-
Die
Erfindung betrifft einen RFID-Chip mit einer Sende-/Empfangseinheit
zum Senden und Empfangen von Funksignalen, ein System mit dem RFID-Chip
und ein Verfahren zum Betreiben dieses Systems.
-
Automatisiert
auslesbare Funkmarken, sogenannte RFIDs ("Radio Frequency Identification"), sind wichtige
Elemente der automatischen Erkennung von Gütern und von Umgebungsparametern und
-elementen. Auf dieser Technologie sind vielfältige Anwendungsmodelle aufgebaut,
einschließlich des
automatisierten Logistikprozesses von der Herstellung bis zur Verpackungsentsorgung,
eines sog. Ticketings für
Veranstaltungen von der Reservierung bis zum Auffinden des Platzes
und zum After Sales Marketing in einem Restaurant u.v.m. Diese Anwendungsmodelle
beruhen auf der automatisierten Erkennung von RFID-Tags, die als
Kernstück
einen RFID-Chip enthalten.
-
Dabei
wird die Netzlast der für
die RFID-Chips verwendeten Funkkanäle stark steigen. Daher ist
die effiziente Übertragung
und Aufbereitung von Information für die RFID-Chips wesentlich.
Auch wird in Zukunft mit steigender Durchdringung des Marktes durch
RFID-Chips die Bedeutung der Datensicherheit steigen.
-
Es
ist daher die Aufgabe der Erfindung, eine Möglichkeit zum koordinierten
Bündeln
von RFID-Datenströmen
mit der Möglichkeit
zur Autorisierung eine RFID-Manipulation bereitzustellen.
-
Diese
Aufgabe wird durch einen RFID-Chip nach Anspruch 1, ein System nach
Anspruch 13 und ein Verfahren nach Anspruch 14 gelöst. Bevorzugte Ausgestaltungen
sind insbesondere den Unteransprüchen
allein oder in Kombination entnehmbar.
-
Dazu
wird ein RFID-Chip mit einer Sende-/Empfangsvorrichtung für Funksignale
offenbart, der eine Steuereinheit zum Erzeugen zumindest eines Steuerbefehls
zum Steuern mindestens einer weiteren Vorrichtung aufweist, wobei
der Steuerbefehl über
die Sende-/Empfangsvorrichtung ausgesandt wird. Ein solcher RFID-Chip
kann auch als aktiver RFID-Chip oder Master-RFID-Chip bezeichnet werden.
Durch diese Steuereinheit kann der Master-RFID-Chip mehrere passive
Vorrichtungen bzw. Slawe-Vorrichtungen koordiniert steuern, z. B.
automatisch zu schreiben, z. B. zu aktualisieren. Dazu braucht von
außen,
z. B. von einem zentralen Schreibgerät, nur noch der Master-RFID-Chip angesprochen
zu werden, und nicht mehr sämtliche
Slawe-Vorrichtungen. Alle weiteren zugehörigen Transaktionen mit den
Slawe-Vorrichtungen werden vom Master-RFID-Chip ausgeführt. Die
Steuereinheit des Master-RFID-Chips sorgt für eine Verteilung der Steuerbefehle
auf die Slawe-Vorrichtungen. Durch diese Methode kann eine Datenlast
signifikant verringert werden und das Behandeln großer Datenmengen
deutlich vereinfacht werden. Außerdem
lässt sich
so, wie weiter unten beschrieben, eine Autorisierung einfach erreichen.
-
Es
ist vorteilhaft, wenn der mindestens eine Steuerbefehl ein RFID-Steuerbefehl
zum Steuern mindestens eines weiteren (Slawe-)RFID-Chips ist.
-
Es
ist ferner vorteilhaft, wenn der mindestens eine RFID-Steuerbefehl ein
Steuerbefehl zum Schreiben von Daten in mindestens einen weiteren Slawe-RFID-Chip
ist. Leseoperationen wie üblich vorgenommen
werden, also nicht nur vom Master-RFID-Chip.
-
Es
ist vorteilhaft, insbesondere bei mehreren Steuermöglichkeiten,
wenn die Steuereinheit dazu eingerichtet ist, den zumindest einen
Steuerbefehls auf der Grundlage einer über die Sende-/Empfangsvorrichtung
empfangenen Instruktionsfolge zu erzeugen.
-
Die
Instruktionsfolge weist dazu vorzugsweise ein Typenfeld mit einer
Information über
die Funktion/Art der zu erzeugenden Steuerbefehle auf, z. B. mit
Broadcastfunktion. Optional kann die Instruktionsfolge beispielsweise
ein Datenfeld zum Schreiben darin enthaltender Daten in die mindestens
eine weitere Slave-Vorrichtung (wobei das Datenfeld günstigerweise
eine Zeitinformation und/oder eine Zeitverzögerungsinformation enthält), aufweisen.
dadurch können
die Slave-RFID-Chips
mit diesen Daten aktualisiert werden.
-
Vorteilhaft
ist weiter ein Adressfeld mit Adressen der mindestens einen weiteren
Vorrichtung, das so mit hoher Wahrscheinlichkeit keine nicht gewünschten
Vorrichtungen angesprochen werden.
-
Es
ist zur Erhöhung
der Datensicherheit ferner vorteilhaft, wenn die Instruktionsfolge
ferner mindestens ein Autorisierungsfeld mit einem Autorisierungscode
aufweist, der in dem Master-RFID-Chip überprüft wird, wobei bei Gültigkeit
die Befehlsfolge erzeugt wird, bei Ungültigkeit nicht. es ist zur
einfachen Auslegung des Master-RFID-Chips vorteilhaft, wenn der
Autorisierungscode eine Transaktionsnummer, TAN, ist, weil so nur
eine Vergleichsschaltung zwischen einer empfangenen TAN und einer
gespeicherten TAN notwendig ist. Es können alle bekannten TAN-Verfahren
angewendet werden, wie z. B. TAN, iTAN, Session-TAN, Challenge-Response-Verfahren und
so weiter.
-
Besonders
geeignet ist ein Master-RFID-Chip, der einen Speicher zum Speichern und
Auslesen mindestens einer TAN aufweist, sowie eine Vergleichseinheit
zur Freischaltung zumindest eines RFID-Ablaufschritts auf der Grundlage
eines Vergleichs einer im Speicher gespeicherten TAN mit einer über die
Sende-/Empfangseinheit empfangenen TAN. Vorzugsweise sind anfänglich mehrere TANs
("TAN-Liste") im Speicher gespei chert.
Die Vergleichseinheit kann somit die Funktion einer Autorisierungseinheit
ausfüllen.
-
Durch
die Verwendung von TANs wird erstens die Datensicherheit stark erhöht, da nur
derjenige, der im Besitz einer gültigen
TAN ist, Zugriff auf den Master-RFID-Chip erhält. Zweitens braucht der RFID-Chip
nur einfachen Speicher und eine einfache Vergleichseinheit aufzuweisen
anstatt einer Verschlüsselungsschaltung.
-
Wird,
in einem typischen Anwendungsfall, eine TAN zum RFID-Chip übertragen,
so wird die Vergleichseinheit die empfangene TAN mit einer gespeicherten
TAN vergleichen. Stimmen die TANs überein (was allgemein keine
Identität
der TANs bedeuten muss, sondern die Erfüllung einer vorbestimmten Beziehung
zueinander, z. B. einer mathematischen Beziehung, bedeuten kann),
schaltet der RFID-Chip die Erzeugung der Befehlsfolge frei.
-
Vorzugsweise
ist zumindest eine im RFID-Chip gespeicherte TAN mit einem Ablaufdatum versehen.
Wird von dem RFID-Chip beispielsweise mit der Instruktionsfolge
ein Datumsfeld übertragen, so
kann die Vergleichseinheit neben der eigentlichen TAN-Kennung auch
das Datum vergleichen und eine Freischaltung davon abhängig machen,
ob das übertragene
Datum in einem erlaubten Bereich liegt. Dies ist insbesondere vorteilhaft,
wenn zur Freischaltung eine Übertragung
eines Datumsfelds zwingend verlangt wird, da so eine unbefugte Handhabung
des RFID-Chips weiter erschwert wird, insbesondere, falls eine Datumseinstellung
im vorgesehenen RFID-Schreib-/Lesegerät durch den Endnutzer nicht mehr
möglich
ist.
-
Eine
unbefugte Handhabung des RFID-Chips wird alternativ oder zusätzlich auf ähnliche
Weise dadurch erschwert, dass mindestens eine im Speicher gespeicherte
TAN vorzugsweise mit einer Ortskennung versehen ist, die z. B. automatisch von
einem vorgesehenen RFID-Schreib-/Lesegerät über einen GPS-Empfänger erzeugt
und übertragen wird.
-
Auf ähnliche
Weise kann mindestens eine im Speicher gespeicherte TAN vorzugsweise
mit einer Zeitkennung versehen sein, die mit einem Inhalt eines
empfangenen Zeitfelds verglichen wird. Liegt das empfangene Zeitfenster
außerhalb
des der TAN im RFID zugeordneten Zeitfensters, erfolgt keine Freischaltung.
Dabei ist vorzugsweise eine Zeiteinstellung im vorgesehenen RFID-Schreib-/Lesegerät durch
den Endnutzer nicht mehr möglich
ist.
-
Insbesondere
um eine Handhabung des RFID-Chips durch ein nicht dazu vorgesehenes RFID-Schreib-/Lesegerät zu unterbinden,
ist die mindestens eine im Speicher gespeicherte TAN vorzugsweise
mit einer RFID-Lese-/Schreibgerät-Kennung versehen,
die zusätzlich
zur Übertragung
einer korrekten TAN zur Freischaltung benötigt wird.
-
Vorzugsweise
die Freischaltung für
eine vorbestimmte Zeit, z. B. Sekunden, und/oder eine vorbestimmte
Zahl von Ablaufschritten bzw. Aktionen gültig (analog zur sogenannten "Session-TAN"). Danach ist die Übermittlung
einer weiteren Session-TAN nötig.
-
Es
kann günstig
sein, wenn der RFID-Chip ein Mittel zum Löschen einer TAN nach einer
erfolgreichen Freischaltung durch Vergleich mit dieser TAN aufweist.
Dadurch wird die Zahl der maximal möglichen, auch unberechtigten,
Aktionen beschränkt. Dies
ist insbesondere wichtig für
das Schreiben von Daten auf den RFID. Ein mögliches Anwendungsszenario
ist das Schreiben bzw. Überschreiben
von Daten auf dem bzw. den RFID-Chip, z. B. einer RFID-Kennung oder
eines Passworts, durch einen schreibberechtigten Administrator,
und TAN-loses, d. h., beliebig häufiges,
Auslesen der Kennung durch ein zugehöriges Schreib-/Lesegerät.
-
Es
kann auch vorteilhaft sein, wenn der RFID-Chip ein Mittel zum Sperren
und/oder Löschen aller
TANs nach einer vorbestimmten Anzahl fehlgeschlagener Vergleiche
aufweist, da dies eine böswillige
RFID-Abfrage weiter unterbindet. Dadurch wird der RFID-Chip zumindest
zunächst
für solche
Ablaufschritte funktionsunfähig,
welche TANs benötigen.
-
Es
ist vorteilhaft, wenn zumindest einer TAN eine Freischaltung zumindest
eines vorbestimmten RFID-Ablaufschritts zugeordnet ist. In anderen
Worten können
bestimmten TANs bestimmte freigeschaltete Ablaufschritte zugeordnet
werden, während
anderen TANs andere Arten oder Folgen von Ablaufschritte zugeordnet
werden. Dadurch wird erreicht, dass selbst dann, wenn eine TAN geknackt
ist, diese nicht unbedingt alle möglichen Ablaufschritte zulässt. Es
können
auch Ablaufschritte möglich
sein, die ohne TANs erlaubt sind, z. B. eine Aussendung einer RFID-Kennung.
-
Es
ist insbesondere vorteilhaft, wenn der RFID-Chip eine iTAN-Anforderungsschaltung
zum Aussenden eines Anforderungsfunksignals nach einer TAN nach
Empfang eines Befehlfunksignals aufweist. Typischerweise wird ein
solcher RFID-Chip beim sogenannten iTAN-Verfahren zum Einsatz kommen,
das von der vorliegenden Erfindung als eine spezielle Art von TAN-Verfahren
umfasst ist. Dabei wird durch den RFID-Chip, typischerweise nach Empfang
einer Instruktionsfolge oder einer Instruktionsankündigungsfolge,
eine bestimmte TAN (z. B: "TAN
Nr. 5") vom RFID-Schreib-/Lesegerät angefordert,
die mit einer im RFID-Chip gespeicherten TAN zu vergleichen ist.
iTANs weisen den Vorteil auf, dass vermieden wird, dass dann, wenn
Teile einer TAN-Liste bekannt werden, automatisch alle mit dieser
TAN-Liste bestückten
RFIDs als gehackt gelten. Je nach Größe der Liste und dem Grad der
Kompromittierung kann immer noch ein zufriedenstellendes Sicherheitsniveau
vorhanden sein, insbesondere unter Verwendung einer oder mehrerer
der oben angeführten
weiteren Freischaltungsbedingungen, wie Zeit, Datum, Ort, Leserkennung
und so weiter.
-
In
einer Ausführungsform
sind alle möglichen
TANs (TAN, iTAN usw.) im RFID-Schreib-/Lesegerät gespeichert, so dass dieses
autonom eine richtige TAN (beim einfachen TAN-Verfahren) oder die angeforderte
TAN (beim iTAN-Verfahren) aussuchen und an den RFID-Chip übertragen
kann.
-
Eine
höhere
Manipulationssicherheit wird mittels des Einsatzes eines Challenge-Response-Verfahren
erreicht, z.B. dadurch, dass eine TAN (TAN, iTAN usw.) durch das
RFID-Schreib-/Lesegerät von einer
externen TAN-Datenbank angefordert werden muss. Dazu wird vorzugsweise
eine sichere Verbindung zu einer Rechnereinheit aufgebaut, welche
Zugriff auf die externen TAN-Datenbank besitzt. Günstigerweise
muss sich das RFID-Schreib-/Lesegerät bei der
Rechnereinheit authentifizieren, z. B. durch Übersenden einer Kennung des
Schreib-/Lesegeräts.
Zusätzlich
können
eine RFID-Kennung, eine vorgesehene Transaktion und/oder andere
Daten übertragen
werden, die zur Auswahl einer gültigen
TAN benötigt
werden. Die Nutzung einer zentral verwalteten Datenbank, z. B. in einem
Trustcenter, kann unkontrolliertes Ausprobieren und Denialof-Service
(DOS)-Angriffe am wirkungsvollsten verhindern.
-
Zur
Absicherung der Kommunikation zwischen Master-RFID-Chip und den
Slawe-Vorrichtungen kann ebenfalls die TAN-Methode zum Einsatz kommen.
Alternative umfasst der Steuerbefehl einen Autorisierungscode in
Form einer Kennung des Master-RFID-Chips, wobei die Slawe-RFID-Chips nur
bei einer oder mehreren bestimmten Kennungen Steuerbefehle, insbesondere
Schreibbefehle, ausführen.
-
Die
Aufgabe wird auch durch ein System aus mindestens einem Master-RFID-Chip
und mehreren vom RFID-Chip angesteuerten Slawe-Vorrichtungen gelöst, insbesondere
weiteren, passiven RFID-Chips, wobei die mehreren vom Master-RFID-Chip
angesteuerten weiteren Vorrichtungen daran angepasst sind, bei Empfang
eines Steuerbefehls des Master-RFID-Chips die darin ent haltenden Instruktionen
auszuführen,
insbesondere im Steuerbefehl enthaltene Daten zu schreiben, und
bei Empfang eines Lesesignals die zum Lesesignal gehörigen Daten
auszusenden.
-
Die
Aufgabe wird auch durch ein Verfahren zum Betreiben eines solchen
Systems gelöst,
wobei, z. B. von einem zentralen Schreibgerät, an den Master-RFID-Chip
eine Instruktionsfolge gesendet wird, welche die darin enthaltene
Steuereinheit dazu veranlasst, zumindest einen Steuerbefehl zum
Steuern der mindestens einen weiteren Slave-Vorrichtung zu erzeugen.
-
Vorzugsweise
werden die Instruktionsfolge und/oder der mindestens eine Steuerbefehl
gesichert übertragen.
-
In
dem folgenden Ausführungsbeispiel
ist ein Aspekt der Erfindung schematisch näher ausgeführt.
-
1 zeigt
dazu eine Skizze eines System mit Master-RFID-Chip, Slave-RFID-Chips und zentralem
Schreibgerät.
-
In 1 ist
ein Master RFID-Chip 1 mit einer mit einer Sende-/Empfangseinheit 2 zum
Senden und Empfangen von Funksignalen 3 dargestellt. Der RFID-Chip 1 weist
weiterhin eine Steuereinheit 4 zum Erzeugen zumindest eines
Steuerbefehls zum Steuern mindestens einer weiteren Slave-Vorrichtung 5 auf,
wobei der Steuerbefehl über
die Sende-/Empfangsvorrichtung 2 ausgesandt wird.
-
Die
Steuereinheit 4 ist dazu eingerichtet, den zumindest einen
Steuerbefehl mittels einer über
die Sende-/Empfangsvorrichtung 2 von einer zentralen Schreibeinheit 6 empfangenen
Instruktionsfolge zu erzeugen.
-
Die
Instruktionsfolge weist in diesem Ausführungsbeispiel auf:
- – ein
Typenfeld mit einer Information über
die Funktion der zu erzeugenden Steuerbefehle aufweist, wobei die
Funktion eine Broadcast-Funktion ist und als solche gekennzeichnet
ist;
- – ein
Autorisierungsfeld mit einem Autorisierungscode in Form einer TAN,
die, falls korrekt, die Erzeugung von Steuerbefehlen durch die Steuereinheit
freischaltet bzw. autorisiert;
- – ein
Adressfeld mit Adressen der anzusprechenden Slave-RFID-Chips; diese
Adressfelder können
z. B. während
der Herstellung fest eingearbeitet oder später auf den Master-RFID-Chip 1 geschrieben
werden, z. B. mittel einer bestimmten Instruktionsfolge.
- – ein
Datenfeld mit einer Zeitinformation.
-
Der
an die Slave-RFID-Chips 5 ausgesandte Steuerbefehl (nicht
dargestellt) umfasst einen Autorisierungscode, insbesondere eine
Kennung des Master-RFID-Chips 1. Die Slave-RFID-Chips 5 sind
dazu eingerichtet, die empfangene Befehlsfolge nur bei richtiger
Kennung durchzuführen.
-
Ein
mögliches
Szenario ist eine Eingangskontrolle für Warenpaletten, bei der sämtliche RFID-Tags 5 mit
einem Eingangszeitstempel zu versehen sind. Es ist zeitaufwändig und
fehleranfällig, dies
von einer zentralen Schreibeinheit 6 aus für jeden
RFID-Tag einzeln durchzuführen.
Wird je Palette ein aktiver bzw. Master-RFID-Chip 1 verwendet,
der in der Lage ist, ein Broadcasting für die RFID-Tags 5 durchzuführen, so
muss nur noch dieser von der zentralen Schreibeinheit 6 angesprochen
werden, um alle RFID-Tags mit einem Zeitstempel zu versehen.
-
Die
Funktion des Typenfelds umfasst in diesem Fall die Information,
dass ein Broadcasting durchzuführen
ist zum Schreiben eines Speicherbereichs, und die Zeitinformation
entspricht dann dem Eingangszeitpunkt bzw. -datum. Die von der zentralen
Schreibeinheit 6 mit der Instruktionsfolge auszusendende
TAN kann z. B. mit einem Lieferschein oder einer Auftragsbestätigung geliefert
werden. Die Information über
das Eingangsdatum kann von jedem Lesegerät ausgelesen, aber nicht geändert werden.
-
Selbstverständlich ist
die Erfindung nicht auf die genauer dargestellten Ausführungsformen
beschränkt.
-
- 1
- Master-RFID-Chip
- 2
- Sende-/Empfangseinheit
- 3
- Funksignal
- 4
- Steuereinheit
- 5
- Slave-Vorrichtung
- 6
- zentrale
Schreibeinheit