非接触データキャリア
本発明は、非接触データキャリアの意図的な使用を安全に確認するための装置および方法に関する。アンテナに基づくデータ送信チャンネルに加えて、送信されるデータに応じて、さらに光学的データ送信チャンネルが読取り装置とデータキャリアとの間で使用される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、非接触データキャリアの意図的な使用を安全に確認するための装置および方法に関するものである。
【背景技術】
【0002】
以下に使用される「非接触データキャリア」または「非接触カード」の概念は、マイクロチップおよびこれに接続されたアンテナを備え、適当な読取り装置とのデータ交換に適した全ての構成を意味する。これらは、支払い用カードに加えて、ビルトインされたマイクロチップのみでなくさらにRFIDラベルを備えたパスポートおよび身分証明カードのような、非接触的に読取り可能な証明文書を含む。
【0003】
現在、支払い用の非接触データキャリアは、例えば社員食堂または公共の交通機関における支払いのような限定された用途に専ら使用されている。その理由は、ドイツ国においては、セキュリティの観点から、例えばキャッシュカードのような支払い用途には非接触カードが未だ使用を許可されていないからである。これに関する決定的な要因は、第三者がカード保持者に気付かれずにキャッシュカードから現金を非接触的に引き出す危険性があるからである。例えば、群集の集まる場所(例えば、フェア会場、コンサート、地下鉄内、駅等)を通って移動される非接触カードのための可動端末を用いて、電子マネーが近くにある財布から気付かれずに抜き取られてしまうことが考えられる。接触型のカードでは、カード保持者がカードをカードリーダに挿入することによって支払いが行なわれるので、このような問題は生じない。
【0004】
支払いに用いられることに加えて、非接触カードは、例えばパスポートのような有価文書におけるデータキャリアとして同様に用いることができる。特に、パスポート文書に組み込まれる、例えば貼り付けられることが可能なビザとして非接触カードを用いることは好都合である。この目的のためには、例えばアンテナがチップ上に配置されたコイル・オン・チップ方式(CoC)が適している。しかしながら、例えばチップを備えたフィルムが配置され、かつこのフィルムにコイルが印刷されている従来の非接触構成も同様に用いることができる。
【0005】
非接触カードを有価文書に用いる場合、第三者による意図しない読取りを阻止しなければならないという問題が生じる。同様のことが、製品の証明に用いられる非接触トランスポンダの不法なかつ気付かれない読取りにも当てはまる。
【発明の開示】
【発明が解決しようとする課題】
【0006】
したがって、本発明の課題は、カード保持者による非接触データキャリアの意図的な使用を安全に確認するための装置および方法を提供することにある。
【課題を解決するための手段】
【0007】
上記課題は、独立請求項の特徴部分によって解決される。これら請求項に従属する請求項は、本発明の効果的な実施の形態およびそれらの展開である。
【0008】
光学的手段による付加的なデータ送信チャンネルを用いて、読取り装置と非接触カードとの間の認証を行なうのに適したデータが、読取り装置とデータキャリアとの間で交換される。データキャリアが例えばバッグないし財布内に入っていて、読取り装置から光学的に見える状態にないときには光情報を受け取ることは不可能なために、上記付加的なデータ送信チャンネルを介した認証は、非接触カードの意図しない作動を阻止する。
【0009】
本発明の第1の実施の形態によれば、データキャリアは、例えばマトリックスコードまたはバーコードのような光学的に読取り可能な情報を備えている。カードが読取り装置に提供されると、この情報は、例えばバーコード・スキャナのような光学的読取り装置を用いて読み取られ、かつ評価される。この光学的に読み取られた情報は、以後のトランザクションのための認証を与えるために、非接触データキャリアによって、それ自身と非接触読取り装置との間の認証の目的に使用可能である。
【0010】
この第1の実施の形態の拡張は、例えばLCDのようなディスプレー装置に対して、光学的に視ることができる情報を、チップを用いて出力することである。この結果、情報はランダムに発生したデータ構造を含み得るので、情報を単純にコピーすることはもはや不可能である。
【0011】
本発明のさらなる実施の形態によれば、非接触データキャリアは、例えば赤外線発光ダイオードまたは発光フィルムのような発光体を備えている。この発光体は、チップに対して電気的に接続されていることが可能か、あるいはチップの一部に一体化されていることが可能である。非接触読取り装置がデータキャリアとの間でのトランザクションの実行を意図した瞬間に、付加的なデータを光学的手段によってチップから読取り装置へ送るのに上記発光体が用いられる。これらのデータは、相互認証の一部とすることができ、かつ本発明により以後のトランザクションを開始するのに用いられる。光学的に送信されたデータの知識を読取り装置が備えていない場合には、データキャリアとのトランザクションは実行不能になる。
【0012】
支払いトランザクションのためにデータキャリアがバッグから取り出される瞬間に、周囲環境の変化がデータキャリア上で検知することができるのが好ましい。例えば、感光性受光素子(14)を用いれば、カードがバッグの内部にあるか外部にあるかを確認することができる。この感光性素子は、チップに対して電気的に接続されているか、あるいはチップと一体化されていることが可能である。この感光性素子がごく弱い光にさらされた瞬間に、チップと非接触読取り装置との間のトランザクションを可能にする開始信号が本発明により発生する。
【0013】
この実施の形態の利点は、特別な非接触端末を必要としないことであり、すでに存在しているインフラストラクチャー(例えば、社員食堂のような閉鎖システムですでに使用されている非接触端末)もそのまま使用することが可能なことである。
【0014】
このアイデアを発展させると、読取り装置自体が光信号を発生させることになる。チップを用いてトランザクションを開始させるために、例えば1kHz 信号で変調された光信号を提供すること、あるいは、光信号を用いてチップにデータを送ることが考えられ、このデータは、データキャリアと読取り装置との間の認証に用いられる。
【0015】
上述した実施の形態を組み合わせると、発光体と受光手段との双方をカード上に設けることになり、これらをチップに接続し、あるいはこれらの手段をチップの一部として提供する。この場合、非接触双方向データ送信に加えて、さらにカードと読取り装置との間の双方向光データ送信が実用化される。本発明によれば、異なる送信チャンネル間で切り替えがなされ、各送信チャンネルが、データ送信のために少なくとも一度は用いられることができるのが好ましい。
【0016】
この構成のさらなる利点は、光通信手段を働かすためのエネルギーが非接触送信チャンネル(例えば磁気的または容量的結合)から得られることである。さらに、可視光線による光通信に加えて、赤外線または紫外線またはそれらの組合せ(アップリンク対ダウンリンク)もこの分野で使用可能である。
【0017】
光通信と同様に、それに代わり、あるいはそれに加えて、例えばコード化された音響信号を送信する形態の音響情報も使用可能であり、この音響信号は、例えばカードに組み込まれた発音体〈例えば圧電ラウドスピーカ〉を用いて発生させることができる。
【0018】
さらに、カードに配置された発音体は、この瞬間に支払いトランザクションがカード上で行なわれたことをカード保持者に知らせる信号によって、各支払いトランザクションを確認するのに適している。本発明のこの実施の形態は、非接触可動端末を用いてカードから不法に現金を引き出すことは依然として可能であっても、このようなトランザクションは気付かれないことはない。
【0019】
発音体に代わり、あるいはそれに加えて、データキャリアが振動アラームを備えることが可能である。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照して本発明を詳細に説明する。
【0021】
図1は、非接触データキャリア1aを示し、この非接触データキャリア1aは、その上に配置されたアンテナ2と、このアンテナ2に電子的に接続されたチップ3とを備えている。データキャリアの一部には、光学的データ送信チャンネル5を通じて読取り装置1に送信されるのに適した、例えばバーコードまたはマトリックスコードのような光学的情報4が付されている。光学的データ送信チャンネル5は、アンテナ2に基づく非接触データ送信チャンネル15に付加的に設けられる。
【0022】
図2は、発光素子6が配置された非接触データキャリアを示す。LED,OLEDまたは赤外線発光ダイオード(R−LED)で構成される発光素子6は、矢印7で示されているように、チップ3に電子的に接続され、チップ3によって作動される。ここでは、光学的データ送信がデータ送信チャンネル8を通じて行なわれる。
【0023】
データキャリア1a上に受光素子9が配置されたさらなる実施の形態が図3に示されており、この受光素子9はチップ3に電子的に接続され、読取り装置1とデータキャリア1aとの間の双方向光学的データ送信を可能にしている。チップ3は、非接触データ送信15と光学的データ送信10との双方を制御するようになっている。二つの送信チャンネルは、交互に、または同時に作動可能である。さらに、双方の送信チャンネルは、同等に、または階級的(マスター・スレーブ)に動作可能である。
【0024】
図4では、光学素子14を備えた非接触データキャリアを示し、光学素子14は、チップ3に電子的に接続され、充分な入射光13により、アンテナに基づく非接触インターフェースを通じたデータ送信が開始される(矢印12に示されている)。
【0025】
データキャリア1a内に格納された秘密情報を解放する方法は、例えば下記のように実施される。図5に示されているように、チップ3の記憶装置21は、複数の記憶領域24または22を備えており、これらの一部は自由に読取り可能であるが、その内容の一部は適当なキーによって不法な読取りから保護されている。保護された記憶領域22は、例えばバイオメトリックデータ、PIN等のような秘密が守られるべき情報からなる少なくとも一つのデータ記録23を含む。自由に読取り可能な記憶領域24は、少なくとも一つのデータ記録25を含み、このデータ記録25は、明白に各データ記録23に割り当てられ、例えばCRC,ハッシュ,暗号チェック合計等のような圧縮された値を表す。秘密データ記録23の内容に関して、自由に読取り可能なデータ記録25の内容から結論を引き出すのは不可能である。
【0026】
本発明によりデータ記録23の一つを読み出すための1番目の手順ステップにおいては、データ記録23に割り当てられたデータ記録25は、アンテナに基づくデータ送信チャンネル15を通じて読み出され、データキャリア1aの、例えばバーコードまたはMRZ(機械で読取り可能な領域)のような光学的に読取り可能な情報20が読取り装置1を用いて読み出される。
【0027】
2番目の手順ステップにおいては、データ記録25および光学的に読取り可能な情報20から暗号キー26が取得される。この目的のために、例えばマスターキー等を用いたキー取得のような従来から周知のキー取得法を採用することができる。秘密のマスターキーから取得されたデータキャリアのそれぞれに関する暗号キーは、既にデータキャリアに格納されている。このマスターキーは、光学的に読み取られた情報20と非接触的に読み取られたデータ記録25とによって暗号キー26を取得するために読取り装置内に預けられている。
【0028】
3番目の手順ステップにおいては、取得された暗号キー26による読取り装置1とデータキャリア1aのチップ3との間の認証である。読取り装置1に知られているキーとデータキャリア1a内に格納されているキーとが一致するか否かがこの手段により認証される。従来からすでに知られている認証法は、チップカードの分野で広く使用されている「チャレンジ・レスポンス方式」によって作動する。読取り装置1は、「ゲット・チャレンジ」命令によってチップ3から乱数を受け取り、次にこの乱数およびキーから取得される「外部認証」命令のデータによってチップに対して自らを認証する。例えば相互認証に関しては、さらなる認証ステップおよびその他の認証方法を用いることが可能なことは明らかである。
【0029】
この3番目の手順ステップにおいて簡略化された方法においては、二つのデータ送信チャンネルを使用する読取り装置が、秘密キーの知識を同時には備えておらず、自らを認証するのみである。例えば2番目の手順ステップ26において、3番目のステップ27でキーとして用いられてはいるが、秘密でもマスターキーから取得されたものでもない値が取得される。
【0030】
随意的な最後の手順ステップにおいては、読み出されたデータ記録23から圧縮値が形成され、この圧縮値が自由に読取り可能なデータ記録25と比較される〈図5、照合28〉。もし二つの比較値が互いに異なっている場合には、データ記録23が不法に変更されたと推定される。認証が成功すると、データ記録23は読出し可能となる。
【0031】
図6に記載された方法は、認証が成功したときに、トランスポンダ内に格納されたデータの少なくとも一部に対してアクセスが可能になることを同様に示している。この方法も、「チャレンジ・レスポンス方式」によって働く。
【0032】
第1ステップ30においては、読取り装置1がデータキャリア1aからの乱数をアンテナに基づく送信チャンネル15を介して要求する。本発明の一実施の形態においては、データキャリア1aから生じた乱数は、光学的送信チャンネル5、例えば(赤外線/紫外線)LEDを介して読取り装置1に送信される(ステップ31「レスポンス」)。非接触データキャリア1a上のディスプレーにバーコード、ピクセルコード、MRZ(機械が読取り可能な領域)の形態で出力することもさらに可能である。送信チャンネルにおける、すなわち特に読取り装置におけるタイムアウトを避けるために、光学的手段によって送信される非接触データの内容とは異なるが、同時に、アンテナに基づく送信チャンネル15を介してレスポンスを送ることができる。一方では、有能な攻撃者が、アンテナに基づく送信チャンネル15で盗聴した内容に関して結論を引き出すのを不可能にし、他方では、読取り装置のソフトウエアを修正しなくてもよいように、個々のアプリケーション命令の特別な処理は必要とされない。例えば、コード「90 00」(命令が成功裡に実行された)を送るのが適している。
【0033】
同様に、乱数を、光学的データ送信チャンネルを介して要求し、かつアンテナに基づくデータ送信チャンネルを介して送信することも可能である。
【0034】
その場合、認証アルゴリズムは、一方的または相互認証法として知られている方法によって実行される(「外部認証32」)。認証プロセスが成功裡に完了した後、実際の通信33が開始され、データ記録23が読み出される。
【0035】
図6に記載された方法は、図5に記載された方法と組み合わせて、または独立的に用いることができる。
【0036】
上述の方法の利点は、二種類のデータ送信チャンネル、すなわち光学的チャンネル5とアンテナに基づくチャンネル15とを用いることによって、データの改竄または置換が極めて困難になることである。したがって、例えば個人データのような感知し得るデータの交換に特に適している。一方的な認証または相互認証は、二つのデータ送信チャンネルを組み合わせて使用することによって改善される。
【0037】
送信されるデータの性質によっては、一種類のみのデータ送信チャンネルを選択的に用いることも可能である。これに伴うセキュリティの低下は通常、処理速度の向上と結び付き、かつ例えば、ロジスティック、商品輸送、および商品の管理の分野でデータが必要とされ、或る場合には黙認される。もし感知し得るデータが同じデータキャリア1aを用いて処理されるとすると、読取り装置を用いて読み出すときに、二種類のデータ送信チャンネルを用いることはやむを得ないものと思われる。1チャンネル送信と2チャンネル送信との切替えはフラグ等がセットされた後に自動的に行なわれる。
【0038】
本発明による読取り装置1は、アンテナ2に基づく非接触読取り手段と光学的読取り手段との双方が組み込まれたインテリジェントな装置である。好ましい実施の形態においては、読取り装置1が、例えば自動車電話、PDA、ラップトップ等のような可動端末として形成され、かつNFC(短距離無線通信)のような非接触通信のためのインターフェースを備えている。光学的通信手段としては、IRDAインターフェースが使用可能な装置の大部分を提供する。光学的通信手段としてカメラを備えることができる。例えばデータキャリア1a上のチップ3のシリアルナンバーのような光学的に読取り可能なデータは、機械で読取り可能な形態(バーコード、OCRデータ)で表示されていることが好ましい。このような読取り装置1は、警官または国境警備隊による旅券のチェックに特に適しており、時には手持ちのオンライン接続を通じてさらなる情報を要求することができる。
【0039】
セキュリティ性を高めるために、データキャリア1aのチップ3がさらにシリアルナンバーとして役に立つ乱数を発生させ、かつこの番号をアンテナに基づくデータ送信チャンネルを介して読取り装置1に送信することが可能である。このような乱数の使用は、例えばISO 14443(Chapter 6.6.4,“UID contents and cascade level”)に記載されている。衝突防止(Anticollision)のアルゴリズムを実行するために必要な、データキャリア1aのシリアルナンバーは、通常のように、明白かつ間違いのない数によって形成されてはいないが、各トランザクションについて乱数によって更新される。この措置によって、シリアルナンバーからデータキャリアの身元を逆推論することは不可能になる。万一、一度盗聴されたデータキャリアと端末との間の通信を繰り返そうとする〈リプレイ〉攻撃は、特に効果のあるこの方法によって阻止される。
【0040】
同様に、光学的に読取り可能なデータは、例えばディスプレーの助けを借りて、流動的にデータキャリア上で変更することができる。この場合、ワンタイム・パスワード、ランダム・シリアルナンバー等を発生させかつ表示することもできる。さらに、流動的に生成されるデータとアンテナを基にして送信されるデータもしくは光学的に送信されるデータとの組合せも考えられる。
【0041】
本発明によれば、非接触データキャリアがアンテナとチップとを備えており、このデータキャリアは、光学的データ送信チャンネルを介したデータ送信手段と、アンテナに基づくデータ送信チャンネルを介したデータ送信手段とを有する。データキャリア上には、光学的データ送信チャンネルおよび/またはアンテナに基づくデータ送信チャンネルを介して読取り装置に送信可能なデータが配置されている。
【図面の簡単な説明】
【0042】
【図1】データキャリア上に光学的情報が付された本発明の一実施の形態を示す
【図2】データキャリア上に発光体が配置された本発明のさらなる実施の形態を示す
【図3】データキャリア上に受光手段が配置された本発明のさらなる実施の形態を示す
【図4】データキャリア上に感光素子が配置された本発明のさらなる実施の形態を示す
【図5】暗号キーを取得する方法の一実施の形態を示す
【図6】認証法の一実施の形態を示す
【符号の説明】
【0043】
1 読取り装置
1a データキャリア
2 アンテナ
3 チップ
4 光学的情報
5,8 光学的データ送信チャンネル
6 発光素子
9 受光素子
21 記憶装置
26 暗号キー
【技術分野】
【0001】
本発明は、非接触データキャリアの意図的な使用を安全に確認するための装置および方法に関するものである。
【背景技術】
【0002】
