DE19531275A1

DE19531275A1 - Intelligente Karte für Mehrfachbetrieb, mit Sicherheitsmerkmalen

Info

Publication number: DE19531275A1
Application number: DE1995131275
Authority: DE
Inventors: Hans-Diedrich Kreft; Michael Iloff
Original assignee: Angewandte Digital Elektronik GmbH
Current assignee: Angewandte Digital Elektronik GmbH
Priority date: 1995-08-27
Filing date: 1995-08-27
Publication date: 1997-05-07
Anticipated expiration: 2015-08-28
Also published as: WO1997008929A2; AU1364597A; WO1997008929A3; DE19531275C2

Description

Erfindungsgegenstand sind Karten, welche kontaktfreie mit kontaktbehafteten Eigen schaften verbinden. Solche Karten sind im Patent DE 39 35 364 beschrieben.

Es ist Ziel der Erfindung, Karten in ihrer Funktion und Handhabung zu verbessern.

Erläutert wird die Erfindung anhand von Blockschaltbild Fig. 1.

Die verschiedenen Systemzustände der Schaltungsblöcke sollen selektiv wirksam wer den, bzw. stillgelegt werden. Dabei ist es die Hauptaufgabe, in kontakfreier Betriebsart sensible Daten gegen solche Angriffe von ferne zu schützen, die nicht durch den Inha ber der Karte autorisiert sind. Nebenziele können sein, so wenig Energie wie möglich zu verbrauchen. Dagegen ist es üblich, in der Betriebsart nach IS 7816 die volle Fun tionalität herzustellen, weil keine Energie gespart werden muß. Solche Karten können nicht unbemerkt über Enffernung in ihren Speichern verändert werden, da sie in ein Terminal eingebracht werden müssen.

Mit dem Einbringen einer Karte in eine spezifische Umgebung werden bereits einige Funktionsblöcke in Betrieb gesetzt und andere werden stillgelegt oder bleiben stillge legt. Mit dem Einbringen in einen Leser sollen zuverlässige Arbeitsbedingungen der Karte geschaffen werden.

Die DE 39 35 364 C1 (im folgenden kurz DE genannt), hat sich schon frühzeitig mit der logischen Abbildung der in der Karte ankommenden Versorgungsspannungen aus den verschiedenen Einbringungs-Fällen bedient. Später stützt sich EP 0 534 559 A1 (im folgenden kurz EP genannt) auf das gleiche Prinzip für eine modifizierte Aufgabe, ohne es allerdings zu beschreiben.

Die vorgelegte Erfindung stelIt einen Baukasten von Maßnahmen zur Verfügung, der über den bisher bekannten Grundnutzen hinaus Zusatznutzen aus weiteren Bereichen erschließt:

- Gestaltungsfreiheit bei der Optimierung der Karte,
- Sicherheitspotential für kritische Anwendungsfälle.

Fig. 1 stellt patentgemäße Lösung in einem Blockschaltbild vor. Die Karte hat auf der im Bild rechten Seite ein solches Kontaktfeld 3 (entsprechend DE Teil 3), wie es nach IS 7816 verkehrsüblich ist. Auf der linken Seite des Bildes ist eine magnetische Anten ne 4 (entsprechend DE Teil 4 oder 5) gezeigt, wie sie Gegenstand der Norm IS 10536 oder IS 14443 ist. Eine weitere magnetische Antenne 5 (entsprechend DE Teil 5 oder 4) kann als Option nach IS 10536 betrieben werden. Eine weitere Option ist die elektri sche Antenne 6 - ebenfalls nach IS 10536, die aus Gründen der Symmetrie paarig auftritt. Die an den Antennen 4 . . . 6 stehenden Signale können durch die Funktionsblöc ke 1 (entsprechend DE Teil 2.1.1) und 2 (entsprechend DE Teil 2.1.4) so umgewandelt werden, daß sie an der (gegebenenfalls auch nur virtuellen) Schnittstelle 7 die Norm IS 7816 erfüllen. Die Schnittstelle 8 gegenüber tut das ohnehin.

