Die Erfindung betrifft ein Verfahren zum Überwachen eines Systems aus einer Anzahl von Lesegeräten und einer Vielzahl von tragbaren Kommunikationseinheiten.

Aus dem Stand der Technik sind Systeme bekannt, mit denen in Anspruch genommene Dienstleistungen über einen Datenaustausch zwischen einem Lesegerät und einer vom Nutzer mitgeführten tragbaren Kommunikationseinheit erfasst werden, so dass diese Dienstleistungen zu einem späteren Zeitpunkt dem Nutzer in Rechnung gestellt werden können. Systeme zur Erfassung von Dienstleistungen sind insbesondere aus dem Bereich des öffentlichen Personenverkehrs bekannt. Dabei werden über entsprechende Lesegeräte in Verkehrsmitteln, welche mit den Kommunikationseinheiten von Nutzern kommunizieren, die gefahrenen Strecken erfasst.

In den soeben beschriebenen Systemen werden als tragbare Kommunikationseinheiten häufig RFID-Tags verwendet, welche mit einem entsprechenden Lesegerät kontaktlos kommunizieren. In vielen Anwendungen kommen dabei UHF-RFID-Tags zum Einsatz, welche von einem entsprechenden RFID-Lesegerät abgefragt werden können und ihre Identität durch Modulation, der an der Antenne des Tags zurückgestreuten Hochfrequenzenergie (Backscatter), zurücksenden. Da UHF-Tags keine eigene Energieversorgung haben, sind sie in der Regel einfach aufgebaut und nur unzureichend gegen Fälschungen geschützt. In der Druckschrift A. Arbit, J. Oron, A. Wool, Toward Practical Public Key Anti-Counterfeiting for Low-Cost EPC Tags, 2011, IEEE International Conference on RFID, wird ein Protokoll basierend auf einer Public-Key-Krypto- graphie zur gesicherten Identifikation von RFID-Tags beschrieben. Dieses Protokoll verhindert zwar die Erstellung neuer Tags, schützt jedoch nicht gegen die Herstellung von Duplikaten bereits bestehender Tags.

In der Druckschrift US 6,766,161 B2 wird ein Verfahren zur Erkennung von duplizierten Kommunikationsgeräten basierend auf Transaktionscodes be- schrieben. Dabei wird in einem Host und einem Kommunikationsgerät eine Sequenz von aufeinander folgenden Transaktionscodes vorgehalten, wobei bei jeder Kommunikation zwischen Host und Kommunikationsgerät ein neuer Transaktionscode aus der Sequenz zum Host übertragen wird. Der Host überprüft anschließend, ob der übertragene Transaktionscode mit dem Transaktionscode übereinstimmt, der gemäß der bei ihm hinterlegten Sequenz zu erwarten ist.

Aufgabe der Erfindung ist es, den Betrieb eines Systems aus einer Anzahl von Lesegeräten und einer Vielzahl von tragbaren Kommunikationseinheiten dahingehend zu verbessern, dass ein effizienter Schutz gegen das Duplizieren von Kommunikationseinheiten gewährleistet ist.

Diese Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 bzw. das System gemäß Patentanspruch 13 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.

Das erfindungsgemäße Verfahren dient zum Überwachen eines Systems aus einer Anzahl von Lesegeräten und einer Vielzahl von tragbaren Kommunikationseinheiten. Im Betrieb des Systems wird für eine vorgegebene Kom- munikationseinheit, welche eine beliebige Kommunikationseinheit der Vielzahl von Kommunikationseinheiten darstellen kann, eine Vielzahl von Datentransaktionen zwischen zumindest einem Lesegerät und der vorgegebenen Kommunikationseinheit über eine entsprechende Kommunikations- schnittsteile durchgeführt. Sofern das System mehrere Lesegeräte umf asst, können an den Datentransaktionen auch unterschiedliche Lesegeräte beteiligt sein. Eine einzelne Datentransaktion wird jedoch immer zwischen einem Lesegerät und der vorgegebenen Kommunikationseinheit durchgeführt. Vorzugsweise ist die Kommunikationsschnittstelle zwischen Lesegerät und Kommunikationseinheit eine kontaktlose Schnittstelle und die tragbaren Kommunikationseinheiten stellen entsprechend ausgestaltete Transponder dar, welche mit geeigneten kontaktlosen Lesegeräten kommunizieren. Insbesondere sind die Transponder die oben erwähnten RFID-Transponder bzw. UHF-RFID-Transponder.

