-
Die
Erfindung betrifft ein Verfahren und ein Gerät zum Veranlassen einer kontextabhängigen Aktion
anhand eines aus einem Tag ausgelesenen Lesekontextes.
-
Mobile
bzw. tragbare Tags werden vielseitig eingesetzt, insbesondere in
den Bereichen der Logistik, der Wartung und im Bereich von Zugangskontrollen.
Die am weitesten verbreiteten Tags sind dabei RFID-Tags, welche über eine
Funkschnittstelle mit einem Lesegerät kommunizieren. RFID-Tags
speichern Daten, die von dem Lesegerät abfragbar sind. Derartige
Tags können
als passive Tags, das heißt ohne
eigene Stromversorgung, oder als aktive Tags, das heißt mit eigener
Stromversorgung, ausgebildet sein.
-
Um
Manipulationen zu verhindern authentisieren sich Tags in der Regel
gegenüber
dem Lesegerät.
Dabei wird beispielsweise eine Identifizierung bzw. eine ID des
Tags durch das Lesegerät überprüft. Eine
Möglichkeit
für eine
sichere Authentisierung von Tags, beispielsweise RFID-Tags, ist
das sogenannte kryptographische Challenge-Response-Verfahren. Dabei
sendet die prüfende
Instanz, bei der es sich beispielsweise um das Lesegerät handelt,
eine Challenge an das Tag, wobei die Challenge beispielsweise aus
einer generierten Zufallszahl besteht. Das Tag, welches die Challenge
empfangen hat, berechnet darauf hin mit Hilfe eines geheimen Schlüssels eine
sogenannte Response, die dann zurück an die prüfende Instanz
bzw. das Lesegerät
gesendet wird. Das Lesegerät überprüft die korrekte
Berechnung der Response durch das Tag. Bei dem Challenge-Response-Verfahren
wird der geheime Schlüssel
selbst nicht übertragen,
so dass die Sicherheit gegenüber Manipulationen
höher ist
als beispielsweise bei der Übertragung
eines Passwortes.
-
1 zeigt
ein Signaldiagramm zur Darstellung einer einseitigen bzw. unilateralen
Authentifizierung eines RFID-Tags gegenüber einem Lesegerät LG. Dabei
wird asymmetrische Kryptographie eingesetzt. Auf eine Anforderung
des Lesegerätes
hin überträgt das RFID-Tag
ein Zertifikat an das Lesegerät.
Damit die Echtheit des öffentlichen
Schlüssels, der
zum Prüfen
des Tags benötigt
wird, sichergestellt werden kann, wird das Zertifikat Z benötigt. Dabei kann
das Zertifikat Z mit dem öffentlichen
Schlüssel freilesbar
auf dem RFID-Tag abgespeichert sein. Der private Schlüssel ist
dagegen nicht auslesbar. Das Zertifikat Z des Tags enthält den öffentlichen
Schlüssel
des Tags Kpub. Das Zertifikat Z ist zum
Beispiel durch eine Zertifizierungsbehörde CA (Certificate Authority)
digital signiert. Falls das Lesegerät das Zertifikat Z des Tags
nicht erfolgreich verifizieren kann, wird das Tag zurückgewiesen
und der Prozess abgebrochen. Ist hingegen das ausgelesene Zertifikat
gültig,
sendet das Lesegerät
eine Challenge C an das RFID-Tag, welches die Response bzw. Antwort
R unter Verwendung des geheimen privaten Schlüssels Kpriv des
Tags berechnet. Die berechnete Response R wird von dem RFID-Tag
zurück
an das Lesegerät LG übertragen.
Das Lesegerät
LG verifiziert die empfangene Response R unter Verwendung des öffentlichen
Schlüssels
des Tags. Wenn die Verifizierung erfolgreich ist, wird das RFID-Tag
als authentisch akzeptiert. Die in 1 dargestellte
unilaterale Authentifizierung des RFID-Tags eignet sich dazu, zu
verifizieren, ob das RFID-Tag gültig
ist. Um eine gegenseitige Authentifizierung zwischen dem Lesegerät und dem
RFID-Tag zu implementieren, kann auch eine bidirektionale Authentifizierung
erfolgen, wie dies schematisch in dem Signaldiagramm der 2 dargestellt
ist. Dabei authentifiziert sich das RFID-Tag gegenüber dem
Lesegerät
LG und das Lesegerät
LG gegenüber
dem RFID-Tag jeweils in einem Challenge-Response-Verfahren.
