-
Die vorliegende Erfindung betrifft ein Verfahren zur kontaktlosen Datenkommunikation zwischen einem Kommunikationsgerät und einem Sicherheitsmodul, ein Sicherheitsmodul zur kontaktlosen Datenkommunikation mit einem Kommunikationsgerät und ein System zur kontaktlosen Datenkommunikation zwischen einem Kommunikationsgerät und einem Sicherheitsmodul.
-
Insbesondere zu Zwecken der Autorisation oder Bezahlung sind kontaktlose Chipkarten weit verbreitet. Üblicherweise befinden sich die Chipkarten am Benutzer, beispielsweise in einer Geldbörse. Spätestens durch den Betrieb von RFID-Systemen kommt es häufiger vor, dass sich mehrere kontaktlose Chipkarten im Wirkkreis eines Kartenlesers befinden. Um eine Kollision bzw. ein gleichzeitiges Ansprechen und Antworten einer Vielzahl an Chipkarten zu vermeiden, werden unterschiedliche Verfahren zum Separieren eingesetzt (Antikollision).
-
Zum Schutz einer bestimmten Chipkartebeispielsweise eine Bezahlkarte, wurden bereits sogenannte Blockierkarten vorgeschlagen, welche die Antikollision bewusst stören. Die Blockierkarte antwortet beispielsweise auf jede Abfrage eines Kartenlesers und somit gleichzeitig und gleichwertig mit der Bezahlkarte, so dass eine Kollision erzeugt wird. Dazu weist die Blockierkarte ein Identifikationsmerkmal auf, das das Identifikationsmerkmal der Bezahlkarte umfasst. Eine Trennung der im Wirkkreis des Kartenlesers befindlichen Chipkarten im Rahmen einer Antikollisionsphase wird somit verhindert, solange die Blockierkarte im Wirkkreis verbleibt.
-
Da sich im Umkreis der Blockierkarte weitere kontaktlose Chipkarten befinden können, mit denen ebenfalls eine Transaktion oder eine Anmeldung durchgeführt werden sollen, werden im schlimmsten Fall all diese Chipkarten durch die Blockierkarte blockiert bzw. temporär gesperrt.
-
Sobald ein Angreifer jedoch erkannt hat, dass eine Blockierkarte zum Schutz der Bezahlkarte verwendet wird, könnte er versuchen, diesen Schutz zu umgehen. Beispielsweise könnte er versuchen, mit seinem Lesegerät mittels einer anderen Methode auf die Bezahlkarte zuzugreifen.
-
Deshalb ist es eine Aufgabe der Erfindung, die Sicherheit von Chipkarten zu erhöhen.
-
Diese Aufgabe wird durch ein Verfahren zur kontaktlosen Datenkommunikation gemäß Patentanspruch 1, einem Sicherheitsmodul gemäß Patentanspruch 9 sowie einem System gemäß Patentanspruch 13 gelöst. Vorteilhafte Ausgestaltungen ergeben sich aus den Unteransprüchen.
-
Das erfindungsgemäße Verfahren zur kontaktlosen Datenkommunikation zwischen einem Kommunikationsgerät und einem ersten Sicherheitsmodul umfasst dementsprechend im ersten Sicherheitsmodul die folgenden Schritte:
- – Empfangen einer ersten Abfrage vom Kommunikationsgerät,
- – Antworten auf die erste Abfrage an das Kommunikationsgerät in Form einer ersten Antwort und
- – Empfangen einer zweiten Abfrage vom Kommunikationsgerät.
-
Die Schritte des Empfangen einer ersten Abfrage durch das erste Sicherheitsmodul, Sendens einer ersten Antwort durch das erste Sicherheitsmodul und Empfangen einer zweiten Abfrage durch das erste Sicherheitsmodul werden im Rahmen einer Antikollisionsphase durchgeführt. Das erfindungsgemäße Verfahren ist dadurch gekennzeichnet, dass das erste Sicherheitsmodul auf die zweite Abfrage im Sicherheitsmodul eine erste Sperrinformation speichert, wobei die gespeicherte erste Sperrinformation eine Datenkommunikation des ersten Sicherheitsmoduls nach dem Empfangen der zweiten Abfrage einschränkt.
-
Grundsätzlich kann das Sicherheitsmodul ein tragbarer Datenträger sein, wie beispielsweise eine Chipkarte, eine sichere Massenspeicherkarte oder ein USB-Token. Tragbare Datenträger können – für eine kontaktbehaftete Kommunikation mit einem Endgerät – reversibel in das Endgerät einsetzbar sein. Das Sicherheitsmodul kann auch ein fest in ein Endgerät eingebautes Sicherheitsmodul sein, wie beispielsweise ein Trusted Platform Modul (TPM), ein Nahbereichskommunikations-(NFC-)Modul, ein M2M-Modul, ein Benutzer-Identifikations-Modul oder ein Decoder-Modul. Das Sicherheitsmodul ist ein Hardwaresicherheitsmodul. Diese Optionen gelten unabhängig voneinander für das erste und/oder das zweite Sicherheitsmodul. Beispielsweise kann das zweite Sicherheitsmodul ein tragbarer Datenträger und das erste Sicherheitsmodul ein fest integriertes Sicherheitsmodul sein.
-
Das Kommunikationsgerät dient zur Kommunikation mit dem Sicherheitsmodul und kann ein Kartenleser insbesondere als mobile Einheit beispielsweise an einem Kassensystem, als festinstalliertes Gerät, insbesondere zur Zugangskontrolle, oder als integriertes System in einem Notebook, Handy, Computer oder Tastatur vorgehalten sein.
-
Zum Herstellen einer Kommunikationsverbindung zwischen dem Sicherheitsmodul und dem Kommunikationsgerät findet eine Antikollisionsphase statt. Dabei fordert das Kommunikationsgerät in einer initialen ersten Abfrage die im Wirkkreis befindlichen Sicherheitsmodule zu einer Antwort auf, insbesondere ein Identifikationsmerkmal zu versenden. Werden vom Kommunikationsgerät mehrere gleiche Identifikationsmerkmale empfangen, führt das Kommunikationsgerät ein Separierverfahren durch. Das Separierverfahren beinhaltet in der Regel eine zweite (und/oder weitere), detailliertere Abfrage. Gegebenenfalls kann das Kommunikationsgerät aus den Antworten auf die Abfragen das Sicherheitsmodul oder mehrere Sicherheitsmodule identifizieren. Somit umfasst das Antikollisionsverfahren zumindest eine Initialabfrage und gegebenenfalls ein Separierverfahren. Die Identifikation und möglicherweise Selektion eines Sicherheitsmoduls ist zum Abschließen des Separierverfahrens nicht notwendig.
