PatentDe  


Dokumentenidentifikation DE102005032473B4 10.05.2007
Titel Verfahren zur Zugriffssteuerung auf einen Transponder
Anmelder ATMEL Germany GmbH, 74072 Heilbronn, DE
Erfinder Friedrich, Ulrich, Dipl.-Ing. (FH), 74248 Ellhofen, DE
Vertreter Patentanwälte Ruff, Wilhelm, Beier, Dauster & Partner, 70174 Stuttgart
DE-Anmeldedatum 07.07.2005
DE-Aktenzeichen 102005032473
Offenlegungstag 11.01.2007
Veröffentlichungstag der Patenterteilung 10.05.2007
Veröffentlichungstag im Patentblatt 10.05.2007
IPC-Hauptklasse G06F 12/14(2006.01)A, F, I, 20051017, B, H, DE
Zusammenfassung Die Erfindung betrifft ein Verfahren zur Zugriffssteuerung auf einen, insbesondere passiven und/oder rückstreubasierten, Transponder (TR), bei dem eine erste Kennung im Transponder (TR) gespeichert wird, die auf zugehörige Anfrage von einer Leseeinheit (LE) an diese übertragen wird.
Erfindungsgemäß wird im Transponder mindestens eine zweite Kennung (K2) und ein Kennungsauswahlkriterium gespeichert, bei einer Anfrage durch die Leseeinheit in Abhängigkeit von dem Kennungsauswahlkriterium (KA) entweder die erste Kennung oder die mindestens eine zweite Kennung (K2) übertragen und, wenn die zweite Kennung (K2) übertragen wird, ein Zugriff auf den Transponder, insbesondere auf die erste Kennung, nur dann durch den Transponder freigegeben, wenn von der Leseeinheit (LE) ein der zweiten Kennung (K2) zugeordnetes Passwort (PWP2) an den Transponder (TR) übertragen wird.
Verwendung z.B. in Transpondern oder Remote-Sensoren.

Beschreibung[de]

Die Erfindung betrifft ein Verfahren zur Zugriffssteuerung auf einen Transponder nach dem Oberbegriff des Anspruchs 1.

Derartige Zugriffssteuerungsverfahren finden beispielsweise bei kontaktlosen Identifikationssystemen oder so genannten Radio-Frequency-Identification(RFID)-Systemen Verwendung. Ein derartiges System besteht üblicherweise aus einer Basisstation bzw. einem Lesegerät oder einer Leseeinheit und einer Vielzahl von Transpondern oder Remote-Sensoren, die sich gleichzeitig im Ansprechbereich der Basisstation befinden. Die Transponder bzw. deren Sende- und Empfangseinrichtungen verfügen üblicherweise nicht über einen aktiven Sender für die Datenübertragung zur Basisstation. Derartige nicht aktive Systeme werden als passive Systeme bezeichnet, wenn sie keine eigene Energieversorgung aufweisen, und als semipassive Systeme bezeichnet, wenn sie eine eigene Energieversorgung aufweisen. Passive Transponder entnehmen die zu ihrer Versorgung benötigte Energie dem von der Basisstation emittierten elektromagnetischen Feld.

Zur Datenübertragung von einem Transponder zur Basisstation mit UHF oder Mikrowellen im Fernfeld der Basisstation wird in der Regel die so genannte Backscatter- oder Rückstreukopplung eingesetzt. Hierzu werden von der Basisstation elektromagnetische Trägerwellen emittiert, die durch die Sende- und Empfangseinrichtung des Transponders entsprechend den an die Basisstation zu übertragenden Daten mit einem Modulationsverfahren moduliert und reflektiert werden. Die typischen Modulationsverfahren hierfür sind die Amplitudenmodulation, die Phasenmodulation und die Amplitude-Shift-Keying(ASK)-Unterträgermodulation, bei der die Frequenz oder die Phasenlage des Unterträgers geändert wird.

In dem Normungsvorschlag ISO/IEC CD 18000-6C vom 07.01.2005 ist ein Zugriffssteuerungsverfahren für Transponder beschrieben. Der Transponder wird hierbei zunächst in einem Auswahl- bzw. Arbitrierungsverfahren aus einer Menge von Transpondern ausgewählt. Bei dem beschriebenen Auswahlverfahren handelt es sich um ein stochastisches Verfahren in Form eines slotbasierten ALOHA-Verfahrens. Derartige Auswahlverfahren sind ausführlich beispielsweise in dem Lehrbuch Klaus Finkenzeller, RFID-Handbuch, 3. Aufl., HANSER, 2002, beschrieben.

