Verfahren zum wenigstens temporären Freischalten einer bidirektionalen

Kommunikation und Transponder

Die Erfindung betrifft ein Verfahren zum wenigstens temporären Freischalten einer bidirektionalen Kommunikation zwischen einem Transponder und einer Basisstation. Die Erfindung betrifft weiter einen Transponder, welcher wenigstens in einen ersten stummgeschalteten Zustand und in einen temporär freigeschalteten Zustand versetzbar ist.

(Bidirektionale) Kommunikationen zwischen einer Basisstation oder einem Reader und einem passiven oder semipassiven Transponder finden beispielsweise bei kontaktlosen Identifikationssystemen oder sogenannten Radio-Frequency-Identification (RFID)-Systemen

Verwendung. Ein derartiges System besteht üblicherweise aus einer Basisstation bzw. einem Schreib- und/oder Lesegerät oder einer Leseeinheit und einer Vielzahl von Transpondern oder Remote- Sensoren (Tags), die sich gleichzeitig im Ansprechbereich der Basisstation befinden. Die übertragung von Energie und Daten zwischen der Basisstation und dem Transponder erfolgt entweder durch eine induktive Kopplung oder durch eine Kopplung mithilfe elektromagnetischer Wellen. Die Transponder bzw. deren Sende- und Empfangseinrichtungen verfügen im Regelfall nicht über einen aktiven

Sender für die Datenübertragung zur ßasisstation. Transponder ohne aktive Sender werden als passive Transponder bezeichnet, wenn sie keine eigene Energieversorgung aufweisen, und als semipassive Transponder bezeichnet, wenn sie eine eigene Energieversorgung aufweisen. Passive Transponder entnehmen die zu ihrer Versorgung benötigte Energie dem von der Basisstation emittierten elektromagnetischen Feld oder der emittierten Energie.

Zur Datenübertragung von einem Transponder zur Basisstation mit Ultrahochfrequenz (UHF) oder Mikrowellen im Fernfeld der Basisstation wird in der Regel die sogenannte Backscatter- oder Rückstreukopplung eingesetzt. Hierzu werden von der Basisstation elektromagnetische Trägerwellen emittiert, die durch die Sende- und Empfangseinrichtung des Transponders entsprechend den an die Basisstation zu übertragenden Daten mit einem Modulationsverfahren moduliert und reflektiert werden. Typische Modulationsverfahren sind die Amplitudenmodulation, die Phasenmodulation und die Amplitude-Shift- Keying(ASK)-Unterträgermodulation, bei der die Frequenz oder die Phasenlage des Unterträgers geändert wird.

In dem Normungsvorschlag ISO/IEC_CD 18000-6C vom 07.01.2005 ist ein Zugriffssteuerungsverfahren für Transponder beschrieben. Der Transponder wird hierbei zunächst in einem Auswahl- bzw. Arbitrierungsverfahren aus einer Menge von Transpondern ausgewählt. Bei dem beschriebenen Auswahlverfahren handelt es sich um ein stochastisches Verfahren in Form eines slotbasierten ALOHA- Verfahrens. Derartige Auswahlverfahren sind ausführlich beispielsweise in dem Lehrbuch Klaus Finkenzeller, RFID-Handbuch, 3. Aufl., HANSER, 2002, beschrieben.

Wenn der Transponder ausgewählt bzw. selektiert oder vereinzelt ist, sendet die Leseeinheit eine Anfrage an den Transponder in Form einer

Rückübermittlung einer zuvor im Rahmen des Arbitrierungsverfahrens durch den Transponder übertragenen Zufallszahl, worauf der Transponder Protokollsteuerbits (PC) und eine Kennung in Form eines sogenannten elektronischen Produktcodes (EPC) an die Leseeinheit überträgt. Die Protokollsteuerbits beinhalten Informationen bezüglich einer physikalischen Schicht der übertragungsstrecke. Die Kennung bzw. der elektronische Produktcode EPC bildet unter anderem eine durch den Transponder gekennzeichnete Ware ab. Die Zuordnung vom EPC zu der gekennzeichneten Ware ist standardisiert, so dass aus der Kenntnis der EPC auf die Ware geschlossen werden kann. Weiterhin kann der EPC durch die Leseeinheit als Zeiger auf weitere Information, beispielsweise auf ein dem EPC zugeordnetes Passwort, verwendet werden. Das Passwort kann zur Verriegelung von Speicherbereichen des Transponders für Schreibzugriffe dienen.

Die übertragung des EPC auf eine Anfrage an die Leseeinheit birgt jedoch gewisse Risiken. So können Unbefugte beim Transport der Waren gezielt nach Waren bestimmten Typs, beispielsweise nach hochwertigen Uhren oder Waffen, suchen, da der warenkennzeichnende EPC ungeschützt übertragen wird. Hierzu ist lediglich ein geeignetes Lesegerät in die Reichweite der Transponder zu bringen, beispielsweise auf einem Autobahnparkplatz oder in Bahnhöfen.

Nach der übertragung der PC und des EPC durch den Transponder ist ein Lese- und/oder ein Schreibzugriff auf Speicherbereiche des Transponders durch die Leseeinheit möglich, es sei denn, dass bestimmte Bereiche für einen Schreibzugriff verriegelt oder gelockt sind. Weiterhin kann ein Lesezugriff auf Passwörter ebenfalls gesperrt sein. Trotz einer möglichen Leseverriegelung der Passwörter besteht ein gewisses Sicherheitsrisiko darin, dass unbefugte Personen auf möglicherweise private Speicherinhalte Zugriff haben.

Bei der Verwendung eines Transponders in sogenannten Chipkarten können personenbezogene Daten als Speicherinhalt abgelegt sein. Auch hier ist es wünschenswert, den Zugriff auf diese Daten zu reglementieren, um beispielsweise beim Betreten eines Kaufhauses nicht durch Auslesen des Speicherinhaltes automatisch feststellen zu können, ob der betreffende Kunde noch Geld auf der Chipkarte hat oder nicht.

Auch im industriellen Alltag kann es wünschenswert sein, einen Transponder zumindest temporär stumm zu schalten. Sind beispielsweise Transponder auf allen Produkten einer Versandeinheit, wie einer Palette, angebracht, so kann es für eine Erkennung und für eine Handhabung der Versandeinheit in der Logistik von Vorteil sein, wenn die Transponder zumindest teilweise stummgeschaltet sind. Dadurch wird beispielsweise eine Erfassung schneller und effizienter und eine Mehrfacherfassung bestimmter Informationen ist vermeidbar. Dies führt wiederum dazu, dass ein Rechenaufwand in einer sogenannten Mittelware für Filterfunktionen oder dergleichen reduziert wird.

Ein Stummschalten eines Transponders erfolgt beispielsweise durch einen sogenannten Cloak- oder Tarn-Befehl. Aus der US 6,690,264 B2 ist ein Transponder bekannt, wobei der Transponder einen Schaltkreis umfasst, durch welchen ein Schalter betätigbar ist, so dass eine Kommunikation über eine Antenne, d. h. ein Senden von Daten durch den Transponder, ermöglicht oder unterbunden ist. Ein Empfang von Daten ist dagegen auch in dem stummgeschalteten Zustand möglich. Dadurch ist es möglich, einen Befehl an den Transponder zu senden, durch welchen dieser freigeschaltet wird. Ein Freischaltsignal wird dabei im Klartext übertragen. Dies widerspricht der allgemeinen Regel, dass Passwörter oder dergleichen zumindest im Vorwärtskanal (d. h. von einer Basisstation an einen Transponder, engl. „Forward link") nicht im

Klartext übertragen werden dürfen, da der Vorwärtskanal in einer Entfernung von ein bis zwei Kilometer abhörbar ist.

Es ist daher Aufgabe der vorliegenden Erfindung ein sicheres Verfahren zum wenigstens temporären Freischalten einer bidirektionalen Kommunikation zwischen einem Transponder und einer Basisstation zu schaffen, sowie einen Transponder, welcher stummgeschaltet und zumindest temporär freigeschaltet werden kann.

Diese Aufgabe wird gelöst durch ein Verfahren zum wenigstens temporären Freischalten einer bidirektionalen Kommunikation zwischen einem Transponder mit einem nicht flüchtigen Speicherbereich und einer Basisstation, wobei durch den Transponder in einem zumindest teilweise stummgeschalteten Zustand Nachrichten empfangen werden, aber zumindest keine Informationen betreffend Daten aus dem nicht flüchtigen Speicherbereich gesendet werden. Erfϊndungsgemäß wird zum Freischalten durch die Basisstation ein Datenstrom an den Transponder übermittelt, wobei der Datenstrom vor einer übermittlung mit einem symmetrischen Passwort verknüpft, insbesondere verschlüsselt, wird, ein Freischaltsignal durch den Transponder aus dem empfangenen Datenstrom mit dem symmetrischen Passwort extrahiert wird und der Transponder zumindest temporär freigeschaltet wird, nachdem das Freischaltsignal als gültig verifiziert wurde. In einer Ausgestaltung der Erfindung ist es in einem teilweise stummgeschalteten Zustand möglich, dass der Transponder Zufallszahlen sendet. Der Transponder sendet jedoch zumindest keine Daten aus seinem nichtflüchtigen Speicher.

