CN104937900A - 借助距离边界协议提供位置数据 - Google Patents

Abstract

在一些应用中出现以下问题：智能卡从外源推导出的位置数据拥有与其存储于智能卡内的数据一样的机密地位。为了解决该问题，提出一种给智能卡(102)提供位置数据的方法，包括以下部分：通过定位单元(130)接收(202)或确定该定位单元(130)的位置数据，其中该定位单元(130)与该智能卡(102)空间分隔开；在采用加密协议(114)情况下通过非接触式接口(118)从该定位单元(130)将该位置数据传输(204)给智能卡(102)；在智能卡(102)和定位单元(130)之间执行(206)距离边界协议(112)，其中该距离边界协议(112)恰好在智能卡(102)和定位单元(130)之间的空间距离未超过规定的最大距离时成功结束；当该距离边界协议(112)成功结束时执行(210)智能卡功能(110)，其中所述智能卡功能(110)采用所传输的位置数据作为表明该智能卡(102)的当前位置的位置数据。

Description

借助距离边界协议提供位置数据

技术领域

本发明涉及从定位单元可靠提供位置数据给智能卡的方法以及相应的智能卡、相应的定位单元和计算机程序产品。

背景技术

在现有技术中公开了一种用于可靠确定两个物理分隔的单元或装置的空间距离的方法。尤其是出版文献US 2011/0078549 A1示出了一种读取装置，其用于确定与应答器的连接的有效性，其被设计用于测量应答器的应答时间并且分两个独立步骤来认证该应答器。该出版文献还公开了一种应答器，其用于确定与读取装置的连接的有效性，其中，该应答器设计用于给读取装置提供信息以便测量应答时间并用于在分开的两个步骤中进行认证，其中，至少一部分数据在测量应答时间期间以通信报文形式在读取装置和应答器之间被传输，用以实现认证。

在现有技术中还知道了各种系统，用于地理定位活动物体或用于提供地理定位数据。但当前所用的系统有以下缺点，例如GPS信息源于：并未处于智能卡控制下的传感器。即，地理定位数据不可靠，因为它们可能来源于其它GPS、距离更远的传感器或者是第三方伪造的(中间人攻击)。即，当前所用的地理定位系统对于下列情况是未受到防护的：对传输位置数据的篡改或传输虚假位置内容的“欺骗性”传感器(信号叠加在真正拟定采用的传感器的信号上)。

最后，从现有技术中知道了用于利用地理定位数据来规划和执行旅行的用途。尤其是出版文献US 2010/0280748 A1公开了用于使用者的路线计划，其包括以下步骤：确定用于多情景旅行的出发点和目的点，采用用于限制基于该出发点和目的点的备选路线数量的标准，提出在出发点和目的点之间的备选路线的更新名单，在这里，更新名单或是在延迟之后被自动显示和/或依据使用者选择根据标准来显示。在该方法的一个实施方式中，其中的数据被处理以便地理定位该使用者。

发明内容

鉴于此背景提出以下任务：智能卡从外源中推导出的位置数据谋得了与其应得到存储于智能卡内的数据一样的“信任地位”。

该任务分别利用独立权利要求的特征来完成。在各自的从属权利要求中给出了优选的实施方式和改进方案。只要未做明确相反说明，本发明的实施方式就能够自由相互组合。

芯片或微芯片在此是指集成电路，其可以包含许多电子器件或电路元件如晶体管、电阻等。根据实施方式的不同，芯片可以是计算机、移动无线电装置尤其是智能手机、数码相机或其它的最好为便携的装置的组成部分。根据许多实施方式，该芯片是文件尤其是安全文件的组成部分。

“智能卡”或“文件”在此是指具有微芯片和与之相关的电接触式或非接触式通信接口的任何数据载体。非接触式接口尤其能以用于无线信号传输的天线形式构成。最好该智能卡可以与合适的读取装置交换数据。智能卡可以是有价文件或安全文件，例如是身份文件。身份文件可以是例如证明文件尤其是个人身份证、旅行护照、驾驶证、汽车出厂证书、车船票或公司证件。有价文件可以是付款票据，尤其是银行支票或信用卡。该文件也可以是其它的权利证明例如入场票、车船票尤其电子票、托运单或签证。文件的文件主体可以像书册那样构成，就像例如在大多数旅行护照中那样。

智能卡也是指所谓的无线电标签，其也被称为RFID标签或RFID标贴。智能卡最好包含用于与读取装置非接触数据交换的接口。根据实施方式的不同，智能卡例如可以是基于塑料的和/或基于纸的。

在这里，“读取装置”是指这样的数据处理装置，其能与智能卡交换数据，以便授权智能卡或允许智能卡在读取装置处认证。根据多个实施方式，读取装置可以具有用于相对于智能卡的签名和/或认证的加密功能、支付功能或用于金融交易的其它功能，尤其包括在显示装置上的图像再现。尤其是，该读取装置可以完成许多功能(这些功能对于可机读式旅行文件(MRTD)的读取装置是已知的)，尤其是加密协议例如基本存取控制(BAC)和/或扩展存取控制(EAC)。根据许多实施方式，该读取装置可以被构造用于自文件读取数据。

在许多应用场合中需要确保只有一个经授权的读取装置能够有权访问存储在智能卡中的数据，因此该读取装置必须在读取数据之前相对于该智能卡认证。最好该认证包含证明：“智能卡拥有者已有意使智能卡供读取装置使用以便读取数据”。这例如可以如此做到，即该读取装置将可在智能卡表面上看到的且可由读取装置光学检测的数据传输给智能卡作为证明用户已经有意亮出智能卡(和位于其上的可光学检测的数据)给读取装置。或者，也可以将由用户输入读取装置的机密用来相对于智能卡认证该读取装置。

在这里，“位置数据”是指允许下列数据：所述数据允许已确定位置数据的某物体且尤其是传感器相对于规定的固定点或以其它形式限定的参考系的定位即确定位置。位置数据尤其可以是这样的数据，其借助无线电卫星装置来获得，即尤其是GPS数据(全球定位系统数据)，但也可以是这样的数据，其借助大地测量法(最小二乘法、角度测量、极方法)或其它方法(光学陆地识别、回声定位)获得。该位置数据例如详细列明作为平面坐标、球坐标、极坐标或地理自然坐标或按照应用专用的格式如地点标记或网络标记。即，位置数据可以是网络或其它物体或信号发送机的标记，其单独地或组合地允许传感器的位置确定。

以下，“定位单元”是指这样的装置或装置部件，其能够自动检测自身位置。自身位置以位置数据形式来详细列明并且可以由该定位单元例如自动地定期和/或在获得另一装置如智能卡的问询之后被确定并被发送给它。

与定位单元“空间分隔”的智能卡在这里是指这样的智能卡，其没有作为其组成部分地包含该定位单元。空间分隔例如可以是至少10厘米，根据其它实施方式可以超过100厘米。

利用加密协议的数据传输以下是指以例如非对称密钥或对称密钥的加密形式传输数据。

术语“距离边界协议”在此表示下述加密协议：其向“两个物理单元之间的空间距离不超过预定的最大距离”提供了难以伪造的真实指征。常见的距离边界协议基于：其中一个物理单元可向另一个物理单元发出质询并依据直到收到应答的持续时间计算出：“进行应答的物理单元可能在空间上沿所选的传输路程最大隔开有多远”。在该计算中加入了已知参数，比如在当前所用的数据传输技术中的数据传输速度(无线电时为光速，超声波时为声速)并且最好还有用于产生和发出应答的处理时间。结合从发出质询到收到应答的持续时间，可以确定用于所述物理单元之间空间距离的估计值并且进而也确定其是否超出规定的最大距离。距离边界协议例如可以是质询-应答方法。距离边界协议的例子例如在Gerhard Hancke、Markus Kuhn的“RFID距离边界协议”(Proceedings SecureComm 2005)中以及在Stefan Brands、David Chaum的“距离边界协议(扩展摘要)”(Proceedings Eurocrypt′93)中有所描述。

定位单元相对于智能卡的“认证”包括：相对于智能卡(认证)提供定位单元的声称特性的证明(可鉴定日期)连带检查该证明以及通过智能卡承认所声称特性的真实性(狭义上的确证)。即，认证涉及由定位单元执行的多个步骤，而术语“狭义上的确证”涉及由智能卡执行的步骤，“确证”一般涉及整个过程。

在一个方面，本发明涉及一种提供位置数据给智能卡的方法。该方法包括通过定位单元接收或确定该定位单元的位置数据的部分，其中，该定位单元与该智能卡空间分隔。该定位单元例如可以是GPS传感器或者例如是这样的装置：其集成在车辆如公共汽车或有轨车辆中并且例如从中央交通规划部门、交通工具司机或其它主管机关处接收实际停靠站的标识符。另外，该方法包括在采用加密协议情况下通过非接触式接口将位置数据从定位单元传输给智能卡的部分。该方法还包括用于在智能卡和定位单元之间执行距离边界协议的部分，其中，该距离边界协议恰好在智能卡和定位单元之间的空间距离未超过规定的最大距离时成功结束。最后，该方法在距离边界协议成功结束时规定了执行智能卡功能，在这里，该智能卡功能将所传输的位置数据用作表明智能卡当前位置的位置数据。

该方法可能是有利的，因为所传输的位置数据可以通过很可靠的方式来传输。通过采用加密协议，阻止了对所传输的数据的读取或有目的的操控。这样，该距离边界协议确保：所接收的位置数据也是真正来自定位单元，其至智能卡的距离小于或等于该最大距离。就是说，不会出现离得较远的且例如以较高信号强度来补偿远距离的“干扰发射台”通过传输错误的位置数据而干预该智能卡的功能。采用距离边界协议来保证定位单元的空间接近以及进而可信度也是有利的，因为该定位单元可以让由不同生产商、功能和智能卡相关的服务提供商的许多智能卡使用。不需要例如为了支付智能卡和养路费系统智能卡而分别设立专门匹配各智能卡的独有的定位单元。前提只是：智能卡和定位单元能够交互执行距离边界协议并且能交换位置数据。

根据多个实施方式，在距离边界协议中被检查的最大距离在制造智能卡场合下、在智能卡的用户专用初始化时或者在任何随后的时刻通过用户、智能卡程序或智能卡发行方来配置。根据应用场合和定位单元信号强度的不同，最大距离可以为一厘米或几厘米，但也可以长达一米到多米。

根据多个实施方式，该智能卡是SIM卡或安全文件的智能卡。该定位单元可以例如借助GPS、LPS、WLAN、超声波、无线电技术或蓝牙技术来确定位置数据。该距离边界协议例如可以基于超声波或电磁辐射且尤其是微波、无线电波、可见光或红外线。

例如，被用作用于公共交通工具使用的支付手段的智能卡能够包含具有被检查的最大距离的配置文件，该最大距离小到足以分辨出各个停靠站。即，被检查的最大距离可以是几米，或许也可以是几百米。但如果智能卡应与定位单元结合使用以便例如在售票处证明并且解锁其账户以付账，则需要较高分辨率以避免与排队长龙中的其它人混淆。

根据多个实施方式，该最大距离由该距离边界协议来预定。根据一些实施方式，该最大距离按照一种配置方式存储在智能卡中并且能由用户和/或智能卡的各种应用来编辑或设置为其它值。这可能是有利的，因为该智能卡可以通过重新配置被用于许多应用场合。

根据多个实施方式，该方法还包括定位单元相对于智能卡的认证。成功认证此时是执行智能卡功能所必需的。认证例如可以借助加密协议比如PACE来进行。认证也可以暗含地如下完成：通过距离边界协议的执行以及确定该定位单元距智能卡的距离等于或小于最大距离。即，“成功”执行距离边界协议造成该定位单元相对于智能卡的认证。这可以加速该方法，因为距离边界协议的成功执行已经用于认证并且不需要在智能卡和定位单元之间的其它数据交换步骤。

根据多个实施方式，该距离边界协议依据质询-应答协议。

根据多个实施方式，智能卡和定位单元都具有受保护的存储器，在存储器内存储有一个或多个加密密钥。受保护的存储器保护该密钥不会被非法读取。密钥可以是对称密钥或非对称密钥，尤其是非对称密钥对中的私钥。所述密钥被用于基于加密协议(即加密)传输位置数据。执行距离边界协议所需要的密钥也可以存储在该受保护的存储器内。该智能卡的存储器的安全等级最好对应于该定位单元的存储器的安全等级。

根据多个实施方式，距离边界协议的执行规定了采用至少一个第一和第二加密密钥。第一加密密钥被安全存储在该智能卡的受保护的第一存储介质内。第二加密密钥存储在该定位单元的受保护的第二存储介质上。

根据多个实施方式，该位置数据包括许多地点标记，它们共同标识该定位单元所在的地点。或者，该位置数据包含一个地点标记，其标识出该定位单元所在的地点。这样的地点例如可以是地区如城市、市行政区、建筑、建筑内的房间或房间区域。

根据多个实施方式，所述许多地点标记中的每个地点标记表现为一个网络标记。每个网络标记标识一个数据通信网，确定位置数据的该定位单元处于该数据通信网的发送范围内。数据通信网可以是例如私人家用和/或公共机构的WLAN网。或者，它也可以是各种无线电电台(该定位单元可获知其网路标识)的发送范围。例如无线数据广播系统(RDS)允许传输关于无线广播的附加信息。该附加信息尤其可以包含节目服务名称(PS)，其以1至8个字母数字符号形式给出电台名称。单独给予的WLAN网名或者PS电台名称在此能作为网络标记。

就是说，与包含一些网络区域连同其重叠区在内的地图相结合，可依据一个或多个网络标记识别某个地理地点或地区并确定其地点标记。该地图此时可存储在该定位单元或智能卡上或者在智能卡或定位单元有权访问的远程计算机上。作为地图的替代也可采用分配表，其将每个网络标记组合分派给一定的地点标记。一个地点标记此时是一个指定地点或区域的标识符。

根据多个实施方式，该方法还包括依据所述许多地点标记确定其中一个地点标记。所述确定可以在智能卡侧借助地图或分配表来进行。或者，所述确定也可以通过该定位单元来进行，在这里，该定位单元至少具有对存储于存储器(该存储器被有效耦接至定位单元)内的地图或分配表的阅读访问权。表述“有效耦接至定位单元”表示这样的存储介质，其是定位单元的一体组成部分或者其通过网络与该定位单元相连。该定位单元此时至少有对存储介质的数据的阅读访问权。

例如可以如下所述地从许多网络标记中确定该地点标记：该定位单元位于这样的区域内，在该区域内可接收到发送机S1、S4和S5的无线电信号，其信号强度高于预定的阈值。但是，在此区域内无法收到或者无法以足够强度收到其它无线电台如S3或S455的信号。该定位单元可以存储有地图或分配表，其将一定的网络标记(S1、S4和S5)组合恰好分派给一个地点标记(区域号388)。该地点标记借助借助该地图或分配表由该定位单元来确定并且作为位置数据被传输给智能卡。或者，该地图或分配表也可以位于存储介质上，该存储介质被有效耦接至远程服务器。在此情况下，该定位单元向服务器发送问询，其包含三个网络标记S1、S4和S5。该问询可以通过网络如互联网来发送。服务器在采用地图或分配表的情况下确定地点标记并且回送至该定位单元。定位单元随后作为位置数据将该地点标记传输给智能卡。或者，该定位单元也可以将所确定的网络标记作为位置数据发送给智能卡，只要智能卡为此能够确定它，以确定地点标记(单独地或者与远程服务器互动)。

或者，在采用鲁棒映射算法的情况下求出所述一个地点标记。该鲁棒映射算法例如是鲁棒哈希算法，基于“连续/模糊”地点说明。GPS数据例如是具有一定有限精度的位置数据。相同的定位单元因此可以在两次确定其位置时提供两个略有不同的GPS位置数据。通过使用鲁棒映射算法，例如也以没有分派该地点标记至某一个GPS数据值而是分派给一个GPS数据范围的形式，可以实现明确无疑的地点标记的推导。

根据多个实施方式，智能卡功能的执行包含以下步骤中的一个或多个：

-准许智能卡的受保护的存储介质，以允许通过定位单元或其它数据处理系统来读取受保护的数据；此时它例如是用户的个人相关数据(智能卡是针对其而个人化的)，即比如地址数据、年龄说明、银行账户等；和/或

-记录下位置数据以便记录智能卡运动轨迹；该记录或运动轨迹可以被用于各种应用领域比如养路费系统、徒步行程或行驶里程的记录等等；和/或

-完成电子交易且尤其银行交易，这例如可以包括在收银台的商品付款、参加会议入场等等；和/或

-基于该位置数据的电子车票购买或自动征收养路费；和/或

-准许与智能卡功能性连接的硬件的被锁定的功能。

该硬件功能尤其可以是：

●射击武器的打开保险机构；这可能是有利的，因为武器于是例如只在配备有专用定位单元的一个或多个靶场的紧邻附近才能投入使用；尤其是私人用轻武器的误用可能性于是可被明显减小；

●爆炸装置的触发机构；

●用于混合液体和/或物质的机构；它例如可保证有害的如易爆炸的物质只能在相应定位单元的环境内的得到特别保护的区域被处理或相互混合；

●硬件或其部件的机械运动，尤其是电子开关线路的通或断或者就锁定装置的上锁或开锁(门、容器锁具、通往一地区的通道栏杆、构件或装置部件的闭锁装置等等)或者发出报警信号或操作信号。

用于位置数据传输的加密协议与该距离边界协议的组合可能是非常有利的，这是因为一方面该加密协议保护该位置数据免受篡改并且可通过距离边界协议暗含地实现该定位单元相对于智能卡的认证。定位单元为此例如能证明为一种特殊类型如特型“靶场定位单元”的空间紧邻布置的定位单元。

在另一个方面，本发明涉及一种智能卡，该智能卡包含：

-用于受保护地存储至少一个加密密钥的存储介质；

-用于从定位单元接收位置数据的非接触式接口。所述接收在采用使用所述至少一个加密密钥的加密协议的情况下进行；

-距离边界(DB)模块，其被构造用于在智能卡和定位单元之间执行距离边界协议。该距离边界协议包括通过被检者证明它在距检查者的空间最大距离内。智能卡最好扮演检查者，定位单元作为被检者；

-智能卡功能，其在成功证明该定位单元在距智能卡的空间最大距离内的情况下才可执行。该智能卡功能采用所传输的位置数据作为指明智能卡实际位置的位置数据。

根据多个实施方式，该智能卡还包括认证模块，其被构造用于认证定位单元。只在定位单元认证成功情况下，所传输的位置数据通过智能卡功能被用作表明智能卡实际位置的位置数据。在许多实施方式中，当所述认证基于距离边界协议的成功执行时，智能卡的距离边界模块同时也作为认证模块。

在另一个方面，本发明涉及一种具有定位单元的系统，该定位单元包括：

-被构造用于接收或确定定位单元的位置数据的定位模块；

-用于受保护地存储至少一个加密密钥的存储介质；

-用于非接触传输位置数据给智能卡的接口，其中，所述传输在采用使用所述至少一个加密密钥的加密协议情况下进行；

-距离边界(DB)模块，其被构造用于在定位单元和智能卡之间执行距离边界协议。该距离边界协议恰好在定位单元和智能卡之间的空间距离未超过规定的最大距离时成功结束。

根据多个实施方式，该定位单元还包括认证模块，其被构造用于相对于智能卡认证该定位单元。在许多实施方式中，当定位单元相对于智能卡的认证基于距离边界协议的成功执行即证明该定位单元位于距智能卡的空间最大距离内时，该认证模块也可以在定位单元的距离边界模块中体现。

根据多个实施方式，该系统包括的智能卡是根据前述实施方式之一或根据任意实施方式的特征的组合构成的。

附图说明

以下，参照附图来详述本发明的实施方式，其中：

图1是智能卡、定位单元和终端的框图，

图2是本发明方法的一个实施方式的流程图，

图3示出了本发明智能卡和定位单元在行驶测定系统中的应用场景，

图4示出了本发明智能卡和定位单元在行驶测定系统内的替代应用场景。

具体实施方式

以下实施方式的相互对应的零部件用相同的附图标记来表示。

图1示出了带有受保护的存储介质104的智能卡102。该存储器包含一个或多个密钥120a用于执行距离边界协议。该存储器可以包含另一个密钥138a用于受保护地将位置数据从该定位单元传输给该智能卡。另外，受保护的存储器包含数据121例如派发有智能卡的用户的个人数据。这些数据例如可以由用户账户信息、签名密钥等构成。该智能卡能够通过与定位单元130的对应模块123b互动的模块123a来执行距离边界协议。另外，该智能卡具有处理器106，该处理器能够最好在定位单元在智能卡处认证后在采用位置数据的情况下执行智能卡功能110。该位置数据由定位单元130利用其定位模块134如GPS传感器来确定并通过最好是非接触式接口118从该定位单元被传输给该智能卡。位置数据传输此时最好基于加密协议114进行，以保证所传输的位置数据既不会被读取，也不会被篡改。对此，例如可以采用对称密钥138a和138b，它们分别存储在智能卡的或定位单元的受保护的存储介质104、136上。包括预定的最大距离在内的待用的距离边界协议被存储在该智能卡上。该智能卡可以具有相应的接口，其允许智能卡用户或管理者修改在执行距离边界协议时被检查的最大距离。

智能卡最好也具有接口108用于与终端160的读取装置124交换数据。接口108可以是非接触式接口或者带触点的接口，其最好支持用于读取装置认证和/或可靠数据传输的适当协议(例如非接触式接口时的PACE)。

智能卡可以与提供一定的硬件功能152的硬件150有效连接。例如该硬件150可以是包含智能卡的轻武器。该硬件功能可以是准许武器射击功能。在此情况下，智能卡功能110可以在于：检查靶场的定位单元130是否在该智能卡的认证模块116处已成功认证并且还从定位单元接收了位置数据，所述位置数据通过距离边界协议可靠地来源于在预定最大距离内的近设定位单元，从而保证所述认证也实际上由在靶场的被保护区域内的定位单元来执行或者该智能卡和轻武器为此也在该被保护区域内。在此情况下，智能卡功能110的执行包含发出信号给硬件150以准许射击功能。当在智能卡或与之互动的服务或提供该服务的服务器中存有多个靶场的坐标时，该轻武器可以相应在多个靶场使用，但不在这种被保护区域之外。

终端160可以是数据处理系统，其本身或与远程的服务或服务器相关联地与智能卡互动。因此，终端例如可以是具有读取装置124的收银台终端，该读取装置被构造用于通过光学接口自智能卡读取光学数据(如MRZ即机读区)以在智能卡处认证并且从存储介质104通过另一个接口108来读取数据121。这些数据可以表示账户信息并且被该终端或远程客户使用，以自动从用户账户中扣除例如用于进入靶场或用于武器使用的费用。

在其它实施方式中采用许多其它类型的硬件以及相应的硬件功能152，尤其是这样的硬件功能，对于使用者或第三方来说所述硬件功能引发危险，因此只应在能够可靠认为该硬件功能不会危及使用者和第三方的地点被准许。

图2示出了根据本发明的一个实施方式的方法的流程图。在步骤202中，定位单元130确定或接收指明定位单元位置的位置数据。例如该定位单元可包括呈GPS传感器形式的定位模块134。该位置数据在步骤204中从该定位单元通过非接触式接口以加密形式被传输给智能卡。这尤其用于位置数据机密性和保护数据免受篡改。在步骤206中在智能卡和定位单元之间执行距离边界协议。在步骤208中，该智能卡检查：该定位单元成功带来了该定位单元位于距智能卡的空间最大距离内的证明。如果拿到了证明，则智能卡在步骤210中执行智能卡功能110，在这里，智能卡功能采用所传输的位置数据。如果该证明是不可能的，则该方法在此可被中断或者包括另外一个或多个包含步骤202-208的程序段。智能卡例如可具有以下服务，其定期检查位置数据是否自定位单元传输给智能卡。该定位单元可具有以下服务，其定期确定自身位置和/或定期检查是否自智能卡接收到用于执行距离边界协议的问询或质询。如果该方法拟定相对于智能卡的定位单元认证，则可以在认证之前或之后进行步骤206，或者该步骤本身也可以与步骤208结合地体现认证，在这里，当智能卡确定该定位单元在该距离边界协议的最大距离内时，则认证是成功的。

图3示出了与用于公众交通工具的自动行驶测定相关的本发明实施方式的应用场景。交通工具300如公共汽车或列车配备有集成式定位单元LE4和终端T。终端T例如可以是这样的终端，其利用卫星网络与银行服务商的服务器相连。该终端具有读取装置124和合适的接口108，用于从乘客的智能卡102的存储介质104读取执行支付过程所需要的数据。该终端最好位于交通工具的门处或者交通工具的每个门上都有终端。当乘客以智能卡进出时，进行该终端相对于智能卡的自动认证或反之，其中，该终端确定乘客身份并且也记录下该乘客在哪个停靠站上车。如果该乘客又在另一停靠站下车，则在相应的交通工具门处的终端也确定乘客身份并记录下该乘客在哪个停靠站已经离开下车。该信息可以被用于自动完成交通工具使用状况计算。此时，该终端本身不确定乘客上、下车时的实际停靠站，而是相反分别由定位单元LE4实际确定相应的位置数据或停靠站标记并且如上所述地传输给该智能卡。该智能卡执行以下的智能卡功能，其包含至少在进入和离开交通工具时(经过附近有终端的门)将实际的位置数据(在此就是上车或下车的停靠站)从智能卡传输给终端。最好这种传输以非接触方式完成，以便尽量高效地实现乘客上下车。

即，该智能卡配属于乘客，智能卡属于乘客。定位单元LE4是交通工具的一体组成部分并且能够在行驶过程中动态确定其自身位置，在这里，所确定的位置的精度至少足以分辨乘客上下车的个别停靠站。定位单元LE4能以GPS传感器形式构成，但它也可以是半自动定位单元，在这里，司机在每次在停靠站停靠时将当前通过LE4所确定的且或许被通知给智能卡的位置设定给当前停靠站H1、H2或H3。或者，可以在每个停靠站安装一个信号发送器如无线电发送器，其发出信号给交通工具内部的定位单元LE4，以使定位单元允许在网络线路设计图中确定并实际保持其实际位置。

配发有智能卡102的乘客可以在例如停靠站H1登上交通工具300。在登上交通工具的过程中、之前或紧接之后，用户可以相对于智能卡认证，例如通过输入个人识别码或口令或利用生物测量特征数据。另外，用户可以准许其智能卡的相应支付功能，这在许多情况下可能使得相对于某种应用逻辑的附加认证是必需的。例如城市的轨道网或短途交通网的运营商能够提供相应的用于自动行驶测定和支付的应用逻辑，乘客将所述应用逻辑安装在其移动无线电装置上并且须在其上进行认证。轨道网或短途交通网的运营商能给其客户配备私人化智能卡，在该智能卡上包含了所有所需要的客户账户信息，以实现自动付账和/或扣款。

以下，“口令”是指一连串字母数字符号和/或特殊符号。个人识别码最好由几位(如四位)和字母数字符号构成。但根据安全性要求，具有其它位的且由数字或字符数字符号和特殊符号构成的混合体构成的个人识别码也是可行的。根据本发明的多个实施方式，该口令存储在该文件中。用于相对于智能卡认证用户的口令也可以附加地以机读区(MRZ)形式通过可光学测定方式(如印刷、压印等)安置在该智能卡上。该口令可以除了存储外还以卡介入号码(CAN)形式(即印刷在智能卡上的号码形式)以光学可获知方式印刷在智能卡上并且允许读取装置借助CAN相对于智能卡认证。

另外，该智能卡在乘客登上交通工具之时或紧接在之后执行与定位单元LE4的距离边界协议并且从该定位单元接收例如可以由实际停靠站H1的标记构成的位置数据。当交通工具300从停靠站H1经H2移动向停靠站H3时，定位单元LE4按照一定时隔持续地传输其实际位置数据并且附加定期执行与智能卡的距离边界协议，从而智能卡可以确保该位置数据源于机密的空间近设的定位单元。另外，定位单元的实际位置可以在每次交替停靠站时更新。

即，各实际停靠站的标记在整个行驶过程中或至少在上下车时连续地从该定位单元被传输给乘客的智能卡，在这里，至少在上下车时，在智能卡功能110执行时把该起始停靠站或该目标停靠站从智能卡传输给该终端。该终端可以记录乘客的上车和下车停靠站或存储在中央服务器中。该终端也可以针对具体情况或例如基于每月或每年生成由乘客实际走过的里程的账单并且或许也自动从乘客账户上扣除。在记录和/或生成账单或扣款时，该终端最好与提供相应存储器或记录服务或支付服务的其它计算机如数据库和应用服务器合作，在这里，该服务器一般定位在远程计算中心内。

图4示出了上述应用场景的一个替代实施方式。图4的应用场景与图3的应用场景的区别基本在于，每个停靠站固定地对应于一个自身的定位单元LE1-LE3。即，不同于图3所述，不需要该交通工具300本身具有其位置数据在行驶过程中被连续更新的相应的定位单元。相反，图4的每个定位单元固定对应于其各自位置信息。因此，例如定位单元LE1可以总是将地点标记H1‘作为位置数据传输给智能卡，而定位单元LE2总是传输地点标记H2‘，或者定位单元LE3总是传输地点标记H3‘。一般，用于距离边界协议的预配置在智能卡中的最大距离302对于根据图4的应用场景来说略微大于更具图3的应用场景，因为根据图4的定位单元位于交通工具300外。

Claims (15)

1.一种给智能卡(102)提供位置数据的方法，其包括以下部分：

-通过定位单元(130)接收(202)或确定该定位单元(130)的位置数据，其中，该定位单元(130)与该智能卡(102)是空间分隔开的；

-在采用加密协议(114)情况下通过非接触式接口(118)从该定位单元(130)将该位置数据传输(204)给该智能卡(102)；

-在该智能卡(102)和该定位单元(130)之间执行(206)距离边界协议(112)，其中，该距离边界协议(112)恰好在所述智能卡(102)和所述定位单元(130)之间的空间距离未超过规定的最大距离之时成功结束；

-当该距离边界协议(112)成功结束时执行(210)智能卡功能(110)，其中，所述智能卡功能(110)采用所传输的位置数据作为表明该智能卡(102)的当前位置的位置数据。

