DE102004058020A1 - Verfahren zur Personalisierung von Chipkarten - Google Patents

Verfahren zur Personalisierung von Chipkarten Download PDF

Info

Publication number
DE102004058020A1
DE102004058020A1 DE102004058020A DE102004058020A DE102004058020A1 DE 102004058020 A1 DE102004058020 A1 DE 102004058020A1 DE 102004058020 A DE102004058020 A DE 102004058020A DE 102004058020 A DE102004058020 A DE 102004058020A DE 102004058020 A1 DE102004058020 A1 DE 102004058020A1
Authority
DE
Germany
Prior art keywords
chip card
personalization
command
command sequence
chipk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102004058020A
Other languages
English (en)
Inventor
Wolfgang Gebhardt
Arne Lehmeyer
Guido Treutwein
Rainer Dr. Wörz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Atos IT Solutions and Services GmbH Germany
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102004058020A priority Critical patent/DE102004058020A1/de
Priority to US11/791,637 priority patent/US8020773B2/en
Priority to EP05811146A priority patent/EP1817752A2/de
Priority to CN2005800413484A priority patent/CN101069218B/zh
Priority to PCT/EP2005/055911 priority patent/WO2006058828A2/de
Publication of DE102004058020A1 publication Critical patent/DE102004058020A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3558Preliminary personalisation for transfer to user

Abstract

Die Erfindung ist ein Verfahren zur Personalisierung einer Chipkarte (CHIPK), bei dem im Rahmen einer Teilpersonalisierung eine Schlüsselinformation (KEY1) in einem Speicher (MEM) der Chipkarte (CHIPK) gespeichert wird. Im Rahmen einer ergänzenden Personalisierung wird eine Befehlssequenzdefinition (BSD) und eine eine Chipkartenanwendung einrichtende Befehlssequenz (BS) mit durch die Chipkarte (CHIPK) auszuführenden Chipkartenbefehlen (B1, B2, B3, B4, B5) auf die Chipkarte (CHIPK) übertragen. Dabei erfolgt für einen jeweiligen Chipkartenbefehl (B1, B2, B3, B4, B5) eine die Schlüsselinformation (KEY1) verwendende und dadurch gesicherte Prüfung, ob dieser Chipkartenbefehl (B1, B2, B3, B4, B5) der Befehlssequenzdefinition (BSD) genügt, und falls das zutrifft, wird der betreffende Chipkartenbefehl (B1, B2, B3, B4, B5) durch die Chipkarte (CHIPK) ausgeführt.