Wenn der Transponder ausgewählt bzw. selektiert oder vereinzelt ist, sendet die Leseeinheit eine Anfrage an den Transponder in Form einer Rückübermittlung einer zuvor im Rahmen des Arbitrierungsverfahrens durch den Transponder übertragenen Zufallszahl, worauf der Transponder Protokollsteuerbits (PC) und eine Kennung in Form eines so genannten elektronischen Produktcodes (EPC) an die Leseeinheit überträgt. Die Protokollsteuerbits beinhalten Informationen bezüglich einer physikalischen Schicht der Übertragungsstrecke. Die Kennung bzw. der elektronische Produktcode EPC bildet unter anderem eine durch den Transponder gekennzeichnete Ware ab. Die Zuordnung vom EPC zu der gekennzeichneten Ware ist standardisiert, so dass aus der Kenntnis der EPC auf die Ware geschlossen werden kann. Weiterhin kann der EPC durch die Leseeinheit als Zeiger auf weitere Information, beispielsweise auf ein dem EPC zugeordnetes Passwort, verwendet werden. Das Passwort kann zur Verriegelung von Speicherbereichen des Transponders für Schreibzugriffe dienen.

Die Übertragung des EPC auf Anfrage an die Leseeinheit birgt jedoch gewisse Risiken. So können Unbefugte beim Transport der Waren gezielt nach Waren bestimmten Typs, beispielsweise nach hochwertigen Uhren oder Waffen, suchen, da der warenkennzeichnende EPC ungeschützt übertragen wird. Hierzu ist lediglich ein geeignetes Lesegerät in die Reichweite der Transponder zu bringen, beispielsweise auf einem Autobahnparkplatz oder in Bahnhöfen.

Nach der Übertragung der PC und des EPC durch den Transponder ist ein Lese- und/oder ein Schreibzugriff auf Speicherbereiche des Transponders durch die Leseeinheit möglich, es sei denn, dass bestimmte Bereiche für einen Schreibzugriff verriegelt bzw. gelockt sind. Weiterhin kann ein Lesezugriff auf Passwörter ebenfalls gesperrt sein. Trotz einer möglichen Leseverriegelung der Passwörter besteht ein gewisses Sicherheitsrisiko, dass unbefugte Personen auf möglicherweise private Speicherinhalte Zugriff haben.

Bei der Verwendung des Transponders in so genannten Chipkarten können personenbezogene Daten als Speicherinhalt abgelegt sein. Auch hier ist es wünschenswert, den Zugriff auf diese Daten zu reglementieren, um beispielsweise beim Betreten eines Kaufhauses nicht durch Auslesen des Speicherinhaltes automatisch feststellen zu können, ob der betreffende Kunde noch Geld auf der Chipkarte hat oder nicht.

In RFID-Technik: Verbraucherängste und Verbraucherschutz – eine Frage der Kontrolle; Oliver Berthold, Oliver Günther, Sarah Spiekermann; Inter Val – Internet and Value Chains, 24.1.2005 sind passwortbasierte Schutzverfahren beschrieben, die ein unbemerktes Auslesen von Transpondern verhindern sollen. Bei einem der beschriebenen Verfahren wird in Abhängigkeit von einer Aktivierungsfunktion bei einer Anfrage durch einen Leser an den Transponder eine Zufallszahl von dem Transponder an den Leser übertragen, worauf der Leser ein mit der Zufallszahl verschlüsseltes Passwort an den Transponder sendet. Wenn das entsprechende, korrekte Passwort im Transponder empfangen wird, sendet dieser seinen EPC an den Leser.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zur Zugriffssteuerung auf einen, insbesondere passiven und/oder rückstreubasierten, Transponder der eingangs genannten Art zur Verfügung zu stellen, das einen unbefugten Zugriff auf Speicherbereiche des Transponders, insbesondere auf den EPC, zuverlässig verhindert und gleichzeitig kompatibel zu dem genannten ISO-Normungsvorschlag ist.

Die Erfindung löst diese Aufgabe durch ein Verfahren mit den Merkmalen des Anspruchs 1.

Hierzu wird im Transponder mindestens eine zweite Kennung und ein Kennungsauswahlkriterium gespeichert, bei der Anfrage durch die Leseeinheit in Abhängigkeit von dem Kennungsauswahlkriterium entweder die erste Kennung oder die mindestens zweite Kennung übertragen und, wenn die zweite Kennung übertragen wird, ein Lese- und/oder Schreibzugriff auf den Transponder, insbesondere auf die erste Kennung, nur dann durch den Transponder freigegeben, wenn von der Leseeinheit ein der zweiten Kennung zugeordnetes Passwort an den Transponder übertragen wird.