-
Durch
die herkömmliche
Authentifizierung eines Tags gegenüber einem Lesegerät LG, wie
in 1 dargestellt, oder der beidseitigen Authentifizierung,
wie in 2 dargestellt, kann ein Tag authentisiert werden
bzw. dessen Gültigkeit
ve rifiziert werden. Bei dieser herkömmlichen Vorgehensweise ist es
allerdings nicht möglich
die Gültigkeit
eines Tags manipulationssicher an Bedingungen zu knüpfen. Beispielsweise
ist es nicht möglich
die Bedienung zu implementieren, dass ein Tag, nur während eines
bestimmten Zeitraumes oder nur in einem bestimmten Gebiet, gültig ist.
-
Es
ist daher eine Aufgabe der vorliegenden Erfindung ein Verfahren
und ein Gerät
zum Veranlassen einer kontextabhängigen
Aktion zu schaffen, bei der die Aktion in Abhängigkeit von einer an das Tag geknüpften Bedingung
erfolgt.
-
Diese
Aufgabe wird erfindungsgemäß durch ein
Verfahren mit den im Patentanspruch 1 angegebenen Merkmalen gelöst.
-
Die
Erfindung schafft ein Verfahren zum Veranlassen einer kontextabhängigen Aktion
mit den Schritten:
- a) Auslesen eines gespeicherten
Soll-Kontextes oder einer Referenzierungsadresse für einen
gespeicherten Soll-Kontext
aus einem Tag unter einem Ist-Kontext durch ein Lesegerät, wobei
der ausgelesene Soll-Kontext oder die Referenzierungsadresse mit
einer kryptographischen Prüfsumme
gesichert sind;
- b) Verifizieren des Soll-Kontextes anhand der zugehörigen kryptographischen
Prüfsumme
lokal durch das Lesegerät
oder durch einen mit dem Lesegerät
verbundenen Server; und
- c) Veranlassen mindestens einer Aktion in Abhängigkeit
von dem verifizierten Soll-Kontext und in Abhängigkeit von dem Ist-Kontext
des Auslesevorganges.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
weist der Ist-Kontext mindestens einen Kontextparameter auf,
wobei
der Kontextparameter durch
einen geographischen Ort des Auslesevorgangs,
eine
Tag-ID des ausgelesenen Tags,
einen Tag-Typ des ausgelesenen
Tags,
einen Zeitpunkt des Auslesevorganges,
einen Typ
eines bei dem Auslesevorgang eingesetzten Datenübertragungsprotokolls oder
durch
einen oder mehrere physikalische Umgebungsparameter an
dem geographischen Ort des Auslesevorgangs gebildet wird.
-
Durch
die Vielseitigkeit der unterschiedlichen Ist-Kontextparameter lässt sich das erfindungsgemäße Verfahren
flexibel für
unterschiedliche Anwendungsgebiete einsetzen.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
weist der Soll-Kontext für
jeden Kontextparameter des Ist-Kontextes
mindestens eine zugehörige
Prüfbedingung
auf.
-
Bei
einer Variante des erfindungsgemäßen Verfahrens
besteht die kryptographische Prüfsumme aus
einer digitalen Signatur des Soll-Kontextes oder aus einer digitalen
Signatur der Referenzierungsadresse für den Soll-Kontext.
-
Bei
einer alternativen Variante des erfindungsgemäßen Verfahrens besteht die
kryptographische Prüfsumme
aus einem MAC (Message Authentification Code).
-
Bei
einer möglichen
Ausführungsform
des erfindungsgemäßen Verfahrens
wird die Aktion zusätzlich
in Abhängigkeit
von aus dem Tag ausgelesenen Nutzdaten veranlasst, wobei die ausgelesenen Nutzdaten
durch eine kryptographische Prüfsumme gesichert
sind.
-
Bei
dieser Ausführungsform
ist es möglich auf
Basis der Nutzdaten weitere Steuerparameter zur Ausführung bzw.
Veranlassung der Aktion zu übergeben.
-
Bei
einer Ausführungsform
sind dabei der Soll-Kontext und die Nutzdaten digital signiert in
einem Datenspeicher des Tags gespeichert.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
hängt der
Ist-Kontext auch von mindestens einem bei einem anderen Auslesevorgang
ausgelesenen Soll-Kontext ab.
-
Diese
Ausführungsvariante
bietet den Vorteil, dass die Ergebnisse mehrerer Auslesevorgänge an verschiedenen
Lesegeräten
miteinander verglichen werden können
und Überprüfungen dahingehend
erfolgen können,
ob aufgrund widersprüchlicher
Soll-Kontexte möglicherweise
Daten manipuliert sind.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
wird das Tag durch das Lesegerät
vor dem Auslesen des Soll-Kontextes
oder der Referenzierungsadresse für den gespeicherten Soll-Kontext
als gültig
authentifiziert.
-
Die
vorangehende Authentifizierung erhöht zusätzlich die Manipulationssicherheit.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
wird die Referenzierungsadresse für den Soll-Wert durch eine
URI oder URL gebildet.
