DE102013014190A1 - Verfahren und Vorrichtung zur Datenkommunikation - Google Patents

Verfahren und Vorrichtung zur Datenkommunikation Download PDF

Info

Publication number
DE102013014190A1
DE102013014190A1 DE201310014190 DE102013014190A DE102013014190A1 DE 102013014190 A1 DE102013014190 A1 DE 102013014190A1 DE 201310014190 DE201310014190 DE 201310014190 DE 102013014190 A DE102013014190 A DE 102013014190A DE 102013014190 A1 DE102013014190 A1 DE 102013014190A1
Authority
DE
Germany
Prior art keywords
security module
query
collision
communication device
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE201310014190
Other languages
English (en)
Inventor
Youssef Dahmouni
Caroline Grosser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient ePayments GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE201310014190 priority Critical patent/DE102013014190A1/de
Publication of DE102013014190A1 publication Critical patent/DE102013014190A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Datenkommunikation (70) zwischen einem ersten Sicherheitsmodul (200) und einem Kommunikationsgerät (100). Dabei empfängt (11a) im Rahmen einer Antikollisionsphase (1) das erste Sicherheitsmodul (200) eine erste Abfrage (101) vom Kommunikationsgerät (100) und sendet (30a) eine erste Antwort (210). Weiterhin empfängt (41a) das erste Sicherheitsmodul (200) eine zweite Abfrage (102) vom Kommunikationsgerät (100). Das erste Sicherheitsmodul (200) speichert (55a) auf die zweite Abfrage (102) eine erste Sperrinformation (221), wobei die erste Sperrinformation (221) eine Datenkommunikation (70) des ersten Sicherheitsmoduls (200) mit dem Kommunikationsgerät (100) einschränkt.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur kontaktlosen Datenkommunikation zwischen einem Kommunikationsgerät und einem Sicherheitsmodul, ein Sicherheitsmodul zur kontaktlosen Datenkommunikation mit einem Kommunikationsgerät und ein System zur kontaktlosen Datenkommunikation zwischen einem Kommunikationsgerät und einem Sicherheitsmodul.
  • Insbesondere zu Zwecken der Autorisation oder Bezahlung sind kontaktlose Chipkarten weit verbreitet. Üblicherweise befinden sich die Chipkarten am Benutzer, beispielsweise in einer Geldbörse. Spätestens durch den Betrieb von RFID-Systemen kommt es häufiger vor, dass sich mehrere kontaktlose Chipkarten im Wirkkreis eines Kartenlesers befinden. Um eine Kollision bzw. ein gleichzeitiges Ansprechen und Antworten einer Vielzahl an Chipkarten zu vermeiden, werden unterschiedliche Verfahren zum Separieren eingesetzt (Antikollision).
  • Zum Schutz einer bestimmten Chipkartebeispielsweise eine Bezahlkarte, wurden bereits sogenannte Blockierkarten vorgeschlagen, welche die Antikollision bewusst stören. Die Blockierkarte antwortet beispielsweise auf jede Abfrage eines Kartenlesers und somit gleichzeitig und gleichwertig mit der Bezahlkarte, so dass eine Kollision erzeugt wird. Dazu weist die Blockierkarte ein Identifikationsmerkmal auf, das das Identifikationsmerkmal der Bezahlkarte umfasst. Eine Trennung der im Wirkkreis des Kartenlesers befindlichen Chipkarten im Rahmen einer Antikollisionsphase wird somit verhindert, solange die Blockierkarte im Wirkkreis verbleibt.
  • Da sich im Umkreis der Blockierkarte weitere kontaktlose Chipkarten befinden können, mit denen ebenfalls eine Transaktion oder eine Anmeldung durchgeführt werden sollen, werden im schlimmsten Fall all diese Chipkarten durch die Blockierkarte blockiert bzw. temporär gesperrt.
  • Sobald ein Angreifer jedoch erkannt hat, dass eine Blockierkarte zum Schutz der Bezahlkarte verwendet wird, könnte er versuchen, diesen Schutz zu umgehen. Beispielsweise könnte er versuchen, mit seinem Lesegerät mittels einer anderen Methode auf die Bezahlkarte zuzugreifen.
  • Deshalb ist es eine Aufgabe der Erfindung, die Sicherheit von Chipkarten zu erhöhen.
  • Diese Aufgabe wird durch ein Verfahren zur kontaktlosen Datenkommunikation gemäß Patentanspruch 1, einem Sicherheitsmodul gemäß Patentanspruch 9 sowie einem System gemäß Patentanspruch 13 gelöst. Vorteilhafte Ausgestaltungen ergeben sich aus den Unteransprüchen.
  • Das erfindungsgemäße Verfahren zur kontaktlosen Datenkommunikation zwischen einem Kommunikationsgerät und einem ersten Sicherheitsmodul umfasst dementsprechend im ersten Sicherheitsmodul die folgenden Schritte:
    • – Empfangen einer ersten Abfrage vom Kommunikationsgerät,
    • – Antworten auf die erste Abfrage an das Kommunikationsgerät in Form einer ersten Antwort und
    • – Empfangen einer zweiten Abfrage vom Kommunikationsgerät.
  • Die Schritte des Empfangen einer ersten Abfrage durch das erste Sicherheitsmodul, Sendens einer ersten Antwort durch das erste Sicherheitsmodul und Empfangen einer zweiten Abfrage durch das erste Sicherheitsmodul werden im Rahmen einer Antikollisionsphase durchgeführt. Das erfindungsgemäße Verfahren ist dadurch gekennzeichnet, dass das erste Sicherheitsmodul auf die zweite Abfrage im Sicherheitsmodul eine erste Sperrinformation speichert, wobei die gespeicherte erste Sperrinformation eine Datenkommunikation des ersten Sicherheitsmoduls nach dem Empfangen der zweiten Abfrage einschränkt.
  • Grundsätzlich kann das Sicherheitsmodul ein tragbarer Datenträger sein, wie beispielsweise eine Chipkarte, eine sichere Massenspeicherkarte oder ein USB-Token. Tragbare Datenträger können – für eine kontaktbehaftete Kommunikation mit einem Endgerät – reversibel in das Endgerät einsetzbar sein. Das Sicherheitsmodul kann auch ein fest in ein Endgerät eingebautes Sicherheitsmodul sein, wie beispielsweise ein Trusted Platform Modul (TPM), ein Nahbereichskommunikations-(NFC-)Modul, ein M2M-Modul, ein Benutzer-Identifikations-Modul oder ein Decoder-Modul. Das Sicherheitsmodul ist ein Hardwaresicherheitsmodul. Diese Optionen gelten unabhängig voneinander für das erste und/oder das zweite Sicherheitsmodul. Beispielsweise kann das zweite Sicherheitsmodul ein tragbarer Datenträger und das erste Sicherheitsmodul ein fest integriertes Sicherheitsmodul sein.
  • Das Kommunikationsgerät dient zur Kommunikation mit dem Sicherheitsmodul und kann ein Kartenleser insbesondere als mobile Einheit beispielsweise an einem Kassensystem, als festinstalliertes Gerät, insbesondere zur Zugangskontrolle, oder als integriertes System in einem Notebook, Handy, Computer oder Tastatur vorgehalten sein.
  • Zum Herstellen einer Kommunikationsverbindung zwischen dem Sicherheitsmodul und dem Kommunikationsgerät findet eine Antikollisionsphase statt. Dabei fordert das Kommunikationsgerät in einer initialen ersten Abfrage die im Wirkkreis befindlichen Sicherheitsmodule zu einer Antwort auf, insbesondere ein Identifikationsmerkmal zu versenden. Werden vom Kommunikationsgerät mehrere gleiche Identifikationsmerkmale empfangen, führt das Kommunikationsgerät ein Separierverfahren durch. Das Separierverfahren beinhaltet in der Regel eine zweite (und/oder weitere), detailliertere Abfrage. Gegebenenfalls kann das Kommunikationsgerät aus den Antworten auf die Abfragen das Sicherheitsmodul oder mehrere Sicherheitsmodule identifizieren. Somit umfasst das Antikollisionsverfahren zumindest eine Initialabfrage und gegebenenfalls ein Separierverfahren. Die Identifikation und möglicherweise Selektion eines Sicherheitsmoduls ist zum Abschließen des Separierverfahrens nicht notwendig.
  • Befindet sich beispielsweise eine Blockierkarte im Bereich des ersten Sicherheitsmoduls, ermittelt das Kommunikationsgerät auf die erste Abfrage ebenfalls eine Kollision, worauf eine zweite, detailliertere Abfrage versendet wird. Über die zweite Abfrage erkennt das erste Sicherheitsmodul insbesondere aufgrund des Inhalts der zweiten Abfrage, dass sich eine Blockierkarte im Wirkkreis des ersten Sicherheitsmoduls befindet und speichert eine entsprechende erste Sperrinformation. Diese erste Sperrinformation beeinflusst das erste Sicherheitsmodul derart, dass eine zweite Antwort auf die zweite Abfrage nur mit beschränktem Inhalt oder gar nicht versendet wird. Alternativ kann die erste Sperrinformation das erste Sicherheitsmodul für den Empfang von weiteren Abfragen oder Befehlen sperren.