Description

  • Verfahren zur Personalisierung von Chipkarten
  • Eine Personalisierung von Chipkarten, bei der karten- und/oder personenindividuelle Daten auf eine jeweilige Chipkarte aufgespielt werden, wird bisher meist in gesicherten Personalisierungszentren bei einem Hersteller der Chipkarte, bei einer Zertifizierungsstelle oder bei einem vertrauenswürdigen Diensteanbieter durchgeführt.
  • In einem solchen Personalisierungszentrum werden kundenspezifisch vorgebbare Personalisierungsdaten, z. B. ein Name eines Anwenders, dessen Kontonummer oder weitere kundenspezifische Daten oder Applikationen, auf die Chipkarte gespielt. Die Personalisierungszentren, sind üblicherweise durch Verwendung von elektronischen, mechanischen Sicherheitsmechanismen und/oder organisatorischen Maßnahmen gegen unbefugte Manipulationen gesichert, da in ihnen sicherheitsrelevante Daten (z.B. persönliche Daten des Anwenders der Chipkarte, PINs, etc.) verarbeitet werden, und ein Bekanntwerden von Informationen an Unbefugte sowie eine Einflussnahme von Unbefugten auf den Vorgang der Personalisierung zu vermeiden ist.
  • Wird, wie z.B. bei Chipkarten zu Identifizierung von Personen, ein Maximum an Sicherheit – insbesondere gegenüber Manipulation oder Fälschung der gespeicherten Daten auf der Chipkarte – gefordert, dann ist bisher üblicherweise die Personalisierung in gesicherten Personalisierungszentren auszuführen.
  • Eine Personalisierung in ungesicherter Umgebung außerhalb von Personalisierungszentren wird bisher nur bei Chipkarten mit geringen Sicherheitsanforderungen durchgeführt.
  • Eine Personalisierung einer Chipkarte umfasst üblicherweise eine Aktivierung einer oder mehrerer Anwendungen auf der Chipkarte zusammen mit einer Generierung von Sicherungsschlüsseln und/oder Sicherungsschlüsselpaaren, z.B. sog. symmetrischen Schlüsseln oder RSA-Schlüsseln (RSA: Verschlüsselungsalgorithmus benannt nach den Erfindern Rivest, Shamir und Adleman). Dabei erweist sich die Generierung von Sicherungsschlüsselpaaren im Vergleich zu den restlichen Personalisierungsschritten als sehr aufwendig. Somit wird die Anzahl der bearbeiteten Chipkarten in einem gegebenen Zeitraum in einem Personalisierungszentrum in erheblicher Weise von einer Generierungszeit der Sicherungsschlüssel der jeweiligen Chipkarten beeinflusst.
  • Die Personalisierung einer Chipkarte kann häufig nicht in einer einzigen Personalisierungssitzung abgeschlossen werden, da zum Ausgabezeitpunkt der Chipkarte noch nicht vollständig bekannt ist, welche Anwendungen auf die Chipkarte gespielt und auf der Chipkarte installiert werden sollen. Außerdem besteht bei Multiapplikationschipkarten, die mehrere Anwendungen enthalten können, der Bedarf über die Benutzungsdauer der Chipkarte hinweg Anwendungen zu aktivieren. Gemäß dem bisherigen Stand der Technik ist hierzu die Chipkarte ein weiteres Mal in das gesicherte Personalisierungszentrum zu bringen, sofern dies die jeweiligen Sicherheitsvorgaben erfordern.
    •
  • Es ist Aufgabe der vorliegenden Erfindung, ein flexibles Verfahren zur Personalisierung von Chipkarten bereitzustellen.
  • Gelöst wird diese Aufgabe durch ein Verfahren mit den Merkmalen des Patentanspruchs 1. Vorteilhafte Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen angegeben.
  • Bei dem erfindungsgemäßen Verfahren wird zur Personalisierung einer Chipkarte im Rahmen einer – vorzugsweise in einem gesicherten Personalisierungszentrum durchzuführenden – Teilpersonalisierung eine Schlüsselinformation, z.B. bestehend aus einem kartenindividuellen Secure-Messaging-Schlüssel und/oder einem Authentifizierungsschlüssel, in einem, vorzugsweise nichtflüchtigen, Speicher der Chipkarte gespeichert. Ein derartiger, nichtflüchtiger Speicher kann z.B. als EEPROM auf der Chipkarte realisiert sein. Erfindungsgemäß wird im Rahmen einer ergänzenden Personalisierung, die auch in ungesicherter Umgebung ausgeführt werden kann, eine Befehlssequenzdefinition und eine, eine Chipkartenanwendung einrichtende Befehlssequenz, mit durch die Chipkarte auszuführenden Chipkartenbefehlen, auf die Chipkarte übertragen. Weiterhin erfolgt für einen jeweiligen Chipkartenbefehl dieser Befehlssequenz eine die Schlüsselinformation verwendende und dadurch gesicherte Prüfung, ob dieser Chipkartenbefehl der Befehlssequenzdefinition genügt. Falls das zutrifft, wird der betreffende Chipkartenbefehl durch die Chipkarte ausgeführt.
  • Es sei darauf hingewiesen, dass die angegebene Abfolge der Verfahrensmerkmale nicht der zeitlichen Reihenfolge dieser Merkmale entsprechen muss. Z.B. kann die Prüfung der Chipkartenbefehle zusammenhängend zu Beginn der ergänzenden Personalisierung durchgeführt werden, bevor die einzelnen Chipkartenbefehle ausgeführt werden.
  • Vorzugsweise kann die Gültigkeit der Befehlssequenz unter Verwendung der Schlüsselinformation beim Aufspielen der Befehlssequenz auf die Chipkarte oder beim Installieren der Befehlssequenz auf der Chipkarte gesichert werden. Die Prüfung der Befehlssequenz unter Verwendung der Befehlssequenzdefinition kann dann bei Abarbeitung der Befehlssequenz ohne zusätzliche Sicherung mittels der Schlüsselinformation stattfinden.
  • Ein Vorteil der Prüfung der Befehlssequenz mittels einer Befehlssequenzdefinition ist darin zu sehen, dass dadurch sichergestellt werden kann, dass nur unmanipulierte, von einer vertrauenswürdigen Stelle stammende Befehlssequenzen ausgeführt werden können, da nur diese der Befehlssequenzdefinition genügen.
  • Mit dem erfindungsgemäßen Verfahren können ergänzende Personalisierungen in ungesicherten Bereichen wie der privaten Wohnung des Anwenders, lokalen Vertriebsbüros für Mobilfunkkarten, Chipkartenkodierstellen für Mitarbeiterkarten, Bank-Zweigstellen für Kredit- oder Kundenkarten oder Meldeämtern für Identifikationsausweise und -chipkarten, sicher durchgeführt werden, die bisher nur in gesicherten Personalisierungszentren durchgeführt werden, um hohe Sicherheitsanforderungen zu erfüllen.
  • Zeitaufwendige Personalisierungsschritte, insbesondere ein Generieren von Zertifikaten und Schlüsselpaaren, lassen sich im Rahmen der ergänzenden Personalisierung durchführen. Dabei ist vorteilhaft, dass diese zeitaufwendigen Schritte nicht in einem Personalisierungszentrum durchgeführt werden müssen und dort somit eine kürzere Personalisierungszeit pro Chipkarte erreicht wird und das Personalisierungszentrum Chipkarten in kürzeren Zeitabständen teilpersonalisieren kann.
  • Vorteilhaft ist weiterhin, dass Multiapplikationschipkarten, bei denen auch nach ihrer Auslieferung weitere Anwendungen aufgespielt werden können, zur Aktivierung der Anwendungen nicht erneut ins Personalisierungszentrum geschickt werden müssen, um die Personalisierung vollständig durchzuführen. Die Aktivierung einer solchen weiteren Anwendung kann im Rahmen der ergänzenden Personalisierung durchgeführt werden. D.h. die ergänzende Personalisierung mit Applikationen kann z.B. vom Anwender der Chipkarten selbst in seiner Wohnung außerhalb des Personalisierungszentrums durchgeführt werden.
  • Die Prüfung der Chipkartenbefehle kann beispielsweise durch Verwendung eines Secure-Messaging-Schlüssels als Schlüsselinformation so implementiert und somit gesichert werden, dass eine Übertragung der Befehlssequenz und/oder der Befehlssequenzdefinition auf die Chipkarte bei Verwendung eines falschen Secure-Messaging-Schlüssels verhindert wird. Weiterhin kann die Chipkarte als Schlüsselinformation z.B. einen privaten Schlüssel eines RSA-Schlüsselpaares enthalten. Die übertragene Befehlssequenz und/oder die Befehlssequenzdefinition können zur Sicherung mittels eines öffentlichen RSA-Schlüssels der Chipkarte verschlüsselt sein. Somit kann die Chipkarte, und nur diese, die Befehlssequenz und/oder die Befehlssequenzdefinition mit dem auf der Chipkarte gespeicherten privaten Schlüssel entschlüsseln. Weiterhin kann ein Authentifizierungs- bzw. Signaturschlüssel als Schlüsselinformation verwendet werden, um sicherzustellen, dass die Befehlssequenz und/oder die Befehlssequenzdefinition von der erwarteten Stelle, vorzugsweise dem – die Teilpersonalisierung durchführenden – Personalisierungszentrum, erzeugt und übermittelt wurden.
  • Vorzugsweise wird vor Ausführung eines jeweiligen Chipkartenbefehls der Befehlssequenz unter Zuhilfenahme der Befehlssequenzdefinition geprüft, ob der auszuführende Chipkartenbefehl der Befehlssequenzdefinition genügt. Bei positivem Prüfergebnis wird der Chipkartenbefehl ausgeführt, bei negativem Prüfergebnis nicht.
  • Gemäß einer Weiterbildung der Erfindung kann zur Ausführung der Befehlssequenz eine Zugriffsberechtigung auf der Chipkarte gesetzt werden, und vor Ausführung eines jeweiligen Chipkartenbefehls ein Vorhandensein der Zugriffsberechtigung geprüft werden. Bei positivem Prüfungsergebnis kann dann der betreffende Chipkartenbefehl ausführt werden. Bei negativem Prüfungsergebnis kann die Ausführung des betreffenden Chipkartenbefehls unterdrückt werden.