-
Die
Erfindung schafft ferner ein Lesegerät zum Veranlassen einer kontextabhängigen Aktion, wobei
das Lesegerät
einen Soll-Kontext oder eine Referenzierungsadresse für einen
Soll-Kontext zu
einem Tag über
eine drahtlose Schnittstelle unter einem Ist-Kontext ausliest und
mindestens eine Aktion veranlasst, falls der Soll-Kontext anhand
einer kryptographischen Prüfsumme
verifiziert wird und der Ist-Kontext des Auslesevorganges dem verifizierten Soll-Kontext
entspricht.
-
Die
Erfindung schafft ferner ein System zum Veranlassen einer kontextabhängigen Aktion
mit mehreren Lesegeräten
und mit einer Vielzahl von mobilen Tags, wobei jedes Lesegerät einen
Soll-Kontext oder eine Referenzierungsadresse für eine Soll-Kontext aus einem
Tag über
eine drahtlose Schnittstelle unter einem Ist-Kontext ausliest und mindestens
eine Aktion veranlasst, falls der Soll-Kontext anhand einer kryptographischen
Prüfsumme
verifiziert wird und der Ist-Kontext des Auslesevorganges dem verifizierten
Soll-Kontext entspricht.
-
Bei
einer Ausführungsform
des Systems sind die Lesegeräte
miteinander über
ein Netzwerk verbunden.
-
Bei
einer möglichen
Ausführungsform
des erfindungsgemäßen Systems
weist das Netzwerk einen Server auf, der über die Referenzierungsadresse adressierbar
ist und der den Soll-Kontext
bereitstellt.
-
Bei
einer möglichen
Ausführungsform
des erfindungsgemäßen Systems
führt ein
Lesegerät eine
Aktion selbst aus.
-
Bei
einer alternativen Ausführungsform
führt nicht
das Lesegerät
die Aktion nicht selbst aus sondern veranlasst die Ausführung der
Aktion durch eine andere Einheit, die über das Netzwerk mit dem Lesegerät verbunden
ist.
-
Bei
einer bevorzugten Ausführungsform
des erfindungsgemäßen Systems
werden die Tags durch RFID-Tags gebildet.
-
In
zwei weitere Ausführungsvarianten
des erfindungsgemäßen Systems
werden die Tags durch optische oder akustische Tags gebildet.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Systems
sind die Tags jeweils in tragbaren Fahrkarten für ein Personentransportmittel
integriert.
-
Bei
einer alternativen Ausführungsform
des erfindungsgemäßen Systems
sind die Tags jeweils an Warenverpackungen angebracht.
-
Im
Weiteren werden bevorzugte Ausführungsformen
des erfindungsgemäßen Verfahrens und
des erfindungsgemäßen Systems
unter Bezugnahme auf die beigefügten
Figuren zur Erläuterung erfindungswesentlicher
Merkmale beschrieben.
-
Es
zeigen:
-
1 ein
Signaldiagramm zur Darstellung eines unilateralen Authentifizierungsvorganges
nach dem Stand der Technik;
-
2 ein
Signaldiagramm zur Darstellung eines gegenseitigen Authentifizierungsvorganges nach
dem Stand der Technik;
-
3 ein
Diagramm zur Darstellung einer möglichen
Ausführungsvariante
des erfindungsgemäßen Systems
zum Veranlassen einer kontextabhängigen
Aktion;
-
4 ein
Blockschaltbild einer möglichen Ausführungsform
eines bei dem erfindungsgemäßen System
eingesetzten Tags;
-
5 ein
Beispiel einer Ausführungsform des
bei dem erfindungsgemäßen Verfahren
eingesetzten Zertifikates;
-
6 ein
konkretes Beispiel eines bei dem erfindungsgemäßen Verfahren eingesetzten
Zertifikates;
-
7 ein
Ablaufdiagramm zur Darstellung einer Ausführungsform des erfindungsgemäßen Verfahrens
zum Veranlassen einer kontextabhängigen Aktion.
-
Wie
man aus 3 erkennen kann, lässt sich
das erfindungsgemäße Verfahren
zum Veranlassen einer kontextabhängigen
Aktion beispielsweise für
ein System 1 einsetzen, das über mehrere Lesegeräte 2-1, 2-2 verfügt, die
miteinander über
ein Netzwerk 3 verbunden sind. An das Netzwerk 3 können ein
oder mehrere Server 4 angeschlossen sein. Bei dem Netzwerk 3 kann
es sich um ein beliebiges Netzwerk 3 handeln, beispielsweise
um ein LAN, ein WAN oder das Internet. Das Netzwerk 3 kann
ein drahtgebundenes bzw. verkabeltes Netzwerk aber auch ein drahtloses
Netzwerk 3 bzw. ein Funknetzwerk sein. Die in 3 dargestellten
Lesegeräte 2-1, 2-2 können jeweils über eine
drahtlose Schnittstelle, insbesondere eine Funkschnittstelle, mit
einem mobilen bzw. tragbaren Tag 5-1, 5-2 kommunizieren
bzw. Daten austauschen. Bei den Lesegeräten 2-1, 2-2 handelt
es sich vorzugsweise um RFID-Lesegeräte und bei den Tags 5-1, 5-2 um
passive oder aktive RFID-Tags.
