Ein Beispiel für ein solches System mit berührungslosen Identifikationsmedien bzw. mobilen Datenträgern und einem hierarchischen Autorisierungssystem ist beschrieben in der WO 97/34265.

Vor allem in grösseren Systemen müssen diese Applikationen an den verschiedenen Terminals immer wieder erweitert, ergänzt und geändert werden, d. h. es müssen neue oder erweiterte Applikationen App an bestimmten Terminals eingerichtet werden.

Diese Erneuerung und Anpassung von Applikationsprogrammen in den Terminals kann bisher nur auf zwei Arten erfolgen : 1. Terminals, welche über eine Datenleitung mit einem zentralen Applikations- rechner, z. B. einem Host verbunden sind, können von dort aus mit einer neuen Applikation bzw. entsprechenden Applikationsprogrammen und Informationen versehen werden. Dies bedingt jedoch hohe Kosten für die Bereitstellung und den Betrieb der Online-Verbindungen zu den Terminals. Dezentrale Terminals (im Sinne von Stand alone, offline) können so nicht neu oder umprogrammiert werden.

2. Die Terminals werden von einem Servicetechniker einzeln umprogrammiert durch Austausch des Programmspeichers oder durch Laden eines neuen Applikationsprogramms mittels eines Servicegeräts, das über eine Schnittstelle angeschlossen wird. Dies erfordert hohe Kosten für diese Software-Umstellung.

Es ist nun Aufgabe der Erfindung, eine neue einfache Methode zu finden, um Applikationen in Terminals und vor allem auch in dezentralen Terminals zu ändern und einzurichten. Diese Aufgabe wird erfindungsgemäss gelöst durch ein Verfahren nach Anspruch 1 und einen mobilen Datenträger nach Anspruch 28.

Dabei wird eine neue Applikation App in ein ausgewähltes, autorisiertes Terminal WRZ des Systems geladen. Die Datenträger IM werden dem autorisierten Terminal präsentiert, von diesem geprüft und gegebenenfalls mit den neuen Applikations- informationen Iex geladen. Wenn diese geladenen Datenträger IMex an weiteren Terminals WR des System präsentiert werden, so wird wiederum der Datenträger vom Terminal geprüft und falls die neue Applikation App dem Terminal zugeordnet ist, wird die Applikation App bzw. die entsprechenden Applikationsinformationen Iex in das Terminal geladen und im folgenden auch durch das Terminal ausgeführt.

Die abhängigen Ansprüche betreffen vorteilhafte Weiterbildungen der Erfindung mit besonderen Vorteilen bezüglich Anwendungen, Sicherheit und Anpassung an weitere Bedingungen. Im folgenden wird die Erfindung anhand von Figuren und Beispielen weiter erläutert. Es zeigen : Fig. la, b, c das erfindungsgemässe Verfahren mit Übertragung einer neuen Applikation von einem autorisierten Terminal WRZ auf einen Datenträger IMex, vom Datenträger auf ein anderes Terminal WR und die Ausführung der Applikation mit weiteren Daten- trägern IM, Fig. 2 schematisch einen Ablauf des erfindungsgemässen Verfahrens mit Statusrückmeldungen, Fig. 3 einen iterativen Ablauf des erfindungsgemässen Verfahrens durch Umwandlung eines Terminals WR in ein autorisiertes Terminal WRZ, Fig. 4a, b zur Ausführung des erfindungsgemässen Verfahrens den Aufbau eines autorisierten Terminals WRZ, eines Datenträgers IMex und eines Terminals WR mit den übertragenen Applikationsinfor- mationen Iex, Fig. 5a, b, c illustrieren die Verteilung von Applikationsinformationen auf die Terminals WR und die Datenträger IMex sowie die Ausführung von Applikationen, Fig. 6 schematisch ein System mit mehreren autorisierten Terminals WRZ, Datenträgern IMex und Terminals WR, Fig. 7 ein Beispiel eines Systems nach Fig. 6 mit Initialisierungen mehrerer unabhängiger Applikationen von unabhängigen Anwendern, mit Informationsfluss Iex und Statusrückmeldungen.

Die Fig. la, lb, lc, 2 und 3 illustrieren das erfindungsgemässe Verfahren zur Initialisierung oder Erweiterung einer Applikation App, d. h. zur Übertragung von

den einer Applikation App zugeordneten Applikationsinformationen Iex auf Terminals bzw. Schreib-und Lesestationen WR eines Systems mit mobilen Datenträgern IM, Terminals WR und einem hierarchischen Autorisierungssystem A.

Die Applikationsinformationen Iex werden von einem ausgewählten, autorisierten Terminal WRZ auf mobile Datenträger IMex geladen und anschliessend werden beim Präsentieren von diesen Datenträgern IMex an weiteren Terminals WR die Applikationsinformationen Iex auf diese weiteren, der Applikation zugeordneten Terminals WR übertragen, so dass anschliessend die Applikation App an diesen Terminals WR für berechtigte Datenträger IM und IMex ausführbar ist.

Eine neue oder erweiterte Applikation App wird in ein ausgewähltes, autorisiertes Terminal WRZ geladen (Schritt 10 in Fig. la), z. B. in ein Sicherheitsmodul SM mit einem Sicherheitslevel SL-WR. Als autorisierte Terminals WRZ werden vorzugs- weise relativ zentrale Terminals bestimmt, die von vielen verschiedenen Datenträ- gern IM frequentiert werden, und von welchen aus die Datenträger die Applikations- informationen Iex an die gewünschten anderen Terminals WR des Systems weitertragen. Beim Präsentieren des Datenträgers IMex wird vom autorisierten Terminal WRZ die Berechtigung des Datenträgers IMex für diese Applikation App geprüft (Schritt 11) oder umgekehrt. Bei vorhandener Berechtigung wird die Applikation bzw. die Applikationsinformationen Iex in den Speicher des Datenträgers IMex eingeschrieben (12) wie Fig. la zeigt. Hier können im Datenträger IMex Flag/Pointer F/P gesetzt werden. Wenn der Datenträger anschliessend zu weiteren Lesestationen bzw. Terminals WR des Systems transferiert (13) und dort präsentiert wird, so findet zwischen dem Terminal WR und dem Datenträger wiederum eine Prüfung statt (14). Dabei können auch Flag/Pointer F/P des Datenträgers IMex geprüft werden (15). Vom Datenträger oder vom Terminal WR wird geprüft, ob die neue Applikation für dieses Terminal WR bestimmt ist und inwieweit bestimmte Sicherheitsanforderungen erfüllt sind, z. B. ob der Sicherheitslevel SL-WR des Terminals WR der neuen Applikation bzw. dem

