[go: up one dir, main page]

DE102018104184A1 - Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal - Google Patents

Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal Download PDF

Info

Publication number
DE102018104184A1
DE102018104184A1 DE102018104184.5A DE102018104184A DE102018104184A1 DE 102018104184 A1 DE102018104184 A1 DE 102018104184A1 DE 102018104184 A DE102018104184 A DE 102018104184A DE 102018104184 A1 DE102018104184 A1 DE 102018104184A1
Authority
DE
Germany
Prior art keywords
program
information
user
user terminal
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102018104184.5A
Other languages
English (en)
Inventor
Diana Filimon
Thilo Cestonaro
Jürgen Atzkern
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Client Computing Ltd
Original Assignee
Fujitsu Client Computing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Client Computing Ltd filed Critical Fujitsu Client Computing Ltd
Priority to DE102018104184.5A priority Critical patent/DE102018104184A1/de
Priority to PCT/EP2019/054101 priority patent/WO2019162276A1/de
Publication of DE102018104184A1 publication Critical patent/DE102018104184A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F19/00Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
    • G07F19/20Automatic teller machines [ATMs]
    • G07F19/206Software aspects at ATMs
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0833Card having specific functional components
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/031Protect user input by software means

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Finance (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Strategic Management (AREA)
  • Storage Device Security (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals (1). Eine oder mehrere Hardware-Komponenten (2, 3, 4, 5) des Benutzer-Terminals (1) sind vermittels einer ersten Programmschnittstelle (8) an ein Verarbeitungsprogramm (9) angebunden, wobei das Verarbeitungsprogramm (9) eine Verarbeitung von Informationen durchführt, die von der oder den Hardware-Komponenten (2, 3, 4, 5) bereitgestellt werden. Ein Benutzerprogramm (11) ist vermittels einer zweiten Programmschnittstelle (10) an das Verarbeitungsprogramm (9) angebunden. Die zweite Programmschnittstelle (10) unterscheidet sich von der ersten Programmschnittstelle (8). Ein Zugriff des Benutzerprogramms (11) vermittels der ersten Programmschnittstelle (8) auf die eine oder die mehreren Hardware-Komponenten (2, 3, 4, 5) wird unterbunden. Die Verarbeitung der bereitgestellten Informationen durch das Verarbeitungsprogramm (9) umfasst eine Filterung der Informationen.