  • Wie zu erkennen ist, kann nunmehr mit der Erfindung das erste Sicherheitsmodul bereits während der Antikollisionsphase, wenigstens jedoch während einer der Antikollisionsphase nachfolgenden Kommunikationsphase, vor einem ungewollten Zugriff geschützt werden. Somit muss nicht zwingend eine Blockierkarte vorgehalten werden. Erfindungsgemäß würde ein zweites Sicherheitsmodul mit einen dem ersten Sicherheitsmodul ähnlichen Identifikationsmerkmal ausreichen, um eine Kollision beim Kommunikationsgerät zu erzeugen. Wie ersichtlich ist, kann mit dem erfindungsgemäßen Verfahren ein selektiver Zugriff bereits während der Antikollisionsphase verhindert werden.
  • Somit wird mit dem erfindungsgemäßen Verfahren nicht nur der Schutz des ersten Sicherheitsmoduls erhöht, sondern die benötigten Einheiten, nämlich das Bereitstellen einer eindeutig dem ersten Sicherheitsmodul entsprechenden Blockierkarte, reduziert.
  • Das Einschränken der Datenkommunikation erstreckt sich insbesondere auf eine der Antikollisionsphase nachgeordnete Kommunikationsphase. Selbst nach einem gezielten Selektieren des ersten Sicherheitsmoduls kann somit eine Kommunikation zwischen Kommunikationsgerät und erstem Sicherheitsmodul eingeschränkt, vorzugsweise verhindert werden. Dazu kann das erste Sicherheitsmodul während der Antikollisionsphase ordnungsgemäße Antworten auf Abfragen erstellen. Dies könnte eine Antwort mit dem Identifikationsmerkmal des ersten Sicherheitsmoduls sein. Nach dem Selektieren durch das Kommunikationsgerät wird aber eine Kommunikation, beispielsweise das Empfangen von Befehlen und Erstellen/Absenden von Informationen eingeschränkt, vorzugsweise unterbunden. Dem Kommunikationsgerät kann somit mitgeteilt werden, dass während der Datenkommunikation ein Datenaustausch nicht gewünscht ist und ggf. das Kommunikationsgerät weitere Versuche unterlässt.
  • Das erste Sicherheitsmodul kann auf die erste Abfrage ein Identifikationsmerkmal versenden. Dies könnte zum Beispiel eine erste ID-Nummer, eine Antwort in einem bestimmten Frequenzbereich bzw. Kanal oder eine räumliche Zuordnung sein. Grundsätzlich ist jedoch als Identifikationsmerkmal jede Information zu verstehen, die eine eindeutige Identifikation und anschließende Selektion durch das Kommunikationsgerät im Rahmen einer Antikollisionsphase ermöglichen könnte. Somit wird dem Kommunikationsgerät zunächst ermöglicht, das erste Sicherheitsmodul zu erkennen und falls vom Kommunikationsgerät keine Kollision erkannt wird, eine Datenkommunikation mit dem ersten Sicherheitsmodul durchzuführen.
  • Weiterhin kann vorgesehen sein, dass das erste Sicherheitsmodul prüft, ob die erste und/oder zweite Abfrage eine Abfrage im Rahmen einer Antikollisionsphase (Antikollisionsabfrage) ist. Dazu kann das erste Sicherheitsmodul die erste und zweite Abfrage vergleichen. Alternativ oder zusätzlich könnte das erste Sicherheitsmodul die erste und/oder zweite Abfrage analysieren und aufgrund des Abfragebefehls feststellen, ob es sich um eine Antikollisionsabfrage handelt. Sollte die Prüfung ergeben, dass es sich bei der ersten und/oder zweiten Abfrage um eine Antikollisionsabfrage handelt, wird entsprechend die erste Sperrinformation gespeichert. Insbesondere zur Prüfung der ersten und/oder zweiten Abfrage und deren Vergleich, kann das erste Sicherheitsmodul eine entsprechende erste und/oder zweite Abfrageinformation speichern. Dabei ist die Anzahl nicht beschränkt, so dass auch eine Vielzahl von Abfrageinformationen möglich ist. Somit kann geprüft werden, falls eine Kollision im Kommunikationsgerät stattfindet, ob die Kollision das erste Sicherheitsmodul betrifft und dieses die erste Sperrinformation speichern soll. Sollte entsprechend die zweite Abfrage eine Abfrage nach einem Identifikationsnummernkreis sein, in dem nicht die Identifikationsnummer des ersten Sicherheitsmoduls fällt, könnte das Speichern der Sperrinformation vermieden werden und ggf. eine Datenkommunikation zwischen dem ersten Sicherheitsmodul und dem Kommunikationsgerät stattfinden.
  • Erfindungsgemäß kann in das Verfahren ein zweites Sicherheitsmodul eingebunden werden. Vorzugsweise antwortet das zweite Sicherheitsmodul auf die erste Abfrage mit einer Kollisionsantwort. Dies bedeutet, dass diese Kollisionsantwort mit der ersten Antwort des ersten Sicherheitsmoduls auf die erste Abfrage eine Kollision bewirkt und keine eindeutige Identifizierung des ersten Sicherheitsmoduls durch das Kommunikationsgerät ermöglicht. Die Kollisionsantwort kann ein allgemeines Identifikationsmerkmal aufweisen, wie zum Beispiel eine allgemeine ID-Nummer, das einen Bereich von Identifikationsmerkmalen umfasst, in den das Identifikationsmerkmal des ersten Sicherheitsmoduls fällt. Alternativ kann das Identifikationsmerkmal des ersten Sicherheitsmoduls gleich dem Identifikationsmerkmal des zweiten Sicherheitsmoduls sein. In dieser Ausprägung dient das zweite Sicherheitsmodul als Blockierkarte hinsichtlich des ersten Sicherheitsmoduls, jedoch wird durch die gespeicherte erste Sperrinformation das erste Sicherheitsmodul sicher eingeschränkt/gesperrt.
  • Weiterhin kann das zweite Sicherheitsmodul auf die zweite Abfrage des Kommunikationsgeräts eine reguläre Antwort erstellen und absenden. Die reguläre Antwort umfasst ein eindeutiges Identifikationsmerkmal des zweiten Sicherheitsmoduls. Somit erzeugt das zweite Sicherheitsmodul auf die erste Abfrage eine Kollision und ermöglicht dem Kommunikationsgerät auf die zweite Abfrage seine Identifikation. Dazu kann das zweite Sicherheitsmodul zwei Betriebsmodi aufweisen: Bei einem initialen Betriebsmodus (Kollisionsmodus) versendet das zweite Sicherheitsmodul auf die erste Abfrage die Kollisionsantwort. Ein Kommunikationsmodus erfolgt nach Erkennen der zweiten Abfrage als Antikollisionsabfrage durch das zweite Sicherheitsmodul statt. Im Kommunikationsmodus werden Antworten auf die zweite Abfrage versendet und eine weitere Datenkommunikation findet statt. Weiterhin kann im Kommunikationsmodus das zweite Sicherheitsmodul die Funktion eines regulären Sicherheitsmoduls aufnehmen und beispielsweise zur Durchführung von Transaktionen dienen. Anhand eines derartigen Verfahrens kann gewährleistet werden, dass das erste Sicherheitsmodul durch die Anwesenheit des zweiten Sicherheitsmoduls gesichert ist, während das zweite Sicherheitsmodul Aufgaben eines üblichen Sicherheitsmoduls wahrnimmt. Dabei können dem zweiten Sicherheitsmodul nur beschränkte Ressourcen zugrunde liegen, zum Beispiel ein finanzielles Limit, um bei einem Angriff den entstehenden Schaden zu begrenzen. Auch kann dieses Verhalten zu einem Täuschen des Kommunikationsgerätes dienen.
  • Das erfindungsgemäße erste Sicherheitsmodul zur kontaktlosen Datenkommunikation mit einem Kommunikationsgerät ist zum Empfangen der ersten und zweiten Abfrage vom Kommunikationsgerät und zum Antworten auf die erste und zweite Abfrage ausgebildet. Weiterhin weist das erste Sicherheitsmodul einen ersten Betriebsmodus auf. Im ersten Betriebsmodus (Normalbetriebsmodus) ist das erste Sicherheitsmodul zur Datenkommunikation mit dem Kommunikationsgerät freigegeben. Die erste und zweite Abfrage sind Abfragen im Rahmen einer Antikollisionsphase (Kollisionsabfragen). Weiterhin weist das erste Sicherheitsmodul einen zweiten Betriebsmodus auf. Im zweiten Betriebsmodus (Sicherheitsmodus) weist das erste Sicherheitsmodul eine erste Sperrinformation auf. Anhand der ersten Sperrinformation ist die Datenkommunikation eingeschränkt. Erfindungsgemäß ist das erste Sicherheitsmodul dadurch gekennzeichnet, dass das erste Sicherheitsmodul ausgebildet ist zu ermitteln, ob die erste und/oder zweite Abfrage eine Abfrage im Rahmen einer Antikollisionsphase sind und aufgrund des Ermittlungsergebnisses den zweiten Betriebsmodus zu aktivieren. Somit erkennt das erste Sicherheitsmodul, ob zum Beispiel zwei aufeinanderfolgende Abfragen im Rahmen einer Antikollisionsphase sind und ggf. die Antikollisionsphase das erste Sicherheitsmodul betrifft. Entsprechend kann das erste Sicherheitsmodul vom ersten Betriebsmodus in den zweiten Betriebsmodus und umgekehrt wechseln.
