[go: up one dir, main page]

DE19933731B4 - Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen - Google Patents

Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen Download PDF

Info

Publication number
DE19933731B4
DE19933731B4 DE1999133731 DE19933731A DE19933731B4 DE 19933731 B4 DE19933731 B4 DE 19933731B4 DE 1999133731 DE1999133731 DE 1999133731 DE 19933731 A DE19933731 A DE 19933731A DE 19933731 B4 DE19933731 B4 DE 19933731B4
Authority
DE
Germany
Prior art keywords
code
user
key
die
ticket
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE1999133731
Other languages
English (en)
Other versions
DE19933731A1 (de
Inventor
Raphael Dr. Nauheim
Helmut Dr. Kramer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DB Vertrieb GmbH
Original Assignee
DB Systems GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DB Systems GmbH filed Critical DB Systems GmbH
Priority to DE1999133731 priority Critical patent/DE19933731B4/de
Publication of DE19933731A1 publication Critical patent/DE19933731A1/de
Application granted granted Critical
Publication of DE19933731B4 publication Critical patent/DE19933731B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B15/00Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)

Abstract

Mit der Erfindung wird ein einfaches und mit geringem wirtschaftlichem Aufwand durchführbares Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen in bezug auf Leistungsangebote bereitgestellt, welches ohne fälschungssicheren Beleg auskommt, keine vorgeschriebene Belegform verwendet, eine persönliche Aushändigung oder postalische Zustellung eines Beleges vermeidet und damit sehr flexibel ist, ohne dass sich Nachteile hinsichtlich der Nachprüfbarkeit bzw. Kontrolle oder der Abgleichsmethoden ergeben. Dabei handelt es sich um ein Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen in bezug auf Leistungsangebote, wobei zentralisiert ein Schlüsselcode hinterlegt wird, einem Nutzungsinteressenten ein Individualcode zugeordnet und abrufbar mitgeteilt wird, und aus dem Schlüsselcode, einer Leistungsbezeichnung und dem Individualcode ein verschlüsselter Berechtigungscode erstellt und dem Nutzungsinteressenten abfragbar mitgeteilt wird.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen in bezug auf Leistungsangebote, bei dem zentralisiert ein Schlüsselcode hinterlegt wird, einem Nutzungsinteressenten ein Individualcode zugeordnet und abrufbar mitgeteilt wird, und aus dem Schlüsselcode, einer Leistungsbezeichnung sowie dem Individualcode ein verschlüsselter Berechtigungscode, aus dem bei Vorliegen des Schlüsselcodes und des Individualcodes die Leistungsbezeichnung wiederhergestellt werden kann, erstellt und dem Nutzungsinteressenten abfragbar mitgeteilt wird.
  • Insbesondere bezieht sich die Erfindung auf Vorgänge zur Einräumung von Nutzungsberechtigungen, Vertriebsvorgänge und dergleichen, bei welchen eine zeitliche Verzögerung zwischen Bestellung, Kaufentscheidung, Planung usw. einerseits und Nutzung, Leistungsabruf usw. andererseits gegeben ist. Bei solchen Vorgängen soll zudem Zeitpunkt, an dem der Interessent die Nutzung abruft, kontrolliert werden können, ob der Interessent entsprechend berechtigt ist, also bezahlt hat, individualisiert und erreichbar ist und dergleichen. Dabei steht insbesondere in der Regel kein dauernder Zugriff auf eine zentrale Hinterlegung der Nutzungsberechtigungen.
  • Anwendungsbereiche der Erfindung sind beispielsweise der Vertrieb von Bahnkarten, Flugtickets, Hotelreservierungen, Reisebuchungen, Leihwagenvergaben, Transportdienstleistungen, Nutzungen allgemeiner Dienstleistungen und Serviceleistungen, aber auch der Warenbezug, beispielsweise Versand, Vorbestellung von seltenen Gütern, Subskriptionen, z.B. Wein, usw., um nur einige zu nennen. In allen Fällen tritt die Situation ein oder kann eintreten, dass ein Nutzungsinteressent bei einem Anbieter eine Option auf ein Leistung oder ein Produkt und damit eine Nutzungs- bzw. Übertragungsberechtigung erwirbt und bezahlt oder die Bezahlung sicherstellt, beispielsweise durch Angabe der Kreditkartennummer, wobei die Berechtigung jedoch erst zu einem späteren Zeitpunkt und in aller Regel an einem anderen Ort eingelöst wird. Zu diesem Zeitpunkt soll die Berechtigung nachprüfbar sein. Natürlich müssen derartige Vertriebssysteme gegen Fälschung und Betrug gesichert sein, denn üblicherweise steht zum Zeitpunkt und/oder am Ort der Prüfung keine Verbindung zu einer Zentrale zur Verfügung.
  • Im Stand der Technik wird ein wie oben beschriebener Geschäftsverkehr über möglichst fälschungssichere Formulare abgewickelt. Dies gilt z.B. beim Kauf von Bahnkarten, dem Erwerb von Warengutscheinen und dergleichen. An entsprechenden Vertriebsstellen oder auch über verfügbare Vertriebsverbindungen, Telefon, Internet und dergleichen bestellt der Nutzungsinteressent die gewünschte Leistung. Es wird dann ein weitestgehend fälschungssicherer Beleg erstellt und außerdem zu Buchungs-, Leistungsverrechnung-, Statistik- und entsprechenden Zwecken eine Datenspeicherung durchgeführt. Die Bezahlung und die Bezahlungsart werden ebenfalls gespeichert. Der Kunde kann gleich bezahlt haben, bar oder bargeldlos, also ein Guthaben bis zur Nutzung wird vermerkt, oder es wird eine Forderung vermerkt und bei Nutzung entsprechend gängiger Verfahren, Kontoeinzug, Rechnungsstellung usw. abgewickelt.
  • Ein Nachteil besteht darin, dass trotz des Einsatzes und der Nutzung von Rechenanlagen, mobilen Rechnern, Datenfernübertragung und dergleichen noch immer die Erstellung fälschungssicherer Belege und deren Aushändigung an die Nutzungsinteressierten erforderlich sind, und zwar aus sicherheitstechnischen Gründen. Die Belegformulare, ihre Erstellung, Ausfertigung und Ausgabe erfordern eine strafte Logistik und sie müssen per Hand oder Post an den Nutzungsinteressenten ausgehändigt werden. Dadurch werden die bekannten Verfahren trotz modernster Technik unflexibel und die Belege stellen eine Schwachstelle dar. Vor allem ist der Kunde gezwungen, vor Inanspruchnahme der Leistung den Beleg abzuholen.
  • Deshalb ist die Fachwelt um die Realisierung von on-line-Transaktionen bemüht, welche mit nicht-sicheren Terminals auf Seiten des nutzenden Kunden kompatibel sind. In diesem Zusammenhang schlägt die US 5 884 277 eine automatisierte Ausgabe bzw. Produktion von Wertgutscheinen zum Bezug von Waren oder Dienstleistungen auf nicht-sicheren Terminals vor, wobei Informationen zur Identität des Leistungsbeziehers (Nutzer, Fahrgast etc...) sowie zum Umfang der von diesem Nutzer bezogenen Leistung sowohl als Klartext als auch in Form eines verschlüsselten Codes auf den Wertgutschein gedruckt werden. Im Zuge der Verifikation dieses Wert gutscheins (z.B. durch Kontrollpersonal am Ort der Leistungserbringung) wird der verschlüsselte Code wieder decodiert und das hieraus ermittelte Ergebnis mit den auf dem Wertgutschein angegebenen Klartext-Angaben zu Identität und Leistungsumfang verglichen. Bei Übereinstimmung wird der solchermassen überprüfte Wertgutschein als gültig akzeptiert. In der Praxis hat sich jedoch die Erfassung des verschlüsselten Codes als Schwachpunkt erwiesen. Zwar ist ein zügiges Einlesen mittels maschineller Barcode-Erfassungstechniken durchaus realisierbar. Dennoch ist eine Rückfall-Ebene – z.B. im Falle des Ausfalls eines Barcode-Scanners – vorzusehen. Die gemäss dem bekannten Stand der Technik erzeugten Codes haben sich jedoch als zu lang und damit für eine manuelle Erfassung zu fehleranfällig sowie – zumindest bei Massenabfertigungen (Großveranstaltungen, Fahrscheinkontrolle im Zug etc...) – zu zeitaufwändig erwiesen.