Description

  • Die Erfindung betrifft ein Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie ein solches Benutzer-Terminal.
  • In Benutzer-Terminals muss aus Sicherheitsgründen ein Zugriff auf sensible, insbesondere sicherheitsrelevante Daten abgesichert beziehungsweise beschränkt werden. Ferner ist in Benutzer-Terminals, die zum Beispiel eine Benutzereingabe über ein berührungsempfindliches Display empfangen oder Kartendaten über einen Kartenleser einlesen, während eines sicherheitsrelevanten Prozesses oder einer sicherheitsrelevanten Anwendung sicherzustellen, dass Informationen, die aus der Benutzereingabe oder dem Einlesen der Kartendaten resultieren, abgesichert bzw. ausschließlich einer vorbestimmten Anwendung beziehungsweise einem vorbestimmten Benutzerprogramm übergeben werden, ohne dass andere Anwendungen oder andere Benutzerprogramme, die während des Betriebes des Benutzer-Terminals laufen, derartige Informationen erhalten können. Derartige Aspekte sind insbesondere bei Benutzer-Terminals relevant, die sicherheitsrelevante Aufgaben erfüllen, zum Beispiel bei sogenannten elektronischen Bezahl-Terminals, die elektronische Bezahlvorgänge ermöglichen und in denen sicherheitsrelevante Informationen verarbeitet und zwischen den einzelnen Komponenten ausgetauscht werden.
  • Bisherige Lösungen sehen vor, eine Authentifizierung von Benutzerprogrammen, die während des Betriebes des Benutzer-Terminals ablaufen, über Zertifikate abzusichern und zu prüfen. Eine solche Lösung ist zum Beispiel aus der Druckschrift US 9,715,600 B2 bekannt. Solche Lösungen haben jedoch den Nachteil, dass Benutzerprogramme trotz gültiger Sicherheitszertifikate unmittelbar Zugriff auf sicherheitsrelevante Hardware-Komponenten innerhalb des Benutzer-Terminals erlangen und unerlaubten Zugriff auf sensible Daten erhalten können. Hierbei besteht somit die Gefahr, dass Benutzerprogramme die Hardware-Komponenten manipulieren oder ausnutzen, um an sicherheitsrelevante Informationen zu gelangen, die jedoch nicht für eine Verarbeitung innerhalb dieser Benutzerprogramme vorgesehen sind. Insbesondere bei multifunktionalen Benutzer-Terminals, auf denen verschiedenste Drittanbieter-Programme und Applikationen installiert werden können, kann ein Schutz über Sicherheitszertifikate unter Umständen unzureichend sein.
  • Es ist somit eine Aufgabe der vorliegenden Erfindung ein Verfahren sowie ein Benutzer-Terminal der eingangs genannten Art zu beschreiben, die eine verbesserte Absicherung eines Zugriffs auf Informationen innerhalb des Benutzer-Terminals erlauben.
  • Diese Aufgabe wird gemäß einem ersten Aspekt durch ein Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals gemäß Patentanspruch 1 gelöst. Weitergehende Merkmale und Implementierungen sind in den zugehörigen Unteransprüchen offenbart.
  • Bei diesem Verfahren sind eine oder mehrere Hardware-Komponenten des Benutzer-Terminals vermittels einer ersten Programmschnittstelle an ein Verarbeitungsprogramm abgebunden. Das Verarbeitungsprogramm führt eine Verarbeitung von ersten Informationen durch, die von der oder den Hardware-Komponenten bereitgestellt und vermittels der ersten Programmschnittstelle an das Verarbeitungsprogramm übergeben werden.
  • Ferner ist ein Benutzerprogramm vermittels einer zweiten Programmschnittstelle an das Verarbeitungsprogramm angebunden. Das Benutzerprogramm tauscht mit dem Verarbeitungsprogramm zweite Informationen aus.
  • Die zweite Programmschnittstelle unterscheidet sich von der ersten Programmschnittstelle. Ein (unmittelbarer) Zugriff des Benutzerprogramms vermittels der ersten Programmschnittstelle auf die eine oder die mehreren Hardware-Komponenten wird dabei unterbunden.
  • Die Verarbeitung der ersten Informationen durch das Verarbeitungsprogramm umfasst eine Filterung der ersten Informationen.
  • Das vorliegende Verfahren ermöglicht auf diese Weise eine kategorische Verhinderung eines unmittelbaren Zugriffs eines Benutzerprogramms auf abzusichernde Informationen, die von Hardware-Komponenten innerhalb des Benutzer-Terminals bereitgestellt werden. Die Hardware-Komponenten sind diesbezüglich über die erste Programmschnittstelle durch das Verarbeitungsprogramm, nicht aber durch das Benutzerprogramm zugänglich. Das Benutzerprogramm, und vorteilhaft auch alle anderen im Benutzer-Terminal eingerichteten Benutzerprogramme, hat ausschließlich vermittels der zweiten Programmschnittstelle Zugriff auf das Verarbeitungsprogramm. Erste Informationen, die zwischen den Hardware-Komponenten und dem Benutzerprogramm gemäß einer vorbestimmten Funktionalität des Benutzer-Terminals ausgetauscht werden sollen, werden zunächst über die erste Programmschnittstelle zwischen den Hardware-Komponenten und dem Verarbeitungsprogramm ausgetauscht und vermittels des Verarbeitungsprogramms weiter verarbeitet. Diese weitere Verarbeitung umfasst eine Filterung der ersten Informationen.
  • Anschließend werden zweite Informationen vermittels der zweiten Programmschnittstelle zwischen dem Verarbeitungsprogramm und dem Benutzerprogramm ausgetauscht. Die Verarbeitung der zweiten Informationen durch das Benutzerprogramm ist somit auf die Verwendung der zweiten Programmschnittstelle beschränkt. Die zweiten Informationen können die gefilterten ersten Informationen und/oder weitere Informationen enthalten.
  • Ein entsprechender Informationsaustausch zwischen allen beteiligten Komponenten innerhalb des Benutzer-Terminals kann zum Beispiel über ein Software-Protokoll gesteuert werden, das einen entsprechenden (beschränkten) Zugriff auf die jeweiligen Programmschnittstellen steuert. Die Verwendung und ggf. Konfiguration der ersten beziehungsweise zweiten Programmschnittstellen kann vorteilhaft über vorgegebene Benutzerrechte, Zertifikate oder entsprechende Policies gesteuert werden.
  • Auf diese Weise ist ein abgesicherter Zugriff auf sensible Informationen innerhalb des Benutzer-Terminals eingerichtet, wobei die oben erläuterten Gefahren und Nachteile herkömmlicher Lösungen weitestgehend unterbunden werden.
  • Aufgrund der Auftrennung einer Zugriffskette zwischen dem Benutzerprogramm und den Hardware-Komponenten über verschiedene Programmschnittstellen unter Zwischenschaltung des Verarbeitungsprogramms in Kombination mit einer Filterung der von den Hardware-Komponenten bereitgestellten Informationen innerhalb des Verarbeitungsprogramms, wird ein (manipulativer) Zugriff eines Benutzerprogramms auf sensible Informationen der Hardware-Komponenten unterbunden. Somit wird sichergestellt, dass gegebenenfalls unsichere Benutzerprogramme, zum Beispiel Programme von Drittanbietern, die auf dem Benutzer-Terminal installiert sind, keinen (manipulativen) Zugriff auf derartige Informationen erhalten. Damit kann verhindert werden, dass sicherheitsrelevante Informationen, die vermittels der Hardware-Komponenten verarbeitet werden, zum Beispiel personenbezogene Daten, PIN-Abfragen (PIN = Englisch: personal identification number), vertrauliche Informationen, Kartendaten von Bank-, Zahlungs- oder Sicherheitskarten, z.B. so genannte PAN-Nummern (PAN = Englisch: primary account number) und so weiter, von nicht berechtigten Benutzerprogrammen abgegriffen werden. Durch Filterung der von den Hardware-Komponenten bereitgestellten Informationen können sensible Daten innerhalb der Sphäre des Verarbeitungsprogramms bzw. der Hardware-Komponenten verbleiben. Diese sensiblen Daten sind dann vor einem ungewollten Zugriff durch Benutzerprogramme geschützt. Gegebenenfalls können die sensiblen Daten in geschützter Form, z.B. verschlüsselt, an autorisierte Benutzerprogramme weitergegeben werden.
  • In einer Implementierung des Verfahrens führt das Benutzerprogramm eine Verarbeitung der zweiten Informationen durch, die vom Verarbeitungsprogramm bereitgestellt und vermittels der zweiten Programmschnittstelle an das Benutzerprogramm übergeben werden. Die zweiten Informationen können dabei zumindest zum Teil aus den gefilterten ersten Informationen resultieren. In dieser Implementierung des Verfahrens stellt das Verarbeitungsprogramm die gefilterten Informationen (oder einen Teil der gefilterten Informationen) als die zweiten Informationen vermittels der zweiten Programmschnittstelle dem Benutzerprogramm bereit. Das Benutzerprogramm führt eine weitere Verarbeitung der zweiten Informationen durch.
  • Auf diese Weise werden die ersten Informationen vermittels einer erläuterten Filterung durch das Verarbeitungsprogramm und einer Auftrennung des Informationsaustausches über die ersten und zweiten Programmschnittstellen logisch getrennt von den zweiten Informationen, die an das Benutzerprogramm übergeben werden. Somit erhält das Benutzerprogramm ausschließlich Informationen, die zunächst vom Verarbeitungsprogramm gefiltert worden sind. Dadurch wird verhindert, dass das Benutzerprogramm ungewollten Zugriff auf sensible Informationen erhält, die in den ersten Informationen enthalten sind.
  • Eine Anwendung dieser Implementierung ist beispielsweise dadurch gegeben, dass die ersten Informationen personenbezogene oder ansonsten sicherheitsrelevante Informationen sind, die derart unter Zuhilfenahme des Verarbeitungsprogramms verarbeitet, insbesondere gefiltert, werden, dass das Benutzerprogramm lediglich einen vorbestimmten und durch die Filterung gegebenenfalls dezidiert eingeschränkten Zugriff auf weitere Informationen erhält. Dadurch wird verhindert, dass nicht autorisierte Benutzerprogramme Zugriff auf Informationen erhalten, die nicht für diese Benutzerprogramme bestimmt sind. Durch eine Filterung der ersten Informationen, gesteuert durch das Verarbeitungsprogramm, kann somit ein Informationsfluss hin zu vorbestimmten Benutzerprogrammen anwendungs- und benutzerrechte-spezifisch kontrolliert und zu schützende Daten herausgefiltert werden. Ein unmittelbares Erlagen der ersten Informationen durch jegliche Benutzerprogramme innerhalb des Benutzer-Terminals wird, wie oben erläutert, durch eine Trennung zwischen der ersten und zweiten Programmschnittstelle unterbunden.
