CN100552704C - 非接触数据载体、及其读设备和方法 - Google Patents

Abstract

本发明涉及可靠地确定蓄意使用非接触数据载体的设备和方法。根据要传输的数据，除了基于天线的数据传输信道，光学数据传输信道也可以用在读设备和数据载体之间。

Description

非接触数据载体、及其读设备和方法

本发明涉及可靠地确定蓄意使用非接触数据载体的设备和方法。

下面用到的术语“非接触数据载体”或者“非接触卡”指的是，所有由微芯片和与之相连的天线所构成的布置，并且这些布置适用于与适合的读设备交换数据。除了用于支付应用的芯片卡，这些布置包括非接触可读的身份证明文件，例如有内嵌微芯片的护照和身份证，此外还有无线射频识别(RFID)标签。

现今，用于支付交易的非接触数据载体被专用于封闭应用(closedapplication)，例如在内部餐厅或者公共交通中的支付。这种现状的原因是，由于安全原因，在德国非接触卡仍然不允许用于支付应用，例如，以现金卡的形式。决定性的因素是担心第三者可能在持卡者不注意的情况下非接触地支取现金卡。例如，可以想到，在用于非接触卡的移动终端的帮助下，这些移动终端在人群中(例如，集市、音乐会、地铁、火车站)移动，“电子”货币就不被注意地从周围近处的钱包中借记出来。用接触型卡这样的问题就不会发生，因为支付交易是由持卡者把卡插入读卡机来实现。

除了用作支付手段以外，非接触卡同样地可用于有价值公文的数据载体，例如，护照。特别是，将非接触卡用作签证是有利的，其可以合并，例如，结合到护照公文中。为此，例如，片上线圈(CoC)方法是适合的，采用这种技术天线被布置在芯片上。但是，传统的非接触布置能够同样地使用，例如，芯片布置在金属薄片上并且线圈印刷在金属薄片上。

当在有价值公文中使用非接触卡时，问题出现了，就是应当防止第三方的无意地读取。这个问题同样适用于在对用于产品识别的非接触发射机响应器的未经授权和未经注意的读出。

因此，本发明的问题是提供由持卡者可靠地确定蓄意使用非接触数据载体的设备和方法。

这个问题通过独立权利要求的特征解决。在权利要求书中，依赖这些特征的是本发明的特定的有利的实施例和发展。

以光学方式作为附加数据传输信道，这意味着数据在读设备和数据载体之间交换，这适合执行读设备和非接触卡之间的身份验证。通过附加数据传输信道的身份验证防止了对非接触卡无意的激励，因为当数据载体对读设备光学不可见的时候，光学信息是不可用的，例如，数据载体被装在口袋或钱包中。

根据本发明第一个实施例，数据载体有光学可读信息，例如条码或者矩阵码。当卡交给读设备时，这个信息通过光学读取设备，例如条码扫描器，读取和评价。然后，光学读信息可被非接触数据载体使用，在非接触数据载体自身和非接触读设备之间用于身份验证目的，以便以此为后来的交易提供授权。

第一个实施例的增强是通过芯片输出光学显示信息到显示设备上，例如，液晶显示器(LCD)。其结果是，简单地拷贝信息不再是可能的，因为信息可能包含随机产生的数据结构。

根据本发明进一步的实施例，非接触数据载体装配有光学光源，例如，红外(IR)发光二极管或发光金属薄片。光源可以与芯片电气连接或者可以是芯片的集成部分。非接触读设备一旦打算和数据载体执行交易，光源就被用于以光学方式从芯片到读设备发送附加数据。这些数据可以是相互身份验证的一部分并且根据本发明被用于启动后来的交易。当读设备没有光学传输数据的知识时，与数据载体之间的交易不能进行。

优选的是，数据载体一旦从口袋中拿出来用于支付交易，环境条件的变化就能够在数据载体上检测到。例如，通过光敏光学组件(14)可以判断卡是位于口袋里面还是外面。光敏组件可以和芯片电气连接或者可以是芯片的集成部分。根据本发明，光敏组件一旦暴露在少量亮度下，启动信号就被产生，这个信号允许芯片和非接触读设备之间的交易。

这种变形的优点是特殊的非接触终端是不需要的，并且已有的基础设施(例如，非接触终端，正如它们已经用在封闭系统中，例如内部餐厅)仍然可以被使用。

这种想法的发展规定读设备自身产生光学信号。为了通过芯片启动交易，可以想到的是，提供使用触发调制的光学信号，例如，1千赫信号，或者通过光学信号传输数据给芯片，这些数据用于数据载体和读设备之间的身份验证。

上述实施例的组合包括在卡上提供光学光源和光学接收装置，并将它们连接到芯片或者以芯片集成部分的形式提供这些设备。既然如此，除了非接触的双向数据传输之外，在卡和读设备之间附加的双向光学数据传输是可行的。根据本发明，提供不同传输信道之间的切换，优选的是每个传输信道至少一次用于数据传输。

