-
Die
Erfindung betrifft tragbare elektronische Gegenstände, wie
zum Beispiel Karten mit elektronischem Mikroschaltkreis, sogenannte
Chipkarten, die an elektronische Vorrichtungen angeschlossen werden,
um letzteren besondere Funktionen im Rahmen einer oder mehrer eine
Kontrolle ihrer Lebensstufen erfordernder Anwendungen zu erlauben.
Besagte Karten werden nämlich
allgemein in eine große
Sicherheit gegen missbräuchliche
Nutzung erfordernden Anwendungen (Banken, Kommunikation, Identität, Gesundheit,
usw.) genutzt. So stellt die Patentschrift
US 5473690 beispielhaft eine Chipkarte
vor, die mehrere Anwendungen umfasst, deren Zugang per Codewort
geschützt
ist, wobei ein Codewort einem Benutzer vorbehalten ist. Bei Kenntnis
eines Codewortes ist es möglich,
die eine oder die andere Anwendung auszuwählen. Dennoch kann man eine
Anwendung, für
welchen Benutzer der Karte auch immer, nicht in Abhängigkeit
der Lebensstufen besagter Karte deaktivieren oder die Nutzung beschränken.
-
Die
Erfindung findet ganz allgemein auf jedes unabhängige integrierte System Anwendung, das
mit einer Bearbeitungseinheit und Programm- und Datenspeichern versehen
ist.
-
In
der Fachwelt der Chipkarten ist bekannt, dass diese aus einem Zusammenbau
einer Komponente (im allgemeinen mit einem Mikroprozessor, der über Datenbusse
mit Speichern verbunden ist), einem Modul (das mithilfe eines leitenden
Metalls realisiert wird) resultiert, an den besagte Komponente (im
Rahmen einer sogenannten Chipkarte mit Kontakt) angeschlossen ist,
um besagter Komponente zu erlauben, mit einer elektronische Lese- und/oder Schreibvorrichtung
(oder Kopplervorrichtung) verbunden zu werden, und einem Kartenkörper, oder ganz
allgemein einer Unterlage, auf der die Baugruppe Modul/Komponente
integriert ist. Im Rahmen einer sogenannten Chipkarte ohne Kontakt
wird besagtes Modul durch eine Antenne ersetzt, und die durch die
Komponente gebildete Baugruppe und besagte Antenne wird innerhalb
besagter Unterlage integriert.
-
Im
Rahmen einer sogenannten Chipkarte ohne Kontakt wird besagtes Modul
durch eine Antenne ersetzt, und die durch die Komponente und besagte
Antenne gebildete Baugruppe wird in besagte Unterlage integriert.
-
Das
Leben einer Chipkarte besteht allgemein aus zwei aufeinanderfolgenden
Stufengruppen, die jeweils der Herstellung und der Nutzung besagter Karte
entsprechen. Die Zusammensetzung der beiden Baugruppen bildet einen
Lebenszyklus besagter Karte. Die Herstellung ei ner Chipkarte (mit
oder ohne Kontakt) besteht aus mehreren Stufen.
-
Es
ist nämlich
zunächst
notwendig, über
eine elektronische Komponente zu verfügen, die initialisiert, isoliert
und anschließend
an ein Modul angeschlossen wird. Besagte Komponente und das Modul,
an das sie angeschlossen ist, werden im Folgenden auf eine oder
innerhalb einer Unterlage integriert (im Allgemeinen ein Kartenkörper aus
Plastik), der seinerseits zu Identifizierungs- oder Werbezwecken bedruckt
wird. Im Folgenden wurde die derart erhaltene Chipkarte initialisiert
oder programmiert, um den Nutzungsbedingungen im Rahmen der Anwendungen
zu genügen.
-
Die
zweite Baugruppe der Lebensstufen einer Chipkarte entspricht ihrer
Nutzung. Diese Baugruppe kann ihrer in mehrere Stufen unterteilt
sein, wobei jede zum Beispiel der Einrichtung oder dem Wegfall von
Diensten entspricht, die dem Benutzer durch die Karte in Abhängigkeit
zum Beispiel seines Profils geboten werden.
-
Darüber hinaus
intervenieren verschiedene Akteure (Komponentenhersteller, Chipkartenhersteller,
Personalisierungszentrum der Karte, Kartenausgeber oder auch der
Karteninhaber) während
der verschiedenen Herstellungs- und Nutzungsstufen einer Chipkarte.
So werden die Komponenten von den Herstellern der elektronischen
Komponenten geliefert und mitunter auch teilweise auf einer Siliziumscheibe
initialisiert. Diese Phase entspricht der Herstellungsstufe der
Komponente. Die folgende Stufe ist die vom Hersteller der Chipkarte
realisierte Einschlussphase. Sie umfasst die Isolierung einer Kompo nente
der Siliziumscheibe, den Anschluss besagter Komponente an ein Modul
(oder eine Antenne), die Integration der Baugruppe auf ihrer Unterlage oder
ihrem Kartenkörper.