  • Die Zugriffsberechtigung kann vorteilhafterweise bei einem Aufruf der Befehlssequenz durch das Betriebssystem gesetzt werden. In einer anderen Ausgestaltung kann vor dem Ausführen eines jeweiligen Chipkartenbefehls der Befehlssequenz eine dem Chipkartenbefehl zugeordnete Zugriffsberechtigung gesetzt und nach der Ausführung wieder gelöscht werden.
  • Eine derartige Zugriffsberechtigung für einen Chipkartenbefehl kann beispielsweise ein Schreibrecht auf einen bestimmten Speicherbereich umfassen. Ein weiteres Beispiel für eine Zugriffsberechtigung ist eine Berechtigung eines Chipkartenbefehls einen Schlüssel zur Verschlüsselung oder ein Zertifikat zur Authentisierung zu generieren.
  • Das Setzen und Löschen einer Zugriffsberechtigung erlaubt eine einfache Implementierung von Prüfroutinen zur Prüfung, ob ein Chipkartenbefehl ausgeführt werden darf. Weiterhin lässt sich mittels solcher Prüfroutinen einfach realisieren, dass die Chipkarte bei Abarbeitung von Chipkartenbefehlen außerhalb der ergänzenden Personalisierung keinen Befehl ausführen kann, der nur in der ergänzenden Personalisierung erlaubt ist, indem bei jeder Ausführung eines Chipkartenbefehls – während und außerhalb der ergänzenden Personalisierung – die Zugriffsberechtigungen überprüft werden.
  • Gemäß einer Weiterbildung der Erfindung kann die Schlüsselinformation chipkartenindividuell oder chipkartengruppenindividuell sein. Eine jeweilige Chipkartengruppe kann z.B. einer jeweiligen Produktionscharge der Chipkarten, einem jeweiligen Vertriebskunden der Chipkarten, einer jeweiligen Anwendung, z.B. bei Einsatz als Tankkarte an Tankstellen, oder allen produzierten Chipkarten zugeordnet werden. Somit kann bei der Teilpersonalisierung eingeschränkt werden, auf welchen Chipkarten eine jeweilige Befehlssequenz ausgeführt werden kann – nur auf einer einzelnen Chipkarte, auf einer Chipkartengruppe oder auf allen Chipkarten.
  • Nach einer vorteilhaften Ausführungsform der Erfindung kann die Befehlssequenzdefinition Zustände und Zustandsübergänge eines Zustandsautomaten vorgeben, der von einem jeweiligen Zustand in einen vorgegebenen, von vorher eingenommenen Zuständen verschiedenen Folgezustand wechselt, wobei einem je weiligen Zustand jeweils ein vorgegebener Chipkartenbefehl zugeordnet ist, der in diesem Zustand zur Ausführung zugelassen ist.
  • Die Befehlsequenzdefinition kann für die – vorzugsweise gesamte – Befehlssequenz Informationsmuster umfassen, mit denen durch Vergleich mit in der Befehlssequenz enthaltenen Chipkartenbefehlen ermittelt werden kann, ob ein jeweiliger auszuführender Chipkartenbefehl der Befehlssequenz der Befehlssequenzdefinition genügt, ob eine Reihenfolge der Chipkartenbefehle korrekt ist, und/oder ob nach Abarbeitung der Befehlssequenz alle in der Befehlssequenz enthaltenen Chipkartenbefehle abgearbeitet wurden und somit die Befehlssequenz vollständig abgearbeitet wurde. Dabei kann die Befehlssequenzdefinition so implementiert werden, dass sie zu jedem Chipkartenbefehl der zugehörigen Befehlssequenz eine den Chipkartenbefehl identifizierende Information, vorzugsweise in möglichst knapper Darstellung, enthält.
  • Vorteilhafterweise enthält ein Zustandsdiagramm des Zustandsautomaten keine Verzweigungen, Schleifen oder Rekursionen. Dadurch kann bei der ergänzenden Personalisierung der Chipkarte die Ausführung der Befehlssequenz auf solche Befehlssequenzen eingeschränkt werden, die von der die Teilpersonalisierung durchführende Personalisierungsstelle dafür vorgesehen sind. Durch die Rekursionsfreiheit kann sichergestellt werden, dass eine das Zustandsdiagramm durchlaufende Befehlssequenz unverändert, einmalig, im Wesentlichen vollständig und/oder in der richtigen Reihenfolge ausgeführt wird. Ein Anwender der Chipkarte ist somit gegenüber Manipulation von nicht autorisierten Dritten geschützt.
  • Ferner kann die Befehlssequenzdefinition, die Befehlssequenz, eine durch Abarbeitung der Befehlssequenz bis zu einem jeweiligen Chipkartenbefehl teilweise eingerichtete Chipkartenanwendung, die Zugriffsberechtigung, der Zustandsautomat und/oder ein jeweilig eingenommener Zustand des Zustandsauto maten in einem vorzugsweise nichtflüchtigen Speicher der Chipkarte gespeichert werden. Dadurch kann eine unterbrochene ergänzende Personalisierung nach der Unterbrechung weiter fortgesetzt werden. Bei Verwendung eines nichtflüchtigen Speichers zur Speicherung der angegebenen Informationen ist eine Fortsetzung der ergänzenden Personalisierung auch nach Unterbrechung der Stromversorgung möglich.
  • Dies erhöht zusätzlich die Sicherheit gegenüber Manipulation, weil eine manipulierte nur teilweise gültige Befehlssequenz und Befehlssequenzzdefinition nicht durch einfache Mittel, wie Unterbrechen der Stromversorgung, gelöscht und anschließend durch eine modifizierte, ebenfalls manipulierte Befehlssequenz und Befehlssequenzdefinition ausgetauscht werden kann.
  • Das Fortsetzen einer unterbrochenen ergänzenden Personalisierung kann vorzugsweise durch Fortsetzen der Befehlssequenz bei dem zuletzt eingenommenen Zustand des Zustandsautomaten durchgeführt werden. Alternativ könnte eine unterbrochene ergänzende Personalisierung so fortgesetzt werden, dass die Ausführung der Befehlssequenz an deren Beginn wieder aufgenommen wird und dabei alle bereits abgearbeiteten Chipkartenbefehle ignoriert werden, bis die noch nicht abgearbeiteten Chipkartenbefehle zur Ausführung anstehen.
  • Gemäß einer Weiterbildung der Erfindung kann nach einer vollständigen Abarbeitung der Befehlssequenz eine, die vollzogene ergänzende Personalisierung anzeigende Information auf der Chipkarte gespeichert werden, die Zugriffsberechtigung gelöscht werden, und/oder die Befehlssequenzdefinition, die Befehlssequenz, der Zustandsautomat und/oder ein Zustand des Zustandsautomaten auf der Chipkarte gelöscht werden. Dabei kann die, eine vollzogene ergänzende Personalisierung anzeigende Information auch durch eine Information repräsentiert werden, die nach vollzogener Personalisierung gelöscht wird und somit durch ihr Nichtvorhandensein anzeigt, dass die Personalisierung abgeschlossen ist.
  • Vorteilhaft ist insbesondere, dass nach der ergänzenden Personalisierung nicht mehr benötigte Daten und Chipkartenbefehle gelöscht werden können und somit Speicherplatz freigegeben werden kann. Weiterhin kann das Vorhandensein bzw. Nichtvorhandensein von Daten auf der Chipkarte vom Betriebssystem der Chipkarte ausgewertet werden, um zu erkennen, ob sich die Chipkarte im Zustand der Durchführung einer ergänzenden Personalisierung befindet, ob die ergänzende Personalisierung schon abgeschlossen ist, oder ob die ergänzende Personalisierung noch nicht gestartet wurde. Abhängig von dieser Auswertung kann das Betriebssystem der Chipkarte zusätzlich entscheiden, ob die jeweiligen auszuführenden Befehle mit verschiedenen Zugriffsberechtigungen auszuführen sind.
  • Gemäß einer Weiterbildung der Erfindung kann ein Chipkartenbefehl einer Befehlssequenz, vorzugsweise der letzte Chipkatenbefehl der Befehlssequenz, eine Befehlssequenzdefinition für eine weitere Befehlssequenz enthalten. Dadurch können Befehlssequenzen kaskadiert ausgeführt werden und lange Befehlssequenzen in mehrere kurze, modulare Befehlssequenzen aufgeteilt und sukzessive ausgeführt werden.
  • Weiterhin kann nach Ausführen eines letzten Chipkartenbefehls der Befehlssequenz eine Testroutine zur Überprüfung einer erfolgreichen ergänzenden Personalisierung aufgerufen werden und diese Testroutine bei Erkennen einer fehlerhaften ergänzenden Personalisierung eine, die fehlerhafte Personalisierung anzeigende Information auf die Chipkarte speichern. Damit kann ein Programm der Chipkarte durch einfaches Auslesen dieser Information erkennen, ob eine Anwendung fehlerfrei personalisiert wurde und nur in diesem Fall auf die Anwendung zugreifen. Dabei kann diese Testroutine permanent auf der Chipkarte gespeichert sein, Teil der Befehlssequenz sein oder wie die Befehlssequenz im Rahmen der ergänzenden Personali sierung auf die Chipkarte übertragen werden und nach Beenden wieder gelöscht werden.
  • Gemäß einer Weiterbildung der Erfindung kann im Rahmen der Teilpersonalisierung eine Routine ausgeführt werden, die einen Speicherbereich oder ein Verzeichnis auf der Chipkarte für die Aufnahme von im Rahmen der ergänzenden Personalisierung bei der Ausführung der Befehlssequenz erzeugten Daten reserviert. Damit kann garantiert werden, dass bei der Abarbeitung der ergänzenden Personalisierung kein Speichermangel oder -überlauf auftritt und dass nur die Befehlssequenzen vollständig ausgeführt werden können, deren Chipkartenbefehle in diesen vorher reservierten Speicherbereich schreiben.
  • Gemäß einer Weiterbildung der Erfindung kann bis zur vollständigen Abarbeitung der Befehlssequenz ein Aufrufen von nicht in der Befehlssequenz enthaltenen Chipkartenbefehlen gesperrt werden. Dadurch ist eine Chipkarte erst dann zu ihrem Bestimmungszweck einsetzbar, wenn die ergänzende Personalisierung vollständig ausgeführt und beendet wurde.
    •
  • Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der Zeichnung näher erklärt.
  • Dabei zeigen jeweils in schematischer Darstellung
  • 1 eine, in einem Personalisierungszentrum ablaufende Teilpersonalisierung einer Chipkarte,
  • 2 eine Einleitung einer ergänzenden Personalisierung der Chipkarte in ungesicherter Umgebung,
  • 3 die Chipkarte mit geladenen und permanent vorhandenen Modulen zur Durchführung der ergänzenden Personalisierung,
  • 4 die Chipkarte, bei der Abarbeitung einer Befehlssequenz im Rahmen der ergänzenden Personalisierung und
  • 5 einer Befehlssequenzdefinition als Zustandsautomat mit Zuständen und Zustandsübergängen.
  • In 1 ist eine, in einem Personalisierungszentrum PZ ablaufende, Teilpersonalisierung einer Chipkarte CHIPK schematisch dargestellt. Im vorliegenden Ausführungsbeispiel sei angenommen, dass die Chipkarte CHIPK durch eine, auf ihr enthaltene, gegenüber anderen Chipkarten eindeutige, als Rechteck dargestellte, Chipkartennummer ID identifiziert werden kann. Die Chipkartennummer ID wird vorzugsweise bereits bei der Produktion der Chipkarte CHIPK auf die Chipkarte CHIPK gebracht. Der elektronisch und/oder mechanisch gesicherte Bereich eines Personalisierungszentrums PZ ist durch eine Strich-Punkt-Linie dargestellt. Auf die Chipkarte CHIPK wird in den in 1 veranschaulichten Verfahrensschritten durch ein Chipkartenlese/schreibgerät CHIPLES zugegriffen. Die Kopplung zwischen Chipkartenlese/schreibgerät CHIPLES und Chipkarte CHIPK ist durch einen breiten schwarzen Strich dargestellt, genauso wie die Verbindung zwischen Chipkartenlese/schreibgerät CHIPLES und einem Teilpersonalisierungsmodul KEYGEN. Das Teilpersonalisierungsmodul KEYGEN steuert das Chipkartenlese/schreibgerät CHIPLES und arbeitet Routinen zur Teilpersonalierung der Chipkarte CHIPK ab.
  • Im vorliegenden Ausführungsbeispiel sei angenommen, das das Teilpersonalisierungsmodul KEYGEN Schlüsselinformationen KEY1 und KEY2 vorzugsweise nach dem RSA-Verfahren als Schlüsselpaar generiert. Weiterhin sei das Teilpersonalisierungsmodul KEYGEN mit einer Datenbank CHIPDB verbunden – dargestellt durch einen breiten schwarzen Strich -, die insbesondere eine Tabelle TABKEY, mit einer Zuordnung von Chipkartennummern, hier ID, jeweils zu einer Schlüsselinformation, hier KEY2, umfasst. Schreib/Lesezugriffe auf Daten und Speicher durch die genannten Komponenten sind durch gestrichelte Pfeile dargestellt. Neben der eindeutigen Chipkartennummern ID, umfasst die Chipkarte CHIPK noch einen Speicher MEM, der üblicherweise als EEPROM gestaltet ist, um Daten permanent und überschreibbar speichern zu können.
  • Alternativ – nicht dargestellt – zur Speicherung von Chipkartennummern und Schlüsselinformation in der Datenbank CHIPDB können die Schlüsselinformationen KEY1 und/oder KEY2 durch das Teilpersonalisierungsmodul KEYGEN mittels eines geeigneten, rekonstruierbaren Verfahrens unter Verwendung eines nur dem Personalisierungszentrum PZ bekannten Schlüssels abgeleitet werden.
  • 2 stellt schematisch eine Einleitung der ergänzenden Personalisierung durch Anforderung einer Befehlssequenz BS und einer Befehlssequenzdefinition BSD beim Personalisierungszentrum PZ und deren Übermittlung zur Chipkarte CHIPK dar. Die Chipkarte CHIPK befindet sich dabei in ungesicherter Umgebung. Diese ungesicherte Umgebung wird im Folgenden als Personalisierungsort HB bezeichnet, an dem die ergänzende Personalisierung durchzuführen ist. Dabei sei in dem Ausführungsbeispiel angenommen, dass der Personalisierungsort HB der Heimbereich, d.h. die private Wohnung oder das Büro eines Chipkartenanwenders ist, wobei weitere mögliche Personalisierungsorte HB lokale Personalisierungsbüros, Chipkarten ausgebende Stellen wie Banken und Versicherungen, sowie auch das Personalisierungszentrum PZ sein können.
  • Die Datenbank CHIPDB und die Tabelle TABKEY im Personalisierungszentrum PZ sind in 2 entsprechend 1 dargestellt. Die Chipkarte CHIPK, die Chipkartennummer ID, der Speicher MEM, die Schlüsselinformation KEY1, ein zweites Chipkartenlese/schreibgerät CHIPLES2 und die Verbindung zwischen beiden ist ebenfalls analog 1 dargestellt, wobei sich die Chipkarte CHIPK und das Chipkartenlese/schreibgerät CHIPLES2 nicht im Personalisierungszentrum PZ sondern in ei nem, die ergänzende Personalisierung durchführenden, Personalisierungsort HB befinden. Weiterhin befindet sich am durch eine Strich-Punkt-Linie dargestellten Personalisierungsort HB ein Kommunikationsmodul KOM1, das das Chipkartenlese/schreibgerät CHIPLES2 steuert und über eine Internetverbindung mit einem Kommunikationsmodul KOM2 im Personalisierungszentrum PZ verbunden werden kann. Dabei ist eine Internetverbindung nur eine bevorzugte von mehreren Verbindungsmöglichkeiten.
  • Im Ausführungsbeispiel sei angenommen, dass das Kommunikationsmodul KOM1 eine Internetverbindung mit dem HTTPS-Protokoll (HTTPS: HyperText Transport Protocol Secure) aufbaut, eine Meldung REQ an das Kommunikationsmodul KOM2 schickt und dieses in einer Antwort eine Datenmeldung DAT die Befehlssequenzdefinition B5 und zugehörige Befehlssequenzdefinition BSD – vorzugsweise verschlüsselt – zurück schickt, ebenfalls unter Verwendung des HTTPS-Protokolls. Zur HTTPS-Verschlüsselung kann insbesondere, die auf der Chipkarte CHIPK gespeicherte Schlüsselinformation KEY1 verwendet werden und/oder ein öffentlicher Schlüssel des Personalisierungszentrums PZ.
  • Neben der im Ausführungsbeispiel angenommenen Internetverbindung, sind alle Arten von mündlichen, schriftlichen oder elektronischen Verbindungen möglich, z.B. Funk- oder Telefon-Verbindungen. Weiterhin sind bei einer elektronischen Verbindung verschiedene Protokolle zur Kommunikation möglich, z.B. HTTP, HTTPS, SMTP oder ein proprietäres Protokoll. Die Verbindung kann auch Offline, d.h. ohne direkte elektronische Verbindung, oder durch eine Online-Offline-Kombination durchgeführt werden, bei der die Anfrage zum Personalisierungszentrum PZ durch eine Internet-Verbindung übermittelt wird und die Antwort ohne direkte elektronische Verbindung. Insbesondere ist es in einer alternativen Ausprägung möglich, eine Anfrage an das Personalisierungszentrum PZ fernmündlich abzusetzen und die zu übermittelnden Daten von dort nicht direkt online zu übertragen, sondern abgespeichert auf CD-Rom, Diskette, Bandmedium oder andere Wechseldatenträger per Postlie ferung zu schicken und durch das Kommunikationsmodul KOM1 einlesen zu lassen.
  • Das Kommunikationsmodul KOM2 hat Zugriff, dargestellt durch eine breite schwarze Linie, auf die Datenbank CHIPDB und auf ein Generiermodul BSGEN zum Generieren oder Ermitteln von Befehlssequenz BS und Befehlssequenzdefinition BSD. Die Übermittlung der Meldungen REQ und DAT über die im Ausführungsbeispiel angenommene Internetverbindung zwischen den Kommunikationsmodulen KOM1 und KOM2 ist jeweils durch Pfeile dargestellt. Der Übertragungspfad von Befehlssequenz BS und Befehlssequenzdefinition BSD ausgehend von dem Generiermodul BSGEN bis zum Speicher MEM der Chipkarte CHIPK ist durch einen gestrichelten Pfeil dargestellt.
  • Nicht in der Figur dargstellt ist im Personalisierungsort HB ein Terminal zur Anwenderinteraktion, auf dem ein Programm läuft, dass die evtl. benötigte Interaktion mit dem Anwender durchführt. Dies sind z.B. Rückfragen, ob eine Internetverbindung aufgebaut werden soll, welche Befehlssequenz BS heruntergeladen werden soll. In einer bevorzugten Ausprägung sind Chipkartenlese/schreibgerät CHIPLES2, Kommunikationsmodul KOM1 und das erwähnte Terminal Teil eines Arbeitsplatzrechners mit standardmäßigen Komponenten und Standard-Betriebssystem.
  • Das Kommunikationsmodul KOM2 kann so implementiert sein, dass es nur Verbindungswünsche akzeptiert, die einer in ihr enthaltenen Plausibilisierungsroutine genügt (nicht dargestellt). Weiterhin kann das Kommunikationsmodul KOM2 mit einem Webserver (nicht dargestellt) in Verbindung stehen, ein Modul eines Webservers sein oder einen Webserver enthalten, um Interaktionsmöglichkeiten mit dem Anwender der Chipkarte CHIPK bereitzustellen. Insbesondere kann dem Anwender eine Liste der möglichen zu aktivierenden Chipkartenanwendungen in einer Webseite zur Auswahl angezeigt werden, vorzugsweise nach Lesen und Auswerten der Chipkartennummer ID, um nur für die Chipkarte CHIPK freigeschaltete Chipkartenanwendungen anzuzeigen.
  • Die 3 und 4 zeigen schematisch jeweils die Chipkarte CHIPK mit geladenen und permanent vorhandenen Modulen zur Durchführung der ergänzenden Personalisierung. 3 zeigt dabei einen Zustand nach Einspielen aber vor Abarbeitung von Befehlssequenz BS und Befehlssequenzdefinition BSD. 4 stellt die Chipkarte CHIPK nach Abarbeitung von vier Chipkartenbefehlen B1,..., B4 bei einer Verarbeitung eines 5. Chipkartenbefehls B5 der Befehlssequenz BS dar. Die in den 3 und 4 dargestellte Chipkarte CHIPK weist weiterhin einen Fehlerzähler FEHLZ im Speicher MEM auf. Der Fehlerzähler FEHLZ ist ein Datenfeld, das die Anzahl der Fehler, die Fehlertypen und/oder weitere Details bzgl. auftretender Fehler speichert. Der Speicher MEM umfasst die Schlüsselinformation KEY1, die Befehlssequenzdefinition BSD und die Befehlssequenz BS, die sich dadurch auszeichnet, dass sie Befehl für Befehl an die Chipkarte CHIPK übertragen und abgearbeitet (nicht dargestellt) oder als komplette Sequenz in der Chipkarte CHIPK gespeichert und dann schrittweise abgearbeitet werden kann. Ein freier Speicherbereich FREIMEM des Speichers MEM ist durch ein gestricheltes Rechteck dargestellt. Durch die teilweise Abarbeitung der Befehlssequenz BS (von B1 bis B4) erzeugte Applikationsdaten APPDATA, sind durch ein schraffiertes Rechteck innerhalb des Speichers MEM dargestellt. Die einzelnen Befehle B1, B2, B3, B4, B5 der Befehlssequenz BS sind innerhalb dieser Befehlssequenz BS dargestellt, wobei durch drei Punkte angedeutet ist, dass die Befehlssequenz BS beliebige Anzahl an Befehlen enthalten kann. Auf entsprechende Weise sind die einzelnen Befehlssequenzdefinitionseinheiten Dl, D2, D3, D4, D5 innerhalb der Befehlssequenzdefinition BSD dargestellt. Die Chipkarte CHIPK umfasst weiterhin eine ergänzende Personalisierungsroutine EPERS, die auf die Befehlssequenz BS und die Befehlssequenzdefinition BSD lesend – durch einen gepunkteten Pfeil dargestellt – zugreift, und auf den Fehlerzähler FEHLZ sowie den zur Verfügung stehenden freien Speicher FREIMEM lesend und schreibend – dargestellt durch einen durchgehenden Pfeil – zugreift. Dabei ist das schrittweise Abarbeiten der Befehle B1, B2, B3, B4, B5 und Befehlssequenzdefinitionseinheiten D1, D2, D3, D4, D5 durch einen Doppelpfeil in Abarbeitungsrichtung veranschaulicht.
  • Im Rahmen der ergänzenden Personalisierung auszuführende Chipkartenbefehle B1, B2, B3, B4, B5 können insbesondere Befehle mit Schreibrecht auf einen flüchtigen oder nichtflüchtigen Speicher MEM der Chipkarte sein, sowie Befehle sein, die Sicherheitszertifikate oder Schlüsselpaare generieren.
  • 5 veranschaulicht eine Befehlssequenzdefinition BSD, die Zustände und Zustandsübergänge im Sinne eines Zustandsautomaten vorgibt, wobei dessen Zustände Z1, Z2, Z3, Zn als Kreise dargestellt sind und die Zustandsübergänge als Pfeile zwischen diesen Zuständen Z1, Z2, Z3, Zn Die Zustandsübergänge sind durch die Befehlssequenzdefinitionseinheiten D1, D2, D3, D4, Dn, Dn+1 beschriftet, deren Abarbeitung die Zustandsübergänge bewirken. Der Anfangszustand BZ definiert den Startzustand des Zustandsautomaten; EZ definiert den Endzustand, der die erfolgreiche Abarbeitung der Befehlssequenz BS repräsentiert. Üblicherweise ist Anfangszustand BZ und Endzustand EZ identisch und entspricht einem neutralen Zustand der Chipkarte CHIPK, wenn keine ergänzende Personalisierung stattfindet.
  • 1 veranschaulicht die Teilpersonalisierung der Chipkarte CHIPK im Personalisierungszentrum PZ. Im vorliegenden Ausführungsbeispiel enthält die Chipkarte CHIPK die eindeutige, nicht veränderbare Chipkartennummer ID, durch die die Chipkarte CHIPK identifiziert werden kann. Das Teilpersonalisierungsmodul KEYGEN fordert diese Chipkartennummer ID vom Chipkartenlese/schreibgerät CHIPLES an und übermittelt sie an Datenbank CHIPDB, damit in dieser ein Eintrag in die Tabelle TABKEY erzeugt wird. In der Tabelle TABKEY wird vorzugsweise für alle ausgelieferten Chipkarten jeweils ein Eintrag gespeichert.
  • Das Teilpersonalisierungsmodul KEYGEN erzeugt die, vorzugsweise chipkartenindividuelle, Schlüsselinformationen KEY1 und KEY2 bevorzugt nach dem RSA-Verfahren oder alternativ nach einem geeigneten Schlüsselableitungsverfahren. Je nach eingesetztem Verfahren können die Schlüsselinformationen KEY1 und KEY2 übereinstimmen, so dass es nur eine gemeinsame Schlüsselinformation gibt. Die Schlüsselinformation KEY1 ist bei Verwendung des RSA-Verfahrens ein privater Schlüssel der Chipkarte CHIPK und Schlüsselinformation KEY2 ist ein dazugehöriger öffentlicher Schlüssel. Je nach eingesetztem Verfahren übermittelt das Teilpersonalisierungsmodul KEYGEN die Schlüsselinformation KEY2 zur Datenbank CHIPDB, damit sie in die Tabelle TABKEY zugeordnet zur Chipkartennummer ID abgespeichert wird. Das Teilpersonalisierungsmodul KEYGEN übermittelt die Schlüsselinformation KEY1 an den das Chipkartenlese/schreibgerät, das die erhaltene Schlüsselinformation KEY1 in den nichtflüchtigen Speicher MEM der Chipkarte CHIPK schreibt. Dort bleibt die Schlüsselinformation KEY1 dauerhaft gespeichert. Damit ist die Chipkarte CHIPK mit nur wenigen Schritten und geringem Aufwand teilpersonalisiert.
  • Zur Aktivierung einer Chipkartenanwendung und/oder Daten wird – vorzugsweise an einem anderen Personalisierungsort und zu einem späteren Zeitpunkt – auf die teilpersonalisierte Chipkarte CHIPK eine solche Anwendung und/oder solche Daten eingerichtet. Die dazu benötigten Verfahrensschritte sind schematisch in 2 veranschaulicht:
    Im Heimbereich HB des Anwenders steckt ein Anwender die an ihn übergebene Chipkarte CHIPK in ein Chipkartenlese/schreibgerät CHIPLES2 und startet auf eine nicht näher beschriebene Weise die ergänzende Personalisierung. Daraufhin liest das Kommunikationsmodul KOM1 die Chipkartennummer ID und übermittelt diese, vorzugsweise verschlüsselt durch die Schlüsselin formation KEY1 und/oder einem öffentlichen Schlüssel des Personalisierungszentrums PZ – in der Meldung REQ an das Kommunikationsmodul KOM2 im Personalisierungszentrum PZ um die Lieferung einer Befehlssequenz BS und Befehlssequenzdefinition BSD anzufordern. Je nach Ausprägung der Chipkarte CHIPK kann es für verschiedene zu aktivierende Chipkartenanwendungen ebenfalls verschiedene Meldungen REQ geben, oder eine Meldung REQ mit einem Parameter, der angibt, welche Anwendung auf der Chipkarte zu aktivieren ist.
  • Das Kommunikationsmodul KOM2 extrahiert, evtl. nach vorheriger Entschlüsselung, die übermittelte Chipkartennummer ID aus der Meldung REQ und bestimmt aus der Meldung REQ weiterhin, welche Anwendung in einem späteren Schritt auf der Chipkarte CHIPK zu aktivieren ist. Das Kommunikationsmodul KOM2 kontaktiert die Datenbank CHIPDB und fragt die dort in der Tabelle TABKEY abgespeicherte Schlüsselinformation KEY2 ab. Darüber hinaus fordert das Kommunikationsmodul KOM2 vom Generiermodul BSGEN eine Befehlssequenz BS zum späteren Erzeugen der Chipkartenanwendung und eine dazugehörige passende Befehlssequenzdefinition BSD an, wobei evtl. zu dessen Erzeugung die Schlüsselinformation KEY2 vom Kommunikationsmodul KOM2 bereitgestellt wird und durch das Generiermodul BSGEN verwendet wird. Die Befehlssequenzdefinition BSD wird dann unter Verwendung der Schlüsselinformation KEY2 und der Befehlssequenz BS so erzeugt, dass sie auf der Chipkarte CHIPK dazu verwendet werden kann, die Ausführung der Befehlssequenz BS nach verschiedenen Kriterien zu überprüfen.
  • Je nachdem welche Chipkartenanwendung zu aktivieren ist, erzeugt oder liest das Generiermodul BSGEN die, die Anwendung einrichtende Befehlssequenz BS und die Befehlssequenzdefinition BSD, wobei vorzugsweise beide unter Verwendung der Schlüsselinformation KEY2 kartenindividuell verschlüsselt werden und somit nur auf derjenigen Chipkarte entschlüsselt werden können, die die passende Schlüsselinformation KEY1 enthält. Weiterhin kann eine Befehlssequenz BS erzeugt wer den, die bei Ausführung mehrere Anwendungen auf der Chipkarte CHIPK einrichten kann. Zusätzlich kann die ergänzende Personalisierungsroutine EPERS ebenfalls vom Generiermodul BSGEN bereitgestellt und auf die Chipkarte übertragen werden (nicht dargestellt). Dies ist vorteilhaft, wenn für unterschiedliche Befehlssequenzen unterschiedliche Personalisierungsroutinen zur Anwendung kommen.
