Beschreibung

Anmeldeverfahren zwischen Teilnehmern eines Kommunikationssystems und Teilnehmer

Die Erfindung betrifft ein Anmeldeverfahren zwischen Teilnehmern eines drahtlos arbeitenden Kommunikationssystems, insbesondere eines nach dem Bluetooth-Standard arbeitenden Kommunikationssystems. Die Erfindung betrifft ferner einen ent- sprechenden Teilnehmer, insbesondere einen Bluetooth- Teilnehmer .

In der jüngeren Vergangenheit wurden vermehrt Anstrengungen unternommen, die Kommunikation zwischen Geräten mittels Funk- wellen über vergleichsweise kurze Distanzen zu Standardisieren. Ein Resultat dieser Bemühungen ist der unter dem Begriff "Bluetooth" bekannte und eingesetzte Standard. Obgleich prinzipiell bei beliebigen drahtlos arbeitenden Kommunikationssystemen anwendbar, wird die Erfindung sowie die ihr zugrunde liegende Problematik nachfolgend mit Bezug auf nach dem Bluetooth-Standard arbeitende Kommunikationssysteme sowie deren Teilnehmer erläutert, ohne jedoch die Erfindung dahingehend zu beschränken.

Der Bluetooth-Standard ist ein Kurzstrecken-Funk-Standard, der mit Trägerfrequenzen aus dem weltweit nicht lizenzierten Industrial, Scientific, Medical 2,4 GHz Band, kurz 2,4 GHz ISM-Band, arbeitet und auf den gültigen Funkvorschriften für Europa, Japan und Nordamerika basiert. Die für den Standard relevanten Informationen sind in der Spezifikation des Bluetooth-Systems unter der Internet-Adresse "www.bluetooth.com" erhältlich.

Ein wesentliches Merkmal des Bluetooth-Standards ist die Art und Weise der Datenübertragung zwischen dessen einzelnen Teilnehmern. Dabei können bis zu acht nach dem Bluetooth- Standard arbeitende Teilnehmer in einer - auch als Pico-Zelle bezeichneten - Funkzelle zu einem so genannten Pico-Netz zu-

sammengeschlossen werden und miteinander kommunizieren. Jeder Teilnehmer in einem Pico-Netz kann dieses Pico-Netz initialisieren. Ein Teilnehmer, welcher ein Pico-Netz initialisiert hat, kontrolliert die restlichen Teilnehmer des Pico-Netzes und synchronisiert deren Zeitgeber und wird daher auch als

"Master" bezeichnet, während die verbleibenden Teilnehmer des Pico-Netzes, die mit diesem Master in kommunikativer Verbindung stehen, als "Slaves" bezeichnet werden. Neben diesen bis zu acht Teilnehmern eines Pico-Netzes können eine praktisch beliebige Vielzahl weiterer Teilnehmer im Pico-Netz vorhanden sein, die nicht mit den acht Teilnehmern kommunizieren. Diese befinden sich in einem passiven, so genannten Parkmodus.

Für den Aufbau einer Kommunikationsverbindung muss sich ein jeweiliger Teilnehmer zunächst an dem Kommunikationssystem anmelden. Der Anmeldevorgang dient dem Zweck, zunächst eine zugelassen Verbindung aufzubauen und umfasst typischerweise eine Initialisierungsphase sowie eine sich daran anschließende so genannte Link-Key-Generation, bei der ein Schlüssel für die nachfolgende Datenkommunikation der drahtlosen Verbindung erzeugt wird. Dieser Anmeldevorgang wird im Bluetooth- Standard meist auch als "Pairing" bezeichnet. Für den Anmeldevorgang ist es erforderlich, dass eine eindeutige Anmeldung sichergestellt ist, um zu vermeiden, dass unberechtigte Teil- nehmer ebenfalls an der Datenkommunikation teilnehmen.

Der herkömmliche Anmelde- und Verbindungsprozess der Bluetooth-Teilnehmer ist relativ kompliziert. Im Rahmen eines Anmeldeversuches eines Bluetooth-Teilnehmers findet im Allge- meinen zunächst eine Abfrage einer vorgegebenen Kennung (PIN, Passwort, etc.) statt. Erst nach erfolgreicher Abfrage dieser Kennung wird dieser Bluetooth-Teilnehmer als berechtigter Teilnehmer (entrusted device) betrachtet, woraufhin er uneingeschränkt mit den übrigen Bluetooth-Teilnehmern des Pico- Netzes kommunizieren kann. Das Anmeldeverfahren hängt im Wesentlichen von den Eigenschaften der an der Datenkommunikation teilnehmenden Bluetooth-Teilnehmer ab.

Bei vielen Bluetooth-Kommunikationssystemen erfolgt das Anmeldeverfahren durch eine eigens dafür vorgesehene Eingabevorrichtung, beispielsweise durch eine Tastatur, über die eine jeweilige Identifikation durch einen Benutzer vorgenommen wird, die von einem gegenüberliegenden Bluetooth-Teilnehmer entsprechend auf ihre Gültigkeit hin überprüft wird. Ein entsprechendes Verfahren ist in der US 2004/0192206 Al beschrieben .

Bei modernen Bluetooth-Kommunikationssystemen kann das Anmeldeverfahren auch automatisch, also ohne unmittelbare Tastatureingabe, erfolgen.

Eine zunehmend wichtigere Anforderung besteht in der Sicher- heit des Anmeldeverfahrens, um zu vermeiden, dass sich - be- wusst oder unbewusst - unberechtigte Teilnehmer in dem Pico- Netz anmelden können. Aus diesem Grunde wird zur Sicherheit bei dem Anmeldeverfahren zunächst überprüft, ob es sich hier um einen berechtigten Teilnehmer handelt. Hierzu ist das Bluetooth-Anmeldeverfahren typischerweise in zwei Phasen aufgebaut, die Initialisierungsphase und die Phase zur Erzeugung eines Verbindungsschlüssels. Das Ziel bei der Initialisierungsphase besteht darin, einen Initialisierungsschlüssel zu erzeugen, welcher gewissermaßen ein gemeinsames Geheimnis (shared secret) der beiden Bluetooth-Teilnehmern bildet, welches also nur diese Teilnehmer kennen. Zur Erzeugung dieses Initialisierungsschlüssels existieren verschiedene Verfahren, die hier allerdings nicht näher ausgeführt werden sollen. Im Anschluss wird daraus der Verbindungsschlüssel, der so ge- nannte Link Key, erzeugt, der zwischen den Teilnehmern ausgetauscht und überprüft wird. Die Qualität des Verbindungsschlüssel hängt dabei im Wesentlichen von den an das Kommunikationssystem gestellten Sicherheitsanforderungen ab.

Abhängig von der Sicherheitsstrategie erfolgt der Austausch eines Passworts zwischen den Teilnehmern eines Bluetooth- Kommunikationssystems über einer Funkstrecke, wobei für das Passwort abhängig von der Sicherheitsstrategie eine mehr oder

weniger große Bitbreite eines digitalen Passwortes vorgesehen ist. Da der Austausch dieses Passwortes funkbasiert erfolgt, besteht hier die Gefahr, dass dieses Passwort bei einem Anmeldeverfahren von einem unberechtigten Teilnehmer abgehört und von diesem in der Folge für einen unberechtigten Anmeldevorgang genutzt wird. In diesem Falle könnte sich der unberechtigte Teilnehmer unerwünschter Weise Zugang zu dem Kommunikationssystem verschaffen, was es allerdings zu vermeiden gilt. Um dies zu vermeiden, existieren die verschiedensten Möglichkeiten, die Sicherheit bei einem Anmeldeverfahren zwischen Bluetooth-Teilnehmern zu gewährleisten.

Ein erstes Verfahren sieht vor, beispielsweise Einmal- Passwörter oder PINs zu verwenden, die also lediglich für ei- nen einzigen Anmeldevorgang gültig sind. Problematisch ist hier allerdings, dass bei einer Vielzahl von Teilnehmern eines Kommunikationssystems eine entsprechende Komplexität der Vergabe der verschiedenen Passwörter bereitgestellt werden müsste, was unter Umständen sehr aufwändig sein könnte. Dar- über hinaus ist diese Vorgehensweise auch speicheraufwändig und erfordert einen hohen Auswerteaufwand.

Eine weitere Möglichkeit ist in der US 2003/0050009 Al beschrieben. Die Sende-/Empfangseinrichtung wird hier während eines Anmeldevorganges mit einer gegenüber einem normalen Betrieb geringeren Sendeleistung versorgt, wodurch die gesendeten Signale auch eine geringere Reichweite aufweisen. Durch Reduzierung der Reichweite kann eine höhere Sicherheit gewährleistet werden, da bei dieser Form des Anmeldeverfahrens die jeweiligen Teilnehmer näher aneinander positioniert werden müssen, was insgesamt die Sicherheit vergrößert.

Vor diesem Hintergrund liegt der vorliegenden Erfindung die Aufgabe zugrunde, das Anmeldeverfahren bei drahtlos arbeiten- den Kommunikationssystemen und Teilnehmern und insbesondere bei Bluetooth-basierten Kommunikationssystemen und Teilnehmern weiter zu verbessern und vorzugsweise weiter zu vereinfachen .

Erfindungsgemäß wird zumindest eine dieser Aufgaben durch ein Anmeldeverfahren mit den Merkmalen des Patentanspruchs 1 und/oder durch einen Teilnehmer mit den Merkmalen des Patent- anspruches 16 gelöst.

Demgemäß ist vorgesehen:

Ein Anmeldeverfahren zwischen Teilnehmern eines drahtlos ar- beitenden Kommunikationssystems, bei dem für eine Schlüssel- etablierung im Anmeldebetrieb zwischen an einer nachfolgenden Datenkommunikation vorgesehenen Teilnehmern hochfrequente e- lektromagnetische Schlüsseletablierungssignale nach dem RFID- Standard ausgetauscht werden, welche eine gegenüber den Da- tensignalen der Datenkommunikation geringere Reichweite aufweisen. (Patentanspruch 1)

Einen Teilnehmer für ein Kommunikationssystem, mit einem Kommunikations-Modul für eine Datenkommunikati- on, welches zum Senden und Empfangen von Datensignalen, mit einer programmgesteuerten Einrichtung, die zumindest die Steuerung der Datenkommunikation und die Auswertung der empfangenen Datensignale vornimmt, mit einem RFID-Modul für einen Anmeldebetrieb, das zum Senden und Empfangen von RFID-

Schlüsseletablierungssignalen, welche eine gegenüber den Datensignalen geringere Reichweite aufweisen, ausgelegt ist. (Patentanspruch 16)

Vorzugsweise ist das drahtlos arbeitende Kommunikationssystem als ein nach dem Bluetooth-Standard arbeitendes Kommunikationssystem oder als ein WLAN-Kommunikationssystem ausgebildet. In diesem Falle ist der Teilnehmer als Bluetooth-Teilnehmer für ein nach dem Bluetooth-Standard arbeitendes Kommunikati- onssystem ausgebildet und das Kommunikations-Modul ist als Bluetooth-Modul für eine Datenkommunikation nach dem Bluetooth-Standard ausgelegt. Denkbar wären selbstverständlich auch andere drahtlose Kommunikationssysteme.

Die der vorliegenden Erfindung zugrunde liegende Idee besteht darin, den Anmeldevorgang bei einem beispielsweise auf dem Bluetooth-Standard basierenden Kommunikationsverfahren und - System, welches dort auch als Pairing bezeichnet wird, von der eigentlichen (Daten-) Kommunikation zu trennen. Insbesondere ist die Erkenntnis, dass dieser nachfolgend als Anmeldebetrieb bezeichnete Vorgang nicht notwendigerweise Bluetoothbasiert erfolgen und somit unter Verwendung eines entspre- chenden Bluetooth-Sende-/Empfangsmoduls durchgeführt werden muss. Die Idee besteht nun darin, im Anmeldebetrieb hochfrequente elektromagnetische Schlüsseletablierungssignale nach einem RFID-Standard zu erzeugen, die somit ausschließlich für die Schlüsseletablierung und somit für die Identifikation ei- nes berechtigten Teilnehmers erzeugt werden. Unter einem berechtigten Teilnehmer ist ein solcher zu verstehen, der für eine Datenkommunikation innerhalb des (Bluetooth-basierten) Kommunikationssystems vorgesehen ist.

Die vorliegende Erfindung zeichnet sich im Vergleich zu bekannten Lösungen durch eine schaltungstechnisch sehr einfache Implementierung aus. Hierzu sind lediglich in den für die Datenkommunikation vorgesehenen, berechtigten Teilnehmern jeweilige RFID-Module zu implementieren, die allerdings sehr einfach und insbesondere außerordentlich kostengünstig herstellbar sind.

Der besondere Vorteil bei Verwendung von RFID- Schlüsseletablierungssignalen für den Anmeldeprozess besteht darin, dass die RFID-Datenkommunikation - abhängig von deren jeweiligen Auslegung - typischerweise auf sehr geringe Reichweiten ausgelegt ist, wohingegen die eigentliche (Bluetooth- ) Datenkommunikation demgegenüber für sehr viel größere Reichweiten ausgelegt ist. Indem nun der Anmeldebetrieb unter Ver- wendung des RFID-Standards erfolgt, kann auf sehr einfache

Weise eine Reduzierung der Reichweite und dadurch eine signifikante Erhöhung der Sicherheit beim Anmeldevorgang realisiert werden. Da ein Teilnehmer zunächst für eine anschlie-

ßende (Bluetooth-) Datenkommunikation durch einen anderen Teilnehmer authentifiziert werden muss, ist es erforderlich, dass diese sehr eng aneinander angeordnet werden, damit überhaupt eine RFID-basierte Schlüsseletablierung vorgenommen werden kann. Durch die geringe Distanz bei der RFID-

Schlüsseletablierung im Vergleich zu der eigentlichen (Bluetooth-) Datenkommunikation ergibt sich eine signifikant höhere Abhörsicherheit aufgrund der physikalischen Nähe, die durch die RFID-Technologie bedingt ist. Im Falle eines potenziellen Abhörens müsste eine entsprechende Sende-/Empfangseinrichtung eines unberechtigten Teilnehmers in unmittelbare Nähe der beiden berechtigten Teilnehmer, die gerade einen Anmeldevorgang durchführen, gebracht werden, was für einen Nutzer nicht ohne Weiteres unbemerkt bleiben würde.

Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den weiteren Unteransprüchen sowie aus der Beschreibung in Zusammenschau mit der Zeichnung.

Ein bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht zumindest zwei Betriebsmodi vor: einen Anmeldebetrieb, bei dem zunächst eine Schlüsseletablierung der an einer Datenkommunikation teilnehmenden Teilnehmer durch Austauschen von RFID- Schlüsseletablierungssignalen durchgeführt wird, einen sich daran anschließenden Normalbetrieb, bei dem nach durchgeführter und erfolgreicher Schlüsseletablierung die Datenkommunikation zum Austausch von Datensignalen zwischen den Teilnehmern nach dem für die eigentliche Da- tenkommunikation vorgesehenen Standard, beispielsweise nach dem Bluetooth-Standard, erfolgt.

In einer besonders bevorzugten Ausgestaltung ist eine maximale Distanz zwischen den Teilnehmern für die Schlüsseletablie- rung im Anmeldebetrieb signifikant geringer ist als für die Datenkommunikation im Normalbetrieb. Signifikant bedeutet hier mindestens um den Faktor 10 und vorzugsweise um den Faktor 100 oder sogar 1000. Insbesondere ist zum Beispiel die

maximale Reichweite der Schlusseletablierung im Anmeldebetrieb kleiner als 1,5 Meter, insbesondere kleiner als 0,5 Meter und vorzugsweise kleiner als 10 cm. Demgegenüber ist die maximale Reichweite der eigentlichen Datenkommunikation, wie beispielsweise der der Bluetooth-Kommunikation, im Normalbetrieb großer als 2 Meter und insbesondere großer als 10 Meter. Diese maximale Reichweite der eigentlichen (Bluetooth- ) Kommunikation hangt im Wesentlichen von der Umgebung ab, das heißt die Reichweite ist umso großer, je weniger Gegenstande (Wände, Decken, etc.) sich innerhalb des Ubertragungspfades befinden .

Typischerweise, jedoch nicht notwendigerweise, umfasst eine Schlusseletablierung im Anmeldebetrieb eine Initialisierung sowie eine nachfolgende Link-Key-Erzeugung. Im Anschluss an die Schlusseletablierung im Rahmen des Authentifikations- betriebs wird vorzugsweise eine Authentifikation (oder Auswertung) der ausgetauschten RFID-Schlusseletablierungssignale vorgenommen .

Vorzugsweise wird die Auswertung, dass heißt die Authentifi- kation der ausgetauschten RFID-Schlusseletablierungssignale nach dem Bluetooth-Standard vorgenommen, dass heißt im RFID- Modul erfolgt dann lediglich die reine übertragung der Schlusseletablierungssignale, nicht aber deren Auswertung und Authentifikation . Diese Auswertung bzw. die Authentifikation erfolgt zum Beispiel in dem für die Datenkommunikation vorgesehenen Kommunikations- oder Bluetooth-Modul. Das RFID-Modul bzw. die RFID-Ubertragung wird somit lediglich für die reine Anmeldung (also für die übermittlung des Schlus- sels/Bluetooth-Passkeys) verwendet, wobei hier die mit der geringe Reichweite einhergehende zwingende Nahe der an der Anmeldung beteiligten Teilnehmer ausgenutzt wird. In dem RFID-Modul erfolgt somit keine Auswertung der übermittelten kryptologischen Daten, dass heißt hier in diesem Falle ist auch keine entsprechende kryptologische Auswerteeinrichtung vorgesehen. Zusatzlich oder alternativ wäre es allerdings

auch denkbar, dass die Auswertung bzw. die Authentifikation auch im RFID-Modul stattfindet.

Zur Erhöhung der Sicherheit ist es zweckmäßig, zu Beginn des Anmeldebetriebs zunächst ein Initialisierungsschlüssel zwischen den an der Anmeldung beteiligten Teilnehmern auszutauschen, auf dem die weitere Schlüsseletablierung basiert. Als Initialisierungsschlüssel im Anmeldebetrieb kann zum Beispiel ein Passwort und/oder eine PIN-Nummer übertragen werden. Zur Erzeugung des Initialisierungsschlüssels wird dafür zum Beispiel ein Schlüsseletablierungsprotokoll, insbesondere das Diffie Hellmann Protokoll, herangezogen. Zusätzlich oder alternativ kann auch vorgesehen sein, dass der Initialisierungsschlüssel mittels eines Random-Generators erzeugt wird.

In einer bevorzugten Ausgestaltung weisen die an einer Anmeldung beteiligten Teilnehmern jeweils ein gemeinsames Geheimnis auf, welches im Anmeldebetrieb zwischen diesen ausgetauscht wird.

Alternativ wäre natürlich auch denkbar und auch vorteilhaft, wenn für den Anmeldebetrieb keine Verschlüsselung vorgesehen ist. Da der Anmeldebetrieb durch eine sehr geringe Distanz der an der Anmeldung beteiligten Teilnehmer gekennzeichnet ist, sind häufig keine weitere Sicherheitsmaßnahmen erforderlich, was auch eine Reduzierung des für die Anmeldung erforderlichen Hardware- und Softwareaufwandes mit sich bringt.

Eine sehr bevorzugte Ausgestaltung sieht vor, dass der Anmel- debetrieb Teil des Protokolls der Datenkommunikation ist.

In einer besonders bevorzugten Ausgestaltung nimmt die programmgesteuerte Einrichtung zusätzlich auch die Steuerung des Anmeldebetriebs und/oder die Auswertung der empfangenen RFID- Schlüsseletablierungssignale vor. Damit kann auf eine eignes dafür vorgesehene Auswerteeinrichtung, beispielsweise innerhalb des RFID-Moduls, verzichtet werden.

Typischerweise ist die programmgesteuerte Einrichtung Bestandteil des Kommunikations-Moduls bzw. des Bluetooth- Moduls. Als programmgesteuerte Einrichtung kommt zum Beispiel ein Mikroprozessor, MikroController oder auch eine festver- drahtete Logikschaltung, beispielsweise ein FPGA oder ein PLD, in Betracht.

In einer typischen, jedoch nicht notwendigen Ausgestaltung weist das Kommunikations-Modul bzw. das Bluetooth-Modul eine mit einer ersten Sende-/Empfangsantenne verbundene erste Sen- de-/Empfangseinrichtung zum Senden und/oder Empfangen von Datensignalen, eine Codiereinrichtung zum Codieren der zu sendenden Datensignale, eine Decodiereinrichtung zum Decodieren der empfangenen Datensignale, eine Auswerteeinrichtung zum Auswerten der empfangenen Datensignale sowie einen Speicher zum Speichern von Programm-, Adress- und/oder empfangenen Daten auf.

In einer ebenfalls typischen, jedoch nicht notwendigen Aus- gestaltung weist das RFID-Modul eine mit einer zweiten Sende- /Empfangsantenne verbundene zweite Sende-/Empfangseinrichtung zum Senden und/oder Empfangen von RFID-Schlüssel- etablierungssignalen, eine Modulatoreinrichtung zum Modulieren der zu sendenden RFID-Schlüsseletablierungssignalen und eine Demodulatoreinrichtung zum Demodulieren der empfangenen RFID-SchlüsseIetablierungsSignale auf .

Eine besonders bevorzugte Ausgestaltung sieht vor, dass das RFID-Modul als Transponder (Tag) ausgebildet ist. Solche Transponder zur Verwendung als Authentifikation sind außerordentlich kostengünstig in der Herstellung. Zusätzlich oder alternativ kann ein RFID-Modul auch ein Lesegerät (Reader) aufweisen, welches mit einem Transponder eines anderen Teilnehmers zum Zwecke der Authentifikation in kommunikative Ver- bindung bringbar ist. Lesegeräte werden im Allgemeinen bei als Master vorgesehenen Teilnehmer implementiert, während Transponder vornehmlich bei als Slave vorgesehenen Teilnehmer implementiert sind. Da ein Teilnehmer unter Umständen sowohl

als Master als auch als Slave fungieren kann, ist es in diesem Fall auch vorteilhaft, wenn dieser Teilnehmer sowohl ein Lesegerät als auch einen Transponder in dessen RFID-Modul aufweist .

Eine besonders bevorzugte Ausgestaltung sieht einen Schlüs- seletablierungsgenerator vorzugsweise im RFID-Modul vor, der mit der zweiten Sende-/Empfangseinrichtung gekoppelt ist und der einen Initialisierungsschlüssel für die zu sendenden RFID-Schlüsseletablierungssignale erzeugt. Vorzugsweise ist ein Random-Schlüsselgenerator als Bestandteil des Schlüssel- etablierungsgenerators zur Erzeugung eines Zufallschlüssels vorgesehen. Für die Schlüsseletablierung kann beispielsweise ein Diffie-Hellmann-Schlüsseletablierung vorgesehen sein.

Eine besonders bevorzugte Ausgestaltung sieht vor, dass ein (Bluetooth-) Teilnehmer und vorzugsweise dessen (Bluetooth- ) Modul einen Speicher aufweist, in dem Informationen über die empfangenen Schlüsseletablierungssignale und somit über die von einem anderen Teilnehmer übermittelten Passwörter, PINs und dergleichen ablegbar sind. In dem Speicher sind somit Informationen über eine bereits aufgebaute Kommunikations- Verbindung mit jeweils anderen berechtigten Teilnehmern abgelegt. Wenn diese beiden berechtigten Teilnehmer zu einem spä- teren Zeitpunkt (nach Unterbrechung der entsprechenden Kommunikationsverbindung) wieder eine Kommunikationsverbindung zueinander aufbauen möchten, kann diese sehr viel schneller erfolgen, da die entsprechenden Informationen bereits in dem Speicher abgelegt sind und sehr einfach - ohne sie aufwändig entschlüsselt und erzeugt werden müssten - dort wieder abgerufen werden können.

Die Erfindung wird nachfolgend anhand der in den schematischen Figuren der Zeichnung angegebenen Ausführungsbeispiele näher erläutert. Es zeigen dabei:

Fig. 1 ein Blockschaltbild eines Bluetooth-basierten Kommunikationssystem mit zwei Teilnehmern zur Darstellung des erfindungsgemäßen Anmeldeverfahrens;

Fig. 2 ein Blockschaltbild für ein erstes Ausführungsbeispiel eines erfindungsgemäßen Bluetooth- Teilnehmers ;

Fig. 3 ein Blockschaltbild für ein zweites Ausführungsbei- spiel eines erfindungsgemäßen Bluetooth-

Teilnehmers ;

Fig. 4 ein Bluetooth-basiertes Kommunikationssystem mit einem als Master fungierenden Teilnehmer und mehre- ren als Slave fungierenden Teilnehmern.

In allen Figuren der Zeichnung sind gleiche und funktionsgleiche Elemente, Merkmale und Signale - sofern nichts Anderes angegeben ist - mit denselben Bezugszeichen versehen wor- den.

Fig. 1 zeigt ein Blockschaltbild eines Bluetooth-basierten Kommunikationssystems, welches hier mit Bezugszeichen 10 bezeichnet ist. Das Kommunikationssystem 10 weist zwei Blue- tooth-Teilnehmer 11, IIa auf. Im vorliegenden Ausführungsbeispiel in Fig. 1 sei angenommen, dass beide Teilnehmer 11, IIa einen im Wesentlichen gleichen schaltungstechnischen Aufbau aufweisen. Es sei ferner angenommen, dass diese Teilnehmer 11, IIa für eine Datenkommunikation innerhalb des Kommunika- tionssystems 10 berechtigt sind.

In Fig. 1 sei angenommen, dass der Teilnehmer 11 als Master fungiert und der Teilnehmer IIa als Slave fungiert. In entsprechender Weise weisen die Bezugszeichen aller Elemente des als Slave fungierenden Teilnehmers zusätzlich ein "a" auf.

Ein jeweiliger Bluetooth-Teilnehmer 11, IIa enthält ein Bluetooth-Modul 12, 12a, welches dazu ausgelegt ist, eine auf dem

Bluetooth-Standard basierende Datenkommunikation mit einem entsprechend anderem Teilnehmer 11, IIa durchzuführen. Hierzu weist ein Bluetooth-Modul 12, 12a jeweils eine Sende- /Empfangsantenne 13, 13a auf. Der Aufbau eines Bluetooth- Moduls 12 ist in einer Vielzahl unterschiedlicher Ausführungsformen und Varianten allgemein bekannt, so dass nachfolgenden hierauf nicht näher eingegangen werden muss. Lediglich beispielsweise wurde in Fig. 3 der ungefähre Aufbau eines Bluetooth-Moduls 12, 12a beschrieben.

Erfindungsgemäß weist ein jeweiliger Teilnehmer 11, IIa ferner ein RFID-Modul 14, 14a auf. Das RFID-Modul 14, 14a ist dazu ausgelegt, eine Kommunikation mit einem entsprechenden RFID-Modul 14, 14a eines anderen Teilnehmers 11, IIa aufzu- bauen und durchzuführen. Das RFID-Modul 14, 14a enthält ebenfalls eine Sende-/Empfangsantenne 15, 15a. Das RFID-Modul 14, 14a ist über eine Steuerleitung 16, 16a mit dem jeweiligen Bluetooth-Modul 12, 12a verbunden.

Zumindest eines der RFID-Module 14, 14a kann Bestandteil eines Transponders oder ein Transponder selbst sein. Ein solcher Transponder kann als aktiver, passiver oder semipassiver Transponder ausgebildet sein. Aktive Transponder weisen über eine eigene Energieversorgung auf, während passive Transpon- der ihre Energieversorgung ausschließlich über die vom Lesegerät ausgesendeten elektromagnetischen Signale XaI, Xa2 entnehmen. Umgekehrt kann auch in zumindest einem der RFID- Module 14, 14a ein Lesegerät angeordnet sein.

