DE102019200925A1 - Method and device for generating and checking a one-time password - Google Patents

Method and device for generating and checking a one-time password Download PDF

Info

Publication number
DE102019200925A1
DE102019200925A1 DE102019200925.5A DE102019200925A DE102019200925A1 DE 102019200925 A1 DE102019200925 A1 DE 102019200925A1 DE 102019200925 A DE102019200925 A DE 102019200925A DE 102019200925 A1 DE102019200925 A1 DE 102019200925A1
Authority
DE
Germany
Prior art keywords
target system
time password
key
authentication device
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019200925.5A
Other languages
German (de)
Inventor
Gerd Griesheimer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019200925.5A priority Critical patent/DE102019200925A1/en
Publication of DE102019200925A1 publication Critical patent/DE102019200925A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Vorrichtung und Verfahren zur Erzeugung eines Einmal-Kennworts an einer Verifizier-Einrichtung eines Zielsystems (200) für Nutzer, wobei abhängig von einem Diffie-Hellman-Schlüsselaustausch zwischen dem Zielsystem und einer Authentifizierungs-Einrichtung (100) abhängig von einem öffentlichen Schlüssel der Authentifizierungs-Einrichtung (100) und einem privaten Schlüssel des Zielsystems ein symmetrischer Schlüssel erzeugt wird (301), wobei ein Einmal-Kennwort durch Verschlüsselung einer Charakteristik des Zielsystems, insbesondere einer Seriennummer des Zielsystems, mit dem symmetrischen Schlüssel erzeugt wird (302).Vorrichtung und Verfahren zur Bestimmung eines Einmal-Kennworts an einer Authentifizierungs-Einrichtung (100), wobei durch einen Diffie-Hellman-Schlüsselaustausch zwischen einem Zielsystem und der Authentifizierungs-Einrichtung (100) ein öffentlicher Schlüssel und eine Charakteristik des Zielsystems, insbesondere eine Seriennummer, empfangen wird (304), wobei ein symmetrischer Schlüssel abhängig vom öffentlichen Schlüssel des Zielsystems und von einem privaten Schlüssel der Authentifizierungs-Einrichtung (100) erzeugt wird und das Einmal-Kennwort durch Verschlüsseln der Charakteristik des Zielsystems mit dem symmetrischen Schlüssel bestimmt wird (306)Device and method for generating a one-time password at a verification device of a target system (200) for users, whereby depending on a Diffie-Hellman key exchange between the target system and an authentication device (100) depending on a public key of the authentication Device (100) and a private key of the target system is generated (301), a one-time password is generated by encrypting a characteristic of the target system, in particular a serial number of the target system, with the symmetrical key (302) .Device and method for determining a one-time password at an authentication device (100), a Diffie-Hellman key exchange between a target system and the authentication device (100) receiving a public key and a characteristic of the target system, in particular a serial number ( 304), being a symmetrical the key is generated depending on the public key of the target system and a private key of the authentication device (100) and the one-time password is determined by encrypting the characteristic of the target system with the symmetric key (306)

Description

Stand der TechnikState of the art

Die Erfindung betrifft ein Verfahren zur Erzeugung und Überprüfung eines Einmal-Kennworts, insbesondere zur Authentifizierung oder Autorisierung eines Nutzers an einem Endgerät mit eingeschränkten Eingabemöglichkeiten. Einmal-Kennworte werden eingesetzt, um an rechnergestützten Systemen die Einräumung von Rechten, die der Nutzer hat, nachzuweisen oder zu bestätigen.The invention relates to a method for generating and checking a one-time password, in particular for authenticating or authorizing a user on a terminal with restricted input options. One-time passwords are used to prove or confirm the granting of rights that the user has on computer-aided systems.

Einmal-Kennworte sind Kennworte, die nur für eine einmalige Verwendung gültig sind. Eine Voraussetzung für die Verwendung von Einmal-Kennworten ist, dass beide Seiten, d.h. der Nutzer und das Zielsystem, wissen, welches Kennwort für einen bestimmten Authentifizierungs- oder Autorisierung-Vorgang gültig ist.One-time passwords are passwords that are only valid for one-time use. A requirement for the use of one-time passwords is that both sides, i.e. the user and the target system know which password is valid for a particular authentication or authorization process.

Das Einmal-Kennwort kann vom Nutzer am Zielsystem eingegeben oder auf Veranlassung durch den Nutzer von einem zusätzlichen Gerät an das Zielsystem übermittelt werden.The one-time password can be entered by the user on the target system or transmitted to the target system by an additional device at the user's request.

RFC 4226, RFC 6238 und RFC 2289 der Internet Engineering Task Force (IETF) schlagen Systeme vor, die Einmal-Kennworte verwenden.Internet Engineering Task Force (IETF) RFC 4226, RFC 6238, and RFC 2289 suggest systems that use one-time passwords.

Die in RFC 4226, RFC 6238 und RFC 2289 vorgeschlagenen Systeme verwenden zur Ermittlung der Einmal-Kennworte symmetrische Kryptosysteme.The systems proposed in RFC 4226, RFC 6238 and RFC 2289 use symmetrical cryptosystems to determine the one-time passwords.

Wünschenswert ist es ein derartiges System weiter zu verbessern.It is desirable to further improve such a system.

Offenbarung der ErfindungDisclosure of the invention

Dies wird durch den Gegenstand der unabhängigen Ansprüche erreicht.This is achieved through the subject matter of the independent claims.