  • Das Kommunikationsmodul KOM2 sendet die Befehlssequenz BS und die Befehlssequenzdefinition BSD und gegebenenfalls die ergänzende Personalisierungsroutine EPERS in einer, vorzugsweise mittels der Schlüsselinformation KEY2 verschlüsselten und/oder des öffentlichen Schlüssels des Personalisierungszentrums PZ verifizierbaren Datenmeldung DAT an das Kommunikationsmodul KOM1 im Heimbereich HB des Anwenders. Die Befehlssequenz BS und die Befehlssequenzdefinition BSD wird auf die Chipkarte CHIPK übertragen, indem das Kommunikationsmodul KOM1 diese unter Verwendung des Chipkartenlese/schreibgeräts CHIPLES2 in den Speicher MEM der Chipkarte CHIPK schreibt. Weiterhin veranlasst das Kommunikationsmodul KOM1 ein Aufrufen der ergänzenden Personalisierungsroutine EPERS, um die Befehlssequenz BS im Rahmen der ergänzenden Personalisierung auszuführen.
  • In 3 ist die Chipkarte CHIPK nach Aufspielen der Befehlssequenz BS und der Befehlssequenzdefinition BSD nach Aufruf der ergänzenden Personalisierungsroutine EPERS schematisch dargestellt. Falls die Befehlssequenz BS und die Befehlssequenzdefinition BSD verschlüsselt auf die Chipkarte gespielt wurden, sind diese durch die ergänzende Personalisierungsroutine EPERS zunächst unter Verwendung der Schlüsselinformation KEY1 zu entschlüsseln.
  • Die Verwendung der Schlüsselinformation KEY1 zur Entschlüsselung – vorzugsweise unter Verwendung von Standard-Mitteln – sichert somit die folgende Prüfung der Befehlssequenz BS mittels der Befehlssequenzdefinition BSD, da nur für die Ent schlüsselung durch die Schlüsselinformation KEY1 vorbereitete Befehlssequenzen BS entschlüsselt werden können. Somit wird implizit die Ausführung anderer Befehlssequenzen verhindert. Durch die Sicherung der gesamten Befehlssequenz BS werden implizit die jeweiligen Chipkartenbefehle B1, B2, B3, B4, B5 der Befehlssequenz BS gesichert.
  • Ein in der ergänzenden Personalisierungsroutine EPERS enthaltener Zeiger zeigt auf den nächsten auszuführenden Befehl der Befehlssequenz BS. Dies ist zu Beginn der erste Befehl B1 der Befehlssequenz BS. Ein weiterer enthaltener Zeiger zeigt parallel dazu auf die erste auszuwertende Befehlssequenzdefinitionseinheit D1, die dem Befehl B1 zugeordnet ist, wobei im Anwendungsbeispiel angenommen sei, dass die Befehlssequenzdefinition BSD für die gesamte Befehlssequenz BS Informationsmuster umfasst und es zu jedem Befehl genau eine Befehlssequenzdefinitionseinheit gibt.
  • Ein dritter enthaltener Zeiger zeigt auf den, der zu installierenden Anwendung zugewiesenen Speicherbereich im freien Speicher FREIMEM. In einer alternativen Ausprägung der Erfindung kann dieser Speicherbereich bereits im Rahmen der Teilpersonalisierung für die Anwendung reserviert werden.
  • Die Darstellung als Zeiger ist dabei nur zur Verdeutlichung eingeführt worden und kann in einer Implementierung einer Chipkarte CHIPK auch ohne Zeiger gelöst werden. Der Fehlerzähler FEHLZ ist entweder bereits auf der Chipkarte CHIPK vorhanden oder wird erst durch die ergänzenden Personalisierungsroutine EPERS im Speicher MEM erzeugt.
  • Die ergänzenden Personalisierungsroutine EPERS liest nun (nicht dargestellt), den ersten Befehls B1 der Befehlssequenz BS und prüft mittels der zugehörigen Befehlssequenzdefinitionseinheit D1, ob der auszuführende Befehl B1 dieser Befehlssequenzdefinitionseinheit D1 genügt. Damit kann sichergestellt werden, dass kein unzulässiger Befehl ausgeführt wird und dass keine Befehle in falscher Reihenfolge ausgeführt werden. Sofern der Befehl B1 der Befehlssequenzdefinitionseinheit D1 genügt, wird er durch die Chipkarte CHIPK ausgeführt und sofern es sich um einen Schreibbefehl auf den Speicher MEM handelt, wird ein Teil des freien Speichers FREIMEM mit Applikationsdaten APPDATA beschrieben. Damit reduziert sich der freie Speicher FREIMEM. Anschließend werden die Zeiger so weitergeschaltet, dass als nächster auszuführender Befehl der Befehl B2 und als nächste auszuwertende Befehlssequenzdefinitionseinheiten die Einheit D2 gesetzt ist.
  • Im Falle eines Fehlers werden die Zeiger nicht weitergeschaltet und der Fehlerzähler FEHLZ erhöht. Das weitere Verhalten nach einem Fehler kann unterschiedlich ausgeprägt sein; z.B. kann die Abarbeitung der Befehlssequenz BS abgebrochen werden oder es kann versucht werden, den Befehl ein weiteres mal auszuführen. Bei Abbruch der Befehlssequenz BS kann der Zeiger auf die Befehlssequenzdefinition BSD zurückgesetzt werden oder er kann an der bisherigen Stelle bleiben, um nach Übertragen einer weiteren Befehlssequenz BS auf die Chipkarte CHIPK die Abarbeitung dort fortzusetzen.
  • Die ergänzende Personalisierungsroutine EPERS oder eine Betriebssystem-Routine der Chipkarte CHIPK kann den Fehlerzähler FEHLZ überprüfen und bei Überschreiten eines vorgegebenen Schwellwerts eine Aktion auslösen, wie z.B. das Unbrauchbarmachen der Chipkarte CHIPK.
  • 4 veranschaulicht schematisch die Chipkarte CHIPK nach erfolgreicher Abarbeitung von vier Befehlen B1, B2, B3, B4 der Befehlssequenz BS. Analog wurden in der dargestellten Ausprägung der Erfindung nach Abarbeitung der vier Befehle auch vier Befehlssequenzdefinitionseinheiten Dl, D2, D3, D4 ausgewertet. Ein ursprünglich freier Speicherbereich wurde bei Ausführung der Befehle B1, B2, B3, B4 für die Speicherung der Anwendungsdaten APPDATA verwendet. Nach Abarbeitung aller Befehle der Befehlssequenz BS, sind parallel alle Befehlsse quenzdefinitionseinheiten der Befehlssequenzdefinition BSD erfolgreich ausgewertet worden und die gewünschte Anwendung in den Anwendungsdaten APPDATA angelegt worden. Somit ist die Chipkartenanwendung eingerichtet und die ergänzende Personalisierung kann beendet werden.
  • Die Befehlssequenz BS und Befehlssequenzdefinition BSD kann von der ergänzenden Personalisierungsroutine EPERS gelöscht werden. Weiterhin kann sich diese Routine beenden. Die Chipkarte CHIPK kann nach Beendigung der ergänzenden Personalisierung die nun auf ihr gespeicherte Anwendung verwenden.
  • Die Chipkarte CHIPK kann eine Meldung (nicht dargestellt) über die erfolgreiche Abarbeitung der Befehlssequenz BS an das Kommunikationsmodul KOM1 senden, das diese Information dann an den Anwender auf dem Bildschirm eines Terminals anzeigen kann.
  • Weiterhin kann das Kommunikationsmodul KOM1 eine entsprechende Meldung (nicht dargestellt) an das Personalisierungszentrum PZ senden.
  • 5 stellt schematisch eine, einen Zustandsautomaten vorgebende, Befehlssequenzdefinition BSD dar. Eine erfolgreiche Auswertung einer Befehlssequenzdefinitionseinheit D1 und somit eine erfolgreiche Abarbeitung eines Befehls B1, lässt den Zustandsautomaten vom Anfangszustand BZ in den Zustand Z1 wechseln. Dieser Zustand wird vom Automaten wiederum nur verlassen und zum einzig folgenden Zustand Z2 weitergeschaltet, wenn die Befehlssequenzdefinitionseinheit D2 erfolgreich ausgewertet wurde und somit Befehl B2 abgearbeitet wurde. Da der in 5 dargestellte Zustandsautomat keinerlei vorwärts- oder rückwärtsgerichtete Schleifen im Zustandsgraphen besitzt, gibt es nur eine Folge von Befehlssequenzdefinitionseinheiten, die den Zustandsautomaten komplett durchläuft und ihn in den Endzustand EZ bringt. Der Endzustand EZ ist dann wie der Anfangszustand BZ wieder ein Zustand, der üblicher weise im Normalbetrieb der Chipkarte CHIPK, also außerhalb der ergänzenden Personalisierung, eingenommen wird.
  • Es kann somit garantiert werden, dass in einer Befehlssequenz BS entsprechend der Vorgabe der Befehlssequenzdefinition BSD alle Befehle der Befehlssequenz BS abgearbeitet werden, dass die Reihenfolge der Befehle der Befehlssequenzdefinition BSD genügen und dass keine in die Befehlssequenz BS später eingefügte Befehle, abgearbeitet werden.
  • Durch den Übergang aus dem Anfangszustand BZ kann gesteuert werden, dass dadurch weitergehende Zugriffsrechte, wie z.B. Schreibrecht auf bestimmte Speicherbereiche durch Setzen einer Zugriffsberechtigung, freigeschaltet werden und während der Ausführung der Befehlssequenz BS zur Verfügung stehen. Durch den Übergang zum Endzustand EZ kann diese Zugriffsberechtigung dann wieder zurückgenommen werden. Falls jeder Chipkartenbefehl vor seiner Abarbeitung auf von ihm benötigte Zugriffsberechtigungen geprüft wird, kann somit erreicht werden, dass während einer ergänzenden Personalisierung ausgeführte Chipkartenbefehle ausreichende Zugriffsrechte besitzen, und solche Chipkartenbefehle außerhalb der ergänzenden Personalisierung gesperrt werden.
  • Das vorliegende Ausführungsbeispiel umfasst eine Authorisierung beim Personalisierungszentrum PZ, eine gesicherte Übertragung der Befehlssequenz BS, eine Prüfung der Befehlssequenz BS durch die Befehlssequenzdefinition BSD, die einen schleifenfreien Zustandsautomaten vorgibt. Damit genügt es den üblicherweise hohen Sicherheitsforderungen für digitale Signaturanwendungen. Durch individuelle Kombination der angegebenen Merkmale und durch individuelle Ausgestaltung dieser Merkmale, ermöglichen Ausgestaltungen dieser Erfindung nach den individuellen Sicherheitsvorgaben von Personalisierungszentren eine exakte Umsetzung dieser Sicherheitsvorgaben.

