DE102013201730A1 - Bereitstellung von Positionsdaten mittels eines Distance-Bounding Protokolls - Google Patents

Bereitstellung von Positionsdaten mittels eines Distance-Bounding Protokolls Download PDF

Info

Publication number
DE102013201730A1
DE102013201730A1 DE201310201730 DE102013201730A DE102013201730A1 DE 102013201730 A1 DE102013201730 A1 DE 102013201730A1 DE 201310201730 DE201310201730 DE 201310201730 DE 102013201730 A DE102013201730 A DE 102013201730A DE 102013201730 A1 DE102013201730 A1 DE 102013201730A1
Authority
DE
Germany
Prior art keywords
smart card
position data
distance
localization unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE201310201730
Other languages
English (en)
Inventor
Frank Morgner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bundesdruckerei GmbH
Original Assignee
Bundesdruckerei GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bundesdruckerei GmbH filed Critical Bundesdruckerei GmbH
Priority to DE201310201730 priority Critical patent/DE102013201730A1/de
Priority to PCT/EP2014/051295 priority patent/WO2014114697A1/de
Priority to PL14701962T priority patent/PL2949096T3/pl
Priority to EP14701962.4A priority patent/EP2949096B1/de
Priority to EP14701357.7A priority patent/EP2949095B1/de
Priority to CN201480005740.2A priority patent/CN104937900B/zh
Priority to ES14701962.4T priority patent/ES2613677T3/es
Priority to US14/762,273 priority patent/US9648453B2/en
Priority to PCT/EP2014/051297 priority patent/WO2014114699A1/de
Publication of DE102013201730A1 publication Critical patent/DE102013201730A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S5/00Position-fixing by co-ordinating two or more direction or position line determinations; Position-fixing by co-ordinating two or more distance determinations
    • G01S5/0009Transmission of position information to remote stations
    • G01S5/0045Transmission from base station to mobile station

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Position Fixing By Use Of Radio Waves (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Bereitstellung von Positionsdaten an eine Chipkarte (102), mit: – Empfang (202) oder Ermittlung von Positionsdaten einer Lokalisierungseinheit (130) durch die Lokalisierungseinheit; – Übermittlung (204) der Positionsdaten von der Lokalisierungseinheit an die Chipkarte über eine kontaktlose Schnittstelle (118) unter Verwendung eines kryptographischen Protokolls; – Ausführung (206) eines Distance-Bounding Protokolls zwischen der Chipkarte und der Lokalisierungseinheit, – nur im Falle eines erfolgreichen Nachweises dass sich die Lokalisationseinheit innerhalb des räumlichen Maximalabstandes von der Chipkarte befindet, Ausführung (210) einer Chipkartenfunktion (110), wobei die Chipkartenfunktion die übermittelten Positionsdaten als Positionsdaten, die die aktuelle Position der Chipkarte angeben, verwendet.