-
Befindet sich beispielsweise eine Blockierkarte im Bereich des ersten Sicherheitsmoduls, ermittelt das Kommunikationsgerät auf die erste Abfrage ebenfalls eine Kollision, worauf eine zweite, detailliertere Abfrage versendet wird. Über die zweite Abfrage erkennt das erste Sicherheitsmodul insbesondere aufgrund des Inhalts der zweiten Abfrage, dass sich eine Blockierkarte im Wirkkreis des ersten Sicherheitsmoduls befindet und speichert eine entsprechende erste Sperrinformation. Diese erste Sperrinformation beeinflusst das erste Sicherheitsmodul derart, dass eine zweite Antwort auf die zweite Abfrage nur mit beschränktem Inhalt oder gar nicht versendet wird. Alternativ kann die erste Sperrinformation das erste Sicherheitsmodul für den Empfang von weiteren Abfragen oder Befehlen sperren.
-
Wie zu erkennen ist, kann nunmehr mit der Erfindung das erste Sicherheitsmodul bereits während der Antikollisionsphase, wenigstens jedoch während einer der Antikollisionsphase nachfolgenden Kommunikationsphase, vor einem ungewollten Zugriff geschützt werden. Somit muss nicht zwingend eine Blockierkarte vorgehalten werden. Erfindungsgemäß würde ein zweites Sicherheitsmodul mit einen dem ersten Sicherheitsmodul ähnlichen Identifikationsmerkmal ausreichen, um eine Kollision beim Kommunikationsgerät zu erzeugen. Wie ersichtlich ist, kann mit dem erfindungsgemäßen Verfahren ein selektiver Zugriff bereits während der Antikollisionsphase verhindert werden.
-
Somit wird mit dem erfindungsgemäßen Verfahren nicht nur der Schutz des ersten Sicherheitsmoduls erhöht, sondern die benötigten Einheiten, nämlich das Bereitstellen einer eindeutig dem ersten Sicherheitsmodul entsprechenden Blockierkarte, reduziert.
-
Das Einschränken der Datenkommunikation erstreckt sich insbesondere auf eine der Antikollisionsphase nachgeordnete Kommunikationsphase. Selbst nach einem gezielten Selektieren des ersten Sicherheitsmoduls kann somit eine Kommunikation zwischen Kommunikationsgerät und erstem Sicherheitsmodul eingeschränkt, vorzugsweise verhindert werden. Dazu kann das erste Sicherheitsmodul während der Antikollisionsphase ordnungsgemäße Antworten auf Abfragen erstellen. Dies könnte eine Antwort mit dem Identifikationsmerkmal des ersten Sicherheitsmoduls sein. Nach dem Selektieren durch das Kommunikationsgerät wird aber eine Kommunikation, beispielsweise das Empfangen von Befehlen und Erstellen/Absenden von Informationen eingeschränkt, vorzugsweise unterbunden. Dem Kommunikationsgerät kann somit mitgeteilt werden, dass während der Datenkommunikation ein Datenaustausch nicht gewünscht ist und ggf. das Kommunikationsgerät weitere Versuche unterlässt.
-
Das erste Sicherheitsmodul kann auf die erste Abfrage ein Identifikationsmerkmal versenden. Dies könnte zum Beispiel eine erste ID-Nummer, eine Antwort in einem bestimmten Frequenzbereich bzw. Kanal oder eine räumliche Zuordnung sein. Grundsätzlich ist jedoch als Identifikationsmerkmal jede Information zu verstehen, die eine eindeutige Identifikation und anschließende Selektion durch das Kommunikationsgerät im Rahmen einer Antikollisionsphase ermöglichen könnte. Somit wird dem Kommunikationsgerät zunächst ermöglicht, das erste Sicherheitsmodul zu erkennen und falls vom Kommunikationsgerät keine Kollision erkannt wird, eine Datenkommunikation mit dem ersten Sicherheitsmodul durchzuführen.
-
Weiterhin kann vorgesehen sein, dass das erste Sicherheitsmodul prüft, ob die erste und/oder zweite Abfrage eine Abfrage im Rahmen einer Antikollisionsphase (Antikollisionsabfrage) ist. Dazu kann das erste Sicherheitsmodul die erste und zweite Abfrage vergleichen. Alternativ oder zusätzlich könnte das erste Sicherheitsmodul die erste und/oder zweite Abfrage analysieren und aufgrund des Abfragebefehls feststellen, ob es sich um eine Antikollisionsabfrage handelt. Sollte die Prüfung ergeben, dass es sich bei der ersten und/oder zweiten Abfrage um eine Antikollisionsabfrage handelt, wird entsprechend die erste Sperrinformation gespeichert. Insbesondere zur Prüfung der ersten und/oder zweiten Abfrage und deren Vergleich, kann das erste Sicherheitsmodul eine entsprechende erste und/oder zweite Abfrageinformation speichern. Dabei ist die Anzahl nicht beschränkt, so dass auch eine Vielzahl von Abfrageinformationen möglich ist. Somit kann geprüft werden, falls eine Kollision im Kommunikationsgerät stattfindet, ob die Kollision das erste Sicherheitsmodul betrifft und dieses die erste Sperrinformation speichern soll. Sollte entsprechend die zweite Abfrage eine Abfrage nach einem Identifikationsnummernkreis sein, in dem nicht die Identifikationsnummer des ersten Sicherheitsmoduls fällt, könnte das Speichern der Sperrinformation vermieden werden und ggf. eine Datenkommunikation zwischen dem ersten Sicherheitsmodul und dem Kommunikationsgerät stattfinden.
-
Erfindungsgemäß kann in das Verfahren ein zweites Sicherheitsmodul eingebunden werden. Vorzugsweise antwortet das zweite Sicherheitsmodul auf die erste Abfrage mit einer Kollisionsantwort. Dies bedeutet, dass diese Kollisionsantwort mit der ersten Antwort des ersten Sicherheitsmoduls auf die erste Abfrage eine Kollision bewirkt und keine eindeutige Identifizierung des ersten Sicherheitsmoduls durch das Kommunikationsgerät ermöglicht. Die Kollisionsantwort kann ein allgemeines Identifikationsmerkmal aufweisen, wie zum Beispiel eine allgemeine ID-Nummer, das einen Bereich von Identifikationsmerkmalen umfasst, in den das Identifikationsmerkmal des ersten Sicherheitsmoduls fällt. Alternativ kann das Identifikationsmerkmal des ersten Sicherheitsmoduls gleich dem Identifikationsmerkmal des zweiten Sicherheitsmoduls sein. In dieser Ausprägung dient das zweite Sicherheitsmodul als Blockierkarte hinsichtlich des ersten Sicherheitsmoduls, jedoch wird durch die gespeicherte erste Sperrinformation das erste Sicherheitsmodul sicher eingeschränkt/gesperrt.
