-
Die
vorliegende Erfindung bezieht sich ganz allgemein auf ein System
für die
kontaktlose elektronische Identifizierung, im Allgemeinen bekannt
unter der Bezeichnung RFID-System (Radio Frequency Identification)
oder CID-System (Contactless Identification). Insbesondere betrifft
die vorliegende Erfindung ein solches kontaktloses Identifizierungssystem,
das Informationsträger
oder Transponder verwendet, die dafür eingerichtet sind, mit mehreren
Anwendungen zu arbeiten.
-
Elektronische
Systeme für
die kontaktlose Identifizierung werden bei verschiedenen Anwendungen
benutzt, insbesondere als Systeme zur Identifizierung und Gewährung des
Zugangs bei Anwendungen der Eingangskontrolle, des Zeit- oder Abonnement-Managements
oder als Systeme für
den Zugang zu entgeltpflichtigen Diensten (Vorauszahlung oder Zahlung
nach Lieferung) bei Anwendungen vom Typ Kasse oder Automat.
-
Üblicherweise
wird für
jede Anwendung ein verschiedenes Identifizierungssystem verwendet. Ein
solches System umfasst typisch (i) Informationsträger oder
Transponder, die von den Anwendern mitgeführt werden und im Allgemeinen
die Form von Karten oder von elektronischen Bauelementen, die in tragbare
Gegenstände
wie Uhren integriert sind, aufweisen, (ii) Leseeinheiten, die über die
verschiedenen Zugangspunkte (beispielsweise an verschiedenen Eingängen eines
Gebäudes,
dessen Zugang durch Vorschriften geregelt ist) oder Kassenvorrichtungen
verteilt sind, und (iii) wenigstens eine Programmiereinheit, die
ermöglicht,
die verschiedenen Transponder für
die betreffende Anwendung zu konfigurieren.
-
Folglich
wird ein Anwender, der zu mehreren verschiedenen Anwendungen Zugang
haben möchte,
sich üblicherweise
mit mehreren Identifikationsträgern
ausstatten müssen,
die jeweils für
eine Anwendung ausgelegt sind. Dies hat eine unnütze und unzweckmäßige Vervielfachung
der erforderlichen Transponder zur Folge und kann außerdem zur
Verwirrung des Anwenders oder zum Verlust eines oder mehrerer Transponder
führen,
wobei dieser Verlust für
den Anwender unzweifelhaft von Nachteil sein kann.
-
Es
ist folglich wünschenswert,
ein Identifizierungssystem zu schaffen, das vor allem ermöglicht, die
oben erwähnten
Probleme zu lösen,
nämlich
ein Identifizierungssystem für
mehrere Anwendungen, das für
einen bestimmten Anwender nur einen einzigen Transponder benötigt, um
Zugang zu mehreren verschiedenen Anwendungen zu gewähren.
-
Ein
derartiges elektronisches Identifizierungssystem für mehrere
Anwendungen sowie ein Transponder, der mit mehreren verschiedenen
Anwendungen zusammenwirken kann, sind bereits in dem Dokument WO
97/34 265 vorgeschlagen worden. Der in diesem Identifizierungssystem
verwendete Transponder umfasst insbesondere Speichermittel mit einem
segmentierten Speicherraum, um Anwendungsdaten aufzunehmen, die
mehrere verschiedene Anwendungen betreffen. Insbesondere enthält jedes
Speichersegment eine Segmentidentifizierung oder Marke, die es ermöglicht zu
erkennen, auf welche Anwendung sich die in dem betreffenden Speichersegment
enthaltenen Anwendungsdaten beziehen. Diese Marke oder "Stamp" ist aus einer die
betreffende Anwendung identifizierenden Sequenz gebildet, die außerdem von
der Organisationsebene dieser Anwendung in einem hierarchischen
Autorisierungssystem abhängig
ist.
-
Auch
wird ein weiteres System zur elektronischen Identifizierung für mehrere
Anwendungen in der internationalen Anmeldung Nr. PCT/CH 01/00 629
vom 23.10.2001 (mit zugebilligtem Prioritätsdatum vom 23.10.2000) mit
dem Titel "Systeme
d'identification,
electronique sans contact",
auf den Namen des Anmelders der vorliegenden Erfindung und mit der
Veröffentlichungsnummer
WO 02/35 464 vorgeschlagen. Dieses am 02.05.2002 veröffentlichte
Dokument schlägt
insbesondere ein solches System zur elektronischen Identifizierung
für mehrere
Anwendungen vor, das einen hohen Sicherheitsgrad gewährleistet.
Die Mittel, die benutzt werden, um für die Sicherheit der Datenaustauschvorgänge zwischen den
Leseeinheiten und den Transpondern dieses Systems zu sorgen, werden
im Rahmen der vorliegenden Erfindung besonders vorteilhaft angewendet.
-
Die
europäische
Anmeldung EP-A-0 949 595 offenbart ein drittes Beispiel für ein Identifizierungssystem
für mehrere
Anwendungen.
-
Eine
Einschränkung
der oben erwähnten Identifizierungssysteme
für mehrere
Anwendungen beruht auf der relativ geringen Speicherkapazität der Transponder.
Selbstverständlich
ist es möglich,
diese Transponder mit Speichermitteln großer Kapazität auszurüsten, jedoch hat dies eine
Erhöhung
der Selbstkosten der Transponder zur Folge. In Anbetracht der Tatsache,
dass diese Transponder typisch für
eine weite Verbreitung bestimmt sind, ist es günstiger, die Herstellungskosten
dieser Transponder so niedrig wie möglich zu halten.
-
Die
Hauptaufgabe der vorliegenden Erfindung besteht deshalb darin, ein System
für die
kontaktlose elektronische Identifizierung zu schaffen, das insbesondere
ermöglicht,
die oben erwähnten Probleme
zu lösen,
nämlich
ein Identifizierungssystem für
mehrere Anwendungen, das erlaubt, die Herstellungskosten der Transponder
auf einem Niveau zu halten, das so niedrig wie möglich ist.
-
Eine
weitere Aufgabe der vorliegenden Erfindung ist die Schaffung eines
solchen Systems für
die kontaktlose elektronische Identifizierung für mehrere Anwendungen, das
dem Anwender eine hohe Anwendungsflexibilität bietet, ohne die Anzahl der
Anwendungen wegen der begrenzten Speicherkapazität des Transponders zu beschränken.
-
Die
vorliegende Erfindung hat folglich ein System für die kontaktlose elektronische
Identifizierung zum Gegenstand, dessen Merkmale im Anspruch 1 dargelegt
sind, nämlich
ein System für
die kontaktlose elektronische Identifizierung, das wenigstens eine
Leseeinheit und wenigstens einen Informationsträger oder Transponder, der von
der Leseeinheit abgefragt werden kann, umfasst, wobei dieser Transponder
Speichermittel aufweist, die einen segmentierten Speicherraum umfassen,
um Anwendungsdaten für
mehrere verschiedene Anwendungen aufzunehmen. Gemäß der Erfindung
umfasst die Leseeinheit Mittel, um die Anwendungsdaten, die zu wenigstens
einer ersten Anwendung gehören
und in dem Speicherraum des Transponders gespeichert sind, vorübergehend
auszuladen, um wenigstens einen Teil des Speicherraums zu leeren und
um andere Anwendungsdaten, die zu wenigstens einer zweiten Anwendung
gehören,
vorübergehend
in den geleerten Abschnitt des Speicherraums des Transponders zu
laden.
