WO2006058828A2 - Verfahren zur personalisierung von chipkarten - Google Patents

Verfahren zur personalisierung von chipkarten Download PDF

Info

Publication number
WO2006058828A2
WO2006058828A2 PCT/EP2005/055911 EP2005055911W WO2006058828A2 WO 2006058828 A2 WO2006058828 A2 WO 2006058828A2 EP 2005055911 W EP2005055911 W EP 2005055911W WO 2006058828 A2 WO2006058828 A2 WO 2006058828A2
Authority
WO
WIPO (PCT)
Prior art keywords
chip card
personalization
command sequence
command
chipk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2005/055911
Other languages
English (en)
French (fr)
Other versions
WO2006058828A3 (de
Inventor
Guido Treutwein
Wolfgang Gebhardt
Arne Lehmeyer
Rainer WÖRZ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to US11/791,637 priority Critical patent/US8020773B2/en
Priority to EP05811146A priority patent/EP1817752A2/de
Priority to CN2005800413484A priority patent/CN101069218B/zh
Publication of WO2006058828A2 publication Critical patent/WO2006058828A2/de
Publication of WO2006058828A3 publication Critical patent/WO2006058828A3/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3558Preliminary personalisation for transfer to user

Definitions

  • a personalization of chip cards in which card and / or person individual data are loaded onto a respective chip card, has hitherto generally been carried out in secured personalization centers at a manufacturer of the chip card, at a certification authority or at a trustworthy service provider.
  • Personalization centers are usually secured by the use of electronic, mechanical security mechanisms and / or organizational measures against unauthorized manipulation, since in them security-relevant data (eg personal data of the user of the chip card, PINs, etc.) are processed, and a disclosure of information to unauthorized persons and an influence of unauthorized persons on the process of personalization is to be avoided.
  • security-relevant data eg personal data of the user of the chip card, PINs, etc.
  • Personalization of a smart card typically involves activating one or more applications on the smart card Chip card together with a generation of security keys and / or security key pairs, eg so-called symmetric keys or RSA keys (RSA: encryption algorithm named after the inventors Rivest, Shamir and Adleman).
  • RSA encryption algorithm named after the inventors Rivest, Shamir and Adleman.
  • the generation of backup key pairs proves to be very expensive compared to the remaining personalization steps.
  • the number of smart cards processed in a given period of time in a personalization center is significantly affected by a generation time of the security keys of the respective smart cards.
  • the personalization of a smart card can often not be completed in a single personalization session, since at the time of issue of the smart card is not yet completely known which applications are to be played on the smart card and installed on the smart card. Additionally, with multi-application chip cards, which may include multiple applications, there is a need to activate applications over the life of the smart card. According to the prior art, this is the chip card to bring once more in the secure personalization center, if required by the respective security requirements.
  • key information eg comprising a card-specific secure messaging key and / or an authentication key
  • a nonvolatile memory can be realized, for example, as an EEPROM on the chip card.
  • a command sequence definition and a command sequence establishing a smart card application with chip card commands to be executed by the chip card are transmitted to the chip card as part of a supplementary personalization which can also be carried out in an unsecured environment.
  • a check using the key information and thereby secured is carried out as to whether this smart card command satisfies the command sequence definition. If so, the chip card command in question is executed by the chip card.
  • the indicated sequence of process characteristics need not correspond to the chronological order of these characteristics.
  • the check of the chip card commands may be carried out contiguously at the beginning of the supplementary personalization, before the individual chip card commands are executed.
  • Command sequence be secured on the chip card.
  • the examination of the command sequence using the command sequence definition can then take place during execution of the command sequence without additional backup by means of the key information.
  • An advantage of examining the instruction sequence by means of a instruction sequence definition is that it can be ensured that only unmanipulated, trusted instruction sequences can be executed, since only these satisfy the instruction sequence definition.
  • inventive method complementary personalization in unsecured areas such as the user's private home, local sales office for mobile cards, chip card encoding for employee cards, bank branches for credit or loyalty cards or registration offices for ID cards and chip cards can be safely carried out so far only be carried out in secure personalization centers in order to fulfill high security requirements.
  • Time-consuming personalization steps in particular generating certificates and key pairs, can be carried out as part of the supplementary personalization. It is advantageous that these time-consuming steps do not have to be performed in a personalization center and thus a shorter personalization time per chip card is achieved and the personalization center can partially personalize smart cards in shorter time intervals.
  • a further advantage is that multi-application chip cards, in which even after their delivery further applications can be loaded to activate the applications need not be sent again to the personalization center to complete the personalization.
  • the activation of such a further application may be carried out as part of the complementary personalization. That the complementary personalization with applications can e.g. be performed by the user of the smart card even in his apartment outside the personalization center.
  • the check of the smart card commands may be implemented and thus secured, for example, by using a secure messaging key as key information to prevent transmission of the command sequence and / or the command sequence definition to the smart card using an incorrect secure messaging key.
  • the smart card may contain, as key information, a private key of an RSA key pair.
  • the transmitted command sequence and / or command sequence definition may be encrypted for backup by means of a public RSA key of the smart card.
  • the smart card and only these, can decrypt the command sequence and / or the command sequence definition with the private key stored on the smart card.
  • an authentication or signature key can be used as key information to ensure that the command sequence and / or command sequence definition has been generated and transmitted from the expected location, preferably the personalization center performing the partial personalization.
  • the smart card command to be executed Before executing a respective smart card command of the command sequence with the aid of the command sequence definition, it is checked whether the smart card command to be executed satisfies the command sequence definition. If the test result is positive, the chip card command will be executed, but if the test result is negative, the chip card command will not be executed.
  • an access authorization on the chip card can be set for executing the command sequence, and a presence of the access authorization can be checked before execution of a respective chip card command. If the result of the test is positive, then the relevant chip card command can be executed. If the test result is negative, execution of the relevant chip card command can be suppressed.
  • the access authorization can advantageously be set when the command sequence is called by the operating system.
  • an access authorization associated with the smart card command may be set and deleted after execution.
  • Such access authorization for a chip card command may, for example, include a write right to a specific memory area.
  • Another example of an access authorization is an authorization of a chip card command to generate a key for encryption or a certificate for authentication.
  • the setting and deletion of an access authorization allows a simple implementation of test routines to check whether a chip card command may be executed. Furthermore, by means of such check routines, it is easy to realize that the chip card can not execute an instruction which is only permitted in the supplementary personalization when executing chip card instructions outside of the supplementary personalization, by performing each chip card command during and outside the supplementary personalization. the access permissions are checked.
  • the key information can be chip card-specific or chip card group-independent.
  • a respective smart card group may e.g. a respective production lot of the chip cards, a respective distribution customer of the chip cards, a respective application, e.g. when used as a fuel card at gas stations, or all produced chip cards are assigned.
  • it can be limited in the Generalpersonalmaschine on which smart cards a respective command sequence can be performed - only on a single chip card, on a chip card group or on all smart cards.
  • the command sequence definition can specify states and state transitions of a state machine which changes from a respective state to a predetermined state of succession, which is different from previously assumed states, wherein a respective state is changed.
  • each state is assigned a predetermined chip card command, which is allowed to execute in this state.
  • the instruction sequence definition may comprise information patterns for the - preferably entire - instruction sequence with which it can be determined by comparison with chip card instructions contained in the instruction sequence whether a respective chip card instruction to be executed satisfies the instruction sequence of the instruction sequence definition, if an order of the chip card instructions is correct, and / or whether, after execution of the command sequence, all chip card commands contained in the command sequence have been processed and thus the command sequence has been completely processed.
  • the command sequence definition can be implemented in such a way that, for each chip card command of the associated command sequence, it contains information identifying the chip card command, preferably in as brief a representation as possible.
  • a state diagram of the state machine does not contain any branches, loops or recursions.
  • the execution of the command sequence can be restricted to those command sequences which are provided by the personalization unit carrying out the partial personalization.
  • the absence of recursion can ensure that a command sequence passing through the state diagram is executed unchanged, once, essentially completely and / or in the correct order. A user of the chip card is thus protected against manipulation by unauthorized third parties.
  • the command sequence definition, the command sequence, a chip card application partially set up by executing the command sequence up to an individual chip card command, the access authorization, the state machine and / or a respectively assumed state of the state machine. maten be stored in a preferably non-volatile memory of the smart card.
  • interrupted supplementary personalization can continue after the interruption.
  • a non-volatile memory to store the information provided, it is possible to continue the supplemental personalization even after the power supply has been interrupted.
  • the continuation of an interrupted supplementary personalization may preferably be carried out by continuing the command sequence at the state of the last state of the state machine.
  • an interrupted supplementary personalization could be continued such that the execution of the command sequence is resumed at the beginning thereof and all chip card commands that have already been processed are ignored until the chip card commands that have not yet been processed are pending execution.
  • the information indicating completed complementary personalization can be stored on the chip card, the access authorization deleted, and / or the command sequence definition, the command sequence, the state machine, and / or a state machine state the chip card are deleted.
  • the information indicating a completed supplementary personalization can also be represented by information that is deleted after personalization has taken place and thus indicates by their absence that the personalization is complete.
  • the presence or absence of data on the chip card can be evaluated by the operating system of the chip card in order to detect whether the chip card is in the state of carrying out a supplementary personalization, whether the supplementary personalization has already been completed, or if the supplementary Personalization has not started yet.
  • the operating system of the chip card can additionally decide whether the respective commands to be executed are to be executed with different access authorizations.
  • a smart card command of a command sequence may contain a command sequence definition for a further command sequence. This allows command sequences to be executed in cascade and split long command sequences into several short, modular command sequences and executed successively.
  • test routine for checking a successful supplementary personalization can be called up and this test routine, upon detection of a faulty supplementary personalization, stores an information indicating faulty personalization on the chip card.
  • a program of the smart card by simply reading this information can detect whether an application has been personalized error-free and only in this case access the application.
  • This test routine can be permanent on the
  • Chip card be part of the command sequence or as the command sequence in the context of the supplementary personal be transferred to the chip card and be deleted after termination.
  • a routine may be carried out as part of the partial personalization, which reserves a memory area or a directory on the chip card for the reception of data generated during the supplementary personalization in the execution of the command sequence. It can thus be guaranteed that no memory shortage or overflow occurs during the processing of the supplementary personalization, and that only the command sequences whose chip card commands write to this previously reserved memory area can be completely executed.
  • a chip card can only be used for its intended purpose if the supplementary personalization has been completely executed and terminated.
  • FIG. 1 shows a part personalization of a chip card taking place in a personalization center
  • FIG. 2 shows an introduction of a supplementary personalization of the chip card in an unsecured environment
  • FIG. 3 shows the chip card with loaded and permanently existing modules for carrying out the supplementary personalization
  • FIG. 4 shows the chip card during the execution of a command sequence in the context of the supplementary personalization
  • FIG. 5 shows a command sequence definition as state automaton with states and state transitions.
  • FIG. 1 diagrammatically shows a partial personalization of a chip card CHIPK taking place in a personalization center PZ.
  • the chip card CHIPK can be identified by a chip card number ID which is contained on it and which is unique relative to other chip cards and shown as a rectangle.
  • the chip card number ID is preferably already brought to the chip card CHIPK during the production of the chip card CHIPK.
  • the electronically and / or mechanically secured area of a personalization center PZ is represented by a dashed-dotted line.
  • On the chip card CHIPK is accessed in the illustrated in Figure 1 steps by a smart card reader / writer CHIPLES.
  • chip card reader / writer CHIPLES and chip card CHIPK is represented by a broad black line, as well as the connection between smart card reader / writer CHIPLES and a partial personalization module KEYGEN.
  • the partial personalization module KEYGEN controls this
  • the partial personalization module KEYGEN key information KEY1 and KEY2 are preferably generated according to the RSA method as a key pair. Furthermore, the partial personalization module KEYGEN is connected to a database CHIPDB - represented by a broad black line - which in particular comprises a table TABKEY, with an allocation of chip card numbers, here ID, in each case to a key information, here KEY2. Read / write access to data and memory the components mentioned are shown by dashed arrows.
  • the chip card CHIPK also comprises a memory MEM, which is usually designed as an EEPROM, in order to be able to store data permanently and overwritable.
  • the key information KEY1 and / or KEY2 can be derived by the partial personalization module KEYGEN by means of a suitable, reconstructable method using a key known only to the personalization center PZ.
  • FIG. 2 schematically illustrates an initiation of the supplementary personalization by requesting a command sequence BS and a command sequence definition BSD at the personalization center PZ and their transmission to the chip card CHIPK.
  • the chip card CHIPK is thereby located in an unsecured environment. This unsecured environment is referred to below as the personalization site HB at which the supplementary personalization is to be performed. It is assumed in the embodiment that the personalization location HB is the home area, i. the private home or the office of a smart card user is, with other possible personalization sites HB local personalization offices, chip card issuing agencies such as banks and insurance companies, as well as the personalization center PZ can be.
  • the database CHIPDB and the table TABKEY in the personalization center PZ are shown in FIG. 2 in accordance with FIG.