Ein Verfahren zur Erzeugung eines Einmal-Kennworts an einer Verifizier-Einrichtung eines rechnergestützten Zielsystem, sieht vor, dass abhängig von einem Diffie-Hellman-Schlüsselaustausch zwischen dem Zielsystem und einer Authentifizierungs-Einrichtung abhängig von einem öffentlichen Schlüssel der Authentifizierungs-Einrichtung und einem privaten Schlüssel des Zielsystems, ein symmetrischer Schlüssel erzeugt wird, wobei ein Einmal-Kennwort durch Verschlüsselung einer Charakteristik des Zielsystems, insbesondere einer Seriennummer des Zielsystems, mit dem symmetrischen Schlüssel erzeugt wird. Eine Charakteristik des Zielsystems kann dabei insbesondere eine Kennzahl, ein Kennzeichen oder eine Kennung sein, über die das Zielsystem eindeutig identifiziert werden kann, zum Beispiel eine Seriennummer, eine MAC-Adresse oder auch jede andere Art einer ID oder eines Identifikators des Zielsystems. Bei dem Diffie-Hellman-Schlüsselaustausch wird für jedes neue Einmal-Kennwort ein neues Diffie-Hellman-Schlüssel-Paar auf dem Zielsystem erzeugt und der öffentliche Schlüssel an die Authentifizierungseinrichtung übertragen. Diese Übertragung kann direkt oder indirekt über eine Wiedergabeeinrichtung, insbesondere ein Smartphone des Nutzers, erfolgen. Das Diffie-Hellman-Schlüssel-Paar der Authentifizierungs-Einrichtung wird vorab erzeugt und mehrfach verwendet, wobei der öffentliche Schlüssel der Authentifizierungs-Einrichtung durch eine manipulationssichere Methode vorab an das Zielsystem übertragen wird. Unter Authentifizierungs-Einrichtung wird ein Gerät oder System verstanden, das das Einmal-Kennwort für den Nutzer bereitstellt. Die Authentifizierungs-Einrichtung ist beispielsweise ein Hardware Token, eine Smartphone App oder ein Backend-Service. Das Diffie-Hellman-Schlüssel-Paar der Authentifizierungs-Einrichtung wird beispielsweise auf der Authentifizierungs-Einrichtung erzeugt. Der öffentliche Schlüssel der Authentifizierungs-Einrichtung wird beispielsweise bei der Herstellung des Zielsystems auf diesem gespeichert. Es ist beispielsweise vorgesehen, dass der Nutzer sich auf dem Zielsystem mit dem Einmal-Kennwort anmeldet. Es ist beispielsweise vorgesehen, dass der Nutzer sich zusätzlich gegenüber der Authentifizierungs-Einrichtung authentifiziert, um den Zugang zum Einmal-Kennwort für nicht autorisierten Personen zu verhindern.A method for generating a one-time password at a verification device of a computer-based target system provides that depending on a Diffie-Hellman key exchange between the target system and an authentication device, depending on a public key of the authentication device and a private key of the target system, a symmetrical key is generated, a one-time password being generated by encrypting a characteristic of the target system, in particular a serial number of the target system, with the symmetrical key. A characteristic of the target system can in particular be an identification number, an identifier or an identifier by means of which the target system can be uniquely identified, for example a serial number, a MAC address or any other type of ID or an identifier of the target system. In the Diffie-Hellman key exchange, a new Diffie-Hellman key pair is generated on the target system for each new one-time password and the public key is transmitted to the authentication device. This transmission can take place directly or indirectly via a playback device, in particular a smartphone of the user. The Diffie-Hellman key pair of the authentication device is generated in advance and used several times, the public key of the authentication device being transmitted to the target system in advance by a tamper-proof method. Authentication means a device or system that provides the one-time password for the user. The authentication device is, for example, a hardware token, a smartphone app or a backend service. The Diffie-Hellman key pair of the authentication device is generated, for example, on the authentication device. The public key of the authentication device is stored on the target system, for example, when the target system is manufactured. It is provided, for example, that the user logs on to the target system with the one-time password. It is provided, for example, that the user additionally authenticates himself against the authentication device in order to prevent access to the one-time password for unauthorized persons.

Die Authentifizierungs-Einrichtung verwendet den öffentlichen Schlüssel und die Charakteristik des Zielsystems um das Einmal-Kennwort zu ermitteln.The authentication device uses the public key and the characteristics of the target system to determine the one-time password.

Vorteilhafterweise wird der öffentliche Schlüssel des Zielsystem an die Authentifizierungs-Einrichtung gesendet.The public key of the target system is advantageously sent to the authentication device.

Vorteilhafterweise wird der öffentliche Schlüssel des Zielsystems und insbesondere die Charakteristik, insbesondere die Seriennummer des Zielsystems, an den Nutzer ausgegeben. Sowohl der öffentliche Schlüssel als auch die Charakteristik des Zielsystems wird von der Authentifizierungs-Einrichtung benötigt, um das Einmal-Kennwort zu bestimmen. Durch Ausgabe an den Nutzer, kann der Nutzer diese der Authentifizierungs-Einrichtung bereitstellen, wenn diese nicht bereits direkt an die Authentifizierungs-Einrichtung gesendet wurde.The public key of the target system and in particular the characteristic, in particular the serial number of the target system, are advantageously output to the user. Both the public key and the characteristics of the target system are required by the authentication device in order to determine the one-time password. By outputting to the user, the user can provide this to the authentication device if it has not already been sent directly to the authentication device.