  • In einer Implementierung des Verfahrens umfassen die ersten Informationen einen oder mehrere Kommando-/Datenblöcke eines Kommunikationsprotokolls. Das Verarbeitungsprogramm analysiert während der Filterung die einen oder mehreren Kommando-/Datenblöcke gemäß vorbestimmten Kriterien und entfernt definierte Informationen innerhalb der einen oder mehreren Kommando-/Datenblöcke oder ersetzt diese durch andere Informationen. Die Kommando-/Datenblöcke sind z.B. als sogenannte „Application Protocol Data Units“ (APDU) aufgebaut. Die Filterung innerhalb des Verarbeitungsprogramms kann dabei als APDU-Filterung implementiert sein. Z.B. kann ein Parser implementiert sein, der die APDU-Kommando-/Datenblöcke analysiert, nach vorbestimmten Befehlen, Sequenzen, Informationen, o.ä. durchsucht, und gefundene Informationen entsprechend filtert (entfernt oder durch andere Informationen ersetzt). Z.B. können Kartendaten einer Benutzerkarte, die in den APDU-Kommando-/Datenblöcken eingetragen sind, entsprechend verarbeitet werden. Das Verarbeitungsprogramm kann zweite Informationen, die die gefilterten ersten Informationen zumindest teilweise enthalten, an das Benutzerprogramm übergeben. Es ist auch möglich, dass das Benutzerprogramm einen oder mehrere APDU-Befehle an das Verarbeitungsprogramm sendet, wodurch eine Bereitstellung/Übermittlung der zweiten Informationen vom Verarbeitungsprogramm an das Benutzerprogramm ausgelöst wird.
  • In diversen Implementierungen des Verfahrens umfassen die eine oder mehreren Hardware-Komponenten des Benutzer-Terminals ein berührungsempfindliches Display und/oder ein Karten-Lesegerät, wobei die ersten Informationen aus einer am berührungsempfindlichen Display registrierten Benutzereingabe und/oder aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät gewonnen werden. In diesem Fall können die ersten Informationen sensible Daten enthalten, z.B. Passwörter, PINs, PANs, Kartendaten, Bankdaten, Kontodaten, Benutzernamen, Benutzeradresse, usw. Die ersten Informationen können hier insbesondere als APDU-Kommando-/Datenblöcke zwischen den Hardware-Komponenten und dem Verarbeitungsprogramm ausgetauscht werden. Das Verarbeitungsprogramm führt dann eine APDU-Filterung durch.
  • In diversen Implementierungen des Verfahrens umfasst das Benutzer-Terminal mehrere der Hardware-Komponenten, wobei die Hardware-Komponenten neben dem berührungsempfindlichen Display und/oder dem Karten-Lesegerät zusätzlich ein Verschlüsselungsmodul umfassen, und wobei die gewonnenen ersten Informationen vermittels des Verschlüsselungsmoduls verschlüsselt werden. Informationen, die die verschlüsselten ersten Informationen umfassen, können als zumindest ein Teil der zweiten Informationen vom Verarbeitungsprogramm an das Benutzerprogramm übergeben werden. Derartige Maßnahmen stellen neben einer Filterung der ersten Informationen eine weitere Sicherheit gegen unbefugten Zugriff auf sensible Informationen dar. Die ersten Informationen können (bedarfsweise) verschlüsselt und in verschlüsselter Form vom Verarbeitungsprogramm an ein dezidiertes Benutzerprogramm übergeben werden. Dies hat den Vorteil, dass ein Benutzerprogramm bedarfsweise gesteuerten Zugriff auf erste (ungefilterte) Informationen vermittels des Verarbeitungsprogramms hat. Aus Sicherheitsgründen werden solche ersten Informationen jedoch verschlüsselt, um einen unbefugten Zugriff durch andere, nicht autorisierte Benutzerprogramme zu unterbinden. Eine Verschlüsselung kann z.B. über ein asymmetrisches Kryptographie-Verfahren durchgeführt werden, wobei mehrere Schlüssel (öffentlicher/privater Schlüssel) zwischen dem Verarbeitungsprogramm und dem dezidierten Benutzerprogramm verwendet werden. Das Benutzerprogramm kann z.B. über einen intern hinterlegten öffentlichen Schlüssel des Verarbeitungsprogramms die verschlüsselten ersten Informationen entschlüsseln und weiterverarbeiten. Ergänzend ist auch möglich, dass gefilterte erste Informationen über das Verschlüsselungsmodul verschlüsselt werden, bevor diese als zweite Informationen an ein Benutzerprogramm übergeben werden.
  • Diese Implementierungen des Verfahrens können beispielsweise zur Verarbeitung eines Benutzerpasswortes, wie zum Beispiel einer PIN, verwendet werden. Dabei ist beispielsweise möglich, dass ein Benutzer zunächst eine Benutzerkarte am Karten-Lesegerät vorhalten muss, wobei Kartendaten der Benutzerkarte durch das Karten-Lesegerät gelesen werden, und anschließend ein Benutzerpasswort, wie zum Beispiel seine Benutzer-PIN, am berührungsempfindlichen Display des Benutzer-Terminals eingeben muss. Alternativ können auch Implementierungen vorgesehen sein, bei denen ausschließlich eine Benutzerkarte gelesen wird oder ausschließlich eine Benutzer-PIN-Eingabe erforderlich ist. Hier sind verschiedene Möglichkeiten denkbar.
  • Anschließend werden die so gewonnenen Informationen (Benutzer-PIN und/oder Kartendaten) über das Verschlüsselungsmodul, das Teil der Hardware-Komponenten ist, separat oder ergänzend zu einer Filterung dieser gewonnenen Informationen verschlüsselt. Das Verfahren kann derart implementiert sein, dass das Verschlüsselungsmodul durch das Verarbeitungsprogramm kontrolliert beziehungsweise gesteuert wird oder das Verarbeitungsprogramm bestimmte Daten an das Verschlüsselungsmodul zu deren Verarbeitung übergibt. Zum Beispiel kann das Verarbeitungsprogramm dem Verschlüsselungsmodul einen bestimmten Schlüssel zum Verschlüsseln der so gewonnenen Informationen übergeben. Alternativ kann das Verfahren derart implementiert sein, dass ein entsprechender Schlüssel innerhalb des Verschlüsselungsmoduls hinterlegt ist und das Verschlüsselungsmodul lediglich die zu verschlüsselnden Informationen vom Verarbeitungsprogramm mitgeteilt bekommt. Das Verschlüsselungsmodul kann beispielsweise ein Kryptoprozessor sein. Nach Verschlüsselung der verschlüsselnden Informationen werden die verschlüsselten Informationen vermittels der ersten Programmschnittstelle vom Verschlüsselungsmodul an das Verarbeitungsprogramm übergeben und können dort gemäß den obigen Erläuterungen gefiltert werden, falls eine derartige Filterung nicht schon vor der Verschlüsselung durchgeführt wurde. Vermittels des Verarbeitungsprogramms werden die so verarbeiteten Informationen über die zweite Programmschnittstelle an ein hierfür bestimmtes Benutzerprogramm des Benutzer-Terminals übergeben.
  • Das Benutzerprogramm kann beispielsweise ein dezidiertes Drittanbieter-Programm sein, für das die verschlüsselten Informationen zur weiteren Verarbeitung bestimmt sind. Auf diese Weise wird verhindert, dass dieses Benutzerprogramm oder sonstige Benutzerprogramme manipulativen unmittelbaren Zugriff auf die über die Hardware-Komponenten verarbeiteten Informationen erhalten. Ferner wird verhindert, dass Drittanbieter-Benutzerprogramme Zugriff auf verarbeitete Informationen erhalten, die nicht für diese Benutzerprogramme bestimmt sind. Auf diese Weise kann das Verarbeitungsprogramm steuern, welches Benutzerprogramm welche Informationen erhält. Bestimmte Applikationen können auf diese Weise durch das Verarbeitungsprogramm kontrolliert werden, wobei eine logische Trennung des Informationsflusses zwischen den Hardware-Komponenten und den jeweiligen Anwendungsprogrammen vermittels der Trennung der ersten und zweiten Programmschnittstelle unter Einsatz einer Verschlüsselung und/oder Filterung der ersten Informationen erfolgt.
  • Wie oben erläutert, unterscheidet sich die zweite Programmschnittstelle von der ersten Programmschnittstelle. Die erste Programmschnittstelle ermöglicht den daran angebundenen Komponenten eine Interprozess-Kommunikation, die sich von einer Interprozess-Kommunikation unterscheidet, die die zweite Programmschnittstelle den daran angebunden Komponenten bereitstellt. Das kann bedeuten, dass vermittels der ersten Programmschnittstelle bestimmte Funktionsaufrufe, Befehle oder Anweisungen zwischen den daran angebundenen Komponenten ausgetauscht werden können, die vermittels der zweiten Programmschnittstelle lediglich eingeschränkt oder unter Umständen gar nicht erlaubt sind. Es ist auch denkbar, dass sich alternativ oder ergänzend die Funktionsaufrufe, Befehle oder Anweisungen, die durch die erste Programmschnittstelle bereitgestellt werden, von denjenigen unterscheiden, die die zweite Programmschnittstelle bereitstellt. Hier sind vielerlei Ausführungen möglich. Die erste und zweite Programmschnittstelle können beispielsweise vordefinierte Anwendungsprogramm-Schnittstellen (Englisch: Application Programm Interfaces, APIs) sein.
  • Vorteilhaft wird ein Zugriff des Benutzerprogramms vermittels der ersten Programmschnittstelle auf die eine oder die mehreren Hardware-Komponenten dadurch unterbunden, dass eine Anbindung des Benutzerprogramms an die erste Programmschnittstelle beziehungsweise ein Zugriff des Benutzerprogramms auf die erste Programmschnittstelle vollständig unterbunden wird. In dieser Konstellation ist das Benutzerprogramm logisch unmittelbar getrennt von der ersten Programmschnittstelle. Das bedeutet, dass das Benutzerprogramm keinerlei Funktionsaufruf oder sonstige Anweisungen vermittels der ersten Programmschnittstelle durchführen kann. Es ist alternativ jedoch auch denkbar, dass das Benutzerprogramm zwar an die erste Programmschnittstelle logisch unmittelbar angebunden ist, die erste Programmschnittstelle jedoch in Bezug auf das Benutzerprogramm derart konfiguriert ist, dass ein Funktionsaufruf, ein Befehl oder eine Abfrage von Informationen der Hardware-Komponenten durch das Benutzerprogramm vermittels der ersten Programmschnittstelle unterbunden werden. Hier sind verschiedenste Implementierungen möglich.
  • In einer Implementierung des Verfahrens wird die erste Programmschnittstelle innerhalb einer ersten Benutzerumgebung betrieben bzw. kontrolliert, während die zweite Programmschnittstelle innerhalb einer zweiten Benutzerumgebung betrieben bzw. kontrolliert wird. Die zweite Benutzerumgebung ist der ersten Benutzerumgebung derart hierarchisch untergeordnet, dass Benutzerrechte der zweiten Benutzerumgebung gegenüber Benutzerrechten der ersten Benutzerumgebung eingeschränkt sind. Die erste Benutzerumgebung kann beispielsweise eine sogenannte Root-Benutzerumgebung (root context) sein, während die zweite Benutzerumgebung eine Standardnutzer-Umgebung (user context) ist. Dadurch ist die Funktionalität der ersten Programmschnittstelle bestimmten Benutzerrechten der ersten Benutzerumgebung unterworfen, während die Funktionalität der zweiten Programmschnittstelle bestimmten Benutzerrechten der zweiten Benutzerumgebung unterworfen ist, die sich von den Benutzerrechten der ersten Benutzerumgebung unterscheiden.