-
Ein
Anwendungsbeispiel für
das in 3 dargestellte System 1 ist ein Personentransportsystem
insbesondere ein Nahverkehrtransportsystem innerhalb einer Stadt.
In diesem Anwendungsfall sind die Tags 5-1, 5-2 jeweils
in einer Fahrkarte integriert. An den Bahnstationen können Lesegeräte 2-1, 2-2 montiert
werden. Auf den Lesegeräten 2-1, 2-2 kann das
erfindungsgemäße Verfahren
zum Veranlassen einer kontextabhängigen
Aktion ausgeführt
werden.
-
In
einem ersten Schritt S1, wie in 7 dargestellt,
kann ein gespeicherter Soll-Kontext oder eine Referenzierungsadresse
für einen
gespeicherten Soll-Kontext aus dem jeweiligen Tag 5-1, 5-2 durch
das zugehörige
Lesegerät 2-1, 2-2 unter
einem Ist-Kontext ausgelesen werden. Der Ist-Kontext bildet einen
Lesekontext und gibt an unter welchen Bedingungen der Auslesevorgang
erfolgt damit die in dem ausgelesenen Datenblock enthaltenen Nutzdaten
als gültig
behandelt werden. Der Lese- bzw. Ist-Kontext des jeweiligen Auslesevorganges
kann unterschiedliche Kontextparameter aufweisen. Der Kontextparameter
wird beispielsweise durch einen geographischen Ort des Auslesevorganges
bzw. den Aufstellungsort des Lesegerätes 2 gebildet. Ein
weiterer Kontextparameter bildet der Zeitpunkt des Auslesevorganges
am Lesegerät 2.
Weiterhin kann ein Kontextparameter durch einen physikalischen Umgebungsparameter
an dem geographischen Ort des Auslesevorgangs gebil det werden. Dieser
physikalische Umgebungsparameter kann beispielsweise sensorisch
mittels Sensoren erfasst werden, die an das Netzwerk 3 oder
direkt an das jeweilige Lesegerät 2 angeschlossen
sind. Diese Sensoren erfassen beispielsweise die Temperatur oder
den Luftdruck am Ort des Lesevorganges. Weitere mögliche Kontextparameter
sind die Tag-ID des ausgelesenen Tags 5 sowie ein Tag-Typ
des ausgelesenen Tags 5. Ein weiterer möglicher Kontextparameter besteht
in dem Typ bzw. der Art des bei dem Auslesevorgang eingesetzten
Datenübertragungsprotokolls.
Weiterhin ist es möglich,
dass an dem Ort des Lesegerätes 2 eine
Kamera positioniert ist, die Aufnahmen der Umgebung macht. Die optisch
erfasste Umgebung kann einen weiteren Kontextparameter bilden.
-
Zum
Schutz gegen Manipulationen ist der aus dem Tag 5 ausgelesene
Soll-Kontext oder die ausgelesene Referenzierungsadresse mittels
einer kryptographischen Prüfsumme
gesichert. Bei der Referenzierungsadresse kann es sich beispielsweise um
eine URI- oder eine URL-Adresse eines Servers 4 handeln,
in welchem der Soll-Kontext für
das Tag 5 abgelegt ist. Der Soll-Kontext weist für jeden
Kontextparameter des Ist-Kontextes
mindestens eine zugehörige
Prüfbedingung
bzw. ein Prüfkriterium
auf. Beispielsweise kann in dem Soll-Kontext eines in einer Fahrkarte
integrierten Tags 5 eine oder mehrere Prüfbedingungen
als Soll-Kontext abgelegt sein, wobei der Soll-Kontext zum Beispiel
angibt, in welchem geographischen Bereich bzw. an welchen Orten
zu welchen Zeitpunkten die Fahrkarte gültig ist.
-
In
einem weiteren Schritt S2, wie in dem Ablaufdiagramm gemäß 7 dargestellt,
wird der Soll-Kontext des Tags 5 anhand der zugehörigen kryptographischen
Prüfsumme
verifiziert. Bei einer Variante erfolgt die Verifizierung des Soll-Kontextes lokal
durch das jeweilige Lesegerät 2.
Bei einer alternativen Ausführungsform
erfolgt die Verifizierung des Soll-Kontextes in einem mit dem Lesegerät 2 verbundenen
Server 4, beispielsweise dem in 3 dargestellten
Server 4.