Vorteilhafterweise wird der öffentliche Schlüssel des Zielsystems und die Charakteristik drahtlos an eine Wiedergabeeinrichtung, insbesondere ein Smartphone des Nutzers, gesendet. Dies ermöglicht ein kompaktes Zielsystem, das insbesondere ohne graphische Nutzerschnittstelle ausgebildet ist.The public key of the target system and the characteristic are advantageously sent wirelessly to a playback device, in particular a smartphone of the user. This enables a compact target system, which is designed in particular without a graphical user interface.

Vorteilhafterweise wird der öffentliche Schlüssel und insbesondere die Charakteristik als zweidimensionaler graphischer Code, insbesondere als QR Code, an den Nutzer ausgegeben. Dieser Code kann einer maschinellen Verarbeitung insbesondere durch einen Scanner der Authentifizierungs-Einrichtung zugeführt werden. The public key and in particular the characteristic are advantageously output to the user as a two-dimensional graphic code, in particular as a QR code. This code can be fed to machine processing, in particular by a scanner of the authentication device.

Vorteilhafterweise wird das Einmal-Kennwort in der Verifizier-Einrichtung des Zielsystems verkürzt und/oder in eine Zeichenklasse umgewandelt, um eine Eingabe an einem Endgerät mit eingeschränkten Eingabemöglichkeiten zu erleichtern.The one-time password is advantageously shortened in the verification device of the target system and / or converted into a character class in order to facilitate input on a terminal with limited input options.

Vorteilhafterweise wird eine Eingabe eines Nutzers mit dem Einmal-Kennwort verifiziert. Ein Nutzer meldet sich an dem Zielsystem an indem er das Einmal-Kennwort eingibt, das die Authentifizierungs-Einrichtung bereitstellt. An entry of a user is advantageously verified with the one-time password. A user logs on to the target system by entering the one-time password that the authentication device provides.

Vorteilhafterweise wird das Einmal-Kennwort, der symmetrische Schlüssel, der öffentliche Schlüssel und der private Schlüssel des Zielsystems gelöscht, wenn erkannt wird, dass das Einmal-Kennwort korrekt eingeben wurde oder eine Anzahl falscher Kennwort-Eingaben einen Schwellwert überschreitet. Dies erschwert es potentiellen Angreifern, unberechtigt Zugang zu erhalten.The one-time password, the symmetric key, the public key and the private key of the target system are advantageously deleted if it is detected that the one-time password has been entered correctly or a number of incorrect password entries exceeds a threshold value. This makes it difficult for potential attackers to gain unauthorized access.

Eine entsprechende Verifizier-Einrichtung, umfasste einen Prozessor und einen Speicher, und ist ausgebildet das Verfahren auszuführen.A corresponding verification device, comprising a processor and a memory, and is designed to carry out the method.

Vorteilhafterweise umfasst die Verifizier-Einrichtung eine Netzwerkschnittstelle, die dazu ausgebildet ist, mit der Authentifizier-Einrichtung und/oder drahtlos zu kommunizieren.The verification device advantageously comprises a network interface which is designed to communicate with the authentication device and / or wirelessly.

Ein Verfahren zur Bestimmung des Einmal-Kennworts an einer Authentifizierungs-Einrichtung, sieht vor, dass durch einen Diffie-Hellman-Schlüsselaustausch zwischen einem Zielsystem und der Authentifizierungs-Einrichtung der öffentliche Schlüssel und eine Charakteristik des Zielsystems, insbesondere eine Seriennummer, empfangen wird, wobei ein symmetrischer Schlüssel abhängig vom öffentlichen Schlüssel des Zielsystems und von einem privaten Schlüssel der Authentifizierungs-Einrichtung erzeugt wird, und das Einmal-Kennwort durch Verschlüsseln der Charakteristik des Zielsystems mit dem symmetrischen Schlüssel bestimmt wird.A method for determining the one-time password at an authentication device provides that the public key and a characteristic of the target system, in particular a serial number, are received by a Diffie-Hellman key exchange between a target system and the authentication device, whereby a symmetrical key is generated depending on the public key of the target system and a private key of the authentication device, and the one-time password is determined by encrypting the characteristic of the target system with the symmetrical key.

Vorteilhafterweise wird das Einmal-Kennwort in der Authentifizierungs-Einrichtung verkürzt und/oder in eine Zeichenklasse umgewandelt um eine Eingabe an einem Endgerät mit eingeschränkten Eingabemöglichkeiten zu erleichtern.The one-time password is advantageously shortened in the authentication device and / or converted into a character class in order to facilitate an input on a terminal with limited input options.

Vorteilhafterweise wird das Einmal-Kennwort an den Nutzer ausgegeben. Dieser kann sich damit gegenüber dem Zielsystem legitimieren.The one-time password is advantageously output to the user. This can legitimize itself against the target system.

Vorteilhafterweise wird überprüft, ob der Nutzer berechtigt ist, ein durch die Charakteristik definiertes Einmal-Kennwort zu erhalten. Damit sind unterscheidbare Berechtigungen möglich, die abhängig beispielsweise von der Seriennummer des Zielsystems vergebbar sind.It is advantageously checked whether the user is authorized to receive a one-time password defined by the characteristic. This makes it possible to distinguish permissions that can be assigned depending on the serial number of the target system, for example.