  • Das erste Sicherheitsmodul kann einen Umschalter zum Wechseln zwischen dem ersten und zweiten Betriebsmodus aufweisen. Der Umschalter kann als interne Umschalteinheit und/oder als manuell bedienbaren Schalteinheit ausgebildet sein. Liegt der Umschalter als Softwarelösung vor, kann zum Beispiel ein Herausgeber des ersten Sicherheitsmoduls selbst die Umschaltbedingungen und damit verbundene weitere Funktionen sowie Abläufe festlegen und/oder die Umschaltfunktion aktivieren. Der Umschalter kann aufgrund der gespeicherten ersten Sperrinformation vom Betriebssystem angesteuert werden und dem Betriebssystem Teilprogramme zur Bearbeitung von Befehlen und/oder Abfragen vorgeben. Der Umschalter kann dabei während unterschiedlicher Phasen bzw. in unterschiedliche Schichten des Betriebssystems zur Prozessverarbeitung Einfluss nehmen.
  • Zum Abspeichern der ersten Sperrinformation, der ersten Abfrageinformation und/oder zweiten Abfrageinformation kann das erste Sicherheitsmodul einen Speicher aufweisen. Der Speicher kann als flüchtiger Speicher oder Permanentspeicher ausgebildet sein. So ist es möglich, die erste Sperrinformation in einen flüchtigen Speicher abzulegen, um die Sperrinformation lediglich für insbesondere die Dauer einer Sitzung zu erhalten. Alternativ kann auch aus Sicherheitsgründen die erste und zweite Abfrageinformation in einen permanenten Speicher gespeichert werden und der Speicher für die Sperrinformation bzw. die erste und/oder zweite Abfrageinformation unter Umständen nur noch vorzugsweise vom Herausgeber des Sicherheitsmoduls gelöscht werden. Weiterhin können mehrere Abfrageinformationen im Speicher ähnlich eines Schieberegisters abgespeichert werden, um so eine Vielzahl an Abfrageinformationen zur Analyse durch das erste Sicherheitsmodul vorzuhalten.
  • Weiterhin kann das erste Sicherheitsmodul zur Verwendung in einem oben beschriebenen Verfahren ausgebildet sein.
  • Ein erfindungsgemäßes System zur kontaktlosen Datenkommunikation zwischen einem Kommunikationsgerät und einem ersten Sicherheitsmodul ist derart ausgebildet, dass das erste Sicherheitsmodul entsprechend den vorhergehenden Absätzen ausgebildet ist.
  • In einer Ausführungsform kann das System ein zweites Sicherheitsmodul umfassen, das auf die erste Abfrage eine Kollisionsantwort und auf die zweite Abfrage eine reguläre Antwort ausgibt. Dabei bewirkt die Kollisionsantwort des zweiten Sicherheitsmoduls mit der ersten Antwort des ersten Sicherheitsmoduls eine Kollision, so dass dem Kommunikationsgerät keine eindeutige Identifikation des ersten Sicherheitsmoduls möglich ist. Nach dem Speichern der Sperrinformation durch das erste Sicherheitsmodul kann jedoch über die zweite Abfrage und der regulären Antwort das Kommunikationsgerät das zweite Sicherheitsmodul identifizieren und eine Datenkommunikation mit diesem durchführen. Vorzugsweise unterscheidet sich dabei die Kollisionsantwort von der regulären Antwort.
  • Das erste und/oder zweite Sicherheitsmodul kann dazu wie bereits erwähnt einen Speicher und eine Verarbeitungseinheit umfassen. Der Speicher kann dabei in der Verarbeitungseinheit integriert sein. Vorzugsweise ist auf dem ersten und/oder zweiten Sicherheitsmodul ein flüchtiger und nichtflüchtiger (permanenter) Speicher vorhanden. So kann vorgesehen sein, dass beispielsweise die Identifikationsnummer und/oder ein Betriebssystem des ersten Sicherheitsmoduls und/oder zweiten Sicherheitsmoduls in einem nicht-flüchtigen Speicher enthalten ist. Die Verarbeitungseinheit kann eine CPU sein und einen Prozessor aufweisen.
  • Die Erfindung wird im Folgenden noch weiter beispielhaft anhand der Zeichnungen erläutert. Es zeigen:
  • 1 ein mögliches Ablaufschema eines Verfahrens zur kontaktlosen Datenkommunikation gemäß der Erfindung;
  • 2 eine weitere Darstellung des Ablaufschemas zur kontaktlosen Datenkommunikation gemäß der Erfindung;
  • 3a eine Ausführungsform eines ersten Sicherheitsmoduls beim Empfang einer ersten Abfrage;
  • 3b eine Ausführungsform des ersten Sicherheitsmoduls beim Empfang einer zweiten Abfrage;
  • 4 eine weitere Ausführungsform einer kontaktlosen Datenkommunikation gemäß der Erfindung;
  • 5a eine weitere Ausführungsform des ersten Sicherheitsmoduls
  • 5b eine Ausführungsform eines zweiten Sicherheitsmoduls
  • 6a eine weitere Ausführungsform des ersten Sicherheitsmoduls
  • 6b eine weitere Ausführungsform des zweiten Sicherheitsmoduls
  • 7 eine weitere Ausführungsform des ersten Sicherheitsmoduls
  • In den 1 und 2 ist schematisch ein erster Verfahrensablauf zur Datenkommunikation 70 zwischen einem Kommunikationsgerät 100 und einem ersten Sicherheitsmodul 200 gemäß der Erfindung dargestellt. Wogegen in der 1 insbesondere auf die Abläufe im Kommunikationsgerät 100 und im ersten Sicherheitsmodul 200 eingegangen wird, zeigt die 2 insbesondere den Kommunikationsablauf gemäß der Erfindung. Zur Herstellung der Datenkommunikation 70 wird zuerst vom Kommunikationsgerät 100 eine Antikollisionsphase 1 durchgeführt. In der Antikollisionsphase 1 erkennt das Kommunikationsgerät 100, welches Sicherheitsmodul sich im Wirkkreis befindet. Die Antikollisionsphase 1 sieht dabei einen Initialschritt mit einer Aufforderung zur Identifikation der Sicherheitsmodule vor. Sind wenigstens zwei Sicherheitsmodule mit jeweils gleichen Identifikationsmerkmalen anwesend, beginnt das Kommunikationsgerät 100 mit einem Separierverfahren. Führt das Separierverfahren dazu, dass das Kommunikationsgerät 100 ein Sicherheitsmodul identifiziert, ist die Antikollisionsphase 1 abgeschlossen. Nach der Antikollisionsphase 1 kann eine Kommunikationsphase 5 mit einer Datenkommunikation 70 stattfinden.
  • Das Verfahren sieht als Initialschritt vor, dass im Schritt 10 das Kommunikationsgerät 100 eine erste Abfrage 101 versendet. Die erste Abfrage 101 kann beispielsweise die Abfrage von ID-Nummern von Sicherheitsmodulen („IDs?”) im Wirkkreis des Kommunikationsgeräts 100 sein. Daraufhin wird in einem Schritt 11a die erste Abfrage 101 vom ersten Sicherheitsmodul 200 empfangen. Die empfangene erste Abfrage 101 wird in einem Schritt 20a vom Sicherheitsmodul 200 verarbeitet und wodurch eine erste Antwort 210 generiert wird. Die erste Antwort 210 umfasst entsprechend der ersten Abfrage eine erste ID-Nummer 224 „ID1” des ersten Sicherheitsmoduls 200. Nachfolgend wird in einem weiteren Schritt 30a vom ersten Sicherheitsmodul 200 die erste Antwort 210 an das Kommunikationsgerät 100 versendet. Vom Kommunikationsgerät 100 werden jedoch die erste Antwort 210 und eine Kollisionsantwort 310 eines weiteren Sicherheitsmoduls (nicht dargestellt) empfangen, wodurch beim Schritt Kollisionsprüfung 32 im Kommunikationsgerät 100 eine Kollision erkannt wird.
  • Auf das Erkennen einer Kollision beginnt das Kommunikationsgerät 100 mit dem Separierverfahren. Es versendet in einem Schritt 40 eine zweite Abfrage 102, die in einem Schritt 41a vom ersten Sicherheitsmodul 200 empfangen wird. Die zweite Abfrage 102 variiert entsprechend der ermittelten Kollision von der ersten Abfrage 101 und umfasst in diesem Beispiel wieder eine zweite Abfrage 102 zur Abgabe einer ID-Nummer („IDx1-x2?”). Die zweite Abfrage 102 ist jedoch so formuliert, um ein Separieren der Identifikationsmerkmale der im Wirkkreis befindlichen Sicherheitsmodule, vorliegend des ersten Sicherheitsmoduls 200 und des weiteren Sicherheitsmoduls, zu ermöglichen. Im Anschluss findet im ersten Sicherheitsmodul 200 ein Schritt 50a des Verarbeiten der zweiten Abfrage 102 statt, in dem das erste Sicherheitsmodul 200 die zweite Abfrage 102 auswertet. Dabei wird geprüft, ob es sich bei der zweiten Abfrage 102 um eine Abfrage im Rahmen einer Antikollisionsphase 1 (Antikollisionsabfrage) handelt. Anschließend wird bei negativem Prüfergebnis im Schritt 60a dem Kommunikationsgerät 100 eine zweite Antwort 211 gesendet. Die zweite Antwort 211 umfasst in der Regel wieder die erste ID-Nummer 221 des ersten Sicherheitsmoduls 200. Im Nachgang wird das erste Sicherheitsmodul 200 vom Kommunikationsgerät erkannt und ausgewählt und die Datenkommunikation 70 zwischen dem Kommunikationsgerät 100 und dem ersten Sicherheitsmodul 200 findet statt.
