number
CA2345794A1 (en) 1998-09-29 2000-04-06 Sun Microsystems, Inc. Superposition of data over voice
US6633984B2 (en) 1999-01-22 2003-10-14 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using an entry point object
US6581206B2 (en) * 1999-11-12 2003-06-17 Sun Microsystems, Inc. Computer program language subset validation
US7093122B1 (en) 1999-01-22 2006-08-15 Sun Microsystems, Inc. Techniques for permitting access across a context barrier in a small footprint device using shared object interfaces
US6922835B1 (en) 1999-01-22 2005-07-26 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges
ATE475139T1 (de) 1999-06-10 2010-08-15 Belle Gate Invest B V Vorrichtung zum speichern unterschiedlicher versionen von datensätzen in getrennten datenbereichen und verfahren zur aktualisierung eines datensatzes in einem speicher
US7716080B2 (en) * 1999-06-23 2010-05-11 Signature Systems, Llc Method and system for using multi-function cards for storing, managing and aggregating reward points
DE19929164A1 (de) * 1999-06-25 2001-01-11 Giesecke & Devrient Gmbh Verfahren zum Betreiben eines zur Ausführung von nachladbaren Funktionsprogrammen ausgebildeten Datenträgers
FR2797968B1 (fr) * 1999-08-24 2001-10-12 Schlumberger Systems & Service Dispositif et procede de chargement de commandes dans une carte a circuit integre
DE19947986A1 (de) * 1999-10-05 2001-04-12 Ibm System und Verfahren zum Herunterladen von Anwendungsteilen auf eine Chipkarte
GB9925227D0 (en) 1999-10-25 1999-12-22 Internet Limited Data storage retrieval and access system
US6876991B1 (en) 1999-11-08 2005-04-05 Collaborative Decision Platforms, Llc. System, method and computer program product for a collaborative decision platform
US7158993B1 (en) 1999-11-12 2007-01-02 Sun Microsystems, Inc. API representation enabling submerged hierarchy
JP4398619B2 (ja) * 1999-11-30 2010-01-13 株式会社東芝 Icカードとこのicカードにおける揮発性メモリの管理方法
DE19958559A1 (de) * 1999-12-04 2001-06-07 Orga Kartensysteme Gmbh Verfahren zur Initialisierung und/oder Personalisierung von Chipkarten sowie eine entsprechende Einrichtung
AU1586500A (en) 1999-12-06 2001-06-12 Sun Microsystems, Inc. Computer arrangement using non-refreshed dram
DE69932643T2 (de) 1999-12-07 2007-04-05 Sun Microsystems, Inc., Santa Clara Identifizierungsvorrichtung mit gesichertem foto sowie mittel und verfahren zum authentifizieren dieser identifizierungsvorrichtung
US7493497B1 (en) * 2000-02-03 2009-02-17 Integrated Information Solutions Digital identity device
WO2001061659A1 (en) * 2000-02-16 2001-08-23 Mastercard International Incorporated System and method for conducting electronic commerce with a remote wallet server
US6651186B1 (en) 2000-04-28 2003-11-18 Sun Microsystems, Inc. Remote incremental program verification using API definitions
US6986132B1 (en) 2000-04-28 2006-01-10 Sun Microsytems, Inc. Remote incremental program binary compatibility verification using API definitions
US6883163B1 (en) 2000-04-28 2005-04-19 Sun Microsystems, Inc. Populating resource-constrained devices with content verified using API definitions
US20020040438A1 (en) * 2000-05-05 2002-04-04 Fisher David Landis Method to securely load and manage multiple applications on a conventional file system smart card
US6981245B1 (en) 2000-09-14 2005-12-27 Sun Microsystems, Inc. Populating binary compatible resource-constrained devices with content verified using API definitions
JP2002117376A (ja) * 2000-10-04 2002-04-19 Fujitsu Ltd 著作権情報照会装置
US20020044655A1 (en) * 2000-10-18 2002-04-18 Applebaum David C. Information appliance and use of same in distributed productivity environments
US7398225B2 (en) * 2001-03-29 2008-07-08 American Express Travel Related Services Company, Inc. System and method for networked loyalty program
US20030135471A1 (en) * 2000-12-22 2003-07-17 Jean-Luc Jaquier Match control method
US20020087662A1 (en) * 2000-12-29 2002-07-04 Stephane Bouet System and method for selective updating of media files