以下に使用される「非接触データキャリア」または「非接触カード」の概念は、マイクロチップおよびこれに接続されたアンテナを備え、適当な読取り装置とのデータ交換に適した全ての構成を意味する。これらは、支払い用カードに加えて、ビルトインされたマイクロチップのみでなくさらにRFIDラベルを備えたパスポートおよび身分証明カードのような、非接触的に読取り可能な証明文書を含む。
【0003】
現在、支払い用の非接触データキャリアは、例えば社員食堂または公共の交通機関における支払いのような限定された用途に専ら使用されている。その理由は、ドイツ国においては、セキュリティの観点から、例えばキャッシュカードのような支払い用途には非接触カードが未だ使用を許可されていないからである。これに関する決定的な要因は、第三者がカード保持者に気付かれずにキャッシュカードから現金を非接触的に引き出す危険性があるからである。例えば、群集の集まる場所(例えば、フェア会場、コンサート、地下鉄内、駅等)を通って移動される非接触カードのための可動端末を用いて、電子マネーが近くにある財布から気付かれずに抜き取られてしまうことが考えられる。接触型のカードでは、カード保持者がカードをカードリーダに挿入することによって支払いが行なわれるので、このような問題は生じない。
【0004】
支払いに用いられることに加えて、非接触カードは、例えばパスポートのような有価文書におけるデータキャリアとして同様に用いることができる。特に、パスポート文書に組み込まれる、例えば貼り付けられることが可能なビザとして非接触カードを用いることは好都合である。この目的のためには、例えばアンテナがチップ上に配置されたコイル・オン・チップ方式(CoC)が適している。しかしながら、例えばチップを備えたフィルムが配置され、かつこのフィルムにコイルが印刷されている従来の非接触構成も同様に用いることができる。
【0005】
非接触カードを有価文書に用いる場合、第三者による意図しない読取りを阻止しなければならないという問題が生じる。同様のことが、製品の証明に用いられる非接触トランスポンダの不法なかつ気付かれない読取りにも当てはまる。
【発明の開示】
【発明が解決しようとする課題】
【0006】
したがって、本発明の課題は、カード保持者による非接触データキャリアの意図的な使用を安全に確認するための装置および方法を提供することにある。
【課題を解決するための手段】
【0007】
上記課題は、独立請求項の特徴部分によって解決される。これら請求項に従属する請求項は、本発明の効果的な実施の形態およびそれらの展開である。
【0008】
光学的手段による付加的なデータ送信チャンネルを用いて、読取り装置と非接触カードとの間の認証を行なうのに適したデータが、読取り装置とデータキャリアとの間で交換される。データキャリアが例えばバッグないし財布内に入っていて、読取り装置から光学的に見える状態にないときには光情報を受け取ることは不可能なために、上記付加的なデータ送信チャンネルを介した認証は、非接触カードの意図しない作動を阻止する。
【0009】
本発明の第1の実施の形態によれば、データキャリアは、例えばマトリックスコードまたはバーコードのような光学的に読取り可能な情報を備えている。カードが読取り装置に提供されると、この情報は、例えばバーコード・スキャナのような光学的読取り装置を用いて読み取られ、かつ評価される。この光学的に読み取られた情報は、以後のトランザクションのための認証を与えるために、非接触データキャリアによって、それ自身と非接触読取り装置との間の認証の目的に使用可能である。
【0010】
この第1の実施の形態の拡張は、例えばLCDのようなディスプレー装置に対して、光学的に視ることができる情報を、チップを用いて出力することである。この結果、情報はランダムに発生したデータ構造を含み得るので、情報を単純にコピーすることはもはや不可能である。
【0011】
本発明のさらなる実施の形態によれば、非接触データキャリアは、例えば赤外線発光ダイオードまたは発光フィルムのような発光体を備えている。この発光体は、チップに対して電気的に接続されていることが可能か、あるいはチップの一部に一体化されていることが可能である。非接触読取り装置がデータキャリアとの間でのトランザクションの実行を意図した瞬間に、付加的なデータを光学的手段によってチップから読取り装置へ送るのに上記発光体が用いられる。これらのデータは、相互認証の一部とすることができ、かつ本発明により以後のトランザクションを開始するのに用いられる。光学的に送信されたデータの知識を読取り装置が備えていない場合には、データキャリアとのトランザクションは実行不能になる。
【0012】
支払いトランザクションのためにデータキャリアがバッグから取り出される瞬間に、周囲環境の変化がデータキャリア上で検知することができるのが好ましい。例えば、感光性受光素子(14)を用いれば、カードがバッグの内部にあるか外部にあるかを確認することができる。この感光性素子は、チップに対して電気的に接続されているか、あるいはチップと一体化されていることが可能である。この感光性素子がごく弱い光にさらされた瞬間に、チップと非接触読取り装置との間のトランザクションを可能にする開始信号が本発明により発生する。
【0013】
この実施の形態の利点は、特別な非接触端末を必要としないことであり、すでに存在しているインフラストラクチャー(例えば、社員食堂のような閉鎖システムですでに使用されている非接触端末)もそのまま使用することが可能なことである。
【0014】
このアイデアを発展させると、読取り装置自体が光信号を発生させることになる。チップを用いてトランザクションを開始させるために、例えば1kHz 信号で変調された光信号を提供すること、あるいは、光信号を用いてチップにデータを送ることが考えられ、このデータは、データキャリアと読取り装置との間の認証に用いられる。
【0015】
上述した実施の形態を組み合わせると、発光体と受光手段との双方をカード上に設けることになり、これらをチップに接続し、あるいはこれらの手段をチップの一部として提供する。この場合、非接触双方向データ送信に加えて、さらにカードと読取り装置との間の双方向光データ送信が実用化される。本発明によれば、異なる送信チャンネル間で切り替えがなされ、各送信チャンネルが、データ送信のために少なくとも一度は用いられることができるのが好ましい。
【0016】
この構成のさらなる利点は、光通信手段を働かすためのエネルギーが非接触送信チャンネル(例えば磁気的または容量的結合)から得られることである。さらに、可視光線による光通信に加えて、赤外線または紫外線またはそれらの組合せ(アップリンク対ダウンリンク)もこの分野で使用可能である。
【0017】
