AT513408B1 - Method and device for accessing a network resource by a mobile terminal with temporal and local limitation - Google Patents

Method and device for accessing a network resource by a mobile terminal with temporal and local limitation Download PDF

Info

Publication number
AT513408B1
AT513408B1 ATA1053/2012A AT10532012A AT513408B1 AT 513408 B1 AT513408 B1 AT 513408B1 AT 10532012 A AT10532012 A AT 10532012A AT 513408 B1 AT513408 B1 AT 513408B1
Authority
AT
Austria
Prior art keywords
mobile terminal
resource
access
server
accessing
Prior art date
Application number
ATA1053/2012A
Other languages
German (de)
Other versions
AT513408A1 (en
Inventor
Markus Minichmayr
Original Assignee
Phactum Softwareentwicklung Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phactum Softwareentwicklung Gmbh filed Critical Phactum Softwareentwicklung Gmbh
Priority to ATA1053/2012A priority Critical patent/AT513408B1/en
Priority to PCT/AT2013/000154 priority patent/WO2014047666A1/en
Publication of AT513408A1 publication Critical patent/AT513408A1/en
Application granted granted Critical
Publication of AT513408B1 publication Critical patent/AT513408B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04B5/48
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W52/00Power management, e.g. TPC [Transmission Power Control], power saving or power classes
    • H04W52/02Power saving arrangements
    • H04W52/0209Power saving arrangements in terminal devices
    • H04W52/0251Power saving arrangements in terminal devices using monitoring of local events, e.g. events related to user activity
    • H04W52/0258Power saving arrangements in terminal devices using monitoring of local events, e.g. events related to user activity controlling an operation mode according to history or models of usage information, e.g. activity schedule or time of day
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephone Function (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung welche einem Benutzer mit Hilfe eines mobilen Endgerätes, über ein Netzwerk, insbesondere das Internet, den Zugriff auf eine Ressource ermöglichen, wobei dieser Zugriff durch einen Server gesteuert wird, welcher zuverlässig feststellen kann, ob das mobile Endgerät sich zum ungefähren Zeitpunkt der Überprüfung in der Nähe eines Schlüsselmechanismus befindet. Die Identität der Ressource und des Servers werden durch den vorgenannten Schlüsselmechanismus festgelegt, das mobile Endgerät muss nicht manuell auf die konkrete Ressource eingestellt werden. Der Schlüsselmechanismus stellt dazu Zugriffsdatensätze aus (z.B. in Form von URLs), welche die Ressource identifizieren, einen zeitlichen Bezug aufweisen und digital signiert sind. Diese werden über eine lokale Datenverbindung (z.B. NFC) an das mobile Endgerät versandt welches diese vorzugsweise automatisiert verarbeitet und damit auf die Ressource zugreifen kann, wobei der Server die Signatur und die zeitliche Nähe prüft und anhand dieser den Zugriff steuert.The invention relates to a method and a device which allow a user with the aid of a mobile terminal, via a network, in particular the Internet, access to a resource, wherein this access is controlled by a server, which can reliably determine whether the mobile terminal is near a key mechanism at the time of review. The identity of the resource and the server are determined by the aforementioned key mechanism, the mobile terminal need not be manually set to the concrete resource. The key mechanism exposes access records (e.g., in the form of URLs) that identify the resource, have a temporal reference, and are digitally signed. These are sent via a local data connection (for example NFC) to the mobile terminal, which preferably processes them automatically and thus accesses the resource, whereby the server checks the signature and the proximity and uses this to control the access.

Description

österreichisches Patentamt AT513 408B1 2014-11-15Austrian Patent Office AT513 408B1 2014-11-15

Beschreibung [0001] Die Erfindung betrifft ein Verfahren zum Zugriff auf eine Netzwerkressource durch ein mobiles Endgerät mit zeitlicher und lokaler Begrenzung.Description [0001] The invention relates to a method for accessing a network resource by a mobile terminal with temporal and local limitation.

[0002] Die Erfindung betrifft des Weiteren eine Vorrichtung zum Zugriff auf eine Netzwerkressource durch ein mobiles Endgerät mit zeitlicher und lokaler Begrenzung, wobei die Netzwerkressource (in weiterer Folge einfach „Ressource") durch einen Schlüsselmechanismus identifiziert wird, und wobei das mobile Endgerät über Mittel verfügt, Daten von Geräten in dessen lokaler Umgebung zu empfangen, sowie über Mittel zur Herstellung einer Verbindung zu einem Netzwerk, insbesondere dem Internet. Das mobile Endgerät verfügt idealer Weise über eine elektronische Benutzerschnittstelle, insbesondere ein grafisches Display, ein Touchscreen oder dergleichen.The invention further relates to a device for accessing a network resource by a mobile terminal with temporal and local limitation, wherein the network resource (hereinafter simply "resource") is identified by a key mechanism, and wherein the mobile terminal via means has to receive data from devices in its local environment, as well as means for establishing a connection to a network, in particular the Internet. The mobile terminal ideally has an electronic user interface, in particular a graphic display, a touchscreen or the like.

[0003] Die Erfindung sieht des Weiteren einen Server vor, welcher den Zugriff durch das mobile Endgerät (z.B. Smartphone, Tablet-PC, Rechner, Fahrzeug, etc.) auf die durch den Schlüsselmechanismus identifizierte Ressource steuert, insbesondere den Zugriff ermöglichen oder verhindern kann. Das Verfahren ist so konzipiert, dass es einem Benutzer erlaubt, gegenüber diesem Server glaubhaft zu machen, dass der Benutzer bzw. dessen mobiles Endgerät sich zum Zeitpunkt der Ausführung des Verfahrens in lokaler Nähe zum genannten Schlüsselmechanismus befindet oder kurz davor befunden hat. Es ist vorgesehen, dass der Server den Zugriff auf die identifizierte Ressource nur dann ermöglicht, wenn diese Voraussetzung gegeben ist.The invention further provides a server which controls the access by the mobile device (eg smartphone, tablet PC, computer, vehicle, etc.) to the identified by the key mechanism resource, in particular allow or prevent the access , The method is designed to allow a user to make credible to that server that the user or his mobile terminal is at or near the local key mechanism at the time the method is performed. It is envisaged that the server will only allow access to the identified resource if that condition is met.

[0004] Die Identität der Ressource, auf welche Zugriff gewährt werden soll, sowie des Servers, welcher den Zugriff steuert, wird dem mobilen Endgerät durch den Schlüsselmechanismus bekanntgegeben und kann somit von diesem Schlüsselmechanismus gesteuert werden. Das mobile Endgerät und der Server verfügen über Mittel, die es dem mobilen Endgerät ermöglichen, über ein Netzwerk eine Verbindung zum Server herzustellen. Die konkrete Identität des Servers selbst muss dem mobilen Endgerät am Anfang der Ausführung des Verfahrens jedoch noch nicht bekannt sein, sondern das mobile Endgerät erfährt die Identität des Servers und der Ressource vom vorgenannten Schlüsselmechanismus. Dadurch wird es einem Benutzer im Rahmen des gegenständlichen Verfahrens mit Hilfe seines mobilen Endgerätes möglich, auf unterschiedliche Server bzw. Ressourcen zuzugreifen, ohne dass das mobile Endgerät zuvor jeweils auf diese eingestellt werden müsste. Die Verknüpfung mit einem bestimmten Server bzw. einer bestimmten Ressource liegt alleine am Schlüsselmechanismus.The identity of the resource to which access is to be granted, as well as the server controlling the access, is communicated to the mobile terminal through the key mechanism and thus can be controlled by this key mechanism. The mobile terminal and the server have means for enabling the mobile terminal to connect to the server over a network. However, the actual identity of the server itself need not be known to the mobile terminal at the beginning of the execution of the method, but the mobile terminal experiences the identity of the server and the resource from the aforementioned key mechanism. This makes it possible for a user in the context of the subject method with the help of his mobile device to access different servers or resources, without the mobile terminal would have to be previously set to each of these. The link to a specific server or resource is the key mechanism alone.

[0005] Im Sinne dieser Erfindung bringt der Benutzer das mobile Endgerät in die Nähe des Schlüsselmechanismus, sodass das mobile Endgerät Daten vom Schlüsselmechanismus empfangen kann (z.B. per Near Field Communication (NFC), RFID, Bluetooth, dynamisch generierte optische Barcodes, etc.). Der Schlüsselmechanismus erzeugt, entweder angeregt durch die lokale Nähe des mobilen Endgeräts oder aber ständig, ohne die lokale Nähe eines mobilen Endgerätes zu berücksichtigen, ein Datenpaket, in weiterer Folge digitaler Zugriffsdatensatz genannt, das folgende Eigenschaften aufweist: [0006] · Der digitale Zugriffsdatensatz enthält einen Verweis auf den Server, der den Zugriff steuern soll sowie einen Verweis auf die konkrete Ressource, auf die Zugriff gewährt werden soll.For the purposes of this invention, the user brings the mobile terminal in the vicinity of the key mechanism, so that the mobile terminal can receive data from the key mechanism (eg, near field communication (NFC), RFID, Bluetooth, dynamically generated optical bar codes, etc.) , The key mechanism, either stimulated by the local proximity of the mobile terminal or constantly without taking into account the local proximity of a mobile terminal, generates a data packet, hereafter referred to as a digital access record, having the following characteristics: The digital access record contains a reference to the server intended to control access and a reference to the specific resource to which access is to be granted.

[0007] · Der digitale Zugriffsdatensatz ist so gestaltet, dass der Server feststellen kann, ob dieser in zeitlicher Nähe zum Zeitpunkt der Autorisierung erstellt wurde.· The digital access record is designed so that the server can determine if it was created in close proximity to the time of authorization.

[0008] · Der digitale Zugriffsdatensatz ist so gestaltet, dass der Server feststellen kann, dass der Zugriffsdatensatz von einem Schlüsselmechanismus ausgestellt wurde, dem der Server vertraut.· The digital access record is designed so that the server can determine that the access record has been issued by a key mechanism that the server trusts.

[0009] Der Zugriffsdatensatz ist idealer Weise so gestaltet, dass er vom mobilen Endgerät automatisch verarbeitet werden kann und das mobile Endgerät ist idealer Weise ausgebildet, solche Zugriffsdatensätze automatisch zu verarbeiten. Der Zugriffsdatensatz kann z.B. als 1 /9 österreichische.1. Patentamt AT513 408B1 2014-11-15 einheitlicher Quellenanzeiger (uniform resource locator, URL) ausgeprägt sein, der die zuvor genannten Eigenschaften aufweist und der das mobile Endgerät veranlasst, die entsprechende Webseite in einem Web-Browser zu öffnen und anzuzeigen.The access record is ideally designed so that it can be automatically processed by the mobile device and the mobile device is ideally designed to automatically process such access records. The access record may e.g. as 1/9 Austrian.1. Patent Office AT513 408B1 2014-11-15 uniform resource locator (URL), which has the aforementioned characteristics and which causes the mobile terminal to open and display the corresponding web page in a web browser.

[0010] Der Zugriffsdatensatz wird vom mobilen Endgerät zum Server übertragen und von diesem auf Korrektheit geprüft, insbesondere wird überprüft, ob der Zugriffsdatensatz in zeitlicher Nähe zum Zeitpunkt der Überprüfung ausgestellt wurde und ob der Zugriffsdatensatz von einem Schlüsselmechanismus ausgestellt wurde, dem der Server vertraut. Wird der Zugriffsdatensatz vom Server akzeptiert, gibt dieser den Zugriff auf die identifizierte Ressource frei. Der Zugriff durch das mobile Endgerät auf die identifizierte Ressource inklusive möglicher zusätzlicher Autorisierungsschritte erfolgt in weiterer Folge nach bekannten Verfahren.The access record is transmitted from the mobile terminal to the server and checked for correctness, in particular it is checked whether the access record was issued in temporal proximity at the time of review and whether the access record was issued by a key mechanism that the server trusts. If the access record is accepted by the server, it frees access to the identified resource. The access by the mobile terminal to the identified resource, including possible additional authorization steps, is subsequently carried out according to known methods.

[0011] Bereits bekannt ist die Nutzung von Hardwaremodulen, die zeitlich begrenzt gültige Zugriffsschlüssel erzeugen (z.B. RSA Secure ID). Ebenfalls bereits bekannt ist die Nutzung von Hardwaremodulen zur Erzeugung von Einmalpassworten, die von mobilen Endgeräten über lokale Datenverbindungen (z.B. per NFC) ausgelesen werden können.Already known is the use of hardware modules that generate valid temporary access key (for example, RSA Secure ID). Also already known is the use of hardware modules for the generation of one-time passwords, which can be read by mobile terminals via local data connections (for example by NFC).

[0012] Die Aufgabe der vorliegenden Erfindung besteht in der Schaffung eines oben genannten Verfahrens und einer oben genannten Vorrichtung mit deren Hilfe dem Benutzer eines mobilen Endgerätes besonders einfach Zugriff auf eine durch einen Schlüsselmechanismus identifizierte Ressource erteilt werden kann, wobei der beteiligte Server darauf vertrauen kann, dass sich das mobile Endgerät zum Zeitpunkt der Autorisierung oder zumindest kurz davor in lokaler Nähe zum Schlüsselmechanismus befindet oder befunden hat. Durch diese neuartige Kombination wird eine Klasse von Anwendungen möglich, die bei Nutzung herkömmlicher Verfahren und Vorrichtungen nicht möglich wäre.The object of the present invention is to provide a method and a device mentioned above with the help of the user of a mobile terminal particularly easy access to an identified by a key mechanism resource can be issued, the server involved can rely on it in that the mobile terminal is or has been in local proximity to the key mechanism at the time of authorization or at least shortly before. This novel combination enables a class of applications that would not be possible using conventional methods and devices.

[0013] Ein Anwendungsbeispiel für das gegenständliche Verfahren bzw. die gegenständliche Vorrichtung ist die Nutzung in einem Restaurant zur Bestellung von Speisen und Getränken durch Gäste. Auf jedem Tisch ist in der Tischplatte ein Schlüsselmechanismus gemäß der gegenständlichen Erfindung integriert, wobei dieser optisch so markiert ist, dass dessen Zweck für Gäste erkennbar ist. Bei der vom Schlüsselmechanismus identifizierten Ressource handelt es sich um eine Website, auf der das Restaurant Bestellungen für den konkreten Tisch entgegennimmt. Ein Restaurantbesucher bringt sein Mobiltelefon in die Nähe des Schlüsselmechanismus, sodass es Daten von diesem empfangen kann (z.B. per NFC). Der Schlüsselmechanismus versendet in diesem Beispiel eine URL, die auf den Webserver des Restaurants und darauf auf die Webseite des jeweiligen Tisches verweist. Die URL enthält außerdem weitere Daten entsprechend der gegenständlichen Erfindung, konkret Datum und Uhrzeit zum Zeitpunkt der Ausstellung der URL und eine Signatur, die mit dem privaten Schlüssel des Schlüsselmechanismus erstellt wurde über welchen nur dieser verfügt. Das Mobiltelefon öffnet daraufhin in einem Web-Browser die empfangene URL bzw. die entsprechende Webseite auf der für den konkreten Tisch Speisen und Getränke bestellt werden können. Die Website bzw. der Server prüft die in der URL enthaltenen Daten und leitet auf die Bestellseite des jeweiligen Tisches (Ressource) um, sofern der Zugriffsdatensatz (die URL) entsprechend des gegenständlichen Verfahrens als gültig bewertet wird (lokale und zeitliche Nähe sowie gültige Signatur). Da das Verfahren bei erfolgreicher Durchführung sowohl lokale Nähe des Endgerätes zum Schlüsselmechanismus garantiert, der in diesem Beispiel im Tisch integriert ist, als auch, dass die lokale Nähe zeitlich nahe am Zeitpunkt der Bestellung lag, kann das Restaurant beim Eingang einer Bestellung mit ausreichender Sicherheit davon ausgehen, dass die Bestellung von den Personen kommt, die zum Zeitpunkt der Bestellung am in der Bestellung genannten Tisch sitzen. Durch die Verwendung von Standardtechnologien (in diesem Beispiel NFC, URL, Web Browser, Internet am Smartphone), kann ein Benutzer eine entsprechende Vorrichtung nutzen, ohne sein mobiles Endgerät (z.B. sein Smartphone) konkret auf die Bestellung von Speisen und Getränken oder ein bestimmtes Restaurant vorzubereiten. Stattdessen können mit demselben mobilen Endgerät unterschiedliche derartige Vorrichtungen (z.B. in unterschiedlichen Restaurants) genutzt werden, ohne dass das mobile Endgerät jeweils manuell für den jeweiligen Fall konfiguriert werden müsste.An application example of the subject method or the subject device is the use in a restaurant for ordering food and drinks by guests. On each table a key mechanism according to the subject invention is integrated in the table top, which is visually marked so that its purpose is recognizable to guests. The resource identified by the key mechanism is a website where the restaurant receives orders for the specific table. A restaurant visitor brings his mobile phone close to the key mechanism so that it can receive data from it (for example, via NFC). The key mechanism in this example sends a URL pointing to the web server of the restaurant and then to the web page of the particular table. The URL also contains other data according to the subject invention, specifically the date and time at the time of issuance of the URL and a signature created with the private key of the key mechanism which only this one possesses. The mobile phone then opens in a web browser, the received URL or the corresponding website on the table for the food and drinks can be ordered. The website or the server checks the data contained in the URL and redirects to the order page of the respective table (resource), provided that the access data set (the URL) is validated according to the current procedure (local and temporal proximity as well as valid signature). , Since the procedure, if successful, guarantees both local closeness of the terminal to the key mechanism, which in this example is integrated into the table, and that the local proximity was close to the time of ordering, the restaurant can with sufficient certainty receive it upon receipt of an order assume that the order comes from the persons sitting at the time of the order at the table named in the order. By using standard technologies (in this example NFC, URL, web browser, Internet on the smartphone), a user can use a corresponding device, without his mobile device (eg his smartphone) specifically to the order of food and drinks or a specific restaurant prepare. Instead, with the same mobile terminal, different such devices (e.g., in different restaurants) may be used without having to manually configure the mobile terminal for each case.

[0014] Die Erfindung wird anhand der beigefügten Zeichnungen näher erläutert. Darin zeigen: 2/9 österreichisches Patentamt AT513 408B1 2014-11-15 [0015] Fig. 1 ein schematisches Blockdiagramm einer erfindungsgemäßen Vorrichtung [0016] Fig. 2 ein schematisches Ablaufdiagramm eines erfindungsgemäßen Verfahrens [0017] Fig. 1 zeigt ein schematisches Blockdiagramm einer erfindungsgemäßen Vorrichtung welche einem Benutzer 1 mit Hilfe dessen mobilen Endgerätes 2 den Zugriff auf eine Ressource 11 ermöglicht, wobei diese Ressource 11 von einem Schlüsselmechanismus 3 identifiziert wird. Der Schlüsselmechanismus 3 ist in der Lage, Zugriffsdatensätze 6 zu erstellen, welche Zugriffsdatensätze 6 einen Verweis auf den Server 9, die identifizierte Ressource 11 sowie einen Hinweis auf den Ausstellungszeitpunkt enthalten, welchen Ausstellungszeitpunkt der Schlüsselmechanismus 3 von einem Zeitgeber 5 erhält. Vorteilhafter Weise enthält der Zugriffsdatensatz des Weiteren einen Hinweis auf die Identität des Schlüsselmechanismus 3, sodass bei einer späteren Analyse eines Zugriffsdatensatzes 6 nicht nur festgestellt werden kann, dass dieser von einem vertrauenswürdigen Schlüsselmechanismus ausgestellt wurde sondern von welchem konkreten Schlüsselmechanismus 3 ein konkreter Zugriffsdatensatz 6 ausgestellt wurde. Diese Zugriffsdatensätze 6 sind des Weiteren mit einem digitalen Schlüssel 4 signiert, welcher dem Schlüsselmechanismus bekannt ist. Die Signatur signiert vorteilhafter Weise den gesamten Inhalt des Schlüsselmechanismus 6 (außer der Signatur selbst), kann jedoch in konkreten Implementierungen auch nur Teile des Zugriffsdatensatzes 6 umfassen. Insbesondere kann in bestimmten Implementierungen auf die Signatur der Identität des Servers 9 verzichtet werden, sodass diese z.B. bei der Weiterleitung des Zugriffsdatensatzes 6 in komplexen Netzwerken 8 (z.B. über Reverse-Proxy-Server) ersetzt werden kann. Die Signatur muss jedoch zumindest jenen Teil des Zugriffsdatensatzes 6 umfassen, der später genutzt wird um die zeitliche Nähe der Ausstellung des Zugriffsdatensatzes 6 zum Zeitpunkt der Überprüfung festzustellen. Je nach Beschaffenheit der Signatur kann diese ggf. implizit die Identität des Schlüsselmechanismus 3 enthalten. Die Signatur erfolgt mit einem geeigneten kryptografischen Verfahren. Es sind grundsätzlich sowohl asymmetrische als auch symmetrische Verfahren geeignet wobei bei symmetrischen Verfahren (z.B. AES in Kombination mit SHA1) die Schlüssel 4 und 10 identisch sind und möglichst nur dem Schlüsselmechanismus 3 sowie dem Server 9 bekannt sein sollten während bei asymmetrischen Verfahren (z.B. Digital Signature Algorithm, DSA) der private Schlüssel 4 nur dem Schlüsselmechanismus bekannt sein sollte während die Geheimhaltung des öffentlichen Schlüssels 10 nicht notwendig ist.The invention will be explained in more detail with reference to the accompanying drawings. FIG. 1 shows a schematic block diagram of a device according to the invention; FIG. 2 shows a schematic flow diagram of a method according to the invention; FIG. 1 shows a schematic block diagram of a device according to the invention Device according to the invention which enables a user 1 to access a resource 11 with the aid of the mobile terminal 2, this resource 11 being identified by a key mechanism 3. The key mechanism 3 is capable of creating access records 6, which access records 6 contain a reference to the server 9, the identified resource 11, and an indication of the issuing time, which issuing timing the key mechanism 3 receives from a timer 5. Advantageously, the access record further contains an indication of the identity of the key mechanism 3, so that in a later analysis of an access record 6 not only can be found that this was issued by a trusted key mechanism but from which specific key mechanism 3 a concrete access record 6 was issued , These access records 6 are further signed with a digital key 4 known to the key mechanism. The signature advantageously signs the entire content of the key mechanism 6 (except for the signature itself), but in specific implementations may also comprise only parts of the access data record 6. In particular, in certain implementations, the signature of the identity of the server 9 may be omitted, such that e.g. in the forwarding of access record 6 in complex networks 8 (e.g., via reverse proxy servers). However, the signature must at least include that part of the access record 6 which is later used to determine the temporal proximity of the issuance of the access record 6 at the time of the check. Depending on the nature of the signature, it may possibly implicitly contain the identity of the key mechanism 3. The signature is made using a suitable cryptographic method. In principle, both asymmetric and symmetrical methods are suitable, whereby in symmetric methods (eg AES in combination with SHA1) the keys 4 and 10 are identical and should only be known to the key mechanism 3 and the server 9, while in asymmetrical methods (eg Digital Signature Algorithm, DSA), the private key 4 should be known only to the key mechanism while the secrecy of the public key 10 is not necessary.

[0018] Der Zugriffsdatensatz kann vorteilhafter Weise in Form einer URL erstellt werden, da solche URLs einen weit verbreiteten Standard darstellen, und diese URLs von vielen unterschiedlichen Arten von mobilen Endgeräten verarbeitet werden können. Der Aufbau einer solchen URL könnte z.B. wie folgt sein: [0019] https://examplerestaurant.org/table1 ?t=2012-07-03T182210&tagid=123&sig=xxxxxxxxxxx [0020] In diesem Fall repräsentiert der Teil „httpsy/exampierestaurant.orq/tabiel" den zu kontaktierenden Server 9 sowie die geschützte Ressource ii. Der Teil „t=2Ö12- Ö7-03T182210" repräsentiert den Zeitpunkt der Ausstellung des Zutrittsdatensatzes. Der Teil „tagid=123" repräsentiert optionale zusätzliche Daten, die im Autorisierungsdatensatz 6 enthalten sein können, z.B. die Identität des Schlüsselmechanismus 3. Der Teil „sig=xxxxxxxxxxx" repräsentiert die Signatur, welche vom Schlüsselmechanismus 3 mit Hilfe des Schlüssels 4 erstellt wird und mit welcher Signatur die restlichen Teile der URL signiert werden, sodass der Server 9 mit Hilfe des eigenen Schlüssels 10 überprüfen kann, dass die Daten im Zugriffsdatensatz 6 von einem vertrauenswürdigen Schlüsselmechanismus 3 ausgestellt und danach nicht manipuliert wurden.The access record can be advantageously created in the form of a URL, since such URLs represent a widely used standard, and these URLs can be processed by many different types of mobile terminals. The construction of such a URL could e.g. like this: https://examplerestaurant.org/table1?t = 2012-07-03T182210 & tagid = 123 & sig = xxxxxxxxxxx In this case, the part "httpsy / exampierestaurant.orq / tabiel " the server 9 to be contacted and the protected resource ii. The part "t = 2Ö12- Ö7-03T182210 " represents the time of issue of the access data record. The part "tagid = 123 " represents optional additional data that may be included in the authorization record 6, e.g. the identity of the key mechanism 3. The part "sig = xxxxxxxxxxx " represents the signature that is generated by the key mechanism 3 using the key 4 and with which signature the remaining parts of the URL are signed, so that the server 9 using its own key 10 can verify that the data in the access record 6 from a trusted key mechanism 3 issued and then not manipulated.

[0021] Der Zugriffsdatensatz 6 wird vom Schlüsselmechanismus 3 über eine lokal begrenzte Datenverbindung 7 zum mobilen Endgerät 2 übertragen. Diese Übertragung kann über eine Vielzahl unterschiedlicher Arten von Datenverbindungen 7 erfolgen. Es ist dabei lediglich erforderlich, dass über die Datenverbindung 7 Daten vom Schlüsselmechanismus 3 zum mobilen Endgerät 2 übertragen werden können, die Übertragung von Daten in entgegengesetzter Richtung ist vorteilhaft, jedoch nicht zwingend notwendig. Die lokale Begrenztheit der Datenverbindung ist notwendig, damit davon ausgegangen werden kann, dass ein mobiles Endgerät, wel- 3/9 österreichische!. Patentamt AT513 408B1 2014-11-15 ches Daten über diese lokale Datenverbindung empfangen kann, sich in dessen lokaler Nähe befindet. Wie stark diese lokale Begrenzung ausgeprägt sein muss hängt vom jeweiligen Anwendungsfall ab. Speziell die NFC Technologie ist darauf ausgelegt, die Kommunikation der beteiligten Geräte auf eine Distanz von wenigen Zentimetern begrenzen zu können. Andere denkbare Technologien wie WLAN erlauben die Kommunikation über eine deutlich größere Distanz mit einer weniger scharfen lokalen Begrenzung. Auch eine vom Betreiber einer solchen Vorrichtung ungewünschte Erweiterung der Distanz, über die ein mobiles Endgerät 2 Zugriffsdatensätze 6 empfangen kann, wäre bei Technologien wie WLAN deutlich einfacher, wodurch die Zuverlässigkeit des Verfahrens abnehmen würde. Es liegt an der jeweiligen Anwendung, welche konkreten Technologien für die lokal begrenzte Datenverbindung 7 in Frage kommen und es liegt an der jeweiligen Implementierung, sicherzustellen, dass die lokale Begrenztheit der Datenverbindung den jeweiligen Anforderungen entspricht.The access record 6 is transmitted from the key mechanism 3 via a locally limited data connection 7 to the mobile terminal 2. This transmission can take place via a multiplicity of different types of data connections 7. It is merely necessary that data can be transmitted from the key mechanism 3 to the mobile terminal 2 via the data connection 7; the transmission of data in the opposite direction is advantageous, but not absolutely necessary. The local limitation of the data connection is necessary so that it can be assumed that a mobile terminal, which is Austrian! Patent Office AT513 408B1 2014-11-15 data can be received via this local data connection, located in its local vicinity. How strong this local limitation must be depends on the respective application. Specifically, the NFC technology is designed to limit the communication of the participating devices to a distance of a few centimeters. Other conceivable technologies such as WLAN allow communication over a much greater distance with a less sharp local boundary. Also, an undesirable by the operator of such a device extension of the distance over which a mobile terminal 2 can receive access records 6, would be much easier in technologies such as WLAN, whereby the reliability of the method would decrease. It depends on the particular application which specific technologies are suitable for the locally limited data connection 7 and it is up to the respective implementation to ensure that the local limitation of the data connection corresponds to the respective requirements.

[0022] Vorteilhafter Weise kann der Schlüsselmechanismus 3 die lokale Nähe eines mobilen Endgerätes 2 feststellen, sowie dessen Wunsch, einen Zugriffsdatensatz 6 zu empfangen. In einem solchen Fall erstellt der Schlüsselmechanismus 3 genau dann einen Zugriffsdatensatz 6, wenn ein solcher von einem mobilen Endgerät 2 benötigt wird. Beispiele für diese Art lokaler Datenverbindungen sind NFC und Bluetooth. Sollte für die lokale Datenverbindung NFC verwendet werden, kann der Schlüsselmechanismus 3 z.B. eine ISO 14443 Karte emulieren (ISO 14443 card emulation mode) und den Zugriffsdatensatz 6 in Form einer URL über eine Standard NDEF Nachricht versenden, wodurch eine hohe Kompatibilität mit vielen existierenden mobilen Endgeräten gewährleistet werden kann.Advantageously, the key mechanism 3 can determine the local proximity of a mobile terminal 2 and its desire to receive an access record 6. In such a case, the key mechanism 3 will create an access record 6 if and only if needed by a mobile terminal 2. Examples of this type of local data connection are NFC and Bluetooth. Should NFC be used for the local data connection, the key mechanism 3 may be e.g. emulate an ISO 14443 card (ISO 14443 card emulation mode) and send the access record 6 in the form of a URL via a standard NDEF message, which ensures high compatibility with many existing mobile devices.

[0023] Verfügt der Schlüsselmechanismus 3 über keine Möglichkeit, die lokale Nähe eines mobilen Endgerätes 2 bzw. dessen Wunsch, einen Zugriffsdatensatz zu empfangen, festzustellen, so erstellt der Schlüsselmechanismus 3 fortlaufend neue Zugriffsdatensätze 6 und versendet diese an potentiell in der Nähe befindliche mobile Endgeräte 2. Ein Beispiel für diese Art lokaler Datenverbindungen 7 wäre die Übertragung in Form eines Barcodes, welcher vom Schlüsselmechanismus 3 erstellt und über ein am Schlüsselmechanismus 3 befindliches Display angezeigt wird. In diesem Fall würde das mobile Endgerät 2 den Zugriffsdatensatz 6 empfangen, indem der Barcode über eine im mobilen Endgerät 2 befindliche Kamera gelesen und entschlüsselt wird. Nach dem Empfang des Zugriffsdatensatzes 6 durch das mobile Endgerät 2 wird dieser vom mobilen Endgerät 2 verarbeitet. Vorteilhafter Weise veranlasst das mobile Endgerät 2 in weiterer Folge automatisch den weiteren Ablauf des Verfahrens und somit den Zugriff auf die im Zugriffsdatensatz 6 identifizierte Ressource 11. Ist der Zugriffsdatensatz 6 beispielsweise als URL ausgebildet, kann die automatische Verarbeitung am mobilen Endgerät 2 in der Form erfolgen, dass darauf ein Webbrowser gestartet und darin die URL geöffnet wird. Alternativ kann für die Verarbeitung des Zugriffsdatensatzes 6 eine Interaktion zwischen dem Benutzer 1 und dem mobilen Endgerät 2 eingebaut werden, z.B. indem der Benutzer 1 um eine Freigabe gefragt wird, bevor der Zugriff auf den Server 9 bzw. Ressource 11 erfolgt. Ein Benutzer 1 könnte auch zur Installation einer bestimmten, für die Verarbeitung des Zugriffsdatensatzes 6 notwendigen Software (App) aufgefordert werden.If the key mechanism 3 has no ability to determine the local proximity of a mobile terminal 2 or its desire to receive an access record, the key mechanism 3 continuously creates new access records 6 and sends them to potentially nearby mobile terminals 2. An example of this type of local data connections 7 would be the transmission in the form of a barcode, which is generated by the key mechanism 3 and displayed via a display located on the key mechanism 3. In this case, the mobile terminal 2 would receive the access record 6 by reading and decrypting the bar code via a camera located in the mobile terminal 2. After receiving the access data record 6 by the mobile terminal 2, this is processed by the mobile terminal 2. Advantageously, the mobile terminal 2 subsequently automatically initiates the further course of the method and thus access to the resource 11 identified in the access data record 6. If the access data record 6 is embodied as a URL, for example, the automatic processing can take place in the form at the mobile terminal 2 in that a web browser is started on it and the URL is opened in it. Alternatively, for the processing of the access record 6, an interaction between the user 1 and the mobile terminal 2 may be incorporated, e.g. by asking the user 1 for a release before accessing the server 9 or resource 11. A user 1 could also be requested to install a specific software (app) necessary for the processing of the access data record 6.

[0024] In weiterer Folge überträgt das mobile Endgerät 2 den Zugriffsdatensatz 6 über ein Netzwerk 8 zum Server 9. Im Beispiel eines Zugriffsdatensatzes 6 der als URL ausgeprägt wäre und über einen am mobilen Endgerät 2 installierten Web-Browser geöffnet würde, würde die Übertragung des Zugriffsdatensatzes 6 (der URL) in Form eines durch den Browser initiierten http bzw. https Requests realisiert.In the following example, the mobile terminal 2 transmits the access record 6 via a network 8 to the server 9. In the example of an access record 6 which would be pronounced as URL and would be opened via a web browser installed on the mobile terminal 2, the transmission of the Access record 6 (the URL) in the form of an initiated by the browser HTTP or https Requests realized.

[0025] Der Server 9 verfügt selbst über einen Schlüssel 10, der zum Schlüssel 4 des Schließmechanismus 3 passt, welcher Schlüssel 4 für die Signatur des Zugriffsdatensatzes 6 verwendet wurde. Mit Hilfe dieses Schlüssels 10 und geeigneter kryptografischer Verfahren stellt der Server 9 die Gültigkeit der Signatur des Zugriffsdatensatzes 6 fest.The server 9 itself has a key 10 which matches the key 4 of the locking mechanism 3, which key 4 was used for the signature of the access record 6. With the help of this key 10 and suitable cryptographic methods, the server 9 determines the validity of the signature of the access record 6.

[0026] Des Weiteren ist der Server 9 in der Lage, die zeitliche Nähe der Ausstellung des Zugriffsdatensatzes 6 festzustellen. Je nach konkreter Ausbildung des Zugriffsdatensatzes 6 kann dies beispielsweise dadurch erfolgen, dass der Server 9 den im Zugriffsdatensatz 6 enthaltenen Zeitpunkt der Ausstellung desselben ausliest und anhand einer im Server 9 vorhandenen Uhr 4/9 österreichisches Patentamt AT513 408B1 2014-11-15 feststellt, ob der zeitliche Abstand zur Ausstellung des Schlüsseldatensatzes 6 innerhalb vorgegebener Grenzen liegt. Ist sowohl die Gültigkeit der Signatur als auch die zeitliche Nähe zum Zeitpunkt der Ausstellung des Zugriffsdatensatzes 6 gegeben, gewährt der Server 9 den Zugriff auf die geschützte Ressource 11 durch das mobile Endgerät 2.Furthermore, the server 9 is able to determine the temporal proximity of the issuance of the access data set 6. Depending on the specific design of the access data set 6, this can be done, for example, by the server 9 reading out the time of issuing contained in the access data record 6 and ascertaining whether or not there is an existing clock in the server 9 the time interval for issuing the key data record 6 is within predetermined limits. Given both the validity of the signature and the temporal proximity at the time of issue of the access record 6, the server 9 grants access to the protected resource 11 by the mobile terminal 2.

[0027] Der Server 9 muss die Überprüfung des Zugriffsdatensatzes 6 nicht zwingendermaßen selbst ausführen sondern kann diese auch an eine weitere Instanz delegieren. Insgesamt sind für die Implementierung des Servers 9 sowie die Auslieferung der Ressource 11 verschiedene Techniken denkbar, wie sie heute z.B. in Web-Servern eingesetzt werden, einschließlich der Delegierung von Teilaufgaben an andere Systeme, sofern die zuvor genannten Bedingungen erfüllt werden.The server 9 does not necessarily have to carry out the verification of the access data record 6 itself but can also delegate it to another instance. Overall, various techniques are conceivable for the implementation of the server 9 and the delivery of the resource 11, as they are today, for example. used in web servers, including the delegation of subtasks to other systems, provided the above conditions are met.

[0028] Bei der geschützten Ressource 11 kann es sich um verschiedenste Arten von Ressourcen handeln, z.B. um einzelne Dateien wie Bilddateien oder um ganze Websites auf denen in weiterer Folge weitere Interaktionen durchgeführt werden. Es ist auch denkbar, das Verfahren bzw. die Vorrichtung mit weiteren Authentifizierungsmechanismen, z.B. mit Benutzername und Passwort zu kombinieren. Auf diese Weise ist z.B. die Nutzung im Rahmen einer Mehr-Faktor-Authentifizierung möglich.The protected resource 11 may be a variety of types of resources, e.g. to individual files such as image files or entire websites on which subsequently further interactions are performed. It is also conceivable to use the method or device with further authentication mechanisms, e.g. to combine with username and password. In this way, e.g. the use in the context of a multi-factor authentication possible.

[0029] Sollte die Vorrichtung bzw. das Verfahren nicht zum Zugriff auf eine einzelne Datei sondern auf mehrere Dateien bzw. eine weiterführende Interaktion verwendet werden, so sind zum Vorhalten des Authentifizierungsergebnisses bekannte Verfahren anwendbar. Im Falle der Nutzung mit einem Web-Server kann das Authentifizierungsergebnis z.B. in Form eines HTTP-Cookies gespeichert werden.If the device or the method is not used to access a single file but rather to a plurality of files or a further interaction, known methods are applicable for holding the result of the authentication. In the case of use with a web server, the authentication result may be e.g. be stored in the form of an HTTP cookie.

[0030] Fig. 2 zeigt ein schematisches Ablaufdiagramm eines erfindungsgemäßen Verfahrens. Im Diagramm ist die Variante illustriert, in der der Schlüsselmechanismus in Schritt a1 fortlaufend neue Zugriffsschlüssel 6 erstellt, ohne die lokale Nähe eines mobilen Endgerätes 2 zu berücksichtigen. Der Schlüsselmechanismus 3 erstellt in Schritt a1 mit Hilfe seines Schlüssels 4 und mit Hilfe eines Zeitgebers 5, fortlaufend, in festgelegten Abständen, neue Zugriffsdatensätze 6 und versendet diese über eine lokal begrenzte Datenverbindung 7 an potentiell in der Nähe befindliche mobile Endgeräte. Die Häufigkeit der Erstellung neuer Zugriffsdatensätze 6 wird dabei idealer Weise so gewählt, dass ein neuer Zugriffsdatensatz spätestens dann erstellt wird, wenn der zuvor erstellte Zugriffsdatensatz ein Alter erreicht hat, das dazu führt, dass er vom Server 9 nicht mehr als gültig akzeptiert wird.Fig. 2 shows a schematic flow diagram of a method according to the invention. The diagram illustrates the variant in which the key mechanism continuously creates new access keys 6 in step a1, without taking into account the local proximity of a mobile terminal 2. The key mechanism 3 creates in step a1 by means of his key 4 and by means of a timer 5, continuously, at fixed intervals, new access records 6 and sends them over a localized data connection 7 to potentially nearby mobile terminals. The frequency of creating new access records 6 is ideally chosen so that a new access record is created at the latest when the previously created access record has reached an age that causes the server 9 is no longer accepted as valid.

[0031] Ein Benutzer 1 bringt sein mobiles Endgerät 2 in Schritt a2 in die lokale Nähe des Schlüsselmechanismus 3. Das mobile Endgerät 2 empfängt in Schritt a3 über die lokale Datenverbindung 7 den Zugriffsdatensatz 6. Das mobile Endgerät 2 verarbeitet diesen und sendet ihn in Schritt a4 über ein Netzwerk 8 weiter an den Server 9. Dieser Server 9 überprüft in Schritt a5 den Zugriffsdatensatz 6 anhand des eigenen Schlüssels 10 und der aktuellen Uhrzeit auf Gültigkeit. Ist diese Gültigkeit gegeben, sendet er in Schritt a6 die gewünschte Ressource zurück an das mobile Endgerät 2, welches diese in Schritt a7 verarbeitet, z.B. dem Benutzer präsentiert. Die Rückgabe der konkreten Ressource in Schritt a6 muss dabei nicht unmittelbar erfolgen sondern kann anhand bekannter Techniken auch indirekt erfolgen, z.B. indem der Server 9 an das mobile Endgerät lediglich das Autorisierungsergebnis und eine Umleitung auf die eigentliche Ressource zurücksendet.A user 1 brings his mobile terminal 2 in step a2 in the local vicinity of the key mechanism 3. The mobile terminal 2 receives the access record 6 via the local data connection 7 in step a3. The mobile terminal 2 processes it and sends it in step a4 via a network 8 on to the server 9. This server 9 checks in step a5 the access record 6 based on the own key 10 and the current time for validity. If this validity is given, it sends the desired resource back to the mobile terminal 2 in step a6, which processes it in step a7, e.g. presented to the user. The return of the concrete resource in step a6 need not be immediate, but can also be done indirectly by known techniques, e.g. in that the server 9 sends back to the mobile terminal only the authorization result and a redirection to the actual resource.

[0032] In den Schritten a8 kann das Autorisierungsergebnis potentiell für eine fortlaufende Kommunikation verwendet werden. 5/9In steps a8, the authorization result can potentially be used for continuous communication. 5.9

Claims (20)

österreichisches Patentamt AT513 408B1 2014-11-15 Patentansprüche 1. Verfahren zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) über ein Netzwerk (8) und einen Server (9), wobei die Identitäten der Ressource (11) und des Servers (9) in einem Zugriffsdatensatz (6) enthalten sind, der von einem Schlüsselmechanismus (3) erstellt wird und über eine lokal begrenzte Datenverbindung (7) an das mobile Endgerät (2) gesendet wird, welches mobile Endgerät (2) über Mittel zur Herstellung einer Verbindung mit einem Netzwerk (8) aufweist und den Zugriffsdatensatz (6) über dieses Netzwerk (8) an einen Server (9) sendet, welcher Server (9) anhand des Zugriffsdatensatzes (6) den Zugriff auf die Ressource (11) steuert, dadurch gekennzeichnet, dass der Schlüsselmechanismus (3) den Zugriffsdatensatz (6) mit Hilfe eines Zeitgebers (5) derart erstellt, dass der Server (9) ermitteln kann, ob der Zugriffsdatensatz (6) in zeitlicher Nähe zum Zeitpunktes des Zugriffs auf die Ressource (11) durch das mobile Endgerät (2) erfolgt ist und der Server (9) diesen Umstand überprüft und den Zugriff nur dann ermöglicht, wenn diese Voraussetzung gegeben ist.Austrian patent office AT513 408B1 2014-11-15 Claims 1. A method for accessing a resource (11) by a mobile terminal (2) via a network (8) and a server (9), the identities of the resource (11) and of the server (9) are contained in an access record (6), which is created by a key mechanism (3) and is sent over a locally limited data connection (7) to the mobile terminal (2), which mobile terminal (2) via means for establishing a connection to a network (8) and sending the access data record (6) to a server (9) via this network (8), which server (9) accesses the resource (11) on the basis of the access data record (6) controls, characterized in that the key mechanism (3) the access data set (6) by means of a timer (5) created such that the server (9) can determine whether the access record (6) in temporal proximity to the time of access to the re ssource (11) by the mobile terminal (2) is done and the server (9) checks this fact and allows access only if this condition is met. 2. Verfahren zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach Anspruch 1, dadurch gekennzeichnet, dass der Zugriffsdatensatz (6) vom Schlüsselmechanismus (3) mit Hilfe eines ihm zur Verfügung stehenden Schlüssels (4) und geeigneter kryptografischer Verfahren derart signiert wird, dass der Server (9) mit Hilfe eines ihm zur Verfügung stehenden Schüssels (10) und geeigneter kryptografischer Verfahren feststellen kann, dass der Zugriffsdatensatz von einem vertrauenswürdigen Schlüsselmechanismus ausgestellt wurde und nach dessen Ausstellung nicht in unerlaubter Weise manipuliert wurde und dieser Server (9) den Zugriff auf die Ressource (11) nur dann ermöglicht, wenn diese Voraussetzungen gegeben sind.2. A method for accessing a resource (11) by a mobile terminal (2) according to claim 1, characterized in that the access record (6) from the key mechanism (3) using a key available to him (4) and suitable cryptographic A method is signed such that the server (9) can determine, with the help of an available bowl (10) and suitable cryptographic methods, that the access record was issued by a trustworthy key mechanism and was not tampered with in an unauthorized manner after its issuance Server (9) allows access to the resource (11) only if these conditions are met. 3. Verfahren zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Zugriff auf die Ressource (11) durch ein Smartphone, einen Rechner, einen Tablet- Computer oderdgl. erfolgt.3. A method for accessing a resource (11) by a mobile terminal (2) according to claim 1 or 2, characterized in that the access to the resource (11) by a smartphone, a computer, a tablet computer or the like. he follows. 4. Verfahren zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass für die Übertragen des Zugriffsdatensatzes (6) vom Schlüsselmechanismus (3) zum mobilen Endgerät (2) zwischen diesen eine Nahfeld-Kommunikations- (NFC)-Verbindung, eine Hochfrequenzverbindung oder eine Bluetooth-Verbindung als lokale Datenverbindung aufgebaut wird.4. A method for accessing a resource (11) by a mobile terminal (2) according to one of claims 1 to 3, characterized in that for the transmission of the access record (6) from the key mechanism (3) to the mobile terminal (2) between a near field communication (NFC) connection, a radio frequency connection or a Bluetooth connection is established as a local data connection. 5. Verfahren zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der Zugriffsdatensatz (6) die Form eines einheitlichen Quellenanzeigers (Uniform Resource Locator, URL) aufweist.5. A method for accessing a resource (11) by a mobile terminal (2) according to any one of claims 1 to 4, characterized in that the access record (6) has the form of a uniform source locator (URL). 6. Verfahren zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass zwischen mobilem Endgerät (2) und Server (9) eine Verbindung über das Internet aufgebaut wird.6. A method for accessing a resource (11) by a mobile terminal (2) according to one of claims 1 to 5, characterized in that between the mobile terminal (2) and server (9) a connection is established via the Internet. 7. Verfahren zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass für den Zugriff auf die Ressource (11) durch das mobile Endgerät (2) neben der Vorbereitung des mobilen Endgerätes (2) zur Teilnahme am gegenständlichen Verfahren sowie die Bringung des mobilen Endgerätes (2) in die lokale Nähe des Schlüsselmechanismus (3) keine weitere Benutzerinteraktion notwendig ist, insbesondere keine zusätzlichen Authentifizierungsschritte, wie die Eingabe eines Kennwortes.7. A method for accessing a resource (11) by a mobile terminal (2) according to one of claims 1 to 6, characterized in that for the access to the resource (11) by the mobile terminal (2) in addition to the preparation of Mobile terminal (2) to participate in the subject method and the Bringing the mobile terminal (2) in the local vicinity of the key mechanism (3) no further user interaction is necessary, in particular no additional authentication steps, such as the input of a password. 8. Verfahren zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Schlüssel (4) und der Schlüssel (10) identisch sind und für die Signatur des Zugriffsdatensatzes (6) ein symmetrisches kryptografisches Verfahren zum Einsatz kommt. 6/9 österreichisches Patentamt AT513 408B1 2014-11-158. A method for accessing a resource (11) by a mobile terminal (2) according to one of claims 1 to 7, characterized in that the key (4) and the key (10) are identical and for the signature of the access record ( 6) a symmetric cryptographic method is used. 6/9 Austrian Patent Office AT513 408B1 2014-11-15 9. Verfahren zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass es sich beim Schlüssel (4) und einen privaten Schlüssel des Schlüsselmechanismus handelt und bei Schlüssel (10) um einen dazu passenden öffentlichen Schlüssel handelt und für die Signatur des Zugriffsdatensatzes (6) ein asymmetrisches kryptografisches Verfahren zum Einsatz kommt.Method for accessing a resource (11) by a mobile terminal (2) according to one of Claims 1 to 8, characterized in that the key (4) and a private key are the key mechanism and in the case of keys (10) is a matching public key and for the signature of the access record (6) an asymmetric cryptographic method is used. 10. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) welches Mittel zum Empfang von Daten über eine lokal begrenzte Datenverbindung (7) sowie Mittel zur Herstellung einer Verbindung mit einem Netzwerk (8) aufweist und ausgebildet ist, über die lokale Datenverbindung (7) einen Zugriffsdatensatz (6) von einem Schlüsselmechanismus (3), zu empfangen, welcher Zugriffsdatensatz (6) verwendet werden kann, über einen Server (9) auf eine Ressource (11) zuzugreifen, wobei der Schlüsselmechanismus (3) ausgebildet ist, Zugriffsdatensätze (6) zu erstellen, welche einen bestimmten Server (9) und eine bestimmte Ressource (11) identifizieren und über eine lokal begrenzte Datenverbindung (7) an ein mobiles Endgerät (2) zu versenden und wobei der Server (9) ausgebildet ist, Zugriffsdatensätze (6) über ein Netzwerk (8) mit welchem er verbindbar ist, zu empfangen und anhand dieser Zugriffsdatensätze (6) den Zugriff auf eine Ressource (11) zu steuern, dadurch gekennzeichnet, dass der Schlüsselmechanismus (3) ausgebildet ist, mit Hilfe eines Zeitgebers (5) die erstellten Zugriffsdatensätze (6) so zu gestalten, dass der Server (9) bei Prüfung eines Zugriffsdatensatzes (6) feststellen kann, ob dieser Zugriffsdatensatz (6) in zeitlicher Nähe zu dieser Feststellung ausgestellt wurde und der Server (9) ausgebildet ist, diesen Umstand zu überprüfen und den Zugriff nur dann zu ermöglichen, wenn diese Voraussetzung gegeben ist.10. Device for accessing a resource (11) by a mobile terminal (2) which comprises means for receiving data via a locally limited data connection (7) and means for establishing a connection to a network (8) and is formed over the local data connection (7) receiving an access record (6) from a key mechanism (3), which access record (6) can be used to access a resource (11) via a server (9), the key mechanism (3) is configured to create access data records (6) which identify a specific server (9) and a specific resource (11) and send them via a locally limited data connection (7) to a mobile terminal (2) and wherein the server (9) is designed to receive access records (6) via a network (8) with which it is connectable, and by means of these access records (6) to control the access to a resource (11), thereby geken nzeichnet that the key mechanism (3) is formed using a timer (5) to make the created access records (6) so that the server (9) when checking an access record (6) can determine whether this access record (6) was issued in temporal proximity to this determination and the server (9) is trained to check this fact and to allow access only if this condition is met. 11. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach Anspruch 10, dadurch gekennzeichnet, dass der Schlüsselmechanismus (3) ausgebildet ist, den Zugriffsdatensatz (6) mit Hilfe eines dem Schlüsselmechanismus (3) zur Verfügung stehenden Schlüssels (4) und geeigneter kryptografischer Verfahren derart zu signieren, dass der Server (9) mit Hilfe eines ihm zur Verfügung stehenden Schüssels (10) und geeigneter kryptografischer Verfahren feststellen kann, ob der Zugriffsdatensatz von einem vertrauenswürdigen Schlüsselmechanismus ausgestellt und nach dessen Ausstellung nicht in unerlaubter Weise manipuliert wurde und dieser Server (9) ausgebildet ist, diese Überprüfung durchzuführen und den Zugriff auf die Ressource (11) nur dann zu ermöglichen, wenn diese Voraussetzungen gegeben sind.11. Device for accessing a resource (11) by a mobile terminal (2) according to claim 10, characterized in that the key mechanism (3) is adapted to the access record (6) by means of a key mechanism (3) available Key (4) and appropriate cryptographic method to sign so that the server (9) using a bowl available to him (10) and appropriate cryptographic methods can determine whether the access record from a trusted key mechanism issued and not displayed in a has been manipulated in an unauthorized manner and this server (9) is designed to perform this check and to allow access to the resource (11) only if these conditions are met. 12. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 10 bis 11, dadurch gekennzeichnet, dass die Mittel zur Herstellung der lokalen Datenverbindung (7) durch einen Nahfeldkommunikations- (NFC)-Sender und Empfänger, RFID- Transponder und/oder Bluetooth-Sender und Empfänger gebildet ist.12. Device for accessing a resource (11) by a mobile terminal (2) according to one of claims 10 to 11, characterized in that the means for establishing the local data connection (7) by a Nahfeldkommunikations- (NFC) transmitter and Receiver, RFID transponder and / or Bluetooth transmitter and receiver is formed. 13. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 10 bis 12, dadurch gekennzeichnet, dass das mobile Endgerät (2) über eine grafische Benutzerschnittstelle verfügt.13. Device for accessing a resource (11) by a mobile terminal (2) according to one of claims 10 to 12, characterized in that the mobile terminal (2) has a graphical user interface. 14. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 10 bis 13, dadurch gekennzeichnet, dass das mobile Endgerät (2) durch ein Smartphone, einen Rechner, einen Tablet- Computer oder dgl. gebildet ist.14. Device for accessing a resource (11) by a mobile terminal (2) according to one of claims 10 to 13, characterized in that the mobile terminal (2) by a smartphone, a computer, a tablet computer or the like. is formed. 15. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 10 bis14, dadurch gekennzeichnet, dass der Schlüsselmechanismus ausgebildet ist, Zugriffsdatensätze (6) in Form einheitlicher Quellenanzeiger (Uniform Resource Locator, URL) zu erstellen und das mobile Endgerät (2) sowie der Server (9) ausgebildet sind, solche Zugriffsdatensätze zu verarbeiten.Device for accessing a resource (11) by a mobile terminal (2) according to any one of claims 10 to 14, characterized in that the key mechanism is adapted to access data records (6) in the form of uniform resource locators (URLs) and the mobile terminal (2) and the server (9) are designed to process such access records. 16. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 10 bis 15, dadurch gekennzeichnet, dass das Netzwerk (8) durch das Internet und der Server (9) durch einen Webserver gebildet sind. 7/9 österreichisches Patentamt AT513 408B1 2014-11-1516. Device for accessing a resource (11) by a mobile terminal (2) according to any one of claims 10 to 15, characterized in that the network (8) through the Internet and the server (9) are formed by a web server. 7/9 Austrian Patent Office AT513 408B1 2014-11-15 17. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 10 bis 16, dadurch gekennzeichnet, dass der Schlüsselmechanismus (3) als Gerät gebildet ist, das außer der Schnittstelle für die lokale Datenverbindung (7) keine weitere elektronische Benutzerschnittstelle aufweist, insbesondere keine grafische Anzeige und keine Tasten aufweist.17. Device for accessing a resource (11) by a mobile terminal (2) according to any one of claims 10 to 16, characterized in that the key mechanism (3) is formed as a device, which except the interface for the local data connection (7 ) has no further electronic user interface, in particular has no graphic display and no keys. 18. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 10 bis 17, dadurch gekennzeichnet, dass das mobile Endgerät (2) ausgebildet ist, Zugriffsdatensätze (6) nach deren Empfang automatisch, ohne weitere Benutzerinteraktion zu verarbeiten.18. Device for accessing a resource (11) by a mobile terminal (2) according to any one of claims 10 to 17, characterized in that the mobile terminal (2) is formed, access records (6) after receiving them automatically, without further To handle user interaction. 19. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 10 bis 18, dadurch gekennzeichnet, dass der Server (9) ausgebildet ist, den Zugriff auf eine Ressource (11) anhand der Daten im Zugriffsdatensatz (6) zu steuern, ohne zusätzliche Authentifizierungsdaten wie z.B. ein Kennwort, zu erfordern.19. Device for accessing a resource (11) by a mobile terminal (2) according to any one of claims 10 to 18, characterized in that the server (9) is adapted to access a resource (11) based on the data in Access record (6) to control, without additional authentication data such as a password to require. 20. Vorrichtung zum Zugriff auf eine Ressource (11) durch ein mobiles Endgerät (2) nach einem der Ansprüche 10 bis 19, dadurch gekennzeichnet, dass der Schlüsselmechanismus ausgebildet ist, den Zugriffsdatensatz (6) mit Hilfe eines asymmetrischen kryptografi-schen Verfahrens zu signieren und es sich beim dafür verwendeten Schlüssel (4) um einen privaten Schlüssel des Schlüsselmechanismus (3) handelt und dass der Server (9) ausgebildet ist, den Zugriffsdatensatz (6) anhand eines passenden asymmetrischen kryptografi-schen Verfahrens zu überprüfen und es sich beim dafür verwendete Schlüssel (10) um einen zum privaten Schlüssel (4) passenden öffentlichen Schlüssel handelt. Hierzu 3 Blatt Zeichnungen 8/920. Device for accessing a resource (11) by a mobile terminal (2) according to one of claims 10 to 19, characterized in that the key mechanism is adapted to sign the access record (6) by means of an asymmetric cryptographic method and the key (4) used for this is a private key of the key mechanism (3) and that the server (9) is adapted to check the access data record (6) by a suitable asymmetric cryptographic method and to do so used key (10) is a public key matching the private key (4). For this 3 sheets drawings 8/9
ATA1053/2012A 2012-09-27 2012-09-27 Method and device for accessing a network resource by a mobile terminal with temporal and local limitation AT513408B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
ATA1053/2012A AT513408B1 (en) 2012-09-27 2012-09-27 Method and device for accessing a network resource by a mobile terminal with temporal and local limitation
PCT/AT2013/000154 WO2014047666A1 (en) 2012-09-27 2013-09-25 Method and device for accessing a network resource via a mobile terminal device with temporal and local limiting