Die Freigabe des Zugriffs kann sich auf eine reine Leseberechtigung lediglich einzelner, einstellbarer Bereiche eines Transponderspeichers oder eines Sensorwertes erstrecken oder, im Falle einer maximalen Zugriffsberechtigung, auf eine Schreib- und Leseberechtigung aller Speicherbereiche bzw. Sensoren und Aktoren, sofern vorhanden, des Transponders beziehen. Da der Transponder unabhängig vom Wert des Kennungsauswahlkriteriums eine Kennung überträgt, ist das erfindungsgemäße Verfahren grundsätzlich normkompatibel. Wenn das Kennungsauswahlkriteriums derart eingestellt bzw. gesetzt ist, dass die zweite Kennung durch den Transponder gesendet wird, wird das Senden der ersten Kennung unterdrückt. Wenn die erste Kennung sicherheitsrelevante Informationen enthält und die zweite Kennung lediglich ein Zeiger bzw. eine Referenz auf Informationen ist, die für einen unberechtigten Benutzer wertlos sind, kann somit ein unberechtigter Zugriff auf den Transponder bzw. auf dessen Speicherbereiche oder Sensorinformationen, sei es schreibend oder lesend, wirksam verhindert werden. Ein berechtigter Benutzer kann die zweite Kennung als Zeiger bzw. Referenz auf ein der zweiten Kennung zugeordnetes, ihm bekanntes Passwort nutzen und durch Senden dieses Passworts an den Transponder den Zugriff freischalten. Wenn das Kennungsauswahlkriteriums derart eingestellt bzw. gesetzt ist, dass die erste Kennung durch den Transponder gesendet wird, kann der Transponder auch in herkömmlichen Systemen, die kein erfindungsgemäßes Zugriffsverfahren unterstützen, verwendet werden.

Der ersten Kennung ist ein Passwort zugeordnet, wobei eine Änderung der ersten Kennung und/oder eine Freigabe oder eine Verriegelung von Speicherbereichen für Schreib- und/oder Lesezugriffe des Transponders nur dann durchführbar ist, nachdem das der ersten Kennung zugeordnete Passwort an den Transponder übertragen wird. Auf diese Weise wird eine zweite Zugriffsebene geschaffen, auf die bei aktivierter zweiter Kennung erst zugegriffen werden kann, nachdem das der zweiten Kennung zugeordnete Passwort eingegeben wird. Auf diese Weise kann beispielsweise ein größerer Personenkreis Zugriff über die zweite Kennung erhalten, wobei über die erste Kennung bzw. deren zugehöriges Passwort lediglich ein eng begrenzter Personenkreis verfügt, der die darüber zugänglichen, hoch sicherheitsrelevanten Operationen ausführen kann.

In einer Weiterbildung des Verfahrens nach Anspruch 2 bildet die erste Kennung eine durch den Transponder gekennzeichnete Ware ab. Die erste Kennung kann hierbei insbesondere der EPC sein. Dies ermöglicht einen wirksamen Schutz des EPC vor unbefugtem Zugriff, wobei berechtigte Benutzer durch Eingabe des der zweiten Kennung zugeordneten Passworts Zugriff auf den EPC erhalten.

In einer Weiterbildung des Verfahrens nach Anspruch 3 sind die zweite Kennung und/oder das Kennungsauswahlkriterium während des Betriebs des Transponders einstellbar, nachdem von der Leseeinheit das der zweiten Kennung zugeordnete Passwort an den Transponder übertragen wird. Dies ermöglicht eine einfache Veränderung der zweiten Kennung, beispielsweise wenn durch den Transponder gekennzeichnete Waren ausgetauscht bzw. verändert werden.

In einer Weiterbildung des Verfahrens nach Anspruch 4 sind das der ersten Kennung zugeordnete Passwort und/oder das der zweiten Kennung zugeordnete Passwort jeweils einem zugehörigen öffentlichen Passwort zugeordnet, wobei das jeweilige Passwort und das zugehörige öffentliche Passwort über einen Kryptografiealgorithmus eineindeutig einander zugeordnet sind. Eine derartige Zuordnung ist beispielsweise in der noch nicht veröffentlichten deutschen Patentanmeldung der Anmelderin mit dem amtlichen Aktenzeichen 102005005436.6 beschrieben, die hiermit durch Bezugnahme vollständig zum Inhalt der vorliegenden Anmeldung gemacht wird. Auf diese Weise kann das jeweilige öffentliche Passwort auch über eine nicht abhörsichere Funkverbindung in den Transponder geschrieben werden und dort, beispielsweise nicht verriegelt bzw. lesegesperrt oder verschlüsselt, einfach im Speicher abgelegt werden. Da das – private – Passwort nicht bzw. nur mit sehr hohem Aufwand aus dem öffentlichen Passwort berechnet werden kann und ein "Aufschließen" mit Hilfe des öffentlichen Passworts nicht möglich ist, wird die Passwortvergabe bzw. die Passwortspeicherung deutlich vereinfacht. Der Kryptografiealgorithmus kann beispielsweise durch ein lineares rückgekoppeltes Scheiberegister realisiert sein, an dessen Eingang das – private – Passwort bzw. eine aus diesem abgeleitete Bitfolge angelegt wird, wobei an einer einstellbaren Stufe des Schieberegisters das Öffentliche Passwort ansteht bzw. als Bitfolge ausgegeben wird. Vorteilhaft wird gemäß Anspruch 5 mindestens ein Parameter des Kryptografiealgorithmus in einem wiederbeschreibbaren, nichtflüchtigen Speicher des Transponders gespeichert. Bei dem Parameter kann es sich beispielsweise um einen Typ des Kryptografiealgorithmus handeln und/oder um eine Stufenangabe, an der das öffentliche Passwort anliegt, wenn ein lineares rückgekoppeltes Scheiberegister zur Realisierung des Kryptografiealgorithmus verwendet wird.

