SYSTEM UND VERFAHREN ZUR ÜBERTRAGUNG VON INFORMATION,
INFROMATIONSTRÄGER
Die Erfindung betrifft das Gebiet der Übertragung von Information zwischen einer Applikation (Feststation) und einem mobilen Informationsträger. Sie betrifft im Speziellen ein System, ein Verfahren, einen Informationsträger und ein Computerprogramm gemäss den unabhängigen Ansprüchen.
EINLEITUNG
Seit einiger Zeit werden elektronische mobile Informationsträger in Form von Uhren, Schlüsseln, Karten etc. verwendet. Sie dienen beispielsweise zum berührungslosen Öffnen von Autotüren mittels eines Schlüssels (Übertragung per Funk), berührungslosen Zugang zu einem Skilift mittels Uhr (Übertragung induktiv) oder spezieller, elektronischer Karte in Kreditkartenformat, oder berührungslosen Ticket für die Parkgarage. Alle diese Systeme haben verschiedene Übertragungsmedien, verschiedene physikalische Ausprägung, verschiedene Protokolle, verschiedene Sicherheitsstandards, etc. Viele Teilaspekte von solchen Systemen sind patentiert worden. Der Nachteil von solchen Systemen ist die riesige Anzahl von Insellösungen: Jede Aufgabe wird mit einem speziellen System gelöst. Damit entsteht nicht nur ein ansehnlicher Entwicklungsaufwand, der Endkunde wird förmlich überhäuft mit den verschiedensten Systemen, die oft auch noch
verschiedene PIN-Codes haben und deshalb sind solche Systeme nicht sehr anwenderfreundlich.
Die Anzahl solcher Systeme wird kontinuierlich zunehmen. Die Anwender wollen nur ein einziges System verwenden, dass ihnen überall auf der Welt die aktive Benutzung von Anwendungen ermöglicht. Einige Anwendungen werden dabei kontinuierlich benutzt, wie z.B. eine Kreditkarte, andere sind nur wenige Stunden in Gebrauch, wie z.B. ein Ticket für eine Veranstaltung oder für ein Parkhaus. Um nicht unnötig Speicherplatz zu verschwenden, wird es also notwendig sein, dass dem mobilen Informationsträger vorgängig unbekannte Anwendungen zugänglich gemacht werden können und wieder entfernt werden können. Wird das mobile Informationssystem in ein Schmuckstück (z.B. Uhr) eingebaut, so muss es für den/die Anwenderin einfach sein, sämtliche Information von einem Informationsträger selektiv auf einen/mehrere anderen Informationsträger zu verteilen. Es muss dabei aber sichergestellt werden, dass nur immer eine Kopie der Daten einer Anwendung existiert. Durch technologische Fortschritte wird es möglich sein, dass im Verlauf der Zeit Systeme mit grösserem Speicher zur Verfügung stehen. Es muss gewährleistet sein, dass sich dadurch an den bestehenden Installationen nichts ändert. Es wird in Zukunft auch Anwendungen geben, die höheren Speicherbedarf haben (es könnten beispielsweise ganze Datensätze, Töne, Bilder gespeichert werden). Auch hier muss das System flexibel sein: Solange genügend Speicher vorhanden ist, muss das System auch die Verwendung dieser neuen Funktionen ermöglichen. Es wird sehr viele Feststationen geben. Dadurch lässt sich auch nicht vermeiden, dass eine Feststation in unbefugte Hände gerät. Trotzdem muss auch in diesem Fall das System sicher sein.
Es ist auch möglich, dass mehrere Hersteller des mobilen Informationssystems und der Feststation vorhanden sind. Trotzdem muss Kompatibilität und Sicherheit jederzeit gewährleistet sein.
Es kann sein, dass mehrere Applikationen untereinander eine Interaktion haben: So kann beispielsweise ein Ticket mit der Kreditkarte bezahlt werden. Im Normalfall ändern sich solche sinnvolle Zusammenarbeiten von einzelnen Applikationen kontinuierlich. Solche Änderungen müssen aber unabhängig vom mobilen Informationsträger und von den Feststationen durchgeführt werden können.
STAND DER TECHNIK
Ab und zu kommt es vor, dass ein System für mehrere Anwendungen gebaut wird. In solchen Anwendungen ist in der Regel die gesamte abgespeicherte Information auf dem mobilen Informationsträger für die Feststation zugänglich. So kann beispielsweise nicht nur damit die Tür geöffnet werden, sondern es ist gleichzeitig möglich, die Information über die letzten Einkäufe, die mit demselben mobilen Informationsträger durchgeführt wurden, zu lesen. Der Benutzer eines solchen Systems möchte aber den Austausch von Informationen unter verschiedenen Anwendungen selektiv freigeben können.
Teillösungen zu obiger Problematik sind bereits bekannt, bspw. für Systeme mit passiven Datenträgern. So sind bspw. Verfahren bekannt, bei denen eine hierarchische Speicherstruktur durch eine sog. „Taufe" erzeugt wird. Jede Anwendung hat dabei nur Zugriff auf die ihr zugeteilte Speicherstruktur. Ein solches Verfahren hat folgende Eigenschaften: - Die einzelnen Applikationen sind gegenseitig unbeeinflussbar
Wenn das System um neue Anwendungen erweitert werden soll, kann das nur durch erneutes „taufen" geschehen. Dies ist in der Realität oft nicht praktikabel.
- Es besteht keine Kompatibilität zu Systemen mit grösserem Speicher
Anwendungen können nicht temporär erzeugt werden und wieder gelöscht werden
Es wird ein einziger Schlüssel für alle Anwendungen verwendet
Es bedarf eines grossen Organisationsaufwandes, um die Speicherverteilung zu managen, da diese Funktion zentral für alle Anwendungen erfolgt.
Unterschiedliche Zusammenarbeit für Anwendungen erfordern neue Speicherverteilungen und ein Umprogrammieren der Feststation.
Das System eignet sich daher für die zusammenwirkende Applikationen innerhalb eines fest vorgegebenen Umfeldes, bspw. innerhalb eines mittelgrossen Betriebes. Für die eingehend aufgeworfenen Fragestellungen ist es aber nicht praktikabel. Dies gilt insbesondere für Anwendungen, die besonders grosse Systeme betreffen oder Systeme, die geografisch oder bezüglich der Applikationen oder der Benutzer bzw. der Benutzerstatus nicht von vornherein beschränkt sind.
NEUER LÖSUNGSANSATZ
Es ist daher eine Aufgabe der Erfindung, ein System zur Verfügung zu stellen, welches die vorstehend beschriebenen Nachteile nicht aufweist, und welches insbesondere erlaubt, dass mehrere, nicht vordefinierte Anwendungen ein Speichermedium benützen können.
Diese Aufgabe wird gelöst durch ein System, wie es in den Patentansprüchen definiert ist.
Ein erfindungsgemässes System zur Übertragung von Information zwischen einem Anwendersystem und einem mobilen Informationsträger umfasst den mobilen Informationsträger mit einer Kommunikationseinheit, einer Verschlüsselungseinheit und einen Anwendungsspeicher sowie eine Feststation mit einem Systeminterface, einer Verschlüsselungseinheit und einer Kommunikationseinheit und zeichnet sich insbesondere dadurch aus, dass der Anwendungsspeicher dynamisch in anwenderspezifische Speicherblöcke unterteilbar ist. Das bedeutet, dass, solange der Anwendungsspeicher nicht voll ist, jederzeit zusätzliche Speicherblöcke geschaffen oder bestehende Speicherblocke gelöscht werden können. Das System ist daher immer offen für neu dazukommende Anwendungen.
Die vorliegende Erfindung verhindert Nachteile von Systemen gemäss dem Stand der Technik. Es hat die folgenden Eigenschaften:
- mobiles Transportsystem für Information
- beliebige Anwendungen sind möglich - jede Anwendung ist gegen unerlaubtes Lesen, Verändern von Information geschützt
- hohe Datensicherheit.
Die hohe Datensicherheit wird bspw. dadurch erreicht, das jede Anwendung eine eigene Nummer hat. Es wird eine Liste mit diesen Anwendungsnummern geführt. Diese Liste wird den einschlägigen Fachkreisen bekannt sein. Um die Anwendungen zu schützen, verfügt jede Anwendung vorzugsweise zusätzlich über einen privaten Schlüssel, der nur der Anwendung bekannt ist. Dieser anwendungsspezifische Schlüssel wird so gross gewählt, dass es praktisch unmöglich ist, den Schlüssel durch probieren zu finden.
Im Folgenden werden Ausführungsbeispiele der Erfindung anhand von Figuren beschrieben. Dabei zeigt:
Figur 1 stark schematisiert ein System zur Übertragung von Information zwischen einer Applikation und einem Informationsträger und
Figur 2 ebenfalls stark schematisiert das Verschieben von Daten zwischen Informationsträgern.
Ein System besteht nach Fig. 1 aus der Anwendung 0, einer Feststation 1 und dem mobilen Informationsträger 2.
Die Anwendung 0 ist eine beliebige Applikation, welche mit dem Informationsträger Informationen austauschen sollte. Beispiele für solche Applikationen finden sich in der Einleitung dieses Textes.
Ein mobiler Informationsträger ist bspw. eine Chip-, Magnet- oder eine andere informationstragende Karte, eine Uhr mit einem Chip ein Schlüssel. Sie besitzt einen Speicher, Prozessormittel zum Verarbeiten von Daten und/oder zum Verwalten des Speichers und Kommunikationsmittel zum Kommunizieren mit einer Feststation 1 und eventuell mit anderen Geräten. Speicher, Prozessormittel und Kommunikationsmittel sowie auch die Hardware für entsprechende Feststationen sind für alle der vorstehend aufgeführten mobilen Informationsträger bekannt und sollen hier nicht näher beschrieben werden, da sie nicht Gegenstand der Erfindung sind. Im Folgenden wird hingegen das System und das Verfahren zum Übertragen von Information beschrieben, zu dessen Ausführung die Mittel im System bzw. im Speziellen auf dem Informationsträger angelegt sind.
Die Datenübermittlung vom Anwendersystem zum Identifikationsmedium erfolgt grundsätzlich über folgenden Kanal: das Anwendersystem 0 kommuniziert der Feststation 1 Daten über ein System-Interface 101. Die Feststation verschlüsselt anschliessend die Daten in einer Verschlüsselungseinheit 102 und gibt sie mittels einer Kommunikationseinheit 103 an den mobilen Informationsträger 2 weiter. Dieser empfängt die Daten in einer Kommunikationseinheit 201 und entschlüsselt sie in einer Verschlüsselungseinheit 202 wieder, worauf er sie ein einem anwendungsspezifischen Speicher 2031, ... 203n ablegt.
Die Datenübermittlung vom Identifikationsmedium zum Anwendersystem (,Read'- Funktion) erfolgt genau auf dem umgekehrten Weg.
Es versteht sich, dass die applikationsseitige Verschlüsselungseinheit 102 nicht physisch in einer die Datenübertragungsmittel (Kommunikationseinheit 103) aufweisenden Feststation 1 angeordnet sein muss. Die Kommunikationseinheit 103 kann bspw. die schon in einem applikationsseitigen Rechner verschlüsselten Daten empfangen und lediglich weiter übermitteln. In diesem Fall gehört die Verschlüsselungseinheit 102 im Kontext dieser Schrift konzeptmässig trotzdem zu der Feststation 1 als übermittelnde Einheit.
Wenn die Anwendung 0 konkret mit dem mobilen Informationsträger 2 kommunizieren will, wird zuerst eine sichere Verbindung zwischen der Feststation 1 und dem mobilen Informationsträger aufgebaut. Dabei wird beispielsweise nach dem "Public-Key" - Verfahren vorgegangen und zuerst mit Hilfe eines "Public-Key" und eines "Private-Key" ein "Session-Key" erzeugt. Dieser "Session-Key" wird während der Zeit der aktiven Verbindung sowohl in einer Feststation- Verschlüsselungseinheit 102 als auch in einer Informationsträger- Verschlüsselungseinheit 202 verwendet. Der "Session-Key" ist nur der Feststation bzw. der Applikation und dem
Informationsträger und nur während einer einzigen Verbindung bekannt. "Public- Key" - Verfahren garantieren, dass wenn die kommunizierten Daten auf dem Kommunikationsmedium abgehört werden, sie nur mit höchstem Aufwand entschlüsselt werden können. Es handelt sich hier um ein bewährtes Verschlüsselungsverfahren und in der folgenden Ausführungen gehen wir davon aus, dass die Datenübertragung zwischen Feststation 1 und mobilem Informationsträger 2 sicher ist. Nun ist das gesamte System bereit. Jede Anwendung hat eine spezifische Nummer. Diese Nummer wird beispielsweise nach Anfrage vom Hersteller des Systems zur Verfügung gestellt und also zentral verwaltet und verteilt. Diese
1 "7 Nummer kann wie ein Zeiger auf den anwendungsspezifischen Speicher 203 , 203 ... 203n gesehen werden. Jeder anwendungsspezifischer Speicher hat eine vordefinierte Blockgrösse. Natürlich ist der Speicher 203 begrenzt, es wird deshalb in der Regel viel mehr mögliche Anwendungen geben als Speicherblöcke im Speicher 203 zur Verfügung stehen. Die Verwaltung der Speicherblöcke im Speicher 203 kann beispielsweise nach den Methoden des dynamischen Memory Management erfolgen, wie es heute in allen PCs verwendet wird. Das Gesamtsystem bestehend aus Feststation 1 und mobilem Informationsträger 2 garantiert, dass immer nur der anwendungsspezifische Speicherblock 203 ~, 2032... 203" angesprochen werden kann.
Es ist denkbar, dass die Liste mit den Anwendungsnummern öffentlich bekannt ist. Sie lässt sich ohnehin nicht so geheim halten, dass nicht Unbefugte sie lesen können. Ausserdem ist die Anzahl der möglichen Anwendungen begrenzt. Um die Anwendungsnummer missbräuchlich herauszufinden, müssten nur alle möglichen Nummer durchprobiert werden. Wir hätten hier also ein Sicherheitsrisiko. Um dieses Sicherheitsrisiko zu minimieren, erfolgt jede Operation mit dem anwendungsspezifischen Speicher zusätzlich zur Anwendungsnummer auch mit einem anwendungsspezifischen Schlüssel, der nur der Anwendung bekannt ist. Dadurch ist höchste Sicherheit gewährleistet.
Um auf eine einfache Art den anwendungsspezifischen Speicherblock 2031, 2032 ... 203n, zu bearbeiten, sind nur 4 Funktionen vorgesehen:
Create: Speicherblock 203" für die Anwendung reservieren
Write: Daten in den Speicherblock 203" schreiben
Read: Daten aus dem Speicherblock 203" lesen
Remove: Speicherblock 203" frei geben
In der Funktion „Create" wird auch der anwendungsspezifische Schüssel definiert. Um weitere Funktionen (read, write, remove) auszuführen, muss der Schlüssel mit dem bei der „create-Funktion" definierten Schlüssel identisch sein.
In vielen Anwendungen ist es auch notwendig, dass die Applikation Information auf dem mobilen Informationsträger 2 darstellen kann, bzw. dass durch Eingabe am mobilen Informationsträger 2 der Anwender mit der Anwendung kommunizieren kann. Deshalb verfügt der mobile Informationsträger 2 dann über ein Anwenderinterface 204. Beispielsweise könnte es bei einer Anwendung als "Cash- Card" sinnvoll sein, dass der abgebuchte Betrag auf dem Anwenderinterface 204 zusammen mit einem "OK?" erscheint und der Anwender durch betätigen einer entsprechenden Taste sein Einverständnis geben muss.
Es ist möglich und auch anzunehmen, dass der Anwender über mehrere gleich gestaltete mobile Informationsträger 2, z.B. in der Form von Uhren mit unterschiedlichem Design, verfügt. Die anwendungsspezifischen Speicherblöcke dürfen aber insgesamt immer nur einmal vorhanden sein, weil sonst die Datenkonsistenz nur mit einer zentralen Verwaltung gewährleistet wäre, die aufwendig, teuer und unzuverlässig ist.
Der Anwender möchte seinen mobilen Informationsträger ähnlich wie heute ein "Portemonnaie" benutzen: er möchte einzelne Anwendungen "wegwerfen" (löschen), er möchte alle oder einzelne Anwendungen selektiv auf einen anderen mobilen Informationsträger umkopieren.
Der Anwender kann nach Eingabe eines persönlichen PIN-Codes die Namen aller Anwendungen auf dem Anwenderinterface 204 sichtbar machen. Er ist auch in der Lage, einzelne Anwendungen selektiv zu löschen. Diese Funktion wendet er nicht nur für nicht mehr gebrauchte Anwendungen an, er kann damit auch Anwendungen aktiv ausser Betrieb setzen.
Das "Umladen" von Anwendungen kann anwendergesteuert erfolgen, indem zwei mobile Informationsträger wie in Fig. 2 angetönt, nach demselben Verfahren wie oben beschrieben, kommunizieren. Der Anwender kann über das Anwenderinterface 204 den gesamten Prozess steuern. Damit diese neuen Möglichkeiten des Verschieben von Daten nicht missbraucht werden kann, muss jeder Anwender zuerst einen persönlichen PIN-Code definieren (analog einem persönlichen Schlüssel). Nur unter Verwendung dieses PIN-Codes können solche Systemfunktionen ausgeführt werden.