-
Gegenstand
der vorliegenden Erfindung ist außerdem ein Verfahren für das Management
von in einem Transponder gespeicherten Daten, dessen Merkmale im
Anspruch 10 dargelegt sind, nämlich ein
Verfahren für
das Management von Daten in einem System für die kontaktlose elektronische
Identifizierung des oben genannten Typs, wobei dieses Verfahren
die folgenden Schritte umfasst:
- – vorübergehendes
Ausladen der Anwendungsdaten, die zu wenigstens einer ersten Anwendung gehören und
in dem Speicherraum des Transponders gespeichert sind, um wenigstens
einen Teil des Speicherraums zu leeren; und
- – vorübergehendes
Laden von anderen Anwendungsdaten, die zu wenigstens einer zweiten
Anwendung gehören,
in den geleerten Teil des Speicherraums des Transponders.
-
Vorteilhafte
Ausführungsformen
der vorliegenden Erfindung sind Gegenstand der abhängigen Ansprüche.
-
Insbesondere
ist, um für
einen hohen Sicherheitsgrad zu sorgen, zusätzlich vorgesehen, in der Leseeinheit
und/oder in den Speichermitteln des Transponders einen Zustandsidentifizierer
aufzuzeichnen, der angibt, dass eine temporäre Übertragung von Anwendungsdaten
erfolgt ist, wobei dieser Zustandsidentifizierer bei jedem Austausch
von Anwendungsdaten zwischen der Leseeinheit und dem Transponder
modifiziert wird. Vorzugsweise wird dieser Zustandsidentifizierer
wenigstens in die Leseeinheit eingetragen und enthält wenigstens
eine Angabe der Identifizierungsnummer des Transponders, mit dem
die Anwendungsdaten ausgetauscht worden sind, sowie eine Angabe
des Zeitpunkts, zu dem diese Anwendungsdaten ausgetauscht worden
sind.
-
Im
Rahmen eines nicht einschränkenden
Anwendungsbeispiels kann der vorübergehende
Austausch von Anwendungsdaten vor einem Eintritt des Transponders
in einen begrenzten Raum, beispielsweise einen begrenzten Freizeitbereich
(Schwimmbad, Skipiste, Vergnügungspark
usw.) oder einen Kulturraum (Museum, Ausgrabungsstätte usw.)
oder jeden anderen begrenzten Raum, in dem Kunden oder Besuchern
ein Gesamtpaket von (entgeltpflichtigen oder kostenlosen) Diensten,
die sich auf den besuchten Ort beziehen, angeboten werden soll, durchgeführt werden.
In diesem Anwendungsbeispiel könnte
das Management der Anwendungsdaten für den Anwender nicht erkennbar
oder gegebenenfalls mit seiner Einwilligung vorgenommen werden.
-
Im
Rahmen eines weiteren Anwendungsbeispiels kann die Erfindung auf
den freien oder entgeltpflichtigen Zugriff auf Informationen, die
in einem lokalen Netz oder einem Fernnetz wie dem Internet gespeichert
sind, angewendet werden.
-
Im
Rahmen noch eines weiteren Anwendungsbeispiels kann der vorübergehende
Austausch von Anwendungsdaten von dem Anwender oder Träger des
Transponders (beispielsweise mit Hilfe eines persönlichen
Datenverarbeitungsterminals, das mit einer geeigneten Leseeinheit
ausgestattet ist) vorgenommen werden. In diesem Anwendungsbeispiel
hat der Anwender die uneingeschränkte
Herrschaft über sein "Portfolio" von Anwendungen,
aus dem er in Abhängigkeit
von seinen Bedürfnissen
die passenden Anwendungen auswählt.
-
Im
weiter gefassten Sinne und vorteilhaft können die vorübergehend
von einem Transponder ausgeladenen Anwendungsdaten auf einem Server aufgezeichnet
werden, mit dem die Leseeinheit über ein
lokales Datennetz oder ein Ferndatennetz verbunden ist. Dies hat
den Vorteil, dass es möglich
ist, das Mana gement der Anwendungsdaten zu zentralisieren und insbesondere
sicherzustellen, dass diese Daten nicht versehentlich verloren gehen.
Auf diese Weise wird eine zentralisierte Datenbank geschaffen, auf
die über
ein lokales Netz oder ein Fernnetz (beispielsweise Internet) zugegriffen
werden kann und die gewissermaßen
einer virtuellen Datenbank entspricht.
-
Wie
weiter oben schon erwähnt
wurde, kann der Austausch von Anwendungsdaten vorzugsweise nach
den Prinzipien durchgeführt
werden, die in der internationalen Anmeldung Nr. WO 02/35 464 auf den
Namen des Anmelders der vorliegenden Erfindung dargelegt sind. Für einen
hohen Sicherheitsgrad wird nämlich
durch den Gebrauch von Verschlüsselungs-
und Entschlüsselungsmitteln
in der Leseeinheit und das Aufzeichnen der Anwendungsdaten auf den
Transponder in verschlüsselter
Form gesorgt.
-
Ein
Vorteil der vorliegenden Erfindung beruht auf der Tatsache, dass
sie eine hohe Anwendungsflexibilität sicherstellt, wobei diese
Anwendung in der Tat nicht durch die begrenzten Speicherkapazitäten des
Transponders eingeschränkt
ist. Die Erfindung ermöglicht
folglich, die Herstellungskosten der Transponder auf einem niedrigen
Niveau zu halten, wodurch insbesondere ihre weite Verbreitung sowie
geringe Auswirkungen auf die Kosten für die Anwender sichergestellt
werden.
-
Weitere
Merkmale und Vorteile der vorliegenden Erfindung werden deutlicher
beim Lesen der folgenden ausführlichen
Beschreibung, die sich auf die beigefügte Zeichnung bezieht, die
beispielhaft und nicht einschränkend
gegeben ist und worin:
-
1 einen
Blockschaltplan eines Informationsträgers oder Transponders zeigt,
der im Rahmen der vorliegenden Erfindung verwendet wird;
-
2 eine
Architektur des Speichers des Transponders von 1 zeigt;
-
3 die
grundlegende Architektur einer Leseeinheit gemäß der vorliegenden Erfindung
zeigt, wobei die Leseeinheit dafür
eingerichtet ist, mit dem Transponder zu kommunizieren;
-
4a und 4b auf
eine nicht einschränkende
Weise verschiedene Betriebsphasen der Leseeinheit von 3 während der
Kommunikation mit einem Transponder veranschaulichen und ein nicht einschränkendes
Beispiel für
eine besondere Ausführungsform
der vorliegenden Erfindung aufzeigen;
-
5 in
schematischer Darstellung die Durchführung des in 4a und 4b veranschaulichten
Lade- und Ausladeverfahrens im Rahmen eines nicht einschränkenden
Anwendungsbeispiels zeigt; und
-
6 eine
besonders vorteilhafte Netzimplementierung des Systems für die elektronische
Identifizierung der vorliegenden Erfindung zeigt.
-
1 zeigt
einen Blockschaltplan eines Informationsträgers oder Transponders für ein kontaktloses
Identifizierungssystem. Ein solcher Transponder wird beispielsweise
von der Firma EM Microelectronic-Marin SA unter der Produktbezeichnung P4150 "1 KBit READ/WRITE
CONTACTLESS IDENTIFICATION DEVICE" vermarktet. Es wird sich, soweit dies
nötig ist,
auf die technischen Spezifikationen dieser Schaltung bezogen, die
der Öffentlichkeit (insbesondere über die
Website www.emmarin.ch dieser Firma) zur Verfügung stehen. 1 ist
eine schematische Darstellung dieser Transponderschaltung, die von
der oben genannten Firma vermarktet wird. Dieser Transponder, der üblicherweise
dafür ausgelegt
ist, dass er auf einer Frequenz in der Größenordnung von 125 kHz arbeitet,
ist insbesondere dafür
eingerichtet, mit einer Leseschnittstelle zusammenzuwirken, wie
etwa der Schnittstelle, die von derselben Firma EM Microelectronic-Marin
SA unter der Produktbezeichnung P4095 "READ/WRITE ANALOG FRONT END FOR 125kHz
RFID BASESTATION" vermarktet
wird und deren technische Spezifikation der Öffentlichkeit zur Verfügung steht.
Es wird festgehalten, dass die Verwendung der oben erwähnten Bauelemente
keineswegs einschränkend
ist und dass weitere, analoge Bauelemente verwendet werden könnten, sofern
sie ermöglichen,
die Funktionen zu erfüllen,
die nachstehend dargelegt werden.
-
Der
Transponder, in 1 allgemein mit dem Bezugszeichen 1 bezeichnet,
wird von dem elektromagnetischen Feld in der Umgebung gespeist,
wobei das Feld eine Spannung am Anschluss einer Spule 11 der
die Antenne bildenden Schaltung induziert. Diese Spannung wird von
einem AC/DC-Gleichrichterblock 12 gleichgerichtet und ergibt
die Versorgungsspannung +V, die für den Betrieb der Vorrichtung
erforderlich ist. Spannungsregelungsmittel 13 sowie ein
Spannungszuschaltungssteuerblock 14 stellen eine angemessene
Initialisierung einer Steuerlogik 15 der Schaltung sicher.
Der Transponder 1 umfasst außerdem Taktgewinnungsmittel 16,
die ermöglichen,
aus dem elektromagnetischen Feld ein Taktsignal abzuleiten, das
sicherstellt, dass die Steuerlogik 15 im Takt bleibt, Datengewinnungsmittel 17a,
die ermöglichen, über das
elektromagnetische Feld modulierte Daten zu gewinnen, sowie einen
Befehlsdecodierblock 17b. Der Transponder 1 umfasst
außerdem
Speichermittel 18, die insbesondere aus einem umpro grammierbaren
Speicher (EEPROM) und einem Festspeicher (ROM) gebildet sind, und
zugeordnete Codierungsmittel 19a und Modulationsmittel 19b,
die ermöglichen,
in den Speichermitteln 18 gespeicherte Informationen zu modulieren
und zu übertragen.
-
2 zeigt
schematisch die Architektur und die Organisation der Speichermittel 18 des
in 1 veranschaulichten Transponders 1. Wie
schon erwähnt
wurde, umfassen diese Speichermittel 18 insbesondere ein
EEPROM sowie einen ROM-Festspeicher. Das EEPROM besteht, nicht einschränkend, aus
einem 1024-Bit-EEPROM,
das in zweiunddreißig 32-Bit-Wörtern (Wörter 0 bis
31 in 2) organisiert ist. Die Speichermittel 18 umfassen
außerdem,
nach wie vor nicht einschränkend,
zwei zusätzliche 32-Bit-Wörter (Wörter 32
und 33 in 2), die mittels Laser in einen
ROM-Festspeicher einprogrammiert sind (vgl. insbesondere die Spezifikation
des oben erwähnten
Bauelements P4150). Diese zwei Wörter ROM-Speicher 32 und 33
enthalten jeweils eine Seriennummer DEVICE SERIAL NUMBER und eine Identifizierungsnummer
DEVICE IDENTIFICATION, die eindeutig sind, d. h. die jedem Transponder
eigen und einmalig sind.
-
Im
Besonderen sind die ersten drei 32-Bit-Wörter (Wörter 0 bis 2) einem Passwort, PASSWORD
genannt, einem Schutzwort, PROTECTION WORD genannt, bzw. einem Steuerwort,
CONTROL WORD genannt, zugewiesen. Das Passwort PASSWORD ist nur
für das
Schreiben und kann von außen
nicht gelesen werden. Dieses Passwort PASSWORD muss üblicherweise
an den Transponder gesendet werden, wenn das Schutzwort PROTECTION
WORD und/oder das Steuerwort CONTROL WORD modifiziert werden sollen/soll.
Es wird sich an dieser Stelle nicht an der Beschreibung der Wörter PASSWORD,
PROTECTION WORD und CONTROL WORD aufgehalten. Diesbezüglich wird zum
Beispiel auf die oben erwähnte
Spezifikation des Erzeugnisses P4150 verwiesen.
-
Der
Speicherraum, der in diesem Beispiel aus den neunundzwanzig Speicherwörtern 3
bis 31 des EEPROM (in diesem Beispiel 928 Bits) gebildet ist, steht
in erster Linie für
den Anwender zur Verfügung
und bildet einen Anwender-Speicherraum 180, als USER EEPROM
bezeichnet. Es ist anzumerken, dass zusätzliche Daten, die den Transponder
betreffen, ebenfalls in diesem Speicherraum gespeichert werden können. Diese
zusätzlichen
Daten können beispielsweise
das Sendedatum und die Gültigkeitsdauer
des Transponders, eine Signatur, welche die Herkunft des Transponders
sicherstellt, oder weitere Daten, welche die Identifizierung und
die Gültigkeit des
Transponders selbst betreffen, umfassen. Insbe sondere umfasst der
Speicherraum 180 ein Speichersegment 186, das
mit TAG IDENTIFICATION bezeichnete Daten enthält, die ermöglichen, die Zugehörigkeit
des Transponders zu dem Identifizierungssystem, d. h. dass es sich
tatsächlich
um einen Transponder handelt, der mehrere Anwendungen gemäß der vorliegenden
Erfindung managt, sowie die Gültigkeitsdauer
dieses Transponders und seine Herkunft (Signatur) zu verifizieren.
-
Im
Rahmen der vorliegenden Erfindung und gemäß einem nicht einschränkenden
Beispiel, das auf dem oben erwähnten
Erzeugnis basiert, wird der Anwender-Speicherraum USER EEPROM 180 vor allem
dafür verwendet,
mehrere verschiedene Anwendungen zu managen, die mit APPL1, APPL2 usw.
bezeichnet sind. Insbesondere wird, wie in 2 schematisch
dargestellt ist, der Speicherraum USER EEPROM 180 in mehrere
Speichersegmente 181, 182, 183, 184 unterteilt,
in diesem nicht einschränkenden
Beispiel in vier Segmente, die mit APPL. DATA i, i = 1 bis 4 bezeichnete
Anwendungsdaten, die zu verschiedenen Anwendungen gehören, enthalten
können,
wobei der übrige
Speicherraum vorzugsweise zum Speichern von zusätzlichen Daten verwendet wird,
die in der Folge dargestellt werden. Jeder Anwendung ist wenigstens
ein Speichersegment zugeordnet. Jedoch können, falls es nötig ist,
einer Anwendung mehrere Speichersegmente zugewiesen werden. Es versteht
sich, dass beispielsweise die Speichersegmente 181 und 182 einer
ersten Anwendung (oder einer ersten Gruppe von Anwendungen) eines
ersten Betreibers und die Segmente 183 und 184 Anwendungen
zweier weiterer Betreiber zugewiesen sein könnten.
-
Es
wird angemerkt, dass im Rahmen der vorliegenden Erfindung der Begriff
der Anwendung nicht zwangsläufig
bedeutet, dass diese Anwendung nur für einen Diensttyp vorgesehen
ist. In Anbetracht des Speicherraums, der zur Verfügung steht,
versteht sich ohne weiteres, dass die Anwendungsdaten von mehreren
Anwendungen ein und desselben Betreibers in einem einzigen Speichersegment
gespeichert werden können.
Anders ausgedrückt,
unter dem Fachbegriff "Anwendung" ist eine Gruppe
von Anwendungen zu verstehen, die von einem Betreiber gemanagt werden,
wobei diese Gruppe eine Anwendung oder mehrere Anwendungen oder
genauer Unteranwendungen umfassen kann. Es wird Nachdruck auf die
Tatsache gelegt, dass jeder Anwendungsbetreiber praktisch über ein
oder mehrere Speichersegmente verfügen wird, um die Anwendungsgruppe, die
zu ihm gehört,
zu managen.
-
Vorzugsweise
umfasst der Speicherraum außerdem
ein zusätzliches
Spei chersegment 187, das mit DIRECTORY bezeichnete Verzeichnisdaten
enthält,
die auf dem Transponder gespeicherte Anwendungen und ihren Speicherplatz
angeben. Genauer gesagt umfassen diese mit DIRECTORY bezeichneten
Verzeichnisdaten Daten (Anwendungsidentifizierer oder -deskriptoren,
nachstehend APPL. IDENTIFIER), die sich auf Anwendungen im Gebrauch
beziehen, die in dem Speicherraum gespeichert sind. Jeder Anwendung
ist ein verschiedener Anwendungsidentifizierer zugeordnet, dessen
Eigenschaften weiter unten dargestellt werden.
-
Die übrigen Speicherwörter sind
vorzugsweise dafür
vorgesehen, ergänzende
Daten zu speichern, die den Transponder (wie weiter oben erwähnt) oder
gespeicherte Anwendungen betreffen. Vorteilhaft können die
ergänzenden
Daten, die Anwendungen betreffen, Daten 185 (mit APPL.
VALIDITY bezeichnet) umfassen, die sich auf die Gültigkeit der
gespeicherten Anwendungen, beispielsweise die Gültigkeitsdauer der betreffenden
Anwendung(en), beziehen. Wie später
noch zu sehen sein wird, können
diese Gültigkeitsdaten
auf vorteilhafte Weise die Leerung eines Teils des Speicherraums
ermöglichen, der
einer abgelaufenen Anwendung zugeordnet ist.
-
Im
Rahmen der vorliegenden Erfindung werden die Anwendungsdaten APPL.
DATA i und vorteilhaft die Verzeichnisdaten DIRECTORY, die Identifikationsdaten
des Transponders TAG IDENTIFICATION sowie die Anwendungsgültigkeitsdaten
APPL. VALIDITY vorzugsweise verschlüsselt, wenigstens mit Hilfe
eines ersten Codierschlüssels,
welcher nur der Leseeinheit bekannt ist und nur für diese
sichtbar ist. Es wird festgehalten, dass im Rahmen der vorliegenden
Erfindung die Sicherheit und die Vertraulichkeit der Daten genau
genommen durch die Leseeinheit des Identifizierungssystems garantiert
werden. Die auf dem Transponder gespeicherten Daten sind bei der
Kommunikation zwischen dem Transponder und der Leseeinheit einwandfrei
lesbar, jedoch nur in verschlüsselter
Form, wobei das Verschlüsseln
und Entschlüsseln
dieser Daten ausschließlich
von der Leseeinheit mit Hilfe eines oder mehrerer Codierschlüssel vorgenommen
wird, wie noch zu sehen sein wird.
-
Es
wird angemerkt, wobei sich erneut auf 2 bezogen
wird, dass die Programmierung der Wörter 0 bis 2 (PASSWORD, PROTECTION
WORD, CONTROL WORD) üblicherweise
vom Hersteller der Leseeinheit vorgenommen wird. Was die zwei ROM-Speicherwörter 32
und 33 betrifft, so werden sie bei der Herstellung vom Hersteller
des Transponders programmiert. Die übrigen Speicherwörter sind programmierbar,
insbesondere (jedoch nicht nur) durch den An wender (insbesondere
den oder die Betreiber oder Lieferanten der Anwendung), wobei die Programmierung
bestimmter Speicherwörter
(wie der Identifikationsdaten TAG IDENTIFICATION oder der Verzeichnisdaten
DIRECTORY) durch die Leseeinheit gesteuert erfolgt.
-
Wie
oben schon kurz dargelegt wurde, ist jeder Anwendung (ein und desselben
Betreibers oder verschiedener Betreiber) ein verschiedener Anwendungsidentifizierer
APPL. IDENTIFIER zugeordnet. Dieser Identifizierer wird mit dem
oder den anderen Anwendungsidentifizierern, die eventuell vorhanden sind,
in einem spezifischen Speichersegment, das von den Speichersegmenten,
die für
die Speicherung der Anwendungsdaten bestimmt sind, verschieden ist,
nämlich
in dem Verzeichnissegment (Segment 187 in 2),
das die Verzeichnisdaten DIRECTORY enthält, gespeichert. Diese Verzeichnisdaten
DIRECTORY ermöglichen
einerseits zu identifizieren, welche Anwendungen auf dem Transponder
gespeichert sind, und andererseits genau anzugeben, in welchem Speichersegment
bzw. in welchen Speichersegmenten die Anwendungsdaten dieser Anwendungen
gespeichert sind. Diese Verzeichnisdaten DIRECTORY erleichtern das
Identifizieren und Lokalisieren der auf dem Transponder gespeicherten Anwendungsdaten
sehr. So ist es nicht mehr erforderlich, die Gesamtheit der gespeicherten
Daten durchzugehen, um zu prüfen,
ob die zu einer bestimmten Anwendung gehörenden Daten vorhanden sind.
-
Bei
einer genauen Betrachtung von 2 lässt sich
feststellen, dass ein begrenzter Speicherraum zur Verfügung steht,
um die Anwendungsdaten zu speichern, die zu einer Höchstzahl
von Anwendungen gehören,
in diesem nicht einschränkenden Beispiel
zu vier Anwendungen. Es ist klar, dass diese Höchstzahl von Anwendungen je
nach verfügbarer Speicherkapazität verschieden
sein kann und dass die Anwendungsanzahl vier hier nur als Beispiel
und nicht im einschränkenden
Sinne angegeben ist.
-
Gemäß der vorliegenden
Erfindung ist in dem Fall, in dem alle der Speicherung von Anwendungsdaten
zugeteilten Speichersegmente mit Daten belegt sind, oder in dem
Fall, in dem die verbleibende Speicherkapazität des Transponders zu klein
ist, um die Aufzeichnung von Daten zu ermöglichen, die eine zusätzliche
Anwendung betreffen, vorgesehen, einen Teil der gespeicherten Anwendungsdaten
vorübergehend
auszuladen, um genügend
Speicherraum für die
Speicherung der Anwendungsdaten, welche die zusätzliche Anwendung betreffen,
frei zu machen.
-
Mit
Bezug auf 3 wird nun die grundlegende
Architektur einer Leseeinheit beschrieben, die im Rahmen der vorliegenden
Erfindung verwendet wird und deren ausführlichere Beschreibung Gegenstand
der oben erwähnten
internationalen Anmeldung Nr. WO 02/35 464 ist. Unter "Leseeinheit" ist sowohl eine
Einheit zu verstehen, die dafür
eingerichtet ist, lediglich ein Lesen eines Transponders zu ermöglichen,
als auch eine Einheit, die dafür
eingerichtet ist, ein Lesen und zugleich ein Programmieren eines Transponders
zu ermöglichen.
Im Großen
und Ganzen kann auch auf die Spezifikation des oben erwähnten Erzeugnisses
P4150 zurückgegriffen
werden, um eine allgemeine Beschreibung einer Leseeinheit zu erhalten,
die dafür
eingerichtet ist, Lese- und/oder Schreiboperationen an einem Transponder vorzunehmen.
-
In 3 sind
die Architektur und die Organisation der Leseeinheit, allgemein
mit dem Bezugszeichen 5 bezeichnet, schematisch dargestellt.
Es ist festzustellen, dass die Architektur dieser Leseeinheit im
Wesentlichen drei verschiedene Teile umfasst, nämlich (1) ein geschütztes Managementmodul (oder
Betriebssystem) 50, (2) einen geschützten Speicher 60 und
(3) einen Anwendungsspeicher 70.
-
Das
Managementmodul 50, das vom Hersteller der Leseeinheit
programmiert und codiert wird, ist mittels der Anwendung nicht zugänglich.
Es ist mit einer Schreib-/Lese-Schnittstelle 51 des Transponders,
Steuer- und Verarbeitungsmitteln 52 und Verschlüsselungs-/Entschlüsselungsmitteln 53,
die das Verschlüsseln
bzw. das Entschlüsseln
von Daten anhand eines oder mehrerer Codierschlüssel ermöglichen, verbunden. An dieser
Stelle sei angemerkt, dass ein Basiscodierschlüssel, der zur Verschlüsselung
der Daten verwendet wird, vorteilhaft von der eindeutigen Seriennummer
jedes Transponders (oder irgendeinem anderen Code, der zu jedem Transponder
gehört
und eindeutig ist) abgeleitet wird. So ist die Verschlüsselung
der Daten auf dem Transponder für
jeden Transponder einzigartig, wodurch verhindert wird, dass ein
Transponder verwendet werden kann, der eine einfache Kopie der Daten
eines anderen Transponders des Systems enthält. Vorzugsweise werden zusätzliche
Codierschlüssel
verwendet, um die Verschlüsselung
dieser Daten vorzunehmen. Es ist anzumerken, dass das Managementmodul 50 außerdem ein
Verifizieren der Konformität des
Transponders mit dem System (insbesondere ein Verifizieren seiner
Seriennummer und seiner Gültigkeit)
sowie das Management von Transaktionen mit dem Transponder (insbesondere
das Management seines Speichers) sicherstellt.
-
Der
geschützte
Speicher 60 wird für
das Verschlüsseln
der Informationen und für
das Management des Speichers des Transponders verwendet. Auf diesen
geschützten
Speicher kann die Anwendung nicht zugreifen. Er umfasst verschiedene
Speicherfelder, die in erster Linie dafür bestimmt sind, die Speicherung
von Daten bezüglich
der Seriennummer des Transponders und seiner Gültigkeit sowie von Anwendungsdaten
zu ermöglichen.
-
Der
Anwendungsspeicher 70 steht für die Anwendung 75 zur
Verfügung
und enthält
die sie betreffenden Informationen. Insbesondere umfasst er Speicherfelder,
die in erster Linie dafür
bestimmt sind, die Identifikation des Transponders (insbesondere
seine Seriennummer) betreffende Daten und unverschlüsselte Daten
der Anwendung zu speichern.
-
Vorzugsweise
schließt
der geschützte
Teil 50, 60 der Leseeinheit den oder die Anwendungsidentifizierer
APPL. IDENTIFIER der Anwendungen ein, für welche die Leseeinheit konfiguriert
ist. Es ist anzumerken, dass alternativ dieser oder diese Anwendungsidentifizierer
in nicht geschütztem
Speicher gespeichert werden könnten.
-
Bei
der praktischen Umsetzung kann die Leseeinheit 5 als eine
Erweiterung eines Datenverarbeitungsterminals (in Form einer Erweiterungskarte oder
eines Peripheriegeräts)
oder in Form einer "Stand-alone"-Einheit, d. h. einer
Einheit, die keine spezielle Schnittstellenkopplung mit einem Datenverarbeitungsterminal
benötigt,
vorgesehen sein.
-
Außerdem kann
die Leseeinheit vorteilhaft an ein lokales Datennetz oder ein Ferndatennetz
angeschlossen sein und eine gesicherte Zugriffsschnittstelle für den Zugriff
auf Daten bilden, die auf einem Server dieses Netzes gespeichert
sind, und insbesondere das Aufzeichnen von zeitweilig aus dem Transponder
ausgeladenen Anwendungsdaten ermöglichen.
Eine solche Netzimplementierung, in 6 gezeigt,
ist in der internationalen Anmeldung WO 02/35 464 vorgeschlagen
worden. Gemäß dieser
Implementierung ist wenigstens eine Leseeinheit 5 über ein
Datenverarbeitungsterminal 80 an ein (lokales oder Fern-)
Datennetz 800 wie das Internet angeschlossen. Außerdem ist
an das Netz 800 wenigstens ein Server 85 angeschlossen,
auf den von dem Datenverarbeitungsterminal 80 aus zugegriffen
werden kann. Dieser Server 85 ist insbesondere fähig, die
vorübergehend
aus dem Transponder 1 ausgeladenen Anwendungsdaten zu speichern.
Vorteilhaft ist der Server mit einer separaten Einheit, mit 5* bezeichnet,
ausgestattet oder verbunden, deren Funktionalitäten im Wesentlichen jenen der
Leseeinheit 5 gleich sind, wenn von der Schreib/Lese-Schnittstelle mit
dem Transponder abgesehen wird. Diese zweite Einheit 5* kann
vorteilhaft einen Anwendungsidentifizierer enthalten, der mit der
Leseeinheit 5 des Transponders 1 gemeinsam ist
(wobei dieser Anwendungsidentifizierer von jenem Anwendungsidentifizierer,
der verwendet wird, um die Kommunikation zwischen der Leseeinheit 5 und
dem Transponder 1 sicherzustellen, verschieden sein kann).
Gemäß dieser
Implementierung ist ein Verfahren zum gegenseitigen Authentifizieren
der Leseeinheit 5 des Transponders und der mit dem Server
verbundenen Einheit 5* vorgesehen. Außerdem wird angemerkt, dass gemäß dieser
besonderen Implementierung die zusätzliche Einheit 5*,
die mit dem Server 85 verbunden ist, insbesondere dafür eingerichtet
sein kann, die Verschlüsselung
der an die Leseeinheit 5 gesendeten Daten sicherzustellen.
-
Im
Rahmen des Anwendungsbeispiels von 6 hat folglich
ein Anwender die Möglichkeit, über das
Datennetz 800 auf Daten auf dem Server 85 zuzugreifen
und Daten auf den Server 85 zu speichern. Wie weiter oben
schon dargelegt wurde, profitiert der Anwender damit von einer zentralisierten
Datenbank, zu welcher der Zugang erleichtert ist.
-
Mit
Hilfe der Implementierung von 6 kann der
gesicherte Zugriff auf von dem Server 85 gespeicherte Daten
auf einer ersten Ebene durch eine gegenseitige Authentifizierung
des Transponders 1 und der Leseeinheit 5 und auf
einer zweiten Ebene durch eine gegenseitige Authentifizierung der Leseeinheit 5 und
der mit dem Server verbundenen Einheit 5* sichergestellt
werden. Wie später
noch zu sehen sein wird, kann eine dritte Sicherheitsebene geschaffen
werden, indem die Leseeinheit 5 und/oder der Transponder 1 mit
Mitteln zur Eingabe eines persönlichen
Identifikationscodes (PIN) oder mit Mitteln zum Messen einer biometrischen
Größe ausgestattet
werden/wird. Es versteht sich, dass auf diese Weise der Zugriff
auf Daten, die auf dem Server 85 gespeichert sind, die
Autorisation durch eine Menge von aufeinanderfolgenden Mechanismen
erfordert, die wie Kettenglieder ineinandergreifen.
-
Anhand
der 4a, 4b und 5 wird kurz
eine Ausführungsform
der vorliegenden Erfindung beschrieben. Es wird angemerkt, dass
die Kommunikation zwischen der Leseeinheit und dem Transponder gemäß den Prozessen
des Standardlesens ("Standard
Read"), des selektiven
Lesens ("Selective Read") und des Schreibens
erfolgt, die in der Spezifikation des oben erwähnten Erzeugnisses P4150 ausführlich beschrieben
sind. Diese spezifischen Prozesse sind selbstver ständlich keineswegs
die Anwendung der vorliegenden Erfindung einschränkend, sondern sind hier lediglich
als Beispiele gegeben. Diese Prozesse, die in dem Dokument WO 02/35
464 zusammengefasst sind, werden hier nicht noch einmal in Erinnerung
gerufen.
-
Im
Allgemeinen beginnt der Prozess der Kommunikation zwischen dem Transponder
und der Leseeinheit mit dem Bestimmen der Konformität des Transponders
mit dem System, d. h. mit einem Verifizieren seiner Zugehörigkeit
zu dem System für
mehrere Anwendungen und der Gültigkeit
dieser Zugehörigkeit.
Diese Phase ist durch die Schritte S1 bis S4 in 4a veranschaulicht.
Die Identifizierungsphase umfasst demnach vorzugsweise nach dem
Aktivieren des Transponders ein Lesen (S1) der Identifikationsdaten
TAG IDENTIFICATION, die im Speichersegment 186 des Transponders
(vgl. 2) gespeichert sind, und der Seriennummer des
Transponders DEVICE SERIAL NUMBER, die im ROM (Wort 32 in 2)
gespeichert ist. Die Operation des Lesens der oben erwähnten Daten
kann in dem speziellen Fall gemäß dem Prozess
des Standardlesens ("Standard Read") ausgeführt werden,
der, falls nötig,
um eine Abfrage durch selektives Lesen ("Selective Read") ergänzt wird.
-
Vorzugsweise
schließen
die Identifikationsdaten TAG IDENTIFICATION eine Abbildung der Seriennummer
des Transponders DEVICE SERIAL NUMBER, die mit Hilfe eines spezifischen
Schlüssels codiert
ist, der für
den Transponder eindeutig ist, sowie eine Information über die
Gültigkeitsdauer
dieses Transponders ein. Das Verfahren zum Identifizieren des Transponders
geht dann mit einem Schritt (S2) der Entschlüsselung der Identifikationsdaten
TAG IDENTIFICATION, dann (S3) einem Vergleichen der entschlüsselten
Daten mit der Seriennummer sowie (S4) einem Verifizieren der Gültigkeit
des Transponders weiter. Wenn die Ergebnisse dieser Überprüfungen positiv
sind, kann der Kommunikationsprozess weitergehen. Andernfalls wird
der Prozess unterbrochen. Zur Ergänzung sei gesagt, dass das
Identifizierungsverfahren vorteilhaft ein Verfahren zur gegenseitigen
Authentifizierung der Leseeinheit und des Transponders benutzen
kann. Derartige Authentifizierungsverfahren sind dem Fachmann wohlbekannt und
werden deshalb hier nicht beschrieben.
-
Auf
die oben erwähnte
Identifizierungsphase folgt eine Lese- und Schreibphase (oder Auslade- und
Ladephase). Diese Phase soll nun anhand des Ablaufplans von 4b kurz
beschrieben werden. Der Kommunikationsprozess wird folglich mit
(S5) dem Lesen der Verzeichnisdaten DIRECTORY, die auf dem Transponder
aufgezeichnet sind, fortgesetzt. Es wird angemerkt, dass diese Verzeichnisdaten
DIRECTORY am Anfang, im oben erwähnten Schritt
S1, gelesen werden können
oder alternativ Gegenstand einer Abfrage durch selektives Lesen sein
können.
Im Schritt S6 werden diese Verzeichnisdaten DIRECTORY durch die
Leseeinheit (mit Hilfe eines eindeutigen Schlüssels, der jedem Transponder
eigen ist, beispielsweise auf seinem Identifikationscode basierend)
entschlüsselt,
um daraus die weiter oben erwähnten
verschiedenen Anwendungsidentifizierer, die angeben, für welche
Anwendungen der Transponder konfiguriert ist, zu gewinnen und zu identifizieren.
-
Es
folgt dann (S7) in diesem bevorzugten Ausführungsbeispiel ein Schritt
der Überprüfung des auf
dem Transponder verfügbaren
Speicherraums. Mit diesem Schritt soll bestimmt werden, ob der für die Speicherung
der Anwendungsdaten zugewiesene Speicherraum (insbesondere die Speichersegmente 181 bis 184 in 2)
genügend
freien Platz enthält,
um die Speicherung von Anwendungsdaten zu ermöglichen, die zu der gewünschten
Anwendung gehören.
Wenn dieser freie Platz ausreicht (in 4b symbolisch
dargestellt durch die bejahende Antwort auf den nach dem Schritt
S7 ausgeführten Test),
kann das Aufzeichnen der Anwendungsdaten, die zu der gewünschten
zusätzlichen
Anwendung gehören,
ohne weitere Modifikationen durchgeführt werden (es wird sich dabei
auf das Dokument WO 02/35 464 berufen).
-
Im
negativen Fall wird hingegen ein vorübergehendes Ausladen (Schritt
S8) von Anwendungsdaten, die sich auf wenigstens eine erste Anwendung beziehen
und die in dem Speicher des Transponders gespeichert sind, durchgeführt. Diese
Ausladeoperation kann einfach ein Ausladen von Anwendungsdaten sein,
die zu einer oder mehreren verschiedenen Anwendungen gehören, indem
beispielsweise bei den ersten Speichersegmenten des Speicherraums begonnen
wird, der diesen Daten zugewiesen ist (Speichersegment 181 und
folgende in 2). Alternativ könnte diesem
Ausladeschritt eine Anforderung an den Anwender vorausgehen, die
ihn ersucht, eine der im Speicher gespeicherten Anwendungen auszuwählen. Genauso
könnte
diesem Ausladen ein Validierungsschritt vorausgehen, der von dem
Anwender eine Einwilligung verlangt, beispielsweise durch die Anforderung
einer Quittierung, ja sogar der Eingabe eines persönlichen
Identifikationscodes (PIN) oder das vorhergehende Verifizieren einer
biometrischen Größe (digitaler
Fingerabdruck oder Stimme usw.).
-
5 zeigt
schematisch die Durchführung des
oben erwähnten
Auslade prozesses im Rahmen eines nicht einschränkenden Beispiels. Bei diesem Beispiel
wurde von der Hypothese ausgegangen, dass der Transponder 1 von
der mit Bezug auf 1 und 2 beschriebenen
Art ist und dass er in den Speichersegmenten 181 bis 184,
die der Speicherung von Anwendungsdaten zugeteilt sind, gespeichert
Anwendungsdaten umfasst, die zu zwei verschiedenen Anwendungen gehören, nämlich mit
APPL. DATA 1a und 1b bezeichnete Anwendungsdaten, die zu einer ersten
Anwendung gehören,
und mit APPL. DATA 2 bezeichnete Anwendungsdaten, die zu einer zweiten
Anwendung gehören,
wobei eines der Speichersegmente, 184, frei ist. Für die Erläuterung wird
außerdem
die Hypothese aufgestellt, dass die Leseeinheit 5 dafür konfiguriert
ist, dass sie in Verbindung mit einer dritten Anwendung, APPL. 3
genannt, betrieben wird, die zum Aufzeichnen der Anwendungsdaten,
mit APPL. DATA 3a bis 3c bezeichnet, die zu dieser zusätzlichen
Anwendung gehören,
drei Speichersegmente benötigt.
-
In Übereinstimmung
mit dem, was bisher mit Bezug auf 4a und 4b erwähnt worden
ist, wird nach dem Identifizieren des Transponders (Schritte S1
bis S4), dem Lesen und Entschlüsseln der
Verzeichnisdaten DIRECTORY (Schritte S5 und S6) und dem Prüfen auf
verfügbaren
Speicherraum (Schritt S7) zu dem vorübergehenden Ausladen (Schritt
S8) eines Teils der auf dem Transponder 1 gespeicherten
Anwendungsdaten weitergegangen. Nach der oben aufgestellten Hypothese
erfordert die zusätzliche
Anwendung APPL. 3 einen Speicherraum, der wenigstens drei freie
Speichersegmente umfasst. Unter diesem Gesichtspunkt betrachtet empfiehlt
sich, wenigstens den Speicherraum frei zu machen, der mit den Anwendungsdaten
APPL. DATA 1a und 1b, die zu der ersten Anwendung gehören, belegt
ist, nämlich
die Speichersegmente 181 und 182, wobei die Daten,
die zu der zweiten Anwendung gehören
(je nach Wahl des Betreibers der Leseeinheit 5 und/oder
des Trägers
des Transponders 1), ausgeladen werden können oder
nicht.
-
Wenigstens
die Anwendungsdaten APPL. DATA 1a und 1b werden folglich vorübergehend
ausgeladen und in einer der Leseeinheit zugeordneten Speichervorrichtung
gespeichert (Schritt S9 in 4b). Es
kann sich hierbei um den geschützten Speicher 60 in
der Leseeinheit 5 (vgl. 3) handeln oder
um eine beliebige Speichervorrichtung, die der Leseeinheit 5 zugeordnet
ist, wie der Server 85 in 6, mit dem
die Leseeinheit über
ein lokales Datennetz oder ein Ferndatennetz verbunden sein kann.
-
Vorzugsweise
werden die aus dem Transponder ausgeladenen Daten im Speicher unter
Verwendung der Seriennummer DEVICE SERIAL NUMBER des Transponders 1,
die im Schritt S1 gelesen worden ist, organisiert, wobei sie neben
den eigentlichen Anwendungsdaten den oder die diesen Anwendungsdaten
zugeordneten Anwendungsidentifizierer umfassen, in diesem Beispiel
den Anwendungsidentifizierer APPL. IDENTIFIER 1, der zur ersten
Anwendung gehört.
Es wird angemerkt, dass dieser Identifizierer vorher, während der
vorhergehenden Schritte, aus den Verzeichnisdaten DIRECTORY des
Transponders gewonnen und entschlüsselt worden ist (Schritte
S5 und S6 in 4b). Genauso kann mit den Daten
der Gültigkeitsdauer
(APPL. VALIDITY – vgl. 2)
der betreffenden Anwendungsdaten verfahren werden, die gelesen,
entschlüsselt
und mit den Anwendungsdaten, die aus dem Transponder ausgeladen
worden sind, gespeichert werden können.
-
In
Bezug auf das, was weiter oben erwähnt worden ist, wird außerdem angemerkt,
dass die vorübergehend
aus dem Transponder ausgeladenen Anwendungsdaten vorzugsweise durch
die Leseeinheit 5 in der zugeordneten Vorrichtung in einer
Form gespeichert werden, die jener Form, in der diese Daten auf
dem Transponder 1 gespeichert sind, völlig gleich ist, d. h. in einer
verschlüsselten
Form. Nach dem, was weiter oben beschrieben worden ist, und in Bezug
auf die internationale Anmeldung WO 02/35464 versteht sich, dass
das Entschlüsseln
der auf dem Transponder 1 gespeicherten Anwendungsdaten
die Kenntnis des oder der Schlüssel
zur Verschlüsselung,
die zu dieser Anwendung gehören,
erfordert, welche die Leseeinheit 5 nicht unbedingt hat. Die
Vertraulichkeit der ausgeladenen Daten ist folglich stets garantiert.
Die ausgeladenen Anwendungsdaten werden folglich bis zu ihrem späteren erneuten Laden
in dieser Form gespeichert.
-
Es
empfiehlt sich, neben der Speicherung der Seriennummer des Transponders 1,
der ausgeladenen Anwendungsdaten und des oder der entsprechenden
Anwendungsidentifizierer außerdem
vorzugsweise einen Zustandsidentifizierer (in 5 mit STATUS
bezeichnet) aufzuzeichnen (Schritt S11 in 4b), der
angibt, dass eine temporäre Übertragung
von Anwendungsdaten erfolgt ist. Es wird angemerkt, dass das Aufzeichnen
dieses Zustandsidentifizierers in unabhängiger Weise vor dem Ausladen der
Daten (Schritt S9), zwischen diesem Ausladen und dem Laden der Anwendungsdaten
der zusätzlichen
Anwendung (Schritt S10) oder am Ende des Verfahrens, wie in 4b veranschaulicht
ist, durchgeführt
werden kann.
-
Der
Zustandsidentifizierer STATUS kann in der Leseeinheit (oder jeder anderen
zugeordneten Vorrichtung) und/oder in den Speichermitteln des Transponders
aufgezeichnet werden, wobei dieser Zustandsidentifizierer bei jedem
Austausch von Anwendungsdaten zwischen der Leseeinheit und dem Transponder
modifiziert wird. Insbesondere empfiehlt sich, diesen Zustandsidentifizierer
wenigstens in die Leseeinheit (oder in eine zugeordnete Vorrichtung) einzuspeichern
und vorzusehen, dass dieser Identifizierer wenigstens eine Angabe
einer Identifizierungsnummer des Transponders (beispielsweise die
Seriennummer des Transponders), mit dem die Anwendungsdaten ausgetauscht
worden sind, sowie eine Angabe des Zeitpunkts (Uhrzeit und/oder
Datum), zu dem diese Anwendungsdaten ausgetauscht worden sind, enthält. Dieser
Zustandsidentifizierer soll im Wesentlichen sicherstellen, dass
die Daten, die später
wieder in den Transponder geladen werden, tatsächlich aus einer vorhergehenden
Ausladeoperation durch die Leseeinheit resultieren und tatsächlich anfangs
aus diesem Transponder ausgeladenen Daten entsprechen.
-
Im
Anschluss an das Ausladen der Daten aus dem Transponder (Schritt
S9) wird das Laden (Schritt S10) der Anwendungsdaten, die zu wenigstens
einer zweiten Anwendung (beispielsweise der zusätzlichen Anwendung APPL. 3
in 5) gehören, in
den Speicher des Transponders ausgeführt. Dieser Schritt S10 umfasst
ein Verschlüsseln
der Anwendungsdaten, ein Übertragen
und Schreiben dieser Daten in den Speicher des Transponders, ein
Aktualisieren der Verzeichnisdaten DIRECTORY (und eventuell der
Gültigkeitsdaten
APPL. VALIDITY), typisch gefolgt von einem Schritt des Verifizierens
der übertragenen
Daten, wie schon mit Bezug auf 4c in
dem Dokument WO 02/35 464 beschrieben worden ist.
-
5 zeigt
schematisch die Durchführung des
oben erwähnten
Ladeprozesses. Die Anwendungsdaten, mit APPL. DATA 3a bis 3b bezeichnet, die
zu der zusätzlichen
Anwendung APPL. 3 gehören,
werden demnach in die freien Speichersegmente des Transponders,
nämlich
die Speichersegmente 181, 182 und 183 in
diesem Beispiel, geladen.
-
Wenn
der oben angegebene Prozess erst einmal ausgeführt ist, hat der Anwender die
Möglichkeit,
den Transponder in Verbindung mit der gewünschten zusätzlichen Anwendung (nämlich mit
der Anwendung APPL. 3 in dem Beispiel von 5) zu gebrauchen.
Die vorübergehend
aus dem Transponder ausgeladenen Daten können in einer späteren Phase
gemäß dem Verfahren,
das oben schon beschrieben worden ist und folglich nicht erneut
beschrieben wird, wieder in den Transponder geladen werden.
-
Das
Verfahren, das soeben mit Bezug auf 4a, 4b und 5 beschrieben
worden ist, kann im Rahmen eines nicht einschränkenden Anwendungsbeispiels
vor einem Eintritt des Transponders in einen begrenzten Raum, beispielsweise
einen Freizeitbereich (Schwimmbad, Skipiste, Vergnügungspark
usw.), einen Kulturraum (Museum, Ausgrabungsstätte usw.) oder jeden anderen
begrenzten Raum, in dem Kunden oder Besuchern ein Gesamtpaket von
(entgeltpflichtigen oder kostenlosen) Diensten, die sich auf den
besuchten Ort beziehen, angeboten werden soll, ausgeführt werden.
In diesem Anwendungsbeispiel könnte
das Management der Anwendungsdaten für den Anwender nicht erkennbar
oder gegebenenfalls mit seiner Einwilligung vorgenommen werden.
Im Rahmen einer solchen Anwendung werden die anfangs ausgeladenen
Daten wieder in den Speicherraum des Transponders geladen, wenn
dieser den begrenzten Raum verlässt.
-
Im
Rahmen eines weiteren Anwendungsbeispiels kann der vorübergehende
Anwendungsdatenaustausch von dem Anwender oder Träger des Transponders
(beispielsweise mit Hilfe eines persönlichen Datenverarbeitungsterminals,
das mit einer geeigneten Leseeinheit ausgestattet ist) vorgenommen
werden. In diesem Anwendungsbeispiel hat der Anwender die uneingeschränkte Herrschaft über sein "Portfolio" von Anwendungen,
aus dem er in Abhängigkeit
von seinen Bedürfnissen
die passenden Anwendungen auswählt.
-
Außerdem wird
angemerkt, dass die oben erwähnten
Schritte S5 bis S7 vorzugsweise auch vorgesehen sind, um die Gültigkeitsdaten
(APPL. VALIDITY) der Anwendungen des Transponders zu lesen, zu entschlüsseln und
zu verifizieren, und um in dem Fall, in dem einige Anwendungsdaten
nicht mehr gültig
sind, den von dieser Anwendung belegten Speicherraum zu leeren.
In diesem Fall wird es sinnvoll sein, die Leseeinheit mit einer
Echtzeituhr (oder "real time
clock") auszustatten,
um den Ablauf dieser Gültigkeitsdauer
zu bestimmen.
-
Es
versteht sich, dass an den hier beschriebenen Ausführungsformen
verschiedene, für
den Fachmann offensichtliche Modifikationen und/oder Verbesserungen
vorgenommen werden können, ohne
vom Schutzumfang der Erfindung, der durch die beigefügten Ansprüche definiert
ist, abzukommen. Insbesondere wird daran erinnert, dass die Erzeugnisse
P4150 und P4095, auf die sich bei der vorliegenden Erfindung bezogen
wird, nur mögliche
Beispiele für
Erzeugnisse darstellen, die im Rahmen der vorliegenden Erfindung
genutzt werden können. Selbstverständlich könnten weitere
Lösungen,
die äquivalent
sind, verwendet oder in Aussicht genommen werden. Für eine Verbesserung
könnte
beispielsweise ein Transponder für
mehrere Anwendungen des Typs verwendet werden, der in der europäischen Patentanmeldung
EP 1 087 332 auf den Namen
der Firma EM Microelectronic-Marin SA beschrieben ist. Auch könnte eine
andere Kommunikationsfrequenz als die Frequenz von 125 kHz, die
von den oben erwähnten
Bauelementen benutzt wird, verwendet werden. Weitere Frequenzen,
die für
gewöhnlich
verwendet werden, sind beispielsweise 13,56 MHz und 2,4 GHz. Schließlich wird
angemerkt, dass die Transponder des erfindungsgemäßen Systems
vom passiven oder aktiven Typ sein können, wobei der Einfachheit
und der Lebensdauer wegen der passive Typ bevorzugt wird.