EP1817752A2 - Method for personalising chip cards - Google Patents

Abstract

The invention relates to a method for personalising a chip card (CHIPK), whereby key information (KEY1) is stored in a memory (MEM) of the chip card (CHIPK) for the purposes of a partial personalisation. For a complete personalisation, an instruction sequence definition (BSD) and an instruction sequence designed for a chip card application and comprising instructions to be carried out by the chip card (CHIPK) are transmitted to the chip card (CHIPK). According to the inventive method, a check which is secured by the key information (KEY1) is carried out for each chip card instruction (B1, B2, B3, B4, B5) in order to determine whether the chip card instruction (B1, B2, B3, B4, B5) satisfies the instruction sequence definition (BSD), and if it does, the respective chip card instruction (B1, B2, B3, B4, B5) is carried out by the chip card (CHIPK).

Description

Beschreibungdescription

Verfahren zur Personalisierung von ChipkartenMethod for personalizing smart cards

Eine Personalisierung von Chipkarten, bei der karten- und/oder personenindividuelle Daten auf eine jeweilige Chipkarte aufgespielt werden, wird bisher meist in gesicherten Personalisierungszentren bei einem Hersteller der Chipkarte, bei einer Zertifizierungsstelle oder bei einem vertrauenswür- digen Diensteanbieter durchgeführt.A personalization of chip cards, in which card and / or person individual data are loaded onto a respective chip card, has hitherto generally been carried out in secured personalization centers at a manufacturer of the chip card, at a certification authority or at a trustworthy service provider.

In einem solchen Personalisierungszentrum werden kundenspezifisch vorgebbare Personalisierungsdaten, z. B. ein Name eines Anwenders, dessen Kontonummer oder weitere kundenspezifische Daten oder Applikationen, auf die Chipkarte gespielt. DieIn such a personalization center customizable personalization data, such. As a name of a user whose account number or other customer-specific data or applications played on the smart card. The

Personalisierungszentren, sind üblicherweise durch Verwendung von elektronischen, mechanischen Sicherheitsmechanismen und/oder organisatorischen Maßnahmen gegen unbefugte Manipulationen gesichert, da in ihnen sicherheitsrelevante Daten (z.B. persönliche Daten des Anwenders der Chipkarte, PINs, etc.) verarbeitet werden, und ein Bekanntwerden von Informationen an Unbefugte sowie eine Einflussnahme von Unbefugten auf den Vorgang der Personalisierung zu vermeiden ist.Personalization centers, are usually secured by the use of electronic, mechanical security mechanisms and / or organizational measures against unauthorized manipulation, since in them security-relevant data (eg personal data of the user of the chip card, PINs, etc.) are processed, and a disclosure of information to unauthorized persons and an influence of unauthorized persons on the process of personalization is to be avoided.

Wird, wie z.B. bei Chipkarten zu Identifizierung von Personen, ein Maximum an Sicherheit - insbesondere gegenüber Manipulation oder Fälschung der gespeicherten Daten auf der Chipkarte - gefordert, dann ist bisher üblicherweise die Personalisierung in gesicherten Personalisierungszentren auszufüh- ren.If, for example in the case of chip cards, for identification of persons, maximum security - in particular against manipulation or forgery of the stored data on the chip card - is demanded, then so far usually the personalization in secured personalization centers has to be carried out.

Eine Personalisierung in ungesicherter Umgebung außerhalb von Personalisierungszentren wird bisher nur bei Chipkarten mit geringen Sicherheitsanforderungen durchgeführt.Personalization in an unsecured environment outside of personalization centers has so far been performed only on smart cards with low security requirements.

Eine Personalisierung einer Chipkarte umfasst üblicherweise eine Aktivierung einer oder mehrerer Anwendungen auf der Chipkarte zusammen mit einer Generierung von Sicherungsschlüsseln und/oder Sicherungsschlüsselpaaren, z.B. sog. symmetrischen Schlüsseln oder RSA-Schlüsseln (RSA: Verschlüsselungsalgorithmus benannt nach den Erfindern Rivest, Shamir und Adleman) . Dabei erweist sich die Generierung von Sicherungsschlüsselpaaren im Vergleich zu den restlichen Persona- lisierungsschritten als sehr aufwendig. Somit wird die Anzahl der bearbeiteten Chipkarten in einem gegebenen Zeitraum in einem Personalisierungszentrum in erheblicher Weise von einer Generierungszeit der Sicherungsschlüssel der jeweiligen Chipkarten beeinflusst.Personalization of a smart card typically involves activating one or more applications on the smart card Chip card together with a generation of security keys and / or security key pairs, eg so-called symmetric keys or RSA keys (RSA: encryption algorithm named after the inventors Rivest, Shamir and Adleman). The generation of backup key pairs proves to be very expensive compared to the remaining personalization steps. Thus, the number of smart cards processed in a given period of time in a personalization center is significantly affected by a generation time of the security keys of the respective smart cards.

Die Personalisierung einer Chipkarte kann häufig nicht in einer einzigen Personalisierungssitzung abgeschlossen werden, da zum Ausgabezeitpunkt der Chipkarte noch nicht vollständig bekannt ist, welche Anwendungen auf die Chipkarte gespielt und auf der Chipkarte installiert werden sollen. Außerdem besteht bei Multiapplikationschipkarten, die mehrere Anwendungen enthalten können, der Bedarf über die Benutzungsdauer der Chipkarte hinweg Anwendungen zu aktivieren. Gemäß dem bisherigen Stand der Technik ist hierzu die Chipkarte ein weiteres Mal in das gesicherte Personalisierungszentrum zu bringen, sofern dies die jeweiligen Sicherheitsvorgaben erfordern.The personalization of a smart card can often not be completed in a single personalization session, since at the time of issue of the smart card is not yet completely known which applications are to be played on the smart card and installed on the smart card. Additionally, with multi-application chip cards, which may include multiple applications, there is a need to activate applications over the life of the smart card. According to the prior art, this is the chip card to bring once more in the secure personalization center, if required by the respective security requirements.

Es ist Aufgabe der vorliegenden Erfindung, ein flexibles Verfahren zur Personalisierung von Chipkarten bereitzustellen.It is an object of the present invention to provide a flexible method for personalizing smart cards.

Gelöst wird diese Aufgabe durch ein Verfahren mit den Merkma- len des Patentanspruchs 1. Vorteilhafte Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen angegeben.This object is achieved by a method having the features of claim 1. Advantageous embodiments of the invention are specified in the dependent claims.

Bei dem erfindungsgemäßen Verfahren wird zur Personalisierung einer Chipkarte im Rahmen einer - vorzugsweise in einem gesi- cherten Personalisierungszentrum durchzuführenden - Teilper- sonalisierung eine Schlüsselinformation, z.B. bestehend aus einem kartenindividuellen Secure-Messaging-Schlüssel und/oder einem Authentifizierungsschlüssel, in einem, vorzugsweise nichtflüchtigen, Speicher der Chipkarte gespeichert. Ein derartiger, nichtflüchtiger Speicher kann z.B. als EEPROM auf der Chipkarte realisiert sein. Erfindungsgemäß wird im Rahmen einer ergänzenden Personalisierung, die auch in ungesicherter Umgebung ausgeführt werden kann, eine Befehlssequenzdefinition und eine, eine Chipkartenanwendung einrichtende Befehlssequenz, mit durch die Chipkarte auszuführenden Chipkartenbefehlen, auf die Chipkarte übertragen. Weiterhin erfolgt für einen jeweiligen Chipkartenbefehl dieser Befehlssequenz eine die Schlüsselinformation verwendende und dadurch gesicherte Prüfung, ob dieser Chipkartenbefehl der Befehlssequenzdefinition genügt. Falls das zutrifft, wird der betreffende Chipkartenbefehl durch die Chipkarte ausgeführt.In the method according to the invention, for the personalization of a chip card in the context of a partial personalization to be carried out, preferably in a secure personalization center, key information, eg comprising a card-specific secure messaging key and / or an authentication key, stored in a, preferably non-volatile, memory of the chip card. Such a nonvolatile memory can be realized, for example, as an EEPROM on the chip card. According to the invention, a command sequence definition and a command sequence establishing a smart card application with chip card commands to be executed by the chip card are transmitted to the chip card as part of a supplementary personalization which can also be carried out in an unsecured environment. Furthermore, for a particular smart card command of this command sequence, a check using the key information and thereby secured is carried out as to whether this smart card command satisfies the command sequence definition. If so, the chip card command in question is executed by the chip card.

Es sei darauf hingewiesen, dass die angegebene Abfolge der Verfahrensmerkmale nicht der zeitlichen Reihenfolge dieser Merkmale entsprechen muss. Z.B. kann die Prüfung der Chipkartenbefehle zusammenhängend zu Beginn der ergänzenden Persona- lisierung durchgeführt werden, bevor die einzelnen Chipkartenbefehle ausgeführt werden.It should be noted that the indicated sequence of process characteristics need not correspond to the chronological order of these characteristics. For example, the check of the chip card commands may be carried out contiguously at the beginning of the supplementary personalization, before the individual chip card commands are executed.

Vorzugsweise kann die Gültigkeit der Befehlssequenz unter Verwendung der Schlüsselinformation beim Aufspielen der Be- fehlssequenz auf die Chipkarte oder beim Installieren derPreferably, the validity of the command sequence using the key information when loading the command sequence on the smart card or installing the

Befehlssequenz auf der Chipkarte gesichert werden. Die Prüfung der Befehlssequenz unter Verwendung der Befehlssequenzdefinition kann dann bei Abarbeitung der Befehlssequenz ohne zusätzliche Sicherung mittels der Schlüsselinformation statt- finden.Command sequence be secured on the chip card. The examination of the command sequence using the command sequence definition can then take place during execution of the command sequence without additional backup by means of the key information.

Ein Vorteil der Prüfung der Befehlssequenz mittels einer Befehlssequenzdefinition ist darin zu sehen, dass dadurch sichergestellt werden kann, dass nur unmanipulierte, von einer vertrauenswürdigen Stelle stammende Befehlssequenzen ausgeführt werden können, da nur diese der Befehlssequenzdefinition genügen. Mit dem erfindungsgemäßen Verfahren können ergänzende Personalisierungen in ungesicherten Bereichen wie der privaten Wohnung des Anwenders, lokalen Vertriebsbüros für Mobilfunk- karten, Chipkartenkodierstellen für Mitarbeiterkarten, Bank- Zweigstellen für Kredit- oder Kundenkarten oder Meldeämtern für Identifikationsausweise und -chipkarten, sicher durchgeführt werden, die bisher nur in gesicherten Personalisie- rungszentren durchgeführt werden, um hohe Sicherheitsanforde- rungen zu erfüllen.An advantage of examining the instruction sequence by means of a instruction sequence definition is that it can be ensured that only unmanipulated, trusted instruction sequences can be executed, since only these satisfy the instruction sequence definition. With the inventive method complementary personalization in unsecured areas such as the user's private home, local sales office for mobile cards, chip card encoding for employee cards, bank branches for credit or loyalty cards or registration offices for ID cards and chip cards can be safely carried out so far only be carried out in secure personalization centers in order to fulfill high security requirements.