Das Ergebnis der Umwandlung in dem AC/DC-Wandler 1 (insbesondere ein Gleichrich ter mit Puffer und Begrenzer) ist eine Gleichspannung (entsprechend DE U1) auf der Leitung 9 und ein (zum Teil bidirektionaler) Daten-/Steuer-Bus 10 (entsprechend DE K1. . .K5).

Diesen Leitungen entsprechen an der Schnittstelle 8 die Leitung 11 mit der Gleich spannung Vcc nach IS 7816 (entsprechend DE U2) und wiederum ein Bus 12 (entsprechend DE I1. . .I5). Die Busse 10 und 12 müssen nicht aus 5 Leitungen beste hen: Die Norm 7816 läßt auch mehr oder weniger zu.

Wie in EP unverbindlich angedeutet, kann insbesondere die Option mit der Antenne 4 auch doppelt auftreten, wodurch auch die Schnittstelle 7 zweimal auftreten kann. Alle weiteren Kombinationen von Optionen sollen sich an einer Schnittstelle(n) 7 darstellen lassen, damit genügt für die Beschreibung des Erfindungsgedankens die Berücksichti gung einer einzigen Schnittstelle 7.

Zwischen den Schnittstellen 7 und 8 befinden sich Funktionsblöcke, die insbesondere zusammen mit den Blöcken 1 und 2 sowie ihren Verbindungsleitungen 9, 10, 13, 14 etc. auf einem einzigen Chip (entsprechend DE Teil 2) oder verschiedenen Chips im plementiert sein können. Der Natur der Chip-Konstruktion entsprechend, müssen die gezeigten Funktionsblöcke nicht als physikalisch existente Hardware verstanden wer den. Es ist sinnvoller, sie als begriffliche Funktionselemente zur Lösung einer Aufgabe zu sehen.

Die typische Aufgabe einer solchen Karte - von der die Erfindung ausgeht - ist es ins besondere, Daten in Speichern 15, 16 bereitzuhalten. Diese Speicher behalten be stimmungsgemäß ihren Inhalt auch dann bei, wenn sie nicht mit Energie versorgt wer den (mögliche Implementierungen sind insbesondere EEPROMs oder FRAMs). Der Zugang zu diesen Daten wird durch Steuerwerke 17, 18 verwaltet. Diese Steuerwerke können insbesondere mikroprogrammierte Schaltwerke und/oder Mikrorechner oder sonstige Datenverarbeitungsfunktionen sein.

Die Speicher 15, 16 und Steuerwerke 17, 18 verbrauchen Hilfsenergie, um wirksam sein zu können. Wie bereits erwähnt, kann es sinnvoll sein, beim Betrieb der Karte von der linken Seite im Bild aus Energie zu sparen, während es von der rechten Seite im Bild aus nicht erforderlich sein wird. Die Erfindung gibt nun ein weiteres Steuerwerk 19 an, das den Zugang der Steuerwerke 17, 18 mitsamt ihren Speichern 15, 16 in Abhän gigkeit von der bereits erwähnten Art der Einbringung der Karte - in eine kommunikati onsfähige Umgebung - reglementiert. Dieses Steuerwerk 19 wird in den Ansprüchen Betriebsart-Steller genannt und würde auf englisch MODE MANAGER genannt werden dürfen. Der Begriff des Stellers ist aus der Regelungstechnik entnommen und soll as soziieren, daß vermittels der logischen Stellgröße physikalischer Einfluß auf die Strec ke ausgeübt wird. Der Steller 19 schaltet nicht nur logische Zustände, sondern auch Energie. In seiner allgemeinsten Form ist der Steller ein abstraktes Gebilde, dessen konkrete Ausformung von den aktuellen technischen Anforderungen bestimmt wird.

