Beschreibung

RFID-Chip

Die Erfindung betrifft einen RFID-Chip mit einer Sende-/ Empfangseinheit zum Senden und Empfangen von Funksignalen, ein RFID-Schreib-/Lesegerät und ein Verfahren zum Betreiben eines RFID-Chips.

Automatisiert auslesbare Funkmarken, sogenannte RFIDs ("Radio Frequency Identification"), sind wichtige Elemente der automatischen Erkennung von Gütern und von Umgebungsparametern und -elementen. RFIDs sind typischerweise einfach aufgebaute Funkmarken, die auf eine geeignete Funkabfrage (sog. "ping") hin die auf ihnen gespeicherte Information aussenden. Aufgrund ihrer einfachen Auslegung sind sie jedoch gegenüber unberechtigten Angriffen verwundbar und bedürfen bei gespeicherter sensibler Information eines besonderen Schutzes. Mögliche Angriffe können z. B. sogenannte DoS ( "Denial-of-Ser- vice") -Angriffe, Virenbefall, Datenmanipulation oder auch ein einfaches unbefugtes Auslesen umfassen. Wird kein wirksamer Schutz in die RFIDs eingebaut, sind diese vor allem in sicherheitsrelevanten Bereichen oder im Privatbereich nicht anwendbar. Zum Schutz der übertragenen Daten vor einem Lesen durch unbefugte Dritte wurden RFIDs vorgeschlagen, die eine Verschlüsselungseinheit zum Verschlüsseln der von ihnen gesendeten Daten umfassen. Jedoch wird dadurch die Komplexität und werden damit die Kosten der RFIDs stark erhöht, was deren Akzeptanz als einfache und überall einsetzbare Funkmarken er- heblich verschlechtern würde.

Es ist daher die Aufgabe der Erfindung, eine Möglichkeit zum Erhöhen der Sicherheit von RFIDs gegenüber unbefugten Zugriffen bei gleichzeitig nicht wesentlich erhöhter Komplexität der RFIDs bereitzustellen.

Diese Aufgabe wird durch einen RFID-Chip nach Anspruch 1, einen Satz von RFID-Chips nach Anspruch 11, ein RFID-Schreib- /Lesegerät nach Anspruch 12 und ein Verfahren nach Anspruch 15 gelöst. Bevorzugte Ausgestaltungen sind insbesondere den Unteransprüchen allein oder in Kombination entnehmbar.

Dazu werden allgemein TAN-Methoden, die zum Beispiel für Banküberweisungen bekannt sind, nun auf das Gebiet der RFIDs angewandt. Dabei können allgemein sämtliche bekannte TAN-Me- thoden und -Technologien zum Einsatz kommen. Dabei steht TAN für "Transaktionsnummer", einen zur Ermöglichung bzw. Freischaltung von RFID-Ablaufschritten geeigneten Freischaltbzw. Autorisierungcode, wobei darunter im Zusammenhang mit dieser Erfindung sämtliche geeignete alphanumerische Daten verstanden werden, also beispielsweise auch eine Kombination von Buchstaben, Sonderzeichen und / oder Zahlen. RFID-Ablauf- schritte werden im RFID ausgeführt, um bestimmte Aktionen zu erreichen. Mögliche Aktionen sind ein Aussenden von Kennungen und / oder Passwörtern, ein Schreiben von Passwörter usw. Die Erfindung ist nicht auf bestimmte Anwendungsfelder oder Aktionen von RFID-Chips beschränkt.

So wird die Aufgabe gelöst durch einen RFID-Chip, mit einer Sende-/Empfangseinheit zum Senden und Empfangen von Funksig- nalen, der einen Speicher zum Speichern und Auslesen mindestens einer Transaktionsnummer, TAN, aufweist, sowie eine Vergleichseinheit zur Freischaltung zumindest eines RFID-Ab- laufschritts auf der Grundlage eines Vergleichs einer im Speicher gespeicherten TAN mit einer über die Sende-/Emp- fangseinheit empfangenen TAN. Vorzugsweise sind anfänglich mehrere TANs ( "TAN-Liste") im Speicher gespeichert. Die Vergleichseinheit kann somit die Funktion einer Autorisierungs- einheit ausfüllen.

Durch die Verwendung von TANs wird erstens die Datensicherheit stark erhöht, da nur derjenige, der im Besitz einer gültigen TAN ist, Zugriff auf den RFID-Chip erhält. Zweitens

braucht der RFID-Chip nur einfachen Speicher und eine einfache Vergleichseinheit aufzuweisen anstatt einer Verschlüsselungsschaltung.

Wird, in einem typischen Anwendungsfall, eine TAN zum RFID- Chip übertragen - üblicherweise von einem Schreib-/Lesegerät zum Schreiben und / oder Lesen von RFIDs -, so wird die Vergleichseinheit die empfangene TAN mit einer gespeicherten TAN vergleichen. Stimmen die TANs überein (was allgemein keine Identität der TANs bedeuten muss, sondern die Erfüllung einer vorbestimmten Beziehung zueinander, z. B. einer mathematischen Beziehung, bedeuten kann) , schaltet der RFID-Chip zumindest einen der empfangenen TAN zugeordneten RFID-Ablauf- schritt, ggf. eine Folge von Ablaufschritten, frei, so dass dieser vom RFID durchgeführt wird.

Dies kann typischerweise so geschehen, dass eine Instruktionsfolge vom RFID-Chip empfangen wird, die mindestens die TAN und mindestens eine Aktion umfasst. Ist die TAN gültig, wird die mindestens eine Aktion, die eine oder mehrere RFID-Ab- laufschritte umfassen kann, ausgeführt. Die Aktion kann beispielsweise in Form eines Befehlscodes und eines Datenfelds übertragen werden. Befehlscodes können beispielsweise ein Aussenden einer RFID-Kennung, ein Speichern eines Passworts oder anderer Daten, ein Aussenden eines gespeicherten Passworts oder anderer gespeicherter Daten, usw. veranlassen.

Vorzugsweise zumindest eine im RFID-Chip gespeicherte TAN mit einem Ablaufdatum versehen ist. Wird von dem RFID-Chip bei- spielsweise mit der Instruktionsfolge ein Datumsfeld übertragen, so kann die Vergleichseinheit neben der eigentlichen TAN-Kennung auch das Datum vergleichen und eine Freischaltung davon abhängig machen, ob das übertragene Datum in einem erlaubten Bereich liegt. Dies ist insbesondere vorteilhaft, wenn zur Freischaltung eine übertragung eines Datumsfelds zwingend verlangt wird, da so eine unbefugte Handhabung des RFID-Chips weiter erschwert wird, insbesondere, falls eine

Datumseinstellung im vorgesehenen RFID-Schreib-/Lesegerät durch den Endnutzer nicht mehr möglich ist.

Eine unbefugte Handhabung des RFID-Chips wird alternativ oder zusätzlich auf ähnliche Weise dadurch erschwert, dass mindestens eine im Speicher gespeicherte TAN vorzugsweise mit einer Ortskennung versehen ist, die z. B. automatisch von einem vorgesehenen RFID-Schreib-/Lesegerät über einen GPS-Empfänger erzeugt und übertragen wird.

Auf ähnliche Weise kann mindestens eine im Speicher gespeicherte TAN vorzugsweise mit einer Zeitkennung versehen sein, die mit einem Inhalt eines empfangenen Zeitfelds verglichen wird. Liegt das empfangene Zeitfenster ausserhalb des der TAN im RFID zugeordneten Zeitfensters, erfolgt keine Freischaltung. Dabei ist vorzugsweise eine Zeiteinstellung im vorgesehenen RFID-Schreib-/Lesegerät durch den Endnutzer nicht mehr möglich ist.

Insbesondere um eine Handhabung des RFID-Chips durch ein nicht dazu vorgesehenes RFID-Schreib-/Lesegerät zu unterbinden, ist die mindestens eine im Speicher gespeicherte TAN vorzugsweise mit einer RFID-Lese/Schreibgerät-Kennung versehen, die zusätzlich zur übertragung einer korrekten TAN zur Freischaltung benötigt wird.

Vorzugsweise die Freischaltung für eine vorbestimmte Zeit, z.B. Sekunden, und / oder eine vorbestimmte Zahl von Ablaufschritten bzw. Aktionen gültig (analog zur sogenannten "Ses- sion-TAN"). Danach ist die übermittlung einer weiteren Ses- sion-TAN nötig.

Es kann günstig sein, wenn der RFID-Chip ein Mittel zum Löschen einer TAN nach einer erfolgreichen Freischaltung durch Vergleich mit dieser TAN aufweist. Dadurch wird die Zahl der maximal möglichen, auch unberechtigten, Aktionen beschränkt. Dies ist insbesondere wichtig für das Schreiben von Daten auf

den RFID. Ein mögliches Anwendungsszenario ist das Schreiben bzw. überschreiben von Daten auf dem bzw. den RFID-Chip, z.B. einer RFID-Kennung oder eines Passworts, durch einen schreibberechtigten Administrator, und TAN-loses, d. h., beliebig häufiges, Auslesen der Kennung durch ein zugehöriges Schreib- /Lesegerät .

Es kann auch vorteilhaft sein, wenn der RFID-Chip ein Mittel zum Sperren und / oder Löschen aller TANs nach einer vorbe- stimmten Anzahl fehlgeschlagener Vergleiche aufweist, da dies eine böswillige RFID-Abfrage weiter unterbindet. Dadurch wird der RFID-Chip zumindest zunächst für solche Ablaufschritte funktionsunfähig, welche TANs benötigen.

Es ist vorteilhaft, wenn zumindest einer TAN eine Freischaltung zumindest eines vorbestimmten RFID-AblaufSchritts zugeordnet ist. In anderen Worten können bestimmten TANs bestimmte freigeschaltete Ablaufschritte zugeordnet werden, während anderen TANs andere Arten oder Folgen von Ablauf- schritte zugeordnet werden. Dadurch wird erreicht, dass selbst dann, wenn eine TAN geknackt ist, diese nicht unbedingt alle möglichen Ablaufschritte zulässt. Es können auch Ablaufschritte möglich sein, die ohne TANs erlaubt sind, z. B. eine Aussendung einer RFID-Kennung.

Es ist insbesondere vorteilhaft, wenn der RFID-Chip eine iTAN-Anforderungsschaltung zum Aussenden eines Anforderungsfunksignals nach einer TAN nach Empfang eines Befehlfunksignals aufweist. Typischerweise wird ein solcher RFID-Chip beim sogenannten iTAN-Verfahren zum Einsatz kommen, das von der vorliegenden Erfindung als eine spezielle Art von TAN-Verfah- ren umfasst ist. Dabei wird durch den RFID-Chip, typischerweise nach Empfang einer Instruktionsfolge oder einer In- struktionsankündigungsfolge, eine bestimmte TAN (z.B: "TAN Nr. 5") vom RFID-Schreib-/Lesegerät angefordert, die mit einer im RFID-Chip gespeicherten TAN zu vergleichen ist. iTANs weisen den Vorteil auf, dass vermieden wird, dass dann, wenn

Teile einer TAN-Liste bekannt werden, automatisch alle mit dieser TAN-Liste bestückten RFIDs als gehackt gelten. Je nach Größe der Liste und dem Grad der Kompromittierung kann immer noch ein zufriedenstellendes Sicherheitsniveau vorhanden sein, insbesondere unter Verwendung einer oder mehrerer der oben angeführten weiteren Freischaltungsbedingungen, wie Zeit, Datum, Ort, Leserkennung und so weiter.

In einer Ausführungsform sind alle möglichen TANs (TAN, iTAN usw.) im RFID-Schreib-/Lesegerät gespeichert, so dass dieses autonom eine richtige TAN (beim einfachen TAN-Verfahren) oder die angeforderte TAN (beim iTAN-Verfahren) aussuchen und an den RFID-Chip übertragen kann.

Eine höhere Manipulationssicherheit wird mittels des Einsatzes eines Challenge-Response-Verfahren erreicht, z. B. dadurch, dass eine TAN (TAN, iTAN usw.) durch das RFID-Schreib- /Lesegerät von einer externen TAN-Datenbank angefordert werden muss. Dazu wird vorzugsweise eine sichere Verbindung zu einer Rechnereinheit aufgebaut, welche Zugriff auf die externen TAN-Datenbank besitzt. Günstigerweise muss sich das RFID- Schreib-/Lesegerät bei der Rechnereinheit authentifizieren, z. B. durch übersenden einer Kennung des Schreib-/Lesegeräts . Zusätzlich können eine RFID-Kennung, eine vor-gesehene Trans- aktion und / oder andere Daten übertragen wer-den, die zur

Auswahl einer gültigen TAN benötigt werden. Die Nutzung einer zentral verwalteten Datenbank, z. B. in einem Trustcenter, kann unkontrolliertes Ausprobieren und Denial-of-Service (DoS) -Angriffe am wirkungsvollsten verhindern. Damit wird insbesondere die Verwendung eines RFID-Chips als "RFID-Tre- sor" ermöglicht, bei dem Daten in dem RFID-Chip sicher abgelegt werden. Nur durch die korrekte TAN - ggf. mit den anderen oben angesprochenen Nebenbedingungen, wie Zeit, Datum, Ort, Leserkennung usw. - lassen sich Daten manipulieren, d. h. lesen und / oder schreiben.

Vorzugsweise kann bei einem Satz mehrerer RFID-Chips der Speicher aller RFIDs anfänglich mit gleichen TANs befüllt sein .

Die TANs können entweder vom Hersteller initialbefüllt und dann einem Kunden oder der Datenbank bereitgestellt werden, oder die TANs können vom Kunden initialbefüllt werden. Die Einstellung in die Datenbank ermöglicht die höchste Datensicherheit .

In dem folgenden Ausführungsbeispiel ist ein Aspekt der Erfindung schematisch näher ausgeführt.

FIG 1 zeigt dazu eine Skizze ein System zur Verwendung eines mit einer TAN-Liste ausgerüsteten RFID-Chips.

In FIG 1 ist ein RFID-Chip 1 mit einer mit einer Sende/ Empfangseinheit 2 zum Senden und Empfangen von Funksignalen 3 dargestellt. Der RFID-Chip 1 weist weiterhin einen Speicher 4 zum Speichern und Auslesen mindestens einer Transaktionsnummer, einer sogenannten TAN, auf, wie durch den gestrichelten Pfeil angedeutet. Ferner weist er eine Vergleichseinheit 5 zur Freischaltung zumindest eines RFID-AblaufSchritts auf der Grundlage eines Vergleichs einer im Speicher gespeicherten TAN mit einer über die Sende-/Empfangseinheit 2 empfangenen TAN auf.

Der RFID-Chip 1 kann mittels eines RFID-Schreib-/Lesegeräts 6 durch Funksignale 3 beschrieben und ausgelesen werden.

Das RFID-Schreib-/Lesegerät 6 weist ein Mittel zum übertragen einer TAN an den RFID-Chip 1 auf (nicht dargestellt) .

Die im Speicher 4 gespeicherten TANs sind alle mit einem Ab- laufdatum versehen, sowie, mit einer Ortskennung, einer Zeit- kennung und einer RFID-Lese/Schreibgerät-Kennung. Dies stellt eine hohe Sicherheitsstufe dar, da so der RFID-Chip 1 nur ma-

nipuliert (gelesen und / oder beschrieben) werden kann, wenn eine vom RFID-Schreib-/Lesegerät 6 durch eine Instruktionsfolge übermittelte TAN mit einer im Speicher 4 gespeicherten TAN übereinstimmt und außerdem die Instruktionsfolge zur richtigen Zeit (Datum und Uhrzeit) , am richtigen Ort und mit dem vorbestimmten Lesegerät an den RFID-Chip 1 übertragen wird.

Die Instruktionsfolge kann zum Beispiel eine Form aufweisen, welche einen Kopfabschnitt ("Header"), einen Befehls- oder Instruktionsabschnitt mit Instruktionen bzw. auszuführenden Aktionen für den RFID-Chip 1, einen TAN-Abschnitt mit der TAN, einen Datumsabschnitt, einem Ortsabschnitt mit Information zum korrekten Ortsbereich (z. B. in Längen- und Brei- tengraden) , einen Uhrzeitabschnitt, eine Kennung des RFID-

Schreib-/Lesegeräts 6 und optional andere Abschnitte umfasst, wie zum Beispiel Datenblöcke mit einem zu schreibenden Passwort .

Vom Schreib-/Lesegerät 6 übertragen werden können, je nach Ausgestaltung des RFID-Chips 1, Einzel-TANs zur Ausführung einer Aktion, iTANs, Session-TANs oder einer Kombination davon .