Description

  • Die Erfindung betrifft ein Verfahren zur sicheren Bereitstellung von Positionsdaten an eine Chipkarte mittels eines Distance-Bounding Protokolls sowie eine entsprechende Chipkarte, eine entsprechende Lokalisierungseinheit und ein Computerprogrammprodukt.
  • Im Stand der Technik sind verschiedene Systeme zur Geolokalisation beweglicher Gegenstände bzw. zur Bereitstellung von Geolokalisationsdaten bekannt. Die derzeit verwendeten Systeme haben jedoch den Nachteil, dass beispielsweise GPS Informationen von Sensoren stammen, die sich nicht unter der Kontrolle der Chip-Informationen von Sensoren stammen, die sich nicht unter der Kontrolle der Chipkarte befinden. Die Geolokalisationsdaten sind also nicht verlässlich, denn sie könnten von einem anderen GPS, weiter entfernt gelegenen Sensor stammen oder einem Dritten gefälscht worden sein (”man in the middle attack”). Die derzeit verwendeten Geolokalisationssysteme sind also nicht vor Fälschungen der übermittelten Positionsdaten geschützt bzw. davor, dass ein Signal eines „betrügerischen” Sensors, der falsche Positionsangaben übermittelt, das Signal des eigentlich zur Verwendung vorgesehenen Sensors überlagert.
  • Demgegenüber liegt der Erfindung die Aufgabe zu Grunde, ein verbessertes Verfahren zur Bereitstellung von Positionsdaten an einen Chip sowie einen entsprechenden Chip, eine entsprechende Lokalisierungseinheit und ein entsprechendes Computerprogrammprodukt bereitzustellen.
  • Diese Aufgabe wird jeweils mit den Merkmalen der unabhängigen Patentansprüche gelöst. Ausführungsformen der Erfindung sind in den abhängigen Patentansprüchen angegeben. Sofern nicht ausdrücklich Gegenteiliges zum Ausdruck gebracht wird, können Ausführungsformen der Erfindung frei miteinander kombiniert werden.
  • Unter einem ”Chip” oder ”Microchip” wird im Folgenden ein integrierter Schaltkreis verstanden, der mehrere elektronische Bauteile bzw. Schaltungselemente wie Transistoren, Widerstände usw. enthalten kann. Je nach Ausführungsform kann ein Chip Bestandteil von Computern, Mobilfunkgeräten, insbesondere Smartphones, Digitalkameras oder anderer, vorzugsweise portabler, Geräte sein. Nach manchen Ausführungsformen ist der Chip Bestandteil eines Dokumentes, insbesondere eines Sicherheitsdokumentes.
  • Als „Chipkarte” oder ”Dokument” wird im Folgenden jeglicher Datenträger bezeichnet, welcher einen Mikrochip und eine mit diesem verbundene Antenne aufweist. Vorzugsweise kann die Chipkarte mit einem geeigneten Lesegerät Daten austauschen. Bei der Chipkarte kann es sich um ein Wert- oder Sicherheitsdokument, wie zum Beispiel um ein ID-Dokument, handeln. Ein ID-Dokument kann z. B. ein Ausweisdokument, wie zum Beispiel einen Personalausweis, Reisepass, Führerschein, Fahrzeugbrief, Fahrzeugschein oder Firmenausweis, sein. Bei dem Wertdokument kann es sich z. B. um ein Zahlungsmittel, wie zum Beispiel eine Banknote oder eine Kreditkarte handeln. Das Dokument kann auch ein sonstiger Berechtigungsausweis, zum Beispiel eine Eintrittskarte, ein Fahrschein, insbesondere ein Electronic-Ticket, einen Frachtbrief, ein Visum oder dergleichen, sein. Der Dokumentkörper des Dokuments kann buchartig ausgebildet sein, wie dies zum Beispiel bei einem Reisepass der Fall sein kann.
  • Unter einer Chipkarte wird auch ein sogenanntes Funketikett verstanden, welches auch als RFID-Tag oder RFID-Label bezeichnet wird. Die Chipkarte beinhaltet vorzugsweise eine Schnittstelle zum kontaktlosen Datenaustausch mit dem Lesegerät. Je nach Ausführungsform kann die Chipkarte zum Beispiel kunststoff- und/oder papierbasiert sein.
  • Unter einem ”Lesegerät” wird im Folgenden ein Datenverarbeitungsgerät verstanden, welches mit der Chipkarte Daten austauschen kann um die Chipkarte zu authentifizieren bzw. um der Chipkarte zu ermöglichen, sich bei dem Lesegerät zu authentisieren. Nach Ausführungsformen kann das „Lesegerät” eine kryptografische Funktion zur Signierung und/oder Authentifizierung gegenüber der Chipkarte, eine Bezahlfunktion oder eine andere Funktion zur Durchführung einer Finanztransaktion, eine Ausweisfunktion, insbesondere mit Bildwiedergabe auf einer Anzeigevorrichtung, aufweisen. Insbesondere kann das Lesegerät Funktionalitäten implementieren, wie sie für Lesegeräte maschinenlesbarer Reisedokumente (MRTD) bekannt sind, insbesondere kryptografische Protokolle, wie zum Beispiel Basic Access Control (BAC) und/oder Extended Access Control (EAC). Nach manchen Ausführungsformen kann das Lesegerät dazu ausgebildet sein, Daten von dem Dokument zu lesen.
  • In manchen Anwendungsszenarien ist es notwendig, sicherzustellen, dass ausschließlich ein berechtigtes Lesegerät auf die in der Chipkarte gespeicherten Daten zugreifen kann, so dass sich das Lesegerät vor dem Auslesen dieser Daten gegenüber der Chipkarte authentisieren muss. Vorzugsweise beinhaltet die Authentifizierung den Nachweis, dass der Eigentümer der Chipkarte die Chipkarte dem Lesegerät willentlich zum Auslesen der Daten verfügbar gemacht hat. Dies kann zum Beispiel dadurch geschehen, dass das Lesegerät Daten, die auf der Oberfläche der Chipkarte sichtbar und vom Lesegerät optisch erfasst wurden, an die Chipkarte übermittelt werden als Nachweis, dass der Nutzer die Chipkarte (und die darauf befindlichen optisch erfassbaren Daten) dem Lesegerät willentlich gezeigt hat. Alternativ kann auch ein vom Nutzer in das Lesegerät eingegebenes Geheimnis zur Authentifizierung des Lesegerätes gegenüber der Chipkarte verwendet werden.
  • Unter „Positionsdaten” sind im Folgenden jegliche Daten zu verstehen, welche eine Verortung (Lokalisierung) eines bestimmten Gegenstandes (insb. des Sensors der die Positionsdaten ermittelt hat) in Bezug auf einen definierten Fixpunkt bzw. ein definiertes Bezugssystem ermöglichen. Insbesondere kann es sich bei dem Positionsdaten um Daten handeln, welche mittels Funk- und Satellitenordnung gewonnen wurden, also insbesondere um GPS-Daten (Global Positioning System), aber auch um Daten, die mittels geodätischer Messmethoden (Lateration, Angulation, Polarmethode, etc.) oder sonstiger Verfahren (optische Geländeerkennung, Echoortung etc.) gewonnen wurden. Die Positionsdaten können beispielsweise als planare Koordinaten, kubische Koordinaten, Polar Koordinaten oder geographische, natürliche Koordinaten oder in einem applikationsspezifischen Format, z. B. als Orts- oder Netzkennung, spezifiziert sein. Es kann sich bei den Positionsdaten also um Kennungen von Netzwerken oder sonstigen Gegenständen oder Signalsendern handeln, welche einzeln oder in Kombination eine Positionsbestimmung des Sensors ermöglichen.
  • Unter einer „Lokalisierungseinheit” wird im Folgenden ein Gerät oder eine Gerätekomponente verstanden, welche zur automatischen Sensierung der eigenen Position fähig ist. Die eigene Position ist in Form von Positionsdaten spezifiziert und kann von der Lokalisierungseinheit z. B. automatisch in regelmäßigen Abständen und/oder nach Erhalt einer Anfrage von einem anderen Gerät, z. B. von einer Chipkarte, ermittelt und an dieses gesendet werden.
  • Unter einer Chipkarte, die von einer Lokalisierungseinheit „räumlich getrennt” ist, wird im Folgenden eine Chipkarte verstanden, welche die Lokalisierungseinheit nicht als eine ihrer Komponenten beinhaltet. Die räumliche Trennung kann z. B. mindestens 10 cm, nach weiteren Ausführungsformen über 100 cm betragen Unter der Übermittlung von Daten unter Verwendung eines kryptographischen Protokolls wird im Folgenden eine Übertragung der Daten in verschlüsselter Form, z. B. mittels asymmetrischer oder symmetrischer Schlüssel, verstanden.
  • ”Distance-Bounding Protokolle” sind eine Klasse kryptographischer Protokolle, die es einem Prüfer ermöglichen, einen physischen Maximalabstand zu einem Geprüften festzulegen und zu prüfen, ob der der aktuelle physische Abstand zwischen Prüfer und Geprüften geringer als dieser Maximalabstand ist. Sie beruhen darauf, dass der Prüfer eine Challenge an den Geprüften sendet und anhand der Zeitspanne bis zum Empfang einer Antwort von dem Geprüften errechnen kann, wie weit der Geprüfte von dem Prüfer maximal physisch entfernt liegen kann. In diese Berechnung gehen bekannte Größen wie etwa die Geschwindigkeit der Datenübertragung bei der jeweils genutzten Datenübertragungstechnologie (Lichtgeschwindigkeit bei Funk, Schallgeschwindigkeit bei Ultraschall) und vorzugsweise auch die Prozessierungszeit für die Generierung und für den Versand der Antwort ein. Der Prüfer kann also anhand der Dauer bis zum Empfang der Antwort die Entfernung des Geprüften feststellen und damit auch, ob dieser sich innerhalb eines vordefinierten Maximalabstandes befindet oder nicht. Bei einem Distance-Bounding Protokoll kann es sich zum Beispiel um ein Challenge-Response Verfahren handeln. Beispiele für Distance-Bounding Protokolle sind z. B. in Gerhard Hancke, Markus Kuhn: „An RFID distance-bounding protocol", Proceedings SecureComm 2005, und in Stefan Brands, David Chaum: „Distance-bounding protocols (extended abstract)", Proceedings Eurocrypt '93, aufgeführt.
  • Eine ”Authentifizierung” einer Lokalisierungseinheit gegenüber einer Chipkarte besteht aus der Erbringung eines Nachweises (verifizierbaren Datums) einer behaupteten Eigenschaft der Lokalisierungseinheit gegenüber der Chipkarte („Authentisierung”) in Kombination mit der Prüfung dieses Nachweises und Akzeptanz der Echtheit der behaupteten Eigenschaft durch die Chipkarte (Authentifizierung im engeren Sinne). Während eine Authentisierung also sich auf Schritte bezieht, die von der Lokalisierungseinheit durchzuführen sind, bezieht sich der Begriff der ”Authentifizierung im engeren Sinne” auf Schritte, die von der Chipkarte durchzuführen sind, „Authentifizierung” im Allgemeinen auf den gesamten Prozess.