  • the chip card CHIPK, the chip card number ID, the memory MEM, the key information KEY1, a second chip card reading / writing device CHIPLES2 and the connection between both is likewise shown in FIG. 1, the chip card CHIPK and the chip card reading / writing device CHIPLES2 not being in the personalization center PC but in one who carry out the complementary personalization, HB.
  • a communication module KOM1 which controls the chip card reading / writing device CHIPLES2 and can be connected via an internet connection to a communication module KOM2 in the personalization center PZ.
  • an Internet connection is only a preferred of several connection options.
  • the communication module KOM1 establishes an Internet connection with the HTTPS protocol (HyperText Transport Protocol Secure), sends a message REQ to the communication module K0M2 and sends this in a response a data message DAT the command sequence definition BS and associated command sequence definition
  • HTTPS protocol HyperText Transport Protocol Secure
  • the key information KEY1 stored on the chip card CHIPK and / or a public key of the personalization center PZ can be used for HTTPS encryption.
  • connection In addition to the Internet connection assumed in the exemplary embodiment, all types of verbal, written or electronic connections are possible, eg radio or telephone connections. Furthermore, different protocols for communication are possible with an electronic connection, eg HTTP, HTTPS, SMTP or a proprietary protocol.
  • the connection can also be made offline, ie without a direct electronic connection, or through an online-offline combination in which the request is transmitted to the personalization center PZ through an Internet connection and the answer without a direct electronic connection.
  • the communication module KOM2 has access, represented by a wide black line, to the database CHIPDB and to a generation module BSGEN for generating or determining command sequence BS and command sequence definition BSD.
  • the transmission of the messages REQ and DAT via the Internet connection assumed in the exemplary embodiment between the communication modules KOM1 and KOM2 is illustrated by arrows.
  • the transmission path of command sequence BS and command sequence definition BSD starting from the generating module BSGEN to the memory MEM of the chip card CHIPK is shown by a dashed arrow.
  • darg Marie is in personalization HB a terminal for user interaction on which runs a program that performs the possibly required interaction with the user. These are e.g. Inquiries as to whether an Internet connection should be established, which command sequence BS should be downloaded.
  • chip card reading / writing device CHIPLES2, communication module COM1 and the mentioned terminal are part of a workstation computer with standard components and standard operating system.
  • the communication module KOM2 can be implemented in such a way that it only accepts connection requests that satisfy a plausibility routine contained in it (not shown). Furthermore, the communication module KOM2 may be in communication with a web server (not shown), may be a module of a web server, or may include a web server to provide interaction opportunities with the user of the smart card CHIPK. In particular, a list of the possible chip card applications to be activated in a web page can be displayed to the user for selection, preferably after reading and evaluating the chip card number ID, only for to display chip card CHIPK enabled chip card applications.
  • FIGs 3 and 4 show schematically each chip card CHIPK with loaded and permanently available modules for
  • FIG. 3 shows a state after import but before execution of command sequence BS and command sequence definition BSD.
  • FIG. 4 shows the chip card CHIPK after processing four chip card commands Bl,..., B4 during processing of a fifth chip card command B5 of the command sequence BS.
  • the chip card CHIPK shown in FIGS. 3 and 4 also has a fault counter FAHLZ in the memory MEM on.
  • the error counter FEHLZ is a data field which stores the number of errors, the error types and / or further details regarding occurring errors.
  • the memory MEM comprises the key information KEY1, the command sequence definition BSD and the command sequence BS, which is characterized in that it is transmitted and executed command by command to the chip card CHIPK (not shown) or as a complete sequence in the chip card
  • a free memory area FREIMEM of the memory MEM is represented by a dashed rectangle.
  • APPDATA generated application data
  • the individual commands Bl, B2, B3, B4, B5 of the command sequence BS are shown within this command sequence BS, wherein it is indicated by three points that the command sequence BS can contain any number of commands.
  • the individual command sequence definition units D1, D2, D3, D4, D5 are shown within the command sequence definition BSD.
  • the chip card CHIPK furthermore comprises a supplementary personalization routine EPERS, which accesses the command sequence BS and the command sequence definition BSD read-represented by a dotted arrow, and the error counter MIST and the available free memory read and write FREE - represented by a continuous arrow - accessed.
  • the step-by-step execution of the instructions B1, B2, B3, B4, B5 and command sequence definition units D1, D2, D3, D4, D5 is illustrated by a double arrow in the processing direction.
  • chip card instructions B1, B2, B3, B4, B5 to be executed as part of the supplementary personalization can be commands with write access to a volatile or non-volatile memory MEM of the chip card, as well as commands that generate security certificates or key pairs.
  • FIG. 5 illustrates a command sequence definition BSD which predefines states and state transitions in the sense of a state machine, the states of which Z1, Z2, Z3, Zn are denoted as
  • the state transitions are labeled by the instruction sequence definition units D1, D2, D3, D4, Dn, Dn + 1, the execution of which cause the state transitions.
  • the initial state BZ defines the
  • Start state of the state machine EZ defines the final state representing the successful execution of the command sequence BS.
  • the initial state BZ and the final state EZ are identical and correspond to a neutral state of the chip card CHIPK, if no additional personalization takes place.
  • FIG. 1 illustrates the partial personalization of the chip card CHIPK in the personalization center PZ.
  • the chip card CHIPK contains the unique, unchangeable chip card number ID, by means of which the chip card CHIPK can be identified.
  • the partial personalization module KEYGEN requests this chip card number ID from the chip card reader / writer CHIPLES and transmits it to the database CHIPDB, so that an entry is created in the table TABKEY. In the table TABKEY is preferred one entry stored for each chip card delivered.
  • the partial personalization module KEYGEN generates the preferably smart card-specific key information KEY1 and KEY2 preferably according to the RSA method or alternatively according to a suitable key derivation method. Depending on the method used, the key information KEY1 and KEY2 can match, so that there is only one common key information.
  • the key information KEY1 is a private key of the chip card CHIPK using the RSA method and key information KEY2 is an associated public key.
  • the partial personalization module KEYGEN transmits the key information KEY2 to the database CHIPDB, so that it is stored in the table TABKEY assigned to the chip card number ID.
  • the partial personalization module KEYGEN transmits the key information KEY1 to the chip card reading / writing device which writes the obtained key information KEY1 into the nonvolatile memory MEM of the chip card CHIPK. There, the key information KEYl remains permanently stored. Thus, the chip card CHIPK is partially personalized with only a few steps and little effort.
  • a user inserts the chip card CHIPK transferred to him into a chip card reader / writer CHIPLES2 and starts the supplementary personalization in a manner not described in detail. Then that reads
  • Communication module KOMl the chip card number ID and transmits them, preferably encrypted by the key formation KEY1 and / or a public key of the personalization center PZ - in the message REQ to the communication module KOM2 in the personalization center PZ to request the delivery of a command sequence BS and command sequence definition BSD.
  • various messages REQ can also be given for different chip card applications to be activated, or a message REQ with a parameter indicating which application is to be activated on the chip card.
  • the communication module KOM2 extracted, possibly after previous decryption, the transmitted chip card ID ID from the message REQ and further determined from the message REQ, which application is to be activated in a later step on the chip card CHIPK.
  • the communication module COM2 contacts the database CHIPDB and queries the key information KEY2 stored there in the table TABKEY. Furthermore, the communication module KOM2 requests from the generating module BSGEN a command sequence BS for later generation of the chip card application and a corresponding matching command sequence definition BSD, the key information KEY2 possibly being provided by the communication module KOM2 for its generation and being used by the generating module BSGEN.
  • the command sequence definition BSD is then generated using the key information KEY2 and the command sequence BS so that it can be used on the chip card CHIPK to check the execution of the command sequence BS according to various criteria.
  • the generation module BSGEN generates or reads the application setup BS and the command sequence definition BSD, preferably both being card-encrypted using the key information KEY2 and thus being decryptable only on the chip card that has the appropriate one Key information KEYl contains.
  • a command sequence BS can be generated. the one that can set up multiple applications on chip card CHIPK when running.
  • the supplementary personalization routine EPERS can likewise be provided by the generation module BSGEN and transmitted to the chip card (not shown). This is advantageous if different personalization routines are used for different command sequences.
  • the communication module KOM2 transmits the command sequence BS and the command sequence definition BSD and, if appropriate, the supplementary personalization routine EPERS in a data message DAT, preferably encrypted by means of the key information KEY2 and / or the public key of the personalization center PZ, to the communication module KOM1 in the home area HB user.
  • the command sequence BS and the command sequence definition BSD is transmitted to the chip card CHIPK in that the communication module KOM1 writes it into the memory MEM of the chip card CHIPK using the chip card reading / writing device CHIPLES2.
  • the communication module COMl causes the supplementary personalization routine EPERS to be called to execute the command sequence BS as part of the supplementary personalization.
  • FIG. 3 schematically shows the chip card CHIPK after the command sequence BS and the command sequence definition BSD have been loaded after calling the supplementary personalization routine EPERS. If the command sequence BS and the command sequence definition BSD were played encrypted on the smart card, they are to be decrypted by the complementary personalization routine EPERS first using the key information KEYl.
  • the use of the key information KEY1 for decryption - preferably using standard means - thus ensures the following check of the command sequence BS by means of the command sequence definition BSD, since only for the decryption key sequence KEY1 prepared command sequences BS can be decrypted. This implicitly prevents the execution of other command sequences.
  • the respective chip card commands B1, B2, B3, B4, B5 of the command sequence BS are implicitly saved.
  • a pointer contained in the supplemental personalization routine EPERS points to the next instruction to be executed of the instruction sequence BS. This is initially the first instruction Bl of the instruction sequence BS.
  • a further contained pointer points parallel to the first command sequence definition unit D1 to be evaluated, which is assigned to the command Bl, it being assumed in the application example that the command sequence definition BSD comprises information patterns for the entire command sequence BS and exactly one command sequence definition unit for each command gives.
  • a third contained pointer points to the memory area allocated to the application to be installed outdoors
  • this memory area can already be reserved for the application as part of the partial personalization.
  • the representation as a pointer has been introduced only for clarification and can be solved in an implementation of a smart card CHIPK without pointer.
  • the error counter FEHLZ is either already present on the chip card CHIPK or is only generated by the supplementary personalization routine EPERS in the memory MEM.
  • the supplementary personalization routine EPERS now reads (not shown) the first instruction Bl of the instruction sequence BS and checks by means of the associated instruction sequence definition unit D1 whether the instruction Bl to be executed satisfies this instruction sequence definition unit D1. This can be used to ensure that no illegal command is executed and that no commands are executed in the wrong order. If the command Bl satisfies the command sequence definition unit Dl, it is executed by the chip card CHIPK and, if it is a write command to the memory MEM, a part of the free memory FREIMEM with application data APPDATA is described. This reduces the free memory FREIMEM. Subsequently, the pointers are indexed so that the command B2 to be executed next and the command sequence definition units to be evaluated next, the unit D2 is set.
  • the hands are not indexed and the error counter MISSING is increased.
  • the further behavior after an error can be different; e.g. the execution of the command sequence BS can be aborted or it can be attempted to execute the command again. If the command sequence BS is aborted, the pointer to the command sequence definition BSD can be reset or it can remain at the previous position in order to continue processing there after transferring a further command sequence BS to the chip card CHIPK.
  • the supplementary personalization routine EPERS or an operating system routine of the chip card CHIPK can check the error counter MISSED and, when a predetermined threshold value is exceeded, trigger an action, such as the following: Disabling the chip card CHIPK.
  • FIG. 4 schematically illustrates the chip card CHIPK after successful execution of four instructions B1, B2, B3, B4 of the command sequence BS.
  • four command sequence definition units D 1, D 2, D 3, D 4 were evaluated in the illustrated embodiment of the invention after processing the four commands.
  • An originally free memory area was used when executing the commands Bl, B2, B3, B4 for the storage of the application data APPDATA.
  • After execution of all instructions of the instruction sequence BS, all instruction commands The sequence definition units of the command sequence definition BSD have been successfully evaluated and the desired application has been created in the application data APPDATA.
  • the smart card application is set up and the supplementary personalization can be terminated.
  • the command sequence BS and command sequence definition BSD can be deleted by the supplementary personalization routine EPERS. Furthermore, this routine may end.
  • the chip card CHIPK can use the application now stored on it after completion of the supplementary personalization.
  • the chip card CHIPK can send a message (not shown) about the successful execution of the command sequence BS to the communication module KOM1, which can then display this information to the user on the screen of a terminal.
  • the communication module KOM1 can send a corresponding message (not shown) to the personalization center PZ.
  • FIG. 5 schematically illustrates an instruction sequence definition BSD which prescribes a state machine.
  • a successful evaluation of a command sequence definition unit D 1 and thus a successful execution of an instruction Bl causes the state machine to change from the initial state BZ to the state Z 1.
  • This state is in turn only left by the machine and forwarded to the only following state Z2 when the command sequence definition unit D2 has been successfully evaluated and thus command B2 has been executed.
  • the state machine illustrated in FIG. 5 has no forward or backward loops in the state graph, there is only one sequence of command sequence definition units that completes the state machine and places it in the final state EZ.
  • the final state EZ is then like the initial state BZ again a state, the usual wise in normal operation of the chip card CHIPK, so outside the complementary personalization is taken.
  • the transition from the initial state BZ can be used to control further access rights, e.g. Write access to certain memory areas by setting an access authorization, are enabled and available during the execution of the command sequence BS. Due to the transition to the final state EZ, this access authorization can then be withdrawn again. If each chip card command is checked for access authorizations it requires before it can be processed, it is thus possible to achieve that chip card commands executed during a supplementary personalization have sufficient access rights and such chip card commands are blocked outside of the supplementary personalization.
  • further access rights e.g. Write access to certain memory areas by setting an access authorization
  • the present embodiment comprises an authorization at the personalization center PZ, a secure transmission of the command sequence BS, a check of the command sequence BS by the command sequence definition BSD, which specifies a loop-free state machine.
  • PZ personalization center
  • BSD command sequence definition

