Die Erfindung bezieht sich auf ein Verfahren zur Kodie¬ rung und Verfügbarkeit einer Chipkarte, die als Speicherme¬ dium in einem speicherprogrammierbaren Steuerungssystem vorgesehen ist, wobei die Chipkarte in. eine Aufnahmevor- richtung kontaktiert und über einen Datenbus mit dem Steuerungssystem Daten austauscht.

Sicherheitsverfahren und die dazu entsprechenden Ein¬ richtungen für Chipkarten sind in den verschiedensten Varianten bekannt. Ausführlich wird der Stand der Technik in dem Fachbuch von Karlheinz Fietta " Chipkarten: Tech¬ nik, Sicherheit und Anwendungen " : Hüthig-Verlag, 1989 auf den Seiten 112 bis 137 behandelt. Es werden die heute bekannten Verfahren zum Schutz gegen unerlaubtes Lesen, Schreiben und Löschen sowie gegen Duplikation und Simύl- tation beschrieben.

Diese bekannten Verfahren dienen allerdings nicht zur Lösung der Problemstellung, die zu der Erfindung geführt hat. Ausgehend von dem Gedanken, die Chipkarte als Spei¬ chermedium für speicherprogrammierbare Steuerungen ein¬ zusetzen, ist es für den Hersteller der Chipkarten und Steuerunσssvste e von verständlicher Bedeutunσ. die Komponenten derart zu sicnern, αats rur inn κeιn wirt¬ schaftlicher Nachteil entstehen kann.

Es ist ein besonderer Vorteil, daß eine Chipkarte als Standardkarte vom Hersteller bezogen wird, auf der sich die gesamte Software befindet, die zum Betreiben eines spei¬ cherprogrammierbaren Steuerungssystems notwendig ist. Lediglich der Anwenderspeicher ^" ist freiprogrammierbar. Um eine mit einem Anwenderprogramm programmierte Chipkarte nicht in jedem System benutzen zu können , ist es nach dem

ERSATZBLATT

erfindungsgemäßen Verfahren von besonderen Vorteil, daß die Standardkarte beim Erstbetrieb mit einem Steue-rungssystem durch dasselbe System kodiert wird. Damit ist diese Chipkarte für nur ein Steuerungssystem spezifiziert und zum funktioneilen Betrieb zugelassen.

Dazu ist es zweckmäßig, daß die Chipkarte erst nach dem Kodiervorgang kopierbar wird, wobei der Kopiervorgang nur auf dem Steuerungssystem möglich ist, auf dem die Mutter¬ karte, also die erste Chipkarte kodiert wurde. Eine Standardkarte kann nicht dupliziert werden. Die kopierten Chipkarten können auch nur mit demselben Steuerungssystem betrieben werden.

Zur Verfügbarkeit seiner Gesamtanlage, ist es für den Anwender zweckmäßig, daß bei einem Hardwaredefekt des Steuerungssystems ein zweites Steuerungssystem mit der kodierten Chipkarte für einen bestimmbaren Verfügbar¬ keitszeitraum limitierbar ist. Die Funktion seiner Anlage kann also durch Wechseln der Systemhardware und Nutzung der kodierten Karte aufrecht erhalten bleiben. Ist der Verfüg¬ barkeitszeitraum abgelaufen, wird ein weiterer funktionel- ler Betrieb nur mit dem System möglich, dessen Steuerunugs- nummer mit der auf der Chipkarte identisch ist.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren anzugeben, das eine als Datenträger eines Steuerungssystem vorgesehene Chipkarte derart kodiert wird, daß ein funktio- neller Betrieb nur mit einem Steuerungssystem durchführbar ist, wobei eine kodierte Chipkarte beliebig oft kopierbar ist und die Verfügbarkeit eines Steuerungssystem bei Verlust oder Defekt der Chipkarte oder bei Defekt der Systemhardware erhöht wird.

Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß beim Erstbetrieb eines SteuerungsSystems mit einer Chip¬ karte ein Kodiervorgang erfolgt, der die Chipkarte auf

dasselbe Steuerungssystem spezifiziert und daß eine nicht kodierte Chipkarte nicht kopierbar ist und erst nach der Kodierung beliebig oft kopierbar ist und daß der Kopier¬ vorgang einer Chipkarte mit der Mutterkarte nur mit dem Steuerungssystem durchführbar ist, mit dem die Mutter¬ karte kodiert wurde und daß eine kopierte Chipkarte nur mit dem Steuerungssystem betreibbar ist, mit dem die Mutterkar¬ te kodiert wurde und daß eine zeitliche Verfügbarkeit einer Chipkarte mit einem nicht auf ihr spezifizierten Steuer¬ ungssystem für einen bestimmbaren Zeitraum limitierbar ist.

Die Unteransprüche 2 bis 14 beinhalten die vorteilhaften Ausgestaltungen des erfindungsgemäßen Verfahrens und Einrichtungen zur Durchführung des Verfahrens.

Die Erfindung wird in der Beschreibung an einem Aus¬ führungsbeispiel anhand der Zeichnung erläutert. In der Zeichnung zeigt

Fig.l eine schematische Schaltungsanordnung, zur Durchfüh¬ rung des erfindungsgemäßβn Verfahrens.

Die Fig.l zeigt eine schematische Schaltungsanordnung, zur Durchführung des erfindungsgemäßen Verfahrens. Auf der Chipkarte 2. befindet sich ein Programmspeicher 4, ein Organisationsspeicher 5, der Informationsbustreiber 7 und der Datenbustreiber 3. Der Programmspeicher 4 weist zwei festprogrammierte und vom Anwender nicht zu beeinflussende Speicherbereiche auf. Ein Speicherbereich ist für das Betriebssystem vorgesehen während der zweite Speicherbe¬ reich die Firmware beinhaltet. Ein dritter Speicherbereich des Programmspeichers 4 ist für die Anwendersoftware vorgesehen und freiprogrammierbar. Der Programmspeicher kommuniziert mit dem Steuerungssystem 1 über den Datenbus 15, der von dem Treiber 3 bidirektional getrieben wird.

Der Organisationsspeicher 5 weist ebenfalls verschiedene Speicherbereiche auf. In dem Speicherbereich 11 befindet

sich festprogrammiert und nicht mehr veränderbar der Lieferantencode LC2. Der zweite Speicherbereich 12 ist für die Aufnahme der Steuerungsnummer SN1 vorgesehen, welche bei dem ersten funktioneilen Betrieb mit einem Steuerungs¬ system während der Initialisierungsphase in diesen Spei¬ cherbereich 12 eingeschrieben wird und dann auch nicht mehr überschreibbar ist. Der dritte Speicherbereich 13 wird für den Normalbetrieb nicht benötigt. Der Organisationsspeicher 5 kommuniziert mit dem Steuerungssystem über den Informati¬ onsbus 8, der von dem Treiber 7 bidirektional getrieben wird.

Die Kommunikationseinrichtung i ist integraler Be¬ standteil des Steuerungssystems und weist eine Einschub¬ vorrichtung zur Aufnahme der Chipkarte 2 auf. Die Chip¬ karte 2. kontaktiert über eine geeignete Steckvorrichtung, die den Datenbus 15 und Informationsbus 8 mit der Kommuni¬ kationseinrichtung 1 des SteuerungsSystems elektrisch verbindet.

Beim Erstbetrieb steckt der Anwender die Chipkarte 2 _. in die Einschubvorrichtung des Steuerungssystems wobei die Chipkarte 2. elektrisch mit der Kommunikationseinrichtung 1 des Steuerungssystems kontaktiert. Der Mikroprozessor 20 gibt dann den Steuerbefehl zum Auslesen des Lieferantenco¬ des LC2 an die Chipkarte 2. über die Steuerleitung 33. Der Lieferantencode LC2 erreicht über den Informationsbus 8 und den Bustreiber 7 den LC-Vergleicher 25. Dieser ver¬ gleicht den Lieferantencode LC2 der Chipkarte 2. mit dem Lieferantencode LC1 des SteuerungsSystems, der dem Code¬ speicher 21 aus seinem Speicherbereich 22 entnommen wird und dem Vergleicher 25 ständig zur Verfügung steht. Der Codepeicher 21 bietet dem Organisationsspeicher 5 die Steuerungsnummer SN über den Informationsbus 8 an, und schreibt diese bei Übereinstimmung der Lieferantencodes

LC1=LC2 mittels der Steuerleitung 32 in den Speicherbereich 11 des Organisati-onsspeichers 5 der Chipkarte 2. ein. Der Speicherbereich 11 des Organisationsspeicher 5 ist ab diesem Zeitpunkt fest programmiert und beinhaltet die nicht mehr veränderbare Steuerungsnummer SNl. Die Chipkarte 2. ist nun auf das Steuerungssystem 1 kodiert und kann mit keinem anderen Steuerungssystem ohne zeitliche Limitierung funktioneil betrieben werden.

Beim erneuten Einstecken der Chipkarte 2. in die Ein¬ schubvorrichtung des Steuerungssystems findet ein Iden¬ tifikationszyklus statt, den der Mikroprozessor 20 mit seinem Steuerbefehl 33 zum Lesen des Lieferantencodes LC2 eröffnet. Die Lieferantencodes LCl und LC2 werden mittels des LC-Vergleichers 25 auf Übereinstimmung verglichen. Bei deren Übereinstimmung erfolgt der Vergleich der Steuerungs¬ nummern SN und 8N1 mittels des SN-Vergleichers 26. Erst bei Übereinstimmung dieser beiden Codes erfolgt über die logi¬ schen Verknüpfungsmittel die Freigabe des Datenbustreibers über seinen Freigabeeingang 6. Bei LC = LCl wird der Treiber 3 und somit der Datenbus 15 direkt über das UND- Gatter 29 gesperrt und eine Kommunikation zwischen Steue¬ rungssystem und Chipkarte verhindert.

Ein besonderer Vorteil liegt in der zeitlichen Limitierung des funktionellen Betriebes einer kodierten Chipkarte mit einem zweiten Steuerungssystem dessen Steuerungsnummer SN nicht mit der Steuerungsnummer SNl der Chipkarte 2. überein¬ stimmt. Dieses Verfahren dient in erster Linie der höheren Verfügbarkeit einer Steuerungsanlage. Fällt das Steuerungs¬ system l durch Hardwaredefekt aus, ist der Anwender in der Lage, ein zweites Steuerungssystem einzusetzen. Bei diesem Steuerungssystem muß lediglich der Lieferantencode LC mit dem Lieferantencode LCl der Chipkarte übereinstimmen. Beim Vergleich der Steuerungsnummern, während des Identifikati-

onszyklusses, stellt der Vergleicher 26 fest, daß die Wertigkeit von SN = SNl ist. Das Abgleichsignal des Vergleichers 26 wird von dem Inverter 30 negiert und gibt einen Befehl über die Steuerleitung 31 und den Organisati¬ onsspeicher 5 zum Einschreiben des aktuellen Datums in seinen dritten Speicherbereich 13. Das Datum D wird dem Organisationsspeicher 5 über den Informationsbus 8 aus der Echtzeiteinrichtung 24 des SteuerungsSystems angeboten. Zu diesem Datum wird nun ein fest vorgegebener Zeitraum, bei¬ spielsweise 30 Tage, hinzuaddiert. Das Ergebnis D + n-Tage steht dem Datumsvergleicher 27 über dem Informationsbus 8 zur Verfügung und wird als Wert Dl ständig mit dem aktuel¬ len Datum D verglichen. Erst nach Ablauf der als Beispiel angenommenen 30 Tage, erkennt der Vergleicher 27 D>D1 und sperrt über das UND-Gatter 29 den Daten-bustreiber 3. Ein erneutes Beschreiben des Speicherbereichs 13 mit einem weiteren Datum ist nicht mehr möglich. Die Chipkarte ist dann nur noch in dem Steuerungssystem verfügbar, mit dem sie kodiert wurde. Ein nochmaliger zeitlich limitierter Betrieb mit einem weiteren Steuerungssystem ist nicht erreichbar. -