Für die Versorgung der Blöcke 15. . .18 benutzt der Steller 19 die Leitungen 20, 21. Die Leitung 22 versorgt den Modulator/Demodulator (MODEM) 2. Diese Leitung ist nicht Bestandteil der Schnittstelle 7 nach IS 7816. Der Steller 19 versorgt nicht nur über die Leitung 21 die Blöcke 15, 17, sondern über die Leitung 22 auch die ebenfalls auf Hilfs energie angewiesene Signal-Vor/Nach-Verarbeitung 2.

Zwischen den Steuerwerken 17 und 18 befindet sich noch die Datenverbindung 23, damit die gesamte Einrichtung in der jeweiligen Betriebsart auch bestimmungsgemäß Daten hin- und/oder herschieben kann. Zusammen mit den äußeren Datenleitungen der Busse 10 und 12 lassen sich in dieser Anordnung insbesondere Daten von 3 über 12, 18 in 16 schreiben, insbesondere zeitversetzt von 16 durch 18, 23 und 17 nach 15 verlegen und wiederum insbesondere zeitversetzt von 15 durch 17 über 10, 2 und 1 nach 4 transportieren.

Erfindungsgegenstand ist das Anzapfen der Busse 10 und 12 zum Zweck der Beein flussung des Stellers 19.

Ein willkürliches Beispiel: Der Karteninhaber gibt an 3 ein Paßwort ein; dieses wird in 19 geprüft. Wenn es korrekt ist, versorgt der Steller 19 über 21 den 17 und 15 mit Energie. Dann kann der 18 Daten aus 3 über 23 und 17 nach 15 transportieren. In die ser Betriebsart macht es keinen Sinn, auch noch über 22 den 2 zu versorgen. Das ist der Grund für die individuelle Existenz der Leitung 22. Es soll aber nicht ausgeschlos sen werden, daß das Potential der Leitung 22 mit dem der Leitung 9 identisch sein kann, wenn der Implementierer das für richtig hält.

Oder: Die Karte ist in ein hochfrequentes Magnetfeld eingebracht, wodurch 1 über 9 den 19 aufweckt und dieser über 22 den 2 versorgt. Der Karteninhaber gibt nun an 4 ein Paßwort ein. Dieses wird über 13, 2 und 10 an 19 geleitet und in 19 geprüft. Bei Übereinstimmung mit dem Sollwort versorgt 19 über 21 den 17 und 15 mit Energie. Jetzt kann der Karteninhaber sich der Daten in 15 bedienen. Um in dieser Betriebsart Energie zu sparen, wird der 19 nicht den 18 und 16 versorgen.

Die Erfindung gibt sich nun nicht damit zufrieden, daß all diese möglichen und zahlrei chen Betriebsarten durch Ausfall der Energiequelle an entweder/oder 9 bzw. 11 in den Ruhezustand zurückfallen. Dies ist in einer Kategorie der möglichen Ausgestaltungen zwar beansprucht. In einer anderen Kategorie ist allerdings zusätzlich beansprucht, daß die einmal eingestellte Betriebsart auch über den Energie-Ausfall hinaus so lange erhalten bleiben kann, bis nach erneuter Energie-Zufuhr und Eingabe von Information über 3 oder 4 die Betriebsart geändert werden kann.

Zusammen mit der vorerwähnten Anzapfung der Daten wird der Betriebsarten-Steller 19 derartig vielseitig, daß dem Implementierer eine erhebliche Auswahl von Gestalt ungsmöglichkeiten der Karte für ihren jeweiligen Verwendungszweck offensteht.

Bemerkungen

Zu Anspruch 1:
Jene Karte als Informations-Träger nach IS 7810, die Merkmale nach IS 7816 und IS 10536 in sich vereint, also Energie- und Informationsfluß einerseits über galvanische Kontakte und andererseits über nichtgalvanische Wege (induktiv, kapazitiv, optisch, akustisch . . .) benutzt ist mit verschiedenen Ausgestaltungen der Betriebsarten- Stellung (d. h. Beeinflussung durch stufiges Stellglied) als DE 39 35 364 erteilt.

Zu den seither beschriebenen und unausgesprochen unterstellten Stell-Möglichkeiten durch Zuführen der jeweiligen Energieversorgung (d. h. jeweils an den Teil nach IS 7816 oder jenen nach IS 10536) hinzu kommt erfindungsgemäß die - auf die Existenz der Energieversorgung aufgesetzte - Qualifizierung (Verschlüsselung, Vorbedingung) insbesondere zur Erleichterung oder Erschwerung des Zugangs zu den in der Karte enthaltenen Informationen oder der Veränderung derselben.

Zu Anspruch 2:
Hier wird an den Teil nach IS 10536 eine Vorbedingung angelegt, damit der Betriebsar ten-Steller die Funktion dieses Teils nicht nur von der Energieversorgung abhängig macht, sondern zusätzliche Maßnahmen erfordert.

Zu Anspruch 3:
Ein sehr spezieller Fall ist jener, daß die soeben erwähnte Maßnahme eine Multiplika tion mit Null ist. Im Fall der binaren Logik wird aus der allgemeinen Multiplikation eine Boolesche UND-Verknüpfung. Die UND-Verknüpfung speziell mit der NULL (logic FALSE, logisch UNWAHR) bedeutet die verknüpfte Information zu ignorieren. Genau das soll erreicht werden: Die Existenz der Energieversorgung dieser Seite (IS 10536) soll keinen Einfluß auf die Position des Betriebsarten-Stellers haben ein sehr spezieller Effekt, der erwünscht sein kann. Die Schaltung "schläft" und wird bei Zufuhr der Energie unverzüglich "wach". Der Einfluß der Energieversorgung auf die Stellung des Betriebsartenstellers ist damit nicht verschwunden - er kommt nur von der anderen Seite (IS 7816).

Zu Anspruch 4:
Hier wird an den Teil nach IS 7816 eine Vorbedingung angelegt, damit der Betriebsar ten-Steller die Funktion dieses Teils nicht nur von der Energieversorgung abhängig macht, sondern zusätzliche Maßnahmen erfordert. Der Kern dieser Aussage entspricht demjenigen von Anspruch 2.

Zu Anspruch 5:
Insbesondere kann von dem Benutzer der Karte erwartet werden, daß er am Terminal ein Paßwort oder eine Persönliche Identifikations-Nummer (PIN, "Geheimzahl") eingibt, um Zugang zu den in der Karte befindlichen oder erwarteten Informationen oder Pro zessen zu erhalten.

Zu Anspruch 6:
Wenn man sich den Betriebsarten-Steller - logisch abstrahiert - als einen Schalter mit drei möglichen Positionen vorstellt, von denen die mittlere keinen Ausgang hat (das ist ein Umschalter mit einem Trenner in der Mitte), dann könnte die mittlere Position weg lassen werden, wenn der Umschalter in eine der beiden verbleibenden Stellungen ge zwungen wird. Ein Halbleiterschalter (insbesondere FET-Schalter) muß nicht im ener gielosen Zustand völlig trennen (wie ein bipolarer Schalter), sondern kann den soge nannten selbstleitenden Kanal des Feldeffekt-Transistors (FET) als "Ruhekontakt" ge brauchen. Sofern der Betriebsarten-Steller nicht explizit als Schalter implementiert ist, sondern als (sequentielles mikroprogrammiertes) Schaltwerk oder überhaupt als Firm ware in einem Mikrokontroller auftaucht, ist die Zahl der Steller-Positionen auch nicht mehr auf den expliziten Trenner angewiesen.

Zur Abdeckung der unzähligen Implementierungs-Möglichkeiten drückt der Anspruch eine logische Abstraktion aus. Im übrigen sorgt die beanspruchte Wahl des Ruhezu stands vorausschauend dafür, daß die "Erweckung" nach Anspruch 3 mit minimalem Verzug erfolgt.

Zu Anspruch 7:
Es wurde soeben entschieden, daß der gewünschte Einrichtungsteil durch die entspre chende Wahl des Ruhezustandes des Betriebsarten-Stellers "scharf" gemacht ist. Er muß nur noch "gezündet" werden. Das tut das Anlegen der Energieversorgung an eben diesen Einrichtungsteil (insbesondere den nichtgalvanischen nach IS 10536). Der Sinn dieser Ausgestaltung ist es insbesondere, das Ein- und Aussteigen an Bussen und Bahnen dadurch zu beschleunigen, daß die Karte schon beim bloßen berührungslosen Einführen in ein (hochfrequentes) Magnetfeld zur bestimmungsgemäßen Kommunikati on schreitet.

Der Hinweis auf die umgekehrte Wirkung soll deutlich machen, daß das bloße Been den der Energieversorgung ausreicht, um den zuvor versorgt gewesenen Einrichtungs teil wirkungslos zu machen.

Zu Anspruch 8:
Die Wahl des Ruhezustands ("Ruhelage") fällt hier so aus, daß der betreffende Einrich tungsteil (insbesondere der nach IS 7816) nicht unmittelbar durch Zufuhr von Energie wirksam ist. Das ist - insoweit logisch abstrahiert - insbesondere das Komplement zu der Definition in Anspruch 6.

Zu Anspruch 9:
Gemäß Anspruch 8 steht der Betriebsarten-Steller in Ruhe (d. h. ohne Energie) ohne hin schon ungünstig für den hier betroffenen Einrichtungsteil (insbesondere den nach IS 7816): Durch bloßes Zuführen von Energie wird dieser Teil noch nicht wirksam. Nach dem Anlegen der Energie muß auch noch das vom Benutzer kommende Paßwort (oder ähnliche Schlüssel) mit dem in der Karte gespeicherten Paßwort verglichen wer den. Erst wenn der fachbekannte Vergleichsmechanismus erfolgreich überwunden ist, kann das einzige dabei anfallende logische Bit den betreffenden Einrichtungsteil wirk sam machen.

Es ist damit nicht gesagt, daß mit dieser Maßnahme der komplementäre Einrichtungs teil (insbesondere der nach IS 10536) von einer tatsächlichen oder möglichen Funktion ausgeschlossen werden muß. Diese Festlegung steht dem implementierenden Mitwir kenden zu.

Zu Anspruch 10:
Das bloße Beenden der Energieversorgung reicht aus, um den zuvor versorgt gewese nen Einrichtungsteil wirkungslos zu machen. Die logische Abstraktion dieser Ausgestal tung des Betriebsarten-Stellers ist der monostabile Schalter.

Zu Anspruch 11:
Das bloße Beenden der Energieversorgung reicht nicht aus, um den zuvor versorgt gewesenen Einrichtungsteil wirkungslos zu machen. Die logische Abstraktion dieser Ausgestaltung des Betriebsarten-Stellers ist der bistabile Schalter.

Zu Anspruch 12:
Als ergonomisches Komplement zu Anspruch 7 geht hier Geheimhaltung vor Ge schwindigkeit. Der Benutzer muß mit der Karte in die Reichweite eines Terminals, um ein Paßwort vergleichen lassen zu können, bevor er auf (besonders schutzwürdige) Informationen auf der Karte zugreifen kann. Das Beenden der Funktionalität erfordert hier keinen expliziten Anspruch, weil es ohne weiteres Zutun der Wirkung von An spruch 10 entspricht.

Zu Anspruch 13:
Einfache Telefonkarten sind Einweg-Artikel, weil bestimmte Zwänge des Sicherheits konzepts dies erfordern. Diese Wirkungsweise muß bei der beanspruchten Ausgestal tung nicht ausgeschlossen bleiben. Man kann - aus beliebigen Gründen - die Karte insbesondere nach dem Produktionsprozeß mit Informationen laden, den galvanisch zugänglichen Einrichtungsteil (d. h. den nach IS 7816) versiegeln und die Karte auslie fern. Wenn die elektrische Versiegelung (insbesondere Trennen oder Kurzschließen) nicht eindringlich genug ist, läßt sich mechanische Versiegelung (auf das Kontaktfeld) setzen (Kleben, Schweißen, Laminieren, Siebdrucken, Lochen . . . ).

Im Unterschied zur herkömmlichen (galvanischen) Telefonkarte wird die hier bean spruchte Karte nach der Versiegelung nicht galvanisch genutzt sondern nichtgalva nisch.

Claims

1. Intelligente Karte für sowohl galvanischen als auch nichtgalvanischen Zugriff über Informationswege und/oder Energiewege, dadurch gekennzeichnet, daß die Wahl der jeweiligen Betriebsart über das augenblickliche Vorhandensein der jeweiligen Energieversorgung hinaus durch zusätzliche logische Bedingungen beeinflußt werden kann.

2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Energieversorgung aus dem nichtgalvanischen Weg für die Wahl der Be triebsart mit logische(n) Bedingung(en) verknüpft ist.

3. Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß die logische Bedingung insbesondere eine logische NULL ist.

4. Einrichtung nach Anspruch 1. . .3, dadurch gekennzeichnet, daß die Energieversorgung aus dem galvanischen Weg für die Wahl der Betriebsart mit logische(n) Bedingung(en) verknüpft ist.

5. Einrichtung nach Anspruch 4, dadurch gekennzeichnet, daß die logische Bedingung eine Informationskombination als Zugangsschlüssel ist.

6. Einrichtung nach Anspruch 1. . .5, dadurch gekennzeichnet, daß der Betriebsartensteller unter Verzicht auf eine funktionslose Ruhelage in der sich ohne jede Energieversorgung zwangsläufig einstellenden Ruhelage einen sol chen Zustand einnimmt, der genutzt werden kann.

7. Einrichtung nach Anspruch 6, dadurch gekennzeichnet, daß der Betriebsartensteller seine bestimmungsgemäße Funktion dadurch erlangt, daß an dem von dieser Funktion betroffenen Einrichtungsteil die Energieversor gung angelegt wird und umgekehrt.

8. Einrichtung nach Anspruch 4, dadurch gekennzeichnet, daß der Betriebsartensteller ohne jede Energieversorgung einen solchen Zustand einnimmt, der keiner weiteren Funktion dient.

9. Einrichtung nach Anspruch 8, dadurch gekennzeichnet, daß die zweckbestimmte Funktion sich dadurch einstellt, daß eine logische Bedingung in Form einer Informationskombination als Zugangsschlüssel erforderlich ist.

10. Einrichtung nach Anspruch 9, dadurch gekennzeichnet, daß der Betriebsartensteller in seinen Ruhezustand zurückfällt, sofern die Energiever sorgung endet und keine(n) zusätzlich(e) Befehl(e) benötigt werden.

11. Einrichtung nach Anspruch 6 und 8, dadurch gekennzeichnet, daß der Betriebsartensteller für den Rückfall in seinen Ruhezustand neben der Been digung der Energieversorgung zusätzlich(e) Befehl(e) benötigt.

12. Einrichtung nach Anspruch 6, dadurch gekennzeichnet, daß die zweckbestimmte Funktion das Anlegen einer Informationskombination als Zugangsschlüssel erfordert.

13. Einrichtung nach Anspruch 8, dadurch gekennzeichnet, daß der Einrichtungsteil permanent unzugänglich gemacht werden kann, sobald be stimmte Umstände das erfordern.