Zeitaufwendige Personalisierungsschritte, insbesondere ein Generieren von Zertifikaten und Schlüsselpaaren, lassen sich im Rahmen der ergänzenden Personalisierung durchführen. Dabei ist vorteilhaft, dass diese zeitaufwendigen Schritte nicht in einem Personalisierungszentrum durchgeführt werden müssen und dort somit eine kürzere Personalisierungszeit pro Chipkarte erreicht wird und das Personalisierungszentrum Chipkarten in kürzeren Zeitabständen teilpersonalisieren kann.Time-consuming personalization steps, in particular generating certificates and key pairs, can be carried out as part of the supplementary personalization. It is advantageous that these time-consuming steps do not have to be performed in a personalization center and thus a shorter personalization time per chip card is achieved and the personalization center can partially personalize smart cards in shorter time intervals.

Vorteilhaft ist weiterhin, dass Multiapplikationschipkarten, bei denen auch nach ihrer Auslieferung weitere Anwendungen aufgespielt werden können, zur Aktivierung der Anwendungen nicht erneut ins Personalisierungszentrum geschickt werden müssen, um die Personalisierung vollständig durchzuführen.A further advantage is that multi-application chip cards, in which even after their delivery further applications can be loaded to activate the applications need not be sent again to the personalization center to complete the personalization.

Die Aktivierung einer solchen weiteren Anwendung kann im Rahmen der ergänzenden Personalisierung durchgeführt werden. D.h. die ergänzende Personalisierung mit Applikationen kann z.B. vom Anwender der Chipkarten selbst in seiner Wohnung außerhalb des Personalisierungszentrums durchgeführt werden.The activation of such a further application may be carried out as part of the complementary personalization. That the complementary personalization with applications can e.g. be performed by the user of the smart card even in his apartment outside the personalization center.

Die Prüfung der Chipkartenbefehle kann beispielsweise durch Verwendung eines Secure-Messaging-Schlüssels als Schlüsselinformation so implementiert und somit gesichert werden, dass eine Übertragung der Befehlssequenz und/oder der Befehlssequenzdefinition auf die Chipkarte bei Verwendung eines falschen Secure-Messaging-Schlüssels verhindert wird. Weiterhin kann die Chipkarte als Schlüsselinformation z.B. einen privaten Schlüssel eines RSA-Schlüsselpaares enthalten. Die übertragene Befehlssequenz und/oder die Befehlssequenzdefinition können zur Sicherung mittels eines öffentlichen RSA- Schlüssels der Chipkarte verschlüsselt sein. Somit kann die Chipkarte, und nur diese, die Befehlssequenz und/oder die Befehlssequenzdefinition mit dem auf der Chipkarte gespeicherten privaten Schlüssel entschlüsseln. Weiterhin kann ein Authentifizierungs- bzw. Signaturschlüssel als Schlüsselin- formation verwendet werden, um sicherzustellen, dass die Befehlssequenz und/oder die Befehlssequenzdefinition von der erwarteten Stelle, vorzugsweise dem - die Teilpersonalisie- rung durchführenden - Personalisierungszentrum, erzeugt und übermittelt wurden.The check of the smart card commands may be implemented and thus secured, for example, by using a secure messaging key as key information to prevent transmission of the command sequence and / or the command sequence definition to the smart card using an incorrect secure messaging key. Farther For example, the smart card may contain, as key information, a private key of an RSA key pair. The transmitted command sequence and / or command sequence definition may be encrypted for backup by means of a public RSA key of the smart card. Thus, the smart card, and only these, can decrypt the command sequence and / or the command sequence definition with the private key stored on the smart card. Furthermore, an authentication or signature key can be used as key information to ensure that the command sequence and / or command sequence definition has been generated and transmitted from the expected location, preferably the personalization center performing the partial personalization.

Vorzugsweise wird vor Ausführung eines jeweiligen Chipkartenbefehls der Befehlssequenz unter Zuhilfenahme der Befehlssequenzdefinition geprüft, ob der auszuführende Chipkartenbefehl der Befehlssequenzdefinition genügt. Bei positivem Prüf- ergebnis wird der Chipkartenbefehl ausgeführt, bei negativem Prüfergebnis nicht.Preferably, before executing a respective smart card command of the command sequence with the aid of the command sequence definition, it is checked whether the smart card command to be executed satisfies the command sequence definition. If the test result is positive, the chip card command will be executed, but if the test result is negative, the chip card command will not be executed.

Gemäß einer Weiterbildung der Erfindung kann zur Ausführung der Befehlssequenz eine Zugriffsberechtigung auf der Chipkar- te gesetzt werden, und vor Ausführung eines jeweiligen Chipkartenbefehls ein Vorhandensein der Zugriffsberechtigung geprüft werden. Bei positivem Prüfungsergebnis kann dann der betreffende Chipkartenbefehl ausführt werden. Bei negativem Prüfungsergebnis kann die Ausführung des betreffenden Chip- kartenbefehls unterdrückt werden.According to a development of the invention, an access authorization on the chip card can be set for executing the command sequence, and a presence of the access authorization can be checked before execution of a respective chip card command. If the result of the test is positive, then the relevant chip card command can be executed. If the test result is negative, execution of the relevant chip card command can be suppressed.

Die Zugriffsberechtigung kann vorteilhafterweise bei einem Aufruf der Befehlssequenz durch das Betriebssystem gesetzt werden. In einer anderen Ausgestaltung kann vor dem Ausführen eines jeweiligen Chipkartenbefehls der Befehlssequenz eine dem Chipkartenbefehl zugeordnete Zugriffsberechtigung gesetzt und nach der Ausführung wieder gelöscht werden. Eine derartige Zugriffsberechtigung für einen Chipkartenbefehl kann beispielsweise ein Schreibrecht auf einen bestimmten Speicherbereich umfassen. Ein weiteres Beispiel für eine Zugriffsberechtigung ist eine Berechtigung eines Chipkartenbefehls einen Schlüssel zur Verschlüsselung oder ein Zertifikat zur Authentisierung zu generieren.The access authorization can advantageously be set when the command sequence is called by the operating system. In another embodiment, prior to executing a respective smart card command of the command sequence, an access authorization associated with the smart card command may be set and deleted after execution. Such access authorization for a chip card command may, for example, include a write right to a specific memory area. Another example of an access authorization is an authorization of a chip card command to generate a key for encryption or a certificate for authentication.

Das Setzen und Löschen einer Zugriffsberechtigung erlaubt eine einfache Implementierung von Prüfroutinen zur Prüfung, ob ein Chipkartenbefehl ausgeführt werden darf. Weiterhin lässt sich mittels solcher Prüfroutinen einfach realisieren, dass die Chipkarte bei Abarbeitung von Chipkartenbefehlen außerhalb der ergänzenden Personalisierung keinen Befehl aus- führen kann, der nur in der ergänzenden Personalisierung erlaubt ist, indem bei jeder Ausführung eines Chipkartenbefehls - während und außerhalb der ergänzenden Personalisierung - die Zugriffsberechtigungen überprüft werden.The setting and deletion of an access authorization allows a simple implementation of test routines to check whether a chip card command may be executed. Furthermore, by means of such check routines, it is easy to realize that the chip card can not execute an instruction which is only permitted in the supplementary personalization when executing chip card instructions outside of the supplementary personalization, by performing each chip card command during and outside the supplementary personalization. the access permissions are checked.

Gemäß einer Weiterbildung der Erfindung kann die Schlüsselinformation chipkartenindividuell oder chipkartengruppenindivi- duell sein. Eine jeweilige Chipkartengruppe kann z.B. einer jeweiligen Produktionscharge der Chipkarten, einem jeweiligen Vertriebskunden der Chipkarten, einer jeweiligen Anwendung, z.B. bei Einsatz als Tankkarte an Tankstellen, oder allen produzierten Chipkarten zugeordnet werden. Somit kann bei der Teilpersonalisierung eingeschränkt werden, auf welchen Chipkarten eine jeweilige Befehlssequenz ausgeführt werden kann - nur auf einer einzelnen Chipkarte, auf einer Chipkartengruppe oder auf allen Chipkarten.According to one embodiment of the invention, the key information can be chip card-specific or chip card group-independent. A respective smart card group may e.g. a respective production lot of the chip cards, a respective distribution customer of the chip cards, a respective application, e.g. when used as a fuel card at gas stations, or all produced chip cards are assigned. Thus, it can be limited in the Teilpersonalisierung on which smart cards a respective command sequence can be performed - only on a single chip card, on a chip card group or on all smart cards.

Nach einer vorteilhaften Ausführungsform der Erfindung kann die Befehlssequenzdefinition Zustände und Zustandsübergänge eines Zustandsautomaten vorgeben, der von einem jeweiligen Zustand in einen vorgegebenen, von vorher eingenommenen Zuständen verschiedenen Folgezustand wechselt, wobei einem je- weiligen Zustand jeweils ein vorgegebener Chipkartenbefehl zugeordnet ist, der in diesem Zustand zur Ausführung zugelassen ist.According to an advantageous embodiment of the invention, the command sequence definition can specify states and state transitions of a state machine which changes from a respective state to a predetermined state of succession, which is different from previously assumed states, wherein a respective state is changed. each state is assigned a predetermined chip card command, which is allowed to execute in this state.

Die Befehlsequenzdefinition kann für die - vorzugsweise gesamte - Befehlssequenz Informationsmuster umfassen, mit denen durch Vergleich mit in der Befehlssequenz enthaltenen Chipkartenbefehlen ermittelt werden kann, ob ein jeweiliger auszuführender Chipkartenbefehl der Befehlssequenz der Befehls- sequenzdefinition genügt, ob eine Reihenfolge der Chipkartenbefehle korrekt ist, und/oder ob nach Abarbeitung der Befehlssequenz alle in der Befehlssequenz enthaltenen Chipkartenbefehle abgearbeitet wurden und somit die Befehlssequenz vollständig abgearbeitet wurde. Dabei kann die Befehlsse- quenzdefinition so implementiert werden, dass sie zu jedem Chipkartenbefehl der zugehörigen Befehlssequenz eine den Chipkartenbefehl identifizierende Information, vorzugsweise in möglichst knapper Darstellung, enthält.The instruction sequence definition may comprise information patterns for the - preferably entire - instruction sequence with which it can be determined by comparison with chip card instructions contained in the instruction sequence whether a respective chip card instruction to be executed satisfies the instruction sequence of the instruction sequence definition, if an order of the chip card instructions is correct, and / or whether, after execution of the command sequence, all chip card commands contained in the command sequence have been processed and thus the command sequence has been completely processed. In this case, the command sequence definition can be implemented in such a way that, for each chip card command of the associated command sequence, it contains information identifying the chip card command, preferably in as brief a representation as possible.

Vorteilhafterweise enthält ein Zustandsdiagramm des Zustandsautomaten keine Verzweigungen, Schleifen oder Rekursionen. Dadurch kann bei der ergänzenden Personalisierung der Chipkarte die Ausführung der Befehlssequenz auf solche Befehlssequenzen eingeschränkt werden, die von der die Teilpersonali- sierung durchführende Personalisierungsstelle dafür vorgesehen sind. Durch die Rekursionsfreiheit kann sichergestellt werden, dass eine das Zustandsdiagramm durchlaufende Befehlssequenz unverändert, einmalig, im Wesentlichen vollständig und/oder in der richtigen Reihenfolge ausgeführt wird. Ein Anwender der Chipkarte ist somit gegenüber Manipulation von nicht autorisierten Dritten geschützt.Advantageously, a state diagram of the state machine does not contain any branches, loops or recursions. As a result, in the case of the supplementary personalization of the chip card, the execution of the command sequence can be restricted to those command sequences which are provided by the personalization unit carrying out the partial personalization. The absence of recursion can ensure that a command sequence passing through the state diagram is executed unchanged, once, essentially completely and / or in the correct order. A user of the chip card is thus protected against manipulation by unauthorized third parties.

Ferner kann die Befehlssequenzdefinition, die Befehlssequenz, eine durch Abarbeitung der Befehlssequenz bis zu einem jewei- ligen Chipkartenbefehl teilweise eingerichtete Chipkartenanwendung, die Zugriffsberechtigung, der Zustandsautomat und/oder ein jeweilig eingenommener Zustand des Zustandsauto- maten in einem vorzugsweise nichtflüchtigen Speicher der Chipkarte gespeichert werden. Dadurch kann eine unterbrochene ergänzende Personalisierung nach der Unterbrechung weiter fortgesetzt werden. Bei Verwendung eines nichtflüchtigen Speichers zur Speicherung der angegebenen Informationen ist eine Fortsetzung der ergänzenden Personalisierung auch nach Unterbrechung der Stromversorgung möglich.Furthermore, the command sequence definition, the command sequence, a chip card application partially set up by executing the command sequence up to an individual chip card command, the access authorization, the state machine and / or a respectively assumed state of the state machine. maten be stored in a preferably non-volatile memory of the smart card. As a result, interrupted supplementary personalization can continue after the interruption. When using a non-volatile memory to store the information provided, it is possible to continue the supplemental personalization even after the power supply has been interrupted.

Dies erhöht zusätzlich die Sicherheit gegenüber Manipulation, weil eine manipulierte nur teilweise gültige Befehlssequenz und Befehlssequenzzdefinition nicht durch einfache Mittel, wie Unterbrechen der Stromversorgung, gelöscht und anschließend durch eine modifizierte, ebenfalls manipulierte Befehlssequenz und Befehlssequenzdefinition ausgetauscht werden kann.This additionally enhances security against tampering because a manipulated, only partially valid instruction sequence and instruction sequence definition can not be cleared by simple means such as interrupting the power supply and then exchanged with a modified, also manipulated instruction sequence and instruction sequence definition.

Das Fortsetzen einer unterbrochenen ergänzenden Personalisierung kann vorzugsweise durch Fortsetzen der Befehlssequenz bei dem zuletzt eingenommenen Zustand des Zustandsautomaten durchgeführt werden. Alternativ könnte eine unterbrochene ergänzende Personalisierung so fortgesetzt werden, dass die Ausführung der Befehlssequenz an deren Beginn wieder aufgenommen wird und dabei alle bereits abgearbeiteten Chipkartenbefehle ignoriert werden, bis die noch nicht abgearbeiteten Chipkartenbefehle zur Ausführung anstehen.The continuation of an interrupted supplementary personalization may preferably be carried out by continuing the command sequence at the state of the last state of the state machine. Alternatively, an interrupted supplementary personalization could be continued such that the execution of the command sequence is resumed at the beginning thereof and all chip card commands that have already been processed are ignored until the chip card commands that have not yet been processed are pending execution.

Gemäß einer Weiterbildung der Erfindung kann nach einer vollständigen Abarbeitung der Befehlssequenz eine, die vollzogene ergänzende Personalisierung anzeigende Information auf der Chipkarte gespeichert werden, die Zugriffsberechtigung gelöscht werden, und/oder die Befehlssequenzdefinition, die Befehlssequenz, der Zustandsautomat und/oder ein Zustand des Zustandsautomaten auf der Chipkarte gelöscht werden. Dabei kann die, eine vollzogene ergänzende Personalisierung anzei- gende Information auch durch eine Information repräsentiert werden, die nach vollzogener Personalisierung gelöscht wird und somit durch ihr NichtVorhandensein anzeigt, dass die Personalisierung abgeschlossen ist.According to a further development of the invention, after a complete execution of the command sequence, the information indicating completed complementary personalization can be stored on the chip card, the access authorization deleted, and / or the command sequence definition, the command sequence, the state machine, and / or a state machine state the chip card are deleted. In this case, the information indicating a completed supplementary personalization can also be represented by information that is deleted after personalization has taken place and thus indicates by their absence that the personalization is complete.

Vorteilhaft ist insbesondere, dass nach der ergänzenden Per- sonalisierung nicht mehr benötigte Daten und Chipkartenbefehle gelöscht werden können und somit Speicherplatz freigegeben werden kann. Weiterhin kann das Vorhandensein bzw. Nichtvor- handensein von Daten auf der Chipkarte vom Betriebssystem der Chipkarte ausgewertet werden, um zu erkennen, ob sich die Chipkarte im Zustand der Durchführung einer ergänzenden Personalisierung befindet, ob die ergänzende Personalisierung schon abgeschlossen ist, oder ob die ergänzende Personalisierung noch nicht gestartet wurde. Abhängig von dieser Auswertung kann das Betriebssystem der Chipkarte zusätzlich ent- scheiden, ob die jeweiligen auszuführenden Befehle mit verschiedenen Zugriffsberechtigungen auszuführen sind.It is advantageous, in particular, that after the supplementary personalization, data and chip card commands which are no longer required can be deleted and thus memory space can be freed up. Furthermore, the presence or absence of data on the chip card can be evaluated by the operating system of the chip card in order to detect whether the chip card is in the state of carrying out a supplementary personalization, whether the supplementary personalization has already been completed, or if the supplementary Personalization has not started yet. Depending on this evaluation, the operating system of the chip card can additionally decide whether the respective commands to be executed are to be executed with different access authorizations.

Gemäß einer Weiterbildung der Erfindung kann ein Chipkartenbefehl einer Befehlssequenz, vorzugsweise der letzte Chipka- tenbefehl der Befehlssequenz, eine Befehlssequenzdefinition für eine weitere Befehlssequenz enthalten. Dadurch können Befehlssequenzen kaskadiert ausgeführt werden und lange Befehlssequenzen in mehrere kurze, modulare Befehlssequenzen aufgeteilt und sukzessive ausgeführt werden.According to one development of the invention, a smart card command of a command sequence, preferably the last chip card command of the command sequence, may contain a command sequence definition for a further command sequence. This allows command sequences to be executed in cascade and split long command sequences into several short, modular command sequences and executed successively.

Weiterhin kann nach Ausführen eines letzten Chipkartenbefehls der Befehlssequenz eine Testroutine zur Überprüfung einer erfolgreichen ergänzenden Personalisierung aufgerufen werden und diese Testroutine bei Erkennen einer fehlerhaften ergän- zenden Personalisierung eine, die fehlerhafte Personalisierung anzeigende Information auf die Chipkarte speichern. Damit kann ein Programm der Chipkarte durch einfaches Auslesen dieser Information erkennen, ob eine Anwendung fehlerfrei personalisiert wurde und nur in diesem Fall auf die Anwendung zugreifen. Dabei kann diese Testroutine permanent auf derFurthermore, after executing a last chip card command of the command sequence, a test routine for checking a successful supplementary personalization can be called up and this test routine, upon detection of a faulty supplementary personalization, stores an information indicating faulty personalization on the chip card. Thus, a program of the smart card by simply reading this information can detect whether an application has been personalized error-free and only in this case access the application. This test routine can be permanent on the

Chipkarte gespeichert sein, Teil der Befehlssequenz sein oder wie die Befehlssequenz im Rahmen der ergänzenden Personali- sierung auf die Chipkarte übertragen werden und nach Beenden wieder gelöscht werden.Chip card, be part of the command sequence or as the command sequence in the context of the supplementary personal be transferred to the chip card and be deleted after termination.

Gemäß einer Weiterbildung der Erfindung kann im Rahmen der Teilpersonalisierung eine Routine ausgeführt werden, die einen Speicherbereich oder ein Verzeichnis auf der Chipkarte für die Aufnahme von im Rahmen der ergänzenden Personalisierung bei der Ausführung der Befehlssequenz erzeugten Daten reserviert. Damit kann garantiert werden, dass bei der Abar- beitung der ergänzenden Personalisierung kein Speichermangel oder -Überlauf auftritt und dass nur die Befehlssequenzen vollständig ausgeführt werden können, deren Chipkartenbefehle in diesen vorher reservierten Speicherbereich schreiben.According to one development of the invention, a routine may be carried out as part of the partial personalization, which reserves a memory area or a directory on the chip card for the reception of data generated during the supplementary personalization in the execution of the command sequence. It can thus be guaranteed that no memory shortage or overflow occurs during the processing of the supplementary personalization, and that only the command sequences whose chip card commands write to this previously reserved memory area can be completely executed.

Gemäß einer Weiterbildung der Erfindung kann bis zur vollständigen Abarbeitung der Befehlssequenz ein Aufrufen von nicht in der Befehlssequenz enthaltenen Chipkartenbefehlen gesperrt werden. Dadurch ist eine Chipkarte erst dann zu ihrem Bestimmungszweck einsetzbar, wenn die ergänzende Persona- lisierung vollständig ausgeführt und beendet wurde.According to one embodiment of the invention can be locked until complete execution of the command sequence calling of not included in the command sequence chip card commands. As a result, a chip card can only be used for its intended purpose if the supplementary personalization has been completely executed and terminated.

Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der Zeichnung näher erklärt.An embodiment of the invention will be explained in more detail with reference to the drawing.

Dabei zeigen jeweils in schematischer DarstellungIn each case show in a schematic representation

Figur 1 eine, in einem Personalisierungszentrum ablaufende Teilpersonalisierung einer Chipkarte,FIG. 1 shows a part personalization of a chip card taking place in a personalization center;

Figur 2 eine Einleitung einer ergänzenden Personalisierung der Chipkarte in ungesicherter Umgebung,FIG. 2 shows an introduction of a supplementary personalization of the chip card in an unsecured environment;

Figur 3 die Chipkarte mit geladenen und permanent vorhandenen Modulen zur Durchführung der ergänzen- den Personalisierung, Figur 4 die Chipkarte, bei der Abarbeitung einer Befehlssequenz im Rahmen der ergänzenden Personalisierung undFIG. 3 shows the chip card with loaded and permanently existing modules for carrying out the supplementary personalization; FIG. 4 shows the chip card during the execution of a command sequence in the context of the supplementary personalization and

Figur 5 einer Befehlssequenzdefinition als Zustandsauto- mat mit Zuständen und Zustandsübergängen.FIG. 5 shows a command sequence definition as state automaton with states and state transitions.

