-
Die
Erfindung betrifft ein Verfahren und eine Vorrichtung zur Fälschungssicherung
eines Produkts mit einem dem Produkt zugeordneten Transponder, auf
welchem mindestens eine eindeutige Identifikationskennung abgespeichert
wird.
-
In
vielen Fällen
sind Produktfälschungen
von Originalprodukten auf einen ersten Blick nicht oder nur schwer
unterscheidbar. Durch Fälschungen
entsteht den Herstellern von Originalprodukten jährlich jedoch ein Schaden in
einer unakzeptablen Höhe.
Es besteht daher der Wunsch, Produkte oder allgemein Waren so zu
kennzeichnen, dass Originalprodukte von Fälschungen auf einfache Weise
schnell und eindeutig unterscheidbar sind.
-
Um
einen Warenfluss zu überwachen,
finden vielfach kontaktlose Identifikationssysteme oder so genannte
Radio-Frequency-Identification (RFID)-Systeme Verwendung. Ein derartiges
System besteht üblicherweise
aus einer Basisstation bzw. einem Lesegerät oder einer Leseeinheit und
einer Vielzahl von Transpondern oder Remote-Sensoren (Tags), die sich gleichzeitig
im Ansprechbereich der Basisstation befinden. Die Transponder bzw.
deren Sende- und Empfangseinrichtungen verfügen im Regelfall nicht über einen
aktiven Sender für
die Datenübertragung
zur Basisstation. Nicht aktive Transponder werden als passive Transponder
bezeichnet, wenn sie keine eigene Energieversorgung aufweisen, und
als semipassive Transponder bezeichnet, wenn sie eine eigene Energieversorgung
aufweisen. Passive Transponder entnehmen die zu ihrer Versorgung
benötigte
Energie dem von der Basisstation emittierten elektromagnetischen
Feld.
-
Zur
Datenübertragung
von einem Transponder zur Basisstation mit UHF oder Mikrowellen
im Fernfeld der Basisstation wird in der Regel die so genannte Backscatter-
oder Rückstreukopplung
eingesetzt. Hierzu werden von der Basisstation elektromagnetische
Trägerwellen
emittiert, die durch die Sende- und Empfangseinrichtung des Transponders
entsprechend den an die Basisstation zu übertragenden Daten mit einem
Modulationsverfahren moduliert und reflektiert werden. Typische
Modulationsverfahren sind die Amplitudenmodulation, die Phasenmodulation
und die Amplitude-Shift-Keying(ASK)-Unterträgermodulation, bei der die
Frequenz oder die Phasenlage des Unterträgers geändert wird.
-
In
dem Normungsvorschlag ISO/IEC_CD 18000-6C vom 07.01.2005 ist ein
Zugriffssteuerungsverfahren für
Transponder beschrieben. Der Transponder wird hierbei zunächst in
einem Auswahl- bzw. Arbitrierungsverfahren aus einer Menge von Transpondern
ausgewählt.
Bei dem beschriebenen Auswahlverfahren handelt es sich um ein stochastisches Verfahren
in Form eines slotbasierten ALOHA-Verfahrens. Derartige Auswahlverfahren
sind ausführlich beispielsweise
in dem Lehrbuch Klaus Finkenzeller, RFID-Handbuch, 3. Aufl., HANSER,
2002, beschrieben.
-
Wenn
der Transponder ausgewählt
bzw. selektiert oder vereinzelt ist, sendet die Leseeinheit eine
Anfrage an den Transponder in Form einer Rückübermittlung einer zuvor im
Rahmen des Arbitrierungsverfahrens durch den Transponder übertragene
Zufallszahl, worauf der Transponder Protokollsteuerbits (PC) und
eine Identifikationskennung in Form eines sogenannten elektronischen
Produktcodes (EPC) an die Leseeinheit überträgt. Die Protokollsteuerbits
beinhalten Informationen bezüglich
einer physikalischen Schicht der Übertragungsstrecke. Die Kennung
bzw. der elektronische Produktcode EPC bildet unter anderem ein
durch den Transponder gekennzeichnetes Produkt ab. Die Zuordnung vom
EPC zu dem gekennzeichneten Produkt ist standardisiert, so dass
aus der Kenntnis der EPC auf das Produkt geschlossen werden kann.