Eine entsprechende Authentifizier-Einrichtung, umfasste einen Prozessor und einen Speicher, und ist ausgebildet das Verfahren auszuführen.A corresponding authentication device, comprising a processor and a memory, and is designed to carry out the method.

Vorteilhafterweise umfasst die Authentifizier-Einrichtung eine Netzwerkschnittstelle, die dazu ausgebildet ist, mit dem Zielsystem und/oder einer Wiedergabeeinrichtung, insbesondere einem Smartphone des Nutzers, zu kommunizieren.The authentication device advantageously comprises a network interface which is designed to communicate with the target system and / or a playback device, in particular a smartphone of the user.

Vorteilhafterweise wird bei dem Verfahren ein Diffie-Hellman-Schlüsselaustausch Verfahren verwendet, das auf Elliptic curve cryptography beruht.A Diffie-Hellman key exchange method, which is based on elliptic curve cryptography, is advantageously used in the method.

Weitere vorteilhafte Ausgestaltungen ergeben sich aus der folgenden Beschreibung und der Zeichnung. In der Zeichnung zeigt:

  • 1 schematisch Teile einer Authentifizier-Einrichtung,
  • 2 schematisch Teile einer Verifizier-Einrichtung auf dem Zielsystem,
  • 3 schematisch ein Sequenz-Diagramm.
Further advantageous embodiments result from the following description and the drawing. The drawing shows:
  • 1 schematically parts of an authentication device,
  • 2nd schematically parts of a verification device on the target system,
  • 3rd schematically a sequence diagram.

1 zeigt schematisch Teile einer Authentifizier-Einrichtung 100. Die Authentifizier-Einrichtung 100 umfasst einen Prozessor 102 und einen Speicher 104. Eine Datenleitung 108 verbindet diese. Die Authentifizier-Einrichtung 100 ist im Beispiel ein Hardware Token, eine Smartphone App oder ein Backend-Service. Die Authentifizier-Einrichtung 100 umfasst eine Nutzer-Schnittstelle 106. Die Nutzer-Schnittstelle 106 ist beispielsweise eine Weboberfläche, über die ein Nutzer auf einen Backend-Service zugreifen kann. Die Authentifizier-Einrichtung 100 kann auch ein System aus mehreren Rechnern, beispielsweise ein Backend sein. 1 shows schematically parts of an authentication device 100 . The authentication facility 100 includes a processor 102 and a memory 104 . A data line 108 connects them. The authentication facility 100 in the example is a hardware token, a smartphone app or a backend service. The authentication facility 100 includes a user interface 106 . The user interface 106 is, for example, a web interface through which a user can access a backend service. The authentication facility 100 can also be a system made up of several computers, for example a backend.

Der Speicher 104 umfasst Instruktionen, bei deren Ausführung durch den Prozessor 102 das im Folgenden beschriebene Verfahren ablaufen kann.The memory 104 includes instructions when executed by the processor 102 the procedure described below can run.

2 zeigt schematisch Teile einer Verifizier-Einrichtung 200 auf dem Zielsystem. Die Verifizier-Einrichtung 200 umfasst einen Prozessor 202 und einen Speicher 204. Eine Datenleitung 208 verbindet diese. Der Speicher 204 umfasst Instruktionen, bei deren Ausführung durch den Prozessor 202 das im Folgenden beschriebene Verfahren ablaufen kann. Die Verifizier-Einrichtung 200 umfasst eine Schnittstelle 206 im Beispiel für die Weboberfläche. 2nd shows schematically parts of a verification device 200 on the target system. The verification facility 200 includes a processor 202 and a memory 204 . A data line 208 connects them. The memory 204 includes instructions when executed by the processor 202 the procedure described below can run. The verification facility 200 includes an interface 206 in the example for the web interface.

Die Authentifizier-Einrichtung 100 umfasst eine Netzwerkschnittstelle 110, die dazu ausgebildet ist, mit der Verifizier-Einrichtung des Zielsystems 200 oder einer Wiedergabeeinrichtung 212 zu kommunizieren.The authentication facility 100 includes a network interface 110 , which is designed with the verification device of the target system 200 or a playback device 212 to communicate.

Die Verifizier-Einrichtung des Zielsystems 200 umfasst optional eine Netzwerkschnittstelle 210, die dazu ausgebildet ist, mit der Authentifizier-Einrichtung 100 und/oder drahtlos mit einer Wiedergabeeinrichtung 212, insbesondere einem Smartphone zu kommunizieren.The verification facility of the target system 200 optionally includes a network interface 210 , which is designed to use the authentication device 100 and / or wirelessly with a playback device 212 , especially to communicate with a smartphone.

Die Kommunikation erfolgt beispielsweise über das Internet Protokoll mittels des Transmission Control Protocol. Für die drahtlose Kommunikation wird beispielsweises Bluetooth oder WLAN verwendet.Communication takes place, for example, via the Internet protocol using the Transmission Control Protocol. For example, Bluetooth or WLAN is used for wireless communication.

Ein Diffie-Hellman-Schlüsselaustausch definiert ein Diffie-Hellman-Schlüssel-Paar für die Verifizier-Einrichtung des Zielsystems 200 mit einem öffentlichen und dazu passenden privaten Schlüssel des Zielsystems und dazu passend ein Diffie-Hellman-Schlüssel-Paar der Authentifizierungs-Einrichtung mit dem öffentlichen und einem dazu passenden privaten Schlüssel der Authentifizierungs-Einrichtung 100.A Diffie-Hellman key exchange defines a Diffie-Hellman key pair for the verification device of the target system 200 with a public and matching private key of the target system and matching a Diffie-Hellman key pair of the authentication device with the public and a matching private key of the authentication device 100 .