Darauf folgt die Vorbereitung der im elektrisch programmierbaren
Speicher der Komponente vorhandenen Anwendungsstruktur. Das ist
Stufe der elektrischen Personalisierung, die vom Hersteller der
Chipkarte oder von einem Personalisierungszentrum oder einem auf
die Personalisierung von Karten spezialisierten Dritten oder vom
Ausgeber selbst realisiert wird, der im Endeffet mit dem Vertrieb
der Karten auf dem Markt beauftragt ist. Diese Phase der elektrischen
Personalisierung kann daher in so viele Stufen aufgeteilt sein,
wie es Akteure oder Zwischenstellen gibt. Im Anschluss daran haben
wir zuvor gesehen, dass es während
der Nutzung der Chipkarte interessant sein kann, verschiedene Stufen
im Laufe der Entwicklung zum Beispiel des Nutzerprofils der Karte
zu unterscheiden. Aus allen diesen Gründen ist es daher wichtig,
die Lebensstufen einer Karte genauestens zu verfolgen, um jederzeit
die laufende Stufe besagter Karte innerhalb ihres Lebenszyklus zu
kennen. Darüber
hinaus ist es unerlässlich,
dass einerseits der Lese- oder Schreibzugriff des elektrisch programmierbaren
Speichers der Komponente einer Karte während des Austauschs besagter
Karte (oder der Komponente) zwischen den verschiedenen Akteuren
geschützt
wird und dass andererseits der Zugang zu besagtem Speicher allmählich in
dem Maße
beschränkt
wird, wie die vorgenannten Lebensstufen der Karte aufeinanderfolgen,
zum Beispiel durch Aktivieren oder Deaktivieren von Diensten. Und
schließlich
ist es manchmal ebenfalls wichtig, den Anwendungskontext der Chipkarte
zu bestätigen,
bevor der Träger derselben
sie auf dem Markt nutzt. Ein Ausgeber einer Chipkarte, zum Beispiel
vom Typ elektronischer Geldbeutel, muss zum Beispiel sicher sein,
dass der Saldo besagter Karte vor der Ausgabe der Karte tatsächlich Null
ist.
-
Um
zu versuchen, diesen Forderungen gerecht zu werden, werden bis zum
heutigen Tage verschiedene Lösungen
genutzt. Einige Lösungen
befinden sich nur außerhalb
der Chipkarte (physische Sicherung der Räumlichkeiten, in denen besagte
Karte hergestellt wird, Nutzung der ihrerseits gesicherten Transportmittel,
usw.). Andere, zu ersteren komplementäre, diesmal jedoch innerhalb
der Karte liegende oder in sie eingebaute Lösungen werden ebenfalls allgemein
verwendet. So nutzt man Geheimnisse, die es erlauben, den Lese-/Schreibzugriff
des Speichers der Komponente zu schützen und ebenfalls logische Indikatoren,
die es erlauben, die verschiedenen Lebensstufen der Karte unwiderruflich
zu verfolgen. Dafür
werden die Bits innerhalb eines nicht löschbaren Speichers der Komponente
der Chipkarte im aktiven Zustand am Ende der verschiedenen Lebensstufen der
Karte positioniert (Herstellung und Initialisierung der Komponente
durch den Hersteller besagter Komponente, Einschluss und Initialisierung
des Speichers der Karte durch den Hersteller der Chipkarte, Vorbereitung
der Anwendungsstruktur des Speichers der Chipkarte durch das Personalisierungszentrum oder
den Kartenausgeber, usw.). In Abhängigkeit dieser Indikato ren
passt das vom Mikroprozessor der Komponente der Chipkarte ausgeführte, innerhalb
einer der Speicher besagter Komponente besagter Karte eingebaute
Programm (oder das Betriebssystem) sein Verhalten allmählich im
Verlauf der aufeinanderfolgenden Lebensstufen an. So können die Funktionen
abgeändert,
hinzugefügt
oder annulliert werden.
-
Wie
auch immer die bis zum heutigen Tage genutzten Lösungen aussehen, sie beruhen
alle auf der Tatsache, dass die verschiedenen in die Herstellung
einer Karte eingebundenen Akteure vertrauenswürdige Dritte sind. Nur Personen,
die in der Lage sind, Komponenten oder Karten während ihres Transports zwischen
zwei verschiedenen Akteuren abzufangen, gelten als potenzielle Betrüger, und
die zuvor dargelegten Lösungen
ermöglichen
es, sich dieser zu entledigen. Die Anpassung des Betriebssystems
der Karte in Abhängigkeit
der unwiderruflichen Indikatoren bringt einen nicht zu vernachlässigenden
Vorteil. Wenn die Komponenten- oder Kartenhersteller zum Beispiel
Systemdaten oder Geheimnisse schreiben, kann der Ausgeber der Karte sich
zum Beispiel nicht beliebig besagter Geheimnisse entledigen oder
besagte Systemdaten verändern. Dennoch
löst diese
Lösung
nicht das Problem einer betrügerischen
Initialisierung der Karte oder eines unglücklichen Irrtums während besagter,
von einem der Akteure vorgenommenen Initialisierung.