In einer Weiterbildung des Verfahrens nach Anspruch 6 werden die erste Kennung, die zweite Kennung, ein der ersten Kennung zugeordnetes öffentliches Passwort und/oder das der zweiten Kennung zugeordnete öffentliche Passwort in einem nichtflüchtigen Speicher des Transponders gespeichert.

In einer Weiterbildung des Verfahrens nach Anspruch 7 ist die zweite Kennung in einem der ersten Kennung zugeordneten Speicherbereich gemeinsam mit der ersten Kennung gespeichert. In der ISO/IEC CD 18000-6C vom 07.01.2005 wird der physikalische Speicher des Transponders in vier logische Bereiche bzw. Bänke aufgeteilt. Hierbei ist dem EPC, d.h. in diesem Fall der ersten Kennung, ein eigener Bereich zugeordnet, wobei in dem Bereich noch Protokollsteuerbits PC und eine CRC gespeichert sind. Die Länge, d.h. die Anzahl der Bits, des EPC ist hierbei einstellbar. Wenn der Speicherbereich nicht vollständig durch den EPC, die PC und den CRC belegt ist, steht dieser zur Speicherung der zweiten Kennung zur Verfügung. Vorteilhaft ist gemäß Anspruch 8 das der zweiten Kennung zugeordnete öffentliche Passwort in dem der ersten Kennung zugeordneten Speicherbereich gemeinsam mit der ersten Kennung und der zweiten Kennung gespeichert. Dies ist dann sinnvoll, wenn in dem Bereich noch Speicherplatz vorhanden ist.

In einer Weiterbildung des Verfahrens nach Anspruch 9 wird der Transponder dauerhaft deaktiviert, wenn durch die Leseeinheit ein Kill-Passwort an den Transponder übertragen wird, wobei das Kill-Passwort in einem ihm zugeordneten Speicherbereich des Transponders gespeichert wird. Die Übertragung des Kill-Passworts an den Transponder, üblicherweise in Verbindung mit einem zugehörigen Kommando, bewirkt, dass der Transponder dauerhaft deaktiviert wird. Ein lesender oder schreibender Zugriff auf ihn ist anschließend nicht mehr möglich. Dies wird beispielsweise aus Datenschutzgründen bei einer Verschrottung einer durch den Transponder gekennzeichneten Ware durchgeführt. In der ISO/IEC CD 18000-6C vom 07.01.2005 ist zur Passwortspeicherung ein eigener logischer Bereich im physikalischen Speicher des Transponders vorgesehen, wobei hier sowohl das Kill-Passwort als auch ein der ersten Kennung zugeordnetes Passwort abgespeichert werden. Vorteilhaft wird gemäß Anspruch 10 das der zweiten Kennung zugeordnete öffentliche Passwort in dem dem Kill-Passwort zugeordneten Speicherbereich gespeichert, wenn das Kill-Passwort deaktiviert ist. Auf diese Weise lässt sich eine gute Speicherausnutzung erzielen.

In einer Weiterbildung des Verfahrens nach Anspruch 11 wird das Kennungsauswahlkriterium als ein Bitwert in einem nichtflüchtigen Speicher des Transponders gespeichert. Hierbei kann beispielsweise ein logischer Bitwert „0" des Kennungsauswahlkriteriums eine deaktivierte zweite Kennung und ein logischer Bitwert „1" eine aktivierte zweite Kennung anzeigen.

