DE69519473T2

DE69519473T2 - Datenaustauschlsysteme mit tragbaren Datenverarbeitungseinheiten

Info

Publication number: DE69519473T2
Application number: DE69519473T
Authority: DE
Inventors: Eduard Karel De Jong
Original assignee: Belle Gate Investments BV
Current assignee: Belle Gate Investments BV
Priority date: 1995-08-04
Filing date: 1995-08-04
Publication date: 2001-05-10
Anticipated expiration: 2015-08-05
Also published as: ES2153455T3; GR3035224T3; PT757336E; EP0757336B1; EP0757336A1; DK0757336T3; JPH11505355A; USRE39269E1; WO1997006516A1; AU706393B2; ATE197743T1; AU6632196A; CN1549198A; NZ313777A; CN1445656A; JP2007226839A; CN100383777C; DE69519473D1; CN100590590C; JP3459649B2

Description

Die Erfindung betrifft ein Datenaustauschsystem mit mehreren Datenverarbeitungseinheiten, von denen einige tragbar sind und eine temporäre Kommunikationsverbindung mit einer oder mehreren anderen Einheiten innerhalb des Systems herstellen und von denen andere unbeweglich sind und eine permanente Kommunikationsverbindung mit einer oder mehreren anderen Einheiten innerhalb des Systems haben können. Die Verarbeitungseinheiten umfassen Datenkommunikationsmittel, Verarbeitungsmittel sowie Speichermittel, wobei die letzteren ein Ausführungsprogramm enthalten.
Die vorliegende Erfindung ist eine Verallgemeinerung des in der EP-A-0 666 550, die Stand der Technik nach Artikel 54(3) EPÜ ist, beanspruchten Systems.
Ein ähnliches System ist aus der internationalen Patentanmeldung WO-A- 87/07063 bekannt, in der ein System für einen tragbaren Datenträger mit mehreren Anwendungsdateien beschrieben ist. Eine der wichtigsten Anwendungen eines solchen tragbaren Datenträgers ist eine für Mehrfachanwendungen geeignete intelligente Karte. Der bekannte Datenträger ist als Träger hierarchisch strukturierter Daten mit Sicherheitsmerkmalen zur Unterstützung mehrfacher Anwendungen auf demselben Datenträger beschrieben. Die Anwendungen werden als Sätze von Daten gesehen. Die Patentanmeldung beschreibt eine Implementierung eines hierarchischen Dateisystems auf einem Datenträger zur Speicherung veränderbarer Daten in Kombination mit einem hierarchischen Satz von Zugriffserlaubnissen. Der Datenträger antwortet auf einen Satz von gemeinsamen Befehlen. Die Dateizugriffserlaubnisse sind für verschiedene Operationen unterschiedlich und werden in Abhängigkeit einer Passwortverifizierung erteilt. Es wird ein Passwortverifizierungsversuchszähler eingeführt wie auch die Maßnahme der Zerstörung gespeicherter Daten als Sanktion gegen zu viele Zugriffsversuche. Der bekannte Datenträger stellt sich primär als Speichervorrichtung und nicht als Prozessor dar. Durch das Ausführungsprogramm können lediglich sehr einfache Funktionen ausgeführt werden, wie etwa eine binäre logische Operation. Es ist nicht möglich, auf Anforderung eines mit dem Datenträger kommunizierenden Endgeräts die Ausführung eines unspezifizierten Satzes von Operationen zu erlauben. Die einzige Sicherheitsoption ist die Einführung der Passwortverifizierung. Andere Zugriffsbedingungsverifizierungen sind innerhalb des bekannten Systems nicht möglich. Daneben besitzt jede Anwendung des Datenträgers ihre eigene Datei in der Speicheranordnung des Datenträgers. Es sind keine speziellen Maßnahmen getroffen, um die Nutzung des verfügbaren Speicherraums zu verbessern, der insbesondere bei intelligenten Karten stark beschränkt ist und daher der Zahl der möglichen Anwendungen Grenzen setzt.
Die EP-A-0 479 655 befaßt sich mit der Implementierung von Zugriffsbedingungsprüfungen in intelligenten Karten. Hierfür ist eine Spezifizierungstechnik offenbart; es ist jedoch wünschenswert, Maßnahmen vorzusehen, um die Möglichkeit weiterer Verifizierungen von Zugriffsbedingungen einzuschließen.
Die EP-A-0 361 491 betrifft ein Chipkartenprogrammiersystem, welches die geschützte (Um-) Programmierung von Karten erlaubt. Sie beschreibt die Verwendung von Einmalschreib-Zugriffsbedingungen zur Steuerung des Zugriffs auf zu programmierende Teile des programmierbaren Speichers. Die Zahl der Anwendungen bei einer einzelnen Karte kann auf diese Weise erweitert werden. Es wird eine Verifizierung der Zugriffsbedingungen mit einer Vielzahl von Techniken einschließlich kryptografischer Protokolle beschrieben.
Die EP-A-0 292 248 befaßt sich mit dem Laden von Anwendungen auf eine intelligente Karte unter Verwendung eines unveränderbaren Betriebssystemprogramms. Sie beinhaltet die Implementierung eines Verfahrens zur Durchsetzung von Datenzugriffsbedingungen unter Verwendung von Speicherzonen mit zugeordneten Zugriffsattributen. Spezielle Zugriffsbedingungen sind "Einmalschreiben" (was nur implizit beschrieben ist) und "Nur-Ausführen".
Die US-A-4,874,935 befaßt sich mit der Kartenprogrammierung unter Verwendung eines Datenlexikons, wobei dieses Datenlexikon die Ausbildung von Datenelementen beschreibt, welche im Speicher der Karte gespeichert sind. Datenlexika werden gemeinhin so verstanden, daß sie sich von Verzeichnissen insofern unterscheiden, als sie nicht nur Daten beschreiben, die tatsächlich gespeichert sind, sondern auch Daten, die später gespeichert werden. Außerdem beinhalten Datenlexika üblicherweise eine Beschreibung des Datenformats. In kompiliertem Format werden Datenlexika in Datenbankverwaltungssystemen verwendet, wo sie auf der Festplatte als Teil der Datenbank gespeichert sind. Man findet sie auch in den Objektladedateien, die aus der Programmkompilierung in Softwareentwicklungsumgebungen resultieren. Das Patent beansprucht jedoch keine speziell für intelligente Karten geeignete Darstellung von Datenlexika.
Die EP-O 466 969 A1 befaßt sich mit der Bereitstellung von Funktionen im Ausführungsprogramm einer intelligenten Karte, die die korrekte Abwicklung einer Abfolge von Nachrichten zwischen der intelligenten Karte und einem Terminal unterstützen, indem ein Teil des Speichers der Karte als Speicher für Zustandsinformationen reserviert wird und spezielle Mittel bereitgestellt werden, um eine Zustandsmaschine zu implementieren, die Zustandsübergänge steuert. Solche Zustandsinformationen sind wichtig bei der Festlegung von Aktionen, die auf den Empfang von Nachrichten hin auszuführen sind. Zustandsmaschinen, die eine veränderliche Sequenz von Nachrichten akzeptieren, sind von det Entwicklung von Computersprachübersetzern her und aus der rechentechnischen Komplexitätstheorie wohlbekannt. Das Patent spricht nicht die Möglichkeit an, verschiedenartige Sätze von möglichen Aktionen zu implementieren, die spezifisch sind für eine Anzahl möglicher Anwendungen, welche sich gleichzeitig in der intelligenten Karte befinden können.
Das Hauptziel der vorliegenden Erfindung ist es, Mittel bereitzustellen, um ein aus vertraulichen Verarbeitungseinheiten bestehendes System formal, präzise und eindeutig in der Weise zu beschreiben, wie sich diese Verarbeitungseinheiten verhalten, wenn sie mit der Kommunikation untereinander beschäftigt sind, wobei diese Kommunikation dazu vorgesehen ist, einen Wert oder eine andere vertrauliche Information zu übertragen. Diese umfassenden Beschreibungen der möglichen Kommunikationsmodi zwischen den Datenverarbeitungseinheiten sollen anwendbar sein sowohl auf das System als Ganzes als auch auf die Detailoperationen der einzelnen Verarbeitungsvorrichtungen. Einen solche formale Beschreibung soll die Basis für formale Betrachtungen bei der Verifizierung der Korrektheit von Implementierungen bilden, was für die Akzeptanz von Systemen erforderlich ist, die zur weltweiten Verbreitung vorgesehen sind.
Eine weitere Aufgabe der vorliegenden Erfindung ist es, Mittel bereitzustellen, um optimal mit den Beschränkungen umzugehen, die durch die begrenzten physikalischen Dimensionen des verfügbaren Speicherraums auf tragbaren Datenverarbeitungseinheiten, insbesondere auf intelligenten Karten, auferlegt werden.
Eine weitere Aufgabe der vorliegenden Erfindung ist es, einen allgemeineren Mechanismus zum geschützten Laden von Programmcodes anzubieten und dieses Laden für eine Vielzahl von Programmen zu ermöglichen, nämlich jeweils für eine Anwendung jeder tragbaren Datenverarbeitungseinheit.
Darüber hinaus ist die vorliegende Erfindung auf die Maßnahme gerichtet, Zugriffsbedingungsverifizierungen zu verwenden, die nicht durch den Hersteller der tragbaren Verarbeitungseinheit vorgeschrieben sind, sondern seitens des Anwendungsentwicklers gewählt werden, und zwar so, daß sie seinen speziellen Anforderungen gerecht werden.
Weiterhin ist die vorliegende Erfindung darauf gerichtet, einen Mechanismus bereitzustellen, um die Kommunikation zwischen Verarbeitungseinheiten derart zu schützen, daß intervenierende oder vermittelnde Vorrichtungen den Inhalt und die ordnungsgemäße Abfolge nicht stören können.
Das erfindungsgemäße System ist daher durch die Merkmale des Anspruchs 1 definiert.
Indem die Beschreibung des Systems kommunizierender vertraulicher Verarbeitungseinheiten in diesem strengen Rahmen organisiert wird, werden dessen Operationen, soweit die Bedingungen und Auswirkungen möglicher Kommunikationen zwischen den Geräten betroffen sind, vollständig und erschöpfend beschrieben. Vermehrt um formal exakte semantische Definitionen der Strukturelemente werden die Daten für formale Betrachtungen zugänglich, weswegen auch die Implementierung des Systems besser zugänglich wird für eine formale Überprüfung der Korrektheit. Zu diesem Zweck ist es nicht notwendig, daß alle Daten in allen Speichermitteln der einzelnen Verarbeitungseinheiten vorhanden sind. Es genügt, daß die Daten in eine Verarbeitungseinheit geladen werden, bevor sie verwendet werden. Das sichere Laden der Daten ist in die vorliegende Erfindung einbezogen.
Bei einer ersten bevorzugten Ausführungsform sind die einzelnen Verarbeitungseinheiten des wie oben beschriebenen Datenaustauschsystems durch die Merkmale des unabhängigen Anspruchs 2 definiert.
Wie zuvor angegeben, ist die vorliegende Erfindung auf die Verallgemeinerung von Konzepten gerichtet, welche bereits in der EP-A-0 666 550, die Stand der Technik nach Artikel 54(3) EPÜ ist, beansprucht wurden. Der in der EP-A-0 666 550 beanspruchte Schutzumfang ist in der folgenden Weise definiert:
Datenaustauschsystem mit wenigstens einer tragbaren Datenverarbeitungseinheit (5), welche eine Datenkommunikationseinrichtung (14), eine Verarbeitungseinrichtung (15) sowie eine Speichereinrichtung (16) umfaßt, wobei die letztere ein Ausführungsprogramm (17) umfaßt, dadurch gekennzeichnet, daß die Speichereinrichtung (16) ferner wenigstens einen Interaktionskontext (19(1)...19(m)) umfaßt, welcher die folgende kohärente Datenstruktur beinhaltet:
a. einen Satz von Basis-Kommunikationsgrundelementen (A(1)...), die immer dann akzeptiert werden, wenn die Datenverarbeitungseinheit (5) mit einer entsprechenden Einheit (4) kommuniziert, wobei die Grundelemente zumindest ein Grundelement umfassen, das dazu verwendet wird, selektiv in einen der Interaktionskontexte (19(1)...) einzusteigen,
b. einen Satz von Prozedurbeschreibungen (C(1)...), die die in Antwort auf jedes der akzeptierten Kommunikationsgrundelemente (A(1)...) durchzuführenden Aktionen definieren und zumindest eine erste Prozedurbeschreibung umfassen, die bei Aktivierung des Interaktionskontexts durchzuführen ist, sowie eine letzte Prozedurbeschreibung, die unmittelbar vor Deaktivierung des Kontexts durchzuführen ist,
c. einen möglicherweise leeren Satz von entweder permanent gespeicherten oder berechneten Datenelementen (H(1)...), die zur Verwendung verfügbar sind, wenn Prozeduren, Wie sie in den Prozedurbeschreibungen (C(1)...) definiert sind, durchgeführt werden,
d. einen möglicherweise leeren Satz von Verweisen auf Datenelemente, welche Verweise den Prozedurbeschreibungen (C(1)...) zugeordnet sind, wobei die Datenelemente auch möglichen weiteren Interaktionskontexten zugänglich sind und zur Verwendung verfügbar sind, wenn Prozeduren, wie sie in den Prozedurbeschreibungen (C(1)...) definiert sind, durchgeführt werden,
e. eine möglicherweise leere Datenliste mit einer Liste von Verweisen (B(1)...) auf Datenelemente, die zum expliziten Verweis als Teil eines Kommunikationsgrundelements (A(1)...) verfügbar sind, um durch die dem Kommunikationsgrundelement zugeordnete Prozedurbeschreibung (C(1)...) verwendet zu werden,
f. einen Satz von Zugriffsbedingungen, die den Datenelementen zugeordnet sind, auf welche im Zusammenhang mit den Prozedurbeschreibungen (C(1)...) verwiesen wird,
g. einen Satz von Zugriffsbedingungen, die der Liste von Datenverweisen (B(1)...) in der Datenliste zugeordnet sind.
Dieser Schutzumfang wird ausdrücklich vom Schutzumfang, der durch die vorliegenden unabhängigen Ansprüche 1 und 2 beansprucht wird, ausgenommen.
Indem die Daten in den Speichermitteln der tragbaren Verarbeitungseinheit in dieser Weise definiert werden, ist die Verarbeitungseinheit tatsächlich als Prozessor organisiert, d. h. sie erlaubt nicht nur Addieren und Subtrahieren, sondern führt auch Prozesse durch, die durch hierzu authorisierte Personen, z. B. einen Angestellten einer Bank, in die Verarbeitungseinheit geladen werden können. Durch Bereitstellung von Prozeduren, die beliebige komplexe Operationen in Antwort auf erhaltene Befehle liefern können, und durch Bereitstellung einer expliziten Liste der gespeicherten Datenelemente, die als Teil solcher Befehle adressierbar sind, kann die Kommunikationsbandbreite optimal genutzt werden, was zu einer verringerten Anzahl an ausgetauschten Befehlen führt. Bei einem erfindungsgemäßen System werden viele reale Anwendungen des Systems jedoch immerhin den Austausch von zwei Befehlen erfordern. Was einzig und allein festgelegt ist, ist die Struktur innerhalb der Speichermittel, die in solcher Weise definiert ist, daß verschiedene Anwendungen der Einheit in sehr effizienter Weise hinzugefügt werden können, d. h. unter Verwendung so wenig zusätzlichen Speicherraums wie möglich.
Dies ist insbesondere dann von vorrangiger Bedeutung, wenn die Einheit eine intelligente Karte bzw. Chipkarte ist, die im Hinblick auf den verfügbaren Speicherraum stark beschränkt ist. Daneben bietet die erfindungsgemäße Struktur alle Möglichkeiten zur Einbeziehung von Sicherheitsmaßnahmen, um den Zugriff auf Prozesse oder Daten durch unauthorisierte Personen, die zu deren Nutzung nicht befugt sind, zu unterbinden. Eine vorteilhafte Ausführungsform der Erfindung kann realisiert werden, wenn die Verarbeitungseinheit, die eine Mehrzahl von Interaktionskontexten enthält, ferner dadurch gekennzeichnet ist, daß der Satz der Prozedurbeschreibungen zumindest eine erste Prozedurbeschreibung umfaßt, die in Antwort auf das Kommunikationsgrundelement oder die Kommunikationsgrundelemente durchzuführen ist, welches bzw. welche einen der Interaktionskontexte zur weiteren Bezugnahme in der das Kommunikationsgrundelement akzeptierenden Verarbeitungseinheit indiziert bzw. indizieren, wobei diese Durchführung in einer ordnungsgemäßen Aktivierung des indizierten Interaktionskontexts resultiert. Die Beschreibung dieser Kontextaktivierungsprozedur kann mit Vorteil dazu verwendet werden, die mit der Auswahl des Kontexts verbundenen Sicherheitsanforderungen festzulegen und die Initialisierung von Sicherheits- und Arbeitsdaten im flüchtigen Teil der Speichermittel vorzunehmen.
