AT513408B1 - Method and device for accessing a network resource by a mobile terminal with temporal and local limitation - Google Patents
Method and device for accessing a network resource by a mobile terminal with temporal and local limitation Download PDFInfo
- Publication number
- AT513408B1 AT513408B1 ATA1053/2012A AT10532012A AT513408B1 AT 513408 B1 AT513408 B1 AT 513408B1 AT 10532012 A AT10532012 A AT 10532012A AT 513408 B1 AT513408 B1 AT 513408B1
- Authority
- AT
- Austria
- Prior art keywords
- mobile terminal
- resource
- access
- server
- accessing
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000002123 temporal effect Effects 0.000 title claims abstract description 11
- 230000007246 mechanism Effects 0.000 claims abstract description 68
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 5
- 238000012552 review Methods 0.000 abstract description 2
- 238000013475 authorization Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 235000013305 food Nutrition 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H04B5/48—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W52/00—Power management, e.g. TPC [Transmission Power Control], power saving or power classes
- H04W52/02—Power saving arrangements
- H04W52/0209—Power saving arrangements in terminal devices
- H04W52/0251—Power saving arrangements in terminal devices using monitoring of local events, e.g. events related to user activity
- H04W52/0258—Power saving arrangements in terminal devices using monitoring of local events, e.g. events related to user activity controlling an operation mode according to history or models of usage information, e.g. activity schedule or time of day
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
- Telephone Function (AREA)
Abstract
Die Erfindung betrifft ein Verfahren und eine Vorrichtung welche einem Benutzer mit Hilfe eines mobilen Endgerätes, über ein Netzwerk, insbesondere das Internet, den Zugriff auf eine Ressource ermöglichen, wobei dieser Zugriff durch einen Server gesteuert wird, welcher zuverlässig feststellen kann, ob das mobile Endgerät sich zum ungefähren Zeitpunkt der Überprüfung in der Nähe eines Schlüsselmechanismus befindet. Die Identität der Ressource und des Servers werden durch den vorgenannten Schlüsselmechanismus festgelegt, das mobile Endgerät muss nicht manuell auf die konkrete Ressource eingestellt werden. Der Schlüsselmechanismus stellt dazu Zugriffsdatensätze aus (z.B. in Form von URLs), welche die Ressource identifizieren, einen zeitlichen Bezug aufweisen und digital signiert sind. Diese werden über eine lokale Datenverbindung (z.B. NFC) an das mobile Endgerät versandt welches diese vorzugsweise automatisiert verarbeitet und damit auf die Ressource zugreifen kann, wobei der Server die Signatur und die zeitliche Nähe prüft und anhand dieser den Zugriff steuert.The invention relates to a method and a device which allow a user with the aid of a mobile terminal, via a network, in particular the Internet, access to a resource, wherein this access is controlled by a server, which can reliably determine whether the mobile terminal is near a key mechanism at the time of review. The identity of the resource and the server are determined by the aforementioned key mechanism, the mobile terminal need not be manually set to the concrete resource. The key mechanism exposes access records (e.g., in the form of URLs) that identify the resource, have a temporal reference, and are digitally signed. These are sent via a local data connection (for example NFC) to the mobile terminal, which preferably processes them automatically and thus accesses the resource, whereby the server checks the signature and the proximity and uses this to control the access.
Description
österreichisches Patentamt AT513 408B1 2014-11-15Austrian Patent Office AT513 408B1 2014-11-15
Beschreibung [0001] Die Erfindung betrifft ein Verfahren zum Zugriff auf eine Netzwerkressource durch ein mobiles Endgerät mit zeitlicher und lokaler Begrenzung.Description [0001] The invention relates to a method for accessing a network resource by a mobile terminal with temporal and local limitation.
[0002] Die Erfindung betrifft des Weiteren eine Vorrichtung zum Zugriff auf eine Netzwerkressource durch ein mobiles Endgerät mit zeitlicher und lokaler Begrenzung, wobei die Netzwerkressource (in weiterer Folge einfach „Ressource") durch einen Schlüsselmechanismus identifiziert wird, und wobei das mobile Endgerät über Mittel verfügt, Daten von Geräten in dessen lokaler Umgebung zu empfangen, sowie über Mittel zur Herstellung einer Verbindung zu einem Netzwerk, insbesondere dem Internet. Das mobile Endgerät verfügt idealer Weise über eine elektronische Benutzerschnittstelle, insbesondere ein grafisches Display, ein Touchscreen oder dergleichen.The invention further relates to a device for accessing a network resource by a mobile terminal with temporal and local limitation, wherein the network resource (hereinafter simply "resource") is identified by a key mechanism, and wherein the mobile terminal via means has to receive data from devices in its local environment, as well as means for establishing a connection to a network, in particular the Internet. The mobile terminal ideally has an electronic user interface, in particular a graphic display, a touchscreen or the like.
[0003] Die Erfindung sieht des Weiteren einen Server vor, welcher den Zugriff durch das mobile Endgerät (z.B. Smartphone, Tablet-PC, Rechner, Fahrzeug, etc.) auf die durch den Schlüsselmechanismus identifizierte Ressource steuert, insbesondere den Zugriff ermöglichen oder verhindern kann. Das Verfahren ist so konzipiert, dass es einem Benutzer erlaubt, gegenüber diesem Server glaubhaft zu machen, dass der Benutzer bzw. dessen mobiles Endgerät sich zum Zeitpunkt der Ausführung des Verfahrens in lokaler Nähe zum genannten Schlüsselmechanismus befindet oder kurz davor befunden hat. Es ist vorgesehen, dass der Server den Zugriff auf die identifizierte Ressource nur dann ermöglicht, wenn diese Voraussetzung gegeben ist.The invention further provides a server which controls the access by the mobile device (eg smartphone, tablet PC, computer, vehicle, etc.) to the identified by the key mechanism resource, in particular allow or prevent the access , The method is designed to allow a user to make credible to that server that the user or his mobile terminal is at or near the local key mechanism at the time the method is performed. It is envisaged that the server will only allow access to the identified resource if that condition is met.
[0004] Die Identität der Ressource, auf welche Zugriff gewährt werden soll, sowie des Servers, welcher den Zugriff steuert, wird dem mobilen Endgerät durch den Schlüsselmechanismus bekanntgegeben und kann somit von diesem Schlüsselmechanismus gesteuert werden. Das mobile Endgerät und der Server verfügen über Mittel, die es dem mobilen Endgerät ermöglichen, über ein Netzwerk eine Verbindung zum Server herzustellen. Die konkrete Identität des Servers selbst muss dem mobilen Endgerät am Anfang der Ausführung des Verfahrens jedoch noch nicht bekannt sein, sondern das mobile Endgerät erfährt die Identität des Servers und der Ressource vom vorgenannten Schlüsselmechanismus. Dadurch wird es einem Benutzer im Rahmen des gegenständlichen Verfahrens mit Hilfe seines mobilen Endgerätes möglich, auf unterschiedliche Server bzw. Ressourcen zuzugreifen, ohne dass das mobile Endgerät zuvor jeweils auf diese eingestellt werden müsste. Die Verknüpfung mit einem bestimmten Server bzw. einer bestimmten Ressource liegt alleine am Schlüsselmechanismus.The identity of the resource to which access is to be granted, as well as the server controlling the access, is communicated to the mobile terminal through the key mechanism and thus can be controlled by this key mechanism. The mobile terminal and the server have means for enabling the mobile terminal to connect to the server over a network. However, the actual identity of the server itself need not be known to the mobile terminal at the beginning of the execution of the method, but the mobile terminal experiences the identity of the server and the resource from the aforementioned key mechanism. This makes it possible for a user in the context of the subject method with the help of his mobile device to access different servers or resources, without the mobile terminal would have to be previously set to each of these. The link to a specific server or resource is the key mechanism alone.
[0005] Im Sinne dieser Erfindung bringt der Benutzer das mobile Endgerät in die Nähe des Schlüsselmechanismus, sodass das mobile Endgerät Daten vom Schlüsselmechanismus empfangen kann (z.B. per Near Field Communication (NFC), RFID, Bluetooth, dynamisch generierte optische Barcodes, etc.). Der Schlüsselmechanismus erzeugt, entweder angeregt durch die lokale Nähe des mobilen Endgeräts oder aber ständig, ohne die lokale Nähe eines mobilen Endgerätes zu berücksichtigen, ein Datenpaket, in weiterer Folge digitaler Zugriffsdatensatz genannt, das folgende Eigenschaften aufweist: [0006] · Der digitale Zugriffsdatensatz enthält einen Verweis auf den Server, der den Zugriff steuern soll sowie einen Verweis auf die konkrete Ressource, auf die Zugriff gewährt werden soll.For the purposes of this invention, the user brings the mobile terminal in the vicinity of the key mechanism, so that the mobile terminal can receive data from the key mechanism (eg, near field communication (NFC), RFID, Bluetooth, dynamically generated optical bar codes, etc.) , The key mechanism, either stimulated by the local proximity of the mobile terminal or constantly without taking into account the local proximity of a mobile terminal, generates a data packet, hereafter referred to as a digital access record, having the following characteristics: The digital access record contains a reference to the server intended to control access and a reference to the specific resource to which access is to be granted.
[0007] · Der digitale Zugriffsdatensatz ist so gestaltet, dass der Server feststellen kann, ob dieser in zeitlicher Nähe zum Zeitpunkt der Autorisierung erstellt wurde.· The digital access record is designed so that the server can determine if it was created in close proximity to the time of authorization.
[0008] · Der digitale Zugriffsdatensatz ist so gestaltet, dass der Server feststellen kann, dass der Zugriffsdatensatz von einem Schlüsselmechanismus ausgestellt wurde, dem der Server vertraut.· The digital access record is designed so that the server can determine that the access record has been issued by a key mechanism that the server trusts.
[0009] Der Zugriffsdatensatz ist idealer Weise so gestaltet, dass er vom mobilen Endgerät automatisch verarbeitet werden kann und das mobile Endgerät ist idealer Weise ausgebildet, solche Zugriffsdatensätze automatisch zu verarbeiten. Der Zugriffsdatensatz kann z.B. als 1 /9 österreichische.1. Patentamt AT513 408B1 2014-11-15 einheitlicher Quellenanzeiger (uniform resource locator, URL) ausgeprägt sein, der die zuvor genannten Eigenschaften aufweist und der das mobile Endgerät veranlasst, die entsprechende Webseite in einem Web-Browser zu öffnen und anzuzeigen.The access record is ideally designed so that it can be automatically processed by the mobile device and the mobile device is ideally designed to automatically process such access records. The access record may e.g. as 1/9 Austrian.1. Patent Office AT513 408B1 2014-11-15 uniform resource locator (URL), which has the aforementioned characteristics and which causes the mobile terminal to open and display the corresponding web page in a web browser.
[0010] Der Zugriffsdatensatz wird vom mobilen Endgerät zum Server übertragen und von diesem auf Korrektheit geprüft, insbesondere wird überprüft, ob der Zugriffsdatensatz in zeitlicher Nähe zum Zeitpunkt der Überprüfung ausgestellt wurde und ob der Zugriffsdatensatz von einem Schlüsselmechanismus ausgestellt wurde, dem der Server vertraut. Wird der Zugriffsdatensatz vom Server akzeptiert, gibt dieser den Zugriff auf die identifizierte Ressource frei. Der Zugriff durch das mobile Endgerät auf die identifizierte Ressource inklusive möglicher zusätzlicher Autorisierungsschritte erfolgt in weiterer Folge nach bekannten Verfahren.The access record is transmitted from the mobile terminal to the server and checked for correctness, in particular it is checked whether the access record was issued in temporal proximity at the time of review and whether the access record was issued by a key mechanism that the server trusts. If the access record is accepted by the server, it frees access to the identified resource. The access by the mobile terminal to the identified resource, including possible additional authorization steps, is subsequently carried out according to known methods.
[0011] Bereits bekannt ist die Nutzung von Hardwaremodulen, die zeitlich begrenzt gültige Zugriffsschlüssel erzeugen (z.B. RSA Secure ID). Ebenfalls bereits bekannt ist die Nutzung von Hardwaremodulen zur Erzeugung von Einmalpassworten, die von mobilen Endgeräten über lokale Datenverbindungen (z.B. per NFC) ausgelesen werden können.Already known is the use of hardware modules that generate valid temporary access key (for example, RSA Secure ID). Also already known is the use of hardware modules for the generation of one-time passwords, which can be read by mobile terminals via local data connections (for example by NFC).
[0012] Die Aufgabe der vorliegenden Erfindung besteht in der Schaffung eines oben genannten Verfahrens und einer oben genannten Vorrichtung mit deren Hilfe dem Benutzer eines mobilen Endgerätes besonders einfach Zugriff auf eine durch einen Schlüsselmechanismus identifizierte Ressource erteilt werden kann, wobei der beteiligte Server darauf vertrauen kann, dass sich das mobile Endgerät zum Zeitpunkt der Autorisierung oder zumindest kurz davor in lokaler Nähe zum Schlüsselmechanismus befindet oder befunden hat. Durch diese neuartige Kombination wird eine Klasse von Anwendungen möglich, die bei Nutzung herkömmlicher Verfahren und Vorrichtungen nicht möglich wäre.The object of the present invention is to provide a method and a device mentioned above with the help of the user of a mobile terminal particularly easy access to an identified by a key mechanism resource can be issued, the server involved can rely on it in that the mobile terminal is or has been in local proximity to the key mechanism at the time of authorization or at least shortly before. This novel combination enables a class of applications that would not be possible using conventional methods and devices.
[0013] Ein Anwendungsbeispiel für das gegenständliche Verfahren bzw. die gegenständliche Vorrichtung ist die Nutzung in einem Restaurant zur Bestellung von Speisen und Getränken durch Gäste. Auf jedem Tisch ist in der Tischplatte ein Schlüsselmechanismus gemäß der gegenständlichen Erfindung integriert, wobei dieser optisch so markiert ist, dass dessen Zweck für Gäste erkennbar ist. Bei der vom Schlüsselmechanismus identifizierten Ressource handelt es sich um eine Website, auf der das Restaurant Bestellungen für den konkreten Tisch entgegennimmt. Ein Restaurantbesucher bringt sein Mobiltelefon in die Nähe des Schlüsselmechanismus, sodass es Daten von diesem empfangen kann (z.B. per NFC). Der Schlüsselmechanismus versendet in diesem Beispiel eine URL, die auf den Webserver des Restaurants und darauf auf die Webseite des jeweiligen Tisches verweist. Die URL enthält außerdem weitere Daten entsprechend der gegenständlichen Erfindung, konkret Datum und Uhrzeit zum Zeitpunkt der Ausstellung der URL und eine Signatur, die mit dem privaten Schlüssel des Schlüsselmechanismus erstellt wurde über welchen nur dieser verfügt. Das Mobiltelefon öffnet daraufhin in einem Web-Browser die empfangene URL bzw. die entsprechende Webseite auf der für den konkreten Tisch Speisen und Getränke bestellt werden können. Die Website bzw. der Server prüft die in der URL enthaltenen Daten und leitet auf die Bestellseite des jeweiligen Tisches (Ressource) um, sofern der Zugriffsdatensatz (die URL) entsprechend des gegenständlichen Verfahrens als gültig bewertet wird (lokale und zeitliche Nähe sowie gültige Signatur). Da das Verfahren bei erfolgreicher Durchführung sowohl lokale Nähe des Endgerätes zum Schlüsselmechanismus garantiert, der in diesem Beispiel im Tisch integriert ist, als auch, dass die lokale Nähe zeitlich nahe am Zeitpunkt der Bestellung lag, kann das Restaurant beim Eingang einer Bestellung mit ausreichender Sicherheit davon ausgehen, dass die Bestellung von den Personen kommt, die zum Zeitpunkt der Bestellung am in der Bestellung genannten Tisch sitzen. Durch die Verwendung von Standardtechnologien (in diesem Beispiel NFC, URL, Web Browser, Internet am Smartphone), kann ein Benutzer eine entsprechende Vorrichtung nutzen, ohne sein mobiles Endgerät (z.B. sein Smartphone) konkret auf die Bestellung von Speisen und Getränken oder ein bestimmtes Restaurant vorzubereiten. Stattdessen können mit demselben mobilen Endgerät unterschiedliche derartige Vorrichtungen (z.B. in unterschiedlichen Restaurants) genutzt werden, ohne dass das mobile Endgerät jeweils manuell für den jeweiligen Fall konfiguriert werden müsste.An application example of the subject method or the subject device is the use in a restaurant for ordering food and drinks by guests. On each table a key mechanism according to the subject invention is integrated in the table top, which is visually marked so that its purpose is recognizable to guests. The resource identified by the key mechanism is a website where the restaurant receives orders for the specific table. A restaurant visitor brings his mobile phone close to the key mechanism so that it can receive data from it (for example, via NFC). The key mechanism in this example sends a URL pointing to the web server of the restaurant and then to the web page of the particular table. The URL also contains other data according to the subject invention, specifically the date and time at the time of issuance of the URL and a signature created with the private key of the key mechanism which only this one possesses. The mobile phone then opens in a web browser, the received URL or the corresponding website on the table for the food and drinks can be ordered. The website or the server checks the data contained in the URL and redirects to the order page of the respective table (resource), provided that the access data set (the URL) is validated according to the current procedure (local and temporal proximity as well as valid signature). , Since the procedure, if successful, guarantees both local closeness of the terminal to the key mechanism, which in this example is integrated into the table, and that the local proximity was close to the time of ordering, the restaurant can with sufficient certainty receive it upon receipt of an order assume that the order comes from the persons sitting at the time of the order at the table named in the order. By using standard technologies (in this example NFC, URL, web browser, Internet on the smartphone), a user can use a corresponding device, without his mobile device (eg his smartphone) specifically to the order of food and drinks or a specific restaurant prepare. Instead, with the same mobile terminal, different such devices (e.g., in different restaurants) may be used without having to manually configure the mobile terminal for each case.
[0014] Die Erfindung wird anhand der beigefügten Zeichnungen näher erläutert. Darin zeigen: 2/9 österreichisches Patentamt AT513 408B1 2014-11-15 [0015] Fig. 1 ein schematisches Blockdiagramm einer erfindungsgemäßen Vorrichtung [0016] Fig. 2 ein schematisches Ablaufdiagramm eines erfindungsgemäßen Verfahrens [0017] Fig. 1 zeigt ein schematisches Blockdiagramm einer erfindungsgemäßen Vorrichtung welche einem Benutzer 1 mit Hilfe dessen mobilen Endgerätes 2 den Zugriff auf eine Ressource 11 ermöglicht, wobei diese Ressource 11 von einem Schlüsselmechanismus 3 identifiziert wird. Der Schlüsselmechanismus 3 ist in der Lage, Zugriffsdatensätze 6 zu erstellen, welche Zugriffsdatensätze 6 einen Verweis auf den Server 9, die identifizierte Ressource 11 sowie einen Hinweis auf den Ausstellungszeitpunkt enthalten, welchen Ausstellungszeitpunkt der Schlüsselmechanismus 3 von einem Zeitgeber 5 erhält. Vorteilhafter Weise enthält der Zugriffsdatensatz des Weiteren einen Hinweis auf die Identität des Schlüsselmechanismus 3, sodass bei einer späteren Analyse eines Zugriffsdatensatzes 6 nicht nur festgestellt werden kann, dass dieser von einem vertrauenswürdigen Schlüsselmechanismus ausgestellt wurde sondern von welchem konkreten Schlüsselmechanismus 3 ein konkreter Zugriffsdatensatz 6 ausgestellt wurde. Diese Zugriffsdatensätze 6 sind des Weiteren mit einem digitalen Schlüssel 4 signiert, welcher dem Schlüsselmechanismus bekannt ist. Die Signatur signiert vorteilhafter Weise den gesamten Inhalt des Schlüsselmechanismus 6 (außer der Signatur selbst), kann jedoch in konkreten Implementierungen auch nur Teile des Zugriffsdatensatzes 6 umfassen. Insbesondere kann in bestimmten Implementierungen auf die Signatur der Identität des Servers 9 verzichtet werden, sodass diese z.B. bei der Weiterleitung des Zugriffsdatensatzes 6 in komplexen Netzwerken 8 (z.B. über Reverse-Proxy-Server) ersetzt werden kann. Die Signatur muss jedoch zumindest jenen Teil des Zugriffsdatensatzes 6 umfassen, der später genutzt wird um die zeitliche Nähe der Ausstellung des Zugriffsdatensatzes 6 zum Zeitpunkt der Überprüfung festzustellen. Je nach Beschaffenheit der Signatur kann diese ggf. implizit die Identität des Schlüsselmechanismus 3 enthalten. Die Signatur erfolgt mit einem geeigneten kryptografischen Verfahren. Es sind grundsätzlich sowohl asymmetrische als auch symmetrische Verfahren geeignet wobei bei symmetrischen Verfahren (z.B. AES in Kombination mit SHA1) die Schlüssel 4 und 10 identisch sind und möglichst nur dem Schlüsselmechanismus 3 sowie dem Server 9 bekannt sein sollten während bei asymmetrischen Verfahren (z.B. Digital Signature Algorithm, DSA) der private Schlüssel 4 nur dem Schlüsselmechanismus bekannt sein sollte während die Geheimhaltung des öffentlichen Schlüssels 10 nicht notwendig ist.The invention will be explained in more detail with reference to the accompanying drawings. FIG. 1 shows a schematic block diagram of a device according to the invention; FIG. 2 shows a schematic flow diagram of a method according to the invention; FIG. 1 shows a schematic block diagram of a device according to the invention Device according to the invention which enables a user 1 to access a resource 11 with the aid of the mobile terminal 2, this resource 11 being identified by a key mechanism 3. The key mechanism 3 is capable of creating access records 6, which access records 6 contain a reference to the server 9, the identified resource 11, and an indication of the issuing time, which issuing timing the key mechanism 3 receives from a timer 5. Advantageously, the access record further contains an indication of the identity of the key mechanism 3, so that in a later analysis of an access record 6 not only can be found that this was issued by a trusted key mechanism but from which specific key mechanism 3 a concrete access record 6 was issued , These access records 6 are further signed with a digital key 4 known to the key mechanism. The signature advantageously signs the entire content of the key mechanism 6 (except for the signature itself), but in specific implementations may also comprise only parts of the access data record 6. In particular, in certain implementations, the signature of the identity of the server 9 may be omitted, such that e.g. in the forwarding of access record 6 in complex networks 8 (e.g., via reverse proxy servers). However, the signature must at least include that part of the access record 6 which is later used to determine the temporal proximity of the issuance of the access record 6 at the time of the check. Depending on the nature of the signature, it may possibly implicitly contain the identity of the key mechanism 3. The signature is made using a suitable cryptographic method. In principle, both asymmetric and symmetrical methods are suitable, whereby in symmetric methods (eg AES in combination with SHA1) the keys 4 and 10 are identical and should only be known to the key mechanism 3 and the server 9, while in asymmetrical methods (eg Digital Signature Algorithm, DSA), the private key 4 should be known only to the key mechanism while the secrecy of the public key 10 is not necessary.
[0018] Der Zugriffsdatensatz kann vorteilhafter Weise in Form einer URL erstellt werden, da solche URLs einen weit verbreiteten Standard darstellen, und diese URLs von vielen unterschiedlichen Arten von mobilen Endgeräten verarbeitet werden können. Der Aufbau einer solchen URL könnte z.B. wie folgt sein: [0019] https://examplerestaurant.org/table1 ?t=2012-07-03T182210&tagid=123&sig=xxxxxxxxxxx [0020] In diesem Fall repräsentiert der Teil „httpsy/exampierestaurant.orq/tabiel" den zu kontaktierenden Server 9 sowie die geschützte Ressource ii. Der Teil „t=2Ö12- Ö7-03T182210" repräsentiert den Zeitpunkt der Ausstellung des Zutrittsdatensatzes. Der Teil „tagid=123" repräsentiert optionale zusätzliche Daten, die im Autorisierungsdatensatz 6 enthalten sein können, z.B. die Identität des Schlüsselmechanismus 3. Der Teil „sig=xxxxxxxxxxx" repräsentiert die Signatur, welche vom Schlüsselmechanismus 3 mit Hilfe des Schlüssels 4 erstellt wird und mit welcher Signatur die restlichen Teile der URL signiert werden, sodass der Server 9 mit Hilfe des eigenen Schlüssels 10 überprüfen kann, dass die Daten im Zugriffsdatensatz 6 von einem vertrauenswürdigen Schlüsselmechanismus 3 ausgestellt und danach nicht manipuliert wurden.The access record can be advantageously created in the form of a URL, since such URLs represent a widely used standard, and these URLs can be processed by many different types of mobile terminals. The construction of such a URL could e.g. like this: https://examplerestaurant.org/table1?t = 2012-07-03T182210 & tagid = 123 & sig = xxxxxxxxxxx In this case, the part "httpsy / exampierestaurant.orq / tabiel " the server 9 to be contacted and the protected resource ii. The part "t = 2Ö12- Ö7-03T182210 " represents the time of issue of the access data record. The part "tagid = 123 " represents optional additional data that may be included in the authorization record 6, e.g. the identity of the key mechanism 3. The part "sig = xxxxxxxxxxx " represents the signature that is generated by the key mechanism 3 using the key 4 and with which signature the remaining parts of the URL are signed, so that the server 9 using its own key 10 can verify that the data in the access record 6 from a trusted key mechanism 3 issued and then not manipulated.
[0021] Der Zugriffsdatensatz 6 wird vom Schlüsselmechanismus 3 über eine lokal begrenzte Datenverbindung 7 zum mobilen Endgerät 2 übertragen. Diese Übertragung kann über eine Vielzahl unterschiedlicher Arten von Datenverbindungen 7 erfolgen. Es ist dabei lediglich erforderlich, dass über die Datenverbindung 7 Daten vom Schlüsselmechanismus 3 zum mobilen Endgerät 2 übertragen werden können, die Übertragung von Daten in entgegengesetzter Richtung ist vorteilhaft, jedoch nicht zwingend notwendig. Die lokale Begrenztheit der Datenverbindung ist notwendig, damit davon ausgegangen werden kann, dass ein mobiles Endgerät, wel- 3/9 österreichische!. Patentamt AT513 408B1 2014-11-15 ches Daten über diese lokale Datenverbindung empfangen kann, sich in dessen lokaler Nähe befindet. Wie stark diese lokale Begrenzung ausgeprägt sein muss hängt vom jeweiligen Anwendungsfall ab. Speziell die NFC Technologie ist darauf ausgelegt, die Kommunikation der beteiligten Geräte auf eine Distanz von wenigen Zentimetern begrenzen zu können. Andere denkbare Technologien wie WLAN erlauben die Kommunikation über eine deutlich größere Distanz mit einer weniger scharfen lokalen Begrenzung. Auch eine vom Betreiber einer solchen Vorrichtung ungewünschte Erweiterung der Distanz, über die ein mobiles Endgerät 2 Zugriffsdatensätze 6 empfangen kann, wäre bei Technologien wie WLAN deutlich einfacher, wodurch die Zuverlässigkeit des Verfahrens abnehmen würde. Es liegt an der jeweiligen Anwendung, welche konkreten Technologien für die lokal begrenzte Datenverbindung 7 in Frage kommen und es liegt an der jeweiligen Implementierung, sicherzustellen, dass die lokale Begrenztheit der Datenverbindung den jeweiligen Anforderungen entspricht.The access record 6 is transmitted from the key mechanism 3 via a locally limited data connection 7 to the mobile terminal 2. This transmission can take place via a multiplicity of different types of data connections 7. It is merely necessary that data can be transmitted from the key mechanism 3 to the mobile terminal 2 via the data connection 7; the transmission of data in the opposite direction is advantageous, but not absolutely necessary. The local limitation of the data connection is necessary so that it can be assumed that a mobile terminal, which is Austrian! Patent Office AT513 408B1 2014-11-15 data can be received via this local data connection, located in its local vicinity. How strong this local limitation must be depends on the respective application. Specifically, the NFC technology is designed to limit the communication of the participating devices to a distance of a few centimeters. Other conceivable technologies such as WLAN allow communication over a much greater distance with a less sharp local boundary. Also, an undesirable by the operator of such a device extension of the distance over which a mobile terminal 2 can receive access records 6, would be much easier in technologies such as WLAN, whereby the reliability of the method would decrease. It depends on the particular application which specific technologies are suitable for the locally limited data connection 7 and it is up to the respective implementation to ensure that the local limitation of the data connection corresponds to the respective requirements.