  • Bei positivem Prüfergebnis wird jedoch im Schritt 55a in einem Speicher 220 des ersten Sicherheitsmoduls 200 eine erste Sperrinformation (nicht dargestellt) gespeichert. Die erste Sperrinformation hat zur Folge, dass das Generieren der zweiten Antwort 211, der Schritt 60a des Versendens der zweiten Antwort 211 und/oder das erste Sicherheitsmodul 200 für eine weitere nachfolgende stattfindende Datenkommunikation 70 im Schritt 56a gesperrt wird. Weiterhin kann die erste Sperrinformation bewirken, dass keine zweite Antwort 211 vom ersten Sicherheitsmodul 200 erstellt wird, so dass dem Kommunikationsgerät 100 nicht nochmals ein erstes Identifikationsmerkmal 224 des zweiten Sicherheitsmoduls 200 übermittelt wird und somit ein Erkennen des ersten Sicherheitsmoduls 200 nahezu unmöglich ist.
  • Alternativ dazu kann bei Vorliegen der ersten Sperrinformation 224 die Identifikation des zweiten Sicherheitsmoduls 200 durch das Kommunikationsgerät 100 zugelassen werden, wobei eine weitere Datenkommunikation 70 während der Kommunikationsphase jedoch verhindert oder nur eingeschränkt erlaubt wird.
  • Selbstverständlich können nach den oben beschriebenen zwei Abfragen noch weitere Abfragezyklen während der Antikollisionsphase 1 durch das Kommunikationsgerät 100 stattfinden. Zur Vereinfachung wurden jedoch nur zwei Zyklen aufgezeigt. Zu bemerken ist jedoch in dieser Ausführungsform, dass das erste Sicherheitsmodul 200 nach der zweiten Abfrage 102 als Antikollisionsabfrage die erste Sperrinformation speichert.
  • Die 3a und 3b zeigen schematisch anhand eines Ausführungsbeispiels die Funktionen im ersten Sicherheitsmodul 200. Dabei wird in der 3a insbesondere auf das Empfangen der ersten Abfrage 101 und in der 3b auf das Empfangen der zweiten Abfrage 102 Bezug genommen.
  • Das erste Sicherheitsmodul 200 umfasst eine erste Empfangseinheit 250 zum kontaktlosen Empfang von Abfragen, Informationen und/oder Befehlen, eine erste Verarbeitungseinheit 260 und eine erste Ausgabeeinheit 240 zum kontaktlosen Versenden von Information und/oder Befehlen. In der Regel bilden die Empfangseinheit 250 und die Ausgabeeinheit 240 eine einzige Einheit bzw. ein einziges Bauteil. Aufgrund der einfacheren Darstellung des Funktionsflusses wird nachfolgend auf getrennte Einheiten Bezug genommen.
  • Nachdem das erste Sicherheitsmodul 200 über die erste Empfangseinheit 250 die erste Abfrage 101 empfängt, wird diese in der ersten Verarbeitungseinheit 260 verarbeitet und insbesondere hinsichtlich deren Art und Inhalt ausgewertet. In einem Speicher (nicht dargestellt) wird gegebenenfalls eine erste Abfrageinformation „AI1” 222 gespeichert Die erste Abfrageinformation 222 kann beispielsweise als Merker oder als Wert hinterlegt sein und wird vorzugsweise nur dann abgelegt, falls die erste Abfrage 101 eine Antikollisionsabfrage ist. In der ersten Verarbeitungseinheit 260 wird auf die erste Abfrage 101 die erste Antwort 210, welche die erste ID-Nummer 224 „ID1” des ersten Sicherheitsmoduls 200 enthält, generiert und anschließend die erste Antwort 210 über die erste Ausgabeeinheit 240 zum Kommunikationsgerät 100 versendet.
  • In der 3b wird die zweite Abfrage 102 von der ersten Empfangseinheit 250 empfangen und von der ersten Verarbeitungseinheit 260 verarbeitet. Dabei wird geprüft, ob die zweite Abfrage 102 eine Abfrage im Rahmen einer Antikollisionsphase ist. Sollte dies der Fall sein, wird im ersten Speicher des Sicherheitsmoduls 200 eine zweite Abfrageinformation 223 analog zur ersten Abfrageinformation 222 gespeichert. In diesem Ausführungsbeispiel überprüft die erste Verarbeitungseinheit 260 nach dem Speichern der zweiten Abfrageinformation 223 mittels einer Vergleichsroutine 265 die zweite Abfrageinformation 223 mit der ersten Abfrageinformation 222, um zu bestimmen, ob ein weiteres Sicherheitsmodul zur Erzeugung einer Kollision im Wirkkreis des Kommunikationsgeräts 100 vorliegt. Ein Vergleich der ersten Abfrageinformation 222 mit der zweiten Abfrageinformation 223 könnte beispielsweise ergeben, dass die erste und zweite Abfrage 101, 102 jeweils eine Abfrage nach dem gleichen ID-Nummernkreis betrifft, in dem auch die erste ID-Nummer 224 fällt.
  • Führt die Prüfung in der Vergleichsroutine 265 zu einem negativen Ergebnis, so ist aktuell das erste Sicherheitsmodul 200 nicht von einer Antikollisionsabfrage betroffen. Dies bedeutet für das erste Sicherheitsmodul 200, dass hinsichtlich dieser zweiten Abfrage 102 für das erste Sicherheitsmodul 200 kein weiteres Sicherheitsmodul zur Erzeugung einer Kollision vorliegt. Die erste Verarbeitungseinheit 260 des ersten Sicherheitsmoduls 200 generiert entsprechend auf die zweite Abfrage 102 eine zweite Antwort 211 und versendet im Rahmen der zweiten Antwort 211 die erste ID-Nummer 224 des ersten Sicherheitsmoduls 200 über die erste Ausgabeeinheit 240.
  • Führt die Prüfung in der Vergleichsroutine 265 zu ein positives Ergebnis so wird von der ersten Verarbeitungseinheit 260 angenommen, dass ein zu dem ersten Sicherheitsmodul 200 entsprechendes Sicherheitsmodul zur Erzeugung einer Kollision vorliegt. Im Anschluss daran wird im Speicher des ersten Sicherheitsmoduls 200 eine erste Sperrinformation 221 gespeichert. Somit wird der Verarbeitungseinheit 260 mitgeteilt, dass ein weiterer Datenaustausch, insbesondere eine weitere Datenkommunikation 70, zwischen dem Kommunikationsgerät 100 und dem ersten Sicherheitsmodul 200 zumindest eingeschränkt wird.
  • In der 4 ist eine weitere Ausführungsform der Erfindung unter zusätzlicher Verwendung eines zweiten Sicherheitsmoduls 300 dargestellt.
  • Im Rahmen einer Antikollisionsphase 1 versendet im ersten Schritt 10 das Kommunikationsgerät 100 die erste Abfrage 101 „IDs?”. Mit der ersten Abfrage 101 werden alle Sicherheitsmodule im Wirkkreis des Kommunikationsgeräts 100 zur Mitteilung deren ID-Nummer aufgefordert. Diese erste Abfrage 101 wird gemäß dem vorliegenden Ausführungsbeispiel von dem ersten Sicherheitsmodul 200 und einem zweiten Sicherheitsmodul 300 empfangen. Auf die erste Abfrage 101 antwortet das erste Sicherheitsmodul 200 mit einer ersten Antwort 210 „ID1” und das zweite Sicherheitsmodul 300 mit einer entsprechenden Kollisionsantwort 310 „ID1”. Das Kommunikationsgerät 100 empfängt die erste Antwort 210 und Kollisionsantwort 310 und ermittelt dabei eine Kollision.
  • Nach dem Erkennen der Kollision versucht das Kommunikationsgerät 100 die empfangenen Antworten voneinander zu trennen und versendet im Schritt 40 die zweite Abfrage 102 „IDx1-x2?”, in der der abgefragte ID-Nummernkreis eingeschränkt ist. Die zweite Abfrage 102 wird vom ersten Sicherheitsmodul 200 und zweiten Sicherheitsmodul 300 empfangen. Das erste Sicherheitsmodul 200 erkennt an der zweiten Abfrage 102, dass es sich um eine Abfrage im Rahmen einer Antikollisionsphase 1 handelt und speichert die erste Sperrinformation 221. Das erste Sicherheitsmodul 200 wird somit gesperrt, so dass das erste Sicherheitsmodul 200 für den weiteren Verlauf der Sitzung keine weitere Abfrage oder keinen weiteren Befehl vom Kommunikationsgerät 100 verarbeitet.
