Personalisierung von tragbaren Datenträeern

Die vorliegende Erfindung betrifft die Personalisierung von tragbaren Daten- trägem, wie beispielsweise Chipkarten, Mobilfunkkarten und dergleichen, durch Ausstatten der Datenträger mit digitalen Daten, insbesondere durch Einbringen der Daten in nichtflüchtige, auch als NVM (Non Volatile Memory) bekannte Speicher, wie beispielsweise EEPROM- oder Flash-Speicher.

Der Prozess der elektrischen Personalisierung lässt sich in zwei Abschnitte unterteilen. Im ersten Abschnitt, der Initialisierung, wird der Datenträger mit Allgemeindaten versehen, die für alle Datenträger des gleichen Typs identisch sind. Diese Art der Personalisierungsdaten werden im folgenden Initialisierungsdaten genannt. Im zweiten Abschnitt, der Individualisierung, wird jeder Datenträger mit individuellen Daten versehen, die beispielsweise solche Daten enthalten, die den einzelnen Datenträger an den Endkunden anpassen. Diese Art der Personalisierungsdaten wird im folgenden Individualisierungsdaten genannt.

Nach dem Stand der Technik (Rankl, Wolf gang / Effing, Wolf gang: Handbuch der Chipkarten. München ⁴ , 2002) wird dementsprechend die Personalisierung üblicherweise in zwei Produktionsschritten, die jeweils die Initialisierung und die Individualisierung vollziehen, durchgeführt. Meist geschieht dies unter Verwendung verschiedener Anlagen und Techniken. Im ersten Schritt werden die identischen Initialisierungsdaten in die zu personalisierenden Datenträger eingebracht, im zweiten die Individualisierungsdaten.

Der Prozess der Personalisierung von Datenträgern ist ein kritischer Schritt innerhalb des gesamten Produktionsprozesses der Datenträger, da die Zeit, die zum Beschreiben des nichtflüchtigen Speichers der Datenträger mit den Personalisierungsdaten benötigt wird, vergleichsweise hoch ist und die Pro-

duktionskosten wesentlich beeinflusst. Der Schritt der Initialisierung kann dadurch beschleunigt werden, dass zunächst nur ein einzelner Datenträger konventionell mittels logischer Kommandos initialisiert wird. Danach wird ein Speicherabbild des gesamten Speichers dieses Datenträgers erzeugt und dazu benutzt, unter Zuhilfenahme der physikalischen Speicheradressen die weiteren Datenträger zu initialisieren.

Ein solches Speicherabbild wird auch Image genannt. Im Unterschied zu einer gewöhnlichen Kopie bezeichnet ein Image ein exaktes, bitgenaues Abbild des Originals und enthält somit noch wesentlich mehr Information als nur die auf dem Originaldatenträger gespeicherten Dateien, beispielsweise auch die Struktur des Dateisystems und dergleichen. Dies ermöglicht es, schnell eine exakte, bitgenaue Wiedergabe des Datenträgers herzustellen, da dazu direkt auf Hardwarefunktionen und physikalische Speicheradressen zurück- gegriffen werden kann. Es ist auch möglich, nur von Teilen des gesamten

Speichers ein Speicherabbild zu generieren und dieses direkt in nicht genutzte entsprechende Speicherbereiche eines weiteren Datenträgers einzubringen bzw. nur Teile eines Speicherabbildes eines gesamten Speichers in einen weiteren Datenträger einzubringen. Somit können insbesondere auch Datenträ- ger personalisiert werden, die im zu beschreibenden Speicherbereich noch über keinerlei Struktur verfügen und auf denen noch kein Dateisystem vorhanden ist.

Ein ähnliches Konzept ist in WO 2004/107282 Al beschrieben, wobei im dort beschriebenen Verfahren von jedem weiteren, per Speicherabbild initialisierten Datenträger anschließend eine Rekonvertierungsroutine ausführt wird zur Rekonvertierung des mit dem Speicherabbild geladenen nichtflüchtigen Speichers. Die Rekonvertierung umfasst beispielsweise, dass bisher auf Basis einer Zufallszahl Zl verschleierte Daten, wie z.B. Schlüssel, in auf Basis einer

datenträgerindividuellen Zufallszahl Z2 verschleierte Daten übergehen.

Auch das Konzept der Verwendung virtueller Datenträger zur Personalisierung ist bekannt. US 6 202155 Bl beschreibt ein System zum Personalisieren von Transaktionskarten. Das System erhält zur Personalisierung notwendige Informationen und bildet daraus eine virtuelle Karte. Virtuelle Vorrichtungen in diesem System steuern reale, physische Personalisierungsmaschinen, die dann die reale Transaktionskarte aufgrund der Daten der virtuellen Karte herstellen. Angaben über die technische Durchführung der einzelnen Per- sonalisierungsschritte, insbesondere das Einbringen der Daten in die Karten, werden dort nicht gemacht.

US 6729549 B2 beschreibt ein System zum Personalisieren von Smart Cards. Darin werden die Smart Cards zunächst virtuell mittels eines Steuerpro- gramms generiert. Die Personalisierung einer realen Smart Card erfolgt dann mittels eines Personalisierungsprogramms durch Zugriff auf die virtuelle Smart Card. Die zu personalisierenden Smart Cards sind schon zum Teil vorinitialisiert, insbesondere besitzen sie schon eine definierte Dateistruktur, die bereits bei der Generierung der virtuellen Smart Card nachempfunden wird. Die Personalisierungsdaten werden von dem Personalisierungsprogramm mittels Smart Card spezifischer logischer Kommandos in die reale Smart Card geschrieben.

Aufgabe der vorliegenden Erfindung ist es, die Produktionszeit des Daten- trägers durch Beschleunigung des Personalisierungsprozesses zu verkürzen und dadurch die Produktionskosten zu senken.

Diese Aufgabe wird durch ein Verfahren mit den Merkmalen des unabhängigen Patentanspruchs gelöst. In den davon abhängigen Ansprüchen sind

vorteilhafte Ausgestaltungen und Weiterbildungen angegeben.

Die Erfindung basiert auf der Grundidee, dass die Personalisierung eines jeden Datenträgers zuerst individuell als virtuelle Personalisierung eines vir- tuellen Datenträgers vorgenommen wird. Der virtuelle Datenträger ist eingerichtet, sämtliche Merkmale des realen Datenträgers nachzubilden, insbesondere also auch seine Hardwaremerkmale. Von einem Speicher des vollständig personalisierten virtuellen Datenträgers wird dann ein Speicherabbild erzeugt. Unter Zuhilfenahme der physikalischen Speicheradressen wird das Speicherabbild anschließend direkt in einen entsprechenden Speicher des realen Datenträgers eingebracht, wobei die durch die virtuelle Personalisierung erzeugten Personalisierungsdaten zusätzlich zu den Initialisierungsdaten auch die Individualisierungsdaten umfassen. Sämtliche Strukturinformationen über das Dateisystem und dergleichen werden somit durch das Spei- cherabbild mitübertragen. Es gelingt daher, die bisher getrennten Produktionsschritte der Initialisierung und der Individualisierung durch Virtualisie- rung in einem Schritt zusammenzufassen. Dadurch kann ein datenträgerindividuelles Speicherabbild erzeugt werden, das schnell in den Datenträger eingebracht werden kann, was die Produktionszeit deutlich verringert: ein- mal dadurch, dass nur noch ein Produktionsschritt zum Einbringen der In- itialisierungs- und der Individualisierungsdaten benötigt wird, und desweiteren dadurch, dass nun auch die Individualisierungsdaten unter Zuhilfenahme physikalischer Speicheradressen schneller in den Datenträger eingebracht werden können.

Auch der nach dem Stand der Technik bisher separat und zuerst durchgeführte Schritt der Initialisierung wird dabei, wie beschrieben, virtuell durchgeführt. Damit enthalten die durch die virtuelle Personalisierung erzeugten Personalisierungsdaten im allgemeinen auch die identischen Initialisie-

rungsdaten. Dabei kann es sich auch um Anwendungsdaten, insbesondere um Java Packages und Java Applets, handeln.

Die virtuelle Personalisierung kann auf einem handelsüblichen Standard- Personal-Computer durchgeführt werden. Spezielle Personalisierungsgeräte sind dazu nicht notwendig. Insbesondere kann die virtuelle Personalisierung beispielsweise mittels eines JavaCard-Simulators oder einer vergleichbaren Simulationssoftware erfolgen.

Die durch die virtuelle Personalisierung erzeugten Personalisierungsdaten können auf dem virtuellen Datenträger verschlüsselt werden. Damit ist ein gesichertes Einbringen der Daten in Form des Speicherabbildes in den realen Datenträger garantiert. Nach Einbringen der Personalisierungsdaten in den realen Datenträger können diese auf dem realen Datenträger wieder ent- schlüsselt werden.