[0022] Vorteilhafter Weise kann der Schlüsselmechanismus 3 die lokale Nähe eines mobilen Endgerätes 2 feststellen, sowie dessen Wunsch, einen Zugriffsdatensatz 6 zu empfangen. In einem solchen Fall erstellt der Schlüsselmechanismus 3 genau dann einen Zugriffsdatensatz 6, wenn ein solcher von einem mobilen Endgerät 2 benötigt wird. Beispiele für diese Art lokaler Datenverbindungen sind NFC und Bluetooth. Sollte für die lokale Datenverbindung NFC verwendet werden, kann der Schlüsselmechanismus 3 z.B. eine ISO 14443 Karte emulieren (ISO 14443 card emulation mode) und den Zugriffsdatensatz 6 in Form einer URL über eine Standard NDEF Nachricht versenden, wodurch eine hohe Kompatibilität mit vielen existierenden mobilen Endgeräten gewährleistet werden kann.Advantageously, the key mechanism 3 can determine the local proximity of a mobile terminal 2 and its desire to receive an access record 6. In such a case, the key mechanism 3 will create an access record 6 if and only if needed by a mobile terminal 2. Examples of this type of local data connection are NFC and Bluetooth. Should NFC be used for the local data connection, the key mechanism 3 may be e.g. emulate an ISO 14443 card (ISO 14443 card emulation mode) and send the access record 6 in the form of a URL via a standard NDEF message, which ensures high compatibility with many existing mobile devices.
[0023] Verfügt der Schlüsselmechanismus 3 über keine Möglichkeit, die lokale Nähe eines mobilen Endgerätes 2 bzw. dessen Wunsch, einen Zugriffsdatensatz zu empfangen, festzustellen, so erstellt der Schlüsselmechanismus 3 fortlaufend neue Zugriffsdatensätze 6 und versendet diese an potentiell in der Nähe befindliche mobile Endgeräte 2. Ein Beispiel für diese Art lokaler Datenverbindungen 7 wäre die Übertragung in Form eines Barcodes, welcher vom Schlüsselmechanismus 3 erstellt und über ein am Schlüsselmechanismus 3 befindliches Display angezeigt wird. In diesem Fall würde das mobile Endgerät 2 den Zugriffsdatensatz 6 empfangen, indem der Barcode über eine im mobilen Endgerät 2 befindliche Kamera gelesen und entschlüsselt wird. Nach dem Empfang des Zugriffsdatensatzes 6 durch das mobile Endgerät 2 wird dieser vom mobilen Endgerät 2 verarbeitet. Vorteilhafter Weise veranlasst das mobile Endgerät 2 in weiterer Folge automatisch den weiteren Ablauf des Verfahrens und somit den Zugriff auf die im Zugriffsdatensatz 6 identifizierte Ressource 11. Ist der Zugriffsdatensatz 6 beispielsweise als URL ausgebildet, kann die automatische Verarbeitung am mobilen Endgerät 2 in der Form erfolgen, dass darauf ein Webbrowser gestartet und darin die URL geöffnet wird. Alternativ kann für die Verarbeitung des Zugriffsdatensatzes 6 eine Interaktion zwischen dem Benutzer 1 und dem mobilen Endgerät 2 eingebaut werden, z.B. indem der Benutzer 1 um eine Freigabe gefragt wird, bevor der Zugriff auf den Server 9 bzw. Ressource 11 erfolgt. Ein Benutzer 1 könnte auch zur Installation einer bestimmten, für die Verarbeitung des Zugriffsdatensatzes 6 notwendigen Software (App) aufgefordert werden.If the key mechanism 3 has no ability to determine the local proximity of a mobile terminal 2 or its desire to receive an access record, the key mechanism 3 continuously creates new access records 6 and sends them to potentially nearby mobile terminals 2. An example of this type of local data connections 7 would be the transmission in the form of a barcode, which is generated by the key mechanism 3 and displayed via a display located on the key mechanism 3. In this case, the mobile terminal 2 would receive the access record 6 by reading and decrypting the bar code via a camera located in the mobile terminal 2. After receiving the access data record 6 by the mobile terminal 2, this is processed by the mobile terminal 2. Advantageously, the mobile terminal 2 subsequently automatically initiates the further course of the method and thus access to the resource 11 identified in the access data record 6. If the access data record 6 is embodied as a URL, for example, the automatic processing can take place in the form at the mobile terminal 2 in that a web browser is started on it and the URL is opened in it. Alternatively, for the processing of the access record 6, an interaction between the user 1 and the mobile terminal 2 may be incorporated, e.g. by asking the user 1 for a release before accessing the server 9 or resource 11. A user 1 could also be requested to install a specific software (app) necessary for the processing of the access data record 6.
[0024] In weiterer Folge überträgt das mobile Endgerät 2 den Zugriffsdatensatz 6 über ein Netzwerk 8 zum Server 9. Im Beispiel eines Zugriffsdatensatzes 6 der als URL ausgeprägt wäre und über einen am mobilen Endgerät 2 installierten Web-Browser geöffnet würde, würde die Übertragung des Zugriffsdatensatzes 6 (der URL) in Form eines durch den Browser initiierten http bzw. https Requests realisiert.In the following example, the mobile terminal 2 transmits the access record 6 via a network 8 to the server 9. In the example of an access record 6 which would be pronounced as URL and would be opened via a web browser installed on the mobile terminal 2, the transmission of the Access record 6 (the URL) in the form of an initiated by the browser HTTP or https Requests realized.
[0025] Der Server 9 verfügt selbst über einen Schlüssel 10, der zum Schlüssel 4 des Schließmechanismus 3 passt, welcher Schlüssel 4 für die Signatur des Zugriffsdatensatzes 6 verwendet wurde. Mit Hilfe dieses Schlüssels 10 und geeigneter kryptografischer Verfahren stellt der Server 9 die Gültigkeit der Signatur des Zugriffsdatensatzes 6 fest.The server 9 itself has a key 10 which matches the key 4 of the locking mechanism 3, which key 4 was used for the signature of the access record 6. With the help of this key 10 and suitable cryptographic methods, the server 9 determines the validity of the signature of the access record 6.