-
Die
Erfindung bietet an, den Nachteilen des Standes der Technik abzuhelfen.
Insbesondere besteht die Erfindung darin, das Betriebssystem einer Chipkarte
mit Programmmitteln zu versehen, die es besagtem Betriebssystem
ermöglichen,
eine unwiderrufliche Änderung
der Lebensstufe besagter Karte in Abhängigkeit einer Baugruppe zur
Prüfung
des Inhaltes der Speicher dieser selben Chipkarte zu beherrschen.
Außerdem
sieht die Erfindung vor, dass das Betriebssystem der Karte bei einer Änderung
der Lebensstufe automatisch Aktionen auslösen kann, die es erlauben,
die von besagtem Betriebssystem besagter Karte angebotenen Dienste
anzupassen.
-
Zu
diesem Zweck betrifft die Erfindung eine Kontrollvorrichtung des
Lebenszyklus eines tragbaren elektronischen Gegenstandes gemäß Anspruch 1
und ein Kontrollverfahren gemäß Anspruch
11.
-
Bevorzugte
Ausbildungsarten der Erfindung werden in den abhängigen Ansprüchen definiert.
-
Darüber hinaus
betrifft die Erfindung einen tragbaren elektronischen Gegenstand,
der insbesondere eine besagte Kontrollvorrichtung des Lebenszyklus
beinhaltende Chipkarte sein kann.
-
Die
Erfindung wird bei der Lektüre
der nachfolgenden Beschreibung und der Prüfung der Figuren, die sie begleiten,
besser verstanden. Diese werden nur beispielhaft angegeben und haben
keinerlei einschränkenden
Charakter der Erfindung.
-
Die
Figuren zeigen:
-
1:
eine Komponente einer Chipkarte mit einer Prüfvorrichtung für den Übergang
von einem Zustand zum anderen;
-
2a und 2b:
eine detaillierte Darstellung einer Übergangstabelle von einem Zustand
zum anderen;
-
3:
eine detaillierte Darstellung einer Prüftabelle für die Übergänge;
-
4:
eine detaillierte Darstellung einer Aktionstabelle;
-
5: eine Beschreibung der in dem von der Prüfvorrichtung
der Übergänge genutzten
Verfahren umgesetzten Stufen;
-
6a bis 6d:
die im Falle eines Beispiels einer Chipkarte vom Typ elektronischer
Geldbeutel umgesetzten Besonderheiten.
-
In
der Erfindung wird ein Zustand als Referenzzustand bezeichnet, von
dem aus es möglich
ist, infolge der Überschreitung
eines in der im Programmspeicher eingebauten Übergangstabelle beschriebenen Übergangs
in einen anderen Zustand umzuschwenken. Wie später beschrieben, ist es möglich, neue
Zustände
hinzuzufügen
und damit auch neue Übergänge, nachdem
der Herstellungszustand der Komponente stattgefunden hat. In diesem Fall
spricht man von Zusatzzuständen,
um diese im Gegensatz zu den Referenzzuständen zu bezeichnen. Weiterhin
bezeichnet man den Zustand, in dem sich das integrierte System befindet,
als laufenden Zustand.
-
1 zeigt
eine mit einer erfindungsgemäßen Prüfvorrichtung
für Übergänge versehene
Komponente 1 einer Chipkarte. Die Komponente umfasst eine
mit den Speichern 3, 4, oder 5 über einen
Kommunikationsbus 6 in Verbindung stehende Bearbeitungseinheit 2 oder
auch einen Mikroprozessor. Ein nicht löschbarer Programmspeicher 4 (oder
auch ROM) umfasst einerseits eine Programmbereich 7, wobei
besagte Programme (oder auch Betriebssysteme des integrierten Systems)
durch besagte Bearbeitungseinheit ausgeführt werden können, und
andererseits einen Bereich vordefinierter Daten 10, der die
von besagtem Betriebssystem genutzten Konstanten enthält. Unter
besagten Konstanten des Bereichs 10 nutzt das ein Prüfmotor 9 genannte
Programm enthaltende Betriebssystem 7 eine Übergangstabelle 11,
die es ermöglicht,
die Zustände
zu präzisieren,
in denen man, ausgehend vom laufenden Zustand, Zugriff auf eine
Prüftabelle 12 hat,
die es ermöglicht,
jedem Übergang
von einem Zustand zum anderen Prüfungen
des Inhalts der Speicher 3, 4, und/oder 5 zuzuordnen.
In einer Variante kann die Prüfmaschine 9 automatisch
Aktionen bei der Überschreitung
oder der Verweigerung der Überschreitung
eines Übergangs
auslösen.
Dafür umfasst
der Bereich 10 des Programmspeichers eine Aktionstabelle 13,
die es erlaubt, jedem möglichen Übergang von
einem Zustand zum anderen auszuführende
Aktionen zuzuordnen.