  • In einem Aspekt betrifft die Erfindung ein Verfahren zur Bereitstellung von Positionsdaten an eine Chipkarte. Das Verfahren umfasst:
    • – Empfang oder Ermittlung von Positionsdaten einer Lokalisierungseinheit durch die Lokalisierungseinheit, wobei die Lokalisierungseinheit von der Chipkarte räumlich getrennt ist; Bei der Lokalisierungseinheit kann es sich z. B. um einen GPS Sensor handeln oder z. B. um ein Gerät, welches in einem Fahrzeug, z. B. Bus oder Bahn, integriert ist und einen Identifikator einer aktuellen Haltestelle von z. B. einer zentralen Verkehrsplanungsstelle, dem Fahrzeugführer oder einer anderen Instanz empfängt;
    • – Übermittlung der Positionsdaten von der Lokalisierungseinheit an die Chipkarte über eine kontaktlose Schnittstelle unter Verwendung eines kryptographischen Protokolls;
    • – Ausführung eines Distance-Bounding Protokolls zwischen der Chipkarte und der Lokalisierungseinheit, wobei das Distance-Bounding Protokoll den Nachweis durch einen Geprüften, dass dieser sich innerhalb eines räumlichen Maximalabstandes von einem Prüfer befindet, beinhaltet;
    • – nur im Falle eines erfolgreichen Nachweises dass sich die Lokalisationseinheit innerhalb des räumlichen Maximalabstandes von der Chipkarte befindet, Ausführung einer Chipkartenfunktion, wobei die Chipkartenfunktion die übermittelten Positionsdaten als Positionsdaten, die die aktuelle Position der Chipkarte angeben, verwendet.
  • Das Verfahren kann vorteilhaft sein, da die übertragenen Positionsdaten auf besonders sichere Art und Weise übertragen werden können. Durch die Verwendung eines kryptographischen Protokolls wird das Auslesen bzw. eine gezielte Manipulation der übertragenen Daten verhindert. Das Distance-Bounding Protokoll stellt sicher, dass die empfangenen Positionsdaten auch wirklich von einer Lokalisierungseinheit stammen, deren Entfernung von der Chipkarte kleiner oder gleich dem Maximalabstand ist. Es ist also nicht möglich, dass ein „Störsender”, der in größerer Entfernung steht und dies z. B. mit einer höheren Signalstärke kompensiert, die Chipkarte durch Übermittlung falscher Positionsdaten in ihrer Funktion manipuliert. Die Verwendung eines Distance-Bounding Protokolls zur Sicherstellung der räumlichen Nähe und damit der Vertrauenswürdigkeit der Lokalisierungseinheit ist auch vorteilhaft, da die Sicherstellung, dass die Positionsdaten von einer nahegelegenen Lokalisierungseinheit stammen, nicht erfordert, dass Chipkarte und Lokalisierungseinheit komplexe, herstellerspezifische Authentifizierungsverfahren durchlaufen müssen und hierfür entsprechende Authentisierungsdaten an einem oder beiden der Geräte hinterlegt werden müssen. So kann die Lokalisierungseinheit von einer Vielzahl Chipkarten unterschiedlicher Hersteller, Funktionen und chipkartenbezogenen Dienstanbietern genutzt werden. Es ist nicht notwendig, dass z. B. für Bezahl-Chipkarten und Mautsystem-Chipkarten jeweils eine eigene speziell auf die jeweilige Chipkarte angepasste Lokalisierungseinheit aufgestellt wird. Voraussetzung ist lediglich, dass die Chipkarte und die Lokalisierungseinheit ein Distance-Bounding-Protokoll Interaktiv durchführen und Positionsdaten austauschen können.
  • Nach Ausführungsformen wird der beim Distance-Bounding Protokoll geprüfte Maximalabstand bei Gelegenheit der Herstellung der Chipkarte, bei der nutzerspezifischen Initialisierung der Chipkarte oder zu einem beliebigen späteren Zeitpunkt durch einen Nutzer, einem Chipkartenprogramm oder dem Herausgeber der Chipkarte konfiguriert. Je nach Anwendungsszenario und Signalstärke der Lokalisierungseinheit kann der Maximalabstand ein oder mehrere Zentimeter, aber auch ein bis mehrere Meter betragen.
  • Nach Ausführungsformen ist die Chipkartekarte eine SIM Karte oder eine Chipkartekarte eines Sicherheitsdokuments. Die Lokalisierungseinheit kann die Positionsdaten beispielsweise mittels GPS, LPS, WLAN, Ultraschall, Funk- oder Bluetooth Technologie ermitteln. Das Distance-Bounding Protokoll kann z. B. auf Ultraschall oder elektromagnetischer Strahlung, insbesondere Mikrowellen, Funkwellen, sichtbarem Licht oder Infrarotlicht, beruhen.
  • Nach Ausführungsformen agiert die Chipkarte als der Prüfer und die Lokalisierungseinheit als der Geprüfte. Dies kann vorteilhaft sein, da der Prüfer, in diesem Fall also die Chipkarte, prüft ob der Sender (die Lokalisierungseinheit) sich innerhalb eines bestimmten Maximalabstandes befindet. Durch entsprechende Konfiguration des geprüften Maximalabstandes in einem Speicher der Chipkarte ist es also möglich, ein und dieselbe Lokalisierungseinheit für verschiedene Anwendungsszenarien einzusetzen, die unterschiedliche maximale Abstände erfordern.
  • Beispielsweise könnte eine Chipkarte, welche als Zahlungsmittel für die Nutzung öffentlicher Verkehrsmittel verwendet wird, eine Konfigurationsdatei mit einem geprüften Maximalabstand beinhalten welcher hinrechend klein ist, um verschiedene Haltestellen auflösen zu können. Der geprüfte Maximalabstand kann also mehrere Meter, gegebenenfalls auch mehrere 100 m, betragen. Falls die Chipkarte in Kombination mit der Lokalisierungseinheit jedoch verwendet werden soll um sich beispielsweise an einer Kasse auszuweisen und sein Konto zur Zahlung freizuschalten ist eine höhere Auflösung erforderlich um eine Verwechslung mit anderen Personen in der Warteschlange auszuschließen. Wäre die Lokalisierungseinheit der Prüfer/Verifizierer, wäre es erheblich schwieriger bis unmöglich, eine Lokalisierungseinheit für verschiedene Chiptypen und Anwendungsszenarien zu nutzen.
  • Nach Ausführungsformen wird der Maximalabstand durch das Distance-Bounding Protokoll vorgegeben. Nach einigen Ausführungsformen ist der Maximalabstand in der Chipkarte in einer Konfiguration gespeichert und kann vom Nutzer und/oder verschiedenen Anwendungen der Chipkarte editiert bzw. auf einen anderen Wert gesetzt werden. Dies kann vorteilhaft sein weil die Chipkarte durch Umkonfiguration für eine Vielzahl von Anwendungsszenarien verwendet werden kann.
  • Nach Ausführungsformen umfasst das Verfahren ferner eine Authentifizierung der Lokalisierungseinheit gegenüber der Chipkarte. Eine erfolgreiche Authentifizierung ist dabei für die Ausführung der Chipkartenfunktion erforderlich. Die Authentifizierung kann beispielsweise mittels eines kryptographischen Protokolls wie etwa PACE erfolgen. Die Authentifizierung kann auch implizit erfolgen durch die Durchführung des Distance-Bounding Protokolls und die Feststellung dass die Lokalisierungseinheit gleich oder weniger weit von der Chipkarte entfernt befindet als der Maximalabstand. Eine „erfolgreiche” Durchführung des Distance-Bounding Protokolls bewirkt also eine Authentifizierung der Lokalisierungseinheit gegenüber der Chipkarte. Dies kann das Verfahren beschleunigen, da bereits die erfolgreiche Durchführung des Distance-Bounding-Protokolls zur Authentifizierung dient und keine weiteren Datenaustauschschritte zwischen Chipkarte und Lokalisierungseinheit erforderlich sind.
  • Nach Ausführungsformen beruht das Distance-Bounding Protokoll auf einem Challenge-Response Protokoll.
  • Nach Ausführungsformen besitzt sowohl die Chipkarte als auch die Lokalisierungseinheit über einen geschützten Speicher in welchem ein oder mehrere kryptographische Schlüssel gespeichert sind. Der geschützte Speicher schützt die Schlüssel vor unberechtigtem Auslesen. Bei den Schlüsseln kann es sich um symmetrische oder asymmetrische Schlüssel, insbesondere um private Schlüssel eines asymmetrischen Schlüsselpaares handeln. Die besagten Schlüssel werden verwendet um die Positionsdaten basierend auf dem kryptographischen Protokoll, also verschlüsselt, zu übertragen. Auch die für die Durchführung des Distance-Bounding Protokolls benötigten Schlüssel können auf den geschützten Speichern gespeichert sein. Vorzugsweise entspricht das Sicherheitsniveau des Speichers der Chipkarte dem Sicherheitsniveau des Speichers der Lokalisierungseinheit.
  • Nach Ausführungsformen sieht die Ausführung des Distance-Bounding Protokolls die Verwendung zumindest eines ersten und eines zweiten kryptographischen Schlüssels vor. Der erste kryptographische Schlüssel ist in einem ersten geschützten Speichermedium der Chipkarte sicher gespeichert. Der zweite kryptographische Schlüssel ist auf einem zweiten geschützten Speichermedium der Lokalisierungseinheit gespeichert.
  • Nach Ausführungsformen umfassen die Positionsdaten eine Vielzahl von Ortskennungen, welche in ihrer Gesamtheit einen Ort, an dem sich die Lokalisationseinheit befindet, identifizierten. Alternativ dazu umfassen die Positionsdaten eine Ortskennung, welche einen Ort, an dem sich die Lokalisationseinheit befindet, identifiziert. Ein derartiger Ort kann beispielsweise ein geographisches Gebiet, z. B. eine Stadt, ein Stadtbezirk, ein Gebäude, ein Raum innerhalb eines Gebäudes oder auch ein Raumbereich sein.