In einer Weiterbildung des Verfahrens nach Anspruch 12 wird eine Anzahl von fehlerhaften Übertragungen des der zweiten Kennung zugeordnete Passworts im Transponder gezählt und beim Erreichen eines einstellbaren Zählerschwellwertes eine Taktversorgung des Transponders deaktiviert. Durch die Deaktivierung der Taktversorgung bzw. eines Oszillators wird der gesamte Transponder deaktiviert, d.h. ein Zugriff auf den Transponder ist nicht mehr möglich. Eine erneute Aktivierung des Transponders bzw. seiner Taktversorgung kann beispielsweise dadurch erreicht werden, dass er aus einem von der Leseeinheit emittierten elektromagnetischen Feld soweit entfernt wird, dass die dem Feld entnommene Leistung zu seiner Versorgung nicht mehr ausreicht. Wenn er anschließend wieder in das Feld eingebracht wird, findet ein so genannter Power-On-Reset statt, wodurch ein Zugriff auf den Transponder wieder möglich ist.

Vorteilhafte Ausführungsformen der Erfindung sind in den Zeichnungen dargestellt und werden nachfolgend beschrieben. Hierbei zeigen schematisch:

1 ein Blockschaltbild eines RFID-Systems mit einer Leseeinheit und einem Transponder,

2 ein Speicherabbild des in 1 gezeigten Transponders und

3 ein Ablaufschema eines Zugriffs der in 1 gezeigten Leseeinheit auf den Transponder.

1 zeigt schematisch ein Blockschaltbild eines RFID-Systems mit einer Leseeinheit LE und einem passiven rückstreubasierten Transponder TR, die jeweils derart konfiguriert sind, dass sie in ihren Grundfunktionen in Übereinstimmung mit der ISO/IEC CD 18000-6C vom 07.01.2005 arbeiten. Der Transponder TR umfasst neben weiteren, nicht gezeigten herkömmlichen Funktionseinheiten einen nichtflüchtigen Speicher SP und eine Kryptografieeinheit KE.

2 zeigt ein Speicherabbild des in 1 gezeigten Speichers SP des Transponders TR. Der physikalische Speicher SP ist in logische Bereiche LB1 bis LB3 aufgeteilt, die als Adressangabe bzw. Index bei einem Speicherzugriff der Leseeinheit LE auf den Transponder TR verwendet werden. Neben den gezeigten Bereichen können noch weitere, nicht gezeigte Bereiche vorgesehen sein.

Der logische Bereich LB1 dient zur Speicherung einer ersten Kennung K1 in Form eines elektronischen Produktcodes EPC, einer zweiten Kennung K2 und von Protokollsteuerbits PC. Der logische Bereich LB2 dient zur Speicherung eines der ersten Kennung K1 zugeordneten öffentlichen Passworts PW1 und eines so genannten Kill-Passworts PWK. Das Kill-Passwort PWK wird dazu verwendet, den Transponder TR aus Datenschutzgründen, beispielsweise bei einer Verschrottung einer durch den Transponder TR gekennzeichneten Ware, dauerhaft zu deaktivieren, d.h. Schreib- und Lesezugriffe permanent zu sperren. Der Bereich LB3, der einen Nutzerspeicher zur Speicherung nutzerspezifischer Daten bildet, beinhaltet ein Kennungsauswahlkriterium KA in Form eines einstellbaren Bitwertes. Wenn der Bitwert „1" beträgt ist, die erste Kennung ausgewählt, und wenn der Bitwert „0" beträgt, ist die zweite Kennung ausgewählt.

Ein der zweiten Kennung K2 zugeordnetes öffentliches Passwort PW2 kann im Bereich LB2 und/oder im Bereich LB1 gespeichert werden. In der gezeigten Ausführungsform ist das Passwort PW2 im Bereich LB1 gespeichert, da das Kill-Passwort PWK sowie eine zugehörige Kill-Funktionalität aktiviert sind. Wenn die Kill-Funktionalität jedoch deaktiviert ist, d.h. kein Kill-Passwort PWK benötigt wird, kann das Passwort PW2 auch im Speicherbereich LB2 des Kill-Passworts PWK gespeichert werden.