  • Das zweite Sicherheitsmodul 300 erkennt ebenfalls an der zweiten Abfrage 102, dass es sich um eine Abfrage im Rahmen einer Antikollisionsphase 1 handelt und versendet auf die zweite Abfrage 102 eine reguläre Antwort 311 „ID2” mit einer eindeutigen und gültigen ID-Nummer des zweiten Sicherheitsmoduls 300. Das Kommunikationsgerät 100 kann somit das zweite Sicherheitsmodul 300 identifizieren. Alternativ kann das zweite Sicherheitsmodul 300 als eindeutige ID-Nummer auch die ID-Nummer des ersten Sicherheitsmoduls 200 annehmen.
  • Nach der Identifikation des zweiten Sicherheitsmoduls 300 durch das Kommunikationsgerät 100 kann eine Datenkommunikation 70 zwischen dem zweiten Sicherheitsmodul 300 und dem Kommunikationsgerät 100, nämlich das Übertragen von Befehlen und Daten, stattfinden. Das erste Sicherheitsmodul 200 hingegen ist weiterhin gesperrt und somit vor einem Zugriff durch das Kommunikationsgerät 100 gesichert.
  • In den 5a, 5b sind eine mögliche Konfiguration des ersten und zweiten Sicherheitsmoduls 200, 300, insbesondere zur Verwendung gemäß 4, dargestellt. Das erste Sicherheitsmodul 200 (5a) weist einen ersten Speicher 220 und eine erste Ausführungsumgebung 230 auf. Der erste Speicher 220 umfasst jeweils einen Raum zum Abspeichern einer ersten Sperrinformation 221, einer ersten ID-Nummer 224 sowie einen ersten Speicherplatz für die erste Abfrageinformation 222 „AI1” und einen zweiten Speicherplatz für die zweite Abfrageinformation 223 „AI2”. Die Ausführungsumgebung 230 umfasst ein erstes Betriebssystem 231, ein erstes Sicherheitsapplet 232 sowie ein erstes Normalbetriebs-Applet 233.
  • Das zweite Sicherheitsmodul 300 (5b) weist einen zweiten Speicher 320 mit jeweils einen Speicherplatz für die erste Abfrageinformation 322 „AI1”, einen zweiten Speicherplatz für die zweite Abfrageinformation 323 „AI2” sowie eine Kollisions-ID-Nummer 326 und eine reguläre ID-Nummer 327 auf. Weiterhin weist das Sicherheitsmodul 300 eine Ausführungsumgebung 330 mit einem zweiten Betriebssystem 331, einem zweiten Sicherheitsapplet 332 sowie einem zweiten Normalbetriebs-Applet 333 auf.
  • Mit Bezug auf die vorangehenden Figuren wird in einem Ausführungsbeispiel im ersten Sicherheitsmodul 200 die erste Abfrage 101 in der ersten Ausführungsumgebung 230 verarbeitet. Das erste Betriebssystem 231 entscheidet mithilfe der ersten Sperrinformation 221, ob zum weiteren Betrieb das erste Sicherheitsapplet 232 oder das erste Normalbetriebs-Applet 233 Anwendung findet. Weiterhin wird durch die erste Sperrinformation 221 festgelegt, ob das Betriebssystem 231 die erste Abfrage 101 bearbeitet oder das Sicherheitsapplet 232 aufruft. Beschreibt der Inhalt der ersten Sperrinformation 221, dass das Sicherheitsapplet 232 nicht ausgeführt werden soll (zum Beispiel: keine erste Sperrinformation 221 gespeichert; zweite Abfrage 102 ist keine Antikollisionsabfrage), so wird für den weiteren Betriebsverlauf vorerst das erste Normalbetriebs-Applet 233 eingesetzt. Weiterhin wird die erste ID-Nummer 224 aus dem Speicher 200 ausgewählt und zur weiteren Verarbeitung, beispielsweise zum Versenden an das Kommunikationsgerät 100, verwendet.
  • Die Auswahl des Applets wird über eine Umschaltroutine, die beispielsweise in das Betriebssystem 231 implementiert ist, durchgeführt. Dabei wird festgestellt, ob es sich bei der zweiten Abfrage 102 um eine Abfrage im Rahmen der Antikollisionsphase 1 handelt. Dazu greift die Umschaltroutine auf im Speicher 220 abgelegte erste und zweite Abfrageinformationen 222, 223 zu. Die Abfrageinformationen 222, 223 können beispielsweise eine Information über die Art der jeweiligen Abfragen 101, 102 aufgrund deren Protokoll oder auch den abgefragten ID-Nummernkreis bzw. Frequenzbereich umfassen. Ergibt eine Prüfung in der Umschaltroutine eine Korrelation zwischen der ersten und zweiten Abfrageinformation 222, 223, oder wird die zweite Abfrage 102 als Antikollisionsabfrage erkannt, so wird die erste Sperrinformation 221 gespeichert. Das erste Sicherheitsapplet 232 kann bewirken, dass nach einem Selektieren des ersten Sicherheitsmoduls 200 eine Bearbeitung von Befehlen vom Kommunikationsgerät 100 spezifisch während einer Datenkommunikation verhindert wird.
  • Alternativ zu den oben beschriebenen Verfahren kann auch auf das Sicherheitsapplet 232 verzichtet werden. Das Normalbetriebs-Applet 233 übernimmt eine Überprüfung über das Vorliegen einer ersten Sperrinformation 221 und verhindert gegebenenfalls das Bearbeiten oder Versenden einer Antwort während einer Datenkommunikation 70.
  • Somit wird durch das Speichern der ersten Sperrinformation 221 der Betriebsmodus des ersten Sicherheitsmoduls 200 von einem Normalbetriebsmodus in einen Sicherheitsmodus gewechselt.
  • Im zweiten Sicherheitsmodul 300 wird im Grundzustand (Kollisionsmodus) vom zweiten Betriebssystem 330 auf die erste Abfrage 101 die Kollisionsantwort 310 erstellt und versendet. Dabei greift das zweite Betriebssystem 331 auf eine Kollision-ID-Nummer 326 zu. Das zweite Sicherheitsmodul 300 ist entsprechend dem ersten Sicherheitsmodul 200 angepasst, wodurch die erste ID-Nummer 224 von der Kollision-ID-Nummer 326 umfasst wird. Die Kollision-ID-Nummer 326 kann somit gleich der ersten ID-Nummer 224 sein oder einen Nummernkreis, in dem die erste ID-Nummer 224 fällt, aufweisen.
  • Auf die zweite Abfrage 102 wird analog zum ersten Sicherheitsmodul 200 geprüft ob diese eine Abfrage im Rahmen einer Antikollisionsphase 1 ist und bei positivem Ergebnis eine zweite Sperrinformation 321 gespeichert. Über die zweite Sperrinformation 321 wechselt der Betriebsmodus des zweiten Sicherheitsmoduls 300 in den Kommunikationsmodus. Es wird dem zweiten Betriebssystem 331 mitgeteilt, dass für die weitere Bearbeitung von Befehlen und Daten das zweite Normalbetriebs-Applet 333 zuständig und das zweite Sicherheitsapplet 332 inaktiv ist. Weiterhin wird aufgrund gesetzter zweiter Sperrinformation 321 dem zweiten Betriebssystem 331 die Zuordnung des Identifikationsmerkmals des zweiten Sicherheitsmoduls 300 von der Kollisions-ID-Nummer 326 auf die reguläre ID-Nummer 327 geändert. Das zweite Sicherheitsmodul 300 übermittelt auf eine Abfrage zur Übermittlung des Identifikationsmerkmals beispielsweise eine eindeutige ID-Nummer. Das zweite Normalbetriebs-Applet 333 umfasst dabei auch Funktionen eines üblichen Sicherheitsmoduls, beispielsweise zur Durchführung von Transaktionen. Das zweite Sicherheitsmodul 300 kann über die eindeutige ID-Nummer vom Kommunikationsgerät angewählt werden.
  • Zur Prüfung durch das zweite Sicherheitsmodul 300 kann auch lediglich die Anzahl hintereinander erfolgter Abfragen nach einem Identifikationsmerkmal, ebenfalls durch Speichern der ersten und zweiten Abfrageinformation durch das zweite Sicherheitsmodul 322, 323, herangezogen werden.
  • Gleichwohl das Setzen der zweiten Sperrinformation 321 lediglich über Softwarelösungen beschrieben ist, kann auch eine Hardwarelösung, beispielsweise die Verwendung einer Schalteinheit, vorzugsweise einen Schalter zum Betätigen, insbesondere Drücken, durch einen Benutzer, eingesetzt werden. Insbesondere die Verwendung eines derartigen Schalters ermöglicht einem Benutzer die Freigabe des ersten Sicherheitsmoduls 200 in einer für ihn gesicherten Umgebung. Weiterhin kann durch Aktivieren des zweiten Sicherheitsmoduls 300, zum Beispiel Nichtsetzten der zweiten Sperrinformation 321 des zweiten Sicherheitsmoduls 300 das erste Sicherheitsmodul 200 in den Sicherheitsmodus wechseln kann.
  • Somit kann bei Verwendung des zweiten Sicherheitsmoduls 300 in einer Antikollisionsphase 1 der Betriebsmodus vom Kollisionsmodus in den Kommunikationsmodus umgeschaltet werden.
  • Die 6a und 6b zeigen eine weitere mögliche Ausgestaltung der ersten und zweiten Ausführungsumgebung 230, 330, wobei teilweise Bezug auf ein System bzw. Verfahren der vorhergehenden Figuren genommen wird. Die 6a stellt die erste Ausführungsumgebung 230 des ersten Sicherheitsmoduls dar. Das erste Betriebssystem 231 ist ein Teil der ersten Ausführungsumgebung 230 und ist als schichtorientiertes Betriebssystem dargestellt. Das erste Betriebssystem 231 weist in der untersten Ebene eine erste Antikollisionsschicht 2311 und in der obersten Ebene eine erste Anwendungsschicht 2314 auf. In der ersten Antikollisionsschicht 2311 wird das Verhalten des ersten Sicherheitsmoduls 200 während der Antikollisionsphase 1 behandelt. Die erste Anwendungsschicht 2314 hingegen ruft für den Betriebsablauf entsprechend notwendige Applets aus der ersten Ausführungsumgebung 230 auf. So wird üblicherweise über die erste Anwendungsschicht 2314 zur Ausführung von Betriebsabläufen eine erste Normalbetriebs-Applet 233 ausgeführt, beispielsweise für den Datenaustausch während einer Transaktion.
  • Auf die erste Abfrage 101 eines Kommunikationsgeräts 100 wird diese als erste Abfrage 101 im Rahmen einer Antikollisionsphase erkannt. hierzu wird ein erster Merker 2313 in/für die Antikollisionsschicht 2311 gesetzt. Nach Eingang der zweiten Abfrage 102 wird beispielsweise anhand des ersten Merkers 2313 vom ersten Betriebssystem 231 die zweite Abfrage 102 als zweite Abfrage im Rahmen einer Antikollisionsphase 1 erkannt. Dies hat zur Folge, dass in der Antikollisionsschicht 2311 die zweite Abfrage 102 nicht regulär bearbeitet wird, nämlich ein erneutes Absenden des Identifikationsmerkmals. Vielmehr wird einer ersten Umschalteinheit 236 ein Anwendungsbefehl übermittelt. Die erste Umschalteinheit 236 bewirkt auf die zweite Abfrage 102, dass die erste Sperrinformation 221 gespeichert wird. Mithilfe der ersten Sperrinformation 221 kann der Anwendungsschicht 2314 mitgeteilt werden, dass das erste Normalbetriebs-Applets 233 nicht ausgeführt werden soll. Alternativ oder zusätzlich kann dem ersten Betriebssystem 231 durch die erste Sperrinformation 221 mitgeteilt werden, dass die Abgabe/Annahme von weiteren Informationen verweigert wird. Somit kann über die Umschalteinheit der Betriebsmodus des ersten Sicherheitsmoduls 200 von einem Normalbetriebsmodus in einen Sicherheitsmodus umgeschaltet werden, wobei vorzugsweise im Normalbetriebsmodus keine erste Sperrinformation 221 gespeichert und das erste Sicherheitsmodul 200 zum Austausch von Daten mit dem Kommunikationsgerät 100 für die Datenkommunikation 70 freigegeben ist. Dagegen wird vorzugsweise im Sicherheitsmodus eine Antwort auf die zweite Abfrage 102 und/oder die Datenkommunikation 70 vom ersten Sicherheitsmodul 200 verhindert. Anstatt „verhindern” ist es auch möglich, dass lediglich ausgewählte Daten/Informationen vom Sicherheitsmodul 200 an das Kommunikationsgerät 100 übermittelt werden können.
  • Das zweite Sicherheitsmodul 300 aus 6b umfasst die zweite Ausführungsumgebung 330. In der zweiten Ausführungsumgebung 330 weist das zweite Betriebssystem 331 analog zum ersten Betriebssystem 231 eine zweite Antikollisionsschicht 3311 und eine zweite Anwendungsschicht 3314. Auf die erste Abfrage 101 wird über die zweite Antikollisionsschicht 3311 des zweiten Betriebssystems 331 dem Kommunikationsgerät 100 eine Kollisionsantwort 310 gesendet. Da die erste Abfrage 101 eine Antikollisionsabfrage ist, wird in der zweiten Antikollisionsschicht 3311 ein zweiter Merker 3313 gesetzt.
  • Stellt die zweite Antikollisionsschicht 3311 beispielswiese mithilfe des zweiten Merkers 3313 fest, dass die zweite Abfrage 102 eine zweite Abfrage im Rahmen einer Antikollisionsphase ist, wird beispielsweise über den zweiten Merker 3313 eine zweite Umschalteinheit 336 vom zweiten Betriebssystem 331 angesteuert, wodurch eine Modusinformation gespeichert wird. Über die Modusinformation kann dem zweiten Betriebssystem 331 eine reguläre ID-Nummer 327 als Identifikationsmerkmal des zweiten Sicherheitsmoduls 300 zugewiesen und ein zweites Normalbetriebs-Applet 333 zum Ansprechen über die Anwendungsschicht 3314 freigeben werden. Somit kann das zweite Sicherheitsmodul 300 über die zweite Abfrage 102 von einem Kollisionsmodus zum Erzeugen einer Kollision mit einem ersten Sicherheitsmoduls 200 zu einem Kommunikationsmodus zur Verwendung mit einer regulären Funktion, beispielsweise zum Durchführen von Transaktionen und/oder zur Authentifizierung, umgeschaltet werden. Das zweite Sicherheitsmodul 300 weist somit zwei Betriebsmodi auf.
  • Die erste und/oder zweite Umschalteinheit 236, 336 kann als Software bereitgestellt sein. Insbesondere wenn die erste und zweite Umschalteinheit 236, 336 vom ersten und zweiten Betriebssystem 231, 331 unabhängig ist, kann das Verhalten des ersten und zweiten Sicherheitsmoduls, beispielsweise der Inhalt der Kollisionsantwort, vom Herausgeber des Sicherheitsmoduls angepasst werden, ohne das Betriebssystem zu ändern. Alternativ oder zusätzlich kann die erste und zweite Umschalteinheit 236, 336 als Hardwarekomponente ausgeführt sein, um insbesondere ein manuelles Aktivieren bzw. Deaktivieren der ersten bzw. zweiten Umschalteinheit 236, 336 zu bewirken. Dadurch kann ein Benutzer selbst den Schutz des ersten Sicherheitsmoduls 200 aufheben oder aktivieren, ohne dass das Kommunikationsgerät 100 auf das erste und/oder zweite Sicherheitsmodul 200, 300 zugreifen kann. Die Hardware kann beispielsweise als Schaltelement ausgeführt sein, das zum Beispiel mittels Strahlung, insbesondere Lichtstrahlung, elektrischer Energie, oder Drücken betätigt werden kann.
  • In der 7 ist eine weitere Ausführungsform des ersten Sicherheitsmoduls 200, nämlich als Kombination des ersten und zweiten Sicherheitsmoduls 200, 300, dargestellt. Das erste Sicherheitsmodul 200 weist dazu die erste Ausführungsumgebung 230 mit dem ersten Normalbetriebs-Applet 233 für einen „normalen Betriebsablauf” und dem ersten Betriebssystem 231, sowie einen Speicher 220 auf. Weiterhin ist ein Konfigurationsmodul 237 vorgesehen, das das Verhalten des ersten Betriebssystems 231 auf Erkennen einer Antikollisionsabfrage steuert. Auf das erste Sicherheitsmodul 200 kann ein nachladbares Sicherheitsapplet 239 geladen werden. Mit dem nachladbaren Sicherheitsapplet 239 kann beispielsweise auf das Erkennen der zweiten Abfrage 101 als zweite Antikollisionsabfrage eine Bearbeitung von Befehlen des Kommunikationsgeräts 100 durchgeführt werden. Das nachladbare Sicherheitsapplet 239 kann beispielsweise über einen manuellen Schalter 205 oder über das erste Betriebssystem 231 als ausschließliches Applet zur Bearbeitung von Befehlen gesetzt werden.
  • Sowohl dem Normalbetriebs-Applet 233 als auch dem nachladbaren Sicherheitsapplet 239 können unterschiedliche ID-Merkmale zugeordnet sein. Im Normalbetriebsmodus (Sicherheitsapplet deaktiviert) ist somit beispielswiese dem ersten Sicherheitsmodul 200 eine erste ID-Nummer 224 zugeordnet und im Sicherheitsmodus (Sicherheitsapplet aktiviert) ist beispielsweise dem ersten Sicherheitsmodul 200 eine zur ersten ID-Nummer 224 unterschiedliche weitere ID-Nummer 227 zugeordnet. Die Auswahl der ID-Nummer findet beispielsweise über das erste Betriebssystem 231 oder dem ersten Normalbetriebs-Applet 233 bzw. nachladbaren Sicherheitsapplet 239 statt.
  • Wie zu erkennen ist, kann über das Konfigurationsmodul 237 auf das nachladbare Sicherheitsapplet 239 eingewirkt werden, beispielsweise welche Daten übertragen werden dürfen bis zu einem Sperren der Ausgabe von Daten zur Datenkommunikation. Diese Einstellungen am Konfigurationsmodul 237 können sowohl vom Hersteller des ersten Sicherheitsmoduls 200 als auch von dessen Herausgeber durchgeführt werden. Weiterhin ist es möglich, das nachladbare Sicherheitsapplet 239 nachträglich, beispielsweise im Rahmen eines üblichen Updates, auf das erste Sicherheitsmodul 200 zu installieren und in den Betriebsablauf einzubinden.
  • Obwohl die vorliegende Erfindung in verschiedenen Ausführungsformen beschrieben wurde, ist es selbstverständlich, dass diese Ausführungsformen nur beispielhaft sind und einzelne Merkmale nicht nur in der beschriebenen Kombination vorkommen können. Vielmehr ist es entsprechend der vorliegenden Erfindung vorgesehen, dass auch andere Ausgestaltungen unter Anwendung der Merkmale möglich sind, beispielsweise. die Verwendung eines Konfigurationsmoduls 237 im zweiten Sicherheitsmodul 300.

Claims (15)

  1. Verfahren zur kontaktlosen Datenkommunikation (70) zwischen einem Kommunikationsgerät (100) und einem ersten Sicherheitsmodul (200), mit den Schritten in dem ersten Sicherheitsmodul (200) – Empfangen (11a) einer ersten Abfrage (101) vom Kommunikationsgerät (100) – Antworten (30) auf die erste Abfrage (101) an das Kommunikationsgerät (100) in Form einer ersten Antwort (210) – Empfangen (41a) einer zweiten Abfrage (102) vom Kommunikationsgerät (100) wobei die Schritte Empfangen einer ersten Abfrage durch das erste Sicherheitsmodul (11a), Senden einer ersten Antwort durch das erste Sicherheitsmodul (200) und Empfangen (41a) einer zweiten Abfrage durch das erste Sicherheitsmodul (200) im Rahmen einer Antikollisionsphase (1) durchgeführt werden dadurch gekennzeichnet, dass das erste Sicherheitsmodul (200) auf die zweite Abfrage (102) im Sicherheitsmodul (200) eine erste Sperrinformation (221) speichert (55a), wobei die gespeicherte erste Sperrinformation (221) eine Datenkommunikation (70) des ersten Sicherheitsmoduls (200) nach dem Empfangen (41a) der zweiten Abfrage (102) einschränkt.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Datenkommunikation (70) während einer der Antikollisionsphase (1) nachgeordneten Kommunikationsphase (5) stattfindet.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Antwort (210) des ersten Sicherheitsmoduls (200) auf die erste Abfrage (101) ein erstes Identifikationsmerkmal (224) umfasst.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das erste Sicherheitsmodul (200) prüft, ob die erste Abfrage (101) und/oder die zweite Abfrage (102) eine Abfrage im Rahmen der Antikollisionsphase (1) ist und bei positivem Ergebnis die erste Sperrinformation (221) gespeichert (55a) wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das erste Sicherheitsmodul (200) – nach dem Empfangen (11a) der ersten Abfrage (101) die erste Abfrage (101) verarbeitet (20a), wobei während des Verarbeitens (20a) eine erste Abfrageinformation (222) gespeichert (22a) wird; – nach dem Empfangen (41a) der zweiten Abfrage (102) die zweite Abfrage (102) verarbeitet (50a), wobei während des Verarbeitens (50a) eine zweite Abfrageinformation (223) gespeichert (55a) wird; und – die erste und zweite Abfrageinformation (222, 223) durch Vergleichen geprüft wird (55a); und bei positivem Ergebnis die erste Sperrinformation (221) gespeichert wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein zweites Sicherheitsmodul (300) die erste Abfrage (101) vom Kommunikationsgerät (100) empfängt (11b) und das zweite Sicherheitsmodul (300) auf die erste Abfrage (101) in Form einer Kollisionsantwort (310) antwortet und eine Kollision in Verbindung mit der ersten Antwort (310) beim Kommunikationsgerät (100) bewirkt.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass das zweite Sicherheitsmodul (300) auf die zweite Abfrage (102) in Form einer regulären Antwort (311), welche das Identifikationsmerkmal des zweiten Sicherheitsmoduls (ID2) umfasst, antwortet (60b).
  8. Erstes Sicherheitsmodul (200) zur kontaktlosen Datenkommunikation (70) mit einem Kommunikationsgerät (100), wobei das Sicherheitsmodul (200) zum Empfangen (11a) einer ersten und zweiten Abfrage (101, 102) und zum Antworten auf die erste und zweite Abfrage (101, 102) ausgebildet ist; und das erste Sicherheitsmodul (200) einen ersten Betriebsmodus aufweist, wobei im ersten Betriebsmodus die Datenkommunikation (70) freigegeben ist; die erste und zweite Abfrage (101, 102) Abfragen im Rahmen einer Antikollisionsphase (1) sind; und das erste Sicherheitsmodul (200) einen zweiten Betriebsmodus aufweist, wobei das erste Sicherheitsmodul im zweiten Betriebsmodus eine erste Sperrinformation (221) aufweist, wobei im zweiten Betriebsmodus die Datenkommunikation (70) eingeschränkt ist dadurch gekennzeichnet, dass das erste Sicherheitsmodul (200) ausgebildet ist, – die erste und/oder zweite Abfrage (101, 102) als Abfrage im Rahmen einer Antikollisionsphase (1) zu ermitteln und – Aufgrund des Ermittlungsergebnisses den zweiten Betriebsmodus zu aktivieren.
  9. Erstes Sicherheitsmodul (200) nach Anspruch 8, dadurch gekennzeichnet, dass das Sicherheitsmodul (200) einen Umschalter zur Steuerung des ersten und zweiten Betriebsmodus aufweist.
  10. Erstes Sicherheitsmodul (200) nach einem der Ansprüche 8 oder 9, dadurch gekennzeichnet, dass das erste Sicherheitsmodul (200) einen Speicher (220) zum Speichern (55a) der ersten Sperrinformation (221), einer ersten und/oder zweiten Abfrageinformation (222, 223) aufweist.
  11. Erstes Sicherheitsmodul (200) nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass das erste Sicherheitsmodul (200) zur Verwendung in einem Verfahren nach einem der Ansprüche 1 bis 7 ausgebildet ist.
  12. System zur kontaktlosen Datenkommunikation (70) zwischen einem Kommunikationsgerät (100) und einem ersten Sicherheitsmodul (200), dadurch gekennzeichnet, dass das erste Sicherheitsmodul (200) nach einem der Ansprüche 8 bis 11 ausgebildet ist.
  13. System nach Anspruch 12, dadurch gekennzeichnet, dass das System ein zweites Sicherheitsmodul (300) umfasst, wobei das zweite Sicherheitsmodul (300) auf die erste Abfrage (101) eine Kollisionsantwort (310) und auf die zweite Abfrage (102) eine reguläre Antwort (311) ausgibt, wobei die Kollisionsantwort (310) des zweiten Sicherheitsmoduls (300) mit der ersten Antwort (210) des ersten Sicherheitsmoduls (200) eine Kollision bewirken.
  14. System nach Anspruch 13, dadurch gekennzeichnet, dass das sich die Kollisionsantwort (310) des zweiten Sicherheitsmoduls (300) von der regulären Antwort (311) des zweiten Sicherheitsmoduls (300) unterscheidet.
  15. System nach einem der Ansprüche 12 bis 14, dadurch gekennzeichnet, dass das Kommunikationsgerät (100) zum Versenden (10) der ersten Abfrage (101) und zum Versenden (40) der zweiten Abfrage (102) ausgebildet ist.
DE201310014190 2013-08-26 2013-08-26 Verfahren und Vorrichtung zur Datenkommunikation Pending DE102013014190A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201310014190 DE102013014190A1 (de) 2013-08-26 2013-08-26 Verfahren und Vorrichtung zur Datenkommunikation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201310014190 DE102013014190A1 (de) 2013-08-26 2013-08-26 Verfahren und Vorrichtung zur Datenkommunikation

Publications (1)

Publication Number Publication Date
DE102013014190A1 true DE102013014190A1 (de) 2015-02-26

Family

ID=52446560

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310014190 Pending DE102013014190A1 (de) 2013-08-26 2013-08-26 Verfahren und Vorrichtung zur Datenkommunikation

Country Status (1)

Country Link
DE (1) DE102013014190A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040223481A1 (en) * 2003-05-08 2004-11-11 Ari Juels Method and apparatus for selective blocking of radio frequency identification devices
US20060273176A1 (en) * 2005-06-03 2006-12-07 Actividentity, Inc. Blocking contactless personal security device
US20090002132A1 (en) * 2007-02-21 2009-01-01 Impinj, Inc. Causing rfid tag to change how many remaining commands it will comply with
US7847696B2 (en) * 2005-04-25 2010-12-07 International Business Machines Corporation Detecting a blocker RFID tag

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040223481A1 (en) * 2003-05-08 2004-11-11 Ari Juels Method and apparatus for selective blocking of radio frequency identification devices
US7847696B2 (en) * 2005-04-25 2010-12-07 International Business Machines Corporation Detecting a blocker RFID tag
US20060273176A1 (en) * 2005-06-03 2006-12-07 Actividentity, Inc. Blocking contactless personal security device
US20090002132A1 (en) * 2007-02-21 2009-01-01 Impinj, Inc. Causing rfid tag to change how many remaining commands it will comply with

Similar Documents

Publication Publication Date Title
EP3256977B1 (de) Computerimplementiertes verfahren zur zugriffskontrolle
DE112018005458T5 (de) Systeme und Verfahren für eine kryptografisch garantierte Fahrzeugidentität
WO2008116647A1 (de) Transponder mit zugriffsschutz und verfahren zum zugriff auf den transponder
EP2033137A2 (de) Datenträger und verfahren zur kontaktlosen kommunikation zwischen dem datenträger und einem lesegerät
DE102013003040A1 (de) Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten
EP3743844B1 (de) Blockchain-basiertes identitätssystem
DE102013013179A1 (de) Verfahren zum Betreiben eines Sicherheitselements
WO2018145826A1 (de) Verfahren zur positionsbestimmung eines mobilen ble-geräts
EP2827269B1 (de) Verfahren zum Authentifizieren eines RFID-Tags
DE102020105061A1 (de) Verfahren und vorrichtung für fahrzeugunterstützte dynamische mehrfaktorauthentifizierung
EP3244331B1 (de) Verfahren zum lesen von attributen aus einem id-token
DE102013014190A1 (de) Verfahren und Vorrichtung zur Datenkommunikation
WO2014095031A1 (de) Verfahren zum betreiben eines portablen datenträgers sowie ein solcher portabler datenträger
EP3039611B1 (de) Verfahren und vorrichtung zur übertragung einer information
EP3232640B1 (de) Gültigkeitsprüfung und sperrung von zertifikaten
DE112014003789T5 (de) Verfahren und System zur drahtlosen Verbindung mindestens einer externen Vorrichtung zur Kommunikation mit einem Fahrzeug
DE102018211609A1 (de) Authentifizierung in Fahrzeugen anhand eines Fahrprofiles
DE102017221300A1 (de) Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs
DE102016118161A1 (de) Gebäudesicherungssystem
EP3469511B1 (de) Speicherverwaltung eines sicherheitsmoduls
EP3215957B1 (de) Chipkarte, chipkartensystem und verfahren zum zugriff auf eine chipkarte
DE102015004314A1 (de) Laufzeitmessung
DE102020122751A1 (de) Bedingtes wiederholtes suchen einer drahtlosen vorrichtung
DE102013014191A1 (de) System und Sicherheitsmodul zur drahtlosen Datenkommunikation
WO2020078855A1 (de) Verfahren zum öffnen eines fahrzeugs

Legal Events

Date Code Title Description
R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE