DE102011075257A1 - Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers - Google Patents

Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers Download PDF

Info

Publication number
DE102011075257A1
DE102011075257A1 DE102011075257A DE102011075257A DE102011075257A1 DE 102011075257 A1 DE102011075257 A1 DE 102011075257A1 DE 102011075257 A DE102011075257 A DE 102011075257A DE 102011075257 A DE102011075257 A DE 102011075257A DE 102011075257 A1 DE102011075257 A1 DE 102011075257A1
Authority
DE
Germany
Prior art keywords
communication terminal
request
response
key
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102011075257A
Other languages
English (en)
Other versions
DE102011075257B4 (de
Inventor
Thorsten Nozulak
Ulrich Seifert
Cedric Rigal
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vodafone Holding GmbH
Original Assignee
Vodafone Holding GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vodafone Holding GmbH filed Critical Vodafone Holding GmbH
Priority to DE102011075257A priority Critical patent/DE102011075257B4/de
Priority to EP12718635.1A priority patent/EP2705477A1/de
Priority to US14/114,969 priority patent/US20140052992A1/en
Priority to PCT/EP2012/057558 priority patent/WO2012150160A1/de
Publication of DE102011075257A1 publication Critical patent/DE102011075257A1/de
Application granted granted Critical
Publication of DE102011075257B4 publication Critical patent/DE102011075257B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft Verfahren zum sicheren Mitteilen einer mittels eines Kommunikationsendgeräts bestimmten Antwort auf eine Anfrage an eine Dateneinrichtung, wobei die Antwort mittels des Kommunikationsendgeräts aus einer Mehrzahl von Antwortmöglichkeiten ausgewählt wird. Den Antwortmöglichkeiten wird jeweils ein Schlüssel zugeordnet, und die Schlüssel werden verschlüsselt zusammen mit der Anfrage in dem Kommunikationsendgerät empfangen und in einer Einrichtung des Kommunikationsendgeräts entschlüsselt. Die Einrichtung ermittelt aufgrund einer getroffenen Auswahl den der ausgewählten Antwortmöglichkeit zugeordneten Schlüssel, und der ermittelte Schlüssel wird in einer Antwortmitteilung an die Dateneinrichtung gesendet. Zudem betrifft die Erfindung ein zur Durchführung des Verfahrens geeignetes Kommunikationsendgerät.

Description

  • Die Erfindung befasst sich mit der Beantwortung von Anfragen an das Kommunikationsendgerät eines Nutzers. Insbesondere betrifft die Erfindung ein Verfahren zum sicheren Mitteilen einer mittels eines Kommunikationsendgeräts bestimmten Antwort auf eine Anfrage an eine Dateneinrichtung. Die Erfindung betrifft zudem ein Kommunikationsendgerät, das zur Durchführung des Verfahrens geeignet ist.
  • Kommunikationsendgeräte, insbesondere mobile Kommunikationsendgeräte, können dazu verwendet werden, automatisiert oder nutzergesteuert Anfragen zu beantworten, die von einer Dateneinrichtung an die Kommunikationsendgeräte gesendet werden.
  • Beispielsweise kann eine Anfrage zur Autorisierung einer bestimmten elektronischen Transaktion, bei der etwa auf ein Bank- bzw. Guthabenkonto und/oder auf sensible persönliche Daten des Nutzers zugegriffen wird, an das Kommunikationsendgerät gesendet werden und dem Nutzer mittels des Kommunikationsendgeräts zusammen mit bestehenden Antwortoptionen, welche eine Zustimmung und eine Ablehnung umfassen können, zur Anzeige gebracht werden. Der Nutzer kann mittels einer Bedieneingabe aus den Antwortoptionen auswählen. Hierbei kann zusätzlich vorgesehen sein, dass ein Authentisierungsmerkmal des Nutzers, etwa eine persönliche Identifizierungsnummer (PIN) überprüft wird, um sicherzustellen, dass die Auswahl von dem Nutzer selbst vorgenommen worden ist. Die Antwort des Nutzers kann an die Dateneinrichtung gesendet werden.
  • Ein Beispiel für eine derartige Autorisierung einer Transaktion mithilfe eines mobilen Kommunikationsendgeräts ist in der EP 2 234 423 A1 beschrieben. Bei dem dort beschriebenen Verfahren wird die Bereitstellung von persönlichen, in einer Dateneinrichtung gespeicherten Identifikationsdaten des Nutzers für einen Dienst, von dem Nutzer mithilfe seines Kommunikationsendgeräts in der zuvor beschriebenen Weise autorisiert. Innerhalb des Kommunikationsendgeräts wird die Autorisierung bei dem beschriebenen Verfahren von einer Applikation gesteuert, die in einer SIM(Subscriber Identity Module)- oder USIM(Universal Subscriber Identification Module)-Karte des Geräts installiert und ausgeführt wird.
  • Zur Vermeidung des Missbrauchs eines Verfahrens der zuvor erläuterten Art, ist eine Sicherung der Kommunikation zwischen der Dateneinrichtung und dem Kommunikationsendgerät erforderlich. Die Sicherung kann dadurch erreicht werden, dass die Anfrage verschlüsselt an das Kommunikationsendgerät gesendet wird, und das Kommunikationsendgerät die Antwort auf die Anfrage ebenfalls verschlüsselt absendet.
  • Für die Kommunikation mit der SIM- oder USIM-Karte, wie sie in GSM(Global System for Mobile Communications)- bzw. UMTS(Universal Mobile Telecommunications System)-Mobilfunknetzen verwenden werden, steht für die Verschlüsselung insbesondere der so genannte OTA(Over the Air)-Mechanismus zur Verfügung. Hierbei handelt es sich um einen Mechanismus für den Fernzugriff auf Chipkarten, der vom ETSI (European Telecommunications Standard Institute) bzw. dem 3GPP (3rd Generation Partnership Project) in verschiedenen Versionen in den Standarddokumenten GSM 03.48, TS 23.048 sowie TS 102 225, TS 102 226, TS 31.114 und TS 31.115 spezifiziert wurde. Implementierungen des OTA-Mechanismus sehen üblicherweise vor, dass ein OTA-Server Informationen an die Chipkarten sendet, welche mit geheimen kryptografischen Schlüsseln (OTA-Schlüsseln) verschlüsselt sind, die den Identifizierungsmodulen eindeutig zugeordnet und in einer Datenbank des OTA-Servers hinterlegt sind. Somit kann die an das Kommunikationsendgerät gesendete Anfrage mittels des OTA-Schlüssels der enthaltenen Chipkarte verschlüsselt werden. Eine Verschlüsselung der von dem Kommunikationsendgerät gesendeten Antwort mittels des OTA-Schlüssels ist grundsätzlich ebenfalls denkbar.
  • Bei einer Verschlüsselung der Kommunikation, insbesondere bei einer Verschlüsselung der Antwort, die von dem Kommunikationsendgerät abgesendet wird, werden jedoch die begrenzten Ressourcen des Kommunikationsendgeräts bzw. der Chipkarte durch die mit der Verschlüsselung verbundenen kryptografischen Operation belastet. Hieraus resultiert ein erhöhter Stromverbrauch und damit bei akkugestütztem Betrieb eine verringerte Betriebsdauer. Zudem kann es zu Verzögerungen bei anderen von den Ressourcen durchzuführenden Aufgaben kommen, die von dem Nutzer des Kommunikationsendgeräts als störend wahrgenommen werden könnten.
  • Im Hinblick auf den zuvor beschriebenen OTA-Mechanismus besteht zudem das Problem, dass Implementierungen des Mechanismus aus Sicherheitsgründen lediglich die Entschlüsselung von in der Chipkarten empfangenen OTA-Nachrichten mittels des OTA-Schlüssels gestatten, nicht jedoch die Verschlüsselung von zu versendenden Mitteilungen in der Chipkarte. Bei diesen Implementierungen kann die Antwort nicht mittels des OTA-Schlüssels bzw. mittels des OTA-Mechanismus gesichert werden. Um den OTA-Mechanismus zur Sicherung der von dem Kommunikationsendgerät gesendeten Antwort nutzen zu können, müsste dieses Sicherheitsmerkmal aufgegeben werden. Alternativ könnte ein anderer Verschlüsselungsmechanismus eingesetzt werden. Dieser muss jedoch zusätzlich in dem Kommunikationsendgerät bzw. in der SIM-Karte implementiert werden, was mit einem nicht unerheblichen Aufwand verbunden ist. Zudem würde sich ein erhöhter Speicherbedarf ergeben, um einen zusätzlichen Schlüssel zu Verschlüsselung der Antwort und ggf. zusätzliche weitere Parameter oder Algorithmen des Verschlüsselungsmechanismus in der Chipkarte zu hinterlegen.
  • Aus den zuvor genannten Gründen ist es wünschenswert, eine sichere Übermittlung einer Antwort auf eine Anfrage zu ermöglichen, bei der unabhängig von einer Verschlüsselung ein möglichst hohes Maß an Sicherheit gegenüber Manipulationen der Antwort gegeben ist.
  • Hierzu stellt die Erfindung ein Verfahren nach Anspruch 1 und ein Kommunikationsendgerät nach Anspruch 13 bereit. Ausgestaltungen des Verfahrens und des Kommunikationsendgeräts sind in den abhängigen Ansprüchen angegeben.
  • Gemäß einem ersten Aspekt schlägt die Erfindung ein Verfahren zum sicheren Mitteilen einer mittels eines Kommunikationsendgeräts bestimmten Antwort auf eine Anfrage an eine Dateneinrichtung vor, wobei mittels des Kommunikationsendgeräts aus einer Mehrzahl von Antwortmöglichkeiten ausgewählt wird. Den Antwortmöglichkeiten wird jeweils ein Schlüssel zugeordnet, und die Schlüssel werden verschlüsselt zusammen mit der Anfrage in dem Kommunikationsendgerät empfangen und entschlüsselt. Eine Einrichtung des Kommunikationsendgeräts ermittelt aufgrund einer getroffenen Auswahl den der ausgewählten Antwortmöglichkeit zugeordneten Schlüssel, und der ermittelte Schlüssel wird in eine Antwortmitteilung an die Dateneinrichtung gesendet.
  • Gemäß einem weiteren Aspekt der Erfindung wird ein Kommunikationsendgerät vorgeschlagen, mit dem eine Antwort auf eine Anfrage aus einer Mehrzahl von Antwortmöglichkeiten auswählbar ist. Den Antwortmöglichkeiten ist jeweils ein Schlüssel zugeordnet und das Kommunikationsendgerät ist dazu ausgestaltet, die Schlüssel verschlüsselt zusammen mit der Anfrage zu empfangen. Eine Einrichtung des Kommunikationsendgeräts ist dazu ausgestaltet, die Schlüssel zu entschlüsseln und aufgrund einer getroffen Auswahl den der ausgewählten Antwortmöglichkeit zugeordneten Schlüssel zu ermitteln, und das Kommunikationsendgerät ist dazu ausgestaltet, den ermittelten Schlüssel in einer Antwortmitteilung an eine Dateneinrichtung zu senden.
  • Darüber hinaus wird ein System bereitgestellt, das ein Kommunikationsendgerät der hierein beschriebenen Art und die Dateneinrichtung umfasst.
  • Um die mittels des Kommunikationsendgeräts ausgewählte Antwortmöglichkeit auf die Anfrage auf dem Transportweg der Antwortmitteilung zu manipulieren und durch eine andere Antwortmöglichkeit zu ersetzen, müsste ein Angreifer den der anderen Antwortmöglichkeit zugeordneten Schlüssel kennen. Insbesondere aufgrund der verschlüsselten Übermittlung der den Antwortmöglichkeiten zugeordneten Schlüssel wird jedoch verhindert, dass ein Angreifer Kenntnis der den anderen Antworten zugeordneten Schlüssel erhält. Zudem kann ein Dritter, der den in der Antwortmitteilung enthaltenen Schlüssel ausliest, nur mit Kenntnis der Zuordnung zwischen den Antwortmöglichkeiten und den Schlüsseln auf die gegebene Antwort schließen, die jedoch insbesondere aufgrund der verschlüsselten Übermittlung zu dem Kommunikationsendgerät vor unberechtigten Zugriffen geschützt ist. Somit können unbemerkte Manipulationen der Antwortmitteilung und ein unberechtigtes Auslesen der Antwort verhindert werden. Der in der Antwortmitteilung enthaltene Schlüssel braucht dabei nicht gegen unbefugte Zugriffe gesichert zu werden. Insbesondere ist eine Verschlüsselung der Antwortmitteilung grundsätzlich entbehrlich, d.h. unabhängig von der Verschlüsselung wird ein hohes Maß an Sicherheit erreicht.
  • Da die Sicherheit unabhängig von der Verschlüsselung gewährleistet wird, kann der Schlüssel, welcher der getroffenen Auswahl zugeordnet ist, unverschlüsselt in der Antwortmitteilung an die Dateneinrichtung übermittelt werden. Unter Verschlüsselung ist in diesem Zusammenhang spezifische Verschlüsselung zu verstehen, d.h. eine Verschlüsselung, die spezielle für die Antwortmitteilung auf Applikationslevel durchgeführt wird. Durch einen Verzicht auf derartige Verschlüsselung kann Rechenleistung in dem Kommunikationsendgerät eingespart werden, wodurch insbesondere der Stromverbrauch gesenkt und bei einem vorgesehenen Akkubetrieb die Betriebsdauer erhöht werden kann. Mögliche Transportverschlüsselungen auf Teilen des Transportwegs, die unabhängig von der Art der übermittelten Mitteilungen und Daten standardmäßig vorgenommen werden, werden nicht als Verschlüsselung in dem zuvor genannten Sinne angesehen und können auch in der beschriebenen Ausgestaltung vorgenommen werden. Gleichfalls kann jedoch auch spezielle Verschlüsselung der Antwortmitteilung auf Applikationslevel vorgesehen sein, beispielsweise um vorgegebenen Sicherheitsrichtlinien zu entsprechen.
  • Eine Ausgestaltung des Verfahrens und des Kommunikationsendgeräts bzw. des Systems sieht vor, dass die den Antwortmöglichkeiten zugeordneten Schlüssel von der Dateneinrichtung bereitgestellt und zumindest bis zum Erhalt der Antwort in der Dateneinrichtung gespeichert werden. In einer weiteren Ausführungsform ist vorgesehen, dass die Dateneinrichtung die getroffene Auswahl anhand des in der Antwortmitteilung enthaltenen Schlüssels bestimmt.
  • Eine Weiterbildung des Verfahrens und des Kommunikationsendgeräts bzw. des Systems zeichnet sich dadurch aus, dass die Schlüssel, die den Antwortmöglichkeiten zugeordnet werden, in einer zufälligen oder pseudo-zufälligen Beziehung zueinander stehen. Hierunter wird verstanden, dass ein Beobachter, der Kenntnis über den Schlüssel erhält, der einer Antwortmöglichkeit zugeordnet ist, nicht auf die Schlüssel schließen kann, die anderen Antwortmöglichkeiten zugeordnet sind. Zudem ist eine Ausführungsform des Verfahrens und des Kommunikationsendgeräts bzw. des Systems dadurch gekennzeichnet, dass die den Antwortmöglichkeiten zugeordneten Schlüssel nur einmal verwendet werden, das heißt, dass die Schlüssel nur für eine Anfrage verwendet werden. Es handelt sich damit um so genannte Sitzungsschlüssel. Beide zuvor genannten Ausgestaltungen tragen dazu bei, dass ein Angreifer, der den in der Antwortmitteilung enthaltenen Schlüssel ausliest, diesen nicht durch einen gültigen Schlüssel einer anderen als der mittels des Kommunikationsendgeräts getroffenen Auswahl ersetzen kann.
  • Eine weitere Erhöhung der Sicherheit wird in einer Ausgestaltung des Verfahrens und des Kommunikationsendgeräts dadurch erzielt, dass den Schlüsseln eine Gültigkeitsdauer zugeordnet wird, und die Antwortmitteilung als ungültig erkannt wird, wenn sie nach Ablauf der Gültigkeitsdauer in der Dateneinrichtung empfangen wird. Die Gültigkeitsdauer beginnt beispielsweise mit der Erzeugung der Anfrage oder der Übermittlung der Anfrage an das Kommunikationsendgerät. Die Gültigkeitsdauer ist ausreichend lang bemessen, um eine Übermittlung der Anfrage an das Kommunikationsendgerät, die Bearbeitung der Anfrage in dem Kommunikationsendgerät sowie die Übermittlung der Antwortmitteilung an die Dateneinrichtung zu ermöglichen. Mittels der Gültigkeitsdauer werden insbesondere Angriffe ausgeschlossen, die darauf basieren, dass sich ein Dritter innerhalb einer langen zur Verfügung stehenden Zeit, die etwa für Berechnung genutzt wird, Zugriff auf geschützte Information wie beispielsweise die Zuordnung zwischen den Antwortmöglichkeiten und den Schlüsseln verschafft und diese zur Manipulation der Antwortmitteilung heranzieht.