-
Auf
dem Transponder können
eine Vielzahl an Identifikationskennungen wie der EPC, eine transponderspezifische
Identifikationskennung, die sogenannte Tag-ID, und/oder eine kommunikationsspezifische
Identifikationskennung wie eine Schlüssel- oder Key-Identifikation
abgelegt sein. Es ist beispielsweise auch denkbar, dass ein Hersteller
seine Produkte mit einer bestimmten Hersteller-Identifikationskennung
kennzeichnet. Durch Auslesen einer oder mehrerer Identifikationskennung(en)
aus einem Transponder und Verwendung dieser Identifikationskennung(en)
auf einem weiteren Transponder zur Kennzeichnung eines Produkts
ist es jedoch möglich, gefälschte Produkte
als sogenannte Klone der Originalprodukte auf den Markt zu bringen.
-
Aus
der
EP 1 742 166 A1 ist
es daher bekannt, auf dem Transponder ein setzbares Kennungsauswahlkriterium
vorzusehen, wobei wenn das Kennungsauswahlkriterium gesetzt ist,
ein Zugriff auf den EPC nur nach Senden eines Passworts möglich ist.
-
Um
Fälschungen
von Originalprodukten anhand einer Identifikationskennung auch bei
Klonen zu unterscheiden kann unter Verwendung einer geeigneten Datenbasis
ein Datenabgleich durchgeführt werden.
Dadurch lässt
sich feststellen, ob beispielsweise eine nur einmal vergebene transponderspezifische
Identifikationskennung schon an anderer Stelle gesichtet wurde und/oder
ob aus anderen Gründen, beispielsweise
aufgrund von Unschlüssigkeiten
in der Historie, auf eine Fälschung
zu schließen
ist. In anderen Worten, es werden durch den Datenabgleich bestimmte
Indizien gesammelt, welche auf eine Fälschung schließen lassen,
eine Sicherung der Originalprodukte ist dadurch jedoch nicht gegeben. Ein
(globaler) Datenabgleich und eine Analyse der Daten zum Aufspüren von
Fälschungen
ist daher nur mit hohem Aufwand möglich.
-
Ein
globaler Datenabgleich hat zudem einen Zielkonflikt als Folge: Zum
einen wird die Identifikationskennung möglichst bereit publiziert,
um so einen Klon möglichst
schnell aufspüren
zu können,
zum anderen wird jedoch durch diese breite Publikation ein Auslesen
der Identifikationskennung und ein Herstellen eines Klons vereinfacht.
-
Um
zu vermeiden, dass ein Transponder für einen Klon verwendet wird,
ist es bekannt, den Transponder bereits bei der Herstellung eine
eindeutige transponderspezifische Identifikationskennung zu zuordnen,
welche hardwaretechnisch gegen ein Überschreiben gesichert ist.
Ein derartiger Transponder ließe
sich daher nicht durch Überschreiben
der transponderspezifischen Identifikationskennung für eine Fälschung
verwenden. Transponder, welche ohne Schreibschutz gefertigt werden,
können
jedoch weiterhin in den entsprechenden Speicherbereichen überschrieben
werden.
-
Es
ist Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung
zur Fälschungssicherung
eines Produkts mit einem dem Produkt zugeordneten Transponder zu
schaffen.
-
Diese
Aufgabe wird gelöst
durch ein Verfahren zur Fälschungssicherung
eines Produkts mit einem dem Produkt zugeordneten, Transponder,
auf welchem mindestens eine eindeutige, transponderspezifische Identifikationskennung,
die ein Sicherungselement, wie eine Prüfziffer oder ein Polynom zur
Fehlerkorrektur, enthält,
abgespeichert wird, wobei der Identifikationskennung eine Markierung
in einem gesetzten oder einem gelöschten Zustand zugeordnet wird
und bei gesetzter Markierung ein Lesezugriff auf die Identifikationskennung
durch ein Lesegerät
nur nach einer Authentifikation zugelassen wird.
-
Insbesondere
bei einem Sichern der Identifikationskennung gegen Löschen ist
eine Manipulation der Nummer durch eine fehlerhafte Prüfziffer
dabei auf einfache Weise erkennbar.
-
Ein
Lesezugriff auf die transponderspezifische Identifikationskennung,
wie beispielsweise eine eindeutige Transponder-Seriennummer, ist
bei gesetzter Markierung erfindungsgemäß nur nach erfolgreicher Authentifikation,
d.h. einer erfolgreichen Identitätsüberprüfung, möglich. Eine
Authentifikation erfolgt beispielsweise gemäß dem bereits genannten Standard
ISO/IEC_CD 18000-6C. Sendet ein Lesegerät bei einer gesetzten Markierung
einen Lesebefehl für
die Identifikationskennung, so antwortet der Transponder mit einer
Fehlerkennung oder sendet keine Antwort, solange keine Authetifikation
erfolgt ist.
-
Je
nach Anwendungsfall, ist auch die Sperrung eines Lesezugriffs auf
weitere Identifikationskennungen, beispielsweise den EPC, vorteilhaft.
-
Beispielsweise
ist es bei freier Lesbarkeit des EPC auf einfache Weise durch Anbringen
eines Lesegeräts
im entsprechenden Umfeld möglich,
auf den Inhalt eines Containers zu schließen und so wertvolle Produkte
oder dergleichen auf einfache Weise aufzuspüren.
-
Bei
der Markierung (engl. Flag) handelt es sich in einer Ausgestaltung
der Erfindung um mindestens eine binäre Variable, welche zumindest
zwei Zustände, üblicherweise
0 und 1, annehmen kann. Der 0-Zustand wird dabei im Regelfall als
gelöschte
Markierung und der 1-Zustand als gesetzte Markierung bezeichnet.
In anderen Ausgestaltungen ist jedoch eine umgekehrte Zuordnung
der Zustände
möglich.
-
In
Weiterbildung der Erfindung wird die Markierung in einem nicht reprogrammierbaren Speicherbereich
gesetzt und/oder nach einem Setzen hardwaretechnisch gegen ein Überschreiben
gesichert. Bei dem Speicherbereich handelt es sich beispielsweise
um einen nicht flüchtigen
Speicherbereich, welcher nur einmalig beschreibbar ist (One Time
Programmable OTP). Ein Setzen der Markierung und/oder ein Sichern
gegen Überschreiben,
d.h. ein sogenanntes Locken, erfolgt vorzugsweise bereits bei einer
Herstellung des Transponders. Es ist jedoch auch denkbar, dass die
Markierung erst zu einem späteren
Zeitpunkt gesetzt wird.
-
In
einer anderen Ausgestaltung der Erfindung wird eine emulierte Markierung
verwendet wird, wobei mindestens ein Bit der Identifikationskennung verwendet
wird, um eine Markierung der Identifikationskennung zu emulieren.
In anderen Worten wird bei einem Emulieren der Markierung diese
durch ein Bit der Identifikationskennung „nachgebildet", ohne dass auf dem
Transponder gesonderte Speicherbereiche für die Markierung vorzusehen
sind. Für
die Verknüpfung
sind beispielsweise AND- und/oder XOR-Verknüpfungen denkbar. In einer Ausgestaltung
werden die Bits der Identifikationskennung auf einen D-FlipFlop
geschaltet, wobei ein gesetzter Zustand emuliert wird, wenn mindestens
ein Bit der Identifikationskennung gesetzt ist.
-
In
einer weiteren Ausgestaltungen wird die Identifikationskennung in
einem geschützten Speicherbereich
abgelegt wird, wobei der Speicherbereich nur nach einer Authentifikation
zugänglich ist.
Beispielsweise ist es denkbar, die Identifikationskennung in einem
Speicherbereich abzulegen, welcher nur durch Befehle des genannten
Standards adressierbar ist, welche eine vorherige Authentifikation
benötigen.
Bei gesetzter Markierung wird dann eine weitere Sicherungsebene
für den
Zugriff auf die Identifikationskennung eingebaut, welche beispielsweise
ein weiteres Passwort oder einen bestimmten Befehl verlangt.
-
In
einer weiteren Ausgestaltung der Erfindung wird die Identifikationskennung
in einem versteckten Speicherbereich abgelegt, wobei die Adresse
des Speicherbereichs nicht öffentlich
gemacht wird und/oder ein Zugriff auf den Speicherbereich einen
nicht öffentlich
gemachten Befehl erfordert. Ein Auslesen der Identifikationskennung
aus dem versteckten Speicherbereich (Shadow-Speicher) ist dabei
nur durch Kenntnis der Adresse und/oder des geheimen Befehls möglich.
-
In
einer weiteren Ausgestaltung der Erfindung wird die Identifikationskennung
in einen nicht reprogrammierbaren Speicherbereich des Transponders
geschrieben und/oder hardwaretechnisch gegen ein Überschreiben
und/oder ein Löschen
gesichert. Die Identifikationskennung des Transponders ist daher
nicht beliebig durch einen Nutzer änderbar. Bei einer Sicherung
gegen Löschen
können
binäre Zellen,
welche gesetzt sind, d.h. im Regelfall auf 1 stehen, nicht gelöscht, d.h.
auf 0 gesetzt werden. Dadurch ist es zwar möglich, eine Identifikationsnummer
zu manipulieren, nicht jedoch eine beliebige Identifikationsnummer
auf den Transponder zu schreiben.
-
In
einer vorteilhaften Weiterbildung wird die Identifikationskennung
bei einer Herstellung, insbesondere bei einem Wafertest, auf den
Transponder geschrieben. Nach der Herstellung, insbesondere nach
dem Messtechnikvorgang (Wafertest) ist die Identifikationsnummer
nicht mehr löschbar
oder änderbar.
-
In
einer vorteilhaften Weiterbildung wird die Identifikationskennung
aus Daten betreffend eine Losnummer, eine Wafernummer und/oder eine
Position auf dem Wafer gebildet. Aus der Identifikationskennung
sind dann im Umkehrschluss durch berechtigte Nutzer die entsprechenden
Informationen entnehmbar.
-
In
einer weiteren Ausgestaltung der Erfindung wird die Identifikationskennung
auf dem Transponder verschlüsselt
abgelegt. Ein verschlüsseltes Ablegen
der Identifikationskennung ist beispielsweise dann vorteilhaft,
wenn eine Tarnung der Produkte von Interesse ist.
-
Im
Herstellungsprozess findet ein Beschreiben des Transponders mit
einer transponderspezifischen Identifikationskennung üblicherweise
vor einem Beschreiben mit einer produktspezifischen Identifikationskennung,
beispielsweise einem EPC statt. Dies wird in einer weiteren Ausgestaltung
der Erfindung ausgenutzt, wobei die Identifikationskennung eine
transponderspezifische Identifikationskennung ist und ein EPC zumindest
teilweise unter Verwendung der transponderspezifischen Identifikationskennung
gebildet wird. Manipulationen an der Identifikationskennung sind
dabei durch fehlende Übereinstimmung
mit einem zugehörigen
EPC erkennbar. Insbesondere bei einem erweiterten EPC, welcher außer den
bislang gemäß Standard
im EPC vorgesehenen Informationen, weitere Informationen beinhaltet,
ist ein derartiges Zusammenwirken der Kennungen implementierbar.
Als erweiterter EPC wird im Sinne der Erfindung auch die Kombination
aus EPC und den Protokoll-Kontrollbits
PC oder den erweiterten Protokoll-Kontrollbits XPC verstanden. Bei
Verwendung eines erweiterten EPC ist es in einer weiteren Ausgestaltung
denkbar, dass ein symmetrisches Passwort für eine Authetifikation durch
den EPC zur Verfügung
gestellt wird. Für
die Übertragung
wird das Passwort dabei verschlüsselt,
beispielsweise durch eine asymmetrische Verschlüsselung
-
Die
Aufgabe wird weiter gelöst
durch einen Transponder zur Fälschungssicherung
eines dem Transponder zugeordneten Produkts, auf welchem mindestens
eine eindeutige, transponderspezifische Identifikationskennung abgespeichert
ist, wobei der Identifikationskennung eine Markierung in einem gesetzten
oder einem gelöschten
Zustand zugeordnet ist, bei gesetzter Markierung ein Lesezugriff
auf die Identifikati onskennung durch ein Lesegerät nur nach einer Authentifikation
zugelassen ist und die Identifikationskennung ein Sicherungselement,
wie eine Prüfziffer
oder Polynom zur Fehlerkorrektur, enthält.
-
Die
Markierung umfasst in einer Ausgestaltung eine binäre Variable.
Alternativ oder zusätzlich kann
als Markierung eine emulierte Markierung vorgesehen sein.
-
Weitere
Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung
eines Ausführungsbeispiels
der Erfindung, das in den Zeichnungen schematisch dargestellt ist.
Für gleiche
Bauteile werden dabei einheitliche Bezugszeichen verwendet.
-
Die
Figuren zeigen:
-
1:
eine schematische Darstellung einer Speicherstruktur eines Transponders,
-
2:
eine schematische Darstellung eines Zugriffsablaufs auf eine abgelegte
Identifikationskennung und
-
3:
eine schematische Darstellung eines Schaltkreises für eine Emulation
einer Markierung.
-
1 zeigt
schematisch einen Transponder T eines nicht weiter dargestellten
RFID-Systems. Bei dem Transponder T handelt es sich beispielsweise um
ein ISO/IEC18000-6C-konformen Transponder. Der Transponder T weist
dabei vier Speicherebenen oder Speicherbereiche auf, nämlich einen
reservierten Bereich R, einen EPC-Speicherbereich EPC, einen Transponderidentifikationsbereich
TID und einen Anwendungsbereich USER. In dem dargestellten Ausführungsbeispiel
ist weiter ein Schatten-Speicherbereich S (Shadow-Speicher) vorgesehen,
welcher nur durch bestimmte Befehlsfolgen und/oder unter Kenntnis
eines zugehörigen,
nicht publizierten Adresszeigers adressierbar ist. In dem Schatten-Speicherbereich
S ist eine Identifikationskennung ID abgelegt, durch welche der
Transponder T eindeutig identifizierbar ist. In anderen Ausgestaltungen
der Erfindung kann eine eindeutige produktspezifische Identifikationskennung
beispielsweise im EPC-Speicherbereich EPC oder im Transponderidentifikationsbereich
TID abgelegt werden. Zum Ablegen weiterer Daten wird üblicherweise
der Anwendungsbereich USER verwendet.
-
2 zeigt
schematisch einen Zugriff auf eine Identifikationskennung ID, welche
in dem in 1 dargestellten Schattenspeicherbereich
S abgelegt ist. Der Identifikationskennung ID ist eine Markierung
(engl. Flag) F zugeordnet. Ist die Markierung F gelöscht, d.h.
im dargestellten Ausführungsbeispiel auf
0 gesetzt, so ist ein Lesezugriff auf die Identifikationskennung
ID direkt möglich.
Ist die Markierung F dagegen gesetzt, d.h. im Ausführungsbeispiel
auf 1 gesetzt, so ist ein Lesezugriff auf die Identifikationskennung
durch ein nicht dargestelltes Lesegerät nur nach einer erfolgreichen
Authentifikation A möglich.
-
Für einen
Lesezugriff auf die Identifikationskennung ID ist eine Adressierung
des entsprechenden Speicherbereichs in dem Schatten-Speicherbereich S
notwendig. Ohne Kenntnis der Adresse des Speicherbereichs ist ein
Auslesen der Identifikationskennung ID auch bei einer gelöschten Markierung
F nur schwer möglich.
In einer Ausgestaltung der Erfindung wird die Adresse des Speicherbereichs,
in welchem die Identifikationskennung gespeichert ist, daher nur
ausgewählten
Personen oder Personengruppen bekannt gemacht.
-
Als
Markierung F kann eine binäre
Variable auf dem Transponder T abgespeichert sein, welche vorzugsweise
durch geeignete Maßnahmen
gegen ein Überschreiben
gesichert ist. In anderen Ausgestaltungen wird die Markierung emuliert.
-
3 zeigt
schematisch einen Schaltkreis C für eine Emulation einer Markierung
F. Der Speicherinhalt der Identifikationskennung ID wird zu diesem Zweck
bei einem Lesebefehl r durch geeignete logische Verknüpfungen
verknüpft,
so dass auf einen Zugriffsversuch durch den Lesebefehl mit einem
Fehlercode E geantwortet wird. Erst nach einer erfolgten Authentifikation
wird ein Lesezugriff freigegeben. Eine Emulation der Markierung
F ist beispielsweise durch eine AND-Verknüpfung der Bits der Identifikationskennung
ID mit einem Taktsignal (Clock-Signal) und einem nachgeschalteten
D-FlipFlop denkbar. Ist mindestens ein Bit der Identifikationskennung
gesetzt, so wird dabei eine gesetzte Markierung „emuliert". In anderen Ausgestaltungen sind andere
Verknüpfungen
denkbar.
-
Der
Transponder T gemäß 1 kann
direkt auf einem Produkt wie beispielsweise einem Kleidungsstück oder
einer zugehörigen
Verpackung aufgebracht werden. Sämtliche
den Produkt- oder Warenfluss des entsprechenden Produkts kennzeichnenden
Daten können
dabei auf dem Transponder abgelegt werden. Dadurch ist es zu jedem
Zeitpunkt möglich,
Informationen über
das Produkt, beispielsweise das Kleidungsstück, zurückzuverfolgen. Dank dieser
Rückverfolgbarkeit
ist es auch möglich,
Fälschungen
von Originalprodukten zu unterscheiden. So können beispielsweise Kleidungsstücke in einem beliebigen
Land gefertigt und mit Transpondern bestückt werden. Werden die Kleidungsstücke anschließend beispielsweise
in einem Container oder der gleichen in andere Länder verschickt, so lassen sich
dort durch Auslesen der Transponder auf einfache Weise Fälschungen
von Originalprodukten bereits im Container unterscheiden.