  • Das Verfahren kann derart implementiert sein, dass die Benutzerrechte der zweiten Benutzerumgebung derart eingeschränkt sind, dass vorgegebene Funktionalitäten der zweiten Programmschnittstelle innerhalb der zweiten Benutzerumgebung lediglich verwendet werden können, jedoch innerhalb der zweiten Benutzerumgebung nicht geändert oder speziell konfiguriert werden können. Hierbei kann das Verfahren derart implementiert sein, dass die Funktionalitäten der zweiten Programmschnittstelle innerhalb der ersten Benutzerumgebung festgelegt werden. Alternativ kann das Verfahren derart implementiert sein, dass die Benutzerrechte der zweiten Benutzerumgebung eine Veränderung der Konfiguration der zweiten Programmschnittstelle erlauben. Ein Zugriff auf bzw. eine Verwendung oder Konfiguration der ersten Programmschnittstelle unterliegt jedoch bei sämtlichen dieser Implementierungen ausschließlich der ersten Benutzerumgebung.
  • Es ist möglich, das Verfahren derart einzurichten, dass sowohl innerhalb der ersten Benutzerumgebung als auch innerhalb der zweiten Benutzerumgebung ein Zugriff auf die zweite Programmschnittstelle zugelassen wird. Das bedeutet, dass die zweite Programmschnittstelle von sämtlichen Programmen (hier konkret Benutzerprogramm und Verarbeitungsprogramm) mit entsprechenden Benutzerrechten gesteuert, benutzt oder kontrolliert werden kann. Die erste Programmschnittstelle kann dagegen nur von Programmen (zum Beispiel im hier vorliegenden Fall das Verarbeitungsprogramm und die Hardware-Komponenten) gesteuert, benutzt oder kontrolliert werden, die über entsprechende Benutzerrechte der ersten Benutzerumgebung verfügen.
  • Ergänzend können auch das Verarbeitungsprogramm sowie das Benutzerprogramm entsprechend durch getrennte Benutzerumgebungen kontrolliert werden. Dabei kann zum Beispiel das Verarbeitungsprogramm innerhalb der ersten Benutzerumgebung kontrolliert werden und das Benutzerprogramm innerhalb der zweiten Benutzerumgebung kontrolliert werden, wobei die zweite Benutzerumgebung gegenüber der ersten Benutzerumgebung in ihren Benutzerrechten eingeschränkt ist. Auf diese Weise sind Zugriff- und Steuerrechte des Benutzerprogramms gegenüber Zugriff- und Steuerrechten des Verarbeitungsprogramms eingeschränkt. Vorteilhaft erhalten sämtliche Benutzerprogramme, die während eines Betriebes des Benutzer-Terminals laufen, ausschließlich Benutzerrechte der zweiten Benutzerumgebung, während das Verarbeitungsprogramm dem gegenüber erweiterte Benutzerrechte, zum Beispiel der ersten Benutzerumgebung, erhalten kann.
  • In einer Implementierung des Verfahrens sind die eine oder mehreren Hardware-Komponenten des Benutzer-Terminals und/oder das Verarbeitungsprogramm vermittels der ersten Programmschnittstelle an ein Darstellungsprogramm angebunden.
  • Das Darstellungsprogramm führt eine Verarbeitung von dritten Informationen zur Darstellung auf einem Display des Benutzer-Terminals durch. Die dritten Informationen werden zwischen dem Darstellungsprogramm und der oder den Hardware-Komponenten beziehungsweise dem Verarbeitungsprogramm vermittels der ersten Programmschnittstelle ausgetauscht. Hinsichtlich einer Konfiguration des Darstellungsprogramms bezüglich der ersten Programmschnittstelle beziehungsweise bezüglich Benutzerrechten einer oben erläuterten ersten Benutzerumgebung können die gleichen Vorkehrungen gelten, wie sie in Bezug auf das Verarbeitungsprogramm oben erläutert worden sind. Das Darstellungsprogramm ist, wie die Hardware-Komponenten und das Verarbeitungsprogramm, an die erste Programmschnittstelle angebunden und dient zur Darstellung von dritten Informationen auf einem Display des Benutzer-Terminals. Die dritten Informationen können den ersten und/oder zweiten Informationen entsprechen, derartige Informationen enthalten oder sich von den ersten oder zweiten Informationen unterscheiden.
  • Das Darstellungsprogramm kann beispielsweise Hinweisdialoge, Nachrichten oder Benutzeraufforderungen auf einem Display, gegebenenfalls auf einem berührungsempfindlichen Display, darstellen, die einen Benutzer des Benutzer-Terminals zur Verwendung oder Funktonalität der Hardware-Komponenten anleiten. Beispielsweise kann das Darstellungsprogramm ein Dialogfeld im Display anzeigen, wonach der Benutzer des Benutzer-Terminals aufgefordert wird, eine bestimmte Eingabe an einer oder mehreren Hardware-Komponenten durchzuführen oder allgemein eine bestimmte Interaktion mit einer oder mehreren Hardware-Komponenten zu vollführen. Das Darstellungsprogramm kann beispielsweise ein sogenanntes Graphical User Interface (GUI) sein.
  • In einer Implementierung des Verfahrens ist das Benutzerprogramm vermittels der zweiten Programmschnittstelle an das Darstellungsprogramm angebunden. Dabei führt das Darstellungsprogramm eine Verarbeitung von vierten Informationen zur Darstellung auf dem Display des Benutzer-Terminals durch, wobei die vierten Informationen zwischen dem Darstellungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle ausgetauscht werden. Auf diese Weise kann das Benutzerprogramm vermittels der zweiten Programmschnittstelle, neben dem Verarbeitungsprogramm, auf das Darstellungsprogramm zugreifen, um bestimmte Informationen (vierte Informationen) mit dem Darstellungsprogramm auszutauschen. Beispielsweise kann das Benutzerprogramm bestimmte benutzerprogramm-spezifische Dialogfelder, Hinweise oder ähnliches des Darstellungsprogramms auf dem Display des Benutzer-Terminals zur Anzeige bringen. Allerdings gilt auch hier, wie bezüglich des Verarbeitungsprogramms, dass das Benutzerprogramm ausschließlich vermittels der zweiten Programmschnittstelle mit dem Darstellungsprogramm kommunizieren kann (eingeschränkte Interprozesskommunikation vermittels der zweiten Programmschnittstelle), ohne dass das Benutzerprogramm vermittels der ersten Programmschnittstelle Zugriff auf weitergehende Informationen oder Funktionalitäten hat, die das Darstellungsprogramm mit dem Verarbeitungsprogramm und/oder den Hardware-Komponenten über die erste Programmschnittstelle austauscht.
  • In diversen Implementierungen des Verfahrens wird während eines Austausches der zweiten Informationen zwischen dem Verarbeitungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle und/oder während eines Austausches der dritten Informationen zwischen dem Darstellungsprogramm und der oder den Hardware-Komponenten beziehungsweise dem Verarbeitungsprogramm vermittels der ersten Programmschnittstelle ein Austausch der vierten Informationen zwischen dem Darstellungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle unterbunden. Das bedeutet, dass währenddessen das Benutzerprogramm keinen Zugriff auf das Darstellungsprogramm vermittels der zweiten Programmschnittstelle hat. In diesem Fall erfolgt lediglich eine Informationsübertragung zwischen dem Darstellungsprogramm und den Hardware-Komponenten beziehungsweise dem Verarbeitungsprogramm vermittels der ersten Programmschnittstelle oder ein Austausch von Informationen zwischen dem Verarbeitungsprogramm und dem Benutzerprogramm vermittels der zweiten Programmschnittstelle.
  • Beispielsweise kann dadurch verhindert werden, dass das Benutzerprogramm einen manipulativen Zugriff auf das Darstellungsprogramm erhält, wenn sensible Informationen zwischen sonstigen Komponenten des Benutzer-Terminals ausgetauscht werden, die (in dieser Form) nicht für das Benutzerprogramm bestimmt sind. Weiterhin kann auf diese Weise verhindert werden, dass sonstige Benutzerprogramme manipulativen Zugriff auf das Darstellungsprogramm und/oder das Verarbeitungsprogramm erhalten, während entsprechende sensible Informationen zwischen sonstigen Komponenten des Benutzer-Terminals ausgetauscht werden, die nicht für die weiteren Benutzerprogramme bestimmt sind. Auf diese Weise kann zum Beispiel verhindert werden, dass Benutzerprogramme von Drittanbietern Funktionen oder Befehle der zweiten Programmschnittstelle aufrufen können, während sensible Informationen im Benutzer-Terminal verarbeitet werden, die nicht für diese Drittanbieter-Benutzerprogramme bestimmt sind.
  • In diversen Implementierungen wird das Verfahren während eines elektronischen Bezahlvorgangs des Benutzer-Terminals durchgeführt. Der elektronische Bezahlvorgang kann beispielsweise dadurch ablaufen, dass ein Benutzer eine elektronische Bankkarte an einem hierfür eingerichteten Karten-Lesegerät der oben erläuterten Art einlesen lässt, wobei vermittels eines oben dargestellten Darstellungsprogramms bestimmte Anweisungen, Dialogfelder oder Ähnliches an einem Display angezeigt werden. Beispielsweise kann gesteuert durch das Verarbeitungsprogramm vermittels der ersten Programmschnittstelle und gesteuert durch das Darstellungsprogramm nach Einlesen und Verifizieren von Kartendaten der elektronischen Bankkarte ein Dialogfeld auf dem Display angezeigt werden, das den Benutzer zur Eingabe einer Benutzer-PIN auffordert. Der Benutzer kann daraufhin eine Benutzer-PIN am Benutzer-Terminal eingeben. Hierfür kann ein vom Display separates Eingabefeld vorgesehen sein. Alternativ kann das Display berührungsempfindlich eingerichtet sein, sodass der Benutzer unmittelbar am Display eine Eingabe vornehmen kann. Die Eingabedaten werden über das Display beziehungsweise das Eingabefeld registriert und dem Verarbeitungsprogramm übergeben. Dies geschieht ebenfalls über die erste Programmschnittstelle. Zusätzlich kann dieser Prozess durch entsprechende Hinweise, Nachrichten oder Dialogfelder gesteuert durch das Darstellungsprogramm auf dem Display unterstützt werden. Auch dies geschieht über eine Interprozess-Kommunikation zwischen den beteiligten Komponenten vermittels der ersten Programmschnittstelle.
  • Die auf diese Weise gewonnenen Informationen können gesteuert durch das Verarbeitungsprogramm gemäß der oben erläuterten Funktionsweise gefiltert und/oder unter Zuhilfenahme eines Verschlüsselungsmoduls der oben erläuterten Art verschlüsselt werden. Ein entsprechender Informationsaustausch zwischen den beteiligten Komponenten erfolgt ebenfalls vermittels der ersten Programmschnittstelle. Nach Verschlüsselung/Filterung der entsprechenden Informationen werden diese über das Verarbeitungsprogramm und die zweite Programmschnittstelle schließlich an ein dezidiertes Benutzerprogramm des Benutzer-Terminals übergeben, wobei das Benutzerprogramm beispielsweise ein Bezahlprogramm eines Zahlungsdienstleisters ist, dessen entsprechende Applikation auf dem Benutzer-Terminal installiert ist. Dieses Benutzerprogramm erhält somit gesteuert durch das Verarbeitungsprogramm vermittels der zweiten Programmschnittstelle dezidiert bestimmte Informationen und kann diese innerhalb des Benutzerprogramms weiter verarbeiten. Beispielsweise können bestimmte personenbezogene Daten des Benutzers vom Benutzerproramm an einen entfernten Authentifizierungs-Server einer Bank versendet werden, um den Benutzer zu authentifizieren und für den Bezahlvorgang freizugeben. Der Vorteil eines derartig gesteuerten Bezahlvorgangs vermittels des hier erläuterten Verfahrens besteht darin, dass unsichere Benutzerprogramme keinen unmittelbaren Zugriff auf abzusichernde Informationen erhalten. Ferner wird verhindert, dass derlei Informationen an Benutzerprogramme weitergegeben werden, die nicht für diese Benutzerprogramme bestimmt sind. Auf diese Weise wird ein sicherer Zugriff auf sensible Informationen innerhalb des Benutzer-Terminals gewährleistet und ein manipulativer Zugriff auf diese sensiblen Informationen durch nichtautorisierte Benutzerprogramme unterbunden.