-
Weiterhin kann das zweite Sicherheitsmodul auf die zweite Abfrage des Kommunikationsgeräts eine reguläre Antwort erstellen und absenden. Die reguläre Antwort umfasst ein eindeutiges Identifikationsmerkmal des zweiten Sicherheitsmoduls. Somit erzeugt das zweite Sicherheitsmodul auf die erste Abfrage eine Kollision und ermöglicht dem Kommunikationsgerät auf die zweite Abfrage seine Identifikation. Dazu kann das zweite Sicherheitsmodul zwei Betriebsmodi aufweisen: Bei einem initialen Betriebsmodus (Kollisionsmodus) versendet das zweite Sicherheitsmodul auf die erste Abfrage die Kollisionsantwort. Ein Kommunikationsmodus erfolgt nach Erkennen der zweiten Abfrage als Antikollisionsabfrage durch das zweite Sicherheitsmodul statt. Im Kommunikationsmodus werden Antworten auf die zweite Abfrage versendet und eine weitere Datenkommunikation findet statt. Weiterhin kann im Kommunikationsmodus das zweite Sicherheitsmodul die Funktion eines regulären Sicherheitsmoduls aufnehmen und beispielsweise zur Durchführung von Transaktionen dienen. Anhand eines derartigen Verfahrens kann gewährleistet werden, dass das erste Sicherheitsmodul durch die Anwesenheit des zweiten Sicherheitsmoduls gesichert ist, während das zweite Sicherheitsmodul Aufgaben eines üblichen Sicherheitsmoduls wahrnimmt. Dabei können dem zweiten Sicherheitsmodul nur beschränkte Ressourcen zugrunde liegen, zum Beispiel ein finanzielles Limit, um bei einem Angriff den entstehenden Schaden zu begrenzen. Auch kann dieses Verhalten zu einem Täuschen des Kommunikationsgerätes dienen.
-
Das erfindungsgemäße erste Sicherheitsmodul zur kontaktlosen Datenkommunikation mit einem Kommunikationsgerät ist zum Empfangen der ersten und zweiten Abfrage vom Kommunikationsgerät und zum Antworten auf die erste und zweite Abfrage ausgebildet. Weiterhin weist das erste Sicherheitsmodul einen ersten Betriebsmodus auf. Im ersten Betriebsmodus (Normalbetriebsmodus) ist das erste Sicherheitsmodul zur Datenkommunikation mit dem Kommunikationsgerät freigegeben. Die erste und zweite Abfrage sind Abfragen im Rahmen einer Antikollisionsphase (Kollisionsabfragen). Weiterhin weist das erste Sicherheitsmodul einen zweiten Betriebsmodus auf. Im zweiten Betriebsmodus (Sicherheitsmodus) weist das erste Sicherheitsmodul eine erste Sperrinformation auf. Anhand der ersten Sperrinformation ist die Datenkommunikation eingeschränkt. Erfindungsgemäß ist das erste Sicherheitsmodul dadurch gekennzeichnet, dass das erste Sicherheitsmodul ausgebildet ist zu ermitteln, ob die erste und/oder zweite Abfrage eine Abfrage im Rahmen einer Antikollisionsphase sind und aufgrund des Ermittlungsergebnisses den zweiten Betriebsmodus zu aktivieren. Somit erkennt das erste Sicherheitsmodul, ob zum Beispiel zwei aufeinanderfolgende Abfragen im Rahmen einer Antikollisionsphase sind und ggf. die Antikollisionsphase das erste Sicherheitsmodul betrifft. Entsprechend kann das erste Sicherheitsmodul vom ersten Betriebsmodus in den zweiten Betriebsmodus und umgekehrt wechseln.
-
Das erste Sicherheitsmodul kann einen Umschalter zum Wechseln zwischen dem ersten und zweiten Betriebsmodus aufweisen. Der Umschalter kann als interne Umschalteinheit und/oder als manuell bedienbaren Schalteinheit ausgebildet sein. Liegt der Umschalter als Softwarelösung vor, kann zum Beispiel ein Herausgeber des ersten Sicherheitsmoduls selbst die Umschaltbedingungen und damit verbundene weitere Funktionen sowie Abläufe festlegen und/oder die Umschaltfunktion aktivieren. Der Umschalter kann aufgrund der gespeicherten ersten Sperrinformation vom Betriebssystem angesteuert werden und dem Betriebssystem Teilprogramme zur Bearbeitung von Befehlen und/oder Abfragen vorgeben. Der Umschalter kann dabei während unterschiedlicher Phasen bzw. in unterschiedliche Schichten des Betriebssystems zur Prozessverarbeitung Einfluss nehmen.
-
Zum Abspeichern der ersten Sperrinformation, der ersten Abfrageinformation und/oder zweiten Abfrageinformation kann das erste Sicherheitsmodul einen Speicher aufweisen. Der Speicher kann als flüchtiger Speicher oder Permanentspeicher ausgebildet sein. So ist es möglich, die erste Sperrinformation in einen flüchtigen Speicher abzulegen, um die Sperrinformation lediglich für insbesondere die Dauer einer Sitzung zu erhalten. Alternativ kann auch aus Sicherheitsgründen die erste und zweite Abfrageinformation in einen permanenten Speicher gespeichert werden und der Speicher für die Sperrinformation bzw. die erste und/oder zweite Abfrageinformation unter Umständen nur noch vorzugsweise vom Herausgeber des Sicherheitsmoduls gelöscht werden. Weiterhin können mehrere Abfrageinformationen im Speicher ähnlich eines Schieberegisters abgespeichert werden, um so eine Vielzahl an Abfrageinformationen zur Analyse durch das erste Sicherheitsmodul vorzuhalten.
-
Weiterhin kann das erste Sicherheitsmodul zur Verwendung in einem oben beschriebenen Verfahren ausgebildet sein.
-
Ein erfindungsgemäßes System zur kontaktlosen Datenkommunikation zwischen einem Kommunikationsgerät und einem ersten Sicherheitsmodul ist derart ausgebildet, dass das erste Sicherheitsmodul entsprechend den vorhergehenden Absätzen ausgebildet ist.
-
In einer Ausführungsform kann das System ein zweites Sicherheitsmodul umfassen, das auf die erste Abfrage eine Kollisionsantwort und auf die zweite Abfrage eine reguläre Antwort ausgibt. Dabei bewirkt die Kollisionsantwort des zweiten Sicherheitsmoduls mit der ersten Antwort des ersten Sicherheitsmoduls eine Kollision, so dass dem Kommunikationsgerät keine eindeutige Identifikation des ersten Sicherheitsmoduls möglich ist. Nach dem Speichern der Sperrinformation durch das erste Sicherheitsmodul kann jedoch über die zweite Abfrage und der regulären Antwort das Kommunikationsgerät das zweite Sicherheitsmodul identifizieren und eine Datenkommunikation mit diesem durchführen. Vorzugsweise unterscheidet sich dabei die Kollisionsantwort von der regulären Antwort.