In Figur 1 ist eine, in einem Personalisierungszentrum PZ ablaufende, Teilpersonalisierung einer Chipkarte CHIPK sche- matisch dargestellt. Im vorliegenden Ausführungsbeispiel sei angenommen, dass die Chipkarte CHIPK durch eine, auf ihr enthaltene, gegenüber anderen Chipkarten eindeutige, als Rechteck dargestellte, Chipkartennummer ID identifiziert werden kann. Die Chipkartennummer ID wird vorzugsweise bereits bei der Produktion der Chipkarte CHIPK auf die Chipkarte CHIPK gebracht. Der elektronisch und/oder mechanisch gesicherte Bereich eines Personalisierungszentrums PZ ist durch eine Strich-Punkt-Linie dargestellt. Auf die Chipkarte CHIPK wird in den in Figur 1 veranschaulichten Verfahrensschritten durch ein Chipkartenlese/schreibgerät CHIPLES zugegriffen. Die Kopplung zwischen Chipkartenlese/schreibgerät CHIPLES und Chipkarte CHIPK ist durch einen breiten schwarzen Strich dargestellt, genauso wie die Verbindung zwischen Chipkartenlese/schreibgerät CHIPLES und einem Teilpersonalisierungsmodul KEYGEN. Das Teilpersonalisierungsmodul KEYGEN steuert dasFIG. 1 diagrammatically shows a partial personalization of a chip card CHIPK taking place in a personalization center PZ. In the present exemplary embodiment, it is assumed that the chip card CHIPK can be identified by a chip card number ID which is contained on it and which is unique relative to other chip cards and shown as a rectangle. The chip card number ID is preferably already brought to the chip card CHIPK during the production of the chip card CHIPK. The electronically and / or mechanically secured area of a personalization center PZ is represented by a dashed-dotted line. On the chip card CHIPK is accessed in the illustrated in Figure 1 steps by a smart card reader / writer CHIPLES. The coupling between chip card reader / writer CHIPLES and chip card CHIPK is represented by a broad black line, as well as the connection between smart card reader / writer CHIPLES and a partial personalization module KEYGEN. The partial personalization module KEYGEN controls this

Chipkartenlese/schreibgerät CHIPLES und arbeitet Routinen zur Teilpersonalierung der Chipkarte CHIPK ab.Chip card reader / writer CHIPLES and processes routines for partial personalization of chip card CHIPK.

Im vorliegenden Ausführungsbeispiel sei angenommen, das das Teilpersonalisierungsmodul KEYGEN Schlüsselinformationen KEYl und KEY2 vorzugsweise nach dem RSA-Verfahren als Schlüsselpaar generiert. Weiterhin sei das Teilpersonalisierungsmodul KEYGEN mit einer Datenbank CHIPDB verbunden - dargestellt durch einen breiten schwarzen Strich -, die insbesondere eine Tabelle TABKEY, mit einer Zuordnung von Chipkartennummern, hier ID, jeweils zu einer Schlüsselinformation, hier KEY2, umfasst. Schreib/Lesezugriffe auf Daten und Speicher durch die genannten Komponenten sind durch gestrichelte Pfeile dargestellt. Neben der eindeutigen Chipkartennummern ID, umfasst die Chipkarte CHIPK noch einen Speicher MEM, der üblicherweise als EEPROM gestaltet ist, um Daten permanent und ü- berschreibbar speichern zu können.In the present exemplary embodiment, it is assumed that the partial personalization module KEYGEN key information KEY1 and KEY2 are preferably generated according to the RSA method as a key pair. Furthermore, the partial personalization module KEYGEN is connected to a database CHIPDB - represented by a broad black line - which in particular comprises a table TABKEY, with an allocation of chip card numbers, here ID, in each case to a key information, here KEY2. Read / write access to data and memory the components mentioned are shown by dashed arrows. In addition to the unique chip card numbers ID, the chip card CHIPK also comprises a memory MEM, which is usually designed as an EEPROM, in order to be able to store data permanently and overwritable.

Alternativ - nicht dargestellt - zur Speicherung von Chipkartennummern und Schlüsselinformation in der Datenbank CHIPDB können die Schlüsselinformationen KEYl und/oder KEY2 durch das Teilpersonalisierungsmodul KEYGEN mittels eines geeigneten, rekonstruierbaren Verfahrens unter Verwendung eines nur dem Personalisierungszentrum PZ bekannten Schlüssels abgeleitet werden.Alternatively - not shown - for storing chip card numbers and key information in the database CHIPDB, the key information KEY1 and / or KEY2 can be derived by the partial personalization module KEYGEN by means of a suitable, reconstructable method using a key known only to the personalization center PZ.

Figur 2 stellt schematisch eine Einleitung der ergänzenden Personalisierung durch Anforderung einer Befehlssequenz BS und einer Befehlssequenzdefinition BSD beim Personalisierungszentrum PZ und deren Übermittlung zur Chipkarte CHIPK dar. Die Chipkarte CHIPK befindet sich dabei in ungesicherter Umgebung. Diese ungesicherte Umgebung wird im Folgenden als Personalisierungsort HB bezeichnet, an dem die ergänzende Personalisierung durchzuführen ist. Dabei sei in dem Ausführungsbeispiel angenommen, dass der Personalisierungsort HB der Heimbereich, d.h. die private Wohnung oder das Büro eines Chipkartenanwenders ist, wobei weitere mögliche Personalisierungsorte HB lokale Personalisierungsbüros, Chipkarten ausgebende Stellen wie Banken und Versicherungen, sowie auch das Personalisierungszentrum PZ sein können.FIG. 2 schematically illustrates an initiation of the supplementary personalization by requesting a command sequence BS and a command sequence definition BSD at the personalization center PZ and their transmission to the chip card CHIPK. The chip card CHIPK is thereby located in an unsecured environment. This unsecured environment is referred to below as the personalization site HB at which the supplementary personalization is to be performed. It is assumed in the embodiment that the personalization location HB is the home area, i. the private home or the office of a smart card user is, with other possible personalization sites HB local personalization offices, chip card issuing agencies such as banks and insurance companies, as well as the personalization center PZ can be.

Die Datenbank CHIPDB und die Tabelle TABKEY im Personalisierungszentrum PZ sind in Figur 2 entsprechend Figur 1 dargestellt. Die Chipkarte CHIPK, die Chipkartennummer ID, der Speicher MEM, die Schlüsselinformation KEYl, ein zweites Chipkartenlese/schreibgerät CHIPLES2 und die Verbindung zwi- sehen beiden ist ebenfalls analog Figur 1 dargestellt, wobei sich die Chipkarte CHIPK und das Chipkartenlese/schreibgerät CHIPLES2 nicht im Personalisierungszentrum PZ sondern in ei- nem, die ergänzende Personalisierung durchführenden, Persona- lisierungsort HB befinden. Weiterhin befindet sich am durch eine Strich-Punkt-Linie dargestellten Personalisierungsort HB ein Kommunikationsmodul KOMl, das das Chipkartenlese/schreib- gerät CHIPLES2 steuert und über eine Internetverbindung mit einem Kommunikationsmodul KOM2 im Personalisierungszentrum PZ verbunden werden kann. Dabei ist eine Internetverbindung nur eine bevorzugte von mehreren Verbindungsmöglichkeiten.The database CHIPDB and the table TABKEY in the personalization center PZ are shown in FIG. 2 in accordance with FIG. The chip card CHIPK, the chip card number ID, the memory MEM, the key information KEY1, a second chip card reading / writing device CHIPLES2 and the connection between both is likewise shown in FIG. 1, the chip card CHIPK and the chip card reading / writing device CHIPLES2 not being in the personalization center PC but in one who carry out the complementary personalization, HB. Furthermore, at the personalization site HB represented by a dashed-dotted line, there is a communication module KOM1 which controls the chip card reading / writing device CHIPLES2 and can be connected via an internet connection to a communication module KOM2 in the personalization center PZ. In this case, an Internet connection is only a preferred of several connection options.

Im Ausführungsbeispiel sei angenommen, dass das Kommunikationsmodul KOMl eine Internetverbindung mit dem HTTPS-Protokoll (HTTPS: HyperText Transport Protocol Secure) aufbaut, eine Meldung REQ an das Kommunikationsmodul K0M2 schickt und dieses in einer Antwort eine Datenmeldung DAT die Befehlsse- quenzdefinition BS und zugehörige BefehlssequenzdefinitionIn the exemplary embodiment, it is assumed that the communication module KOM1 establishes an Internet connection with the HTTPS protocol (HyperText Transport Protocol Secure), sends a message REQ to the communication module K0M2 and sends this in a response a data message DAT the command sequence definition BS and associated command sequence definition

BSD - vorzugsweise verschlüsselt - zurück schickt, ebenfalls unter Verwendung des HTTPS-Protokolls . Zur HTTPS-Verschlüs- selung kann insbesondere, die auf der Chipkarte CHIPK gespeicherte Schlüsselinformation KEYl verwendet werden und/oder ein öffentlicher Schlüssel des Personalisierungszentrums PZ.BSD - preferably encrypted - sent back, also using the HTTPS protocol. In particular, the key information KEY1 stored on the chip card CHIPK and / or a public key of the personalization center PZ can be used for HTTPS encryption.

Neben der im Ausführungsbeispiel angenommenen Internetverbindung, sind alle Arten von mündlichen, schriftlichen oder e- lektronischen Verbindungen möglich, z.B. Funk- oder Telefon- Verbindungen. Weiterhin sind bei einer elektronischen Verbindung verschiedene Protokolle zur Kommunikation möglich, z.B. HTTP, HTTPS, SMTP oder ein proprietäres Protokoll. Die Verbindung kann auch Offline, d.h. ohne direkte elektronische Verbindung, oder durch eine Online-Offline-Kombination durch- geführt werden, bei der die Anfrage zum Personalisierungszentrum PZ durch eine Internet-Verbindung übermittelt wird und die Antwort ohne direkte elektronische Verbindung. Insbesondere ist es in einer alternativen Ausprägung möglich, eine Anfrage an das Personalisierungszentrum PZ fernmündlich abzu- setzen und die zu übermittelnden Daten von dort nicht direkt online zu übertragen, sondern abgespeichert auf CD-Rom, Diskette, Bandmedium oder andere Wechseldatenträger per Postlie- ferung zu schicken und durch das Kommunikationsmodul KOMl einlesen zu lassen.In addition to the Internet connection assumed in the exemplary embodiment, all types of verbal, written or electronic connections are possible, eg radio or telephone connections. Furthermore, different protocols for communication are possible with an electronic connection, eg HTTP, HTTPS, SMTP or a proprietary protocol. The connection can also be made offline, ie without a direct electronic connection, or through an online-offline combination in which the request is transmitted to the personalization center PZ through an Internet connection and the answer without a direct electronic connection. In particular, in an alternative embodiment, it is possible to remotely place a request to the PZ personalization center and not directly transfer the data to be transmitted online from there, but instead store it on a CD-ROM, floppy disk, tape medium or other removable media by post. to be sent and read in by the communications module KOMl.

Das Kommunikationsmodul KOM2 hat Zugriff, dargestellt durch eine breite schwarze Linie, auf die Datenbank CHIPDB und auf ein Generiermodul BSGEN zum Generieren oder Ermitteln von Befehlssequenz BS und Befehlssequenzdefinition BSD. Die Übermittlung der Meldungen REQ und DAT über die im Ausführungsbeispiel angenommene Internetverbindung zwischen den Kommuni- kationsmodulen KOMl und KOM2 ist jeweils durch Pfeile dargestellt. Der Übertragungspfad von Befehlssequenz BS und Befehlssequenzdefinition BSD ausgehend von dem Generiermodul BSGEN bis zum Speicher MEM der Chipkarte CHIPK ist durch einen gestrichelten Pfeil dargestellt.The communication module KOM2 has access, represented by a wide black line, to the database CHIPDB and to a generation module BSGEN for generating or determining command sequence BS and command sequence definition BSD. The transmission of the messages REQ and DAT via the Internet connection assumed in the exemplary embodiment between the communication modules KOM1 and KOM2 is illustrated by arrows. The transmission path of command sequence BS and command sequence definition BSD starting from the generating module BSGEN to the memory MEM of the chip card CHIPK is shown by a dashed arrow.

Nicht in der Figur dargstellt ist im Personalisierungsort HB ein Terminal zur Anwenderinteraktion, auf dem ein Programm läuft, dass die evtl. benötigte Interaktion mit dem Anwender durchführt. Dies sind z.B. Rückfragen, ob eine Internetver- bindung aufgebaut werden soll, welche Befehlssequenz BS heruntergeladen werden soll. In einer bevorzugten Ausprägung sind Chipkartenlese/schreibgerät CHIPLES2, Kommunikationsmodul KOMl und das erwähnte Terminal Teil eines Arbeitsplatzrechners mit standardmäßigen Komponenten und Standard- Betriebssystem.Not in the figure dargstellt is in personalization HB a terminal for user interaction on which runs a program that performs the possibly required interaction with the user. These are e.g. Inquiries as to whether an Internet connection should be established, which command sequence BS should be downloaded. In a preferred embodiment, chip card reading / writing device CHIPLES2, communication module COM1 and the mentioned terminal are part of a workstation computer with standard components and standard operating system.

Das Kommunikationsmodul KOM2 kann so implementiert sein, dass es nur Verbindungswünsche akzeptiert, die einer in ihr enthaltenen Plausibilisierungsroutine genügt (nicht darge- stellt) . Weiterhin kann das Kommunikationsmodul KOM2 mit einem Webserver (nicht dargestellt) in Verbindung stehen, ein Modul eines Webservers sein oder einen Webserver enthalten, um Interaktionsmöglichkeiten mit dem Anwender der Chipkarte CHIPK bereitzustellen. Insbesondere kann dem Anwender eine Liste der möglichen zu aktivierenden Chipkartenanwendungen in einer Webseite zur Auswahl angezeigt werden, vorzugsweise nach Lesen und Auswerten der Chipkartennummer ID, um nur für die Chipkarte CHIPK freigeschaltete Chipkartenanwendungen anzuzeigen.The communication module KOM2 can be implemented in such a way that it only accepts connection requests that satisfy a plausibility routine contained in it (not shown). Furthermore, the communication module KOM2 may be in communication with a web server (not shown), may be a module of a web server, or may include a web server to provide interaction opportunities with the user of the smart card CHIPK. In particular, a list of the possible chip card applications to be activated in a web page can be displayed to the user for selection, preferably after reading and evaluating the chip card number ID, only for to display chip card CHIPK enabled chip card applications.

Die Figuren 3 und 4 zeigen schematisch jeweils die Chipkarte CHIPK mit geladenen und permanent vorhandenen Modulen zurFigures 3 and 4 show schematically each chip card CHIPK with loaded and permanently available modules for

Durchführung der ergänzenden Personalisierung. Figur 3 zeigt dabei einen Zustand nach Einspielen aber vor Abarbeitung von Befehlssequenz BS und Befehlssequenzdefinition BSD. Figur 4 stellt die Chipkarte CHIPK nach Abarbeitung von vier Chipkar- tenbefehlen Bl, ..., B4 bei einer Verarbeitung eines 5. Chipkartenbefehls B5 der Befehlssequenz BS dar. Die in den Figuren 3 und 4 dargestellte Chipkarte CHIPK weist weiterhin einen Fehlerzähler FEHLZ im Speicher MEM auf. Der Fehlerzähler FEHLZ ist ein Datenfeld, das die Anzahl der Fehler, die Feh- lertypen und/oder weitere Details bzgl. auftretender Fehler speichert. Der Speicher MEM umfasst die Schlüsselinformation KEYl, die Befehlssequenzdefinition BSD und die Befehlssequenz BS, die sich dadurch auszeichnet, dass sie Befehl für Befehl an die Chipkarte CHIPK übertragen und abgearbeitet (nicht dargestellt) oder als komplette Sequenz in der ChipkarteCarrying out the supplementary personalization. FIG. 3 shows a state after import but before execution of command sequence BS and command sequence definition BSD. FIG. 4 shows the chip card CHIPK after processing four chip card commands Bl,..., B4 during processing of a fifth chip card command B5 of the command sequence BS. The chip card CHIPK shown in FIGS. 3 and 4 also has a fault counter FAHLZ in the memory MEM on. The error counter FEHLZ is a data field which stores the number of errors, the error types and / or further details regarding occurring errors. The memory MEM comprises the key information KEY1, the command sequence definition BSD and the command sequence BS, which is characterized in that it is transmitted and executed command by command to the chip card CHIPK (not shown) or as a complete sequence in the chip card

CHIPK gespeichert und dann schrittweise abgearbeitet werden kann. Ein freier Speicherbereich FREIMEM des Speichers MEM ist durch ein gestricheltes Rechteck dargestellt. Durch die teilweise Abarbeitung der Befehlssequenz BS (von Bl bis B4) erzeugte Applikationsdaten APPDATA, sind durch ein schraffiertes Rechteck innerhalb des Speichers MEM dargestellt. Die einzelnen Befehle Bl, B2, B3, B4, B5 der Befehlssequenz BS sind innerhalb dieser Befehlssequenz BS dargestellt, wobei durch drei Punkte angedeutet ist, dass die Befehlssequenz BS beliebige Anzahl an Befehlen enthalten kann. Auf entsprechende Weise sind die einzelnen Befehlssequenzdefinitionseinhei- ten Dl, D2, D3, D4, D5 innerhalb der Befehlssequenzdefinition BSD dargestellt. Die Chipkarte CHIPK umfasst weiterhin eine ergänzende Personalisierungsroutine EPERS, die auf die Be- fehlssequenz BS und die Befehlssequenzdefinition BSD lesend - durch einen gepunkteten Pfeil dargestellt - zugreift, und auf den Fehlerzähler FEHLZ sowie den zur Verfügung stehenden freien Speicher FREIMEM lesend und schreibend - dargestellt durch einen durchgehenden Pfeil - zugreift. Dabei ist das schrittweise Abarbeiten der Befehle Bl, B2, B3, B4, B5 und Befehlssequenzdefinitionseinheiten Dl, D2, D3, D4, D5 durch einen Doppelpfeil in Abarbeitungsrichtung veranschaulicht.CHIPK stored and then processed step by step. A free memory area FREIMEM of the memory MEM is represented by a dashed rectangle. By the partial execution of the command sequence BS (from Bl to B4) generated application data APPDATA, are represented by a hatched rectangle within the memory MEM. The individual commands Bl, B2, B3, B4, B5 of the command sequence BS are shown within this command sequence BS, wherein it is indicated by three points that the command sequence BS can contain any number of commands. In a corresponding manner, the individual command sequence definition units D1, D2, D3, D4, D5 are shown within the command sequence definition BSD. The chip card CHIPK furthermore comprises a supplementary personalization routine EPERS, which accesses the command sequence BS and the command sequence definition BSD read-represented by a dotted arrow, and the error counter MIST and the available free memory read and write FREE - represented by a continuous arrow - accessed. The step-by-step execution of the instructions B1, B2, B3, B4, B5 and command sequence definition units D1, D2, D3, D4, D5 is illustrated by a double arrow in the processing direction.

Im Rahmen der ergänzenden Personalisierung auszuführende Chipkartenbefehle Bl, B2, B3, B4, B5 können insbesondere Befehle mit Schreibrecht auf einen flüchtigen oder nichtflüch- tigen Speicher MEM der Chipkarte sein, sowie Befehle sein, die Sicherheitszertifikate oder Schlüsselpaare generieren.In particular, chip card instructions B1, B2, B3, B4, B5 to be executed as part of the supplementary personalization can be commands with write access to a volatile or non-volatile memory MEM of the chip card, as well as commands that generate security certificates or key pairs.

Figur 5 veranschaulicht eine Befehlssequenzdefinition BSD, die Zustände und Zustandsübergänge im Sinne eines Zustandsau- tomaten vorgibt, wobei dessen Zustände Zl, Z2, Z3, Zn alsFIG. 5 illustrates a command sequence definition BSD which predefines states and state transitions in the sense of a state machine, the states of which Z1, Z2, Z3, Zn are denoted as

Kreise dargestellt sind und die Zustandsübergänge als Pfeile zwischen diesen Zuständen Zl, Z2, Z3, Zn Die Zustandsübergänge sind durch die Befehlssequenzdefinitionseinheiten Dl, D2, D3, D4, Dn, Dn+1 beschriftet, deren Abarbeitung die Zustands- Übergänge bewirken. Der Anfangszustand BZ definiert denThe state transitions are labeled by the instruction sequence definition units D1, D2, D3, D4, Dn, Dn + 1, the execution of which cause the state transitions. The initial state BZ defines the

Startzustand des Zustandsautomaten; EZ definiert den Endzustand, der die erfolgreiche Abarbeitung der Befehlssequenz BS repräsentiert. Üblicherweise ist Anfangszustand BZ und Endzustand EZ identisch und entspricht einem neutralen Zustand der Chipkarte CHIPK, wenn keine ergänzende Personalisierung stattfindet.Start state of the state machine; EZ defines the final state representing the successful execution of the command sequence BS. Usually, the initial state BZ and the final state EZ are identical and correspond to a neutral state of the chip card CHIPK, if no additional personalization takes place.

Figur 1 veranschaulicht die Teilpersonalisierung der Chipkarte CHIPK im Personalisierungszentrum PZ. Im vorliegenden Aus- führungsbeispiel enthält die Chipkarte CHIPK die eindeutige, nicht veränderbare Chipkartennummer ID, durch die die Chipkarte CHIPK identifiziert werden kann. Das Teilpersonalisie- rungsmodul KEYGEN fordert diese Chipkartennummer ID vom Chip- kartenlese/schreibgerät CHIPLES an und übermittelt sie an Datenbank CHIPDB, damit in dieser ein Eintrag in die Tabelle TABKEY erzeugt wird. In der Tabelle TABKEY wird vorzugsweise für alle ausgelieferten Chipkarten jeweils ein Eintrag gespeichert.FIG. 1 illustrates the partial personalization of the chip card CHIPK in the personalization center PZ. In the present exemplary embodiment, the chip card CHIPK contains the unique, unchangeable chip card number ID, by means of which the chip card CHIPK can be identified. The partial personalization module KEYGEN requests this chip card number ID from the chip card reader / writer CHIPLES and transmits it to the database CHIPDB, so that an entry is created in the table TABKEY. In the table TABKEY is preferred one entry stored for each chip card delivered.

Das Teilpersonalisierungsmodul KEYGEN erzeugt die, vorzugs- weise chipkartenindividuelle, Schlüsselinformationen KEYl und KEY2 bevorzugt nach dem RSA-Verfahren oder alternativ nach einem geeigneten Schlüsselableitungsverfahren. Je nach eingesetztem Verfahren können die Schlüsselinformationen KEYl und KEY2 übereinstimmen, so dass es nur eine gemeinsame Schlüs- selinformation gibt. Die Schlüsselinformation KEYl ist bei Verwendung des RSA-Verfahrens ein privater Schlüssel der Chipkarte CHIPK und Schlüsselinformation KEY2 ist ein dazugehöriger öffentlicher Schlüssel. Je nach eingesetztem Verfahren übermittelt das Teilpersonalisierungsmodul KEYGEN die Schlüsselinformation KEY2 zur Datenbank CHIPDB, damit sie in die Tabelle TABKEY zugeordnet zur Chipkartennummer ID abgespeichert wird. Das Teilpersonalisierungsmodul KEYGEN übermittelt die Schlüsselinformation KEYl an den das Chipkarten- lese/schreibgerät, das die erhaltene Schlüsselinformation KEYl in den nichtflüchtigen Speicher MEM der Chipkarte CHIPK schreibt. Dort bleibt die Schlüsselinformation KEYl dauerhaft gespeichert. Damit ist die Chipkarte CHIPK mit nur wenigen Schritten und geringem Aufwand teilpersonalisiert.The partial personalization module KEYGEN generates the preferably smart card-specific key information KEY1 and KEY2 preferably according to the RSA method or alternatively according to a suitable key derivation method. Depending on the method used, the key information KEY1 and KEY2 can match, so that there is only one common key information. The key information KEY1 is a private key of the chip card CHIPK using the RSA method and key information KEY2 is an associated public key. Depending on the method used, the partial personalization module KEYGEN transmits the key information KEY2 to the database CHIPDB, so that it is stored in the table TABKEY assigned to the chip card number ID. The partial personalization module KEYGEN transmits the key information KEY1 to the chip card reading / writing device which writes the obtained key information KEY1 into the nonvolatile memory MEM of the chip card CHIPK. There, the key information KEYl remains permanently stored. Thus, the chip card CHIPK is partially personalized with only a few steps and little effort.

Zur Aktivierung einer Chipkartenanwendung und/oder Daten wird - vorzugsweise an einem anderen Personalisierungsort und zu einem späteren Zeitpunkt - auf die teilpersonalisierte Chipkarte CHIPK eine solche Anwendung und/oder solche Daten eingerichtet. Die dazu benötigten Verfahrensschritte sind sche- matisch in Figur 2 veranschaulicht:In order to activate a chip card application and / or data, such an application and / or such data is set up on the partially personalized chip card CHIPK, preferably at a different personalization location and at a later time. The process steps required for this purpose are illustrated schematically in FIG. 2:

Im Heimbereich HB des Anwenders steckt ein Anwender die an ihn übergebene Chipkarte CHIPK in ein Chipkartenlese/schreib- gerät CHIPLES2 und startet auf eine nicht näher beschriebene Weise die ergänzende Personalisierung. Daraufhin liest dasIn the home area HB of the user, a user inserts the chip card CHIPK transferred to him into a chip card reader / writer CHIPLES2 and starts the supplementary personalization in a manner not described in detail. Then that reads

Kommunikationsmodul KOMl die Chipkartennummer ID und übermittelt diese, vorzugsweise verschlüsselt durch die Schlüsselin- formation KEYl und/oder einem öffentlichen Schlüssel des Per- sonalisierungszentrums PZ - in der Meldung REQ an das Kommunikationsmodul KOM2 im Personalisierungszentrum PZ um die Lieferung einer Befehlssequenz BS und Befehlssequenzdefiniti- on BSD anzufordern. Je nach Ausprägung der Chipkarte CHIPK kann es für verschiedene zu aktivierende Chipkartenanwendungen ebenfalls verschiedene Meldungen REQ geben, oder eine Meldung REQ mit einem Parameter, der angibt, welche Anwendung auf der Chipkarte zu aktivieren ist.Communication module KOMl the chip card number ID and transmits them, preferably encrypted by the key formation KEY1 and / or a public key of the personalization center PZ - in the message REQ to the communication module KOM2 in the personalization center PZ to request the delivery of a command sequence BS and command sequence definition BSD. Depending on the characteristics of the chip card CHIPK, various messages REQ can also be given for different chip card applications to be activated, or a message REQ with a parameter indicating which application is to be activated on the chip card.

Das Kommunikationsmodul KOM2 extrahiert, evtl. nach vorheriger Entschlüsselung, die übermittelte Chipkartennummer ID aus der Meldung REQ und bestimmt aus der Meldung REQ weiterhin, welche Anwendung in einem späteren Schritt auf der Chipkarte CHIPK zu aktivieren ist. Das Kommunikationsmodul KOM2 kontaktiert die Datenbank CHIPDB und fragt die dort in der Tabelle TABKEY abgespeicherte Schlüsselinformation KEY2 ab. Darüber hinaus fordert das Kommunikationsmodul KOM2 vom Generiermodul BSGEN eine Befehlssequenz BS zum späteren Erzeugen der Chip- kartenanwendung und eine dazugehörige passende Befehlssequenzdefinition BSD an, wobei evtl. zu dessen Erzeugung die Schlüsselinformation KEY2 vom Kommunikationsmodul KOM2 bereitgestellt wird und durch das Generiermodul BSGEN verwendet wird. Die Befehlssequenzdefinition BSD wird dann unter Ver- Wendung der Schlüsselinformation KEY2 und der Befehlssequenz BS so erzeugt, dass sie auf der Chipkarte CHIPK dazu verwendet werden kann, die Ausführung der Befehlssequenz BS nach verschiedenen Kriterien zu überprüfen.The communication module KOM2 extracted, possibly after previous decryption, the transmitted chip card ID ID from the message REQ and further determined from the message REQ, which application is to be activated in a later step on the chip card CHIPK. The communication module COM2 contacts the database CHIPDB and queries the key information KEY2 stored there in the table TABKEY. Furthermore, the communication module KOM2 requests from the generating module BSGEN a command sequence BS for later generation of the chip card application and a corresponding matching command sequence definition BSD, the key information KEY2 possibly being provided by the communication module KOM2 for its generation and being used by the generating module BSGEN. The command sequence definition BSD is then generated using the key information KEY2 and the command sequence BS so that it can be used on the chip card CHIPK to check the execution of the command sequence BS according to various criteria.

Je nachdem welche Chipkartenanwendung zu aktivieren ist, erzeugt oder liest das Generiermodul BSGEN die, die Anwendung einrichtende Befehlssequenz BS und die Befehlssequenzdefinition BSD, wobei vorzugsweise beide unter Verwendung der Schlüsselinformation KEY2 kartenindividuell verschlüsselt werden und somit nur auf derjenigen Chipkarte entschlüsselt werden können, die die passende Schlüsselinformation KEYl enthält. Weiterhin kann eine Befehlssequenz BS erzeugt wer- den, die bei Ausführung mehrere Anwendungen auf der Chipkarte CHIPK einrichten kann. Zusätzlich kann die ergänzende Perso- nalisierungsroutine EPERS ebenfalls vom Generiermodul BSGEN bereitgestellt und auf die Chipkarte übertragen werden (nicht dargestellt) . Dies ist vorteilhaft, wenn für unterschiedliche Befehlssequenzen unterschiedliche Personalisierungsroutinen zur Anwendung kommen.Depending on which chip card application is to be activated, the generation module BSGEN generates or reads the application setup BS and the command sequence definition BSD, preferably both being card-encrypted using the key information KEY2 and thus being decryptable only on the chip card that has the appropriate one Key information KEYl contains. Furthermore, a command sequence BS can be generated. the one that can set up multiple applications on chip card CHIPK when running. In addition, the supplementary personalization routine EPERS can likewise be provided by the generation module BSGEN and transmitted to the chip card (not shown). This is advantageous if different personalization routines are used for different command sequences.

Das Kommunikationsmodul KOM2 sendet die Befehlssequenz BS und die Befehlssequenzdefinition BSD und gegebenenfalls die ergänzende Personalisierungsroutine EPERS in einer, vorzugsweise mittels der Schlüsselinformation KEY2 verschlüsselten und/oder des öffentlichen Schlüssels des Personalisierungs- zentrums PZ verifizierbaren Datenmeldung DAT an das Kommuni- kationsmodul KOMl im Heimbereich HB des Anwenders. Die Befehlssequenz BS und die Befehlssequenzdefinition BSD wird auf die Chipkarte CHIPK übertragen, indem das Kommunikationsmodul KOMl diese unter Verwendung des Chipkartenlese/schreibgeräts CHIPLES2 in den Speicher MEM der Chipkarte CHIPK schreibt. Weiterhin veranlasst das Kommunikationsmodul KOMl ein Aufrufen der ergänzenden Personalisierungsroutine EPERS, um die Befehlssequenz BS im Rahmen der ergänzenden Personalisierung auszuführen.The communication module KOM2 transmits the command sequence BS and the command sequence definition BSD and, if appropriate, the supplementary personalization routine EPERS in a data message DAT, preferably encrypted by means of the key information KEY2 and / or the public key of the personalization center PZ, to the communication module KOM1 in the home area HB user. The command sequence BS and the command sequence definition BSD is transmitted to the chip card CHIPK in that the communication module KOM1 writes it into the memory MEM of the chip card CHIPK using the chip card reading / writing device CHIPLES2. Further, the communication module COMl causes the supplementary personalization routine EPERS to be called to execute the command sequence BS as part of the supplementary personalization.

In Figur 3 ist die Chipkarte CHIPK nach Aufspielen der Befehlssequenz BS und der Befehlssequenzdefinition BSD nach Aufruf der ergänzenden Personalisierungsroutine EPERS schematisch dargestellt. Falls die Befehlssequenz BS und die Befehlssequenzdefinition BSD verschlüsselt auf die Chipkarte gespielt wurden, sind diese durch die ergänzende Personalisierungsroutine EPERS zunächst unter Verwendung der Schlüsselinformation KEYl zu entschlüsseln.FIG. 3 schematically shows the chip card CHIPK after the command sequence BS and the command sequence definition BSD have been loaded after calling the supplementary personalization routine EPERS. If the command sequence BS and the command sequence definition BSD were played encrypted on the smart card, they are to be decrypted by the complementary personalization routine EPERS first using the key information KEYl.

Die Verwendung der Schlüsselinformation KEYl zur Entschlüsse- lung - vorzugsweise unter Verwendung von Standard-Mitteln - sichert somit die folgende Prüfung der Befehlssequenz BS mittels der Befehlssequenzdefinition BSD, da nur für die Ent- schlüsselung durch die Schlüsselinformation KEYl vorbereitete Befehlssequenzen BS entschlüsselt werden können. Somit wird implizit die Ausführung anderer Befehlssequenzen verhindert. Durch die Sicherung der gesamten Befehlssequenz BS werden implizit die jeweiligen Chipkartenbefehle Bl, B2, B3, B4, B5 der Befehlssequenz BS gesichert.The use of the key information KEY1 for decryption - preferably using standard means - thus ensures the following check of the command sequence BS by means of the command sequence definition BSD, since only for the decryption key sequence KEY1 prepared command sequences BS can be decrypted. This implicitly prevents the execution of other command sequences. By securing the entire command sequence BS, the respective chip card commands B1, B2, B3, B4, B5 of the command sequence BS are implicitly saved.

Ein in der ergänzenden Personalisierungsroutine EPERS enthaltener Zeiger zeigt auf den nächsten auszuführenden Befehl der Befehlssequenz BS. Dies ist zu Beginn der erste Befehl Bl der Befehlssequenz BS. Ein weiterer enthaltener Zeiger zeigt parallel dazu auf die erste auszuwertende Befehlssequenzdefini- tionseinheit Dl, die dem Befehl Bl zugeordnet ist, wobei im Anwendungsbeispiel angenommen sei, dass die Befehlssequenzde- finition BSD für die gesamte Befehlssequenz BS Informationsmuster umfasst und es zu jedem Befehl genau eine Befehlssequenzdefinitionseinheit gibt.A pointer contained in the supplemental personalization routine EPERS points to the next instruction to be executed of the instruction sequence BS. This is initially the first instruction Bl of the instruction sequence BS. A further contained pointer points parallel to the first command sequence definition unit D1 to be evaluated, which is assigned to the command Bl, it being assumed in the application example that the command sequence definition BSD comprises information patterns for the entire command sequence BS and exactly one command sequence definition unit for each command gives.

Ein dritter enthaltener Zeiger zeigt auf den, der zu instal- lierenden Anwendung zugewiesenen Speicherbereich im freienA third contained pointer points to the memory area allocated to the application to be installed outdoors

Speicher FREIMEM. In einer alternativen Ausprägung der Erfindung kann dieser Speicherbereich bereits im Rahmen der Teil- personalisierung für die Anwendung reserviert werden.Memory FREE. In an alternative embodiment of the invention, this memory area can already be reserved for the application as part of the partial personalization.

Die Darstellung als Zeiger ist dabei nur zur Verdeutlichung eingeführt worden und kann in einer Implementierung einer Chipkarte CHIPK auch ohne Zeiger gelöst werden. Der Fehlerzähler FEHLZ ist entweder bereits auf der Chipkarte CHIPK vorhanden oder wird erst durch die ergänzenden Personalisie- rungsroutine EPERS im Speicher MEM erzeugt.The representation as a pointer has been introduced only for clarification and can be solved in an implementation of a smart card CHIPK without pointer. The error counter FEHLZ is either already present on the chip card CHIPK or is only generated by the supplementary personalization routine EPERS in the memory MEM.

Die ergänzenden Personalisierungsroutine EPERS liest nun (nicht dargestellt) , den ersten Befehls Bl der Befehlssequenz BS und prüft mittels der zugehörigen Befehlssequenzdefiniti- onseinheit Dl, ob der auszuführende Befehl Bl dieser Befehlssequenzdefinitionseinheit Dl genügt. Damit kann sichergestellt werden, dass kein unzulässiger Befehl ausgeführt wird und dass keine Befehle in falscher Reihenfolge ausgeführt werden. Sofern der Befehl Bl der Befehlssequenzdefinitions- einheit Dl genügt, wird er durch die Chipkarte CHIPK ausgeführt und sofern es sich um einen Schreibbefehl auf den Spei- eher MEM handelt, wird ein Teil des freien Speichers FREIMEM mit Applikationsdaten APPDATA beschrieben. Damit reduziert sich der freie Speicher FREIMEM. Anschließend werden die Zeiger so weitergeschaltet, dass als nächster auszuführender Befehl der Befehl B2 und als nächste auszuwertende Befehlsse- quenzdefinitionseinheiten die Einheit D2 gesetzt ist.The supplementary personalization routine EPERS now reads (not shown) the first instruction Bl of the instruction sequence BS and checks by means of the associated instruction sequence definition unit D1 whether the instruction Bl to be executed satisfies this instruction sequence definition unit D1. This can be used to ensure that no illegal command is executed and that no commands are executed in the wrong order. If the command Bl satisfies the command sequence definition unit Dl, it is executed by the chip card CHIPK and, if it is a write command to the memory MEM, a part of the free memory FREIMEM with application data APPDATA is described. This reduces the free memory FREIMEM. Subsequently, the pointers are indexed so that the command B2 to be executed next and the command sequence definition units to be evaluated next, the unit D2 is set.

Im Falle eines Fehlers werden die Zeiger nicht weitergeschaltet und der Fehlerzähler FEHLZ erhöht. Das weitere Verhalten nach einem Fehler kann unterschiedlich ausgeprägt sein; z.B. kann die Abarbeitung der Befehlssequenz BS abgebrochen werden oder es kann versucht werden, den Befehl ein weiteres mal auszuführen. Bei Abbruch der Befehlssequenz BS kann der Zeiger auf die Befehlssequenzdefinition BSD zurückgesetzt werden oder er kann an der bisherigen Stelle bleiben, um nach Über- tragen einer weiteren Befehlssequenz BS auf die Chipkarte CHIPK die Abarbeitung dort fortzusetzen.In the case of an error, the hands are not indexed and the error counter MISSING is increased. The further behavior after an error can be different; e.g. the execution of the command sequence BS can be aborted or it can be attempted to execute the command again. If the command sequence BS is aborted, the pointer to the command sequence definition BSD can be reset or it can remain at the previous position in order to continue processing there after transferring a further command sequence BS to the chip card CHIPK.

Die ergänzende Personalisierungsroutine EPERS oder eine Betriebssystem-Routine der Chipkarte CHIPK kann den Fehlerzäh- ler FEHLZ überprüfen und bei Überschreiten eines vorgegebenen Schwellwerts eine Aktion auslösen, wie z.B. das Unbrauchbarmachen der Chipkarte CHIPK.The supplementary personalization routine EPERS or an operating system routine of the chip card CHIPK can check the error counter MISSED and, when a predetermined threshold value is exceeded, trigger an action, such as the following: Disabling the chip card CHIPK.

Figur 4 veranschaulicht schematisch die Chipkarte CHIPK nach erfolgreicher Abarbeitung von vier Befehlen Bl, B2, B3, B4 der Befehlssequenz BS. Analog wurden in der dargestellten Ausprägung der Erfindung nach Abarbeitung der vier Befehle auch vier Befehlssequenzdefinitionseinheiten Dl, D2, D3, D4 ausgewertet. Ein ursprünglich freier Speicherbereich wurde bei Ausführung der Befehle Bl, B2, B3, B4 für die Speicherung der Anwendungsdaten APPDATA verwendet. Nach Abarbeitung aller Befehle der Befehlssequenz BS, sind parallel alle Befehlsse- quenzdefinitionseinheiten der Befehlssequenzdefinition BSD erfolgreich ausgewertet worden und die gewünschte Anwendung in den Anwendungsdaten APPDATA angelegt worden. Somit ist die Chipkartenanwendung eingerichtet und die ergänzende Persona- lisierung kann beendet werden.FIG. 4 schematically illustrates the chip card CHIPK after successful execution of four instructions B1, B2, B3, B4 of the command sequence BS. Analogously, four command sequence definition units D 1, D 2, D 3, D 4 were evaluated in the illustrated embodiment of the invention after processing the four commands. An originally free memory area was used when executing the commands Bl, B2, B3, B4 for the storage of the application data APPDATA. After execution of all instructions of the instruction sequence BS, all instruction commands The sequence definition units of the command sequence definition BSD have been successfully evaluated and the desired application has been created in the application data APPDATA. Thus, the smart card application is set up and the supplementary personalization can be terminated.

Die Befehlssequenz BS und Befehlssequenzdefinition BSD kann von der ergänzenden Personalisierungsroutine EPERS gelöscht werden. Weiterhin kann sich diese Routine beenden. Die Chip- karte CHIPK kann nach Beendigung der ergänzenden Personalisierung die nun auf ihr gespeicherte Anwendung verwenden.The command sequence BS and command sequence definition BSD can be deleted by the supplementary personalization routine EPERS. Furthermore, this routine may end. The chip card CHIPK can use the application now stored on it after completion of the supplementary personalization.

Die Chipkarte CHIPK kann eine Meldung (nicht dargestellt) über die erfolgreiche Abarbeitung der Befehlssequenz BS an das Kommunikationsmodul KOMl senden, das diese Information dann an den Anwender auf dem Bildschirm eines Terminals anzeigen kann.The chip card CHIPK can send a message (not shown) about the successful execution of the command sequence BS to the communication module KOM1, which can then display this information to the user on the screen of a terminal.

Weiterhin kann das Kommunikationsmodul KOMl eine entsprechende Meldung (nicht dargestellt) an das Personalisierungszent- rum PZ senden.Furthermore, the communication module KOM1 can send a corresponding message (not shown) to the personalization center PZ.

Figur 5 stellt schematisch eine, einen Zustandsautomaten vorgebende, Befehlssequenzdefinition BSD dar. Eine erfolgreiche Auswertung einer Befehlssequenzdefinitionseinheit Dl und so- mit eine erfolgreiche Abarbeitung eines Befehls Bl, lässt den Zustandsautomaten vom Anfangszustand BZ in den Zustand Zl wechseln. Dieser Zustand wird vom Automaten wiederum nur verlassen und zum einzig folgenden Zustand Z2 weitergeschaltet, wenn die Befehlssequenzdefinitionseinheit D2 erfolgreich aus- gewertet wurde und somit Befehl B2 abgearbeitet wurde. Da der in Figur 5 dargestellte Zustandsautomat keinerlei vorwärts- oder rückwärtsgerichtete Schleifen im Zustandsgraphen besitzt, gibt es nur eine Folge von Befehlssequenzdefinitionseinheiten, die den Zustandsautomaten komplett durchläuft und ihn in den Endzustand EZ bringt. Der Endzustand EZ ist dann wie der Anfangszustand BZ wieder ein Zustand, der üblicher- weise im Normalbetrieb der Chipkarte CHIPK, also außerhalb der ergänzenden Personalisierung, eingenommen wird.FIG. 5 schematically illustrates an instruction sequence definition BSD which prescribes a state machine. A successful evaluation of a command sequence definition unit D 1 and thus a successful execution of an instruction Bl causes the state machine to change from the initial state BZ to the state Z 1. This state is in turn only left by the machine and forwarded to the only following state Z2 when the command sequence definition unit D2 has been successfully evaluated and thus command B2 has been executed. Since the state machine illustrated in FIG. 5 has no forward or backward loops in the state graph, there is only one sequence of command sequence definition units that completes the state machine and places it in the final state EZ. The final state EZ is then like the initial state BZ again a state, the usual wise in normal operation of the chip card CHIPK, so outside the complementary personalization is taken.

Es kann somit garantiert werden, dass in einer Befehlssequenz BS entsprechend der Vorgabe der Befehlssequenzdefinition BSD alle Befehle der Befehlssequenz BS abgearbeitet werden, dass die Reihenfolge der Befehle der Befehlssequenzdefinition BSD genügen und dass keine in die Befehlssequenz BS später eingefügte Befehle, abgearbeitet werden.It can thus be guaranteed that in a command sequence BS according to the specification of the command sequence definition BSD all commands of the command sequence BS are processed, that the order of the commands satisfy the command sequence definition BSD and that no commands inserted later in the command sequence BS are executed.

Durch den Übergang aus dem Anfangszustand BZ kann gesteuert werden, dass dadurch weitergehende Zugriffsrechte, wie z.B. Schreibrecht auf bestimmte Speicherbereiche durch Setzen einer Zugriffsberechtigung, freigeschaltet werden und während der Ausführung der Befehlssequenz BS zur Verfügung stehen. Durch den Übergang zum Endzustand EZ kann diese Zugriffsberechtigung dann wieder zurückgenommen werden. Falls jeder Chipkartenbefehl vor seiner Abarbeitung auf von ihm benötigte Zugriffsberechtigungen geprüft wird, kann somit erreicht wer- den, dass während einer ergänzenden Personalisierung ausgeführte Chipkartenbefehle ausreichende Zugriffsrechte besitzen, und solche Chipkartenbefehle außerhalb der ergänzenden Personalisierung gesperrt werden.The transition from the initial state BZ can be used to control further access rights, e.g. Write access to certain memory areas by setting an access authorization, are enabled and available during the execution of the command sequence BS. Due to the transition to the final state EZ, this access authorization can then be withdrawn again. If each chip card command is checked for access authorizations it requires before it can be processed, it is thus possible to achieve that chip card commands executed during a supplementary personalization have sufficient access rights and such chip card commands are blocked outside of the supplementary personalization.

Das vorliegende Ausführungsbeispiel umfasst eine Authorisie- rung beim Personalisierungszentrum PZ, eine gesicherte Übertragung der Befehlssequenz BS, eine Prüfung der Befehlssequenz BS durch die Befehlssequenzdefinition BSD, die einen schleifenfreien Zustandsautomaten vorgibt. Damit genügt es den üblicherweise hohen Sicherheitsforderungen für digitaleThe present embodiment comprises an authorization at the personalization center PZ, a secure transmission of the command sequence BS, a check of the command sequence BS by the command sequence definition BSD, which specifies a loop-free state machine. Thus, it meets the usually high security requirements for digital

Signaturanwendungen. Durch individuelle Kombination der angegebenen Merkmale und durch individuelle Ausgestaltung dieser Merkmale, ermöglichen Ausgestaltungen dieser Erfindung nach den individuellen Sicherheitsvorgaben von Personalisierungs- Zentren eine exakte Umsetzung dieser Sicherheitsvorgaben. Signature applications. By individual combination of the specified features and by individual design of these features, embodiments of this invention allow for the individual security specifications of personalization centers an exact implementation of these security requirements.

Claims

Patentansprüche claims

1. Verfahren zur Personalisierung einer Chipkarte (CHIPK), bei dem a. im Rahmen einer Teilpersonalisierung eine Schlüsselinformation (KEYl) in einem Speicher (MEM) der Chipkarte (CHIPK) gespeichert wird, b. im Rahmen einer ergänzenden Personalisierung i. eine Befehlssequenzdefinition (BSD) auf die Chipkarte (CHIPK) übertragen wird, ii. eine, eine Chipkartenanwendung einrichtende Befehlssequenz (BS) mit durch die Chipkarte (CHIPK) auszuführenden Chipkartenbefehlen (B1,B2,B3,B4,B5) , auf die Chipkarte (CHIPK) ü- bertragen wird, iii. für einen jeweiligen Chipkartenbefehl1. A method for personalizing a chip card (CHIPK), in which a. in the context of a partial personalization a key information (KEY1) is stored in a memory (MEM) of the chip card (CHIPK), b. as part of a complementary personalization i. an instruction sequence definition (BSD) is transferred to the chip card (CHIPK), ii. a command sequence (BS) setting up a smart card application with chip card commands (B1, B2, B3, B4, B5) to be executed by the chip card (CHIPK), to which chip card (CHIPK) is transferred, iii. for a respective chip card command

(Bl,B2,B3,B4,B5) eine die Schlüsselinformation (KEYl) verwendende und dadurch gesicherte Prüfung erfolgt, ob dieser Chipkartenbefehl (B1,B2,B3,B4,B5) der Befehlssequenzdefinition(Bl, B2, B3, B4, B5), a check using the key information (KEY1) and thereby secured is made, whether this smart card command (B1, B2, B3, B4, B5) of the command sequence definition

(BSD) genügt, und iv. falls das zutrifft, der betreffende Chipkartenbefehl (B1,B2,B3,B4,B5) durch die Chipkarte (CHIPK) ausgeführt wird.(BSD), and iv. if so, the chip card command (B1, B2, B3, B4, B5) in question is executed by the chip card (CHIPK).

2 . Verfahren nach Anspruch 1 , dadu r ch ge ke nn z e i chn e t , dass zur Ausführung der Befehlssequenz (BS) eine Zugriffsberechtigung auf der Chipkarte gesetzt wird, und vor Ausführung eines jeweiligen Chipkartenbefehls2. Method according to Claim 1, characterized in that an access authorization is set on the chip card for executing the command sequence (BS), and before execution of a respective chip card command

(Bl,B2,B3,B4,B5) ein Vorhandensein der Zugriffsberechtigung geprüft wird, bei positivem Prüfungsergebnis, der betreffende Chipkartenbefehl (B1,B2,B3,B4,B5) ausführt wird, und bei negativem Prüfungsergebnis der betreffende Chipkartenbefehl (B1,B2,B3,B4,B5) nicht ausgeführt wird. (Bl, B2, B3, B4, B5) a presence of the access authorization is checked, if the test result is positive, the relevant chip card command (B1, B2, B3, B4, B5) is executed, and if the test result is negative, the chip card command concerned (B1, B2 , B3, B4, B5) is not executed.

3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schlüsselinformation (KEYl) chipkartenindividu- ell oder chipkartengruppenindividuell ist.3. The method according to any one of the preceding claims, characterized in that the key information (KEYl) is chip card individual or smart card group-individual.

4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Rahmen einer ergänzenden Personalisierung eine die ergänzende Personalisierung durchführende ergänzende Personalisierungsroutine (EPERS) auf die Chipkarte (CHIPK) übertragen wird.4. The method according to any one of the preceding claims, characterized in that in the context of a supplementary personalization a complementary personalization performing supplementary personalization routine (EPERS) is transferred to the smart card (CHIPK).

5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Befehlssequenzdefinition (BSD) Zustände5. The method according to any one of the preceding claims, characterized in that the command sequence definition (BSD) states

(BZ, Zl, Z2, Z3, Zn) und Zustandsübergänge eines Zustandsautomaten vorgibt, der von einem jeweiligen Zustand (BZ, Zl, Z2, Z3, Zn) in einen vorgegebenen, von vorher eingenommenen Zuständen verschiedenen Folgezustand wechselt, wobei einem jeweiligen Zustand (BZ, Zl, Z2, Z3, Zn) jeweils ein vorgegebener Chipkartenbefehl zugeordnet ist, der in diesem Zustand (BZ, Zl, Z2, Z3, Zn) zur Ausführung zugelassen ist.(BZ, Z1, Z2, Z3, Zn) and state transitions of a state machine, which changes from a respective state (BZ, Z1, Z2, Z3, Zn) to a predetermined state of being different from previously assumed states, wherein a respective state ( BZ, Zl, Z2, Z3, Zn) in each case a predetermined chip card command is assigned, which is allowed in this state (BZ, Z1, Z2, Z3, Zn) for execution.

6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Befehlssequenzdefinition (BSD) , die Befehlssequenz (BS) , die ergänzende Personalisierungsroutine (EPERS) , eine durch Abarbeitung der Befehlssequenz (BS) bis zu einem jeweiligen Chipkartenbefehl (Bl,B2,B3,B4,B5) teilweise eingerichtete Chipkartenanwendung (APPDATA) , die Zugriffsberechtigung, der Zustandsautomat und/oder ein jeweilig eingenommener Zustand (BZ, Zl, Z2, Z3, Zn,EZ) des Zustandsautomaten in einem vorzugsweise nichtflüchti- gen Speicher (MEM) der Chipkarte (CHIPK) gespeichert werden. 6. The method according to any one of the preceding claims, characterized in that the command sequence definition (BSD), the command sequence (BS), the supplementary personalization routine (EPERS), by processing the command sequence (BS) to a respective smart card command (Bl, B2, B3, B4, B5) partially established chip card application (APPDATA), the access authorization, the state machine and / or a respective assumed state (BZ, Z1, Z2, Z3, Zn, EZ) of the state machine in a preferably non-volatile memory (MEM) the chip card (CHIPK) are stored.

7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach einer vollständigen Abarbeitung der Befehlssequenz (BS) a. eine, die vollzogene ergänzende Personalisierung anzeigende Information auf der Chipkarte (CHIPK) gespeichert wird, b. die Zugriffsberechtigung gelöscht wird, und/oder c. die Befehlssequenzdefinition (BSD), die Befehlssequenz (BS) , die ergänzende Personalisierungsroutine (EPERS) , der Zustandsautomat und/oder ein Zustand des Zustandsautomaten auf der Chipkarte (CHIPK) gelöscht wird.7. The method according to any one of the preceding claims, characterized in that after a complete execution of the command sequence (BS) a. an information indicating completed completion personalization is stored on the smart card (CHIPK), b. the access authorization is deleted, and / or c. the command sequence definition (BSD), the command sequence (BS), the supplementary personalization routine (EPERS), the state machine and / or a status of the state machine on the chip card (CHIPK) is deleted.

8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Chipkartenbefehl (Bl,B2,B3,B4,B5) einer Befehlssequenz (BS) eine Befehlssequenzdefinition (BSD) für eine weitere Befehlssequenz (BS) enthält.8. The method according to any one of the preceding claims, characterized in that a smart card command (Bl, B2, B3, B4, B5) of a command sequence (BS) includes a command sequence definition (BSD) for another command sequence (BS).

9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach Ausführen eines letzten Chipkartenbefehls der Befehlssequenz eine Testroutine zur Überprüfung einer erfolgreichen Personalisierung aufgerufen wird und diese Testroutine bei Erkennen einer fehlerhaften Personalisierung eine, die fehlerhafte Personalisierung anzeigende Information auf die Chipkarte (CHIPK) speichert.9. The method according to any one of the preceding claims, characterized in that after executing a last chip card command sequence command a test routine for checking a successful personalization is called and this test routine on detection of a faulty personalization, the incorrect personalization indicating information on the smart card (CHIPK) stores.

10.Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Rahmen der Teilpersonalisierung eine Routine ausgeführt wird, die einen Speicherbereich auf der Chipkarte (CHIPK) reserviert für die Aufnahme von im Rahmen der ergänzenden Personalisierung bei der Ausführung der Befehlssequenz (BS) erzeugte Daten (APPDATA) der Chipkartenanwendung.10.Verfahren according to any one of the preceding claims, characterized in that in the context of Teilpersonalisierung a routine is executed, which reserves a memory area on the chip card (CHIPK) for the inclusion of in the context of complementary Personalization in the execution of the command sequence (BS) generated data (APPDATA) of the smart card application.

11.Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bis zur vollständigen Abarbeitung der Befehlssequenz (BS) ein Aufrufen von nicht in der Befehlssequenz (BS) enthaltenen Chipkartebefehlen gesperrt ist. 11.Verfahren according to any one of the preceding claims, characterized in that until the complete execution of the command sequence (BS) a calling of not in the command sequence (BS) contained chip card commands is blocked.