-
Ein
flüchtiger
Speicher 3 (oder auch RAM, auf Englisch: Random Access
Memory) erlaubt es der Verarbeitungseinheit 2, zeitweilig
die aus den von den im Programmspeicher 4 eingebauten Programmen
beschriebenen Berechnungen stammenden Ergebnisse oder auch Geheimnisse
zu speichern. Der Inhalt des Speichers 3 wird jedes Mal
gelöscht,
wenn die Komponente 1 unter Strom gesetzt wird, oder bei jeden
Befehl, diese wieder auf Null zu setzen.
-
Ein
elektrisch löschbarer,
allgemein die Technologie EEPROM (auf Englisch: Electrical Erasable
Programmable Read Only Memory) nutzender Datenspeicher 5 umfasst
einen die variablen zur Ausführung
der Programme 7 notwendigen Daten enthaltenden Bereich 14.
Dieser Bereich 14 umfasst insbesondere „laufender Zustand" genannte Daten 8,
die es erlauben, den laufenden Zustand des tragbaren elektronischen
Gegenstandes zu speichern. Der Datenspeicher 5 umfasst
darüber
hinaus einen Bereich 15, der optional Erweiterungen der
Tabellen 11 bis 13 in dem Fall enthält, in dem
es notwendig ist, Zustände
zu den Referenzzuständen
hinzuzufügen.
Der Bereich 15 umfasst dann eine Erweiterung der Übergangstabelle 16,
eine Erweiterung der Prüftabelle 17 und
kann eine Erweiterung der Aktionstabelle 18 umfassen, wenn
man den neuen Übergängen Zusatzzustände der
Aktionen hinzuzufügen
wünscht,
wie zuvor bezüglich
der Tabelle 13 beschrieben. Im Falle von Zusatzzuständen gegenüber den
Referenzzuständen
ist es mitunter unerlässlich,
das Betriebssystem 7 aufzurüsten. Dafür kann der Speicher 5 weiterhin
einen Bereich 19 umfassen, der die zusätzlichen Programme enthält, die
ihrerseits durch die Verarbeitungseinheit 2 ausgeführt werden.
-
2a zeigt
eine mögliche
Umsetzung der Übergangstabelle 11.
Wenn man annimmt, dass es i Referenzzustände gibt, kann man sich eine
i Spalten und i Zeilen beinhaltende Übergangstabelle vorstellen.
Die Spalten entsprechen den Referenzzuständen, die in einem bestimmten
Moment der laufende Zustand sein können. Die i ersten Zeilen entsprechen den
Referenzzuständen,
auf die man ausgehend vom laufenden Zustand Zugriff haben kann.
Somit erlaubt der Wert eines einer Zeile und einer Spalte besagter
Tabelle entsprechenden Kästchens
der Übergangstabelle 11 entweder
das Fehlen eines zugelassenen Übergangs
(Zum Beispiel Wert Null – das
ist beim Übergang 20 der
Fall) zu kodieren, oder aber die Zulassung des Übergangs (Wert nicht Null – das ist
der Fall beim Übergang 21).
Im Fall eines zugelassenen Übergangs
sucht die Prüfmaschine
der Übergänge innerhalb
der Prüftabelle 12 die
auszuführenden
Prüfungen,
um die Überschreitung
des angeforderten Übergangs
zuzulassen oder abzulehnen.
-
2b zeigt
ebenfalls eine mögliche
Umsetzung einer Übergangstabelle
in dem Fall, in dem es möglich
ist, Zustände
(Zusatzzustände)
zu den Referenzzuständen
hinzuzufügen.
Die Übergangstabelle umfasst
im Verhältnis
zu 2a eine zusätzliche
Zeile. Die (1 + 1). Zeile erlaubt zu präzisieren, ob die Übergänge von
einem laufenden Referenzzustand zu einem Zusatzzustand zugelassen
werden. So zeigt der Wert des Kästchens 22 einen
verbotenen Übergang
von einem Referenzzustand zu einem Zusatzzustand an. Das Kästchen 23 zeigt
an, dass es möglich
ist, vom Referenzzustand Ei zum Zusatzzustand umzuschwenken. Eine
Erweiterung 16 der Übergangstabelle
ist also notwendig. Letztere umfasst j Zeilen, die j Zusatzzuständen entsprechen,
auf die man ausgehend von (i + j) möglichen laufenden Zuständen zugreifen
kann, die durch die (i + j) Spalten der Erweiterung 16 der Übergangstabelle
dargestellt werden. So zeigt die Verbindung des Kästchens 23 der Übergangstabelle
und des Kästchens 24 der Erweiterung 16 der Übergangstabelle
der Prüfmaschine
an, dass es möglich
ist, vom Referenzzustand Ei zum Zusatzzustand E(i + 1) umzuschwenken.
-
3 zeigt
eine Umsetzung der Prüftabelle. Die
Prüftabelle 12 ist
im Bereich 10 der vordefinierten Daten des Speichers 4 eingebaut.
Jeder zugelassene Übergang
verfügt über einen
Eingang in besagter Tabelle. Ein Eingang umfasst ein die Identifizierung des Übergangs
erlaubendes Feld 30 und ein eine Referenz (oder Adresse)
für ein
Programm 32 des Betriebssystems 7 enthaltendes
Feld 31. Die Prüfmaschine 9 kann
somit in der Verarbeitungseinheit 9 die erforderlichen
Kontrollen für
die Zulassung der Überschreitung
des Übergangs
ausführen
lassen. 3 bildet ebenfalls eine Struktur
einer Erweiterung 17 der Prüftabelle ab. Auf dieselbe Weise
wie Tabelle 12 umfasst die Erweiterung der Prüftabelle 17 einen
Eingang pro möglichem Übergang.