Der Nutzer ist beispielsweise ein Service Techniker, der auf ein Endgerät, ohne Netzwerkzugang zu einem Backend Server, als Zielsystem zugreifen können soll. Vorzugsweise wird eine Vielzahl von Endgeräten verwendet.The user is, for example, a service technician who should be able to access an end device as the target system without network access to a backend server. A multiplicity of terminals is preferably used.

Die Authentifizierungs-Einrichtung 100 ist ein Gerät oder System, das dafür das Einmal-Kennwort für den Nutzer bereitstellt.The authentication facility 100 is a device or system that provides the one-time password for the user.

Das Endgerät oder jedes der Endgeräte ist im Beispiel durch eine Charakteristik definiert, über die das Endgerät eindeutig identifiziert werden kann, zum Beispiel eine Seriennummer, eine MAC-Adresse oder auch jede andere Art einer ID oder eines Identifikators des Endgerätes. Die Seriennummer wird im Folgenden als Charakteristik der Endgeräte verwendet. Andere Charakteristika, die eine Gruppe von Endgeräten definieren, können vorgesehen sein. Die Verifizier-Einrichtung im Zielsystem 200 ist ausgebildet die Charakteristik, oder Information, die die Charakteristik definiert, zu speichern und wie folgt zu verwenden.In the example, the terminal or each of the terminals is defined by a characteristic by means of which the terminal can be uniquely identified, for example a serial number, a MAC address or any other type of ID or identifier of the terminal. The serial number is used in the following as a characteristic of the end devices. Other characteristics that define a group of terminals can be provided. The verification facility in the target system 200 is designed to store the characteristic, or information defining the characteristic, and to use it as follows.

Das Diffie-Hellman-Schlüssel-Paar der Authentifizierungs-Einrichtung 100 wird im Beispiel auf der Authentifizierungs-Einrichtung 100 erzeugt. Der öffentliche Schlüssel der Authentifizierungs-Einrichtung 100 ist auf der Verifizier-Einrichtung des Zielsystems 200 gespeichert. Das Diffie-Hellmann Schlüssel-Paar des Zielsystems wird im Beispiel durch die Verifizier-Einrichtung des Zielsystems 200 temporär erzeugt.The Diffie-Hellman key pair of the authentication device 100 is in the example on the authentication facility 100 generated. The public key of the authentication facility 100 is on the verification system of the target system 200 saved. The Diffie-Hellmann key pair of the target system is shown in the example by the verification device of the target system 200 created temporarily.

Das Verfahren sieht vor, daß in einem Schritt 301 an der Verifizier-Einrichtung des Zielsystems 200 von einem öffentlichen Schlüssel der Authentifizierungs-Einrichtung 100 und einem privaten Schlüssel des Zielsystems ein symmetrischer Schlüssel erzeugt wird.The process provides that in one step 301 at the verification facility of the target system 200 from a public key of the authentication device 100 and a symmetric key is generated for a private key of the target system.

In einem Schritt 302 wird ein Einmal-Kennwort durch Verschlüsselung der Charakteristik des Zielsystems, insbesondere der Seriennummer des Zielsystems, mit dem symmetrischen Schlüssel erzeugt.In one step 302 a one-time password is generated by encrypting the characteristics of the target system, in particular the serial number of the target system, with the symmetric key.

Der öffentliche Schlüssel und die Charakteristik des Zielsystems werden in einem Schritt 303 an den Nutzer ausgegeben. Im Beispiel wird der öffentliche Schlüssel und die Charakteristik drahtlos an die Wiedergabeeinrichtung 212, insbesondere das Smartphone des Nutzers, gesendet. Vorteilhafterweise wird der öffentliche Schlüssel des Zielsystems und insbesondere die Charakteristik als zweidimensionaler graphischer Code, insbesondere als QR code, an den Nutzer ausgegeben. Dieser Code kann einer maschinellen Verarbeitung insbesondere durch einen Scanner der Authentifizierungs-Einrichtung zugeführt werden.The public key and the characteristics of the target system are in one step 303 issued to the user. In the example, the public key and the characteristics are sent wirelessly to the playback device 212 , in particular the user's smartphone. The public key of the target system and in particular the characteristic are advantageously output to the user as a two-dimensional graphic code, in particular as a QR code. This code can be fed to machine processing, in particular by a scanner of the authentication device.

Alternativ oder zusätzlich kann vorgesehen sein, den öffentlichen Schlüssel direkt an die Authentifizierungs-Einrichtung 100 zu senden, wenn die Verifizier-Einrichtung des Zielsystems 200 mit der Authentifizierungs-Einrichtung 200 direkt kommunizieren kann.Alternatively or additionally, the public key can be sent directly to the authentication device 100 to send when the verification facility of the target system 200 with the authentication facility 200 can communicate directly.

In einem Schritt 304 wird der öffentliche Schlüssel und die Charakteristik des Zielsystems an der Authentifizierungs-Einrichtung 100 empfangen. Im Beispiel erfolgt die Übertragung von einer Wiedergabeeinrichtung 212, insbesondere einem Smartphone, über eine Weboberfläche der Authentifizierungs-Einrichtung 100.In one step 304 becomes the public key and the characteristics of the target system at the authentication device 100 receive. In the example, the transmission is from a playback device 212 , in particular a smartphone, via a web interface of the authentication device 100 .

In einem optionalen Schritt 305 wird überprüft, ob der Nutzer berechtigt ist, ein durch die Charakteristik definiertes Einmal-Kennwort zu erhalten. Wenn dies der Fall ist, wird mit Schritt 306 fortgefahren, anderenfalls wird das Verfahren mit einer Fehlermeldung beendet. Damit sind unterscheidbare Berechtigungen möglich, die abhängig beispielsweise von der Seriennummer der Zielsysteme vergebbar sind.In an optional step 305 it is checked whether the user is authorized to receive a one-time password defined by the characteristic. If so, go to step 306 continued, otherwise the procedure ends with an error message. This enables distinguishable authorizations that can be assigned depending on the serial number of the target systems, for example.

In einem Schritt 306 wird an der Authentifizierungs-Einrichtung 100 das Einmal-Kennwort durch Verschlüsseln der Charakteristik des Zielsystems mit dem symmetrischen Schlüssel ermittelt.In one step 306 is at the authentication facility 100 the one-time password is determined by encrypting the characteristics of the target system with the symmetric key.

Dabei wird zunächst abhängig vom öffentlichen Schlüssel des Zielsystems und vom privaten Schlüssel der Authentifizierungs-Einrichtung 100 nach dem Diffie-Hellman Schlüsselaustauschverfahren derselbe symmetrische Schlüssel erzeugt. Damit wird dasselbe Einmal-Kennwort erzeugt, wie in der Verifizier-Einrichtung des Zielsystems 200.First, it depends on the public key of the target system and the private key of the authentication device 100 generated the same symmetric key using the Diffie-Hellman key exchange method. This generates the same one-time password as in the verification system of the target system 200 .

In einem Schritt 307 wird das Einmal-Kennwort an den Nutzer ausgegeben. Die Ausgabe erfolgt im Beispiel an die Wiedergabeeinrichtung 212.In one step 307 the one-time password is issued to the user. In the example, the output is sent to the playback device 212 .

Der Nutzer erhält eine Anzeige des Einmal-Kennworts und kann sich damit gegenüber der Verifizier-Einrichtung des Zielsystems 200 legitimieren.The user receives a display of the one-time password and can thus compare himself to the verification system of the target system 200 legitimize.

In einem Schritt 308 wird eine Eingabe eines Nutzers an der Verifizier-Einrichtung des Zielsystems 200 mit dem Einmal-Kennwort verifiziert. Ein Nutzer meldet sich an der Verifizier-Einrichtung des Zielsystems 200 an indem er das Einmal-Kennwort eingibt, das die Authentifizierungs-Einrichtung 100 bereitstellt.In one step 308 becomes an input from a user at the verification device of the target system 200 verified with the one-time password. A user logs on to the verification system of the target system 200 by entering the one-time password that the authentication facility 100 provides.

In einem abschließenden Schritt 309 wird das Einmal-Kennwort, der symmetrische Schlüssel, der öffentliche und der private Schlüssel im Zielsystem gelöscht, wenn erkannt wird, daß das Einmal-Kennwort korrekt eingeben wurde oder eine Anzahl falscher Kennwort-Eingaben einen Schwellwert überschreitet. In a final step 309 the one-time password, the symmetric key, the public and the private key are deleted in the target system if it is recognized that the one-time password was entered correctly or a number of incorrect password entries exceeds a threshold value.

Es kann vorgesehen sein, dass das Einmal-Kennwort in der Authentifizierungs-Einrichtung 200 verkürzt und/oder in eine passende Zeichenklasse umgewandelt wird, um eine Eingabe an einem Endgerät mit eingeschränkten Eingabemöglichkeiten zu erleichtern. Eine Zeichenklasse definiert in diesem Zusammenhang einen Satz von Zeichen, von denen jedes in einer Eingabezeichenfolge enthalten sein kann.It can be provided that the one-time password in the authentication device 200 is shortened and / or converted into a suitable character class to facilitate input on a terminal with limited input options. In this context, a character class defines a set of characters, each of which can be contained in an input string.

Claims (18)

