Datenschutzgerechtes Radio Frequency Identif ication (RFID) - System durch besitzerkontrollierte RFID-Tag Funktionalität

Die Erfindung betrifft einen RFID-Tag nach dem Oberbegriff des Anspruchs 1.

Die Anmeldung betrifft eine Erweiterung der Funktionalität so genannter RFID (Radio Frequency Identification) Systeme.

RFID-Tags und die notwendige Infrastruktur wie z.B. Lesegeräte sind dem Stand der Technik seit langem bekannt und werden beispielsweise zur Kennzeichnung von Gegenständen verwendet. RFID-Tags weisen normalerweise eine Sende- und EmpfangsVorrichtung auf, mit der sie u.a. eine Kennzeichnung (Identifikationsdaten) an ein Lesegerät (Reader) übertragen können und andere vom Lesegerät angewiesene (aufgerufene) Funktionen ausführen können, sobald sich ein RFID-Tag in dessen Wirkungsbereich befindet.

Die Kennzeichnung dient der Identifizierung der RFID-Tags und somit des damit verbundenen Gegenstandes. In naher Zukunft können diese RFID-Tags die bisher verwendeten Barcodes auf Konsumprodukten ersetzen, um Logistikprozesse sowie die Prozesse im Supermarkt zu vereinfachen.

Beispielsweise sind Selbstbedienungskassen geplant, da der mit RFID-Tags versehene Inhalt eines Einkaufwagens komplett in einem Schritt gescannt werden kann.

Die vorliegende Erfindung adressiert die Privacy-Problematik dieser Technologie: Da jeder RFID-Tag eine eindeutige Seriennummer tragen soll, kann der Weg jedes Konsumprodukts - damit ist jeder einzelne Gegenstand gemeint - unbemerkt und auch noch nach Verlassen des Supermarktes ausgelesen werden. Dadurch sind Menschen anhand dieser Seriennummern verfolgloar und können zudem bezüglich aller mitgeführten Produkte (z.B. der Kleidung) durch jedermann gescannt werden. Sollten diese Daten, was zumindest zu befürchten ist, gesammelt und mit Hilfe von Datenbanken gespeichert und ausgewertet werden, wird das von Datenschützern und P:rivacy- Aktivisten befürchte Szenario vom „Gläsernen Menschen" Wirklichkeit.

Bisher setzt die Industrie dieser Vision nur eine so genannte Kill-Funktion entgegen, mit der die RFID-Tags z.B. nach dem Bezahlen endgültig deaktiviert werden können. Leider verhindert die endgültige Deaktivierung der RFID-Tags eine Reihe von Anwendungen. Insbesondere sind Anwendungen betroffen, die normalerweise erst nach dem Kauf eines Produktes zum Einsatz kommen, wie beispielsweise eine intelligente Waschmaschine, welche Waschtemperatur und - Programm anhand der eingeworfenen Kleidungsstücke automatisch ermittelt. RFID-Tags, welche eine solche Killfunktion zur Verfügung stellen, werden in den Spezifikationen Version 1.0 des EPC Global (http://epcglobalinc.org/standardstechnologie/specifications . html) beschrieben.

Die Erfindung löst das beschriebene Privacy-Problem der bisherigen RFID-Teohnologie und ermöglicht im Untersctiied zur bekannten Killfunktion zugleich eine Weiternutzung der Technologie für intelligente gegebenenfalls vernetzte Geräte mit einem RFID-Tag gemäß den Merkmalen des Anspruchs 1, einem Lesegerät gemäß den Merkmalen des Anspruchs 29 sowie einem Verfahren nach den Merkmalen von Anspruch 42.

Vorteilhafte Ausgestaltungen ergeben sich jeweils aus den abhängigen Ansprüchen. Im Folgenden wird wiederholt auf ein Beispiel der ProdukitausZeichnung mittels RFID-Tags Bezug genommen. Dieses Beispiel ist lediglich eine typische Anwendung der erfirαdungsgemäßen Lehre. Der Fachmann erkennt, dass auch andere Verwendung denkbar sind. Die Erfindung erweitert die Funktionalität der RFID-Tags um die Möglichkeit zur dynamischen Aktivierung, Deaktivierung oder Einschränkung der: (Identifikations-)Funktionalität der RFID-Tags. Konkret ist damit gemeint, dass anhand eines internen Zustandes entschieden wird, welche Funktionen ein RFID-Tag in welchem Umfang ausführt, wenn eine bestimmte Anforderung des Lesegerätes empfangen wird. Insbesondere wird ein Zustand vorgesehen, bei welchem der RFID-Tag keine der intern gespeicherten Daten, die üblicherweise eine Identifizierung ermöglichen, ausgibt.

Jedoch sollte der RFID-Tag in jedem Zustand die zwischen Lesegerät und RFID-Tag gültigen Kommunikationsprotokolle soweit erfüllen, dass das Übermitteln und Empfangen von Daten und Befehlen möglich ±st.

Beispielsweise muss ein RFID-Tag seine Anwesenheit gegenüber einem Lesegerät signalisieren und an einem so genannten Singulation oder Anti—Collusion Protokoll teilnehmen, um überhaupt individuelle Befehle empfangen zu können. In den obigen EPC Global Spezifikationen wird ein Anti-Collusion Protokoll vorgestellt, welches ohne Verwendung der gespeicherten identifizierenden Daten auskommt.

In der DE 101 61 302 werden Anti-Collusion-Protokolle vorgeschlagen, die auf regelmäßig neu generierten Zufallswerten statt amf identifizierenden Daten basieren.

Eine vorteilhafte Ausfführungsform des RFID-Tags stellt eine Funktion zur Änderung des internen Zustandes zur Verfügung. Dabei wird diese Funktion nur ausgeführt, nachdem das die Funktion aufrufende Lesegerät die Kenntnis eines geheimen Datensatzes, einer auf dem RFID-Tag gespeicherten Bitfolge, nachgewiesen hat. Der geheime Datensatz wird im Folgenden als Passwort bezeichnet. Die Nachweisfunktion wird im Folgenden als Verifikation bezeichnet. Eine weitere Ausführungsform des RFID-Tag sieht einen wiederbeschreibbaren, nichtflüctitigen Speicherplatz für die Einspeicherung des Passwortes vor. Das erste Passwort kann dabei in vorteilhafter Weise bedLm Herstellungsprozess des RFID-Tags oder beim Verbinden des Produktes mit dem RFID-Tag gesetzt werden. Idealerweise sollte die Einschreibung des Passwortes zusammen mit der Einschreibung der Identifikationsdaten erfolgen, cäa beides in jedem Schritt der Logistikkette mit dem ProduRt mitgesendet werden sollte.

Es werden zwei vorteilhafte Ausprägungen der Passwort- Verifikation bei den erfindungsg-emäßen RFID-Systemen offenbart:

In der ersten Ausprägung wird zur Verifikation das Passwort vom Lesegerät zum RFID-Tag gesendet. Der Vorteil dieser Methode der Verifikation ist eirre sehr einfache Implementierbarkeit auf dem RFID-Tag. Es wird nur eine Vergleichsfunktion des gespeicherten mit dem erhaltenen Passwort benötigt. Der Nachteil Ist, dass das Passwort von anderen Geräten durch Abhören der Funkkommunikation ermittelt werden kann.

In einer zweiten Ausprägung steht sowohl im RFID-Tag als auch im Lesegerät ein Mittel (hier auch als „Funktion" bezeichnet) zur Verfügung, welche das Passwoxt und einen weiteren Wert zu einem Prüfwert kombiniert. Zudem steht im RFID-Tag ein Randomisierungsmittel zur Erzeugung eines zufälligen Wertes (Zufallswert) zur Verfügung. Die Ausprägung (d.h. die Wahl des Algorithmus) des Randomisieriαngsmittels zur Erzeugung des Zufallswertes ist grundsätzlich [beliebig. Beispielsweise kann eine Rauschquelle mit einer SampILing-Schaltung (z.B. eine Diode) verwendet werden oder auf einen bei der Herstellung individuell vergebenem Initialwenrt wiederholt eine Hashfunktion angewendet werden und die Zufallsfolge aus Teilen der jeweiligen Zwischenwerrte gebildet werden. Das Mittel zur Berechnung des Prüfwenrtes kann beliebig realisiert werden. Ideal wäre eine, kztryptographisch sichere Einwegfunktion oder eine symmetrische Verschlüsselungsfunktion, wobei einer der Eingabewerte als Schlüssel verwendet würde, da so die Umkehrung der Funktion bzw. die Ermittlung eines unbekannten dritten Werte bei Kenntnis der beiden anderen schwer oder unmöglich ist.

Die Realisierungsoptionen dies Prüfwertmittels beinhalten auch die Möglichkeit, die Berechnung nur auf Basis eines Eingabewertes durchzuführen, wobei entweder nur das interne Passwort verwendet wird oder ein weiteres beliebiges Mittel genutzt wird, um die Eingabewerte zu kombinieren. Die Realisierungsoptionen des IPrüfwertmitteis beinhalten auch die Möglichkeit die Berechnung auf Basis von mehr als zwei Eingabewerten durchzuführen. Die Realisierungsoptionen des Prüfwertmittels beinhalten, auch die Möglichkeit mehr als einen Ausgabewert zu berechnen.

In dieser Ausprägung der Verifikation erzeugt das RFID-Tag als erstes einen Zufallswert, speichert diese in einem Speicher und sendet den Zufϊallswert zudem an das Lesegerät. Das Lesegerät verwendet das Prüfwertmittel, wobei als Eingabe das Passwort und der empfangene Zufallswert verwendet werden. Den Prüfwert sendet das Lesegerät an den RFID-Tag. Der RFID- Tag berechnet einen zweiten Prüfwert anhand des gespeicherten Passwortes und dem gespeicherten Zufallswert und vergleicht beide Prüfwerte. Wenn beide Prüfwerte übereinstimmen, wird die durch die Verifikation geschützte Funktion ausgeführt.

Alternativ kann das Mittel auf dem RFID-Tag die Berechnung auch umkehren, also aus dem Prüfwert und einem Eingabewert den jeweils anderen berechnen und diesen vergleichen. Der Vorteil der zweiten Ausprägung der Verifikation ist die Abhörsicherheit, Nachteil cäie höhere schaltungstechnische Komplexität des RFID-Tags.

Die Sicherheit des Verfahren, also der Schutz vor der Ermittelbarkeit des Passwortes cTurch Dritte ist abhängig von der kryptographisehen Güte des Prüfwertmittels zur (d.h. wie schwer die Umkehrung der Einwegffunktion oder die Ermittlung des unbekannten Wertes ist) , der" kryptographisehen Güte des Zufallsgenerators und der Länge der verwendeten Bitfolgen für Passwort, Zufallswert und Prüfwert.

Des Weiteren stellt eine Ausführ-ungsform des erfindungsgemäßen RFID-Tag ein Mittel (eine Funktion) zum Ändern des Passwortes bereit. Dj_ese Funktion wird dabei nur nach einer erfolgreichen Verifikation des bisherigen Passwortes ausgeführt. Dabei wirrd das neue Passwort vom Lesegerät zum RFID-Tag übertragen.

Es werden zwei vorteilhafte Ausprägungen für die Übertragung eines Passwortes vom Lesegerät zum RFID-Tag der RFID-Systemen offenbart:

In der ersten Ausprägung der Passwortübertragung wird das neue Passwort vom Lesegerät zum RFID-Tag gesendet. Der Vorteil dieser Ausprägung der Erfindung ist die einfache Implementierbarkeit auf dem RFID-Tag. Der Nachteil ist die Möglichkeit des Abhörens durch ein anderes Gerät.

In der zweiten vorteilhaften Ausprägung der Passwortübertragung steht sowohl im RFID-Tag als auch im Lesegerät jeweils ein Mittel zur Verfügung, welches aus zwei Eingabewerten einen dritten berechnen kann. Dieses Mittel kann beliebig realisiert werden, wobei die Berechnung in so fern umkehrbar sein muss, als dass ein Mittel existiert, welches aus einem der Eingabewe:rte und dem Ausgabewert den zweiten Eingabewert berechnen kann. Ein Beispiel für solche Mittel sind beliebige symmetrische Verschlüsselungsfunktionen oder die bitweise XOR- Überlagerung der beiden Eingabe-werte. Die Realisierungsoptionen der Mittel beinhalten auch die Möglichkeit die Berechnung auf Basis von mehr als zwei Eingabewerten durchzuführen. Die Real isierungsoptionen der Mittel beinhalten auch die Möglichkeit mehr als einen Ausgabewert zu berechnen.

Der Vorteil dieser Ausprägung der Erf±ndung ist die höhere Abhörsicherheit, Nachteil die höhere schaltungstechnische Komplexität des RFID-Tags. Die Sicherheit des Verfahrens ist von kryptographisehen Güte der verwendeten Mittel und von der Länge der verwendeten Werte abhängig, wobei die einfache bitweise XOR Überlagerung (One-Time-Päd) bereits maximale Sicherheit bietet und somit optimal ist.

Damit das Passwort bzw. der Zustand des RFID-Tags geändert werden kann, ist es für den aktuellen Besitzer eines RFID- Tags notwendig, das jeweilige Passwort zu kennen.

Im Gegensatz zur bisherigen Lösung auf: Basis Killfunktionen (EPC Standard) wird bei der vorliegenden Erfindung das Passwort z.B. an oder nach der Supermarktkasse an den Kunden übergeben (z.B. durch einen Ausdruck auf dem Kassenbon) . Dadurch erhält der Kunde die vollständige Kontrolle-über die Funktionalität seiner RFID-Tags.

Durch Änderung des Passwortes übernimmt der jeweilige Besitzer die alleinige Kontrolle über die Funktionalität eines RFID-Tags, da die bisherigen Besitzer nunmehr ein falsches Passwort in ihren Datenbanken gespeichert haben.

Die Erfindung betrifft auch ein vorteilhaftes Verfahren zum Ändern der Passwörter, welches das Problem löst, das RFID- Tags, die sich in einem deaktivierten Zustand befinden, nicht identifiziert werden können und somit deren Passwort nicht ermittelt werden kann.

Das vorteilhafte Verfahren beinhaltet, dass ein Besitzer allen in seinem Besitz befindlichen RFID-Tags das gleiche Passwort einspeichert. Erst danach oder dabei erfolgt die Deaktivierung. Idealerweise sollte dieses Verfahren z.B. bereits an der Supermarktkasse durchgeführt werden.

Der Wechsel des Besitzers eines RFID-Tags, beispielsweise an derKasse eines Supermarktes, sollte in zwei Schritten eαrfolgen:

1. Der bisherige Besitzer ändert das Passwort der zu übergebendes RFID-Tags auf einen zuffällig gewählten Wert. Bei Übergabe des Objektes tei3_t der alte Besitzer dem neuen Besitzer das verwendete Passwort mit.

2. Der neue Besitzer führt möglichst außerhalb der Funk- Reichweite (in seinem Vertrauensbereich) eine zweite Passwortänderung durch, wobei der Besitzer üblicherweise ein gemeinsames Passwort für alle seine RFID-Tags verwendet.

Eine vorteilhafte Schrittfolge an einer Supermarktkasse ist:

1. Wahl eines zufälligen Wertes als neues Passwort durch das Lesegerät. 2. Auslesen der Identifikation eines RFID-Tags.

3. Ändern des Passwortes des RFID-Tags auf den neuen Wert, das jeweilig notwendige bisherige Passwort erhält das Lesegerät durch Abfrage einer DatenJoank, beispielsweise der Produkt-Bestandsdatenbank des S-upermarktes.

4. Deaktivieren des RFID-Tags.

5. Wenn weitere RFID-Tags vorhanden sind, Fortfahren mit Schritt 2.

6. Übergabe des Passwortes für diesen Einkauf an den neuen Besitzer der Produkte, beispielsweise durch Drucken auf den Kassenzettel oder durch übertragen an ein sich im Besitz des Kunden befindliches Gerät (z.B. Chipkarte)

Damit alle in Besitz einer Person/eines Haushalts befindlichen RFID-Tags das gleiche Passwort enthalten, sollte die Passwortänderung durch ein Lesegerät im Vertrauensbereich der Person wiederholt werden.

Dabei kann eine ähnliche Schrittfolge verwendet werden, mit dem Unterschied, dass Schritt 1 nur einmal durchgeführt und das einmal im Gerät gespeicherte Passwort für alLle RFID-Tags verwendet wird. Das bisherige Passwort, notwendig in Schritt 3 steht dem Nutzer durch Schritt 6 vorherigen Passwortänderung zur Verfügung und muss ggf. an das Lesegerät übermittelt werden. Schritt 6 fällt weg.

Es werden drei Möglichkeiten vorgeschlagen, wie das Zwischenpasswort dem Nutzer mitgeteilt werden kann:

1. Übertragen an irgendein elektronisches Gerrät im Besitz des Kunden (z.B. Handy) .

2. Direkt übertragen (senden) an das Haussystem des Kunden (insbesondere für Fernabsatz/Internet- Bestellung)

3. Drucken auf den Kassenzettel': Die dritte Möglichkeit könnte in einer Anlaufphase der Technologie besonders wichtig sein, wenn nur wenige Kunden intelligente Haushaltsgeräte haben. Man könnte sozusagen wichtige RFID-Tags nachträglich migrieren, wenn ein solches Gerät angeschafft wurde. Andererseits ist Einkaufen so auch ohne das elektronische Gerät möglich, welches die Passwörter speichert.

In einer weiteren vorteilhaften Ausprägung der Erfindung erfolgt der Besitzerwechsel nur durch Übergabe c3.es bisherigen Passwortes. Diese Möglichkeit ist u.U. an der Supermarkt- Kasse praktikabel, da die RFID-Tags bei der Herstellung ein individuelles Passwort zugewiesen bekommen. Für die Weitergabe aus einem Vertrauensbereich in einen anderen ist diese Vorgehensweise jedoch nicht zu empfehlen, da. dem neuen Besitzer in diesem Fall das gemeinsame Passwort aZLler RFID- Tags des vorherigen Besitzers mitgeteilt werden rrvüsste.

Die beschriebenen Privacy-Probleme der RFID-Technologie, welche sich auf alle Vorgänge nach Verlassen des Supermarktes beziehen, werden durch die Erfindung gelöst, da sich deaktivierte RFID-Tags sich nur noch gegenüber autorisierten Scannern identifizieren.

Aufgrund der auf einem Passwort basierenden Möglichkeit der Zugriffbeschränkung auf die RFID-Tagfunktionalität wird u.a. erreicht, dass ein RFID-Tag nur von verifizierten Lesegeräten vollständig kontrolliert werden kann. Durch das Ändern des Passwortes kann die Kontrolle des RFID-Tags auf den aktuellen Besitzer beschränkt werden. Zudem kann der Besitzer den Zugriff unautorisierter beliebig beschränken. Folgende beispielhaften Beschränkungen wären denkbar:

• Vollständige Anonymisierung: Ein unver-Lfiziertes Lesegerät erhält keinen Teil der Kennzeichnung, d.h. der RFID-Tag ist nicht identifizierbar.

• Anonymisierung der Seriennummer: RFID-Tags können so verwendet werden, dass sie eine EPC (Electronic Product Code) ausgeben, der aus einer Procluktkennung und einer Seriennummer des einzelnen Objektes besteht. In dieser Ausprägung würde nur die Produktkennung ausgegeben. Welches konkrete Objekt des Produktes vorliegt, bleibt verborgen.

• Anonymisierung der Identifikationsnummer aber Offenlegung anderer Informationen: Die Ausgabe der Identifikationsnummer wird auf verifizierte Lesegeräte beschränkt, aber beliebige andere Informationen die in einer Ausprägung der Erfindung von einem verifizierten Lesegerät geändert werden können, abrufbar über zusätzliche Funktionen, werden allgemein zur Verfügung gestellt. Dies ermöglicht beispielsweise Recycling-Informationen über die chemischen Bestandteile lesbar zu gestalten oder für Information für Rücknahmeautomaten pfandpflichtiger Verpackungen.

Eine weitere vorteilhafte Ausprägung der Erfindung sieht ein. Mittel vor welches aus zwei Eingabewerten einen Prüfwert berechnet. Beispiele für die Realisierung eines solchen Mittels sind eine kryptographische Hash-Funktion (Einwegfunktion) oder eine symmetrische Verschlüsselungsfunktion. Mit Hilfe eine Challenge-Response Verfahrens und unter Mitwirkung des RFID-Tag- oder Produktherstellers kann die Echtheit des RFID-Tags und somit unter Einschränkungen auch die Echtheit des Produktes überprüft werden.

Hintergrund der Ausprägung der Erfindung ist die Tatsache, dass es problemlos möglich ist, freiprogrammierbare RFID-Tags herzustellen - aus produktionstechnischen Gründen dürften sogar nahezu alle RFID-Tags ohne konkrete Identifikationsnummer hergestellt werden und diese statt dessen erst am Produkt die erste und endgültige Programmierung erhalten. RFID-Tags ohne verifizierbare Identifikationsnummer werden daher Produktfälschungen eher erleichtern statt zu erschweren.

Für diese Ausprägung muss im erfindungsgemäßen RFID-Tag neben dem Passwort ein weiterer geheimer Wert gespeichert werden, der in einem nicht wiederbeschreibbaren Speicher abgelegt sein kann. Zudem muss im ComputerSystem des Produkt- oder RFID-Tag-Herstellers ein Mittel vorgesehen sein, welches die Berechnung des Mittels im RFID-Tag wiederholen oder umkehren kann. Zudem benötigt das Lesegerät in der Regel eine Online- Verbindung zu dem Computersystem des Herstellers. Der Hersteller benötigt außerdem eine Datenbank, die zu jedem RFID-Tag zumindest die Identifikationsnummer und den auch im RFID-Tag abgelegten geheimen Wert speichert.

In einer Ausprägung des beanspruchten Verfahrens übersendet das Lesegerät dem RFID-Tag einen zufälligen Wert. Der RFID- Tag berechnet mit Hilfe des Mittels den Prüfwert, wobei der Zufallswert und der im RFID-Tag gespeicherte geheime Wert als Eingabe verwendet werden. Der Prüfwert wird an das Lesegerät zurückgesendet . Das Lesegerät sendet die Kombination aus RFID-Tag-Identifikationsdaten, Zufallswert und Prüfwert an den Hersteller. Der Hersteller überprüft die Korrektheit mit Hilfe seines Mittels und dem in seiner Datenbank gespeicherten geheimen Wert für den angefragten RFID-Tag. Dabei werden je nach Ausprägung des Mittels zwei der drei Werte (Zufallswert, Prüfwert und geheimer Wert des RFID-Tags) als Eingabewerte verwendet und das Ergebnis mit dem dritten Wert verglichen. Der Hersteller meldet das Ergebnis des Vergleiches an das Lesegerät.

In einer anderen vorteilhaften Ausprägung des Verfahrens erhält das Lesegerät bereits vorab eine oder mehrere gültige Kombination aus Zufallswert und Prüfwert für einen bestimmten RFID-Tag. Die Überprüfung der Echtheit des RFID-Tags kann dann lokal erfolgen, ohne dass eine OnIine-Verbindung notwendig wäre, indem der in der Kombination erhaltene Zufallswert an den RFID-Tag gesendet wird und die Antwort des RFID-Tags mit dem Prüfwert verglichen wird.

Bestandteile der Anmeldung sind zudem (vernetzte) Lesegeräte mit folgenden besonderen Funktionalitäten:

• Funktion zum Verifizieren (Senden des Passwortes bzw. Durchführen des Challenge Response Verfahrens und der entsprechenden Mittel zum Nachweis der Kenntnis des Passwortes • Aufrufen von Funktion nach Verifikation des Passwortes • Funktion zum Ändern des Zustandes • Funktion zum Ändern des Passwortes • Methode das gemeinsame Passwort zu speichern und nur an bekannt vertrauenswürdige andere Geräte weiterzugeben • Methode neue RFID-Tags unter Angabe der jeweiligen Passwörter durch Änderung der Passwörter auf das gemeinsame Passwort in Besitz zu nehmen.

Die Erfindung beschränkt sich in ihrer Ausführung nicht auf die vorstehend angegebenen bevorzugten Ausführungsbeispiele. Vielmehr ist eine Anzahl von Varianten denkbar, die von der erfindungsgemäßen Lehre auch bei grundsätzlich anders gearteten Ausführungen Gebrauch machen.

Die Erfindung wird nachfolgend unter Bezugnahme auf die Figuren der Zeichnungen an mehreren Ausführungsbeispielen näher erläutert. Es zeigen:

Fig. 1 eine schematische Darstellung des Datenflusses in einer ersten Ausführungsform des erfindungsgemäßen RFID-Tags im Zusammenwirken mit einem Lesegerät,-

Fig. 2 eine schematische Darstellung des Datenflusses in einer zweiten Ausführungsform des erfindungsgemäßen RFID-Tags mit sicherer Passwortverifikation;

Fig. 3 ein Ablaufdiagramm des erfindungsgemäßen Verfahrens.

In Fig. 1 ist eine erste Ausführungsform dargestellt, bei der eine einfache Ausführungsform des RFID-Tags gemäß der Erfindung dargestellt ist. Der RFID-Tag 1 weist einen Speicher 5 auf, der eine eindeutige Kennzeichnung für den Tag selbst aufweist. Damit ist dieser von allen anderen Tags eindeutig unterscheidbar.

Ferner weist der RFID-Tag 1 einen Speicher 6 für ein internes Passwort auf.

Des Weiteren weist RFID-Tag 1 einen Speicher 7 für den internen Zustand auf, der angibt, ob bestimmte Funktionen ausgeführt werden können oder nicht.

Der RFID-Tag 1 steht im Betrieb in Wechselwirkung mit einem Lesegerät 2 (Reader) . Der RFID-Tag 1 bzw. das Lesegerät (2) weisen jeweils eine Sendevorrichtung 3, 3' und eine Empfangsvorrichtung 4, 4' für Daten auf, die von der Bauart durchaus unterschiedlich sein können.

Die einzelnen Abfragen werden in Fig. 3 separat erläutert, so dass darauf Bezug genommen wird.

Zunächst wird vom Lesegerät 2 eine Anfrage nach einer Kennzeichnung an den RFID-Tag 1 gerichtet. Alternativ oder zusätzlich kann ein Passwort angegeben werden.

Im zweiten Vergleichsmittel 9 der Fig. 1 wird der interne Zustand des RFID-Tags 1 überprüft. Er ist entweder „offen" oder „gesperrt" und als Flag im Speicher 7 abgelegt.

Wenn der RFID-Tag „gesperrt" ist wird die eindeutige Kennzeichnung des Speichers 5 nur an berechtigte Lesegeräte 2 ausgegeben, welche die Kenntnis des in Speicher 6 gespeicherten internen Passwortes nachweisen.

Im ersten Vergleichsmittel 10 der Fig. 1 wird das interne Passwort mit einem gegebenenfalls vom Lesegerät eingelesenen Passwort (Lesegerätpasswort 6') verglichen. Wenn kein Passwort vom Lesegerät 2 eingelesen wurde oder die Passwörter nicht übereinstimmen, dann bricht das Verfahren mit dem Endzustand 8 ab. Optional wird eine Fehlermeldung ausgegeben.

Wenn das interne Passwort und das empfangene Passwort übereinstimmen, wird die vom Lesegerät 2 angeforderte Funktion ausgeführt. Mittels einer Verzweigungseinrichtung 11 wird entschieden ob:

- die eindeutige Kennzeichnung aus Speicher 5 ausgegeben wird, - der interne Zustand in Speicher 7 geändert wird, - ein neues internes Passwort in den Speicher 6 gespeichert wird.

Wichtig ist dabei, dass jeder in einem RFID-Tag 1 gespeicherte Wert, der in der Lage ist das Objekt eindeutig zu identifizieren - der also in jedem Objekt anders ausfällt, eine eindeutige Kennzeichnung 5 des RFID-Tags 1 darstellt.

Bei alternativen Ausführungsformen kann die Reihenfolge der Vergleiche gemäß den Ansprüchen 9 bis 11 in beliebiger Reihenfolge durchgeführt werden. Zudem kann die Überprüfung des Zustandes bei allen Anfragen außer nach der Kennzeichnung wegfallen.

Ferner ist es alternativ möglich, im Endzustand 8 eine Fehlermeldung oder ähnliches an das Lesegerät 2 zu senden. Grundsätzlich ist es beliebig, ob und wie die Zustands- oder Passwortänderung an das Lesegerät 2 zurückgesendet werden.

Es sollten auch die Kombination von Passwort ändern und Zustand sperren (als ein Funktionsaufruf) geschützt sein.

Fig. 2 zeigt den RFID-Tag 1 mit allen in Fig. 1 dargestellten Funktionen, so dass auf die obige Beschreibung Bezug genommen werden kann. Allerdings erfolgt die Passwortverifikation auf besonderes sichere Art und Weise. Dies geschieht dann in zwei Schritten: a) Zuerst wird die Funktion aufgerufen,

b) danach (wenn der RFID-Tag 1 gesperrt ist) wird ein Zufallswert geschickt, mit der der Reader das Passwort verschlüsselt sendet - bei Erfolg wird die zuvor angeforderte Funktion ausgeführt. Dies wird im Folgenden detailliert dargestellt .

In Abwandlung der in Fig. 1 beschriebenen Ausführungsform erfolgt hier im zweiten Vergleichsmittel 9 eine geänderte Bearbeitung. Wenn der interne Zustand (siehe Speicher 7) gesperrt ist, dann wird ein Zufallswertgenerator 12 angesprochen, der einen Zufallswert generiert. Dieser wird in einem Zwischenspeicher 13 abgespeichert.

Anschließend wird dieser Zufallswert an das Lesegerät 2 über die Sendevorrichtung 3 gesendet.

Parallel wird dieser Zufallswert zusammen mit dem internen Passwort aus Speicher 6 von einem Prüfwertmittel 14 verarbeitet. Das Prüfwertmittel 14 berechnet aus diesen Daten einen einzigartigen Prüfwert .

Das Lesegerät 2 hat grundsätzlich die gleichen Informationen, nämlich ein Lesegerätpasswort 6' und den empfangenen Zufallswert. Mit einem baugleichen Prüfwertmittel 14' wird im Lesegerät 2 ebenfalls ein Prüfwert ermittelt und an den RFID- Tag 1 übertragen.

Im ersten Vergleichsmittel 10 wird ein Vergleich zwischen dem vom RFID-Tag 1 generierte Prüfwert und dem vom Lesegerät 2 generierten Prüfwert durchgeführt .

Stimmen die Prüfwerte überein, so erfolgt die Weiterverarbeitung mit der Verzweigungseinrichtung 11 wie in Fig. 1 beschrieben. Wenn die Prüfwerte nicht übereinstimmen, so erfolgt analog zu Fig. 1 ein Abbruch.

Ferner ist ein Mittel 15 zum Ändern des internen Passwortes im Speicher 6 vorgesehen. Diese generiert ein neues internes Passwort, aus dem bisherigen internen Passwort und einem vom Lesegerät 2 empfangenen Wert. Das Verzweigungsmittel 11 gibt in diesem Fall einen entsprechenden Befehl aus.

Somit fragt der RFID-Tag 1 das Passwort ab, wenn dies erforderlich ist. Dieses Verfahren ist Gegenstand der Ansprüche 5 bis 11.

Fig. 3 zeigt die Abfolge einer Ausführungsform des Verfahrens gemäß Fig. 1 oder 2. Dabei wird eine Anfrage der eindeutigen Kennzeichnung und eine nachfolgende Passwortänderung (zur Besitz (er)Übergabe) und eine anschließende Sperrung des internen Zustands des RFID-Tags beschrieben.

Mit diesem Verfahren ist eine elektronische Besitzübergabe möglich. Die Kenntnis des internen Passwortes des Tags ist mit dem Status des „Besitzens" gleichbedeutend. Bezugszeichenliste

1 RFID-Tag 2 Lesegerät (Reader) 3 Sendevorrichtung des RFID-Tags 4 Empfangsvorrichtung des RFID-Tags 3' Sendevorrichtung des Lesegerätes 4' Empfangsvorrichtung des Lesegerätes 5 Speicher für eindeutige Kennzeichnung des RFID-Tag 6 Speicher für das interne Passwort 6' Speicher für Lesegerätpasswort 7 Speicher für einen internen Zustand 8 Endzustand, optional Ausgabe einer Fehlermeldung 9 zweites Vergleichsmittel, Zustand, empfangene Anfrage 10 erstes Vergleichsmittel für empfangene und gespeicherte Wertes 11 Verzweigungseinrichtung entsprechend empfangener Anfrage des Lesegerätes 12 Zufallswertgenerator (Randomisierungsmittel) 13 Zwischenspeicher für Zufallswert 14 Prüfwertmittel des RFID-Tags, Berechnungsfunktion (Berechnung eines Ausgabewertes aus einem oder mehreren Eingabewerten, wobei die Eingabewerte aus dem Ausgabewert nicht rekonstruiert werden können - z.B. Hashfunktion) 14' Prüfwertmittel des Lesegerätes 15 Mittel zum Berechnen eines neuen Passwortes