Sicherheitslevel SL-IM des Datenträgers entspricht. Falls dies zutrifft, werden die Applikationsinformationen Iex in das Terminal WR übertragen (15), z. B. in ein Sicherheitsmodul SM (Fig. lb). Anschliessend können weitere Datenträger IM1, IM2, IM3 usw. an diesem Terminal WR präsentiert und geprüft werden (17), worauf diese neue Applikation App durch das Terminal an den weiteren, berechtigten Datenträgern z. B. IM1, IM3 und allenfalls auch am übertragenden Datenträger IMex ausgeführt werden kann (18), (Fig. 1c), während an einen nicht berechtigten Datenträger, z. B. IM2, die Applikation nicht ausgeführt werden kann.

Die Ausführung einer Applikation durch ein Terminal WR unmittelbar nach der Übertragung dieser Applikation vom Datenträger IMex auf das Terminal WR ermöglicht die Realisierung von Applikationen mit individuellen Applikations- profilen ind.

Der Datenträger IMex kann aber auch nur als Briefträger für die Übertragung der Applikationsinformation Iex dienen, ohne dass er selber für diese Applikation App bestimmt ist (ohne diese Applikation selber ausüben zu können).

Mittels Flag/Pointer F/P kann festgelegt oder geprüft werden, ob auf einem Daten- träger IMex Applikationsinformationen Iex vorhanden sind.

Es muss insbesondere zwischen folgenden Flag/Pointer F/P unterschieden werden : - Flag/Pointer F/P-IMex des Datenträgers IMex : Ein Flag/Pointer IMex ist primär dem Datenträger IMex zugeordnet und soll das Management von Applikations- informationen Iex auf dem Datenträger ermöglichen.

Ein Flag/Pointer F/P-IMex verweist im Allgemeinen auf eine Applikations- information Tex (App) oder auf eine Applikation App, welche ihrerseits eine Applikationsinformation Iex (App) und einen Flag/Pointer F/P-App enthält.

- Flag/Pointer F/P-App einer Applikation App auf einem Datenträger IMex : Ein Flag/Pointer F/P-App ist primär der Applikation App zugeordnet (z. B. als Teil

der Applikation App) und soll das Management von Applikationsinformationen Iex einer Applikation App erleichtern.

Im Rahmen der Übertragung von Applikationsinformationen Iex zwischen den Elementen WR, WRZ und IMex kann unterschieden werden, ob diese aktiv (d. h. als Sender die Applikationsinformationen Iex von sich aus zur Verfügung stellend) oder passiv (d. h. als Empfänger die Applikationsinformationen Iex empfangend) auftreten.

Die Verwendung, d. h. das Setzen von Flag/Pointer F/P ist eine Möglichkeit zur Realisierung aktiver Elemente WR, WRZ, IMex. So kann beim Schritt 15 (Übertragung der Applikationsinformationen Iex auf das Terminal WR) je nach Bedarf das Terminal WR (aktiv) den Datenträger anfragen, ob eine Applikations- information Iex vorhanden sei (indem z. B. der Flag/Pointer F/P-IMex überprüft und gegebenenfalls ausgewertet wird) oder es kann der Datenträger IMex (aktiv) an das Terminal WR mitteilen, dass eine Applikationsinformation Iex vorhanden sei (indem z. B. der Flag/Pointer F/P-IMex an das Terminal WR zur allfälligen Auswertung gesendet wird). Analoges gilt auch für die Rückmeldung von Statusinformationen Ist.

Zur Übertragung der Applikationsinformationen Iex auf die Datenträger IMex und zur Übertragung von den Datenträgern IMex auf die Terminals WR wird eine ange- messene Autorisierung benötigt. D. h. die Übertragung darf nur auf bzw. durch berechtigte Datenträger IMex bzw. Terminals WR erfolgen, für die die Applikation bestimmt ist und so, dass die erforderliche Sicherheit gewährleistet ist. Diese Berechtigung kann auf verschiedene Arten ausgeführt und den Sicherheitsanfor- derungen, entsprechend der Art und Wichtigkeit der Applikation, angepasst bzw. gewählt werden, beispielsweise mit den Autorisierungsregeln des Systems A entsprechenden Sicherheitslevels SL-IM, welche den Datenträgern IMex, und Sicherheitslevels SL-WR, welche den Terminals WR zugeordnet werden und welche die Übertragung der neuen Applikationsinformationen Iex und deren anschliessende Ausführung kontrollieren. Dabei ist es wichtig, dass die Regeln des Autorisierungs-

systems A verhindern, dass ein Sicherheitslevel SL-IM oder SL-WR in einem Datenträger oder in einem Terminal erhöht oder geändert werden kann. Damit wird die Verbreitung der Applikationen App auf die Terminals WR und deren Anwendung mittels der Datenträger IM kontrolliert und beschränkt.

Die Eigenschaften des Sicherheitslevels SL können hierbei im Rahmen des Autori- sierungssystems A in Anlehnung oder Erweiterung bereits vorhandener Hierarchie- ebenen, z. B. von Organisationslevels OL nach WO 97/34265, oder durch neue, von bestehenden Ebenen unabhängige Levels (mit neuen Prinzipien) festgelegt werden.

Es besteht aber auch die Möglichkeit, dass die Sicherheitslevels SL nicht im Rahmen des Autorisierungssystems A, sondern im Rahmen eines zusätzlichen unabhängigen Sicherheits-Autorisierungssystems SA festgelegt werden.

Weitere Sicherheits-und Kontrollelemente bilden Identifikationsdaten ID-IM und ID-WR oder zusätzliche persönliche Codes pers, wie in Fig. 2 weiter erläutert wird.

Diese können mit den Sicherheitslevels SL verknüpft sein.