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Credit Cards Or The Like (AREA)

Abstract

Die Erfindung ist ein Verfahren zur Personalisierung einer Chipkarte (CHIPK), bei dem im Rahmen einer Teilpersonalisierung eine Schlüsselinformation (KEY1) in einem Speicher (MEM) der Chipkarte (CHIPK) gespeichert wird. Im Rahmen einer ergänzenden Personalisierung wird eine Befehlssequenzdefinition (BSD) und eine, eine Chipkartenanwendung einrichtende Befehlssequenz (BS) mit durch die Chipkarte (CHIPK) auszuführenden Chipkartenbefehlen (B1, B2, B3, B4, B5), auf die Chipkarte (CHIPK) übertragen. Dabei erfolgt für einen jeweiligen Chipkartenbefehl (B1, B2, B3, B4, B5) eine die Schlüsselinformation (KEY1) verwendende und dadurch gesicherte Prüfung, ob dieser Chipkartenbefehl (B1, B2, B3, B4, B5) der Befehlssequenzdefinition (BSD) genügt, und falls das zutrifft, wird der betreffende Chipkartenbefehl (B1, B2, B3, B4, B5) durch die Chipkarte (CHIPK) ausgeführt.

Description

Beschreibung
Verfahren zur Personalisierung von Chipkarten
Eine Personalisierung von Chipkarten, bei der karten- und/oder personenindividuelle Daten auf eine jeweilige Chipkarte aufgespielt werden, wird bisher meist in gesicherten Personalisierungszentren bei einem Hersteller der Chipkarte, bei einer Zertifizierungsstelle oder bei einem vertrauenswür- digen Diensteanbieter durchgeführt.
In einem solchen Personalisierungszentrum werden kundenspezifisch vorgebbare Personalisierungsdaten, z. B. ein Name eines Anwenders, dessen Kontonummer oder weitere kundenspezifische Daten oder Applikationen, auf die Chipkarte gespielt. Die
Personalisierungszentren, sind üblicherweise durch Verwendung von elektronischen, mechanischen Sicherheitsmechanismen und/oder organisatorischen Maßnahmen gegen unbefugte Manipulationen gesichert, da in ihnen sicherheitsrelevante Daten (z.B. persönliche Daten des Anwenders der Chipkarte, PINs, etc.) verarbeitet werden, und ein Bekanntwerden von Informationen an Unbefugte sowie eine Einflussnahme von Unbefugten auf den Vorgang der Personalisierung zu vermeiden ist.
Wird, wie z.B. bei Chipkarten zu Identifizierung von Personen, ein Maximum an Sicherheit - insbesondere gegenüber Manipulation oder Fälschung der gespeicherten Daten auf der Chipkarte - gefordert, dann ist bisher üblicherweise die Personalisierung in gesicherten Personalisierungszentren auszufüh- ren.
Eine Personalisierung in ungesicherter Umgebung außerhalb von Personalisierungszentren wird bisher nur bei Chipkarten mit geringen Sicherheitsanforderungen durchgeführt.
Eine Personalisierung einer Chipkarte umfasst üblicherweise eine Aktivierung einer oder mehrerer Anwendungen auf der Chipkarte zusammen mit einer Generierung von Sicherungsschlüsseln und/oder Sicherungsschlüsselpaaren, z.B. sog. symmetrischen Schlüsseln oder RSA-Schlüsseln (RSA: Verschlüsselungsalgorithmus benannt nach den Erfindern Rivest, Shamir und Adleman) . Dabei erweist sich die Generierung von Sicherungsschlüsselpaaren im Vergleich zu den restlichen Persona- lisierungsschritten als sehr aufwendig. Somit wird die Anzahl der bearbeiteten Chipkarten in einem gegebenen Zeitraum in einem Personalisierungszentrum in erheblicher Weise von einer Generierungszeit der Sicherungsschlüssel der jeweiligen Chipkarten beeinflusst.
Die Personalisierung einer Chipkarte kann häufig nicht in einer einzigen Personalisierungssitzung abgeschlossen werden, da zum Ausgabezeitpunkt der Chipkarte noch nicht vollständig bekannt ist, welche Anwendungen auf die Chipkarte gespielt und auf der Chipkarte installiert werden sollen. Außerdem besteht bei Multiapplikationschipkarten, die mehrere Anwendungen enthalten können, der Bedarf über die Benutzungsdauer der Chipkarte hinweg Anwendungen zu aktivieren. Gemäß dem bisherigen Stand der Technik ist hierzu die Chipkarte ein weiteres Mal in das gesicherte Personalisierungszentrum zu bringen, sofern dies die jeweiligen Sicherheitsvorgaben erfordern.
Es ist Aufgabe der vorliegenden Erfindung, ein flexibles Verfahren zur Personalisierung von Chipkarten bereitzustellen.
Gelöst wird diese Aufgabe durch ein Verfahren mit den Merkma- len des Patentanspruchs 1. Vorteilhafte Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen angegeben.
Bei dem erfindungsgemäßen Verfahren wird zur Personalisierung einer Chipkarte im Rahmen einer - vorzugsweise in einem gesi- cherten Personalisierungszentrum durchzuführenden - Teilper- sonalisierung eine Schlüsselinformation, z.B. bestehend aus einem kartenindividuellen Secure-Messaging-Schlüssel und/oder einem Authentifizierungsschlüssel, in einem, vorzugsweise nichtflüchtigen, Speicher der Chipkarte gespeichert. Ein derartiger, nichtflüchtiger Speicher kann z.B. als EEPROM auf der Chipkarte realisiert sein. Erfindungsgemäß wird im Rahmen einer ergänzenden Personalisierung, die auch in ungesicherter Umgebung ausgeführt werden kann, eine Befehlssequenzdefinition und eine, eine Chipkartenanwendung einrichtende Befehlssequenz, mit durch die Chipkarte auszuführenden Chipkartenbefehlen, auf die Chipkarte übertragen. Weiterhin erfolgt für einen jeweiligen Chipkartenbefehl dieser Befehlssequenz eine die Schlüsselinformation verwendende und dadurch gesicherte Prüfung, ob dieser Chipkartenbefehl der Befehlssequenzdefinition genügt. Falls das zutrifft, wird der betreffende Chipkartenbefehl durch die Chipkarte ausgeführt.
Es sei darauf hingewiesen, dass die angegebene Abfolge der Verfahrensmerkmale nicht der zeitlichen Reihenfolge dieser Merkmale entsprechen muss. Z.B. kann die Prüfung der Chipkartenbefehle zusammenhängend zu Beginn der ergänzenden Persona- lisierung durchgeführt werden, bevor die einzelnen Chipkartenbefehle ausgeführt werden.
Vorzugsweise kann die Gültigkeit der Befehlssequenz unter Verwendung der Schlüsselinformation beim Aufspielen der Be- fehlssequenz auf die Chipkarte oder beim Installieren der
Befehlssequenz auf der Chipkarte gesichert werden. Die Prüfung der Befehlssequenz unter Verwendung der Befehlssequenzdefinition kann dann bei Abarbeitung der Befehlssequenz ohne zusätzliche Sicherung mittels der Schlüsselinformation statt- finden.
Ein Vorteil der Prüfung der Befehlssequenz mittels einer Befehlssequenzdefinition ist darin zu sehen, dass dadurch sichergestellt werden kann, dass nur unmanipulierte, von einer vertrauenswürdigen Stelle stammende Befehlssequenzen ausgeführt werden können, da nur diese der Befehlssequenzdefinition genügen. Mit dem erfindungsgemäßen Verfahren können ergänzende Personalisierungen in ungesicherten Bereichen wie der privaten Wohnung des Anwenders, lokalen Vertriebsbüros für Mobilfunk- karten, Chipkartenkodierstellen für Mitarbeiterkarten, Bank- Zweigstellen für Kredit- oder Kundenkarten oder Meldeämtern für Identifikationsausweise und -chipkarten, sicher durchgeführt werden, die bisher nur in gesicherten Personalisie- rungszentren durchgeführt werden, um hohe Sicherheitsanforde- rungen zu erfüllen.
Zeitaufwendige Personalisierungsschritte, insbesondere ein Generieren von Zertifikaten und Schlüsselpaaren, lassen sich im Rahmen der ergänzenden Personalisierung durchführen. Dabei ist vorteilhaft, dass diese zeitaufwendigen Schritte nicht in einem Personalisierungszentrum durchgeführt werden müssen und dort somit eine kürzere Personalisierungszeit pro Chipkarte erreicht wird und das Personalisierungszentrum Chipkarten in kürzeren Zeitabständen teilpersonalisieren kann.
Vorteilhaft ist weiterhin, dass Multiapplikationschipkarten, bei denen auch nach ihrer Auslieferung weitere Anwendungen aufgespielt werden können, zur Aktivierung der Anwendungen nicht erneut ins Personalisierungszentrum geschickt werden müssen, um die Personalisierung vollständig durchzuführen.
Die Aktivierung einer solchen weiteren Anwendung kann im Rahmen der ergänzenden Personalisierung durchgeführt werden. D.h. die ergänzende Personalisierung mit Applikationen kann z.B. vom Anwender der Chipkarten selbst in seiner Wohnung außerhalb des Personalisierungszentrums durchgeführt werden.
Die Prüfung der Chipkartenbefehle kann beispielsweise durch Verwendung eines Secure-Messaging-Schlüssels als Schlüsselinformation so implementiert und somit gesichert werden, dass eine Übertragung der Befehlssequenz und/oder der Befehlssequenzdefinition auf die Chipkarte bei Verwendung eines falschen Secure-Messaging-Schlüssels verhindert wird. Weiterhin kann die Chipkarte als Schlüsselinformation z.B. einen privaten Schlüssel eines RSA-Schlüsselpaares enthalten. Die übertragene Befehlssequenz und/oder die Befehlssequenzdefinition können zur Sicherung mittels eines öffentlichen RSA- Schlüssels der Chipkarte verschlüsselt sein. Somit kann die Chipkarte, und nur diese, die Befehlssequenz und/oder die Befehlssequenzdefinition mit dem auf der Chipkarte gespeicherten privaten Schlüssel entschlüsseln. Weiterhin kann ein Authentifizierungs- bzw. Signaturschlüssel als Schlüsselin- formation verwendet werden, um sicherzustellen, dass die Befehlssequenz und/oder die Befehlssequenzdefinition von der erwarteten Stelle, vorzugsweise dem - die Teilpersonalisie- rung durchführenden - Personalisierungszentrum, erzeugt und übermittelt wurden.
Vorzugsweise wird vor Ausführung eines jeweiligen Chipkartenbefehls der Befehlssequenz unter Zuhilfenahme der Befehlssequenzdefinition geprüft, ob der auszuführende Chipkartenbefehl der Befehlssequenzdefinition genügt. Bei positivem Prüf- ergebnis wird der Chipkartenbefehl ausgeführt, bei negativem Prüfergebnis nicht.
Gemäß einer Weiterbildung der Erfindung kann zur Ausführung der Befehlssequenz eine Zugriffsberechtigung auf der Chipkar- te gesetzt werden, und vor Ausführung eines jeweiligen Chipkartenbefehls ein Vorhandensein der Zugriffsberechtigung geprüft werden. Bei positivem Prüfungsergebnis kann dann der betreffende Chipkartenbefehl ausführt werden. Bei negativem Prüfungsergebnis kann die Ausführung des betreffenden Chip- kartenbefehls unterdrückt werden.
Die Zugriffsberechtigung kann vorteilhafterweise bei einem Aufruf der Befehlssequenz durch das Betriebssystem gesetzt werden. In einer anderen Ausgestaltung kann vor dem Ausführen eines jeweiligen Chipkartenbefehls der Befehlssequenz eine dem Chipkartenbefehl zugeordnete Zugriffsberechtigung gesetzt und nach der Ausführung wieder gelöscht werden. Eine derartige Zugriffsberechtigung für einen Chipkartenbefehl kann beispielsweise ein Schreibrecht auf einen bestimmten Speicherbereich umfassen. Ein weiteres Beispiel für eine Zugriffsberechtigung ist eine Berechtigung eines Chipkartenbefehls einen Schlüssel zur Verschlüsselung oder ein Zertifikat zur Authentisierung zu generieren.
Das Setzen und Löschen einer Zugriffsberechtigung erlaubt eine einfache Implementierung von Prüfroutinen zur Prüfung, ob ein Chipkartenbefehl ausgeführt werden darf. Weiterhin lässt sich mittels solcher Prüfroutinen einfach realisieren, dass die Chipkarte bei Abarbeitung von Chipkartenbefehlen außerhalb der ergänzenden Personalisierung keinen Befehl aus- führen kann, der nur in der ergänzenden Personalisierung erlaubt ist, indem bei jeder Ausführung eines Chipkartenbefehls - während und außerhalb der ergänzenden Personalisierung - die Zugriffsberechtigungen überprüft werden.
Gemäß einer Weiterbildung der Erfindung kann die Schlüsselinformation chipkartenindividuell oder chipkartengruppenindivi- duell sein. Eine jeweilige Chipkartengruppe kann z.B. einer jeweiligen Produktionscharge der Chipkarten, einem jeweiligen Vertriebskunden der Chipkarten, einer jeweiligen Anwendung, z.B. bei Einsatz als Tankkarte an Tankstellen, oder allen produzierten Chipkarten zugeordnet werden. Somit kann bei der Teilpersonalisierung eingeschränkt werden, auf welchen Chipkarten eine jeweilige Befehlssequenz ausgeführt werden kann - nur auf einer einzelnen Chipkarte, auf einer Chipkartengruppe oder auf allen Chipkarten.
Nach einer vorteilhaften Ausführungsform der Erfindung kann die Befehlssequenzdefinition Zustände und Zustandsübergänge eines Zustandsautomaten vorgeben, der von einem jeweiligen Zustand in einen vorgegebenen, von vorher eingenommenen Zuständen verschiedenen Folgezustand wechselt, wobei einem je- weiligen Zustand jeweils ein vorgegebener Chipkartenbefehl zugeordnet ist, der in diesem Zustand zur Ausführung zugelassen ist.
Die Befehlsequenzdefinition kann für die - vorzugsweise gesamte - Befehlssequenz Informationsmuster umfassen, mit denen durch Vergleich mit in der Befehlssequenz enthaltenen Chipkartenbefehlen ermittelt werden kann, ob ein jeweiliger auszuführender Chipkartenbefehl der Befehlssequenz der Befehls- sequenzdefinition genügt, ob eine Reihenfolge der Chipkartenbefehle korrekt ist, und/oder ob nach Abarbeitung der Befehlssequenz alle in der Befehlssequenz enthaltenen Chipkartenbefehle abgearbeitet wurden und somit die Befehlssequenz vollständig abgearbeitet wurde. Dabei kann die Befehlsse- quenzdefinition so implementiert werden, dass sie zu jedem Chipkartenbefehl der zugehörigen Befehlssequenz eine den Chipkartenbefehl identifizierende Information, vorzugsweise in möglichst knapper Darstellung, enthält.
Vorteilhafterweise enthält ein Zustandsdiagramm des Zustandsautomaten keine Verzweigungen, Schleifen oder Rekursionen. Dadurch kann bei der ergänzenden Personalisierung der Chipkarte die Ausführung der Befehlssequenz auf solche Befehlssequenzen eingeschränkt werden, die von der die Teilpersonali- sierung durchführende Personalisierungsstelle dafür vorgesehen sind. Durch die Rekursionsfreiheit kann sichergestellt werden, dass eine das Zustandsdiagramm durchlaufende Befehlssequenz unverändert, einmalig, im Wesentlichen vollständig und/oder in der richtigen Reihenfolge ausgeführt wird. Ein Anwender der Chipkarte ist somit gegenüber Manipulation von nicht autorisierten Dritten geschützt.
Ferner kann die Befehlssequenzdefinition, die Befehlssequenz, eine durch Abarbeitung der Befehlssequenz bis zu einem jewei- ligen Chipkartenbefehl teilweise eingerichtete Chipkartenanwendung, die Zugriffsberechtigung, der Zustandsautomat und/oder ein jeweilig eingenommener Zustand des Zustandsauto- maten in einem vorzugsweise nichtflüchtigen Speicher der Chipkarte gespeichert werden. Dadurch kann eine unterbrochene ergänzende Personalisierung nach der Unterbrechung weiter fortgesetzt werden. Bei Verwendung eines nichtflüchtigen Speichers zur Speicherung der angegebenen Informationen ist eine Fortsetzung der ergänzenden Personalisierung auch nach Unterbrechung der Stromversorgung möglich.
Dies erhöht zusätzlich die Sicherheit gegenüber Manipulation, weil eine manipulierte nur teilweise gültige Befehlssequenz und Befehlssequenzzdefinition nicht durch einfache Mittel, wie Unterbrechen der Stromversorgung, gelöscht und anschließend durch eine modifizierte, ebenfalls manipulierte Befehlssequenz und Befehlssequenzdefinition ausgetauscht werden kann.
Das Fortsetzen einer unterbrochenen ergänzenden Personalisierung kann vorzugsweise durch Fortsetzen der Befehlssequenz bei dem zuletzt eingenommenen Zustand des Zustandsautomaten durchgeführt werden. Alternativ könnte eine unterbrochene ergänzende Personalisierung so fortgesetzt werden, dass die Ausführung der Befehlssequenz an deren Beginn wieder aufgenommen wird und dabei alle bereits abgearbeiteten Chipkartenbefehle ignoriert werden, bis die noch nicht abgearbeiteten Chipkartenbefehle zur Ausführung anstehen.
Gemäß einer Weiterbildung der Erfindung kann nach einer vollständigen Abarbeitung der Befehlssequenz eine, die vollzogene ergänzende Personalisierung anzeigende Information auf der Chipkarte gespeichert werden, die Zugriffsberechtigung gelöscht werden, und/oder die Befehlssequenzdefinition, die Befehlssequenz, der Zustandsautomat und/oder ein Zustand des Zustandsautomaten auf der Chipkarte gelöscht werden. Dabei kann die, eine vollzogene ergänzende Personalisierung anzei- gende Information auch durch eine Information repräsentiert werden, die nach vollzogener Personalisierung gelöscht wird und somit durch ihr NichtVorhandensein anzeigt, dass die Personalisierung abgeschlossen ist.
Vorteilhaft ist insbesondere, dass nach der ergänzenden Per- sonalisierung nicht mehr benötigte Daten und Chipkartenbefehle gelöscht werden können und somit Speicherplatz freigegeben werden kann. Weiterhin kann das Vorhandensein bzw. Nichtvor- handensein von Daten auf der Chipkarte vom Betriebssystem der Chipkarte ausgewertet werden, um zu erkennen, ob sich die Chipkarte im Zustand der Durchführung einer ergänzenden Personalisierung befindet, ob die ergänzende Personalisierung schon abgeschlossen ist, oder ob die ergänzende Personalisierung noch nicht gestartet wurde. Abhängig von dieser Auswertung kann das Betriebssystem der Chipkarte zusätzlich ent- scheiden, ob die jeweiligen auszuführenden Befehle mit verschiedenen Zugriffsberechtigungen auszuführen sind.
Gemäß einer Weiterbildung der Erfindung kann ein Chipkartenbefehl einer Befehlssequenz, vorzugsweise der letzte Chipka- tenbefehl der Befehlssequenz, eine Befehlssequenzdefinition für eine weitere Befehlssequenz enthalten. Dadurch können Befehlssequenzen kaskadiert ausgeführt werden und lange Befehlssequenzen in mehrere kurze, modulare Befehlssequenzen aufgeteilt und sukzessive ausgeführt werden.
Weiterhin kann nach Ausführen eines letzten Chipkartenbefehls der Befehlssequenz eine Testroutine zur Überprüfung einer erfolgreichen ergänzenden Personalisierung aufgerufen werden und diese Testroutine bei Erkennen einer fehlerhaften ergän- zenden Personalisierung eine, die fehlerhafte Personalisierung anzeigende Information auf die Chipkarte speichern. Damit kann ein Programm der Chipkarte durch einfaches Auslesen dieser Information erkennen, ob eine Anwendung fehlerfrei personalisiert wurde und nur in diesem Fall auf die Anwendung zugreifen. Dabei kann diese Testroutine permanent auf der
Chipkarte gespeichert sein, Teil der Befehlssequenz sein oder wie die Befehlssequenz im Rahmen der ergänzenden Personali- sierung auf die Chipkarte übertragen werden und nach Beenden wieder gelöscht werden.
Gemäß einer Weiterbildung der Erfindung kann im Rahmen der Teilpersonalisierung eine Routine ausgeführt werden, die einen Speicherbereich oder ein Verzeichnis auf der Chipkarte für die Aufnahme von im Rahmen der ergänzenden Personalisierung bei der Ausführung der Befehlssequenz erzeugten Daten reserviert. Damit kann garantiert werden, dass bei der Abar- beitung der ergänzenden Personalisierung kein Speichermangel oder -Überlauf auftritt und dass nur die Befehlssequenzen vollständig ausgeführt werden können, deren Chipkartenbefehle in diesen vorher reservierten Speicherbereich schreiben.
Gemäß einer Weiterbildung der Erfindung kann bis zur vollständigen Abarbeitung der Befehlssequenz ein Aufrufen von nicht in der Befehlssequenz enthaltenen Chipkartenbefehlen gesperrt werden. Dadurch ist eine Chipkarte erst dann zu ihrem Bestimmungszweck einsetzbar, wenn die ergänzende Persona- lisierung vollständig ausgeführt und beendet wurde.
Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der Zeichnung näher erklärt.
Dabei zeigen jeweils in schematischer Darstellung
Figur 1 eine, in einem Personalisierungszentrum ablaufende Teilpersonalisierung einer Chipkarte,
Figur 2 eine Einleitung einer ergänzenden Personalisierung der Chipkarte in ungesicherter Umgebung,
Figur 3 die Chipkarte mit geladenen und permanent vorhandenen Modulen zur Durchführung der ergänzen- den Personalisierung, Figur 4 die Chipkarte, bei der Abarbeitung einer Befehlssequenz im Rahmen der ergänzenden Personalisierung und
Figur 5 einer Befehlssequenzdefinition als Zustandsauto- mat mit Zuständen und Zustandsübergängen.
In Figur 1 ist eine, in einem Personalisierungszentrum PZ ablaufende, Teilpersonalisierung einer Chipkarte CHIPK sche- matisch dargestellt. Im vorliegenden Ausführungsbeispiel sei angenommen, dass die Chipkarte CHIPK durch eine, auf ihr enthaltene, gegenüber anderen Chipkarten eindeutige, als Rechteck dargestellte, Chipkartennummer ID identifiziert werden kann. Die Chipkartennummer ID wird vorzugsweise bereits bei der Produktion der Chipkarte CHIPK auf die Chipkarte CHIPK gebracht. Der elektronisch und/oder mechanisch gesicherte Bereich eines Personalisierungszentrums PZ ist durch eine Strich-Punkt-Linie dargestellt. Auf die Chipkarte CHIPK wird in den in Figur 1 veranschaulichten Verfahrensschritten durch ein Chipkartenlese/schreibgerät CHIPLES zugegriffen. Die Kopplung zwischen Chipkartenlese/schreibgerät CHIPLES und Chipkarte CHIPK ist durch einen breiten schwarzen Strich dargestellt, genauso wie die Verbindung zwischen Chipkartenlese/schreibgerät CHIPLES und einem Teilpersonalisierungsmodul KEYGEN. Das Teilpersonalisierungsmodul KEYGEN steuert das
Chipkartenlese/schreibgerät CHIPLES und arbeitet Routinen zur Teilpersonalierung der Chipkarte CHIPK ab.
Im vorliegenden Ausführungsbeispiel sei angenommen, das das Teilpersonalisierungsmodul KEYGEN Schlüsselinformationen KEYl und KEY2 vorzugsweise nach dem RSA-Verfahren als Schlüsselpaar generiert. Weiterhin sei das Teilpersonalisierungsmodul KEYGEN mit einer Datenbank CHIPDB verbunden - dargestellt durch einen breiten schwarzen Strich -, die insbesondere eine Tabelle TABKEY, mit einer Zuordnung von Chipkartennummern, hier ID, jeweils zu einer Schlüsselinformation, hier KEY2, umfasst. Schreib/Lesezugriffe auf Daten und Speicher durch die genannten Komponenten sind durch gestrichelte Pfeile dargestellt. Neben der eindeutigen Chipkartennummern ID, umfasst die Chipkarte CHIPK noch einen Speicher MEM, der üblicherweise als EEPROM gestaltet ist, um Daten permanent und ü- berschreibbar speichern zu können.
Alternativ - nicht dargestellt - zur Speicherung von Chipkartennummern und Schlüsselinformation in der Datenbank CHIPDB können die Schlüsselinformationen KEYl und/oder KEY2 durch das Teilpersonalisierungsmodul KEYGEN mittels eines geeigneten, rekonstruierbaren Verfahrens unter Verwendung eines nur dem Personalisierungszentrum PZ bekannten Schlüssels abgeleitet werden.
Figur 2 stellt schematisch eine Einleitung der ergänzenden Personalisierung durch Anforderung einer Befehlssequenz BS und einer Befehlssequenzdefinition BSD beim Personalisierungszentrum PZ und deren Übermittlung zur Chipkarte CHIPK dar. Die Chipkarte CHIPK befindet sich dabei in ungesicherter Umgebung. Diese ungesicherte Umgebung wird im Folgenden als Personalisierungsort HB bezeichnet, an dem die ergänzende Personalisierung durchzuführen ist. Dabei sei in dem Ausführungsbeispiel angenommen, dass der Personalisierungsort HB der Heimbereich, d.h. die private Wohnung oder das Büro eines Chipkartenanwenders ist, wobei weitere mögliche Personalisierungsorte HB lokale Personalisierungsbüros, Chipkarten ausgebende Stellen wie Banken und Versicherungen, sowie auch das Personalisierungszentrum PZ sein können.
Die Datenbank CHIPDB und die Tabelle TABKEY im Personalisierungszentrum PZ sind in Figur 2 entsprechend Figur 1 dargestellt. Die Chipkarte CHIPK, die Chipkartennummer ID, der Speicher MEM, die Schlüsselinformation KEYl, ein zweites Chipkartenlese/schreibgerät CHIPLES2 und die Verbindung zwi- sehen beiden ist ebenfalls analog Figur 1 dargestellt, wobei sich die Chipkarte CHIPK und das Chipkartenlese/schreibgerät CHIPLES2 nicht im Personalisierungszentrum PZ sondern in ei- nem, die ergänzende Personalisierung durchführenden, Persona- lisierungsort HB befinden. Weiterhin befindet sich am durch eine Strich-Punkt-Linie dargestellten Personalisierungsort HB ein Kommunikationsmodul KOMl, das das Chipkartenlese/schreib- gerät CHIPLES2 steuert und über eine Internetverbindung mit einem Kommunikationsmodul KOM2 im Personalisierungszentrum PZ verbunden werden kann. Dabei ist eine Internetverbindung nur eine bevorzugte von mehreren Verbindungsmöglichkeiten.
Im Ausführungsbeispiel sei angenommen, dass das Kommunikationsmodul KOMl eine Internetverbindung mit dem HTTPS-Protokoll (HTTPS: HyperText Transport Protocol Secure) aufbaut, eine Meldung REQ an das Kommunikationsmodul K0M2 schickt und dieses in einer Antwort eine Datenmeldung DAT die Befehlsse- quenzdefinition BS und zugehörige Befehlssequenzdefinition
BSD - vorzugsweise verschlüsselt - zurück schickt, ebenfalls unter Verwendung des HTTPS-Protokolls . Zur HTTPS-Verschlüs- selung kann insbesondere, die auf der Chipkarte CHIPK gespeicherte Schlüsselinformation KEYl verwendet werden und/oder ein öffentlicher Schlüssel des Personalisierungszentrums PZ.
Neben der im Ausführungsbeispiel angenommenen Internetverbindung, sind alle Arten von mündlichen, schriftlichen oder e- lektronischen Verbindungen möglich, z.B. Funk- oder Telefon- Verbindungen. Weiterhin sind bei einer elektronischen Verbindung verschiedene Protokolle zur Kommunikation möglich, z.B. HTTP, HTTPS, SMTP oder ein proprietäres Protokoll. Die Verbindung kann auch Offline, d.h. ohne direkte elektronische Verbindung, oder durch eine Online-Offline-Kombination durch- geführt werden, bei der die Anfrage zum Personalisierungszentrum PZ durch eine Internet-Verbindung übermittelt wird und die Antwort ohne direkte elektronische Verbindung. Insbesondere ist es in einer alternativen Ausprägung möglich, eine Anfrage an das Personalisierungszentrum PZ fernmündlich abzu- setzen und die zu übermittelnden Daten von dort nicht direkt online zu übertragen, sondern abgespeichert auf CD-Rom, Diskette, Bandmedium oder andere Wechseldatenträger per Postlie- ferung zu schicken und durch das Kommunikationsmodul KOMl einlesen zu lassen.
Das Kommunikationsmodul KOM2 hat Zugriff, dargestellt durch eine breite schwarze Linie, auf die Datenbank CHIPDB und auf ein Generiermodul BSGEN zum Generieren oder Ermitteln von Befehlssequenz BS und Befehlssequenzdefinition BSD. Die Übermittlung der Meldungen REQ und DAT über die im Ausführungsbeispiel angenommene Internetverbindung zwischen den Kommuni- kationsmodulen KOMl und KOM2 ist jeweils durch Pfeile dargestellt. Der Übertragungspfad von Befehlssequenz BS und Befehlssequenzdefinition BSD ausgehend von dem Generiermodul BSGEN bis zum Speicher MEM der Chipkarte CHIPK ist durch einen gestrichelten Pfeil dargestellt.
Nicht in der Figur dargstellt ist im Personalisierungsort HB ein Terminal zur Anwenderinteraktion, auf dem ein Programm läuft, dass die evtl. benötigte Interaktion mit dem Anwender durchführt. Dies sind z.B. Rückfragen, ob eine Internetver- bindung aufgebaut werden soll, welche Befehlssequenz BS heruntergeladen werden soll. In einer bevorzugten Ausprägung sind Chipkartenlese/schreibgerät CHIPLES2, Kommunikationsmodul KOMl und das erwähnte Terminal Teil eines Arbeitsplatzrechners mit standardmäßigen Komponenten und Standard- Betriebssystem.
Das Kommunikationsmodul KOM2 kann so implementiert sein, dass es nur Verbindungswünsche akzeptiert, die einer in ihr enthaltenen Plausibilisierungsroutine genügt (nicht darge- stellt) . Weiterhin kann das Kommunikationsmodul KOM2 mit einem Webserver (nicht dargestellt) in Verbindung stehen, ein Modul eines Webservers sein oder einen Webserver enthalten, um Interaktionsmöglichkeiten mit dem Anwender der Chipkarte CHIPK bereitzustellen. Insbesondere kann dem Anwender eine Liste der möglichen zu aktivierenden Chipkartenanwendungen in einer Webseite zur Auswahl angezeigt werden, vorzugsweise nach Lesen und Auswerten der Chipkartennummer ID, um nur für die Chipkarte CHIPK freigeschaltete Chipkartenanwendungen anzuzeigen.
Die Figuren 3 und 4 zeigen schematisch jeweils die Chipkarte CHIPK mit geladenen und permanent vorhandenen Modulen zur
Durchführung der ergänzenden Personalisierung. Figur 3 zeigt dabei einen Zustand nach Einspielen aber vor Abarbeitung von Befehlssequenz BS und Befehlssequenzdefinition BSD. Figur 4 stellt die Chipkarte CHIPK nach Abarbeitung von vier Chipkar- tenbefehlen Bl, ..., B4 bei einer Verarbeitung eines 5. Chipkartenbefehls B5 der Befehlssequenz BS dar. Die in den Figuren 3 und 4 dargestellte Chipkarte CHIPK weist weiterhin einen Fehlerzähler FEHLZ im Speicher MEM auf. Der Fehlerzähler FEHLZ ist ein Datenfeld, das die Anzahl der Fehler, die Feh- lertypen und/oder weitere Details bzgl. auftretender Fehler speichert. Der Speicher MEM umfasst die Schlüsselinformation KEYl, die Befehlssequenzdefinition BSD und die Befehlssequenz BS, die sich dadurch auszeichnet, dass sie Befehl für Befehl an die Chipkarte CHIPK übertragen und abgearbeitet (nicht dargestellt) oder als komplette Sequenz in der Chipkarte
CHIPK gespeichert und dann schrittweise abgearbeitet werden kann. Ein freier Speicherbereich FREIMEM des Speichers MEM ist durch ein gestricheltes Rechteck dargestellt. Durch die teilweise Abarbeitung der Befehlssequenz BS (von Bl bis B4) erzeugte Applikationsdaten APPDATA, sind durch ein schraffiertes Rechteck innerhalb des Speichers MEM dargestellt. Die einzelnen Befehle Bl, B2, B3, B4, B5 der Befehlssequenz BS sind innerhalb dieser Befehlssequenz BS dargestellt, wobei durch drei Punkte angedeutet ist, dass die Befehlssequenz BS beliebige Anzahl an Befehlen enthalten kann. Auf entsprechende Weise sind die einzelnen Befehlssequenzdefinitionseinhei- ten Dl, D2, D3, D4, D5 innerhalb der Befehlssequenzdefinition BSD dargestellt. Die Chipkarte CHIPK umfasst weiterhin eine ergänzende Personalisierungsroutine EPERS, die auf die Be- fehlssequenz BS und die Befehlssequenzdefinition BSD lesend - durch einen gepunkteten Pfeil dargestellt - zugreift, und auf den Fehlerzähler FEHLZ sowie den zur Verfügung stehenden freien Speicher FREIMEM lesend und schreibend - dargestellt durch einen durchgehenden Pfeil - zugreift. Dabei ist das schrittweise Abarbeiten der Befehle Bl, B2, B3, B4, B5 und Befehlssequenzdefinitionseinheiten Dl, D2, D3, D4, D5 durch einen Doppelpfeil in Abarbeitungsrichtung veranschaulicht.
Im Rahmen der ergänzenden Personalisierung auszuführende Chipkartenbefehle Bl, B2, B3, B4, B5 können insbesondere Befehle mit Schreibrecht auf einen flüchtigen oder nichtflüch- tigen Speicher MEM der Chipkarte sein, sowie Befehle sein, die Sicherheitszertifikate oder Schlüsselpaare generieren.
Figur 5 veranschaulicht eine Befehlssequenzdefinition BSD, die Zustände und Zustandsübergänge im Sinne eines Zustandsau- tomaten vorgibt, wobei dessen Zustände Zl, Z2, Z3, Zn als
Kreise dargestellt sind und die Zustandsübergänge als Pfeile zwischen diesen Zuständen Zl, Z2, Z3, Zn Die Zustandsübergänge sind durch die Befehlssequenzdefinitionseinheiten Dl, D2, D3, D4, Dn, Dn+1 beschriftet, deren Abarbeitung die Zustands- Übergänge bewirken. Der Anfangszustand BZ definiert den
Startzustand des Zustandsautomaten; EZ definiert den Endzustand, der die erfolgreiche Abarbeitung der Befehlssequenz BS repräsentiert. Üblicherweise ist Anfangszustand BZ und Endzustand EZ identisch und entspricht einem neutralen Zustand der Chipkarte CHIPK, wenn keine ergänzende Personalisierung stattfindet.
Figur 1 veranschaulicht die Teilpersonalisierung der Chipkarte CHIPK im Personalisierungszentrum PZ. Im vorliegenden Aus- führungsbeispiel enthält die Chipkarte CHIPK die eindeutige, nicht veränderbare Chipkartennummer ID, durch die die Chipkarte CHIPK identifiziert werden kann. Das Teilpersonalisie- rungsmodul KEYGEN fordert diese Chipkartennummer ID vom Chip- kartenlese/schreibgerät CHIPLES an und übermittelt sie an Datenbank CHIPDB, damit in dieser ein Eintrag in die Tabelle TABKEY erzeugt wird. In der Tabelle TABKEY wird vorzugsweise für alle ausgelieferten Chipkarten jeweils ein Eintrag gespeichert.
Das Teilpersonalisierungsmodul KEYGEN erzeugt die, vorzugs- weise chipkartenindividuelle, Schlüsselinformationen KEYl und KEY2 bevorzugt nach dem RSA-Verfahren oder alternativ nach einem geeigneten Schlüsselableitungsverfahren. Je nach eingesetztem Verfahren können die Schlüsselinformationen KEYl und KEY2 übereinstimmen, so dass es nur eine gemeinsame Schlüs- selinformation gibt. Die Schlüsselinformation KEYl ist bei Verwendung des RSA-Verfahrens ein privater Schlüssel der Chipkarte CHIPK und Schlüsselinformation KEY2 ist ein dazugehöriger öffentlicher Schlüssel. Je nach eingesetztem Verfahren übermittelt das Teilpersonalisierungsmodul KEYGEN die Schlüsselinformation KEY2 zur Datenbank CHIPDB, damit sie in die Tabelle TABKEY zugeordnet zur Chipkartennummer ID abgespeichert wird. Das Teilpersonalisierungsmodul KEYGEN übermittelt die Schlüsselinformation KEYl an den das Chipkarten- lese/schreibgerät, das die erhaltene Schlüsselinformation KEYl in den nichtflüchtigen Speicher MEM der Chipkarte CHIPK schreibt. Dort bleibt die Schlüsselinformation KEYl dauerhaft gespeichert. Damit ist die Chipkarte CHIPK mit nur wenigen Schritten und geringem Aufwand teilpersonalisiert.
Zur Aktivierung einer Chipkartenanwendung und/oder Daten wird - vorzugsweise an einem anderen Personalisierungsort und zu einem späteren Zeitpunkt - auf die teilpersonalisierte Chipkarte CHIPK eine solche Anwendung und/oder solche Daten eingerichtet. Die dazu benötigten Verfahrensschritte sind sche- matisch in Figur 2 veranschaulicht:
Im Heimbereich HB des Anwenders steckt ein Anwender die an ihn übergebene Chipkarte CHIPK in ein Chipkartenlese/schreib- gerät CHIPLES2 und startet auf eine nicht näher beschriebene Weise die ergänzende Personalisierung. Daraufhin liest das
Kommunikationsmodul KOMl die Chipkartennummer ID und übermittelt diese, vorzugsweise verschlüsselt durch die Schlüsselin- formation KEYl und/oder einem öffentlichen Schlüssel des Per- sonalisierungszentrums PZ - in der Meldung REQ an das Kommunikationsmodul KOM2 im Personalisierungszentrum PZ um die Lieferung einer Befehlssequenz BS und Befehlssequenzdefiniti- on BSD anzufordern. Je nach Ausprägung der Chipkarte CHIPK kann es für verschiedene zu aktivierende Chipkartenanwendungen ebenfalls verschiedene Meldungen REQ geben, oder eine Meldung REQ mit einem Parameter, der angibt, welche Anwendung auf der Chipkarte zu aktivieren ist.
Das Kommunikationsmodul KOM2 extrahiert, evtl. nach vorheriger Entschlüsselung, die übermittelte Chipkartennummer ID aus der Meldung REQ und bestimmt aus der Meldung REQ weiterhin, welche Anwendung in einem späteren Schritt auf der Chipkarte CHIPK zu aktivieren ist. Das Kommunikationsmodul KOM2 kontaktiert die Datenbank CHIPDB und fragt die dort in der Tabelle TABKEY abgespeicherte Schlüsselinformation KEY2 ab. Darüber hinaus fordert das Kommunikationsmodul KOM2 vom Generiermodul BSGEN eine Befehlssequenz BS zum späteren Erzeugen der Chip- kartenanwendung und eine dazugehörige passende Befehlssequenzdefinition BSD an, wobei evtl. zu dessen Erzeugung die Schlüsselinformation KEY2 vom Kommunikationsmodul KOM2 bereitgestellt wird und durch das Generiermodul BSGEN verwendet wird. Die Befehlssequenzdefinition BSD wird dann unter Ver- Wendung der Schlüsselinformation KEY2 und der Befehlssequenz BS so erzeugt, dass sie auf der Chipkarte CHIPK dazu verwendet werden kann, die Ausführung der Befehlssequenz BS nach verschiedenen Kriterien zu überprüfen.
Je nachdem welche Chipkartenanwendung zu aktivieren ist, erzeugt oder liest das Generiermodul BSGEN die, die Anwendung einrichtende Befehlssequenz BS und die Befehlssequenzdefinition BSD, wobei vorzugsweise beide unter Verwendung der Schlüsselinformation KEY2 kartenindividuell verschlüsselt werden und somit nur auf derjenigen Chipkarte entschlüsselt werden können, die die passende Schlüsselinformation KEYl enthält. Weiterhin kann eine Befehlssequenz BS erzeugt wer- den, die bei Ausführung mehrere Anwendungen auf der Chipkarte CHIPK einrichten kann. Zusätzlich kann die ergänzende Perso- nalisierungsroutine EPERS ebenfalls vom Generiermodul BSGEN bereitgestellt und auf die Chipkarte übertragen werden (nicht dargestellt) . Dies ist vorteilhaft, wenn für unterschiedliche Befehlssequenzen unterschiedliche Personalisierungsroutinen zur Anwendung kommen.
Das Kommunikationsmodul KOM2 sendet die Befehlssequenz BS und die Befehlssequenzdefinition BSD und gegebenenfalls die ergänzende Personalisierungsroutine EPERS in einer, vorzugsweise mittels der Schlüsselinformation KEY2 verschlüsselten und/oder des öffentlichen Schlüssels des Personalisierungs- zentrums PZ verifizierbaren Datenmeldung DAT an das Kommuni- kationsmodul KOMl im Heimbereich HB des Anwenders. Die Befehlssequenz BS und die Befehlssequenzdefinition BSD wird auf die Chipkarte CHIPK übertragen, indem das Kommunikationsmodul KOMl diese unter Verwendung des Chipkartenlese/schreibgeräts CHIPLES2 in den Speicher MEM der Chipkarte CHIPK schreibt. Weiterhin veranlasst das Kommunikationsmodul KOMl ein Aufrufen der ergänzenden Personalisierungsroutine EPERS, um die Befehlssequenz BS im Rahmen der ergänzenden Personalisierung auszuführen.
In Figur 3 ist die Chipkarte CHIPK nach Aufspielen der Befehlssequenz BS und der Befehlssequenzdefinition BSD nach Aufruf der ergänzenden Personalisierungsroutine EPERS schematisch dargestellt. Falls die Befehlssequenz BS und die Befehlssequenzdefinition BSD verschlüsselt auf die Chipkarte gespielt wurden, sind diese durch die ergänzende Personalisierungsroutine EPERS zunächst unter Verwendung der Schlüsselinformation KEYl zu entschlüsseln.
Die Verwendung der Schlüsselinformation KEYl zur Entschlüsse- lung - vorzugsweise unter Verwendung von Standard-Mitteln - sichert somit die folgende Prüfung der Befehlssequenz BS mittels der Befehlssequenzdefinition BSD, da nur für die Ent- schlüsselung durch die Schlüsselinformation KEYl vorbereitete Befehlssequenzen BS entschlüsselt werden können. Somit wird implizit die Ausführung anderer Befehlssequenzen verhindert. Durch die Sicherung der gesamten Befehlssequenz BS werden implizit die jeweiligen Chipkartenbefehle Bl, B2, B3, B4, B5 der Befehlssequenz BS gesichert.
Ein in der ergänzenden Personalisierungsroutine EPERS enthaltener Zeiger zeigt auf den nächsten auszuführenden Befehl der Befehlssequenz BS. Dies ist zu Beginn der erste Befehl Bl der Befehlssequenz BS. Ein weiterer enthaltener Zeiger zeigt parallel dazu auf die erste auszuwertende Befehlssequenzdefini- tionseinheit Dl, die dem Befehl Bl zugeordnet ist, wobei im Anwendungsbeispiel angenommen sei, dass die Befehlssequenzde- finition BSD für die gesamte Befehlssequenz BS Informationsmuster umfasst und es zu jedem Befehl genau eine Befehlssequenzdefinitionseinheit gibt.
Ein dritter enthaltener Zeiger zeigt auf den, der zu instal- lierenden Anwendung zugewiesenen Speicherbereich im freien
Speicher FREIMEM. In einer alternativen Ausprägung der Erfindung kann dieser Speicherbereich bereits im Rahmen der Teil- personalisierung für die Anwendung reserviert werden.
Die Darstellung als Zeiger ist dabei nur zur Verdeutlichung eingeführt worden und kann in einer Implementierung einer Chipkarte CHIPK auch ohne Zeiger gelöst werden. Der Fehlerzähler FEHLZ ist entweder bereits auf der Chipkarte CHIPK vorhanden oder wird erst durch die ergänzenden Personalisie- rungsroutine EPERS im Speicher MEM erzeugt.
Die ergänzenden Personalisierungsroutine EPERS liest nun (nicht dargestellt) , den ersten Befehls Bl der Befehlssequenz BS und prüft mittels der zugehörigen Befehlssequenzdefiniti- onseinheit Dl, ob der auszuführende Befehl Bl dieser Befehlssequenzdefinitionseinheit Dl genügt. Damit kann sichergestellt werden, dass kein unzulässiger Befehl ausgeführt wird und dass keine Befehle in falscher Reihenfolge ausgeführt werden. Sofern der Befehl Bl der Befehlssequenzdefinitions- einheit Dl genügt, wird er durch die Chipkarte CHIPK ausgeführt und sofern es sich um einen Schreibbefehl auf den Spei- eher MEM handelt, wird ein Teil des freien Speichers FREIMEM mit Applikationsdaten APPDATA beschrieben. Damit reduziert sich der freie Speicher FREIMEM. Anschließend werden die Zeiger so weitergeschaltet, dass als nächster auszuführender Befehl der Befehl B2 und als nächste auszuwertende Befehlsse- quenzdefinitionseinheiten die Einheit D2 gesetzt ist.
Im Falle eines Fehlers werden die Zeiger nicht weitergeschaltet und der Fehlerzähler FEHLZ erhöht. Das weitere Verhalten nach einem Fehler kann unterschiedlich ausgeprägt sein; z.B. kann die Abarbeitung der Befehlssequenz BS abgebrochen werden oder es kann versucht werden, den Befehl ein weiteres mal auszuführen. Bei Abbruch der Befehlssequenz BS kann der Zeiger auf die Befehlssequenzdefinition BSD zurückgesetzt werden oder er kann an der bisherigen Stelle bleiben, um nach Über- tragen einer weiteren Befehlssequenz BS auf die Chipkarte CHIPK die Abarbeitung dort fortzusetzen.
Die ergänzende Personalisierungsroutine EPERS oder eine Betriebssystem-Routine der Chipkarte CHIPK kann den Fehlerzäh- ler FEHLZ überprüfen und bei Überschreiten eines vorgegebenen Schwellwerts eine Aktion auslösen, wie z.B. das Unbrauchbarmachen der Chipkarte CHIPK.
Figur 4 veranschaulicht schematisch die Chipkarte CHIPK nach erfolgreicher Abarbeitung von vier Befehlen Bl, B2, B3, B4 der Befehlssequenz BS. Analog wurden in der dargestellten Ausprägung der Erfindung nach Abarbeitung der vier Befehle auch vier Befehlssequenzdefinitionseinheiten Dl, D2, D3, D4 ausgewertet. Ein ursprünglich freier Speicherbereich wurde bei Ausführung der Befehle Bl, B2, B3, B4 für die Speicherung der Anwendungsdaten APPDATA verwendet. Nach Abarbeitung aller Befehle der Befehlssequenz BS, sind parallel alle Befehlsse- quenzdefinitionseinheiten der Befehlssequenzdefinition BSD erfolgreich ausgewertet worden und die gewünschte Anwendung in den Anwendungsdaten APPDATA angelegt worden. Somit ist die Chipkartenanwendung eingerichtet und die ergänzende Persona- lisierung kann beendet werden.
Die Befehlssequenz BS und Befehlssequenzdefinition BSD kann von der ergänzenden Personalisierungsroutine EPERS gelöscht werden. Weiterhin kann sich diese Routine beenden. Die Chip- karte CHIPK kann nach Beendigung der ergänzenden Personalisierung die nun auf ihr gespeicherte Anwendung verwenden.
Die Chipkarte CHIPK kann eine Meldung (nicht dargestellt) über die erfolgreiche Abarbeitung der Befehlssequenz BS an das Kommunikationsmodul KOMl senden, das diese Information dann an den Anwender auf dem Bildschirm eines Terminals anzeigen kann.
Weiterhin kann das Kommunikationsmodul KOMl eine entsprechende Meldung (nicht dargestellt) an das Personalisierungszent- rum PZ senden.
Figur 5 stellt schematisch eine, einen Zustandsautomaten vorgebende, Befehlssequenzdefinition BSD dar. Eine erfolgreiche Auswertung einer Befehlssequenzdefinitionseinheit Dl und so- mit eine erfolgreiche Abarbeitung eines Befehls Bl, lässt den Zustandsautomaten vom Anfangszustand BZ in den Zustand Zl wechseln. Dieser Zustand wird vom Automaten wiederum nur verlassen und zum einzig folgenden Zustand Z2 weitergeschaltet, wenn die Befehlssequenzdefinitionseinheit D2 erfolgreich aus- gewertet wurde und somit Befehl B2 abgearbeitet wurde. Da der in Figur 5 dargestellte Zustandsautomat keinerlei vorwärts- oder rückwärtsgerichtete Schleifen im Zustandsgraphen besitzt, gibt es nur eine Folge von Befehlssequenzdefinitionseinheiten, die den Zustandsautomaten komplett durchläuft und ihn in den Endzustand EZ bringt. Der Endzustand EZ ist dann wie der Anfangszustand BZ wieder ein Zustand, der üblicher- weise im Normalbetrieb der Chipkarte CHIPK, also außerhalb der ergänzenden Personalisierung, eingenommen wird.
Es kann somit garantiert werden, dass in einer Befehlssequenz BS entsprechend der Vorgabe der Befehlssequenzdefinition BSD alle Befehle der Befehlssequenz BS abgearbeitet werden, dass die Reihenfolge der Befehle der Befehlssequenzdefinition BSD genügen und dass keine in die Befehlssequenz BS später eingefügte Befehle, abgearbeitet werden.
Durch den Übergang aus dem Anfangszustand BZ kann gesteuert werden, dass dadurch weitergehende Zugriffsrechte, wie z.B. Schreibrecht auf bestimmte Speicherbereiche durch Setzen einer Zugriffsberechtigung, freigeschaltet werden und während der Ausführung der Befehlssequenz BS zur Verfügung stehen. Durch den Übergang zum Endzustand EZ kann diese Zugriffsberechtigung dann wieder zurückgenommen werden. Falls jeder Chipkartenbefehl vor seiner Abarbeitung auf von ihm benötigte Zugriffsberechtigungen geprüft wird, kann somit erreicht wer- den, dass während einer ergänzenden Personalisierung ausgeführte Chipkartenbefehle ausreichende Zugriffsrechte besitzen, und solche Chipkartenbefehle außerhalb der ergänzenden Personalisierung gesperrt werden.
Das vorliegende Ausführungsbeispiel umfasst eine Authorisie- rung beim Personalisierungszentrum PZ, eine gesicherte Übertragung der Befehlssequenz BS, eine Prüfung der Befehlssequenz BS durch die Befehlssequenzdefinition BSD, die einen schleifenfreien Zustandsautomaten vorgibt. Damit genügt es den üblicherweise hohen Sicherheitsforderungen für digitale
Signaturanwendungen. Durch individuelle Kombination der angegebenen Merkmale und durch individuelle Ausgestaltung dieser Merkmale, ermöglichen Ausgestaltungen dieser Erfindung nach den individuellen Sicherheitsvorgaben von Personalisierungs- Zentren eine exakte Umsetzung dieser Sicherheitsvorgaben.