  • Die mittels des Kommunikationsendgeräts beantwortete Anfrage kann sich an den Nutzer des Kommunikationsendgeräts richten. Daher beinhaltet eine Ausgestaltung des Verfahrens und des Kommunikationsendgeräts bzw. des Systems, dass die Antwortmöglichkeiten einem Nutzer mittels einer Ausgabeeinrichtung des Kommunikationsendgeräts präsentiert werden und/oder dass die Auswahl der Antwortmöglichkeiten durch eine Eingabe des Nutzers an dem Kommunikationsendgerät getroffen wird. Zudem sieht eine Ausführungsform des Verfahrens und des Kommunikationsendgeräts bzw. des Systems vor, dass die Antwortmitteilung nur dann gesendet wird, wenn die Einrichtung ein von dem Nutzer eingegebenes Authentisierungsmerkmal erfolgreich geprüft hat. Hierdurch wird sichergestellt, dass die Auswahl von dem Nutzer selbst und nicht von einem Dritten gegeben wird, der sich im Besitz des Kommunikationsendgeräts des Nutzers befindet. Zudem wird ermöglicht, die Anfrage auch zum Zwecke der Nutzerauthentisierung durchführen zu können. Bei dem Authentisierungsmerkmal kann es sich beispielsweise um eine PIN oder um ein biometrisches Merkmal des Nutzers handeln.
  • Bei dem Kommunikationsendgerät handelt es sich in einer Ausführungsform der Erfindung um ein Endgerät, das in einem Mobilfunknetz verwendbar ist, und die Einrichtung, welche die den Antwortmöglichkeiten zugeordneten Schlüssel entschlüsselt und den der ausgewählten Antwortmöglichkeit zugeordneten Schlüssel ermittelt, ist ein Identifizierungsmodul, das zur Identifizierung und/oder Authentisierung eines Teilnehmers in einem Mobilfunknetz verwendbar ist. Ein Vorteil dieser Ausgestaltung besteht darin, dass die Entschlüsselung der den Antwortmöglichkeiten zugeordneten Schlüssel innerhalb des besonders gesicherten Identifizierungsmoduls erfolgt, dessen Sicherheitsmerkmal die Schlüssel vor einem unberechtigten Zugriff schützen. Das Identifizierungsmodul kann als ein Chip ausgestaltet sein. Der Chip kann in einer Ausgestaltung Bestandteil einer Chipkarte sein, die in das Kommunikationsendgerät eingesetzt ist. Insbesondere kann es sich hierbei um eine SIM- oder eine USIM-Karte handeln. Gleichfalls kann jedoch auch vorgesehen sein, dass das Identifizierungsmodul als ein Softwaremodul ausgestaltet ist, welches in einem Prozessor des Kommunikationsendgeräts ausgeführt wird, der auch für andere Aufgaben zuständig ist. Insbesondere kann es sich um einen Hauptprozessor des Mobilfunkendgeräts handeln.
  • Darüber hinaus ist in einer Ausgestaltung des Verfahrens und des Kommunikationsendgeräts bzw. des Systems vorgesehen, dass die Anfrage und die den Antwortmöglichkeiten zugeordneten Schlüssel in einer OTA-Nachricht an das Kommunikationsendgerät gesendet werden, und die OTA-Nachricht in dem Identifizierungsmodul entschlüsselt wird. Zur sicheren Übermittlung der Anfrage und der den Antwortmöglichkeiten zugeordneten Schlüssel wird in dieser Ausgestaltung vorteilhaft auf den bereits bestehenden OTA-Mechanismus zurückgegriffen, so dass kein neuer Mechanismus zur verschlüsselten Übermittlung dieser Informationen eingerichtet werden muss.
  • Die OTA-Nachricht wird mit einem dem Identifizierungsmodul zugeordneten Schlüssel verschlüsselt, der in sicherer Weise in einem OTA-Server gespeichert ist. Um die OTA-Nachricht mit der Anfrage und den in den Antwortmöglichkeiten zugeordneten Schlüssel an das Kommunikationsendgerät zu senden, sieht eine Ausgestaltung des Verfahrens und des Kommunikationsendgeräts bzw. des Systems vor, dass die OTA-Nachricht von dem OTA-Server aufgrund einer von der Dateneinrichtung an den OTA-Server übermittelten Anweisung gesendet wird. Der in dem OTA-Server gespeicherte, dem Identifizierungsmodul zugeordnete Schlüssel zur Verschlüsselung der OTA-Nachricht braucht den OTA-Server in dieser Ausgestaltung vorteilhaft nicht zu verlassen.
  • Die Anfrage wird in einer Ausgestaltung aufgrund einer Anforderung einer mit dem Nutzer interagierenden Computereinrichtung an das Kommunikationsendgerät gesendet, und die Dateneinrichtung übermittelt die anhand des mit der Antwort empfangenen Schlüssels an die Computereinrichtung. Hierbei kann sich die Anfrage beispielsweise auf die Durchführung einer Transaktion im Rahmen eines von der Computereinrichtung bereitgestellten Dienstes beziehen, und die vorgegebenen Antwortmöglichkeiten können eine Zustimmung zu der Transaktion oder eine Ablehnung der Transaktion umfassen.
  • Die zuvor genannten und weitere Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung werden auch anhand der Ausführungsbeispiele deutlich, die nachfolgend unter Bezugnahme auf die Figuren beschrieben werden.
  • Von den Figuren zeigt
  • 1 eine schematische Darstellung eines Systems, in dem eine Kommunikation zwischen einer Dateneinrichtung und einem Kommunikationsendgerät erfolgt,
  • 2 eine schematische Darstellung einer Anfrage und zugehöriger Antwortmöglichkeiten sowie die diesen zugeordneten Schlüssel und
  • 3 eine schematische Darstellung der Abwicklung einer Anfrage in dem in der 1 gezeigten System.
  • Die 1 zeigt schematisch ein System, in dem mittels eines Kommunikationsendgeräts 101 eines Nutzers auf Anfragen geantwortet werden kann, die von einer Computereinrichtung 102 veranlasst werden. Bei der im Folgenden dargestellten Ausführungsform interagiert die Computereinrichtung mit dem Nutzer des Kommunikationsendgeräts 101, an den sich auch die Anfrage richtet, welche der Nutzer mittels seines Kommunikationsendgeräts 101 beantwortet.
  • Auf die Computereinrichtung 102 kann der Nutzer grundsätzlich in beliebiger Weise zugreifen. Beispielsweise kann der Nutzer direkt über entsprechende Ein- und Ausgabemittel mit der Computereinrichtung 102 interagieren. Hierbei kann die mittels des Kommunikationsendgeräts 101 beantwortete Anfrage beispielsweise eine Anfrage nach einer Freigabe von Funktionen der Computereinrichtung sein, wobei anhand der Antwort auf die Anfrage gleichzeitig die Identität überprüft werden kann, wenn sich die Zugangsberechtigung nach der Identität des Nutzers richtet. In einer weiteren Ausgestaltung greift der Nutzer mittels eines geeigneten elektronischen Geräts, bei dem es sich sowohl um das Kommunikationsendgerät 101 als auch um ein weiteres elektronisches Kommunikationsgerät, wie beispielsweise einen Personal Computer (PC) oder eine ähnliche Computereinrichtung handeln kann, über ein Datennetz, wie etwa das Internet, auf die Computereinrichtung 102 zu. In diesem Fall kann es sich bei der Computereinrichtung 102 um eine Servereinrichtung handeln, die einen Dienst bereitstellt, wie etwa einen Dienst zur Durchführung von Bestellvorgängen, einen Dienst für Online-Banking oder einen so genannten sozialen Netzwerkdienst. Anfragen im Zusammenhäng mit derartigen Diensten können beispielsweise die Autorisierung von Transaktionen, wie Bezahlvorgängen oder Zugriffe auf sensible persönliche Daten des Nutzers betreffen.
  • Die Abwicklung der Anfragen wird von einer Dateneinrichtung 103 gesteuert, die bei der Ausgestaltung, die in der 1 dargestellt ist, als eine von der Computereinrichtung 102 getrennte, separate Servereinrichtung ausgeführt ist. Wenn eine Anfrage an das Kommunikationsendgerät 101 gesendet werden soll, übermittelt die Computereinrichtung 102 eine entsprechende Anweisung an die Dateneinrichtung 103, und die von dem Kommunikationsendgerät 101 erhaltene Antwort auf die Anfrage wird von der Dateneinrichtung 103 an die Computereinrichtung 102 gemeldet. Die Kommunikationsverbindung zwischen der Computereinrichtung 102 und der Dateneinrichtung 103 kann über ein Datennetz hergestellt werden, wobei die Kommunikation gegen unberechtigte Manipulationen und das Abhören von Daten gesichert wird. Hierzu können dem Fachmann an sich bekannte Mittel, wie beispielsweise geeignete Verschlüsselungsmechanismen, eingesetzt werden. Die Trennung der Computereinrichtung 102 und der Dateneinrichtung 103 ist vor allem zweckmäßig, wenn eine Mehrzahl von Computereinrichtungen 102 auf die Dateneinrichtung 103 zugreift, um Anfragen an Kommunikationsendgeräte 102 von der Dateneinrichtung 103 durchführen zu lassen. Die Dateneinrichtung 103 und die unterschiedlichen auf die Dateneinrichtung 103 zugreifenden Computereinrichtungen 102 können dabei von verschiedenen Anbietern betrieben werden. In einer weiteren Ausgestaltung kann jedoch auch vorgesehen sein, dass die Dateneinrichtung 103 in die Computereinrichtung integriert ist. Dies ist insbesondere dann zweckmäßig, wenn die Dateneinrichtung 103 ausschließlich für die Abwicklung von Anfragen vorgesehen ist, die von einer einzigen Computereinrichtung 102 veranlasst werden.
  • Das Kommunikationsendgerät 101 des Nutzers ist bei der in der 1 dargestellten Ausgestaltung als mobiles Kommunikationsendgerät 101, wie etwa ein Mobiltelefon, ein Smartphone, ein Tablet- oder Notebookcomputer oder dergleichen, ausgestaltet, das sich über ein in der Figur nicht dargestelltes Zugangsnetz drahtlos mit einem Mobilfunknetz 104 verbinden kann, um von dem Mobilfunknetz 104 bereitgestellte Mobilfunkdienste, wie beispielsweise Dienste zur Sprach-, Daten- und Nachrichtenübermittlung zu nutzen. Beispiele für Dienste, die über das Mobilfunknetz 101 bereitgestellt werden können und zu deren Nutzung das Mobilfunkendgerät 102 verwendet werden kann, sind Dienste für Sprach- oder Videoanrufe, Datendienste bzw. Dienste für den Zugriff auf Datennetze, wie das Internet, sowie Nachrichtendienste, wie etwa SMS, MMS (Multimedia Messaging Service) oder E-Mail.
  • In der Ausgestaltung als mobilfunkfähiges Gerät umfasst das Kommunikationsendgerät 101 ein Terminal 105, das ein Funkmodul 106 aufweist, mit dem das Kommunikationsendgerät 101 über das Funkzugangsnetz mit dem Mobilfunknetz 101 verbunden werden kann. Das Funkmodul 106 verfügt hierzu über die erforderliche Funktechnik, beispielsweise eine Antenne mit zugehörigen Peripheriekomponenten, und über eine Steuereinrichtung zur Steuerung des Funkmoduls 106 und zur Durchführung der für den Datenaustausch mit dem Mobilfunknetz 101 bzw. dem Funkzugangsnetz notwendigen Datenverarbeitung. Neben dem Funkmodul 106 umfasst das Terminal 103 eine Benutzerschnittstelle 107, die Einrichtungen zur Interaktion zwischen dem Kommunikationsendgerät 101 und dem Nutzer umfasst. Insbesondere kann die Benutzerschnittstelle 107 eine als Display ausgestaltete visuelle Ausgabeeinrichtung sowie eine oder mehrere Eingabeeinrichtungen, wie beispielsweise eine Tastatur und/oder einen Joystick. Das Display kann auch als ein so genannter Touchscreen ausgestaltet sein und damit sowohl als visuelle Ausgabeeinrichtung als auch als Eingabeeinrichtung dienen. Zudem kann die Benutzerschnittstelle 107 weitere Ein- und Ausgabemittel bereitstellen, etwa für die Ein- und/oder Ausgabe von Audiosignalen. Neben dem Funkmodul 106 und der Benutzerschnittstelle 107 weist das Terminal 105 weitere in der Figur nicht dargestellte Komponenten auf, wie beispielsweise einen oder mehrere Prozessoren zur Steuerung des Terminals 105 und zur Ausführung weiterer von dem Bediener verwendeter Programme, eine oder mehrere Speichereinheiten zur Speicherung von Daten und Programmen, und ggf. weitere Hard- und Softwarekomponenten zur Ausführung von in dem Terminal 105 bereitgestellter Funktionen.
  • Das Funkmodul 106 kann mit einem in das Terminal eingesetzten Identifizierungsmodul 108 des Kommunikationsendgeräts 101 verbunden werden, welches Daten und Prozesse bereitstellt, die für den Zugriff des Kommunikationsendgeräts 101 auf das Mobilfunknetz 104 benötigt werden. Unter anderem werden von dem Identifizierungsmodul 108 bereitgestellte Daten und Prozesse für die Teilnehmeridentifizierung und -authentisierung in dem Mobilfunknetz 104 herangezogen. Die Teilnehmeridentifizierung und -authentisierung wird üblicherweise bei der Einbuchung in das Mobilfunknetz 104 vorgenommen und umfasst die Identifizierung des Identifizierungsmoduls 108 anhand einer Kennung, die von dem Identifizierungsmodul 108 an das Mobilfunknetz 104 gesendet wird, sowie die Authentisierung des Identifizierungsmoduls 108 anhand von Informationen, die in dem Identifizierungsmodul 108 unter Einsatz von vorgegebenen Algorithmen und Informationen berechnet werden. Das Identifizierungsmodul 108 verfügt über eine spezielle Sicherheitsarchitektur, die einen unautorisierten Zugriff auf Daten und Prozesse, insbesondere auf die zuvor genannten, für den Zugriff auf das Mobilfunknetz 104 verwendeten Daten und Prozesse, verhindert.
  • Das Identifizierungsmodul 108 ist in einer Ausgestaltung ein gesicherter Chip, der in einer Chipkarte enthalten ist, welche lösbar in einen Kartenleser des Terminals 105 eingesteckt werden kann. In dieser Ausgestaltung kann es sich bei dem Identifizierungsmodul 108 um eine SIM- oder USIM-Karte handeln, die für den Zugriff auf ein Mobilfunknetz 101 verwendet wird, das als GSM-, UMTS- oder LTE(Long Term Evolution)-Netz ausgeführt ist. Gleichfalls kann das Identifizierungsmodul 108 jedoch auch ein Chip sein, der fest in das Kommunikationsendgerät 101 integriert ist. Der Chip kann insbesondere auch als SIM- oder USIM-Chip ausgestaltet sein. In einer weiteren Ausgestaltung ist das Identifizierungsmodul 108 ein gesichertes Softwaremodul, das auf einem Prozessor des Terminals 103 ausgeführt wird, der auch für andere Aufgabe eingesetzt wird und bei dem es sich beispielsweise um den Hauptprozessor des Kommunikationsendgeräts 101 handeln kann.
  • Das Identifizierungsmodul 108 ist in einem Mobilfunknetz 104 registriert, das auch als das Heimatnetz des Identifizierungsmoduls 108 bzw. des Nutzers des Kommunikationsendgeräts 101 bezeichnet wird und welches in der 1 dargestellt ist. Bei dem Heimatnetz 104 kann es sich um das Mobilfunknetz handeln, mit dessen Betreiber der Nutzer einen Mobilfunkvertrag geschlossen hat. Von dem Betreiber des Heimatnetzes 104 oder in dessen Auftrag wird das Identifizierungsmodul 108 an den Nutzer ausgegeben und zuvor in einem sicheren Prozess vorkonfiguriert. Hierbei werden von dem Betreiber des Heimatnetzes 104 vorgegebene Daten zur Identifizierung und Authentisierung des Identifizierungsmoduls 105, von dem Betreiber vorgegebene Prozesse, wie beispielsweise bei der Authentisierung eingesetzte Verschlüsselungsalgorithmen, und weitere vom Betreiber vorgegebene Daten in dem Identifizierungsmodul 105 installiert.
  • Nach der Ausgabe kann in einer Ausgestaltung per Fernzugriff auf die in dem Mobilfunknetz 104 registrierten Identifizierungsmodule 108 zugegriffen werden, um Anpassungen vorzunehmen. Beispielsweise können Daten und Prozesse bzw. Programme in dem Identifizierungsmodul 108 verändert, ergänzt oder gelöscht werden. Mittels des Fernzugriffs können derartige Anpassungen vorgenommen werden, ohne dass Identifizierungsmodule in einer Servicestelle des Mobilfunkbetreibers oder eines anderen Anbieters angepasst oder neu ausgegeben werden müssen. Für den Fernzugriff auf ein Identifizierungsmodul 108 kann ein OTA-Mechanismus eingesetzt werden, bei dem ein OTA-Server 109 eine Nachricht an das betreffende Identifizierungsmodul 108 sendet, die Daten zur Installation in den Identifizierungsmodul 108 und/oder Befehle zur Änderung von Daten oder zur Ausführung von Prozesse und Programmen in dem Identifizierungsmodul 108 enthalten sein können. Der OTA-Server 109 kann in dem Mobilfunknetz 104 angeordnet sein und beispielsweise von dem zugehörigen Mobilfunkanbieter betrieben werden, oder er kann außerhalb des Mobilfunknetzes 104 von einer vertrauenswürdigen Organisation betrieben werden.
  • Zur Sicherung des Fernzugriffs auf die Identifizierungsmodule 108 und vor allem zum Schutz vor unberechtigten Zugriffen auf die Identifizierungsmodule 108 werden kryptographische Mechanismen eingesetzt. Die von dem OTA-Server 109 an ein Identifizierungsmodul 108 gesendeten Nachrichten, die im Folgenden auch als OTA-Nachrichten bezeichnet werden, sind mit einem kryptographischen Schlüssel verschlüsselt, um sie vor unberechtigten Manipulation auf dem Transportweg zu schützen und zu verhindern, dass Unbefugte OTA-Nachrichten an ein Identifizierungsmodul 108 senden können. Der Schlüssel ist dem jeweiligen Identifizierungsmodul 108 eindeutig zugeordnet und unter einer Kennung des Identifizierungsmoduls 108 in einer Datenbank 110 des OTA-Servers 109 hinterlegt. In dem Identifizierungsmodul 108 werden empfangene OTA-Nachrichten mit einem entsprechen kryptographischen Schlüssel entschlüsselt. Mit der Entschlüsselung wird zudem auch die Authentizität der Nachricht geprüft, da die Nachricht nur dann erfolgreich entschlüsselt werden kann, wenn sie mit dem korrekten, nur im OTA-Server 109 hinterlegten Schlüssel verschlüsselt worden ist.
  • Der in dem OTA-Server 109 zur Verschlüsselung verwendete Schlüssel und der in dem Identifizierungsmodul 108 zur Entschlüsselung verwendete Schlüssel, die nachfolgend auch als OTA-Schlüssel bezeichnet werden, können ein symmetrisches Schlüsselpaar bilden. Gleichfalls kann jedoch auch die Verwendung von asymmetrischen Schlüsselpaaren vorgesehen sein. Der in dem Identifizierungsmodul 108 verwendete OTA-Schlüssel kann bei der zuvor beschriebenen Vorkonfigurierung des Identifizierungsmoduls 108 in diesem hinterlegt werden. Die Kennung, unter der die den Identifizierungsmodulen 108 zugeordnete kryptographischen Schlüssel jeweils in der Datenbank 110 des OTA-Servers 109 hinterlegt sind, kann eine als MSISDN ausgestaltete, dem Identifizierungsmodul 108 zugeordnete Rufnummer umfassen, die auch zur Adressierung der OTA-Nachrichten an das Identifizierungsmodul 108 herangezogen werden kann. Zusätzlich oder alternativ kann die Kennung auch andere dem Identifizierungsmodul zugeordneten Identifizierungscodes umfassen. Sofern dabei die Rufnummer nicht in der Kennung enthalten ist, ist die Rufnummer vorzugsweise im OTA-Server 109 hinterlegt, und wird von dem OTA-Server 109 zur Adressierung von Nachrichten an das Identifizierungsmodul 108 verwendet. Alternativ wird die Rufnummer in diesem Fall an den OTA-Server 109 übergeben, wenn dieser angewiesen wird, eine OTA-Nachricht an ein Identifizierungsmodul 108 zu senden.
  • Die OTA-Nachrichten werden über einen in dem Mobilfunknetz 104 bereitgestellten Datenübertragungsdienst übertragen. Insbesondere kann ein Kurznachrichtendienst verwendet werden, bei dem es sich in einer Ausgestaltung um den an sich bekannten SMS (Short Message Service) handelt. Bei dem SMS werden Kurznachrichten von einem SMSC (Short Message Service Center) 111 des Mobilfunknetzes 104 an die mit dem Mobilfunknetz 104 verbundenen Kommunikationsendgeräte 104 gesendet. Zur Übertragung von OTA-Nachrichten besitzt der OTA-Server 109 daher eine SMS-Schnittstelle 112, über die er mit dem SMSC 111 verbunden ist. Um eine OTA-Nachricht an ein Identifizierungsmodul 108 zu übertragen, übergibt der OTA-Server 109 über die SMS-Schnittstelle 112 den verschlüsselten Inhalt der OTA-Nachricht zusammen mit der dem Identifizierungsmodul 108 zugeordneten Rufnummer an das SMSC 111. Das SMSC 111 sendet daraufhin eine als SMS-Nachricht ausgestaltete OTA-Nachricht unter Verwendung der dem Identifizierungsmodul 108 zugeordneten Rufnummer an das betreffende Kommunikationsendgerät 101. Dies geschieht grundsätzlich in der gleichen Weise wie die Übermittlung anderer SMS-Nachrichten an das Mobilfunkendgerät 104. Die OTA-Nachricht wird jedoch aufgrund eines enthaltenen besonderen Kennzeichens von dem Terminal 105 an das Identifizierungsmodul 108 weitergeleitet. Dies geschieht vorzugsweise transparent, d.h. unsichtbar für Nutzer des Kommunikationsendgeräts 101. In dem Identifizierungsmodul 108 wird die Nachricht nach dem Empfang zunächst entschlüsselt und dabei, wie zuvor erläutert, authentisiert. Nach erfolgreicher Entschlüsselung, wird die Nachricht ausgewertet, und darin enthaltene Steuerbefehle werden ausgeführt.
  • Anfragen, die in dem in der 1 dargestellten System von der Computereinrichtung 102 veranlasst werden und von der Dateneinrichtung 103 an das Kommunikationsendgerät 101 gesendet werden, werden in dem Kommunikationsendgerät 101 von einer Softwareapplikation bearbeitet, die in einer Ausgestaltung in dem Identifizierungsmodul 108 des Kommunikationsendgeräts gespeichert ist und ausgeführt wird. Hierdurch wird die Applikation von den Sicherheitsmechanismen des Identifizierungsmoduls 108 gegen unberechtigte Zugriffe geschützt. Die Applikation kann vor der Ausgabe des Identifizierungsmoduls 108 bei der zuvor erläuterten Vorkonfiguration in dem Identifizierungsmodul 108 installiert werden. Gleichfalls ist eine nachträgliche Installation möglich, die beispielsweise über den Fernzugriff mittels des OTA-Mechanismus vorgenommen werden kann.
  • Die in der Dateneinrichtung 103 erzeugten Anfragen werden in verschlüsselten Nachrichten an das Identifizierungsmodul 108 übermittelt, insbesondere um zu verhindern, das in den Nachrichten enthaltene Schlüssel, die möglichen Antworten auf die Anfragen zugeordnet sind, auf dem Transportweg aus den Nachrichten ausgelesen werden können. Für die verschlüsselte Übermittlung der Nachrichten mit den Anfragen wird bei dem in der 1 gezeigten Ausgestaltung des Systems der zuvor beschriebene OTA-Mechanismus eingesetzt. Hierdurch kann ein bereits bestehender und in Identifizierungsmodulen 108 standardmäßig implementierter Mechanismus für die sichere Übermittlung der Nachrichten mit den Anfragen genutzt werden. Es muss zu diesem Zweck kein neuer Sicherheitsmechanismus in den Identifizierungsmodulen 108 eingerichtet werden.
  • Eine Anfrage wird daher in einer OTA-Nachricht in der zuvor beschriebenen Weise von dem OTA-Server 109 an ein Identifizierungsmodul 108 gesendet. Zu diesem Zweck wird die Anfrage von der Dateneinrichtung 103 zunächst über eine entsprechende Schnittstelle 113 des OTA-Servers 109 an diesen übergeben. Die Kommunikation zwischen dem OTA-Server 109 und der Dateneinrichtung 103 über die Schnittstelle 113 ist gegen unberechtigte Manipulation von Daten und das Abhören auf dem Transportweg gesichert. Dies kann durch Maßnahmen erfolgen, die dem Fachmann an sich bekannt sind. Neben dem Inhalt der Anfrage übergibt die Dateneinrichtung 103 an den OTA-Server 109 die Kennung des Identifizierungsmoduls 108, an welches die Anfrage gesendet werden soll.
  • Die Kennung wird in einer Ausgestaltung von der Computereinrichtung 102 an die Dateneinrichtung 103 übergeben und kann von dem Nutzer des Kommunikationsendgeräts 101 im Rahmen der Interaktion mit der Computereinrichtung 102 angegeben werden. Alternativ kann von der Computereinrichtung 102 auch eine weitere dem Nutzer zugeordnete Kennung an die Dateneinrichtung 103 übergeben werden, anhand derer die Dateneinrichtung 103 die Kennung des an den Nutzer ausgegebenen Identifizierungsmoduls 108 ermitteln kann. Hierzu kann die Dateneinrichtung 103 auf eine Datenbank zugreifen, in der für eine Mehrzahl von Nutzern Zuordnungen zwischen Nutzerkennungen und Kennungen von zugehörigen Identifizierungsmodulen hinterlegt sind.
  • Nach dem Erhalt des Inhalts der Anfrage und dem Erhalt bzw. der Ermittlung der Kennung des betreffenden Identifizierungsmoduls 108 ermittelt der OTA-Server 109 den in der Datenbank 110 gespeicherten OTA-Schlüssel des Identifizierungsmoduls 108 und erzeugt eine mit diesem Schlüssel verschlüsselte OTA-Nachricht. Die OTA-Nachricht wird in der zuvor beschriebenen Weise an das SMSC 111 übergeben, und von diesem wird die OTA-Nachricht an das Kommunikationsendgerät 101 gesendet und innerhalb des Kommunikationsendgeräts 101 an das Identifizierungsmodul 108 weitergeleitet.
  • Innerhalb des Identifizierungsmoduls 108 wird anhand eines in der Nachricht enthaltenen Kennzeichens erkannt, dass es sich um eine zu bearbeitende Anfrage handelt. Daraufhin wird die zuvor beschriebene, zur Bearbeitung der Anfragen vorgesehene Applikation des Identifizierungsmoduls 108 gestartet. Diese greift auf die Benutzerschnittstelle 107 des Terminals 105 zu und veranlasst die Präsentation des Inhalts der Anfrage sowie der vorgegebenen Antwortmöglichkeiten, auf die noch genauer eingegangen wird, an der visuellen Ausgabeeinrichtung der Benutzerschnittstelle 107. Zudem empfängt die Applikation die Bedieneingaben des Nutzers, die für die Antwort auf die Anfrage bzw. die Auswahl aus den vorgegebenen Antwortmöglichkeiten repräsentativ ist und aufgrund der Darstellung der Anfrage und der Antwortmöglichkeiten von dem Nutzer des Kommunikationsendgeräts 101 mittels eines Eingabemittel der Benutzerschnittstelle 107 vorgenommen wird.
  • Die Antwortmöglichkeiten zur Beantwortung der Anfrage werden zusammen mit der Anfrage von der Computereinrichtung 102 vorgegeben und sind bereits in der an das Identifizierungsmodul 108 gesendeten Nachricht mit der Anfrage enthalten. Die zur Bearbeitung der Anfrage vorgesehene Applikation veranlasst das visuelle Ausgabemittel der Benutzerschnittstelle 107, die Antwortmöglichkeiten in einer geeigneten Darstellung, beispielsweise innerhalb einer Liste, zu präsentieren, so dass der Nutzer durch eine entsprechende Bedieneingabe die von ihm gewünschte Antwortmöglichkeit auswählen kann. Die von dem Nutzer ausgewählte Antwort wird innerhalb einer Antwortmitteilung an die Dateneinrichtung 103 gemeldet. Die Antwortmitteilung wird in dem Identifizierungsmodul 108 von der zur Bearbeitung der Anfrage vorgesehene Applikation erzeugt und zur Übermittlung an die Dateneinrichtung 103 an der Terminal 105 übergeben.
  • Von dem Terminal 105 wird die Antwortmitteilung dann an die Dateneinrichtung übermittelt. Hierzu können grundsätzlich beliebige Übermittlungsverfahren eingesetzt werden. In einer Ausgestaltung erfolgt die Übermittlung über das Mobilfunknetz 104 mittels eines von dem Mobilfunknetz 104 bereitgestellten Nachrichtendienstes. Hierbei kann es sich insbesondere wiederum um den SMS handeln, der auch zur Übertragung der OTA-Nachrichten an das Kommunikationsendgerät 101 eingesetzt werden kann. Bei Verwendung des SMS wird die Antwortmitteilung als SMS-Nachricht von dem Kommunikationsendgerät 101 bzw. dem Terminal 105 an das SMSC 111 gesendet. Dieses leitet die Antwortmitteilung dann an die Dateneinrichtung 103 weiter. Hierzu kann eine Verbindung zwischen dem SMSC 111 und der Dateneinrichtung 103 verwendet werden, die beispielsweise über dasselbe Datennetz hergestellt werden kann wie die Verbindung zwischen der Dateneinrichtung 103 und dem OTA-Server.
  • Sowohl für den Zugriff auf die Benutzerschnittstelle 107 als auch für die Steuerung der Übermittlung der Antwortnachricht von dem Kommunikationsendgerät 101 an die Dateneinrichtung 103 kann sich die Applikation sogenannter proaktiver Befehle eines dem Fachmann an sich bekannten Card Application Toolkit (CAT) bedienen, die einer Chipkarte erlauben, auf eigene Initiative auf Funktionen des Terminals 105 zuzugreifen. Im Falle der Ausgestaltung des Identifizierungsmoduls 108 als SIM- oder USIM-Chip können insbesondere Befehle des SIM Application Toolkit (SAT) bzw. USIM Application Toolkit (USAT) verwendet werden.
  • Um sicherzustellen, dass nur Bedieneingaben zur Auswahl einer Antwort auf die Anfrage berücksichtigt werden, die von dem Nutzer des Kommunikationsendgeräts 101 selbst und nicht von einem Dritten vorgenommen worden sind, wird in einer Ausgestaltung ein Authentisierungsmerkmal des Nutzers überprüft, bevor die Applikation die Antwortmitteilung die Anfrage generiert und an das Terminal 105 zur Übermittlung an die Dateneinrichtung 103 übergibt. Bei dem Authentisierungsmerkmal kann es sich beispielsweise um eine PIN handeln, die der Nutzer aufgrund einer entsprechenden Aufforderung mittels einer in der Benutzerschnittstelle 107 enthaltenen Eingabeeinrichtung an dem Kommunikationsendgerät 101 eingibt. Gleichfalls können mittels geeigneter Eingabeeinrichtungen der Benutzerschnittstelle 107 ggf. auch andere Authentisierungsmerkmale, wie beispielsweise biometrische Merkmale des Nutzers, eingegeben werden. Zur Überprüfung des an dem Kommunikationsendgerät 101 eingegebenen Authentisierungsmerkmals wird dieses von der Benutzerschnittstelle 107 an das Identifizierungsmodul 108 übergeben und dort mit einem in dem Identifizierungsmodul 108 hinterlegten Referenzmerkmal verglichen. Dieses kann bereits bei der Vorkonfiguration in dem Identifizierungsmodul 108 hinterlegt werden, oder nachträglich in einem abgesicherten Prozess von dem Nutzer in dem Identifizierungsmodul 108 gespeichert werden.
  • Bei einer erfolgreichen Überprüfung des Authentisierungsmerkmals, das heißt bei einer hinreichenden Übereinstimmung des eingegebenen Authentisierungsmerkmals und des Referenzmerkmals, generiert die Applikation des Identifizierungsmoduls die Antwortmitteilung, die dann an die Dateneinrichtung 103 übermittelt wird. Wird das Identifizierungsmerkmal – ggf. nach einer vorgegebenen Anzahl wiederholter Eingaben an der Benutzerschnittstelle – nicht erfolgreich überprüft, unterbleibt die Erzeugung der Antwortmitteilung. Stattdessen kann eine Fehlerroutine ausgeführt werden, die beispielsweise eine Sperrung der Applikation oder des Identifizierungsmoduls 107 und/oder eine Meldung an die Dateneinrichtung 103 umfassen kann. Wie zuvor bereits angedeutet, kann anhand der Prüfung des Authentisierungsmerkmals die Identität des Nutzers des Kommunikationsendgeräts verifiziert werden, so dass sichergestellt ist, dass die Antwort von dem Nutzer gegeben worden ist. Wie erwähnt können somit Anfragen nicht nur zur Ermöglichung der Auswahl einer Antwort mittels des Kommunikationsendgeräts 101 sondern gleichzeitig auch zum Zwecke der Nutzerauthentisierung durchgeführt werden, die beispielsweise im Zusammenhang mit der Zugriffsfreigabe auf Funktionen, Dienste und/oder Daten durch die Computereinrichtung 102 vorgenommen wird.
  • Die Überprüfung des Authentisierungsmerkmals wird in einer Ausgestaltung beim Start der für die Bearbeitung der Anfrage vorgesehenen Applikation vorgenommen, der, wie zuvor beschrieben wurde, aufgrund des Empfangs der die Anfrage enthaltenen OTA-Nachricht erfolgt. Die Applikation bearbeitet die Anfrage in dieser Ausgestaltung nur dann weiter, wenn das Authentisierungsmerkmal erfolgreich überprüft worden ist. Andernfalls wird die Bearbeitung abgebrochen, so dass auch die Präsentation der Anfrage im Falle einer fehlerhaften Überprüfung des Identifikationsmerkmals unterbleibt. Ergänzend kann vorgesehen sein, dass das Fehlschlagen der Überprüfung des Authentisierungsmerkmals an die Dateneinrichtung 103 gemeldet wird. Gleichfalls kann jedoch auch vorgesehen sein, dass die Prüfung des Identifikationsmerkmals zu einem anderen Zeitpunkt vorgenommen wird. Beispielsweise kann vorgesehen sein, dass der Nutzer das Identifikationsmerkmal zusammen mit der Auswahl der Antwort auf die Anfrage eingibt.
  • Die von der Applikation generierte Antwortmitteilung wird nicht mit dem OTA-Schlüssel des Identifizierungsmoduls 108 verschlüsselt. In einer Ausgestaltung wird die Antwortmitteilung völlig ohne eine spezifische Verschlüsselung, d.h. eine spezielle für die Antwortnachricht vorgenommen Verschlüsselung auf dem Applikationslevel übermittelt (standardmäßige vorgesehene Transportverschlüsselungen, wie sie beispielsweise für der Übertragung zu dem Mobilfunknetz 104 über die Luftschnittstelle vorgenommen werden können, werden selbstverständlich auch für die Antwortmitteilung durchgeführt). Der Verzicht auf die spezifische Verschlüsselung hat den Vorteil, dass in dem Identifizierungsmodul 108 oder an anderer Stelle in dem Kommunikationsendgerät 101 keine besonderen kryptographischen Operationen zur Erzeugung der Antwortmitteilung durchgeführt werden müssen. Zudem kann die Antwortmitteilung auch dann erzeugt werden, wenn die vorgesehene Implementierung des OTA-Mechanismus in dem Identifizierungsmodul 108 vorsieht, dass der OTA-Schlüssel lediglich zur Entschlüsselung empfangener OTA-Nachrichten eingesetzt werden kann und nicht zur Durchführung von Verschlüsselungen in dem Identifizierungsmodul 108.
  • In einer alternativen Ausgestaltung wird auf die Verschlüsselung der Antwortmitteilung hingegen nicht vollständig verzichtet, die Verschlüsselung wird jedoch vorzugsweise unabhängig von dem OTA-Mechanismus und insbesondere nicht mit dem OTA-Schlüssel des Identifizierungsmoduls 108 vorgenommen, so dass die Antwortmitteilung auch dann verschlüsselt werden kann, wenn der OTA-Schlüssel hierfür nicht genutzt werden kann. Durch eine Verschlüsselung der Antwortnachricht kann beispielsweise vorgeschriebenen Sicherheitsrichtlinien entsprochen werden, die eine Verschlüsselung vorschreiben. Zur Absicherung der Antwortmitteilung gegen unbemerkte Manipulationen ist die Verschlüsselung hingegen nicht unbedingt erforderlich.
  • Die Absicherung der Antwortmitteilung gegen unbefugte Manipulationen und/oder unberechtigtes Auslesen auf dem Transportweg wird dadurch erreicht, dass den vorgegebenen Antwortmöglichkeiten auf die Anfrage unterschiedliche Schlüssel zugeordnet werden und in die Antwortmitteilung nur der Schlüssel der ausgewählten Antwort eingebracht wird. Die Schlüssel werden den Antwortmöglichkeiten in abgesicherter Weise in der Dateneinrichtung 103 zugeordnet und zusammen mit der Anfrage und den Antwortmöglichkeiten in verschlüsselter Form an das Identifizierungsmodul 108 übermittelt, in dem sie ebenfalls vor unberechtigten Zugriffen gesichert sind. Auf diese Weise wird verhindert, dass unberechtigte Dritte Kenntnis von der Zuordnung zwischen den Antwortmöglichkeiten und den zugehörigen Schlüsseln erhalten. Aus diesem Grund ist eine Anzeige der Schlüssel an der Benutzerschnittstelle 107 des Kommunikationsendgeräts 101 vorzugsweise ebenfalls nicht vorgesehen.
  • Die Schlüssel werden von der Dateneinrichtung 103 derart generiert, dass zwischen ihnen eine zufällige oder pseudo-zufällige Beziehung besteht, das heißt, dass ein Beobachter in Kenntnis eines der Schlüssel nicht auf die übrigen Schlüssel schließen kann. Auf diese Weise wird sichergestellt, dass ein Dritter, der den ungeschützten Schlüssel für die ausgewählte Antwortmöglichkeit aus der Antwortmitteilung ausliest, auf den einer anderen Antwortmöglichkeit zugeordneten Schlüssel schließt und den in der Antwortmitteilung enthaltenen Schlüssel gezielt derart manipuliert, dass er dem Schlüssel einer anderen als der von dem Benutzer des Kommunikationsendgeräts 101 ausgewählten Antwortmöglichkeit entspricht. Zudem werden die Schlüssel vorzugsweise nur einmal verwendet, d. h. für eine Anfrage. Es handelt sich somit um so genannte Sitzungsschlüssel. Hierdurch wird verhindert, dass ein Schlüssel der von einem Angreifer aus einer Antwortmitteilung ausgelesen worden ist, in missbräuchlicher Absicht als gültiger Schlüssel in eine weitere Antwortnachricht eingebracht werden kann.
  • In einer Ausgestaltung sind die Schlüssel als alphanumerische Zeichenketten ausgeführt, die eine hinreichende Länge aufweisen, welche Manipulationen mit ausreichender Wahrscheinlichkeit ausschließt. Um eine nachvollziehbare Relation zwischen den Schlüsseln für verschiedene Antwortmöglichkeiten auszuschließen, können die Zeichenketten zufällig oder mittels eines Pseudo-Zufallsalgorithmus in der Dateneinrichtung 103 generiert werden. Ein Beispiel für eine Anfrage mit zwei Antwortoptionen A und B, die beispielsweise für eine Zustimmung und eine Ablehnung einer bestimmten in der Anfrage angegebenen Transaktion stehen können, und zugehörigen Schlüsseln ist in der 2 schematisch dargestellt. Der Antwortmöglichkeit A ist hierbei der Schlüssel 146zht8763j5j zugeordnet, und der Antwortmöglichkeit B ist der Schlüssel kih53976105jz zugeordnet. Der Inhalt der Anfrage (<Anfrage>) sowie die Antwortmöglichkeiten A und B können, wie zuvor beschrieben, an der visuellen Ausgabeeinrichtung der Benutzerschnittstelle 107 des Kommunikationsendgeräts 101 angezeigt werden, um dem Nutzer die Auswahl einer Antwortmöglichkeit auf die Anfrage zu ermöglichen. Die Schlüssel werden vorzugsweise nicht angezeigt.
  • In der Dateneinrichtung 103 bleiben die generierten Schlüssel in Zuordnung zu den vorgesehenen Antwortmöglichkeiten nach der Übermittlung der Anfrage bzw. nach der Übergabe an den OTA-Server 109 gespeichert. Wenn die Dateneinrichtung 103 die in dem Identifizierungsmodul 108 des Kommunikationsendgeräts 101 erzeugte Antwortmitteilung erhält, greift sie auf die gespeicherten Schlüssel zu und ermittelt die Antwort, die dem in der Antwortmitteilung enthaltenen Schlüssel zugeordnet ist. Diese Antwort teilt die Dateneinrichtung 103 der Computereinrichtung 102 als Antwort auf die gestellte Anfrage mit, die dann in Abhängigkeit von der ausgewählten Antwortmöglichkeit verfährt. Dabei kann auch vorgesehen sein, dass die Dateneinrichtung 103 die Antwortmitteilung anhand des enthaltenen Schlüssels auch der zuvor übermittelten Anfrage zuordnet, das heißt, sie ermittelt die Anfrage, auf die sich die Antwort bezieht, ebenfalls anhand des Schlüssels. Auf diese Weise kann die Antwort in der Dateneinrichtung 103 anhand des Schlüssels der zugehörigen Anfrage zugeordnet werden, und die Antwort kann dem Server 102 in Zuordnung zu der zugehörigen Anfrage mitgeteilt werden.
  • Ein weiterer in einer Ausgestaltung eingesetzter Sicherheitsmechanismus zum Schutz der Antwortmitteilung vor unberechtigten Manipulationen sieht vor, dass den Schlüsseln in der Dateneinrichtung 103 eine Gültigkeitsdauer zugeordnet wird. Die Gültigkeitsdauer ist vorzugsweise als ein vorgegebener Parameter in der Dateneinrichtung 103 hinterlegt. Einerseits ist sie so bemessen, dass ausreichend Zeit für die Übermittlung der Anfrage an das Kommunikationsendgerät 101, die Bearbeitung der Anfrage in dem Kommunikationsendgerät 101 und die Übermittlung der Antwortmitteilung von dem Kommunikationsendgerät 101 an die Dateneinrichtung 103 zur Verfügung steht. Anderseits wird die Gültigkeitsdauer nicht zu lange gewählt. Wenn in der Dateneinrichtung 103 die Antwortmitteilung empfangen wird, dann überprüft die Dateneinrichtung, ob die Gültigkeitsdauer des enthaltenen Schlüssels abgelaufen ist oder nicht. Hierzu erstellt die Dateneinrichtung in einer Ausgestaltung bei Erzeugung der Anfrage oder bei der Absendung der Anfragenachricht einen Zeitstempel, der in Zuordnung zu den in der Anfrage enthaltenen Schlüsseln in der Dateneinrichtung 103 hinterlegt wird. Die Absendung der Anfragenachricht entspricht in der zuvor beschriebenen Ausgestaltung der Übergabe der Anfragenachricht an den OTA-Server 109. Beim Empfang der Antwortmitteilung vergleicht die Dateneinrichtung 103 die Zeit des Empfangs mit dem Zeitstempel, um zu prüfen, ob die Antwortmitteilung innerhalb der Gültigkeitsdauer empfangen worden ist. Ist dies der Fall, wird die Antwortmitteilung weiter bearbeitet. Insbesondere wird die erhaltene Antwort an die Computereinrichtung 102 gemeldet. Wird hingegen festgestellt, dass die Gültigkeitsdauer abgelaufen ist, wird die Antwort als ungültig erkannt und eine Fehlerroutine gestartet. Hierbei kann beispielsweise ein Fehler an die Computereinrichtung 102 gemeldet werden.
  • Unter Anwendung der zuvor beschriebenen Mechanismen und Einrichtungen können Anfragen in einer beispielhaften Ausgestaltung derart an das Kommunikationsendgerät 101 gesendet und mittels des Kommunikationsendgeräts 101 beantwortet werden, wie im Folgenden unter Bezugnahme auf das schematische Diagramm in der 3 dargestellt ist, in der verschiedene Schritte zur Abwicklung einer Anfrage dargestellt sind.
  • Beispielhaft wird in der 3 von der in der 2 schematisch dargestellten Anfrage mit zwei Antwortmöglichkeiten A und B ausgegangen:
  • Zunächst wird eine Anforderung zur Durchführung einer Anfrage in dem Schritt 301 von der Computereinrichtung 102 an die Dateneinrichtung 103 gesendet. Die Anfrage kann sich beispielsweise auf eine Transaktion richten, die im Rahmen eines von dem Nutzer des Kommunikationsendgeräts 101 genutzten Dienstes auszuführen ist, und eine Zustimmung oder Ablehnung der Transaktion verlangt. In dem Schritt 301 werden der Inhalt der Anfrage, der beispielsweise die durchzuführende Transaktion beschreiben kann, sowie vorgegebene Antwortmöglichkeiten von dem Server 102 an die Dateneinrichtung 103 übergeben. Zusätzlich wird die Kennung des von dem Nutzer in dem Kommunikationsendgerät 101 verwendeten Identifizierungsmoduls 108 übergeben, oder eine weitere Kennung des Nutzers, welche die Dateneinrichtung 103 in der zuvor beschriebenen Weise der Kennung des an den Nutzer ausgegebenen Identifizierungsmoduls 108 zuordnet.
  • Nach dem Empfang der Anforderung von dem Server 102 erzeugt die Dateneinrichtung in dem Schritt 302 jeweils einen Sitzungsschlüssel für jede von der Computereinrichtung 102 vorgegebene Antwortmöglichkeit. Die Sitzungsschlüssel werden in der zuvor beschriebenen Weise derart erzeugt, dass zwischen ihnen ein zufälliger oder pseudo-zufälliger Zusammenhang besteht. Sodann generiert die Dateneinrichtung 103 eine Anfragenachricht, welche den von der Computereinrichtung 102 übermittelten Inhalt sowie die vorgegebenen Antwortmöglichkeiten und die ihnen zugeordneten Sitzungsschlüssel enthält. Die Antwortmöglichkeiten sowie die ihnen zugeordneten Sitzungsschlüssel werden zudem in der Dateneinrichtung 103 gespeichert. In Verbindung mit den Sitzungsschlüssen wird in einer Ausgestaltung zudem ein Zeitstempel in der Dateneinrichtung 103 gespeichert, welcher der Zeit entsprechen kann, zu welcher die Anfragenachricht erzeugt wird, oder zu welcher die Anfragenachricht abgesendet wird. Letzteres entspricht in der dargestellten Ausgestaltung der nachfolgenden Übergabe an den OTA-Server 109.
  • Die Anfrage wird verschlüsselt an das Kommunikationsendgerät 101 des Nutzers gesendet, welches anhand der dem Identifizierungsmodul 108 zugeordneten Kennung identifiziert wird. Bei der in der 3 dargestellten Ausgestaltung wird die Anfrage hierzu zusammen mit der Kennung des Identifizierungsmoduls 108 an den OTA-Server 109 übergeben. Dieser ermittelt zunächst anhand der Kennung den in der Datenbank 110 (siehe 1) gespeicherten OTA-Schlüssel des Identifizierungsmoduls 108 und erzeugt in dem Schritt 304 eine OTA-Nachricht, welche die von der Dateneinrichtung 103 erhaltene Anfragenachricht enthält und mit dem OTA-Schlüssel des Identifizierungsmoduls 108 verschlüsselt ist. Die OTA-Nachricht wird sodann an das Kommunikationsendgerät 101 übermittelt. Dies geschieht bei den in der 3 dargestellten und zuvor beschriebenen Ausgestaltungen mittels des SMS, indem die OTA-Nachricht zunächst in dem Schritt 305 an das SMSC 111 übergeben und von diesem in dem Schritt 306 an das Kommunikationsendgerät 101 gesendet wird. Der die Anfrage sowie die Antwortmöglichkeiten und die zugehörigen Schlüssel enthaltenen, der 2 entsprechende Inhalt der OTA-Nachricht ist in der 3 schematisch veranschaulicht und mit der Bezugsziffer 315 versehen.
  • In dem Kommunikationsendgerät 101 wird die Nachricht in dem Schritt 307 an das Identifizierungsmodul 108 übergeben, welches die OTA-Nachricht mit dem in dem Identifizierungsmodul 108 hinterlegten OTA-Schlüssel entschlüsselt und nach der Entschlüsselung weiter verarbeitet. Hierbei erkennt das Identifizierungsmodul 108 die Anfrage und startet die Applikation zur Bearbeitung der Anfrage und zur Erzeugung einer Antwortmitteilung. Die Applikation fordert den Nutzer des Kommunikationsendgeräts 101 in dem Schritt 308 auf, das mit der Beantwortung von Anfragen verknüpfte Authentisierungsmerkmal einzugeben. Die Aufforderung, die in der 3 beispielhaft in Bezug auf ein als PIN ausgestaltetes Authentisierungsmerkmal dargestellt und mit der Bezugsziffer 316 versehen ist, wird an der Benutzerschnittstelle 107 des Kommunikationsendgeräts 106 dargestellt, an welcher der Benutzer auch das Authentisierungsmerkmal eingibt.
  • Nach Eingabe des Authentisierungsmerkmals wird dieses von der Applikation überprüft, und nach erfolgreicher Überprüfung werden dem Nutzer mittels der visuellen Ausgabeeinrichtung der Benutzerschnittstelle 107 des Kommunikationsendgeräts 101 der Inhalt der Anfrage sowie die Antwortmöglichkeiten präsentiert. Der Inhalt der Anfrage sowie die Antwortmöglichkeiten entnimmt die Applikation hierzu der erhaltenen OTA-Nachricht. Eine beispielhafte Präsentation für die in der 2 dargestellte Anfrage und die zugehörigen Antwortoptionen ist in der 3 schematisch veranschaulicht und mit der Bezugsziffer 317 versehen. Aus den dargestellten Antwortmöglichkeiten wählt der Nutzer mittels einer Eingabeeinrichtung der Benutzerschnittstelle 107 des Kommunikationsendgeräts 101 eine Antwortmöglichkeit aus, die in der Applikation registriert wird. Die Applikation ermittelt daraufhin den in der OTA-Nachricht empfangenen Sitzungsschlüssel, welcher der ausgewählten Antwort zugeordnet ist, und erzeugt in dem Schritt 310 eine Antwortmitteilung an die Dateneinrichtung 103, die den zuvor ermittelten, der ausgewählten Antwort zugeordneten Sitzungsschlüssel enthält. Vorliegend wird in Bezug auf die 3 beispielhaft davon ausgegangen, dass der Nutzer die Antwortmöglichkeit B auswählt, so dass die Antwortmitteilung den zugehörigen Schlüssel kih53976105jz enthält.
  • Die Antwortmitteilung wird von dem Identifizierungsmodul 108 an das Terminal 105 des Kommunikationsendgeräts 101 übergeben und dann von dem Kommunikationsendgerät 101 an die Dateneinrichtung 103 übermittelt. Dies geschieht bei der in der 3 dargestellten Ausgestaltung mittels des SMS, indem die Antwortmitteilung wie zuvor bereits beschrieben zunächst als SMS-Nachricht in dem Schritt 311 an das SMSC 111 gesendet und von diesem in dem Schritt 312 an die Dateneinrichtung 103 übergeben wird. Der Inhalt, der den Schlüssel enthält, welcher der ausgewählten Antwortmöglichkeit zugeordnet ist, ist in der 3 schematisch veranschaulicht und mit der Bezugsziffer 318 versehen.
  • Die Dateneinrichtung 103 liest aus der erhaltenen Antwortmitteilung den darin enthaltenen, der ausgewählten Antwort zugeordneten Schlüssel aus und bestimmt anhand des Schlüssels aus der zuvor gespeicherten Zuordnung zwischen den vorgegebenen Antwortmöglichkeiten und den zugehörigen Schlüsseln die Antwortmöglichkeit, die von dem Nutzer ausgewählt worden ist. Ferner wird in einer Ausgestaltung anhand eines Vergleichs des Zeitpunkts des Empfangs der Antwortmitteilung mit dem zu dem Schlüssel gespeicherten Zeitstempel zusätzlich geprüft, ob die Antwortmittelung innerhalb der Gültigkeitsdauer des enthaltenen Schlüssels empfangen worden ist. Nach der Ermittlung der ausgewählten Antwort und ggf. nach der erfolgreichen Prüfung, ob die Antwortmitteilung innerhalb der Gültigkeitsdauer empfangen worden ist, wird die Antwort des Nutzers von der Dateneinrichtung 103 in dem Schritt 314 an die Computereinrichtung 102 gemeldet. Computereinrichtung 102 führt sodann die Transaktion dann in Abhängigkeit von der erhaltenen Antwort durch oder unterlässt die Durchführung der Transaktion, wenn diese mit der Antwort abgelehnt worden ist.
  • Obwohl die Erfindung in den Zeichnungen und der vorausgegangenen Darstellung im Detail beschrieben wurde, sind die Darstellungen illustrativ und beispielhaft und nicht einschränkend zu verstehen. Die Erfindung ist nicht auf die erläuterten Ausführungsbeispiele beschränkt.
  • Insbesondere ist die Erfindung nicht auf die Bearbeitung von Anfragen beschränkt, die von einem Dienst veranlasst werden, der von dem Nutzer ausgeführt bzw. gesteuert wird. Gleichfalls kann der Dienst auch automatisiert ohne eine Steuerung durch den Nutzer ausgeführt werden. Ebenfalls muss die Antwort nicht von dem Nutzer durch eine mittels der Benutzerschnittstelle 107 vorgenommenen Bedienaktion ausgewählt werden, sondern die Antwort auf die Anfrage des Dienstes kann auch automatisiert in dem Kommunikationsendgerät 101 bestimmt werden.
  • Darüber hinaus ist die Erfindung nicht auf bestimmte Anfragen beschränkt. Vielmehr können beliebige Anfragen gesendet werden, für die beliebige Antwortmöglichkeiten vorgegeben werden, denen jeweils ein Schlüssel zugeordnet wird. Die Antwortmöglichkeiten können einen beliebigen Inhalt haben. Zudem besteht grundsätzlich keine Beschränkung auf eine bestimmte Anzahl von vorgegebenen Antwortmöglichkeiten.
  • Des Weiteren besteht keine Beschränkung auf mobile Kommunikationsendgeräte 101 oder auf Kommunikationsendgeräte 101, die in einem Mobilfunknetz 104 genutzt werden können, sondern die Erfindung kann in ähnlicher Weise mit beliebigen Kommunikationsendgeräten 101 ausgeführt werden, die dazu in der Lage sind mit einer Dateneinrichtung 103 zu kommunizieren.
  • Weitere Varianten der Erfindung und ihre Ausführung ergeben sich für den Fachmann aus der vorangegangenen Offenbarung, den Figuren und den Patentansprüchen.
  • In den Patentansprüchen verwendete Begriffe wie "umfassen", "aufweisen", "beinhalten", "enthalten" und dergleichen schließen weitere Elemente oder Schritte nicht aus. Die Verwendung des unbestimmten Artikels schließt eine Mehrzahl nicht aus. Eine einzelne Einrichtung kann die Funktionen mehrerer in den Patentansprüchen genannten Einheiten bzw. Einrichtungen ausführen. In den Patentansprüchen angegebene Bezugszeichen sind nicht als Beschränkungen der eingesetzten Mittel und Schritte anzusehen.
  • Bezugszeichenliste
    • 101
    Kommunikationsendgerät
    102
    Server
    103
    Dateneinrichtung
    104
    Mobilfunknetz/Heimatnetz
    105
    Terminal
    106
    Funkmodul
    107
    Benutzerschnittstelle
    108
    Identifizierungsmodul
    109
    OTA-Server
    110
    Datenbank
    111
    SMSC
    112
    SMS-Schnittstelle
    113
    Schnittstelle
    301–314
    Schritte
    315
    Inhalt der OTA-Nachricht
    316
    Abfrage der PIN
    317
    Präsentation der Anfrage
    318
    Inhalt der Antwortnachricht
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 2234423 A1 [0004]

Claims (14)

  1. Verfahren zum sicheren Mitteilen einer mittels eines Kommunikationsendgeräts bestimmten Antwort auf eine Anfrage an eine Dateneinrichtung, wobei die Antwort mittels des Kommunikationsendgeräts aus einer Mehrzahl von Antwortmöglichkeiten ausgewählt wird, wobei den Antwortmöglichkeiten jeweils ein Schlüssel zugeordnet wird und die Schlüssel verschlüsselt zusammen mit der Anfrage in dem Kommunikationsendgerät empfangen und in einer Einrichtung des Kommunikationsendgeräts entschlüsselt werden und wobei die Einrichtung aufgrund einer getroffenen Auswahl den der ausgewählten Antwortmöglichkeit zugeordneten Schlüssel ermittelt und der ermittelte Schlüssel in einer Antwortmitteilung an die Dateneinrichtung gesendet wird.
  2. Verfahren nach Anspruch 1, wobei die den Antwortmöglichkeiten zugeordneten Schlüssel von der Dateneinrichtung bereitgestellt und zumindest bis zum Erhalt der Antwort in der Dateneinrichtung gespeichert werden.
  3. Verfahren nach Anspruch 1 oder 2, wobei die Dateneinrichtung die getroffene Auswahl anhand des in der Antwortmitteilung enthaltenen Schlüssels bestimmt.
  4. Verfahren nach einem der vorangegangenen Ansprüche, wobei die Schlüssel, die den Antwortmöglichkeiten zugeordneten werden, in einer zufälligen oder pseudozufälligen Beziehung zueinander stehen.
  5. Verfahren nach einem der vorangegangenen Ansprüche, wobei die Schlüssel nur einmal verwendet werden.
  6. Verfahren nach einem der vorangegangenen Ansprüche, wobei den Schlüsseln eine Gültigkeitsdauer zugeordnet wird, und die Antwortmitteilung als ungültig erkannt wird, wenn sie nach Ablauf der Gültigkeitsdauer in der Dateneinrichtung empfangen wird.
  7. Verfahren nach einem der vorangegangenen Ansprüche, wobei die Antwortmöglichkeiten einem Nutzer mittels einer Ausgabeeinrichtung des Kommunikationsendgeräts präsentiert werden und/oder wobei die Auswahl der Antwortmöglichkeit durch eine Eingabe des Nutzers an dem Kommunikationsendgerät getroffen wird.
  8. Verfahren nach einem der vorangegangenen Ansprüche, wobei die Antwortmitteilung nur dann gesendet wird, wenn die Einrichtung ein von dem Nutzer eingegebenes Authentisierungsmerkmal erfolgreich geprüft hat.
  9. Verfahren nach einem der vorangegangenen Ansprüche, wobei das Kommunikationsendgerät ein in einem Mobilfunknetz verwendbares Gerät ist und die Einrichtung des Kommunikationsendgeräts ein Identifizierungsmodul ist, das zur Identifizierung und/oder Authentisierung eines Teilnehmers in einem Mobilfunknetz verwendbar ist.
  10. Verfahren nach einem der vorangegangenen Ansprüche, wobei die Anfrage und die den Antwortmöglichkeiten zugeordneten Schlüssel in einer OTA-Nachricht an das Kommunikationsendgerät gesendet werden und die OTA-Nachricht in dem Identifizierungsmodul entschlüsselt wird.
  11. Verfahren nach einem der vorangegangenen Ansprüche, wobei die OTA-Nachricht von einem OTA-Server aufgrund einer von der Dateneinrichtung an den OTA-Server übermittelten Anweisung gesendet wird.
  12. Verfahren nach einem der vorangegangenen Ansprüche, wobei die Anfrage aufgrund einer Anforderung einer mit dem Nutzer interagierenden Computereinrichtung an das Kommunikationsendgerät gesendet wird und wobei die Dateneinrichtung die anhand des mit der Antwortmitteilung empfangenen Schlüssels bestimmte Antwort an die Computereinrichtung übermittelt.
  13. Kommunikationsendgerät mit dem eine Antwort auf eine Anfrage aus einer Mehrzahl von Antwortmöglichkeiten auswählbar ist, wobei den Antwortmöglichkeiten jeweils ein Schlüssel zugeordnet ist und das Kommunikationsendgerät dazu ausgestaltet ist, die Schlüssel verschlüsselt zusammen mit der Anfrage in dem Kommunikationsendgerät zu empfangen, und wobei eine Einrichtung des Kommunikationsendgeräts dazu ausgestaltet ist, die Schlüssel zu entschlüsseln und aufgrund einer getroffen Auswahl den der ausgewählten Antwortmöglichkeit zugeordneten Schlüssel zu ermitteln, und wobei das Kommunikationsendgerät dazu ausgestaltet ist, den ermittelten Schlüssel in einer Antwortmitteilung an eine Dateneinrichtung zu senden.
  14. System umfassend ein Kommunikationsendgerät nach Anspruch 13 und die Dateneinrichtung, wobei die Dateneinrichtung dazu ausgestaltet ist, die den Antwortmöglichkeiten zugeordneten Schlüssel bereitzustellen und die getroffen Auswahl anhand des in der Antwortmitteilung enthaltenen Schlüssels zu bestimmen.
DE102011075257A 2011-05-04 2011-05-04 Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers Active DE102011075257B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102011075257A DE102011075257B4 (de) 2011-05-04 2011-05-04 Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers
EP12718635.1A EP2705477A1 (de) 2011-05-04 2012-04-25 Beantwortung von anfragen mittels des kommunikationsendgeräts eines nutzers
US14/114,969 US20140052992A1 (en) 2011-05-04 2012-04-25 Response to Queries by Means of the Communication Terminal of a User
PCT/EP2012/057558 WO2012150160A1 (de) 2011-05-04 2012-04-25 Beantwortung von anfragen mittels des kommunikationsendgeräts eines nutzers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011075257A DE102011075257B4 (de) 2011-05-04 2011-05-04 Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers

Publications (2)

Publication Number Publication Date
DE102011075257A1 true DE102011075257A1 (de) 2012-11-08
DE102011075257B4 DE102011075257B4 (de) 2013-11-21

Family

ID=46026796

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011075257A Active DE102011075257B4 (de) 2011-05-04 2011-05-04 Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers

Country Status (4)

Country Link
US (1) US20140052992A1 (de)
EP (1) EP2705477A1 (de)
DE (1) DE102011075257B4 (de)
WO (1) WO2012150160A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2933769A1 (de) * 2014-04-10 2015-10-21 Vodafone GmbH Transaktionsverfahren

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3002964A1 (de) * 2014-10-02 2016-04-06 Gemalto Sa Verfahren zum Senden von Daten aus einem sicheren Token zu einem Server
EP3013085A1 (de) * 2014-10-23 2016-04-27 Gemalto Sa Verfahren zum Senden von Daten aus einem sicheren Token an einen entfernten Server
FR3028122A1 (fr) * 2014-11-05 2016-05-06 Orange Systeme de securisation des echanges entre un objet communicant et une plateforme de services
EP3241375B1 (de) * 2014-12-30 2019-04-24 STMicroelectronics Srl Verfahren zur bereitstellung einer antwort auf einen scp80-befehl zur anforderung der ausführung eines proaktiven befehls, zugehörige universelle karte mit integriertem schaltkreis, mobile vorrichtung, server und computerprogrammprodukt
KR102125564B1 (ko) * 2015-07-29 2020-06-22 삼성전자주식회사 디바이스들 간의 통신 방법 및 그 디바이스
US10152421B2 (en) 2015-11-23 2018-12-11 Intel Corporation Instruction and logic for cache control operations

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009135175A2 (en) * 2008-05-01 2009-11-05 Starscriber Corporation Mobile communications facilitated by interactive menus
EP2234423A1 (de) * 2009-03-23 2010-09-29 Vodafone Holding GmbH Sichere Identifizierung über Kommunikationsnetzwerke

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6148405A (en) * 1997-11-10 2000-11-14 Phone.Com, Inc. Method and system for secure lightweight transactions in wireless data networks
US20040019564A1 (en) * 2002-07-26 2004-01-29 Scott Goldthwaite System and method for payment transaction authentication
US7548886B2 (en) * 2003-06-12 2009-06-16 International Business Machines Corporation System and method for early detection and prevention of identity theft
US8001249B2 (en) * 2007-04-10 2011-08-16 Markettools, Inc. Session management system and method for use with stateless messaging services
US8005198B2 (en) * 2007-06-29 2011-08-23 Avaya Inc. Methods and apparatus for defending against telephone-based robotic attacks using permutation of an IVR menu
US20100229245A1 (en) * 2009-03-05 2010-09-09 Tara Chand Singhal System of security that prevents abuse of identity data in global commerce via mobile wireless authorizations

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009135175A2 (en) * 2008-05-01 2009-11-05 Starscriber Corporation Mobile communications facilitated by interactive menus
EP2234423A1 (de) * 2009-03-23 2010-09-29 Vodafone Holding GmbH Sichere Identifizierung über Kommunikationsnetzwerke

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2933769A1 (de) * 2014-04-10 2015-10-21 Vodafone GmbH Transaktionsverfahren

Also Published As

Publication number Publication date
DE102011075257B4 (de) 2013-11-21
EP2705477A1 (de) 2014-03-12
US20140052992A1 (en) 2014-02-20
WO2012150160A1 (de) 2012-11-08

Similar Documents

Publication Publication Date Title
DE102011075257B4 (de) Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers
EP2533172B2 (de) Gesicherter Zugriff auf Daten in einem Gerät
DE69904570T3 (de) Verfahren, anordnung und einrichtung zur authentifizierung durch ein kommunikationsnetz
EP2443853B1 (de) Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz
DE202009019188U1 (de) Authentifizierung von sicheren Transaktionen
EP2289016B1 (de) Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte
DE602004012233T2 (de) Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten
DE102015111711A1 (de) Aufbau einer Kommunikationsverbindung mit einer Benutzervorrichtung über eine Zugangskontrollvorrichtung
DE60203041T2 (de) Verfahren und vorrichtung zum beglaubigen einer transaktion
DE60224391T2 (de) Sicherer Zugang zu einem Teilnehmermodul
EP2677791B1 (de) Verfahren und vorrichtung zum übermitteln einer prüfanfrage an ein identifizierungsmodul
EP2434719B1 (de) Verfahren und Server zum Bereitstellen von Nutzerinformationen
EP2952029A1 (de) Verfahren zum zugriff auf einen dienst eines servers über eine applikation eines endgeräts
EP2933769B1 (de) Transaktionsverfahren
EP3882796A1 (de) Nutzerauthentifizierung unter verwendung zweier unabhängiger sicherheitselemente
EP2397960B1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem
EP1571591B1 (de) Verwendung eines RFID-Tags um mit einem Mobilgerät auf eine Hypertext-Seite zuzugreifen
EP2613491B1 (de) Ausführung von kryptografischen Operationen mit Daten eines Nutzerendgeräts
EP2723111B1 (de) Mehrfaktor-Authentifikation für mobile Endgeräte
DE102011110898A1 (de) Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation
DE102014201846A1 (de) Verfahren zur sicheren Übertragung von Zeichen
EP2591583B1 (de) Verfahren zur sicheren datenübertragung und entschlüsselung für die kommunikation via internet
DE102012204821A1 (de) Bereitstellung von Identitätsattributen eines Nutzers
DE20310759U1 (de) Bezahlvorrichtung und Terminal
DE10149129A1 (de) Verfahren zum Erzeugen eines authentischen elektronischen Zertifikats

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R083 Amendment of/additions to inventor(s)
R020 Patent grant now final

Effective date: 20140222

R082 Change of representative

Representative=s name: JOSTARNDT PATENTANWALTS-AG, DE