-
Das erste und/oder zweite Sicherheitsmodul kann dazu wie bereits erwähnt einen Speicher und eine Verarbeitungseinheit umfassen. Der Speicher kann dabei in der Verarbeitungseinheit integriert sein. Vorzugsweise ist auf dem ersten und/oder zweiten Sicherheitsmodul ein flüchtiger und nichtflüchtiger (permanenter) Speicher vorhanden. So kann vorgesehen sein, dass beispielsweise die Identifikationsnummer und/oder ein Betriebssystem des ersten Sicherheitsmoduls und/oder zweiten Sicherheitsmoduls in einem nicht-flüchtigen Speicher enthalten ist. Die Verarbeitungseinheit kann eine CPU sein und einen Prozessor aufweisen.
-
Die Erfindung wird im Folgenden noch weiter beispielhaft anhand der Zeichnungen erläutert. Es zeigen:
-
1 ein mögliches Ablaufschema eines Verfahrens zur kontaktlosen Datenkommunikation gemäß der Erfindung;
-
2 eine weitere Darstellung des Ablaufschemas zur kontaktlosen Datenkommunikation gemäß der Erfindung;
-
3a eine Ausführungsform eines ersten Sicherheitsmoduls beim Empfang einer ersten Abfrage;
-
3b eine Ausführungsform des ersten Sicherheitsmoduls beim Empfang einer zweiten Abfrage;
-
4 eine weitere Ausführungsform einer kontaktlosen Datenkommunikation gemäß der Erfindung;
-
5a eine weitere Ausführungsform des ersten Sicherheitsmoduls
-
5b eine Ausführungsform eines zweiten Sicherheitsmoduls
-
6a eine weitere Ausführungsform des ersten Sicherheitsmoduls
-
6b eine weitere Ausführungsform des zweiten Sicherheitsmoduls
-
7 eine weitere Ausführungsform des ersten Sicherheitsmoduls
-
In den 1 und 2 ist schematisch ein erster Verfahrensablauf zur Datenkommunikation 70 zwischen einem Kommunikationsgerät 100 und einem ersten Sicherheitsmodul 200 gemäß der Erfindung dargestellt. Wogegen in der 1 insbesondere auf die Abläufe im Kommunikationsgerät 100 und im ersten Sicherheitsmodul 200 eingegangen wird, zeigt die 2 insbesondere den Kommunikationsablauf gemäß der Erfindung. Zur Herstellung der Datenkommunikation 70 wird zuerst vom Kommunikationsgerät 100 eine Antikollisionsphase 1 durchgeführt. In der Antikollisionsphase 1 erkennt das Kommunikationsgerät 100, welches Sicherheitsmodul sich im Wirkkreis befindet. Die Antikollisionsphase 1 sieht dabei einen Initialschritt mit einer Aufforderung zur Identifikation der Sicherheitsmodule vor. Sind wenigstens zwei Sicherheitsmodule mit jeweils gleichen Identifikationsmerkmalen anwesend, beginnt das Kommunikationsgerät 100 mit einem Separierverfahren. Führt das Separierverfahren dazu, dass das Kommunikationsgerät 100 ein Sicherheitsmodul identifiziert, ist die Antikollisionsphase 1 abgeschlossen. Nach der Antikollisionsphase 1 kann eine Kommunikationsphase 5 mit einer Datenkommunikation 70 stattfinden.
-
Das Verfahren sieht als Initialschritt vor, dass im Schritt 10 das Kommunikationsgerät 100 eine erste Abfrage 101 versendet. Die erste Abfrage 101 kann beispielsweise die Abfrage von ID-Nummern von Sicherheitsmodulen („IDs?”) im Wirkkreis des Kommunikationsgeräts 100 sein. Daraufhin wird in einem Schritt 11a die erste Abfrage 101 vom ersten Sicherheitsmodul 200 empfangen. Die empfangene erste Abfrage 101 wird in einem Schritt 20a vom Sicherheitsmodul 200 verarbeitet und wodurch eine erste Antwort 210 generiert wird. Die erste Antwort 210 umfasst entsprechend der ersten Abfrage eine erste ID-Nummer 224 „ID1” des ersten Sicherheitsmoduls 200. Nachfolgend wird in einem weiteren Schritt 30a vom ersten Sicherheitsmodul 200 die erste Antwort 210 an das Kommunikationsgerät 100 versendet. Vom Kommunikationsgerät 100 werden jedoch die erste Antwort 210 und eine Kollisionsantwort 310 eines weiteren Sicherheitsmoduls (nicht dargestellt) empfangen, wodurch beim Schritt Kollisionsprüfung 32 im Kommunikationsgerät 100 eine Kollision erkannt wird.
-
Auf das Erkennen einer Kollision beginnt das Kommunikationsgerät 100 mit dem Separierverfahren. Es versendet in einem Schritt 40 eine zweite Abfrage 102, die in einem Schritt 41a vom ersten Sicherheitsmodul 200 empfangen wird. Die zweite Abfrage 102 variiert entsprechend der ermittelten Kollision von der ersten Abfrage 101 und umfasst in diesem Beispiel wieder eine zweite Abfrage 102 zur Abgabe einer ID-Nummer („IDx1-x2?”). Die zweite Abfrage 102 ist jedoch so formuliert, um ein Separieren der Identifikationsmerkmale der im Wirkkreis befindlichen Sicherheitsmodule, vorliegend des ersten Sicherheitsmoduls 200 und des weiteren Sicherheitsmoduls, zu ermöglichen. Im Anschluss findet im ersten Sicherheitsmodul 200 ein Schritt 50a des Verarbeiten der zweiten Abfrage 102 statt, in dem das erste Sicherheitsmodul 200 die zweite Abfrage 102 auswertet. Dabei wird geprüft, ob es sich bei der zweiten Abfrage 102 um eine Abfrage im Rahmen einer Antikollisionsphase 1 (Antikollisionsabfrage) handelt. Anschließend wird bei negativem Prüfergebnis im Schritt 60a dem Kommunikationsgerät 100 eine zweite Antwort 211 gesendet. Die zweite Antwort 211 umfasst in der Regel wieder die erste ID-Nummer 221 des ersten Sicherheitsmoduls 200. Im Nachgang wird das erste Sicherheitsmodul 200 vom Kommunikationsgerät erkannt und ausgewählt und die Datenkommunikation 70 zwischen dem Kommunikationsgerät 100 und dem ersten Sicherheitsmodul 200 findet statt.
-
Bei positivem Prüfergebnis wird jedoch im Schritt 55a in einem Speicher 220 des ersten Sicherheitsmoduls 200 eine erste Sperrinformation (nicht dargestellt) gespeichert. Die erste Sperrinformation hat zur Folge, dass das Generieren der zweiten Antwort 211, der Schritt 60a des Versendens der zweiten Antwort 211 und/oder das erste Sicherheitsmodul 200 für eine weitere nachfolgende stattfindende Datenkommunikation 70 im Schritt 56a gesperrt wird. Weiterhin kann die erste Sperrinformation bewirken, dass keine zweite Antwort 211 vom ersten Sicherheitsmodul 200 erstellt wird, so dass dem Kommunikationsgerät 100 nicht nochmals ein erstes Identifikationsmerkmal 224 des zweiten Sicherheitsmoduls 200 übermittelt wird und somit ein Erkennen des ersten Sicherheitsmoduls 200 nahezu unmöglich ist.