Es ist auch möglich, für die Applikationen eine separate Verschlüsselung cryp2 einzuführen. Dabei werden die Applikationsinformationen mit cryp2 im autorisierten Terminal WRZ verschlüsselt, im Datenträger IMex in verschlüsselter Form transferiert und die transferierten Applikationsinformationen Iex erst im Terminal WR mit cryp2 wieder entschlüsselt (Fig. la, lb, 2). Dabei soll der Datenträger IMex selber meist nicht über den Schlüssel cryp2 verfügen. Diese Applikationsinfor- mationen Iex sollen nur in Terminals WR oder durch Datenträger IMex entschlüsselt werden können, welchen eine entsprechende Applikation zugeordnet ist.

Es können für verschiedene unabhängige Applikationen Appl, App2 von unabhän- gigen Anwendern und die zugeordneten Terminals WR auch verschiedene voneinan-

der unabhängige Verschlüsselungen cryp2 gewählt werden. Diese Verschlüsselung cryp2 der Applikationen ist unabhängig von einer Verschlüsselung crypl der berührungslosen Kommunikation Rf-K in berührungslosen Systemen wie am Beispiel von Fig. 4 gezeigt ist.

Die erfindungsgemäss übertragenen neuen Applikationen bzw. die entsprechenden Applikationsinformationen Iex sind zu verstehen als Applikationserweiterungen Appu (Update) bestehender Applikationen in den Terminals WR oder als neue, noch nicht vorhandene Applikationen Appn.

Fig. 2 zeigt den Ablauf des erfindungsgemässen Verfahrens wie in Fig. 1 beschrieben mit Statusrückmeldungen Ist. Eine neuen Applikation App (Appn oder Appu) wird von einem Host (eine Zentrale) H oder einem Übertragungs-Autorisierungsmedium AM in ein autorisiertes Terminal WRZ geladen (Schritt 10). Dort wird ein präsentier- ter Datenträger IMex geprüft (Schritt 11) und, falls er dafür berechtigt und bestimmt ist, werden Applikationsinformationen Iex in den Datenträger eingeschrieben (12), welcher anschliessend zu weiteren Terminals WR des Systems transferiert wird (13).

Hier wird geprüft, ob das Terminal WR der neuen Applikation (bzw. ob der Daten- träger IMex dem Terminal WR) zugeordnet ist und ob alle Berechtigungen vorhan- den sind, z. B. mittels Überprüfung der gegenseitigen Zuordnung der Sicherheitslevel SL und von Referenz-/Seriennummern (Schritt 14), worauf die Informationen Iex in das Terminal WR eingeschrieben bzw. übertragen werden (15).

Zur Prüfung der Autorisierung und Berechtigung an den autorisierten Terminals WRZ oder an den einer Applikation zugeordneten Terminals WR kann der Datenträger IMex spezielle Identifikationsdaten ID-IM enthalten. So können die Datenträger IMex durch Identifikationsdaten ID-IM für die Übertragung von bestimmten Applikationsinformationen Iex bestimmt werden.

Und zur Prüfung der Autorisierung und Berechtigung am Terminal WR können spezielle Identifikationsdaten ID-WR des Terminals dienen, mit welchen die Terminals WR für die Aufnahme von bestimmten Applikationsinformationen Iex bestimmt werden.

Bei der Übertragung der neuen Applikationsinformationen Iex auf die Datenträger IMex und von den Datenträgern auf die Terminals WR kann als zusätzliche Sicher- heitsanforderung auch eine persönliche Identifikation des Inhabers des Datenträgers oder des Inhabers des Terminals mit einem persönlichen Code pers (z. B. ein PIN- Code oder ein biometrischer Code) vorgeschrieben sein.

Um zu verhindern, dass versehentlich eine neuere Applikation durch eine ältere Applikation überschrieben wird, kann ein Kontrollmechanismus, z. B. zeitlich oder durch eine Versionennummer, vorgesehen sein. Wenn eine frühere von einem Daten- träger IMex initialisierte Applikationsversion Appla durch eine spätere, neue, geänderte Version Applb ersetzt wurde, so muss verhindert werden, dass diese neu installierte Version später wieder durch die alte Version Appla ersetzt werden kann, z. B. wenn diese alte Version am Terminal WR später durch einen anderen Daten- träger IMex, welcher noch die alte Version enthält, präsentiert wird. Dies kann durch eine Zeitkontrolle erreicht werden, z. B. durch zeitliches Datieren der Applikationen und die Bedingung, dass eine jüngere Applikation Applb mit Zeitpunkt tb nicht durch eine ältere Version Appla mit Zeitpunkt ta gelöscht bzw. ersetzt werden kann : Bedingung tb > ta. Eine andere Möglichkeit besteht in einer Kontrolle mittels einer Versionennummer vn und der Bedingung, dass eine jüngere Applikation Applb mit Version vb nicht durch eine ältere Applikation App1 mit Version va gelöscht bzw. ersetzt werden kann : Bedingung vb > va.

Fig. 2 zeigt auch die Rückmeldung (Schritt 20) von Statusinformationen Ist über Ereignisse an den Terminals WR bezüglich Übertragung der Applikationsinfor-

mationen Iex, welche von einem Datenträger IMex (demjenigen, welcher die Applikation übertragen hat oder von einem anderen) an die autorisierten Terminals WRZ zurück gemeldet werden können, z. B. welche Applikation wann in welchem Terminal WR korrekt installiert wurde. Auch Statusmeldungen Ist über die Aus- führung der initialisierten Applikationen an den Terminals WR können so zurückge- meldet werden. Die Rückmeldung kann hierbei zu verschiedenen Zeiten, vorzugs- weise durch das Terminal WR, initialisiert werden, z. B. unmittelbar im Anschluss an die Übertragung der Applikationsinformationen Iex, zu einem festgelegten späteren Zeitpunkt oder im Anschluss an eine erstmalige Ausführung der Applikation mit einem Datenträger IM. Die Statusrückmeldung kann auch zur Kontrolle der Ausbrei- tung der Applikationsinformationen Iex eingesetzt werden. So kann die vollständige Übertragung der Applikationsinformationen Iex vom Datenträger IMex auf das Terminal WR davon abhängig gemacht werden, dass das Terminal WR Status- informationen Ist auf den Datenträger IMex überträgt. Dies kann mittels eines Schattenspeichers geschehen, welcher z. B. in WO 97/34265 beschrieben ist.