光通信と同様に、それに代わり、あるいはそれに加えて、例えばコード化された音響信号を送信する形態の音響情報も使用可能であり、この音響信号は、例えばカードに組み込まれた発音体〈例えば圧電ラウドスピーカ〉を用いて発生させることができる。
【0018】
さらに、カードに配置された発音体は、この瞬間に支払いトランザクションがカード上で行なわれたことをカード保持者に知らせる信号によって、各支払いトランザクションを確認するのに適している。本発明のこの実施の形態は、非接触可動端末を用いてカードから不法に現金を引き出すことは依然として可能であっても、このようなトランザクションは気付かれないことはない。
【0019】
発音体に代わり、あるいはそれに加えて、データキャリアが振動アラームを備えることが可能である。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照して本発明を詳細に説明する。
【0021】
図1は、非接触データキャリア1aを示し、この非接触データキャリア1aは、その上に配置されたアンテナ2と、このアンテナ2に電子的に接続されたチップ3とを備えている。データキャリアの一部には、光学的データ送信チャンネル5を通じて読取り装置1に送信されるのに適した、例えばバーコードまたはマトリックスコードのような光学的情報4が付されている。光学的データ送信チャンネル5は、アンテナ2に基づく非接触データ送信チャンネル15に付加的に設けられる。
【0022】
図2は、発光素子6が配置された非接触データキャリアを示す。LED,OLEDまたは赤外線発光ダイオード(R−LED)で構成される発光素子6は、矢印7で示されているように、チップ3に電子的に接続され、チップ3によって作動される。ここでは、光学的データ送信がデータ送信チャンネル8を通じて行なわれる。
【0023】
データキャリア1a上に受光素子9が配置されたさらなる実施の形態が図3に示されており、この受光素子9はチップ3に電子的に接続され、読取り装置1とデータキャリア1aとの間の双方向光学的データ送信を可能にしている。チップ3は、非接触データ送信15と光学的データ送信10との双方を制御するようになっている。二つの送信チャンネルは、交互に、または同時に作動可能である。さらに、双方の送信チャンネルは、同等に、または階級的(マスター・スレーブ)に動作可能である。
【0024】
図4では、光学素子14を備えた非接触データキャリアを示し、光学素子14は、チップ3に電子的に接続され、充分な入射光13により、アンテナに基づく非接触インターフェースを通じたデータ送信が開始される(矢印12に示されている)。
【0025】
データキャリア1a内に格納された秘密情報を解放する方法は、例えば下記のように実施される。図5に示されているように、チップ3の記憶装置21は、複数の記憶領域24または22を備えており、これらの一部は自由に読取り可能であるが、その内容の一部は適当なキーによって不法な読取りから保護されている。保護された記憶領域22は、例えばバイオメトリックデータ、PIN等のような秘密が守られるべき情報からなる少なくとも一つのデータ記録23を含む。自由に読取り可能な記憶領域24は、少なくとも一つのデータ記録25を含み、このデータ記録25は、明白に各データ記録23に割り当てられ、例えばCRC,ハッシュ,暗号チェック合計等のような圧縮された値を表す。秘密データ記録23の内容に関して、自由に読取り可能なデータ記録25の内容から結論を引き出すのは不可能である。
【0026】
本発明によりデータ記録23の一つを読み出すための1番目の手順ステップにおいては、データ記録23に割り当てられたデータ記録25は、アンテナに基づくデータ送信チャンネル15を通じて読み出され、データキャリア1aの、例えばバーコードまたはMRZ(機械で読取り可能な領域)のような光学的に読取り可能な情報20が読取り装置1を用いて読み出される。
【0027】
2番目の手順ステップにおいては、データ記録25および光学的に読取り可能な情報20から暗号キー26が取得される。この目的のために、例えばマスターキー等を用いたキー取得のような従来から周知のキー取得法を採用することができる。秘密のマスターキーから取得されたデータキャリアのそれぞれに関する暗号キーは、既にデータキャリアに格納されている。このマスターキーは、光学的に読み取られた情報20と非接触的に読み取られたデータ記録25とによって暗号キー26を取得するために読取り装置内に預けられている。
【0028】
3番目の手順ステップにおいては、取得された暗号キー26による読取り装置1とデータキャリア1aのチップ3との間の認証である。読取り装置1に知られているキーとデータキャリア1a内に格納されているキーとが一致するか否かがこの手段により認証される。従来からすでに知られている認証法は、チップカードの分野で広く使用されている「チャレンジ・レスポンス方式」によって作動する。読取り装置1は、「ゲット・チャレンジ」命令によってチップ3から乱数を受け取り、次にこの乱数およびキーから取得される「外部認証」命令のデータによってチップに対して自らを認証する。例えば相互認証に関しては、さらなる認証ステップおよびその他の認証方法を用いることが可能なことは明らかである。
【0029】
この3番目の手順ステップにおいて簡略化された方法においては、二つのデータ送信チャンネルを使用する読取り装置が、秘密キーの知識を同時には備えておらず、自らを認証するのみである。例えば2番目の手順ステップ26において、3番目のステップ27でキーとして用いられてはいるが、秘密でもマスターキーから取得されたものでもない値が取得される。
【0030】
随意的な最後の手順ステップにおいては、読み出されたデータ記録23から圧縮値が形成され、この圧縮値が自由に読取り可能なデータ記録25と比較される〈図5、照合28〉。もし二つの比較値が互いに異なっている場合には、データ記録23が不法に変更されたと推定される。認証が成功すると、データ記録23は読出し可能となる。
【0031】
図6に記載された方法は、認証が成功したときに、トランスポンダ内に格納されたデータの少なくとも一部に対してアクセスが可能になることを同様に示している。この方法も、「チャレンジ・レスポンス方式」によって働く。
【0032】
第1ステップ30においては、読取り装置1がデータキャリア1aからの乱数をアンテナに基づく送信チャンネル15を介して要求する。本発明の一実施の形態においては、データキャリア1aから生じた乱数は、光学的送信チャンネル5、例えば(赤外線/紫外線)LEDを介して読取り装置1に送信される(ステップ31「レスポンス」)。非接触データキャリア1a上のディスプレーにバーコード、ピクセルコード、MRZ(機械が読取り可能な領域)の形態で出力することもさらに可能である。送信チャンネルにおける、すなわち特に読取り装置におけるタイムアウトを避けるために、光学的手段によって送信される非接触データの内容とは異なるが、同時に、アンテナに基づく送信チャンネル15を介してレスポンスを送ることができる。一方では、有能な攻撃者が、アンテナに基づく送信チャンネル15で盗聴した内容に関して結論を引き出すのを不可能にし、他方では、読取り装置のソフトウエアを修正しなくてもよいように、個々のアプリケーション命令の特別な処理は必要とされない。例えば、コード「90 00」(命令が成功裡に実行された)を送るのが適している。
【0033】
同様に、乱数を、光学的データ送信チャンネルを介して要求し、かつアンテナに基づくデータ送信チャンネルを介して送信することも可能である。
【0034】
その場合、認証アルゴリズムは、一方的または相互認証法として知られている方法によって実行される(「外部認証32」)。認証プロセスが成功裡に完了した後、実際の通信33が開始され、データ記録23が読み出される。
【0035】
図6に記載された方法は、図5に記載された方法と組み合わせて、または独立的に用いることができる。
【0036】
上述の方法の利点は、二種類のデータ送信チャンネル、すなわち光学的チャンネル5とアンテナに基づくチャンネル15とを用いることによって、データの改竄または置換が極めて困難になることである。したがって、例えば個人データのような感知し得るデータの交換に特に適している。一方的な認証または相互認証は、二つのデータ送信チャンネルを組み合わせて使用することによって改善される。
【0037】
送信されるデータの性質によっては、一種類のみのデータ送信チャンネルを選択的に用いることも可能である。これに伴うセキュリティの低下は通常、処理速度の向上と結び付き、かつ例えば、ロジスティック、商品輸送、および商品の管理の分野でデータが必要とされ、或る場合には黙認される。もし感知し得るデータが同じデータキャリア1aを用いて処理されるとすると、読取り装置を用いて読み出すときに、二種類のデータ送信チャンネルを用いることはやむを得ないものと思われる。1チャンネル送信と2チャンネル送信との切替えはフラグ等がセットされた後に自動的に行なわれる。
【0038】
本発明による読取り装置1は、アンテナ2に基づく非接触読取り手段と光学的読取り手段との双方が組み込まれたインテリジェントな装置である。好ましい実施の形態においては、読取り装置1が、例えば自動車電話、PDA、ラップトップ等のような可動端末として形成され、かつNFC(短距離無線通信)のような非接触通信のためのインターフェースを備えている。光学的通信手段としては、IRDAインターフェースが使用可能な装置の大部分を提供する。光学的通信手段としてカメラを備えることができる。例えばデータキャリア1a上のチップ3のシリアルナンバーのような光学的に読取り可能なデータは、機械で読取り可能な形態(バーコード、OCRデータ)で表示されていることが好ましい。このような読取り装置1は、警官または国境警備隊による旅券のチェックに特に適しており、時には手持ちのオンライン接続を通じてさらなる情報を要求することができる。
【0039】
セキュリティ性を高めるために、データキャリア1aのチップ3がさらにシリアルナンバーとして役に立つ乱数を発生させ、かつこの番号をアンテナに基づくデータ送信チャンネルを介して読取り装置1に送信することが可能である。このような乱数の使用は、例えばISO 14443(Chapter 6.6.4,“UID contents and cascade level”)に記載されている。衝突防止(Anticollision)のアルゴリズムを実行するために必要な、データキャリア1aのシリアルナンバーは、通常のように、明白かつ間違いのない数によって形成されてはいないが、各トランザクションについて乱数によって更新される。この措置によって、シリアルナンバーからデータキャリアの身元を逆推論することは不可能になる。万一、一度盗聴されたデータキャリアと端末との間の通信を繰り返そうとする〈リプレイ〉攻撃は、特に効果のあるこの方法によって阻止される。
【0040】
同様に、光学的に読取り可能なデータは、例えばディスプレーの助けを借りて、流動的にデータキャリア上で変更することができる。この場合、ワンタイム・パスワード、ランダム・シリアルナンバー等を発生させかつ表示することもできる。さらに、流動的に生成されるデータとアンテナを基にして送信されるデータもしくは光学的に送信されるデータとの組合せも考えられる。
【0041】
本発明によれば、非接触データキャリアがアンテナとチップとを備えており、このデータキャリアは、光学的データ送信チャンネルを介したデータ送信手段と、アンテナに基づくデータ送信チャンネルを介したデータ送信手段とを有する。データキャリア上には、光学的データ送信チャンネルおよび/またはアンテナに基づくデータ送信チャンネルを介して読取り装置に送信可能なデータが配置されている。
【図面の簡単な説明】
【0042】
【図1】データキャリア上に光学的情報が付された本発明の一実施の形態を示す
【図2】データキャリア上に発光体が配置された本発明のさらなる実施の形態を示す
【図3】データキャリア上に受光手段が配置された本発明のさらなる実施の形態を示す
【図4】データキャリア上に感光素子が配置された本発明のさらなる実施の形態を示す
【図5】暗号キーを取得する方法の一実施の形態を示す
【図6】認証法の一実施の形態を示す
【符号の説明】
【0043】
1 読取り装置
1a データキャリア
2 アンテナ
3 チップ
4 光学的情報
5,8 光学的データ送信チャンネル
6 発光素子
9 受光素子
21 記憶装置
26 暗号キー
【特許請求の範囲】
【請求項1】
アンテナおよびチップを備えた非接触データキャリアであって、
該データキャリア上に、光学的データ送信チャンネルを介して読取り装置に送信可能なデータが配置され、かつアンテナに基づくデータ送信チャンネルを介して読取り装置に送信可能なデータが配置されてなることを特徴とするデータキャリア。
【請求項2】
前記チップが複数の記憶領域を備え、少なくとも一つの記憶領域は自由に読取り可能であり、かつ少なくとも一つの記憶領域は、データキャリアと読取り装置の認証の後にのみ読取り可能であることを特徴とする請求項1記載のデータキャリア。
【請求項3】
前記認証の後にのみ読取り可能な第2の記憶領域が、少なくとも一つの第1のデータ記録を備え、前記自由に読取り可能な記録領域が、前記第1のデータ記録に割り当てられかつ該第1のデータ記録から取得可能な少なくとも一つの第2のデータ記録を備えてなることを特徴とする請求項2記載のデータキャリア。
【請求項4】
前記記憶された複数のデータ記録が、暗号キーで暗号化されたデータ記録として記憶されてなることを特徴とする請求項2または3記載のデータキャリア。
【請求項5】
前記第2のデータ記録が前記第1のデータ記録の圧縮値を形成してなることを特徴とする請求項3または4記載のデータキャリア。
【請求項6】
前記データキャリア上に、明るさに応じて前記チップの関数を制御する感光素子が配置されてなることを特徴とする請求項1から5のいずれか1項記載のデータキャリア。
【請求項7】
前記データキャリア上に光学的に読取り可能な情報が付されてなることを特徴とする請求項1から6のいずれか1項記載のデータキャリア。
【請求項8】
前記データキャリア上にマトリックスコードが付されてなることを特徴とする請求項7記載のデータキャリア。
【請求項9】
前記データキャリア上にバーコードが付されてなることを特徴とする請求項7記載のデータキャリア。
【請求項10】
前記データキャリア上に、光学的データを表示するディスプレーが配置されてなることを特徴とする請求項1から9のいずれか1項記載のデータキャリア。
【請求項11】
前記データキャリア上に、光信号を送信する発光体が配置されてなることを特徴とする請求項1から10のいずれか1項記載のデータキャリア。
【請求項12】
前記データキャリア上に、光信号を受ける受信手段が配置されてなることを特徴とする請求項1から11のいずれか1項記載のデータキャリア。
【請求項13】
前記データキャリア上に発音体が配置されてなることを特徴とする請求項1から12のいずれか1項記載のデータキャリア。
【請求項14】
前記データキャリア上に振動検知素子が配置されてなることを特徴とする請求項1から13のいずれか1項記載のデータキャリア。
【請求項15】
認証が二つの送信チャンネルの使用を必要とすることを特徴とする請求項1から14のいずれか1項記載のデータキャリア。
【請求項16】
非接触データキャリアの意図的な使用を安全に確認する方法であって、
データキャリアと読取り装置との間で交換されるデータに応じて、アンテナに基づく非接触データ送信に加えて、前記データキャリア上に配置されたデータを用いた光学的データ送信の実行を可能にすることを特徴とする方法。
【請求項17】
前記データ送信が双方向に行なわれることを特徴とする請求項16記載の方法。
【請求項18】
前記光学的データ送信と前記アンテナに基づくデータ送信との間の任意の切替えが可能であることを特徴とする請求項16または17記載の方法。
【請求項19】
前記読取り装置と前記データキャリアとの間で少なくとも一方的な認証(27,32)が実行されることを特徴とする請求項16から18のいずれか1項記載の方法。
【請求項20】
前記認証が、前記光学的データ送信によって実行されることを特徴とする請求項19記載の方法。
【請求項21】
前記認証(27,32)が、前記二つのデータ送信チャンネルの使用を必要とする態様で実行されることを特徴とする請求項19または20記載の方法。
【請求項22】
前記光学的データ送信チャンネルおよび前記アンテナに基づくデータ送信チャンネルからなる二つのデータ送信チャンネルの一方を介して要求された乱数が、他方のデータ送信チャンネルを介して送信されることを特徴とする請求項16から21のいずれか1項記載の方法。
【請求項23】
1番目の手順ステップにおける第1の記録データ(23)の読出しのために、該第1の記録データに割り当てられた第2の記録データ(25)を前記読取り装置が読み出し、かつデータ(20)が前記データキャリア上に表示されることを特徴とする請求項16から22のいずれか1項記載の方法。
【請求項24】
2番目の手順ステップ(26)において前記読取り装置が、前記読み出されたデータおよび暗号キーから得られた値を形成し、
3番目の手順ステップにおいて、前記得られた値に基づいて読取り装置とデータキャリアとの間の認証(27)が実行され、
4番目の手順ステップにおいて、前記第1の記録データ(23)が前記読取り装置により読み出されることを特徴とする請求項23記載の方法。
【請求項25】
5番目の手順ステップにおいて、前記第1の記録データから圧縮値が形成され、さらなる手順ステップにおいて、前記形成された圧縮値と第2の記録データとの間で比較が行なわれることを特徴とする請求項23または24記載の方法。
【請求項26】
前記認証(27,32)がチャレンジ・レスポンス方式の態様で実行されることを特徴とする請求項19から25のいずれか1項記載の方法。
【請求項27】
光学的データを読み取る手段を備えてなることを特徴とする、非接触データキャリアを読み取るための読取り装置。
【請求項28】
光信号を送信する手段を備えてなることを特徴とする請求項27記載の読取り装置。
【請求項29】
前記光信号を変調する手段を備えてなることを特徴とする請求項28記載の読取り装置。
【請求項30】
赤外線インターフェースを備えてなることを特徴とする請求項28記載の読取り装置。
【請求項31】
可動端末として形成されてなることを特徴とする請求項27から30のいずれか1項記載の読取り装置。
【請求項32】
短距離無線通信のためのインターフェースを備えてなることを特徴とする請求項27から31のいずれか1項記載の読取り装置。
【請求項33】
請求項1から16のいずれか1項記載の非接触データキャリアを読み取るのに適した請求項27から32のいずれか1項記載の読取り装置。
【請求項1】
アンテナおよびチップを備えた非接触データキャリアであって、
該データキャリア上に、光学的データ送信チャンネルを介して読取り装置に送信可能なデータが配置され、かつアンテナに基づくデータ送信チャンネルを介して読取り装置に送信可能なデータが配置されてなることを特徴とするデータキャリア。
【請求項2】
前記チップが複数の記憶領域を備え、少なくとも一つの記憶領域は自由に読取り可能であり、かつ少なくとも一つの記憶領域は、データキャリアと読取り装置の認証の後にのみ読取り可能であることを特徴とする請求項1記載のデータキャリア。
【請求項3】
前記認証の後にのみ読取り可能な第2の記憶領域が、少なくとも一つの第1のデータ記録を備え、前記自由に読取り可能な記録領域が、前記第1のデータ記録に割り当てられかつ該第1のデータ記録から取得可能な少なくとも一つの第2のデータ記録を備えてなることを特徴とする請求項2記載のデータキャリア。
【請求項4】
前記記憶された複数のデータ記録が、暗号キーで暗号化されたデータ記録として記憶されてなることを特徴とする請求項2または3記載のデータキャリア。
【請求項5】