-
Alternativ dazu kann bei Vorliegen der ersten Sperrinformation 224 die Identifikation des zweiten Sicherheitsmoduls 200 durch das Kommunikationsgerät 100 zugelassen werden, wobei eine weitere Datenkommunikation 70 während der Kommunikationsphase jedoch verhindert oder nur eingeschränkt erlaubt wird.
-
Selbstverständlich können nach den oben beschriebenen zwei Abfragen noch weitere Abfragezyklen während der Antikollisionsphase 1 durch das Kommunikationsgerät 100 stattfinden. Zur Vereinfachung wurden jedoch nur zwei Zyklen aufgezeigt. Zu bemerken ist jedoch in dieser Ausführungsform, dass das erste Sicherheitsmodul 200 nach der zweiten Abfrage 102 als Antikollisionsabfrage die erste Sperrinformation speichert.
-
Die 3a und 3b zeigen schematisch anhand eines Ausführungsbeispiels die Funktionen im ersten Sicherheitsmodul 200. Dabei wird in der 3a insbesondere auf das Empfangen der ersten Abfrage 101 und in der 3b auf das Empfangen der zweiten Abfrage 102 Bezug genommen.
-
Das erste Sicherheitsmodul 200 umfasst eine erste Empfangseinheit 250 zum kontaktlosen Empfang von Abfragen, Informationen und/oder Befehlen, eine erste Verarbeitungseinheit 260 und eine erste Ausgabeeinheit 240 zum kontaktlosen Versenden von Information und/oder Befehlen. In der Regel bilden die Empfangseinheit 250 und die Ausgabeeinheit 240 eine einzige Einheit bzw. ein einziges Bauteil. Aufgrund der einfacheren Darstellung des Funktionsflusses wird nachfolgend auf getrennte Einheiten Bezug genommen.
-
Nachdem das erste Sicherheitsmodul 200 über die erste Empfangseinheit 250 die erste Abfrage 101 empfängt, wird diese in der ersten Verarbeitungseinheit 260 verarbeitet und insbesondere hinsichtlich deren Art und Inhalt ausgewertet. In einem Speicher (nicht dargestellt) wird gegebenenfalls eine erste Abfrageinformation „AI1” 222 gespeichert Die erste Abfrageinformation 222 kann beispielsweise als Merker oder als Wert hinterlegt sein und wird vorzugsweise nur dann abgelegt, falls die erste Abfrage 101 eine Antikollisionsabfrage ist. In der ersten Verarbeitungseinheit 260 wird auf die erste Abfrage 101 die erste Antwort 210, welche die erste ID-Nummer 224 „ID1” des ersten Sicherheitsmoduls 200 enthält, generiert und anschließend die erste Antwort 210 über die erste Ausgabeeinheit 240 zum Kommunikationsgerät 100 versendet.
-
In der 3b wird die zweite Abfrage 102 von der ersten Empfangseinheit 250 empfangen und von der ersten Verarbeitungseinheit 260 verarbeitet. Dabei wird geprüft, ob die zweite Abfrage 102 eine Abfrage im Rahmen einer Antikollisionsphase ist. Sollte dies der Fall sein, wird im ersten Speicher des Sicherheitsmoduls 200 eine zweite Abfrageinformation 223 analog zur ersten Abfrageinformation 222 gespeichert. In diesem Ausführungsbeispiel überprüft die erste Verarbeitungseinheit 260 nach dem Speichern der zweiten Abfrageinformation 223 mittels einer Vergleichsroutine 265 die zweite Abfrageinformation 223 mit der ersten Abfrageinformation 222, um zu bestimmen, ob ein weiteres Sicherheitsmodul zur Erzeugung einer Kollision im Wirkkreis des Kommunikationsgeräts 100 vorliegt. Ein Vergleich der ersten Abfrageinformation 222 mit der zweiten Abfrageinformation 223 könnte beispielsweise ergeben, dass die erste und zweite Abfrage 101, 102 jeweils eine Abfrage nach dem gleichen ID-Nummernkreis betrifft, in dem auch die erste ID-Nummer 224 fällt.
-
Führt die Prüfung in der Vergleichsroutine 265 zu einem negativen Ergebnis, so ist aktuell das erste Sicherheitsmodul 200 nicht von einer Antikollisionsabfrage betroffen. Dies bedeutet für das erste Sicherheitsmodul 200, dass hinsichtlich dieser zweiten Abfrage 102 für das erste Sicherheitsmodul 200 kein weiteres Sicherheitsmodul zur Erzeugung einer Kollision vorliegt. Die erste Verarbeitungseinheit 260 des ersten Sicherheitsmoduls 200 generiert entsprechend auf die zweite Abfrage 102 eine zweite Antwort 211 und versendet im Rahmen der zweiten Antwort 211 die erste ID-Nummer 224 des ersten Sicherheitsmoduls 200 über die erste Ausgabeeinheit 240.
-
Führt die Prüfung in der Vergleichsroutine 265 zu ein positives Ergebnis so wird von der ersten Verarbeitungseinheit 260 angenommen, dass ein zu dem ersten Sicherheitsmodul 200 entsprechendes Sicherheitsmodul zur Erzeugung einer Kollision vorliegt. Im Anschluss daran wird im Speicher des ersten Sicherheitsmoduls 200 eine erste Sperrinformation 221 gespeichert. Somit wird der Verarbeitungseinheit 260 mitgeteilt, dass ein weiterer Datenaustausch, insbesondere eine weitere Datenkommunikation 70, zwischen dem Kommunikationsgerät 100 und dem ersten Sicherheitsmodul 200 zumindest eingeschränkt wird.
-
In der 4 ist eine weitere Ausführungsform der Erfindung unter zusätzlicher Verwendung eines zweiten Sicherheitsmoduls 300 dargestellt.
-
Im Rahmen einer Antikollisionsphase 1 versendet im ersten Schritt 10 das Kommunikationsgerät 100 die erste Abfrage 101 „IDs?”. Mit der ersten Abfrage 101 werden alle Sicherheitsmodule im Wirkkreis des Kommunikationsgeräts 100 zur Mitteilung deren ID-Nummer aufgefordert. Diese erste Abfrage 101 wird gemäß dem vorliegenden Ausführungsbeispiel von dem ersten Sicherheitsmodul 200 und einem zweiten Sicherheitsmodul 300 empfangen. Auf die erste Abfrage 101 antwortet das erste Sicherheitsmodul 200 mit einer ersten Antwort 210 „ID1” und das zweite Sicherheitsmodul 300 mit einer entsprechenden Kollisionsantwort 310 „ID1”. Das Kommunikationsgerät 100 empfängt die erste Antwort 210 und Kollisionsantwort 310 und ermittelt dabei eine Kollision.
-
Nach dem Erkennen der Kollision versucht das Kommunikationsgerät 100 die empfangenen Antworten voneinander zu trennen und versendet im Schritt 40 die zweite Abfrage 102 „IDx1-x2?”, in der der abgefragte ID-Nummernkreis eingeschränkt ist. Die zweite Abfrage 102 wird vom ersten Sicherheitsmodul 200 und zweiten Sicherheitsmodul 300 empfangen. Das erste Sicherheitsmodul 200 erkennt an der zweiten Abfrage 102, dass es sich um eine Abfrage im Rahmen einer Antikollisionsphase 1 handelt und speichert die erste Sperrinformation 221. Das erste Sicherheitsmodul 200 wird somit gesperrt, so dass das erste Sicherheitsmodul 200 für den weiteren Verlauf der Sitzung keine weitere Abfrage oder keinen weiteren Befehl vom Kommunikationsgerät 100 verarbeitet.
-
Das zweite Sicherheitsmodul 300 erkennt ebenfalls an der zweiten Abfrage 102, dass es sich um eine Abfrage im Rahmen einer Antikollisionsphase 1 handelt und versendet auf die zweite Abfrage 102 eine reguläre Antwort 311 „ID2” mit einer eindeutigen und gültigen ID-Nummer des zweiten Sicherheitsmoduls 300. Das Kommunikationsgerät 100 kann somit das zweite Sicherheitsmodul 300 identifizieren. Alternativ kann das zweite Sicherheitsmodul 300 als eindeutige ID-Nummer auch die ID-Nummer des ersten Sicherheitsmoduls 200 annehmen.
-
Nach der Identifikation des zweiten Sicherheitsmoduls 300 durch das Kommunikationsgerät 100 kann eine Datenkommunikation 70 zwischen dem zweiten Sicherheitsmodul 300 und dem Kommunikationsgerät 100, nämlich das Übertragen von Befehlen und Daten, stattfinden. Das erste Sicherheitsmodul 200 hingegen ist weiterhin gesperrt und somit vor einem Zugriff durch das Kommunikationsgerät 100 gesichert.
-
In den 5a, 5b sind eine mögliche Konfiguration des ersten und zweiten Sicherheitsmoduls 200, 300, insbesondere zur Verwendung gemäß 4, dargestellt. Das erste Sicherheitsmodul 200 (5a) weist einen ersten Speicher 220 und eine erste Ausführungsumgebung 230 auf. Der erste Speicher 220 umfasst jeweils einen Raum zum Abspeichern einer ersten Sperrinformation 221, einer ersten ID-Nummer 224 sowie einen ersten Speicherplatz für die erste Abfrageinformation 222 „AI1” und einen zweiten Speicherplatz für die zweite Abfrageinformation 223 „AI2”. Die Ausführungsumgebung 230 umfasst ein erstes Betriebssystem 231, ein erstes Sicherheitsapplet 232 sowie ein erstes Normalbetriebs-Applet 233.
-
Das zweite Sicherheitsmodul 300 (5b) weist einen zweiten Speicher 320 mit jeweils einen Speicherplatz für die erste Abfrageinformation 322 „AI1”, einen zweiten Speicherplatz für die zweite Abfrageinformation 323 „AI2” sowie eine Kollisions-ID-Nummer 326 und eine reguläre ID-Nummer 327 auf. Weiterhin weist das Sicherheitsmodul 300 eine Ausführungsumgebung 330 mit einem zweiten Betriebssystem 331, einem zweiten Sicherheitsapplet 332 sowie einem zweiten Normalbetriebs-Applet 333 auf.
-
Mit Bezug auf die vorangehenden Figuren wird in einem Ausführungsbeispiel im ersten Sicherheitsmodul 200 die erste Abfrage 101 in der ersten Ausführungsumgebung 230 verarbeitet. Das erste Betriebssystem 231 entscheidet mithilfe der ersten Sperrinformation 221, ob zum weiteren Betrieb das erste Sicherheitsapplet 232 oder das erste Normalbetriebs-Applet 233 Anwendung findet. Weiterhin wird durch die erste Sperrinformation 221 festgelegt, ob das Betriebssystem 231 die erste Abfrage 101 bearbeitet oder das Sicherheitsapplet 232 aufruft. Beschreibt der Inhalt der ersten Sperrinformation 221, dass das Sicherheitsapplet 232 nicht ausgeführt werden soll (zum Beispiel: keine erste Sperrinformation 221 gespeichert; zweite Abfrage 102 ist keine Antikollisionsabfrage), so wird für den weiteren Betriebsverlauf vorerst das erste Normalbetriebs-Applet 233 eingesetzt. Weiterhin wird die erste ID-Nummer 224 aus dem Speicher 200 ausgewählt und zur weiteren Verarbeitung, beispielsweise zum Versenden an das Kommunikationsgerät 100, verwendet.
-
Die Auswahl des Applets wird über eine Umschaltroutine, die beispielsweise in das Betriebssystem 231 implementiert ist, durchgeführt. Dabei wird festgestellt, ob es sich bei der zweiten Abfrage 102 um eine Abfrage im Rahmen der Antikollisionsphase 1 handelt. Dazu greift die Umschaltroutine auf im Speicher 220 abgelegte erste und zweite Abfrageinformationen 222, 223 zu. Die Abfrageinformationen 222, 223 können beispielsweise eine Information über die Art der jeweiligen Abfragen 101, 102 aufgrund deren Protokoll oder auch den abgefragten ID-Nummernkreis bzw. Frequenzbereich umfassen. Ergibt eine Prüfung in der Umschaltroutine eine Korrelation zwischen der ersten und zweiten Abfrageinformation 222, 223, oder wird die zweite Abfrage 102 als Antikollisionsabfrage erkannt, so wird die erste Sperrinformation 221 gespeichert. Das erste Sicherheitsapplet 232 kann bewirken, dass nach einem Selektieren des ersten Sicherheitsmoduls 200 eine Bearbeitung von Befehlen vom Kommunikationsgerät 100 spezifisch während einer Datenkommunikation verhindert wird.
-
Alternativ zu den oben beschriebenen Verfahren kann auch auf das Sicherheitsapplet 232 verzichtet werden. Das Normalbetriebs-Applet 233 übernimmt eine Überprüfung über das Vorliegen einer ersten Sperrinformation 221 und verhindert gegebenenfalls das Bearbeiten oder Versenden einer Antwort während einer Datenkommunikation 70.
-
Somit wird durch das Speichern der ersten Sperrinformation 221 der Betriebsmodus des ersten Sicherheitsmoduls 200 von einem Normalbetriebsmodus in einen Sicherheitsmodus gewechselt.
-
Im zweiten Sicherheitsmodul 300 wird im Grundzustand (Kollisionsmodus) vom zweiten Betriebssystem 330 auf die erste Abfrage 101 die Kollisionsantwort 310 erstellt und versendet. Dabei greift das zweite Betriebssystem 331 auf eine Kollision-ID-Nummer 326 zu. Das zweite Sicherheitsmodul 300 ist entsprechend dem ersten Sicherheitsmodul 200 angepasst, wodurch die erste ID-Nummer 224 von der Kollision-ID-Nummer 326 umfasst wird. Die Kollision-ID-Nummer 326 kann somit gleich der ersten ID-Nummer 224 sein oder einen Nummernkreis, in dem die erste ID-Nummer 224 fällt, aufweisen.
-
Auf die zweite Abfrage 102 wird analog zum ersten Sicherheitsmodul 200 geprüft ob diese eine Abfrage im Rahmen einer Antikollisionsphase 1 ist und bei positivem Ergebnis eine zweite Sperrinformation 321 gespeichert. Über die zweite Sperrinformation 321 wechselt der Betriebsmodus des zweiten Sicherheitsmoduls 300 in den Kommunikationsmodus. Es wird dem zweiten Betriebssystem 331 mitgeteilt, dass für die weitere Bearbeitung von Befehlen und Daten das zweite Normalbetriebs-Applet 333 zuständig und das zweite Sicherheitsapplet 332 inaktiv ist. Weiterhin wird aufgrund gesetzter zweiter Sperrinformation 321 dem zweiten Betriebssystem 331 die Zuordnung des Identifikationsmerkmals des zweiten Sicherheitsmoduls 300 von der Kollisions-ID-Nummer 326 auf die reguläre ID-Nummer 327 geändert. Das zweite Sicherheitsmodul 300 übermittelt auf eine Abfrage zur Übermittlung des Identifikationsmerkmals beispielsweise eine eindeutige ID-Nummer. Das zweite Normalbetriebs-Applet 333 umfasst dabei auch Funktionen eines üblichen Sicherheitsmoduls, beispielsweise zur Durchführung von Transaktionen. Das zweite Sicherheitsmodul 300 kann über die eindeutige ID-Nummer vom Kommunikationsgerät angewählt werden.
-
Zur Prüfung durch das zweite Sicherheitsmodul 300 kann auch lediglich die Anzahl hintereinander erfolgter Abfragen nach einem Identifikationsmerkmal, ebenfalls durch Speichern der ersten und zweiten Abfrageinformation durch das zweite Sicherheitsmodul 322, 323, herangezogen werden.
-
Gleichwohl das Setzen der zweiten Sperrinformation 321 lediglich über Softwarelösungen beschrieben ist, kann auch eine Hardwarelösung, beispielsweise die Verwendung einer Schalteinheit, vorzugsweise einen Schalter zum Betätigen, insbesondere Drücken, durch einen Benutzer, eingesetzt werden. Insbesondere die Verwendung eines derartigen Schalters ermöglicht einem Benutzer die Freigabe des ersten Sicherheitsmoduls 200 in einer für ihn gesicherten Umgebung. Weiterhin kann durch Aktivieren des zweiten Sicherheitsmoduls 300, zum Beispiel Nichtsetzten der zweiten Sperrinformation 321 des zweiten Sicherheitsmoduls 300 das erste Sicherheitsmodul 200 in den Sicherheitsmodus wechseln kann.
-
Somit kann bei Verwendung des zweiten Sicherheitsmoduls 300 in einer Antikollisionsphase 1 der Betriebsmodus vom Kollisionsmodus in den Kommunikationsmodus umgeschaltet werden.
-
Die 6a und 6b zeigen eine weitere mögliche Ausgestaltung der ersten und zweiten Ausführungsumgebung 230, 330, wobei teilweise Bezug auf ein System bzw. Verfahren der vorhergehenden Figuren genommen wird. Die 6a stellt die erste Ausführungsumgebung 230 des ersten Sicherheitsmoduls dar. Das erste Betriebssystem 231 ist ein Teil der ersten Ausführungsumgebung 230 und ist als schichtorientiertes Betriebssystem dargestellt. Das erste Betriebssystem 231 weist in der untersten Ebene eine erste Antikollisionsschicht 2311 und in der obersten Ebene eine erste Anwendungsschicht 2314 auf. In der ersten Antikollisionsschicht 2311 wird das Verhalten des ersten Sicherheitsmoduls 200 während der Antikollisionsphase 1 behandelt. Die erste Anwendungsschicht 2314 hingegen ruft für den Betriebsablauf entsprechend notwendige Applets aus der ersten Ausführungsumgebung 230 auf. So wird üblicherweise über die erste Anwendungsschicht 2314 zur Ausführung von Betriebsabläufen eine erste Normalbetriebs-Applet 233 ausgeführt, beispielsweise für den Datenaustausch während einer Transaktion.
-
Auf die erste Abfrage 101 eines Kommunikationsgeräts 100 wird diese als erste Abfrage 101 im Rahmen einer Antikollisionsphase erkannt. hierzu wird ein erster Merker 2313 in/für die Antikollisionsschicht 2311 gesetzt. Nach Eingang der zweiten Abfrage 102 wird beispielsweise anhand des ersten Merkers 2313 vom ersten Betriebssystem 231 die zweite Abfrage 102 als zweite Abfrage im Rahmen einer Antikollisionsphase 1 erkannt. Dies hat zur Folge, dass in der Antikollisionsschicht 2311 die zweite Abfrage 102 nicht regulär bearbeitet wird, nämlich ein erneutes Absenden des Identifikationsmerkmals. Vielmehr wird einer ersten Umschalteinheit 236 ein Anwendungsbefehl übermittelt. Die erste Umschalteinheit 236 bewirkt auf die zweite Abfrage 102, dass die erste Sperrinformation 221 gespeichert wird. Mithilfe der ersten Sperrinformation 221 kann der Anwendungsschicht 2314 mitgeteilt werden, dass das erste Normalbetriebs-Applets 233 nicht ausgeführt werden soll. Alternativ oder zusätzlich kann dem ersten Betriebssystem 231 durch die erste Sperrinformation 221 mitgeteilt werden, dass die Abgabe/Annahme von weiteren Informationen verweigert wird. Somit kann über die Umschalteinheit der Betriebsmodus des ersten Sicherheitsmoduls 200 von einem Normalbetriebsmodus in einen Sicherheitsmodus umgeschaltet werden, wobei vorzugsweise im Normalbetriebsmodus keine erste Sperrinformation 221 gespeichert und das erste Sicherheitsmodul 200 zum Austausch von Daten mit dem Kommunikationsgerät 100 für die Datenkommunikation 70 freigegeben ist. Dagegen wird vorzugsweise im Sicherheitsmodus eine Antwort auf die zweite Abfrage 102 und/oder die Datenkommunikation 70 vom ersten Sicherheitsmodul 200 verhindert. Anstatt „verhindern” ist es auch möglich, dass lediglich ausgewählte Daten/Informationen vom Sicherheitsmodul 200 an das Kommunikationsgerät 100 übermittelt werden können.
-
Das zweite Sicherheitsmodul 300 aus 6b umfasst die zweite Ausführungsumgebung 330. In der zweiten Ausführungsumgebung 330 weist das zweite Betriebssystem 331 analog zum ersten Betriebssystem 231 eine zweite Antikollisionsschicht 3311 und eine zweite Anwendungsschicht 3314. Auf die erste Abfrage 101 wird über die zweite Antikollisionsschicht 3311 des zweiten Betriebssystems 331 dem Kommunikationsgerät 100 eine Kollisionsantwort 310 gesendet. Da die erste Abfrage 101 eine Antikollisionsabfrage ist, wird in der zweiten Antikollisionsschicht 3311 ein zweiter Merker 3313 gesetzt.
-
Stellt die zweite Antikollisionsschicht 3311 beispielswiese mithilfe des zweiten Merkers 3313 fest, dass die zweite Abfrage 102 eine zweite Abfrage im Rahmen einer Antikollisionsphase ist, wird beispielsweise über den zweiten Merker 3313 eine zweite Umschalteinheit 336 vom zweiten Betriebssystem 331 angesteuert, wodurch eine Modusinformation gespeichert wird. Über die Modusinformation kann dem zweiten Betriebssystem 331 eine reguläre ID-Nummer 327 als Identifikationsmerkmal des zweiten Sicherheitsmoduls 300 zugewiesen und ein zweites Normalbetriebs-Applet 333 zum Ansprechen über die Anwendungsschicht 3314 freigeben werden. Somit kann das zweite Sicherheitsmodul 300 über die zweite Abfrage 102 von einem Kollisionsmodus zum Erzeugen einer Kollision mit einem ersten Sicherheitsmoduls 200 zu einem Kommunikationsmodus zur Verwendung mit einer regulären Funktion, beispielsweise zum Durchführen von Transaktionen und/oder zur Authentifizierung, umgeschaltet werden. Das zweite Sicherheitsmodul 300 weist somit zwei Betriebsmodi auf.
-
Die erste und/oder zweite Umschalteinheit 236, 336 kann als Software bereitgestellt sein. Insbesondere wenn die erste und zweite Umschalteinheit 236, 336 vom ersten und zweiten Betriebssystem 231, 331 unabhängig ist, kann das Verhalten des ersten und zweiten Sicherheitsmoduls, beispielsweise der Inhalt der Kollisionsantwort, vom Herausgeber des Sicherheitsmoduls angepasst werden, ohne das Betriebssystem zu ändern. Alternativ oder zusätzlich kann die erste und zweite Umschalteinheit 236, 336 als Hardwarekomponente ausgeführt sein, um insbesondere ein manuelles Aktivieren bzw. Deaktivieren der ersten bzw. zweiten Umschalteinheit 236, 336 zu bewirken. Dadurch kann ein Benutzer selbst den Schutz des ersten Sicherheitsmoduls 200 aufheben oder aktivieren, ohne dass das Kommunikationsgerät 100 auf das erste und/oder zweite Sicherheitsmodul 200, 300 zugreifen kann. Die Hardware kann beispielsweise als Schaltelement ausgeführt sein, das zum Beispiel mittels Strahlung, insbesondere Lichtstrahlung, elektrischer Energie, oder Drücken betätigt werden kann.
-
In der 7 ist eine weitere Ausführungsform des ersten Sicherheitsmoduls 200, nämlich als Kombination des ersten und zweiten Sicherheitsmoduls 200, 300, dargestellt. Das erste Sicherheitsmodul 200 weist dazu die erste Ausführungsumgebung 230 mit dem ersten Normalbetriebs-Applet 233 für einen „normalen Betriebsablauf” und dem ersten Betriebssystem 231, sowie einen Speicher 220 auf. Weiterhin ist ein Konfigurationsmodul 237 vorgesehen, das das Verhalten des ersten Betriebssystems 231 auf Erkennen einer Antikollisionsabfrage steuert. Auf das erste Sicherheitsmodul 200 kann ein nachladbares Sicherheitsapplet 239 geladen werden. Mit dem nachladbaren Sicherheitsapplet 239 kann beispielsweise auf das Erkennen der zweiten Abfrage 101 als zweite Antikollisionsabfrage eine Bearbeitung von Befehlen des Kommunikationsgeräts 100 durchgeführt werden. Das nachladbare Sicherheitsapplet 239 kann beispielsweise über einen manuellen Schalter 205 oder über das erste Betriebssystem 231 als ausschließliches Applet zur Bearbeitung von Befehlen gesetzt werden.
-
Sowohl dem Normalbetriebs-Applet 233 als auch dem nachladbaren Sicherheitsapplet 239 können unterschiedliche ID-Merkmale zugeordnet sein. Im Normalbetriebsmodus (Sicherheitsapplet deaktiviert) ist somit beispielswiese dem ersten Sicherheitsmodul 200 eine erste ID-Nummer 224 zugeordnet und im Sicherheitsmodus (Sicherheitsapplet aktiviert) ist beispielsweise dem ersten Sicherheitsmodul 200 eine zur ersten ID-Nummer 224 unterschiedliche weitere ID-Nummer 227 zugeordnet. Die Auswahl der ID-Nummer findet beispielsweise über das erste Betriebssystem 231 oder dem ersten Normalbetriebs-Applet 233 bzw. nachladbaren Sicherheitsapplet 239 statt.
-
Wie zu erkennen ist, kann über das Konfigurationsmodul 237 auf das nachladbare Sicherheitsapplet 239 eingewirkt werden, beispielsweise welche Daten übertragen werden dürfen bis zu einem Sperren der Ausgabe von Daten zur Datenkommunikation. Diese Einstellungen am Konfigurationsmodul 237 können sowohl vom Hersteller des ersten Sicherheitsmoduls 200 als auch von dessen Herausgeber durchgeführt werden. Weiterhin ist es möglich, das nachladbare Sicherheitsapplet 239 nachträglich, beispielsweise im Rahmen eines üblichen Updates, auf das erste Sicherheitsmodul 200 zu installieren und in den Betriebsablauf einzubinden.
-
Obwohl die vorliegende Erfindung in verschiedenen Ausführungsformen beschrieben wurde, ist es selbstverständlich, dass diese Ausführungsformen nur beispielhaft sind und einzelne Merkmale nicht nur in der beschriebenen Kombination vorkommen können. Vielmehr ist es entsprechend der vorliegenden Erfindung vorgesehen, dass auch andere Ausgestaltungen unter Anwendung der Merkmale möglich sind, beispielsweise. die Verwendung eines Konfigurationsmoduls 237 im zweiten Sicherheitsmodul 300.