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ATA1053/2012A AT513408B1 (en) 2012-09-27 2012-09-27 Method and device for accessing a network resource by a mobile terminal with temporal and local limitation

Publications (2)

Publication Number Publication Date
AT513408A1 AT513408A1 (en) 2014-04-15
AT513408B1 true AT513408B1 (en) 2014-11-15

Family

ID=49626766

Family Applications (1)

Application Number Title Priority Date Filing Date
ATA1053/2012A AT513408B1 (en) 2012-09-27 2012-09-27 Method and device for accessing a network resource by a mobile terminal with temporal and local limitation

Country Status (2)

Country Link
AT (1) AT513408B1 (en)
WO (1) WO2014047666A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014206989A1 (en) 2014-04-11 2015-10-15 Siemens Aktiengesellschaft Method and system for the deterministic autoconfiguration of a device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080182592A1 (en) * 2007-01-26 2008-07-31 Interdigital Technology Corporation Method and apparatus for securing location information and access control using the location information
US20110087887A1 (en) * 2009-10-09 2011-04-14 Achim Luft Methods and apparatus for digital attestation

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7024552B1 (en) * 2000-08-04 2006-04-04 Hewlett-Packard Development Company, L.P. Location authentication of requests to a web server system linked to a physical entity
SE532098C2 (en) * 2005-08-23 2009-10-20 Smarttrust Ab Authentication system and procedure

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080182592A1 (en) * 2007-01-26 2008-07-31 Interdigital Technology Corporation Method and apparatus for securing location information and access control using the location information
US20110087887A1 (en) * 2009-10-09 2011-04-14 Achim Luft Methods and apparatus for digital attestation

Also Published As

Publication number Publication date
WO2014047666A1 (en) 2014-04-03
AT513408A1 (en) 2014-04-15

Similar Documents

Publication Publication Date Title
EP2856437B1 (en) Method and device for control of a lock mechanism using a mobile terminal
EP2820816B1 (en) Authentication method for a passenger and corresponding software
EP3764614B1 (en) Distributed authentication system
EP3078177B1 (en) Method for accessing a data memory of a cloud computer system using a modified domain name system (dns)
EP2393032A1 (en) Method for running an application with the help of a portable data storage device
EP3314868B1 (en) Exchanging data with a laser or a machine tool
DE102017203235A1 (en) Method and system for enabling user access to a server coupled to an embedded system
EP3217694B1 (en) Device and method for connecting a mobile device with a field device
DE102013224279A1 (en) Method and system for providing an assistance suggestion to a user of a motor vehicle
WO2009052983A1 (en) Internet-smart-card
AT513408B1 (en) Method and device for accessing a network resource by a mobile terminal with temporal and local limitation
EP2634652B1 (en) Device for configuration of at least one device involved in building system technology or door communication
EP3825880B1 (en) Protected iot device reset
DE102013227141A1 (en) Transfer of a user interface
DE102014204344B4 (en) Authentication device, authentication system and authentication method
EP3276879B1 (en) Method for operating an assembly comprising a substation and at least one terminal connected thereto
EP2952029A1 (en) Method for accessing a service of a server using an application of a terminal
EP3310081A1 (en) Device authentication of air personnel mobile devices on board aircraft
WO2014124765A1 (en) Device and method for the secure management of access codes
EP3289751B1 (en) Transmission of a one-time key via infrared signal
EP3435697B1 (en) Method for authenticating a user against a service provider and authentication system
DE10358021B3 (en) Setting up two types of communication connections between two users, performing multi-step process to set up either first connection, e.g. telephone connection, or second connection based on computer network, e.g. internet
EP3206357A1 (en) Using a non-local cryptography method after authentication
EP2843980B1 (en) Mobile communication device and method for receiving data packets
EP3823235A1 (en) Connection-specific tested data transmission via a cryptographically authenticated network connection