Das Einbringen der durch die virtuelle Personalisierung erzeugten Personalisierungsdaten in den realen Datenträger muss nicht notwendigerweise direkt während der Produktion des Datenträgers erfolgen. Es ist möglich, die Daten erst an der den Datenträger ausgebenden Stelle in den Datenträger einzubringen und diesen damit zu personalisieren, also beispielsweise bei einer Bank, einem Supermarkt oder dergleichen. Auch ein Einbringen der Daten beim Endkunden , zum Beispiel über das Internet, ist denkbar. Auf diese Weise kann die Produktionszeit des Datenträgers weiter gesenkt werden.

Um ein solches Einbringen der Personalisierungsdaten an einer Stelle, die der Produktion nachgelagert ist, zu ermöglichen, kann der Datenträger beispielsweise gerade soweit vorinitialisiert sein, dass er genügend Daten enthält, um mit einem Personalisierungsserver eines Personalisierers eine siehe-

re Verbindung, beispielsweise über das Internet, aufzunehmen, sich dort zu authentisieren und dadurch eine gesicherte übertragung der einzubringenden Daten in Form des durch die virtuelle Personalisierung zuvor erstellten Speicherabbildes anzustoßen, ohne dass es einer weiteren Einwirkung der den Datenträger ausgebenden Stelle oder des Endkunden bedarf. Die Perso- nalisierungsdaten werden in Speicherbereiche des Datenträgers eingebracht, die von der Vorinitialisierung nicht betroffen sind und daher bisher keine Struktur aufweisen, insbesondere kein Dateisystem oder ähnliches besitzen.

Es ist auch möglich, dass es sich bei den erst bei der den Datenträger ausgebenden Stelle oder beim Endkunden eingebrachten Daten nur um einen Teil der Personalisierungsdaten handelt, wobei der andere Teil bereits während der Produktion des Datenträgers in den Datenträger eingebracht worden ist, vorzugsweise direkt als Abbild eines virtuellen Speichers. Einige Funktiona- litäten, wie beispielsweise GSM-Grundfunktionen bei Mobilfunkkarten, die dem Anwender direkt nach Ausgabe des Datenträgers zur Verfügung stehen sollen, können z.B. noch während des Produktionsprozesses in den Datenträger eingebracht werden. Weiterhin ist es möglich, dass ein Teil der in den Datenträger eingebrachten Personalisierungsdaten dazu bestimmt ist, wäh- rend der Produktion des Datenträgers in den ROM-Speicher des Datenträgers eingebrachte Daten, die nach Auslieferung des Datenträgers an den Anwender in den nichtflüchtigen EEPROM- oder Flash-Speicher geschrieben werden sollen, zu aktualisieren, da beispielsweise zwischen der Herstellung der ROM-Maske und der Auslieferung des Datenträgers noch kleinere än- derungen in den entsprechenden Daten vorgenommen worden sind.

Bei dem tragbaren Datenträger kann es sich insbesondere um eine Chipkarte oder eine Mobilfunkkarte handeln.

Nachfolgend wird die Erfindung anhand der begleitenden Zeichnungen an einem Ausführungsbeispiel erläutert. Darin zeigen:

Figur 1 einen schematischen Ablauf eines virtuellen Personalisierungs- prozesses; und

Figur 2 schematisch das Erzeugen eines Speicherabbildes eines personalisierten virtuellen Datenträgers und Einbringen desselben in einen nichtflüchtigen Speicher eines realen Datenträger.

Figur 1 zeigt schematisch einen Ablauf eines virtuellen Personalisierungs- prozesses 1000 gemäß der Erfindung. Der gesamte Prozess 1000 kann auf einem handelsüblichen Personal-Computer (PC) stattfinden. Ein Simulationsprogramm 70, vorzugsweise JavaCard-Simulator bzw. eine vergleichbare Software oder Software/ Hardwarekombination, kann einen zu personalisierenden realen Datenträger komplett simulieren, also auch einschließlich sämtlicher Hardwaremerkmale. Weiterhin ist das Simulationsprogramm 70 eingerichtet, mit virtuellen Lesegeräten 50 über eine virtuelle PC/ SC- Schnittstelle 60 zu kommunizieren, die ihrerseits mit einer Personalisie- rungssoftware 20 kommunizieren können, wie sie bisher in der Personalisierung von realen Datenträgern eingesetzt wird. Auf diese Weise können parallel eine Mehrzahl von virtuellen Datenträgern 500, 501, 502 auf einem PC personalisiert werden, je nach Anforderung und Leistungsfähigkeit des PC 20 bis 100 Stück. Dabei werden die virtuellen Datenträger mit Personalisie- rungsdaten 100, 101, 102 ausgestattet, die sich jeweils aus identischen Initialisierungsdaten 90 und datenträgerindividuellen Individualisierungsdaten 110, 111, 112 zusammensetzen. Auf diese Weise kann von jedem virtuellen Datenträger 500, 501, 502 anschließend ein individuelles, verschlüsseltes Speicherabbild erzeugt werden.

Figur 2 zeigt schematisch das Erzeugen eines bit-genauen Speicherabbildes 250 des simulierten nichtflüchtigen Speichers 150 eines virtuellen Datenträgers 500. Neben den exakten Abbildern 190, 210 bzw. 200 der Initialisie- rungsdaten 90, der Individualisierungsdaten 110 bzw. der gesamten Persona- lisierungsdaten 100 enthält das Speicherabbild 250 weitere Informationen, beispielsweise die Struktur des Dateisystems. Vor allem besitzt das Speicherabbild 250 zu jedem Speicherinhalt die genaue physikalische Adresse im entsprechenden Speicher , wobei auch im Fall des virtuellen Datenträgers von physikalischen Adressen gesprochen wird, die dort in simulierter Weise existieren. Auf diese Weise kann nun das mittels des virtuellen Datenträgers 500 erzeugte Speicherabbild 250 direkt in einen nichtflüchtigen Speicher 350 eines realen Datenträgers 700, der durch den virtuellen Datenträger 500 simuliert worden ist, eingebracht werden. Entsprechende Daten, wie beispiels- weise Personalisierungsdaten 100, liegen an exakt denselben Speicheradressen wie im virtuellen Datenträger 500. Dies ist mit Hilfe der Speicheradressen 0, X und Y illustriert. Das Einbringen eines Speicherabbildes 250 unter Zuhilfenahme der physikalischen Adressen kann wesentlich schneller durchgeführt werden als das Einbringen der entsprechenden Daten mittels logischer Kommandos, da direkt auf Hardwarefunktionen zurückgegriffen werden kann.

Der zu personalisierende Datenträger 700 muss dazu in keiner Weise vorinitialisiert sein, also insbesondere noch kein Dateisystem enthalten. Eine Vor- initialisierung stört andererseits den Prozess nicht, falls die Vorinitialisierung nur solche Speicherbereiche betrifft, die verschieden sind von denen, in die das Speicherabbild zur Personalisierung eingebracht wird.

Damit gelingt es, die bisher getrennten Produktionsschritte der Initialisie-

rung und Individualisierung durch Virtualisierung zusammenzufassen. Das direkte Einbringen des datenträgerindividuellen Speicherabbildes 250 in den realen zu personalisierenden Datenträger 700 verringert die Produktionszeit erheblich.

Wie vorstehend beschrieben, enthalten die per Speicherabbild 250 in den realen Datenträger 700 eingebrachten Personalisierungsdaten 100, 101, 102 Individualisierungsdaten 110, 111, 112 und Initialisierungsdaten 90. Letztere können insbesondere Anwendungsdaten, wie beispielsweise Java Packages und Java Applets umfassen.

Bevorzugt werden die Personalisierungsdaten 100, 101, 102 verschlüsselt in den realen Datenträger 700 eingebracht und auf diesem wieder entschlüsselt.

In einer weiteren Ausführungsform kann es vorgesehen sein, dass das Einbringen des Speicherabbildes 250 in einen realen Datenträger 700 nicht während der Produktion des Datenträgers 700, sondern erst später, beispielsweise bei einer den Datenträger 700 ausgebenden Stelle, wie z.B einer Bank oder einem Supermarkt, oder beim Endkunden selbst, erfolgt. Letzerer Fall soll nachfolgend genauer beschrieben werden.

In der Produktion des realen Datenträgers 700 wird nur ein kleiner Teil der einzubringenden Personalisierungsdaten 100, 101, 102 in den nichtflüchtigen Speicher 350 des Datenträgers 700 eingebracht, nämlich im wesentlichen nur Initialisierungsdaten 90, und davon gerade nur soviel, dass der Datenträger nachfolgend, beispielsweise über das Internet, eine sichere Verbindung mit der Stelle herstellen kann, von der die weitere Personalisierung ausgeht. Handelt es sich bei dem Datenträger ewa um eine Mobilfunkkarte, werden zweckmäßig nur Bootlader, GSM Grundfunktionen sowie die notwendigen

Schlüssel und Algorithmen zur Verschlüsselung und Authentisierung in den Datenträger 700, vorzugsweise per Speicherabbild, eingebracht. In diesem Zustand wird der Datenträger 700 an den Endkunden ausgegeben. Folgende weitere Schritte werden zur vollständigen Personalisierung des Datenträgers 700 nachfolgend durchgeführt.

1. Der Endkunde verbindet den Datenträger 700 mit einem PC mittels geeigneter Hardware.

2. Der Endkunde stellt über das Internet eine Verbindung mit der den Da- tenträger 700 personalisierenden Stelle her, im Falle einer Mobilfunkkarte beispielsweise über den Mobilfunkprovider direkt zum Rechenzentrum der entsprechenden personalisierenden Stelle.

3. Eine Applikation, beispielsweise ein in einem Internetbrowser laufendes Java Applet, stellt eine Verbindung zwischen dem Datenträger 700 und der den Datenträger 700 personalisierenden Stelle her. Eine Interaktion des Endkunden ist nicht erforderlich.

4. Der Datenträger 700 authentisiert sich gegenüber dieser Stelle und überträgt Daten wie z.B. Versionsnummer, Kartentyp und dergleichen und solche Daten, die geeignet sind, einen Sitzungsschlüssel für die folgende Datenübertragung zwischen dem Datenträger 700 und der personalisierenden Stelle auszuhandeln, beispielsweise einen öffentlichen Schlüssel.

5. Die personalisierende Stelle identifiziert den Datenträger 700 anhand der erhaltenen individuelle Daten des Datenträgers 700 und identifiziert das für diesen Datenträger 700 bereitzustellende Speicherabbild. 6. In der personalisierenden Stelle wird wie vorstehend beschrieben ein

Speicherabbild 250 der Personalisierungsdaten 100, die auf dem zu personalisierenden Datenträger 700 noch nicht vorhanden sind, erstellt; das Speicherabbild 250 kann auch bereits fertig bereitstehen. 7. Das Speicherabbild 250 wird datenträgerindividuell verschlüsselt und di-

gital signiert.

8. Die Applikation überträgt das Speicherabbild 250 über die bestehende Internetverbindung an den Datenträger 700, wo es an den entsprechenden Adressen direkt in einen nichtflüchtigen Speicher 350 eingebracht wird.

9. Entschlüsselung und Signaturprüfung erfolgen dann auf dem Datenträger 700.

Der Anteil der Personalisierungsdaten, der erst nach der Produktion bei ei- ner den Datenträger ausgebenden Stelle oder beim Endkunden in den Datenträger eingebracht wird, kann je nach Art des zu personalisierenden Datenträgers 700 variiert werden.

Handelt es sich bei dem Datenträger beispielsweise um eine Mobilfunkkarte, so kann diese soweit vorpersonalisiert sein, dass der Endkunde zumindest telephonieren und SMS versenden und empfangen kann. Weitere Funktionalitäten können dann in einem in oben beschriebener Weise von Seiten des Endkunden angestoßen Personalisierungsprozess in den Datenträger 700 eingebracht werden.

Gemäß einer Ausgestaltung kann bei einem Datenträger 700 mit ROM und EEPROM während der Produktion noch freier Speicher im ROM mit sogenannten Standarddaten beschrieben werden. Dabei handelt es sich um Daten, die nachfolgend bei der Benutzung des Datenträgers 700 in zumindest ähnlicher Weise im EEPROM gespeichert sein sollen, möglicherweise aber noch einigen änderungen unterzogen werden müssen, die zwischen der Herstellung der ROM-Maske und der Ausgabe des Datenträgers 700 stattfinden. In der Produktion des Datenträgers 700 wird dann nur der Teil der Personalisierungsdaten 100 in den Datenträger 700 eingebracht, die Informa-

tionen darüber enthalten, wie die nachfolgend und durch den Endkunden initiiert vom ROM in den EEPROM geschriebenen Standarddaten aktualisiert werden müssen.