-
Bei
einem weiteren Schritt S3, wie in dem Ablaufdiagramm gemäß 7 dargestellt,
wird mindestens eine Aktion in Abhängigkeit von dem verifizierten
Soll-Kontext und in Abhängigkeit
von dem Ist-Kontext des Auslesevorganges veranlasst. Bei einer möglichen
Ausführungsform
führt das
Lesegerät 2 selbst
die Aktion durch, bzw. steuert eine Aktion. Bei einer alternativen
Ausführungsform
wird die Aktion durch einen Server 4 gesteuert, der den
Verifizierungsvorgang durchgeführt
hat. Bei der Aktion kann es sich um eine beliebige Aktion handeln,
bei der beispielsweise ein Aktuator gesteuert wird. Beispielsweise
kann eine Schranke bzw. ein Hindernis in einem öffentlichen Nahverkehrssystem
gesteuert werden.
-
Der
aus dem Tag 5 ausgelesene Kontext bzw. der mit Hilfe der
Referenzierungsadresse bereitgestellte Soll-Kontext sind mit einer
kryptographischen Prüfsumme
gesichert.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
besteht die kryptographische Prüfsumme
aus einer digitalen Signatur des Soll-Kontextes bzw. aus einer digitalen
Signatur der Referenzierungsadresse für den Soll-Kontext.
-
Bei
einer alternativen Ausführungsform
besteht die kryptographische Prüfsumme
aus einem Message Authentification Code MAC.
-
Die
Daten bzw. der Soll-Kontext werden von dem Tag 5 gelesen
und deren digitale Signatur geprüft.
Die Lesekontextinformationen werden erfasst und mittels einer dem
Tag 5 zugeordneten Prüfungsinformation
bzw. Prüfsumme
verifiziert. Die aus dem Tag 5 ausgelesenen Daten werden
nur bei erfolgreicher Prüfung
verwendet, das heißt
nur dann, wenn der aktuelle tatsächliche
Lese- bzw. Ist-Kontext erfüllt ist
bzw. Bedingungen und Eigenschaften, die den Auslesevorgang näher charakterisieren,
bestimmte Prüfkriterien
erfüllen.
Diese Prüfkriterien
bzw. Prüfbedingungen
können
für unterschiedliche
Tags 5 verschieden sein, das heißt sie werden abhängig von dem
jeweils ausgelesenen Tag 5 bestimmt. Es kann dabei auch
eine bei der Tag-Authentisierung verwendete Sicherheitsinformation
geprüft
werden. Beispielsweise können
eine oder mehrere Eigenschaften bzw. Attribute eines für die Tag-Authentisierung verwendeten
Zertifikates Z verwendet werden. Weitere mögliche Prüfkriterien sind der Typ des
Tags 5, ein bei dem Auslesen verwendetes Datenübertragungsprotokoll
bzw. ein eingesetzter Übertragungsstandart,
ein geographischer Ort bzw. Gebiet des Auslesevorganges, eine zeitliche
Beschränkung
und sensorisch erfasste Kontextparameter, insbesondere auch ein
Bild der Umgebung, das durch eine Kamera automatisch aufgenommen
wird und einem optischen Ähnlichkeitsvergleich
unterzogen wird.
-
Die
Verifizierung des erhaltenen Soll-Kontextes kann lokal durch die
Lesegeräte 2 selbst
erfolgen. Alternativ kann auch eine Online-Überprüfung des gewonnenen Soll-Kontextes
anhand des ermittelten Ist-Kontextes des Lesevorganges durch einen
Server 4 erfolgen. Dazu kann das Lesegerät 2 eine
Datenstruktur mit dem Lesekontext bzw. dem Ist-Kontext erzeugen
und diese Daten gemeinsam mit den von dem Tag 5 ausgelesenen
Datenblock bzw. dem Soll-Kontext an den Server 4 übertragen.
-
Bei
einer möglichen
Ausführungsform
enthält
das Tag-Zertifikat
Z, das bei der vorangehenden Tagauthentisierung verwendet wird,
neben einem öffentlichen
Tagschlüssel
zusätzlich
einen zweiten öffentlichen
kryptographischen Schlüssel,
nämlich
einen öffentlichen
Datenschlüssel
zum Prüfen
von Nutzdaten, die auf dem Tag 5 gespeichert sind. Dieser öffentlicher
Datenschlüssel
wird von dem Lesegerät 2 eingesetzt,
um die kryptographische Prüfsumme
bzw. die digitale Signatur des jeweiligen Datenblocks zu prüfen. Auch
hierdurch kann der Lesekontext des Datenblocks beschränkt werden.
Das Lesegerät 2 erkennt
einen ausgelesenen Datenblock nur als gültig an, wenn dieser Datenblock
von einem Tag 5 gelesen wird, das authentisiert wird und
ferner das von dem Tag 5 verwendete Tag-Zertifikat Z einen öffentlichen Schlüssel enthält, mit
dem die gespeicherten Daten, das heißt die kryptographische Prüfsumme,
erfolgreich überprüfbar sind.