这种布置更多的优点是用于操作光学通信装置的能量是从非接触传输信道(例如，磁性或电容性耦合)获得的。并且，可以理解的是，除了可见光，还有红外(IR)、紫外(UV)或者这些区域的混和(上行链路与下行链路)也可以用于光学通信。

类似于光学信息，可选地或附加地，声学信息也可以被使用，例如，以传输经过编码的声学信号的形式，这可以由集成在卡内的扬声器来产生(例如，压电式扬声器)。

并且，位于卡内的扬声器适合用信号确认每一笔支付交易，以指示持卡者此时支付交易发生在他的卡上。在本发明的这个实施例中，尽管使用移动非接触终端从卡上非法借记货币仍然是可能的，但是，这种交易不再保持不被注意到。

除了扬声器，可选地或附加地，可以提供给数据载体装配振动告警器。

随后，将参考图中描述的实施例详细解释本发明。

图1显示本发明实施例，其中在数据载体上施加光学信息；

图2显示具有布置在数据载体上的光源的本发明进一步的实施例；

图3显示具有布置在数据载体上的光学接收装置的本发明进一步的实施例；

图4显示具有布置在数据载体上的光学组件的本发明进一步的实施例；

图5显示提取密钥方法的实施例，以及

图6显示身份验证方法的实施例。

图1显示非接触数据载体1a，其上布置天线2，芯片3与之导电连接。数据载体的一块区域有光学信息4，例如，条码或者矩阵码，其适合通过光学数据传输信道5传输到读设备1。将光学数据传输信道5额外地提供给基于天线的非接触数据传输信道15。

图2描述一种非接触数据载体，其上布置光学光源6。光源6可被设计成发光二极管(LED)、有机发光显示器(OLED)或者红外发光二极管(IR-LED)，其导电连接于芯片3并由其激活，如箭头7指示。这里的光学数据传输通过数据传输信道8实现。

进一步的实施例如图3所示，在数据载体1a上布置光学接收部件9，其导电连接于芯片3，并使能读设备1和数据载体1a之间的双向光学数据传输。芯片3适合于控制非接触数据传输15和光学数据传输10两者的数据传输。这两个传输信道能够可选地或者同时操作。并且，传输信道可以操作在平面或者层次(主-从)模式。

在图4中描述的、在通过导电连接11连接到芯片3的光学组件14的帮助下，随着光13充分入射，通过基于天线的非接触接口的数据传输可以被启动(如箭头12指示)。

用于启动保存在数据载体1a中的保密信息的方法可如下举例执行。如图5描述，芯片3的存储器件21具有多个存储区域24或22，其中部分是可自由读取的，部分内容通过适合的密钥方式保护以便防止未授权的读出。被保护的存储区域22包含至少一个数据记录23，它由要保密的信息组成，例如，生物统计学数据、个人识别码(PIN)等。可自由读取的存储区域24包含至少一个数据记录25，将其明确地分配给各自的数据记录23并代表压缩值，例如，循环冗余校验(CRC)、哈希、密码校验和等。从可自由读取的数据记录25的内容取得关于保密数据记录23的内容的结果是不可能的。

为了读出数据记录23中的一个，根据所提供的本发明，在第一个程序步骤中，通过基于天线的数据传输信道15，分配给数据记录23的数据记录25被读出，而数据载体1a的光学可读信息20，例如，条码或者机器可读区(machine readable zone，MRZ)，在读设备1的帮助下被读出。

在第二个程序步骤中，加密密钥26被从数据记录25和光学可读信息20中提取出来。为此，现有技术中公知的任何密钥提取方法可以被使用，例如，使用主密钥的密钥提取等。从保密的主密钥提取的数据载体的加密密钥个体已经保存在数据载体上。主密钥存放在读设备中，用于通过光学可读信息20和非接触可读数据记录25提取加密密钥26。

第三个程序步骤提供通过所提取的加密密钥，执行读设备1和数据载体1a的芯片3之间的身份验证。通过此方法验证读设备1已知的密钥或保存在数据载体1a中的密钥是否各自一致。现有技术中已知的身份验证方法根据“盘问-响应原则”工作，这在芯片卡领域中广泛使用。通过“获得-盘问”命令，读设备1从芯片3接收一个随机数，以便随后通过由随机数和密钥提取的“外部身份验证”命令的数据向芯片进行身份验证其自身。显而易见，进一步的身份验证步骤，例如，用于相互身份验证，以及其他身份验证方法可以被使用。

在一种简化方法中，在第三个程序步骤，使用两个数据传输信道的读设备只要同样地身份验证自身，无需同时检定密钥的获知。例如，在第二个程序步骤26中，一个值被提取，虽然其被用作第三步27的密钥，但它不是保密的或不是从主密钥提取的。