Claims

Patentansprüche
1. Verfahren zur Personalisierung einer Chipkarte (CHIPK), bei dem a. im Rahmen einer Teilpersonalisierung eine Schlüsselinformation (KEYl) in einem Speicher (MEM) der Chipkarte (CHIPK) gespeichert wird, b. im Rahmen einer ergänzenden Personalisierung i. eine Befehlssequenzdefinition (BSD) auf die Chipkarte (CHIPK) übertragen wird, ii. eine, eine Chipkartenanwendung einrichtende Befehlssequenz (BS) mit durch die Chipkarte (CHIPK) auszuführenden Chipkartenbefehlen (B1,B2,B3,B4,B5) , auf die Chipkarte (CHIPK) ü- bertragen wird, iii. für einen jeweiligen Chipkartenbefehl
(Bl,B2,B3,B4,B5) eine die Schlüsselinformation (KEYl) verwendende und dadurch gesicherte Prüfung erfolgt, ob dieser Chipkartenbefehl (B1,B2,B3,B4,B5) der Befehlssequenzdefinition
(BSD) genügt, und iv. falls das zutrifft, der betreffende Chipkartenbefehl (B1,B2,B3,B4,B5) durch die Chipkarte (CHIPK) ausgeführt wird.
2 . Verfahren nach Anspruch 1 , dadu r ch ge ke nn z e i chn e t , dass zur Ausführung der Befehlssequenz (BS) eine Zugriffsberechtigung auf der Chipkarte gesetzt wird, und vor Ausführung eines jeweiligen Chipkartenbefehls
(Bl,B2,B3,B4,B5) ein Vorhandensein der Zugriffsberechtigung geprüft wird, bei positivem Prüfungsergebnis, der betreffende Chipkartenbefehl (B1,B2,B3,B4,B5) ausführt wird, und bei negativem Prüfungsergebnis der betreffende Chipkartenbefehl (B1,B2,B3,B4,B5) nicht ausgeführt wird.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schlüsselinformation (KEYl) chipkartenindividu- ell oder chipkartengruppenindividuell ist.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Rahmen einer ergänzenden Personalisierung eine die ergänzende Personalisierung durchführende ergänzende Personalisierungsroutine (EPERS) auf die Chipkarte (CHIPK) übertragen wird.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Befehlssequenzdefinition (BSD) Zustände
(BZ, Zl, Z2, Z3, Zn) und Zustandsübergänge eines Zustandsautomaten vorgibt, der von einem jeweiligen Zustand (BZ, Zl, Z2, Z3, Zn) in einen vorgegebenen, von vorher eingenommenen Zuständen verschiedenen Folgezustand wechselt, wobei einem jeweiligen Zustand (BZ, Zl, Z2, Z3, Zn) jeweils ein vorgegebener Chipkartenbefehl zugeordnet ist, der in diesem Zustand (BZ, Zl, Z2, Z3, Zn) zur Ausführung zugelassen ist.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Befehlssequenzdefinition (BSD) , die Befehlssequenz (BS) , die ergänzende Personalisierungsroutine (EPERS) , eine durch Abarbeitung der Befehlssequenz (BS) bis zu einem jeweiligen Chipkartenbefehl (Bl,B2,B3,B4,B5) teilweise eingerichtete Chipkartenanwendung (APPDATA) , die Zugriffsberechtigung, der Zustandsautomat und/oder ein jeweilig eingenommener Zustand (BZ, Zl, Z2, Z3, Zn,EZ) des Zustandsautomaten in einem vorzugsweise nichtflüchti- gen Speicher (MEM) der Chipkarte (CHIPK) gespeichert werden.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach einer vollständigen Abarbeitung der Befehlssequenz (BS) a. eine, die vollzogene ergänzende Personalisierung anzeigende Information auf der Chipkarte (CHIPK) gespeichert wird, b. die Zugriffsberechtigung gelöscht wird, und/oder c. die Befehlssequenzdefinition (BSD), die Befehlssequenz (BS) , die ergänzende Personalisierungsroutine (EPERS) , der Zustandsautomat und/oder ein Zustand des Zustandsautomaten auf der Chipkarte (CHIPK) gelöscht wird.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Chipkartenbefehl (Bl,B2,B3,B4,B5) einer Befehlssequenz (BS) eine Befehlssequenzdefinition (BSD) für eine weitere Befehlssequenz (BS) enthält.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach Ausführen eines letzten Chipkartenbefehls der Befehlssequenz eine Testroutine zur Überprüfung einer erfolgreichen Personalisierung aufgerufen wird und diese Testroutine bei Erkennen einer fehlerhaften Personalisierung eine, die fehlerhafte Personalisierung anzeigende Information auf die Chipkarte (CHIPK) speichert.
10.Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Rahmen der Teilpersonalisierung eine Routine ausgeführt wird, die einen Speicherbereich auf der Chipkarte (CHIPK) reserviert für die Aufnahme von im Rahmen der ergänzenden Personalisierung bei der Ausführung der Befehlssequenz (BS) erzeugte Daten (APPDATA) der Chipkartenanwendung.
11.Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bis zur vollständigen Abarbeitung der Befehlssequenz (BS) ein Aufrufen von nicht in der Befehlssequenz (BS) enthaltenen Chipkartebefehlen gesperrt ist.
PCT/EP2005/055911 2004-12-01 2005-11-11 Verfahren zur personalisierung von chipkarten Ceased WO2006058828A2 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US11/791,637 US8020773B2 (en) 2004-12-01 2005-11-11 Method for personalizing chip cards
EP05811146A EP1817752A2 (de) 2004-12-01 2005-11-11 Verfahren zur personalisierung von chipkarten
CN2005800413484A CN101069218B (zh) 2004-12-01 2005-11-11 个性化芯片卡的方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004058020A DE102004058020A1 (de) 2004-12-01 2004-12-01 Verfahren zur Personalisierung von Chipkarten
DE102004058020.0 2004-12-01

Publications (2)

Publication Number Publication Date
WO2006058828A2 true WO2006058828A2 (de) 2006-06-08
WO2006058828A3 WO2006058828A3 (de) 2006-08-24

Family

ID=35708858

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/055911 Ceased WO2006058828A2 (de) 2004-12-01 2005-11-11 Verfahren zur personalisierung von chipkarten

Country Status (5)

Country Link
US (1) US8020773B2 (de)
EP (1) EP1817752A2 (de)
CN (1) CN101069218B (de)
DE (1) DE102004058020A1 (de)
WO (1) WO2006058828A2 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1622098A1 (de) * 2004-07-30 2006-02-01 ST Incard S.r.l. Verfahren zur gesicherten Personalisierung einer IC-Karte
EP2200253A1 (de) 2008-12-19 2010-06-23 Gemalto SA Verfahren zur Verwaltung von sensiblen Daten in einem elektronischen Token
ES2599985T3 (es) * 2010-01-12 2017-02-06 Visa International Service Association Validación en cualquier momento para los tokens de verificación
DE102010019195A1 (de) * 2010-05-04 2011-11-10 Giesecke & Devrient Gmbh Verfahren zur Personalisierung eines tragbaren Datenträgers, insbesondere einer Chipkarte

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3927270C2 (de) 1989-08-18 1996-07-11 Deutsche Telekom Ag Verfahren zum Personalisieren von Chipkarten
US6335799B1 (en) * 1993-01-21 2002-01-01 Efunds Corporation Plastic card personalizer system
US5889941A (en) * 1996-04-15 1999-03-30 Ubiq Inc. System and apparatus for smart card personalization
DE19633466C2 (de) * 1996-08-20 2001-03-01 Ibm Nachinitialisierung von Chipkarten
US6202155B1 (en) * 1996-11-22 2001-03-13 Ubiq Incorporated Virtual card personalization system
DE19733662C2 (de) * 1997-08-04 2001-05-23 Deutsche Telekom Mobil Verfahren und Vorrichtung zur kundenseitigen Personalisierung von GSM-Chips
US6196459B1 (en) * 1998-05-11 2001-03-06 Ubiq Incorporated Smart card personalization in a multistation environment
DE19858343A1 (de) * 1998-12-17 2000-06-21 Giesecke & Devrient Gmbh Verfahren und Vorrichtung zum Herstellen von personalisierten Chipkarten
DE19922946A1 (de) * 1999-05-14 2000-11-23 Daimler Chrysler Ag Verfahren zum Einbringen von Authentikationsdaten auf eine Hardwareeinheit
DE19958599A1 (de) 1999-05-27 2000-11-30 Bosch Gmbh Robert Verfahren zur Verschlüsselung einer numerischen Information und Sendemodul
DE19947986A1 (de) * 1999-10-05 2001-04-12 Ibm System und Verfahren zum Herunterladen von Anwendungsteilen auf eine Chipkarte
DE19958559A1 (de) * 1999-12-04 2001-06-07 Orga Kartensysteme Gmbh Verfahren zur Initialisierung und/oder Personalisierung von Chipkarten sowie eine entsprechende Einrichtung
DE60039627D1 (de) * 1999-12-15 2008-09-04 Fargo Electronics Inc Vorrichtung zum personalizieren einer id karte mit web browser
DE10065749A1 (de) * 2000-12-29 2002-07-18 Infineon Technologies Ag Verfahren zur Bereitstellung eines personalisierten Datenträgers
DE10123664A1 (de) * 2001-05-15 2002-11-21 Giesecke & Devrient Gmbh Verfahren zur Schlüsselgenerierung für Signaturkarten
US6902107B2 (en) * 2002-01-28 2005-06-07 Datacard Corporation Card personalization system and method
DE10212875A1 (de) * 2002-03-22 2003-10-23 Beta Res Gmbh Verfahren zur Herstellung einer Chipkarte mit einem Schlüssel
DE10218795B4 (de) * 2002-04-22 2009-03-19 Deutscher Sparkassen Verlag Gmbh Verfahren zum Herstellen eines elektronischen Sicherheitsmoduls
DE10230447A1 (de) * 2002-07-06 2004-01-15 Deutsche Telekom Ag Verfahren und Vorrichtung zur Anbindung von Kartenterminals
US8239594B2 (en) * 2005-11-10 2012-08-07 Datacard Corporation Modular card issuance system and method of operation

Also Published As

Publication number Publication date
WO2006058828A3 (de) 2006-08-24
US20080116261A1 (en) 2008-05-22
DE102004058020A1 (de) 2006-06-08
CN101069218A (zh) 2007-11-07
CN101069218B (zh) 2011-07-27
US8020773B2 (en) 2011-09-20
EP1817752A2 (de) 2007-08-15

Similar Documents

Publication Publication Date Title
DE69322463T2 (de) Verfahren zur Kontenabrechnung mittels Chipkarten
EP3108610B1 (de) Verfarhen und system zum erstellen und zur gültigkeitsprüfung von gerätezertifikaten
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
DE10008973B4 (de) Autorisierungsverfahren mit Zertifikat
DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
EP1185026B2 (de) Verfahren zur Datenübertragung
WO2023011756A1 (de) Sicheres element, verfahren zum registrieren von token und tokenreferenzregister
WO2023011759A1 (de) Münzverwaltungseinheit sowie verfahren in einer münzverwaltungseinheit
DE102007011309A1 (de) Verfahren zur authentisierten Übermittlung eines personalisierten Datensatzes oder Programms an ein Hardware-Sicherheitsmodul, insbesondere einer Frankiermaschine
WO2024027869A1 (de) Sicheres element, verfahren zum registrieren von token und tokenreferenzregister
EP2673731B1 (de) Verfahren zur programmierung eines mobilendgeräte-chips
WO2022194658A1 (de) Verfahren zur autorisierung eines ersten teilnehmers in einem kommunikationsnetz, verarbeitungseinrichtung, kraftfahrzeug und infrastruktureinrichtung
DE19527715A1 (de) Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
EP1805720B1 (de) Verfahren zur sicheren datenübertragung
WO2024012624A1 (de) Verfahren zur sicheren generierung eines herausgebbaren tokens, verfahren zur sicheren vernichtung eines tokens und tokenherausgeber
EP4405879A1 (de) Münzverwaltungseinheit sowie verfahren in einer münzverwaltungseinheit
EP0696021B1 (de) Verfahren zur Bestimmung des aktuellen Geldbetrags in einem Datenträger und System zur Durchführung des Verfahrens
EP1817752A2 (de) Verfahren zur personalisierung von chipkarten
EP3125464B1 (de) Sperrdienst für ein durch einen id-token erzeugtes zertifikat
EP3271855B1 (de) Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken
CH716505B1 (de) System und Verfahren zum Bereitstellen von kryptographischer Asset-Transaktionen, Hardware-Genehmigungsterminal, Backend-Server und Computerprogrammprodukt.
DE69900566T2 (de) Verfahren zur Personalisierung einer IC-Karte
EP4040324A1 (de) Chip-initialisierung mit betriebssystemladen
EP3215977A1 (de) Verfahren zur änderung einer in einer chipkarte gespeicherten datenstruktur, signaturvorrichtung und elektronisches system
EP3248356B1 (de) Zertifikats-token zum bereitstellen eines digitalen zertifikats eines nutzers

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KN KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
REEP Request for entry into the european phase

Ref document number: 2005811146

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2005811146

Country of ref document: EP

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 11791637

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 200580041348.4

Country of ref document: CN

NENP Non-entry into the national phase

Ref country code: DE

WWP Wipo information: published in national office

Ref document number: 2005811146

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 11791637

Country of ref document: US