Jeder Eingang umfasst zwei Felder, ein die Identifizierung des Übergangs
erlaubendes Feld 33 und ein eine Referenz (oder Adresse)
eines Programms 35 des Betriebssystems oder, wie in 3 dargestellt,
ein im Datenspeicher 5 (Bereich 19) eingebautes
zusätzliches Programm
enthaltendes Feld 34 (in Bereich 19).
-
4 zeigt
eine Darstellung der im Bereich 10 der im Speicherprogramm 4 vordefinierten
Daten eingebauten Aktionstabelle 13. Bei einer Überschreitungsanforderung
eines Übergangs
ist es möglich, Aktionen
auszulösen.
Diese können
von drei Arten sein: systematische Aktion, positive Aktion (das heißt, abhängig von
der Tatsache, dass die Prüfungen
zufriedenstellend sind) oder negative Aktion (das heißt, abhängig von
der Tatsache, dass die Prüfungen
nicht zufriedenstellend sind). 4 zeigt,
dass bei jedem zugelassenen Übergang
ein Eingang in die Aktionstabelle 13 besteht. Dieser Eingang
umfasst 4 Felder: Das erste Feld 400 erlaubt die Identifizierung des Übergangs.
Die drei anderen Felder 401, 402 und 403 enthalten
jedes eine Referenz oder Adresse eines Programms 404, 405 oder 406 des
Betriebssystems. Das Feld 401 ist einer systematischen
Aktion dediziert, das Feld 402 einer positiven Aktion und das
Feld 403 einer negativen Aktion. 4 zeigt ebenfalls
eine Erweiterung 18 der Aktionstabelle. Diese Tabelle 18 ist
im Bereich 15 des Datenspeichers 5 der Komponente 1 eingebaut.
Die Erweiterung der Aktionstabelle 18 umfasst auf dieselbe
Weise wie für
die Aktionstabelle 13 einen Eingang pro möglichem Übergang.
Ein Eingang umfasst 4 Felder. Das erste Feld 407 erlaubt
die Identifizierung des Übergangs.
Die drei anderen Felder 408, 409 und 410 beinhalten
jedes eine Referenz oder Adresse eines Programms 411, 412 oder 413 des
Betriebssystems oder, wie in 4 dargestellt,
im Bereich 19 des Datenspeichers 5 der Komponente 1 eingebaute Programme.
Das Feld 408 ist einer systematischen Aktion dediziert,
das Feld 409 einer positiven Aktion und das Feld 410 einer
negativen Aktion.
-
5a beschreibt
das die Bestätigung
oder die Verweigerung der Überschreitung
eines Übergangs
von einem Zustand zum anderen, eines ersten Referenzzustandes zu
einem anderen Referenzzustand erlaubende Verfahren. Die Überschreitungsanfrage
eines Übergangs
kann infolge eines Auftrages zur Kartenherstellung oder durch jeden
anderen Akteur des Lebenszyklus der Chipkarte formuliert werden.
Besagte Anfrage kann ebenfalls direkt durch die Karte selbst formuliert
werden, zum Beispiel über eine
einem Übergang
zugeordnete Aktion. Im Rahmen der 5a ist
der laufende Referenzzustand der Zustand Ei. Der Auftrag 50 zum
Umschwenken des Zustandes Ei in den Zustand Ej ist formuliert. Die Stufe 51 besteht
in der Prüfung
der Übergänge 51 in der
Tabelle, dass der Übergang
vom Zustand Ei zum Zustand Ej zugelassen ist. In dem Fall, in dem
dieser Übergang
verboten ist, wird die Überschreitungsanforderung
des Übergangs 50 verweigert.
Der laufende Zustand bleibt der Zustand Ei. Wenn der Übergang
jedoch zugelassen wird, führt
die Prüfmaschine 9 die
dem besagtem Übergang
zugeordneten Prüfungen
durch. Dafür
bewertet die Prüfmaschine
den dem Übergang
T (Ei -> Ej) dedizierten
Eingang der Prüftabelle 12.
Die Ausführung
besagter Prüfungen entspricht
der Stufe 52 des Verfahrens. Die Prüfmaschine 9 führt die
dem Übergang
T (Ei -> Ej) zugeordneten
systematischen Aktionen in Abhängigkeit
des Eingangs der Aktionstabelle 13 der besagtem Übergang
dedizierten Aktionen durch (Stufe 53). Wenn die bei der Überschreitungsanfrage
des Übergangs 50 geforderten
Prüfungen 54 nicht
zufriedenstellend sind, bleibt der laufende Zustand unverändert. Die Prüfmaschine
führt die
negativen Aktionen (Stufe 55 des Verfahrens) in Abhängigkeit
von dem Eingang der dem Übergang
T (Ei -> Ej) zugeordneten
Aktionstabelle 13 durch. Der Ablauf des Verfahrens ist
dann beendet. Wenn die Prüfungen 54 jedoch
zufrieden stellend sind, wird der laufende Zustand dann zum Zustand
Ej (Stufe 56 des Verfahrens). Dann werden die positiven
Aktionen (Stufe 57 des Verfahrens) in Abhängigkeit
vom Eingangszustand der dem Übergang T
(Ei -> Ej) zugeordneten
Aktionstabelle 13 durchgeführt. Der Ablauf des Verfahrens
ist beendet.
