-
GEBIET DER ERFINDUNG
-
Die
vorliegende Erfindung betrifft ein System zur Verwaltung von Objekten,
in dem informationshaltige elektronisch codierte RFID Etiketten
(RFID = Radio Frequency Identification) an Objekten angebracht sind,
die identifiziert, sortiert, überprüft und/oder überwacht
werden sollen. Im Einzelnen betrifft die vorliegende Erfindung ein
System zur Authentisierung von RFID Etiketten einschließlich der
in den Etiketten enthaltenen Information.
-
HINTERGRUND DER ERFINDUNG
-
Das
Objektverwaltungssystem der vorliegenden Erfindung enthält Information,
welche zwischen einem Abfrager, der ein elektromagnetisches Abfragefeld
erzeugt, und elektronisch codierten Etiketten ausgetauscht wird,
die durch Ausgabe einer Antwortmeldung reagieren, welche vom Abfrager
erkannt, entschlüsselt
und anschließend
anderen Einrichtungen des Sortier-, Prüf- oder Überwachungsprozesses verfügbar gemacht
wird. Die Objekte, welche mit den Etiketten versehen sind, können belebt
oder unbelebt sein. In bestimmten Ausprägungen des Systems kann das
Abfragemedium auch nicht elektromagnetisch sein, sondern etwa optisch
und/oder akustisch.
-
Typischerweise
kann jedes Etikett einer Gesamtheit derartiger Etiketten eine Kennung
haben, welche durch eine jedem Etikett zugeordnete eindeutige Zahl
oder einen Code festgelegt wird, gemäß einem globalen Numerierungsschema.
Die Etiketten können
auch andere feste oder variable Daten enthalten. Die Kommunikation
zwischen dem Abfrager und den Etiketten erfolgt über eine elektromagnetische
hochfrequente Verbindung; diese ist als solche unsicher und gegen
Belauschen oder das Einschleusen gefälschter Signale anfällig.
-
Im
normalen Betrieb können
die Etiketten passiv sein, also keine interne Energieversorgung besitzen
und Energie für
ihre Antwort aus dem Abfragefeld beziehen; sie können auch aktiv sein und eine interne
Energiequelle besitzen, zum Beispiel eine Batterie. Solche Etiketten
reagieren nur, wenn sie sich im Abfragefeld befinden oder dieses
kurz zuvor durchquert haben. Das Abfragefeld kann zusätzliche Funktionen
enthalten, etwa die, einem aktiven Etikett zu signalisieren, wann
es mit der Antwort oder einer Reihe von Antworten zu beginnen hat,
oder die, ein einzelnes Etikett aus einer Gesamtheit von Etiketten auszuwählen; im
Falle von passiven Etiketten kann das Abfragefeld Energie bereitstellen,
von der ein Teil zum Aufbau der Antwort genutzt werden kann.
-
Ein
Beispiel für
ein unsicheres Lesesystem für
elektronische Etiketten ist in 1 illustriert.
In 1 kommuniziert ein Abfrager 11, ausgestattet
mit Sender und Empfänger,
die unter einer Steuerung operieren, mittels elektromagnetischer
Einrichtungen mit einem mittels Code antwortenden elektronischen Etikett 10.
Dieses System hat den Nachteil, dass die zwischen Etikett 10 und
Abfrager 11 ausgetauschte Information in direkter Beziehung
zu Information steht, die im Etikett 10 gespeichert ist.
Ein weiterer Nachteil ist, dass der Kommunikationsprozess zwischen
Etikett 10 und Abfrager 11 anfällig gegen Belauschen ist.
Da diese Kommunikation normalerweise über elektromagnetische Wellen
erfolgt, kann ein in der Nähe
befindlicher verborgener Empfänger
eine Aufzeichnung der Kommunikation herstellen und daraus den Dateninhalt
eines gültigen
Etiketts herleiten. Das Wissen um diesen Dateninhalt kann in der
Folge die Herstellung gefälschter
Etiketten seitens einer oder mehrerer potentiell böswilliger
Dritter ermöglichen.
Solche Etiketten können
dann den Anschein von Gültigkeit
erwecken, weil sie Dateninhalte erzeugen können, die von denen echter
Etiketten nicht unterscheidbar sind. Das Belauschen kann entweder am
Kommunikationsfluss vom Abfrager zum Etikett oder an dem vom Etikett
zum Abfrager angreifen. Aufgrund einer erheblichen Differenz der
in Frage stehenden Signalpegel ist die Kommunikation vom Abfrager
zum Etikett bei weitem anfälliger
gegen Belauschen als die Kommunikation in umgekehrter Richtung.
-
In
manchen Systemen ist es wichtig, sich gegen Belauschen in der einen,
der anderen oder in beiden Richtungen zu schützen, ja sogar den Umstand
zu verschleiern, dass ein Prozess der Informationsgewinnung im Gang
ist. Vorsorge gegen Belauschen ist dann von besonderer Wichtigkeit,
wenn private Informationen aus dem Etikett bezogen werden.
-
Kommunikation
zwischen Abfrager und Etikett geht häufig mittels eines Austauschs
von Nachrichten im Halbduplex Modus vonstatten, doch gibt es manche
Systeme, in denen einzelne Datenbits abwechselnd zwischen Abfrager
und Etikett verschickt werden können.
Im letzteren Fall ist es üblich,
den Vorgang der Entnahme von Daten aus dem Etikett als äquivalent
zur Erkundung eines binären
Baumes anzusehen, wie in 2 illustriert. In 2 entsprechen
die unterschiedlichen Bits der Kennung eines Etiketts oder der internen
Daten eines Etiketts unterschiedlichen Ebenen eines Baums, wobei
ein einzelnes Etikett mit bestimmten Daten einem bestimmten Pfad
durch den Baum entspricht. Unterschiedliche Pfade durch den Baum
entsprechen unterschiedlichen Etiketten mit unterschiedlichen Daten.
-
Wie
oben erläutert,
ist es wünschenswert
sicherzustellen, dass Etiketten authentisch sind und nicht Etiketten
ersetzen, welche leicht vorhersehbare Antworten normaler nicht codierter
Etiketten zur Identifizierung erzeugen. Die Fähigkeit, solche Vergewisserungen
zu bieten, kann bei der Authentisierung von Produkten, bei der Zusammenführung von Gepäckstücken, bei
sicheren Zugangssystemen und ähnlichem
erforderlich sein.
-
In
einigen Situationen kann es wichtig sein, dass der Informationsfluss
zwischen dem Ettikett und dem Abfrager für einen Lauscher keinen Sinn
ergibt. Dabei kann es sich um Situationen handeln, in denen aus
dem Bekanntwerden solcher Informationen militärische oder ökonomische
Vorteile gewonnen werden können,
oder um den Fall, dass Eigentümer
von mit Etiketten versehenen Gütern
als solche unerkannt sein wollen.
-
Daher
ist es wünschenswert,
gegen das Belauschen des Kommunikationsprozesses zwischen einem
Etikett und seinem Abfrager geschützt zu sein.
-
Eine
mögliche
Abwehrmaßnahme
gegen Belauschen verwendet die Verschlüsselung der zwischen Abfrager
und Etikett ausgetauschten Daten. Allerdings stellt der Einbau komplexer
Schaltkreise mit Verschlüsselungsmaschinen
in einem Etikett unverhältnismäßige Ansprüche an das
Design der Etiketten, welches aus Kostengründen so einfach wie möglich gehalten
werden sollte. Darüber
hinaus gilt, dass, selbst wenn solche Verschlüsselungsmaschinen verwendet
werden, verfügbare
Verschlüsselungsalgorithmen
es entschlossenen Analysten immer noch erlauben können, aus
Lauschkampagnen die Parametereinstellungen dieser Algorithmen zu bestimmen.
-
Anderer
relevanter Stand der Technik ist in Storch und Van Hagens internationaler
Patenschrift
WO 93/22745 zu
finden.
-
Diese
Offenlegung fasst die Verwendung von Zufallszahlen zur Entdeckung
gefälschter
Objekte ins Auge, wobei ein Sicherheitscode auf das zu authentisierende
Objekt aufgebracht wird und außerdem aus
einer sicheren Datenbank bezogen werden kann.
-
Die
Datenbank wird befragt, um zu ermitteln, ob die Objektkennung schon
vorher aus einem anderen, ähnlichen
Objekt gelesen wurde; wenn dies der Fall ist, wird die als Anzeichen
dafür genommen, dass
eines der Objekte nicht autorisiert ist.
-
Zusammenfassend
wird eine Fälschung dann
als solche erkannt, wenn unkorrekte, wiederholte oder unangebrachte
Identifizierungszahlen an Objekten vorgefunden werden.
-
In
dieser Offenlegung findet sich kein Hinweis darauf, die Authentisierungscodes
in einer Datenbank und auf dem Objekt in einer Weise zu verfolgen,
dass sie im Authentisierungsprozess kein zweites Mal Verwendung
finden.
-
Des
weiteren wird in FINKENZELLER K, RFID HANDBUCH: GRUNDLAGEN UND PRAKTISCHE
ANWENDUNGEN, 1998, Seite 124-132 ein Verfahren der Hochfrequenz
Identifikation (RFID) veröffentlicht,
welches Techniken zur Behandlung von kollidierenden Antworten aus
einer Vielzahl von Etiketten im Bereich des Abfragefeldes benutzt.
-
Solche
Kollisionen müssen
zunächst
eliminiert werden, ehe eine klare Verständigung zwischen einem Abfrager
und einem Etikett aufgebaut werden kann. Erörtert wird, die Etiketten räumlich zu
trennen oder die Antworten in der Zeitdomäne oder in der Frequenzdomäne zu separieren.
Ausserdem werden diverse Kommunikationscodes betrachtet.
-
An
keiner Stelle dieser Offenlegung wird in Betracht gezogen, dass
eine Vielzahl von Authentisierungscodes mit einem einzigen Etikett
assoziiert sein und sowohl auf dem Etikett wie in der Authentisierungs-Datenbank
vorhanden sein könnte;
auch wird nicht in Betracht gezogen, dass ein Authentisierungscode
für ein
bestimmtes Etikett nach einmaligem Gebrauch nicht wiederverwendet
könnte.
-
In
Doljack internationale Patentschrift
WO 04/364 A1 werden viele Abwandlungen von
Authentisierungssystemen behandelt und erörtert, die aber alle die Gemeinsamkeit
haben, dass sich in einer sicheren Datenbank Zufallszahlen befinden,
die alle eindeutig gemacht wurden, und auf jedem Etikett nur eine
dieser Zufallszahlen zu finden ist.
-
In
der Datenbank verfolgen die Erfinder, ob ein Zufallscode gelesen
wurde. Wird irgend eine Zufallszahl zum zweiten Mal aus einem Etikett
gelesen, wird gefolgert, dass eine Fälschung stattgefunden hat.
-
Die
Offenlegung unterscheidet zwischen einer gefälschten Ware und einer duplizierten
Ware, die aber beide als nicht authentisch angesehen werden.
-
An
keiner Stelle dieser Offenlegung wird in Betracht gezogen, dass
eine Vielzahl von Codes sich auf dem Etikett befinden könnte, auch
wird nicht in Betracht gezogen, über
die Zahl der erfolgreichen Authentisierungen Buch zu führen.
-
US-A-5818021 offenbart
ein ähnliches
Authentisierungssystem mit RFID-Etiketten.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Die
vorliegende Erfindung stellt ein System zur Verfügung, welches geeignet ist,
die Kennung oder die Daten eines Etiketts in einer Weise zu bestimmen,
dass Versuche, die elektromagnetische Verbindung zu belauschen,
vereitelt werden. Das System der vorliegenden Erfindung kann feststellen, dass
ein Etikett echt und nicht gefälscht
ist. Das System der vorliegenden Erfindung bietet ein relativ hohes
Sicherheitsniveau, das demjenigen von Systemen vergleichbar ist,
die nicht wiederverwendete echte Zufallscodes verwenden. Das System
der vorliegenden Erfindung kann diese Resultate mit einem relativ
einfachen und kostengünstigen
Etikett erreichen. Das System kann des weiteren imstande sein, den
Umstand zu verschleiern, dass ein Prozess der Informationsgewinnung
im Gang ist.
-
Das
System der vorliegenden Erfindung kann ein Authentisierungsystem
bieten, das der Sicherheit eines Einmal-Codes gleichkommt, und zwar vermittels
der Bestückung
eines Etiketts mit einem relativ einfachen und klein bemessenen
beschreibbaren Speicher und unter Inkaufnahme der Einschränkung, dass
die Zahl der Authentisierungen zwischen dem Wiederaufladen des Etiketts
in einer sicheren Umgebung beschränkt sein kann. Das System kann
des weiteren dazu benützt
werden, auf sichere Weise variable Daten aus einem RFID Etikett auszulesen.
Teil des Systems ist, dass der Abfrager nicht nur mit dem Etikett
in Austausch treten kann, sondern über sichere Kommunikationswege
auch mit einer sicheren Datenbank, die zu jedem Etikett für die Sicherheit
des Authentisierungsvorgangs relevante Informationen enthält (vgl. 3).
-
Vor
der Indienststellung eines Etiketts können ein oder mehrere zufallsbasierte
Codes für
jedes Etikett durch einen wirklich zufälligen physikalischen Vorgang
erzeugt werden. Die Zufallscodes können genutzt werden, um Prüfschlüssel bzw.
Zahlen für
die Authentisierung bereitzustellen. Die Zufallscodes können auf
sichere Weise in die Datenbank und jedes Etikett geladen werden.
In der Datenbank können
die Zufallscodes jedes Etiketts mit der unverschlüsselten
Folgenummer des betreffenden Etiketts verknüpft sein, oder mit einer getrennten,
aber zufällig
ermittelten Zahl, die aus dem Etikett mittels herkömmlicher
Verfahren zum Abfragen von Etiketten ausgelesen werden kann.
-
In
einer Ausführungsform
kann die Kommunikation zwischen einem Abfrager und einem einzelnen
Etikett auf dem Wege räumlicher
Trennung der Etiketten und ihrer Anordnung in enger Nachbarschaft
zum Abfrager erreicht werden.
-
Das
Authentisierungssystem der vorliegenden Erfindung kann außergewöhnliche
Sicherheitsniveaus erreichen, ohne dass innerhalb der Etiketten komplexe
Schaltkreise für
Verschlüsselungsmaschinen
eingebaut werden müssen.
Das System kann demzufolge zum Einbau in relativ kostengünstigen RFID
Etiketten geeignet sein. Die außergewöhnliche Sicherheitsniveaus
sind verfügbar,
weil die vom System genutzten Codes uneingeschränkt zufällig sind und durch einen wirklich
zufälligen
physikalischen Vorgang erzeugt werden. Daher wiederholen sich die Codes
nicht öfter
als Zufallszahlen das tun, die wirklich zufälligen physikalischen Vorgängen entstammen.
-
Zufolge
einem Aspekt der vorliegenden Erfindung wird ein System zur sicheren
Kommunikation zwischen einem Abfrager und einem RFID Etikett verfügbar, wie
in Anspruch 1 ausgesprochen.
-
Zufolge
einem weiteren Aspekt der vorliegenden Erfindung wird ein Verfahren
zur sicheren Kommunikation zwischen einem Abfrager und einem RFID
Etikett verfügbar,
wie in Anspruch 10 ausgesprochen.
-
BESCHREIBUNG EINER BEVORZUGTEN
AUSFÜHRUNGSFORM
-
Eine
bevorzugte Ausführungsform
der vorliegenden Erfindung soll nun beschrieben werden unter Bezugnahme
auf die begleitenden Zeichnungen; worin
-
1 zeigt
ein herkömmliches
Lesesystem für
elektronische Etiketten;
-
2 zeigt,
wie die Abfrage eines elektronischen Etiketts als Durchschreitung
eines Binärbaums
angesehen werden kann;
-
3 zeigt
ein um die Kommunikation mit einer sicheren Datenbank erweitertes
Lesesystem für elektronische
Etiketten;
-
4 zeigt
eine Ausformung des Aufbaus eines sicher authentisierbaren Etiketts;
-
5 zeigt
eine Speicherstruktur eines sicher authentisierbaren Etiketts;
-
6 zeigt
einen Antwortgenerator eines sicher authentisierbaren Etiketts.
-
1 zeigt
ein Etiketten-Lesesystem, das in sich unsicher ist. Es hat den Nachteil,
dass das Belauschen des Kommunikationsprozesses zwischen dem elektronischen Etikett 10 und
dessen Abfrager 11, der normalerweise über elektromagnetische Wellen
erfolgt, einem in der Nähe
befindlichen, verborgenen Empfänger
die Möglichkeit
gibt, eine Aufzeichnung der Kommunikation herzustellen und daraus den
Dateninhalt eines gültigen
Etiketts zu erschließen,
was die Herstellung augenscheinlich gültiger Etiketten seitens potentiell
bösartiger
Dritter ermöglicht.
-
3 zeigt
eine Ausführungsform
eines Etikettenlesesystems, das sicher gemacht worden ist. Beim
Betrieb des in 3 gezeigten Systems sucht Abfrager 2 die
Identität
des Etiketts 21 über
eine unsichere hochfrequente Datenverbindung, dargestellt durch
die fetten Pfeile 22, 23. Etikett 21 antwortet
Abfrager 20 mit seiner Kennung aus dem Etikettenkennungs-Register 40 (vgl. 5) über die
unsichere hochfrequente Datenverbindung. Abfrager 20 schickt die
Identität
des Etiketts 21 an die sichere Datenbank 24 über die
nach Möglichkeit
sichere Datenverbindung 25. Für einige Übertragungen kann eine unsichere
Datenverbindung benutzt werden. Die im Etikettenkennungs-Register 40 gespeicherten
Daten können
eine festen und/oder variablen Datenstring enthalten, sowie verschlüsselte Daten
und/oder Daten, die im Etikettendaten-Register 41 gespeichert sind
(vgl. 5).
-
Datenbank 24 benützt ihre
Daten zur Etikettenkennung, ihre Authentisierungshistorie und gespeicherte
Authentisierungs-Prüfschlüssel, um
einen Prüfschlüssel auszuwählen, der
an das Etikett 21 geschickt wird. Die Auswahl kann sequentiell
oder nichtsequentiell erfolgen und kann auf Aufzeichnungen über die
Zahl früherer
Authentisierungen beruhen, welche unabhängig, aber in synchroner Weise, durch
die Datenbank 24 und Etikett 21 gepflegt werden.
In einigen Ausführungsformen
kann sich ein echter, an das Etikett geschickte Prüfschlüssel mit
einem nicht authentischen Prüfschlüsseln abwechseln, der
vor oder nach dem echten Prüfschlüsseln an
das Etikett geschickt wird.
-
Der
ausgewählte
Prüfschlüssel wird
aus der Datenbank 24 an den Abfrager 20 über die
nach Möglichkeit
sichere Datenverbindung 25 geschickt. Abfrager 20 schickt
den Prüfschlüssel anschließend an
das Etikett 21 über
die unsichere Funkverbindung 22. Etikett 21 erzeugt
eine Authentisierungsantwort an den Abfrager 20 über die
unsichere Funkverbindung 23.
-
4 zeigt
Einzelheiten der im Etikett 21 ausgeprägten Architektur. Etikett 21 enthält eine
gemeinsame Empfangs- und Sendeantenne 30, über einen
Gleichrichter 32 mit einem Empfänger 31 verbunden.
Eine Ausgabe des Empfängers 31 ist
wirkungsmäßig mit
dem Authentisierungs- und Beantwortungsschaltkreis 33 verbunden.
Authentisierungs- und Beantwortungsschaltkreis 33 enthält Speicher 34 und
Antwortgenerator 35. Antwortgenerator 35 ist wirkungsmäßig mit
Modulator 36 verbunden. Modulator 36 ist so ausgelegt,
dass er die an der Antenne 30 vorhandene Impedanz über Gleichrichter 32 beeinflusst.
-
5 zeigt
den zum Speicher 34 des Etiketts 21 gehörigen Speicheraufbau.
Speicher 34 enthält
ein Register 40 für
Etikettenkennungen, ein Register 41 für Etikettendaten, ein Register 42 für Authentisierungs-Prüfschlüssel, ein
Register 43 für
Authentisierungs-Antwortcodes,
ein Register 44 für
Vereinzelungsstrings und ein Register 45 für Mischstrings.
Die Register 40, 41, 44 bzw. 45 für Etikettidentität, Etikettendaten,
Vereinzelungsstring bzw. Mischstring können jeweils aus einer Datenzeile
mit 64 Bits bestehen. Die Prüfschlüssel-Register 42 und
die Antwortcode Register 43 können jeweils aus 16 Datenzeilen
mit jeweils 64 Bits bestehen.
-
6 zeigt
Einzelheiten des Authentisierungs- und Beantwortungs-Schaltkreises 33 im
Etikett 21. Authentisierungs- und Beantwortungs-Schaltkreis 33 enthält die Prüfeinheit 50,
die Daten vom Empfänger 31 empfängt. Die
Prüfeinheit 50 ist
wirksungsmäßig mit
dem Daten-Auswähler 51 verbunden,
um Daten aus dem Speicher der Authentisierungsantworten 52 bzw.
aus dem Generator für Zufallsantworten 53 auszuwählen, abhängig davon, ob
eine authentische oder nicht authentische Antwortmeldung an den
Modulator 36 und anschließend an den Abfrager 20 geschickt
werden soll. Prüfeinheit 50 empfängt vom
Authentisierungsprüfspeicher 54, der
das Prüfschlüssel-Register 42 enthält, einen
aktuellen Prüfschlüssel, der
anhand der im Ereigniszähler 55 gepflegten
Zahl der Authentisierungen bestimmt wird.
-
Die
Antwort wird gemäß folgenden
Regeln erzeugt. Wenn ein vom Etikett empfangener Prüfschlüssel mit
einem im Speicherregister 42 gespeicherten Prüfschlüssel an
einer Stelle (z.B. Zeile) übereinstimmt,
die durch die vom Etikett gepflegte Zählung der Authentisierungen
bestimmt wird, wird ein Authentisierungsantwort-Code aus der korrespondierenden
Stelle des Registers der Authentisierungsantwort-Codes 43,
welches Bestandteil des Authentisierungsantwort-Speichers 52 ist.
-
Wenn
der vom Etikett 21 empfangene Prüfschlüssel an der durch die vom Etikett
gepflegte Zahl der Authentisierungen bestimmten Stelle nicht mit dem
Prüfschlüssel im
Speicherregister 42 übereinstimmt,
wird die Authentisierungsantwort des Etiketts vom zufallsbasierten
Antwortgenerator 53 erzeugt.
-
Im
Fall einer erfolgreichen Authentisierung wird sowohl der im Ereigniszähler 55 gepflegte
Zählerstand
der Authentisierungen des Etiketts, als auch ein getrennter, in
der Datenbank 24 gepflegter Zählerstand der Authentisierungen
jeweils erhöht.
Zu diesem Zweck kann die Abfrageenergie am Etikett 21 für eine hinlänglich lange
Zeit auf einem hinlänglichen
Pegel gehalten werden, um einen nicht flüchtigen Speicher im Etikett,
welcher dem die Zahl der Authentisierungen des Etiketts pflegenden
Ereigniszähler 55 zugeordnet
ist, mit seinem erhöhten
Wert wiederzubeschreiben. In einer bevorzugten Ausführungsform
des Systems kann dieser Zählerstand
aktualisiert werden, ehe die Antwort (authentisch oder nicht authentisch)
auf die Authentisierungsanfrage vom Etikett 21 bereitgestellt
wird. Datenbank 24 und Etikett 21 können den
Zählerstand
der Anzahl von Authentisierungen untereinander austauschen.
-
Die
Authentisierungsantwort wird an die sichere Datenbank 24 geschickt.
Diese kann die Antwort des Etiketts gegen eine ausgewählte Zeile
aus dem in der Datenbank 24 gepflegten Datensatz der erwarteten
Antworten des Etiketts abgleichen, wobei die Auswahl von dem in
der Datenbank 24 gepflegten Zählerstand der Authentisierungen
abhängt,
und kann eine Meldung, ob authentisch oder nicht, erzeugen.
-
Die
Meldung, ob authentisch oder nicht, wird an den Abfrager 20 über die
sichere Datenverbindung 25 geschickt. Abfrager 20 meldet
die Identität des
Etiketts 21 und schickt eine Meldung, ob authentisch oder
nicht, an Anwender 26 oder einen anderweitigen Beteiligten,
der die Ausgabe des Abfragers 20 nutzt. Unter bestimmten
Umständen
kann die Meldung, ob authentisch oder nicht, an eine andere Instanz
geschickt werden als an den Abfrager 20.
-
In
anderen Situationen kann es wünschenswert
sein, die Inhalte der Speicher 52, 54 im Etikett 21 von
einem Ort aus zu verändern,
der von der Datenbank 24 entfernt ist. Dies kann erreicht
werden, sofern die Kommunikation zwischen Abfrager 20 und Etikett 21 sicher
gemacht werden kann. Eine Methode, sichere Kommunikation herzustellen,
kann darin bestehen, eine abgeschlossene oder elektromagnetisch
abgeschirmte Kommunikationszelle um den Abfrager 20 herum
einzurichten, aus der elektromagnetische Wellen, die zum oder vom
Etikett 21 ausgehen, nicht an die Außenwelt abstrahlen, und Etikett 21 für die Dauer
der Erneuerung ihres Speicherinhalts in der geschlossenen Zelle
zu halten.
-
In
einem derartigen System kann Abfrager 20, unterstützt von
der sicheren Datenbank 24, die Gültigkeit mehrere Einträge im Authentisierungsspeicher
des Etiketts 21 erkunden, ehe dem Etikett 21 gemeldet
wird, dass der Authentisierungsspeicher beschrieben werden kann.
-
Zur
Unterstützung
dieser Erkundung wird der Ereigniszähler 55 jedesmal,
wenn dem Etikett 21 Energie zugeführt wird, auf Null zurückgesetzt
und wird jedesmal erhöht,
wenn während
des Zeitraums einer anhaltenden Energiezufuhr des Etiketts eine
erfolgreiche Authentisierung stattfindet, solange, bis ein vorab
festgelegter Endwert erreicht ist, woraufhin ein Register freigeschaltet
wird, welches das Beschreiben des Etiketts 21 zulässt. Der
Authentisierungsspeicher des Etiketts 21 und der Zählerstand
der Authentisierungen kann dann mittels Verfahren, welche allen
in der Technik des Entwurfs elektronischer Etiketten geübten Personen
vertraut sind, zurückgeschrieben
werden.
-
In
einer weiteren Ausführungsform
kann die Kommunikation mit einem einzelnen Etikett erreicht werden
nach einer anfänglichen
Kommunikation mit einer Gesamtheit von Etiketten und anschließender Auswahl
eines einzelnen Etiketts vermöge
diverser Techniken, welche in der Industrie als Auswahl oder Vereinzelung
eines Etiketts bekannt sind. Bei einer dieser Techniken kann eine
unterbrechungsfreie Übertragung
eines Auswahl- bzw. Vereinzelungsstrings stattfinden. Nach der Übertragung
des Auswahlstrings kann dieser in den Etiketten mit einem internen
Vereinzelungsstring verglichen werden und nur ein Etikett, in dem Übereinstimmung
erzielt wurde, nimmt an der weiteren Kommunikation teil. Bei einer
weiteren derartigen Technik, die als Tree Scanning bekannt ist,
kann der Abfrager Bit für
Bit einen Vereinzelungsstring senden und von Etiketten Antworten
erhalten, wie in 2 illustriert. Die übertragenen
Daten können
gegen einen Vereinzelungsstring in den Etiketten geprüft werden;
Etiketten, deren Vereinzelungsstring von dem vom Abfrager übermittelten
abweicht, werden fortlaufend ausgesondert, bis ein einziges Etikett
verbleibt.
-
In üblichen
Ausführungsformen
kann eine eindeutige Etikettenkennung als Vereinzelungsstring dienen.
Authentisierungsprüfschlüssel und/oder
Etikettendaten können
zusätzlich
oder statt dessen bei der Vereinzelung benützt werden. Der Abfrager kann im
Zuge des ersten Authentisierungsvorgangs Etikett-Identifizierungszahl
oder den Vereinzelungsstring unverschlüsselt lesen, so dass er weiß, mit welchem
Etikett gearbeitet wird.
-
Wenn
ein hohes Maß an
Sicherheit verlangt ist, kann eine Vereinzelung, bei der vom Abfrager
mit der Etikettenkennung verbundene Daten übertragen werden, unzuträglich erscheinen.
In solchen Fällen kann
das Etikett einen von seiner Kennung unabhängigen Vereinzelungsstring
enthalten, der für
eine Baumsuche verwendet wird. Der Vereinzelungsstring kann dem
Etikett anfänglich
einprogrammiert sein oder kann automatisch darin erzeugt werden.
Die Etiketten können
den Vereinzelungsstring an den Abfrager zurückwerfen, doch sind solche
Echos relativ schwach und weniger anfällig gegen Belauschung als Übertragungen
seitens des Abfragers; im übrigen kann
ein Lauscher ihnen keinen Sinn entnehmen, außer dass ihm angezeigt werden
kann, dass eine Vereinzelung im Gang ist.
-
Im
Zuge der Vereinzelung kann der Vereinzelungsstring zum Teil vom
Etikett bereitgestellt und vom Abfrager nachverfolgt werden; d.h.
das Etikett führt
den Pfad bei der abwärtsgerichteten
Baumsuche an und der Abfrager zieht nach. Umgekehrt kann der Vereinzelungsstring
vom Abfrager bereitgestellt sein; d.h. der Abfrager führt den
Pfad bei der abwärtsgerichteten
Baumsuche an und das Etikett folgt solange nach, als die Vereinzelungsbits übereinstimmen.
In beiden Fällen
kann der Abfrager durch einen geeigneten Entwurf der Etiketten,
der bestimmte Meldungen des Abfragers ignoriert, ungültige Vereinzelungsinformation
verschicken und auf diesem Wege den Umstand verschleiern, dass eine
Vereinzelung im Gang ist, und demzufolge auch, welche Antworten des
Etiketts die gültigen
waren. Gewährt
schon die Nichtwiederverwendung von Vereinzelungs- und Antwortdaten
ein großes
Maß an
Sicherheit, so trägt
dieses Vorgehen zu zusätzlicher
Verwirrung einer Lauschaktion bei.
-
Zwecks
erhöhter
Sicherheit kann das Etikett eine Anzahl von Vereinzelungsstrings
enthalten, die nicht wiederverwendet werden. Der Vereinzelungsstring
kann als Schlüssel
in eine sichere Datenbank dienen, welche die Etikettenkennung und
die gültige Antwort
des Etiketts auf eine Authentisierungsanfrage enthält. Zwecks
erhöhter
Sicherheit kann das Etikett eine Anzahl unterschiedlicher gültiger Antworten enthalten,
die nicht wiederverwendet werden. Wenn das Etikett durch den zugehörigen Vereinzelungsstring
vereinzelt ist und eine der gültigen
Antworten bereitstellt, und wenn diese Elemente in der sicheren Datenbank
abgeglichen werden, kann das Etikett als authentisch angesehen werden.
-
Kommt
es zu keiner Übereinstimmung
zwischen den an das Etikett übermittelten
Vereinzelungsbits und der zugehörigen
Menge von Vereinzelungsbits, die das Etikett enthält, kann
die Antwort des Etiketts eine zufällige Antwort von der gleichen Länge wie
eine Authentisierungsantwort sein. Nach Befragung der sicheren Datenbank
und der Feststellung, um welches Tag es sich handelt, kann der Abfrager
einen oder mehrere Datenströme
an das Etikett senden. Einer der Datenströme sollte mit dem ersten einer
Reihe von Authentisierungs-Prüfschlüssel des
Etiketts übereinstimmen,
die im Speicherregister 42 gehalten werden.
-
Auf
eine Abfrage, bei der übertragene
Daten mit dem Authentisierungs-Prüfschlüssel des Etiketts übereinstimmen,
kann das Etikett mit einem zurückgegebenen
Authentisierungsschlüssel
antworten, der nur in der Datenbank bekannt ist. Sowohl auf dem
Etikett wie in der sicheren Datenbank kann dann die Erhöhung des
Inhalts von nicht-flüchtigen
Zählern erfolgen,
welche festlegen, welcher von mehreren Authentisierungs-Prüfschlüsseln als
nächster
in Kraft tritt.
-
Bei
Abfragen, bei denen es zu keiner derartigen Übereinstimmung kommt, die sich
etwa ergeben können,
wenn ein nicht authentisches Tag abgefragt wird oder ein nicht authentischer
Abfrager die Abfrage durchführt,
kann das Etikett mit einem zufälligen Code
von der gleichen Länge
und dem gleichen grundsätzlichen
Aufbau wie eine authentische Antwort reagieren.
-
Auf
diese Weise kann sich aus einer Belauschung der Transaktion kein
Hinweis auf den nächstfälligen gültigen Authentisierungs-Prüfschlüssel oder die
nächstfällige Authentisierungsantwort
des Etiketts ergeben. Alles, was ein Lauscher entdeckt, ist eine
Abfolge scheinbar zufälliger
Transaktionen.
-
Bei
einer Abwandlung, welche zulässt,
dass die Kennung oder die Daten eines Etikett maskiert sind, kann
der Speicher, wie in 7 gezeigt, zusätzlich zu
seinem geheimen Vereinzelungsstring und seinem geheimen Authentisierungsstring
einen geheimen Mischstring enthalten. Unter Anwendung geeigneter
Abwandlungen der in 7 dargestellten Verbindungen,
kann der geheime Mischstring dazu benutzt werden, die Antwort des
Etiketts (auf digitalem Weg, eine XOR-Operation) zu modifizieren, wenn
Kennung oder Daten des Etiketts gesucht werden. Bei einer Ausführungsform
kann der Authentisierungsstring als Mischstring genutzt werden,
oder als Anfangswert einer Abfolge generierter Pseudo-Zufallszahlen
mit der Anzahl der gelungenen Authentisierungen des Etiketts als
weiterer Eingabe, wobei die Zählung
im Etikett und in der sicheren Datenbank getrennt abläuft.
-
Die
Verwendung eines Mischstrings kann sicherstellen, dass kein Aspekt
der Sendedaten des Abfragers oder der Antwortdaten des Etiketts
für einen
Lauscher einen Sinn ergibt. Dies ist von Vorteil, insofern als variable,
auf dem Etikett, aber noch nicht in der Datenbank befindliche Daten,
auf vollkommen sichere Weise in die Datenbank überführt werden können.
-
Schließlich versteht
es sich, dass diverse Abwandlungen, Veränderungen und/oder Hinzufügungen an
der Konstruktion und Zusammenstellung von Komponenten, wie sie eben
beschrieben wurden, vorgenommen werden können, ohne dass vom Schutzumfang
der Erfindung abgewichen wird, welcher durch die angefügten Ansprüche definiert
ist.