In dem hier dargestellten Ausführungsbeispiel wird nach einer erfolgreichen Freischaltung die dazu verwendete TAN gelöscht, braucht es aber zum Beispiel bei Gebrauch einer TAN nicht zu werden .

Der RFID-Chip 1 weist ein, nicht dargestelltes, Mittel zum

Sperren und / oder Löschen aller TANs nach einer vorbestimmten Anzahl fehlgeschlagener Vergleiche auf, wodurch insbesondere DoS-Attacken und unberechtigte systematische Abfragen verhindert werden.

In diesem Ausführungsbeispiel ist der RFID-Chip 1 anfänglich mit TANs gefüllt worden, von denen verschiedene Gruppen ver-

schiedene RFID-Abläufe erlauben, und einige TANs einen Vollzugriff auf alle RFID-Ablaufschritte erlauben.

Das RFID-Schreib-/Lesegerät 6 hält keine TAN-Liste vor son- dern muss zur Manipulation des RFID-Chips 1 eine gültige TAN über eine sichere Verbindung 7 von einem zentralen Server 8 abrufen, der Zugriff auf die entsprechend TAN besitzt. Dabei ist die Struktur des zentralen Servers 8, der externen Rechnereinheit, unerheblich und kann beispielsweise aus einem zentralen Computer, einem Computercluster oder einem Computernetzwerk bestehen. Die TAN-Datenbank kann zentral oder dezentral abgelegt sein.

Zum Erhalt einer TAN durch den zentralen Server 8 sendet das RFID-Schreib-/Lesegerät 6 eine entsprechende Anforderung an den zentralen Server 8, die zumindest eine Kennung des RFID- Chips 1, eine vorgesehenen Aktion des RFID-Chips 1 und eine Kennung des Schreib-/Lesegeräts 6 an die externe Rechnereinheit umfasst.

Der zentrale Server 8 sendet, nach Authentifizierung des Schreib-/Lesegeräts 6 über seine Kennung, eine für den bestimmten RFID-Chip 1 und für die bestimmte Aktion gültige TAN an das RFID-Schreib-/Lesegerät 6 zurück. Diese TAN wird dann in einer geeigneten Instruktionsfolge an den RFID-Chip 1 übertragen, welcher nach erfolgreichem Vergleich dieser TAN mit der Liste gespeicherter TANs und der anderen Randbedingungen die zugehörigen Aktion oder Aktionen freischaltet.

Bei Verwendung des iTAN-Verfahrens fordert der RFID-Chip, der dazu eine iTAN-Anforderungsschaltung 9 aufweist, durch Aussenden eines Anforderungsfunksignals nach Empfang eines Befehlfunksignals von dem RFID-Schreib-/Lesegerät 6 eine bestimmte TAN (z. B. "TAN Nr. 5) an. Die angeforderte iTAN kann beispielsweise von der zukünftigen Aktion abhängen, die z.B. im Befehlfunksignal angegeben ist. Bei der hier dargestellten Hochsicherheitslösung reicht das RFID-Schreib-/Lesegerät 6

diese Anforderung, zusammen mit einer Kennung des RFID- Schreib-/Lesegeräts 6 zur Authentifizierung, an den zentralen Server 8 weiter, der die bestimmte angeforderte (i)TAN an das RFID-Schreib-/Lesegerät 6 zurücksendet, die es an den RFID- Chip 1 weiterleitet. Dieser führt die mit dem Befehlfunksignal bereits übermittelte Aktion bzw. übermittelten Aktionen durch.

Selbstverständlich ist die Erfindung nicht auf die genauer dargestellten Ausführungsformen beschränkt, sondern kann die Anwendung aller bekannten TAN-Verfahren, inklusive TAN, iTAN, Session-TAN usw., einschließlich aller dem Fachmann nach Lesen der hier ausgeführten Offenbarung zugängigen Alternativen umfassen .

Bezugszeichenliste

1 RFID-Chip

2 Sende-/Empfangseinheit 3 Funksignal

4 Speicher

5 Vergleichseinheit

6 RFID-Schreib-/Lesegerät

7 Verbindung 8 zentraler Server

9 iTAN-Anforderungsschaltung