Im Rahmen einer Datentransaktion wird im Betrieb des Systems ein erster Datensatz von einem Lesegerät zu der vorgegebenen Kommunikationseinheit übertragen und dort gespeichert. Ferner wird ein zweiter Datensatz, der bei der zuletzt durchgeführten Datentransaktion in der vorgegebenen Kom- munikationseinheit gespeichert wurde, an das Lesegerät übermittelt. Unter einer durchgeführten Datentransaktion ist dabei eine Datentransaktion zu verstehen, welche abgeschlossen wurde, d.h. für welche die Speicherung eines ersten Datensatzes sowie die Übermittlung eines zweiten Datensatzes durchgeführt wurden.

Im erfindungsgemäßen Verfahren wird mit einer Rechnereinheit, welche z.B. als zentraler Server ausgestaltet sein kann, eine geeignete Auswertung der im System übermittelten Datensätze durchgeführt. Dabei wird eine Verkettung von Datenpaaren aus dem ersten und zweiten Datensatz der jeweiligen Datentransaktionen derart gebildet, dass für zwei aufeinander folgende Datenpaare der Verkettung der erste Datensatz des einen Datenpaars dem zweiten Datensatz des anderen Datenpaars entspricht. Diese Verkettung kann ggf. auch unterbrochen sein. Beim Bilden der Verkettung wird ein Kri- terium überprüft, welches dann erfüllt ist, wenn die Verkettung mehrere parallele Ketten von Datenpaaren aufweist oder wenn zwei Datenpaare aufgefunden werden, welche unterschiedliche erste Datensätze bei gleichem zweiten Datensatz umfassen. Unter parallelen Ketten sind dabei unabhängig voneinander bzw. zumindest teilweise zeitlich überlappende Ketten von Datenpaaren zu verstehen. Die Ketten enthalten jeweils aufeinander folgende Datenpaare gemäß obiger Definition, d.h. für zwei aufeinander folgende Datenpaare entspricht der erste Datensatz des einen Datenpaars dem zweiten Datensatz des anderen Daten- paars. Nichtsdestotrotz kann eine Kette auch an einer oder mehreren Stellen unterbrochen sein. Das Auftreten von parallelen Ketten lässt dabei den Schluss zu, dass zwei identische Kommunikationseinheiten nebeneinander existieren und Datentransaktionen durchführen, welche nicht miteinander zusammenhängen. Bei der Erkennung solcher Ketten bzw. von Datenpaaren mit unterschiedlichen ersten und gleichen zweiten Datensätzen, wird durch die Rechnereinheit ein Duplizieren der vorgegebenen Kommunikationseinheit erkannt. Als Folge können entsprechende Gegenmaßnahmen eingeleitet werden. In einer bevorzugten Ausführungsform wird die Kommunikationseinheit im System für eine weitere Verwendung gesperrt.

Das erfindungsgemäße Verfahren hat den Vorteil, dass Duplikate zuverlässig auch bei sehr einfach aufgebauten Kommunikationseinheiten erkannt werden. Insbesondere müssen keine komplexen kryptographischen Protokolle in den Kommunikationseinheiten implementiert werden, denn ein Klo- nen einer Kommunikationseinheit wird im System über die Verkettung von Datenpaaren erfasst.

In einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfasst ein jeweiliger erster Datensatz eine Zeitinformation betreffend die Durchführung der Datentransaktion unter Verwendung dieses ersten Datensatzes. Dabei werden mehrere parallele Ketten in einfacher Weise dadurch detektiert, dass die Datenpaare in der zeitlichen Reihenfolge der Zeitinformationen ihrer ersten Datensätze angeordnet werden und das Vor- handensein paralleler Ketten dann festgestellt wird, wenn sich ein zweiter Datensatz eines Datenpaars vom ersten Datensatz eines in der zeitlichen Reihenfolge unmittelbar vorhergehenden Datenpaars unterscheidet. Der Begriff der Zeitinformation ist dabei weit zu verstehen und muss keine explizite Zeitangabe umfassen. Z.B. kann eine Zeitinformation durch aufeinander fol- gende Sequenznummern codiert werden.

In einer weiteren, besonders bevorzugten Ausführungsform der Erfindung werden die jeweiligen zweiten Datensätze übermittelt, ohne dass Zusatzinformationen von der vorgegebenen Kommunikationseinheit hinzugefügt werden. Hierdurch kann das Verfahren besonders einfach implementiert werden, denn die jeweiligen Kommunikationseinheiten müssen lediglich zuvor empfangene Datensätze ohne weitere Verarbeitung nochmals aussenden. In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens wird der erste Datensatz im Rahmen einer Datentransaktion in Kombination mit einem Schreibkommando übermittelt, welches eine erste Speicheradresse in einem Speicher der vorgegebenen Kommunikationseinheit spezifiziert, woraufhin der erste Datensatz an der ersten Speicheradresse gespeichert wird. Hierbei können einfache Schreibkommandos („write"), wie sie beispielsweise aus dem Standard ISO/IEC 18000-63 (vormals ISO/IEC 18000-6C) bekannt sind, eingesetzt werden. In einer weiteren Ausführungsform der Erfindung ist die oben beschriebene Speicherung an der ersten Speicheradresse lediglich temporär. Das heißt, der erste Datensatz wird vor der endgültigen Speicherung an einer zweiten Speicheradresse nur vorübergehend an der ersten Speicheradresse gespeichert, und zwar bis der erste Datensatz einer Überprüfung unterzogen wurde.

In einer bevorzugten Variante wird bei dieser Überprüfung der erste Datensatz mit dem bei der zuletzt durchgeführten Datentransaktion gespeicherten ersten Datensatz verglichen und/ oder eine Signatur verifiziert, welche dem ersten Datensatz vom Lesegerät hinzugefügt wurde. Im Falle einer ausrei- chenden Differenz zwischen dem ersten Datensatz und dem bei der zuletzt durchgeführten Datentransaktion gespeicherten ersten Datensatz und/ oder bei einer erfolgreichen Verifikation der Signatur wird schließlich der erste Datensatz an der zweiten Speicheradresse gespeichert. Ansonsten wird der erste Datensatz verworfen, so dass die Datentransaktion nicht erfolgreich abgeschlossen wurde. Mit dieser Variante wird eine mehrfache Speicherung von gleichen bzw. ähnlichen Datensätzen vermieden. Je nach Ausführungsform kann das Kriterium der ausreichenden Differenz geeignet festgelegt werden. Z.B. kann sich das Kriterium der ausreichenden Differenz nur auf bestimmte Felder in dem Datensatz beziehen. Das heißt, ein Unterschied in den anderen Feldern stellt keine ausreichende Differenz dar, die zur Speicherung des Datensatzes führt.

In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens wird im Rahmen einer Datentransaktion der an der zweiten Speicheradresse gespei- cherte erste Datensatz der vorhergehenden Datentransaktion mittels eines Lesekommandos als zweiter Datensatz ausgelesen und an das Lesegerät übermittelt. Dabei kann wiederum ein einfaches herkömmliches Lesekommando verwendet werden, wie es beispielsweise in dem oben genannten Standard ISO/IEC 18000-63 beschrieben ist.

In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens werden für mehrere in der Vergangenheit durchgeführte und aufeinander folgende Datentransaktionen die jeweiligen ersten Datensätze in der vorgegebenen Kommunikationseinheit gespeichert, vorzugsweise in einem Ringspeicher oder FIFO-Speicher. Auf diese Weise wird es ermöglicht, eine größere Anzahl von Datentransaktionen in der Kommunikationseinheit vorzuhalten und bei Bedarf auszulesen. Vorzugsweise können diese ersten Datensätze durch aufeinander folgende Lesekommandos auf eine vorbestimmte Spei- cheradresse in der vorgegebenen Kommunikationseinheit ausgelesen werden. Insbesondere kann dabei die vorbestimmte Speicheradresse einen Zeiger verwenden, der auf den aktuell auszulesenden Datensatz zeigt, wobei nach Auslesen dieses Datensatzes der Zeiger inkrementiert wird, so dass beim nächsten Lesekommando der nächste Datensatz ausgelesen wird.

In einer besonders bevorzugten Ausführungsform wird die Erfindung für ein System eingesetzt, welches mehrere Lesegeräte verwendet, wobei die sich aus den Datentransaktionen der jeweiligen Lesegeräte ergebenden Datenpaare an die Rechnereinheit übermittelt werden, welche in diesem Fall als zentrale Rechnereinheit ausgestaltet ist, die beispielsweise vom Betreiber des Systems verwaltet wird. In dieser Rechnereinheit erfolgt dann die erfindungsgemäße Auswertung der Datenpaare basierend auf der beschriebenen Verkettung, um hierdurch duplizierte Kommunikationseinheiten zu erkennen. Das erfindungsgemäße Verfahren wird insbesondere in den bereits eingangs beschriebenen Systemen zum Erfassen von Dienstleistungen eingesetzt, wobei die Erbringung der Dienstleistung über die Datentransaktionen erfasst wird. In einer besonders bevorzugten Ausführungsform ist das System ein Fahrkartensystem für den öffentlichen Personenverkehr, wobei die ersten Datensätze jeweils eine Streckeninformation beinhalten, welche insbesondere eine Route und einen Streckenabschnitt auf der Route und gegebenenfalls auch noch weitere Informationen umf asst.

Neben dem oben beschriebenen Verfahren betrifft die Erfindung ferner ein System aus einer Anzahl von Lesegeräten und einer Vielzahl von tragbaren Kommunikationseinheiten. In Analogie zum obigen Verfahren wird im Betrieb des Systems für eine vorgegebene Kommunikationseinheit eine Viel- zahl von Datentransaktionen zwischen zumindest einem Lesegerät und der vorgegebenen Kommunikationseinheit über eine entsprechende Kommunikationsschnittstelle durchgeführt, wobei im Rahmen einer Datentransaktion ein erster Datensatz von einem Lesegerät zur vorgegebenen Kommunikationseinheit übertragen und dort gespeichert wird sowie ein zweiter Daten- satz, der bei der zuletzt durchgeführten Datentransaktion in der vorgegebenen Kommunikationseinheit gespeichert wurde, an das Lesegerät übermittelt wird.

Das System beinhaltet eine Rechnereinheit, mittels der eine Verkettung von Datenpaaren aus dem ersten und zweiten Datensatz der jeweiligen Datentranskationen derart gebildet wird, dass für zwei aufeinander folgende Datenpaare der erste Datensatz des einen Datenpaars den zweiten Datensatz des anderen Datenpaars entspricht. Beim Bilden der Verkettung wird dabei ein Kriterium überprüft, welches dann erfüllt ist, wenn die Verkettung meh- rere parallele Ketten von Datenpaaren aufweist oder wenn zwei Datenpaare auf efunden werden, welche unterschiedliche erste Datensätze bei gleichem zweitem Datensatz umfassen. Mit der Rechnereinheit wird ein Duplizieren der vorgegebenen Kommunikationseinheit dann erkannt, wenn das Kriteri- um erfüllt ist.

Das oben beschriebene erfindungsgemäße System ist vorzugsweise derart ausgestaltet, dass mit dem System eine oder mehrere der bevorzugten Varianten des erfindungsgemäßen Verfahrens durchführbar sind.

Ausführungsbeispiele der Erfindung werden nachfolgend anhand der beigefügten Figuren detailliert beschrieben.

Es zeigen:

. 1 eine schematische Darstellung einer ersten Ausführungsform

findungsgemäßen Verfahrens;

. 2 den Aufbau eines ersten Datensatzes, der in der Ausführungsform Fig. 1 verwendet wird; und eine schematische Darstellung, welche die Speicherverwaltung in dem RFID-Transponder wiedergibt, der in der Ausführungsform der Fig. 1 eingesetzt wird.

Nachfolgend wird eine Ausführungsform des erfindungsgemäßen Verfahrens basierend auf einem BiBo-System eines öffentlichen Personennahverkehrs (BiBo = Be in Be out) erläutert. Dabei tragen Nutzer des öffentlichen Nahverkehrs eine Kommunikationseinheit in der Form eines UHF-RFID- Tags bzw. Transponders mit sich. Ein solcher Tag basiert auf dem Standard ISO/IEC 8000-63. Diese Norm spezifiziert kontaktlose Transponder und Lesegeräte, die in einem UHF-Band von ca. 860 MHz bis 950 MHz arbeiten. Die Transponder werden mit einem normgemäßen RFID-Lesegerät abgefragt und senden daraufhin ihre Identität durch Modulation der von der Antenne des Transponders gestreuten Hochfrequenzenergie zurück (sog. Backscatter- Verfahren). Die Betriebsenergie wird von den RFID-Tags aus der von dem Lesegerät abgestrahlten Hochfrequenzenergie entnommen, sofern es sich um passive RFID-Tags handelt. Der Standard ermöglicht darüber hinaus auch batteriegestützte passive Tags (BAP = battery assysted passive).

Im Rahmen des BiBo-Systems wird über die kontaktlose Kommunikation zwischen dem RFID-Tag und den entsprechenden Lesegeräten in den Verkehrsmitteln, welche eine Person mit dem Tag verwendet, die Route dieser Person erfasst. Beim Wechsel des Verkehrsmittels wird die Routenerfassung dabei mit dem entsprechenden Lesegerät des neuen Verkehrsmittels fortgesetzt. Auf diese Weise werden Datensätze generiert, welche an den Betreiber des BiBo-Systems übermittelt werden, der hierdurch die in einem Abrechnungszeitraum zurückgelegten Routen erfassen kann und dem Inhaber des Tags in Rechnung stellen kann. Dabei kann es zu Missbrauch dahingehend kommen, dass ein entsprechender Tag durch einen Dritten geklont bzw. dupliziert wird und im BiBo-System missbräuchlich genutzt wird. Die entstandenen Fahrtkosten werden dann dem Inhaber des ursprünglichen Tags in Rechnung gestellt. Dabei ist zu berücksichtigen, dass die Hardware eines UHF-Tags nur unzureichend gegen ein Klonen geschützt werden kann. Dies liegt daran, dass die von einem UHF-Tag aus dem Hochfrequenzfeld des Lesegeräts entnehmbare Energie im Allgemeinen so gering ist, dass im Tag meist nur einfachste Schaltungen verbaut sind und somit keine komplexen kryptographischen Protokolle bzw. Operationen realisiert werden können. Mit den im Folgenden beschriebenen Ausführungsformen des erfindungsgemäßen Verfahrens wird im Betrieb des BiBo-Systems ein geeigneter Mechanismus zur effizienten Erkennung von geklonten Tags realisiert. Fig. 1 zeigt dabei die Kommunikation eines Lesegeräts 1 mit einem entsprechenden RFID-Tag 2 in einem solchen BiBo-System. Die Kommunikation erfolgt über die kontaktlose Schnittstelle IF, über die zwischen der Antenne 101 des Lesegeräts 1 und der Antenne 201 des Tags 2 Informationen ausgetauscht werden. Das System umfasst eine Vielzahl von Lesegeräten 1, welche in den entsprechenden Verkehrsmitteln des öffentlichen Nahverkehrs vorgesehen sind. Diese Geräte kommunizieren mit den entsprechenden Tags in Reichweite. Hierdurch kann für jedes Tag eine Information in Bezug auf die zurückgelegte Route in der Form entsprechender Datensätze erfasst werden, welche von den Lesegeräten an eine zentrale Rechnereinheit bzw. Daten- bank 3 übermittelt werden. Dort wird dann vom Systembetreiber eine Abrechnung der zurückgelegten Fahrten in einem bestimmten Abrechnungszeitraum gegenüber den Besitzern der jeweiligen Tags vorgenommen.

Im Rahmen der in Fig. 1 dargestellten Kommunikation zwischen Lesegerät 1 und Tag 2 wird davon ausgegangen, dass zunächst eine Identifizierung des Tags gegenüber dem Lesegerät basierend auf dem eingangs erwähnten Back- scatter- Verfahren durchgeführt wurde. Ferner kann bei der Identifizierung gegebenenfalls ein kryptographisches Protokoll eingesetzt werden, wie z.B. das Protokoll, das in der oben erwähnten Druckschrift von A. Arbit et al. be- schrieben ist. Nach der Identifikation sendet das Lesegerät 1 über die

Schnittstelle IF mittels eines Schreibkommandos Write@Al einen ersten Datensatz DS(n) an das Tag 2. Der erste Datensatz wird in einem entsprechenden Speicher S des Tags 2 gespeichert. Dieser Speicher umfasst einen ersten Speicherbereich A und einen zweiten Speicherbereich B, welche in Fig. 1 nicht näher spezifiziert sind, jedoch weiter unten anhand von Fig. 3 erläutert werden.

Fig. 2 zeigt den Aufbau des ersten Datensatzes DS(n), der vom Lesegerät 1 an das Tag 2 übermittelt wird. Der Datensatz umfasst eine vom Lesegerät vergebene Sequenznummer SN. Ferner enthält er eine Zeit TI in der Form eines Datums oder einer Uhrzeit, wobei die Genauigkeit der Zeit die Größenordnung von einer Minute nicht zu überschreiten braucht. Ferner ist in dem Feld LI eine Routeninformation hinterlegt, welche die Charakteristiken einer be- stimmten Fahrt und Fahrtrichtung, z.B. innerhalb eines Tages, enthält. Ferner ist ein Feld SE vorgesehen, welches den Streckenabschnitt zwischen zwei Haltestellen spezifiziert, an dem das Verkehrsmittel bestiegen wurde. Der Datensatz der Fig. 2 ist ferner mit einer Signatur SIG versehen, welche optional ist und in Fig. 1 bei der Übermittlung des Datensatzes nicht dargestellt ist. Die Signatur kann dabei mit einem Schlüssel generiert sein, der spezifisch für das Lesegerät ist. Ebenso kann gegebenenfalls ein globaler Signaturschlüssel verwendet werden, der im gesamten System gültig ist.

Nach der Übermittlung des ersten Datensatzes DS(n) an das Tag 2 sowie nach entsprechenden Überprüfungsschritten, welche weiter unten anhand von Fig. 3 beschrieben werden, wird gemäß Fig. 1 mittels des Lesekommandos Read@A2 ein zweiter Datensatz DS(n-l) an das Lesegerät übermittelt. Der zweite Datensatz DS(n-l) ist dabei der Datensatz, der bei der letzten Datentransaktion vom Lesegerät 1 zum Tag 2 übermittelt wurde. In der BiBo- Anwendung findet eine Datentransaktion in der Regel dann statt, wenn das Verkehrmittel gewechselt wird. Die im Rahmen einer Datentransaktion ausgetauschten ersten und zweiten Datensätze DS(n) und DS(n-l) werden als Datenpaar DP gespeichert und an die zentrale Rechnereinheit 3 des Systembetreibers übermittelt. Dabei werden von allen Lesegeräten in dem System die entsprechend generierten Datenpaare gesammelt. In der Rechnereinheit 3 werden die einzelnen Datenpaare dann verkettet. In Fig. 1 ist beispielhaft eine solche Verkettung von Datenpaaren wiedergegeben. Aus Übersichtlichkeitsgründen sind nur einige der Datenpaare mit dem Bezugszeichen DP bezeichnet. Die Verkettung erfolgt dabei derart, dass ein Datenpaar mit einem zeitlich späteren Datenpaar verknüpft wird, wenn der erste Datensatz des Datenpaars mit dem zweiten Datensatz des zeitlich späteren Datenpaars übereinstimmt. Diese Verkettung ist in Fig. 1 mit entsprechenden Doppelpfeilen angedeutet. Alle Datenpaare, welche den Index n enthalten, bilden eine durchgehende Kette. Dabei bezeichnen n-6, n-5, ..., n aufeinander folgende Zeitpunkte für die entsprechende Datentransaktionen des Tags 2.

In dem Szenario der Fig. 1 ist ferner zu berücksichtigen, dass ein geklönter Tag 2' parallel zum Tag 2 eingesetzt wurde. Auch dieser Tag hat im Rahmen der Kommunikation mit dem Lesegerät 1 entsprechende Datentransaktionen basierend auf Datensätzen DS(c), DS(c-l) usw. durchgeführt. Die entsprechenden Datensätze bzw. die daraus resultierenden Datenpaare sind dabei in Fig. 1 gepunktet wiedergegeben. Wie man erkennt, können auch diese Datenpaare miteinander verkettet werden, so dass sich zwei parallele Ketten bilden, wobei eine Kette aus den Datensätze für das Tag 2 und die andere Kette aus den Datensätzen für das geklonte Tag 2' besteht. In der Ausführungsform der Fig. 1 wird das Ausbilden von zwei parallelen, unabhängig nebeneinander laufenden Ketten über eine zeitliche Sortierung der gesammelten Datenpaare DP festgestellt. Die Liste der Datenpaare DP aus Fig. 1 ist dabei derart sortiert, dass Datensätze, die später generiert wurden, weiter oben in der Liste stehen. Im Rahmen der Analyse der Sortierung wird nunmehr erkannt, dass sich für bestimmte Datenpaare der zweite Datensatz vom ersten Datensatz des zeitlich vorhergehenden Datenpaares unterscheidet. Diese Fälle sind durch gezackte Symbole z gekennzeichnet. Bei der Erken- nung solcher Fälle kann darauf geschlossen werden, dass zeitlich parallel neben dem Tag 2 ein geklönter Tag 2' verwendet wird. Als Konsequenz wird dann vom Systembetreiber der entsprechende Tag 2 und damit auch sein Klon zur weiteren Benutzung gesperrt, um weiteren Missbrauch zu verhin- dem.

Neben der Klonerkennung basierend auf der zeitlichen Sortierung werden in der Ausführungsform der Fig. 1 auch dann duplizierte Tags detektiert, wenn sich ergibt, dass mehrere Datenpaare existieren, welche unterschiedliche ers- te Datensätze, jedoch den gleichen zweiten Datensatz umfassen. Diese Situation kann nur auftreten, wenn zwei identische Tags im System genutzt werden. Auch in diesem Fall wird von dem Systembetreiber die entsprechende Sperrung des Tags veranlasst. Die durch das Lesegerät 1 vergebene Sequenznummer SN (Fig. 2) kann gegebenenfalls zur Erkennung von solchen geklonten Tags genutzt werden, die nach ihrer Erzeugung immer gemeinsam mit dem ursprünglichen Tag verwendet werden. Ohne Sequenznummer würden der ursprüngliche Tag und der geklonte Tag meist die gleichen Datensätze enthalten, sofern die Zeit TI nur grob aufgelöst ist. Nichtsdestotrotz können sie über das Lesegerät getrennt angesprochen werden, was durch das in der Norm ISO/IEC 18000-63 beschriebene Singularisierungsverfahren sichergestellt wird. Durch die Hinzunahme der vom Lesegerät generierten Sequenznummer SN sind die Datensätze jedoch dennoch unterscheidbar, so dass Klone bei der späteren Ver- arbeitung in der Rechnereinheit 3 erkannt werden können.

In dem System der Fig. 1 führt das Lesegerät, welches mit den Tags im Verkehrmittel kommuniziert, in jedem Streckenabschnitt einer Fahrt eine Inventarisierung durch und kann auf diese Weise auch feststellen, wo ein Tag das Verkehrmittel wieder verlassen hat (bzw. wo es letztmalig anwesend war). Das Tag speichert dabei nur die erstmalige Inventarisierung nach der Route bzw. Linie des Verkehrsmittels (Feld LI der Fig. 2). Nachfolgende Inventarisierungen mit gleicher Route bzw. Linie, jedoch unterschiedlichem Strecken- abschnitt derselben Fahrt werden nicht gespeichert. Auf eine Inventarisierungsanfrage des Lesegeräts in der Form des oben beschriebenen ersten Datensatzes antwortet das Tag mit dem zuletzt gespeicherten zweiten Datensatz, welcher der vorhergehenden Fahrt (andere Linie bzw. Route und dergleichen) entspricht.

Wie bereits erwähnt, werden die von den Lesegeräten gesammelten Daten der Tags an einen zentralen Rechner 3 gemeldet, der diese gegebenenfalls mit verschiedenen Umsteigefahrten verknüpft und basierend darauf den Fahrpreis berechnet und gegenüber dem Kunden abrechnet. Mit dem oben beschriebenen Verfahren können dabei Inkonsistenzen durch Verkettung der Datensätze erkannt werden und hierüber geklonte Tags ermittelt werden. Ein Tag, für das ein Klon erkannt wird, führt zu dessen Sperrung und zum Eintrag des Tags in eine Sperrliste, die an die Lesegeräte im System verteilt wird. Der Besitzer des gesperrten Tags wird über die Sperrung benachrich- tigt. Das Tag wird daraufhin nicht mehr als Fahrausweis im System akzeptiert.

Nachfolgend wird anhand von Fig. 3 eine Speicherverwaltung der in dem Tag 2 der Fig. 1 verarbeiteten Datensätze beschrieben. Fig. 3 zeigt dabei ana- log zu Fig. 1 ein Szenario, bei dem vom Lesegerät 1 über die kontaktlose Schnittstelle IF mittels des Schreibkommandos Write@Al der Datensatz DS(n) mit entsprechender Signatur SIG im Tag 2 hinterlegt wird. Aus Fig. 3 ist dabei der Aufbau der beiden Speicherbereiche A und B des Speichers des Tags ersichtlich. Die über das Schreibkommando spezifizierte Adresse AI liegt im Speicherbereich A. Dort wird der Datensatz DS(n) zwischengespeichert. Das Schreibkommando ist dabei ein herkömmliches WRITE- bzw. BLOCK_WRITE-Kommando aus der Norm ISO/IEC 18000-63. Im Rahmen der Überprüfung CH wird zunächst ermittelt, ob der betreffende Datensatz überhaupt gespeichert werden sollte, denn es würde nur unnötigen Speicherplatz verbrauchen, mehrere Datensätze zu dem gleichen Transportvorgang zu speichern. Demzufolge wird der Datensatz mit dem zuletzt gespeicherten Datensatz DS(n-l) verglichen. Dieser Datensatz befindet sich an der Speicheradresse A2 gemäß Fig. 3. Wenn sich die Datensätze unterscheiden, wird in einem nächsten Schritt die Signatur SIG des Datensatzes DS(n) geprüft. Wurde dabei ein für das Lesegerät 1 spezifizierter Schlüssel verwendet, überprüft das Tag 2 zunächst das Zertifikat der Signatur, aus der es dann den öffentlichen Verifizierungsschlüssel entnimmt. Im Falle, dass ein globaler, im gesamten System gültiger Signaturschlüssel verwendet wird, entfällt der Schritt der Zertifikatsverifikation, was jedoch den Nachteil hat, dass das System insgesamt gebrochen wird, falls der Signaturschlüssel kompromittiert wird. Bei der Verwendung von Signaturschlüsseln, welche für die jeweiligen Lesegeräte spezifisch sind, wird das Zertifikat in der Regel mit einer kurzen Laufzeit ausgestellt, so dass ein kompromittierter Leser bereits nach hinreichend kurzer Zeit keine gültigen Datensätze mehr erzeugen kann. Das Tag kann dabei aus dem Zeitstempel seines zuletzt gespeicherten Eintrags darauf schließen, dass die Laufzeit des Signaturschlüssels abgelaufen ist.

Wurde schließlich bei der Überprüfung CH die Notwendigkeit einer Speicherung des Datensatzes DS(n) erkannt sowie die Signatur desselben erfolgreich verifiziert, erfolgt die endgültige Speicherung des Datensatzes an der Speicheradresse A2, wodurch der Datensatz DS(n-l) durch den Datensatz DS(n) ersetzt wird. Zuvor wird jedoch der Datensatz DS(n-l) noch über das Kommando Read @A2 an das Lesegerät 1 übermittelt. Ferner wird der Datensatz DS(n) in dem Ringspeicher bzw. FIFO-Speicher B an der Speicheradresse Bl hinterlegt, mit der Konsequenz, dass der älteste Datensatz DS(n-x), der an der Speicheradresse Bx hinterlegt ist, überschrieben und gelöscht ist. Die Anzahl der älteren vorhergehenden Datensätze im Ringspeicher B kann systemspezifisch festgelegt werden und hängt beispielsweise von der mittleren Nutzungshäufigkeit des Tags, der Abrechnungsperiode und damit zusammenhängenden Größen ab.

Wie oben beschrieben, wird im Rahmen einer Datentransaktion der vorhergehende Datensatz DS(n-l) zur Bildung von Datenpaaren an das Lesegerät 1 über die Schnittstelle IF übermittelt. Hierzu wird das Lesekommando Read@A2 verwendet, mit dem die Speicheradresse A2 ausgelesen wird. Da- bei kann wiederum ein herkömmliches READ-Kommando aus dem Standard ISO/IEC 18000-6C verwendet werden. Das Lesekommando kann optional auch bereits von dem Lesegerät verwendet werden, um hierdurch festzustellen, ob es einen weiteren Datensatz zur Speicherung an das Tag senden muss. Auf diese Weise kann der Systemdurchsatz gegebenenfalls optimiert werden.

In der Ausführungsform der Fig. 3 ist ferner eine weitere Speicheradresse A3 vorgesehen, mit der über ein READ-Kommando auf die Adresse A3 das Auslesen des gesamten Ringspeichers B ermöglicht werden kann. Dabei wird bei jedem READ-Kommando ein weiterer älterer Datensatz DS(n-2), ...,

DS(n-x) über die Adresse A3 ausgegeben. Dies wird durch den Pointer P erreicht, der nach jedem Auslesen eines Datensatzes auf den vorhergehenden Datensatz im Ringspeicher B verweist. Da sich über den Zugriff auf die Adresse A3 das Bewegungsprofil des Nutzers nachverfolgen lässt, ist diese Funktion nur bestimmten, explizit berechtigten Lesegeräten vorbehalten, die sich zu diesem Zweck gegenüber dem Tag authentifizieren müssen. Die Authentifizierung kann wiederum über ein Public-Key-Protokoll erfolgen. Anhand der aus dem Ringspeicher ausgelesenen Daten kann nachträglich f est- gestellt werden, welche Fahrten der Benutzer im aufgezeichneten Zeitraum unternommen hat und damit gegebenenfalls eine Abrechnung überprüft werden.

Um zu verhindern, dass der Ringspeicher B sehr schnell durch mehrfaches Schreiben (z.B. durch eine Vielzahl von unterschiedlichen Lesegeräten in einem öffentlichen Verkehrsmittel) überschrieben wird, ist die bereits oben erwähnte Prüfung CH vorgesehen, gemäß der ermittelt wird, ob sich der aktuelle Datensatz vom vorhergehenden Datensatz unterscheidet. Das Tag kann dabei derart eingerichtet sein, dass ein Datensatz nur dann in den Ringspeicher bzw. auf die Adresse A2 geschrieben wird, wenn eine Mindestanforderung an die Differenz zwischen dem aktuellen und dem vorhergehenden Datensatz erkannt wird. Beispielsweise kann der Fall auftreten, dass Lesegeräte in einem öffentlichen Zug alle die gleiche Streckennummer, Zugnummer oder Haltestellennummer im Datensatz übermitteln. Ein Tag würde dann einen Datensatz nach Prüfung z.B. nur dann in den Ringspeicher B bzw. auf die Adresse A2 schreiben, wenn sich Zugnummer oder Haltestellennummer im Datensatz von einem vorher empfangenen Datensatz unterscheiden. Zugnummer und Haltestellennummer sind nur Ausführungsbeispiele. In der Praxis sind weitere Prüfkriterien, wie z.B. die Fahrzeugidenti- tät, die Signatur und dergleichen denkbar.

Die im Vorangegangenen beschriebenen Ausführungsformen des erfindungsgemäßen Verfahrens weisen eine Reihe von Vorteilen auf. Insbesondere wird eine einfache und effiziente Erkennung von duplizierten tragbaren Kommunikationseinheiten bzw. Tags erreicht, ohne dass komplexe kryptographische Protokolle im Tag implementiert werden müssen. Vielmehr wird im System durch die Analyse von Datenpaaren aus aufeinander folgenden Datensätzen erkannt, ob ein Tag geklont wurde. Das Verfahren hat insbe- sondere Vorteile bei der Verwendung von UHF-Tags, welche über die Energie des Lesegerät-Felds betrieben werden und somit über eine nicht ausreichende Stromversorgung für kryptographische Mechanismen zum Schutz des Tags verfügen.