JP2002305250A (ja) * 2001-02-02 2002-10-18 Matsushita Electric Ind Co Ltd 半導体集積回路および半導体集積回路に関するビジネス方法
WO2003015021A1 (en) * 2001-08-03 2003-02-20 Dai Nippon Printing Co., Ltd. Multi-application ic card
US7275260B2 (en) 2001-10-29 2007-09-25 Sun Microsystems, Inc. Enhanced privacy protection in identification in a data communications network
US7085840B2 (en) 2001-10-29 2006-08-01 Sun Microsystems, Inc. Enhanced quality of identification in a data communications network
US7496751B2 (en) 2001-10-29 2009-02-24 Sun Microsystems, Inc. Privacy and identification in a data communications network
US7243853B1 (en) 2001-12-04 2007-07-17 Visa U.S.A. Inc. Method and system for facilitating memory and application management on a secured token
JP3727907B2 (ja) * 2002-06-28 2005-12-21 株式会社東芝 携帯可能電子媒体の発行システム及び発行方法と携帯可能電子媒体
NO20023194D0 (no) * 2002-07-01 2002-07-01 Sospita As Fremgangsmåte og apparatur for eksekvering av programvareapplikasjoner i et multiprosessormiljö
ATE318034T1 (de) * 2002-09-16 2006-03-15 Gesichertes herstellungsverfahren
CN1682488B (zh) 2002-09-16 2010-11-03 艾利森电话股份有限公司 在电子装置上装载数据
US20040139021A1 (en) 2002-10-07 2004-07-15 Visa International Service Association Method and system for facilitating data access and management on a secure token
JP4557969B2 (ja) * 2003-03-31 2010-10-06 エヌエックスピー ビー ヴィ スマートカードに関する変更権を付与する方法
US20040249710A1 (en) * 2003-05-16 2004-12-09 David Smith Methods and apparatus for implementing loyalty programs using portable electronic data storage devices
EP1492061A1 (de) * 2003-06-25 2004-12-29 Nagracard S.A. Verfahren zur Zuweisung von gesicherten Ressourcen in einem Sicherheitsmodul
JP4496771B2 (ja) * 2003-12-19 2010-07-07 株式会社日立製作所 Icカードシステム及びアプリケーション搭載方法
US7165727B2 (en) 2004-02-24 2007-01-23 Sun Microsystems, Inc. Method and apparatus for installing an application onto a smart card
US7191288B2 (en) 2004-02-24 2007-03-13 Sun Microsystems, Inc. Method and apparatus for providing an application on a smart card
US7140549B2 (en) 2004-02-24 2006-11-28 Sun Microsystems, Inc. Method and apparatus for selecting a desired application on a smart card
US7374099B2 (en) 2004-02-24 2008-05-20 Sun Microsystems, Inc. Method and apparatus for processing an application identifier from a smart card
WO2006015617A1 (en) * 2004-08-13 2006-02-16 Telecom Italia S.P.A. Method of and system for secure management of data stored on electronic tags
DE102004040462A1 (de) * 2004-08-20 2006-02-23 Giesecke & Devrient Gmbh Durch Authentisierung gesicherter Zugriff auf einen Datenträger mit Massenspeicher und Chip
KR100471007B1 (ko) * 2004-08-27 2005-03-14 케이비 테크놀러지 (주) 시큐리티 도메인의 독립성을 보장하기 위한 스마트 카드와그 방법
FR2875949A1 (fr) * 2004-09-28 2006-03-31 St Microelectronics Sa Verrouillage d'un circuit integre
JP4794269B2 (ja) * 2004-11-08 2011-10-19 パナソニック株式会社 セキュアデバイスおよび中継端末
WO2006056669A1 (fr) * 2004-11-25 2006-06-01 France Telecom Procede de securisation d'un terminal de telecommunication connecte a un module d'identification d'un utilisateur du terminal
US8083133B2 (en) * 2005-05-04 2011-12-27 The Western Union Company System and method for accounting for activation of stored value cards
FR2888976B1 (fr) * 2005-07-25 2007-10-12 Oberthur Card Syst Sa Entite electronique avec moyens de communication par contact et a distance
US8622292B2 (en) * 2005-09-29 2014-01-07 Jeffrey Bart Katz Reservation-based preauthorization payment system
US9004355B2 (en) * 2005-09-29 2015-04-14 Cardfree Inc Secure system and method to pay for a service provided at a reservation
DE102005052888A1 (de) * 2005-11-07 2007-05-16 Giesecke & Devrient Gmbh Verfahren zur Personalisierung von tragbaren Datenträgern
FR2896323B1 (fr) * 2006-01-16 2008-10-31 Oberthur Card Syst Sa Procede de generation d'un profil pour la personnalisation d'une entite electronique et systeme associe
US7689250B2 (en) * 2006-02-01 2010-03-30 General Instrument Corporation Method, apparatus and system for partitioning and bundling access to network services and applications