Die Kryptografieeinheit KE führt einen Kryptografiealgorithmus aus, welcher aus einem von dem Transponder TR empfangenen privaten Passwort eine Ausgangsbitfolge erzeugt, die dem zugehörigen öffentlichen Passwort PW1 bzw. PW2 entspricht. Bei einer Passwortoperation sendet die Leseeinheit LE zunächst das private Passwort an den Transponder TR, worauf dieser eine zugehörige Eingangsbitfolge für die Kryptografieeinheit KE erzeugt. Die Kryptografieeinheit KE wandelt die Eingangsbitfolge in eine Ausgangsbitfolge um, die mit dem öffentlichen, im Transponder TR gespeicherten Passwort PW1 bzw. PW2 verglichen wird. Nur wenn das öffentliche Passwort PW1 bzw. PW2 und die durch die Kryptografieeinheit KE erzeugte Ausgangsbitfolge übereinstimmen, ist die Passworteingabe erfolgreich und es erfolgt eine entsprechende Zugriffsfreigabe. Da der Kryptografiealgorithmus praktisch nicht umkehrbar ist, d.h. aus der Kenntnis des öffentlichen Passworts PW1 bzw. PW2 das zugehörige private Passwort nicht ermittelbar ist, ist ein derartiges Verfahren sicher gegenüber unbefugtem Zugriff. Die Kryptografieeinheit KE umfasst ein nicht gezeigtes, lineares rückgekoppeltes Schieberegister, wobei die Ausgangsbitfolge an einer bestimmten, einstellbaren Register-Stufe des Schieberegisters ansteht. Die Kryptografieeinheit KE ist deaktivierbar, d.h. öffentliches Passwort und privates Passwort stimmen dann überein. Dies ist beispielsweise beim Einsatz des Transponders in Systemen sinnvoll, die eine derartige Verschlüsselung nicht unterstützen.

Ein Aktivieren der öffentlichen Passwörter PW1 und PW2 kann beispielsweise dadurch erfolgen, dass diese an den Transponder TR übertragen und anschließend abgespeichert werden. Dies ist jedoch nur so lange möglich, bis erstmalig ein gültiges Passwort eingestellt bzw. übertragen wird. Wenn beispielsweise vereinbart wird, dass bei einem gültigen öffentlichen Passwort in binärer Darstellung mindestens ein Bit einen Wert "1" aufweisen muss, kann durch Senden eines gültigen Passworts und anschließendes Speichern gleichzeitig eine Aktivierung stattfinden. Nach einer Aktivierung kann eine Passwortänderung erst nach einer Eingabe des alten Passworts erfolgen. Zur Änderung des Passworts PW1 muss zusätzlich zuerst das private zum Passwort PW2 gehörende Passwort eingegeben werden, bevor das private zum Passwort PW1 gehörende Passwort eingegeben werden kann.

3 zeigt ein Ablaufschema eines Zugriffs der Leseeinheit LE auf den Transponder TR, wenn das Kennungsauswahlkriterium KA zur Auswahl der zweiten Kennung K2 eingestellt ist, d.h. wenn der zugehörige Bitwert „0" beträgt.

Der Zugriff wird durch ein Auswahlverfahren eingeleitet. Bei dem Auswahlverfahren handelt es sich um ein herkömmliches slotbasiertes ALOHA-Verfahren. Zur Einleitung des Auswahlverfahrens sendet die Leseeinheit LE ein so genanntes Query-Kommando an den Transponder TR. Wenn ein transponderinterner Slotzähler einen Wert null aufweist, sendet der Transponder TR eine intern erzeugte 16-bit-Zufallszahl RN16 an die Leseeinheit LE.

Die Zufallszahl RN16 wird durch die Leseeinheit LE empfangen. Die Leseeinheit sendet daraufhin eine Anfrage in Form eines so genannten ACK-Kommandos an den Transponder TR, das als ein Kommandoparameter die empfangene Zufallszahl RN16 enthält.

Der Transponder TR empfängt das ACK-Kommando sowie die darin enthaltene Zufallszahl und überprüft, ob die von ihm gesendete Zufallszahl RN16 mit der empfangenen Zufallszahl übereinstimmt. Stimmen die Zufallszahlen nicht überein, reagiert der Transponder TR nicht auf die Anfrage bzw. das empfangene ACK-Kommando. Bei Übereinstimmung überprüft der Transponder TR sein Kennungsauswahlkriterium KA und sendet, da im gezeigten Fall die zweite Kennung K2 ausgewählt ist, die zweite Kennung K2 und Protokollsteuerbits PC an die Leseeinheit LE. Die Protokollsteuerbits PC beinhalten Informationen bezüglich einer physikalischen Schicht der Übertragungsstrecke. Im gezeigten Ausführungsbeispiel sind die Protokollsteuerbits PC der ersten Kennung K1 zugeordnet. Es ist jedoch auch möglich einen weiteren Satz Protokollsteuerbits einzuführen, die ausschließlich der zweiten Kennung zugeordnet sind.

Die Leseeinheit LE empfängt die zweite Kennung K2 und die Protokollsteuerbits PC. Die zweite Kennung K2 dient als Referenz für ein der zweiten Kennung zugeordnetes privates Passwort PWP2. Wenn die Leseeinheit LE von einem berechtigten Benutzer betrieben wird und beispielsweise eine Datenbank mit einer Zuordnung „Kennung zu Passwort" enthält, bestimmt sie anhand der Datenbank und der zweiten Kennung das zugehörige, zum öffentlichen Passwort PW2 gehörende private Passwort PWP2.