  • Nach Ausführungsformen stellt jede Ortskennung der Vielzahl an Ortskennungen eine Netzkennung dar. Jede Netzkennung identifiziert ein Datenkommunikationsnetz, in dessen Sendebereich sich die Lokalisationseinheit befindet, welche diese Positionsdaten ermittelt. Bei dem Datenkommunikationsnetz kann es sich beispielsweise um WLAN-Netze privater Haushalte und/oder öffentliche Institutionen handeln. Alternativ dazu kann es sich auch um die Sendebereiche verschiedener Radiosender handeln, deren Netzkennungen die Lokalisierungseinheit erfassen kann. Beispielsweise ermöglicht das Radio Data System (RDS) die Übermittlung von Zusatzinformationen über das Radionetz. Diese Zusatzinformationen können insbesondere den Programme Service Name (PS) beinhalten, der den Sendernamen in Form von bis zu 8 alphanumerischen Zeichen an gibt. Der individuell vergebene WLAN-Netz-Name bzw. der PS Sendername kann hier jeweils als Netzkennung dienen.
  • In Kombination mit einer geographischen Karte, in welchem die Gebiete der einzelnen Netze einschließlich deren Überlappungsbereiche enthalten sind, ist es also möglich anhand von ein oder mehreren Netzkennungen einen bestimmten geographischen Ort bzw. ein geographisches Gebiet zu erkennen und dessen Ortskennung zu ermitteln. Die Karte kann dabei auf der Lokalisierungseinheit oder der Chipkarte gespeichert sein oder auf einem entfernten Computer, auf den die Chipkarte bzw. Lokalisierungseinheit Zugriff hat. Alternativ zur Karte kann auch eine Zuordnungstabelle verwendet werden, welcher jeder Kombination von Netzkennungen eine bestimmte Ortskennung zuweist. Eine Ortskennung ist dabei ein Identifikator eines bestimmten Ortes bzw. Gebietes.
  • Nach Ausführungsformen umfasst das Verfahren ferner eine Ermittlung der einen Ortskennung anhand der Vielzahl von Ortskennungen. Die Ermittlung kann auf Seiten der Chipkarte mithilfe einer Karte oder einer Zuordnungstabelle erfolgen. Alternativ dazu kann die Ermittlung auch durch die Lokalisierungseinheit erfolgen, wobei die Lokalisierungseinheit zumindest Lesezugriff die geographische Karte bzw. die Zuordnungstabelle hat, die in einem Speicher gespeichert sind, der operativ an die Lokalisierungseinheit gekoppelt ist. Der Ausdruck „operativ an eine Lokalisierungseinheit gekoppelt” bezeichnet einen Speichermedium, welches integraler Bestandteil der Lokalisierungseinheit ist oder welches über ein Netzwerk mit der Lokalisierungseinheit verbunden ist. Die Lokalisierungseinheit hat dabei zumindest Lesezugriff auf die Daten des Speichermediums.
  • Beispielsweise kann die Ermittlung der Ortskennung aus mehreren Netzkennungen folgendermaßen erfolgen: die Lokalisierungseinheit befindet sich in einem Gebiet, innerhalb welchem Radiosignale der Sender S1, S4 und S5 empfangen werden können mit einer Signalstärke, die über einem vordefinierten Schwellenwert liegt. Signale anderer Radiosender wie etwa S3 oder S455 werden in diesem Gebiet jedoch nicht bzw. nicht in hinreichender Stärke empfangen. Die Lokalisierungseinheit kann eine geographische Karte oder eine Zuordnungstabelle gespeichert haben, welche einer bestimmten Kombination an Netzkennungen {S1, S4 und S5} genau eine Ortskennung („Gebiet Nr. 388”) zuordnet. Diese Ortskennung wird mit Hilfe der Karte bzw. der Zuordnungstabelle durch die Lokalisierungseinheit ermittelt und als die Positionsdaten an die Chipkarte übermittelt. Alternativ kann die geographische Karte bzw. die Zuordnungstabelle auch auf einem Speichermedium befinden, welcher an einen entfernten Server operativ gekoppelt ist. In diesem Fall sendet die Lokalisierungseinheit eine Anfrage an den Server, die die drei Netzkennungen S1, S4 und S5 enthält. Die Anfrage kann über ein Netzwerk, z. B. das Internet gesendet werden. Der Server ermittelt daraus unter Verwendung der Karte bzw. der Zuordnungstabelle die Ortskennung und gibt diese an die Lokalisierungseinheit zurück. Die Lokalisierungseinheit übermittelt dann die Ortskennung an die Chipkarte als die Positionsdaten. Alternativ kann die Lokalisierungseinheit auch die ermittelten Netzkennungen als die Positionsdaten an die Chipkarte senden, sofern die Chipkarte dazu in der Lage ist, diese zur Bestimmung einer Ortskennung (alleine oder in Interoperation mit einem entfernten Server) zu ermitteln.
  • Alternativ wird die eine Ortskennung unter Anwendung eines robusten Abbildungsalgorithmus ermittelt. Ein robuster Abbildungsalgorithmus ist z. B. ein robuster Hashalgorithmus, auf „kontinuierliche/fuzzy” Ortsangaben. GPS Daten sind z. B. Positionsdaten mit einer bestimmten, begrenzten Genauigkeit. Die gleiche Lokalisierungseinheit kann bei zweimaliger Bestimmung ihrer Position daher zwei verschiedene GPS Positionsdaten liefern, welche geringfügig voneinander abweichen. Durch Verwendung eines robusten Abbildungsalgorithmus, z. B. auch in Form einer Zuweisung der Ortskennungen nicht zu einem bestimmten GPS Datenwert sondern zu einem Bereich an GPS Daten, kann eine Ableitung einer eindeutigen Ortskennung ermöglicht werden.
  • Nach Ausführungsformen beinhaltet die Durchführung der Chipkartenfunktion eine oder mehrere der folgenden Schritte:
    • – Freigabe des geschützten Speichermediums der Chipkarte zur Ermöglichung des Auslesens geschützter Daten durch die Lokalisierungseinheit oder durch ein anderes datenverarbeitendes System; hierbei kann es sich beispielsweise um personenbezogene Daten des Nutzers handeln, für welchen die Karte personalisiert wurde, also etwa Adressdaten, Altersangaben, Bankkonten oder ähnliches; und/oder
    • – Aufzeichnung der Positionsdaten zum Zwecke des Protokollierens einer Bewegungsspur der Chipkarte; diese Protokolle bzw. Bewegungsspuren können für verschiedene Einsatzgebiete wie etwa Mautsysteme, für die Protokollierung von Wanderstrecken oder Fahrtwegen etc. verwendet werden; und/oder
    • – Durchführung einer elektronischen Transaktion, insbesondere einer Banktransaktion; dies kann z. B. eine Zahlung von Waren an einer Kasse, einen Eintritt bei einer Veranstaltung etc. umfassen; und/oder
    • – elektronischer Fahrscheinkauf oder automatische Erhebung einer Maut basierend auf den Positionsdaten; und/oder
    • – Freigabe einer blockierten Funktionalität einer Hardware, welche mit der Chipkarte operational verbunden ist. Bei der Hardwarefunktionalität kann es sich insbesondere handeln um:
    • • einen Entsicherungsmechanismus einer Schusswaffe; dies kann vorteilhaft sein, da eine Waffe dann z. B. nur in der unmittelbaren Nähe von ein oder mehreren Schießständen, die mit einer speziellen Lokalisierungseinheit ausgestattet sind, einsatzfähig sind; die Möglichkeiten eines Missbrauchs insb. privat genutzter Handfeuerwaffen kann so deutlich reduziert werden;
    • • um den Auslösemechanismus einer Explosionsvorrichtung;
    • • einen Mechanismus zum Mischen von Flüssigkeiten, und/oder Substanzen; dies kann z. B. sicherstellen, dass gefährliche, etwa zu Explosionen neigende Substanzen, nur innerhalb eines besonders gesicherten Bereiches in der Umgebung einer entsprechenden Lokalisierungseinheit verarbeitet bzw. miteinander gemischt werden können;
    • • eine mechanische Bewegung der Hardware oder einer ihrer Komponenten, insbesondere das Schließen oder Öffnen eines elektronischen Schaltkreises oder das Schließen oder Öffnen einer Verschlussvorrichtung (Tür, Verschluss eines Behältnisses, Zugangsschranke zu einem geographischen Gebiet, Verschlussvorrichtung eines Bauteils oder einer Gerätekomponente etc.) oder die Ausgabe eines Warn- oder Bestätigungssignals.
  • Die Kombination aus einem kryptographischen Protokoll zur Übermittlung der Positionsdaten mit dem Distance-Bounding Protokoll kann besonders vorteilhaft sein, da zum einen das kryptographische Protokoll die Positionsdaten vor Manipulation schützt und durch das Distance-Bounding Protokoll implizit eine Authentifizierung der Lokalisierungseinheit gegenüber der Chipkarte bewirkt werden kann. Eine Lokalisierungseinheit kann sich damit beispielsweise als eine räumlich nahe gelegene Lokalisierungseinheit eines speziellen Typs, z. B. des speziellen Typs „Schießstand-Lokalisierungseinheit”, ausweisen.
  • In einem weiteren Aspekt betrifft die Erfindung eine Chipkarte. Die Chipkarte beinhaltet:
    • – ein Speichermedium zur geschützten Speicherung von mindestens einem kryptographischen Schlüssel;
    • – eine kontaktlose Schnittstelle zum Empfang von Positionsdaten von einer Lokalisierungseinheit. Der Empfang erfolgt unter Einsatz eines kryptographischen Protokolls unter Verwendung des zumindest einen kryptographischen Schlüssels;
    • – ein Distance-Bounding(DB)-Modul, welches zur Ausführung eines Distance-Bounding Protokolls zwischen der Chipkarte und der Lokalisierungseinheit ausgebildet ist. Das Distance-Bounding Protokoll beinhaltet den Nachweis durch einen Geprüften, dass dieser sich innerhalb eines räumlichen Maximalabstandes von einem Prüfer befindet. Vorzugsweise agiert die Chipkarte als der Prüfer und die Lokalisierungseinheit als der Geprüfte.
    • – eine Chipkartenfunktion, die nur im Falle eines erfolgreichen Nachweises, dass sich die Lokalisationseinheit innerhalb des räumlichen Maximalabstandes von der Chipkarte befindet, ausführbar ist. Die Chipkartenfunktion verwendet die übermittelten Positionsdaten als Positionsdaten, die die aktuelle Position der Chipkarte angeben.
  • Nach Ausführungsformen umfasst die Chipkarte ferner ein Authentifizierungs-Modul, welches zur Authentifizierung der Lokalisierungseinheit ausgebildet ist. Nur im Falle einer erfolgreichen Authentifizierung der Lokalisierungseinheit werden die übermittelten Positionsdaten als Positionsdaten, die die aktuelle Position der Chipkarte anzeigen, durch die Chipkartenfunktion verwendet. In manchen Ausführungsformen fungiert das Distance-Bounding-Modul der Chipkarte gleichzeitig auch als Authentifizierungsmodul, wenn die Authentifizierung auf der erfolgreichen Durchführung des Distance-Bounding-Protokolls beruht.