    •
  • Ausgehend von diesem Stand der Technik liegt der vorliegenden Erfindung die A u f g a b e zugrunde, ein Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen in bezug auf Leistungsangebote bereitzustellen, welches ohne fälschungssicheren Beleg auskommt, keine vorgeschriebene Belegform verwendet, eine persönliche Aushändigung oder postalische Zustellung eines Beleges vermeidet und damit sehr flexibel ist, ohne dass sich Nachteile hinsichtlich der Nachprüfbarkeit bzw. Kontrolle oder der Abgleichsmethoden ergeben.
  • Zur technischen L ö s u n g dieser Aufgabe wird mit der Erfindung ein Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen in bezug auf Leistungsangebote, bei dem zentralisiert ein Schlüsselcode hinterlegt wird, einem Nutzungsinteressenten ein Individualcode zugeordnet und abrufbar mitgeteilt wird, und aus dem Schlüsselcode, einer Leistungsbezeichnung sowie dem Individualcode ein verschlüsselter Berechtigungscode erstellt und dem Nutzungsinteressenten abfragbar mitgeteilt wird, vorgeschlagen. Dieses ist dadurch gekennzeichnet, dass die Erstellung des Berechtigungscodes unter Einsatz eines Blockchiffrierverfahrens in zwei Schritten derart abläuft, dass im ersten Schritt der Individualcode (evtl. mit weiteren Parametern) mit dem Chiffrierverfahren unter Verwendung des Schlüsselcodes zu einem Zwischenschlüssel chiffriert wird und im zweiten Schritt die Leistungsbeschreibung unter Verwendung des Zwischenschlüssels zu dem Berechtigungscode verschlüsselt wird.
  • Auf diese Weise kann ein auch für die Belange der manuellen Erfassung hinreichend kurzes Zertifikat erzeugt werden.
  • Das erfindungsgemäße Verfahren basiert auf einem Schlüsselcode, der anbieterseitig verwendet wird. Dieser Schlüsselcode ist zentral gespeichert und an dezentralen Kontrollstationen des Anbieters vorhanden. Kundenseitig liegt ein Individualcode vor. Dies kann eine Kundennummer, eine Scheckkartennummer oder dergleichen sein. Der Kunde führt einen Individualcode-Beleg mit sich. Dieser Individualcode kann anbieterspezifisch sein, also einem speziellen Anbieter zugeordnet sein, oder kundenspezifisch, also ein einer natürlichen Person allgemein zugeordneter Code, eine Ausweisnummer oder dergleichen. Bestellt der Nutzungsinteressent eine Leistung, wird aus dem Schlüsselcode, dem Individualcode und der Leistungsbezeichnung ein Berechtigungscode ermittelt und dem Kunden mitgeteilt bzw. übermittelt. Dadurch wird das Verfahren bestellseitig äußerst flexibel. Die Bestellung kann persönlich, telefonisch, über Datenfernübertragung oder sonstwie erfolgen, indem der Nutzungsinteressierte seinen Individualcode und seinen Leistungswunsch dem Anbieter übermittelt. Der Anbieter ermittelt den Berechtigungscode und übermittelt diesen dem Nutzungsinteressierten, was formunabhängig erfolgt, also durch Ausdruck, Fax, Datenfernübertragung oder sonstwie. Mit dem Berechtigungscode ist der Kunde nun berechtigt, die Leistung in Anspruch zu nehmen. Dabei ist diese Berechtigung kontrollierbar, indem aus der Angabe des Individualcodes und des Berechtigungscodes an einer beliebigen Stelle, an der der Schlüsselcode verfügbar ist, die Nutzungsberechtigung im Klartext wiederhergestellt werden kann. Auch die Abwicklung und der Abgleich werden flexibel, indem bei der Kontrolle eine übermittelbare Entwertung durch Speicherung des Kontrollvorganges erfolgt.
  • Gemäß einem vorteilhaften Vorschlag der Erfindung ist vorgesehen, dass für die Leistungsangebote eine Codetabelle erstellt und der jeweilige Code als Leistungsbezeichnung verwendet wird. Dieser Leistungscode liegt sowohl bei der Buchung (Kauf der Nutzungsberechtigung) als auch bei der Kontrollstation vor und vereinfacht die Errechnung des Berechtigungscodes.
  • Für die Kontrolle ist nur erforderlich, dass der Berechtigungscode dezentral zur Prüfung der Nutzungsberechtigung unter Anwendung des Schlüsselcodes entschlüsselt wird, wobei in vorteilhafter Weise für die Entschlüsselung eine mobile Rechnereinheit verwendet wird.
  • Gemäß einem weiteren vorteilhaften Vorschlag der Erfindung ist vorgesehen, dass für Abgleichfunktionen bei der Erstellung des Berechtigungscodes eine Vergabeinformation und bei der Prüfung eine Entwertungsinformation gespeichert wird. Diese Entwertungsinformation kann in ein zentrales Rechnersystem überspielt werden, welches auch auf die Vergabeinformationen Zugriff hat. Es kann somit eine Art Kontoführung für die Nutzungsberechtigung auf einfache Weise durchgeführt werden. Die Entwertungsinformation kann in der Weise verwendet werden, dass der Individualcode einen nachträglichen Zugriff auf die Person des Reisenden erlaubt und dieser bei Missbrauch etwa doppelter Verwendung des Berechtigungscodes, im Nachhinein persönlich belangt werden kann.
  • Gemäß einem weiteren vorteilhaften Vorschlag der Erfindung ist vorgesehen, dass als Berechtigungscode eine Verschlüsselung der Leistungsbeschreibung verwendet wird, die ihrerseits Daten in einer Kombination von festem und dynamischem Format darstellt. Der Berechtigungscode wird dadurch sehr kurz, andererseits flexibel zur Handhabung variabler Informationen in der Leistungsbeschreibung. Damit wird es möglich, daß der Berechtigungscode zur Kontrolle in den entsprechenden Rechner in kurzer Zeit eingetippt wird; dieser Code braucht also nicht auf technischem Wege transportiert werden. Dies wird noch verbessert, wenn der Berechtigungscode maschinenlesbar auf einen Datenträger aufgebracht wird. Dabei kann vorgesehen sein, dass auf dem Datenträger auch der Individualcode gespeichert ist.
  • Die Erfindung umfaßt, dass dieses zur Einräumung von Nutzungsberechtigungen im Personentransportbereich angewandt wird, und insbesondere, dass dieses zur Einräumung von Nutzungsberechtigungen für Bahnfahrten angewandt wird.
  • Mit der Erfindung wird ein einfaches und mit geringem wirtschaftlichem Aufwand durchführbares Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen in bezug auf Leistungsangebote bereitgestellt, welches ohne fälschungssicheren Beleg auskommt, keine vorgeschriebene Belegform verwendet, eine persönliche Aushändigung oder postalische Zustellung eines Beleges vermeidet und damit sehr flexibel ist, ohne dass sich Nachteile hinsichtlich der Nachprüfbarkeit bzw. Kontrolle oder der Abgleichsmethoden ergeben.
    •
  • Weitere Vorteile und Merkmale der Erfindung ergeben sich aus der folgenden Beschreibung eines Ausführungsbeispieles für eine Anwendung des erfindungsgemäßen Verfahrens im Bereich des Bahnverkehrs.
  • Ausgangssituation
  • Trotz aktueller Fortschritte in der Systemunterstützung für den Vertrieb von Bahnleistungen sind die Prozesszeiten für die Abwicklung von Kundenaufträgen in Reisestellen und im Direktvertrieb immer noch hoch. Ursache hierfür sind die mit der Verwendung von Beleg-Formularen verbundenen aufwendigen Verfahren zur Ticketerstellung und vor allem zur Zustellung der Reisedokumente mit der "gelben" Post. Diese "anachronistische Tickettechnologie" führt einerseits zu erheblichen Kosten im Vertrieb, sie stellt andererseits ein erhebliches Zugangshemmnis für potentielle Kunden zum System "Bahn" dar.