前記第2のデータ記録が前記第1のデータ記録の圧縮値を形成してなることを特徴とする請求項3または4記載のデータキャリア。
【請求項6】
前記データキャリア上に、明るさに応じて前記チップの関数を制御する感光素子が配置されてなることを特徴とする請求項1から5のいずれか1項記載のデータキャリア。
【請求項7】
前記データキャリア上に光学的に読取り可能な情報が付されてなることを特徴とする請求項1から6のいずれか1項記載のデータキャリア。
【請求項8】
前記データキャリア上にマトリックスコードが付されてなることを特徴とする請求項7記載のデータキャリア。
【請求項9】
前記データキャリア上にバーコードが付されてなることを特徴とする請求項7記載のデータキャリア。
【請求項10】
前記データキャリア上に、光学的データを表示するディスプレーが配置されてなることを特徴とする請求項1から9のいずれか1項記載のデータキャリア。
【請求項11】
前記データキャリア上に、光信号を送信する発光体が配置されてなることを特徴とする請求項1から10のいずれか1項記載のデータキャリア。
【請求項12】
前記データキャリア上に、光信号を受ける受信手段が配置されてなることを特徴とする請求項1から11のいずれか1項記載のデータキャリア。
【請求項13】
前記データキャリア上に発音体が配置されてなることを特徴とする請求項1から12のいずれか1項記載のデータキャリア。
【請求項14】
前記データキャリア上に振動検知素子が配置されてなることを特徴とする請求項1から13のいずれか1項記載のデータキャリア。
【請求項15】
認証が二つの送信チャンネルの使用を必要とすることを特徴とする請求項1から14のいずれか1項記載のデータキャリア。
【請求項16】
非接触データキャリアの意図的な使用を安全に確認する方法であって、
データキャリアと読取り装置との間で交換されるデータに応じて、アンテナに基づく非接触データ送信に加えて、前記データキャリア上に配置されたデータを用いた光学的データ送信の実行を可能にすることを特徴とする方法。
【請求項17】
前記データ送信が双方向に行なわれることを特徴とする請求項16記載の方法。
【請求項18】
前記光学的データ送信と前記アンテナに基づくデータ送信との間の任意の切替えが可能であることを特徴とする請求項16または17記載の方法。
【請求項19】
前記読取り装置と前記データキャリアとの間で少なくとも一方的な認証(27,32)が実行されることを特徴とする請求項16から18のいずれか1項記載の方法。
【請求項20】
前記認証が、前記光学的データ送信によって実行されることを特徴とする請求項19記載の方法。
【請求項21】
前記認証(27,32)が、前記二つのデータ送信チャンネルの使用を必要とする態様で実行されることを特徴とする請求項19または20記載の方法。
【請求項22】
前記光学的データ送信チャンネルおよび前記アンテナに基づくデータ送信チャンネルからなる二つのデータ送信チャンネルの一方を介して要求された乱数が、他方のデータ送信チャンネルを介して送信されることを特徴とする請求項16から21のいずれか1項記載の方法。
【請求項23】
1番目の手順ステップにおける第1の記録データ(23)の読出しのために、該第1の記録データに割り当てられた第2の記録データ(25)を前記読取り装置が読み出し、かつデータ(20)が前記データキャリア上に表示されることを特徴とする請求項16から22のいずれか1項記載の方法。
【請求項24】
2番目の手順ステップ(26)において前記読取り装置が、前記読み出されたデータおよび暗号キーから得られた値を形成し、
3番目の手順ステップにおいて、前記得られた値に基づいて読取り装置とデータキャリアとの間の認証(27)が実行され、
4番目の手順ステップにおいて、前記第1の記録データ(23)が前記読取り装置により読み出されることを特徴とする請求項23記載の方法。
【請求項25】
5番目の手順ステップにおいて、前記第1の記録データから圧縮値が形成され、さらなる手順ステップにおいて、前記形成された圧縮値と第2の記録データとの間で比較が行なわれることを特徴とする請求項23または24記載の方法。
【請求項26】
前記認証(27,32)がチャレンジ・レスポンス方式の態様で実行されることを特徴とする請求項19から25のいずれか1項記載の方法。
【請求項27】
光学的データを読み取る手段を備えてなることを特徴とする、非接触データキャリアを読み取るための読取り装置。
【請求項28】
光信号を送信する手段を備えてなることを特徴とする請求項27記載の読取り装置。
【請求項29】
前記光信号を変調する手段を備えてなることを特徴とする請求項28記載の読取り装置。
【請求項30】
赤外線インターフェースを備えてなることを特徴とする請求項28記載の読取り装置。
【請求項31】
可動端末として形成されてなることを特徴とする請求項27から30のいずれか1項記載の読取り装置。
【請求項32】
短距離無線通信のためのインターフェースを備えてなることを特徴とする請求項27から31のいずれか1項記載の読取り装置。
【請求項33】
請求項1から16のいずれか1項記載の非接触データキャリアを読み取るのに適した請求項27から32のいずれか1項記載の読取り装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2006−524851(P2006−524851A)
【公表日】平成18年11月2日(2006.11.2)
【国際特許分類】
【出願番号】特願2006−505104(P2006−505104)
【出願日】平成16年4月13日(2004.4.13)
【国際出願番号】PCT/EP2004/003880
【国際公開番号】WO2004/090800
【国際公開日】平成16年10月21日(2004.10.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
コイル オン チップ
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
【公表日】平成18年11月2日(2006.11.2)
【国際特許分類】
【出願日】平成16年4月13日(2004.4.13)
【国際出願番号】PCT/EP2004/003880
【国際公開番号】WO2004/090800
【国際公開日】平成16年10月21日(2004.10.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
コイル オン チップ
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
[ Back to top ]