-
4 zeigt
ein Blockdiagramm zur Darstellung einer möglichen Ausführungsform
eines bei dem erfindungsgemäßen System 1 eingesetzten
Tags 5. Bei dem in 4 dargestellten
Ausführungsbeispiel ist
das Tag 5 ein RFID-Tag mit einer Funkschnittstelle 5A.
Das in 4 dargestellte Tag 5 kann beispielsweise
in eine Fahrkarte des Personen-Nahverkehr-Systems integriert sein.
Alternativ kann das in 4 dargestellte Tag 5 an
einer Warenverpackung angebracht sein. Bei dem in 4 dargestellten RFID-Tag 5 kann
es sich um ein passives oder um ein aktives RFID-Tag handeln. Das
in 4 dargestellte Tag 5 verfügt über einen
Datenspeicher 5B in dem Daten kryptographisch geschützt abgespeichert werden
können.
Darüber
hinaus verfügt
das Tag 5 über
einen zweiten Speicher 5C zum Abspeichern eines Tag-Zertifikates
ZT. Dieses digitale Zertifikat ZT kann durch eine Authentisierungsbehörde bzw.
Authentisierungsinstanz ausgestellt werden. Darüber hinaus ist in dem Tag 5 eine
Authentisierungseinheit 5D vorhanden, in der ein privater
Schlüssel
Kpriv auslesesicher abgelegt ist.
-
Bei
einer ersten Ausführungsform
bzw. Variante befindet sich in dem Datenspeicher 5B ein Soll-Kontext
bzw. eine Referenzierungsadresse auf einem Soll-Kontext. Darüber hinaus
können
optional Nutzdaten ND in dem Speicher 5B abgelegt sein. Diese
Daten, das heißt
die Soll-Kontextdaten und die Nutzdaten ND sind mit einem privaten
Schlüssel
Kpriv, beispielsweise des Nutzers, digital
signiert, wobei diese digitale Signatur zusammen mit den Soll-Kontextdaten
und den Nutzdaten ND in dem Speicher 5B abgelegt sind.
Bei dieser Ausführungsvariante
umfasst das in dem Speicher 5C abgelegte Zertifikat ZT mehrere Attribute sowie eine digitale Signatur
dieser Attribute. Die Attribute weisen beispielsweise eine Tag-ID
und einen öffentlichen
Schlüssel
des Tags 5 auf. Darüber
hinaus kann das Zertifikat ZT als Attribut einen öffentlichen
Schlüssel
der Nutzdaten ND aufweisen. Diese Attribute sind mit einem privaten Schlüssel Kpriv der Zertifizierungsbehörde CA digital signiert,
wobei diese digitale Signatur zusammen mit den Attri buten des Zertifikates
ZT in dem Speicher 5C abgespeichert
sind.
-
Bei
dieser Ausführungsvariante
werden zunächst
die in dem Speicher 5B abgelegten Nutzdaten ND und Kontextdaten
bzw. der Soll-Kontext oder eine Referenzierung auf den Soll-Kontext
sowie das in dem Speicher 5C abgelegte Zertifikat Z ausgelesen. Es
erfolgt anschließend
eine Überprüfung des
Zertifikates ZT, das heißt die digitale Signatur des
Zertifikates Z, der mit einem privaten Schlüssel Kpriv einer
Zertifizierungsbehörde
CA konfiguriert wurde, wird mittels eines öffentlichen Schlüssels der
Zertifizierungsbehörde
CA verifiziert. Falls die Überprüfung des
Zertifikates ZT erfolgreich ist kann optional
eine Authentifizierung des Tags 5 gegenüber dem Lesegerät 2 anhand
eines öffentlichen
Schlüssels
des Tags 5, beispielsweise mittels eines Challenge-Response-Verfahrens
erfolgen. Anschließend
kann eine Signaturprüfung
der ausgelesenen Daten, das heißt der
Kontextdaten und der Nutzdaten ND anhand eines öffentlichen Schlüssels erfolgen,
das heißt
es erfolgt eine Signaturprüfung
der aus dem Speicher 5B ausgelesenen Daten. Die ausgelesenen
Kontextdaten bzw. der Soll-Kontext,
kann mit den Kontextdaten des Lesegerätes 2, das heißt dem Ist-Kontext
verglichen werden, sofern die Signaturprüfung der ausgelesenen Daten
erfolgreich ist. Entsprechen die Soll-Kontextdaten dem Ist-Kontext
bzw. erfüllt
der Ist-Kontext
die in dem Soll-Kontext angegebenen Prüfkriterien bzw. Prüfbedingungen,
wird durch das Lesegerät 2 eine
vorgegebene zugehörige
Aktion veranlasst bzw. ausgelöst.