2.根据权利要求1的方法，其还包括：通过在该距离边界协议(112)执行过程中的证明该定位单元(130)位于该空间最大距离内，从而相对于该智能卡(102)认证该定位单元(130)。

3.根据前述权利要求之一的方法，其中，该最大距离是通过该距离边界协议(112)来预定的。

4.根据前述权利要求之一的方法，其中，该距离边界协议(112)基于质询-应答协议。

5.根据前述权利要求之一的方法，其中，该距离边界协议的执行规定了采用至少一个第一加密密钥(120a)和第二加密密钥(120b)，其中，至少第一加密密钥被可靠存储在该智能卡的受保护的第一存储介质(104)上，其中，至少第二加密密钥被存储在该定位单元的受保护的第二存储介质(136)上。

6.根据前述权利要求之一的方法，其中，该位置数据包含：

-许多地点标记，它们在总体上标识出所述智能卡(102)和/或所述定位单元(130)所处的地点；或者

-地点标记，它标识出所述智能卡(102)和/或所述定位单元(130)所处的地点。

7.根据权利要求6的方法，其中，所述许多地点标记中的每个地点标记是网络标记，其中，每个网络标记标识出一个数据通信网络，所述智能卡(102)和/或确定该位置数据的所述定位单元(130)处于该数据通信网络的发送范围内。

8.根据前述权利要求之一的方法，其中，所述智能卡功能(110)的执行包括以下部分：

-准许所述智能卡(102)的受保护的存储介质(104)以允许通过该定位单元(130)或通过其它数据处理系统(160)来读取受保护的数据(121)；和/或

-记录下该位置数据以实现该智能卡(102)的运动轨迹的记录；和/或

-执行电子交易尤其是银行交易；和/或

-基于该位置数据执行电子车票购买或养路费自动征收；和/或

-准许与该智能卡(102)操作连接的硬件(150)的被锁定的硬件功能(152)。

9.根据权利要求8的方法，其中，针对所述准许的被锁定的硬件功能(152)被实现在以下各项中：

-射击武器的打开保险机构中；

-爆炸装置的触发机构中；

-用于混合液体和/或物质的机构中；或者

-硬件或其组成部件的其它形式运动中。

10.一种智能卡(102)，其具有：

-用于受保护地存储至少一个加密密钥(138a)的存储介质(104)；

-用于从定位单元(130)接收位置数据的非接触式接口(118)，其中，所述接收是在采用使用所述至少一个加密密钥的加密协议(114)情况下进行的；

-距离边界(DB)模块(123a)，其被构造用于执行相对于定位单元(130)的距离边界协议(112)，其中，该距离边界协议恰好在距该定位单元(130)的空间距离没有超过预定最大距离时成功结束；

-智能卡功能(110)，它只能在该距离边界协议成功结束的情况下执行，其中，该智能卡功能(110)采用所传输的位置数据作为表明该智能卡(102)的当前位置的位置数据。

11.根据权利要求10的智能卡(102)，其还包括认证模块(116)，该认证模块被构造用于通过该智能卡(102)认证该定位单元(130)，其中，只在该定位单元(130)认证成功情况下，才将所传输的位置数据用作表明该智能卡(102)的当前位置的位置数据。

12.一种包括定位单元(130)的系统，其中，该定位单元包括：

-定位模块(134)，其被构造用于接收或确定该定位单元的位置数据；

-用于受保护地存储至少一个加密密钥(138b)的存储介质(136)；

-用于非接触传输该位置数据给智能卡的接口(118)，其中，所述传输在采用使用所述至少一个加密密钥(138b)的加密协议(114)情况下进行；

-距离边界(DB)模块(123b)，其被构造用于在所述定位单元(130)和所述智能卡(102)之间执行距离边界协议，其中，该距离边界协议恰好在所述智能卡(102)和所述定位单元(130)之间的空间距离未超过规定的最大距离(302)时成功结束。

13.根据权利要求12的系统，其中，该定位单元(130)还包括认证模块(140)，该认证模块被构造用于相对于该智能卡(102)认证该定位单元(130)。

14.根据权利要求12或13的系统，其还包括该智能卡(102)，其中，该智能卡(102)是根据权利要求10或11构成的。

15.根据权利要求12至14之一的系统，其中，

-该智能卡(102)是SIM卡或安全文件的智能卡，和/或

-该定位单元(130)借助GPS、LPS、WLAN、超声波、无线电技术或蓝牙技术确定所述位置数据，和/或

-该距离边界协议基于超声波、电磁辐射且尤其是微波、无线电波、可见光或红外线。