  • In einem weiteren Aspekt betrifft die Erfindung ein System mit einer Lokalisierungseinheit. Die Lokalisierungseinheit umfasst:
    • – ein Lokalisierungsmodul welches zum Empfang oder Ermittlung von Positionsdaten der Lokalisierungseinheit ausgebildet ist;
    • – ein Speichermedium zur geschützten Speicherung von mindestens einem kryptographischen Schlüssel;
    • – eine Schnittstelle zur kontaktlosen Übermittlung der Positionsdaten an eine Chipkarte, wobei die Übermittlung unter Einsatz eines kryptographischen Protokolls unter Verwendung des zumindest einen kryptographischen Schlüssels erfolgt;
    • – ein Distance-Bounding(DB)-Modul, welches zur Ausführung eines Distance-Bounding Protokolls zwischen der Lokalisierungseinheit und der Chipkarte ausgebildet ist. Das Distance-Bounding Protokoll beinhaltet den Nachweis durch einen Geprüften, dass dieser sich innerhalb eines räumlichen Maximalabstandes von einem Prüfer befindet. Vorzugsweise agiert die Lokalisierungseinheit als der Geprüfte und die Chipkarte als der Prüfer.
  • Nach Ausführungsformen umfasst die Lokalisierungseinheit ferner ein Authentifizierungs-Modul, welches zur Authentifizierung der Lokalisierungseinheit gegenüber der Chipkarte ausgebildet ist. Das Authentifizierungsmodul kann in manchen Ausführungsformen auch in dem Distance-Bounding-Modul der Lokalisierungseinheit verkörpert sein, wenn die Authentifizierung der Lokalisierungseinheit gegenüber der Chipkarte auf der erfolgreichen Durchführung des Distance-Bounding-Protokolls beruht, d. h. auf dem Nachweis, dass die Lokalisierungseinheit sich innerhalb des räumlichen Maximalabstandes zu der Chipkarte befindet.
  • Nach Ausführungsformen umfasst das System die Chipkarte, die nach einer der oben genannten Ausführungsformen bzw. einer Kombination der Merkmale beliebiger Ausführungsformen ausgebildet ist.
  • Im Weiteren werden Ausführungsformen der Erfindung mit Bezugnahme auf die Zeichnungen näher erläutert. Es zeigen:
  • 1 ein Blockdiagramm einer Chipkarte, einer Lokalisierungseinheit und eines Terminals,
  • 2 ein Flussdiagramm einer Ausführungsform eines erfindungsgemäßen Verfahrens,
  • 3 ein Anwendungsszenario für eine erfindungsgemäße Chipkarte und Lokalisierungseinheit in einem Fahrterfassungs-System, und
  • 4 ein alternatives Anwendungsszenario für eine erfindungsgemäße Chipkarte und Lokalisierungseinheit in einem Fahrterfassungs-System.
  • Elemente der nachfolgenden Ausführungsformen, die einander entsprechen, werden mit denselben Bezugszeichen gekennzeichnet.
  • Die 1 zeigt eine Chipkarte 102 mit einem geschützten Speicher 104. Der Speicher enthält eine oder mehrere Schlüssel 120a zur Durchführung des Distance-Bounding Protokolls. Der Speicher kann einen weiteren Schlüssel 138a zur geschützten Übertragung der Positionsdaten von der Lokalisierungseinheit an die Chipkarte beinhalten. Außerdem kann der geschützte Speicher Daten 121 beinhalten, zum Beispiel persönliche Daten eines Nutzers, dem die Chipkarte zugeordnet ist. Die Daten können zum Beispiel aus Kontoinformationen des Nutzers, Signaturschlüsseln oder ähnlichem bestehen. Die Chipkarte ist in der Lage ein Distance-Bounding Protokoll über ein Modul 123a in Interaktion mit einem korrespondierenden Modul 123b der Lokalisierungseinheit 130 auszuführen. Außerdem besitzt die Chipkarte einen Prozessor 106 welcher in der Lage ist, vorzugsweise nach einer Authentifizierung der Lokalisierungseinheit bei der Chipkarte eine Chipkartenfunktion 110 unter Verwendung von Positionsdaten durchzuführen. Die Positionsdaten werden von der Lokalisierungseinheit 130 mittels dessen Lokalisierungsmodul 134, zum Beispiel einem GPS Sensor, ermittelt und über eine vorzugsweise Kontaktloseschnittstelle 118 von der Lokalisierungseinheit an die Chipkarte übertragen. Die Übertragung der Positionsdaten verläuft dabei vorzugsweise basierend auf einem kryptographischen Protokoll 114 um sicherzustellen dass die übertragenen Positionsdaten weder gelesen noch manipuliert werden können. Hierzu können zum Beispiel symmetrische Schlüssel 138a, 138b verwendet werden die jeweils auf einem geschützten Speicher 104, 136 der Chipkarte bzw. der Lokalisierungseinheit gespeichert sind. Das zu verwendende Distance-Bounding Protokoll einschließlich eines vordefinierten Maximalabstandes ist auf der Chipkarte gespeichert. Die Chipkarte kann über entsprechende Schnittstellen verfügen die es dem Nutzer der Chipkarte oder einem Administrator erlauben, den Maximalabstand, der bei Durchführung des Distance-Bounding Protokolls geprüft wird, zu modifizieren.
  • Vorzugsweise verfügt die Chipkarte auch über eine Schnittstelle 108 um mit einem Lesegerät 124 eines Terminals 160 Daten auszutauschen. Bei der Schnittstelle 108 kann es sich um eine kontaktlose oder um eine kontaktbehaftete Schnittstelle handeln, die vorzugsweise geeignete Protokolle (zum Beispiel PACE bei einer kontaktlosen Schnittstelle) zur Authentifizierung des Lesegeräts und/oder zur sicheren Datenübertragung unterstützten.
  • Die Chipkarte kann mit einer Hardware 150, die eine bestimmte Hardwarefunktionalität 152 bereitstellt, operativ verbunden sein. Zum Beispiel kann es sich bei der Hardware 150 um eine Handfeuerwaffen handeln, die die Chipkarte beinhaltet. Bei der Hardwarefunktionalität kann es sich um die Freigabe der Schießfunktionalität der Waffe handeln. In diesem Fall kann die Chipkartenfunktion 110 darin bestehen, zu prüfen, ob sich eine Schießstand-Lokalisierungseinheit 130 erfolgreich bei dem Authentifizierungsmodul 116 der Chipkarte authentifiziert hat und zusätzlich von der Lokalisierungseinheit Positionsdaten empfangen wurden, die über das Distance-Bounding Protokoll verlässlich von einer nahe gelegenen Lokalisierungseinheit innerhalb des vordefinierten Maximalabstandes stammen, so dass sichergestellt ist, dass die Authentifizierung auch tatsächlich von einer Lokalisierungseinheit innerhalb des geschützten Bereiches eines Schießstands durchgeführt wurde bzw. sich damit auch die Chipkarte und die Handfeuerwaffe innerhalb dieses geschützten Bereiches befindet. In diesem Fall beinhaltet die Ausführung der Chipkartenfunktion 110 das Senden eines Signals an die Hardware 150 zur Freigabe der Schießfunktionalität.
  • Wenn in der Chipkarte oder einem mit dieser interoperablen Dienst bzw. diesen Dienst anbietenden Server die Koordinaten mehrerer Schießstände gespeichert sind ist die Handfeuerwaffe entsprechend an mehreren Schießständen verwendbar, nicht jedoch außerhalb eines solchen geschützten Bereiches.
  • Bei dem Terminal 160 kann es sich um ein Datenverarbeitungssystem handeln, welches selbst oder in Verbindung mit einem entfernten Dienst bzw. Server mit der Chipkarte interoperabel ist. So kann es sich beispielsweise bei dem Terminal um ein Kassenterminal handeln, welches ein Lesegerät 124 besitzt, welches dazu ausgebildet ist, über eine optische Schnittstelle optische Daten von der Chipkarte (z. B. von der MRZ – „machine readable zone”) zu lesen um sich bei der Chipkarte zu authentifizieren und Daten 121 aus der Speicher 104 über eine weitere Schnittstelle 108 auszulesen. Diese Daten können Kontoinformationen darstellen und von dem Terminal bzw. entfernten Dienst verwendet werden um von dem Konto des Nutzers automatisch eine Gebühr, z. B. für das Betreten des Schießstandes oder für die Benutzung der Waffe, abzubuchen.
  • Eine Vielzahl anderer Hardwaretypen und entsprechender Hardwarefunktionalitäten 152 werden in anderen Ausführungsformen verwendet, insbesondere solche, von welchen für den Benutzer oder Dritte eine Gefahr ausgeht und welche deshalb nur an Orten freigeschaltet werden sollen, wo sicher davon ausgegangen werden kann, dass die Hardwarefunktionalität weder dem Nutzer noch Dritten schadet.
  • 2 zeigt ein Flussdiagramm des Verfahrens nach einer Ausführungsform der Erfindung. In Schritt 202 ermittelt oder empfängt eine Lokalisierungseinheit 130 Positionsdaten die die Position der Lokalisierungseinheit angeben. Zum Beispiel kann die Lokalisierungseinheit ein Lokalisierungsmodul 134 in Form eines GPS-Sensors enthalten. Die Positionsdaten werden in Schritt 204 von der Lokalisierungseinheit an die Chipkarte über eine kontaktlose Schnittstelle in verschlüsselter Form übermittelt. Dies dient insbesondere der Vertraulichkeit der Positionsdaten und dem Schutz der Daten vor Manipulationen. In Schritt 206 wird ein Distance-Bounding Protokoll zwischen der Chipkarte und der Lokalisierungseinheit durchgeführt. In Schritt 208 prüft die Chipkarte, ob die Lokalisierungseinheit den Nachweis, dass sich die Lokalisierungseinheit innerhalb des räumlichen Maximalabstandes von der Chipkarte befindet, erfolgreich erbracht werden konnte. Falls der Nachweis gelingt, führt die Chipkarte in Schritt 210 eine Chipkartenfunktion 110 aus, wobei die Chipkartenfunktion die übermittelten Positionsdaten verwendet. Falls der Nachweis nicht möglich war, kann das Verfahren an dieser Stelle abgebrochen werden oder ein oder mehrere weitere Programmschleifen mit den Schritten 202208 beinhalten. Die Chipkarte kann beispielsweise über einen Dienst verfügen, welcher in regelmäßigen Abständen prüft, ob Positionsdaten von einer Lokalisierungseinheit an die Chipkarte übermittelt wurden. Die Lokalisierungseinheit kann über ein Dienst verfügen, welcher in regelmäßigen Abständen die eigene Position ermittelt und/oder in regelmäßigen Abständen prüft, ob von einer Chipkarte eine Anfrage oder Challenge zur Durchführung eines Distance-Bounding Protokolls empfangen wurde. Falls das Verfahren eine Authentifizierung der Lokalisierungseinheit gegenüber der Chipkarte vorsieht, kann Schritt 206 vor oder nach der Authentifizierung erfolgen oder auch selbst in Kombination mit Schritt 208 die Authentifizierung darstellen, wobei die Authentifizierung erfolgreich ist wenn die Chipkarte feststellt, dass die Lokalisierungseinheit innerhalb des Maximalabstandes des Distance-Bounding Protokolls liegt.