在可选的最后程序步骤中，从读出的数据记录23形成一压缩值，这个压缩值和可自由读取数据记录25的内容进行比较(对比图5，验证28)。如果这两个压缩值彼此不同，那么可以假定数据记录23已经被非授权地修改了。在成功身份验证之后，数据记录23可以被读出。

图6中描述的方法同样地提供至少对于保存在发射机响应器中部分数据的访问，只有在成功身份验证后才是允许的。这个方法也根据“盘问-响应原则”工作。

在第一个步骤30中，读设备1通过基于天线的传输信道15从数据载体1a请求一随机数。本发明的实施例中，由数据载体1a产生的随机数通过光学传输信道5，例如，(红外/紫外)发光二极管，传输到读设备1(步骤31：“响应”)。更多的可能性是以条码、象素码、机器可读区的形式输出随机数到非接触数据载体1a的显示器4上。同时，通过基于天线的数据传输信道15发送响应，其在内容上与通过光学装置传输的非接触数据不同，但是避免传输信道上，即，特别是读设备上的超时。一方面，当潜在的攻击者在基于天线的传输信道15上窃听时，他不能获取有关内容的任何结论，另一方面，单独应用命令的特殊处理是不需要的，以至于读设备1的软件不需要修改。例如，发送编码“9000”(命令成功执行)是方便的。为了误导可能的攻击者，也可以传输错误数据。

同样地，通过光学数据传输信道请求随机数，并通过基于天线的数据传输信道传输它是可能的。

然后，根据已知的单边或者互相身份验证(“外部身份验证”，32)方法，执行身份验证算法。在身份验证过程成功完成之后，实际的通信33可被启动而数据记录23被读出。

关于图6描述的方法可以与图5中描述的方法结合或独立使用。

所述方法的优点是通过使用两个不同的数据传输信道-即光学的5和基于天线的15-使得数据的篡改或替换都变得更加困难。因此，这特别适合于敏感数据的交换，例如个人数据。单边身份验证或互相身份验证通过两个数据传输信道的组合使用得以改善。

取决于要传输数据的类型，选择性地只使用一个数据传输信道也是可能的。连接安全性的随之降低通常与处理速度的增加耦合在一起，而且可以被，例如后勤、货物运输和商品管理领域需要的数据所容忍。如果敏感数据也用同样的数据载体1a处理，当通过读设备读出时，强制规定使用两个数据传输信道。一个或两个传输信道方式之间的切换可以通过设置标志等之后自动实现。

本发明的读设备1是智能设备，它装配有基于天线的非接触读部件2和光学读部件。在优选实施例中读设备1作为移动终端，例如，移动电话、个人数据助理(PDA)、膝上型电脑等，并具有用于非接触通信的接口，例如近场通信(NFC，near field communication)。绝大部分设备中存在的红外数据协会(IRDA)接口可以被用作光学通信部件。照相机可以被提供作为光学读部件。光学可读取数据，例如，在数据载体1a上的芯片3的序列号，最好以机器可读的形式(条码、光学字符识别(OCR)数据)表示。这样的读设备1特别适合于警察或边境警察检查旅行公文，而且，通过可能的、额外的、已有的在线连接，可以请求更多信息。

为增加安全性，可以规定数据载体1a的芯片3附加地产生随机数用作序列号，并通过基于天线的数据传输信道传输该数到读设备1。这个随机序列号的使用被描述在，例如ISO 14443中(章节6.6.4，“UID contents andcascade levels”)。这里数据载体1a的序列号用于执行防冲突算法，它并不是如同通常那样由明确的和无错误的数形成，而是由为每一次交易新产生的随机数形成。使用这种方法，从序列号来获取关于数据载体身份的结论是不可能的。通过重复在数据载体和终端之间曾窃听的通信的可能的(重放)攻击，可以通过这种方法被特别有效地防止。

同样地，光学可读数据可以以非静态的方式在数据载体1a上可用，并可以在例如显示器等的帮助下动态修改。也可以用这种方式产生和显示单次用密码、随机序列号等。并且，动态产生数据和基于天线或光学传输的数据的任何组合都是可以想到的。

根据本发明，非接触数据载体具有天线和芯片，数据载体具有用于通过光学数据传输信道进行传输数据的部件和用于通过基于天线的数据传输信道进行传输数据的部件。数据布置在数据载体上，其可以通过光学数据传输信道和/或基于天线的数据传输信道传输到读设备。

Claims (28)