CA2642363C (en) * 2006-02-28 2016-02-02 Certicom Corp. System and method for product registration
EP2016535A4 (de) * 2006-04-19 2010-06-23 Stepnexus Holdings Verfahren und systeme zum laden einer ic-card-anwendung
US7967194B2 (en) * 2006-05-17 2011-06-28 Mastercard International Incorporated Centralized issuer hub for transaction card customization
US20130139230A1 (en) * 2006-09-24 2013-05-30 Rfcyber Corporation Trusted Service Management Process
US8386349B2 (en) 2007-02-28 2013-02-26 Visa U.S.A. Inc. Verification of a portable consumer device in an offline environment
US8523069B2 (en) * 2006-09-28 2013-09-03 Visa U.S.A. Inc. Mobile transit fare payment
US8738485B2 (en) * 2007-12-28 2014-05-27 Visa U.S.A. Inc. Contactless prepaid product for transit fare collection
US8346639B2 (en) 2007-02-28 2013-01-01 Visa U.S.A. Inc. Authentication of a data card using a transit verification value
US20080203170A1 (en) * 2007-02-28 2008-08-28 Visa U.S.A. Inc. Fraud prevention for transit fare collection
US7527208B2 (en) 2006-12-04 2009-05-05 Visa U.S.A. Inc. Bank issued contactless payment card used in transit fare collection
US8118223B2 (en) 2006-09-28 2012-02-21 Visa U.S.A. Inc. Smart sign mobile transit fare payment
US20080208681A1 (en) * 2006-09-28 2008-08-28 Ayman Hammad Payment using a mobile device
JP4554581B2 (ja) * 2006-09-29 2010-09-29 株式会社野村総合研究所 ジョブ管理装置、システムおよびプログラム
US11049372B2 (en) 2007-06-13 2021-06-29 CPI Card Group—Colorado, Inc. System and methods for generating user interfaces for custom card design session
US7992774B2 (en) * 2007-06-13 2011-08-09 Image Asset Management Inc. System and methods for creating a user customized bank card
HU230695B1 (hu) * 2007-10-20 2017-09-28 Andrá Vilmos Eljárás egyedi hozzáférésű információtartalom kommunikációs eszköz biztonságos tároló részegységében történő elhelyezésének előkészítésére, valamint elhelyezésére
US8789753B1 (en) 2008-03-28 2014-07-29 Oracle International Corporation Method for using and maintaining user data stored on a smart card
US8152074B1 (en) 2008-03-28 2012-04-10 Oracle America, Inc. Method for preparing by a smart card issuer an anonymous smart card and resulting structure
US8225386B1 (en) * 2008-03-28 2012-07-17 Oracle America, Inc. Personalizing an anonymous multi-application smart card by an end-user
US8220718B2 (en) * 2008-09-15 2012-07-17 Vasco Data Security, Inc. Method for post-manufacturing data transfer to and from a sealed device
WO2010033228A1 (en) * 2008-09-18 2010-03-25 Secure Services Corp. System and methods for biometric identification on smart devices using multos
US9230259B1 (en) 2009-03-20 2016-01-05 Jpmorgan Chase Bank, N.A. Systems and methods for mobile ordering and payment
KR100961274B1 (ko) * 2009-12-07 2010-06-07 조정식 통합 아이씨카드
EP2641208B1 (de) 2010-11-19 2020-04-29 Nagravision S.A. Verfahren für den nachweis von geklonter software
CN103257853B (zh) * 2012-02-17 2016-06-29 上海复旦微电子集团股份有限公司 一种具有多应用cos的cpu卡的合成应用实现方法
FR3019672B1 (fr) * 2014-04-02 2018-06-22 Idemia France Procede de realisation d'un dispositif de securite
US11037123B2 (en) 2019-01-07 2021-06-15 Visa International Service Association System, method, and computer program product for customizing functions of a point-of-sale terminal
US11610188B2 (en) 2020-04-15 2023-03-21 Capital One Services, Llc Systems and methods for ATM integrated card fabricator

Family Cites Families (171)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4218582A (en) 1977-10-06 1980-08-19 The Board Of Trustees Of The Leland Stanford Junior University Public key cryptographic apparatus and method
US4405829A (en) 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
US4259720A (en) 1978-01-09 1981-03-31 Interbank Card Association Security system for electronic funds transfer system
US4408203A (en) 1978-01-09 1983-10-04 Mastercard International, Inc. Security system for electronic funds transfer system
US4214230A (en) 1978-01-19 1980-07-22 Rolf Blom Personal identification system
FR2455320B1 (fr) 1979-04-25 1986-01-24 Cii Honeywell Bull Dispositif de recyclage de supports d'enregistrement identifiables a l'aide de donnees d'identification et composes de memoires monolithiques non volatiles effacables
US4321672A (en) 1979-11-26 1982-03-23 Braun Edward L Financial data processing system
US4302810A (en) 1979-12-28 1981-11-24 International Business Machines Corporation Method and apparatus for secure message transmission for use in electronic funds transfer systems
US4305059A (en) 1980-01-03 1981-12-08 Benton William M Modular funds transfer system
FR2480539B1 (fr) 1980-04-09 1985-09-13 Cii Honeywell Bull Procede et systeme de transmission de messages signes
US4341951A (en) 1980-07-02 1982-07-27 Benton William M Electronic funds transfer and voucher issue system
FR2497617B1 (fr) 1981-01-07 1989-08-18 Transac Develop Transactions A Procede et dispositif de securite pour communication tripartie de donnees confidentielles
US4578530A (en) 1981-06-26 1986-03-25 Visa U.S.A., Inc. End-to-end encryption system and method of operation
US4423287A (en) 1981-06-26 1983-12-27 Visa U.S.A., Inc. End-to-end encryption system and method of operation
US4453074A (en) 1981-10-19 1984-06-05 American Express Company Protection system for intelligent cards
FR2536928B1 (fr) 1982-11-30 1989-10-06 France Etat Systeme pour chiffrer et dechiffrer des informations, du type utilisant un systeme de dechiffrement a cle publique
US4906828A (en) 1983-02-28 1990-03-06 Paperless Accounting, Inc. Electronic money purse and fund transfer system
US4536647A (en) 1983-07-15 1985-08-20 Atalla Corporation Pocket banking terminal, method and system
US4759063A (en) 1983-08-22 1988-07-19 Chaum David L Blind signature systems
US4759064A (en) 1985-10-07 1988-07-19 Chaum David L Blind unanticipated signature systems
US4926480A (en) 1983-08-22 1990-05-15 David Chaum Card-computer moderated systems
US4605820A (en) 1983-11-10 1986-08-12 Visa U.S.A. Inc. Key management system for on-line communication
SE442249B (sv) 1983-11-17 1985-12-09 Ericsson Telefon Ab L M Forfarande och anordning for verifiering av personidentifieringsnummer och kontroll av inlagd nummerserie i identifieringsmedia
US4745267A (en) 1983-12-28 1988-05-17 Fairview Partners Fraudulent card intercept system
JPS60160491A (ja) 1984-01-31 1985-08-22 Toshiba Corp Icカードとicカード発行装置
DE3579816D1 (de) 1984-02-09 1990-10-25 Toshiba Kawasaki Kk Terminal zur datenverarbeitung.
US4630201A (en) 1984-02-14 1986-12-16 International Security Note & Computer Corporation On-line and off-line transaction security system using a code generated from a transaction parameter and a random number
JPS60144154U (ja) 1984-03-07 1985-09-25 シャープ株式会社 携帯用電子計算機
JPS60207957A (ja) 1984-03-31 1985-10-19 Toshiba Corp デ−タ保護方式
US4736094A (en) 1984-04-03 1988-04-05 Omron Tateisi Electronics Co. Financial transaction processing system using an integrated circuit card device
US4709137A (en) 1984-04-16 1987-11-24 Omron Tateisi Electronics Co. IC card and financial transaction processing system using IC card
US4727243A (en) 1984-10-24 1988-02-23 Telenet Communications Corporation Financial transaction system
GB2168514A (en) 1984-12-12 1986-06-18 Ibm Security module
US4650978A (en) 1985-01-23 1987-03-17 Rmh Systems, Inc. Off line cash card system and method
JPS61177585A (ja) 1985-02-04 1986-08-09 Toshiba Corp 携帯用電子装置密封体
JPS61210488A (ja) 1985-03-14 1986-09-18 Toppan Moore Co Ltd Icカ−ド
JPS61264485A (ja) 1985-05-18 1986-11-22 Hitachi Maxell Ltd Icカ−ドのリ−ダ−・ライタ−
JPS61278989A (ja) 1985-06-04 1986-12-09 Toppan Moore Co Ltd Icカ−ドのリ−ダ・ライタ
JPH069067B2 (ja) 1985-07-16 1994-02-02 カシオ計算機株式会社 Icカ−ドシステム
JPH0818473B2 (ja) 1985-07-31 1996-02-28 トッパン・ムーア株式会社 機密水準を設定できるicカード
JPH0762862B2 (ja) 1985-09-17 1995-07-05 カシオ計算機株式会社 Icカ−ドシステムにおける認証方式
US4752677A (en) 1985-09-25 1988-06-21 Casio Computer Co., Ltd. Customer service system for use in IC card system
DE3682476D1 (de) 1985-10-07 1991-12-19 Toshiba Kawasaki Kk Tragbares elektronisches geraet.
US4778983A (en) 1985-10-12 1988-10-18 Sanden Corporation Automatic vending machine
US4669596A (en) 1985-10-22 1987-06-02 Debitek, Inc. Vending machine accessory permitting dual mode machine operation with either money or coded cards
JPS62105293A (ja) 1985-10-31 1987-05-15 Toshiba Corp 携帯可能記録媒体の読取・書込装置
FR2591008B1 (fr) 1985-11-30 1991-05-17 Toshiba Kk Dispositif electronique portatif
US4849614A (en) 1985-12-27 1989-07-18 Toppan Moore Company, Ltd. Composite IC card
FR2592510B1 (fr) 1985-12-31 1988-02-12 Bull Cp8 Procede et appareil pour certifier des services obtenus a l'aide d'un support portatif tel qu'une carte a memoire
JPS62179994A (ja) 1986-02-04 1987-08-07 カシオ計算機株式会社 電子カ−ド
US4874935A (en) 1986-03-10 1989-10-17 Data Card Coprporation Smart card apparatus and method of programming same
JPS62222363A (ja) 1986-03-25 1987-09-30 Omron Tateisi Electronics Co 自動取引処理装置
JPS62254265A (ja) 1986-04-28 1987-11-06 Hitachi Ltd 現金自動取引装置の制御方式
US4742215A (en) 1986-05-07 1988-05-03 Personal Computer Card Corporation IC card system
US4816653A (en) 1986-05-16 1989-03-28 American Telephone And Telegraph Company Security file system for a portable data carrier
US4816654A (en) 1986-05-16 1989-03-28 American Telephone And Telegraph Company Improved security system for a portable data carrier
JP2537199B2 (ja) 1986-06-20 1996-09-25 株式会社東芝 Icカ―ド
US4839792A (en) 1986-06-20 1989-06-13 Kabushiki Kaisha Toshiba Portable electronic apparatus with a device for determining data validity
US4748668A (en) 1986-07-09 1988-05-31 Yeda Research And Development Company Limited Method, apparatus and article for identification and signature
FR2601535B1 (fr) 1986-07-11 1988-10-21 Bull Cp8 Procede pour certifier l'authenticite d'une donnee echangee entre deux dispositifs connectes en local ou a distance par une ligne de transmission
FR2601795B1 (fr) 1986-07-17 1988-10-07 Bull Cp8 Procede pour diversifier une cle de base et pour authentifier une cle ainsi diversifiee comme ayant ete elaboree a partir d'une cle de base predeterminee, et systeme pour la mise en oeuvre
JPS6332658A (ja) 1986-07-28 1988-02-12 Casio Comput Co Ltd Icカ−ドシステム
JPH07104891B2 (ja) 1986-08-05 1995-11-13 沖電気工業株式会社 取引処理装置
US4802218A (en) 1986-11-26 1989-01-31 Wright Technologies, L.P. Automated transaction system
JPH087720B2 (ja) 1986-09-16 1996-01-29 富士通株式会社 複数サービス用icカードの領域アクセス方法
JPS6373388A (ja) 1986-09-16 1988-04-02 Fujitsu Ltd 複数サ−ビス用icカ−ドの領域獲得方式
DE3731736A1 (de) 1986-09-27 1988-04-07 Toshiba Kawasaki Kk Verarbeitungssystem fuer tragbare elektronische vorrichtung
JPS63120391A (ja) 1986-11-10 1988-05-24 Hitachi Ltd Icカ−ド
US4900904A (en) 1986-11-26 1990-02-13 Wright Technologies, L.P. Automated transaction system with insertable cards for downloading rate or program data
JPS63182795A (ja) 1987-01-20 1988-07-28 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン ポータブル・カードとその製造方法
US4969188A (en) 1987-02-17 1990-11-06 Gretag Aktiengesellschaft Process and apparatus for the protection of secret elements in a network of encrypting devices with open key management
US5162989A (en) 1987-02-20 1992-11-10 Oki Electric Industry Co., Ltd. Information rental system including processor equipped IC card having data erasing means
JPH0758500B2 (ja) 1987-02-20 1995-06-21 株式会社東芝 携帯可能電子装置
JPS63229541A (ja) 1987-03-04 1988-09-26 シーメンス、アクチエンゲルシヤフト データ交換システム
FR2611962B1 (fr) 1987-03-06 1989-06-09 Trt Telecom Radio Electr Systeme et procede pour cryptographie avec application
JPS63236186A (ja) 1987-03-24 1988-10-03 Mitsubishi Electric Corp カ−ド発行装置
US4949257A (en) 1987-04-28 1990-08-14 Zvi Orbach Automated merchandising system for computer software
US4797920A (en) 1987-05-01 1989-01-10 Mastercard International, Inc. Electronic funds transfer system with means for verifying a personal identification number without pre-established secret keys
JPS6421327U (de) 1987-07-28 1989-02-02
GB2204973A (en) 1987-05-19 1988-11-23 Gen Electric Co Plc Data processing system
US4984270A (en) 1987-06-19 1991-01-08 The Exchange System Method and system for transmission of financial data
JP2592856B2 (ja) 1987-09-24 1997-03-19 株式会社東芝 Icカード発行システム
JPH0161764U (de) 1987-10-09 1989-04-19
US4853961A (en) 1987-12-18 1989-08-01 Pitney Bowes Inc. Reliable document authentication system
FR2626095B1 (fr) 1988-01-20 1991-08-30 Sgs Thomson Microelectronics Systeme de securite pour proteger des zones de programmation d'une carte a puce
JP2623332B2 (ja) 1988-02-03 1997-06-25 日立マクセル株式会社 Icカード及びその動作プログラム書込み方法
US5214702A (en) 1988-02-12 1993-05-25 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5005200A (en) 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5012076A (en) 1988-03-02 1991-04-30 Hitachi, Ltd. Transaction method wherein transaction amount is compared with account balance before ID is entered
US4987593A (en) 1988-03-16 1991-01-22 David Chaum One-show blind signature systems
US4995081A (en) 1988-03-21 1991-02-19 Leighton Frank T Method and system for personal identification using proofs of legitimacy
US4879747A (en) 1988-03-21 1989-11-07 Leighton Frank T Method and system for personal identification
US4891503A (en) 1988-03-29 1990-01-02 Gascard, Inc. Distributed authorization system
JPH01259483A (ja) 1988-04-08 1989-10-17 Minolta Camera Co Ltd Icカード
CA1321649C (en) 1988-05-19 1993-08-24 Jeffrey R. Austin Method and system for authentication
US4961142A (en) 1988-06-29 1990-10-02 Mastercard International, Inc. Multi-issuer transaction device with individual identification verification plug-in application modules for each issuer
ATE120021T1 (de) 1988-07-20 1995-04-15 Syspatronic Ag Spa Datenträger-gesteuertes endgerät in einem datenaustauschsystem.
DE68927361T4 (de) 1988-08-12 1999-11-04 Hitachi Maxell Chipkarte und Verfahren zum Wiedereinschreiben ihres Programmes
JP2695855B2 (ja) 1988-08-26 1998-01-14 株式会社東芝 携帯可能電子装置
JPH0622030B2 (ja) 1988-10-03 1994-03-23 富士通株式会社 取引の正当性確認方式
US5016274A (en) 1988-11-08 1991-05-14 Silvio Micali On-line/off-line digital signing
GB8827288D0 (en) * 1988-11-22 1988-12-29 Byron R S Articles to be worn
JPH02170272A (ja) 1988-12-23 1990-07-02 Hitachi Maxell Ltd 秘密情報の照合方式
JPH02214994A (ja) 1989-02-15 1990-08-27 Hitachi Maxell Ltd Icカード
US5165043A (en) 1989-03-15 1992-11-17 Hitachi, Ltd. Memory card system and access method for memory card
US4977595A (en) 1989-04-03 1990-12-11 Nippon Telegraph And Telephone Corporation Method and apparatus for implementing electronic cash
US4996711A (en) 1989-06-21 1991-02-26 Chaum David L Selected-exponent signature systems
FR2650097B1 (fr) 1989-07-19 1992-12-31 Pailles Jean Claude Carte a microcircuit cable et procede de transaction entre une carte a microcircuit cable correspondante et un terminal
FR2651347A1 (fr) 1989-08-22 1991-03-01 Trt Telecom Radio Electr Procede de generation de nombre unique pour carte a microcircuit et application a la cooperation de la carte avec un systeme hote.
ZA907106B (en) 1989-10-06 1991-09-25 Net 1 Products Pty Ltd Funds transfer system
US5148481A (en) 1989-10-06 1992-09-15 International Business Machines Corporation Transaction system security method and apparatus
FR2653248B1 (fr) 1989-10-13 1991-12-20 Gemolus Card International Systeme de paiement ou de transfert d'information par carte a memoire electronique porte monnaie.
FR2653914A1 (fr) 1989-10-27 1991-05-03 Trt Telecom Radio Electr Systeme d'authentification d'une carte a microcircuit par un micro-ordinateur personnel, et procede pour sa mise en óoeuvre.
US5120939A (en) 1989-11-09 1992-06-09 At&T Bell Laboratories Databaseless security system
US4993068A (en) 1989-11-27 1991-02-12 Motorola, Inc. Unforgeable personal identification system
JPH03240127A (ja) 1990-02-17 1991-10-25 Hitachi Maxell Ltd プログラム制御システム
JPH03248249A (ja) 1990-02-27 1991-11-06 Mitsubishi Electric Corp Icメモリカード
JPH0424889A (ja) 1990-05-21 1992-01-28 Toshiba Corp 個人認証機能付きicカード
ES2047774T3 (es) 1990-07-20 1994-03-01 Siemens Nixdorf Inf Syst Procedimiento para impedir desviaciones inadmisibles del protocolo de desarrollo de una aplicacion en un sistema de intercambio de datos.
US5163098A (en) 1990-09-06 1992-11-10 Dahbura Abbud S System for preventing fraudulent use of credit card
FR2666671B1 (fr) 1990-09-12 1994-08-05 Gemplus Card Int Procede de gestion d'un programme d'application charge dans un support a microcircuit.
FR2667171B1 (fr) 1990-09-25 1994-08-26 Gemplus Card Int Support portable a micro-circuit facilement programmable et procede de programmation de ce micro-circuit.
FR2667417B1 (fr) 1990-10-02 1992-11-27 Gemplus Card Int Carte a microprocesseur concue pour recevoir des programmes multiples en memoire programmable.
US5131038A (en) 1990-11-07 1992-07-14 Motorola, Inc. Portable authentification system
JP3114991B2 (ja) 1990-11-30 2000-12-04 株式会社東芝 データ通信システム
FR2673476B1 (fr) 1991-01-18 1996-04-12 Gemplus Card Int Procede securise de chargement de plusieurs applications dans une carte a memoire a microprocesseur.
FR2671889A1 (fr) 1991-01-22 1992-07-24 Pailles Jean Claude Procede d'echange de droits entre cartes a microprocesseur.
US5224162A (en) 1991-06-14 1993-06-29 Nippon Telegraph And Telephone Corporation Electronic cash system
US5142578A (en) 1991-08-22 1992-08-25 International Business Machines Corporation Hybrid public key algorithm/data encryption algorithm key distribution method based on control vectors
US5200999A (en) 1991-09-27 1993-04-06 International Business Machines Corporation Public key cryptosystem key management based on control vectors
US5201000A (en) 1991-09-27 1993-04-06 International Business Machines Corporation Method for generating public and private key pairs without using a passphrase
JP3083187B2 (ja) 1991-09-30 2000-09-04 富士通株式会社 電子財布システムの鍵管理方式
DE69231118T2 (de) 1991-10-18 2000-12-14 Fujitsu Ltd Nachrichtenverteilungssystem mit schnurlosen nachrichtenübertragenden Unterstationen und nachrichtenempfängende Terminalendgeräte
FR2683357A1 (fr) 1991-10-30 1993-05-07 Philips Composants Microcircuit pour carte a puce a memoire programmable protegee.
US5164988A (en) 1991-10-31 1992-11-17 International Business Machines Corporation Method to establish and enforce a network cryptographic security policy in a public key cryptosystem
WO1993010509A1 (en) 1991-11-12 1993-05-27 Security Domain Pty. Ltd. Method and system for secure, decentralised personalisation of smart cards
GB9126779D0 (en) 1991-12-17 1992-02-12 Int Computers Ltd Security mechanism for a computer system
FR2687816B1 (fr) 1992-02-24 1994-04-08 Gemplus Card International Procede de personnalisation d'une carte a puce.
JPH05250523A (ja) 1992-03-06 1993-09-28 Toshiba Corp 処理方式
US5396558A (en) 1992-09-18 1995-03-07 Nippon Telegraph And Telephone Corporation Method and apparatus for settlement of accounts by IC cards
FR2697357B1 (fr) 1992-10-23 1994-12-23 Gemplus Card Int Procédé d'acquisition de logiciels et système informatique pour mettre en Óoeuvre le procédé.
EP0706692B1 (de) 1992-10-26 2003-04-16 Intellect Australia Pty. Ltd. Host-benutzer-transaktionssystem
US5371797A (en) 1993-01-19 1994-12-06 Bellsouth Corporation Secure electronic funds transfer from telephone or unsecured terminal
US5420405A (en) 1993-02-26 1995-05-30 Chasek; Norman E. Secure, automated transaction system that supports an electronic currency operating in mixed debit & credit modes
JPH06251206A (ja) 1993-02-26 1994-09-09 Fujitsu Ltd 複数の機能を発揮するカードの処理方式
JP3421378B2 (ja) 1993-03-23 2003-06-30 株式会社東芝 伝送制御方式
JPH0744672A (ja) 1993-07-28 1995-02-14 Oki Electric Ind Co Ltd Icカード及びicカードシステム
US5544246A (en) 1993-09-17 1996-08-06 At&T Corp. Smartcard adapted for a plurality of service providers and for remote installation of same
US5485520A (en) 1993-10-07 1996-01-16 Amtech Corporation Automatic real-time highway toll collection from moving vehicles
GB9320982D0 (en) 1993-10-12 1993-12-01 Ibm A data processing system
GB2284689B (en) 1993-12-07 1998-02-18 Inventec Corp Ic card back-up generating and programming device
JP3367675B2 (ja) 1993-12-16 2003-01-14 オープン マーケット インコーポレイテッド オープンネットワーク販売システム及び取引トランザクションのリアルタイムでの承認を行う方法
US5530232A (en) 1993-12-22 1996-06-25 Datamark Services, Inc. Multi-application data card
US5578808A (en) 1993-12-22 1996-11-26 Datamark Services, Inc. Data card that can be used for transactions involving separate card issuers
US5557516A (en) 1994-02-04 1996-09-17 Mastercard International System and method for conducting cashless transactions
EP0666550B1 (de) 1994-02-08 1997-05-02 Belle Gate Investment B.V. Datenauswechselsystem mit tragbaren Datenverarbeitungseinheiten
FR2716280B1 (fr) * 1994-02-11 1996-04-12 Solaic Sa Procédé de protection des composants de cartes à mémoire contre des utilisations frauduleuses.
US5511121A (en) 1994-02-23 1996-04-23 Bell Communications Research, Inc. Efficient electronic money
FR2720848B1 (fr) 1994-06-03 1996-07-26 Gemplus Card Int Procédé de conduite d'une transaction entre une carte à puce et un système d'information.
FR2725537B1 (fr) 1994-10-11 1996-11-22 Bull Cp8 Procede de chargement d'une zone memoire protegee d'un dispositif de traitement de l'information et dispositif associe
US5715314A (en) 1994-10-24 1998-02-03 Open Market, Inc. Network sales system
US5517011A (en) 1994-11-21 1996-05-14 Oki Electric Industry Co. Ltd. Slotless card reader
US5705798A (en) 1994-12-16 1998-01-06 Mastercard International Inc. System and method for processing a customized financial transaction card
US5546523A (en) 1995-04-13 1996-08-13 Gatto; James G. Electronic fund transfer system
US5692132A (en) 1995-06-07 1997-11-25 Mastercard International, Inc. System and method for conducting cashless transactions on a computer network
US5708780A (en) 1995-06-07 1998-01-13 Open Market, Inc. Internet server access control and monitoring systems
US5799314A (en) 1995-06-30 1998-08-25 Sun Microsystems, Inc. System and method of controlling mapping of data buffers for heterogenous programs in digital computer system
US5699528A (en) 1995-10-31 1997-12-16 Mastercard International, Inc. System and method for bill delivery and payment over a communications network
US5889941A (en) * 1996-04-15 1999-03-30 Ubiq Inc. System and apparatus for smart card personalization
US5704046A (en) 1996-05-30 1997-12-30 Mastercard International Inc. System and method for conducting cashless transactions
US5923884A (en) * 1996-08-30 1999-07-13 Gemplus S.C.A. System and method for loading applications onto a smart card

Also Published As

Publication number Publication date
AR011449A1 (es) 2000-08-16
JP2009003945A (ja) 2009-01-08
US20020050528A1 (en) 2002-05-02
JP4405568B2 (ja) 2010-01-27
JP2001513231A (ja) 2001-08-28
AU736325B2 (en) 2001-07-26
CA2281576A1 (en) 1998-08-27
EP0963580B1 (de) 2004-05-06
AU6299698A (en) 1998-09-09
WO1998037526A1 (en) 1998-08-27
EP0963580A1 (de) 1999-12-15
CA2281576C (en) 2004-11-30
US6659354B2 (en) 2003-12-09
US6575372B1 (en) 2003-06-10
DE69823649D1 (de) 2004-06-09

Similar Documents

Publication Publication Date Title
DE69823649T2 (de) Multi-anwendungs ic-kartensystem
DE69814406T2 (de) Tragbare elektronische vorrichtung für systeme zur gesicherten kommunikation und verfahren zur initialisierung der parameter
DE69813208T2 (de) Chipkarte mit datenumsetzer
DE69332889T2 (de) Host-benutzer-transaktionssystem
DE69912749T2 (de) System und verfahren zum sperren und freigeben einer chipkartenanwendung
DE69925810T2 (de) Verfahren und vorrichtung für eine reisebezogene multifunktionelle chipkarte
US6317832B1 (en) Secure multiple application card system and process
DE69826318T2 (de) Kartenaktivierung an der verteilungsstelle
DE60015810T2 (de) Integriertes verfahren zur herstellung von chipkarten
DE69534441T2 (de) System und Verfahren zum Verkaufen von elektronischen Wertkarten
DE69836633T2 (de) Datentransportschlüsselsatz für chipkarten
DE69720201T2 (de) System und vorrichtung zum personalisieren von chipkarten
DE3700663C2 (de)
DE69916260T2 (de) Verfahren und Geräte für dynamische Smartkarten-Synchronisierung und Personalisierung
DE19839847A1 (de) Speichern von Datenobjekten im Speicher einer Chipkarte
DE69821545T2 (de) Elektronische Geldkarte, Empfangs-/Auszahlungsmaschine für elektronisches Geld und Editiervorrichtung für eine elektronische Geldkarte
DE10296919T5 (de) System und Verfahren zur sicheren Rückzahlung
DE69932412T2 (de) Chipkartenkonfiguration
DE69911174T2 (de) System und verfahren zur kontrolle des zugangs zu dem computercode in einer chipkarte
CH656243A5 (de) Verfahren zur verarbeitung einer persoenlichen identifikationsnummer im zusammenhang mit einer ausweiskarte.
WO2001004771A2 (de) System zur ausführung einer transaktion
EP0847031B1 (de) Verfahren zum gesicherten nachträglichen Programmieren einer Mikroprozessorkarte für eine zusätzliche Anwendung
DE19929049A1 (de) Vorrichtung und Verfahren zum benutzerdefinierten Laden und Ausführen von Anwendungen mittels eines Tokens
DE60216106T2 (de) Geschützte lesung von rechnerbefehlen in einem datenverarbeitungssystem
DE69901318T3 (de) Verfahren und gerät zur überprüfung des betriebszyklus eines tragbaren gegenstandes, insbesondere einer chipkarte

Legal Events

Date Code Title Description
8363 Opposition against the patent
8327 Change in the person/name/address of the patent owner

Owner name: BAMBOO HOLDINGS, GEORGETOWN, GRAND CAYMAN, KY

8327 Change in the person/name/address of the patent owner

Owner name: STEPNEXUS HOLDINGS, GEORGETOWN, GRAND CAYMAN, KY

8327 Change in the person/name/address of the patent owner

Owner name: MULTOS LTD., BIRCHWOOD, CHESHIRE, GB