Claims (11)

  1. Verfahren zur Personalisierung einer Chipkarte (CHIPK), bei dem a. im Rahmen einer Teilpersonalisierung eine Schlüsselinformation (KEY1) in einem Speicher (MEM) der Chipkarte (CHIPK) gespeichert wird, b. im Rahmen einer ergänzenden Personalisierung i. eine Befehlssequenzdefinition (BSD) auf die Chipkarte (CHIPK) übertragen wird, ii. eine, eine Chipkartenanwendung einrichtende Befehlssequenz (BS) mit durch die Chipkarte (CHIPK) auszuführenden Chipkartenbefehlen (B1,B2,B3,B4,B5), auf die Chipkarte (CHIPK) übertragen wird, iii. für einen jeweiligen Chipkartenbefehl (B1,B2,B3,B4,B5) eine die Schlüsselinformation (KEY1) verwendende und dadurch gesicherte Prüfung erfolgt, ob dieser Chipkartenbefehl (B1,B2,B3,B4,B5) der Befehlssequenzdefinition (BSD) genügt, und iv. falls das zutrifft, der betreffende Chipkartenbefehl (B1,B2,B3,B4,B5) durch die Chipkarte (CHIPK) ausgeführt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zur Ausführung der Befehlssequenz (BS) eine Zugriffsberechtigung auf der Chipkarte gesetzt wird, und vor Ausführung eines jeweiligen Chipkartenbefehls (B1,B2,B3,B4,B5) ein Vorhandensein der Zugriffsberechtigung geprüft wird, bei positivem Prüfungsergebnis, der betreffende Chipkartenbefehl (B1,B2,B3,B4,B5) ausführt wird, und bei negativem Prüfungsergebnis der betreffende Chipkartenbefehl (B1,B2,B3,B4,B5) nicht ausgeführt wird.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schlüsselinformation (KEY1) chipkartenindividuell oder chipkartengruppenindividuell ist.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Rahmen einer ergänzenden Personalisierung eine die ergänzende Personalisierung durchführende ergänzende Personalisierungsroutine (EPERS) auf die Chipkarte (CHIPK) übertragen wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Befehlssequenzdefinition (BSD) Zustände (BZ,Z1,Z2,Z3,Zn) und Zustandsübergänge eines Zustandsautomaten vorgibt, der von einem jeweiligen Zustand (BZ,Z1,Z2,Z3,Zn) in einen vorgegebenen, von vorher eingenommenen Zuständen verschiedenen Folgezustand wechselt, wobei einem jeweiligen Zustand (BZ,Z1,Z2,Z3,Zn) jeweils ein vorgegebener Chipkartenbefehl zugeordnet ist, der in diesem Zustand (BZ,Z1,Z2,Z3,Zn) zur Ausführung zugelassen ist.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Befehlssequenzdefinition (BSD), die Befehlssequenz (BS), die ergänzende Personalisierungsroutine (EPERS), eine durch Abarbeitung der Befehlssequenz (BS) bis zu einem jeweiligen Chipkartenbefehl (B1,B2,B3,B4,B5) teilweise eingerichtete Chipkartenanwendung (APPDATA), die Zugriffsberechtigung, der Zustandsautomat und/oder ein jeweilig eingenommener Zustand (BZ,Z1,Z2,Z3,Zn,EZ) des Zustandsautomaten in einem vorzugsweise nichtflüchtigen Speicher (MEM) der Chipkarte (CHIPK) gespeichert werden.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach einer vollständigen Abarbeitung der Befehlssequenz (BS) a. eine, die vollzogene ergänzende Personalisierung anzeigende Information auf der Chipkarte (CHIPK) gespeichert wird, b. die Zugriffsberechtigung gelöscht wird, und/oder c. die Befehlssequenzdefinition (BSD), die Befehlssequenz (BS), die ergänzende Personalisierungsroutine (EPERS), der Zustandsautomat und/oder ein Zustand des Zustandsautomaten auf der Chipkarte (CHIPK) gelöscht wird.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Chipkartenbefehl (B1,B2,B3,B4,B5) einer Befehlssequenz (BS) eine Befehlssequenzdefinition (BSD) für eine weitere Befehlssequenz (BS) enthält.
  9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach Ausführen eines letzten Chipkartenbefehls der Befehlssequenz eine Testroutine zur Überprüfung einer erfolgreichen Personalisierung aufgerufen wird und diese Testroutine bei Erkennen einer fehlerhaften Personalisierung eine, die fehlerhafte Personalisierung anzeigende Information auf die Chipkarte (CHIPK) speichert.
  10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Rahmen der Teilpersonalisierung eine Routine ausgeführt wird, die einen Speicherbereich auf der Chipkarte (CHIPK) reserviert für die Aufnahme von im Rahmen der ergänzenden Personalisierung bei der Ausführung der Befehlssequenz (BS) erzeugte Daten (APPDATA) der Chipkartenanwendung.
  11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bis zur vollständigen Abarbeitung der Befehlssequenz (BS) ein Aufrufen von nicht in der Befehlssequenz (BS) enthaltenen Chipkartebefehlen gesperrt ist.
DE102004058020A 2004-12-01 2004-12-01 Verfahren zur Personalisierung von Chipkarten Withdrawn DE102004058020A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102004058020A DE102004058020A1 (de) 2004-12-01 2004-12-01 Verfahren zur Personalisierung von Chipkarten
US11/791,637 US8020773B2 (en) 2004-12-01 2005-11-11 Method for personalizing chip cards
EP05811146A EP1817752A2 (de) 2004-12-01 2005-11-11 Verfahren zur personalisierung von chipkarten
CN2005800413484A CN101069218B (zh) 2004-12-01 2005-11-11 个性化芯片卡的方法
PCT/EP2005/055911 WO2006058828A2 (de) 2004-12-01 2005-11-11 Verfahren zur personalisierung von chipkarten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004058020A DE102004058020A1 (de) 2004-12-01 2004-12-01 Verfahren zur Personalisierung von Chipkarten