  • Im vorliegenden Ausführungsbeispiel wird ein Verfahren vorgestellt, das den "formlosen", d.h. den nicht an Vordrucke (Muster) gebundenen Ausdruck von Fahrscheinen auf weißem Papier erlaubt, die auf direktem Wege, z.B. per FAX oder eMail, versandt werden können. Den Sicherheitsbedürfnissen des Leistungsträgers, wird dabei durch mehrere Schutzmechanismen (s.u.) entsprochen, die einen effektiven Mißbrauchsschutz gewährleisten.
  • Das Verfahren läßt sich bei kundenbezogenen Verkäufen von Inlandsfahrscheinen anwenden, bei denen sich Kunden auch während der Reise durch eine elektronisch lesbare Kundenkarte, z.B. Kreditkarte oder BahnCard mit Magnetstreifen, ausweisen können. Es ist deshalb besonders für den Einsatz im Geschäftsreiseverkehr bei Resellern, aber auch für bahneigene Dienstleistungen wie den Verkauf über Telefon (CallCenter) oder Internet geeignet.
  • Für den Ticket-Vertrieb lassen sich durch das oben skizzierte Verfahren schon kurzfristig folgende Vorteile realisieren:
    • • Beseitigung von Zugangshemmnissen zum System "Bahn"
    • • Optimale Integration in Vertriebsumgebung für Geschäftsreisen
    • • Große Zeiteinsparung beim Kunden
    • • Zeitgewinn auch für Vertriebsstellen durch die Möglichkeit, mehrere Leistungen auf einem Beleg zu integrieren
    • • Einsparung komplizierter logistischer Verfahren
    • • Gute Integrierbarkeit in Büroumgebung beim Fahrkartenaussteller, keine Blockade von Arbeitsplätzen durch Spezialhardware mehr
    • • Billiger Standarddrucker, sehr billiges Papier (gegenüber den Spezialvordrucken mit Einzelnumerierung)
    • • Sicherheitsgewinn durch zentralisierte Mechanismen (Diebstahlsrisiko der Belegmuster entfällt)
    • • Wichtiger Test bzw. Sammeln von Erfahrungen für weitergehende Vertriebsaktivitäten im Internet (e-Commerce) bzw. mit elektronischen Tickets.
  • Technisch läßt sich das Verfahren durch Erweiterungen des Vertriebssytems der DB AG in den Bereichen Generelle Schnittstelle und Mobiles Terminal sowie in den betroffenen Distributionssystemen realisieren.
  • Das im Detail vorgestellte Verfahren zur Erstellung und Kontrolle von formlosen Reisedokumenten läuft in folgenden Schritten ab:
    • • Der Kunde ist namentlich bei der Ausgabestelle bekannt, seine Kundennummer (Kreditkartennummer oder Bahncard-Nummer) ist erfasst. Wesentlich ist, dass diese Nummer von einer entsprechenden Karte bei der späteren Kontrolle auf elektronischem Wege gelesen werden kann.
    • • Mit der Kunden-ID-Nummer und den Reisedaten mit allen kontrollwirksamen Parametern wird ein fälschungssicheres elektronisches Zertifikat erzeugt, das etwa folgendes aussagt: "Dem Kunden mit der Kundennummer ID wurde ein Ticket (A nach B, 2. KI, Bahncard, Datum, etc.) ausgestellt"
  • Die elektronische Unterschrift wird in Form einer Zeichenkette, etwa AKF40 9FSQ1 G2S, auf das Reisedokument (Reiseplan) des Kunden aufgedruckt. Das Erstellen dieser Zeichenkette ohne Kenntnis eines geheimen Schlüssels sowie der Kreditkartennummer ist nicht möglich. Damit ist eine Manipulation des Reiseplans ausgeschlossen, weil elektronische Unterschrift und Reiseplan verknüpft sind.
  • Bei der Buchung wird außerdem ein Datensatz (Ab_ bzw. Vergleichssatz) auf dem Zentralrechner hinterlegt.
    • • Bei der Fahrscheinkontrolle muß der Kunde die Kreditkarte/Bahncard und seinen Reiseplan vorweisen. Der Zugbegleiter tippt die Zeichenkette in das Mobile Terminal (MT) ein; aufgrund des hinterlegten Schlüssels und der Kundennummer kann die Zeichenkette entschlüsselt und die Fahrschein-Parameter angezeigt werden, der Zugbegleiter kann sie mit den im Klartext aufgedruckten Angaben vergleichen. Außerdem wird ein Kontrollsatz geschrieben.
    • • Wenn die Kontrollsätze vom MT auf den Zentralrechner geschickt werden, erfolgt ein automatischer Abgleich mit dem hinterlegten Vergleichssatz. Dies bewirkt eine Entwertung des Tickets. Hinweise auf Mehrfachbenutzung, Manipulationen etc. werden in ein Clearing-Protokoll geschrieben.
  • Die Sicherheit des Verfahrens wird durch mehrere Mechanismen gewährleistet:
    • • Das elektronische Zertifikat verhindert die Manipulation des Reisedokuments und erlaubt eine schnelle Überprüfung im Zug.
    • • Anerkannte kryptographische Verfahren vereiteln das Fälschen des elektronischen Zertifikats
    • • Das elektronische Zertifikat enthält nicht nur die Ticket-Daten an sich, sondern auch noch eine unabhängig berechnete Prüfsumme. Das erschwert den Mißbrauch z.B. in dem Fall, dass der potentielle Betrüger sich ein MT verschafft (stiehlt) und mehrere Zeichenketten als Zertifikate durchprobiert
    • • Die Verfahren zur Schlüsselverwaltung sorgen für einen regelmäßigen Wechsel der geheimen Schlüssel, so daß im Fall etwa eines MT-Diebstahls und Bruch auch des Prüfzahlverfahrens der Schaden eng begrenzt bliebe.
    • • Das durchgängige Mitführen der Kundennummer (Kreditkartennummer, ...) ermöglicht einen Rückgriff auf den Reisenden bei Mißbrauchsverdacht und schränkt den Kreis potentieller Betrüger von vorneherein auf Kreditkartendiebe ein.
  • Fachlicher und Technischer IST-Zustand
  • Der Ticketdruck erfolgt ausschließlich auf durchnumerierten Belegformularen (Fahrscheinmustern) mit speziellen Dokumentdruckern (Siemens HPR 4901). Kontrolle der ausgegebenen Tickets (Belegverwaltung) über
    • • Verifizierung der Belegnummer, indem der Drucker einen Barcode auf der Rückseite des Formulars liest
    • • Führung von schalterbezogenen Belegkonten mit kassensicherer Kontoführung
    • • Einzelnachweis von Rücknahmen, Fehldrucken etc. im Schichtabschluß
    • • Meldung des Belegverbrauchs im Schichtabschluß
    • • Belegnummer im Verkaufsdatensatz
  • Aus den Fahrscheindaten wird eine zweistellige Kontrollzahl gebildet, die eine zusätzliche Sicherung für das Rücknahmeverfahren darstellt.
  • Das Rücknahmeverfahren stützt sich wesentlich auf die Belegnummer.
  • Die Belegverwaltung (BeVe) ist für den Bediener weitgehend transparent. Der Bediener wird unterstützt, indem die Belegnummer des zu bedruckenden Belegs am Drucker angezeigt wird. Bei der Rücknahme wird die Eingabe der Belegnummer gefordert.
  • Die BeVe dient auch zur automatischen Nachbestellung von Fahrscheinmustern bei Unterschreitung von Bestandsuntergrenzen.
  • Für einen Kundenauftrag bis zu zwölf Einzelbelege ausgestellt werden.
  • Die Nachteile bzw. Schwachstellen des bekannten Verfahrens sind
    • • Die durchnumerierten Fahrscheinmuster haben vergleichsweise hohe Einzelkosten. Sie stellen im unbedruckten Zustand "bares Geld" dar, müssen also einbruchssicher verwahrt werden.
    • • Die Spezialdrucker, die die Belegnummer das "anliegenden" Musters vor dem Druck lesen, sind sehr teuer, haben aber zugleich einen nur beschränkten Leistungsumfang und sind deshalb nicht universell einsetzbar.
    • • Der Druck der Belege ist zeitaufwendig (bis zu 5 Minuten pro Reise).
    • • Die Technik läßt sich nicht in gängige Büro-/ Vertriebs-/ CallCenter-Umgebungen integrieren.
    • • Die Bindung an Belege auf "fälschungssicheren" Mustern erzwingt den Fahrkartenkauf des Kunden mit den damit verbundenen Begleitumständen in Form des aufwendigen Ticketversands (Kosten, Zeit) bzw. "Schlange stehen im Bahnhof" zur Ticketabholung.
    • • Eine Bedienung des Kunden "in letzter Minute" ist deswegen auch nicht möglich
    • • Es besteht nicht die Möglichkeit des Ausdrucks von Reisedokumenten beim Kunden.
  • Die oben genannten Schwachenstellen sind durch ein geeignetes Verfahren mit der entsprechenden DV-Unterstützung zu beseitigen. Dabei sollen insbesondere folgende Verbesserungen erzielt werden:
    • • Formloses Ticket: Ausdruck eines Reisedokuments auf Normalpapier bei entsprechender Mißbrauchsicherung und damit Nutzung von moderner Druckertechnologie
    • • Reiseplan: Grundlage für das kundenfreundliche Drucken von Fahrscheinen, Reservierung, Gepäckbeleg und Fahrplanauskunft auf einen einzigen, integrierten Beleg.
    • • FAX-Versand: Versand des Reisedokuments via FAX (ggf. elektronisch und Ausdruck beim Kunden)
  • Die Verbesserungs- und Rationalisierungsmöglichkeiten liegen damit vor allem im Vertriebssektor (keine spezielle Druckertechnologie, keine Logistik für Vordrucke und Kundenversand nötig, leichte Integrierbarkeit in gängige Bürotechnik). Die dort anfallenden Kostenvorteile sind gegen eine leichte Komplizierung des Kontrollvorgangs abzuwägen.
  • Kurzbeschreibung des Verfahrens und einiger Varianten:
  • In dem Verfahren sind fünf Schritte zu betrachten:
    • 1. Der Kunde meldet sich zum Verfahren an, dabei wird seine Kunden-ID-kartennummer hinterlegt und die Zahlungsweise generell geregelt.
    • 2. Bei der Buchung (im Sinne von Fahrscheinverkauf, möglicherweise mit Platzreservierung etc.) wird ein Beleg erstellt. In diesem Schritt erfolgt auch die Sollstellung für den Kunden, entweder mit sofortigem Geldeinzug oder Stundung bis zur Monatsrechnung.
    • 3. Im Zug erfolgt eine Fahrscheinkontrolle durch einen Zugbegleiter, der mit einem MT ausgerüstet ist. Für die Ausweitung auf den ÖPNV ist für die Fahrscheinkontrolle auch eine Alternative ohne MT-Ausrüstung vorzusehen.
    • 4. Im Nachlauf wird die Buchung mit der Kontrolle gegengeprüft.
    • 5. Schließlich ist die Stornierung von Fahrscheinen zu untersuchen.
  • Der Begriff Buchung ist hier in dem Sinne gebraucht, daß die Zahlung damit verknüpft ist (etwa Direktzahlung, Sollstellung auf Debitorenkonto für spätere Sammelrechnung). Die Zahlung ist aber nicht Gegenstand dieses Konzepts, da sie das Grundprinzip des Verfahrens nicht beeinflußt. Vielmehr wird davon ausgegangen, daß die buchende Stelle für den Zahlungseingang verantwortlich ist (mit dem Betrag "belastet").
  • Der Kunde meldet sich schriftlich oder persönlich an und gibt dabei die Nummer seiner Kreditkarte oder BahnCard an. Mit der Anmeldung erklärt er sich damit einverstanden, dass er möglicherweise aufgrund seiner Kunden-ID-Nummer identifiziert wird. Bei der Buchung liegt die Kunden-ID (etwa Kreditkartennummer) und der Reiseplan vor. Um Manipulationen am Reiseplan zu verhindern, wird aus der preisrelevanten Information (von/nach, Klasse, Ermäßigung etc.), der ID-Nummer sowie einem geheimen Schlüssel ein elektronisches Zertifikat, etwa in Form einer Zeichenfolge X von 10 bis 13 Zeichen, berechnet. Diese kann vom Fahrgast (bzw. einem potentiellen Betrüger) nicht gefälscht werden (s.u.).
  • Alle Berechnungen erfolgen völlig transparent für den Bediener. Die einzige sichtbare Konsequenz ist das auf dem Reiseplan aufgedruckte elektronische Zertifikat.
  • Der Reiseplan erhält die Reiseinformation sowie zu allen für die Reise nötigen Fahrscheinen die Ticket-Informationen sowie das elektronische Zertifikat. Dieser Reiseplan kann analog dem gewohnten Ticket-Layout formatiert sein, kann aber auch tabellarisch in reinem Text gehalten sein.
  • Der Kunde erhält den Reiseplan als Ausdruck aus einem Standard-Drucker. Es spricht nichts dagegen, den Reiseplan dem Kunden als Datei zum Ausdruck auf seinem eigenen Drucker oder als Fax zuzusenden.
  • Bei der Buchung wird neben dem normalen Verkaufsdatensatz ein Datensatz (Vergleichssatz) in eine Datei auf einem zentralen System geschrieben, der die Reiseinformation mit der Kunden-ID verknüpft.
  • Eine Fahrscheinkontrolle vollzieht sich nach folgendem Schema:
    • • Kunde zeigt den Reiseplan und seine Kreditkarte
    • • Zugbegleiter wählt eine (neu zu schaffende) MT-Funktion "Reiseplan kontrollieren", zieht Kreditkarte durch das MT (Nummer wird gelesen) und tippt das elektro nische Zertifikat ein (normalerweise 10 – 13 Zeichen); bei abweichendem Reisedatum muß dieses auch eingegeben werden.
    • • Aus Kreditkartennummer und elektronischer Unterschrift sowie dem ebenfalls im MT hinterlegten Schlüssel (entsprechend dem bei der Buchung) werden die wesentlichen Daten im Klartext entschlüsselt und am MT-Bildschirm dargestellt., etwa in folgender Form: Angebot ICE Einfache Fahrt
      Klasse 2
      Erm. Bahncard
      von Heidelberg Hbf
      nach Frankfurt(Main)Hbf
    • • Der Zugbegleiter vergleicht die Klartext-Angaben mit denen des Reiseplans.
  • Bei der Fahrscheinkontrolle wird zusätzlich ein Datensatz (Kontrollsatz) als Pseudo-Verkaufsdatensatz geschrieben, der wiederum die Reisedaten mit den Kundendaten verknüpft. Der Kontrollsatz wird auf dem Standardweg für Verkaufsdatensätze auf das zentrale Buchungs-System transportiert (das kann einige Tage dauern).
  • Das Lesen der Kreditkarte dient ausschließlich zum schnellen Einlesen der Nummer, die zur Entschlüsselung des Zertifikats benutzt wird, nicht jedoch zur Belastung des Kreditkartenkontos.
  • Der Reiseplan erhält einen Zangenabdruck, so daß eine weitere Kontrolle nicht mehr erforderlich ist.
  • Zu jedem im zentralen System einlaufenden Kontrollsatz wird der zugehörige Vergleichssatz gesucht und es wird im letzteren ein Verbrauchszähler hochgezählt. Wird kein passender Vergleichssatz gefunden oder hat der Vergleichssatz schon einen Verbrauchszählerstand größer als 0, dann werden Referenzen auf diese Sätze in eine Protokolldatei geschrieben, die regelmäßig in einem Clearing-Verfahren auszuräumen ist.
  • Die Gegenprobe kann direkt bei Einlauf des Kontrollsatzes oder täglich im Batch erfolgen.
  • Bei einer Stornierung wird der Vergleichssatz so gekennzeichnet, daß kein Kontrollsatz mehr gegen ihn abgeglichen werden kann (bzw. dass ein entsprechender Versuch sofort zu einem Eintrag in das Clearing-Protokoll führt).
  • Die Vorteile des Verfahrens ergeben sich wie folgt
    • • Die Sicherheit des Verfahrens beruht auf zwei Komponenten: Der Verschlüsselung des Reiseplans und der Gegenprobe mit der Möglichkeit, den Reisenden anhand der gespeicherten Daten zu identifizieren und bei Mißbrauch zu belangen.
    • • Der Abgleich-Mechanismus zwischen Vergleichssatz und Kontrollsatz bewirkt eine Entwertung des Tickets. Damit können die darauf aufbauenden Merkmale des Tarifangebots wie mehrtägige Gültigkeit und Stornierung beibehalten werden.
    • • Reiseplan / Integrierter Fahrschein: Für Geschäftsreisende fallen oft mehrere Belege im Zusammenhang mit einer Reise an, neben der eigentlichen Fahrkarte vor allem Reservierungsbelege (Sitzplatz, Konferenzabteil) und Gepäcktickets. Dem Verschlüsselungsverfahren müssen nur Fahrscheine im engeren Sinne (also ohne Platzreservierung) unterworfen werden, da eine Manipulation etwa der Reservierungskomponente oder des Gepäcktickes im Reiseplan völlig sinnlos ist. All diese Belege können integriert auf ein Blatt gedruckt werden.
    • • Doppelte Sicherheit: Bei Mißbrauchsversuchen ist ein Rückgriff auf den Kunden möglich. Der potentielle Betrüger muß einerseits die Verschlüsselung brechen und andererseits im Besitz einer gestohlenen/ gefälschten Kreditkarte sein. Damit ist ein Brechen der Verschlüsselung praktisch sinnlos, weil etwa der direkte Erwerb eines MT-Tickets mit der falschen Kreditkarte wesentlich einfacher ist.
  • Das oben beschriebene Verfahren ist grundsätzlich auch ohne die Vergleichs- und Kontrollsätze denkbar. Dabei wird nur auf die Verschlüsselungs-Sicherheit in der elektronischen Unterschrift vertraut.
  • So geändert ermöglicht das Verfahren also keine Entwertung, vielmehr müssen die Tickets eine genau definierte zeitliche Gültigkeit tragen. Damit kommen Zeitkarten (Monats-, wochen- oder sogar Tageskarten) oder zugbezogene Tickets (zum Beispiel, aber nicht notwendig, Tickets mit Reservierungspflicht) in Frage.
  • Positiv ist der geringere Aufwand bei dieser Alternative zu bewerten. Insbesondere stellt die Übertragung der Kontrollsätze hohe Anforderungen an die Zuverlässigkeit der Systeme; diese Übertragung könnte hier entfallen. Es ergeben sich:
    • • Einschränkung des Tarifangebots: Diese Alternative schützt in keiner Weise dagegen, daß ein Kunde einen Reiseplan mit einer Fahrkarte, die etwa 3 Tage gültig ist, zweimal benutzt. Damit ist der Kunde an das genaue Datum des Reiseplans gebunden bzw. das Verfahren ist auf "Zeitkarten" festgelegt.
    • • Mißbrauch durch Partnerkarten: Gibt es zwei Karten mit derselben Nummer, kann der Inhaber der zweiten Karte unbemerkt mit einer Kopie der Reiseplans fahren. Die Verwendung von EC-Karten (haben eindeutige Nummern) ist hier zu prüfen.
    • • Nicht rücknahmefähig: Nach Zugang des Reiseplans kann der Kunde nicht mehr behaupten, nicht gefahren zu sein (Er könnte eine Kopie benutzt haben). Er kann also das Ticket nicht stornieren.
    • • Gewisses Sicherheitsrisiko, wenn die Verschlüsselung "geknackt" wird. Dieser Mißbrauch kann auch im Nachhinein nicht festgestellt werden.
    • • Keine Gewinnung von Nutzungsdaten.
  • Dauerhaft könnte diese Alternative dort zum Tragen kommen, wo etwa im Rahmen von Verkehrsverbünden die Übertragung der Kontrolldatensätze zu aufwendig ist. Eine Ergänzung zum manuell einzutippenden elektronischen Zertifikat ergibt sich aus dem maschinell lesbaren Zertifikat. Es ermöglicht die Entschlüsselung der Reiseplan-Information auch ohne händische Eingabe und ohne auf dem Endgerät vorhandene Stammdaten.
  • Das Verfahren wäre analog zum oben geschilderten mit der Abweichung, daß der verschlüsselte Reiseplan zusätzlich in Form eines (oder mehrerer) Barcodes oder maschinenlesbarer Schrift statt nur einer Zeichenkette auf das Papier geschrieben wird. Der Kontrollvorgang würde im Lesen z.B. des Barcodes mit einem Barcode-Scanner (ähnlich wie an der Supermarkt-Kasse), der Entschlüsselung und der Anzeige des Klartexts bestehen. Eine andere Möglichkeit ist der Einsatz von Klartext-Lesegeräten (Handscanner).
  • Mit dem Lesegerät kann eine größere Datenmenge (automatisch) gelesen werden. Damit können auch Text-Informationen (Bahnhofs-Bez. etc.) hinterlegt werden und brauchen nicht aus den Stammdaten gelesen werden. Außerdem erlaubt ein solches Verfahren eine größere Blocklänge und damit den Einsatz von Public-Key-Verfahren.
  • Die Erzeugung eines Kontrollsatzes wird auch bei diesem Szenario empfohlen.
  • Eine weitere Variante des Verfahrens ist der Einsatz einer Chipkarte zur Speicherung des elektronischen Zertifikates. Analog zum Reiseplan auf Papier wird dieselbe Information auf eine Chipkarte geschrieben. Auch in diesem Fall können wieder größere Datenmengen transportiert werden, so dass Public-Key-Systeme eingesetzt werden können. Zum Schreiben der Karte ist keine besondere Sicherheitstechnik nötig. Wenn die Karte ihre eigene Echtheit beweist (etwa durch ein Hologramm etc.), kann die zusätzliche Verwendung einer Kreditkarte entfallen; stattdessen kann eine ID-Nummer von der Chipkarte gelesen werden.
  • Wenn man die Intelligenz einer Mikroprozessorkarte ausnutzt, kann auch eine Entwertung auf die Karte so aufgebracht werden, dass sie nicht mehr gelöscht werden kann. Dieses Verfahren kann immer noch in ungesicherter Umgebung ablaufen.
  • Die verschlüsselte elektronische Unterschrift braucht nicht alle Informationen des Reiseplans zu enthalten, es genügt eine dem Fahrgast (bzw. dem potentiellen Betrüger) unbekannte Teilmenge. Das heißt, daß der Zugbegleiter bei der Kontrolle nur einen Auszug sieht, etwa:
    Figure 00150001
  • Die Sicherheit beruht in diesem Fall darauf, daß der potentielle Betrüger nicht weiß, welche Angaben des Reiseplans er ändern kann, ohne bei der Entschlüsselung aufzufallen (zum Beispiel könnte er statt nach Frankfurt nach Hamburg fahren, jedoch nicht die Klasse wechseln).
  • Erstellung des elektronischen Zertifikats:
  • Das elektronische Zertifikat wird in folgenden Schritten erstellt; die Schritte werden weiter unten erläutert:
    • 1. Die Ticketdaten werden komprimiert, also in ein sehr kurzes Format gebracht. Ergebnis dieses Schritts ist eine Folge (variabler Länge) von Bits.
    • 2. Aus den Ticketdaten (der Bit-Folge) wird ein Hash-Wert berechnet und an die Daten angehängt.
    • 3. Die Kreditkartennummer, das erste Gültigkeitsdatum und eine laufende Nummer je Kreditkarte und Tag bilden aneinandergehängt die Ticket-ID, die etwa in einer 64 Bit-Zahl darstellbar ist. Diese wird mit dem (allgemeinen) geheimen Schlüssel mit einem Blockchiffrierverfahren verschlüsselt, das Ergebnis (der Chiffretext) ist eine weitere 64 Bit-Zahl, welche „spezieller Schlüssel" genannt wird.
    • 4. Die im zweiten Schritt erhaltene Bitfolge wird mit einem Blockchiffrierverfahren mit dem speziellen Schlüssel verschlüsselt. Dabei werden die bekannten Methoden des Cipherblock Chaining und des Ciphertext Stealing eingesetzt. Damit ist es möglich, die Bitfolge längentreu zu verschlüsseln, sofern sie länger als die Blocklänge des Chiffrierverfahrens ist.
    • 5. Die laufende Nummer wird an die Bitfolge angehängt, dann wird die Bitfolge in eine Folge druckbarer Zeichen übersetzt.
  • Die Wiederherstellung des Klartexts aus dem elektronischen Zertifikats erfolgt in folgenden Schritten:
    • 1. Die Zeichenfolge wird in einen Bitstring übersetzt, die laufende Nummer wird abgetrennt.
    • 2. Die Kreditkartennummer, das Reisedatum und die laufenden Nummer ergeben wieder die Ticket-ID, welche mit demselben allgemeinen geheimen Schlüssel chiffriert wird, um den speziellen Schlüssel zu erhalten. Dieser Schritt wird also in derselben Richtung wie bei der Zertifikat-Erstellung durchlaufen.
    • 3. Das elektronische Zertifikat wird mit dem Blockchiffrierverfahren entschlüsselt, wobei entsprechend der Verschlüsselung Cipheblock Chaining und Ciphertext Stealing eingesetzt wird. Dieser Schritt läuft genau in die Gegenrichtung wie bei der Zertifikat-Erstellung.
    • 4. Der Hash-Wert wird abgetrennt, vom Rest wird der Hash-Wert berechnet und abgeglichen.
    • 5. Aus dem verbleibenden elektronischen Zertifikat (Bit-Folge) wird eine Datenstruktur aus Zahlenwerten erhalten.