  • Gemäß einem zweiten Aspekt wird die obige Aufgabe durch ein Benutzer-Terminal gemäß dem nebengeordneten Patentanspruch 7 gelöst. Vorteilhafte Ausführungsformen sind in den zugehörigen Unteransprüchen offenbart.
  • Das Benutzer-Terminal weist eine oder mehrere Hardware-Komponenten, ein Verarbeitungsprogramm und ein Benutzerprogramm auf. Die eine oder mehreren Hardware-Komponenten sind vermittels einer ersten Programmschnittstelle an das Verarbeitungsprogramm angebunden. Das Benutzerprogramm ist vermittels einer zweiten Programmschnittstelle an das Verarbeitungsprogramm angebunden. Die zweite Programmschnittstelle unterscheidet sich von der ersten Programmschnittstelle. Das Benutzer-Terminal ist derart konfiguriert, dass ein (unmittelbarer) Zugriff des Benutzerprogramms vermittels der ersten Programmschnittstelle auf die eine oder die mehreren Hardware-Komponenten unterbunden ist. Innerhalb des Verarbeitungsprogramms ist ein Filter implementiert zur Filterung von Informationen, die von der oder den Hardware-Komponenten bereitgestellt und vermittels der ersten Programmschnittstelle an das Verarbeitungsprogramm übergeben werden. Auch in Bezug auf ein derartiges Benutzer-Terminal gelten die im Zusammenhang mit dem obigen Verfahren erläuterten Vorteile analog.
  • In diversen Ausführungsformen des Benutzer-Terminals ist der Filter eingerichtet, Kommando-/Datenblöcke eines Kommunikationsprotokolls innerhalb der bereitgestellten Informationen gemäß vorbestimmter Kriterien zu analysieren und definierte Informationen innerhalb der Kommando-/Datenblöcke zu entfernen oder durch andere Informationen zu ersetzen. Die Kommando-/Datenblöcke sind z.B. als sogenannte „Application Protocol Data Units“ (APDU) aufgebaut. Der Filter innerhalb des Verarbeitungsprogramms kann dabei als APDU-Filter implementiert sein. Z.B. kann ein Parser implementiert sein, der eingerichtet ist die APDU-Kommando-/Datenblöcke zu analysieren, nach vorbestimmten Befehlen, Sequenzen, Informationen, o.ä. zu durchsuchen, und gefundene Informationen entsprechend zu filtern (zu entfernen oder durch andere Informationen zu ersetzen). Auch hier gelten die im Zusammenhang mit dem obigen Verfahren erläuterten Aspekte analog.
  • In diversen Ausführungsformen des Benutzer-Terminals umfassen die eine oder mehreren Hardware-Komponenten des Benutzer-Terminals ein berührungsempfindliches Display und/oder ein Karten-Lesegerät. Die Informationen sind aus einer am berührungsempfindlichen Display registrierten Benutzereingabe und/oder aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät erfassbar.
  • In diversen Ausführungsformen umfasst das Benutzer-Terminal mehrere der Hardware-Komponenten, wobei die Hardware-Komponenten neben dem berührungsempfindlichen Display und/oder dem Karten-Lesegerät zusätzlich ein Verschlüsselungsmodul umfassen. Das Verschlüsselungsmodul ist eingerichtet, erfasste Informationen, die aus einer am berührungsempfindlichen Display registrierten Benutzereingabe beziehungsweise aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät erfasst werden, zu verschlüsseln und die verschlüsselten Informationen vermittels der ersten Programmschnittstelle dem Verarbeitungsprogramm zu übergeben. Das Verarbeitungsprogramm ist eingerichtet, die erfassten Informationen vor oder nach einer Verschlüsselung entsprechend den obigen Vorgaben zu filtern. Das Verarbeitungsprogramm ist ferner eingerichtet, Informationen, die die verschlüsselten und ggf. gefilterten Informationen umfassen, vermittels der zweiten Programmschnittstelle an das Benutzerprogramm zu übergeben.
  • Das Benutzer-Terminal ist vorteilhaft ein elektronisches Bezahl-Terminal, wobei das Benutzerprogramm zur Abwicklung eines elektronischen Bezahlvorgangs eingerichtet ist. Auch hier gelten die obigen Erläuterungen analog.
  • Sämtliche hier dargestellten Implementierungen, Merkmale und Aspekte des oben erläuterten Verfahrens finden in strukturellen Merkmalen des Benutzer-Terminals Niederschlag und umgekehrt.
  • Die vorliegende Erfindung wird anhand eines Ausführungsbeispiels unter Zuhilfenahme einer Zeichnung nachfolgend näher erläutert.
  • Die Figur zeigt ein Benutzer-Terminal 1, in dem ein Benutzerprogramm 11, ein Verarbeitungsprogramm 9 und ein Darstellungsprogramm 13 installiert sind und bei Betrieb des Benutzer-Terminals 1 ablaufen. Neben dem Benutzerprogramm 11 können ein oder mehrere weitere Benutzerprogramme 12 installiert sein. Die Benutzerprogramme 11 beziehungsweise 12 können beispielsweise bestimmte Drittanbieter-Programme oder Softwareapplikationen sein, die von (oder für) Drittanbieter(n) auf dem Benutzer-Terminal 1 installiert sind und vorbestimmte Funktionalitäten für Benutzer zur Verfügung stellen. Auf diese Weise kann ein multifunktionales Benutzer-Terminal 1 realisiert werden.
  • Das Benutzerprogramm 11 ist beispielsweise ein Bezahlprogramm eines Zahlungsdienstleisters, wie zum Beispiel einer Bank, zur Abwicklung eines elektronischen Bezahlvorgangs. Das Benutzerprogramm 11 umfasst bestimmte Funktionalitäten beziehungsweise Funktionen oder Funktionsblöcke 16, die die Funktionalität des Benutzerprogramms 11 vorgeben. Die Funktionsblöcke 16 können Funktionen für den elektronischen Zahlungsverkehr, z.B. einen sogenannten EMVCo Stack, und oder ein Netzwerk-Framework, z.B. ein sogenanntes Agnos-Framework, umfassen.
  • Das Verarbeitungsprogramm 9 (z.B. als „gpiDBus“ bezeichnet) umfasst bestimmte Funktionsblöcke 14, die zur Funktionalität des Verarbeitungsprogramms 9 eingerichtet sind. Beispielsweise können die Funktionsblöcke 14 bestimmte aufzurufende Programmfunktionen zur Verarbeitung von Daten und Informationen innerhalb des Verarbeitungsprogramms 9 umfassen. Diese können z.B. auf PIN bezogene (PIN related), auf Karten/Kartenleser bezogene (card related), auf Verschlüsselung bezogene (crypto related) oder auf Magnetstreifen/Magnetstreifenleser bezogene (MSR related) Programmfunktionen sein.
  • Innerhalb des Verarbeitungsprogramms 9, z.B. innerhalb der Funktionsblöcke 14, sind ein oder mehrere Filter zur Filterung von Daten und Informationen innerhalb des Verarbeitungsprogramms 9 implementiert. Der oder die Filter umfassen z.B. einen oder mehrere Parser, die die Informationen analysieren, durchsuchen und gefundene Informationen nach vorgegebenen Kriterien filtern (entfernen oder durch andere Informationen ersetzen).
  • Der oder die Filter können als APDU-Filter implementiert sein, wobei die zu filternden Informationen einen oder mehrere Kommando-/Datenblöcke eines APDU-Kommunikationsprotokolls umfassen. Das Verarbeitungsprogramm 9 analysiert während der Filterung die einen oder mehreren APDU-Kommando-/Datenblöcke gemäß vorbestimmten Kriterien und entfernt definierte Informationen innerhalb der einen oder mehreren APDU-Kommando-/Datenblöcke oder ersetzt diese durch andere Informationen. Z.B. ist ein APDU-Parser implementiert, der die APDU-Kommando-/Datenblöcke analysiert, nach vorbestimmten Befehlen, Sequenzen, Informationen, o.ä. durchsucht, und gefundene Informationen entsprechend filtert (entfernt oder durch andere Informationen ersetzt).
  • Der oder die Filter können spezielle Filter für spezielle Funktionen/Funktionsblöcke 14 sein. Z.B. ist ein Filter für Informationen/Daten von Programmfunktionen eingerichtet, die auf Karten/Kartenleser bezogene (card related) Programmfunktionen sind. Ein anderer Filter kann dagegen für Informationen/Daten von Programmfunktionen eingerichtet sein, die auf Magnetstreifen/Magnetstreifenleser bezogene (MSR related) Programmfunktionen sind. Alternativ kann auch ein Filter eingerichtet sein, der für diverse verschiedene der erläuterten Programmfunktionen eingerichtet ist.
  • Das Darstellungsprogramm 13 umfasst bestimmte Funktionsblöcke 15, die über das Darstellungsprogramm 13 verarbeitet werden können. Beispielsweise ist das Darstellungsprogramm 13 ein GUI, wobei die Funktionsblöcke 15 bestimmte Dialogfelder, Nachrichten oder sonstige Anweisungen zur Darstellung auf einem Display des Benutzer-Terminals 1 umfassen. Diese können z.B. Dialoge der Form „showButtonDlg“, „showImageDlg“, „showMessageDlg“, „showAmount“, „showListDlg“, „EnterPINDlg“ usw. sein.
  • Neben den erläuterten Programmen weist das Benutzer-Terminal 1 vorbestimmte Hardware-Komponenten 2 bis 7 auf. Die Hardware-Komponenten 2, 3, 4 und 5 stellen dabei spezielle, ggf. speziell abzusichernde, Hardware-Komponenten dar. Diese umfassen Hardware-Komponenten zur Erfassung beziehungsweise Verarbeitung von zu schützenden oder anderweitig sensiblen Informationen, wie zum Beispiel personenbezogene Daten, Benutzerpasswörter, oder ähnliches. Die Hardware-Komponenten 2, 3, 4 und 5 umfassen einen Kartenleser 2, beispielsweise einen Smartcard-Leser, ein Display 3, beispielsweise ein berührungsempfindliches Display, ein Verschlüsselungsmodul 4, beispielsweise einen sogenannten Kryptoprozessor, und ein weiteres Lesegerät 5, das beispielsweise als Magnetstreifenleser (MSR) eingerichtet ist.
  • Die weiteren Hardware-Komponenten 6 und 7 können beispielsweise Anzeigeelemente, Bedienelemente oder weitere Erfassungselemente, wie zum Beispiel Scanner und so weiter, umfassen. Die Scanner können beispielsweise einen Handvenen-Scanner oder einen Dokumenten-Scanner umfassen.
  • Das Verarbeitungsprogramm 9, das Darstellungsprogramm 13 sowie die Hardware-Komponenten 2, 3, 4 und 5 sind über eine erste Programmschnittstelle 8 (z.B. als „DBusSession“ bezeichnet) miteinander gekoppelt. Über die erste Programmschnittstelle 8 können diese Komponenten untereinander Informationen austauschen. Ein Austausch kann über ein vorbestimmtes Software-Protokoll erfolgen, das die erste Programmschnittstelle 8 steuert.
  • Dagegen ist das Benutzerprogramm 11 und ggf. auch weitere Benutzerprogramme 12 über eine zweite Programmschnittstelle 10 (z.B. als „DBusSystem“ bezeichnet) sowohl an das Verarbeitungsprogramm 9 als auch an das Darstellungsprogramm 13 angebunden. Auf diese Weise erhält das Benutzerprogramm 11 Zugriff auf das Verarbeitungsprogramm 9 beziehungsweise das Darstellungsprogramm 13, nicht jedoch unmittelbaren Zugriff auf die Hardware-Komponenten 2, 3, 4 und 5 vermittels der ersten Programmschnittstelle 8. Vielmehr ist die erste Programmschnittstelle 8 logisch derart von der zweiten Programmschnittstelle 10 getrennt, dass ein unmittelbarer Aufruf von Funktionen, Befehlen oder ein Erhalten von Informationen durch das Benutzerprogramm 11 von den Hardware-Komponenten 2 bis 5 unterbunden wird. Die beiden Programmschnittstellen 8 und 10 sind z.B. APIs.
  • Im Benutzer-Terminal 1 sind unterschiedliche Benutzerumgebungen 17 und 18 eingerichtet. Diese Benutzerumgebungen 17, 18 definieren unterschiedliche Benutzerrechte hinsichtlich einer Konfiguration beziehungsweise eines Zugriffs auf die erste beziehungsweise zweite Programmschnittstelle 8 und 10 beziehungsweise auf die einzelnen Programme, insbesondere das Verarbeitungsprogramm 9, das Darstellungsprogramm 13 und das Benutzerprogramm 11 beziehungsweise 12. Die erste Benutzerumgebung 17 ist beispielsweise eine sogenannte Root-Benutzerumgebung, während die zweite Benutzerumgebung 18 eine Standardnutzer-Umgebung ist. Eine entsprechende logische Zugriffstrennung bzw. spezielle Absicherung ist in der Figur durch eine senkrechte gestrichelte Linie durch das Benutzer-Terminal 1 bzw. durch dunkle Balken an den Komponenten 2, 3, 4, 5 und 8 angedeutet. Dadurch soll symbolisiert werden, dass die Benutzerprogramme 11 und 12 beziehungsweise eine Nutzung, Kontrolle oder Konfiguration der zweiten Programmschnittstelle 10 innerhalb der zweiten Benutzerumgebung 18 eingerichtet sind, während das Verarbeitungsprogramm 9 und das Darstellungsprogramm 13 beziehungsweise eine Nutzung, Kontrolle oder Konfiguration der ersten Programmschnittstelle 8 beziehungsweise ein Zugriff auf die Hardware-Komponenten 2 bis 5 innerhalb der ersten Benutzerumgebung 17 eingerichtet sind. Die weiteren Hardware-Komponenten 6 und 7 können derart „offen“ eingerichtet sein, dass diese unmittelbar von den Benutzerprogrammen 11 und 12 innerhalb der zweiten Benutzerumgebung 18 angesteuert werden können.
  • Aufgrund einer derartigen Implementierung des Benutzer-Terminals 1 ist ein sicherer Zugriff auf die Hardware-Komponenten 2 bis 5 und ein abgesicherter Zugriff auf Informationen, die durch die Hardware-Komponenten 2 bis 5 generiert oder erfasst werden, während eines programmatischen Ablaufs einer bestimmten Funktionalität des Benutzer-Terminals 1 möglich.
  • Das Benutzer-Terminal 1 wird beispielsweise für einen elektronischen Bezahlvorgang verwendet. Der Bezahlvorgang wird durch das Benutzerprogramm 11 initiiert beziehungsweise ausgelöst und ein entsprechender Funktionsaufruf vermittels der zweiten Programmschnittstelle 10 in das Verarbeitungsprogramm 9 und/oder in das Darstellungsprogramm 13 durchgeführt. Dieser Funktionsaufruf kann z.B. ein APDU-Funktionsaufruf sein. Hierbei kann beispielsweise ein bestimmtes Dialogfeld über das Darstellungsprogramm 13 auf dem Display 3 des Benutzer-Terminals 1 einem Benutzer dargestellt werden. Das Verarbeitungsprogramm 9 steuert vermittels der ersten Programmschnittstelle 8 beispielsweise den Kartenleser 2 oder 5 an und löst gesteuert durch das Darstellungsprogramm 13 und die erste Programmschnittstelle 8 eine Darstellung eines Hinweisdialoges auf dem Display 3 aus, durch den der Benutzer aufgefordert wird, eine bestimmte Benutzereingabe durchzuführen. Dies kann beispielsweise eine Eingabe einer Benutzer-PIN umfassen. Der Benutzer kann zum Beispiel über das berührungsempfindliche Display 3 eine Benutzer-PIN am Display 3 eingeben, wobei diese Information über die erste Programmschnittstelle 8 an das Verarbeitungsprogramm 9 weitergegeben wird. Gegebenenfalls kann in diesem Zusammenhang auch gesteuert über das Darstellungsprogramm 13 ein bestimmter Hinweisdialog oder eine bestimmte Nachricht am Display 3 ausgegeben werden.
  • Die vom Kartenleser 2 beziehungsweise 5 oder über das Display 3 gewonnenen Informationen (Kartendaten/Magnetstreifendaten einer Benutzerkarte und/oder Benutzer-PIN) können vom Verarbeitungsprogramm 9 weiter verarbeitet werden. Hierzu kann das Verarbeitungsprogramm 9 beispielsweise eine Filterung der gewonnenen Informationen durchführen, indem der hierfür bestimmte Filter die gewonnenen Informationen nach den Kartendaten/Magnetstreifendaten der eingelesenen Benutzerkarte und/oder nach der eingegebenen Benutzer-PIN durchsucht. Diese Informationen können z.B. innerhalb eines oder mehrerer APDU-Kommando-/Datenblöcke hinterlegt sein. Der Filter analysiert die APDU-Kommando-/Datenblöcke und filtert die vorgegebenen Informationen. Z.B. werden Kartendaten/Magnetstreifendaten der eingelesenen Benutzerkarte und/oder eine eingegebene Benutzer-PIN aus den APDU-Kommando-/Datenblöcken entfernt oder durch andere Informationen ersetzt.
  • Alternativ oder ergänzend werden die vom Kartenleser 2 beziehungsweise 5 oder über das Display 3 gewonnenen Informationen (vor oder nach einer etwaigen Filterung) dem Verschlüsselungsmodul 4 übergeben, das die Informationen über einen vorgegebenen Schlüssel verschlüsselt. Der Schlüssel kann im Verschlüsselungsmodul 4 vorhinterlegt sein oder dem Verschlüsselungsmodul 4 vom Verarbeitungsprogramm 9 übergeben werden. Alternativ können die erfassten Informationen direkt von den entsprechenden Hardware-Komponenten 2, 3 und 5 über die erste Programmschnittstelle 8 den Verschlüsselungsmodul 4 übergeben werden, ohne zuvor in das Verarbeitungsprogramm 9 zu gelangen. Hier sind verschiedene Implementierungen möglich. Die über das Verschlüsselungsmodul 4 verschlüsselten Informationen werden über die erste Programmschnittstelle 8 dem Verarbeitungsprogramm 9 übergeben.
  • Das Verarbeitungsproramm 9 kann die gefilterten und/oder verschlüsselten Informationen schließlich über die zweite Programmschnittstelle 10 dem Benutzerprogramm 11 zur Verfügung stellen. Innerhalb des Benutzerprogramms 11 können die so übergebenen Informationen weiter verarbeitet werden. Beispielsweise kann eine Benutzer-PIN (die für das Benutzerprogramm 11 nicht vom Verarbeitungsprogramm 9 aus den Informationen herausgefiltert wurde) derart weiter verarbeitet werden, dass sie in verschlüsselter Form an einen entfernt liegenden Authentifizierungs-Server übergeben wird.
  • Vorteilhaft wird während des Austausches der erläuterten Informationen zwischen den Hardware-Komponenten 2 bis 5 und dem Verarbeitungsprogramm 9 beziehungsweise dem Darstellungsprogramm 13 vermittels der ersten Programmschnittstelle 8 ein Aufruf von Funktionalitäten durch das Benutzerprogramm 11 vermittels der zweiten Programmschnittstelle 10 in Richtung des Verarbeitungsprogramms 9 beziehungsweise in Richtung des Darstellungsprogramms 13 unterbunden. Auch die weiteren Benutzerprogramme 12 können in einem entsprechenden Funktionsaufruf in das Verarbeitungsprogramm 9 beziehungsweise in das Darstellungsprogramm 13 vermittels der zweiten Programmschnittstelle 10 gehemmt sein. Dies hat den Vorteil, dass kein manipulativer Zugriff auf das Verarbeitungsprogramm 9 beziehungsweise das Darstellungsprogramm 13 durch eines der Benutzerprogramme 11, 12 möglich ist, während sensible Informationen zwischen den Hardware-Komponenten 2 bis 5 und den Programmen 9 und 13 vermittels der ersten Programmschnittstelle 8 ausgetauscht werden.
  • Das erläuterte Benutzer-Terminal 1 ermöglicht auf diese Weise eine Absicherung eines Zugriffs auf sensible Informationen, die durch Hardware-Komponenten innerhalb des Benutzer-Terminals 1 generiert, verarbeitet oder erfasst werden. Benutzerprogramme 11 und 12 innerhalb der Standardnutzer-Umgebung 18 haben auf diese Weise keinerlei Zugriffsmöglichkeit auf die abzusichernden Informationen vermittels der ersten Programmschnittstelle 8, sodass die über die Hardware-Komponenten 2 bis 5 erfassten Informationen nicht unmittelbar von den Benutzerprogrammen 11 und 12 abgerufen werden können. Auch wird eine Manipulation der Hardware-Komponenten 2 bis 5 über die Benutzerprogramme 11 und 12 auf diese Weise verhindert. Ein Informationsaustausch zwischen den Hardware-Komponenten 2 bis 5 und den Benutzerprogrammen 11 beziehungsweise 12 erfolgt dennoch gesteuert über das Verarbeitungsprogramm 9 vermittels einer Informationsübertragung zwischen der ersten Programmschnittstelle 8 und der zweiten Programmschnittstelle 10. Ein derartiger Informationsaustausch kann beispielsweise über ein Softwareprotokoll gesteuert werden. Das Verarbeitungsprogramm 9 kann dabei bestimmte Informationen, die von den Hardware-Komponenten 2 bis 5 erfasst werden, weiter verarbeiten, bevor das Verarbeitungsprogramm 9 vermittels der zweiten Programmschnittstelle 10 die verarbeiteten Informationen an die Benutzerprogramme 11 beziehungsweise 12 weitergibt. Eine derartige Verarbeitung sieht, wie erläutert, eine Filterung und/oder Verschlüsselung der Informationen vor. Auf diese Weise kann sichergestellt werden, dass entsprechende Informationen lediglich an diejenigen Benutzerprogramme 11 beziehungsweise 12 in demjenigen Sicherheitsgrad weitergegeben werden, der für diese Benutzerprogramme 11, 12 vorgesehen ist.
  • Die dargestellte Ausführungsform ist lediglich beispielhaft gewählt.
  • Bezugszeichenliste
    • 1
    Benutzer-Terminal
    2
    Kartenleser
    3
    Display
    4
    Verschlüsselungsmodul
    5
    Magnetstreifenleser
    6
    Anzeigeelement/Scanner/Bedienelement
    7
    Anzeigeelement/Scanner/Bedienelement
    8
    erste Programmschnittstelle
    9
    Verarbeitungsprogramm
    10
    zweite Programmschnittstelle
    11
    Benutzerprogramm
    12
    Benutzerprogramm
    13
    Darstellungsprogramm
    14
    Funktionsblöcke im Verarbeitungsprogramm
    15
    Funktionsblöcke im Darstellungsprogramm
    16
    Funktionsblöcke im Benutzerprogramm
    17
    erste Benutzerumgebung
    18
    zweite Benutzerumgebung
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 9715600 B2 [0003]