Die Fig. 2 und 4 zeigen zudem eine einem Terminal WR zugeordnete Applikations- Hardware/Software App HW/SW zur physikalischen Ausführung von Applikationen, bzw. die physikalische Konfiguration eines Terminals (z. B. Steuerung eines Türzu- gangs). Diese App HW/SW kann Funktionsgeräte (wie Motoren, Relais), Eingabe- geräte, Anzeigegeräte, biometrische Sensoren etc. enthalten. Fig. 2 illustriert auch die Ausführung von initialisierten Applikationen an einem Terminal WR mit der zuge- ordneten Funktionseinrichtung App HW/SW (Schritt 18) für einen Datenträger IMex oder auch für weitere im folgenden präsentierte Datenträger IM. Mit einer neu initialisierten Applikation kann ein Terminal auch Funktionen ausführen, für welche das Terminal ursprünglich nicht konzipiert war, soweit die dazu notwendige App HW/SW vorhanden ist und diese durch Applikationsinformationen Iex gemäss den Anforderungen der neuen Applikation konfiguriert werden kann.

Fig. 3 zeigt einen iterativen Ablauf des erfindungsgemässen Verfahrens durch Umwandlung von Terminals WR in autorisierte Terminals WRZ, dies im Sinne einer kontrollierten Ausbreitung bzw. Löschung von neuen Applikationen über mehrere autorisierte Terminals WRZ (Virusprinzip). Dabei werden erste autorisierte Terminals WRZj ausgewählt, im Allgemeinen im Rahmen des Autorisierungs- systems A, allenfalls durch die Überführung von Terminals WRi in autorisierte Terminals WRZj (Schritt 9). Über diese ersten autorisierten Terminals WRZj erfolgt anschliessend die Übertragung von Applikationsinformationen Iex auf Datenträger IMex und über die Datenträger IMex auf weitere Terminals WR. Ein oder mehrere dieser Terminals WR können als Ergebnis der Übertragung von Applikations- informationen Iex in weitere autorisierte Terminals WRZ umgewandelt werden.

Anschliessend werden die Applikationsinformationen von diesen weiteren autorisierten Terminal WRZ auf weitere Datenträger IMex geladen, durch welche die Applikationsinformationen lex wiederum auf weitere normale Terminals WR übertragen werden. Aus einem Terminal WRi in ein autorisiertes Terminal WRZj übergeführte Terminals können jederzeit (vorzugsweise nachdem die Applikations- information auf alle Terminals WR eines Systems übertragen wurden) wieder in Terminals WRi zurückgeführt werden (Schritt 22). Fig. 3 zeigt eine solche kontrollierte, iterative Ausbreitung der Applikationsinformationen Iex. Am Anfang des Verfahrens steht die Wahl eines autorisierten Terminals WRZ. Dies kann ein autorisiertes Terminal WRZj sein, welches im Rahmen des Systems von Anfang an als autorisiert ausgewählt wurde. Es kann aber auch ein Terminal WRi in ein autorisiertes Terminal WRZj übergeführt werden (Schritt 9). Die Überführung in ein autorisiertes Terminal WRZj kann von einer Autorisierung mittels Autorisierungs- informationen Ia abhängig sein, welche über einen Host H oder ein Autorisierungs- medium (ein Datenträger) AM erfolgt. Falls nicht vorangehend eine Freigabe der Funktionalität als autorisiertes Terminal WRZ mittels Freigabeinformationen If erfolgen soll (als zusätzliche, optionale Sicherheitsmassnahme), ist ein autorisiertes Terminal WRZ anschliessend für die Aufnahme von Applikationsinformationen Iex

bereit. Im letzteren Fall gilt die Übertragung von Applikationsinformationen Iex als implizite Freigabe. Im ersteren Fall erfolgt die Freigabe mittels Freigabeinfor- mationen If, vorzugsweise wieder über einen Host H oder ein Autorisierungsmedium AM. Ausgehend von einem oder mehreren zentralen Terminals WRZ1, WRZ2 werden dann die Applikationsinformationen Iex über die Datenträger IMlex, IM2ex <BR> <BR> auf mehrere Terminals WRa, WRb, ..., WRd übertragen, an welchen anschliessend die neue Applikation App ausgeführt werden kann (Schritt 18). Davon werden gewisse Terminals, z. B. WRd, ausgewählt, welche ihrerseits in den Status eines autorisierten Terminals WRZd umgewandelt werden (Schritt 21). Auch über diese neuen autorisierten Terminals WRZd kann die Applikationsinformation Iex mittels Datenträger IMex4, IMex5 auf weitere Terminals WRf, ..., WRh kontrolliert übertragen werden, allenfalls nach der Freigabe mittels Freigabeinformationen If. Für dieses neue autorisierte Terminal WRZd erfolgt die Übertragung der Freigabe- informationen If vorzugsweise durch IMex. Wie ersichtlich, ist zur Übertragung von Applikationsinformationen Iex auf die Datenträger IMex4 und IMex5 kein direkter Kontakt mit einem an einen Host H angebundenen autorisierten Terminal, z. B.

WRZ1, erforderlich. Dieses iterative Prinzip kann beliebig oft wiederholt werden, z. B. kann das Terminal WRh umgewandelt werden in das autorisierte Terminal WRZh. Dies ermöglicht die kontrollierte Übertragung der Applikationsinformationen Iex innerhalb eines Systems mit verschiedenen autorisierten Terminals WRZ, verschiedenen Terminals WR und Datenträgern IM bzw. IMex und damit eine schnellere und gezieltere Ausbreitung einer neuen Applikation in einem System.

Ein wichtiger Aspekt für die kontrollierte Ausbreitung ist die Möglichkeit, ein Terminal WRd, WRh in ein autorisiertes Terminal WRZd, WRZh umzuwandeln, ohne dass das Terminal mit einem Host H verbunden ist und ohne dass die Applikationsinformationen Iex mittels eines zusätzlichen, speziellenlÜbertragungs- Autorisierungsmediums AM in das Terminal übertragen werden müssen. Dies führt zu weiteren Kostenreduktionen bei der Einführung bzw. Initialisierung neuer

Applikationen, weil auf die Anbindung der einzelnen Terminals WR an den Host H oder auf die Übertragung vor Ort in jedes einzelne Terminal WR mittels eines Übertragungs-Autorisierungsmediums AM verzichtet werden kann. Die Benutzer eines Systems, d. h. die Träger der Identifikationsmedien (Datenträger) IMex, verbreiten eine neue Applikation im System auf einfachste Art : durch die Benutzung des Systems.

Analog zu dieser kontrollierten Ausbreitung nach dem Virus-Prinzip kann auch eine kontrollierte Löschung einer Applikation App durchgeführt werden, unabhängig davon, wie und woher diese Applikation in ein Terminal WR geladen bzw. übertragen wurde.

Dabei kann ein Terminal WR auch nur temporär in ein autorisiertes Terminal WRZ umgewandelt werden. So kann ein umgewandeltes autorisiertes Terminal WRZ (z. B.

WRZd) nach einer bestimmten Zeit oder aufgrund bestimmter Kriterien wieder in ein normales Terminal WRd zurückgeführt werden, z. B. nachdem die Applikationsin- formation Iex auf eine vorgegebene Anzahl von Datenträgern IMex übertragen wurde oder in Abhängigkeit von bestimmten Statusinformationen Ist.

Auch hier gilt, dass ein autorisiertes Terminal, z. B. WRZd, eine Applikationsinfor- mation Iex nicht auf alle IMex übertragen muss, sondern nur wenn sie dafür bestimmt ist.

Es ist auch möglich, dass ein Terminal WR nur für die Übertragung von Statusinfor- mationen in ein autorisiertes Terminal WRZ umgewandelt wird.

Die Fig. 4a, 4b zeigen einen Aufbau der Komponenten WRZ, IM und WR sowie die Kommunikation und den Informationsfluss im erfindungsgemässen Verfahren.

Dieses Beispiel zeigt ein berührungsloses System Rf mit berührungsloser

Kommunikation Rf-K zwischen den Elementen Rf-WRZ, Rf-IMex, Rf-WR. Im Vergleich zu Kontaktsystemen bieten berührungslose Systeme weitere besondere Vorteile und erweiterte Anwendungsmöglichkeiten. Dabei wird die berührungslose Kommunikation Rf-K verschlüsselt z. B mit einer Verschlüsselung crypl mittels einer Einheit zur logischen Verarbeitung von Informationen, z. B. eines Prozessors für die Kommunikationslogik sowohl in den Datenträgern IM wie in den Terminals WR.

Das autorisierte Terminal Rf-WRZ enthält einen Datenspeicher MEM sowie einen Microprozessor uP-WR zur Speicherung bzw. Verarbeitung der Applikationsinfor- mationen Iex sowie für die Kommunikation und für weitere Sicherheits-und Kontrollfunktionen. Die Applikationsinformationen Iex = Idat, Ipar, Icod können dabei enthalten : Idat Applikationsdaten, z. B. Identifikationsnummern, Schlüssel, Codes für Verschlüsselungen (cryp) Ipar Parameter, z. B. einstellbare Parameter zur Konfiguration bzw. Wahl der Kommunikation, Art, Leistung, Verschlüsselung der Kommunikation, Kommunikationsprotokolle, Schnittstellen zur App HW/SW, etc.

Icod Programmdaten bzw. Programmcode.

Diese Fig. 4 zeigt zwei Arten von möglichen Datenträgern Rf-IMex : einen Datenträger ohne Applikations-Microprozessor uP-IM, mit einem Speicher MEM für die Applikationsinformationen Iex und einen Datenträger, der zusätzlich einen Applikations-Microprozessor uP-IM aufweist. Dies ermöglicht es, dass der Datenträger IMex selber eine Applikation oder einen Teil einer Applikation ausführen kann. Dabei wird der entsprechende Pro- grammcode Icod nicht in das Terminal WR übertragen, sondern verbleibt im Datenträger IMex und wird durch den Applikationsprozessors uP-IM des Daten- trägers ausgeführt bzw. gesteuert, welcher damit eine Erweiterung des Applikations-

prozessors uP-WR, allenfalls sogar der App HW/SW bildet. Die Einhaltung der Regeln des Autorisierungssystems A erfolgt jedoch auch im Falle einer solchen Erweiterung durch das Terminal WR, d. h. die dafür notwendigen (im Allgemeinen durch die Applikation Icod verarbeiteten) Applikationsdaten Idat müssen dem Terminal WR vom Datenträger IMex vor der Ausführung einer Applikation zur Verfügung gestellt werden.

Fig. 4a zeigt die Übertragung der Applikationsinformationen Iex = Idat, Ipar, Icod vom autorisierten Terminal Rf-WRZ auf den Datenträger Rf-IMex und Fig. 4b zeigt die Übertragung vom Datenträger RF-IMex auf die Terminals Rf-WR.

Die Terminals WR können eine logische Kommunikations-und Applikations- schnittstelle LCAI (Logical Communication and Application Interface) enthalten, über welche Applikationsinformationen Iex in die Terminals geladen und ausgelesen werden können.

Die Terminals WR in diesem Beispiel enthalten eine logische Kommunikations-und Applikationsschnittstelle LCAI, welche sicherstellt, dass der Microprozessor des Terminals WR die Applikationsinformation Iex, z. B. die Sprache des Programm- codes Icod versteht und unter Einhaltung der Regeln des Autorisierungssystems A verarbeiten kann. Die logische Kommunikations-und Applikationsschnittstelle LCAI umfasst im wesentlichen drei Aufgaben : - Sie wirkt erstens als Interpreter oder Virtual Machine, insbesondere für die Verarbeitung von Programmdaten Icod und Parametern Ipar, - zweitens als ein Application Programming Interface API, insbesondere für die Verarbeitung von Applikationsdaten Idat und auch für die Verarbeitung von Programmdaten Icod und Parametern Ipar, insbesondere von Daten, die direkt mit der Applikation verbunden sind bzw. nur von der Applikation verstanden werden - und drittens sichert sie die Einhaltung der Regeln des Autorisierungssystems A.

Das API stellt eine Software-Schnittstelle für den standardisierten Zugriff auf Funk- tionen eines Programms dar, so dass die logischen Regeln für die Ausführung der Applikation eingehalten werden.

Entsprechend muss das Einschreiben (12) von Applikationsinformationen Iex in einen Datenträger IMex über die logische Kommunikations-und Applikations- schnittstelle LCAI erfolgen. Analog muss auch die Übertragung (15) von Applikationsinformationen Iex vom Datenträger IMex an ein Terminal WR über die logische Kommunikations-und Applikationsschnittstelle LCAI erfolgen, wo zudem auch die Überprüfung der Sicherheitslevel SL stattfinden kann.

Fig. 4a illustriert weiter zwei Möglichkeiten, die Applikationsinformationen Iex auf kontrollierte, autorisierte Art und Weise unter Einhaltung der Regeln des Autori- sierungssystems A erstmalig in ein autorisiertes Terminal WRZ zu übertragen. Die Übertragung kann durch ein Übertragungs-Autorisierungsmittel AM (welches die Applikationsinformationen Iex enthält und gleichzeitig zur Autorisierung gemäss dem Autorisierungssystem A dient) oder durch einen Host H erfolgen. Bei Übertragung über den Host H müssen die Regeln des Autorisierungssystems A auf andere Art und Weise eingehalten werden, z. B. indem die Kommunikation zwischen Host H und autorisiertem Terminal WRZ durch ein Autorisierungsmedium AM2, vorzugsweise über eine berührungslose Kommunikation Rf-K mit der WRZ, explizit freigegeben wird. Hierbei kann bereits die Übertragung (10) der Applikationsinfor- mationen Iex in das autorisierte Terminal WRZ über die logische Kommunikations- und Applikationsschnittstelle LCAI des Terminals erfolgen, als zusätzliche Sicherheitsmassnahme.

Die logische Kommunikations-und Applikationsschnittstelle LCAI ist ein wichtiges Element zur Einhaltung der Regeln des Autorisierungssystems A über alle Stufen und für alle Terminals WR, WRZ und Datenträger IM des Systems.

Es können auch Terminals vorgesehen sein, die noch keine Applikation enthalten, sogenannte generische Terminals g-WR mit einem Applikations-Microprozessor uP- WR, in welche eine Applikation Iex durch einen Datenträger IMex temporär geladen und auch ausgeführt wird. Nachher kann diese Applikationsinformation Iex wieder gelöscht werden. So kann im Prinzip jeder Datenträger IM seine Applikation selber mitbringen, z. B. für einen einmaligen Zutritt oder zur Realisierung von Applikationen mit individuellen Applikationsprofilen ind.

Ein weiterer Vorteil generischer Terminals g-WR besteht darin, dass sie über einen relativ flexiblen Applikations-Prozessor uP-WR verfügen müssen. Dieser kann einem Datenträger IM, IMex, welcher selber über keinen Applikations-Prozessor uP-IM verfügt, zur Verfügung gestellt werden, d. h. der uP-WR kann zur Simulierung eines nicht vorhandenen uP-IM verwendet werden. Dies ermöglicht die gleichzeitige Verwendung von Datenträgern IM, IMex mit und ohne Applikations-Prozessor uP- IM im gleichen System.

Die Fig. 5a, b, c illustrieren die Verteilung von Applikationsinformationen Iex, d. h. von Applikationsdaten Idat und Programmcodes Icod auf die Terminals WR, WRZ und die Datenträger IM, IMex sowie die Ausführung (18) von Applikationen App an den zugeordneten Funktionseinrichtungen App HW/SW unter Einhaltung der Regeln des Autorisierungssystems A. Die Applikationsdaten Idat und die Programmcodes Icod werden in den Terminals WR verarbeitet und die Einhaltung der Autorisierungs- regeln A wird geprüft durch Bildung einer Funktion f (A, Icod, Idat). Nach erfolgter Prüfung (17) dieser Funktion wird die Applikation App an der zugeordneten Funk- tionseinrichtung App HW/SW ausgeführt (18).

Die Fig. 5a beschreibt den bekannten Stand der Technik für berührungslose Systeme.

Hier findet eine strenge Trennung zwischen dem Programmcode Icod im Terminal

WR und den Applikationsdaten Idat im Datenträger IM statt. Die Einhaltung der Autorisierungsregeln A erfolgt im Terminal WR durch Ermittlung einer Funktion f (A, Icod, Idat) durch den Applikationsprozessor uP-WR des Terminals.

Fig. 5b beschreibt eine neue Möglichkeit nach dem erfindungsgemässen Verfahren.

Die bisherige strenge Trennung zwischen dem Programmcode Icodl im Terminal WR oder WRZ und den Applikationsdaten Idat im Datenträger IMex wird aufgehoben. Teile des Programmcodes Icod2 (oder auch der ganze Programmcode) befinden sich hier im Datenträger IMex. Der Programmcode Icod2 wird wie die Applikationsdaten Idat in das Terminal WR, WRZ übertragen. Die Einhaltung der Regeln erfolgt im Terminal WR durch Ermittlung einer Funktion f (A, Icodl, Icod2, Idat) mit separater Verarbeitung von Icodl, Icod2, oder einer Funktion f (A, Icodl + Icod2, Idat) mit kombinierter Verarbeitung von Icodl und Icod2, durch den Applikationsprozessor uP-WR des Terminals.

Fig. 5c beschreibt eine weitere neue Möglichkeit, falls der Datenträger IMex auch über einen Applikations-Prozessor uP-IM verfügt. In diesem Fall kann im Datenträger IMex durch den uP-IM eine Funktion f1 (Icod2, Idat) ermittelt werden, welche zur Ermittlung der Funktion f2 im Terminal verwendet werden kann. Diese Funktion f2 kann sein : f2 (A, fl, Icodl, Icod2, Idat) oder f2 (A, fl, Icodl) oder in der einfachsten Form f2 (A, fl). In der einfachsten Form erfolgt im Terminal WR, WRZ nur noch die Einhaltung der Regeln des Autorisierungssystems A und es findet keine Verarbeitung von Idat, Icodl und Icod2 im Terminal statt, sondern nur im Datenträger IMex.

Die Fig. 5b und 5c verdeutlichen auch das Konzept des generischen Terminals g- WR, welches sich dadurch auszeichnet, dass im Terminal WR kein einer Applikation zugeordneter Programmcode Icodl vorhanden ist, sondern nur ein Programmcode Icod2 im Datenträger. Die Fig. 5b und 5c illustrieren auch die Grundlage für die

Realisierung von Applikationen mit individuellen Applikationsprofilen ind, indem beim autorisierten Terminal WRZ sowohl der für die Individualisierung notwendige Programmcode Icod wie auch die notwendigen Applikationsdaten Idat auf den Datenträger IMex geladen werden.

Die Fig. 6 zeigt schematisch ein erfindungsgemässes System zur Initialisierung von Applikationen App mittels Applikationsinformationen Iex, welche von autorisierten Terminals WRZ über Datenträger IMex an den Applikationen App zugeordnete Terminals WR transportiert, in diese eingeschrieben und dort auch ausgeführt werden. Das Beispiel zeigt mehrere zentrale Hosts H1, H2, mehrere autorisierte Terminals WRZ1, WRZ2, WRZ3 und mehrere Terminals WR4-WR8. Im Rahmen des Autorisierungssystems A können im Prinzip beliebige verschiedene und unabhängige Applikationen über die autorisierten Terminals WRZ und die Daten- träger IMex in die verschiedenen zugeordneten Terminals WR in beliebiger Kombination initialisiert werden, soweit die vorhandenen Speicherkapazitäten dazu ausreichen (Fig. 7).

Die Fig. 7 zeigt ein Ausführungsbeispiel eines Systems nach Fig. 6 mit drei verschie- denen unabhängigen Applikationen Appl, App2, App3 von unabhängigen Anwen- dern, welche von den autorisierten Terminals WRZ1, WRZ2, WRZ3 auf die mobilen Datenträger IMex übertragen und von diesen an zugeordnete Terminals WR4-WR8 übertragen werden, z. B von der WRZ1 die Applikation App2 in die Terminals WR4,5, 7, von der WRZ2 die Applikation Appl in die Terminals WR4,7, 8 und von der WRZ3 die Applikation App3 temporär in das Terminal WR6 (als g-WR).

Nachdem die Applikationen in den Terminals WR installiert sind, erfolgen durch die Datenträger IMex entsprechende Statusrückmeldungen Ist an die autorisierten

Terminals WRZ und von diesen an den zentralen Host H, z. B. : die Applikation Appi sei installiert im Terminal WR8, wird zurückgemeldet an WRZ3 und H.

In der Praxis werden meist mehrere Datenträger IMex dieselbe Applikation Iex an ein bestimmtes Terminal WR präsentieren, wo diese Applikation natürlich nur einmal in das Terminal transferiert werden muss. Ebenso kann die gleiche Statusmeldung Ist bezüglich Einschreiben einer bestimmten Applikation in ein bestimmtes Terminal WR von mehreren Datenträgern IMex an die autorisierten Terminals WRZ (und den Host H) zurückgemeldet werden. Nachdem alle gewünschten Applikationen in allen gewünschten Terminals WR installiert sind, kann diese Applikation in den Datenträgern IMex und im autorisierten Terminal WRZ im Prinzip wieder gelöscht bzw. weitere Übertragungen an die IMex gestoppt werden. Und nachdem alle benötigten Statusrückmeldungen Ist erfolgt sind, können auch weitere Statusrückmeldungen gestoppt werden.

Statusrückmeldungen bezüglich Ausübungen von Applikationen an den Terminals WR könnten nach Bedarf, soweit und solange benötigt, auch weitergeführt werden.

Je nach Bedarf können die Applikationsinformationen Iex in den Datenträgern IMex, den Terminals WR und/oder den autorisierten Terminals WRZ nur temporär vorhan- den sein und anschliessend wieder gelöscht werden. Dabei können die Applikations- informationen Iex für eine vorgebbare Zeitdauer oder für eine bestimmte Anzahl oder Art von Vorgängen oder bis eine bestimmte Bedingung erfüllt ist temporär vorhanden sein.

Beispiele für die erfindungsgemässe Initialisierung von Applikationen in Terminals : Dabei kann es sich um neue Applikationen Appn handeln oder um ein Update beste- hender Applikationen, welche durch eine geänderte, erweiterte Applikation Appu ersetzt bzw. ergänzt werden.

Ein Beispiel für eine Update-Applikation Appu : Der Zutritt zu einem Raum erfolge durch Prüfung der Referenznummer eines Datenträgers IM1 und durch Eingabe eines PIN-Codes durch den Inhaber dieses Datenträgers IM1. Diese bestehende Applika- tion soll erweitert werden, so dass der Zutritt nur möglich ist, wenn in kurzer Zeit (z. B. 30 Sekunden) ein zweiter berechtigter Datenträger IM2 präsentiert und der PIN- Code dieser zweiten Person am Terminal eingegeben wird. Diese erweiterte Applikation Appu wird so angepasst, dass der Prüfungsvorgang entsprechend zweimal durchlaufen wird. Die Funktionsausrüstung App HW/SW zur physischen Ausführung dieser Applikation muss am Terminal WR schon vorhanden sein.

Als weiteres Beispiel einer Applikationserweiterung Appu könnte ein bestehender 4-stelliger PIN-Code als Zutrittsbedingung mit der Appu durch einen 6-stelligen PIN-Code ersetzt werden.

Beispiel einer neuen Applikation Appn : Der Zutritt erfolge bisher durch Prüfung der Referenznummer eines Datenträgers IM. Neu soll zusätzlich auch die Eingabe und Überprüfung des PIN-Codes des Inhabers des Datenträgers IM erfolgen. Dazu wird durch einen Datenträger IMex eine neue Applikation Appn im Terminal WR instal- liert, wobei die notwendige Funktionseinrichtung App HW/SW am Terminal schon vorhanden ist oder simuliert werden kann, z. B. mit einem PSOC (Programmable System on Chip) einem Baustein, bestehend aus einem Microprozessor und einem Analogteil, wobei die Funktionalität des Analogteils in gewissen Grenzen durch den Microprozessor bestimmt und geändert werden kann (d. h. im weitesten Sinn wird mittels Software die Hardware des Bauteils simuliert). Mit neuen Applikationen Appn kann somit auch eine neue oder erweiterte Nutzung von bestehenden Ausrüstungen bzw. Funktionseinrichtungen an den Terminals WR eingerichtet werden.

Die Anpassung einer Kenngrösse eines Funktionsgerätes veranschaulicht als Anwendungsbeispiel ein Update einer Applikation Appu in Kombination mit einer Rekonfiguration der App HW/SW. Die Applikation bestehe im automatischen Öffnen einer Türe, indem z. B. ein Relais einen Kontakt freischaltet, mechanisch ein Sicherungsstift bewegt wird und ein Motor die Türe öffnet. Zur Kompensation von Alterung und Verschleiss dieser Komponenten kann das Terminal WR über eine Applikationsinformation Iex rekonfiguriert werden. Dazu wird in das Terminal WR ein Update der Applikationsparameter Ipar der zur App HW/SW gehörenden Funktionsgeräte (Relais, Motor) übertragen, wodurch das Relais und der Motor mit neuen Referenzwerten (z. B. mit erhöhtem Strom) betrieben werden, um zu verhindern, dass bei einem Betrieb mit den alten Referenzwerten das Relais den Sicherungsstift nicht freischaltet bzw. die Türe klemmt.

Die Datenträger IMex können auch Applikationsinformationen Iex mit individuellen Applikationsprofilen ind aufweisen.

Beispielsweise können individuelle Zutrittszeiten für jede Person nur auf ihrem eigenen Datenträger IM gespeichert sein, währenddem nur die allgemeinen Zutritts- bedingung als Applikation in den Terminals WR eingeschrieben werden. Oder es können auch Applikationen Iex mit individuellem Profil ind initialisiert werden, welche je nach Inhaber des Datenträgers IMex unterschiedlich sind. Beispielsweise soll der Zutritt zu einem Raum im Terminal WR unterschiedlich geprüft werden. Für einen bestimmten Kreis von engeren Mitarbeitern ist nur die Prüfung der Referenz- nummern ihrer Datenträger erforderlich. Während für andere Personen auch eine Prüfung ihres PIN-Codes zusätzlich zu den Referenznummern erforderlich ist.

Temporärer Ausweis für selektiven Zutritt : Für ein Zutrittssystem zu Produktions- anlagen einer Tochterfirma im Land b sollen neu Ausweise erstellt werden, mit denen Beauftragte der Zentrale aus dem Land a in Land b unangekündigte Kontroll- besuche ausführen können. Dazu können in der Zentrale an einem autorisierten

Terminal WRZ Datenträger IMex mit den entsprechenden Applikationsinforma- tionen Iex geladen werden. Im Land b werden die Datenträger IMex an den dortigen Terminals präsentiert, die Applikation wird temporär initialisiert und auch ausgeführt, d. h. der Zutritt wird während der Dauer des geplanten Kontrollbesuchs gewährt.

Ein weiteres Beispiel : Eine Applikation bestehe in der Zugangsberechtigung für ein EDV-Zentrum, wobei der Datenträger des Karteninhabers geprüft wird. Diese Zugangsberechtigung soll nun verschärft werden durch eine neue, erweiterte Applikation App, mit welcher die Zugangsprüfung zusätzlich einen persönlichen Code pers (PIN Code oder biometrischen Code) des Inhabers des Datenträgers erfordert. Weiter sollen auch gewisse Daten oder Informationen ausgegeben oder angezeigt werden. Verfügt das Terminal über kein Display, so besteht die Möglichkeit, neben dem Terminal eine Displayeinheit anzubringen, welche z. B. wie der Datenträger berührungslos mit dem Terminal kommunizieren soll. Dies erlaubt es, auf eine Verkabelung der Displayeinheit (mit dem Terminal WR oder einem Host H) zu verzichten. Bei einer solchen Erweiterung muss das Terminal in die Lage versetzt werden, die Displayeinheit anzusprechen, d. h. das Terminal bzw. dessen entsprechende Parameter Ipar müssen so rekonfiguriert werden, dass die Kommunikation sowohl mit einem Datenträger IMex wie mit der Displayeinheit möglich ist. Die hierfür notwendigen Applikationsinformation Iex werden über einen Datenträger IMex in das Terminal WR übertragen. Im Falle einer Anwendung mit individuellem Anforderungsprofil ind wird weiter z. B. aufgrund der Applikations- informationen Iex auf dem Datenträger IMex entschieden, ob die Displayeinheit Bestandteil der Applikation App ist und wie sie vom Terminal WR angesprochen werden soll.

Eine weitere Erhöhung der Zugangssicherheit kann z. B. mit einer zusätzlichen Verschärfung durch eine weitere Applikation App2 initialisiert werden, mit welcher

der Zutritt nur zu zweit erlaubt wird, d. h. in der erweiterten Applikation App2 prüft das Terminal den Datenträger einer ersten Person und dessen persönlichen Code und anschliessend den Datenträger einer zweiten Person und deren persönlichen Code, worauf erst bei Übereinstimmung aller Daten der Zugang zum EDV-Zentrum freigegeben wird.

Im Rahmen dieser Beschreibung werden die folgenden Bezeichnungen verwendet : H Host, Zentrale A Autorisierungssystem AM Autorisierungsmittel, Übertragungs-Autorisierungsmedium IM mobiler Datenträger, Identifikationsmedium IMex IM zur Übertragung von Applikationsinformationen Iex Rf berührungslos Rf-K berührungslose Kommunikation WR Terminal, Schreib-und Lesestation WRZ autorisiertes Terminal, bestimmtes zentrales Terminal g-WR generische WR App Applikation Appn neue Applikation Appu Applikationserweiterung, Update Appl, App2 unabhängige Applikationen ind individuelle Applikationsprofile App HW/SW Applikations-Hardware/-Software zu WR, Funktionseinrichtungen Iex Applikationsinformationen Idat Daten einer Applikation Ipar Parameter Icod Programmdaten, Programmcode Iex = Idat, Ipar, Icod

Ist Statusinformationen f Funktion mit Prüfgrössen SL Sicherheitslevel SL-IM, SL-WR SL von IM bzw. von WR, WRZ ID Identifikationsdaten ID-IM, ID-WR ID der IM bzw. ID der WR, WRZ SM Sicherheitsmodul MEM Memory, Datenspeicher API Application Programming Interface crypl Verschlüsselung der Kommunikation cryp2 Verschlüsselung der Applikation pers persönliche Daten oder Code (PIN, biometrischer Code) uP-WR Microprozessor inWR für App uP-IM Microprozessor in IM für App ta, tb Zeitpunkte va, vb Versionennummern Ia Autorisierungsinformation F/P Flag/Pointer F/P-IMex F/P von IMex F/P-App F/P einer Applikation mit Iex (App) If Freigabeinformation 9 Überführung WR in WRZ, Auswahl, Autorisierung 10 neue Applikation in WRZ laden 11 Prüfung von IMex 12 Einschreiben von Iex, Setzen von F/P 13 Transfer der IMex 14 Prüfung von WR, IMex 15 Übertragung an WR 17 Prüfung von IM 18 Ausführung von App 20 Status Rückmeldungen 21 Umwandlung WR in WRZ 22 Rückführung von WRZ in WR