Die Schlüsseletablierungssignale XaI, Xa2 können von den jeweiligen RFID-Modulen 14, 14a aktiv erzeugt und ausgesendet werden. Darüber hinaus existiert auch die Möglichkeit, diese Signale XaI, Xa2 durch Rückstreuen der empfangenen, hochfrequenten Signale XaI, Xa2 unter Ausnutzung des Rückstreuquer- Schnitts der Sende-/Empfangsantenne 15, 15a zu erzeugen.

Die miteinander im Anmeldebetrieb miteinander kommunizierenden RFID-Module 14, 14a bilden insgesamt ein RFID-System.

Solche RFID-Systeme sind allgemein bekannt. Lediglich zum allgemeinen Hintergrund von RFID-Systemen und deren Funktionsweise im Allgemeinen und deren Schlüsseletablierung und Authentifikation im Speziellen sei auf das Buch von Klaus Finkenzeller, RFID-Handbuch, dritte aktualisierte und erweiterte Auflage, Hansa-Verlag, 2002, verwiesen.

Ein RFID-System besteht dabei immer aus zwei Komponenten, einem Transponder, der an dem zu identifizierenden Objekt ange- bracht ist, und einem Erfassungs- oder Lesegerät, dem so genannten Reader, das je nach Ausführung und eingesetzter Technologie als bloßes Lese- oder als Schreib-/Leseeinheit ausgebildet ist. Ein solches Lesegerät beinhaltet typischerweise ein Hochfrequenzmodul (Sender und Empfänger) , eine Steuerein- heit sowie ein Koppelelement zum Transponder. Daneben sind viele Lesegeräte mit einer zusätzlichen Schnittstelle, beispielsweise einer RS 232- oder RS 485-Schnittstelle, ausgestattet, um die empfangenen Daten an ein anderes System, im vorliegenden Ausführungsbeispiel an das jeweilige Bluetooth- Modul 12, 12a, weiterzuleiten.

Der Transponder bildet den eigentlichen Datenträger eines RFID-Systems und besteht üblicherweise aus einem Koppelelement sowie einem einfachen elektronischen Mikrochip. Außer- halb des Ansprechbereiches des Lesegerätes verhält sich der Transponder typischerweise vollkommen passiv, sodass der Ansprechbereich des Transponders die maximale Reichweite der Datenkommunikation des RFID-Systems und somit der beiden RFID-Module 14, 14a bestimmt. Erst innerhalb des Ansprechbe- reiches des Lesegerätes und somit innerhalb der maximalen Reichweite Al wird der Transponder aktiviert. Die maximale Reichweite Al hängt im Wesentlichen von der Positioniergenauigkeit des Transponders bezüglich des Lese- Schreibgerätes und der Geschwindigkeit des Transponders im Ansprechbereich des Lesegerätes ab.

Das RFID-System, bestehend aus den RFID-Modulen 14, 14a in Fig. 1, arbeitet typischerweise in einem Frequenzbereich von

etwa 100 KHz bis etwa 30 MHz mittels induktiver Kopplung. Das Bluetooth-System bestehend aus den Bluetooth-Modulen 12, 12a arbeitet demgegenüber bei einer Arbeitsfrequenz von 2,4 GHz, die durch den Bluetooth-Standard vorgegeben ist.

Nachfolgend sei das erfindungsgemäße Anmeldeverfahren anhand des Blockschaltbildes in Fig. 1 kurz erläutert:

Bevor die beiden Telnehmer 11, IIa aus Fig. 1 eine Datenkom- munikation zum Zwecke des Austauschens von Daten aufbauen können, muss sich zunächst einer dieser Teilnehmer 11, IIa, beispielsweise der als Slave fungierende Teilnehmer IIa, bei dem jeweils anderen, als Master fungierenden Teilnehmer 11 anmelden. Dieser Vorgang wird nachfolgend als Anmeldebetrieb oder als Pairing bezeichnet. Im Anmeldebetrieb werden die beiden Teilnehmer 11, IIa in einen maximalen Abstand Al zueinander gebracht. Dieser maximale Abstand Al bezeichnet die maximale Reichweite für eine RFID-Kommunikation . Sind die beiden Teilnehmer 11, IIa in einem Abstand zueinander ange- ordnet, der geringer ist als der maximale Abstand Al, dann kann sich der Teilnehmer IIa bei dem anderen Teilnehmer 11 anmelden .

Hierzu sendet das RFID-Modul 14a des Teilnehmers IIa Schlüs- seletablierungssignale XaI an das jeweilige RFID-Modul 14 des anderen Teilnehmers 11. Der andere Teilnehmer 11 wertet diese Schlüsseletablierungssignale XaI aus und sendet seinerseits entsprechende Schlüsseletablierungssignale Xa2 an das RFID- Modul 14a des Teilnehmers IIa zurück. Dort werden diese Schlüsseletablierungssignale Xa2 ebenfalls ausgewertet. Ergibt die Authentifikation in beiden RFID-Modulen 14, 14a, dass es sich jeweils um berechtigte Teilnehmer 11, IIa handelt, dann sind diese Teilnehmer 11, IIa für eine anschließende Datenkommunikation freigegeben. Die jeweiligen RFID- Module 14, 14a signalisieren dies dem Bluetooth-Modul 12, 12a über jeweilige Steuersignale XS, XSa. Die Bluetooth-Module 12, 12a können nun eine datenkommunikative Verbindung mit dem

jeweiligen Bluetooth-Modul 12a des soeben authentifizierten Teilnehmers IIa durchführen.

Für diese Datenkommunikation, der nachfolgend auch als Normalbetrieb bezeichnet wird, können die beiden Teilnehmer 11, IIa in einen größeren Abstand A2 gebracht werden. Der Abstand A2 definiert die maximale Reichweite zwischen den beiden Teilnehmern 11, IIa, innerhalb der eine Bluetooth-Datenkommunikation noch zuverlässig und erfolgreich durchgeführt werden kann. Typischerweise ist diese maximale Reichweite A2 signifikant größer als die maximale Reichweite Al für die RFID-basierte Schlüsseletablierung.

Sowohl die Schlüsseletablierung über einen Schlüsseletablie- rungspfad 17 wie auch die Datenkommunikation über einen Datenkommunikationspfad 18 können unidirektional, das heißt von einem Teilnehmer 11, IIa lediglich zu dem gegenüberliegenden anderen Teilnehmer 11. IIa, oder auch bidirektional, das heißt von jeweils einem Teilnehmer 11, IIa zu dem anderen und wieder zurück, erfolgen. Denkbar ist für beide Betriebsmodi auch ein Multiplexverfahren .

Zur Erhöhung der Sicherheit erfolgt im Anmeldebetrieb eine gegenseitige Authentifizierung zwischen Lesegerät und Transponder dadurch, dass beide zugehörige Teilnehmer 11, IIa gegenseitig die Kenntnis eines beiden Teilnehmern 11, IIa bekannten, so genannten geteilten Geheimnisses überprüfen. Ein solches geteiltes Geheimnis wird typischerweise in Form eines geheimen kryptographischen Schlüssels in die jeweiligen RFID- Modulen 14, 14a implementiert. Die Auswertung dieser Schlüs- seletablierungssignale XaI, Xa2 und somit der in diesen Signalen XaI, Xa2 enthaltenen Authentifizierungsinformationen kann entweder im RFID-Modul 14, 14a selbst und somit innerhalb des Lesegerätes bzw. des Transponders erfolgen oder auch in dem eigentlichen Bluetooth-Modul 12, 12a. Für die Authentifizierung sind dabei verschiedene, mehr oder weniger komplexe Schlüsseletablierungsprotokolle vorhanden, die hier allerdings nicht näher beschrieben werden sollen. Diese sind

insbesondere im Zusammenhang mit der RFID-Technologie beispielsweise aus dem oben genannten Buch von Klaus Finkenzel- ler allgemein bekannt und bedürfen daher nachfolgend keiner näheren Erläuterung.

Fig. 2 zeigt einen Bluetooth-Teilnehmer 11, wie er in einem Kommunikationssystem 10 aus Fig. 1 verwendbar ist. In Fig. 2 enthält das RFID-Modul 14 eine Sende-/Empfangseinrichtung 20 sowie eine Auswerteeinrichtung 21. Die Sende-/Empfangsein- richtung 20 ist einerseits mit der Sende-/Empfangsantenne 15 und andererseits mit der Auswerteeinrichtung 21 verbunden. In Fig. 2 ist im Empfangspfad 22 ferner eine Dekodiereinrichtung 24 vorgesehen, die dem Dekodieren der empfangenen Schlüssel- etablierungssignale XaI' dient. Ferner ist im Sendepfad 23 eine Kodiereinrichtung 25 zur Kodierung der zu sendenden Schlüsseletablierungssignale Xa2 ' vorgesehen.

Im Falle einer positiven Authentifikation, also für den Fall, dass ein empfangenes Schlüsseletablierungssignal XaI einem berechtigten Teilnehmer zugeordnet wird, dann erzeugt die Auswerteeinrichtung 21 ein Steuersignal Xs, welches an das Bluetooth-Modul 12 weitergeleitet wird. Dieses Steuersignal Xs zeigt dem Bluetooth-Modul 12 an, dass die eigentliche Datenkommunikation mit dem soeben authentifizierten, berechtig- ten Teilnehmer begonnen werden kann.

Fig. 3 zeigt ein zweites Ausführungsbeispiel eines erfindungsgemäßen Bluetooth-Teilnehmers 11. Im Unterschied zu dem Ausführungsbeispiel in Fig. 2 umfasst das RFID-Modul 14 hier lediglich die Sende-/Empfangseinrichtung 20. Diese Sende-

/Empfangseinrichtung 20 ist dazu ausgelegt, elektromagnetische Schlüsseletablierungssignale XaI aufzunehmen und entsprechende Schlüsseletablierungssignale Xa2 über die Sende- /Empfangsantenne 15 auszusenden. Die Steuerung des Anmeldebe- triebs sowie die Auswertung der empfangenen Schlüsseletablierungssignale XaI ' erfolgt hier in dem eigentlichen Bluetooth- Modul 12.

Das Bluetooth-Modul 12 weist neben einer Sende-/Empfangsein- richtung 30 zu diesem Zwecke eine programmgesteuerte Einrichtung 31 auf, die mit der Sende-/Empfangseinrichtung 30 gekoppelt ist. Ferner kann in dem Bluetooth-Modul 12 ein Speicher 32 vorgesehen sein, beispielsweise ein Programmspeicher, Datenspeicher und/oder Adressspeicher, der mit der programmgesteuerten Einrichtung 31 verbunden ist. Die programmgesteuerte Einrichtung 31 ist dazu ausgelegt, die eigentliche Datenkommunikation mit anderen Bluetooth-Teilnehmern zu steuern und die bei dieser Datenkommunikation ausgetauschten Schlüs- seletablierungssignale XaI, Xa2 auszuwerten. Hierzu weist das Bluetooth-Modul 12 eine Kodier-/Dekodiereinrichtung 33 auf, die zwischen der Sende-/Empfangseinrichtung 30 und der programmgesteuerten Einrichtung 31 angeordnet ist. In der Ko- dier-/Dekodiereinrichtung 33 erfolgt das Kodieren der zu übertragenden Datensignale Xs2 bzw. das Dekodieren der empfangenen Datensignale Xsl.