Die Leseeinheit LE sendet nun ein Req_RN-Kommando, in dem als Parameter die zuvor empfangene Zufallszahl enthalten ist.

Der Transponder TR empfängt das Req_RN-Kommando sowie die darin enthaltene Zufallszahl. Wenn die empfangene Zufallszahl mit der Zufallszahl RN16 übereinstimmt, sendet der Transponder TR einen so genannten Handle HA an die Leseeinheit LE, den diese in nachfolgenden Zugriffen als Parameter verwendet, der eine bestehende, d.h. gültige Verbindung anzeigt. Wenn die Zufallszahlen nicht übereinstimmen, erfolgt keine Reaktion durch den Transponder. Das Senden des Req_RN-Kommandos und das Rücksenden des Handles HA ist optional.

Die Leseeinheit sendet nun ein so genanntes Access-Kommando, in dem als Parameter das private Passwort PWP2 und der Handle HA enthalten ist.

Der Transponder TR empfängt das Access-Kommando und überprüft zunächst, ob ein gültiger Handle HA empfangen wurde. Ist dies nicht der Fall, wird das empfangene Access-Kommando ignoriert. Liegt ein gültiger Handle HA vor, wird das empfangene private Passwort PWP2 in eine Bitfolge umgewandelt, die in die Kryptografieeinheit KE als Eingangsbitfolge eingegeben wird. Die Ausgangsbitfolge der Kryptografieeinheit KE wird mit dem im Bereich LB1 gespeicherten öffentlichen Passwort PW2 verglichen. Stimmen die Ausgangsbitfolge und das Passwort PW2 überein, sind ab diesem Zeitpunkt lesende und schreibende Zugriffe auf den Transponder TR möglich. Bei Nichtübereinstimmung ist kein lesender und schreibender Zugriff möglich. Dies verhindert, dass in einem Fall, wenn die Leseeinheit LE von einem unbefugten Benutzer betrieben wird, beispielsweise die erste Kennung K1 in Form einer Produktkennzeichnung ausgelesen werden kann.

Das Kennungsauswahlkriterium KA und das zweite Passwort PW2 bzw. PWP2 können von einem Benutzer während des Betriebs des Transponders TR verändert werden. Hierzu muss zunächst das alte private Passwort PWP2 zusammen mit einem Access-Kommando an den Transponder TR übertragen werden. Anschließend wird das neue Passwort bzw. ein neuer Wert des Kennungsauswahlkriteriums KA zusammen mit einem entsprechenden Kommando an den Transponder übertragen.

Das erste öffentliche Passwort PW1 bzw. ein ihm zugeordnetes privates Passwort PWP1 dient zur Verriegelung bzw. Entriegelung von Schreibzugriffen auf bestimmte Speicherbereiche des Transponders. Derartige Operationen werden in der Regel lediglich von einem privilegierten Personenkreis vorgenommen.

Die Anfrage zum Auslösen der Kennungsübertragung durch den Transponder TR wird in der gezeigten Ausführungsform in Form eines ACK-Kommandos an den Transponder TR übertragen. Wenn der Transponder alternativ oder zusätzlich auch nach dem so genannten Reader-talks-first-Prinzip arbeitet, kann eine Anfrage implizit auch dadurch bewirkt werden, dass der Transponder in einen Ansprechbereich der Leseeinheit LE eintritt und somit durch ein von der Leseeinheit emittiertes elektromagnetisches Feld mit Spannung versorgt wird.

Die Übertragung der privaten Passwörter PWP1 bzw. PWP2 kann optional verschlüsselt erfolgen. Hierzu kann beispielsweise die vom Transponder übertragene Zufallszahl RN16 verwendet werden, die von einem „Angreifer", der versucht den Datenverkehr abzuhören, aufgrund der durch den Backscatterbetrieb bedingten, minimalen Signalstärken des zurückgestreuten Signals praktisch nicht abgehört werden kann. Die Leseeinheit führt dann eine XOR-Operation mit dem zu sendenden privaten Passwort PWP1 bzw. PWP2 und der Zufallszahl RN16 durch. Eine Entschlüsselung erfolgt im Transponder wiederum ebenfalls durch Ausführen einer XOR-Operation mit dem empfangenen, verschlüsselten privaten Passwort PWP1 bzw. PWP2 und der Zufallszahl RN16.

Im gezeigten Ausführungsbeispiel wird zur Transponderselektion ein stochastisches Auswahlverfahren in Form des slotbasierten ALOHA-Verfahrens durchgeführt. Selbstverständlich kann stattdessen auch ein deterministisches Auswahlverfahren durchgeführt werden, an welches sich nach der Selektion die beschriebenen zugriffssteuernden Schritte anschließen können.