[0026] Des Weiteren ist der Server 9 in der Lage, die zeitliche Nähe der Ausstellung des Zugriffsdatensatzes 6 festzustellen. Je nach konkreter Ausbildung des Zugriffsdatensatzes 6 kann dies beispielsweise dadurch erfolgen, dass der Server 9 den im Zugriffsdatensatz 6 enthaltenen Zeitpunkt der Ausstellung desselben ausliest und anhand einer im Server 9 vorhandenen Uhr 4/9 österreichisches Patentamt AT513 408B1 2014-11-15 feststellt, ob der zeitliche Abstand zur Ausstellung des Schlüsseldatensatzes 6 innerhalb vorgegebener Grenzen liegt. Ist sowohl die Gültigkeit der Signatur als auch die zeitliche Nähe zum Zeitpunkt der Ausstellung des Zugriffsdatensatzes 6 gegeben, gewährt der Server 9 den Zugriff auf die geschützte Ressource 11 durch das mobile Endgerät 2.Furthermore, the server 9 is able to determine the temporal proximity of the issuance of the access data set 6. Depending on the specific design of the access data set 6, this can be done, for example, by the server 9 reading out the time of issuing contained in the access data record 6 and ascertaining whether or not there is an existing clock in the server 9 the time interval for issuing the key data record 6 is within predetermined limits. Given both the validity of the signature and the temporal proximity at the time of issue of the access record 6, the server 9 grants access to the protected resource 11 by the mobile terminal 2.
[0027] Der Server 9 muss die Überprüfung des Zugriffsdatensatzes 6 nicht zwingendermaßen selbst ausführen sondern kann diese auch an eine weitere Instanz delegieren. Insgesamt sind für die Implementierung des Servers 9 sowie die Auslieferung der Ressource 11 verschiedene Techniken denkbar, wie sie heute z.B. in Web-Servern eingesetzt werden, einschließlich der Delegierung von Teilaufgaben an andere Systeme, sofern die zuvor genannten Bedingungen erfüllt werden.The server 9 does not necessarily have to carry out the verification of the access data record 6 itself but can also delegate it to another instance. Overall, various techniques are conceivable for the implementation of the server 9 and the delivery of the resource 11, as they are today, for example. used in web servers, including the delegation of subtasks to other systems, provided the above conditions are met.
[0028] Bei der geschützten Ressource 11 kann es sich um verschiedenste Arten von Ressourcen handeln, z.B. um einzelne Dateien wie Bilddateien oder um ganze Websites auf denen in weiterer Folge weitere Interaktionen durchgeführt werden. Es ist auch denkbar, das Verfahren bzw. die Vorrichtung mit weiteren Authentifizierungsmechanismen, z.B. mit Benutzername und Passwort zu kombinieren. Auf diese Weise ist z.B. die Nutzung im Rahmen einer Mehr-Faktor-Authentifizierung möglich.The protected resource 11 may be a variety of types of resources, e.g. to individual files such as image files or entire websites on which subsequently further interactions are performed. It is also conceivable to use the method or device with further authentication mechanisms, e.g. to combine with username and password. In this way, e.g. the use in the context of a multi-factor authentication possible.
[0029] Sollte die Vorrichtung bzw. das Verfahren nicht zum Zugriff auf eine einzelne Datei sondern auf mehrere Dateien bzw. eine weiterführende Interaktion verwendet werden, so sind zum Vorhalten des Authentifizierungsergebnisses bekannte Verfahren anwendbar. Im Falle der Nutzung mit einem Web-Server kann das Authentifizierungsergebnis z.B. in Form eines HTTP-Cookies gespeichert werden.If the device or the method is not used to access a single file but rather to a plurality of files or a further interaction, known methods are applicable for holding the result of the authentication. In the case of use with a web server, the authentication result may be e.g. be stored in the form of an HTTP cookie.
[0030] Fig. 2 zeigt ein schematisches Ablaufdiagramm eines erfindungsgemäßen Verfahrens. Im Diagramm ist die Variante illustriert, in der der Schlüsselmechanismus in Schritt a1 fortlaufend neue Zugriffsschlüssel 6 erstellt, ohne die lokale Nähe eines mobilen Endgerätes 2 zu berücksichtigen. Der Schlüsselmechanismus 3 erstellt in Schritt a1 mit Hilfe seines Schlüssels 4 und mit Hilfe eines Zeitgebers 5, fortlaufend, in festgelegten Abständen, neue Zugriffsdatensätze 6 und versendet diese über eine lokal begrenzte Datenverbindung 7 an potentiell in der Nähe befindliche mobile Endgeräte. Die Häufigkeit der Erstellung neuer Zugriffsdatensätze 6 wird dabei idealer Weise so gewählt, dass ein neuer Zugriffsdatensatz spätestens dann erstellt wird, wenn der zuvor erstellte Zugriffsdatensatz ein Alter erreicht hat, das dazu führt, dass er vom Server 9 nicht mehr als gültig akzeptiert wird.Fig. 2 shows a schematic flow diagram of a method according to the invention. The diagram illustrates the variant in which the key mechanism continuously creates new access keys 6 in step a1, without taking into account the local proximity of a mobile terminal 2. The key mechanism 3 creates in step a1 by means of his key 4 and by means of a timer 5, continuously, at fixed intervals, new access records 6 and sends them over a localized data connection 7 to potentially nearby mobile terminals. The frequency of creating new access records 6 is ideally chosen so that a new access record is created at the latest when the previously created access record has reached an age that causes the server 9 is no longer accepted as valid.