Verfahren zur Erzeugung eines Einmal-Kennworts an einer Verifizier-Einrichtung eines rechnergestützten Zielsystems (200), dadurch gekennzeichnet, dass abhängig von einem Diffie-Hellman-Schlüsselaustausch zwischen dem Zielsystem (200) und einer Authentifizierungs-Einrichtung (100) abhängig von einem öffentlichen Schlüssel der Authentifizierungs-Einrichtung (100) und einem privaten Schlüssel des Zielsystems (200) ein symmetrischer Schlüssel erzeugt wird (301), wobei ein Einmal-Kennwort durch Verschlüsselung einer Charakteristik des Zielsystems (200), insbesondere einer Seriennummer des Zielsystems (200), mit dem symmetrischen Schlüssel erzeugt wird (302).Method for generating a one-time password at a verification device of a computer-aided target system (200), characterized in that depending on a Diffie-Hellman key exchange between the target system (200) and an authentication device (100) depending on a public key of the authentication device (100) and a private key of the target system (200) a symmetrical key is generated (301), a one-time password also being encrypted by encrypting a characteristic of the target system (200), in particular a serial number of the target system (200) the symmetric key is generated (302). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der öffentliche Schlüssel des Zielsystems an die Authentifizierungs-Einrichtung (100) gesendet wird (303, 304).Procedure according to Claim 1 , characterized in that the public key of the target system is sent to the authentication device (100) (303, 304). Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der öffentliche Schlüssel des Zielsystems und insbesondere die Charakteristik, insbesondere die Seriennummer des Zielsystems (200), von der Verifizier-Einrichtung des Zielsystems (200), an den Nutzer ausgegeben wird (307).Procedure according to Claim 2 , characterized in that the public key of the target system and in particular the characteristic, in particular the serial number of the target system (200), is output by the verification device of the target system (200) to the user (307). Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass der öffentliche Schlüssel des Zielsystems (200) und die Charakteristik drahtlos an eine Wiedergabeeinrichtung (212), insbesondere ein Smartphone des Nutzers, gesendet wird (303).Procedure according to Claim 3 , characterized in that the public key of the target system (200) and the characteristic are sent wirelessly to a playback device (212), in particular a smartphone of the user (303). Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass der öffentliche Schlüssel und insbesondere die Charakteristik des Zielsystems (200) als zweidimensionaler graphischer Code, insbesondere als QR code, an den Nutzer ausgegeben wird (304).Procedure according to Claim 3 or 4th , characterized in that the public key and in particular the characteristics of the target system (200) are output to the user as a two-dimensional graphic code, in particular as a QR code (304). Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass das Einmal-Kennwort in der Verifizier-Einrichtung des Zielsystems (200) verkürzt und/oder in eine Zeichenklasse umgewandelt wird, um eine Eingabe an einem Endgerät mit eingeschränkten Eingabemöglichkeiten zu erleichtern.Method according to one of the preceding claims, characterized in that the one-time password is shortened in the verification device of the target system (200) and / or converted into a character class in order to facilitate input on a terminal with limited input options. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass eine Eingabe eines Nutzers mit dem Einmal-Kennwort verifiziert wird (308).Method according to one of the preceding claims, characterized in that an input of a user is verified with the one-time password (308). Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass das Einmal-Kennwort, der symmetrische Schlüssel, der öffentliche Schlüssel und der private Schlüssel des Zielsystems gelöscht wird (309), wenn erkannt wird, daß das Einmal-Kennwort korrekt eingeben wurde oder eine Anzahl falscher Kennwort-Eingaben einen Schwellwert überschreitet.Method according to one of the preceding claims, characterized in that the one-time password, the symmetrical key, the public key and the private key of the target system are deleted (309) if it is recognized that the one-time password has been entered correctly or a number incorrect password input exceeds a threshold. Verifizier-Einrichtung eines Zielsystems (200), gekennzeichnet durch einen Prozessor (202) und einen Speicher (204) mit Instruktionen für den Prozessor (202), wobei der Prozessor (202) und der Speicher (204) ausgebildet sind, das Verfahren nach einem der Ansprüche 1 bis 8 auszuführen, wenn der Prozessor (202) die Instruktionen ausführt.Verification device of a target system (200), characterized by a processor (202) and a memory (204) with instructions for the processor (202), the processor (202) and the memory (204) being designed, the method according to one of the Claims 1 to 8th to execute when the processor (202) executes the instructions. Verifizier-Einrichtung eines Zielsystems (200) nach Anspruch 9, gekennzeichnet durch eine Netzwerkschnittstelle (210), die dazu ausgebildet ist, mit einer Authentifizier-Einrichtung (100) und/oder drahtlos zu kommunizieren.Verification establishment of a target system (200) Claim 9 , marked by a Network interface (210), which is designed to communicate with an authentication device (100) and / or wirelessly. Verfahren zur Bestimmung eines Einmal-Kennworts an einer Authentifizierungs-Einrichtung (100), dadurch gekennzeichnet, dass durch einen Diffie-Hellman-Schlüsselaustausch zwischen einem Zielsystem und der Authentifizierungs-Einrichtung (100) ein öffentlicher Schlüssel und eine Charakteristik des Zielsystems, insbesondere eine Seriennummer, empfangen wird (304), wobei ein symmetrischer Schlüssel abhängig vom öffentlichen Schlüssel des Zielsystems und von einem privaten Schlüssel der Authentifizierungs-Einrichtung (100) erzeugt wird und das Einmal-Kennwort durch Verschlüsseln der Charakteristik des Zielsystems mit dem symmetrischen Schlüssel bestimmt wird (306).Method for determining a one-time password on an authentication device (100), characterized in that a Diffie-Hellman key exchange between a target system and the authentication device (100) results in a public key and a characteristic of the target system, in particular a serial number , is received (304), whereby a symmetrical key is generated depending on the public key of the target system and on a private key of the authentication device (100) and the one-time password is determined by encrypting the characteristic of the target system with the symmetrical key (306 ). Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass das Einmal-Kennwort in der Authentifizierungs-Einrichtung (100) verkürzt und/oder in eine Zeichenklasse umgewandelt wird, um eine Eingabe an einem Endgerät mit eingeschränkten Eingabemöglichkeiten zu erleichtern.Procedure according to Claim 11 , characterized in that the one-time password is shortened in the authentication device (100) and / or converted into a character class in order to facilitate an input on a terminal with restricted input options. Verfahren nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass das Einmal-Kennwort an den Nutzer ausgegeben wird (307).Procedure according to Claim 11 or 12th , characterized in that the one-time password is issued to the user (307). Verfahren nach Anspruch 11 bis 13, dadurch gekennzeichnet, dass überprüft wird (305), ob der Nutzer berechtigt ist, ein durch die Charakteristik definiertes Einmal-Kennwort zu erhalten.Procedure according to Claim 11 to 13 , characterized in that it is checked (305) whether the user is authorized to receive a one-time password defined by the characteristic. Authentifizier-Einrichtung (100), gekennzeichnet durch einen Prozessor (102) und einen Speicher (104) mit Instruktionen für den Prozessor (102), wobei der Prozessor (102) und der Speicher (104) ausgebildet sind, das Verfahren nach einem der Ansprüche 11 bis 14 auszuführen, wenn der Prozessor (102) die Instruktionen ausführt.Authentication device (100), characterized by a processor (102) and a memory (104) with instructions for the processor (102), the processor (102) and the memory (104) being designed, the method according to one of the Claims 11 to 14 execute when the processor (102) executes the instructions. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass die Authentifizier-Einrichtung (100) eine Netzwerkschnittstelle (106) umfasst, die dazu ausgebildet ist, mit einer Verifizier-Einrichtung des Zielsystems (200) oder einer Wiedergabeeinrichtung (212) zu kommunizieren.Procedure according to Claim 15 , characterized in that the authentication device (100) comprises a network interface (106) which is designed to communicate with a verification device of the target system (200) or a playback device (212). Verfahren nach den Ansprüchen 1 bis 7 und/oder nach den Ansprüchen 11 bis 14, bei dem ein Diffie-Hellman-Schlüsselaustausch Verfahren verwendet wird, das auf Elliptic curve cryptography beruht.Procedure according to the Claims 1 to 7 and / or according to the Claims 11 to 14 , which uses a Diffie-Hellman key exchange method based on elliptic curve cryptography. Computerprogramm mit Instruktionen für einen Computer bei deren Ausführung durch den Computer ein Verfahren nach den Ansprüchen 1 bis 7 und/oder nach den Ansprüchen 11 bis 14 abläuft.Computer program with instructions for a computer when they are executed by the computer according to the method Claims 1 to 7 and / or according to the Claims 11 to 14 expires.
DE102019200925.5A 2019-01-25 2019-01-25 Method and device for generating and checking a one-time password Pending DE102019200925A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019200925.5A DE102019200925A1 (en) 2019-01-25 2019-01-25 Method and device for generating and checking a one-time password

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019200925.5A DE102019200925A1 (en) 2019-01-25 2019-01-25 Method and device for generating and checking a one-time password

Publications (1)

Publication Number Publication Date
DE102019200925A1 true DE102019200925A1 (en) 2020-07-30

Family

ID=71524657

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019200925.5A Pending DE102019200925A1 (en) 2019-01-25 2019-01-25 Method and device for generating and checking a one-time password

Country Status (1)

Country Link
DE (1) DE102019200925A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113158175A (en) * 2021-04-26 2021-07-23 厦门绿洋环境技术股份有限公司 Password management system and method for control equipment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140189359A1 (en) * 2012-12-28 2014-07-03 Vasco Data Security, Inc. Remote authentication and transaction signatures

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140189359A1 (en) * 2012-12-28 2014-07-03 Vasco Data Security, Inc. Remote authentication and transaction signatures

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113158175A (en) * 2021-04-26 2021-07-23 厦门绿洋环境技术股份有限公司 Password management system and method for control equipment

Similar Documents

Publication Publication Date Title
EP3574625B1 (en) Method for carrying out an authentication
DE60131534T2 (en) Comprehensive authentication mechanism
EP3057025B1 (en) Computer-implemented method for controlling access
DE112008000298B4 (en) A method for generating a digital fingerprint by means of a pseudorandom number code
EP3416140B1 (en) Method and device for authenticating a user on a vehicle
DE10151277A1 (en) Method for authenticating a network access server with authentication server e.g. for communications network, requires sending access query message to network access server
EP2962439B1 (en) Reading an attribute from an id token
DE102009030019B3 (en) System and method for reliable authentication of a device
EP3909221B1 (en) Method for securely providing a personalized electronic identity on a terminal
DE112013002539B4 (en) Validation of mobile units
EP2805446A1 (en) Function for the challenge derivation for protecting components in a challenge response authentication protocol
DE112008002860T5 (en) A method and apparatus for providing secure association with user identity in a digital rights management system
EP3908946B1 (en) Method for securely providing a personalized electronic identity on a terminal
EP2620892B1 (en) Method for generating a pseudonym with the help of an ID token
DE102013203436A1 (en) Generate a key to provide permission information
WO2019057231A1 (en) Method for configuring user authentication on a terminal device by means of a mobile terminal device and for logging a user onto a terminal device
DE102019200925A1 (en) Method and device for generating and checking a one-time password
DE102013102092B4 (en) Method and device for authenticating people
EP2631837B1 (en) Method for generating a pseudonym with the help of an ID token
EP3882796A1 (en) User authentication using two independent security elements
EP3401821A1 (en) Method and data processing system for providing and using a session pin for a security-critical process for authenticating a user and/or a data object
WO2023280583A1 (en) Methods, devices and system for accessing a production apparatus
WO2015114160A1 (en) Method for the secure transmission of characters
EP2723111A1 (en) Multiple factor authentification for mobile end devices
DE102014211839A1 (en) Method for authenticating an entity

Legal Events

Date Code Title Description
R163 Identified publications notified