    • 6. Aus im Kontrollgerät enthaltenen Stammdaten werden zu Bahnhofsnummern und Angebotsnummern die entsprechenden Klartexte ergänzt.
  • Kompression der Ticketdaten:
  • Die Kompression wird durch eine Stammdatentabelle beschrieben, in der ein Datensatz einem Strukturelement (Feld) entspricht. Zu jedem Feld sind mindestens folgende Attribute hinterlegt: Laufende Nummer (Marke), Zulässigkeitsbereich, Default-Bereich, Anzeigetext für Default, Anzeige-Kannzeichen.
  • Damit verläuft die Kompression in der Weise, dass folgende Schritte für jedes Feld der Ticket-Struktur durchlaufen werden:
    • 1. Es wird geprüft, ob das Feld in einem Zulässigkeitsbereich liegt. Falls nicht, so wird das Verfahren für das ganze Ticket abgebrochen, es darf aus fachlichen Gründen nicht mit dem Verfahren „Formloses Ticketing" verschickt werden.
    • 2. Es wird geprüft, ob das Feld in einem Default-Bereich liegt; dann braucht es nicht codiert zu werden.
    • 3. Es wird geprüft, ob eine Funktion vorhanden ist, die den Feldinhalt in einen sog. Primärbereich codiert; dieser umfasst die ersten etwa 35 Bit der Nachricht.
    • 4. Wenn der Feldwert zulässig ist, außerhalb des Defaultbereichs und nicht im Primärbereich abgelegt werden konnte, wird an die bisherige Nachricht ein Marken-Wert (zeigt an, welches Feld es ist) und der Feldinhalt angehängt. Diese Informationen ergeben den sog. Sekundärbereich.
  • Die Nachricht ergibt sich durch Aneinanderhängen von Primär- und Sekundärbereich. Das Verfahren steht vollkommen unter fachlicher Kontrolle und kann grundsätzlich beliebige numerische Ticketdaten verarbeiten. Alphanumerische Daten sind kein grundsätzliches Hindernis, machen aber den Sekundärbereich deutlich länger. Die Codierungsfunktionen werden so gewählt, dass in der überwiegenden Anzahl der Fälle der Primärbereich ausreicht, das also kein Sekundärbereich nötig ist. Ein Vorschlag dazu ergibt sich aus der folgenden Tabelle:
    Figure 00170001
    Figure 00180001
  • Beispielsweise wäre eine einfache Fahrt erster Klasse mit ICE (Verkehr 2, Gattung 1) mit BahnCard von Heidelberg (156, binär 1001 11002) nach Frankfurt (105, binär 0110 10012) folgendermaßen zu codieren:
    Die Verkehrs-Gattungs-Kombination 2/1 habe etwa die Codierung 11 (oder binär 010112).
    Figure 00180002
  • In diesem Falle wäre der Primärbereich ausreichend, der Sekundärbereich wäre leer. Wäre ein Umweg über Mainz Hbf (240 = 1111 00002) enthalten, so wäre in der Anfrage das Feld ICE_LP1 gefüllt. Dann würde man feststellen, dass dieses Feld nicht im Default-Bereich liegt, man würde den Wert des Feldes "Marke" in der Tabelle FFDF (s.u.), etwa Marke= 67 = 0100 00112, aufsuchen und müßte noch anhängen: 0100 0011 1111 0000.
  • Nun wird zu dem komprimierten FIN-Ticket ein Hash-Wert berechnet, etwa indem die bisherige Nachricht mit einem beliebiger Block-Chiffrieralgorithmus im CBC-Modus verschlüsselt wird und eine gewünschte Anzahl Bits vom letzten Chiffretext als Hashwert genommen wird. Der Hash-Wert wird an die bisher erzeugt Nachricht angehängt.
  • Der Hash-Wert wird aus folgenden Gründen benötigt: Angenommen, ein potentieller Betrüger hätte eine Kreditkarte etc., deren Nummer nach seiner Überzeugung nicht ausreicht, ihn zu belangen. Weiter angenommen habe er (vielleicht nur kurz) Zugang zu einem MT. Er könnte sich jetzt ein elektronisches Zertifikat ausdenken, in das MT eintippen und dieses veranlassen, das Zertifikat zu entschlüsseln und darzustellen. Gäbe es nun keinen Hash-Wert, so würde fast jedes Zertifikat irgendeinem Ticket entsprechen – wahrscheinlich auf einer Strecke, die der Betrüger nicht fahren will. Mit einigen Versuchen würde er aber möglicherweise auf das Zertifikat eines Tickets stoßen, das zumindest auf einer Teilstrecke mit seinem Reisewunsch übereinstimmt. Durch den Hash-Wert wird nun die "Dichte" der gültigen Tickets herabgesetzt. Fügt man z.B. 10 Bit Hash-Wert hinzu, so entspricht nur etwa jedes 1000-te Zertifikat einem Ticket. Der Betrüger würde also nach 10 oder 100 Versuchen frustriert aufgeben (nach im Mittel 1000 Versuchen würde er dann auch noch auf ein Ticket mit unpassender Strecke stoßen). In diesem Beispiel (10 Bit Hash) würde das Zertifikat um 2 Zeichen verlängert. Will man nur eine Verlängerung um 1 Zeichen, so entspricht im Mittel jedes 30. verschlüsselte Zertifikat einem Ticket. Hier sind also Bedienbarkeit und Manipulationssicherheit gegeneinander abzuwägen.
  • Nun sind folgende Daten gegeben:
    • • Komprimierte Ticket-Nachricht mit angehängtem Hash-Wert
    • • Kreditkartennummer des Kunden. Die Kreditkarte dient zur Identifikation des Kunden, deshalb wird die Nummer im Folgenden mit ID bezeichnet. Die Nummer ist im Verkaufssystem hinterlegt und mit dem Kunden verbunden.
    • • geheimer Schlüssel (K): eine 64 Bit lange Zahl.
  • Die Kunden-ID, das Reisedatum und die laufende Nummer je Kunde und Datum ergeben zusammen die Ticket-ID.
  • Die Verschlüsselung erfolgt in einem zweistufigen Prozeß, bei dem die verschlüsselte Ticket-ID als Schlüssel für die eigentlichen Reiseplandaten dient. Die laufende Nummer je Kreditkarten-Nummer und Tag ist (im "Klartext") in den letzten etwa 2 Bit des elektronischen Zertifikats codiert.
  • Es wird ein Verkaufsdatensatz mit einer speziellen (Pseudo-) Musternummer und einer vom Zertifizierungsserver vergebenen Pseudo-Belegnummer geschrieben. Beim Versuch der Rücknahme eines solchen Datensatzes kann allein aufgrund der Musternummer ein spezielles Verfahren eingeleitet werden. Normalerweise wird bei der Stornierung nur eine Entlastung des Debitorenkontos des Kunden vorgenommen, keine Auszahlung.
  • Der Kunde erhält einen Reiseplan, der Fahrplan-, Reservierungs- und Ticketinformationen enthält.
  • Die Fahrscheinkontrolle verläuft in den folgenden Schritten:
    • 1. Funktion "Reiseplan kontrollieren" auf dem MT auswählen
    • 2. Kreditkarte durchziehen; das MT liest nur die Nummer, verursacht aber keine Belastung des Kreditkartenkontos.
    • 3. Die folgende Maske hat etwa folgenden Inhalt (Eingabefelder sind kursiv dargestellt):
      Figure 00200001
      Das Feld Reisedatum ist mit dem aktuellen Datum vorbelegt und nur in Ausnahmefällen zu ändern. Der Zub gibt die Zertifikat-Zeichenkette ein und bestätigt mit <ENTER>.
    • 4. Das MT entschlüsselt den eingegebenen Wert mit dem jeweils gültigen Schlüssel. Das Verfahren ist unten schematisch dargestellt. Gattungs-Bezeichnung, Bahnhofs-Bez. etc. werden dabei aus lokalen Stammdaten zugesteuert. Das MT blendet die Klartextangaben zum Reiseplan auf:
      Figure 00200002
    • 5. Es wird ein Kontrollsatz geschrieben.
    • 6. Der Zugbegleiter vergleicht die aufgeblendeten und die im Reiseplan aufgedruckten Angaben. Stimmen sie überein, so ist der Kontrollvorgang damit beendet. Falls nicht, kann der Zugbegleiter den Kontrollsatz schon als "unsauber" markieren, so daß er auf jeden Fall in das Clearing-Verfahren läuft. Der Zugbegleiter hat in diesem Fall die Möglichkeit, vom Kunden die Personalien zu erfragen, sie in einer entsprechenden Maske einzugeben und direkt im Kontrollsatz zu speichern.
  • Ein Vorschlag für das Layout eines Reiseplans ergibt sich wie folgt:
    Figure 00210001
  • Das beschriebene Ausführungsbeispiel dient der Erläuterung und ist nicht beschränkend.