Die programmgesteuerte Einrichtung 31 ist hier zusätzlich da- zu ausgelegt, die Schlüsseletablierung und damit den Anmeldebetrieb zu steuern. Hierzu ist die Sende-/Empfangseinrichtung 20 über eine Dekodiereinrichtung 34 mit der programmgesteuerten Einrichtung 31 verbunden. Die programmgesteuerte Einrichtung 31 ist somit dazu ausgelegt, zusätzlich die empfangenen und dekodierten Schlüsseletablierungssignale XaI' auszuwerten. Das Bluetooth-Modul 12 enthält ferner eine Kodiereinrichtung 35, welche der programmgesteuerten Einrichtung 31 nachgeschaltet ist und über welche von der programmgesteuerten Einrichtung 31 erzeugte Schlüsseletablierungssignale Xa2 ' kodiert werden.

Statt der Verwendung einer programmgesteuerten Einrichtung 31 und eines Kodierers 35 kann zur Erzeugung der Schlüsseletablierungssignale Xa2 auch ein Zufallsgenerator 36 vorgesehen sein, der gesteuert über die programmgesteuerte Einrichtung

31 ausgangsseitig Zufallssignale Xa2 ' erzeugt, welche zur Erzeugung des zu sendenden Schlüsseletablierungssignals Xa2 herangezogen werden.

Fig. 4 zeigt anhand eines Blockschaltbildes eine bevorzugte Anwendung des erfindungsgemäßen Anmeldeverfahrens in einem Bluetooth-basierten Kommunikationssystem. Das Bluetooth- basierte Kommunikationssystem kann beispielsweise in Ergänzung oder anstatt eines DECT-Systems (DECT = Digital Enhanced Cordless Telecommunications) vorgesehen sein. Der Bluetooth- wie auch der DECT-Standard bezeichnen eine so genannte pico- zellulare Telephonie, welche innerhalb von Gebäuden verwendet werden können, wobei innerhalb des Gebäudes eine Reichweite bzw. ein Zellradius von etwa 25 - 50 Metern und außerhalb davon von über 100 Metern erreicht werden können.

Das Bluetooth-Kommunikationssystem 10 in Fig. 4 enthält eine Basisstation 40 sowie drei mobile Telefon-Endgeräte 41. Die Basisstation 40 fungiert als Master, während die Telefon- Endgeräte 41 als Slave fungieren. Die Basisstation 40 entspricht somit dem Teilnehmer 11 in Fig. 1, während die Telefon-Endgeräte 41 dem Teilnehmer IIa entsprechen. Möchte sich ein zusätzliches Telefon-Endgerät 42 an der Datenkommunikation beteiligen, dann muss es sich zunächst mittels eines erfindungsgemäßen Anmeldeverfahrens, wie dies anhand von Fig. 1 beschrieben wurde, bei der als Master fungierenden Basisstation 40 anmelden. Hierzu muss das Telefon-Endgerät 42 inner- halb eines Abstands Al zu dieser Basisstation gebracht werden, sodass mittels RFID-Technologie der erfindungsgemäße Anmeldevorgang stattfinden kann. Nach erfolgreichem Anmelden, bei dem der zusätzliche Teilnehmer 42 als berechtigter Teilnehmer authentifiziert wurde, kann auch mit diesem Teilnehmer 42 eine Datenkommunikationsverbindung zu der Basisstation 40 und somit zu den übrigen Teilnehmern 41 aufgebaut werden.

Obgleich die vorliegende Erfindung vorstehend anhand bevorzugter Ausführungsbeispiele beschrieben wurde, sei sie nicht darauf beschränkt, sondern lässt sich auf mannigfaltige Art und Weise modifizieren.

So ist die Erfindung nicht notwendigerweise für ein DECT- basiertes Kommunikationssystem, wie es in Fig. 4 beschrieben wurde, beschränkt, sondern lässt sich auf beliebige, Blue- tooth-basierte Kommunikationssysteme erweitern. Auch ist die Erfindung nicht notwendigerweise auf den exakten Aufbau von Bluetooth-Teilnehmern entsprechend den Fig. 2 und 3 beschränkt. Vielmehr wäre auch denkbar, dass der schaltungstechnische Aufbau dieser Teilnehmer, insbesondere hinsichtlich deren Kodier- und/oder Dekodiereinrichtungen, programm- gesteuerter Einrichtungen, Sende-/Empfangseinrichtungen, Auswerteeinrichtungen, etc., beliebig anders ausgebildet sein kann, sofern dies von der jeweiligen Applikation gestützt wird.

Auch wurde der Anmeldevorgang vorstehend lediglich durch eine einfache Schlüsseletablierung, bei der die Schlüsseletablie- rungssignale quasi ungeschützt, also mehr oder weniger unverschlüsselt, zwischen den Teilnehmern ausgetauscht wurde, beschrieben. Selbstverständlich wäre auch denkbar, zur Erhöhung der Sicherheit diese Schlüsseletablierungssignale zusätzlich zu verschlüsseln. Hierzu sind verschiedene Verschlüsselungsprotokolle bekannt, die allerdings allgemein bekannt sind, sodass im Rahmen der vorliegenden Patentanmeldung nicht näher darauf eingegangen wurde. Für die Frage der Verschlüsselung und Schlüsseletablierung und somit für die Frage der Sicherheit des Anmeldevorgangs gilt jeweils, je höher die Sicherheit gewünscht ist, desto höher sind die Anforderungen an die Schlüsseletablierung und an die Verschlüsselung zu stellen.

Auch sei die Erfindung nicht auf ein Bluetooth-basiertes Kommunikationssystem und entsprechende Teilnehmer beschränkt, sondern lässt sich auf beliebige Kommunikationssysteme und deren Teilnehmer erweitern, deren Reichweite der Datenkommunikation zumindest größer und insbesondere signifikant größer ist als die der RFID-Kommunikation .