1.一种具有天线和芯片的非接触数据载体，在数据载体上布置通过光学数据传输信道可传输到读设备的数据，和通过基于天线的数据传输信道可传输到读设备的数据；

其特征在于：芯片具有存储区域，其中至少一个存储区域是可自由读取的，和至少一个存储区域是只能在数据载体和读设备身份验证之后可读的，只在身份验证后可读的存储区域至少具有第一数据记录，并且可自由读取的存储区域至少具有第二数据记录，其中将第二数据记录明确地分配给第一数据记录，并以不可能从第二数据记录的内容取得关于第一数据记录的内容的结果的方式从第一数据记录中提取第二数据记录。

2.如权利要求1所述的数据载体，其特征在于：保存的数据记录作为由加密密钥加密的数据记录被保存。

3.如权利要求1或2所述的数据载体，其特征在于：第二数据记录构成第一数据记录的压缩值。

4.如权利要求1或2所述的数据载体，其特征在于：光敏组件被布置在数据载体上，其允许芯片和非接触读设备之间的交易。

5.如权利要求1或2所述的数据载体，其特征在于：光学可读信息被施加于数据载体上。

6.如权利要求1或2所述的数据载体，其特征在于：矩阵码被施加于数据载体上。

7.如权利要求1或2所述的数据载体，其特征在于：条码被施加于数据载体上。

8.如上述权利要求1或2所述的数据载体，其特征在于：用于显示光学数据的显示器被布置于数据载体上。

9.如上述权利要求1或2所述的数据载体，其特征在于：用于发送光学信号的光源被布置于数据载体上。

10.如上述权利要求1或2所述的数据载体，其特征在于：用于接收光学信号的光学接收部件被布置于数据载体上。

11.如上述权利要求1或2所述的数据载体，其特征在于：扬声器被布置于数据载体上。

12.如上述权利要求1或2所述的数据载体，其特征在于：振动探测器被布置于数据载体上。

13.如上述权利要求1或2所述的数据载体，其特征在于：身份验证要求使用两个数据传输信道。

14.一种用于可靠地确定蓄意使用非接触数据载体的方法，依靠在数据载体和读设备之间被交换的数据，除了基于天线的非接触数据传输之外，光学数据传输可以在布置于数据载体上的数据的帮助下实现；

其特征在于：在第一个程序步骤中，为了读出第一数据记录(23)，读设备读出分配给第一数据记录的第二数据记录(25)以及在数据载体上光学表示的数据(20)，其中所述第一数据记录(23)包含在被保护的存储区域(22)中，所述第二数据记录(25)包含在可自由读取的存储区域(24)中，并以不可能从第二数据记录的内容取得关于第一数据记录的内容的结果的方式从第一数据记录中提取第二数据，在第二个程序步骤(26)中，读设备形成从读出的数据和存放在所述读设备中的密钥中提取的值，在第三个程序步骤中，在这个提取值的基础上实现读设备和数据载体之间的身份验证，并且在第四个程序步骤中第一数据记录(23)由读设备读出。

15.如权利要求14所述的方法，其特征在于：数据传输以双向方式实现。

16.如权利要求14或15所述的方法，其特征在于：光学和基于天线的数据传输之间的任何任意切换是可能的。

17.如权利要求14或15所述的方法，其特征在于：在读设备和数据载体之间至少实现单边的身份验证(27，32)。

18.如权利要求17所述的方法，其特征在于：身份验证通过光学数据传输实现。

19.如权利要求17所述的方法，其特征在于：身份验证(27，32)以需要使用两个数据传输信道的方式实现。

20.如权利要求14或15所述的方法，其特征在于：通过光学或者基于天线的数据传输信道的两个数据传输信道其中之一请求随机数，并且通过对应的另一个传输信道传输该随机数。

21.如权利要求14或15所述的方法，其特征在于：在第五个程序步骤中，根据第一数据记录形成一压缩值，在进一步的程序步骤里，这个形成的压缩值与第二数据记录实现比较。

22.如权利要求17所述的方法，其特征在于：身份验证(27，32)以盘问-响应方法的方式执行。

23.一种用于读取如权利要求1到13中任意一项所述的非接触数据载体的读设备，包括用于读取光数据并适用于包含在数据载体的被保护的存储区域(22)中的第一数据记录(23)的读出的部件，以读出包含在数据载体的可自由读取的存储区域(24)中的第二数据记录(25)和数据载体上光学表示的数据(20)，以形成从读出的数据和密钥中提取的值，以在这个提取值的基础上执行读设备和数据载体之间的身份验证并且读出第一数据记录(23)。

24.如权利要求23所述的读设备，其特征在于：具有发送光学信号的部件。

25.如权利要求24所述的读设备，其特征在于：具有调制光学信号的部件。

26.如权利要求24所述的读设备，其特征在于：具有红外接口。

27.如权利要求23所述的读设备，其特征在于：其被作为移动终端。

28.如权利要求23所述的读设备，其特征在于：具有用于近场通信的接口。

Images