Das gezeigte Verfahren zur Zugriffssteuerung verhindert wirkungsvoll einen unbefugten Zugriff auf Speicherbereiche des Transponders TR, insbesondere auf die erste Kennung bzw. den EPC, und ist gleichzeitig kompatibel zu dem genannten ISO-Normungsvorschlag.


Anspruch[de]
Verfahren zur Zugriffssteuerung auf einen, insbesondere passiven und/oder rückstreubasierten, Transponder (TR), bei dem

– eine erste Kennung (K1) im Transponder (TR) gespeichert wird, die auf zugehörige Anfrage von einer Leseeinheit (LE) an diese übertragen wird, wobei der ersten Kennung (K1) ein Passwort (PWP1) zugeordnet ist und eine Änderung der ersten Kennung (K1) und/oder eine Freigabe oder eine Verriegelung von Speicherbereichen für Schreib- und/oder Lesezugriffe des Transponders nur dann durchführbar ist, nachdem das der ersten Kennung zugeordnete Passwort (PWP1) an den Transponder (TR) übertragen wird,

– im Transponder mindestens eine zweite Kennung (K2) gespeichert wird, wobei die zweite Kennung als Zeiger auf ein der zweiten Kennung (K2) zugeordnetes Passwort (PWP2) dient,

– im Transponder ein Kennungsauswahlkriterium (KA) gespeichert wird,

– bei einer Anfrage durch die Leseeinheit in Abhängigkeit von dem Kennungsauswahlkriterium (KA) entweder die erste Kennung (K1) oder die mindestens eine zweite Kennung (K2) übertragen wird und

– wenn die zweite Kennung (K2) übertragen wird, ein Zugriff auf den Transponder, insbesondere auf die erste Kennung (K1), nur dann durch den Transponder freigegeben wird, wenn von der Leseeinheit (LE) das der zweiten Kennung (K2) zugeordnete Passwort (PWP2) an den Transponder übertragen wird.
Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die erste Kennung (K1, EPC) eine durch den Transponder (TR) markierte Ware abbildet. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die zweite Kennung (K2) und/oder das Kennungsauswahlkriterium (KA) während des Betriebs des Transponders einstellbar sind, nachdem von der Leseeinheit (LE) das der zweiten Kennung (K2) zugeordnete Passwort (PWP2) an den Transponder (TR) übertragen wird. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das der ersten Kennung (K1) zugeordnete Passwort (PWP1) und/oder das der zweiten Kennung (K2) zugeordnete Passwort (PWP2) jeweils einem zugehörigen öffentlichen Passwort (PW1, PW2) zugeordnet sind, wobei das jeweilige Passwort (PWP1, PWP2) und das zugehörige öffentliche Passwort (PW1, PW2) über einen Kryptografiealgorithmus eineindeutig einander zugeordnet sind. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass mindestens ein Parameter des Kryptografiealgorithmus in einem wiederbeschreibbaren, nichtflüchtigen Speicher des Transponders gespeichert wird. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Kennung (K1), die zweite Kennung (K2), ein der ersten Kennung zugeordnetes öffentliches Passwort (PW1) und/oder das der zweiten Kennung zugeordnete öffentliche Passwort (PW2) in einem nichtflüchtigen Speicher (SP) des Transponders gespeichert werden. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die zweite Kennung in einem der ersten Kennung zugeordneten Speicherbereich (LB1) gemeinsam mit der ersten Kennung (K1) gespeichert ist. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass das der zweiten Kennung (K2) zugeordnete öffentliche Passwort (PW2) in dem der ersten Kennung (K1) zugeordneten Speicherbereich (LB1) gemeinsam mit der ersten Kennung (K1) und der zweiten Kennung (K2) gespeichert ist. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Transponder (TR) dauerhaft deaktiviert wird, wenn durch die Leseeinheit (LE) ein Kill-Passwort (PWK) an den Transponder (TR) übertragen wird, wobei das Kill-Passwort (PWK) in einem ihm zugeordneten Speicherbereich (LB2) des Transponders (TR) gespeichert wird. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass das der zweiten Kennung (K2) zugeordnete öffentliche Passwort (PW2) in dem dem Kill-Passwort zugeordneten Speicherbereich (LB2) gespeichert wird, wenn das Kill-Passwort deaktiviert ist. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Kennungsauswahlkriterium (KA) als ein Bitwert in einem nichtflüchtigen Speicher (SP, LB3) des Transponders (TR) gespeichert wird. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Anzahl von fehlerhaften Übertragungen des der zweiten Kennung (K2) zugeordneten Passworts (PWP2) im Transponder (TR) gezählt wird und beim Erreichen eines einstellbaren Zählerschwellwertes eine Taktversorgung des Transponders deaktiviert wird.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com