Einen weiteren Vorteil kann man mit Verarbeitungseinheiten, die eine Mehrzahl von Interaktionskontexten enthalten, erzielen, wenn sie dadurch gekennzeichnet sind, daß der Satz der Prozedurbeschreibungen zumindest eine letzte Prozedurbeschreibung umfaßt, die in Antwort auf das Kommunikationsgrundelement oder die Kommunikationsgrundelemente durchzuführen ist, welches bzw. welche einen der Interaktionskontexte zur weiteren Bezugnahme in der das Kommunikationsgrundelement akzeptierenden Verarbeitungseinheit indiziert bzw. indizieren, wobei diese Durchführung in einer ordnungsgemäßen Deaktivierung des Interaktionskontexts resultiert, welcher während des Empfangs des Kommunikationsgrundelements indiziert war. Diese Deaktivierungsprozedur gibt derjenigen Anwendung Kontrolle, die dabei ist, infolge des Empfangs des Kommunikationsgrundelements abgelöst zu werden. Dies verschafft dem Entwickler der Anwendung eine Gelegenheit, eine Säuberung des Speicherinhalts vorzunehmen und Operationen abzuschließen, wenn die Anwendung - möglicherweise unerwartet - abgebrochen wird.
Bei einer weiteren bevorzugten Ausführungsform ist das oben definierte Datenaustauschsystem dadurch gekennzeichnet, daß die Speichermittel ferner mindestens zwei Interaktionskontexte, mindestens eine Anwendungsbeschreibung sowie ein Speicherelement enthalten, welches einen Verweis auf den Interaktionskontext speichert, der momentan in Kraft ist, wobei jede Anwendungsbeschreibung umfaßt:
a. eine Datenliste mit Verweisen auf Datenelemente, welche Verweise zwei oder mehr Interaktionskontexten zugänglich sein können und durch zusätzliche Datenelemente erweitert sein können,
b. einen weiteren Satz von Zugriffsbedingungen, die den Verweisen oder den zusätzlichen Datenelementen zugeordnet sind und Nutzungsbeschränkungen definieren.
Durch diese Maßnahmen sind alle Verweise auf Datenelemente, die verschiedenen Interaktionskontexten gemeinsam sind, für alle diese Interaktionskontexte zugänglich, so daß sie nur einmal gespeichert werden müssen, was Speicherplatz spart. Indem sind vorbestimmten Interaktionskontexten gemeinsame Zugriffsbedingungen für die Datenverweise zugänglich. Daher müssen auch diese gemeinsamen Zugriffsbedingungen nur einmal gespeichert werden, wodurch Speicherplatz gespart und die Effizienz verbessert wird.
Jede Anwendungsbeschreibung kann darüber hinaus eine Prozedurbibliothek mit Codes umfassen, welche von Prozedurbeschreibungen jedes Interaktionskontexts verwendet werden können, der jeder der Anwendungsbeschreibungen zugeordnet ist.
Vorzugsweise ist die Verarbeitungseinheit für mindestens zwei Anwendungen geeignet, wobei nur wenig zusätzlicher Speicherplatz verwendet wird. Um dieses Ziel zu erreichen, ist das erfindungsgemäße Datenaustauschsystem dadurch gekennzeichnet, daß die Speichermittel mindestens zwei Anwendungsbeschreibungen und ausführbare Codeeinheiten enthalten, welche von Prozedurbeschreibungen jedes Interaktionskontexts innerhalb jeder Anwendungsbeschreibung oder von jeder ausführbaren Codeeinheit jeder Prozedurbibliothek innerhalb jeder Anwendungsbeschreibung verwendet werden können.
Vorzugsweise sind die ausführbaren Codeeinheiten in der Prozedurbibliothek durch Einfügung einer Spezifikation der Verwendung ihrer Operationsparameter in Klassen vergrößert, welche sich auf Attribute beziehen, die Datenelemente betreffen, welche als aktueller Wert in einer Berechnung genommen werden können, welche Berechnung nur dann vorangeht, wenn die Datenattribute und die Parameterklassen zueinander passen. Dies ist ein effizienter Weg zur Verifizierung von Zugriffsbedingungen sowohl auf Datenebene als auch auf funktionaler Ebene, wofür eine sehr effiziente Implementierung existiert.
Das System bietet eine höhere Zuverlässigkeit, wenn das erfindungsgemäße Datenaustauschsystem dadurch gekennzeichnet ist, daß das Ausführungsprogramm einen Verweis auf einen Standardinteraktionskontext enthält, welcher dazu verwendet wird, das Speicherelement zu initialisieren, das einen Verweis auf den momentan in Kraft befindlichen Interaktionskontext speichert, um eine Endaktion nach einer Erfassung einer internen Inkonsistenz bei einer Wiederkehr in einen normalen Operationszustand durchzuführen oder wann immer das Ausführungsprogramm aktiv ist und kein expliziter Interaktionskontext durch ein von einer ähnlichen Datenverarbeitungseinheit erhaltenes Kommunikationsgrundelement spezifiziert wurde.
Um die Kompaktheit der Implementierung der Prozedurbeschreibungen, Prozedurbibliotheken, Codefragmente und des Ausführungsprogramms weiter zu verbessern, kann das erfindungsgemäße Datenaustauschsystem dadurch gekennzeichnet sein, daß das Ausführungsprogramm Routinen umfaßt, welche einen Interpretierer für codierte Anweisungen für einen abstrakten Prozessor bilden, derart, daß die Mehrheit der Prozedurbeschreibungen und einige der ausführbaren Codeeinheiten in numerischen Werten zur Interpretation durch die Interpretierroutinen codiert sind. Zusätzlich hilft der durch das Ausführungsprogramm bereitgestellte abstrakte Codeinterpretierer bei der formalen Verifizierung der Korrektheit der implementierten Funktionen, da die Verwendung eines abstrakt entworfenen Instruktionensatzes und einer geringen Anzahl kleiner Implementierungsroutinen diese Verifizierung besser zugänglich für formale Methoden der Beurteilung und der Beweiserzeugung machen kann.
Mit weiteren Vorteilen hinsichtlich der Kompaktheit der Speicherung der Interaktionskontextbeschreibungen und der Anwendungsdeskriptoren kann das erfindungsgemäße Datenaustauschsystem dadurch gekennzeichnet sein, daß die Prozedurbeschreibungen als Indizes in einer Liste über eine Untergruppe von Prozeduren codiert sind, welche in der Prozedurenbibliothek enthalten sind, die ausführbare Codeeinheiten enthält. Speziell im Rahmen der vorliegenden Erfindung können diese Dispatch- Tabellen vorteilhaft genutzt werden, da die Anzahl der unterschiedlichen Prozedurbeschreibungen von der Natur der Datenstruktur her im allgemeinen sehr klein sein wird, z. B. weniger als 16, so daß das System ferner dadurch gekennzeichnet sein kann, daß die Codierung der Prozedurbeschreibungen in derart kleinen Werten erfolgt, daß in einer Zugriffs- Grundeinheit für die Speichermittel mehr als eine Beschreibung gehalten werden kann oder daß die Beschreibung mit anderen relevanten Informationen in der gleichen Speicherzugriffs-Grundeinheit kombiniert werden kann. Um den selten erwarteten Fall zu behandeln, daß die Anzahl der Prozedurbeschreibungen in einem einzelnen Interaktionskontext größer als der hierfür unmittelbar erlaubte Codierraum ist, kann ein erfindungsgemäß ausgeführtes System vorteilhafterweise eine zusätzliche Ebene der indirekten Verweisung nutzen, derart, daß es dadurch gekennzeichnet sein kann, daß mindestens einer der Codierungswerte der Prozedurbeschreibungen auf eine spezielle Funktion des Ausführungsprogramms verweist, die dazu ausgelegt ist, die für die codierte Prozedurbeschreibung auszuführende tatsächliche Funktion indirekt auszuwählen, möglicherweise durch Einfügung zusätzlicher Codierinformationen, die in Zuordnung zu der mit den speziellen Werten codierten Prozedurbeschreibung gespeichert sind. Eine solche zusätzliche Kompaktheit bei der Speicherung der Daten in der Ausführungskontextdatenstruktur ist besonders dann von Vorteil, wenn man bedenkt, daß die Speichermittel im allgemeinen eine beträchtliche Anzahl unterschiedlicher Anwendungs- und Kontextbeschreibungen halten müssen.
Um die Sicherheit der Daten und Funktionen in der Verarbeitungseinheit zu verbessern, kann das erfindungsgemäße Datenaustauschsystem dadurch gekennzeichnet sein, daß die Speichermittel einen Interaktionskontext umfassen, dessen Zweck es ist, persönliche Identifizierungsnummern zu umfassen, und daß das Ausführungsprogramm dazu ausgelegt ist, von einem Benutzer des Datenaustauschsystems gelieferte persönliche Identifizierungsnummern zu verifizieren.
Vorteilhafterweise können der Interaktionskontext zur Verwaltung der persönlichen Identifzierungsnummern und der Standardkontext als Teil derselben Besitzeranwendung für den Besitzer der Vorrichtung implementiert sein. Die Unterstützung dieser Anwendung durch die meisten Geräte, mit denen eine erfindungsgemäße Vorrichtung kommuniziert, würde dem Eigentümer der Vorrichtung die Möglichkeit geben, seine persönlichen Daten, so wie sie in dem Vorrichtungsspeicher gespeichert sind, nachzuschauen; beispielsweise könnte es einem Chipkartenbesitzer erlaubt sein, seine PIN an jedem Chipkartenterminal zu modifizieren, das eine geeignete Benutzerschnittstelle bereitstellt.
Eine vorteilhafte Vielseitigkeit bei der Wahl der kryptografischen Schutzmethoden, die zum Laden der Speichermittel mit die Interaktionskontexte und die Anwendungen beschreibenden Daten zu verwenden sind, kann bei einem erfindungsgemäßen Datenaustauschsystem geboten werden, das dadurch gekennzeichnet ist, daß die Speichermittel mindestens einen Interaktionskontext enthalten, der dazu bestimmt ist, Zahl und Inhalt anderer ebenfalls in den Speichermitteln enthaltener Interaktionskontexte zu verwalten. Die Anbietung einer derartigen Vielseitigkeit mit unterschiedlichen Ebenen sicherheitsmäßiger und betriebsmäßiger Komplexität kann vom Markt für tragbare Verarbeitungseinheiten verlangt werden, um verschiedene Anwendungen auf die gleiche Chipkarte zu laden und um den ausgebenden Organisationen die Wahl unterschiedlicher Produkte zu verschaffen, die alle nach der gleichen grundlegenden Anwendungsinfrastruktur aufgebaut sind, wie sie durch die Erfindung bereitgestellt wird. Gegenwärtig existieren kaum Lösungen für dieses Problem und sie beruhen gewöhnlich auf speziellen Eigentümerfunktionen, die als integraler Teil des Ausführungsprogramms implementiert sind und weder ein einheitliches Verfahren noch einen Bereich von Optionen bieten.
Jede Anwendungsbeschreibung kann eine Liste von numerischen Werten umfassen, die so aufgebaut ist, daß sie Identifizierer für alle Interaktionskontexte bereitstellt, und mindestens einen der folgenden numerischen Werte enthält: einen ersten, der einen Anwendungstyp angibt, einen zweiten numerischen Wert, der eine eindeutige Identifizierung des die Anwendung bereitstellenden Organs angibt, einen dritten numerischen Wert, der die Art der Anwendungsbeschreibung angibt, und weitere Nummern, die jeweils eindeutig auf einen der Anwendungsbeschreibung zugeordneten Interaktionskontext verweisen.
Die Reihe der numerischen Werte, die sich eindeutig auf einen Interaktionskontext beziehen, stellt ein Mittel zur Sicherstellung der wechselseitigen Funktionsfähigkeit zwischen zwei Kommunikationseinrichtungen bereit, das effizienter ist als man sich gegenwärtig beispielsweise für Chipkarten vorstellt, wobei dem Anwendungsbereitsteller die Verantwortung übertragen wird, jedem Interaktionskontext eigene Werte zuzuweisen, während es betroffenen Gruppen sektoraler und internationaler Zusammenarbeit überlassen bleibt, den Organen und Anwendungen eigene Nummern zuzuordnen. Vorteilhafterweise kann der Anwendungsbereitsteller die eindeutigen Kontextnummern zuweisen, um Informationen über die implementierte Version und die Geheimschlüsselerzeugung einzubauen.
Ein erfindungsgemäßes Datensystem kann so ausgeführt sein, daß es dadurch gekennzeichnet ist, daß die Datenkommunikationsmittel dazu ausgelegt sind, den Datenaustausch in Datenblöcke zu strukturieren, welche wenigstens zwei Teile aufweisen, wobei ein erster Teil Daten sind, die insofern als operationsrelevant qualifiziert sind, als sie dazu verwendet werden, die Art der Operationen zu beeinflussen, die mittels eines Befehls durchgeführt werden, wie er indiziert ist durch ein Kommunikationsgrundelement oder Daten, welche aus ausgeführten Operationen resultieren, wobei ein zweiter Teil insofern als sicherheitsrelevant qualifiziert ist, als er zur Bestimmung der Eignung zur Durchführung einer Operation oder der Akzeptierbarkeit von Daten in dem Operationsteil verwendet wird, um bei der Operation verwendet zu werden oder die Beendigung der Operation oder die Korrektheit der resultierenden Daten nachzuweisen. Eine derartige Eignung, Akzeptierbarkeit, Nachweis und Korrektheit werden dadurch erhalten, daß relevante kryptografische Operationen an den Daten durchgeführt werden.
Diese Struktur der Nachrichten beim Datenaustausch und die Reihenfolge der kryptografischen Berechnungen vor und nach der Durchführung der eigentlichen operationalen Definition, die diese mit sich bringt, stellen einen Mechanismus zum Schutz gegen mittige Angriffe auf Protokolle des Datenaustausches bereit. Insbesondere kann dies dazu verwendet werden, die Notwendigkeit zu beseitigen, den Sicherheitsstatus in den Speichermitteln jeder der Verarbeitungseinheiten explizit beizubehalten, da es ermöglicht wird, kryptografisch codierte Zustandsinformationen in jeder Nachricht auszutauschen, die in dem für die Sicherheit bezeichneten Teil enthalten ist: Die Verifizierung der kryptografischen Bedingung initialisiert sicher die Zustandsvariable, die nur bis zur Absendung der Antwortnachricht und nicht länger in den Speichermitteln gespeichert werden muss, was die Zeit verringert, die diese Zustandsinformationen Versuchen ausgesetzt sind, sich unbefugt daran zu schaffen zu machen. Schließlich erlaubt diese Struktur der Nachrichten eine freiere Verwendung der Sicherheit von Ende zu Ende, wobei die Sicherheit in der Kommunikation von keinen eingreifenden oder vermittelnden Einrichtungen abhängt.
Die Authentisierung und der Datenschutz werden so zu einem integralen Teil der Befehlsausführung gemacht, was für eine bessere Sicherheit sorgt, als sie bei gegenwärtigen Systemen, z. B. bei Chipkarten, erreichbar ist.
Das Ausführungsprogramm kann so ausgelegt sein, daß es bei Akzeptierung eines Kommunikationsgrundelements zur Durchführung von in dem momentanen Interaktionskontext spezifizierten Operationen jede Operation als Teil einer vorbestimmten und festen Sequenz von Aktionen durchführt, von denen jede gesondert als Teil einer dem akzeptierten Kommunikationsgrundelement zugeordneten Prozedurbeschreibung spezifiziert ist, welche Prozedurbeschreibung zumindest verschiedene Beschreibungen, die jeweils leer sein können, für die folgenden Aktionen umfaßt:
a. Authorisierung der Verwendung des Kommunikationsgrundelements;
b. Entschlüsselung von Operationsdaten oder eines Teils derselben;
c. Durchführung eines Befehls mit Eingangsdaten;
d. Verschlüsselung von Operationsdaten, die aus einer durchgeführten Operation resultieren;
e. Berechnung eines Nachweises der Beendigung einer durchgeführten Aktion oder der Korrektheit der resultierenden Daten, um in Sicherheitsberechnungen verwendet zu werden.
Die Sicherheit wird weiter verbessert, wenn die Datenverarbeitungseinheit bei Initialisierung des Datentransfers eine Transaktionszufallszahl erzeugt, die als Basis für kryptografische Berechnungen dient.
Um für die Möglichkeit zu sorgen, erforderlichenfalls in einen neuen Interaktionskontext einzutreten, kann einem Kommunikationsgrundelement ein bestimmter Wert zugewiesen sein, der stets als Anforderung interpretiert wird, in einen neuen Interaktionskontext einzusteigen.
Bei einer weiteren bevorzugten Ausführungsform ist das erfindungsgemäße Datenaustauschsystem dadurch gekennzeichnet, daß es eine weitere Datenverarbeitungseinheit mit den gleichen Elementen wie die Datenverarbeitungseinheit umfaßt, welche optional in ihrem Speicher eine Anwendungsprogrammierschnittstelle enthalten kann, die aus einem Programmcode besteht, der dazu ausgelegt ist, eine Implementierung zusätzlicher Computerprogramme zu erlauben, um Benutzern eine Kontrolle über die Sequenz ausgetauschter Kommunikationsgrundelemente zu geben oder um die in ihnen transferierten Daten zu beeinflussen oder um die beim Austausch erhaltenen Daten zu erfahren oder weiterzuverarbeiten.
Bei dieser bevorzugten Ausführungsform der Erfindung kann das zum Einstieg in einen spezifizierten Interaktionskontext verwendete Kommunikationsgrundelement numerische Werte umfassen, die bei Sicherheitsberechnungen in nachfolgenden Kommunikationen zu verwenden sind, einen ersten, durch eine der Verarbeitungseinheiten zufällig oder auf ähnlich eindeutige Weise erzeugten Wert sowie möglicherweise einen zweiten Wert, der zum Nachweis der Authentizität der einen Verarbeitungseinheit oder zur anderweitigen Identifzierung dieser einen Verarbeitungseinheit dient.
Um weitere Vorteile aus der vorliegenden Erfindung zu ziehen, kann jedes Kommunikationsgrundelement ferner so strukturiert sein, daß es aus zwei oder mehr numerischen Werten besteht, was die Ausdruckskraft des Kommunikationsgrundelements zur Interpretation durch das Ausführungsprogramm stärkt.
Als eine erste Alternative kann jedes Kommunikationsgrundelement mit Ausnahme eines ersten, das eine Rücksetzung signalisiert, aus zwei oder mehr numerischen Werten aufgebaut sein, wobei ein erster Wert dazu verwendet wird, auf eine Prozedurbeschreibung einer dem Kommunikationsgrundelement zugeordneten Aktion zu verweisen, wobei ein zweiter Wert aus einer festen Anzahl binärer Werte aufgebaut ist, von denen jeder durch das Ausführungsprogramm als Verweis auf ein einzelnes Datenelement interpretiert wird.
Als eine zweite Alternative kann jedes Kommunikationsgrundelement mit Ausnahme eines ersten, das eine Rücksetzung signalisiert, aus zwei oder mehr numerischen Werten aufgebaut sein, wobei ein erster Wert dazu verwendet wird, auf eine Prozedurbeschreibung einer dem Kommunikationsgrundelement zugeordneten Aktion zu verweisen, wobei ein zweiter Wert dazu verwendet wird zu bestimmen, welches der zur externen Verweisung in einem aktiven Interaktionskontext verfügbaren Datenelemente verwendet wird, während Antwortaktionen durchgeführt werden, in solcher Weise, daß ein Datenelement ausgewählt wird, wenn es einen Wert enthält, der zu dem zweiten Wert passt, oder wenn es einen Wert enthält, der in anderer Weise genügt, um es zu indizieren.
Als eine dritte Alternative ist jedes Kommunikationsgrundelement mit Ausnahme eines ersten, das eine Rücksetzung signalisiert, aus zwei oder mehr numerischen Werten aufgebaut, wobei ein erster Wert dazu verwendet wird, auf eine Prozedurbeschreibung einer dem Kommunikationsgrundelement zugeordneten Aktion zu verweisen, wobei ein zweiter Wert aus einer Anzahl binärer Werte aufgebaut ist, denen durch das Ausführungsprogramm spezielle Bedeutungen zugewiesen werden, um bei der Interpretation von Datenformaten in dem Kommunikationsgrundelement und bei der Durchführung von Antwortaktionen verwendet zu werden.
Die vorgenannten tragbaren Verarbeitungseinheiten können in intelligenten Karten oder in PCMCIA-Karten implementiert sein.
Bei einer Weiterbildung der Erfindung verwenden die Kommunikationsmittel externe Kommunikationsmittel, nämlich solche externen Kommunikationsmittel, wie sie für die Datenverarbeitungseinheit durch die Datenverarbeitungseinheit verfügbar gemacht werden, oder eine ähnliche derartige elektronische Vorrichtung, die die PCMCIA- oder die intelligente Karte aufnimmt, welche die Datenverarbeitungseinheit bildet.
Bei einer Alternative der Erfindung ist die Datenverarbeitungseinheit als tragbarer Personalcomputer ausgeführt.
Die Kommunikationsmittel können ein Lesegerät für intelligente Karten oder einen PCMCIA-Kartenschlitz verwenden.
Des weiteren können die Kommunikationsmittel vorrangig oder zusätzlich einen berührungslosen Datentransfer mit Elektromagnetfeld-c.q.-Teilchen anwenden.
Der oben definierte Kontextmechanismus und die Techniken, die er verfügbar macht, führen zu einem breiten Einsatzbereich für intelligente Karten und zu einem Ansatz zur Entwicklung von Chipkartenanwendungen, wobei sich zahlreiche Vorteile gegenüber den herkömmlichen Wegen ergeben.
Als erstes wird die Ausführung eines anwendungsspezifischen Programmcodes in einer Chipkarte ohne die Notwendigkeit ermöglicht, den Code auf mögliche Gefahren für die Sicherheit von Daten, die für andere Anwendungen gespeichert sind, sorgfältig zu untersuchen. Da den Zugriffsbedingungen, die mit den Daten auf der Karte gespeichert sind, durch das Kartenbetriebssystem Geltung verschafft wird, ohne daß während der Ausführung eines Anwendungscodes Störungen von außen möglich sind, benötigt ein Kartenschema für mehrfache Anwendungen keine den Programmcode überprüfende Instanz. Eine derartige Instanz ist der einzige Weg, bei herkömmlichen Chipkarten eine Ausführungsmöglichkeit für private Codes zu erlauben. Durch Genehmigung eines Codes zur Ausführung auf einer Karte zieht eine Überprüfungsinstanz Anfälligkeiten im Hinblick auf die Sicherheit des Gesamtsystems auf sich; sie macht die Verwaltung von Chipkartenschemata für Mehrfachanwendungen viel komplexer. Die einhergehende Komplexität und die einhergehenden Kosten machen anwendungsspezifische Codes bei herkömmlichen Kartenschemata fast unmöglich. Mit der neuen Technik kann der seit einiger Zeit seitens der Bereitsteller von Chipkartenanwendungen bestehende Bedarf nach dieser Möglichkeit bedient werden.
Zweitens kann als unmittelbare Folge der geschützten Anwendung spezieller Programme in Karten eine spezielle Anwendung implementiert werden, die dazu bestimmt ist, weitere Anwendungen in die Karte zu laden. Auf diese Weise können die einmal in eine Karte geladenen Anwendungen vor genau der Anwendung geschützt werden, die sie geladen hat. Dieser Schutz gibt den an einem Kartenschema für Mehrfachanwendungen beteiligten Parteien, insbesondere dem Kartenausgeber und den Anwendungsbereitstellern, eine Basis für ihre geschäftliche Übereinkunft. Anhand greifbarer Dinge wie der auf jeder Karte benötigten Speichermenge, der Zahl der auszurüstenden Karten und der Dauer der Anwendung auf der Karte anstelle eines abstrakten Vermerks über "Vertrauen" und "hohe Sorgfalt" ist der Vertrag des Anwendungsbereitstellers leichter als bei herkömmlich ausgeführten Chipkarten zu formulieren. Außerdem müssen der Kartenausgeber und der Anwendungsbereitsteller keine Geheimschlüssel teilen und diese Teilung mit vertraglichen Verpflichtungen und gegenseitig abgestimmten Schlüsselübermittlungsmöglichkeiten schützen.
Drittens besitzt die Anwendungssoftware, falls sie auf Grundlage der neuen Technik implementiert wird, einige Vorteile im Vergleich zu bekannten Chipkartenbetriebssystemen:
- ein minimaler Austausch von Daten zwischen einem Endgerät und einer Karte ist erforderlich, um das wechselseitige Funktionieren zwischen Karte und Endgerät sicherzustellen, z. B. unterstützen sie die gleiche(n) Anwendung(en). Auszutauschende Datenwerte können so strukturiert sein, wie in dem Entwurf des internationalen Standards ISO 7816-5 vorgeschlagen;
- zur Beendigung einer Transaktion zwischen Karte und Endgerät kann tatsächlich die minimale Anzahl von Datenaustauschen - wie theoretisch hergeleitet - verwendet werden, weil die Transaktion als private Berechnung beendet wird, dies anstelle der Notwendigkeit, eine lange Folge von Standardbefehlen zu verwenden;
- sie erlaubt den kontrollierten Zugriff auf Daten, ohne einen beteiligten Zugriffsweg zu benötigen, der durch eine von allen Anwendungen geteilte Verzeichnis- und Dateihierarchie vorgeschrieben ist, wie momentan gebräuchlich und zur Standardisierung vorgeschlagen;
- sie erlaubt die parallele Entwicklung der Endgeräte- und Chipkartenanwendung, wobei dieser Entwicklungsprozess mit Computersoftwarewerkzeugen wie Compilern und Emulatoren unterstützt werden kann. Gestaltung und Implementierung der Karten- und Endgerätesoftware können so über die gegenwärtig erforderliche, langweilige und fehleranfällige Codierung in Assemblersprache hinausgehoben werden;
- sie erlaubt die Standardisierung der Ausrüstung, und zwar sowohl der Karten wie auch der Endgeräte, unter Verwendnung eines abstrakten Formalismus zur Beschreibung der Fähigkeiten der Komponenten, was Flexibilität im Hinblick auf zukünftige Entwicklungen, etwa neue, von Karten- oder Endgeräteherstellern offerierte Merkmale, verleiht. Der standardisierte Endgeräteumfang könnte eine API umfassen. Dagegen konzentrieren sich die gegenwärtigen Standardisierungsbemühungen bei Chipkarten darauf, feste Dateninhalte von Nachrichten vorzuschreiben, um Identifizierungswerte bereitzustellen, die in einer durch den Standard festgelegten Weise zu interpretieren sind, was wenig Raum für neue Entwicklungen lässt.
Schließlich wird den Herstellern der Chipkartenbetriebssysteme mit der neuen Technik eine große Freiheit gegeben, was die Entwicklung optimaler Implementierungen des Betriebssystemkerns der Karte und des Endgerätebetriebssystems anbelangt. Hardwarekonstrukteuren von Chipkarten werden verschiedene Optionen an die Hand gegeben, um die Ausnutzung des Chip-Siliciums mit Hardwareunterstützung für Basisoperationen, die im Systemkern enthalten sind, zu optimieren. Die erzielte Reduzierung der Hardwarekosten, beginnend mit dem oben angegebenen speziellen Design, kann größer sein, als wenn man Verbesserungen bei universellen Ein-Chip-Computern zugrundelegt.
Die Erfindung wird nun im Detail mit Bezug auf einige Zeichnungen beschrieben, die ein Ausführungsbeispiel der Grundprinzipien der vorliegenden Erfindung zeigen.
Fig. 1 zeigt ein auf einer hierarchisch organisierten Sammlung von Datenelementen basierendes, bekanntes Anwendungsdesign bei Chipkarten.
Fig. 2 stellt ein Schaubild des Kommunikationsstroms zwischen einer tragbaren Verarbeitungseinheit und einer entsprechenden Verarbeitungseinheit in einem gegenwärtig als Standard akzeptierten Format dar.
Fig. 3 stellt eine Grundausführung der vorliegenden Erfindung mit Interaktionskontexten in tragbaren Verarbeitungseinheiten, etwa Chipkarten oder PCMCIA-Karten, und eher stationären Verarbeitungseinheiten, wie etwa Kartenendgeräten oder tragbaren Personalcomputern, dar.
Fig. 4 stellt ein Beispiel einer praxisgemäßen Organisation eines Ausführungskontexts dar, das verschiedene Beziehungen zwischen Prozedurbeschreibungen, die in dem Interaktionskontext enthalten sind, und Datenelementen sowie Bibliotheksfunktionen herausstellt, welche bei der Durchführung der Prozeduren benutzt werden.
Fig. 5 zeigt ein Beispiel eines Flußdiagramms für eine Programmausführungssteuerung und für Sicherheitskontextwechsel, die bei der Durchführung der durch ein Kommunikationsgrundelement aufgerufenen Prozedurbeschreibung auftreten.
Die Struktur der Daten und Dateien in bekannten Systemen ist in Fig. 1 dargestellt. Grundsätzlich gibt es eine Stammdatei 1, die mit mehreren Elementardateien 3 und einer oder mehreren reservierten Dateien 2 verbunden ist. Jede reservierte Datei 2 kann mit einer oder mehreren weiteren reservierten Dateien 2 oder mit einer oder mehreren Elementardateien 3 verbunden sein. Der Stand der Technik benutzt eine baumartige Hierarchie der Verzeichnisse und Dateien. Die Anzahl der untergeordneten Ebenen ist bei der bekannten Struktur im Prinzip unbeschränkt. Die in Fig. 1 verwendete Terminologie ist dem internationalen ISO-Standard 7816-4 entnommen. Gemäß dem Standardformat für den Kommunikationsstrom zwischen einer tragbaren Datenverarbeitungseinheit 5 und einer entsprechenden Datenverarbeitungseinheit 4, wie in Fig. 2 gezeigt, umfaßt die Kommunikation eine Menge von Blockpaaren. Die Kommunikation beginnt mit einem Rücksetzsignal m0 von der Datenverarbeitungseinheit 4. Dieses Rücksetzsignal kann außerhalb der Kommunikationsbandbreite liegen, etwa durch die Betriebslogik in der Datenverarbeitungseinheit 5 erzeugt werden, ist aber konzeptmäßig Teil des geordneten Nachrichtenaustausches. Die tragbare Datenverarbeitungseinheit 5 antwortet mit einer Rücksetzantwort (ATR) ml, auf die möglicherweise Inhalte folgen. Alle nachfolgenden Paare von Blöcken m2, m3, ..., m(n-1), mn bestehen aus Blöcken, die von unterscheidenden Werten angeführt werden, auf welche Inhalte folgen, und die unterschiedliche Kommunikationsgrundelemente bilden.
Fig. 3 zeigt den internen Aufbau zweier erfindungsgemäßer Datenverarbeitungseinheiten, die durch Senden und Empfangen von Daten miteinander kommunizieren. Die linke Datenverarbeitungseinheit 4 kann u. a. ein Endgerät sein, die rechte Datenverarbeitungseinheit kann u. a. eine tragbare Datenverarbeitungseinheit, etwa eine Chipkarte, sein. Die Erfindung ist jedoch auch auf zwei oder mehr tragbare Datenverarbeitungseinheiten anwendbar, die durch geeignete Kommunikationsmittel oder eine geeignete Verbindungstopologie miteinander kommunizieren.
Jede der Datenverarbeitungseinheiten 4, 5 umfaßt Datenkommunikationsmittel 7, 14, über die strukturierte Blöcke von Daten ausgetauscht werden können. Jede der Datenverarbeitungseinheiten umfaßt Verarbeitungsmittel 8, 15 sowie Speichermittel 9, 16. Die Speichermittel 9, 16 können jede beliebige Ausbildung eines Festspeichers (ROM), eines Direktzugriffsspeichers (RAM) und eines programmierbaren Festspeichers, wie etwa eines elektrisch löschbaren programmierbaren Festspeichers (EEPROM), besitzen.
Die Speichermittel 9, 16 umfassen ein Ausführungsprogramm 12, 17, das hier durch "MAXOS" angedeutet ist. Wenn die tragbare Datenverarbeitungseinheit 5 für zwei oder mehr Anwendungen geeignet ist, umfaßt die Speichereinrichtung 9, 16 Anwendungsbeschreibungen 13(1) 13(n), 18(1)...18(n). Es gibt so viele Anwendungsbeschreibungen, wie Anwendungen der betreffenden Datenverarbeitungseinheit vorgesehen sind. Jede Anwendungsbeschreibung ist durch "CSA" angedeutet. Die zweite Anwendungsbeschreibung 13(2), 18(2) ist in Fig. 3 in vergrößertem Maßstab gezeigt, um die Inhalte der jeweiligen Anwendungsbeschreibung anzeigen zu können. Jede Anwendungsbeschreibung 13(i), 18(i) umfaßt zumindest einen "Interaktionskontext" 11(1)...11(m), 19(1)...19(m). Jeder Interaktionskontext ist durch "CTA" angedeutet. Der erste dieser Interaktionskontexte 11(1), 19(1) ist in vergrößertem Maßstab gezeigt, um seine Inhalte darstellen zu können. Jeder Interaktionskontext enthält:
- einen Satz von Befehlen, welche die durch den Interaktionskontext erkannten Kommunikationsgrundelemente spezifizieren und auf geeignete, in einem Prozedurensatz spezifizierte Prozeduren verweisen;
- einen Satz von Daten;
- einen Satz von Datenverweisen auf Daten, welche in anderen Interaktionskontexten - falls vorhanden - angesiedelt sind;
- einen Satz von Prozeduren, welche von dem Ausführungsprogramm 12, 17 ausgeführt werden können;
- einen Satz von Zugriffsbedingungen für die Datenelemente;
- einen Satz von externen Verweisen, welche auf Datenelemente verweisen, die von Befehlen zu verwenden sind, welche von der anderen Datenverarbeitungseinheit ausgegeben werden;
- optional entwicklerspezifizierte weitere Listen.
Schließlich umfassen die Speichermittel 9, 16 ein Speicherelement 21, 20, welches einen Verweis auf den "momentanen CTA" enthält, also den Interaktionskontext, der momentan in Kraft ist.
Der Sinn mehrerer Interaktionskontexte innerhalb einer Anwendungsbeschreibung ist, eine funktionale Trennung in mögliche Interaktionen zwischen den Datenverarbeitungseinheiten 4, 5 vorzusehen. Dies ist besonders bedeutsam, wenn die funktionale Trennung auch eine Trennung in Sicherheitsbedingungen ist. Ein Beispiel kann eine erste Interaktion zwischen einer Chipkarte und einem Endgerät etwa zum Öffnen einer Tür und eine zweite Interaktion bei der Programmierung von Türen, die geöffnet werden dürfen, sein. Die zweite Interaktion benötigt eine bessere Sicherheit als die erste Interaktion und besitzt ihren eigenen Interaktionskontext. Zugriff auf den Interaktionskontext zu erhalten, ist der erste Schritt bei der Gewährleistung der Sicherheit der Operationen, die im Rahmen des Interaktionskontextes ausgeführt werden können.
Fig. 4 zeigt einen zweckmäßigen Ansatz zur Realisierung des Kontextmechanismus, der als Speicherorganisationsmodell dargestellt ist, das die Beziehungen zwischen Datenelementen, Zugriffsbedingungen und Prozeduren zeigt. Die Struktur der Fig. 4 gilt immer dann, wenn es zwei oder mehr Anwendungen der tragbaren Datenverarbeitungseinheit 5 gibt. Wenn es nur eine Anwendung gibt, ist die Struktur stark vereinfacht, wie später erläutert wird. In Fig. 4 sind die Bezugsziffern der Datenverarbeitungseinheit 5 dargestellt. Die Struktur der Fig. 4 ist jedoch in gleicher Weise auf die Speichermittel 9 der Datenverarbeitungseinheit 4 anwendbar. In Fig. 4 sind Datenelementbeschreibungen und Prozedurbeschreibungen optimal organisiert, um die Aufteilung des Programmcodes und die Aufteilung der Daten zwischen verschiedenen Interaktionskontexten (CTAs) widerzuspiegeln, die eine Anwendung (CSA) bilden.
Die Speichermittel 16 umfassen Datenelemente H(1)...H(7), ausführbare Codelemente G(1)...G(5), welche Teil des Betriebssystems sind, sowie Anwendungsbeschreibungen 18(1), 18(2) (CSA1, CSA2). In Fig. 4 sind betriebssysteminterne Daten und Codes weggelassen. Die Anzahl der Datenelemente, der ausführbaren Codelemente und der Anwendungsbeschreibungen, wie sie in Fig. 4 dargestellt sind, ist lediglich beispielhaft: In der Realität können sich die Anzahlen nach Bedarf ändern.
Jede Anwendungsbeschreibung 18(1), 18(2) ist physikalisch in den Speichermitteln vorhanden. Sie bilden eine erste, untere Schicht der Abstraktion, um die Speichernutzung widerzuspiegeln. Jede Anwendungsbeschreibung 18(1), 18(2) besteht aus:
- einer Prozedurbibliothek, welche aus ausführbaren Codeeinheiten F(1)...F(4) besteht, die auf zu diesem Zweck verfügbar gemachte ausführbare Codeelemente des Betriebssystems verweisen können, wie durch Pfeile P(1)...P(5) angedeutet;
- eine Liste von Datenelementen E(1)...E(7), welche von Prozeduren im Rahmen der Interaktionskontexte 19(1)...19(2) in der momentanen Anwendungsbeschreibung 18 zu verwenden sind. Diese Datenliste umfaßt Datenzugriffsbedingungen sowie Zeiger q(1) q(7) auf Speicherbereiche, welche Datenelemente enthalten;
- eine Interaktionskontextliste mit einer Anzahl von Interaktionskontextbeschreibungen 19(1), 19(2).
Die Anzahl der Elemente in der Prozedurbibliothek, in der Liste der Datenelemente und in der Interaktionskontextliste in der Anwendungsbeschreibung 18(1), wie sie in Fig. 4 gezeigt ist, dient lediglich zum Zwecke der Darstellung. Es versteht sich, daß die Anzahl der Elemente abhängig von der gewünschten Anwendung variieren kann.
Der Inhalt der Datenstrukturen der Interaktionskontexte 19(1), 19(2) und der Anwendungsbeschreibung 18(1) in den Verarbeitungseinheiten 4, 5, die am Datenaustausch teilnehmen, ist insofern komplementär, als die Antwort einer Einheit von der anderen Einheit als Befehl interpretiert wird. Durch diese komplementäre Natur kann der möglicherweise kompakt codierte Inhalt der Datenstrukturen anhand einer einzelnen textlichen Beschreibung erzeugt werden. Ein Datenaustauschsystem besteht im allgemeinen aus vielen Implementierungen der Verarbeitungseinheiten mit unterschiedlicher Zielsetzung, die während des Betriebsablaufs des Systems in Kommunikation zu einem Datenaustausch treten können, um diesen Zweck zu erfüllen. Jede Verarbeitungseinheit kann in ihren Speichermitteln nur einen solchen Teil der Datenstruktur enthalten, wie er für ihren vorgesehenen Zweck in dem System relevant ist. Das System im Ganzen wird durch die Sammlung all der verschiedenen Inhalte von Interaktionskontexten beschrieben. Einige der Interaktionskontexte oder ein Teil ihres Inhalts können bei Bedarf auch zu beliebiger Zeit geladen werden. Dieses Laden kann sicher geschehen, wenn es beispielsweise durch die oben angedeutete Verwaltungsanwendung geschützt wird.
Die Interaktionskontexte 19(1), 19(2) sind physikalisch in den die Anwendungsbeschreibung 18(1) speichernden Speichermitteln vorhanden.
In logischer Hinsicht bilden die Interaktionskontexte eine zweite Ebene bzw. Schicht der Steuerung der Speichernutzung. Die durch diese zweite Ebene und die Ebene der Anwendungsbeschreibung gebildete kombinierte Steuerung ergibt eine effektive Realisierung eines Ausführungskontextmechanismus für tragbare Datenverarbeitungseinheiten, wie etwa Chipkarten. Jeder Interaktionskontext 19(1), 19(2) umfaßt:
- eine Liste von Prozedurbeschreibungen C(1)...C(5). Diese Prozedurbeschreibungen können auf Prozedurbeschreibungen in der Prozedurbibliothek in der Anwendungsbeschreibung 18 verweisen, wie durch einen Beispielpfeil s(1) angedeutet. Alternativ können diese Prozedurbeschreibungen auf ausführbare Codeelemente G(1) ...G(5) verweisen, die durch das Betriebssystem bereitgestellt werden, wie durch einen Beispielpfeil t(1) angedeutet. Als weitere Alternative können diese Prozedurbeschreibungen explizite Verweise auf Datenelemente enthalten, die von der Prozedur während der Ausführung verwendet werden und die in der Datenliste der betreffenden Anwendungsbeschreibung 18 vorhanden sind, wie durch Pfeile r(1)...r(6) angedeutet;
- eine Datenliste mit Datenelementen B(1)...B(5), welche exklusiv zur Verwendung durch die Prozeduren in dem betreffenden Interaktionskontext verfügbar sind. Die Datenelemente sind als Verweise auf die Datenliste der betreffenden Anwendungsbeschreibung 18 mit zugehörigen. Zugriffsbedingungen dargestellt, an die man sich beim Zugriff auf die eigentlichen Daten halten muss, wie durch Pfeile u(1)...u(5) angedeutet;
- eine externe Schnittstellenliste mit Kommunikationsgrundelementen A(1)...A(4), welche von den betroffenen Interaktionskontexten 19(1), 19(2) als Befehle akzeptiert werden. Jeder Befehl in einem Kommunikationsgrundelement verweist auf ein Element der Prozedurbeschreibungen C(1)...C(5) der Prozedurenliste in dem betreffenden Interaktionskontext, wie durch Pfeile v(1)...v(4) angedeutet. Bei Ausgabe durch die Kommunikationsvorrichtung 4 können die Befehle durch eine oder mehrere auf den Befehl folgende Adressen auf Elemente in der Datenliste der Anwendungsbeschreibung verweisen. Jeder Befehl kann von Datenelementen als Eingabe für die Befehlsverarbeitung begleitet werden. Die Anzahl der Adressen, wie sie hier gegeben ist, ist lediglich beispielhaft und wird in der Realität für jeden Befehl nach Bedarf festgelegt.
Für den Schutz der Datenelemente wird durch die Vorsehung der Zugriffsbedingungen gesorgt. Jeder externe Befehl in einem Kommunikationsgrundelement A(1)...A(4) kann lediglich Datenelemente adressieren, auf die in der Datenliste des betreffenden Interaktionskontexts 19 verwiesen wird. Der Zugriff wird nur dann gestattet, wenn die Zugriffsbedingungen erfüllt sind. Diese Zugriffsbedingungen spezifizieren die Art des Zugriffs, der für den Befehl zugelassen ist; eine solche Zugriffsbedingung kann sein: kein Zugriff, nur Lesezugriff, Lese- und Schreibzugriff und Geheimschlüsselverwendung. Es können auch andere Zugriffsbedingungen gelten. Beispielsweise kann der Befehl des Kommunikationsgrundelements A(1) nur einen Lesezugriff auf das Datenelement B(2) über den Verweispfeil w(2) haben, während der Befehl des Kommunikationsgrundelements A(2) über den Verweispfeil w(3) einen Lese- und Schreibzugriff auf dasselbe Datenelement B(2) hat.
Die Prozedurbeschreibungen C(1)...C(5) können auf Datenelemente in der Datenliste der betreffenden Anwendungsbeschreibung 18 und auf keine anderen verweisen. Wiederum wird der Zugriff nur gestattet, wenn die Zugriffsbedingung erfüllt ist. Diese Zugriffsbedingungen geben ebenfalls die Art des Zugriffs an, der erlaubt ist: beispielsweise kein Zugriff, nur Lesezugriff, Lese- und Schreibzugriff und Geheimschlüsselverwendung. Die Zugriffsbedingungen für verschiedene Prozedurbeschreibungen innerhalb desselben Interaktionskontexts 19 können für das gleiche Datenlistenelement E(1)...E(7) der Anwendungsbeschreibung unterschiedlich sein, z. B. kann der Verweispfeil r(1) eine Nur-Lese-Zugriffsbedingung darstellen, wohingegen der Verweispfeil r(2) eine Lese/Schreib- Zugriffsbedingung darstellen kann:
Die Zugriffsbedingungen werden auf der betroffenen Ebene geprüft, d. h. auf der Ebene der Anwendungsbeschreibung oder des Interaktionskontexts, und zwar nur einmal. Ein Element B(1)...B(5) der Datenliste in einem Interaktionskontext 19(1), 19(2) verweist durch den Pfeil u(1) u(5) direkt auf den Zeiger eines Datenelements in der Datenliste der Anwendungsbeschreibung 18(1), weil die Zugriffsbedingungen in dem Datenlistenelement E(1)...E(7) der Anwendungsbeschreibung 18(1) bereits erfüllt sind. Die Prozedurbeschreibungen C(1)...C(5) in einem Interaktionskontext 19(1), 19(2), die auf Datenlistenelemente in der Anwendungsbeschreibung 18(1) verweisen, müssen jedoch zunächst die den Datenlistenelementen E(1)...E(7) in der Anwendungsbeschreibung 18(1) zugeordneten Zugriffsbedingungen erfüllen. Auf Datenelemente oder Prozedurbeschreibungselemente in den Datenlisten der Anwendungsbeschreibung 18(1) und ihrer zugehörigen Interaktionskontexte 19(1), 19(2) kann nicht von einer anderen Anwendungsbeschreibung in den Speichermitteln 16 verwiesen werden. Der ausführbare Code, der die Prozedurbeschreibung bildet, kann Daten lediglich indirekt über die beschränkte Menge von Datenverweisen adressieren, die jeder der Prozedurbeschreibungen C(1)...C(5) zugeordnet sind. Mit Hilfe der durch B(1) ...B(5) beschriebenen Datenelemente wird die Verweisliste durch das Ausführungsprogramm zeitweilig um Verweise auf Datenelemente erweitert, die durch Auswertung der Adressen erhalten werden, welche aktuell in der Kommunikationsnachricht angegeben sind, die als mit der Prozedurbeschreibung verbundener Befehl akzeptiert wird. Auf diese Weise kann auf keine anderen Daten als die explizit angegebenen zugegriffen werden, wobei nur bestimmte Nutzungsbedingungen beachtet werden. Mit anderen Worten sieht das bevorzugte Speicherreferenzmodell der Fig. 4, was die Anwendungsbeschreibung mit ihren zugehörigen Interaktionskontexten anbelangt, einen exklusiven Kontext für Operationen im Rahmen einer einzelnen Anwendung der Datenverarbeitungseinheit 5 vor. Die Datenelemente H(1)...H(7) werden für alle Anwendungen gemeinsam in den Speichermitteln 16 gespeichert, enthalten jedoch Daten zur exklusiven Verwendung im Kontext der Anwendungsbeschreibung 18(1), wobei diese Exklusivität durch das Ausführungsprogramm gewährleistet wird, indem die Existenz eines einzelnen Zeigers auf jeden Speicherplatz zugelassen wird, wie etwa q(1) von E(1) nach H(2). Lediglich auf die Codelemente G(1)...G(5) kann durch jede der in den Speichermitteln 16 gespeicherten Anwendungsbeschreibungen 18(1)... verwiesen werden. Diese letzten Verweise anderer Anwendungsbeschreibungen als der Anwendungsbeschreibung 18(1) auf die gemeinsamen Codes G(1)...G(5) sind in Fig. 4 nicht explizit angegeben. Es kann jedoch jeder Fachmann leicht die Struktur der Fig. 4 auf zwei oder mehr Anwendungsbeschreibungen 18(1), 18(2), ... erweitern.
Nach der Erläuterung, wie die Datenelemente durch die Verwendung von Zugriffsbedingungen unterschiedlicher Arten geschützt werden können, werden nun die Vorkehrungen zur Speicherverwaltung erläutert. Für die Speicherverwaltung ist es wünschenswert, daß veränderbare Daten (Datenelemente) und unveränderbare Daten (Betriebssystemcode) von dem Betriebssystem gesondert verwaltet werden können. Das in Fig. 4 gezeigte Speicherreferenzmodell sieht eine Trennung der Code- und Datenelemente in den Speichermitteln 16 vor, auf die durch die Zeiger q(1) ...q(7), p(1)...p(5) von der Datenliste bzw. der Prozedurbibliothek in der betreffenden Anwendungsbeschreibung 18 verwiesen wird. Die Datenlistenelemente in jedem Interaktionskontext 19(1), 19(2) enthalten lediglich Verweise auf diese Zeiger und keine unmittelbaren Verweise auf die Codes G(1)...G(5) und die Datenelemente H(1)...H(7) in den Speichermitteln 16. Die Datenliste der betreffenden Anwendungsbeschreibung 18 sieht den vom Betriebssystem verlangten Grad an Indirektheit vor, um die Speicherverwaltung vorzunehmen.
Eine Codeverdoppelung wird dadurch vermieden, daß gemeinsame Codebibliotheken auf zwei Ebenen bereitgestellt werden: "Befehlsrümpfe" wie die Prozedurbeschreibung C(3), die auf das Codeelement F(2) in der Prozedurbibliothek in der Anwendungsbeschreibung 18(1) verweist, um gemeinsame Codes unter verschiedenen Interaktionskontexten zu teilen. Der Rumpf der Prozedurbeschreibung C(3) verweist jedoch auch direkt auf einen Code G(3), der in den Speichermitteln 16 gespeichert ist und durch das Betriebssystem bereitgestellt wird. Alle von dem Betriebssystem bereitgestellten Codeelemente G(1)...G(5) sind zur effizienten Ausführung ausgelegt.
Die Verweisung auf die Codeelemente F(1), F(2) kann mit einer Speicheradresse oder mit zusätzlichen Ebenen der Indirektheit anhand von Indizes in geeignet aufgebauten Tabellen erfolgen. Die hier vorgesehene hierarchische Strukturierung der Verweise ist für eine Realisierung mit Indizes sehr geeignet.
Grundsätzlich ist die Speicherstruktur nach Fig. 4 auch in Situationen anwendbar, in denen nur eine Anwendung der Datenverarbeitungseinheit 5 vorgesehen ist. In diesem Fall kann diese Anwendungsbeschreibung 18(1) sogar mit einem Interaktionskontext 19(1) zusammenfallen, welcher Interaktionskontext dann den folgenden kohärenten Satz von Definitionen enthält:
a. einen Satz von Basis-Kommunikationsgrundelementen A(1)..., die immer dann akzeptiert werden, wenn die Datenverarbeitungseinheit 5 mit einer entsprechenden Einheit 4 kommuniziert, wobei die Grundelemente zumindest ein Grundelement umfassen, das dazu verwendet wird, in den mindestens einen Interaktionskontext einzutreten;
b. einen Satz von Prozedurbeschreibungen C(1)..., die die in Antwort auf jedes der akzeptierten Kommunikationsgrundelemente A(1)... durchzuführenden Aktionen definieren und zumindest eine erste Prozedurbeschreibung umfassen, die bei Aktivierung des Interaktionskontexts durchzuführen ist, sowie eine letzte Prozedurbeschreibung umfassen, die unmittelbar vor Deaktivierung des Kontexts durchzuführen ist;
c. einen möglicherweise leeren Satz von entweder permanent gespeicherten oder berechneten Datenelementen H(1)..., die zur Verwendung verfügbar sind, wenn Prozeduren, wie sie in den Prozedurbeschreibungen C(1)... definiert sind, durchgeführt werden;
d. einen möglicherweise leeren Satz von Verweisen auf Datenelemente, welche Verweise den Prozedurbeschreibungen C(1)... zugeordnet sind, wobei die Datenelemente auch möglichen weiteren Interaktionskontexten zugänglich sind und zur Verwendung verfügbar sind, wenn Prozeduren, wie sie in den Prozedurbeschreibungen C(1)... definiert sind, durchgeführt werden;
e. eine möglicherweise leere Datenliste mit einer Liste von Datenverweisen auf Datenelemente, die zum expliziten Verweis als Teil eines Kommunikationsgrundelements verfügbar sind, um durch die dem Kommunikationsgrundelement zugeordnete Prozedurbeschreibung verwendet zu werden;
f. einen Satz von Zugriffsbedingungen, die den Datenelementen zugeordnet sind, auf welche im Zusammenhang mit den Prozedurbeschreibungen verwiesen wird;
g. einen Satz von Zugriffsbedingungen, die der Liste von Datenverweisen B(1)... in der Datenliste zugeordnet sind.
Wenn für die Datenverarbeitungseinheit 5 nur eine Anwendung vorgesehen ist und es wenigstens zwei Interaktionskontexte 19(1), 19(2) gibt, umfaßt jede Anwendungsbeschreibung:
a. eine Datenliste mit Verweisen E(1)... auf Datenelemente, welche Verweise zwei oder mehr Interaktionskontexten 19(1)... zugänglich sind und durch zusätzliche Datenelemente erweitert sein können;
b. einen weiteren Satz von Zugriffsbedingungen, die den Verweisen E(1)... oder den zusätzlichen Datenelementen zugeordnet sind und Nutzungsbeschränkungen definieren.
Der Satz von Prozedurbeschreibungen in jeder der zwei oder mehr Interaktionskontextbeschreibungen enthält außerdem eine zusätzliche letzte Prozedurbeschreibung, die unmittelbar vor Deaktivierung des Kontexts durchzuführen ist.
Fig. 5 stellt den Ablauf der Steuerung in dem oben durch "MAXOS" (12, 17) angegebenen Ausführungsprogramm dar.
Nach Einschalten des Systems beginnt die Software mit der Verarbeitung eines Rücksetzcodes in Schritt 30. In Schritt 31 erfolgt der Eintritt in die Sicherheitsebene für die Kernoperationen der Datenverarbeitungseinheit. Die diese Ebene beschreibenden Zugriffsbedingungen sind in einem nicht modifizierbaren Teil des Speichers gespeichert, z. B. in einem ROM oder in einer Hardwarelogik. In Schritt 32 wird der nichtflüchtige Speicher auf Konsistenz geprüft; jegliche Modifikationen, die infolge eines plötzlichen Abschaltens, etwa infolge eines Herausziehens einer Chipkarte, unbeendigt geblieben sein können, werden annuliert. Die Konsistenzprüfung des nichtflüchtigen Speichers beinhaltet nur eine Untersuchung der im Speicher gespeicherten Zustandsinformationen und die Berechnung von Prüfsummen. Der Inhalt des Speichers - falls überhaupt auf ihn zugegriffen wird - wird lediglich zur Berechnung der Prüfsummen verwendet. Die Konsistenzprüfung ist somit ein sicherer Vorgang. Die genaue Art der Gegebenheiten der Konsistenzprüfung hängt von den Einzelheiten der Hardware in der Datenverarbeitungseinheit und von Modifikationsroutinen für den nichtflüchtigen Speicher ab, die für die spezielle Sicherheitsarchitektur in hohem Maße irrelevant sind. Nach der allgemeinen Speicherkonsistenzprüfung werden die vorberechneten, im Speicher gespeicherten Ebenen des Sicherheitskontexts verifiziert. Schließlich wird der Direktzugriffsspeicher der Datenverarbeitungseinheit gestartet.
Wenn die Ausführungsumgebung somit für sicher erklärt wird, erfolgt in Schritt 33 der Einstieg in die Sicherheitsebene für eine sichere Anwendung der Datenverarbeitungseinheit. Auf dieser Ebene wird jeder die Kernoperationen betreffende Speicherzugriff blockiert. Der Zugriff auf Anwendungsdaten und -beschreibungen von dieser Ebene erfolgt ausschließlich über Routinen im Kern, die Zustandsinformationen über ablaufende Speicheroperationen führen.
Beim ersten Einstieg nach der Rücksetzung werden in Schritt 34 Anwendungsdatenelementdeskriptoren verwendet, um die Konsistenz gespeicherter Daten mit dem Deskriptor zu prüfen; der Speicher wird geändert, falls er sich in einem mit dem beschriebenen Attribut inkonsistenten Zustand befindet. Eine Rücksetzantwortnachricht (ATR) wird aus den Anwendungsidentifizierern zusammengesetzt, die in den Anwendungsdeskriptoren gespeichert sind, und mit einer Transaktionsnummer vervollständig, die so berechnet wird, daß sie seitens der empfangenden anderen Datenverarbeitungseinheit 4 unvorhersagbar ist. Intern in der Datenverarbeitungseinheit wird ein Endgerätebefehl erzeugt, um einen Standardinteraktionskontext zu aktivieren. Unmittelbar nachdem die ATR-Nachricht an die andere Datenverarbeitungseinheit 4 geschickt wird, wird dieser interne Kontextaktivierunsbefehl ausgeführt, um einen Interaktionskontext für nachfolgende Befehle bereitzustellen. Die ATR- Nachricht gibt eindeutig die Bereitschaft der Datenverarbeitungseinheit an, weitere Befehle anzunehmen. Der Standardinteraktionskontext kann als Teil einer "Chipkartenbesitzeranwendung" ausgeführt sein, die als eine Standardanwendung in allen Vielfachanwendungs-Chipkarten vorhanden ist. Bei diesem speziellen Anwendungskontext kann der Benutzer, d. h. der Chipkartenbesitzer, seine persönlichen Daten nachsehen oder eine der anderen Anwendungen auf der Karte öffnen.
In Schritt 35 erfolgt als Folge des-Kontextaktivierungsbefehls der Eintritt in die Interaktionskontext- (CTA-) Sicherheitsebene für den standardmäßigen Chipkartenbesitzer CTA.
Nach vollständiger Aktivierung einer Anwendung ist diese bereit, Befehle von der anderen Datenverarbeitungseinheit zu empfangen. Die weitere Verarbeitung hängt von dem empfangenen Befehl ab: Ein Befehl, eine Anwendung zu aktivieren, wird anders behandelt als ein Befehl, der ausgeführt werden soll. Daher wird in Schritt 38 nach der Feststellung, daß in Schritt 36 ein Kommunikationsgrundelement erhalten wurde und es in Schritt 37 als akzeptierbar bestimmt wurde, getestet, ob eine neue Anwendung aktiviert werden soll. Falls nicht, wird in Schritt 39 eingetreten, in dem der Befehl überprüft wird, um herauszufinden, ob er zugelassen ist und die Eingangsdaten akzeptiert werden können. Diese Prüfungen werden für einen Befehl nur dann durchgeführt, wenn dies in dem Anwendungsdeskriptor angegeben ist. In Schritt 39 kann auch eine Entschlüsselung der Eingangsdaten durchgeführt werden.
Wenn der Test erfolgreich ist, erfolgt der Einstieg in die "Datenzugriffsschutzebene", Schritt 40. Auf dieser Ebene, der höchsten Sicherheitsebene, können Routinen ausgeführt werden, die von den Anwendungsbereitstellern codiert wurden, Schritt 41. Diese Routinen sind in dem Anwendungsdeskriptor gespeichert und wirken als anwendungsspezifische Reaktion auf einen von der anderen Datenverarbeitungseinheit 4 ausgegebenen speziellen Befehl. Diese Sicherheitsebene beschränkt den Speicherzugriff auf eine Teilmenge, die speziell für den Befehl festgelegt ist, der gerade ausgeführt wird.
Nach Ausführung des Befehls mit den übermittelten Eingangsdaten in Schritt 41 wird die Datenzugriffsschutzebene in Schritt 42 verlassen.
In Schritt 43 werden Ausgabedaten und ein (kryptografischer) Nachweis der Befehlsbeendigung erzeugt. Diese Funktion wird für einen Befehl nur dann ausgeführt, wenn es so in der Prozedurbeschreibung angegeben ist, die für beliebige der definierenden Bestandteilaktionen leer sein kann. Nach Schritt 43 wartet das Programm auf neue Kommunikationsgrundelemente, Schritt 36.
Falls keine spezielle Befehlsroutine definiert ist und der Befehl anhand von Prozeduren ausgeführt werden kann, die lediglich aus Betriebssystemfunktionen bestehen, wird die Datenzugriffsschutzebene (Schritt 40) nicht betreten; der Befehl wird unmittelbar auf der Interaktionskontextsicherheitsebene ausgeführt, da die Betriebssystemroutinen so ausgelegt sind, daß sie den Datenschutz nicht verletzen.
Wenn in Schritt 38 festgestellt wird, daß keine neue Anwendung aktiviert werden soll, fährt das Programm fort mit Schritt 44, in dem eine Kontextdeaktivierungsprozedur durchgeführt wird. In Schritt 45 wird die momentane anwendungsspezifische Sicherheitsebene verlassen und in Schritt 46 werden im Rahmen der Sicherheitsebene des Ausführungsprogramms "MAXOS" die den Befehl begleitenden Daten geprüft.
Wenn der Befehl durch geeignete, für die verlangte Anwendung angegebene Authorisierung zugelassen wird, erfolgt der Einstieg in eine neue anwendungsspezifische CTA-Sicherheitsebene, Schritt 47. Diese Ebene beschränkt den Zugriff auf Daten, die die neu geöffnete Anwendung betreffen.
Die Datenverarbeitungseinheit erzeugt Daten in Antwort auf einen Kontextaktivierungsbefehl, indem sie eine Initialisierungsanweisung ausführt, die in der Prozedurliste definiert ist, Schritt 48. Falls eine solche vom Anwendungsbereitsteller codierte Routine vorhanden ist, wird die Datenzugriffsschutzebene in Schritt 49 betreten. In Schritt 50 wird die Kontextaktivierungsprozedur durchgeführt. In Schritt 51 wird die Datenzugriffsschutzebene verlassen und die Antwort der anderen Datenverarbeitungseinheit 4 mitgeteilt; die Datenverarbeitungseinheit 4 selbst ist bereit, einen neuen Befehl nach dem oben angegebenen Schritt 43 zu empfangen.
Nach der Beschreibung der Fig. 1 bis 5 erfolgen nun einige allgemeine Anmerkungen zu dem erfindungsgemäßen Datenaustauschsystem.
Die Codes in der Prozedurbibliothek in jeder Anwendungsbeschreibung 18(1), 18(2) können dadurch erweitert werden, daß eine Spezifikation der Verwendung ihrer Operationsparameter in Klassen eingefügt wird, welche sich auf Attribute beziehen, die Datenelemente betreffen, welche als tatsächlicher Wert in einer Berechnung herangezogen werden können, welche Berechnung nur dann fortschreitet, wenn die Datenattribute und die Parameterklassen zueinander passen. Dies stellt einen Weg bereit, Zugriffsbedingungen sowohl für Datenelemente als auch für Funktionen zu verifizieren. Der Vergleich von geeignet codierten Bitbildern von Datenattributen und Parameterklassen kann zu einer effizienten Realisierung dieser zusätzlichen Technik führen.
Das Ausführungsprogramm 12, 17 kann einen Verweis auf einen Interaktionskontext umfassen, der dazu verwendet wird, den momentanen Interaktionskontext in demjenigen Speicherelement 20 zu initialisieren, das einen Verweis auf den momentan in Kraft befindlichen Interaktionskontext speichert. Durch diese Maßnahme ist es möglich, eine Endaktion nach Erfassung einer internen Inkonsistenz bei Wiederaufnahme eines normalen Betriebszustands durchzuführen oder wann immer das Ausführungsprogramm 12, 17 aktiv ist und kein expliziter Interaktionskontext durch ein von der anderen Datenverarbeitungseinheit 5 erhaltenes Kommunikationsgrundelement angegeben wurde. Dieser Standardinteraktionskontext kann ohne weiteres ein Kontext sein, der in der oben beschriebenen Kartenbesitzeranwendung enthalten ist.
Zusätzlich können die Speichermittel 9, 16 einen Interaktionskontext 11, 19 umfassen, dessen Zweck es ist, persönliche Identifizierungsnummern (PINs) zu umfassen, wobei das Ausführungsprogramm 12, 17 dazu ausgebildet ist, die von einem Benutzer des Datenaustauschsystems gelieferten persönlichen Identifizierungsnummern zu verifizieren. Es können verschiedene solcher persönlichen Identifizierungsnummern - Passwörter - verwendet werden. Ein Passwort kann dazu verwendet werden, den Gebrauch der Vorrichtung bei Transaktionen zu schützen, bei denen geheimhaltungsempfindliche Daten offenbart werden können. Ein zweites Passwort kann dazu verwendet werden, Transaktionen zu schützen, bei denen Daten mitgeteilt werden, die einen von dem Passwortbesitzer zu zahlenden Wert darstellen. Ein drittes Passwort kann dazu verwendet werden, Transaktionen zu schützen, bei denen Operationen durchgeführt werden, die als kritisch für die Sicherheit der Anwendung angesehen werden, wie etwa Schutzmodi, die aufgerufen werden, so wie in jedem der Interaktionskontexte 18, die dies benötigen können, angegeben. Weitere Passwörter können vorgesehen sein. Dieser PIN- Verwaltungsinteraktionskontext kann sehr wohl ein Kontext sein, der in der oben beschriebenen Kartenbesitzeranwendung enthalten ist.
Jede Anwendungsbeschreibung 13, 18 kann eine Liste von numerischen Werten umfassen, die so aufgebaut ist, daß sie Identifizierer für alle Interaktionskontexte 11, 19 bereitstellt, wobei jede Anwendungsbeschreibung 13, 18 eine beliebige Kombination aus einem ersten numerischen Wert, der den Anwendungstyp angibt, einem zweiten numerischen Wert, der eine eindeutige Bezeichnung des die Anwendung bereitstellenden Organs angibt, einem dritten numerischen Wert, der die Art der Anwendungsbeschreibung 13, 18 angibt, und weiteren Zahlen bzw. Nummern umfassen kann, die sich jeweils eindeutig auf einen Interaktionskontext 11, 19 beziehen. Die ersten zwei Nummern können nach Maßgabe von Regeln zugeordnet werden, die im Markt wohl eingeführt sind, wohingegen die übrigen Nummern von dem die Anwendung bereitstellenden Organ so gewählt werden können, wie es als geeignet erscheint. Insbesondere kann es numerische Werte zuweisen, um zwischen verschiedenen Versionen der Implementierung zu unterscheiden oder um die Erzeugung des von der Anwendung in ihren kryptografischen Berechnungen verwendeten Satzes kryptografischer Schlüssel anzuzeigen. Zusätzlich kann die Vorrichtung in die Rücksetzantwortnachricht eine Liste einfügen, welche für jeden der in ihren Speichermitteln enthaltenen Anwendungskontexte 11, 19 eine Identifizierungsnummer aufweist, die aus den mit dem Interaktionskontext gespeicherten eindeutigen Identifizierungswerten aufgebaut ist. Das erste Element in der Liste der Interaktionskontextidentifizierungsnummern kann eine Identifizierung für den Standardkontext sein.
Die Datenkommunikationsmittel 7, 14 sind vorzugsweise so ausgeführt, daß sie den Datenaustausch datenblockweise strukturieren. Diese Datenblöcke umfassen mindestens zwei Teile, nämlich einen ersten Teil, der insofern als operationsrelevant qualifiziert ist, als er dazu verwendet wird, die Art der Operationen zu beeinflussen, die infolge eines Befehls durchgeführt werden, wie er durch ein Kommunikationsgrundelement oder durch Daten angegeben wird, welche aus durchgeführten Operationen resultieren. Ein zweiter Teil ist insofern als sicherheitsrelevant qualifiziert, als er dazu verwendet wird, die Eignung zur Durchführung einer Operation oder zur Akzeptierbarkeit von Daten in dem operationsrelevanten Teil zu bestimmen, um in der Operation verwendet zu werden oder um die Beendigung der Operation oder die Korrektheit der offenbarten Daten nachzuweisen.
Wenn die Daten in dieser Weise strukturiert werden, kann das Ausführungsprogramm 17 so ausgelegt sein, daß es bei Akzeptierung eines Kommunikationsgrundelements zur Durchführung von im momentanen Interaktionskontext 20, 21 angegebenen Operationen jede Operation als Teil einer vorbestimmten und festen Folge von Aktionen ausführt, von denen jede gesondert als Teil einer Prozedurbeschreibungsregel spezifiziert ist, die dem akzeptierten Kommunikationsgrundelement zugeordnet ist. Eine erste Aktion kann als Funktion zur Authorisierung der Verwendung des Kommunikationsgrundelements an diesem Punkt in der Kommunikationssequenz spezifiziert sein. Eine zweite Aktion kann als Funktion zur Entschlüsselung der Operationsdaten oder eines Teils derselben spezifiziert sein, wohingegen eine dritte Aktion als die eigentliche Operationsprozedur spezifiziert sein kann. Ein vierter Teil kann zur Verschlüsselung von Operationsdaten spezifiziert sein, welche aus den durchgeführten Operationen resultieren, und eine fünfte Aktion kann als Funktion spezifiziert sein, um einen Nachweis der Beendigung der durchgeführten Aktion oder der Korrektheit der resultierenden Daten zu berechnen oder um in Sicherheitsberechnungen in der empfangenden Datenverarbeitungseinheit verwendet zu werden. Diese Aktionen sind in dem Flußdiagramm der Fig. 5 wiedergegeben.
Darüber hinaus enthält die Datenverarbeitungseinheit 5 in ihrer Rücksetzantwortnachricht eine Nummer, die so gewählt ist, daß ihr Wert seitens der empfangenden Datenverarbeitungseinheit 4 unvorhersagbar ist, und die als Grundlage für kryptografische Berechnungen dienen kann. Diese Nummer kann als "Kartentransaktionsnummer" bezeichnet werden.
Für ein Kommunikationsgrundelement wird ein bestimmter zugewiesener Wert vorhanden sein, der stets als Anforderung interpretiert wird, in einen neuen Interaktionskontext 11, 19 einzusteigen. Dieses Kommunikationsgrundelement kann als "Aktivierungsbefehl" bezeichnet werden. Die den Aktivierungsbefehl begleitenden Daten spezifizieren den zu aktivierenden Kontext in hinreichender Weise, indem sie möglicherweise auf die als Teil der Rücksetzantwortnachricht mitgeteilten Identifizierungsnummern verweisen. Die in Antwort auf den Aktivierungsbefehl durchgeführten Aktionen werden erstens durch die Prozedurbeschreibung beschrieben, welche in dem Kontext enthalten ist, der das als zur Deaktivierung bezeichnete Grundelement akzeptiert, und werden zweitens in der Prozedurbeschreibung beschrieben, die als zur Aktivierung bezeichnet ist und in dem Kontext enthalten ist, dessen Betreten spezifiziert wurde.
Vorzugsweise umfaßt das zum Einstieg in einen spezifizierten Interaktionskontext 11, 19 verwendete Kommunikationsgrundelement numerische Werte, die bei Sicherheitsberechnungen in nachfolgenden Kommunikationen zu verwenden sind. Ein erster Wert kann durch eine der Verarbeitungseinheiten zufällig erzeugt werden, ein zweiter Wert kann zur Identifzierung dieser einen Verarbeitungseinheit dienen. Dieser Wert kann auf verschiedene Weise gemäß den Anforderungen des verwendeten kryptografischen Protokolls berechnet werden, wobei diese Verschiedenheit als Teil der Prozedurbeschreibung C1 spezifiziert sein kann. Diese Identifizierung kann das Ergebnis von Berechnungen sein, die derart sind, daß der resultierende Wert die Vorrichtung und den Zustand ihres Speichers in ausreichender Weise identifiziert, wie es für Berechnungen oder andere Aktionen erforderlich ist, die in anschließenden Datenaustauschvorgängen in dem zu aktivierenden Interaktionskontext 11, 19 erfolgen können. Der zweite Wert kann als "Endgeräteidentifizierung" bezeichnet werden.
Zusätzlich gibt der Aktivierungsbefehl als Teil der resultierenden Daten einen numerischen Wert, der dazu dient, die spezielle antwortende Dafienverarbeitungseinheit in ausreichender Weise zu identifizieren, wie es für Berechnungen oder andere Aktionen erforderlich ist, die in anschließenden Datenaustauschvorgängen in dem soeben aktivierten Kontext erfolgen können, welche Nummer als "Chipkartenidentifizierung" bezeichnet werden kann.
Daneben kann die Chipkartenidentifizierungsnummer mit Hilfe kryptografischer Funktionen aus Daten, die in der Datenverarbeitungseinheit 5 gespeichert sind, oder aus den als Teil des Aktivierungsbefehls erhaltenen Daten in solcher Weise berechnet werden, daß die Nummer in unvorhersagbarer Weise variiert, wenn sie in Antwort auf Aktivierungsbefehle berechnet wird, die von auslösenden Vorrichtungen mit unterschiedlichen Endgeräteidentifizierungsnummern erhalten werden; eine so berechnete Chipkartenidentifizierung kann als "Chipkartenpseudonym" bezeichnet werden. Bevor die in der Prozedurbeschreibung der Aktivierungsprozedur eines zu betretenden Kontexts beschriebenen Aktionen durchgeführt werden, kann zudem das Ausführungsprogramm eine kryptografische Berechnung durchführen, welche als Prozedurbeschreibung in diesem Kontext spezifiziert ist und dazu bestimmt ist, bei Aktivierung durchgeführt zu werden, um zu bestimmen, ob der Kontext aktiviert werden kann. Die Berechnungen können die Verwendung der Chipkartentransaktionsidentifizierung, der Endgerätetransaktionsidentifizierung und der Endgeräteidentifizierung sowie weiterer in den Speichermitteln gespeicherter Werte beinhalten.
Als Alternative zu diesen kryptografischen Protokollen, die anhand spezieller Daten in den Aktivierungsbefehlen unterstützt werden, können Befehle mit einer Bitfeldspezifizierung der referenzierten Datenelemente verwendet werden. Jedes Kommunikationsgrundelement kann dann aus zwei oder mehr numerischen Werten zusammengesetzt sein, wobei ein erster Wert dazu verwendet wird, auf eine Prozedurbeschreibung einer dem Kommunikationsgrundelement zugeordneten Aktion zu verweisen, wobei ein zweiter Wert aus einer festen Zahl binärer Werte zusammengesetzt ist, von denen jeder seitens des Ausführungsprogramms 12, 17 als Verweis auf ein einzelnes Datenelement interpretiert wird. Dieses Datenelement ist in der Liste externer Datenverweise in dem betreffenden Interaktionskontext 11, 19 spezifiziert, wobei jedes Datenelement in der Liste durch das Vorhandensein eines binären Werts einer der binären Zahlen an einer entsprechenden Position in der Liste der binären Werte spezifiziert ist. Dieser zweite Wert kann als "Operandenadresse" bezeichnet werden. Jedes der Datenelemente, die so spezifiziert sind, wird durch das ablaufende Ausführungsprogramm 12, 17 verfügbar gemacht, um bei der Antwortaktion in einer Weise verwendet zu werden, wie sie in der Prozedurbeschreibung dieser Aktion beschrieben sein kann. Als Alternative zu kryptografischen Protokollen und Befehlen mit einer Bitfeldspezifikation der referenzierten Datenelemente kann ein Befehlsformat mit einer Datenübereinstimmungsspezifikation der Datenelemente zur Anwendung kommen. In diesem Fall setzt sich jedes Kommunikationsgrundelement aus zwei oder mehr numerischen Werten zusammen, wobei ein erster Wert dazu verwendet wird, auf eine Prozedurbeschreibung einer dem Kommunikationsgrundelement zugeordneten Aktion zu verweisen, wobei ein zweiter Wert dazu verwendet wird zu bestimmen, welches der zur externen Verweisung in einem aktiven Interaktionskontext 12, 19 verfügbaren Datenelemente verwendet wird, während Antwortaktionen in solcher Weise durchgeführt werden, daß ein Datenelement ausgewählt wird, wenn es einen Wert enthält, der mit dem zweiten Wert übereinstimmt. Dieser zweite Wert kann als "Operandenkennzeichnungsspezifizierer" bezeichnet werden. Zusätzlich kann der Interaktionskontext 11, 19 eine Prozedurbeschreibung enthalten, die angibt, in welcher Weise ein als Teil eines Befehls gegebener Operandenkennzeichnungsspezifizierer mit Daten zu vergleichen ist, welche in einem der zur externen Verweisung in diesem Kontext verfügbaren Datenelemente enthalten sind, welche Prozedurbeschreibung durchgeführt wird, um die beabsichtigten Datenelemente auszuwählen, bevor die die eigentlichen Befehlsaktionen spezifizierende Prozedurbeschreibung durchgeführt wird.
Als weitere Alternative kann ein Befehlsformat mit einer Bitfeldspezifikation der Befehlsinterpretation verwendet werden. Jedes Kommunikationsgrundelement kann dann aus zwei oder mehr numerischen Werten zusammengesetzt sein, wobei ein erster Wert dazu verwendet wird, auf eine Prozedurbeschreibung einer dem Kommunikationsgrundelement zugeordneten Aktion zu verweisen, wobei ein zweiter Wert sich aus einer Anzahl binärer Werte zusammensetzt, denen durch das Ausführungsprogramm 12, 17 eine bestimmte Bedeutung zugewiesen wird, um bei der Interpretation von Datenformaten in dem Kommunikationsgrundelement und bei der Durchführung von Antwortaktionen verwendet zu werden. Der zweite Wert kann hier als "Befehlsmodifizierer" bezeichnet werden. Die Werte werden von allen mit dieser zusätzlichen Technik ausgestatteten Einheiten im Hinblick auf ihre zugewiesene Bedeutung erkannt.
Im Fall, daß die letztere Alternative angewendet wird, kann der Befehlsmodifizierer einen binären Wert umfassen, welcher bestimmt, ob ein dritter Teil des Befehls als Operandenadresse oder als Operandenkennzeichnungsspezifizierer zu verwenden ist. Der Befehlsmodifizierer kann jedoch als Alternative einen binären Wert umfassen, welcher bestimmt, ob die als Antwort auf den Befehl durchgeführte Operation Daten als ein Datenelement verwendet oder sich aus einer Verkettung von Datenelementen zusammensetzt, die einzeln in Verbindung mit jedem als Teil des Befehlswerts spezifizierten Datenelement unter Verwendung von Operandenadressen oder des Operandenkennzeichnungsspezifizierers zu verarbeiten sind. Alternativ kann der Befehlsmodifizierer einen binären Wert umfassen, welcher bestimmt, ob mit dem Befehl bereitgestellte Daten unter Verwendung der Kennzeichnungslängenwert-Methode codiert sind, um aufeinanderfolgende verkettete Datenelemente zu unterscheiden.
Eine weitere Option ist, daß der Befehlsmodifizierer einen binären Wert umfassen kann, welcher bestimmt, ob die Durchführung der durch den Befehl vorgegebenen Aktion tatsächlich zu einer effektiven Änderung der in der Datenverarbeitungseinheit 5 (Chipkarte) gespeicherten Daten führt oder tatsächlich in von der Datenverarbeitungseinheit 5 berechneten Daten resultiert, oder daß das Befehlsergebnis Daten sind, welche den Zustand der Einheit im Hinblick auf die Akzeptierbarkeit des Befehls, der diesen begleitenden Daten, die Größe der Daten, die aus den Berechnungen resultieren können, oder andere diverse Attribute widerspiegeln.
Zusammenfassend ist die oben eingeführte neue Technik bei Chipkartenimplementierungen das Konzept einer gesonderten Ausführungsumgebung. Bei diesem Ansatz werden die Verarbeitungsmittel und andere Resourcen in einem Computer zwischen verschiedenen Anwendungen geteilt, so als ob die Anwendung der einzige Nutzer des Computers wäre. Aufbauend auf dieser neuen Technik bei Chipkartenimplementierungen wird zusätzlich ein Mechanismus bereitgestellt, um mehrfache Zugriffsbedingungen für Daten zu definieren, die von einer Anzahl verwandter Anwendungen geteilt werden. Eine zweite, von den gesonderten Ausführungsumgebungen unterstützte und oben eingeführte Technik ist die Möglichkeit, die funktionale Bedeutung von Befehlen in jeder Umgebung so zu definieren, daß bei jeder Interaktion zwischen zwei entsprechenden Datenverarbeitungseinheiten 4, 5 in einem Datenaustauschsystem eine minimale Anzahl von Befehlen erhalten wird. Schließlich ist es mit der neuen Technik möglich, daß Bezeichnungen, die auf gespeicherte Datenelemente verweisen, in jedem Kontext gesondert zugewiesen werden. Die Verweisung auf gespeicherte Datenelemente als Teil eines von einer der Datenverarbeitungseinheiten 4, 5 erhaltenen Befehls kann so sehr effizient gemacht werden: Aufgrund der sehr kleinen Zahl von Datenelementen und der kleinen Zahl unterschiedlicher Operationen, die in der heutigen Chipkartenpraxis in jeder Umgebung gesondert verwendet werden, werden nur wenige Bits benötigt, um die Bezeichnung und den Instruktionsraum zu codieren. In ähnlicher Weise werden Zugriffsbedingungen, Methoden zu deren Verifizierung und zu diesem Zweck verfügbare kryptografische Operationen bei realen Chipkarten zahlenmäßig stark beschränkt sein und können sehr effizient in der Zweischicht-Hierarchie der in der Anwendungsbeschreibung 18 enthaltenen Interaktionskontextbeschreibungen 19(1)... ausgedrückt werden.

Claims

1. Datenaustauschsystem mit mehreren Datenverarbeitungseinheiten (4, 5), welche mehrere tragbare Datenverarbeitungseinheiten und mehrere unbewegliche Datenverarbeitungseinheiten umfassen, wobei die tragbaren Datenverarbeitungseinheiten dazu ausgelegt sind, eine temporäre Kommunikationsverbindung (6) mit mindestens einer anderen Datenverarbeitungseinheit herzustellen, und die unbeweglichen Datenverarbeitungseinheiten dazu ausgelegt sind, eine permanente Kommunikationsverbindung (6) mit mindestens einer anderen Datenverarbeitungseinheit herzustellen, wobei jede der Datenverarbeitungseinheiten (4, 5) Datenkommunikationsmittel (7, 14), Verarbeitungsmittel (8, 15) sowie Speichermittel (9, 16) umfaßt, wobei die letzteren ein Ausführungsprogramm (12, 17) enthalten, wobei die Speichermittel (9, 16) der Gesamtheit der Verarbeitungseinheiten ferner Beschreibungen der möglichen Kommunikationsmodi zwischen den Datenverarbeitungseinheiten als Interaktionskontexte (11(1)... 11(m), 19(1)... 19(m)) gemäß der folgenden Datenstruktur enthalten:

a. ein Satz verschiedener Basis-Kommunikationsgrundelemente (A(1)...), die verschiedene Werte sind und bei ihrem Empfang durch eine der Datenverarbeitungseinheiten (4, 5) während Kommunikationen mit mindestens einer anderen der Datenverarbeitungseinheiten (5, 4) als Befehle akzeptiert werden;

b. ein Satz von Prozedurbeschreibungen (C(1)...), die Prozeduren definieren, welche von einer der Datenverarbeitungseinheiten (4, 5) in Antwort auf akzeptierte Kommunikationsgrundelemente (A(1)...) durchzuführen sind;

c. ein Satz von über die mehreren Verarbeitungseinheiten (4, 5) verteilten Datenelementen (H(1)...), die entweder permanent gespeichert sind oder berechnet werden und die zur Verwendung verfügbar sind, wenn die Prozeduren, wie sie in den Prozedurbeschreibungen (C(1)...) definiert sind, durchgeführt werden, wobei die Verwendung der Datenelemente und der Zugriff auf sie kontrolliert werden;

d. ein erster Satz von Verweisen (r(1), r(2), r(3)) auf die Datenelemente (H(1)...), wobei die Verweise des ersten Satzes (r(1), r(2), r(3)) den Prozedurbeschreibungen (C(1)...) zugeordnet sind, derart, daß die Datenelemente zur Verwendung verfügbar sind, wenn Prozeduren, wie sie in den Prozedurbeschreibungen (C(1)...) definiert sind, durchgeführt werden;

e. ein möglicher zweiter Satz von Verweisen (r(4), r(5), r(6)) auf die Datenelemente (H(1)...), wobei die Verweise des zweiten Satzes (r(4), r(5), r(6)) Prozedurbeschreibungen (C(4)...) möglicher weiterer Interaktionskontexte zugeordnet sind, derart, daß die Datenelemente zur Verwendung verfügbar sind, wenn Prozeduren, wie sie in Prozedurbeschreibungen (C(1)...) der möglichen weiteren Interaktionskontexte definiert sind, durchgeführt werden;

f. eine möglicherweise leere erste Datenliste (B(1)...), die möglicherweise einen geordneten dritten Satz von Verweisen (u(1)...) auf die Datenelemente (H(1)...) enthält, wobei der dritte Satz von Verweisen (u(1)...) als Ziel für Verweise eines vierten Satzes von Verweisen (w(1)...) verfügbar ist, wobei die Verweise des vierten Satzes (w(1)...) Teil der Kommunikationsgrundelemente (A(1)...) sind, welche Datenelemente von den den Kommunikationsgrundelementen (A(1)...) zugeordneten Prozedurbeschreibungen (C(1)...) zu verwenden sind;

g. ein erster Satz von Zugriffsbedingungen, die den Datenelementen (H(1)...) zugeordnet sind, weiche Bedingungen in Verbindung mit dem ersten Satz (r(1), r(2), r(3)) und dem zweiten Satz (r(4), r(5), r(6)) von Verweisen auf die Datenelemente berücksichtigt werden;

h. ein zweiter Satz von Zugriffsbedingungen, die dem dritten Satz von Verweisen (u(1)...) in der ersten Datenliste (B(1)...) zugeordnet sind.

2. Datenverarbeitungseinheit eines Datenaustauschsystems nach Anspruch 1, wobei das Datenaustauschsystem mehrere Datenverarbeitungseinheiten (4, 5) umfaßt, von denen mindestens eine tragbar ist, wobei die Datenverarbeitungseinheit (5) Datenkommunikationsmittel (14), Verarbeitungsmittel (15) sowie Speichermittel (16) umfaßt, wobei die letzteren ein Ausführungsprogramm (17) enthalten, wobei die Speichermittel (16) ferner Beschreibungen der möglichen Kommunikationsmodi zwischen den Datenverarbeitungseinheiten als Interaktionskontexte (19(1)... 19(m)) gemäß der folgenden Datenstruktur enthalten:

a. ein Satz verschiedener Basis-Kommunikationsgrundelemente (A(1)...), die verschiedene Werte sind und bei ihrem Empfang durch die Datenverarbeitungseinheit (5) während Kommunikationen mit mindestens einer anderen der Datenverarbeitungseinheiten (4) als Befehle akzeptiert werden;

b. ein Satz von Prozedurbeschreibungen (C(1)...), die Prozeduren definieren, weiche von der Datenverarbeitungseinheit (5) in Antwort auf akzeptierte Kommunikationsgrundelemente (A(1)...) durchzuführen sind;

c. ein möglicherweise leerer Satz von Datenelementen (H(1)...), die entweder permanent gespeichert sind oder berechnet werden und die zur Verwendung verfügbar sind, wenn die Prozeduren, wie sie in den Prozedurbeschreibungen (C(1)...) definiert sind, durchgeführt werden, wobei die Verwendung der Datenelemente und der Zugriff auf sie kontrolliert werden;

d. ein möglicherweise leerer erster Satz von Verweisen (r(1), r(2), r(3)) auf die Datenelemente (H(1)...), wobei die Verweise des ersten Satzes (r(1), r(2), r(3)) den Prozedurbeschreibungen (C(1)...) zugeordnet sind, derart, daß die Datenelemente zur Verwendung verfügbar sind, wenn Prozeduren, wie sie in den Prozedurbeschreibungen (C(1)...) definiert sind, durchgeführt werden;

e. ein möglicherweise leerer zweiter Satz von Verweisen (r(4), r(5), r(6)) auf die Datenelemente (H(1)...), wobei die Verweise des zweiten Satzes (r(4), r(5), r(6)) Prozedurbeschreibungen (C(4)...) möglicher weiterer Interaktionskontexte zugeordnet sind, derart, daß die Datenelemente zur Verwendung verfügbar sind, wenn Prozeduren, wie sie in Prozedurbeschreibungen (C(1)...) der möglichen weiteren Interaktionskontexte definiert sind, durchgeführt werden;

f. eine möglicherweise leere erste Datenliste (B(1)...)., die möglicherweise einen geordneten dritten Satz von Verweisen (u(1)...) auf die Datenelemente (H(1)...) enthält, wobei der dritte Satz von Verweisen (u(1)...) als Ziel für Verweise eines vierten Satzes von Verweisen (w(1)...) verfügbar ist, wobei die Verweise des vierten Satzes (w(1)...) Teil der Kommunikationsgrundelemente (A(1)...) sind, welche Datenelemente von den den Kommunikationsgrundelementen (A(1)...) zugeordneten Prozedurbeschreibungen (C(1)...) zu verwenden sind,

g. ein erster Satz von Zugriffsbedingungen, die den Datenelementen (H(1)...) zugeordnet sind, welche Bedingungen in Verbindung mit dem ersten Satz (r(1), r(2), r(3)) und dem zweiten Satz (r(4), r(5), r(6)) von Verweisen auf die Datenelemente berücksichtigt werden;

h. ein zweiter Satz von Zugriffsbedingungen, die dem dritten Satz von Verweisen (u(1)...) in der ersten Datenliste (B(1)...) zugeordnet sind, wobei die Datenverarbeitungseinheit mehr als einen Interaktionskontext enthält, wobei mindestens eines der von der Datenverarbeitungseinheit akzeptierten Kommunikationsgrundelemente dazu vorgesehen ist, selektiv einen der Interaktionskontexte (19(1)...) zur weiteren Bezugnahme in der Datenverarbeitungseinheit zu indizieren.

3. Datenaustauschsystem nach Anspruch 1 oder Anspruch 2, ferner dadurch gekennzeichnet, daß der Satz der Prozedurbeschreibungen (C(1)...) zumindest eine erste Prozedurbeschreibung umfaßt, die in Antwort auf das Kommunikationsgrundelement oder die Kommunikationsgrundelemente durchzuführen ist, welches bzw. weiche einen der Interaktionskontexte (19(1)...) zur weiteren Bezugnahme in der das Kommunikationsgrundelement akzeptierenden Verarbeitungseinheit indiziert bzw. indizieren, wobei diese Durchführung in einer ordnungsgemäßen Aktivierung des angegebenen Interaktionskontexts resultiert.

4. Datenaustauschsystem nach einem der Ansprüche 1, 2 oder 3, ferner dadurch gekennzeichnet, daß die Speichermittel ferner mindestens zwei Interaktionskontexte (19(1)...) enthalten und daß der Satz der Prozedurbeschreibungen (C(1)...) zumindest eine letzte Prozedurbeschreibung umfaßt, die in Antwort auf das Kommunikationsgrundelement oder die Kommunikationsgrundelemente durchzuführen ist, weiches bzw. weiche einen der Interaktionskontexte (19(1)...) zur weiteren Bezugnahme in der das Kommunikationsgrundelement akzeptierenden Verarbeitungseinheit indiziert bzw. indizieren, wobei diese Durchführung in einer ordnungsgemäßen Deaktivierung des Interaktionskontexts resultiert, welcher indiziert war, während das Kommunikationsgrundelement empfangen wurde.

5. Datenaustauschsystem nach einem der Ansprüche 1, 2, 3 oder 4, dadurch gekennzeichnet, daß die Speichermittel (16) ferner mindestens zwei Interaktionskontexte (19(1)... 19(m)), mindestens eine Anwendungsbeschreibung (18(1)...) sowie ein Speicherelement (20) enthalten, welches einen Verweis auf den Interaktionskontext speichert, der momentan in Kraft ist, wobei jede Anwendungsbeschreibung umfaßt:

a. eine Datenliste mit Verweisen (E(1)...) auf Datenelemente, weiche Verweise zwei oder mehr Interaktionskontexten (19(1)...) zugänglich sein können und durch zusätzliche Datenelemente erweitert sein können;

b. einen weiteren Satz von Zugriffsbedingungen, die den Verweisen (E(1)...) oder den zusätzlichen Datenelementen zugeordnet sind und Nutzungsbeschränkungen definieren.

6. Datenaustauschsystem nach Anspruch 5, dadurch gekennzeichnet, daß jede Anwendungsbeschreibung (18(1)...) außerdem eine Prozedurbibliothek umfaßt, die Codes (F(1)...) enthält, welche von Prozedurbeschreibungen (C(1)...) jedes Interaktionskontexts verwendet werden können, der jeder der Anwendungsbeschreibungen (18(1)...) zugeordnet ist.

7. Datenaustauschsystem nach Anspruch 5 oder 6, dadurch gekennzeichnet, daß die Speichermittel mindestens zwei Anwendungsbeschreibungen (18(1)...) und ausführbare Codeeinheiten (G(1)...) enthalten, welche von Prozedurbeschreibungen (C(1)...) jedes Interaktionskontexts (19(1)...) innerhalb jeder Anwendungsbeschreibung (18(1)...) oder von jeder ausführbaren Codeeinheit (F(1)...) jeder Prozedurbibliothek innerhalb jeder Anwendungsbeschreibung (18(1)...) verwendet werden können.

8. Datenaustauschsystem nach einem der Ansprüche 6 oder 7, dadurch gekennzeichnet, daß die ausführbaren Codeeinheiten in der Prozedurbibliothek durch Einfügung einer Spezifikation der Verwendung ihrer Operationsparameter in Klassen vergrößert sind, welche sich auf Attribute beziehen, die Datenelemente betreffen, welche als aktueller Wert in einer Berechnung genommen werden können, weiche Berechnung nur dann vorangeht, wenn die Datenattribute und die Parameterklassen zueinander passen.

9. Datenaustauschsystem nach einem der Ansprüche 5 bis 8, dadurch gekennzeichnet, daß das Ausführungsprogramm (17) einen Verweis auf einen Standardinteraktionskontext enthält, welcher dazu verwendet wird, das Speicherelement (20) zu initialisieren, das einen Verweis auf den momentan in Kraft befindlichen Interaktionskontext speichert, um eine Endaktion nach einer Erfassung einer internen Inkonsistenz bei einer Wiederkehr in einen normalen Operationszustand durchzuführen oder wann immer das Ausführungsprogramm (17) aktiv ist und kein expliziter Interaktionskontext durch ein von einer ähnlichen Datenverarbeitungseinheit (4) erhaltenes Kommunikationsgrundelement spezifiziert worden ist.

10. Daten austauschsystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das Ausführungsprogramm (17) Routinen umfaßt, welche einen Interpretierer für codierte Anweisungen für einen abstrakten Prozessor bilden, derart, daß die Mehrheit der Prozedurbeschreibungen (C(1)...) und einige der ausführbaren Codeeinheiten (F(1)..., G(1)...) in numerischen Werten zur Interpretation durch die Interpretiererroutinen codiert sind.

11. Datenaustauschsystem nach Anspruch 6 oder Anspruch 7, dadurch gekennzeichnet, daß die Prozedurbeschreibungen (C(1)...) als Indizes in einer Liste über eine Untergruppe von Prozeduren codiert sind, welche in der Prozedurenbibliothek enthalten sind, die ausführbare Codeeinheiten enthält.

12. Datenaustauschsystem nach Anspruch 11, dadurch gekennzeichnet, daß die Codierung der Prozedurbeschreibungen (C(1)...) in derart kleinen Werten erfolgt, daß in einer Zugriffs-Grundeinheit für die Speichermittel (16) mehr als eine Beschreibung gehalten werden kann oder daß die Beschreibung mit anderen relevanten Informationen in der gleichen Speicherzugriffs-Grundeinheit kombiniert werden kann.

13. Datenaustauschsystem nach Anspruch 12, dadurch gekennzeichnet, daß mindestens einer der Codierungswerte der Prozedurbeschreibungen (C(1)...) auf eine spezielle Funktion des Ausführungsprogramms (17) verweist, die dazu ausgelegt ist, die für die codierte Prozedurbeschreibung auszuführende tatsächliche Funktion indirekt auszuwählen, möglicherweise durch Einfügung zusätzlicher Codierinformationen, die in Verbindung mit der mit den speziellen Werten codierten Prozedurbeschreibung gespeichert sind.

14. Datenaustauschsystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Speichermittel (16) einen Interaktionskontext enthalten, der dazu bestimmt ist, persönliche Identifizierungsnummern zu enthalten, und daß das Ausführungsprogramm (17) dazu ausgelegt ist, von einem Benutzer des Datenaustauschsystems gelieferte persönliche Identifizierungsnummern zu verifizieren.

15. Datenaustauschsystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Speichermittel (16) mindestens einen Interaktionskontext enthalten, der dazu bestimmt ist, Zahl und Inhalt anderer ebenfalls in den Speichermitteln enthaltener Interaktionskontexte (19(1)...) zu verwalten.

16. Datenaustauschsystem nach einem der Ansprüche 5 bis 15, dadurch gekennzeichnet, daß jede Anwendungsbeschreibung (18(1)...) eine Liste von numerischen Werten enthält, die so aufgebaut ist, daß sie Identifizierer für alle Interaktionskontexte (19(1)...) bereitstellt, und mindestens einen der folgenden numerischen Werte enthält: einen ersten, der einen Anwendungstyp angibt, einen zweiten numerischen Wert, der eine eigene Identifizierung des die Anwendung bereitstellenden Organs angibt, einen dritten numerischen Wert, der die Art der Anwendungsbeschreibung (18(1)...) angibt, und weitere Zahlen, die jeweils auf einen eigenen, der Anwendungsbeschreibung zugeordneten Interaktionskontext (19(1)...) verweisen.

17. Datenaustauschsystem nach einem der vorhergehenden Ansprüche, umfassend mehrere Datenverarbeitungseinheiten (4, 5), von denen einige, die tragbar sind, eine temporäre Kommunikationsverbindung (6) herstellen und von denen andere, die nicht beweglich sind, eine permanente Kommunikationsverbindung (6) haben können, wobei die Einheiten Datenkommunikationsmittel (7, 14), Verarbeitungsmittel (8, 15) und Speichermittel (9, 16) umfassen, wobei die letzteren ein Ausführungsprogramm (12, 17) enthalten, dadurch gekennzeichnet, daß die Kommunikationsmittel (14) dazu ausgelegt sind, den Datenaustausch in Datenblöcke zu strukturieren, welche wenigstens zwei Teile aufweisen, wobei ein erster Teil Daten sind, die insofern als operationsrelevant qualifiziert sind, als sie dazu verwendet werden, die Art der Operationen zu beeinflussen, die mittels eines Befehls durchgeführt werden, wie er indiziert ist durch ein Kommunikationsgrundelement oder Daten, welche aus ausgeführten Operationen resultieren, wobei ein zweiter Teil insofern als sicherheitsrelevant qualifiziert ist, als er zur Bestimmung der Eignung zur Durchführung einer Operation oder Akzeptierbarkeit von Daten in dem Operationsteil verwendet wird, um bei der Operation verwendet zu werden oder die Beendigung der Operation oder die Korrektheit der resultierenden Daten nachzuweisen.

18. Datenaustauschsystem nach einem der Ansprüche 1 bis 17, dadurch gekennzeichnet, daß das Ausführungsprogramm (17) dazu ausgelegt ist, bei Akzeptierung eines Kommunikationsgrundelements zur Durchführung von in dem momentanen Interaktionskontext (19(1)...) spezifizierten Operationen jede Operation als Teil einer vorbestimmten und festen Sequenz von Aktionen durchzuführen, von denen jede gesondert als Teil einer dem akzeptierten Kommunikationsgrundelement zugeordneten Prozedurbeschreibung spezifiziert ist, weiche Prozedurbeschreibung zumindest verschiedene Beschreibungen, die jeweils leer sein können, für die folgenden Aktionen umfaßt:

a. Authorisierung der Verwendung des Kommunikationsgrundelements;

b. Entschlüsselung von Operationsdaten oder eines Teils derselben;

c. Durchführung eines Befehls mit Eingangsdaten;

d. Verschlüsselung von Operationsdaten, die aus einer durchgeführten Operation resultieren;

e. Berechnung eines Nachweises der Beendigung einer durchgeführten Aktion oder der Korrektheit der resultierenden Daten, um in Sicherheitsberechnungen verwendet zu werden.

19. Datenaustauschsystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Datenverarbeitungseinheit (5) bei Initialisierung eines Datentransfers eine Transaktionszufallszahl erzeugt, die als Basis für kryptographische Berechnungen dient.

20. Datenaustauschsystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß einem Kommunikationsgrundelement ein bestimmter Wert zugewiesen ist, der stets als Anforderung interpretiert wird, in einen neuen Interaktionskontext(19(1)...) einzusteigen.

21. Datenaustauschsystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß es eine weitere, die gleichen Elemente wie die Datenverarbeitungseinheit (4) aufweisende Datenverarbeitungseinheit (4) umfaßt, welche optional in ihrem Speicher eine Anwendungsprogrammierschnittstelle (14) enthalten kann, die aus einem Programmcode besteht, der dazu ausgelegt ist, eine Implementierung zusätzlicher Computerprogramme zu erlauben, um Benutzern eine Kontrolle über die Sequenz ausgetauschter Kommunikationsgrundelemente zu geben oder um die in ihnen transferierten Daten zu beeinflussen oder um die beim Austausch erhaltenen Daten zu lernen oder weiterzuverarbeiten.

22. Datenaustauschsystem nach Anspruch 21, dadurch gekennzeichnet, daß das zum Einstieg in einen spezifizierten Interaktionskontext (19(1)...) verwendete Grundelement numerische Werte enthält, die bei Sicherheitsberechnungen in nachfolgenden Kommunikationen zu verwenden sind, einen ersten, von einer der Verarbeitungseinheiten zufallsmäßig oder auf ähnlich einzigartige Weise erzeugten Wert sowie möglicherweise einen zweiten Wert, der zum Nachweis der Authentizität der einen Verarbeitungseinheit oder zur anderweitigen Identifizierung der einen Verarbeitungseinheit dient.

23. Datenaustauschsystem nach Anspruch 21, dadurch gekennzeichnet, daß jedes Kommunikationsgrundelement mit Ausnahme eines ersten, das eine Rücksetzung signalisiert, aus zwei oder mehr numerischen Werten aufgebaut ist, wobei ein erster Wert dazu verwendet wird, auf eine Prozedurbeschreibung einer dem Kommunikationsgrundelement zugeordneten Aktion zu verweisen, wobei ein zweiter Wert aus einer festen Anzahl binärer Werte aufgebaut ist, von denen jeder durch das Ausführungsprogramm (12; 17) als Verweis auf ein einzelnes Datenelement interpretiert wird.

24. Datenaustauschsystem nach Anspruch 21, dadurch gekennzeichnet, daß jedes. Kommunikationsgrundelement mit Ausnahme eines ersten, das eine Rücksetzung signalisiert, aus zwei oder mehr numerischen Werten aufgebaut ist, wobei ein erster Wert dazu verwendet wird, auf eine Prozedurbeschreibung einer dem Kommunikationsgrundelement zugeordneten Aktion zu verweisen, wobei ein zweiter Wert dazu verwendet wird zu bestimmen, weiches der zur externen Verweisung in einem aktiven Interaktionskontext (19(1)...) verfügbaren Datenelemente verwendet wird, während Antwortaktionen durchgeführt werden, in solcher Weise, daß ein Datenelement ausgewählt wird, wenn es einen Wert enthält, der zu dem zweiten Wert paßt, oder wenn es einen Wert enthält, der in anderer Weise genügt, um es zu indizieren.

25. Datenaustauschsystem nach Anspruch 21, dadurch gekennzeichnet, daß jedes Kommunikationsgrundelement mit Ausnahme eines ersten, das eine Rücksetzung signalisiert, aus zwei oder mehr numerischen Werten aufgebaut ist, wobei ein erster Wert dazu verwendet wird, auf eine Prozedurbeschreibung einer dem Kommunikationsgrundelement zugeordneten Aktion zu verweisen, wobei ein zweiter Wert aus einer Anzahl binärer Werte aufgebaut ist, denen durch das Ausführungsprogramm (12, 17) spezielle Bedeutungen zugewiesen werden, um bei der Interpretation von Datenformaten in dem Kommunikationsgrundelement und bei der Durchführung von Antwortaktionen verwendet zu werden.

26. Datenaustauschsystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß tragbare Verarbeitungseinheiten in intelligenten Karten implementiert sind.

27. Datenaustauschsystem nach einem der Ansprüche 1 bis 25, dadurch gekennzeichnet, daß tragbare Verarbeitungseinheiten in PCMCIA-Karten implementiert sind.

28. Datenaustauschsystem nach Anspruch 26 oder 27, dadurch gekennzeichnet, daß die Kommunikationsmittel (14) externe Kommunikationsmittel zur Herstellung einer Datenverbindung (6) verwenden, solche externen Kommunikationsmittel, wie sie für die Datenverarbeitungseinheit (5) durch die Datenverarbeitungseinheit verfügbar gemacht werden, oder eine ähnliche derartige elektronische Vorrichtung, die die PCMCIA- oder die intelligente Karte aufnimmt, welche die Datenverarbeitungseinheit (5) bildet.

29. Datenaustauschsystem nach einem der Ansprüche 1 bis 25, dadurch gekennzeichnet, daß die Datenverarbeitungseinheit (4) als tragbarer Personalcomputer implementiert ist.

30. Datenaustauschsystem nach Anspruch 28 oder 29, dadurch gekennzeichnet, daß die Kommunikationsmittel (7) ein Lesegerät für intelligente Karten verwenden.

31. Datenaustauschsystem nach Anspruch 28 oder 29, dadurch gekennzeichnet, daß die Kommunikationsmittel (7) einen PCMCIA-Kartenschlitz verwenden.

32. Datenaustauschsystem nach einem der Ansprüche 26 bis 31, dadurch gekennzeichnet, daß die Kommunikationsmittel (7) vorrangig oder zusätzlich einen berührungslosen Datentransfer mit Elektromagnetfeld-c.q.-Teilchen anwenden.