-
5b beschreibt
das die Bestätigung
oder die Verweigerung der Überschreitung
eines Übergangs
von einem Zustand zum anderen, von einem ersten Zusatzzustand zu
einem anderen Zusatzzustand erlaubende Verfahre. Der laufende Zusatzzustand
ist Ei. Der Befehl 510 zum Umschwenken vom Zusatzzustand
Ei in den Zusatzzustand (oder Referenzzustand) Ej wird formuliert.
Die Stufe 511 des Verfahrens besteht in der Überprüfung in
der Erweiterung der Übergangstabelle 16,
dass der Übergang vom
Zustand Ei in den Zustand Ej zugelassen ist. In dem Fall, in dem
dieser Übergang
verboten ist, wird die Überschreitungsanforderung
dieses Übergangs 510 verweigert.
Der laufende Zustand bleibt der Zustand Ei. Wenn der Übergang
jedoch zugelassen wird, führt
die Prüfmaschine 9 die
besagtem Übergang
zugeordneten Prüfungen
durch. Dafür
bewertet die Prüfmaschine
den Eingang der Erweiterung der dem Übergang T (Ei -> Ej) dedizierten Prüftabelle 17. Die
Durchführung
besagter Prüfungen
besteht in der Stufe 512 des Verfahrens. Die Prüfmaschine 9 führt die
dem Übergang
T (Ei -> Ej) zugeordneten
systematischen Aktionen in Abhängigkeit
vom Eingang der Erweiterung der Aktionstabelle 18 durch,
deren Aktionen besagtem Übergang
(Stufe 513 des Verfahrens) dediziert sind. Wenn die bei
der Überschreitungsanfrage
des Über gangs 510 geforderte
Prüfung 514 nicht
zufriedenstellend ist, bleibt der laufende Zustand unverändert. In
Abhängigkeit
des Eingangs der Erweiterung der dem Übergang T (Ei -> Ej) zugeordneten Aktionstabelle 18 führt die
Prüfmaschine 9 die negativen
Aktionen (Stufe 515 des Verfahrens) durch. Dann ist der
Ablauf des Verfahrens beendet. Wenn die Prüfungen 514 jedoch
zufriedenstellend sind, wird der laufende Zustand zum Zustand Ej
(Stufe 516 des Verfahrens). Dann werden die positiven Aktionen
in Abhängigkeit
des Eingangszustandes der Erweiterung der dem Übergang T (Ei -> Ej) zugeordneten Aktionstabelle 18 durchgeführt (Stufe 517 des
Verfahrens). Der Ablauf des Verfahrens ist beendet.
-
5c beschreibt
das die Bestätigung
oder die Verweigerung der Überschreitung
eines Übergangs
von einem Zustand zum anderen, eines Referenzzustands zu einem Zusatzzustand
erlaubende Verfahren. Der laufende Referenzzustand ist der Zustand
Ei. Der Befehl 520 zum Umschwenken des Referenzzustandes
Ei in den Zusatzzustand Ej wird formuliert. Die Stufe 528 des
Verfahrens besteht in der Prüfung
in der Übergangstabelle 11,
dass ein Übergang
vom laufenden Referenzzustand Ei zu einem Zusatzzustand zugelassen
ist. Wenn ein derartiger Übergang
verboten ist, ist das Verfahren beendet. Der laufende Zustand bleibt
unverändert.
Wenn jedoch ein Übergang
vom besagten Referenzzustand in einen Zusatzzustand zugelassen ist,
führt die
Prüfmaschine
die Stufen 521 bis 527 des Verfahrens durch, die
jeweils mit den in Verbindung mit 5b beschriebenen
Stufen 511 bis 517 identisch sind.
-
Ein
Anwendungsbeispiel im Bereich des elektronischen Geldbeutels wird
in Verbindung mit den 6a bis 6d vorgestellt.
Besagte Anwendung erlaubt die Bezahlung von Einkäufen mithilfe von in einer
Chipkarte gespeichertem „elektronischem
Geld" anstelle von
Bargeld. Der Einsatz einer derartigen Technik macht eine ebenso
gesicherte Verwaltung der Karten notwendig wie die, die der Einsatz
von Bargeld erfordert hätte.