  • 3 zeigt ein Anwendungsszenario von Ausführungsformen der Erfindung im Kontext einer automatischen Fahrtenerfassung für öffentliche Verkehrsmittel. Ein Fahrzeug 300, zum Beispiel ein Bus oder ein Zug, ist mit einer integrierten Lokalisierungseinheit LE4 und einem Terminal T ausgestattet. Bei dem Terminal T kann es sich beispielsweise um am Terminal handeln, welches per Satellitennetz mit einem Server eines Bankdienstleisters verbunden ist. Das Terminal verfügt über ein Lesegerät 124 und geeignete Schnittstellen 108 um Daten, die zur Durchführung des Bezahlvorgangs notwendig sind, von dem Speicher 104 einer Chipkarte 102 eines Fahrgastes zu lesen. Vorzugsweise befindet sich das Terminal an den Türen des Fahrzeugs bzw. es befindet sich ein Terminal an jeder Tür des Fahrzeugs. Bei jedem Zutritt eines Fahrgastes mit Chipkarte erfolgt eine automatische Authentifizierung des Terminals gegenüber der Chipkarte und umgekehrt, wobei das Terminal die Identität des Fahrgastes feststellt und auch protokolliert, bei welcher Haltestelle der Fahrgast zugestiegen ist. Wenn der Fahrgast das Fahrzeug an einer anderen Haltestelle wieder verlässt, stellt ein Terminal an der entsprechenden Fahrzeugtür ebenfalls die Identität des Fahrgastes fest und protokolliert, an welcher Haltestelle der Fahrgast das Fahrzeug verlassen hat. Diese Informationen können zur automatischen Erstellung einer Rechnung für die Nutzung des Fahrzeuges verwendet werden. Dabei stellt das Terminal die aktuellen Haltestellen beim Zusteigen bzw. Aussteigen eines Fahrgastes nicht selbst fest, sondern vielmehr werden die entsprechenden Positionsdaten bzw. Kennungen der Haltestellen von der Lokalisierungseinheit LE4 jeweils aktuell ermittelt, und an die Chipkarte wie oben beschrieben übertragen. Die Chipkarte führt eine Chipkartenfunktionalität aus welche beinhaltet, dass zumindest beim Betreten und Verlassen des Fahrzeuges (über eine Tür in dessen Nähe sich ein Terminal befindet) die aktuellen Positionsdaten (hier also Haltestellen des Zutritts bzw. Verlassens) von der Chipkarte an das Terminal übermittelt werden. Vorzugsweise geschieht diese Übermittlung kontaktlos, um das Aussteigen und Zusteigen von Passagieren so effizient wie möglich zu gestalten.
  • Die Chipkarte ist also einem Fahrgast, dem die Chipkarte gehört, zugeordnet. Die Lokalisierungseinheit LE4 ist integraler Bestandteil des Fahrzeugs und ist in der Lage, ihre eigene Position dynamisch während der Fahrt zu ermitteln, wobei die Genauigkeit der ermittelten Position zumindest ausreichend ist um einzelne Haltestellen, bei denen Fahrgäste zu- und aussteigen, aufzulösen. Die Lokalisierungseinheit LE4 kann als GPS Sensor ausgestaltet sein, es kann sich aber auch um eine halbautomatische Lokalisierungseinheit handeln, bei welchem der Fahrer bei jedem Halt an einer Haltestelle die aktuell durch die LE4 ermittelte und ggf. an die Chipkarte kommunizierte Position auf die aktuelle Haltestelle H1, H2 oder H3 setzt. Alternativ kann an jeder Haltestelle ein Signalsender, z. B. ein Funksender, angebracht sein, welcher ein Signal an die fahrzeuginterne Lokalisierungseinheit LE4 sendet um dieser zu ermöglichen, ihre aktuelle Position innerhalb zum Beispiel eines Netzlinienplanes zu bestimmen und aktuell zu halten.
  • Der Fahrgast, dem die Chipkarte 102 zugeordnet ist, kann das Fahrzeug 300 beispielsweise bei Haltestelle H1 betreten. Während, vor oder unmittelbar nach dem Zusteigen in das Fahrzeug kann der Nutzer sich gegenüber der Chipkarte authentifizieren, zum Beispiel durch Eingabe einer PIN oder eines Passworts oder mittels biometrischer Daten. Außerdem kann der Nutzer eine entsprechende Bezahlfunktionalität seiner Chipkarte freischalten, was in manchen Fällen eine zusätzliche Authentifizierung gegenüber einer bestimmten Applikationslogik erforderlich machen kann. Beispielsweise könnte der Betreiber eines Schienennetzes oder Nahverkehrsnetzes einer Stadt eine entsprechende Applikationslogik zur automatischen Fahrterfassung und Bezahlung anbieten, die der Fahrgast auf seinem Mobilfunkgerät installieren und sich bei dieser authentifizieren muss. Der Betreiber des Schienen- bzw. Verkehrsnetzes könnte seine Kunden auch mit einer personalisierten Chipkarte ausstatten, auf welchen alle notwendigen Kontoinformationen des Kunden enthalten sind um eine automatische Rechnungsstellung und/oder Abbuchung zu ermöglichen.
  • Unter einem „Passwort” wird im Folgenden eine Folge aus alphanumerische Zeichen und/oder Sonderzeichen verstanden. Eine PIN besteht vorzugsweise aus wenigen (z. B. vier) Stellen und aus alphanumerischen Zeichen. Je nach Sicherheitsanforderung sind jedoch auch PINs mit weiteren Stellen und bestehend aus Ziffern oder einer Mischung von alphanumerischen- und Sonderzeichen möglich. Nach manchen Ausführungsformen der Erfindung ist das Passwort in dem Dokument gespeichert. Des Passwort zur Authentifizierung des Nutzers gegenüber der Chipkarte kann zusätzlich auch in Form einer maschinenlesbaren Zone (MRZ) auf der Chipkarte in optisch erfassbarer Weise (z. B. Aufdruck, Prägung, etc.) angebracht sein. Das Password kann zusätzlich zu der Speicherung auch in Form einer „Card Access Number” (CAN), also einer auf der Chipkarte aufgedruckten Nummer, auf der Chipkarte in optisch erfassbarer Weise aufgedruckt sein und einem Lesegerät eine Authentisierung gegenüber der Chipkarte mittels der CAN ermöglichen.
  • Außerdem führt die Chipkarte bei oder unmittelbar nach dem Betreten des Fahrgastes in das Fahrzeug ein Distance-Bounding Protokoll mit der Lokalisierungseinheit LE4 aus und empfängt von der Lokalisierungseinheit Positionsdaten, die zum Beispiel aus einer Kennung der aktuellen Haltestelle H1 bestehen können. Während sich das Fahrzeug 300 von Haltestelle H1 über H2 nach Haltestelle H3 bewegt übermittelt die Lokalisierungseinheit LE4 kontinuierlich in bestimmten Zeitabständen ihre aktuellen Positionsdaten und führt zusätzlich in regelmäßigen Zeitabständen das Distance-Bounding Protokoll mit der Chipkarte aus, so dass die Chipkarte ”sicherstellen kann”, dass die Positionsdaten von einer vertraulichen, räumlich nahe gelegenen Lokalisierungseinheit stammen. Außerdem wird die aktuelle Position der Lokalisierungseinheit bei jedem Wechsel der Haltestellen aktualisiert.
  • Die Kennungen der jeweils aktuellen Haltestellen werden also kontinuierlich von der Lokalisierungseinheit an die Chipkarte des Fahrgastes während der ganzen Fahrt oder zumindest beim Ein- und Aussteigen übermittelt, wobei zumindest beim Ein- und Aussteigen die Start-Haltestelle bzw. die Ziel-Haltestelle von der Chipkarte bei Ausführung der Chipkartenfunktionalität 110 an das Terminal übermittelt wird. Das Terminal kann die Ein- und Aussteigehaltestellen des Fahrgasts protokollieren oder in einem zentralen Server speichern. Das Terminal kann auch eine Rechnung für die tatsächlich von dem Fahrgast zurückgelegte Wegstrecke für den Einzelfall oder beispielsweise auf monatlicher oder jährlicher Basis erstellen und diese gegebenenfalls auch vollautomatisch vom Konto des Fahrgastes abbuchen. Bei der Protokollierung und/oder Rechnungserstellung bzw. Abbuchung arbeitet das Terminal vorzugsweise mit weiteren Rechnern, z. B. Datenbank- und Applikationsservern, die entsprechende Speicher bzw. Protokollierungs- bzw. Bezahldienste anbieten, zusammen, wobei die Server typischerweise in entfernten Rechenzentren lokalisiert sind.
  • 4 zeigt eine Alternative Ausführungsform des oben beschriebenen Anwendungsszenarios. Das Anwendungsszenario von 4 unterscheidet sich von dem in 3 dargestellten im Wesentlichen darin, dass jeder Haltestelle eine eigene Lokalisierungseinheit LE1–LE3 fest zugeordnet ist. Anders als in 3 beschrieben ist es also nicht notwendig, dass das Fahrzeug 300 selbst über eine entsprechende Lokalisierungseinheit verfügt, deren Positionsdaten kontinuierlich während der Fahrt aktualisiert werden. Vielmehr ist jeder Lokalisierungseinheit der 4 ihre jeweilige Positionsinformation fest zugeordnet. So kann beispielsweise Lokalisierungseinheit LE1 immer die Ortskennung H1' als die Positionsdaten an die Chipkarte übermitteln während Lokalisierungseinheit LE2 immer die Ortskennung H2' bzw. die Lokalisierungseinheit LE3 immer die Ortskennung H3' übermittelt. Typischerweise ist der in der Chipkarte vorkonfigurierte Maximalabstand 302 für das Distance-Bounding Protokoll etwas größer für das Anwendungsszenario nach 4 als nach 3, da die Lokalisierungseinheit nach 4 sich außerhalb des Fahrzeuges 300 befindet.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • Gerhard Hancke, Markus Kuhn: „An RFID distance-bounding protocol”, Proceedings SecureComm 2005 [0013]
    • Stefan Brands, David Chaum: „Distance-bounding protocols (extended abstract)”, Proceedings Eurocrypt '93 [0013]