Claims (11)

  1. Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals (1), - wobei eine oder mehrere Hardware-Komponenten (2, 3, 4, 5) des Benutzer-Terminals (1) vermittels einer ersten Programmschnittstelle (8) an ein Verarbeitungsprogramm (9) angebunden sind, wobei das Verarbeitungsprogramm (9) eine Verarbeitung von ersten Informationen durchführt, die von der oder den Hardware-Komponenten (2, 3, 4, 5) bereitgestellt und vermittels der ersten Programmschnittstelle (8) an das Verarbeitungsprogramm (9) übergeben werden, - wobei ein Benutzerprogramm (11) vermittels einer zweiten Programmschnittstelle (10) an das Verarbeitungsprogramm (9) angebunden ist und mit dem Verarbeitungsprogramm (9) zweite Informationen austauscht, - wobei sich die zweite Programmschnittstelle (10) von der ersten Programmschnittstelle (8) unterscheidet, - wobei ein Zugriff des Benutzerprogramms (11) vermittels der ersten Programmschnittstelle (8) auf die eine oder die mehreren Hardware-Komponenten (2, 3, 4, 5) unterbunden wird, und - wobei die Verarbeitung der ersten Informationen durch das Verarbeitungsprogramm (9) eine Filterung der ersten Informationen umfasst.
  2. Verfahren nach Anspruch 1, wobei das Benutzerprogramm (11) eine Verarbeitung der zweiten Informationen durchführt, die vom Verarbeitungsprogramm (9) bereitgestellt und vermittels der zweiten Programmschnittstelle (10) an das Benutzerprogramm (11) übergeben werden, und wobei die zweiten Informationen zumindest zum Teil aus den gefilterten ersten Informationen resultieren.
  3. Verfahren nach Anspruch 1 oder 2, wobei die ersten Informationen einen oder mehrere Kommando-/Datenblöcke eines Kommunikationsprotokolls umfassen und wobei das Verarbeitungsprogramm (9) während der Filterung die einen oder mehreren Kommando-/Datenblöcke gemäß vorbestimmten Kriterien analysiert und definierte Informationen innerhalb der einen oder mehreren Kommando-/Datenblöcke entfernt oder durch andere Informationen ersetzt.
  4. Verfahren nach einem der Ansprüche 1 bis 3, - wobei die eine oder mehreren Hardware-Komponenten (2, 3, 4, 5) des Benutzer-Terminals (1) ein berührungsempfindliches Display (3) und/oder ein Karten-Lesegerät (2, 5) umfassen, - wobei die ersten Informationen aus einer am berührungsempfindlichen Display (3) registrierten Benutzereingabe und/oder aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät (2, 5) gewonnen werden.
  5. Verfahren nach Anspruch 4, - wobei das Benutzer-Terminal (1) mehrere der Hardware-Komponenten (2, 3, 4, 5) umfasst und die Hardware-Komponenten (2, 3, 4, 5) neben dem berührungsempfindlichen Display (3) und/oder dem Karten-Lesegerät (2, 5) zusätzlich ein Verschlüsselungsmodul (4) umfassen, - wobei die gewonnenen ersten Informationen vermittels des Verschlüsselungsmoduls (4) verschlüsselt werden, und - wobei Informationen, die die verschlüsselten ersten Informationen umfassen, als zumindest ein Teil der zweiten Informationen vom Verarbeitungsprogramm (9) an das Benutzerprogramm (11) übergeben werden.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei das Verfahren während eines elektronischen Bezahlvorgangs des Benutzer-Terminals (1) durchgeführt wird.
  7. Benutzer-Terminal (1) mit einer oder mehreren Hardware-Komponenten (2, 3, 4, 5), einem Verarbeitungsprogramm (9) und einem Benutzerprogramm (11), wobei die eine oder mehreren Hardware-Komponenten (2, 3, 4, 5) vermittels einer ersten Programmschnittstelle (8) an das Verarbeitungsprogramm (9) angebunden sind, und wobei das Benutzerprogramm (11) vermittels einer zweiten Programmschnittstelle (10) an das Verarbeitungsprogramm (9) angebunden ist, wobei sich die zweite Programmschnittstelle (10) von der ersten Programmschnittstelle (8) unterscheidet, wobei das Benutzer-Terminal (1) derart konfiguriert ist, dass ein Zugriff des Benutzerprogramms (11) vermittels der ersten Programmschnittstelle (8) auf die eine oder die mehreren Hardware-Komponenten (2, 3, 4, 5) unterbunden ist, und wobei innerhalb des Verarbeitungsprogramms (9) ein Filter implementiert ist zur Filterung von Informationen, die von der oder den Hardware-Komponenten (2, 3, 4, 5) bereitgestellt und vermittels der ersten Programmschnittstelle (8) an das Verarbeitungsprogramm (9) übergeben werden.
  8. Benutzer-Terminal (1) nach Anspruch 7, wobei der Filter eingerichtet ist, Kommando-/Datenblöcke eines Kommunikationsprotokolls innerhalb der bereitgestellten Informationen gemäß vorbestimmter Kriterien zu analysieren und definierte Informationen innerhalb der Kommando-/Datenblöcke zu entfernen oder durch andere Informationen zu ersetzen.
  9. Benutzer-Terminal (1) nach Anspruch 7 oder 8, wobei die eine oder mehreren Hardware-Komponenten (2, 3, 4, 5) des Benutzer-Terminals (1) ein berührungsempfindliches Display (3) und/oder ein Karten-Lesegerät (2, 5) umfassen, und wobei die Informationen aus einer am berührungsempfindlichen Display (3) registrierten Benutzereingabe und/oder aus einem Einlesen von Kartendaten einer Benutzerkarte am Karten-Lesegerät (2, 5) erfassbar sind.
  10. Benutzer-Terminal (1) nach Anspruch 9, wobei das Benutzer-Terminal (1) mehrere der Hardware-Komponenten (2, 3, 4, 5) umfasst und die Hardware-Komponenten (2, 3, 4, 5) neben dem berührungsempfindlichen Display (3) und/oder dem Karten-Lesegerät (2, 5) zusätzlich ein Verschlüsselungsmodul (4) umfassen, wobei das Verschlüsselungsmodul (4) eingerichtet ist, erfasste Informationen zu verschlüsseln und die verschlüsselten Informationen vermittels der ersten Programmschnittstelle (8) dem Verarbeitungsprogramm (9) zu übergeben, und wobei das Verarbeitungsprogramm (9) eingerichtet ist, Informationen, die die verschlüsselten Informationen umfassen, vermittels der zweiten Programmschnittstelle (10) an das Benutzerprogramm (11) zu übergeben.
  11. Benutzer-Terminal (1) nach einem der Ansprüche 7 bis 10, wobei das Benutzer-Terminal (1) ein elektronisches Bezahl-Terminal ist und das Benutzerprogramm (11) zur Abwicklung eines elektronischen Bezahlvorgangs eingerichtet ist.
DE102018104184.5A 2018-02-23 2018-02-23 Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal Withdrawn DE102018104184A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102018104184.5A DE102018104184A1 (de) 2018-02-23 2018-02-23 Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal
PCT/EP2019/054101 WO2019162276A1 (de) 2018-02-23 2019-02-19 Verfahren zur absicherung eines zugriffs auf informationen innerhalb eines benutzer-terminals sowie derartiges benutzer-terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018104184.5A DE102018104184A1 (de) 2018-02-23 2018-02-23 Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal

Publications (1)

Publication Number Publication Date
DE102018104184A1 true DE102018104184A1 (de) 2019-08-29

Family

ID=65529680

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018104184.5A Withdrawn DE102018104184A1 (de) 2018-02-23 2018-02-23 Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal

Country Status (2)

Country Link
DE (1) DE102018104184A1 (de)
WO (1) WO2019162276A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19906134A1 (de) * 1999-02-13 2000-08-31 Bernd Bruegge Anbindung eines ressourcenbeschränkten, prozessorbasierten Systems an einen Mechanismus zur Signalisierung von Nachrichten
DE10249801B3 (de) * 2002-10-24 2004-05-06 Giesecke & Devrient Gmbh Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers
US20050039052A1 (en) * 2002-01-11 2005-02-17 O'donnell James Ease of use transaction terminal
DE102011051461A1 (de) * 2011-06-30 2013-01-03 Wincor Nixdorf International Gmbh Verfahren und System zur sicheren Identifizierung für das Durchführen einer Transaktion an einem Selbstbedienungs-Terminal
US9715600B2 (en) * 2012-11-29 2017-07-25 Gilbarco Inc. Fuel dispenser user interface system architecture

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9053480B1 (en) * 2008-09-30 2015-06-09 Amazon Technologies, Inc. Secure validation using hardware security modules
US8583561B2 (en) * 2009-04-28 2013-11-12 Mastercard International Incorporated Apparatus, method, and computer program product for providing a quality control mechanism for the contactless interface of a dual-interface card
US9558358B2 (en) * 2013-06-27 2017-01-31 Visa International Service Association Random number generator in a virtualized environment
WO2016069775A1 (en) * 2014-10-29 2016-05-06 Clover Network, Inc. Secure extensible point of sale platform

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19906134A1 (de) * 1999-02-13 2000-08-31 Bernd Bruegge Anbindung eines ressourcenbeschränkten, prozessorbasierten Systems an einen Mechanismus zur Signalisierung von Nachrichten
US20050039052A1 (en) * 2002-01-11 2005-02-17 O'donnell James Ease of use transaction terminal
DE10249801B3 (de) * 2002-10-24 2004-05-06 Giesecke & Devrient Gmbh Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers
DE102011051461A1 (de) * 2011-06-30 2013-01-03 Wincor Nixdorf International Gmbh Verfahren und System zur sicheren Identifizierung für das Durchführen einer Transaktion an einem Selbstbedienungs-Terminal
US9715600B2 (en) * 2012-11-29 2017-07-25 Gilbarco Inc. Fuel dispenser user interface system architecture

Also Published As

Publication number Publication date
WO2019162276A1 (de) 2019-08-29

Similar Documents

Publication Publication Date Title
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
DE69900934T2 (de) Terminal und system zur durchführung von gesicherten elektronischen transaktionen
DE69435079T2 (de) Chipkarte für eine Vielzahl von Dienstleistungsanbietern und für entfernte Aufstellung derselben
EP2454704B1 (de) Verfahren zum lesen von attributen aus einem id-token
DE102007013287B4 (de) Verfahren zur Erzeugung bestätigter Transaktionsdaten und Vorrichtung dazu
DE102007019541A1 (de) Verfahren und System zum Authentifizieren eines Benutzers
EP3748521B1 (de) Verfahren zum lesen von attributen aus einem id-token
DE112011103580T5 (de) Verfahren, sichere Einheit, System und Computerprogrammprodukt für das sichere Verwalten des Benutzerzugriffs auf ein Dateisystem
DE69330743T2 (de) Verfahren zur Beurkundung einer Informationseinheit durch eine andere
WO1999008237A2 (de) Verfahren zum sicheren umgang mit elektronischen zahlungsmitteln und zur sicheren abwicklung von geschäftlichen vorgängen sowie vorrichtung zur durchführung des verfahrens
DE102006048797A1 (de) Verfahren zum Ausführen einer Applikation mit Hilfe eines tragbaren Datenträgers
EP3206151B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
EP1697820B1 (de) Verfahren zur freischaltung eines zugangs zu einem computersystem oder zu einem programm
WO2001046785A2 (de) Verfahren und vorrichtung zur überprüfung einer datei
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem
DE102018104184A1 (de) Verfahren zur Absicherung eines Zugriffs auf Informationen innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal
DE102018104178A1 (de) Verfahren zum sicheren Zugriff auf Hardware-Komponenten innerhalb eines Benutzer-Terminals sowie derartiges Benutzer-Terminal
EP2774074B1 (de) Dokument, verfahren zur authentifizierung eines benutzers, insbesondere zur freischaltung einer chipkartenfunktion, und computersystem
EP2169579A1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument
EP3283999B1 (de) Elektronisches system zur erzeugung eines zertifikats
DE102005053848B4 (de) Verfahren zur bildbasierten Authentifizierung von Online-Transaktionen
EP1063862A2 (de) Verfahren und Einrichtung zum Aufbau einer Kommunikation zwischen einem Anwendergerät und einem Netz
EP3361436B1 (de) Verfahren zur freigabe einer transaktion
DE102023002170A1 (de) Verfahren zur Authentifizierung eines Nutzers
DE102005044953A1 (de) Tragbare Verschlüsselungsvorrichtung für Finanz-Transferaktionen und Verfahren unter deren Verwendung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: EPPING HERMANN FISCHER PATENTANWALTSGESELLSCHA, DE

R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee