RZECZPOSPOLITA POLSKA Urząd Patentowy Rzeczypospolitej Polskiej (12) OPIS PATENTOWY (21) Numer zgłoszenia: 327192 (22) Data zgłoszenia: 14.11.1996 (86) Data i numer zgłoszenia międzynarodowego: 14.11.1996, PCT/EP96/05027 (87) Data i numer publikacji zgłoszenia międzynarodowego: 19.06.1997, W097/22091, PCT Gazette nr 26/97 (19) PL (11) 181221 (13) B1 (51) IntCl7 G07F 7/10 Sposób bezpiecznego realizowania transakcji przy użyciu elementu płatniczego (54) i stanowiska płacenia (30) Pierwszeństwo: 08.12.1995,NL,1001863 (43) Zgłoszenie ogłoszono: 23.11.1998 BUP 24/98 (73)Uprawniony z patentu: KONINKLIJKE PTT NEDERLAND N.V., Haga, NL (72)Twórcy wynalazku: Jelle Wissenburgh, The Hague, NL Johannes Brehler, Leidschendam, NL Frank Muller, Delft, NL Martin K. De Lange, Voorburg, NL Albertus Feiken, Amstelveen, NL Hendricus J. W. M. Van de Pavert, Veenendaal, NL (45) O udzieleniu patentu ogłoszono: 29.06.2001 WUP 06/01 (74)Pełnomocnik: Wierzchoń Jan, JAN WIERZCHOŃ & PARTNERZY, Biuro Patentów i Znaków Towarowych s.c. PL 181221 B1 (57) 1. Sposób bezpiecznego realizowania transakcji przy użyciu elementu płatniczego i stanowiska płacenia, znamienny tym, że ze stanowiska płacenia (12) do elementu płatniczego (11) przekazuje się pierwszą liczbę losową (R1), w odpowiedzi na którą z elementu płatniczego (11) do stanowiska płacenia (12) przekazuje się pierwszy kod uwierzytelniający (MAC1), przy czym ten kod określa się na podstawie co najmniej pierwszej liczby losowej (R 1) i pierwszej wartości potwierdzenia (A1), zaś na stanowisku płacenia (12) sprawdza się pierwszy kod uwierzytelniający (M AC1), następnie ze stanowiska płacenia (12) przekazuje się do elementu płatniczego (11) drugą liczbę losową (R2), w odpowiedzi na którą z elementu płatniczego (11) do stanowiska płacenia (12) przekazuje się drugi kod uwierzytelniający (MAC2), przy czym ten kod określa się na podstawie co najmniej dnigiej liczby losowej (R2) i drugiej wartości potwierdzenia (A2), która jest pochodną pierwszej wartości potwierdzenia (A1), w końcu w stanowisku płacenia (12) w ytw arza się drugą w artość potwierdzenia (A2) jako pochodną pierwszej wartości potwierdzenia (A1) i sprawdza się drugi kod uwierzytelniający (MAC2). Fig.2 Fig.3
Sposób bezpiecznego realizowania transakcji przy użyciu elementu płatniczego i stanowiska płacenia Zastrzeżenia patentowe 1. Sposób bezpiecznego realizowania transakcji przy użyciu elementu płatniczego i stanowiska płacenia, znamienny tym, że ze stanowiska płacenia (12) do elementu płatniczego'(11) przekazuje się pierwszą liczbę losową (R1), w odpowiedzi na którą z elementu płatniczego (11) do stanowiska płacenia (12) przekazuje się pierwszy kod uwierzytelniający (MAC1), przy czym ten kod określa się na podstawie co najmniej pierwszej liczby losowej (R1) i pierwszej wartości potwierdzenia (A1), zaś na stanowisku płacenia (12) sprawdza się pierwszy kod uwierzytelniający (MAC1), następnie ze stanowiska płacenia (12) przekazuje się do elementu płatniczego (11) drugą liczbę losową (R2), w odpowiedzi na którą z elementu płatniczego (11) do stanowiska płacenia (12) przekazuje się drugi kod uwierzytelniający (MAC2), przy czym ten kod określa się na podstawie co najmniej drugiej liczby losowej (R2) i drugiej wartości potwierdzenia (A2), która jest pochodną pierwszej wartości potwierdzenia (Al), w końcu w stanowisku płacenia (12) wytwarza się drugą wartość potwierdzenia (A2) jako pochodną pierwszej wartości potwierdzenia (Al) i sprawdza się drugi kod uwierzytelniający (MAC2). 2. Sposób według zastrz. 1, znamienny tym, że pierwsza wartość potwierdzenia (Al) i druga wartość potwierdzenia (A2) są identyczne. 3. Sposób według zastrz. 2, znamienny tym, że pierwsza wartość potwierdzenia (Al) i druga wartość potwierdzenia (A2) składają się z kolejnych wartości licznika. 4. Sposób według zastrz. 1, znamienny tym, że drugą wartość potwierdzenia (A2) za każdym razem tworzy się na podstawie drugiej liczby losowej (R2) i poprzedniej wartości potwierdzenia (A1). 5. Sposób według zastrz. 1, znamienny tym, że po sprawdzeniu na stanowisku płacenia (12) pierwszego kodu uwierzytelniającego (MAC1) przekazuje się do elementu płatniczego (11) polecenie (D), na podstawie którego zmienia się saldo elementu płatniczego (11). 6. Sposób według zastrz. 1, znamienny tym, że pierwsza liczba losowa (R1) jest równa drugiej liczbie losowej (R2). 7. Sposób według zastrz. 1, znamienny tym, że drugi kod uwierzytelniający (MAC2) określa się na podstawie klucza i kodu identyfikacyjnego. 8. Sposób według zastrz. 1, znamienny tym, że pierwszy kod uwierzytelniający (MAC1) określa się za pomocą funkcji kryptograficznej (F). 9. Sposób według zastrz. 1, znamienny tym, że z elementu płatniczego (11) do stanowiska płacenia (12) przekazuje się wraz z pierwszym kodem uwierzytelniającym (MAC1) pierwsze saldo (S1), a wraz z drugim kodem uwierzytelniającym (MAC2) drugie saldo (S2). 10. Sposób według zastrz. 1, znamienny tym, że z elementu płatniczego (11) do stanowiska płacenia (12) za każdym razem przekazuje się aktualną wartość potwierdzenia (A1). 11. Sposób według zastrz. 1, znamienny tym, że przekazywanie drugiej liczby losowej (R2) ze stanowiska płacenia (12) do elementu płatniczego (11), przekazywanie drugiego kodu uwierzytelniającego (MAC2) z elementu płatniczego (11) do stanowiska płacenia (12) oraz wytwarzanie na stanowisku płacenia (12) drugiej wartości potwierdzenia (A2) z pierwszej wartości potwierdzenia (A1) i sprawdzanie drugiego kodu uwierzytelniającego (MAC2) powtarza się. 12. Sposób według zastrz. 11, znamienny tym, że na stanowisku płacenia (12) zapisuje się różnicę pomiędzy pierwszym saldem (S1) i drugim saldem (S2). 13. Sposób według zastrz. 5, znamienny tym, że polecenie obciążenia (D) jest poleceniem powodującym zmniejszenie salda (S1) elementu płatniczego (11).
181221 3 Przedmiotem wynalazku jest sposób bezpiecznego realizowania transakcji przy użyciu elementu płatniczego i stanowiska płacenia. W szczególności wynalazek dotyczy sposobu realizowania transakcji za pomocą elektronicznych kart płatniczych wyposażonych w obwód scalony (kart z mikroprocesorem) lub wstępnie opłaconych elektronicznych kart płatniczych wykorzystywanych, np. w budkach telefonicznych. Określenie element płatniczy dotyczy zarówno nadającej się do obciążania karty płatniczej lub dowolnej innej postaci elektronicznego elementu płatniczego nie mającego kształtu karty. Coraz częściej stosuje się elektroniczne elementy płatnicze nie tylko do płacenia za korzystanie z publicznych aparatów telefonicznych, ale również do wielu innych celów płatniczych. Ponieważ taki element płatniczy zwykle zawiera (kredytowe) saldo, które reprezentuje pewną wartość pieniężną, niezbędna jest wymiana danych pomiędzy takim elementem płatniczym a stanowiskiem płacenia. Stanowiskiem tym może być aparat telefoniczny przeznaczony do płatności elektronicznej lub elektroniczna kasa rejestrująca zapewniająca bezpieczny sposób płacenia. Należy zapewnić, aby kwota (wartość pieniężna lub liczba jednostek obliczeniowych) obciążająca element płatniczy była zgodna z kwotą kredytowaną w innym miejscu. Innymi słowy kwota płacona przez klienta powinna odpowiadać kwocie odbieranej przez dostawcę. Kwota kredytowana może być zapisana, np. w zabezpieczonym module istniejącym na stanowisku płacenia. Z opisu patentowego EP 0.637.004 jest znany sposób płacenia polegający na tym, że saldo elementu płatniczego odtwarza się na stanowisko płacenia, następnie obniża się to saldo (obciąża się element płatniczy) i znowu odtwarza się saldo elementu płatniczego. Z różnicy pomiędzy saldami można określić kredytowaną kwotę, którą należy kredytować na stanowisku płacenia. Czynności te mogą być powtarzane wielokrotnie. Dla uniemożliwienia defraudacji, w pierwszym etapie wytwarza się na stanowisku płacenia liczbę losową i przekazuje się ją do elementu płatniczego, np. jako część kodu, z którym odtwarzane jest saldo. Na podstawie tej liczby losowej element płatniczy jako pierwszą odpowiedź wytwarza kod uwierzytelniający, zawierający (np. w postaci kryptograficznej) przetworzone między innymi liczbę losową i saldo. Przez stosowanie innej liczby losowej do każdej transakcji uniemożliwia się imitowanie transakcji przez powtórzenie. Ponadto, w końcowym etapie wykorzystuj e się drugą liczbę losową która jest również wytwarzana przez stanowisko płacenia i przekazywana do elementu płatniczego. Na podstawie tej drugiej liczby losowej element płatniczy jako drugą odpowiedź wytwarza drugi, nowy kod uwierzytelniający, zawierający przetworzoną postać między innymi drugiej liczby losowej i nowego salda. Na podstawie różnicy tych dwóch przeniesionych sald stanowisko płacenia (lub zabezpieczony moduł stanowiska płacenia) może określić, jaką kwotą saldo stanowiska płacenia powinno być kredytowane. Sposób ten jest bardzo odporny na defraudację tylko w przypadku, gdy element płatniczy ma łączność z jednym stanowiskiem płacenia. Jeśli natomiast element płatniczy ma łączność z drugim lub trzecim stanowiskiem płacenia, wówczas możliwe jest oddzielenie pierwszego etapu od drugiego i trzeciego, ponieważ pierwszy i drugi kod uwierzytelniający są niezależne. W rezultacie całą transakcję można dokonać bez obciążania danego elementu płatniczego taką samą kwotą jak kwota, którą wszystkie stanowiska płacenia są kredytowane. Zrozumiałe jest, że jest to niepożądane. W opisie patentowym US 5 495 098 i w europejskim opisie patentowym EP 0 621 570 został ujawniony sposób wykorzystania tożsamości modułu, zabezpieczającego stanowiska płacenia dla zapewnienia wymiany danych tylko pomiędzy kartą i jednym terminalem. Zabezpieczenie wymiany danych pomiędzy modułem bezpieczeństwa, stanowiskiem płacenia i kartą jest skomplikowane i wymaga rozległych obliczeń kryptograficznych. Sposób bezpiecznego realizowania transakcji przy użyciu elementu płatniczego i stanowiska płacenia, według wynalazku jest charakterystyczny tym, że ze stanowiska płacenia do elementu płatniczego przekazuje się pierwszą liczbę losową, w odpowiedzi na którą z elementu płatniczego do stanowiska płacenia przekazuje się pierwszy kod uwierzytelniający, przy czym
4 181221 ten kod określa się na podstawie co najmniej pierwszej liczby losowej i pierwszej wartości potwierdzenia, zaś na stanowisku płacenia sprawdza się pierwszy kod uwierzytelniający. Następnie ze stanowiska płacenia przekazuje się do elementu płatniczego drugą liczbę losową, w odpowiedzi na którą z elementu płatniczego do stanowiska płacenia przekazuje się drugi kod uwierzytelniający, przy czym ten kod określa się na podstawie co najmniej drugiej liczby losowej i drugiej wartości potwierdzenia, która jest pochodną pierwszej wartości potwierdzenia. W końcu w stanowisku płacenia wytwarza się drugą wartość potwierdzenia jako pochodną pierwszej wartości potwierdzenia i sprawdza się drugi kod uwierzytelniający. Korzystnie, pierwsza wartość potwierdzenia i druga wartość potwierdzenia są identyczne. Korzystnie, pierwsza wartość potwierdzenia i druga wartość potwierdzenia składają się z kolejnych wartości licznika. Korzystnie, drugą wartość potwierdzenia za każdym razem tworzy się na podstawie drugiej liczby losowej i poprzedniej wartości potwierdzenia. Korzystnie, po sprawdzeniu na stanowisku płacenia pierwszego kodu uwierzytelniającego przekazuje się do elementu płatniczego polecenie obciążenia, na podstawie którego zmienia się saldo elementu płatniczego. Korzystnie, pierwsza liczba losowa jest równa drugiej liczbie losowej. Korzystnie, drugi kod uwierzytelniający określa się na podstawie klucza i kodu identyfikacyjnego. Korzystnie, pierwszy kod uwierzytelniający określa się za pomocą funkcji kryptograficznej. Korzystnie, z elementu płatniczego do stanowiska płacenia przekazuje się wraz z pierwszym kodem uwierzytelniającym pierwsze saldo, a wraz z drugim kodem uwierzytelniającym drugie saldo. Korzystnie, z elementu płatniczego do stanowiska płacenia za każdym razem przekazuje się aktualną wartość potwierdzenia. Korzystnie, przekazywanie drugiej liczby losowej ze stanowiska płacenia do elementu płatniczego, przekazywanie drugiego kodu uwierzytelniającego z elementu płatniczego do stanowiska płacenia oraz wytwarzanie na stanowisku płacenia drugiej wartości potwierdzenia z pierwszej wartości potwierdzenia i sprawdzanie drugiego kodu uwierzytelniającego powtarza się. Korzystnie, na stanowisku płacenia zapisuje się różnicę pomiędzy pierwszym saldem i drugim saldem. Korzystnie, polecenie obciążenia jest poleceniem powodującym zmniejszenie salda elementu płatniczego. Zaletą sposobu według wynalazku jest wysoki stopień zabezpieczenia transakcji obciążających. W szczególności zapewnia on, że podczas transakcji odbywa się łączność jedynie pomiędzy elementem płatniczym a jednym stanowiskiem płacenia. Zapewnia, że kwota, o którą saldo elementu płatniczego obniża się podczas transakcji odpowiada kwocie, o którą zwiększa się saldo tylko jednego stanowiska płacenia. Przez powiązanie kodów uwierzytelniających za pomocą wartości potwierdzenia możliwe jest odróżnianie kodów uwierzytelniających pierwotnej transakcji od kodów uwierzytelniających transakcji zakłócającej. Korzystnie, wartość potwierdzenia jest zmieniana w każdym etapie zapytania, przez co uzyskuje się lepsze bezpieczeństwo. Przez tworzenie kodów uwierzytelniających na podstawie między innymi wzajemnie powiązanych wartości potwierdzenia stworzono możliwość sprawdzania, czy drugi kod uwierzytelniający jest związany z pierwszym kodem uwierzytelniającym. Przy generowaniu nowej wartości potwierdzenia za każdym razem musi być określony kod uwierzytelniający, przez co została stworzona możliwość rozróżniania pomiędzy kolejnymi kodami uwierzytelniającymi, a przez to rozróżniania kodów uwierzytelniających związanych z różnymi transakcjami. Za każdym razem jest generowana unikatowa wartość potwierdzenia i można jednoznacznie określić, który drugi kod uwierzytelniający jest związany z którym pierwszym kodem uwierzytel-
181221 5 niąjącym. W ten sposób można również określić, czy w trakcie transakcji drugi kod uwierzytelniający został już wyemitowany. Wartości potwierdzenia są wytwarzane przez element płatniczy autonomicznie. Nie ma żadnej możliwości oddziaływania z zewnątrz, a to w celu uniemożliwienia defraudacji. Wartości potwierdzenia mogą być generowane różnymi sposobami, np. przez generator liczb losowych lub przez licznik. Pierwsza i druga wartość potwierdzenia transakcji mogą być związane ze sobą np. przez posiadanie takiej samej wartości lub przez posiadanie wzajemnie zależnych wartości, takich jak kolejne wartości licznika. Ponadto pierwsza wartość potwierdzenia może być liczbą losową, a druga wartość potwierdzenia może być wytworzona z pierwszej wartości potwierdzenia przez dodanie do niej pewnej liczby. Zasadniczo każda para wartości potwierdzenia powinna być związana w taki sposób, żeby było możliwe ich jednoznaczne sprawdzenie. Przedmiot wynalazku jest odtworzony na rysunku, na którym fig. 1 przedstawia system płatniczy do stosowania sposobu według wynalazku; fig. 2 - sposób według wynalazku; fig. 3 - wytwarzanie kodu uwierzytelniającego; zaś fig. 4 - obwód scalony elementu płatniczego, na schemacie blokowym. Przedstawiony na fig. 1 system elektronicznego płacenia 10 zawiera elektroniczny element płatniczy 11 w postaci inteligentnej karty wyposażonej w mikroprocesor, stanowisko płacenia 12, pierwszą instytucję płatniczą 13 i drugą instytucję płatniczą 14. Stanowisko płacenia (terminal) 12 jest pokazane na fig. 1 jako kasa rejestrująca, ale może to być również np. publiczny aparat telefoniczny. Instytucje płatnicze 13 i 14, mogą nie tylko być bankami (jak oznaczono na fig. 1), ale również innymi instytucjami mającymi do swojej dyspozycji środki (komputery) do realizowania płatności. W praktyce instytucje płatnicze 13 i 14 mogą stanowić jedną instytucję płatniczą. W przedstawionym przykładzie realizacji element płatniczy 11 ma podłoże i obwód scalony ze stykami 15 przeznaczony do przeprowadzania transakcji (płacenia). Elementem płatniczym może również być elektroniczny portfel. Pomiędzy elementem płatniczym 11 a stanowiskiem płacenia 12 podczas transakcji zachodzi wymiana danych płatności PD1. Element płatniczy 11 jest związany z bankiem 13, natomiast stanowisko płacenia 12 jest związane z bankiem 14. Po transakcji pomiędzy bankami 13 i 14 odbywa się wymiana danych płatności PD2, które pochodzą z danych płatniczych PD1. Podczas transakcji zasadniczo nie ma łączności pomiędzy stanowiskiem płacenia 12 a bankiem płatniczym 14 (tak zwany system pośredni). Transakcje muszą zatem być przeprowadzane w kontrolowanych warunkach, aby zapewnić, że nie może być niedozwolonej ingerencji w systemie. Taką ingerencją może być np. zwiększenie salda elementu płatniczego 11, które nie jest zgodne ze zmianą salda na rachunku drugiej strony transakcji w banku 13. Figura 2 przedstawia schematycznie wymianę danych pomiędzy elementem płatniczym (jego obwodem scalonym), oznaczonym jako Karta (11 na fig. 1), a stanowiskiem płacenia (jego modułem chronionym) oznaczonym jako Terminal (12 na fig. 1), przy czym kolejne zdarzenia są pokazane jedno pod drugim. W pierwszym etapie terminal (stanowisko płacenia 12) wytwarza pierwszą liczbę losową R1 i przekazuje tę liczbę do karty (elementu płatniczego 11). Liczba losowa R1 może być częścią kodu do odtworzenia kodu uwierzytelniającego. Karta i terminal wytwarzają pierwszą wartość potwierdzenia A1, np. przez zwiększenie zawartości licznika i/lub uruchomienie generatora liczb losowych. Na podstawie liczby losowej R1, pierwszej wartości potwierdzenia A1 i innych danych, łącznie z saldem S1 elementu płatniczego 11, karta wytwarza kod uwierzytelniający MAC1 = F(R1, A1, S1,...), gdzie F może być znaną funkcją kryptograficzną. Dane S1 i A1 karty, jak również kod uwierzytelniający MAC1 sąprzekazywane do terminala. Terminal sprawdza kod uwierzytelniający MAC1 na podstawie między innymi R 1, S1 i A1 oraz, w razie pozytywnego wyniku sprawdzenia, zapisuje saldo S1. Przekazywanie wartości A1 do terminala służy do zapewnienia dodatkowego zabezpieczenia przed defraudacją.
6 181221 W drugim etapie, oznaczonym przez II, terminal wytwarza polecenie obciążenia D, które zawiera kwotę, jaką należy obciążyć element płatniczy 11. Polecenie obciążenia D przekazuje się do karty, a saldo S1 elementu płatniczego 11 obniża się o kwotę obciążenia do salda S2. Ten drugi etap może być powtarzany wielokrotnie. W trzecim etapie, oznaczonym przez III, terminal wytwarza drugą liczbę losową R2 i przekazuje ją do karty. Karta wytwarza drugą wartość potwierdzenia A2. Napodstawie drugiej liczby losowej R2, drugiej wartości potwierdzenia A2 i innych danych, łącznie z nowym saldem S2 karty, karta ta wytwarza drugi kod uwierzytelniający MAC2 = F(R2, S2,...), gdzie F jest znaną funkcją kryptograficzną. Drugie saldo karty S2 i wartość potwierdzenia A2, jak również drugi kod uwierzytelniający MAC2 są przekazywane do terminala. Trzeci etap przebiega analogicznie do pierwszego etapu. Terminal sprawdza odebrany drugi kod uwierzytelniający MAC2, np. przez odtworzenie tego kodu uwierzytelniającego i porównanie z liczbą losową R2. Terminal sprawdza również, czy odebrana druga wartość potwierdzenia A2 jest równa odpowiedniej wartości wytworzonej w terminalu. Jeżeli wartości potwierdzenia A2 nie są równe, transakcja zostaje zakończona, a saldo terminala nie jest modyfikowane. Jeżeli sprawdzenie kodu uwierzytelniającego MAC2 da wynik pozytywny, terminal zapisuje saldo S2. Zamiast odtwarzania kodów uwierzytelniających MAC1 i MAC2 może być przeprowadzone deszyfrowanie, np. przez realizowanie odwrotności funkcji F. W czwartym etapie, oznaczonym przez IV, określa się różnicę sald S1 i S2 i zapisuje w terminalu. Taka różnica może być albo zapisana oddzielnie, albo dodana do istniejącej wartości (salda terminalu) do załatwienia później. Omówione powyżej liczby losowe R1 i R2 są różne, ale mogą być one identyczne (R1 = R2= R). W etapie III może również odbywać się sprawdzenie, czy w kodzie uwierzytelniającym MAC2 nadal jest wykorzystywana ta sama liczba losowa R(= R1). Zarówno liczba R1, jak i liczba R2, nie muszą być liczbami losowymi. Służą one do jednoznacznej identyfikacji kodu uwierzytelniającego MAC1 jako odpowiedzi na R1. Istotne jest jedynie to, by liczba R 1 nie była rozpoznawalna przez karę. W znanych rozwiązaniach kody uwierzytelniające MAC1 i MAC2 są zasadniczo niezależne. Jeśli liczby losowe R1 i R2 różnią się od siebie, wówczas nie ma żadnego bezpośredniego ani pośredniczego powiązania pomiędzy kodami MAC1 i MAC2. Ze względu na tę niezależność zasadniczo nie ma gwarancji, że etapy I i III są przeprowadzane pomiędzy tą samą kartą i tym samym terminalem. W rozwiązaniu według wynalazku, przy określaniu drugiego kodu uwierzytelniającego MAC2, przyjmuje się wartość potwierdzenia A2, która jest bezpośrednio związana z wartością potwierdzenia A1 używaną przy określeniu pierwszego kodu uwierzytelniającego MAC1. W rezultacie ustanowiona zostaje zależność pomiędzy dwoma kodami uwierzytelniającymi danej transakcji. Zależność ta jest, korzystnie, bezpośrednia (np. A2 = A1 +1), co umożliwia łatwą kontrolę. Jeżeli przykładowo karta otrzymuje (pierwszą) liczbę losową R1' z drugiego terminala po wyprowadzeniu z karty pierwszego kodu uwierzytelniającego MAC1 do pierwszego terminala, wówczas karta wyprowadzi kod uwierzytelniający MAC2. Jeżeli następnie pierwszy terminal po wyprowadzeniu polecenia obciążenia D ponownie odtwarza kod uwierzytelniający, karta wyprowadza dalszy kod uwierzytelniający MAC3, który oparty jest między innymi na dalszej wartości potwierdzenia A3. Terminal zaobserwuje, że kody uwierzytelniające MAC1 i MAC3 nie są ze sobą związane i nie będzie mógł wykorzystać wartości salda S3, która została zawarta w kodzie uwierzytelniającym MAC3. Podobnie kod uwierzytelniający MAC4, który jest odtwarzany przez drugi terminal, nie stanowi ważnego potwierdzenia, a zatem ważnej wartości salda. W ten sposób skutecznie uniemożliwia się przenoszenie zmodyfikowanych wartości salda do kilku terminali. Wartości potwierdzenia są korzystnie tworzone przez kolejne liczby, np. pozycje licznika. Możliwe jest jednak również wykorzystywanie licznika, którego treść jest zwiększana co drugi
181221 7 raz (co drugie wytworzenie wartości potwierdzenia), tak że za każdym razem dwie kolejne wartości potwierdzenia będą równe. Element płatniczy może rozróżniać pomiędzy pierwszym a trzecim etapem, ale nie musi tak być. Wymieniona zależność wartości potwierdzenia w sposobie według wynalazku zapewnia, że wszystkie etapy transakcji odbywają się pomiędzy tym samym elementem płatniczym a tym samym terminalem. Na fig. 3 jest przedstawione schematycznie wytwarzanie kodu uwierzytelniającego komunikatu MAC (Message Authentication Codę), takiego jak MAC1 i MAC2 z fig. 2. Do procesora 20 realizującego funkcję oznaczoną jako F wprowadza się kilka parametrów. Funkcja F może być funkcjąkryptograficzną(np. funkcjądes) albo tak zwanąfunkcjąkontrolną. Obie te funkcje są znane. Alternatywnie funkcja F może być stosunkowo prostą funkcją kombinatoryczną. W takim przypadku procesor 20 zawiera rejestr przesuwny z selektywnym sprzężeniem zwrotnym. Parametrami wprowadzanymi do procesora 20 (a więc do funkcji F) są: wartość losowa R, saldo S karty, wartość potwierdzenia A, klucz K i wektor inicjalizacji (wartość startowa) Q. Wartość losowa R jest zgodna np. z wartościami R1 i R2 nadawanymi do karty odpowiednio w etapie I i w etapie III. Saldo S karty jest zgodne np. z saldami S1 i S2 zapisanymi na karcie. Klucz K może być (tajnym) kluczem, który jest unikatowy dla określonej karty lub partii kart. Identyfikator klucza K może być zmieniany w etapie potwierdzania lub weryfikacji przed etapem I z fig. 2. Wektor inicjalizacji Q, który inicjalizuje proces F, może zawsze mieć stałą wartość, np. zerową. Alternatywnie wektor Q zależy od pozostałości (stanu końcowego) funkcji F po poprzednim etapie transakcji. Korzystnie wektor Q jest przestawiany do stanu początkowego, kiedy rozpoczyna się nowa transakcja. Wartość potwierdzenia A jest w przedstawionym przykładzie realizacji wytwarzana przez licznik 21. Zawartość licznika 21 jest zwiększana w każdym etapie zapytania (np. etap I i etap III), to znaczy w każdym etapie, w którym kod uwierzytelniający MAC jest wytwarzany w odpowiedzi na liczbę losową R. Na skutek tego dla każdego kodu uwierzytelniającego używana jest inna wartość potwierdzenia A. Gdy inkrement (w tym przypadku +1, ale możliwe są również +2 lub +10) jest określony, terminal może sprawdzić kod uwierzytelniający. Wartość potwierdzenia jest również przesyłana do terminala i sprawdzana przez niego. Licznik 21 przestawia się do stanu początkowego przy uruchamianiu nowej transakcji. W przykładzie z fig. 3 wartość potwierdzenia A wytwarzana jest przez licznik. Alternatywnie licznik 21 zastępowany jest generatorem liczb losowych, który wytwarza nową wartość potwierdzenia A dla każdego etapu zapytania (np. etap I i III) transakcji. W takim przypadku wartość potwierdzenia poprzedniego etapu powinna być wykorzystywana jako wektor inicjalizacji generatora liczb losowych w celu uchronienia się przed wzajemną zależnością i odtwarzalnością wartości potwierdzenia. Schemat z fig. 3 dotyczy zarówno karty jak i terminala. Terminal również wytwarza wartości potwierdzenia A1, A2,... oraz kody uwierzytelniające MAC1, MAC2,... i porównuje je z odpowiednimi kodami uwierzytelniającymi i wartościami potwierdzenia odebranymi z karty. Bilans (np. S2) będzie akceptowany przez terminal tylko wtedy, jeżeli wytworzone i odebrane kody i wartości potwierdzenia są równe. Na fig. 4 jest przedstawiony schemat układu 100, zawierającego zespół sterowania 101, pamięć 102 i zespół wejścia/wyjścia 103, które są ze sobą wzajemnie sprzężone. Zespół sterowania 101 może być np. utworzony przez mikroprocesor lub mikrosterownik. Pamięć 102 może zawierać pamięć RAM i/lub ROM. Pamięć 102 korzystnie zawiera nadającą się do powtórnego zapisywania pamięć ROM (EEPROM). Układ 100 zawiera również dodatkową pamięć 105 do przechowywania wartości potwierdzenia. Pamięć 105 może stanowić oddzielny zespół, ale może również stanowić część pamięci 102 i np. może być utworzona z kilku komórek pamięci 102. Pamięć 105 może stanowić układ licznika. Alternatywnie może być używany oddzielny układ licznika, jak pokazano na fig. 3. Kolejne wartości potwierdzenia są tworzone przez kolejne stany licznika. Pierwsza wartość potwierdzenia A1, która jest używana do utworzenia kodu uwierzytelniającego MAC1,
8 181221 odpowiada stanowi licznika zapamiętanemu w pamięci 105. Po drugim etapie (patrz również fig. 2) stan licznika zostaje zwiększony o jeden. Początkowy stan licznika może być zasadniczo losowy, ale może być również ustawiany na uprzednio określoną wartość, np. na zero. Wytwarzanie wartości potwierdzenia odbywa się autonomicznie, to znaczy bez (ewentualnego) wpływu z zewnątrz. W rezultacie dodatkowo zwiększa się odporność na defraudację. Zamiast zwiększania za każdym razem zawartości licznika o jeden można za każdym razem zmniejszać tę zawartość o jeden. Podobnie zawartość licznika może być za każdym razem zwiększana lub zmniejszana o więcej niż jeden, np. o dwa lub cztery. Możliwe jest również skonstruowanie układu 100 w taki sposób, że wartości potwierdzenia nie są modyfikowane podczas transakcji, a jedynie pomiędzy transakcjami. W takim przypadku oczywiście stanowisko płacenia 12 jest odpowiednio skonstruowane. Stanowisko płacenia 12 przeznaczone do stosowania sposobu według wynalazku zawiera czytnik karty do łączności z elementem płatniczym 11, procesor do przeprowadzania potwierdzeń i pamięć półprzewodnikową do zapisywania wartości sald. Stanowisko płacenia 12 jest skonstruowane w taki sposób, że brak uzyskania potwierdzenia uniemożliwia zapisanie nowej wartości salda. Potwierdzenie według wynalazku zawiera również wartości potwierdzenia. Etapy sposobu według wynalazku mogą być realizowane zarówno w specjalnym układzie scalonym (ASIC), jak i za pomocą odpowiedniego oprogramowania procesora. Fig.2 Fig.3
181 221 Fig. 4
181 221 Fig. 1 Departament Wydawnictw UP RP. Nakład 60 egz. Cena 2,00 zł.