[0031] Ein Benutzer 1 bringt sein mobiles Endgerät 2 in Schritt a2 in die lokale Nähe des Schlüsselmechanismus 3. Das mobile Endgerät 2 empfängt in Schritt a3 über die lokale Datenverbindung 7 den Zugriffsdatensatz 6. Das mobile Endgerät 2 verarbeitet diesen und sendet ihn in Schritt a4 über ein Netzwerk 8 weiter an den Server 9. Dieser Server 9 überprüft in Schritt a5 den Zugriffsdatensatz 6 anhand des eigenen Schlüssels 10 und der aktuellen Uhrzeit auf Gültigkeit. Ist diese Gültigkeit gegeben, sendet er in Schritt a6 die gewünschte Ressource zurück an das mobile Endgerät 2, welches diese in Schritt a7 verarbeitet, z.B. dem Benutzer präsentiert. Die Rückgabe der konkreten Ressource in Schritt a6 muss dabei nicht unmittelbar erfolgen sondern kann anhand bekannter Techniken auch indirekt erfolgen, z.B. indem der Server 9 an das mobile Endgerät lediglich das Autorisierungsergebnis und eine Umleitung auf die eigentliche Ressource zurücksendet.A user 1 brings his mobile terminal 2 in step a2 in the local vicinity of the key mechanism 3. The mobile terminal 2 receives the access record 6 via the local data connection 7 in step a3. The mobile terminal 2 processes it and sends it in step a4 via a network 8 on to the server 9. This server 9 checks in step a5 the access record 6 based on the own key 10 and the current time for validity. If this validity is given, it sends the desired resource back to the mobile terminal 2 in step a6, which processes it in step a7, e.g. presented to the user. The return of the concrete resource in step a6 need not be immediate, but can also be done indirectly by known techniques, e.g. in that the server 9 sends back to the mobile terminal only the authorization result and a redirection to the actual resource.
[0032] In den Schritten a8 kann das Autorisierungsergebnis potentiell für eine fortlaufende Kommunikation verwendet werden. 5/9In steps a8, the authorization result can potentially be used for continuous communication. 5.9
Claims (20)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ATA1053/2012A AT513408B1 (en) | 2012-09-27 | 2012-09-27 | Method and device for accessing a network resource by a mobile terminal with temporal and local limitation |
PCT/AT2013/000154 WO2014047666A1 (en) | 2012-09-27 | 2013-09-25 | Method and device for accessing a network resource via a mobile terminal device with temporal and local limiting |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ATA1053/2012A AT513408B1 (en) | 2012-09-27 | 2012-09-27 | Method and device for accessing a network resource by a mobile terminal with temporal and local limitation |
Publications (2)
Publication Number | Publication Date |
---|---|
AT513408A1 AT513408A1 (en) | 2014-04-15 |
AT513408B1 true AT513408B1 (en) | 2014-11-15 |
Family
ID=49626766
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ATA1053/2012A AT513408B1 (en) | 2012-09-27 | 2012-09-27 | Method and device for accessing a network resource by a mobile terminal with temporal and local limitation |
Country Status (2)
Country | Link |
---|---|
AT (1) | AT513408B1 (en) |
WO (1) | WO2014047666A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014206989A1 (en) | 2014-04-11 | 2015-10-15 | Siemens Aktiengesellschaft | Method and system for the deterministic autoconfiguration of a device |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080182592A1 (en) * | 2007-01-26 | 2008-07-31 | Interdigital Technology Corporation | Method and apparatus for securing location information and access control using the location information |
US20110087887A1 (en) * | 2009-10-09 | 2011-04-14 | Achim Luft | Methods and apparatus for digital attestation |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7024552B1 (en) * | 2000-08-04 | 2006-04-04 | Hewlett-Packard Development Company, L.P. | Location authentication of requests to a web server system linked to a physical entity |
SE532098C2 (en) * | 2005-08-23 | 2009-10-20 | Smarttrust Ab | Authentication system and procedure |
-
2012
- 2012-09-27 AT ATA1053/2012A patent/AT513408B1/en active
-
2013
- 2013-09-25 WO PCT/AT2013/000154 patent/WO2014047666A1/en active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080182592A1 (en) * | 2007-01-26 | 2008-07-31 | Interdigital Technology Corporation | Method and apparatus for securing location information and access control using the location information |
US20110087887A1 (en) * | 2009-10-09 | 2011-04-14 | Achim Luft | Methods and apparatus for digital attestation |
Also Published As
Publication number | Publication date |
---|---|
WO2014047666A1 (en) | 2014-04-03 |
AT513408A1 (en) | 2014-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2856437B1 (en) | Method and device for control of a lock mechanism using a mobile terminal | |
EP2820816B1 (en) | Authentication method for a passenger and corresponding software | |
EP3764614B1 (en) | Distributed authentication system | |
EP3078177B1 (en) | Method for accessing a data memory of a cloud computer system using a modified domain name system (dns) | |
EP2393032A1 (en) | Method for running an application with the help of a portable data storage device | |
EP3314868B1 (en) | Exchanging data with a laser or a machine tool | |
DE102017203235A1 (en) | Method and system for enabling user access to a server coupled to an embedded system | |
EP3217694B1 (en) | Device and method for connecting a mobile device with a field device | |
DE102013224279A1 (en) | Method and system for providing an assistance suggestion to a user of a motor vehicle | |
WO2009052983A1 (en) | Internet-smart-card | |
AT513408B1 (en) | Method and device for accessing a network resource by a mobile terminal with temporal and local limitation | |
EP2634652B1 (en) | Device for configuration of at least one device involved in building system technology or door communication | |
EP3825880B1 (en) | Protected iot device reset | |
DE102013227141A1 (en) | Transfer of a user interface | |
DE102014204344B4 (en) | Authentication device, authentication system and authentication method | |
EP3276879B1 (en) | Method for operating an assembly comprising a substation and at least one terminal connected thereto | |
EP2952029A1 (en) | Method for accessing a service of a server using an application of a terminal | |
EP3310081A1 (en) | Device authentication of air personnel mobile devices on board aircraft | |
WO2014124765A1 (en) | Device and method for the secure management of access codes | |
EP3289751B1 (en) | Transmission of a one-time key via infrared signal | |
EP3435697B1 (en) | Method for authenticating a user against a service provider and authentication system | |
DE10358021B3 (en) | Setting up two types of communication connections between two users, performing multi-step process to set up either first connection, e.g. telephone connection, or second connection based on computer network, e.g. internet | |
EP3206357A1 (en) | Using a non-local cryptography method after authentication | |
EP2843980B1 (en) | Mobile communication device and method for receiving data packets | |
EP3823235A1 (en) | Connection-specific tested data transmission via a cryptographically authenticated network connection |