-
Bei
einer weiteren Variante ist der Soll-Kontext bzw. die Soll-Kontextdaten
nicht in dem Datenspeicher 5B des Tags 5 abgelegt
sondern bildet ein oder mehrere Attribute des im Speicher 5C abgelegten
Tag-Zertifikates ZT. Bei diesem Ausführungsbeispiel
sind in dem Speicher 5B lediglich Nutzdaten ND abgespeichert,
die mit einem privaten Schlüssel
Kpriv signiert sind. Das in dem Speicher 5C abgelegte
Zertifikat ZT umfasst neben dem Soll-Kontext
bzw. den Soll-Kontextdaten weitere Attribute, wie beispielsweise
eine Tag-ID des Tags 5 und einen öffentlichen Schlüssel des
Tags, über
den beispielsweise der Hersteller des Tags 5 oder ein Nutzer
verfügt.
Darüber
hinaus kann optional als Attribut in dem Zertifikat Z noch ein öffentlicher
Schlüssel
der Nutzdaten vorhanden sein. Diese Attribute, nämlich eine Tag-ID, der öffentliche
Schlüssel
des Tags, der öffentliche Schlüssel der
Nutzdaten ND sowie der Soll-Kontext werden verifiziert mit dem privaten
Schlüssel
Kpriv der Zertifizierungsbehörde. Die
Attribute sowie die berechnete digitale Signatur werden als Zertifikat
Z in dem Speicher 5C abgelegt.
-
Bei
dieser Ausführungsvariante
wird zunächst
das Zertifikat ZT des Tags 5 ausgelesen
und anhand des öffentlichen
Schlüssels
der Zertifizierungsbehörde
verifiziert. Auf diese Weise wird nachgewiesen, dass die in dem
Zertifikat Z enthaltenen Attribute gültig sind. Optional kann anschließend noch
eine Authentifizierung des Tags 5 gegenüber dem Lesegerät beispielsweise
in einem Challenge-Response-Verfahren erfolgen.
-
In
einem weiteren Schritt werden die Kontextdaten bzw. der Soll-Kontext
aus den validierten Attributen des überprüften Zertifikates Z extrahiert. Dieser
Soll-Kontext wird mit dem aktuellen Ist-Kontext des Auslesevorganges
am Lesegerät 2 verglichen.
Erfüllt
der Ist-Kontext die in dem Soll-Kontext gestellten Bedingungen,
kann durch das Lesegerät 2 eine
Aktion veranlasst bzw. ausgeführt
werden. In einer alternativen Ausführungsform werden vor dem Ausführen der
Aktion noch die in dem Speicher 5B befindlichen Nutzdaten
ND ausgelesen. Die digitale Signatur dieser Nutzdaten ND wird mit
Hilfe eines öffentlichen
Schlüssels
der Nutzdaten ND verifiziert, wobei dieser öffentliche Schlüssel der
Nutzdaten ND ein Attribut des bereits verifizierten Zertifikates
Z bildet. Nach Verifizierung der Nutzdaten ND kann somit das Lesegerät 2 eine
bestimmte Aktion zusätzlich
in Abhängigkeit
der aus dem Tag 5 ausgelesenen Nutzdaten ND durchführen bzw.
veranlassen.
-
Die 5 zeigt
ein Beispiel für
ein Zertifikat Z wie es bei dem erfindungsgemäßen Verfahren eingesetzt werden
kann.
-
Ein
derartiges Zertifikat Z kann durch eine Zertifizierungsbehörde (Trusted
Party) erstellt werden. Das Zertifikat Z kann eine Zertifikat-ID
bzw. eine Seriennummer aufweisen. Das Zertifikat gibt an auf wen
es ausgestellt ist und wer es ausgestellt hat. Ferner kann das Zertifikat
Z einen Gültigkeitszeitraum angeben
sowie einen öffentlichen
Schlüssel
Kpub. Weitere Attribute sind möglich. Das
Zertifikat Z weist in jedem Falle eine digitale Signatur auf.
-
6 zeigt
ein konkretes Beispiel für
ein Tag-Zertifikat ZT, wie es bei dem erfindungsgemäßen Verfahren
eingesetzt werden kann. In dem dargestellten konkreten Ausführungsbeispiel
weist das Tag 5 eine Tag-Identifizierunt (Tag-ID) von beispielsweise 32
bit auf. Weiterhin kann das Tag-Zertifikat ein für die Tag-Authentifizierung
verwendbaren öffentlichen Schlüssel (Tab-PK)
(PK: Public Key) von beispielsweise 128 bit enthalten. Weiterhin
enthält
das Tag-Zertifikat Z ein für
die Signaturprüfung
der gespeicherten Daten verwendbaren öffentlichen Schlüssel (data
PK) von gleicher Länge.
-
7 zeigt
ein einfaches Ablaufdiagramm zur Darstellung des erfindungsgemäßen Verfahrens, wobei
in einem ersten Schritt S1 zunächst
der gespeicherte Soll-Kontext oder eine Referenzierungsadresse für einen
gespeicherten Soll-Kontext unter einem Ist-Kontext des Lesegerätes 2 ausgelesen
wird. Dabei ist der ausgelesenen Soll-Kontext bzw. die Referenzierungsadresse
mit einer kryptographischen Prüfsumme
gesichert.
-
In
einem weiteren Schritt S2 wird der Soll-Kontext anhand der zugehörigen kryptographischen
Prüfsumme
lokal durch das Lesegerät 2 oder durch
einen mit dem Lesegerät 2 verbundenen
Server 4 verifiziert.
-
In
einem weiteren Schritt S3 wird mindestens eine Aktion in Abhängigkeit
von dem verifizierten Soll-Kontext und in Abhängigkeit von dem Ist-Kontext des
Auslesevorganges veranlasst.
-
Das
in 7 dargestellte Verfahren kann durch ein Computerprogramm
ausgeführt
werden, dass auf dem Lesegerät 2 ausgeführt wird.
Dieses Computerprogramm kann bei einer möglichen Ausführungsform
durch das Lesegerät 2 von
einem Datenträger
geladen werden, auf dem ein derartiges Computerprogramm gespeichert
ist. Bei einer alternativen Ausführungsform
wird das Computerprogramm von einem zentralen Server 4 über das
Netzwerk 3 über
das Lesegerät 2 geladen.
Diese Ausführungsform
bietet den Vorteil, dass ein Update bzw. eine Anpassung des Computerprogramms
zum Veranlassen einer kontextabhängigen
Aktion zentral gesteuert in einem zentralen Server 4 erfolgen
kann.
-
In
einer bevorzugten Ausführungsform
sind die Lesegeräte 2-1, 2-2,
wie sie in 3 dargestellt ortsfest montiert.
Bei einer alternativen Ausführungsform
können
sich die Lesegeräte 2-1, 2-2 bewegen, das
heißt
sie sind ebenfalls mobil. Bei dieser Ausführungsform können die
Lesegeräte 2-1, 2-2 beispielsweise über ein
drahtloses Netzwerk 3 miteinander kommunizieren.
-
Das
in 3 dargestellte erfindungsgemäße System 1 erlaubt
es, Plausibilitätsberechnungen
zum Aufdecken von Manipulationen durchzuführen. Wird beispielsweise ein
Tag 5 mit einer bestimmten Tag-ID geklont bzw. kopiert,
kann dies durch das erfindungsgemäße System 1 aufgedeckt
werden. Wird beispielsweise das Tag 5 in einer Fahrkarte
eines Personen-Nahverkehr-Systems
integriert und anschließend
kopiert, kann es vorkommen, dass geklonte Tags 5-1, 5-2 von
verschiedenen Lesegeräten 2-1, 2-2 inkompatible
Ist-Kontexte generieren. Wird beispielsweise ein erstes Tag 5-1 um
09:10 Uhr an einer ersten Station bze. Lesegerät 2-1 des Nahverkehr-Systems,
beispielsweise dem Marienplatz, ausgelesen und ein anderes Tag 5-2 mit
der gleichen Tag-ID, das heißt
ein geklontes Tag, an einer anderen Haltestelle, beispielsweise
Pasing, um 09:11 Uhr ausgelesen, sind die beiden Ist-Kontexte, insbesondere
die Zeitangabe inkompatibel, da die Zeitdifferenz von einer Minute
wesentlich kürzer
ist als die reale Fahrzeit zwischen diesen beiden Stationen. Bei einer
möglichen
Ausführungsform
wird hierbei durch einen zentralen Server 4, der die beiden
Ist-Kontexte miteinander
vergleicht, eine Aktion ausgelöst
bzw. eine solche Aktion veranlasst. Die Aktion besteht beispielsweise
in einer Alarmmeldung.
-
In
dem erfindungsgemäßen System 1 können Implementierungswünsche des
Systemanwenders sowie der Nutzer, welche die tragbaren Tags mit sich
führen
individuell gestaltet bzw. umgesetzt werden. Beispielsweise kann
eine genaue Zone oder ein genauer Zeitrahmen einer Fahrkarte, die über ein derartiges
Tag 5 verfügt,
definiert und überprüft werden.
Aufgrund des konfigurierbaren Soll-Kontextes der verschiedenen Kontextparameter
ist das erfindungsgemäße System 1 vielseitig
anwendbar, insbesondere im Bereich von Waren- und Personentransporten
bzw. der Logistik. Darüber
hinaus bietet das erfindungsgemäße System 1 eine
hohe Sicherheit gegenüber
Manipulationen Dritter.