Zum Beispiel muss die Schaffung von fiktivem Geld verhindert werden. Die
Sicherheit einer Chipkarte als elektronischer Geldbeutel beruht
allgemein auf im Innern besagter Chipkarte gespeicherten Schlüsseln, die
gesicherte Transaktionen durch den Einsatz von Verschlüsselungen
erlauben. Eine derartige Karte verfügt über ein Betriebssystem, das
einen Steuersatz und Leistungen bietet, die es erlauben, Geld gutzuschreiben oder
abzuheben. Zu Beginn des Lebenszyklus der Chipkarte als elektronischer
Geldbeutel ist besagte Chipkarte nicht initialisiert. Sie enthält keinerlei
Information. 6a zeigt die vordefinierten
Referenzzustände:
- – Zustand
E1 „unbeschriebene
Karte" (Referenz 80):
Es sind nur die die Bestätigung
des Verhaltens des Datenspeichers 5 erlaubenden Testbefehle
verfügbar
(Prüfung,
dass die Speicherkästchen
der EEPROM-Technologie
fehlerfrei gelesen und geschrieben werden können);
- – Zustand
E2 „getestete
Karte" (Referenz 82):
Die
Testbefehle sind nicht mehr verfügbar.
An ihrer Stelle sind allgemein als „physische Befehle" bezeichnete Befehle
verfügbar
(die zum Beispiel einen Schreib zugriff durch eine physische Adressierung
unabhängig
von jeglicher logischen Struktur vom Dateityp erlauben). Sie erlauben
die Initialisierung der Karte (Schreiben im Bereich 14 des Datenspeichers
der für
die Funktion der Anwendung notwendigen logischen Komponenten, das heißt Dateien,
Salden, usw.);
- – Zustand
E3 „initialisierte
Karte" (Referenz 84): die
physischen Befehle sind nicht mehr verfügbar. Logische, die Personalisierung
der Karte erlaubende Befehle (Hinzufügen neuer logischer Strukturen
und Initialisierung von Daten in besagten Strukturen) sind verfügbar. Weiterhin
wird ein Abdeckungsmechanismus derart aktiviert, dass die Chipkarte
nicht die Kohärenz
dieser Daten verliert, wenn diese während der Ausführung einer der
besagten logischen Befehle außer
Spannung gesetzt wird.
- – Zustand
E4 „personalisierte
Karte" (Referenz 86):
Die der Anwendung elektronischer Geldbeutel (Lastschrift/Gutschrift)
spezifischen logischen Befehle sind aktiviert.
-
Der
Satz der verfügbaren
Befehle entwickelt sich in Abhängig
der Lebensstufe, in der sich die Chipkarte befindet. Die im Datenspeicher
gespeicherten Informationen erlauben dem Betriebssystem, den Zustand
zu erkennen, in dem sich die Chipkarte befindet. 6a zeigt
darüber
hinaus, dass im Rahmen einer Karte vom Typ elektronischer Geldbeutel alle Übergänge von
Referenzzuständen
aufeinanderfolgend (vom Zustand E1 zum Zustand E4) überschritten
werden müssen,
und zwar unwiderruflich. Jeder andere Übergang ist verboten. Es wird
nur die Möglichkeit
der späteren
Nutzung der Zusatzzustände 88 geboten.
Dieser mögliche Übergang
wird mit der Referenz 87 bezeichnet. Das Betriebssystem
in Abhängigkeit
des laufenden Zustandes lässt
nur einen für
jeden Referenzzustand spezifischen Satz Befehle zu.
-
Die
bei den Prüfungen
und der Überschreitung
eines Übergangs
auszulösenden
Aktionen werden wie folgt beschrieben:
- – Übergang
des Zustandes E1 zum Zustand E2 (notiert mit T (E1 -> E2) wird mit der Referenz 81 bezeichnet):
- – Prüfung: keine
- – Systematische
Aktion:
Löschen
des Datenspeichers, um zu vermeiden, dass ein Betrüger dort
vom Betriebssystem der Karte auswertbare Daten hinterlässt;
- – Übergang
des Zustandes E2 zum Zustand E3 (notiert mit T (E2 -> E3) und mit der Referenz 83 bezeichnet):
- – Prüfung:
- – Integrität der im
Datenspeicher mit den physischen Befehlen geschriebenen Daten (Bestätigung eines
Redundanzcodes für
alle Daten);
- – Prüfung des
unbeschriebenen Zustandes des Speichers außerhalb besagter Daten;
- – Positive
Aktion:
- – Aktivierung
des Abdeckungsmechanismus;
- – Übergang
des Zustandes E3 zum Zustand E4 (notiert mit T (E3 -> E4) und der Referenz 85 bezeichnet):
- – Prüfung:
- – Nullsaldo
des elektronischen Geldbeutels
- – Aktion:
keine
- – Übergang
des Zustandes E4 zu einem Zusatzzustand (notiert mit T (E4 -> Eadd) und mit der Referenz 87 bezeichnet):
- – Prüfung: keine
- – Aktion:
keine
-
Die 6b bis 6d zeigen
jeweils eine erfindungsgemäße Realisierung
einer Übergangstabelle 11,
eine Prüftabelle 12 und
eine Aktionstabelle 13. Die Übergangstabelle 11,
wie sie in Verbindung mit 6b beschrieben
ist, erlaubt es, nur die Übergänge 81, 83, 85 und 87 zuzulassen.
Dafür enthalten nur
die Kästchen 60 bis 63 besagter
Tabelle einen Wert, der nicht Null ist. Die anderen Kästchen der Übergangstabelle
enthalten einen Nullwert, um anzuzeigen, dass jeder andere Übergang
verboten ist. Die Übergangstabelle,
wie sie in 6c dargestellt wird, erlaubt
die Zuordnung der Prüfungen,
denen zur Zulassung der Überschreitung
der Übergänge 81, 83, 85 und 87 zu
genügen
ist, wobei besagte Übergänge von
der Übergangstabelle 11 (6b)
zugelassen sind. So umfasst der Eingang 64 der Prüftabelle 12 ein
die Identifizierung erlaubendes Feld 641, dass besagter
Eingang dem Übergang 81 dediziert
ist. Der Eingang 64 umfasst weiterhin ein eine Null-Referenz enthaltendes
Feld 642, um anzuzeigen, dass keine Prüfung angefordert ist, um die Überschreitung
des Übergangs 81 zuzulassen.
In einer Variante verfügt der Übergang 81 über keinen
zugeordneten Eingang. Diese Variante wird später im Fall der Aktionstabelle dargestellt.
Die Prüftabelle 12 umfasst
einen Eingang 65, der jeweils ein Feld 651 umfasst,
um anzuzeigen, dass der Eingang dem Übergang 83 zugeordnet
ist, und ein Feld 652, das die Referenz eines Programms 67 enthält, das
im Programmspeicher eingebaut ist, damit die Prüfmaschine die zuvor beschriebenen Prüfungen durchführen kann.
Ebenso umfasst die Prüftabelle 12 einen
Eingang 66, der jeweils ein Feld 661 zur Anzeige
umfasst, dass der Eingang dem Übergang 83 zugeordnet
ist, und ein Feld 662, das die Referenz eines Programms 68 enthält, das
im Programmspeicher eingebaut ist, damit die Prüfmaschine die zuvor beschriebenen
Prüfungen
durchführen
kann.
-
6d stellt
eine Realisierung der Aktionstabelle 13 dar. Besagte Tabelle
umfasst einen Eingang 71, der ein Feld 711 umfasst,
das die Anzeige erlaubt, dass besagter Eingang dem Übergang 81 zugeordnet
ist. Derselbe Eingang 71 umfasst ein Feld 712,
das die Referenz eines Programms 75 enthält, das
im Programmspeicher eingebaut ist, damit die Prüfmaschine die dem Übergang 81 zugeordneten
systematischen Aktionen durchführen
kann. Der Eingang 71 umfasst darüber hinaus ein Feld 713 und ein
Feld 714, das eine Null-Referenz umfasst, um dem Prüfmotor anzuzeigen,
dass der Überschreitung des Übergangs 81 keine
positive oder negative Aktion zugeordnet ist. Auf dieselbe Weise
umfasst die Aktionstabelle 13 einen zweiten, die Felder 721 bis 724 beinhaltenden
Eingang 72, um der Prüfmaschine anzuzeigen,
dass besagter Eingang dem Übergang 83 zugeordnet
ist, dass das Programm 74 als positive Aktion bei der Über schreitung
besagten Übergangs auszuführen ist
und dass keine systematische oder negative Aktion auszuführen ist.
Das Fehlen des Eingangs in der dem Übergang 85 zugeordneten
Aktionstabelle 13 zeigt an, dass keine (systematische, positive
oder negative) Aktion bei der Überschreitung oder
der Verweigerung der Überschreitung
besagten Übergangs
auszuführen
ist.
-
Dank
der oben beschriebenen Vorrichtung und des Verfahren wird der Lebenszyklus
eines tragbaren elektronischen Gegenstandes beherrscht. Jeder Übergang
von einem Zustand zum anderen ist unwiderruflich und die bei jeder Übergangsanforderung
durchgeführten
Prüfungen
garantieren eine kohärente
Speicherkonfiguration des Gegenstandes. Außerdem erlauben die systematischen,
positiven oder negativen Aktionen die Anpassung des Verhaltens besagten
Gegenstandes. Und schließlich
kann der Lebenszyklus des Gegenstandes, in dem Fall, in dem die
Zulassung eines oder mehrerer Übergänge von
einem oder mehreren Referenzzuständen
zu einem Zusatzzustand vorgesehen ist, leicht angereichert werden,
zum Beispiel nachdem der Gegenstand auf den Markt gebracht worden
ist, ohne dass der vordefinierte Lebenszyklus (der durch eine Aufeinanderfolge
von Übergängen von
einem Referenzzustand zu einem anderen Referenzzustand gebildet wird)
abgeändert
werden kann.
-
Jegliches
Betrugsrisiko während
der Initialisierung eines tragbaren elektronischen Gegenstandes
oder jeglicher unglückliche
Irrtum während
besagter Initialisierung wird unter gleichzeitiger Beibehaltung
einer hohen Anpassungsfähigkeit
der Kontrolle des Lebenszyklus des Gegenstandes ausgeschaltet.