Durch die Verschlüsselung des Datenstroms mit einem auf dem Transponder abgelegten symmetrischen Passwort wird eine übertragung des Freischaltsignals im Klartext im Vorwärtskanal vermieden. So ist es einem Lauscher zwar grundsätzlich möglich, den

übertragenen Datenstrom abzufangen, er erhält dadurch jedoch keine Kenntnisse über das Freischaltsignal und/oder das Passwort.

In einer Ausgestaltung der Erfindung wird ein mehrteiliger Datenstrom gesendet. In einer Ausgestaltung wird dabei zunächst ein erstes symmetrisches Passwort durch die Basisstation mit einer beliebigen Zufallszahl verknüpft, insbesondere verschlüsselt, und an den Transponder übertragen. Als zweiter Teil des Datenstroms wird das Freischaltsignal ebenfalls mit der Zufallszahl verknüpft, insbesondere verschlüsselt, und an den Transponder übertragen. Der Transponder extrahiert die Zufallszahl unter Verwendung des symmetrischen ersten Passworts und kann den zweiten Teil des Datenstroms unter Verwendung der extrahierten Zufallszahl entschlüsseln und somit das empfangene Freischaltsignal verifizieren.

In einer Ausgestaltung der Erfindung wird ein zweiteiliges symmetrisches Passwort auf dem Transponder abgespeichert. In einer Ausgestaltung wird dabei ein Teil des Passworts als Freischaltsignal verwendet. Als zweiteiliges Passwort im Sinne der Erfindung werden dabei auch zwei getrennte Passwörter bezeichnet. Die beiden Teile des Passworts werden in einer weiteren Ausgestaltung für eine übertragung miteinander verknüpft beispielsweise über eine XOR-Verknüpfung. Alternativ oder zusätzlich kann als ein Passwort(-Teil) eine Identifikationskennung, insbesondere eine transponderspezifische Identifikationskennung oder Teile davon fungieren. üblicherweise werden als transponderspezifische Identifikationskennungen fortlaufende Nummern verwendet, so dass zumindest Teile einer entsprechenden Identifikationskennung einer berechtigten Basisstation bekannt sind. Vorzugsweise werden jedoch für eine Freischaltung keine Passwörter verwendet, welche auch für eine Freigabe eines Schreibzugriffs auf den Transponder eingesetzt werden. Dadurch kann die Sicherheit erhöht werden.

In einer weiteren Ausgestaltung der Erfindung umfasst der Datenstrom einen Adresszeiger, auf einen Aktivierungsspeicherbereich auf dem Transponder. Als Aktivierungsspeicherbereich wird im Zusammenhang mit der Erfindung ein Speicherbereich des Transponders bezeichnet, auf welchem ein Freischaltsignal, ein Passwort oder dergleichen für die Extraktion des Freischaltsignals abgelegt ist. Ein

Aktivierungsspeicherbereich kann dabei in einer beliebigen Speicherbank des Transponders vorgesehen werden. üblicherweise sollte jedoch für eine Konformität mit dem genannten Standard ISO/IEC_CD 18000-6C kein Ablegen in einem geschützten Passwortspeicherbereich erfolgen. In einem Ausführungsbeispiel zeigt der Adresszeiger auf einen Speicherbereich, dessen Inhalt als symmetrisches Passwort zum Verschlüsseln des Freischaltsignals verwendet wird.

In einer weiteren Ausgestaltung der Erfindung umfasst der Datenstrom einen Masken- Datenstrom, wobei das Freischaltsignal aus dem Masken-Datenstrom durch das symmetrische Passwort extrahiert wird. In einer vorteilhaften Ausgestaltung der Erfindung umfasst der Datenstrom einen ersten Teil, insbesondere einen ersten verschlüsselten Teil, aus welchem ein Adresszeiger extrahierbar ist. Der zweite Teil ist ein Masken-Datenstrom, wobei der zweite Teil mittels des Inhalts oder des Passworts entschlüsselbar ist, welcher/welches in dem zu dem Adresszeiger korrespondierenden Speicherbereich des Transponders abgelegt ist. Ist der entschlüsselte Masken-Datenstrom gleich dem Freischaltsignal, so erfolgt ein (zumindest temporäres) Freischalten des Transponders. Somit kann ein beliebiger Inhalt eines Aktivierungsspeicherbereichs, welcher der Basisstation bekannt ist, als Freischaltsignal verwendet werden. Durch übertragen eines Adresszeigers auf den zugehörigen Speicherbereich wird dem Transponder das verwendete Freischaltsignal bekannt gemacht. Der

Adresszeiger und das Freischaltsignal können dabei jeweils verschlüsselt übertragen werden, wobei zur Verschlüsselung das symmetrische Passwort verwendet wird. In einer anderen Ausgestaltung wird der Inhalt des zu dem Adresszeiger gehörigen Speicherbereichs als Passwort verwendet. Mithilfe dieses Passworts kann das Freischaltsignal aus dem Masken-Datenstrom extrahiert und verifiziert werden. Dabei kann der Adresszeiger zum übertragen verschlüsselt werden. Zur Verschlüsselung kann dabei beispielsweise das Freischaltsignal verwendet werden, wobei beim Transponder unter Annahme eines richtigen Freischaltsignals der Adresszeiger aus dem verschlüsselten Adresszeiger extrahiert wird.

In einer weiteren Ausgestaltung der Erfindung wird ein Teil des Datenstroms, insbesondere der Masken-Datenstrom, in einem Interleaving-Verfahren durch die Basisstation übertragen. In einem Interleaving-Verfahren werden abwechselnd Bits des Datenstroms und Platzhalter-Bits, sogenannte Dummy-Bits, übertragen. In einer Ausgestaltung der Erfindung wird während eines Empfangs des Datenstroms durch den Transponder abwechselnd zuerst ein sogenanntes Masken-Bit, beispielsweise ein Bit des Freischaltsignals, aus dem Aktivierungsspeicherbereich entsprechend der übertragenen Adresse gelesen und in einem Zwischenspeicher abgelegt, und anschließend ein entsprechendes Bit des im Transponder gespeicherten Passworts mit einem zugehörigen, in dem Masken-Datenstrom empfangenen Bit verknüpft und das Ergebnis mit dem in dem Zwischenspeicher gespeicherten Masken-Bit verglichen. Stimmen die verglichenen Bits überein, so wird ein nächstes Bit-Paar dem Vergleich zugeführt. Durch das Interleaving-Verfahren ist es möglich, beim Transponder lediglich die Spaltenadresse des nichtflüchtigen Speichers zu wechseln (zwischen der Adresse der Maske, d. h. des Freischaltsignals, und der Adresse des Passworts), die Bitadresse ist

dabei für beide gleich. Dadurch ist ein schaltungstechnischer Aufwand zum Auslesen der Bits reduziert.

In einer weiteren Ausgestaltung der Erfindung wird der Datenstrom durch Verwendung eines standardisierten Kommandos übertragen. Ein Lauscher hat üblicherweise keine Kenntnisse über die Existenz eines stummgeschalteten Transponders in seinem Umfeld. Durch Versenden eines Freischaltcodes mittels eines standardisierten Kommandos, welches üblicherweise für die Kommunikation verwendet wird, wird der Lauscher nicht darüber informiert, dass eine übertragung eines Freischaltsignals erfolgt.

In einer weiteren Ausgestaltung der Erfindung wird ein Freischaltsignal unter Verwendung des Auswahl-Befehls gemäß ISO/IEC 18000-6C übertragen. Der Auswahl-Befehl (Engl. Select) erlaubt ein übertragen einer beliebigen Anzahl an Bits in einem sogenannten Masken- Datenstrom. Durch den Auswahl-Befehl wird weiter eine Adresse einer zugehörigen (Selektions-)Maske auf dem Transponder übertragen. Die Adresse der zugehörigen (Selektions-)Maske kann sich im Benutzter (User) - Transponder (TID) oder EPC - Speicherbereich des Transponders befinden, so dass hier verschiedene Konfigurationsmöglichkeiten gegeben sind. Sollte die Adressinformation länger als 16 Bits sein, so kann ein interner Adresszeiger über den ersten 16 Bits der Adresse rotieren.

In einer weiteren Ausgestaltung der Erfindung umfasst das Kommando einen Zähler, welcher eine Anzahl an im Interleaving-Verfahren übertragenen Bits direkt oder indirekt angibt. Ein derartiger Zähler ist beim Auswahl-Befehl standardgemäß vorhanden. Um zu verhindern, dass ein Interleaving-Verfahren und damit ein Freischalt-Befehl erkannt wird, kann der Zähler entsprechend verdoppelt werden.

In einer weiteren Ausgestaltung der Erfindung wird der Transponder beim Stummschalten in einen aus wenigstens zwei möglichen Stummschalt-Zuständen gesetzt. In einer Ausgestaltung wird dabei zwischen einem temporären und einem dauerhaften Stummschalten unterschieden. In einer anderen Ausgestaltung kann zwischen verschiedenen Stufen einer Stummschaltung unterschieden werden, beispielsweise einer totalen, nicht reversiblen Stummschaltung und einer teilweisen Stummschaltung, in welcher ein Senden von Zufallszahlen noch zulässig ist.

In einer Ausgestaltung der Erfindung wird wenigstens ein Steuerbit auf dem Transponder gesetzt oder gelöscht, um einen gewünschten Stummschalt-Zustand festzulegen. Das Steuerbit kann dabei als Markierung oder Flag auf dem Transponder gespeichert sein. In einer anderen Ausgestaltung wird ein Steuerbit nachgebildet oder emuliert. Dabei ist es beispielsweise denkbar, dass bei einem Vorhandensein eines Freischaltsignals mit mindestens einem gesetzten Bit ein gesetztes Steuerbit nachgebildet wird und der Transponder stummgeschaltet wird. Zum Freischalten wird das Freischaltsignal gelöscht und zum Stummschalten ein neues oder das bereits verwendete Freischaltsignal wieder auf den Transponder geschrieben.

In Weiterbildung der Erfindung wird der Zustand durch Setzen oder Löschen von zwei Steuerbits festgelegt, wobei ein erstes aus den Steuerbits gebildetes Bitmuster einen Transponder freischaltet, ein zweites aus den Steuerbits gebildetes Bitmuster den Transponder temporär stumm schaltet, ein drittes aus den Steuerbits gebildetes Bitmuster den Transponder teilweise stumm schaltet, wobei durch den Transponder eine Zufallszahl generierbar und in diesem Zustand übertragbar ist, und ein viertes aus den Steuerbits gebildetes Bitmuster den Transponder dauerhaft stumm schaltet. Ein dauerhaftes Stummschalten des Transponders entspricht damit einem „Killen" des

Transponders. Das temporäre Stummschalten ist somit auch mit einer partialen Kill-Funktion vergleichbar. Ein temporäres oder dauerhaftes Stummschalten des Transponders ist somit beispielsweise durch den standardisierten Kill-Befehl möglich. Je nach Bitmuster ist es dabei möglich, dass bei einer Beschädigung eines dauerhaft stummgeschalteten Transponders, so dass ein Steuerbit seinen Status verliert, zumindest eine „untergeordnete" Stummschaltung vorhanden bleibt.

In einer weiteren Ausgestaltung der Erfindung wird der Transponder durch übertragen des Freischaltsignals temporäre freigeschaltet, wobei für eine dauerhafte Freischaltung ein zweites Freischaltsignal übertragen wird. Dadurch wird eine weitere Sicherheitsstufe vorgesehen.

In einer weiteren Ausgestaltung der Erfindung wird das symmetrische Passwort, das Freischaltsignal, die Maske und/oder die Adresse des Aktivierungsspeicherbereichs durch einen übergeordneten, zweiten Transponder an die Basisstation übertragen. Dadurch ist eine einfache Schlüsselverwaltung möglich.

In einer weiteren Ausgestaltung der Erfindung wird das symmetrische Passwort und/oder das Freischaltsignal auf dem Transponder nach einem temporären Freischalten zumindest teilweise überschrieben. Es ist denkbar, dass das im Vorwärtskanal übertragene, verschlüsselte Freischaltsignal abgehört wird, und ohne Kenntnisse des Verschlüsselverfahrens das verschlüsselte Signal zu einem späteren Zeitpunkt zum Freischalten herangezogen wird. Werden jedoch das symmetrische Passwort, das Freischaltsignal oder Teile davon nach dem Freischalten geändert, so ist es dem Lauscher nicht möglich, mit dem abgehörten Signal den Transponder freizuschalten.

In einer weiteren Ausgestaltung der Erfindung signalisiert der Transponder einen zumindest teilweise stummgeschalteten Zustand in einem Arbitrierungsverfahren. Dadurch kann ein Reader zwar das Vorhandensein eines Transponders in seinem Feld erkennen, er erhält jedoch keinerlei weitere Informationen über den Transponder und/oder das zugehörige Produkt. Sind mehrere Transponder zur Kennzeichnung von Ware auf einer Verpackungseinheit, beispielsweise einer Palette, vorhanden, so ist es dadurch möglich, den oder die Transponder zu detektieren und beispielsweise eine einfache Zählfunktion durchzuführen. Ein derartiges Signalisieren eines stummgeschalteten Zustands ist beispielsweise in einem ersten stummgeschalteten Zustand denkbar, wobei in einem zweiten stummgeschalteten Zustand der Transponder sich nicht zu erkennen gibt und auf eine Anfrage im Rahmen eines Arbitrierungsverfahrens oder dergleichen nicht antwortet.

In einer Weiterbildung der Erfindung erfolgt eine Signalisierung durch Senden einer von dem Standard abweichenden Zufallszahl während der Arbitrierung. üblicherweise sendet ein Transponder im Rahmen eines Arbitrierungsverfahrens aufgrund einer Anfrage, dem sogenannten Query-Request, eine 16-Bit-Zufallszahl. Antwortet der Transponder dagegen mit einer davon abweichenden Zufallszahl, beispielsweise einer 8-Bit-Zufallszahl oder einer 20-Bit-Zufallszahl, so kann die Basisstation daraus schließen, dass sich ein Transponder in seinem Feld befindet, dieser jedoch keine weiteren Informationen betreffend Daten aus dem nicht flüchtigen Speicherbereich sendet. In einer anderen Ausgestaltung der Erfindung kann der Transponder mit einer festgelegten Zahl, beispielsweise einem 16-stelligen Nullstrom, antworten und so seinen stummgeschalteten Zustand signalisieren. Alternativ oder zusätzlich wird in anderen Ausgestaltungen zu einem späteren Zeitpunkt des Arbitrierungsverfahrens ein stummgeschalteter Zustand signalisiert, beispielsweise wird anstelle einer üblichen Antwort

mit der Kennung auf eine Bestätigung (Acknowledge-Kommando) mit einer Zufallszahl oder einem Stummschaltsignal geantwortet.

Die Aufgabe wird weiter gelöst durch einen Transponder umfassend Mittel zum Durchführen der beschriebenen Verfahren. Der Transponder kann dabei problemlos in einem System mit Transpondern eingesetzt werden, welche keine temporäre Stummschaltung kennen.

Die Aufgabe wird weiter gelöst durch einen Transponder mit einem nicht flüchtigen Speicherbereich umfassend Schaltmittel zum wenigstens temporären Freischalten einer bidirektionalen Kommunikation zwischen dem Transponder und einer Basisstation, wobei der Transponder Mittel aufweist, durch die in einem zumindest teilweise stummgeschalteten Zustand Nachrichten empfangbar sind, aber ein Senden von Informationen betreffend Daten aus dem nicht flüchtigen Speicherbereich im stummgeschalteten Zustand unterbunden ist, in dem nicht flüchtigen Speicherbereich mindestens ein symmetrisches Passwort und ein Freischaltsignal abgelegt sind, der Transponder Mittel aufweist, durch die das Freischaltsignal aus einem empfangenen Datenstrom mit dem symmetrischen Passwort extrahierbar und verifizierbar ist, und eine bidirektionale Kommunikation des Transponders durch das Schaltmittel bei gültigem Freischaltsigna! zumindest temporär freischaltbar ist.

Weitere Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels der Erfindung, das in den Zeichnungen schematisch dargestellt ist. Sämtliche aus den Ansprüchen, der Beschreibung oder den Zeichnungen hervorgehende Merkmale und/oder Vorteile, einschließlich konstruktiver Einzelheiten, räumlicher Anordnungen und Verfahrensschritte, können sowohl für sich als auch in den verschiedensten Kombinationen erfindungswesentlich sein.

In den Zeichnungen zeigen:

Fig. 1 : einen schematischen Ablauf eines

Zugriffssteuerungsverfahren für einen Transponder;

Fig. 2: schematisch einen von einer Basisstation an den

Transponder übertragenen Befehl zum zumindest temporären Freischalten des Transponders und

Fig. 3: eine schematische Darstellung eines Vergleichs in einem

Interleave-Verfahren.

Figur 1 zeigt schematisch einen Ablauf eines Zugriffsteuerungsverfahrens für einen beliebigen Transponder. Der Transponder wird hierbei zunächst in einem Auswahl- oder Arbitrierungsverfahren aus einer Menge an Transpondern ausgewählt. Gemäß dem Normungsvorschlag ISO/IEC_CD 18000-6C wird zu diesem Zweck zunächst ein sogenannter Select-Befehl an den Transponder gesendet (SELECT). Der Transponder antwortet der Basisstation auf diesen Auswahl- oder Select-Befehl nicht. Als nächstes sendet die Basisstation eine Anfrage, den sogenannten Query-Befehl (QUERY). Dabei kann es sich auch um einen wiederholten Query, den sogenannten QueryRep handeln. Auf den Query- bzw. den QueryRep- Befehl antwortet der Transponder mit einer 16-Bit-Zufallszahl (RN 16). In dem dargestellten Ausführungsbeispiel antwortet der Transponder unabhängig von einer eventuellen Stummschaltung des Transponders auf den Query-Befehl mit einer 16-Bit-Zufallszahl. Die Basisstation antwortet auf die Zufallszahl RN 16 mit einem Bestätigungs- oder Acknowledgebefehl (ACK). Der Bestätigungsbefehl ACK umfasst die durch die Basisstation empfangene Zufallszahl. Ist der Transponder nicht stummgeschaltet, so antwortet der Transponder, wie dies in dem

bereits genannten Standard üblich ist, mit seiner Kennung ID, beispielsweise dem EPC oder einer transponderspezifischen Kennung. Im Anschluss an die übermittlung der Kennung ID durch den Transponder an die Basisstation folgt dann die übliche Zugriffssteuerung mittels der bekannten Befehle, beispielsweise dem Access-Befehl. Ist der Transponder dagegen stummgeschaltet, so antwortet der Transponder in dem dargestellten Ausführungsbeispiel auf den Bestätigungsbefehl ACK mit einer Nullfolge (0000h). Für die Basisstation ist es dadurch erkennbar, dass der Transponder stummgeschaltet ist. Im stummgeschalteten Zustand erhält die Basisstation zumindest keine weiteren Informationen über Daten aus einem nichtflüchtigen Speicherbereich des Transponders. Ist die Basisstation an weiteren Informationen bezüglich der Daten des Transponders interessiert und verfügt sie über eine entsprechende Berechtigung, so kann die Basisstation den Transponder für ein Auslesen dieser Information zumindest temporär freischalten.

In einer Vielzahl an Anwendungen ist ein Freischalten des Transponders durch eine Basisstation nicht zu allen Zeitpunkten notwendig und/oder wünschenswert. So ist es beispielsweise denkbar, dass eine Vielzahl gleicher oder zumindest ähnlicher Produkte in einer Verpackungseinheit zusammengefasst sind, beispielsweise auf einer Palette gelagert sind. Wird die Verpackungseinheit als ganzes transportiert oder auf sonstige Weise in einer Produktlinie weitergeleitet, so ist es nicht notwendig, zu jedem Zeitpunkt alle Informationen aus jedem Transponder auszulesen. Vielmehr kann es genügen, das Vorhandensein eines Transponders zu überprüfen, um so beispielsweise die Anzahl der auf der Palette angeordneten Produkte auf schnelle Weise ohne aufwendige Filtermechanismen zu bestimmen.

In anderen Anwendungen ist es wünschenswert, dass ein Transponder sich in einer bestimmten Umgebung vollkommen stumm verhält, d. h.

der Transponder auch auf einen Query-Befehl nicht antwortet. Die Basisstation startet darauf beispielsweise einen erneuten Select-Befehl wie in Fig. 1 durch einen gestrichelten, gebogenen Pfeil angedeutet.

In einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass ein Transponder zwischen mindestens zwei verschiedenen Stummschaltzuständen unterscheidet, wobei in einem ersten Stummschaltzustand der Transponder eine Zufallszahl senden kann, wie im Ablaufdiagramm gemäß Fig. 1 rechts dargestellt, und in einem zweiten Stummschaltzustand der Transponder keinerlei Daten sendet, wie durch den gestrichelten Pfeil in dem Ablaufdiagramm angedeutet. In einem weiteren Stummschaltzustand kann vorgesehen sein, dass der Transponder dauerhaft stumm geschaltet ist. Der Transponder ist somit gekillt.

Ein Freischalten eines temporär stummgeschalteten Transponders erfolgt erfindungsgemäß durch ein Freischaltsignal, wobei das Freischaltsignal von der Basisstation an den Transponder verschlüsselt übertragen wird. Zu diesem Zweck ist es beispielsweise denkbar, das Freischaltsignal mit einem symmetrischen Passwort zu verknüpfen. Da dem Transponder das Freischaltsignal und das Passwort bekannt sind, kann der Transponder unter Kenntnis des einen Teils den zweiten Teil aus dem empfangenen Datenstrom extrahieren und somit auch verifizieren.

In einem Ausführungsbeispiel der Erfindung wird ein mehrteiliger Datenstrom von der Basisstation an den Transponder zum (temporären) Freischalten gesendet. Der Datenstrom umfasst in einem Ausführungsbeispiel einen Adresszeiger und das Freischaltsignal, wobei vorzugsweise sowohl der Adresszeiger als auch das Freischaltsignal verschlüsselt sind. Eine übertragung eines derartigen, mehrteiligen

Datenstroms ist beispielsweise mittels des Auswahl- oder Select-Befehls gemäß ISO/IEC_CD 18000-6C möglich.

Figur 2 zeigt schematisch einen Aufbau eines entsprechenden Select- Befehls. Der Select-Befehl umfasst zunächst die Befehlsfolge SELECT. Auf die Befehlsfolge SELECT folgen die gemäß dem genannten Standard üblichen Bits, wobei beispielsweise eine bestimmte Speicherbank oder dergleichen, auf weicher das Passwort und/oder das Freischaltsignal gespeichert ist, auswählbar ist. Der Select-Befehl sieht weiter die übertragung eines Adresszeigers vor. Erfindungsgemäß wird zum Freischalten eines stummgeschalteten Transponders ein Adresszeiger, im dargestellten Ausführungsbeispiel ein verschlüsselter Adresszeiger A' auf einen Aktivierungsdatenbereich in dem nichtflüchtigen Speicher des Transponders übertragen. Der Adresszeiger A' ist beispielsweise mit einem symmetrischen Passwort P verschlüsselt.

Dem verschlüsselten Adresszeiger A' folgt ein Zähler N, welcher die Anzahl an nachfolgend übertragenen Bits wiedergibt. Da jeder Lauscher diese Zahl auch mitzählen kann, ist eine Verschlüsselung dieser Zahl nicht notwendig. In dem folgenden Teil des Befehls wird ein maskierter Datenstrom oder Masken-Datenstrom M übertragen, wobei ein Freischaltsignal F mit dem symmetrischen Passwort P verschlüsselt ist. Auf dem Transponder ist das Freischaltsignal F zum Freischalten des Transponders in dem dem verschlüsselten Adresszeiger A' entsprechenden Speicherbereich abgelegt. Durch ändern des Inhalts des Speicherbereichs kann dabei das Freischaltsignal F verändert werden.

In einer anderen Ausgestaltung wird ein Inhalt eines zu dem Adresszeiger korrespondierenden Speicherbereichs als symmetrisches Passwort P zum Verschlüsseln des Freischaltsignals F verwendet. Das

Passwort P ist somit beliebig wählbar. Dabei kann der Adresszeiger auf den Speicherbereich verschlüsselt werden. Ein Verschlüsseln erfolgt beispielsweise unter Verwendung des Freischaltsignals F, wobei der Transponder unter Annahme einer richtigen übertragung des Freischaltsignals F den Adresszeiger aus dem empfangenen Signal extrahiert und den zugehörigen Inhalt als Passwort P zum Extrahieren des Freischaltsignals F aus dem Masken-Datenstrom M ausliest.

Erfindungsgemäß wird in einer Ausgestaltung der Masken-Datenstrom M in einem sogenannten Interleave-Verfahren von der Basisstation an den Transponder übertragen. Der Befehl gemäß Standard sieht weiter eine Prüfziffer CRC vor.

Figur 3 zeigt schematisch ein Empfang und eine Verfikation des Masken-Datenstroms M in dem Interleave-Verfahren beim Transponder T. Dabei wird in einem ersten Schritt aus dem adressierten Speicherbereich des Transponders T ein entsprechendes Bit des Freischaltsignals oder Maskenbit F1 ausgelesen und in einem Zwischenspeicher abgelegt. Während des zweiten empfangenen Bits wird ein erstes Bit aus dem auf dem Transponder T gespeicherten symmetrischen Passwort P ausgelesen, wobei hierfür der gleiche Bit- Adresszeiger oder der entsprechende Wortzeiger wie zum Auslesen des Maskenbits F1 verwendet wird. Das ausgelesene Passwort-Bit P(1 ) wird mit dem von der Basisstation B empfangenen, entsprechenden Bit des Masken-Datenstroms M zu einem empfangenen Freischaltsignal-Bit Fr(i) verknüpft, beispielsweise über eine XOR-Verknüpfung. Das Resultat Fr(i) der Verknüpfung wird mit dem im Zwischenspeicher abgelegten entsprechenden Datum F(i) verglichen. Stimme die Daten überein, so kann die Bitadresse weitergeschaltet werden und ein weiteres Wertepaar durch die Basisstation B einem Vergleich zugeführt werden.

Vorteil dieses Verfahrens ist es, dass im Transponder T lediglich eine Spaltenadresse zum Adressieren der Maske, d.h. des Freischaltsignal F, und/oder des Passworts P gewechselt werden muss, da eine übereinstimmende Bit-Adresse verwendet wird. Dadurch wird ein schaltungstechnischer Aufwand deutlich reduziert. Dies liegt beispielsweise daran, dass nichtflüchtige Speicher herkömmlicher Transponder üblicherweise so ausgelegt sind, dass jeweils nur ein Bit aus einer festgelegten Zeile ausgelesen werden kann. Diese Bitadresse wird verwendet, um mit Hilfe eines Datenmultiplexers oder dergleichen eine entsprechende Spalte des Speichers an einen Leseverstärker durchzuschalten. Hierfür ist ein Spaltendecoder notwendig. Es kann jedoch auf weitere Leseverstärker und/oder eine Aktivität des Lesemechanismus verzichtet werden. Aktivität bedeutet in diesem Zusammenhang ein Auf- und/oder Entladen von kapazitiven Lasten, was Gleichstromverluste als Folge hat. Eingesparte Aktivität wirkt sich somit erheblich auf die Reichweite eines passiven RFID- Kommunikationssystems aus. Um mehrere Bits gleichzeitig aus dem Transponderspeicher auszulesen, ist daher ein Empfang und Vergleich der Daten im Interleave-Mode besonders vorteilhaft.

Durch den erfindungsgemäßen Transponder und/oder das erfindungsgemäße Verfahren ist es möglich, durch einen standardisierten Befehl ohne großen schaltungstechnischen Aufwand ein Freischaltsignal verschlüsselt an den Transponder zu übertragen und dieses ohne großen schaltungstechnischen Aufwand beim Transponder zu entschlüsseln.