Claims (12)

  1. Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen in bezug auf Leistungsangebote, bei dem zentralisiert ein Schlüsselcode hinterlegt wird, einem Nutzungsinteressenten ein Individualcode zugeordnet und abrufbar mitgeteilt wird, und aus dem Schlüsselcode, einer Leistungsbezeichnung sowie dem Individualcode ein verschlüsselter Berechtigungscode, aus dem bei Vorliegen des Schlüsselcodes und des Individualcodes die Leistungsbezeichnung wiederhergestellt werden kann, erstellt und dem Nutzungsinteressenten abfragbar mitgeteilt wird, dadurch gekennzeichnet, dass die Erstellung des Berechtigungscodes unter Einsatz eines Blockchiffrierverfahrens derart in zwei Schritten abläuft, dass im ersten Schritt der Individualcode (evtl. mit weiteren Parametern) mit dem Chiffrierverfahren unter Verwendung des Schlüsselcodes zu einem Zwischenschlüssel chiffriert und im zweiten Schritt die Leistungsbeschreibung unter Verwendung des Zwischenschlüssels zu dem Berechtigungscode verschlüsselt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass für die Leistungsangebote eine Codetabelle erstellt und der jeweilige Code als Leistungsbezeichnung verwendet wird.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Berechtigungscode dezentral zur Prüfung der Nutzungsberechtigung unter Anwendung des Schlüsselcodes entschlüsselt wird.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass für die Entschlüsselung eine mobile Rechnereinheit verwendet wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass für Abgleichfunktionen bei der Erstellung des Berechtigungscodes ein Vergabeinformation und bei der Prüfung eine Entwertungsinformation gespeichert wird.
  6. Verfahren nach Anspruch 5 dadurch gekennzeichnet, dass die Entwertungsinformation in ein zentrales Rechnersystem überspielt wird, welches auch auf die Vergabeinformationen Zugriff hat, und daß der Individualcode einen Zugriff auf den Nutzer auch noch nach der Nutzung für den Fall des Missbrauchs erlaubt.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass an die Stelle einer einfachen Leistungsbezeichnung eine strukturierte Leistungsbeschreibung tritt, derart, daß die meisten Strukturelemente in einem Standardbereich erwartet werden, und dass nur die Überschreitungen des jeweiligen Standardbereichs, jeweils mit Angabe des Strukturelements, in den Berechtigungscode eingehen.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die Leistungsbeschreibung für die Strukturelemente, für die eine Überschreitung des Standardbereichs erwartet wird oder für die kein solcher Bereich gegeben ist, zusätzlich eine Zwischenspeicherung in einem fixierten Format erfolgt, bei der das betreffende Strukturelement nur durch seine Position in diesem Format gegeben ist.
  9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Berechtigungscode maschinenlesbar auf einen Datenträger aufgebracht wird.
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass auf dem Datenträger auch der Individualcode gespeichert ist.
  11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass dieses zur Einräumung von Nutzungsberechtigungen im Personentransportbereich angewandt wird.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass dieses zur Einräumung von Nutzungsberechtigungen für Bahnfahrten angewandt wird.
DE1999133731 1999-07-19 1999-07-19 Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen Expired - Lifetime DE19933731B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1999133731 DE19933731B4 (de) 1999-07-19 1999-07-19 Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1999133731 DE19933731B4 (de) 1999-07-19 1999-07-19 Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen

Publications (2)

Publication Number Publication Date
DE19933731A1 DE19933731A1 (de) 2001-01-25
DE19933731B4 true DE19933731B4 (de) 2006-02-09

Family

ID=7915242

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1999133731 Expired - Lifetime DE19933731B4 (de) 1999-07-19 1999-07-19 Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen

Country Status (1)

Country Link
DE (1) DE19933731B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10156038A1 (de) * 2001-11-15 2003-06-05 Joergen Brosow Verfahren zur Sicherung des Luftverkehrs

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19622721A1 (de) * 1996-06-06 1997-12-11 Megamos F & G Sicherheit Vorrichtung und Verfahren zur Prüfung der Nutzungsberechtigung für Zugangskontrolleinrichtungen, insbesondere Schließeinrichtungen für Fahrzeuge
DE19523009C2 (de) * 1995-06-24 1998-03-12 Megamos F & G Sicherheit Authentifizierungssystem
DE19718547A1 (de) * 1997-05-02 1998-11-12 Deutsche Telekom Ag System zum gesicherten Lesen und Bearbeiten von Daten auf intelligenten Datenträgern
DE19734507A1 (de) * 1997-08-08 1999-02-11 Siemens Ag Verfahren zur Echtheitsprüfung eines Datenträgers
US5884277A (en) * 1995-05-01 1999-03-16 Vinod Khosla Process for issuing coupons for goods or services to purchasers at non-secure terminals
DE19622720C2 (de) * 1996-06-06 1999-07-15 Megamos F & G Sicherheit Authentifizierungseinrichtung mit Schlüsselzahlspeicher

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5884277A (en) * 1995-05-01 1999-03-16 Vinod Khosla Process for issuing coupons for goods or services to purchasers at non-secure terminals
DE19523009C2 (de) * 1995-06-24 1998-03-12 Megamos F & G Sicherheit Authentifizierungssystem
DE19622721A1 (de) * 1996-06-06 1997-12-11 Megamos F & G Sicherheit Vorrichtung und Verfahren zur Prüfung der Nutzungsberechtigung für Zugangskontrolleinrichtungen, insbesondere Schließeinrichtungen für Fahrzeuge
DE19622720C2 (de) * 1996-06-06 1999-07-15 Megamos F & G Sicherheit Authentifizierungseinrichtung mit Schlüsselzahlspeicher
DE19718547A1 (de) * 1997-05-02 1998-11-12 Deutsche Telekom Ag System zum gesicherten Lesen und Bearbeiten von Daten auf intelligenten Datenträgern
DE19734507A1 (de) * 1997-08-08 1999-02-11 Siemens Ag Verfahren zur Echtheitsprüfung eines Datenträgers

Also Published As

Publication number Publication date
DE19933731A1 (de) 2001-01-25

Similar Documents

Publication Publication Date Title
DE3750958T3 (de) Automatisches überweisungssystem mit mikroprozessorkarten.
DE69312743T2 (de) Fälschungssicheres kreditkarten absendsystem
DE69900169T3 (de) Kreditkartensystem und verfahren
DE3886623T2 (de) Transaktionssystem mit einer oder mehreren zentralen Schnittstellen und mit einer Anzahl von verteilten Endstationen, welche an jede zentrale Schnittstelle über ein Netzwerk gekoppelt werden können; Concentrator und Endstation, geeignet für den Gebrauch in solch einem Transaktionssystem und Bedieneridentifizierungselement für den Gebrauch in einer solchen Endstation.
DE69623893T2 (de) Ein gesichertes Chiffrierprotokoll verwendendes Wertspeichersystem
DE69534441T2 (de) System und Verfahren zum Verkaufen von elektronischen Wertkarten
DE2527784C2 (de) Datenübertragungseinrichtung für Bankentransaktionen
DE69527369T2 (de) Kommunikationsgerät
DE69803675T2 (de) Kassiervorrichtung, -verfahren und -rechnersystem zur automatischen ausgabe von kommerziellen rabattmarken
EP1103922A2 (de) Kartenbuchung mittels einer virtuellen Eintrittskarte
DE19718115A1 (de) Chipkarte und Verfahren zur Verwendung der Chipkarte
EP1328886B1 (de) Programmlogik zum verkauf von berechtigungen
DE10003875A1 (de) Zahlungsausführungsvorrichtung zur bargeldlosen Zahlung und Verfahren zur Ausführung einer bargeldlosen Zahlung
DE4322794C1 (de) Verfahren und Anordnung zum Abwickeln des Vertriebs von Waren und/oder Dienstleistungen unterschiedlicher Anbieter
DE102008011803A1 (de) Verfahren und Vorrichtung zur schnelleren und/oder vollständigeren Kontrolle der zur Nutzung berechtigenden Unterlagen (z.B. Fahrscheinen) in kostenpflichtigen und/oder öffentlichen zugänglichen Transportmitteln
EP0713188A2 (de) Verfahren und Chipkarte zum Dokumentieren einer erworbenen Berechtigung
DE19933731B4 (de) Verfahren zur formunabhängigen und nachprüfbaren Einräumung von Nutzungsberechtigungen
DE2302020A1 (de) Ausgabesystem zur automatischen ausgabe von geld oder dergl
EP0968485A2 (de) Chipkarte und verfahren zur verwendung der chipkarte
WO2001065510A1 (de) Im internetfähigen bargeldlosen zahlungsverkehr
DE10037631A1 (de) Verfahren zur bargeldlosen Bezahlung mit Online-Wertmarken
DE4027735A1 (de) Verfahren und vorrichtung zur gesicherten datenfernuebermittlung
WO2014044307A1 (de) Betrieb eines zugangsberechtigungssystems
DE102007037442B4 (de) Verfahren zum Kontrollieren eines mobilen Endgerätes
AT405467B (de) Vorrichtung und verfahren bzw. system bzw. programm zur bargeldlosen zahlungs- und verrechnungsabwicklung von lohnfahrten in lohnfuhrwerken

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8127 New person/name/address of the applicant

Owner name: DB SYSTEMS GMBH, 60326 FRANKFURT, DE

8110 Request for examination paragraph 44
8181 Inventor (new situation)

Inventor name: KRAMER, HELMUT, DR., 65462 GINSHEIM-GUSTAVSBURG, D

Inventor name: NAUHEIM, RAPHAEL, DR., 69115 HEIDELBERG, DE

8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DB SYSTEL GMBH, 60326 FRANKFURT, DE

8327 Change in the person/name/address of the patent owner

Owner name: DB VERTRIEB GMBH, 60326 FRANKFURT, DE

R071 Expiry of right