Claims (15)

  1. Verfahren zur Bereitstellung von Positionsdaten für eine Chipkarte (102), mit: – Empfang (202) oder Ermittlung von Positionsdaten einer Lokalisierungseinheit (130) durch die Lokalisierungseinheit, wobei die Lokalisierungseinheit von der Chipkarte räumlich getrennt ist; – Übermittlung (204) der Positionsdaten von der Lokalisierungseinheit an die Chipkarte über eine kontaktlose Schnittstelle (118) unter Verwendung eines kryptographischen Protokolls; – Ausführung (206) eines Distance-Bounding Protokolls zwischen der Chipkarte und der Lokalisierungseinheit, wobei das Distance-Bounding Protokoll den Nachweis durch einen Geprüften (130), dass dieser sich innerhalb eines räumlichen Maximalabstandes von einem Prüfer (102) befindet, beinhaltet; – nur im Falle eines erfolgreichen Nachweises dass sich die Lokalisationseinheit innerhalb des räumlichen Maximalabstandes von der Chipkarte befindet, Ausführung (210) einer Chipkartenfunktion (110), wobei die Chipkartenfunktion die übermittelten Positionsdaten als Positionsdaten, die die aktuelle Position der Chipkarte angeben, verwendet.
  2. Verfahren nach einem der vorigen Ansprüche, wobei die Chipkarte als der Prüfer und die Lokalisierungseinheit als der Geprüfte agiert.
  3. Verfahren nach einem der vorigen Ansprüche, ferner mit: – Authentifizierung der Lokalisierungseinheit gegenüber der Chipkarte durch Nachweis im Zuge der Ausführung des Distance-Bounding-Protokolls dass die Lokalisierungseinheit sich innerhalb des räumlichen Maximalabstands befindet.
  4. Verfahren nach einem der vorigen Ansprüche, wobei der Maximalabstand durch das Distance-Bounding Protokoll vorgegeben wird.
  5. Verfahren nach einem der vorigen Ansprüche, wobei das Distance-Bounding Protokoll auf einem Challenge-Response Protokoll beruht.
  6. Verfahren nach einem der vorigen Ansprüche, wobei die Ausführung des Distance-Bounding Protokolls die Verwendung zumindest eines ersten (120a) und eines zweiten (120b) kryptographischen Schlüssels vorsieht, wobei der zumindest erste kryptographische Schlüssel in einem ersten geschützten Speichermedium (104) der Chipkartekarte sicher gespeichert ist, wobei der zumindest zweite kryptographische Schlüssel auf einem zweiten geschützten Speichermedium (136) der Lokalisierungseinheit gespeichert ist.
  7. Verfahren nach einem der vorigen Ansprüche, wobei die Positionsdaten umfassen: – eine Vielzahl von Ortskennungen, welche in ihrer Gesamtheit einen Ort, an dem sich die Lokalisationseinheit befindet, identifizierten; oder – eine Ortskennung, welche einen Ort, an dem sich die Lokalisationseinheit befindet, identifiziert.
  8. Verfahren nach Anspruch 7, wobei jede Ortskennung der Vielzahl an Ortskennungen eine Netzkennung darstellt, wobei jede Netzkennung ein Datenkommunikationsnetz identifiziert, in dessen Sendebereich sich die Lokalisationseinheit befindet, welche diese Positionsdaten ermittelt.
  9. Verfahren nach einem der vorigen Ansprüche, wobei die Durchführung der Chipkartenfunktion (110) beinhaltet: – Freigabe des geschützten Speichermediums der Chipkarte zur Ermöglichung des Auslesens geschützter Daten (121) durch die Lokalisierungseinheit oder durch ein anderes datenverarbeitendes System; und/oder – Aufzeichnung der Positionsdaten zum Zwecke des Protokollierens einer Bewegungsspur der Chipkarte; und/oder – Durchführung einer elektronischen Transaktion, insbesondere einer Banktransaktion; und/oder – elektronischer Fahrscheinkauf oder automatische Erhebung einer Maut basierend auf den Positionsdaten; und/oder – Freigabe einer blockierten Funktionalität (152) einer Hardware (150), welche mit der Chipkarte operational verbunden ist, • wobei es sich bei der Hardwarefunktionalität insbesondere handeln kann um einen Entsicherungsmechanismus einer Schusswaffe, um den Auslösemechanismus einer Explosionsvorrichtung, oder • wobei es sich bei der Hardwarefunktion insbesondere handeln kann um einen Mechanismus zum Mischen von Flüssigkeiten, und/oder Substanzen, oder • wobei es sich bei der Hardwarefunktion insbesondere handeln kann um eine mechanische Bewegung der Hardware oder einer ihrer Komponenten, insbesondere das Schließen oder Öffnen eines elektronischen Schaltkreises oder das Schließen oder Öffnen einer Verschlussvorrichtung oder die Ausgabe eines Warn- oder Bestätigungssignals.
  10. Chipkarte (102), umfassend: – ein Speichermedium (104) zur geschützten Speicherung von mindestens einem kryptographischen Schlüssel (138a); – eine kontaktlose Schnittstelle (118) zum Empfang von Positionsdaten von einer Lokalisierungseinheit (130), wobei der Empfang unter Einsatz eines kryptographischen Protokolls unter Verwendung des zumindest einen kryptographischen Schlüssels erfolgt; – ein Distance-Bounding(DB)-Modul (123a), welches zur Ausführung eines Distance-Bounding Protokolls (112) zwischen der Chipkarte und der Lokalisierungseinheit ausgebildet ist, wobei das Distance-Bounding Protokoll den Nachweis durch einen Geprüften, dass dieser sich innerhalb eines räumlichen Maximalabstandes von einem Prüfer befindet, beinhaltet; – eine Chipkartenfunktion (110), wobei die Chipkartenfunktion nur im Falle eines erfolgreichen Nachweises, dass sich die Lokalisationseinheit innerhalb des räumlichen Maximalabstandes von der Chipkarte befindet, ausführbar ist, wobei die Chipkartenfunktion die übermittelten Positionsdaten als Positionsdaten, die die aktuelle Position der Chipkarte angeben, verwendet.
  11. Chipkarte nach Anspruch 10, ferner umfassend: – ein Authentifizierungsmodul (116), welches zur Authentifizierung der Lokalisierungseinheit durch die Chipkarte ausgebildet ist, wobei nur im Falle einer erfolgreichen Authentifizierung der Lokalisierungseinheit die übermittelten Positionsdaten als Positionsdaten, die die aktuelle Position der Chipkarte anzeigen, verwendet werden.
  12. System beinhaltend eine Lokalisierungseinheit (130), wobei die Lokalisierungseinheit umfasst: – ein Lokalisierungsmodul (134) welches zum Empfang oder Ermittlung von Positionsdaten der Lokalisierungseinheit ausgebildet ist; – ein Speichermedium (136) zur geschützten Speicherung von mindestens einem kryptographischen Schlüssel (138b); – eine Schnittstelle (118) zur kontaktlosen Übermittlung der Positionsdaten an eine Chipkarte, wobei die Übermittlung unter Einsatz eines kryptographischen Protokolls unter Verwendung des zumindest einen kryptographischen Schlüssels (138b) erfolgt; – ein Distance-Bounding(DB)-Modul (123b), welches zur Ausführung eines Distance-Bounding Protokolls zwischen der Lokalisierungseinheit und der Chipkarte ausgebildet ist, wobei das Distance-Bounding Protokoll den Nachweis durch einen Geprüften, dass dieser sich innerhalb eines räumlichen Maximalabstandes (302) von einem Prüfer befindet, beinhaltet.
  13. System nach Anspruch 12, wobei die Lokalisierungseinheit ferner umfasst: – ein Authentifizierungs-Modul (140), welches zur Authentifizierung der Lokalisierungseinheit gegenüber der Chipkarte ausgebildet ist.
  14. System nach einem der Ansprüche 12–13, ferner umfassend die Chipkarte, wobei die Chipkarte nach einem der Ansprüche 10–11 ausgebildet ist.
  15. System nach einem der Ansprüche 12–14, – wobei die Chipkartekarte eine SIM Karte oder eine Chipkartekarte eines Sicherheitsdokuments ist und/oder – wobei die Lokalisierungseinheit die Positionsdaten mittels GPS, LPS, WLAN, Ultraschall, Funk- oder Bluetooth Technologie ermittelt und/oder – wobei das Distance-Bounding Protokoll auf Ultraschall oder elektromagnetischer Strahlung, insbesondere Mikrowellen, Funkwellen, sichtbarem Licht oder Infrarotlicht, beruht.
DE201310201730 2013-01-25 2013-02-04 Bereitstellung von Positionsdaten mittels eines Distance-Bounding Protokolls Ceased DE102013201730A1 (de)

Priority Applications (9)

Application Number Priority Date Filing Date Title
DE201310201730 DE102013201730A1 (de) 2013-02-04 2013-02-04 Bereitstellung von Positionsdaten mittels eines Distance-Bounding Protokolls
PCT/EP2014/051295 WO2014114697A1 (de) 2013-01-25 2014-01-23 Durchführung einer positionsabhängigen kryptographischen operation mit einem positionsabhängigen kryptographischen schlüssel
PL14701962T PL2949096T3 (pl) 2013-01-25 2014-01-23 Dostarczanie danych położenia przy użyciu protokołu Distance-Bounding
EP14701962.4A EP2949096B1 (de) 2013-01-25 2014-01-23 Bereitstellung von positionsdaten mittels eines distance-bounding protokolls
EP14701357.7A EP2949095B1 (de) 2013-01-25 2014-01-23 Durchführung einer positionsabhängigen kryptographischen operation mit einem positionsabhängigen kryptographischen schlüssel
CN201480005740.2A CN104937900B (zh) 2013-01-25 2014-01-23 定位系统、智能卡以及给智能卡提供位置数据的方法
ES14701962.4T ES2613677T3 (es) 2013-01-25 2014-01-23 Facilitación de los datos de posición mediante un protocolo de delimitación de distancia
US14/762,273 US9648453B2 (en) 2013-01-25 2014-01-23 Providing position data by means of a distance-bounding protocol
PCT/EP2014/051297 WO2014114699A1 (de) 2013-01-25 2014-01-23 Bereitstellung von positionsdaten mittels eines distance-bounding protokolls

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201310201730 DE102013201730A1 (de) 2013-02-04 2013-02-04 Bereitstellung von Positionsdaten mittels eines Distance-Bounding Protokolls

Publications (1)

Publication Number Publication Date
DE102013201730A1 true DE102013201730A1 (de) 2014-08-07

Family

ID=51206042

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310201730 Ceased DE102013201730A1 (de) 2013-01-25 2013-02-04 Bereitstellung von Positionsdaten mittels eines Distance-Bounding Protokolls

Country Status (1)

Country Link
DE (1) DE102013201730A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10304046B2 (en) 2015-08-07 2019-05-28 Sony Corporation Device and method in wireless communication system and wireless communication system
US20210209579A1 (en) * 2018-05-24 2021-07-08 Christopher Yew Chong LEONG Method for processing a secure financial transaction using a commercial off-the-shelf or an internet of things device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100280748A1 (en) * 2007-11-24 2010-11-04 Routerank Ltd. Optimized route planning and personalized real-time location-based travel management
US20110078549A1 (en) * 2008-05-26 2011-03-31 Nxp B.V. Decoupling of measuring the response time of a transponder and its authentication

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100280748A1 (en) * 2007-11-24 2010-11-04 Routerank Ltd. Optimized route planning and personalized real-time location-based travel management
US20110078549A1 (en) * 2008-05-26 2011-03-31 Nxp B.V. Decoupling of measuring the response time of a transponder and its authentication

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Gerhard Hancke, Markus Kuhn: "An RFID distance-bounding protocol", Proceedings SecureComm 2005
Stefan Brands, David Chaum: "Distance-bounding protocols (extended abstract)", Proceedings Eurocrypt '93

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10304046B2 (en) 2015-08-07 2019-05-28 Sony Corporation Device and method in wireless communication system and wireless communication system
US10769615B2 (en) 2015-08-07 2020-09-08 Sony Corporation Device and method in wireless communication system and wireless communication system
US20210209579A1 (en) * 2018-05-24 2021-07-08 Christopher Yew Chong LEONG Method for processing a secure financial transaction using a commercial off-the-shelf or an internet of things device

Similar Documents

Publication Publication Date Title
EP2860703B1 (de) Verfahren zum Überprüfen von Mauttransaktionen und Komponenten hierfür
EP0780801B1 (de) Verfahren und Vorrichtungen für die Verwendung und Verrechnung von elektronischen Zahlungsmitteln in einem offenen und interoperablen System zur automatischen Gebührenerhebung
DE102008062105A1 (de) Proxy-basiertes Transaktions-Genehmigungssystem
DE102013201027A1 (de) Verfahren zur Authentisierung eines Nutzers gegenüber einem Automat
EP2949096B1 (de) Bereitstellung von positionsdaten mittels eines distance-bounding protokolls
EP1750220B1 (de) Verfahren und System zur Erstellung und zur automatisierten Überprüfung von elektronischen Tickets
WO2016150532A1 (de) Vorrichtungen, verfahren und computerprogramme zum vorrichtung zum bereitstellen eines schlosssteuerungssignals für ein mobiles logistikziel
EP1192600B1 (de) Vorrichtung zur flexiblen gebührenerfassung
EP2994890B1 (de) Verfahren und vorrichtung zur bereitstellung von daten zur mauterhebung und mautsystem
DE102006033466A1 (de) Verfahren zum Auswählen und Entwerten von elektronischen Tickets durch ein nahfeldkommunikationsfähiges elektronisches Endgerät sowie Ticketterminal
EP3929851A1 (de) Verfahren zum registrieren eines ticketmediums
EP3955219A2 (de) Verfahren zum betreiben einer parkvorrichtung
DE102013201730A1 (de) Bereitstellung von Positionsdaten mittels eines Distance-Bounding Protokolls
DE102013201245B4 (de) Durchführung einer kryptographischen Operation mit einem positionsabhängigen kryptographischen Schlüssel
EP3252697B1 (de) Validatorvorrichtung für ein ticketsystem
EP2503518B1 (de) Verfahren zum Validieren einer Mauttransaktion
DE102009041002A1 (de) Verfahren zur personengebundenen, ortsunabhängigen, bargeldlosen Zahlungsabwicklung und zum ortsunabhängigen Erwerb und Nachweis von personengebundenen Berechtigungen unter Verwendung von Mobilfunkgeräten
DE60103022T2 (de) Verfahren, system und vorrichtung für entfernte geschäftliche transaktionen
EP2592584A1 (de) Sichere Drahtlos-Transaktion
EP2269167B1 (de) Dokument mit einer integrierten anzeige und empfänger-gerät
EP1729254B1 (de) Verfahren und System zur Datenübertragung
EP1335324A2 (de) Einrichtung zur Ermittlung von Nutzungsgebühren
EP4332919A1 (de) Entwertervorrichtung für ein personentransportsystem
WO2019185791A1 (de) System zum speichern, teilen und verbindlichen, schlupffreien offline-übertragen von e-werten mit mobilem gerät mit kurzer transaktionszeit
DE102013207477A1 (de) Durchführung einer Chipkartenfunktion

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final