Publications (1)

Publication Number Publication Date
DE102004058020A1 true DE102004058020A1 (de) 2006-06-08

Family

ID=35708858

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004058020A Withdrawn DE102004058020A1 (de) 2004-12-01 2004-12-01 Verfahren zur Personalisierung von Chipkarten

Country Status (5)

Country Link
US (1) US8020773B2 (de)
EP (1) EP1817752A2 (de)
CN (1) CN101069218B (de)
DE (1) DE102004058020A1 (de)
WO (1) WO2006058828A2 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1622098A1 (de) * 2004-07-30 2006-02-01 ST Incard S.r.l. Verfahren zur gesicherten Personalisierung einer IC-Karte
EP2200253A1 (de) * 2008-12-19 2010-06-23 Gemalto SA Verfahren zur Verwaltung von sensiblen Daten in einem elektronischen Token
BR112012017000A2 (pt) * 2010-01-12 2016-04-05 Visa Int Service Ass método
DE102010019195A1 (de) * 2010-05-04 2011-11-10 Giesecke & Devrient Gmbh Verfahren zur Personalisierung eines tragbaren Datenträgers, insbesondere einer Chipkarte

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3927270C2 (de) * 1989-08-18 1996-07-11 Deutsche Telekom Ag Verfahren zum Personalisieren von Chipkarten
US6335799B1 (en) * 1993-01-21 2002-01-01 Efunds Corporation Plastic card personalizer system
US5889941A (en) * 1996-04-15 1999-03-30 Ubiq Inc. System and apparatus for smart card personalization
DE19633466C2 (de) * 1996-08-20 2001-03-01 Ibm Nachinitialisierung von Chipkarten
US6202155B1 (en) * 1996-11-22 2001-03-13 Ubiq Incorporated Virtual card personalization system
DE19733662C2 (de) * 1997-08-04 2001-05-23 Deutsche Telekom Mobil Verfahren und Vorrichtung zur kundenseitigen Personalisierung von GSM-Chips
US6196459B1 (en) * 1998-05-11 2001-03-06 Ubiq Incorporated Smart card personalization in a multistation environment
DE19858343A1 (de) * 1998-12-17 2000-06-21 Giesecke & Devrient Gmbh Verfahren und Vorrichtung zum Herstellen von personalisierten Chipkarten
DE19922946A1 (de) * 1999-05-14 2000-11-23 Daimler Chrysler Ag Verfahren zum Einbringen von Authentikationsdaten auf eine Hardwareeinheit
DE19958599A1 (de) 1999-05-27 2000-11-30 Bosch Gmbh Robert Verfahren zur Verschlüsselung einer numerischen Information und Sendemodul
DE19947986A1 (de) * 1999-10-05 2001-04-12 Ibm System und Verfahren zum Herunterladen von Anwendungsteilen auf eine Chipkarte
DE19958559A1 (de) * 1999-12-04 2001-06-07 Orga Kartensysteme Gmbh Verfahren zur Initialisierung und/oder Personalisierung von Chipkarten sowie eine entsprechende Einrichtung
WO2001043979A1 (en) * 1999-12-15 2001-06-21 Fargo Electronics, Inc. Identification card personalization device with web browser
DE10065749A1 (de) * 2000-12-29 2002-07-18 Infineon Technologies Ag Verfahren zur Bereitstellung eines personalisierten Datenträgers
DE10123664A1 (de) * 2001-05-15 2002-11-21 Giesecke & Devrient Gmbh Verfahren zur Schlüsselgenerierung für Signaturkarten
US6902107B2 (en) * 2002-01-28 2005-06-07 Datacard Corporation Card personalization system and method
DE10212875A1 (de) * 2002-03-22 2003-10-23 Beta Res Gmbh Verfahren zur Herstellung einer Chipkarte mit einem Schlüssel
DE10218795B4 (de) 2002-04-22 2009-03-19 Deutscher Sparkassen Verlag Gmbh Verfahren zum Herstellen eines elektronischen Sicherheitsmoduls
DE10230447A1 (de) * 2002-07-06 2004-01-15 Deutsche Telekom Ag Verfahren und Vorrichtung zur Anbindung von Kartenterminals
US8239594B2 (en) * 2005-11-10 2012-08-07 Datacard Corporation Modular card issuance system and method of operation

Also Published As

Publication number Publication date
WO2006058828A3 (de) 2006-08-24
US20080116261A1 (en) 2008-05-22
WO2006058828A2 (de) 2006-06-08
CN101069218B (zh) 2011-07-27
CN101069218A (zh) 2007-11-07
EP1817752A2 (de) 2007-08-15
US8020773B2 (en) 2011-09-20

Similar Documents

Publication Publication Date Title
EP3108610B1 (de) Verfarhen und system zum erstellen und zur gültigkeitsprüfung von gerätezertifikaten
DE10008973B4 (de) Autorisierungsverfahren mit Zertifikat
EP2492839B1 (de) Verfahren und system zum authentifizieren eines benutzers
DE60119400T2 (de) Datenverarbeitungssystem, tragbare elektronische Vorrichtung, Zugangsvorrichtung zur tragbaren elektronischen Vorrichtung, und Verfahren zum Gebrauch von Speicherraum
DE60207289T2 (de) Verfahren und vorrichtung zur symmetrischen schlüsselerzeugung in einer persönlichen sicherheitsvorrichtung mit begrenzten vertrauensbeziehungen
DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
DE112011100182T5 (de) Transaktionsprüfung für Datensicherheitsvorrichtungen
EP1185026B2 (de) Verfahren zur Datenübertragung
DE102011010627A1 (de) Verfahren zur Programmierung eines Mobilendgeräte-Chips
WO2006058828A2 (de) Verfahren zur personalisierung von chipkarten
DE60032693T2 (de) Datenspeichersystem, Ausgabevorrichtung, datenliefernde Vorrichtung und rechnerlesbares Medium zum Speichern eines Datenspeicherprogrammes
EP1222563A2 (de) System zur ausführung einer transaktion
EP0696021B1 (de) Verfahren zur Bestimmung des aktuellen Geldbetrags in einem Datenträger und System zur Durchführung des Verfahrens
EP3125464B1 (de) Sperrdienst für ein durch einen id-token erzeugtes zertifikat
EP3271855B1 (de) Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken
WO1998028718A2 (de) Chipkarte und verfahren zur verwendung der chipkarte
DE102019005546B4 (de) Verfahren zur Ersteinrichtung eines Maschinendatenkommunikationsnetzwerks, Verfahren zum Austauschen einer Hardwarekomponente
EP1609097B1 (de) Verfahren und kommunikationssystem zur freigabe einer datenverarbeitungseinheit
WO2022194658A1 (de) Verfahren zur autorisierung eines ersten teilnehmers in einem kommunikationsnetz, verarbeitungseinrichtung, kraftfahrzeug und infrastruktureinrichtung
EP1927870A2 (de) Tragbarer Datenträger
WO2023011759A1 (de) Münzverwaltungseinheit sowie verfahren in einer münzverwaltungseinheit
WO2016071196A1 (de) Verfahren zur änderung einer in einer chipkarte gespeicherten datenstruktur, signaturvorrichtung und elektronisches system
EP3248356B1 (de) Zertifikats-token zum bereitstellen eines digitalen zertifikats eines nutzers
WO2023046317A1 (de) Münzverwaltungseinheit sowie verfahren in einer münzverwaltungseinheit
EP4040324A1 (de) Chip-initialisierung mit betriebssystemladen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R016 Response to examination communication
R082 Change of representative

Representative=s name: WILHELM & BECK, DE

Representative=s name: WILHELM & BECK, 80639 MUENCHEN, DE

R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: ATOS IT SOLUTIONS AND SERVICES GMBH, DE

Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE

Effective date: 20110825

Owner name: ATOS IT SOLUTIONS AND SERVICES GMBH, DE

Free format text: FORMER OWNER: SIEMENS AG, 80333 MUENCHEN, DE

Effective date: 20110825

Owner name: SIEMENS IT SOLUTIONS AND SERVICES GMBH, DE

Free format text: FORMER OWNER: SIEMENS AG, 80333 MUENCHEN, DE

Effective date: 20110825

R081 Change of applicant/patentee

Owner name: ATOS IT SOLUTIONS AND SERVICES GMBH, DE

Free format text: FORMER OWNER: SIEMENS IT SOLUTIONS AND SERVICES GMBH, 81739 MUENCHEN, DE

Effective date: 20120113

R082 Change of representative

Representative=s name: WILHELM & BECK, DE

Effective date: 20110825

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee